针对现有可信容器框架在多租户场景下缺乏密钥保护的问题，提出一种基于可信平台模块TPM的可信容器分层密钥管理方法TCKM。首先，利用分层密钥管理机制，绑定TPM与容器密钥块，保护容器密钥块生成与存储的安全。其次，通过基于容器属性的密钥授权值在密钥使用时验证容器属性，使得只有满足一定属性的指定容器能够获取并使用密钥，防止容器密钥块的盗用，实现密钥的安全使用。最后，采用内核与硬件TPM相结合的加密方式提高基于TCKM密钥管理方法的数据保护效率。实现了TCKM密钥管理方法并基于Docker18.09进行测试与评估，测试结果表明，方案以较小的性能开销保护可信容器内密钥的安全及文件数据的机密性，具有很好安全性和数据保护效率。

• 单位
  武汉大学