CN107786343A - 一种私有镜像仓库的访问方法和系统 - Google Patents

一种私有镜像仓库的访问方法和系统 Download PDF

Info

Publication number
CN107786343A
CN107786343A CN201711019517.5A CN201711019517A CN107786343A CN 107786343 A CN107786343 A CN 107786343A CN 201711019517 A CN201711019517 A CN 201711019517A CN 107786343 A CN107786343 A CN 107786343A
Authority
CN
China
Prior art keywords
mirror image
authority
token
privately owned
mirror
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711019517.5A
Other languages
English (en)
Inventor
徐健康
周庆勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Software Co Ltd
Original Assignee
Inspur Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Software Co Ltd filed Critical Inspur Software Co Ltd
Priority to CN201711019517.5A priority Critical patent/CN107786343A/zh
Publication of CN107786343A publication Critical patent/CN107786343A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种私有镜像仓库的访问方法和系统,其中,该系统包括:发送端、令牌服务器、私有镜像仓库和数据库;数据库,存储用户信息、用户信息与各个镜像权限的对应关系;令牌服务器,接收发送端发送的访问请求,访问请求中包括:目标用户信息和目标镜像权限,根据目标用户信息和目标镜像权限,以及数据库中存储的用户信息、用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当用户具有访问权限时,根据目标镜像权限,生成令牌,将携带令牌的访问请求发送给私有镜像仓库;私有镜像仓库,接收携带令牌的访问请求,对令牌进行验证,当验证通过时,响应访问请求。本发明提供的方案能够提高私有镜像仓库的安全性。

Description

一种私有镜像仓库的访问方法和系统
技术领域
本发明涉及计算机技术领域,特别涉及一种私有镜像仓库的访问方法和系统。
背景技术
Docker在企业应用中会产生大量镜像,一般通过私有镜像仓库对这些镜像进行管理。由于这些镜像涉及企业的私有信息,因此,保证私有镜像仓库的安全是必要的。
现有技术中,一般通过用户名和密码验证用户的身份。
但是,该方法导致私有镜像仓库的安全性较低。
发明内容
本发明实施例提供了一种私有镜像仓库的访问方法和系统,能够提高私有镜像仓库的安全性。
第一方面,本发明实施例提供了一种私有镜像仓库访问系统,包括:发送端、令牌服务器、私有镜像仓库和数据库;
所述数据库,用于存储用户信息、用户信息与各个镜像权限的对应关系;
所述令牌服务器,用于接收所述发送端发送的访问请求,其中,所述访问请求中包括:目标用户信息和目标镜像权限,根据所述目标用户信息和所述目标镜像权限,以及所述数据库中存储的所述用户信息、所述用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当所述用户具有访问权限时,根据所述目标镜像权限,生成令牌,将携带所述令牌的所述访问请求发送给所述私有镜像仓库;
所述私有镜像仓库,用于接收携带所述令牌的所述访问请求,对所述令牌进行验证,当验证通过时,响应所述访问请求。
优选地,
所述令牌服务器,用于判断所述用户信息中是否存在所述目标用户信息,如果是,根据所述用户信息与各个镜像权限的对应关系,确定所述目标用户信息对应的至少一个镜像权限,判断所述目标用户信息对应的至少一个镜像权限中是否存在所述目标镜像权限,当所述目标用户信息对应的至少一个镜像权限中存在所述目标镜像权限时,根据所述目标镜像权限,生成令牌。
优选地,
所述令牌服务器,进一步用于确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息;
所述令牌服务器,用于根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
优选地,
所述私有镜像仓库,进一步用于确定证书;
所述私有镜像仓库,用于利用所述证书对所述令牌中的签名信息进行验证。
优选地,
所述发送端,包括:Docker客户端,或,Web端;
优选地,
所述镜像权限为镜像与动作的组合。
第二方面,本发明实施例提供了一种基于上述任一实施例所述的私有镜像仓库访问系统的私有镜像仓库访问方法,包括:
数据库存储用户信息、用户信息与各个镜像权限的对应关系;
令牌服务器接收发送端发送的访问请求,其中,所述访问请求中包括:目标用户信息和目标镜像权限;
所述令牌服务器根据所述目标用户信息和所述目标镜像权限,以及所述数据库中存储的所述用户信息、所述用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当所述用户具有访问权限时,根据所述目标镜像权限,生成令牌;
所述令牌服务器将携带所述令牌的所述访问请求发送给私有镜像仓库;
所述私有镜像仓库接收携带所述令牌的所述访问请求,对所述令牌进行验证,当验证通过时,响应所述访问请求。
优选地,
所述所述令牌服务器根据所述目标用户信息和所述目标镜像权限,以及所述数据库中存储的所述用户信息、所述用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当所述用户具有访问权限时,根据所述目标镜像权限,生成令牌,包括:
所述令牌服务器判断所述数据库中存储的所述用户信息中是否存在所述目标用户信息,如果是,根据所述数据库中存储的所述用户信息与各个镜像权限的对应关系,确定所述目标用户信息对应的至少一个镜像权限,判断所述目标用户信息对应的至少一个镜像权限中是否存在所述目标镜像权限,当所述目标用户信息对应的至少一个镜像权限中存在所述目标镜像权限时,根据所述目标镜像权限,生成令牌。
优选地,
进一步包括:
所述令牌服务器确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息;
所述根据所述目标镜像权限,生成令牌,包括:
所述令牌服务器根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
优选地,
进一步包括:所述私有镜像仓库确定证书;
所述对所述令牌进行验证,包括:利用所述证书对所述令牌中的签名信息进行验证。
优选地,
所述镜像权限为镜像与动作的组合。
本发明实施例提供了一种私有镜像仓库的访问方法和系统,其中,在该系统中,利用令牌服务器和数据库对用户信息以及用户的访问权限进行验证,并且,通过令牌与私有镜像仓库进行相互认证,只有当完成验证、认证过程后,才能访问私有镜像仓库,与现有技术中只通过用户信息进行验证相比,能够提高私有镜像仓库的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种私有镜像仓库访问系统的结构示意图;
图2是本发明一个实施例提供的一种私有镜像仓库访问方法的流程图;
图3是本发明另一个实施例提供的一种私有镜像仓库访问方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种私有镜像仓库访问系统,包括:
发送端101、令牌服务器102、私有镜像仓库103和数据库104;
数据库104,用于存储用户信息、用户信息与各个镜像权限的对应关系;
令牌服务器102,用于接收发送端101发送的访问请求,其中,访问请求中包括:目标用户信息和目标镜像权限,根据目标用户信息和目标镜像权限,以及数据库104中存储的用户信息、用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当用户具有访问权限时,根据目标镜像权限,生成令牌,将携带令牌的访问请求发送给私有镜像仓库103;
私有镜像仓库103,用于接收携带令牌的访问请求,对令牌进行验证,当验证通过时,响应访问请求。
在该系统中,利用令牌服务器和数据库对用户信息以及用户的访问权限进行验证,并且,通过令牌与私有镜像仓库进行相互认证,只有当完成验证、认证过程后,才能访问私有镜像仓库,与现有技术中只通过用户信息进行验证相比,能够提高私有镜像仓库的安全性。
在本实施例中,私有镜像仓库是指企业级私有镜像仓库,只允许企业内部员工访问。私有镜像仓库中的镜像还可以细分为私有镜像和公有镜像,其中,私有镜像是指只有特定的员工具有镜像权限的镜像,公有镜像是指全部或多个员工具有镜像权限的镜像。例如,私有镜像仓库中存在镜像P、镜像Q,用户小李具有对镜像P和镜像Q的镜像权限,用户小王及其他员工只具有镜像Q的镜像权限,则镜像P为用户小李的私有镜像,镜像Q为公有镜像。
其中,私有镜像仓库可以通过下述方式创建:
a、安装并启动Docker软件,开放其对外访问端口;
b、下载Docker官方的私有镜像仓库;
c、创建私有镜像仓库的配置文件,用以修改私有镜像仓库的配置;
d、使用Docker数据卷方式将私有镜像仓库的配置文件挂载至私有镜像仓库内部并启动私有镜像仓库。
在实际应用场景中,令牌服务器与私有镜像仓库可通过registry接口进行通信。
在本发明的一个实施例中,发送端,包括:Docker客户端,或,Web端。用户可以通过Docker客户端或Web端对私有镜像仓库中存储的镜像进行删除、上传等操作,但是,与Docker客户端相比,Web端能够对镜像进行展示。
对于第一次通过Docker客户端访问私有镜像仓库的用户,Docker客户端向私有镜像仓库发送访问请求,私有镜像仓库识别出访问请求中没有携带令牌,将返回令牌服务器的地址,以使Docker客户端根据该地址将访问请求发送给令牌服务器。
对于第一次通过Web端访问私有镜像仓库的用户,访问请求将直接发送给令牌服务器进行处理。
为了方便用户对镜像的操作,提升操作效率。Web端可以分为如下两大模块:
(1)个人镜像模块:
登陆成功的用户将查看以该用户名称命名的命名空间下的镜像,包括镜像的标签及镜像的各层信息,实现对镜像以用户进行分类管理的功能,同时提供用户删除镜像标签功能。
(2)镜像搜索模块:
成功登陆的用户可以搜索自己和其他用户的公有镜像以供下载,对于私有镜像则只能在个人模块中查看自己所上传的私有镜像。
为了验证用户是否具有操作目标镜像的权限,在本发明的一个实施例中,令牌服务器,用于判断用户信息中是否存在目标用户信息,如果是,根据用户信息与各个镜像权限的对应关系,确定目标用户信息对应的至少一个镜像权限,判断目标用户信息对应的至少一个镜像权限中是否存在目标镜像权限,当目标用户信息对应的至少一个镜像权限中存在目标镜像权限时,根据目标镜像权限,生成令牌。
镜像权限为镜像与动作的组合。
其中,动作包括:下载,或,上传,或,删除,即用户可以对镜像进行下载、上传、删除操作。需要说明的是,用户可以对同一个镜像的权限具有以下三种情况:仅具有下载的权限,仅具有上传的权限,同时具有上传、下载和删除的权限。
数据库中存储的用户信息为已注册用户的基本信息,例如,用户名、密码等。通过用户信息验证用户是否为已注册用户,当用户为已注册用户时,对用户的操作权限进行验证,例如,目标镜像权限为“镜像A、上传”,判断数据库中存储的与该用户信息相对应的各个镜像权限中是否包括目标镜像权限,如果包括,则用户可以对镜像A进行上传,否则,拒绝响应该访问请求。
在本实施例中,一个用户信息可以对应多个镜像权限,例如,用户A能够对镜像A进行删除、对镜像A进行上传、对镜像B进行删除等。
为了与私有镜像仓库进行相互认证,在本发明的一个实施例中,所述令牌服务器,进一步用于确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息;
所述令牌服务器,用于根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
具体地,令牌的组成分为三部分:
第一部分:证书签名生成的算法,令牌生成的类型,密钥的摘要;
第二部分:仓库的名称即url,仓库的发行名称,证书的有效时间,用户的镜像权限;
第三部分:根据第一、第二部分及私钥生成的签名信息。
在实际应用场景中,可以通过使用OpenSSL(Open Secure Sockets Layer,开放式安全套接层协议)工具生成私钥和证书,分别作为客户端和服务端的认证依据,其中,证书需要放到私有镜像仓库中,以验证令牌是否携带正确的签名信息。
在本发明的一个实施例中,为了对访问请求进行验证,私有镜像仓库,进一步用于确定证书;
所述私有镜像仓库,用于利用所述证书对所述令牌中的签名信息进行验证。
如图2所示,本发明实施例提供了一种基于上述任一实施例的私有镜像仓库访问系统的私有镜像仓库访问方法,包括:
步骤201:数据库存储用户信息、用户信息与各个镜像权限的对应关系;
步骤202:令牌服务器接收发送端发送的访问请求,其中,访问请求中包括:目标用户信息和目标镜像权限;
步骤203:令牌服务器根据目标用户信息和目标镜像权限,以及数据库中存储的用户信息、用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当用户具有访问权限时,根据目标镜像权限,生成令牌;
步骤204:令牌服务器将携带令牌的访问请求发送给私有镜像仓库;
步骤205:私有镜像仓库接收携带令牌的访问请求,对令牌进行验证,当验证通过时,响应访问请求。
在本发明的一个实施例中,令牌服务器根据目标用户信息和目标镜像权限,以及数据库中存储的用户信息、用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当用户具有访问权限时,令牌服务器根据目标镜像权限,生成令牌,包括:
令牌服务器判断数据库中存储的用户信息中是否存在目标用户信息,如果是,根据数据库中存储的用户信息与各个镜像权限的对应关系,确定目标用户信息对应的至少一个镜像权限,判断目标用户信息对应的至少一个镜像权限中是否存在目标镜像权限,当目标用户信息对应的至少一个镜像权限中存在目标镜像权限时,根据目标镜像权限,生成令牌。
在本发明的一个实施例中,该方法还包括:
所述令牌服务器确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息;
根据目标镜像权限,生成令牌,包括:
所述令牌服务器根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
在本发明的一个实施例中,该方法还包括:私有镜像仓库确定证书;对令牌进行验证,包括:利用所述证书对所述令牌中的签名信息进行验证。
在本发明的一个实施例中,镜像权限为镜像与动作的组合。
如图3所示,本发明实施例以发送端为Web端为例,对私有镜像仓库的访问方法进行详细地说明,该方法包括:
步骤301:数据库存储用户信息、用户信息与各个镜像权限的对应关系。
表1
如表1所示,用户信息包括:用户名和密码,以用户001为例,其具有一个镜像权限,即对镜像M进行上传。
步骤302:令牌服务器接收Web端发送的访问请求,其中,访问请求中包括:目标用户信息和目标镜像权限。
令牌服务器接收到的目标用户信息包括:用户名002、密码X2;
目标镜像权限包括:(镜像M,下载)。
步骤303:令牌服务器判断数据库中存储的用户信息中是否存在目标用户信息,如果是,执行步骤304,否则,执行步骤310。
表1中存在用户名002、密码X2,执行步骤304。
步骤304:令牌服务器根据数据库中存储的用户信息与各个镜像权限的对应关系,确定目标用户信息对应的至少一个镜像权限。
目标用户信息对应的镜像权限为(镜像M,下载)。
步骤305:令牌服务器判断目标用户信息对应的至少一个镜像权限中是否存在目标镜像权限,如果是,执行步骤306,否则,执行步骤310。
目标用户信息对应的镜像权限与目标镜像权限相同,执行步骤306。
步骤306:令牌服务器确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息。
步骤307:令牌服务器根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
步骤308:令牌服务器将携带令牌的访问请求发送给私有镜像仓库。
步骤309:私有镜像仓库接收携带令牌的访问请求,确定证书,利用证书对令牌中的签名信息进行验证,当验证通过时,响应访问请求,终止当前流程。
当验证通过时,私有镜像仓库根据用户的访问请求,删除镜像N。
步骤310:令牌服务器拒绝用户的访问请求。
当用户没有通过验证时,拒绝用户的访问请求。
上述各步骤之间的信息交互、执行过程等内容,由于与本发明系统实施例基于同一构思,具体内容可参见本发明系统实施例中的叙述,此处不再赘述。
综上,本发明各个实施例至少具有如下效果:
1、在本发明实施例中,利用令牌服务器和数据库对用户信息以及用户的访问权限进行验证,并且,通过令牌与私有镜像仓库进行相互认证,只有当完成验证、认证过程后,才能访问私有镜像仓库,与现有技术中只通过用户信息进行验证相比,能够提高私有镜像仓库的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃····〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种私有镜像仓库访问系统,其特征在于,包括:发送端、令牌服务器、私有镜像仓库和数据库;
所述数据库,用于存储用户信息、用户信息与各个镜像权限的对应关系;
所述令牌服务器,用于接收所述发送端发送的访问请求,其中,所述访问请求中包括:目标用户信息和目标镜像权限,根据所述目标用户信息和所述目标镜像权限,以及所述数据库中存储的所述用户信息、所述用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当所述用户具有访问权限时,根据所述目标镜像权限,生成令牌,将携带所述令牌的所述访问请求发送给所述私有镜像仓库;
所述私有镜像仓库,用于接收携带所述令牌的所述访问请求,对所述令牌进行验证,当验证通过时,响应所述访问请求。
2.根据权利要求1所述的私有镜像仓库访问系统,其特征在于,
所述令牌服务器,用于判断所述用户信息中是否存在所述目标用户信息,如果是,根据所述用户信息与各个镜像权限的对应关系,确定所述目标用户信息对应的至少一个镜像权限,判断所述目标用户信息对应的至少一个镜像权限中是否存在所述目标镜像权限,当所述目标用户信息对应的至少一个镜像权限中存在所述目标镜像权限时,根据所述目标镜像权限,生成令牌。
3.根据权利要求1所述的私有镜像仓库访问系统,其特征在于,
所述令牌服务器,进一步用于确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息;
所述令牌服务器,用于根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
4.根据权利要求3所述的私有镜像仓库访问系统,其特征在于,
所述私有镜像仓库,进一步用于确定证书;
所述私有镜像仓库,用于利用所述证书对所述令牌中的签名信息进行验证。
5.根据权利要求1-4中任一所述的私有镜像仓库访问系统,其特征在于,
所述发送端,包括:Docker客户端,或,Web端;
和/或,
所述镜像权限为镜像与动作的组合。
6.一种基于上述权利要求1-5中任一所述私有镜像仓库访问系统的私有镜像仓库访问方法,其特征在于,包括:
数据库存储用户信息、用户信息与各个镜像权限的对应关系;
令牌服务器接收发送端发送的访问请求,其中,所述访问请求中包括:目标用户信息和目标镜像权限;
所述令牌服务器根据所述目标用户信息和所述目标镜像权限,以及所述数据库中存储的所述用户信息、所述用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当所述用户具有访问权限时,根据所述目标镜像权限,生成令牌;
所述令牌服务器将携带所述令牌的所述访问请求发送给私有镜像仓库;
所述私有镜像仓库接收携带所述令牌的所述访问请求,对所述令牌进行验证,当验证通过时,响应所述访问请求。
7.根据权利要求6所述的私有镜像仓库访问方法,其特征在于,
所述所述令牌服务器根据所述目标用户信息和所述目标镜像权限,以及所述数据库中存储的所述用户信息、所述用户信息与各个镜像权限的对应关系,对用户进行访问权限验证,当所述用户具有访问权限时,根据所述目标镜像权限,生成令牌,包括:
所述令牌服务器判断所述数据库中存储的所述用户信息中是否存在所述目标用户信息,如果是,根据所述数据库中存储的所述用户信息与各个镜像权限的对应关系,确定所述目标用户信息对应的至少一个镜像权限,判断所述目标用户信息对应的至少一个镜像权限中是否存在所述目标镜像权限,当所述目标用户信息对应的至少一个镜像权限中存在所述目标镜像权限时,根据所述目标镜像权限,生成令牌。
8.根据权利要求6所述的私有镜像仓库访问方法,其特征在于,进一步包括:
所述令牌服务器确定签名算法和私钥,利用所述签名算法、所述私钥和所述目标镜像权限,生成签名信息;
所述根据所述目标镜像权限,生成令牌,包括:
所述令牌服务器根据所述签名算法、所述签名信息和所述目标镜像权限,生成所述令牌。
9.根据权利要求8所述的私有镜像仓库访问方法,其特征在于,进一步包括:所述私有镜像仓库确定证书;
所述对所述令牌进行验证,包括:利用所述证书对所述令牌中的签名信息进行验证。
10.根据权利要求6-9中任一所述的私有镜像仓库访问方法,其特征在于,
所述镜像权限为镜像与动作的组合。
CN201711019517.5A 2017-10-27 2017-10-27 一种私有镜像仓库的访问方法和系统 Pending CN107786343A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711019517.5A CN107786343A (zh) 2017-10-27 2017-10-27 一种私有镜像仓库的访问方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711019517.5A CN107786343A (zh) 2017-10-27 2017-10-27 一种私有镜像仓库的访问方法和系统

Publications (1)

Publication Number Publication Date
CN107786343A true CN107786343A (zh) 2018-03-09

Family

ID=61431727

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711019517.5A Pending CN107786343A (zh) 2017-10-27 2017-10-27 一种私有镜像仓库的访问方法和系统

Country Status (1)

Country Link
CN (1) CN107786343A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109343934A (zh) * 2018-09-17 2019-02-15 北京北信源信息安全技术有限公司 一种基于容器的私服架构及其搭建和可视化方法
CN109814889A (zh) * 2019-01-30 2019-05-28 北京百度网讯科技有限公司 用于更新源代码库的方法和装置
CN111510423A (zh) * 2019-01-31 2020-08-07 百度(美国)有限责任公司 使用限制操作环境的基于令牌的安全多方计算框架
CN111562970A (zh) * 2020-07-15 2020-08-21 腾讯科技(深圳)有限公司 容器实例的创建方法、装置、电子设备及存储介质
CN112148419A (zh) * 2019-06-28 2020-12-29 杭州海康威视数字技术股份有限公司 云平台中镜像管理方法、装置、系统及存储介质
CN113296873A (zh) * 2020-05-15 2021-08-24 阿里巴巴集团控股有限公司 镜像构建方法和装置、终端设备和计算机存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107239688A (zh) * 2017-06-30 2017-10-10 平安科技(深圳)有限公司 Docker镜像仓库的权限认证方法和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107239688A (zh) * 2017-06-30 2017-10-10 平安科技(深圳)有限公司 Docker镜像仓库的权限认证方法和系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109343934A (zh) * 2018-09-17 2019-02-15 北京北信源信息安全技术有限公司 一种基于容器的私服架构及其搭建和可视化方法
CN109814889A (zh) * 2019-01-30 2019-05-28 北京百度网讯科技有限公司 用于更新源代码库的方法和装置
CN111510423A (zh) * 2019-01-31 2020-08-07 百度(美国)有限责任公司 使用限制操作环境的基于令牌的安全多方计算框架
CN111510423B (zh) * 2019-01-31 2022-04-15 百度(美国)有限责任公司 使用限制操作环境的基于令牌的安全多方计算框架
CN112148419A (zh) * 2019-06-28 2020-12-29 杭州海康威视数字技术股份有限公司 云平台中镜像管理方法、装置、系统及存储介质
CN112148419B (zh) * 2019-06-28 2024-01-02 杭州海康威视数字技术股份有限公司 云平台中镜像管理方法、装置、系统及存储介质
CN113296873A (zh) * 2020-05-15 2021-08-24 阿里巴巴集团控股有限公司 镜像构建方法和装置、终端设备和计算机存储介质
CN111562970A (zh) * 2020-07-15 2020-08-21 腾讯科技(深圳)有限公司 容器实例的创建方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US11443062B2 (en) Selectively verifying personal data
CN107786343A (zh) 一种私有镜像仓库的访问方法和系统
US10754826B2 (en) Techniques for securely sharing files from a cloud storage
CN109862041A (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
US20120324121A1 (en) Inter-Service Sharing of Content Between Users from different Social Networks
CN101626369B (zh) 一种单点登录方法、设备及系统
CN108011862A (zh) 镜像仓库授权、访问、管理方法及服务器和客户端
CN107733861A (zh) 一种基于企业级内外网环境的无密码登录实现方法
CN102546664A (zh) 用于分布式文件系统的用户与权限管理方法及系统
CN108259432A (zh) 一种api调用的管理方法、设备及系统
CN106789897B (zh) 用于移动终端应用程序的数字证书验证方法及系统
CN110309259A (zh) 审计结果数据存储、查询方法、审计项存储方法及装置
CN102006286A (zh) 信息系统的访问管理方法、装置、系统和接入设备
CN110245843B (zh) 一种基于区块链的信息管理的方法及相关装置
CN110175439A (zh) 用户管理方法、装置、设备及计算机可读存储介质
CN102227116A (zh) 一种安全的局域网管理方法和一种局域网
CN114117264A (zh) 基于区块链的非法网站识别方法、装置、设备及存储介质
Yoon et al. Blockchain-based object name service with tokenized authority
CN113129008B (zh) 数据处理方法、装置、计算机可读介质及电子设备
CN106375332A (zh) 网络安全浏览方法及装置
CN111506661B (zh) 一种内容访问管理方法、装置和存储介质
CN106529216B (zh) 一种基于公共存储平台的软件授权系统及软件授权方法
CN110909388B (zh) 一种去中心化的电子学历管理系统及方法
Xu et al. Study on a security intelligence trading platform based on blockchain and IPFS
Navarro et al. Digital transformation of the circular economy: Digital product passports for transparency, verifiability, accountability

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180309