CN102025503A - 一种集群环境下数据安全实现方法和一种高安全性的集群 - Google Patents
一种集群环境下数据安全实现方法和一种高安全性的集群 Download PDFInfo
- Publication number
- CN102025503A CN102025503A CN2010105365441A CN201010536544A CN102025503A CN 102025503 A CN102025503 A CN 102025503A CN 2010105365441 A CN2010105365441 A CN 2010105365441A CN 201010536544 A CN201010536544 A CN 201010536544A CN 102025503 A CN102025503 A CN 102025503A
- Authority
- CN
- China
- Prior art keywords
- user
- security gateway
- cluster
- security
- kek
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 14
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种集群环境下数据安全实现方法和一种高安全性的集群。包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本发明中每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。
Description
技术领域
本发明涉及机群环境下的数据安全领域,特别涉及一种集群环境下数据安全实现方法和一种高安全性的集群。
背景技术
目前HPC***在安全方面还存在巨大的问题。在业界,集群***的安全问题已经越来越尖锐,虽然目前HPC***还是更加关注性能本身,但是随着集群***规模的不断扩大,集群***的安全问题将变得越来越重要。
集群环境下用户数据安全与用户直接相关,显得尤为突出。在传统的集群***中管理员和其它有权限的用户可以查看所有用户数据,存在数据泄密的巨大危险。
传统做法是对用户的文件进行权限控制,使非授权用户无法访问,但是随着技术的发展,管理员(或特权用户)可以通过提升权限或绕过权限控制来访问文件;
发明内容
本发明的目的在于提供一种集群环境下数据安全实现方法和一种高安全性的集群。通过PKI技术,从硬件和软件配合完成机群环境下用户信息的全程保护。
一种集群环境下数据安全实现方法,包括以下步骤:
A、为用户发放硬件身份认证设备和数字证书;
B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过验证,交换KEK,将KEK交由安全网关保存;
C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全网关;
D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;
E、加密文件***使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用户,完成文件提交;
F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源;
G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业运行时计算节点的加密文件***使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文件均使用用户KEK和随机密钥加密保存;
H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使用随机密钥解密密文结果得到明文的结果文件。
本发明的一种优选技术方案在于:所述硬件身份认证设备可以使用USB智能密码钥匙,所述KEK为用于加密用户数据密钥的密钥。
一种高安全性的集群,其特征在于:包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。
本发明的一种优选技术方案在于:硬件身份认证设备接入终端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算节点通过内部网络相连接。
本发明的另一优选技术方案在于:所述安全网关接收远程终端发送的密文数据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络明文,远程终端与安全网关直接的信道由其他手段保证。
本发明的再一优选技术方案在于:所述硬件认证设备可以使用USB智能密码钥匙。
本发明的带来的有益效果:每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。
附图说明
图1是本发明集群的结构图。
图2是本发明集群的登录流程。
图3是本发明集群的上传文件过程。
图4是本发明集群的提交作业流程。
图5是本发明集群的下载文件流程。
具体实施方案
以身份认证设备使用USB Key(USB智能密码钥匙),加密服务模块以加密文件***(加密卡提供算法服务)为例,介绍一种实施方式(见下图)。
登录时用使用USB Key对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权限。
如果未通过验证,反馈给用户登录错误。如果通过验证,则进一步交换KEK,将KEK交由安全网关保存。
用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件;使用安全网关证书公钥加密随机密钥;将二者一并提交到安全网关。
安全网关收到后,先解密出随机密钥,再用随机密钥解密出明文。
加密文件***使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K;使用随机密钥加密明文并保存到存储服务器。
安全网关将处理结果反馈给用户,完成文件提交。
用户登录(通过安全网关)管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源。管理节点登录计算节点后计算节点交换用户KEK并缓存;作业运行时计算节点的加密文件***使用KEK解密计算数据,供计算节点使用;所有的中间文件和结果文件均使用用户KEK和随机密钥加密保存。
用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用使用USB Key私钥解密KEK,在使用KEK解密随机密钥,最后使用随机密钥解密密文结果文件得到明文的结果文件。
Claims (6)
1.一种集群环境下数据安全实现方法,其特征在于:包括以下步骤:
A、为用户发放硬件身份认证设备和数字证书;
B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过验证,交换KEK,将KEK交由安全网关保存;
C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全网关;
D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;
E、加密文件***使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用户,完成文件提交;
F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源;
G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业时计算节点的加密文件***使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文件均使用用户KEK和随机密钥加密保存;
H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使用随机密钥解密密文结果得到明文的结果文件。
2.如权利要求1所述一种集群环境下数据安全实现方法,其特征在于:所述硬件身份认证设备可以使用USB智能密码钥匙,所述KEK为用于加密用户数据密钥的密钥。
3.一种高安全性的集群,其特征在于:包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。
4.如权利要求3所述一种高安全性的集群,其特征在于:硬件身份认证设备接入终端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算节点通过内部网络相连接。
5.如权利要求3所述一种高安全性的集群,其特征在于:所述安全网关接收远程终端发送的密文数据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络明文,远程终端与安全网关直接的信道由其他手段保证。
6.如权利要求3所述一种高安全性的集群,其特征在于:所述硬件认证设备可以使用USB智能密码钥匙。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010536544.1A CN102025503B (zh) | 2010-11-04 | 2010-11-04 | 一种集群环境下数据安全实现方法和一种高安全性的集群 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010536544.1A CN102025503B (zh) | 2010-11-04 | 2010-11-04 | 一种集群环境下数据安全实现方法和一种高安全性的集群 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102025503A true CN102025503A (zh) | 2011-04-20 |
| CN102025503B CN102025503B (zh) | 2014-04-16 |
Family
ID=43866400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010536544.1A Active CN102025503B (zh) | 2010-11-04 | 2010-11-04 | 一种集群环境下数据安全实现方法和一种高安全性的集群 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102025503B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724175A (zh) * | 2011-08-26 | 2012-10-10 | 北京天地互连信息技术有限公司 | 泛在绿色社区控制网络的远程通信安全管理架构与方法 |
| CN103248479A (zh) * | 2012-02-06 | 2013-08-14 | 中兴通讯股份有限公司 | 云存储安全***、数据保护以及共享方法 |
| WO2017096603A1 (zh) * | 2015-12-10 | 2017-06-15 | 深圳市大疆创新科技有限公司 | 数据连接、传送、接收、交互的方法及***,及存储器、飞行器 |
| CN107888543A (zh) * | 2016-09-30 | 2018-04-06 | 江苏神州信源***工程有限公司 | 基于分布式集群环境下保护集群数据安全的方法和*** |
| CN108881257A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 分布式搜索集群加密传输方法及加密传输分布式搜索集群 |
| CN110334057A (zh) * | 2013-11-08 | 2019-10-15 | 德州仪器公司 | 文件存取方法及其*** |
| CN110688646A (zh) * | 2019-10-14 | 2020-01-14 | 广州麦仑信息科技有限公司 | 一种应用于掌脉识别的多服务器集群的安全认证方法 |
| CN106992978B (zh) * | 2017-03-28 | 2020-08-25 | 联想(北京)有限公司 | 网络安全管理方法及服务器 |
| CN112039821A (zh) * | 2019-06-03 | 2020-12-04 | 厦门本能管家科技有限公司 | 一种基于区块链的群组内私密消息交换方法及*** |
| CN112311764A (zh) * | 2020-09-28 | 2021-02-02 | 苏州浪潮智能科技有限公司 | 一种服务器数据交换网络安全*** |
| CN113472737A (zh) * | 2021-05-14 | 2021-10-01 | 阿里巴巴(中国)有限公司 | 边缘设备的数据处理方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006011693A1 (en) * | 2004-07-27 | 2006-02-02 | Jeil Medical Corporation | Bone screw for medical treatments |
| WO2006116931A1 (fr) * | 2005-04-29 | 2006-11-09 | Zhang, Jinkui | Methode garantissant la securite des donnees d'un reseau de stockage et systeme pour celle-ci |
| CN1889426A (zh) * | 2005-06-30 | 2007-01-03 | 联想(北京)有限公司 | 一种实现网络安全存储与访问的方法及*** |
| CN101467131A (zh) * | 2005-07-20 | 2009-06-24 | 美国唯美安视国际有限公司 | 网络用户验证***和方法 |
| CN202043118U (zh) * | 2010-11-04 | 2011-11-16 | 北京曙光天演信息技术有限公司 | 一种高安全性的集群 |
-
2010
- 2010-11-04 CN CN201010536544.1A patent/CN102025503B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006011693A1 (en) * | 2004-07-27 | 2006-02-02 | Jeil Medical Corporation | Bone screw for medical treatments |
| WO2006116931A1 (fr) * | 2005-04-29 | 2006-11-09 | Zhang, Jinkui | Methode garantissant la securite des donnees d'un reseau de stockage et systeme pour celle-ci |
| CN1889426A (zh) * | 2005-06-30 | 2007-01-03 | 联想(北京)有限公司 | 一种实现网络安全存储与访问的方法及*** |
| CN101467131A (zh) * | 2005-07-20 | 2009-06-24 | 美国唯美安视国际有限公司 | 网络用户验证***和方法 |
| CN202043118U (zh) * | 2010-11-04 | 2011-11-16 | 北京曙光天演信息技术有限公司 | 一种高安全性的集群 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724175A (zh) * | 2011-08-26 | 2012-10-10 | 北京天地互连信息技术有限公司 | 泛在绿色社区控制网络的远程通信安全管理架构与方法 |
| CN103248479A (zh) * | 2012-02-06 | 2013-08-14 | 中兴通讯股份有限公司 | 云存储安全***、数据保护以及共享方法 |
| CN110334057A (zh) * | 2013-11-08 | 2019-10-15 | 德州仪器公司 | 文件存取方法及其*** |
| WO2017096603A1 (zh) * | 2015-12-10 | 2017-06-15 | 深圳市大疆创新科技有限公司 | 数据连接、传送、接收、交互的方法及***,及存储器、飞行器 |
| CN107113177A (zh) * | 2015-12-10 | 2017-08-29 | 深圳市大疆创新科技有限公司 | 数据连接、传送、接收、交互的方法及***,及存储器、飞行器 |
| US11102647B2 (en) | 2015-12-10 | 2021-08-24 | SZ DJI Technology Co., Ltd. | Data communication connection, transmitting, receiving, and exchanging method and system, memory, and aerial vehicle |
| CN107113177B (zh) * | 2015-12-10 | 2019-06-21 | 深圳市大疆创新科技有限公司 | 数据连接、传送、接收、交互的方法及***,及存储器、飞行器 |
| CN107888543A (zh) * | 2016-09-30 | 2018-04-06 | 江苏神州信源***工程有限公司 | 基于分布式集群环境下保护集群数据安全的方法和*** |
| CN106992978B (zh) * | 2017-03-28 | 2020-08-25 | 联想(北京)有限公司 | 网络安全管理方法及服务器 |
| CN108881257A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 分布式搜索集群加密传输方法及加密传输分布式搜索集群 |
| CN108881257B (zh) * | 2018-06-29 | 2021-09-28 | 北京奇虎科技有限公司 | 分布式搜索集群加密传输方法及加密传输分布式搜索集群 |
| CN112039821A (zh) * | 2019-06-03 | 2020-12-04 | 厦门本能管家科技有限公司 | 一种基于区块链的群组内私密消息交换方法及*** |
| CN110688646A (zh) * | 2019-10-14 | 2020-01-14 | 广州麦仑信息科技有限公司 | 一种应用于掌脉识别的多服务器集群的安全认证方法 |
| CN112311764A (zh) * | 2020-09-28 | 2021-02-02 | 苏州浪潮智能科技有限公司 | 一种服务器数据交换网络安全*** |
| CN112311764B (zh) * | 2020-09-28 | 2022-05-20 | 苏州浪潮智能科技有限公司 | 一种服务器数据交换网络安全*** |
| CN113472737A (zh) * | 2021-05-14 | 2021-10-01 | 阿里巴巴(中国)有限公司 | 边缘设备的数据处理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102025503B (zh) | 2014-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| EP3318043B1 (en) | Mutual authentication of confidential communication | |
| CN102685093B (zh) | 一种基于移动终端的身份认证***及方法 | |
| CN101674304B (zh) | 一种网络身份认证***及方法 | |
| CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及*** | |
| CN105812366B (zh) | 服务器、反爬虫***和反爬虫验证方法 | |
| CN102244575A (zh) | 增值税网上报税数据安全传输***及方法 | |
| CN103532966A (zh) | 一种支持基于usb key单点登录虚拟桌面的装置及方法 | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN103312691A (zh) | 一种云平台的认证与接入方法及*** | |
| CN106953732B (zh) | 芯片卡的密钥管理***及方法 | |
| CN104735087A (zh) | 一种基于公钥算法和SSL协议的多集群Hadoop***安全优化方法 | |
| CN107948156A (zh) | 一种基于身份的封闭式密钥管理方法及*** | |
| CN104394172A (zh) | 单点登录装置和方法 | |
| CN105207776A (zh) | 一种指纹认证方法及*** | |
| CN103580868A (zh) | 一种电子公文安全传输***的安全传输方法 | |
| CN114036539A (zh) | 基于区块链的安全可审计物联网数据共享***及方法 | |
| CN109478214A (zh) | 用于证书注册的装置和方法 | |
| CN104486087A (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及*** | |
| CN106936579A (zh) | 基于可信第三方代理的云存储数据存储及读取方法 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和*** | |
| CN105281902A (zh) | 一种基于移动终端的Web***安全登录方法 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| TWI476629B (zh) | Data security and security systems and methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Applicant after: Beijing Shuangguang Tianyan Information Technology Co.,Ltd. Address before: 100084 Beijing city Haidian District Street office building No. 64 West mill Applicant before: Beijing Shuangguang Tianyan Information Technology Co.,Ltd. |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Applicant after: DAWNING CLOUD COMPUTING TECHNOLOGY Co.,Ltd. Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Applicant before: Beijing Shuangguang Tianyan Information Technology Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SHUGUANG TIANYAN INFORMATION TECH CO LTD, BEIJING TO: SUGON CLOUD COMPUTING TECHNOLOGY CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Patentee after: Shuguang Cloud Computing Group Co.,Ltd. Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Patentee before: DAWNING CLOUD COMPUTING TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing. Patentee after: Shuguang Cloud Computing Group Co.,Ltd. Country or region after: China Address before: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing. Patentee before: Shuguang Cloud Computing Group Co.,Ltd. Country or region before: China |