(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114172729A(43)申请公布日2022.03.11(21)申请号202111492087.5(22)申请日2021.12.08(71)申请人中国电信股份有限公司地址100033北京市西城区金融大街31号(72)发明人郭雪松张鉴刘文韬侯云晓(74)专利代理机构中国贸促会专利商标事务所有限公司11038代理人鲍进(51)Int.Cl.H04L9/40(2022.01)H04L67/00(2022.01)H04L67/1095(2022.01)权利要求书2页说明书7页附图4页(54)发明名称基于容器的可信迁移方法和设备及存储介质(57)摘要本公开涉及基于容器的可信迁移方法和设备及存储介质。基于容器的可信迁移方法包括：为要进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；针对容器的每一层：从容器采集每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所采集的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值；基于计算的各个层哈希值计算容器哈希值；以及使容器哈希值随容器迁移至目的节点。CN114172729ACN114172729A权利要求书1/2页1.一种基于容器的可信迁移方法，包括：为要进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；针对容器的每一层：从容器采集每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所采集的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值；基于计算的各个层哈希值计算容器哈希值；以及使容器哈希值随容器迁移至目的节点。2.根据权利要求1所述的可信迁移方法，其中，所述迁移是静态迁移，并且所述可信迁移方法还包括：停止容器运行并生成容器的镜像文件，并且其中使容器哈希值随容器迁移至目的节点包括：将生成的镜像文件与容器哈希值一起发送到目的节点。3.根据权利要求1所述的可信迁移方法，其中，所述迁移是动态迁移，并且所述可信迁移方法还包括：冻结容器并生成容器的快照文件，并且其中使容器哈希值随容器迁移至目的节点包括：将生成的快照文件与容器哈希值一起发送到目的节点。4.根据权利要求1所述的可信迁移方法，其中，层哈希值是基于拼接在一起的点哈希值计算的；并且其中容器哈希值是全部层哈希值的集合。5.根据权利要求1所述的可信迁移方法，其中使容器哈希值随容器迁移至目的节点包括：对容器哈希值进行加密以形成加密的容器哈希值，以及使加密的容器哈希值随容器迁移至目的节点。6.一种基于容器的可信迁移方法，包括：从源节点接收进行迁移的容器的迁移文件和校验值；为进行迁移的容器确定完整性信息采集点，所述完整性信息采集点包括文件系统、元数据以及层大小和层间依赖关系表；针对容器的每一层：从迁移文件获取每一个完整性信息采集点的完整性度量值，为每一个完整性信息采集点的所获取的完整性度量值计算点哈希值，以及基于计算出的全部点哈希值为该层计算层哈希值；基于计算的各个层哈希值计算容器哈希值；以及将计算出的容器哈希值与接收到的校验值进行匹配以确定是否允许容器迁移。7.根据权利要求6所述的可信迁移方法，其中所述迁移文件对于静态迁移是容器的镜像文件，并且对于动态迁移是冻结后的容器的快照文件，并且其中校验值是在源节点处计算的容器哈希值，并且校验值是加密的。8.根据权利要求6所述的可信迁移方法，其中，层哈希值是基于拼接在一起的点哈希值2CN114172729A权利要求书2/2页计算的；并且其中容器哈希值是全部层哈希值的集合。9.一种基于容器的可信迁移装置，包括：存储器，其上存储有指令；以及处理器，被配置为执行存储在所述存储器上的指令，以执行根据权利要求1至8中的任一项所述的方法。10.一种计算机可读存储介质，包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据权利要求1至8中的任意一项所述的方法。3CN114172729A说明书1/7页基于容器的可信迁移方法和设备及存储介质技术领域[0001]本公开总体上涉及网络与信息安全领域，更具体地涉及基于容器的可信迁移方法和设备及存储介质。背景技术[0002]当今，随着云计算技术的广泛应用，从政府部门到大型企业，其重要业务都已向云端迁移，云计算技术已经发展成为保障国民经济顺利运行的重要支撑。近来，容器技术在云平台中的应用日益广泛，以容器为代表的轻量级虚拟化技术一经推出，就凭借其敏捷、高效的技术特点，迅速风靡全球，成为云计算的热点技术。容器的迁移技术是为了解决容器运行节点的系统在线升级、硬件维护和服务器的负载均衡问题而产生。能够