CN102025503A - 一种集群环境下数据安全实现方法和一种高安全性的集群 - Google Patents

一种集群环境下数据安全实现方法和一种高安全性的集群 Download PDF

Info

Publication number
CN102025503A
CN102025503A CN2010105365441A CN201010536544A CN102025503A CN 102025503 A CN102025503 A CN 102025503A CN 2010105365441 A CN2010105365441 A CN 2010105365441A CN 201010536544 A CN201010536544 A CN 201010536544A CN 102025503 A CN102025503 A CN 102025503A
Authority
CN
China
Prior art keywords
user
security
security gateway
cluster
kek
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105365441A
Other languages
English (en)
Other versions
CN102025503B (zh
Inventor
孙国忠
郭旭
宋辉
万伟
李博文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shuguang Cloud Computing Group Co Ltd
Original Assignee
BEIJING SHUGUANG TIANYAN INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING SHUGUANG TIANYAN INFORMATION TECHNOLOGY Co Ltd filed Critical BEIJING SHUGUANG TIANYAN INFORMATION TECHNOLOGY Co Ltd
Priority to CN201010536544.1A priority Critical patent/CN102025503B/zh
Publication of CN102025503A publication Critical patent/CN102025503A/zh
Application granted granted Critical
Publication of CN102025503B publication Critical patent/CN102025503B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明提供了一种集群环境下数据安全实现方法和一种高安全性的集群。包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本发明中每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。

Description

一种集群环境下数据安全实现方法和一种高安全性的集群
技术领域
[0001] 本发明涉及机群环境下的数据安全领域,特别涉及一种集群环境下数据安全实 现方法和一种高安全性的集群。
背景技术
[0002] 目前HPC系统在安全方面还存在巨大的问题。在业界,集群系统的安全问题已 经越来越尖锐,虽然目前HPC系统还是更加关注性能本身,但是随着集群系统规模的不 断扩大,集群系统的安全问题将变得越来越重要。
[0003] 集群环境下用户数据安全与用户直接相关,显得尤为突出。在传统的集群系统 中管理员和其它有权限的用户可以查看所有用户数据,存在数据泄密的巨大危险。
[0004] 传统做法是对用户的文件进行权限控制,使非授权用户无法访问,但是随着技 术的发展,管理员(或特权用户)可以通过提升权限或绕过权限控制来访问文件;
发明内容
[0005] 本发明的目的在于提供一种集群环境下数据安全实现方法和一种高安全性的集 群。通过PKI技术,从硬件和软件配合完成机群环境下用户信息的全程保护。
[0006] 一种集群环境下数据安全实现方法,包括以下步骤:
[0007] A、为用户发放硬件身份认证设备和数字证书;
[0008] B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和 用户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过 验证,交换KEK,将KEK交由安全网关保存;
[0009] C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使 用随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全 网关;
[0010] D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;
[0011] E、加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随 机密钥K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用 户,完成文件提交;
[0012] F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分 配计算节点资源;
[0013] G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业运行时计算 节点的加密文件系统使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文 件均使用用户KEK和随机密钥加密保存;
[0014] H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后 传递给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使 用随机密钥解密密文结果得到明文的结果文件。[0015] 本发明的一种优选技术方案在于:所述硬件身份认证设备可以使用USB智能密 码钥匙,所述KEK为用于加密用户数据密钥的密钥。
[0016] 一种高安全性的集群,其特征在于:包括CA证书中心,安全网关,硬件身份 认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。
[0017] 本发明的一种优选技术方案在于:硬件身份认证设备接入终端,通过互联网连 接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算 节点通过内部网络相连接。
[0018] 本发明的另一优选技术方案在于:所述安全网关接收远程终端发送的密文数 据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络明文,远程终端 与安全网关直接的信道由其他手段保证。
[0019] 本发明的再一优选技术方案在于:所述硬件认证设备可以使用USB智能密码钥 匙。
[0020] 本发明的带来的有益效果:每个用户的文件都是单独加密保存和传输的,杜绝 非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引 起的机群内泄密。
附图说明
[0021] 图1是本发明集群的结构图。
[0022] 图2是本发明集群的登录流程。
[0023] 图3是本发明集群的上传文件过程。
[0024] 图4是本发明集群的提交作业流程。
[0025] 图5是本发明集群的下载文件流程。
具体实施方案
[0026] 以身份认证设备使用USB Key(USB智能密码钥匙),加密服务模块以加密文件 系统(加密卡提供算法服务)为例,介绍一种实施方式(见下图)。
[0027] 登录时用使用USB Key对安全网关的随机数签名,安全网关使用随机数和用户 证书验证签名,同时验证证书和用户权限。
[0028] 如果未通过验证,反馈给用户登录错误。如果通过验证,则进一步交换KEK, 将KEK交由安全网关保存。
[0029] 用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用 随机密钥加密提交文件;使用安全网关证书公钥加密随机密钥;将二者一并提交到安全 网关。
[0030] 安全网关收到后,先解密出随机密钥,再用随机密钥解密出明文。
[0031] 加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥 K;使用随机密钥加密明文并保存到存储服务器。
[0032] 安全网关将处理结果反馈给用户,完成文件提交。
[0033] 用户登录(通过安全网关)管理节点,提交作业申请,管理节点根据提交申请分 配计算节点资源。管理节点登录计算节点后计算节点交换用户KEK并缓存;作业运行时计算节点的加密文件系统使用KEK解密计算数据,供计算节点使用;所有的中间文件和 结果文件均使用用户KEK和随机密钥加密保存。
[0034] 用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传 递给用户,用使用USB Key私钥解密KEK,在使用KEK解密随机密钥,最后使用随机密 钥解密密文结果文件得到明文的结果文件。

Claims (6)

1. 一种集群环境下数据安全实现方法,其特征在于:包括以下步骤:A、为用户发放硬件身份认证设备和数字证书;B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和用 户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过验 证,交换KEK,将KEK交由安全网关保存;C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用 随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全网 关;D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;E、加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥 K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用户,完 成文件提交;F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分配计 算节点资源;G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业时计算节点的加 密文件系统使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文件均使用 用户KEK和随机密钥加密保存;H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递 给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使用随 机密钥解密密文结果得到明文的结果文件。
2.如权利要求1所述一种集群环境下数据安全实现方法,其特征在于:所述硬件身 份认证设备可以使用USB智能密码钥匙,所述KEK为用于加密用户数据密钥的密钥。
3. —种高安全性的集群,其特征在于:包括CA证书中心,安全网关,硬件身份认证 设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。
4.如权利要求3所述一种高安全性的集群,其特征在于:硬件身份认证设备接入终 端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存 储服务器以及计算节点通过内部网络相连接。
5.如权利要求3所述一种高安全性的集群,其特征在于:所述安全网关接收远程终 端发送的密文数据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络 明文,远程终端与安全网关直接的信道由其他手段保证。
6.如权利要求3所述一种高安全性的集群,其特征在于:所述硬件认证设备可以使 用USB智能密码钥匙。
CN201010536544.1A 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群 Active CN102025503B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010536544.1A CN102025503B (zh) 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010536544.1A CN102025503B (zh) 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群

Publications (2)

Publication Number Publication Date
CN102025503A true CN102025503A (zh) 2011-04-20
CN102025503B CN102025503B (zh) 2014-04-16

Family

ID=43866400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010536544.1A Active CN102025503B (zh) 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群

Country Status (1)

Country Link
CN (1) CN102025503B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102724175A (zh) * 2011-08-26 2012-10-10 北京天地互连信息技术有限公司 泛在绿色社区控制网络的远程通信安全管理架构与方法
CN103248479A (zh) * 2012-02-06 2013-08-14 中兴通讯股份有限公司 云存储安全系统、数据保护以及共享方法
WO2017096603A1 (zh) * 2015-12-10 2017-06-15 深圳市大疆创新科技有限公司 数据连接、传送、接收、交互的方法及系统,及存储器、飞行器
CN107888543A (zh) * 2016-09-30 2018-04-06 江苏神州信源系统工程有限公司 基于分布式集群环境下保护集群数据安全的方法和系统
CN108881257A (zh) * 2018-06-29 2018-11-23 北京奇虎科技有限公司 分布式搜索集群加密传输方法及加密传输分布式搜索集群
CN110688646A (zh) * 2019-10-14 2020-01-14 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法
CN106992978B (zh) * 2017-03-28 2020-08-25 联想(北京)有限公司 网络安全管理方法及服务器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006011693A1 (en) * 2004-07-27 2006-02-02 Jeil Medical Corporation Bone screw for medical treatments
WO2006116931A1 (fr) * 2005-04-29 2006-11-09 Zhang, Jinkui Methode garantissant la securite des donnees d'un reseau de stockage et systeme pour celle-ci
CN1889426A (zh) * 2005-06-30 2007-01-03 联想(北京)有限公司 一种实现网络安全存储与访问的方法及系统
CN101467131A (zh) * 2005-07-20 2009-06-24 美国唯美安视国际有限公司 网络用户验证系统和方法
CN202043118U (zh) * 2010-11-04 2011-11-16 北京曙光天演信息技术有限公司 一种高安全性的集群

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006011693A1 (en) * 2004-07-27 2006-02-02 Jeil Medical Corporation Bone screw for medical treatments
WO2006116931A1 (fr) * 2005-04-29 2006-11-09 Zhang, Jinkui Methode garantissant la securite des donnees d'un reseau de stockage et systeme pour celle-ci
CN1889426A (zh) * 2005-06-30 2007-01-03 联想(北京)有限公司 一种实现网络安全存储与访问的方法及系统
CN101467131A (zh) * 2005-07-20 2009-06-24 美国唯美安视国际有限公司 网络用户验证系统和方法
CN202043118U (zh) * 2010-11-04 2011-11-16 北京曙光天演信息技术有限公司 一种高安全性的集群

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102724175A (zh) * 2011-08-26 2012-10-10 北京天地互连信息技术有限公司 泛在绿色社区控制网络的远程通信安全管理架构与方法
CN103248479A (zh) * 2012-02-06 2013-08-14 中兴通讯股份有限公司 云存储安全系统、数据保护以及共享方法
WO2017096603A1 (zh) * 2015-12-10 2017-06-15 深圳市大疆创新科技有限公司 数据连接、传送、接收、交互的方法及系统,及存储器、飞行器
CN107113177A (zh) * 2015-12-10 2017-08-29 深圳市大疆创新科技有限公司 数据连接、传送、接收、交互的方法及系统,及存储器、飞行器
CN107113177B (zh) * 2015-12-10 2019-06-21 深圳市大疆创新科技有限公司 数据连接、传送、接收、交互的方法及系统,及存储器、飞行器
US11102647B2 (en) 2015-12-10 2021-08-24 SZ DJI Technology Co., Ltd. Data communication connection, transmitting, receiving, and exchanging method and system, memory, and aerial vehicle
CN107888543A (zh) * 2016-09-30 2018-04-06 江苏神州信源系统工程有限公司 基于分布式集群环境下保护集群数据安全的方法和系统
CN106992978B (zh) * 2017-03-28 2020-08-25 联想(北京)有限公司 网络安全管理方法及服务器
CN108881257A (zh) * 2018-06-29 2018-11-23 北京奇虎科技有限公司 分布式搜索集群加密传输方法及加密传输分布式搜索集群
CN108881257B (zh) * 2018-06-29 2021-09-28 北京奇虎科技有限公司 分布式搜索集群加密传输方法及加密传输分布式搜索集群
CN110688646A (zh) * 2019-10-14 2020-01-14 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法

Also Published As

Publication number Publication date
CN102025503B (zh) 2014-04-16

Similar Documents

Publication Publication Date Title
EP3318043B1 (en) Mutual authentication of confidential communication
CN102685093B (zh) 一种基于移动终端的身份认证系统及方法
CN102025503B (zh) 一种集群环境下数据安全实现方法和一种高安全性的集群
CN102244575A (zh) 增值税网上报税数据安全传输系统及方法
CN101212293B (zh) 一种身份认证方法及系统
CN103532966A (zh) 一种支持基于usb key单点登录虚拟桌面的装置及方法
CN104917741B (zh) 一种基于usbkey的明文文档公网安全传输系统
CN103312691A (zh) 一种云平台的认证与接入方法及系统
CN104394172A (zh) 单点登录装置和方法
CN105812366B (zh) 服务器、反爬虫系统和反爬虫验证方法
CN103580868A (zh) 一种电子公文安全传输系统的安全传输方法
CN104735087A (zh) 一种基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法
CN106953732B (zh) 芯片卡的密钥管理系统及方法
CN105281902A (zh) 一种基于移动终端的Web系统安全登录方法
CN105207776A (zh) 一种指纹认证方法及系统
CN104486087A (zh) 一种基于远程硬件安全模块的数字签名方法
CN103916363A (zh) 加密机的通讯安全管理方法和系统
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及系统
CN107948156A (zh) 一种基于身份的封闭式密钥管理方法及系统
CN102571804A (zh) 基于产品标识码的物联网中心首次登录方法
TWI476629B (zh) Data security and security systems and methods
CN105516210A (zh) 终端安全接入认证的系统及方法
CN106936579A (zh) 基于可信第三方代理的云存储数据存储及读取方法
CN109921902B (zh) 一种密钥管理方法、安全芯片、业务服务器及信息系统
CN104125239A (zh) 一种基于数据链路加密传输的网络认证方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Applicant after: Beijing Shuguang Tianyan Information Technology Co., Ltd.

Address before: 100084 Beijing city Haidian District Street office building No. 64 West mill

Applicant before: Beijing Shuguang Tianyan Information Technology Co., Ltd.

C53 Correction of patent for invention or patent application
COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: SHUGUANG TIANYAN INFORMATION TECH CO LTD, BEIJING TO: SUGON CLOUD COMPUTING TECHNOLOGY CO., LTD.

CB02 Change of applicant information

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Applicant after: Shuguang Cloud Computing Technology Co., Ltd.

Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Applicant before: Beijing Shuguang Tianyan Information Technology Co., Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Patentee after: Shuguang Cloud Computing Group Co Ltd

Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Patentee before: Shuguang Cloud Computing Technology Co., Ltd.

CP01 Change in the name or title of a patent holder