CN110007933A - 一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质 - Google Patents
一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质 Download PDFInfo
- Publication number
- CN110007933A CN110007933A CN201910231947.6A CN201910231947A CN110007933A CN 110007933 A CN110007933 A CN 110007933A CN 201910231947 A CN201910231947 A CN 201910231947A CN 110007933 A CN110007933 A CN 110007933A
- Authority
- CN
- China
- Prior art keywords
- tenant
- container
- image
- image planes
- mirror
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 9
- 238000012546 transfer Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 9
- 238000013461 design Methods 0.000 abstract description 6
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009885 systemic effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质,租户使用数字证书私钥,对镜像层安全信息进行加密;将安全信息密文和租户信息存储在镜像层中;启动容器,对镜像中每一层进行验证;容器每一层均验证通过后,容器启动过程完成。基于容器镜像的分层设计,可以实现共享资源,多个镜像可以共用同一个底层镜像层,可降低传输时间,减少存储占用空间。本发明防止了镜像篡改攻击的风险。主要利用数字签名技术和漏洞扫描技术,对容器镜像生成和使用的流程进行改造,增强容器镜像的安全性,这样来防止容器镜像篡改的风险,提高云环境下容器的安全性。
Description
技术领域
本发明涉及云计算数据安全领域,尤其涉及一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质。
背景技术
Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎,源代码托管在Github上,基于go语言并遵从Apache2.0协议开源。
Docker设想是交付运行环境如同海运,操作***如同一个货轮,每一个在操作***基础上的软件都如同一个集装箱,用户可以通过标准化手段自由组装运行环境,同时集装箱的内容可以由用户自定义,也可以由专业人员制造。这样,交付一个软件,就是一系列标准化组件的集合的交付,这也就是基于docker的PaaS平台产品的原型。
Docker依赖Linux容器技术来隔离进程,让其认为自己运行在一个单独的操作***中,而实际上仍然运行在同一个操作***中,共享同一个内核,资源利用率远高于虚拟化技术,运行快速敏捷(启动、停止都以秒甚至毫秒为单位)。这些实际上都是Linux内核提供的能力,Docker只是沿用了这些特性,Docker最大的创新点在于Docker镜像的设计,并提供了一整套镜像存储方案(Docker Registry)。
Docker容器的镜像的设计可以提高镜像构建、存储和分发的效率,节省了时间和存储空间,可以从同一个镜像启动成百上千个容器。Docker容器是通过Docker镜像启动的,如果镜像本身含有安全漏洞或攻击者精心设计的木马,那么带来的危害可能会如病毒般迅速传播。因此,如何保证镜像安全是Docker生态***中亟待解决的技术问题。
发明内容
为了克服上述现有技术中的不足,本发明利用密码技术保护容器镜像安全,防止容器镜像的篡改,提高云环境下容器的安全性。
为此本发明提供四方面内容,第一方面内容涉及一种面向多租户容器镜像安全配置方法,方法包括:
租户使用数字证书私钥,对镜像层安全信息进行加密;
将安全信息密文和租户信息存储在镜像层中;
启动容器,对镜像中每一层进行验证;
容器每一层均验证通过后,容器启动过程完成。
进一步需要说明的是,步骤对镜像中每一层进行验证还包括:
基于租户的公钥解密安全信息,验证镜像层签名信息;
若签名验证失败,则终止容器启动;
返回容器启动错误信息。
进一步需要说明的是,步骤对镜像中每一层进行验证还包括:
租户通过哈希算法产生镜像层内容摘要;
调取***安全信息中的预设内容摘要;
将镜像层内容摘要与预设内容摘要进行对比;
若对比不一致,则镜像层内容已被篡改,终止容器启动,返回错误信息。
进一步需要说明的是,步骤对镜像中每一层进行验证还包括:
租户修改或新建新的容器镜像层时,利用云计算环境的漏洞扫描服务对镜像层内容进行扫描,产生扫描摘要;
租户对扫描摘要进行验证;
若扫描摘要中漏洞危险等级超过租户设定值,则终止容器启动,返回错误信息。
进一步需要说明的是,步骤租户使用数字证书私钥,对镜像层安全信息进行加密之前还包括:
基于云计算环境为每一个租户分配一个数字证书,租户使用数字证书进行签名;
租户对容器镜像层进行编辑或新建新时,基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描,产生扫描摘要;
租户使用哈希算法对容器镜像层内容进行计算,产生内容摘要;
将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。
本发明提供第二方面内容涉及一种面向多租户容器镜像安全配置***,包括:镜像层加密模块,安全信息存储模块以及镜像层验证模块;
镜像层加密模块用于基于租户使用数字证书私钥,对镜像层安全信息进行加密;
安全信息存储模块用于将安全信息密文和租户信息存储在镜像层中;
镜像层验证模块用于启动容器,对镜像中每一层进行验证;容器每一层均验证通过后,容器启动过程完成。
进一步需要说明的是,还包括:数字证书分配模块,扫描摘要生成模块,内容摘要生成模块以及镜像层信息配置模块;
数字证书分配模块用于基于云计算环境为每一个租户分配一个数字证书,租户使用数字证书进行签名;
扫描摘要生成模块用于租户在容器镜像层进行编辑或新建新时,基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描,产生扫描摘要;
内容摘要生成模块用于租户使用哈希算法对容器镜像层内容进行计算,产生内容摘要;
镜像层信息配置模块用于将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。
进一步需要说明的是,镜像层验证模块还用于基于租户的公钥解密安全信息,验证镜像层签名信息;若签名验证失败,则终止容器启动;返回容器启动错误信息;
还用于调取***安全信息中的预设内容摘要;将镜像层内容摘要与预设内容摘要进行对比;若对比不一致,则镜像层内容已被篡改,终止容器启动,返回错误信息;
还用于对扫描摘要进行验证;若扫描摘要中漏洞危险等级超过租户设定值,则终止容器启动,返回错误信息。
本发明提供第三方面内容涉及一种面向多租户容器镜像安全配置方法的运行终端,包括:
存储器,用于存储计算机程序及面向多租户容器镜像安全配置方法;
处理器,用于执行所述计算机程序及面向多租户容器镜像安全配置方法,以实现面向多租户容器镜像安全配置方法的步骤。
本发明提供第四方面内容涉及一种具有面向多租户容器镜像安全配置方法的计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现面向多租户容器镜像安全配置方法的步骤。
从以上技术方案可以看出,本发明具有以下优点:
本发明基于容器镜像的分层设计,可以实现共享资源,多个镜像可以共用同一个底层镜像层,可降低传输时间,减少存储占用空间。本发明防止了镜像篡改攻击的风险。主要利用数字签名技术和漏洞扫描技术,对容器镜像生成和使用的流程进行改造,增强容器镜像的安全性,这样来防止容器镜像篡改的风险,提高云环境下容器的安全性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为面向多租户容器镜像安全配置方法流程图;
图2为面向多租户容器镜像安全配置方法实施例流程图;
图3为面向多租户容器镜像安全配置方法实施例流程图;
图4为面向多租户容器镜像安全配置方法实施例流程图;
图5为面向多租户容器镜像安全配置***示意图;
图6为面向多租户容器镜像安全配置***实施例示意图。
具体实施方式
本发明提供一种面向多租户容器镜像安全配置方法,如图1所示,方法包括:
S1,租户使用数字证书私钥,对镜像层安全信息进行加密;
租户可以是基于用户使用的用户端,或者操作端,或者***的计算节点等等。租户是供开发人员、测试人员、运维人员使用的端口。
***基于云计算环境为每一个租户分配一个数字证书,租户使用数字证书进行签名;
租户对容器镜像层进行编辑或新建新时,基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描,产生扫描摘要;租户使用哈希算法对容器镜像层内容进行计算,产生内容摘要;将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。
Docker镜像采用分层设计,最底端是一个引导文件***,即bootfs。Docker用户不会与引导文件***有直接的交互。Docker镜像的第二层是root文件***rootfs,通常是一种或多种操作***,例如ubuntu等。第三层及以上是用户文件***,存储应用程序及附属的配置文件,动态库等。容器是从镜像启动的,容器利用联合挂载技术,将镜像每一层依次挂载,最后在顶层加载一个可读写层,形成了容器最终的文件***。
Docker镜像的设计保证了Docker镜像可以在各类Linux操作***上运行,并保证有绝对的兼容性。应用程序所依赖的环境可以在桌面、虚拟机、数据中心服务器、IaaS基础设施上无差别的异地运行而不用担心配置差异,这对于开发人员来说是一大福音,让开发人员专心关注于应用程序代码,而运维人员则关注于将构建好的镜像部署到运行环境,大大简化了代码管理与版本发布在开发、测试、运维人员之间的交互工作。
数字证书私钥是各个租户预设的,可以是基于***的预设规则,基于***预设规则各个租户预设的数字证书私钥。
S2,将安全信息密文和租户信息存储在镜像层中;
S3,启动容器,对镜像中每一层进行验证;
容器中涉及多层镜像。
S4,容器每一层均验证通过后,容器启动过程完成。
也就是对容器每一镜像层均进行验证,待全部验证通过后才进行容器启动。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将运用具体的实施例及附图,对本发明保护的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保护的范围。
本发明还提供一个实施例,如图2所示,
S11,租户使用数字证书私钥,对镜像层安全信息进行加密;
S12,将安全信息密文和租户信息存储在镜像层中;
S13,启动容器,对镜像中每一层进行验证;
S14,基于租户的公钥解密安全信息,验证镜像层签名信息;
这里根据租户的公钥解密安全信息,对容器的每个镜像层进行验证,验证镜像层签名信息。
S15,若签名验证失败,则终止容器启动;说明容器镜像被篡改,有安全风险。
S16,返回容器启动错误信息。
如果签名验证全部通过,则容器启动过程完成。
如果在硬件中实现,本发明涉及一种装置,例如可以作为处理器或者集成电路装置,诸如集成电路芯片或芯片组。可替换地或附加地,如果软件或固件中实现,所述技术可实现至少部分地由计算机可读的数据存储介质,包括指令,当执行时,使处理器执行一个或更多的上述方法。例如,计算机可读的数据存储介质可以存储诸如由处理器执行的指令。
所述代码或指令可以是软件和/或固件由处理电路包括一个或多个处理器执行,如一个或多个数字信号处理器(DSP),通用微处理器,特定应用集成电路(ASICs),现场可编程门阵列(FPGA),或者其它等价物把集成电路或离散逻辑电路。因此,术语“处理器,”由于在用于本文时可以指任何前述结构或任何其它的结构更适于实现的这里所描述的技术。另外,在一些方面,本公开中所描述的功能可以提供在软件模块和硬件模块。
本发明还提供一个实施例,如图3所示,
S21,租户使用数字证书私钥,对镜像层安全信息进行加密;
S22,将安全信息密文和租户信息存储在镜像层中;
S23,启动容器,对镜像中每一层进行验证;
S24,租户通过哈希算法产生镜像层内容摘要;
哈希算法是***为每个租户预设配置的,租户通过哈希算法产生镜像层内容摘要。
S25,调取***安全信息中的预设内容摘要;
S26,将镜像层内容摘要与预设内容摘要进行对比;
S27,若对比不一致,则镜像层内容已被篡改,终止容器启动,返回错误信息。
若对比一致,则容器正常启动。
本发明还提供一个实施例,如图4所示,
S31,租户使用数字证书私钥,对镜像层安全信息进行加密;
S32,将安全信息密文和租户信息存储在镜像层中;
S33,启动容器,对镜像中每一层进行验证;
S34,租户修改或新建新的容器镜像层时,利用云计算环境的漏洞扫描服务对镜像层内容进行扫描,产生扫描摘要;
S35,租户对扫描摘要进行验证;
S36,若扫描摘要中漏洞危险等级超过租户设定值,则终止容器启动,返回错误信息。摘要中漏洞危险等级由***预设,并以具体数字来进行界定。
若扫描摘要中漏洞危险等级未超过租户设定值,则容器启动。
上述三个实施例实现了三种不同的验证方式,上述三种不同的验证方式可以同时使用,也可以择一使用,也可以择二使用,具体使用方式,使用次序不做限定。
本发明还提供一种面向多租户容器镜像安全配置***,如图5所示,包括:镜像层加密模块1,安全信息存储模块2以及镜像层验证模块3;
镜像层加密模块1用于基于租户使用数字证书私钥,对镜像层安全信息进行加密;安全信息存储模块2用于将安全信息密文和租户信息存储在镜像层中;镜像层验证模块3用于启动容器,对镜像中每一层进行验证;容器每一层均验证通过后,容器启动过程完成。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
其中,***还包括:数字证书分配模块,扫描摘要生成模块,内容摘要生成模块以及镜像层信息配置模块;
数字证书分配模块用于基于云计算环境为每一个租户分配一个数字证书,租户使用数字证书进行签名;
扫描摘要生成模块用于租户在容器镜像层进行编辑或新建新时,基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描,产生扫描摘要;
内容摘要生成模块用于租户使用哈希算法对容器镜像层内容进行计算,产生内容摘要;
镜像层信息配置模块用于将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。
本发明提供的***中,优选的实施方式为:如图6所示,为云***内的租户分配数字证书,改造租户建立容器镜像的过程,租户修改或新建镜像层时,会进入添加安全信息流程;
添加安全信息流程首先调用共用的漏洞扫描服务,对镜像层内容进行扫描,扫描结束后产生漏洞扫描摘要;
添加安全信息流程会调用哈希算法,计算出镜像层内容摘要;
添加安全信息流程会调用签名算法,利用租户数字证书,对漏洞扫描摘要和内容摘要进行签名,并将签名内容附在镜像层中,一起保存。
改造容器启动过程,增加验证容器镜像安全信息的流程;
租户启动容器时,容器自动对镜像中每一层进行验证,首先利用租户的公钥解密安全信息,验证镜像层签名信息,若签名验证失败,则终止容器,返回错误信息;
调用哈希算法计算镜像层内容摘要,并同安全信息中的内容摘要进行对比,若对比失败,则镜像层内容已被篡改,终止容器启动,返回错误信息;
验证扫描摘要,若扫描摘要中漏洞危险等级超过租户设定值,则终止容器启动,返回错误信息。容器每一层验证通过后,继续容器启动过程,最终启动容器。
本发明利用数字签名技术和漏洞扫描技术,对容器镜像生成和使用的流程进行改造,增强容器镜像的安全性,防止容器镜像篡改的风险。
本发明还提供一种面向多租户容器镜像安全配置方法的运行终端,包括:
存储器,用于存储计算机程序及面向多租户容器镜像安全配置方法;
处理器,用于执行所述计算机程序及面向多租户容器镜像安全配置方法,以实现面向多租户容器镜像安全配置方法的步骤。
本发明还提供一种具有面向多租户容器镜像安全配置方法的计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现面向多租户容器镜像安全配置方法的步骤。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种面向多租户容器镜像安全配置方法,其特征在于,方法包括:
租户使用数字证书私钥,对镜像层安全信息进行加密;
将安全信息密文和租户信息存储在镜像层中;
启动容器,对镜像中每一层进行验证;
容器每一层均验证通过后,容器启动过程完成。
2.根据权利要求1所述的面向多租户容器镜像安全配置方法,其特征在于,步骤对镜像中每一层进行验证还包括:
基于租户的公钥解密安全信息,验证镜像层签名信息;
若签名验证失败,则终止容器启动;
返回容器启动错误信息。
3.根据权利要求1或2所述的面向多租户容器镜像安全配置方法,其特征在于,步骤对镜像中每一层进行验证还包括:
租户通过哈希算法产生镜像层内容摘要;
调取***安全信息中的预设内容摘要;
将镜像层内容摘要与预设内容摘要进行对比;
若对比不一致,则镜像层内容已被篡改,终止容器启动,返回错误信息。
4.根据权利要求1或2所述的面向多租户容器镜像安全配置方法,其特征在于,步骤对镜像中每一层进行验证还包括:
租户修改或新建新的容器镜像层时,利用云计算环境的漏洞扫描服务对镜像层内容进行扫描,产生扫描摘要;
租户对扫描摘要进行验证;
若扫描摘要中漏洞危险等级超过租户设定值,则终止容器启动,返回错误信息。
5.根据权利要求4所述的面向多租户容器镜像安全配置方法,其特征在于,步骤租户使用数字证书私钥,对镜像层安全信息进行加密之前还包括:
基于云计算环境为每一个租户分配一个数字证书,租户使用数字证书进行签名;
租户对容器镜像层进行编辑或新建新时,基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描,产生扫描摘要;
租户使用哈希算法对容器镜像层内容进行计算,产生内容摘要;
将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。
6.一种面向多租户容器镜像安全配置***,其特征在于,包括:镜像层加密模块,安全信息存储模块以及镜像层验证模块;
镜像层加密模块用于基于租户使用数字证书私钥,对镜像层安全信息进行加密;
安全信息存储模块用于将安全信息密文和租户信息存储在镜像层中;
镜像层验证模块用于启动容器,对镜像中每一层进行验证;容器每一层均验证通过后,容器启动过程完成。
7.根据权利要求6所述的面向多租户容器镜像安全配置***,其特征在于,还包括:数字证书分配模块,扫描摘要生成模块,内容摘要生成模块以及镜像层信息配置模块;
数字证书分配模块用于基于云计算环境为每一个租户分配一个数字证书,租户使用数字证书进行签名;
扫描摘要生成模块用于租户在容器镜像层进行编辑或新建新时,基于云计算环境的漏洞扫描服务对容器镜像层内容进行扫描,产生扫描摘要;
内容摘要生成模块用于租户使用哈希算法对容器镜像层内容进行计算,产生内容摘要;
镜像层信息配置模块用于将产生的内容摘要与扫描摘要一起配置成镜像层安全信息。
8.根据权利要求7所述的面向多租户容器镜像安全配置***,其特征在于,镜像层验证模块还用于基于租户的公钥解密安全信息,验证镜像层签名信息;若签名验证失败,则终止容器启动;返回容器启动错误信息;
还用于调取***安全信息中的预设内容摘要;将镜像层内容摘要与预设内容摘要进行对比;若对比不一致,则镜像层内容已被篡改,终止容器启动,返回错误信息;
还用于对扫描摘要进行验证;若扫描摘要中漏洞危险等级超过租户设定值,则终止容器启动,返回错误信息。
9.一种面向多租户容器镜像安全配置方法的运行终端,其特征在于,包括:
存储器,用于存储计算机程序及面向多租户容器镜像安全配置方法;
处理器,用于执行所述计算机程序及面向多租户容器镜像安全配置方法,以实现如权利要求1至5任意一项所述面向多租户容器镜像安全配置方法的步骤。
10.一种具有面向多租户容器镜像安全配置方法的计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现如权利要求1至5任意一项所述面向多租户容器镜像安全配置方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910231947.6A CN110007933A (zh) | 2019-03-26 | 2019-03-26 | 一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910231947.6A CN110007933A (zh) | 2019-03-26 | 2019-03-26 | 一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110007933A true CN110007933A (zh) | 2019-07-12 |
Family
ID=67168199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910231947.6A Pending CN110007933A (zh) | 2019-03-26 | 2019-03-26 | 一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110007933A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111562970A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 容器实例的创建方法、装置、电子设备及存储介质 |
| WO2021064493A1 (en) * | 2019-09-30 | 2021-04-08 | International Business Machines Corporation | Protecting workloads in kubernetes |
| CN113032736A (zh) * | 2021-03-05 | 2021-06-25 | 海能达通信股份有限公司 | Docker分层镜像的加解密方法及相关装置 |
| CN113391880A (zh) * | 2021-06-21 | 2021-09-14 | 西安超越申泰信息科技有限公司 | 一种分层双重哈希验证的可信镜像传输方法 |
| CN114765606A (zh) * | 2020-12-30 | 2022-07-19 | 中国联合网络通信集团有限公司 | 容器镜像传输方法、装置、设备及存储介质 |
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN117353922A (zh) * | 2023-12-06 | 2024-01-05 | 南京中孚信息技术有限公司 | 离线状态下的容器镜像签名验证方法、***、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9703611B1 (en) * | 2014-03-21 | 2017-07-11 | Amazon Technologies, Inc. | Isolating resources for utilization by tenants executing in multi-tenant software containers |
| CN107172100A (zh) * | 2017-07-13 | 2017-09-15 | 浪潮(北京)电子信息产业有限公司 | 一种本地安全更新bios镜像的方法及装置 |
| CN107256168A (zh) * | 2017-06-12 | 2017-10-17 | 郑州云海信息技术有限公司 | 一种uefi bios安全升级机制的设计方法 |
| CN108628658A (zh) * | 2017-03-17 | 2018-10-09 | 华为技术有限公司 | 一种容器的许可证管理方法及装置 |
-
2019
- 2019-03-26 CN CN201910231947.6A patent/CN110007933A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9703611B1 (en) * | 2014-03-21 | 2017-07-11 | Amazon Technologies, Inc. | Isolating resources for utilization by tenants executing in multi-tenant software containers |
| CN108628658A (zh) * | 2017-03-17 | 2018-10-09 | 华为技术有限公司 | 一种容器的许可证管理方法及装置 |
| CN107256168A (zh) * | 2017-06-12 | 2017-10-17 | 郑州云海信息技术有限公司 | 一种uefi bios安全升级机制的设计方法 |
| CN107172100A (zh) * | 2017-07-13 | 2017-09-15 | 浪潮(北京)电子信息产业有限公司 | 一种本地安全更新bios镜像的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| (美)常著,ISBN号 :978-7-118-07796-4: "《转型中的企业云服务》", 31 January 2012, 北京:国防工业出版社 * |
| 蒋迪,ISBN号 :978-7-313-16654-8: "《KVM私有云架构设计与实践》", 30 April 2017, 上海:上海交通大学出版社 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021064493A1 (en) * | 2019-09-30 | 2021-04-08 | International Business Machines Corporation | Protecting workloads in kubernetes |
| GB2603710B (en) * | 2019-09-30 | 2022-11-23 | Ibm | Protecting workloads in kubernetes |
| GB2603710A (en) * | 2019-09-30 | 2022-08-10 | Ibm | Protecting workloads in kubernetes |
| US11176245B2 (en) | 2019-09-30 | 2021-11-16 | International Business Machines Corporation | Protecting workloads in Kubernetes |
| CN111562970A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 容器实例的创建方法、装置、电子设备及存储介质 |
| CN111562970B (zh) * | 2020-07-15 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 容器实例的创建方法、装置、电子设备及存储介质 |
| CN114765606A (zh) * | 2020-12-30 | 2022-07-19 | 中国联合网络通信集团有限公司 | 容器镜像传输方法、装置、设备及存储介质 |
| CN114765606B (zh) * | 2020-12-30 | 2023-07-25 | 中国联合网络通信集团有限公司 | 容器镜像传输方法、装置、设备及存储介质 |
| CN113032736A (zh) * | 2021-03-05 | 2021-06-25 | 海能达通信股份有限公司 | Docker分层镜像的加解密方法及相关装置 |
| CN113391880A (zh) * | 2021-06-21 | 2021-09-14 | 西安超越申泰信息科技有限公司 | 一种分层双重哈希验证的可信镜像传输方法 |
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN114780168B (zh) * | 2022-03-30 | 2023-04-28 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN117353922A (zh) * | 2023-12-06 | 2024-01-05 | 南京中孚信息技术有限公司 | 离线状态下的容器镜像签名验证方法、***、设备及介质 |
| CN117353922B (zh) * | 2023-12-06 | 2024-03-22 | 南京中孚信息技术有限公司 | 离线状态下的容器镜像签名验证方法、***、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110007933A (zh) | 一种面向多租户容器镜像安全配置方法,***,运行终端及存储介质 | |
| CN111181720B (zh) | 基于可信执行环境的业务处理方法及装置 | |
| RU2759302C2 (ru) | Кросс-платформенная идентификационная информация анклава | |
| CN110580413B (zh) | 基于链下授权的隐私数据查询方法及装置 | |
| van Oorschot | Computer Security and the Internet | |
| RU2762141C2 (ru) | Абстрактная идентификация анклава | |
| CN105706048B (zh) | 使用硬件信任根的媒体客户端装置鉴权 | |
| CN110580412B (zh) | 基于链代码的权限查询配置方法及装置 | |
| CN110120869A (zh) | 密钥管理***及密钥服务节点 | |
| CN107743133A (zh) | 移动终端及其基于可信安全环境的访问控制方法和*** | |
| CN108898389A (zh) | 基于区块链的内容验证方法及装置、电子设备 | |
| Delaune et al. | A formal analysis of authentication in the TPM | |
| US10211985B1 (en) | Validating using an offload device security component | |
| KR20070122502A (ko) | 디바이스 인증을 위한 하드웨어 기능 스캔을 하는 컴퓨터판독가능 매체, 방법 및 시스템 | |
| Bergquist | Blockchain technology and smart contracts: privacy-preserving tools | |
| Patel et al. | DAuth: A decentralized web authentication system using Ethereum based blockchain | |
| CN108595983A (zh) | 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法 | |
| Kaufman | DASS-distributed authentication security service | |
| US20150113241A1 (en) | Establishing physical locality between secure execution environments | |
| CN109670289A (zh) | 一种识别后台服务器合法性的方法及*** | |
| Catuogno et al. | Secure dependency enforcement in package management systems | |
| WO2022205959A1 (zh) | 在区块链中发送交易和执行交易的方法和装置 | |
| KR20190128534A (ko) | 기능확장을 위한 신뢰실행환경들의 결합 방법 및 비즈니스 프로세스 지원을 위한 fido u2f 활용 방법 | |
| Kushwah et al. | PSec: programming secure distributed systems using enclaves | |
| Wang et al. | Automated security proof of cryptographic support commands in TPM 2.0 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190712 |
|
| RJ01 | Rejection of invention patent application after publication |