2026-02-04 01:28:21 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 针对容器逃逸及用户命名空间身份重叠问题，本文提出SecPod框架。通过动态分配独立UID/GID实现身份隔离，并利用FUSE代理透明处理权限映射，解决访问冲突。该方案无需修改宿主文件系统即可强化隔离，有效防御提权与逃逸，适用于多租户云环境。 综合评分： 87 文章分类： 云安全,解决方案,安全建设

cover_image

优秀论文 | 北京航空航天大学路新喜团队：基于命名空间与文件系统代理的容器安全框架研究

原创

信息网络安全杂志信息网络安全杂志

信息网络安全杂志

2026年2月3日 17:39 上海

引用本文

路新喜, 郭建伟, 苑立娟, 柳燕, 徐彬彬, 刘杨. 基于命名空间与文件系统代理的容器安全框架研究[J]. 信息网络安全, 2025, 25(8): 1196-1207.

LU Xinxi, GUO Jianwei, YUAN Lijuan, LIU Yan, XU Binbin, LIU Yang. Research on Container Security Framework Based on Namespace and Filesystem Proxy[J]. Netinfo Security, 2025, 25(8): 1196-1207.

研究背景

容器技术凭借高效性、可移植性、灵活性等优势正在为各行业提供核心竞争力。但容器隔离机制依赖Linux内核的命名空间（namespaces）和控制组（cgroups）实现隔离，其共享内核架构带来了严重的安全挑战。一旦宿主机内核或容器运行时存在漏洞，攻击者可能借此实现“容器逃逸”，即突破容器边界，非法访问宿主机资源。实践中，恶意容器可覆盖宿主机可执行文件，而内核提权漏洞也均可被容器进程复用，进而篡改宿主关键数据。

为强化隔离能力，业界通常采用Linux安全模块和系统调用过滤等防御机制。然而，现有机制仍存在关键缺陷。首先，能显著强化安全性的用户命名空间（user namespace）机制，因其复杂性在Docker中默认并未启用。即便启用（userns-remap），Docker的实现仍采用统一的UID映射区间，即所有容器共享一套主机UID映射。这导致一旦某个容器逃逸，其进程在宿主视角下与其他容器身份一致，仍可能干扰到其他容器，打破了容器间的身份隔离。其次，启用用户命名空间后，容器内部UID与宿主文件UID不匹配，导致访问冲突。Docker当前的解决方案（对挂载卷执行chown）会破坏文件元数据、产生额外的性能开销，且难以支持多容器共享。这些缺陷在多租户云环境中后果尤为严重，因此亟需从根源上实现容器身份隔离与访问控制透明化。

本文研究

针对上述安全缺陷，本文提出一种基于用户命名空间与用户态文件系统代理机制的容器安全加固框架SecPod。该框架以容器运行时为对象，从操作系统底层入手，通过赋予每个容器独立的系统视图与身份标识，有效防御容器逃逸与权限提升攻击。SecPod整体架构如下图所示。

SecPod框架

SecPod框架通过在容器运行时的层面进行强化安全，实现了两个核心功能：（1）基于用户命名空间的细粒度身份隔离。在创建容器时，SecPod会为其动态分配唯一的、互不重叠的宿主机UID/GID区间，并将容器root用户映射为宿主机上的非特权用户。此举彻底避免了容器间因共享主机UID区间而导致的身份重叠问题。（2）基于FUSE的容器文件系统代理。为解决UID映射带来的文件访问冲突，SecPod设计并实现了一种基于FUSE（用户态文件系统）的代理模块。该代理机制在容器侧虚拟化了文件系统视图，无需通过chown操作修改镜像或宿主文件系统。其工作流程为：当容器进程发起文件操作时，FUSE模块将请求拦截并交由用户态代理进程处理。在读取文件属性（getattr）时，代理进程获取文件的真实宿主所有者UID，并将其反向映射为容器视角下的UID，再返回给容器，使得容器进程能以“root”视角正常查看文件。在修改文件属性（setattr/chown）时，代理进程将容器请求的目标UID正向映射为宿主机UID，再调用底层系统调用在宿主机上执行操作。通过这种透明的权限映射与访问隔离，SecPod在不牺牲功能性的前提下，实现了对文件系统攻击面的强力约束。

综上所述，SecPod框架通过动态UID/GID映射和FUSE代理机制，显著提升了容器的隔离强度。实验证明，SecPod可作为现有容器云平台的轻量级安全增强方案，在不依赖复杂强制访问控制策略的前提下提供了等效的容器隔离能力，对多租户环境中的容器边界控制具有现实意义。

通信作者:

刘杨 E-mail：[email protected]

作者简介:

路新喜（1978—），男，北京，副教授，博士，主要研究方向为智能软件和人工智能。

郭建伟（1983—），男，北京，助理研究员，本科，主要研究方向为信息安全和系统建设。

苑立娟（1980—），女，河北，高级实验师，硕士，主要研究方向为计算机应用。

柳燕（1982—），女，江苏，高级经济师，硕士，主要研究方向为油气能源领域数字化与智能化。

徐彬彬（1981—），女，辽宁，高级工程师，硕士，主要研究方向为油气能源领域数字化与智能化。

刘杨（1983—），女，北京，副教授，博士，主要研究方向为多自主体系统、智能控制和鲁棒控制。

长按阅读原文

推荐阅读

“网安+法学”双学位 | 看南开大学、东南大学、重庆邮电大学在新赛道上加速跑
芯片安全漏洞难检测？看西工大“抽象四次方”如何破解芯片安全难题
“五色石”计划下，东南大学网络安全人才培养模式创新“密码”揭秘
“实战派”网安人才培养新范式，看上海交通大学、暨南大学、湖南大学如何转变模式锻造网安实战人才
做研究，读“经典”！看中国科学技术大学、东南大学、南开大学和兰州大学网络空间安全领域青年教师如何挖出让审稿人眼前一亮的新切口

信息网络安全

《信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。

中文核心期刊

中国科技核心期刊

中国科学引文数据库来源期刊

CCF计算领域高质量科技期刊

我们在不断努力和完善中，期待您的关注和支持！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息网络安全杂志信息网络安全杂志信息网络安全杂志《优秀论文 | 北京航空航天大学路新喜团队：基于命名空间与文件系统代理的容器安全框架研究》