容器的可信度量方法、装置及数据系统与流程

1.本技术设计安全技术领域，特别是涉及一种容器的可信度量方法、装置及数据系统。


背景技术：

2.docker采用的是基于操作系统层的虚拟化技术，即直接在宿主os上对应用进行虚拟化，通过对应用组件的封装、分发、部署、运行等生命周期的管理，达到应用组件级别的“一次封装，到处运行”。
3.相比于硬件虚拟化技术，docker在开发和运维的过程中，具有交付和部署较快，资源利用更加高效，迁移和扩展难度较小等优点，但是，随着docker技术应用规模越来越大，领域越来越广，其面临的诸多安全挑战也逐渐被人们关注，诸如容器自身被篡改以及容器内服务被入侵等问题导致的安全隐患，从而导致应用这些具有安全隐患的容器带来进一步的数据安全问题。


技术实现要素：

4.基于上述问题，本技术实施例提供了一种容器的可信度量方法、装置及数据系统。
5.本技术实施例公开了如下技术方案：
6.一种容器的可信度量方法，其包括：
7.对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
8.若所述镜像文件系统可信，则创建并运行所述容器；
9.在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
10.可选地，在本技术一实施例中，所述对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信，包括：监测生成所述镜像文件系统的执行行为，若监测到，则触发文件度量模块对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信。
11.可选地，在本技术一实施例中，对所述容器的文件系统进行可信度量，包括：对所述文件系统进行哈希运算得到哈希值，并通过与哈希基准值进行比对，对所述容器的文件系统进行可信度量。
12.可选地，在本技术一实施例中，对所述容器的运行进程进行可信度量，包括：根据进程白名单对所述容器的运行进程进行实时监控，且对监控到的所述进程进行循环可信度量。
13.可选地，在本技术一实施例中，所述方法还包括：对与所述容器进行通信的端口以及主机进行监控，以根据设置的通信白名单，控制所述容器的端口与所述主机进行通信。
14.一种容器的可信度量装置，其包括：
15.第一度量单元，用于对容器依赖的镜像文件系统进行可信度量，以度量所述镜像
文件系统是否可信；
16.容器创建单元，用于若所述镜像文件系统可信，则创建并运行所述容器；
17.第二度量单元，用于在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
18.可选地，在本技术一实施例中，所述第一度量单元进一步用于监测生成所述镜像文件系统的执行行为，若监测到，则触发文件度量模块对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信。
19.一种计算机存储介质，所述计算机存储介质上存储有被执行时执行本技术任一实施例所述方法的计算机软件程序。
20.一种电子设备，其包括存储器以及处理器，所述存储器上存储有计算机软件程序，所述处理器运行所述计算机软件程序时执行本技术任一实施例所述方法。
21.一种数据系统，其特征在于，包括若干个本技术任一实施例所述的电子设备，每个电子设备做为所述数据系统中的一个可信数据节点。
22.本技术实施例的技术方案中，通过对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；若所述镜像文件系统可信，则创建并运行所述容器；在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信，从而保证了具有安全隐患的容器可以被准确地监测出来，避免了进一步的数据安全问题。
附图说明
23.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为本技术实施例一中容器的可信度量方法流程示意图；
25.图2为本技术实施例二中容器的可信度量方法流程示意图；
26.图3为本技术实施例三中容器的可信度量方法流程示意图；
27.图4为本技术实施例四中容器的可信度量方法流程示意图；
28.图5为本技术实施例五中容器的可信度量装置的结构示意图；
29.图6为本技术实施例六中容器的可信度量装置的结构示意图；
30.图7为本技术实施例七中容器的可信度量装置的结构示意图；
31.图8为本技术实施例八中容器的可信度量装置的结构示意图；
32.图9为本技术实施例九中电子设备结构示意图；
33.图10为本技术实施例十中电子设备的硬件结构示意图；
34.图11为本技术实施例十一中计算机存储介质的结构示意图。
具体实施方式
35.实施本技术实施例的任一技术方案必不一定需要同时达到以上的所有优点。
36.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的
附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.图1为本技术实施例一中容器的可信度量方法流程示意图；如图1所示，其包括：
38.s101、对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
39.本实施例中，所述容器依赖的镜像文件采用分层的结构，即镜像文件系统是已经被封装好的“层的集合”，即镜像文件系统包括若干镜像文件层，另外，还包括若干镜像文件元数据，镜像文件元数据存储着镜像文件层的相关信息，例如镜像文件层id、创建时间等。
40.s102、若所述镜像文件系统可信，则创建并运行所述容器；
41.可选地，在一应用场景中，在创建所述容器时，具体可以通过容器代理客户端向容器服务端发送容器创建请求，所述容器服务端对接收到的容器创建请求进行解析以创建所述容器，从而实时有效地进行所述容器的创建。
42.可选地，在一应用场景中，所述容器服务端对接收到的容器创建请求进行解析以创建所述容器时，启动服务进程，通过该服务进程来初始化文件系统并创建网络设备以及防火墙规则等，从而快速地实现了所述容器的创建。
43.s103、在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
44.可选地，在一应用场景中，可以基于完整性度量机制，对所述容器的文件系统和运行的进程分别进行可信度量，从而准确地实现可信度量。
45.可选地，在一应用场景中，在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信，具体包括：在所述容器的镜像文件系统执行拉取、提交、加载以及导入操作中的任意一个时，触发对所述容器的文件系统和运行的进程分别进行可信度量，从而实现了快速地进行可信度量。
46.可选地，在一应用场景中，可以同时对所述容器的文件系统和运行的进程分别进行可信度量，也可以按照时间先后对所述容器的文件系统和运行的进程分别进行可信度量，以满足于不同的场景需求。
47.可选地，在一应用场景中，在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，包括了一次度量或者多次循环对量，多次循环度量的话，可提高可信度量的准确度。
48.图2为本技术实施例二中容器的可信度量方法流程示意图；如图2所示，其包括：
49.s201、对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
50.可选地，在一应用场景中，所述对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信，包括：监测生成所述镜像文件系统的执行行为，若监测到，则触发文件度量模块对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信。
51.进一步地，所述镜像文件系统的执行行为包括上述拉取、提交、加载以及导入操作中的任意一个。
52.进一步地，在一应用场景中，具体对拉取、提交、加载以及导入操作的指令进行监控，以准确且快速地监测生成所述镜像文件系统的执行行为。
53.s202、若所述镜像文件系统可信，则创建并运行所述容器；
54.本步骤可参见上述实施例一的记载。
55.s203、在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
56.可选地，在一应用场景中，所述对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信，包括：
57.s211、对容器依赖的镜像文件系统进行解析，确定镜像文件层以及镜像文件元数据；
58.s221、分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信。
59.可选地，在一应用场景中，所述分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信，包括：
60.s2211、根据所述镜像文件层以及镜像文件元数据之间的依赖关系，建立所述镜像文件层以及镜像文件元数据的可信度量目录；
61.s2212、根据所述可信度量目录，分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信。
62.通过建立可信度量目录的方式，使得在进行可信度量时可以基于可信度量目录依次对所述镜像文件层以及镜像文件元数据进行可信度量，从而提高了可信度量的速度，同时保证了可信度量过程中不会有任何有所述镜像文件层以及镜像文件元数据被遗漏而不参与可信度量。
63.图3为本技术实施例三中容器的可信度量方法流程示意图；如图3所示，其包括：
64.s301、对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
65.可选地，步骤s301可参见上述实施例记载。
66.s302、若所述镜像文件系统可信，则创建并运行所述容器；
67.s303、在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
68.可选地，在一应用场景中，对所述容器的文件系统进行可信度量，包括：对所述文件系统进行哈希运算得到哈希值，并通过与哈希基准值进行比对，对所述容器的文件系统进行可信度量。
69.所述哈希基准值时所述文件系统完全没有被破坏或者篡改时计算得到哈希值。
70.可选地，在本技术一实施例中，对所述容器的运行进程进行可信度量，包括：根据进程白名单对所述容器的运行进程进行实时监控，且对监控到的所述进程进行循环可信度量，以实时对进程进行可信监控。
71.图4为本技术实施例四中容器的可信度量方法流程示意图；如图4所示，其包括：
72.s401、对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
73.s402、若所述镜像文件系统可信，则创建并运行所述容器；
74.s403、在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
75.本实施例中，步骤s401、402、403可参见上述任一实施例记载。
76.s404、对与所述容器进行通信的端口以及主机进行监控，以根据设置的通信白名单，控制所述容器的端口与所述主机进行通信。
77.通信白名单中记录有只允许与所述主机进行通信且可信的容器(或者称之为与主机具有通信权的容器)，因此，通过通信白名单从而可以控制只要与主机具有通信权的容器才能与主机进行通信，从而保证了安全。
78.图5为本技术实施例五中容器的可信度量装置的结构示意图；如图5所示，其包括：
79.第一度量单元501，用于对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
80.容器创建单元502，用于若所述镜像文件系统可信，则创建并运行所述容器；
81.第二度量单元503，用于在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
82.本实施例中，所述容器依赖的镜像文件采用分层的结构，即镜像文件系统是已经被封装好的“层的集合”，即镜像文件系统包括若干镜像文件层，另外，还包括若干镜像文件元数据，镜像文件元数据存储着镜像文件层的相关信息，例如镜像文件层id、创建时间等。
83.可选地，在一应用场景中，容器创建单元502在创建所述容器时，具体可以通过容器代理客户端向容器服务端发送容器创建请求，所述容器服务端对接收到的容器创建请求进行解析以创建所述容器，从而实时有效地进行所述容器的创建。
84.可选地，在一应用场景中，所述容器服务端对接收到的容器创建请求进行解析以创建所述容器时，启动服务进程，通过该服务进程来初始化文件系统并创建网络设备以及防火墙规则等，从而快速地实现了所述容器的创建。
85.可选地，在一应用场景中，第二度量单元503可以基于完整性度量机制，对所述容器的文件系统和运行的进程分别进行可信度量，从而准确地实现可信度量。
86.可选地，在一应用场景中，在所述容器运行的过程中，第二度量单元503对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信，具体包括：在所述容器的镜像文件系统执行拉取、提交、加载以及导入操作中的任意一个时，触发第二度量单元503对所述容器的文件系统和运行的进程分别进行可信度量，从而实现了快速地进行可信度量。
87.可选地，在一应用场景中，第二度量单元503可以同时对所述容器的文件系统和运行的进程分别进行可信度量，也可以按照时间先后对所述容器的文件系统和运行的进程分别进行可信度量，以满足于不同的场景需求。
88.可选地，在一应用场景中，在所述容器运行的过程中，第二度量单元503对所述容器的文件系统和运行的进程分别进行可信度量，包括了一次度量或者多次循环对量，多次循环度量的话，可提高可信度量的准确度。
89.图6为本技术实施例六中容器的可信度量装置的结构示意图；如图6所示，其包括：
90.第一度量单元601，用于对容器依赖的镜像文件系统进行可信度量，以度量所述镜
像文件系统是否可信；
91.容器创建单元602，用于若所述镜像文件系统可信，则创建并运行所述容器；
92.第二度量单元603，用于在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
93.可选地，在本技术一实施例中，所述第一度量单元601进一步用于监测生成所述镜像文件系统的执行行为，若监测到，则触发文件度量模块对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信。
94.进一步地，所述镜像文件系统的执行行为包括上述拉取、提交、加载以及导入操作中的任意一个。
95.进一步地，在一应用场景中，具体对拉取、提交、加载以及导入操作的指令进行监控，以准确且快速地监测生成所述镜像文件系统的执行行为。
96.可选地，在本技术一实施例中，所述第一度量单元进一步用于：
97.对容器依赖的镜像文件系统进行解析，确定镜像文件层以及镜像文件元数据；
98.分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信。
99.具体地，所述第一度量单元可以包括：
100.解析模块611，用于对容器依赖的镜像文件系统进行解析，确定镜像文件层以及镜像文件元数据；
101.度量模块621，用于分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信。
102.可选地，在本技术一实施例中，所述第一度量单元进一步用于：
103.根据所述镜像文件层以及镜像文件元数据之间的依赖关系，建立所述镜像文件层以及镜像文件元数据的可信度量目录；
104.根据所述可信度量目录，分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信。
105.进一步地，所述度量模块可以包括：
106.目录建立子模块，用于根据所述镜像文件层以及镜像文件元数据之间的依赖关系，建立所述镜像文件层以及镜像文件元数据的可信度量目录；
107.度量子模块，用于根据所述可信度量目录，分别对所述镜像文件层以及镜像文件元数据进行可信度量，以度量所述镜像文件系统是否可信。
108.通过建立可信度量目录的方式，使得在进行可信度量时可以基于可信度量目录依次对所述镜像文件层以及镜像文件元数据进行可信度量，从而提高了可信度量的速度，同时保证了可信度量过程中不会有任何有所述镜像文件层以及镜像文件元数据被遗漏而不参与可信度量。
109.图7为本技术实施例七中容器的可信度量装置的结构示意图；如图7所示，其包括：
110.第一度量单元701，用于对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
111.容器创建单元702，用于若所述镜像文件系统可信，则创建并运行所述容器；
112.第二度量单元703，用于在所述容器运行的过程中，对所述容器的文件系统和运行
的进程分别进行可信度量，以度量所述容器运行过程是否可信。
113.可选地，在一应用场景中，所述第二度量单元进一步用于对所述文件系统进行哈希运算得到哈希值，并通过与哈希基准值进行比对，对所述容器的文件系统进行可信度量。
114.可选地，在一应用场景中，所述第二度量单元进一步用于根据进程白名单对所述容器的运行进程进行实时监控，且对监控到的所述进程进行循环可信度量。
115.图8为本技术实施例八中容器的可信度量装置的结构示意图；如图8所示，其包括：
116.第一度量单元801，用于对容器依赖的镜像文件系统进行可信度量，以度量所述镜像文件系统是否可信；
117.容器创建单元802，用于若所述镜像文件系统可信，则创建并运行所述容器；
118.第二度量单元803，用于在所述容器运行的过程中，对所述容器的文件系统和运行的进程分别进行可信度量，以度量所述容器运行过程是否可信。
119.通信监控单元804，用于对与所述容器进行通信的端口以及主机进行监控，以根据设置的通信白名单，控制所述容器的端口与所述主机进行通信。
120.所述哈希基准值时所述文件系统完全没有被破坏或者篡改时计算得到哈希值。
121.通信白名单中记录有只允许与所述主机进行通信的容器(或者称之为与主机具有通信权的容器)，因此，通过通信白名单从而可以控制只要与主机具有通信权的容器才能与主机进行通信，从而保证了安全。
122.图9为本技术实施例九中电子设备结构示意图；如图9所示，其包括：存储器901以及处理器902，所述存储器上存储有计算机可执行程序，所述处理器用于执行所述计算机可执行程序以实施本技术任一实施例所述的方法。
123.图10为本技术实施例十中电子设备的硬件结构示意图；如图10所示，该电子设备的硬件结构可以包括：处理器任务解析单元1001，通信接口开销确定单元1002，计算机可读介质任务刻画单元1003和通信总线1004；
124.其中，处理器任务解析单元1001、通信接口开销确定单元1002、计算机可读介质任务刻画单元1003通过通信总线1004完成相互间的通信；
125.可选的，通信接口开销确定单元1002可以为通信模块的接口，如gsm模块的接口；
126.其中，处理器任务解析单元1001具体可以配置为运行存储器上存储的可执行程序，从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。
127.处理器任务解析单元1001可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
128.本技术实施例的电子设备以多种形式存在，包括但不限于:
129.(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
130.(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功
能，一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等，例如ipad。
131.(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
132.(4)服务器:提供计算服务的设备，服务器的构成包括处理器710、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
133.(5)其他具有数据交互功能的电子装置。
134.图11为本技术实施例十一中计算机存储介质的结构示意图；如图11所示，所述计算机存储介质上存储有计算机可执行程序，所述计算机可执行程序被运行时实施本技术任一实施例所述的方法。
135.本技术实施例还提供一种数据系统，其包括本技术任一实施例所述的电子设备。
136.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分从网络上被下载和安装，和/或从可拆卸介质被安装。在该计算机程序被处理单元(cpu)执行时，执行本技术的方法中限定的上述功能。需要说明的是，本技术所述的计算机可读介质可以是计算机可读信号介质或者计算机存储介质或者是上述两者的任意组合。计算机存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
137.可以以一种或多种程序设计语言或其组合来编写用于执行本技术的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
138.需要说明的是，本说明书中的各个实施例之间相同相似的部分互相参见即可，每
个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块提示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
139.以上所述，仅为本技术的一种具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。