CN116208383A - 一种基于webhook的云原生可信度量方法、系统及存储介质 - Google Patents
一种基于webhook的云原生可信度量方法、系统及存储介质 Download PDFInfo
- Publication number
- CN116208383A CN116208383A CN202310058311.2A CN202310058311A CN116208383A CN 116208383 A CN116208383 A CN 116208383A CN 202310058311 A CN202310058311 A CN 202310058311A CN 116208383 A CN116208383 A CN 116208383A
- Authority
- CN
- China
- Prior art keywords
- mirror image
- trusted
- deployment request
- reference value
- measurement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了云安全技术领域的一种基于webhook的云原生可信度量方法、系统及存储介质,在Kubernetes集群中动态部署有可信度量准入控制器,所述方法包括:从Kube接口服务获取所有的镜像部署请求;从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的可信度量基准值;利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。本发明首次在Kubernetes中增加可信度量机制,具有通用性强,兼容性好,灵活性高等特点,可以在较小改造的基础上,实现云原生的可信度量,保证部署人员部署的镜像安全可信,实现云计算应用场景下的容器内容安全可信。
Description
技术领域
本发明属于云安全技术领域,具体涉及一种基于webhook的云原生可信度量方法、系统及存储介质。
背景技术
可信度量技术是解决计算环境不可信、网络安全缺乏深度保障等问题的重要手段之一,可信度量在运算的同时进行安全防护,能够为系统提供安全免疫能力。
当Kubernetes启动一个pod时,该pod可能会从各种不同的容器镜像仓库拉取容器镜像。由于容器共享主机内核的过程中可以访问一些主机资源,因此,确保系统中运行的是可信的容器镜像,对安全来讲至关重要。为了确认容器镜像是否可信以及容器镜像是否完整,有必要执行强制的镜像安全策略,对pod拉取的镜像进行可信度量。但在Kubernetes中,尚没有可靠的可信度量机制。
发明内容
为解决现有技术中的不足,本发明提供一种基于webhook的云原生可信度量方法、系统及存储介质,首次在Kubernetes中增加可信度量机制,具有通用性强,兼容性好,灵活性高等特点,可以在较小改造的基础上,实现云原生的可信度量,保证部署人员部署的镜像安全可信,实现云计算应用场景下的容器内容安全可信。
为达到上述目的,本发明所采用的技术方案是:
第一方面,提供一种基于webhook的云原生可信度量方法,在Kubernetes集群中动态部署有可信度量准入控制器,所述方法由动态部署在Kubernetes集群中的可信度量准入控制器执行,包括:从Kube接口服务获取所有的镜像部署请求;从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
进一步地,通过可信基准值安全发布与验证服务获取与镜像部署请求相匹配的可信度量基准值,具体为:当镜像部署请求中包含pod,且操作类型是创建或修改,则对于pod中的每一个镜像,获取相匹配的安全策略;若没有获取到相匹配到安全策略,则结束本次可信度量并放行当前镜像部署请求;若获取到相匹配的安全策略,为每个镜像的GUN发起新的HTTP请求到可信基准值安全发布与验证服务,以请求获取该镜像的最新的可信度量基准值。
进一步地,通过可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,具体为:在获取与镜像部署请求相匹配的可信度量基准值并验签成功后,对镜像部署请求中GUN的格式进行修改,并将修改后的镜像部署请求发送给Kube接口服务,以使Kube接口服务根据修改后的镜像部署请求完成流程的创建或修改。
进一步地,镜像部署请求包括可信度量的对象;其中,可信度量的对象由全局唯一名称GUN标识来标识,GUN标识的结构为“[镜像的源仓库]/[镜像名称]:[镜像版本]”。
进一步地,镜像部署请求包括可信度量的目标命名空间;可信度量的作用范围是指定的命名空间,或者是整个集群;当目标命名空间配置了可信度量策略时,以配置的可信度量策略为准;当目标命名空间没有配置可信度量策略时,以集群的可信度量策略为准。
第二方面,提供一种镜像可信基准值的发布方法,由可信基准值安全发布与验证服务器执行,包括:获取用户上传的新的元数据,所述新的元数据为镜像制作者在本地为镜像签名后的数据,利用存储在服务端数据库内的对应镜像的元数据,对新的元数据进行验证,在验证通过后,生成新的元数据的时间戳和快照,并利用存储在签名服务数据库中的私钥对生成的时间戳和快照进行签名,然后将新的元数据及签名后的时间戳和快照存储在服务端数据库中,作为最新的可信度量基准值,用于供镜像使用者调用,以验证待部署镜像的签名是否正确。
第三方面,提供一种基于webhook的云原生可信度量系统,包括:Kubernetes集群,在Kubernetes集群中动态部署有可信度量准入控制器,可信度量准入控制器用于从Kube接口服务获取所有的镜像部署请求,从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值,利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
进一步地,可信度量准入控制器包括:镜像部署请求获取模块,用于从Kube接口服务获取所有的镜像部署请求;可信度量基准值模块,用于从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;镜像部署请求验证模块,用于利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
进一步地,基于webhook的云原生可信度量系统还包括可信基准值安全发布与验证服务;动态部署在Kubernetes集群中的所述可信度量准入控制器是基于Kubernetes APIserver中的MutatingAdmissionWebhook准入控制器和ValidatingAdmissionWebhook准入控制器实现的自定义webhook准入控制器;
其中,所述MutatingAdmissionWebhook准入控制器,用于向可信基准值安全发布与验证服务发送准入请求,获取与镜像部署请求相匹配的最新的可信度量基准值,并在返回准入响应之前通过创建补丁来修改对象;所述ValidatingAdmissionWebhook准入控制器,用于在可信度量基准值验证镜像部署请求中请求部署的镜像为不可信后,拒绝镜像部署请求。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行第一方面所述的方法。
与现有技术相比,本发明所达到的有益效果:
(1)本发明基于动态部署在Kubernetes集群中的可信度量准入控制器,通过webhook机制hook所有的镜像部署请求,通过可信基准值安全发布与验证服务获取最新的可信度量基准值,通过可信度量基准值验证镜像部署请求中请求部署的镜像是否可信;本发明首次在Kubernetes中增加可信度量机制,具有通用性强,兼容性好,灵活性高等特点,可以在较小改造的基础上,实现云原生的可信度量,保证部署人员部署的镜像安全可信,实现云计算应用场景下的容器内容安全可信;
(2)本发明基于webhook技术,可以实现动态的部署与策略配置,可以对容器镜像进行细粒度的控制;
(3)本发明所使用的可信度量技术可以限制只有被特定发布者签名的授权镜像才能被部署,验证正在使用的镜像的完整性,有效的保证了集群的安全性。
附图说明
图1是本发明实施例提供的一种基于webhook的云原生可信度量方法的结构示意图;
图2是本发明实施例中的webhook说明图;
图3是本发明实施例中可信基准值安全发布与验证服务流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例一:
如图1所示,一种基于webhook的云原生可信度量方法,在Kubernetes集群中动态部署有可信度量准入控制器,所述方法由动态部署在Kubernetes集群中的可信度量准入控制器执行,包括:从Kube接口服务获取所有的镜像部署请求;从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
步骤一:基于动态部署在Kubernetes集群中的可信度量准入控制器,通过webhook机制hook所有的镜像部署请求。
Kubernetes准入控制器是在对象持久化之前用于对Kubernetes接口服务的请求进行拦截的代码段,在请求经过身份验证和授权之后放行通过。mutating控制器可以修改处理的资源对象,validating控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。这些传统的控制器虽然功能强大,但是需要被编译进kube-apiserver,并且只能在apiserver启动时启动。而本实施例中,基于webhook的准入控制器则可以动态的部署和使用。在Kubernetes API server中包含两个特殊的准入控制器:MutatingAdmissionWebhook和ValidatingAdmissionWebhook。这两个webhook控制器将发送准入请求到外部的HTTP回调服务并接收一个准入响应。如图2所示,展示了Kubernetes API server的生命周期以及基于webhook的可信度量准入控制器在其生命周期中的作用域。
可信度量准入控制器由上述两种基于webhook的准入控制器构成,在部署可信度量准入控制器前,首先需要在kube-apiserver中启用MutatingAdmissionWebhook和ValidatingAdmissionWebhook这两个webhook准入控制器。
所述MutatingAdmissionWebhook准入控制器,可以在返回准入响应之前通过创建补丁来修改对象,所述ValidatingAdmissionWebhook准入控制器,可以拒绝请求,但是它们却不能修改在准入请求中获取的对象。
步骤二:通过可信基准值安全发布与验证服务获取最新的可信度量基准值。
镜像可信基准值安全发布与验证服务的服务端(Server)负责存储并更新经过镜像发布者签名的元数据,这些元数据存储在服务端关系型数据库(Server DB)中。
镜像可信基准值安全发布与验证服务的签名器(Signer)负责存储用于给服务端元数据签名的私钥,这些私钥存储在签名器关系型数据库中(Signer DB)。
如图3所示,展示了镜像发布者上传签名的元数据的流程以及客户端请求最新的元数据的流程。
可信度量基准值由独立的可信基准值安全发布与验证服务保存,镜像制作者在本地为镜像签名后,将元数据上传至服务端为时间戳/快照签名并保存;镜像使用者从服务端获取最新的元数据并验证指定镜像的签名是否正确。
需要指明的是,该服务是按照TUF框架实现并使用的,TUF框架是一种安全的软件分发与更新通用设计方法。通过使用TUF框架,该服务可以达到较高等级的安全性。
步骤三:通过可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求,若不可信,则拒绝镜像部署请求。
部署可信度量准入控制器后,Kubernetes API server发送的每一条请求都经过可信度量准入控制器,可信度量过程如下:
(1)当请求中包含pod,操作类型是创建或修改,则触发检查,对于pod中的每一个镜像,可信度量准入控制器都尝试寻找一条匹配的安全策略。当匹配到安全策略后,进入下一步,当没有匹配到安全策略,则结束本次可信度量并放行当前请求。
(2)匹配到安全策略后,可信度量准入控制器为每个镜像的GUN发起新的HTTP请求到可信基准值安全发布与验证服务,请求获取该镜像的最新元数据。
(3)如果获取到最新的元数据并验签成功,则把请求中镜像的GUN对应摘要传递到下一步处理,否则停止此次请求并报错。
(4)可信度量准入控制器根据收到的摘要,将镜像的GUN修改为固定格式:registry/project@sha256:摘要,并将修改后的请求发送给Kubernetes API server。
Kubernetes API server继续完成创建或修改流程,从容器镜像仓库拉取镜像,并完成部署。
本实施例中,可信度量的作用范围是指定的命名空间,或者是整个集群;当某命名空间配置了可信度量策略时,以配置的可信度量策略为准;当某命名空间没有配置可信度量策略时,以集群的可信度量策略为准。
本实施例中,可信度量的对象由全局唯一名称来标识,记为GUN标识,GUN标识的结构为“[镜像的源仓库]/[镜像名称]:[镜像版本]”。
本实施例基于webhook技术,可以实现动态的部署与策略配置,可以对容器镜像进行细粒度的控制。本实施例所使用的可信度量技术可以限制只有被特定发布者签名的授权镜像才能被部署,验证正在使用的镜像的完整性,有效的保证了集群的安全性。本实施例首次在Kubernetes中增加可信度量机制,通用性强,兼容性好,灵活性高,可以在较小改造的基础上,实现云原生的可信度量,保证部署人员部署的镜像安全可信,实现云计算应用场景下的容器内容安全可信。
实施例二:
基于实施例一所述的一种基于webhook的云原生可信度量方法,本实施例提供一种基于webhook的云原生可信度量系统,包括:Kubernetes集群,在Kubernetes集群中动态部署有可信度量准入控制器,可信度量准入控制器用于从Kube接口服务获取所有的镜像部署请求;从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
进一步地,可信度量准入控制器包括镜像部署请求获取模块,用于从Kube接口服务获取所有的镜像部署请求;可信度量基准值模块,用于从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;镜像部署请求验证模块,用于利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
进一步地,基于webhook的云原生可信度量系统还包括可信基准值安全发布与验证服务;动态部署在Kubernetes集群中的所述可信度量准入控制器是基于Kubernetes APIserver中的MutatingAdmissionWebhook准入控制器和ValidatingAdmissionWebhook准入控制器实现的自定义webhook准入控制器;
其中,所述MutatingAdmissionWebhook准入控制器,用于向可信基准值安全发布与验证服务发送准入请求,获取与镜像部署请求相匹配的最新的可信度量基准值,并在返回准入响应之前通过创建补丁来修改对象;所述ValidatingAdmissionWebhook准入控制器,用于在可信度量基准值验证镜像部署请求中请求部署的镜像为不可信后,拒绝镜像部署请求。
实施例三:
基于实施例一所述的一种基于webhook的云原生可信度量方法,本实施例提供一种镜像可信基准值的发布方法,由可信基准值安全发布与验证服务器执行,包括:获取用户上传的新的元数据,所述新的元数据为镜像制作者在本地为镜像签名后的数据,利用存储在服务端数据库内的对应镜像的元数据,对新的元数据进行验证,在验证通过后,生成新的元数据的时间戳和快照,并利用存储在签名服务数据库中的私钥对生成的时间戳和快照进行签名,然后将新的元数据及签名后的时间戳和快照存储在服务端数据库中,作为最新的可信度量基准值,用于供镜像使用者调用,以验证待部署镜像的签名是否正确。
实施例四:
基于实施例一所述的一种基于webhook的云原生可信度量方法,本实施例提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行实施例一所述的方法。
本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种基于webhook的云原生可信度量方法,其特征在于,在Kubernetes集群中动态部署有可信度量准入控制器,所述方法由动态部署在Kubernetes集群中的可信度量准入控制器执行,包括:
从Kube接口服务获取所有的镜像部署请求;
从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;
利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
2.根据权利要求1所述的基于webhook的云原生可信度量方法,其特征在于,通过可信基准值安全发布与验证服务获取与镜像部署请求相匹配的可信度量基准值,具体为:
当镜像部署请求中包含pod,且pod的操作类型是创建或修改,则对于pod中的每一个镜像,获取相匹配的安全策略;
若没有获取到相匹配到安全策略,则结束本次可信度量并放行当前镜像部署请求;
若获取到相匹配的安全策略,为每个镜像的GUN发起新的HTTP请求到可信基准值安全发布与验证服务,以请求获取该镜像的最新的可信度量基准值。
3.根据权利要求2所述的基于webhook的云原生可信度量方法,其特征在于,通过可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,具体为:
在获取与镜像部署请求相匹配的可信度量基准值并验签成功后,对镜像部署请求中GUN的格式进行修改,并将修改后的镜像部署请求发送给Kube接口服务,以使Kube接口服务根据修改后的镜像部署请求完成流程的创建或修改。
4.根据权利要求1所述的基于webhook的云原生可信度量方法,其特征在于,镜像部署请求包括可信度量的对象;其中,可信度量的对象由全局唯一名称GUN标识来标识,GUN标识的结构为“[镜像的源仓库]/[镜像名称]:[镜像版本]”。
5.根据权利要求1所述的基于webhook的云原生可信度量方法,其特征在于,镜像部署请求包括可信度量的目标命名空间;可信度量的作用范围是指定的命名空间,或者是整个集群;
当目标命名空间配置了可信度量策略时,以配置的可信度量策略为准;
当目标命名空间没有配置可信度量策略时,以集群的可信度量策略为准。
6.一种镜像可信基准值的发布方法,其特征在于,由可信基准值安全发布与验证服务器执行,包括:
获取用户上传的新的元数据,所述新的元数据为镜像制作者在本地为镜像签名后的数据,利用存储在服务端数据库内的对应镜像的元数据,对新的元数据进行验证,
在验证通过后,生成新的元数据的时间戳和快照,并利用存储在签名服务数据库中的私钥对生成的时间戳和快照进行签名,然后将新的元数据及签名后的时间戳和快照存储在服务端数据库中,作为最新的可信度量基准值,用于供镜像使用者调用,以验证待部署镜像的签名是否正确。
7.一种基于webhook的云原生可信度量系统,其特征在于,包括:Kubernetes集群,在Kubernetes集群中动态部署有可信度量准入控制器,可信度量准入控制器用于从Kube接口服务获取所有的镜像部署请求;从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
8.根据权利要求1所述的基于webhook的云原生可信度量系统,其特征在于,可信度量准入控制器,包括:
镜像部署请求获取模块,用于从Kube接口服务获取所有的镜像部署请求;
可信度量基准值模块,用于从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;
镜像部署请求验证模块,用于利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。
9.根据权利要求7所述的基于webhook的云原生可信度量系统,其特征在于,基于webhook的云原生可信度量系统还包括可信基准值安全发布与验证服务;
动态部署在Kubernetes集群中的所述可信度量准入控制器是基于Kubernetes APIserver中的MutatingAdmissionWebhook准入控制器和ValidatingAdmissionWebhook准入控制器实现的自定义webhook准入控制器;
其中,所述MutatingAdmissionWebhook准入控制器,用于向可信基准值安全发布与验证服务发送准入请求,获取与镜像部署请求相匹配的最新的可信度量基准值,并在返回准入响应之前通过创建补丁来修改对象;
所述ValidatingAdmissionWebhook准入控制器,用于在可信度量基准值验证镜像部署请求中请求部署的镜像为不可信后,拒绝镜像部署请求。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行权利要求1至6中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310058311.2A CN116208383A (zh) | 2023-01-17 | 2023-01-17 | 一种基于webhook的云原生可信度量方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310058311.2A CN116208383A (zh) | 2023-01-17 | 2023-01-17 | 一种基于webhook的云原生可信度量方法、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116208383A true CN116208383A (zh) | 2023-06-02 |
Family
ID=86518460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310058311.2A Pending CN116208383A (zh) | 2023-01-17 | 2023-01-17 | 一种基于webhook的云原生可信度量方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116208383A (zh) |
-
2023
- 2023-01-17 CN CN202310058311.2A patent/CN116208383A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11914712B1 (en) | Blockchain based secure naming and update verification | |
| US10338946B1 (en) | Composable machine image | |
| CN110069921B (zh) | 一种面向容器平台的可信软件授权验证系统及方法 | |
| CN111258725B (zh) | 一种基于区块链的数据处理方法、装置、设备和介质 | |
| US11496323B1 (en) | Systems and methods for container orchestration security | |
| US9009705B2 (en) | Authenticated distribution of virtual machine images | |
| CN111163182B (zh) | 基于区块链的设备注册方法、装置、电子设备和存储介质 | |
| WO2020050943A4 (en) | Methods for requesting and authenticating photographic image data | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| CN111556002B (zh) | 用于通过耦合的设备授予权限的系统和方法 | |
| US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
| US9934229B2 (en) | Telemetry file hash and conflict detection | |
| US11379213B1 (en) | Decentralized identifiers for securing device registration and software updates | |
| CN110659100B (zh) | 容器管理方法、装置和设备 | |
| CA2951914C (en) | Restricted code signing | |
| US10379894B1 (en) | Lineage-based trust for virtual machine images | |
| CN110325992B (zh) | 对初始计算机操作系统设置选项的远程管理 | |
| US20100223469A1 (en) | Method, System and Computer Program Product for Certifying Software Origination | |
| US20230261882A1 (en) | Image Management Method and Apparatus | |
| CN110990335A (zh) | 日志归档方法、装置、设备及计算机可读存储介质 | |
| US11681513B2 (en) | Controlled scope of authentication key for software update | |
| US10725771B2 (en) | Artifact transformation in network devices | |
| CN113572619B (zh) | 一种基于notary的容器云镜像可信实现方法及系统 | |
| CN111177703A (zh) | 操作系统数据完整性的确定方法及装置 | |
| CN111090442B (zh) | 一种应用更新方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |