摘 要

Docker是2013年由PaaS提供商dotcloud提供的一种基于LXC的新的高级虚拟容器引擎，目前广泛地被应用于云计算，大数据处理等工作中，该引擎可以十分方便的使开发者打包他们的应用和工作环境到可移植的容器中，之后可以保存并发布到任何流行的linux机器上，重新进行简要的镜像部署工作就可以将之前的工作环境完完全全的移植到新的环境中，通过这样的新技术可以让开发者将更多的精力放到他们所关心的开发工作上来.

Docker类似于虚拟机，但不等同于虚拟机，Docker是基于软件系统级的虚拟，那么相比传统的硬件层的虚拟技术，Docker的安全性就是一个十分值得关注的话题，目前Docker的安全性主要是依赖于Linux已有的安全机制，namespace机制、capability机制和cgroups机制以及SElinux，通过这些来保障Docker在隔离性，资源限制，权限管理方面的安全问题，而在镜像管理这块，Docker没有相关的安全控制，这使得个人容器可以随意打包，当需要分发给不同的人时，发送的镜像包都是没有经过加密的，可以直接拿到安装有Docker平台的机器上进行部署，之后，镜像内部的信息便会完全的暴露出来，同时，如果想对于不同的人群进行不同的权限分配，资源分配也是目前Docker无法做到的。

所以根据上述问题，本文设计了如下方案用于解决此类在镜像包安全，权限控制，资源分配方面的问题：

1. 运用Docker API及Openssl加密库，实现对Docker容器镜像的打包加密，做到镜像内信息的安全。
2. 对于权限，在镜像内部设置有不同的账户，对于不同的账户有不同的权限，实现权限管理。
3. 对于资源分配方面，根据设置的不同账户，应有不同的资源分配，实现Docker容器的资源分配。

目前，上述功能已能够正常实现，完成了对Docker镜像容器的安全性方面的加固，使得容器镜像内的信息更加安全，同时能够进行权限管理及相应的资源分配，符合任务书的要求。

关键词：Linux；Docker安全性；镜像加密；权限控制；资源分配

Abstract

Docker is a new technology in recent years, which is proposed by the PaaS provider dotcloud based LXC container advanced virtualization engine, Docker is widely used in cloud computing, big data processing and other work, and this engine can be very convenient, it allows developers to package their application and working environment to the portable container, then it can be saved and published to any popular linux machine, re-deployment brief image on the previous working environment can be completely transplant to a new environment that allows developers to focus on this new technology that will be more energetic into their development.

Docker is similar to the virtual machine, but not identical to the virtual machine, Docker is a software-based system-level virtualization, the virtualization technology compared to traditional hardware layer, Docker security is a topic of great concern, the current Docker security is mainly dependent on the existing Linux security mechanisms, namespace mechanism, capability and mechanism cgroups mechanisms and SElinux, these security issues to protect Docker in isolation, resource limits, rights management, and image management in this, no Docker do the relevant security control, which makes the individual containers free to do so, when you need to be distributed to different people, mirrored packets are not encrypted, you can get installed directly deployed on Docker platform machine, after mirror inside information will be fully exposed, at the same time, if you want to be different for different groups of rights assignment, resource allocation is currently that Docker can’t achieve.

Therefore, according to the above-mentioned problems, we designed the following programs for the image package to solve such security, access control, resource allocation problems:

First, the use of Docker API library implementation of encryption and Openssl Docker container encryption package mirrors, so that protect the security of information within the mirror.

Second, the authority, in the mirror internally provided with different accounts for different accounts has different permissions to achieve rights management.

Third, for the allocation of resources, depending on the account settings, there should be different resource allocation, achieved the resource allocation Docker container.

Currently, these functions have been able to achieve normal, we completed a safety mirror Docker container reinforcement, making information more secure container inside mirror, able to carry out the respective rights management and resource allocation, consistent with the mission statement of requirements..

Key Words：Linux; Docker-security; image-encrypt; access control; Resource allocation

目录

第1章 绪论 3

1.1 课题的研究背景 3

1.2 课题的研究目的及意义 3

1.3 国内外研究现状 4

1.4 论文的研究目标和内容安排 5

第2章 需求分析 7

第3章 Docker平台介绍 8

3.1 Docker架构介绍 8

3.2 Docker环境安装及测试 10

3.2.1 Docker在ubuntu下的安装流程 10

3.2.2 Docker环境测试 11

3.3 Docker相关功能介绍 12

3.3.1容器 12

3.3.2镜像 14

第4章 相关库介绍 17

4.1 Docker API 17

4.1.1Remote API 17

4.1.2 docker-py库 18

4.3 openssl介绍 20

4.3.1 openssl安装 20

4.3.2 openssl相关函数 21

第5章 软件系统实现 24

5.1 实现原理 24

5.2 加密解密流程 25

第6章 测试结果 27

6.1 基本命令实现 27

6.2实现镜像的加密 28

6.3实现镜像解密及身份认证 30

6.4实现资源管理 31

6.5 分析 33

第7章 总结与展望 34

7.1 设计总结 34

7.2 研究展望 34

参考文献 36

致 谢 39

第1章 绪论

1.1 课题的研究背景

Docker是基于Linux的虚拟化容器技术，广泛应用于大数据，云计算，软件开发，等工作中，由于其分发，部署镜像的极其方便，在方便的同时，其安全性也是必须要考虑的问题，就比如现在的网上支付，如果没有一个可靠强大的安全模式做依托，那么在方便的功能也不可能有人愿意去使用，所以本文关注到了Docker在镜像分发方面的如下安全弱点：

1. 镜像在分发过程中，其内部的信息的安全性无法得到保证，Docker官方的做法是，将需要分发的镜像上传到Docker Hub上，通过注册账号的方式，对镜像进行保管，而这并没有对镜像内部的信息做安全性的考虑，当镜像被泄露出去，其内部信息是完全透明的，因此很难保证其安全性。
2. 镜像在权限管理方面存在安全弱点，目前Docker容器的登录都是root权限，这使得一旦镜像被部署到本地，以root权限进入容器后便能的到任何信息，执行各种特权操作，相信这也是用户不愿意看到的结果。
3. 在资源控制方面，如果不对镜像容器进行资源控制，那么很有可能，通过一些不安全，不正当的操作使得Docker容器占用大量主机系统资源导致Docker崩溃，乃至牵连到主机系统，这会造成意想不到的后果，同时不对Docker容器进行资源限制的话很容易遭到DDos攻击，难以保障其运行中的性能与安全^[1-3]。

就以上安全弱点本文设计出了解决方案，希望能够解决Docker在镜像信息安全，用户权限控制，资源限制方面的安全问题，使得Docker能够更加的安全，得到更多人的青睐与使用。

1.2 课题的研究目的及意义

本文研究的是Docker在镜像安全，用户权限管理方面的安全问题，目前Docker个人打包的镜像可以托管到Docker hub上，类似于应用商店，Docker hub将上传的镜像按照仓库，名称分类，标星，排序，然后对于公共的镜像，可以分享出来供广大Docker使用者拉取到本地环境，进行容器的部署，对于不想共享的镜像则可以添加密码上传到Docker hub上。这样在一定程度上加强了镜像的安全性，但是对镜像容器的数据安全并没有做任何的安全防护工作，这样看起来容器还是十分的脆弱，数据可以被公开共享不是十分的安全。

本文则就此问题开发关于Docker镜像的加密系统，通过此系统，Docker使用者可以很方便的将自己创建的镜像加密保存起来，如果需要分发给别人的话，那么其他使用者必须下载安装此软件，同时需要知道密码，及得到用户认证之后，才可以以相应的权限访问镜像容器，