CN111399980A - 容器编排器的安全认证方法、装置及系统 - Google Patents

容器编排器的安全认证方法、装置及系统 Download PDF

Info

Publication number
CN111399980A
CN111399980A CN202010182465.9A CN202010182465A CN111399980A CN 111399980 A CN111399980 A CN 111399980A CN 202010182465 A CN202010182465 A CN 202010182465A CN 111399980 A CN111399980 A CN 111399980A
Authority
CN
China
Prior art keywords
terminal
certificate
authority
access
authority certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010182465.9A
Other languages
English (en)
Inventor
陈璐
陶冶
刘伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202010182465.9A priority Critical patent/CN111399980A/zh
Publication of CN111399980A publication Critical patent/CN111399980A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs

Abstract

本申请公开了一种容器编排器的安全认证方法和装置,所述方法包括:接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限;若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系;将所述权限凭证发送至所述终端。针对用户不同需求提供了相应的权限,避免如果提供给用户和组的权限不符合其特定需求,则恶意用户可能会影响或破坏由容器编排器的其他容器的操作的情况发生。

Description

容器编排器的安全认证方法、装置及系统
技术领域
本申请属于容器技术领域,具体涉及一种容器编排器的安全认证方法及装置。
背景技术
目前容器安全在编排管理部分存在的威胁仍然很大,主要是因为无限制的管理访问,未授权的访问等。许多容器编排器的设计假定所有与之交互的用户都是管理员,而那些管理员应该拥有全环境控制权。然而,在许多实例中,一个容器编排器可以运行许多不同的应用程序,由不同的团队管理,具有不同的敏感度级别。如果提供给用户和组的访问权限不符合其特定需求,则恶意用户可能会影响或破坏由容器编排器管理的其他容器的操作。
以典型的容器编排器K8S(Kubernetes,一个开源的容器编排引擎)为例,其使用的API Server(Application Programming Interface Server,接口服务器)认证方式主要有:
https证书认证:基于CA根证书签名的双向数字证书认证方式;
http token认证:通过一个token来识别合法用户;
http basic认证:通过用户名密码的方式认证;
authenticating proxy:第三方授权协议。
因为一个容器编排器K8S可以运行许多不同的应用程序,由不同的团队管理,具有不同的敏感度级别,但是以上这些方法可以认证合法的用户和身份符合条件的用户,所有与之交互的用户都是管理员,因此会出现提供给用户和组的访问权限不符合其特定需求的问题。
发明内容
本申请针对现有技术中存在的上述不足,提供一种容器编排器的安全认证方法及装置。
本申请提供一种容器编排器的安全认证方法,包括:
接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限;
若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系;
将所述权限凭证发送至所述终端。
优选地,所述终端符合预设条件包括:所述终端为预设的白名单中的终端。
本申请还提供一种容器编排器的安全认证方法,包括:
接收终端发送的凭证获取请求,所述凭证获取请求中携带权限凭证,所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系;
若对所述权限凭证验证通过,则生成访问凭证,所述访问凭证包括访问标识和所述权限凭证;
将所述访问凭证发送至所述终端,以供所述终端根据所述访问凭证对所述访问对象执行期望的操作。
优选地,所述对所述权限凭证验证通过包括:获取到的权限凭证与预先存储的第一权限凭证一致。
优选地,所述对所述权限凭证验证通过之前,还包括:
接收第一服务器发送的第一权限凭证,并保存所述第一权限凭证。
本申请还提供第一服务器,包括:
接收模块,用于接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限;
生成模块,用于若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系;
发送模块,用于将所述权限凭证发送至所述终端。
优选地,所述终端符合预设条件包括所述终端为预设的白名单中的终端。
本申请还提供第二服务器,包括:
接收模块,用于接收终端发送的凭证获取请求,所述凭证获取请求中携带权限凭证,所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系;
生成模块,用于若对所述权限凭证验证通过,则生成访问凭证,所述访问凭证包括访问标识和所述权限凭证;
发送模块,用于将所述访问凭证发送至所述终端,以供所述终端根据所述访问凭证对所述访问对象执行期望的操作。
优选地,所述生成模块,用于获取到的权限凭证与预先存储的第一权限凭证一致。
优选地,还包括:
保存模块,用于接收第一服务器发送的第一权限凭证,并保存所述第一权限凭证。
本申请实施例中,接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限;若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系;将所述权限凭证发送至所述终端。第一服务器针对用户不同的访问对象和期望的操作权限生成对应需求的权限凭证,并将其发送至终端,以供终端对访问对象执行期望的操作。针对用户不同需求提供了相应的权限,避免如果提供给用户和组的权限不符合其特定需求,则恶意用户可能会影响或破坏由容器编排器的其他容器的操作的情况发生。
附图说明
图1为本申请第一实施例提供的一种容器编排器的安全认证方法的流程图;
图2为本申请第二实施例提供的一种容器编排器的安全认证方法的流程图;
图3为本申请第三实施例提供的第一服务器的结构示意图;
图4为本申请第四实施例提供的第二服务器的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。
本申请提供一种容器编排器的安全认证方法、装置。以下分别结合本申请提供的实施例的附图逐一进行详细说明。
针对现有的容器编排器的设计假定所有与之交互的用户都是管理员,而那些管理员应该拥有全环境控制权,而一个容器编排器可以运行许多不同的应用程序,因此会出现提供给用户和组的访问权限不符合其特定需求的问题。本申请第一实施例提供的一种容器编排器的安全认证方法如下:
如图1所示,其示出了本申请实施例提供的一种容器编排器的安全认证方法,包括以下步骤。
步骤101,接收终端发送的权限获取请求。
在该步骤中,第一服务器接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限。优选地,第一服务器为Authentication Server,认证服务器。此处期望的操作权限可以为访问、添加、删除等,此处不作限定。
步骤102,若终端符合预设条件,则生成权限凭证。
在该步骤中,第一服务器判断所述终端是否符合预设条件,在一些实施例中,所述终端符合预设条件包括:所述终端为预设的白名单中的终端。第一服务器若判断出终端为预设的白名单中的终端,则生成权限凭证。权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系。所述权限凭证的含义是,表示所述终端具备对所述访问对象执行期望的操作的权限。当期望的操作只为访问时,则权限凭证表示所述终端具备访问所述访问对象的权限。权限凭证中还包含“终端的网络地址,时间戳,生命时长”,时间戳和生命时长限定了权限凭证可被使用的有效时长,这些信息都被第一服务器的秘钥加密。
也就是说,本申请实施例中,针对用户的不同需求,提供相应的权限。避免了使每个用户都作为管理员,拥有全环境控制权,提供给用户的权限不符合其特定需求。
需要说明的是,第一服务器确定出终端标识、访问对象标识和期望的操作权限之间的映射关系之后,需将该终端对应的映射关系发送至第二服务器,以供第二服务器进行验证时使用。
步骤103,将权限凭证发送至终端。
在该步骤中,第一服务器将包括终端标识、访问对象标识和期望的操作权限之间的映射关系的权限凭证发送至终端。
需要说明的是,权限凭证可被终端多次使用来获取访问访问对象的权利,直至权限凭证过期(时间戳和生命时长限定了权限凭证可被使用的有效时长)。由于权限凭证是由第一服务器秘钥加密,终端无法解密,因此终端无法通过解密来修改权限凭证里面的内容。
本申请实施例中,第一服务器针对用户不同的访问对象和期望的操作权限生成对应需求的权限凭证,并将其发送至终端,终端利用与其需求对应的权限凭证从第二服务器获取访问凭证,并根据该访问凭证对访问对象执行期望的操作。针对用户不同需求提供了相应的权限,避免如果提供给用户和组的权限不符合其特定需求,则恶意用户可能会影响或破坏由容器编排器的其他容器的操作的情况发生。
本申请第二实施例提供的一种容器编排器的安全认证方法如下:
如图2所示,其示出了本申请实施例提供的一种容器编排器的安全认证方法,包括以下步骤。
步骤201,接收终端发送的凭证获取请求。
在该步骤中,第二服务器接收终端发送的凭证获取请求。所述凭证获取请求中携带权限凭证,所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系。由于权限凭证是由第一服务器秘钥加密,终端无法解密,因此终端将权限凭证传递给第二服务器的过程是安全的,因为终端无法通过解密来修改权限凭证里面的内容。优选地,第二服务器为Ticket Granting Service,票务授权服务器。
步骤202,若对权限凭证验证通过,则生成访问凭证。
在一些实施例中,所述对所述权限凭证验证通过之前,还包括:接收第一服务器发送的第一权限凭证,并保存所述第一权限凭证。第二服务器预先建立映射关系数据表,保存各个终端对应的映射关系,保存各个终端对应的终端标识、访问对象标识和期望的操作权限的映射关系。第二服务器接收第一服务器发送的第一权限凭证,并保存在映射关系数据库中。
在一些实施例中,所述对所述权限凭证验证通过包括:获取到的权限凭证与预先存储的第一权限凭证一致。当第二服务器验证出映射关系数据表中保存的第一权限凭证与所述终端发送的权限凭证一致时,则说明所述权限凭证正确,验证所述终端具备对所述访问对象执行期望的操作的权限,可以生成所述终端对应的访问凭证。所述访问凭证的含义是,终端根据所述访问凭证可以对访问对象执行期望的操作。当终端期望的操作仅为访问时,则终端根据所述访问凭证可以访所述访问对象。访问凭证与权限凭证的区别是,权限凭证表示终端有执行期望的操作的权限,而只有当有访问凭证时,才能真正进行对访问对象执行期望的操作,访问凭证可以类比于“电子票”。访问凭证包含权限凭证,访问凭证包括访问标识和权限凭证,访问标识是对访问凭证的编号。访问凭证与访问对象和终端都一一对应。
步骤203,将访问凭证发送至终端,以供终端根据访问凭证对访问对象执行期望的操作。
在该步骤中,终端将访问凭证发送至访问对象,根据访问对象返回的信息可以对访问对象执行期望的操作,当期望的操作只为访问时,可以对访问对象进行访问。
本申请实施例中,第一服务器针对用户不同的访问对象和期望的操作权限生成对应需求的权限凭证,并将其发送至终端,终端利用与其需求对应的权限凭证从第二服务器获取访问凭证,并根据该访问凭证对访问对象执行期望的操作。针对用户不同需求提供了相应的权限,避免如果提供给用户和组的权限不符合其特定需求,则恶意用户可能会影响或破坏由容器编排器的其他容器的操作的情况发生。
本申请第三实施例提供的第一服务器如下:
在第一实施例中,提供了一种容器编排器的安全认证方法,与之相对应的,本申请还提供了第一服务器,下面结合附图进行说明。
如图3所示,其示出了本申请实施例提供的第一服务器,包括以下模块。
接收模块11,用于接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限。
生成模块12,用于若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系。
发送模块13,用于将所述权限凭证发送至所述终端。
在一些实施例中,所述终端符合预设条件包括所述终端为预设的白名单中的终端。
本申请第四实施例提供的第二服务器如下:
在第二实施例中,提供了一种容器编排器的安全认证方法,与之相对应的,本申请还提供了第二服务器,下面结合附图进行说明。如图4所示,其示出了本申请实施例提供的第二服务器,包括以下模块。
接收模块21,用于接收终端发送的凭证获取请求,所述凭证获取请求中携带权限凭证,所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系。
生成模块22,用于若对所述权限凭证验证通过,则生成访问凭证,所述访问凭证包括访问标识和所述权限凭证。
发送模块23,用于将所述访问凭证发送至所述终端,以供所述终端根据所述访问凭证对所述访问对象执行期望的操作。
在一些实施例中,所述生成模块22,用于获取到的权限凭证与预先存储的第一权限凭证一致。
在一些实施例中,还包括:
保存模块,用于接收第一服务器发送的第一权限凭证,并保存所述第一权限凭证。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种容器编排器的安全认证方法,其特征在于,包括:
接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限;
若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系;
将所述权限凭证发送至所述终端。
2.根据权利要求1所述的容器编排器的安全认证方法,其特征在于,所述终端符合预设条件包括:所述终端为预设的白名单中的终端。
3.一种容器编排器的安全认证方法,其特征在于,包括:
接收终端发送的凭证获取请求,所述凭证获取请求中携带权限凭证,所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系;
若对所述权限凭证验证通过,则生成访问凭证,所述访问凭证包括访问标识和所述权限凭证;
将所述访问凭证发送至所述终端,以供所述终端根据所述访问凭证对所述访问对象执行期望的操作。
4.根据权利要求3所述的容器编排器的安全认证方法,其特征在于,所述对所述权限凭证验证通过包括:获取到的权限凭证与预先存储的第一权限凭证一致。
5.根据权利要求4所述的容器编排器的安全认证方法,其特征在于,所述对所述权限凭证验证通过之前,还包括:
接收第一服务器发送的第一权限凭证,并保存所述第一权限凭证。
6.第一服务器,其特征在于,包括:
接收模块,用于接收终端发送的权限获取请求,所述权限获取请求中携带访问对象标识和期望的操作权限;
生成模块,用于若所述终端符合预设条件,则生成权限凭证,所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系;
发送模块,用于将所述权限凭证发送至所述终端。
7.根据权利要求6所述的第一服务器,其特征在于,所述终端符合预设条件包括所述终端为预设的白名单中的终端。
8.第二服务器,其特征在于,包括:
接收模块,用于接收终端发送的凭证获取请求,所述凭证获取请求中携带权限凭证,所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系;
生成模块,用于若对所述权限凭证验证通过,则生成访问凭证,所述访问凭证包括访问标识和所述权限凭证;
发送模块,用于将所述访问凭证发送至所述终端,以供所述终端根据所述访问凭证对所述访问对象执行期望的操作。
9.根据权利要求8所述的第二服务器,其特征在于,所述生成模块,用于获取到的权限凭证与预先存储的第一权限凭证一致。
10.根据权利要求8所述的第二服务器,其特征在于,还包括:
保存模块,用于接收第一服务器发送的第一权限凭证,并保存所述第一权限凭证。
CN202010182465.9A 2020-03-16 2020-03-16 容器编排器的安全认证方法、装置及系统 Pending CN111399980A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010182465.9A CN111399980A (zh) 2020-03-16 2020-03-16 容器编排器的安全认证方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010182465.9A CN111399980A (zh) 2020-03-16 2020-03-16 容器编排器的安全认证方法、装置及系统

Publications (1)

Publication Number Publication Date
CN111399980A true CN111399980A (zh) 2020-07-10

Family

ID=71432449

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010182465.9A Pending CN111399980A (zh) 2020-03-16 2020-03-16 容器编排器的安全认证方法、装置及系统

Country Status (1)

Country Link
CN (1) CN111399980A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113065108A (zh) * 2021-04-16 2021-07-02 支付宝(杭州)信息技术有限公司 用户权限的管理、应用运行方法及装置
CN113572619A (zh) * 2021-09-22 2021-10-29 银河麒麟软件(长沙)有限公司 一种基于notary的容器云镜像可信实现方法及系统
CN115061826A (zh) * 2022-02-28 2022-09-16 华为技术有限公司 一种组件通信方法及计算设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487815A (zh) * 2016-12-21 2017-03-08 乾云众创(北京)信息科技研究院有限公司 一种基于白名单的容器运行安全验证处理方法及系统
CN107147728A (zh) * 2017-05-31 2017-09-08 莫倩 一种对象存储系统多租户的管理方法
CN107301022A (zh) * 2017-06-27 2017-10-27 北京溢思得瑞智能科技研究院有限公司 一种基于容器技术的存储访问方法及系统
CN108628658A (zh) * 2017-03-17 2018-10-09 华为技术有限公司 一种容器的许可证管理方法及装置
CN109413065A (zh) * 2018-10-25 2019-03-01 山东浪潮云信息技术有限公司 一种基于容器的集群安全管理方法
CN110781476A (zh) * 2019-10-15 2020-02-11 南京南瑞信息通信科技有限公司 一种柔性微服务安全访问控制方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487815A (zh) * 2016-12-21 2017-03-08 乾云众创(北京)信息科技研究院有限公司 一种基于白名单的容器运行安全验证处理方法及系统
CN108628658A (zh) * 2017-03-17 2018-10-09 华为技术有限公司 一种容器的许可证管理方法及装置
CN107147728A (zh) * 2017-05-31 2017-09-08 莫倩 一种对象存储系统多租户的管理方法
CN107301022A (zh) * 2017-06-27 2017-10-27 北京溢思得瑞智能科技研究院有限公司 一种基于容器技术的存储访问方法及系统
CN109413065A (zh) * 2018-10-25 2019-03-01 山东浪潮云信息技术有限公司 一种基于容器的集群安全管理方法
CN110781476A (zh) * 2019-10-15 2020-02-11 南京南瑞信息通信科技有限公司 一种柔性微服务安全访问控制方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113065108A (zh) * 2021-04-16 2021-07-02 支付宝(杭州)信息技术有限公司 用户权限的管理、应用运行方法及装置
CN113065108B (zh) * 2021-04-16 2022-05-17 支付宝(杭州)信息技术有限公司 用户权限的管理、应用运行方法及装置
CN113572619A (zh) * 2021-09-22 2021-10-29 银河麒麟软件(长沙)有限公司 一种基于notary的容器云镜像可信实现方法及系统
CN115061826A (zh) * 2022-02-28 2022-09-16 华为技术有限公司 一种组件通信方法及计算设备
CN115061826B (zh) * 2022-02-28 2024-02-13 华为技术有限公司 一种组件通信方法及计算设备

Similar Documents

Publication Publication Date Title
CN109787988B (zh) 一种身份加强认证和鉴权方法及装置
AU2017204853B2 (en) Data security service
US20210314312A1 (en) System and method for transferring device identifying information
US10382427B2 (en) Single sign on with multiple authentication factors
US8392702B2 (en) Token-based management system for PKI personalization process
US7774611B2 (en) Enforcing file authorization access
CN108964885B (zh) 鉴权方法、装置、系统和存储介质
US9172541B2 (en) System and method for pool-based identity generation and use for service access
US20090290715A1 (en) Security architecture for peer-to-peer storage system
US8566952B1 (en) System and method for encrypting data and providing controlled access to encrypted data with limited additional access
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
CN111399980A (zh) 容器编排器的安全认证方法、装置及系统
US11757877B1 (en) Decentralized application authentication
CN115277168A (zh) 一种访问服务器的方法以及装置、系统
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
US9118660B2 (en) Method and system for providing access to encrypted data files for multiple federated authentication providers and verified identities
US20090327704A1 (en) Strong authentication to a network
US20090210719A1 (en) Communication control method of determining whether communication is permitted/not permitted, and computer-readable recording medium recording communication control program
US20230016488A1 (en) Document signing system for mobile devices
US11275858B2 (en) Document signing system for mobile devices
CN104580161A (zh) 一种基于安全标识文件的软件实名认证方法和装置
CN114978771B (zh) 一种基于区块链技术的数据安全共享方法及系统
JP4219076B2 (ja) 電子文書管理方法、電子文書管理システム及び記録媒体
KR102416538B1 (ko) 전자 서명 서비스 시스템 및 그 방법
CN113424488A (zh) 用于为数字密钥对提供来源证明的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination