基于SGX的Hadoop秘钥管理服务安全加强方法技术

本发明专利技术提出了一种基于SGX的Hadoop秘钥管理服务安全加强方法，描述了系统模型和本方法加强Hadoop秘钥管理服务安全性的具体流程。将Hadoop秘钥管理服务中加密区秘钥、数据加密秘钥、加密数据加密秘钥的创建过程和秘钥的加解密模块转移到SGX安全区中；秘钥管理服务客户端通过SGX远程认证的方式建立安全会话，用来传递在秘钥管理服务的安全区中加密发送给客户端的秘钥信息的会话秘钥。本发明专利技术提出的方法为Hadoop秘钥管理服务提供了硬件级别的保护。

Security Enhancement Method of Hadoop Key Management Service Based on SGX

【技术实现步骤摘要】
基于SGX的Hadoop秘钥管理服务安全加强方法
本专利属于信息安全
，提出了一种基于SGX的Hadoop秘钥管理服务安全加强方法，旨在提高Hadoop秘钥管理服务的安全性。
技术介绍
随着信息技术的迅速发展，数据越来越决定着企业的未来，与此同时，数据安全性成为大数据平台的重要问题，尤其是在管理医疗信息和财务记录等敏感数据的企业中，数据的保护更是一个关键问题。Apache开源项目Hadoop作为流行的大数据分析平台，为了提高对隐私数据的保护能力，在其平台架构中不断增添更加健壮的安全机制。为了解决数据存储和数据传输中的安全问题，HDFS(HadoopDistributedFileSystem)增加了透明加解密功能,提供对HDFS中存储数据的加密保护。为了支撑HDFS的透明加解密功能，Hadoop引入了秘钥管理服务(KeyManagementService，KMS)，它是一种用于管理加密秘钥的集群新服务。目前HDFS静态数据加密混合使用将加密秘钥与文件元数据组合和依赖外部的秘钥服务器管理秘钥，基于软件的加密方式虽然易于拓展但其容易受到系统软件攻击，将秘钥存储在硬件安全模块(Hard本文档来自技高网...

【技术保护点】
1.基于SGX的Hadoop秘钥管理服务安全加强方法，其特征在于，包括以下步骤：步骤1：HDFS客户端向KMS发起SGX远程认证请求并完成对KMS的认证；步骤2：KMS接收HDFS客户端通过步骤1中建立的安全通道发送的通信秘钥SK、SK‑id用以加密服务端返回的私密数据并调用SGX密封机制加密SK保存为SSK；步骤3：HDFS客户端向KMS发起创建秘钥EZK请求；步骤4：KMS处理创建秘钥请求；步骤4.1：KMS进入SGX安全区；步骤4.2：根据客户端指定的秘钥生成算法生成秘钥EZK；步骤4.2：KMS调用SGX密封机制提供的加密算法加密EZK得到密封加密区秘钥SEZK；步骤4.3：KMS通过...

【技术特征摘要】
1.基于SGX的Hadoop秘钥管理服务安全加强方法，其特征在于，包括以下步骤：步骤1：HDFS客户端向KMS发起SGX远程认证请求并完成对KMS的认证；步骤2：KMS接收HDFS客户端通过步骤1中建立的安全通道发送的通信秘钥SK、SK-id用以加密服务端返回的私密数据并调用SGX密封机制加密SK保存为SSK；步骤3：HDFS客户端向KMS发起创建秘钥EZK请求；步骤4：KMS处理创建秘钥请求；步骤4.1：KMS进入SGX安全区；步骤4.2：根据客户端指定的秘钥生成算法生成秘钥EZK；步骤4.2：KMS调用SGX密封机制提供的加密算法加密EZK得到密封加密区秘钥SEZK；步骤4.3：KMS通过OCALL调用保存SEZK至秘钥数据库；步骤4.4：KMS根据客户端权限决定返回EZK秘钥的数据，客户端拥有获取秘钥权限则KMS用步骤2中的通信秘钥SK加密步骤4.1中的秘钥EZK，得到要返回给客户端的加密加密区秘钥EEZK和EZK元数据，客户端没有获取秘钥权限，则只返回EZK元数据；步骤4.5：KMS离开SGX安全区；步骤4.6：KMS将步骤4.2中的秘钥数据返回给HDFS客户端；步骤5：HDFS客户端用SK解...

【专利技术属性】
技术研发人员：王冠，梁世豪，周珺，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京,11