[发明专利]容器安全加固方法、系统及存储介质

说明书

本申请提供了一种容器安全加固方法、系统及存储介质，在容器运行的情况下，本申请将对各容器进行度量，并采用扩展方式，将得到的各容器的度量值写入容器度量库中，以使容器度量库记录的度量值能够表征相应容器的历史状态及当前状态，即容器度量库记录的度量值具有可追溯性，能够据此检测并阻止入侵者通过其他手段篡改容器的可能性，还能够准确识别被篡改的容器，实现对篡改容器的及时维护，提高了容器保护的可靠性。

技术领域

本申请主要涉及通信技术领域，更具体地说是涉及一种容器安全加固方法、系统及存储介质。

背景技术

可信计算是一项由可信计算组推动和开发的技术，其利用TPM(Trusted PlatformModule，可信平台模块)，在计算机系统中构建一个信任根，再建立一条信任链，通过安全应用对其进行度量，以验证其完整性及是否被篡改。

因此，为了保证运行在操作系统之上的多个容器的安全性及完整性，现有技术通常是在进行创建、重新启动、删除容器的操作时，通过审计日志来记录相应的操作信息，并由计算机设备中的硬件TPM保护审计日志的完整性。

但是，现有的这种容器处理方法，往往只能保护通过正常的容器操作命令篡改容器的情况，无法检测并阻止入侵者通过其他手段对容器的篡改，导致容器安全性较低；而且，由于审计日志记录的是对主机上的所有容器的操作集合，基于该审计日志的记录内容，无法从多个容器中识别出被篡改的容器，进而也就无法有针对性地进行容器维护。

发明内容

有鉴于此，本申请提供了一种容器安全加固方法、系统及存储介质，实现了对各容器的度量，并通过扩展方式更新容器度量库，以使容器度量库记录的度量值能够表征相应容器的历史状态及当前状态，进而据此能够检测并阻止入侵者通过其他手段篡改容器的可能性，还能够准确识别被篡改的容器，提高了容器保护的可靠性。

为了实现上述发明目的，本申请提供了以下技术方案：

本申请提供了一种容器安全加固方法，所述方法包括

在容器运行的情况下，对所述容器进行度量，得到所述容器的当前度量值，所述当前度量值用于表征所述容器的当前状态；

通过扩展方式，将所述容器的当前度量值写入容器度量库，以使所述容器度量库记录的度量值能够表征相应容器的历史状态及当前状态。

可选的，所述对所述容器进行度量，得到所述容器的当前度量值，包括：

对所述容器中的各不可变文件进行度量，得到相应不可变文件的当前度量值；

利用所述各不可变文件的当前度量值，计算得到所述容器的当前度量值。

可选的，所述对所述容器的各不可变文件进行度量，得到相应不可变文件的当前度量值，利用所述各不可变文件的当前度量值，计算得到所述容器的当前度量值，包括：

计算所述容器中的各不可变文件的当前哈希值；

计算所述各不可变文件的当前哈希值的总和，得到所述容器的当前哈希值。

可选的，所述通过扩展方式，将所述容器的当前度量值写入容器度量库；

获取容器度量库中所述容器的历史度量值；对所述容器的历史度量值及当前度量值进行计算，得到所述容器的新的度量值；

利用所述容器的新的度量值，替换所述容器度量库中所述容器的历史度量值。

可选的，所述通过扩展方式，将所述容器的当前度量值写入容器度量库，包括：

调用容器度量库的管理接口，将所述容器的当前度量值发送至容器度量库管理组件，由所述容器度量管理组件采用扩展方式，将所述容器的当前度量值写入所述容器度量库。

可选的，所述方法还包括：