[发明专利]一种基于用户属性的容器镜像安全分发方法和装置

说明书

本发明公开了一种基于用户属性的容器镜像安全分发方法和装置，方法包括：由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库，其中可用树形访问结构配置为声明允许部署容器镜像的潜在的接收者的访问策略；由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中。本发明能够实现细粒度的访问策略控制以执行针对性的安全分发镜像。

技术领域

本发明涉及信息安全领域，更具体地，特别是指一种基于用户属性的容器镜像安全分发方法和装置。

背景技术

微服务架构的兴起，容器化部署已经成为时下最流行的生产方式，越来越多的公司将应用部署在基于容器的架构上。自然的，随着容器的广泛使用，容器的安全性就成为了业界关注的焦点，容器安全厂商如雨后春笋般相继成立。容器是基于镜像构建的，如果镜像本身就是一个恶意镜像或是一个存在漏洞的镜像，那么基于它搭建的容器自然就是不安全的了，故镜像安全直接决定了容器安全。

镜像安全分为两部分，一种是镜像自身内容的安全和镜像分发的安全。现有技术针对镜像自身内容的安全已经提出了可用的镜像加密方法，将密钥放在工作节点指定路径下，对镜像使用公钥加密，并上传到镜像仓库。然而关于镜像的分发安全并无令人满足的解决方案。

针对现有技术中镜像分发的安全性问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种基于用户属性的容器镜像安全分发方法和装置，能够实现细粒度的访问策略控制以执行针对性的安全分发镜像。

基于上述目的，本发明实施例的第一方面提供了一种基于用户属性的容器镜像安全分发方法，包括执行以下步骤：

由发送者基于用户属性集合生成容器镜像的可用树形访问结构，基于可用树形访问结构和安全分发公钥加密容器镜像获得镜像密文，并将镜像密文推送到远程仓库，其中可用树形访问结构配置为声明允许部署容器镜像的潜在的接收者的访问策略；

由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥，从远程仓库获取镜像密文，并使用安全分发私钥解密镜像密文；

响应于接收者使用安全分发私钥解密镜像密文成功而获得容器镜像并部署到容器中。

在一些实施方式中，方法还包括：在由发送者基于用户属性集合生成容器镜像的可用树形访问结构之前，先获取用户属性集合，其中用户属性集合包括所有潜在的接收者所具有的所有可选属性。

在一些实施方式中，由发送者基于用户属性集合生成容器镜像的可用树形访问结构包括：由发送者对全部或部分的可选属性使用一阶逻辑谓词进行连接以生成可用树形访问结构。

在一些实施方式中，一阶逻辑谓词包括以下至少之一：与、或、非。

在一些实施方式中，在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先获取接收者自身的用户属性，包括：由系统根据接收者的用户标识和系统中预设的对应关系信息来确定接收者自身的用户属性，并拒绝由接收者自身提供的用户属性。

在一些实施方式中，方法还包括：在由接收者基于接收者自身的用户属性、安全分发公钥、和安全分发主密钥生成接收者的安全分发私钥之前，先从第三方可信机构获取安全分发公钥和安全分发主密钥，其中安全分发公钥和安全分发主密钥由第三方可信机构基于非公开的安全参数生成。

在一些实施方式中，方法还包括执行以下步骤：响应于接收者使用安全分发私钥解密镜像密文失败而返回用户属性错误信息。