[发明专利]安全认证方法、系统、电子设备、分布式存储系统及介质

说明书

本发明公开了一种安全认证方法、系统、电子设备、分布式存储系统及介质，涉及安全认证领域，该安全认证方法包括：获取客户端请求的服务地址和第一映射关系；第一映射关系为虚拟IP与租户认证用户的映射关系；根据服务地址和第一映射关系确定租户认证用户信息；基于租户认证用户信息进行安全认证，在安全认证成功后客户端和服务端建立连接。本发明能够实现单名称节点同时对接多个Kerberos服务以及支持单独开启部分租户的Kerberos安全认证，在多租户场景下能够适应不同大数据平台的不同安全认证需求。

技术领域

本发明涉及安全认证领域，特别涉及一种安全认证方法、系统、电子设备、分布式存储系统及介质。

背景技术

在分布式大数据存储系统中，通常情况下，使用Kerberos（一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证）作为分布式存储系统的安全认证鉴权。Kerberos协议主要用于计算机网络的身份鉴别（Authentication），其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据（ticket-grantingticket）访问多个服务，即SSO（Single Sign On，单点登录），由于在每个客户端Client和服务端Service之间建立了共享密钥，使得该协议安全性较高。

现有技术中，分布式大数据存储系统在多租户场景下，每个租户都可以提供独立的大数据服务，但是整个分布式大数据存储系统同时只能对接一个Kerberos服务，而在不同租户对接不同大数据平台时，有不同的安全认证需求，因此存在需要同时对接不同的Kerberos服务以及不同租户使用不同的安全认证方式（Simple或Kerberos）的场景。一些大数据平台中也提供了多租户功能，使用Ranger大数据组件来实现租户功能，但是该实现方式无法满足多个租户不同的安全认证需求。

因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

发明内容

本发明的目的是提供一种安全认证方法、系统、电子设备、分布式存储系统及介质，能够实现单名称节点同时对接多个Kerberos服务以及支持单独开启部分租户的Kerberos安全认证，在多租户场景下能够适应不同大数据平台的不同安全认证需求。

为解决上述技术问题，本发明提供了一种安全认证方法，所述安全认证方法包括：

获取客户端请求的服务地址和第一映射关系；所述第一映射关系为虚拟IP与租户认证用户的映射关系；

根据所述服务地址和所述第一映射关系确定租户认证用户信息；

基于所述租户认证用户信息进行安全认证，在所述安全认证成功后所述客户端和服务端建立连接。

可选的，获取客户端请求的服务地址和第一映射关系之前，所述安全认证方法还包括：

获取文件系统中的租户列表、租户下的命名空间及每一所述命名空间对应的域名；

获取各个所述租户的安全认证方式，基于所述安全认证方式确定租户认证用户信息；

基于所述租户列表、所述命名空间、所述域名下的虚拟IP列表及所述租户认证用户信息得到所述第一映射关系。

可选的，所述获取文件系统中的租户列表、租户下的命名空间及每一所述命名空间对应的域名的过程包括：

从配置文件中获取文件系统中的租户列表、租户下的命名空间及每一所述命名空间对应的域名；

相应的，所述获取各个所述租户的安全认证方式的过程包括：

从所述配置文件中获取各个所述租户的安全认证方式。

可选的，所述获取各个所述租户的安全认证方式，基于所述安全认证方式确定租户认证用户信息的过程包括：

获取各个所述租户的安全认证方式；

将所述安全认证方式为Kerberos认证方式的所述租户确定为目标租户；