[发明专利]安全控制方法、安全控制系统、安全控制装置及存储介质在审
申请号: | 201911048464.9 | 申请日: | 2019-10-31 |
公开(公告)号: | CN112749393A | 公开(公告)日: | 2021-05-04 |
发明(设计)人: | 何明;刘国荣;沈军;金华敏;汪来富;樊宁;吴国威;王海燚;蒋春元 | 申请(专利权)人: | 中国电信股份有限公司 |
主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/50 |
代理公司: | 中国贸促会专利商标事务所有限公司 11038 | 代理人: | 许海兰 |
地址: | 100033 *** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 安全 控制 方法 控制系统 装置 存储 介质 | ||
本发明涉及用于容器系统调用的安全控制方法、安全控制系统、安全控制装置以及计算机可读存储介质,其中具备:分析步骤(S403),针对一个以上的容器的每一个,对容器的系统调用行为进行统计和分析,以确定是否允许所述容器对该容器请求调用的系统调用命令进行调用;以及更新步骤(S405),根据所述分析步骤的分析结果,更新与所述容器相关联的系统调用名单。根据本发明,能够针对每个容器精细化地提供系统调用权限,降低操作系统级内核遭受攻击的安全风险。
技术领域
本发明涉及安全领域,特别涉及用于容器系统调用的安全控制方法、安全控制系统、安全控制装置以及计算机可读存储介质。
背景技术
近年来,随着云计算的发展,为了满足实践敏捷开发的要求,基于云原生技术(Cloud-Native)的云原生应用以及作为用于构建和运行云原生应用的平台的云原生平台逐渐发展起来。在此,云原生平台采用开源堆栈进行容器化,基于微服务架构提高灵活性和可维护性,借助敏捷方法、通过DevOps(开发和运维)支持持续迭代和运维自动化,利用云平台设施来实现弹性伸缩、动态调度、优化资源利用率。其中,基于容器的微服务架构是云原生平台的重要实现技术之一,容器(container)将一个应用程序需要的库、资源、环境变量等完整运行环境封装,并且通过操作系统内核的系统调用来实现对容器外部资源的访问。
特别地,在Linux环境下,有超过330个可用的系统调用(步骤System call),这些系统调用直接暴露给用户态容器。但是,一般而言,容器只需40~70个系统调用,其类型和数量相对比较固定,所以大部分系统调用对于容器而言是不需要的,如果不对这些不需要的系统调用进行控制,则可能会由于漏洞的存在、不安全的代码滥用等原因而导致遭受操作系统级内核攻击,存在安全风险较高的安全问题。
为此,Linux内核从2.6.23版本开始引入seccomp(步骤Secure computing)安全机制。seccomp安全机制能够通过定义系统调用权限控制列表来实现对系统调用的权限控制,例如,能够使容器进入到只能调用4种系统调用(system call)的安全运行模式,在该安全运行模式下,容器仅被允许调用read()、write()、exit()和sigreturn(),否则调用便会被终止。但是另一方面,由于不同的容器需要的系统调用不同,所以难以人工预先针对不同的容器确定其需要的系统调用权限,而难以建立对应的系统调用权限控制列表。因此,在现有技术中,仅仅是针对所有容器的系统调用定义了一个统一应用的非常粗略的全局权限控制列表,所以无法针对每个不同的容器实现精细化的最小授权的系统调用权限控制,针对容器的系统调用无法进行个性化细粒度控制。因此,存在一方面有的容器无法顺利调用自身所需的系统调用,另一方面有的容器有机会调用自身不需要的系统调用的问题,所以在容器的系统调用安全控制中不仅存在较大的进一步优化的空间,还存在较大的安全风险。
发明内容
本发明的目的在于提供一种针对每个容器精细化地进行系统调用的权限控制以降低操作系统级内核遭受攻击的安全风险的、用于容器系统调用的安全控制方法、安全控制系统、安全控制装置及计算机可读存储介质。
根据本公开的一个方面,提供一种安全控制方法,其特征在于,具备:分析步骤,针对一个以上的容器的每一个,对容器的系统调用行为进行统计和分析,以确定是否允许所述容器对该容器请求调用的系统调用命令进行调用;以及更新步骤,根据所述分析步骤的分析结果,更新与所述容器相关联的系统调用名单。
根据本公开的另一方面,提供一种安全控制系统,其特征在于,具备:一个以上的处理器;以及存储器,其上存储有计算机可执行指令,所述指令在由所述处理器执行时,使得所述处理器执行上述安全控制方法。
根据本公开的另一方面,提供一种安全控制装置,其特征在于,具备用于上述安全控制方法的模块。
根据本公开的另一方面,提供一种计算机可读存储介质,其特征在于,包括计算机可执行指令,所述指令在由一个以上的处理器执行时,使得所述处理器执行上述安全控制方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电信股份有限公司,未经中国电信股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911048464.9/2.html,转载请声明来源钻瓜专利网。