一种基于拟态构造的分布式存储构建方法与流程

本发明涉及分布式存储技术领域，特别是涉及一种基于拟态构造的分布式存储构建方法。

背景技术：

传统的分布式存储侧重点都在于分布式存储的功能性，而对其安全性主要依赖于传统的安全防护手段，如防火墙之类。传统分布式存储缺乏内生的安全性能。

技术实现要素：

本发明针对现有技术存在的问题和不足，提供一种基于拟态构造的分布式存储构建方法。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供一种基于拟态构造的分布式存储构建方法，其特点在于，其包括以下步骤：

s1、存储驱动模块接收用户请求信息，将其封装转换后发给后端的分发器；

s2、分发器接收用户请求信息并对其进行预处理，根据分发规则将预处理后的用户请求信息同时发送给异构执行体组中的多个处于活跃状态的异构元数据服务执行体，分发器按需向负反馈调度单元上报自身状态和业务信息；

s3、处于活跃状态的异构元数据服务执行体接收到分发器转发来的用户请求信息，进行相应的请求处理操作，并将处理结果发送至裁决器，异构元数据服务执行体按需向负反馈调度单元上报自身状态和负载信息；

s4、裁决器接收到各异构元数据服务执行体发来的处理结果信息，并根据请求来源将处理结果信息进行归类，对同一请求来源的多个处理结果信息进行一致性表决，并将表决后的结果信息经过适当处理后发送给存储驱动模块，裁决器根据裁决结果向负反馈调度单元上报各个异构执行体裁决异常信息，裁决器按需向负反馈调度单元上报自身状态和裁决信息；

s5、存储驱动模块收到裁决器表决后生成的结果信息后，返回用户结果信息给用户。

较佳地，在步骤s5中，存储驱动模块在请求超过指定时间未收到回复，则向用户报告超时错误。

较佳地，在步骤s2中，分发规则和活跃执行体清单由负反馈调度单元按需推送给分发器。

较佳地，在步骤s4中，具体的表决策略和算法由负反馈调度单元按需推送至裁决器。

较佳地，负反馈调度单元根据所接收到的各类信息进行综合分析判断，向分发器下发命令调整分发策略、向裁决器下发命令调整裁决策略、向异构元数据服务执行体下发命令调整异构元数据服务执行体的状态。

较佳地，向分发器下发命令调整分发策略包括停止向其中某些元数据服务执行体分发用户请求，向新上线的元数据服务执行体分发用户请求，限制某些地址的存储驱动程序在单位时间内的请求数量；

调整异构元数据服务执行体的状态包括下线元数据服务执行体、上线元数据服务执行体、清洗元数据服务执行体。

较佳地，发生裁决异常即多路执行体返回结果不一致后，后继处理过程如下：

裁决器处理此次请求后，向负反馈调度单元上报此次处理结果，此次处理结果包括产生异常信息的异构元数据执行体信息和产生正常信息的异构元数据执行体信息；

负反馈调度单元根据所接收到的各类信息进行综合分析判断，向分发器下发命令调整分发策略、向裁决器下发命令调整裁决策略、向异构元数据服务执行体下发命令调整异构元数据服务执行体的状态；

分发器接收到负反馈调度单元下发的信息，更新自身分发策略，不再分发请求给收到攻击生效的异构元数据服务执行体，分发请求给新上线异构元数据服务执行体；

由负反馈调度单元产生调度，移除异常执行体，清洗异常执行体，待其清洗完毕后，加入备用执行体队列；

裁决器收到负反馈调度单元下发策略，更新自身裁决信息，接收新上线异构元数据服务执行体处理结果信息，不再接收被移除的异构元数据服务执行体处理结果信息。

在符合本领域常识的基础上，上述各优选条件，可任意组合，即得本发明各较佳实例。

本发明的积极进步效果在于：

本发明采用拟态构造的方法构建一种新的分布式存储，基于拟态构造的分布式存储具有内生安全特性，可以有效抵御基于漏洞或后门的攻击，基于拟态构造的分布式存储在保证安全性的前提下兼容传统分布式存储的所有核心功能，满足用户对分布式存储的功能需求。

附图说明

图1为本发明较佳实施例的基于拟态构造的分布式存储构建框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本实施例提供一种基于拟态构造的分布式存储构建方法。

正常访问请求：

步骤101、用户访问本地存储(经过存储驱动模块转换)，包括但不限于创建文件、删除文件、查看文件、创建目录、删除目录、查看目录、创建块、删除块、查看块、查看用户自身在分布式存储可用存储空间、用户自身访问权限。

步骤102、存储驱动模块接收用户请求信息，将其封装转换后采用基于udp协议的分布式存储协议发给后端的分发器。存储驱动程序可以同时异步并发处理多个用户请求信息。

步骤103、分发器接收用户请求信息并对其进行预处理，根据分发规则将预处理(根据黑白名单过滤，并记录过滤日志)后的用户请求信息同时发送给异构执行体组中的多个处于活跃状态的异构元数据服务执行体，分发器按需向负反馈调度单元上报自身状态和业务信息；分发规则和活跃执行体清单由负反馈调度单元按需推送给分发器。

步骤104、处于活跃状态的异构元数据服务执行体接收到分发器转发来的用户请求信息，进行相应的请求处理操作，并将处理结果发送至裁决器，处于活跃状态的异构元数据服务执行体按需向负反馈调度单元上报自身状态和负载信息。

步骤105、裁决器接收到各异构元数据服务执行体发来的处理结果信息，并根据请求来源将处理结果信息进行归类，对同一请求来源的多个处理结果信息进行一致性表决，并将表决后的结果信息经过适当处理后发送给存储驱动模块，裁决器根据裁决结果向负反馈调度单元上报各个异构执行体裁决异常信息，裁决器按需向负反馈调度单元上报自身状态和裁决信息；具体的表决策略和算法由负反馈调度单元按需推送至裁决器。

步骤106、存储驱动模块收到裁决器表决后生成的结果信息后，返回用户结果信息给用户。若存储驱动模块在请求超过指定时间未收到回复，则向用户报告超时错误。

步骤107、一次正常的用户访问请求结束。

在上述流程中，负反馈调度单元根据所接收到的各类信息进行综合分析判断，向分发器下发命令调整分发策略(包括停止向其中某些元数据服务执行体分发用户请求，向新上线的元数据服务执行体分发用户请求，限制某些地址的存储驱动程序在单位时间内的请求数量)、向裁决器下发命令调整裁决策略、向异构元数据服务执行体下发命令调整异构元数据服务执行体的状态(包括下线元数据服务执行体、上线元数据服务执行体、清洗元数据服务执行体)。

异常访问请求：

步骤201、存储驱动模块接收用户端攻击请求信息，封装转发到分发器。

步骤202、分发器接收存储驱动模块发送的攻击请求信息并对其进行预处理，根据分发规则将预处理(根据黑白名单过滤，并记录过滤日志)后的攻击请求信息发送给多个处于活跃状态的异构元数据服务执行体。同时，分发器按需向负反馈调度单元上报自身状态和业务信息。

步骤203、异构元数据服务执行体接收到分发器转发来的攻击请求信息，进行相应的请求处理操作。如果此次攻击请求在此异构体系执行体生效产生异常输出，则产生异常结果信息发送至裁决器。如果此次攻击造成此异构体系执行体崩溃，则此执行体无法产生任何输出。注：由于执行体的多层次异构性，一次攻击通常只能对一个执行体生效。

步骤204、裁决器接收各异构元数据服务执行体发来的处理结果信息，并在一定时限内等待正在工作的所有异构元数据服务执行体的处理结果信息。如果一定时限内未收到元数据服务执行体发送的信息，则认为此执行体异常。裁决器根据多个异构元数据服务执行体产生的信息进行表决，向存储驱动返回表决后的结果。(由于通常一次攻击只能对一个执行体生效，经过裁决后，该攻击生效信息会被丢弃。所以此次攻击生效产生的信息无法返回给存储驱动模块，在表决过程中攻击生效信息被否决)。

步骤205、存储驱动端收到裁决器表决后生成的结果信息后，返回给用户结果信息。若请求超过指定时间未收到回复，则向用户报告超时错误。

步骤206、一次异常攻击请求结束。

发生裁决异常(多路执行体返回结果不一致)后，后继处理过程如下：

1、裁决器处理此次请求后，向负反馈调度单元上报此次处理结果。包括产生异常信息的异构元数据执行体信息和产生正常信息的异构元数据执行体信息。裁决器接收各异构元数据服务执行体发来的处理结果信息

2、负反馈调度单元根据所接收到的各类信息进行综合分析判断，在必要时向分发器下发命令调整分发策略(包括停止向其中某些元数据服务执行体分发用户请求，向新上线的元数据服务执行体分发用户请求，限制某些地址的存储驱动程序在单位时间内的请求数量)、向裁决器下发命令调整裁决策略、向异构元数据服务执行体下发命令调整异构元数据服务执行体的状态(包括但不限于下线元数据服务执行体，上线元数据服务执行体，清洗元数据服务执行体)。

3、分发器接收到负反馈调度单元下发的信息，更新自身分发策略。不再分发请求给异常异构执行体(被成功攻击的执行体)，分发请求给新上线执行体。

4、由负反馈调度单元产生调度，移除异常执行体，清洗异常执行体，待其清洗完毕后，加入备用执行体队列。

5、裁决器收到负反馈调度单元下发策略，更新自身裁决信息，接收新上线异构元数据服务执行体处理结果信息，不再接收被移除的异构元数据服务执行体处理结果信息。

本发明提高了分布式存储的安全性，可有效防御基于漏洞和后门的攻击，所提供的安全效应不依赖于先验知识和其他安全手段，因此能够比其它防御机制提供更强大的安全防御能力，以此对系统实施更高等级的安全防护。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。