(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111620259.2 (22)申请日 2021.12.28 (65)同一申请的已公布的文献号 申请公布号 CN 113992449 A (43)申请公布日 2022.01.28 (73)专利权人 北京华云安信息技 术有限公司 地址 100094 北京市海淀区丰豪东路9号2 号楼10层4单 元1001 (72)发明人 马维士　沈传宝　刘加勇　 (74)专利代理 机构 北京华专卓 海知识产权代理 事务所(普通 合伙) 11664 专利代理师 王一 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1097(2022.01)H04L 61/25(2022.01) G06F 21/53(2013.01) G06F 21/55(2013.01) G06F 21/57(2013.01) (56)对比文件 CN 112329075 A,2021.02.0 5 CN 107066310 A,2017.08.18 CN 106550033 A,2017.0 3.29 US 10397255 B1,2019.08.27 李畅等.基 于服务功能链的多域 安全服务按 需适配方法. 《计算机 工程与应用》 .2018,(第21 期),56-64. 审查员 李燕 (54)发明名称 Docker安全能力调度方法、 装置及电子设备 (57)摘要 本公开的实施例提供了Docker安全能力调 度方法、 装置及电子设备。 所述方法包括接收待 保护应用的数据， 分析待保护应用所需的安全能 力需求； 根据所述安全能力需求确定Docker容器 网络中对应的适配模块； 将所述待保护应用的数 据发送至对应的适配模块， 以便对应的适配模块 进行处理； 接收对应的适配模块处理后的数据， 发送至所述待保护应用。 以此方式， 可以在 Docker容器网络中组合配置， 配置方法简单， 能 够满足多种安全能力需求， 且可以上线 使用。 权利要求书1页 说明书8页 附图4页 CN 113992449 B 2022.05.06 CN 113992449 B 1.一种Docker安全能力调度方法， 其特 征在于， 包括： 接收待保护应用的数据， 分析待保护应用所需的安全能力需求； 根据所述安全能力需求确定Docker容器 网络中对应的适配模块； 在Docker容器 网络中 选择能够满足安全能力需求的模块作为适配模块， 对各适配模块进行排序， 所述排序顺序 为针对待保护应用的数据 处理顺序； 若排序顺序为并列顺序， 则将待保护应用的数据分别 发送至各适配模块进行处 理； 将所述待保护应用的数据发送至对应的适配模块， 以便对应的适配模块进行处理； 将 所述待保护应用的数据发送至排在首位的适配模块； 接 收到响应数据后， 将响应数据发送 至下一适配模块； 直至排在最后的适配模块接收上一 适配模块的数据并处 理； 接收对应的适配模块处 理后的数据， 发送至所述待保护应用； 所述分析待保护应用所需的安全能力需求包括： 分析待保护应用存在的安全风险， 并分析能够消除所述安全风险的方法， 能够消除所 述安全风险的方法为 安全能力需求。 2.根据权利 要求1所述的Docker安全能力调度方法， 其特征在于， 所述适配模块进行处 理包括： 对待保护应用的数据标记标签， 标签内容包括适配模块的排序顺序， 以便排在首位的 适配模块进行 处理并将对应的响应数据依次发送至下一适配模块进行 处理， 直至排在最后 的适配模块接收上一 适配模块的数据并处 理。 3.根据权利 要求1所述的Docker安全能力调度方法， 其特征在于， 所述将处理后的数据 发送至所述待保护应用包括： 去除处理后的数据的标签， 并将所述数据发送至所述待保护应用。 4.一种电子设备， 包括： 至少一个处理器； 以及与 所述至少一个处理器通信连接的存储 器； 其中， 所述存储器存储有 可被所述至少一个处理器执行的指令， 所述指 令被所述至少一 个处理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑3中任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 113992449 B 2Docker安全能力调度方 法、 装置及电子 设备 技术领域 [0001]本公开涉及通信技术领域， 尤其涉及一种Docker安全能力调度方法、 装置及电子 设备。 背景技术 [0002]目前各种云平台上提供的D ocker安全能力均以独立个体提供给业务使用， 以满足 对应业务的安全能力需求。 然而， 当一个Docker 容器不足以满足安全能力需求时， 需要通过 路由， NAT端口映射等各种网络方法进行配置， 上述配置方式复杂， 需要 许多外部端口配合， 甚至部分网络环境下， 无法上线 使用。 发明内容 [0003]本公开提供了一种D ocker安全能力调度方法、 装置及电子设备， 调度方法简单， 能 够满足多种安全能力需求， 且可以上线 使用。 [0004]根据本公开的第一方面， 提供了一种D ocker安全能力调度方法。 该方法包括： 接收 待保护应用的数据， 分析待保护应用所需的安全能力需求； [0005]根据所述 安全能力需求确定Docker容器网络中对应的适配模块； [0006]将所述待保护应用的数据发送至对应的适配模块， 以便对应的适配模块进行处 理； [0007]接收对应的适配模块处 理后的数据， 发送至所述待保护应用。 [0008]在第一方面的一些实现方式 中， 所述分析待保护应用所需的安全能力需求包括： [0009]分析待保护应用存在的安全风险， 并分析能够消除所述安全风险的方法， 能够消 除所述安全风险的方法为 安全能力需求。 [0010]在第一方面的一些实现方式中， 所述根据所述安全能力需求确定D ocker容器网络 中对应的适配模块包括： [0011]在Docker容器网络中选择能够满足安全能力需求的模块作为适配模块， 对各适配 模块进行排序， 所述 排序顺序为针对待保护应用的数据处 理顺序。 [0012]在第一方面的一些实现方式中， 所述将所述待保护应用的数据发送至对应的适配 模块， 以便适配模块进行处 理包括： [0013]将所述待保护应用的数据发送至排在首位的适配模块； 接收到响应数据后， 将响 应数据发送至下一 适配模块； 直至排在最后的适配模块接收上一 适配模块的数据并处 理。 [0014]在第一方面的一些实现方式中， 所述将所述待保护应用的数据发送至对应的适配 模块， 以便适配模块进行处 理包括： [0015]将所述待保护应用的数据发送至排在首位的适配模块， 以便排在首位的适配模块 进行处理并将对应的响应数据依次发送至下一适配模块进 行处理， 直至排在最后的适配模 块接收上一 适配模块的数据并处 理。 [0016]在第一方面的一些实现方式中， 所述将所述待保护应用的数据发送至对应的适配说　明　书 1/8 页 3 CN 113992449 B 3