[发明专利]基于分布式集群环境下保护集群数据安全的方法和系统

说明书

技术领域

本发明涉及数据安全领域，具体涉及一种基于分布式集群环境下保护集群数据安全的方法和系统。

背景技术

目前有些集群通过官方提供的安全性组件来验证数据获取者；有些通过自身的校验来验证数据获取者。这些方式没有对隔离数据获取者与集群之间的物理通讯链路，非法的数据获取者可以通过伪装或者暴力破解官方安全性组件的验证机制从而突破对其身份的验证进而获取到数据。此外，由于数据获取者与集群之间缺乏仅双方互知的用于加密数据的会话密钥，导致在数据传输过程中容易被第三方截获而导致关键数据泄密；或者第三方将截获的数据进行非法篡改后再将数据发送给消息获取者而导致不安全的数据传输。

发明内容

本发明的目的在于，为解决上述技术问题，提供一种能够有效提高数据传输安全性的基于分布式集群环境下保护集群数据安全的方法和系统。

为解决上述技术问题，本发明采用如下的技术方案：一种基于分布式集群环境下保护数据安全的方法，具体包括如下步骤：

S1、在集群与数据获取者之间设有防火墙，所述防火墙用于隔离数据获取者到集群的通讯链路，并开放所述集群和路由与限流装置之间的通讯链路；

S2、所述数据获取者请求集群数据时，首先需前往中央认证平台进行身份合法性校验；

S3、通过所述身份合法性校验的请求通过所述路由与限流装置发送到集群，集群统计结果后将结果发往路由与限流装置，最后由路由与限流装置发给数据获取者。

如前述的基于分布式集群环境下保护数据安全的方法，在所述步骤S2中，所述前往中央认证平台进行身份合法性校验具体包括：

a、所述数据获取者将自身所支持的对称算法列表和非对称算法列表发送到所述中央认证平台；

b、所述中央认证平台选择一种对称算法与非对称算法返回给所述数据获取者用以确定二者之间的加解密算法；

c、所述数据获取者在获取对称算法与非对称算法后随机产生一份消息原文，并计算消息原文的哈希值A，使用非对称算法通过自身的私钥加密所述哈希值；最后将消息原文、加密后的消息原文的哈希值和标识数据获取者自身身份的数字证书发送给所述中央认证平台；

d、所述中央认证平台对所述加密后的哈希值进行解密并得到解密后的哈希值，然后通过哈希算法计算消息原文的哈希值B，通过比对所述消息原文的哈希值A和消息原文的哈希值B的一致性以确定所述数据获取者的身份。

如前述的基于分布式集群环境下保护数据安全的方法，所述支持的对称算法包括：DES、3DES和AES；所述非对称算法包括RSA和DSA。

如前述的基于分布式集群环境下保护数据安全的方法，所述中央认证平台对所述加密后的哈希值进行解密具体方法是：使用所述步骤c中的非对称算法以及从数字证书中提取公钥对加密后的哈希进行解密。

如前述的基于分布式集群环境下保护数据安全的方法，所述步骤S3之前包括：如果确定所述数据获取者身份的合法，所述中央认证平台随机产生一个随机数作为会话秘钥，使用数字证书中提取的公钥加密后，发送到所述数据获取者。

如前述的基于分布式集群环境下保护数据安全的方法，所述步骤S3之前还包括：如果确定所述数据获取者身份的不合法，则所述身份合法性校验失败，并提示身份验证失败。

本发明还提供一种基于分布式集群环境下保护数据安全的系统，所述装置包括：

集群，用于对外提供数据检索；

防火墙，用于隔离数据获取者到集群的通讯链路，并开放所述集群与路由装置之间的通讯链路；

中央认证平台，用于对数据获取者的身份进行合法性校验，将合法性校验通过的数据获取者的请求发往路由与限流装置；

路由与限流装置，用于将已经通过中央认证平台认证的请求发送到集群进行请求，并在并发请求数达到阈值时通过限流措施保障发往集群分的并发请求数。