【技术实现步骤摘要】
容器运行时的可信安全防护方法、系统及存储介质
[0001]本专利技术涉及信息安全领域,尤其涉及一种容器运行时的可信安全防护方法
、
系统及存储介质
。
技术介绍
[0002]以容器技术为典型代表的轻量级虚拟化已日益普及,成为支撑云计算必不可少的技术
。
容器将其资源和相关依赖集成到宿主机的操作系统上,减少了传统虚拟机所需要的硬件模拟开销,这种更紧密的集成也增加了其攻击面,带来更多安全威胁
。
[0003]现有的容器可信技术主要用于保护容器镜像不被篡改,没有实现对容器运行时的可信防护,对新加入到容器内的程序和动态库也缺少有效的防护措施,安全性不高
。
技术实现思路
[0004]专利技术目的:本专利技术针对现有技术存在的问题,提供一种安全性更高的容器运行时的可信安全防护方法
、
系统及存储介质
。
[0005]技术方案:第一方面,本专利技术提供了一种容器运行时的可信安全防护方法,包括:
[0006]获取预设类型...
【技术保护点】
【技术特征摘要】
1.
一种容器运行时的可信安全防护方法,其特征在于,包括:获取预设类型的文件,并将该文件路径作为可信策略存入容器可信策略库;生成容器的可信控制文件,所述可信控制文件用于描述容器执行不可信数据操作时选择的安全防护行为;容器运行时若执行数据操作,则在内核模块中基于容器可信策略库查找被操作数据的路径是否存在可信策略,若是则放行,若否则根据可信控制文件执行对应安全防护行为,所述数据操作具体为对所述预设类型的文件的操作或程序
/
动态库操作
。2.
根据权利要求1所述的容器运行时的可信安全防护方法,其特征在于:所述预设类型的文件具体为:容器内类型为可执行可连接格式的文件和
/
或预设关键文件列表中的文件
。3.
根据权利要求1所述的容器运行时的可信安全防护方法,其特征在于:所述对所述预设类型的文件的操作包括预设类型的文件读取或预设类型的文件修改,所述程序
/
动态库操作具体为程序
/
动态库被内存映射
。4.
根据权利要求3所述的容器运行时的可信安全防护方法,其特征在于:所述可信策略还包括文件的标识,所述标识用于表征文件的唯一标识符,在执行文件读取时,若被读取文件的路径存在可信策略,则先计算被操作数据的标识,若标识与可信策略中的标识一致,则放行,若否则根据可信控制文件执行对应安全防护行为
。5.
根据权利要求1所述的容器运行时的可信安全防护方法,其特征在于:所述基于容器可信策略库查找被操作数据的路径是否存在可信策略,具体包括:获取被操作数据的路径,并采用被操作数据的路径在可信策略树中查找是否存在可信策略,其中,所述可信策略树为基于可信策略库生成的以容器为根节点
、
可信策略为叶子节点的树形结构
。6.
根据权利要求1所述的容器运行时的可信安全防护方法,其特征在于:所述根据可信控制文件执行对应安全防护行为,具体包括:若可信控制文件描述的容器执行不可信数据操作时选择的安全防护行为为告警,则产生告警信息;或者若可信控制文件描述的容器执行不可信数据操作时选择的安全防护行为为强制阻止,则产生告警信息,并阻止该数据操作
。7.
一种容器运行时的可信安全防护系统,其特征在于,包括:容器可...
【专利技术属性】
技术研发人员:吕小亮,祁龙云,刘苇,梅文明,陈登洲,杨维永,魏兴慎,孙连文,俞建业,李向南,孙柏颜,刘益敏,李科,杨康乐,徐志超,
申请(专利权)人:国网电力科学研究院有限公司国网江苏省电力有限公司电力科学研究院国网江苏省电力有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。