一种实现大数据安全的方法
【技术领域】
[0001]本发明涉及大数据、数据安全传输等技术领域,具体的说,是一种实现大数据安全的方法。
【背景技术】
[0002]大数据在当今社会和经济发展中发挥着越来越重要的作用,但是大数据在集中处理和存储海量数据的同时,其安全问题也将面临越来越大的挑战。
[0003]在大数据安全保护方面,常规的方法都是通过防火墙、VPN、入侵检测和防病毒等这些传统的系统和组件来保障系统完全,这些方法最大的问题是从网络协议和模式特征上去保障系统安全,无法针对大数据平台内部的敏感信息和敏感数据实施保护,也就是说,目前迄今为止还没有一个针对大数据系统的特定的安全系统。
【发明内容】
[0004]本发明的目的在于设计出一种实现大数据安全的方法,将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采用硬件保护,及将保护级别由原软件保护级别提升为硬件保护级别,极大的提升了大数据平台防攻击的能力,可有效提高大数据安全性。
[0005]本发明通过下述技术方案实现:一种实现大数据安全的方法,包括以下步骤:
1)DFS客户端接收一个数据后将对本地缓存进行访问,访问该数据是否存在数据加密密钥;
2)经步骤1)后,若该数据存在数据加密密钥则执行步骤4);若该数据不存在数据加密密钥则执行步骤3);
3)经步骤1)后,若该数据不存在数据加密密钥,则执行下述步骤:
3-1)将形成一个密钥请求并将该密钥请求放入到队列内;
3-2) KMS服务端向大数据安全管理板提出生产数据加密密钥的请求;
3-3)大数据安全管理板生成数据加密密钥,形成带数据加密密钥的数据;
4)利用GetFileinfo获得带数据加密密钥的数据所对应的安全文件;
5)将步骤4)所述的安全文件的内容传输到大数据安全功能板内进行安全保护。
[0006]进一步的为更好的实现本发明所述方法,特别采用下述设置方式:所述步骤3-2)的具体步骤为:
3-2-1) KMS服务端通过接口板B的REST API接口向大数据安全管理板请求生产数据加密密钥;
3-2-2) REST API接口向第二 TPM安全芯片发起生产数据加密密钥的请求;
进一步的为更好的实现本发明,特别采用下述设置方式:所述步骤3-3)的具体步骤为:
3-3-1)第二 TPM安全芯片生成数据加密密钥并将其返回到DFS客户端; 3-3-2) DFS客户端将步骤3-3-1)所得数据加密密钥缓存在本地缓存内。
[0007]进一步的为更好的实现本发明所述方法,特别采用下述设置方式:所述步骤5)包括以下具体步骤:
5-1)经步骤4)后,所述的安全文件的内容将通过接口板A发送至大数据安全功能板内;
5-2)所述中央处理器A将所述的安全文件的内容传输到安全卡A内进行加解密操作; 5-3)所述第一 TPM安全芯片对所述的安全文件的内容进行认证操作;
5-4)所述功能板SSD将所述的安全文件的内容进行存储。
[0008]进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括对大数据平台的用户敏感信息进行保存的方法:
(1)一种实现大数据安全的系统接收大数据平台所传输过来的数据;
(2)大数据安全管理板对所述数据内的用户敏感信息进行加密管理;
(3)加密管理后的用户敏感信息被保存到大数据安全功能板内;
(4)当大数据平台恢复后,保存在大数据安全功能板内的用户敏感信息将被输出,并通过大数据安全管理板进行解密操作,而后加载到大数据平台上。
[0009]进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括通过“一种实现大数据安全的系统”验证大数据平台的代码完整性并实现告警的方法:
(a)形成初期的Hash值:大数据平台所传输过来的代码信息传输到第一TPM安全芯片内,第一 TPM安全芯片利用Hash算法形成一个256bit数据串,然后存在第一 ROM里面;
(b)形成新的Hash值:再次将大数据平台所传输过来的代码信息传输到第一TPM安全芯片内,第一 TPM安全芯片利用Hash算法形成一个新的256bit数据串;
(c)对比及告警:将新的Hash值传输至第一ROM内,并与初期的Hash值进行对比;若新的Hash值与初期的Hash值相同则不告警,反之则告警;
(d)重复步骤(b)和(c),间隔频率为5min。
[0010]进一步的为更好的实现本发明所述方法,特别采用下述设置方式:还包括从“一种实现大数据安全的系统”内将被保护的数据信息牵引到大数据平台的方法:
(A)DFS客户端将带有数据加密密钥的密文和数据的的密文数据发送到“一种实现大数据安全的系统”;
(B)第一TPM安全芯片对带有数据加密密钥的密文和数据的的密文数据进行解析,将密钥加密密钥去除得带数据加密密钥的数据;
(C)将带数据加密密钥的数据输入安全卡A内进行解密,得密文数据;
(D )将明文数据牵引到大数据平台内。
[0011]—种实现大数据安全的系统,包括集成在同一个机箱内且相互连接的大数据安全管理板和大数据安全功能板,所述大数据安全管理板上设置有第二 TPM安全芯片、第二R0M、安全板硬盘、中央处理器B及接口板B,所述中央处理器B分别同第二 TPM安全芯片、第二 R0M、安全板硬盘及接口板B连接;所述大数据安全功能板上设置有第一 TPM安全芯片、第一 R0M、功能板硬盘、中央处理器A及接口板A,所述中央处理器A分别与第一 TPM安全芯片、第一 R0M、功能板硬盘及接口板A连接,所述接口板A与接口板B连接并进行数据通信。
[0012]进一步的为更好的实现本发明所述系统,特别采用下述设置结构:所述功能板硬盘及安全板硬盘皆采用SSD。
[0013]进一步的为更好的实现本发明所述系统,特别采用下述设置结构:还包括用于对大数据安全管理板和大数据安全功能板供电的供电电源,所述供电电源包括设置在大数据安全管理板上的电源B及设置在大数据安全功能板上的电源A。
[0014]进一步的为更好的实现本发明所述系统,特别采用下述设置结构:所述机箱采用防火、防静电、防电磁泄漏的4U或8U机箱。
[0015]本发明与现有技术相比,具有以下优点及有益效果:
本发明将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采用硬件保护,及将保护级别由原软件保护级别提升为硬件保护级别,极大的提升了大数据平台防攻击的能力,可有效提高大数据安全性。
[0016]本发明利用硬件集成化的设计模式而设计的系统将大数据平台的用户敏感信息进行保存,即使是大数据平台被黑客所攻陷,用户敏感信息也不会被暴露,当大数据平台重新恢复,被保护的信息不用重新更换即可使用。
[0017]本发明在应用时,大数据平台的数据信息,能够重定向到本发明中,被其中的第一TPM安全芯片或/和第一 TPM安全芯片加密。
[0018]本发明在应用时,大数据平台的代码完整性可以通过本发明来验证,即使大数据平台被黑客和木马所攻击,本发明亦能自动检测并告警。
[0019]本发明即使大数据平台被攻击或者病毒或木马所侵害,利用本发明所提供的系统完整性校验技术(Hash算法技术)能够准确的恢复出与原来完全相同的系统。另外,大数据平台的关键敏感信息或者数据信息能够被本发明的大数据软件I/O重定向系统进行加密保护。
【附图说明】
[0020]图1为本发明所述实现大数据安全的系统结构示意图。
[0021]图2为本发明所述方法的流程图。
【具体实施方式】
[0022]下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
[0023]专业术语解释:
DFS (distribute file system 的简写):分布式系统;
GetFileinfo (get file informat1n 的简写):获取文件信息 REST API接口:一种采用xml技术的API接口 ;
KMS (key management system):密钥管理服务;
Get Engrypt1n Key in Cache:获取内存加密密钥;
Data IKEK {DEK}:(安全领域的专用记法,KEK {DEK}意思是用KEY对DEK加密;Data|KEK{DEK}指的是数据Data和DEK的密文进行连接(“ | ”));
KEK (KEY encrypt1n KEY):密钥加密密钥;
DEK (Data Encrypt1n KEY):数据加密密匙;
KEK {DEK}:用 KEY 加密 DEK ; 实施例1:
一种实现大数据安全的系统实现大数据安全的方法,将原来对大数据安全保护采用软件及网络拓扑架构的模式,升级为直接采