CN114547661A - 应用配置数据的加解密方法、装置、设备和存储介质 - Google Patents
应用配置数据的加解密方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN114547661A CN114547661A CN202210281716.8A CN202210281716A CN114547661A CN 114547661 A CN114547661 A CN 114547661A CN 202210281716 A CN202210281716 A CN 202210281716A CN 114547661 A CN114547661 A CN 114547661A
- Authority
- CN
- China
- Prior art keywords
- application configuration
- application
- configuration data
- storage volume
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 43
- 238000004590 computer program Methods 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供一种应用配置数据的加解密方法、装置、设备和存储介质,当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,所述方法包括:若所述当前应用中包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;若所述第一应用配置数据中包含待处理数据,则在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。本公开的技术方案可以提高应用配置数据的兼容性和灵活性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种应用配置数据的加解密方法、装置、电子设备和非暂态计算机可读存储介质。
背景技术
在基于kubernetes集群的云平台中,应用配置信息一般会使用configmap资源类型存储,一些密码等敏感信息会使用secret对象类型存储,云平台将configmap挂载到应用容器内的指定目录或文件,以供应用进行读取使用。configmap存储的是文本信息,secret存储的是base64编码后的信息,这都可能导致敏感信息的泄露。为了避免敏感信息泄露,可以提前加密数据并将加密后的数据存入configmap或secret,用户容器内的应用可以获取加密后的内容并通过内置的解密组件解密后使用。
上述方案可以解决kubernetes集群环境下敏感信息的安全问题,但是要求所有应用进行改造以集成解密组件,从而产生了改造成本。此外在还需要为一些无法改造的应用提供明文配置数据,从而增加了系统的运维成本和出错概率。
发明内容
本公开提供一种应用配置数据的加解密方法、装置、电子设备和非暂态计算机可读存储介质,用以解决现有技术中配置数据加密方案灵活性不高的问题,提高了应用配置数据的灵活性和兼容性。
本公开提供一种应用配置数据的加解密方法,当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,所述方法包括:若所述当前应用中包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;若所述第一应用配置数据中包含待处理数据,则在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
根据本公开提供的应用配置数据的加解密方法,所述将加密处理结果存储到所述应用配置密文存储卷之后,所述方法还包括:从所述应用配置密文存储卷中读取所述加密处理结果并进行解密处理,以根据解密处理结果对所述当前应用进行配置。
根据本公开提供的应用配置数据的加解密方法,所述获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据之前,所述方法还包括:获取所述当前应用的创建请求,所述创建请求包括所述第一应用配置数据,所述第一应用配置数据包括用于表征所述第一应用配置数据是否包含所述待处理数据的标注数据。
根据本公开提供的应用配置数据的加解密方法,所述获取所述当前应用的创建请求之后,所述方法还包括:根据所述创建请求获取所述标注数据;根据所述标注数据判断所述第一应用配置数据是否包含所述待处理数据;若是,在所述当前容器中挂载所述应用配置密文存储卷。
根据本公开提供的应用配置数据的加解密方法,所述方法还包括:接收kubernetes集群通过钩子机制转发的所述创建请求。
根据本公开提供的应用配置数据的加解密方法,所述方法还包括:若所述当前应用中未包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据,以根据所述第一应用配置数据对所述当前应用进行配置。
根据本公开提供的应用配置数据的加解密方法,所述获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据之后,所述方法还包括:根据所述标注数据判断所述第一应用配置数据中是否包含待处理数据。
根据本公开提供的一种应用配置数据的加解密装置,当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,所述装置包括:第一获取单元,用于在所述当前应用中包含加解密模块时,获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;处理单元,用于在所述第一应用配置数据中包含待处理数据时,在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
根据本公开提供的应用配置数据的加解密装置,所述装置还包括解密单元,用于从所述应用配置密文存储卷中读取所述加密处理结果并进行解密处理,以根据解密处理结果对所述当前应用进行配置。
根据本公开提供的应用配置数据的加解密装置,所述装置还包括第二获取单元,用于获取所述当前应用的创建请求,所述创建请求包括所述第一应用配置数据,所述第一应用配置数据包括用于表征所述第一应用配置数据是否包含所述待处理数据的标注数据。
根据本公开提供的应用配置数据的加解密装置,所述装置还包括第三获取单元,用于根据所述创建请求获取所述标注数据;判断单元,用于根据所述标注数据判断所述第一应用配置数据是否包含所述待处理数据;挂载单元,用于第一应用配置数据包含待处理数据时,在所述当前容器中挂载所述应用配置密文存储卷。
根据本公开提供的应用配置数据的加解密装置,所述装置还包括接收单元,用于接收kubernetes集群通过钩子机制转发的所述创建请求。
根据本公开提供的应用配置数据的加解密装置,所述第一获取单元还用于,在所述当前应用中未包含加解密模块时,获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据,以根据所述第一应用配置数据对所述当前应用进行配置。
根据本公开提供的应用配置数据的加解密装置,所述判断单元还用于,在获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据之后,根据所述标注数据判断所述第一应用配置数据中是否包含待处理数据。
本公开还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述应用配置数据的加解密方法的步骤。
本公开还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述应用配置数据的加解密方法的步骤。
本公开提供的应用配置数据的加解密方法、装置、电子设备和非暂态计算机可读存储介质,通过在当前容器中挂载应用配置明文存储卷和应用配置密文存储卷,可以在应用具有加解密模块时对应用配置明文存储卷中的指定配置数据进行加密处理并存储到应用配置密文存储卷中,提高了配置数据的安全性,同时,应用配置明文存储卷可以为不具有解密模块的应用提供配置数据,提高了配置数据的兼容性,进而实现对配置数据的安全性和兼容性的平衡。
附图说明
为了更清楚地说明本公开或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本公开提供的应用配置数据的加解密方法的流程示意图;
图2是本公开提供的存储卷与应用和容器之间关系的示意图;
图3是本公开提供的拦截挂载模块与kubernetes集群关系的示意图之一;
图4是本公开提供的拦截挂载模块与kubernetes集群关系的示意图之二;
图5是本公开提供的应用配置数据的加解密装置的结构示意图;
图6是本公开提供的电子设备的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合本公开中的附图,对本公开中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
在本公开一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开一个或多个实施例。在本公开一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本公开一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以下对本公开实施例中的技术名词进行解释:
容器:打包应用及其运行依赖环境的技术。
存储卷:包含可被容器访问的数据的目录,容器重启期间存储卷内的数据不会丢失。
configmap:是kubernetes技术的一种API(Application ProgrammingInterface,应用程序接口)对象,用于将应用配置数据和应用程序代码分开,其可以将非加密数据保存到键值对中,用作环境变量、命令行参数或者存储卷中的配置文件。configmap可以将环境变量配置信息和容器镜像解耦,因而便于应用配置的修改。
下面结合附图对本公开示例实施方式进行详细说明。
如图1所示的是本公开实施例的应用配置数据的加解密方法的流程图。本公开实施例提供的方法可以由任意具备计算机处理能力的电子设备执行,例如终端设备和/或服务器。
在本公开实施例的应用配置数据的加解密方法中,当前应用所在的当前容器中可以包含应用配置明文存储卷和应用配置密文存储卷。
具体的,当前容器为当前应用所在的容器。容器是一种打包应用程序或服务以及它运行所需的依赖关系的手段,这些依赖关系可以为代码、运行时、系统库等。在本公开实施例中,当前容器可以为kubernetes集群的容器。kubernetes是一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。kubernetes集群基于kubernetes技术形成,是一种由物理服务器或者虚拟机组成的计算机系统。
如图1所示,该应用配置数据的加解密方法包括:
步骤102,若当前应用中包含加解密模块,则获取应用配置明文存储卷中的当前应用的第一应用配置数据。
具体的,应用配置明文存储卷用于存储明文形式的配置数据,应用配置密文存储卷用于存储密文形式的配置数据,应用配置明文存储卷和应用配置密文存储卷均可以挂载于当前容器中。配置数据包括在应用的启动、驱动装载和运行过程中所需要的各种参数,例如,配置数据可以包括应用的初始化信息等普通信息,也可以包括用户标识和用户密码等需要加密的敏感信息。
步骤104,若第一应用配置数据中包含待处理数据,则在使用加解密模块对第一应用配置数据进行加密处理后,将加密处理结果存储到应用配置密文存储卷,并将应用配置明文存储卷中的第一应用配置数据替换为设定字符串。
具体地,待处理数据即为包括需要进行加密处理的敏感信息的配置数据。加解密模块是当前应用中的一个功能模块,其可以在应用加载配置数据前,对明文配置数据中的敏感信息进行加密并存储到密文存储卷中,以保证敏感信息不被泄露。将应用配置明文存储卷中的待处理数据替换为设定字符串,可以使得应用配置明文存储卷中不再有敏感信息,从而进一步保证敏感信息不被泄露。该设定字符串的含义可以为:对应配置数据已被加密替换,以将经过加密处理的第一应用配置数据的原文件与其它应用配置数据区分。
在本公开实施例的技术方案中,通过在容器中挂载应用配置明文存储卷和应用配置密文存储卷,可以在应用配置明文存储卷中存储的配置数据中包含有待处理的敏感信息时,将敏感信息进行加密处理后存储到应用配置密文存储卷,以供应用通过解密模块解密后使用;并通过使用设定字符串替换敏感信息将应用配置明文存储卷中的敏感信息去除,从而保证了敏感信息在应用运行过程中的安全性。
例如,生产环境的数据库密码主要由运维管理,开发人员进入容器内可以看到明文密码,或者程序漏洞可能暴露明文密码,从而产生安全问题。本公开实施例中的技术方案可以保证信息安全。此外,在kubernetes云平台中,有的应用因为不能集成加解密模块,从而不能使用常用的密文配置数据,本公开实施例的技术方案中设置应用配置明文存储卷和应用配置密文存储卷,可以兼容不能集成加解密模块的应用,保证了执行加解密方法的系统的灵活性。
在有的应用中无法集成加解密模块时,可以直接使用应用配置明文存储卷中的配置数据,从而使得本公开实施例的技术方案中的配置数据可以同时兼容明文和密文两种使用方式,保证了本公开技术方案的较高的兼容性和灵活性。
如图2所示,本公开实施例中,应用配置明文存储卷201和应用配置密文存储卷202都挂载在kubernetes集群的应用容器203中。应用程序204可以读取应用配置明文存储卷201和应用配置密文存储卷202中的配置数据。应用程序204中的加解密模块205可以在应用程序204加载配置数据前对配置数据中的待处理数据进行加密处理。
在步骤102之前,在kubernetes云平台下,应用配置内容可以采用明文方式,以configmap形式存入分布式注册服务中心etcd。etcd是一种用于共享配置和服务发现的分布式和一致性的键值对存储系统。
在步骤102之前,获取当前应用的创建请求,创建请求包括第一应用配置数据,第一应用配置数据包括用于表征第一应用配置数据是否包含待处理数据的标注数据。
具体地,用户在创建应用时,可以指明使用上述configmap,并且可以通过label(标注)或annotation(标记)方式生成标注数据,以标识该configmap是否包含敏感信息,以便后续环节进行加解密处理。
在本公开实施例中,如图3所示,可以设置一个拦截挂载模块302。其中,拦截挂载模块的作用为拦截应用创建请求,并在满足设定条件时在kubernetes集群的容器中挂载应用配置密文存储卷。该设定条件即为第一应用配置数据包含待处理数据。
拦截挂载模块可以接收应用创建请求301,当拦截挂载模块发现应用使用的configmap包含敏感信息时,会自动给应用添加一个加密数据卷,即应用设置密文存储卷,用于后续存储加密后的文件。加上原有明文configmap挂载卷,即应用设置密文存储卷,应用相当于存在一个明文存储卷和一个密文存储卷。
具体地,拦截挂载模块可以根据创建请求获取标注数据,并根据标注数据判断第一应用配置数据是否包含待处理数据;若是,通过kubernetes集群303在当前容器中挂载应用配置密文存储卷。
此外,如图4所示,拦截挂载模块可以后置,应用可以被直接发送到kubernetes集群,并被kubernetes集群的钩子机制转发,拦截挂载模块接收kubernetes集群通过钩子机制转发的创建请求,并进行拦截挂载处理。具体地,用户创建的应用创建请求401先发送到kubernetes集群402,通过kubernetes webhook(钩子)机制,应用创建请求被转发给拦截挂载模块403,经由拦截挂载模块处理之后再交给kubernetes集群进行后续处理。
拦截挂载模块依据应用配置明文存储卷创建应用配置密文存储卷,使得应用容器存在明文+密文两种存储卷,以根据应用是否集成加解密模块使用不同的存储卷。
在步骤102之前,需要判断当前应用中是否包含加解密模块。若当前应用中未包含加解密模块,则获取应用配置明文存储卷中的当前应用的第一应用配置数据,以根据第一应用配置数据对当前应用进行配置。
具体地,对于未集成加解密模块的应用,可以按照原来方式从应用配置明文存储卷中读取明文配置数据使用。配置数据同时兼容明文和密文两种使用方式,保证了本公开技术方案的较高的兼容性和灵活性。
在步骤104之前,可以根据标注数据判断第一应用配置数据中是否包含待处理数据。若包含,在步骤104中可以对该待处理数据进行加密处理。若不包含,则不需要执行步骤104。
在本公开实施例中,加解密模块可以包括加密模块和解密模块。
在步骤104中,若当前应用中包含加解密模块,在应用启动之前的容器启动过程中,可以使用加密模块从应用配置明文存储卷中读取配置数据,若配置数据中存在敏感信息,则可以按照加密模块内置的加密方法对明文配置数据中包含敏感信息的配置数据进行加密处理,将加密后生成的文件存入应用配置密文存储卷路径下,并把原有的明文配置文件内容替代为一个表征加密完成的特定字符串。
在步骤104之后,可以从应用配置密文存储卷中读取加密处理结果并进行解密处理,以根据解密处理结果对当前应用进行配置。
具体地,解密模块可以集成到应用中,通过该解密模块,应用可以根据配置内容从应用配置密文存储卷中读取加密配置文件,并在对该加密配置文件进行解密后返回给应用使用。
本公开提供的应用配置数据的加解密方法,通过在当前容器中挂载应用配置明文存储卷和应用配置密文存储卷,可以在应用具有加解密模块时对应用配置明文存储卷中的指定配置数据进行加密处理并存储到应用配置密文存储卷中,提高了配置数据的安全性,同时,应用配置明文存储卷可以为不具有解密模块的应用提供配置数据,提高了配置数据的兼容性,进而实现对配置数据的安全性和兼容性的平衡。
下面对本公开提供的应用配置数据的加解密装置进行描述,下文描述的应用配置数据的加解密装置与上文描述的应用配置数据的加解密方法可相互对应参照。
如图5所示,本公开实施例的应用配置数据的加解密装置中,当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,应用配置数据的加解密装置可以包括:
第一获取单元502,可以用于在当前应用中包含加解密模块时,获取应用配置明文存储卷中的当前应用的第一应用配置数据。
具体的,应用配置明文存储卷用于存储明文形式的配置数据,应用配置密文存储卷用于存储密文形式的配置数据,应用配置明文存储卷和应用配置密文存储卷均可以挂载于当前容器中。配置数据包括在应用的启动、驱动装载和运行过程中所需要的各种参数,例如,配置数据可以包括应用的初始化信息等普通信息,也可以包括用户标识和用户密码等需要加密的敏感信息。
处理单元504,可以用于在第一应用配置数据中包含待处理数据时,在使用加解密模块对第一应用配置数据进行加密处理后,将加密处理结果存储到应用配置密文存储卷,并将应用配置明文存储卷中的第一应用配置数据替换为设定字符串。
具体地,待处理数据即为包括需要进行加密处理的敏感信息的配置数据。加解密模块是当前应用中的一个功能模块,其可以在应用加载配置数据前,对明文配置数据中的敏感信息进行加密并存储到密文存储卷中,以保证敏感信息不被泄露。将应用配置明文存储卷中的待处理数据替换为设定字符串,可以使得应用配置明文存储卷中不再有敏感信息,从而进一步保证敏感信息不被泄露。该设定字符串的含义可以为:对应配置数据已被加密替换,以将经过加密处理的第一应用配置数据的原文件与其它应用配置数据区分。
其中,处理单元504可以是加解密模块的一部分,即处理单元属于加解密模块的一部分,加解密模块属于本公开实施例中的加解密装置。处理单元504也可以是加解密装置中使用加解密模块进行加解密处理的单元。
在本公开实施例的技术方案中,通过在容器中挂载应用配置明文存储卷和应用配置密文存储卷,可以在应用配置明文存储卷中存储的配置数据中包含有待处理的敏感信息时,将敏感信息进行加密处理后存储到应用配置密文存储卷,以供应用通过解密模块解密后使用;并通过使用设定字符串替换敏感信息将应用配置明文存储卷中的敏感信息去除,从而保证了敏感信息在应用运行过程中的安全性。
例如,生产环境的数据库密码主要由运维管理,开发人员进入容器内可以看到明文密码,或者程序漏洞可能暴露明文密码,从而产生安全问题。本公开实施例中的技术方案可以保证信息安全。此外,在kubernetes云平台中,有的应用因为不能集成加解密模块,从而不能使用常用的密文配置数据,本公开实施例的技术方案中设置应用配置明文存储卷和应用配置密文存储卷,可以兼容不能集成加解密模块的应用,保证了加解密装置的灵活性。
在有的应用中无法集成加解密模块时,可以直接使用应用配置明文存储卷中的配置数据,从而使得本公开实施例的技术方案中的配置数据可以同时兼容明文和密文两种使用方式,保证了本公开技术方案的较高的兼容性和灵活性。
在本公开实施例中,应用配置数据的加解密装置还可以包括解密单元,用于从应用配置密文存储卷中读取加密处理结果并进行解密处理,以根据解密处理结果对当前应用进行配置。
在本公开实施例中,应用配置数据的加解密装置还可以包括第二获取单元,用于获取当前应用的创建请求,创建请求包括第一应用配置数据,第一应用配置数据包括用于表征第一应用配置数据是否包含待处理数据的标注数据。体地,用户在创建应用时,可以指明使用上述configmap,并且可以通过label(标注)或annotation(标记)方式生成标注数据,以标识该configmap是否包含敏感信息,以便后续环节进行加解密处理。
在本公开实施例中,应用配置数据的加解密装置还可以包括第三获取单元,用于根据创建请求获取标注数据;判断单元,用于根据标注数据判断第一应用配置数据是否包含待处理数据;挂载单元,用于第一应用配置数据包含待处理数据时,在当前容器中挂载应用配置密文存储卷。
其中,第三获取单元、判断单元和挂载单元可以起到拦截挂载的作用,即拦截应用创建请求,并在满足设定条件时在kubernetes集群的容器中挂载应用配置密文存储卷。该设定条件即为第一应用配置数据包含待处理数据。
在本公开实施例中,应用配置数据的加解密装置还可以包括接收单元,用于接收kubernetes集群通过钩子机制转发的创建请求。
在本公开实施例中,第一获取单元还可以用于,在当前应用中未包含加解密模块时,获取应用配置明文存储卷中的当前应用的第一应用配置数据,以根据第一应用配置数据对当前应用进行配置。具体地,对于未集成加解密模块的应用,可以按照原来方式从应用配置明文存储卷中读取明文配置数据使用。配置数据同时兼容明文和密文两种使用方式,保证了本公开技术方案的较高的兼容性和灵活性。
在本公开实施例中,判断单元还可以用于,在获取应用配置明文存储卷中的当前应用的第一应用配置数据之后,根据标注数据判断第一应用配置数据中是否包含待处理数据。若包含,可以由处理单元504对该待处理数据进行加密处理。若不包含,则不需要由处理单元504对该待处理数据进行加密处理。
由于本公开的示例实施例的应用配置数据的加解密装置的各个功能模块与上述应用配置数据的加解密方法的示例实施例的步骤对应,因此对于本公开装置实施例中未披露的细节,请参照本公开上述的应用配置数据的加解密方法的实施例。
本公开提供的应用配置数据的加解密装置,通过在当前容器中挂载应用配置明文存储卷和应用配置密文存储卷,可以在应用具有加解密模块时对应用配置明文存储卷中的指定配置数据进行加密处理并存储到应用配置密文存储卷中,提高了配置数据的安全性,同时,应用配置明文存储卷可以为不具有解密模块的应用提供配置数据,提高了配置数据的兼容性,进而实现对配置数据的安全性和兼容性的平衡。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电处理子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行应用配置数据的加解密方法,该方法包括:当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,若所述当前应用中包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;若所述第一应用配置数据中包含待处理数据,则在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本公开还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的应用配置数据的加解密方法,该方法包括:当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,若所述当前应用中包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;若所述第一应用配置数据中包含待处理数据,则在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
又一方面,本公开还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的应用配置数据的加解密方法,该方法包括:当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,若所述当前应用中包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;若所述第一应用配置数据中包含待处理数据,则在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围。
Claims (10)
1.一种应用配置数据的加解密方法,其特征在于,当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,所述方法包括:
若所述当前应用中包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;
若所述第一应用配置数据中包含待处理数据,则在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
2.根据权利要求1所述的方法,其特征在于,所述将加密处理结果存储到所述应用配置密文存储卷之后,所述方法还包括:
从所述应用配置密文存储卷中读取所述加密处理结果并进行解密处理,以根据解密处理结果对所述当前应用进行配置。
3.根据权利要求1所述的方法,其特征在于,所述获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据之前,所述方法还包括:
获取所述当前应用的创建请求,所述创建请求包括所述第一应用配置数据,所述第一应用配置数据包括用于表征所述第一应用配置数据是否包含所述待处理数据的标注数据。
4.根据权利要求3所述的方法,其特征在于,所述获取所述当前应用的创建请求之后,所述方法还包括:
根据所述创建请求获取所述标注数据;
根据所述标注数据判断所述第一应用配置数据是否包含所述待处理数据;
若是,在所述当前容器中挂载所述应用配置密文存储卷。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收kubernetes集群通过钩子机制转发的所述创建请求。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:若所述当前应用中未包含加解密模块,则获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据,以根据所述第一应用配置数据对所述当前应用进行配置。
7.根据权利要求3所述的方法,其特征在于,所述获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据之后,所述方法还包括:
根据所述标注数据判断所述第一应用配置数据中是否包含待处理数据。
8.一种应用配置数据的加解密装置,其特征在于,当前应用所在的当前容器中包含应用配置明文存储卷和应用配置密文存储卷,所述装置包括:
第一获取单元,用于在所述当前应用中包含加解密模块时,获取所述应用配置明文存储卷中的所述当前应用的第一应用配置数据;
处理单元,用于在所述第一应用配置数据中包含待处理数据时,在使用所述加解密模块对所述第一应用配置数据进行加密处理后,将加密处理结果存储到所述应用配置密文存储卷,并将所述应用配置明文存储卷中的所述第一应用配置数据替换为设定字符串。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210281716.8A CN114547661A (zh) | 2022-03-21 | 2022-03-21 | 应用配置数据的加解密方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210281716.8A CN114547661A (zh) | 2022-03-21 | 2022-03-21 | 应用配置数据的加解密方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114547661A true CN114547661A (zh) | 2022-05-27 |
Family
ID=81666553
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210281716.8A Pending CN114547661A (zh) | 2022-03-21 | 2022-03-21 | 应用配置数据的加解密方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114547661A (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180183575A1 (en) * | 2016-01-25 | 2018-06-28 | Ping An Technology (Shenzhen) Co., Ltd. | Method, mobile terminal, device, and readable storage medium for preventing accessed data from being tampered with |
| CN108229190A (zh) * | 2018-01-02 | 2018-06-29 | 北京亿赛通科技发展有限责任公司 | 透明加解密的控制方法、装置、程序、存储介质和电子设备 |
| CN108280356A (zh) * | 2018-01-17 | 2018-07-13 | 吉浦斯信息咨询(深圳)有限公司 | 文件加解密方法、装置、处理终端及计算机可读存储介质 |
| CN111641497A (zh) * | 2020-06-17 | 2020-09-08 | 深圳市钱海网络技术有限公司 | 一种对敏感参数进行自动解密的方法及装置 |
| CN112346821A (zh) * | 2020-12-01 | 2021-02-09 | 新华智云科技有限公司 | 基于kubernetes的应用配置管理方法与系统 |
| US20210097169A1 (en) * | 2019-09-30 | 2021-04-01 | International Business Machines Corporation | Protecting workloads in kubernetes |
| US20210103392A1 (en) * | 2019-10-04 | 2021-04-08 | Zettaset, Inc. | Dedicated Encrypted Container Storage |
| CN112711762A (zh) * | 2020-12-22 | 2021-04-27 | 航天信息股份有限公司 | 一种数据库透明加密的方法 |
| WO2021155959A1 (en) * | 2020-02-07 | 2021-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Storage provisioning |
| CN113342280A (zh) * | 2021-06-25 | 2021-09-03 | 航天云网科技发展有限责任公司 | 基于Kubernetes的存储配置方法、系统及电子设备 |
| US20210319114A1 (en) * | 2020-04-08 | 2021-10-14 | Avaya Management L.P. | Method and service to encrypt data stored on volumes used by containers |
| CN113886015A (zh) * | 2021-09-29 | 2022-01-04 | 新华智云科技有限公司 | 一种基于k8s的应用消息发布方法 |
| US20220012373A1 (en) * | 2020-07-13 | 2022-01-13 | Avaya Management L.P. | Method to encrypt the data at rest for data residing on kubernetes persistent volumes |
| CN114096965A (zh) * | 2019-07-11 | 2022-02-25 | 国际商业机器公司 | 容器的黑盒安全性 |
| CN114201763A (zh) * | 2020-09-18 | 2022-03-18 | Emc Ip控股有限公司 | 优化容器镜像加密 |
-
2022
- 2022-03-21 CN CN202210281716.8A patent/CN114547661A/zh active Pending
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180183575A1 (en) * | 2016-01-25 | 2018-06-28 | Ping An Technology (Shenzhen) Co., Ltd. | Method, mobile terminal, device, and readable storage medium for preventing accessed data from being tampered with |
| CN108229190A (zh) * | 2018-01-02 | 2018-06-29 | 北京亿赛通科技发展有限责任公司 | 透明加解密的控制方法、装置、程序、存储介质和电子设备 |
| CN108280356A (zh) * | 2018-01-17 | 2018-07-13 | 吉浦斯信息咨询(深圳)有限公司 | 文件加解密方法、装置、处理终端及计算机可读存储介质 |
| CN114096965A (zh) * | 2019-07-11 | 2022-02-25 | 国际商业机器公司 | 容器的黑盒安全性 |
| US20210097169A1 (en) * | 2019-09-30 | 2021-04-01 | International Business Machines Corporation | Protecting workloads in kubernetes |
| US20210103392A1 (en) * | 2019-10-04 | 2021-04-08 | Zettaset, Inc. | Dedicated Encrypted Container Storage |
| WO2021155959A1 (en) * | 2020-02-07 | 2021-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Storage provisioning |
| US20210319114A1 (en) * | 2020-04-08 | 2021-10-14 | Avaya Management L.P. | Method and service to encrypt data stored on volumes used by containers |
| CN111641497A (zh) * | 2020-06-17 | 2020-09-08 | 深圳市钱海网络技术有限公司 | 一种对敏感参数进行自动解密的方法及装置 |
| US20220012373A1 (en) * | 2020-07-13 | 2022-01-13 | Avaya Management L.P. | Method to encrypt the data at rest for data residing on kubernetes persistent volumes |
| CN113934508A (zh) * | 2020-07-13 | 2022-01-14 | 阿瓦亚管理有限合伙公司 | 对驻留在kubernetes持久卷上的数据静态加密数据的方法 |
| CN114201763A (zh) * | 2020-09-18 | 2022-03-18 | Emc Ip控股有限公司 | 优化容器镜像加密 |
| CN112346821A (zh) * | 2020-12-01 | 2021-02-09 | 新华智云科技有限公司 | 基于kubernetes的应用配置管理方法与系统 |
| CN112711762A (zh) * | 2020-12-22 | 2021-04-27 | 航天信息股份有限公司 | 一种数据库透明加密的方法 |
| CN113342280A (zh) * | 2021-06-25 | 2021-09-03 | 航天云网科技发展有限责任公司 | 基于Kubernetes的存储配置方法、系统及电子设备 |
| CN113886015A (zh) * | 2021-09-29 | 2022-01-04 | 新华智云科技有限公司 | 一种基于k8s的应用消息发布方法 |
Non-Patent Citations (2)
| Title |
|---|
| 任兰芳;庄小君;付俊;: "Docker容器安全防护技术研究", 电信工程技术与标准化, no. 03, 15 March 2020 (2020-03-15) * |
| 王鹃;樊成阳;程越强;赵波;韦韬;严飞;张焕国;马婧;: "SGX技术的分析和研究", 软件学报, no. 09, 15 September 2018 (2018-09-15) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111143869B (zh) | 应用程序包处理方法、装置、电子设备及存储介质 | |
| US11025415B2 (en) | Cryptographic operation method, method for creating working key, cryptographic service platform, and cryptographic service device | |
| CN110414187B (zh) | 模型安全交付自动化的系统及其方法 | |
| CN111552931A (zh) | java代码的加壳方法与系统 | |
| CN107689943B (zh) | 一种数据加密的方法、用户终端、服务器及系统 | |
| CN110278192B (zh) | 外网访问内网的方法、装置、计算机设备及可读存储介质 | |
| CN113544675A (zh) | 安全执行客户机所有者环境控制符 | |
| US11928449B2 (en) | Information processing method, device, apparatus and system, medium, andprogram | |
| CN111259364B (zh) | 一种使用国密加密卡的方法、装置、设备及存储介质 | |
| CN108134673A (zh) | 一种生成白盒库文件的方法及装置 | |
| CN113609514B (zh) | 一种云硬盘加解密方法、装置、系统及可读存储介质 | |
| CN112199151B (zh) | 一种应用程序的运行方法及装置 | |
| CN113342425A (zh) | 一种Linux嵌入式系统的启动方法、装置和存储介质 | |
| CN112153012B (zh) | 多端触点接入方法、装置及存储介质 | |
| CN110880965A (zh) | 一种外发电子文档加密方法、系统、终端及存储介质 | |
| CN114547661A (zh) | 应用配置数据的加解密方法、装置、设备和存储介质 | |
| CN115941279A (zh) | 数据中用户标识的加解密方法、系统及设备 | |
| CN116244682A (zh) | 数据库的访问方法、装置、设备以及存储介质 | |
| US20210028949A1 (en) | Securing a provable resource possession | |
| CN109783156B (zh) | 一种应用的启动控制方法及装置 | |
| CN107592217A (zh) | 一种用户识别方法和装置 | |
| CN113806787A (zh) | 一种arm平台自动解密的方法、装置、设备及可读介质 | |
| CN108021801B (zh) | 基于虚拟桌面的防泄密方法、服务器及存储介质 | |
| CN115018509A (zh) | 一种对象的处理方法、装置、电子设备及存储介质 | |
| CN112363771B (zh) | 应用程序的处理方法及相关产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |