公开(公告)号：CN117170808A

公开(公告)日：2023-12-05

申请号：CN202311137630.9

申请日：2023-09-04

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 刘维杰 ,  李志 ,  田洪亮 ,  闫守孟

IPC: G06F9/455 ,  G06F16/13 ,  G06F16/188 ,  G06F40/117

Abstract: 本说明书实施例提供一种管控等级标记方法和系统，涉及计算机技术领域。技术要点包括：确定容器对应的容器虚拟文件系统中的容器目录项；所述容器虚拟文件系统用于管理容器对应的一个以上文件，且具有反映所述一个以上文件的层级关系的容器目录项；将所述容器虚拟文件系统中的容器目录项标记为第一管控等级，以区别于所述处理设备的主机虚拟文件系统中除容器文件虚拟系统以外的目录项的管控等级；主机虚拟文件系统用于管理处理设备中的文件，且具有反映处理设备中各文件的层级关系的目录项。

公开(公告)号：CN118427160A

公开(公告)日：2024-08-02

申请号：CN202410579027.4

申请日：2024-05-10

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 刘维杰 ,  李志 ,  田洪亮 ,  闫守孟

IPC: G06F16/13 ,  G06F16/16

Abstract: 本说明书的实施例提供了一种基于内核的文件访问控制方法和装置。在该基于内核的文件访问控制方法中，利用类Unix系统(例如Linux系统)的进程对文件的访问在内核中表现为进程对象对文件索引节点结构体的访问，采用以索引节点为粒度实施访问控制，通过获取发起针对被访问文件的文件访问的第一进程所属的第一进程命名空间和创建被访问文件的第二进程所属的第二进程命名空间与被访问文件的访问控制规则进行匹配，来确定是否允许第一进程访问被访问文件的索引节点。通过上述由内核实施的对进程的访问控制方法，可以有效增强容器与宿主机之间文件系统的隔离。

公开(公告)号：CN118734284A

公开(公告)日：2024-10-01

申请号：CN202410815463.7

申请日：2024-06-21

Applicant: 支付宝(杭州)信息技术有限公司

Inventor： 李志 ,  刘维杰 ,  田洪亮 ,  闫守孟

IPC: G06F21/44 ,  G06F11/36 ,  G06F9/445 ,  G06F9/455

Abstract: 本申请一个或多个实施例提供一种容器运行时的权限管理方法和装置，所述方法包括：容器运行时在执行目标进程的过程中，确定是否触发插桩代码的执行；其中，所述插桩代码为针对与交互进程对应的代码插入的代码片段，所述交互进程为所述容器运行时与容器实例交互的进程；如果触发所述插桩代码的执行，所述容器运行时向用于对进程进行权限管理的插件发送通知信号；所述插件响应于接收到的所述通知信号，对所述目标进程进行进程追踪，并基于预设的安全策略，对所述目标进程进行权限管理；在完成对所述目标进程的权限管理后，所述容器运行时继续执行权限管理后的所述目标进程。