[发明专利]一种基于Docker的可信容器安全加固方法

说明书

技术领域

本发明属于互联网技术领域，特别是涉及一种基于Docker的可信容器安全加固方法。

背景技术

Docker作为时下最流行的轻量级虚拟化技术，正在给业界带来一场颠覆性的技术革命，随着Docker技术应用规模越来越大，领域越来越广，其暴露出的安全问题也显得日趋严重，诸如隔离机制不完善、特权过于集中、混乱的共享机制等，这些安全隐患已经成为阻碍着Docker发展的关键因素。从Docker已经被发现的各类安全问题可以看出，Docker镜像及容器均存在被篡改的风险，同时不完全的隔离性允许容器之间的非授权通信，容器内部的恶意进程或恶意数据同样给Docker系统甚至宿主机带来风险。

目前，针对Docker系统的防护方案主要有以下几种：

(1)Docker系统本身依赖Linux内核的安全性，目前主要依赖的机制有Namespace和Cgroups，分别实现容器的隔离性和资源限制，但上述两种机制并不能做到完整的隔离，Docker系统仍然面临被穿透的风险；

(2)Docker官方推荐使用GRSEC内核补丁以提高安全性，这是一种Linux内核安全增强补丁，该补丁从宿主机的角度提高Docker整体安全性，对容器内部的防护却无能为力；

(3)Daniel Walsh等人在2014年提出使用访问控制系统加强Docker安全，以RedHat开发的SElinux系统为例，该系统在每个容器创建时为其打上唯一的标签，不同容器标签不同，容器之间以及容器和宿主机间默认无法互联，也就是说，标签不同的主客体之间所有操作都是被禁止的，这样就极大地提高了Docker容器的隔离性，但这种方法仍然没有关心Docker容器内部的安全性，Docker容器和镜像仍然面临被篡改的可能。

发明内容

针对上述问题，本发明提出一种基于Docker的可信容器安全加固方法。该方法利用可信计算、完整性度量技术，配合实时监控模块对基于Docker的容器系统进行加固，从Docker配置文件、镜像、容器三个层面保护容器完整性，同时能对容器内运行的进程及容器通信行为进行监控，如此一来便可规避大部分安全风险，极大地提高Docker容器的安全性。

本发明所采用的技术方案是：一种基于Docker的可信容器安全加固方法，用于对Docker容器系统进行安全增强，实现基于Docker的可信容器，应用于基于Docker的服务器集群中；该基于Docker的可信容器包含容器程序Docker、容器可信度量模块、进程监控模块和网络通信监控模块，其中容器可信度量模块包括可信启动子模块与文件度量子模块；其中Docker为容器程序主体，用于对各个进程监控模块的调用以及对容器镜像的可信度量，可信启动子模块用于实现镜像的完整性度量和容器的可信启动；文件度量子模块用于对各个容器的文件系统的监控，确保容器在运行过程中的文件系统的安全性；进程监控模块用于通过设置黑白名单实现对容器内的进程的监控；网络通信监控模块用于对容器的网络连接的细粒度控制，限制容器对外连接和容器间的连接；

其特征在于，包括以下步骤：

步骤1：容器的可信启动，其具体实现包括以下子步骤：

步骤1.1：BIOS加电启动搜索到MBR，读取配置信息，将控制权转给TrustedGRUB；

步骤1.2：TrustedGRUB加载系统内核，对Docker程序的可执行文件及关键配置文件进行完整性度量，完整性度量通过之后，将度量结果存入PCR，将控制权转给操作系统；

步骤1.3：操作系统启动之后，启动Docker程序；

步骤1.4：Docker程序启动之后，可信启动子模块启动，随即监控Docker关于镜像获取的命令；当Docker获取到新镜像后，度量程序开始计算镜像的HASH基准值并加密存储；

步骤1.5：接收到用户发出的启动容器命令时，首先读入存有HASH基准值的文件，用密钥将其解密，得到40位HASH值；然后再依据步骤1.4中所述的计算镜像HASH基准值的方法再计算一遍镜像的HASH值；

步骤1.6：将步骤1.5中新计算得到的HASH值与步骤1.4中的HASH基准值进行对比，若两值相等则启动容器，否则不启动将弹框报告用户，提示镜像已被损坏；

步骤2：容器启动后的文件系统监控，其具体实现包括以下子步骤：

步骤2.1：启动容器之后，Docker对文件系统监控程序可执行文件进行度量，验证完文件系统监控程序可执行文件的完整性后启动文件系统监控程序；