[发明专利]一种容器安全隔离方法、系统及介质在审
| 申请号: | 201910548532.1 | 申请日: | 2019-06-24 |
| 公开(公告)号: | CN110362382A | 公开(公告)日: | 2019-10-22 |
| 发明(设计)人: | 罗求;孙利杰;陈松政;刘文清;杨涛 | 申请(专利权)人: | 湖南麒麟信安科技有限公司 |
| 主分类号: | G06F9/455 | 分类号: | G06F9/455;G06F16/11;G06F21/53;G06F21/62 |
| 代理公司: | 湖南兆弘专利事务所(普通合伙) 43008 | 代理人: | 谭武艺 |
| 地址: | 410000 湖南省长*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种容器安全隔离方法、系统及介质,方法包括通过安全容器运行时用户态内核拦截容器的应用程序的系统调用,完成处理后将结果返回给容器的应用程序,使得容器的应用程序不能直接完成宿主机的系统调用;通过文件系统代理拦截容器应用程序的IO操作,执行完成IO操作后将结果返回给容器的应用程序。使用本发明能够在保证容器效率的同时提高容器的隔离性和安全性,通过用户态内核容器应用不能直接访问宿主机内核,它不是真正的像一个主机的进程在运行,而是将应用程序加载到安全容器运行时的内存空间中并从那里运行,这样即使容器内的应用有安全风险也只能对容器造成影响,而不会通过容器而影响到宿主机的运行,从而了提高隔离性。 | ||
| 搜索关键词: | 应用程序 宿主机 内核 安全隔离 安全容器 结果返回 系统调用 隔离性 用户态 运行时 拦截 容器应用程序 文件系统代理 应用程序加载 内存空间 容器效率 容器应用 直接访问 主机 应用 进程 保证 安全 | ||
【主权项】:
1.一种容器安全隔离方法,其特征在于实施步骤包括,在容器调用安全容器运行时,创建用户态内核进程和文件系统代理进程,用户态内核拦截容器的应用程序的系统调用,完成系统调用的处理后将结果返回给容器的应用程序,使得容器的应用程序不能直接完成宿主机的系统调用;通过文件系统代理拦截容器的应用程序的IO操作,并在执行完成IO操作后将结果返回给容器的应用程序。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于湖南麒麟信安科技有限公司,未经湖南麒麟信安科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910548532.1/,转载请声明来源钻瓜专利网。
