基本信息:
- 专利标题: 一种面向容器的进程细粒度访问控制的方法及装置
- 申请号:CN202510160357.4 申请日:2025-02-13
- 公开(公告)号:CN120145434A 公开(公告)日:2025-06-13
- 发明人: 宋振宇 , 贾广琛 , 贾晓启 , 宋晨 , 郭璇 , 刘歌 , 张正 , 王勇攀 , 张伟娟
- 申请人: 中国科学院信息工程研究所
- 申请人地址: 北京市海淀区树村路19号
- 专利权人: 中国科学院信息工程研究所
- 当前专利权人: 中国科学院信息工程研究所
- 当前专利权人地址: 北京市海淀区树村路19号
- 代理机构: 北京君尚知识产权代理有限公司
- 代理人: 司立彬
- 主分类号: G06F21/62
- IPC分类号: G06F21/62 ; G06F21/55 ; G06F9/448
摘要:
本发明公开了一种面向容器的进程细粒度访问控制的方法及装置。本发明基于eBPF技术对Linux系统的LSM内核函数进行挂钩,采用回溯父进程的方式来区分挂载到LSM的eBPF程序所拦截到的进程是容器内的原始进程还是非原始进程,同时在递归回溯父进程的过程中判断进程命令名标识来将非预期的原始进程划分到需要接受访问控制规则匹配的范围,同时允许用户将容器内预期的非原始进程设置白名单的方式,达到不对其实施访问控制规则匹配的目的,以此实现只对容器内的非预期的非原始进程与非预期的原始进程进行规则的匹配。本发明将访问控制的粒度进一步细化,以达到实施访问控制规则时不影响容器内原始业务进程的效果。
IPC结构图谱:
| G | 物理 |
| --G06 | 计算;推算;计数 |
| ----G06F | 电数字数据处理 |
| ------G06F21/00 | 防止未授权行为的保护计算机或计算机系统的安全装置 |
| --------G06F21/10 | .保护分布式程序或内容,例如版权资料的出售或许可 |
| ----------G06F21/62 | ..通过一个平台保护数据存取访问,例如使用密钥或访问控制规 |