[发明专利]一种访问文件系统的方法、装置和系统

说明书

本申请实施例公开了一种访问文件系统的方法。该方法包括：在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。此外，本申请实施例还公开了一种访问文件系统的装置和系统。

技术领域

本申请涉及网络通信技术领域，特别涉及一种访问文件系统的方法、装置和系统。

背景技术

目前，分布式文件系统的出现，使得大数据技术的实现和普及成为可能。在分布式文件系统中，通过协调多台物理机的存储资源，大量数据能够被存储和访问，从而海量数据能够实现被处理和分析。具体地，用户程序可以向分布式文件系统发起访问请求，分布式文件系统则按照用户程序的访问请求进行数据文件的读、写等操作，从而使得用户程序能够通过分布式文件系统实现数据的存取和分析。

由于用户程序可以由用户自行修改程序代码，因此，用户程序可能包含有恶意代码。在现有技术中，为了保证分布式文件系统能够不受恶意代码的威胁，分布式文件系统对用户程序的访问权限进行了限制。具体地，在分布式文件系统中具有控制节点和存储节点。其中，存储节点用于存储分布式文件系统中的数据文件。对于分布式文件系统中的每一个文件，在控制节点中每个文件为不同用户设置了不同访问权限。在分布式文件系统中，控制节点接收到用户程序对文件的访问请求时，判断所述访问请求是否符合所述文件为所述用户程序对应的用户设置的访问权限，若不符合则拒绝所述访问请求，若符合则将所述访问请求对应的数据的存储地址返回给所述用户程序，以便所述用户程序根据返回的存储地址对存储节点中的数据文件进行数据操作。

但是，由于分布式文件系统允许用户程序进行网络访问，而用户程序对分布式文件系统的访问权限仅仅是由控制节点根据用户程序的访问请求进行控制，用户程序实际上可以直接对分布式文件系统中的磁盘、网络等资源进行操作，因此，分布式文件系统实际上依然会受到用户程序中恶意代码的威胁，从而容易造成用户的隐私数据泄露。例如，包含恶意代码的用户程序可以不向控制节点发送访问请求，而在不受访问权限限制的情况下直接对存储节点中的数据文件进行数据操作，从而造成其他用户的数据被恶意泄露或恶意修改。

发明内容

本申请实施例所要解决的技术问题是，提供一种访问文件系统的方法、装置和系统，以使得在保证用户程序能够通过分布式文件系统进行数据存取和分析的情况下避免用户程序直接对分布式文件系统中的资源进行访问，从而避免分布式文件系统中的用户数据被恶意泄露或恶意修改。

第一方面，本申请实施例提供了一种访问文件系统的方法，包括：

在受限环境下，响应于用户程序生成对所述文件系统的访问请求，验证所述访问请求是否符合所述受限环境提供的网络访问权限，所述用户程序运行在所述受限环境下；

响应于所述访问请求不符合所述网络访问权限，拒绝将所述访问请求发送到所述受限环境之外的网络环境；

响应于所述访问请求符合所述网络访问权限，向所述文件系统发送所述访问请求；

接收所述文件系统针对所述访问请求返回的响应结果，并将所述响应结果返回给所述用户程序。

可选的，所述受限环境为子进程，所述子进程由父进程创建，所述子进程通过所述父进程进行网络访问；

所述访问请求是先由所述子进程向所述父进程发送、再由所述父进程向所述文件系统发送的；

所述响应结果是先由所述父进程从所述文件系统接收、再由子进程从所述父进程接收的。