【技术实现步骤摘要】
本专利技术涉及可信容器,尤其涉及一种基于trustzone的可信容器应用安全读写方法和系统。
技术介绍
1、随着互联网的快速发展,云原生容器技术是众多有高性能、弹性扩展、高可靠要求的应用的首选技术。容器技术可以创建轻量级的、独立的运行环境,使得应用程序可以在不同的环境中快速、可靠地运行,提高了开发、测试和生产环境的敏捷性。在提供高性能和高效率的同时,容器技术引入了新的安全性问题:容器技术通过共享使用宿主操作系统的系统内核、文件系统等基础组件,导致容器隔离性差,单个容器被入侵时更易发生容器逃逸,进而造成宿主系统的安全风险以及更容易遭受横向攻击。
2、当前主要有三种提高容器安全性的方案,可以一定程度提高容器的隔离性、安全性,但是在实际应用中存在一定的不足。方案一,在容器运行时进行安全检测,通过检测容器运行环境、运行状态识别风险、发现攻击。该方案为被动检测模式,发现攻击有滞后性,对于0day攻击等新型攻击通常没有有效识别手段;容器都是由镜像拉起,容器漏洞和风险通常固化在容器镜像中,安全检测发现安全风险只能告警,无法自动修复。方案二采用kata容器,kata容器具有独立的内核,可以提供网络、i/o、内存的隔离,是一种介于容器和虚拟机之间的虚拟化技术,性能和资源使用上优于虚拟机,安全隔离性上优于传统容器。但是kata容器仍然无法解决宿主系统级别的资源隔离,一旦宿主系统被入侵,运行在该宿主系统上的所有容器数据仍然可能泄漏。方案三,基于intel sgx可信执行环境提出的安全容器方案,为每个容器构建独立的安全加密的可信执行环境实例
3、因此,如何提供一种基于trustzone可信执行环境,支持应用级别的数据可信隔离的安全容器,成为亟待解决的技术问题。
技术实现思路
1、有鉴于此,为了克服现有技术的不足,本专利技术旨在提供一种基于trustzone的可信容器应用安全读写方法和系统。
2、根据本专利技术的第一方面,提供一种基于trustzone的可信容器应用安全读写方法,包括:
3、启动可信容器,通过为可信容器内的应用设置可信安全接口获得安全应用;
4、启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密;
5、根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写。
6、优选地,本专利技术的基于trustzone的可信容器应用安全读写方法中,启动可信容器,通过为可信容器内的应用设置可信安全接口获得安全应用,包括:启动可信容器,通过操纵系统内核对启动的可信容器进行识别,将识别的可信容器中的应用的内存操作接口设置为可信执行环境管理服务提供的接口。
7、优选地,本专利技术的基于trustzone的可信容器应用安全读写方法中,启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密,包括:
8、在可信容器内启动安全应用,识别启动的安全应用的所属可信容器id,根据识别的可信容器id记录对应安全应用的应用指纹;
9、为启动的安全应用分配独立的密钥,采用分配的密钥对安全应用在内存空间中对应的内存数据进行加密。
10、优选地,本专利技术的基于trustzone的可信容器应用安全读写方法中,应用指纹包括安全应用的名称、存储路径和关键代码段信息。
11、优选地,本专利技术的基于trustzone的可信容器应用安全读写方法中,根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写,包括:
12、在安全应用读写内存空间的内存数据前,对读写内存数据的安全应用进行身份识别和校验;
13、提取通过身份识别和校验的安全应用的密钥,采用提取的密钥对安全应用在内存空间中对应的加密内存数据进行解密,获得解密的内存数据;
14、采用安全应用读写内存空间中对应的解密的内存数据。
15、优选地,本专利技术的基于trustzone的可信容器应用安全读写方法中,根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写,还包括:当读写内存数据的安全应用未通过身份识别和校验,终止所述安全应用的读取进程,记录所述安全的识别和校验日志。
16、根据本专利技术的第二方面,提供一种基于trustzone的可信容器应用安全读写系统,该系统包括安全读写服务端,该安全读写服务端用于启动可信容器,通过为可信容器内的应用设置可信安全接口获得安全应用;启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密;根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写。
17、优选地,本专利技术的基于trustzone的可信容器应用安全读写系统中,该安全读写服务端包括:
18、多个可信容器,所述可信容器中设置多个安全应用;
19、可信执行环境管理服务模块,所述可信执行环境管理服务模块用于启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密;根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写。
20、优选地,本专利技术的基于trustzone的可信容器应用安全读写系统中,可信执行环境管理服务模块包括:
21、应用指纹管理单元,用于在可信容器内启动安全应用时,识别启动的安全应用的所属可信容器id,根据识别的可信容器id记录对应安全应用的应用指纹;在安全应用读写内存空间的内存数据前,对读写内存数据的安全应用进行身份识别和校验;
22、应用密钥管理单元,用于为启动的安全应用分配独立的密钥,提取通过身份识别和校验的安全应用的密钥;
23、加解密单元,用于采用分配的密钥对安全应用在内存空间中对应的内存数据进行加密;采用提取的密钥对安全应用在内存空间中对应的加密内存数据进行解密,获得解密的内存数据。
24、根据本专利技术的第三方面,提供一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本专利技术第一方面所述的方法。
25、本专利技术实施例的基于trustzone的可信容器应用安全读写方法和系统,在trustzone可信执行环境中,通过使用不同的安全密钥为内存加密,为不同的容器应用提供安全隔离的内存环境,实现硬件级的容器内应用执行环境安全隔离,保障容器内应用的业务数据的安全性,具有以下有益技术效果:
<本文档来自技高网...【技术保护点】
1.一种基于TrustZone的可信容器应用安全读写方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于TrustZone的可信容器应用安全读写方法,其特征在于,启动可信容器,通过为可信容器内的应用设置可信安全接口获得安全应用,包括:启动可信容器,通过操纵系统内核对启动的可信容器进行识别,将识别的可信容器中的应用的内存操作接口设置为可信执行环境管理服务提供的接口。
3.根据权利要求1所述的基于TrustZone的可信容器应用安全读写方法,其特征在于,启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密,包括:
4.根据权利要求1所述的基于TrustZone的可信容器应用安全读写方法,其特征在于,应用指纹包括安全应用的名称、存储路径和关键代码段信息。
5.根据权利要求1所述的基于TrustZone的可信容器应用安全读写方法,其特征在于,根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写,包括:
6.根据权利要求5所述的基于TrustZone的
7.一种基于TrustZone的可信容器应用安全读写系统,其特征在于,所述系统包括安全读写服务端,所述安全读写服务端用于启动可信容器,通过为可信容器内的应用设置可信安全接口获得安全应用;启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密;根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写。
8.根据权利要求7所述的基于TrustZone的可信容器应用安全读写系统,其特征在于,所述安全读写服务端包括:
9.根据权利要求8所述的基于TrustZone的可信容器应用安全读写系统,其特征在于,可信执行环境管理服务模块包括:
10.一种计算机设备,其特征在于,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1-6中任一项所述方法的步骤。
...【技术特征摘要】
1.一种基于trustzone的可信容器应用安全读写方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于trustzone的可信容器应用安全读写方法,其特征在于,启动可信容器,通过为可信容器内的应用设置可信安全接口获得安全应用,包括:启动可信容器,通过操纵系统内核对启动的可信容器进行识别,将识别的可信容器中的应用的内存操作接口设置为可信执行环境管理服务提供的接口。
3.根据权利要求1所述的基于trustzone的可信容器应用安全读写方法,其特征在于,启动安全应用,记录启动的安全应用的应用指纹,对安全应用对应的内存数据进行加密,包括:
4.根据权利要求1所述的基于trustzone的可信容器应用安全读写方法,其特征在于,应用指纹包括安全应用的名称、存储路径和关键代码段信息。
5.根据权利要求1所述的基于trustzone的可信容器应用安全读写方法,其特征在于,根据应用指纹对安全应用进行身份识别和校验,采用通过身份识别和校验的安全应用对加密的内存数据进行读写,包括:
6.根据权利要求5所述的基于trustzone的可信容器应用安全读写方法,其特征在于,根据应用...
【专利技术属性】
技术研发人员:邓覃思,
申请(专利权)人:中电云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。