本發(fā)明涉及信息安全技術(shù)、大數(shù)據(jù)技術(shù)和云計算技術(shù)領(lǐng)域，具體的說是一種大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)和方法。

背景技術(shù)：

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、社交媒體等新興業(yè)務(wù)服務(wù)的開展，促使數(shù)據(jù)成三維特征的增長，信息數(shù)據(jù)的體量、信息的種類以及信息數(shù)據(jù)的分析速度都正以前所未有的速度增長，大數(shù)據(jù)的時代已經(jīng)來臨。大量組織迫切需要對已經(jīng)收集到的海量數(shù)據(jù)進(jìn)行分析處理，以達(dá)到更好的管理和利用大數(shù)據(jù)資源的目的，不斷提高企業(yè)的核心競爭力。

近年來，云計算技術(shù)不斷發(fā)展，大量應(yīng)用系統(tǒng)轉(zhuǎn)向云端，云中心已經(jīng)聚合了大量的物理硬件資源，并采用虛擬化技術(shù)將物理硬件設(shè)備的硬件資源進(jìn)行抽象，實(shí)現(xiàn)了統(tǒng)一分配、調(diào)度和管理異構(gòu)的網(wǎng)絡(luò)計算資源。在這些基礎(chǔ)設(shè)施之上，云中心已經(jīng)開始提供大數(shù)據(jù)分析和計算服務(wù)，可以幫助組織快速搭建起自己的大數(shù)據(jù)平臺和應(yīng)用。組織可以通過租用的方式使用云中心的大數(shù)據(jù)計算資源，在這種情況下，在便捷的使用云中心大數(shù)據(jù)服務(wù)的同時，如何能保證原始數(shù)據(jù)以及數(shù)據(jù)分析結(jié)果的安全性成為亟須解決的問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明針對目前技術(shù)發(fā)展的需求和不足之處，提供一種大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)和方法。

本發(fā)明所述一種大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)和方法，解決上述技術(shù)問題采用的技術(shù)方案如下：所述大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證方法，由客戶端、云中心大數(shù)據(jù)平臺、云加密服務(wù)中心構(gòu)成構(gòu)成一安全認(rèn)證系統(tǒng)，其中，所述客戶端負(fù)責(zé)上傳原始數(shù)據(jù)，生成對稱密鑰，并驗(yàn)證云加密服務(wù)中心的身份；加密上傳密鑰以及大數(shù)據(jù)分析結(jié)果的解密；所述云加密服務(wù)中心負(fù)責(zé)加解密及認(rèn)證服務(wù)；所述云中心大數(shù)據(jù)平臺提供大數(shù)據(jù)計算服務(wù)，負(fù)責(zé)數(shù)據(jù)文件的讀取及分析，并提供結(jié)果輸出；

其實(shí)現(xiàn)過程主要包括如下兩個部分：客戶端向云中心大數(shù)據(jù)平臺上傳原始數(shù)據(jù)，以及客戶端利用云中心大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)分析。

優(yōu)選的，所述客戶端向云中心大數(shù)據(jù)平臺上傳原始數(shù)據(jù)，其具體過程包括：

步驟一，客戶端向云中心大數(shù)據(jù)平臺提出請求，上傳原始數(shù)據(jù)；

步驟二，云加密服務(wù)中心生成臨時密鑰對，并使用其簽名證書對臨時密鑰封裝數(shù)字信封，發(fā)送到客戶端；

步驟三，客戶端生成對稱密鑰，并保存到硬件設(shè)備中；

步驟四，客戶端驗(yàn)證收到的數(shù)字信封，利用其提供的臨時密鑰對步驟三產(chǎn)生的對稱密鑰進(jìn)行加密封裝數(shù)字信封，并發(fā)送給云加密服務(wù)中心；

步驟五，云加密服務(wù)中心接收到步驟四生成的數(shù)字信封，并驗(yàn)證數(shù)字信封獲得對稱密鑰；

步驟六，客戶端通過tls方式，將原始數(shù)據(jù)發(fā)送到云加密服務(wù)中心；

步驟七，云加密服務(wù)中心接收并利用步驟五得到的對稱密鑰，對原始數(shù)據(jù)進(jìn)行加密，再將加密后數(shù)據(jù)發(fā)送給云中心大數(shù)據(jù)平臺；

步驟八，云中心大數(shù)據(jù)平臺接收數(shù)據(jù)并保存到云端；

步驟九，云加密服務(wù)中心銷毀對稱密鑰。

優(yōu)選的，所述客戶端利用云中心大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)分析，其具體過程包括：

步驟一，客戶端向云中心大數(shù)據(jù)平臺提出請求，使用其大數(shù)據(jù)計算資源；

步驟二，云加密服務(wù)中心生成臨時密鑰對，并使用其簽名證書對臨時密鑰封裝數(shù)字信封，發(fā)送到客戶端；

步驟三，客戶端從硬件設(shè)備中讀取對稱密鑰；

步驟四，客戶端驗(yàn)證收到的數(shù)字信封，利用其提供的臨時密鑰對步驟三產(chǎn)生的對稱密鑰進(jìn)行加密封裝數(shù)字信封，并發(fā)送給云加密服務(wù)中心；

步驟五，云加密服務(wù)中心接收步驟四生成的數(shù)字信封，并驗(yàn)證數(shù)字信封獲得對稱密鑰；

步驟六，云中心大數(shù)據(jù)平臺將待計算的加密數(shù)據(jù)發(fā)送給云加密服務(wù)中心；

步驟七，云加密服務(wù)中心接收并利用步驟五得到的對稱密鑰，對加密數(shù)據(jù)進(jìn)行解密，再將解密后的數(shù)據(jù)發(fā)送給云中心大數(shù)據(jù)平臺；

步驟八，云中心大數(shù)據(jù)平臺接接收到的數(shù)據(jù)直接在內(nèi)存中進(jìn)行計算，并將結(jié)果發(fā)送給云加密服務(wù)中心；

步驟九，云加密服務(wù)中心接收并利用步驟五得到的對稱密鑰對結(jié)果進(jìn)行加密，再將加密后數(shù)據(jù)發(fā)送給客戶端；

步驟十，客戶端接收到結(jié)構(gòu)數(shù)據(jù)，并使用本地對稱密鑰進(jìn)行解密，獲得大數(shù)據(jù)分析計算結(jié)果；

步驟十一，云加密服務(wù)中心銷毀對稱密鑰；

步驟十二，客戶端銷毀本地對稱密鑰。

一種大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)，其系統(tǒng)架構(gòu)主要包括客戶端、云加密服務(wù)中心和云中心大數(shù)據(jù)平臺；其中，所述客戶端負(fù)責(zé)上傳原始數(shù)據(jù)，生成對稱密鑰，并驗(yàn)證云加密服務(wù)中心的身份；加密上傳密鑰以及大數(shù)據(jù)分析結(jié)果的解密；所述云加密服務(wù)中心負(fù)責(zé)加解密及認(rèn)證服務(wù)；所述云中心大數(shù)據(jù)平臺提供大數(shù)據(jù)計算服務(wù)，負(fù)責(zé)數(shù)據(jù)文件的讀取及分析，并提供結(jié)果輸出；

由客戶端生成對稱密鑰，并通過安全通道發(fā)送給云加密服務(wù)中心，云加密服務(wù)中心接收并加密原始數(shù)據(jù)，將其保存到云中心大數(shù)據(jù)中心；云中心大數(shù)據(jù)平臺進(jìn)行大數(shù)據(jù)分析時，先通過云加密服務(wù)中心進(jìn)行數(shù)據(jù)解密，再進(jìn)行分布式數(shù)據(jù)處理，通過云加密服務(wù)中心將計算結(jié)果加密后傳回客戶端。

本發(fā)明所述一種大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)和方法，與現(xiàn)有技術(shù)相比具有的有益效果是：本發(fā)明中，對稱加解密的密鑰是由客戶端產(chǎn)生，密鑰的傳輸過程使用云加密服務(wù)中心的臨時密鑰對進(jìn)行加密，保證了密鑰傳輸?shù)陌踩裕瑫r客戶需要其身份的合法性；另一方面，原始數(shù)據(jù)的傳輸采用tls，保證了數(shù)據(jù)傳輸?shù)陌踩裕涣硗?，整個加解密的過程以及密鑰傳輸?shù)倪^程由云加密服務(wù)中心和客戶端完成，云中心大數(shù)據(jù)平臺所進(jìn)行的數(shù)據(jù)分析和計算都是在內(nèi)存中進(jìn)行，并且其輸入文件都是密文存儲的，保證了云中心大數(shù)據(jù)平臺無法獲得客戶的原始數(shù)據(jù)，保護(hù)了客戶的隱私數(shù)據(jù)；

可見，本方法將大數(shù)據(jù)服務(wù)平臺和云安全服務(wù)平臺相結(jié)合，通過對原始數(shù)據(jù)以及數(shù)據(jù)分析結(jié)果的加解密，有效的解決了利用云端大數(shù)據(jù)服務(wù)平臺帶來的敏感數(shù)據(jù)保護(hù)問題。

附圖說明

附圖1為所述大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)的示意圖；

附圖2為客戶端向云中心大數(shù)據(jù)平臺上傳原始數(shù)據(jù)的流程圖；

附圖3為客戶端利用云中心大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)分析的流程圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，以下結(jié)合具體實(shí)施例，對本發(fā)明所述一種大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)和方法進(jìn)一步詳細(xì)說明。

本發(fā)明提出的大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)和方法，將大數(shù)據(jù)服務(wù)平臺和云安全服務(wù)平臺相結(jié)合，在客戶端、云中心大數(shù)據(jù)平臺、云加密服務(wù)中心的基礎(chǔ)上，通過對原始數(shù)據(jù)以及數(shù)據(jù)分析結(jié)果進(jìn)行加解密，實(shí)現(xiàn)客戶端利用大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)分析的安全性，有效解決了利用云端大數(shù)據(jù)服務(wù)平臺帶來的敏感數(shù)據(jù)保護(hù)問題。

實(shí)施例：

本實(shí)施例所述大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)，如附圖1所示，該安全認(rèn)證系統(tǒng)的架構(gòu)主要包括客戶端、云加密服務(wù)中心和云中心大數(shù)據(jù)平臺；其中，

所述客戶端負(fù)責(zé)上傳原始數(shù)據(jù)，生成對稱密鑰，并驗(yàn)證云加密服務(wù)中心的身份；加密上傳密鑰以及大數(shù)據(jù)分析結(jié)果的解密；所述云加密服務(wù)中心負(fù)責(zé)加解密及認(rèn)證服務(wù)；所述云中心大數(shù)據(jù)平臺提供大數(shù)據(jù)計算服務(wù)，負(fù)責(zé)數(shù)據(jù)文件的讀取及分析，并提供結(jié)果輸出；

由客戶端生成對稱密鑰，并通過安全通道發(fā)送給云加密服務(wù)中心，云加密服務(wù)中心接收并加密原始數(shù)據(jù)，將其保存到云中心大數(shù)據(jù)中心；云中心大數(shù)據(jù)平臺進(jìn)行大數(shù)據(jù)分析時，先通過云加密服務(wù)中心進(jìn)行數(shù)據(jù)解密，再進(jìn)行分布式數(shù)據(jù)處理，通過云加密服務(wù)中心將計算結(jié)果加密后傳回客戶端。

采用上述大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證系統(tǒng)，進(jìn)行大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證，在客戶端、云中心大數(shù)據(jù)平臺、云加密服務(wù)中心構(gòu)成的安全認(rèn)證系統(tǒng)下，其實(shí)現(xiàn)過程主要包括如下兩個部分：客戶端向云中心大數(shù)據(jù)平臺上傳原始數(shù)據(jù)，以及客戶端利用云中心大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)分析。

所述客戶端向云中心大數(shù)據(jù)平臺上傳原始數(shù)據(jù)，如附圖2所示，其具體過程包括：

步驟一，客戶端向云中心大數(shù)據(jù)平臺提出請求，上傳原始數(shù)據(jù)；

步驟二，云加密服務(wù)中心生成臨時密鑰對，并使用其簽名證書對臨時密鑰封裝數(shù)字信封，發(fā)送到客戶端；

步驟三，客戶端生成對稱密鑰，并保存到硬件設(shè)備中；

步驟四，客戶端驗(yàn)證收到的數(shù)字信封，利用其提供的臨時密鑰對步驟三產(chǎn)生的對稱密鑰進(jìn)行加密封裝數(shù)字信封，并發(fā)送給云加密服務(wù)中心；

步驟五，云加密服務(wù)中心接收到步驟四生成的數(shù)字信封，并驗(yàn)證數(shù)字信封獲得對稱密鑰；

步驟六，客戶端通過tls方式，將原始數(shù)據(jù)發(fā)送到云加密服務(wù)中心；

步驟七，云加密服務(wù)中心接收并利用步驟五得到的對稱密鑰，對原始數(shù)據(jù)進(jìn)行加密，再將加密后數(shù)據(jù)發(fā)送給云中心大數(shù)據(jù)平臺；

步驟八，云中心大數(shù)據(jù)平臺接收數(shù)據(jù)并保存到云端；

步驟九，云加密服務(wù)中心銷毀對稱密鑰。

上述步驟二中，簽名證書的數(shù)字證書格式采用x.509標(biāo)準(zhǔn)格式，臨時密鑰算法可以使用rsa、ecc、sm2等，本實(shí)施中采用國密算法sm2，密鑰強(qiáng)度為256位。

上述步驟三中，對稱密鑰算法可以使用aes、sm4、blowfish等，本實(shí)施例采用國密算法sm4。

上述步驟六中，tls加密信道協(xié)議使用sm2密鑰交換協(xié)議。

所述客戶端利用云中心大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)分析，如附圖3所示，其具體過程包括：

步驟一，客戶端向云中心大數(shù)據(jù)平臺提出請求，使用其大數(shù)據(jù)計算資源；

步驟二，云加密服務(wù)中心生成臨時密鑰對，并使用其簽名證書對臨時密鑰封裝數(shù)字信封，發(fā)送到客戶端；

步驟三，客戶端從硬件設(shè)備中讀取對稱密鑰；

步驟四，客戶端驗(yàn)證收到的數(shù)字信封，利用其提供的臨時密鑰對步驟三產(chǎn)生的對稱密鑰進(jìn)行加密封裝數(shù)字信封，并發(fā)送給云加密服務(wù)中心；

步驟五，云加密服務(wù)中心接收步驟四生成的數(shù)字信封，并驗(yàn)證數(shù)字信封獲得對稱密鑰；

步驟六，云中心大數(shù)據(jù)平臺將待計算的加密數(shù)據(jù)發(fā)送給云加密服務(wù)中心；

步驟七，云加密服務(wù)中心接收并利用步驟五得到的對稱密鑰，對加密數(shù)據(jù)進(jìn)行解密，再將解密后的數(shù)據(jù)發(fā)送給云中心大數(shù)據(jù)平臺；

步驟八，云中心大數(shù)據(jù)平臺接接收到的數(shù)據(jù)直接在內(nèi)存中進(jìn)行計算，并將結(jié)果發(fā)送給云加密服務(wù)中心；

步驟九，云加密服務(wù)中心接收并利用步驟五得到的對稱密鑰對結(jié)果進(jìn)行加密，再將加密后數(shù)據(jù)發(fā)送給客戶端；

步驟十，客戶端接收到結(jié)構(gòu)數(shù)據(jù)，并使用本地對稱密鑰進(jìn)行解密，獲得大數(shù)據(jù)分析計算結(jié)果；

步驟十一，云加密服務(wù)中心銷毀對稱密鑰；

步驟十二，客戶端銷毀本地對稱密鑰。

上述步驟二中，簽名證書的數(shù)字證書格式采用x.509標(biāo)準(zhǔn)格式，臨時密鑰算法可以使用rsa、ecc、sm2等，本實(shí)施例采用國密算法sm2，密鑰強(qiáng)度為256位。

上述步驟三中，對稱密鑰算法可以使用aes、sm4、blowfish等，本實(shí)施例中采用國密算法sm4。

可知，本實(shí)施例所述大數(shù)據(jù)計算托管服務(wù)安全認(rèn)證方法，對稱加解密的密鑰由客戶端產(chǎn)生，密鑰的傳輸過程中使用了云加密服務(wù)中心的臨時密鑰對進(jìn)行加密，保證了密鑰傳輸?shù)陌踩?。另一方面，原始?shù)據(jù)的傳輸采用tls，保證了數(shù)據(jù)傳輸?shù)陌踩?。整個加解密的過程以及密鑰傳輸?shù)倪^程，都是云加密服務(wù)中心和客戶端完成的，云中心大數(shù)據(jù)平臺所進(jìn)行的數(shù)據(jù)分析和計算都是在內(nèi)存中進(jìn)行，并且其輸入文件都是密文存儲，保證了云中心大數(shù)據(jù)平臺無法獲得客戶的原始數(shù)據(jù)，保護(hù)了客戶的隱私數(shù)據(jù)。

具體實(shí)施方式僅是本發(fā)明的具體個案，本發(fā)明的專利保護(hù)范圍包括但不限于上述具體實(shí)施方式，任何符合本發(fā)明的權(quán)利要求書的且任何所屬技術(shù)領(lǐng)域的普通技術(shù)人員對其所做的適當(dāng)變化或替換，皆應(yīng)落入本發(fā)明的專利保護(hù)范圍。