[发明专利]一种面向多租户容器镜像安全配置方法，系统，运行终端及存储介质

说明书

本发明提供一种面向多租户容器镜像安全配置方法，系统，运行终端及存储介质，租户使用数字证书私钥，对镜像层安全信息进行加密；将安全信息密文和租户信息存储在镜像层中；启动容器，对镜像中每一层进行验证；容器每一层均验证通过后，容器启动过程完成。基于容器镜像的分层设计，可以实现共享资源，多个镜像可以共用同一个底层镜像层，可降低传输时间，减少存储占用空间。本发明防止了镜像篡改攻击的风险。主要利用数字签名技术和漏洞扫描技术，对容器镜像生成和使用的流程进行改造，增强容器镜像的安全性，这样来防止容器镜像篡改的风险，提高云环境下容器的安全性。

技术领域

本发明涉及云计算数据安全领域，尤其涉及一种面向多租户容器镜像安全配置方法，系统，运行终端及存储介质。

背景技术

Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎，源代码托管在Github上，基于go语言并遵从Apache2.0协议开源。

Docker设想是交付运行环境如同海运，操作系统如同一个货轮，每一个在操作系统基础上的软件都如同一个集装箱，用户可以通过标准化手段自由组装运行环境，同时集装箱的内容可以由用户自定义，也可以由专业人员制造。这样，交付一个软件，就是一系列标准化组件的集合的交付，这也就是基于docker的PaaS平台产品的原型。

Docker依赖Linux容器技术来隔离进程，让其认为自己运行在一个单独的操作系统中，而实际上仍然运行在同一个操作系统中，共享同一个内核，资源利用率远高于虚拟化技术，运行快速敏捷(启动、停止都以秒甚至毫秒为单位)。这些实际上都是Linux内核提供的能力，Docker只是沿用了这些特性，Docker最大的创新点在于Docker镜像的设计，并提供了一整套镜像存储方案(Docker Registry)。

Docker容器的镜像的设计可以提高镜像构建、存储和分发的效率，节省了时间和存储空间，可以从同一个镜像启动成百上千个容器。Docker容器是通过Docker镜像启动的，如果镜像本身含有安全漏洞或攻击者精心设计的木马，那么带来的危害可能会如病毒般迅速传播。因此，如何保证镜像安全是Docker生态系统中亟待解决的技术问题。

发明内容

为了克服上述现有技术中的不足，本发明利用密码技术保护容器镜像安全，防止容器镜像的篡改，提高云环境下容器的安全性。

为此本发明提供四方面内容，第一方面内容涉及一种面向多租户容器镜像安全配置方法，方法包括：

租户使用数字证书私钥，对镜像层安全信息进行加密；

将安全信息密文和租户信息存储在镜像层中；

启动容器，对镜像中每一层进行验证；

容器每一层均验证通过后，容器启动过程完成。

进一步需要说明的是，步骤对镜像中每一层进行验证还包括：

基于租户的公钥解密安全信息，验证镜像层签名信息；

若签名验证失败，则终止容器启动；

返回容器启动错误信息。

进一步需要说明的是，步骤对镜像中每一层进行验证还包括：

租户通过哈希算法产生镜像层内容摘要；

调取系统安全信息中的预设内容摘要；

将镜像层内容摘要与预设内容摘要进行对比；

若对比不一致，则镜像层内容已被篡改，终止容器启动，返回错误信息。

进一步需要说明的是，步骤对镜像中每一层进行验证还包括：