[发明专利]一种容器安全保护方法和电子设备

说明书

本发明实施例公开了一种容器安全保护方法和电子设备。所述容器安全保护方法应用于容器安全保护装置中，所述方法包括：在基本输入输出系统(BIOS)上电启动后，启动操作系统及启动所述容器安全保护装置，所述容器安全保护装置至少包括用于对应用容器引擎进行度量的文件系统度量模块；在应用容器引擎首次启动时，所述文件系统度量模块对所述应用容器引擎的可执行文件和配置文件进行度量，获得第一度量结果；间隔预设时长后，所述文件系统度量模块再次对所述应用容器引擎的可执行文件和配置文件进行度量，获得第二度量结果；比较所述第一度量结果和所述第二度量结果是否一致，根据比较结果确定所述应用容器引擎是否被篡改。

技术领域

本发明涉及互联网技术，具体涉及一种容器安全保护方法和电子设备。

背景技术

容器是一种轻量化的操作系统级别虚拟化技术。目前对于容器安全的防护方案，有一种实现方式是，通过将应用容器(Docker)引擎及其可执行程序建立在主机操作系统之上，当监控到Docker获取到新镜像文件时进行度量，产生镜像的基准哈希(hash)值，并当用户发出启动应用容器时，对应用容器的镜像再进行度量，通过比较两次度量结果，判断容器是否可以启动。实际中两次度量结果往往是相同的，起不到完整性度量的作用。

发明内容

为解决现有存在的技术问题，本发明实施例提供一种容器安全保护方法和电子设备。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种容器安全保护方法，所述容器安全保护方法应用于容器安全保护装置中，所述方法包括：

在基本输入输出系统(BIOS，Basic Input Output System)上电启动后，启动操作系统及启动所述容器安全保护装置；所述容器安全保护装置至少包括用于对应用容器引擎进行度量的文件系统度量模块；

在应用容器引擎首次启动时，所述文件系统度量模块对所述应用容器引擎的可执行文件和配置文件进行度量，获得第一度量结果；

间隔预设时长后，所述文件系统度量模块再次对所述应用容器引擎的可执行文件和配置文件进行度量，获得第二度量结果；

比较所述第一度量结果和所述第二度量结果是否一致，根据比较结果确定所述应用容器引擎是否被篡改。

上述方案中，对所述应用容器引擎的可执行文件和配置文件进行度量，包括：获取所述应用容器引擎的可执行文件和配置文件的以下信息的至少之一：版本信息、开启的服务、开放的端口；基于所述版本信息、开启的服务和开放的端口中的至少一种信息确定哈希值，基于所述哈希值获得所述第一度量结果或所述第二度量结果。

上述方案中，所述方法还包括：启动所述容器安全保护装置后，启动应用容器引擎，获取镜像文件；所述文件系统度量模块基于所述镜像文件确定度量值，以及获得基准测量值；所述基准度量值基于来自本地的初始镜像文件确定；

比较所述度量值和基准度量值是否一致，根据所述比较结果确定所述镜像文件是否被篡改。

上述方案中，所述方法还包括：在所述初始镜像文件来自本地的情况下，所述文件系统度量模块对所述初始镜像文件进行度量，获得基准度量值；

发送所述初始镜像文件至镜像服务器；

相应的，所述获取镜像文件，包括：从所述镜像服务器获取所述镜像文件。

上述方案中，在所述镜像文件来自公共镜像服务器、私有镜像服务器或者来自本地的情况下，所述方法还包括：基于所述镜像文件启动容器；

在所述容器运行的过程中，所述容器安全保护装置中的进程监控模块对所述容器对应的进程进行监控，拦截满足预设条件的进程；