[发明专利]一种基于区块链技术的容器镜像可信认证的系统与方法

权利要求书

1.一种基于区块链技术的容器镜像可信认证的系统，其特征在于，包含镜像签名注册组件、去中心化的镜像可信认证组件、镜像签名验证组件、镜像仓库；

所述镜像签名注册组件用于原作者上传镜像，并将所述镜像传输至所述镜像仓库，还用于计算所述镜像的内容得到可信认证信息，并将所述镜像与所述可信认证信息传输至所述去中心化的镜像可信认证组件，所述可信认证信息包含镜像作者信息、数字签名、镜像名称、镜像ID；所述数字签名为所述镜像签名注册组件根据所述镜像的内容计算得到的哈希值；所述数字签名的具体实现：通过“docker save”命令，将所述镜像保存为.tar文件，然后通过操作系统的工具计算该.tar文件的安全散列算法256哈希值；

所述去中心化的镜像可信认证组件用于获取的所述镜像与所述可信认证信息，并将所述镜像与所述可信认证信息组合成智能合约写入区块链网络中，所述区块链网络提取所述可信认证信息中的所述数字签名；

所述镜像签名验证组件用于从所述镜像仓库获取所述镜像后计算所述镜像的所述数字签名，还用于从所述去中心化的镜像可信认证组件中获取提取的所述数字签名，还用于验证对比上述两个数字签名是否一致，若不一致则拒绝下载者使用所述镜像，若一致则接受下载者使用所述镜像；

所述系统的实现方式如下：

将上传过程中所述镜像签名验证组件的逻辑，植入到docker引擎中，在docker push中实现，在执行上传命令时，引擎后台自动触发到所述区块链网络上的签名注册；

将下载过程中所述镜像签名验证组件的逻辑，植入到docker引擎中，在docker pull中实现，在执行下载命令时，引擎后台自动触发到区块链上拉取签名和本地文件校验。

2.如权利要求1所述的一种基于区块链技术的容器镜像可信认证的系统，其特征在于，所述区块链网络为通过互联网两两互联的多个客户端，所述客户端内部安装有所述一种基于区块链技术的容器镜像可信认证的系统。

3.如权利要求2所述的一种基于区块链技术的容器镜像可信认证的系统，其特征在于，所述客户端为可信任认证系统，所述可信任认证系统包含镜像签名注册组件、镜像签名验证组件；

所述镜像签名注册组件用于在上传所述镜像时进行签名计算和注册到所述区块链网络中；

所述镜像签名验证组件用于在下载所述镜像时签名的校验。

4.一种基于区块链技术的容器镜像可信认证的方法，其特征在于，包含以下步骤：

步骤1：原作者上传镜像至镜像签名注册组件，镜像签名注册组件根据镜像计算出镜像作者信息、数字签名、镜像名称、镜像ID，并将所述镜像作者信息、所述数字签名、所述镜像名称、所述镜像ID整合成可信认证信息后与镜像一起写入去中心化的镜像可信认证组件中，所述去中心化的镜像可信认证组件将所述镜像与所述可信认证信息组合成智能合约写入区块链网络中，随后将镜像上传至镜像仓库内，镜像仓库将镜像与可信认证信息进行关联；所述数字签名为所述镜像签名注册组件计算所述镜像的内容得到的哈希值；所述数字签名的具体实现：通过“docker save”命令，将所述镜像保存为.tar文件，然后通过操作系统的工具计算该.tar文件的安全散列算法256哈希值；

步骤2：下载或使用该镜像的下载者从镜像仓库下载镜像至镜像签名验证组件，镜像签名验证组件对镜像进行数字签名计算，并从去中心化的镜像可信认证组件中获取镜像与数字签名；

步骤3：将镜像签名验证组件计算的数字签名与从去中心化的镜像可信认证组件中获取的数字签名进行对比验证，若两个数字签名相同，则镜像签名验证组件允许镜像被使用，若两个数字签名不相同，则镜像签名验证组件拒绝镜像被使用；

其中，将上传过程中所述镜像签名验证组件的逻辑，植入到docker引擎中，在dockerpush中实现，在执行上传命令时，引擎后台自动触发到所述区块链网络上的签名注册；将下载过程中所述镜像签名验证组件的逻辑，植入到docker引擎中，在docker pull中实现，在执行下载命令时，引擎后台自动触发到区块链上拉取签名和本地文件校验。