CN115314257A - 文件系统的鉴权方法、装置、电子设备及计算机存储介质 - Google Patents
文件系统的鉴权方法、装置、电子设备及计算机存储介质 Download PDFInfo
- Publication number
- CN115314257A CN115314257A CN202210816866.4A CN202210816866A CN115314257A CN 115314257 A CN115314257 A CN 115314257A CN 202210816866 A CN202210816866 A CN 202210816866A CN 115314257 A CN115314257 A CN 115314257A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- target
- gateway
- file system
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000001960 triggered effect Effects 0.000 claims abstract description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 3
- 238000005129 volume perturbation calorimetry Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 101100067989 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) cpc-2 gene Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供文件系统的鉴权方法、装置、电子设备及计算机存储介质。用于提高鉴权的准确率。包括:响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;将所述挂载参数与预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
Description
技术领域
本发明涉及数据处理技术领域,特别涉及一种文件系统的鉴权方法、装置、电子设备及计算机存储介质。
背景技术
随着云计算技术的快速发展,新一代云平台的建立,文件存储的需求日益增多。在新一代云平台中,云存储弹性文件系统基于传统NFS(Network File System,网络文件系统)协议为用户提供文件存储服务。
但是,传统NFS协议的权限鉴定将弹性文件系统的权限开放给了VPC(VirtualPrivate Cloud,私有网络)的NAT(Network Address Translation,网络转换地址)网关,NAT网关下的所有虚拟机都有权限挂载弹性文件系统,所以,该方式导致鉴权的准确率较低。
发明内容
本公开示例性的实施方式中提供一种文件系统的鉴权方法、装置、电子设备及计算机存储介质,用于提高文件系统鉴权的准确率。
本公开的第一方面提供一种文件系统的鉴权方法,所述方法包括:
响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
将所述挂载参数与所述文件系统预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
本实施例中通过将所述挂载参数与预先设置的访问规则进行匹配,若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。由此,本实施例中将虚机IP地址、NAT网关、VPC标识相结合进行权限鉴定,能够区分来自不同VPC下不同虚拟机的挂载请求,实现精确的权限控制,提高了鉴权的准确率。
在一个实施例中,通过以下方式确定所述虚拟机IP和所述VPC标识是否为合法参数:
若所述虚拟机IP的数值大小在第一预设范围内,则确定所述虚拟机IP为合法参数;以及,
若所述VPC标识的数值大小在第二预设范围内,则确定所述VPC标识为合法参数。
本实施例通过虚拟机IP和VPC标识的数值是否在对应的预设范围内来确定出虚拟机IP和VPC标识是否为合法参数,由此,使得确定出的结果更加准确。
在一个实施例中,所述方法还包括:
若确定所述网关IP与所述目标网关IP不匹配,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP和/或所述VPC标识为不合法参数,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配和/或所述用户的VPC标识与所述目标VPC标识不匹配,则确定所述用户不具有挂载所述文件系统的权限。
本实施例通过网关IP、虚拟机IP和VPC标识来确定出用户是否具有挂载文件系统的权限。由此,本实施例中能够区分来自不同VPC下不同虚拟机的挂载请求,实现精确的权限控制,提高了鉴权的准确率。
在一个实施例中,通过以下方式确定所述网关IP与所述目标网关IP是否匹配:
若所述网关IP与所述访问规则中的任意一个目标网关IP相同,则确定所述网关IP与所述目标网关IP匹配;
否则,则确定所述网关IP与所述目标网关IP不匹配。
本实施例通过将网关IP与目标网关IP相比较,来确定出网关IP是否与目标网关IP相匹配。由此,提高了匹配结果的准确率。
在一个实施例中,通过以下方式确定所述用户的虚拟机IP与所述目标虚拟机IP是否匹配:
若所述用户的虚拟机IP与所述访问规则中的任意一个目标虚拟机IP相同,则确定所述用户的虚拟机IP与所述目标虚拟机IP匹配;
否则,则确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配。
本实施例通过将用户的虚拟机IP与目标虚拟机IP进行比对来确定出虚拟机IP与目标虚拟机IP是否匹配。由此,提高了匹配结果的准确率。
本公开第二方面提供一种文件系统的鉴权装置,所述装置包括:
挂载参数确定模块,用于响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
匹配模块,用于将所述挂载参数与所述文件系统预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
第一鉴权模块,用于若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
在一个实施例中,所述装置还包括:
合法参数确定模块,用于通过以下方式确定所述虚拟机IP和所述VPC标识是否为合法参数:
若所述虚拟机IP的数值大小在第一预设范围内,则确定所述虚拟机IP为合法参数;以及,
若所述VPC标识的数值大小在第二预设范围内,则确定所述VPC标识为合法参数。
在一个实施例中,所述装置还包括:
第二鉴权模块,用于若确定所述网关IP与所述目标网关IP不匹配,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP和/或所述VPC标识为不合法参数,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配和/或所述用户的VPC标识与所述目标VPC标识不匹配,则确定所述用户不具有挂载所述文件系统的权限。
在一个实施例中,所述匹配模块,具体用于:
通过以下方式确定所述网关IP与所述目标网关IP是否匹配:
若所述网关IP与所述访问规则中的任意一个目标网关IP相同,则确定所述网关IP与所述目标网关IP匹配;
否则,则确定所述网关IP与所述目标网关IP不匹配。
在一个实施例中,所述匹配模块,具体用于:
通过以下方式确定所述用户的虚拟机IP与所述目标虚拟机IP是否匹配:
若所述用户的虚拟机IP与所述访问规则中的任意一个目标虚拟机IP相同,则确定所述用户的虚拟机IP与所述目标虚拟机IP匹配;
否则,则确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配。
根据本公开实施例的第三方面,提供一种电子设备,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令;所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如第一方面所述的方法。
根据本公开实施例提供的第四方面,提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序用于执行如第一方面所述的方法。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本公开一个实施例中现有技术的文件系统的鉴权方法示意图;
图2为根据本公开一个实施例中的适用场景示意图;
图3为根据本公开一个实施例的文件系统的鉴权方法的流程示意图之一;
图4为根据本公开一个实施例的TCP报文格式示意图;
图5为根据本公开一个实施例的文件系统的鉴权方法的流程示意图之二;
图6A为根据本公开一个实施例的文件系统的鉴权方法的流程示意图之三;
图6B为根据本公开一个实施例的文件系统的鉴权方法的流程示意图之四;
图7为根据本公开一个实施例的文件系统的鉴权装置;
图8为根据本公开一个实施例的电子设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本公开实施例描述的应用场景是为了更加清楚的说明本公开实施例的技术方案,并不构成对于本公开实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本公开实施例提供的技术方案对于类似的技术问题,同样适用。其中,在本公开的描述中,除非另有说明,“多个”的含义是两个或两个以上。
现有技术中的NFS协议的权限鉴定将弹性文件系统的权限开放给了VPC的NAT网关,NAT网关下的所有虚拟机都有权限挂载弹性文件系统,所以,该方式导致鉴权的准确率较低。如图1所示,用户在界面中请求挂载文件系统1,以现有技术中的方式文件系统1的匹配规则为:文件系统1|2.2.2.1和文件系统1|2.2.2.2”。即向NAT网关2.2.2.1和NAT网关2.2.2.2开放了挂载权限。VPC中的各虚机访问NFS服务器时,其网络报文中资源IP会被替换为NAT网关的IP地址,然后VPC中的各虚拟机通过NAT网关,实现了私有网络IP访问公网地址,也实现了虚拟机通过NFS协议访问弹性文件系统。但这也导致NFS服务器无法区分同一VPC下不同的虚拟机。在VPC1、VPC2中所有的虚拟机均能访问文件系统。所以,现有技术中的方式导致鉴权的准确率较低。
因此,本公开提供一种文件系统的鉴权方法,通过将所述挂载参数与预先设置的访问规则进行匹配,若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。由此,本公开中将虚机IP地址、NAT网关、VPC标识相结合进行权限鉴定,能够区分来自不同VPC下不同虚拟机的挂载请求,实现精确的权限控制,提高了鉴权的准确率。下面,结合附图对本公开的方案详细的进行介绍。
如图2所示,一种文件系统的鉴权方法的应用场景,图中包括:服务器210和终端设备220。其中:
在一种可能的应用场景中,用户通过终端设备220向服务器210发送文件系统挂载请求,服务器210响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;并将所述挂载参数与预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;若服务器210确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
其中,图2中的服务器210和终端设备220之间可通过通信网络进行信息交互,其中,通信网络采用的通信方式可分为无线通信方式或有线通信方式。
示例性的,服务器210可通过蜂窝移动通信技术接入网络,与终端设备220进行通信,其中,所述蜂窝移动通信技术,比如,包括第五代移动通信(5th Generation MobileNetworks,5G)技术。
可选的,服务器210可通过短距离无线通信方式接入网络,与终端设备220进行通信,其中,所述短距离无线通信方式,比如,包括无线保真(Wireless Fidelity,Wi-Fi)技术。
并且,本申请中的描述中仅就单个服务器210和终端设备220加以详述,但是本领域技术人员应当理解的是,示出的服务器210和终端设备220旨在表示本申请的技术方案涉及的服务器210和终端设备220的操作。而非暗示对服务器210和终端设备220的数量、类型或是位置等具有限制。应当注意,如果向图示环境中添加附加模块或从其中去除个别模块,不会改变本申请的示例实施例的底层概念。
此外,本申请提出的文件系统的鉴权方法不仅适用于图2所示的应用场景,还适用于任何有文件系统的鉴权装置。
示例性的,终端设备220包括但不限于:可视化大屏、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(Mobile Internet Device,MID)、可穿戴设备,虚拟现实(VirtualReality,VR)设备、增强现实(Augmented Reality,AR)设备、工业控制中的无线终端设备、无人驾驶中的无线终端设备、智能电网中的无线终端设备、运输安全中的无线终端设备、智慧城市中的无线终端设备,或智慧家庭中的无线终端设备等设备;终端设备上可以安装有相关的客户端,该客户端可以是软件(例如,浏览器、短视频软件等),也可以是网页、小程序等。
如图3所示,为本公开的文件系统的鉴权方法的流程示意图,包括以下步骤:
步骤301:响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
所述挂载请求中包括挂载参数,该请求是通过TCP报文转发的,其中,TCP报文的格式如图4所示,包括源端口、目的端口、序列号、确认号以及option。本实施例中的挂载参数存储在TCP的option中。
步骤302:将所述挂载参数与所述文件系统预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
步骤303:若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
下面,分别对网络IP与目标网关IP的匹配方法、虚拟机IP和目标虚拟机IP的匹配方法以及VPC标识和目标VPC标识的匹配方法进行详细的叙述:
1、网络IP与目标网关IP的匹配方法:
若所述网关IP与所述访问规则中的任意一个目标网关IP相同,则确定所述网关IP与所述目标网关IP匹配;否则,则确定所述网关IP与所述目标网关IP不匹配。
例如,目标网关IP包括:网关IP1、网关IP2和网关IP3。若用户的网关的IP为网关IP1,则确定用户的网关IP与目标网关IP相匹配。
2、虚拟机IP和目标虚拟机IP的匹配方法:
若所述虚拟机IP与所述访问规则中的任意一个目标虚拟机IP相同,则确定所述虚拟机IP与所述目标虚拟机IP匹配;否则,则确定所述虚拟机IP与所述目标虚拟机IP不匹配。
例如,目标虚拟机IP包括:虚拟机IP1、虚拟机IP2和虚拟机IP3。若用户的虚拟机IP为虚拟机IP2,则确定用户的虚拟机IP与目标虚拟机IP相匹配。
3、VPC标识和目标VPC标识的匹配方法:
若所述VPC标识与所述访问规则中的任意一个目标VPC标识相同,则确定所述VPC标识与所述目标VPC标识匹配;否则,则确定所述VPC标识与所述目标VPC标识不匹配。
例如,目标VPC标识包括:VPC标识1、VPC标识2和VPC标识3。若用户的VPC标识为VPC标识2,则确定用户的VPC标识与目标VPC标识相匹配。
在一个实施例中,通过以下方式确定所述虚拟机IP和所述VPC标识是否为合法参数:
若所述虚拟机IP的数值大小在第一预设范围内,则确定所述虚拟机IP为合法参数;以及若所述VPC标识的数值大小在第二预设范围内,则确定所述VPC标识为合法参数。
需要说明的是:第一预设范围和第二预设范围可以相同也可以不相同,具体的可根据实际情况来进行设置,本实施例在此并不对第一预设范围和第二预设范围的具体指来进行限定。
为了进一步的了解本公开的技术方案,下面结合图5进行详细的说明,可包括以下步骤:
步骤501:响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
步骤502:判断所述挂载参数与所述文件系统预先设置的访问规则是否匹配,若是,则执行步骤503,若否,则执行步骤506;其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
步骤503:判断所述虚拟机IP和所述VPC标识是否为合法参数,若是,则执行步骤504,若否,则执行步骤506;
步骤504:判断所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,若是,则执行步骤505,若否,则执行步骤506;
步骤505:确定所述用户具有挂载所述文件系统的权限;
步骤506:确定所述用户不具有挂载所述文件系统的权限。
下面,结合具体的场景对本公开中的文件系统的鉴权方法进行详细的介绍,如图6A所示,当用户在用户界面创建文件系统1,并为文件系统1配置一条匹配规则:“文件系统1|vpc1|1.1.1.1|2.2.2.1”。通过该匹配规则可以确定出文件系统1将开放VPC1下IP地址为1.1.1.1的虚拟机经由IP为2.2.2.1的NAT网关,通过NFS协议访问文件系统1。此时,仅VM1可以通过NFS协议访挂载文件系统1。
如图6B所示,当用户在界面为文件系统1新增配置一条匹配规则”文件系统1|vpc2|1.1.1.2|2.2.2.2“时,文件系统1将开放VPC2下IP地址为1.1.1.2网段下的虚拟机经由2.2.2.2的NAT网关,通过NFS协议访问文件系统1。此时,VM1和VM5均可挂载文件系统1。
基于相同的公开构思,本公开如上所述的文件系统的鉴权方法还可以由一种文件系统的鉴权装置实现。该文件系统的鉴权装置的效果与前述方法的效果相似,在此不再赘述。
图7为根据本公开一个实施例的文件系统的鉴权装置的结构示意图。
如图7所示,本公开的文件系统的鉴权装置700可以包括挂载参数确定模块710、匹配模块720和第一鉴权模块730。
挂载参数确定模块710,用于响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
匹配模块720,用于将所述挂载参数与预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
第一鉴权模块730,用于若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
在一个实施例中,所述装置还包括:
合法参数确定模块740,用于通过以下方式确定所述虚拟机IP和所述VPC标识是否为合法参数:
若所述虚拟机IP的数值大小在第一预设范围内,则确定所述虚拟机IP为合法参数;以及,
若所述VPC标识的数值大小在第二预设范围内,则确定所述VPC标识为合法参数。
在一个实施例中,所述装置还包括:
第二鉴权模块750,用于若确定所述网关IP与所述目标网关IP不匹配,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP和/或所述VPC标识为不合法参数,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配和/或所述用户的VPC标识与所述目标VPC标识不匹配,则确定所述用户不具有挂载所述文件系统的权限。
在一个实施例中,所述匹配模块720,具体用于:
通过以下方式确定所述网关IP与所述目标网关IP是否匹配:
若所述网关IP与所述访问规则中的任意一个目标网关IP相同,则确定所述网关IP与所述目标网关IP匹配;
否则,则确定所述网关IP与所述目标网关IP不匹配。
在一个实施例中,所述匹配模块720,具体用于:
通过以下方式确定所述用户的虚拟机IP与所述目标虚拟机IP是否匹配:
若所述用户的虚拟机IP与所述访问规则中的任意一个目标虚拟机IP相同,则确定所述用户的虚拟机IP与所述目标虚拟机IP匹配;
否则,则确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配。
在介绍了本公开示例性实施方式的一种文件系统的鉴权方法及装置之后,接下来,介绍根据本公开的另一示例性实施方式的电子设备。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本公开的电子设备可以至少包括至少一个处理器、以及至少一个计算机存储介质。其中,计算机存储介质存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本公开各种示例性实施方式的文件系统的鉴权方法中的步骤。例如,处理器可以执行如图3中所示的步骤301-303。
下面参照图8来描述根据本公开的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用电子设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理器801、上述至少一个计算机存储介质802、连接不同系统组件(包括计算机存储介质802和处理器801)的总线803。
总线803表示几类总线结构中的一种或多种,包括计算机存储介质总线或者计算机存储介质控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
计算机存储介质802可以包括易失性计算机存储介质形式的可读介质,例如随机存取计算机存储介质(RAM)821和/或高速缓存存储介质822,还可以进一步包括只读计算机存储介质(ROM)823。
计算机存储介质802还可以包括具有一组(至少一个)程序模块824的程序/实用工具825,这样的程序模块824包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
电子设备800也可以与一个或多个外部设备804(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口805进行。并且,电子设备800还可以通过网络适配器806与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器806通过总线803与用于电子设备800的其它模块通信。应当理解,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本公开提供的一种文件系统的鉴权方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本公开各种示例性实施方式的文件系统的鉴权方法中的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取计算机存储介质(RAM)、只读计算机存储介质(ROM)、可擦式可编程只读计算机存储介质(EPROM或闪存)、光纤、便携式紧凑盘只读计算机存储介质(CD-ROM)、光计算机存储介质件、磁计算机存储介质件、或者上述的任意合适的组合。
本公开的实施方式的文件系统的鉴权的程序产品可以采用便携式紧凑盘只读计算机存储介质(CD-ROM)并包括程序代码,并可以在电子设备上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
此外,尽管在附图中以特定顺序描述了本公开方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘计算机存储介质、CD-ROM、光学计算机存储介质等)上实施的计算机程序产品的形式。
本公开是参照根据本公开的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读计算机存储介质中,使得存储在该计算机可读计算机存储介质中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样,倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内,则本公开也意图包含这些改动和变型在内。
Claims (10)
1.一种文件系统的鉴权方法,其特征在于,所述方法包括:
响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
将所述挂载参数与所述文件系统预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
2.根据权利要求1所述的方法,其特征在于,通过以下方式确定所述虚拟机IP和所述VPC标识是否为合法参数:
若所述虚拟机IP的数值大小在第一预设范围内,则确定所述虚拟机IP为合法参数;以及,
若所述VPC标识的数值大小在第二预设范围内,则确定所述VPC标识为合法参数。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述网关IP与所述目标网关IP不匹配,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP和/或所述VPC标识为不合法参数,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配和/或所述用户的VPC标识与所述目标VPC标识不匹配,则确定所述用户不具有挂载所述文件系统的权限。
4.根据权利要求1所述的方法,其特征在于,通过以下方式确定所述网关IP与所述目标网关IP是否匹配:
若所述网关IP与所述访问规则中的任意一个目标网关IP相同,则确定所述网关IP与所述目标网关IP匹配;
否则,则确定所述网关IP与所述目标网关IP不匹配。
5.根据权利要求1所述的方法,其特征在于,通过以下方式确定所述用户的虚拟机IP与所述目标虚拟机IP是否匹配:
若所述用户的虚拟机IP与所述访问规则中的任意一个目标虚拟机IP相同,则确定所述用户的虚拟机IP与所述目标虚拟机IP匹配;
否则,则确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配。
6.一种文件系统的鉴权装置,其特征在于,所述装置包括:
挂载参数确定模块,用于响应于用户触发的文件系统的挂载请求,基于所述挂载请求确定所述用户的挂载参数,其中,所述挂载参数包括虚拟机网际互联协议IP、网关IP和专有网络VPC标识;
匹配模块,用于将所述挂载参数与所述文件系统预先设置的访问规则进行匹配,其中,所述访问规则中包括具有挂载所述文件系统权限的目标网关IP、目标虚拟机IP以及目标VPC标识;
第一鉴权模块,用于若确定所述网关IP与所述目标网关IP匹配,且所述虚拟机IP和所述VPC标识为合法参数,且所述虚拟机IP与所述目标虚拟机IP匹配以及所述VPC标识与所述目标VPC标识匹配,则确定所述用户具有挂载所述文件系统的权限。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
合法参数确定模块,用于通过以下方式确定所述虚拟机IP和所述VPC标识是否为合法参数:
若所述虚拟机IP的数值大小在第一预设范围内,则确定所述虚拟机IP为合法参数;以及,
若所述VPC标识的数值大小在第二预设范围内,则确定所述VPC标识为合法参数。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二鉴权模块,用于若确定所述网关IP与所述目标网关IP不匹配,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP和/或所述VPC标识为不合法参数,则确定所述用户不具有挂载所述文件系统的权限;或,
若确定所述用户的虚拟机IP与所述目标虚拟机IP不匹配和/或所述用户的VPC标识与所述目标VPC标识不匹配,则确定所述用户不具有挂载所述文件系统的权限。
9.一种电子设备,其特征在于,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令;所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行根据权利要求1-5中任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序用于执行根据权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210816866.4A CN115314257B (zh) | 2022-07-12 | 2022-07-12 | 文件系统的鉴权方法、装置、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210816866.4A CN115314257B (zh) | 2022-07-12 | 2022-07-12 | 文件系统的鉴权方法、装置、电子设备及计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115314257A true CN115314257A (zh) | 2022-11-08 |
CN115314257B CN115314257B (zh) | 2024-03-12 |
Family
ID=83856499
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210816866.4A Active CN115314257B (zh) | 2022-07-12 | 2022-07-12 | 文件系统的鉴权方法、装置、电子设备及计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115314257B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989110A (zh) * | 2018-07-20 | 2018-12-11 | 浪潮电子信息产业股份有限公司 | 一种vpc网络模型的构建方法及其相关设备 |
CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
CN109542862A (zh) * | 2018-11-21 | 2019-03-29 | 北京百度网讯科技有限公司 | 用于控制文件系统的挂载的方法、装置和系统 |
CN111949378A (zh) * | 2020-08-28 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 虚拟机启动模式切换方法和装置、存储介质及电子设备 |
US20200366689A1 (en) * | 2019-05-17 | 2020-11-19 | Charter Communications Operating, Llc | Botnet detection and mitigation |
CN113946854A (zh) * | 2021-10-29 | 2022-01-18 | 苏州浪潮智能科技有限公司 | 一种文件访问控制方法、装置及计算机可读存储介质 |
CN114385091A (zh) * | 2022-03-24 | 2022-04-22 | 天津联想协同科技有限公司 | 网盘盘符的实现方法、装置、网盘及存储介质 |
CN114422421A (zh) * | 2022-01-18 | 2022-04-29 | 北京字节跳动网络技术有限公司 | 一种路由匹配方法、装置、计算机设备和存储介质 |
CN114647385A (zh) * | 2022-03-31 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种分布式存储的卷映射管理方法、系统及相关装置 |
-
2022
- 2022-07-12 CN CN202210816866.4A patent/CN115314257B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989110A (zh) * | 2018-07-20 | 2018-12-11 | 浪潮电子信息产业股份有限公司 | 一种vpc网络模型的构建方法及其相关设备 |
CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
CN109542862A (zh) * | 2018-11-21 | 2019-03-29 | 北京百度网讯科技有限公司 | 用于控制文件系统的挂载的方法、装置和系统 |
US20200366689A1 (en) * | 2019-05-17 | 2020-11-19 | Charter Communications Operating, Llc | Botnet detection and mitigation |
CN111949378A (zh) * | 2020-08-28 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 虚拟机启动模式切换方法和装置、存储介质及电子设备 |
CN113946854A (zh) * | 2021-10-29 | 2022-01-18 | 苏州浪潮智能科技有限公司 | 一种文件访问控制方法、装置及计算机可读存储介质 |
CN114422421A (zh) * | 2022-01-18 | 2022-04-29 | 北京字节跳动网络技术有限公司 | 一种路由匹配方法、装置、计算机设备和存储介质 |
CN114385091A (zh) * | 2022-03-24 | 2022-04-22 | 天津联想协同科技有限公司 | 网盘盘符的实现方法、装置、网盘及存储介质 |
CN114647385A (zh) * | 2022-03-31 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种分布式存储的卷映射管理方法、系统及相关装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
CN116070294B (zh) * | 2023-03-07 | 2023-07-14 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115314257B (zh) | 2024-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695731B2 (en) | Distributed identity-based firewalls | |
US11184224B2 (en) | System, method and compute program product for accessing a device on a network | |
US10430588B2 (en) | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack | |
US10776482B2 (en) | Automated virtual machine integrity checks | |
CN113612740B (zh) | 权限管理方法、装置、计算机可读介质及电子设备 | |
US11336635B2 (en) | Systems and methods for authenticating device through IoT cloud using hardware security module | |
US9491183B1 (en) | Geographic location-based policy | |
CN112396521B (zh) | 用于降低区块链中智能合约的风险的方法和系统 | |
US11316683B2 (en) | Systems and methods for providing IoT security service using hardware security module | |
CN112351031B (zh) | 攻击行为画像的生成方法、装置、电子设备和存储介质 | |
JP2021528749A (ja) | 自動パケットレスネットワーク到達可能性分析 | |
US20190052643A1 (en) | Cloud access rule translation for hybrid cloud computing environments | |
US20190347406A1 (en) | Dynamically generating and injecting trusted root certificates | |
CN110445769B (zh) | 业务系统的访问方法及装置 | |
CN111177672A (zh) | 一种页面访问控制方法、装置和电子设备 | |
US11552953B1 (en) | Identity-based authentication and access control mechanism | |
US9160754B2 (en) | Location based authentication of users to a virtual machine in a computer system | |
US10547612B2 (en) | System to resolve multiple identity crisis in indentity-as-a-service application environment | |
JP2022094938A (ja) | データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器 | |
CN115314257B (zh) | 文件系统的鉴权方法、装置、电子设备及计算机存储介质 | |
CN102045309A (zh) | 一种用于防止计算机病毒攻击的方法和装置 | |
CN114448734A (zh) | 一种网络访问方法、装置、设备以及存储介质 | |
JP6249964B2 (ja) | 通信ネットワークにおけるリアルタイム対話 | |
CN114866258A (zh) | 一种访问关系的建立方法、装置、电子设备及存储介质 | |
US11784996B2 (en) | Runtime credential requirement identification for incident response |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |