一种适用于大数据平台的数据透明加解密系统技术方案

本申请公开一种适用于大数据平台的数据透明加解密系统，所述系统包含加解密算法执行子系统与密钥生命周期管理子系统。其中，加解密算法执行子系统至少包含中间控制模块、执行模块、数据存储模块、配置接收与控制模块、密钥算法库与密钥调用模块；密钥生命周期管理子系统包含密钥生命周期用户管理模块、密钥生命周期管理服务模块、密钥存储模块。该系统能够同时支持使用国际标准密码算法与国家商用密码算法，且实现对数据加密密钥的全生命周期管理。

【技术实现步骤摘要】
一种适用于大数据平台的数据透明加解密系统
本专利技术涉及数据加解密与密钥生命周期管理，尤其涉及一种大数据平台中支持国密算法的数据透明加解密系统。
技术介绍
越来越多的企业和组织预见到大数据的发展潜力，纷纷部署大数据分析与处理平台以处理大型数据集。其中，分布式系统基础架构Hadoop平台由于其能够实时处理来自多源异构海量数据，而得以广泛应用。然而该平台在帮助企业快速分析数据的同时，也带来了新的数据安全风险，由于具有不同分析需求的不同用户可以访问大数据平台中的数据，极易导致数据泄露，尤其是管理员用户，极易绕过访问控制策略直接访问存储在大数据平台中的数据，如何保证大数据平台中所存储敏感数据的安全至关重要。大数据平台数据透明加解密能够解决上述问题，该方法能够保护海量数据存储安全，且不影响大数据平台的正常业务访问。能够对用户和机器生成的许多不同类型数据进行加密操作，包括以下组件产生的数据：关系数据库管理系统（RDBMS）、非关系数据库（如Hbase）、基于Hadoop的一个数据仓库工具（Hive）和Hadoop分布式文件系统（HDFS）等。然而，现阶段大数据平台安全加密系统多数存在以下不足：1.无法同时支持数据库列级透明加密与文件系统中文件级透明加密。2.不支持国家商用密码算法，例如SM2,SM3,SM4,SM9。3.密钥管理过于复杂，无法实现对数据加密密钥（包含国密算法加密密钥）的全生命周期管理。针对现有技术中的缺陷，本专利技术提供一种适用于大数据平台的数据透明加解密系统，所述系统包含加解密算法执行与密钥生命周期管理两个子系统。其特征在于，该系统能够为系统使用者提供更高的数据传输与存储安全性，同时能够保证密钥的安全存储与全生命周期管理。在加解密算法执行子系统中，设计全新密码算法库，系统使用者不仅可以调用常见密码算法（包含对称加密算法AES，DES，3DES，RC2等，公钥加密算法DH，RSA，DSA，ECC等，信息摘要算法MD5，DSS，SHA-1等），同样可以调用国家商用密码算法，包括：抵御密钥替换攻击方面存在可证明安全且签名长度更短的数字签名算法SM2、能够抵御差分分析且具有较强的扩散性的密码杂凑算法SM3、硬件资源占用更少的对称加密算法SM4、加密强度等同于3072位密钥的RSA加密算法的公钥加密算法SM9。密钥生命周期管理子系统不仅能够为加密算法执行子系统中密码算法（包含常见密钥算法与国密算法）实时提供数据加密密钥，同样能够保证加密密钥的安全性。此外，该子系统为系统使用者提供密钥生命周期实时管理功能，使得系统使用者对密钥的操作更为清晰明了，同时提高了密钥管理安全性。基于国密算法的加密系统部署在大数据平台Hadoop中，为Hive、Hbase、HDFS等组件提供具有更高效率、更高安全性的加密环境。与现有大数据安全平台加密系统相比，本专利技术具有以下优势：1.能够同时支持使用国际加密算法（如AES,3DES等）与国密算法（如SM4,SM9），对数据库列级透明加密与文件系统中文件级执行透明加密操作。2.加密算法执行子系统中，支持本土化对称加密国密算法，例如SM4,SM9；支持本土化非对称加密国密算法，例如SM2；支持本土化杂凑国密算法，例如SM3；支持管理本土化对称加密国密算法，例如SM4,SM9。3.密钥生命周期管理子系统中，支持管理本土化非对称加密国密算法，例如SM3。4.系统使用者能够通过密钥管理互操作协议（KMIP）与密钥服务器交互，实现对数据加密密钥（包含国密算法加密密钥）的全生命周期管理。
技术实现思路
本专利技术提供用一种适用于大数据平台的数据透明加解密系统，所述系统包含加解密算法执行与密钥生命周期管理两个子系统。其特征在于，该系统能够为系统使用者提供更高的数据传输与存储安全性，同时能够保证密钥的安全存储与全生命周期管理。一种适用于大数据平台的数据透明加解密系统，所述系统对大数据平台中数据的存取操作透明，且包括加解密算法执行子系统与密钥生命周期管理子系统；所述存取操作透明，包含不改变数据存取所使用的接口和少量增加数据存取所需要的时间。所述加解密算法执行子系统包括：中间控制模块、加密配置引擎模块、解密配置引擎模块、执行模块、数据存储模块、配置接收与控制模块、密钥算法库与密钥调用模块。中间控制模块用于接收加解密配置指令，指令中包含加解密策略及加解密属性，并将加解密策略及加解密属性发送至数据存储模块，同时触发配置接收与控制模块；所述加密配置引擎模块由中间控制模块调用，用于对已有数据执行加密，该模块修改已有数据存储单元的属性，由未加密修改为加密，并调用执行模块对数据进行透明加密和存储；所述解密配置引擎模块由中间控制模块调用，用于对已加密数据执行解密，该模块修改已有数据存储单元的属性，由已加密修改为未加密，并调用执行模块对数据进行透明解密和存储；所述执行模块用于对数据透明加解密，该模块以加解密插件形式与大数据平台中的组件结合；所述加解密插件，分为加密子模块和解密子模块；所述加密子模块，当大数据平台组件接收到数据写入指令时被调用，大数据组件将得到的数据结构传递给加密子模块，该子模块从数据存储模块中获取加密参数，从密钥调用模块中获取密钥，并调用密钥算法库对数据进行加密，并将加密后的数据结构传递给大数据平台组件，由大数据平台组件执行数据存储；所述解密子模块，当大数据平台组件接收到数据读取指令时被调用，大数据组件将得到的数据结构传递给解密子模块，该子模块从数据存储模块中获取加密参数，从密钥调用模块中获取密钥，并调用密钥算法库对数据进行解密，并将解密后的数据结构传递给大数据平台组件，由大数据平台组件执行数据读取；所述数据存储模块用于存储加解密属性和加解密策略；所述配置接收与控制模块用于接收加解密配置指令；密钥生命周期管理子系统包含密钥生命周期管理服务模块、密钥存储模块；所述密钥存储模块用于密钥的存储；所述密钥生命周期管理服务器模块用于对密钥管理；所述加解密算法执行子系统中的密钥调用模块用于从密钥存储模块获取密钥；所述密钥算法库和密钥调用模块通过密钥管理互操作协议，与密钥生命周期管理子系统中的密钥生命周期管理服务模块交互。其中的所述加解密算法执行子系统，进一步包括：中间控制模块接收加解密配置指令，加解密指令中对应包含加解密策略并将加解密策略及属性存储至数据存储模块中。其中的所述加解密算法执行子系统，包括配置接收与控制模块，通过API接口接收加解密配置指令，获取加解密策略和属性，并保存在内存中；其中的所述加解密算法执行子系统，包括执行模块，该模块读取配置接收与控制模块写入的加解密策略和属性，并执行对应的加解密操作。所述加解密算法执行子系统进一步包括，所述加密配置引擎模块还用于，通过接口执行数据加密配置，执行加密配置的初始化操作。所述加解密算法执行子系统进一步包括解密配置引擎模块，通过接口执行数据解密配置，执行本文档来自技高网...

【技术保护点】
1.一种适用于大数据平台的数据透明加解密系统，其特征在于：/n所述系统包括加解密算法执行子系统与密钥生命周期管理子系统；/n所述加解密算法执行子系统包括至少执行模块、数据存储模块、密钥算法库和密钥调用模块；/n所述执行模块用于对数据透明加解密，所述执行模块与大数据平台中的组件结合；/n所述执行模块，分为加密子模块和解密子模块；/n所述加密子模块，当大数据平台组件接收到数据写入指令时被调用，大数据平台组件将得到的数据结构传递给加密子模块，该加密子模块从数据存储模块中获取加密参数，从密钥调用模块中获取密钥，并调用密钥算法库对数据进行加密，并将加密后的数据结构传递给大数据平台组件，由大数据平台组件执行数据存储；/n所述解密子模块，当大数据平台组件接收到数据读取指令时被调用，大数据组件将得到的数据结构传递给解密子模块，该解密子模块从数据存储模块中获取加密参数，从密钥调用模块中获取密钥，并调用密钥算法库对数据进行解密，并将解密后的数据结构传递给大数据平台组件，由大数据平台组件执行数据读取；/n所述数据存储模块用于存储加解密属性和加解密策略；/n密钥生命周期管理子系统包含密钥生命周期管理服务模块、密钥存储模块；所述密钥存储模块用于密钥的存储；所述密钥生命周期管理服务器模块用于对密钥管理；/n所述加解密算法执行子系统中的密钥调用模块用于从密钥存储模块获取密钥；所述密钥算法库和密钥调用模块通过密钥管理互操作协议，与密钥生命周期管理子系统中的密钥生命周期管理服务模块交互。/n...

【技术特征摘要】
1.一种适用于大数据平台的数据透明加解密系统，其特征在于：
所述系统包括加解密算法执行子系统与密钥生命周期管理子系统；
所述加解密算法执行子系统包括至少执行模块、数据存储模块、密钥算法库和密钥调用模块；
所述执行模块用于对数据透明加解密，所述执行模块与大数据平台中的组件结合；
所述执行模块，分为加密子模块和解密子模块；
所述加密子模块，当大数据平台组件接收到数据写入指令时被调用，大数据平台组件将得到的数据结构传递给加密子模块，该加密子模块从数据存储模块中获取加密参数，从密钥调用模块中获取密钥，并调用密钥算法库对数据进行加密，并将加密后的数据结构传递给大数据平台组件，由大数据平台组件执行数据存储；
所述解密子模块，当大数据平台组件接收到数据读取指令时被调用，大数据组件将得到的数据结构传递给解密子模块，该解密子模块从数据存储模块中获取加密参数，从密钥调用模块中获取密钥，并调用密钥算法库对数据进行解密，并将解密后的数据结构传递给大数据平台组件，由大数据平台组件执行数据读取；
所述数据存储模块用于存储加解密属性和加解密策略；
密钥生命周期管理子系统包含密钥生命周期管理服务模块、密钥存储模块；所述密钥存储模块用于密钥的存储；所述密钥生命周期管理服务器模块用于对密钥管理；
所述加解密算法执行子系统中的密钥调用模块用于从密钥存储模块获取密钥；所述密钥算法库和密钥调用模块通过密钥管理互操作协议，与密钥生命周期管理子系统中的密钥生命周期管理服务模块交互。


2.如权利要求1所述的系统，所述加解密算法执行子系统还包括：
中间控制模块、加密配置引擎模块、解密配置引擎模块、配置接收与控制模块；
中间控制模块用于接收加解密配置指令，指令中包含加解密策略及加解密属性，并将加解密策略及加解密属性发送至数据存储模块，同时触发配置接收与控制模块；
所述加密配置引擎模块由中间控制模块调用，用于对已有数据执行加密，该模块修改已有数据存储单元的属性，由未加密修改为加密，并调用执行模块对数据进行透明加密和存储；
所述解密配...

【专利技术属性】
技术研发人员：不公告发明人，
申请(专利权)人：方盈金泰科技北京有限公司，
类型：发明
国别省市：北京;11