[发明专利]一种基于kprobes的容器访问控制方法与系统

说明书

本发明公开了一种基于kprobes的容器访问控制方法与系统，具体步骤为：客户端生成访问策略文件，表示容器进程可以对资源进行哪些访问操作；访问控制系统接收访问策略文件，并对访问策略文件进行解析，解析出访问策略文件中进程所在的容器命名空间；通过kprobes对容器恶意操作所对应的内核函数进行监控，从而来及时检测容器内进程正在执行的操作；在kprobes的探测（回调）函数中，执行访问控制算法，主要是根据当前进程正在执行的操作是否与访问策略文件中指定的是否一致，若一致则允许本次操作，若不一致，则将函数间调用时传递的参数和返回值进行修改，从而使得函数执行失败，进而阻止本次操作的执行。从而保证了容器运行安全，进一步保障了云计算平台的安全。

技术领域

本发明涉及容器虚拟化安全技术领域，尤其是涉及一种基于kprobes的容器访问控制方法与系统。

背景技术

容器技术广泛使用在各种计算场景，包括边缘计算，微服务架构和无服务器计算等。与虚拟机相比，由于消除了额外的抽象层，使得容器技术具有高效、轻量级、资源利用率高等优势。但其共享内核和资源隔离性低的特点导致容器技术暴露出更多新的安全风险，如容器逃逸攻击，恶意镜像攻击等。容器中的应用程序可以调用启动程序相关的函数来执行容器内的恶意攻击程序对其他容器和宿主机进行攻击，也可以触发网络通信相关的函数来窃取其他容器或者宿主机的敏感数据。

传统的针对容器的访问控制通过是通过利用内核提供的Seccomp(Securecomputing)技术来实现容器的访问控制，Seccomp能够限制容器内进程所能够执行的系统调用，从而使得容器内进程只能执行未被限制的系统调用。但这种方法以系统调用为粒度，能够有效的控制容器内进程的行为，从而防止容器逃逸攻击，信息泄露等问题。但是Seccomp以系统调用为粒度进行访问控制，在拦截恶意操作的时候，有时也会组织正常操作的进行，因此无法实现更细粒度的访问控制。例如，文件访问系统调用包含了文件打开，文件读取，访问读取等操作，Seccomp技术无法针对文件读取操作或者文件修改操作进行细粒度的访问控制。除此以外，还可以通过LSM（Linux Security Module）技术对对容器实现访问控制。LSM通过访问策略规则描述了主体对客体的访问权限，指定了容器内资源的访问权限，从而有效的防止了容器内敏感信息的泄露。然而，由于LSM本身的限制，导致对于在那些Selinux/Apparmor开启之前启动的容器的访问规则信息无法被修改。若需要修改容器所对应的权限信息，则需要通过重新启动容器才能生效，但在有些情况下，容器应用是不允许被重新启动的。因此，LSM无法满足在修改容器的访问规则信息后，对容器访问控制就能立即生效。在一定程序上，LSM缺少了对容器访问控制的及时性和灵活性。

现存的技术难点主要有：（1）容器虚拟化技术由于引入的额外的虚拟化层，导致传统用于主机的访问控制技术无法迁移到容器环境下使用；（2）使用对容器系统调用进行拦截来进行的访问控制，由于对系统调用的拦截粒度过粗的问题，导致可以拦截部分恶意操作的执行，同时，在某些情况下，也会阻止容器中某些正常行为；（3）通过强制访问控制技术对容器进行访问控制，若需要修改对容器的访问控制策略文件，则需要对容器进行重启，但有些应用是不能中断提供服务的。

发明内容

针对上述问题，本发明的目的在于提供一种能够实现对容器内恶意操作在内核函数级别的拦截，从而保证容器运行安全，进一步保障云计算平台安全的基于kprobes的容器访问控制方法与系统。技术方案如下：

一种基于kprobes的容器访问控制方法，包括以下步骤：

步骤1：客户端生成访问策略文件，所述访问策略文件中包括三元组信息，所述三元组信息包括表示容器进程ID的PID（Process Identification），表示容器需要访问的资源ID的RID（Resources Identification），表示容器可以对资源进行哪些操作的PSET（Permission sets）；

步骤2：访问控制系统接收访问策略文件，并对访问策略文件进行解析：