一种基于容器技术的远程访问权限控制方法及装置与流程

本发明涉及数据处理，特别涉及一种基于容器技术的远程访问权限控制方法及装置。

背景技术：

1、在数据安全领域，对于一些敏感数据，通常需要按照用户的权限限制访问。目前，通常可以通过用户授权的方式来解决。具体地，不同权限的用户可以通过权限认证，登入网关或者服务器，然后通过网关或者服务器获取到所需数据。

2、然而，目前不同权限的用户往往是通过相同的网关或者服务器访问数据资源，如果存在服务器被入侵的情况，会导致数据安全得不到保证。鉴于此，目前需要一种更加安全的数据访问方式。

技术实现思路

1、本发明提供一种基于容器技术的远程访问权限控制方法及装置，能够提高数据访问的安全性。

2、鉴于此，本发明一方面提供一种基于容器技术的远程访问权限控制方法，所述方法包括：

3、接收目标用户的数据访问请求，并计算所述数据访问请求对应的定位信息；

4、将所述数据访问请求调度至所述定位信息指向的目标数据容器处；其中，所述目标数据容器中挂载可访问的数据资源，并且所述数据资源具备对应的访问权限；

5、在所述目标数据容器中处理所述数据访问请求，以确定所述数据访问请求对应的请求数据，并将所述请求数据反馈给所述目标用户。

6、在一个实施方式中，计算所述数据访问请求对应的定位信息包括：

7、从所述数据访问请求中提取所述目标用户的用户标识，并计算所述用户标识的散列信息；

8、将所述散列信息在预设哈希桶中所处的位置，作为所述数据访问请求对应的定位信息；其中，所述预设哈希桶中的位置基于不同的访问权限设置，其具体步骤包括，

9、步骤a1：所述目标用户的用户标识会存在于所述数据访问请求中的帧头尾端以及帧尾首端位置，利用公式(1)从所述数据访问请求中提取所述目标用户的用户标识

10、

11、其中s116表示从所述数据访问请求的帧头中提取到的所述目标用户的用户标识数据的16进制形式；s216表示从所述数据访问请求的帧尾中提取到的所述目标用户的用户标识数据的16进制形式；f16表示所述数据访问请求数据的16进制形式；a(f16)表示所述数据访问请求的帧头数据的16进制形式；e(f16)表示所述数据访问请求的帧尾数据的16进制形式；>>表示右移符号；<<表示左移符号；b表示所述目标用户的用户标识的数据总位数；len[]表示求取括号内的数据总位数；

12、步骤a2：利用公式(2)根据在所述数据访问请求中提取到的帧头处所述目标用户的用户标识以及帧尾处所述目标用户的用户标识进行对比判断所述数据访问请求是否有效

13、

14、其中d表示所述数据访问请求是否有效的判定值；s116(a)表示所述16进制数据s116中第a位上的数值；s216(a)表示所述16进制数据s216中第a位上的数值；| |表示求取绝对值；

15、若d＝1，则表示所述数据访问请求有效；

16、若d＝0，则表示所述数据访问请求无效；

17、步骤a3：若所述数据访问请求有效，则对所述目标用户的用户标识进行确定控制标记；若所述数据访问请求无效，则对所述目标用户的用户标识进行排除控制标记，从而体现所述目标用户的用户标识的提取成功，则利用公式(3)对所述目标用户的用户标识进行控制标记

18、

19、其中s1′16表示从所述数据访问请求的帧头中提取到的所述目标用户的用户标识进行控制标记后的16进制数据；s2′16表示从所述数据访问请求的帧尾中提取到的所述目标用户的用户标识进行控制标记后的16进制数据；表示循环右移。

20、在一个实施方式中，所述预设哈希桶中的各个位置还与各自的数据容器相映射；将所述数据访问请求调度至所述定位信息指向的目标数据容器处包括：

21、基于所述定位信息在所述预设哈希桶中表征的目标位置，确定与所述目标位置相映射的目标数据容器，并将所述数据访问请求调度至所述目标数据容器处。

22、在一个实施方式中，所述可访问的数据资源按照以下方式挂载至所述目标数据容器中：

23、确定所述可访问的数据资源的访问权限，并基于访问权限对所述可访问的数据资源进行归类，以及将不同类别的可访问的数据资源挂载至不同的数据容器中。

24、在一个实施方式中，在将所述请求数据反馈给所述目标用户之前，所述方法还包括：

25、检测所述请求数据中包含的内部信息，并查询与所述内部信息相匹配替换数据；

26、将所述内部信息从所述请求数据中剔除，并将对应的替换数据填充至所述请求数据中，以生成待反馈给目标用户的请求数据。

27、本发明另一方面提供一种基于容器技术的远程访问权限控制装置，所述装置包括：

28、请求处理单元，用于接收目标用户的数据访问请求，并计算所述数据访问请求对应的定位信息；

29、请求调度单元，用于将所述数据访问请求调度至所述定位信息指向的目标数据容器处；其中，所述目标数据容器中挂载可访问的数据资源，并且所述数据资源具备对应的访问权限；

30、数据反馈单元，用于在所述目标数据容器中处理所述数据访问请求，以确定所述数据访问请求对应的请求数据，并将所述请求数据反馈给所述目标用户。

31、在一个实施方式中，所述请求处理单元具体用于，从所述数据访问请求中提取所述目标用户的用户标识，并计算所述用户标识的散列信息；将所述散列信息在预设哈希桶中所处的位置，作为所述数据访问请求对应的定位信息；其中，所述预设哈希桶中的位置基于不同的访问权限设置，其具体步骤包括，

32、步骤a1：所述目标用户的用户标识会存在于所述数据访问请求中的帧头尾端以及帧尾首端位置，利用公式(1)从所述数据访问请求中提取所述目标用户的用户标识

33、

34、其中s116表示从所述数据访问请求的帧头中提取到的所述目标用户的用户标识数据的16进制形式；s216表示从所述数据访问请求的帧尾中提取到的所述目标用户的用户标识数据的16进制形式；f16表示所述数据访问请求数据的16进制形式；a(f16)表示所述数据访问请求的帧头数据的16进制形式；e(f16)表示所述数据访问请求的帧尾数据的16进制形式；>>表示右移符号；<<表示左移符号；b表示所述目标用户的用户标识的数据总位数；len[]表示求取括号内的数据总位数；

35、步骤a2：利用公式(2)根据在所述数据访问请求中提取到的帧头处所述目标用户的用户标识以及帧尾处所述目标用户的用户标识进行对比判断所述数据访问请求是否有效

36、

37、其中d表示所述数据访问请求是否有效的判定值；s116(a)表示所述16进制数据s116中第a位上的数值；s216(a)表示所述16进制数据s216中第a位上的数值；| |表示求取绝对值；

38、若d＝1，则表示所述数据访问请求有效；

39、若d＝0，则表示所述数据访问请求无效；

40、步骤a3：若所述数据访问请求有效，则对所述目标用户的用户标识进行确定控制标记；若所述数据访问请求无效，则对所述目标用户的用户标识进行排除控制标记，从而体现所述目标用户的用户标识的提取成功，则利用公式(3)对所述目标用户的用户标识进行控制标记

41、

42、其中s1′16表示从所述数据访问请求的帧头中提取到的所述目标用户的用户标识进行控制标记后的16进制数据；s2′16表示从所述数据访问请求的帧尾中提取到的所述目标用户的用户标识进行控制标记后的16进制数据；表示循环右移。

43、在一个实施方式中，所述预设哈希桶中的各个位置还与各自的数据容器相映射；所述请求调度单元具体用于，基于所述定位信息在所述预设哈希桶中表征的目标位置，确定与所述目标位置相映射的目标数据容器，并将所述数据访问请求调度至所述目标数据容器处。

44、本技术提供的技术方案，使用容器化技术，将数据资源通过挂载的方式分配到不同的容器中，不同权限的用户在访问远程数据时根据其权限被分配到不同的容器，访问不同的资源。利用容器技术的命名空间对数据进行隔离，可以实现内核级的数据访问权限隔离，有助于提高数据的安全性。

45、本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

46、下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。