[发明专利]双系统的容器间安全策略隔离方法、电子设备及存储介质

权利要求书

1.一种双系统的容器间安全策略隔离方法，应用于具有至少一个容器的宿主机上，其特征在于，包括：

在宿主机启动过程中，判断最终隔离文件是否已存在，其中所述最终隔离文件是通过对所述宿主机和各容器各自对应的中间隔离文件编译生成的，所述宿主机和各所述容器各自对应的中间隔离文件是通过对所述宿主机和各所述容器的系统安全策略源文件编译生成的；

若所述最终隔离文件存在，则判断所述宿主机和各所述容器各自对应的所述中间隔离文件是否存在；

若所述中间隔离文件存在，则校验每个所述中间隔离文件；

若所有所述中间隔离文件均通过校验，则加载所述最终隔离文件；

若存在所述中间隔离文件未通过校验，则根据所述宿主机和各所述容器各自对应的所述中间隔离文件编译出新的所述最终隔离文件，并加载新的所述最终隔离文件；

启动系统安全策略，根据加载的所述最终隔离文件对所述宿主机和各所述容器进行隔离控制。

2.根据权利要求1所述的双系统的容器间安全策略隔离方法，其特征在于，

在判断出所述最终隔离文件不存在时，执行所述根据所述宿主机和各所述容器各自对应的所述中间隔离文件编译出新的所述最终隔离文件，并加载新的所述最终隔离文件的步骤。

3.根据权利要求1所述的双系统的容器间安全策略隔离方法，其特征在于，

所述校验每个所述中间隔离文件的步骤包括：

对于每个所述中间隔离文件，比较所述中间隔离文件的校验码与预先生成的校验码汇总文件中的对应的记录值是否一致；

若一致，则确定所述中间隔离文件通过校验。

4.根据权利要求3所述的双系统的容器间安全策略隔离方法，其特征在于，

若存在所述中间隔离文件未通过校验，则在加载新的所述最终隔离文件之前，还包括：

删除所述校验码汇总文件，根据所述宿主机和各所述容器各自对应的所述中间隔离文件生成新的校验码汇总文件；或

将所述中间隔离文件的校验码更新到所述校验码汇总文件中以覆盖对应的记录值。

5.根据权利要求3所述的双系统的容器间安全策略隔离方法，其特征在于，

所述比较所述中间隔离文件的校验码与预先生成的校验码汇总文件中的对应的记录值是否一致的步骤包括：

比较所述中间隔离文件的镜像文件中的校验码与所述校验码汇总文件中的对应的记录值是否一致，其中，所述中间隔离文件的镜像文件中的校验码是在预先编译所述宿主机和各容器的系统安全策略源文件生成所述中间隔离文件的过程中获得并写入所述镜像文件中的。

6.根据权利要求1所述的双系统的容器间安全策略隔离方法，其特征在于，

所述最终隔离文件为二进制格式的文件，所述中间隔离文件为文本格式的文件。

7.根据权利要求1所述的双系统的容器间安全策略隔离方法，其特征在于，

在判断出所述宿主机和各所述容器各自对应的所述中间隔离文件不存在时，则确定所述中间隔离文件被损坏，结束本次流程。

8.根据权利要求1所述的双系统的容器间安全策略隔离方法，其特征在于，

所述中间隔离文件是通过M4工具对所述宿主机和各所述容器的系统安全策略源文件预先进行编译后生成的；

所述最终隔离文件是通过secilc工具对所述宿主机和各所述容器各自对应的所述中间隔离文件进行编译生成的。

9.一种电子设备，其特征在于，包括：

存储器和处理器，所述存储器内存储有控制程序，所述控制程序被所述处理器执行时用于实现根据权利要求1-8中任一项所述的双系统的容器间安全策略隔离方法。

10.一种计算机的存储介质，其特征在于，所述存储介质存储有计算机程序代码，当所述计算机程序代码在计算设备上运行时，导致所述计算设备执行根据权利要求1-8中任一项所述的双系统的容器间安全策略隔离方法。