[发明专利]基于容器的操作系统和方法

说明书

在托管可配置计算资源的共享池的分布式网络中，提供了区块链的一个或多个系统实例。每个系统实例包括虚拟机和容器集合。容器是区块链的成员，因为区块链的公共分类帐记录了每个容器的至少所选目录的加密副本。因此在集合中的每个容器参考公共分类帐，可以验证任何其他容器是否也属于的同一集合，因为记录在公共分类帐上的交易是集合容器的加密副本。因此区块链的使用允许通过区块链的初始规范围绕容器集合定义系统边界。可以定义系统边界以确保该组容器符合法律要求，例如地理限制。

技术领域

本公开涉及用于托管可配置计算资源的共享池的分布式网络的基于容器(container)的操作系统和方法。

背景技术

由美国国家标准与技术研究院(NIST)开发了与云计算相关的定义和标准。本文件将参考其进行解释，特别是由Peter Mell和Timothy Grance撰写的“NIST定义的云计算”(2011年9月)，NIST特刊800-145。

云计算的NIST定义是用于实现对可以快速供应的可配置计算资源(例如，网络、服务器、存储、应用和服务)的共享池的无处不在，方便的按需网络访问的模型，并以最少的管理工作或服务提供商互动发布。

以其当前形式的云存储由服务提供商主导，该服务提供商构成客户信任以安全地托管他们的数据的第三方。换句话说，正在使用可信中央权威模型，如在传统的互联网银行中，或由政府机构提供用于车辆登记，房地产所有权等的中央数据库。

图1是标准云存储架构的示意图。示出了两个示例用户14，其具有各自的计算机装置25，其具有希望存储到云的文件16，即，在云提供商所拥有的虚拟化服务器12上。云提供商为用户14提供应用18，用户14可以经由该应用18上载(即存储)并将其文件16下载(即访问)到虚拟化服务器12。反过来，虚拟化服务器12使用至少三个物理服务器20，在其上存储每个客户端文件的数据以确保至少最小的冗余。在此体系结构中没有标准的执行端到端加密的方式，使得容易受到安全威胁。在其基本形式中，在用户计算机25，应用18和云提供商的服务器12、20之间传输的客户端数据未被加密，使得传输线(窥探)，用户计算机25、应用18和服务器12、20的攻击都是可能的。

为了摆脱这种传统架构并提供更安全的环境，使用基于对等网络结构的区块链技术是即时的。

图2示出了作为云计算环境的一部分的示例对等网络55。该网络包括网络节点10，每个网络节点10是用户可与之交互的一个或多个物理或虚拟硬件网络实体。网络节点10通过通信线路15连接。网络实体可以是例如大型主机61；不同类型的服务器62、63、64；大容量存储装置65或可以是更加面向消费者的装置，例如个人计算机、平板电脑、智能电话或与物联网(IoT)相关的装置，例如白色家电(冰箱、冰柜、洗衣机)、IP摄像机、打印机、工厂装置或电视录像机。

区块链技术不使用可信中央权威模型，而是提供记录的分布式数据库，其包括在参与方之间发生的所有交易或事件的可公开访问的分类账，即区块链的成员，其处于如图4所示的对等网络的相应节点。每个成员都有一个公钥，用作该成员的地址，以及一个私钥，成员用它来对交易进行数字签名。交易由一个成员用他的私钥对交易进行数字签名并使用该成员的公钥作为地址发送给另一个成员来实现。然后，接收方成员使用发送成员的公钥来验证交易上的数字签名。交易被放置在块中，该块被广播到区块链网络上的每个节点，并且通过由其他成员执行的称为“挖掘”的解谜过程，交易以及同一块中的任何其他交易被验证为有效。然后允许该块被添加到链中，从而成为公共交易分类帐的一部分。区块链的块是存储在分类帐上的永久可扩展的链接事件序列的元素。将一个块链接到链中的前一个块的是前一个块的散列。散列可以被认为是令牌，该令牌是挖掘成员在解决难题和通过强力确定交易散列时执行的工作的证明。每个块包含时间戳和许多交易。一旦嵌入链中，每个块变得有效地无法编辑，无论是有意还是通过黑客攻击，随着块越来越远离结束块，防止编辑的安全性迅速增加。