CN106203146A - 一种大数据安全管理系统 - Google Patents
一种大数据安全管理系统 Download PDFInfo
- Publication number
- CN106203146A CN106203146A CN201610785293.8A CN201610785293A CN106203146A CN 106203146 A CN106203146 A CN 106203146A CN 201610785293 A CN201610785293 A CN 201610785293A CN 106203146 A CN106203146 A CN 106203146A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- attribute
- cloud storage
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种大数据安全管理系统,包括云存储系统、数据预处理系统、云存储加解密系统、控制系统和安全管理中心。本发明通过全新的模块设计,提高了数据管理水平,增强了数据安全性。
Description
技术领域
本发明涉及大数据领域,具体涉及一种大数据安全管理系统。
背景技术
随着大数据系统的应用越来越广泛,其安全性非常重要:大数据市场年增迅速,近5年平均增速50%以上,数据爆发式增长,使得信息成为战略资产;大数据技术影响到国家治理、企业决策和人民生活等等;然而对大数据应用给信息安全提出了新的挑战(数据泄密影响重大:saleforce、GooglegTalk、CSDN,天涯等相继被曝用户数据泄漏;制约大数据业务的融合和应用发展);安全威胁大大提高,攻击者背景更加复杂(安全威胁的目标性、隐蔽性、破坏性都大大增加,攻击者的动机、目的、方法变得更加复杂)。
发明内容
为解决上述问题,本发明提供一种大数据安全管理系统。
本发明的目的采用以下技术方案来实现:
一种大数据安全管理系统,包括云存储系统、数据预处理系统、云存储加解密系统、控制系统和安全管理中心;所述云存储系统,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
本发明的有益效果为:
1、设置数据管理中心,便于实现数据统一管理,提高工作效率,节约成本;采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据;
2、设置数据预处理系统,先对需要存储到云存储系统中的数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;
3、通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了大数据存储的安全性能;
4、通过设置云存储加解密系统,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了大数据共享的安全性能;
5、设置安全管理中心,建立了完整的安全防护体系,实现了整个系统的安全管理。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明结构连接示意图。
图2是本发明数据预处理系统的结构示意图。
附图标记:
云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4、安全管理中心5、数据分割单元21、数据抽取单元22、访问控制安全策略优化单元23。
具体实施方式
结合以下实施例对本发明作进一步描述。
应用场景1
参见图1、图2,本应用场景的一个实施例的大数据安全管理系统,包括云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4和安全管理中心5;所述云存储系统1,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统2用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统3用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统4用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心5用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对数据存储、传输、访问过程中的安全进行综合考虑,不仅对数据进行加密,同时对数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本发明上述实施例设置数据管理中心,便于实现数据统一管理,提高工作效率,节约成本;采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述数据预处理系统2包括数据分割单元21、数据抽取单元22和访问控制安全策略优化单元23,所述数据分割单元21用于对所述用户需要上传的数据分割成多个互斥的数据集合;所述数据抽取单元22用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元23用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元22处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的数据存储至相应的物理存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将通过云存储加解密系统3加密后的剩余需存储到云存储器中的数据通过Internet网络传输到云端;其中,当云端接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统2,先对需要存储到云存储系统1中的数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了大数据存储的安全性能。
优选的,所述访云存储加解密系统3主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对剩余需存储到云存储器中的数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统3利用数据密钥对剩余需存储到云存储器中的数据加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统3,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了大数据共享的安全性能。
在此应用场景中,更新周期T取6,系统的安全性相对提高了12%。
应用场景2
参见图1、图2,本应用场景的一个实施例的大数据安全管理系统,包括云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4和安全管理中心5;所述云存储系统1,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统2用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统3用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统4用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心5用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对数据存储、传输、访问过程中的安全进行综合考虑,不仅对数据进行加密,同时对数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本发明上述实施例设置数据管理中心,便于实现数据统一管理,提高工作效率,节约成本;采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述数据预处理系统2包括数据分割单元21、数据抽取单元22和访问控制安全策略优化单元23,所述数据分割单元21用于对所述用户需要上传的数据分割成多个互斥的数据集合;所述数据抽取单元22用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元23用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元22处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的数据存储至相应的物理存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将通过云存储加解密系统3加密后的剩余需存储到云存储器中的数据通过Internet网络传输到云端;其中,当云端接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统2,先对需要存储到云存储系统1中的数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了大数据存储的安全性能。
优选的,所述访云存储加解密系统3主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对剩余需存储到云存储器中的数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统3利用数据密钥对剩余需存储到云存储器中的数据加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统3,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了大数据共享的安全性能。
在此应用场景中,更新周期T取7,系统的安全性相对提高了11%。
应用场景3
参见图1、图2,本应用场景的一个实施例的大数据安全管理系统,包括云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4和安全管理中心5;所述云存储系统1,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统2用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统3用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统4用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心5用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对数据存储、传输、访问过程中的安全进行综合考虑,不仅对数据进行加密,同时对数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本发明上述实施例设置数据管理中心,便于实现数据统一管理,提高工作效率,节约成本;采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述数据预处理系统2包括数据分割单元21、数据抽取单元22和访问控制安全策略优化单元23,所述数据分割单元21用于对所述用户需要上传的数据分割成多个互斥的数据集合;所述数据抽取单元22用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元23用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元22处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的数据存储至相应的物理存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将通过云存储加解密系统3加密后的剩余需存储到云存储器中的数据通过Internet网络传输到云端;其中,当云端接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统2,先对需要存储到云存储系统1中的数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了大数据存储的安全性能。
优选的,所述访云存储加解密系统3主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对剩余需存储到云存储器中的数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统3利用数据密钥对剩余需存储到云存储器中的数据加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统3,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了大数据共享的安全性能。
在此应用场景中,更新周期T取8,系统的安全性相对提高了10%。
应用场景4
参见图1、图2,本应用场景的一个实施例的大数据安全管理系统,包括云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4和安全管理中心5;所述云存储系统1,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统2用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统3用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统4用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心5用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对数据存储、传输、访问过程中的安全进行综合考虑,不仅对数据进行加密,同时对数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本发明上述实施例设置数据管理中心,便于实现数据统一管理,提高工作效率,节约成本;采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述数据预处理系统2包括数据分割单元21、数据抽取单元22和访问控制安全策略优化单元23,所述数据分割单元21用于对所述用户需要上传的数据分割成多个互斥的数据集合;所述数据抽取单元22用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元23用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元22处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的数据存储至相应的物理存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将通过云存储加解密系统3加密后的剩余需存储到云存储器中的数据通过Internet网络传输到云端;其中,当云端接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统2,先对需要存储到云存储系统1中的数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了大数据存储的安全性能。
优选的,所述访云存储加解密系统3主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对剩余需存储到云存储器中的数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统3利用数据密钥对剩余需存储到云存储器中的数据加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统3,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了大数据共享的安全性能。
在此应用场景中,更新周期T取9,系统的安全性相对提高了9%。
应用场景5
参见图1、图2,本应用场景的一个实施例的大数据安全管理系统,包括云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4和安全管理中心5;所述云存储系统1,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统2用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统3用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统4用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心5用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对云存储系统1、数据预处理系统2、云存储加解密系统3、控制系统4不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对数据存储、传输、访问过程中的安全进行综合考虑,不仅对数据进行加密,同时对数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本发明上述实施例设置数据管理中心,便于实现数据统一管理,提高工作效率,节约成本;采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述数据预处理系统2包括数据分割单元21、数据抽取单元22和访问控制安全策略优化单元23,所述数据分割单元21用于对所述用户需要上传的数据分割成多个互斥的数据集合;所述数据抽取单元22用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元23用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元22处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的数据存储至相应的物理存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将通过云存储加解密系统3加密后的剩余需存储到云存储器中的数据通过Internet网络传输到云端;其中,当云端接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统2,先对需要存储到云存储系统1中的数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了大数据存储的安全性能。
优选的,所述访云存储加解密系统3主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对剩余需存储到云存储器中的数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统3利用数据密钥对剩余需存储到云存储器中的数据加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统3,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了大数据共享的安全性能。
在此应用场景中,更新周期T取10,系统的安全性相对提高了8%。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。
Claims (5)
1.一种大数据安全管理系统,其特征在于,包括云存储系统、数据预处理系统、云存储加解密系统、控制系统和安全管理中心;所述云存储系统,包括本地存储器和云存储器,所述云存储器包括客户端和云端,所述客户端负责监控和捕获本地的系统操作,所述云端设置有数据管理中心,负责数据的存储、备份及查询,所述数据管理中心下设有各专业数据中心;所述数据预处理系统用于在客户端将用户需要上传的数据进行预处理;所述云存储加解密系统用于按照优化的访问控制安全策略对剩余需存储到云存储器中的数据进行加密或解密;所述控制系统用于将用户需要上传的数据存储至相应的物理存储设备;所述安全管理中心用于对各系统安全进行统一监控管理;所述负责数据的存储、备份及查询,包括:
(1)对数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给用户。
2.根据权利要求1所述的一种大数据安全管理系统,其特征在于,所述数据预处理系统包括数据分割单元、数据抽取单元和访问控制安全策略优化单元,所述数据分割单元用于对所述用户需要上传的数据分割成多个互斥的数据集合;所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
3.根据权利要求2所述的一种大数据安全管理系统,其特征在于,所述访云存储加解密系统主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对剩余需存储到云存储器中的数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统利用数据密钥对剩余需存储到云存储器中的数据加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
4.根据权利要求3所述的一种大数据安全管理系统,其特征在于,所述将用户需要上传的数据存储至相应的物理存储设备,包括:
(1)将小块数据存储至本地存储器,并对小块数据进行加密;
(2)将通过云存储加解密系统加密后的剩余需存储到云存储器中的数据通过Internet网络传输到云端;当云端接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
5.根据权利要求4所述的一种大数据安全管理系统,其特征在于,所述对各系统安全进行统一监控管理,包括:
(1)针对云存储系统、数据预处理系统、云存储加解密系统、控制系统不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对数据存储、传输、访问过程中的安全进行综合考虑,不仅对数据进行加密,同时对数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610785293.8A CN106203146B (zh) | 2016-08-30 | 2016-08-30 | 一种大数据安全管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610785293.8A CN106203146B (zh) | 2016-08-30 | 2016-08-30 | 一种大数据安全管理系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106203146A true CN106203146A (zh) | 2016-12-07 |
CN106203146B CN106203146B (zh) | 2017-04-26 |
Family
ID=58087297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610785293.8A Active CN106203146B (zh) | 2016-08-30 | 2016-08-30 | 一种大数据安全管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106203146B (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107395694A (zh) * | 2017-07-04 | 2017-11-24 | 深圳齐心集团股份有限公司 | 一种大数据管理系统 |
CN107491472A (zh) * | 2017-06-22 | 2017-12-19 | 浙江力石科技股份有限公司 | 一种基于生命周期的大数据平台敏感数据安全共享系统和方法 |
CN107682395A (zh) * | 2017-08-24 | 2018-02-09 | 潍坊科技学院 | 一种大数据云计算运行系统及方法 |
CN107911567A (zh) * | 2017-11-10 | 2018-04-13 | 西安电子科技大学 | 一种抵抗打印机物理攻击的系统和方法 |
CN107995298A (zh) * | 2017-12-07 | 2018-05-04 | 成都博睿德科技有限公司 | 并行云计算的数据重用方法 |
CN108021677A (zh) * | 2017-12-07 | 2018-05-11 | 成都博睿德科技有限公司 | 云计算分布式检索引擎的控制方法 |
CN108055256A (zh) * | 2017-12-07 | 2018-05-18 | 成都博睿德科技有限公司 | 云计算SaaS的平台高效部署方法 |
CN108427712A (zh) * | 2018-01-31 | 2018-08-21 | 佛山市聚成知识产权服务有限公司 | 一种实现大数据安全的系统 |
CN108763599A (zh) * | 2018-07-12 | 2018-11-06 | 江苏慧学堂系统工程有限公司 | 一种计算机数据采集装置及方法 |
CN108985083A (zh) * | 2018-07-12 | 2018-12-11 | 江苏慧学堂系统工程有限公司 | 一种计算机数据安全管理系统及方法 |
CN110598440A (zh) * | 2019-08-08 | 2019-12-20 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
CN112417473A (zh) * | 2020-11-20 | 2021-02-26 | 季速漫 | 一种大数据安全管理系统 |
CN113535091A (zh) * | 2021-07-20 | 2021-10-22 | 国网新疆电力有限公司信息通信公司 | 一种大数据网络云储存防护系统及方法 |
CN115208641A (zh) * | 2022-06-27 | 2022-10-18 | 陕西恒简网络科技有限公司 | 一种基于互联网数据安全运行的软件方法 |
CN115238320A (zh) * | 2022-09-26 | 2022-10-25 | 国网山东省电力公司五莲县供电公司 | 一种电力数据存储管理方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664928A (zh) * | 2012-04-01 | 2012-09-12 | 南京邮电大学 | 一种用于云存储的数据安全存取方法及用户端系统 |
US20140325600A1 (en) * | 2013-04-29 | 2014-10-30 | Sap Ag | Information level agreements for enterprise cloud data |
CN104809407A (zh) * | 2015-05-05 | 2015-07-29 | 南京信息工程大学 | 云存储前端数据加解密及校验方法和系统 |
CN105450636A (zh) * | 2015-11-06 | 2016-03-30 | 长春智信创联科技有限公司 | 一种云计算管理系统及云计算管理系统的管理方法 |
CN105608155A (zh) * | 2015-12-17 | 2016-05-25 | 北京华油信通科技有限公司 | 海量数据分布式存储系统 |
-
2016
- 2016-08-30 CN CN201610785293.8A patent/CN106203146B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664928A (zh) * | 2012-04-01 | 2012-09-12 | 南京邮电大学 | 一种用于云存储的数据安全存取方法及用户端系统 |
US20140325600A1 (en) * | 2013-04-29 | 2014-10-30 | Sap Ag | Information level agreements for enterprise cloud data |
CN104809407A (zh) * | 2015-05-05 | 2015-07-29 | 南京信息工程大学 | 云存储前端数据加解密及校验方法和系统 |
CN105450636A (zh) * | 2015-11-06 | 2016-03-30 | 长春智信创联科技有限公司 | 一种云计算管理系统及云计算管理系统的管理方法 |
CN105608155A (zh) * | 2015-12-17 | 2016-05-25 | 北京华油信通科技有限公司 | 海量数据分布式存储系统 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107491472A (zh) * | 2017-06-22 | 2017-12-19 | 浙江力石科技股份有限公司 | 一种基于生命周期的大数据平台敏感数据安全共享系统和方法 |
CN107395694A (zh) * | 2017-07-04 | 2017-11-24 | 深圳齐心集团股份有限公司 | 一种大数据管理系统 |
CN107682395A (zh) * | 2017-08-24 | 2018-02-09 | 潍坊科技学院 | 一种大数据云计算运行系统及方法 |
CN107911567A (zh) * | 2017-11-10 | 2018-04-13 | 西安电子科技大学 | 一种抵抗打印机物理攻击的系统和方法 |
CN107995298A (zh) * | 2017-12-07 | 2018-05-04 | 成都博睿德科技有限公司 | 并行云计算的数据重用方法 |
CN108021677A (zh) * | 2017-12-07 | 2018-05-11 | 成都博睿德科技有限公司 | 云计算分布式检索引擎的控制方法 |
CN108055256A (zh) * | 2017-12-07 | 2018-05-18 | 成都博睿德科技有限公司 | 云计算SaaS的平台高效部署方法 |
CN108427712A (zh) * | 2018-01-31 | 2018-08-21 | 佛山市聚成知识产权服务有限公司 | 一种实现大数据安全的系统 |
CN108763599A (zh) * | 2018-07-12 | 2018-11-06 | 江苏慧学堂系统工程有限公司 | 一种计算机数据采集装置及方法 |
CN108985083A (zh) * | 2018-07-12 | 2018-12-11 | 江苏慧学堂系统工程有限公司 | 一种计算机数据安全管理系统及方法 |
CN110598440A (zh) * | 2019-08-08 | 2019-12-20 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
CN112417473A (zh) * | 2020-11-20 | 2021-02-26 | 季速漫 | 一种大数据安全管理系统 |
CN113535091A (zh) * | 2021-07-20 | 2021-10-22 | 国网新疆电力有限公司信息通信公司 | 一种大数据网络云储存防护系统及方法 |
CN113535091B (zh) * | 2021-07-20 | 2022-10-25 | 国网新疆电力有限公司信息通信公司 | 一种大数据网络云储存防护系统及方法 |
CN115208641A (zh) * | 2022-06-27 | 2022-10-18 | 陕西恒简网络科技有限公司 | 一种基于互联网数据安全运行的软件方法 |
CN115238320A (zh) * | 2022-09-26 | 2022-10-25 | 国网山东省电力公司五莲县供电公司 | 一种电力数据存储管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106203146B (zh) | 2017-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106203146B (zh) | 一种大数据安全管理系统 | |
TWI714219B (zh) | 基於區塊鏈的業務資料加密方法及裝置 | |
Yang et al. | A blockchain-based approach to the secure sharing of healthcare data | |
Zhu et al. | TBAC: Transaction-based access control on blockchain for resource sharing with cryptographically decentralized authorization | |
CN102687133B (zh) | 用于可信计算和数据服务的无容器数据 | |
CN112765650A (zh) | 一种属性基可搜索加密的区块链医疗数据共享方法 | |
CN106131225A (zh) | 用于医疗病例信息访问的安全系统 | |
CN106127075A (zh) | 一种云存储环境下基于隐私保护的可搜索加密方法 | |
CN102821096A (zh) | 一种分布式存储系统及其文件共享方法 | |
CN106599719A (zh) | 支持高效密钥管理的密文检索方法 | |
CN106326666A (zh) | 一种健康档案信息管理服务系统 | |
CN111008855B (zh) | 一种基于改进代理重加密的追溯数据访问控制方法 | |
CN105516117A (zh) | 一种基于云计算的电力数据安全存储方法 | |
CN106356066A (zh) | 一种基于云计算的语音识别系统 | |
Esther et al. | Trustworthy cloud storage data protection based on blockchain technology | |
CN106161654A (zh) | 一种云教育系统 | |
CN106254510A (zh) | 互联网金融资源整合共享系统 | |
CN113127927A (zh) | 一种许可链数据共享及监管的属性重构加密方法及系统 | |
CN106131224A (zh) | 一种数据传输系统 | |
CN116663046A (zh) | 基于区块链的隐私数据共享和检索方法、系统及设备 | |
CN114124392B (zh) | 支持访问控制的数据可控流通方法、系统、设备和介质 | |
Nasereddin et al. | An object oriented programming on encrypted database system (CryptDB) | |
De Capitani di Vimercati et al. | Protecting data and queries in cloud-based scenarios | |
CN106230856A (zh) | 一种基于物联网的工业设备监控系统 | |
Tian et al. | A trusted control model of cloud storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |