CN102025503B - 一种集群环境下数据安全实现方法和一种高安全性的集群 - Google Patents

一种集群环境下数据安全实现方法和一种高安全性的集群 Download PDF

Info

Publication number
CN102025503B
CN102025503B CN201010536544.1A CN201010536544A CN102025503B CN 102025503 B CN102025503 B CN 102025503B CN 201010536544 A CN201010536544 A CN 201010536544A CN 102025503 B CN102025503 B CN 102025503B
Authority
CN
China
Prior art keywords
user
security gateway
kek
key
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010536544.1A
Other languages
English (en)
Other versions
CN102025503A (zh
Inventor
孙国忠
郭旭
宋辉
万伟
李博文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shuguang Cloud Computing Group Co ltd
Original Assignee
SHUGUANG CLOUD COMPUTING TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHUGUANG CLOUD COMPUTING TECHNOLOGY Co Ltd filed Critical SHUGUANG CLOUD COMPUTING TECHNOLOGY Co Ltd
Priority to CN201010536544.1A priority Critical patent/CN102025503B/zh
Publication of CN102025503A publication Critical patent/CN102025503A/zh
Application granted granted Critical
Publication of CN102025503B publication Critical patent/CN102025503B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明提供了一种集群环境下数据安全实现方法和一种高安全性的集群。包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本发明中每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。

Description

一种集群环境下数据安全实现方法和一种高安全性的集群
技术领域
本发明涉及机群环境下的数据安全领域,特别涉及一种集群环境下数据安全实现方法和一种高安全性的集群。
背景技术
目前HPC系统在安全方面还存在巨大的问题。在业界,集群系统的安全问题已经越来越尖锐,虽然目前HPC系统还是更加关注性能本身,但是随着集群系统规模的不断扩大,集群系统的安全问题将变得越来越重要。
集群环境下用户数据安全与用户直接相关,显得尤为突出。在传统的集群系统中管理员和其它有权限的用户可以查看所有用户数据,存在数据泄密的巨大危险。
传统做法是对用户的文件进行权限控制,使非授权用户无法访问,但是随着技术的发展,管理员(或特权用户)可以通过提升权限或绕过权限控制来访问文件;
发明内容
本发明的目的在于提供一种集群环境下数据安全实现方法和一种高安全性的集群。通过PKI技术,从硬件和软件配合完成机群环境下用户信息的全程保护。
一种集群环境下数据安全实现方法,包括以下步骤:
A、为用户发放硬件身份认证设备和数字证书;
B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过验证,交换KEK,将KEK交由安全网关保存;
C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全网关;
D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;
E、加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用户,完成文件提交;
F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源;
G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业运行时计算节点的加密文件系统使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文件均使用用户KEK和随机密钥加密保存;
H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使用随机密钥解密密文结果得到明文的结果文件。
本发明的一种优选技术方案在于:所述硬件身份认证设备可以使用USB智能密码钥匙,所述KEK为用于加密用户数据密钥的密钥。
一种高安全性的集群,其特征在于:包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。
本发明的一种优选技术方案在于:硬件身份认证设备接入终端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算节点通过内部网络相连接。
本发明的另一优选技术方案在于:所述安全网关接收远程终端发送的密文数据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络明文,远程终端与安全网关直接的信道由其他手段保证。
本发明的再一优选技术方案在于:所述硬件认证设备可以使用USB智能密码钥匙。
本发明的带来的有益效果:每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。
附图说明
图1是本发明集群的结构图。
图2是本发明集群的登录流程。
图3是本发明集群的上传文件过程。
图4是本发明集群的提交作业流程。
图5是本发明集群的下载文件流程。
具体实施方案
以身份认证设备使用USB Key(USB智能密码钥匙),加密服务模块以加密文件系统(加密卡提供算法服务)为例,介绍一种实施方式(见下图)。
登录时用使用USB Key对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权限。
如果未通过验证,反馈给用户登录错误。如果通过验证,则进一步交换KEK,将KEK交由安全网关保存。
用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件;使用安全网关证书公钥加密随机密钥;将二者一并提交到安全网关。
安全网关收到后,先解密出随机密钥,再用随机密钥解密出明文。
加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K;使用随机密钥加密明文并保存到存储服务器。
安全网关将处理结果反馈给用户,完成文件提交。
用户登录(通过安全网关)管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源。管理节点登录计算节点后计算节点交换用户KEK并缓存;作业运行时计算节点的加密文件系统使用KEK解密计算数据,供计算节点使用;所有的中间文件和结果文件均使用用户KEK和随机密钥加密保存。
用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用使用USB Key私钥解密KEK,在使用KEK解密随机密钥,最后使用随机密钥解密密文结果文件得到明文的结果文件。

Claims (1)

1.一种集群环境下数据安全实现方法,其特征在于:包括以下步骤:
A、为用户发放硬件身份认证设备和数字证书;
B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过验证,交换KEK,将KEK交由安全网关保存;
C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全网关;
D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;
E、加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用户,完成文件提交;
F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源;
G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业时计算节点的加密文件系统使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文件均使用用户KEK和随机密钥加密保存;
H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使用随机密钥解密密文结果得到明文的结果文件;
所述硬件身份认证设备使用USB智能密码钥匙,所述KEK为用于加密用户数据密钥的密钥。
CN201010536544.1A 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群 Active CN102025503B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010536544.1A CN102025503B (zh) 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010536544.1A CN102025503B (zh) 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群

Publications (2)

Publication Number Publication Date
CN102025503A CN102025503A (zh) 2011-04-20
CN102025503B true CN102025503B (zh) 2014-04-16

Family

ID=43866400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010536544.1A Active CN102025503B (zh) 2010-11-04 2010-11-04 一种集群环境下数据安全实现方法和一种高安全性的集群

Country Status (1)

Country Link
CN (1) CN102025503B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102724175B (zh) * 2011-08-26 2015-09-09 北京天地互连信息技术有限公司 泛在绿色社区控制网络的远程通信安全管理架构与方法
CN103248479A (zh) * 2012-02-06 2013-08-14 中兴通讯股份有限公司 云存储安全系统、数据保护以及共享方法
US9569447B2 (en) * 2013-11-08 2017-02-14 Texas Instruments Incorporated File access method and system thereof
CN107113177B (zh) * 2015-12-10 2019-06-21 深圳市大疆创新科技有限公司 数据连接、传送、接收、交互的方法及系统,及存储器、飞行器
CN107888543A (zh) * 2016-09-30 2018-04-06 江苏神州信源系统工程有限公司 基于分布式集群环境下保护集群数据安全的方法和系统
CN106992978B (zh) * 2017-03-28 2020-08-25 联想(北京)有限公司 网络安全管理方法及服务器
CN108881257B (zh) * 2018-06-29 2021-09-28 北京奇虎科技有限公司 分布式搜索集群加密传输方法及加密传输分布式搜索集群
CN112039821B (zh) * 2019-06-03 2022-09-27 本无链科技(深圳)有限公司 一种基于区块链的群组内私密消息交换方法及系统
CN110688646B (zh) * 2019-10-14 2021-12-03 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法
CN112311764B (zh) * 2020-09-28 2022-05-20 苏州浪潮智能科技有限公司 一种服务器数据交换网络安全系统
CN113472737B (zh) * 2021-05-14 2023-05-02 阿里巴巴(中国)有限公司 边缘设备的数据处理方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1889426A (zh) * 2005-06-30 2007-01-03 联想(北京)有限公司 一种实现网络安全存储与访问的方法及系统
CN101467131A (zh) * 2005-07-20 2009-06-24 美国唯美安视国际有限公司 网络用户验证系统和方法
CN202043118U (zh) * 2010-11-04 2011-11-16 北京曙光天演信息技术有限公司 一种高安全性的集群

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006011693A1 (en) * 2004-07-27 2006-02-02 Jeil Medical Corporation Bone screw for medical treatments
CN100385860C (zh) * 2005-04-29 2008-04-30 北京邦诺存储科技有限公司 一种保障存储网络数据安全的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1889426A (zh) * 2005-06-30 2007-01-03 联想(北京)有限公司 一种实现网络安全存储与访问的方法及系统
CN101467131A (zh) * 2005-07-20 2009-06-24 美国唯美安视国际有限公司 网络用户验证系统和方法
CN202043118U (zh) * 2010-11-04 2011-11-16 北京曙光天演信息技术有限公司 一种高安全性的集群

Also Published As

Publication number Publication date
CN102025503A (zh) 2011-04-20

Similar Documents

Publication Publication Date Title
CN102025503B (zh) 一种集群环境下数据安全实现方法和一种高安全性的集群
EP3318043B1 (en) Mutual authentication of confidential communication
CN103078841B (zh) 一种预防性电子数据保全的方法及系统
CN104917741B (zh) 一种基于usbkey的明文文档公网安全传输系统
CN102244575A (zh) 增值税网上报税数据安全传输系统及方法
CN104158653A (zh) 一种基于商密算法的安全通信方法
CN105100076A (zh) 一种基于USB Key的云数据安全系统
CN106953732B (zh) 芯片卡的密钥管理系统及方法
CN107948156A (zh) 一种基于身份的封闭式密钥管理方法及系统
CN108323230B (zh) 一种传输密钥的方法、接收终端和分发终端
CN103580868A (zh) 一种电子公文安全传输系统的安全传输方法
CN114036539A (zh) 基于区块链的安全可审计物联网数据共享系统及方法
CN111970114B (zh) 文件加密方法、系统、服务器和存储介质
CN104486087A (zh) 一种基于远程硬件安全模块的数字签名方法
CN109951276B (zh) 基于tpm的嵌入式设备远程身份认证方法
CN106936579A (zh) 基于可信第三方代理的云存储数据存储及读取方法
CN105281902A (zh) 一种基于移动终端的Web系统安全登录方法
CN104954137A (zh) 一种基于国产密码技术的虚拟机安全认证的方法
TWI476629B (zh) Data security and security systems and methods
CN104125239A (zh) 一种基于数据链路加密传输的网络认证方法和系统
CN110225028B (zh) 一种分布式防伪系统及其方法
CN101651538A (zh) 一种基于可信密码模块的数据安全传输方法
CN103944721A (zh) 一种基于web的保护终端数据安全的方法和装置
CN105871858A (zh) 一种保证数据安全的方法及系统
CN112311553B (zh) 一种基于挑战应答的设备认证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Applicant after: Beijing Shuangguang Tianyan Information Technology Co.,Ltd.

Address before: 100084 Beijing city Haidian District Street office building No. 64 West mill

Applicant before: Beijing Shuangguang Tianyan Information Technology Co.,Ltd.

C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Applicant after: DAWNING CLOUD COMPUTING TECHNOLOGY Co.,Ltd.

Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Applicant before: Beijing Shuangguang Tianyan Information Technology Co.,Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: SHUGUANG TIANYAN INFORMATION TECH CO LTD, BEIJING TO: SUGON CLOUD COMPUTING TECHNOLOGY CO., LTD.

C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Patentee after: Shuguang Cloud Computing Group Co.,Ltd.

Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Patentee before: DAWNING CLOUD COMPUTING TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing.

Patentee after: Shuguang Cloud Computing Group Co.,Ltd.

Country or region after: China

Address before: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing.

Patentee before: Shuguang Cloud Computing Group Co.,Ltd.

Country or region before: China