面向容器的安全隔离策略机制研究

发布时间：2019-11-15 02:23

【摘要】：云计算一般采用虚拟化技术实现,传统的虚拟化技术可以较好地安全隔离虚拟机(Virtual Machine,VM),但是它们消耗的资源比较大,性能和经济效益都比较低。跟传统的虚拟化方式相比,以Linux容器(Linux Containers,LXC)技术为基础的操作系统级虚拟化拥有众多的优势。首先,容器的启动可以在秒级实现;其次,容器在利用系统资源方面效率很高。然而用户会担心容器隔离机制的安全强度是否充分,因此轻量级虚拟化技术想要吸引更多用户的方法在于向用户证明其容器隔离的有效性,使用户能够对其提供的服务建立足够的信心。然而以目前对轻量级虚拟化隔离技术的研究来看,大多数研究偏重于容器隔离技术的具体实施方法,在容器隔离理论分析方面的研究则显得相对匮乏。因此本文针对容器隔离技术展开安全策略的理论研究。本文的工作在于:(1)给出容器隔离策略机制的形式化设计:针对轻量级虚拟化的特点,在对系统上所有客体所对应的地址空间进行划分等一系列隔离要求的基础上,给出容器隔离的形式化定义。基于容器主体可读取和可写入的客体地址空间,提出一套容器隔离的最小策略规则集;(2)给出容器隔离策略机制的安全性分析:结合安全系统的技术思想,提出从机制本身及系统运行时两个层面来保证策略机制的安全性。通过形式化公式,验证该最小策略规则集符合容器的隔离定义,来保证这套机制本身的安全性。通过域和类型增强(Domain and Type Enforcement,DTE)中域定义表(Domain Definition Table,DDT)的形式化验证,来保证容器隔离要求、定义及策略规则在系统运行过程中的安全性;(3)给出容器隔离策略机制的可行性分析:结合Linux容器和DTE中的技术基础,提出从机制本身及系统运行时两个层面来保证策略机制的可行性。通过名字空间技术和写时复制机制,来说明策略机制本身的可行性。通过DTE语言(DTE Language,DTEL),在容器隔离策略机制的形式化设计基础上,给出DTE具体的策略实现,来说明策略机制在系统运行时的可行性。最后给出容器隔离策略机制的系统实现。
【图文】：

流程图,访问控制,流程

ＬＳＭ通过在访问操作前放置ｈｏｏｋｓ钩子，ｈｏｏｋ会调用ＬＳＭ模块提供的函数，逡逑来允许访问执行或返回错误拒绝访问执行，从而实现模块对客体的访问控制。决逡逑策一个进程的执行与否的访问控制流程具体如下图２－１所示：逡逑Ｖ＿＿＿进程．）逦用户巧间逡逑（福丢宗谓—品）逦内核空向逡逑———……Ｙ逡逑广请求浙巧逡逑逦Ｉ邋邋－逦ＬＳＭ策略模块逡逑户＾－…、、、是或否？邋＾／＾问请求是否符＾逡逑＾邋ＬＳＭ巧子Ｊ￣￣？（逦巧化逦＞逡逑、、－逦邋１逦逡逑逦１逦逡逑■＿＿＿二逦—￣１邋巧逡逑（ｍｍｊｆＨ邋）逦拒绝访问￣￣）逡逑图２－１访问控制流程逡逑Ｆｉｇｕｒｅ邋２－１邋Ｔｈｅ邋ａｃｃｅｓｓ邋ｃｏｎｔｒｏｌ邋ｐｒｏｃｅｓｓ逡逑２N２域和类型增强逡逑域和类型增强（Ｄｏｍａｉｎ邋ａｎｄ邋Ｔｙｐｅ邋Ｅｎｆｏｒｃｅｍｅｎｔ，邋ＤＴＥ）是一个基于表的访问控制逡逑机制，限制正在运行的程序只能访问那些他们有权限访问的对象。像ＳＥＬｉｎｕｘ－逡逑样，，ＤＴＥ起初是作为一个内核补了实现的，后来才被加入进ＬＳＭ框架中。逡逑跟其他访问控制机制一样，ＤＴＥ将系统视为主动实体（或主体）和被动实体（或逡逑客体）的组合。通过为主体和客体贴标签的方式，来为Ｌｉｎｕｘ上所有主体（包括可逡逑信主体）提供访问控制策略。这种机制的访问控制属性中

容器,操作系统,内核,技术

图２－３容器的设计图逡逑Ｆｉｇｕ巧邋２－３邋Ｄｅｓｉｇｎ邋ｄｒａｗｉｎｇ邋化ｒ邋Ｃｏｎ化ｉｎｅｒ逡逑ｕｘ容器其实不是一个全新的概念。最早的容器技术可Ｗ追溯到１９８２列操作系统上的ｃｈｒｏｏｔ工具（直到今天，主流的Ｕｎｉｘ、Ｌｉｎｕｘ操作系和带有该工具）。早期的容器实现技术包括ＦｒｅｅＢＳＤ操作系统上的ＦｒｅｅＢＧＮＵ／Ｌｉｎｕｘ邋上的邋Ｌｉｎｕｘ－ＶＳｅｒｖｅｒ，邋（＾及邋Ｓｕｎ邋Ｓｏｌａｒｉｓ邋操作系统上的邋Ｓｏｌａｅｒｓ。这些技术己经发展得很成熟，但都还没有将它们的容器集成到任ｎｕｘ内核。因此Ｌｉｎｕｘ容器（ＬＸＣ）是目前唯逦个为Ｌｉｎｕｘ提供的操作化技术。逡逑Ｃ从Ｌｉｎｕｘ邋３．８版本开始被纳入内核主线，它将应用程序运行所需的内部代码、组件、依赖等打包成一个容器，通过共用的应用程序编程１６逡逑
【学位授予单位】：北京交通大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.09

【参考文献】