【技術實現步驟摘要】
本公開涉及應用容器化安全管理,尤其涉及一種應用安全憑證管理方法及裝置。
技術介紹
1、在不同的業務場景,企業應用使用數據庫支持企業的運營、決策制定、客戶服務以及其他業務活動。
2、現在,越來越多的企業應用會使用以用戶名和密碼為代表的安全憑證信息來訪問數據庫,隨著企業應用的數量不斷增多,在研發項目上通常會將各個企業應用所使用的安全憑證信息存放在代碼管理平臺(如svn、git等代碼管理平臺)的配置文件;又或者,對各個企業應用的安全憑證信息進行集中存儲并提供訪問入口,企業應用通過http或tcp等方式訪問安全憑證管理服務,以獲取對應所需的用戶名和密碼,此種方式,需要有專門訪問安全憑證管理服務的驗證。
3、但是,以上實際上仍然是對安全憑證信息的集中管理,不管是明文或密文存儲,一旦集中管理的位置被惡意攻擊,將導致全部應用及其環境的安全憑證信息泄露,因此是存在一定的安全隱患的。
技術實現思路
1、本公開提供了一種應用安全憑證管理方法及裝置,主要目的在于利用應用容器化管理,提供保證應用安全憑證安全性的更加優化解決方案。
2、為了達到上述目的,本公開主要提供如下技術方案:
3、本公開第一方面提供了一種應用安全憑證管理方法,該方法包括:
4、在第一應用啟動之后,從至少一個容器編排平臺各自對應的應用配置文件中讀取所述第一應用對應的登錄憑證信息密文、密鑰和鹽值;其中,每個容器編排平臺對應部署一個應用配置文件,所述密鑰和所述鹽值各自為基于所述第一
5、利用所述密鑰和所述鹽值,通過調用所述第一應用對應的預置加解密工具對所述登錄憑證信息密文執行解密操作,得到所述登錄憑證信息密文對應的登錄憑證信息明文;
6、根據所述登錄憑證信息明文,連接并訪問數據庫。
7、在一些變更實施例中,在所述第一應用啟動之前,所述方法還包括:
8、為至少一個第二應用添加不同的安全等級標識,所述至少一個第二應用包括所述第一應用;
9、根據不同的所述安全等級標識對應所占的預置百分比,將所述至少一個第二應用劃分成至少一個組;
10、將每組所述第二應用部署到不同的容器編排平臺所編排管理的容器中,每個所述容器編排平臺對應部署一個應用配置文件;
11、對于任意一組第二應用,將各所述第二應用對應的登錄憑證信息密文、密鑰和鹽值存儲至所述應用配置文件中。
12、在一些變更實施例中,在將每組所述第二應用部署到不同的容器編排平臺所編排管理的容器的過程中,所述方法還包括:
13、將所述第二應用對應打包成鏡像,所述鏡像對應推送到容器鏡像倉庫;
14、通過將加解密工具庫文件安裝到所述鏡像,得到用于對所述第二應用執行加解密操作的預置加解密工具,所述加解密工具庫文件中封裝有預置加密方法和預置解密方法各自對應的程序代碼。
15、在一些變更實施例中,對于任意一組第二應用,將各所述第二應用對應的登錄憑證信息密文、密鑰和鹽值,存儲至所述應用配置文件中之前,所述方法還包括:
16、提供預置鹽值管理工具的界面或控制臺,用于接收輸入所述第二應用對應的服務標識、環境標識、登錄憑證信息明文,所述登錄憑證信息明文包括用戶名明文和密碼明文;
17、利用所述預置鹽值管理工具對所述服務標識、所述環境標識進行處理,生成鹽值;
18、利用預置密鑰管理工具對所述服務標識、所述環境標識進行處理,生成密鑰;
19、采用所述鹽值和所述密鑰,通過調用所述第二應用對應的所述預置加解密工具對所述登錄憑證信息明文執行加密操作,得到所述登錄憑證信息明文對應的登錄憑證信息密文。
20、在一些變更實施例中,所述采用所述鹽值和所述密鑰,通過調用所述第二應用對應的所述預置加解密工具對所述登錄憑證信息明文執行加密操作,得到所述登錄憑證信息明文對應的登錄憑證信息密文,包括:
21、將所述鹽值和所述用戶名明文進行混淆,得到第一字符串;
22、將所述鹽值和所述密碼明文進行混淆,得到第二字符串;
23、利用所述密鑰,通過調用所述應用對應的預置加解密工具對所述第一字符串和所述第二字符串執行加密操作,得到所述第一字符串對應的第一密文、所述第二字符串對應的第二密文;
24、根據所述第一密文和所述第二密文,得到所述登錄憑證信息明文對應的登錄憑證信息密文。
25、在一些變更實施例中,所述利用所述密鑰和所述鹽值,通過調用所述第一應用對應的所述預置加解密工具對所述登錄憑證信息密文執行解密操作,得到所述登錄憑證信息密文對應的登錄憑證信息明文,包括:
26、確定所述預置加解密工具對應的加解密工具庫文件;
27、調用所述加解密工具庫文件中封裝的預置解密方法,對所述登錄憑證信息密文執行解密操作;
28、基于所述密鑰,解密得到包含所述鹽值的字符串信息;
29、從所述字符串信息中刪除所述鹽值,解密得到所述登錄憑證信息密文對應的所述登錄憑證信息明文。
30、本公開第二方面提供了一種應用安全憑證管理裝置,該裝置包括:
31、讀取單元,用于在第一應用啟動之后,從至少一個容器編排平臺各自對應的應用配置文件中讀取所述第一應用對應的登錄憑證信息密文、密鑰和鹽值;其中,每個容器編排平臺對應部署一個應用配置文件,所述密鑰和所述鹽值各自為基于所述第一應用的服務標識、所述第一應用所在的環境標識所生成的隨機字符串;
32、解密單元,用于利用所述密鑰和所述鹽值,通過調用所述第一應用對應的預置加解密工具對所述登錄憑證信息密文執行解密操作,得到所述登錄憑證信息密文對應的登錄憑證信息明文;
33、訪問連接單元,用于根據所述登錄憑證信息明文,連接并訪問數據庫。
34、在一些變更實施例中,在所述第一應用啟動之前,所述裝置還包括:
35、添加單元,用于為至少一個第二應用添加不同的安全等級標識,所述至少一個第二應用包括所述第一應用;
36、劃分單元,用于根據不同的所述安全等級標識對應所占的預置百分比,將所述至少一個第二應用劃分成至少一個組;
37、部署單元,用于將每組所述第二應用部署到不同的容器編排平臺所編排管理的容器中,每個所述容器編排平臺對應部署一個應用配置文件;
38、存儲單元,用于對于任意一組第二應用,將各所述第二應用對應的登錄憑證信息密文、密鑰和鹽值存儲至所述應用配置文件中。
39、在一些變更實施例中,在將每組所述第二應用部署到不同的容器編排平臺所編排管理的容器的過程中,所述部署單元還包括:
40、打包模塊,用于將所述第二應用對應打包成鏡像,所述鏡像對應推送到容器鏡像倉庫;
41、提供模塊,用于通過將加解密工具庫文件安裝到所述鏡像,得到用于對所述第二應用執行本文檔來自技高網...
【技術保護點】
1.一種應用安全憑證管理方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,在所述第一應用啟動之前,所述方法還包括:
3.根據權利要求2所述的方法,其特征在于,在將每組所述第二應用部署到不同的容器編排平臺所編排管理的容器的過程中,所述方法還包括:
4.根據權利要求2所述的方法,其特征在于,對于任意一組第二應用,將各所述第二應用對應的登錄憑證信息密文、密鑰和鹽值,存儲至所述應用配置文件中之前,所述方法還包括:
5.根據權利要求4所述的方法,其特征在于,所述采用所述鹽值和所述密鑰,通過調用所述第二應用對應的所述預置加解密工具對所述登錄憑證信息明文執行加密操作,得到所述登錄憑證信息明文對應的登錄憑證信息密文,包括:
6.根據權利要求5所述的方法,其特征在于,所述利用所述密鑰和所述鹽值,通過調用所述第一應用對應的所述預置加解密工具對所述登錄憑證信息密文執行解密操作,得到所述登錄憑證信息密文對應的登錄憑證信息明文,包括:
7.一種應用安全憑證管理裝置,其特征在于,所述裝置包括:
8.
9.一種電子設備,其特征在于,所述設備包括至少一個處理器、以及與所述處理器連接的至少一個存儲器、總線;
10.一種計算機程序產品,其特征在于,包括計算機程序/指令,所述計算機程序/指令被處理器執行時實現如權利要求1-6中任一項所述的應用安全憑證管理方法。
...【技術特征摘要】
1.一種應用安全憑證管理方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,在所述第一應用啟動之前,所述方法還包括:
3.根據權利要求2所述的方法,其特征在于,在將每組所述第二應用部署到不同的容器編排平臺所編排管理的容器的過程中,所述方法還包括:
4.根據權利要求2所述的方法,其特征在于,對于任意一組第二應用,將各所述第二應用對應的登錄憑證信息密文、密鑰和鹽值,存儲至所述應用配置文件中之前,所述方法還包括:
5.根據權利要求4所述的方法,其特征在于,所述采用所述鹽值和所述密鑰,通過調用所述第二應用對應的所述預置加解密工具對所述登錄憑證信息明文執行加密操作,得到所述登錄憑證信息明文對應的登錄憑證信息密文,包括:
6.根據權利要求...
【專利技術屬性】
技術研發人員:高維國,
申請(專利權)人:百融至信北京科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。