專利名稱:一種高安全性的集群的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及機(jī)群環(huán)境下的數(shù)據(jù)安全領(lǐng)域,特別涉及一種高安全性的集群。
背景技術(shù):
目前HPC系統(tǒng)在安全方面還存在巨大的問題。在業(yè)界,集群系統(tǒng)的安全問題已經(jīng)越來越尖銳,雖然目前HPC系統(tǒng)還是更加關(guān)注性能本身,但是隨著集群系統(tǒng)規(guī)模的不斷擴(kuò)大,集群系統(tǒng)的安全問題將變得越來越重要。集群環(huán)境下用戶數(shù)據(jù)安全與用戶直接相關(guān),顯得尤為突出。在傳統(tǒng)的集群系統(tǒng)中管理員和其它有權(quán)限的用戶可以查看所有用戶數(shù)據(jù),存在數(shù)據(jù)泄密的巨大危險(xiǎn)。傳統(tǒng)做法是對(duì)用戶的文件進(jìn)行權(quán)限控制,使非授權(quán)用戶無法訪問,但是隨著技術(shù)的發(fā)展,管理員(或特權(quán)用戶)可以通過提升權(quán)限或繞過權(quán)限控制來訪問文件;
發(fā)明內(nèi)容本實(shí)用新型的目的在于提供一種高安全性的集群。通過PKI技術(shù),從硬件和軟件配合完成機(jī)群環(huán)境下用戶信息的全程保護(hù)。一種高安全性的集群,其特征在于包括CA證書中心,安全網(wǎng)關(guān),硬件身份認(rèn)證設(shè)備,加密服務(wù)模塊,計(jì)算節(jié)點(diǎn),遠(yuǎn)程終端,管理節(jié)點(diǎn)和存儲(chǔ)服務(wù)器。本實(shí)用新型的一種優(yōu)選技術(shù)方案在于硬件身份認(rèn)證設(shè)備接入終端,通過互聯(lián)網(wǎng)連接至集群的安全網(wǎng)關(guān),集群內(nèi)部的安全網(wǎng)關(guān)、CA中心、管理節(jié)點(diǎn)、存儲(chǔ)服務(wù)器以及計(jì)算節(jié)點(diǎn)通過內(nèi)部網(wǎng)絡(luò)相連接。本實(shí)用新型的另一優(yōu)選技術(shù)方案在于所述安全網(wǎng)關(guān)接收遠(yuǎn)程終端發(fā)送的密文數(shù)據(jù),將密文數(shù)據(jù)轉(zhuǎn)換為本地隨機(jī)密鑰加密的密文存儲(chǔ);也可以接收網(wǎng)絡(luò)明文,遠(yuǎn)程終端與安全網(wǎng)關(guān)直接的信道由其他手段保證。本實(shí)用新型的再一優(yōu)選技術(shù)方案在于所述硬件認(rèn)證設(shè)備可以使用USB智能密碼鑰匙。本實(shí)用新型的帶來的有益效果每個(gè)用戶的文件都是單獨(dú)加密保存和傳輸?shù)?,杜絕非法查看用戶重要數(shù)據(jù)的安全隱患,同時(shí)防止了網(wǎng)絡(luò)傳輸中可能的泄密以及人為原因引起的機(jī)群內(nèi)泄密。
圖1是本實(shí)用新型集群的結(jié)構(gòu)圖。 具體實(shí)施方案以身份認(rèn)證設(shè)備使用USB Key (USB智能密碼鑰匙),加密服務(wù)模塊以加密文件系統(tǒng)(加密卡提供算法服務(wù))為例,介紹一種實(shí)施方式(見下圖)。登錄時(shí)用使用USB Key對(duì)安全網(wǎng)關(guān)的隨機(jī)數(shù)簽名,安全網(wǎng)關(guān)使用隨機(jī)數(shù)和用戶證書驗(yàn)證簽名,同時(shí)驗(yàn)證證書和用戶權(quán) 限。如果未通過驗(yàn)證,反饋給用戶登錄錯(cuò)誤。如果通過驗(yàn)證,則進(jìn)一步交換KEK,將KEK 交由安全網(wǎng)關(guān)保存。用戶訪問安全網(wǎng)關(guān)后獲取安全網(wǎng)關(guān)的證書,驗(yàn)證無誤后,生成隨機(jī)密鑰,使用隨機(jī)密鑰加密提交文件;使用安全網(wǎng)關(guān)證書公鑰加密隨機(jī)密鑰;將二者一并提交到安全網(wǎng)關(guān)。安全網(wǎng)關(guān)收到后,先解密出隨機(jī)密鑰,再用隨機(jī)密鑰解密出明文。加密文件系統(tǒng)使用用戶公鑰加密用戶的KEK,再用KEK加密新生成的隨機(jī)密鑰K ; 使用隨機(jī)密鑰加密明文并保存到存儲(chǔ)服務(wù)器。安全網(wǎng)關(guān)將處理結(jié)果反饋給用戶,完成文件提交。用戶登錄(通過安全網(wǎng)關(guān))管理節(jié)點(diǎn),提交作業(yè)申請(qǐng),管理節(jié)點(diǎn)根據(jù)提交申請(qǐng)分配計(jì)算節(jié)點(diǎn)資源。管理節(jié)點(diǎn)登錄計(jì)算節(jié)點(diǎn)后計(jì)算節(jié)點(diǎn)交換用戶KEK并緩存;作業(yè)時(shí)計(jì)算節(jié)點(diǎn)的加密文件系統(tǒng)使用KEK解密計(jì)算數(shù)據(jù),供計(jì)算節(jié)點(diǎn)使用;所有的中間文件和結(jié)果文件均使用用戶KEK和隨機(jī)密鑰加密保存。用戶登錄安全網(wǎng)關(guān)后下載文件,安全網(wǎng)關(guān)會(huì)將結(jié)果直接從存儲(chǔ)服務(wù)器獲取后傳遞給用戶,用使用USB Key私鑰解密KEK,在使用KEK解密隨機(jī)密鑰,最后使用隨機(jī)密鑰解密密文結(jié)果文件得到明文的結(jié)果文件。
權(quán)利要求1.一種高安全性的集群,其特征在于包括CA證書中心,安全網(wǎng)關(guān),硬件身份認(rèn)證設(shè)備,加密服務(wù)模塊,計(jì)算節(jié)點(diǎn),遠(yuǎn)程終端,管理節(jié)點(diǎn)和存儲(chǔ)服務(wù)器,硬件身份認(rèn)證設(shè)備接入終端,通過互聯(lián)網(wǎng)連接至集群的安全網(wǎng)關(guān),集群內(nèi)部的安全網(wǎng)關(guān)、CA中心、管理節(jié)點(diǎn)、存儲(chǔ)服務(wù)器以及計(jì)算節(jié)點(diǎn)通過內(nèi)部網(wǎng)絡(luò)相連接。
2.如權(quán)利要求1所述一種高安全性的集群,其特征在于所述硬件認(rèn)證設(shè)備可以使用 USB智能密碼鑰匙。
專利摘要本實(shí)用新型提供了一種集群環(huán)境下數(shù)據(jù)安全實(shí)現(xiàn)方法和一種高安全性的集群。包括CA證書中心,安全網(wǎng)關(guān),硬件身份認(rèn)證設(shè)備,加密服務(wù)模塊,計(jì)算節(jié)點(diǎn),遠(yuǎn)程終端,管理節(jié)點(diǎn)和存儲(chǔ)服務(wù)器。本實(shí)用新型中每個(gè)用戶的文件都是單獨(dú)加密保存和傳輸?shù)?,杜絕非法查看用戶重要數(shù)據(jù)的安全隱患,同時(shí)防止了網(wǎng)絡(luò)傳輸中可能的泄密以及人為原因引起的機(jī)群內(nèi)泄密。
文檔編號(hào)H04L29/06GK202043118SQ20102059726
公開日2011年11月16日 申請(qǐng)日期2010年11月4日 優(yōu)先權(quán)日2010年11月4日
發(fā)明者萬偉, 孫國忠, 宋輝, 李博文, 郭旭 申請(qǐng)人:北京曙光天演信息技術(shù)有限公司