基于容器的分级隔离保护方法、设备及介质技术

本发明专利技术公开了基于容器的分级隔离保护方法、设备及介质，该方法应用于容器平台，容器平台还包括服务分级管理服务和安全标签管理服务，服务分级管理服务用于标识安全等级，安全标签管理服务用于生成安全等级标签和验证安全等级标签，该方法包括：服务分级管理服务和安全标签管理服务对容器隔离运行环境资源对象打标；分别创建容器计算资源、容器存储资源和容器访问路径的隔离。本发明专利技术提升了容器平台上应用软件的数据分级隔离保护能力，可以有效保护应用数据的安全性。保护应用数据的安全性。保护应用数据的安全性。

【技术实现步骤摘要】
基于容器的分级隔离保护方法、设备及介质


[0001]本专利技术属于信息安全
，尤其涉及基于容器的分级隔离保护方法、设备及介质。

技术介绍

[0002]随着微服务和云原生架构被应用软件系统逐步采用，基于容器的应用软件广泛部署于云数据中心、边缘计算等场景，容器化的应用软件采集、存储、处理和传输多种多样的数据，产生了对数据提供分级保护能力的需求。
[0003]容器平台基于容器云技术为应用软件提供的计算、存储和网络资源，通过采用命名空间机制提供计算资源隔离；通过VxLAN机制提供网络资源隔离，网络资源隔离通常与命名空间保持一致；通过容器存储类和容器存储卷方式提供存储资源隔离，通常不同容器存储类可将数据分配至不同物理磁盘，并且不同存储类和存储卷均可设置不同的加密密钥。容器平台提供了通用的隔离能力，但是针对数据分级隔离保护要求，欠缺对以下能力的支持：
[0004]1.缺乏根据安全等级标识应用软件微服务的安全等级，进而控制和调度应用软件的容器化微服务，保证应用软件计算资源隔离性和网络资源隔离性；
[0005]2.缺乏根据安全等级标识存储类和存储卷的安全等级，以及缺乏根据安全等级匹配终端容器微服务和容器存储卷的关系，进而控制和调度应用软件的存储资源隔离性；
[0006]3.缺乏根据安全等级匹配终端和容器微服务的流量转发关系，控制和保证终端对应用软件的访问流量分级隔离。

技术实现思路

[0007]本专利技术的目的在于，为克服现有技术缺陷，提供了基于容器的分级隔离保护方法、设备及介质,本专利技术基于容器平台对容器命名空间、容器服务、容器存储类、容器存储卷资源对象的分配和管理机制，在此基础上研究了基于安全标签机制对容器命名空间、容器服务、容器存储类、容器存储卷进行打标和验标，并基于密钥管理机制对容器存储类、容器存储卷进行数据加密隔离保护，建立方法控制和调度容器命名空间、容器服务、容器存储类、容器存储卷资源对象，从技术上保证相应安全等级的应用软件能且仅能处理相应等级的数据，提高数据采集、处理、存储、传输过程中的安全性。
[0008]本专利技术目的通过下述技术方案来实现：
[0009]一种基于容器的分级隔离保护方法，所述方法应用于容器平台，所述容器平台还包括服务分级管理服务和安全标签管理服务，所述服务分级管理服务用于标识安全等级，所述安全标签管理服务用于生成安全等级标签和验证安全等级标签，所述方法包括：
[0010]所述服务分级管理服务和所述安全标签管理服务对容器隔离运行环境资源对象打标；
[0011]分别创建容器计算资源、容器存储资源和容器访问路径的隔离。
[0012]进一步的，所述容器隔离运行环境资源对象包括容器命名空间、容器服务、容器存储类、容器存储卷。
[0013]进一步的，创建容器计算资源的隔离具体包括：
[0014]服务分级管理服务解析应用模板内容，识别定义的具有唯一性的应用软件名称、定义的安全等级和定义的容器微服务；
[0015]服务分级管理服务根据具有唯一性的应用软件名称，向安全标签管理服务申请创建并获取命名空间安全标签NSL
‑
A；
[0016]服务分级管理服务根据具有唯一性的应用软件名称和安全等级，向容器平台申请创建命名空间NS
‑
A，并对新创建的命名空间打上所述安全标签NSL
‑
A来标识所述命名空间NS
‑
A；
[0017]服务分级管理服务向安全标签管理服务申请并获取生成微服务的安全标签APPL
‑
A；
[0018]服务分级管理服务根据具有唯一性的应用软件名称、安全等级，选择所述命名空间NS
‑
A，并在所述命名空间NS
‑
A创建容器微服务资源对象，并对新创建的容器微服务资源对象打上所述安全标签APPL
‑
A来标识容器微服务APP
‑
A及其资源。
[0019]进一步的，所述容器平台还包括存储分级管理服务和安全密钥管理服务，所述安全密钥管理服务用于安全密钥生成和密钥标识识别，所述存储分级管理服务用于对应用模板中存储资源对象进行预处理，根据安全等级自动创建对应安全等级的存储类，再在对应安全等级的存储类中自动分配对应安全等级的存储卷，并将存储卷关联至应用软件对应安全等级的容器微服务。
[0020]进一步的，创建容器存储资源的隔离包括继承密钥模式和独立密钥模式。
[0021]进一步的，
[0022]继承密钥模式下，创建容器存储资源的隔离包括：
[0023]服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL
‑
A、命名空间安全标签NSL
‑
A和容器存储资源对象内容传递给存储分级管理服务；
[0024]存储分级管理服务根据安全等级，向安全标签管理服务申请创建并获取安全标识SCL
‑
A；
[0025]存储分级管理服务根据安全等级，向安全密钥管理服务申请创建并获取安全密钥SK
‑
A；
[0026]存储分级管理服务根据安全等级，向容器平台查询是否存在相应安全等级的容器存储类，如果没有则申请创建容器存储类SC
‑
A，再将安全密钥SK
‑
A注入到容器存储类SC
‑
A，并对新创建的容器存储类打上安全标签SCL
‑
A来标识容器存储类SC
‑
A；
[0027]存储分级管理服务向安全标签管理服务申请并获取生成容器存储卷的安全标签SVL
‑
A；
[0028]存储分级管理服务根据安全等级和容器存储资源对象，选择匹配的容器存储类SC
‑
A，然后在该容器存储类中创建容器存储卷SV
‑
A和自动申请存储空间，并对新创建的容器存储资源对象打上安全标签SVL
‑
A来标识容器存储卷SV
‑
A，同时继承并加载容器存储类的安全密钥SK
‑
A，完成受隔离保护的容器存储资源的自动创建；
[0029]存储分级管理服务根据容器微服务安全标签APPL
‑
A，将创建容器存储卷SV
‑
A关联
并挂载至容器微服务安全标签APPL
‑
A所匹配的容器微服务APP
‑
A，容器微服务APP
‑
A隔离运行在命名空间安全标签NSL
‑
A所匹配的命名空间NS
‑
A中。
[0030]进一步的，独立密钥模式下，创建容器存储资源的隔离包括：
[0031]服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL
‑
A、命名空间安全标签NSL
‑
A、容器存储资源对象内容传递给存储分级管理服务；...

【技术保护点】

【技术特征摘要】
1.一种基于容器的分级隔离保护方法，所述方法应用于容器平台，其特征在于，所述容器平台还包括服务分级管理服务和安全标签管理服务，所述服务分级管理服务用于标识安全等级，所述安全标签管理服务用于生成安全等级标签和验证安全等级标签，所述方法包括：所述服务分级管理服务和所述安全标签管理服务对容器隔离运行环境资源对象打标；分别创建容器计算资源、容器存储资源和容器访问路径的隔离。2.如权利要求1所述的基于容器的分级隔离保护方法，其特征在于，所述容器隔离运行环境资源对象包括容器命名空间、容器服务、容器存储类、容器存储卷。3.如权利要求2所述的基于容器的分级隔离保护方法，其特征在于，创建容器计算资源的隔离具体包括：服务分级管理服务解析应用模板内容，识别定义的具有唯一性的应用软件名称、定义的安全等级和定义的容器微服务；服务分级管理服务根据具有唯一性的应用软件名称，向安全标签管理服务申请创建并获取命名空间安全标签NSL
‑
A；服务分级管理服务根据具有唯一性的应用软件名称和安全等级，向容器平台申请创建命名空间NS
‑
A，并对新创建的命名空间打上所述安全标签NSL
‑
A来标识所述命名空间NS
‑
A；服务分级管理服务向安全标签管理服务申请并获取生成微服务的安全标签APPL
‑
A；服务分级管理服务根据具有唯一性的应用软件名称、安全等级，选择所述命名空间NS
‑
A，并在所述命名空间NS
‑
A创建容器微服务资源对象，并对新创建的容器微服务资源对象打上所述安全标签APPL
‑
A来标识容器微服务APP
‑
A及其资源。4.如权利要求3所述的基于容器的分级隔离保护方法，其特征在于，所述容器平台还包括存储分级管理服务和安全密钥管理服务，所述安全密钥管理服务用于安全密钥生成和密钥标识识别，所述存储分级管理服务用于对应用模板中存储资源对象进行预处理，根据安全等级自动创建对应安全等级的存储类，再在对应安全等级的存储类中自动分配对应安全等级的存储卷，并将存储卷关联至应用软件对应安全等级的容器微服务。5.如权利要求4所述的基于容器的分级隔离保护方法，其特征在于，创建容器存储资源的隔离包括继承密钥模式和独立密钥模式。6.如权利要求5所述的基于容器的分级隔离保护方法，其特征在于，继承密钥模式下，创建容器存储资源的隔离包括：服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL
‑
A、命名空间安全标签NSL
‑
A和容器存储资源对象内容传递给存储分级管理服务；存储分级管理服务根据安全等级，向安全标签管理服务申请创建并获取安全标识SCL
‑
A；存储分级管理服务根据安全等级，向安全密钥管理服务申请创建并获取安全密钥SK
‑
A；存储分级管理服务根据安全等级，向容器平台查询是否存在相应安全等级的容器存储类，如果没有则申请创建容器存储类SC
‑
A，再将安全密钥SK
‑
A注入到容器存储类SC
‑
A，并对新创建的容器存储类打上安全标签SCL
‑
A来标识容器存储类SC
‑
A；存储分级管理服务向安全标签管理服务申请并获取生成容器存储卷的安全标签SVL
‑
A；存储分级管理服务根据安全等级和容器存储资源对象，选择匹配的容器存储类SC
‑
A，然后在该容器存储类中创建容器存储卷SV
‑
A和自动申请存储空间，并对新创建的容器存储资源对象打上安全标签SVL
‑
A来标识容器存储卷SV
‑
A，同时继承并加载容器存储类的安全密钥SK
‑
A，完成受隔离保护的容器存储资...

【专利技术属性】
技术研发人员：王进，何平，刘晓毅，唐晋，伍荣，钟易宏，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：