一种基于信任度的Docker进程安全访问控制方法与流程

技术特征：
1.一种基于信任度的docker进程安全访问控制方法，其特征在于，包括以下步骤：步骤s1.输入容器所在宿主机的系统安全参数，获取系统公共参数和系统主密钥并输出；步骤s2.遍历文件名/目录，并进行填充，然后使用步骤s1中输出的系统公共参数作为公钥对文件名/目录进行随机化加密处理，获取随机化后的文件名/目录；步骤s3.根据步骤s1中输出的系统公共参数和系统主密钥将各文件名/目录对应的访问权限生成对应的私钥；步骤s4.基于用户信任度的访问控制结构根据发出访问请求的用户的属性对步骤s3中的私钥进行分配，将其分配给对应信任度的用户进程；步骤s5.使用可信时间戳验证验证用户的私钥的时效性和准确性；步骤s6.用户进程访问文件名/目录时，进行判断并用私钥进行解密。2.根据权利要求1所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，所述随机化加密处理方法和解密处理方法为cp-abe算法。3.根据权利要求1所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，所述步骤s2包括：通过mnt-namespace文件名/目录的随机化来控制进程对文件名/目录的访问；先read direct遍历文件名/目录，再用fill direct进行填充得到需要进行随机化处理的文件名/目录。4.根据权利要求1所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，所述步骤s4中用户信任度的具体计算方法包括：获取结构元素u，所述结构元素u是对mnt-namespace内文件名/目录提出访问请求的用户的集合，并表示为u＝{u1，u2，u3，...，u
a
}；获取系统中的位阶r，代表对mnt namespace内文件名/目录进行访问的资格，并表示为r＝{r1，r2，r3，...，r
b
}；获取mnt namespace内资源进行访问的操作权限p，并表示为p＝{p1，p2，p3，...，p
c
}；获取mnt namespace内文件名的集合f，并表示为f＝{f1，f2，f3，...，f
d
}；获取信任度等级tc，并表示为tc＝{1，2，3，...，r}；获取初始信任值it，从宿主内核中读取用户访问次数和访问成功次数，根据成功次数和总次数计算信任值t，并表示为其中，用户访问文件的总次数记为n
ij
，成功的次数记为s
ij
，是惩罚项；获取综合信任值ct，并表示为ct＝α1it α2t，其中，α1和α2是权重。5.根据权利要求4所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，还包括：合法信任值变更表示为：θ为对应信任值增加的权重；
非法信任值变更表示为：η为对应信任值减少的权重。6.根据权利要求1所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，所述步骤s5包括：使用可信时间戳验证对用户所分配到的私钥进行可信验证，验证通过，进入下一步，验证不通过，结束流程。7.根据权利要求6所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，包括：用户对文件数据进行hash摘要处理；用户提出时间戳的请求，hash值被传递给时间戳服务器；时间戳服务器对哈希值和一个日期/时间记录进行签名，生成时间戳；时间戳数据和文件信息绑定后返还，用户进行下一步操作。8.根据权利要求1所述的一种基于信任度的docker进程安全访问控制方法，其特征在于，所述步骤s6包括：当用户进程访问文件名/目录时，判断访问的文件名/目录是否是随机化后的文件名/目录，如果是，进行路径解析并访问文件，如果否，重新对文件名/目录进行随机化加密处理。

技术总结
本发明涉及容器和信任访问控制技术领域，公开了一种基于信任度的Docker进程安全访问控制方法，包括：输入容器所在宿主机的系统安全参数，获取系统公共参数和系统主密钥并输出；遍历文件名/目录，并进行填充，然后使用输出的系统公共参数作为公钥对文件名/目录进行随机化加密处理，获取随机化后的文件名/目录；根据输出的系统公共参数和系统主密钥将各文件名/目录对应的访问权限生成对应的私钥；基于用户信任度的访问控制结构根据发出访问请求的用户的属性对私钥进行分配，将其分配给对应信任度的用户进程；使用可信时间戳验证验证用户的私钥的时效性和准确性；用户进程访问文件名/目录时，进行判断并用私钥进行解密。进行判断并用私钥进行解密。进行判断并用私钥进行解密。


技术研发人员：郭晶 郑建宁 张津铭 刘泽三 李玉 宋卫平 杨帆 刘歆一 韩宏军
受保护的技术使用者：国网信息通信产业集团有限公司
技术研发日：2022.04.15
技术公布日：2022/6/21