【技术实现步骤摘要】
面向kata容器持久化数据保护方法及装置
本专利技术属于容器安全
,具体涉及一种面向kata容器持久化数据保护方法及装置。
技术介绍
kata容器不需要共享主机的硬件资源和内核,每个kata容器运行在一个独立的虚拟机上,降低了主机的资源消耗和主机内核崩溃的风险,容器之间通过不同虚拟机进行隔离,从而解决了容器之间的安全性和隔离问题,相比传统的docker容器具有更高的安全性。kata容器内业务数据本地持久化保存,采用指定宿主机存储目录共享给容器用于存储业务数据到本地,这种方式虽可以实现kata容器中的业务数据本地持久化存储,但存在容器内业务数据信息泄露的风险问题。如果单独对存储在本地的业务数据进行加密,则kata容器无法对加密的业务数据进行解密识别。
技术实现思路
针对上述问题,本专利技术提出一种面向kata容器持久化数据保护方法及装置,能够实现容器内对业务数据透明加/解密,对容器内业务数据持久化保护能力有显著提高,增强了容器数据安全性,减少了业务信息泄露的风险。为了实现上述技术目的,...
【技术保护点】
1.一种面向kata容器持久化数据保护方法,其特征在于,包括:/nkata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;/nkata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;/nkata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。/n
【技术特征摘要】
1.一种面向kata容器持久化数据保护方法,其特征在于,包括:
kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
2.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于:所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:
若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
3.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于:所述加密模块和解密模块均使用国密SM4算法。
4.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于:kata容器启动之前还包括:
kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型。
5.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于,所述kata容器接收用户发送的容器内业务数据文件类型配置指令步骤之后还包括:
kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的...
【专利技术属性】
技术研发人员:孙连文,张骞,潘恒,刘苇,祁龙云,丁晓玉,栾国强,吕小亮,杨维永,杨康乐,闫珺,魏兴慎,朱世顺,刘寅,李向南,孙柏颜,张鸿鹏,徐志超,胡天昊,
申请(专利权)人:南京南瑞信息通信科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。