一種安全容器及其設(shè)計方法
【專利說明】一種安全容器及其設(shè)計方法
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體地說是一種安全容器，及其設(shè)計方法。
【背景技術(shù)】
[0003]隨著Internet的發(fā)展，網(wǎng)絡(luò)遍布到生活的每個角落，互聯(lián)網(wǎng)、局域網(wǎng)都已經(jīng)成為我們生活中重要的部分，網(wǎng)絡(luò)的安全問題已經(jīng)暴露出來。為了保證網(wǎng)絡(luò)的安全，已經(jīng)花費(fèi)很多的精力建立網(wǎng)絡(luò)安全體系，主要有VPN、防火墻、病毒檢測等安全體系。如今，建立這些安全體系起到了很大的作用，但是這些安全體系仍舊沒能徹底的解決網(wǎng)絡(luò)信息安全問題。系統(tǒng)的安全問題原來并沒有被關(guān)注，遺留很多隱患。例如:盡管用戶安裝了防病毒，然而PC還是會感染病毒，還是會中木馬，受到黑客的攻擊。

【發(fā)明內(nèi)容】

[0004]本發(fā)明的技術(shù)任務(wù)是針對上述現(xiàn)有技術(shù)的不足，提供一種安全容器的設(shè)計方法。
[0005]本發(fā)明的技術(shù)任務(wù)是按以下方式實現(xiàn)的:一種安全容器，其特點是構(gòu)建在一個操作系統(tǒng)中的安全區(qū)域，利用強(qiáng)制訪問控制、資源隔離及可信度量三種機(jī)制使得一組進(jìn)程運(yùn)行所述區(qū)域內(nèi)，這組進(jìn)程只能對本區(qū)域的資源(CPU，內(nèi)存等)進(jìn)行訪問，不能訪問本區(qū)域外的資源，本區(qū)域外的進(jìn)程也不能訪問本區(qū)域內(nèi)的資源，并且該區(qū)域的策略及區(qū)域內(nèi)的應(yīng)用均需進(jìn)行可信度量。
[0006]作為優(yōu)選，每一個容器所分配的系統(tǒng)資源可動態(tài)調(diào)整。
[0007]容器程序自身優(yōu)選采用強(qiáng)制訪問控制技術(shù)進(jìn)行保護(hù)，使其他程序無法破壞容器程序的運(yùn)行。
[0008]所述強(qiáng)制訪問控制指:容器內(nèi)的進(jìn)程只能訪問分配給這個容器的資源，而容器外部的程序無法對該容器進(jìn)行攻擊。所述強(qiáng)制訪問控制指:容器內(nèi)的進(jìn)程只能訪問分配給這個容器的資源，而容器外部的程序無法對該容器進(jìn)行攻擊。
[0009]所述資源隔離指:容器內(nèi)的程序與容器外的程序被隔離在不同的命名空間里，相互之間互不干擾。
[0010]所述可信度量指:容器建立時，對每個容器自身配置及容器內(nèi)相關(guān)的程序、文件進(jìn)行基線收集，每一次容器啟動時，對容器、程序、文件進(jìn)行可信驗證。
[0011]上述安全容器的設(shè)計方法包括:
(1)將需要保護(hù)的一個或多個應(yīng)用程序或程序要訪問的文件添加至安全容器，通過配置這些程序或文件的訪問權(quán)限生成一系列策略，并為該容器指定所需的資源；
(2)初始化容器，自動分析并收集容器的配置、容器中程序的基線值；
(3)對容器進(jìn)行可信驗證，包括驗證對象包括容器本身、容器內(nèi)的文件；
(4)在容器創(chuàng)建和向空容器添加文件時生成其基線值，當(dāng)修改安全策略時自動更新容器及文件的基線值，并且當(dāng)刪除容器或刪除文件時自動刪除其對應(yīng)的基線值；
(5)當(dāng)容器啟動或容器內(nèi)程序啟動時，對容器和程序進(jìn)行可信度量，如果可信驗證失敗，拒絕容器運(yùn)行或其中的程序的運(yùn)行，并給用戶反饋度量報告，或仍然啟動容器和程序，但提示當(dāng)前容器不可信；
(6)利用Linux內(nèi)核提供的Cgroup、NameSpace內(nèi)核技術(shù)，對容器資源進(jìn)行管理，實現(xiàn)對于容器內(nèi)資源的隔離。
[0012]上述方法中，對容器進(jìn)行可信驗證時，所述容器本身包括容器程序、配置文件及安全策略；所述容器內(nèi)的文件包括腳本文件、程序文件，及程序要訪問的文件。
[0013]本發(fā)明所述安全容器實施時分為容器創(chuàng)建、策略管理及容器管理等幾個步驟:
(I)創(chuàng)建容器
用戶為容器自定義一個便于管理的形象的名稱。用戶操作創(chuàng)建安全容器，填寫容器名稱及描述該容器用途的摘要信息。創(chuàng)建空容器成功后自動生成該容器的基線值。選擇期望放入該容器的應(yīng)用程序(一個或多個)和程序要訪問的文件；容器系統(tǒng)可自動分析應(yīng)用程序如何訪問它需要的文件，并根據(jù)分析結(jié)果配置應(yīng)用程序?qū)ξ募那‘?dāng)?shù)脑L問權(quán)限，從而自動生成容器策略。與此同時，還會自動生成文件基線值。用戶選擇初始化容器，自動加載安全策略，構(gòu)建安全域，即開始構(gòu)建容器相關(guān)配置。
[0014](2)策略管理
當(dāng)向運(yùn)行中的容器添加或刪除應(yīng)用程序或文件時，容器會自動重新創(chuàng)建容器、應(yīng)用程序及文件的基線值。默認(rèn)狀態(tài)容器內(nèi)的程序?qū)θ萜鲀?nèi)的資源訪問有所有權(quán)限，如果希望配置更加細(xì)粒度的權(quán)限來降低容器內(nèi)程序被網(wǎng)絡(luò)攻擊的風(fēng)險，如對某些配置文件只讀，則用戶可以進(jìn)入高級配置模式，手工自修改、添加、刪除容器的策略。容器程序自身會根據(jù)風(fēng)險算法，為用戶自動處理或提示用戶配置。對于資源的動態(tài)管理，用戶可以在任何時刻管理已經(jīng)在運(yùn)行中的容器的調(diào)整資源配置(CPU，內(nèi)存，網(wǎng)絡(luò)帶寬等)，不過調(diào)整資源會對容器內(nèi)的正在運(yùn)行中的應(yīng)用程序造成影響，如減少物理內(nèi)存分配可能會造成應(yīng)用程序崩潰。在完成容器的安全策略配置、資源配置后，還可以導(dǎo)出或?qū)脒@些配置到文本文件中。此外，還可以通過容器管理界面或命令行的容器管理工具，管理安全容器內(nèi)的應(yīng)用程序，主要包括程序的啟動、停止等
(3)容器管理
啟用安全容器，在通過可信度量機(jī)制驗證后，安全策略生效，資源分配生效，同時啟動容器中的默認(rèn)應(yīng)用程序。如果用戶在安全容器未通過可信驗證時，仍然選擇啟動安全容器，則安全容器自動進(jìn)行安全模式(進(jìn)程功能受限)或監(jiān)視模式(記錄幾乎所有進(jìn)程操作)，提示用戶當(dāng)前容器不可信。當(dāng)停止安全容器的運(yùn)行，此時，容器內(nèi)的程序一般也會停止運(yùn)行。無論安全容器處在已經(jīng)啟用、停止運(yùn)行、正在創(chuàng)建等狀態(tài)中，用戶都可以刪除安全容器。當(dāng)刪除(銷毀)安全容器時，用戶可選擇停止容器內(nèi)程序或者繼續(xù)讓程序運(yùn)行。
[0015]與現(xiàn)有技術(shù)相比，本發(fā)明的安全容器同時運(yùn)用強(qiáng)制訪問控制、資源隔離及可信度量三種機(jī)制，能夠從操作系統(tǒng)層面抵御針對網(wǎng)絡(luò)中的各種攻擊，例如APT攻擊、Rootkit攻擊等，徹底的解決網(wǎng)絡(luò)信息安全問題。具體來說，具有以下特點:
(I)強(qiáng)制訪問控制。即容器建立后，容器自身形成一個安全域，容器內(nèi)的進(jìn)程只能訪問分配給這個容器的資源(CPU，內(nèi)存等)，而容器外部的程序無法對該容器進(jìn)行攻擊。容器內(nèi)的程序感受不到容器外部或其它容器內(nèi)的進(jìn)程的存在，即使自身受到攻擊，也不會影響到其他容器或者蔓延到容器外部。
[0016](2)資源隔離。容器內(nèi)的程序與容器外的程序被隔離在不同的命名空間里，相互之間互不干擾，像CPU、內(nèi)存等可系統(tǒng)資源一旦被分配到不同的容器中，不同容器中的程序?qū)@些資源的使用互不影響。
[0017](3 )可信度量。容器建立時，會對每個容器自身配置及容器內(nèi)相關(guān)的程序、文件等進(jìn)行基線收集，每一次容器啟動時，對容器、程序、文件等進(jìn)行可信驗證，只有通過可信驗證的容器可以運(yùn)行，而容器中的程序也只有通過可信驗證才能運(yùn)行。
[0018](4)資源動態(tài)管理。可以動態(tài)調(diào)整每一個容器所分配的系統(tǒng)資源(CPU，內(nèi)存等)。
[0019](5)確保自身安全。容器程序自身采用強(qiáng)制訪問控制技術(shù)進(jìn)行保護(hù)，其他程序無法破壞容器程序的運(yùn)行。
【附圖說明】
[0020]附圖1是本發(fā)明安全容器的原理圖；
附圖2是本發(fā)明安全容器的設(shè)計框架圖。
【具體實施方