CN112751870A - 一种基于代理转发的nfs安全传输装置及方法 - Google Patents
一种基于代理转发的nfs安全传输装置及方法 Download PDFInfo
- Publication number
- CN112751870A CN112751870A CN202011627610.6A CN202011627610A CN112751870A CN 112751870 A CN112751870 A CN 112751870A CN 202011627610 A CN202011627610 A CN 202011627610A CN 112751870 A CN112751870 A CN 112751870A
- Authority
- CN
- China
- Prior art keywords
- nfs
- proxy
- client
- server
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于代理转发的NFS安全传输装置及方法,方法步骤包括:配置各授权用户对应的NFS服务端口号,代理服务端监听服务器网卡IP和由配置确定的代理服务端口号,NFS服务端监听服务器的回环地址和NFS服务端口号;代理客户端监听客户机的回环地址和随机端口号,代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接,若连接建立成功,代理客户端发起连接请求建立和代理服务端之间的连接;安全认证客户端向安全认证服务端发起登录安全认证,若认证不通过,则断开NFS客户端、代理客户端和代理服务端之间的连接;若认证成功,代理服务端建立与NFS服务端之间的连接。本发明有效提升NFS的网络存储系统的接入访问和数据传输安全。
Description
技术领域
本发明涉及网络存储系统的数据传输,尤其涉及一种基于代理转发的NFS安全传输装置及方法。
背景技术
在信息化的社会,数字信息呈爆炸式增长,人们对存储的需求不断提高,单靠本地磁盘不断扩容已很难满足日益增长的存储需求。伴随着计算机技术和互联网技术的发展,存储系统已由本地直连向着网络化、分布式方向发展,网络存储成了存储发展的重点方向,存储的网络化也推动了云存储的诞生和普及。NFS(Network File System,网络文件系统)是当前主流异构平台共享文件系统,能够支持在不同类型的系统之间通过网络进行文件共享和装配远程文件系统,是网络存储系统中最主要的呈现形式之一,具有简单易用、方便部署、数据可靠、服务稳定的特点,适合在中小规模的企事业单位进行部署。
因为设计方面的因素,NFS缺乏有效的访问控制手段,没有真正的用户验证机制,在RPC远程调用时,SUID程序具有超级用户权限。所以在NFS应用时,通常部署在防火墙之后限制RCP服务的访问并控制NFS文件系统的导出权限,以此加强NFS的安全性。
在政府、军队、有保密要求的企业或组织内部,对于网络存储的访问控制和存储安全有着更高的要求,例如对NFS登录访问的客户机和用户身份都有严格的合法性验证,安全性认证与数据传输应该共用同一链路以防止旁路,数据须加密存储等等。这些安全性需求正是NFS的弱项,常规的安全加固配置难以适应这些应用场景,不能保证接入访问和数据传输安全。
发明内容
本发明要解决的技术问题就在于:针对现有技术存在的技术问题,本发明提供一种基于代理转发的NFS安全传输装置及方法,有效提升NFS的网络存储系统的接入访问和数据传输安全。
为解决上述技术问题,本发明提出的技术方案为:
一种基于代理转发的NFS安全传输装置,包括客户机和服务器,所述客户机包括:
NFS客户端,用于提供标准NFS接入协议;
安全认证客户端,用于发起登陆授权请求,并根据安全认证服务端返回的登录授权随机码生成登录安全令牌,然后通过登录安全验证请求将登录安全令牌发送给安全认证服务端进行登陆授权申请;
代理客户端,用于将NFS客户端和安全认证客户端的数据请求封装并转发给代理服务端,同时接收并解析代理服务端返回的数据;
所述服务器包括:
NFS服务端,用于提供标准NFS协议接入服务;
安全认证服务端,用于接收安全认证客户端的登陆授权请求并生成登录授权随机码,同时解析登录安全令牌并验证是否合法;
代理服务端,用于接收代理客户端的请求数据,解析消息类型,根据消息类型分别转发给NFS服务端或安全认证服务端;
所述NFS客户端、代理客户端、代理服务端和NFS服务端依次连接,所述安全认证客户端和代理客户端连接,所述安全认证服务端和代理服务端连接。
进一步的,所述NFS服务端的底层文件系统包括ext4、xfs、NFS和gfs2。
本发明还提出一种基于代理转发的NFS安全传输方法,应用于所述的基于代理转发的NFS安全传输装置,代理通道的建立包括以下步骤:
S1)客户机检测到用户登录NFS客户端,启动对应的代理客户端监听客户机的回环地址和随机端口号,代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接,若连接建立成功,代理客户端根据当前用户登陆请求中的网卡IP和代理服务端口号,发起与代理服务端之间的连接请求建立和代理服务端之间的连接;
S2)安全认证客户端通过代理客户端和代理服务端向安全认证服务端发起登录安全认证,若认证不通过,则代理客户端断开和NFS客户端以及代理服务端之间的连接;若认证成功,则代理服务端将当前用户登陆请求中的登录用户名匹配预设的NFS服务端口号列表得到服务器的回环地址和当前用户对应的NFS服务端口号,然后根据服务器的回环地址和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接。
进一步的,步骤S1)之前还包括服务器预先配置的步骤,具体包括:服务器为每一个授权用户分别配置对应的NFS服务端口号并生成NFS服务端口号列表,所述NFS服务端口号向对应的授权用户提供独立的NFS服务,代理服务端监听服务器网卡IP和由配置确定的代理服务端口号,NFS服务端监听服务器的回环地址和各授权用户对应的NFS服务端口号。
进一步的,步骤S1)包括以下步骤:
S11)NFS客户端获取用户登录命令并生成当前用户登录请求,对应的代理客户端启动并监听客户机回环地址和随机端口号;
S12)NFS客户端获取NFS文件系统挂载命令并生成NFS挂载请求,设置目标地址和端口号为代理客户端监听的回环地址和端口号,将NFS挂载请求向目标地址和端口号发送;
S13)代理客户端收到NFS挂载请求,根据NFS挂载请求的源地址建立和NFS客户端之间的连接,若连接建立失败,返回步骤S12)等待NFS客户端重试直至超时退出,若连接建立成功则跳转执行步骤S14);
S14)NFS客户端将当前用户登录请求发送给代理客户端,代理客户端根据当前用户登录请求中用户指定的网卡IP和代理服务端口号向代理服务端发出建链请求建立TCP连接,若连接建立失败,则断开NFS客户端和代理客户端之间的连接,返回步骤S11)等待NFS客户端重试直至超时退出,若连接建立成功则跳转执行步骤S2)。
进一步的,步骤S2)包括以下步骤:
S21)安全认证客户端通过代理客户端向代理服务端发送授权请求消息,代理服务端收到授权请求消息后转发给安全认证服务端,安全认证服务端收到授权请求消息后用加密卡生成登录授权随机码,通过代理服务端将登录授权随机码封装成授权请求应答消息后发往代理客户端;
S22)代理客户端收到代理服务端返回的授权请求应答消息并解析得到登录授权随机码,然后将登录授权随机码转发给安全认证客户端,安全认证客户端根据登录授权随机码生成登录安全令牌,然后通过代理客户端将登录安全令牌封装成登录安全验证请求消息并发送至代理服务端;
S23)代理服务端收到登录安全验证请求消息并解析得到登录安全令牌,将登录安全令牌转发给安全认证服务端,安全认证服务端解析登录安全令牌后得到当前登录授权随机码,然后根据当前登录授权随机码验证登录安全令牌合法性,并通过代理服务端将验证结果封装为登录安全验证应答消息后发送至代理客户端;
S24)代理客户端收到登录安全验证应答消息并解析得到验证结果后,将验证结果转发给安全认证客户端,若验证结果内容为校验通过,则代理客户端将当前用户登陆请求发送给代理服务端,然后代理客户端等待并转发NFS协议数据,跳转执行步骤S25);若验证结果内容为校验不通过,则代理客户端同时断开与NFS客户端以及代理服务端之间的连接,NFS客户端返回登录失败消息并结束退出;
S25)代理服务端将当前用户登陆请求中的登录用户名匹配NFS服务端口号列表得到NFS服务端监听的回环地址和当前用户对应的NFS服务端口号,并根据服务端监听的回环地址和当前用户对应的NFS服务端口号向NFS服务端发起连接建立请求,如果连接建立失败,则代理客户端同时断开与NFS客户端以及代理服务端之间的连接并结束退出;如果连接建立成功,则代理服务端等待并转发NFS协议数据。
进一步的,步骤S22)根据登录授权随机码生成登录安全令牌具体包括:安全认证客户端检测到本地USBKEY设备接入,获取当前用户输入的PIN码,根据PIN码对登录授权随机码加密生成登录安全令牌。
进一步的,步骤S23)中根据当前登录授权随机码验证登录安全令牌合法性的步骤具体包括:判断当前登录授权随机码与响应授权请求消息生成的登录授权随机码是否一致,若一致则验证通过,否则验证不通过。
进一步的,步骤S24)中代理客户端等待并转发NFS协议数据具体包括:代理客户端等待并接收NFS协议数据,若所接收的NFS协议数据来自NFS客户端,将NFS协议数据封装并转发给代理服务端,若所接收的NFS协议数据来自代理服务端,将NFS协议数据解析后转发给NFS客户端。
进一步的,步骤S25)中代理服务端等待并转发NFS协议数据具体包括:代理服务端等待并接收NFS协议数据,若所接收的NFS协议数据来自NFS服务端,将NFS协议数据封装并转发给代理客户端,若所接收的NFS协议数据来自代理客户端,将NFS协议数据解析后转发给NFS服务端。
与现有技术相比,本发明的优点在于:
一、本发明的装置在NFS客户端和NFS服务端之间增加了代理客户端和代理服务端,NFS客户端和NFS服务端通过代理客户端和代理服务端建立代理通道,为NFS文件系统的挂载和访问的控制管理提供了有效的介入手段,可以根据安全需要方便地对代理通道各种类型的安全监控进行扩展,同时本发明的装置还在客户机和服务器分别设置安全认证客户端和安全认证服务端,安全认证客户端和安全认证服务端也通过代理客户端和代理服务端进行数据交互,增加了代理通道中数据传输的安全性;
二、本发明中的方法中,NFS服务端只针对回环地址和为授权用户分配的NFS服务端口号提供服务,使得任何外部客户机无法根据服务器IP和标准NFS服务端口号连接NFS服务,所有NFS客户端都必须经过代理通道访问NFS服务端,而完整代理通道的创建必须建立在登录安全认证的基础上,所以显著地提升了访问NFS服务端的安全性。
三、本发明的方法中,代理通道建立的步骤中增加了安全认证流程,安全认证流程与NFS协议数据转发使用相同的代理通道,而且必须安全认证通过代理通道才能完整创建,确保NFS访问请求均使用经过了安全认证的链路,并完成了登录安全认证,有效提升了NFS文件系统访问请求的安全性。
四、本发明的方法中,安全认证流程会对请求挂载NFS文件系统的用户进行授权认证,必须经过合法授权的用户才能对NFS文件系统进行挂载访问,而授权认证依赖于用户提供USBKEY设备接入并输入正确的PIN码,这种PIN码与USBKEY硬件分离的方式有效地保障了NFS文件系统访问源头的安全性。
五、本发明的方法中,代理客户端监听随机端口号,代理服务端监听由配置确定的端口号,NFS服务端监听授权用户对应的NFS服务端口号,使得每一个用户使用不同的代理通道进行NFS登录访问,并通过NFS服务端口号提供独立的NFS服务,不同用户之间代理通道完全隔离,有效地提升了数据的安全性,并且降低了单个NFS服务端口故障时无法对所有用户提供服务的风险。
附图说明
图1为本发明实施例一的装置的总体结构示意图。
图2为本发明实施例一的方法的步骤图。
图3为本发明实施例一的方法的流程示意图。
图4为本发明实施例一的方法中步骤S2)的时序图。
具体实施方式
以下结合说明书附图和具体优选的实施例对本发明作进一步描述,但并不因此而限制本发明的保护范围。
实施例一
如图1所示,本实施例提出一种基于代理转发的NFS安全传输装置,包括客户机和服务器,所述客户机包括:
NFS客户端,用于提供标准NFS接入协议,用户通过客户机的NFS客户端进行服务器NFS文件系统的数据存储访问;
安全认证客户端,用于发起登陆授权请求,并根据安全认证服务端返回的登录授权随机码生成登录安全令牌,然后通过登录安全验证请求将登录安全令牌发送给安全认证服务端进行登陆授权申请;
代理客户端,用于将NFS客户端和安全认证客户端的数据请求封装并转发给代理服务端,同时接收并解析代理服务端返回的数据,代理客户端是用户登录过程中,挂载NFS文件系统之前在客户机即时启动的后台进程;
所述服务器包括:
NFS服务端,用于提供标准NFS协议接入服务,使客户机可以像访问本地文件系统一样来访问服务器上共享的文件;
安全认证服务端,用于接收安全认证客户端的登陆授权请求并生成登录授权随机码,同时解析登录安全令牌并验证是否合法;
代理服务端,用于接收代理客户端的请求数据,解析消息类型,根据消息类型分别转发给NFS服务端或安全认证服务端,代理服务端是服务器上常驻的一个用于接收代理客户端请求的服务;
所述NFS客户端、代理客户端、代理服务端和NFS服务端依次连接,所述安全认证客户端和代理客户端连接,所述安全认证服务端和代理服务端连接。
如图1和图3所示,本实施例的NFS客户端、代理客户端、代理服务端和NFS服务端之间建立代理通道,本实施例中的代理通道包括通道①、通道②、通道③共三个部分,其中通道①建立于NFS客户端和代理客户端之间,通道②建立于代理客户端和代理服务端之间,通道③建立于代理服务端和NFS服务端之间,代理通道不仅作为NFS协议数据的承载链路,还用于安全认证流程的报文转发。安全认证流程与NFS协议数据转发使用相同的代理通道,有效提升了NFS文件系统访问请求的安全性。
本实施例中,代理客户端与登录客户机的用户一一对应,每一个登录用户都会启动自己的代理客户端并以此创建本用户的代理通道,代理服务端接收代理客户端的请求,同时负责为各个用户创建与NFS服务端之间的代理通道,使得不同用户之间代理通道完全隔离,有效地提升了数据的安全性。
如图1所示,本实施例中NFS服务端还连接有后端存储,后端存储为NFS服务端的底层文件系统,包括ext4、xfs等本地文件系统,也包括NFS和gfs2等网络或分布式文件系统。
如图2所示,本发明还提出一种基于代理转发的NFS安全传输方法,应用于所述的基于代理转发的NFS安全传输装置,代理通道的建立包括以下步骤:
S1)客户机检测到用户登录NFS客户端,启动对应的代理客户端监听客户机的回环地址和随机端口号,代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接,若连接建立成功,代理客户端根据当前用户登陆请求中的网卡IP和代理服务端口号,发起与代理服务端之间的连接请求建立和代理服务端之间的连接;
S2)安全认证客户端通过代理客户端和代理服务端向安全认证服务端发起登录安全认证,若认证不通过,则代理客户端断开和NFS客户端以及代理服务端之间的连接;若认证成功,则当前用户为授权用户,代理服务端将当前用户登陆请求中的登录用户名匹配预设的NFS服务端口号列表得到服务器的回环地址和当前用户对应的NFS服务端口号,然后根据服务器的回环地址和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接。
通过上述步骤,NFS服务端只针对回环地址和为授权用户分配的NFS服务端口号提供服务,使得任何外部客户机无法根据服务器IP和标准NFS服务端口号连接NFS服务,所有NFS客户端都必须经过代理通道访问NFS服务端,而完整代理通道的创建必须建立在登录安全认证的基础上,所以显著地提升了访问NFS服务端的安全,代理通道建立的步骤中增加了安全认证流程,安全认证流程与NFS协议数据转发使用相同的代理通道,而且必须安全认证通过代理通道才能完整创建,确保NFS访问请求均使用经过了安全认证的链路,并完成了登录安全认证,有效提升了NFS文件系统访问请求的安全性。
本实施例中,步骤S1)之前还包括服务器预先配置的步骤,具体包括:服务器为每一个授权用户分别配置对应的NFS服务端口号并生成包括服务器的回环地址、用户名和对应的NFS服务端口号的NFS服务端口号列表,所述NFS服务端口号向对应的授权用户提供独立的NFS服务,代理服务端监听服务器网卡IP和由配置确定的代理服务端口号,NFS服务端监听服务器的回环地址和各授权用户对应的NFS服务端口号。
本实施例中,代理服务端监听服务器网卡IP和由配置确定的代理服务端口号(如图3中所示的10.1.2.3:port),NFS服务端监听服务器的回环地址和各授权用户对应的NFS服务端口号(如图3中所示的127.0.0.1:port”),当客户机检测到用户登录NFS客户端时,启动对应的代理客户端开始监听客户机的回环地址和随机端口号(如图3中所示的127.0.0.1:port’),用户挂载NFS文件系统时,指定由代理客户端监听的回环地址和端口号(即图3中所示的127.0.0.1:port’)并发送NFS挂载请求,代理客户端收到NFS挂载请求并完成NFS客户端和代理客户端之间的连接(即图3中所示的通道①),通道①建立后随即创建与代理服务端之间的TCP连接,作为后续认证和数据传输链路,代理服务端接收到代理客户端发来的建链请求并完成建链(即图3中所示的通道②)后,安全认证客户端通过代理客户端开始安全认证流程。当用户登录安全认证通过,代理客户端开启数据代理转发模式,准备为NFS客户端转发NFS数据请求,代理服务端则建立与NFS服务端之间的连接(即图3中所示的通道③),随即开启数据代理转发模式,至此完成整个代理通道的创建。因为NFS服务端监听的为回环地址和NFS服务端口号,所以任何外部客户机IP试图与服务器建立连接都会被拒绝,可以有效地防止安全认证过程被旁路。
本实施例的步骤S1)包括以下步骤:
S11)NFS客户端获取用户登录命令并生成当前用户登录请求,对应的代理客户端启动并监听客户机回环地址和随机端口号;
S12)NFS客户端获取NFS文件系统挂载命令并生成NFS挂载请求,设置目标地址和端口号为代理客户端监听的回环地址和端口号,将NFS挂载请求向目标地址和端口号发送;
S13)代理客户端收到NFS挂载请求,根据NFS挂载请求的源地址建立和NFS客户端之间的连接,若连接建立失败,返回步骤S12)等待NFS客户端重试直至超时退出,若连接建立成功则跳转执行步骤S14);
S14)NFS客户端将当前用户登录请求发送给代理客户端,代理客户端根据当前用户登录请求中用户指定的网卡IP和代理服务端口号向代理服务端发出建链请求建立TCP连接,若连接建立失败,则断开NFS客户端和代理客户端之间的连接,返回步骤S11)等待NFS客户端重试直至超时退出,若连接建立成功则跳转执行步骤S2)。
代理客户端与代理服务端之间的连接建立成功后,安全认证客户端发起用户登录安全认证流程,用户登录安全认证流程通过之后创建代理服务端与NFS服务端之间的连接,完成整个代理通道的创建,如图4所示,本实施例的步骤S2)包括以下步骤:
S21)安全认证客户端通过代理客户端向代理服务端发送授权请求消息,代理服务端收到授权请求消息后转发给安全认证服务端,安全认证服务端收到授权请求消息后用加密卡生成登录授权随机码,通过代理服务端将登录授权随机码封装成授权请求应答消息后发往代理客户端;
S22)代理客户端收到代理服务端返回的授权请求应答消息并解析得到登录授权随机码,然后将登录授权随机码转发给安全认证客户端,安全认证客户端根据登录授权随机码生成登录安全令牌,然后通过代理客户端将登录安全令牌封装成登录安全验证请求消息并发送至代理服务端;
为有效地保障了NFS文件系统访问源头的安全性,本实施例中根据登录授权随机码生成登录安全令牌具体包括:安全认证客户端检测到本地USBKEY设备接入,获取当前用户输入的PIN码,根据PIN码对登录授权随机码加密生成登录安全令牌。
S23)代理服务端收到登录安全验证请求消息并解析得到登录安全令牌,将登录安全令牌转发给安全认证服务端,安全认证服务端解析登录安全令牌后得到当前登录授权随机码,然后根据当前登录授权随机码验证登录安全令牌合法性,并通过代理服务端将验证结果封装为登录安全验证应答消息后发送至代理客户端;
由于可能存在网络故障导致的数据传输错误,使得机械得到的当前登录授权随机码与响应授权请求消息生成的登录授权随机码不一致,因此根据当前登录授权随机码验证登录安全令牌合法性的步骤具体包括:判断当前登录授权随机码与响应授权请求消息生成的登录授权随机码是否一致,若一致则验证通过,否则验证不通过;
S24)代理客户端收到登录安全验证应答消息并解析得到验证结果后,将验证结果转发给安全认证客户端,若验证结果内容为校验通过,则代理客户端将当前用户登陆请求发送给代理服务端,然后代理客户端等待并转发NFS协议数据,跳转执行步骤S25);若验证结果内容为校验不通过,则代理客户端同时断开与NFS客户端以及代理服务端之间的连接,NFS客户端返回登录失败消息并结束退出;
S25)代理服务端将当前用户登陆请求中的登录用户名匹配NFS服务端口号列表得到NFS服务端监听的回环地址和当前用户对应的NFS服务端口号,并根据服务端监听的回环地址和当前用户对应的NFS服务端口号向NFS服务端发起连接建立请求,如果连接建立失败,则代理客户端同时断开与NFS客户端以及代理服务端之间的连接并结束退出;如果连接建立成功,则代理服务端等待并转发NFS协议数据。
本实施例中,代理客户端等待并转发NFS协议数据具体包括:代理客户端等待并接收NFS协议数据,若所接收的NFS协议数据来自NFS客户端,将NFS协议数据封装并转发给代理服务端,若所接收的NFS协议数据来自代理服务端,将NFS协议数据解析后转发给NFS客户端;
代理服务端等待并转发NFS协议数据具体包括:代理服务端等待并接收NFS协议数据,若所接收的NFS协议数据来自NFS服务端,将NFS协议数据封装并转发给代理客户端,若所接收的NFS协议数据来自代理客户端,将NFS协议数据解析后转发给NFS服务端。
对比例一
本对比例与实施例一基本相同,其主要不同点为步骤S1)之前NFS服务端不监听回环地址而改为监听服务器的网卡IP,与之对应的,步骤S2)中代理服务端根据服务器的网卡IP和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接。这种实施方式的缺点是如果获悉了NFS服务端监听的IP地址和端口号,任何可以联通的客户机都有可能绕开安全认证流程,直接访问NFS服务。
对比例二
本对比例与实施例一基本相同,其主要不同点为步骤S2)之后还包括创建新的代理通道的步骤:启动新的代理客户端监听客户机的回环地址和随机端口号,NFS客户端设置新的代理客户端监听的回环地址和端口号为目标地址和端口号并向目标地址和端口号发送NFS挂载请求,新的代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接,若连接建立成功,新的代理客户端根据当前用户登陆请求中的网卡IP和代理服务端口号,发起与代理服务端之间的连接请求建立和代理服务端之间的连接。
本对比例在步骤S2)的NFS登录安全认证流程结束并成功通过安全检查后,创建新的代理通道专门进行后续NFS协议数据转发,即采用安全认证和数据代理转发通道分离的方式,这种设计方案在创建安全认证的代理通道和数据代理转发的代理通道之间存在时间差,容易被攻击劫持并伪造数据代理转发的代理通道,从而引起数据泄露的风险。
对比例三
本对比例与实施例一基本相同,其主要不同点为步骤S2)具体包括:代理服务端将当前用户登陆请求中的登录用户名匹配预设的NFS服务端口号列表得到服务器的回环地址和当前用户对应的NFS服务端口号,然后根据服务器的回环地址和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接,安全认证客户端通过代理客户端和代理服务端向安全认证服务端发起登录安全认证,若认证不通过,则代理客户端断开和NFS客户端以及代理服务端之间的连接,同时代理服务端断开和NFS服务端的连接;若认证成功,则代理服务端和代理客户端等待并转发NFS协议数据。
本对比例的步骤2)中,代理服务端在接收代理客户端的连接请求并成功建立连接后,立即建立与NFS服务端的连接,完成整个代理通道的创建,然后再进行登录安全认证,安全认证不通过时再拆除整个代理通道的连接。这种实现方案满足了安全认证流程与NFS协议数据转发使用相同的代理通道的要求,但带来了安全认证之前NFS服务端被访问的风险,同时增加了安全认证不通过场景下无意义的资源损耗。
上述只是本发明的较佳实施例,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。因此,凡是未脱离本发明技术方案的内容,依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均应落在本发明技术方案保护的范围内。
Claims (10)
1.一种基于代理转发的NFS安全传输装置,其特征在于,包括客户机和服务器,所述客户机包括:
NFS客户端,用于提供标准NFS接入协议;
安全认证客户端,用于发起登陆授权请求,并根据安全认证服务端返回的登录授权随机码生成登录安全令牌,然后通过登录安全验证请求将登录安全令牌发送给安全认证服务端进行登陆授权申请;
代理客户端,用于将NFS客户端和安全认证客户端的数据请求封装并转发给代理服务端,同时接收并解析代理服务端返回的数据;
所述服务器包括:
NFS服务端,用于提供标准NFS协议接入服务;
安全认证服务端,用于接收安全认证客户端的登陆授权请求并生成登录授权随机码,同时解析登录安全令牌并验证是否合法;
代理服务端,用于接收代理客户端的请求数据,解析消息类型,根据消息类型分别转发给NFS服务端或安全认证服务端;
所述NFS客户端、代理客户端、代理服务端和NFS服务端依次连接,所述安全认证客户端和代理客户端连接,所述安全认证服务端和代理服务端连接。
2.根据权利要求1所述的基于代理转发的NFS安全传输装置,其特征在于,所述NFS服务端的底层文件系统包括ext4、xfs、NFS和gfs2。
3.一种基于代理转发的NFS安全传输方法,应用于权利要求1或2所述的基于代理转发的NFS安全传输装置,其特征在于,代理通道的建立包括以下步骤:
S1)客户机检测到用户登录NFS客户端,启动对应的代理客户端监听客户机的回环地址和随机端口号,代理客户端监听到NFS挂载请求后建立和NFS客户端之间的连接,若连接建立成功,代理客户端根据当前用户登陆请求中的网卡IP和代理服务端口号,发起与代理服务端之间的连接请求建立和代理服务端之间的连接;
S2)安全认证客户端通过代理客户端和代理服务端向安全认证服务端发起登录安全认证,若认证不通过,则代理客户端断开和NFS客户端以及代理服务端之间的连接;若认证成功,则代理服务端将当前用户登陆请求中的登录用户名匹配预设的NFS服务端口号列表得到服务器的回环地址和当前用户对应的NFS服务端口号,然后根据服务器的回环地址和当前用户对应的NFS服务端口号建立与NFS服务端之间的连接。
4.根据权利要求3所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S1)之前还包括服务器预先配置的步骤,具体包括:服务器为每一个授权用户分别配置对应的NFS服务端口号并生成NFS服务端口号列表,所述NFS服务端口号向对应的授权用户提供独立的NFS服务,代理服务端监听服务器网卡IP和由配置确定的代理服务端口号,NFS服务端监听服务器的回环地址和各授权用户对应的NFS服务端口号。
5.根据权利要求3所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S1)包括以下步骤:
S11)NFS客户端获取用户登录命令并生成当前用户登录请求,对应的代理客户端启动并监听客户机回环地址和随机端口号;
S12)NFS客户端获取NFS文件系统挂载命令并生成NFS挂载请求,设置目标地址和端口号为代理客户端监听的回环地址和端口号,将NFS挂载请求向目标地址和端口号发送;
S13)代理客户端收到NFS挂载请求,根据NFS挂载请求的源地址建立和NFS客户端之间的连接,若连接建立失败,返回步骤S12)等待NFS客户端重试直至超时退出,若连接建立成功则跳转执行步骤S14);
S14)NFS客户端将当前用户登录请求发送给代理客户端,代理客户端根据当前用户登录请求中用户指定的网卡IP和代理服务端口号向代理服务端发出建链请求建立TCP连接,若连接建立失败,则断开NFS客户端和代理客户端之间的连接,返回步骤S11)等待NFS客户端重试直至超时退出,若连接建立成功则跳转执行步骤S2)。
6.根据权利要求3所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S2)包括以下步骤:
S21)安全认证客户端通过代理客户端向代理服务端发送授权请求消息,代理服务端收到授权请求消息后转发给安全认证服务端,安全认证服务端收到授权请求消息后用加密卡生成登录授权随机码,通过代理服务端将登录授权随机码封装成授权请求应答消息后发往代理客户端;
S22)代理客户端收到代理服务端返回的授权请求应答消息并解析得到登录授权随机码,然后将登录授权随机码转发给安全认证客户端,安全认证客户端根据登录授权随机码生成登录安全令牌,然后通过代理客户端将登录安全令牌封装成登录安全验证请求消息并发送至代理服务端;
S23)代理服务端收到登录安全验证请求消息并解析得到登录安全令牌,将登录安全令牌转发给安全认证服务端,安全认证服务端解析登录安全令牌后得到当前登录授权随机码,然后根据当前登录授权随机码验证登录安全令牌合法性,并通过代理服务端将验证结果封装为登录安全验证应答消息后发送至代理客户端;
S24)代理客户端收到登录安全验证应答消息并解析得到验证结果后,将验证结果转发给安全认证客户端,若验证结果内容为校验通过,则代理客户端将当前用户登陆请求发送给代理服务端,然后代理客户端等待并转发NFS协议数据,跳转执行步骤S25);若验证结果内容为校验不通过,则代理客户端同时断开与NFS客户端以及代理服务端之间的连接,NFS客户端返回登录失败消息并结束退出;
S25)代理服务端将当前用户登陆请求中的登录用户名匹配NFS服务端口号列表得到NFS服务端监听的回环地址和当前用户对应的NFS服务端口号,并根据服务端监听的回环地址和当前用户对应的NFS服务端口号向NFS服务端发起连接建立请求,如果连接建立失败,则代理客户端同时断开与NFS客户端以及代理服务端之间的连接并结束退出;如果连接建立成功,则代理服务端等待并转发NFS协议数据。
7.根据权利要求6所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S22)根据登录授权随机码生成登录安全令牌具体包括:安全认证客户端检测到本地USBKEY设备接入,获取当前用户输入的PIN码,根据PIN码对登录授权随机码加密生成登录安全令牌。
8.根据权利要求6所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S23)中根据当前登录授权随机码验证登录安全令牌合法性的步骤具体包括:判断当前登录授权随机码与响应授权请求消息生成的登录授权随机码是否一致,若一致则验证通过,否则验证不通过。
9.根据权利要求6所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S24)中代理客户端等待并转发NFS协议数据具体包括:代理客户端等待并接收NFS协议数据,若所接收的NFS协议数据来自NFS客户端,将NFS协议数据封装并转发给代理服务端,若所接收的NFS协议数据来自代理服务端,将NFS协议数据解析后转发给NFS客户端。
10.根据权利要求6所述的基于代理转发的NFS安全传输方法,其特征在于,步骤S25)中代理服务端等待并转发NFS协议数据具体包括:代理服务端等待并接收NFS协议数据,若所接收的NFS协议数据来自NFS服务端,将NFS协议数据封装并转发给代理客户端,若所接收的NFS协议数据来自代理客户端,将NFS协议数据解析后转发给NFS服务端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011627610.6A CN112751870B (zh) | 2020-12-30 | 2020-12-30 | 一种基于代理转发的nfs安全传输装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011627610.6A CN112751870B (zh) | 2020-12-30 | 2020-12-30 | 一种基于代理转发的nfs安全传输装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112751870A true CN112751870A (zh) | 2021-05-04 |
CN112751870B CN112751870B (zh) | 2022-11-11 |
Family
ID=75650658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011627610.6A Active CN112751870B (zh) | 2020-12-30 | 2020-12-30 | 一种基于代理转发的nfs安全传输装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112751870B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114003578A (zh) * | 2021-09-27 | 2022-02-01 | 湖南麒麟信安科技股份有限公司 | 一种网络文件系统加密方法、系统及介质 |
CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
CN117319224A (zh) * | 2023-10-15 | 2023-12-29 | 上海同星智能科技有限公司 | 汽车总线虚拟通道的实现方法及实现系统 |
CN114003578B (zh) * | 2021-09-27 | 2024-07-02 | 湖南麒麟信安科技股份有限公司 | 一种网络文件系统加密方法、系统及介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1781087A (zh) * | 2003-04-08 | 2006-05-31 | 丛林网络公司 | 安全访问带有客户端接收的专用网的方法和系统 |
US20090210542A1 (en) * | 2008-02-19 | 2009-08-20 | Futurewei Technologies, Inc. | Simplified protocol for carrying authentication for network access |
US20100235901A1 (en) * | 2009-03-12 | 2010-09-16 | Richard Adam Simpkins | Cifs proxy authentication |
CN103067399A (zh) * | 2006-08-22 | 2013-04-24 | 交互数字技术公司 | 无线发射/接收单元 |
CN103988169A (zh) * | 2011-09-27 | 2014-08-13 | 亚马逊技术股份有限公司 | 基于策略符合性的安全数据访问 |
US20140337407A1 (en) * | 2013-05-10 | 2014-11-13 | Owl Computing Technologies, Inc. | Nfs storage via multiple one-way data links |
US9286465B1 (en) * | 2012-12-31 | 2016-03-15 | Emc Corporation | Method and apparatus for federated single sign on using authentication broker |
CN106357814A (zh) * | 2016-10-27 | 2017-01-25 | 北京华为数字技术有限公司 | 一种文件处理方法、代理服务端及客户端 |
CN106487774A (zh) * | 2015-09-01 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 一种云主机服务权限控制方法、装置和系统 |
CN107615730A (zh) * | 2015-03-31 | 2018-01-19 | 伊姆西知识产权控股有限责任公司 | 跨文件系统对象和客户端共享的数据的安全的基于云的存储 |
CN107800695A (zh) * | 2017-10-17 | 2018-03-13 | 郑州云海信息技术有限公司 | 基于Samba协议的文件访问方法、装置、系统 |
CN108881320A (zh) * | 2018-09-11 | 2018-11-23 | 北京北信源信息安全技术有限公司 | 一种用户登陆的认证处理方法、服务器及客户端 |
-
2020
- 2020-12-30 CN CN202011627610.6A patent/CN112751870B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1781087A (zh) * | 2003-04-08 | 2006-05-31 | 丛林网络公司 | 安全访问带有客户端接收的专用网的方法和系统 |
CN103067399A (zh) * | 2006-08-22 | 2013-04-24 | 交互数字技术公司 | 无线发射/接收单元 |
US20090210542A1 (en) * | 2008-02-19 | 2009-08-20 | Futurewei Technologies, Inc. | Simplified protocol for carrying authentication for network access |
US20100235901A1 (en) * | 2009-03-12 | 2010-09-16 | Richard Adam Simpkins | Cifs proxy authentication |
CN103988169A (zh) * | 2011-09-27 | 2014-08-13 | 亚马逊技术股份有限公司 | 基于策略符合性的安全数据访问 |
US9286465B1 (en) * | 2012-12-31 | 2016-03-15 | Emc Corporation | Method and apparatus for federated single sign on using authentication broker |
US20140337407A1 (en) * | 2013-05-10 | 2014-11-13 | Owl Computing Technologies, Inc. | Nfs storage via multiple one-way data links |
CN107615730A (zh) * | 2015-03-31 | 2018-01-19 | 伊姆西知识产权控股有限责任公司 | 跨文件系统对象和客户端共享的数据的安全的基于云的存储 |
CN106487774A (zh) * | 2015-09-01 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 一种云主机服务权限控制方法、装置和系统 |
CN106357814A (zh) * | 2016-10-27 | 2017-01-25 | 北京华为数字技术有限公司 | 一种文件处理方法、代理服务端及客户端 |
CN107800695A (zh) * | 2017-10-17 | 2018-03-13 | 郑州云海信息技术有限公司 | 基于Samba协议的文件访问方法、装置、系统 |
CN108881320A (zh) * | 2018-09-11 | 2018-11-23 | 北京北信源信息安全技术有限公司 | 一种用户登陆的认证处理方法、服务器及客户端 |
Non-Patent Citations (4)
Title |
---|
刘思凤等: "基于代理机制的网格安全技术的研究与实现", 《计算机应用与软件》 * |
李俊义等: "多应用系统并存的组织中的单点登录", 《信息安全与通信保密》 * |
杨涛等: "基于IP的以太网存储系统接入技术的研究", 《微型电脑应用》 * |
陈军等: "Grid VFS中代理管理客户端磁盘缓存的设计与实现", 《计算机工程与设计》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114003578A (zh) * | 2021-09-27 | 2022-02-01 | 湖南麒麟信安科技股份有限公司 | 一种网络文件系统加密方法、系统及介质 |
CN114003578B (zh) * | 2021-09-27 | 2024-07-02 | 湖南麒麟信安科技股份有限公司 | 一种网络文件系统加密方法、系统及介质 |
CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
CN114500089B (zh) * | 2022-02-24 | 2024-02-09 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
CN117319224A (zh) * | 2023-10-15 | 2023-12-29 | 上海同星智能科技有限公司 | 汽车总线虚拟通道的实现方法及实现系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112751870B (zh) | 2022-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936786B2 (en) | Secure enrolment of security device for communication with security server | |
US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
US9130935B2 (en) | System and method for providing access credentials | |
US8347374B2 (en) | Adding client authentication to networked communications | |
US20090249439A1 (en) | System and method for single sign-on to resources across a network | |
CN101873332B (zh) | 一种基于代理服务器的web认证方法和设备 | |
JP2008533784A (ja) | コンピュータシステムにおける通信のための方法、システム、及びコンピュータプログラム | |
CN112751870B (zh) | 一种基于代理转发的nfs安全传输装置及方法 | |
CN113472794B (zh) | 基于微服务的多应用系统权限统一管理方法和存储介质 | |
CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
WO2023029138A1 (zh) | 登录方法、电子设备及计算机可读存储介质 | |
CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
AU2017344389B2 (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration | |
CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
US7631344B2 (en) | Distributed authentication framework stack | |
CN116488868A (zh) | 一种服务器安全访问方法、装置及存储介质 | |
US20200053059A1 (en) | Secure Method to Replicate On-Premise Secrets in a Cloud Environment | |
CN115499177A (zh) | 云桌面访问方法、零信任网关、云桌面客户端和服务端 | |
CN113709741A (zh) | 一种局域网的认证接入系统 | |
US20230171250A1 (en) | Method and system for authenticating a user on an identity-as-a-service server | |
EP3580901B1 (en) | Connection apparatus for establishing a secured application-level communication connection | |
CN116996316A (zh) | 一种即联即用的服务认证系统及方法 | |
CN117596021A (zh) | 一种基于内网穿透的变电站监控系统远程开发调试方法 | |
CN117834255A (zh) | 基于集中授权的服务资源访问方法及其装置 | |
CN113923202A (zh) | 一种基于http集群服务器的负载均衡方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |