CN113742711A - 容器访问的方法和装置 - Google Patents
容器访问的方法和装置 Download PDFInfo
- Publication number
- CN113742711A CN113742711A CN202011126234.2A CN202011126234A CN113742711A CN 113742711 A CN113742711 A CN 113742711A CN 202011126234 A CN202011126234 A CN 202011126234A CN 113742711 A CN113742711 A CN 113742711A
- Authority
- CN
- China
- Prior art keywords
- container
- user
- address
- access
- authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000013475 authorization Methods 0.000 claims abstract description 43
- 238000012795 verification Methods 0.000 claims abstract description 33
- 238000004590 computer program Methods 0.000 claims description 9
- 230000001172 regenerating effect Effects 0.000 claims description 7
- 238000009417 prefabrication Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000092161 Pithys Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种容器访问的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:接收用户发来的容器访问请求,并返回已经授权的容器地址列表;根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;若校验不通过,则从已经授权的容器地址列表中删除第一容器地址,并将删除后的已经授权的容器地址列表返回给用户,以使用户进行再次选择,直至用户对所选择的第二容器地址的操作权限校验通过;根据第二容器地址访问第二容器。该实施方式解决了容器更新镜像或者配置更新后,容器地址发生漂移或者保持不变,运行环境回到初始状态情况下存在的授权和使用问题,避免了泄露和提前预制超级用户的危险,提高了安全性和便利性。
Description
技术领域
本发明涉及计算机技术领域,尤其设计一种容器访问的方法和装置。
背景技术
堡垒机***在***测试、开发和运维过程中,作用巨大,主要提供用户对业务部署所在机器的一些命令、指令操作。使用容器来部署业务的技术较之使用物理机、虚拟机来部署的技术要更轻量化、资源利用率更高效。当前堡垒机注册用户通用的方法是在物理机、虚拟机或者容器中预先制定一个超级账户,然后在需要对某个用户进行授权的时候,由该指定的账户,使用超级账户注入。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
在使用容器部署业务的场景下,容器更换镜像或者更新配置以后,发生重启,容器地址发生变化,原有地址发生漂移,此时对该容器原有的地址仍然可以进行管理员登陆执行命令操作,具有极大的安全隐患;在物理机、虚拟机或者容器中预制超级用户及权限,可能会因超级用户的密码或者密钥的泄露而带来安全问题。
发明内容
有鉴于此,本发明实施例提供一种访问容器的方法和装置,能够解决在容器部署场景下,容器更新镜像或者配置更新后,容器地址发生漂移或者保持不变,容器的运行状态回到初始状态情况下,堡垒机***存在的授权和使用问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种容器访问的方法。
一种容器访问的方法,包括,接收用户发来的容器访问请求,并返回已经授权的容器地址列表;根据所述用户选择的第一容器地址,校验所述用户对所述第一容器地址的操作权限;若校验不通过,则从所述已经授权的容器地址列表中删除所述第一容器地址,并将删除后的已经授权的容器地址列表返回给所述用户,以使所述用户进行再次选择,直至所述用户对所选择的第二容器地址的操作权限校验通过;根据所述第二容器地址访问第二容器。
可选地,所述方法通过以下方式进行用户对容器的操作授权:接收用户发来的容器操作授权请求,所述容器操作授权请求包括用户信息和请求授权的容器地址信息;根据所述用户信息和所述容器地址信息,校验所述用户是否具有容器的操作权限;若是,则生成密钥对,并将密钥对中的公钥注入所述容器;将登录方式和令牌返回给所述用户以完成操作授权。
可选地,所述容器访问请求包括所述用户的令牌,并且,在返回已经授权的容器地址列表之前,还包括:
根据所述令牌对用户进行身份校验。
可选地,根据所述第二容器地址访问第二容器包括:根据所述第二容器地址,使用密钥对中的私钥登录所述第二容器以访问所述第二容器,所述密钥对是在进行用户对容器的操作授权时生成的;若登录失败,则重新生成密钥对,并把重新生成的密钥对中的公钥注入到所述第二容器,使用重新生成的密钥对中的私钥登录所述第二容器来访问所述第二容器。
根据本发明实施例的另一方面,提供了一种容器访问的装置。
一种容器访问的装置,所述装置包括:访问请求模块,用于接收用户发来的容器访问请求,并返回已经授权的容器地址列表;权限校验模块,用于根据所述用户选择的第一容器地址,校验所述用户对所述第一容器地址的操作权限;容器选择模块,用于若校验不通过,则从所述已经授权的容器地址列表中删除所述第一容器地址,并将删除后的已经授权的容器地址列表返回给所述用户,以使所述用户进行再次选择,直至所述用户对所选择的第二容器地址的操作权限校验通过;容器访问模块,根据所述第二容器地址访问第二容器。
可选地,所述方法通过以下方式进行用户对容器的操作授权:接收用户发来的容器操作授权请求,所述容器操作授权请求包括用户信息和请求授权的容器地址信息;根据所述用户信息和所述容器地址信息,校验该所述用户是否具有容器的操作权限;若是,则生成密钥对,并将密钥对中的公钥注入所述容器;将登录方式和令牌返回给所述用户以完成授权。
可选地,所述容器访问请求包括所述用户的令牌,并且,所述装置还包括令牌校验模块,用于:
在返回已经授权的容器地址列表之前,根据所述令牌对用户进行身份校验。
可选地,所述容器访问模块还用于:根据所述第二容器地址,使用密钥对中的私钥登录所述第二容器以访问所述第二容器,所述密钥对是在进行用户对容器的操作授权时生成的;若登录失败,则重新生成密钥对,并把重新生成的密钥对中的公钥注入到所述第二容器,使用重新生成的密钥对中的私钥登录所述第二容器来访问所述第二容器。
根据本发明实施例的又一方面,提供了一种容器访问的电子设备。
一种容器访问的电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例所提供的容器访问的方法。
根据本发明实施例的再一方面,提供了一种计算机可读介质。
一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例所提供的容器访问的方法。
上述发明中的一个实施例具有如下优点或有益效果:通过接收用户发来的容器访问请求,并返回已经授权的容器地址列表;根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;若校验不通过,则从已经授权的容器列表中删除第一容器地址,并将删除后的已经授权的容器地址列表返回给用户,以使用户进行再次选择,直至用户对所选择的第二容器地址的操作权限校验通过;根据第二容器地址访问第二容器,解决了在容器部署场景下,容器更新镜像或者配置更新后,容器地址发生漂移或者保持不变时,容器运行环境回到初始状态情况下,堡垒机***存在的授权和使用问题,实现了在容器更新镜像或者配置更新后,安全访问容器并执行一系列操作的目的,提升了安全性,避免了密码泄露和提前预制超级用户的风险。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的容器访问方法的主要步骤示意图;
图2是本发明一个实施例的进行用户对容器的授权申请的处理流程示意图;
图3是本发明实施例的容器访问方法的架构设计示意图;
图4是根据本发明一个实施例的容器访问方法的具体流程示意图;
图5是根据本发明实施例的容器访问装置的主要模块示意图;
图6是本发明实施例可以应用于其中的示例性***架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机***的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
堡垒机***,也称为跳板机***,在***测试、开发和运维过程中,作用巨大。主要提供用户对业务部署所在机器的一些命令操作、指令操作,主要包括用户操作行为的记录和审计、安全止损、违规操作的发现和禁用等。使用容器来部署业务的技术较之之前使用物理机、虚拟机来部署的技术要更轻量化、资源利用率更高效,结合镜像实现了一次构建,处处运行的目的,以其独到的优势,容器技术得到迅速的普及和使用。
在使用容器部署业务的场景下,存在两个问题:容器更换镜像或者更新配置以后,发生重启,容器地址发生变化,原有容器地址发生漂移。由于用户是通过容器地址来进行授权,且容器地址是表征用户权限和用户账号的唯一要诀。在重启之前,已经授权成功,就表示该用户对该容器地址有使用管理员登录执行命令操作的权限。重启之后,容器当前的地址发生改变,原有的容器地址漂移,用户发现此时对该容器原有的地址仍然可以进行管理员登录执行命令操作,这是因为这个映射已经在堡垒机***中标记,在容器地址漂移后,仍然会去注入该用户的操作权限;在物理机、虚拟机或者容器中预制超级用户及权限,存在的巨大安全问题就是关于这个超级用户的密码或者密钥的泄露。
为了解决现有技术中存在的以上技术问题,本发明提供了一种容器访问的方法和装置,添加授权接口,授权的私钥、密钥随机生成,且加盐处理,避免泄露和提前预制超级用户的风险;在用户登录访问容器的时候,对该用户对该容器的操作执行权限校验,确认该用户是否具有对该容器的操作权限;当容器重启后,如果容器地址未发生变化,自动对该用户和该容器授权;如果容器地址发生变化,需要用户重新提交对新容器地址的操作权限的申请。
图1是根据本发明实施例的容器访问方法的主要步骤示意图。如图1所示,本发明实施例的容器访问的方法中,主要包括如下的步骤S101至步骤S104。
步骤S101:接收用户发来的容器访问请求,并返回已经授权的容器地址列表;
步骤S102:根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;
步骤S103:若校验不通过,则从已经授权的容器地址列表中删除第一容器地址,并将删除后的已经授权的容器地址列表返回给所用户,以使用户进行再次选择,直至用户对所选择的第二容器地址的操作权限校验通过;
步骤S104:根据第二容器地址访问第二容器。
根据上述的步骤S101至步骤S104,在用户需要访问容器的时候,对该用户对该容器的操作权限执行校验;如果容器地址未发生变化,自动对该用户和该容器地址授权;如果容器地址发生变化,需要用户重新提交对新容器地址的操作权限的申请。在容器更新镜像或者配置更新后,容器地址发生漂移情况下,能够防止用户登录以前的容器地址,解决了在容器部署场景下,容器更新镜像或者配置更新后,容器地址发生漂移或者保持不变时,容器运行环境回到初始状态情况下,堡垒机***存在的授权和使用问题,实现了在容器更新镜像或者配置更新后,安全访问容器并执行一系列操作的目的,避免了密码泄露和提前预制超级用户的风险,提升了安全性。
根据本发明的一个实施例,通过以下方式进行用户对容器的操作授权:接收所述用户发来的容器访问授权请求,所述容器访问授权请求包括用户信息和请求授权的容器地址信息;根据所述用户信息和所述容器地址信息校验该所述用户是否具有容器的操作权限;若是,则生成密钥对,并将密钥对中的公钥注入所述容器;将登录方式和令牌返回给所述用户以完成授权。
根据本发明的另一个实施例,容器访问请求还包括用户的令牌,并且,在返回已经授权的容器地址列表之前,还包括根据令牌对用户进行身份校验。
根据本发明的又一个实施例,根据第二容器地址访问第二容器还包括根据第二容器地址,使用密钥对中的私钥登录第二容器以访问第二容器;若访问失败,则重新生成密钥对,并把重新生成的密钥对中的公钥注入到第二容器,使用重新生成的密钥对中的私钥登录第二容器来访问第二容器。
图2是本发明一个实施例的进行用户对容器的授权申请的处理流程示意图。根据本发明的技术方案,对用户对容器的操作授权申请的处理流程如图2所示,主要包括:
1、将用户信息、用户请求操作的容器的ip信息打包成请求,向堡垒机发送授权请求;
2、堡垒机根据用户信息,ip信息,进行校验,确认该用户具有该ip的操作权限;
3、堡垒机动态生成容器的密钥对,将密钥对中的公钥注入该容器,并记录用户信息、ip信息、加密后的密钥对之间的对应关系;
4、返回用户访问该容器的登录方式和令牌,从而完成操作授权。
图3是本发明实施例的容器访问方法的架构设计示意图。如图3所示,其中示出了用户通过堡垒机***对目标容器进行访问等操作的***架构。根据本发明的技术方案,结合容器访问方法的架构图,进行容器访问的流程主要包括:
1、用户请求访问目标容器时,会将对目标容器的操作指令和用户令牌token封装为容器访问请求,并发送给堡垒机***以进行权限校验;
2、堡垒机校验用户令牌,校验通过以后,返回用户已经授权的容器的地址列表(ip列表)供用户选择。其中,在堡垒机对用户进行授权时,已保存了用户信息与已授权的容器的ip信息之间的对应关系,故而可根据该对应关系来获取该用户的已经授权的容器的ip列表;
3、用户选择指定容器的ip来进行操作,例如是安全止损或者其它操作;
4、堡垒机校验该用户对其选择的ip的操作权限。如果该容器已经发生ip漂移,说明堡垒机不再具有对该ip的操作权限,则从已经授权的容器的ip列表中删除该用户选择的ip,并将删除后的ip列表返回给该用户;
5、如果该容器的ip没有发生变化,说明该容器未发生ip漂移,则从堡垒机***存储的信息中,获取该容器的ip对应的ip信息(例如包括:该ip属于哪个应用、哪个业务组、哪个部门,等等)、用户信息(例如包括:该用户对该容器中部署的应用是否有权限、该用户属于哪个部门,等等),注入公钥到该容器。然后,通过私钥和用户发来的容器访问请求访问该容器并执行操作,返回用户操作结果。
图4是根据本发明一个实施例的容器访问方法的主要流程示意图。如图4,在本发明的实施例中,容器访问方法的主要流程包括:
1、用户使用令牌,向堡垒机***发起登录请求;
2、堡垒机校验令牌,获取该用户的用户信息,包括该用户已经授权的ip列表,并返回该列表;
3、用户选择要访问的容器的ip,并发起操作请求;
4、堡垒机接收到指定的ip操作请求,根据用户信息、ip信息,校验该用户对该ip的操作权限。如果该用户没有该ip的操作权限,说明用户对容器进行了初始化更新,ip发生漂移,则在已授权列表中删除该ip,并返回已授权列表,供用户二次选择;如果该用户有该ip的操作权限,则尝试登录该ip,执行操作;
5、如果堡垒机使用私钥登录ip失败,说明容器发生了初始化重启且ip没有发生漂移,即保留了原先的ip,此时,堡垒机对该ip进行密钥二次注入操作。其中,密钥二次注入操作指的是:堡垒机***重新生成密钥对,然后,公钥私钥加密存储到数据库中,再把公钥注入到该ip对应的容器中;
6、当堡垒机***对用户和ip的操作权限校验通过后,便进入容器执行用户请求的操作,并最终返回执行结果。
图5是根据本发明实施例的容器访问的主要模块示意图。如图5所示,本发明实施例的容器访问装置500主要包括访问请求模块501、权限校验模块502、容器选择模块503和容器访问模块504。
访问请求模块501,用于接收用户发来的容器访问请求,并返回已经授权的容器地址列表;
权限校验模块502,用于根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;
容器选择模块503,用于若校验不通过,则从已经授权的容器地址列表中删除第一容器地址,并将删除后的已经授权的容器地址列表返回给用户,以使用户进行再次选择,直至用户对所选择的第二容器地址的操作权限校验通过;
容器访问模块504,用于根据第二容器地址访问第二容器。
根据本发明的一个实施例,所述用户通过以下方式进行用户对容器的操作授权:
接收用户发来的容器操作授权请求,容器操作授权请求包括用户信息和请求授权的容器地址信息;根据用户信息和容器地址信息校验该用户是否具有容器的操作权限;若是,则生成密钥对,并将密钥对中的公钥注入容器;将登录方式和令牌返回给用户以完成授权。
根据本发明的另一个实施例,容器访问请求包括所述用户的令牌,并且,所述装置还包括令牌校验模块(图中未示出),用于:
在返回已经授权的容器地址列表之前,根据所述令牌对用户进行身份校验。
根据本发明的又一个实施例,所述容器访问模块504还可以用于:
根据第二容器地址,使用密钥对中的私钥登陆第二容器以登录第二容器;所述密钥对是在进行用户对容器的操作授权时生成的;若登录失败,则重新生成密钥对,并把重新生成的密钥对中的公钥注入到第二容器,使用重新生成的密钥对中的私钥登陆第二容器来访问第二容器。
根据本发明实施例的技术方案,采用接收用户发来的容器访问请求,并返回已经授权的容器地址列表;根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;若校验不通过,则从已经授权的容器地址列表中删除所述第一容器地址,并将删除后的已经授权的容器地址列表返回给用户,以使用户进行再次选择,直至用户对所选择的第二容器地址的操作权限校验通过;根据第二容器地址访问第二容器进行容器访问的技术手段,解决了在容器部署场景下,容器更新镜像或者配置更新后,容器地址发生漂移或者保持不变,容器的运行环境回到初始状态情况下,堡垒机***存在的授权和使用问题。实现了在容器更新镜像或者配置更新后,安全访问容器并执行一系列操作的目的,提升了安全性,避免了密码泄露和提前预制超级用户的风险。
图6示出了可以应用本发明实施例的容器访问的方法或容器访问装置的示例性***架构600。
如图6所示,***架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种客户端应用,例如容器管理工具、运维类应用、测试类应用、权限设置工具、软件开发类应用等。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所进行的权限判断的后台管理服务器。后台管理服务器可以对接收到的容器地址访问请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本发明实施例所提供的容器访问的方法一般由服务器605执行,相应地,容器访问的装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备或服务器的计算机***700的结构示意图。图7示出的终端设备或服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机***700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有***700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的***中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括访问请求模块、权限校验模块、容器选择模块、容器访问模块。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定,例如,访问请求模块还可以被描述为“用于接收用户发来的容器访问请求,并返回已经授权的容器地址列表的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:接收用户发来的容器访问请求,并返回已经授权的容器地址列表;根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;若校验不通过,则从已经授权的容器地址列表中删除第一容器地址,并将删除后的已经授权的容器地址列表返回给用户,以使用户进行再次选择,直至所述用户对所选择的第二容器地址的操作权限校验通过;根据第二容器地址访问第二容器。
根据本发明实施例的技术方案,采用接收用户发来的容器访问请求,并返回已经授权的容器地址列表;根据用户选择的第一容器地址,校验用户对第一容器地址的操作权限;若校验不通过,则从已经授权的容器地址列表中删除第一容器地址,并将删除后的已经授权的容器地址列表返回给用户,以使用户进行再次选择,直至所述用户对所选择的第二容器地址的操作权限校验通过;根据第二容器地址访问第二容器的技术手段,解决了在容器部署场景下,容器更新镜像或者配置更新后,容器地址发生漂移或者保持不变,运行环境回到初始状态情况下存在的授权和使用问题,避免了泄露和提前预制超级用户的危险,提高了安全性和便利性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种容器访问的方法,其特征在于,包括:
接收用户发来的容器访问请求,并返回已经授权的容器地址列表;
根据所述用户选择的第一容器地址,校验所述用户对所述第一容器地址的操作权限;
若校验不通过,则从所述已经授权的容器地址列表中删除所述第一容器地址,并将删除后的已经授权的容器地址列表返回给所述用户,以使所述用户进行再次选择,直至所述用户对所选择的第二容器地址的操作权限校验通过;
根据所述第二容器地址访问第二容器。
2.根据权利要求1所述的方法,其特征在于,所述方法通过以下方式进行用户对容器的操作授权:
接收用户发来的容器操作授权请求,所述容器操作授权请求包括用户信息和请求授权的容器地址信息;
根据所述用户信息和所述容器地址信息,校验所述用户是否具有容器的操作权限;
若是,则生成密钥对,并将密钥对中的公钥注入所述容器;
将登录方式和令牌返回给所述用户以完成操作授权。
3.根据权利要求1或2所述的方法,其特征在于,所述容器访问请求包括所述用户的令牌,并且,在返回已经授权的容器地址列表之前,还包括:
根据所述令牌对用户进行身份校验。
4.根据权利要求1或2所述的方法,其特征在于,根据所述第二容器地址访问第二容器包括:
根据所述第二容器地址,使用密钥对中的私钥登录所述第二容器以访问所述第二容器,所述密钥对是在进行用户对容器的操作授权时生成的;
若登录失败,则重新生成密钥对,并把重新生成的密钥对中的公钥注入到所述第二容器,使用重新生成的密钥对中的私钥登录所述第二容器来访问所述第二容器。
5.一种容器访问的装置,其特征在于,包括:
访问请求模块,用于接收用户发来的容器访问请求,并返回已经授权的容器地址列表;
权限校验模块,用于根据所述用户选择的第一容器地址,校验所述用户对所述第一容器地址的操作权限;
容器选择模块,用于若校验不通过,则从所述已经授权的容器地址列表中删除所述第一容器地址,并将删除后的已经授权的容器地址列表返回给所述用户,以使所述用户进行再次选择,直至所述用户对所选择的第二容器地址的操作权限校验通过;
容器访问模块,根据所述第二容器地址访问第二容器。
6.根据权利要求5所述的装置,其特征在于,所述方法通过以下方式进行用户对容器的操作授权:
接收用户发来的容器操作授权请求,所述容器操作授权请求包括用户信息和请求授权的容器地址信息;
根据所述用户信息和所述容器地址信息,校验该所述用户是否具有容器的操作权限;
若是,则生成密钥对,并将密钥对中的公钥注入所述容器;
将登录方式和令牌返回给所述用户以完成授权。
7.根据权利要求5或6所述的装置,其特征在于,所述容器访问请求包括所述用户的令牌,并且,所述装置还包括令牌校验模块,用于:
在返回已经授权的容器地址列表之前,根据所述令牌对用户进行身份校验。
8.根据权利要求5或6所述的装置,其特征在于,所述容器访问模块还用于:
根据所述第二容器地址,使用密钥对中的私钥登录所述第二容器以访问所述第二容器,所述密钥对是在进行用户对容器的操作授权时生成的;
若登录失败,则重新生成密钥对,并把重新生成的密钥对中的公钥注入到所述第二容器,使用重新生成的密钥对中的私钥登录所述第二容器来访问所述第二容器。
9.一种容器访问的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-4中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011126234.2A CN113742711A (zh) | 2020-10-20 | 2020-10-20 | 容器访问的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011126234.2A CN113742711A (zh) | 2020-10-20 | 2020-10-20 | 容器访问的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113742711A true CN113742711A (zh) | 2021-12-03 |
Family
ID=78728038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011126234.2A Pending CN113742711A (zh) | 2020-10-20 | 2020-10-20 | 容器访问的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113742711A (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1384642A (zh) * | 2001-04-29 | 2002-12-11 | 华为技术有限公司 | 在简单网络管理协议上增加用户安全验证的方法 |
CN101771677A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种向访问用户提供资源的方法、服务器和*** |
WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
CN106851699A (zh) * | 2015-12-04 | 2017-06-13 | 展讯通信(上海)有限公司 | 一种备选小区列表维护方法及***以及移动终端 |
CN107948203A (zh) * | 2017-12-29 | 2018-04-20 | 平安科技(深圳)有限公司 | 一种容器登录方法、应用服务器、***及存储介质 |
CN108810006A (zh) * | 2018-06-25 | 2018-11-13 | 百度在线网络技术(北京)有限公司 | 资源访问方法、装置、设备及存储介质 |
CN109150910A (zh) * | 2018-10-11 | 2019-01-04 | 平安科技(深圳)有限公司 | 登录令牌生成及验证方法、装置及存储介质 |
US10225084B1 (en) * | 2015-12-29 | 2019-03-05 | EMC IP Holding Company LLC | Method, apparatus and computer program product for securely sharing a content item |
CN109600366A (zh) * | 2018-12-06 | 2019-04-09 | 中链科技有限公司 | 基于区块链的保护用户数据隐私的方法及装置 |
CN111490981A (zh) * | 2020-04-01 | 2020-08-04 | 广州虎牙科技有限公司 | 访问管理方法、装置、堡垒机及可读存储介质 |
CN111784887A (zh) * | 2019-11-29 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 一种用户访问的授权放行方法、装置以及*** |
-
2020
- 2020-10-20 CN CN202011126234.2A patent/CN113742711A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1384642A (zh) * | 2001-04-29 | 2002-12-11 | 华为技术有限公司 | 在简单网络管理协议上增加用户安全验证的方法 |
CN101771677A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种向访问用户提供资源的方法、服务器和*** |
WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
CN106851699A (zh) * | 2015-12-04 | 2017-06-13 | 展讯通信(上海)有限公司 | 一种备选小区列表维护方法及***以及移动终端 |
US10225084B1 (en) * | 2015-12-29 | 2019-03-05 | EMC IP Holding Company LLC | Method, apparatus and computer program product for securely sharing a content item |
CN107948203A (zh) * | 2017-12-29 | 2018-04-20 | 平安科技(深圳)有限公司 | 一种容器登录方法、应用服务器、***及存储介质 |
CN108810006A (zh) * | 2018-06-25 | 2018-11-13 | 百度在线网络技术(北京)有限公司 | 资源访问方法、装置、设备及存储介质 |
CN109150910A (zh) * | 2018-10-11 | 2019-01-04 | 平安科技(深圳)有限公司 | 登录令牌生成及验证方法、装置及存储介质 |
CN109600366A (zh) * | 2018-12-06 | 2019-04-09 | 中链科技有限公司 | 基于区块链的保护用户数据隐私的方法及装置 |
CN111784887A (zh) * | 2019-11-29 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 一种用户访问的授权放行方法、装置以及*** |
CN111490981A (zh) * | 2020-04-01 | 2020-08-04 | 广州虎牙科技有限公司 | 访问管理方法、装置、堡垒机及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6987931B2 (ja) | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス | |
CN111052706B (zh) | 将单点登录扩展到联合登录提供者的依赖方的方法 | |
CN109074274B (zh) | 用于虚拟浏览器集成的计算装置、方法和计算机可读媒体 | |
KR102036758B1 (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
JP6539357B2 (ja) | ハイブリッドクラウドサービスのためのパスワードの暗号化 | |
JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
JP6222592B2 (ja) | モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証 | |
JP6374953B2 (ja) | コンテキストによるモバイルデバイスのロック | |
JP7189944B2 (ja) | セキュアな環境内のツール用のセキュアなアクセス管理方法、コンピュータ・プログラム、およびシステム | |
CN112789841A (zh) | 在远程访问或基于云的网络环境中访问资源 | |
CN111600906B (zh) | 数据处理方法、装置、***、介质及程序 | |
US11005847B2 (en) | Method, apparatus and computer program product for executing an application in clouds | |
CN111566619A (zh) | 虚拟桌面中的本地映射账户 | |
CN111066307A (zh) | 包装延续令牌以支持跨不同地理位置的多个服务器的分页 | |
US11366883B2 (en) | Reflection based endpoint security test framework | |
JP7027612B2 (ja) | ヘルパを介したクライアントデバイスの匿名セッションへの接続 | |
US11947660B2 (en) | Securing pods in a container orchestration environment | |
CN113574837A (zh) | 跟踪客户端设备上的图像发送者 | |
CN113055186B (zh) | 一种跨***的业务处理方法、装置及*** | |
CN108259414B (zh) | 一种虚拟资源的管控方法及服务器 | |
CN113742711A (zh) | 容器访问的方法和装置 | |
JP2024501752A (ja) | 鍵付きハッシュメッセージ認証コードの鍵マテリアルとしての属性ベースの暗号化鍵ユーザ認証および認可 | |
CN113114464A (zh) | 统一安全管理***及身份认证方法 | |
KR102331899B1 (ko) | 부팅 중 통신 모듈 적용을 통한 원격 터미널 접속을 위한 방법 및 시스템 | |
CN118278037A (zh) | 数据访问方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |