CN113127141B - 一种容器系统管理方法、装置、终端设备及存储介质 - Google Patents
一种容器系统管理方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN113127141B CN113127141B CN201911417570.XA CN201911417570A CN113127141B CN 113127141 B CN113127141 B CN 113127141B CN 201911417570 A CN201911417570 A CN 201911417570A CN 113127141 B CN113127141 B CN 113127141B
- Authority
- CN
- China
- Prior art keywords
- user
- container system
- account information
- directory file
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 25
- 238000012795 verification Methods 0.000 claims abstract description 47
- 238000000034 method Methods 0.000 claims abstract description 22
- 238000012986 modification Methods 0.000 claims description 19
- 230000004048 modification Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供了一种容器系统管理方法、装置、终端设备及存储介质,其中方法包括:获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;当检测到所述用户对所述容器系统的操作指令时,根据所述操作权限数据对所述操作指令进行权限验证,在验证通过的情况下对所述容器系统执行所述操作指令对应的操作,可以对容器系统的访问和使用进行有效管控,保证容器系统以及运行在容器系统上的应用的安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种容器系统管理方法、装置、终端设备及存储介质。
背景技术
企业应用或系统目前基本使用容器来降低部署应用和系统的复杂度,从而提高效率,并且可以实现快速部署、快速投入使用。它基于虚拟化构建,具有良好的可移植性。为企业带了极大的便利性和灵活性。然而容器在提供便利性和灵活性的同时却忽略了最大的安全访问和控制权限问题,因为容器本身属于开源项目,而且目前很多企业仅仅把它作为一个发布企业自身应用的工具,并未考虑到以后发布成产品的后续问题,所以一旦企业需要把容器里的应用开发成产品的时候容易造成产品代码泄漏、产品被仿冒、产品应用被修改等风险。现有的技术仅仅是保护容器内运行的应用被外部访问或使用的时候的安全性,并未考虑到容器本身的安全性,这种情况下一旦容器系统本身被恶意的修改和访问会导致运行其上的应用彻底失去安全性。
发明内容
本发明实施例提供一种容器系统管理方法、装置、终端设备及存储介质,可以对容器系统的访问和使用进行有效管控,保证容器系统以及运行在容器系统上的应用的安全。
第一方面,本发明实施例提供了一种容器系统管理方法,所述方法包括:
获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;
在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;
根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;
当检测到所述用户对所述容器系统的操作指令时,根据所述操作权限数据对所述操作指令进行权限验证,并在验证通过的情况下对所述容器系统执行所述操作指令对应的操作。
第二方面,本发明实施例提供了一种容器系统管理装置,所述装置包括:
获取模块,用于获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;
所述获取模块,还用于在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;
所述获取模块,还用于根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;
验证模块,用于当检测到所述用户对所述容器系统的操作指令时,根据所述操作权限数据对所述操作指令进行权限验证;
执行模块,用于在验证通过的情况下对所述容器系统执行所述操作指令对应的操作。
第三方面,本发明实施例提供了一种终端设备,所述终端设备包括处理器、网络接口和存储装置,所述处理器、所述网络接口和所述存储装置相互连接,其中,所述网络接口受所述处理器的控制用于收发数据,所述存储装置用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,用于执行第一方面所述的容器系统管理方法。
第四方面,本发明实施例提供了一种计算机存储介质,该计算机存储介质中存储有程序指令,该程序指令被执行时,用于实现第一方面所述的容器系统管理方法。
本发明实施例可以获取用户提交的用于访问容器系统的账户信息,账户信息包括用户名和密码,在对账户信息校验通过后,从数据库中获取账户信息对应的目标令牌,目标令牌是根据用户的账户信息和用户对容器系统的操作权限数据生成的,然后根据目标令牌获取用户对容器系统的操作权限数据,当检测到用户对容器系统的操作指令时,根据操作权限数据对操作指令进行权限验证,并在验证通过的情况下对容器系统执行该操作指令对应的操作,可见,本发明是从容器系统本身来规避其可能产生的安全隐患,可以对容器系统的访问和使用进行有效管控,从而保证容器系统以及运行在容器系统上的应用的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种容器系统的管理系统的架构示意图;
图2是本发明实施例提供的一种容器系统管理方法的流程示意图;
图3是本发明实施例提供的一种容器系统管理装置的结构示意图;
图4是本发明实施例提供的一种终端设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的容器系统管理方法是从容器系统本身来规避其可能产生的安全隐患,更全面的保障容器以及运行在容器上的应用的安全。以下对本发明实施例的技术方案的实现细节进行详细阐述:
请参见图1,是本发明实施例提供的一种容器系统的管理系统的架构示意图,本发明实施例的容器系统的管理系统包括终端设备10和用户设备20,其中:
终端设备10可以作为容器系统的宿主机,宿主机是指物理主机,例如服务器或者服务器集群,或者还可以是笔记本、台式电脑等设备,终端设备10上可以部署有一个或者多个容器系统。
用户设备20可以是笔记本、台式电脑等设备,用户通过用户设备20可以访问终端设备10上部署的容器系统。对于企业来讲,容器系统内可以运行企业内部的办公工具等应用,企业员工作为用户可以通过用户设备20接入终端设备10上的容器系统,可以使用企业内部的办公工具,还可以按照需求从容器系统读取数据(如目录文件)或者修改容器系统的目录文件或者在容器系统内安装软件工具等。
具体的,用户通过用户设备20访问终端设备10上部署的容器系统时,要求用户提供账户信息,终端设备10对用户提交的账户信息(包括用户名和密码)进行验证,验证通过后,终端设备10确定该用户是容器系统的授权访问用户,允许用户通过用户设备20接入该容器系统,可以实现对容器系统的访问进行有效管控。用户接入该容器系统后,可以对容器系统内的资源(例如目录文件)进行操作,当检测到用户的操作时,终端设备10会对该用户的操作权限进行验证,如果验证用户的操作具备权限,则终端设备10对容器系统执行对应的操作,可以实现对容器系统的使用进行有效管控,通过对容器系统的访问和使用进行有效管控可以有效保证容器系统以及运行在容器系统上的应用的安全。
请参见图2,是本发明实施例基于图1所示的容器系统的管理系统提供的一种容器系统管理方法的流程示意图,本发明实施例的容器系统管理方法主可以包括如下步骤:
201、终端设备获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码。
其中,终端设备可以是容器系统所在的宿主机,宿主机是指物理主机,例如服务器或者服务器集群,或者笔记本、台式电脑等设备。
具体的,用户想要访问容器系统时,需要提供事先注册的账户信息,终端设备接收用户通过用户设备发送的账户信息,该账户信息包括用户名和密码。
202、终端设备在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的。
具体的,终端设备可以读取数据库中已加密的账户信息(包括用户名和密码),并对用户提交的账户信息按照同样的加密方法进行加密,加密后与数据库中已加密的账户信息进行匹配,如果能匹配到数据库中的账户信息,则终端设备确定对用户提交的账户信息校验通过,意味着该用户是容器系统的授权访问用户,即允许该用户访问该容器系统。
进一步的,终端设备可以从数据库中获取用户提交的账户信息对应的目标令牌(token),其中,目标令牌是根据该用户的账户信息和该用户对容器系统的操作权限数据生成的,目标令牌具有唯一性,可以唯一标识出该用户,目标令牌用于对该用户的身份以及对该容器系统的操作权限进行验证。其中,token的随机性强,无法进行遍历。
其中,目标令牌与该用户的账户信息、该用户对容器系统的操作权限数据之间具有一对多的映射关系,利用该用户的账户信息即可从数据库中查询得到该目标令牌。
203、终端设备根据所述目标令牌获取所述用户对所述容器系统的操作权限数据。
204、终端设备当检测到所述用户对所述容器系统的操作指令时,根据所述操作权限数据对所述操作指令进行权限验证,并在验证通过的情况下对所述容器系统执行所述操作指令对应的操作。
具体的,终端设备获取到该用户的账户信息对应的目标令牌后,可以从目标令牌中获取该用户对容器系统的操作权限数据。允许该用户访问该容器系统后,用户可以通过用户设备登录到该容器系统,并可以对该容器系统进行操作,当检测到该用户对容器系统的操作指令时,终端设备可以根据该用户的操作权限数据对该操作指令进行权限验证,在验证通过的情况下对容器系统执行操作指令对应的操作,操作指令具体可以包括读取目录文件、修改目录文件、安装软件工具等。
在一些可行的实施方式中,操作权限数据具体可以包括容器系统中该用户可访问的目录文件以及各个可访问的目录文件对应的权限数值,其中,权限数值用于指示该用户对各个可访问的目录文件的操作权限,权限数值可以定义如下:
R:4可读;
W:2可写;
X:1可执行;
-:0;
其中,权限数值由3位数组成,如7=(4+2+1),7表示当前用户的权限为可读可写可执行。组成3位数字的相加中某位数字为0则表示无某位数字所代表的权限,如6=(4+2+0),代表当前用户无可执行的权限,其中,可执行可以理解为在容器系统中安装软件工具。
在一些可行的实施方式中,当检测到用户对所述容器系统的操作指令时,终端设备根据操作权限数据对操作指令进行权限验证,并在验证通过的情况下对容器系统执行操作指令对应的操作,具体实现方式可以如下:
当检测到用户对容器系统中目标目录文件的操作指令时,终端设备可以根据操作权限数据确定目标目录文件是否为该用户可访问的目录文件,如果目标目录文件是该用户可访问的目录文件,则终端设备可以根据操作指令的内容获取操作指令的指令类型,例如操作指令的内容是修改目标目录文件,则操作指令的指令类型即为写操作,以及获取操作权限数据中包括的该目标目录文件对应的权限数值,根据该权限数值即可对指令类型进行权限验证,例如该权限数值为7,则表示该用户对目标目录文件具有可读、可写、可执行的权限,显然,该用户具备对目标目录文件的写操作权限,从而对指令类型的权限验证通过,终端设备可以在容器系统中针对目标目录文件执行操作指令对应的操作。
在一些可行的实施方式中,终端设备会记录用户对容器系统的每一个操作,并生成该用户的操作日志,操作日志可以保存至日志服务器处,保存时间可以是预设的时长(例如至少6个月),以便后续溯源时使用。
本发明实施例中,终端设备获取用户提交的用于访问容器系统的账户信息,账户信息包括用户名和密码,在对账户信息校验通过后,从数据库中获取账户信息对应的目标令牌,目标令牌是根据用户的账户信息和用户对容器系统的操作权限数据生成的,然后根据目标令牌获取用户对容器系统的操作权限数据,当检测到用户对容器系统的操作指令时,根据操作权限数据对操作指令进行权限验证,并在验证通过的情况下对容器系统执行该操作指令对应的操作,可见,本发明是从容器系统本身来规避其可能产生的安全隐患,可以对容器系统的访问和使用进行有效管控,从而保证容器系统以及运行在容器系统上的应用的安全。
在一些可行的实施方式中,可以设置用户对容器系统的目录文件的保存权限,操作权限数据还可以包括用户对各个可访问的目录文件的保存权限,保存权限用于定义用户对目录文件做出修改后能否保存做出的修改,有保存权限,则意味着用户做出的修改是永久生效的,即使用户退出容器系统,相应的目录文件的修改依然存在;没有保存权限,则意味着用户做出的修改是临时生效的,当用户重启容器系统后,相应的目录文件的修改会被还原。
具体的,终端设备在容器系统中针对目标目录文件执行操作指令对应的操作之后,当检测到用户对目标目录文件的保存指令时,可以获取操作权限数据包括的该用户对目标目录文件的保存权限,根据保存权限对保存指令进行权限验证,即确定用户是否具有对目标目录文件的保存权限,如果具有保存权限,则确定验证通过,可以在容器系统中保存操作指令对目标目录文件做出的修改,并增加容器系统的层级,从而可以对容器系统的保存权限进行有效管控,进一步保证了容器系统以及运行在容器系统上的应用的安全。
需要说明的是,如果用户对容器系统中的多个目录文件进行了修改,则对多个目录文件执行修改操作后,终端设备在检测到用户的保存指令时,需要验证用户对该多个目录文件中的每一个目录文件是否都具备保存权限,如果都具备,容器系统才会保存对该多个目录文件的修改,如果有一个目录文件该用户不具备保存权限,则容器系统便不会保存对该多个目录文件的修改。
在一些可行的实施方式中,容器系统的层级可以固定为0级,即不允许保存对容器系统做出的任何修改,则终端设备在容器系统中针对目标目录文件执行操作指令对应的操作之后,当检测到用户对目标目录文件的保存指令时,可以直接拒绝执行该保存指令,以使得容器系统不会保存该操作指令对目标目录文件所做出的修改,从而通过拒绝保存对容器系统做出的任何修改进一步保证了容器系统以及运行在容器系统上的应用的安全。
在一些可行的实施方式中,终端设备可以获取用户针对容器系统提交的注册信息,注册信息包括账户信息和对容器系统的操作权限数据,账户信息包括用户名、密码,注册信息可以由容器系统的运维人员(例如管理员)进行审核验证,在对注册信息验证通过后,终端设备对注册信息进行加密处理以生成账户信息对应的目标令牌,加密方式可以是MD5等加密算法,然后终端设备将目标令牌与账户信息和操作权限数据关联后存储到数据库中。
在一些可行的实施方式中,终端设备可以对用户提交的账户信息(包括用户名和密码)进行验证,例如查询是否存在相同用户名,密码长度是否满足8位以上,密码复杂度是否满足包含大小写、字母、数字以及特殊字符,通过常用弱密码字典比对符合密码长度和密码复杂度的密码是否是弱密码,是否是历史密码5次中的密码,如果用户名和密码满足上述条件,则终端设备才会确定对注册信息中的账户信息验证通过。
在一些可行的实施方式中,如果该用户不是容器系统的授权用户,并且想通过终端命令的方式绕过访问权限的验证而直接登录容器系统时,终端设备可以直接拒绝用户的访问行为,具体包括:终端设备当获取到用户通过容器系统所在的宿主机提交的用于访问容器系统的终端命令时,终端命令例如可以是SSH、telnet或/bin/bash等,则拒绝该用户的访问行为,并生成该用户非法访问容器系统的告警信息,并可以向运维人员通报该告警信息,告警信息中可以包括该用户的用户名、尝试次数、具体行为等,从而可以防止恶意用户绕过保护,直接访问容器系统,进一步保证了容器系统以及运行在容器系统上的应用的安全。
在一些可行的实施方式中,终端设备可以对用户(如宿主机用户)使用用户名字典和密码字典生成账户信息,来对容器系统的访问权限验证机制进行暴力破解等行为进行阻断,例如,终端设备可以获取短时间内(如1分钟)用户为了访问容器系统而提交的账户信息验证失败的次数,如果次数达到阈值(如5次),则终端设备可以判定该用户在对容器系统的访问权限验证机制进行暴力破解,并将阻止该宿主用户再次登录宿主机进行容器系统的访问尝试,从而进一步保证了容器系统以及运行在容器系统上的应用的安全,全方位的保护容器系统本身。
请参见图3,是本发明实施例提供的一种容器系统管理的结构示意图,本发明实施例的所述容器系统管理装置包括:
获取模块301,用于获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;
所述获取模块301,还用于在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;
所述获取模块301,还用于根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;
验证模块302,用于当检测到所述用户对所述容器系统的操作指令时,根据所述操作权限数据对所述操作指令进行权限验证;
执行模块303,用于在验证通过的情况下对所述容器系统执行所述操作指令对应的操作。
可选的,所述操作权限数据包括所述容器系统中所述用户可访问的目录文件以及各个可访问的目录文件对应的权限数值,所述权限数值用于指示所述用户对所述各个可访问的目录文件的操作权限。
可选的,所述验证模块302,具体用于:
当检测到所述用户对所述容器系统中目标目录文件的操作指令时,根据所述操作权限数据确定所述目标目录文件是否为所述用户可访问的目录文件;
若是,则获取所述操作指令的指令类型以及所述操作权限数据包括的所述目标目录文件对应的权限数值;
所述执行模块303,具体用于:
根据所述目标目录文件对应的权限数值对所述指令类型进行权限验证,若验证通过,则在所述容器系统中针对所述目标目录文件执行所述操作指令对应的操作。
可选的,所述操作权限数据还包括所述用户对所述各个可访问的目录文件的保存权限,所述获取模块301,还用于当检测到所述用户对所述目标目录文件的保存指令时,获取所述操作权限数据包括的所述用户对所述目标目录文件的保存权限;
所述验证模块302,还用于根据所述用户对所述目标目录文件的保存权限对所述保存指令进行权限验证;
所述执行模块303,还用于若验证通过,则在所述容器系统中保存所述操作指令对所述目标目录文件做出的修改,并增加所述容器系统的层级。
可选的,所述容器系统的层级固定为0级,所述执行模块303,还用于当检测到所述用户对所述目标目录文件的保存指令时,拒绝执行所述保存指令。
可选的,所述装置还包括处理模块304,其中:
所述获取模块301,还用于获取用户针对容器系统提交的注册信息,所述注册信息包括账户信息和对所述容器系统的操作权限数据;
所述处理模块304,用于在对所述注册信息验证通过后,对所述注册信息进行加密处理以生成所述账户信息对应的目标令牌,并将所述目标令牌与所述账户信息和所述操作权限数据关联后存储到数据库中。
可选的,所述执行模块303,还用于当获取到所述用户通过所述容器系统所在的宿主机提交的用于访问所述容器系统的终端命令时,拒绝所述用户的访问行为,并生成所述用户非法访问所述容器系统的告警信息。
需要说明的是,本发明实施例的容器系统管理装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
请参见图4,是本发明实施例提供的一种终端设备的结构示意图,本发明实施例的所述终端设备包括供电模块等结构,并包括处理器401、存储装置402以及网络接口403。所述处理器401、存储装置402以及网络接口403之间可以交互数据。
所述存储装置402可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储装置402也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory),固态硬盘(solid-state drive,SSD)等;所述存储装置402还可以包括上述种类的存储器的组合。
所述处理器401可以是中央处理器401(central processing unit,CPU)。在一个实施例中,所述处理器401还可以是图形处理器401(Graphics Processing Unit,GPU)。所述处理器401也可以是由CPU和GPU的组合。在一个实施例中,所述存储装置402用于存储程序指令。所述处理器401可以调用所述程序指令,执行如下操作:
获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;
在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;
根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;
当检测到所述用户对所述容器系统的操作指令时,根据所述操作权限数据对所述操作指令进行权限验证;
在验证通过的情况下对所述容器系统执行所述操作指令对应的操作。
可选的,所述操作权限数据包括所述容器系统中所述用户可访问的目录文件以及各个可访问的目录文件对应的权限数值,所述权限数值用于指示所述用户对所述各个可访问的目录文件的操作权限。
可选的,所述处理器401,具体用于:
当检测到所述用户对所述容器系统中目标目录文件的操作指令时,根据所述操作权限数据确定所述目标目录文件是否为所述用户可访问的目录文件;
若是,则获取所述操作指令的指令类型以及所述操作权限数据包括的所述目标目录文件对应的权限数值;
根据所述目标目录文件对应的权限数值对所述指令类型进行权限验证,若验证通过,则在所述容器系统中针对所述目标目录文件执行所述操作指令对应的操作。
可选的,所述操作权限数据还包括所述用户对所述各个可访问的目录文件的保存权限,所述处理器401,还用于:
当检测到所述用户对所述目标目录文件的保存指令时,获取所述操作权限数据包括的所述用户对所述目标目录文件的保存权限;
根据所述用户对所述目标目录文件的保存权限对所述保存指令进行权限验证;
若验证通过,则在所述容器系统中保存所述操作指令对所述目标目录文件做出的修改,并增加所述容器系统的层级。
可选的,所述容器系统的层级固定为0级,所述处理器401,还用于当检测到所述用户对所述目标目录文件的保存指令时,拒绝执行所述保存指令。
可选的,所述处理器401,还用于:
获取用户针对容器系统提交的注册信息,所述注册信息包括账户信息和对所述容器系统的操作权限数据;
在对所述注册信息验证通过后,对所述注册信息进行加密处理以生成所述账户信息对应的目标令牌,并将所述目标令牌与所述账户信息和所述操作权限数据关联后存储到数据库中。
可选的,所述处理器401,还用于当获取到所述用户通过所述容器系统所在的宿主机提交的用于访问所述容器系统的终端命令时,拒绝所述用户的访问行为,并生成所述用户非法访问所述容器系统的告警信息。
具体实现中,本发明实施例中所描述的处理器401、存储装置402以及网络接口403可执行本发明实施例图2提供的一种容器系统管理方法的相关实施例中所描述的实现方式,也可执行本发明实施例图3提供的一种容器系统管理装置的相关实施例中所描述的实现方式,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可能可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以为个人计算机、服务器或者网络设备等,具体可以是计算机设备中的处理器)执行本发明各个实施例上述方法的全部或部分步骤。其中,而前述的存储介质可包括:U盘、移动硬盘、磁碟、光盘、只读存储器(英文:Read-Only Memory,缩写:ROM)或者随机存取存储器(英文:Random Access Memory,缩写:RAM)等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种容器系统管理方法,其特征在于,所述方法包括:
获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;
在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;
根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;
当检测到所述用户对所述容器系统中目标目录文件的操作指令时,根据所述操作权限数据确定所述目标目录文件是否为所述用户可访问的目录文件;
若是,则获取所述操作指令的指令类型以及所述操作权限数据包括的所述目标目录文件对应的权限数值;
根据所述目标目录文件对应的权限数值对所述指令类型进行权限验证,若验证通过,则在所述容器系统中针对所述目标目录文件执行所述操作指令对应的操作;其中,所述容器系统的层级固定为0级;
当检测到所述用户对所述目标目录文件的保存指令时,拒绝执行所述保存指令。
2.根据权利要求1所述的方法,其特征在于,所述操作权限数据包括所述容器系统中所述用户可访问的目录文件以及各个可访问的目录文件对应的权限数值,所述权限数值用于指示所述用户对所述各个可访问的目录文件的操作权限。
3.根据权利要求2所述的方法,其特征在于,所述操作权限数据还包括所述用户对所述各个可访问的目录文件的保存权限,所述在所述容器系统中针对所述目标目录文件执行所述操作指令对应的操作之后,所述方法还包括:
当检测到所述用户对所述目标目录文件的保存指令时,获取所述操作权限数据包括的所述用户对所述目标目录文件的保存权限;
根据所述用户对所述目标目录文件的保存权限对所述保存指令进行权限验证,若验证通过,则在所述容器系统中保存所述操作指令对所述目标目录文件做出的修改,并增加所述容器系统的层级。
4.根据权利要求1所述的方法,其特征在于,所述获取用户提交的用于访问容器系统的账户信息之前,所述方法还包括:
获取用户针对容器系统提交的注册信息,所述注册信息包括账户信息和对所述容器系统的操作权限数据;
在对所述注册信息验证通过后,对所述注册信息进行加密处理以生成所述账户信息对应的目标令牌;
将所述目标令牌与所述账户信息和所述操作权限数据关联后存储到数据库中。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当获取到所述用户通过所述容器系统所在的宿主机提交的用于访问所述容器系统的终端命令时,拒绝所述用户的访问行为,并生成所述用户非法访问所述容器系统的告警信息。
6.一种容器系统管理装置,其特征在于,所述装置包括:
获取模块,用于获取用户提交的用于访问容器系统的账户信息,所述账户信息包括用户名和密码;
所述获取模块,还用于在对所述账户信息校验通过后,从数据库中获取所述账户信息对应的目标令牌,所述目标令牌是根据所述用户的账户信息和所述用户对所述容器系统的操作权限数据生成的;
所述获取模块,还用于根据所述目标令牌获取所述用户对所述容器系统的操作权限数据;
验证模块,用于当检测到所述用户对所述容器系统中目标目录文件的操作指令时,根据所述操作权限数据确定所述目标目录文件是否为所述用户可访问的目录文件;若是,则获取所述操作指令的指令类型以及所述操作权限数据包括的所述目标目录文件对应的权限数值;根据所述目标目录文件对应的权限数值对所述指令类型进行权限验证;
执行模块,用于若验证通过,则在所述容器系统中针对所述目标目录文件执行所述操作指令对应的操作;其中,所述容器系统的层级固定为0级;当检测到所述用户对所述目标目录文件的保存指令时,拒绝执行所述保存指令。
7.一种终端设备,其特征在于,所述终端设备包括处理器、网络接口和存储装置,所述处理器、所述网络接口和所述存储装置相互连接,其中,所述网络接口受所述处理器的控制用于收发数据,所述存储装置用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,用于执行权利要求1~5中任一项所述的容器系统管理方法。
8.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有程序指令,所述程序指令被执行时,用于实现权利要求1~5中任一项所述的容器系统管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911417570.XA CN113127141B (zh) | 2019-12-31 | 2019-12-31 | 一种容器系统管理方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911417570.XA CN113127141B (zh) | 2019-12-31 | 2019-12-31 | 一种容器系统管理方法、装置、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113127141A CN113127141A (zh) | 2021-07-16 |
| CN113127141B true CN113127141B (zh) | 2024-03-15 |
Family
ID=76769269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911417570.XA Active CN113127141B (zh) | 2019-12-31 | 2019-12-31 | 一种容器系统管理方法、装置、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113127141B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113467895B (zh) * | 2021-07-19 | 2024-04-09 | 中科曙光国际信息产业有限公司 | 一种Docker的操作方法、装置、服务器和存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065100A (zh) * | 2012-12-26 | 2013-04-24 | 中国人民解放军总参谋部第六十一研究所 | 一种基于容器的用户私有数据保护方法 |
| JP2013088927A (ja) * | 2011-10-14 | 2013-05-13 | Nomura Research Institute Ltd | 認証管理装置および認証管理方法 |
| CN105701146A (zh) * | 2015-12-28 | 2016-06-22 | 小米科技有限责任公司 | 创建目录的方法和装置 |
| CN107301022A (zh) * | 2017-06-27 | 2017-10-27 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于容器技术的存储访问方法及系统 |
| CN107395648A (zh) * | 2017-09-06 | 2017-11-24 | 深圳峰创智诚科技有限公司 | 权限控制方法及服务端 |
| CN107896227A (zh) * | 2017-12-14 | 2018-04-10 | 珠海格力电器股份有限公司 | 一种数据调用方法、装置及设备数据云平台 |
| CN108073823A (zh) * | 2016-11-18 | 2018-05-25 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN109344650A (zh) * | 2018-09-25 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种文件系统的文件权限管理方法、系统及相关装置 |
| CN109740333A (zh) * | 2018-12-28 | 2019-05-10 | 上汽通用五菱汽车股份有限公司 | 集成系统和子系统的权限管理方法、服务器及存储介质 |
| CN109802941A (zh) * | 2018-12-14 | 2019-05-24 | 平安科技(深圳)有限公司 | 一种登录验证方法、装置、存储介质和服务器 |
| CN110516454A (zh) * | 2019-08-13 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 多设备的交互方法、系统、装置及计算机可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6806543B2 (ja) * | 2016-11-25 | 2021-01-06 | キヤノン株式会社 | 権限検証システムおよびリソースサーバー、認証サーバー、権限検証方法 |
-
2019
- 2019-12-31 CN CN201911417570.XA patent/CN113127141B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013088927A (ja) * | 2011-10-14 | 2013-05-13 | Nomura Research Institute Ltd | 認証管理装置および認証管理方法 |
| CN103065100A (zh) * | 2012-12-26 | 2013-04-24 | 中国人民解放军总参谋部第六十一研究所 | 一种基于容器的用户私有数据保护方法 |
| CN105701146A (zh) * | 2015-12-28 | 2016-06-22 | 小米科技有限责任公司 | 创建目录的方法和装置 |
| CN108073823A (zh) * | 2016-11-18 | 2018-05-25 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN107301022A (zh) * | 2017-06-27 | 2017-10-27 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于容器技术的存储访问方法及系统 |
| CN107395648A (zh) * | 2017-09-06 | 2017-11-24 | 深圳峰创智诚科技有限公司 | 权限控制方法及服务端 |
| CN107896227A (zh) * | 2017-12-14 | 2018-04-10 | 珠海格力电器股份有限公司 | 一种数据调用方法、装置及设备数据云平台 |
| CN109344650A (zh) * | 2018-09-25 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种文件系统的文件权限管理方法、系统及相关装置 |
| CN109802941A (zh) * | 2018-12-14 | 2019-05-24 | 平安科技(深圳)有限公司 | 一种登录验证方法、装置、存储介质和服务器 |
| CN109740333A (zh) * | 2018-12-28 | 2019-05-10 | 上汽通用五菱汽车股份有限公司 | 集成系统和子系统的权限管理方法、服务器及存储介质 |
| CN110516454A (zh) * | 2019-08-13 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 多设备的交互方法、系统、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113127141A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9888032B2 (en) | Method and system for mitigating the effects of ransomware | |
| CN102624699B (zh) | 一种保护数据的方法和系统 | |
| CN103843303B (zh) | 虚拟机的管理控制方法及装置、系统 | |
| JP3363379B2 (ja) | 安全な記憶領域内のアプリケーション・データを保護する方法及び装置 | |
| US8245042B2 (en) | Shielding a sensitive file | |
| US8271790B2 (en) | Method and system for securely identifying computer storage devices | |
| US11368299B2 (en) | Self-encryption drive (SED) | |
| CN202795383U (zh) | 一种保护数据的设备和系统 | |
| US20180322296A1 (en) | Copy protection for secured files | |
| TW202036347A (zh) | 資料儲存、驗證方法及裝置 | |
| CN107430658A (zh) | 安全软件认证及验证 | |
| CA2842741C (en) | Password audit system | |
| CN106533694B (zh) | Openstack令牌访问保护机制的实现方法及系统 | |
| US20220060317A1 (en) | Data at rest encryption (dare) using credential vault | |
| CN105740725A (zh) | 一种文件保护方法与系统 | |
| WO2011148224A1 (en) | Method and system of secure computing environment having auditable control of data movement | |
| CN103970540A (zh) | 关键函数安全调用方法及装置 | |
| US10158623B2 (en) | Data theft deterrence | |
| US11068607B2 (en) | Protecting cognitive code and client data in a public cloud via deployment of data and executables into a secure partition with persistent data | |
| CN113127141B (zh) | 一种容器系统管理方法、装置、终端设备及存储介质 | |
| CN111143808B (zh) | 系统安全认证方法、装置及计算设备、存储介质 | |
| US20240163264A1 (en) | Real-time data encryption/decryption security system and method for network-based storage | |
| US10685106B2 (en) | Protecting cognitive code and client data in a public cloud via deployment of data and executables into a stateless secure partition | |
| CN2927185Y (zh) | 一种数据安全传输设备 | |
| CN113849819B (zh) | 命令行指令的处理方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |