CN114780168A - 智能终端容器安全策略动态变更的方法、装置及电子设备 - Google Patents
智能终端容器安全策略动态变更的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114780168A CN114780168A CN202210333633.9A CN202210333633A CN114780168A CN 114780168 A CN114780168 A CN 114780168A CN 202210333633 A CN202210333633 A CN 202210333633A CN 114780168 A CN114780168 A CN 114780168A
- Authority
- CN
- China
- Prior art keywords
- security policy
- container
- module
- dynamic
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例涉及智能终端容器安全策略动态变更的方法、装置及电子设备,包括:容器启动器附加模块配置在容器启动器中,用于当启动器启动时,检查容器内可执行程序符合表,用以挂载安全策略动态变更模块到容器内;安全策略动态加载模块,用于接收安全策略变更指令,根据安全策略变更指令,对安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向安全策略动态变更模块下发安全策略重载指令;安全策略动态变更模块,用于接收安全策略重载指令,及读取的所在位置中的对应安全策略配置,并基于安全策略重载指令和安全策略配置,实现安全策略重载。可用于零信任等需要根据对容器内应用程序行为的实时监测结果改变其安全策略配置的场合。
Description
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种智能终端容器安全策略动态变更的方法、装置及电子设备。
背景技术
以Docker为代表的容器技术是一种轻量级的云计算技术,它利用Linux的namespace、cgroup等资源隔离技术,在共享Linux内核的前提下划分出多个独立的、互相隔离的用户态空间(即容器),方便不同版本、不同依赖环境的应用程序在同一台主机上快速部署。容器技术本质上是应用程序的启动器,通过容器启动器,容器管理程序可以配置指定应用程序的各种用户态环境(包括namespace、cgroup、各种安全策略等),最后再将指定应用程序加载到配置好的环境中并将进程控制权转交给应用程序,容器启动器自身退出执行。
与虚拟机技术相比,容器技术令容器内运行的应用程序可直接与主机操作系统内核进行通信,使从而令攻击者更容易地对主机操作系统内核进行攻击。
为防止应用程序潜在的漏洞被攻击者利用,一种常见的思路是由应用程序开发者自行限制应用程序所用到的功能,通过在应用程序自身初始化阶段,主动调用相关基于安全策略的权限限制技术(如Linux内核下的seccomp、capabilities等具体技术),主动向操作系统内核申明应用程序不会使用哪些权限,从而防止攻击者在获得了应用程序执行流控制权后访问危险系统调。出于安全性考虑,此类基于安全策略的权限限制技术一般无法由应用程序外部实施安全策略变更(不存在此类系统调用接口或工具),而只能由应用程序开发者通过开发相应代码实施安全策略变更。
在应用程序开发者未主动调用相关基于安全策略的权限限制技术,容器技术的开发商提供了一定的补救措施,通过容器启动器可以一次性地对容器启动器将要启动的首个应用程序进程进行基于安全策略的权限限制,从而达到有限度地附加式使用基于安全策略的权限限制技术的目的。
目前容器技术所用的有限度地附加式使用的限制在于:1)只能对安全策略进行一次性配置,由于后续进程控制权被转交给应用程序,所以容器管理程序和容器启动器无法继续对安全策略进行修改;2)同样由于后续进程控制权被转交给应用程序,由应用程序调用的其他应用程序只能继承父进程的安全策略,而无法使用不同的安全策略。
发明内容
本申请提供了一种智能终端安全策略动态变更的方法、装置及电子设备,以解决现有技术中的上述任一技术问题。
第一方面,本申请提供了一种智能终端安全策略动态变更的装置,所述装置包括:容器启动器附加流程模块、安全策略动态加载模块及安全策略动态变更模块;
所述容器启动器附加模块配置在容器启动器中,用于当启动器启动时,检查容器内可执行程序符合表,用以挂载所述安全策略动态变更模块到容器内;
所述安全策略动态加载模块,用于接收安全策略变更指令,并根据所述安全策略变更指令,对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向所述安全策略动态变更模块下发安全策略重载指令;
所述安全策略动态变更模块,用于接收所述安全策略重载指令,及读取的所在位置中的对应安全策略配置,并基于所述安全策略重载指令和所述安全策略配置,实现安全策略重载。
在一个可能的实现方式中,所述容器启动附加模块,还用于修改容器内动态链接库配置,用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序。
在一个可能的实现方式中,所述安全策略动态变更模块,还用于通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
在一个可能的实现方式中,所述安全策略动态变更模块,还用于在实现安全策略重载后,将进程执行控制权交还给应用程序C库入口点。
第二方面,本发明提供了一种智能终端容器安全策略动态变更的方法,所述方法应用于如第一方面所述的装置,包括以下步骤:
当启动器启动时,容器启动器附加模块检查容器内可执行程序符合表,用以挂载所述安全策略动态变更模块到容器内;
安全策略动态变更模块接收安全策略变更指令,并根据所述安全策略变更指令,对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向所述安全策略动态变更模块下发安全策略重载指令;
安全策略动态变更模块接收所述安全策略重载指令,并读取的所在位置中的对应安全策略配置,并基于所述安全策略重载指令和所述安全策略配置,实现安全策略重载。
在一个可能的实现方式中,所述方法还包括:
所述容器启动器附加模块修改容器内动态链接库配置,用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序。
在一个可能的实现方式中,所述方法还包括:
所述安全策略动态变更模块通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
在一个可能的实现方式中,在实现安全策略重载之后,所述方法还包括:
所述安全策略动态变更模块将进程执行控制权交还给应用程序C库入口点。
第三方面,本发明提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现的第二方面任一项实施例的智能终端容器安全策略动态变更的方法的步骤。
第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如第二方面任一项实施例的智能终端容器安全策略动态变更的方法的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
本申请实施例提供的一种智能终端容器安全策略动态变更的装置,包括:容器启动器附加流程模块、安全策略动态加载模块及安全策略动态变更模块。其中,容器启动器附加模块配置在容器启动器中,执行当启动器启动时,检查容器内可执行程序符合表,用以挂载安全策略动态变更模块到容器内。安全策略动态加载模块,执行接收安全策略变更指令,并根据安全策略变更指令,对安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向安全策略动态变更模块下发安全策略重载指令。安全策略动态变更模块,执行接收安全策略重载指令,及读取的所在位置中的对应安全策略配置,并基于安全策略重载指令和安全策略配置,实现安全策略重载。本申请提供的技术方案,使用容器启动器附加流程模块进行容器环境配置,以引入具体实施策略变更的安全策略动态变更模块,使用进程间通信技术令容器外的安全策略动态加载模块和容器内的安全策略动态变更模块相互通信,使用动态链接库钩子技术使得安全策略动态变更模块附加在容器内应用程序上,让操作系统认为安全策略的变更是由容器内应用程序主动发出,从而克服了传统上容器内附加使用的基于安全策略的权限限制技术只能在容器启动时一次性配置而无法动态变更的局限性,使得此技术可以用于零信任等需要根据对容器内应用程序行为的实时监测结果改变其安全策略配置的场合,如,拓展了基于安全策略的权限限制技术的适用范围。
附图说明
图1为本发明实施例提供的一种智能终端容器安全策略动态变更的装置结构示意图;
图2为容器启动器附加流程模块执行计算机程序时实现的操作;
图3为安全策略动态加载模块执行计算机程序时实现的操作;
图4为安全策略动态变更模块执行计算机程序时实现的操作
图5为本发明实施例提供的一种智能终端容器安全策略动态变更的方法的流程示意图;
图6为本发明实施例提供一种电子结构结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
针对背景技术中所提及的技术问题,本发明针对基于安全策略的权限限制技术,克服该技术原本设计时未考虑到的附加式使用和动态变更安全策略问题,提供一种智能终端容器安全策略动态变更的装置,可支持运行时动态变更的智能终端容器的安全策略加载,为容器内各应用程序进程动态配置安全策略。具体的装置结构,还需要参见图1所示的装置结构示意图,图1为本发明实施例提供的一种智能终端容器安全策略动态变更的装置结构示意图,如图1所示,图中左侧“容器启动流程执行环节”、“应用程序C库入口点执行环节”、“应用程序主入口点执行环节”及“应用程序主循环执行环节”为该装置无论存在与否,容器和应用程序启动运行的关键环节。该装置包括容器启动器附加流程模块1、安全策略动态加载模块2和安全策略动态变更模块3,其中容器启动器附加流程模块1附着于容器启动流程执行环节;安全策略动态变更模块3附着于应用程序C库入口点执行环节;安全策略动态加载模块1与安全策略动态变更模块3相连接。具体的:
容器启动器附加模块1配置在容器启动器中,用于当启动器启动时,检查容器内可执行程序符合表,用以挂载安全策略动态变更模块3到容器内。
安全策略动态加载模块2,用于接收安全策略变更指令,并根据安全策略变更指令,对安全策略动态变更模块3所在位置中的对应安全策略配置进行修改,并向安全策略动态变更模块3下发安全策略重载指令。
安全策略动态变更模块3,用于接收安全策略重载指令,及读取的所在位置中的对应安全策略配置,并基于安全策略重载指令和安全策略配置,实现安全策略重载。
在一个示例中,容器启动附加模块1,还用于修改容器内动态链接库配置,用以确定安全策略动态变更模块3的动态链接顺序先于容器内的C库的动态链接顺序。
在另一个示例中,安全策略动态变更模块3,还用于通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
在又一个示例中,安全策略动态变更模块3,还用于在实现安全策略重载后,将进程执行控制权交还给应用程序C库入口点。
下面对各模块进行详细的介绍:
容器启动器附加流程模块1包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现如图2所示的操作:检查容器内可执行程序符号表,挂载安全策略动态变更模块3所在位置到容器内,修改容器内动态链接库配置使得安全策略动态变更模块3的动态链接顺序先于容器内的C库的动态链接顺序。
其中,“容器内可执行程序符号表检查”可通过遍历容器内文件寻找容器内可执行程序,通过可执行程序文件头解析实现符号表检查,目的是防止容器内可执行程序与安全策略动态变更模块3的符号相冲突,因为通常情况下,只有被设计用于对抗安全策略动态变更模块3的程序才会存在此类冲突;而“安全策略动态变更模块3挂载”可通过namespace相关mount系统调用实现;“容器内动态链接库配置修改”根据容器具体情况,一般可通过修改容器内“/etc/ld.so.preload”文件实现。
安全策略动态加载模块2包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现如图3所示的操作:接收上游平台发出的安全策略变更指令,对安全策略动态变更模块3所在位置中的对应安全策略配置进行修改,最后通知安全策略动态变更模块3重载安全策略。
其中,“上游安全策略监听”可通过套接字函数实现;“安全策略修改”可通过普通文件读写实现;“安全策略重载通知”可通过操作系统POSIX标准信号机制。
安全策略动态变更模块3包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现如图4所示的操作:通过应用程序C库入口点钩子,在应用程序启动的最初阶段获得进程执行控制权,其中应用程序C库入口点为__libc_start_main函数,安全策略动态变更模块3可实现同名函数,配合动态链接库配置实现应用程序C库入口点钩子;执行基于安全策略的权限限制技术的系统调用,实现安全策略的初始化;执行信号监听器的初始化和安全策略重载标志位初始化,为安全策略动态加载模块建立进程间通信接口,其中信号监听器负责在收到安全策略动态变更模块的通知信号后,将安全策略重载标志位置位;建立线程,实现安全策略重载循环,其中安全策略重载循环负责轮询安全策略重载标志位的置位情况,并在安全策略重载标志位置位后读取安全策略动态变更模块3所在位置中的对应安全策略配置,并调用基于安全策略的权限限制技术的系统调用,实现安全策略重载。
本申请实施例提供的一种智能终端容器安全策略动态变更的装置,包括:容器启动器附加流程模块、安全策略动态加载模块及安全策略动态变更模块。其中,容器启动器附加模块配置在容器启动器中,执行当启动器启动时,检查容器内可执行程序符合表,用以挂载安全策略动态变更模块到容器内。安全策略动态加载模块,执行接收安全策略变更指令,并根据安全策略变更指令,对安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向安全策略动态变更模块下发安全策略重载指令。安全策略动态变更模块,执行接收安全策略重载指令,及读取的所在位置中的对应安全策略配置,并基于安全策略重载指令和安全策略配置,实现安全策略重载。本申请提供的技术方案,使用容器启动器附加流程模块进行容器环境配置,以引入具体实施策略变更的安全策略动态变更模块,使用进程间通信技术令容器外的安全策略动态加载模块和容器内的安全策略动态变更模块相互通信,使用动态链接库钩子技术使得安全策略动态变更模块附加在容器内应用程序上,让操作系统认为安全策略的变更是由容器内应用程序主动发出,从而克服了传统上容器内附加使用的基于安全策略的权限限制技术只能在容器启动时一次性配置而无法动态变更的局限性,使得此技术可以用于零信任等需要根据对容器内应用程序行为的实时监测结果改变其安全策略配置的场合,如,拓展了基于安全策略的权限限制技术的适用范围。
以上,为本申请所提供的智能终端容器安全策略动态变更的装置的实施例,下文中则介绍说明本申请所提供的一种智能终端容器安全策略动态变更的方法等实施例,具体参见如下。
图5为本发明实施例提供的一种智能终端容器安全策略动态变更的方法流程示意图,在介绍智能终端容器安全策略动态变更的方法之前,还介绍一些准备工作:
(1)预先在安全策略动态变更模块所在位置配置初始安全策略。
优选地,安全策略以文件形式与安全策略动态变更模块保存同一位置。
(2)预先将容器启动器附加流程模块配置到容器启动器中。
由于容器启动器一般为独立应用程序且必须遵循标准OCI规范,故可以重新实现符合标准OCI规范并含有容器启动器附加流程的容器启动器的容器启动器替换原有容器启动器。
(3)预先启动安全策略动态加载模块,以便接受上游平台的指令。
上游平台是指对智能终端进行远程安全管理的安全管理平台。
下面详细介绍智能终端容器安全策略动态变更的方法,如图5所示,智能终端容器安全策略动态变更的方法应用于前面的智能终端容器安全策略动态变更的装置,包括以下步骤:
步骤110,当启动器启动时,容器启动器附加模块检查容器内可执行程序符合表,用以挂载安全策略动态变更模块到容器内。
在一个示例中,该方法还包括:容器启动器附加模块修改容器内动态链接库配置,用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序。
具体的,在主机上的容器管理程序正常通过容器启动器启动容器时,容器启动器附加流程模块检查容器内可执行程序符号表,如果可执行程序符号表中存在与安全策略动态变更模块相冲突的符号则告警退出,否则挂载安全策略动态变更模块所在位置到容器内,修改容器内动态链接库配置使得安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序,随后继续正常的容器启动流程。
在一个示例中,为了使得安全策略动态变更模块获得进程执行控制权,该方法还包括:所述安全策略动态变更模块通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
步骤120,安全策略动态变更模块接收安全策略变更指令,并根据安全策略变更指令,对安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向安全策略动态变更模块下发安全策略重载指令。
步骤130,安全策略动态变更模块接收安全策略重载指令,并读取的所在位置中的对应安全策略配置,并基于安全策略重载指令和安全策略配置,实现安全策略重载。
容器内应用程序启动时,由于容器内动态链接库配置和安全策略动态变更模块的应用程序C库入口点钩子,容器内应用程序启动的最初阶段的进程执行控制权被安全策略动态变更模块获取,进而安全策略动态变更模块读取前述介绍中预先在安全策略动态变更模块所在位置配置初始安全策略,执行基于安全策略的权限限制技术的系统调用,实现安全策略的初始化;执行信号监听器的初始化和安全策略重载标志位初始化,为安全策略动态加载模块建立进程间通信接口,其中信号监听器负责在收到安全策略动态变更模块的通知信号后,将安全策略重载标志位置位;建立线程,实现安全策略重载循环,其中安全策略重载循环负责轮询安全策略重载标志位的置位情况,并在安全策略重载标志位置位后读取安全策略动态变更模块所在位置中的对应安全策略配置,并调用基于安全策略的权限限制技术的系统调用,实现安全策略重载。
当安全策略动态加载模块收到上游平台发出的安全策略变更指令后,对安全策略动态变更模块所在位置中的对应安全策略配置进行修改,最后通知安全策略动态变更模块重载安全策略。安全策略动态变更模块则按上述中的描述实现安全策略重载。
在一个示例中,在实现安全策略重载之后,所该方法还包括:
安全策略动态变更模块将进程执行控制权交还给应用程序C库入口点。
本发明实施例提供的智能终端容器安全策略动态变更的方法中所涉及到的智能终端容器安全策略动态变更的装置中各部件所执行的功能均已在上述任一方法实施例中做了详细的描述,因此这里不再赘述。
有益效果:与现有技术相比,本发明提出使用容器启动器附加流程模块进行容器环境配置,以引入具体实施策略变更的安全策略动态变更模块,使用进程间通信技术令容器外的安全策略动态加载模块和容器内的安全策略动态变更模块相互通信,使用动态链接库钩子技术使得安全策略动态变更模块附加在容器内应用程序上,让操作系统认为安全策略的变更是由容器内应用程序主动发出,从而克服了传统上容器内附加使用的基于安全策略的权限限制技术只能在容器启动时一次性配置而无法动态变更的局限性,使得此技术可以用于零信任等需要根据对容器内应用程序行为的实时监测结果改变其安全策略配置的场合,如,拓展了基于安全策略的权限限制技术的适用范围。
如图6所示,本申请实施例提供了一种电子设备,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111,通信接口112,存储器113通过通信总线114完成相互间的通信。
存储器113,用于存放计算机程序;
在本申请一个实施例中,处理器111,用于执行存储器113上所存放的程序时,实现前述任意一个方法实施例提供的智能终端容器安全策略动态变更的方法,包括:
当启动器启动时,容器启动器附加模块检查容器内可执行程序符合表,用以挂载所述安全策略动态变更模块到容器内;
安全策略动态变更模块接收安全策略变更指令,并根据所述安全策略变更指令,对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向所述安全策略动态变更模块下发安全策略重载指令;
安全策略动态变更模块接收所述安全策略重载指令,并读取的所在位置中的对应安全策略配置,并基于所述安全策略重载指令和所述安全策略配置,实现安全策略重载。
在一个示例中,所述方法还包括:
所述容器启动器附加模块修改容器内动态链接库配置,用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序。
在一个示例中,所述方法还包括:
所述安全策略动态变更模块通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
在一个示例中,在实现安全策略重载之后,所述方法还包括:
所述安全策略动态变更模块将进程执行控制权交还给应用程序C库入口点。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如前述任意一个方法实施例提供的智能终端容器安全策略动态变更的方法的步骤。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种智能终端容器安全策略动态变更的装置,其特征在于,所述装置包括:容器启动器附加流程模块、安全策略动态加载模块及安全策略动态变更模块;
所述容器启动器附加模块配置在容器启动器中,用于当启动器启动时,检查容器内可执行程序符合表,用以挂载所述安全策略动态变更模块到容器内;
所述安全策略动态加载模块,用于接收安全策略变更指令,并根据所述安全策略变更指令,对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向所述安全策略动态变更模块下发安全策略重载指令;
所述安全策略动态变更模块,用于接收所述安全策略重载指令,及读取的所在位置中的对应安全策略配置,并基于所述安全策略重载指令和所述安全策略配置,实现安全策略重载。
2.根据权利要求1所述的装置,其特征在于,所述容器启动附加模块,还用于修改容器内动态链接库配置,用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序。
3.根据权利要求1所述的装置,其特征在于,所述安全策略动态变更模块,还用于通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
4.根据权利要求1所述的装置,其特征在于,所述安全策略动态变更模块,还用于在实现安全策略重载后,将进程执行控制权交还给应用程序C库入口点。
5.一种智能终端容器安全策略动态变更的方法,其特征在于,所述方法应用于如权利要求1-4任一项所述的装置,包括以下步骤:
当启动器启动时,容器启动器附加模块检查容器内可执行程序符合表,用以挂载所述安全策略动态变更模块到容器内;
安全策略动态变更模块接收安全策略变更指令,并根据所述安全策略变更指令,对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改,并向所述安全策略动态变更模块下发安全策略重载指令;
安全策略动态变更模块接收所述安全策略重载指令,并读取的所在位置中的对应安全策略配置,并基于所述安全策略重载指令和所述安全策略配置,实现安全策略重载。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述容器启动器附加模块修改容器内动态链接库配置,用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C库的动态链接顺序。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述安全策略动态变更模块通过应用程序C库入口点钩子,在应用程序启动的初始阶段获得进程执行控制权。
8.根据权利要求5所述的方法,其特征在于,在实现安全策略重载之后,所述方法还包括:
所述安全策略动态变更模块将进程执行控制权交还给应用程序C库入口点。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求5-8任一项所述的智能终端容器安全策略动态变更的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5-8任一项所述的智能终端容器安全策略动态变更的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210333633.9A CN114780168B (zh) | 2022-03-30 | 2022-03-30 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210333633.9A CN114780168B (zh) | 2022-03-30 | 2022-03-30 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114780168A true CN114780168A (zh) | 2022-07-22 |
| CN114780168B CN114780168B (zh) | 2023-04-28 |
Family
ID=82427039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210333633.9A Active CN114780168B (zh) | 2022-03-30 | 2022-03-30 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114780168B (zh) |
Citations (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130188437A1 (en) * | 2012-01-19 | 2013-07-25 | Quizant, Ltd. | Hardware write-protection |
| CN103605920A (zh) * | 2013-11-10 | 2014-02-26 | 电子科技大学 | 一种基于SEAndroid平台的应用程序动态安全管理方法及系统 |
| CN104112089A (zh) * | 2014-07-17 | 2014-10-22 | 中国人民解放军国防科学技术大学 | 基于多策略融合的强制访问控制方法 |
| CN104866778A (zh) * | 2015-01-30 | 2015-08-26 | 武汉华工安鼎信息技术有限责任公司 | 一种基于Linux内核的文档安全访问控制方法和装置 |
| US20160094583A1 (en) * | 2014-09-26 | 2016-03-31 | Oracle International Corporation | System and method for dynamic security configuration in a multitenant application server environment |
| CN106678365A (zh) * | 2017-02-10 | 2017-05-17 | 江门市众宏自动化设备有限公司 | 一种压力容器快开门安全联锁控制方法及装置 |
| CN106775903A (zh) * | 2017-02-24 | 2017-05-31 | 北京小米移动软件有限公司 | 安全策略文件更新方法及装置 |
| CN107087012A (zh) * | 2016-02-15 | 2017-08-22 | 山东华平信息科技有限公司 | 基于移动终端的医疗健康防控云平台及方法 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| CN108090361A (zh) * | 2016-11-22 | 2018-05-29 | 腾讯科技(深圳)有限公司 | 安全策略更新方法及装置 |
| CN108399094A (zh) * | 2017-02-08 | 2018-08-14 | 中国移动通信有限公司研究院 | 一种应用的部署方法、其部署装置及边缘数据中心 |
| CN109167782A (zh) * | 2018-08-31 | 2019-01-08 | 国鼎网络空间安全技术有限公司 | 基于智能移动终端的隐私数据保护方法及系统 |
| CN109213561A (zh) * | 2018-09-14 | 2019-01-15 | 珠海国芯云科技有限公司 | 基于容器的虚拟桌面的设备调度方法及装置 |
| CN109271792A (zh) * | 2018-08-15 | 2019-01-25 | 中国人民解放军陆军工程大学 | 一种基于Android本地层挂钩的终端外设控制方法及装置 |
| CN109460638A (zh) * | 2018-11-22 | 2019-03-12 | 郑州云海信息技术有限公司 | 一种用于管控可执行程序的方法和装置 |
| CN109542970A (zh) * | 2018-11-27 | 2019-03-29 | 长沙智擎信息技术有限公司 | 一种基于容器的大规模异构数据管理方法 |
| CN109729089A (zh) * | 2019-01-02 | 2019-05-07 | 中国电子科技网络信息安全有限公司 | 一种基于容器的智能网络安全功能管理方法及系统 |
| CN109964227A (zh) * | 2017-10-30 | 2019-07-02 | 华为技术有限公司 | 更新SELinux安全策略的方法及终端 |
| CN110007933A (zh) * | 2019-03-26 | 2019-07-12 | 山东超越数控电子股份有限公司 | 一种面向多租户容器镜像安全配置方法,系统,运行终端及存储介质 |
| CN109998582A (zh) * | 2019-04-15 | 2019-07-12 | 上海联影医疗科技有限公司 | 符合判选方法、装置、设备和介质 |
| CN110059453A (zh) * | 2019-03-13 | 2019-07-26 | 中国科学院计算技术研究所 | 一种容器虚拟化安全加固装置及方法 |
| CN110174868A (zh) * | 2019-06-21 | 2019-08-27 | 中车株洲电力机车有限公司 | 一种重载组合列车列车管同步控制方法及系统 |
| CN110188574A (zh) * | 2019-06-06 | 2019-08-30 | 上海帆一尚行科技有限公司 | 一种Docker容器的网页防篡改系统及其方法 |
| CN110262830A (zh) * | 2019-05-24 | 2019-09-20 | 北京指掌易科技有限公司 | 一种移动端基于应用二次开发的方法 |
| CN110278556A (zh) * | 2018-03-13 | 2019-09-24 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
| CN110348234A (zh) * | 2019-07-01 | 2019-10-18 | 电子科技大学 | Mils架构中的强制访问安全策略实现方法及管理方法 |
| CN110647740A (zh) * | 2018-06-27 | 2020-01-03 | 复旦大学 | 一种基于tpm的容器可信启动方法及装置 |
| WO2020033570A1 (en) * | 2018-08-07 | 2020-02-13 | Concio Holdings LLC | Adaptable and secure can bus |
| CN110830546A (zh) * | 2019-09-20 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于容器云平台的可用域建设方法、装置、设备 |
| CN111030107A (zh) * | 2019-12-26 | 2020-04-17 | 中国电力科学研究院有限公司 | 一种多输电断面协同控制辅助决策预警控制方法及系统 |
| CN111061540A (zh) * | 2019-11-27 | 2020-04-24 | 北京计算机技术及应用研究所 | 一种基于容器技术的应用虚拟化方法及系统 |
| CN111314455A (zh) * | 2020-02-12 | 2020-06-19 | 深圳供电局有限公司 | 一种容器微服务it监控系统及方法 |
| CN112003821A (zh) * | 2020-07-14 | 2020-11-27 | 烽火通信科技股份有限公司 | 一种云平台安全管理方法、系统以及安全管理服务器 |
| CN112751806A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
| CN112764875A (zh) * | 2020-12-31 | 2021-05-07 | 中国科学院软件研究所 | 一种面向智能计算的轻量级入口容器微服务系统及方法 |
| CN112861118A (zh) * | 2021-04-26 | 2021-05-28 | 湖北亿咖通科技有限公司 | 双系统的容器间安全策略隔离方法、电子设备及存储介质 |
| CN113138836A (zh) * | 2021-04-14 | 2021-07-20 | 启明星辰信息技术集团股份有限公司 | 一种基于Docker容器的防逃逸蜜罐系统及其方法 |
| CN113626819A (zh) * | 2021-06-23 | 2021-11-09 | 苏州浪潮智能科技有限公司 | 一种安全挂载存储装置的方法及系统 |
| CN114003344A (zh) * | 2021-11-02 | 2022-02-01 | 长沙极光安联信息技术有限公司 | 面向Docker的强制访问控制安全策略自动生成方法及系统 |
-
2022
- 2022-03-30 CN CN202210333633.9A patent/CN114780168B/zh active Active
Patent Citations (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130191624A1 (en) * | 2012-01-19 | 2013-07-25 | Quizant, Ltd. | Firmware protection and validation |
| US20130188437A1 (en) * | 2012-01-19 | 2013-07-25 | Quizant, Ltd. | Hardware write-protection |
| US20170228543A1 (en) * | 2012-01-19 | 2017-08-10 | Quixant Plc | Firmware protection and validation |
| CN103605920A (zh) * | 2013-11-10 | 2014-02-26 | 电子科技大学 | 一种基于SEAndroid平台的应用程序动态安全管理方法及系统 |
| CN104112089A (zh) * | 2014-07-17 | 2014-10-22 | 中国人民解放军国防科学技术大学 | 基于多策略融合的强制访问控制方法 |
| US20160094583A1 (en) * | 2014-09-26 | 2016-03-31 | Oracle International Corporation | System and method for dynamic security configuration in a multitenant application server environment |
| CN104866778A (zh) * | 2015-01-30 | 2015-08-26 | 武汉华工安鼎信息技术有限责任公司 | 一种基于Linux内核的文档安全访问控制方法和装置 |
| CN107087012A (zh) * | 2016-02-15 | 2017-08-22 | 山东华平信息科技有限公司 | 基于移动终端的医疗健康防控云平台及方法 |
| CN108090361A (zh) * | 2016-11-22 | 2018-05-29 | 腾讯科技(深圳)有限公司 | 安全策略更新方法及装置 |
| CN108399094A (zh) * | 2017-02-08 | 2018-08-14 | 中国移动通信有限公司研究院 | 一种应用的部署方法、其部署装置及边缘数据中心 |
| CN106678365A (zh) * | 2017-02-10 | 2017-05-17 | 江门市众宏自动化设备有限公司 | 一种压力容器快开门安全联锁控制方法及装置 |
| CN106775903A (zh) * | 2017-02-24 | 2017-05-31 | 北京小米移动软件有限公司 | 安全策略文件更新方法及装置 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| CN109964227A (zh) * | 2017-10-30 | 2019-07-02 | 华为技术有限公司 | 更新SELinux安全策略的方法及终端 |
| CN110278556A (zh) * | 2018-03-13 | 2019-09-24 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
| CN110647740A (zh) * | 2018-06-27 | 2020-01-03 | 复旦大学 | 一种基于tpm的容器可信启动方法及装置 |
| WO2020033570A1 (en) * | 2018-08-07 | 2020-02-13 | Concio Holdings LLC | Adaptable and secure can bus |
| EP3834377A1 (en) * | 2018-08-07 | 2021-06-16 | Kvaser AB | Adaptable and secure can bus |
| CN109271792A (zh) * | 2018-08-15 | 2019-01-25 | 中国人民解放军陆军工程大学 | 一种基于Android本地层挂钩的终端外设控制方法及装置 |
| CN109167782A (zh) * | 2018-08-31 | 2019-01-08 | 国鼎网络空间安全技术有限公司 | 基于智能移动终端的隐私数据保护方法及系统 |
| CN109213561A (zh) * | 2018-09-14 | 2019-01-15 | 珠海国芯云科技有限公司 | 基于容器的虚拟桌面的设备调度方法及装置 |
| CN109460638A (zh) * | 2018-11-22 | 2019-03-12 | 郑州云海信息技术有限公司 | 一种用于管控可执行程序的方法和装置 |
| CN109542970A (zh) * | 2018-11-27 | 2019-03-29 | 长沙智擎信息技术有限公司 | 一种基于容器的大规模异构数据管理方法 |
| CN109729089A (zh) * | 2019-01-02 | 2019-05-07 | 中国电子科技网络信息安全有限公司 | 一种基于容器的智能网络安全功能管理方法及系统 |
| CN110059453A (zh) * | 2019-03-13 | 2019-07-26 | 中国科学院计算技术研究所 | 一种容器虚拟化安全加固装置及方法 |
| CN110007933A (zh) * | 2019-03-26 | 2019-07-12 | 山东超越数控电子股份有限公司 | 一种面向多租户容器镜像安全配置方法,系统,运行终端及存储介质 |
| CN109998582A (zh) * | 2019-04-15 | 2019-07-12 | 上海联影医疗科技有限公司 | 符合判选方法、装置、设备和介质 |
| CN110262830A (zh) * | 2019-05-24 | 2019-09-20 | 北京指掌易科技有限公司 | 一种移动端基于应用二次开发的方法 |
| CN110188574A (zh) * | 2019-06-06 | 2019-08-30 | 上海帆一尚行科技有限公司 | 一种Docker容器的网页防篡改系统及其方法 |
| CN110174868A (zh) * | 2019-06-21 | 2019-08-27 | 中车株洲电力机车有限公司 | 一种重载组合列车列车管同步控制方法及系统 |
| CN110348234A (zh) * | 2019-07-01 | 2019-10-18 | 电子科技大学 | Mils架构中的强制访问安全策略实现方法及管理方法 |
| CN110830546A (zh) * | 2019-09-20 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于容器云平台的可用域建设方法、装置、设备 |
| CN112751806A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
| CN111061540A (zh) * | 2019-11-27 | 2020-04-24 | 北京计算机技术及应用研究所 | 一种基于容器技术的应用虚拟化方法及系统 |
| CN111030107A (zh) * | 2019-12-26 | 2020-04-17 | 中国电力科学研究院有限公司 | 一种多输电断面协同控制辅助决策预警控制方法及系统 |
| CN111314455A (zh) * | 2020-02-12 | 2020-06-19 | 深圳供电局有限公司 | 一种容器微服务it监控系统及方法 |
| CN112003821A (zh) * | 2020-07-14 | 2020-11-27 | 烽火通信科技股份有限公司 | 一种云平台安全管理方法、系统以及安全管理服务器 |
| CN112764875A (zh) * | 2020-12-31 | 2021-05-07 | 中国科学院软件研究所 | 一种面向智能计算的轻量级入口容器微服务系统及方法 |
| CN113138836A (zh) * | 2021-04-14 | 2021-07-20 | 启明星辰信息技术集团股份有限公司 | 一种基于Docker容器的防逃逸蜜罐系统及其方法 |
| CN112861118A (zh) * | 2021-04-26 | 2021-05-28 | 湖北亿咖通科技有限公司 | 双系统的容器间安全策略隔离方法、电子设备及存储介质 |
| CN113626819A (zh) * | 2021-06-23 | 2021-11-09 | 苏州浪潮智能科技有限公司 | 一种安全挂载存储装置的方法及系统 |
| CN114003344A (zh) * | 2021-11-02 | 2022-02-01 | 长沙极光安联信息技术有限公司 | 面向Docker的强制访问控制安全策略自动生成方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114780168B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9684547B2 (en) | Method and apparatus for handling security of an application and its extension | |
| US10990371B2 (en) | Device driver non-volatile backing-store installation | |
| US8127316B1 (en) | System and method for intercepting process creation events | |
| US8578367B2 (en) | Method for enabling the installation of software applications on locked-down computers | |
| WO2019072008A1 (zh) | 小程序的安全扫描方法、装置以及电子设备 | |
| JP2005327239A (ja) | セキュリティ関連プログラミング・インターフェース | |
| US10019598B2 (en) | Dynamic service discovery | |
| EP3514718B1 (en) | Verified inter-module communications interface | |
| WO2015183456A1 (en) | Consistent extension points to allow an extension to extend functionality of an application to another application | |
| CN106056000B (zh) | 基于系统权限的移动设备存储分区配置方法及装置 | |
| EP3514717B1 (en) | Device driver non-volatile backing-store installation | |
| US11677754B2 (en) | Access control systems and methods | |
| CN106411814B (zh) | 一种策略管理方法及系统 | |
| CN112231198B (zh) | 一种恶意进程调试方法、装置、电子设备及介质 | |
| CN117693737A (zh) | 为容器实例设立子目录和网络接口的过程的保护 | |
| CN110045998B (zh) | 加载动态库的方法及装置 | |
| CN117313127A (zh) | 数据访问权限控制方法、装置、电子设备及存储介质 | |
| CN114780168A (zh) | 智能终端容器安全策略动态变更的方法、装置及电子设备 | |
| CN116226861A (zh) | 一种Linux系统进程自保护方法与系统 | |
| CN108804144B (zh) | 操作系统启动的控制方法/系统、存储介质及电子设备 | |
| CN113553578A (zh) | 一种日志打印响应方法、装置、电子设备和存储介质 | |
| WO2022093186A1 (en) | Code execution using trusted code record | |
| CN116150116B (zh) | 文件系统共享的方法、装置、电子设备及存储介质 | |
| US11188622B2 (en) | Systems and methods for computer security | |
| US20230026040A1 (en) | Authorizing application access via custom uwp sid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |