分布式文件系统及用于其中节点间认证通信的方法技术方案

本发明专利技术公开了一种分布式文件系统及用于其中节点间认证通信的方法，分布式文件系统包括第一节点、第二节点以及服务器；第一节点向服务器发送请求及第一签名；服务器验证第一签名，验证通过后，查找第二节点，生成会话密钥，生成第二签名，并生成第一密文发送至第一节点；第一节点解密第一密文，并生成第三签名，并生成第二密文，并将第二密文发送至第二节点；第二节点解密第二密文，验证所述第二签名和第三签名，若验证通过，则用所述会话密钥为第一节点提供资源；第一节点用会话密钥验证资源，在验证通过后接收资源。本发明专利技术为请求文件资源的节点提供数据一致性检验，保障接收到正确、合法的文件资源。

Distributed file system and method for authenticating communication among nodes

The invention discloses a distributed file system and method for the authentication of communication between nodes, a distributed file system comprises a first node, second node and server; the first node sends the request to the server and the first server verifies the first signature; signature verification through, for the second node, generate the session key, generating second signatures, and generate the first ciphertext is sent to the first node; the first node decrypts the first ciphertext, and generate third signatures, and generate second and second encrypted ciphertext, sent to the second node second node second; decrypt the ciphertext, verify the signature second and third signatures, if verified, will provide resources for the first node with the first session key; the node uses the session key to verify the resources, receiving resources after verification. The invention provides a data consistency check for the node requesting the file resource to ensure that the correct and lawful file resource is received.

【技术实现步骤摘要】
分布式文件系统及用于其中节点间认证通信的方法
本专利技术涉及一种信息安全领域，特别是涉及一种分布式文件系统及用于其中节点间认证通信的方法。
技术介绍
分布式文件系统将文件存储在网络中的节点上，从而解决了本地存储空间不足的问题。分布式文件系统的设计基于客户机/服务器模式，系统中的节点既可以作为存储文件的服务器，也可以作为请求文件的客户机。传统的分布式文件系统中的访问控制大多采用访问列表或者功能划分，访问控制权限列表需要存放在存储文件资源的节点上，当权限发生改变时，这些节点都需要更新列表，这个过程较为繁琐。此外，在实际应用中，获得资源的节点也需要验证所收到的资源来源于自己所请求的节点、并且资源未在传输过程中被篡改，基于访问控制权限列表的方案无法解决此问题。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中分布式文件系统中，提供资源的节点无法判断请求资源的节点及其请求的合法性，接收资源的节点也无法验证收到的资源是否来源合法并未在传输过程中意外损毁或被恶意篡改的缺陷，提供一种分布式文件系统及用于其中节点间认证通信的方法。本专利技术是通过下述技术方案来解决上述技术问题的：本专利技术提供了一种分布式文件系统，其特点在于，包括第一节点、第二节点以及服务器；所述第一节点用于向所述服务器发送请求及第一签名，所述请求用于请求资源；所述服务器用于在接收到所述请求及第一签名后，验证所述第一签名，并在验证通过后，查找到存储有资源的第二节点，并为所述第一节点和所述第二节点生成会话密钥，并对所述第二节点的身份和会话密钥生成第二签名，并用所述第一节点的身份加密第二节点的身份、会话密钥及第二签名为第一密文，将所述第一密文发送至所述第一节点；所述第一节点用于解密所述第一密文得第二节点的身份、会话密钥及第二签名，并对所述请求、第二节点的身份、会话密钥和第二签名生成第三签名，并用所述第二节点的身份加密所述请求、第二节点的身份、会话密钥、第二签名和第三签名为第二密文，并将所述第二密文发送至第二节点；所述第二节点用于在接收到所述第二密文后，解密得到所述请求、第二节点的身份、会话密钥、第二签名和第三签名，验证所述第二签名和第三签名，若验证通过，则用所述会话密钥为所述第一节点提供资源；所述第一节点还用于在接收到所述第二节点提供的资源后，用所述会话密钥验证资源，并在验证通过后接收资源。较佳地，所述第二节点还用于在所述第二签名和第三签名验证未通过时，向所述第一节点发送失败信息。较佳地，所述第一节点还用于在资源验证未通过时丢弃资源。较佳地，第一节点的身份、服务器的身份及第二节点的身份在所述分布式文件系统中作为各自公钥使用，用于验证签名和加密；第一节点的私钥、服务器的私钥及第二节点的私钥分别秘密存储在第一节点、服务器及第二节点，用于生成签名和解密。较佳地，所述第一签名、第二签名及第三签名中均包括时间戳信息。本专利技术的目的在于还提供了一种用于分布式文件系统中节点间认证通信的方法，其特点在于，其利用上述的分布式文件系统实现，包括以下步骤：S1、所述第一节点向所述服务器发送请求及第一签名，所述请求用于请求资源；S2、所述服务器在接收到所述请求及第一签名后，验证所述第一签名，并在验证通过后，查找到存储有资源的第二节点，并为所述第一节点和所述第二节点生成会话密钥，并对所述第二节点的身份和会话密钥生成第二签名，并用所述第一节点的身份加密第二节点的身份、会话密钥及第二签名为第一密文，将所述第一密文发送至所述第一节点；S3、所述第一节点解密所述第一密文得第二节点的身份、会话密钥及第二签名，并对所述请求、第二节点的身份、会话密钥和第二签名生成第三签名，并用所述第二节点的身份加密所述请求、第二节点的身份、会话密钥、第二签名和第三签名为第二密文，并将所述第二密文发送至第二节点；S4、所述第二节点在接收到所述第二密文后，解密得到所述请求、第二节点的身份、会话密钥、第二签名和第三签名，验证所述第二签名和第三签名，若验证通过，则用所述会话密钥为所述第一节点提供资源；S5、所述第一节点在接收到所述第二节点提供的资源后，用所述会话密钥验证资源，并在验证通过后接收资源。较佳地，步骤S4中在所述第二签名和第三签名验证未通过时，所述第二节点还向所述第一节点发送失败信息。较佳地，步骤S5中所述第一节点还在资源验证未通过时丢弃资源。较佳地，步骤S1之前还包括：S01、根据所述第一节点的身份、服务器的身份及第二节点的身份生成第一节点的私钥、服务器的私钥及第二节点的私钥；其中所述第一节点的身份、服务器的身份及第二节点的身份分别作为第一节点的公钥、服务器的公钥及第二节点的公钥，在所述分布式文件系统中公开，用于验证签名和加密；所述第一节点的私钥、服务器的私钥及第二节点的私钥分别秘密存储在第一节点、服务器及第二节点，用于生成签名和解密。较佳地，所述第一签名、第二签名及第三签名中均包括时间戳信息。本专利技术的积极进步效果在于：本专利技术与传统基于访问控制权限列表的方案相比，无需将权限列表存放在提供存储功能的节点上，从而避免了权限更新时这类节点修改列表的复杂过程。此外，本专利技术还为请求文件资源的节点提供数据一致性检验，保障此类节点接收到正确、合法的文件资源。附图说明图1为本专利技术的较佳实施例的分布式文件系统的模块示意图。图2为本专利技术的较佳实施例的用于分布式文件系统中节点间认证通信的方法的流程图。具体实施方式下面通过实施例的方式进一步说明本专利技术，但并不因此将本专利技术限制在所述的实施例范围之中。如图1所示，本专利技术的分布式文件系统包括第一节点1、第二节点2以及服务器3，其中所述第一节点1分别与所述第二节点2和所述服务器3通信连接；在所述第一节点1、第二节点2及服务器3所构成的分布式文件系统中，所述服务器3记录并追踪文件资源存储位置，并能根据所述第一节点1的请求查找确定资源存储位置第二节点2；当所述第一节点1需要从所述分布式文件系统获取文件资源时，首先向所述服务器3发送请求及第一签名，所述请求用于请求资源，所述第一签名用于保障所述服务器收到的请求来源于第一节点1且未在传输过程中被篡改或损坏；所述服务器3用于在接收到所述请求及第一签名后，会验证第一签名及第一节点1的身份，即判断接收到的请求是否与所述第一节点1发出的请求一致，并判断所述第一节点1是否是系统的合法用户，若是，则验证所述第一签名，并在验证通过后，根据所述请求查找到存储有资源的第二节点2，并为所述第一节点1和所述第二节点2生成会话密钥，并对所述第二节点2的身份和会话密钥生成第二签名，并用所述第一节点1的身份加密第二节点2的身份、会话密钥及第二签名为第一密文，将所述第一密文发送至所述第一节点1；所述第二签名用于保障所述第一节点1及第二节点2得到的所述会话密钥由所述服务器3生成，且在传输过程中未被篡改，所述第一节点1用于在接收到所述第一密文后，解密所述第一密文得第二节点2的身份、会话密钥及第二签名，并对所述请求、第二节点2的身份、会话密钥和第二签名生成第三签名，并用所述第二节点2的身份加密所述请求、第二节点2的身份、会话密钥、第二签名和第三签名为第二密文，并将所述第二密文发送至第二节点2；所述第三签名用于保障所述第二节点2收到的所述请求来源于所述第一节点1，所述请求由服务器3本文档来自技高网...

【技术保护点】
一种分布式文件系统，其特征在于，包括第一节点、第二节点以及服务器；所述第一节点用于向所述服务器发送请求及第一签名，所述请求用于请求资源；所述服务器用于在接收到所述请求及第一签名后，验证所述第一签名，并在验证通过后，查找到存储有资源的第二节点，并为所述第一节点和所述第二节点生成会话密钥，并对所述第二节点的身份和会话密钥生成第二签名，并用所述第一节点的身份加密第二节点的身份、会话密钥及第二签名为第一密文，将所述第一密文发送至所述第一节点；所述第一节点用于解密所述第一密文得第二节点的身份、会话密钥及第二签名，并对所述请求、第二节点的身份、会话密钥和第二签名生成第三签名，并用所述第二节点的身份加密所述请求、第二节点的身份、会话密钥、第二签名和第三签名为第二密文，并将所述第二密文发送至第二节点；所述第二节点用于在接收到所述第二密文后，解密得到所述请求、第二节点的身份、会话密钥、第二签名和第三签名，验证所述第二签名和第三签名，若验证通过，则用所述会话密钥为所述第一节点提供资源；所述第一节点还用于在接收到所述第二节点提供的资源后，用所述会话密钥验证资源，并在验证通过后接收资源。

【技术特征摘要】
1.一种分布式文件系统，其特征在于，包括第一节点、第二节点以及服务器；所述第一节点用于向所述服务器发送请求及第一签名，所述请求用于请求资源；所述服务器用于在接收到所述请求及第一签名后，验证所述第一签名，并在验证通过后，查找到存储有资源的第二节点，并为所述第一节点和所述第二节点生成会话密钥，并对所述第二节点的身份和会话密钥生成第二签名，并用所述第一节点的身份加密第二节点的身份、会话密钥及第二签名为第一密文，将所述第一密文发送至所述第一节点；所述第一节点用于解密所述第一密文得第二节点的身份、会话密钥及第二签名，并对所述请求、第二节点的身份、会话密钥和第二签名生成第三签名，并用所述第二节点的身份加密所述请求、第二节点的身份、会话密钥、第二签名和第三签名为第二密文，并将所述第二密文发送至第二节点；所述第二节点用于在接收到所述第二密文后，解密得到所述请求、第二节点的身份、会话密钥、第二签名和第三签名，验证所述第二签名和第三签名，若验证通过，则用所述会话密钥为所述第一节点提供资源；所述第一节点还用于在接收到所述第二节点提供的资源后，用所述会话密钥验证资源，并在验证通过后接收资源。2.如权利要求1所述的分布式文件系统，其特征在于，所述第二节点还用于在所述第二签名和第三签名验证未通过时，向所述第一节点发送失败信息。3.如权利要求1所述的分布式文件系统，其特征在于，所述第一节点还用于在资源验证未通过时丢弃资源。4.如权利要求1所述的分布式文件系统，其特征在于，第一节点的身份、服务器的身份及第二节点的身份在所述分布式文件系统中作为各自公钥使用，用于验证签名和加密；第一节点的私钥、服务器的私钥及第二节点的私钥分别秘密存储在第一节点、服务器及第二节点，用于生成签名和解密。5.如权利要求1所述的分布式文件系统，其特征在于，所述第一签名、第二签名及第三签名中均包括时间戳信息。6.一种用于分布式文件系统中节点间认证通信的方法，其特征在于，其利用如权利要求1所述的分布式文件系统实现，包括以下步骤：S1、所述第一节点向所述服务器发送请求及第一签名，所述请求用...

【专利技术属性】
技术研发人员：黄鑫，张杰，刘炜，
申请(专利权)人：上海云熵网络科技有限公司，
类型：发明
国别省市：上海,31