CN110321695B - 大数据系统密码服务方法、装置 - Google Patents
大数据系统密码服务方法、装置 Download PDFInfo
- Publication number
- CN110321695B CN110321695B CN201910624681.1A CN201910624681A CN110321695B CN 110321695 B CN110321695 B CN 110321695B CN 201910624681 A CN201910624681 A CN 201910624681A CN 110321695 B CN110321695 B CN 110321695B
- Authority
- CN
- China
- Prior art keywords
- big data
- physical
- machine
- cipher machine
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种大数据系统密码服务方法、装置,应用于所述大数据系统的大数据节点,在预置的物理密码机集群中选取目标物理密码机进行连接;发送选取请求至目标物理密码机,以使目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取启动对应的一个虚拟密码机;将大数据计算任务或数据访问任务的密码服务请求通过物理密码机传输至虚拟密码机进行处理。本公开涉及的一种大数据系统密码服务方法、装置,可以简便、灵活的为每个大数据计算任务或数据访问任务分配虚拟密码机,从而可以简便、灵活地处理每个密码服务请求,适应性高。
Description
技术领域
本公开涉及大数据技术领域,更具体地说,涉及大数据系统密码服务方法、装置。
背景技术
在大数据系统中,大数据计算和存储等处理系统面对的是由海量的较小规模较小数据量的小型计算和存储任务所汇集成的超大规模超大数据容量超高复杂度的数据计算和存储需求。对于有数据机密性和完整性需求的大数据处理,相关的高性能密码设备或者密码设备集群已无法适应大数据系统的需求。
综上所述,如何为大数据系统提供一种适应性高的密码服务方法是目前本领域技术人员亟待解决的问题。
发明内容
本公开的目的是提供一种大数据系统密码服务方法,其能在一定程度上解决如何为大数据系统提供一种适应性高的密码服务方法的技术问题。本公开还提供了一种大数据系统密码服务装置、电子设备及计算机可读存储介质。
根据本公开实施例的第一方面,提供一种大数据系统密码服务方法,应用于所述大数据系统的大数据节点,包括:
预置的物理密码机集群中选取目标物理密码机进行连接;
发送选取请求到所述目标物理密码机,以使所述目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取对应的虚拟密码机;
将所述大数据计算任务或所述数据访问任务的密码服务请求通过所述物理密码机传输至所述虚拟密码机进行处理。
本公开实施例涉及的一种大数据系统密码服务方法,应用于物理密码机集群的物理密码机,包括:
在所述大数据节点的选择下,建立与所述大数据节点的连接;
接收所述大数据节点发送的选取请求,选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务;
接收所述大数据节点发送的大数据计算任务或数据访问任务对应的密码服务请求;
调用所述虚拟密码机处理所述密码服务请求;
返回处理所述密码服务请求后的密码服务结果至所述大数据节点。
根据本公开实施例的第二方面,提供一种大数据系统密码服务装置,应用于所述大数据系统的大数据节点,包括:
第一连接模块,用于在预置的物理密码机集群中选取目标物理密码机进行连接;
第一发送模块,用于发送选取请求至所述目标物理密码机,以使所述目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取启动对应的一个虚拟密码机;
第二发送模块,用于将所述大数据计算任务或所述数据访问任务的密码服务请求发送至所述虚拟密码机进行处理。
本公开实施例涉及的一种大数据系统密码服务装置,应用于物理密码机集群的物理密码机,包括:
第一建立模块,用于在所述大数据节点的选择下,建立与所述大数据节点的连接;
第一选取模块,用于接收所述大数据节点发送的选取请求,选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务;
第一接收模块,用于接收所述大数据节点发送的大数据计算任务或数据访问任务对应的密码服务请求;
第一调用模块,用于调用所述虚拟密码机处理所述密码服务请求;
第一返回模块,用于返回处理所述密码服务请求后的密码服务结果至所述大数据节点。
根据本公开实施例的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,应用于大数据系统的大数据节点,所述计算机程序被处理器执行时实现如上任一所述方法的步骤。
本剧本公开实施例的第四方面,提供一种电子设备,应用于大数据系统的大数据节点,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现如上任一项所述方法的步骤。
本公开提供的一种大数据系统密码服务方法,应用于大数据系统的大数据节点,在预置的物理密码机集群中选取目标物理密码机进行连接;发送选取请求至目标物理密码机,以使目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取启动对应的一个虚拟密码机;将大数据计算任务或数据访问任务的密码服务请求发送至虚拟密码机进行处理。本公开提供的一种大数据系统密码服务方法,大数据节点在预置的物理密码机集群中选取目标物理密码机连接,并将大数据计算任务或数据访问任务的密码服务请求发送至目标物理密码机上选取的虚拟密码机进行处理,从而可以简便、灵活的为每个大数据计算任务或数据访问任务分配虚拟密码机,从而可以简便、灵活地处理每个密码服务请求,适应性高。本公开提供的大数据系统密码服务装置、电子设备及计算机可读存储介质也解决了相应技术问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为根据一示例性实施例示出的一种大数据系统密码服务方法的第一流程图;
图2为根据一示例性实施例示出的一种大数据系统密码服务方法的第二流程图;
图3为根据一示例性实施例示出的一种大数据系统密码服务装置的第一结构示意图;
图4为根据一示例性实施例示出的一种大数据系统密码服务装置的第二结构示意图;
图5为根据一示例性实施例示出的大数据密码系统的结构示意图;
图6为根据一示例性实施例示出的一种电子设备500的框图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
请参阅图1,图1为根据一示例性实施例示出的一种大数据系统密码服务方法的第一流程图。
本公开涉及的一种大数据系统密码服务方法,应用于大数据系统的大数据节点,可以包括以下步骤:
步骤S101:在预置的物理密码机集群中选取目标物理密码机进行连接。
可以理解的是,本公开涉及的大数据系统密码服务方法中,大数据系统指的是具备大容量(Volume)、快速化(Velocity)、多样化(Variety)、低价值密度(Value)特点的数据集合及其采集、传输、处理、存储等相关技术的系统;且预先预置有物理密码机集群,物理密码机集群中包含预设数量的物理密码机,物理密码机指的是以实体硬件形式存在的密码机,其可以为用户提供数据的对称/非对称加密解密、数据的完整性校验、数字签名和验证、密钥的生成和存储等密码相关服务;大数据节点可以为大数据系统中的计算节点或存储节点等。大数据节点可以在预置的物理密码机集群中选取目标物理密码机进行连接,从而使得目标物理密码机可以为该大数据节点进行密码服务。可选的,大数据节点可以以接口库的形式负责向大数据节点所运行的密码服务任务提供数据加解密、数字签名验证、密码杂凑、密钥管理等密码服务接口,并根据不同的应用需求对这些接口按照PKCS11、CSP、中国商用密码标准《密码设备应用接口规范》等不同的接口标准和不同的大数据系统(Hadoop/HDFS、Spark等)及开发语言(Java、Scala、Python等)进行适配处理。
步骤S102:发送选取请求到目标物理密码机,以使目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取对应的虚拟密码机。步骤S103:将大数据计算任务或数据访问任务的密码服务请求通过物理密码机传输至虚拟密码机进行处理。
可以理解的是,大数据节点在选取目标物理密码机后,便可以请求目标物理密码机为需要调用密码服务的新建大数据计算任务或新建数据访问任务选取虚拟密码机,从而使得虚拟物理密码机处理密码服务请求。当目标虚拟密码机处理完密码服务请求后,大数据节点可以接收目标虚拟密码机返回的处理结果,也可以主动读取目标虚拟密码机得到的处理结果等。密码服务请求的内容及类型可以根据实际需要确定,比如其可以为对数据访问任务中的数据进行对称加密运算等。
本公开提供的一种大数据系统密码服务方法,应用于大数据系统的大数据节点,大数据节点在预置的物理密码机集群中选取目标物理密码机进行连接;发送选取请求至目标物理密码机,以使目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取启动对应的一个虚拟密码机;将大数据计算任务或数据访问任务的密码服务请求通过物理密码机传输至虚拟密码机进行处理。本公开提供的一种大数据系统密码服务方法,大数据节点在预置的物理密码机集群中选取目标物理密码机连接,并将大数据计算任务或数据访问任务的密码服务请求发送至目标物理密码机上选取的虚拟密码机进行处理,从而可以简便、灵活的为每个大数据计算任务或数据访问任务分配虚拟密码机,从而可以简便、灵活地处理每个密码服务请求,适应性高。
在第一实施例中,大数据节点在物理密码机集群中选取目标物理密码机时,为了保证目标物理密码机处理密码服务任务的效率,可以选取物理密码机集群中性能较好的物理密码机作为目标物理密码机,则在预置的物理密码机集群中选取目标物理密码机进行连接的步骤可以为:读取自身保存的密码机状态表,并基于性能评价公式计算物理密码机集群中各个物理密码机的性能分数;选取数值最小的性能分数对应的物理密码机为目标物理密码机,并进行连接;其中,密码机状态表中保存有应用性能评价公式时所需的参数,且参数的数值由大数据节点从大数据系统的存储系统中读取,并写入至密码机状态表,性能评价公式包括:
y=(a*w1+b*w2+c*w3+d*w4)*f;
其中,y表示性能分数;a表示CPU占用率值;w1表示CPU权重;b表示内存占用率值;w2表示内存权重;c表示网络带宽占用率值;w3表示网络带宽权重;d表示网络连接占用率值;w4表示网络连接权重;f表示网络时延值,网络时延值为大数据节点调用物理密码机进行密码服务时的往返时延值。
在第一实施例中,为了保证本公开涉及的大数据系统密码服务方法的安全性,可以从增强大数据节点与目标物理密码机之间通信连接的安全性角度,来增强本公开涉及的大数据系统密码服务方法的安全性,则在预置的物理密码机集群中选取目标物理密码机进行连接的步骤可以为:在预置的物理密码机集群中选取目标物理密码机;在大数据系统的存储系统中读取大数据节点与目标物理密码机对应的加密安全通道参数,加密安全通道参数为基于大数据节点的公钥对安全通道参数加密后得到的参数;基于大数据节点的私钥对加密安全通道参数进行解密,得到安全通道参数;基于安全通道参数建立与目标物理密码机之间的安全通道;其中,安全通道包括基于大数据节点的公私钥对、大数据节点的数字证书及物理密码机集群的公私钥对、物理密码机集群的安全证书建立的通道。
大数据系统的存储系统主要包括GFS和HDFS等分布式文件系统,大数据系统的存储系统(如HDFS等分布式存储系统)一般由主控节点、元数据节点、数据节点、客户端等组成部分,大多采取数据分片分块存储和多副本存储策略来提高数据读写效率和可靠性。不难理解,在第一次建立安全通道时,大数据节点和目标物理密码机可以根据大数据节点的公私钥对、大数据节点的数字证书及物理密码机集群的公私钥对、物理密码机集群的安全证书,采用SSL/TLS(传输层安全)或SASL(简单认证和安全层)协议来建立安全通道,在此过程中,大数据节点的公私钥对和大数据节点的数字证书可以在大数据节点初始化时,由大数据节点自身生成,当然,大数据节点的数字证书也可以由CA签发;物理密码机集群的公私钥对和数字证书可以由物理密码机集群中第一个创建的物理密码机生成,当然,物理密码机集群的数字证书可以由CA签发,应当指出,物理密码机集群的公私钥对和数字证书由物理密码机集群中所有的物理密码机共用,此种情况下,每个大数据节点和目标物理密码机之间的安全通道的不同便由大数据节点自身的公私钥对和数字证书决定。此外,在第一次建立安全通道后,大数据节点可以通过自身的公钥对安全通道参数进行加密,并将加密后的安全通道参数存储至大数据系统的存储系统。
在第一实施例中,大数据节点和目标物理密码机连接后,若大数据节点的密码服务请求一直由目标物理密码机上运行的目标虚拟密码机进行处理,则目标物理密码机和目标虚拟密码机的负载会一直增大,最终会使得目标物理密码机和目标虚拟密码机处理密码服务请求的能力下降,为了避免目标物理密码机和目标虚拟密码机能力的下降使得密码服务请求的处理效率降低,大数据节点将大数据计算任务或数据访问任务的密码服务请求通过物理密码机传输至目标物理密码机上选取的虚拟密码机进行处理之后,还可以在目标物理密码机的负载大于预设负载值或目标物理密码机的通信能力小于预设能力值时,或虚拟密码机处理密码服务请求出现时延大于预设时延值或出现丢包时,在目标物理密码机中启动新的虚拟密码机,或重新在物理密码机集群连接新的物理密码机,或将新的物理密码机加入物理密码机集群并进行连接。当然,还可以有其他执行重新在物理密码机集群连接新的物理密码机或增加新的物理密码机进行连接的条件。
在第一实施例中,虚拟密码机处理密码服务请求时,可能应用到公私钥对,则本公开涉及的大数据系统密码服务方法中,大数据节点还可以在新建大数据作业或新建大数据用户时,请求目标物理密码机为大数据作业或大数据用户的虚拟密码机集群生成共享公私钥对;其中,大数据计算任务或数据访问任务从属于大数据作业或大数据用户,一个大数据作业或大数据用户拥有多个大数据计算任务或数据访问任务,虚拟密码机属于大数据作业或大数据用户对应的虚拟密码机集群。实际应用中,目标物理密码机接收大数据节点发送的为虚拟密码机集群生成共享公私钥对的请求后,可以为虚拟密码机集群生成公私钥对;基于物理密码机集群的公钥对虚拟密码机集群的公私钥对加密并存入大数据系统的存储系统;并在虚拟密码机集群中新建虚拟密码机时,从大数据系统的存储系统中,读取加密后的虚拟密码机集群的公私钥对,基于物理密码机集群的私钥进行解密,并将虚拟密码机集群的公私钥对存储至新建的虚拟密码机。不难理解,借助大数据系统的存储系统,可以快速、灵活地为新建虚拟密码机分配公私钥对。
在第一实施例中,大数据节点在预置的物理密码机集群中选取目标物理密码机进行连接之前,还可以生成大数据节点的公私钥对及大数据节点的数字证书;将大数据节点的公钥保存至大数据系统的存储系统。大数据节点的公钥保存至大数据系统的存储系统后,大数据系统中的其他组件在需要大数据系统的公钥时,便可以直接从大数据系统的存储系统中读取,可以提高大数据节点的公钥的传输效率。大数据系统的公钥在大数据系统的存储系统中的保存方式可以根据实际需要确定,比如可以将大数据节点的标识作为键、将大数据节点的公钥作为值,采用键值对的形式将大数据节点的公钥保存至大数据系统的存储系统。
在第一实施例中,虚拟密码机的寿命可以由大数据系统的作业或用户决定,即大数据计算任务或数据访问任务从属的大数据作业结束或大数据用户注销后,虚拟密码机便结束寿命,此时,为了节省资源,还可以释放目标物理密码机上该作业或用户所占用的其他资源,以便目标物理密码机可以为其他作业或用户服务,则本公开涉及的大数据系统密码服务方法中,还可以包括:当大数据作业结束或大数据用户注销后,发送释放指令至目标物理密码机,以使目标物理密码机关闭处理密码服务请求的虚拟密码机并释放提供处理密码服务所需的资源。
请参阅图2,图2为根据一示例性实施例示出的一种大数据系统密码服务方法的第二流程图。
本公开涉及的一种大数据系统密码服务方法,应用于物理密码机集群的物理密码机时,可以包括以下步骤:
S201:在大数据节点的选择下,建立与大数据节点的连接。
S202:接收大数据节点发送的选取请求,选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务。
S203:接收大数据节点发送的大数据计算任务或者数据访问任务对应的密码服务请求。
步骤S204:调用虚拟密码机处理密码服务任务请求。
步骤S205:返回处理密码服务请求后的密码服务结果至大数据节点。
本公开涉及的大数据系统密码服务方法,应用于物理密码机集群的物理密码机时的描述可以参阅应用于大数据节点中时的相关描述,在此不再赘述。
在第二实施例中,如果仅仅使用物理密码机处理密码服务任务,则会出现一个密码服务任务占用一个物理密码机的情况,使得物理密码机的使用率较低,为了提高物理密码机的使用率,选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务的过程可以为:在大数据计算任务或数据访问任务对应的虚拟密码机集群中,选取待处理密码服务请求量最小的虚拟密码机作为目标虚拟密码机;相应的,调用虚拟密码机处理密码服务请求的过程可以为:发送密码服务请求至目标虚拟密码机,以使目标虚拟密码机基于物理密码机的密码运算部件和密钥存储部件对密码服务请求进行处理;其中,虚拟密码机集群中的各个虚拟密码机由轻量级的容器实现,虚拟密码机和容器一一对应;虚拟密码机集群的公私钥对和虚拟密码机集群的数字证书由物理密码机生成;目标虚拟密码机处理密码服务请求生成的密码服务参数由虚拟密码机集群的公钥加密后存入大数据系统的存储系统;虚拟密码机通过虚拟交换机与物理密码机的宿主机进行通信,不同虚拟密码机集群通过虚拟交换机的不同VLAN进行隔离,属于同一个虚拟密码机集群的虚拟密码机划入同一个VLAN;且物理密码机上运行的各个虚拟密码机通过多进程共享的方式调用密码运算部件和密钥存储部件。
可以理解的是,每个大数据计算任务或数据访问任务对应物理密码机集群中的一个虚拟密码机集群,可以是对应与从属的大数据作业或大数据用户的虚拟密码机集群,虚拟密码机集群中的不同虚拟密码机可以位于不同的物理密码机。物理密码机上运行的虚拟密码机的数量可以根据实际需要确定,可以根据密码运算的类型确定,也可以根据物理密码机的密码运算部件和密钥存储部件支持的最大进程数和物理密码机支持的最大容器数两者的最小值确定;虚拟密码机的密码服务能力可以对所在物理密码机密码运算部件的运算能力和密钥存储部件的存储能力均分后来确定。虚拟密码机指的是采用虚拟化技术创建的密码机,虚拟化技术是指通过虚拟化技术将一台计算机虚拟为多台计算机,在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率;创建虚拟密码机的容器指的是一种轻量级的虚拟化技术,容器为应用程序提供了隔离的运行空间,每个容器内都包含一个独享的完整的用户环境空间,并且一个容器内的变动不会影响其他容器的运行环境,容器之间共享一个操作系统内核,使用一些特殊的系统机制如Linux操作系统的namespaces来进行空间隔离,容器引擎(如Docker,类似于VMM)负责容器的全生命周期管理。此外,虚拟密码机集群中的所有虚拟密码机共用该虚拟密码机集群的公私钥对和数字证书,物理密码机生成虚拟密码机集群的公私钥对和数字证书后,可以将该虚拟密码机集群的公私钥对和数字证书存储至大数据系统的存储系统,这样,物理密码机创建新的虚拟密码机时,可以直接从大数据系统的虚拟密码机中读取虚拟密码机集群的公私钥对和数字证书,并存储至新的虚拟密码机。
本公开涉及的大数据密码服务方法中,虚拟密码机提供密码服务时,可能需要公私钥对,为了满足虚拟密码机的需求,并且可以灵活的为虚拟密码机分配公私钥对,物理密码机选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务之前,还可以接收大数据节点发送的为虚拟密码机集群生成共享公私钥对的请求,并为虚拟密码机集群生成公私钥对;基于物理密码机集群的公钥对虚拟密码机集群的公私钥对加密并存入大数据系统的存储系统;其中,当在虚拟密码机集群中新建虚拟密码机时,物理密码机可以从大数据系统的存储系统中,读取加密后的虚拟密码机集群的公私钥对,基于物理密码机集群的私钥进行解密,并将虚拟密码机集群的公私钥对存储至新建的虚拟密码机。
可以理解的是,为了提高物理密码机与大数据节点间建立安全通道的速率,物理密码机在建立与大数据节点的连接时,可以在大数据系统的存储系统中读取与目标物理密码机和大数据节点对应的加密安全通道参数,加密安全通道参数为基于目标物理密码机集群的公钥对安全通道参数加密后得到的参数;基于目标物理密码机集群的私钥对加密安全通道参数进行解密,得到安全通道参数;基于安全通道参数建立与大数据节点之间的安全通道;其中,安全通道包括基于大数据节点的公私钥对、大数据节点的数字证书及物理密码机集群的公私钥对、物理密码机集群的安全证书建立的通道。实际应用中,物理密码机在第一次与大数据节点建立安全通道后,便可以应用物理密码机集群的公钥对安全通道参数进行加密,并将加密后的安全通道参数存储至大数据系统的存储系统。
本公开涉及的大数据系统密码服务方法中,为了便于大数据系统选取目标物理密码机,物理密码机可以定期将自身的性能参数写入大数据系统的存储系统;其中,性能参数包括CPU占用率值、内存占用率值、网络带宽占用率值、网络连接占用率值等。当然,也可以是物理密码机加入物理密码机集群时,将自身的性能参数写入大数据系统的存储系统。
当物理密码机第一次加入物理密码机集群时,可以借助一次性授权码将物理密码机集群的参数同步给物理密码机,一次性授权码指的是只能应用一次的授权码,借助一次性授权码可以保证物理密码机集群的参数的安全性,则本公开涉及的大数据系统密码服务方法中,当新的物理密码机加入物理密码机集群时,接收一次性授权码及新的物理密码机的IP地址;采用一次性授权码对自身保存的物理密码机集群的公私钥对和物理密码机集群的数字证书进行加密,得到加密结果;基于新的物理密码机的IP地址发送加密结果至新的物理密码机;其中,新的物理密码机对加密结果进行处理的过程包括:验证自身接收的IP地址是否与物理密码机的IP地址一致,若自身接收的IP地址与物理密码机的IP地址一致,则基于自身接收的一次性授权码对加密结果进行解密,若解密成功,则得到物理密码机集群的公私钥对和物理密码机集群的数字证书。实际应用中,物理密码机离线后,可以自动删除自身保存的物理密码机集群的公私钥对和物理密码机集群的数字证书。
实际应用中,本公开涉及的一种大数据系统密码服务方法可以包括以下步骤:
大数据节点读取自身保存的密码机状态表,并基于性能评价公式计算物理密码机集群中各个物理密码机的性能分数;选取数值最小的性能分数对应的物理密码机为目标物理密码机;
其中,密码机状态表中保存有应用性能评价公式时所需的参数,且参数的数值由大数据节点从大数据系统的存储系统中读取,并写入至密码机状态表,性能评价公式包括:
y=(a*w1+b*w2+c*w3+d*w4)*f;
其中,y表示性能分数;a表示CPU占用率值;w1表示CPU权重;b表示内存占用率值;w2表示内存权重;c表示网络带宽占用率值;w3表示网络带宽权重;d表示网络连接占用率值;w4表示网络连接权重;f表示网络时延值,网络时延值为大数据节点调用物理密码机进行密码服务时的往返时延值;
大数据节点在大数据系统的存储系统中读取大数据节点与目标物理密码机对应的加密安全通道参数,加密安全通道参数为基于大数据节点的公钥对安全通道参数加密后得到的参数;基于大数据节点的私钥对加密安全通道参数进行解密,得到安全通道参数;基于安全通道参数建立与目标物理密码机之间的安全通道;
大数据节点基于安全通道将密码服务请求发送至目标物理密码机;
目标物理密码机接收密码服务请求,在新建作业或新建用户对应的自身的虚拟密码机集群中,选取待处理密码服务请求量最小的虚拟密码机作为目标虚拟密码机;发送密码服务请求至目标虚拟密码机;
目标虚拟密码机基于物理密码机的密码运算部件和密钥存储部件对密码服务请求进行处理,返回处理密码服务请求后的密码服务结果至大数据节点;
当作业结束或用户注销后,大数据节点发送释放指令至目标物理密码机;
目标物理密码机关闭处理密码服务请求的虚拟密码机并释放占用的相关资源。
请参阅图3,图3为根据一示例性实施例示出的一种大数据系统密码服务装置的第一结构示意图。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置300,可以包括:
第一连接模块310,用于在预置的物理密码机集群中选取目标物理密码机进行连接;
第一发送模块320,用于发送选取请求至目标物理密码机,以使目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取启动对应的一个虚拟密码机;
第二发送模块330,用于将大数据计算任务或数据访问任务的密码服务请求发送至虚拟密码机进行处理。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置,第一连接模块可以包括:
第一读取单元,用于读取自身保存的密码机状态表,并基于性能评价公式计算物理密码机集群中各个物理密码机的性能分数;
第一选取单元,用于选取数值最小的性能分数对应的物理密码机为目标物理密码机,并进行连接;
其中,密码机状态表中保存有应用性能评价公式时所需的参数,且参数的数值由大数据节点从大数据系统的存储系统中读取,并写入至密码机状态表,性能评价公式包括:
y=(a*w1+b*w2+c*w3+d*w4)*f;
其中,y表示性能分数;a表示CPU占用率值;w1表示CPU权重;b表示内存占用率值;w2表示内存权重;c表示网络带宽占用率值;w3表示网络带宽权重;d表示网络连接占用率值;w4表示网络连接权重;f表示网络时延值,网络时延值为大数据节点调用物理密码机进行密码服务时的往返时延值。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置,第一连接模块可以包括:
第二选取单元,用于在预置的物理密码机集群中选取目标物理密码机;
第二读取单元,用于在大数据系统的存储系统中读取大数据节点与目标物理密码机对应的加密安全通道参数,加密安全通道参数为基于大数据节点的公钥对安全通道参数加密后得到的参数;
第一解密单元,用于基于大数据节点的私钥对加密安全通道参数进行解密,得到安全通道参数;
第一建立单元,用于基于安全通道参数建立与目标物理密码机之间的安全通道;
其中,安全通道包括基于大数据节点的公私钥对、大数据节点的数字证书及物理密码机集群的公私钥对、物理密码机集群的安全证书建立的通道。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置,还可以包括:
第一重选模块,用于第二发送模块将大数据计算任务或数据访问任务的密码服务请求发送至虚拟密码机进行处理之后,当目标物理密码机的负载大于预设负载值或目标物理密码机的通信能力小于预设能力值,或虚拟密码机处理密码服务请求出现时延大于预设时延值或出现丢包时,在目标物理密码机中启动新的虚拟密码机,或重新在物理密码机集群连接新的物理密码机,或将新的物理密码机加入物理密码机集群并进行连接。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置,还可以包括:
第一请求模块,用于在大数据节点新建大数据作业或新建大数据用户时,请求目标物理密码机为大数据作业或大数据用户的虚拟密码机集群生成共享公私钥对密钥;其中,大数据计算任务或数据访问任务从属于大数据作业或大数据用户,一个大数据作业或大数据用户拥有多个大数据计算任务或数据访问任务,虚拟密码机属于大数据作业或大数据用户对应的虚拟密码机集群。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置,还可以包括:
第一生成模块,用于第一选取模块在预置的物理密码机集群中选取目标物理密码机进行连接之前,生成大数据节点的公私钥对及大数据节点的数字证书;
第一保存模块,用于将大数据节点的公钥保存至大数据系统的存储系统。
本公开涉及的应用于大数据系统的大数据节点的大数据系统密码服务装置,还可以包括:
第三发送模块,用于当大数据计算任务或所述数据访问任务从属的大数据作业结束或大数据用户注销后,发送释放指令至目标物理密码机,以使目标物理密码机关闭处理密码服务请求的虚拟密码机并释放提供密码服务所需的资源。
请参阅图4,图4为根据一示例性实施例示出的一种大数据系统密码服务装置的第二结构示意图。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置400,可以包括:
第一建立模块410,用于在大数据节点的选择下,建立与大数据节点的连接;
第一选取模块420,用于接收大数据节点发送的选取请求,并选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务;
第一接收模块430,用于接收大数据节点发送的大数据计算任务或者数据访问任务对应的密码服务请求;
第一调用模块440,用于调用虚拟密码机处理密码服务请求;
第一返回模块450,用于返回处理密码服务请求后的密码服务结果至大数据节点。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置,第一选取模块包括:
第三选取单元,用于在大数据计算任务或数据访问任务对应的虚拟密码机集群中,选取待处理密码服务请求量最小的虚拟密码机作为目标虚拟密码机;
第一调用模块可以包括:
第一发送单元,用于发送密码服务请求至目标虚拟密码机,以使目标虚拟密码机基于物理密码机的密码运算部件和密钥存储部件对密码服务请求进行处理;
其中,虚拟密码机集群中的各个虚拟密码机由轻量级的容器实现,虚拟密码机和容器一一对应;虚拟密码机集群的公私钥对和虚拟密码机集群的数字证书由物理密码机生成;目标虚拟密码机处理密码服务请求生成的密码服务参数由虚拟密码机集群的公钥加密后存入大数据系统的存储系统;虚拟密码机通过虚拟交换机与物理密码机的宿主机进行通信;且物理密码机上运行的各个虚拟密码机通过多进程共享的方式调用密码运算部件和密钥存储部件。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置,还可以包括:
第二接收模块,用于第一选取模块选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务之前,接收大数据节点发送的为虚拟密码机集群生成共享公私钥对的请求,并为虚拟密码机集群生成公私钥对;
第一存储模块,用于基于物理密码机集群的公钥对虚拟密码机集群的公私钥对加密并存入大数据系统的存储系统;
其中,当在虚拟密码机集群中新建虚拟密码机时,物理密码机从大数据系统的存储系统中,读取加密后的虚拟密码机集群的公私钥对,基于物理密码机集群的私钥进行解密,并将虚拟密码机集群的公私钥对存储至新建的虚拟密码机。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置,第一建立模块可以包括:
第三读取单元,用于在大数据系统的存储系统中读取与目标物理密码机和大数据节点对应的加密安全通道参数,加密安全通道参数为基于目标物理密码机集群的公钥对安全通道参数加密后得到的参数;
第二解密单元,用于基于目标物理密码机集群的私钥对加密安全通道参数进行解密,得到安全通道参数;
第二建立单元,用于基于安全通道参数建立与大数据节点之间的安全通道;
其中,安全通道包括基于大数据节点的公私钥对、大数据节点的数字证书及物理密码机集群的公私钥对、物理密码机集群的安全证书建立的通道。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置,还可以包括:
第一写入模块,用于定期将自身的性能参数写入大数据系统的存储系统;其中,性能参数包括CPU占用率值、内存占用率值、网络带宽占用率值、网络连接占用率值。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置,还可以包括:
第三接收模块,用于当新的物理密码机加入物理密码机集群时,接收一次性授权码及新的物理密码机的IP地址;
第一加密模块,用于采用一次性授权码对自身保存的物理密码机集群的公私钥对和物理密码机集群的数字证书进行加密,得到加密结果;
第四发送模块,用于基于新的物理密码机的IP地址发送加密结果至新的物理密码机;
其中,新的物理密码机对加密结果进行处理的过程包括:
验证自身接收的IP地址是否与物理密码机的IP地址一致;
若自身接收的IP地址与物理密码机的IP地址一致,则基于自身接收的一次性授权码对加密结果进行解密;
若解密成功,则得到物理密码机集群的公私钥对和物理密码机集群的数字证书。
本公开涉及的应用于物理密码机集群的物理密码机的大数据系统密码服务装置,还可以包括:
第一删除模块,用于物理密码机离线后,自动删除自身保存的物理密码机集群的公私钥对和物理密码机集群的数字证书。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
请参阅图5,图5为根据一示例性实施例示出的大数据密码系统的结构示意图。在图5中,该大数据密码系统由大数据节点、物理密码机、物理密码机上创建的虚拟密码机等组成;大数据节点上设置有密码服务代理,负责向大数据系统工作或数据节点所运行的大数据处理任务提供数据加解密、数字签名验证、密码杂凑、密钥管理等密码服务接口,并建立和密码机集群的安全通道,每个大数据节点运行一个密码服务代理,该密码服务代理根据该节点上运行的任务所属不同的计算作业或者用户的ID对不同任务的密码服务请求进行逻辑上的隔离和区分;密码服务代理和密码机之间的安全通道为长久连接并由可配置的超时时间周期控制其存活性;集群管理模块运行在物理密码机的宿主机上,负责物理密码机的注册、虚拟密码机集群的建立、密码机集群内的数据同步、密码机状态和负载监控、虚拟密码机的启动/关闭和初始化、和密码服务代理安全通道的建立,集群管理模块通过安全通道接受密码服务代理的密码服务请求,根据该请求所属的作业或用户映射到其所属的虚拟密码机集群,结合所监控的虚拟密码机负载情况将密码服务请求通过虚拟交换机传送到相应的虚拟密码机,集群管理模块监控密码机CPU占用率、内存占用率、网络带宽和网络连接占用率并定期写入大数据系统的存储系统,如HDFS等分布式存储系统,当大数据作业或用户的生命周期终止时,大数据作业或用户所属工作节点或数据节点上的密码服务代理通知集群管理模块关闭本物理密码机上运行的该作业或用户对应虚拟密码机集群内的虚拟密码机并释放资源;存储适配模块运行在物理密码机的宿主机上,负责对大数据系统的存储系统进行数据读写,并且根据不同的存储系统进行网络读写接口和协议的适配,如HDFS和GlusterFS等分布式文件系统,Swift和CEPH等对象存储,Redis和Memcache等KV存储,以及各种数据库等的适配,大数据系统的存储系统一般都具有高可用和多副本的特点,存储适配模块将密钥等关键参数经过加密处理后的密文存储在大数据系统的存储系统中,可以保障这些关键参数的高可靠性和安全性,同时也高效的提供了物理密码机集群和虚拟密码机集群内部的数据共享和同步;其他模块的描述请参数上述实施例,在此不再赘述。
图6为根据一示例性实施例示出的一种电子设备500的框图。如图6所示,该电子设备500可以包括:处理器501,存储器502。该电子设备500还可以包括多媒体组件503,输入/输出(I/O)接口504,以及通信组件505中的一者或多者。
其中,处理器501用于控制该电子设备500的整体操作,以完成上述的大数据系统密码服务方法中的全部或部分步骤。存储器502用于存储各种类型的数据以支持在该电子设备500的操作,这些数据例如可以包括用于在该电子设备500上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器502可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件503可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器502或通过通信组件505发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口504为处理器501和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件505用于该电子设备500与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件505可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的大数据系统密码服务方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的大数据系统密码服务方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器502,上述程序指令可由电子设备500的处理器501执行以完成上述的大数据系统密码服务方法。
本公开实施例提供的一种大数据系统密码服务装置、电子设备及计算机可读存储介质中相关部分的说明请参见本公开实施例提供的一种大数据系统密码服务方法中对应部分的详细说明,在此不再赘述。另外,本公开实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本公开。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (14)
1.一种大数据系统密码服务方法,其特征在于,应用于所述大数据系统的大数据节点,包括:
在预置的物理密码机集群中选取目标物理密码机进行连接;
发送选取请求至所述目标物理密码机,以使所述目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取对应的虚拟密码机;
将所述大数据计算任务或所述数据访问任务的密码服务请求通过所述物理密码机传输至所述虚拟密码机进行处理;
其中,所述在预置的物理密码机集群中选取目标物理密码机进行连接,包括:
在预置的所述物理密码机集群中选取所述目标物理密码机;
在所述大数据系统的存储系统中读取所述大数据节点与所述目标物理密码机对应的加密安全通道参数,所述加密安全通道参数为基于所述大数据节点的公钥对安全通道参数加密后得到的参数;
基于所述大数据节点的私钥对所述加密安全通道参数进行解密,得到所述安全通道参数;
基于所述安全通道参数建立与所述目标物理密码机之间的安全通道;
其中,所述安全通道包括基于所述大数据节点的公私钥对、所述大数据节点的数字证书及所述物理密码机集群的公私钥对、所述物理密码机集群的安全证书建立的通道。
2.根据权利要求1所述的方法,其特征在于,所述在预置的物理密码机集群中选取目标物理密码机进行连接,包括:
读取自身保存的密码机状态表,并基于性能评价公式计算所述物理密码机集群中各个物理密码机的性能分数;
选取数值最小的性能分数对应的所述物理密码机为所述目标物理密码机,并进行连接;
其中,所述密码机状态表中保存有应用所述性能评价公式时所需的参数,且所述参数的数值由所述大数据节点从所述大数据系统的存储系统中读取,并写入至所述密码机状态表,所述性能评价公式包括:
y=(a*w1+b*w2+c*w3+d*w4)*f;
其中,y表示所述性能分数;a表示CPU占用率值;w1表示CPU权重;b表示内存占用率值;w2表示内存权重;c表示网络带宽占用率值;w3表示网络带宽权重;d表示网络连接占用率值;w4表示网络连接权重;f表示网络时延值,所述网络时延值为所述大数据节点调用所述物理密码机进行密码服务时的往返时延值。
3.根据权利要求1或2所述的方法,其特征在于,所述将所述大数据计算任务或所述数据访问任务的密码服务请求通过所述物理密码机传输至虚拟密码机进行处理之后,还包括:
当所述目标物理密码机的负载大于预设负载值或所述目标物理密码机的通信能力小于预设能力值,或所述虚拟密码机处理所述密码服务请求出现时延大于预设时延值或出现丢包时,在所述目标物理密码机中启动新的虚拟密码机,或重新在所述物理密码机集群连接新的物理密码机,或将新的物理密码机加入所述物理密码机集群并进行连接。
4.根据权利要求1所述的方法,其特征在于,还包括:
在所述大数据节点新建大数据作业或新建大数据用户时,请求所述目标物理密码机为所述大数据作业或所述大数据用户的虚拟密码机集群生成共享公私钥对;
其中,所述大数据计算任务或所述数据访问任务从属于所述大数据作业或所述大数据用户,一个大数据作业或大数据用户拥有多个大数据计算任务或数据访问任务,所述虚拟密码机属于所述大数据作业或所述大数据用户对应的虚拟密码机集群。
5.根据权利要求1所述的方法,其特征在于,所述在预置的物理密码机集群中选取目标物理密码机进行连接之前,还包括:
生成所述大数据节点的公私钥对及所述大数据节点的数字证书;
将所述大数据节点的公钥保存至所述大数据系统的存储系统。
6.根据权利要求1所述的方法,其特征在于,还包括:
当所述大数据计算任务或所述数据访问任务从属的大数据作业结束或从属的大数据用户注销后,发送释放指令至所述目标物理密码机,以使所述目标物理密码机关闭所述虚拟密码机并释放提供所述密码服务所需的资源。
7.一种大数据系统密码服务方法,其特征在于,应用于物理密码机集群的物理密码机,包括:
在大数据节点的选择下,建立与所述大数据节点的连接;
接收所述大数据节点发送的选取请求,选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务;
接收所述大数据节点发送的大数据计算任务或数据访问任务对应的密码服务请求;
调用所述虚拟密码机处理所述密码服务请求;
返回处理所述密码服务请求后的密码服务结果至所述大数据节点;
其中,所述建立与所述大数据节点的连接,包括:
在所述大数据系统的存储系统中读取与所述物理密码机和所述大数据节点对应的加密安全通道参数,所述加密安全通道参数为基于所述物理密码机集群的公钥对安全通道参数加密后得到的参数;
基于所述物理密码机集群的私钥对所述加密安全通道参数进行解密,得到所述安全通道参数;
基于所述安全通道参数建立与所述大数据节点之间的安全通道;
其中,所述安全通道包括基于所述大数据节点的公私钥对、所述大数据节点的数字证书及所述物理密码机集群的公私钥对、所述物理密码机集群的安全证书建立的通道。
8.根据权利要求7所述的方法,其特征在于,所述选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务,包括:
在所述大数据计算任务或所述数据访问任务对应的虚拟密码机集群中,选取待处理密码服务请求量最小的虚拟密码机作为目标虚拟密码机;
所述调用所述虚拟密码机处理所述密码服务请求,包括:
发送所述密码服务请求至所述目标虚拟密码机,以使所述目标虚拟密码机基于所述物理密码机的密码运算部件和密钥存储部件对密码服务任务进行处理;
其中,所述虚拟密码机集群中的各个虚拟密码机由轻量级的容器实现,所述虚拟密码机和所述容器一一对应;所述虚拟密码机集群的公私钥对和所述虚拟密码机集群的数字证书由所述物理密码机生成;所述目标虚拟密码机处理所述密码服务请求生成的密码服务参数由所述虚拟密码机集群的公钥加密后存入所述大数据系统的存储系统;所述虚拟密码机通过虚拟交换机与所述物理密码机的宿主机进行通信;且所述物理密码机上运行的各个所述虚拟密码机通过多进程共享的方式调用所述密码运算部件和所述密钥存储部件。
9.根据权利要求8所述的方法,其特征在于,所述选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务之前,还包括:
接收所述大数据节点发送的为所述虚拟密码机集群生成共享公私钥对的请求,并为所述虚拟密码机集群生成公私钥对;
基于所述物理密码机集群的公钥对所述虚拟密码机集群的公私钥对加密并存入所述大数据系统的存储系统;
其中,当在所述虚拟密码机集群中新建虚拟密码机时,所述物理密码机从所述大数据系统的存储系统中,读取加密后的所述虚拟密码机集群的公私钥对,基于所述物理密码机集群的私钥进行解密,并将所述虚拟密码机集群的公私钥对存储至新建的虚拟密码机。
10.根据权利要求7所述的方法,其特征在于,还包括:
定期将自身的性能参数写入所述大数据系统的存储系统;
其中,所述性能参数包括CPU占用率值、内存占用率值、网络带宽占用率值、网络连接占用率值。
11.根据权利要求7所述的方法,其特征在于,还包括:
当新的物理密码机加入所述物理密码机集群时,接收一次性授权码及所述新的物理密码机的IP地址;
采用所述一次性授权码对自身保存的所述物理密码机集群的公私钥对和所述物理密码机集群的数字证书进行加密,得到加密结果;
基于所述新的物理密码机的IP地址发送所述加密结果至所述新的物理密码机;
其中,所述新的物理密码机对所述加密结果进行处理的过程包括:
验证自身接收的IP地址是否与所述物理密码机的IP地址一致;
若自身接收的IP地址与所述物理密码机的IP地址一致,则基于自身接收的一次性授权码对所述加密结果进行解密;
若解密成功,则得到所述物理密码机集群的公私钥对和所述物理密码机集群的数字证书。
12.根据权利要求11所述的方法,其特征在于,还包括:
所述物理密码机离线后,自动删除自身保存的所述物理密码机集群的公私钥对和所述物理密码机集群的数字证书。
13.一种大数据系统密码服务装置,其特征在于,应用于所述大数据系统的大数据节点,包括:
第一连接模块,用于在预置的物理密码机集群中选取目标物理密码机进行连接;
第一发送模块,用于发送选取请求至所述目标物理密码机,以使所述目标物理密码机为每个需要调用密码服务的新建大数据计算任务或新建数据访问任务选取启动对应的一个虚拟密码机;
第二发送模块,用于将所述大数据计算任务或所述数据访问任务的密码服务请求通过所述物理密码机传输至所述虚拟密码机进行处理;
其中,所述第一连接模块包括:
第二选取单元,用于在预置的所述物理密码机集群中选取所述目标物理密码机;
第二读取单元,用于在所述大数据系统的存储系统中读取所述大数据节点与所述目标物理密码机对应的加密安全通道参数,所述加密安全通道参数为基于所述大数据节点的公钥对安全通道参数加密后得到的参数;
第一解密单元,用于基于所述大数据节点的私钥对所述加密安全通道参数进行解密,得到所述安全通道参数;
第一建立单元,用于基于所述安全通道参数建立与所述目标物理密码机之间的安全通道;
其中,所述安全通道包括基于所述大数据节点的公私钥对、所述大数据节点的数字证书及所述物理密码机集群的公私钥对、所述物理密码机集群的安全证书建立的通道。
14.一种大数据系统密码服务装置,其特征在于,应用于物理密码机集群的物理密码机,包括:
第一建立模块,用于在大数据节点的选择下,建立与所述大数据节点的连接;
第一选取模块,用于接收所述大数据节点发送的选取请求,选取相应的虚拟密码机为大数据计算任务或数据访问任务提供密码服务;
第一接收模块,用于接收所述大数据节点发送的大数据计算任务或数据访问任务对应的密码服务请求;
第一调用模块,用于调用所述虚拟密码机处理所述密码服务请求;
第一返回模块,用于返回处理所述密码服务请求后的密码服务结果至所述大数据节点;
其中,所述第一建立模块包括:
第三读取单元,用于在所述大数据系统的存储系统中读取与所述物理密码机和所述大数据节点对应的加密安全通道参数,所述加密安全通道参数为基于所述物理密码机集群的公钥对安全通道参数加密后得到的参数;
第二解密单元,用于基于所述物理密码机集群的私钥对所述加密安全通道参数进行解密,得到所述安全通道参数;
第二建立单元,用于基于所述安全通道参数建立与所述大数据节点之间的安全通道;
其中,所述安全通道包括基于所述大数据节点的公私钥对、所述大数据节点的数字证书及所述物理密码机集群的公私钥对、所述物理密码机集群的安全证书建立的通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910624681.1A CN110321695B (zh) | 2019-07-11 | 2019-07-11 | 大数据系统密码服务方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910624681.1A CN110321695B (zh) | 2019-07-11 | 2019-07-11 | 大数据系统密码服务方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110321695A CN110321695A (zh) | 2019-10-11 |
| CN110321695B true CN110321695B (zh) | 2021-07-20 |
Family
ID=68121926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910624681.1A Active CN110321695B (zh) | 2019-07-11 | 2019-07-11 | 大数据系统密码服务方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110321695B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111082926B (zh) * | 2019-11-06 | 2023-04-18 | 深圳市东进技术股份有限公司 | 密钥同步方法及系统 |
| CN113297587B (zh) * | 2020-05-29 | 2024-02-13 | 阿里巴巴集团控股有限公司 | 数据存储方法及系统 |
| CN112165381B (zh) * | 2020-08-18 | 2023-12-05 | 远景智能国际私人投资有限公司 | 密钥管理系统和方法 |
| CN112000493B (zh) * | 2020-08-24 | 2023-04-18 | 成都卫士通信息产业股份有限公司 | 一种数据处理系统、方法及电子设备和存储介质 |
| CN112636927B (zh) * | 2020-12-28 | 2022-08-16 | 郑州信大先进技术研究院 | 一种基于kpi双证书的云平台密码化方法 |
| CN112887402B (zh) * | 2021-01-25 | 2021-12-28 | 北京云思畅想科技有限公司 | 一种加解密方法、系统、电子设备及存储介质 |
| CN112995206B (zh) * | 2021-04-13 | 2021-07-30 | 北京电信易通信息技术股份有限公司 | 一种基于可信技术实现多型工作单元安全联动的方法 |
| CN113873029B (zh) * | 2021-09-24 | 2023-12-12 | 奇安信科技集团股份有限公司 | 密码服务监控方法、服务器、密码机、系统和存储介质 |
| CN113572611B (zh) * | 2021-09-27 | 2022-01-11 | 渔翁信息技术股份有限公司 | 密钥处理方法、装置及电子装置 |
| CN114238938B (zh) * | 2021-12-15 | 2022-10-21 | 北京安盟信息技术股份有限公司 | 一种pcie密码卡虚拟化配置管理方法 |
| CN114338124B (zh) * | 2021-12-23 | 2024-04-12 | 成都卫士通信息产业股份有限公司 | 云密码计算服务的管理方法、系统、电子设备及存储介质 |
| CN114285565A (zh) * | 2021-12-29 | 2022-04-05 | 观源(上海)科技有限公司 | 一种密码资源池的调度系统 |
| CN114741169B (zh) * | 2022-03-30 | 2024-02-13 | 天津大学 | 负荷聚合公共服务平台异构密码计算服务多任务调度方法 |
| CN115118475A (zh) * | 2022-06-21 | 2022-09-27 | 成都卫士通信息产业股份有限公司 | 密码设备集群调度方法、装置、设备及介质 |
| CN116074003B (zh) * | 2023-03-06 | 2023-06-20 | 中安云科科技发展(山东)有限公司 | 一种密码机动态多线程负载均衡方法、系统及密码机 |
| CN116108474B (zh) * | 2023-04-13 | 2023-06-30 | 深圳奥联信息安全技术有限公司 | 一种大数据系统密码服务方法及系统 |
| CN117319092B (zh) * | 2023-11-29 | 2024-02-09 | 杭州海康威视数字技术股份有限公司 | 分布式密钥管理方法、装置、密码卡及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106687983A (zh) * | 2014-09-15 | 2017-05-17 | 飞利浦灯具控股公司 | 用于在包括虚拟网络的网络中通信的方法和包括虚拟网络实体的通信节点 |
| CN109690546A (zh) * | 2016-09-30 | 2019-04-26 | 英特尔公司 | 支持对客户机飞地存储器页的超额订阅 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6389534B1 (en) * | 1997-06-30 | 2002-05-14 | Taher Elgamal | Cryptographic policy filters and policy control method and apparatus |
| US8375437B2 (en) * | 2010-03-30 | 2013-02-12 | Microsoft Corporation | Hardware supported virtualized cryptographic service |
| CA2800809A1 (en) * | 2010-05-28 | 2011-12-01 | Lawrence A. Laurich | Accelerator system for use with secure data storage |
| SG189388A1 (en) * | 2011-11-16 | 2013-05-31 | V Key Inc | Cryptographic system and methodology for securing software cryptography |
| CN103634339A (zh) * | 2012-08-22 | 2014-03-12 | 中国银联股份有限公司 | 虚拟加密机装置、金融加密机及加密报文的方法 |
| CN104202421A (zh) * | 2014-09-19 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的密码服务系统 |
| CN105243321B (zh) * | 2015-10-27 | 2018-08-14 | 成都卫士通信息产业股份有限公司 | 一种基于容器虚拟化技术的密码机、实现及工作方法 |
| CN105306576A (zh) * | 2015-11-10 | 2016-02-03 | 中国电子科技集团公司第三十研究所 | 一种密码运算单元的调度方法及系统 |
| CN105678156B (zh) * | 2016-01-04 | 2019-06-28 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化技术的云密码服务平台及其工作流程 |
| CN107959656B (zh) * | 2016-10-14 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据安全保障系统及方法、装置 |
| CN107040589B (zh) * | 2017-03-15 | 2019-10-25 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
| CN108228316B (zh) * | 2017-12-26 | 2022-01-25 | 成都卫士通信息产业股份有限公司 | 一种密码设备虚拟化的方法及设备 |
| CN108259175B (zh) * | 2017-12-28 | 2020-12-11 | 成都卫士通信息产业股份有限公司 | 一种分布式密码服务方法和系统 |
| CN108491271A (zh) * | 2018-03-28 | 2018-09-04 | 湖南东方华龙信息科技有限公司 | 动态管理云端虚拟化ca配置资源的方法 |
| CN108462723A (zh) * | 2018-03-28 | 2018-08-28 | 湖南东方华龙信息科技有限公司 | 自主创建云端签名验证服务器的方法 |
| CN109361517B (zh) * | 2018-08-21 | 2021-09-07 | 西安得安信息技术有限公司 | 一种基于云计算的虚拟化云密码机系统及其实现方法 |
-
2019
- 2019-07-11 CN CN201910624681.1A patent/CN110321695B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106687983A (zh) * | 2014-09-15 | 2017-05-17 | 飞利浦灯具控股公司 | 用于在包括虚拟网络的网络中通信的方法和包括虚拟网络实体的通信节点 |
| CN109690546A (zh) * | 2016-09-30 | 2019-04-26 | 英特尔公司 | 支持对客户机飞地存储器页的超额订阅 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110321695A (zh) | 2019-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110321695B (zh) | 大数据系统密码服务方法、装置 | |
| EP3720093B1 (en) | Resource obtaining method and apparatus and resource distribution method and apparatus | |
| US10402578B2 (en) | Management of encrypted data storage | |
| US11469896B2 (en) | Method for securing the rendezvous connection in a cloud service using routing tokens | |
| US9710400B2 (en) | Secure virtual machine memory | |
| US10205760B2 (en) | Task coordination in distributed systems | |
| KR101966767B1 (ko) | 클라우드 서비스를 위한 암호화 키 관리 시스템 | |
| US11637888B2 (en) | File containerization and management | |
| KR20160139493A (ko) | 클라우드 서비스를 위한 암호화 키 관리 방법 및 그 장치 | |
| US10623186B1 (en) | Authenticated encryption with multiple contexts | |
| US20190028559A1 (en) | Tcp fast open hardware support in proxy devices | |
| CN110336665B (zh) | 一种大数据消息加密方法、装置 | |
| JP2021535521A (ja) | 仮想デスクトップでのローカルマップアカウント | |
| JP4875781B1 (ja) | データ分散保管システム | |
| JP7000491B2 (ja) | バイパス不可能なゲートウェイを使用するtpmベースの安全なマルチパーティ・コンピュータシステム | |
| WO2023169271A1 (zh) | 一种数据存储方法及数据处理设备 | |
| JP2021521574A (ja) | ヘルパを介したクライアントデバイスの匿名セッションへの接続 | |
| EP4160403A1 (en) | Method, host and apparatus for processing data | |
| US11546324B1 (en) | Single use execution environment with scoped credentials for on-demand code execution | |
| US10110572B2 (en) | Tape drive encryption in the data path | |
| KR102398380B1 (ko) | 키 교환 방법 및 시스템 | |
| CN117879819B (zh) | 密钥管理方法、装置、存储介质、设备及算力服务系统 | |
| Jing et al. | Cloud storage encryption security analysis | |
| Othman et al. | Secured Federated Data Management in Distributed Mobile Cloud Computing | |
| Vadlamudi et al. | An Applicative Approach for Collecting and Fortifying History of Data in Cloud Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CP01 | Change in the name or title of a patent holder |