WO2021223431A1

WO2021223431A1 - 工控系统数据安全的拟态存储系统及方法

Info

Publication number: WO2021223431A1
Application number: PCT/CN2020/134488
Authority: WO
Inventors: 张�林; 成轶波; 孙辉; 李挥; 翟长春; 翟岗; 叶育林; 张金华; 康立福; 马化军
Original assignee: 中广核工程有限公司; 北京大学深圳研究生院
Priority date: 2020-09-24
Filing date: 2020-12-08
Publication date: 2021-11-11
Also published as: EP4231168A1; CN112162967A

Abstract

一种工控系统数据安全的拟态存储系统（100），包括通讯连接的动态异构模块（10）及对象存储模块（20）；所述动态异构模块（10）包括通讯连接的异构功能模块（11）及动态管理模块（12），所述异构功能模块（11）用于为工控系统的数据文件构建多种纠删码的编码方式，所述动态管理模块（12）用于对所述编码方式进行伪随机轮换，所述对象存储模块（20）用于将所述数据文件按照所述编码方式进行纠删码编码并存储。还提供一种工控系统数据安全的拟态存储方法，所述拟态存储系统（100）及方法实现了将拟态防御特性融入工控系统的存储系统，具有主动防御能力，提高了系统的安全性。

Description

工控系统数据安全的拟态存储系统及方法

【技术领域】

本发明涉及工控系统技术领域，尤其涉及一种工控系统数据安全的拟态存储系统及方法。

【背景技术】

目前，随着工业互联网的发展，工业控制系统(简称工控系统)也在持续演化。核电站工业控制系统的存储系统节点，作为核电站工业控制系统的信息存储基础设备，其安全性和可靠性对于整个系统而言至关重要。存储系统目前面临着严峻的网络安全形势，针对不断出现的攻击手段，研究相应的网络安全防御技术显得越来越重要。

传统防御技术主要包括防火墙、认证技术、访问控制、病毒防范、入侵检测、漏洞扫描、信息加密技术和灾备恢复等。传统防御技术有一些固有的缺陷。其缺陷主要为：防御能力是被动且是静态的，其防御能力依赖于在接入系统之前的系统配置，只能防御系统配置中涉及的网络安全攻击。然而，网络安全防御应该是一个动态变化的过程，新的安全漏洞不断出现，黑客的攻击手法不断翻新，传统防御技术难以检测、识别和处理新产生的网络攻击手段，只能被动的接受来自网络的每一次入侵攻击，不能从根本上解决网络安全问题，因此，传统安全防御技术难以解决工控系统安全问题。

分布式文件系统(Distributed File System，DFS)是指文件系统管理的物理存储资源不一定直接连接在本地节点上，而是通过计算机网络与节点(可简单的理解为一台计算机)相连。分布式文件系统的设计基于客户机/服务器模式，一个典型的网络可能包括多个供多用户访问的服务器。分布式文件系统是建立在客户机/服务器技术基础之上的，一个或多个文件服务器与客户机文件系统协同操作，这样客户机就能够访问由服务器管理的文件了。由于控制功能分散于客户机和服务器之间，一些在集中式系统中的文件系统很容易处理的事情在分布式文件系统中变得相当复杂，比如共享、数据安全性、透明性等，相应需要发展一些重要技术，诸如远程过程调用、大容量缓存、进程存根(stub)、线程(thread)和虚拟文件系统(VFS)等等。在“已知风险”的前提下，这些技术要求一定数量的清晰可靠的先验知识的支持，例如来源，特征和攻击的行为，因此，DFS现有的安全机制由于它们的被动性和滞后性，几乎无法应对未知风险。

拟态分布式文件系统(MDFS)，以文件交互接口划定拟态界，对整个存储系统进行了异构和冗余化，通过比较多个系统对访问请求的数据文件响应，实现威胁感知和数据结果的修正。这种架构设计以标准协议接口作为拟态化对象，能够屏蔽各个异构系统的实现细节，构成拟态化的分布式文件系统，而对外呈现标准文件交互接口，MDFS实现了动态性，异构性和冗余。然而，MDFS没有解决数据可靠性带来的安全性问题，MDFS仅仅解决了存储系统的主动防御问题，但对于节点可能发生的数据丢失的情况，没有相应的机制保证系统能还原原始数据。系统的数据可靠性由组成MDFS的每个异构文件系统本身的机制来保证，由于不同文件系统的数据可靠性不同，不能保证所有节点的数据可靠性，因此，整个系统的数据可靠性无法得到保证。另外，由于MDFS在整个系统的层面上进行了异构化，组成MDFS的不同存储系统性能不同，扩大了系统的响应时间，相比单一结构的存储系统带来了性能损失，同时，多副本冗余机制导致系统的存储成本过高。

鉴于此，实有必要提供一种新型的工控系统数据安全的拟态存储系统及方法以克服上述缺陷。

【发明内容】

本发明的目的是提供一种工控系统数据安全的拟态存储系统及方法，实现了将拟态防御特性融入工控系统的存储系统，具有主动防御能力，提高了系统的安全性。

为了实现上述目的，第一方面，本发明提供一种工控系统数据安全的拟态存储系统，包括通讯连接的动态异构模块及对象存储模块；所述动态异构模块包括通讯连接的异构功能模块及动态管理模块，所述异构功能模块用于为工控系统的数据文件构建多种纠删码的编码方式，所述动态管理模块用于对所述编码方式进行伪随机轮换，所述对象存储模块用于将所述数据文件按照所述编码方式进行纠删码编码并存储。

在一个优选实施方式中，所述对象存储模块包括接口服务器模块、对象存储设备模块及元数据服务器模块；所述接口服务器模块用于对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块；所述对象存储设备模块与所述接口服务器模块通讯连接，所述对象存储设备模块用于存储所述数据块；所述接口服务器模块还用于分离所述数据文件中的文件元数据，所述元数据服务器模块用于维护所述文件元数据。

在一个优选实施方式中，所述对象存储模块还包括与所述接口服务器模块通讯连接的负载均衡模块，所述负载均衡模块用于将客户端的文件操作转发至所述接口服务器模块。

在一个优选实施方式中，所述对象存储模块还包括消息队列模块，所述消息队列模块通讯连接于所述接口服务器模块与所述对象存储设备模块之间，所述所述消息队列模块用于实现所述接口服务器模块与所述对象存储设备模块之间的服务功能。

在一个优选实施方式中，所述服务功能包括心跳服务模块及位置服务模块。

在一个优选实施方式中，所述接口服务器模块用于将所述数据文件分割为k(k为整数，k<n)部分，并对每个部分的数据文件按照不同的所述编码方式进行编码，生成n个数据块。

在一个优选实施方式中，所述动态异构模块还包括与所述异构功能模块通讯连接的多余度表决器模块。

第二方面，本发明还提供一种工控系统数据安全的拟态存储方法，包括如下步骤：为工控系统的数据文件构建多种纠删码的编码方式；对所述编码方式进行伪随机轮换；将所述数据文件按照所述编码方式进行纠删码编码并存储。

在一个优选实施方式中，所述将所述数据文件按照所述编码方式进行纠删码编码并存储的步骤，还包括如下步骤：对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块，并分离所述数据文件中的文件元数据；存储所述数据块；维护所述文件元数据。

在一个优选实施方式中，所述对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块的步骤，还包括如下步骤：将所述数据文件分割为k(k为整数，k<n)部分；对每个部分的数据文件按照不同的所述编码方式进行编码，生成n个数据块。

相比于现有技术，本发明提供的工控系统数据安全的拟态存储系统及方法，异构功能模块能够为工控系统的数据文件构建多种纠删码的编码方式，对象存储模块用于将所述数据文件按照所述编码方式进行纠删码编码并存储，动态管理模块会对数据文件的纠删码编码方式进行伪随机轮换，使攻击者无法确定某一时刻系统的状态，实现了拟态防御的动态性特征；同一份数据文件在编码过程中会采用不同的纠删码编码方式，实现了拟态防御的异构性特征；数据文件被不同的纠删码编码方式编码为多个副本进行存储，实现了拟态防御的冗余性特征。即实现了将拟态防御特性融入工控系统的存储系统，具有主动防御能力，提高了系统的安全性。

为使发明的上述目的、特征和优点能更明显易懂，下文特举本发明较佳实施例，并配合所附附图，作详细说明如下。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明提供的工控系统数据安全的拟态存储系统的原理框图；

图2为本发明提供的工控系统数据安全的拟态存储系统的对象存储模块的原理框图；

图3为本发明提供的工控系统数据安全的拟态存储方法的流程图；

图4为本发明提供的工控系统数据安全的拟态存储方法的步骤S30的子步骤流程图。

【具体实施方式】

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，本发明提供一种工控系统数据安全的拟态存储系统100，包括通讯连接的动态异构模块10及对象存储模块20。

所述动态异构模块10包括通讯连接的异构功能模块11及动态管理模块12，所述异构功能模块11用于为工控系统的数据文件构建多种纠删码的编码方式，所述动态管理模块12用于对所述编码方式进行伪随机轮换，所述对象存储模块20用于将所述数据文件按照所述编码方式进行纠删码编码并存储。

本发明提供的工控系统数据安全的拟态存储系统100，异构功能模块11能够为工控系统的数据文件构建多种纠删码的编码方式，对象存储模块20用于将所述数据文件按照所述编码方式进行纠删码编码并存储，动态管理模块12会对数据文件的纠删码编码方式进行伪随机轮换，使攻击者无法确定某一时刻系统的状态，实现了拟态防御的动态性特征；同一份数据文件在编码过程中会采用不同的纠删码编码方式，实现了拟态防御的异构性特征；数据文件被不同的纠删码编码方式编码为多个副本进行存储，实现了拟态防御的冗余性特征。即实现了将拟态防御特性融入工控系统的存储系统，具有主动防御能力，提高了系统的安全性。

具体的，异构功能模块11包括多个拟态异构执行体，异构执行体是具有相同功能、且并行运行的功能体，本实施方式中，拟态存储系统100的异构性通过对数据文件使用多种不同的纠删码编码方式实现，在系统中嵌入了多种不同的纠删码，例如BRS、CRS、MBR、MSR等，实现了拟态防御的异构性特征，并且，数据文件被不同的纠删码编码方式编码为多个副本进行存储，实现了拟态防御的冗余性特征。

动态管理模块12负责拟态存储系统100的动态管理配置，包括使用伪随机方式轮换纠删码的编码方式等，使攻击者无法判定系统内部的准确状态，实现了拟态防御的动态性特征。

本实施方式中，所述动态异构模块10还包括与所述异构功能模块11通讯连接的多余度表决器模块13。可以理解，多余度表决器模块13负责判定输出，当系统受到攻击，导致不同纠删码解码输出结果不一致时，裁定正确的输出结果，进一步提高了系统的安全性及可靠性。

进一步地，请一并参阅图2，所述对象存储模块20包括接口服务器模块21、对象存储设备模块22及元数据服务器模块23；所述接口服务器(Interface Server，IS)模块21用于对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块；所述对象存储设备(Object Storage Device，OSD)模块22与所述接口服务器模块21通讯连接，所述对象存储设备模块22用于存储所述数据块，n个数据块分别存储到不同的对象存储设备模块22中，对象存储设备模块22负责将数据块保存在持久性存储硬件中，并使用内容寻址使得每个数据块都通过其唯一内容标识符来标识。所述接口服务器模块21还用于分离所述数据文件中的文件元数据，所述元数据服务器(Metadata Server，MDS)模块23 用于维护所述文件元数据，具体的，元数据服务器模块23同时拥有文件名称空间管理以及对象关系映射管理的功能，用于维护数据文件的元数据，包括文件名、文件大小以及数据块标识符等。

本实施方式中，所述接口服务器模块21用于将所述数据文件分割为k(k为整数，k<n)部分，并对每个部分的数据文件按照不同的所述编码方式进行编码，生成n个数据块，也即(k，n)纠删码，可以使用任何k’(k’≥k)个数据块来恢复原始数据文件。由于每种编码方式参数不同，因此，由相同部分的数据文件得到的数据块在大小和数量上是不同的，因此，编码方式越多，攻击成功的概率越小。拟态存储系统100将纠删码用作容错冗余技术，相比单纯的多副本冗余方式，消耗更少存储空间，可以大大减少存储成本，容错能力强，并且，系统对数据文件进行纠删码编码，由于纠删码的特性，即使部分数据丢失，系统仍然能正确还原原始数据。

具体的，所述对象存储模块20还包括与所述接口服务器模块10通讯连接的负载均衡模块24，所述负载均衡模块24用于将客户端101的大量并发的文件操作转发至所述接口服务器模块21，从而避免了单点故障，大大提高了系统并发访问性能。

进一步地，所述对象存储模块20还包括消息队列(Message Queue，MQ)模块25，所述消息队列模块25通讯连接于所述接口服务器模块21与所述对象存储设备模块22之间，所述所述消息队列模块25用于实现所述接口服务器模块21与所述对象存储设备模块23之间的服务功能。可以理解，消息队列模块即一种应用程序对应用程序的通信方法。

具体的，消息队列模块25所述服务功能包括心跳服务模块251及位置服务模块252。消息队列模块25可以选择RabbitMQ(一种通信方式)进行通信，对象存储设备模块22需要通过消息队列模块25来向所有接口服务器模块21通知自身的存在，这些信息为心跳信息，所有的IS在启动以后都会创建一个消息队列来绑定心跳服务，任何发往这个服务的消息都会被转发给绑定它的所有消息队列，也就是每一个IS都会收到任意一台OSD的心跳消息。为了获取指定数据块的位置信息，接口服务器模块21需要预先创建定位服务，所有IS节点绑定这个服务并接收来自接口服务器模块21的消息，拥有该对象的OSD则使用消息单发通知该接口服务器模块21的节点。

进一步地，拟态存储系统100还提供了基于REST的接口(如Amazon S3接口)，以允许应用程序进行包括创建、读取、更新和删除的操作，系统提供的接口及功能如1所示：

表1：

本发明提供的工控系统数据安全的拟态存储系统100，当客户端101进行数据文件上传时：首先，客户端101将上传文件的请求发送到IS，并提供文件名和内容；然后，IS收到请求后，使用纠删码进行编码以获得n个数据块；其次，随机选择n个OSD，并将数据块存储到其中，同时将文件的元数据存储到MDS中；最后，如果数据块和元数据上传成功，IS将成功标识符返回给客户端。当客户端101进行数据文件下载时：首先，客户端101发起一个带有文件名的下载请求到IS；然后，IS收到客户端101的请求后，通过文件名向MDS查询对应的数据块的标识符，同时向位置交换服务发送位置消息以获取OSD的位置；其次，IS请求OSD下载数据块，通过纠删码的解码阶段还原数据文件。最后，IS将数据文件返回给客户端101。

因此，本发明提供的工控系统数据安全的拟态存储系统100，建立了动态异构冗余的系统构造，实现了核电站工业控制系统的存储系统从相似性、静态性向异构性、动态性的转变，形成了有效抵御漏洞后门等未知威胁的内生安全效应，从而在不依赖攻击先验知识或行为特征的前提下，使核电站工业控制系统具备了广义鲁棒控制的内生安全能力。以多种纠删码编码方式实现系统的异构性，由于不同纠删码的编码方式及参数不同，因此由相同的数据块得到的编码块在大小和数量上是不同的，所以编码方式越多，攻击成功的概率越小。可以理解，拟态存储系统100不仅能用于提高核电站工业控制系统的存储安全性，同时，任何分布式存储的应用场景，都能利用本发明提高系统的防御能力，提升存储系统安全性及数据可靠性。

请一并参阅图3，本发明还提供一种工控系统数据安全的拟态存储方法，包括如下步骤：

步骤S10：为工控系统的数据文件构建多种纠删码的编码方式；

步骤S20：对所述编码方式进行伪随机轮换；

步骤S30：将所述数据文件按照所述编码方式进行纠删码编码并存储。

进一步地，请一并参阅图4，步骤S30还包括如下子步骤：

步骤S301：对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块，并分离所述数据文件中的文件元数据；

步骤S302：存储所述数据块；

步骤S303：维护所述文件元数据。

进一步地，步骤S301还包括如下子步骤：

将所述数据文件分割为k(k为整数，k<n)部分；

对每个部分的数据文件按照不同的所述编码方式进行编码，生成n个数据块。

需要说明的是，本发明提供的工控系统数据安全的拟态存储系统100的所有实施例均适用于本发明提供工控系统数据安全的拟态存储方法，且均能够达到相同或相似的有益效果。

综上，本发明提供的工控系统数据安全的拟态存储系统100及方法，引入了拟态防御的概念，将核电站工业控制系统的存储系统进行了拟态化改造，构建了拟态存储系统，实现了拟态防御动态、异构、冗余的特性，使核电站工业控制系统防御方式由传统的被动防御方式转变为主动防御，极大提高了系统的安全性。引入多种纠删码作为异构执行体，纠删码的存储利用率高，容错能力强，由于相同的数据块得到的编码块在大小和数量上是不同的，所以编码方式越多，攻击成功的概率越小。构建了系统的对象存储模块，将数据作为对象进行管理并分离数据中的文件元数据，同时对外提供对象存储服务，允许应用程序进行创建，读取，更新和删除等操作。

以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

一种工控系统数据安全的拟态存储系统，其特征在于，包括通讯连接的动态异构模块及对象存储模块；所述动态异构模块包括通讯连接的异构功能模块及动态管理模块，所述异构功能模块用于为工控系统的数据文件构建多种纠删码的编码方式，所述动态管理模块用于对所述编码方式进行伪随机轮换，所述对象存储模块用于将所述数据文件按照所述编码方式进行纠删码编码并存储。
如权利要求1所述的工控系统数据安全的拟态存储系统，其特征在于，所述对象存储模块包括接口服务器模块、对象存储设备模块及元数据服务器模块；所述接口服务器模块用于对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块；所述对象存储设备模块与所述接口服务器模块通讯连接，所述对象存储设备模块用于存储所述数据块；所述接口服务器模块还用于分离所述数据文件中的文件元数据，所述元数据服务器模块用于维护所述文件元数据。
如权利要求2所述的工控系统数据安全的拟态存储系统，其特征在于，所述对象存储模块还包括与所述接口服务器模块通讯连接的负载均衡模块，所述负载均衡模块用于将客户端的文件操作转发至所述接口服务器模块。
如权利要求2所述的工控系统数据安全的拟态存储系统，其特征在于，所述对象存储模块还包括消息队列模块，所述消息队列模块通讯连接于所述接口服务器模块与所述对象存储设备模块之间，所述所述消息队列模块用于实现所述接口服务器模块与所述对象存储设备模块之间的服务功能。
如权利要求4所述的工控系统数据安全的拟态存储系统，其特征在于，所述服务功能包括心跳服务模块及位置服务模块。
如权利要求2所述的工控系统数据安全的拟态存储系统，其特征在于，所述接口服务器模块用于将所述数据文件分割为k(k为整数，k<n)部分，并对每个部分的数据文件按照不同的所述编码方式进行编码，生成n个数据块。
如权利要求1所述的工控系统数据安全的拟态存储系统，其特征在于，所述动态异构模块还包括与所述异构功能模块通讯连接的多余度表决器模块。
一种工控系统数据安全的拟态存储方法，其特征在于，包括如下步骤：

为工控系统的数据文件构建多种纠删码的编码方式；

对所述编码方式进行伪随机轮换；

将所述数据文件按照所述编码方式进行纠删码编码并存储。
如权利要求8所述的工控系统数据安全的拟态存储方法，其特征在于，所述将所述数据文件按照所述编码方式进行纠删码编码并存储的步骤，还包括如下步骤：

对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块，并分离所述数据文件中的文件元数据；

存储所述数据块；

维护所述文件元数据。
如权利要求9所述的工控系统数据安全的拟态存储方法，其特征在于，所述对所述数据文件按照所述编码方式进行纠删码编码，形成n(n为整数)个数据块的步骤，还包括如下步骤：

将所述数据文件分割为k(k为整数，k<n)部分；

对每个部分的数据文件按照不同的所述编码方式进行编码，生成n个数据块。