CN114172729A

CN114172729A - 基于容器的可信迁移方法和设备及存储介质

Info

Publication number: CN114172729A
Application number: CN202111492087.5A
Authority: CN
Inventors: 郭雪松; 张鉴; 刘文韬; 侯云晓
Original assignee: China Telecom Corp Ltd
Current assignee: China Telecom Corp Ltd
Priority date: 2021-12-08
Filing date: 2021-12-08
Publication date: 2022-03-11
Anticipated expiration: 2041-12-08
Also published as: CN114172729B

Abstract

本公开涉及基于容器的可信迁移方法和设备及存储介质。基于容器的可信迁移方法包括：为要进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；针对容器的每一层：从容器采集每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所采集的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值；基于计算的各个层哈希值计算容器哈希值；以及使容器哈希值随容器迁移至目的节点。

Description

基于容器的可信迁移方法和设备及存储介质

技术领域

本公开总体上涉及网络与信息安全领域，更具体地涉及基于容器的可信迁移方法和设备及存储介质。

背景技术

当今，随着云计算技术的广泛应用，从政府部门到大型企业，其重要业务都已向云端迁移，云计算技术已经发展成为保障国民经济顺利运行的重要支撑。近来，容器技术在云平台中的应用日益广泛，以容器为代表的轻量级虚拟化技术一经推出，就凭借其敏捷、高效的技术特点，迅速风靡全球，成为云计算的热点技术。容器的迁移技术是为了解决容器运行节点的系统在线升级、硬件维护和服务器的负载均衡问题而产生。能够有效提高容器服务的连续性，更好的满足云计算平台的需求。容器迁移技术在带来便利的同时，由于传统的迁移方法对迁移过程中的安全问题考虑不完善，因此容器迁移过程存在容器文件被恶意篡改和目的节点可能不可信等严重的安全隐患，从而可能影响容器和整个云平台的安全性。

在已经颁布实施的网络安全等级保护2.0国家标准中将定级对象扩展至云计算平台，因此对云平台等重要信息系统提出了以可信保障为核心、进行可信验证的要求。

因此，在现有技术中存在对于容器的可信迁移技术的需求。

发明内容

在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

针对容器技术在发展过程中暴露出来的安全性不强，镜像文件等容易被篡改的问题，结合网络安全等级保护2.0国家标准中对云平台等重要信息系统提出以可信保障为核心，进行可信验证的要求，本发明人提出了基于容器的可信迁移方案与装置。构造容器迁移的可信验证流程，实现容器迁移过程中对容器的镜像文件、运行时文件的进行可信验证。能够保证容器迁移过程安全可信，提高容器技术在云平台使用的安全性。

根据本公开的一个方面，提供一种基于容器的可信迁移方法，包括：为要进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；针对容器的每一层：从容器采集每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所采集的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值；基于计算的各个层哈希值计算容器哈希值；以及使容器哈希值随容器迁移至目的节点。

根据本公开的一个方面，提供一种基于容器的可信迁移方法，包括：从源节点接收进行迁移的容器的迁移文件和校验值；为进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；针对容器的每一层：从迁移文件获取每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所获取的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值；基于计算的各个层哈希值计算容器哈希值；以及将计算出的容器哈希值与接收到的校验值进行匹配以确定是否允许容器迁移。

根据本公开的另一个方面，提供一种基于容器的可信迁移装置，包括：存储器，其上存储有指令；以及处理器，被配置为执行存储在所述存储器上的指令，以执行根据本公开的上述方面所述的方法。

根据本公开的又一个方面，提供一种计算机可读存储介质，其包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据本公开的上述方面所述的方法。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：

图1示出了根据本发明的实施例的在迁移的源节点处进行基于容器的可信迁移过程100的示例性流程图；

图2示出了根据本发明的实施例的在迁移的目的节点处进行基于容器的可信迁移过程200的示例性流程图；

图3示出了根据本发明的实施例的基于容器的可信迁移系统的示意图；

图4示出了根据本发明的实施例的源节点处的哈希值结构的示意图；

图5示出了根据本发明的实施例的目的节点处的哈希值结构的示意图；以及

图6示出了可以实现根据本公开的实施例的计算设备的示例性配置。

具体实施方式

参考附图进行以下详细描述，并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解，但是这些细节仅被认为是示例，而不是为了限制本公开，本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外，为了清楚和简洁起见，可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以对本文描述的示例进行各种改变和修改。

容器迁移是指在不同的物理计算机或云平台之间移动应用程序的过程。在裸机硬件基础上运行容器所需的内存、文件系统以及网络连接都可以从源主机转移至目标主机。通常，把容器从一台服务器迁移到另一台服务器可以挺过以下五个步骤来实现：1、容器打包成镜像，2、导出镜像，3、拷贝镜像到目标服务器，4、导入镜像，以及5、运行容器。

为了保证迁移的安全性，本发明人提出了在步骤1中容器已停止运行后在打包镜像之前，针对容器文件结构中的每一层生成验证码，例如，哈希码。然后基于所有层的验证码生成容器的验证码。可选地，可以对验证码进行加密。然后，将容器的镜像文件与容器的验证码一起打包。此后，执行第2-4步骤。在执行步骤5之前，针对接收到的镜像文件中的每一层生成验证码，然后基于所有层的验证码生成容器的验证码，并将生成的容器验证码与接收到的验证码进行匹配。如果不匹配，则说明镜像文件被篡改或者目的节点不是可信节点。这种情况下，不继续执行步骤5。如果匹配，则继续执行步骤5，从而实现容器的可信迁移。

本发明人通过对容器迁移过程存在的安全风险进行分析，提出了容器可信迁移方案。本方案通过可信验证消除容器迁移过程存在的安全隐患；确保迁移过程安全的同时，符合网络安全等级保护2.0国家标准关于云平台等重要信息系统提出以可信保障为核心，进行可信验证的要求；综合全面考虑容器的静态迁移和动态迁移需求，确定容器完整性信息采集点，跟容器文件整体度量相比，粒度更细，效率更高，容器被篡改后能更精准定位风险点。

图1示出了根据本发明的实施例的在迁移的源节点处进行基于容器的可信迁移过程100的示例性流程图。基于容器的可信迁移过程100开始于步骤101。

在步骤101处，为要进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表。

在步骤102处，针对容器的每一层，通过以下操作来计算层哈希值：从容器采集每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所采集的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值。

作为一个示例，层哈希值可以是基于拼接在一起的点哈希值计算的。作为另一个示例，容器哈希值是全部层哈希值的集合。

在步骤103处，基于计算的各个层哈希值计算容器哈希值。

在步骤104处，使容器哈希值随容器迁移至目的节点。

值得注意的是，迁移可以是静态迁移。在此情况下，基于容器的可信迁移过程100在步骤101之前还可以包括停止容器运行并生成容器的镜像文件。在静态迁移的情况下，使容器哈希值随容器迁移至目的节点可以将生成的镜像文件与容器哈希值一起发送到目的节点。

值得注意的是，迁移可以是动态迁移。在此情况下，基于容器的可信迁移过程100在步骤101之前还可以包括：冻结容器并生成容器的快照文件。在动态迁移的情况下，使容器哈希值随容器迁移至目的节点可以将生成的快照文件与容器哈希值一起发送到目的节点。

根据一个示例，使容器哈希值随容器迁移至目的节点包括：对容器哈希值进行加密以形成加密的容器哈希值，以及使加密的容器哈希值随容器迁移至目的节点。

图2示出了根据本发明的实施例的在迁移的目的节点处进行基于容器的可信迁移过程200的示例性流程图。基于容器的可信迁移过程200开始于步骤201。

在步骤201处，从源节点接收进行迁移的容器的迁移文件和校验值。

在步骤202处，为进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表。

在步骤203处，针对容器的每一层，通过以下操作来计算层哈希值：从迁移文件获取每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所获取的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值。

作为一个示例，层哈希值是基于拼接在一起的点哈希值计算的。作为另一个示例，容器哈希值是全部层哈希值的集合。

在步骤204处，基于计算的各个层哈希值计算容器哈希值。

在步骤205处，将计算出的容器哈希值与接收到的校验值进行匹配以确定是否允许容器迁移。

值得注意的是，所述迁移文件对于静态迁移是容器的镜像文件，并且对于动态迁移是冻结后的容器的快照文件。接收到的校验值是在源节点处计算的容器哈希值，并且校验值是加密的。

图3示出了根据本发明的实施例的基于容器的可信迁移系统的示意图。

为实现容器迁移过程的安全可信，通过在处对容器迁移过程进行分析，确定容器迁移是静态迁移还是动态迁移。首先确定容器完整性信息采集点，在源节点上运行的容器暂停后采集容器镜像文件的完整性度量值，将度量值加密后与容器文件一同发送到可信的目的节点，目的节点对度量值进行解密后作为基准值，对收到的容器文件进行可信验证，验证通过后恢复容器的运行。

容器的静态可信迁移实现过程如图3的左侧虚线所示。

生成容器镜像文件，包括：停止待迁移容器的运行，并打包生成镜像文件。

完整性信息采集，包括：调用可信模块采集容器镜像文件的完整性度量值。在容器中，每一层(layer[i])的数据包括文件系统、元数据、层大小以及层间依赖关系表，分别对应的目录为/docker/aufs/diff/id、/docker/graph/id、/docker/aufs/layers/id。这些就是静态迁移过程中需要对镜像和容器进行完整性采集的内容。首先调用哈希算法度量这三部分内容，将得到的三个度量值拼接后再进行一次度量，得到的度量值φ[i]即为第i层容器文件layer[i]对应的度量值。

φ[i]＝hash(layer[i])＝hash(hash(aufs)+hash(graph)+hash(layers))

经过多次度量，含有n层文件的容器各层对应的度量值分别为φ[1]，φ[2]……φ[n]，该容器的完整性度量值为各层文件度量值的集合。

源节点中的这些哈希值的结构如图4所示

容器迁移，包括：将容器的镜像文件和经过可信模块加密后的度量值(DockerImage+Encrypt(f(v)))发送至容器迁移的目的节点。

目的节点可信验证，包括：调用可信模块将度量值f(v)进行解密后作为基准值，并对接收的容器镜像文件分层重新采集完整性度量值f’(v)。

将度量值f’(v)与基准值f(v)二者进行可信验证，验证结果记为：

R＝f’(v)∧f(v)＝(φ’[1]∧φ[1])∧(φ’[2]∧φ[2])∧……∧(φ’[n]∧φ[n])

目的节点的这些哈希值的结构如图5所示。

若R值为真，则可信验证通过，通过容器镜像文件重启容器；若R值为假，则容器镜像文件不可信，容器迁移失败。

容器的动态可信迁移实现流程如图3的右侧虚线处所示。

冻结容器，生成快照文件，包括：收集进程树并冻结所有进程；收集任务资源并保存；清理寄生代码并与进程分离。

完整性信息采集，包括：调用可信模块采集快照文件的完整性度量值,主要包括容器文件度量和进程文件度量两部分。容器文件每层(layer[i])包括文件系统、元数据、层大小以及层间依赖关系表，分别对应的目录为/docker/aufs/diff/id、/docker/graph/id、/docker/aufs/layers/id；进程文件由CRIU技术冻结的进程组成，对应目录为images-dir。首先对容器文件进行度量，将每层文件所包含的三部分分别计算得到度量值，将得到的三个度量值拼接后再进行一次度量，得到的度量值φ[i]即为第i层容器文件layer[i]对应的度量值。

φ[i]＝hash(layer[i])＝hash(hash(aufs)+hash(graph)+hash(layers))

接下来采集冻结的进程文件完整性度量值，得到的度量值θ[i]即为第i个进程文件对应的度量值。

经过多次度量，含有n层文件的容器各层对应的度量值分别为φ[1]，φ[2]……φ[n]，含有m个进程的容器对应的度量值分别为θ[1],θ[2]……θ[m],该容器的完整性度量值为容器文件和进程度量值的集合。

容器迁移，包括：将容器的快照文件和经过可信模块加密后的度量值(DockerFile+Encrypt(f(v)))发送至容器迁移的目的节点。

目的节点可信验证，包括：调用可信模块将度量值f(v)进行解密后作为基准值，并对接收的容器文件和进程重新采集完整性度量值f’(v)。

若R值为真，则可信验证通过，通过快照文件恢复容器运行；若R值为假，则容器文件不可信，容器迁移失败。

恢复容器，包括：读取快照文件并按资源优先级恢复资源；恢复进程树；恢复所有基础任务资源；打开文件、准备namespace、创建socket连接；恢复上下文环境，恢复剩下的其他资源，继续运行容器。

以下以某云平台上某节点因系统升级需要将已部署正在运行的容器静态迁移到另一节点为例，详细描述根据本发明实现的基于容器的可信迁移过程。该过程可选地包括以下操作：

1、生成容器镜像文件。具体包括：终止容器的运行，并将容器打包生成镜像文件。

2、完整性信息采集。具体包括：调用该节点上的可信模块对完整性信息采集点进行完整性度量并采集度量值。

3、容器静态迁移。具体包括：将容器的镜像文件和经可信模块加密后的度量值发送至容器迁移的目的节点。

4、目的节点可信验证。具体包括：调用可信模块将度量值进行解密后作为基准值，调用可信模块重新采集完整性信息进行可信验证。

5、验证通过后，通过镜像文件重启容器。

以下以某云平台上某节点因系统升级而需要将已部署重要且低时延业务的容器动态迁移到另一节点为例，详细描述根据本发明实现的基于容器的可信迁移过程。该过程可选地包括以下操作：

1、冻结容器，生成快照文件。具体包括：收集进程树并冻结所有进程；收集任务资源并保存；清理寄生代码并与进程分离。

2、完整性信息采集。具体包括：调用可信模块对快照文件中的信息采集点进行完整性度量并采集度量值。

3、容器动态迁移。具体包括：将容器的快照文件和经可信模块加密后的度量值发送至容器迁移的目的节点。

4、目的节点可信验证。具体包括：解密快照文件的度量值作为基准值，调用可信模块重新采集完整性信息进行可信验证。

5、验证通过后读取快照文件并按资源优先级恢复资源；恢复进程树；恢复所有基础任务资源；打开文件、准备namespace、创建socket连接；恢复上下文环境，恢复剩下的其他资源，继续运行容器。

本申请相对现有技术而言，具有一个或多个优点和效果。现有容器相关专利，关注点在于容器运行安全，当前容器宿主云平台的安全防护已经十分完善。而容器迁移网络传输的过程中，容器脱离了平台的防护，暴露在网络中，是容器安全的短板，本方案通过容器迁移过程的可信验证，补齐了这一短板。

图6示出了能够实现根据本公开的实施例的计算设备1200的示例性配置。

计算设备1200是能够应用本公开的上述方面的硬件设备的实例。计算设备1200可以是被配置为执行处理和/或计算的任何机器。计算设备1200可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。

如图6所示，计算设备1200可以包括可以经由一个或多个接口与总线1202连接或通信的一个或多个元件。总线1202可以包括但不限于，工业标准架构(Industry StandardArchitecture，ISA)总线、微通道架构(Micro Channel Architecture，MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。计算设备1200可以包括例如一个或多个处理器1204、一个或多个输入设备1206以及一个或多个输出设备1208。一个或多个处理器1204可以是任何种类的处理器，并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。处理器1204例如被配置为实现如图1、2所示的可信迁移过程。输入设备1206可以是能够向计算设备输入信息的任何类型的输入设备，并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备1208可以是能够呈现信息的任何类型的设备，并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。

计算设备1200还可以包括或被连接至非暂态存储设备1214，该非暂态存储设备1214可以是任何非暂态的并且可以实现数据存储的存储设备，并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备1200还可以包括随机存取存储器(RAM)1210和只读存储器(ROM)1212。ROM1212可以以非易失性方式存储待执行的程序、实用程序或进程。RAM1210可提供易失性数据存储，并存储与计算设备1200的操作相关的指令。计算设备1200还可包括耦接至数据链路1218的网络/总线接口1216。网络/总线接口1216可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统，并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙^TM设备、802.11设备、WiFi设备、WiMax设备、蜂窝通信设施等)。

本公开可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个处理器实现为执行本公开中描述的部分或全部功能的集成电路(IC)、专用集成电路(ASIC)或大规模集成电路(LSI)、系统LSI，超级LSI或超LSI组件。

本公开包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上，以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如，一个或多个存储器以可执行指令存储软件或算法，并且一个或多个处理器可以关联执行该软件或算法的一组指令，以根据本公开中描述的实施例提供各种功能。

软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令，并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备，例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(PLD)，包括将机器指令作为计算机可读信号来接收的计算机可读介质。

提供本公开的主题作为用于执行本公开中描述的特征的装置、系统、方法和程序的示例。但是，除了上述特征之外，还可以预期其他特征或变型。可以预期的是，可以用可能代替任何上述实现的技术的任何新出现的技术来完成本公开的部件和功能的实现。

另外，以上描述提供了示例，而不限制权利要求中阐述的范围、适用性或配置。在不脱离本公开的精神和范围的情况下，可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如，关于某些实施例描述的特征可以在其他实施例中被结合。

Claims

1.一种基于容器的可信迁移方法，包括：

为要进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；

针对容器的每一层：

从容器采集每一个完整性信息采集点的完整性度量值，

为每一个完整性信息采集点的所采集的完整性度量值计算点哈希值，以及

基于计算出的全部点哈希值为该层计算层哈希值；

基于计算的各个层哈希值计算容器哈希值；以及

使容器哈希值随容器迁移至目的节点。

2.根据权利要求1所述的可信迁移方法，其中，所述迁移是静态迁移，并且所述可信迁移方法还包括：

停止容器运行并生成容器的镜像文件，并且

其中使容器哈希值随容器迁移至目的节点包括：将生成的镜像文件与容器哈希值一起发送到目的节点。

3.根据权利要求1所述的可信迁移方法，其中，所述迁移是动态迁移，并且所述可信迁移方法还包括：

冻结容器并生成容器的快照文件，并且

其中使容器哈希值随容器迁移至目的节点包括：将生成的快照文件与容器哈希值一起发送到目的节点。

4.根据权利要求1所述的可信迁移方法，其中，层哈希值是基于拼接在一起的点哈希值计算的；并且其中容器哈希值是全部层哈希值的集合。

5.根据权利要求1所述的可信迁移方法，其中使容器哈希值随容器迁移至目的节点包括：

对容器哈希值进行加密以形成加密的容器哈希值，以及

使加密的容器哈希值随容器迁移至目的节点。

6.一种基于容器的可信迁移方法，包括：

从源节点接收进行迁移的容器的迁移文件和校验值；

为进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；

针对容器的每一层：

从迁移文件获取每一个完整性信息采集点的完整性度量值，

为每一个完整性信息采集点的所获取的完整性度量值计算点哈希值，以及

基于计算出的全部点哈希值为该层计算层哈希值；

基于计算的各个层哈希值计算容器哈希值；以及

将计算出的容器哈希值与接收到的校验值进行匹配以确定是否允许容器迁移。

7.根据权利要求6所述的可信迁移方法，其中所述迁移文件对于静态迁移是容器的镜像文件，并且对于动态迁移是冻结后的容器的快照文件，并且其中校验值是在源节点处计算的容器哈希值，并且校验值是加密的。

8.根据权利要求6所述的可信迁移方法，其中，层哈希值是基于拼接在一起的点哈希值计算的；并且其中容器哈希值是全部层哈希值的集合。

9.一种基于容器的可信迁移装置，包括：

存储器，其上存储有指令；以及

处理器，被配置为执行存储在所述存储器上的指令，以执行根据权利要求1至8中的任一项所述的方法。

10.一种计算机可读存储介质，包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据权利要求1至8中的任意一项所述的方法。