[发明专利]一种基于notary的容器云镜像可信实现方法及系统

权利要求书

1.一种基于notary的容器云镜像可信实现方法，其特征在于，包括：

1）分别在容器云中部署notary公证服务以及私有镜像仓库服务；

2）在容器云中的任意节点中基于notary公证服务，对docker容器镜像进行验签，并将验签后的docker容器镜像通过docker服务端上传到私有镜像仓库；

步骤2）中所述容器云中的任意节点的执行步骤包括：

2.1）生成私钥与公钥；

2.2）基于生成的公钥给待上传的docker容器镜像添加签名者信息，并与notary公证服务交互生成该镜像的元数据信息保存到notary公证服务的notary数据库；

2.3）给docker容器镜像签名，并与notary公证服务进行交互验证签名者密码；

2.4）调用docker服务端以将验签后的docker容器镜像上传到私有镜像仓库。

2.根据权利要求1所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤2.1）中生成私钥与公钥是指执行命令“docker trust key generate”生成私钥与公钥，并分别保存私钥与公钥。

3.根据权利要求2所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤2.2）中基于生成的公钥给待上传的docker容器镜像添加签名者信息是指执行命令“dockertrust signer add --key”，其中key是指该节点保存在当前目录的公钥。

4.根据权利要求1所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤2.3）中给docker容器镜像签名是指执行命令“docker trust sign”给docker容器镜像签名。

5.根据权利要求1所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤2.4）中调用docker服务端后，docker服务端的执行步骤包括：首先对收到的签名后的docker容器镜像进行验签，若验签通过，则将签名后的docker容器镜像推送上传到私有镜像仓库，否则返回验签不通过的错误消息。

6.根据权利要求1所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤2）之后还包括docker服务端响应容器云组件kubelet调用的步骤：

S1）docker服务端收到容器云组件kubelet对目标docker容器镜像的请求；

S2）docker服务端与notary公证服务进行交互判断私有镜像仓库中的目标docker容器镜像是否已经验签，若目标docker容器镜像已经验签则跳转至下一步；否则，返回目标docker容器镜像未验签的错误消息，跳转至步骤S7）；

S3）docker服务端将目标docker容器镜像从私有镜像仓库拉取到本地；

S4）docker服务端准备运行拉取到本地的目标docker容器镜像；

S5）docker服务端与notary公证服务进行交互判断拉取到本地的目标docker容器镜像是否已经验签，若目标docker容器镜像已经验签则跳转至下一步；否则，返回目标docker容器镜像未验签的错误消息，跳转至步骤S7）；

S6）docker服务端运行目标docker容器镜像；

S7）docker服务端响应容器云组件kubelet调用结束。

7.根据权利要求1所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤1）中分别在容器云中部署notary公证服务以及私有镜像仓库服务是指在容器云中的指定节点上部署notary公证服务以及私有镜像仓库服务，且部署notary公证服务以及私有镜像仓库服务的节点为同一节点。

8.根据权利要求1所述的基于notary的容器云镜像可信实现方法，其特征在于，步骤1）中分别在容器云中部署notary公证服务以及私有镜像仓库服务是指在容器云中的指定节点上部署notary公证服务以及私有镜像仓库服务，且部署notary公证服务以及私有镜像仓库服务的节点为不同节点。