[发明专利]一种容器安全执行方法、设备及存储介质

权利要求书

1.一种容器安全执行方法，其特征在于，包括：

基于SGX建立主监控和多个子监控，并通过所述主监控和多个子监控对容器进行管理；

响应于容器系统第一次启动，将所述容器系统的结构性文件进行完整性度量，计算所述容器系统的结构性文件的完整性度量值，并将所述完整性度量值作为所述容器系统的完整性度量基值保存到主监控。

2.根据权利要求1所述的方法，其特征在于，所述通过所述主监控和多个子监控对容器进行管理包括：

通过所述主监控根据容器系统创建容器镜像管理树、容器应用树和子监控注册树。

3.根据权利要求1所述的方法，其特征在于，还包括：

响应于容器系统非第一次启动，由所述主监控获取所述容器系统的结构性文件，对获取到的结构性文件进行完整性度量并计算对应的完整性度量值，并将计算得到的完整性度量值与所述主监控中所述容器系统的完整性度量基值进行一致性校验，响应于所述校验通过则允许所述容器系统运行。

4.根据权利要求2所述的方法，其特征在于，还包括：

从镜像仓库获取镜像完整性度量值，并将所述镜像完整性度量值作为镜像度量基值保存到所述容器镜像管理树；

从所述镜像仓库下载相应的镜像，并通过子监控或主监控计算所述镜像的完整性度量值，并将所述计算得到完整性度量值与镜像中包含的完整性度量值以及所述容器镜像管理树中的镜像度量基值进行一致性校验；

响应于所述一致性校验通过，由所述主监控根据所述容器特征生成派生密钥，通过所述派生密钥对所述镜像进行加密并保存到本地。

5.根据权利要求2所述的方法，其特征在于，还包括：

由主监控创建子监控，通过SGX的远程证明机制与所述子监控进行认证，并将所述子监控的ID和证明信息添加到所述子监控注册树，将所述子监控的ID添加到所述容器应用树上；

由所述子监控从所述主监控获取对应的容器的镜像的完整性度量值，并将所述容器的镜像的完整性度量基值写入所述子监控的容器信息结构中；

由所述子监控请求所述主监控对所述容器的镜像进行解密，并计算解密后的所述镜像的完整性度量值，并与写入所述子监控容器信息结构中的完整性度量基值、镜像中包含的完整性度量值进行一致性校验；

响应于所述一致性校验通过，由所述子监控管理所述容器的启动。

6.根据权利要求5所述的方法，其特征在于，由所述子监控管理所述容器的启动，包括：

由子监控根据所述容器预设的配置参数创建启动规则黑白名单，监控所述容器系统启动容器时传递的启动参数，并将所述启动参数与所述启动规则黑白名单中的规则进行匹配验证；

响应于所述验证匹配成功，由所述子监控则创建所述容器的资源限制信息并写入到所述容器信息结构中；以及

由所述子监控根据所述容器的安全要求创建通信规则黑白名单，并通过所述通信规则黑白名单限制所述容器的网络通信。

7.根据权利要求6所述的方法，其特征在于，还包括：

响应于检测到所述容器运行，由所述子监控通过所述通信规则黑白名单对所述容器中的应用进程以及容器进程的通信进行管理；

由所述子监控通过所述容器信息结构中资源限制信息对所述容器的资源访问行为进行管理。

8.根据权利要求2所述的方法，其特征在于，还包括：

子监控对容器进程载入的文件进行完整性度量计算并将计算结果作为完整性度量基值并保存到子监控的容器信息结构中；

响应于所述容器运行所述子监控对容器运行时进程载入的文件进行监控并进行完整性度量计算得到完整性度量值并与所述子监控的容器信息结构中的完整性度量基值进行一致性校验；

响应于所述一致性校验通过，则允许所述容器运行；以及

由所述子监控创建进程函数过滤器，对所述容器所有进程函数的返回地址进行过滤，响应于所述进程函数返回地址出现异常则将所述容器的进程或所述容器停止。