一种安全容器及其设计方法
【专利说明】一种安全容器及其设计方法
[0001]
技术领域
[0002]本发明涉及信息安全技术领域,具体地说是一种安全容器,及其设计方法。
【背景技术】
[0003]随着Internet的发展,网络遍布到生活的每个角落,互联网、局域网都已经成为我们生活中重要的部分,网络的安全问题已经暴露出来。为了保证网络的安全,已经花费很多的精力建立网络安全体系,主要有VPN、防火墙、病毒检测等安全体系。如今,建立这些安全体系起到了很大的作用,但是这些安全体系仍旧没能彻底的解决网络信息安全问题。系统的安全问题原来并没有被关注,遗留很多隐患。例如:尽管用户安装了防病毒,然而PC还是会感染病毒,还是会中木马,受到黑客的攻击。
【发明内容】
[0004]本发明的技术任务是针对上述现有技术的不足,提供一种安全容器的设计方法。
[0005]本发明的技术任务是按以下方式实现的:一种安全容器,其特点是构建在一个操作系统中的安全区域,利用强制访问控制、资源隔离及可信度量三种机制使得一组进程运行所述区域内,这组进程只能对本区域的资源(CPU,内存等)进行访问,不能访问本区域外的资源,本区域外的进程也不能访问本区域内的资源,并且该区域的策略及区域内的应用均需进行可信度量。
[0006]作为优选,每一个容器所分配的系统资源可动态调整。
[0007]容器程序自身优选采用强制访问控制技术进行保护,使其他程序无法破坏容器程序的运行。
[0008]所述强制访问控制指:容器内的进程只能访问分配给这个容器的资源,而容器外部的程序无法对该容器进行攻击。所述强制访问控制指:容器内的进程只能访问分配给这个容器的资源,而容器外部的程序无法对该容器进行攻击。
[0009]所述资源隔离指:容器内的程序与容器外的程序被隔离在不同的命名空间里,相互之间互不干扰。
[0010]所述可信度量指:容器建立时,对每个容器自身配置及容器内相关的程序、文件进行基线收集,每一次容器启动时,对容器、程序、文件进行可信验证。
[0011]上述安全容器的设计方法包括:
(1)将需要保护的一个或多个应用程序或程序要访问的文件添加至安全容器,通过配置这些程序或文件的访问权限生成一系列策略,并为该容器指定所需的资源;
(2)初始化容器,自动分析并收集容器的配置、容器中程序的基线值;
(3)对容器进行可信验证,包括验证对象包括容器本身、容器内的文件;
(4)在容器创建和向空容器添加文件时生成其基线值,当修改安全策略时自动更新容器及文件的基线值,并且当删除容器或删除文件时自动删除其对应的基线值;
(5)当容器启动或容器内程序启动时,对容器和程序进行可信度量,如果可信验证失败,拒绝容器运行或其中的程序的运行,并给用户反馈度量报告,或仍然启动容器和程序,但提示当前容器不可信;
(6)利用Linux内核提供的Cgroup、NameSpace内核技术,对容器资源进行管理,实现对于容器内资源的隔离。
[0012]上述方法中,对容器进行可信验证时,所述容器本身包括容器程序、配置文件及安全策略;所述容器内的文件包括脚本文件、程序文件,及程序要访问的文件。
[0013]本发明所述安全容器实施时分为容器创建、策略管理及容器管理等几个步骤:
(I)创建容器
用户为容器自定义一个便于管理的形象的名称。用户操作创建安全容器,填写容器名称及描述该容器用途的摘要信息。创建空容器成功后自动生成该容器的基线值。选择期望放入该容器的应用程序(一个或多个)和程序要访问的文件;容器系统可自动分析应用程序如何访问它需要的文件,并根据分析结果配置应用程序对文件的恰当的访问权限,从而自动生成容器策略。与此同时,还会自动生成文件基线值。用户选择初始化容器,自动加载安全策略,构建安全域,即开始构建容器相关配置。
[0014](2)策略管理
当向运行中的容器添加或删除应用程序或文件时,容器会自动重新创建容器、应用程序及文件的基线值。默认状态容器内的程序对容器内的资源访问有所有权限,如果希望配置更加细粒度的权限来降低容器内程序被网络攻击的风险,如对某些配置文件只读,则用户可以进入高级配置模式,手工自修改、添加、删除容器的策略。容器程序自身会根据风险算法,为用户自动处理或提示用户配置。对于资源的动态管理,用户可以在任何时刻管理已经在运行中的容器的调整资源配置(CPU,内存,网络带宽等),不过调整资源会对容器内的正在运行中的应用程序造成影响,如减少物理内存分配可能会造成应用程序崩溃。在完成容器的安全策略配置、资源配置后,还可以导出或导入这些配置到文本文件中。此外,还可以通过容器管理界面或命令行的容器管理工具,管理安全容器内的应用程序,主要包括程序的启动、停止等
(3)容器管理
启用安全容器,在通过可信度量机制验证后,安全策略生效,资源分配生效,同时启动容器中的默认应用程序。如果用户在安全容器未通过可信验证时,仍然选择启动安全容器,则安全容器自动进行安全模式(进程功能受限)或监视模式(记录几乎所有进程操作),提示用户当前容器不可信。当停止安全容器的运行,此时,容器内的程序一般也会停止运行。无论安全容器处在已经启用、停止运行、正在创建等状态中,用户都可以删除安全容器。当删除(销毁)安全容器时,用户可选择停止容器内程序或者继续让程序运行。
[0015]与现有技术相比,本发明的安全容器同时运用强制访问控制、资源隔离及可信度量三种机制,能够从操作系统层面抵御针对网络中的各种攻击,例如APT攻击、Rootkit攻击等,彻底的解决网络信息安全问题。具体来说,具有以下特点:
(I)强制访问控制。即容器建立后,容器自身形成一个安全域,容器内的进程只能访问分配给这个容器的资源(CPU,内存等),而容器外部的程序无法对该容器进行攻击。容器内的程序感受不到容器外部或其它容器内的进程的存在,即使自身受到攻击,也不会影响到其他容器或者蔓延到容器外部。
[0016](2)资源隔离。容器内的程序与容器外的程序被隔离在不同的命名空间里,相互之间互不干扰,像CPU、内存等可系统资源一旦被分配到不同的容器中,不同容器中的程序对这些资源的使用互不影响。
[0017](3 )可信度量。容器建立时,会对每个容器自身配置及容器内相关的程序、文件等进行基线收集,每一次容器启动时,对容器、程序、文件等进行可信验证,只有通过可信验证的容器可以运行,而容器中的程序也只有通过可信验证才能运行。
[0018](4)资源动态管理。可以动态调整每一个容器所分配的系统资源(CPU,内存等)。
[0019](5)确保自身安全。容器程序自身采用强制访问控制技术进行保护,其他程序无法破坏容器程序的运行。
【附图说明】
[0020]附图1是本发明安全容器的原理图;
附图2是本发明安全容器的设计框架图。
【具体实施方