[发明专利]一种容器安全执行方法、设备及存储介质

说明书

本发明提出一种容器安全执行方法、设备及存储介质，其中方法包括：基于SGX建立主监控和多个子监控，并通过主监控和多个子监控对容器进行管理；响应于容器系统第一次启动，将所述容器系统的结构性文件进行完整性度量，计算所述容器系统的结构性文件的完整性度量值，并将所述完整性度量值作为所述容器系统的完整性度量基值保存到主监控。解决容器同一个Network Namespace中容器可以互相访问问题，解决容器之间隔离性问题，通过设置容器网络白名单，限制其他容器对运行时容器的访问能力，防止不可信容器的恶意攻击行为。解决容器运行时代码段、堆栈函数返回地址的完整性和合法性校验，防止容器运行时代码段被篡改、堆栈函数返回地址溢出等问题。

技术领域

本发明属于计算机领域，具体涉及一种容器安全执行方法、设备及存储介质。

背景技术

随着互联网技术和大数据的迅速发展，云计算技术成为目前主流的计算方式。越来越多的企业和用户选择云计算作为首要的计算和存储方式。其中，虚拟机和容器是云计算中两种主要的虚拟机技术。而容器技术是一种轻量级的虚拟化方案，是多个容器共享一个操作系统内核。在容器中包括了它依赖的系统环境以及所需要部署的应用，容器的大小一般只有几十到几百MB。在容器技术中，比较受企业欢迎的是Docker容器。Docker容器具有更快速的交互和部署、更高效的资源利用、更轻松的扩展和迁移、更简单的更新管理等优势。Docker可以将程序及相关依赖文件打包到一个可移植的容器中，然后可以在任何环境中进行发布。

随着Docker的快速发展，其安全问题受到广泛关注。通常，Docker是共享一个Linux内核，使得容器受到逃逸攻击。Docker镜像在下载、存储过程中可能遭到篡改、窃取；Docker容器在运行过程中可能遭到程序篡改、注入等完整性攻击。

现有技术方案只对Docker的全流程中的某一个环节进行保护。保护Docker镜像的安全，验证容器镜像的完整性，但是缺少对Docker下载后的存储的镜像完整性与官网的完整性值比对校验，同时缺少加密存储功能。容器对资源的使用采用Cgroup进行限制，但是缺乏整体的规划，可能造成某一个应用对于计算、内存、磁盘资源的过度使用，从而挤占共享主机内其他应用的资源，使其无法正常提供服务。同时现有技术，针对运行时程序进行完整性度量，一般采用TPM进行辅助，需要增加硬件成本。

发明内容

为解决以上问题，本发明提出一种容器安全执行方法，包括：

基于SGX建立主监控和多个子监控，并通过所述主监控和多个子监控对容器进行管理；

响应于容器系统第一次启动，将所述容器系统的结构性文件进行完整性度量，计算所述容器系统的结构性文件的完整性度量值，并将所述完整性度量值作为所述容器系统的完整性度量基值保存到主监控。

在本发明的一些实施方式中，通过所述主监控和多个子监控对容器进行管理包括：

主监控根据容器系统创建容器镜像管理树、容器应用树和子监控注册树。

在本发明的一些实施方式中，方法还包括：

响应于容器系统非第一次启动，所述主监控获取所述容器系统的结构性文件，对获取到的结构性文件进行完整性度量并计算对应的完整性度量值，并将计算得到的完整性度量值与所述主监控中所述容器系统的完整性度量基值进行一致性校验，响应于所述校验通过则允许所述容器系统运行。

在本发明的一些实施方式中，方法还包括：

从镜像仓库获取镜像完整性度量值，并将所述镜像完整性度量值作为镜像度量基值保存到所述镜像管理树；

从所述镜像仓库下载相应的镜像，并通过子监控或主监控计算所述镜像的完整性度量值，并将所述计算得到完整性度量值与镜像中包含的完整性度量值以及所述镜像管理树中的镜像度量基值进行一致性校验；