一种访问文件系统的方法、装置和系统制造方法及图纸

本申请实施例公开了一种访问文件系统的方法。该方法包括：在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。此外，本申请实施例还公开了一种访问文件系统的装置和系统。

Method, device and system for accessing file system

The application embodiment discloses a method for accessing a file system. The method includes: in a restricted environment, the user program generates an access request to the file system in response to the user program, verifies whether the access request meets the network access rights provided by the restricted environment, the user program runs in the restricted environment, and the access request is not in conformity with the network access rights. A network environment that refuses to send the access request to the restricted environment; responds to the access request that the access request conforms to the network access authority, sends the access request to the file system, receives the response results returned by the file system for the access request, and returns the response results to the system. The user program described. In addition, the application embodiment also discloses a device and a system for accessing the file system.

【技术实现步骤摘要】
一种访问文件系统的方法、装置和系统
本申请涉及网络通信
，特别涉及一种访问文件系统的方法、装置和系统。
技术介绍
目前，分布式文件系统的出现，使得大数据技术的实现和普及成为可能。在分布式文件系统中，通过协调多台物理机的存储资源，大量数据能够被存储和访问，从而海量数据能够实现被处理和分析。具体地，用户程序可以向分布式文件系统发起访问请求，分布式文件系统则按照用户程序的访问请求进行数据文件的读、写等操作，从而使得用户程序能够通过分布式文件系统实现数据的存取和分析。由于用户程序可以由用户自行修改程序代码，因此，用户程序可能包含有恶意代码。在现有技术中，为了保证分布式文件系统能够不受恶意代码的威胁，分布式文件系统对用户程序的访问权限进行了限制。具体地，在分布式文件系统中具有控制节点和存储节点。其中，存储节点用于存储分布式文件系统中的数据文件。对于分布式文件系统中的每一个文件，在控制节点中每个文件为不同用户设置了不同访问权限。在分布式文件系统中，控制节点接收到用户程序对文件的访问请求时，判断所述访问请求是否符合所述文件为所述用户程序对应的用户设置的访问权限，若不符合则拒绝所述访问请求，若符合则将所述访问请求对应的数据的存储地址返回给所述用户程序，以便所述用户程序根据返回的存储地址对存储节点中的数据文件进行数据操作。但是，由于分布式文件系统允许用户程序进行网络访问，而用户程序对分布式文件系统的访问权限仅仅是由控制节点根据用户程序的访问请求进行控制，用户程序实际上可以直接对分布式文件系统中的磁盘、网络等资源进行操作，因此，分布式文件系统实际上依然会受到用户程序中恶意代码的威胁，从而容易造成用户的隐私数据泄露。例如，包含恶意代码的用户程序可以不向控制节点发送访问请求，而在不受访问权限限制的情况下直接对存储节点中的数据文件进行数据操作，从而造成其他用户的数据被恶意泄露或恶意修改。
技术实现思路
本申请实施例所要解决的技术问题是，提供一种访问文件系统的方法、装置和系统，以使得在保证用户程序能够通过分布式文件系统进行数据存取和分析的情况下避免用户程序直接对分布式文件系统中的资源进行访问，从而避免分布式文件系统中的用户数据被恶意泄露或恶意修改。第一方面，本申请实施例提供了一种访问文件系统的方法，包括：在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。可选的，所述受限环境为子进程，所述子进程由父进程创建，所述子进程通过所述父进程进行网络访问；所述访问请求是先由所述子进程向所述父进程发送、再由所述父进程向所述文件系统发送的；所述响应结果是先由所述父进程从所述文件系统接收、再由子进程从所述父进程接收的。可选的，所述响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求，包括：响应于所述访问请求符合所述网络访问权限，识别所述访问请求对应的数据操作的类型；通过所述类型对应的请求处理程序向所述文件系统发送所述访问请求。可选的，所述文件系统包括控制节点和存储节点；所述方法还包括：在向所述文件系统发送所述访问请求之后，接收所述控制节点针对所述访问请求返回的存储地址；按照所述存储地址向所述存储节点发起数据操作指令；其中，所述存储地址对应的存储空间用于存储所述访问请求所要访问的数据文件，所述数据操作指令用于触发所述存储节点执行所述访问请求对应的数据操作，所述响应结果是所述存储节点对所述数据操作的执行结果。可选的，所述存储地址包括多个存储节点上的地址，所述访问请求对应的数据操作为读取操作；所述按照所述存储地址向所述存储节点发起数据操作指令，具体为：按照所述多个存储节点上的地址，分别向所述多个存储节点发起数据操作指令；所述响应结果是由所述多个存储节点分别返回的。可选的，所述存储地址包括多个存储节点上的地址，所述访问请求对应的数据操作为写入操作或创建操作；所述按照所述存储地址向所述存储节点发起数据操作指令，包括：在所述多个存储节点中选取一个目标存储节点；按照所述存储地址向所述目标存储节点发起数据操作指令，以便所述目标存储节点向所述存储地址对应的其他存储节点转发所述数据操作指令；所述响应结果是所述目标存储节点根据所述目标存储节点对所述数据操作指令的执行结果和所述其他存储节点针对所述数据操作指令返回给所述目标存储节点的执行结果而返回的。可选的，所述访问请求对应的数据操作的类型为打开操作、创建操作、读取操作、写入操作或删除操作。第二方面，本申请实施例提供了一种访问文件系统的装置，包括：验证单元，用于在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；拒绝单元，用于响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；第一发送单元，用于响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；第一接收单元，用于接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。可选的，所述受限环境为子进程，所述子进程由父进程创建，所述子进程通过所述父进程进行网络访问；所述访问请求是先由所述子进程向所述父进程发送、再由所述父进程向所述文件系统发送的；所述响应结果是先由所述父进程从所述文件系统接收、再由子进程从所述父进程接收的。可选的，所述第一发送单元，具体用于：响应于所述访问请求符合所述网络访问权限，识别所述访问请求对应的数据操作的类型；通过所述类型对应的请求处理程序向所述文件系统发送所述访问请求。可选的，所述文件系统包括控制节点和存储节点；所述装置还包括：第二接收单元，在向所述文件系统发送所述访问请求之后，接收所述控制节点针对所述访问请求返回的存储地址；第二发送单元，用于按照所述存储地址向所述存储节点发起数据操作指令；其中，所述存储地址对应的存储空间用于存储所述访问请求所要访问的数据文件，所述数据操作指令用于触发所述存储节点执行所述访问请求对应的数据操作，所述响应结果是所述存储节点对所述数据操作的执行结果。可选的，所述存储地址包括多个存储节点上的地址；所述访问请求对应的数据操作为读取操作；所述第二发送单元，具体用于：按照所述多个存储节点上的地址，分别向所述多个存储节点发起数据操作指令；所述响应结果是由所述多个存储节点分别返回的。可选的，所述存储地址包括多个存储节点上的地址；所述访问请求对应的数据操作为写入操作或创建操作；所述第二发送单元，具体用于：在所述多个存储节点中选取一个目标存储节点；按照所述存储地址向所述目标存储节点发起数据操作指令，以便所述目标存储节点向所述存储地址对应的其他存储节点转发所述数据操作指令；所述响应结果是所述目标存储节点根据所述目标存储节点对所述数据操作指令的执行结果和所述其他存储节点针对所述数据操作本文档来自技高网...

【技术保护点】
1.一种访问文件系统的方法，其特征在于，包括：在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。

【技术特征摘要】
1.一种访问文件系统的方法，其特征在于，包括：在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。2.根据权利要求1所述的方法，其特征在于，所述受限环境为子进程，所述子进程由父进程创建，所述子进程通过所述父进程进行网络访问；所述访问请求是先由所述子进程向所述父进程发送、再由所述父进程向所述文件系统发送的；所述响应结果是先由所述父进程从所述文件系统接收、再由子进程从所述父进程接收的。3.根据权利要求1所述的方法，其特征在于，所述响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求，包括：响应于所述访问请求符合所述网络访问权限，识别所述访问请求对应的数据操作的类型；通过所述类型对应的请求处理程序向所述文件系统发送所述访问请求。4.根据权利要求1所述的方法，其特征在于，所述文件系统包括控制节点和存储节点；所述方法还包括：在向所述文件系统发送所述访问请求之后，接收所述控制节点针对所述访问请求返回的存储地址；按照所述存储地址向所述存储节点发起数据操作指令；其中，所述存储地址对应的存储空间用于存储所述访问请求所要访问的数据文件，所述数据操作指令用于触发所述存储节点执行所述访问请求对应的数据操作，所述响应结果是所述存储节点对所述数据操作的执行结果。5.根据权利要求4所述的方法，其特征在于，所述存储地址包括多个存储节点上的地址，所述访问请求对应的数据操作为读取操作；所述按照所述存储地址向所述存储节点发起数据操作指令，具体为：按照所述多个存储节点上的地址，分别向所述多个存储节点发起数据操作指令；所述响应结果是由所述多个存储节点分别返回的。6.根据权利要求4所述的方法，其特征在于，所述存储地址包括多个存储节点上的地址，所述访问请求对应的数据操作为写入操作或创建操作；所述按照所述存储地址向所述存储节点发起数据操作指令，包括：在所述多个存储节点中选取一个目标存储节点；按照所述存储地址向所述目标存储节点发起数据操作指令，以便所述目标存储节点向所述存储地址对应的其他存储节点转发所述数据操作指令；所述响应结果是所述目标存储节点根据所述目标存储节点对所述数据操作指令的执行结果和所述其他存储节点针对所述数据操作指令返回给所述目标存储节点的执行结果而返回的。7.根据权利要求1～6任意一项所述的方法，其特征在于，所述访问请求对应的数据操作的类型为打开操作、创建操作、读取操作、写入操作或删除操作。8.一种访问文件系统的装置，其特征在于，包括：验证单元，用于在受...

【专利技术属性】
技术研发人员：田力，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY