基于分布式集群环境下保护集群数据安全的方法和系统与流程
本发明涉及数据安全领域,具体涉及一种基于分布式集群环境下保护集群数据安全的方法和系统。
背景技术:
目前有些集群通过官方提供的安全性组件来验证数据获取者;有些通过自身的校验来验证数据获取者。这些方式没有对隔离数据获取者与集群之间的物理通讯链路,非法的数据获取者可以通过伪装或者暴力破解官方安全性组件的验证机制从而突破对其身份的验证进而获取到数据。此外,由于数据获取者与集群之间缺乏仅双方互知的用于加密数据的会话密钥,导致在数据传输过程中容易被第三方截获而导致关键数据泄密;或者第三方将截获的数据进行非法篡改后再将数据发送给消息获取者而导致不安全的数据传输。
技术实现要素:
本发明的目的在于,为解决上述技术问题,提供一种能够有效提高数据传输安全性的基于分布式集群环境下保护集群数据安全的方法和系统。
为解决上述技术问题,本发明采用如下的技术方案:一种基于分布式集群环境下保护数据安全的方法,具体包括如下步骤:
s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;
s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验;
s3、通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者。
如前述的基于分布式集群环境下保护数据安全的方法,在所述步骤s2中,所述前往中央认证平台进行身份合法性校验具体包括:
a、所述数据获取者将自身所支持的对称算法列表和非对称算法列表发送到所述中央认证平台;
b、所述中央认证平台选择一种对称算法与非对称算法返回给所述数据获取者用以确定二者之间的加解密算法;
c、所述数据获取者在获取对称算法与非对称算法后随机产生一份消息原文,并计算消息原文的哈希值a,使用非对称算法通过自身的私钥加密所述哈希值;最后将消息原文、加密后的消息原文的哈希值和标识数据获取者自身身份的数字证书发送给所述中央认证平台;
d、所述中央认证平台对所述加密后的哈希值进行解密并得到解密后的哈希值,然后通过哈希算法计算消息原文的哈希值b,通过比对所述消息原文的哈希值a和消息原文的哈希值b的一致性以确定所述数据获取者的身份。
如前述的基于分布式集群环境下保护数据安全的方法,所述支持的对称算法包括:des、3des和aes;所述非对称算法包括rsa和dsa。
如前述的基于分布式集群环境下保护数据安全的方法,所述中央认证平台对所述加密后的哈希值进行解密具体方法是:使用所述步骤c中的非对称算法以及从数字证书中提取公钥对加密后的哈希进行解密。
如前述的基于分布式集群环境下保护数据安全的方法,所述步骤s3之前包括:如果确定所述数据获取者身份的合法,所述中央认证平台随机产生一个随机数作为会话秘钥,使用数字证书中提取的公钥加密后,发送到所述数据获取者。
如前述的基于分布式集群环境下保护数据安全的方法,所述步骤s3之前还包括:如果确定所述数据获取者身份的不合法,则所述身份合法性校验失败,并提示身份验证失败。
本发明还提供一种基于分布式集群环境下保护数据安全的系统,所述装置包括:
集群,用于对外提供数据检索;
防火墙,用于隔离数据获取者到集群的通讯链路,并开放所述集群与路由装置之间的通讯链路;
中央认证平台,用于对数据获取者的身份进行合法性校验,将合法性校验通过的数据获取者的请求发往路由与限流装置;
路由与限流装置,用于将已经通过中央认证平台认证的请求发送到集群进行请求,并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。
与现有技术相比,本发明通过s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验;s3、所述身份合法性校验通过的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者,从而能够彻底隔绝数据获取者与集群数据之间的数据通讯通道;可以对数据获取方的身份采取统一的方式进行验证;通过软件连同硬件防火墙的方式加固数据安全;可以通过中央认证平台对其他集群或者其他需要通过身份认证的系统进行统一防护;统一身份认证平台也可通过限流等措施保证集群的稳定性;防止数据泄露。
附图说明
图1为本发明方法流程示意图;
图2为本发明中中央认证平台进行身份合法性校验流程示意图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
本发明实施例1,如图1~2所示,一种基于分布式集群环境下保护数据安全的方法,具体包括如下步骤:
s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;
s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验,具体包括:
a、所述数据获取者将自身所支持的对称算法列表和非对称算法列表发送到所述中央认证平台,所述支持的对称算法包括:des、3des和aes;所述非对称算法包括rsa和dsa;
b、所述中央认证平台选择一种对称算法与非对称算法返回给所述数据获取者用以确定二者之间的加解密算法;
c、所述数据获取者在获取对称算法与非对称算法后随机产生一份消息原文,并计算消息原文的哈希值a,使用非对称算法通过自身的私钥加密所述哈希值;最后将消息原文、加密后的消息原文的哈希值和标识数据获取者自身身份的数字证书发送给所述中央认证平台;
d、所述中央认证平台使用所述步骤c中的非对称算法以及从数字证书中提取公钥对所述加密后的哈希值进行解密并得到解密后的哈希值,然后通过哈希算法计算消息原文的哈希值b,通过比对所述消息原文的哈希值a和消息原文的哈希值b的一致性以确定所述数据获取者的身份;
s3、如果确定所述数据获取者身份的合法,所述中央认证平台随机产生一个随机数作为会话秘钥,使用数字证书中提取的公钥加密后,发送到所述数据获取者;如果确定所述数据获取者身份的不合法,则所述身份合法性校验失败,并提示身份验证失败;通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者,在所述身份合法性校验失败后,提示身份验证失败。
本发明还提供一种基于分布式集群环境下保护数据安全的系统,所述系统包括:
集群,用于对外提供数据检索;
防火墙,用于隔离数据获取者到集群的通讯链路,并开放所述集群与路由装置之间的通讯链路;
中央认证平台,用于对数据获取者的身份进行合法性校验,将合法性校验通过的数据获取者的请求发往路由与限流装置;
路由与限流装置,用于将已经通过中央认证平台认证的请求发送到集群进行请求,并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。
本发明实施例2,如图1~2所示,一种基于分布式集群环境下保护数据安全的方法,具体包括如下步骤:
s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;
s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验,具体包括:
a、所述数据获取者将自身所支持的对称算法列表和非对称算法列表发送到所述中央认证平台;
b、所述中央认证平台选择一种对称算法与非对称算法返回给所述数据获取者用以确定二者之间的加解密算法;
c、所述数据获取者在获取对称算法与非对称算法后随机产生一份消息原文,并计算消息原文的哈希值a,使用非对称算法通过自身的私钥加密所述哈希值;最后将消息原文、加密后的消息原文的哈希值和标识数据获取者自身身份的数字证书发送给所述中央认证平台;
d、所述中央认证平台对所述加密后的哈希值进行解密并得到解密后的哈希值,然后通过哈希算法计算消息原文的哈希值b,通过比对所述消息原文的哈希值a和消息原文的哈希值b的一致性以确定所述数据获取者的身份;
s3、如果确定所述数据获取者身份的合法,所述中央认证平台随机产生一个随机数作为会话秘钥,使用数字证书中提取的公钥加密后,发送到所述数据获取者;如果确定所述数据获取者身份的不合法,则所述身份合法性校验失败,并提示身份验证失败;通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者。
本发明还提供一种基于分布式集群环境下保护数据安全的系统,所述系统包括:
集群,用于对外提供数据检索;
防火墙,用于隔离数据获取者到集群的通讯链路,并开放所述集群与路由装置之间的通讯链路;
中央认证平台,用于对数据获取者的身份进行合法性校验,将合法性校验通过的数据获取者的请求发往路由与限流装置;
路由与限流装置,用于将已经通过中央认证平台认证的请求发送到集群进行请求,并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。
本发明实施例3,如图1~2所示,一种基于分布式集群环境下保护数据安全的方法,具体包括如下步骤:
s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;
s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验,具体包括:
a、所述数据获取者将自身所支持的对称算法列表和非对称算法列表发送到所述中央认证平台;
b、所述中央认证平台选择一种对称算法与非对称算法返回给所述数据获取者用以确定二者之间的加解密算法;
c、所述数据获取者在获取对称算法与非对称算法后随机产生一份消息原文,并计算消息原文的哈希值a,使用非对称算法通过自身的私钥加密所述哈希值;最后将消息原文、加密后的消息原文的哈希值和标识数据获取者自身身份的数字证书发送给所述中央认证平台;
d、所述中央认证平台使用所述步骤c中的非对称算法以及从数字证书中提取公钥对所述加密后的哈希值进行解密并得到解密后的哈希值,然后通过哈希算法计算消息原文的哈希值b,通过比对所述消息原文的哈希值a和消息原文的哈希值b的一致性以确定所述数据获取者的身份;
s3、通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者。
本发明还提供一种基于分布式集群环境下保护数据安全的系统,所述系统包括:
集群,用于对外提供数据检索;
防火墙,用于隔离数据获取者到集群的通讯链路,并开放所述集群与路由装置之间的通讯链路;
中央认证平台,用于对数据获取者的身份进行合法性校验,将合法性校验通过的数据获取者的请求发往路由与限流装置;
路由与限流装置,用于将已经通过中央认证平台认证的请求发送到集群进行请求,并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。
本发明实施例4,如图1~2所示,一种基于分布式集群环境下保护数据安全的方法,具体包括如下步骤:
s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;
s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验,具体包括:
a、所述数据获取者将自身所支持的对称算法列表和非对称算法列表发送到所述中央认证平台;
b、所述中央认证平台选择一种对称算法与非对称算法返回给所述数据获取者用以确定二者之间的加解密算法;
c、所述数据获取者在获取对称算法与非对称算法后随机产生一份消息原文,并计算消息原文的哈希值a,使用非对称算法通过自身的私钥加密所述哈希值;最后将消息原文、加密后的消息原文的哈希值和标识数据获取者自身身份的数字证书发送给所述中央认证平台;
d、所述中央认证平台对所述加密后的哈希值进行解密并得到解密后的哈希值,然后通过哈希算法计算消息原文的哈希值b,通过比对所述消息原文的哈希值a和消息原文的哈希值b的一致性以确定所述数据获取者的身份
s3、如果确定所述数据获取者身份的合法,所述中央认证平台随机产生一个随机数作为会话秘钥,使用数字证书中提取的公钥加密后,发送到所述数据获取者;如果确定所述数据获取者身份的不合法,则所述身份合法性校验失败,并提示身份验证失败;通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者。
本发明还提供一种基于分布式集群环境下保护数据安全的系统,所述装置包括:
集群,用于对外提供数据检索;
防火墙,用于隔离数据获取者到集群的通讯链路,并开放所述集群与路由装置之间的通讯链路;
中央认证平台,用于对数据获取者的身份进行合法性校验,将合法性校验通过的数据获取者的请求发往路由与限流装置;
路由与限流装置,用于将已经通过中央认证平台认证的请求发送到集群进行请求,并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。
本发明实施例5,如图1~2所示,一种基于分布式集群环境下保护数据安全的方法,具体包括如下步骤:
s1、在集群与数据获取者之间设有防火墙,所述防火墙用于隔离数据获取者到集群的通讯链路,并开放所述集群和路由与限流装置之间的通讯链路;
s2、所述数据获取者请求集群数据时,首先需前往中央认证平台进行身份合法性校验;
s3、通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群,集群统计结果后将结果发往路由与限流装置,最后由路由与限流装置发给数据获取者。
本发明还提供一种基于分布式集群环境下保护数据安全的系统,所述系统包括:
集群,用于对外提供数据检索;
防火墙,用于隔离数据获取者到集群的通讯链路,并开放所述集群与路由装置之间的通讯链路;
中央认证平台,用于对数据获取者的身份进行合法性校验,将合法性校验通过的数据获取者的请求发往路由与限流装置;
路由与限流装置,用于将已经通过中央认证平台认证的请求发送到集群进行请求,并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!