[发明专利]一种面向多租户容器镜像安全配置方法，系统，运行终端及存储介质

权利要求书

1.一种面向多租户容器镜像安全配置方法，其特征在于，方法包括：

租户使用数字证书私钥，对镜像层安全信息进行加密；

将安全信息密文和租户信息存储在镜像层中；

启动容器，对镜像中每一层进行验证；

容器每一层均验证通过后，容器启动过程完成。

2.根据权利要求1所述的面向多租户容器镜像安全配置方法，其特征在于，步骤对镜像中每一层进行验证还包括：

基于租户的公钥解密安全信息，验证镜像层签名信息；

若签名验证失败，则终止容器启动；

返回容器启动错误信息。

3.根据权利要求1或2所述的面向多租户容器镜像安全配置方法，其特征在于，步骤对镜像中每一层进行验证还包括：

租户通过哈希算法产生镜像层内容摘要；

调取系统安全信息中的预设内容摘要；

将镜像层内容摘要与预设内容摘要进行对比；

若对比不一致，则镜像层内容已被篡改，终止容器启动，返回错误信息。

4.根据权利要求1或2所述的面向多租户容器镜像安全配置方法，其特征在于，步骤对镜像中每一层进行验证还包括：

租户修改或新建新的容器镜像层时，利用云计算环境的漏洞扫描服务对镜像层内容进行扫描，产生扫描摘要；

租户对扫描摘要进行验证；

若扫描摘要中漏洞危险等级超过租户设定值，则终止容器启动，返回错误信息。

5.根据权利要求4所述的面向多租户容器镜像安全配置方法，其特征在于，步骤租户使用数字证书私钥，对镜像层安全信息进行加密之前还包括：

基于云计算环境为每一个租户分配一个数字证书，租户使用数字证书进行签名；

租户对容器镜像层进行编辑或新建新时，基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描，产生扫描摘要；

租户使用哈希算法对容器镜像层内容进行计算，产生内容摘要；

将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。

6.一种面向多租户容器镜像安全配置系统，其特征在于，包括：镜像层加密模块，安全信息存储模块以及镜像层验证模块；

镜像层加密模块用于基于租户使用数字证书私钥，对镜像层安全信息进行加密；

安全信息存储模块用于将安全信息密文和租户信息存储在镜像层中；

镜像层验证模块用于启动容器，对镜像中每一层进行验证；容器每一层均验证通过后，容器启动过程完成。

7.根据权利要求6所述的面向多租户容器镜像安全配置系统，其特征在于，还包括：数字证书分配模块，扫描摘要生成模块，内容摘要生成模块以及镜像层信息配置模块；

数字证书分配模块用于基于云计算环境为每一个租户分配一个数字证书，租户使用数字证书进行签名；

扫描摘要生成模块用于租户在容器镜像层进行编辑或新建新时，基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描，产生扫描摘要；

内容摘要生成模块用于租户使用哈希算法对容器镜像层内容进行计算，产生内容摘要；

镜像层信息配置模块用于将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。

8.根据权利要求7所述的面向多租户容器镜像安全配置系统，其特征在于，镜像层验证模块还用于基于租户的公钥解密安全信息，验证镜像层签名信息；若签名验证失败，则终止容器启动；返回容器启动错误信息；

还用于调取系统安全信息中的预设内容摘要；将镜像层内容摘要与预设内容摘要进行对比；若对比不一致，则镜像层内容已被篡改，终止容器启动，返回错误信息；

还用于对扫描摘要进行验证；若扫描摘要中漏洞危险等级超过租户设定值，则终止容器启动，返回错误信息。