专利名称:一种高安全性的集群的制作方法
技术领域:
本实用新型涉及机群环境下的数据安全领域,特别涉及一种高安全性的集群。
背景技术:
目前HPC系统在安全方面还存在巨大的问题。在业界,集群系统的安全问题已经越来越尖锐,虽然目前HPC系统还是更加关注性能本身,但是随着集群系统规模的不断扩大,集群系统的安全问题将变得越来越重要。集群环境下用户数据安全与用户直接相关,显得尤为突出。在传统的集群系统中管理员和其它有权限的用户可以查看所有用户数据,存在数据泄密的巨大危险。传统做法是对用户的文件进行权限控制,使非授权用户无法访问,但是随着技术的发展,管理员(或特权用户)可以通过提升权限或绕过权限控制来访问文件;
发明内容本实用新型的目的在于提供一种高安全性的集群。通过PKI技术,从硬件和软件配合完成机群环境下用户信息的全程保护。一种高安全性的集群,其特征在于包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本实用新型的一种优选技术方案在于硬件身份认证设备接入终端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算节点通过内部网络相连接。本实用新型的另一优选技术方案在于所述安全网关接收远程终端发送的密文数据,将密文数据转换为本地随机密钥加密的密文存储;也可以接收网络明文,远程终端与安全网关直接的信道由其他手段保证。本实用新型的再一优选技术方案在于所述硬件认证设备可以使用USB智能密码钥匙。本实用新型的带来的有益效果每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。
图1是本实用新型集群的结构图。 具体实施方案以身份认证设备使用USB Key (USB智能密码钥匙),加密服务模块以加密文件系统(加密卡提供算法服务)为例,介绍一种实施方式(见下图)。登录时用使用USB Key对安全网关的随机数签名,安全网关使用随机数和用户证书验证签名,同时验证证书和用户权 限。如果未通过验证,反馈给用户登录错误。如果通过验证,则进一步交换KEK,将KEK 交由安全网关保存。用户访问安全网关后获取安全网关的证书,验证无误后,生成随机密钥,使用随机密钥加密提交文件;使用安全网关证书公钥加密随机密钥;将二者一并提交到安全网关。安全网关收到后,先解密出随机密钥,再用随机密钥解密出明文。加密文件系统使用用户公钥加密用户的KEK,再用KEK加密新生成的随机密钥K ; 使用随机密钥加密明文并保存到存储服务器。安全网关将处理结果反馈给用户,完成文件提交。用户登录(通过安全网关)管理节点,提交作业申请,管理节点根据提交申请分配计算节点资源。管理节点登录计算节点后计算节点交换用户KEK并缓存;作业时计算节点的加密文件系统使用KEK解密计算数据,供计算节点使用;所有的中间文件和结果文件均使用用户KEK和随机密钥加密保存。用户登录安全网关后下载文件,安全网关会将结果直接从存储服务器获取后传递给用户,用使用USB Key私钥解密KEK,在使用KEK解密随机密钥,最后使用随机密钥解密密文结果文件得到明文的结果文件。
权利要求1.一种高安全性的集群,其特征在于包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器,硬件身份认证设备接入终端,通过互联网连接至集群的安全网关,集群内部的安全网关、CA中心、管理节点、存储服务器以及计算节点通过内部网络相连接。
2.如权利要求1所述一种高安全性的集群,其特征在于所述硬件认证设备可以使用 USB智能密码钥匙。
专利摘要本实用新型提供了一种集群环境下数据安全实现方法和一种高安全性的集群。包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本实用新型中每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。
文档编号H04L29/06GK202043118SQ20102059726
公开日2011年11月16日 申请日期2010年11月4日 优先权日2010年11月4日
发明者万伟, 孙国忠, 宋辉, 李博文, 郭旭 申请人:北京曙光天演信息技术有限公司