一种基于可信计算的容器镜像加解密方法和装置与流程

技术特征：
1.一种基于可信计算的容器镜像加解密方法，其特征在于，所述方法包括：步骤s1：通过tkms生成公私钥对，向可信证书管理服务申请密文公钥证书，并将私钥数据同步传输至已被tkms纳管的其它可信节点；步骤s2：创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；步骤s3：从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。2.根据权利要求1所述的基于可信计算的容器镜像加解密方法，其特征在于，步骤s1，包括：步骤s11：在云环境集群内包含有可信芯片的物理节点上部署tkms和tcas；步骤s12：通过tkms选择已纳管的可信节点，在所述可信节点上创建公私钥对，并导出公钥数据；步骤s13：采用从tkms导出的公钥数据向tcas申请密文公钥证书；步骤s14：通过tkms将已创建的公私钥对中的私钥数据同步至已被纳管的其它可信节点。3.根据权利要要求2所述的基于可信计算的容器镜像加解密方法，其特征在于，步骤s12中的公私钥对基于国密算法sm2创建。4.根据权利要求1所述的基于可信计算的容器镜像加解密方法，其特征在于，步骤s2，包括：步骤s21：将tcas的根证书及申请获得的密文公钥证书导入到自动化构建容器镜像的软件中，生成密文对称密钥；步骤s22：采用tcas的根证书校验密文公钥证书的合法性；步骤s23：采用密文对称密钥对镜像内容进行加密，获得密文镜像；步骤s24：基于通过合法性校验的密文公钥证书，采用数字信封加密方式加密密文对称密钥，获得密文数据；步骤s25：对密文镜像和密文数据进行数据合并，获得密文镜像文件，将获得的密文镜像文件上传至密文镜像仓库。5.根据权利要求4所述的基于可信计算的容器镜像加解密方法，其特征在于，步骤s23中，采用密文对称密钥对镜像内容进行加密，包括：根据加密算法sm4采用密文对称密钥对镜像内容进行加密。6.根据权利要求1所述的基于可信计算的容器镜像加解密方法，其特征在于，步骤s3，包括：步骤s31：将密文镜像仓库中的密文镜像文件下载至待运行的可信节点；步骤s32：采用tcas的根证书校验密文镜像文件中携带的密文公钥证书的合法性；步骤s33：采用可信节点中存储的私钥数据对密文对称密钥进行解密，获得明文对称密钥；步骤s34：采用明文对称密钥对密文镜像文件进行解密，获得运行的容器。7.一种基于可信计算的容器镜像加解密装置，其特征在于，所述装置包括：申请模块，用于通过tkms生成公私钥对，向可信证书管理服务申请密文公钥证书，并将
私钥数据同步传输至已被tkms纳管的其它可信节点；镜像加密模块，用于创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；镜像解密模块，用于从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。8.根据权利要求7所述的基于可信计算的容器镜像加解密装置，其特征在于，申请模块具体用于：在云环境集群内包含有可信芯片的物理节点上部署tkms和tcas；通过tkms选择已纳管的可信节点，在所述可信节点上创建公私钥对，并导出公钥数据；采用从tkms导出的公钥数据向tcas申请密文公钥证书；通过tkms将已创建的公私钥对中的私钥数据同步至已被纳管的其它可信节点。9.根据权利要求7所述的基于可信计算的容器镜像加解密装置，其特征在于，镜像加密模块具体用于：将tcas的根证书及申请获得的密文公钥证书导入到自动化构建容器镜像的软件中，生成密文对称密钥；采用tcas的根证书校验密文公钥证书的合法性；采用密文对称密钥对镜像内容进行加密，获得密文镜像；基于通过合法性校验的密文公钥证书，采用数字信封加密方式加密密文对称密钥，获得密文数据；对密文镜像和密文数据进行数据合并，获得密文镜像文件，将获得的密文镜像文件上传至密文镜像仓库。10.根据权利要求7所述的基于可信计算的容器镜像加解密装置，其特征在于，镜像解密模块具体用于：将密文镜像仓库中的密文镜像文件下载至待运行的可信节点；采用tcas的根证书校验密文镜像文件中携带的密文公钥证书的合法性；采用可信节点中存储的私钥数据对密文对称密钥进行解密，获得明文对称密钥；采用明文对称密钥对密文镜像文件进行解密，获得运行的容器。

技术总结
本发明涉及信息安全技术领域，提供一种基于可信计算的容器镜像加解密方法和装置，本发明的方法包括：通过TKMS生成公私钥对，向可信证书管理服务申请密文公钥证书，并将私钥数据同步传输至已被TKMS纳管的其它可信节点；创建密文镜像和密文数据，对创建的对密文镜像和密文数据进行数据合并，获得密文镜像文件并上传至密文镜像仓库；从密文镜像仓库中下载密文镜像文件至可信节点，对下载的密文镜像文件进行解密。根据本发明示例性实施例的一种基于可信计算的容器镜像加解密方法和装置，通过在对容器镜像加密和解密过程中提高密钥的安全性，保证镜像运行环境的安全可信，提高镜像构建与镜像运行的自动化程度。像运行的自动化程度。像运行的自动化程度。


技术研发人员：黄冬
受保护的技术使用者：中电云数智科技有限公司
技术研发日：2022.11.22
技术公布日：2023/3/3