[发明专利]容器编排器的安全认证方法、装置及系统

说明书

本申请公开了一种容器编排器的安全认证方法和装置，所述方法包括：接收终端发送的权限获取请求，所述权限获取请求中携带访问对象标识和期望的操作权限；若所述终端符合预设条件，则生成权限凭证，所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系；将所述权限凭证发送至所述终端。针对用户不同需求提供了相应的权限，避免如果提供给用户和组的权限不符合其特定需求，则恶意用户可能会影响或破坏由容器编排器的其他容器的操作的情况发生。

技术领域

本申请属于容器技术领域，具体涉及一种容器编排器的安全认证方法及装置。

背景技术

目前容器安全在编排管理部分存在的威胁仍然很大，主要是因为无限制的管理访问，未授权的访问等。许多容器编排器的设计假定所有与之交互的用户都是管理员，而那些管理员应该拥有全环境控制权。然而，在许多实例中，一个容器编排器可以运行许多不同的应用程序，由不同的团队管理，具有不同的敏感度级别。如果提供给用户和组的访问权限不符合其特定需求，则恶意用户可能会影响或破坏由容器编排器管理的其他容器的操作。

以典型的容器编排器K8S(Kubernetes，一个开源的容器编排引擎)为例，其使用的API Server(Application Programming Interface Server，接口服务器)认证方式主要有：

https证书认证：基于CA根证书签名的双向数字证书认证方式；

http token认证：通过一个token来识别合法用户；

http basic认证：通过用户名密码的方式认证；

authenticating proxy：第三方授权协议。

因为一个容器编排器K8S可以运行许多不同的应用程序，由不同的团队管理，具有不同的敏感度级别，但是以上这些方法可以认证合法的用户和身份符合条件的用户，所有与之交互的用户都是管理员，因此会出现提供给用户和组的访问权限不符合其特定需求的问题。

发明内容

本申请针对现有技术中存在的上述不足，提供一种容器编排器的安全认证方法及装置。

本申请提供一种容器编排器的安全认证方法，包括：

接收终端发送的权限获取请求，所述权限获取请求中携带访问对象标识和期望的操作权限；

若所述终端符合预设条件，则生成权限凭证，所述权限凭证包括所述终端标识、所述访问对象标识和所述期望的操作权限之间的映射关系；

将所述权限凭证发送至所述终端。

优选地，所述终端符合预设条件包括：所述终端为预设的白名单中的终端。

本申请还提供一种容器编排器的安全认证方法，包括：

接收终端发送的凭证获取请求，所述凭证获取请求中携带权限凭证，所述权限凭证包括终端标识、访问对象标识和期望的操作权限之间的映射关系；

若对所述权限凭证验证通过，则生成访问凭证，所述访问凭证包括访问标识和所述权限凭证；

将所述访问凭证发送至所述终端，以供所述终端根据所述访问凭证对所述访问对象执行期望的操作。

优选地，所述对所述权限凭证验证通过包括：获取到的权限凭证与预先存储的第一权限凭证一致。

优选地，所述对所述权限凭证验证通过之前，还包括：

接收第一服务器发送的第一权限凭证，并保存所述第一权限凭证。

本申请还提供第一服务器，包括：