[发明专利]一种面向容器平台的可信软件授权验证系统及方法有效
| 申请号: | 201910293687.5 | 申请日: | 2019-04-12 |
| 公开(公告)号: | CN110069921B | 公开(公告)日: | 2021-01-01 |
| 发明(设计)人: | 于爱民;郭云龙;赵力欣;孟丹 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/57 |
| 代理公司: | 北京科迪生专利代理有限责任公司 11251 | 代理人: | 安丽;邓治平 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种面向容器平台的可信软件授权验证系统及方法,包括:构建公钥基础设施模块、构建容器镜像身份模块、构建签名列表模块、验证容器镜像模块、加载签名列表和用户证书模块、验证容器程序模块;本发明能够方便地对容器镜像和容器中运行的软件进行授权,并在合适的时机验证容器镜像和容器中的程序,最终保证容器平台上运行的容器镜像都是可信的,同时容器中运行的软件也都是可信的,从而提高容器平台的安全性。 | ||
| 搜索关键词: | 一种 面向 容器 平台 可信 软件 授权 验证 系统 方法 | ||
【主权项】:
1.一种面向容器平台的可信软件授权验证系统,其特征在于,包括:构建公钥基础设施模块、构建容器镜像身份模块、构建签名列表模块、验证容器镜像模块、加载签名列表和用户证书模块、验证容器程序模块;其中:构建公钥基础设施模块:根据不同的应用场景,构建公钥基础设施,为每一个用户签发用户证书密钥对;构建容器镜像身份模块:使用数字签名算法和用户证书密钥对,在原有容器镜像的基础上,生成功能相同的具有身份的容器镜像,并推送到容器镜像仓库以备使用,该身份包含了用户证书和使用用户私钥生成的原有容器镜像签名,后续容器平台会在该镜像仓库拉取容器镜像启动容器;构建签名列表模块:使用数字签名算法和用户证书密钥对,为所述容器镜像生成一个签名列表,并上传到容器平台;所述签名列表包含以容器镜像为基础的容器能够运行的程序;验证容器镜像模块:在容器创建时,验证容器镜像的身份,保证容器镜像是可信的;如果验证失败,则中止容器创建过程;加载签名列表和用户证书模块:在容器启动时,加载容器镜像的签名列表和镜像制作者的用户证书到操作系统内核中,作为验证容器内程序;验证容器程序模块:以容器镜像为基础的容器运行的程序载入内核后,开始运行之前,基于载入的签名列表和用户证书验证容器内程序,如果验证失败,则中止所述程序的运行。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910293687.5/,转载请声明来源钻瓜专利网。
