本申请实施例公开了一种密钥管理系统及方法,属于容器技术领域,密钥管理系统包括:容器集群和共享存储服务,容器集群中包括多于一个容器,容器中包括至少一个服务,其中,容器集群的第一容器运行的服务中包括资源管理系统;所述资源管理系统用于获取密钥创建请求;调用功能接口获取所述用户信息对应的密钥;向共享存储服务发送密钥;共享存储服务用于存储密钥。本申请中,基于共享存储服务的独立性,密钥在修改时只需要获取新的密钥进行覆盖存储,不需要重新构建容器Image,减少处理开销,节约时间,提高密钥的更新效率,保证密钥更新的及时性,防止由于密钥更新不及时而影响信息传输的安全性。
【技术实现步骤摘要】
密钥管理系统和方法
本申请实施例涉及容器
,特别涉及一种密钥管理系统和方法。
技术介绍
目前,大数据集群在启用安全认证之后,容器集群中的服务需要通过密钥进行身份认证之后获取所需要的数据。在相关技术中,服务在请求获取大数据集群中的数据时,需要通过密钥进行身份认证,在通过身份认证之后,大数据集群向服务提供所需要获取的数据。然而,在上述相关技术中,密钥存储在容器集群中的服务的镜像(Image)中,在对密钥进行修改时,需要重新构建容器Image,处理开销大。
技术实现思路
本申请实施例提供了一种密钥管理系统和方法,能够实现提高密钥的更新效率,保证密钥更新的及时性。所述技术方案如下:一方面,本申请实施例提供了一种密钥管理系统,所述密钥管理系统包括:容器集群和共享存储服务,所述容器集群中包括多于一个容器,所述容器中包括至少一个服务,其中,所述容器集群的第一容器运行的服务中包括资源管理系统;所述资源管理系统用于获取密钥创建请求,所述密钥创建请求中包括用户信息;调用功能接口获取所述用户信息对应的密钥;向所述共享存储服务发送所述密钥;所述共享存储服务用于存储所述密钥。另一方面,本申请实施例提供了一种密钥管理方法,应用于密钥管理系统,所述密钥管理系统包括:容器集群和共享存储服务,所述容器集群中包括多于一个容器,所述容器中包括至少一个服务,其中,所述容器集群的第一容器运行的服务中包括资源管理系统,所述方法包括:所述资源管理系统获取密钥创建请求,所述密钥创建请求中包括用户信息;调用功能接口获取所述用户信息对应的密钥;向所述共享存储服务发送所述密钥;所述共享存储服务存储所述密钥。本申请实施例提供的技术方案可以带来如下有益效果:通过资源管理系统将密钥存储至共享存储服务中,避免将密钥存储在容器集群中的服务的Image中,基于共享存储服务的独立性,密钥在修改时只需要获取新的密钥进行覆盖存储,不需要重新构建容器Image,减少处理开销,节约时间,提高密钥的更新效率,保证密钥更新的及时性,防止由于密钥更新不及时而影响信息传输的安全性。附图说明为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本申请一个实施例提供的密钥管理系统的示意图;图2是本申请一个实施例提供的密钥管理方法的流程图;图3示例性示出了一种密钥的获取方式的示意图;图4示例性示出了一种密钥权限的示意图;图5示例性示出了一种密钥的获取与存储流程的示意图;图6是本申请另一个实施例提供的密钥管理方法的流程图;图7是本申请一个实施例提供的计算机设备的结构框图。具体实施方式为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。请参考图1,其示出了本申请一个实施例提供的密钥管理系统的示意图。该密钥管理系统可以包括:容器集群10、共享存储服务20、安全认证中心30和大数据集群40。容器集群10用于提供基础服务,该容器集群中包括多于一个容器,每个容器中包括至少一个服务。其中,不同的容器可以设置在不同的计算机设备上,也可以设置在相同的计算机设备上。在本申请实施例中,容器集群的第一容器11运行的服务中包括资源管理系统,第二容器12包括第一服务,第三容器包括13包括第二服务。其中,资源管理系统用于控制密钥的分发,第一服务用于生成密钥创建请求,第二服务用于从大数据集群获取数据。共享存储服务20用于存储密钥。可选地,共享存储服务20与容器集群的各个容器中的服务通过网络建立将连接。在本申请实施例中,资源管理系统从第一服务中获取密钥创建请求,该密钥创建请求中包括用户信息;进一步地,资源管理系统调用功能接口获取该用户信息对应的密钥,并向共享存储服务20发送该密钥;进而,共享存储服务20存储该密钥。需要说明的一点是,共享存储服务20独立于容器集群10,也独立于安全认证中心30和大数据集群40。安全认证中心30用于验证用户信息对应的用户身份。在本申请实施例中,第二服务在获取数据获取指令之后,若第二服务中存储验证信息,则向安全认证中心30发送凭证获取请求。其中,上述数据获取指令中包括用户信息,上述凭证获取请求中包括用户信息对应的验证信息,该验证信息中包括用户信息和有效时长。进一步地,安全认证中心30对上述验证信息进行验证,若该验证信息通过验证,生成对应的凭证,并向第二服务发送该凭证。可选地,安全认证中心30还用于生成验证信息。在本申请实施例中,第二服务获取数据获取指令之后,若第二服务中未存储验证信息,则向安全认证中心30发送验证信息获取请求,该验证信息获取请求中包括用户信息。进一步地,安全认证中心30生成该用户信息对应的验证信息,并向第二服务发送加密后的验证信息。之后,第二服务通过共享存储服务20中存储的解密密码对加密后的验证信息进行解密,得到验证信息。其中,该解密密码可以存储在上述存储文件中。大数据集群40用于提供数据,该大数据集群40包括多于一个大数据服务。其中,不同的大数据服务可以设置在相同的计算机设备上,也可以设置在不同的计算机设备上。在本申请实施例中,安全认证中心30接收到上述凭证之后,向大数据服务发送数据获取请求,该数据获取请求中包括上述凭证。进一步地,大数据服务对凭证进行验证。若该凭证通过验证,则向第二服务发送上述数据获取请求对应的数据。可选地,容器集群10、共享存储服务20、安全认证中心30和大数据集群40之间可以通过网络进行通信。请参考图2,其示出了本申请一个实施例提供的密钥管理方法的流程图。该方法可以包括以下几个步骤(201~204):步骤201,资源管理系统获取密钥创建请求。资源管理系统用于控制密钥的分发。可选地,该资源管理系统位于容器集群的第一容器运行的服务中。密钥创建请求用于向资源管理系统请求获取密钥。其中,密钥创建请求中包括用户信息。其中,用户信息用于指示唯一的用户,例如,用户信息为用户名。可选地,资源管理系统可以根据该密钥创建请求获取上述用户信息对应的密钥。在一种可能的实施方式中,资源管理系统从客户端获取上述文件获取请求。可选地,客户端在确定用户信息为第一次获取的用户信息时,向资源管理系统发送上述文件获取请求。例如,客户端在用户登陆某个网站时,获取该用户对应的用户信息,并对该用户信息的获取次数进行检测,确定第一次获取该用户信息时,根据该用户信息生成密钥创建请求,并向资源管理系统发送该密钥创建请求。对应的,资源管理系统获取该密钥创建请求。在另一种可能的实施方式中,资源管理系统从第一服务获取上述文件获取请求。其中,第一服务设置在上述容器集群的第二容器中。可选地,客户端在确定用户信息为第一次获取的用户信息时,向第一服务本文档来自技高网...
【技术保护点】
1.一种密钥管理系统,其特征在于,所述密钥管理系统包括:容器集群和共享存储服务,所述共享存储服务独立于所述容器集群,所述容器集群中包括多于一个容器,所述容器中包括至少一个服务,其中,所述容器集群的第一容器运行的服务中包括资源管理系统;/n所述资源管理系统用于获取密钥创建请求,所述密钥创建请求中包括用户信息;调用功能接口获取所述用户信息对应的密钥;向所述共享存储服务发送所述密钥;/n所述共享存储服务用于存储所述密钥。/n
【技术特征摘要】
1.一种密钥管理系统,其特征在于,所述密钥管理系统包括:容器集群和共享存储服务,所述共享存储服务独立于所述容器集群,所述容器集群中包括多于一个容器,所述容器中包括至少一个服务,其中,所述容器集群的第一容器运行的服务中包括资源管理系统;
所述资源管理系统用于获取密钥创建请求,所述密钥创建请求中包括用户信息;调用功能接口获取所述用户信息对应的密钥;向所述共享存储服务发送所述密钥;
所述共享存储服务用于存储所述密钥。
2.根据权利要求1所述的系统,其特征在于,
所述资源管理系统还用于根据所述用户信息向所述共享存储服务发送请求信息,所述请求信息用于指示所述共享存储服务创建所述用户信息对应的存储文件,所述请求信息中包括所述用户信息;
所述共享存储服务还用于根据所述请求信息创建所述用户信息对应的存储文件;在所述存储文件中存储所述密钥。
3.根据权利要求2所述的系统,其特征在于,所述存储文件中包括记录文件,所述记录文件用于记录所述用户信息对应的用户操作。
4.根据权利要求3所述的系统,其特征在于,所述功能接口具有所述密钥的读写权限;
所述容器集群中的服务具有所述密钥的只读权限和所述记录文件的读写权限。
5.根据权利要求1所述的系统,其特征在于,所述容器集群的第二容器中包括第一服务;
所述第一服务用于根据所述用户信息生成所述密钥创建请求;存储所述密钥创建请求。
6.根据权利要求5所述的系统,其特征在于,所述密钥创建请求存储在消息队列中;
所述资源管理系统用于从所述消息队列中获取所述密钥创建请求;
所述第一服务用于在所述消息队列中存储所述密钥创建请求。
7.根据权利要求1至6任一项所述的系统,其特征在于,所述密钥管理系统还包括:大数据集群和安全认证服务,所述大数据集群中包括多于一个大数据服务;所述容器集群的第三容器中包括第二服务;
所述第二服务用于根据数据获取指令...
【专利技术属性】
技术研发人员:段川杰,丁高瞻,
申请(专利权)人:远景智能国际私人投资有限公司,上海远景科创智能科技有限公司,国电投远景智能科技江苏有限公司,
类型:发明
国别省市:新加坡;SG
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。