[发明专利]一种网络文件系统加密方法、系统及介质

说明书

本发明公开了一种网络文件系统加密方法、系统及介质，网络文件系统的服务器端包括依次连接的用户态NFS服务端、虚拟文件系统层、内核态加密文件系统以及内核态NFS客户端，从而实现了用户态NFS服务端与内核态加密文件系统的级联，加密方法中后端存储导出的存储目录被挂载至密文目录，然后根据预设加密规则将密文目录通过内核态加密文件系统挂载到明文目录；用户态NFS服务端注册RPC端口号将明文目录导出给客户端；客户端收到明文目录后与服务器端建立NFS连接，通过NFS协议将明文目录挂载至本地，然后执行文件读写。本发明解决了无法导出加密之后的明文目录的问题，同时实现了文件写入时透明加密以及文件读取时透明解密。

技术领域

本发明涉及分布式文件系统领域，尤其涉及一种网络文件系统加密方法、系统及介质。

背景技术

随着信息技术的不断发展，对数据的加密保护成为人们关注的焦点问题之一。加密文件系统通过将加解密服务集成到文件系统这一层面来解决上面的问题。由于加密文件系统工作在内核态，普通的攻击比较难于奏效，而且对于普通用户来说一旦授权通过，加解密过程完全透明，非常易于部署和使用。

NFS(Network File System，网络文件系统)是当前主流异构平台共享文件系统之一，如图1所示，NFS包括客户端、服务器端和后端存储，传统的NFS的服务器端中包括工作在内核态的NFS客户端和NFS服务端，客户端依次通过NFS服务端、NFS客户端与后端存储进行数据收发。通过使用NFS，客户端用户和程序可以像访问本地文件一样访问后端存储上的文件。

在有加密需求的情况下，CFS,TCFS,Crypt-FS,FSFS,Waycryptic和Windows EFS等加密文件系统存在难于使用、共享加密文件非常困难、用户不能选择加密算法、交换区或临时文件可能会泄漏明文以及性能较差等问题。内核态加密文件系统插在NFS的服务器端中内核态的VFS(虚拟文件系统层)和下层实际文件系统之间，充当一个“过滤器”的角色，但是由于内核态加密文件系统和内核态NFS服务端都工作在VFS(虚拟文件系统层)之下，两者之间无法很好地调用堆叠，导致加密文件系统加密之后的明文目录通过NFS服务端导出给节点上的客户端后无法使用，从而对于基于内核态进行文件加解密的网络文件系统带来了问题。同时由于用户态NFS服务端与内核交互的方式不是通过通用的文件名和文件描述符来实现，，也难以实现用户态NFS服务端工作与加密文件系统级联。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种网络文件系统加密方法、系统及介质，采用用户态NFS服务端与加密文件系统级联，解决了用户态NFS服务端与内核交互的问题，并实现了对于文件读写操作时的透明加解密。

为解决上述技术问题，本发明提出的技术方案为：

一种网络文件系统加密方法，具体包括以下步骤：

1)服务器端通过NFS协议获取后端存储导出的存储目录，将存储目录挂载至密文目录，然后根据预设加密规则将密文目录通过内核态加密文件系统挂载到明文目录；

2)服务器端的用户态NFS服务端注册用于与客户端进行通信的RPC端口号，将明文目录导出给客户端；

3)客户端收到明文目录后与服务器端建立NFS连接，并通过NFS协议将明文目录挂载至本地，服务器端的用户态NFS服务端构建明文目录中的文件以及文件夹一一对应的自定义私有文件句柄和通用文件句柄，并缓存私有文件句柄以及对应的通用文件句柄，私有文件句柄中包括对应的通用文件句柄的信息；

4)客户端向服务端发送读文件或写文件的文件操作请求，服务端根据文件操作请求内容查找到对应的通用文件句柄，并还原为对应的私有文件句柄，根据私有文件句柄的信息将文件操作请求通过虚拟文件系统层转发给内核态加密文件系统，对于读文件的文件操作请求，服务器端的内核态加密文件系统将对应文件解密后通过NFS协议反馈给客户端，对于写文件的文件操作请求，服务器端的内核态加密文件系统将对应文件加密后写入后端存储。