CN107948201B - Docker镜像仓库的权限认证方法和系统 - Google Patents
Docker镜像仓库的权限认证方法和系统 Download PDFInfo
- Publication number
- CN107948201B CN107948201B CN201711476882.9A CN201711476882A CN107948201B CN 107948201 B CN107948201 B CN 107948201B CN 201711476882 A CN201711476882 A CN 201711476882A CN 107948201 B CN107948201 B CN 107948201B
- Authority
- CN
- China
- Prior art keywords
- mirror image
- authentication
- token
- request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种Docker镜像仓库的权限认证方法和系统,其权限认证方法先通过代理服务器访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息;之后,解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证,之后,接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求;接收镜像仓库返回的镜像,即完成了私有Docker镜像仓库的访问操作。本发明通过通过将权限认证交由第三方进行验证,根据请求令牌发放权限,提高了镜像的安全性,而且无需再在各个可用区设置鉴权组件,因此只需要维护一份云管区的令牌服务器即可。
Description
技术领域
本发明涉及Docker技术领域,具体涉及Docker镜像仓库的权限认证方法和系统。
背景技术
Docker(Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化)提供的容器技术允许在同一台主机或虚拟机上运行若干个容器(container),每个容器就是一个独立的虚拟环境或应用。
容器来源于Docker 镜像(image),而镜像可以由用户自制(build)或由运行中的容器提交(commit)来生成,镜像生成后,可以推送(push)到镜像仓库(registry)中进行保存,也可以从镜像仓库拉取(pull)到本地以运行容器。Docker 提供了官方镜像仓库(Docker hub),同时允许用户自行搭建私有镜像仓库(private registry)。对于大多数机构和组织,使用私有镜像仓库是很有必要的,用以保护仓库的镜像内容及使用。
当用户访问Docker镜像时,针对不同镜像仓库内的镜像,需要细化访问权限控制。例如,对于公共镜像(即访问官方镜像仓库),任何用户都能够拉取(Pull)镜像,而只有系统管理员可以推送(Push)镜像;对于用户自己命名空间(Name space)下的镜像(即私有Docker 镜像仓库),只有通过了权限验证的该用户才能够拉取/推送镜像,即在访问时需要根据用户终端的身份判断有哪些仓库中的镜像可以拉取,或者可以往哪些仓库中推送镜像,能够提高镜像的安全性。
目前,Docker镜像服务器的权限设置比较简单,一般采用两种方式,第一种方式是只检查用户认证信息在请求时是否一并提供,并不验证其真假;第二种方式是配置静态的用户名与密码对,且需要预先生成密码文件,通过简单的用户登录就可以操作镜像服务。
可见上述两种方式的权限控制方式都不够安全,都不能满足镜像安全的要求。
因此,现有技术还有待于改进和发展。
发明内容
针对现有技术的上述缺陷,本发明提供一种Docker镜像仓库的权限认证方法和系统,主要解决现有Docker镜像访问不安全的问题。
本发明解决技术问题所采用的技术方案如下:
一种Docker镜像仓库的权限认证方法,包括如下步骤:
通过代理服务器访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,其中,所述镜像仓库部署在云管区中,所述未授权错误信息的响应头中包含认证方法提示信息;
解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证,其中所述代理服务器部署在可用区内,令牌服务器部署在云管区中;
接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求;
接收镜像仓库返回的镜像。
所述的Docker镜像仓库的权限认证方法中,所述解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括:
解析所述未授权错误信息,获取未授权错误信息的响应头中包含认证方法提示信息;
根据认证方法提示信息的提示,利用用户认证信息、请求镜像内容范围生成权限认证请求信息;
将所述权限认证请求信息发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证。
所述的Docker镜像仓库的权限认证方法中,所述根据认证方法提示信息的提示,利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括:
根据认证方法提示信息将用户认证信息加密,放在https请求的请求头部,将请求的镜像内容范围置于https请求的请求参数中,基于该https请求的请求头部及请求参数生成权限认证请求信息。
所述的Docker镜像仓库的权限认证方法中,在将所述权限认证请求信息发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤之后、接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求的步骤之前,所述权限认证方法还包括:
代理服务器根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器;
云管区的令牌服务器解析所述权限认证请求信息,并验证用户认证信息;
在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;
当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。
所述的Docker镜像仓库的权限认证方法中,在接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求的步骤之后、接收镜像仓库返回的镜像的步骤之前,还包括:
镜像仓库接收所述令牌,解析并验证所述令牌,在验证通过时,向客户端返回镜像。
一种Docker镜像仓库的权限认证系统,其包括若干个可用区,每个所述可用区均设置有权限认证设备和代理服务器,
所述权限认证设备用于访问镜像仓库,并在访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,所述未授权错误信息的响应头中包含认证方法提示信息; 以及用于解析所述未授权错误信息,并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器;以及接收令牌服务器返回的令牌;以及携带所述令牌向镜像仓库发送访问请求;以及接收镜像仓库返回的镜像;
所述代理服务器用于将权限认证请求发送给云管区的令牌服务器。
所述的Docker镜像仓库的权限认证系统,还包括设置在云管区的令牌服务器,所述令牌服务器用于解析所述权限认证请求信息,并验证用户认证信息;以及在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;以及当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。
所述的Docker镜像仓库的权限认证系统中,所述代理服务器具体用于根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。
所述的Docker镜像仓库的权限认证系统中,所述令牌服务器的数量为1个。
所述的Docker镜像仓库的权限认证系统,还包括设置在云管区的镜像仓库,用于接收所述令牌,解析并验证所述令牌,在验证通过时,向客户端返回镜像。
本发明公开的Docker镜像仓库的权限认证方法和系统中,其权限认证方法先通过代理服务器访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,其中,所述镜像仓库部署在云管区中,所述未授权错误信息的响应头中包含认证方法提示信息;之后,解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证,其中所述代理服务器部署在可用区内,令牌服务器部署在云管区中;之后,接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求;接收镜像仓库返回的镜像,即完成了私有Docker 镜像仓库的访问操作。本发明通过将权限认证交由第三方进行验证,根据请求令牌发放权限,提高了镜像的安全性,而且通过在云管区设置令牌服务器,无需再在各个可用区设置鉴权组件,避免每次在进行权限认证时均需要调用云管区的API来认证用户的域账号,避免了资源的浪费,通过使用代理服务器后,由于代理服务器的维护难度远小于自研的鉴权组件,因此只需要维护一份云管区的令牌服务器即可。
附图说明
图1为本发明提供的Docker镜像仓库的权限认证方法的较佳实施例的流程图;
图2为本发明提供的Docker镜像仓库的权限认证方法中步骤S20的较佳实施例的流程图;
图3为本发明提供的Docker镜像仓库的权限认证系统较佳实施例的功能模块图;
图4位本发明提供的Docker镜像仓库的权限认证系统中,所述权限认证设备的较佳实施例的功能模块图;
图5本发明提供的Docker镜像仓库的权限认证系统中,权限认证设备的解析模块的功能模块图;
图6为本发明提供的Docker镜像仓库的权限认证系统中令牌服务器的令牌处理模块的功能模块图。
具体实施方式
本发明针对目前镜像权限管理的需求,将认证程序部署在云管区的镜像仓库中,利用镜像仓库指定云管区的令牌服务器为用户对私有Docker镜像仓库及其镜像的访问提供认证服务。每当镜像仓库接收到某一可用区的用户对镜像的访问请求时,指示此可用区客户端将用户信息、访问的镜像信息、访问动作通过该可用区的代理服务器发送至云管区的令牌服务器,令牌服务器根据用户信息决定是否授予用户所请求的访问权限。
为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请参阅图1,其为本发明提供的Docker镜像仓库的权限认证方法的较佳实施例的流程图。如图1所示,本发明较佳实施例所述的Docker镜像仓库的权限认证方法以下步骤:
S10、通过代理服务器访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,其中,所述镜像仓库部署在云管区中,所述未授权错误信息的响应头中包含认证方法提示信息。
本实施例中,所述镜像仓库为云管区设置的唯一镜像仓库,而非某一可用区的镜像仓库,所有的私有Docker镜像均存储在云管区的镜像仓库中,各个可用区均可对镜像仓库发起访问请求,在访问时,通过客户端使用登录Docker镜像仓库、推送docker镜像、拉取docker镜像等命令时,由docker客户端进程通过代理服务器对镜像仓库发出请求。
在镜像仓库识别客户端为第一次访问时,向客户端返回未授权错误信息,并在授权错误信息的文件头中提示客户端认证的方法,提示客户端需要去云管区的令牌服务器中获取令牌。
本发明只在云管区设置有只有一套镜像库,因此镜像的鉴权对所有可用区的客户端都是相同的,所以保持了系统的一致性。
S20、解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证,其中所述代理服务器部署在可用区内,令牌服务器部署在云管区中。
客户端收到未授权错误信息,首先对未授权错误信息解析获取认证方法提示信息,再根据认证方法的提示向令牌服务器请求令牌。请参阅图2,其为本发明提供的Docker镜像仓库的权限认证方法中步骤S20的较佳实施例的流程图。
如图2所示,所述步骤S20包括:
S21、解析所述未授权错误信息,获取未授权错误信息的响应头中包含认证方法提示信息;
S22、根据认证方法提示信息的提示,利用用户认证信息、请求镜像内容范围生成权限认证请求信息;
S23、将所述权限认证请求信息发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证。
在步骤S22中,在生成权限认证请求信息时,由docker客户端进程根据认证方法提示信息将用户认证信息加密,放在https请求的请求头部,将请求的镜像内容范围置于https请求的请求参数中,基于该https请求的请求头部及请求参数生成权限认证请求信息。
本实施例中,所述认证信息包括用户名和密码,具体实施时,先由docker客户端进程根据镜像仓库返回的提示,将用户的认证信息加密后放在https(Hypertext TransferProtocol over Secure Socket Layer,是以安全为目标的HTTP通道,简单讲是HTTP的安全版)请求的AUTHORIZATIONHeader(授权头),同时将用户请求的镜像内容范围置于https请求的请求参数中,通过域名发送至代理服务器,由代理服务器将权限认证工作交由令牌服务器处理。
每一个可用区均部署有一套代理服务器,所述代理服务器为Nginx代理服务器,各个可用区的客户端均通过设置在该区的代理服务器来将权限认证请求发送给云管区的令牌服务器,各个可用区的代理服务器的域名、证书和密钥均相同,所以保证了系统的一致性。
本发明中所有可用区的所有客户端对镜像服务及镜像鉴权服务的是相同的,只有集中管理区有一套镜像库及鉴权服务器;只有云管区需要部署镜像仓库及令牌服务器,各区域只需要部署代理服务器,节省了部署成本;镜像仓库只需要一份配置,将第一次请求返回401响应的响应头中的鉴权服务地址指定为各区域DNS解析的鉴权服务域名,便可以使各区域均能使用,使得扩展、配置和维护较为简单;而且,令牌服务器可以外接其他系统,扩展对接其他用户信息系统,为集成其他系统的用户鉴权提供了可能。
较佳地,客户端通过代理服务器将权限认证请求发送给令牌服务器的方法具体为:客户端通过域名访问代理服务器,代理服务器根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器,由于各个可用区的代理服务器的域名。证书和密钥均相同,所以保证了系统的一致性。
S30、接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求。
具体实施时,docker客户端进程拿到token(令牌)后,带令牌再次向镜像仓库请求相同的镜像内容。在镜像仓库收到令牌后对令牌进行解析,从而决定对用户的请求进行放行或阻挡。
优选的实施例中,所述步骤S23之后、所述步骤S30之前还包括:
代理服务器根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器;
云管区的令牌服务器解析所述权限认证请求信息,并验证用户认证信息;
在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;
当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。
本实施例中,在客户端将权限认证请求信息上传到代理服务器后,代理服务器执行如下步骤:根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。代理服务器验证发现域名输入有误时反馈域名错误信息至客户端,提示客户端重新输入域名。
较佳地,在云管区令牌服务器收到权限认证请求信息之后,云管区的令牌服务器将执行如下动作:
由令牌服务器解析所述权限认证请求信息,并验证用户认证信息;
在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容。在用户认证不能通过时返回错误令牌,告之客户端没有权限访问镜像仓库。
当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。在用户认证信息通过验证,但客户端不能访问指定的镜像内容时,生成错误信息,返回给docker客户端进程,告之客户端没有权限访问其请求的内容。
S40、接收镜像仓库返回的镜像。
在步骤S40之前,本发明的拉取镜像和推送镜像还包括:镜像仓库接收所述令牌,解析并验证所述令牌,在验证通过时,向客户端返回镜像。
为了便于更好的理解Docker镜像仓库的权限认证方法,以下例举一应用实施例对本发明的Docker镜像仓库的权限认证方法进行详细说明:
本应用实施例提供的Docker镜像仓库的权限认证方法包括:
第一步、可用区的客户端使用docker login、docker push、docker pull 等命令时,均由该可用区的客户端的docker客户端进程对云管区的镜像仓库发出请求;
第二步、云管区的镜像仓库接到请求后,向发出请求的可用区的客户端返回未授权错误信息,所述未授权错误信息的响应头中包含提示客户端认证的方法;
第三步、该可用区的docker客户端进程根据提示将用户的认证信息加密后放在https 请求的AUTHORIZATION 头部,同时将用户请求的内容范围置于请求参数中,发送给该可用区的代理服务器;
第四步、该可用区的代理服务器根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器;
第五步、云管区的令牌服务器解析并验证用户认证令牌及请求镜像内容范围,在验证通过将相应的令牌发送给该可用区的客户端;
第六步、该可用区的docker客户端进程拿到令牌后,带着令牌再次向云管区的镜像仓库请求相同的内容;
第七步、云管区的镜像仓库拿到令牌后,对令牌进行解析和验证,在验证通过时docker客户端进程返回相应的镜像。
基于上述Docker镜像仓库的权限认证方法,本发明还提供了一种Docker镜像仓库的权限认证系统,如图3所示,所述权限认证系统包括若干个可用区,每个所述可用区均包括权限认证设备1和代理服务器2,所述权限认证设备1可认为是一种Docker客户端,其用于访问镜像仓库,并在访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,所述未授权错误信息的响应头中包含认证方法提示信息;以及用于解析所述未授权错误信息,并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,;以及接收令牌服务器返回的令牌;以及携带所述令牌向镜像仓库发送访问请求;以及接收镜像仓库返回的镜像。本发明所称权限认证设备可被分割为一个或多个模块,所述模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述所述Docker镜像仓库的权限认证程序在所述Docker客户端中的执行过程。以下描述将权限认证设备分为多个模块来介绍其功能。
如图3与图4所示,权限认证设备1包括访问模块11,用于访问镜像仓库;
接收模块12,用于访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,所述未授权错误信息的响应头中包含认证方法提示信息;
解析模块13,用于解析所述未授权错误信息,并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器;
所述接收模块12,也用于接收令牌服务器返回的令牌;
权限认证请求模块14,用于携带所述令牌向镜像仓库发送访问请求;
所述接收模块12,还用于接收镜像仓库返回的镜像。
所述代理服务器2用于将权限认证请求发送给云管区的令牌服务器,具体实施时,所述代理服务器具体用于根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。
请一并参阅图3和图5,在具体实施时,所述解析模块13包括:
解析单元131,用于解析所述未授权错误信息,获取未授权错误信息的响应头中包含认证方法提示信息;
请求信息生成单元132,用于根据认证方法提示信息的提示,利用用户认证信息、请求镜像内容范围生成权限认证请求信息;
发送单元133,用于所述权限认证请求信息发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证。
其中,所述请求信息生成单元132,具体用于根据认证方法提示信息将用户认证信息加密,放在https请求的请求头部,将请求的镜像内容范围置于https请求的请求参数中,基于该https请求的请求头部及请求参数生成权限认证请求信息。
请继续参阅图3,本发明的Docker镜像仓库的权限认证系统中还包括设置在云管区的令牌服务器3,所述令牌服务器用于解析所述权限认证请求信息,并验证用户认证信息;以及在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;以及当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。本发明所称令牌服务器也可被分割为一个或多个模块,所述模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述所述执行过程。以下描述将令牌服务器分为多个模块来介绍其功能。
请一并参阅图3和图6,在具体实施时,所述令牌服务器3包括:
验证模块31,用于解析所述权限认证请求信息,并验证用户认证信息;
判断模块32,用于在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;
令牌处理模块33,用于当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。
其中,所述令牌服务器的数量为1个,无需再在各个可用区设置令牌服务器,避免每次在进行权限认证时均需要调用云管区的API来认证用户的域账号,避免了资源的浪费,通过使用代理服务器后,由于Nginx代理服务器的维护难度远小于令牌服务器的维护难度,因此降低了系统的维护成本,只需要维护一份云管区的令牌服务器即可。
请继续参阅图3,本发明的Docker镜像仓库的权限认证系统还包括镜像仓库4,用于接收所述令牌,解析并验证所述令牌,在验证通过时,向客户端返回镜像。
所述镜像仓库的数量也只有一个,因此镜像的鉴权对所有客户端都是相同的,保持了系统的一致性。
综上所述,本发明通过将权限认证交由第三方进行验证,根据请求令牌发放权限,提高了镜像的安全性,而且通过在云管区设置令牌服务器,无需再在各个可用区设置鉴权组件,避免每次在进行权限认证时均需要调用云管区的API来认证用户的域账号,避免了资源的浪费,通过使用代理服务器后,由于代理服务器的维护难度远小于自研的鉴权组件,因此只需要维护一份云管区的令牌服务器即可。
当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的程序可存储于一计算机可读取的存储介质中,该程序在执行时可包括如上述各方法实施例的流程。其中所述的存储介质可为存储器、磁碟、光盘等。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (6)
1.一种Docker镜像仓库的权限认证方法,其特征在于,所述权限认证方法包括如下步骤:
通过代理服务器访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,其中,所述镜像仓库部署在云管区中,所述未授权错误信息的响应头中包含认证方法提示信息;
解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证,其中所述代理服务器部署在可用区内,令牌服务器部署在云管区中;
接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求;
接收镜像仓库返回的镜像;
所述解析所述未授权错误信息,根据认证方法提示信息生成权限认证请求并将其发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括:
解析所述未授权错误信息,获取未授权错误信息的响应头中包含认证方法提示信息;
根据认证方法提示信息的提示,利用用户认证信息、请求镜像内容范围生成权限认证请求信息;
将所述权限认证请求信息发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证;
在将所述权限认证请求信息发送至代理服务器,由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤之后、接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求的步骤之前,所述权限认证方法还包括:
代理服务器根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器;
云管区的令牌服务器解析所述权限认证请求信息,并验证用户认证信息;
在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;
当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端;
所述镜像仓库为云管区设置的唯一镜像仓库,而非某一可用区的镜像仓库,所有的私有Docker镜像均存储在云管区的镜像仓库中,每一个可用区均部署有一套代理服务器,各个可用区的客户端均通过设置在该区的代理服务器来将权限认证请求发送给云管区的令牌服务器,各个可用区的代理服务器的域名、证书和密钥均相同,保证系统的一致性;
所有可用区的所有客户端对镜像服务及镜像鉴权服务是相同的,只有集中管理区有一套镜像库及鉴权服务器,只有云管区需要部署镜像仓库及令牌服务器,各区域只需要部署代理服务器,镜像仓库只需要一份配置,将第一次请求返回401响应的响应头中的鉴权服务地址指定为各区域DNS解析的鉴权服务域名。
2.根据权利要求1所述的Docker镜像仓库的权限认证方法,其特征在于,所述根据认证方法提示信息的提示,利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括:
根据认证方法提示信息将用户认证信息加密,放在https请求的请求头部,将请求的镜像内容范围置于https请求的请求参数中,基于该https请求的请求头部及请求参数生成权限认证请求信息。
3.根据权利要求1所述的Docker镜像仓库的权限认证方法,其特征在于,在接收云管区中的令牌服务器返回的令牌,并携带所述令牌向镜像仓库发送访问请求的步骤之后、接收镜像仓库返回的镜像的步骤之前,还包括:
镜像仓库接收所述令牌,解析并验证所述令牌,在验证通过时,向客户端返回镜像。
4.一种Docker镜像仓库的权限认证系统,其特征在于,包括若干个可用区,每个所述可用区均设置有权限认证设备和代理服务器,
所述权限认证设备用于访问镜像仓库,并在访问镜像仓库被拒绝时,接收镜像仓库返回的未授权错误信息,所述未授权错误信息的响应头中包含认证方法提示信息;以及用于解析所述未授权错误信息,并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器;
以及接收令牌服务器返回的令牌;以及携带所述令牌向镜像仓库发送访问请求;以及接收镜像仓库返回的镜像;
所述代理服务器用于将权限认证请求发送给云管区的令牌服务器;
还包括设置在云管区的令牌服务器,所述令牌服务器用于解析所述权限认证请求信息,并验证用户认证信息;以及在用户认证通过时,根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容;以及当客户端能访问其请求的镜像内容时,根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端;
所述代理服务器具体用于根据客户端输入的域名进行安全传输层协议认证,并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器;
所述镜像仓库为云管区设置的唯一镜像仓库,而非某一可用区的镜像仓库,所有的私有Docker镜像均存储在云管区的镜像仓库中,每一个可用区均部署有一套代理服务器,各个可用区的客户端均通过设置在该区的代理服务器来将权限认证请求发送给云管区的令牌服务器,各个可用区的代理服务器的域名、证书和密钥均相同,保证系统的一致性;
所有可用区的所有客户端对镜像服务及镜像鉴权服务是相同的,只有集中管理区有一套镜像库及鉴权服务器;只有云管区需要部署镜像仓库及令牌服务器,各区域只需要部署代理服务器,镜像仓库只需要一份配置,将第一次请求返回401响应的响应头中的鉴权服务地址指定为各区域DNS解析的鉴权服务域名。
5.根据权利要求4所述的Docker镜像仓库的权限认证系统,其特征在于,所述令牌服务器的数量为1个。
6.根据权利要求5所述的Docker镜像仓库的权限认证系统,其特征在于,还包括设置在云管区的镜像仓库,用于接收所述令牌,解析并验证所述令牌,在验证通过时,向客户端返回镜像。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711476882.9A CN107948201B (zh) | 2017-12-29 | 2017-12-29 | Docker镜像仓库的权限认证方法和系统 |
PCT/CN2018/082269 WO2019127973A1 (zh) | 2017-12-29 | 2018-04-09 | 镜像仓库的权限认证方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711476882.9A CN107948201B (zh) | 2017-12-29 | 2017-12-29 | Docker镜像仓库的权限认证方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107948201A CN107948201A (zh) | 2018-04-20 |
CN107948201B true CN107948201B (zh) | 2020-11-13 |
Family
ID=61937912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711476882.9A Active CN107948201B (zh) | 2017-12-29 | 2017-12-29 | Docker镜像仓库的权限认证方法和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107948201B (zh) |
WO (1) | WO2019127973A1 (zh) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109343934A (zh) * | 2018-09-17 | 2019-02-15 | 北京北信源信息安全技术有限公司 | 一种基于容器的私服架构及其搭建和可视化方法 |
CN109814889B (zh) * | 2019-01-30 | 2022-12-23 | 北京百度网讯科技有限公司 | 用于更新源代码库的方法和装置 |
US11128617B2 (en) * | 2019-01-31 | 2021-09-21 | Baidu Usa Llc | Token based secure multiparty computing framework using a restricted operating environment |
CN109831435B (zh) * | 2019-01-31 | 2021-06-01 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
CN110022294A (zh) * | 2019-02-27 | 2019-07-16 | 广州虎牙信息科技有限公司 | 一种代理服务器、Docker系统及其权限管理方法、存储介质 |
CN110929269B (zh) * | 2019-10-12 | 2023-08-15 | 平安证券股份有限公司 | 系统权限管理方法、装置、介质及电子设备 |
CN110737498B (zh) * | 2019-10-16 | 2023-03-10 | 黑龙江鑫联华信息股份有限公司 | 一种基于虚拟容器图形界面的大数据、人工智能在线考试方法及系统 |
CN112887352B (zh) * | 2019-11-29 | 2023-04-18 | 北京神州泰岳软件股份有限公司 | 一种Docker容器的镜像文件上传方法、装置 |
CN111209582A (zh) * | 2020-01-03 | 2020-05-29 | 平安科技(深圳)有限公司 | 请求认证方法、装置、设备及存储介质 |
CN111273926A (zh) * | 2020-01-14 | 2020-06-12 | 一飞智控(天津)科技有限公司 | 机场客户端远程升级管理方法、系统、存储介质、无人机 |
CN111291017B (zh) * | 2020-03-03 | 2024-04-05 | 中国工商银行股份有限公司 | 镜像仓库的镜像存储、提取方法及装置 |
CN111538566A (zh) * | 2020-04-24 | 2020-08-14 | 咪咕文化科技有限公司 | 镜像文件处理方法、装置、系统、电子设备及存储介质 |
CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
CN112667998B (zh) * | 2020-12-08 | 2024-03-01 | 中国科学院信息工程研究所 | 一种容器镜像仓库的安全访问方法及系统 |
CN113110917B (zh) * | 2021-04-28 | 2024-03-15 | 北京链道科技有限公司 | 基于Kubernetes的数据发现和安全访问方法 |
CN114050911B (zh) * | 2021-09-27 | 2023-05-16 | 度小满科技(北京)有限公司 | 一种容器远程登录方法及系统 |
CN114726513A (zh) * | 2022-03-18 | 2022-07-08 | 阿里巴巴(中国)有限公司 | 数据传输方法、设备、介质及产品 |
CN114745431B (zh) * | 2022-03-18 | 2023-09-29 | 上海道客网络科技有限公司 | 基于边车技术的无侵入式权限认证方法、系统、介质和设备 |
CN114640533B (zh) * | 2022-03-29 | 2023-11-24 | 北京有竹居网络技术有限公司 | 传输消息的方法、装置、存储介质及电子设备 |
CN117546498A (zh) * | 2022-05-09 | 2024-02-09 | 北京小米移动软件有限公司 | 认证方法、装置、介质和芯片 |
CN116107715B (zh) * | 2023-02-02 | 2023-09-26 | 北京天云融创软件技术有限公司 | 一种运行Docker容器任务的方法和任务调度器 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657248A (zh) * | 2016-11-01 | 2017-05-10 | 山东大学 | 一种基于Docker容器的网络负载均衡系统及其搭建方法、工作方法 |
CN106790663A (zh) * | 2017-01-22 | 2017-05-31 | 济南浪潮高新科技投资发展有限公司 | 基于Docker的网络存储系统的实现方法 |
CN107239688A (zh) * | 2017-06-30 | 2017-10-10 | 平安科技(深圳)有限公司 | Docker镜像仓库的权限认证方法和系统 |
CN107247793A (zh) * | 2017-06-21 | 2017-10-13 | 平安科技(深圳)有限公司 | Docker镜像仓库的镜像同步方法和镜像同步系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7391865B2 (en) * | 1999-09-20 | 2008-06-24 | Security First Corporation | Secure data parser method and system |
CN102055730B (zh) * | 2009-11-02 | 2013-09-11 | 华为终端有限公司 | 云处理系统、云处理方法和云计算代理装置 |
US9667637B2 (en) * | 2014-06-09 | 2017-05-30 | Guardicore Ltd. | Network-based detection of authentication failures |
CN104506510B (zh) * | 2014-12-15 | 2017-02-08 | 百度在线网络技术(北京)有限公司 | 用于设备认证的方法、装置及认证服务系统 |
US10038722B2 (en) * | 2015-09-03 | 2018-07-31 | Vmware, Inc. | Access control policy management in a cloud services environment |
US10032032B2 (en) * | 2015-12-18 | 2018-07-24 | Amazon Technologies, Inc. | Software container registry inspection |
CN105653901A (zh) * | 2015-12-29 | 2016-06-08 | 深圳市科漫达智能管理科技有限公司 | 一种组件仓库管理的方法及系统 |
CN107105033B (zh) * | 2017-04-21 | 2020-08-18 | 北京奇安信科技有限公司 | 云应用访问方法、云代理服务器及云应用访问系统 |
-
2017
- 2017-12-29 CN CN201711476882.9A patent/CN107948201B/zh active Active
-
2018
- 2018-04-09 WO PCT/CN2018/082269 patent/WO2019127973A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657248A (zh) * | 2016-11-01 | 2017-05-10 | 山东大学 | 一种基于Docker容器的网络负载均衡系统及其搭建方法、工作方法 |
CN106790663A (zh) * | 2017-01-22 | 2017-05-31 | 济南浪潮高新科技投资发展有限公司 | 基于Docker的网络存储系统的实现方法 |
CN107247793A (zh) * | 2017-06-21 | 2017-10-13 | 平安科技(深圳)有限公司 | Docker镜像仓库的镜像同步方法和镜像同步系统 |
CN107239688A (zh) * | 2017-06-30 | 2017-10-10 | 平安科技(深圳)有限公司 | Docker镜像仓库的权限认证方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107948201A (zh) | 2018-04-20 |
WO2019127973A1 (zh) | 2019-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107948201B (zh) | Docker镜像仓库的权限认证方法和系统 | |
CN106487774B (zh) | 一种云主机服务权限控制方法、装置和系统 | |
US9419962B2 (en) | Method and apparatus for sharing server resources using a local group | |
US10382426B2 (en) | Authentication context transfer for accessing computing resources via single sign-on with single use access tokens | |
EP1914658B1 (en) | Identity controlled data center | |
EP3453136B1 (en) | Methods and apparatus for device authentication and secure data exchange between a server application and a device | |
CN107239688B (zh) | Docker镜像仓库的权限认证方法和系统 | |
CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
CN105187362B (zh) | 一种桌面云客户端和服务端之间连接认证的方法及装置 | |
CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
US9294468B1 (en) | Application-level certificates for identity and authorization | |
CN106991298B (zh) | 应用程序对接口的访问方法、授权请求方法及装置 | |
CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
EP3710965A1 (en) | Secure authentication of a device through attestation by another device | |
CN106790183A (zh) | 登录凭证校验方法、装置 | |
US9954834B2 (en) | Method of operating a computing device, computing device and computer program | |
US20180212955A1 (en) | Method for operating a designated service, service unlocking method, and terminal | |
CN102404314A (zh) | 远程资源单点登录 | |
US10581806B2 (en) | Service providing method, service requesting method, information processing device, and client device | |
US20180091490A1 (en) | Authentication framework for a client of a remote database | |
CN111737232A (zh) | 数据库管理方法、系统、装置、设备及计算机存储介质 | |
CN118159967A (zh) | 对在隔离环境中实现的计算资源的访问的控制 | |
CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |