[发明专利]一种基于密钥的弹性文件系统鉴权方法和装置

权利要求书

1.一种基于密钥的弹性文件系统鉴权方法，其特征在于，包括以下步骤：

S1、在弹性文件管控平台下发用户为文件系统创建的密钥到弹性文件服务成功后，NFS服务端为文件系统配置文件；

S2、NFS服务端接收NFS客户端执行挂载命令后发送的RPC请求；

S3、接收RPC请求，完成参数解析，校验参数；

S4、NFS服务端向密钥服务器发送请求，由密钥服务器校验密钥并判断解密密文与配置文件中的密钥信息是否一致，若一致，挂载请求合法；若不一致，拒绝挂载请求。

2.如权利要求1所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S1中配置文件包括：文件系统信息、文件系统密钥的信息。

3.如权利要求1所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S2具体包括以下步骤：

S21、NFS客户端执行mount命令，解析密钥；

S22、NFS客户端封装dirpath和secret到rpc_message中，发送RPC请求到NFS服务端。

4.如权利要求3所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S21中mount命令包括：挂载参数、secret参数或secretFile参数。

5.如权利要求3所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S22封装secret具体为：NFS客户端封装secret到IP报文中的数据包中。

6.如权利要求1所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，在所述S2执行挂载命令之后，还包括：IP报文中IP Header的Source IP替换为NAT网关地址。

7.如权利要求1所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S4中发送请求具体为：NFS服务端根据secret与NFS配置中的AK、SK，计算出http请求参数，向密钥服务器发送请求。

8.如权利要求1所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S4具体包括以下步骤：

S41、组合用户ID、挂载密钥、AK，将参数排序，并用\n拼接，对拼接结果做MD5和base64；

S42、将计算结果、请求路径、时间用\n拼接；

S43、使用SK对所述S42结果进行Hmac加密；

S44、加密结果放入http请求header，发送http请求到密钥服务器，由密钥服务器完成密钥校验。

9.如权利要求8所述的一种基于密钥的弹性文件系统鉴权方法，其特征在于，所述S44中密钥服务器完成密钥校验具体包括以下步骤：

S51、从http请求中获取Hmac，校验权限；

S52、base64解码获取密钥信息；

S53、查询数据库中密钥数据，判断是否存在，若不存在，返回失败信息；若存在，获取解密密文，返回解密密文。

10.一种基于密钥的弹性文件系统鉴权装置，包括配置密钥模块、RPC消息模块、参数校验模块、密钥校验模块，其中：

配置密钥模块，用于在弹性文件管控平台下发用户为文件系统创建的密钥到弹性文件服务成功后，NFS服务端为文件系统配置文件；

RPC消息模块，用于NFS服务端接收NFS客户端执行挂载命令后发送的RPC请求；

参数校验模块，用于接收RPC请求，完成参数解析，校验参数；

密钥校验模块，用于NFS服务端向密钥服务器发送请求，由密钥服务器校验密钥并判断解密密文与配置文件中的密钥信息是否一致，若一致，挂载请求合法；若不一致，拒绝挂载请求。