本發(fā)明涉及計算機技術(shù)領(lǐng)域，具體而言，本發(fā)明涉及一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的方法，及一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的裝置。

背景技術(shù)：

隨著時代的發(fā)展，各種終端設(shè)備已成為人們生活中必不可少的工具，各種功能強大的終端操作系統(tǒng)及終端應(yīng)用程序不斷涌現(xiàn)，為用戶帶來了更加便捷的體驗。然而，隨著用戶的使用需求不斷的提高，用戶的安全與隱私問題也日益凸顯。在用戶的使用過程，終端設(shè)備上會產(chǎn)生多種用戶隱私數(shù)據(jù)，如各種賬號，支付密碼等。而網(wǎng)絡(luò)中的各種病毒木馬一直在不停尋找機會向各終端設(shè)備進行非法入侵，以盜取用戶的隱私信息，在這種情況下，如何保證終端應(yīng)用程序的安全性成為亟待解決的問題。

現(xiàn)有技術(shù)中，一方面，在基于Linux內(nèi)核系統(tǒng)的終端設(shè)備中，往往通過使用Linux容器技術(shù)實現(xiàn)的多操作系統(tǒng)，在每個容器中裝入獨立的操作系統(tǒng)，多個操作系統(tǒng)之間相互獨立，并通過對安全容器系統(tǒng)中導入不同的安全策略，以保證用戶在該容器系統(tǒng)中操作應(yīng)用程序的安全性，但是，現(xiàn)有容器系統(tǒng)中，無法實現(xiàn)對終端設(shè)備中設(shè)備資源的虛擬化，從而使得創(chuàng)建的容器系統(tǒng)無法運行完整的操作系統(tǒng)；另一方面，現(xiàn)有的安全解決方案為通過TrustZone技術(shù)來防范終端設(shè)備可能遭受到的多種安全威脅，但是，在基于TrustZone技術(shù)架構(gòu)的系統(tǒng)中運行的應(yīng)用程序，其在研發(fā)過程中存在較大的難度，且TrustZone技術(shù)對終端設(shè)備的芯片平臺過度依賴，使得用戶使用推廣受限。因此，亟需一種安全解決方案，為終端設(shè)備中的應(yīng)用程序提供高安全的運行環(huán)境。

技術(shù)實現(xiàn)要素：

為克服上述技術(shù)問題或者至少部分地解決上述技術(shù)問題，特提出以下技術(shù)方案：

本發(fā)明的實施例提出了一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的方法，包括：

當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊；

通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)；

當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)；

第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

優(yōu)選地，當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)，包括：

當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求時，啟動鑒權(quán)應(yīng)用；

通過鑒權(quán)應(yīng)用對用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

優(yōu)選地，鑒權(quán)請求中包括以下至少一項：

鑒權(quán)模式的標識信息；

發(fā)起鑒權(quán)請求的應(yīng)用程序相關(guān)標識信息；

鑒權(quán)安全等級的相關(guān)標識信息；

其中，鑒權(quán)模式包括字符串密碼鑒權(quán)、圖形密碼鑒權(quán)、指紋密碼鑒權(quán)、虹膜密碼鑒權(quán)中的至少一項。

優(yōu)選地，當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求時，啟動鑒權(quán)應(yīng)用，包括：

根據(jù)接收到的鑒權(quán)請求中的鑒權(quán)模式的標識信息，啟動與鑒權(quán)模式對應(yīng)的鑒權(quán)應(yīng)用。

優(yōu)選地，基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)，包括：

基于鑒權(quán)請求，通過終端設(shè)備的系統(tǒng)內(nèi)核將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)；

其中，將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)，包括：

通過終端設(shè)備的系統(tǒng)內(nèi)核將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

可選地，該方法還包括：

通過容器系統(tǒng)管理模塊創(chuàng)建多個容器系統(tǒng)；

其中，基于Linux內(nèi)核的資源隔離機制來創(chuàng)建容器系統(tǒng)。

本發(fā)明的另一實施例提出了一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的裝置，包括：

發(fā)送模塊，用于當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊；

轉(zhuǎn)發(fā)及轉(zhuǎn)移模塊，用于通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)；

鑒權(quán)模塊，用于當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)；

反饋及轉(zhuǎn)移模塊，用于第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

優(yōu)選地，鑒權(quán)模塊，包括：

啟動單元，用于當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求時，啟動鑒權(quán)應(yīng)用；

鑒權(quán)單元，用于通過鑒權(quán)應(yīng)用對用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

優(yōu)選地，鑒權(quán)請求中包括以下至少一項：

鑒權(quán)模式的標識信息；

發(fā)起鑒權(quán)請求的應(yīng)用程序相關(guān)標識信息；

鑒權(quán)安全等級的相關(guān)標識信息；

其中，鑒權(quán)模式包括字符串密碼鑒權(quán)、圖形密碼鑒權(quán)、指紋密碼鑒權(quán)、虹膜密碼鑒權(quán)中的至少一項。

優(yōu)選地，啟動單元用于根據(jù)接收到的鑒權(quán)請求中的鑒權(quán)模式的標識信息，啟動與鑒權(quán)模式對應(yīng)的鑒權(quán)應(yīng)用。

本發(fā)明的實施例中，提出了一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的方案，當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊，通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)，為實現(xiàn)在第二容器系統(tǒng)中對用戶的鑒權(quán)請求進行鑒權(quán)提供了必要的前提保障，同時，通過轉(zhuǎn)移外設(shè)控制權(quán)保證了用戶只能通過在擁有外設(shè)控制權(quán)的第二容器系統(tǒng)中輸入待鑒權(quán)數(shù)據(jù)，為實現(xiàn)更為安全的鑒權(quán)流程提供了必要的前提保障；當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)，實現(xiàn)了在第二容器系統(tǒng)中獲取待鑒權(quán)數(shù)據(jù)，避免了待鑒權(quán)數(shù)據(jù)被第一容器系統(tǒng)獲取到時可能發(fā)生的鑒權(quán)數(shù)據(jù)泄露的情況，保證了用戶鑒權(quán)的數(shù)據(jù)安全性；第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)，本方案中執(zhí)行鑒權(quán)的過程與第一容器系統(tǒng)無關(guān)，可避免用戶在第一容器系統(tǒng)中通過使用應(yīng)用程序而泄露鑒權(quán)數(shù)據(jù)的情況發(fā)生，確保鑒權(quán)流程的安全性，進一步地，用戶的隱私安全和財產(chǎn)安全得到有力保證。

本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出，這些將從下面的描述中變得明顯，或通過本發(fā)明的實踐了解到。

附圖說明

本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解，其中：

圖1為本發(fā)明中一個實施例的多系統(tǒng)終端設(shè)備中各容器系統(tǒng)間的關(guān)系示意圖；

圖2為本發(fā)明中一個實施例的多系統(tǒng)中對應(yīng)用程序鑒權(quán)的方法的流程圖；

圖3為本發(fā)明中另一實施例的多系統(tǒng)中對應(yīng)用程序鑒權(quán)的裝置的結(jié)構(gòu)示意圖。

具體實施方式

下面詳細描述本發(fā)明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發(fā)明，而不能解釋為對本發(fā)明的限制。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，除非特意聲明，這里使用的單數(shù)形式“一”、“一個”、“所述”和“該”也可包括復數(shù)形式。應(yīng)該進一步理解的是，本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征、整數(shù)、步驟、操作、元件和/或組件，但是并不排除存在或添加一個或多個其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的組。應(yīng)該理解，當我們稱元件被“連接”或“耦接”到另一元件時，它可以直接連接或耦接到其他元件，或者也可以存在中間元件。此外，這里使用的“連接”或“耦接”可以包括無線連接或無線耦接。這里使用的措辭“和/或”包括一個或更多個相關(guān)聯(lián)的列出項的全部或任一單元和全部組合。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，除非另外定義，這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學術(shù)語)，具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng)該理解的是，諸如通用字典中定義的那些術(shù)語，應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義，并且除非像這里一樣被特定定義，否則不會用理想化或過于正式的含義來解釋。

本發(fā)明的實施例中的多操作系統(tǒng)包括至少兩個操作系統(tǒng)，其中，操作系統(tǒng)可包括各種操作系統(tǒng)，例如android操作系統(tǒng)等。本發(fā)明的實施例中的多操作系統(tǒng)可基于多種虛擬技術(shù)來實現(xiàn)，下文以Linux系統(tǒng)下的容器技術(shù)為例來進行實施例的詳述。其中，使用Linux容器技術(shù)實現(xiàn)的多操作系統(tǒng)，在每個容器中裝入獨立的操作系統(tǒng)，多個操作系統(tǒng)之間相互獨立，且多個操作系統(tǒng)運行在同一臺物理終端設(shè)備上。

下面結(jié)合附圖具體介紹本發(fā)明實施例的技術(shù)方案。

本發(fā)明實施例的終端設(shè)備的內(nèi)部結(jié)構(gòu)的框架示意圖如圖1所示，包括：至少兩個容器系統(tǒng)。其中，圖1中的終端設(shè)備的內(nèi)部結(jié)構(gòu)框架中包括第一容器系統(tǒng)和第二容器系統(tǒng)，其中，第一容器系統(tǒng)和第二容器系統(tǒng)擁有各自的容器管理模塊，第一容器系統(tǒng)和第二容器系統(tǒng)通過其各自的容器系統(tǒng)模塊與容器系統(tǒng)管理模塊進行數(shù)據(jù)交互，容器系統(tǒng)管理模塊還負責與系統(tǒng)內(nèi)核的通信；第一容器系統(tǒng)通過其容器系統(tǒng)模塊負責與容器系統(tǒng)管理模塊通信，并處理第一容器系統(tǒng)中的應(yīng)用程序發(fā)起的鑒權(quán)請求以及容器系統(tǒng)管理模塊反饋的鑒權(quán)結(jié)果；第二容器系統(tǒng)通過其容器系統(tǒng)模塊負責與容器系統(tǒng)管理模塊通信，并處理容器系統(tǒng)管理模塊發(fā)送的鑒權(quán)請求以及第二容器系統(tǒng)中的鑒權(quán)應(yīng)用得到的鑒權(quán)結(jié)果。需要說明的是，終端設(shè)備的內(nèi)部結(jié)構(gòu)框架中可以包括多個第一容器系統(tǒng)。

其中，本發(fā)明實施例中的容器系統(tǒng)，可以是設(shè)置在以Linux container(容器)虛擬化技術(shù)創(chuàng)建的容器中的操作系統(tǒng)。操作系統(tǒng)可以為傳統(tǒng)意義上的Linux操作系統(tǒng)或Unix操作系統(tǒng)，也可以是基于Linux操作系統(tǒng)衍生出來的Android系統(tǒng)、Ubuntu系統(tǒng)或FireFox系統(tǒng)等，還可以為以Windows平臺為基礎(chǔ)的windows系統(tǒng)等。實際上，本發(fā)明中的容器系統(tǒng)不限于前述例舉的操作系統(tǒng)，可以涵蓋所有能夠在容器中運行的操作系統(tǒng)。

優(yōu)選地，容器系統(tǒng)可以是上述傳統(tǒng)的操作系統(tǒng)，也可以是對傳統(tǒng)的kernel進行改進和/或在kernel之外(例如框架層和應(yīng)用層)增加功能模塊之后，得到的操作系統(tǒng)。其中，各個容器系統(tǒng)共享同一系統(tǒng)內(nèi)核，當各容器中的操作系統(tǒng)為Linux操作系統(tǒng)或基于Linux操作系統(tǒng)衍生出來的系統(tǒng)時，各容器系統(tǒng)為基于Linux kernel namespace框架之上的，通過容器實例層，增加了對終端設(shè)備中設(shè)備資源的管理功能模塊后，得到的操作系統(tǒng)。

優(yōu)選地，主容器系統(tǒng)和可信域容器系統(tǒng)間可以通過預定義的通道或容器通道與其他容器系統(tǒng)進行通信，預定義的通道可以是socket(套接字)通道，本發(fā)明的實施例中，主容器系統(tǒng)和可信域容器系統(tǒng)通過其各自的容器系統(tǒng)模塊與容器系統(tǒng)管理模塊進行通信。

圖2為本發(fā)明中一個實施例的多系統(tǒng)中對應(yīng)用程序鑒權(quán)的方法的流程圖。

本發(fā)明的實施例中，各步驟所執(zhí)行的內(nèi)容概述如下：步驟S110：當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊；步驟S120：通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)；步驟S130：當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)；步驟S140：第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

本發(fā)明的實施例中，提出了一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的方法，當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊，通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)，為實現(xiàn)在第二容器系統(tǒng)中對用戶的鑒權(quán)請求進行鑒權(quán)提供了必要的前提保障，同時，通過轉(zhuǎn)移外設(shè)控制權(quán)保證了用戶只能通過在擁有外設(shè)控制權(quán)的第二容器系統(tǒng)中輸入待鑒權(quán)數(shù)據(jù)，為實現(xiàn)更為安全的鑒權(quán)流程提供了必要的前提保障；當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)，實現(xiàn)了在第二容器系統(tǒng)中獲取待鑒權(quán)數(shù)據(jù)，避免了待鑒權(quán)數(shù)據(jù)被第一容器系統(tǒng)獲取到時可能發(fā)生的鑒權(quán)數(shù)據(jù)泄露的情況，保證了用戶鑒權(quán)的數(shù)據(jù)安全性；第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)，本方案中執(zhí)行鑒權(quán)的過程與第一容器系統(tǒng)無關(guān)，可避免用戶在第一容器系統(tǒng)中通過使用應(yīng)用程序而泄露鑒權(quán)數(shù)據(jù)的情況發(fā)生，確保鑒權(quán)流程的安全性，進一步地，用戶的隱私安全和財產(chǎn)安全得到有力保證。以下針對各個步驟的具體實現(xiàn)做進一步的說明：

步驟S110：當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊。

具體地，當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的用戶身份鑒權(quán)請求時，通過第一容器系統(tǒng)的預定的鑒權(quán)接口，將該應(yīng)用程序發(fā)送的鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊。

其中，鑒權(quán)請求中包括以下至少一項：

1)鑒權(quán)模式的標識信息；例如，鑒權(quán)模式為字符串密碼鑒權(quán)時的標識信息為“mode-string”；鑒權(quán)模式為圖形密碼鑒權(quán)時的標識信息為“mode-picture”；鑒權(quán)模式為指紋密碼鑒權(quán)時的標識信息為“mode-fingerprint”等。其中，鑒權(quán)模式包括字符串密碼鑒權(quán)、圖形密碼鑒權(quán)、指紋密碼鑒權(quán)、虹膜密碼鑒權(quán)中的至少一項。字符串鑒權(quán)如用戶輸入的一串字符；圖形密碼鑒權(quán)如用戶通過終端設(shè)備的屏幕預定的手勢圖形等。

2)發(fā)起鑒權(quán)請求的應(yīng)用程序相關(guān)標識信息；例如，發(fā)起鑒權(quán)請求的應(yīng)用程序為App1時，相關(guān)標識信息為“requestApp-App1”。

3)鑒權(quán)安全等級的相關(guān)標識信息；例如，當用戶的身份為管理員時，鑒權(quán)安全等級的標識信息為“User-001”；當用戶的身份為普通用戶時，鑒權(quán)安全等級的標識信息為“User-005”等。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，當檢測到主容器系統(tǒng)OS₁中的應(yīng)用程序App1發(fā)送的用戶User1的指紋密碼鑒權(quán)的請求時，通過主容器系統(tǒng)OS₁的容器系統(tǒng)模塊中的預定鑒權(quán)接口，將應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求發(fā)送至終端設(shè)備A的容器系統(tǒng)管理模塊。

步驟S120：通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)。

具體地，通過容器系統(tǒng)管理模塊將第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的用戶身份鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于該鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，通過終端設(shè)備A中的容器系統(tǒng)管理模塊將主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求轉(zhuǎn)發(fā)至可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊，并基于該指紋鑒權(quán)請求將已分配至主容器系統(tǒng)OS₁的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至可信域容器系統(tǒng)OS₂。

優(yōu)選地，步驟S120中基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)的步驟，具體包括：基于鑒權(quán)請求，通過終端設(shè)備的系統(tǒng)內(nèi)核將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送用戶User1的指紋鑒權(quán)的請求至主容器系統(tǒng)OS₁的容器系統(tǒng)模塊，隨后通過主容器系統(tǒng)OS₁的容器系統(tǒng)模塊將該指紋鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊，通過終端設(shè)備A中的容器系統(tǒng)管理模塊將該指紋鑒權(quán)請求轉(zhuǎn)發(fā)至可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊，基于該指紋鑒權(quán)請求，通過終端設(shè)備A的系統(tǒng)內(nèi)核，如Linux kernel將已分配至主容器系統(tǒng)OS₁的終端設(shè)備A的外設(shè)控制權(quán)轉(zhuǎn)移至可信域容器系統(tǒng)OS₂。

需要說明的是，本領(lǐng)域技術(shù)人員可以理解，外部設(shè)備簡稱外設(shè)，是指連在終端設(shè)備以外的硬件設(shè)備。對數(shù)據(jù)和信息起著傳輸、轉(zhuǎn)送和存儲的作用，是終端設(shè)備操作系統(tǒng)中的重要組成部分。由于外部設(shè)備種類繁多，有的設(shè)備兼有多種功能，按照功能的不同，大致可以分為輸入設(shè)備、顯示設(shè)備、打印設(shè)備、外部存儲器和網(wǎng)絡(luò)設(shè)備等。本發(fā)明實施例中，終端設(shè)備的外設(shè)控制權(quán)，即控制外設(shè)的控制權(quán)限，當容器系統(tǒng)無外設(shè)控制權(quán)時，則無法通過終端設(shè)備的外設(shè)進行相應(yīng)的操作。

步驟S130：當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

具體地，當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶在第二容器系統(tǒng)中通過終端設(shè)備的外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，當可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊接收到主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求后，根據(jù)通過可信域容器系統(tǒng)OS₂檢測到的用戶User1通過終端設(shè)備A的外設(shè)，如終端設(shè)備A的輸入設(shè)備觸摸屏幕，輸入的待鑒權(quán)字符串，對該字符串進行鑒權(quán)。

優(yōu)選地，步驟S130進一步包括步驟S131和步驟S132；步驟S131：當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求時，啟動鑒權(quán)應(yīng)用；步驟S132：通過鑒權(quán)應(yīng)用對用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，當可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊接收到主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求時，啟動可信域容器系統(tǒng)OS₂的鑒權(quán)應(yīng)用，如App2，當檢測到的用戶User1通過終端設(shè)備A的外設(shè)，如終端設(shè)備A的輸入設(shè)備觸摸屏幕，輸入的待鑒權(quán)字符串時，鑒權(quán)應(yīng)用App2對該字符串進行鑒權(quán)。

優(yōu)選地，步驟131進一步包括：根據(jù)接收到的鑒權(quán)請求中的鑒權(quán)模式的標識信息，啟動與鑒權(quán)模式對應(yīng)的鑒權(quán)應(yīng)用。

例如，預定鑒權(quán)模式為字符串密碼鑒權(quán)時對應(yīng)的鑒權(quán)應(yīng)用為App2，鑒權(quán)模式為指紋密碼鑒權(quán)時對應(yīng)的鑒權(quán)應(yīng)用為App3，鑒權(quán)模式為圖形密碼鑒權(quán)時對應(yīng)的鑒權(quán)應(yīng)用為App4等。在多系統(tǒng)終端設(shè)備A中，當可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊接收到主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求時，根據(jù)該鑒權(quán)請求中的標識信息可確定其鑒權(quán)模式為指紋密碼鑒權(quán)，隨后啟動可信域容器系統(tǒng)OS₂的鑒權(quán)應(yīng)用App2，隨后將檢測到的用戶User1通過終端設(shè)備A的外設(shè)，如終端設(shè)備A的指紋輸入設(shè)備，輸入的指紋信息的待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

步驟S140：第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，用戶User1通過主容器系統(tǒng)OS₁中的應(yīng)用程序App1發(fā)送鑒權(quán)請求，當可信域容器系統(tǒng)OS₂的鑒權(quán)應(yīng)用App2對用戶輸入的字符串進行鑒權(quán)后，可信域容器系統(tǒng)OS₂通過其容器系統(tǒng)模塊將鑒權(quán)結(jié)果，如“鑒權(quán)成功”的消息發(fā)送至容器系統(tǒng)管理模塊，并通過容器系統(tǒng)管理模塊將該鑒權(quán)結(jié)果反饋至主容器系統(tǒng)OS₁的容器系統(tǒng)模塊，隨后，主容器系統(tǒng)OS₁中的應(yīng)用程序App1根據(jù)鑒權(quán)結(jié)果為“鑒權(quán)成功”，通過對用戶User1身份認證，隨后將外設(shè)控制權(quán)重新轉(zhuǎn)移至主容器系統(tǒng)OS₁。

優(yōu)選地，步驟S140中將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)的步驟具體包括：通過終端設(shè)備的系統(tǒng)內(nèi)核將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊將鑒權(quán)結(jié)果，如“鑒權(quán)成功”的數(shù)據(jù)發(fā)送至容器系統(tǒng)管理模塊，并通過容器系統(tǒng)管理模塊將該鑒權(quán)結(jié)果反饋至主容器系統(tǒng)OS₁的容器系統(tǒng)模塊，并通過終端設(shè)備A的系統(tǒng)內(nèi)核，如Linux kernel將外設(shè)控制權(quán)重新轉(zhuǎn)移至主容器系統(tǒng)OS₁。

在一優(yōu)選實施例中，該方法還包括步驟S150；步驟S150：通過容器系統(tǒng)管理模塊創(chuàng)建多個容器系統(tǒng)。

其中，基于Linux內(nèi)核的資源隔離機制來創(chuàng)建容器系統(tǒng)。

例如，在終端設(shè)備A中，通過容器系統(tǒng)管理模塊創(chuàng)建主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂。其中，在創(chuàng)建過程中，基于Linux內(nèi)核的資源隔離機制，如Linux kernel namespace框架，來創(chuàng)建各主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，以實現(xiàn)對終端設(shè)備A中的物理設(shè)備資源和虛擬設(shè)備資源的虛擬化管理，從而使得通過容器系統(tǒng)管理模塊創(chuàng)建的主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂可以分別運行一個完整的操作系統(tǒng)。

圖3為本發(fā)明中另一實施例的多系統(tǒng)中對應(yīng)用程序鑒權(quán)的裝置的結(jié)構(gòu)示意圖。

本發(fā)明的實施例中，各模塊所執(zhí)行的內(nèi)容概述如下：發(fā)送模塊310當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊；轉(zhuǎn)發(fā)及轉(zhuǎn)移模塊320通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)；鑒權(quán)模塊330當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)；反饋及轉(zhuǎn)移模塊340第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

本發(fā)明的實施例中，提出了一種多系統(tǒng)中對應(yīng)用程序鑒權(quán)的裝置，當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊，通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)，為實現(xiàn)在第二容器系統(tǒng)中對用戶的鑒權(quán)請求進行鑒權(quán)提供了必要的前提保障，同時，通過轉(zhuǎn)移外設(shè)控制權(quán)保證了用戶只能通過在擁有外設(shè)控制權(quán)的第二容器系統(tǒng)中輸入待鑒權(quán)數(shù)據(jù)，為實現(xiàn)更為安全的鑒權(quán)流程提供了必要的前提保障；當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)，實現(xiàn)了在第二容器系統(tǒng)中獲取待鑒權(quán)數(shù)據(jù)，避免了待鑒權(quán)數(shù)據(jù)被第一容器系統(tǒng)獲取到時可能發(fā)生的鑒權(quán)數(shù)據(jù)泄露的情況，保證了用戶鑒權(quán)的數(shù)據(jù)安全性；第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)，本方案中執(zhí)行鑒權(quán)的過程與第一容器系統(tǒng)無關(guān)，可避免用戶在第一容器系統(tǒng)中通過使用應(yīng)用程序而泄露鑒權(quán)數(shù)據(jù)的情況發(fā)生，確保鑒權(quán)流程的安全性，進一步地，用戶的隱私安全和財產(chǎn)安全得到有力保證。以下針對各個模塊的具體實現(xiàn)做進一步的說明：

發(fā)送模塊310當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的鑒權(quán)請求時，通過預定的鑒權(quán)接口，將鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊。

具體地，當檢測到第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的用戶身份鑒權(quán)請求時，通過第一容器系統(tǒng)的預定的鑒權(quán)接口，將該應(yīng)用程序發(fā)送的鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊。

其中，鑒權(quán)請求中包括以下至少一項：

1)鑒權(quán)模式的標識信息；例如，鑒權(quán)模式為字符串密碼鑒權(quán)時的標識信息為“mode-string”；鑒權(quán)模式為圖形密碼鑒權(quán)時的標識信息為“mode-picture”；鑒權(quán)模式為指紋密碼鑒權(quán)時的標識信息為“mode-fingerprint”等。其中，鑒權(quán)模式包括字符串密碼鑒權(quán)、圖形密碼鑒權(quán)、指紋密碼鑒權(quán)、虹膜密碼鑒權(quán)中的至少一項。字符串鑒權(quán)如用戶輸入的一串字符；圖形密碼鑒權(quán)如用戶通過終端設(shè)備的屏幕預定的手勢圖形等。

2)發(fā)起鑒權(quán)請求的應(yīng)用程序相關(guān)標識信息；例如，發(fā)起鑒權(quán)請求的應(yīng)用程序為App1時，相關(guān)標識信息為“requestApp-App1”。

3)鑒權(quán)安全等級的相關(guān)標識信息；例如，當用戶的身份為管理員時，鑒權(quán)安全等級的標識信息為“User-001”；當用戶的身份為普通用戶時，鑒權(quán)安全等級的標識信息為“User-005”等。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，當檢測到主容器系統(tǒng)OS₁中的應(yīng)用程序App1發(fā)送的用戶User1的指紋密碼鑒權(quán)的請求時，通過主容器系統(tǒng)OS₁的容器系統(tǒng)模塊中的預定鑒權(quán)接口，將應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求發(fā)送至終端設(shè)備A的容器系統(tǒng)管理模塊。

轉(zhuǎn)發(fā)及轉(zhuǎn)移模塊320通過容器系統(tǒng)管理模塊將鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)。

具體地，通過容器系統(tǒng)管理模塊將第一容器系統(tǒng)中任一應(yīng)用程序發(fā)送的用戶身份鑒權(quán)請求轉(zhuǎn)發(fā)至第二容器系統(tǒng)，并基于該鑒權(quán)請求將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，通過終端設(shè)備A中的容器系統(tǒng)管理模塊將主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求轉(zhuǎn)發(fā)至可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊，并基于該指紋鑒權(quán)請求將已分配至主容器系統(tǒng)OS₁的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至可信域容器系統(tǒng)OS₂。

優(yōu)選地，轉(zhuǎn)發(fā)及轉(zhuǎn)移模塊320包括基于鑒權(quán)請求，通過終端設(shè)備的系統(tǒng)內(nèi)核將已分配至第一容器系統(tǒng)的終端設(shè)備的外設(shè)控制權(quán)轉(zhuǎn)移至第二容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送用戶User1的指紋鑒權(quán)的請求至主容器系統(tǒng)OS₁的容器系統(tǒng)模塊，隨后通過主容器系統(tǒng)OS₁的容器系統(tǒng)模塊將該指紋鑒權(quán)請求發(fā)送至容器系統(tǒng)管理模塊，通過終端設(shè)備A中的容器系統(tǒng)管理模塊將該指紋鑒權(quán)請求轉(zhuǎn)發(fā)至可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊，基于該指紋鑒權(quán)請求，通過終端設(shè)備A的系統(tǒng)內(nèi)核，如Linux kernel將已分配至主容器系統(tǒng)OS₁的終端設(shè)備A的外設(shè)控制權(quán)轉(zhuǎn)移至可信域容器系統(tǒng)OS₂。

需要說明的是，本領(lǐng)域技術(shù)人員可以理解，外部設(shè)備簡稱外設(shè)，是指連在終端設(shè)備以外的硬件設(shè)備。對數(shù)據(jù)和信息起著傳輸、轉(zhuǎn)送和存儲的作用，是終端設(shè)備操作系統(tǒng)中的重要組成部分。由于外部設(shè)備種類繁多，有的設(shè)備兼有多種功能，按照功能的不同，大致可以分為輸入設(shè)備、顯示設(shè)備、打印設(shè)備、外部存儲器和網(wǎng)絡(luò)設(shè)備等。本發(fā)明實施例中，終端設(shè)備的外設(shè)控制權(quán)，即控制外設(shè)的控制權(quán)限，當容器系統(tǒng)無外設(shè)控制權(quán)時，則無法通過終端設(shè)備的外設(shè)進行相應(yīng)的操作。

鑒權(quán)模塊330當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

具體地，當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求后，根據(jù)檢測到的用戶在第二容器系統(tǒng)中通過終端設(shè)備的外設(shè)輸入的待鑒權(quán)數(shù)據(jù)，對待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，當可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊接收到主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求后，根據(jù)通過可信域容器系統(tǒng)OS₂檢測到的用戶User1通過終端設(shè)備A的外設(shè)，如終端設(shè)備A的輸入設(shè)備觸摸屏幕，輸入的待鑒權(quán)字符串，對該字符串進行鑒權(quán)。

優(yōu)選地，鑒權(quán)模塊330進一步包括啟動單元和鑒權(quán)單元；啟動單元當?shù)诙萜飨到y(tǒng)接收到鑒權(quán)請求時，啟動鑒權(quán)應(yīng)用；鑒權(quán)單元通過鑒權(quán)應(yīng)用對用戶通過外設(shè)輸入的待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，當可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊接收到主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求時，啟動可信域容器系統(tǒng)OS₂的鑒權(quán)應(yīng)用，如App2，當檢測到的用戶User1通過終端設(shè)備A的外設(shè)，如終端設(shè)備A的輸入設(shè)備觸摸屏幕，輸入的待鑒權(quán)字符串時，鑒權(quán)應(yīng)用App2對該字符串進行鑒權(quán)。

優(yōu)選地，啟動單元包括根據(jù)接收到的鑒權(quán)請求中的鑒權(quán)模式的標識信息，啟動與鑒權(quán)模式對應(yīng)的鑒權(quán)應(yīng)用。

例如，預定鑒權(quán)模式為字符串密碼鑒權(quán)時對應(yīng)的鑒權(quán)應(yīng)用為App2，鑒權(quán)模式為指紋密碼鑒權(quán)時對應(yīng)的鑒權(quán)應(yīng)用為App3，鑒權(quán)模式為圖形密碼鑒權(quán)時對應(yīng)的鑒權(quán)應(yīng)用為App4等。在多系統(tǒng)終端設(shè)備A中，當可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊接收到主容器系統(tǒng)OS₁中應(yīng)用程序App1發(fā)送的用戶User1的指紋鑒權(quán)的請求時，根據(jù)該鑒權(quán)請求中的標識信息可確定其鑒權(quán)模式為指紋密碼鑒權(quán)，隨后啟動可信域容器系統(tǒng)OS₂的鑒權(quán)應(yīng)用App2，隨后將檢測到的用戶User1通過終端設(shè)備A的外設(shè)，如終端設(shè)備A的指紋輸入設(shè)備，輸入的指紋信息的待鑒權(quán)數(shù)據(jù)進行鑒權(quán)。

反饋及轉(zhuǎn)移模塊340第二容器系統(tǒng)將鑒權(quán)結(jié)果通過容器系統(tǒng)管理模塊反饋至第一容器系統(tǒng)，以用于應(yīng)用程序的用戶身份認證，并將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，用戶User1通過主容器系統(tǒng)OS₁中的應(yīng)用程序App1發(fā)送鑒權(quán)請求，當可信域容器系統(tǒng)OS₂的鑒權(quán)應(yīng)用App2對用戶輸入的字符串進行鑒權(quán)后，可信域容器系統(tǒng)OS₂通過其容器系統(tǒng)模塊將鑒權(quán)結(jié)果，如“鑒權(quán)成功”的消息發(fā)送至容器系統(tǒng)管理模塊，并通過容器系統(tǒng)管理模塊將該鑒權(quán)結(jié)果反饋至主容器系統(tǒng)OS₁的容器系統(tǒng)模塊，隨后，主容器系統(tǒng)OS₁中的應(yīng)用程序App1根據(jù)鑒權(quán)結(jié)果為“鑒權(quán)成功”，通過對用戶User1身份認證，隨后將外設(shè)控制權(quán)重新轉(zhuǎn)移至主容器系統(tǒng)OS₁。

優(yōu)選地，反饋及轉(zhuǎn)移模塊340包括通過終端設(shè)備的系統(tǒng)內(nèi)核將外設(shè)控制權(quán)重新轉(zhuǎn)移至第一容器系統(tǒng)。

例如，在多系統(tǒng)終端設(shè)備A中，包括主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，可信域容器系統(tǒng)OS₂的容器系統(tǒng)模塊將鑒權(quán)結(jié)果，如“鑒權(quán)成功”的數(shù)據(jù)發(fā)送至容器系統(tǒng)管理模塊，并通過容器系統(tǒng)管理模塊將該鑒權(quán)結(jié)果反饋至主容器系統(tǒng)OS₁的容器系統(tǒng)模塊，并通過終端設(shè)備A的系統(tǒng)內(nèi)核，如Linux kernel將外設(shè)控制權(quán)重新轉(zhuǎn)移至主容器系統(tǒng)OS₁。

在一優(yōu)選實施例中，該裝置還包括創(chuàng)建模塊；創(chuàng)建模塊通過容器系統(tǒng)管理模塊創(chuàng)建多個容器系統(tǒng)。

其中，基于Linux內(nèi)核的資源隔離機制來創(chuàng)建容器系統(tǒng)。

例如，在終端設(shè)備A中，通過容器系統(tǒng)管理模塊創(chuàng)建主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂。其中，在創(chuàng)建過程中，基于Linux內(nèi)核的資源隔離機制，如Linux kernel namespace框架，來創(chuàng)建各主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂，以實現(xiàn)對終端設(shè)備A中的物理設(shè)備資源和虛擬設(shè)備資源的虛擬化管理，從而使得通過容器系統(tǒng)管理模塊創(chuàng)建的主容器系統(tǒng)OS₁和可信域容器系統(tǒng)OS₂可以分別運行一個完整的操作系統(tǒng)。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，本發(fā)明包括涉及用于執(zhí)行本申請中所述操作中的一項或多項的設(shè)備。這些設(shè)備可以為所需的目的而專門設(shè)計和制造，或者也可以包括通用計算機中的已知設(shè)備。這些設(shè)備具有存儲在其內(nèi)的計算機程序，這些計算機程序選擇性地激活或重構(gòu)。這樣的計算機程序可以被存儲在設(shè)備(例如，計算機)可讀介質(zhì)中或者存儲在適于存儲電子指令并分別耦聯(lián)到總線的任何類型的介質(zhì)中，所述計算機可讀介質(zhì)包括但不限于任何類型的盤(包括軟盤、硬盤、光盤、CD-ROM、和磁光盤)、ROM(Read-Only Memory，只讀存儲器)、RAM(Random Access Memory，隨即存儲器)、EPROM(Erasable Programmable Read-Only Memory，可擦寫可編程只讀存儲器)、EEPROM(Electrically Erasable Programmable Read-Only Memory，電可擦可編程只讀存儲器)、閃存、磁性卡片或光線卡片。也就是，可讀介質(zhì)包括由設(shè)備(例如，計算機)以能夠讀的形式存儲或傳輸信息的任何介質(zhì)。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，可以用計算機程序指令來實現(xiàn)這些結(jié)構(gòu)圖和/或框圖和/或流圖中的每個框以及這些結(jié)構(gòu)圖和/或框圖和/或流圖中的框的組合。本技術(shù)領(lǐng)域技術(shù)人員可以理解，可以將這些計算機程序指令提供給通用計算機、專業(yè)計算機或其他可編程數(shù)據(jù)處理方法的處理器來實現(xiàn)，從而通過計算機或其他可編程數(shù)據(jù)處理方法的處理器來執(zhí)行本發(fā)明公開的結(jié)構(gòu)圖和/或框圖和/或流圖的框或多個框中指定的方案。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的步驟、措施、方案可以被交替、更改、組合或刪除。進一步地，具有本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的其他步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。進一步地，現(xiàn)有技術(shù)中的具有與本發(fā)明中公開的各種操作、方法、流程中的步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。

以上所述僅是本發(fā)明的部分實施方式，應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。