(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210761993.9 (22)申请日 2022.06.30 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450001 河南省郑州市高新 技术开发 区科学大道62号 (72)发明人 郭松辉　孙磊　钱大赞　王淼　 宋云帆　赵锟　韩松莘　郝前防　 胡翠云　毛秀青　于淼　张婷　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 张影 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/46(2013.01)G06F 9/455(2006.01) (54)发明名称 一种应用容器镜像层度量列表的验证方法 及系统 (57)摘要 本发明公开了一种应用容器镜像层度量列 表的验证方法及系统， 容器服务端可以生成与客 户端请求下载的目标容器镜像对应的验证请求； 并将其发送至容器镜像远程仓库后， 获取第一数 据集合， 第一数据集合包括第一加密信息、 身份 证明证书以及容器镜像层度量列表， 容器镜像层 度量列表 为基于默克尔树构造的度量列表， 其包 括镜像平台的度量聚合值 以及每个容器镜像的 镜像层哈希 值； 确定第一数据集合中的容器镜像 层度量列表是否完整； 若容器镜像层度量列表的 度量结果与目标数据库中的哈希 值相同， 确定目 标容器镜像的镜像层完整。 通过容器镜像层度量 列表， 在远程证明过程中减少了远程镜像仓库基 础平台和镜像文件的信息泄露、 提高了验证效 率。 权利要求书2页 说明书9页 附图4页 CN 115146310 A 2022.10.04 CN 115146310 A 1.一种应用容器镜像层度量列表的验证方法， 其特 征在于， 包括： 响应于接收到客户端发送的下载容器镜像的请求信息， 对所述请求信息进行解析， 确 定目标容器镜像； 生成与所述目标容器镜像对应的验证请求； 响应于将所述验证请求发送至容器镜像远程仓库， 接收所述容器镜像远程仓库发送的 第一数据集合， 所述第一数据集合包括第一加密信息、 身份证明证书以及容器镜像层度量 列表， 其中， 所述第一加密信息是通过身份证明私钥对与所述 目标容器镜像对应的默克尔 树的顶部哈希值与随机数的计算结果进行签名的信息； 所述容器镜像层度量列 表为基于默 克尔树构 造的度量列 表， 且所述容器镜像层度量列 表包括镜像平台的度量聚合值以及每个 容器镜像的镜像层哈希值； 基于所述第一数据集合， 根据默克尔树重新散列计算得到顶部哈希值， 并利用随机数 和所述顶部哈希值进行哈希计算， 得到计算结果； 若所述计算结果与 所述第一数据集合中的顶部哈希值相同， 确定所述第 一数据集合中 的容器镜像层度量列表完整； 若所述容器镜像层度量列表的度量结果与目标数据库中的哈希值相同， 确定所述目标 容器镜像的镜像层完整， 以使得通过对所述目标容器镜像的验证。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 对存放容器镜像的容器镜像远程仓库中添加可信计算平台模块， 以实现对容器镜像和 系统的度量保护； 对容器服务端添加对容器镜像可信验证模块， 以通过所述可信验证模块出发对容器镜 像的远程验证机制， 生成与所述目标容器对应的验证请求。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 响应于容器镜像远程仓库 所在的主机启动， 通过所述可信计算平台模块对配置信 息进 行度量， 计算得到 镜像平台的度量聚合 值； 通过所述可信计算平台模块对所述容器镜像远程仓库的镜像层进行哈希计算， 得到每 个容器镜像的镜像层哈希值， 将所述每个容器镜像的镜像哈希值填入与容器镜像对应的默 克尔树的度量列表中。 4.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 根据容器镜像远程仓库中的容器镜像的数量， 确定默克尔 树对应的哈希子树分支的数 量， 使得每 个容器镜像对应一支哈希子树； 基于镜像平台的配置信息， 确定镜像平台的度量聚合值， 并将所述度量聚合值存入容 器镜像层度量列表， 以使得 所述度量聚合 值构成默克尔树的叶子节点； 解析容器镜像层的依赖信息， 确定容器镜像的归属信息； 基于所述归属信 息， 将每一容器镜像的镜像层哈希值填入对应的容器镜像度量列表子 树中， 得到容器镜像层度量列表。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 根据重新散列计算默克尔 树的路径节点哈希值， 得到与 所述默克尔 树对应的最上层的 顶部哈希值； 将所述顶部哈希值存 储在目标寄存器中。权　利　要　求　书 1/2 页 2 CN 115146310 A 26.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 通过容器镜像 远程仓库的可信计算平台模块产生平台身份密钥对； 采集镜像平台的平台信 息以及身份公钥， 并通过背书秘钥私钥对所述身份公钥进行签 名； 将签名后的公钥以及背 书证书进行加密后发送至可信第三方。 7.根据权利要求6所述的方法， 其特征在于， 所述第 一数据集合中的身份证明证书是通 过所述可信第三方在验证背 书证书通过后， 发送至容器镜像仓库的。 8.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若所述容器镜像层度量列表的度量结果与目标数据库中的哈希值不相同， 基于比较所 述默克尔树的子树的哈希值， 确定被修改的叶子节点 位置。 9.根据权利要求1所述的方法， 其特征在于， 所述基于所述第一数据集合， 根据默克尔 树重新散列计算得到顶部哈希值， 并利用随机数和所述顶部哈希值进行哈希计算， 得到计 算结果， 包括： 响应于接收到第一数据集 合， 对所述第一数据集 合中的身份 证明证书 进行验证； 若验证通过， 根据默克尔树重新散列计算得到顶部哈希值， 并利用随机数和所述顶部 哈希值进行哈希计算， 得到计算结果。 10.一种应用容器镜像层度量列表的验证系统， 其特 征在于， 包括： 解析单元， 用于响应于接收到客户端发送的下载容器镜像的请求信息， 对所述请求信 息进行解析， 确定目标容器镜像； 生成单元， 用于生成与所述目标容器镜像对应的验证请求； 接收单元， 用于响应于将所述验证请求发送至容器镜像远程仓库， 接收所述容器镜像 远程仓库发送的第一数据集合， 所述第一数据集合包括第一加密信息、 身份证明证书以及 容器镜像层度量列表， 其中， 所述第一加密信息是通过身份证明私钥对与所述目标容器镜 像对应的默克尔树的顶部哈希值与随机数的计算结果进行签名的信息； 所述容器镜像层度 量列表为基于 默克尔树构 造的度量列 表， 且所述容器镜像层度量列 表包括镜像平台的度量 聚合值以及每 个容器镜像的镜像层哈希值； 计算单元， 用于基于所述第 一数据集合， 根据默克尔 树重新散列计算得到顶部哈希值， 并利用随机数和所述顶部哈希值进行哈希计算， 得到计算结果； 第一确定单元， 用于若所述计算结果与所述第一数据集合中的顶部哈希值相同， 确定 所述第一数据集 合中的容器镜像层度量列表完整； 第二确定单元， 用于若所述容器镜像层度量列表的度量结果与目标数据库中的哈希值 相同， 确定所述目标容器镜像的镜像层完整， 以使得通过对所述目标容器镜像的验证。权　利　要　求　书 2/2 页 3 CN 115146310 A 3