【技术实现步骤摘要】
本申请涉及容器镜像签名验证,尤其涉及一种离线状态下的容器镜像签名验证方法、系统、设备及介质。
技术介绍
1、容器是当今it运维的关键部分,是应用的箱子。容器镜像是容器的模板,容器是容器镜像的运行实例,容器运行时根据容器镜像创建容器。镜像可以看作是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数。
2、容器镜像的安全与可靠是云原生环境稳定运行最基本的保障。容器镜像的签名和验签功能可避免中间人攻击和非法镜像的更新及运行,进而实现镜像从分发到部署的全链路一致性,保证云原生开发环境和生产环境业务运行的一致性。
3、容器镜像的创建者可以对镜像做数字签名,数字签名将保存在容器镜像中。通过在部署前对容器镜像进行签名验证可以确保只部署经过可信授权方进行过签名的容器镜像,降低在生产环境中运行意外或恶意代码的风险。
4、但是,现有的容器镜像签名和签名验证机制都是基于公有云的经验,即只有“在线环境”中才能保证这套机制的有效性。而离线环境(即开发环境和生产环境完全不联网时),由于存在着公、私钥被篡改和伪造的可能性,使用现有技术对签名进行验证其实是没有意义的。
技术实现思路
1、针对现有技术的上述不足,本申请提供一种离线状态下的容器镜像签名验证方法、系统、设备及介质,以解决现有的方案无法判断在开发环境和生产环境下容器镜像签名的密钥是否被篡改的问题。
2、第一方面,本申请提供了一种离线状态下的容器镜
3、进一步地,通过镜像操作工具获取当前操作用户的第一用户身份密码和下载的容器镜像对应的第一公钥计算码,具体包括:通过镜像操作工具获取下载的容器镜像对应的公钥;调用预设处理规则,将公钥转换为第一公钥计算码;通过镜像操作工具获取当前操作用户的第二用户身份密码和推送的容器镜像对应的第二公钥计算码,具体包括:通过镜像操作工具获取推送的容器镜像对应的公钥;调用预设处理规则,将公钥转换为第二公钥计算码。
4、进一步地,将第一用户身份密码、第一公钥计算码、当前时间戳和预设动态密码有效时长,导入预设生成规则,生成第一动态验证密码,具体包括:通过预设生成规则:第一动态验证密码=字符转数字(sm3(sm3(第一公钥计算码),第一用户身份密码,(当前时间戳+预设动态密码有效时长)))%1000000,生成第一动态验证密码;将第二用户身份密码、第二公钥计算码、当前时间戳和预设动态密码有效时长,导入预设生成规则,生成第二动态验证密码,具体包括:通过预设生成规则:第二动态验证密码=字符转数字(sm3(sm3(第二公钥计算码),第二用户身份密码,(当前时间戳+预设动态密码有效时长)))%1000000,生成第二动态验证密码。
5、进一步地,获取推送的容器镜像的公钥,具体包括:确定推送的容器镜像的公钥类型,在公钥类型为项目统一类型时,从操作服务器的固定路径导入公钥;在公钥类型为独立类型时,从离线动态密码验证工具中导入;其中,离线动态密码验证工具中预存了公钥类型为独立类型的容器镜像的公钥。
6、第二方面,本申请提供了一种离线状态下的容器镜像签名验证系统,系统包括:镜像操作工具,用于在开发环境中获取到从第一镜像仓库下载容器镜像的操作时,获取当前操作用户的第一用户身份密码和下载的容器镜像对应的第一公钥计算码,并下发至离线动态密码生成工具;在生产环境中获取到将容器镜像推送到第二镜像仓库的操作时,获取当前操作用户的第二用户身份密码和推送的容器镜像对应的第二公钥计算码,并下发至离线动态密码验证工具;离线动态密码生成工具,用于将第一用户身份密码、第一公钥计算码、当前时间戳和预设动态密码有效时长,导入预设生成规则,生成第一动态验证密码,并写入离线动态密码验证工具中;将第二用户身份密码、第二公钥计算码、当前时间戳和预设动态密码有效时长,导入预设生成规则,生成第二动态验证密码,并发送至离线动态密码验证工具中;离线动态密码验证工具,用于进行第二动态验证密码与第一动态验证密码的比对,在比对成功后,获取推送的容器镜像的公钥,以将公钥导入推送的容器镜像,进行容器镜像签名验证,以在验证成功后,将推送的容器镜像推送至第二镜像仓库中。
7、进一步地,镜像操作工具包括公钥计算码生成单元,用于获取下载的容器镜像对应的公钥;调用预设处理规则,将公钥转换为第一公钥计算码;获取推送的容器镜像对应的公钥;调用预设处理规则,将公钥转换为第二公钥计算码。
8、进一步地,离线动态密码生成工具包括第一密码生成单元,用于通过预设生成规则:第一动态验证密码=字符转数字(sm3(sm3(第一公钥计算码),第一用户身份密码,(当前时间戳+预设动态密码有效时长)))%1000000,生成第一动态验证密码;离线动态密码验证工具包括第二密码生成单元;用于通过预设生成规则:第二动态验证密码=字符转数字(sm3(sm3(第二公钥计算码),第二用户身份密码,(当前时间戳+预设动态密码有效时长)))%1000000,生成第二动态验证密码。
9、进一步地,离线动态密码验证工具包括公钥获取单元,用于确定推送的容器镜像的公钥类型,在公钥类型为项目统一类型时,从操作服务器的固定路径导入公钥;在公钥类型为独立类型时,从离线动态密码验证工具中导入;其中,离线动态密码验证工具中预存了公钥类型为独立类型的容器镜像的公钥。
10、第三方面,本申请提供了一种离线状态下的容器镜像签名验证设备,设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述任一项的一种离线状态下的容器镜像签名验证方法。
11、第四方面,本申请提供了一种非易失性计算机存储介质,其上存储有计算机指令,计算机指令在被执行时实现如上述任一项的一种离线状态下的容器镜像签名验证方法。
12、本领域技术人员能够理解的是,本申请至少具有如下有益效果:
13、本申请通过对离线环境(开发环本文档来自技高网...
【技术保护点】
1.一种离线状态下的容器镜像签名验证方法,其特征在于,所述方法包括:
2.根据权利要求1所述的离线状态下的容器镜像签名验证方法,其特征在于,
3.根据权利要求1所述的离线状态下的容器镜像签名验证方法,其特征在于,
4.根据权利要求1所述的离线状态下的容器镜像签名验证方法,其特征在于,获取推送的容器镜像的公钥,具体包括:
5.一种离线状态下的容器镜像签名验证系统,其特征在于,所述系统包括:
6.根据权利要求5所述的离线状态下的容器镜像签名验证系统,其特征在于,镜像操作工具包括公钥计算码生成单元,
7.根据权利要求5所述的离线状态下的容器镜像签名验证系统,其特征在于,离线动态密码生成工具包括第一密码生成单元,
8.根据权利要求5所述的离线状态下的容器镜像签名验证系统,其特征在于,离线动态密码验证工具包括公钥获取单元,
9.一种离线状态下的容器镜像签名验证设备,其特征在于,所述设备包括:
10.一种非易失性计算机存储介质,其特征在于,其上存储有计算机指令,所述计算机指令在被执行时
...【技术特征摘要】
1.一种离线状态下的容器镜像签名验证方法,其特征在于,所述方法包括:
2.根据权利要求1所述的离线状态下的容器镜像签名验证方法,其特征在于,
3.根据权利要求1所述的离线状态下的容器镜像签名验证方法,其特征在于,
4.根据权利要求1所述的离线状态下的容器镜像签名验证方法,其特征在于,获取推送的容器镜像的公钥,具体包括:
5.一种离线状态下的容器镜像签名验证系统,其特征在于,所述系统包括:
6.根据权利要求5所述的离线状态下的容器镜像签名验证系统,其特征在于,镜像操作工...
【专利技术属性】
技术研发人员:谢勤,陈嘉平,
申请(专利权)人:南京中孚信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。