一种基于代理转发的NFS安全传输装置及方法制造方法及图纸

本发明专利技术公开了一种基于代理转发的NFS安全传输装置及方法，方法步骤包括：配置各授权用户对应的NFS服务端口号，代理服务端监听服务器网卡IP和由配置确定的代理服务端口号，NFS服务端监听服务器的回环地址和NFS服务端口号；代理客户端监听客户机的回环地址和随机端口号，代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接，若连接建立成功，代理客户端发起连接请求建立和代理服务端之间的连接；安全认证客户端向安全认证服务端发起登录安全认证，若认证不通过，则断开NFS客户端、代理客户端和代理服务端之间的连接；若认证成功，代理服务端建立与NFS服务端之间的连接。本发明专利技术有效提升NFS的网络存储系统的接入访问和数据传输安全。

【技术实现步骤摘要】
一种基于代理转发的NFS安全传输装置及方法
本专利技术涉及网络存储系统的数据传输，尤其涉及一种基于代理转发的NFS安全传输装置及方法。
技术介绍
在信息化的社会，数字信息呈爆炸式增长，人们对存储的需求不断提高，单靠本地磁盘不断扩容已很难满足日益增长的存储需求。伴随着计算机技术和互联网技术的发展，存储系统已由本地直连向着网络化、分布式方向发展，网络存储成了存储发展的重点方向，存储的网络化也推动了云存储的诞生和普及。NFS(NetworkFileSystem，网络文件系统)是当前主流异构平台共享文件系统，能够支持在不同类型的系统之间通过网络进行文件共享和装配远程文件系统，是网络存储系统中最主要的呈现形式之一，具有简单易用、方便部署、数据可靠、服务稳定的特点，适合在中小规模的企事业单位进行部署。因为设计方面的因素，NFS缺乏有效的访问控制手段，没有真正的用户验证机制，在RPC远程调用时，SUID程序具有超级用户权限。所以在NFS应用时，通常部署在防火墙之后限制RCP服务的访问并控制NFS文件系统的导出权限，以此加强NFS的安全性。在政府、军队、有保密要求的企业或组织内部，对于网络存储的访问控制和存储安全有着更高的要求，例如对NFS登录访问的客户机和用户身份都有严格的合法性验证，安全性认证与数据传输应该共用同一链路以防止旁路，数据须加密存储等等。这些安全性需求正是NFS的弱项，常规的安全加固配置难以适应这些应用场景，不能保证接入访问和数据传输安全。
技术实现思路
本专利技术要解决的技术问题就在于：针对现有技术存在的技术问题，本专利技术提供一种基于代理转发的NFS安全传输装置及方法，有效提升NFS的网络存储系统的接入访问和数据传输安全。为解决上述技术问题，本专利技术提出的技术方案为：一种基于代理转发的NFS安全传输装置，包括客户机和服务器，所述客户机包括：NFS客户端，用于提供标准NFS接入协议；安全认证客户端，用于发起登陆授权请求，并根据安全认证服务端返回的登录授权随机码生成登录安全令牌，然后通过登录安全验证请求将登录安全令牌发送给安全认证服务端进行登陆授权申请；代理客户端，用于将NFS客户端和安全认证客户端的数据请求封装并转发给代理服务端，同时接收并解析代理服务端返回的数据；所述服务器包括：NFS服务端，用于提供标准NFS协议接入服务；安全认证服务端，用于接收安全认证客户端的登陆授权请求并生成登录授权随机码，同时解析登录安全令牌并验证是否合法；代理服务端，用于接收代理客户端的请求数据，解析消息类型，根据消息类型分别转发给NFS服务端或安全认证服务端；所述NFS客户端、代理客户端、代理服务端和NFS服务端依次连接，所述安全认证客户端和代理客户端连接，所述安全认证服务端和代理服务端连接。进一步的，所述NFS服务端的底层文件系统包括ext4、xfs、NFS和gfs2。本专利技术还提出一种基于代理转发的NFS安全传输方法，应用于所述的基于代理转发的NFS安全传输装置，代理通道的建立包括以下步骤：S1)客户机检测到用户登录NFS客户端，启动对应的代理客户端监听客户机的回环地址和随机端口号，代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接，若连接建立成功，代理客户端根据当前用户登陆请求中的网卡IP和代理服务端口号，发起与代理服务端之间的连接请求建立和代理服务端之间的连接；S2)安全认证客户端通过代理客户端和代理服务端向安全认证服务端发起登录安全认证，若认证不通过，则代理客户端断开和NFS客户端以及代理服务端之间的连接；若认证成功，则代理服务端将当前用户登陆请求中的登录用户名匹配预设的NFS服务端口号列表得到服务器的回环地址和当前用户对应的NFS服务端口号，然后根据服务器的回环地址和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接。进一步的，步骤S1)之前还包括服务器预先配置的步骤，具体包括：服务器为每一个授权用户分别配置对应的NFS服务端口号并生成NFS服务端口号列表，所述NFS服务端口号向对应的授权用户提供独立的NFS服务，代理服务端监听服务器网卡IP和由配置确定的代理服务端口号，NFS服务端监听服务器的回环地址和各授权用户对应的NFS服务端口号。进一步的，步骤S1)包括以下步骤：S11)NFS客户端获取用户登录命令并生成当前用户登录请求，对应的代理客户端启动并监听客户机回环地址和随机端口号；S12)NFS客户端获取NFS文件系统挂载命令并生成NFS挂载请求，设置目标地址和端口号为代理客户端监听的回环地址和端口号，将NFS挂载请求向目标地址和端口号发送；S13)代理客户端收到NFS挂载请求，根据NFS挂载请求的源地址建立和NFS客户端之间的连接，若连接建立失败，返回步骤S12)等待NFS客户端重试直至超时退出，若连接建立成功则跳转执行步骤S14)；S14)NFS客户端将当前用户登录请求发送给代理客户端，代理客户端根据当前用户登录请求中用户指定的网卡IP和代理服务端口号向代理服务端发出建链请求建立TCP连接，若连接建立失败，则断开NFS客户端和代理客户端之间的连接，返回步骤S11)等待NFS客户端重试直至超时退出，若连接建立成功则跳转执行步骤S2)。进一步的，步骤S2)包括以下步骤：S21)安全认证客户端通过代理客户端向代理服务端发送授权请求消息，代理服务端收到授权请求消息后转发给安全认证服务端，安全认证服务端收到授权请求消息后用加密卡生成登录授权随机码，通过代理服务端将登录授权随机码封装成授权请求应答消息后发往代理客户端；S22)代理客户端收到代理服务端返回的授权请求应答消息并解析得到登录授权随机码，然后将登录授权随机码转发给安全认证客户端，安全认证客户端根据登录授权随机码生成登录安全令牌，然后通过代理客户端将登录安全令牌封装成登录安全验证请求消息并发送至代理服务端；S23)代理服务端收到登录安全验证请求消息并解析得到登录安全令牌，将登录安全令牌转发给安全认证服务端，安全认证服务端解析登录安全令牌后得到当前登录授权随机码，然后根据当前登录授权随机码验证登录安全令牌合法性，并通过代理服务端将验证结果封装为登录安全验证应答消息后发送至代理客户端；S24)代理客户端收到登录安全验证应答消息并解析得到验证结果后，将验证结果转发给安全认证客户端，若验证结果内容为校验通过，则代理客户端将当前用户登陆请求发送给代理服务端，然后代理客户端等待并转发NFS协议数据，跳转执行步骤S25)；若验证结果内容为校验不通过，则代理客户端同时断开与NFS客户端以及代理服务端之间的连接，NFS客户端返回登录失败消息并结束退出；S25)代理服务端将当前用户登陆请求中的登录用户名匹配NFS服务端口号列表得到NFS服务端监听的回环地址和当前用户对应的NFS服务端口号，并根据服务端监听的回环地址和当前用户对应的NFS服务端口号向NFS服务端发起连接建立请求，如果本文档来自技高网...

【技术保护点】
1.一种基于代理转发的NFS安全传输装置，其特征在于，包括客户机和服务器，所述客户机包括：/nNFS客户端，用于提供标准NFS接入协议；/n安全认证客户端，用于发起登陆授权请求，并根据安全认证服务端返回的登录授权随机码生成登录安全令牌，然后通过登录安全验证请求将登录安全令牌发送给安全认证服务端进行登陆授权申请；/n代理客户端，用于将NFS客户端和安全认证客户端的数据请求封装并转发给代理服务端，同时接收并解析代理服务端返回的数据；/n所述服务器包括：/nNFS服务端，用于提供标准NFS协议接入服务；/n安全认证服务端，用于接收安全认证客户端的登陆授权请求并生成登录授权随机码，同时解析登录安全令牌并验证是否合法；/n代理服务端，用于接收代理客户端的请求数据，解析消息类型，根据消息类型分别转发给NFS服务端或安全认证服务端；/n所述NFS客户端、代理客户端、代理服务端和NFS服务端依次连接，所述安全认证客户端和代理客户端连接，所述安全认证服务端和代理服务端连接。/n

【技术特征摘要】
1.一种基于代理转发的NFS安全传输装置，其特征在于，包括客户机和服务器，所述客户机包括：
NFS客户端，用于提供标准NFS接入协议；
安全认证客户端，用于发起登陆授权请求，并根据安全认证服务端返回的登录授权随机码生成登录安全令牌，然后通过登录安全验证请求将登录安全令牌发送给安全认证服务端进行登陆授权申请；
代理客户端，用于将NFS客户端和安全认证客户端的数据请求封装并转发给代理服务端，同时接收并解析代理服务端返回的数据；
所述服务器包括：
NFS服务端，用于提供标准NFS协议接入服务；
安全认证服务端，用于接收安全认证客户端的登陆授权请求并生成登录授权随机码，同时解析登录安全令牌并验证是否合法；
代理服务端，用于接收代理客户端的请求数据，解析消息类型，根据消息类型分别转发给NFS服务端或安全认证服务端；
所述NFS客户端、代理客户端、代理服务端和NFS服务端依次连接，所述安全认证客户端和代理客户端连接，所述安全认证服务端和代理服务端连接。


2.根据权利要求1所述的基于代理转发的NFS安全传输装置，其特征在于，所述NFS服务端的底层文件系统包括ext4、xfs、NFS和gfs2。


3.一种基于代理转发的NFS安全传输方法，应用于权利要求1或2所述的基于代理转发的NFS安全传输装置，其特征在于，代理通道的建立包括以下步骤：
S1)客户机检测到用户登录NFS客户端，启动对应的代理客户端监听客户机的回环地址和随机端口号，代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接，若连接建立成功，代理客户端根据当前用户登陆请求中的网卡IP和代理服务端口号，发起与代理服务端之间的连接请求建立和代理服务端之间的连接；
S2)安全认证客户端通过代理客户端和代理服务端向安全认证服务端发起登录安全认证，若认证不通过，则代理客户端断开和NFS客户端以及代理服务端之间的连接；若认证成功，则代理服务端将当前用户登陆请求中的登录用户名匹配预设的NFS服务端口号列表得到服务器的回环地址和当前用户对应的NFS服务端口号，然后根据服务器的回环地址和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接。


4.根据权利要求3所述的基于代理转发的NFS安全传输方法，其特征在于，步骤S1)之前还包括服务器预先配置的步骤，具体包括：服务器为每一个授权用户分别配置对应的NFS服务端口号并生成NFS服务端口号列表，所述NFS服务端口号向对应的授权用户提供独立的NFS服务，代理服务端监听服务器网卡IP和由配置确定的代理服务端口号，NFS服务端监听服务器的回环地址和各授权用户对应的NFS服务端口号。


5.根据权利要求3所述的基于代理转发的NFS安全传输方法，其特征在于，步骤S1)包括以下步骤：
S11)NFS客户端获取用户登录命令并生成当前用户登录请求，对应的代理客户端启动并监听客户机回环地址和随机端口号；
S12)NFS客户端获取NFS文件系统挂载命令并生成NFS挂载请求，设置目标地址和端口号为代理客户端监听的回环地址和端口号，将NFS挂载请求向目标地址和端口号发送；
S13)代理客户端收到NFS挂载请求，根据NFS挂载请求的源地址建立和NFS客户端之间的连接，若连接建立失败，返回步骤S12)等待NFS客户端重试直至超时退出，若连接建立成功则跳转执行步骤S14)；
S14)NFS客户端将当前用户登录请求发送给代理客户端，代理客户端根据当前用户登录请求中用户指定的网卡IP和代理服务端口号向代理服务端发出...

【专利技术属性】
技术研发人员：袁柱，彭勇，文云川，刘文清，杨涛，
申请(专利权)人：湖南麒麟信安科技股份有限公司，
类型：发明
国别省市：湖南;43