本發明公開了一種Docker引擎用戶權限安全控制方法及裝置，包括：在接收到用戶的Docker命令時，獲取用戶的第一用戶權限信息和第一用戶命令行參數選項；將第一用戶權限信息和第一用戶命令行參數選項進行第一次封裝；驗證用戶的第二權限信息和第二用戶命令行參數選項是否是第一次封裝后的第一用戶權限信息和第一用戶命令行參數選項；將驗證完畢后的第二權限信息和第二用戶命令行參數選項進行二次封裝發送給Docker引擎。通過對用戶的權限信息和命令行參數進行驗證和兩次包裝，使用戶在Docker引擎中的權限參數只能是固定的，無法使用別的權限參數來使用Docker引擎，避免了別人使用Docker引擎時盜用自己的數據，用戶本身也無法獲取其他人的權限，訪問非授權的數據，極大的提高了安全性。

技術領域

本發明涉及計算機安全技術領域，尤其涉及一種Docker引擎用戶權限安全控制方法及裝置。

背景技術

目前，軟件的開發越來越多，開發者們通過將開發出的軟件放到Docker引擎中然后在Linux系統上進行操作，現有方法的步驟為：通過重新構建Docker鏡像的方式，在Docker鏡像中添加用戶，并設置用戶的uid和gid。并且對鏡像倉庫進行權限管理；限制用戶執行docker命令或通過第三方工具、平臺執行docker?run來啟動引擎。但是這種方法存在以下缺點：用戶啟動引擎的時候，可以自己提升引擎的權限為root權限；也可以指定引擎中運行的用戶為任意用戶；可以訪問、修改、刪除任意數據，執行任意程序。使得Docker引擎的安全性變得很低從而造成數據丟失或讓盜竊進而對經濟造成重大損失的問題。

發明內容

針對上述所顯示出來的問題，本方法基于對用戶發出的Docker命令中的用戶權限信息和用戶命令行參數選項進行封裝、驗證再封裝來實現用戶權限的安全控制。

一種Docker引擎用戶權限安全控制方法，包括以下步驟：

在接收到用戶的Docker命令時，獲取所述用戶的第一用戶權限信息和第一用戶命令行參數選項；

將所述第一用戶權限信息和第一用戶命令行參數選項進行第一次封裝；

驗證所述用戶的第二權限信息和第二用戶命令行參數選項是否是第一次封裝后的第一用戶權限信息和第一用戶命令行參數選項；

將驗證完畢后的第二權限信息和第二用戶命令行參數選項進行二次封裝發送給所述Docker引擎。

優選的，所述在接收到用戶的Docker命令時，獲取所述用戶的第一用戶權限信息和第一用戶命令行參數選項，包括：

在接收到Docker命令時，攔截所述Docker命令；

確認發出所述Docker命令的用戶的身份信息；

將所述身份信息輸入到預先建立的id庫中獲取所述用戶的用戶id和組id；

將所述用戶id和組id確定為所述第一用戶權限信息；

對所述Docker命令進行行參數分析，獲取分析結果；

將所述分析結果中符合預設條件的用戶命令行參數選項確認為所述第一用戶命令行參數選項。

優選的，所述將所述第一用戶權限信息和第一用戶命令行參數選項進行第一次封裝，包括：

將所述第一用戶權限信息和第一用戶命令行參數選項進行審核；

審核完畢后將所述第一用戶權限信息和第一用戶命令行參數選項進行鎖定；

將鎖定之后的第一用戶權限信息和第一用戶命令行參數選項進行第一次封裝；

對所述第一用戶命令行參數選項進行分析,判斷所述第一用戶命令行參數選項是否與權限提升有關以及是否映射非授權的指令，輸出判斷結果。