CN107404476B - 一种大数据云环境中数据安全的保护方法与装置 - Google Patents

一种大数据云环境中数据安全的保护方法与装置 Download PDF

Info

Publication number
CN107404476B
CN107404476B CN201710468716.8A CN201710468716A CN107404476B CN 107404476 B CN107404476 B CN 107404476B CN 201710468716 A CN201710468716 A CN 201710468716A CN 107404476 B CN107404476 B CN 107404476B
Authority
CN
China
Prior art keywords
node
data
running node
process running
authentication code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710468716.8A
Other languages
English (en)
Other versions
CN107404476A (zh
Inventor
何华
张洁
何中天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Eastern Prism Technology Corp ltd
Original Assignee
Beijing Eastern Prism Technology Corp ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Eastern Prism Technology Corp ltd filed Critical Beijing Eastern Prism Technology Corp ltd
Priority to CN201710468716.8A priority Critical patent/CN107404476B/zh
Publication of CN107404476A publication Critical patent/CN107404476A/zh
Application granted granted Critical
Publication of CN107404476B publication Critical patent/CN107404476B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种大数据云环境中数据安全的保护方法和装置,所述方法包括:将大数据云环境中的设备分为数据存储节点、数据管理节点、进程运行节点、进程管理节点与信息安全节点,数据存储节点存储乱序的数据文件,数据管理节点实现文件名、数据片序号与认证码的映射,进程运行节点运行各种业务进程以处理大数据,进程管理节点存储进程信息,实现进程的调度与认证,信息安全节点生成并存储公钥证书。利用本发明,可以从数据分片、数据片乱序与认证码、进程认证上构建大数据安全的保护体系,能够保证数据的机密性与完整性、进程的真实性,有效预防了窃取与篡改数据、假冒进程的黑客攻击。

Description

一种大数据云环境中数据安全的保护方法与装置
技术领域
本发明涉及网络安全技术领域,具体涉及在一种大数据云环境中数据安全的保护方法与装置。
背景技术
随着云计算与大数据技术的快速发展,大数据云环境既可以提供高性能并行数据处理,还可以提供海量数据存储,大数据云环境越来越多地存储着政府、企业与个人的信息,大数据的价值越来越受到人们的重视,通过大数据挖掘,可以揭示政府、企业与个人的管理、运营或行为模式,大数据云环境的重要性日益显著,越来越多的黑客将黑手伸向大数据云环境,窃取、篡改数据,通过社交工程进行网络诈骗,假冒网站进行网络钓鱼。
在本发明的大数据云环境中数据安全的保护方法与装置中主要涉及以下技术:数据分片与乱序技术、认证码技术、会话密钥协商技术、签名技术、时效性技术与公钥证书技术。
目前,针对大数据云环境数据安全的保护技术,主要是采用循环冗余校验技术,它的优点是技术成熟,缺陷是只能对数据进行纠错。本发明采用数据分片、乱序技术与加密数据片序号能够高性能地保证数据的机密性,采用认证码技术保证了数据完整性,采用会话密钥协商与时效性技术保证了通信的机密性、防止了会话重放,采用签名技术与公钥证书技术保证了进程身份的真实性,克服了循环冗余校验技术方法中存在的缺点,能够多方面、快速高效地保证大数据的机密性与完整性、进程的真实性。
发明内容
本发明方法的核心在于克服了现有技术的缺点,提供一种大数据云环境中数据安全的保护方法与装置,使得能够多方面、快速高效地保证大数据的机密性与完整性、进程的真实性,为网络用户提供一个安全、可用的大数据云环境。
本发明的目的是通过以下技术方案实现的:
一种大数据云环境中数据安全的保护方法,包括以下步骤:
A、进程运行节点中的进程安全写数据存储节点中大数据;
B、进程运行节点中的进程安全读数据存储节点中大数据;
C、进程运行节点中的进程安全创建与迁移到另一个进程运行节点中;
所述步骤A包括:
A1、进程运行节点中的进程对待存储数据分片,计算数据片的认证码,并进行乱序处理;
A2、进程运行节点中的进程将处理后的包含乱序数据片及其认证码的文件发送给数据存储节点;
A3、进程运行节点中的进程向信息安全节点申请加密密钥;
A4、信息安全节点将加密密钥发送给申请进程;
A5、进程运行节点中的进程加密数据片序号及其认证码并发送给数据管理节点;
安全写大数据方法所需信息包括文件名、数据片、数据片序号、认证码与加密密钥;
所述步骤B包括:
B1、进程运行节点中的进程向信息安全节点申请解密密钥;
B2、信息安全节点将解密密钥发送给申请进程;
B3、进程运行节点中的进程向数据管理节点发送申请数据片序号及其认证码密文请求;
B4、数据管理节点将数据片序号及其认证码密文发送给进程运行节点中的进程;
B5、进程运行节点中的进程解密数据片序号及其认证码;
B6、进程运行节点中的进程向数据存储节点发送读取数据请求;
B7、数据存储节点向进程运行节点中的进程发送包含乱序数据片及其认证码的文件;
B8、进程运行节点中的进程计算认证码、验证数据片的完整性并对数据片进行排序;
安全读大数据方法所需信息包括文件名、数据片、数据片序号、认证码与解密密钥;
所述步骤C包括:
C1、进程运行节点创建进程时,向进程管理节点发送进程指纹、会话密钥协商参数与创建进程请求;
C2、进程管理节点匹配进程指纹,评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
C3、进程管理节点向信息安全节点发送公钥证书申请;
C4、信息安全节点验证申请消息来源的真实性与时效性,生成证书信息,并加密后发送给进程管理节点;
C5、进程管理节点进行解密,并验证进程证书的真实性与时效性;
C6、进程管理节点使用会话密钥加密进程私钥,将进程公钥证书、会话密钥协商参数与进程私钥密文发送给进程运行节点中的进程;
C7、进程运行节点中的进程迁移时,将进程名、新进程运行节点信息与迁移进程请求及其签名发送给进程管理节点;
C8、进程管理节点验证进程的真实性、评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
C9、进程管理节点将迁移授权、时间戳及进程管理节点签名发送给进程运行节点中的进程;
C10、进程运行节点中的进程迁移进程,将迁移授权发送给新进程运行节点;
C11、新进程运行节点验证迁移授权、启用进程;
安全创建与迁移进程的方法所需信息包括进程名、进程指纹、会话密钥协商参数、时间戳、进程公钥证书、进程私钥、新进程运行节点信息与迁移授权。
第二方面,本发明提供一种大数据云环境中数据安全的保护装置,包括:数据机密性与完整性保护模块、进程真实性保护模块和信息库;
数据机密性与完整性保护模块,用于数据片分解与排序、数据片认证码计算、数据片序号与认证码加解密;还用于进程运行节点中的进程安全写数据存储节点中大数据,以及进程运行节点中的进程安全读数据存储节点中大数据;具体包括如下过程:
进程运行节点中的进程对待存储数据分片,计算数据片的认证码,并进行乱序处理;
进程运行节点中的进程将处理后的包含乱序数据片及其认证码的文件发送给数据存储节点;
进程运行节点中的进程向信息安全节点申请加密密钥;
信息安全节点将加密密钥发送给申请进程;
进程运行节点中的进程加密数据片序号及其认证码并发送给数据管理节点;
安全写大数据方法所需信息包括文件名、数据片、数据片序号、认证码与加密密钥;
进程运行节点中的进程向信息安全节点申请解密密钥;
信息安全节点将解密密钥发送给申请进程;
进程运行节点中的进程向数据管理节点发送申请数据片序号及其认证码密文请求;
数据管理节点将数据片序号及其认证码密文发送给进程运行节点中的进程;
进程运行节点中的进程解密数据片序号及其认证码;
进程运行节点中的进程向数据存储节点发送读取数据请求;
数据存储节点向进程运行节点中的进程发送包含乱序数据片及其认证码的文件;
进程运行节点中的进程计算认证码、验证数据片的完整性并对数据片进行排序;
安全读大数据方法所需信息包括文件名、数据片、数据片序号、认证码与解密密钥;
进程真实性保护模块,用于进程身份注册与进程身份认证;还用于进程运行节点中的进程安全创建与迁移到另一个进程运行节点中;具体包括如下过程:
进程运行节点创建进程时,向进程管理节点发送进程指纹、会话密钥协商参数与创建进程请求;
进程管理节点匹配进程指纹,评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
进程管理节点向信息安全节点发送公钥证书申请;
信息安全节点验证申请消息来源的真实性与时效性,生成证书信息,并加密后发送给进程管理节点;
进程管理节点进行解密,并验证进程证书的真实性与时效性;
进程管理节点使用会话密钥加密进程私钥,将进程公钥证书、会话密钥协商参数与进程私钥密文发送给进程运行节点中的进程;
进程运行节点中的进程迁移时,将进程名、新进程运行节点信息与迁移进程请求及其签名发送给进程管理节点;
进程管理节点验证进程的真实性、评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
进程管理节点将迁移授权、时间戳及进程管理节点签名发送给进程运行节点中的进程;
进程运行节点中的进程迁移进程,将迁移授权发送给新进程运行节点;
新进程运行节点验证迁移授权、启用进程;
安全创建与迁移进程的方法所需信息包括进程名、进程指纹、会话密钥协商参数、时间戳、进程公钥证书、进程私钥、新进程运行节点信息与迁移授权;
信息库包括数据存储节点中的大数据、数据管理节点中的文件名、数据片序号及其认证码的密文、信息安全节点中的文件名、共享密钥、进程名、进程指纹、会话密钥协商参数、进程公钥证书、进程私钥、进程运行节点信息、迁移授权;
数据机密性与完整性保护模块,在安全写大数据时,通过对数据分片、乱序处理、加密数据片序号保证大数据的机密性,在读取大数据时解密密文并验证数据片及其序号的认证码保证大数据的完整性;进程真实性保护模块,在创建进程时通过进程指纹申请公钥证书进行身份注册,在迁移进程时验证自己身份的真实性后获得迁移授权,然后进行迁移。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种大数据云环境中数据安全的保护方法与装置,使得能够多方面、快速高效地保证大数据的机密性与完整性、进程的真实性,为网络用户提供一个安全、可用的大数据云环境。
附图说明
图1是一种大数据云环境中数据安全保护装置的组网示意图;
图2是本发明方法的***结构示意图;
图3是本发明方法进程安全读大数据的时序图;
图4是本发明方法进程安全写大数据的时序图。
具体实施方式
参见图1和2,本发明提供的一种大数据云环境中数据安全的保护方法,包括以下步骤:
A、进程运行节点中的进程安全写数据存储节点中大数据;
B、进程运行节点中的进程安全读数据存储节点中大数据;
C、进程运行节点中的进程安全创建与迁移到另一个进程运行节点中;
如图3所示,所述步骤A包括:
A1、进程运行节点中的进程对待存储数据分片,计算数据片的认证码,并进行乱序处理;
A2、进程运行节点中的进程将处理后的包含乱序数据片及其认证码的文件发送给数据存储节点;
A3、进程运行节点中的进程向信息安全节点申请加密密钥;
A4、信息安全节点将加密密钥发送给申请进程;
A5、进程运行节点中的进程加密数据片序号及其认证码并发送给数据管理节点;
安全写大数据方法所需信息包括文件名、数据片、数据片序号、认证码与加密密钥;
如图4所示,所述步骤B包括:
B1、进程运行节点中的进程向信息安全节点申请解密密钥;
B2、信息安全节点将解密密钥发送给申请进程;
B3、进程运行节点中的进程向数据管理节点发送申请数据片序号及其认证码密文请求;
B4、数据管理节点将数据片序号及其认证码密文发送给进程运行节点中的进程;
B5、进程运行节点中的进程解密数据片序号及其认证码;
B6、进程运行节点中的进程向数据存储节点发送读取数据请求;
B7、数据存储节点向进程运行节点中的进程发送包含乱序数据片及其认证码的文件;
B8、进程运行节点中的进程计算认证码、验证数据片的完整性并对数据片进行排序;
安全读大数据方法所需信息包括文件名、数据片、数据片序号、认证码与解密密钥;
所述步骤C包括:
C1、进程运行节点创建进程时,向进程管理节点发送进程指纹、会话密钥协商参数与创建进程请求;
C2、进程管理节点匹配进程指纹,评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
C3、进程管理节点向信息安全节点发送公钥证书申请;
C4、信息安全节点验证申请消息来源的真实性与时效性,生成证书信息,并加密后发送给进程管理节点;
C5、进程管理节点进行解密,并验证进程证书的真实性与时效性;
C6、进程管理节点使用会话密钥加密进程私钥,将进程公钥证书、会话密钥协商参数与进程私钥密文发送给进程运行节点中的进程;
C7、进程运行节点中的进程迁移时,将进程名、新进程运行节点信息与迁移进程请求及其签名发送给进程管理节点;
C8、进程管理节点验证进程的真实性、评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
C9、进程管理节点将迁移授权、时间戳及进程管理节点签名发送给进程运行节点中的进程;
C10、进程运行节点中的进程迁移进程,将迁移授权发送给新进程运行节点;
C11、新进程运行节点验证迁移授权、启用进程;
安全创建与迁移进程的方法所需信息包括进程名、进程指纹、会话密钥协商参数、时间戳、进程公钥证书、进程私钥、新进程运行节点信息与迁移授权。
第二方面,本发明提供一种大数据云环境中数据安全的保护装置,如图2所示,包括:数据机密性与完整性保护模块、进程真实性保护模块和信息库;
数据机密性与完整性保护模块,用于数据片分解与排序、数据片认证码计算、数据片序号与认证码加解密;还用于进程运行节点中的进程安全写数据存储节点中大数据,以及进程运行节点中的进程安全读数据存储节点中大数据;具体包括如下过程:
进程运行节点中的进程对待存储数据分片,计算数据片的认证码,并进行乱序处理;
进程运行节点中的进程将处理后的包含乱序数据片及其认证码的文件发送给数据存储节点;
进程运行节点中的进程向信息安全节点申请加密密钥;
信息安全节点将加密密钥发送给申请进程;
进程运行节点中的进程加密数据片序号及其认证码并发送给数据管理节点;
安全写大数据方法所需信息包括文件名、数据片、数据片序号、认证码与加密密钥;
进程运行节点中的进程向信息安全节点申请解密密钥;
信息安全节点将解密密钥发送给申请进程;
进程运行节点中的进程向数据管理节点发送申请数据片序号及其认证码密文请求;
数据管理节点将数据片序号及其认证码密文发送给进程运行节点中的进程;
进程运行节点中的进程解密数据片序号及其认证码;
进程运行节点中的进程向数据存储节点发送读取数据请求;
数据存储节点向进程运行节点中的进程发送包含乱序数据片及其认证码的文件;
进程运行节点中的进程计算认证码、验证数据片的完整性并对数据片进行排序;
安全读大数据方法所需信息包括文件名、数据片、数据片序号、认证码与解密密钥;
进程真实性保护模块,用于进程身份注册与进程身份认证;还用于进程运行节点中的进程安全创建与迁移到另一个进程运行节点中;具体包括如下过程:
进程运行节点创建进程时,向进程管理节点发送进程指纹、会话密钥协商参数与创建进程请求;
进程管理节点匹配进程指纹,评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
进程管理节点向信息安全节点发送公钥证书申请;
信息安全节点验证申请消息来源的真实性与时效性,生成证书信息,并加密后发送给进程管理节点;
进程管理节点进行解密,并验证进程证书的真实性与时效性;
进程管理节点使用会话密钥加密进程私钥,将进程公钥证书、会话密钥协商参数与进程私钥密文发送给进程运行节点中的进程;
进程运行节点中的进程迁移时,将进程名、新进程运行节点信息与迁移进程请求及其签名发送给进程管理节点;
进程管理节点验证进程的真实性、评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
进程管理节点将迁移授权、时间戳及进程管理节点签名发送给进程运行节点中的进程;
进程运行节点中的进程迁移进程,将迁移授权发送给新进程运行节点;
新进程运行节点验证迁移授权、启用进程;
安全创建与迁移进程的方法所需信息包括进程名、进程指纹、会话密钥协商参数、时间戳、进程公钥证书、进程私钥、新进程运行节点信息与迁移授权;
信息库包括数据存储节点中的大数据、数据管理节点中的文件名、数据片序号及其认证码的密文、信息安全节点中的文件名、共享密钥、进程名、进程指纹、会话密钥协商参数、进程公钥证书、进程私钥、进程运行节点信息、迁移授权;
数据机密性与完整性保护模块,在安全写大数据时,通过对数据分片、乱序处理、加密数据片序号保证大数据的机密性,在读取大数据时解密密文并验证数据片及其序号的认证码保证大数据的完整性;进程真实性保护模块,在创建进程时通过进程指纹申请公钥证书进行身份注册,在迁移进程时验证自己身份的真实性后获得迁移授权,然后进行迁移。

Claims (2)

1.一种大数据云环境中数据安全的保护方法,其特征在于包括以下步骤:
A、进程运行节点中的进程安全写数据存储节点中大数据;
B、进程运行节点中的进程安全读数据存储节点中大数据;
C、进程运行节点中的进程安全创建与迁移到另一个进程运行节点中;
所述步骤A包括:
A1、进程运行节点中的进程对待存储数据分片,计算数据片的认证码,并进行乱序处理;
A2、进程运行节点中的进程将处理后的包含乱序数据片及其认证码的文件发送给数据存储节点;
A3、进程运行节点中的进程向信息安全节点申请加密密钥;
A4、信息安全节点将加密密钥发送给申请进程;
A5、进程运行节点中的进程加密数据片序号及其认证码并发送给数据管理节点;
安全写大数据方法所需信息包括文件名、数据片、数据片序号、认证码与加密密钥;
所述步骤B包括:
B1、进程运行节点中的进程向信息安全节点申请解密密钥;
B2、信息安全节点将解密密钥发送给申请进程;
B3、进程运行节点中的进程向数据管理节点发送申请数据片序号及其认证码密文请求;
B4、数据管理节点将数据片序号及其认证码密文发送给进程运行节点中的进程;
B5、进程运行节点中的进程解密数据片序号及其认证码;
B6、进程运行节点中的进程向数据存储节点发送读取数据请求;
B7、数据存储节点向进程运行节点中的进程发送包含乱序数据片及其认证码的文件;
B8、进程运行节点中的进程计算认证码、验证数据片的完整性并对数据片进行排序;
安全读大数据方法所需信息包括文件名、数据片、数据片序号、认证码与解密密钥;
所述步骤C包括:
C1、进程运行节点创建进程时,向进程管理节点发送进程指纹、会话密钥协商参数与创建进程请求;
C2、进程管理节点匹配进程指纹,评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
C3、进程管理节点向信息安全节点发送公钥证书申请;
C4、信息安全节点验证申请消息来源的真实性与时效性,生成证书信息,并加密后发送给进程管理节点;
C5、进程管理节点进行解密,并验证进程证书的真实性与时效性;
C6、进程管理节点使用会话密钥加密进程私钥,将进程公钥证书、会话密钥协商参数与进程私钥密文发送给进程运行节点中的进程;
C7、进程运行节点中的进程迁移时,将进程名、新进程运行节点信息与迁移进程请求及其签名发送给进程管理节点;
C8、进程管理节点验证进程的真实性、评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
C9、进程管理节点将迁移授权、时间戳及进程管理节点签名发送给进程运行节点中的进程;
C10、进程运行节点中的进程迁移进程,将迁移授权发送给新进程运行节点;
C11、新进程运行节点验证迁移授权、启用进程;
安全创建与迁移进程的方法所需信息包括进程名、进程指纹、会话密钥协商参数、时间戳、进程公钥证书、进程私钥、新进程运行节点信息与迁移授权。
2.一种大数据云环境中数据安全的保护装置,其特征在于包括:数据机密性与完整性保护模块、进程真实性保护模块和信息库;
数据机密性与完整性保护模块,用于数据片分解与排序、数据片认证码计算、数据片序号与认证码加解密;还用于进程运行节点中的进程安全写数据存储节点中大数据,以及进程运行节点中的进程安全读数据存储节点中大数据;具体包括如下过程:
进程运行节点中的进程对待存储数据分片,计算数据片的认证码,并进行乱序处理;
进程运行节点中的进程将处理后的包含乱序数据片及其认证码的文件发送给数据存储节点;
进程运行节点中的进程向信息安全节点申请加密密钥;
信息安全节点将加密密钥发送给申请进程;
进程运行节点中的进程加密数据片序号及其认证码并发送给数据管理节点;
安全写大数据方法所需信息包括文件名、数据片、数据片序号、认证码与加密密钥;
进程运行节点中的进程向信息安全节点申请解密密钥;
信息安全节点将解密密钥发送给申请进程;
进程运行节点中的进程向数据管理节点发送申请数据片序号及其认证码密文请求;
数据管理节点将数据片序号及其认证码密文发送给进程运行节点中的进程;
进程运行节点中的进程解密数据片序号及其认证码;
进程运行节点中的进程向数据存储节点发送读取数据请求;
数据存储节点向进程运行节点中的进程发送包含乱序数据片及其认证码的文件;
进程运行节点中的进程计算认证码、验证数据片的完整性并对数据片进行排序;
安全读大数据方法所需信息包括文件名、数据片、数据片序号、认证码与解密密钥;
进程真实性保护模块,用于进程身份注册与进程身份认证;还用于进程运行节点中的进程安全创建与迁移到另一个进程运行节点中;具体包括如下过程:
进程运行节点创建进程时,向进程管理节点发送进程指纹、会话密钥协商参数与创建进程请求;
进程管理节点匹配进程指纹,评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
进程管理节点向信息安全节点发送公钥证书申请;
信息安全节点验证申请消息来源的真实性与时效性,生成证书信息,并加密后发送给进程管理节点;
进程管理节点进行解密,并验证进程证书的真实性与时效性;
进程管理节点使用会话密钥加密进程私钥,将进程公钥证书、会话密钥协商参数与进程私钥密文发送给进程运行节点中的进程;
进程运行节点中的进程迁移时,将进程名、新进程运行节点信息与迁移进程请求及其签名发送给进程管理节点;
进程管理节点验证进程的真实性、评估进程与数据的相关性及进程运行节点资源的可用性,若通过,则;
进程管理节点将迁移授权、时间戳及进程管理节点签名发送给进程运行节点中的进程;
进程运行节点中的进程迁移进程,将迁移授权发送给新进程运行节点;
新进程运行节点验证迁移授权、启用进程;
安全创建与迁移进程的方法所需信息包括进程名、进程指纹、会话密钥协商参数、时间戳、进程公钥证书、进程私钥、新进程运行节点信息与迁移授权;
信息库包括数据存储节点中的大数据、数据管理节点中的文件名、数据片序号及其认证码的密文、信息安全节点中的文件名、共享密钥、进程名、进程指纹、会话密钥协商参数、进程公钥证书、进程私钥、进程运行节点信息、迁移授权;
数据机密性与完整性保护模块,在安全写大数据时,通过对数据分片、乱序处理、加密数据片序号保证大数据的机密性,在读取大数据时解密密文并验证数据片及其序号的认证码保证大数据的完整性;进程真实性保护模块,在创建进程时通过进程指纹申请公钥证书进行身份注册,在迁移进程时验证自己身份的真实性后获得迁移授权,然后进行迁移。
CN201710468716.8A 2017-06-20 2017-06-20 一种大数据云环境中数据安全的保护方法与装置 Active CN107404476B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710468716.8A CN107404476B (zh) 2017-06-20 2017-06-20 一种大数据云环境中数据安全的保护方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710468716.8A CN107404476B (zh) 2017-06-20 2017-06-20 一种大数据云环境中数据安全的保护方法与装置

Publications (2)

Publication Number Publication Date
CN107404476A CN107404476A (zh) 2017-11-28
CN107404476B true CN107404476B (zh) 2020-11-10

Family

ID=60404847

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710468716.8A Active CN107404476B (zh) 2017-06-20 2017-06-20 一种大数据云环境中数据安全的保护方法与装置

Country Status (1)

Country Link
CN (1) CN107404476B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108021677A (zh) * 2017-12-07 2018-05-11 成都博睿德科技有限公司 云计算分布式检索引擎的控制方法
CN108647230B (zh) * 2018-03-29 2021-10-08 深圳市网心科技有限公司 分布式存储方法、电子装置及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3055965A1 (fr) * 2013-10-08 2016-08-17 Commissariat à l'Énergie Atomique et aux Énergies Alternatives Procede et dispositif d'authentification et d'execution securisee de programmes
CN106453390A (zh) * 2016-11-11 2017-02-22 北京邮电大学 一种云存储***

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5196883B2 (ja) * 2007-06-25 2013-05-15 パナソニック株式会社 情報セキュリティ装置および情報セキュリティシステム
CN101383707A (zh) * 2007-09-03 2009-03-11 郑建德 一种轻量级认证***及其关键算法
CN101483866B (zh) * 2009-02-11 2011-03-16 中兴通讯股份有限公司 Wapi终端证书的管理方法、装置及***
JP2013254304A (ja) * 2012-06-06 2013-12-19 Sony Corp 情報処理装置、情報処理方法およびプログラム
CN104636673B (zh) * 2015-03-10 2017-08-29 四川中科腾信科技有限公司 一种在大数据背景下的数据安全存储方法
CN105760781B (zh) * 2016-03-02 2018-05-08 四川师范大学 有序可推演大数据文件的存储方法、恢复方法和操作方法
CN106612320B (zh) * 2016-06-14 2019-10-18 深圳市中盛瑞达科技有限公司 云存储中一种加密数据的去重方法
CN106169993A (zh) * 2016-06-28 2016-11-30 北京华大领创智能科技有限公司 一种安全认证方法、设备以及服务器

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3055965A1 (fr) * 2013-10-08 2016-08-17 Commissariat à l'Énergie Atomique et aux Énergies Alternatives Procede et dispositif d'authentification et d'execution securisee de programmes
CN106453390A (zh) * 2016-11-11 2017-02-22 北京邮电大学 一种云存储***

Also Published As

Publication number Publication date
CN107404476A (zh) 2017-11-28

Similar Documents

Publication Publication Date Title
EP3661120B1 (en) Method and apparatus for security authentication
US10142107B2 (en) Token binding using trust module protected keys
US10601801B2 (en) Identity authentication method and apparatus
CN101051904B (zh) 一种保护网络应用程序使用账号密码进行登录的方法
CN109728914B (zh) 数字签名验证方法、***、装置及计算机可读存储介质
CN102024123B (zh) 一种云计算中虚拟机镜像导入方法及装置
EP2466508A1 (en) Deduplicated and encrypted backups
CN104935568A (zh) 一种面向云平台接口鉴权签名方法
CN105812366B (zh) 服务器、反爬虫***和反爬虫验证方法
CN106060078B (zh) 应用于云平台的用户信息加密方法、注册方法及验证方法
CN106850566B (zh) 一种数据一致性校验的方法及装置
CN110868291B (zh) 一种数据加密传输方法、装置、***及存储介质
CN110677382A (zh) 数据安全处理方法、装置、计算机***及存储介质
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现***
CN110955918A (zh) 一种基于RSA加密sha-256数字签名的合同文本保护方法
CN114244522B (zh) 信息保护方法、装置、电子设备及计算机可读存储介质
CN112487380B (zh) 一种数据交互方法、装置、设备及介质
CN109684129B (zh) 数据备份恢复方法、存储介质、加密机、客户端和服务器
US11288381B2 (en) Calculation device, calculation method, calculation program and calculation system
CN101552676A (zh) 插件模块验证宿主模块合法性的方法、***及设备
US10635826B2 (en) System and method for securing data in a storage medium
CN107404476B (zh) 一种大数据云环境中数据安全的保护方法与装置
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
Kasodhan et al. A new approach of digital signature verification based on BioGamal algorithm
CN105871858A (zh) 一种保证数据安全的方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant