本發(fā)明提供一種面向5G邊緣計(jì)算節(jié)點(diǎn)的容器加固系統(tǒng)及加固方法，系統(tǒng)包括：物理TPM設(shè)置于宿主機(jī)上對(duì)數(shù)據(jù)加密及密碼保護(hù)；容器管理器用于對(duì)容器的啟動(dòng)進(jìn)行可信度量和驗(yàn)證；vTPM模塊設(shè)置于容器中實(shí)現(xiàn)容器鏡像的完整性度量和容器的可信啟動(dòng)，對(duì)容器運(yùn)行時(shí)文件系統(tǒng)和進(jìn)程進(jìn)行可信度量；宿主機(jī)操作系統(tǒng)內(nèi)核中設(shè)置有vTPM管理器和vTPM模塊的度量值基準(zhǔn)庫，MEC控制器為物理TPM頒發(fā)的密鑰和證書；基于該系統(tǒng)的容器加固方法構(gòu)造從宿主機(jī)到容器管理器再到容器啟動(dòng)完整的信任鏈確保容器的可信啟動(dòng)，對(duì)容器運(yùn)行時(shí)的文件系統(tǒng)進(jìn)行動(dòng)態(tài)度量，實(shí)現(xiàn)對(duì)5G邊緣計(jì)算節(jié)點(diǎn)中的容器進(jìn)行加固，確保容器運(yùn)行時(shí)可信和安全。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，具體涉及一種面向5G邊緣計(jì)算節(jié)點(diǎn)的容器加固系統(tǒng)及加固方法。

背景技術(shù)

移動(dòng)邊緣計(jì)算(Mobile Edge Computing,MEC)是5G網(wǎng)絡(luò)中的關(guān)鍵技術(shù)，其基本思想是將云計(jì)算服務(wù)能力從移動(dòng)核心網(wǎng)內(nèi)部遷移到移動(dòng)接入網(wǎng)邊緣，實(shí)現(xiàn)計(jì)算和存儲(chǔ)資源的靈活利用。隨著云計(jì)算技術(shù)的不斷發(fā)展與廣泛應(yīng)用，虛擬化技術(shù)也變得愈加重要。容器技術(shù)憑借自身資源占用低、不易受環(huán)境因素影響等優(yōu)點(diǎn)受到越來越多用戶的青睞。因此在MEC中，容器也得到了廣泛的應(yīng)用。

容器應(yīng)用部署的主要障礙之一是其面臨的安全問題。容器鏡像及其內(nèi)部程序可能在運(yùn)行時(shí)被攻擊者利用漏洞惡意進(jìn)行篡改。攻擊者可能獲得對(duì)正在運(yùn)行的容器的訪問特權(quán)，通過修改服務(wù)配置和二進(jìn)制文件、啟動(dòng)惡意腳本或啟動(dòng)新進(jìn)程來發(fā)起攻擊,因此需要解決容器及鏡像的可信啟動(dòng)及安全運(yùn)行問題。

目前針對(duì)5G網(wǎng)絡(luò)中，對(duì)容器進(jìn)行加固的方案主要有以下幾種：

(1)依托Linux內(nèi)核的安全性，利用命名空間機(jī)制(Namespace)和控制組(Cgroups)機(jī)制，分別實(shí)現(xiàn)容器的隔離性和資源的訪問限制，但隔離機(jī)制過于單薄容器溢出會(huì)導(dǎo)致容器與外界之間出現(xiàn)非授權(quán)通信行為；

(2)使用虛擬化TPM(Virtual Trusted Platform Module,vTPM)的軟件實(shí)現(xiàn)，將vTPM和vTPM的管理器存放在一個(gè)特權(quán)容器中，在普通容器中設(shè)置vTPM的適配器與特權(quán)容器中的vTPM管理器進(jìn)行通信，但由于容器間的隔離性差，特權(quán)容器易被攻擊。

(3)為容器提供基于可信根服務(wù)器的虛擬可信平臺(tái)模塊的密鑰管理，但由于密鑰由vTPM管理器直接分發(fā)，易被攻擊者截獲。

發(fā)明內(nèi)容

因此，本發(fā)明為了解決現(xiàn)有技術(shù)存在的缺陷等問題，從而提供一種面向5G邊緣計(jì)算節(jié)點(diǎn)的容器加固系統(tǒng)及加固方法，通過5G邊緣計(jì)算節(jié)點(diǎn)中的容器系統(tǒng)進(jìn)行加固，能夠保證容器的啟動(dòng)和運(yùn)行可信，提高了容器的安全性。

第一方面，本發(fā)明提供的面向5G邊緣計(jì)算節(jié)點(diǎn)的容器加固系統(tǒng)，包括：vTPM模塊、物理TPM、容器管理器、vTPM管理器、MEC控制器和宿主機(jī)，其中：

物理TPM，設(shè)置于宿主機(jī)上，用于對(duì)數(shù)據(jù)進(jìn)行加密及密碼保護(hù)，MEC控制器中用于存儲(chǔ)為物理TPM頒發(fā)的密鑰和證書；

容器管理器，用于通過物理TPM對(duì)容器的啟動(dòng)進(jìn)行可信度量和驗(yàn)證；

vTPM模塊，設(shè)置于容器中，用于實(shí)現(xiàn)容器鏡像的完整性度量和容器的可信啟動(dòng)，并定時(shí)對(duì)容器的運(yùn)行時(shí)文件系統(tǒng)和進(jìn)程進(jìn)行可信度量；

宿主機(jī)操作系統(tǒng)內(nèi)核中設(shè)置有vTPM管理器和vTPM模塊的度量值基準(zhǔn)庫，其中vTPM管理器用于對(duì)各個(gè)容器的vTPM模塊進(jìn)行管理。

在一實(shí)施例中，所述vTPM模塊包括vPCR子模塊、密鑰存儲(chǔ)子模塊、度量計(jì)時(shí)器，其中：

vPCR子模塊，用于存儲(chǔ)對(duì)容器的文件系統(tǒng)和進(jìn)程進(jìn)行可信度量的度量值；

密鑰子存儲(chǔ)模塊，用于存儲(chǔ)vTPM管理器發(fā)送密鑰，以及vAIK證書和vAIK密鑰；