通过SASL认证访问内存缓存服务的方法、系统、设备及介质与流程

本发明涉及云平台领域，更具体地，特别是指一种通过sasl认证访问内存缓存服务的方法、系统、计算机设备及可读介质。

背景技术：

随着openstack云平台技术的大规模应用，用户对云平台运行时数据的安全性提出了更高的要求，如何在保证云平台可以高效运行的同时，确保云平台内部的敏感数据不被泄露，越来越受到重视。

在openstack项目中一般会使用数据库对云平台所产生的数据进行保存，但是大量服务组件高频率地对数据库进行访问会造成数据库服务承受很大的压力，同时不利于提高云平台运行效率。现在通行的做法利用内存高速缓存系统对openstack云平台从数据库或者keystone组建中获取的数据进行缓存服务。

openstack云平台内存缓存服务是一套被广泛使用的开源高性能的、分布式内存对象缓存系统，基于c/s架构。授权协议为bsdlicense，主要开发语言为c语言，缓存数据以键值对的方式存储在内存中。openstack的计算、存储和网络等组件使用内存缓存服务时，由于内存缓存服务默认不开启任何认证机制，导致客户端无需认证即可读取、修改缓存内容；由于内存缓存服务中缓存了大量openstack云平台的敏感信息，例如令牌，可用域等，如果不通过认证即可访问这些信息，则会造成信息泄露和被篡改的危险，对整个openstack云平台的安全运行带来巨大的潜在威胁。

技术实现要素：

有鉴于此，本发明实施例的目的在于提出一种通过sasl认证访问内存缓存服务的方法、系统、计算机设备及计算机可读存储介质，通过sasl认证的方式，避免用户敏感数据不通过认证就被客户端访问的情况，弥补了openstack云平台的安全漏洞。

基于上述目的，本发明实施例的一方面提供了一种通过sasl认证访问内存缓存服务的方法，包括如下步骤：将openstack云平台的后端存储配置为内存缓存服务；在openstack云平台中配置资源包以支持通过sasl认证方式访问内存缓存服务，并基于资源包在openstack云平台的配置文件中配置认证用户，并开启访问进程；响应于访问进程接收到认证请求，将认证请求与配置文件中的认证用户进行匹配；以及响应于认证请求与配置文件中的认证用户匹配成功，向认证请求返回会话连接，并基于会话连接建立访问内存缓存服务的通道。

在一些实施方式中，还包括：判断所述认证请求与所述配置文件中的认证用户匹配所用的时间是否超过第一阈值时间。

在一些实施方式中，还包括：响应于所述认证请求与所述配置文件中的认证用户匹配所用的时间超过第一阈值时间，确定为匹配失败，并判断在第二阈值时间内匹配失败的次数是否超过第一阈值次数。

在一些实施方式中，还包括：响应于在第二阈值时间内匹配失败的次数超过第一阈值次数，锁定所述访问进程。

在一些实施方式中，还包括：判断锁定所述访问进程的时间是否超过第三阈值时间；以及响应于锁定所述访问进程的时间超过第三阈值时间，对所述访问进程进行解锁或重启。

在一些实施方式中，还包括：响应于存在多个认证请求与所述配置文件中的认证用户匹配成功，将每个认证请求分配到相应的子进程。

在一些实施方式中，还包括：响应于多个所述认证请求完成对所述内存缓存服务的访问，将多个所述子进程进行同步。

本发明实施例的另一方面，还提供了一种通过sasl认证访问内存缓存服务系统，包括：缓存模块，配置用于将openstack云平台的后端存储配置为内存缓存服务；访问模块，配置用于在所述openstack云平台中配置资源包以支持通过sasl认证方式访问所述内存缓存服务，并基于所述资源包在所述openstack云平台的配置文件中配置认证用户，并开启访问进程；认证模块，配置用于响应于所述访问进程接收到认证请求，将所述认证请求与所述配置文件中的认证用户进行匹配；以及执行模块，配置用于响应于所述认证请求与所述配置文件中的认证用户匹配成功，向所述认证请求返回会话连接，并基于所述会话连接建立访问所述内存缓存服务的通道。

本发明实施例的又一方面，还提供了一种计算机设备，包括：至少一个处理器；以及存储器，所述存储器存储有可在所述处理器上运行的计算机指令，所述指令由所述处理器执行时实现如上方法的步骤。

本发明实施例的再一方面，还提供了一种计算机可读存储介质，计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。

本发明具有以下有益技术效果：通过sasl认证的方式，避免用户敏感数据不通过认证就被客户端访问的情况，弥补了openstack云平台的安全漏洞。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。

图1为本发明提供的通过sasl认证访问内存缓存服务的方法的实施例的示意图；

图2为本发明提供的通过sasl认证访问内存缓存服务的计算机设备的实施例的硬件结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

基于上述目的，本发明实施例的第一个方面，提出了一种通过sasl认证访问内存缓存服务的方法的实施例。图1示出的是本发明提供的通过sasl认证访问内存缓存服务的方法的实施例的示意图。如图1所示，本发明实施例包括如下步骤：

s1、将openstack云平台的后端存储配置为内存缓存服务；

s2、在openstack云平台中配置资源包以支持通过sasl认证方式访问内存缓存服务，并基于资源包在openstack云平台的配置文件中配置认证用户，并开启访问进程；

s3、响应于访问进程接收到认证请求，将认证请求与配置文件中的认证用户进行匹配；以及

s4、响应于认证请求与配置文件中的认证用户匹配成功，向认证请求返回会话连接，并基于会话连接建立访问内存缓存服务的通道。

openstack云平台内存缓存服务默认不开启认证机制，客户端可以不经过认证访问其中的内存缓存信息，会造成openstack云平台大量的敏感信息泄露，这样会给云平台的安全运行带来巨大威胁。本发明针对openstack云平台在访问内存缓存服务不支持认证的方式，提出实现一种openstack云平台通过sasl认证访问内存缓存服务的方法，可以有效避免其他客户端不经过认证直接访问openstack云平台内存缓存服务，提高云平台运行的安全性。sasl(simpleauthenticationandsecuritylayer，简单认证与安全层)是一种用来扩充c/s模式验证能力的机制。sasl并不是一种协议，只是提供给应用和共享库的开发者一种认证、数据完整性校验和加密的机制的框架。

将openstack云平台的后端存储配置为内存缓存服务。将openstack的后端存储配置为内存缓存服务，这样云平台各个组件，例如计算、存储和网络组件在获取数据库信息之后，可以直接将这些信息放入内存缓存服务中；如再次用到可以直接从数据缓存服务中快速获取数据信息，极大减轻对数据库访问的频率，提高openstack云平台运行的效率。

在openstack云平台中配置资源包以支持通过sasl认证方式访问内存缓存服务，并基于资源包在openstack云平台的配置文件中配置认证用户，并开启访问进程。在没对内存缓存服务开启访问认证的时候，openstack云平台内部组件作为客户端，可以将访问数据库得到的数据缓存在内存缓存服务中，之后再次用到的时候可以直接读取；非openstack服务组件的客户端也可以直接对未开启sasl认证的内存缓存中的数据进行读取和写入操作。需要在openstack云平台中配置资源包，例如可以在openstack云平台中安装python-binary-memcachedpython包，当前openstack云平台中用到的python-memcached，该库不支持通过sasl认证方式访问内存缓存服务。开启访问进程以便随时接收访问请求，例如可以开启saslauthd进程。

响应于访问进程接收到认证请求，将认证请求与配置文件中的认证用户进行匹配。认证请求可以是用户输入的用户名和密码，将该用户名和密码与配置文件中已经配置好的认证用户进行匹配来决定该认证请求是否有权对内存缓存服务进行访问。

在一些实施方式中，还包括：判断所述认证请求与所述配置文件中的认证用户匹配所用的时间是否超过第一阈值时间。在一些实施方式中，还包括：响应于所述认证请求与所述配置文件中的认证用户匹配所用的时间超过第一阈值时间，确定为匹配失败，并判断在第二阈值时间内匹配失败的次数是否超过第一阈值次数。例如，第一阈值时间可以设置为5秒，如果匹配时间超过5秒则确定匹配失败，并判断在一定时间内匹配失败的次数是否超过了第一阈值次数，例如，可以判断在1分钟之内匹配失败的次数是否超过3次。

在一些实施方式中，还包括：响应于在第二阈值时间内匹配失败的次数超过第一阈值次数，锁定所述访问进程。如果在第二阈值时间内匹配失败的次数超过第一阈值次数表明没有权限的用户可能在进行尝试，为了避免没有权限的用户通过尝试的方式访问内存缓存服务，可以将访问进程锁定。

在一些实施方式中，还包括：判断锁定所述访问进程的时间是否超过第三阈值时间；以及响应于锁定所述访问进程的时间超过第三阈值时间，对所述访问进程进行解锁或重启。如果锁定访问进程的时间达到第三阈值时间，可以对访问进程解锁以便有权限的用户可以正常访问内存缓存服务。

响应于认证请求与配置文件中的认证用户匹配成功，向认证请求返回会话连接，并基于会话连接建立访问内存缓存服务的通道。在用户名和密码正确的情况下获取对内存缓存服务访问的授权，认证通过之后，将获取一个会话连接；通过该会话连接可以对内存缓存服务中的数据进行添加数据、查询数据、改动数据以及删除数据的操作；操作完成之后，该会话连接结束，下次进行访问时仍需进行认证操作。

在一些实施方式中，还包括：响应于存在多个认证请求与所述配置文件中的认证用户匹配成功，将每个认证请求分配到相应的子进程。访问进程同时接收到多个认证请求，可以设置成按照顺序一个一个来认证，并且一个一个访问内存缓存服务；也可以同时对多个认证请求进行认证，并给每个匹配成功的认证请求分配一个子进程，通过子进程对内存缓存服务进行同时访问。

在一些实施方式中，还包括：响应于多个所述认证请求完成对所述内存缓存服务的访问，将多个所述子进程进行同步。每个子进程中对于数据的改动可能不同，可以通过对多个子进程进行同步来使得内存缓存服务的数据一致。同步的方式可以是根据时间顺序来确定同步的数据，例如，当两个数据不同时，以时间靠后的为准。

通过本发明的优化与改进，使得openstack云平台能够支持通过认证方式访问内存缓存服务中的数据。由于云平台内存缓存服务开启了认证访问，openstack云平台可以避免用户敏感数据不通过认证就被客户端访问的情况，弥补了openstack云平台的安全漏洞。

需要特别指出的是，上述通过sasl认证访问内存缓存服务的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于通过sasl认证访问内存缓存服务的方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种通过sasl认证访问内存缓存服务系统，包括：缓存模块，配置用于将openstack云平台的后端存储配置为内存缓存服务；访问模块，配置用于在所述openstack云平台中配置资源包以支持通过sasl认证方式访问所述内存缓存服务，并基于所述资源包在所述openstack云平台的配置文件中配置认证用户，并开启访问进程；认证模块，配置用于响应于所述访问进程接收到认证请求，将所述认证请求与所述配置文件中的认证用户进行匹配；以及执行模块，配置用于响应于所述认证请求与所述配置文件中的认证用户匹配成功，向所述认证请求返回会话连接，并基于所述会话连接建立访问所述内存缓存服务的通道。

在一些实施方式中，还包括：第一判断模块，配置用于判断所述认证请求与所述配置文件中的认证用户匹配所用的时间是否超过第一阈值时间。

在一些实施方式中，还包括：第二判断模块，配置用于响应于所述认证请求与所述配置文件中的认证用户匹配所用的时间超过第一阈值时间，确定为匹配失败，并判断在第二阈值时间内匹配失败的次数是否超过第一阈值次数。

在一些实施方式中，还包括：锁定模块，配置用于响应于在第二阈值时间内匹配失败的次数超过第一阈值次数，锁定所述访问进程。

在一些实施方式中，还包括：第三判断模块，配置用于判断锁定所述访问进程的时间是否超过第三阈值时间；以及响应于锁定所述访问进程的时间超过第三阈值时间，对所述访问进程进行解锁或重启。

在一些实施方式中，还包括：分配模块，配置用于响应于存在多个认证请求与所述配置文件中的认证用户匹配成功，将每个认证请求分配到相应的子进程。

在一些实施方式中，还包括：同步模块，配置用于响应于多个所述认证请求完成对所述内存缓存服务的访问，将多个所述子进程进行同步。

基于上述目的，本发明实施例的第三个方面，提出了一种计算机设备，包括：至少一个处理器；以及存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行以实现如下步骤：s1、将openstack云平台的后端存储配置为内存缓存服务；s2、在openstack云平台中配置资源包以支持通过sasl认证方式访问内存缓存服务，并基于资源包在openstack云平台的配置文件中配置认证用户，并开启访问进程；s3、响应于访问进程接收到认证请求，将认证请求与配置文件中的认证用户进行匹配；以及s4、响应于认证请求与配置文件中的认证用户匹配成功，向认证请求返回会话连接，并基于会话连接建立访问内存缓存服务的通道。

在一些实施方式中，还包括：判断所述认证请求与所述配置文件中的认证用户匹配所用的时间是否超过第一阈值时间。

在一些实施方式中，还包括：响应于所述认证请求与所述配置文件中的认证用户匹配所用的时间超过第一阈值时间，确定为匹配失败，并判断在第二阈值时间内匹配失败的次数是否超过第一阈值次数。

在一些实施方式中，还包括：响应于在第二阈值时间内匹配失败的次数超过第一阈值次数，锁定所述访问进程。

在一些实施方式中，还包括：判断锁定所述访问进程的时间是否超过第三阈值时间；以及响应于锁定所述访问进程的时间超过第三阈值时间，对所述访问进程进行解锁或重启。

在一些实施方式中，还包括：响应于存在多个认证请求与所述配置文件中的认证用户匹配成功，将每个认证请求分配到相应的子进程。

在一些实施方式中，还包括：响应于多个所述认证请求完成对所述内存缓存服务的访问，将多个所述子进程进行同步。

如图2所示，为本发明提供的上述通过sasl认证访问内存缓存服务的计算机设备的一个实施例的硬件结构示意图。

以如图2所示的装置为例，在该装置中包括一个处理器301以及一个存储器302，并还可以包括：输入装置303和输出装置304。

处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接，图2中以通过总线连接为例。

存储器302作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的通过sasl认证访问内存缓存服务的方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的通过sasl认证访问内存缓存服务的方法。

存储器302可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据通过sasl认证访问内存缓存服务的方法的使用所创建的数据等。此外，存储器302可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器302可选包括相对于处理器301远程设置的存储器，这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置303可接收输入的用户名和密码等信息。输出装置304可包括显示屏等显示设备。

一个或者多个通过sasl认证访问内存缓存服务的方法对应的程序指令/模块存储在存储器302中，当被处理器301执行时，执行上述任意方法实施例中的通过sasl认证访问内存缓存服务的方法。

执行上述通过sasl认证访问内存缓存服务的方法的计算机设备的任何一个实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

本发明还提供了一种计算机可读存储介质，计算机可读存储介质存储有被处理器执行时执行如上方法的计算机程序。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，通过sasl认证访问内存缓存服务的方法的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，程序的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。