CN114793169A - 大数据平台全流程数据加密保护方法 - Google Patents
大数据平台全流程数据加密保护方法 Download PDFInfo
- Publication number
- CN114793169A CN114793169A CN202210276423.0A CN202210276423A CN114793169A CN 114793169 A CN114793169 A CN 114793169A CN 202210276423 A CN202210276423 A CN 202210276423A CN 114793169 A CN114793169 A CN 114793169A
- Authority
- CN
- China
- Prior art keywords
- encryption
- key
- decryption
- big data
- algorithm module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000013475 authorization Methods 0.000 claims abstract description 13
- 238000005516 engineering process Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 238000006243 chemical reaction Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000002994 raw material Substances 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种大数据平台全流程数据加密保护方法及***,包括:加密操作:大数据组件触发加密需求,向加解密算法模块调用加密引擎;加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;密钥管理***如果请求成功,则返回密钥;否则请求失败;加解密算法模块进行加密运算,然后向大数据组件返回加密结果;解密操作:大数据组件触发解密请求,向加解密算法模块调用解密引擎;加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;密钥管理***如果请求成功,则返回密钥;否则请求失败;加解密算法模块进行解密运算,然后向大数据组件返回解密结果。
Description
技术领域
本发明涉及大数据处理技术领域,特别涉及一种大数据平台全流程数据加密保护方法。
背景技术
目前实现大数据应用的主流技术路线是采用Hadoop生态内的一系列大数据组件,分别实现海量多源数据的采集、传输、存储、处理(计算)等功能。数据作为一种“原材料”,经历清洗、转发、存储、计算/查询、分析等,实现从低价值向高价值的转换。然而,现有的大数据平台内的加密技术和实现往往只关注单个组件内部的加密实现,如HDFS加密、Hbase加密、Fl ink加密等,这些加密技术基本采用加解密算法模块来实现本组件内部的透明加密。这样的数据加密处理会带来以下弊端:
首先,这些加密技术往往仅包括国际加密算法,对国产密码算法的支持不足,限制了在我国关键信息基础设施等场景下的应用;
其次,这些加密技术往往只能保护单个组件内部的数据机密性,无法应对组件间数据流转的保护要求。
此外,现有的数据加密技术中的密钥管理都未采用硬件级的保护方式,无法保证密钥的生成质量和存储安全性;
最后,现有大数据平台中的加密技术过于底层,强调加解密动作的“透明”,即减少对访问数据的影响。但同时降低了对数据保护的力度,因为加密的保护强依赖于业务侧的身份认证。
发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种大数据平台全流程数据加密保护方法,以解决背景技术中所提到的问题,克服现有技术中存在的不足。
为了实现上述目的,本发明的实施例提供一种大数据平台全流程数据加密保护方法,包括如下步骤:
步骤S1,加密操作:
步骤S11,大数据组件触发加密需求,向加解密算法模块调用加密引擎;
步骤S12,加解密算法模块向密钥管理***获取密钥,由所述密钥管理***进行身份认证和鉴权;
步骤S13,所述密钥管理***如果请求成功,则返回密钥;否则请求失败;
步骤S14,所述加解密算法模块进行加密运算,然后向大数据组件返回加密结果;
步骤S2,解密操作:
步骤S21,大数据组件触发解密请求,向加解密算法模块调用解密引擎;
步骤S22,加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;
步骤S23,所述密钥管理***如果请求成功,则返回密钥;否则请求失败;
步骤S24,所述加解密算法模块进行解密运算,然后向大数据组件返回解密结果。
由上述任一方案优选的是,在所述步骤S11中,所述大数据组件采用手动或自动方式触发加密需求;
在所述步骤S21中,所述大数据组件采用手动或自动方式触发解密需求。
由上述任一方案优选的是,在加密需求发生后,将加密需求发送至加解密算法模块,所述加解密算法模块向密钥管理***请求密钥,如果是初次请求则是生成,否则就是获取密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行加密运算,并将密文返回给大数据组件。
由上述任一方案优选的是,在解密需求发生后,将解密需求发送至加解密算法模块,所述加解密算法模块向密钥管理***请求密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行解密运算,并将密文返回给大数据组件。
本发明的实施例还提供一种大数据平台全流程数据加密保护***,包括:大数据组件、加解密算法模块和密钥管理***,其中,
当执行加密操作时:
所述大数据组件触发加密需求,向加解密算法模块调用加密引擎;加解密算法模块向密钥管理***获取密钥,由所述密钥管理***进行身份认证和鉴权;所述密钥管理***如果请求成功,则返回密钥;否则请求失败;所述加解密算法模块进行加密运算,然后向大数据组件返回加密结果;
当执行解密操作时:
所述大数据组件触发解密请求,向加解密算法模块调用解密引擎;加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;所述密钥管理***如果请求成功,则返回密钥;否则请求失败;所述加解密算法模块进行解密运算,然后向大数据组件返回解密结果。
由上述任一方案优选的是,所述大数据组件采用手动或自动方式触发加密需求和解密需求。
由上述任一方案优选的是,所述大数据组件在加密需求发生后,将加密需求发送至所述加解密算法模块,所述加解密算法模块向密钥管理***请求密钥,如果是初次请求则是生成,否则就是获取密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行加密运算,并将密文返回给大数据组件。
由上述任一方案优选的是,所述大数据组件在解密需求发生后,将解密需求发送至加解密算法模块,所述加解密算法模块向密钥管理***请求密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行解密运算,并将密文返回给大数据组件。
本发明实施例的大数据平台全流程数据加密保护方法将传统大数据平台内加密技术“各自为政”的方式整合为统一管控的方式,客观上实现敏感数据在大数据平台“存储、处理、传输”流转的全过程的加密保护,突破了仅在单一组件内实现加密的限制。本发明实现跨组件密文流转。
本发明实施例的大数据平台全流程数据加密保护方法,具有以下有益效果:
1、采用“分布式加密,集中化管控”的核心思路,通过在不同的大数据平台组件中部署对应的加解密算法模块,实现各自组件加密赋能的同时,将“密钥”这个核心数据进行集中、安全、合规地管控,从而使密文在跨组件流转时密钥可以及时伴随。
2、提供大数据平台内密钥的统一管理。本发明采用“分布式加密,集中化管控”的核心思路,已经将密钥的管理统一化、集中化。同时本发明内的密钥集中管理的设计也支持Hadoop KMS REST(Hadoop原生密钥管理***管理接口),从而实现整体大数据平台内整体密钥体系建设的统一化。
3、实现密钥安全性的提高。传统的大数据平台内的加密技术对于密钥的管理往往采用软件实现,从而导致随机数(密钥的原材料)生成质量低,且密钥的存储安全强度弱。本发明采用符合国家密码管理认可的安全、合规的硬件级密码模块,提供独立专有的密码运算“黑盒”,提升密钥安全性。
4、提供丰富的密码算法。因为本发明中提及的密码运算由加解密算法模块负责,该模块算法扩展性强、平台兼容性好、组件适配能力强,可以支持主流的SM2/3/4、AES、3DES、RSA等算法,同时可以扩展pallier、Ealgaml等同态加密算法和FPE(Format-Preserve-Encryption)保留格式加密等。
5、提供更完善的密码保护机制。现有大数据平台内的加密技术往往采用“存储TDE、传输TLS”的方式,将安全性过度让渡给了***的易用性,例如只要通过***的身份鉴别和鉴权,就可自动解密;TLS协议不区分数据是否敏感,全部加密传输。本发明在保障***易用性的前提下,提升安全性。主要在于仅通过不改动或者少量改动大数据平台内组件代码,即可实现加密赋能。同时,构建第三方基于密码视图下的4A(Account、Authorization、Asset和Audit)体系。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1a和图1b为根据本发明实施例的大数据平台全流程数据加密保护方法的流程图;
图2为根据本发明实施例的密钥管理***的架构图;
图3为根据本发明实施例的加密操作的逻辑流程图;
图4为根据本发明实施例的解密操作的逻辑流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面对本发明中涉及的术语名词进行解释说明:
TLS:传输层安全性协议(英语:Transport Layer Security,缩写作TLS),目的是为互联网通信提供安全及数据完整性保障。
TDE:Transparent Data Encryption,一种对用户和进程透明的加密保护技术。
KMS:Key Management System,一种针对密钥数据进行专门管理的安全***。
本发明在解决大数据场景下敏感数据全生命周期的机密性和完整性问题。从数据流转的视角来看,数据生命周期包括收集,传输,存储,处理,共享和销毁等,本专利采用“分布式加密,集中化管控”的核心思想,充分利用大数据平台分布式运算的性能优势,通过集中地管控数据密钥,从而构建一个边界清晰的密码保护范围,参考图2.
通过密钥管理***集中的管理密钥,以及部署在各个组件上的密码服务中间件,实现各组件中敏感数据的数据加密和解密。加密中间件透明地嵌入各大数据组件,并和密钥管理***进行密钥交互,在安全获得密钥后利用大数据组件自身的计算性能实现数据的明密文转换。
密钥管理***是一个负责集中化管控所有数据加密密钥的后台***,管控的范围包括密钥的生成、存储、分发、删除、更新、鉴权、属主身份鉴别、操作日志记录等。加解密算法模块主要承担与具体的大数据组件集成和适配,为大数据组件提供数据加密运算的软件实现,同时将密钥的管理托管在后端的密钥管理***。
从大数据处理的业务逻辑来看,一般会经过ETL、KALFA、Hive、Hbase、MPP、Flink、Spark等组件,分别实现对数据的清洗、存储/缓存、流处理/批处理、查询等。数据应该在ETL,即清洗阶段首先进行加密处理,使得这些敏感数据在进入大数据平台的开始阶段穿上“铠甲”。此后被防护的数据在大数据平台内的给组件流转中都会以密文形式出现,只有在有解密需求,同时通过密码安全侧的身份认证和鉴权后,方可获取密钥实现明文的获取。
从数据加密和解密的实现逻辑来看,主要涉及的主体是大数据组件本身,加解密算法模块和密钥管理***。
如图1a和图1b所示,本发明实施例的大数据平台全流程数据加密保护方法,包括如下步骤:
步骤S1,加密操作,包括如下步骤:
步骤S11,大数据组件触发加密需求,向加解密算法模块调用加密引擎。
在步骤S11中,大数据组件采用手动或自动方式触发加密需求。
步骤S12,加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;
步骤S13,密钥管理***如果请求成功,则返回密钥;否则请求失败;
步骤S14,加解密算法模块进行加密运算,然后向大数据组件返回加密结果。
具体的,在数据加密逻辑里,首先由大数据组件本身发起加密需求。手动一般指由人员手动触发加密操作,例如执行在Hive内的HQL语句实现加密。自动指由程序触发的加密操作,如在ETL阶段对于某敏感字段进行加密操作。在加密需求发生后,请求会被发送至加解密算法模块,该模块随即向密钥管理***请求密钥,如初次请求则是生成,否则就是获取密钥。然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码。对于成功的情况,软件加密模块则继续进行加密运算,并将密文返回给大数据组件。
步骤S2,解密操作,包括如下步骤:
步骤S21,大数据组件触发解密请求,向加解密算法模块调用解密引擎。
在步骤S21中,大数据组件采用手动或自动方式触发解密需求。
步骤S22,加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;
步骤S23,密钥管理***如果请求成功,则返回密钥;否则请求失败;
步骤S24,加解密算法模块进行解密运算,然后向大数据组件返回解密结果。
具体的,在解密需求发生后,将解密需求发送至加解密算法模块,加解密算法模块向密钥管理***请求密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行解密运算,并将密文返回给大数据组件。
由上可知,解密的逻辑基本与加密逻辑类似,唯一不同在于不存在密钥生成的情况,都是对已有密钥的获取。
如图2所示,本发明实施例的大数据平台全流程数据加密保护***,包括:大数据组件1、加解密算法模块2和密钥管理***3。
参考图3,当执行加密操作时:
大数据组件1触发加密需求,向加解密算法模块2调用加密引擎;加解密算法模块2向密钥管理***3获取密钥,由密钥管理***3进行身份认证和鉴权;密钥管理***3如果请求成功,则返回密钥;否则请求失败;加解密算法模块2进行加密运算,然后向大数据组件1返回加密结果。
具体的,大数据组件1在加密需求发生后,将加密需求发送至加解密算法模块2,加解密算法模块2向密钥管理***3请求密钥,如果是初次请求则是生成,否则就是获取密钥;然后,密钥管理***3需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块2则继续进行加密运算,并将密文返回给大数据组件1。
参考图4,当执行解密操作时:
大数据组件1触发解密请求,向加解密算法模块2调用解密引擎;加解密算法模块2向密钥管理***3获取密钥,由密钥管理***3进行身份认证和鉴权;密钥管理***3如果请求成功,则返回密钥;否则请求失败;加解密算法模块2进行解密运算,然后向大数据组件1返回解密结果。
具体的,大数据组件1在解密需求发生后,将解密需求发送至加解密算法模块2,加解密算法模块2向密钥管理***3请求密钥;然后,密钥管理***3需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块2则继续进行解密运算,并将密文返回给大数据组件1。
在本发明的实施例中,大数据组件1采用手动或自动方式触发加密需求和解密需求。
本发明实施例的大数据平台全流程数据加密保护方法将传统大数据平台内加密技术“各自为政”的方式整合为统一管控的方式,客观上实现敏感数据在大数据平台“存储、处理、传输”流转的全过程的加密保护,突破了仅在单一组件内实现加密的限制。本发明实现跨组件密文流转。
本发明实施例的大数据平台全流程数据加密保护方法,具有以下有益效果:
1、采用“分布式加密,集中化管控”的核心思路,通过在不同的大数据平台组件中部署对应的加解密算法模块,实现各自组件加密赋能的同时,将“密钥”这个核心数据进行集中、安全、合规地管控,从而使密文在跨组件流转时密钥可以及时伴随。
2、提供大数据平台内密钥的统一管理。本发明采用“分布式加密,集中化管控”的核心思路,已经将密钥的管理统一化、集中化。同时本发明内的密钥集中管理的设计也支持Hadoop KMS REST(Hadoop原生密钥管理***管理接口),从而实现整体大数据平台内整体密钥体系建设的统一化。
3、实现密钥安全性的提高。传统的大数据平台内的加密技术对于密钥的管理往往采用软件实现,从而导致随机数(密钥的原材料)生成质量低,且密钥的存储安全强度弱。本发明采用符合国家密码管理认可的安全、合规的硬件级密码模块,提供独立专有的密码运算“黑盒”,提升密钥安全性。
4、提供丰富的密码算法。因为本发明中提及的密码运算由加解密算法模块负责,该模块算法扩展性强、平台兼容性好、组件适配能力强,可以支持主流的SM2/3/4、AES、3DES、RSA等算法,同时可以扩展pallier、Ealgaml等同态加密算法和FPE(Format-Preserve-Encryption)保留格式加密等。
5、提供更完善的密码保护机制。现有大数据平台内的加密技术往往采用“存储TDE、传输TLS”的方式,将安全性过度让渡给了***的易用性,例如只要通过***的身份鉴别和鉴权,就可自动解密;TLS协议不区分数据是否敏感,全部加密传输。本发明在保障***易用性的前提下,提升安全性。主要在于仅通过不改动或者少量改动大数据平台内组件代码,即可实现加密赋能。同时,构建第三方基于密码视图下的4A(Account、Authorization、Asset和Audit)体系。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
本领域技术人员不难理解,本发明包括上述说明书的发明内容和具体实施方式部分以及附图所示出的各部分的任意组合,限于篇幅并为使说明书简明而没有将这些组合构成的各方案一一描述。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (8)
1.一种大数据平台全流程数据加密保护方法,其特征在于,包括如下步骤:
步骤S1,加密操作:
步骤S11,大数据组件触发加密需求,向加解密算法模块调用加密引擎;
步骤S12,加解密算法模块向密钥管理***获取密钥,由所述密钥管理***进行身份认证和鉴权;
步骤S13,所述密钥管理***如果请求成功,则返回密钥;否则请求失败;
步骤S14,所述加解密算法模块进行加密运算,然后向大数据组件返回加密结果;
步骤S2,解密操作:
步骤S21,大数据组件触发解密请求,向加解密算法模块调用解密引擎;
步骤S22,加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;
步骤S23,所述密钥管理***如果请求成功,则返回密钥;否则请求失败;
步骤S24,所述加解密算法模块进行解密运算,然后向大数据组件返回解密结果。
2.如权利要求1所述的大数据平台全流程数据加密保护方法,其特征在于,
在所述步骤S11中,所述大数据组件采用手动或自动方式触发加密需求;
在所述步骤S21中,所述大数据组件采用手动或自动方式触发解密需求。
3.如权利要求1所述的大数据平台全流程数据加密保护方法,其特征在于,在所述步骤S1中,在加密需求发生后,将加密需求发送至加解密算法模块,所述加解密算法模块向密钥管理***请求密钥,如果是初次请求则是生成,否则就是获取密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行加密运算,并将密文返回给大数据组件。
4.如权利要求1所述的大数据平台全流程数据加密保护方法,其特征在于,在所述步骤S2中,在解密需求发生后,将解密需求发送至加解密算法模块,所述加解密算法模块向密钥管理***请求密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行解密运算,并将密文返回给大数据组件。
5.一种大数据平台全流程数据加密保护***,其特征在于,包括:大数据组件、加解密算法模块和密钥管理***,其中,
当执行加密操作时:
所述大数据组件触发加密需求,向加解密算法模块调用加密引擎;加解密算法模块向密钥管理***获取密钥,由所述密钥管理***进行身份认证和鉴权;所述密钥管理***如果请求成功,则返回密钥;否则请求失败;所述加解密算法模块进行加密运算,然后向大数据组件返回加密结果;
当执行解密操作时:
所述大数据组件触发解密请求,向加解密算法模块调用解密引擎;加解密算法模块向密钥管理***获取密钥,由密钥管理***进行身份认证和鉴权;所述密钥管理***如果请求成功,则返回密钥;否则请求失败;所述加解密算法模块进行解密运算,然后向大数据组件返回解密结果。
6.如权利要求5所述的大数据平台全流程数据加密保护***,其特征在于,所述大数据组件采用手动或自动方式触发加密需求和解密需求。
7.如权利要求5所述的大数据平台全流程数据加密保护***,其特征在于,所述大数据组件在加密需求发生后,将加密需求发送至所述加解密算法模块,所述加解密算法模块向密钥管理***请求密钥,如果是初次请求则是生成,否则就是获取密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行加密运算,并将密文返回给大数据组件。
8.如权利要求5所述的大数据平台全流程数据加密保护***,其特征在于,所述大数据组件在解密需求发生后,将解密需求发送至加解密算法模块,所述加解密算法模块向密钥管理***请求密钥;然后,密钥管理***需要对密钥请求方的身份进行认证和鉴权,成功则返回密钥,失败则返回错误码;对于成功的情况,加解密算法模块则继续进行解密运算,并将密文返回给大数据组件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210276423.0A CN114793169A (zh) | 2022-03-21 | 2022-03-21 | 大数据平台全流程数据加密保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210276423.0A CN114793169A (zh) | 2022-03-21 | 2022-03-21 | 大数据平台全流程数据加密保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114793169A true CN114793169A (zh) | 2022-07-26 |
Family
ID=82460181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210276423.0A Pending CN114793169A (zh) | 2022-03-21 | 2022-03-21 | 大数据平台全流程数据加密保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114793169A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和*** |
| CN105471856A (zh) * | 2015-11-19 | 2016-04-06 | 中国电子科技网络信息安全有限公司 | 用于大数据中心平台加密文件的检索和共享的***及方法 |
| CN107948156A (zh) * | 2017-11-24 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种基于身份的封闭式密钥管理方法及*** |
| CN111191261A (zh) * | 2019-12-26 | 2020-05-22 | 北京三未信安科技发展有限公司 | 一种大数据安全保护方法、***、介质及设备 |
| CN111625843A (zh) * | 2019-07-23 | 2020-09-04 | 方盈金泰科技(北京)有限公司 | 一种适用于大数据平台的数据透明加解密*** |
| CN112087463A (zh) * | 2020-04-30 | 2020-12-15 | 广州知弘科技有限公司 | 一种基于大数据云平台***的加密方法 |
-
2022
- 2022-03-21 CN CN202210276423.0A patent/CN114793169A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和*** |
| CN105471856A (zh) * | 2015-11-19 | 2016-04-06 | 中国电子科技网络信息安全有限公司 | 用于大数据中心平台加密文件的检索和共享的***及方法 |
| CN107948156A (zh) * | 2017-11-24 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种基于身份的封闭式密钥管理方法及*** |
| CN111625843A (zh) * | 2019-07-23 | 2020-09-04 | 方盈金泰科技(北京)有限公司 | 一种适用于大数据平台的数据透明加解密*** |
| CN111191261A (zh) * | 2019-12-26 | 2020-05-22 | 北京三未信安科技发展有限公司 | 一种大数据安全保护方法、***、介质及设备 |
| CN112087463A (zh) * | 2020-04-30 | 2020-12-15 | 广州知弘科技有限公司 | 一种基于大数据云平台***的加密方法 |
Non-Patent Citations (1)
| Title |
|---|
| (美)(D.阿特金斯)DEREK ATKINS等著: "Internet网络安全专业参考手册", 机械工业出版社, pages: 390 - 89 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111191286B (zh) | Hyperledger Fabric区块链隐私数据存储与访问***及其方法 | |
| US8625802B2 (en) | Methods, devices, and media for secure key management in a non-secured, distributed, virtualized environment with applications to cloud-computing security and management | |
| Lampson et al. | Authentication in distributed systems: Theory and practice | |
| JP4993733B2 (ja) | 暗号クライアント装置、暗号パッケージ配信システム、暗号コンテナ配信システム及び暗号管理サーバ装置 | |
| CN104468562B (zh) | 一种面向移动应用透明的数据安全保护便携式终端 | |
| EP2973140A1 (en) | Establishing trust between applications on a computer | |
| US11196558B1 (en) | Systems, methods, and computer-readable media for protecting cryptographic keys | |
| CN108881327A (zh) | 一种基于云计算的计算机互联网信息安全控制*** | |
| CN104219077A (zh) | 一种中小企业信息管理*** | |
| US20210112039A1 (en) | Sharing of encrypted files without decryption | |
| CN107426223A (zh) | 云文档加密及解密方法、加密及解密装置、以及处理*** | |
| US10909254B2 (en) | Object level encryption system including encryption key management system | |
| CA2446364C (en) | Secure group secret distribution | |
| CN109981579B (zh) | 基于SGX的Hadoop秘钥管理服务安全加强方法 | |
| CN108494724B (zh) | 基于多授权机构属性加密算法的云存储加密*** | |
| KR100594886B1 (ko) | 데이터베이스 보안 시스템 및 방법 | |
| US11468435B1 (en) | Apparatus and methods of air-gapped crypto storage using diodes | |
| CN112347496A (zh) | 一种细粒度数据安全访问控制方法及*** | |
| CN107769918A (zh) | 一种安全的云数据多副本关联删除方法 | |
| CN114793169A (zh) | 大数据平台全流程数据加密保护方法 | |
| CN111740941A (zh) | 一种工业场景实时数据文件加密传输方法 | |
| CN106209381B (zh) | 一种照片加解密方法及其*** | |
| CN107819751A (zh) | 一种安全的自动登录管理*** | |
| CN114124561A (zh) | 公有云的云安全加密***及方法及存储介质 | |
| CN111698192B (zh) | 监控交易***的方法、交易设备、监管设备及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220726 |