[发明专利]一种容器虚拟化安全加固装置及方法

权利要求书

1.一种容器虚拟化安全加固装置，其特征在于，包括：

运行在客户机非根模式中的容器；

运行在宿主机根模式中的底层操作系统模块和普通应用程序模块，所述底层操作系统模块装载一内核模块，所述内核模块用于激活处理器逻辑内核的硬件虚拟化；

所述内核模块在所述非根模式中植入一微内核，所述微内核用于管理所述容器使用到的内存和文件系统资源；其中，

所述容器与所述底层操作系统模块之间强制隔离，容器进程在运行过程中，执行任何的系统调用均由所述微内核进行处理，并且所述微内核不依赖所述底层操作系统模块对所述容器进程进行内存管理和进程调度。

2.根据权利要求1所述的容器虚拟化安全加固装置，其特征在于，所述微内核包括虚拟CPU核心和虚拟物理内存。

3.根据权利要求1或2所述的容器虚拟化安全加固装置，其特征在于，所述微内核对所述容器的管理包括：系统调用的处理、异常和中断的处理以及文件系统的挂载。

4.根据权利要求2所述的容器虚拟化安全加固装置，其特征在于，绑定每个所述虚拟CPU核心到所述宿主机的一个线程，并使所述容器的系统调用上下文为所述虚拟CPU核心所依附的底层操作系统的线程上下文。

5.根据权利要求1所述的容器虚拟化安全加固装置，其特征在于，所述微内核是采用非底层级语言编写。

6.根据权利要求1所述的容器虚拟化安全加固装置，其特征在于，所述微内核将所述容器中的文件与所述宿主机中的文件进行映射；和/或，将虚拟端口与底层操作系统的端口进行映射。

7.一种容器虚拟化安全加固方法，其特征在于，包括如下步骤：

将容器运行在客户机非根模式中；

底层操作系统和普通应用程序运行在宿主机根模式中，所述底层操作系统装载一内核模块，所述内核模块用于激活处理器逻辑内核的硬件虚拟化；

所述内核模块在所述非根模式中植入一微内核，所述微内核用于管理所述容器使用到的内存和文件系统资源，并使所述容器与所述底层操作系统之间形成强隔离，以及容器进程在运行过程中，执行任何的系统调用均由所述微内核进行处理，并且所述微内核不依赖所述底层操作系统对所述容器进程进行内存管理和进程调度。

8.根据权利要求7所述的容器虚拟化安全加固方法，其特征在于，所述微内核包括虚拟CPU核心和虚拟物理内存。

9.根据权利要求7或8所述的容器虚拟化安全加固方法，其特征在于，所述微内核对所述容器的管理包括：系统调用的处理、异常和中断的处理以及文件系统的挂载。

10.根据权利要求8所述的容器虚拟化安全加固方法，其特征在于，绑定每个所述虚拟CPU核心到所述宿主机的一个线程，并使所述容器的系统调用上下文为所述虚拟CPU核心所依附的底层操作系统的线程上下文。

11.根据权利要求7所述的容器虚拟化安全加固方法，其特征在于，所述微内核是采用非底层级语言编写。

12.根据权利要求7所述的容器虚拟化安全加固方法，其特征在于，所述微内核将所述容器中的文件与所述宿主机中的文件进行映射；和/或，将虚拟端口与底层操作系统的端口进行映射。