访问管理方法、装置、堡垒机及可读存储介质制造方法及图纸

本申请提供一种访问管理方法、装置、堡垒机及可读存储介质，涉及互联网应用领域。本申请在堡垒机获取到来自用户端设备的信息访问请求时，会判断该信息访问请求所包括的目标IP地址是否是已存储的容器IP地址，并在确定是已存储的容器IP地址时，根据已存储的与该目标IP地址对应的目标应用容器和已注册用户账号之间的权限关联关系，判断该信息访问请求所包括目标用户账号是否具有针对目标应用容器的目标访问权限，而后在确定具有目标访问权限时，直接按照该目标访问权限建立用户端设备与目标应用容器之间的信息访问连接，从而简化容器访问流程，缩短容器访问权限确认时长，提高了容器访问效率。

【技术实现步骤摘要】
访问管理方法、装置、堡垒机及可读存储介质
本申请涉及互联网应用领域，具体而言，涉及一种访问管理方法、装置、堡垒机及可读存储介质。
技术介绍
随着互联网技术的不断发展，堡垒机因其能够作为外部网络与内部网络之间的访问审计检测点，切断终端设备对内部网络的服务资源的直接访问，提高信息安全性等特点被广泛应用于企业信息安全管理过程中，其中堡垒机在互联网公司的软件开发过程中的使用尤为频繁。在日常生活中，软件研发人员往往存在需要经堡垒机远程地对位于互联网公司内部网络中某台物理机上的应用程序所对应的容器进行访问操作的需求，而互联网公司通常会对物理机及容器进行权限管理，使研发人员只能访问其具有访问权限的容器，但研发人员未必能够清晰知晓自身是否具有某个特定容器的访问权限，往往需要在多次试探性访问其他无访问权限容器之后，才能真正地访问到其具有访问权限的特定容器。因此如何简化容器访问流程、缩减用户的容器访问权限的确认时长以提高容器访问效率，便是目前而言亟需解决的一项技术问题。
技术实现思路
有鉴于此，本申请的目的在于提供一种访问管理方法、装置、堡垒机及可读存储介质，其简化了容器访问流程，缩短了容器访问权限确认时长，并在用户具有容器访问权限时快速实现对应的容器访问操作，提高了容器访问效率。为了实现上述目的，本申请实施例采用的技术方案如下：第一方面，本申请实施例提供一种访问管理方法，应用于堡垒机，其中所述堡垒机存储有位于与该堡垒机通信连接的物理机上的所有应用容器的容器IP地址，以及每个应用容器与已注册用户账号之间的权限关联关系，所述方法包括：获取来自用户端设备的信息访问请求，其中所述信息访问请求包括目标IP地址及该用户端设备登录的目标用户账号；判断所述目标IP地址是否属于已存储的容器IP地址；若判定所述目标IP地址属于已存储的容器IP地址，则根据所述目标IP地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限；当判定所述目标用户账号具有所述目标访问权限时，按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接。在可选的实施方式中，所述根据所述目标IP地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限，包括：将与目标应用容器存在权限关联关系的每个已注册用户账号与所述目标用户账号进行匹配；当匹配成功，则判定所述目标用户账号具有所述目标访问权限，否则判定所述目标用户账号不具有所述目标访问权限。在可选的实施方式中，若每个应用容器由多个应用组件组成，同一应用容器与已注册用户账号之间的权限关联关系包括该应用容器下的每个应用组件与已注册用户账号之间的权限对应关系，则按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接，包括：在所述目标应用容器所对应的所有应用组件中，确定与所述目标用户账号存在权限对应关系的至少一个目标应用组件；建立所述用户端设备与确定出的每个目标应用组件的信息访问连接。在可选的实施方式中，所述方法还包括：实时检测每个应用容器的运行状态；当检测到运行状态发生变化的应用容器时，根据运行状态变化情况对存储的与应用容器对应的权限关联关系进行更新。在可选的实施方式中，所述堡垒机还存储有与该堡垒机通信连接的所有物理机的物理机IP地址，所述方法还包括：若判定所述目标IP地址不属于已存储的容器IP地址，则判断所述目标IP地址是否属于已存储的物理机IP地址；当判定所述目标IP地址属于已存储的物理机IP地址时，向物理机鉴权中心发送包括所述目标IP地址及所述目标用户账号的物理机鉴权请求，其中所述物理机鉴权请求用于确定所述目标用户账号是否具有访问所述目标IP地址所对应的目标物理机的权限；接收来自所述物理机鉴权中心的与所述物理机鉴权请求对应的鉴权结果；在所述鉴权结果表明所述目标用户账号具有访问所述目标物理机的权限时，建立所述用户端设备与所述目标物理机之间的信息访问连接。在可选的实施方式中，所述堡垒机存储有每个已注册用户账号的用户公钥，则在所述获取来自用户端设备的信息访问请求之前，所述方法还包括：获取来自所述用户端设备的身份验证请求，其中所述身份验证请求包括该用户端设备登录的目标用户账号及对应的待验证私钥；根据已存储的所有已注册账号各自对应的用户公钥对所述目标用户账号及所述待验证私钥进行身份验证；当身份验证成功时，向所述用户端设备发出允许进行信息访问的提示，否则向所述用户端设备发出身份验证失败的提示。在可选的实施方式中，所述根据已存储的所有已注册账号各自对应的用户公钥对所述目标用户账号及所述待验证私钥进行身份验证，包括：在已存储的所有用户公钥中检测是否存在与所述目标用户账号对应的目标用户公钥；若检测到不存在所述目标用户公钥，则判定身份验证失败；若检测到存在所述目标用户公钥，则检测所述目标用户公钥是否与所述待验证私钥匹配；当检测到所述目标用户公钥与所述待验证私钥不匹配时，判定身份验证失败；当检测到所述目标用户公钥与所述待验证私钥匹配时，向所述用户端设备发送一随机码；接收来自所述用户端设备的反馈码，并检测所述随机码是否与所述反馈码匹配；若检测到所述随机码与所述反馈码匹配，则判定身份验证成功，否则判定身份验证失败。第二方面，本申请实施例提供一种访问管理装置，应用于堡垒机，其中所述堡垒机存储有位于与该堡垒机通信连接的物理机上的所有应用容器的容器IP地址，以及每个应用容器与已注册用户账号之间的权限关联关系，所述装置包括：请求获取模块，用于获取来自用户端设备的信息访问请求，其中所述信息访问请求包括目标IP地址及该用户端设备登录的目标用户账号；地址判断模块，用于判断所述目标IP地址是否属于已存储的容器IP地址；权限判断模块，用于若判定所述目标IP地址属于已存储的容器IP地址，根据所述目标IP地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限；连接建立模块，用于当判定所述目标用户账号具有所述目标访问权限时，按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接。第三方面，本申请实施例提供一种堡垒机，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器可执行所述机器可执行指令，以实现前述实施方式所述的访问管理方法。第四方面，本申请实施例提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现前述实施方式所述的访问管理方法。本申请具有以下有益效果：本申请在堡垒机处获取到来自用户端设备的信息访问请求时，会判断该信息访问请求所包括的目标IP地址是否是已存本文档来自技高网...

【技术保护点】
1.一种访问管理方法，其特征在于，应用于堡垒机，其中所述堡垒机存储有位于与该堡垒机通信连接的物理机上的所有应用容器的容器IP地址，以及每个应用容器与已注册用户账号之间的权限关联关系，所述方法包括：/n获取来自用户端设备的信息访问请求，其中所述信息访问请求包括目标IP地址及该用户端设备登录的目标用户账号；/n判断所述目标IP地址是否属于已存储的容器IP地址；/n若判定所述目标IP地址属于已存储的容器IP地址，则根据所述目标IP地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限；/n当判定所述目标用户账号具有所述目标访问权限时，按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接。/n

【技术特征摘要】
1.一种访问管理方法，其特征在于，应用于堡垒机，其中所述堡垒机存储有位于与该堡垒机通信连接的物理机上的所有应用容器的容器IP地址，以及每个应用容器与已注册用户账号之间的权限关联关系，所述方法包括：
获取来自用户端设备的信息访问请求，其中所述信息访问请求包括目标IP地址及该用户端设备登录的目标用户账号；
判断所述目标IP地址是否属于已存储的容器IP地址；
若判定所述目标IP地址属于已存储的容器IP地址，则根据所述目标IP地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限；
当判定所述目标用户账号具有所述目标访问权限时，按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接。


2.根据权利要求1所述的方法，其特征在于，所述根据所述目标IP地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限，包括：
将与目标应用容器存在权限关联关系的每个已注册用户账号与所述目标用户账号进行匹配；
当匹配成功，则判定所述目标用户账号具有所述目标访问权限，否则判定所述目标用户账号不具有所述目标访问权限。


3.根据权利要求1所述的方法，其特征在于，若每个应用容器由多个应用组件组成，同一应用容器与已注册用户账号之间的权限关联关系包括该应用容器下的每个应用组件与已注册用户账号之间的权限对应关系，则按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接，包括：
在所述目标应用容器所对应的所有应用组件中，确定与所述目标用户账号存在权限对应关系的至少一个目标应用组件；
建立所述用户端设备与确定出的每个目标应用组件的信息访问连接。


4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
实时检测每个应用容器的运行状态；
当检测到运行状态发生变化的应用容器时，根据运行状态变化情况对存储的与应用容器对应的权限关联关系进行更新。


5.根据权利要求1-4中任意一项所述的方法，其特征在于，所述堡垒机还存储有与该堡垒机通信连接的所有物理机的物理机IP地址，所述方法还包括：
若判定所述目标IP地址不属于已存储的容器IP地址，则判断所述目标IP地址是否属于已存储的物理机IP地址；
当判定所述目标IP地址属于已存储的物理机IP地址时，向物理机鉴权中心发送包括所述目标IP地址及所述目标用户账号的物理机鉴权请求，其中所述物理机鉴权请求用于确定所述目标用户账号是否具有访问所述目标IP地址所对应的目标物理机的权限；
接收来自所述物理机鉴权中心的与所述物理机鉴权请求对应的鉴权结果；
在所述鉴权结果表明所述目标用户账号具有访问所述目标...

【专利技术属性】
技术研发人员：陈德昌，薛萌，林冠豪，毛茂德，
申请(专利权)人：广州虎牙科技有限公司，
类型：发明
国别省市：广东;44