[发明专利]一种针对Docker容器内进程代码段完整性动态监测方法

说明书

本发明公开了一种针对Docker容器内进程代码段完整性动态监测方法，首先构建容器内进程代码段分页式动态度量子系统：通过在内核中加载虚拟字符设备实现对物理内存的操纵，以分页的方式实现对进程代码段的度量；再构建进程代码段完整性可信基础子系统：利用硬件TPM2.0模块实现动态度量值的存储，设计存储度量日志文件，根据日志信息区分出不同容器的同名文件；最后构建进程代码段完整性验证子系统：通过对进程对应ELF文件代码段进行分页式度量，构建完整性基准值库，进行动态度量的完整性验证。本发明能够完成对进程代码段的完整性度量，从程序运行时的角度实现对容器内应用的可信性评价，并且设计的存储度量日志能够区分不同容器的同名文件。

技术领域

本发明涉及虚拟化和可信计算技术领域，具体为一种针对Docker容器内进程代码段完整性动态监测方法。

背景技术

近年来，越来越多的企业和个人在公有云上部署其业务，云计算的安全问题也引发了更加广泛的关注。特别是以容器技术为核心的容器云，由于容器技术的共享内核和资源隔离强度较低的特性，面临更多的安全风险。在以虚拟机为主体的IaaS云计算平台中，以可信计算技术为主的目标系统可信性评价方案已经被大量研究和应用；但是在以容器为主体的云计算平台，因容器技术方兴未艾，针对容器云的可信性评价方案尚需进一步研究。

若考虑虚拟可信计算技术，为每个容器配置虚拟可信根，虽然可以实现一定程度的可信性评估，但是在容器云中单台服务器中的容器实例一般在几十个，如此会造成极大的性能损耗。也有学者基于可信计算组织(TCG，Trusted Computing Group)支持的完整性度量架构(IMA，Integrity Measurement Architecture)实现的评价方案，由于IMA已经是Linux的一个内核子系统，因此可以充分利用Linux的内核特性实现对文件和程序的完整性度量。但是IMA度量发生是在文件打开或者程序执行之前，不能实现对进程的监控；且IMA度量日志无法区分不同容器中的同名文件。另外，国内学者也提出了可信计算3.0技术，通过双系统的体系架构实现对计算机应用程序的主动度量，确保应用的可信启动，但其度量对象依旧是程序的静态文本数据。然而，以上方法中对完整性的度量时机均在程序加载进内存之前，度量的对象是静态文本数据，目前还缺乏对容器内程序运行时的可信性评价方案。

发明内容

针对上述问题，本发明的目的在于提供一种针对Docker容器内进程代码段完整性动态监测方法，通过在Linux内核中加载一个虚拟字符设备实现对进程代码段的完整性度量，从程序运行时的角度实现对容器内应用的可信性评价。技术方案如下：

一种针对Docker容器内进程代码段完整性动态监测方法，包括以下步骤：

步骤1：基于procfs的容器内进程代码段分页式动态度量

通过在内核中加载虚拟字符设备的方式实现代码段虚拟内存地址到物理内存地址的映射，利用Linux提供的进程数据接口procfs实现进程的虚拟地址映射信息和进程所对应的ELF文件的路径信息的获取，以分页的方式实现对进程代码段单个分页的度量；

步骤2：基于TPM2.0的进程代码段完整性可信基础构建

在TCG提出的链式信任构建方法基础上，利用硬件TPM2.0模块实现动态度量值的安全存储，设计存储度量日志文件，使得根据日志信息区分出不同容器的同名文件；

步骤3：进程代码段完整性的验证

首先通过对进程对应ELF文件代码段进行分页式度量，构建完整性基准值库，然后进行动态度量的完整性验证。

进一步的，所述步骤1具体为：

步骤1.1：根据.config配置文件中写入的需要被监控容器的ID或者名字，用户空间工具UserUtil从Docker守护进程中获取需要监控容器内进程的宿主PID和容器所属镜像名称image_name；