摘要:容器技术是一种轻量级的操作系统虚拟化技术,被广泛应用于云计算环境,是云计算领域的研究热点,其安全性备受关注。提出了一种采用主动免疫可信计算进行容器云可信环境构建方法,其安全性符合网络安全等级保护标准要求。首先,通过 TPCM 对容器云服务器进行度量,由 TPCM 到容器的运行环境建立一条可信链。然后,通过在 TSB 增加容器可信的度量代理,实现对容器运行过程的可信度量与可信远程证明。最后,基于Docker与Kubernetes建立实验原型并进行实验。实验结果表明,所提方法能保障云服务器的启动过程与容器运行过程的可信,符合网络安全等级保护标准测评要求。
关键词:可信计算 ; 可信启动 ; 可信度量 ; 远程证明
1 引言
随着信息技术的发展,信息安全问题日益严峻。网络安全等级保护国家标准对中国信息安全工作非常重要。这项标准被应用于网络安全职能部门、网络安全管理部门以及等级测评机构的各项工作。标准要求在系统启动时对信息设备的主板固件、引导程序、操作系统与关键应用程序进行可信验证,并在检测到被恶意篡改后发送报警信号。
容器技术是一种轻量级的操作系统虚拟化技术。容器技术广泛应用于云计算环境和数据中心的资源管理、系统运维和软件部署,成为云计算领域的业界热点。与传统的虚拟机相比,容器直接运行在操作系统中,具有更高的性能、更好的可移植性和更快的速度。在容器环境中,由容器引擎创建并运行容器,常用的容器引擎是Docker。基于容器的任务编排与资源调度技术的快速发展,使容器技术越来越受欢迎,常用的任务编排与资源调度应用是Kubernetes。
容器广泛应用部署的主要障碍之一是其面临的安全问题。在容器环境中发现了一些安全问题,包括容器应用、容器之间、容器与主机的安全等。容器镜像及其内部程序可能在运行时被主机或外部攻击者利用漏