CN112202713B - 一种Kubernetes环境下用户数据安全保护方法 - Google Patents
一种Kubernetes环境下用户数据安全保护方法 Download PDFInfo
- Publication number
- CN112202713B CN112202713B CN202010882857.6A CN202010882857A CN112202713B CN 112202713 B CN112202713 B CN 112202713B CN 202010882857 A CN202010882857 A CN 202010882857A CN 112202713 B CN112202713 B CN 112202713B
- Authority
- CN
- China
- Prior art keywords
- kubernetes
- sign
- field
- file
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种Kubernetes环境下用户数据安全保护方法,本发明提供了一种“一户一密”的机制。用户使用Ukey对数据进行公钥加密,加密后再通过APIServer将数据存储于etcd中。当Kubernetes组件请求etcd中存储数据时,或当pod策略发生变化,etcd会依靠watch机制推送数据至APIServer。APIServer首先将数据发送至客户端端进行解密,再转发回APIServer,而后发送给相应接收组件。本发明保证了“一户一密”下当前账户信息不会被其他用户所浏览,更改策略请求均需要通过当前账户持有者的Ukey进行解密确认。因此大大提高了安全性。
Description
技术领域
本发明涉及数据安全技术,特别涉及一种Kubernetes环境下用户数据安全保护方法。
背景技术
企业,政府,个体,每天都会产生各种各样的数据。数据存储也成为我们日益关心的问题。随着大数据时代的发展,各式各样的信息泄漏事件使得安全问题受到越来越多的关注。为了保障数据安全,必须做好数据的安全存储与管理工作。
Kubernetes(k8s)是用于容器集群自动化部署、扩容以及运维的管理平台。它提供了应用部署,规划,更新,维护的一种机制。Kubernetes通过容器部署应用,每个容器相互独立并且有自己的文件系统,有着部署快,占用资源少的特点。企业通常将自己的业务系统整体迁移至Kubernetes平台上,而后台创建容器,服务的策略则存储在etcd数据库中。如果存储在etcd中的数据遭到非法篡改,将导致整个集群服务的变更,因此,对etcd存储数据的安全保护,显得尤为重要。
期刊《网络安全和信息化》2019(04)期136-142页,郭建伟的《认证机制保障Kubernetes安全》中提供了一种认证方法,利用认证授权的方式对用户角色进行认证,此方法通过在Kubernetes所有节点上安装CFSSL软件,生成证书和密钥文件。在kueb-proxy,controller-Manager,Scheduler,Kube-DNS,etcd中配置证书,组件通信时先验证对方身份,验证通过后再进行数据传递。
1)目前Kubernetes虽然组件间请求是用https的形式进行传递的,但其存储到etcd本身并没有对数据进行加密,当用户登陆至Master服务器时,可以查看不同namespace下用户存储的信息。
2)假设通过登陆到Master节点,调用KubernetesAPIServer的接口,在业务上,只需要发送调用请求便可更改etcd中的配置文件,换句话说任何人只要登陆到Master服务器上,便可绕过客户,伪造调度信息,发送给APIServer,直接调度Pod。在Master节点上,Kubernetes无法验证调度请求是否来自于受信用户。
3)在《认证机制保障Kubernetes安全》中虽然提供了组件间数据传递认证机制,但证书不能保证调用请求是用户本人所发出。例如计算机被他人使用,发送请求给服务器,此时服务器无法验证用户的真实身份。
发明内容
本发明的目的在于提供一种Kubernetes环境下用户数据安全保护方法,用于解决上述现有技术的问题。
本发明一种Kubernetes环境下用户数据安全保护方法,其中,包括:加密存储和访问解密;yaml配置文件并命名为test.yaml文件;加密存储包括:将test.yaml文件中的非空字段按照字典序排列拼接成字符串存入test.yaml文件新建的变量stringA中;对test.yaml文件中的stringA字段使用SHA1摘要算法,并使用客户端私钥对生成的值加密,在test.yaml文件中新建sign字段,将加密后的摘要字符串结果存入sign字段;将更新后的yaml文件发送给KubernetesAPIServer;Kubernetes APIServer接收到信息后,通过客户端公钥解密test.yaml文件中的sign字段,解密后记为sign_d;Kubernetes APIServer使用SHA1摘要算法加密test.yaml文件中的stringA字段,记为sign_2,sign_2是KubernetesAPIServer内验签算法中的字段;将sign_2和sign_d结果进行比对,对比内容为摘要字符串的值,字符串值完全相同,既sign_2与sign_d结果相同;将test.yaml文件中的非空字段按照字典序排列拼接成字符串,存入test.yaml文件中的stringA;使用签名算法对stringA字段运用SHA1摘要算法,并使用客户端公钥对生成的摘要加密,结果存入test.yaml文件中的sign字段;更新test.yaml文件后,重新发送给客户端;客户端接收到KubernetesAPIServer发送test.yaml文件后;首先使用私钥对文件内sign字段解密,解密后记为sign_d,sign_d字段是客户端内中的字段;客户端使用SHA1摘要算法加密stringA字段,记为sign_2;将解密出的摘要sign_d与客户端加密stringA后得到的sign_2进行比对;比对摘要结果相同后,确保字段未被篡改;使用公钥对test.yaml内字段进行加密;Kubernetes APIServer接收加密后的文件,KubernetesAPIServer发送请求给etcd;etcd存入加密后的test.yaml文件;访问解密包括:etcd通过watch方式将存储在etcd内已加密的yaml配置文件以https传输的方式推送至KubernetesAPIServer;watch方式推送是当etcd存储中的yaml配置信息发生改变时,etcd将向Kubernetes APIServer发送一条消息;KubernetesAPIServer收到信息后,将经过加密的yaml配置文件发至客户端;客户端接收到APIServer发送的test.yaml文件;客户端使用私钥对数据进行解密;将解密后的文件通过https协议发送至KubernetesAPIServer;KubernetesAPIServer接收客户端数据;对sign字段的摘要经行解密,解密后记为sign_d;对stringA字段进行SHA1摘要算法,记为sign_2;验证摘要值,摘要文本结果相同后,字段未被篡改。
根据本发明的Kubernetes环境下用户数据安全保护方法的一实施例,其中,通过Ukey对用户请求进行认证。
根据本发明的Kubernetes环境下用户数据安全保护方法的一实施例,其中,客户端使用Ukey中的私钥对数据进行解密;使用Ukey公钥对test.yaml内字段进行加密。
根据本发明的Kubernetes环境下用户数据安全保护方法的一实施例,其中,Kubernetes分为Master集群控制节点和Node节点两部分,Kubernetes安全组件包括:etcd:保存了整个集群的状态,负责存储集群加密后的信息;KubernetesAPIServer:提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现机制;加密模块:使用用户公钥加密属性字段,起到验证签名真伪作用;Node节点及Master内组件,用于接收解密后的信息。
根据本发明的Kubernetes环境下用户数据安全保护方法的一实施例,其中,摘要结果相同后,文件未经过篡改,KubernetesAPIServer将自动向test.yaml文件添加字段。
根据本发明的Kubernetes环境下用户数据安全保护方法的一实施例,其中,添加字段前stringA字段:stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&name=H&name=Y&ports=8080";添加字段后stringA字段:stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&memory:32Mi&name=H&name=Y&periodSeconds=10&ports=8080&spec=7"。
根据本发明的Kubernetes环境下用户数据安全保护方法的一实施例,其中,加密存储还包括:用户在客户端上配置完创建pod的yaml文件,并已插入Ukey;用户在Node节点上发起建立pod请求。
本发明提供的数据安全存储方法与现有Kubernetes存储数据的方法相比,在安全性上有很大提高。不论任何人在Master节点登陆,只能操作当前用户所加密过的数据,无法操作其他用户所加密存储后的数据,从而保证了“一户一密”机制下用户数据的安全。
附图说明
图1所示为本发明系统模块图;
图2是应用Ukey后认证与加密过程;
图3是应用Ukey后认证与解密过程。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明系统模块图,如图1所示,本发明引入Ukey对用户请求进行认证,并通过公私钥体系对存储于Kubernetes etcd中的数据进行安全管理,从而以保证数据传递及存取的安全,实现Kubernetes环境下“一户一密”的用户存取机制。
Kubernetes分为Master集群控制节点和Node节点两部分,本发明Kubernetes安全组件定义如下:
1)etcd:保存了整个集群的状态,负责存储集群加密后的信息;
2)APIServer:提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现等机制;
加密模块:使用用户公钥加密属性字段,起到验证签名真伪作用;
3)客户端+Ukey:提供用户前端访问控制台,与Kubernetes进行交互,并需要对请求数据进行加密,及回传数据进行验签工作;
加密模块:使用Ukey加密文件,加密摘要信息,使用摘要算法对字段生成摘要。
解密模块:使用Ukey对文件进行解密,对加密的摘要解密。
4)Node节点及Master内其他组件(如Scheduler):用于接收解密后的信息。
本发明包括加密存储访问解密两部分。
图2是应用Ukey后认证与加密过程,如图2:
1)加密存储机制包括:
用户在客户端上配置完创建pod的yaml文件,并已插入Ukey。
yaml配置文件中字段包括:apiversion,kind,name,spec,containers下name,image,ports,containerPort字段。并命名为test.yaml,并准备将yaml文件发送至KubernetesAPIServer。
步骤1客户端:“加密模块”对数据加密
用户在Node节点上发起createpod请求(即使用kubectl输入kubectlcreate-ftest.yaml命令);
将test.yaml文件中的非空字段按照字典序排列(即key1=value1&key2=value2…)拼接成字符串存入test.yaml文件新建的变量stringA中;如下所示:
stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&name=H&name=Y&ports=8080";
加密模块对test.yaml文件中的stringA字段使用SHA1摘要算法,并使用客户端私钥对生成的值加密。在test.yaml文件中新建sign字段,将加密后的摘要字符串结果存入sign字段;
例如:sign=7e892523d891719b52cfa90a0f30d739c0cad4cc
通过一系列加密后,yaml文件已更新。将更新后的yaml文件发送给APIServer;
步骤2APIServer:“加密模块”进行验签;
APIServer接收到信息后,通过客户端公钥解密test.yaml文件中的sign字段,解密后记为sign_d,sign_d是APIServer加密模块中的字段;
APIServer中的加密模块使用SHA1摘要算法加密test.yaml中的stringA字段,记为sign_2,sign_2是APIServer模块内验签算法中的字段;
在加密模块中,将sign_2和sign_d结果进行比对,对比内容为摘要字符串的值。字符串值完全相同,既sign_2与sign_d结果相同。
摘要结果相同后,确保文件未经过篡改,APIServer将自动向test.yaml文件添加一些字段;
例如:spec=7;periodSeconds=10;memory:32Mi;
将test.yaml文件中的非空字段按照字典序排列(即key1=value1&key2=value2…)拼接成字符串,存入test.yaml文件中的stringA;
添加字段前stringA字段:
stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&name=H&name=Y&ports=8080";
添加字段后stringA字段:
stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&memory:32Mi&name=H&name=Y&periodSeconds=10&ports=8080&spec=7";
“加密模块”使用签名算法对stringA字段运用SHA1摘要算法,并使用客户端公钥对生成的摘要加密,结果存入test.yaml文件中的sign字段;
摘要前sign字段内容:
sign=7e892523d891719b52cfa90a0f30d739c0cad4cc
摘要后sign字段内容:
sign=cdb2f2090446591fcad3c026db634ecfa1fc5c05
更新test.yaml文件后,重新发送给客户端;
步骤3客户端:“加密模块”加密数据
客户端接收到APIServer发送test.yaml文件后;
解密模块首先使用私钥对文件内sign字段解密,解密后记为sign_d,该处sign_d字段是客户端内解密模块中的字段;
客户端“加密模块”使用SHA1摘要算法加密stringA字段,记为sign_2;
将解密出的摘要sign_d与客户端加密stringA后得到的sign_2进行比对。例如if(sign_2=sign_d);
比对摘要结果相同后,确保字段未被篡改;
加密模块使用Ukey公钥对test.yaml内字段进行加密;
字段加密前:
apiVersion:v1
kind:Pod
字段加密后:
apiVersion:e135904fc
kind:bfd968e978
将数据返回APIServer;
步骤4etcd存储加密数据
KubernetesAPIServer接收加密后的文件;
APIServer发送请求给etcd;
etcd存入加密后的test.yaml文件;
2)访问解密机制
图3是应用Ukey后认证与解密过程,如图3所示,
步骤1etcd:watch推送信息至APIServer。
etcd通过watch机制,将存储在etcd内已加密的yaml配置文件以https传输的方式推送至KubernetesAPIServer;watch推送是当etcd存储中的yaml配置信息发生改变时,etcd将自动向APIServer发送一条消息。
例如:yoDeZGVVt8d27wGfz3vLrksbRqty1SpMr47/xP4Wkj2Sc
APIServer收到信息后,将经过加密的yaml配置文件发至客户端;
步骤2客户端:“解密模块”对数据进行解密
客户端接收到APIServer发送的yaml配置文件;
客户端“解密模块”使用Ukey中的私钥对数据进行解密;
例如:decrypt(file.yaml);//解密函数,此处解密函数为用户自己编写
将解密后的文件通过https协议发送至APIServer;
步骤3APIServer:使用“加密模块”验签;
APIServer接收客户端数据;
“解密模块”对sign字段的摘要经行解密,解密后记为sign_d;
“加密模块”对stringA字段进行SHA1摘要算法,记为sign_2;
验证摘要值。sign_2==sign_d;
摘要文本结果相同后,确保字段未被篡改;
最后APIServer将调度请求发送给kubelet,Control Manager等组件;
本发明需要配合外接物理设备Ukey认证,并需要引入客户端进行认证。每次服务器收到客户端请求时均需要验证数据电子签名,以证明该条信息没有经过篡改,并且是用户本人所发送。这样做安全的依据是Ukey内所存储密钥是唯一的,而且作为加密硬件,其制作过程决定了Ukey内存储的密钥无法被复制,密钥并不会出现在计算机中。解密过程需要向客户端发送请求,便保证了“一户一密”下当前账户信息不会被其他用户所浏览。更改策略请求均需要通过当前账户持有者的Ukey进行解密确认。因此大大提高了安全性。
本发明提供了一种“一户一密”的机制。用户使用Ukey对数据进行公钥加密,加密后再通过APIServer将数据存储于etcd中。当Kubernetes组件请求etcd中存储数据时,或当pod策略发生变化,etcd会依靠watch机制推送数据至APIServer。APIServer首先将数据发送至客户端端进行解密,再转发回APIServer,而后发送给相应接收组件。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (7)
1.一种Kubernetes环境下用户数据安全保护方法,其特征在于,包括:加密存储和访问解密;
yaml配置文件并命名为test.yaml文件;
加密存储包括:
将test.yaml文件中的非空字段按照字典序排列拼接成字符串存入test.yaml文件新建的变量stringA中;
对test.yaml文件中的stringA字段使用SHA1摘要算法,并使用客户端私钥对生成的值加密,在test.yaml文件中新建sign字段,将加密后的摘要字符串结果存入sign字段;
将更新后的yaml文件发送给Kubernetes APIServer;
Kubernetes APIServer接收到信息后,通过客户端公钥解密test.yaml文件中的sign字段,解密后记为sign_d;
Kubernetes APIServer使用SHA1摘要算法加密test.yaml文件中的stringA字段,记为sign_2,sign_2是Kubernetes APIServer内验签算法中的字段;
将sign_2和sign_d结果进行比对,对比内容为摘要字符串的值,字符串值完全相同,即sign_2与sign_d结果相同;
将test.yaml文件中的非空字段按照字典序排列拼接成字符串,存入test.yaml文件中的stringA;
使用签名算法对stringA字段运用SHA1摘要算法,并使用客户端公钥对生成的摘要加密,结果存入test.yaml文件中的sign字段;
更新test.yaml文件后,重新发送给客户端;
客户端接收到Kubernetes APIServer发送的test.yaml文件后;首先使用私钥对文件内sign字段解密,解密后记为sign_d,sign_d字段是客户端中的字段;客户端使用SHA1摘要算法加密stringA字段,记为sign_2;将解密出的摘要sign_d与客户端加密stringA后得到的sign_2进行比对;比对摘要结果相同后,确保字段未被篡改;
使用公钥对test.yaml内字段进行加密;
Kubernetes APIServer接收加密后的文件,Kubernetes APIServer发送请求给etcd;etcd存入加密后的test.yaml文件;
访问解密包括:
etcd通过watch方式将存储在etcd内已加密的yaml配置文件以https传输的方式推送至KubernetesAPIServer;watch方式推送是当etcd存储中的yaml配置信息发生改变时,etcd将向Kubernetes APIServer发送一条消息;
Kubernetes APIServer收到信息后,将经过加密的yaml配置文件发至客户端;
客户端接收到Kubernetes APIServer发送的test.yaml文件;
客户端使用私钥对数据进行解密;
将解密后的文件通过https协议发送至Kubernetes APIServer;
Kubernetes APIServer接收客户端数据;对sign字段的摘要进行解密,解密后记为sign_d;对stringA字段进行SHA1摘要算法,记为sign_2;
验证摘要值,摘要文本结果相同后,字段未被篡改。
2.如权利要求1所述的Kubernetes环境下用户数据安全保护方法,其特征在于,通过Ukey对用户请求进行认证。
3.如权利要求1所述的Kubernetes环境下用户数据安全保护方法,其特征在于,客户端使用Ukey中的私钥对数据进行解密;使用Ukey公钥对test.yaml内字段进行加密。
4.如权利要求1所述的Kubernetes环境下用户数据安全保护方法,其特征在于,Kubernetes分为Master集群控制节点和Node节点两部分,Kubernetes安全组件包括:
etcd:保存了整个集群的状态,负责存储集群加密后的信息;
Kubernetes APIServer:提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现机制;
加密模块:使用用户公钥加密属性字段,起到验证签名真伪作用;
Node节点及Master内组件,用于接收解密后的信息。
5.如权利要求1所述的Kubernetes环境下用户数据安全保护方法,其特征在于,摘要结果相同后,文件未经过篡改,KubernetesAPIServer将自动向test.yaml文件添加字段。
6.如权利要求1所述的Kubernetes环境下用户数据安全保护方法,其特征在于,
添加字段前stringA字段:
stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&name=H&name=Y&ports=8080";
添加字段后stringA字段:
stringA="apiversion=v1&containerPort=80&image=nginx&image=prometheus&kind=Pod&memory:32Mi&name=H&name=Y&periodSeco nds=10&ports=8080&spec=7"。
7.如权利要求1所述的Kubernetes环境下用户数据安全保护方法,其特征在于,加密存储还包括:用户在客户端上配置完创建pod的yaml文件,并已插入Ukey;用户在Node节点上发起建立pod请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010882857.6A CN112202713B (zh) | 2020-08-28 | 2020-08-28 | 一种Kubernetes环境下用户数据安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010882857.6A CN112202713B (zh) | 2020-08-28 | 2020-08-28 | 一种Kubernetes环境下用户数据安全保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112202713A CN112202713A (zh) | 2021-01-08 |
| CN112202713B true CN112202713B (zh) | 2023-05-02 |
Family
ID=74005736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010882857.6A Active CN112202713B (zh) | 2020-08-28 | 2020-08-28 | 一种Kubernetes环境下用户数据安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112202713B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037711A (zh) * | 2021-02-05 | 2021-06-25 | 开店宝科技集团有限公司 | 一种商户数据传输存储的防篡改方法及系统 |
| CN113315633A (zh) * | 2021-05-07 | 2021-08-27 | 浙江保融科技股份有限公司 | 一种签名字段可变的防篡改数据交互方法 |
| WO2023005704A1 (en) * | 2021-07-27 | 2023-02-02 | International Business Machines Corporation | Sensitive data encryption |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9930026B2 (en) * | 2014-10-20 | 2018-03-27 | Sap Se | Encryption/decryption in a cloud storage solution |
| US10084600B1 (en) * | 2018-04-16 | 2018-09-25 | Xage Security, Inc. | Decentralized information protection for confidentiality and tamper-proofing on distributed database |
| CN109271233B (zh) * | 2018-07-25 | 2021-01-12 | 上海华云互越数据技术有限公司 | 基于Kubernetes组建Hadoop集群的实现方法 |
| CN110311887A (zh) * | 2019-05-07 | 2019-10-08 | 重庆天蓬网络有限公司 | 基于企业多用户管理多Kubernetes集群的系统 |
-
2020
- 2020-08-28 CN CN202010882857.6A patent/CN112202713B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112202713A (zh) | 2021-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8392702B2 (en) | Token-based management system for PKI personalization process | |
| Adams et al. | Understanding PKI: concepts, standards, and deployment considerations | |
| US7665125B2 (en) | System and method for distribution of security policies for mobile devices | |
| US7665118B2 (en) | Server, computer memory, and method to support security policy maintenance and distribution | |
| US8412927B2 (en) | Profile framework for token processing system | |
| CN112202713B (zh) | 一种Kubernetes环境下用户数据安全保护方法 | |
| US9425958B2 (en) | System, method and apparatus for cryptography key management for mobile devices | |
| US7624269B2 (en) | Secure messaging system with derived keys | |
| US6192130B1 (en) | Information security subscriber trust authority transfer system with private key history transfer | |
| US9137017B2 (en) | Key recovery mechanism | |
| CN111213147A (zh) | 用于基于区块链的交叉实体认证的系统和方法 | |
| US8806200B2 (en) | Method and system for securing electronic data | |
| US6895501B1 (en) | Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure | |
| US20050187966A1 (en) | Data communicating apparatus, data communicating method, and program | |
| US20060095769A1 (en) | System and method for initializing operation for an information security operation | |
| US20220114249A1 (en) | Systems and methods for secure and fast machine learning inference in a trusted execution environment | |
| JP2005141746A (ja) | 文書制御システムにおけるオフラインアクセス | |
| US7266705B2 (en) | Secure transmission of data within a distributed computer system | |
| US20170279807A1 (en) | Safe method to share data and control the access to these in the cloud | |
| US10931453B2 (en) | Distributed encryption keys for tokens in a cloud environment | |
| US7412059B1 (en) | Public-key encryption system | |
| US11803631B2 (en) | Binding a hardware security token to a host device to prevent exploitation by other host devices | |
| CN113569298A (zh) | 一种基于区块链的身份生成方法及身份系统 | |
| CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
| CN109598114B (zh) | 跨平台统一用户账户管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |