CN114338228A - 镜像安全处理方法、装置及存储介质 - Google Patents
镜像安全处理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114338228A CN114338228A CN202210095277.1A CN202210095277A CN114338228A CN 114338228 A CN114338228 A CN 114338228A CN 202210095277 A CN202210095277 A CN 202210095277A CN 114338228 A CN114338228 A CN 114338228A
- Authority
- CN
- China
- Prior art keywords
- encrypted
- mirror image
- image compression
- symmetric key
- compression package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本申请实施例提供镜像安全处理方法、装置及存储介质。该方法包括,获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;利用随机生成的对称密钥对镜像压缩包文件进行加密处理;用多个公钥顺序组成的公钥数组对对称密钥进行加密处理,生成加密对称密钥;基于加密处理后的镜像压缩包文件、加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。通过上述方案,在有多个接收方时,对公钥进行格式转换并顺序整理,将加密镜像压缩包文件发送给接收方之后,接收方可以按顺序基于私钥进行解密,能够有效提高密文镜像在启动时的速度。此外,当解密出现异常有根据可查,因为有公钥的哈希值,可以根据哈希值进行解密失败原因的排查。
Description
技术领域
本申请计算机技术领域,尤其涉及镜像安全处理方法、装置及存储介质。
背景技术
随着计算机技术的不断发展,越来越多的软件产品得到开发、应用。软件在开发完成之后,会根据需求方指定的方式进行交付以及安装。而且,需求方可能会有很多,各个需求方的加密方式不统一。
在一个加密镜像中,为了分发方便,可以在一个镜像的manifest文件中,存储多个接收方公钥加密的对称密钥。当用户(接收方)在启动镜像时,会进行解密操作。多接收者信息都经加密后,封装为JWE、PKCS7等格式。解密时,由指定算法进行解密操作,因为无法选择指定分对称密钥进行解密,所以需要循环解密,如果非对称解密成功,说明是当前接收者。否则尝试下一个,当结束时也没有合适的话,报错并退出。当前加密镜像技术方案中,由于针对多接收者,不同的加密语法,风格各异不统一,而且多接收者秘钥匹配困难,影响镜像解密和启动时间。因此,需要一种能够实现镜像包的安全高效交付的方案。
发明内容
本申请的多个方面提供镜像安全处理方法、装置及存储介质,用以为镜像压缩包的交付和部署提供有效安全保护的方案。
本申请实施例提供一种镜像安全处理方法,应用于服务端,所述方法包括:
获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
可选地,用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,包括:
对所述多个公钥按照指定格式进行格式转换,得到对应的多个固定格式公钥;
对所述多个固定格式公钥进行排序处理,得到所述公钥数组;
根据所述公钥数组的数组下标对对应的所述对称密钥进行加密处理,生成所述加密对称密钥。
可选地,生成加密对称密钥之后,还包括:
按照所述公钥数组中所述多个固定格式公钥的顺序,经过哈希处理得到所述公钥数组的哈希值。
可选地,所述利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理,包括:
解析所述待处理的镜像压缩包文件,获得所述镜像压缩包文件中包含的至少一个层级系统文件;
利用生成的对称密钥对所述镜像压缩包文件中所述至少一个层级系统文件进行加密处理,生成至少一个加密层级系统文件。
可选地,待处理的镜像压缩包文件中还包括层级信息索引文件;
生成至少一个加密层级系统文件之后,还包括:
基于所述加密层级系统文件,以及对称密钥计算生成消息验证码MAC;
基于所述消息验证码MAC和所述加密对称密钥对所述层级信息索引文件进行重构,生成重构层级信息索引文件。
可选地,还包括:
发送所述加密镜像压缩包文件给多个接收方,以由多个接收方根据本地私钥计算对应的公钥,并对所述公钥进行格式转换,得到对应的所述固定格式公钥,并基于计算得到的所述固定格式公钥的哈希值进行解密处理。
可选地,还包括:
若解密失败,则接收所述接收方提供的哈希值;
基于所述哈希值对所述加密镜像压缩包文件及对应的接收方进行排查。
第二方面,本申请实施例提供一种镜像安全处理方法,应用于接收方,所述方法包括:
接收加密镜像压缩包文件;
基于本地私钥计算得到对应的公钥;
对所述公钥进行格式转换,得到对应的固定格式公钥;
基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
第三方面,本申请实施例提供一种镜像安全处理装置,应用于服务端,所述装置包括:
获取模块,用于获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
第一加密模块,用于利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
第二加密模块,用于用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
生成模块,用于基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
第四方面,本申请实施例提供一种镜像安全处理装置,应用于客户端,所述装置包括:
接收模块,用于接收加密镜像压缩包文件;
计算模块,用于基于本地私钥计算得到对应的公钥;
转换模块,用于对所述公钥进行格式转换,得到对应的固定格式公钥;
解密模块,用于基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
第五方面,本申请实施例提供一种存储有计算机程序的计算机可读存储介质,当所述计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器执行包括以下的动作:
获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
第六方面,本申请实施例提供一种存储有计算机程序的计算机可读存储介质,当所述计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器执行包括以下的动作:
接收加密镜像压缩包文件;
基于本地私钥计算得到对应的公钥;
对所述公钥进行格式转换,得到对应的固定格式公钥;
基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
在本申请的一些实施例中,获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。通过上述方案,在有多个接收方的情况下,对公钥进行格式转换并进行顺序整理,从而将加密镜像压缩包文件发送给接收方之后,接收方可以顺利的基于私钥进行解密,不需要对每一个加密格式都去试一遍,能够有效提高密文镜像在启动时的速度。此外,当解密出现异常有根据可查,因为有公钥的哈希值,可以根据哈希值进行解密失败原因的排查。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种镜像安全处理方法的流程示意图;
图2为本申请实施例提供的利用公钥数组进行加密方法的流程示意图;
图3为本申请实施例举例说明的加密流程示意图;
图4为本申请实施例提供的另一种镜像安全处理方法的流程示意图;
图5为本申请实施例举例说明的解密流程示意图;
图6为本申请实施例提供的一种镜像安全处理装置的结构示意图;
图7为本申请实施例提供的另一种镜像安全处理装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种,但是不排除包含至少一种的情况。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
软件产品在开发完成后,会根据需要交付给需求方,并根据需求方指定的环境进行安装部署。然而,在交付过程中,由于接收方很多,而且每个接收方都有自己的加密格式。当将加密镜像压缩包文件发送给对应的接收方的时候,会导致接收方尝试不同的解密格式去对镜像压缩包文件进行解密,而且由于加密格式比较多,当其中一种解密格式尝试失败之后,还需要进一步尝试其他加密格式进行解密,导致接收方在接收到镜像压缩包文件之后,进行解密效率很低,直接应用用户的安装体验。
为了使得软件产品的镜像压缩包能够实现高效的安装,特提出本申请技术方案。以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请实施例提供的一种镜像安全处理方法的流程示意图。本方法主要应用于服务端,这里所说的服务端可以是本地服务端也可以是云服务器等,在本申请技术方案中并不做具体限制。本申请镜像安全处理方法具体包括如下步骤:
101:获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥。
102:利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理。
103:用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥。
104:基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
在实际应用中,所得到的加密镜像压缩包文件需要发送给多个接收方使用。这些接收方都有自己的加密格式。具体来说,在确定需要进行加密处理的的镜像压缩包文件之后,会利用对称密钥对镜像压缩包文件进行加密处理。进而,利用多个接收方提供的对应的多个公钥,对对称密钥进行进一步的加密处理。由于公钥比较多,为了便于后续解密效率,可以对多个公钥按照顺序组成公钥数组,进而对对称密钥进行加密处理,得到加密对称密钥。
例如,可以在layer的annotations内新增具有键值对关系的公钥哈希值,经过排序处理后的公钥数组存储在manifest外层annotations。保证了annotations内和annotations的公钥顺序一致性。
进而,基于排序后公钥数组对对称密钥进行加密处理的加密对称密钥、加密处理后的镜像压缩包文件和经过哈希处理的公钥数组生成加密镜像要所报文件。
通过上述方案,使得用户在加密过程中,利用对多个公钥进行排序后得到的公钥数组对对称密钥进行加密处理,从而得到加密对称密钥。通过对多个公钥进行排序处理后,接收方可以按照顺序进行解密处理,从而能够有效提高接收方的镜像包处理效率。
在本申请的一个或者多个实施例中,如图2为本申请实施例提供的利用公钥数组进行加密方法的流程示意图。从图2中可以看到,用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,包括:201:对所述多个公钥按照指定格式进行格式转换,得到对应的多个固定格式公钥。202:对所述多个固定格式公钥进行排序处理,得到所述公钥数组。203:根据所述公钥数组的数组下标对对应的所述对称密钥进行加密处理,生成所述加密对称密钥。
为了便于理解,下面将结合附图具体举例说明。
如图3为本申请实施例举例说明的加密流程示意图。从图3中可以看到,在获取到用户公钥集合后,对公钥进行解析处理,进而将公钥转为固定格式,是为了做哈希时,能有一个统一的入参标准,例如相同的两个公钥文件,一个是带格式的,一个是不带格式的。两个哈希值肯定是不同的,而经过统一固定格式转换后的公钥的哈希值则具有相同格式。所以这里程序在读取公钥后,统一转为固定格式,这里的固定格式对于常见的RSA和ECC的非对称密钥中公钥而言,直接采用ASN.1格式。排除不同开发语言中对象的差异。
在接收到明文镜像之后,确定明文镜像对应的明文层layer和对应的manifest文件(在该文件中存储有加密相关文件)。进而创建对称密钥,利用对称密钥对明文层layer进行加密处理。
按照所述公钥数组中所述多个固定格式公钥的顺序,经过哈希处理得到所述公钥数组的哈希值。对上一步固定格式的多个公钥进行排序,是为了后面加密和解密使用。排序可以理解为直接对ASN.1格式的公钥字节数组(byte[])正序排序。按照排序后的公钥数组的顺序,对对称密钥进行加密。输出的存储结构,也按照公钥排序顺序排列,供后面解密时好操作。
在本申请一个或者多个实施例中,所述利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理,包括:解析所述待处理的镜像压缩包文件,获得所述镜像压缩包文件中包含的至少一个层级系统文件。利用生成的对称密钥对所述镜像压缩包文件中所述至少一个层级系统文件进行加密处理,生成至少一个加密层级系统文件。进而,基于所述至少一个加密层级系统文件和所述加密对称密钥配置生成加密镜像压缩包文件。
在实际应用中,对待安全处理的镜像压缩包文件进行解析,可以得到镜像压缩包文件中包含的至少一个层级系统文件(layer)。在利用对称密钥加密的时候,不对整体镜像压缩包进行加密,而是采用对解析得到的各个层级系统文件(layer)分别进行加密的方式,进而可以得到各个层级系统文件都处于被加密状态。再利用加密层级文件和加密对称密钥进行配置生成加密镜像压缩包文件。
需要说明的是,在进行加密的过程中,可以采用imgcrypt工具对镜像压缩包文件进行加密。对镜像包进行压缩打包,得到待处理的镜像压缩包文件,将镜像压缩包文件导入到imgcrypt工具当中,利用需求方提供的非对称公钥对各个层级系统文件进行加密处理,导出加密镜像压缩包文件。当然,在实际应用中,还可以 VeraCrypt等各种适用加密工具,用户可以根据自己的实际需要进行选择。这里仅作为举例说明,并不构成对本申请技术方案的限制。
基于上述实施例,解析待处理的镜像压缩包文件,其中,所述镜像压缩包文件中包含至少一个层级系统文件;利用生成的对称密钥对所述至少一个层级系统文件进行加密处理,生成至少一个加密层级系统文件;调用非对称加密工具对所述对称密钥进行加密处理,生成加密对称密钥;基于至少一个所述加密层级系统文件和所述加密对称密钥进行配置生成加密镜像压缩包文件。通过上述方案,先利用对称密钥对镜像压缩包中各层级系统文件分别进行加密,即便实现了镜像压缩包的解压,但是也无法看到镜像压缩包中包含的各种文件内容和系统构成,能够有效提高镜像压缩包安全保护效果。
在本申请一个或者多个实施例中,待处理的镜像压缩包文件中还包括层级信息索引文件。生成至少一个加密层级系统文件之后,还包括:基于所述加密层级系统文件,以及对称密钥计算生成消息验证码MAC;基于所述消息验证码MAC和所述加密对称密钥对所述层级信息索引文件进行重构,生成重构层级信息索引文件。
在实际应用中,利用对称密钥对每个层级系统文件分别进行加密,可以得到加密后的层级系统文件,并将加密后的层级系统文件存储到指定位置。进而,结合对称密钥、加密后的层级系统文件计算消息验证码MAC(Message Authentication Codes)。在得到MAC之后,进一步利用消息验证码MAC和加密对称密钥对层级信息索引文件(Manifest)进行重新构建配置。
进一步的,利用基于所述至少一个加密层级系统文件、所述重构层级信息索引文件和所述消息验证码MAC配置生成加密镜像压缩包文件。manifest 文件中保存了很多和当前平台有关的信息,利用Manifest可以索引到所需要的层级系统文件(layer)。通过上述方案,利用对称密钥实现了针对各个层级系统文件的加密,即便被非法解压,得到的也是处于加密状态的层级系统文件,也无法直接了解到软件产品的整体架构。
在本申请一个或者多个实施例中,还包括:发送所述加密镜像压缩包文件给多个接收方,以由多个接收方根据本地私钥计算对应的公钥,并对所述公钥进行格式转换,得到对应的所述固定格式公钥,并基于计算得到的所述固定格式公钥的哈希值进行解密处理。
在接收方接收到加密镜像压缩包文件之后,将进一步利用接收方本地的私钥计算得到对应的公钥,并按照上述方式对得到的公钥进行格式转换,得到对应的固定格式公钥,将recipients参数base64解码,在里面找对应的公钥哈希值,找到的话,记录下当前的数组下标,也就能顺利的确定对应的公钥。
在实际应用中,若解密失败,则接收所述接收方提供的哈希值。基于所述哈希值对所述加密镜像压缩包文件及对应的接收方进行排查。通过上述实施例,可以很方便的对问题进行定位,从而顺利的对解密失败原因进行排查。
图4为本申请实施例提供的另一种镜像安全处理方法的流程示意图。本方法主要应用于本地设备或者云容器。本申请镜像安全处理方法具体包括如下步骤:
401:接收加密镜像压缩包文件。
402:基于本地私钥计算得到对应的公钥。
403:对所述公钥进行格式转换,得到对应的固定格式公钥。
404:基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
如图5为本申请实施例举例说明的解密流程示意图。从图5中可以看到,用户端在接收到加密镜像压缩包文件之后,会解析manifest,并进一步对其中包含的对称密钥进行解密。具体来说,先判断存储格式是否为按照固定格式公钥处理后的格式,若是,则计算用户端私钥对应的公钥。用户提供私钥进行解密操作,私钥是可以计算出公钥的。将公钥转为固定格式,比如ASN1格式;对固定格式公钥进行哈希计算得到对应的哈希值;将recipients参数base64解码,在里面找对应的公钥哈希值;找到的话,记录下当前的数组下标。提取layers-annotations中“org.opencontainers.image.enc.keys.common”的内容,进行base64解密。解密拿出来的是一个数组,数组长度正常来说,应该是recipients的长度相等。
使用上面的下标,对common格式的加密对称密钥内容进行解密。解密成功:完成。若解密失败,将轮询解密尝试,不行的话,抛出异常,同时提供对应的公钥哈希值供排查使用。
如前文所述可知图1对应实施例是生成加密镜像压缩包文件。在对镜像压缩包进行加密的时候是利用对称密钥进行加密的,然后利用非对称公钥对对称密钥再进行加密。因此,在部署的时候,首先需要根据实际部署环境选择合适的解密、部署方式对经过图1对应实施例得到的加密镜像压缩包文件进行解密部署。
在一些应用场景中,为了提升镜像压缩包文件的安全保护效果,采用对镜像压缩包文件中各层级系统文件分别进行加密的方式。因此,在进行解密的时候, 确定所述待部署的镜像压缩包文件中待解密的所述层级系统文件;基于所述非对称私钥,对至少一个所述层级系统文件分别对应的至少一个加密对称密钥进行解密,得到至少一个对称密钥;基于至少一个所述对称密钥对至少一个所述层级系统文件分别进行解密,以便对所述待部署的镜像压缩包文件进行部署操作。
在通过上述方案获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。通过上述方案,在有多个接收方的情况下,对公钥进行格式转换并进行顺序整理,从而将加密镜像压缩包文件发送给接收方之后,接收方可以顺利的基于私钥进行解密,不需要对每一个加密格式都去试一遍,能够有效提高密文镜像在启动时的速度。此外,当解密出现异常有根据可查,因为有公钥的哈希值,可以根据哈希值进行解密失败原因的排查。
如图6为本申请实施例提供的一种镜像安全处理装置的结构示意图。从图6中可以看到包括如下模块:
获取模块61,用于获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
第一加密模块62,用于利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
第二加密模块63,用于用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
生成模块64,用于基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
可选地,生成模块64,用于对所述多个公钥按照指定格式进行格式转换,得到对应的多个固定格式公钥;
对所述多个固定格式公钥进行排序处理,得到所述公钥数组;
根据所述公钥数组的数组下标对对应的所述对称密钥进行加密处理,生成所述加密对称密钥。
可选地,还包括:计算模块65,用于按照所述公钥数组中所述多个固定格式公钥的顺序,计算得到所述公钥数组的哈希值。
可选地,第一加密模块62,用于解析所述待处理的镜像压缩包文件,获得所述镜像压缩包文件中包含至少一个层级系统文件;
利用生成的对称密钥对所述镜像压缩包文件中所述至少一个层级系统文件进行加密处理,生成至少一个加密层级系统文件。
可选地,所述镜像压缩包文件中还包括层级信息索引文件;
可选地,第一加密模块62,用于基于所述加密层级系统文件,以及对称密钥计算生成消息验证码MAC;
基于所述消息验证码MAC和所述加密对称密钥对所述层级信息索引文件进行重构,生成重构层级信息索引文件。
可选地,还包括发送模块66,用于发送所述加密镜像压缩包文件给多个接收方,以由多个接收方根据本地私钥计算对应的公钥,并对所述公钥进行格式转换,得到对应的所述固定格式公钥,并基于计算得到的所述固定格式公钥的哈希值进行解密处理。
可选地,还包括排查模块67,用于若解密失败,则接收所述接收方提供的哈希值;基于所述哈希值对所述加密镜像压缩包文件及对应的接收方进行排查。
本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,当所述计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器执行包括以下的动作:
获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
如图7为本申请实施例提供的另一种镜像安全处理装置的结构示意图。如图7所示包括如下模块:
接收模块71,用于接收加密镜像压缩包文件;
计算模块72,用于基于本地私钥计算得到对应的公钥;
转换模块73,用于对所述公钥进行格式转换,得到对应的固定格式公钥;
解密模块74,用于基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,当所述计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器执行包括以下的动作:
接收加密镜像压缩包文件;
基于本地私钥计算得到对应的公钥;
对所述公钥进行格式转换,得到对应的固定格式公钥;
基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
基于上述实施例可知,获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。通过上述方案,在有多个接收方的情况下,对公钥进行格式转换并进行顺序整理,从而将加密镜像压缩包文件发送给接收方之后,接收方可以顺利的基于私钥进行解密,不需要对每一个加密格式都去试一遍,能够有效提高密文镜像在启动时的速度。此外,当解密出现异常有根据可查,因为有公钥的哈希值,可以根据哈希值进行解密失败原因的排查。本申请实施例还可以基于开放容器协议(Open Container Initiative,OCI)加密规范进行加解密。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中创建的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中创建的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中创建的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪存储体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种镜像安全处理方法,其特征在于,所述方法包括:
获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
2.根据权利要求1所述的方法,其特征在于,用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,包括:
对所述多个公钥按照指定格式进行格式转换,得到对应的多个固定格式公钥;
对所述多个固定格式公钥进行排序处理,得到所述公钥数组;
根据所述公钥数组的数组下标对对应的所述对称密钥进行加密处理,生成所述加密对称密钥。
3.根据权利要求2所述的方法,其特征在于,生成加密对称密钥之后,还包括:
按照所述公钥数组中所述多个固定格式公钥的顺序,经过哈希处理得到所述公钥数组的哈希值。
4.根据权利要求1所述的方法,其特征在于,所述利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理,包括:
解析所述待处理的镜像压缩包文件,获得所述镜像压缩包文件中包含的至少一个层级系统文件;
利用生成的对称密钥对所述镜像压缩包文件中所述至少一个层级系统文件进行加密处理,生成至少一个加密层级系统文件。
5.根据权利要求4所述的方法,其特征在于,待处理的镜像压缩包文件中还包括层级信息索引文件;
生成至少一个加密层级系统文件之后,还包括:
基于所述加密层级系统文件,以及对称密钥计算生成消息验证码MAC;
基于所述消息验证码MAC和所述加密对称密钥对所述层级信息索引文件进行重构,生成重构层级信息索引文件。
6.根据权利要求2所述的方法,其特征在于,还包括:
发送所述加密镜像压缩包文件给多个接收方,以由多个接收方根据本地私钥计算对应的公钥,并对所述公钥进行格式转换,得到对应的所述固定格式公钥,并基于计算得到的所述固定格式公钥的哈希值进行解密处理。
7.根据权利要求6所述的方法,其特征在于,还包括:
若解密失败,则接收所述接收方提供的哈希值;
基于所述哈希值对所述加密镜像压缩包文件及对应的接收方进行排查。
8.一种镜像安全处理方法,其特征在于,所述方法包括:
接收加密镜像压缩包文件;
基于本地私钥计算得到对应的公钥;
对所述公钥进行格式转换,得到对应的固定格式公钥;
基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
9.一种镜像安全处理装置,其特征在于,所述装置包括:
获取模块,用于获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
第一加密模块,用于利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
第二加密模块,用于用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
生成模块,用于基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
10.一种存储有计算机程序的计算机可读存储介质,其特征在于,当所述计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器执行以下的动作:
获取待处理的镜像压缩包文件和多个接收方分别对应的多个公钥;
利用随机生成的对称密钥对所述镜像压缩包文件进行加密处理;
用所述多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥;
基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成加密镜像压缩包文件。
11.一种镜像安全处理装置,其特征在于,所述装置包括:
接收模块,用于接收加密镜像压缩包文件;
计算模块,用于基于本地私钥计算得到对应的公钥;
转换模块,用于对所述公钥进行格式转换,得到对应的固定格式公钥;
解密模块,用于基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
12.一种存储有计算机程序的计算机可读存储介质,其特征在于,当所述计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器执行以下的动作:
接收加密镜像压缩包文件;
基于本地私钥计算得到对应的公钥;
对所述公钥进行格式转换,得到对应的固定格式公钥;
基于计算得到的所述固定格式公钥的哈希值进行解密处理;其中,所述加密镜像压缩包文件是利用随机生成的对称密钥对镜像压缩包文件进行加密处理后,将多个公钥顺序组成的公钥数组对所述对称密钥进行加密处理,生成加密对称密钥,并基于加密处理后的镜像压缩包文件、所述加密对称密钥以及经过哈希处理的公钥数组配置生成的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210095277.1A CN114338228B (zh) | 2022-01-26 | 2022-01-26 | 镜像安全处理方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210095277.1A CN114338228B (zh) | 2022-01-26 | 2022-01-26 | 镜像安全处理方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338228A true CN114338228A (zh) | 2022-04-12 |
| CN114338228B CN114338228B (zh) | 2022-07-29 |
Family
ID=81029574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210095277.1A Active CN114338228B (zh) | 2022-01-26 | 2022-01-26 | 镜像安全处理方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338228B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115203708A (zh) * | 2022-09-14 | 2022-10-18 | 粤港澳大湾区数字经济研究院(福田) | 一种应用数据部署至协处理器的方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733646A (zh) * | 2017-11-30 | 2018-02-23 | 中国联合网络通信集团有限公司 | 加密方法、解密方法和加密解密系统 |
| CN110633198A (zh) * | 2018-06-22 | 2019-12-31 | 中链科技有限公司 | 基于区块链的软件测试数据的存储方法及系统 |
| WO2020192996A1 (de) * | 2019-03-27 | 2020-10-01 | Mtg Ag | Digitales zertifikat und verfahren zum sicheren bereitstellen eines öffentlichen schlüssels |
| CN112671802A (zh) * | 2021-01-12 | 2021-04-16 | 北京邮电大学 | 基于不经意传输协议的数据共享方法和系统 |
| CN113900772A (zh) * | 2021-10-14 | 2022-01-07 | 成都卫士通信息产业股份有限公司 | 一种镜像文件传输方法、装置、设备及存储介质 |
-
2022
- 2022-01-26 CN CN202210095277.1A patent/CN114338228B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733646A (zh) * | 2017-11-30 | 2018-02-23 | 中国联合网络通信集团有限公司 | 加密方法、解密方法和加密解密系统 |
| CN110633198A (zh) * | 2018-06-22 | 2019-12-31 | 中链科技有限公司 | 基于区块链的软件测试数据的存储方法及系统 |
| WO2020192996A1 (de) * | 2019-03-27 | 2020-10-01 | Mtg Ag | Digitales zertifikat und verfahren zum sicheren bereitstellen eines öffentlichen schlüssels |
| CN112671802A (zh) * | 2021-01-12 | 2021-04-16 | 北京邮电大学 | 基于不经意传输协议的数据共享方法和系统 |
| CN113900772A (zh) * | 2021-10-14 | 2022-01-07 | 成都卫士通信息产业股份有限公司 | 一种镜像文件传输方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115203708A (zh) * | 2022-09-14 | 2022-10-18 | 粤港澳大湾区数字经济研究院(福田) | 一种应用数据部署至协处理器的方法及系统 |
| CN115203708B (zh) * | 2022-09-14 | 2022-12-23 | 粤港澳大湾区数字经济研究院(福田) | 一种应用数据部署至协处理器的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338228B (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105577379B (zh) | 一种信息处理方法及装置 | |
| CN110391900B (zh) | 基于sm2算法的私钥处理方法、终端及密钥中心 | |
| CN109146481B (zh) | 区块链钱包的账户私钥自动导入方法、介质、装置及区块链系统 | |
| CN107342861B (zh) | 一种数据处理方法、装置及系统 | |
| CN110661748B (zh) | 一种日志的加密方法、解密方法及装置 | |
| WO2015186829A1 (ja) | 送信ノード、受信ノード、通信ネットワークシステム、メッセージ作成方法およびコンピュータプログラム | |
| CN111800257A (zh) | 一种3d模型加密传输方法、解密方法 | |
| CN113128999B (zh) | 一种区块链隐私保护方法及装置 | |
| CN114338228B (zh) | 镜像安全处理方法、装置及存储介质 | |
| CN112272314A (zh) | 一种在视联网中视频的安全传输方法、装置、设备及介质 | |
| US20190394038A1 (en) | Searchable encryption method | |
| CN115603907A (zh) | 加密存储数据的方法、装置、设备和存储介质 | |
| CN113704794B (zh) | 电子招投标系统中的投标文件处理方法及装置 | |
| WO2013136235A1 (en) | Byzantine fault tolerance and threshold coin tossing | |
| CN115834064B (zh) | 一种安全多方计算方法、装置、系统、设备及存储介质 | |
| CN113014572A (zh) | 报文通信系统、方法及装置 | |
| CN110971581B (zh) | 加密数据处理方法和装置 | |
| CN116684102A (zh) | 报文传输方法、报文校验方法、装置、设备、介质和产品 | |
| CN116647567A (zh) | 隐私保护集合求交方法和装置 | |
| CN116132041A (zh) | 密钥处理方法、装置、存储介质及电子设备 | |
| CN112579112B (zh) | 一种镜像安全处理、部署方法、装置及存储介质 | |
| CN114465720A (zh) | 密钥迁移方法及装置、存储介质和电子设备 | |
| JP2008177998A (ja) | 同報通信暗号化方法、情報暗号化方法、情報復号方法、それらの装置、それらのプログラム、およびそれらの記録媒体 | |
| CN111510455B (zh) | 一种请求报文认证及数据传输方法 | |
| CN113672955A (zh) | 一种数据处理方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |