一种远程终端服务容器的访问系统技术方案

本申请公开了一种远程终端服务容器的访问系统，浏览器向令牌获取模块发送预请求指令，临时令牌获取模块查询远程终端服务的认证方式，并确定目标临时令牌，生成含有目标临时令牌的请求地址，浏览器向远程终端服务发送容器访问请求指令，远程终端服务按照其认证方式对目标临时令牌认证得到认证结果，获取访问容器的容器参数，与浏览器建立连接，返回容器参数至浏览器，使浏览器通过容器参数访问容器。可见，通过临时令牌获取模块生成目标临时令牌，目标临时令牌可以反映请求访问的用户的信息，由远程终端服务对目标临时令牌进行认证，从而得知请求访问方是否具备访问容器的条件，能够有效过滤掉恶意用户对容器的访问，提高容器访问的安全性。器访问的安全性。器访问的安全性。

【技术实现步骤摘要】
一种远程终端服务容器的访问系统


[0001]本申请涉及容器化部署
，更具体的说，是涉及一种远程终端服务容器的访问系统。

技术介绍

[0002]随着信息技术的不断发展，云技术已逐渐推广至越来越多的应用，使得应用能够通过Kubernetes(k8s)以云原生的形式部署在云上。应用的每个实例都是一个Pod，Pod是k8s创建和管理的最小可部署的计算单元，是包含一个或多个的一组容器，也是k8s运行各种工作负载的基础。为保护容器的安全性，容器仅信任k8s集群中的远程终端服务，并由远程终端服务与容器进行对接。因此，若用户需要修改或查看容器的内部文件时，需要先远程登录容器后再进行控制操作。
[0003]目前，用户可以登录k8s集群中的服务器，然后可以直接执行特定操作命令即可访问指定容器进行操作，因此，用户在登录服务器后完全可以访问整个Pod中的任一容器，容器在此被访问的环境下容易收到恶意篡改，容器的安全性低下。

技术实现思路

[0004]鉴于上述问题，提出了本申请以便提供一种远程终端服务容器的访问系统，以提高访问远程终端服务容器的安全性。
[0005]为了实现上述目的，现提出具体方案如下：
[0006]一种远程终端服务容器的访问系统，包括浏览器，临时令牌获取模块和远程终端服务；
[0007]所述浏览器当接收到用户访问远程终端服务容器的指令时，向所述临时令牌获取模块发送获取临时令牌的预请求指令；
[0008]所述临时令牌获取模块响应所述预请求指令，查询所述远程终端服务的认证方式，并根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，生成含有所述目标临时令牌的请求地址；
[0009]所述浏览器基于所述请求地址中的目标临时令牌，生成含有所述目标临时令牌的容器访问请求指令，并根据所述请求地址向所述远程终端服务发送所述容器访问请求指令；
[0010]所述远程终端服务按照所述认证方式对所述容器访问请求指令中的目标临时令牌进行认证，得到所述目标临时令牌的认证结果，若所述目标临时令牌的认证结果通过认证，获取访问所述远程终端服务容器的容器参数；
[0011]所述远程终端服务通过所述容器参数请求访问所述远程终端服务容器，并在成功访问所述远程终端服务容器后，与所述浏览器建立websocket连接，以返回所述容器参数至所述浏览器；
[0012]所述浏览器基于所述容器参数，通过WebUI的方式访问所述远程终端服务容器。
[0013]可选的，所述临时令牌获取模块根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，包括：
[0014]当所述远程终端服务的认证方式为外部认证时，所述临时令牌获取模块根据所述预请求指令的头部的参数，生成唯一标识符；
[0015]所述临时令牌获取模块基于所述唯一标识符、预设的生存时间值信息，构建所述预请求指令的目标临时令牌。
[0016]可选的，所述临时令牌获取模块根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，包括：
[0017]当所述远程终端服务的认证方式为内部认证时，通过预设的加密算法对所述预请求指令的头部的参数进行加密，得到加密后的所述预请求指令的目标临时令牌。
[0018]可选的，所述临时令牌获取模块所在的管理后台还包括临时令牌鉴权模块，所述远程终端服务的认证方式为外部认证；
[0019]所述远程终端服务按照所述认证方式对所述容器访问请求指令中的目标临时令牌进行认证，得到所述目标临时令牌的认证结果，包括：
[0020]所述远程终端服务向所述临时令牌鉴权模块发送，对所述容器访问请求指令中的目标临时令牌进行鉴权的鉴权请求指令；
[0021]所述远程终端服务获取鉴权结果，并将所述鉴权结果作为所述目标临时令牌的认证结果，所述鉴权结果为所述临时令牌鉴权模块的鉴权接口对所述容器访问请求指令中的目标临时令牌，进行鉴权得到的。
[0022]可选的，所述远程终端服务的认证方式为内部认证；
[0023]所述远程终端服务按照所述认证方式对所述容器访问请求指令中的目标临时令牌进行认证，得到所述目标临时令牌的认证结果，包括：
[0024]所述远程终端服务根据与所述加密算法对应的解密算法，对所述容器访问请求指令中的目标临时令牌进行解密，得到解密结果，并将所述解密结果作为所述目标临时令牌的认证结果。
[0025]可选的，该系统还包括操作行为审计模块；
[0026]所述操作行为审计模块将所述鉴权结果存储于日志文件。
[0027]可选的，该系统还包括操作记录上报模块；
[0028]所述操作记录上报模块解析所述日志文件，得到操作记录数据；
[0029]所述操作记录上报模块将所述用户操作记录数据发送至所述管理后台中的展示模块，以供展示模块展示所述操作记录数据。
[0030]可选的，该系统还包括高危命令阻断模块；
[0031]若所述目标临时令牌的认证结果中的用户角色信息为非管理员角色，在所述远程终端服务与所述浏览器建立websocket连接后，且在操作命令被传输至所述远程终端服务容器之前，所述高危命令阻断模块根据预设的命令白名单对所述操作命令进行检测，得到所述操作命令的检测结果，所述操作命令为所述服务器响应用户的控制操作生成的；
[0032]若所述操作命令的检测结果为检测通过，所述高危命令阻断模块将所述操作命令传输至所述远程终端服务容器。
[0033]可选的，所述高危命令阻断模块还用于：
[0034]若所述操作命令的检测结果为检测不通过，向所述浏览器发送所述操作命令被拦截的提示信息。
[0035]可选的，该系统还包括操作行为审计模块；
[0036]在所述操作命令被传输至所述远程终端服务容器之前，所述操作行为审计模块获取所述操作命令；
[0037]所述操作行为审计模块将所述操作命令中的不可见字符过滤，得到过滤后的操作命令；
[0038]所述操作行为审计模块将所述过滤后的操作命令传输至所述远程终端服务容器。
[0039]借由上述技术方案，本申请通过浏览器当接收到用户访问远程终端服务容器的指令时，向临时令牌获取模块发送获取临时令牌的预请求指令，所述临时令牌获取模块响应所述预请求指令，查询远程终端服务的认证方式，并根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，生成含有所述目标临时令牌的请求地址，所述浏览器基于所述请求地址中的目标临时令牌，生成含有所述目标临时令牌的容器访问请求指令，并根据所述请求地址向所述远程终端服务发送所述容器访问请求指令，所述远程终端服务按照所述认证方式对所述容器访问请求指令中的目标临时令牌进行认证，得到所述目标临时令牌的认证结果，若所述目标临时令牌的认证结果通过认证，获取访问所述远程终端服务容器的容器参数，所述远程终端服务通过所述容器参数请求访问所述远程终端服务容器，并在成功访问所述远程终端服务容器后，与所述浏览本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种远程终端服务容器的访问系统，其特征在于，包括浏览器，临时令牌获取模块和远程终端服务；所述浏览器当接收到用户访问远程终端服务容器的指令时，向所述临时令牌获取模块发送获取临时令牌的预请求指令；所述临时令牌获取模块响应所述预请求指令，查询所述远程终端服务的认证方式，并根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，生成含有所述目标临时令牌的请求地址；所述浏览器基于所述请求地址中的目标临时令牌，生成含有所述目标临时令牌的容器访问请求指令，并根据所述请求地址向所述远程终端服务发送所述容器访问请求指令；所述远程终端服务按照所述认证方式对所述容器访问请求指令中的目标临时令牌进行认证，得到所述目标临时令牌的认证结果，若所述目标临时令牌的认证结果通过认证，获取访问所述远程终端服务容器的容器参数；所述远程终端服务通过所述容器参数请求访问所述远程终端服务容器，并在成功访问所述远程终端服务容器后，与所述浏览器建立websocket连接，以返回所述容器参数至所述浏览器；所述浏览器基于所述容器参数，通过WebUI的方式访问所述远程终端服务容器。2.根据权利要求1所述的系统，其特征在于，所述临时令牌获取模块根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，包括：当所述远程终端服务的认证方式为外部认证时，所述临时令牌获取模块根据所述预请求指令的头部的参数，生成唯一标识符；所述临时令牌获取模块基于所述唯一标识符、预设的生存时间值信息，构建所述预请求指令的目标临时令牌。3.根据权利要求1所述的系统，其特征在于，所述临时令牌获取模块根据所述远程终端服务的认证方式，确定所述预请求指令的目标临时令牌，包括：当所述远程终端服务的认证方式为内部认证时，通过预设的加密算法对所述预请求指令的头部的参数进行加密，得到加密后的所述预请求指令的目标临时令牌。4.根据权利要求1所述的系统，其特征在于，所述临时令牌获取模块所在的管理后台还包括临时令牌鉴权模块，所述远程终端服务的认证方式为外部认证；所述远程终端服务按照所述认证方式对所述容器访问请求指令中的目标临时令牌进行认证，得到所述目标临时令牌的认证结果，包括：所述远程终端服务向所述临时令牌鉴权模块发送，对所述容器访问请求指令中的目标临时令...

【专利技术属性】
技术研发人员：龚力，梁苑文，马幸晖，
申请(专利权)人：天翼数字生活科技有限公司，
类型：发明
国别省市：