日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

一種安全容器及其設(shè)計方法

文檔序號:8259377閱讀:488來源:國知局
一種安全容器及其設(shè)計方法
【專利說明】一種安全容器及其設(shè)計方法
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,具體地說是一種安全容器,及其設(shè)計方法。
【背景技術(shù)】
[0003]隨著Internet的發(fā)展,網(wǎng)絡(luò)遍布到生活的每個角落,互聯(lián)網(wǎng)、局域網(wǎng)都已經(jīng)成為我們生活中重要的部分,網(wǎng)絡(luò)的安全問題已經(jīng)暴露出來。為了保證網(wǎng)絡(luò)的安全,已經(jīng)花費(fèi)很多的精力建立網(wǎng)絡(luò)安全體系,主要有VPN、防火墻、病毒檢測等安全體系。如今,建立這些安全體系起到了很大的作用,但是這些安全體系仍舊沒能徹底的解決網(wǎng)絡(luò)信息安全問題。系統(tǒng)的安全問題原來并沒有被關(guān)注,遺留很多隱患。例如:盡管用戶安裝了防病毒,然而PC還是會感染病毒,還是會中木馬,受到黑客的攻擊。

【發(fā)明內(nèi)容】

[0004]本發(fā)明的技術(shù)任務(wù)是針對上述現(xiàn)有技術(shù)的不足,提供一種安全容器的設(shè)計方法。
[0005]本發(fā)明的技術(shù)任務(wù)是按以下方式實現(xiàn)的:一種安全容器,其特點是構(gòu)建在一個操作系統(tǒng)中的安全區(qū)域,利用強(qiáng)制訪問控制、資源隔離及可信度量三種機(jī)制使得一組進(jìn)程運(yùn)行所述區(qū)域內(nèi),這組進(jìn)程只能對本區(qū)域的資源(CPU,內(nèi)存等)進(jìn)行訪問,不能訪問本區(qū)域外的資源,本區(qū)域外的進(jìn)程也不能訪問本區(qū)域內(nèi)的資源,并且該區(qū)域的策略及區(qū)域內(nèi)的應(yīng)用均需進(jìn)行可信度量。
[0006]作為優(yōu)選,每一個容器所分配的系統(tǒng)資源可動態(tài)調(diào)整。
[0007]容器程序自身優(yōu)選采用強(qiáng)制訪問控制技術(shù)進(jìn)行保護(hù),使其他程序無法破壞容器程序的運(yùn)行。
[0008]所述強(qiáng)制訪問控制指:容器內(nèi)的進(jìn)程只能訪問分配給這個容器的資源,而容器外部的程序無法對該容器進(jìn)行攻擊。所述強(qiáng)制訪問控制指:容器內(nèi)的進(jìn)程只能訪問分配給這個容器的資源,而容器外部的程序無法對該容器進(jìn)行攻擊。
[0009]所述資源隔離指:容器內(nèi)的程序與容器外的程序被隔離在不同的命名空間里,相互之間互不干擾。
[0010]所述可信度量指:容器建立時,對每個容器自身配置及容器內(nèi)相關(guān)的程序、文件進(jìn)行基線收集,每一次容器啟動時,對容器、程序、文件進(jìn)行可信驗證。
[0011]上述安全容器的設(shè)計方法包括:
(1)將需要保護(hù)的一個或多個應(yīng)用程序或程序要訪問的文件添加至安全容器,通過配置這些程序或文件的訪問權(quán)限生成一系列策略,并為該容器指定所需的資源;
(2)初始化容器,自動分析并收集容器的配置、容器中程序的基線值;
(3)對容器進(jìn)行可信驗證,包括驗證對象包括容器本身、容器內(nèi)的文件;
(4)在容器創(chuàng)建和向空容器添加文件時生成其基線值,當(dāng)修改安全策略時自動更新容器及文件的基線值,并且當(dāng)刪除容器或刪除文件時自動刪除其對應(yīng)的基線值;
(5)當(dāng)容器啟動或容器內(nèi)程序啟動時,對容器和程序進(jìn)行可信度量,如果可信驗證失敗,拒絕容器運(yùn)行或其中的程序的運(yùn)行,并給用戶反饋度量報告,或仍然啟動容器和程序,但提示當(dāng)前容器不可信;
(6)利用Linux內(nèi)核提供的Cgroup、NameSpace內(nèi)核技術(shù),對容器資源進(jìn)行管理,實現(xiàn)對于容器內(nèi)資源的隔離。
[0012]上述方法中,對容器進(jìn)行可信驗證時,所述容器本身包括容器程序、配置文件及安全策略;所述容器內(nèi)的文件包括腳本文件、程序文件,及程序要訪問的文件。
[0013]本發(fā)明所述安全容器實施時分為容器創(chuàng)建、策略管理及容器管理等幾個步驟:
(I)創(chuàng)建容器
用戶為容器自定義一個便于管理的形象的名稱。用戶操作創(chuàng)建安全容器,填寫容器名稱及描述該容器用途的摘要信息。創(chuàng)建空容器成功后自動生成該容器的基線值。選擇期望放入該容器的應(yīng)用程序(一個或多個)和程序要訪問的文件;容器系統(tǒng)可自動分析應(yīng)用程序如何訪問它需要的文件,并根據(jù)分析結(jié)果配置應(yīng)用程序?qū)ξ募那‘?dāng)?shù)脑L問權(quán)限,從而自動生成容器策略。與此同時,還會自動生成文件基線值。用戶選擇初始化容器,自動加載安全策略,構(gòu)建安全域,即開始構(gòu)建容器相關(guān)配置。
[0014](2)策略管理
當(dāng)向運(yùn)行中的容器添加或刪除應(yīng)用程序或文件時,容器會自動重新創(chuàng)建容器、應(yīng)用程序及文件的基線值。默認(rèn)狀態(tài)容器內(nèi)的程序?qū)θ萜鲀?nèi)的資源訪問有所有權(quán)限,如果希望配置更加細(xì)粒度的權(quán)限來降低容器內(nèi)程序被網(wǎng)絡(luò)攻擊的風(fēng)險,如對某些配置文件只讀,則用戶可以進(jìn)入高級配置模式,手工自修改、添加、刪除容器的策略。容器程序自身會根據(jù)風(fēng)險算法,為用戶自動處理或提示用戶配置。對于資源的動態(tài)管理,用戶可以在任何時刻管理已經(jīng)在運(yùn)行中的容器的調(diào)整資源配置(CPU,內(nèi)存,網(wǎng)絡(luò)帶寬等),不過調(diào)整資源會對容器內(nèi)的正在運(yùn)行中的應(yīng)用程序造成影響,如減少物理內(nèi)存分配可能會造成應(yīng)用程序崩潰。在完成容器的安全策略配置、資源配置后,還可以導(dǎo)出或?qū)脒@些配置到文本文件中。此外,還可以通過容器管理界面或命令行的容器管理工具,管理安全容器內(nèi)的應(yīng)用程序,主要包括程序的啟動、停止等
(3)容器管理
啟用安全容器,在通過可信度量機(jī)制驗證后,安全策略生效,資源分配生效,同時啟動容器中的默認(rèn)應(yīng)用程序。如果用戶在安全容器未通過可信驗證時,仍然選擇啟動安全容器,則安全容器自動進(jìn)行安全模式(進(jìn)程功能受限)或監(jiān)視模式(記錄幾乎所有進(jìn)程操作),提示用戶當(dāng)前容器不可信。當(dāng)停止安全容器的運(yùn)行,此時,容器內(nèi)的程序一般也會停止運(yùn)行。無論安全容器處在已經(jīng)啟用、停止運(yùn)行、正在創(chuàng)建等狀態(tài)中,用戶都可以刪除安全容器。當(dāng)刪除(銷毀)安全容器時,用戶可選擇停止容器內(nèi)程序或者繼續(xù)讓程序運(yùn)行。
[0015]與現(xiàn)有技術(shù)相比,本發(fā)明的安全容器同時運(yùn)用強(qiáng)制訪問控制、資源隔離及可信度量三種機(jī)制,能夠從操作系統(tǒng)層面抵御針對網(wǎng)絡(luò)中的各種攻擊,例如APT攻擊、Rootkit攻擊等,徹底的解決網(wǎng)絡(luò)信息安全問題。具體來說,具有以下特點:
(I)強(qiáng)制訪問控制。即容器建立后,容器自身形成一個安全域,容器內(nèi)的進(jìn)程只能訪問分配給這個容器的資源(CPU,內(nèi)存等),而容器外部的程序無法對該容器進(jìn)行攻擊。容器內(nèi)的程序感受不到容器外部或其它容器內(nèi)的進(jìn)程的存在,即使自身受到攻擊,也不會影響到其他容器或者蔓延到容器外部。
[0016](2)資源隔離。容器內(nèi)的程序與容器外的程序被隔離在不同的命名空間里,相互之間互不干擾,像CPU、內(nèi)存等可系統(tǒng)資源一旦被分配到不同的容器中,不同容器中的程序?qū)@些資源的使用互不影響。
[0017](3 )可信度量。容器建立時,會對每個容器自身配置及容器內(nèi)相關(guān)的程序、文件等進(jìn)行基線收集,每一次容器啟動時,對容器、程序、文件等進(jìn)行可信驗證,只有通過可信驗證的容器可以運(yùn)行,而容器中的程序也只有通過可信驗證才能運(yùn)行。
[0018](4)資源動態(tài)管理。可以動態(tài)調(diào)整每一個容器所分配的系統(tǒng)資源(CPU,內(nèi)存等)。
[0019](5)確保自身安全。容器程序自身采用強(qiáng)制訪問控制技術(shù)進(jìn)行保護(hù),其他程序無法破壞容器程序的運(yùn)行。
【附圖說明】
[0020]附圖1是本發(fā)明安全容器的原理圖;
附圖2是本發(fā)明安全容器的設(shè)計框架圖。
【具體實施方
當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1