一种集群环境下数据安全实现方法和一种高安全性的集群的制作方法

文档序号:7764685阅读:362来源:国知局
专利名称:一种集群环境下数据安全实现方法和一种高安全性的集群的制作方法
技术领域
本发明涉及机群环境下的数据安全领域,特别涉及一种集群环境下数据安全实 现方法和一种高安全性的集群。
背景技术
目前HPC系统在安全方面还存在巨大的问题。在业界,集群系统的安全问题已 经越来越尖锐,虽然目前HPC系统还是更加关注性能本身,但是随着集群系统规模的不 断扩大,集群系统的安全问题将变得越来越重要。集群环境下用户数据安全与用户直接相关,显得尤为突出。在传统的集群系统 中管理员和其它有权限的用户可以查看所有用户数据,存在数据泄密的巨大危险。传统做法是对用户的文件进行权限控制,使非授权用户无法访问,但是随着技 术的发展,管理员(或特权用户)可以通过提升权限或绕过权限控制来访问文件;

发明内容
本发明的目的在于提供一种集群环境下数据安全实现方法和一种高安全性的集 群。通过PKI技术,从硬件和软件配合完成机群环境下用户信息的全程保护。一种集群环境下数据安全实现方法,包括以下步骤A、为用户发放硬件身份认证设备和数字证书;B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和 用户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过 验证,交换KEK,将KEK交由安全网关保存;C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使 用随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全 网关;D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;E、加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随 机密钥K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用 户,完成文件提交;F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分 配计算节点资源;G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业运行时计算 节点的加密文件系统使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文 件均使用用户KEK和随机密钥加密保存;H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后 传递给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使 用随机密钥解密密文结果得到明文的结果文件。
本发明的一种优选技术方案在于所述硬件身份认证设备可以使用USB智能密 码钥匙,所述KEK为用于加密用户数据密钥的密钥。一种高安全性的集群,其特征在于包括CA证书中心,安全网关,硬件身份 认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本发明的一种优选技术方案在于硬件身份认证设备接入终端,通过互联网连 接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算 节点通过内部网络相连接。本发明的另一优选技术方案在于所述安全网关接收远程终端发送的密文数 据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络明文,远程终端 与安全网关直接的信道由其他手段保证。本发明的再一优选技术方案在于所述硬件认证设备可以使用USB智能密码钥 匙。本发明的带来的有益效果每个用户的文件都是单独加密保存和传输的,杜绝 非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引 起的机群内泄密。


图1是本发明集群的结构图。图2是本发明集群的登录流程。图3是本发明集群的上传文件过程。图4是本发明集群的提交作业流程。图5是本发明集群的下载文件流程。
具体实施方案以身份认证设备使用USB Key(USB智能密码钥匙),加密服务模块以加密文件 系统(加密卡提供算法服务)为例,介绍一种实施方式(见下图)。登录时用使用USB Key对安全网关的随机数签名,安全网关使用随机数和用户 证书验证签名,同时验证证书和用户权限。如果未通过验证,反馈给用户登录错误。如果通过验证,则进一步交换KEK, 将KEK交由安全网关保存。用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用 随机密钥加密提交文件;使用安全网关证书公钥加密随机密钥;将二者一并提交到安全 网关。安全网关收到后,先解密出随机密钥,再用随机密钥解密出明文。加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥 K;使用随机密钥加密明文并保存到存储服务器。安全网关将处理结果反馈给用户,完成文件提交。用户登录(通过安全网关)管理节点,提交作业申请,管理节点根据提交申请分 配计算节点资源。管理节点登录计算节点后计算节点交换用户KEK并缓存;作业运行时计算节点的加密文件系统使用KEK解密计算数据,供计算节点使用;所有的中间文件和 结果文件均使用用户KEK和随机密钥加密保存。 用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传 递给用户,用使用USB Key私钥解密KEK,在使用KEK解密随机密钥,最后使用随机密 钥解密密文结果文件得到明文的结果文件。
权利要求
1.一种集群环境下数据安全实现方法,其特征在于包括以下步骤A、为用户发放硬件身份认证设备和数字证书;B、登录时使用身份认证设备对安全网关的随机数签名,安全网关使用随机数和用 户证书验证签名,同时验证证书和用户权限;若未通过验证,返回错误信息,若通过验 证,交换KEK,将KEK交由安全网关保存;C、用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用 随机密钥加密提交文件使用安全网关证书公钥加密随机密钥,将二者一并提交到安全网 关;D、安全网关接收到后,先解密出随机密钥,再用随机密钥解密出明文;E、加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥 K,使用随机密钥加密明文并保存到存储服务器;安全网关将处理结果反馈给用户,完 成文件提交;F、用户通过安全网关登陆管理节点,提交作业申请,管理节点根据提交申请分配计 算节点资源;G、管理节点登录计算节点后计算节点交换用户KEK并缓存,作业时计算节点的加 密文件系统使用KEK解密计算数据,供计算节点使用,所有中间文件和结果文件均使用 用户KEK和随机密钥加密保存;H、用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递 给用户,用户使用身份认证设备私钥解密KEK,再使用KEK解密随机密钥,最后使用随 机密钥解密密文结果得到明文的结果文件。
2.如权利要求1所述一种集群环境下数据安全实现方法,其特征在于所述硬件身 份认证设备可以使用USB智能密码钥匙,所述KEK为用于加密用户数据密钥的密钥。
3.—种高安全性的集群,其特征在于包括CA证书中心,安全网关,硬件身份认证 设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。
4.如权利要求3所述一种高安全性的集群,其特征在于硬件身份认证设备接入终 端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存 储服务器以及计算节点通过内部网络相连接。
5.如权利要求3所述一种高安全性的集群,其特征在于所述安全网关接收远程终 端发送的密文数据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络 明文,远程终端与安全网关直接的信道由其他手段保证。
6.如权利要求3所述一种高安全性的集群,其特征在于所述硬件认证设备可以使 用USB智能密码钥匙。
全文摘要
本发明提供了一种集群环境下数据安全实现方法和一种高安全性的集群。包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本发明中每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。
文档编号H04L29/06GK102025503SQ20101053654
公开日2011年4月20日 申请日期2010年11月4日 优先权日2010年11月4日
发明者万伟, 孙国忠, 宋辉, 李博文, 郭旭 申请人:北京曙光天演信息技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1