[发明专利]一种容器安全隔离方法、系统及介质在审
| 申请号: | 201910548532.1 | 申请日: | 2019-06-24 |
| 公开(公告)号: | CN110362382A | 公开(公告)日: | 2019-10-22 |
| 发明(设计)人: | 罗求;孙利杰;陈松政;刘文清;杨涛 | 申请(专利权)人: | 湖南麒麟信安科技有限公司 |
| 主分类号: | G06F9/455 | 分类号: | G06F9/455;G06F16/11;G06F21/53;G06F21/62 |
| 代理公司: | 湖南兆弘专利事务所(普通合伙) 43008 | 代理人: | 谭武艺 |
| 地址: | 410000 湖南省长*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 应用程序 宿主机 内核 安全隔离 安全容器 结果返回 系统调用 隔离性 用户态 运行时 拦截 容器应用程序 文件系统代理 应用程序加载 内存空间 容器效率 容器应用 直接访问 主机 应用 进程 保证 安全 | ||
1.一种容器安全隔离方法,其特征在于实施步骤包括,在容器调用安全容器运行时,创建用户态内核进程和文件系统代理进程,用户态内核拦截容器的应用程序的系统调用,完成系统调用的处理后将结果返回给容器的应用程序,使得容器的应用程序不能直接完成宿主机的系统调用;通过文件系统代理拦截容器的应用程序的IO操作,并在执行完成IO操作后将结果返回给容器的应用程序。
2.根据权利要求1所述的容器安全隔离方法,其特征在于:所述通过用户态内核拦截容器的应用程序的系统调用之后,还包括通过用户态内核拦截容器的应用程序的系统调用并对其进行过滤的步骤,如果发出系统调用的容器的应用程序被允许,则执行系统调用并将结果返回给容器的应用程序;如果发出系统调用的容器的应用程序不被允许,则拒绝完成系统调用且将结果返回给容器的应用程序。
3.根据权利要求1所述的容器安全隔离方法,其特征在于:所述通过文件系统拦截容器的应用程序的IO操作具体是指通过用户态内核将容器的应用程序的IO操作交给文件系统代理,且所述将结果返回给容器的应用程序具体是指通过用户态内核将结果返回给容器的应用程序。
4.一种容器安全隔离系统,包括计算机设备,其特征在于,该计算机设备被编程或配置以执行权利要求1~3中任意一项所述容器安全隔离方法的步骤。
5.一种容器安全隔离系统,包括计算机设备,其特征在于,该计算机设备的存储介质上存储有被编程或配置以执行权利要求1~3中任意一项所述容器安全隔离方法的计算机程序。
6.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有被编程或配置以执行权利要求1~3中任意一项所述容器安全隔离方法的计算机程序。
7.一种容器安全隔离系统,其特征在于包括:
用户态内核程序模块,用于通过用户态内核拦截容器的应用程序的系统调用,完成系统调用的处理后将结果返回给容器的应用程序,使得容器的应用程序不能直接完成宿主机的系统调用;
文件系统代理程序模块,用于通过文件系统代理拦截容器的应用程序的IO操作,并在执行完成IO操作后将结果返回给容器的应用程序。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于湖南麒麟信安科技有限公司,未经湖南麒麟信安科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910548532.1/1.html,转载请声明来源钻瓜专利网。
