本发明公开了面向kata容器持久化数据保护方法及装置,kata容器启动时,kata容器检查业务数据文件中的业务数据信息,确保业务数据文件中的业务数据信息均为加密数据;kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,由kata容器将加密后的业务数据写到本地业务数据文件中。本发明能够实现容器内对业务数据透明加/解密,对容器内业务数据持久化保护能力有显著提高,减少业务信息泄露的风险。
1.一种面向kata容器持久化数据保护方法,其特征在于,包括:
kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
2.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于:所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
3.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于:所述加密模块和解密模块均使用国密SM4算法。
4.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于:kata容器启动之前还包括:kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型。
5.根据权利要求1所述的一种面向kata容器持久化数据保护方法,其特征在于,所述kata容器接收用户发送的容器内业务数据文件类型配置指令步骤之后还包括:kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的业务数据。
6.一种面向kata容器持久化数据保护装置,其特征在于,包括:kata容器,以及kata容器对应的虚拟机内核中加密模块和解密模块;
kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
7.根据权利要求6所述的一种面向kata容器持久化数据保护装置,其特征在于,所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
8.根据权利要求6所述的一种面向kata容器持久化数据保护装置,其特征在于,所述加密模块和解密模块均使用国密SM4算法。
9.根据权利要求6所述的一种面向kata容器持久化数据保护装置,其特征在于,所述kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型。
10.根据权利要求6所述的一种面向kata容器持久化数据保护装置,其特征在于,所述kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的业务数据。
面向kata容器持久化数据保护方法及装置
技术领域
[0001] 本发明属于容器安全技术领域,具体涉及一种面向kata容器持久化数据保护方法及装置。
背景技术
[0002] kata容器不需要共享主机的硬件资源和内核,每个kata容器运行在一个独立的虚拟机上,降低了主机的资源消耗和主机内核崩溃的风险,容器之间通过不同虚拟机进行隔离,从而解决了容器之间的安全性和隔离问题,相比传统的docker容器具有更高的安全性。
[0003] kata容器内业务数据本地持久化保存,采用指定宿主机存储目录共享给容器用于存储业务数据到本地,这种方式虽可以实现kata容器中的业务数据本地持久化存储,但存在容器内业务数据信息泄露的风险问题。如果单独对存储在本地的业务数据进行加密,则kata容器无法对加密的业务数据进行解密识别。
发明内容
[0004] 针对上述问题,本发明提出一种面向kata容器持久化数据保护方法及装置,能够实现容器内对业务数据透明加/解密,对容器内业务数据持久化保护能力有显著提高,增强了容器数据安全性,减少了业务信息泄露的风险。
[0005] 为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
[0006] 第一方面,本发明提供了一种面向kata容器持久化数据保护方法,包括:
[0007] kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
[0008] kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
[0009] kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
[0010] 可选地,所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:
[0011] 若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
[0012] 可选地,所述加密模块和解密模块均使用国密SM4算法。
[0013] 可选地,kata容器启动之前还包括:
[0014] kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型。
[0015] 可选地,所述kata容器接收用户发送的容器内业务数据文件类型配置指令步骤之后还包括:
[0016] kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的业务数据。
[0017] 第二方面,本发明提供了一种面向kata容器持久化数据保护装置,包括:kata容器,以及kata容器对应的虚拟机内核中加密模块和解密模块;
[0018] kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
[0019] kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
[0020] kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
[0021] 可选地,所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:
[0022] 若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
[0023] 可选地,所述加密模块和解密模块均使用国密SM4算法。
[0024] 可选地,所述kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型。
[0025] 可选地,所述kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的业务数据。
[0026] 与现有技术相比,本发明的有益效果:
[0027] 本发明中,kata容器启动时检查业务数据文件是否加密,如果业务数据文件没有加密,使用容器对应虚拟机内核中的加密模块对业务数据进行加密。kata容器读取业务数据文件时,使用容器对应虚拟机内核中的解密模块对读取的业务数据进行解密。kata容器内产生业务数据写到本之前,使用对应虚拟机内核中的加密模块对待写入本地的业务数据进行加密。实现容器内对业务数据透明加、解密,容器外看本地数据为加密乱码。
附图说明
[0028] 为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明,其中:
[0029] 图1为本发明一种实施例的面向kata容器持久化数据保护装置的结构示意图;
[0030] 图2为本发明一种实施例的加解密流程示意图。
具体实施方式
[0031] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明的保护范围。
[0032] 下面结合附图对本发明的应用原理作详细的描述。
[0033] 实施例1
[0034] 本发明实施例中提供了一种面向kata容器持久化数据保护方法,具体包括以下步骤:
[0035] kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型;
[0036] kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的业务数据;
[0037] kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
[0038] kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
[0039] kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
[0040] 在本发明实施例的所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:
[0041] 若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
[0042] 下面结合一具体实施过程,对本发明实施例中的方法进行详细说明。
[0043] 步骤一,用户配置加密文件路径、文件类型;
[0044] 用户在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径、文件类型。
[0045] 步骤二,创建指定宿主机共享空间给容器,用于存储kata容器内的业务数据。
[0046] 步骤三,启动kata容器和容器对应的虚拟机;
[0047] 步骤四,容器启动检查业务数据文件是否加密。
[0048] kata容器启动根据步骤一配置的文件,检查业务数据文件是否加密,如果业务数据没有加密,使用容器对应虚拟机内核中加密模块对业务数据文件内容进行加密。
[0049] 步骤五,容器内读、写业务数据文件时,对待读、写的业务数据进行解密、加密操作。
[0050] 容器内读取业务数据文件时,使用容器对应虚拟机内核中的解密模块对读取的业务数据信息进行解密。容器内产生业务数据信息写入本地时,使用容器对应虚拟机内核中加密模块对待写的业务数据信息进行加密,然后写到本地存储。
[0051] 如图2所示,kata容器内业务数据加、解密使用对称加密算法国密SM4,在容器对应虚拟机内核的中对读取的业务数据信息进行国密SM4解密操作,然后将解密后面的业务数据返回给容器。容器将业务数据写到数据文件中时,在容器对应虚拟机内核中对待写的业务数据信息使用国密SM4加密,然后将加密后的业务数据写到本地业务数据文件中,进行存储。
[0052] 实施例2
[0053] 本发明实施例中提供了一种面向kata容器持久化数据保护装置,如图1所示,包括:kata容器,以及kata容器对应的虚拟机内核中加密模块和解密模块(即图1中的加/解密模块);
[0054] 所述kata容器接收用户发送的容器内业务数据文件类型配置指令,并根据接收到的指令在kata配置文件目录中单独创建一个配置文件,用于指定待加密文件路径和文件类型;
[0055] 所述kata容器接收用户发送的指定宿主机存储目录,所述宿主机用于存储kata容器中的业务数据;
[0056] kata容器启动时,kata容器检查业务数据文件中的业务数据信息是否加密,并根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据;
[0057] kata容器内读取业务数据文件时,kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块,使得解密模块对待读取的业务数据文件进行解密;
[0058] kata容器内发生写业务数据到本地时,kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块,使得加密模块对待写到本地的业务数据进行加密,最终由kata容器将加密后的业务数据写到本地业务数据文件中。
[0059] 在本发明实施例的一种具体实施方式中,所述根据检查结果进行相应操作,确保业务数据文件中的业务数据信息均为加密数据,具体为:
[0060] 若检查结果为“未加密”,则kata容器将业务数据信息发送至kata容器对应虚拟机内核中的加密模块对业务数据文件中的数据进行加密,并接收和存储加密后业务数据信息。
[0061] 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
