CN114943091A - 基于linux内核块设备加密功能的Elasticsearch加密搜索方法 - Google Patents
基于linux内核块设备加密功能的Elasticsearch加密搜索方法 Download PDFInfo
- Publication number
- CN114943091A CN114943091A CN202210888593.4A CN202210888593A CN114943091A CN 114943091 A CN114943091 A CN 114943091A CN 202210888593 A CN202210888593 A CN 202210888593A CN 114943091 A CN114943091 A CN 114943091A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- linux kernel
- target file
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其对来自用户终端的原始数据进行标识打包后,得到目标文件包,并将其发送到linux内核块设备;利用linux内核块设备的dm‑crypt加密模块根据相应的加密策略,将原始数据加密形成加密数据,以及将加密数据写入到硬盘空间中;当外界终端需要对硬盘空间进行数据访问时,利用linux内核块设备的密钥环进行认证,成功后,将加密数据的数据副本进行解密,再反馈回外界终端;上述方法将对数据的加密和解密都限定在linux内核块设备的内核层上实施,使得数据的加密和解密对于应用层而言是透明的,并且不会对应用层的运行产生任何影响,有效避免应用层发生运行卡顿,并且还提高数据加密和解密的安全性和高效性。
Description
技术领域
本发明涉及数据加密处理的技术领域,特别涉及基于linux内核块设备加密功能的Elasticsearch加密搜索方法。
背景技术
在软件开发领域,对数据的加密都是发生在应用端,即应用端在接收到用户输入的明文数据后,在应用程序内对明文数据进行加密;当应用端从系统中将数据读出时,再利用对应的解密算法,在应用端中进行解密。上述数据加密-解密的处理方式不仅需要侵入用户的业务代码,并且还会耗费大量的CPU计算能力,从而对软件系统整体性能产生不良影响。此外,当面对大数据场景,在应用端进行数据加密和数据解密会增加系统的响应时间,给用户造成不良的体验。可见,现有技术的数据加密和解密都是在应用端中实现的,这不仅降低数据加密和解密的安全性,还影响系统的运行效率和响应速度。
发明内容
针对现有技术存在的缺陷,本发明提供了一种基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其对来自用户终端的原始数据进行标识打包后,得到目标文件包,并将其发送到linux内核块设备;利用linux内核块设备的dm-crypt加密模块根据相应的加密策略,将原始数据加密形成加密数据,以及将加密数据写入到硬盘空间中;当外界终端需要对硬盘空间进行数据访问时,利用linux内核块设备的密钥环进行认证,认证成功后,将加密数据的数据副本进行解密,再反馈回外界终端;上述方法将对数据的加密和解密都限定在linux内核块设备的内核层上实施,使得数据的加密和解密对于应用层而言是透明的,并且不会对应用层的运行产生任何影响,有效避免应用层发生运行卡顿,并且还能提高数据加密和解密的安全性和高效性,防止数据被非法窃取。
本发明提供基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其包括如下步骤:
步骤S1,当用户终端发起数据加密请求时,获取来自所述用户终端的原始数据,并对所述原始数据进行标识打包处理,得到目标文件包;再将所述目标文件包发送到linux内核块设备,以将所述目标文件包加入到待加密数据队列中;
步骤S2,当所述目标文件包进入到加密进程后,将所述目标文件包输入到所述linux内核块设备的dm-crypt加密模块中;通过所述dm-crypt加密模块根据所述目标文件包中的加密策略,将所述原始数据加密形成加密数据;
步骤S3,将所述加密数据写入到硬盘空间的指定存储区间中;当外界终端向所述硬盘空间发起数据访问请求时,利用所述linux内核块设备存储的密钥环对所述数据访问请求进行认证,判断所述外界终端是否具备数据访问权限;
步骤S4,当所述外界终端具备数据访问权限时,从所述指定存储区间内获取相应加密数据的数据副本,并对所述数据副本进行解密,以此还原得到只读形式的原始数据,再将所述原始数据反馈回所述外界终端。
在本申请公开的一个实施例中,在所述步骤S1中,当用户终端发起数据加密请求时,获取来自所述用户终端的原始数据之前,还包括:
当用户终端发起数据加密请求时,根据所述用户终端的终端地址,获取所述用户终端之前的历史数据加密请求日志信息;
根据所述历史数据加密请求日志信息,确定所述用户终端在预设历史时间段内的数据加密请求发起频率;
若所述数据加密请求发起频率大于或等于预设频率阈值,则拒绝用户终端当前发起的数据加密请求;
若所述数据加密请求发起频率小于预设频率阈值,则接受用户终端当前发起的数据加密请求。
在本申请公开的一个实施例中,在所述步骤S1中,当用户终端发起数据加密请求时,获取来自所述用户终端的原始数据,并对所述原始数据进行标识打包处理,得到目标文件包,具体包括:
当接受用户终端当前发起的数据加密请求时,获取来自所述用户终端的原始数据后,对所述原始数据进行数据结构分析处理,确定所述原始数据的数据结构类型信息;
根据所述数据结构类型信息,确定对所述原始数据进行加密的加密策略;
将所述原始数据,所述加密策略和所述用户终端的终端地址进行打包处理,并且以所述终端地址和所述原始数据的发送时间作为文件包名称进行标识,从而得到相应的目标文件包。
在本申请公开的一个实施例中,在所述步骤S1中,将所述目标文件包发送到linux内核块设备,以将所述目标文件包加入到待加密数据队列中,具体包括:
将所述目标文件包发送到linux内核块设备的内核层中,并获取所述内核层中当前存在的待加密数据队列;
根据所述目标文件包对应的发送时间,及所述待加密数据队列中所有其他文件包各自的发送时间的先后顺序,来确定所述目标文件包在所述待加密数据队列中的排队位置;
根据所述排队位置,将所述目标文件包加入到所述待加密数据队列中。
在本申请公开的一个实施例中,在所述步骤S2中,当所述目标文件包进入到加密进程后,将所述目标文件包输入到所述linux内核块设备的dm-crypt加密模块中,具体包括:
当在所述待加密数据队列中位于所述目标文件包之前的所有文件包已经完成加密后,将所述目标文件包输入到所述linux内核块设备的dm-crypt加密模块中,以驱动对所述目标文件的加密进程。
在本申请公开的一个实施例中,在所述步骤S2中,通过所述dm-crypt加密模块根据所述目标文件包中的加密策略,将所述原始数据加密形成加密数据,具体包括:
通过所述dm-crypt加密模块的加密驱动器运行所述目标文件包中的加密策略,从而将所述原始数据加密形成加密数据。
在本申请公开的一个实施例中,在所述步骤S3中,将所述加密数据写入到硬盘空间的指定存储区间中,具体包括:
以所述目标文件包中的终端地址为索引,从硬盘空间中确定预先分配给所述用户终端的指定存储区间;再将所述加密数据写入到所述指定存储区间,当完成所述加密数据的写入后,将所述加密驱动器运行所述目标文件包中的加密策略所需的内核数据缓存区销毁。
在本申请公开的一个实施例中,在所述步骤S3中,当外界终端向所述硬盘空间发起数据访问请求时,利用所述linux内核块设备存储的密钥环对所述数据访问请求进行认证,判断所述外界终端是否具备数据访问权限具体包括:
当外界终端向所述硬盘空间发起数据访问请求时,利用所述linux内核块设备存储的密钥环与所述数据访问请求包含的密钥进行匹配处理;若所述密钥与所述密钥环相匹配,则确定对所述数据访问请求的认证成功以及判断所述外界终端具备数据访问权限;若所述密钥与所述密钥环不匹配,则确定对所述数据访问请求的认证失败以及判断所述外界终端不具备数据访问权限。
在本申请公开的一个实施例中,在所述步骤S4中,当所述外界终端具备数据访问权限时,从所述指定存储区间内获取相应加密数据的数据副本,具体包括:
当所述外界终端具备数据访问权限时,根据所述数据访问请求包含的期望访问的数据文件创建时间,从所述指定存储区间内获取与所述创建时间相匹配的加密数据的数据副本。
在本申请公开的一个实施例中,在所述步骤S4中,对所述数据副本进行解密,以此还原得到只读形式的原始数据,再将所述原始数据反馈回所述外界终端,具体包括:
根据所述加密策略,对所述数据副本进行解密,以此还原得到只读形式的原始数据;将所述原始数据进行数据压缩后,再反馈回所述外界终端。
相比于现有技术,该基于linux内核块设备加密功能的Elasticsearch加密搜索方法对来自用户终端的原始数据进行标识打包后,得到目标文件包,并将其发送到linux内核块设备;利用linux内核块设备的dm-crypt加密模块根据相应的加密策略,将原始数据加密形成加密数据,以及将加密数据写入到硬盘空间中;当外界终端需要对硬盘空间进行数据访问时,利用linux内核块设备的密钥环进行认证,认证成功后,将加密数据的数据副本进行解密,再反馈回外界终端;上述方法将对数据的加密和解密都限定在linux内核块设备的内核层上实施,使得数据的加密和解密对于应用层而言是透明的,并且不会对应用层的运行产生任何影响,有效避免应用层发生运行卡顿,并且还能提高数据加密和解密的安全性和高效性,防止数据被非法窃取。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于linux内核块设备加密功能的Elasticsearch加密搜索方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,图1为本发明实施例提供的基于linux内核块设备加密功能的Elasticsearch加密搜索方法的流程示意图。该基于linux内核块设备加密功能的Elasticsearch加密搜索方法包括如下步骤:
步骤S1,当用户终端发起数据加密请求时,获取来自该用户终端的原始数据,并对该原始数据进行标识打包处理,得到目标文件包;再将该目标文件包发送到linux内核块设备,以将该目标文件包加入到待加密数据队列中;
步骤S2,当该目标文件包进入到加密进程后,将该目标文件包输入到该linux内核块设备的dm-crypt加密模块中;通过该dm-crypt加密模块根据该目标文件包中的加密策略,将该原始数据加密形成加密数据;
步骤S3,将该加密数据写入到硬盘空间的指定存储区间中;当外界终端向该硬盘空间发起数据访问请求时,利用该linux内核块设备存储的密钥环对该数据访问请求进行认证,判断该外界终端是否具备数据访问权限;
步骤S4,当该外界终端具备数据访问权限时,从该指定存储区间内获取相应加密数据的数据副本,并对该数据副本进行解密,以此还原得到只读形式的原始数据,再将该原始数据反馈回该外界终端。
上述技术方案的有益效果为:该基于linux内核块设备加密功能的Elasticsearch加密搜索方法对来自用户终端的原始数据进行标识打包后,得到目标文件包,并将其发送到linux内核块设备;利用linux内核块设备的dm-crypt加密模块根据相应的加密策略,将原始数据加密形成加密数据,以及将加密数据写入到硬盘空间中;当外界终端需要对硬盘空间进行数据访问时,利用linux内核块设备的密钥环进行认证,认证成功后,将加密数据的数据副本进行解密,再反馈回外界终端;上述方法将对数据的加密和解密都限定在linux内核块设备的内核层上实施,使得数据的加密和解密对于应用层而言是透明的,并且不会对应用层的运行产生任何影响,有效避免应用层发生运行卡顿,并且还能提高数据加密和解密的安全性和高效性,防止数据被非法窃取。
优选地,在该步骤S1中,当用户终端发起数据加密请求时,获取来自该用户终端的原始数据之前,还包括:
当用户终端发起数据加密请求时,根据该用户终端的终端地址,获取该用户终端之前的历史数据加密请求日志信息;
根据该历史数据加密请求日志信息,确定该用户终端在预设历史时间段内的数据加密请求发起频率;
若该数据加密请求发起频率大于或等于预设频率阈值,则拒绝用户终端当前发起的数据加密请求;
若该数据加密请求发起频率小于预设频率阈值,则接受用户终端当前发起的数据加密请求。
上述技术方案的有益效果为:用户终端在工作过程中存在进行多次数据加密的需求,若用户终端在短时间内多次发起数据加密请求,这样会挤压其他终端的数据加密通道,从而无法满足其他终端的数据加密需求。通过上述方式,以用户终端的历史数据加密请求日志信息为基准,从历史数据加密请求日志信息确定用户终端在预设历史时间段内发起数据加密请求的总次数,以此得到用户终端在预设历史时间段内的数据加密请求发起频率,再对数据加密请求发起频率进行阈值比对,这样能够在数据加密请求发起频率大于或等于预设频率阈值时,及时拒绝该用户终端当前发起的数据加密请求,从而避免该用户终端过度频繁发起数据加密请求而影响其他终端的数据加密任务处理及时性。
优选地,在该步骤S1中,当用户终端发起数据加密请求时,获取来自该用户终端的原始数据,并对该原始数据进行标识打包处理,得到目标文件包,具体包括
当接受用户终端当前发起的数据加密请求时,获取来自该用户终端的原始数据后,对该原始数据进行数据结构分析处理,确定该原始数据的数据结构类型信息;
根据该数据结构类型信息,确定对该原始数据进行加密的加密策略;
将该原始数据,该加密策略和该用户终端的终端地址进行打包处理,并且以该终端地址和该原始数据的发送时间作为文件包名称进行标识,从而得到相应的目标文件包。
上述技术方案的有益效果为:在实际数据加密过程中,不同数据具有不同的数据结构,并且每一种类型的数据结构理论上存在最优的数据加密策略(即数据加密算法),对来自用户终端的原始数据进行数据结构分析处理,进而得到该原始数据的数据结构类型信息,这样能够根据预定的数据加密方案找到与该原始数据的数据结构相匹配的加密策略,这样能够保证后续对原始数据进行精准的加密处理。随后,将该原始数据,该加密策略和该用户终端的终端地址进行打包处理,并且以该终端地址和该原始数据的发送时间作为文件包名称进行标识,这样保证生成的目标文件包具有进行数据加密的所有要素,以及对目标文件进行唯一性的区分标识。
优选地,在该步骤S1中,将该目标文件包发送到linux内核块设备,以将该目标文件包加入到待加密数据队列中,具体包括:
将该目标文件包发送到该linux内核块设备的内核层中,并获取该内核层中当前存在的待加密数据队列;
根据该目标文件包对应的发送时间,及该待加密数据队列中所有其他文件包各自的发送时间的先后顺序,来确定该目标文件包在该待加密数据队列中的排队位置;
根据该排队位置,将该目标文件包加入到该待加密数据队列中。
上述技术方案的有益效果为:通过上述方式,将目标文件包转移到linux内核块设备的内核层中,这样可保证后续整个数据加密和解密过程只在内核层中完成,不会对应用层产生影响,同时也不会过多占用CPU计算能力。而将该目标文件包添加到待加密数据队列中,这样可保证目标文件包与其他文件包共用进行有序的加密。其中,根据该目标文件包对应的发送时间,及该待加密数据队列中所有其他文件包各自的发送时间的先后顺序,来确定该目标文件包在该待加密数据队列中的排队位置,是指根据该目标文件包及待加密数据队列中所有其他文件包各自的发送时间的早晚顺序,来确定该目标文件包在该待加密数据队列中的排队位置。
优选地,在该步骤S2中,当该目标文件包进入到加密进程后,将该目标文件包输入到该linux内核块设备的dm-crypt加密模块中,具体包括:
当在该待加密数据队列中位于该目标文件包之前的所有文件包已经完成加密后,将该目标文件包输入到该linux内核块设备的dm-crypt加密模块中,以驱动对该目标文件的加密进程。
上述技术方案的有益效果为:当在该待加密数据队列中位于该目标文件包之前的所有文件包已经完成加密后,表明该目标文件包已经进入相应的加密进程,此时将该目标文件包输入到该linux内核块设备的dm-crypt加密模块中,可利用dm-crypt加密模块作为加密执行模块,实现对原始数据的及时加密。
优选地,在该步骤S2中,通过该dm-crypt加密模块根据该目标文件包中的加密策略,将该原始数据加密形成加密数据,具体包括:
通过该dm-crypt加密模块的加密驱动器运行该目标文件包中的加密策略,从而将该原始数据加密形成加密数据。
上述技术方案的有益效果为:通过dm-crypt加密模块的加密驱动器运行该目标文件包中的加密策略,该dm-crypt加密模块的加密驱动器能够适用于不同加密策略的驱动,从而保证对于不同数据结构的原始数据也能够实现实时的加密转换。
优选地,在该步骤S3中,将该加密数据写入到硬盘空间的指定存储区间中,具体包括:
以该目标文件包中的终端地址为索引,从硬盘空间中确定预先分配给该用户终端的指定存储区间;再将该加密数据写入到该指定存储区间,当完成该加密数据的写入后,将该加密驱动器运行该目标文件包中的加密策略所需的内核数据缓存区销毁。
上述技术方案的有益效果为:在硬盘空间中,针对不同终端均会预先分配不同的存储区间,每个存储区间会以终端各自的终端地址为基准进行标识,通过上述方式,能够对不同用户终端的加密数据进行区分存储,避免不同加密数据相互之间发生串扰,同时也便于后续快速定位寻找到所需的加密数据。此外,当完成该加密数据的写入后,将该加密驱动器运行该目标文件包中的加密策略所需的内核数据缓存区销毁,这样能够提高内核层中缓存空间的运转利用效率。
优选地,在该步骤S3中,当外界终端向该硬盘空间发起数据访问请求时,利用该linux内核块设备存储的密钥环对该数据访问请求进行认证,判断该外界终端是否具备数据访问权限,具体包括:
当外界终端向该硬盘空间发起数据访问请求时,利用该linux内核块设备存储的密钥环与该数据访问请求包含的密钥进行匹配处理;若该密钥与该密钥环相匹配,则确定对该数据访问请求的认证成功以及判断该外界终端具备数据访问权限;若该密钥与该密钥环不匹配,则确定对该数据访问请求的认证失败以及判断该外界终端不具备数据访问权限。
上述技术方案的有益效果为:通过上述方式,利用该linux内核块设备存储的密钥环与该数据访问请求包含的密钥作为匹配处理的两个要素,这样能够快速地对当前的外界终端的数据访问资格进行认证,从而保证只有满足密钥匹配条件的外界终端才能获得对硬盘空间的数据访问请求,有效保证硬盘空间的数据安全性。
优选地,在该步骤S4中,当该外界终端具备数据访问权限时,从该指定存储区间内获取相应加密数据的数据副本,具体包括:
当该外界终端具备数据访问权限时,根据该数据访问请求包含的期望访问的数据文件创建时间,从该指定存储区间内获取与该创建时间相匹配的加密数据的数据副本。
上述技术方案的有益效果为:通过上述方式,以外界终端发起的数据访问请求为基准,从指定存储区间内获取与创建时间相匹配的加密数据的数据副本,这样能够提高从硬盘空间的指定存储区间读取数据的效率和准确性。
优选地,在该步骤S4中,对该数据副本进行解密,以此还原得到只读形式的原始数据,再将该原始数据反馈回该外界终端,具体包括:
根据该加密策略,对该数据副本进行解密,以此还原得到只读形式的原始数据;将该原始数据进行数据压缩后,再反馈回该外界终端。
上述技术方案的有益效果为:通过上述方式,只向外界终端发送具有只读形式的原始数据,这样能够最大限度地保证原始数据的数据完整性,避免原始数据被非法篡改。
从上述实施例的内容可知,该基于linux内核块设备加密功能的Elasticsearch加密搜索方法对来自用户终端的原始数据进行标识打包后,得到目标文件包,并将其发送到linux内核块设备;利用linux内核块设备的dm-crypt加密模块根据相应的加密策略,将原始数据加密形成加密数据,以及将加密数据写入到硬盘空间中;当外界终端需要对硬盘空间进行数据访问时,利用linux内核块设备的密钥环进行认证,认证成功后,将加密数据的数据副本进行解密,再反馈回外界终端;上述方法将对数据的加密和解密都限定在linux内核块设备的内核层上实施,使得数据的加密和解密对于应用层而言是透明的,并且不会对应用层的运行产生任何影响,有效避免应用层发生运行卡顿,并且还能提高数据加密和解密的安全性和高效性,防止数据被非法窃取。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围内,则本发明也意图包含这些改动和变型。
Claims (10)
1.基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于,其包括如下步骤:
步骤S1,当用户终端发起数据加密请求时,获取来自所述用户终端的原始数据,并对所述原始数据进行标识打包处理,得到目标文件包;再将所述目标文件包发送到linux内核块设备,以将所述目标文件包加入到待加密数据队列中;
步骤S2,当所述目标文件包进入到加密进程后,将所述目标文件包输入到所述linux内核块设备的dm-crypt加密模块中;通过所述dm-crypt加密模块根据所述目标文件包中的加密策略,将所述原始数据加密形成加密数据;
步骤S3,将所述加密数据写入到硬盘空间的指定存储区间中;当外界终端向所述硬盘空间发起数据访问请求时,利用所述linux内核块设备存储的密钥环对所述数据访问请求进行认证,判断所述外界终端是否具备数据访问权限;
步骤S4,当所述外界终端具备数据访问权限时,从所述指定存储区间内获取相应加密数据的数据副本,并对所述数据副本进行解密,以此还原得到只读形式的原始数据,再将所述原始数据反馈回所述外界终端。
2.如权利要求1所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S1中,当用户终端发起数据加密请求时,获取来自所述用户终端的原始数据之前,还包括:
当用户终端发起数据加密请求时,根据所述用户终端的终端地址,获取所述用户终端之前的历史数据加密请求日志信息;
根据所述历史数据加密请求日志信息,确定所述用户终端在预设历史时间段内的数据加密请求发起频率;
若所述数据加密请求发起频率大于或等于预设频率阈值,则拒绝用户终端当前发起的数据加密请求;
若所述数据加密请求发起频率小于预设频率阈值,则接受用户终端当前发起的数据加密请求。
3.如权利要求2所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S1中,当用户终端发起数据加密请求时,获取来自所述用户终端的原始数据,并对所述原始数据进行标识打包处理,得到目标文件包,具体包括:
当接受用户终端当前发起的数据加密请求时,获取来自所述用户终端的原始数据后,对所述原始数据进行数据结构分析处理,确定所述原始数据的数据结构类型信息;
根据所述数据结构类型信息,确定对所述原始数据进行加密的加密策略;
将所述原始数据,所述加密策略和所述用户终端的终端地址进行打包处理,并且以所述终端地址和所述原始数据的发送时间作为文件包名称进行标识,从而得到相应的目标文件包。
4.如权利要求3所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S1中,将所述目标文件包发送到linux内核块设备,以将所述目标文件包加入到待加密数据队列中,具体包括:
将所述目标文件包发送到linux内核块设备的内核层中,并获取所述内核层中当前存在的待加密数据队列;
根据所述目标文件包对应的发送时间,及所述待加密数据队列中所有其他文件包各自的发送时间的先后顺序,来确定所述目标文件包在所述待加密数据队列中的排队位置;
根据所述排队位置,将所述目标文件包加入到所述待加密数据队列中。
5.如权利要求4所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S2中,当所述目标文件包进入到加密进程后,将所述目标文件包输入到所述linux内核块设备的dm-crypt加密模块中,具体包括:
当在所述待加密数据队列中位于所述目标文件包之前的所有文件包已经完成加密后,将所述目标文件包输入到所述linux内核块设备的dm-crypt加密模块中,以驱动对所述目标文件的加密进程。
6.如权利要求5所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S2中,通过所述dm-crypt加密模块根据所述目标文件包中的加密策略,将所述原始数据加密形成加密数据,具体包括:
通过所述dm-crypt加密模块的加密驱动器运行所述目标文件包中的加密策略,从而将所述原始数据加密形成加密数据。
7.如权利要求6所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S3中,将所述加密数据写入到硬盘空间的指定存储区间中,具体包括:
以所述目标文件包中的终端地址为索引,从硬盘空间中确定预先分配给所述用户终端的指定存储区间;再将所述加密数据写入到所述指定存储区间,当完成所述加密数据的写入后,将所述加密驱动器运行所述目标文件包中的加密策略所需的内核数据缓存区销毁。
8.如权利要求7所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S3中,当外界终端向所述硬盘空间发起数据访问请求时,利用所述linux内核块设备存储的密钥环对所述数据访问请求进行认证,判断所述外界终端是否具备数据访问权限,具体包括:
当外界终端向所述硬盘空间发起数据访问请求时,利用所述linux内核块设备存储的密钥环与所述数据访问请求包含的密钥进行匹配处理;若所述密钥与所述密钥环相匹配,则确定对所述数据访问请求的认证成功以及判断所述外界终端具备数据访问权限;若所述密钥与所述密钥环不匹配,则确定对所述数据访问请求的认证失败以及判断所述外界终端不具备数据访问权限。
9.如权利要求8所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S4中,当所述外界终端具备数据访问权限时,从所述指定存储区间内获取相应加密数据的数据副本,具体包括:
当所述外界终端具备数据访问权限时,根据所述数据访问请求包含的期望访问的数据文件创建时间,从所述指定存储区间内获取与所述创建时间相匹配的加密数据的数据副本。
10.如权利要求9所述的基于linux内核块设备加密功能的Elasticsearch加密搜索方法,其特征在于:
在所述步骤S4中,对所述数据副本进行解密,以此还原得到只读形式的原始数据,再将所述原始数据反馈回所述外界终端,具体包括:
根据所述加密策略,对所述数据副本进行解密,以此还原得到只读形式的原始数据;将所述原始数据进行数据压缩后,再反馈回所述外界终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210888593.4A CN114943091B (zh) | 2022-07-27 | 2022-07-27 | 基于linux内核块设备加密功能的Elasticsearch加密搜索方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210888593.4A CN114943091B (zh) | 2022-07-27 | 2022-07-27 | 基于linux内核块设备加密功能的Elasticsearch加密搜索方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114943091A true CN114943091A (zh) | 2022-08-26 |
| CN114943091B CN114943091B (zh) | 2022-10-11 |
Family
ID=82910393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210888593.4A Active CN114943091B (zh) | 2022-07-27 | 2022-07-27 | 基于linux内核块设备加密功能的Elasticsearch加密搜索方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114943091B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105373744A (zh) * | 2015-10-29 | 2016-03-02 | 成都卫士通信息产业股份有限公司 | 基于Linux的扩展文件系统加密方法 |
| CN106685981A (zh) * | 2017-01-13 | 2017-05-17 | 北京元心科技有限公司 | 多系统的数据加密传输方法及装置 |
| US20170161390A1 (en) * | 2015-12-07 | 2017-06-08 | Ephesoft Inc. | Analytic systems, methods, and computer-readable media for structured, semi-structured, and unstructured documents |
| CN107294771A (zh) * | 2017-05-17 | 2017-10-24 | 上海斐讯数据通信技术有限公司 | 一种适用于大数据集群的高效部署系统以及使用方法 |
| EP3418919A1 (en) * | 2017-06-23 | 2018-12-26 | Palantir Technologies Inc. | User interface for managing synchronization between data sources and cache databases |
| CN109643281A (zh) * | 2016-03-11 | 2019-04-16 | 赛博算机公司 | 数据加密和解密的系统和方法 |
| US20190384793A1 (en) * | 2018-06-15 | 2019-12-19 | EMC IP Holding Company LLC | Methods, apparatuses, and computer storage media for data searching |
| US11055428B1 (en) * | 2021-02-26 | 2021-07-06 | CTRL IQ, Inc. | Systems and methods for encrypted container image management, deployment, and execution |
| CN113987557A (zh) * | 2021-12-24 | 2022-01-28 | 亿次网联(杭州)科技有限公司 | 一种文件加密处理方法、系统、电子设备和存储介质 |
| CN114036538A (zh) * | 2021-11-03 | 2022-02-11 | 北京中安星云软件技术有限公司 | 一种基于虚拟块设备的数据库透明加解密实现方法及系统 |
-
2022
- 2022-07-27 CN CN202210888593.4A patent/CN114943091B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105373744A (zh) * | 2015-10-29 | 2016-03-02 | 成都卫士通信息产业股份有限公司 | 基于Linux的扩展文件系统加密方法 |
| US20170161390A1 (en) * | 2015-12-07 | 2017-06-08 | Ephesoft Inc. | Analytic systems, methods, and computer-readable media for structured, semi-structured, and unstructured documents |
| CN109643281A (zh) * | 2016-03-11 | 2019-04-16 | 赛博算机公司 | 数据加密和解密的系统和方法 |
| CN106685981A (zh) * | 2017-01-13 | 2017-05-17 | 北京元心科技有限公司 | 多系统的数据加密传输方法及装置 |
| CN107294771A (zh) * | 2017-05-17 | 2017-10-24 | 上海斐讯数据通信技术有限公司 | 一种适用于大数据集群的高效部署系统以及使用方法 |
| EP3418919A1 (en) * | 2017-06-23 | 2018-12-26 | Palantir Technologies Inc. | User interface for managing synchronization between data sources and cache databases |
| US20190384793A1 (en) * | 2018-06-15 | 2019-12-19 | EMC IP Holding Company LLC | Methods, apparatuses, and computer storage media for data searching |
| US11055428B1 (en) * | 2021-02-26 | 2021-07-06 | CTRL IQ, Inc. | Systems and methods for encrypted container image management, deployment, and execution |
| CN114036538A (zh) * | 2021-11-03 | 2022-02-11 | 北京中安星云软件技术有限公司 | 一种基于虚拟块设备的数据库透明加解密实现方法及系统 |
| CN113987557A (zh) * | 2021-12-24 | 2022-01-28 | 亿次网联(杭州)科技有限公司 | 一种文件加密处理方法、系统、电子设备和存储介质 |
Non-Patent Citations (5)
| Title |
|---|
| BO YANG: "An Encryption-as-a-service Architecture on Cloud Native Platform", 《2021 ICCCN》 * |
| SHUANGXI HONG等: "MobiGemini:Sensitive-Based Data and Resource Protection Framework for Mobile Device", 《中国通信》 * |
| WARM3SNOW: "Linux块设备加密之dm-crypt分析", <HTTPS://WWW.CNBLOGS.COM/INFORMATICS/P/7903391.HTML> * |
| 尹释玉: "linux配置部署elasticsearch集群(虚拟机、docker)", 《HTTPS://BLOG.CSDN.NET/QQ_35892226/ARTICLE/DETAILS/122719627》 * |
| 胡鹤等: "面向集群服务器系统的监控平台综述", 《科研信息化技术与应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114943091B (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637166B (zh) | 一种数据传输方法、装置、终端及存储介质 | |
| US11025415B2 (en) | Cryptographic operation method, method for creating working key, cryptographic service platform, and cryptographic service device | |
| CN110224808B (zh) | 基于区块链的银行数据共享方法、装置、计算机设备和存储介质 | |
| CN113378236A (zh) | 一种证据数据在线保全公证平台及保全方法 | |
| CN113391880B (zh) | 一种分层双重哈希验证的可信镜像传输方法 | |
| US9317707B2 (en) | Method and system for protecting a driver | |
| CN109274646B (zh) | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 | |
| CN111741268B (zh) | 视频的传输方法、装置、服务器、设备和介质 | |
| CN115208705A (zh) | 基于链路数据自适应调整的加密解密方法及装置 | |
| KR20220092811A (ko) | 암호화 데이터를 저장하는 방법 및 장치 | |
| CN114327261A (zh) | 数据文件的存储方法及数据安全代理 | |
| CN111796936A (zh) | 请求处理方法、装置、电子设备及介质 | |
| CN114943091B (zh) | 基于linux内核块设备加密功能的Elasticsearch加密搜索方法 | |
| CN112398874A (zh) | 一种云计算的数据安全管理系统 | |
| CN107404476B (zh) | 一种大数据云环境中数据安全的保护方法与装置 | |
| CN114915503A (zh) | 基于安全芯片的数据流拆分处理加密方法及安全芯片装置 | |
| CN113489723B (zh) | 数据传输方法、系统、计算机设备及存储介质 | |
| CN111814175B (zh) | 一种区块链间跨链信息传输控制系统 | |
| CN113672955A (zh) | 一种数据处理方法、系统及装置 | |
| CN114996730A (zh) | 一种数据加解密系统、方法、计算机设备及存储介质 | |
| CN115134150A (zh) | 基于区块链的数据获取方法、系统、存储介质及电子装置 | |
| CN114116710A (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
| CN111339578A (zh) | 一种密钥存取方法、装置、系统、设备和存储介质 | |
| CN117254982B (zh) | 基于区块链的数字身份验证方法及系统 | |
| CN114500072B (zh) | 报文数据的传输方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |