一种k8s中secret资源的信息安全保护方法和系统技术方案

本发明专利技术公开一种k8s中secret资源的信息安全保护方法和系统，其中，k8s中secret资源的信息安全保护方法，包括：当监听到k8s中secret资源的创建动作时，对所述创建的secret资源进行拦截；按照预设加密算法对拦截到的所述secret资源进行信息加密；将加密后的所述secret资源存入所述k8s的分布式键值数据库中。本发明专利技术的技术方案能解决现有技术中secret资源的信息安全保护措施少，导致secret资源的信息不安全的问题。的问题。的问题。

【技术实现步骤摘要】
一种k8s中secret资源的信息安全保护方法和系统


[0001]本专利技术涉及信息存储
，尤其涉及一种k8s中secret资源的信息安全保护方法和系统。

技术介绍

[0002]K8s，全称为kubernetes是一种开源的容器编排引擎，它支持自动化部署、大规模可伸缩以及应用容器化管理等功能。k8s允许创建多个容器，每个容器里面运行一个应用实例，然后通过内置的负载均衡策略，实现对每组应用实例的管理、发现和访问。
[0003]其中，k8s内含secret资源：该secret资源用于存放如用户名、密码、数字证书、私钥、令牌和ssh key等敏感信息，以通过secret资源实现对各应用实例的支持。
[0004]在云计算时代k8s应用广泛，特别是在微服务场景下，k8s带来非常多的便利行及可行性，为此在使用k8s时经常用到敏感信息。当我们在使用到敏感信息时，往往会用到secret这种k8s资源对象。然而，目前k8s对secret资源仅仅做一次base64编码，并未真正的对敏感信息加密，这对敏感信息而言并不安全，攻击人员可以通过简单的base64反编码工具获取到原始数据信息。

技术实现思路

[0005]本专利技术提供了一种k8s中secret资源的信息安全保护方法和系统，旨在解决现有技术中secret资源的信息安全保护措施少，导致secret资源的信息不安全的问题。
[0006]根据本专利技术的第一方面，本专利技术提供了一种k8s中secret资源的信息安全保护方法，包括：
[0007]当监听到k8s中secret资源的创建动作时，对创建的secret资源进行拦截；
[0008]按照预设加密算法对拦截到的secret资源进行信息加密；
[0009]将加密后的secret资源存入k8s的分布式键值数据库中。
[0010]优选地，所述信息安全保护方法还包括：
[0011]当监听到secret资源的访问请求时，按照访问请求从分布式键值数据库中提取secret资源；
[0012]使用与预设加密算法对应的密钥对secret资源进行信息解密；
[0013]按照访问请求，反馈解密后的secret资源。
[0014]优选地，所述信息安全保护方法还包括：
[0015]对监听到的访问请求进行访问权限认证；
[0016]当访问权限认证成功时，执行按照访问请求从分布式键值数据库中提取secret资源的步骤；
[0017]当访问权限认证失败时，使用分布式键值数据库预存的伪secret资源反馈访问请求，并向上级网络发送报警信息。
[0018]优选地，当监听到k8s中secret资源的创建动作时，对创建的secret资源进行拦截
的步骤，包括：
[0019]通过应用程序编程接口API监听secret资源的创建动作；
[0020]当监听到secret资源的创建动作时，使用网络拦截工具拦截secret资源；
[0021]使用网络拦截工具将拦截到的secret资源传递至用户自定义资源进行信息加密。
[0022]优选地，所述按照预设加密算法对拦截到的secret资源进行信息加密的步骤，包括：
[0023]使用用户自定义资源接收并解析secret资源包含的敏感信息；
[0024]用户自定义资源按照预设加密算法，使用存储于分布式键值数据库的密钥对敏感信息进行加密处理。
[0025]优选地，在按照预设加密算法对拦截到的secret资源进行信息加密的步骤之前，该方法还包括：
[0026]获取所述secret资源对应的访问权限；
[0027]根据所述secret资源对应的访问权限，生成所述预设加密算法的密钥；
[0028]将所述密钥存储至所述分布式键值数据库中。
[0029]优选地，上述信息安全保护方法还包括：
[0030]当对监听到的访问请求的访问权限认证成功时，使用访问请求的访问权限从分布式键值数据库中匹配对应的密钥；
[0031]使用密钥对secret资源进行信息解密。
[0032]根据本专利技术的第二方面，本专利技术还提供了一种k8s中secret资源的信息安全保护系统，包括：
[0033]拦截模块，用于当监听到k8s中secret资源的创建动作时，对创建的secret资源进行拦截；
[0034]加密模块，用于按照预设加密算法对拦截到的secret资源进行信息加密；
[0035]存储模块，用于将加密后的secret资源存入k8s的分布式键值数据库中。
[0036]优选地，所述信息安全保护系统还包括：
[0037]提取模块，用于当监听到secret资源的访问请求时，按照访问请求从分布式键值数据库中提取secret资源；
[0038]解密模块，用于使用与预设加密算法对应的密钥对secret资源进行信息解密；
[0039]发送模块，用于按照访问请求，反馈解密后的secret资源。
[0040]优选地，所述信息安全保护系统还包括：
[0041]认证模块，用于对监听到的访问请求进行访问权限认证，当访问权限认证成功时，执行提取模块；
[0042]发送模块，还用于当认证模块对访问权限认证失败时，使用分布式键值数据库预存的伪secret资源反馈访问请求，并向上级网络发送报警信息。
[0043]优选地，所述拦截模块，包括：
[0044]动作监听子模块，用于通过应用程序编程接口API监听secret资源的创建动作；
[0045]资源拦截子模块，用于使用网络拦截工具拦截secret资源；
[0046]资源传递子模块，用于使用网络拦截工具将拦截到的secret资源传递至用户自定义资源进行信息加密。
[0047]优选地，所述加密模块包括：
[0048]信息解析子模块，用于使用用户自定义资源接收并解析secret资源包含的敏感信息；
[0049]信息加密子模块，用于按照预设加密算法，使用存储于分布式键值数据库的密钥对敏感信息进行加密处理。
[0050]本申请提供的k8s中secret资源的信息安全保护方案，设置统一的监听入口用于监听k8s中secret资源；在监听到k8s中secret资源的创建动作时对所述创建的secret资源进行拦截；然后按照预设加密算法对拦截到的所述secret资源进行信息加密；最后将加密后的所述secret资源存入所述k8s的分布式键值数据库中。因为本申请实施例在secret资源存入分布式键值数据库之前即通过预设加密算法对拦截到的secret资源进行信息加密，从而能够实现对secret资源内敏感信息的安全保护，避免了传统方式中原生k8s对secret资源无法加密的风险。
附图说明
[0051]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种k8s中secret资源的信息安全保护方法，其特征在于，包括：当监听到k8s中secret资源的创建动作时，对创建的所述secret资源进行拦截；按照预设加密算法对拦截到的所述secret资源进行信息加密；将加密后的所述secret资源存入所述k8s的分布式键值数据库中。2.根据权利要求1所述的信息安全保护方法，其特征在于，所述方法还包括：当监听到secret资源的访问请求时，按照所述访问请求从所述分布式键值数据库中提取所述secret资源；使用与所述预设加密算法对应的密钥对所述secret资源进行信息解密；按照所述访问请求，反馈解密后的所述secret资源。3.根据权利要求2所述的信息安全保护方法，其特征在于，所述方法还包括：对监听到的所述访问请求进行访问权限认证；当所述访问权限认证成功时，执行按照所述访问请求从所述分布式键值数据库中提取所述secret资源的步骤；当所述访问权限认证失败时，使用所述分布式键值数据库预存的伪secret资源反馈所述访问请求，并向上级网络发送报警信息。4.根据权利要求1所述的信息安全保护方法，其特征在于，所述当监听到k8s中secret资源的创建动作时，对创建的所述secret资源进行拦截的步骤，包括：通过应用程序编程接口API监听所述secret资源的创建动作；当监听到所述secret资源的创建动作时，使用网络拦截工具拦截所述secret资源；使用所述网络拦截工具将拦截到的所述secret资源传递至用户自定义资源进行信息加密。5.根据权利要求4所述的信息安全保护方法，其特征在于，所述按照预设加密算法对拦截到的所述secret资源进行信息加密的步骤，包括：使用用户自定义资源接收并解析所述secret资源包含的敏感信息；所述用户自定义资源按照预设加密算法，使用存储于所述分布式键值...

【专利技术属性】
技术研发人员：刘鹏，
申请(专利权)人：济南浪潮数据技术有限公司，
类型：发明
国别省市：