[发明专利]Docker容器本地镜像篡改检测方法、启动方法、装置及设备

说明书

本发明提供一种Docker容器本地镜像篡改检测方法、启动方法、装置及设备，所述方法包括：获取Docker容器对应的镜像压缩包文件解压缩后的镜像层文件；比较所述镜像层文件的SHA256与所述Docker容器的本地镜像的DiffID的数值是否一致；如果数值一致，进一步比较所述镜像层文件解压缩后的文件与所述Docker容器的本地镜像的文件是否一致；如果文件一致，则判定所述Docker容器的本地镜像没有被篡改；如果数值不一致或文件不一致，则判定所述Docker容器的本地镜像被篡改，并输出相应的不一致信息作为被篡改信息。本发明能发现Docker容器本地镜像被非法篡改的风险，进而确保容器运行安全。

技术领域

本发明涉及互联网技术领域，尤其涉及一种Docker容器本地镜像篡改检测方法、启动方法、装置及设备。

背景技术

云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。经过十几年的发展，云计算作为数字化转型的重要基础设施，已经由“面向云迁移应用”的阶段演进到“面向云构建应用”的阶段，即由“以资源为中心”演进到“以应用为中心”的云原生基础设施阶段，在云原生应用和服务平台构建过程中，Docker技术凭借其轻量、秒级部署、易于移植、弹性伸缩和活跃强大的社区支持，成为了云原生等应用场景下的重要支撑技术。

然而，现有Docker技术，未对容器的镜像层的完整性进行校验，当容器的本地镜像被非法篡改时，非法篡改的结果将直接被联合挂载并在容器中应用，进而将影响运行容器的安全。

发明内容

本发明所要解决的技术问题是针对现有技术的上述不足，提供一种Docker容器本地镜像篡改检测方法、启动方法、装置及设备，以解决现有技术未对容器的镜像层的完整性进行校验，当容器的本地镜像被非法篡改时，非法篡改的结果将直接被联合挂载并在容器中应用，进而将影响运行容器的安全的问题。

第一方面，本发明提供一种Docker容器本地镜像篡改检测方法，应用于Docker容器本地设备，包括：

获取Docker容器对应的镜像压缩包文件解压缩后的镜像层文件；

比较所述镜像层文件的SHA256与所述Docker容器的本地镜像的DiffID的数值是否一致；

如果数值一致，进一步比较所述镜像层文件解压缩后的文件与所述Docker容器的本地镜像的文件是否一致；

如果文件一致，则判定所述Docker容器的本地镜像没有被篡改；如果数值不一致或文件不一致，则判定所述Docker容器的本地镜像被篡改，并输出相应的不一致信息作为被篡改信息。

优选地，所述获取Docker容器对应的镜像压缩包文件解压缩后的镜像层文件，具体包括：

从Docker容器镜像仓库下载所述Docker容器对应的镜像压缩包文件；

对所述镜像压缩包文件解压缩以获得所述镜像层文件。

优选地，所述比较所述镜像层文件的SHA256与所述Docker容器的本地镜像的DiffID的数值是否一致，具体包括：

获取所述镜像层文件的层次信息；

根据所述镜像层文件的层次信息计算所述镜像层文件的SHA256的数值；

获取所述Docker容器的本地镜像的DiffID的数值；

比较所述SHA256的数值与所述DiffID的数值是否一致。

优选地，所述输出相应的不一致信息作为被篡改信息之后，所述方法还包括：

接收用户根据所述被篡改信息发出的用户指令，根据用户指令修改所述Docker容器的本地镜像。