基于Docker的可信容器

作者：王鹃; 胡威; 张雨菡; 陈铜; 于鹏; 赵波; ...docker容器可信计算

摘要：针对Docker目前存在的容器及镜像被篡改、容器的恶意进程及非授权通信问题,利用可信计算的相关技术如信任链、完整性度量以及实时监控等方法,设计并实现了一个可信增强的Docker容器-DockerGuard.DockerGuard构造了一条从硬件到容器内部进程和文件的信任链,同时增加了包括进程监控、文件系统度量、网络监控三大功能于一体的安全防护模块,从而全方位对Docker进行度量与细粒度的监控.基于Docker1.6.0实现了具备上述功能的安全增强系统DockerGuard,并对系统进行了性能评估.结果表明,DockerGuard可以保护容器及镜像不被篡改,同时限制容器网络通信行为并监控容器内部进程,极大地提高了Docker容器的安全性.

注：因版权方要求，不能公开全文，如需全文，请咨询杂志社