返回
Docker虚拟化安全隔离系统设计与实现

Docker虚拟化安全隔离系统设计与实现

ID:37032898

大小:3.10 MB

页数:72页

时间:2019-05-15

Docker虚拟化安全隔离系统设计与实现_第1页
Docker虚拟化安全隔离系统设计与实现_第2页
Docker虚拟化安全隔离系统设计与实现_第3页
Docker虚拟化安全隔离系统设计与实现_第4页
Docker虚拟化安全隔离系统设计与实现_第5页
资源描述:

《Docker虚拟化安全隔离系统设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、财{謂我衫_硕士学位论文mIDocker虚拟化安全隔离系统设计与实现_作者姓名王刘飞学校导师姓名、职称李凤华教授企业导师姓名、职称刘毅高工申请学位类别工程硕士学校代码10701学号1503121764分类号TP309密级公开西安电子科技大学硕士学位论文Docker虚拟化安全隔离系统设计与实现作者姓名:王刘飞领域:计算机技术学位类别:工程硕士学校导师姓名、职称:李凤华教授企业导师姓名、职称:刘毅高工学院:计算机学院提交日期:2018年6月TheDesignandImplementationofSecurityI

2、solationSystemaboutDockerVirtualizationAthesissubmittedtoXIDIANUNIVERSITYinpartialfulfillmentoftherequirementsforthedegreeofMasterinComputerTechnologyByWangLiuFeiSupervisor:LiFengHuaTitle:ProfessorSupervisor:LiuYiTitle:SeniorEngineerJune2018摘要摘要随着计算机技术的高速发展,云计算对各行各业产生了深远的影响,

3、伴随着云计算的广泛应用,基于资源池化的虚拟化技术也得到了快速发展。Docker作为一种操作系统级的虚拟化解决方案开始崭露头角,逐渐替代传统的虚拟化方案,被广泛地应用于各大云服务提供商和互联网机构。然而,Docker以其自身优势得到广泛应用的同时,自身也暴漏出越来越多的缺陷,如隔离性差、安全加固复杂等,导致易发生容器逃逸、容器和宿主机瘫痪、用户数据泄露等安全问题。传统的安全加固方案如SELinux,虽然有较高的安全性,但是由于其自身的实现复杂、兼容性差、管理不便的原因,不能够很好的适应Docker容器间对共享数据卷文件的安全隔离与共享需求。因此,

4、对Docker中的容器进行隔离增强以及实现容器间高效安全的数据共享是Docker安全解决方案需要面临的问题。本文针对Docker所面临的安全问题以及容器间高效安全的数据共享需求,提出了一种多级安全容器隔离机制,并在其基础之上设计并实现了一个基于LSM的强制访问控制系统CMAC(ContainerbasedMAC)。CMAC系统包括容器进程隔离和共享数据卷隔离两个部分,旨在保护宿主机文件和容器的可读写层镜像并实现容器间文件的安全共享和隔离。在容器进程隔离方面,CMAC实现了一个容器只允许访问自己所属的可读写层镜像,阻止容器访问不属于其自身的可读写

5、层镜像和受访问限制的宿主机文件的访问控制系统。在共享数据卷隔离方面,CMAC对宿主机中的容器进行分组,赋予每个容器组间id和组内等级id。不属于同一组的容器之间无法相互访问,同一组的容器按照组内的安全等级来进行访问控制。最后在该方案基础上,本文给出了CMAC的详细设计与实现过程以及最终的测试结果。总体来说,本文主要创新点如下:(1)针对Docker面临的安全问题,研究Docker的技术基础,提出一种多级安全容器隔离机制,并依据该理论基础设计了强制访问控制系统CMAC,该系统包含容器进程隔离和共享数据卷隔离两个部分。(2)在Docker虚拟化环境

6、中,给出CMAC强制访问控制系统的详细设计,实现了对容器内进程读写宿主机文件、可读写层镜像文件和共享数据卷的访问控制,最后对系统进行功能性测试和性能测试。由测试结果可知,CMAC系统完成了对容器进程和共享数据卷的隔离,有效的保护了宿主机文件和容器镜像文件的安全,并使容器之间能灵活高效的进行数据共享。关键词:Docker,虚拟化安全,强制访问控制,LSM,容器隔离IABSTRACTABSTRACTWiththerapiddevelopmentofcomputertechnology,cloudcomputinghashadaprofoundimp

7、actonallwalksoflife,andwiththewideapplicationofcloudcomputing,virtualizationtechnologybasedonresourcepoolinghasalsodevelopedrapidly.Dockerisemergingasanoperatingsystem-levelvirtualizationsolutionthatgraduallyreplacestraditionalvirtualizationsolutionsandiswidelyusedbymajorclo

8、udserviceprovidersandtheInternetorganizations.However,whileDockerhasbeenwid

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。