基于獨立內核的Kata容器的完整性度量方法及裝置制造方法及圖紙

技術編號：42420467 閱讀：14 留言：0更新日期：2024-08-16 16:36

本發明專利技術提供一種基于獨立內核的Kata容器的完整性度量方法及裝置，方法包括：在Kata容器的虛擬機啟動前，對虛擬機鏡像文件進行完整性度量，并在度量成功后啟動虛擬機；在啟動虛擬機后，獲取容器基礎鏡像文件以及對容器基礎鏡像文件進行完整性度量，并在度量成功后創建并運行Kata容器；在Kata容器運行期間，對可執行文件進行摘要運算生成第一度量值，對庫文件進行摘要運算生成第二度量值，對運行進程的代碼段進行摘要運算生第三度量值，并分別基于第一度量值、第二度量值和第三度量值進行完整性度量。本發明專利技術通過引入可信完整性度量機制，保證Kata容器的可信啟動及容器運行時數據不被篡改，防止容器逃逸問題。

全部詳細技術資料下載

【技術實現步驟摘要】

本專利技術涉及容器安全，尤其涉及一種基于獨立內核的kata容器的完整性度量方法及裝置。

技術介紹

1、kata容器的完整性度量指的是評估和確保kata容器在運行時的安全性，以防止容器間的任意代碼執行和數據泄露。其中，kata容器使用微虛擬機來作為容器的隔離運行環境。

2、然而，kata容器是基于獨立內核，運行在單獨的虛擬機中的，傳統的docker容器是與主機共享內核的，即傳統的docker容器的度量方案不適用于基于獨立內核的kata容器，因此需要設計一種基于獨立內核的kata容器的完整性度量方法。

技術實現思路

1、本專利技術提供一種基于獨立內核的kata容器的完整性度量方法及裝置，用以解決現有技術中存在的缺陷。

2、本專利技術提供一種基于獨立內核的kata容器的完整性度量方法，包括如下步驟。

3、在kata容器的虛擬機啟動前，對虛擬機鏡像文件進行完整性度量，并在度量成功后，啟動所述虛擬機；

4、在啟動所述虛擬機后，獲取容器基礎鏡像文件，以及對所述容器基礎鏡像文件進行完整性度量，以及在度量成功后，創建并運行所述kata容器；

5、在所述kata容器運行期間，對可執行文件進行摘要運算生成第一度量值，對庫文件進行摘要運算生成第二度量值，對運行進程的代碼段進行摘要運算生第三度量值，并分別基于所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量；

6、其中，所述kata容器的虛擬機的獨立內核中增添有掛鉤函數，所

7、根據本專利技術提供的一種基于獨立內核的kata容器的完整性度量方法，所述虛擬機鏡像文件和所述容器基礎鏡像文件基于如下步驟獲取：

8、在所述kata容器啟動前，創建虛擬機時的系統調用進行監控，獲取所述虛擬機鏡像文件；

9、對創建容器行為的相關系統調用進行監控，獲取基礎鏡像名，基于所述基礎鏡像名獲取所述容器基礎鏡像文件。

10、根據本專利技術提供的一種基于獨立內核的kata容器的完整性度量方法，所述對可執行文件進行摘要運算生成第一度量值，包括：

11、編寫并注冊第一掛鉤函數，所述第一掛鉤函數用于攔截獲取所述可執行文件；

12、調用所述第一掛鉤函數，對所述可執行文件進行摘要運算生成所述第一度量值。

13、根據本專利技術提供的一種基于獨立內核的kata容器的完整性度量方法，所述對庫文件進行摘要運算生成第二度量值，包括：

14、編寫并注冊第二掛鉤函數，所述第二掛鉤函數用于攔截獲取所述庫文件；

15、調用所述第二掛鉤函數，對所述庫文件進行摘要運算生成所述第二度量值。

16、根據本專利技術提供的一種基于獨立內核的kata容器的完整性度量方法，所述運行進程的代碼段基于如下步驟獲取：

17、基于所述運行進程的進程描述符，確定地址內存空間描述符；

18、基于所述地址內存空間描述符，讀取所述運行進程的代碼段。

19、根據本專利技術提供的一種基于獨立內核的kata容器的完整性度量方法，所述分別基于所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量，包括：

20、基于宿主機內核中的度量代理，采集所述kata容器的度量值，所述kata容器的度量值包括所述虛擬機鏡像文件的摘要值、所述容器基礎鏡像文件的摘要值、所述第一度量值、所述第二度量值以及所述第三度量值中的至少一種；

21、通過管道，將所述宿主機內核中的度量代理采集的所述度量值傳輸至所述宿主機內核中的通信代理，并通過所述通信代理將所述度量值傳輸至防護部件；

22、基于所述防護部件，分別應用所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量。

23、根據本專利技術提供的一種基于獨立內核的kata容器的完整性度量方法，所述分別基于所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量，包括：

24、基于虛擬機內核中的度量代理，采集所述kata容器的度量值，所述kata容器的度量值包括所述第一度量值、所述第二度量值以及所述第三度量值中的至少一種；

25、基于通信設備，將所述虛擬機內核中的度量代理采集的所述度量值傳輸至宿主機內核中的通信代理，并通過所述通信代理將所述度量值傳輸至防護部件；

26、基于所述防護部件，分別應用所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量。

27、本專利技術還提供一種基于獨立內核的kata容器的完整性度量裝置，包括如下模塊。

28、第一度量單元，用于在kata容器的虛擬機啟動前，對虛擬機鏡像文件進行完整性度量，并在度量成功后，啟動所述虛擬機；

29、第二度量單元，用于在啟動所述虛擬機后，獲取容器基礎鏡像文件，以及對所述容器基礎鏡像文件進行完整性度量，以及在度量成功后，創建并運行所述kata容器；

30、第三度量單元，用于在所述kata容器運行期間，對可執行文件進行摘要運算生成第一度量值，對庫文件進行摘要運算生成第二度量值，對運行進程的代碼段進行摘要運算生第三度量值，并分別基于所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量；

31、其中，所述kata容器的虛擬機的獨立內核中增添有掛鉤函數，所述虛擬機的根文件系統上添加有內核模塊管理功能。

32、本專利技術還提供一種電子設備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執行所述程序時實現如上述任一種所述基于獨立內核的kata容器的完整性度量方法。

33、本專利技術還提供一種非暫態計算機可讀存儲介質，其上存儲有計算機程序，該計算機程序被處理器執行時實現如上述任一種所述基于獨立內核的kata容器的完整性度量方法。

34、本專利技術還提供一種計算機程序產品，包括計算機程序，所述計算機程序被處理器執行時實現如上述任一種所述基于獨立內核的kata容器的完整性度量方法。

35、本專利技術提供的基于獨立內核的kata容器的完整性度量方法及裝置，在kata容器的虛擬機啟動前，在啟動虛擬機后以及在kata容器運行期間，均對相關文件進行了度量，也就是本專利技術通過引入可信完整性度量機制，保證kata容器的可信啟動及容器運行時數據不被篡改，防止容器逃逸問題。

本文檔來自技高網...

【技術保護點】

1.一種基于獨立內核的Kata容器的完整性度量方法，其特征在于，包括：

2.根據權利要求1所述的基于獨立內核的Kata容器的完整性度量方法，其特征在于，所述虛擬機鏡像文件和所述容器基礎鏡像文件基于如下步驟獲?。?/p>

3.根據權利要求1所述的基于獨立內核的Kata容器的完整性度量方法，其特征在于，所述對可執行文件進行摘要運算生成第一度量值，包括：

4.根據權利要求1所述的基于獨立內核的Kata容器的完整性度量方法，其特征在于，所述對庫文件進行摘要運算生成第二度量值，包括：

5.根據權利要求1所述的基于獨立內核的Kata容器的完整性度量方法，其特征在于，所述運行進程的代碼段基于如下步驟獲?。?/p>

6.根據權利要求1所述的基于獨立內核的Kata容器的完整性度量方法，其特征在于，所述分別基于所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量，包括：

7.根據權利要求1所述的基于獨立內核的Kata容器的完整性度量方法，其特征在于，所述分別基于所述第一度量值、所述第二度量值和所述第三度量值進行完整性度量，包括：

...

【技術特征摘要】

1.一種基于獨立內核的kata容器的完整性度量方法，其特征在于，包括：

2.根據權利要求1所述的基于獨立內核的kata容器的完整性度量方法，其特征在于，所述虛擬機鏡像文件和所述容器基礎鏡像文件基于如下步驟獲?。?/p>

3.根據權利要求1所述的基于獨立內核的kata容器的完整性度量方法，其特征在于，所述對可執行文件進行摘要運算生成第一度量值，包括：

4.根據權利要求1所述的基于獨立內核的kata容器的完整性度量方法，其特征在于，所述對庫文件進行摘要運算生成第二度量值，包括：

5.根據權利要求1所述的基于獨立內核的kata容器的完整性度量方法，其特征在于，所述運行進程的代碼段基于如下步驟獲取：

6.根據權利要求1所述的基于獨立內核的kata容器的完整性度量方法，其特征在于，所述...

【專利技術屬性】
技術研發人員：張建標，余樂浩，韓宇飛，
申請(專利權)人：北京工業大學，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術