一种分布式系统敏感数据传输保护方法及装置制造方法及图纸

本发明专利技术揭示了一种分布式系统敏感数据传输保护方法及装置，方法包括加密和解密处理，加密处理包括随机生成对称秘钥，并对称加密数据；设置数据的生命长度，非对称加密对称秘钥，同时进行哈希函数散列转换，最终形成加密数据；解密处理包括获取加密数据的头部和主体数据，对头部中的加密后的对称秘钥进行解密获得对称秘钥；对头部中的主体数据、生命长度及加密后的对称秘钥进行哈希计算，并通过对称秘钥对计算结果加密处理，获得哈希消息认证码；判断哈希消息认证码是否匹配，并在匹配且生命长度有效时，解密主体数据，获得明文数据，并对加密后的对称秘钥进行销毁处理。本发明专利技术能够保证敏感数据传输过程中的安全性。

A method and device for transmission and protection of sensitive data in distributed system

【技术实现步骤摘要】
一种分布式系统敏感数据传输保护方法及装置
本专利技术涉及网络安全
，尤其是涉及一种分布式系统敏感数据传输保护方法及装置。
技术介绍
最近几年来，保护敏感数据不被泄漏成为人们关注的热点问题。入侵者除了直接盗取物理存储设备，还可以通过网络攻击来窃夺文件数据；而且，由于共享的需求，敏感数据会由多人访问，这也增大了泄漏的可能性。对数据或文件进行加密已经成为一种公认的比较成功的保护方法。事实上，人们早已开发了许多优秀的加密算法，如DES、AES、RSA等，并且有一些应用程序如crypt使用这些加密算法，用户通过这些工具手工地完成加密、解密的工作。由于这些应用程序操作麻烦、没有和整个系统紧密地结合而且容易受到攻击，因此一般用户并不愿意使用，该问题也同样存在于分布式系统中，网络信息安全问题以及数据冗余问题仍是分布式研究的热点，如何保证敏感数据传输过程中的安全性是亟需解决的问题。
技术实现思路
本专利技术的目的在于克服现有技术的缺陷，提供一种分布式系统敏感数据传输保护方法及装置，保证敏感数据传输过程中的安全性。为实现上述目的，本专利技术提出如下技术方案：一种分布式系统敏感数据传输保护方法，分布式系统的每个节点均进行加密处理和解密处理，所述加密处理包括：随机生成对称秘钥RKey，通过所述对称秘钥RKey对读取的数据进行加密处理，生成主体数据Body，同时配置数据的生命长度T，并对所述对称秘钥RKey进行非对称加密处理，生成加密后的对称秘钥SEC；对所述主体数据Body、生命长度T、及加密后的对称秘钥SEC进行哈希计算，获得散列值HH，进一步通过所述对称秘钥RKey对所述散列值HH进行加密处理，生成HMAC(哈希消息认证码)，所述哈希消息认证码HMAC、生命长度T及加密后的对称秘钥SEC形成头部Header，所述头部Header与所述主体数据Body形成加密数据；解密处理包括：获取加密数据的头部Header′和主体数据Body′，进一步获取头部Header′中的加密后的对称秘钥SEC′、生命长度T′，及哈希消息认证码HMAC′，并对所述加密后的对称秘钥SEC′进行非对称解密处理，获得对称秘钥RKey′；对所述主体数据Body′、生命长度T′、及加密后的对称秘钥SEC′进行哈希计算，获得散列值HH′，进一步通过所述对称秘钥RKey′对所述散列值HH′进行加密处理，生成哈希消息认证码HMAC″，将所述哈希消息认证码HMAC′与哈希消息认证码HMAC″进行匹配，并在匹配且生命长度T′有效时，通过所述对称秘钥RKey′解密主体数据Body，获得明文数据，并对所述加密后的对称秘钥SEC′进行销毁处理。优选地，在解密处理中，若所述哈希消息认证码HMAC′与哈希消息认证码HMAC″不匹配，则对数据进行销毁处理。优选地，在解密处理中，若生命长度T′无效，则对数据进行销毁处理。优选地，通过数据复写方式对数据进行销毁。优选地，通过公钥对所述对称秘钥RKey进行非对称加密处理，通过私钥对所述加密后的对称秘钥SEC′进行非对称解密处理，所述公钥和私钥通过密钥管理中心获取。优选地，所述公钥和私钥通过如下步骤获得：节点将节点身份信息ID发送至传输至密钥管理中心，所述密钥管理中心将节点身份信息ID作为公钥，并通过如下公式生成私钥：其中，r∈Zp，节点身份ID∈Zp，随机数α∈Zp，Zp表示验证密钥空间，g,g2,h1为密钥管理中心随机选取，g1＝ga∈G。本专利技术还揭示了一种分布式系统敏感数据传输保护装置，包括加密处理模块和解密处理模块，分布式系统的每个节点均包括加密处理模块和解密处理模块，加密处理模块用于随机生成对称秘钥RKey，通过所述对称秘钥RKey对读取的数据进行加密处理，生成主体数据Body，同时配置数据的生命长度T，并对所述对称秘钥RKey进行非对称加密处理，生成加密后的对称秘钥SEC；对所述主体数据Body、生命长度T、及加密后的对称秘钥SEC进行哈希计算，获得散列值HH，进一步通过所述对称秘钥RKey对所述散列值HH进行加密处理，生成哈希消息认证码HMAC，所述哈希消息认证码HMAC、生命长度T及加密后的对称秘钥SEC形成头部Header，所述头部Header与所述主体数据Body形成加密数据；解密处理模块用于获取加密数据的头部Header′和主体数据Body′，进一步获取头部Header′中的加密后的对称秘钥SEC′、生命长度T′，及哈希消息认证码HMAC′，并对所述加密后的对称秘钥SEC′进行非对称解密处理，获得对称秘钥RKey′；对所述主体数据Body′、生命长度T′、及加密后的对称秘钥SEC′进行哈希计算，获得散列值HH′，进一步通过所述对称秘钥RKey′对所述散列值HH′进行加密处理，生成HMAC″，将所述哈希消息认证码HMAC′与哈希消息认证码HMAC″进行匹配，并在匹配且生命长度T′有效时，通过所述对称秘钥RKey′解密主体数据Body，获得明文数据，并对所述加密后的对称秘钥SEC′进行销毁处理。优选地，加密处理模块包括第一秘钥生成模块，用于随机生成对称秘钥RKey；主体数据生成模块，用于通过所述对称秘钥RKey对读取的数据进行加密处理，生成主体数据Body；生命长度配置模块，用于配置数据的生命长度T；第二秘钥生成模块，用于对所述对称秘钥RKey进行非对称加密处理，生成加密后的对称秘钥SEC；第一哈希消息认证码生成模块，用于对所述主体数据Body、生命长度T、及加密后的对称秘钥SEC进行哈希计算，获得散列值HH，进一步通过所述对称秘钥RKey对所述散列值HH进行加密处理，生成HMAC。优选地，所述解密处理模块包括解析模块，用于获取加密数据的头部Header′和主体数据Body′，进一步获取头部Header′中的加密后的对称秘钥SEC′、生命长度T′，及哈希消息认证码HMAC′；第三秘钥生成模块，用于对所述加密后的对称秘钥SEC′进行非对称解密处理，获得对称秘钥RKey′；第二哈希消息认证码生成模块，用于对所述主体数据Body′、生命长度T′、及加密后的对称秘钥SEC′进行哈希计算，获得散列值HH′，进一步通过所述对称秘钥RKey′对所述散列值HH′进行加密处理，生成哈希消息认证码HMAC″；判断模块，用于判断所述哈希消息认证码HMAC′与哈希消息认证码HMAC″是否匹配且生命长度是否有效；明文数据获取模块，用于在哈希消息认证码HMAC′与哈希消息认证码HMAC″匹配且生命长度T′有效时，通过所述对称秘钥RKey′解密主体数据Body，获得明文数据，并对所述加密后的对称秘钥SEC′进行销毁处理。本专利技术的有益效果是：本专利技术通过多重加密和哈希运算，在一定程度上保证了敏感数据传输的完整性，保密性与不可否认性，同时设置数据的生命长度，针对数据的生存周期进行一定的控制，使得传输的敏感数据能够得到有效的控制以及销毁，防本文档来自技高网...

【技术保护点】
1.一种分布式系统敏感数据传输保护方法，其特征在于，分布式系统的每个节点均进行加密处理和解密处理，所述加密处理包括：/n随机生成对称秘钥RKey，通过所述对称秘钥RKey对读取的数据进行加密处理，生成主体数据Body，同时配置数据的生命长度T，并对所述对称秘钥RKey进行非对称加密处理，生成加密后的对称秘钥SEC；/n对所述主体数据Body、生命长度T、及加密后的对称秘钥SEC进行哈希计算，获得散列值HH，进一步通过所述对称秘钥RKey对所述散列值HH进行加密处理，生成哈希消息认证码HMAC，所述哈希消息认证码HMAC、生命长度T及加密后的对称秘钥SEC形成头部Header，所述头部Header与所述主体数据Body形成加密数据；/n解密处理包括：/n获取加密数据的头部Header′和主体数据Body′，进一步获取头部Header′中的加密后的对称秘钥SEC′、生命长度T′，及哈希消息认证码HMAC′，并对所述加密后的对称秘钥SEC′进行非对称解密处理，获得对称秘钥RKey′；/n对所述主体数据Body′、生命长度T′、及加密后的对称秘钥SEC′进行哈希计算，获得散列值HH′，进一步通过所述对称秘钥RKey′对所述散列值HH′进行加密处理，生成哈希消息认证码HMAC″，将所述哈希消息认证码HMAC′与哈希消息认证码HMAC″进行匹配，并在匹配且生命长度T′有效时，通过所述对称秘钥RKey′解密主体数据Body，获得明文数据，并对所述加密后的对称秘钥SEC′进行销毁处理。/n...

【技术特征摘要】
1.一种分布式系统敏感数据传输保护方法，其特征在于，分布式系统的每个节点均进行加密处理和解密处理，所述加密处理包括：
随机生成对称秘钥RKey，通过所述对称秘钥RKey对读取的数据进行加密处理，生成主体数据Body，同时配置数据的生命长度T，并对所述对称秘钥RKey进行非对称加密处理，生成加密后的对称秘钥SEC；
对所述主体数据Body、生命长度T、及加密后的对称秘钥SEC进行哈希计算，获得散列值HH，进一步通过所述对称秘钥RKey对所述散列值HH进行加密处理，生成哈希消息认证码HMAC，所述哈希消息认证码HMAC、生命长度T及加密后的对称秘钥SEC形成头部Header，所述头部Header与所述主体数据Body形成加密数据；
解密处理包括：
获取加密数据的头部Header′和主体数据Body′，进一步获取头部Header′中的加密后的对称秘钥SEC′、生命长度T′，及哈希消息认证码HMAC′，并对所述加密后的对称秘钥SEC′进行非对称解密处理，获得对称秘钥RKey′；
对所述主体数据Body′、生命长度T′、及加密后的对称秘钥SEC′进行哈希计算，获得散列值HH′，进一步通过所述对称秘钥RKey′对所述散列值HH′进行加密处理，生成哈希消息认证码HMAC″，将所述哈希消息认证码HMAC′与哈希消息认证码HMAC″进行匹配，并在匹配且生命长度T′有效时，通过所述对称秘钥RKey′解密主体数据Body，获得明文数据，并对所述加密后的对称秘钥SEC′进行销毁处理。


2.根据权利要求1所述的方法，其特征在于，在解密处理中，若所述哈希消息认证码HMAC′与哈希消息认证码HMAC″不匹配，则对数据进行销毁处理。


3.根据权利要求1所述的方法，其特征在于，在解密处理中，若生命长度T′无效，则对数据进行销毁处理。


4.根据权利要求2或3所述的方法，其特征在于，通过数据复写方式对数据进行销毁。


5.根据权利要求1所述的方法，其特征在于，通过公钥对所述对称秘钥RKey进行非对称加密处理，通过私钥对所述加密后的对称秘钥SEC′进行非对称解密处理，所述公钥和私钥通过密钥管理中心获取。


6.根据权利要求5所述的方法，其特征在于，所述公钥和私钥通过如下步骤获得：
节点将节点身份信息ID发送至传输至密钥管理中心，所述密钥管理中心将节点身份信息ID作为公钥，并通过如下公式生成私钥：



其中，r∈Zp，节点身份ID∈Zp，随机数α∈Zp，Zp表示验证密钥空间，g,g2,h1为密钥管理中心随机选取，g1＝ga∈G。


7.一种分布式系统敏感数据传输保护装置，包括加密处理模块和解密处理模块，分布式系统的每个节点均包括加密处理模块和解密处理模块，
加密处理模块用于随机生成对称秘钥RKey，通过所述对称秘钥RKey对读取的数据进行加密处理，生成主体数据Body，同时配置数据的生命长度T，并对所述对称秘钥RKey进行非对称加密处理，生成加密后的对称秘钥SE...

【专利技术属性】
技术研发人员：郑朝晖，王健翔，周肖宏，
申请(专利权)人：上海海加网络科技有限公司，
类型：发明
国别省市：上海;31