劉志明

（長(zhǎng)沙民政職業(yè)技術(shù)學(xué)院，湖南 長(zhǎng)沙 410004）

1 相關(guān)技術(shù)概述

1.1 可信計(jì)算技術(shù)

可信計(jì)算技術(shù)是一種保障計(jì)算環(huán)境安全和數(shù)據(jù)保密性的技術(shù)，旨在提供一個(gè)可靠、安全和可控的計(jì)算環(huán)境?？尚庞?jì)算技術(shù)的核心是基于硬件的安全機(jī)制，以確保軟件和數(shù)據(jù)在執(zhí)行過程中的安全性[1]。

可信計(jì)算概念起源于20世紀(jì)90年代，隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，安全問題日益嚴(yán)重，需要一種更高級(jí)別的安全保障技術(shù)。可信計(jì)算的核心思想是在硬件層面提供安全保障，通過可信平臺(tái)模塊（TPM）等硬件設(shè)備，實(shí)現(xiàn)對(duì)計(jì)算設(shè)備的安全度量、驗(yàn)證和執(zhí)行環(huán)境保護(hù)[2]。

1.2 Docker容器技術(shù)

Docker容器技術(shù)是一種基于操作系統(tǒng)級(jí)虛擬化的輕量級(jí)容器技術(shù)。相較于傳統(tǒng)的虛擬化技術(shù)，它具有更高的資源利用率和更快的啟動(dòng)速度。

圖1 Docker架構(gòu)圖

容器技術(shù)源于Unix操作系統(tǒng)中的chroot機(jī)制，后來發(fā)展為BSD Jails、Solaris Zones等技術(shù)。Docker是2013年推出的開源容器技術(shù)，它基于Linux內(nèi)核的cgroups和namespaces機(jī)制，實(shí)現(xiàn)了資源隔離和進(jìn)程隔離。Docker容器將應(yīng)用程序及其依賴環(huán)境打包到一個(gè)獨(dú)立的容器中，實(shí)現(xiàn)了應(yīng)用程序的快速部署和可移植性[3]。

2 改進(jìn)的可信計(jì)算技術(shù)研究

2.1 可信度量改進(jìn)

2.1.1 基于層級(jí)結(jié)構(gòu)的容器度量

由于Docker容器采用分層文件系統(tǒng)，我們可以設(shè)計(jì)一種基于層級(jí)結(jié)構(gòu)的容器度量方案。先對(duì)每個(gè)文件系統(tǒng)層次進(jìn)行度量，生成對(duì)應(yīng)的度量值，然后將其存儲(chǔ)在可信平臺(tái)模塊（TPM）或其他安全硬件中[4]。在容器啟動(dòng)時(shí)，依次對(duì)各層次進(jìn)行度量驗(yàn)證，確保文件系統(tǒng)的完整性。

2.1.2 無狀態(tài)容器度量

針對(duì)無狀態(tài)容器，我們可以設(shè)計(jì)一種基于簽名的度量方案。在構(gòu)建容器鏡像時(shí)，先對(duì)鏡像文件進(jìn)行數(shù)字簽名，然后將簽名信息存儲(chǔ)在鏡像元數(shù)據(jù)中。在容器啟動(dòng)時(shí)，對(duì)鏡像文件進(jìn)行簽名驗(yàn)證，確保鏡像的完整性和來源的可靠性。

2.2 可信驗(yàn)證改進(jìn)

2.2.1 分布式驗(yàn)證機(jī)制

考慮到容器可能在不同的計(jì)算節(jié)點(diǎn)上運(yùn)行，我們可以設(shè)計(jì)一種分布式驗(yàn)證機(jī)制。在容器啟動(dòng)時(shí)，由計(jì)算節(jié)點(diǎn)發(fā)起驗(yàn)證請(qǐng)求，將度量值發(fā)送至驗(yàn)證服務(wù)器。驗(yàn)證服務(wù)器對(duì)度量值進(jìn)行核實(shí)，返回驗(yàn)證結(jié)果。計(jì)算節(jié)點(diǎn)根據(jù)驗(yàn)證結(jié)果，決定是否允許容器啟動(dòng)。

2.2.2 基于區(qū)塊鏈的驗(yàn)證機(jī)制

為了提高驗(yàn)證的可靠性和抗篡改能力，我們可以采用區(qū)塊鏈技術(shù)構(gòu)建驗(yàn)證機(jī)制。先將度量值和驗(yàn)證信息存儲(chǔ)在區(qū)塊鏈上，利用區(qū)塊鏈的共識(shí)算法確保數(shù)據(jù)的不可篡改性。同時(shí)，利用智能合約實(shí)現(xiàn)自動(dòng)驗(yàn)證和結(jié)果通知。

2.2.3 零信任驗(yàn)證機(jī)制

在容器部署過程中，我們可以采用零信任驗(yàn)證機(jī)制，即對(duì)容器的每個(gè)組件進(jìn)行獨(dú)立的驗(yàn)證。例如，驗(yàn)證鏡像的來源、構(gòu)建過程和數(shù)字簽名等信息，驗(yàn)證容器的文件系統(tǒng)、進(jìn)程和網(wǎng)絡(luò)連接等組件，以確保容器在啟動(dòng)前處于可信狀態(tài)。

2.3 可信執(zhí)行環(huán)境改進(jìn)

2.3.1 基于硬件的可信執(zhí)行環(huán)境

利用TPM等安全硬件實(shí)現(xiàn)可信執(zhí)行環(huán)境，以確保容器在運(yùn)行過程中的安全性。在容器啟動(dòng)時(shí)，對(duì)容器內(nèi)進(jìn)程、文件系統(tǒng)和網(wǎng)絡(luò)連接等組件進(jìn)行隔離，并將其在可信執(zhí)行環(huán)境中運(yùn)行，保障容器內(nèi)部的安全性和隔離性[5]。

2.3.2 安全容器運(yùn)行時(shí)環(huán)境

構(gòu)建安全容器運(yùn)行時(shí)環(huán)境，對(duì)容器內(nèi)部進(jìn)程進(jìn)行監(jiān)控和隔離，以防止惡意進(jìn)程的執(zhí)行。同時(shí)，對(duì)容器內(nèi)部的文件系統(tǒng)和網(wǎng)絡(luò)連接等組件進(jìn)行限制，以確保容器運(yùn)行環(huán)境的安全性和完整性。

3 基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)技術(shù)研究

3.1 安全防護(hù)需求分析

3.1.1 隔離性保障隔離性保障是容器安全防護(hù)的核心需求，其目的是確保容器內(nèi)的應(yīng)用與其他容器以及宿主系統(tǒng)之間的數(shù)據(jù)和資源相互隔離。為了實(shí)現(xiàn)這一目標(biāo)，需要關(guān)注以下幾個(gè)方面：①網(wǎng)絡(luò)隔離：容器之間應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)隔離，防止惡意容器通過網(wǎng)絡(luò)攻擊其他容器或宿主系統(tǒng)。②文件系統(tǒng)隔離：容器應(yīng)擁有獨(dú)立的文件系統(tǒng)，避免容器間以及容器與宿主系統(tǒng)之間的文件讀寫沖突。③進(jìn)程隔離：容器內(nèi)的進(jìn)程應(yīng)與其他容器和宿主系統(tǒng)的進(jìn)程相互隔離，防止進(jìn)程間的相互影響。

3.1.2 完整性保障

完整性保障主要是確保容器內(nèi)的數(shù)據(jù)和應(yīng)用程序代碼不受外部惡意攻擊者的篡改。完整性保障的關(guān)鍵因素如下。①容器鏡像簽名：確保容器鏡像來源可靠，防止使用被篡改的鏡像。②數(shù)據(jù)傳輸加密：對(duì)容器間以及容器與宿主系統(tǒng)之間傳輸?shù)臄?shù)據(jù)應(yīng)進(jìn)行加密，防止數(shù)據(jù)泄露和篡改。③數(shù)據(jù)存儲(chǔ)加密：對(duì)容器內(nèi)的數(shù)據(jù)存儲(chǔ)應(yīng)實(shí)現(xiàn)加密，防止數(shù)據(jù)泄露和篡改。

3.2 基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)方案設(shè)計(jì)

3.2.1 可信度量與驗(yàn)證方案

為了實(shí)現(xiàn)基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)技術(shù)，我們需要設(shè)計(jì)一個(gè)可信度量與驗(yàn)證方案，確保容器在部署和運(yùn)行過程中始終處于可信狀態(tài)?？尚哦攘颗c驗(yàn)證方案包括以下幾個(gè)關(guān)鍵環(huán)節(jié)。①容器鏡像可信度量：在容器部署之前，通過對(duì)容器鏡像進(jìn)行可信度量，確保其來源可靠并且未被篡改?？尚哦攘可婕坝?jì)算鏡像的哈希值、數(shù)字簽名等。②容器運(yùn)行時(shí)的可信度量：在容器運(yùn)行過程中，定期對(duì)其內(nèi)部的程序代碼和數(shù)據(jù)進(jìn)行可信度量，確保其在運(yùn)行過程中沒有受到惡意攻擊或篡改。③可信驗(yàn)證機(jī)制：在容器部署和運(yùn)行過程中，通過與可信計(jì)算基礎(chǔ)設(shè)施（如TPM等）的交互，實(shí)現(xiàn)可信度量值的驗(yàn)證，確保容器的可信狀態(tài)。

表1 Docker可信度比較

為實(shí)現(xiàn)容器鏡像可信度量，我們可以利用改進(jìn)的可信計(jì)算技術(shù)，在容器鏡像的制作階段對(duì)其進(jìn)行數(shù)字簽名，并在部署階段驗(yàn)證簽名的正確性。同時(shí)，通過計(jì)算容器鏡像的哈希值并與可信的哈希值進(jìn)行比對(duì)，確保容器鏡像未被篡改[6]。

最后，在可信驗(yàn)證機(jī)制方面，我們將利用可信計(jì)算基礎(chǔ)設(shè)施（如TPM等）來存儲(chǔ)可信度量值，并通過與這些基礎(chǔ)設(shè)施的交互來驗(yàn)證容器的可信狀態(tài)，從而確保容器始終處于安全的運(yùn)行環(huán)境中。

3.2.2 可信執(zhí)行環(huán)境方案

為了實(shí)現(xiàn)基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)技術(shù)，我們需要設(shè)計(jì)一個(gè)可信執(zhí)行環(huán)境方案?？尚艌?zhí)行環(huán)境方案的目標(biāo)是確保容器在一個(gè)受保護(hù)的、隔離的環(huán)境中運(yùn)行，從而提高容器的安全性[7]?？尚艌?zhí)行環(huán)境方案主要包括以下幾個(gè)關(guān)鍵環(huán)節(jié)。①容器隔離技術(shù)：通過使用容器隔離技術(shù)，確保容器內(nèi)的應(yīng)用與其他容器及宿主系統(tǒng)之間的數(shù)據(jù)和資源相互隔離。這包括網(wǎng)絡(luò)隔離、文件系統(tǒng)隔離和進(jìn)程隔離。②安全啟動(dòng)機(jī)制：確保容器的啟動(dòng)過程受到保護(hù)，防止惡意代碼在啟動(dòng)過程中篡改容器內(nèi)的程序和數(shù)據(jù)。③運(yùn)行時(shí)保護(hù)機(jī)制：在容器運(yùn)行過程中，對(duì)其內(nèi)部程序和數(shù)據(jù)進(jìn)行實(shí)時(shí)保護(hù)，以防止運(yùn)行時(shí)的攻擊和篡改。

表2 Docker執(zhí)行環(huán)境比較

通過實(shí)現(xiàn)以上可信執(zhí)行環(huán)境方案，我們可以提高基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)技術(shù)的安全性和可靠性。

3.2.3 容器內(nèi)數(shù)據(jù)保護(hù)方案

為了實(shí)現(xiàn)基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)技術(shù)，我們需要設(shè)計(jì)一個(gè)容器內(nèi)數(shù)據(jù)保護(hù)方案。容器內(nèi)數(shù)據(jù)保護(hù)方案的目標(biāo)是確保容器內(nèi)的敏感數(shù)據(jù)在存儲(chǔ)、傳輸和處理過程中得到充分保護(hù)，防止數(shù)據(jù)泄露和篡改。容器內(nèi)數(shù)據(jù)保護(hù)方案主要包括以下幾個(gè)關(guān)鍵環(huán)節(jié)。①數(shù)據(jù)加密：對(duì)容器內(nèi)的敏感數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在存儲(chǔ)和傳輸過程中不被泄露。②數(shù)據(jù)完整性校驗(yàn)：通過對(duì)容器內(nèi)數(shù)據(jù)的完整性進(jìn)行校驗(yàn)，確保數(shù)據(jù)在處理過程中未被篡改。③訪問控制策略：為容器內(nèi)的敏感數(shù)據(jù)和資源實(shí)施訪問控制策略，限制不同用戶和程序?qū)?shù)據(jù)和資源的訪問權(quán)限。

表3 Docker數(shù)據(jù)安全性比較

在數(shù)據(jù)加密方面，我們可以采用如AES、RSA等加密算法對(duì)容器內(nèi)的敏感數(shù)據(jù)進(jìn)行加密處理。同時(shí)，利用如TLS、SSL等加密通信協(xié)議來保護(hù)容器之間以及容器與外部系統(tǒng)之間的數(shù)據(jù)傳輸。

通過實(shí)現(xiàn)以上容器內(nèi)數(shù)據(jù)保護(hù)方案，我們可以提高基于改進(jìn)可信計(jì)算的Docker容器安全防護(hù)技術(shù)的數(shù)據(jù)安全性，確保容器內(nèi)敏感數(shù)據(jù)得到充分保護(hù)。

4 結(jié)束語(yǔ)

隨著云計(jì)算、微服務(wù)等技術(shù)的快速發(fā)展，Docker容器技術(shù)已經(jīng)成為企業(yè)和開發(fā)者構(gòu)建、部署和管理應(yīng)用的重要工具。然而，容器技術(shù)的廣泛應(yīng)用也帶來了安全方面的挑戰(zhàn)。為了提高Docker容器的安全性，本文以改進(jìn)的可信計(jì)算技術(shù)為基礎(chǔ)，進(jìn)行了Docker容器安全防護(hù)技術(shù)的研究。未來，我們將繼續(xù)關(guān)注Docker容器安全防護(hù)技術(shù)的發(fā)展趨勢(shì)，進(jìn)一步優(yōu)化改進(jìn)可信計(jì)算技術(shù)，并結(jié)合其他安全技術(shù)，如零信任架構(gòu)、安全多方計(jì)算等，以實(shí)現(xiàn)更加安全、可靠、高效的Docker容器安全防護(hù)技術(shù)。同時(shí)，我們也期待與業(yè)界專家、研究者、開發(fā)者共同探討，推進(jìn)容器安全防護(hù)技術(shù)的發(fā)展。■