具有拟态防御特性的网络存储系统及方法与流程

[0001]
本发明涉及计算机信息安全领域，具体涉及了一种具有拟态防御特性的网络存储系统及方法。


背景技术：

[0002]
网络存储(network storage)是数据存储的一种方式，包括存储器件和内嵌系统软件，可提供跨平台文件共享功能。允许用户在网络上存取数据，在这种配置中，网络存储集中管理和处理网络上的所有数据，该存储方式使网络存储的安全性面临很大挑战。由于目前网络存储大多采用单一、静态的存储架构，使得外部攻击在这种情况下很容易接入系统，篡改、窃取存储数据。


技术实现要素：

[0003]
本发明的目的在于至少解决现有技术中存在的技术问题之一，提供了一种具有拟态防御特性的网络存储系统及方法，解决了由于单一、静态存储架构易被外部网络攻破从而失去安全性的问题。
[0004]
本发明的技术方案包括一种具有拟态防御特性的网络存储系统，其特征在于，该系统包括元数据服务器、数据服务器、仲裁器及客户端；所述客户端用于运行时产生请求和/或文件，其中文件包括文件管理信息及文件数据，所述客户端包括：对已存在的文件进行读取，请求所述元数据服务器解析文件路径名，获得文件的元数据；对新文件进行创建，通过请求向所述元数据服务器创建文件的所述管理信息，并获得文件的所述元数据；根据所述元数据和读写确定数据块在文件中的位置，计算所述数据块所在的所述数据服务器及存储位置，向所述数据服务器发出数据块的读写请求；多个所述元数据服务器用于通过分布式存储方式存储所述文件管理信息；多个所述数据服务器用于通过分布式存储方式存储所述文件数据,所述数据服务器用于将接收的文件数据进行加密及切分片段处理，将文件数据的片段存储于多个不同的数据服务器；所述仲裁器用于将所述请求发送至多个所述元数据服务器进行处理，并根据多个所述元数据服务器的返回结果，选取合规结果返回至客户端；所述仲裁器还包括：用于对客户端的文件数据和/或请求进行异常检测，当检测到异常行为时触发后台处理机制，其中后台处理机制包括数据清洗及告警。
[0005]
根据所述的具有拟态防御特性的网络存储系统，其中该系统还包括：所述元数据服务器及所述服务器分别被配置为独立的计算机系统，所述计算机系统包括多种不同类型的硬件平台、操作系统、本地文件系统、管理程序及虚拟化软件，每个所述计算机系统的所述硬件平台、所述操作系统、所述本地文件系统、所述管理程序及所述虚拟化软件可自定义配置。
[0006]
根据所述的具有拟态防御特性的网络存储系统，其中文件管理信息包括数据块的索引及目录。
[0007]
根据所述的具有拟态防御特性的网络存储系统，其中仲裁器包括：用于将所述客
户端的请求转发给至少三个所述元数据服务器，获取元数据服务器各自独立工作后的处理结果，对所述元数据服务器的处理结果进行拟态裁决，并从所述拟态裁决中选择一个合规结果返回给客户端。
[0008]
根据所述的具有拟态防御特性的网络存储系统，其中网络存储系统被配置为基于dhr架构的分布式存储系统。
[0009]
本发明的技术方案还包括一种具有拟态防御特性的网络存储方法，其特征在于，该方法包括：获取客户端运行时产生的请求和/或文件，文件包括文件管理信息及文件数据；对已存在的文件进行读取，请求元数据服务器解析文件路径名，获得文件的元数据；对新文件进行创建，通过请求向元数据服务器创建文件的管理信息，并获得文件的元数据；根据元数据和读写确定数据块在文件中的位置，计算数据块所在的数据服务器及存储位置，向数据服务器发出数据块的读写请求；通过多个元数据服务器以分布式方式存储文件管理信息；通过多个数据服务器以分布式方式存储文件数据；将接收的文件数据进行加密及切分片段处理，将文件数据的片段存储于多个不同的数据服务器；通过仲裁器将请求发送至多个元数据服务器进行处理，并根据多个元数据服务器的返回结果，选取合规结果返回至客户端，对客户端的文件数据和/或请求进行异常检测，当检测到异常行为时触发后台处理机制，其中后台处理机制包括数据清洗及告警。
[0010]
本发明的有益效果为：本发明的技术方案将网络存储的元数据服务器、数据服务器核心功能分开，同时在元数据处理层进行拟态化处理，在访问数据的第一层引入拟态防御机制，使得外部攻击不会直接接触到数据存储服务器，从而可以有效抵御外部攻击，解决了由于单一、静态存储架构易被外部网络攻破从而失去安全性的问题。
附图说明
[0011]
下面结合附图和实施例对本发明进一步地说明；
[0012]
图1所示为根据本发明实施方式的系统总体结构框图；
[0013]
图2所示为根据本发明实施方式的拟态裁决流程图；
[0014]
图3所示为根据本发明实施方式的整体流程图。
具体实施方式
[0015]
本部分将详细描述本发明的具体实施例，本发明之较佳实施例在附图中示出，附图的作用在于用图形补充说明书文字部分的描述，使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案，但其不能理解为对本发明保护范围的限制。
[0016]
在本发明的描述中，若干的含义是一个或者多个，多个的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。
[0017]
在本发明的描述中，对方法步骤的连续标号是为了方便审查和理解，结合本发明的整体技术方案以及各个步骤之间的逻辑关系，调整步骤之间的实施顺序并不会影响本发明技术方案所达到的技术效果。
[0018]
本发明的描述中，除非另有明确的限定，设置等词语应做广义理解，所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
[0019]
图1所示为根据本发明实施方式的系统总体结构框图，该系统包括元数据服务器、
数据服务器、仲裁器及客户端；客户端用于运行时产生请求和/或文件，其中文件包括文件管理信息及文件数据，客户端包括：对已存在的文件进行读取，请求元数据服务器解析文件路径名，获得文件的元数据；对新文件进行创建，通过请求向元数据服务器创建文件的管理信息，并获得文件的元数据；根据元数据和读写确定数据块在文件中的位置，计算数据块所在的数据服务器及存储位置，向数据服务器发出数据块的读写请求；多个元数据服务器用于通过分布式存储方式存储文件管理信息；多个数据服务器用于通过分布式存储方式存储文件数据,数据服务器用于将接收的文件数据进行加密及切分片段处理，将文件数据的片段存储于多个不同的数据服务器；仲裁器用于将请求发送至多个元数据服务器进行处理，并根据多个元数据服务器的返回结果，选取合规结果返回至客户端；仲裁器还包括：用于对客户端的文件数据和/或请求进行异常检测，当检测到异常行为时触发后台处理机制，其中后台处理机制包括数据清洗及告警。
[0020]
元数据服务器和数据服务器都是独立的计算处理系统，其中包含硬件平台、操作系统、本地文件系统、管理程序、虚拟化软件等。系统的硬件平台可以选用intel、arm、龙芯等多种型号的处理器，增加vmware、kvm等虚拟机监控器，从而可以将一台物理机硬件平台转化为多台虚拟机。每台虚拟机中可以安装centos、kylin、uos等操作系统，并可以支持ext4、xfs、ufs、zfs等文件系统，因而元数据服务器和数据服务器可以有多种组合方式，大大提升了系统的异构性。
[0021]
图2所示为根据本发明实施方式的拟态裁决流程图，具体包括：元数据服务器用于管理整个网络存储系统中的元数据，包括文件控制块inode(索引)、目录数等。数据服务器用于存储文件数据的片段。客户端生成的文件分别存储在元数据服务器和数据服务器中，其中文件的管理信息存储在元数据服务器中，文件数据被策略性的加密或者切分成片段，分别存储在不同的数据服务器中。系统中的元数据服务器至少应有三台功能等价异构服务器组成(也可以使虚拟形态的服务器)。仲裁器将来自客户端的请求转发给至少三台元数据服务器。元数据服务器各自独立工作，将处理结果分别返还给仲裁器。仲裁器对元数据服务器的处理结果进行拟态裁决，从中选择一个合规结果返回给客户端。仲裁器还可以在发现异常的元数据服务器或异常行为时触发后台处理机制(数据清洗或告警)。
[0022]
图3所示为根据本发明实施方式的整体流程图。其具体如下：在操作已存在的文件之前(如读写已存在的数据)，客户端必须先请求元数据服务器解析文件路径名，以便获得文件的元数据(控制信息)。在创建文件之时，客户端也需要先请求元数据服务器创建文件的管理结构(如inode(索引)，并将其插入指定的目录中)并获得文件的元数据。在获得文件元数据之后，客户端根据元数据和读写的数据块在文件中的位置，算出数据块所在的数据服务器及其存储位置，然后直接向数据服务器发出数据块的读写请求，从而将数据块从系统中读出或将数据块写入系统。
[0023]
上面结合附图对本发明实施例作了详细说明，但是本发明不限于上述实施例，在技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。