CN105426771B - 一种实现大数据安全的方法 - Google Patents
一种实现大数据安全的方法 Download PDFInfo
- Publication number
- CN105426771B CN105426771B CN201510710555.XA CN201510710555A CN105426771B CN 105426771 B CN105426771 B CN 105426771B CN 201510710555 A CN201510710555 A CN 201510710555A CN 105426771 B CN105426771 B CN 105426771B
- Authority
- CN
- China
- Prior art keywords
- data
- big data
- safety
- encryption key
- big
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种实现大数据安全的方法,所述方法包括:DFS客户端接收一个数据后将对本地缓存进行访问,访问该数据是否存在数据加密密钥;如有则获得带数据加密密钥的数据所对应的安全文件,并将内容传输到大数据安全功能板内进行安全保护;若没有则首先请求生成数据加密密钥;利用GetFileinfo获得带数据加密密钥的数据所对应的安全文件;将安全文件的内容传输到大数据安全功能板内进行安全保护;将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采用硬件保护,及将保护级别由原软件保护级别提升为硬件保护级别,极大的提升了大数据平台防攻击的能力,可有效提高大数据安全性。
Description
技术领域
本发明涉及大数据、数据安全传输等技术领域,具体的说,是一种实现大数据安全的方法。
背景技术
大数据在当今社会和经济发展中发挥着越来越重要的作用,但是大数据在集中处理和存储海量数据的同时,其安全问题也将面临越来越大的挑战。
在大数据安全保护方面,常规的方法都是通过防火墙、VPN、入侵检测和防病毒等这些传统的系统和组件来保障系统完全,这些方法最大的问题是从网络协议和模式特征上去保障系统安全,无法针对大数据平台内部的敏感信息和敏感数据实施保护,也就是说,目前迄今为止还没有一个针对大数据系统的特定的安全系统。
发明内容
本发明的目的在于设计出一种实现大数据安全的方法,将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采用硬件保护,及将保护级别由原软件保护级别提升为硬件保护级别,极大的提升了大数据平台防攻击的能力,可有效提高大数据安全性。
本发明通过下述技术方案实现:一种实现大数据安全的方法,包括以下步骤:
1)DFS客户端接收一个数据后将对本地缓存进行访问,访问该数据是否存在数据加密密钥;
2)经步骤1)后,若该数据存在数据加密密钥则执行步骤4);若该数据不存在数据加密密钥则执行步骤3);
3)经步骤1)后,若该数据不存在数据加密密钥,则执行下述步骤:
3-1)将形成一个密钥请求并将该密钥请求放入到队列内;
3-2)KMS服务端向大数据安全管理板提出生产数据加密密钥的请求;
3-3)大数据安全管理板生成数据加密密钥,形成带数据加密密钥的数据;
4)利用GetFileinfo获得带数据加密密钥的数据所对应的安全文件;
5)将步骤4)所述的安全文件的内容传输到大数据安全功能板内进行安全保护。
进一步的为更好的实现本发明所述方法,特别采用下述设置方式:所述步骤3-2)的具体步骤为:
3-2-1)KMS服务端通过接口板B的REST API接口向大数据安全管理板请求生产数据加密密钥;
3-2-2)REST API接口向第二TPM安全芯片发起生产数据加密密钥的请求;
进一步的为更好的实现本发明,特别采用下述设置方式:所述步骤3-3)的具体步骤为:
3-3-1)第二TPM安全芯片生成数据加密密钥并将其返回到DFS客户端;
3-3-2)DFS客户端将步骤3-3-1)所得数据加密密钥缓存在本地缓存内。
进一步的为更好的实现本发明所述方法,特别采用下述设置方式:所述步骤5)包括以下具体步骤:
5-1)经步骤4)后,所述的安全文件的内容将通过接口板A发送至大数据安全功能板内;
5-2)所述中央处理器A将所述的安全文件的内容传输到安全卡A内进行加解密操作;
5-3)所述第一TPM安全芯片对所述的安全文件的内容进行认证操作;
5-4)所述功能板SSD将所述的安全文件的内容进行存储。
进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括对大数据平台的用户敏感信息进行保存的方法:
(1)一种实现大数据安全的系统接收大数据平台所传输过来的数据;
(2)大数据安全管理板对所述数据内的用户敏感信息进行加密管理;
(3)加密管理后的用户敏感信息被保存到大数据安全功能板内;
(4)当大数据平台恢复后,保存在大数据安全功能板内的用户敏感信息将被输出,并通过大数据安全管理板进行解密操作,而后加载到大数据平台上。
进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括通过“一种实现大数据安全的系统”验证大数据平台的代码完整性并实现告警的方法:
(a)形成初期的Hash值:大数据平台所传输过来的代码信息传输到第一TPM安全芯片内,第一TPM安全芯片利用Hash算法形成一个256bit数据串,然后存在第一ROM里面;
(b)形成新的Hash值:再次将大数据平台所传输过来的代码信息传输到第一TPM安全芯片内,第一TPM安全芯片利用Hash算法形成一个新的256bit数据串;
(c)对比及告警:将新的Hash值传输至第一ROM内,并与初期的Hash值进行对比;若新的Hash值与初期的Hash值相同则不告警,反之则告警;
(d)重复步骤(b)和(c),间隔频率为5min。
进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括从“一种实现大数据安全的系统”内将被保护的数据信息牵引到大数据平台的方法:
(A)DFS客户端将带有数据加密密钥的密文和数据的的密文数据发送到“一种实现大数据安全的系统”;
(B)第一TPM安全芯片对带有数据加密密钥的密文和数据的的密文数据进行解析,将密钥加密密钥去除得带数据加密密钥的数据;
(C)将带数据加密密钥的数据输入安全卡A内进行解密,得明文数据;
(D)将明文数据牵引到大数据平台内。
一种实现大数据安全的系统,包括集成在同一个机箱内且相互连接的大数据安全管理板和大数据安全功能板,所述大数据安全管理板上设置有第二TPM安全芯片、第二ROM、安全板硬盘、中央处理器B及接口板B,所述中央处理器B分别同第二TPM安全芯片、第二ROM、安全板硬盘及接口板B连接;所述大数据安全功能板上设置有第一TPM安全芯片、第一ROM、功能板硬盘、中央处理器A及接口板A,所述中央处理器A分别与第一TPM安全芯片、第一ROM、功能板硬盘及接口板A连接,所述接口板A与接口板B连接并进行数据通信。
进一步的为更好的实现本发明所述系统,特别采用下述设置结构:所述功能板硬盘及安全板硬盘皆采用SSD。
进一步的为更好的实现本发明所述系统,特别采用下述设置结构:还包括用于对大数据安全管理板和大数据安全功能板供电的供电电源,所述供电电源包括设置在大数据安全管理板上的电源B及设置在大数据安全功能板上的电源A。
进一步的为更好的实现本发明所述系统,特别采用下述设置结构:所述机箱采用防火、防静电、防电磁泄漏的4U或8U机箱。
本发明与现有技术相比,具有以下优点及有益效果:
本发明将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采用硬件保护,及将保护级别由原软件保护级别提升为硬件保护级别,极大的提升了大数据平台防攻击的能力,可有效提高大数据安全性。
本发明利用硬件集成化的设计模式而设计的系统将大数据平台的用户敏感信息进行保存,即使是大数据平台被黑客所攻陷,用户敏感信息也不会被暴露,当大数据平台重新恢复,被保护的信息不用重新更换即可使用。
本发明在应用时,大数据平台的数据信息,能够重定向到本发明中,被其中的第一TPM安全芯片或/和第一TPM安全芯片加密。
本发明在应用时,大数据平台的代码完整性可以通过本发明来验证,即使大数据平台被黑客和木马所攻击,本发明亦能自动检测并告警。
本发明即使大数据平台被攻击或者病毒或木马所侵害,利用本发明所提供的系统完整性校验技术(Hash算法技术)能够准确的恢复出与原来完全相同的系统。另外,大数据平台的关键敏感信息或者数据信息能够被本发明的大数据软件I/O重定向系统进行加密保护。
附图说明
图1为本发明所述实现大数据安全的系统结构示意图。
图2为本发明所述方法的流程图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
专业术语解释:
DFS(distribute file system的简写):分布式系统;
GetFileinfo(get file information的简写):获取文件信息
REST API接口:一种采用xml技术的API接口;
KMS(key management system):密钥管理服务;
Get Engryption Key in Cache:获取内存加密密钥;
Data|KEK{DEK}:(安全领域的专用记法,KEK{DEK}意思是用KEY对DEK加密;Data|KEK{DEK}指的是数据Data和DEK的密文进行连接(“|”));
KEK(KEY encryption KEY):密钥加密密钥;
DEK(Data Encryption KEY):数据加密密匙;
KEK{DEK}:用KEY加密DEK;
实施例1:
一种实现大数据安全的系统实现大数据安全的方法,将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采用硬件保护,及将保护级别由原软件保护级别提升为硬件保护级别,极大的提升了大数据平台防攻击的能力,可有效提高大数据安全性,包括以下步骤:
1)DFS客户端接收一个数据后将对本地缓存进行访问,访问该数据是否存在数据加密密钥;
2)经步骤1)后,若该数据存在数据加密密钥则执行步骤4);若该数据不存在数据加密密钥则执行步骤3);
3)经步骤1)后,若该数据不存在数据加密密钥,则执行下述步骤:
3-1)将形成一个密钥请求并将该密钥请求放入到队列内,该队列采用并行计算;
3-2)KMS服务端向大数据安全管理板提出生产数据加密密钥的请求;
3-3)大数据安全管理板生成数据加密密钥,形成带数据加密密钥的数据;
4)利用GetFileinfo获得带数据加密密钥的数据所对应的安全文件;
5)将步骤4)所述的安全文件的内容传输到大数据安全功能板内进行安全保护。
实施例2:
本实施例是在上述实施例的基础上进一步优化,进一步的为更好的实现本发明所述方法,特别采用下述设置方式:所述步骤3-2)的具体步骤为:
3-2-1)KMS服务端通过接口板B的REST API接口向大数据安全管理板请求生产数据加密密钥;
3-2-2)REST API接口向第二TPM安全芯片发起生产数据加密密钥的请求;
实施例3:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述方法,所述步骤3-3)的具体步骤为:
3-3-1)第二TPM安全芯片生成数据加密密钥并将其返回到DFS客户端;
3-3-2)DFS客户端将步骤3-3-1)所得数据加密密钥缓存在本地缓存内。
实施例4:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述方法,特别采用下述设置方式:所述步骤5)包括以下具体步骤:
5-1)经步骤4)后,所述的安全文件的内容将通过接口板A发送至大数据安全功能板内;
5-2)所述中央处理器A将所述的安全文件的内容传输到安全卡A内进行加解密操作;
5-3)所述第一TPM安全芯片对所述的安全文件的内容进行认证操作;
5-4)所述功能板SSD将所述的安全文件的内容进行存储。
实施例5:
本实施例是在实施例1-4任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括对大数据平台的用户敏感信息进行保存的方法:
(1)一种实现大数据安全的系统接收大数据平台所传输过来的数据;
(2)大数据安全管理板对所述数据内的用户敏感信息进行加密管理;
(3)加密管理后的用户敏感信息被保存到大数据安全功能板内;
(4)当大数据平台恢复后,保存在大数据安全功能板内的用户敏感信息将被输出,并通过大数据安全管理板进行解密操作,而后加载到大数据平台上。
实施例6:
本实施例是在实施例1-5任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括通过“一种实现大数据安全的系统”验证大数据平台的代码完整性并实现告警的方法:
(a)形成初期的Hash值:大数据平台所传输过来的代码信息(hadoop:common组件和linux OS的kernel)传输到第一TPM安全芯片内,第一TPM安全芯片利用Hash算法形成一个256bit数据串,然后存在第一ROM里面;
(b)形成新的Hash值:再次将大数据平台所传输过来的代码信息(hadoop:common组件和linux OS的kernel)传输到第一TPM安全芯片内,第一TPM安全芯片利用Hash算法形成一个新的256bit数据串;
(c)对比及告警:将新的Hash值传输至第一ROM内,并与初期的Hash值进行对比;若新的Hash值与初期的Hash值相同则不告警,反之则告警;
(d)重复步骤(b)和(c),间隔频率为5min。
实施例7:
本实施例是在实施例1-6任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括从“一种实现大数据安全的系统”内将被保护的数据信息牵引到大数据平台的方法:
(A)DFS客户端将带有数据加密密钥的密文和数据的的密文数据发送到“一种实现大数据安全的系统”;
(B)第一TPM安全芯片对带有数据加密密钥的密文和数据的的密文数据进行解析,将密钥加密密钥去除得带数据加密密钥的数据;
(C)将带数据加密密钥的数据输入安全卡A内进行解密,得明文数据;
(D)将明文数据牵引到大数据平台内。
实施例8:
本实施例是在上述任一实施例的基础上进一步优化,一种实现大数据安全的系统,采用硬件集成化的设计模式而设计的系统,可将大数据平台的用户敏感信息进行保存,将原软件保护的级别提升到硬件保护级别,大大提升了系统防攻击的能力,即使是大数据平台被黑客所攻陷,用户敏感信息也不会被暴露,当大数据平台重新恢复,被保护的信息不用重新更换即可使用,如图1所示,特别设置成下述结构:包括集成在同一个机箱内且相互连接的大数据安全管理板和大数据安全功能板,所述大数据安全管理板上设置有第二TPM安全芯片、第二ROM、安全板硬盘、中央处理器B及接口板B,所述中央处理器B分别同第二TPM安全芯片、第二ROM、安全板硬盘及接口板B连接;所述大数据安全功能板上设置有第一TPM安全芯片、第一ROM、功能板硬盘、中央处理器A及接口板A,所述中央处理器A分别与第一TPM安全芯片、第一ROM、功能板硬盘及接口板A连接,所述接口板A与接口板B连接并进行数据通信。
在设计使用时,大数据平台所传输过来的数据将通过大数据安全管理板提出生产加密密钥请求,并对数据进行加密处理;加密处理后的数据将利用所述大数据安全功能板进行数据的安全保护。
所述安全卡B,为一个具有数据加/解密功能的PCI-E接口形态的接口卡,提供大数据平台的数据加解密功能,在使用时当判定为已未被加密的数据时,将被传输到安全卡B内进行加密,而后将加密后的数据返回到中央处理器B内;当判定该数据为已经加密的数据且需要解密时,将通过安全卡B对该数据进行解密操作。
所述第二TPM安全芯片,负责密钥的加解密操作,当经第二TPM安全芯片判断为需要加密密钥的数据时,将在第二TPM安全芯片内进行密钥的加密并形成密钥,而当判断为该加密数据带有密钥时,则可通过第二TPM安全芯片进行密钥解密的操作。
所述第二ROM,存储经过安全加固的操作系统,提供整板的驱动;
所述第二硬盘,用于对数据进行存储。
所述安全卡A,为一个具有数据加/解密功能的PCI-E接口形态的接口卡,提供大数据平台的数据加解密功能,在使用时当判定为已未被加密的数据时,将被传输到安全卡A内进行加密,而后将加密后的数据返回到中央处理器A内;当判定该数据为已经加密的数据且需要解密时,将通过安全卡A对该数据进行解密操作。
所述第一TPM安全芯片,负责数据的认证操作,对输入其内的需要认证的数据进行认证操作,提供大数据平台中核心保护数据的存储功能。
所述第一ROM,存储经过安全加固的操作系统,提供整板的驱动;
所述第一硬盘,用于对数据进行存储。
实施例9:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述系统,如图1所示,特别采用下述设置结构:所述功能板硬盘及安全板硬盘皆采用SSD。
采用SSD作为功能板硬盘能够进一步提高数据的存储速率。
采用SSD作为安全板硬盘能够对待存储的数据通过高速的储存功能,使得待存储的数据得到高速的储存。
实施例10:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述系统,如图1所示,特别采用下述设置结构:还包括用于对大数据安全管理板和大数据安全功能板供电的供电电源,所述供电电源包括设置在大数据安全管理板上的电源B及设置在大数据安全功能板上的电源A。
在使用时电源A将对大数据安全功能板上的各种硬件进行供电,所述电源B将对大数据安全管理板上的各种硬件进行供电。
实施例11:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明所述系统,如图1所示,特别采用下述设置结构:所述机箱采用防火、防静电、防电磁泄漏的4U或8U机箱,在进行大数据安全功能板和大数据安全管理板安装时,当采用4U机箱时,采用单层安装结构;而当采用8U机箱时,采用双层安装结构。
实施例12:
本实施例是在上述任一实施例的基础上进一步优化,当需要请求数据加密密钥时:
以其中一个DataNode为例:
在大数据安全管理板中,DFS Client调用KMS Client:
步骤1、KMS Client(KMS客户端)向安全卡B的KMS Server(密钥管理服务)通过REST API请求DEK;
REST服务向第二TPM安全芯片发起请求,
1.1第二TPM安全芯片产生KEK,缓存KEK;1.2产生DEK;1.3第二TPM安全芯片计算KEK{DEK}
步骤2、KMS Server返回KEK{DEK}
DFS Client缓存KEK{DEK}
步骤1、步骤2是系统初始化或者首次链接流程。KEK{DEK}因为是密文,可以长期保存于内存之中。
另外,KEK{DEK}可以与上层应用结合,形成一个用户或者一个应用一个DEK的结构。
由于Hadoop目前是一个文件一个密钥,TPM(第一TPM安全芯片)采用LBC总线,带宽不高(1MB),因此优化改为一个目录一个加密密钥。
REST服务向TPM(第一TPM安全芯片)申请密钥调用CryptKey()接口。
数据加密流程:
用户提交Data|KEK{DEK}"|"表示连接符,此段数据是DFS Client通过RMI接口发送到大数据的安全功能板的RMI服务。
RMI服务接收到数据,将KEK{DEK}发送到第一TPM安全芯片(调用Seil接口),RMI服务底层的C接口和REST API底层(REST服务)的C接口直接进行通信,不需要重新开新的服务,直接进行C通信。
将数据和TPM解密后的DEK一起送入安全卡A。
完成一次加密过程。
大数据加密功能板可限制同时进行请求密钥/加密的进程数。
当需要解密时,DFS Client将DEK的密文和Data的密文数据发送到大数据功能板;RMI服务解析KEK{DEK},通过底层的C接口调用REST服务的底层C接口,将KEK{DEK}发送到第一TPM安全芯片;
返回DEK;
加密卡解密返回明文Data;
返回应用。
如图2所示,
DFS Client询问本地是否缓存有数据加密密钥;
若有,则执行Yes步骤:
通过GetFileInfo获得需求安全的文件;而后利用RPC Call接口将文件内容送到大数据安全功能板进行安全保护;
若无,则执行No步骤:
Fill Quere For Key(提出请求密钥的队列--计算机里面的一种处理方法),由于初次使用或者新的待加密数据密钥是没有的,因此会将密钥的请求放入队列(并行计算,可能不止一个密钥请求,而是多个)
KMS Generate Encrypt Keys(大数据管理板根据上述请求产生加密密钥)向大数据安全管理板提出加密密钥请求,在提出加密密钥请求时是通过RPC Rest Call接口实现的;
当大数据安全管理板的第二TPM芯片生成加密数据密钥后,将通过GetFileInfo获得需求安全的文件;而后利用RPC Call接口将文件内容送到大数据安全功能板进行安全保护。
本发明所述系统能够与Hadoop/CDH大数据平台采用JAVA接口进行通信;
采用基于Java语言编写的软件,能够修改Hadoop/CDH的IO数据量,使得需要加密保护的大数据流向该平台,用户完全不感知(对用户透明);
本发明所述系统中加密所需的密钥采用RESA API接口,与外部密钥管理系统对接;
大数据平台中的任何安全凭据,都能够保存到本发明所述系统中,系统提供可视化配置界面,可以方便用户进行安全配置管理;
大数据平台的任何软件完整性可以由本发明所述系统进行验证。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (7)
1.一种实现大数据安全的方法,其特征在于:包括以下步骤:
1)DFS客户端接收一个数据后将对本地缓存进行访问,访问该数据是否存在数据加密密钥;
2)经步骤1)后,若该数据存在数据加密密钥则执行步骤4);若该数据不存在数据加密密钥则执行步骤3);
3)经步骤1)后,若该数据不存在数据加密密钥,则执行下述步骤:
3-1)将形成一个密钥请求并将该密钥请求放入到队列内;
3-2)KMS服务端向大数据安全管理板提出生产数据加密密钥的请求;
3-3)大数据安全管理板生成数据加密密钥,形成带数据加密密钥的数据;
4)利用GetFileinfo获得带数据加密密钥的数据所对应的安全文件;
5)将步骤4)所述的安全文件的内容传输到大数据安全功能板内进行安全保护。
2.根据权利要求1所述一种实现大数据安全的方法,其特征在于:所述步骤3-2)的具体步骤为:
3-2-1)KMS服务端通过接口板B的REST API接口向大数据安全管理板请求生产数据加密密钥;
3-2-2)REST API接口向第二TPM安全芯片发起生产数据加密密钥的请求。
3.根据权利要求2所述一种实现大数据安全的方法,其特征在于:所述步骤3-3)的具体步骤为:
3-3-1)第二TPM安全芯片生成数据加密密钥并将其返回到DFS客户端;
3-3-2)DFS客户端将步骤3-3-1)所得数据加密密钥缓存在本地缓存内。
4.根据权利要求1或2或3所述一种实现大数据安全的方法,其特征在于:所述步骤5)包括以下具体步骤:
5-1)经步骤4)后,所述的安全文件的内容将通过接口板A发送至大数据安全功能板内;所述大数据安全功能板上设置有第一TPM安全芯片、中央处理器A和功能板硬盘,所述功能板硬盘采用SSD;
5-2)中央处理器A将所述的安全文件的内容传输到安全卡A内进行加解密操作;
5-3)第一TPM安全芯片对所述的安全文件的内容进行认证操作;
5-4)功能板SSD将所述的安全文件的内容进行存储。
5.根据权利要求1或2或3所述一种实现大数据安全的方法,其特征在于:还包括对大数据平台的用户敏感信息进行保存的方法:
(1)一种实现大数据安全的系统接收大数据平台所传输过来的数据;
(2)大数据安全管理板对所述数据内的用户敏感信息进行加密管理;
(3)加密管理后的用户敏感信息被保存到大数据安全功能板内;
(4)当大数据平台恢复后,保存在大数据安全功能板内的用户敏感信息将被输出,并通过大数据安全管理板进行解密操作,而后加载到大数据平台上。
6.根据权利要求1或2或3所述一种实现大数据安全的方法,其特征在于:还包括通过“一种实现大数据安全的系统”验证大数据平台的代码完整性并实现告警的方法:
(a)形成初期的Hash值:大数据平台所传输过来的代码信息传输到第一TPM安全芯片内,第一TPM安全芯片利用Hash算法形成一个256bit数据串,然后存在第一ROM里面;
(b)形成新的Hash值:再次将大数据平台所传输过来的代码信息传输到第一TPM安全芯片内,第一TPM安全芯片利用Hash算法形成一个新的256bit数据串;
(c)对比及告警:将新的Hash值传输至第一ROM内,并与初期的Hash值进行对比;若新的Hash值与初期的Hash值相同则不告警,反之则告警;
(d)重复步骤(b)和(c),间隔频率为5min。
7.根据权利要求1或2或3所述一种实现大数据安全的方法,其特征在于:还包括从“一种实现大数据安全的系统”内将被保护的数据信息牵引到大数据平台的方法:
(A)DFS客户端将带有数据加密密钥的密文和数据的密文数据发送到“一种实现大数据安全的系统”;
(B)第一TPM安全芯片对带有数据加密密钥的密文和数据的密文数据进行解析,将密钥加密密钥去除得带数据加密密钥的数据;
(C)将带数据加密密钥的数据输入安全卡A内进行解密,得明文数据;
(D)将明文数据牵引到大数据平台内。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510710555.XA CN105426771B (zh) | 2015-10-28 | 2015-10-28 | 一种实现大数据安全的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510710555.XA CN105426771B (zh) | 2015-10-28 | 2015-10-28 | 一种实现大数据安全的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105426771A CN105426771A (zh) | 2016-03-23 |
CN105426771B true CN105426771B (zh) | 2018-06-26 |
Family
ID=55504974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510710555.XA Active CN105426771B (zh) | 2015-10-28 | 2015-10-28 | 一种实现大数据安全的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105426771B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138731B (zh) * | 2019-04-03 | 2020-02-14 | 特斯联(北京)科技有限公司 | 一种基于大数据的网络防攻击方法 |
CN115883671B (zh) * | 2023-03-08 | 2023-06-27 | 合肥综合性国家科学中心人工智能研究院(安徽省人工智能实验室) | 大数据传输方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103138939A (zh) * | 2013-03-28 | 2013-06-05 | 武汉大学 | 云存储模式下基于可信平台模块的密钥使用次数管理方法 |
CN104539420A (zh) * | 2014-12-15 | 2015-04-22 | 南京中新赛克科技有限责任公司 | 一种通用的智能硬件的安全密钥管理方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7418512B2 (en) * | 2003-10-23 | 2008-08-26 | Microsoft Corporation | Securely identifying an executable to a trust-determining entity |
-
2015
- 2015-10-28 CN CN201510710555.XA patent/CN105426771B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103138939A (zh) * | 2013-03-28 | 2013-06-05 | 武汉大学 | 云存储模式下基于可信平台模块的密钥使用次数管理方法 |
CN104539420A (zh) * | 2014-12-15 | 2015-04-22 | 南京中新赛克科技有限责任公司 | 一种通用的智能硬件的安全密钥管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105426771A (zh) | 2016-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3583740B1 (en) | Data owner restricted secure key distribution | |
US11070368B2 (en) | System, method, and program for transmitting and receiving any type of secure digital data | |
US9544280B2 (en) | Utilization of a protected module to prevent offline dictionary attacks | |
CN111737366B (zh) | 区块链的隐私数据处理方法、装置、设备以及存储介质 | |
CN109561047B (zh) | 基于密钥异地存储的加密数据存储系统及方法 | |
US9503433B2 (en) | Method and apparatus for cloud-assisted cryptography | |
CN110492990A (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
Jeong et al. | An efficient authentication system of smart device using multi factors in mobile cloud service architecture | |
CN109600226A (zh) | 基于随机数隐式协商的tls协议会话密钥还原方法 | |
US10735188B2 (en) | System and method for secure electronic communications through security hardware based on threshold cryptography | |
CN106453361A (zh) | 一种网络信息的安全保护方法及系统 | |
CN112653719A (zh) | 汽车信息安全存储方法、装置、电子设备和存储介质 | |
US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
Galibus et al. | Elements of cloud storage security: concepts, designs and optimized practices | |
CN105426771B (zh) | 一种实现大数据安全的方法 | |
CN111212026A (zh) | 基于区块链的数据处理方法、装置及计算机设备 | |
Almuzaini et al. | Key aggregation cryptosystem and double encryption method for cloud-based intelligent machine learning techniques-based health monitoring systems | |
EP3058498B1 (en) | Crm security core | |
AU2012210978B2 (en) | Controlled security domains | |
CN114329559A (zh) | 一种外挂式重要数据保护系统及其保护方法 | |
Mbongue et al. | A security architecture for domain isolation in multi-tenant cloud FPGAs | |
Rao et al. | Data security in cloud computing | |
CN112565156A (zh) | 信息注册方法、装置和系统 | |
Goswami et al. | Investigation on storage level data integrity strategies in cloud computing: classification, security obstructions, challenges and vulnerability | |
CN109302287A (zh) | 消息转发方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220906 Address after: Room 402-10, Building 5, Software Park, No. 78 Keling Road, High-tech Zone, Suzhou City, Jiangsu Province, 215000 Patentee after: Suzhou Bittrust Technology Co.,Ltd. Address before: No. 1112, 11th Floor, Unit 1, Building 6, No. 1700, North Section of Tianfu Avenue, High-tech Zone, Chengdu, Sichuan 610000 Patentee before: CHENGDU BITE XIN'AN TECHNOLOGY Co.,Ltd. |