(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111486293.5 (22)申请日 2021.12.07 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 梁李辉　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/146(2022.01) H04L 67/60(2022.01) (54)发明名称 一种基于容器环境的访问控制方法及系统 (57)摘要 本申请实施例提供一种基于容器环境的访 问控制方法及系统， 涉及网络安全技术领域， 该 基于容器环 境的访问控制方法包括： 先获取源容 器的源容器标识； 并获取具有源容器标识的通信 报文并缓存通信报文； 然后确定接收通信报文的 目的容器； 并根据源容器标识与目的端防护 产品 客户端， 进行基于容器标识的握手验证； 当握手 验证通过时， 将缓存的通信报文发送至目的端防 护产品客户端， 以使目的端防护产品客户端将通 信报文转发至目的容器， 可见， 该方法访问控制 过程简单， 且能够实现跨计算节 点的容器到容器 端到端的访问控制， 从而提高网络安全防护性 能。 权利要求书2页 说明书9页 附图6页 CN 114172726 A 2022.03.11 CN 114172726 A 1.一种基于容器环境的访问控制方法， 其特征在于， 应用于源端防护产品客户端， 包 括： 获取源容器的源容器标识； 获取具有所述源容器标识 的通信报文并缓存所述通信报文； 其中， 所述源容器与所述 源端防护产品客户端部署于源计算节点内； 确定接收所述 通信报文的目的容器； 根据所述源容器标识与目的端防护产品客户端， 进行基于容器标识的握手验证； 其中， 所述目的容器与所述目的端防护产品客户端部署于目的计算节点内； 当握手验证通过时， 将缓存的所述通信报文发送至所述目的端 防护产品客户端， 以使 所述目的端防护产品客户端将所述 通信报文转发至所述目的容器。 2.根据权利要求1所述的基于容器环境的访问控制方法， 其特征在于， 所述获取源容器 的源容器标识， 包括： 当检测到源容器的进程启动时， 提取 所述源容器的相关属性标签； 根据所述相关属性标签， 确定所述源容器的源容器标识。 3.根据权利要求1所述的基于容器环境的访问控制方法， 其特征在于， 所述获取具有所 述源容器标识的通信报文并缓存所述 通信报文， 包括： 下发预设的进程管理策略至所述源容器对应的源端系统内核， 以使所述源端系统内核 根据所述进程管理策略与所述源容器的进程进 行关联， 并将与所述源容器的进程对应的通 信报文打上所述源容器标识； 其中， 所述源容器、 所述源端防护产品客户端以及所述源端系 统内核三 者部署于所述源计算节点内； 根据所述源容器标识获取重定向的所述通信报文， 所述通信报文为所述源容器发送至 所述源端系统内核的报文； 缓存所述 通信报文。 4.根据权利要求1所述的基于容器环境的访问控制方法， 其特征在于， 所述根据 所述源 容器标识与目的端防护产品客户端， 进行基于容器标识的握 手验证， 包括： 发送包括所述源容器标识的连接请求至目的端防护产品客户端； 判断是否接收到所述目的端防护产品客户端发送的包括目的容器标识的连接请求确 认信息； 如果是， 则根据 预设的源端安全策略确定所述源容器标识与 所述目的容器标识对应的 第一通信策略； 判断所述第一 通信策略是否为 流量放行策略； 如果是， 则向所述目的端 防护产品客户端发送最终确认信息， 以表示通过与所述目的 端防护产品客户端之间的握 手验证。 5.根据权利要求4所述的基于容器环境的访问控制方法， 其特征在于， 所述方法还包 括： 当判断出未接收到所述连接请求确 认信息时， 或者当判断出所述通信策略不为流量放 行策略时， 则根据所述源容器标识和所述 目的容器标识生成访问控制认证失败记录信息， 以表示未通过与所述目的端防护产品客户端之间的握 手验证。 6.一种基于容器环境的访问控制方法， 其特征在于， 应用于目的端防护产品客户端， 包权　利　要　求　书 1/2 页 2 CN 114172726 A 2括： 获取目的容器的目的容器标识； 根据所述目的容器标识与源端防护产品客户端， 进行基于容器标识的握手验证； 其中， 所述目的容器与所述目的端防护产品客户端部署于目的计算节点内； 当所握手验证通过时， 接收所述源端防护产品客户端发送的通信报文； 将所述通信报文转发至所述目的容器。 7.根据权利要求6所述的基于容器环境的访问控制方法， 其特征在于， 所述根据 所述目 的容器标识与源端防护产品客户端， 进行基于容器标识的握 手验证， 包括： 接收源端防护产品客户端发送的包括源容器标识的连接请求； 根据预设的目的端安全策略确定所述源容器标识与所述目的容器标识对应的第二通 信策略； 判断所述第二 通信策略是否为 流量放行策略； 如果是， 则向所述源端防护产品客户端发送包括所述目的容器标识的连接请求确 认信 息； 判断是否 接收到所述源端防护产品客户端发送的最终确认信息； 如果是， 则执 行所述的接收所述源端防护产品客户端发送的通信报文。 8.一种基于容器环境的访问控制系统， 其特征在于， 所述基于容器环境的访问控制系 统包括源计算节点和目的计算节点， 所述源计算节点包括源端防护产品客户端、 源容器以 及源端系统内核， 所述目的计算节点包括目的端防护产品客户端和目的容器， 其中， 所述源端防护产品客户端， 用于获取源容器的源容器标识； 所述目的容器， 用于发送通信报文至所述源端系统内核； 所述源端系统内核， 用于为所述通信报文打上所述源容器标识， 并将具有所述源容器 标识的所述 通信报文重 定向至所述源端防护产品客户端； 所述源端防护产品客户端， 用于接收具有所述源容器标识的所述通信报文 并缓存所述 通信报文； 以及确定 接收所述 通信报文的目的容器； 所述源端 防护产品客户端， 用于根据所述源容器标识， 进行与所述目的端 防护产品客 户端的基于容器标识的握手验证； 当握手验证通过时， 将缓存的所述通信报文发送至所述 目的端防护产品客户端； 所述目的端防护产品客户端， 用于将所述 通信报文转发至所述目的容器。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至7中 任一项所述的基于容器环境的访问控制方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至7任一项 所述的基于容器环 境的访问控制方法。权　利　要　求　书 2/2 页 3 CN 114172726 A 3