CN110177084B

CN110177084B - 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构

Info

Publication number: CN110177084B
Application number: CN201910344751.8A
Authority: CN
Inventors: 张帆; 郭威; 邬江兴; 谢光伟; 宋克; 魏帅; 张文建
Original assignee: Shanghai Hongzhen Information Science & Technology Co ltd
Current assignee: Shanghai Hongzhen Information Science & Technology Co ltd
Priority date: 2019-04-04
Filing date: 2019-04-26
Publication date: 2022-04-22
Anticipated expiration: 2039-04-26
Also published as: CN110177084A

Abstract

本发明涉及一种用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构，其中，该元服务结构包含：元服务集合，该元服务集合由多个不同异构构件构成的元服务异构等价体组成，每个元服务异构等价体作为元服务功能节点，提供等价的元服务功能执行体；元服务控制器，用于依据控制参数及反馈数据调整元服务结构，对元服务集合、输入代理器、输出裁决器进行调控；输入代理器，将接收的元服务请求复制并发送至目标元服务功能节点；输出裁决器，依据裁决策略对元服务功能执行体多路输出进行比对裁决，获取元服务响应。本发明通过构建服务功能等价的元服务异构执行环境防御基于漏洞和后门网络攻击，提升分布式存储系统安全可靠性。

Description

用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构

技术领域

本发明属于分布式存储系统安全技术领域，特别涉及一种用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构。

背景技术

为了满足云计算、大数据背景下的数据供应需求，存储系统正在由传统的集中式架构逐渐向分布式架构演进，这使得原有系统职能任务被拆分为元服务(数据组织，存储位置寻址，权限管理，节点管理等等)和数据服务(数据内容的读、写、删、改等等)两部分，分别由元服务节点和数据节点承载负责。

存储系统的安全一直以来都是被广泛关注的问题。在分布式存储系统中，元服务既是系统正常运转的基础，也是提供数据服务的前提，一旦元服务节点被攻击者入侵劫持或破坏，将会带来整个系统的数据泄露或服务瘫痪，因此元服务节点就成为了安全防护的重点目标。然而，当前网络空间安全领域的一个基本共识是，信息系统的软硬构件(硬件平台、操作系统、执行环境、软件程序等)中普遍存在漏洞和后门，它们是大多数网络攻击的发起根源和传播途径，以现有的防御技术很难做到穷尽修补与及时防范。因此，如何有效应对元服务节点上的漏洞和后门威胁，构建相对安全的运行环境，是当前分布式存储系统安全领域的核心技术难点。

发明内容

为此，本发明提供一种用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构，能够有效防御基于漏洞和后门的网络攻击，提升分布式存储系统安全性和可靠性。

按照本发明所提供的设计方案，一种用于防御网络攻击的分布式存储系统元服务结构，包含：元服务集合、元服务控制器、输入代理器及输出裁决器，其中，

元服务集合，该元服务集合由多个不同异构构件构成的元服务异构等价体组成，每个元服务异构等价体作为元服务功能节点，提供等价的元服务功能执行体；

元服务控制器，用于依据控制参数及反馈数据调整元服务结构，对元服务集合、输入代理器、输出裁决器进行调控；

输入代理器，用于将接收的元服务请求复制并发送至目标元服务功能节点，该目标元服务功能节点由元服务控制器依据控制参数和反馈数据在元服务集合中选取的元服务异构等价体组成；

输出裁决器，用于依据裁决策略对元服务功能执行体多路输出进行比对裁决，获取元服务响应。

上述的，依据软硬件生态多样性构建服务功能等价的元服务异构执行环境来获取元服务异构等价体，元服务异构等价体之间相互隔离并在各自独立的执行空间中执行。

上述的，每个元服务异构等价体设置有执行状态、等待状态、下线清洗状态和/或同步状态，由元服务控制器对元服务异构等价体状态进行调控。

上述的，元服务控制器通过设置目标元服务节点列表并通过调控该目标元服务节点列表来维护元服务集合中元服务异构等价体状态。

一种用于防御网络攻击的分布式存储系统元服务结构构建方法，包含如下内容：

输入代理器将接收到的元服务请求进行复制，并发送至元服务控制器选取的目标元服务异构等价体中；

收到元服务请求的目标元服务异构等价体独立执行，并将由目标元服务异构等价体各自执行数据组成的多路响应结果传输至输出裁决器中；

输出裁决器依据设定裁决策略确定元服务响应，并依据多路响应结果获取异常数据，反馈至元服务控制器；

元服务控制器根据设定控制参数和反馈数据对目标元服务异构等价体、元服务集合节点状态及裁决策略进行调整，以确保元服务结构对外服务期间的安全性和鲁棒性。

上述的方法中，元服务集合中各元服务异构等价体节点设定至少包含执行状态、等待状态、下线清洗状态和同步状态，由元服务控制器对元服务异构等价体节点状态进行调控。

上述的方法中，输出裁决器依据设定裁决策略对多路响应结果进行比对裁决，比对结果正常即为一致性输出，比对结果异常则根据当前策略选取可信度高结果输出，将输出作为元服务响应发送至元服务请求节点，并将裁决情况形成反馈参数上报给元服务控制器。

上述的方法中，元服务控制器根据反馈参数中比对裁决的正常和异常情况，确定元服务结构下一步状态，调度异常元服务异构等价体下线进行清洗还原，从元服务集合中选取异构等价体上线执行。

上述的方法中，元服务控制器中设定的控制参数包含触发控制条件、调控时间间隔及调控决策；通过控制参数设定不定时随机主动触发调度过程，使元服务结构对外呈现出不确定性，扰乱攻击过程实施。

一种分布式存储系统架构，包含：客户端，服务端和数据节点，其中，

客户端，用于根据系统协议与服务端和数据节点进行交互；

数据节点，用于承载用户数据业务节点，与客户端交互传输用户数据，与服务端交互系统运转数据；

服务端，基于上述的分布式存储系统元服务结构实现元信息服务功能。

本发明的有益效果：

1、本发明通过软硬件生态的多样性构建出服务功能等价的元服务异构执行环境，使其拥有对漏洞、后门的防御基础，以冗余工作模式和非配合条件下的裁决机制赋予元服务结构高可靠、高安全属性；引入反馈和动态调度机制阻断和扰乱攻击链，提升结构的不可预测性，从而进一步增加攻击实施的难度；元服务结构能够有效抵御基于漏洞和后门发起的网络攻击，使其承载的核心信息与业务功能被窃取、篡改和破坏的成功率大大降低，最终达到提升整个分布式存储系统安全性的目的，使得面临安全威胁时，能更好保证分布式存储系统的鲁棒性和弹性，提高系统防御能力的主动性、变化性和随机性。

2、本发明中分布式存储系统中具有异构等价执行环境的条件下，由异构构件组成的执行体间能够有效利用的漏洞和后门具有差异性，不同执行体对同一攻击激励给出的响应结果也会存在差异，因此在非配合条件下实施的攻击很难使得全部元服务执行体输出一致的攻击响应结果；这样一来，一旦攻击过程中某次不一致输出触发了输出裁决器的告警，该异常行为将会被系统感知、阻断并反馈给元服务控制器，元服务控制器的下线清洗和动态调度机制在斩断攻击链的同时，能够使元服务结构呈现出视在不确定性，从而扰乱攻击者的探测和渗透过程；本发明中元服务结构产生的安全效应不依赖于先验知识和其他安全手段，能够配合分布式存储系统其他防御机制和方法获得更高的安全性提升，以此对系统实施更高等级的安全防护。

附图说明：

图1为实施例中元服务结构示意图；

图2为实施例中元服务结构构建方法示意图；

图3为实施例中分布式存储系统架构示意图。

具体实施方式：

下面结合附图和技术方案对本发明作进一步清楚、完整的说明，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

参见图1所示，本发明实施例提供一种用于防御网络攻击的分布式存储系统元服务结构，包含：元服务集合、元服务控制器、输入代理器及输出裁决器，其中，

元服务集合中的各个异构等价体与输入代理器，输出裁决器和元服务控制器相连接，元服务控制器还与输入代理器和输出裁决器分别相连。元服务结构中，由输入代理器接收外界元服务请求消息，经过结构内部的处理流程由输出裁决器进行元服务响应，元服务控制器所实施的控制策略可通过外部控制参数进行调整。元服务结构内部，元服务集合中的元服务异构等价体与输入代理器间的连接用于传输请求消息，与输出裁决器间的连接用于传输处理结果。元服务控制器与输入代理器、元数据集合、输出裁决器的连接用于传输控制信号，输出裁决器也能通过该连接向元服务控制器上报反馈参数信号。裁决策略设定由元服务控制器或系统初始设定或人为等根据使用环境场合需求进行预先设定。

元服务异构等价体：提供元服务功能的节点，各个节点的服务功能是等价的，但由不同的异构构件组成。等价是指在相同的元服务功能请求的激励下，处理响应的结果是一致的(一致并非一定完全相同，可能存在符合功能预期的不同情况)。本发明另一个实施例中，依据软硬件生态多样性构建服务功能等价的元服务异构执行环境来获取元服务异构等价体，元服务异构等价体之间相互隔离并在各自独立的执行空间中执行。所述异构构件组成的理想效果为，在非元服务功能的请求激励下，处理响应的结果是两两不一致的。元服务集合：由元服务异构等价体组成的集合，包含的节点数量应当大于等于两个。优选的，每个元服务异构等价体设置有执行状态、等待状态、下线清洗状态和/或同步状态，根据实际使用场合进行状态设定，可能不包含也不限于这些状态，由元服务控制器对元服务异构等价体状态进行调控。其中，处于执行状态的节点子集称为异构等价的元服务执行体集合，简称执行体集合。执行体集合中的节点数量应当大于等于二，否则结构运行时不具有安全效应。输入代理器：将元服务请求复制并发送至元服务集合中的相应节点上，发送目标由元服务控制器进行调控。输出裁决器：根据所加载的策略对执行体集合中的多路输出结果进行比对和裁决，产生元服务响应，策略可以由元服务控制器进行调控。元服务控制器：根据控制参数和输出裁决器上报的反馈参数计算下一步元服务结构，进而对输入代理器、元服务集合中的节点、以及输出裁决器实施调控。控制参数：辅助元服务控制器对元服务结构进行调控的参数，可能但不限于包含触发控制的条件、时间间隔、决策参数等等。控制参数可以初始设定，也可以通过人为或额外的部件进行变更。元服务请求：包括服务端内部数据节点的请求(内部元服务请求)和外部客户端的请求(外部元服务请求)。内部元服务请求通常包括但不限于注册、心跳、节点与数据状态上报、以及功能所需的元数据请求等等；外部元服务请求通常包括但不限于数据操作和系统查询所需的元数据请求，以及面向管理员用户的存储系统管理配置请求等等。元服务响应：对应元服务请求的内容，元服务响应可以分为内部元服务响应和外部元服务响应。其中，内部元服务响应通常是对数据节点的上报信息进行确认，下发管理操作命令，为其提供功能所需的元数据信息等等；外部元服务响应通常返回数据操作所需的元数据信息，以及管理配置的处理结果等等。

上述的，元服务控制器通过设置目标元服务节点列表并通过调控该目标元服务节点列表来维护元服务集合中元服务异构等价体状态。目标元服务节点列表即上述中的元服务执行体集合。元服务控制器维护状态过程中除了设置和调控目标列表，另外还需要根据应用需求对异构等价体发送相应的操作指令等以确保元服务结构的安全性和鲁棒性等性能。

基于上述的元服务结构，本发明实施例还提供一种用于防御网络攻击的分布式存储系统元服务结构构建方法，参见图2所示，包含如下内容：

上述的方法中，元服务集合中各元服务异构等价体节点设定包含执行状态、等待状态、下线清洗状态和/或同步状态，由元服务控制器对元服务异构等价体节点状态进行调控。

消息交互过程中，首先，结构中的各部件正常启动，元服务控制器根据初始设定参数，控制输入代理器加载初始目标列表，元服务集合各节点进入相应状态，输出裁决器加载初始比对裁决策略。输入代理器收到元服务请求，根据目标列表将请求消息复制转发至元服务节点上执行体集合成功接收元服务请求消息后，各自进行独立处理，产生的多路处理结果发送至输出裁决器中。输出裁决器对多路处理结果进行比对裁决，比对结果正常即为一致性输出，比对结果异常则根据当前策略选取可信度高的结果输出，产生的元服务响应输出发送至请求节点，并将裁决情况形成反馈参数上报给元服务控制器。元服务控制器根据反馈参数得知比对裁决的正常和异常情况，根据内部逻辑计算出元服务结构的下一步状态，从而调度异常的执行体下线进行清洗还原，选取热备的异构等价体上线执行，从而阻断攻击过程。可选的，元服务控制器还可以不定时的主动触发调度过程，使元服务结构对外呈现出不确定性，扰乱攻击过程的实施。元服务控制器依据下一步状态，调整输入代理器的目标列表、元服务集群内的节点状态、以及输出裁决器中加载的策略。循环上述步骤内容，对外提供元服务功能；通过上述的消息交互过程，实现既定元服务功能，并保证交互过程中安全属性。

元服务集合中的异构等价体是实现元服务功能的载体。理想情况下，由于组成构件的异构性和服务功能的等价性，各个节点间对于元服务请求的激励会得出一致性响应，对于非元服务功能请求的激励会得出不一致响应。由于基于漏洞和后门的网络攻击，在实施过程中向目标节点发送的消息属于非元服务功能的激励，通过输出裁决器对处理结果加以比对，就能够发现行为异常并采取相应的处理，从而产生了安全效应。然而，在现实非理想情况，各个元服务异构等价体间的非元服务功能可能会存在重叠，对于重叠部分发起的攻击激励也会得出一致的响应，从而实现“逃逸”。但基于以下几点：多个元服务异构等价体相比单个元服务节点而言，基于可利用的漏洞或埋设的后门实施攻击的难度远远增大；构件的多样性越丰富，构件间的异构性越大，则基于多个元服务异构等价体间重叠的漏洞和后门实施攻击的成功率会进一步降低；从网络攻击实施过程来说，需要进行嗅探、渗透、上传等多个步骤，只要其中某一步的交互过程没有从裁决控制器中逃逸，那么异常行为就会被发现并进行后续处理；在此基础上，元服务控制器可以根据控制参数不定时的对元服务集合中的执行体进行调度更换，使得前序攻击成果无法稳定保持。综上几点，即便是在现实非理想情况下，基于漏洞和后门的网络攻击要实现稳定的逃逸是极其困难的，元服务异构等价体仍然具备相当的安全效应。

元服务集合中的异构等价体具有执行、等待、下线清洗、同步等状态。执行状态的节点处理结果会发送到输出裁决器进行后续处理；等待状态的节点相当于热备节点，元服务控制器在调度时会将执行体集合的某些节点调出，并从热备节点中选择一个或多个进入执行状态；处于下线清洗的节点会重新还原至系统初始纯净状态，从而消除攻击过程的阶段性成果；清洗完成后的节点无法直接对外服务，需要对工作数据和内部状态进行同步后才能进入等待状态热备。元服务异构等价体的状态不限于也不一定全部包含以上几种情况，需要根据具体场景而定。元服务异构等价体的状态由元服务控制器进行调控。输入代理器负责接收元服务请求，并将请求复制并转发至元服务集合的目标节点上，包括执行体节点和等待状态节点，该目标列表由元服务控制器进行管理调控。输出裁决器负责将同一请求对应的多路执行体输出结果进行比对，裁决输出最终的元服务响应，并将比对裁决情况反馈给元服务控制器。其中，比对过程并不限于逐比特，逐字节的严格进行。根据系统交互协议的不同，元服务执行体的处理结果通常直接或经过编码由多个表示特定含义的字段组成。其中，部分字段在给定元服务请求的激励下响应结果完全相同，这类情况应该采取严格一致的比对策略；部分字段会出现精度差异(例如时钟类字段)，这类情况应该采取精度掩码辅助进行比对；部分字段在交互协议约束内会出现不同的正确结果，这类情况应该采用协议转义处理配合进行比对。实际实施过程不限于也不一定全部包含上述三种情况，需要根据应用场景进行差异化对待。且，裁决输出所面临的情况和处理方式有多种。当执行体集合给出一致的结果时，输出裁决器应取一致结果进行输出；当执行体集合给出的结果不一致时，可根据配置实施以下处理方式：(1)不输出；(2)随机选择一路结果；(3)选择多数一致结果；(4)配合可信权值选取可信度最高的结果；(5)多种混合方式。实施方式不限于上述处理方式，需要根据不同的安全级别和具体情况采取适当的配置。特别的，在一些特殊应用场合下，输出裁决器可以不进行比对，直接进行裁决输出。在保证功能正常的前提下，输出裁决器的比对方法和裁决输出方式可以由元服务控制器进行动态调整，从而增加元服务结构对外呈现的不确定性，提升实施攻击的难度。

元服务控制器根据控制参数与裁决的反馈参数，对输入代理器、元服务集合中的节点、以及输出裁决器实施控制。其中，控制参数可以是初始设定的，也可以根据系统需求由管理员或外部部件动态设定和调整。裁决的反馈参数包含执行体运行时间、比对一致和非一致次数、当前结构吞吐量等一般工作参数，以及比对不一致的现场信息、类型、执行体编号等比对异常参数。元服务控制器会根据上述信息计算更新元服务结构中各个部件的状态，体现在：元服务控制器会计算出下一步元服务集合中各个节点的状态，下发命令更新输入代理器的转发目标列表；元服务控制器会向元服务集合中的节点下发命令，通知涉及到状态变更的节点进行相应的工作，例如，执行体进入下线状态清洗，下线清洗完毕的节点进行同步，等待节点进入执行状态等等；元服务控制器会向输出裁决器下发最新的对比和裁决策略；元服务控制器的内部逻辑对元服务结构的安全性和稳定性起着至关重要的作用。

在安全性方面，当元服务控制器收到输出裁决器的异常反馈后，需要判断下一步调离执行体集合的目标，那么基于不同原则就可能产生不同的调度结果，如果无法选中异常节点调出处理，那么元服务结构在下一次调度前就会依然处于危险状态。针对异构执行体的漏洞和后门的请求，产生多数一致输出的概率将远小于多数不一致输出，因此取少数不一致执行体调出集合会是相对安全的原则。如果不一致执行体的数量无法区分出大小，那么需要综合对比裁决历史信息和执行体已经运行的时长，对其历史可信度和暴露风险值进一步评估确定调出集合的节点。在稳定性方面，元服务结构的每一次状态变更都需要相应的开销，特别是对元服务节点进行下线清洗和同步操作，都需要一定的时间才能完成。如果元服务控制器每次收到输出裁决器的异常反馈后都要触发调度操作，很可能由于调度过于频繁而使得无等待状态的节点可选，元服务结构将进入颠簸和不安全状态。因此，元服务控制器的内部逻辑需要选取合适的结构变更条件与时机。一次不一致输出并不意味着攻击已经成功实施，因此也不必即刻进行处理，那么通过设置合适的调度触发阈值和调度间隔变量能够在兼顾安全性的前提下有效保证元服务结构的稳定工作。

输入代理器在接受到元服务请求后，将该请求复制转发至目标列表指定的元服务异构等价体上，包括执行体节点和等待节点。执行体节点是当前提供元服务功能的主体，其处理结果需要进入输出裁决器比对裁决；等待节点需要保持实时热备状态，因此需要一同接收外界的元服务请求，从而保证与执行体的工作数据和内部状态同步。由于本实施例中裁决策略使用的是选择多数一致结果，因此发送列表中的执行体节点数为大于等于二的奇数，便于后续比对和裁决判定。等价异构的元服务执行体可以视为相互隔离的多个运行空间，在收到元服务请求后各自进行独立处理，产生的多路处理结果发送至输出裁决器中。执行体集合对正常服务功能会产生一致性结果，对异常的“缺陷功能”(漏洞)和“暗功能”(后门)，将大概率产生不一致结果。在收到执行体的结果后，输出裁决器将根据相应的策略对多路处理结果进行比对裁决，产生最终的元服务响应进行输出。比对可能出现的情况以及本实施例的裁决处理为：

(1)结果全部一致。判定各个执行体情况正常，将一致结果进行输出。

(2)半数以上的结果一致。判定少数执行体可能面临攻击威胁，将多数结果进行输出。

(3)半数以上的结果不一致，数量上可区分大小。判定数量较少的执行体可能面临攻击威胁，选取一致数量最多的子集结果进行输出。

(4)半数以上的结果不一致，数量上不能区分大小。无法判定执行体面临的威胁情况，采取随机选择一路结果的策略进行输出。

在完成比对和裁决后，输出裁决器将相关情况整理为反馈参数，上报给元服务控制器。根据外部控制参数指定的策略，结合输出裁决器上报的反馈参数，元服务控制器通过计算，得出两方面主要结论：第一是元服务结构的调度间隔变量，即下次进行调度的预期时间；第二是元服务结构的下一步状态，即下次调度后输入代理器的目标列表、元服务集合中各个节点的状态、输出裁决器的比对裁决策略的具体内容。在下次调度时刻前，元服务控制器会根据输出裁决器后续上报的反馈参数对这两方面进行不断的变更调整，直到满足调度触发阈值或调度间隔变量的条件后，对元服务结构开始实施变更。元服务结构始终保持着图2中101～104的流程工作运转，需要说明的是，103中的判定规则可能存在逃逸情况，即(1)、(2)中一致或多数一致的结果，或(3)、(4)中选取的结果为攻击响应时。另外，104中的调度规则也无法做到精准的选出所有异常执行体下线清洗，特别是在步骤103发生3、4情况时，对于异常节点的判定难度较大。对于这些问题，

第一，对于可能存在逃逸情况中选取的为一致或多数一致的结果时，本身就是个小概率事件。攻击过程的请求处于多数或者全部执行体非元服务功能的重叠部分，对于漏洞来说，要求执行体的异构构件存在完全相同的设计缺陷；对于后门来说，要求埋设者对多个异构构件埋入完全相同的后门程序。这两点在难度异构构件足够丰富，构件间差异性足够大的条件下，将会是极其困难的。

第二，对于可能存在逃逸情况中选取的为攻击响应时，即便完成了单次逃逸，也仅仅意味着一次攻击交互的成功，对于网络攻击实施过程中嗅探、渗透、上传等多个步骤来说，通常需要多次交互才能达到最终的劫持控制目的，这要求攻击过程具备多次连续的逃逸交互能力，发生的概率极低。

第三，对于调度规则也无法做到精准的选出所有异常执行体下线清洗的情形，即便元服务控制器的一次调度没有将执行体集合中的全部异常执行体下线处理，但后续的对比裁决中不一致现象仍会继续存在，因此只要异常执行体的行为能被裁决输出器感知到，就会一直面临着被下线的可能，能够稳定存在的概率很低。

最后，即便攻击者通过第一、第二或第三点所述实现了对执行体集合的劫持，元服务控制器还是会通过不定时的调度机制更换和清洗执行体集合中的元服务节点，破坏攻击所取得的前序成果，使其不能稳定保持，从而保证了元服务结构的安全特性。

基于上述的元服务结构，本发明实施例还提供一种分布式存储系统架构，参见图3所示，包含：客户端，服务端和数据节点，其中，

客户端，用于根据系统协议与服务端和数据节点进行交互；

图3中，客户端(Client)：分布式存储系统的用户侧进程或服务，根据系统协议与元服务节点和数据节点进行交互，实现用户执行的操作。数据节点(Dserver)：系统服务端侧承载用户数据的业务节点，主要功能是：与客户端交互传输用户数据进行存储，与元服务节点交互保证系统的健康运转。数据节点通常以集群形式存在，在分布式存储系统中也称为数据存储集群。元服务节点(Mserver)：系统服务端侧的核心节点，主要功能有：(1)维护数据分块的组织、数据存储位置、集群节点拓扑和状态、管理配置和访问权限等重要信息(通常包含描述用户数据相关的元数据信息，和系统运行相关的状态管理信息)，本发明中将此类信息统称为元服务信息；(2)与客户端进行交互，实现包括用户认证，用户命令处理，为用户提供操作所需的相关信息等功能；(3)与数据节点进行交互，实现包括数据和节点的状态监控，下发数据迁移、错误检查和信息更新指令等功能。本发明中，所述的元服务结构即是基于本技术方案进行构建，用于实现元服务功能的目标结构。本发明中，将元服务结构与其他系统部件交互中接收的消息称为元服务请求，将处理后应答的消息称为元服务响应。需要说明的是：分布式存储系统的种类很多，不同系统之间由于技术思路不同，对部件的功能分工和交互方式及其命名方式存在差异，但不会脱离一般架构所述的范畴。例如：根据系统的可靠性要求，对元服务节点进行热备或冷备冗余；根据系统规模情况，增设多个元服务节点进行分治管理；根据系统面向的应用场景需求，对元服务功能进行添加和裁剪；将元服务功能拆解为多个部分，由不同的节点进行承载；将元服务功能集中实现或是将部分功能分散到客户端和数据节点上。极端特例是，将元服务功能全部拆解归入到客户端和数据节点中，形成了所谓的“无中心架构”。

当分布式存储系统采用本实施例所述的元服务结构提供服务时，元服务节点具备了抵御漏洞和后门威胁的能力，具有较高的安全属性。结合图3描述其为分布式存储系统带来的有益效果：

1)有效保护了系统核心信息。元服务节点承载维护了系统中重要的元数据信息和状态管理信息，这些信息一旦被攻击者窃取、篡改或破坏，将给系统带来巨大的安全威胁。本实施例所述的元服务结构能够有效阻断和破坏攻击渠道，有效保护了这些信息。

2)为客户端提供了可信的服务。元服务是数据服务的前提基础，用户在访问数据节点实现数据操作前，需要先访问元服务节点进行必要的交互，并获取相关的组织、位置、拓扑等信息。在本实施例中所述的元服务结构，能够为客户端提供可信的服务，保证了后续数据服务正确和可用的基础。

3)为数据节点提供了可信的管理。在系统运转过程中，元服务节点负责实时接收数据节点的上报的状态信息，并下发一系列数据管理和信息更新指令。一旦这部分功能被攻击者劫持或破坏，数据节点将无法得到可信的管理，导致系统异常。本实施例所述结构，能够有效保护元服务节点行使管理职能，为分布式存储系统服务侧的正常运转提供重要保证。

4)同时具备了高可靠属性。现有系统为了应对元服务节点的随机故障问题，通常使用高可用(High Available,HA)架构保证其高可靠性。本实施例所述的元服务结构，在具有基本元服务功能和安全属性外，同时具备了高可靠能力。体现在，执行体集合中的单一元服务节点的随机故障，不会影响到结构对外提供正常服务，该故障会被元服务控制器监控到并调度热备节点进行补充，从而保证结构的高可靠性。

需要说明的是：在不同的分布式存储系统中，元服务节点的功能不尽相同，可能会面临添加、裁剪、拆解、分散等情况。凡是采用本发明中所述的装置及方法构建的元服务节点，其对应的元服务功能将得到文中所述的安全防护效果；未采用本发明所述装置及方法构建的元服务节点，其对应的元服务功能不属于本发明所述的保护范畴，特此声明。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种用于防御网络攻击的分布式存储元服务结构系统，其特征在于，包含：元服务集合、元服务控制器、输入代理器及输出裁决器，其中，

元服务集合，该元服务集合由多个不同构件构成的元服务异构等价体组成，每个元服务异构等价体作为元服务功能节点，提供等价的元服务功能执行体；

元服务控制器，用于依据控制参数指定策略及输出裁决器的反馈数据调整元服务结构，对元服务集合、输入代理器、输出裁决器进行调控；

输入代理器，用于将接收的元服务请求复制并发送至目标元服务功能节点，该目标元服务功能节点由元服务控制器依据控制参数和反馈数据在元服务集合中选取的元服务异构等价体组成，元服务请求包括服务端内部数据节点的内部元服务请求和外部客户端的外部元服务请求，内部元服务请求包括但不限于：注册、心跳、节点与数据状态上报、以及功能所需的元数据请求，外部元服务请求包括但不限于：数据操作和系统查询所需的元数据请求、以及面向管理员用户的存储系统管理配置请求；

输出裁决器，用于依据裁决策略对元服务功能执行体多路输出进行比对裁决，获取元服务响应，并将比对裁决情况整理为反馈数据上报至元服务控制器；

元服务控制器根据外部控制参数指定策略并结合输出裁决器上报的反馈数据，获取元服务结构调度间隔变量及下一步状态；在下次调度时刻前，元服务控制器根据输出裁决器后续上报的反馈数据对元服务结构调度间隔变量及下一步状态进行不断的变更调整，直到满足调度触发阈值或调度间隔变量条件后，对元服务结构开始实施变更，其中，调度间隔变量即为下次进行调度的预期时间，下一步状态即为下次调度后输入代理器的目标列表、元服务集合中各个节点的状态、输出裁决器的比对裁决策略的具体内容；同时，元服务控制器通过不定时的调度机制更换和清洗执行体集合中的元服务节点，破坏攻击所取得的前序成果。

2.根据权利要求1所述的用于防御网络攻击的分布式存储元服务结构系统，其特征在于，依据软硬件生态多样性构建服务功能等价的元服务异构执行环境来获取元服务异构等价体，元服务异构等价体之间相互隔离并在各自独立的执行空间中执行。

3.根据权利要求1所述的用于防御网络攻击的分布式存储元服务结构系统，其特征在于，每个元服务异构等价体设置有执行状态、等待状态、下线清洗状态和/或同步状态，由元服务控制器对元服务异构等价体状态进行调控。

4.根据权利要求1所述的用于防御网络攻击的分布式存储元服务结构系统，其特征在于，元服务控制器通过设置目标元服务节点列表并通过调控该目标元服务节点列表来维护元服务集合中元服务异构等价体状态。

5.一种用于防御网络攻击的分布式存储元服务结构系统构建方法，其特征在于，包含如下内容：

输入代理器将接收到的元服务请求进行复制，并发送至元服务控制器选取的目标元服务异构等价体中，元服务请求包括服务端内部数据节点的内部元服务请求和外部客户端的外部元服务请求，内部元服务请求包括但不限于：注册、心跳、节点与数据状态上报、以及功能所需的元数据请求，外部元服务请求包括但不限于：数据操作和系统查询所需的元数据请求、以及面向管理员用户的存储系统管理配置请求；

元服务控制器根据设定控制参数和反馈数据对目标元服务异构等价体、元服务集合节点状态及裁决策略进行调整，以确保元服务结构对外服务期间的性能；

6.根据权利要求5所述的用于防御网络攻击的分布式存储元服务结构系统构建方法，其特征在于，元服务集合中各元服务异构等价体节点设定至少包含执行状态、等待状态、下线清洗状态和/或同步状态，由元服务控制器对元服务异构等价体节点状态进行调控。

7.根据权利要求5所述的用于防御网络攻击的分布式存储元服务结构系统构建方法，其特征在于，输出裁决器依据设定裁决策略对多路响应结果进行比对裁决，比对结果正常即为一致性输出，比对结果异常则根据当前策略选取可信度高结果输出，将输出作为元服务响应发送至元服务请求节点，并将裁决情况形成反馈参数上报给元服务控制器。

8.根据权利要求7所述的用于防御网络攻击的分布式存储元服务结构系统构建方法，其特征在于，元服务控制器根据反馈参数中比对裁决的正常和异常情况，确定元服务结构下一步状态，调度异常元服务异构等价体下线进行清洗还原，从元服务集合中选取异构等价体上线执行。

9.根据权利要求5所述的用于防御网络攻击的分布式存储元服务结构系统构建方法，其特征在于，元服务控制器中设定的控制参数包含触发控制条件、调控时间间隔及调控决策；通过控制参数设定不定时随机主动触发调度过程，使元服务结构对外呈现出不确定性，扰乱攻击过程实施。

10.一种分布式存储系统，包含：客户端，服务端和数据节点，其中，

客户端，用于根据系统协议与服务端和数据节点进行交互；

服务端，基于权利要求1所述的分布式存储元服务结构系统实现元信息服务功能。