本发明专利技术实施例公开了一种内核访问方法、装置和介质,拦截所有应用程序对系统内核的数据访问请求;检测各数据访问请求是否属于预设拦截范围;对于属于预设拦截范围的第一数据访问请求,则根据第一数据访问请求所对应的业务类型,调用相应的预设进程处理第一数据访问请求;对于不属于预设拦截范围的第二数据访问请求,则将第二数据访问请求传输至系统内核处理。数据访问请求所对应的操作可能会存在安全漏洞,如果直接执行对系统内核的访问,将会对系统内核的安全性造成威胁。在该技术方案中,通过拦截数据访问请求,将属于预设拦截范围的数据访问请求交由独立的预设进程处理,有效的避免了系统内核被非法攻击,保证了容器系统的安全性。
A kernel access method, device and media
【技术实现步骤摘要】
一种内核访问方法、装置和介质
本专利技术涉及系统安全
,特别是涉及一种内核访问方法、装置和计算机可读存储介质。
技术介绍
容器技术彻底改变了我们对应用程序进行开发、打包与部署的具体方式。然而,系统在与容器对接时仍会暴露出大量攻击面,因此相当一部分安全专家不建议在容器当中运行不受信任或潜在的恶意应用程序。现有技术中为了实现在容器当中运行异构及低信任度的应用程序,对容器的隔离能力进行了改进,通过为每个容器提供属于自己的虚拟机,使得容器在其自有虚拟机中运行。在这种情况下,即使访客虚拟机当中存在漏洞,管理程序也仍能将其与主机以及同样运行在主机上的其它应用程序和容器隔离开来,从而保证容器的安全性。虚拟机虽然能提供良好的隔离性、兼容性,但需要占用较多的资源与空间。可见,如何为容器提供高效安全又轻量化的保护,是本领域技术人员需要解决的问题。
技术实现思路
本专利技术实施例的目的是提供一种内核访问方法、装置和计算机可读存储介质,可以为容器提供高效安全又轻量化的保护。为解决上述技术问题,本专利技术实施例提供一种内核访问方法,包括:拦截所有应用程序对系统内核的数据访问请求;检测各所述数据访问请求是否属于预设拦截范围;对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求;对于不属于预设拦截范围的第二数据访问请求,则将所述第二数据访问请求传输至所述系统内核处理。可选地,所述对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求包括:判断所述第一数据访问请求是否属于文件操作请求;若否,则调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作;若是,则调用预设的文件处理进程执行所述第一数据访问请求所对应的操作。可选地,所述文件操作请求包括非内核proc文件操作请求、非内核tmp文件操作请求或者多应用程序互通操作请求。可选地,所述对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求包括:调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作;若执行失败,则将所述第一数据访问请求转发至预设的文件处理进程处理。可选地,所述将所述第一数据访问请求转发至预设的文件处理进程处理包括:当基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作失败时,则通过9P连接将所述第一数据访问请求发送至所述文件处理进程,以便于所述文件处理进程执行所述第一数据访问请求所对应的操作。本专利技术实施例还提供了一种内核访问装置,包括拦截单元、检测单元、第一处理单元和第二处理单元;所述拦截单元,用于拦截所有应用程序对系统内核的数据访问请求;所述检测单元,用于检测各所述数据访问请求是否属于预设拦截范围;所述第一处理单元,用于对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求;所述第二处理单元,用于对于不属于预设拦截范围的第二数据访问请求,则将所述第二数据访问请求传输至所述系统内核处理。可选地,所述第一处理单元包括判断子单元、第一调用子单元和第二调用子单元;判断子单元判断所述第一数据访问请求是否属于文件操作请求;若否,则触发所述第一调用子单元;若是,则触发所述第二调用子单元;所述第一调用子单元,用于调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作;所述第二调用子单元调用预设的文件处理进程执行所述第一数据访问请求所对应的操作。可选地,所述文件操作请求包括非内核proc文件操作请求、非内核tmp文件操作请求或者多应用程序互通操作请求。可选地,所述第一处理单元包括执行子单元和转发子单元;所述执行子单元,用于调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作;所述转发子单元,用于当调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作失败时,则将所述第一数据访问请求转发至预设的文件处理进程处理。可选地,所述触发文件处理进程执行所述第一数据访问请求所对应的操作包括:当基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作失败时,则通过9P连接将所述第一数据访问请求发送至所述文件处理进程,以便于所述文件处理进程执行所述第一数据访问请求所对应的操作。本专利技术实施例还提供了一种内核访问装置,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现如上述任意一项所述内核访问方法的步骤。本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述内核访问方法的步骤。由上述技术方案可以看出,拦截所有应用程序对系统内核的数据访问请求;检测各所述数据访问请求是否属于预设拦截范围;对于属于预设拦截范围的第一数据访问请求,则根据第一数据访问请求所对应的业务类型,调用相应的预设进程处理第一数据访问请求;对于不属于预设拦截范围的第二数据访问请求,则说明该数据访问请求所对应的操作必须依赖于系统内核实现,此时可以将第二数据访问请求传输至系统内核处理。数据访问请求所对应的操作可能会存在安全漏洞,如果直接执行对系统内核的访问,将会对系统内核的安全性造成威胁。在该技术方案中,通过拦截数据访问请求,将属于预设拦截范围的数据访问请求交由独立的预设进程处理,有效的避免了系统内核被非法攻击,保证了容器系统的安全性。附图说明为了更清楚地说明本专利技术实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种内核访问方法的流程图;图2为本专利技术实施例提供的一种内核访问装置的结构示意图;图3为本专利技术实施例提供的一种内核访问装置的硬件结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本专利技术保护范围。为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。现有技术中采用部署虚拟机的方式,为每个容器提供属于自己的虚拟机,各虚拟机相互独立,即使访客虚拟机当中存在漏洞,管理程序也仍能将其与主机以及同样运行在主机上的其它应用程序/容器隔离开来,从而提升容器系统的安全性。但是部署虚拟机需要本文档来自技高网...
【技术保护点】
1.一种内核访问方法,其特征在于,包括:/n拦截所有应用程序对系统内核的数据访问请求;/n检测各所述数据访问请求是否属于预设拦截范围;/n对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求;/n对于不属于预设拦截范围的第二数据访问请求,则将所述第二数据访问请求传输至所述系统内核处理。/n
【技术特征摘要】
1.一种内核访问方法,其特征在于,包括:
拦截所有应用程序对系统内核的数据访问请求;
检测各所述数据访问请求是否属于预设拦截范围;
对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求;
对于不属于预设拦截范围的第二数据访问请求,则将所述第二数据访问请求传输至所述系统内核处理。
2.根据权利要求1所述的方法,其特征在于,所述对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求包括:
判断所述第一数据访问请求是否属于文件操作请求;
若否,则调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作;
若是,则调用预设的文件处理进程执行所述第一数据访问请求所对应的操作。
3.根据权利要求2所述的方法,其特征在于,所述文件操作请求包括非内核proc文件操作请求、非内核tmp文件操作请求或者多应用程序互通操作请求。
4.根据权利要求1所述的方法,其特征在于,所述对于属于预设拦截范围的第一数据访问请求,则根据所述第一数据访问请求所对应的业务类型,调用相应的预设进程处理所述第一数据访问请求包括:
调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作;
若执行失败,则将所述第一数据访问请求转发至预设的文件处理进程处理。
5.根据权利要求4所述的方法,其特征在于,所述将所述第一数据访问请求转发至预设的文件处理进程处理包括:
当基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作失败时,则通过9P连接将所述第一数据访问请求发送至所述文件处理进程,以便于所述文件处理进程执行所述第一数据访问请求所对应的操作。
6.一种内核访...
【专利技术属性】
技术研发人员:华飞君,
申请(专利权)人:浪潮商用机器有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。