[发明专利]智能终端容器安全策略动态变更的方法、装置及电子设备

说明书

本发明实施例涉及智能终端容器安全策略动态变更的方法、装置及电子设备，包括：容器启动器附加模块配置在容器启动器中，用于当启动器启动时，检查容器内可执行程序符合表，用以挂载安全策略动态变更模块到容器内；安全策略动态加载模块，用于接收安全策略变更指令，根据安全策略变更指令，对安全策略动态变更模块所在位置中的对应安全策略配置进行修改，并向安全策略动态变更模块下发安全策略重载指令；安全策略动态变更模块，用于接收安全策略重载指令，及读取的所在位置中的对应安全策略配置，并基于安全策略重载指令和安全策略配置，实现安全策略重载。可用于零信任等需要根据对容器内应用程序行为的实时监测结果改变其安全策略配置的场合。

技术领域

本发明实施例涉及信息安全技术领域，尤其涉及一种智能终端容器安全策略动态变更的方法、装置及电子设备。

背景技术

以Docker为代表的容器技术是一种轻量级的云计算技术，它利用Linux的namespace、cgroup等资源隔离技术，在共享Linux内核的前提下划分出多个独立的、互相隔离的用户态空间(即容器)，方便不同版本、不同依赖环境的应用程序在同一台主机上快速部署。容器技术本质上是应用程序的启动器，通过容器启动器，容器管理程序可以配置指定应用程序的各种用户态环境(包括namespace、cgroup、各种安全策略等)，最后再将指定应用程序加载到配置好的环境中并将进程控制权转交给应用程序，容器启动器自身退出执行。

与虚拟机技术相比，容器技术令容器内运行的应用程序可直接与主机操作系统内核进行通信，使从而令攻击者更容易地对主机操作系统内核进行攻击。

为防止应用程序潜在的漏洞被攻击者利用，一种常见的思路是由应用程序开发者自行限制应用程序所用到的功能，通过在应用程序自身初始化阶段，主动调用相关基于安全策略的权限限制技术(如Linux内核下的seccomp、capabilities等具体技术)，主动向操作系统内核申明应用程序不会使用哪些权限，从而防止攻击者在获得了应用程序执行流控制权后访问危险系统调。出于安全性考虑，此类基于安全策略的权限限制技术一般无法由应用程序外部实施安全策略变更(不存在此类系统调用接口或工具)，而只能由应用程序开发者通过开发相应代码实施安全策略变更。

在应用程序开发者未主动调用相关基于安全策略的权限限制技术，容器技术的开发商提供了一定的补救措施，通过容器启动器可以一次性地对容器启动器将要启动的首个应用程序进程进行基于安全策略的权限限制，从而达到有限度地附加式使用基于安全策略的权限限制技术的目的。

目前容器技术所用的有限度地附加式使用的限制在于：1)只能对安全策略进行一次性配置，由于后续进程控制权被转交给应用程序，所以容器管理程序和容器启动器无法继续对安全策略进行修改；2)同样由于后续进程控制权被转交给应用程序，由应用程序调用的其他应用程序只能继承父进程的安全策略，而无法使用不同的安全策略。

发明内容

本申请提供了一种智能终端安全策略动态变更的方法、装置及电子设备，以解决现有技术中的上述任一技术问题。

第一方面，本申请提供了一种智能终端安全策略动态变更的装置，所述装置包括：容器启动器附加流程模块、安全策略动态加载模块及安全策略动态变更模块；

所述容器启动器附加模块配置在容器启动器中，用于当启动器启动时，检查容器内可执行程序符合表，用以挂载所述安全策略动态变更模块到容器内；

所述安全策略动态加载模块，用于接收安全策略变更指令，并根据所述安全策略变更指令，对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改，并向所述安全策略动态变更模块下发安全策略重载指令；

所述安全策略动态变更模块，用于接收所述安全策略重载指令，及读取的所在位置中的对应安全策略配置，并基于所述安全策略重载指令和所述安全策略配置，实现安全策略重载。