式】
[0021]参照说明书附图以具体实施例对本发明的安全容器及其设计方法作以下详细地说明。
[0022]实施例:
如附图1所示,本发明的安全容器利用强制访问控制、资源隔离及可信度量三种机制,使得将一组进程运行在一个区域内,这组进程只能对本区域的资源(CPU,内存等)进行访问,不能访问本区域外的资源,本区域外的进程也不能访问本区域内的资源,并且对该区域的策略及区域内的应用进行可信校验,根据校验结果做出不同的响应,这个区域即形成一个安全容器。
[0023]本发明的安全容器设计框架如附图2所示,首先将需要保护的一个或多个应用程序或程序要访问的文件添加至安全容器,通过配置这些程序或文件的访问权限生成一系列策略,并为该容器指定所需的资源(CPU、内存或网络等)。初始化容器时,自动分析并收集容器的配置、容器中程序的基线值。容器的可信度量即完整性检测机制进行可信验证,验证对象包括容器本身(容器程序、配置文件、安全策略等)、容器内的文件(脚本文件、程序文件,及程序要访问的文件)。容器的可信验证与容器内的文件的可信验证一起构成整个容器的可信验证。在容器创建和向空容器添加文件时生成其基线值,当修改安全策略时自动更新容器及文件的基线值,并且当删除容器或删除文件时自动删除其对应的基线值。当容器启动、容器内程序启动时,对容器和程序进行度量。如果验证失败,拒绝容器运行或其中的程序的运行,并给用户反馈度量报告,或仍然启动容器和程序,但提示当前容器不可信。对于容器内资源的隔离,使用了 Linux内核提供的Cgroup、NameSpace内核技术,对容器资源进行管理。
[0024]上述安全容器实施时分为以下几步:容器创建、策略管理、容器管理。
[0025](I)创建容器用户为容器自定义一个便于管理的形象的名称。用户操作创建安全容器,填写容器名称及描述该容器用途的摘要信息。创建空容器成功后自动生成该容器的基线值。选择期望放入该容器的应用程序(一个或多个)和程序要访问的文件;容器系统可自动分析应用程序如何访问它需要的文件,并根据分析结果配置应用程序对文件的恰当的访问权限,从而自动生成容器策略。与此同时,还会自动生成文件基线值。用户选择初始化容器,自动加载安全策略,构建安全域,即开始构建容器相关配置。
[0026](2)策略管理
当向运行中的容器添加或删除应用程序或文件时,容器会自动重新创建容器、应用程序及文件的基线值。默认状态容器内的程序对容器内的资源访问有所有权限,如果希望配置更加细粒度的权限来降低容器内程序被网络攻击的风险,如对某些配置文件只读,则用户可以进入高级配置模式,手工自修改、添加、删除容器的策略。容器程序自身会根据风险算法,为用户自动处理或提示用户配置。对于资源的动态管理,用户可以在任何时刻管理已经在运行中的容器的调整资源配置(CPU,内存,网络带宽等),不过调整资源会对容器内的正在运行中的应用程序造成影响,如减少物理内存分配可能会造成应用程序崩溃。在完成容器的安全策略配置、资源配置后,还可以导出或导入这些配置到文本文件中。此外,还可以通过容器管理界面或命令行的容器管理工具,管理安全容器内的应用程序,主要包括程序的启动、停止等
(3)容器管理
启用安全容器,在通过可信度量机制验证后,安全策略生效,资源分配生效,同时启动容器中的默认应用程序。如果用户在安全容器未通过可信验证时,仍然选择启动安全容器,则安全容器自动进行安全模式(进程功能受限)或监视模式(记录几乎所有进程操作),提示用户当前容器不可信。当停止安全容器的运行,此时,容器内的程序一般也会停止运行。无论安全容器处在已经启用、停止运行、正在创建等状态中,用户都可以删除安全容器。当删除(销毁)安全容器时,用户可选择停止容器内程序或者继续让程序运行。
【主权项】
1.一种安全容器,其特征在于:所述安全容器为构建在一个操作系统中的安全区域,利用强制访问控制、资源隔离及可信度量三种机制使得一组进程运行在所述区域内,这组进程只能对本区域的资源进行访问,不能访问本区域外的资源,本区域外的进程也不能访问本区域内的资源,并且该区域的策略及区域内的应用均需进行可信度量。
2.根据权利要求1所述的安全容器,其特征在于,每一个容器所分配的系统资源可动态调整。
3.根据权利要求1或2所述的安全容器,其特征在于,容器程序自身采用强制访问控制技术进行保护。
4.根据权利要求3所述的安全容器,其特征在于,所述强制访问控制指:容器内的进程只能访问分配给这个容器的资源,而容器外部的程序无法对该容器进行攻击。
5.根据权利要求3所述的安全容器,其特征在于,所述资源隔离指:容器内的程序与容器外的程序被隔离在不同的命名空间里,相互之间互不干扰。
6.根据权利要求3所述的安全容器,其特征在于,所述可信度量指:容器建立时,对每个容器自身配置及容器内相关的程序、文件进行基线收集,每一次容器启动时,对容器、程序、文件进行可信验证。
7.权利要求1所述的安全容器的设计方法,其特征在于包括以下步骤: (1)将需要保护的一个或多个应用程序或程序要访问的文件添加至安全容器,通过配置这些程序或文件的访问权限生成一系列策略,并为该容器指定所需的资源; (2)初始化容器,自动分析并收集容器的配置、容器中程序的基线值; (3)对容器进行可信验证,包括验证对象包括容器本身、容器内的文件; (4)在容器创建和向空容器添加文件时生成其基线值,当修改安全策略时自动更新容器及文件的基线值,并且当删除容器或删除文件时自动删除其对应的基线值; (5)当容器启动或容器内程序启动时,对容器和程序进行可信度量,如果可信验证失败,拒绝容器运行或其中的程序的运行,并给用户反馈度量报告,或仍然启动容器和程序,但提示当前容器不可信; (6)利用Linux内核提供的Cgroup、NameSpace内核技术,对容器资源进行管理,实现对于容器内资源的隔离。
8.根据权利要求7所述的安全容器的设计方法,其特征在于对容器进行可信验证时,所述容器本身包括容器程序、配置文件及安全策略;所述容器内的文件包括脚本文件、程序文件,及程序要访问的文件。
【专利摘要】本发明公开了一种安全容器及其设计方法,属于信息安全技术领域。所述安全容器为构建在一个操作系统中的安全区域,利用强制访问控制、资源隔离及可信度量三种机制使得一组进程运行在所述区域内,这组进程只能对区域的资源进行访问,不能访问区域外的资源,区域外的进程也不能访问区域内的资源,并且该区域的策略及区域内的应用均需进行可信度量。与现有技术相比,发明的安全容器能够从操作系统层面抵御针对网络中的各种攻击,彻底的解决网络信息安全问题,具有很好的推广应用价值。
【IPC分类】G06F21-53
【公开号】CN104573507
【申请号】CN201510059684
【发明人】赵媛
【申请人】浪潮电子信息产业股份有限公司
【公开日】2015年4月29日
【申请日】2015年2月5日