(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111783051A(43)申请公布日2020.10.16(21)申请号202010653267.6(22)申请日2020.07.08(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人崔帅华(74)专利代理机构北京博思佳知识产权代理有限公司11415代理人周嗣勇(51)Int.Cl.G06F21/31(2013.01)G06F21/60(2013.01)权利要求书4页说明书15页附图4页(54)发明名称身份认证方法及装置和电子设备(57)摘要本说明书实施例提供一种身份认证方法及装置和电子设备。所述方法包括：应用于部署应用容器的kubernetes系统，并且所述kubernetes系统通过idecar方式将安全容器部署到与应用容器所在的同一个Pod中，所述安全容器用于向同一个Pod中的应用容器提供身份认证；所述方法包括：服务调用方所在的第一应用容器向同一Pod内的第一安全容器获取服务凭证；其中，所述服务凭证由所述第一安全容器根据本地存储的所述第一应用容器对应的应用身份信息生成；所述第一应用容器将所述服务凭证发送给服务提供方所在的第二应用容器；所述第二应用容器将所述服务凭证发送给同一Pod内的第二安全容器，以使所述第二安全容器对所述服务凭证包含的应用身份信息进行认证。CN111783051ACN111783051A权利要求书1/4页1.一种身份认证方法，应用于部署应用容器的kubernetes系统，并且所述kubernetes系统通过sidecar方式将安全容器部署到与应用容器所在的同一个Pod中，所述安全容器用于向同一个Pod中的应用容器提供身份认证的功能；所述方法包括：服务调用方所在的第一应用容器向同一Pod内的第一安全容器获取服务凭证；其中，所述服务凭证由所述第一安全容器根据本地存储的所述第一应用容器对应的应用身份信息生成；所述第一应用容器将所述服务凭证发送给服务提供方所在的第二应用容器；所述第二应用容器将所述服务凭证发送给同一Pod内的第二安全容器，以使所述第二安全容器对所述服务凭证包含的应用身份信息进行认证。2.根据权利要求1所述的方法，所述第一应用容器将所述服务凭证发送给服务提供方所在的第二应用容器，包括：所述第一应用容器将携带有所述服务凭证的调用请求发送给服务提供方所在的第二应用容器；所述方法还包括：所述第二应用容器在接收到所述第二安全容器返回身份认证通过的情况下，响应于所述调用请求，向所述第一应用容器提供请求调用的服务。3.根据权利要求1所述的方法，所述方法还包括：所述第二安全容器在确认身份认证通过的情况下，基于设定的权限控制规则，向所述第二应用容器返回所述第一应用容器的调用权限。4.根据权利要求1所述的方法，所述第二安全容器对所述服务凭证包含的应用身份信息进行认证，包括：所述第二安全容器验证所述服务凭证的有效性；以及，验证所述服务凭证包含的应用身份信息的真实性。5.根据权利要求4所述的方法，所述服务凭证包括token，所述服务凭证由所述第一安全容器基于第一应用容器对应的应用身份信息生成的token；并且所述生成的token具有一个有效期；所述验证所述服务凭证的有效性，包括：验证所述token是否位于有效期内；所述验证所述服务凭证包含的应用身份信息的真实性，包括：基于生成服务凭证采用的凭证算法，解析所述服务凭证包含的应用身份信息，并与本地存储的应用身份信息进行匹配。6.一种身份认证方法，应用于部署应用容器的kubernetes系统，通过netnamespace技术将位于外部系统的安全容器的接口映射到所述应用容器内，从而使得所述安全容器基于所述接口向所述应用容器获取身份认证的功能；所述方法包括：服务调用方所在的第一应用容器向所述外部系统的安全容器获取服务凭证；其中，所述服务凭证由所述安全容器根据本地存储的所述第一应用容器对应的应用身份信息生成；所述第一应用容器将所述服务凭证发送给服务提供方所在的第二应用容器；所述第二应用容器将所述服务凭证发送给所述外部系统的安全容器，以使所述安全容器对所述服务凭证包含的应用身份信息进行认证。2CN111783051A权利要求书2/4页7.根据权利要求6所述的方法，所述第一应用容器将所述服务凭证发送给服务提供方所在的第二应用容器，包括：所述第一应用容器将携带有所述服务凭证的调用请求发送给服务提供方所在的第二应用容器；所述方法还包括：所述第二应用容器在接收到所述安全容器返回身份认证通过的情况下，响应于所述调用请求，向所述第一应用容器提供请求调用的服务。8.根据权利要求6所述的方法，所述方法还包括：所述安全容器在确认身份认证通过的情况下，