访问管理方法、装置、堡垒机及可读存储介质与流程

本申请涉及互联网应用领域，具体而言，涉及一种访问管理方法、装置、堡垒机及可读存储介质。

背景技术：

随着互联网技术的不断发展，堡垒机因其能够作为外部网络与内部网络之间的访问审计检测点，切断终端设备对内部网络的服务资源的直接访问，提高信息安全性等特点被广泛应用于企业信息安全管理过程中，其中堡垒机在互联网公司的软件开发过程中的使用尤为频繁。

在日常生活中，软件研发人员往往存在需要经堡垒机远程地对位于互联网公司内部网络中某台物理机上的应用程序所对应的容器进行访问操作的需求，而互联网公司通常会对物理机及容器进行权限管理，使研发人员只能访问其具有访问权限的容器，但研发人员未必能够清晰知晓自身是否具有某个特定容器的访问权限，往往需要在多次试探性访问其他无访问权限容器之后，才能真正地访问到其具有访问权限的特定容器。因此如何简化容器访问流程、缩减用户的容器访问权限的确认时长以提高容器访问效率，便是目前而言亟需解决的一项技术问题。

技术实现要素：

有鉴于此，本申请的目的在于提供一种访问管理方法、装置、堡垒机及可读存储介质，其简化了容器访问流程，缩短了容器访问权限确认时长，并在用户具有容器访问权限时快速实现对应的容器访问操作，提高了容器访问效率。

为了实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供一种访问管理方法，应用于堡垒机，其中所述堡垒机存储有位于与该堡垒机通信连接的物理机上的所有应用容器的容器ip地址，以及每个应用容器与已注册用户账号之间的权限关联关系，所述方法包括：

获取来自用户端设备的信息访问请求，其中所述信息访问请求包括目标ip地址及该用户端设备登录的目标用户账号；

判断所述目标ip地址是否属于已存储的容器ip地址；

若判定所述目标ip地址属于已存储的容器ip地址，则根据所述目标ip地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限；

当判定所述目标用户账号具有所述目标访问权限时，按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接。

在可选的实施方式中，所述根据所述目标ip地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限，包括：

将与目标应用容器存在权限关联关系的每个已注册用户账号与所述目标用户账号进行匹配；

当匹配成功，则判定所述目标用户账号具有所述目标访问权限，否则判定所述目标用户账号不具有所述目标访问权限。

在可选的实施方式中，若每个应用容器由多个应用组件组成，同一应用容器与已注册用户账号之间的权限关联关系包括该应用容器下的每个应用组件与已注册用户账号之间的权限对应关系，则按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接，包括：

在所述目标应用容器所对应的所有应用组件中，确定与所述目标用户账号存在权限对应关系的至少一个目标应用组件；

建立所述用户端设备与确定出的每个目标应用组件的信息访问连接。

在可选的实施方式中，所述方法还包括：

实时检测每个应用容器的运行状态；

当检测到运行状态发生变化的应用容器时，根据运行状态变化情况对存储的与应用容器对应的权限关联关系进行更新。

在可选的实施方式中，所述堡垒机还存储有与该堡垒机通信连接的所有物理机的物理机ip地址，所述方法还包括：

若判定所述目标ip地址不属于已存储的容器ip地址，则判断所述目标ip地址是否属于已存储的物理机ip地址；

当判定所述目标ip地址属于已存储的物理机ip地址时，向物理机鉴权中心发送包括所述目标ip地址及所述目标用户账号的物理机鉴权请求，其中所述物理机鉴权请求用于确定所述目标用户账号是否具有访问所述目标ip地址所对应的目标物理机的权限；

接收来自所述物理机鉴权中心的与所述物理机鉴权请求对应的鉴权结果；

在所述鉴权结果表明所述目标用户账号具有访问所述目标物理机的权限时，建立所述用户端设备与所述目标物理机之间的信息访问连接。

在可选的实施方式中，所述堡垒机存储有每个已注册用户账号的用户公钥，则在所述获取来自用户端设备的信息访问请求之前，所述方法还包括：

获取来自所述用户端设备的身份验证请求，其中所述身份验证请求包括该用户端设备登录的目标用户账号及对应的待验证私钥；

根据已存储的所有已注册账号各自对应的用户公钥对所述目标用户账号及所述待验证私钥进行身份验证；

当身份验证成功时，向所述用户端设备发出允许进行信息访问的提示，否则向所述用户端设备发出身份验证失败的提示。

在可选的实施方式中，所述根据已存储的所有已注册账号各自对应的用户公钥对所述目标用户账号及所述待验证私钥进行身份验证，包括：

在已存储的所有用户公钥中检测是否存在与所述目标用户账号对应的目标用户公钥；

若检测到不存在所述目标用户公钥，则判定身份验证失败；

若检测到存在所述目标用户公钥，则检测所述目标用户公钥是否与所述待验证私钥匹配；

当检测到所述目标用户公钥与所述待验证私钥不匹配时，判定身份验证失败；

当检测到所述目标用户公钥与所述待验证私钥匹配时，向所述用户端设备发送一随机码；

接收来自所述用户端设备的反馈码，并检测所述随机码是否与所述反馈码匹配；

若检测到所述随机码与所述反馈码匹配，则判定身份验证成功，否则判定身份验证失败。

第二方面，本申请实施例提供一种访问管理装置，应用于堡垒机，其中所述堡垒机存储有位于与该堡垒机通信连接的物理机上的所有应用容器的容器ip地址，以及每个应用容器与已注册用户账号之间的权限关联关系，所述装置包括：

请求获取模块，用于获取来自用户端设备的信息访问请求，其中所述信息访问请求包括目标ip地址及该用户端设备登录的目标用户账号；

地址判断模块，用于判断所述目标ip地址是否属于已存储的容器ip地址；

权限判断模块，用于若判定所述目标ip地址属于已存储的容器ip地址，根据所述目标ip地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断所述目标用户账号是否具有针对所述目标应用容器的目标访问权限；

连接建立模块，用于当判定所述目标用户账号具有所述目标访问权限时，按照所述目标访问权限建立所述目标应用容器与所述用户端设备之间的信息访问连接。

第三方面，本申请实施例提供一种堡垒机，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器可执行所述机器可执行指令，以实现前述实施方式所述的访问管理方法。

第四方面，本申请实施例提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现前述实施方式所述的访问管理方法。

本申请具有以下有益效果：

本申请在堡垒机处获取到来自用户端设备的信息访问请求时，会判断该信息访问请求所包括的目标ip地址是否是已存储的容器ip地址，并在确定是已存储的容器ip地址时，根据已存储的与该目标ip地址对应的目标应用容器和已注册用户账号之间的权限关联关系，判断该信息访问请求所包括的用户端设备登录的目标用户账号是否具有针对所述目标应用容器的目标访问权限，而后在确定该目标用户账号具有目标访问权限时，直接由该堡垒机按照该目标访问权限建立用户端设备与目标应用容器之间的信息访问连接，从而简化容器访问流程，缩短容器访问权限确认时长，并能够在用户具有容器访问权限时快速实现对应的容器访问操作，提高了容器访问效率。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的访问管理系统的应用场景示意图之一；

图2为本申请实施例提供的堡垒机的结构组成示意图；

图3为本申请实施例提供的访问管理方法的流程示意图之一；

图4为图3中的步骤s340包括的子步骤的流程示意图；

图5为本申请实施例提供的访问管理方法的流程示意图之二；

图6为本申请实施例提供的访问管理方法的流程示意图之三；

图7为本申请实施例提供的访问管理系统的应用场景示意图之二；

图8为本申请实施例提供的访问管理方法的流程示意图之四；

图9为图8中的步骤s440包括的子步骤的流程示意图；

图10为本申请实施例提供的访问管理装置的功能模块示意图之一；

图11为本申请实施例提供的访问管理装置的功能模块示意图之二；

图12为本申请实施例提供的访问管理装置的功能模块示意图之三；

图13为本申请实施例提供的访问管理装置的功能模块示意图之四。

图标：10-访问管理系统；11-堡垒机；12-物理机；13-物理机鉴权中心；20-用户端设备；111-存储器；112-处理器；113-通信单元；100-访问管理装置；110-请求获取模块；120-地址判断模块；130-权限判断模块；140-连接建立模块；150-失败提示模块；160-容器检测模块；170-权限更新模块；180-鉴权请求模块；190-鉴权接收模块；210-身份验证模块；220-验证提示模块。

具体实施方式

下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

发明人通过辛苦调研发现，目前行业主流在实现容器访问操作时，通常需要在堡垒机处存储与该堡垒机通信连接的各物理机的针对已注册用户账号的权限配置信息，并在每个物理机处存储其自身所运行的所有应用容器的针对已注册用户账号的权限配置信息。当某个用户想要访问某个应用容器时，由堡垒机先验证该用户是否具有访问对应应用容器所在的物理机的权限，并在验证出该用户具有访问对应物理机的权限时，由堡垒机建立该用户与对应物理机之间的访问连接，使用户登录该物理机自行查找对应应用容器进行访问，而被登录的物理机会根据自身记录的每个应用容器的权限配置信息对用户当前选择访问的应用容器进行权限验证，以提示该用户是否能够访问其选择的应用容器。在此过程中，需要物理机作为现有容器访问过程的访问中转站，整个容器访问流程较为繁琐，当用户不清楚应用容器的安装位置和/或自身是否具有相应的容器权限时，无法快速确定自身针对目标应用容器的权限状况，整体的容器访问权限确认时长较长，无法快速实现容器访问操作。

因此，如何提供一种容器访问流程简单化、容器访问权限确认时长短且容器访问效率好的访问管理方案，便是对本领域技术人员而言亟需解决的技术问题。为此，发明人通过提供本申请所对应的访问管理方法、装置、堡垒机及可读存储介质解决上述技术问题。

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参照图1，图1是本申请实施例提供的访问管理系统10的应用场景示意图之一。在本申请实施例中，所述访问管理系统10用于对用户通过外部网络访问内部网络的信息资源的具体状况进行管理，其中所述访问管理系统10包括堡垒机11及至少一台物理机12，其中所述堡垒机11与至少一台所述物理机12处于同一局域网(即上述内部网络)，每台物理机12与所述堡垒机11通信连接，用户可基于外部网络通过用户端设备20建立与所述堡垒机11的通信连接，由该堡垒机11审核该用户端设备20是否具有访问各物理机12上的信息资源的权限，并在该用户端设备20具有权限时允许该用户端设备20经所述堡垒机11访问对应物理机12上的信息资源。其中，所述堡垒机11与所述物理机12均可以是，但不限于，服务器及个人计算机等；所述用户端设备20可以是，但不限于，平板电脑及个人计算机等。

其中，所述访问管理系统10下存在至少一台物理机12上运行有应用容器，不同物理机12上运行的应用容器数目可以相同，也可以不同。所述堡垒机11处存储有各应用容器的容器ip(internetprotocol，国际互连协议)地址以及每个应用容器与已注册用户账号之间的权限关联关系，所述堡垒机11可在用户通过用户端设备20进行容器访问时，直接基于已存储的各应用容器与已注册用户账号之间的权限关联关系确定该用户是否具有对某个应用容器的访问权限，并在确定具有访问权限时直接建立该用户端设备20与对应应用容器之间的信息访问连接，从而简化容器访问流程，缩短容器访问权限确认时长，并提高容器访问效率。其中，所述应用容器与已注册用户账号之间的权限关联关系用于表示对应已注册用户账号在对应应用容器处的可访问权限大小。

可选地，请参照图2，图2是本申请实施例提供的堡垒机11的结构组成示意图。在本申请实施例中，所述堡垒机11包括访问管理装置100、存储器111、处理器112及通信单元113。所述存储器111、所述处理器112及所述通信单元113各个元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，所述存储器111、所述处理器112及所述通信单元113这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

在本实施例中，所述存储器111可用于存储应用程序，所述处理器112在接收到执行指令后，可相应地执行对应的应用程序。其中，所述存储器111可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。其中，所述存储器111还用于存储同一访问管理系统10下的各物理机12的相关信息，所述相关信息包括对应物理机12的物理机ip地址、对应物理机12上运行的应用容器的容器ip地址、每个物理机12与已注册用户账号之间的权限关联关系、每个应用容器与已注册用户账号之间的权限关联关系中的至少一种或多种组合，其中所述物理机12与已注册用户账号之间的权限关联关系用于表示对应已注册用户账号在对应物理机12处的可访问权限大小。

在本实施例中，所述处理器112可以是一种具有信号的处理能力的集成电路芯片。所述处理器112可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)及网络处理器(networkprocessor，np)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。

在本实施例中，所述通信单元113用于通过网络建立所述堡垒机11与其他电子设备之间的通信连接，并通过该网络收发数据。例如，所述堡垒机11通过该通信单元113与各物理机12通信连接。

在本实施例中，所述访问管理装置100包括至少一个能够以软件或固件的形式存储于所述存储器111中或固化在所述堡垒机11的操作系统中的软件功能模块。所述处理器112可用于执行所述存储器111存储的可执行模块，例如所述访问管理装置100所包括的软件功能模块及计算机程序等。所述堡垒机11可通过所述访问管理装置100简化容器访问流程，缩短容器访问权限确认时长，提高容器访问效率。

可以理解的是，图1所示的结构组成示意图仅为堡垒机11的一种示意图，所述堡垒机11还可包括比图1中所示更多或更少的组件，或具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

在本申请中，为确保所述堡垒机11能够简化容器访问流程，缩短容器访问权限确认时长，提高容器访问效率，本申请通过提供应用于上述堡垒机11的访问管理方法实现上述功能。下面对本申请提供的访问管理方法进行相应描述。

可选地，请参照图3，图3是本申请实施例提供的访问管理方法的流程示意图之一。在本申请实施例中，图3所示的访问管理方法的具体流程和步骤如下文所示。

步骤s310，获取来自用户端设备的信息访问请求，其中信息访问请求包括目标ip地址及该用户端设备登录的目标用户账号。

在本实施例中，当用户需要通过用户端设备20访问所述访问管理系统10下的某种信息资源时，该用户需通过所述用户端设备20向所述访问管理系统10发起包括目标ip地址及该用户的用户账号(即该用户端设备20所登录的目标用户账号)的信息访问请求，以请求访问对应的目标信息资源。其中所述目标ip地址为对应目标信息资源的ip地址。

步骤s320，判断目标ip地址是否属于已存储的容器ip地址。

在本实施例中，所述堡垒机11上存储有位于与其通信连接的物理机12上的所有应用容器的容器ip地址，所述堡垒机11可通过将信息访问请求中的目标ip地址与已存储的每个容器ip地址进行比对，以判断该目标ip地址是否属于已存储的容器ip地址。其中，当判定所述目标ip地址属于已存储的容器ip地址时，可以表明用户所访问的应用容器确实属于该堡垒机11所在访问管理系统10下的应用容器，此时所述堡垒机11将对应执行步骤s330。

步骤s330，根据目标ip地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断目标用户账号是否具有针对目标应用容器的目标访问权限。

在本实施例中，当所述目标ip地址属于已存储的容器ip地址时，所述堡垒机11将根据应用容器与容器ip地址之间的对应关系，在存储的所有应用容器各自与已注册用户账号之间的权限关联关系中，确定出与目标ip地址对应的目标应用容器与已注册用户账号之间的权限关联关系，而后通过检测所述信息访问请求中的目标用户账号是否处于与该目标应用容器存在权限关联关系的所有已注册用户账号之中的方式，快速确定所述目标用户账号是否具有针对所述目标应用容器的访问权限。

可选地，所述根据目标ip地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断目标用户账号是否具有针对目标应用容器的目标访问权限的步骤，包括：

将与目标应用容器存在权限关联关系的每个已注册用户账号与所述目标用户账号进行匹配；

当匹配成功，则判定所述目标用户账号具有所述目标访问权限，否则判定所述目标用户账号不具有所述目标访问权限。

其中，所述堡垒机11可通过执行上述步骤快速确定用户是否具有访问目标应用容器的权限，而后在确定用户具有权限时，在目标应用容器与已注册用户账号之间的权限关联关系中直接确定该目标用户账号的具体访问权限大小(即目标访问权限)。所述堡垒机11在执行所述步骤s330后，可根据权限判断结果相应地执行步骤s340或步骤s350，其中当所述步骤s330的权限判断结果为所述目标用户账号具有目标访问权限时，所述堡垒机11将执行步骤s340，否则执行步骤s350。

步骤s340，按照目标访问权限建立目标应用容器与用户端设备之间的信息访问连接。

在本实施例中，当所述堡垒机11判定所述目标用户账号具有针对目标应用容器的访问权限时，所述堡垒机11将按照该目标用户账号在该目标应用容器的访问权限大小通过建立信息访问连接的方式向用户端设备20展示该目标应用容器的与所述访问权限大小对应的信息资源内容，以避免信息泄露，提高信息安全管理等级。其中，不同的用户账号在同一应用容器处的访问权限大小可以相同，也可以不同。

可选地，请参照图4，图4为图3中的步骤s340包括的子步骤的流程示意图。在本实施例中，当每个应用容器可由多个应用组件构成时，同一应用容器与已注册用户账号之间的权限关联关系包括有该应用容器下的每个应用组件与已注册用户账号之间的权限对应关系，其中所述权限对应关系用于表示对应已注册用户账号对一个应用容器下的不同应用组件的权限状况，此时所述步骤s340可以包括子步骤s341～子步骤s342。

子步骤s341，在目标应用容器所对应的所有应用组件中，确定与目标用户账号存在权限对应关系的至少一个目标应用组件。

子步骤s342，建立用户端设备与确定出的每个目标应用组件的信息访问连接。

在本实施例中，所述堡垒机11可通过执行上述子步骤s341及子步骤s342的方式，确保向用户端设备20展示的目标应用容器的实际内容仅与对应目标用户账号的实际访问权限对应，避免出现多余信息泄露的现象，提高信息安全管理等级。

步骤s350，向用户端设备提示信息访问失败。

在本实施例中，当堡垒机11判定用户端设备20所发送的信息访问请求中的目标ip地址属于与该堡垒机11处于同一访问管理系统10下的应用容器的容器ip地址，且该信息访问请求中的目标用户账号不具有该目标ip地址所对应的目标应用容器的访问权限时，所述堡垒机11将向该用户端设备20提示信息访问失败。

在本申请的一种实施例中，当所述堡垒机11仅需具有容器访问管理的功能的话，当所述堡垒机11执行到上述步骤s320并判定用户针对的目标ip地址并非与该堡垒机11处于同一访问管理系统10下的应用容器的容器ip地址时，所述堡垒机11可直接执行步骤s350的方式，结束整个容器访问流程。

在本申请中，所述堡垒机11可通过执行图3所示的访问管理方法，简化用户访问容器的整体流程，缩短用户的容器访问权限确认时长，提高用户访问容器的访问效率。

在本申请中，为确保所述堡垒机11处存储的各应用容器所对应的权限关联关系是实时有效的，本申请通过提供应用于所述堡垒机11处的权限信息更新方案实现上述功能，下面对本申请提供的权限信息更新方案进行相应描述。

可选地，请参照图5，图5是本申请实施例提供的访问管理方法的流程示意图之二。在本实施例中，图5所示的访问管理方法与图3所示的访问管理方法相比，图5所示的访问管理方法还可以包括步骤s360及步骤s370。

步骤s360，实时检测每个应用容器的运行状态。

在本实施例中，所述堡垒机11上存储的各应用容器的权限关联关系需要实时地保证与物理机12上存储的应用容器的运行状态保持一致，以防止出现用户通过所述堡垒机11确定自身具有针对某个应用容器的访问权限而该应用容器却在对应物理机12上下架的现象，确保所述堡垒机11处的各应用容器的权限关联关系真实有效。

在本实施例的一种实施方式中，所述访问管理系统10还可以包括一容器信息统计设备(图中未示出)，所述容器信息统计设备与所述访问管理系统10下的每个物理机12通信连接，用于记录每个物理机12上的应用容器的变化情况，而所述堡垒机11通过实时获取该容器信息统计设备所记录的信息的方式，对每个应用容器的运行状态进行实时监测。其中，所述容器信息统计设备可通过创建一容器消息队列，由每个物理机12在监测到自身发生容器创建操作、容器下架操作或容器内容更改操作时，在该容器消息队列中加入对应容器的表示容器运行状态的容器消息，使所述堡垒机11可通过轮询该容器消息队列的方式，达到实时检测每个应用容器的运行状态的效果。其中，所述容器信息统计设备与所述堡垒机11可以是同一设备的不同职能体现。

步骤s370，当检测到运行状态发生变化的应用容器时，根据运行状态变化情况对存储的与应用容器对应的权限关联关系进行更新。

在本实施例中，所述堡垒机11会根据各物理机12上的应用容器的运行状态变化情况，对自身存储的与应用容器相关的权限关联关系进行更新操作，以确保堡垒机11上存储的各应用容器的权限关联关系是实时有效的。其中所述更新操作包括创建新建应用容器的权限关联关系、删除已下架应用容器的权限关联关系，以及对内容变动的应用容器的权限关联关系进行调整等。

在本申请中，所述堡垒机11通过执行图5所示的访问管理方法，确保其存储的各应用容器所对应的权限关联关系是实时有效的，避免出现权限关联关系与对应应用容器状态不匹配的现象。

在本申请中，当所述堡垒机11要求除了具有容器访问管理功能外，还需具有物理机访问管理功能时，所述堡垒机11可在图3所示的访问管理方法的基础上进行方法扩展，以确保所述堡垒机11在具有容器访问管理功能的同时具有物理机访问管理功能。下面对本申请提供的用于实现上述效果的访问管理方法进行相应描述。其中，所述堡垒机11中的访问管理装置100所具有的功能效果与本申请所记载的各项访问管理方法是相互对应的。

可选地，请参照图6，图6是本申请实施例提供的访问管理方法的流程示意图之三。在本申请实施例中，图6所示的访问管理方法与图3所示的访问管理方法相比，图6所示的访问管理方法对图3中的步骤s320的分支步骤s350进行了步骤替换，以通过替换后的步骤实现物理机访问管理功能。其中，图6所示的访问管理方法相对于图3所示的访问管理方法所替换的步骤如下所示。

步骤s380，判断目标ip地址是否属于已存储的物理机ip地址。

在本实施例中，所述堡垒机11可以存储有与其通信连接的各物理机12的物理机ip地址。当所述堡垒机11获取到一个信息访问请求，并判定该信息访问请求中的目标ip地址不属于已存储的容器ip地址时，所述堡垒机11可以判定当前用户所要访问的信息资源并非与该堡垒机11处于同一访问管理系统10的应用容器，此时所述堡垒机11会将该目标ip地址与存储的所有物理机ip地址进行比对，以判断该当前用户所要访问的信息资源是否是与该堡垒机11处于同一访问管理系统10的物理机12。其中，当所述堡垒机11判定所述目标ip地址不属于已存储的物理机ip地址时，所述堡垒机11将对应执行步骤s350；当所述堡垒机11判定所述目标ip地址属于已存储的物理机ip地址时，所述堡垒机11将对应验证用户是否具有访问与该目标ip地址对应的目标物理机12的访问权限。

在本申请的一种实施例中，所述堡垒机11如现有技术那般存储有与其通信连接的物理机12与已注册用户账号之间的权限关联关系时，所述堡垒机11可直接通过在与目标ip地址对应的目标物理机12与已注册用户账号之间的权限关联关系中检测是否存在与目标用户账号对应的权限的方式，确定当前用户是否具有访问目标物理机12的权限。而后，由所述堡垒机11在确定目标用户账号具有针对目标物理机12的权限时，建立用户端设备20与目标物理机12之间的信息访问连接；由所述堡垒机11在确定目标用户账号不具有针对目标物理机12的权限时，执行步骤s350以向用户端设备20提示信息访问失败。

在此实施例中，因所述堡垒机11处存储有各物理机12与已注册用户账号之间的权限关联关系，当恶意用户通过用户端设备20攻击了所述堡垒机11，则将出现物理机12与已注册用户账号之间的权限关联关系的信息泄露现象。

为解决上述实施例所存在的信息安全缺陷问题，本申请还可包括另一实施例用于增强物理机权限信息的存储安全性。此时，所述堡垒机11可通过执行图6中的步骤s390、步骤s400、步骤s410、步骤s420及步骤s350实现增强物理机权限信息的存储安全性的效果。

步骤s390，向物理机鉴权中心发送包括目标ip地址及目标用户账号的物理机鉴权请求。

在本实施例中，请参照图7，图7是本申请实施例提供的访问管理系统10的应用场景示意图之二。图7所示的访问管理系统10与图1所示的访问管理系统10相比，图7所示的访问管理系统10还可以包括物理机鉴权中心13，所述物理机鉴权中心13处存储有该访问管理系统10下各物理机12与已注册用户账号之间的权限关联关系，并由所述物理机鉴权中心13执行现有技术中堡垒机所具有的物理机权限判断职能。其中，所述物理机鉴权请求用于确定目标用户账号是否具有访问目标ip地址所对应的目标物理机12的权限。

步骤s400，接收来自物理机鉴权中心的与物理机鉴权请求对应的鉴权结果。

步骤s410，根据鉴权结果判断目标用户账号是否具有访问目标物理机的权限。

在本实施例中，所述堡垒机11在接收到所述物理机鉴权中心13反馈的针对目标用户账号及目标物理机12的鉴权结果后，会按照该鉴权结果的具体内容选择性地执行步骤s420或步骤s350。其中，当所述鉴权结果表明所述目标用户账号具有访问所述目标物理机12的权限时，所述堡垒机11将对应执行步骤s420；当所述鉴权结果表明所述目标用户账号不具有访问所述目标物理机12的权限时，所述堡垒机11将对应执行步骤s350。

步骤s420，建立用户端设备与目标物理机之间的信息访问连接。

在本实施例中，当所述堡垒机11知晓目标用户账号具有针对与目标ip地址对应的目标物理机12的访问权限时，所述堡垒机11将自行建立该用户端设备20与目标物理机12之间的信息访问连接，使用户端设备20得以访问该目标物理机12。

在本申请中，所述堡垒机11通过执行图6所示的访问管理方法，在确保自身能够快速实现容器访问功能的同时，确保自身也能实现物理机访问功能，并在物理机访问过程中提高物理机权限信息的安全保密性，降低物理机权限信息的泄露可能性。

在本申请中，为保证仅预先注册用户能够对所述访问管理系统10内的信息资源进行访问，本申请通过提供执行在图3或图6所示的访问管理方法前的用于对当前用户的信息访问可行性进行认证的身份验证方案实现上述功能。下面对本申请提供的身份验证方案进行详细描述。

可选地，请参照图8，图8是本申请提供的访问管理方法的流程示意图之四。在本申请实施例中，图8所示的访问管理方法执行在图3或图6所示的访问管理方法中的步骤s310之前，图8所示的访问管理方法可以包括步骤s430～步骤s450。

步骤s430，获取来自用户端设备的身份验证请求，其中身份验证请求包括该用户端设备登录的目标用户账号及对应的待验证私钥。

在本实施例中，所述堡垒机11处存储有每个已注册用户账号所对应的用户公钥。当新用户需要在上述访问管理系统10处进行身份注册时，该访问管理系统10会针对该新用户分配匹配的已注册用户账号、用户公钥及用户私钥，并将已注册用户账号及对应的用户私钥发送给该用户，并已注册用户账号及对应用户公钥发送到堡垒机11处进行缓存，以将同一已注册用户账号所对应的用户公钥与用户私钥分两处保存，确保堡垒机11在被攻破时，也不会完全泄露已注册用户在进行身份验证所需的所有数据，提高堡垒机11的安全防护性。其中，每个用户公钥仅对应一个用户私钥。

所述堡垒机11在接收到来自用户端设备20的身份验证请求后，可通过对接收到的身份验证请求进行解析，得到该身份验证请求所包括用户端设备20登录的目标用户账号及对应的待验证私钥，而后根据已存储的已注册用户账号各自的用户公钥进行身份验证操作。

步骤s440，根据已存储的所有已注册账号各自对应的用户公钥对目标用户账号及待验证私钥进行身份验证。

在本实施例的一种实施方式中，所述堡垒机11可直接通过在已存储的所有已注册账号中检测是否存在目标用户账号的方式，初步判断该目标用户账号是否属于已注册用户账号。当判定该目标用户账号不属于已注册用户账号时，所述堡垒机11可直接判定身份验证失败。

当判定该目标用户账号属于已注册用户账号时，所述堡垒机11可在存储的所有用户公钥中查找与该目标用户账号对应的目标用户公钥，而后将该目标用户公钥与待验证私钥进行匹配。如果匹配成功，则可直接判定身份验证成功；如果匹配失败，则可直接判定身份验证失败。

可选地，请参照图9，图9为图8中的步骤s440包括的子步骤的流程示意图。在本实施例的另一种实施方式中，为提高身份验证可靠性，增加信息访问安全等级，所述堡垒机11可通过执行图9所示的步骤s440所包括的子步骤实现上述功能。

子步骤s441，在已存储的所有用户公钥中检测是否存在与目标用户账号对应的目标用户公钥。若检测到不存在目标用户公钥，则执行子步骤s446；若检测到存在目标用户公钥，则执行子步骤s442。

子步骤s442，检测目标用户公钥是否与待验证私钥匹配。当检测到目标用户公钥与待验证私钥不匹配时，执行子步骤s446；当检测到目标用户公钥与待验证私钥匹配时，执行子步骤s443。

子步骤s443，向用户端设备发送一随机码。

子步骤s444，接收来自用户端设备的反馈码，并检测随机码是否与反馈码匹配。当检测到随机码与反馈码匹配时，执行子步骤s445；当检测到随机码与反馈码不匹配时，执行子步骤s446。

子步骤s445，判定身份验证成功。

子步骤s446，判定身份验证失败。

其中，所述堡垒机11通过执行子步骤s441～子步骤s446的方式，实现对用户的双因子验证，从而达到提高身份验证可靠性，增加信息访问安全等级的效果。

步骤s450，当身份验证成功时，向用户端设备发出允许进行信息访问的提示，否则向用户端设备发出身份验证失败的提示。

在本实施例中，所述堡垒机11通过执行步骤s450向发送身份验证请求的用户端设备20反馈与身份验证结果匹配的提示信息的方式，确保用户得以知晓自己是否具有访问该访问管理系统10的信息资源的权限。

在本申请中，所述堡垒机11通过执行图8所示的访问管理方法的方式，对用户的信息访问可行性进行认证，以确保能对访问管理系统10内的信息资源进行访问的用户仅属于预先注册用户。

在本申请中，为确保上述的几种数据库资源管理方法能够在所述堡垒机11上正常运行，本申请通过对所述堡垒机11所包括的访问管理装置100进行功能模块划分以实现其功能，下面对本申请提供的访问管理装置100的具体组成进行相应描述。

可选地，请参照图10，图10是本申请实施例提供的访问管理装置100的功能模块示意图之一。在本申请实施例中，所述访问管理装置100包括请求获取模块110、地址判断模块120、权限判断模块130、连接建立模块140及失败提示模块150。

请求获取模块110，用于获取来自用户端设备的信息访问请求，其中信息访问请求包括目标ip地址及该用户端设备登录的目标用户账号。

地址判断模块120，用于判断目标ip地址是否属于已存储的容器ip地址。

权限判断模块130，用于若判定目标ip地址属于已存储的容器ip地址，则根据目标ip地址所对应的目标应用容器与已注册用户账号之间的权限关联关系，判断目标用户账号是否具有针对目标应用容器的目标访问权限。

连接建立模块140，用于当判定目标用户账号具有目标访问权限时，按照目标访问权限建立目标应用容器与用户端设备之间的信息访问连接。

失败提示模块150，用于在判定目标ip地址不属于已存储的容器ip地址，或判定目标用户账号不具有目标访问权限时，向用户端设备提示信息访问失败。

可选地，请参照图11，图11是本申请实施例提供的访问管理装置100的功能模块示意图之二。在本申请实施例中，所述访问管理装置100还可以包括容器检测模块160及权限更新模块170。

容器检测模块160，用于实时检测每个应用容器的运行状态。

权限更新模块170，用于当检测到运行状态发生变化的应用容器时，根据运行状态变化情况对存储的与应用容器对应的权限关联关系进行更新。

可选地，请参照图12，图12是本申请实施例提供的访问管理装置100的功能模块示意图之三。在本申请实施例中，所述访问管理装置100还可以包括鉴权请求模块180及鉴权接收模块190。

所述地址判断模块120，还用于判定目标ip地址不属于已存储的容器ip地址，则判断目标ip地址是否属于已存储的物理机ip地址。

鉴权请求模块180，用于当判定目标ip地址属于已存储的物理机ip地址时，向物理机鉴权中心发送包括目标ip地址及目标用户账号的物理机鉴权请求，其中物理机鉴权请求用于确定目标用户账号是否具有访问目标ip地址所对应的目标物理机的权限。

鉴权接收模块190，用于接收来自物理机鉴权中心的与物理机鉴权请求对应的鉴权结果。

连接建立模块140，用于在鉴权结果表明目标用户账号具有访问目标物理机的权限时，建立用户端设备与目标物理机之间的信息访问连接。

失败提示模块150，用于在鉴权结果表明目标用户账号不具有访问目标物理机的权限，或判定目标ip地址不属于已存储的物理机ip地址时，向用户端设备提示信息访问失败。

可选地，请参照图13，图13是本申请实施例提供的访问管理装置100的功能模块示意图之四。在本申请实施例中，所述堡垒机11存储有每个已注册用户账号的用户公钥，所述访问管理装置100还可以包括身份验证模块210及验证提示模块220。

所述请求获取模块110，还用于获取来自用户端设备的身份验证请求，其中身份验证请求包括该用户端设备登录的目标用户账号及对应的待验证私钥。

身份验证模块210，用于根据已存储的所有已注册账号各自对应的用户公钥对目标用户账号及待验证私钥进行身份验证。

验证提示模块220，用于当身份验证成功时，向用户端设备发出允许进行信息访问的提示，否则向用户端设备发出身份验证失败的提示。

需要说明的是，本申请提供的访问管理装置100，其基本原理及产生的技术效果与上述的访问管理方法相同，为简要描述，本实施例部分未提及之处，可参考上述的对上述访问管理方法的相应描述。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

综上所述，在本申请提供的一种访问管理方法、装置、堡垒机及可读存储介质中，本申请在堡垒机处获取到来自用户端设备的信息访问请求时，会判断该信息访问请求所包括的目标ip地址是否是已存储的容器ip地址，并在确定是已存储的容器ip地址时，根据已存储的与该目标ip地址对应的目标应用容器和已注册用户账号之间的权限关联关系，判断该信息访问请求所包括的用户端设备登录的目标用户账号是否具有针对所述目标应用容器的目标访问权限，而后在确定该目标用户账号具有目标访问权限时，直接由该堡垒机按照该目标访问权限建立用户端设备与目标应用容器之间的信息访问连接，从而简化容器访问流程，缩短容器访问权限确认时长，并能够在用户具有容器访问权限时快速实现对应的容器访问操作，提高了容器访问效率。

而后，本申请通过在堡垒机处实现物理机访问功能时，通过将物理机权限判断操作放置在其他电子设备处，提高物理机权限信息的安全保密性，降低物理机权限信息的泄露可能性。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。