随着云计算、大数据、区块链等技术的蓬勃发展,虚拟化技术也随之得到了广泛的应用,其中基于容器的虚拟化方案得到了更广泛的关注。Docker更是其中最热门的代表方案之一,但是Docker也面临许多安全性问题,由于直接使用了宿主机的内核与资源库,其隔离并不完善,诸多问题也因此发生。因此,增强Docker的隔离性迫在眉睫。本文专注于对Docker的隔离性问题进行了研究,主要研究内容包括以下三个部分。本文采用了一种多级容器安全隔离运行模型,该模型致力于解决容器进程的隔离性问题和共享存储卷的安全共享问题。在设计过程中,为了保持Docker轻量高效的特性,对该模型进行了简化设计,将模型的主客体分别局限在容器进程和容器相关路径上,并在此基础上制定了五项访问控制策略。对于进程隔离方面,该模型使容器的访问域限制在该容器自身范围内,对其他容器和宿主机的文件都没有访问权限。这保证了主体与主体和主体与客体的隔离性。对于共享数据方面,结合了BLP模型和Biba模型的访问策略优点,通过设置了安全值属性对来控制容器对共享数据的访问权限,使共享存储卷具有较好的机密性和完整性。本文还在App Armor的基础上,基于最小权限原则设计了一种容器的强制访问控制方案。同时还对Docker的运行权限进行了研究,并分析了Dockerfile和Docker Compose,使强制访问控制方案能加强容器隔离性的同时也不破坏容器的正常使用。该方案主要包含了静态文件检测和动态运行校正两个部分,静态文件检测部分分析了容器的生成指令,将其中所需要的权限提取出来,然后生成相应的App Armor配置文件。并在动态运行校正部分,根据容器的使用过程,动态地调整配置文件。整个方案分析了容器从生成到运行过程中所必须的权限,并根据最小权限原则对容器进行权限限制,保证了容器的隔离性。本文还实现了多级容器安全隔离运行模型的原型系统。在实现过程中,使用了基于App Armor的强制访问控制方案,并采用LKM对方案进行了补充扩展,使原型系统满足模型中的策略。本文还对原型系统进行了功能测试和性能测试。通过一系列的模拟攻击实验,结果表明,本文的原型系统能够提升Docker的安全性和隔离性;在普通个人级电脑上进行了多次性能测试,与原生Docker相比,其性能上损耗不高,仍在同一量级,保持了Docker的高效性。