[发明专利]分布式文件系统的拟态防篡改方法

说明书

技术领域

该发明涉及一种文件系统的保护方法，特别是涉及一种分布式文件系统的拟态防篡改方法。

背景技术

分布式文件系统至少由三类节点组成，客户端、元数据服务器和数据节点。客户端是分布式文件系统的用户，将自己的文件存储在分布式文件系统中，并在需要的时候将它们读取出来。客户的文件由元数据和文件数据组成。文件元数据，如文件控制块（FCB）及其组织关系（目录结构）等，由元数据服务器保存并管理；文件数据，即文件内容，被分割成一到多个片段，称为文件对象，由数据节点保存并管理。

分布式文件系统的可伸缩性好，性能较高，是目前广泛使用的一种文件系统。分布式文件系统一般用在服务系统的后端，为前端的服务器（如Web Server等）提供文件支持，并不直接面对用户，所以通常只有很少的安全防护措施。然而分布式文件系统中难免会存在漏洞和陷门，仍然有被劫持的可能。一旦系统的某部分被劫持，其中的信息就可能被窃取或篡改。因而防窃取和防篡改是分布式文件系统应该解决的安全问题之一。

由于分布式文件系统的数据集中存储在数据节点中，因而数据节点是防篡改的重点部件。数据篡改是指数据节点实际存储在磁盘中的数据与客户端提交的数据不一致。篡改的原因可能是数据节点故障，也可能是劫持者故意所为。篡改的目的可能是为了使恶意代码驻留，可能是为了保存劫持者的私有数据，也可能就是为了修改客户的文件。

发明内容

本发明克服了现有分布式文件系统中存在的文件被篡改问题，提供了一种效果较好的分布式文件系统的拟态防篡改方法。

本发明的技术解决方案是，提供一种具有以下步骤的分布式文件系统的拟态防篡改方法，其过程如下：一、对每一个要写入的文件对象，在不同类型的数据节点中为其创建多个副本；二、增加一个仲裁器对各副本进行评估，依据不同的目的选择保留的副本，并删除其余的副本。

所述仲裁器运行在独立的计算机系统中，了解新写入且未仲裁的各副本的信息，如副本的标识、位置及其关系；仲裁器比较各副本的一致性，从多个副本中选出要删除的副本；保留的副本数量取决于系统的约定，至少应保留一份副本；如果同一文件对象各副本的内容完全一致，仲裁器随机选择要删除的副本；如果副本的内容不完全一致，仲裁器根据预定的策略或权重选择要删除的副本；仲裁器在进行副本比较时并不需要将各副本的内容全部读到仲裁器中，只需请求数据节点提供副本的Hash值即可；当发现安全等级较低的数据节点时，仲裁器选择报警或请求重启问题节点或对其进行清洗。

所述数据节点采用异构的软硬件环境，包括不同型号的CPU，如SW、X86、PPC、ARM，不同种类的操作系统，如Linux的不同变种、Unix、Windows，不同类型的文件系统，如XFS、EXT、BTRFS、NTFS、FAT32，一个数据节点中挂载多块磁盘，每块磁盘安装一种类型的文件系统；数据节点至少分成3组，不同组的数据节点应选用不同的CPU、操作系统和文件系统组合，数据节点在完成副本写入工作之后，应将各副本的标识、位置信息通报给仲裁器。

所述数据节点与客户端交互的数据单位是完整的文件或文件的片段，统称为文件对象；对每一个要写入的文件对象，应在多个不同组的数据节点中为其创建多个副本，副本数至少应为3个；客户端与元数据服务器一道决定文件对象的切分方法和各副本的存储位置。

所述副本保存位置的选择应是随机的。

所述客户端写入文件的过程如下：a.查询元数据服务器，获得文件的管理信息；b.根据文件管理信息对文件内容进行切片，将要写入的数据转化成文件对象，并确定各文件对象的存储位置，对每一个要写入的文件对象，至少在三组不同的数据节点中为其选择至少三个存储位置；c.直接将文件对象的内容发送给选中的数据节点，在其中创建新的副本或修改其中已有的副本，如果文件对象是新增的，各副本都是新建的，如果文件对象已经存在，需修改已有的副本并新增若干个副本；d.将文件对象各副本的标识、位置及其关系信息通报给仲裁器，在写入之后、仲裁之前，每个文件对象都会被存储在至少三类不同的文件系统之中，但内容应该完全一致。

所述客户端读出文件的过程如下：A.查询元数据服务器，获得文件的管理信息；B.根据文件管理信息、数据在文件中的开始位置、数据长度信息算出需要读出的文件对象，确定各文件对象的标识和存储位置；C.直接向数据节点发送请求，获得需要的文件对象，如果系统中有文件对象的多个副本，客户端选择读出其中任意一个副本。