CN111970301A - 一种容器云平台安全通信系统 - Google Patents

一种容器云平台安全通信系统 Download PDF

Info

Publication number
CN111970301A
CN111970301A CN202010878587.1A CN202010878587A CN111970301A CN 111970301 A CN111970301 A CN 111970301A CN 202010878587 A CN202010878587 A CN 202010878587A CN 111970301 A CN111970301 A CN 111970301A
Authority
CN
China
Prior art keywords
service
module
certificate
flow
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010878587.1A
Other languages
English (en)
Other versions
CN111970301B (zh
Inventor
赵宝琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Inspur Data Technology Co Ltd
Original Assignee
Beijing Inspur Data Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Inspur Data Technology Co Ltd filed Critical Beijing Inspur Data Technology Co Ltd
Priority to CN202010878587.1A priority Critical patent/CN111970301B/zh
Publication of CN111970301A publication Critical patent/CN111970301A/zh
Application granted granted Critical
Publication of CN111970301B publication Critical patent/CN111970301B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种容器云平台安全通信系统,包括:证书管理模块,用于生成并存储第一服务证书,下发第一服务证书至第一反向代理模块;第一反向代理模块,包括证书获取子模块、流量加密子模块、流量验证子模块、解密子模块和拒收子模块;本申请容器云平台中每个服务都对应的设置有反向代理模块,通过证书管理模块管理每个反向代理模块的服务证书,每个反向代理模块劫持任何需要出入服务的流量,并进行相应的加密和验证,确保流入流量和流出流量在通信期间的安全性,并且实现了统一的安全管理,且对服务本身的运行过程无影响,实现了无感知的安全控制。

Description

一种容器云平台安全通信系统
技术领域
本发明涉及通信安全领域,特别涉及一种容器云平台安全通信系统。
背景技术
在当前国产化容器云平台中,存在大量需要相互通信的服务,这些服务相互调用从而形成一种服务网络。
但由于国产化容器生态环境限制,大部分服务均由第三方厂商提供,不同厂商的服务所应用的安全策略不尽相同,更有甚者完全未考虑安全因素。
因此,需要一种统一有效的容器云平台安全通信系统,确保容器云平台内的通信安全。
发明内容
有鉴于此,本发明的目的在于提供一种容器云平台安全通信系统,提高容器云平台内的通信安全。其具体方案如下:
一种容器云平台安全通信方法,应用于与第一服务对应的第一反向代理模块,包括:
接收证书管理模块生成并存储的第一服务证书,或从所述证书管理模块获取所述第一服务证书;
劫持对应的所述第一服务流出的流出流量;
利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务;
劫持与所述第二服务对应的第二反向代理模块发送的第二加密流量;
利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法;
若所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务;
若所述第二加密流量的所述第二服务证书不合法,则拒收所述第二加密流量。
可选的,还包括:
从安全认证模块获取认证名单;
根据所述认证名单判断所述第二加密流量对应的所述第二服务是否满足要求,若满足则利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法,若不满足,则拒收所述第二加密流量。
可选的,所述从所述证书管理模块获取所述第一服务证书的过程,包括:
定时从所述证书管理模块获取最新的所述第一服务证书。
可选的,所述从所述安全认证模块获取认证名单的过程,包括:
定时从所述安全认证模块获取最新的所述认证名单。
可选的,所述拒收所述第二加密流量之后,还包括:
发送拒收信息至所述第二反向代理模块。
可选的,所述利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务的过程,包括:
利用所述第一服务证书为所述流出流量进行TLS加密,得到所述第一加密流量,转发所述第一加密流量至相应的第二服务;
所述若所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务的过程,包括:
若所述流量验证子模块判定所述第二加密流量的所述第二服务证书合法,则对所述第二加密流量进行TLS解密,得到所述流入流量,并转发所述流入流量至所述第一服务。
本发明还公开了一种第一反向代理模块,包括:证书获取子模块、流出流量劫持子模块、流量加密子模块、流入流量劫持子模块、流量验证子模块、解密子模块和拒收子模块;
所述证书获取子模块,用于接收证书管理模块下发的所述第一服务证书,或从所述证书管理模块获取所述第一服务证书;
所述流出流量劫持子模块,用于劫持对应的第一服务流出的流出流量;
所述流量加密子模块,用于利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务;
所述流入流量劫持子模块,用于劫持所述第二反向代理模块发送第二加密流量;
所述流量验证子模块,用于利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法;
所述解密子模块,用于若所述流量验证子模块判定所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务;
所述拒收子模块,用于若所述流量验证子模块判定所述第二加密流量的所述第二服务证书不合法,则拒收所述第二加密流量。
可选的,还包括名单获取子模块和名单验证子模块;
所述名单获取子模块,用于从安全认证模块获取认证名单;
所述名单验证子模块,用于根据所述认证名单判断所述第二加密流量对应的所述第二服务是否满足要求,若满足则调用所述流量验证子模块,若不满足,则调用所述拒收子模块;
所述拒收子模块,还用于若所述名单验证子模块判定所述第二加密流量对应的所述第二服务不满足要求,则拒收所述第二加密流量。
可选的,所述流量加密子模块,具体用于利用所述第一服务证书为所述流出流量进行TLS加密,得到所述第一加密流量,转发所述第一加密流量至相应的第二服务;
所述解密子模块,具体用于若所述流量验证子模块判定所述第二加密流量的所述第二服务证书合法,则对所述第二加密流量进行TLS解密,得到所述流入流量,并转发所述流入流量至所述第一服务。
本发明还公开了一种容器云平台安全通信系统,包括:证书管理模块、安全认证模块、第一服务、如前述的包括与所述第一服务对应的第一反向代理模块、第二服务和与所述第二服务对应的第二反向代理模块;
所述证书管理模块,用于生成并存储第一服务证书,下发所述第一服务证书至所述第一反向代理模块;
所述安全认证模块,用于存储认证名单。
本发明中,容器云平台安全通信方法,应用于与第一服务对应的第一反向代理模块,包括:接收所述证书管理模块生成并存储的第一服务证书,或从所述证书管理模块获取所述第一服务证书;劫持对应的所述第一服务流出的流出流量;利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务;劫持与所述第二服务对应的第二反向代理模块发送的第二加密流量;利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法;若所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务;若所述第二加密流量的所述第二服务证书不合法,则拒收所述第二加密流量。
本发明容器云平台中每个服务都对应的设置有反向代理模块,通过证书管理模块管理每个反向代理模块的服务证书,每个反向代理模块劫持任何需要出入服务的流量,并进行相应的加密和验证,确保流入流量和流出流量在通信期间的安全性,并且实现了统一的安全管理,且对服务本身的运行过程无影响,实现了无感知的安全控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种容器云平台安全通信方法流程示意图;
图2为本发明实施例公开的另一种容器云平台安全通信方法流程示意图;
图3为本发明实施例公开的一种第一反向代理模块结构示意图;
图4为本发明实施例公开的一种容器云平台安全通信系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种容器云平台安全通信方法,参见图1所示,应用于与第一服务对应的第一反向代理模块,该方法包括:
S11:接收证书管理模块生成并存储的第一服务证书,或从证书管理模块获取第一服务证书。
具体的,证书管理模块中存储每个反向代理模块用于加密和验证的服务证书,每个反向代理模块所使用的服务证书相同,即如果每个反向代理模块中的服务证书未被修改或未异步更新,则所有反向代理模块中的服务证书均一样,例如,第一服务证书与第二服务证书一致为同一证书,因此,第一服务证书能够验证第二服务证书。
具体的,证书管理模块可以定期下发服务证书至每个反向代理模块,从而确保每个反向代理模块中的服务证书的正确,避免过期,因此,可以接收证书管理模块下发其生成并存储的第一服务证书。当然,第一反向代理模块13也可以主动从证书管理模块中获取第一服务证书。
S12:劫持对应的第一服务流出的流出流量;
S13:利用第一服务证书为流出流量加密,得到第一加密流量,转发第一加密流量至相应的第二服务。
具体的,第一反向代理模块获取第一服务证书后便可以利用第一服务证书对第一服务发送给第二服务的流出流量进行加密,第一反向代理模块,以劫持的方式截获第一服务发送给第二服务的流出流量,即第一服务在发送流出流量时,是以第二服务为目的地进行发送,但实际上会被第一反向代理模块首先截获到,由第一反向代理模块对流出流量进行加密后,再将加密流量按照流出流量原先对应的目的地,转发至第二服务,从而实现无感知的数据加密。
S14:劫持与第二服务对应的第二反向代理模块发送的第二加密流量;
S15:利用第一服务证书验证第二加密流量的第二服务证书是否合法。
具体的,第一反向代理模块同时还会劫持第二反向代理模块向第一服务发送的第二加密流量,第一反向代理模块利用第一服务证书验证利用第二服务证书的合法性。在第二服务证书未被修改,第一反向代理模块与第二反向代理模块服务证书更新时间相同的情况下,第一服务证书与第二服务证书相同均为证书管理模块中生成并存储的服务证书,因此,可以利用第一服务证书对第二服务证书进行合法性验证,如果第二反向代理模块中的第二服务证书被篡改,第一反向代理模块无法利用第一服务证书验证第二服务证书,因此,会拒收第二加密流量,只有在验证通过的前提下,才会对第二加密流量进行解密,得到流入流量,并第一反向代理模块将流入流量发送至第一服务。
需要说明的是,每个反向代理模块的证书更新时间不完全相同,因此,第一服务证书与第二服务证书因反向代理模块没能及时更新服务证书,导致服务证书版本可能会不一样,但即使服务证书版本不一样,第一服务证书仍能够对版本不一样的第二服务证书进行有效的合法性验证,因为,第一服务证书与第二服务证书均为证书管理模块根据根证书生成的,因此,第一服务证书与第二服务证书即使版本不一致,能够有效验证,通常只有当服务证书被篡改后,服务证书之间才会无法验证合法性,出现拒收的情况;当然,为了避免旧证书泄露导致的安全问题,还可以为旧版本的服务证书设置失效时间,当超过失效时间后,则认定为不合法,如果未超过,则认定为合法,失效时间由证书管理模块在生成最新版本的服务证书后对旧版本的历史服务证书进行设置,在反向代理模块获取最新版本的服务证书或下发最新版本的服务证书时,同最新版本的服务证书一并告知反向代理模块旧版本的历史服务证书的失效时间。
S16:若第二加密流量的第二服务证书合法,则解密第二加密流量,得到流入流量,并转发流入流量至第一服务。
具体的,若利用第一服务证书验证通过,则可以利用第一服务证书对第二加密流量进行解密,得到流入流量。
S17:若第二加密流量的第二服务证书不合法,则拒收第二加密流量。具体的,容器云平台中可以搭载大量的服务,每个服务都相当于第一服务和第二服务,每个服务都配有对应的反向代理模块,每个服务流入流出的流量均需要通过反向代理模块的验证和加密。
需要说明的是,第一反向代理模块为第一服务对应的反向代理模块,第二反向代理模块为第二服务对应的反向代理模块,第一反向代理模块和第二反向代理模块其作用相同,只是服务对象不同。
具体的,在服务角度上来说,服务之间仍是按照无安全系统的方式进行流量发送,但实际上服务之间的流量交互全部有安全系统进行验证和管理,实现了无感知的安全通信保护。
可以理解的是,第一反向代理模块和第二反向代理模块中的“第一”和“第二”只是为了区分第一反向代理模块和第二反向代理模块服务于不同的服务,其功能和作用是相同的,第一服务证书与第二服务证书中的第一和第二也是用于区分存放于不同反向带模块中的服务证书,其本质都是由证书管理模块生成并存储的服务证书,能够互相验证合法性。
可见,本发明实施例容器云平台中每个服务都对应的设置有反向代理模块,通过证书管理模块管理每个反向代理模块的服务证书,每个反向代理模块劫持任何需要出入服务的流量,并进行相应的加密和验证,确保流入流量和流出流量在通信期间的安全性,并且实现了统一的安全管理,且对服务本身的运行过程无影响,实现了无感知的安全控制。
本发明实施例公开了一种具体的容器云平台安全通信方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。参见图2所示,具体的:
S21:接收证书管理模块生成并存储的第一服务证书,或从证书管理模块获取第一服务证书;
S22:劫持对应的第一服务流出的流出流量;
S23:利用第一服务证书为流出流量进行TLS加密,得到第一加密流量,转发第一加密流量至相应的第二服务。
S24:从安全认证模块获取认证名单。
具体的,S24获取认证名单与S21至S23之间不存在执行先后顺序,可以先执行S24,也可以在S21至S23之间任一步骤后执行,在此不做限定,当然,S24也可以在S25之后执行
S25:劫持与第二服务对应的第二反向代理模块发送的第二加密流量;
S26:根据认证名单判断第二加密流量对应的第二服务是否满足要求;
具体的,认证名单相当于白名单或黑名单,当为白名单时,名单验证子模块则判断第二加密流量对应的第二服务是否在白名单中,如果在则调用流量验证子模块,继续对第二加密流量进行验证,如果不在则可以省去验证过程直接拒收;当认证名单为黑名单时,则判断第二加密流量对应的第二服务是否在黑名单中,如果不在黑名单中则执行S27,继续对第二加密流量进行验证,如果在则可以省去验证过程直接拒收。
具体的,可以定时从安全认证模块获取最新的认证名单。
S27:利用第一服务证书验证第二加密流量的第二服务证书是否合法;
S28:若第二加密流量的第二服务证书合法,则对第二加密流量进行TLS解密,得到流入流量,并转发流入流量至第一服务。
具体的,利用TLS对流量进行加密解密,实现TLS双向加密,提高加密数据的安全性。
S29:若第二加密流量的第二服务证书不合法,则拒收第二加密流量。
具体的,为了反馈给服务流量被拒的情况,在根据认证名单判断第二服务不满足要求或验证第二加密流量的第二服务证书不合法后,则可以发送拒收信息至第二反向代理模块;其中,拒收信息可以为一个状态码,例如,状态码400。
相应的,本发明实施例还公开了一种第一反向代理模块,参见图3所示,该模块包括:证书获取子模块11、流出流量劫持子模块12、流量加密子模块13、流入流量劫持子模块14、流量验证子模块15、解密子模块16和拒收子模块17;
证书获取子模块11,用于接收证书管理模块下发的第一服务证书,或从证书管理模块获取第一服务证书;
流出流量劫持子模块12,用于劫持对应的第一服务流出的流出流量;
流量加密子模块13,用于利用第一服务证书为流出流量加密,得到第一加密流量,转发第一加密流量至相应的第二服务;
流入流量劫持子模块14,用于劫持第二反向代理模块发送第二加密流量;
流量验证子模块15,用于利用第一服务证书验证第二加密流量的第二服务证书是否合法;
解密子模块16,用于若流量验证子模块15判定第二加密流量的第二服务证书合法,则解密第二加密流量,得到流入流量,并转发流入流量至第一服务;
拒收子模块17,用于若流量验证子模块15判定第二加密流量的第二服务证书不合法,则拒收第二加密流量。
可见,本发明实施例容器云平台中每个服务都对应的设置有反向代理模块,通过证书管理模块管理每个反向代理模块的服务证书,每个反向代理模块劫持任何需要出入服务的流量,并进行相应的加密和验证,确保流入流量和流出流量在通信期间的安全性,并且实现了统一的安全管理,且对服务本身的运行过程无影响,实现了无感知的安全控制。
具体的,还可以包括名单获取子模块和名单验证子模块;
名单获取子模块,用于从安全认证模块获取认证名单;
名单验证子模块,用于根据认证名单判断第二加密流量对应的第二服务是否满足要求,若满足则调用流量验证子模块15,若不满足,则调用拒收子模块17;
拒收子模块17,还用于若名单验证子模块判定第二加密流量对应的第二服务不满足要求,则拒收第二加密流量。
具体的,上述证书获取子模块11,可以具体用于定时从证书管理模块获取最新的第一服务证书。
具体的,上述名单获取子模块,可以具体用于定时从安全认证模块获取最新的认证名单。
具体的,上述拒收子模块17,还可以用于若根据认证名单判断第二服务不满足要求或流量验证子模块15判定第二加密流量的第二服务证书不合法后,则发送拒收信息至第二反向代理模块。
具体的,上述流量加密子模块13,可以具体用于利用第一服务证书为流出流量进行TLS加密,得到第一加密流量,转发第一加密流量至相应的第二服务;
上述解密子模块16,可以具体用于若流量验证子模块15判定第二加密流量的第二服务证书合法,则对第二加密流量进行TLS解密,得到流入流量,并转发流入流量至第一服务。
此外,本发明还公开了一种容器云平台安全通信系统,参见图4所示,该系统包括:证书管理模块21、安全认证模块26、第一服务22、如前述的包括与第一服务22对应的第一反向代理模块23、第二服务25和与第二服务25对应的第二反向代理模块24;
证书管理模块21,用于生成并存储第一服务22证书,下发第一服务22证书至第一反向代理模块23;
安全认证模块26,用于存储认证名单。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上对本发明所提供的技术内容进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种容器云平台安全通信方法,其特征在于,应用于与第一服务对应的第一反向代理模块,包括:
接收证书管理模块生成并存储的第一服务证书,或从所述证书管理模块获取所述第一服务证书;
劫持对应的所述第一服务流出的流出流量;
利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务;
劫持与所述第二服务对应的第二反向代理模块发送的第二加密流量;
利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法;
若所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务;
若所述第二加密流量的所述第二服务证书不合法,则拒收所述第二加密流量。
2.根据权利要求1所述的容器云平台安全通信方法,其特征在于,还包括:
从安全认证模块获取认证名单;
根据所述认证名单判断所述第二加密流量对应的所述第二服务是否满足要求,若满足则利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法,若不满足,则拒收所述第二加密流量。
3.根据权利要求1所述的容器云平台安全通信方法,其特征在于,所述从所述证书管理模块获取所述第一服务证书的过程,包括:
定时从所述证书管理模块获取最新的所述第一服务证书。
4.根据权利要求2所述的容器云平台安全通信方法,其特征在于,所述从所述安全认证模块获取认证名单的过程,包括:
定时从所述安全认证模块获取最新的所述认证名单。
5.根据权利要求2所述的容器云平台安全通信方法,其特征在于,所述拒收所述第二加密流量之后,还包括:
发送拒收信息至所述第二反向代理模块。
6.根据权利要求1至5任一项所述的容器云平台安全通信方法,其特征在于,所述利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务的过程,包括:
利用所述第一服务证书为所述流出流量进行TLS加密,得到所述第一加密流量,转发所述第一加密流量至相应的第二服务;
所述若所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务的过程,包括:
若所述流量验证子模块判定所述第二加密流量的所述第二服务证书合法,则对所述第二加密流量进行TLS解密,得到所述流入流量,并转发所述流入流量至所述第一服务。
7.一种第一反向代理模块,其特征在于,包括:证书获取子模块、流出流量劫持子模块、流量加密子模块、流入流量劫持子模块、流量验证子模块、解密子模块和拒收子模块;
所述证书获取子模块,用于接收证书管理模块下发的所述第一服务证书,或从所述证书管理模块获取所述第一服务证书;
所述流出流量劫持子模块,用于劫持对应的第一服务流出的流出流量;
所述流量加密子模块,用于利用所述第一服务证书为所述流出流量加密,得到第一加密流量,转发所述第一加密流量至相应的第二服务;
所述流入流量劫持子模块,用于劫持所述第二反向代理模块发送第二加密流量;
所述流量验证子模块,用于利用所述第一服务证书验证所述第二加密流量的第二服务证书是否合法;
所述解密子模块,用于若所述流量验证子模块判定所述第二加密流量的所述第二服务证书合法,则解密所述第二加密流量,得到流入流量,并转发所述流入流量至所述第一服务;
所述拒收子模块,用于若所述流量验证子模块判定所述第二加密流量的所述第二服务证书不合法,则拒收所述第二加密流量。
8.根据权利要求7所述的第一反向代理模块,其特征在于,还包括名单获取子模块和名单验证子模块;
所述名单获取子模块,用于从安全认证模块获取认证名单;
所述名单验证子模块,用于根据所述认证名单判断所述第二加密流量对应的所述第二服务是否满足要求,若满足则调用所述流量验证子模块,若不满足,则调用所述拒收子模块;
所述拒收子模块,还用于若所述名单验证子模块判定所述第二加密流量对应的所述第二服务不满足要求,则拒收所述第二加密流量。
9.根据权利要求7或8所述的第一反向代理模块,其特征在于,所述流量加密子模块,具体用于利用所述第一服务证书为所述流出流量进行TLS加密,得到所述第一加密流量,转发所述第一加密流量至相应的第二服务;
所述解密子模块,具体用于若所述流量验证子模块判定所述第二加密流量的所述第二服务证书合法,则对所述第二加密流量进行TLS解密,得到所述流入流量,并转发所述流入流量至所述第一服务。
10.一种容器云平台安全通信系统,其特征在于,包括:证书管理模块、安全认证模块、第一服务、如前述的包括与所述第一服务对应的第一反向代理模块、第二服务和与所述第二服务对应的第二反向代理模块;
所述证书管理模块,用于生成并存储第一服务证书,下发所述第一服务证书至所述第一反向代理模块;
所述安全认证模块,用于存储认证名单。
CN202010878587.1A 2020-08-27 2020-08-27 一种容器云平台安全通信系统 Active CN111970301B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010878587.1A CN111970301B (zh) 2020-08-27 2020-08-27 一种容器云平台安全通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010878587.1A CN111970301B (zh) 2020-08-27 2020-08-27 一种容器云平台安全通信系统

Publications (2)

Publication Number Publication Date
CN111970301A true CN111970301A (zh) 2020-11-20
CN111970301B CN111970301B (zh) 2022-11-04

Family

ID=73400371

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010878587.1A Active CN111970301B (zh) 2020-08-27 2020-08-27 一种容器云平台安全通信系统

Country Status (1)

Country Link
CN (1) CN111970301B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050015594A1 (en) * 2003-07-17 2005-01-20 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
CN106161435A (zh) * 2016-06-28 2016-11-23 天脉聚源(北京)传媒科技有限公司 一种基于Nginx的双向认证方法及装置
CN108337249A (zh) * 2018-01-19 2018-07-27 论客科技(广州)有限公司 一种数据安全传输方法、系统与装置
CN109257365A (zh) * 2018-10-12 2019-01-22 深信服科技股份有限公司 一种信息处理方法、装置、设备和存储介质
CN110557353A (zh) * 2018-05-31 2019-12-10 北京京东尚科信息技术有限公司 一种终端数据验证方法、装置、介质及电子设备
CN111147526A (zh) * 2019-11-20 2020-05-12 杭州端点网络科技有限公司 一种跨公网实现多云管控的安全认证方法
CN111541665A (zh) * 2020-04-16 2020-08-14 苏州浪潮智能科技有限公司 数据访问方法、装置、存储介质及集群式的安全管理平台

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050015594A1 (en) * 2003-07-17 2005-01-20 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
CN106161435A (zh) * 2016-06-28 2016-11-23 天脉聚源(北京)传媒科技有限公司 一种基于Nginx的双向认证方法及装置
CN108337249A (zh) * 2018-01-19 2018-07-27 论客科技(广州)有限公司 一种数据安全传输方法、系统与装置
CN110557353A (zh) * 2018-05-31 2019-12-10 北京京东尚科信息技术有限公司 一种终端数据验证方法、装置、介质及电子设备
CN109257365A (zh) * 2018-10-12 2019-01-22 深信服科技股份有限公司 一种信息处理方法、装置、设备和存储介质
CN111147526A (zh) * 2019-11-20 2020-05-12 杭州端点网络科技有限公司 一种跨公网实现多云管控的安全认证方法
CN111541665A (zh) * 2020-04-16 2020-08-14 苏州浪潮智能科技有限公司 数据访问方法、装置、存储介质及集群式的安全管理平台

Also Published As

Publication number Publication date
CN111970301B (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
US10667131B2 (en) Method for connecting network access device to wireless network access point, network access device, and application server
AU2004307800B2 (en) Method for managing the security of applications with a security module
US9531681B2 (en) Method for the authentication of applications
US11882442B2 (en) Handset identifier verification
US8359273B2 (en) Secured authentication method for providing services on a data transmisson Network
US20080003980A1 (en) Subsidy-controlled handset device via a sim card using asymmetric verification and method thereof
US11841959B1 (en) Systems and methods for requiring cryptographic data protection as a precondition of system access
EP2165503B1 (en) Received message verification
US20190312878A1 (en) Secure communication using device-identity information linked to cloud-based certificates
US6948061B1 (en) Method and device for performing secure transactions
EP3375135A1 (en) Methods and systems for pki-based authentication
CN1842993B (zh) 提供证书
KR20070114839A (ko) 이동국 특징으로의 제한된 접근 권한 제공
CN105207774A (zh) 验证信息的密钥协商方法及装置
WO2000045273A9 (en) Authentication enforcement using decryption and authentication in a single transaction in a secure microprocessor
US20100255813A1 (en) Security in a telecommunications network
CN105142139A (zh) 验证信息的获取方法及装置
WO2007018476A1 (en) Hybrid cryptographic approach to mobile messaging
CN111970301B (zh) 一种容器云平台安全通信系统
WO2007046706A1 (en) Method and arrangement for automatic provisioning, licensing and configuration of client software
CN111464554A (zh) 一种车辆信息安全控制方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant