一种基于可信计算的容器镜像加解密方法和装置与流程

1.本发明涉及信息安全技术领域，尤其涉及一种基于可信计算的容器镜像加解密方法和装置。


背景技术：

2.云计算的逐步发展，kubernetes、openshift等开源技术的广泛应用，越来越多的应用采用了容器化部署，容器对操作系统进行抽象，容器内只包含应用程序及必要的依赖资源，可以隔离不同软硬件系统，具有非常好的可移植性，但随之引入了容器数据安全性问题，在实际应用中，容器可能承载有敏感信息，容器的可移植、共享特性可能会泄露敏感数据。
3.容器加密技术是应用较为广泛的解决容器安全的技术手段之一，但仍存在加密镜像的构建及解密运行未完全自动化问题、加密解密过程中的密钥安全问题、镜像运行环境的安全可信问题。
4.可信计算，基于硬件安全模块支持下的可信计算平台，可以提供静态度量的能力、身份认证的能力、密钥管理及密钥运算的能力，基于这些能力可以提高系统整体的安全性，可以解决镜像加解密密钥的安全性问题，保证容器运行环境的安全可信。但是目前可信计算技术并未与容器镜像加解密技术结合，在云环境下并未发挥可信计算的安全技术优势。
5.因此，如何提供一种整合容器加解密技术与可信计算技术，并将镜像构建过程与镜像运行过程高度自动化，成为亟待解决的技术问题。


技术实现要素：

6.有鉴于此，为了克服现有技术的不足，本发明提供一种基于可信计算的容器镜像加解密方法和装置。
7.一方面，本发明提供一种基于可信计算的容器镜像加解密方法，包括：
8.步骤s1：通过tkms生成公私钥对，向可信证书管理服务申请密文公钥证书，并将私钥数据同步传输至已被tkms纳管的其它可信节点；
9.步骤s2：创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；
10.步骤s3：从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。
11.进一步地，本发明基于可信计算的容器镜像加解密方法中，步骤s1，包括：
12.步骤s11：在云环境集群内包含有可信芯片的物理节点上部署tkms和tcas；
13.步骤s12：通过tkms选择已纳管的可信节点，在所述可信节点上创建公私钥对，并导出公钥数据；
14.步骤s13：采用从tkms导出的公钥数据向tcas申请密文公钥证书；
15.步骤s14：通过tkms将已创建的公私钥对中的私钥数据同步至已被纳管的其它可
信节点。
16.进一步地，本发明基于可信计算的容器镜像加解密方法，步骤s12中的公私钥对基于国密算法sm2创建。
17.进一步地，本发明基于可信计算的容器镜像加解密方法中，步骤s2，包括：
18.步骤s21：将tcas的根证书及申请获得的密文公钥证书导入到自动化构建容器镜像的软件中，生成密文对称密钥；
19.步骤s22：采用tcas的根证书校验密文公钥证书的合法性；
20.步骤s23：采用密文对称密钥对镜像内容进行加密，获得密文镜像；
21.步骤s24：基于通过合法性校验的密文公钥证书，采用数字信封加密方式加密密文对称密钥，获得密文数据；
22.步骤s25：对密文镜像和密文数据进行数据合并，获得密文镜像文件，将获得的密文镜像文件上传至密文镜像仓库。
23.进一步地，本发明基于可信计算的容器镜像加解密方法，步骤s23中，采用密文对称密钥对镜像内容进行加密，包括：根据加密算法sm4采用密文对称密钥对镜像内容进行加密。
24.进一步地，本发明基于可信计算的容器镜像加解密方法中，步骤s3，包括：
25.步骤s31：将密文镜像仓库中的密文镜像文件下载至待运行的可信节点；
26.步骤s32：采用tcas的根证书校验密文镜像文件中携带的密文公钥证书的合法性；
27.步骤s33：采用可信节点中存储的私钥数据对密文对称密钥进行解密，获得明文对称密钥；
28.步骤s34：采用明文对称密钥对密文镜像文件进行解密，获得运行的容器。
29.另一方面，本发明提供一种基于可信计算的容器镜像加解密装置，装置包括：
30.申请模块，用于通过tkms生成公私钥对，向可信证书管理服务申请密文公钥证书，并将私钥数据同步传输至已被tkms纳管的其它可信节点；
31.镜像加密模块，用于创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；
32.镜像解密模块，用于从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。
33.进一步地，本发明基于可信计算的容器镜像加解密装置中，申请模块具体用于：在云环境集群内包含有可信芯片的物理节点上部署tkms和tcas；通过tkms选择已纳管的可信节点，在所述可信节点上创建公私钥对，并导出公钥数据；采用从tkms导出的公钥数据向tcas申请密文公钥证书；通过tkms将已创建的公私钥对中的私钥数据同步至已被纳管的其它可信节点。
34.进一步地，本发明基于可信计算的容器镜像加解密装置中，镜像加密模块具体用于：将tcas的根证书及申请获得的密文公钥证书导入到自动化构建容器镜像的软件中，生成密文对称密钥；采用tcas的根证书校验密文公钥证书的合法性；采用密文对称密钥对镜像内容进行加密，获得密文镜像；基于通过合法性校验的密文公钥证书，采用数字信封加密方式加密密文对称密钥，获得密文数据；对密文镜像和密文数据进行数据合并，获得密文镜像文件，将获得的密文镜像文件上传至密文镜像仓库。
35.进一步地，本发明基于可信计算的容器镜像加解密装置，其特征在于，镜像解密模块具体用于：将密文镜像仓库中的密文镜像文件下载至待运行的可信节点；采用tcas的根证书校验密文镜像文件中携带的密文公钥证书的合法性；采用可信节点中存储的私钥数据对密文对称密钥进行解密，获得明文对称密钥；采用明文对称密钥对密文镜像文件进行解密，获得运行的容器。
36.本发明基于可信计算的容器镜像加解密方法和装置，通过在对容器镜像加密和解密过程中提高密钥的安全性，保证镜像运行环境的安全可信，提高镜像构建与镜像运行的自动化程度。
附图说明
37.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
38.图1为本发明示例性第一实施例一种基于可信计算的容器镜像加解密方法的流程图。
39.图2为本发明示例性第二实施例一种基于可信计算的容器镜像加解密方法的流程图。
40.图3为本发明示例性第三实施例一种基于可信计算的容器镜像加解密方法的流程图。
41.图4为本发明示例性第四实施例一种基于可信计算的容器镜像加解密方法的流程图。
42.图5为本发明示例性第五实施例一种基于可信计算的容器镜像加解密装置的架构图。
具体实施方式
43.下面结合附图对本发明实施例进行详细描述。
44.需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合；并且，基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
45.需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
46.以下各实施例中涉及的名词解释如下：
47.tkms：全称为trust key manager service，一种可信密钥管理系统，纳管云环境内挂载有可信模块的设终端设备，用于整合可信终端设备的身份认证、密钥管理及密钥运
算，实现已纳管设备间的私钥同步与轮转，对外提供统一的身份认证、密码管理及密码运算服务，以及用于云环境内设备的可信身份认证，镜像的签名、验签、镜像的加密解密运算及云环境内的密钥管理。
48.tcas：全称为trust certification authority service，一种可信证书管理服务，tcas基于可信计算模块提供符合公钥基础设施标准(pki)的证书管理服务，提供证书的签发、证书校验、证书的吊销、证书的自动轮转等功能，用于云环境下镜像加密公钥证书的签发、校验及自动轮转。
49.国密算法sm2：国家密码管理局公布的公钥算法，基于椭圆曲线的非对称加密算法。
50.加密算法sm4：国家密码管理局公布的对称加密算法。
51.图1为根据本发明示例性第一实施例的一种基于可信计算的容器镜像加解密方法的流程图，如图1所示，本实施例的方法，包括：
52.步骤s1：通过tkms生成公私钥对，向可信证书管理服务申请密文公钥证书，并将私钥数据同步传输至已被tkms纳管的其它可信节点；
53.步骤s2：创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；
54.步骤s3：从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。
55.图2为根据本发明示例性第二实施例的一种基于可信计算的容器镜像加解密方法的流程图，本实施例是图1所示方法的优选实施例，如图2所示，本实施例方法的步骤s1，包括：
56.步骤s11：在云环境集群内包含有可信芯片的物理节点上部署tkms和tcas；
57.步骤s12：通过tkms选择已纳管的可信节点，在所述可信节点上创建公私钥对，并导出公钥数据；
58.步骤s13：采用从tkms导出的公钥数据向tcas申请密文公钥证书；
59.步骤s14：通过tkms将已创建的公私钥对中的私钥数据同步至已被纳管的其它可信节点。
60.在实际应用中，本实施例方法的步骤s12中的公私钥对基于国密算法sm2创建。
61.图3为根据本发明示例性第三实施例的一种基于可信计算的容器镜像加解密方法的流程图，本实施例是图1所示方法的优选实施例，如图3所示，本实施例方法的步骤s2，包括：
62.步骤s21：将tcas的根证书及申请获得的密文公钥证书导入到自动化构建容器镜像的软件中，生成密文对称密钥；
63.步骤s22：采用tcas的根证书校验密文公钥证书的合法性；
64.步骤s23：采用密文对称密钥对镜像内容进行加密，获得密文镜像；
65.步骤s24：基于通过合法性校验的密文公钥证书，采用数字信封加密方式加密密文对称密钥，获得密文数据；
66.步骤s25：对密文镜像和密文数据进行数据合并，获得密文镜像文件，将获得的密文镜像文件上传至密文镜像仓库。
67.在实际应用中，本实施例方法的步骤s23中，根据加密算法sm4采用密文对称密钥对镜像内容进行加密。
68.图4为根据本发明示例性第四实施例的一种基于可信计算的容器镜像加解密方法的流程图，本实施例是图1所示方法的优选实施例，如图4所示，本实施例方法的步骤s3，包括：
69.步骤s31：将密文镜像仓库中的密文镜像文件下载至待运行的可信节点；
70.步骤s32：采用tcas的根证书校验密文镜像文件中携带的密文公钥证书的合法性；
71.步骤s33：采用可信节点中存储的私钥数据对密文对称密钥进行解密，获得明文对称密钥；
72.步骤s34：采用明文对称密钥对密文镜像文件进行解密，获得运行的容器。
73.图5为根据本发明示例性第五实施例的一种基于可信计算的容器镜像加解密装置的架构图，如图5所示，本实施例的装置，包括：
74.申请模块，用于通过tkms生成公私钥对，向可信证书管理服务申请密文公钥证书，并将私钥数据同步传输至已被tkms纳管的其它可信节点；
75.镜像加密模块，用于创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；
76.镜像解密模块，用于从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。
77.在实际应用中，本实施例装置的申请模块具体用于：在云环境集群内包含有可信芯片的物理节点上部署tkms和tcas；通过tkms选择已纳管的可信节点，在所述可信节点上创建公私钥对，并导出公钥数据；采用从tkms导出的公钥数据向tcas申请密文公钥证书；通过tkms将已创建的公私钥对中的私钥数据同步至已被纳管的其它可信节点。
78.在实际应用中，本实施例装置的镜像加密模块具体用于：将tcas的根证书及申请获得的密文公钥证书导入到自动化构建容器镜像的软件中，生成密文对称密钥；采用tcas的根证书校验密文公钥证书的合法性；采用密文对称密钥对镜像内容进行加密，获得密文镜像；基于通过合法性校验的密文公钥证书，采用数字信封加密方式加密密文对称密钥，获得密文数据；对密文镜像和密文数据进行数据合并，获得密文镜像文件，将获得的密文镜像文件上传至密文镜像仓库。
79.在实际应用中，本实施例装置的镜像解密模块具体用于：将密文镜像仓库中的密文镜像文件下载至待运行的可信节点；采用tcas的根证书校验密文镜像文件中携带的密文公钥证书的合法性；采用可信节点中存储的私钥数据对密文对称密钥进行解密，获得明文对称密钥；采用明文对称密钥对密文镜像文件进行解密，获得运行的容器。
80.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。