[发明专利]一种内核访问方法、装置和介质

说明书

本发明实施例公开了一种内核访问方法、装置和介质，拦截所有应用程序对系统内核的数据访问请求；检测各数据访问请求是否属于预设拦截范围；对于属于预设拦截范围的第一数据访问请求，则根据第一数据访问请求所对应的业务类型，调用相应的预设进程处理第一数据访问请求；对于不属于预设拦截范围的第二数据访问请求，则将第二数据访问请求传输至系统内核处理。数据访问请求所对应的操作可能会存在安全漏洞，如果直接执行对系统内核的访问，将会对系统内核的安全性造成威胁。在该技术方案中，通过拦截数据访问请求，将属于预设拦截范围的数据访问请求交由独立的预设进程处理，有效的避免了系统内核被非法攻击，保证了容器系统的安全性。

技术领域

本发明涉及系统安全技术领域，特别是涉及一种内核访问方法、装置和计算机可读存储介质。

背景技术

容器技术彻底改变了我们对应用程序进行开发、打包与部署的具体方式。然而，系统在与容器对接时仍会暴露出大量攻击面，因此相当一部分安全专家不建议在容器当中运行不受信任或潜在的恶意应用程序。

现有技术中为了实现在容器当中运行异构及低信任度的应用程序，对容器的隔离能力进行了改进，通过为每个容器提供属于自己的虚拟机，使得容器在其自有虚拟机中运行。在这种情况下，即使访客虚拟机当中存在漏洞，管理程序也仍能将其与主机以及同样运行在主机上的其它应用程序和容器隔离开来，从而保证容器的安全性。虚拟机虽然能提供良好的隔离性、兼容性，但需要占用较多的资源与空间。

可见，如何为容器提供高效安全又轻量化的保护，是本领域技术人员需要解决的问题。

发明内容

本发明实施例的目的是提供一种内核访问方法、装置和计算机可读存储介质，可以为容器提供高效安全又轻量化的保护。

为解决上述技术问题，本发明实施例提供一种内核访问方法，包括：

拦截所有应用程序对系统内核的数据访问请求；

检测各所述数据访问请求是否属于预设拦截范围；

对于属于预设拦截范围的第一数据访问请求，则根据所述第一数据访问请求所对应的业务类型，调用相应的预设进程处理所述第一数据访问请求；

对于不属于预设拦截范围的第二数据访问请求，则将所述第二数据访问请求传输至所述系统内核处理。

可选地，所述对于属于预设拦截范围的第一数据访问请求，则根据所述第一数据访问请求所对应的业务类型，调用相应的预设进程处理所述第一数据访问请求包括：

判断所述第一数据访问请求是否属于文件操作请求；

若否，则调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作；

若是，则调用预设的文件处理进程执行所述第一数据访问请求所对应的操作。

可选地，所述文件操作请求包括非内核proc文件操作请求、非内核tmp文件操作请求或者多应用程序互通操作请求。

可选地，所述对于属于预设拦截范围的第一数据访问请求，则根据所述第一数据访问请求所对应的业务类型，调用相应的预设进程处理所述第一数据访问请求包括：

调用基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作；

若执行失败，则将所述第一数据访问请求转发至预设的文件处理进程处理。

可选地，所述将所述第一数据访问请求转发至预设的文件处理进程处理包括：

当基于沙箱拦截的处理进程执行所述第一数据访问请求所对应的操作失败时，则通过9P连接将所述第一数据访问请求发送至所述文件处理进程，以便于所述文件处理进程执行所述第一数据访问请求所对应的操作。