(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210945182.4 (22)申请日 2022.08.08 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网浙江省电力有限公司信息通信 分公司　 国家电网有限公司 (72)发明人 张小建　王齐　高鹏　王以良　 郭亚琼　陈逍潇　董科　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 刘静 (51)Int.Cl. H04L 67/10(2022.01)H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种面向5G边缘计算节点的容器加固系统 及加固方法 (57)摘要 本发明提供一种面向5G边缘计算节点的容 器加固系统及加固方法， 系统包括： 物理TPM设置 于宿主机 上对数据加密及密码保护； 容器管理器 用于对容器的启动进行可信度量和验证； vTPM模 块设置于容器中实现容器镜像的完整性度量和 容器的可信启动， 对容器运行时文件系统和进程 进行可信度量； 宿主机操作系统内核中设置有 vTPM管理器和vTPM模块的度量值基准库， MEC控 制器为物理TPM颁发的密钥和证书； 基于该系统 的容器加 固方法构造从宿主机到容器管理器再 到容器启动完整的信任链确保容器的可信启动， 对容器运行时的文件系统进行动态度量， 实现对 5G边缘计算节点中的容器进行加固， 确保容器运 行时可信和安全。 权利要求书2页 说明书7页 附图6页 CN 115314495 A 2022.11.08 CN 115314495 A 1.一种面向5G边缘计算节点的容器加固系统， 其特征在于， 包括： vTPM模块、 物理TPM、 容器管理器、 vTPM管理器、 M EC控制器和宿主机， 其中： 物理TPM， 设置于宿主机上， 用于对数据进行加密及密码保护， MEC控制器中用于存储为 物理TPM颁发的密钥和证书； 容器管理器， 用于通过物理TPM对容器的启动进行 可信度量和验证； vTPM模块， 设置于容器中， 用于实现容器镜像的完整性度量和容器的可信启动， 并定时 对容器的运行时文件系统和进程进行 可信度量； 宿主机操作系统内核中设置有vTPM管理器和vTPM模块的度 量值基准库， 其中vTPM管理 器用于对各个容器的vTPM模块进行 管理。 2.根据权利 要求1所述的面向5G边缘计算节点的容器加固系统， 其特征在于， 所述vTPM 模块包括vPCR子模块、 密钥存 储子模块、 度量计时器， 其中： vPCR子模块， 用于存 储对容器的文件系统和进程进行 可信度量的度量 值； 密钥子存 储模块， 用于存 储vTPM管理器发送的密钥， 以及vAIK证书和vAIK密钥； 度量计时器， 用于设置对容器的文件系统和进程进行度量的时间 间隔。 3.根据权利要求1所述的面向5G边缘计算节点的容器加固系统， 其特征在于， 所述容器 管理器中， 设置有容器HASH基准值库及密钥存储库， 容器HASH基准值库用于存储HASH基准 值及加密的HASH基准 值； 密钥存 储库， 用于存 储物理TPM为 容器生成的密钥。 4.一种面向5G边缘计算节点的容器加固方法， 基于权利要求1 ‑3任一所述的面向5G边 缘计算节点的容器加固系统， 其特 征在于， 包括： 容器管理器通过物理TPM对容器的启动进行 可信度量和验证； 容器实现可信启动 后， vTPM模块与物理TPM进行绑定； 在容器运行时， vTPM模块定时对容器的文件系统和进程进行 可信度量。 5.根据权利要求4所述的面向5G边缘计算节点的容器加固方法， 其特征在于， 所述容器 管理器通过物理TP M对容器的启动进 行可信度量和验证之前， 还包括： 对所述加固系统进 行 安全初始化， 其过程包括： MEC控制器作为可信第三方为物理TPM颁发AIK密钥和其证书CAIK； 宿主机初始化启动时， 物理TPM进行可信启动度量， 系统状态记录在物理TPM内部的PCR 中； 容器管理器启动， 获取容器镜像及容器HASH值， 将该HASH值作为容器HASH基准值存储 在容器HASH基准 值库中； 容器管理器获取容器HASH值后， 调用物理TPM的加密接口获取加密密钥， 将HASH值加密 后存储； 调用加密接口时容器管理器将容器ID发送至物理TPM， 物理TPM根据容器ID为其生成一 对非对称密钥； 物理TPM为该容器生成的密钥一个发送给容器管理器， 另一个存储在物理TPM中， 只供 物理TPM使用。 6.根据权利要求4所述的面向5G边缘计算节点的容器加固方法， 其特征在于， 容器的可 信启动的过程， 包括： 容器镜像启动时， 容器管理器调用物理TPM提供的接口对容器镜像进行HASH计算；权　利　要　求　书 1/2 页 2 CN 115314495 A 2HASH计算完成后， 将该HASH值、 容器HASH基准值库中加密的容器HASH基准值和容器ID 发送到物理TPM进行比较， 确定容器镜像是否可信； 物理TPM根据容器ID查询先前存储的密钥， 对容器HASH基准值进行解密， 并将解密后的 容器HASH基准 值和刚计算出的HASH值进行比较； 若比较结果 一致， 则容器进行 可信启动， 反 之则不启动； 物理TPM将比较后的结果签名后返回给容器管理器。 7.根据权利 要求4所述的面向5G边缘计算节点的容器加固方法， 其特征在于， vTPM模块 与物理TPM进行绑定的过程， 包括： 步骤S31： vTPM模块 通过容器管理器向vTPM管理器申请加密 密钥， 请求中附带容器ID； 步骤S32： vTPM管理器根据容器ID为vTPM模块分配一对非对称加密密钥， 包括： 加密公 钥和加密私钥， 并将加密私钥发送至vTPM模块， vTPM模块将私钥存 储在密钥子存 储模块中； 步骤S33： vTPM模块向vTPM管理器申请连接物理TPM， 请求中附带容器ID及随机生产的 随机数nonce； 步骤S34： vTPM管理器将容器ID发送至物理TPM； 步骤S35： 物理TPM为vTPM模块创建并向vTPM管理器返回vAIK密钥、 证书CvAIK， vTPM管 理器使用加密公钥对其进行加密； 步骤S36： vTPM模块使用加密私钥解密物理TPM返回的信息， 并检验随机数nonce的新鲜 度， 决定是否 接受vAIK证书和vAIK密钥， 如果接受， 存 储在密钥子存 储模块中。 8.根据权利 要求7所述的面向5G边缘计算节点的容器加固方法， 其特征在于， vTPM模块 与物理TP M绑定完成后， 容器首次启动， vTP M模块可对运行中的容器的文件系统和进程进 行 度量， 将度量结果存 入容器运行时度量 值基准库。 9.根据权利要求8所述的面向5G边缘计算节点的容器加固方法， 其特征在于， 所述容器 运行时度量值基准库在vTPM管理器中， vTPM模块向vTPM管理器发送容器运行时度量值时， 用证书CvAIK密钥对度量 值数据进行签名。 10.根据权利要求9所述的面向5G边缘计算节点的容器加固方法， 其特征在于， vTPM模 块定时对容器的文件系统和进程进行 可信度量的过程， 包括： 步骤S41： vTPM模块根据度量计时器设置的时间间隔对容器的文件系 统和进程进行度 量， 将度量 值存在vPCR中； 步骤S42： 如需要验证容器的运行状态， vTPM模块将vPCR中存储的度量值发送至vTPM管 理器， 与容器运行时度量值基准库中的基准值进 行对比， 如果对比结果相等， 则等待 下一次 度量文件系统直到删除容器； 步骤S43： 如果对比结果 不相等， 则说明容器文件系统被篡改， 需要 进行操作判断； 步骤S44： 如果是合法更新了文件系 统， 则通过管理员认证进行基准值修改， 并重复步 骤S42至步骤S43； 步骤S45： 如果未通过 管理员认证， 则记录为非法更改， 容器暂停运行。权　利　要　求　书 2/2 页 3 CN 115314495 A 3