本發明公開了一種容器鏡像倉庫的安全訪問方法及系統，包括結合一用戶當前的defaultDomain參數與officialRepoName參數，解析該用戶發起的pull/push命令后的參數，查找目標鏡像倉庫，確定鏡像名和標簽；目標鏡像倉庫依據該用戶的信息，確定用戶的pull/push權限，進行鏡像驗簽或簽名。本發明取消匿名用戶，任何docker用戶需先登錄目標倉庫才可進行鏡像訪問，在系統中設置系統管理員、安全管理員和審計管理員三種管理員，滿足了更高的安全需求。

技術領域

本發明涉及私有鏡像倉庫技術，具體來說是一種容器鏡像倉庫的安全訪問方法及系統。

背景技術

Docker容器技術盛行，鏡像安全問題引起廣泛關注。在未指定鏡像倉庫的情況下，默認鏡像倉庫為官方提供的公有倉庫Docker Hub，但是使用公有倉庫時，上傳的鏡像任何人都可以訪問，因此從安全方面考慮，用戶需要使用私有鏡像倉庫。Docker官方提供私有倉庫接口registry，用戶可以使用這個接口搭建自己的私有鏡像倉庫或者直接使用開源方案，如Harbor。私有鏡像倉庫的實現，一般是對registry進行包裝，可以設計友好的管理界面，同時在安全方面增加用戶管理功能，支持鏡像簽名機制等，如Harbor架構支持鏡像簽名工具Notary，實現鏡像入庫簽名，出庫驗簽，保證鏡像來源可溯以及內容完整。

分析私有鏡像倉庫的用戶管理機制，其設計原理多數為基于角色的訪問控制，為滿足企業中不同角色對鏡像操作權限的不同要求，如圖1所示，提供了兩種管理概念：用戶和成員。用戶分為三類：系統管理員、普通用戶和匿名用戶。系統管理員具有管理其它用戶以及所有項目的權利。匿名用戶為沒有登錄的用戶，匿名用戶對private的項目不具訪問權限，對public的項目具有只讀權限。成員是指項目的成員，項目成員可以分為三類：管理員、開發者及訪客。項目管理員擁有最大的項目權限，對開發者和訪客完成權限配置。但是，這種管理模式賦予系統管理員對用戶管理的絕對權限，其可創建用戶，刪除用戶以及改變用戶角色。當系統管理員本身不可信時，鏡像倉庫內其他用戶也將處于不可信狀態，從而導致該用戶對應的項目資源不可信，即鏡像資源不可信。同時，由于匿名用戶的存在，現有Docker系統無需登錄即可訪問public的項目，在企業內部使用的場景下，為滿足更高的安全要求，匿名用戶的存在增加了系統的安全隱患，因此應對所有用戶進行信息認證。

發明內容

為了解決以上問題，本發明提出了一種容器鏡像倉庫的安全訪問方法及系統，通過取消匿名用戶、設置基礎鏡像資源池及對原有系統管理員權限進行分割，滿足了更高的安全需求。

本發明的技術方案包括：

一種容器鏡像倉庫的安全訪問方法，其步驟包括：

1)結合一用戶當前的defaultDomain參數與officialRepoName參數，解析該用戶發起的pull/push命令后的參數，查找目標鏡像倉庫，確定鏡像名和標簽，其中所述defaultDomain參數與officialRepoName參數依據所述用戶是否登錄而設定；

2)目標鏡像倉庫依據該用戶的信息，確定用戶的pull/push權限，進行鏡像驗簽或簽名。

進一步地，通過以下策略設置所述defaultDomain參數：

1)將未登錄用戶的defaultDomain參數設置為unknown；

2)將已登錄用戶的defaultDomain參數設置為已登錄的鏡像倉庫地址；

3)已登錄用戶退出登錄后，將defaultDomain參數恢復為unknown。

進一步地，通過以下策略設置officialRepoName參數：

1)將未登錄用戶的officialRepoName參數設置為unknown；