融合區(qū)塊鏈技術(shù)的容器云安全應(yīng)用

鄭尚卓，李學(xué)韜，王 雷，王 磊，惲 珺

(1.國(guó)網(wǎng)區(qū)塊鏈科技 (北京) 有限公司，北京 100053；2.國(guó)網(wǎng)北京市電力公司，北京 100053；3.國(guó)網(wǎng)北京市電力公司信息通信分公司，北京 100053)

0 引言

容器技術(shù)是將系統(tǒng)具備的資源劃分至獨(dú)立的組內(nèi)，使其成為存在邊界、運(yùn)行資源可配置，具備獨(dú)立文件系統(tǒng)的進(jìn)程集合，并以容器為單位運(yùn)行。容器可有效整合系統(tǒng)資源，使劃分的資源得到最優(yōu)配置，達(dá)到不同程序并行運(yùn)行的效果。容器云依托云計(jì)算資源，將容器部署在云端，以容器的邏輯劃分云計(jì)算資源。隨著容器技術(shù)的普及，越來越多的企業(yè)開始使用容器云平臺(tái)。容器云平臺(tái)是將容器和容器配置功能部署云端，以云端資源部署對(duì)應(yīng)的容器，以云計(jì)算管理后臺(tái)實(shí)現(xiàn)對(duì)容器的控制、維護(hù)和操作。容器云技術(shù)為各行各業(yè)帶來極大便利的同時(shí)，也產(chǎn)生了較多的容器云安全問題，如：容器云存在安全漏洞，云端容器無法被監(jiān)控，容器與容器之間缺乏結(jié)構(gòu)化數(shù)據(jù)管理模式，云端容器的使用生命周期無法被永久記錄等。

容器技術(shù)發(fā)展歷史長(zhǎng)達(dá)20 年，經(jīng)歷了從Unix chroot，F(xiàn)reeBSD Jails，Linux VServer，Solaris Containers，Open VZ，Process Containers，LXC，Warden，LMCTFY，Docker，Rocket 到Windows Containers 的發(fā)展過程，技術(shù)發(fā)展日益成熟。Windows Containers 是一種部署在云端的可在Windows 和Linux 環(huán)境下運(yùn)行的容器技術(shù)，Containers 提供了輕量級(jí)且獨(dú)立的環(huán)境，可以方便地部署、取消和管理應(yīng)用，且Containers 的運(yùn)行速度較快。

2013 年Docker 容 器 引 擎 以 及2015 年Kubernetes 容器編排技術(shù)的開源，推動(dòng)容器技術(shù)在全球范圍內(nèi)受到廣泛關(guān)注。從技術(shù)角度看，我國(guó)的容器市場(chǎng)已發(fā)展得較為成熟，在目前的公有云市場(chǎng)上容器已經(jīng)廣泛地覆蓋了20 %～35 %的虛擬化應(yīng)用。預(yù)計(jì)到2025 年容器云將會(huì)增長(zhǎng)50 %～75 %，基于容器的私有云系統(tǒng)平臺(tái)市場(chǎng)規(guī)模將會(huì)超過60億元，我國(guó)容器云市場(chǎng)將繼續(xù)保持高速增長(zhǎng)。在容器云市場(chǎng)保持高速增長(zhǎng)的同時(shí)，也應(yīng)該注意到容器云安全問題日益凸顯，建設(shè)配套的容器云安全防護(hù)應(yīng)用勢(shì)在必行，應(yīng)用區(qū)塊鏈技術(shù)以云端資源構(gòu)建區(qū)塊鏈平臺(tái)，通過建設(shè)虛擬化云端區(qū)塊鏈應(yīng)用實(shí)現(xiàn)對(duì)容器的監(jiān)控和容器生命周期管理，對(duì)于助力實(shí)現(xiàn)容器云平臺(tái)的安全效率提升有促進(jìn)作用。

1 區(qū)塊鏈與容器云融合應(yīng)用機(jī)理

1.1 以容器云為底層搭建虛擬鏈

區(qū)塊鏈?zhǔn)且怨?jié)點(diǎn)為基本組成單位，通過共識(shí)機(jī)制組網(wǎng)的分布式網(wǎng)絡(luò)，數(shù)據(jù)以區(qū)塊的形式存儲(chǔ)，區(qū)塊與區(qū)塊首尾相連，呈鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)。現(xiàn)階段，區(qū)塊鏈技術(shù)的核心應(yīng)用功能為存證和溯源，區(qū)塊鏈技術(shù)具有上鏈數(shù)據(jù)不可篡改的特性，數(shù)據(jù)上鏈后可永久在鏈上保存，數(shù)據(jù)在不同節(jié)點(diǎn)之間同步。組成區(qū)塊鏈系統(tǒng)的節(jié)點(diǎn)形式應(yīng)具備數(shù)據(jù)處理、存儲(chǔ)的基本功能，同時(shí)支持匹配共識(shí)算法、可進(jìn)行多節(jié)點(diǎn)組網(wǎng)。節(jié)點(diǎn)的形式為實(shí)體化物理節(jié)點(diǎn)，也可依托云端資源生成虛擬化節(jié)點(diǎn)。實(shí)體的物理PC 機(jī)或服務(wù)器，虛擬化的云服務(wù)器、容器均可作為區(qū)塊鏈系統(tǒng)的節(jié)點(diǎn)。

容器云平臺(tái)可根據(jù)承載的資源配置對(duì)應(yīng)數(shù)量的容器，生成的容器可根據(jù)配置的容器性能及參數(shù)進(jìn)行設(shè)定，云計(jì)算平臺(tái)因存在資源設(shè)定的上限，因此基于云端的容器生成也存在數(shù)量設(shè)定的上限值。首先將云端資源進(jìn)行劃分，產(chǎn)生標(biāo)準(zhǔn)化的容器類別，以容器為節(jié)點(diǎn)依托共識(shí)機(jī)制組網(wǎng)生成運(yùn)行在云端平臺(tái)的區(qū)塊鏈系統(tǒng)。基于云端資源搭建的虛擬化區(qū)塊鏈系統(tǒng)可面向云端的容器應(yīng)用進(jìn)行監(jiān)控和數(shù)據(jù)分析，輔助容器云安全管理。

1.2 虛擬鏈的運(yùn)行方式分析

區(qū)塊鏈系統(tǒng)的網(wǎng)絡(luò)架構(gòu)分為網(wǎng)絡(luò)層、共識(shí)層、數(shù)據(jù)層、智能合約層和應(yīng)用層五個(gè)層次。網(wǎng)絡(luò)層是實(shí)現(xiàn)節(jié)點(diǎn)之間數(shù)據(jù)有效交互的基礎(chǔ)，共識(shí)層的功能是整合區(qū)塊鏈系統(tǒng)計(jì)算資源促進(jìn)節(jié)點(diǎn)之間的協(xié)同計(jì)算，數(shù)據(jù)層以實(shí)現(xiàn)鏈上數(shù)據(jù)傳輸、構(gòu)建鏈上“交易”數(shù)據(jù)為主要功能，智能合約層是部署鏈上代碼的實(shí)現(xiàn)層，應(yīng)用層是執(zhí)行具體區(qū)塊鏈業(yè)務(wù)的功能層。五個(gè)功能層相互協(xié)同，實(shí)現(xiàn)區(qū)塊鏈系統(tǒng)從底層平臺(tái)到具體業(yè)務(wù)應(yīng)用落地的全流程。以容器為節(jié)點(diǎn)構(gòu)成的區(qū)塊鏈應(yīng)用滿足以上五個(gè)功能層的條件，即具備區(qū)塊鏈的基本功能。現(xiàn)階段，市場(chǎng)中較為通用的公有鏈應(yīng)用——比特幣和以太坊，國(guó)內(nèi)較為知名聯(lián)盟鏈應(yīng)用——螞蟻鏈、京東鏈、百度超級(jí)鏈等，兩種類型的區(qū)塊鏈應(yīng)用均需要節(jié)點(diǎn)組成基本的區(qū)塊鏈網(wǎng)絡(luò)，節(jié)點(diǎn)分為物理節(jié)點(diǎn)和虛擬節(jié)點(diǎn)，其中以容器為節(jié)點(diǎn)屬于虛擬節(jié)點(diǎn)的范疇。

(1) 網(wǎng)絡(luò)層為基于P2P 協(xié)議用于節(jié)點(diǎn)之間傳輸交易數(shù)據(jù)和區(qū)塊數(shù)據(jù)。國(guó)家電網(wǎng)的區(qū)塊鏈底層平臺(tái)的P2P 傳輸協(xié)議基于TCP 協(xié)議實(shí)現(xiàn)。區(qū)塊鏈網(wǎng)絡(luò)中的節(jié)點(diǎn)可同步整條區(qū)塊鏈上的所有區(qū)塊數(shù)據(jù)，當(dāng)區(qū)塊鏈產(chǎn)生新的交易或打包新區(qū)塊時(shí)，區(qū)塊鏈網(wǎng)絡(luò)通過驗(yàn)證簽名的形式對(duì)新生數(shù)據(jù)進(jìn)行驗(yàn)證，驗(yàn)證通過區(qū)塊鏈網(wǎng)絡(luò)將會(huì)處理這批新生成的數(shù)據(jù)。

(2) 共識(shí)層為通過特定的區(qū)塊鏈算法整合全網(wǎng)節(jié)點(diǎn)同步計(jì)算，保證節(jié)點(diǎn)之間的數(shù)據(jù)同步，共同計(jì)算以驗(yàn)證目標(biāo)結(jié)果。在區(qū)塊鏈網(wǎng)絡(luò)對(duì)節(jié)點(diǎn)數(shù)量的允許范圍內(nèi)，網(wǎng)絡(luò)中的節(jié)點(diǎn)可實(shí)時(shí)斷開網(wǎng)絡(luò)或重新加入網(wǎng)絡(luò)，而不會(huì)影響區(qū)塊鏈系統(tǒng)的整體運(yùn)行效率，以國(guó)網(wǎng)鏈為例，國(guó)網(wǎng)鏈?zhǔn)欠?wù)電網(wǎng)體系的聯(lián)盟鏈架構(gòu)網(wǎng)絡(luò)平臺(tái)以拜占庭容錯(cuò)作為共識(shí)算法，該算法要求n＞3f+ 1，即占全網(wǎng)數(shù)量1/3 以下的節(jié)點(diǎn)發(fā)生錯(cuò)誤或斷開區(qū)塊鏈網(wǎng)絡(luò)，不會(huì)對(duì)網(wǎng)絡(luò)的整體穩(wěn)定性構(gòu)成威脅。

(3) 數(shù)據(jù)層為區(qū)塊鏈系統(tǒng)處理鏈上數(shù)據(jù)的計(jì)算層，區(qū)塊鏈上進(jìn)行的數(shù)據(jù)交互的形式一般以交易的形式完成，區(qū)塊鏈上執(zhí)行完成交易后可將交易打包為區(qū)塊，區(qū)塊之間以梅克爾樹的形式實(shí)現(xiàn)連接。鏈上發(fā)生的每筆交易均記錄在區(qū)塊內(nèi)，每?jī)蓚€(gè)哈希會(huì)折算為一個(gè)總哈希，每?jī)蓚€(gè)總哈希再次折算為上一層的匯總哈希碼，最終單一區(qū)塊內(nèi)的所有哈希值以結(jié)構(gòu)化的形式匯總為梅克爾根。單一區(qū)塊分為區(qū)塊頭和區(qū)塊體，區(qū)塊體以梅克爾樹的形式存放哈希數(shù)據(jù)，區(qū)塊頭包含的數(shù)據(jù)為梅克爾根、上一個(gè)區(qū)塊頭哈希、版本號(hào)、時(shí)間戳、隨機(jī)數(shù)，上一個(gè)區(qū)塊頭哈希是連接當(dāng)前區(qū)塊之前的文件索引，版本號(hào)為當(dāng)前區(qū)塊鏈系統(tǒng)的版本號(hào)(區(qū)塊鏈系統(tǒng)存在因升級(jí)迭代而導(dǎo)致版本號(hào)不同的現(xiàn)象)，時(shí)間戳為區(qū)塊生成的具體時(shí)間標(biāo)識(shí)，隨機(jī)數(shù)是節(jié)點(diǎn)之間進(jìn)行算力競(jìng)爭(zhēng)的過程中需要求解的數(shù)學(xué)結(jié)果。

(4) 智能合約層是在區(qū)塊鏈系統(tǒng)上部署的智能合約執(zhí)行合約邏輯的區(qū)塊鏈運(yùn)行層。智能合約是一種將算法和程序代碼與區(qū)塊鏈相結(jié)合，實(shí)現(xiàn)代碼程序上鏈。智能合約編寫的程序具備自動(dòng)執(zhí)行、不可篡改的特性，智能合約在不同用戶之間進(jìn)行合同約定，在數(shù)據(jù)分發(fā)方面具有自動(dòng)化執(zhí)行的優(yōu)勢(shì)。區(qū)塊鏈技術(shù)實(shí)現(xiàn)了數(shù)據(jù)的多節(jié)點(diǎn)備份、去中心化存儲(chǔ)，智能合約實(shí)現(xiàn)了區(qū)塊鏈技術(shù)的去中心化計(jì)算。比特幣腳本是嵌入在比特幣交易上的指令，功能局限在比特幣賬戶之間的交易。以太坊是區(qū)塊鏈智能合約領(lǐng)域的首創(chuàng)應(yīng)用，以太坊的智能合約編碼程序被定義為“chaincode”，應(yīng)用智能合約編寫的以太坊程序具備圖靈完備的腳本語言。區(qū)塊鏈智能合約可通過節(jié)點(diǎn)進(jìn)行程序代碼編寫，其后代碼信息在全網(wǎng)同步以實(shí)現(xiàn)智能合約的全節(jié)點(diǎn)升級(jí)。以容器作為區(qū)塊鏈節(jié)點(diǎn)的也可通過容器部署智能合約，以單一容器節(jié)點(diǎn)為切入點(diǎn)進(jìn)行程序升級(jí)，向全網(wǎng)的容器節(jié)點(diǎn)同步數(shù)據(jù)。

(5) 應(yīng)用層是以區(qū)塊鏈底層平臺(tái)為支撐，基于區(qū)塊鏈系統(tǒng)搭建的實(shí)現(xiàn)具體業(yè)務(wù)目標(biāo)的區(qū)塊鏈應(yīng)用。現(xiàn)階段的區(qū)塊鏈應(yīng)用主要集中在存證、溯源、智能合約三大領(lǐng)域，區(qū)塊鏈存證應(yīng)用借助上鏈數(shù)據(jù)不可篡改的特性，實(shí)現(xiàn)電子證據(jù)在鏈上的固化存儲(chǔ)，為用戶業(yè)務(wù)提供可信認(rèn)證；溯源為依托區(qū)塊鏈系統(tǒng)的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，對(duì)上鏈數(shù)據(jù)進(jìn)行追溯，實(shí)現(xiàn)產(chǎn)品的流轉(zhuǎn)過程追溯；智能合約主要服務(wù)于合同簽訂和履約環(huán)節(jié)，未來，智能合約的應(yīng)用邏輯也在向執(zhí)行業(yè)務(wù)功能多元化的方向發(fā)展。

1.3 虛擬鏈與容器云的交互

以容器為節(jié)點(diǎn)的基本組成單位，通過共識(shí)機(jī)制組網(wǎng)，實(shí)現(xiàn)在云計(jì)算底層資源上構(gòu)建虛擬鏈。云計(jì)算底層平臺(tái)通過將云端資源進(jìn)行劃分，產(chǎn)生標(biāo)準(zhǔn)化的容器云應(yīng)用，以容器云作為底層資源部署虛擬鏈。容器云是支撐虛擬鏈底層應(yīng)用的基礎(chǔ)網(wǎng)絡(luò)資源，虛擬鏈?zhǔn)侨萜髟破脚_(tái)的具體應(yīng)用場(chǎng)景。虛擬鏈可依托容器云平臺(tái)自帶的監(jiān)控功能模塊，讀取容器云的相關(guān)運(yùn)行數(shù)據(jù)。虛擬鏈用來記錄容器云平臺(tái)日志信息，應(yīng)用智能合約實(shí)現(xiàn)容器分發(fā)，對(duì)容器進(jìn)行生命周期管理，基于已有的容器存證數(shù)據(jù)及時(shí)定位危險(xiǎn)容器。虛擬鏈與容器云的交互在區(qū)塊鏈的五個(gè)網(wǎng)絡(luò)架構(gòu)層級(jí)的應(yīng)用如下。

(1) 網(wǎng)絡(luò)層分為兩個(gè)結(jié)構(gòu)層級(jí)，即同一宿主機(jī)內(nèi)部署的容器之間的通信及承載容器的不同宿主機(jī)之間的通信。同一宿主機(jī)內(nèi)部的容器通過bridge的形式實(shí)現(xiàn)數(shù)據(jù)交互，docker 為容器創(chuàng)建獨(dú)立的網(wǎng)絡(luò)棧，保證容器內(nèi)的進(jìn)程使用獨(dú)立的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)容器之間的網(wǎng)絡(luò)棧隔離，容器與容器之間通過bridge 實(shí)現(xiàn)通信。承載容器的不同宿主機(jī)以host的形式實(shí)現(xiàn)通信，容器首先通過bridge 實(shí)現(xiàn)容器之間的通信，其后通過host 的形式實(shí)現(xiàn)跨主機(jī)數(shù)據(jù)交互。

(2) 共識(shí)層為虛擬鏈通過特定的共識(shí)算法，關(guān)聯(lián)全網(wǎng)各容器節(jié)點(diǎn)，實(shí)現(xiàn)虛擬鏈節(jié)點(diǎn)的有效組網(wǎng)。虛擬節(jié)點(diǎn)和物理節(jié)點(diǎn)均可通過合理的共識(shí)機(jī)制進(jìn)行節(jié)點(diǎn)組網(wǎng)，鑒于搭建的虛擬鏈主要服務(wù)于容器云的安全領(lǐng)域，且虛擬鏈運(yùn)行在云計(jì)算平臺(tái)內(nèi)(云計(jì)算平臺(tái)自帶網(wǎng)絡(luò)安全防護(hù)功能，相對(duì)于公網(wǎng)環(huán)境較為安全)，虛擬鏈采用聯(lián)盟鏈的網(wǎng)絡(luò)架構(gòu)較為合理，DPOS 和PBFT 兩種共識(shí)機(jī)制是目前在聯(lián)盟鏈領(lǐng)域較為通用的共識(shí)算法，虛擬鏈搭建過程中可匹配經(jīng)典區(qū)塊鏈共識(shí)算法。

(3) 數(shù)據(jù)層為虛擬鏈執(zhí)行交易和存儲(chǔ)數(shù)據(jù)的交互層，虛擬鏈產(chǎn)生的交易在鏈上執(zhí)行，并寫入?yún)^(qū)塊內(nèi)，數(shù)據(jù)存儲(chǔ)于鏈?zhǔn)綌?shù)據(jù)庫內(nèi)。容器的存儲(chǔ)功能需要依賴于宿主機(jī)的存儲(chǔ)裝置，故容器節(jié)點(diǎn)需錨定宿主機(jī)的存儲(chǔ)裝備，節(jié)點(diǎn)同步鏈上數(shù)據(jù)后，將節(jié)點(diǎn)數(shù)據(jù)存儲(chǔ)于宿主機(jī)內(nèi)。區(qū)塊內(nèi)存儲(chǔ)的主要數(shù)據(jù)為哈希碼，以字節(jié)數(shù)據(jù)為存儲(chǔ)對(duì)象，故占用的內(nèi)存空間較小，宿主機(jī)提供一定的磁盤空間，即滿足虛擬鏈上的容器數(shù)據(jù)存儲(chǔ)需求。

(4) 智能合約層是固化在區(qū)塊鏈網(wǎng)上的代碼程序，虛擬鏈環(huán)境下，以容器為節(jié)點(diǎn)組成的區(qū)塊鏈應(yīng)用平臺(tái)可支持使用智能合約應(yīng)用，通過智能合約實(shí)現(xiàn)鏈上代碼邏輯。開發(fā)人員首先使用容器專用的代碼編輯器對(duì)容器智能合約進(jìn)行編輯，其后以交易的形式向容器虛擬鏈發(fā)送合約的部署指令，合約在單一節(jié)點(diǎn)部署成功后，合約數(shù)據(jù)在虛擬鏈的全網(wǎng)各節(jié)點(diǎn)同步，最終智能合約被成功部署在區(qū)塊鏈上。

(5) 應(yīng)用層是虛擬鏈實(shí)現(xiàn)應(yīng)用功能的實(shí)現(xiàn)層，容器虛擬鏈的應(yīng)用功能延續(xù)傳統(tǒng)區(qū)塊鏈底層平臺(tái)的經(jīng)典應(yīng)用功能，即存證和溯源，通過將容器運(yùn)行過程中的關(guān)鍵數(shù)據(jù)上鏈，有效記錄容器信息，實(shí)現(xiàn)容器數(shù)據(jù)結(jié)合區(qū)塊鏈應(yīng)用的有效管理。應(yīng)用層由數(shù)據(jù)上鏈模塊、數(shù)據(jù)查驗(yàn)?zāi)K、數(shù)據(jù)回傳模塊構(gòu)成。上鏈?zhǔn)菍?shí)現(xiàn)容器數(shù)據(jù)交互的基礎(chǔ)功能，容器運(yùn)行的原始數(shù)據(jù)通過上鏈模塊，實(shí)現(xiàn)數(shù)據(jù)上鏈。數(shù)據(jù)查驗(yàn)是對(duì)上鏈數(shù)據(jù)進(jìn)行校驗(yàn)，識(shí)別上鏈存儲(chǔ)數(shù)據(jù)的有效性。數(shù)據(jù)回傳模塊是將上鏈數(shù)據(jù)返回至數(shù)據(jù)分析系統(tǒng)，進(jìn)行鏈上數(shù)據(jù)分析。

2 容器云安全虛擬鏈建設(shè)應(yīng)用機(jī)理

2.1 區(qū)塊鏈存證與溯源功能

2.1.1 存證

存證是將數(shù)據(jù)上鏈至區(qū)塊鏈系統(tǒng)的過程，一般以交易的形式實(shí)現(xiàn)，存證分為原始數(shù)據(jù)上鏈和索引數(shù)據(jù)上鏈兩種形式。當(dāng)前的技術(shù)條件下，索引數(shù)據(jù)上鏈?zhǔn)禽^為通用的數(shù)據(jù)上鏈形式，原始數(shù)據(jù)上鏈的模式因自身的短板，通用性不強(qiáng)。

區(qū)塊鏈系統(tǒng)的數(shù)據(jù)上鏈存證后，存證數(shù)據(jù)不可篡改。區(qū)塊鏈呈現(xiàn)鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，區(qū)塊與區(qū)塊前后連接，一旦數(shù)據(jù)上鏈，修改區(qū)塊內(nèi)的數(shù)據(jù)將需要修改該區(qū)塊之前和之后的所有區(qū)塊數(shù)據(jù)，這種極端情況不可能發(fā)生，因此上鏈數(shù)據(jù)不可改，可有效保證數(shù)據(jù)的客觀公正。

虛擬鏈執(zhí)行數(shù)據(jù)存證的過程為：首先區(qū)塊鏈賬戶確定上鏈數(shù)據(jù)，加密算法將原始數(shù)據(jù)加密為哈希值，其后對(duì)上鏈的哈希數(shù)值進(jìn)行校驗(yàn)，最后將哈希值進(jìn)行數(shù)據(jù)上鏈，虛擬鏈賬戶反饋存證結(jié)果，即交易ID。存證結(jié)果可通過區(qū)塊鏈瀏覽器進(jìn)行搜索查詢，確定存證結(jié)果——數(shù)據(jù)的存儲(chǔ)位置和上鏈的數(shù)據(jù)信息。

2.1.2 溯源

溯源是面向特定對(duì)象，基于區(qū)塊鏈的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)對(duì)溯源對(duì)象的流轉(zhuǎn)運(yùn)輸過程進(jìn)行追蹤的區(qū)塊鏈應(yīng)用場(chǎng)景，溯源的方式分為將溯源信息上鏈的經(jīng)典溯源方式及在不同的區(qū)塊鏈賬戶之間轉(zhuǎn)賬以記錄交易ID 的形式實(shí)現(xiàn)溯源兩種。

初中學(xué)生的腦重量已接近成人，所以初中學(xué)生的抽象邏輯思維的能力有了很大提高。這為初中學(xué)生學(xué)習(xí)系統(tǒng)的科學(xué)理論知識(shí)及自我意識(shí)的發(fā)展等提供了物質(zhì)基礎(chǔ)。但畢竟初中學(xué)生的腦細(xì)胞還比較脆弱，如果長(zhǎng)時(shí)間地集中注意一個(gè)對(duì)象，容易引起疲勞。所以，要注意勞逸結(jié)合，避免使學(xué)生負(fù)擔(dān)超量，要保證學(xué)生每天有9個(gè)小時(shí)的睡眠，還要參加一定的課外活動(dòng)（每天不少于1個(gè)小時(shí)的鍛煉時(shí)間）。

信息上鏈的經(jīng)典溯源方式為：將容器運(yùn)行的日志信息、容器云平臺(tái)的安全記錄、容器從產(chǎn)生到消失的生命周期的關(guān)鍵信息進(jìn)行上鏈存證，基于區(qū)塊鏈應(yīng)用生成溯源憑證，并以系統(tǒng)對(duì)溯源信息產(chǎn)生的交易ID 為依據(jù)在區(qū)塊鏈瀏覽器內(nèi)查詢存證結(jié)果。用戶通過獲取區(qū)塊鏈溯源憑證的形式知曉被溯源產(chǎn)品的流轉(zhuǎn)過程，并可通過區(qū)塊鏈瀏覽器查詢其存證信息。

以交易ID 為基準(zhǔn)的溯源方式為：在整個(gè)溯源鏈體系的各個(gè)關(guān)鍵節(jié)點(diǎn)搭建區(qū)塊鏈賬戶，物資每到一個(gè)物流節(jié)點(diǎn)即可與前一個(gè)物流節(jié)點(diǎn)做一筆交易生成對(duì)應(yīng)的交易ID，以此類推，將產(chǎn)品的整個(gè)流轉(zhuǎn)過程通過區(qū)塊鏈賬戶以做鏈上交易的形式，從一個(gè)物流節(jié)點(diǎn)到另一個(gè)物流節(jié)點(diǎn)的全流程進(jìn)行追溯，以查詢鏈上交易ID 的形式回溯物流節(jié)點(diǎn)對(duì)應(yīng)的流轉(zhuǎn)信息，并對(duì)交易信息進(jìn)行可視化展示。

容器云平臺(tái)實(shí)現(xiàn)對(duì)容器資源的集中托管和編排，統(tǒng)一部署在云服務(wù)上，容器云平臺(tái)在部署的地理空間和協(xié)同調(diào)用的計(jì)算資源上有集中化的優(yōu)勢(shì)，屬于相同的云服務(wù)器且計(jì)算資源可實(shí)現(xiàn)多維度調(diào)配，因此在容器云上搭建的虛擬鏈可忽略地理空間上的間隔的問題，專注于關(guān)注容器運(yùn)行的進(jìn)程即可。采用以交易ID 為基準(zhǔn)的溯源方式能夠在區(qū)塊鏈上關(guān)聯(lián)溯源信息，相對(duì)于上鏈存儲(chǔ)溯源數(shù)據(jù)的經(jīng)典溯源方式，交易ID 關(guān)聯(lián)的溯源方式更有優(yōu)勢(shì)。容器的全生命周期管理進(jìn)程中，容器的生成、使用、消失均進(jìn)行數(shù)據(jù)上鏈，容器的生命周期管理分屬于生成賬戶、使用賬戶、消亡賬戶，容器在生成賬戶產(chǎn)生并生成初始數(shù)據(jù)A；容器投入使用后，使用賬戶向生成賬戶發(fā)送交易數(shù)據(jù)B；容器結(jié)束使用后，消亡賬戶向使用賬戶發(fā)送交易數(shù)據(jù)C，交易過程中產(chǎn)

生的交易ID 可通過區(qū)塊鏈底層平臺(tái)進(jìn)行數(shù)據(jù)邏輯關(guān)聯(lián)，生成容器云的生命周期區(qū)塊鏈溯源圖。

2.2 容器云安全虛擬鏈建設(shè)的作用

容器云是依托云端資源部署，結(jié)合容器虛擬化技術(shù)生成的PAAS 服務(wù)應(yīng)用，應(yīng)用區(qū)塊鏈技術(shù)的容器云平臺(tái)以容器為節(jié)點(diǎn)，通過特定共識(shí)機(jī)制實(shí)現(xiàn)多節(jié)點(diǎn)組網(wǎng)生成以容器云為底層平臺(tái)的虛擬鏈。虛擬鏈具有區(qū)塊鏈應(yīng)用的通用特性，即存證和溯源功能。虛擬鏈具備智能合約和非對(duì)稱加密技術(shù)，智能合約是在區(qū)塊鏈網(wǎng)絡(luò)上編寫的代碼，可執(zhí)行已設(shè)定的區(qū)塊鏈程序邏輯；非對(duì)稱加密技術(shù)采用系統(tǒng)的公私鑰對(duì)機(jī)制，區(qū)塊鏈應(yīng)用生成的賬戶具有公鑰和私鑰，公私鑰匹配后可順利啟用區(qū)塊鏈賬戶來使用對(duì)應(yīng)功能。

結(jié)合虛擬鏈的容器云平臺(tái)具備存證、溯源、智能合約和非對(duì)稱加密功能，應(yīng)用虛擬鏈記錄容器生成數(shù)據(jù)、日志信息、分發(fā)容器，有助于完善容器的數(shù)據(jù)管理流程。存證，將容器運(yùn)行過程中的生成數(shù)據(jù)、新生容器進(jìn)行區(qū)塊鏈存證，對(duì)容器數(shù)據(jù)進(jìn)行上鏈，實(shí)現(xiàn)容器數(shù)據(jù)的加密保護(hù)。溯源，結(jié)合區(qū)塊鏈的塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，對(duì)容器從誕生到消亡的全過程進(jìn)行溯源，助力容器管理。智能合約，應(yīng)用智能合約編寫容器生成和分發(fā)規(guī)則，以程序化的形式生成容器數(shù)據(jù)，保證容器數(shù)據(jù)生成的客觀性。非對(duì)稱加密，以公私鑰對(duì)為基礎(chǔ)的數(shù)據(jù)加密機(jī)制可用來對(duì)容器管理賬戶進(jìn)行加密保護(hù)，提升容器管理的安全性。

2.3 容器云安全虛擬鏈建設(shè)的可行性分析

云計(jì)算平臺(tái)的健壯性。云計(jì)算是一種新型計(jì)算模式，云計(jì)算在一端集中了包括服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)、應(yīng)用、服務(wù)等多種可配置的軟硬件資源，通過虛擬化技術(shù)，組成集中的虛擬資源池，在另一端從互聯(lián)網(wǎng)和局域網(wǎng)提供獲得這些資源的渠道，達(dá)到按需自助使用、彈性使用的目的。電氣與電子工程師協(xié)會(huì)(IEEE)對(duì)健壯性的定義為：“在無效輸入或壓力環(huán)境下，系統(tǒng)或者組件能夠保持正常工作的度量。”云計(jì)算平臺(tái)的IAAS，PAAS，SAAS 三個(gè)維度的云計(jì)算資源均具備良好的健壯性，當(dāng)面臨網(wǎng)絡(luò)攻擊或產(chǎn)生錯(cuò)誤數(shù)據(jù)的情況時(shí)，云計(jì)算提供方構(gòu)筑了功能完備的防火墻可有效防范網(wǎng)絡(luò)攻擊，云端資源具備良好的錯(cuò)誤數(shù)據(jù)冗余能力，大部分云計(jì)算平臺(tái)錯(cuò)誤數(shù)據(jù)的發(fā)生率穩(wěn)定在1/100 000 以下。

虛擬鏈以存證和溯源兩大核心功能構(gòu)建新型容器防護(hù)安全體系。存證功能，應(yīng)用區(qū)塊鏈技術(shù)對(duì)虛擬化容器進(jìn)行編碼，新的容器生成后，將容器的特征數(shù)據(jù)上鏈形成虛擬鏈對(duì)應(yīng)的交易ID，以區(qū)塊鏈交易ID 為基礎(chǔ)完成容器數(shù)據(jù)的標(biāo)識(shí)。溯源，完成數(shù)據(jù)上鏈的云端容器在運(yùn)行過程中，配置容器數(shù)據(jù)的生成賬戶、使用賬戶、消亡賬戶，容器生成后，數(shù)據(jù)從生成賬戶向使用賬戶發(fā)送數(shù)據(jù)生成交易ID，容器不再使用后，由使用賬戶向消亡賬戶發(fā)送數(shù)生成交易ID，通過獲取交易ID 追蹤容器的使用過程。

優(yōu)化容器的分發(fā)流程。基于虛擬鏈配置智能合約設(shè)定容器的分發(fā)規(guī)則，以智能合約執(zhí)行容器數(shù)據(jù)分發(fā)流程。容器在生成階段，系統(tǒng)管理員通過使用非對(duì)稱加密技術(shù)對(duì)容器進(jìn)行生成授權(quán)，管理員使用私鑰對(duì)具有容器分發(fā)功能的區(qū)塊鏈賬戶進(jìn)行解密，根據(jù)系統(tǒng)執(zhí)行網(wǎng)絡(luò)任務(wù)需要的容器數(shù)量，授權(quán)容器生成。

3 容器云安全虛擬鏈的安全防護(hù)功能

3.1 容器云面臨的風(fēng)險(xiǎn)

容器云的網(wǎng)絡(luò)攻擊總體上分為兩個(gè)維度：外部網(wǎng)絡(luò)攻擊和內(nèi)部惡意調(diào)用服務(wù)。外部網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)攻擊者突破容器云防火墻，竊取容器云產(chǎn)生的數(shù)據(jù)或?qū)⒉《境绦蛑踩氲饺萜髟破脚_(tái)，造成容器云發(fā)生運(yùn)行故障。攻擊者對(duì)容器所在的物理宿主機(jī)進(jìn)行攻擊，導(dǎo)致宿主機(jī)的操作系統(tǒng)出現(xiàn)故障，容器編排程序錯(cuò)亂，容器鏡像倉庫被劫持。內(nèi)部網(wǎng)絡(luò)攻擊，惡意管理員發(fā)出錯(cuò)誤指令容導(dǎo)致容器云運(yùn)行不穩(wěn)定，或出現(xiàn)容器運(yùn)行故障；管理員身份信息被冒用，缺乏有效的身份認(rèn)證機(jī)制，導(dǎo)致假冒管理員執(zhí)行錯(cuò)誤指令。具體的容器云安全風(fēng)險(xiǎn)隱患如下。

(1) 容器云數(shù)據(jù)明文展示，容器云數(shù)據(jù)缺乏加密存儲(chǔ)機(jī)制，以明文的形式存儲(chǔ)，當(dāng)網(wǎng)絡(luò)攻擊成功后，攻擊者可直接獲取容器云中存儲(chǔ)的數(shù)據(jù)。

(2) 惡意軟件植入，容器云為多個(gè)容器以并行或串行的方式執(zhí)行計(jì)算任務(wù)，當(dāng)運(yùn)行的容器被植入惡意代碼，會(huì)導(dǎo)致容器運(yùn)行故障，危險(xiǎn)容器的病毒極有可能感染其他容器，造成容器云平臺(tái)整體出現(xiàn)錯(cuò)誤。

(3) 容器編排故障，容器的生成、使用和消亡全過程由容器編排工具執(zhí)行對(duì)應(yīng)指令，當(dāng)容器編排工具遭受網(wǎng)絡(luò)攻擊后，容器的生成和管理順序出現(xiàn)程序錯(cuò)誤，導(dǎo)致容器與容器之間無法協(xié)同運(yùn)作。

(4) 攻擊容器宿主機(jī)，容器云基于云端計(jì)算資源生成，IAAS 層是容器云的基礎(chǔ)層，由大量的實(shí)體物理機(jī)組成，當(dāng)物理機(jī)損壞或攻擊者從外部網(wǎng)絡(luò)成功破壞宿主機(jī)后，IAAS 層的故障將會(huì)傳導(dǎo)至PAAS 層，導(dǎo)致容器云發(fā)生運(yùn)行故障。

3.2 應(yīng)用總體架構(gòu)

以云計(jì)算為底層資源構(gòu)建的虛擬鏈主要功能為：面向容器云的安全風(fēng)險(xiǎn)問題提供區(qū)塊鏈底層支撐服務(wù)。虛擬鏈的應(yīng)用總體架構(gòu)分為資源層、平臺(tái)層、服務(wù)層和應(yīng)用層(見圖1)，四層架構(gòu)的應(yīng)用總體功能如下。

圖1 虛擬鏈的應(yīng)用總體架構(gòu)

(1) 資源層。建設(shè)虛擬鏈的底層計(jì)算資源為云化網(wǎng)絡(luò)計(jì)算層以及物理支撐層，物理硬件設(shè)備是組成云計(jì)算資源的物理支撐層，物理機(jī)經(jīng)過云化后產(chǎn)生的云計(jì)算資源為云化網(wǎng)絡(luò)計(jì)算層，最終產(chǎn)生的云端資源是虛擬鏈搭建的底層資源。

(2) 平臺(tái)層。云端資源組成的宿主機(jī)是容器生成的基礎(chǔ)，容器生成后經(jīng)容器編排工具實(shí)現(xiàn)協(xié)同計(jì)算，以容器為節(jié)點(diǎn)構(gòu)建的虛擬鏈平臺(tái)可發(fā)揮監(jiān)控容器安全狀態(tài)、分發(fā)容器的作用，優(yōu)化現(xiàn)有的容器防護(hù)體系。

(3) 服務(wù)層。虛擬鏈的服務(wù)功能應(yīng)用方向?yàn)閮身?xiàng)，一是對(duì)云端部署的容器進(jìn)行監(jiān)控，對(duì)危險(xiǎn)容器進(jìn)行上鏈存證，記錄危險(xiǎn)容器的運(yùn)行日志；二是對(duì)虛擬鏈進(jìn)行管理和監(jiān)控的管理后臺(tái)。

(4) 應(yīng)用層。主要為虛擬鏈對(duì)容器云平臺(tái)的安全防護(hù)系列功能，功能包括：容器數(shù)據(jù)加密、容器分發(fā)、日志監(jiān)控、生成容器授權(quán)令牌。

3.3 容器云安全虛擬鏈的應(yīng)用功能點(diǎn)

(1) 容器運(yùn)行日志存證。容器的運(yùn)行過程被云端平臺(tái)以日志的形式記錄，將容器運(yùn)行過程的日志信息進(jìn)行有效存證，當(dāng)發(fā)生容器安全事件后，管理員可調(diào)用區(qū)塊鏈瀏覽器查詢?nèi)萜鞯娜罩居涗洠ㄎ晃ｋU(xiǎn)容器所對(duì)應(yīng)的鏈上交易ID，進(jìn)而輔助排查容器對(duì)應(yīng)的危險(xiǎn)數(shù)據(jù)。

(2) 容器生命周期管理。容器從生成、運(yùn)行到最后關(guān)閉是一個(gè)完整的IT 應(yīng)用使用周期，將容器的全生命周期進(jìn)行區(qū)塊鏈存證，有助于監(jiān)控容器的運(yùn)行過程，精確統(tǒng)計(jì)系統(tǒng)運(yùn)行過程中生成的容器數(shù)量及種類，單一容器的使用過程也可通過區(qū)塊鏈技術(shù)實(shí)現(xiàn)有效記錄。

(3) 容器分發(fā)。結(jié)合虛擬鏈所具備的智能合約，設(shè)定生成容器的分發(fā)規(guī)則，基于智能合約完成容器云賬戶的分發(fā)。容器云平臺(tái)上搭建的虛擬鏈匹配智能合約，設(shè)置基于區(qū)塊鏈技術(shù)的容器分發(fā)賬戶來統(tǒng)一實(shí)現(xiàn)容器數(shù)據(jù)的分發(fā)。智能合約設(shè)置的程序規(guī)則，可從技術(shù)上提升容器數(shù)據(jù)生成的有效性，容器的生成由虛擬鏈的智能合約程序產(chǎn)生，智能合約的實(shí)現(xiàn)邏輯具有不可篡改性。區(qū)塊鏈虛擬鏈賬戶生成的容器，每個(gè)容器匹配唯一的容器ID，虛擬鏈對(duì)生成容器進(jìn)行管理。

(4) 容器生成授權(quán)。容器云平臺(tái)生成容器會(huì)占用一定的云端資源，用來執(zhí)行云端平臺(tái)運(yùn)行的程序指令，記錄容器云平臺(tái)生成的數(shù)據(jù)。虛擬鏈生成的區(qū)塊鏈賬戶將對(duì)容器的生成過程進(jìn)行統(tǒng)一管理，因此，基于虛擬鏈容器生成賬戶的權(quán)限管理具有較高的重要性。應(yīng)用非對(duì)稱加密技術(shù)對(duì)區(qū)塊鏈容器生成賬戶進(jìn)行管理，系統(tǒng)管理員持有私鑰，在容器云平臺(tái)運(yùn)行過程中，需要新增容器則管理員通過私鑰授權(quán)虛擬鏈執(zhí)行容器生成指令。

(5) 定位危險(xiǎn)容器。當(dāng)發(fā)生容器云安全事件后，通過排查危險(xiǎn)容器的參數(shù)并結(jié)合鏈上的哈希索引，可實(shí)現(xiàn)快速定位危險(xiǎn)容器，系統(tǒng)及時(shí)處理計(jì)算機(jī)病毒或正在遭受網(wǎng)絡(luò)攻擊的危險(xiǎn)容器。

4 結(jié)束語

區(qū)塊鏈技術(shù)以其獨(dú)有的上鏈數(shù)據(jù)不可篡改，多節(jié)點(diǎn)數(shù)據(jù)同步的特性，在容器云安全領(lǐng)域，區(qū)塊鏈具備對(duì)容器數(shù)據(jù)進(jìn)行存證，對(duì)容器數(shù)據(jù)進(jìn)行認(rèn)證，對(duì)容器生命周期進(jìn)行管理的潛力。

區(qū)塊鏈技術(shù)在容器云安全領(lǐng)域的應(yīng)用建議。

(1) 云計(jì)算是集中式網(wǎng)絡(luò)的代表性技術(shù)，區(qū)塊鏈技術(shù)是分布式網(wǎng)絡(luò)的重要技術(shù)，探索云上建立區(qū)塊鏈應(yīng)用的模式是集中式網(wǎng)絡(luò)與分布式技術(shù)融合應(yīng)用的試點(diǎn)方向。

(2) 探索區(qū)塊鏈技術(shù)架構(gòu)層級(jí)與云計(jì)算PAAS層級(jí)軟件的融合應(yīng)用點(diǎn)，以實(shí)現(xiàn)減少區(qū)塊鏈物理節(jié)點(diǎn)的搭建，進(jìn)一步發(fā)揮云計(jì)算平臺(tái)強(qiáng)大的計(jì)算能力。

(3) 拓展云端虛擬鏈在容器云安全領(lǐng)域的應(yīng)用場(chǎng)景，深化虛擬鏈對(duì)容器云平臺(tái)危險(xiǎn)數(shù)據(jù)存證，容器生命周期追溯，智能合約排查危險(xiǎn)容器方面的應(yīng)用探索。

(4) 設(shè)計(jì)云端平臺(tái)專用共識(shí)機(jī)制。虛擬化節(jié)點(diǎn)與物理實(shí)體節(jié)點(diǎn)使用相同共識(shí)機(jī)制存在兼容性問題，開發(fā)虛擬網(wǎng)絡(luò)環(huán)境下的區(qū)塊鏈共識(shí)機(jī)制，有助于提升虛擬鏈共識(shí)效率。