针对现有可信容器框架在多租户场景下缺乏密钥保护的问题,提出一种基于可信平台模块TPM的可信容器分层密钥管理方法TCKM。利用分层密钥管理机制,绑定TPM与容器密钥块,保护容器密钥块生成与存储的安全。通过基于容器属性的密钥授权值在密钥使用时验证容器属性,使得只有满足一定属性的指定容器能够获取并使用密钥,防止容器密钥块的盗用,实现密钥的安全使用。采用内核与硬件TPM相结合的加密方式提高基于TCKM密钥管理方法的数据保护效率。实现了TCKM密钥管理方法并基于Docker18.09进行测试与评估,测试结果表明,方案以较小的性能开销保护可信容器内密钥的安全及文件数据的机密性,具有很好安全性和数据保护效率。
钟倩;赵波;安杨;李蔚栋;陈喜丰;上官晨晗;
武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室,武汉430072武汉大学计算机学院,武汉430072
计算机与自动化
容器;多租户;可信计算;密钥管理
《计算机工程与应用》 2024 (012)
P.283-293 / 11
国家自然科学联合基金(U1936122);湖北省重点研发计划(2020BAB101,2020BAA003)。
10.3778/j.issn.1002-8331.2302-0143
评论