[發(fā)明專利]一種容器安全保護(hù)方法和電子設(shè)備在審
| 申請?zhí)枺?/td> | 202010033012.X | 申請日: | 2020-01-13 |
| 公開(公告)號: | CN113110912A | 公開(公告)日: | 2021-07-13 |
| 發(fā)明(設(shè)計)人: | 任蘭芳 | 申請(專利權(quán))人: | 中國移動通信有限公司研究院;中國移動通信集團(tuán)有限公司 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455 |
| 代理公司: | 北京派特恩知識產(chǎn)權(quán)代理有限公司 11270 | 代理人: | 王姍姍;張穎玲 |
| 地址: | 100053 北*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 容器 安全 保護(hù) 方法 電子設(shè)備 | ||
1.一種容器安全保護(hù)方法,其特征在于,應(yīng)用于容器安全保護(hù)裝置中,所述方法包括:
在基本輸入輸出系統(tǒng)BIOS上電啟動后,啟動操作系統(tǒng)及啟動所述容器安全保護(hù)裝置,所述容器安全保護(hù)裝置至少包括用于對應(yīng)用容器引擎進(jìn)行度量的文件系統(tǒng)度量模塊;
在應(yīng)用容器引擎首次啟動時,所述文件系統(tǒng)度量模塊對所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件進(jìn)行度量,獲得第一度量結(jié)果;
間隔預(yù)設(shè)時長后,所述文件系統(tǒng)度量模塊再次對所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件進(jìn)行度量,獲得第二度量結(jié)果;
比較所述第一度量結(jié)果和所述第二度量結(jié)果是否一致,根據(jù)比較結(jié)果確定所述應(yīng)用容器引擎是否被篡改。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,對所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件進(jìn)行度量,包括:
獲取所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件的以下信息的至少之一:版本信息、開啟的服務(wù)、開放的端口;
基于所述版本信息、開啟的服務(wù)和開放的端口中的至少一種信息確定哈希值,基于所述哈希值獲得所述第一度量結(jié)果或所述第二度量結(jié)果。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述方法還包括:
啟動所述容器安全保護(hù)裝置后,啟動應(yīng)用容器引擎,獲取鏡像文件;
所述文件系統(tǒng)度量模塊基于所述鏡像文件確定度量值,以及獲得基準(zhǔn)測量值;所述基準(zhǔn)度量值基于來自本地的初始鏡像文件確定;
比較所述度量值和基準(zhǔn)度量值是否一致,根據(jù)比較結(jié)果確定所述鏡像文件是否被篡改。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:
在所述初始鏡像文件來自本地的情況下,所述文件系統(tǒng)度量模塊對所述初始鏡像文件進(jìn)行度量,獲得基準(zhǔn)度量值;
發(fā)送所述初始鏡像文件至鏡像服務(wù)器;
相應(yīng)的,所述獲取鏡像文件,包括:從所述鏡像服務(wù)器獲取所述鏡像文件。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述鏡像文件來自公共鏡像服務(wù)器、私有鏡像服務(wù)器或者來自本地的情況下,所述方法還包括:
基于所述鏡像文件啟動容器;
在所述容器運(yùn)行的過程中,所述容器安全保護(hù)裝置中的進(jìn)程監(jiān)控模塊對所述容器對應(yīng)的進(jìn)程進(jìn)行監(jiān)控,攔截滿足預(yù)設(shè)條件的進(jìn)程;
其中,所述攔截滿足預(yù)設(shè)條件的進(jìn)程,包括以下其中之一:攔截未出現(xiàn)在預(yù)設(shè)白名單中的進(jìn)程;攔截出現(xiàn)在預(yù)設(shè)黑名單中的進(jìn)程;攔截滿足設(shè)置的攔截策略的進(jìn)程。
6.根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述鏡像文件來自公共鏡像服務(wù)器、私有鏡像服務(wù)器或者來自本地的情況下,所述方法還包括:
基于所述鏡像文件啟動容器;
在所述容器運(yùn)行的過程中,所述容器安全保護(hù)裝置中的網(wǎng)絡(luò)監(jiān)控模塊基于預(yù)先配置的網(wǎng)絡(luò)地址集合和/或端口集合、以及配置的網(wǎng)絡(luò)監(jiān)控策略對所述容器的網(wǎng)絡(luò)訪問狀態(tài)進(jìn)行監(jiān)控。
7.一種電子設(shè)備,其特征在于,所述電子設(shè)備包括:處理組件和容器安全保護(hù)裝置;其中,所述容器安全保護(hù)裝置至少包括文件系統(tǒng)度量模塊;其中,
所述處理組件,用于在BIOS上電啟動后,啟動操作系統(tǒng)及啟動所述容器安全保護(hù)裝置;
所述文件系統(tǒng)度量模塊,用于在應(yīng)用容器引擎首次啟動時,對所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件進(jìn)行度量,獲得第一度量結(jié)果;間隔預(yù)設(shè)時長后,再次對所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件進(jìn)行度量,獲得第二度量結(jié)果;比較所述第一度量結(jié)果和所述第二度量結(jié)果是否一致,根據(jù)比較結(jié)果確定所述應(yīng)用容器引擎是否被篡改。
8.根據(jù)權(quán)利要求7所述的電子設(shè)備,其特征在于,所述文件系統(tǒng)度量模塊,用于獲取所述應(yīng)用容器引擎的可執(zhí)行文件和配置文件的以下信息的至少之一:版本信息、開啟的服務(wù)、開放的端口;基于所述版本信息、開啟的服務(wù)和開放的端口中的至少一種信息確定哈希值,基于所述哈希值獲得所述第一度量結(jié)果或所述第二度量結(jié)果。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國移動通信有限公司研究院;中國移動通信集團(tuán)有限公司,未經(jīng)中國移動通信有限公司研究院;中國移動通信集團(tuán)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010033012.X/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
