一种共享文件访问控制方法、装置、设备及可读存储介质与流程

1.本技术涉及信息安全技术领域，特别是涉及一种共享文件访问控制方法、装置、设备及可读存储介质。


背景技术：

2.在nfs(network file system，网络文件系统)的服务端，需要设置允许访问共享的客户端网段，只有在配置范围内的客户端才能挂载成功并进行共享访问。
3.但是，当客户端和服务端的网络中存在nat(network address translation，网络地址转换，又称网络掩蔽、ip掩蔽))网络时，客户端的真实ip就会在nat服务端中进行替换，之后会影响该客户端挂载nfs共享，即无法访问相应的共享文件。
4.综上所述，如何在nat网络下实现文件共享访问等问题，是目前本领域技术人员急需解决的技术问题。


技术实现要素：

5.本技术的目的是提供一种共享文件访问控制方法、装置、设备及可读存储介质，在nat网络下实现文件共享访问。
6.为解决上述技术问题，本技术提供如下技术方案：
7.一种共享文件访问控制方法，包括：
8.接收客户端利用网络地址转换网络发送的nfs报文；
9.解析所述nfs报文，确定所述客户端的真实ip及请求访问的共享文件；其中，所述nfs报文中增设有与所述真实ip对应的字段；
10.利用所述真实ip，判断所述客户端是否有权访问所述共享文件；
11.如果是，则允许所述客户端访问所述共享文件；
12.如果否，则禁止所述客户端访问所述共享文件。
13.优选地，解析所述nfs报文，确定所述客户端的真实ip及请求访问的共享文件，包括：
14.解析所述nfs报文，确定所述客户端的真实ip密文及所述请求访问的共享文件；
15.对所述真实ip密文进行解密，得到所述真实ip。
16.优选地，利用所述真实ip，判断所述客户端是否有权访问所述共享文件，包括：
17.判断所述真实ip是否属于所述共享文件对应的客户端网段中；
18.如果是，则确定所述客户端有权访问所述共享文件；
19.如果否，则确定所述客户端无权访问所述共享文件。
20.优选地，在解析所述nfs报文，确定所述客户端的真实ip及请求访问的共享文件之后，在利用所述真实ip，判断所述客户端是否有权访问所述共享文件之前，还包括：
21.向所述客户端发送随机明文数据；
22.接收所述客户端反馈的利用共享密钥对所述随机明文数据加密后的密文数据；
23.利用所述共享密钥验证所述密文数据的有效性；
24.在验证通过后，执行所述利用所述真实ip，判断所述客户端是否有权访问所述共享文件的步骤。
25.优选地，还包括：
26.生成一段随机字符串，并利用所述共享密钥对所述随机字符串进行加密；
27.将加密后的随机字符串发送给所述客户端，以便所述客户端在解密得到所述随机字符串后，将所述随机字符串作为认证成功的标记。
28.优选地，利用所述真实ip，判断所述客户端是否有权访问所述共享文件，包括：
29.若所述客户端具有所述认证成功的标记，则判断所述真实ip与已登记的转换后ip是否对应；
30.如果是，则确定所述客户端有权访问所述共享文件。
31.优选地，还包括：
32.在达到认证更新周期后，生成一段新随机字符串，并利用所述共享密钥对所述新随机字符串进行加密；
33.将加密后的新随机字符串发送给所述客户端，以便所述客户端在解密得到所述新随机字符串后，利用所述新随机字符串更新所述认证成功的标记。
34.一种共享文件访问控制装置，包括：
35.报文接收模块，用于接收客户端利用网络地址转换网络发送的nfs报文；
36.报文解析模块，用于解析所述nfs报文，确定所述客户端的真实ip及请求访问的共享文件；其中，所述nfs报文中增设有与所述真实ip对应的字段；
37.鉴权模块，用于利用所述真实ip，判断所述客户端是否有权访问所述共享文件；
38.访问控制模块，用于如果所述客户端有权访问所述共享文件，则允许所述客户端访问所述共享文件；如果所述客户端无权访问所述共享文件，则禁止所述客户端访问所述共享文件。
39.一种电子设备，包括：
40.存储器，用于存储计算机程序；
41.处理器，用于执行所述计算机程序时实现上述共享文件访问控制方法的步骤。
42.一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述共享文件访问控制方法的步骤。
43.应用本技术实施例所提供的方法，接收客户端利用网络地址转换网络发送的nfs报文；解析nfs报文，确定客户端的真实ip及请求访问的共享文件；其中，nfs报文中增设有与真实ip对应的字段；利用真实ip，判断客户端是否有权访问共享文件；如果是，则允许客户端访问共享文件；如果否，则禁止客户端访问共享文件。
44.在本技术中，首先针对nfs报文进行了改进，使之增加与真实ip对应的字段。如此，在接收到客户端利用网络地址转换网络发送的nfs报文之后，可以通过解析nfs报文，得到客户端的真实ip以及请求访问的共享文件。基于真实ip便可确定客户端是否有权访问该共享文件，并在确定客户端有权访问时，允许客户端访问该共享文件。也就是说，在nfs报文中增设真实ip对应字段，使得客户端可以通过真实ip穿透nat，可以在客户端与服务端的网络中存在nat时，客户端也能对nfs共享文件进行访问。
45.相应地，本技术实施例还提供了与上述共享文件访问控制方法相对应的共享文件访问控制装置、设备和可读存储介质，具有上述技术效果，在此不再赘述。
附图说明
46.为了更清楚地说明本技术实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1为本技术实施例中一种共享文件访问控制方法的实施流程图；
48.图2为本技术实施例中一种共享文件访问控制装置的结构示意图；
49.图3为本技术实施例中一种电子设备的结构示意图；
50.图4为本技术实施例中一种电子设备的具体结构示意图。
具体实施方式
51.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
52.请参考图1，图1为本技术实施例中一种共享文件访问控制方法的流程图，该方法可具体应用于nfs服务端中(下文简称为服务端)。该方法包括以下步骤：
53.s101、接收客户端利用网络地址转换网络发送的nfs报文。
54.其中，客户端具体为nfs对应的客户端。
55.在本技术中，客户端与服务端之间的传输网络可以具有为包括了网络地址转换网络。也就是说，基于网络地址转换网络的传输机理，客户端发送给服务端的常规报文，该常规报文内所携带的客户端ip会在网络地址转换网络中被进行地址映射处理，从而使得服务端接收到的报文中针对客户端的ip地址不再是客户端真实ip，而是经过ip地址映射过的ip。由于该ip不是真实ip，因而服务端无法针对该ip进行客户端鉴权，使得经过网络地址转换网络传输报文的客户端无法访问nfs中的共享。
56.需要注意的是，在本技术实施例中，为了使得服务端可以对利用了网络地址转换网络而发起共享访问的客户端能够正常进行访问，特别提出在nfs报文中增设一个关于客户端真实ip对应的字段，即，本实施例中的nfs报文中增设有与真实ip对应的字段。也就是说，在本技术实施例中，客户端发送给服务端的nfs报文在常规nfs报文的基础上，额外增加了一个关于其真实ip的字段。如此，即便该nfs报文经过了网络地址转换网络对应的ip地址映射处理，所进行的ip地址映射处理也仅是针对nfs报文中的常规部分，也不会将额外添加的真实ip的字段进行映射调整。也即，服务端所接收到的nfs报文中仍然还会存在客户端的真实ip对应的字段。
57.当然，在实际应用中，为了方便解析，还可以在nfs报文中增加类型说明字段。即，本技术实施例中的nfs报文相对于常规nfs报文增设有客户端真实ip对应的字段，以及真实ip对应字段的字段说明字段。其中，真实ip对应的字段的长度可以具体为4字节，当然经过
加密等处理，真实ip对应的字段长度可以为其他具体长度，本实施例对真实ip对应的字段长度并不做限定。
58.s102、解析nfs报文，确定客户端的真实ip及请求访问的共享文件。
59.在本实施例中，服务端所接收的nfs报文相对于常规的nfs报文，其还额外具有客户端真实ip对应的字段，因而服务端对该nfs报文进行解析，不仅可以确定客户端请求访问的共享文件，还可以确定客户端的真实ip。
60.需要注意的是，由于nfs报文中增设了客户端真实ip对应的字段，因而用于解析该nfs报文的nfs协议也需随之进行适应性改变，如需定义好真实ip对应的字段位置以及具体的解析方法，字段位置以及具体的解析方法的具体实现可以具体参照对nfs协议中已有字段的定义和解析，在此不再一一赘述。
61.s103、利用真实ip，判断客户端是否有权访问共享文件。
62.得到该客户端的真实ip之后，便可以利用该真实ip确定客户端是否有权访问共享文件。
63.由于能够确定客户端的真实ip，对于如何确定客户端是否有权访问该共享文件，可以借鉴常规的未经过nat的客户端相应地的鉴权方法。具体的实现过程，包括：
64.步骤一、判断真实ip是否属于共享文件对应的客户端网段中；
65.步骤二、如果是，则确定客户端有权访问共享文件；
66.步骤三、如果否，则确定客户端无权访问共享文件。
67.为便于描述，下面将上述三个步骤结合起来进行说明。
68.可以预先在服务端中设置好运行访问共享的客户端网段，即只有在配置范围内的客户端才能挂载成功并进行共享访问。当然，服务端还可以根据客户端的ip网段进行qos(service quality，服务质量，具体指服务能够满足规定和潜在需求的特征和特性的总和，是指服务工作能够满足被服务者需求的程度)的选择，保障优先级更改的业务拥有更高的业务体验。
69.通过判断该真实ip是否在该共享文件对应的客户端网络中，从而确定客户端是否有权访问该共享文件。具体的，如果该真实ip在该共享文件对应的客户端网络中，即确定该客户端有权访问该共享文件；反之，则确定客户端无权访问该共享文件。
70.得到客户端是否有权访问共享文件的判断结果之后，便可基于不同的判断结果执行不同的后续步骤。具体的，如果判断结果为客户端有权访问共享文件，则执行步骤s104；如果判断结果为客户端无权访问共享文件，则执行步骤s105。
71.s104、允许客户端访问共享文件。
72.具体的，即允许客户端进行相应地的挂载操作，并在挂载成功之后，向该客户端提供该共享文件的访问服务，从而使得客户端能够访问该共享文件。
73.s105、禁止客户端访问共享文件。
74.具体的，可以禁止该客户端进行挂载，或者即便是挂载成功也不向该客户端提供该共享文件的访问服务，从而阻断该客户端访问该共享文件。
75.应用本技术实施例所提供的方法，接收客户端利用网络地址转换网络发送的nfs报文；解析nfs报文，确定客户端的真实ip及请求访问的共享文件；其中，nfs报文中增设有与真实ip对应的字段；利用真实ip，判断客户端是否有权访问共享文件；如果是，则允许客
户端访问共享文件；如果否，则禁止客户端访问共享文件。
76.在本技术中，首先针对nfs报文进行了改进，使之增加与真实ip对应的字段。如此，在接收到客户端利用网络地址转换网络发送的nfs报文之后，可以通过解析nfs报文，得到客户端的真实ip以及请求访问的共享文件。基于真实ip便可确定客户端是否有权访问该共享文件，并在确定客户端有权访问时，允许客户端访问该共享文件。也就是说，在nfs报文中增设真实ip对应字段，使得客户端可以通过真实ip穿透nat，可以在客户端与服务端的网络中存在nat时，客户端也能对nfs共享文件进行访问。
77.需要说明的是，基于上述实施例，本技术实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考，相应的有益效果也可相互参照，在本文的优选/改进实施例中不再一一赘述。
78.优选地，由于对nfs报文本身进行了改进，使之能够携带经过nat处理后，仍然具有客户端真实ip对应的字段。为了对真实ip进行有效保护，避免非法用户劫持该nfs报文，从而冒充合法客户端进行非法访问，还可以进一步对该nfs报文中的真实ip进行保护。具体的，可以将该真实ip进行加密后放置在nfs报文中。相应的，上述步骤s102解析nfs报文，确定客户端的真实ip及请求访问的共享文件，具体包括：
79.步骤一、解析nfs报文，确定客户端的真实ip密文及请求访问的共享文件；
80.步骤二、对真实ip密文进行解密，得到真实ip。
81.为便于描述，下面将上述两个步骤结合起来进行说明。
82.客户端可以与服务端之间约定好一个共同的密钥，客户端在生成nfs报文时，可以基于该密钥对真实ip进行加密，然后将加密后得到的真实ip密文添加至nfs报文中与真实ip对应字段的位置。在本实施例中，加密前后的ip可以对应不同的字节长度，具体的密钥可以根据实际情况进行选择和应用，在此不再一一列举。
83.服务端在接收到该nfs报文之后，对该nfs报文进行解析，首先得到真实ip密文，然后再对该真实ip密文进行解密，从而得到该真实ip。如此，即便该nfn报文在传输过程中被恶意劫持，也会因有密钥保护，从而保障客户端真实ip不被泄漏，进一步可以保障对应的共享文件不被恶意用户访问到。
84.优选地，为了更好的限制来访的客户端，服务端可以针对单个共享或者全局共享添加一个公共密钥。当客户端携带真实ip地址进行挂载时，服务端可以向客户端发起密钥挑战。具体的实现过程，即在步骤s102解析nfs报文，确定客户端的真实ip及请求访问的共享文件之后，在步骤s103利用真实ip，判断客户端是否有权访问共享文件之前，还可执行以下步骤：
85.步骤一、向客户端发送随机明文数据；
86.步骤二、接收客户端反馈的利用共享密钥对随机明文数据加密后的密文数据；
87.步骤三、利用共享密钥验证密文数据的有效性；
88.在验证通过后，执行步骤s103利用真实ip，判断客户端是否有权访问共享文件的步骤。
89.为便于描述，下面将上述步骤结合起来进行说明。
90.服务端可以将一段随机的未加密的数据，即随机明文数据发给客户端，客户端使用共享密钥进行加密并将数据返回给服务端，服务端通过保存的共享密钥验证加密数据的
有效性。具体的，当加密数据有效，则确定密钥挑战成功，即验证通过；否则，确定验证失败。在验证通过后，即可执行步骤s103的操作。在验证失败的情况下，即可无需执行步骤s103的操作。
91.当然，在实际应用中，还可以先进行密钥挑战，然后再执行步骤s101。
92.进一步地，为了简化服务端对客户端的是否有权访问共享文件的鉴权操作，还可以在密钥挑战成功后，向客户端反馈一个认证成功的标志，以便后续服务端可以简单地通过比对真实ip和转换后的ip进行客户端鉴权。也就是说，在验证通过后，还可以执行以下操作步骤：
93.生成一段随机字符串，并利用共享密钥对随机字符串进行加密；
94.将加密后的随机字符串发送给客户端，以便客户端在解密得到随机字符串后，将随机字符串作为认证成功的标记。
95.也就是说，密钥挑战成功之后，服务端生成一段随机字符串作为认证成功的标记，并通过共享密钥加密后发送给客户端。后续服务端可以简单地通过比对真实ip和转换后的ip进行客户端鉴权。其中，利用真实ip，判断客户端是否有权访问共享文件，具体包括：若客户端具有认证成功的标记，则判断真实ip与已登记的转换后ip是否对应；如果是，则确定客户端有权访问共享文件；如果否，则确定客户端有权访问共享文件。
96.进一步地，还可以对认证成功的标记进行更新，进一步保障共享文件的安全性。即在达到认证更新周期后，生成一段新随机字符串，并利用共享密钥对新随机字符串进行加密；将加密后的新随机字符串发送给客户端，以便客户端在解密得到新随机字符串后，利用新随机字符串更新认证成功的标记。例如，客户端在达到认证更新周期(如一周或其他预先设置的时长)需要将服务端发送的随机字符串加密后发送给服务端，服务端收到后进行解密验证，验证成功后重新生成新的随机字符串并加密发送给客户端。即，通过认证更新的操作保证客户端的合法性。
97.相应于上面的方法实施例，本技术实施例还提供了一种共享文件访问控制装置，下文描述的共享文件访问控制装置与上文描述的共享文件访问控制方法可相互对应参照。
98.参见图2所示，该装置包括以下模块：
99.报文接收模块101，用于接收客户端利用网络地址转换网络发送的nfs报文；
100.报文解析模块102，用于解析nfs报文，确定客户端的真实ip及请求访问的共享文件；其中，nfs报文中增设有与真实ip对应的字段；
101.鉴权模块103，用于利用真实ip，判断客户端是否有权访问共享文件；
102.访问控制模块104，用于如果客户端有权访问共享文件，则允许客户端访问共享文件；如果客户端无权访问共享文件，则禁止客户端访问共享文件。
103.应用本技术实施例所提供的装置，接收客户端利用网络地址转换网络发送的nfs报文；解析nfs报文，确定客户端的真实ip及请求访问的共享文件；其中，nfs报文中增设有与真实ip对应的字段；利用真实ip，判断客户端是否有权访问共享文件；如果是，则允许客户端访问共享文件；如果否，则禁止客户端访问共享文件。
104.在本技术中，首先针对nfs报文进行了改进，使之增加与真实ip对应的字段。如此，在接收到客户端利用网络地址转换网络发送的nfs报文之后，可以通过解析nfs报文，得到客户端的真实ip以及请求访问的共享文件。基于真实ip便可确定客户端是否有权访问该共
享文件，并在确定客户端有权访问时，允许客户端访问该共享文件。也就是说，在nfs报文中增设真实ip对应字段，使得客户端可以通过真实ip穿透nat，可以在客户端与服务端的网络中存在nat时，客户端也能对nfs共享文件进行访问。
105.在本技术的一种具体实施方式中，报文解析模块102，具体用于解析nfs报文，确定客户端的真实ip密文及请求访问的共享文件；对真实ip密文进行解密，得到真实ip。
106.在本技术的一种具体实施方式中，鉴权模块103，具体用于判断真实ip是否属于共享文件对应的客户端网段中；如果是，则确定客户端有权访问共享文件；如果否，则确定客户端无权访问共享文件。
107.在本技术的一种具体实施方式中，还包括：
108.密钥挑战模块，用于在解析nfs报文，确定客户端的真实ip及请求访问的共享文件之后，在利用真实ip，判断客户端是否有权访问共享文件之前，向客户端发送随机明文数据；接收客户端反馈的利用共享密钥对随机明文数据加密后的密文数据；利用共享密钥验证密文数据的有效性；在验证通过后，执行利用真实ip，判断客户端是否有权访问共享文件的步骤。
109.在本技术的一种具体实施方式中，还包括：
110.认证标记模块，用于在验证通过后，生成一段随机字符串，并利用共享密钥对随机字符串进行加密；将加密后的随机字符串发送给客户端，以便客户端在解密得到随机字符串后，将随机字符串作为认证成功的标记。
111.在本技术的一种具体实施方式中，鉴权模块103，具体用于若客户端具有认证成功的标记，则判断真实ip与已登记的转换后ip是否对应；如果是，则确定客户端有权访问共享文件。
112.在本技术的一种具体实施方式中，还包括：
113.认证更新模块，用于在达到认证更新周期后，生成一段新随机字符串，并利用共享密钥对新随机字符串进行加密；将加密后的新随机字符串发送给客户端，以便客户端在解密得到新随机字符串后，利用新随机字符串更新认证成功的标记。
114.相应于上面的方法实施例，本技术实施例还提供了一种电子设备，下文描述的一种电子设备与上文描述的一种共享文件访问控制方法可相互对应参照。
115.参见图3所示，该电子设备包括：
116.存储器332，用于存储计算机程序；
117.处理器322，用于执行计算机程序时实现上述方法实施例的共享文件访问控制方法的步骤。
118.具体的，请参考图4，图4为本实施例提供的一种电子设备的具体结构示意图，该电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中，存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储器332通信，在电子设备301上执行存储器332中的一系列指令操作。
119.电子设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网
络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。
120.上文所描述的共享文件访问控制方法中的步骤可以由电子设备的结构实现。
121.相应于上面的方法实施例，本技术实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种共享文件访问控制方法可相互对应参照。
122.一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的共享文件访问控制方法的步骤。
123.该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
124.本领域技术人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。