[发明专利]一种基于Docker的可信容器安全加固方法

权利要求书

1.一种基于Docker的可信容器安全加固方法，用于对Docker容器系统进行安全增强，实现基于Docker的可信容器，应用于基于Docker的服务器集群中；该基于Docker的可信容器包含容器程序Docker、容器可信度量模块、进程监控模块和网络通信监控模块，其中容器可信度量模块包括可信启动子模块与文件度量子模块；其中Docker为容器程序主体，用于对各个进程监控模块的调用以及对容器镜像的可信度量，可信启动子模块用于实现镜像的完整性度量和容器的可信启动；文件度量子模块用于对各个容器的文件系统的监控，确保容器在运行过程中的文件系统的安全性；进程监控模块用于通过设置黑白名单实现对容器内的进程的监控；网络通信监控模块用于对容器的网络连接的细粒度控制，限制容器对外连接和容器间的连接；

其特征在于，包括以下步骤：

步骤1：容器的可信启动，其具体实现包括以下子步骤：

步骤1.1：BIOS加电启动搜索到MBR，读取配置信息，将控制权转给

TrustedGRUB；

步骤1.2：TrustedGRUB加载系统内核，对Docker程序的可执行文件及关键配置文件进行完整性度量，完整性度量通过之后，将度量结果存入平台配置寄存器PCR，将控制权转给操作系统；

步骤1.3：操作系统启动之后，启动Docker程序；

步骤1.4：Docker程序启动之后，可信启动子模块启动，随即监控Docker关于镜像获取的命令；当Docker获取到新镜像后，度量程序开始计算镜像的HASH基准值并加密存储；

步骤1.5：接收到用户发出的启动容器命令时，首先读入存有HASH基准值的文件，用密钥将其解密，得到40位HASH值；然后再依据步骤1.4中所述的计算镜像的HASH基准值的方法再计算一遍镜像的HASH值；

步骤1.6：将步骤1.5中新计算得到的HASH值与步骤1.4中的HASH基准值进行对比，若两值相等则启动容器，否则不启动将弹框报告用户，提示镜像已被篡改；

步骤2：容器启动后的文件系统监控，其具体实现包括以下子步骤：

步骤2.1：启动容器之后，Docker对文件系统监控程序可执行文件进行度量， 验证完文件系统监控程序可执行文件的完整性后启动文件系统监控程序；

步骤2.2：文件系统监控程序启动之后计算容器的文件系统的读写层的HASH值；

步骤2.3：对容器的文件系统的读写层的HASH进行加密作为基准值存储在以容器ID为文件名的文件中；

步骤2.4：当经过预设的时间以后，文件系统监控程序对文件系统的读写层的HASH值进行解密，然后重新计算容器的文件系统的HASH值作为实时度量值；

步骤2.5：将步骤2.4中的两个HASH值进行对比；如果两个HASH值相等，则等待下一次度量文件系统直到删除容器；如果两个HASH值不相等，则说明度量值与基准值不一样，容器文件系统的读写层被篡改；如果管理员是合法更新了读写层文件，则可输入管理员用户名和密码更新基准值；如果密码输入错误则身份认证失败，并报告管理员为非法修改，本流程结束；如果密码输入正确则身份认证通过，更新基准值，并回转执行所述的步骤2.3；

步骤3：容器启动后的进程监控，其具体实现包括以下子步骤：

步骤3.1：用户输入指定容器的管理策略，即进程白名单；白名单中为可在容器中正常运行的程序；

步骤3.2：进程监控模块读入对应容器的进程白名单；

步骤3.3：进程监控模块开始实时监控，若发现容器内部存在白名单中未曾出现的进程，即刻拦截并提示管理员；

步骤4：容器启动后的网络监控，其具体实现包括以下子步骤：

步骤4.1：用户输入指定容器的通信管理策略，即IP及端口白名单；白名单中为允许容器与之通信的主机IP及端口，其中包括外界主机和本地其他容器；

步骤4.2：网络通信监控模块读入白名单，将白名单中的IP及端口转换成iptables规则文件；

步骤4.3：网络通信监控模块将步骤4.2中产生的规则文件载入iptables防火墙；

步骤4.4：用户自定义规则生效，容器只能和指定主机进行通信，若出现非授权通信行为，网络通信监控模块将立即阻止。