[发明专利]一种针对内核数据的容器安全加固系统及方法

权利要求书

1.一种针对内核数据的容器安全加固方法，其步骤包括：

1)根据容器采用的内核安全机制，确定出关键内核数据并将其存储至安全区；其中所述安全区为系统内存中划分出的一块内存区域，该块内存区域设置为普通执行环境只读不可写、可信执行环境可读可写；

2)当内核在普通执行环境更新该安全区的数据时，因其不具有写权限而产生页表异常，异常处理函数中解析产生异常的指令，得到该内核更新操作所更新的数据地址以及需写入的数据内容并传入可信执行环境；

3)在可信执行环境内的数据更新模块基于设定的安全策略和传入的数据，允许或拒绝对安全区数据的更新操作。

2.如权利要求1所述的方法，其特征在于，基于容器在普通执行环境内采用的内核安全机制制定所述安全策略。

3.如权利要求1或2所述的方法，其特征在于，在普通执行环境中利用MMU设置该块内存区域的页表属性为只读不可写，在可信执行环境中利用TZASC硬件设置该块内存区域的访问属性为普通执行环境中只读不可写，可信执行环境中可读可写。

4.如权利要求1所述的方法，其特征在于，当内核需要读取安全区数据时，将指向安全区数据的指针值修改为解引用会产生异常的值。

5.如权利要求1所述的方法，其特征在于，所述安全策略还包括检查更新操作在普通执行环境的发起地址是否始终不变，用于抵御潜在恶意的并非由数据监测模块发起的更新操作；其中通过读取异常返回地址寄存器的值判断更新操作在普通执行环境的发起地址是否变化。

6.一种针对内核数据的容器安全加固系统，其特征在于，包括数据分析模块、数据集中模块、数据监测模块、数据更新模块和策略模块；其中，

数据分析模块，用于确定关键内核数据，即将容器所采用的内核安全机制进行策略判定时所使用的内核数据，作为关键内核数据；

数据集中模块，用于从系统内存中划分出一块内存区域，将该块内存区域设置为普通执行环境只读不可写、可信执行环境可读可写，将该块内存区域称为安全区；将所述关键内核数据分配至该安全区，并提供给内核继续使用；

数据监测模块，用于当内核更新该安全区的数据时，因其不具有写权限而产生页表异常，异常处理函数中解析产生异常的指令，得到该内核更新操作所更新的数据地址以及需写入的数据内容并传入可信执行环境；

数据更新模块，位于可信执行环境内，基于策略模块中的策略和数据监测模块传入的数据，允许或拒绝对安全区数据的更新操作；

策略模块，用于保存在可信环境中数据的更新策略。

7.如权利要求6所述的系统，其特征在于，所述内核安全机制包括用于资源隔离的namespaces机制，用于权限控制的capability、selinux、seccomp机制，用于资源限制的cgroup机制。

8.如权利要求6或7所述的系统，其特征在于，基于容器在普通执行环境内采用的内核安全机制制定所述安全策略。

9.如权利要求6所述的系统，其特征在于，当内核需要读取安全区数据时，所述数据监测模块将指向安全区数据的指针值修改为解引用会产生异常的值。

10.如权利要求6所述的系统，其特征在于，所述策略模块中的策略还包括检查更新操作在普通执行环境的发起地址是否始终不变，用于抵御潜在恶意的并非由数据监测模块发起的更新操作；其中通过读取异常返回地址寄存器的值判断更新操作在普通执行环境的发起地址是否变化。