摘要：針對(duì)Docker目前存在的容器及鏡像被篡改、容器的惡意進(jìn)程及非授權(quán)通信問題,利用可信計(jì)算的相關(guān)技術(shù)如信任鏈、完整性度量以及實(shí)時(shí)監(jiān)控等方法,設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)可信增強(qiáng)的Docker容器-DockerGuard.DockerGuard構(gòu)造了一條從硬件到容器內(nèi)部進(jìn)程和文件的信任鏈,同時(shí)增加了包括進(jìn)程監(jiān)控、文件系統(tǒng)度量、網(wǎng)絡(luò)監(jiān)控三大功能于一體的安全防護(hù)模塊,從而全方位對(duì)Docker進(jìn)行度量與細(xì)粒度的監(jiān)控.基于Docker1.6.0實(shí)現(xiàn)了具備上述功能的安全增強(qiáng)系統(tǒng)DockerGuard,并對(duì)系統(tǒng)進(jìn)行了性能評(píng)估.結(jié)果表明,DockerGuard可以保護(hù)容器及鏡像不被篡改,同時(shí)限制容器網(wǎng)絡(luò)通信行為并監(jiān)控容器內(nèi)部進(jìn)程,極大地提高了Docker容器的安全性.