[发明专利]一种基于密钥的弹性文件系统鉴权方法和装置

说明书

本发明公开了一种基于密钥的弹性文件系统鉴权方法和装置，涉及云计算、分布式存储技术领域。所述方法，通过在弹性文件管控平台下发用户为文件系统创建的密钥到弹性文件服务成功后，NFS服务端为文件系统配置文件；NFS服务端接收NFS客户端执行挂载命令后发送的RPC请求；接收RPC请求，完成参数解析，校验参数；NFS服务端向密钥服务器发送请求，由密钥服务器校验密钥并判断解密密文与配置文件中的密钥信息是否一致，若一致，挂载请求合法；若不一致，拒绝挂载请求。通过密钥与NAT网关相结合的权限鉴定，区分了来自不同用户虚拟机的NFS挂载请求，实现了相比传统NFS协议更加精确的权限控制。

技术领域

本发明涉及云计算、分布式存储技术领域，尤其涉及一种基于密钥的弹性文件系统鉴权方法和装置。

背景技术

随着云计算技术的快速发展，新一代云平台的建立，文件存储需求日益增多。在新一代云平台中，CStor弹性文件系统基于传统NFS协议为用户提供文件存储服务。传统NFS协议的权限鉴定只能根据NFS客户端的IP进行鉴权。

在VPC场景中，用户在虚拟机上通过NFS客户端进行挂载时，向NFS服务端发出挂载请求，请求由NAT网关转发至NFS服务端。在虚拟机发出挂载请求时，IP地址会显示为NAT网关的地址，NFS服务端无法识别和区分挂载请求来自哪一个VM；在CStor弹性文件系统中，通过传统NFS协议进行鉴权，对VPC的NAT网关，开放了弹性文件系统的权限，在NAT网关中所有虚拟机都可以挂载并修改任意弹性文件系统，并没有控制权限。

但本申请发明人在实现本申请实施例中发明技术方案的过程中，发现上述技术至少存在如下技术问题：

所有虚拟机都可以通过NAT网关挂载文件系统，缺乏精确的鉴权虚拟机挂载请求。

发明内容

本申请实施例通过提供一种基于密钥的弹性文件系统鉴权方法和装置，解决了现有技术中NAT网关下的所有虚机都有权限挂载并修改任意弹性文件系统，实现了NAT网关和密钥相结合的权限鉴定，能够通过密钥对挂载请求进行鉴权，实现精确的权限控制。

本申请实施例提供了一种基于密钥的弹性文件系统鉴权方法，包括以下步骤：

S1、在弹性文件管控平台下发用户为文件系统创建的密钥到弹性文件服务成功后，NFS服务端为文件系统配置文件；

S2、NFS服务端接收NFS客户端执行挂载命令后发送的RPC请求；

S3、接收RPC请求，完成参数解析，校验参数；

S4、NFS服务端向密钥服务器发送请求，由密钥服务器校验密钥并判断解密密文与配置文件中的密钥信息是否一致，若一致，挂载请求合法；若不一致，拒绝挂载请求。

进一步地，所述S1中配置文件包括：文件系统信息、文件系统密钥的信息。

进一步地，所述S2具体包括以下步骤：

S21、NFS客户端执行mount命令，解析密钥；

S22、NFS客户端封装dirpath和secret到rpc_message中，发送RPC请求到NFS服务端。

进一步地，所述S21中mount命令包括：挂载参数、secret参数或secretFile参数。

进一步地，所述S22封装secret具体为：NFS客户端封装secret到IP报文中的数据包中。

进一步地，在所述S2执行挂载命令之后，还包括：IP报文中IP Header的Source IP替换为NAT网关地址。

进一步地，所述S4中发送请求具体为：NFS服务端根据secret与NFS配置中的AK、SK，计算出http请求参数，向密钥服务器发送请求。