[发明专利]面向kata容器持久化数据保护方法及装置

说明书

本发明公开了面向kata容器持久化数据保护方法及装置，kata容器启动时，kata容器检查业务数据文件中的业务数据信息，确保业务数据文件中的业务数据信息均为加密数据；kata容器内读取业务数据文件时，kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块，使得解密模块对待读取的业务数据文件进行解密；kata容器内发生写业务数据到本地时，kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块，使得加密模块对待写到本地的业务数据进行加密，由kata容器将加密后的业务数据写到本地业务数据文件中。本发明能够实现容器内对业务数据透明加/解密，对容器内业务数据持久化保护能力有显著提高，减少业务信息泄露的风险。

技术领域

本发明属于容器安全技术领域，具体涉及一种面向kata容器持久化数据保护方法及装置。

背景技术

kata容器不需要共享主机的硬件资源和内核，每个kata容器运行在一个独立的虚拟机上，降低了主机的资源消耗和主机内核崩溃的风险，容器之间通过不同虚拟机进行隔离，从而解决了容器之间的安全性和隔离问题，相比传统的docker容器具有更高的安全性。

kata容器内业务数据本地持久化保存，采用指定宿主机存储目录共享给容器用于存储业务数据到本地，这种方式虽可以实现kata容器中的业务数据本地持久化存储，但存在容器内业务数据信息泄露的风险问题。如果单独对存储在本地的业务数据进行加密，则kata容器无法对加密的业务数据进行解密识别。

发明内容

针对上述问题，本发明提出一种面向kata容器持久化数据保护方法及装置，能够实现容器内对业务数据透明加/解密，对容器内业务数据持久化保护能力有显著提高，增强了容器数据安全性，减少了业务信息泄露的风险。

为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

第一方面，本发明提供了一种面向kata容器持久化数据保护方法，包括：

kata容器启动时，kata容器检查业务数据文件中的业务数据信息是否加密，并根据检查结果进行相应操作，确保业务数据文件中的业务数据信息均为加密数据；

kata容器内读取业务数据文件时，kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块，使得解密模块对待读取的业务数据文件进行解密；

kata容器内发生写业务数据到本地时，kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块，使得加密模块对待写到本地的业务数据进行加密，最终由kata容器将加密后的业务数据写到本地业务数据文件中。

可选地，所述根据检查结果进行相应操作，确保业务数据文件中的业务数据信息均为加密数据，具体为：

若检查结果为“未加密”，则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密，并接收和存储加密后业务数据信息。

可选地，所述加密模块和解密模块均使用国密SM4算法。

可选地，kata容器启动之前还包括：

kata容器接收用户发送的容器内业务数据文件类型配置指令，并根据接收到的指令在kata配置文件目录中单独创建一个配置文件，用于指定待加密文件路径和文件类型。

可选地，所述kata容器接收用户发送的容器内业务数据文件类型配置指令步骤之后还包括：

kata容器接收用户发送的指定宿主机存储目录，所述宿主机用于存储kata容器中的业务数据。

第二方面，本发明提供了一种面向kata容器持久化数据保护装置，包括：kata容器，以及kata容器对应的虚拟机内核中加密模块和解密模块；