一种进程访问权限检验方法、装置、设备以及可读存储介质制造方法及图纸

本申请提供了一种进程访问权限检验方法、装置、设备以及可读存储介质，该方法包括：第一进程向第一OvS发送第一消息，第一消息为发送给第二进程的消息，第一消息包括第一IP地址和第二IP地址，第一IP地址为第一进程所在容器Pod的IP地址，第二IP地址为第二进程所在Pod的IP地址；第一OvS向企业安全组模块发送第一请求消息，第一请求消息用于请求企业安全组模块基于第一请求消息中的第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限；若根据企业安全组模块确定第一进程具有访问第二进程的权限，第一OvS向第二OvS发送第一消息，第二OvS为与第二进程部署在同一个网络设备上的OvS。备上的OvS。备上的OvS。

【技术实现步骤摘要】
一种进程访问权限检验方法、装置、设备以及可读存储介质


[0001]本申请涉及进程访问的
，尤其涉及一种进程访问权限检验方法、相关装置、设备以及计算机可读存储介质。

技术介绍

[0002]在服务器或网络设备中部署有一个或多个进程，这些进程在运行过程中可以实现不同的功能。进程与进程之间可以相互通信，协调配合共同执行任务。对于部署在同一个网络设备(例如，服务器)中的进程，进程之间一般情况下是可以直接访问的；但是，对于部署在不同网络设备中的进程，为了安全起见，一般而言是不允许直接访问，需要在访问之间对其访问权限口进行检验若不满足访问权限，则阻止两个进程之间的互访，满足访问权限允许访问，以此来保证安全性。

技术实现思路

[0003]本申请实施例提供一种进程访问权限检验方法、装置、设备以及可读存储介质，该方法解决了对进程访问权限进行检验小号大量计算资源，进而降低目的进程所在网络设备工作性能的问题。
[0004]第一方面，本申请实施例提供一种进程访问权限检验方法，应用于第一网络设备，第一网络设备包括第一进程和第一开放虚拟交换机OvS，该方法包括：第一进程向第一OvS发送第一消息，第一消息为发送给第二进程的消息，第一消息包括第一IP地址和第二IP地址，第一IP地址为第一进程所在容器Pod的IP地址，第二IP地址为第二进程所在Pod的IP地址；第一OvS向企业安全组模块发送第一请求消息，第一请求消息用于请求企业安全组模块基于第一请求消息中的第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限；若根据企业安全组模块确定第一进程具有访问第二进程的权限，第一OvS向第二OvS发送第一消息，第二OvS为与第二进程部署在同一个网络设备上的OvS。
[0005]在本申请实施例中，在第一进程访问第二进程的情况下，第一进程会将发送给第二进程的第一消息发送给与第一进程在相同网络设备上的第一开放虚拟交换机，再由第一开放虚拟交换机与企业安全组进行通信，请求企业安全组模块对第一进程访问第二进程的权限进行核查。若企业安全组模块确定第一进程具备访问第二进程的权限，企业安全组模块可以向第一开放虚拟交换机发送提示消息。第一开放虚拟交换机根据企业安全组模块发送的提示消息转发第一消息(若第一进程和第二进程部署在不同网络设备，第一开放虚拟交换机将第一消息转发给下一条路由器/交换机，由路由器/交换机根据转发规则/路由规则转发第一消息，最后，发送给与第二进程所处同一网络设备的第二开放虚拟交换机；若第一进程和第二进程部署在同一网络设备上，第一开放虚拟交换机直接将第一消息发送给第二进程)，从而实现第一进程对第二进程的访问。
[0006]相较于传统的由目的进程所在的网络设备通过检测源进程发送的第一消息来检测源进程是否具备访问目的进程的权限，本申请实施例通过引入企业安全组模块对进程之
间的访问权限进行检测，避免了因目的进程的网络设备在短时间内接收大量源进程发送的第一消息，从而根据每条第一消息对源进程进行访问权限的检验，消耗目的进程所在网络设备的大量计算资源，进而影响目的进程所在网络设备的工作性能问题。
[0007]结合第一方面，在一种可能实现的方式中，向第二OvS发送第一消息之前，还包括：接收来自企业安全组模块的第一提示消息；若第一提示消息中的第一信息为第一标识，确定第一进程具备访问第二进程的权限；若第一提示消息中的第一信息为第二标识，确定第一进程不具备访问第二进程的权限。
[0008]第二方面，本申请实施例提供一种进程访问权限检验方法，其特征在于，包括：接收来自第一OvS的第一请求消息，第一请求消息包括第一IP地址和第二IP地址，第一IP地址为第一进程所在Pod的IP地址，第二IP地址为第二进程所在Pod的IP地址；根据第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限；向第一OvS发送第一提示消息，第一提示消息中的第一信息用于指示第一进程是否具有访问第二进程的权限。
[0009]结合第二方面，在一种可能实现的方式中，向第一OvS发送第一提示消息之后，还包括：接收来自第二OvS的第二请求消息，第二请求消息包括第一IP地址和第二IP地址；根据第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限；向第二OvS发送第二提示消息，第二提示消息中的第一信息用于指示第一进程是否具有访问第二进程的权限。
[0010]结合第二方面，在一种可能实现的方式中，根据第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限，具体包括：调用进程访问规则信息，进程访问规则信息包括多个IP地址组，每个IP地址组中的源进程所在Pod的IP地址指向目的进程所在Pod的IP地址；若在进程访问规则信息中不存在第一IP地址指向第二IP地址的IP地址组，确定第一进程不具备访问第二进程的权限；若在进程访问规则信息中存在第一IP地址指向第二IP地址的IP地址组，确定第一进程具备访问第二进程的权限。
[0011]结合第二方面，在一种可能实现的方式中，接收来自第二OvS的第二请求消息之前，还包括：接收来自数据库操作模块的第一写入请求消息，第一写入请求消息用于请求写入第二进程的进程访问规则信息；在内存中写入第一写入请求消息中第二进程的进程访问规则信息。
[0012]第三方面，本申请实施例提供一种进程访问权限检验方法，其特征在于，应用于第二网络设备，第二网络设备包括第二进程和第二OvS，方法包括：第二OvS接收来自第一OvS的第一消息，第一消息为第一进程发送给第二进程的消息，第一消息包括第一IP地址和第二IP地址，第一IP地址为第一进程所在容器Pod的IP地址，第二IP地址为第二进程所在Pod的IP地址；第二OvS向企业安全组模块发送第二请求消息，第二请求消息用于请求企业安全组模块基于第二请求消息中的第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限；若根据企业安全组模块确定第一进程具有访问第二进程的权限，第二OvS向第二进程发送第一消息。
[0013]第四方面，本申请实施例提供一种进程访问权限检验装置，该装置包括：
[0014]第一发送单元，用于向第一OvS发送第一消息；
[0015]第二发送单元，用于向企业安全组模块发送第一请求消息；
[0016]第三发送单元，用于向第二OvS发送第一消息。
[0017]结合第四方面，在一种可能实现的方式中，该装置还包括：
[0018]第一接收单元，用于接收来自企业安全组模块的第一提示消息；
[0019]第一确定单元，用于根据第一提示消息中的第一信息确定第一进程是否具备访问第二进程的权限。
[0020]第五方面，本申请实施例提供一种进程访问权限检验装置，该装置还包括：
[0021]第二接收单元，用于接收来自第一OvS的第一请求消息；
[0022]第一检测单元，用于根据第一IP地址和第二IP地址检测第一进程是否有访问第二进程的权限；
[0023]第四发送单元，用于向第一OvS发送第一提示消息。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种进程访问权限检验方法，其特征在于，应用于第一网络设备，所述第一网络设备包括第一进程和第一开放虚拟交换机OvS，所述方法包括：所述第一进程向所述第一OvS发送第一消息，所述第一消息为发送给第二进程的消息，所述第一消息包括第一IP地址和第二IP地址，所述第一IP地址为所述第一进程所在容器Pod的IP地址，所述第二IP地址为所述第二进程所在Pod的IP地址；所述第一OvS向企业安全组模块发送第一请求消息，所述第一请求消息用于请求所述企业安全组模块基于所述第一请求消息中的所述第一IP地址和所述第二IP地址检测所述第一进程是否有访问所述第二进程的权限；若根据所述企业安全组模块确定所述第一进程具有访问所述第二进程的权限，所述第一OvS向第二OvS发送所述第一消息，所述第二OvS为与所述第二进程部署在同一个网络设备上的OvS。2.如权利要求1所述的方法，其特征在于，所述向第二OvS发送所述第一消息之前，还包括：接收来自所述企业安全组模块的第一提示消息；若所述第一提示消息中的第一信息为第一标识，确定所述第一进程具备访问所述第二进程的权限；若所述第一提示消息中的第一信息为第二标识，确定所述第一进程不具备访问所述第二进程的权限。3.一种进程访问权限检验方法，其特征在于，包括：接收来自第一OvS的第一请求消息，所述第一请求消息包括第一IP地址和第二IP地址，所述第一IP地址为所述第一进程所在Pod的IP地址，所述第二IP地址为所述第二进程所在Pod的IP地址；根据所述第一IP地址和所述第二IP地址检测所述第一进程是否有访问所述第二进程的权限；向所述第一OvS发送第一提示消息，所述第一提示消息中的第一信息用于指示所述第一进程是否具有访问所述第二进程的权限。4.如权利要求3所述的方法，其特征在于，所述向所述第一OvS发送第一提示消息之后，还包括：接收来自第二OvS的第二请求消息，所述第二请求消息包括所述第一IP地址和所述第二IP地址；根据所述第一IP地址和所述第二IP地址检测所述第一进程是否有访问所述第二进程的权限；向所述第二OvS发送第二提示消息，所述第二提示消息中的第一信息用于指示所述第一进程是否具有访问所述第二进程的权限。5.如权利要求3
‑
4任一项所述的方法，其特征在于，所述根据所述第一IP地址和所述第二IP地址检测所述第一进程是否有访问所述第二进程的权限，具体包括：调用进...

【专利技术属性】
技术研发人员：胡东旭，陈存利，
申请(专利权)人：度小满科技北京有限公司，
类型：发明
国别省市：