(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210395021.2 (22)申请日 2022.04.15 (71)申请人 四川中电启明星信息技 术有限公司 地址 610000 四川省成 都市郫都区现代工 业港 （南片区） 西源大道 2688号 申请人 国网信息通信产业 集团有限公司 (72)发明人 郭晶　郑建宁　张津铭　刘泽三　 李玉　宋卫平　杨帆　刘歆一　 韩宏军　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 专利代理师 张鸣洁 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于信任度的Docker进程安全访问控 制方法 (57)摘要 本发明涉及容器和信任访问控制技术领域， 公开了一种基于信任度的Docker进程安全访 问 控制方法， 包括： 输入容器所在宿主机的系统安 全参数， 获取系统公共参数和系统主密钥并输 出； 遍历文件名/目录， 并进行填充， 然后使用输 出的系统公共参数作为公钥对文件名/目录进行 随机化加密处理， 获取随机化后的文件名/目录； 根据输出的系统公共参数和系统主密钥将各文 件名/目录对应的访问权 限生成对应的私钥； 基 于用户信任度的访问控制结构根据发出访问请 求的用户的属性对私钥进行分配， 将其分配给对 应信任度的用户进程； 使用可信时间戳验证验证 用户的私钥的时效性和准确性； 用户进程访问文 件名/目录时， 进行判断并用私钥进行解密。 权利要求书2页 说明书7页 附图2页 CN 114650184 A 2022.06.21 CN 114650184 A 1.一种基于信任度的Docker进程 安全访问控制方法， 其特 征在于， 包括以下步骤： 步骤S1.输入容器所在宿主机的系统安全参数， 获取系统公共参数和系统主密钥并输 出； 步骤S2.遍历文件名/目录， 并进行填充， 然后使用步骤S1中输出的系 统公共参数作为 公钥对文件名/目录进行随机化加密处 理， 获取随机化后的文件名/目录； 步骤S3.根据步骤S1中输出的系统公共参数和系统主密钥将各文件名/目录对应的访 问权限生成对应的私钥； 步骤S4.基于用户信任度的访问控制结构根据发出访问请求的用户的属性对步骤S3 中 的私钥进行分配， 将其分配给对应信任度的用户进程； 步骤S5.使用可信时间戳验证验证用户的私钥的时效性和准确性； 步骤S6.用户进程访问文件名/目录时， 进行判断并用私钥进行解密。 2.根据权利要求1所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 所述随机化加密处 理方法和解密处 理方法为CP ‑ABE算法。 3.根据权利要求1所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 所述步骤S2包括： 通过MNT‑namespace文件名/目录的随机化 来控制进程对文件名/目录的访问； 先Read direct遍历文件名/ 目录， 再用Fill  direct进行填充得到需要进行随机化处 理的文件名/目录 。 4.根据权利要求1所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 所述步骤S4中用户信任度的具体 计算方法包括： 获取结构元素U， 所述结构元素U是对MNT ‑namespace内文件名/目录提出访问请求的用 户的集合， 并表示 为U＝{u1， u2， u3， ...， ua}； 获取系统中的位阶R， 代表对MNT  namespace内文件名/目录进行访问的资格， 并表示为 R＝{r1， r2， r3， ...， rb}； 获取MNT namespace内资源进行访问的操作权限P， 并表示 为P＝{p1， p2， p3， ...， pc}； 获取MNT namespace内文件名的集 合F， 并表示 为F＝{f1， f2， f3， ...， fd}； 获取信任度等级 TC， 并表示 为TC＝{1， 2， 3， . ..， r}； 获取初始信任值IT， 从宿主内核中读取用户访 问次数和访 问成功次数， 根据成功次数 和总次数计算信任值T， 并表示为 其中， 用户 访问文件的总次数记为 Nij， 成功的次数记为Sij， 是惩罚项； 获取综合信任值CT， 并表示 为CT＝α1IT+α2T， 其中， α1和 α2是权重。 5.根据权利要求4所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 还包括： 合法信任值变更表示 为： θ 为对应信任值增 加的权重；权　利　要　求　书 1/2 页 2 CN 114650184 A 2非法信任值变更表示 为： η为对应信任值减少的权 重。 6.根据权利要求1所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 所述步骤S5包括： 使用可信时间戳验证对用户所分配到的私钥进行可信验证， 验证通过， 进入下一步， 验 证不通过， 结束流 程。 7.根据权利要求6所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 包括： 用户对文件数据进行Hash摘要处 理； 用户提出时间戳的请求， Hash值被传递给时间戳 服务器； 时间戳服务器对哈希值和一个日期/时间记录进行签名， 生成时间戳； 时间戳数据和文件信息绑定后返还， 用户进行 下一步操作。 8.根据权利要求1所述的一种基于信任度的Docker进程安全访问控制方法， 其特征在 于， 所述步骤S6包括： 当用户进程访 问文件名/目录时， 判断访问的文件名/目录是否是随机化后的文件名/ 目录， 如果是， 进行路径解析并访问文件， 如果否， 重新对文件名/目录进行随机化加密处 理。权　利　要　求　书 2/2 页 3 CN 114650184 A 3