一种基于用户属性的容器镜像安全分发方法和装置与流程

1.本发明涉及信息安全领域，更具体地，特别是指一种基于用户属性的容器镜像安全分发方法和装置。


背景技术：

2.微服务架构的兴起，容器化部署已经成为时下最流行的生产方式，越来越多的公司将应用部署在基于容器的架构上。自然的，随着容器的广泛使用，容器的安全性就成为了业界关注的焦点，容器安全厂商如雨后春笋般相继成立。容器是基于镜像构建的，如果镜像本身就是一个恶意镜像或是一个存在漏洞的镜像，那么基于它搭建的容器自然就是不安全的了，故镜像安全直接决定了容器安全。
3.镜像安全分为两部分，一种是镜像自身内容的安全和镜像分发的安全。现有技术针对镜像自身内容的安全已经提出了可用的镜像加密方法，将密钥放在工作节点指定路径下，对镜像使用公钥加密，并上传到镜像仓库。然而关于镜像的分发安全并无令人满足的解决方案。
4.针对现有技术中镜像分发的安全性问题，目前尚无有效的解决方案。


技术实现要素：

5.有鉴于此，本发明实施例的目的在于提出一种基于用户属性的容器镜像安全分发方法和装置，能够实现细粒度的访问策略控制以执行针对性的安全分发镜像。
6.基于上述目的，本发明实施例的第一方面提供了一种基于用户属性的容器镜像安全分发方法，包括执行以下步骤：
7.由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库，其中可用树形访问结构配置为声明允许部署容器镜像的潜在的接收者的访问策略；
8.由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；
9.响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中。
10.在一些实施方式中，方法还包括：在由发送者基于用户属性集合生成容器镜像的可用树形访问结构之前，先获取用户属性集合，其中用户属性集合包括所有潜在的接收者所具有的所有可选属性。
11.在一些实施方式中，由发送者基于用户属性集合生成容器镜像的可用树形访问结构包括：由发送者对全部或部分的可选属性使用一阶逻辑谓词进行连接以生成可用树形访问结构。
12.在一些实施方式中，一阶逻辑谓词包括以下至少之一：与、或、非。
13.在一些实施方式中，在由接收者基于接收者自身的用户属性、安全分发公钥、和安
全分发主密钥生成接收者的安全分发私钥之前，先获取接收者自身的用户属性，包括：由系统根据接收者的用户标识和系统中预设的对应关系信息来确定接收者自身的用户属性，并拒绝由接收者自身提供的用户属性。
14.在一些实施方式中，方法还包括：在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先从第三方可信机构获取安全分发公钥和安全分发主密钥，其中安全分发公钥和安全分发主密钥由第三方可信机构基于非公开的安全参数生成。
15.在一些实施方式中，方法还包括执行以下步骤：响应于接收者使用安全分发私钥解密镜像密文失败而返回用户属性错误信息。
16.在一些实施方式中，方法还包括：禁止接收者从发送者直接获取或者根据镜像密文来确定可用树形访问结构。
17.在一些实施方式中，方法还包括：在使用安全分发私钥解密镜像密文成功或失败之前禁止接收者确定可用树形访问结构是否允许接收者自身的用户属性部署容器镜像。
18.本发明实施例的第二方面提供了一种装置，包括：
19.处理器；
20.控制器，存储有处理器可运行的程序代码，处理器在运行程序代码时执行以下步骤：
21.由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库，其中所述可用树形访问结构配置为声明允许部署所述容器镜像的潜在的接收者的访问策略；
22.由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；
23.响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中。
24.在一些实施方式中，步骤还包括：在由发送者基于用户属性集合生成容器镜像的可用树形访问结构之前，先获取用户属性集合，其中用户属性集合包括所有潜在的接收者所具有的所有可选属性。
25.在一些实施方式中，由发送者基于用户属性集合生成容器镜像的可用树形访问结构包括：由发送者对全部或部分的可选属性使用一阶逻辑谓词进行连接以生成可用树形访问结构。
26.在一些实施方式中，一阶逻辑谓词包括以下至少之一：与、或、非。
27.在一些实施方式中，在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先获取接收者自身的用户属性，包括：由系统根据接收者的用户标识和系统中预设的对应关系信息来确定接收者自身的用户属性，并拒绝由接收者自身提供的用户属性。
28.在一些实施方式中，步骤还包括：在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先从第三方可信机构获取安全分发公钥和安全分发主密钥，其中安全分发公钥和安全分发主密钥由第三方可信机构基于非公开的安全参数生成。
29.在一些实施方式中，方法还包括执行以下步骤：响应于接收者使用安全分发私钥解密镜像密文失败而返回用户属性错误信息。
30.在一些实施方式中，步骤还包括：禁止接收者从发送者直接获取或者根据镜像密文来确定可用树形访问结构。
31.在一些实施方式中，还包括：在使用安全分发私钥解密镜像密文成功或失败之前禁止接收者确定可用树形访问结构是否允许接收者自身的用户属性部署容器镜像。
32.本发明具有以下有益技术效果：本发明实施例提供的基于用户属性的容器镜像安全分发方法和装置，通过由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库；由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中的技术方案，能够实现细粒度的访问策略控制以执行针对性的安全分发镜像。
附图说明
33.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
34.图1为本发明提供的基于用户属性的容器镜像安全分发方法的流程示意图；
35.图2为本发明提供的基于用户属性的容器镜像安全分发方法的详细流程图；
36.图3为本发明提供的基于用户属性的容器镜像安全分发方法的用户属性集合示意图；
37.图4为本发明提供的基于用户属性的容器镜像安全分发方法的安全分发公钥和安全分发主密钥分发示意图；
38.图5为本发明提供的基于用户属性的容器镜像安全分发方法的镜像数据加密示意图；
39.图6为本发明提供的基于用户属性的容器镜像安全分发方法的安全分发私钥生成示意图；
40.图7为本发明提供的基于用户属性的容器镜像安全分发方法的镜像数据解密示意图；
41.图8为本发明提供的基于用户属性的容器镜像安全分发方法的树形访问结构示意图。
具体实施方式
42.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
43.需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应
理解为对本发明实施例的限定，后续实施例对此不再一一说明。
44.基于上述目的，本发明实施例的第一个方面，提出了一种实现细粒度的访问策略控制以执行针对性的安全分发镜像的基于用户属性的容器镜像安全分发方法的一个实施例。图1示出的是本发明提供的基于用户属性的容器镜像安全分发方法的流程示意图。
45.所述的基于用户属性的容器镜像安全分发方法，如图1所示，包括执行以下步骤：
46.步骤s101，由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库，其中可用树形访问结构配置为声明允许部署容器镜像的潜在的接收者的访问策略；
47.步骤s103，由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；
48.步骤s105，响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中。
49.本发明基于镜像的分发安全提出了一种属性基镜像加密方案，采用非对称的加密方案实现一种细粒度的镜像加密访问策略。每个用户根据自身条件或者属性授权机构得到密钥，然后加密者来制定对消息的访问控制方案，方案中，用户使用树状访问结构，用户密钥与属性集相关联，当属性集满足访问结构，用户成功获得密文。
50.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
51.结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd
‑
rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。
52.在一些实施方式中，方法还包括：在由发送者基于用户属性集合生成容器镜像的可用树形访问结构之前，先获取用户属性集合，其中用户属性集合包括所有潜在的接收者所具有的所有可选属性。
53.在一些实施方式中，由发送者基于用户属性集合生成容器镜像的可用树形访问结构包括：由发送者对全部或部分的可选属性使用一阶逻辑谓词进行连接以生成可用树形访问结构。
54.在一些实施方式中，一阶逻辑谓词包括以下至少之一：与、或、非。
55.在一些实施方式中，方法还包括：在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先获取接收者自身的用户属性，包括：由系统根据接收者的用户标识和系统中预设的对应关系信息来确定接收者自身
的用户属性，并拒绝由接收者自身提供的用户属性。
56.在一些实施方式中，在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先从第三方可信机构获取安全分发公钥和安全分发主密钥，其中安全分发公钥和安全分发主密钥由第三方可信机构基于非公开的安全参数生成。
57.在一些实施方式中，方法还包括执行以下步骤：响应于接收者使用安全分发私钥解密镜像密文失败而返回用户属性错误信息。
58.在一些实施方式中，方法还包括：禁止接收者从发送者直接获取或者根据镜像密文来确定可用树形访问结构。
59.在一些实施方式中，方法还包括：在使用安全分发私钥解密镜像密文成功或失败之前禁止接收者确定可用树形访问结构是否允许接收者自身的用户属性部署容器镜像。
60.结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
61.结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行：通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。
62.下面根据图2所示的具体实施例进一步阐述本发明的具体实施方式，包括：收集用户的属性集合，然后存放在云端，所有的用户都可以访问这个属性集合，然后镜像上传者根据属性集合制定自己的访问结构，生成相应的密钥，并对镜像数据加密，然后推送到远端镜像仓库，用户从远端仓库下载镜像到本地后，根据自身的属性集合，生成相对应的密钥，对镜像进行解密，解密当且仅当属性集合中的属性能够满足此访问结构。这种设计比较接近于现实中的应用场景，每个用户根据自身条件或者属性授权机构得到密钥，然后加密者来制定对消息的访问控制方案。用户使用树状访问结构，用户密钥与属性集相关联，当属性集满足访问结构，用户成功获得密文。
63.本发明基于非对称加密提高数据的安全性，利用属性基加密可以更细粒度的实现用户访问控制，提供粒度更细，维度更广且树形访问结构更加灵活的方案。加密不限于管理员，每个用户都可以根据属性集合制定自己的加密密钥和访问策略，每个用户既是消息发布者，又是规则制定者；对所有的用户使用同一种加密算法，实现一对多的访问策略，不需要为每个用户制定特定的密钥，简化了加密的机制。
64.具体来说，首先收集每个租户下所有用户的属性集合，然后把属性集合放在服务器上，如图3所示。所有的用户都可以访问以制定自己的访问策略树。然后权威中心以一个
隐藏的安全参数，生成一个主密钥mk和公钥pk，然后把公钥pk和主密钥mk分发个所用的用户，如图4所示。镜像发布者可以通过如图5所示的方式来自己制定树形访问结构、使用公钥pk对镜像数据加密，然后把加密后的镜像推送到远程仓库。
65.用户从远程仓库拉取镜像时，如果想要解密加密的镜像，必须根据自己的属性集合、公钥pk、主密钥mk，生成相对应的解密密钥dk，如图6所示。如果用户的属性集合满足发布者的属性访问结构，就可以解密镜像，否则解密失败，如图7所示。
66.在此处应当注意，属性集合对所有用户公开不代表所有用户都能够根据属性集合生成任意的私钥。在一种可能的实施方式中，用户的属性是和id(用户标识)绑定的，用户不能随便构造自己的属性，来生成解密密钥。例如在用户登录的时候，系统会根据id来识别用户的属性，进而确定其实际权限。在另一种替代性的实施方式中，属性集合中的每种属性都存在与之对应的特征码，该特征码用于替代属性集合来生成私钥，并且仅被属性集合内的用户知悉，这使得不具有正确属性的用户无法生成期望的私钥。
67.另外，属性公开是为了方便用户制定访问策略，但是只有镜像发布者才知道访问结构，其他用户不知道哪些属性可以生成解密密钥，只有当自己的id对应的属性满足条件才可以生成密钥；但是其他用户不知道、或者不完全知道具体是那些属性满足访问树形结构。
68.其中用户的属性集合和属性访问结构的关系，只有满足树形结构的属性集合，才可以解密对镜的镜像。在图8的示例中，只有用户2和用户4满足访问策略，所以只有用户2和用户4能解密加密的镜像，用户1和用户3无法获得镜像数据。
69.本发明是基于用户属性加密的方案，用户的身份信息不再只是简单的单个信息，而是由一系列描述性的属性集合组成，同时增加了灵活的访问结构。它最大的优点在于镜像发布者在加密消息时不需要指定具体的接收方,只有符合相应条件的接收者才能解密消息。相较于其他方案，实现更加细粒度的访问策略控制。由此，本发明提供了一种非对称的属性基镜像加密保护方案，包括细粒度的访问策略，可以针对不同用户制定不同的树形访问结构，支持多租户模型，支持解密粒度为集群和用户，是一种粒度更细，维度更广且树形访问结构更加灵活的方案。本发明还提供一种一对多的访问策略，不需要为每个用户都制定特定的密钥，简化了加密的机制。
70.此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
71.从上述实施例可以看出，本发明实施例提供的基于用户属性的容器镜像安全分发方法，通过由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库；由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中的技术方案，能够实现细粒度的访问策略控制以执行针对性的安全分发镜像。
72.需要特别指出的是，上述基于用户属性的容器镜像安全分发方法的各个实施例中
的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于基于用户属性的容器镜像安全分发方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。
73.基于上述目的，本发明实施例的第二个方面，提出了一种实现细粒度的访问策略控制以执行针对性的安全分发镜像的基于用户属性的容器镜像安全分发装置的一个实施例。装置包括：
74.处理器；
75.控制器，存储有处理器可运行的程序代码，处理器在运行程序代码时执行以下步骤：
76.由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库，其中可用树形访问结构配置为声明允许部署容器镜像的潜在的接收者的访问策略；
77.由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；
78.响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中。
79.本发明例公开所述的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(pda)、平板电脑(pad)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
80.在一些实施方式中，步骤还包括：在由发送者基于用户属性集合生成容器镜像的可用树形访问结构之前，先获取用户属性集合，其中用户属性集合包括所有潜在的接收者所具有的所有可选属性。
81.在一些实施方式中，由发送者基于用户属性集合生成容器镜像的可用树形访问结构包括：由发送者对全部或部分的可选属性使用一阶逻辑谓词进行连接以生成可用树形访问结构。
82.在一些实施方式中，一阶逻辑谓词包括以下至少之一：与、或、非。
83.在一些实施方式中，在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先获取接收者自身的用户属性，包括：由系统根据接收者的用户标识和系统中预设的对应关系信息来确定接收者自身的用户属性，并拒绝由接收者自身提供的用户属性。
84.在一些实施方式中，步骤还包括：在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先从第三方可信机构获取安全分发公钥和安全分发主密钥，其中安全分发公钥和安全分发主密钥由第三方可信机构基于非公开的安全参数生成。
85.在一些实施方式中，方法还包括执行以下步骤：响应于接收者使用安全分发私钥解密镜像密文失败而返回用户属性错误信息。
86.在一些实施方式中，步骤还包括：禁止接收者从发送者直接获取或者据镜像密文
来确定可用树形访问结构。
87.在一些实施方式中，步骤还包括：在使用安全分发私钥解密镜像密文成功或失败之前禁止接收者确定可用树形访问结构是否允许接收者自身的用户属性部署容器镜像。
88.从上述实施例可以看出，本发明实施例提供的基于用户属性的容器镜像安全分发装置，通过由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库；由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中的技术方案，能够实现细粒度的访问策略控制以执行针对性的安全分发镜像。
89.需要特别指出的是，上述装置的实施例采用了所述基于用户属性的容器镜像安全分发方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述基于用户属性的容器镜像安全分发方法的其他实施例中。当然，由于所述基于用户属性的容器镜像安全分发方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述装置也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。
90.本发明实施例还可以包括计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的基于用户属性的容器镜像安全分发方法与实现上述任意装置实施例中的基于用户属性的容器镜像安全分发装置。所述计算机可读存储介质的实施例，可以达到与之对应的前述任意方法与装置实施例相同或者相类似的效果。
91.本发明实施例还可以包括计算机程序产品，该计算机程序产品包括存储在计算机可读存储介质上的计算程序，该计算机程序包括指令，当该指令被计算机执行时，使该计算机执行上述任意方法实施例中的基于用户属性的容器镜像安全分发方法与实现上述任意装置实施例中的基于用户属性的容器镜像安全分发装置。所述计算机程序产品的实施例，可以达到与之对应的前述任意方法与装置实施例相同或者相类似的效果。
92.本发明实施例还可以包括相应的计算机设备。计算机设备包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时执行上述任意一种方法。
93.其中，存储器作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本技术实施例中的所述基于用户属性的容器镜像安全分发方法对应的程序指令/模块。处理器通过运行存储在存储器中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的基于用户属性的容器镜像安全分发方法。
94.存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据基于用户属性的容器镜像安全分发装置的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过
网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
95.本发明实施例还可以包括相应的计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的基于用户属性的容器镜像安全分发方法与实现上述任意装置实施例中的基于用户属性的容器镜像安全分发装置。所述计算机可读存储介质的实施例，可以达到与之对应的前述任意方法与装置实施例相同或者相类似的效果。
96.本发明实施例还可以包括相应的计算机程序产品，该计算机程序产品包括存储在计算机可读存储介质上的计算程序，该计算机程序包括指令，当该指令被计算机执行时，使该计算机执行上述任意方法实施例中的基于用户属性的容器镜像安全分发方法与实现上述任意装置实施例中的基于用户属性的容器镜像安全分发装置。所述计算机程序产品的实施例，可以达到与之对应的前述任意方法与装置实施例相同或者相类似的效果。
97.最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
98.以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。
99.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。