本發(fā)明涉及大數據處理和數據安全的技術領域��,尤其涉及一種海量帳號信息的安全防護方法����,以及海量帳號信息的安全防護系統(tǒng)。
背景技術:
在大數據公司��,用戶的帳號(手機號����,IMEI號以及郵箱等)信息是核心機密,一旦帳號信息發(fā)生泄漏����,后果非常嚴重,甚至會給企業(yè)帶來生存危機�,所以海量帳號信息的安全防護問題亟待解決。
現有的技術方案一般是把海量帳號信息存儲到hdaoop上����,對帳號使用對稱加密技術做加密處理,帳號密文在公司內部流轉和使用��,需要使用明文時再做一步解密處理,整個流程由研發(fā)人員操作和控制�。
目前的技術方案弊端非常明顯,首先數據是加解密是可逆的�,數據安全基本上是依賴于加密密碼的管理,很單薄�,容易被攻破;其次密文數據全量可見�,很容易發(fā)生數據全量泄漏的風險;最后對于帳號數據可以無限次地使用��,而并沒有相關的安全審計手段����,不能追蹤到數據使用人,非法使用數據的行為不能被追蹤��。
技術實現要素:
為克服現有技術的缺陷���,本發(fā)明要解決的技術問題是提供了一種海量帳號信息的安全防護方法����,其徹底規(guī)避了數據被解密的風險���,非常容易地規(guī)避數據被全面解密的風險���,而且可以追蹤并審計非法使用帳號數據的行為。
本發(fā)明的技術方案是:這種海量帳號信息的安全防護方法�����,該方法包括以下步驟:
(1)使用不可逆加密技術對帳號信息進行加密��,并存儲在hadoop上��,在公司內部計算和流轉��;
(2)使用對稱加密方法把帳號存儲在hbase上�,并與加密的帳號信息建立一一對應的映射關系;
(3)通過建立基于KV結構的API服務或者MR服務�����,并建立帳號信息查詢權限�����,同時把使用查詢服務的訪問記錄全部記錄下來以備審計��。
本發(fā)明通過建立一套帶有權限管理的查詢系統(tǒng)����,非常有針對性地解決了面向海量帳號信息的安全防護問題�;使用不可逆加密的方法來加密帳號信息�����,這樣對外暴露的就是不可解密的密文數據�����,徹底規(guī)避了數據被解密的風險��;另外真實帳號信息對外不可見���,只能通過系統(tǒng)訪問的方式來獲取明文數據����,加以權限控制之后就非常容易地規(guī)避數據被全面解密的風險�,而且可以追蹤并審計非法使用帳號數據的行為。
還提供了一種海量帳號信息的安全防護系統(tǒng)�,該系統(tǒng)包括:
數據加密模塊,其配置來使用不可逆加密技術對帳號信息進行加密�����,并存儲在hadoop上,在公司內部計算和流轉��;
存儲映射模塊�����,其配置來使用對稱加密方法把帳號存儲在hbase上����,并與加密的帳號信息建立一一對應的映射關系��;
查詢服務模塊�����,其配置來通過建立基于KV結構的API服務或者MR服務��,并建立帳號信息查詢權限���,同時把使用查詢服務的訪問記錄全部記錄下來以備審計���。
附圖說明
圖1所示為根據本發(fā)明的海量帳號信息的安全防護方法的流程圖。
具體實施方式
如圖1所示��,這種海量帳號信息的安全防護方法,該方法包括以下步驟:
(1)使用不可逆加密技術對帳號信息進行加密�,并存儲在hadoop上,在公司內部計算和流轉�;
(2)使用對稱加密方法把帳號存儲在hbase上,并與加密的帳號信息建立一一對應的映射關系����;
(3)通過建立基于KV結構的API服務或者MR服務,并建立帳號信息查詢權限���,同時把使用查詢服務的訪問記錄全部記錄下來以備審計����。
本發(fā)明通過建立一套帶有權限管理的查詢系統(tǒng)���,非常有針對性地解決了面向海量帳號信息的安全防護問題�����;使用不可逆加密的方法來加密帳號信息��,這樣對外暴露的就是不可解密的密文數據�,徹底規(guī)避了數據被解密的風險���;另外真實帳號信息對外不可見���,只能通過系統(tǒng)訪問的方式來獲取明文數據���,加以權限控制之后就非常容易地規(guī)避數據被全面解密的風險,而且可以追蹤并審計非法使用帳號數據的行為��。
另外��,所述步驟(3)中����,對一次性抽取的數據問題做一定限制�。
另外,一般情況下���,該方法通過API的方式對外提供帳號信息查詢服務��,使用者把使用不可逆加密技術的帳號信息發(fā)送到服務器����,由服務器返回一個明文帳號信息�。
另外��,為了應對海量數據查詢�����,支持向集群提交MR的運算方式來做帳號匹配���。該方法通過提交解密文件路徑之后,由服務自動啟動MR來實現帳號反解�����,以提升數據匹配的效率�����。
本領域普通技術人員可以理解�����,實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成�����,所述的程序可以存儲于一計算機可讀取存儲介質中�,該程序在執(zhí)行時�����,包括上述實施例方法的各步驟�,而所述的存儲介質可以是:ROM/RAM��、磁碟、光盤、存儲卡等��。因此,與本發(fā)明的方法相對應的��,本發(fā)明還同時包括一種海量帳號信息的安全防護系統(tǒng)���,該系統(tǒng)通常以與方法各步驟相對應的功能模塊的形式表示。使用該方法的系統(tǒng)包括:
數據加密模塊����,其配置來使用不可逆加密技術對帳號信息進行加密,并存儲在hadoop上��,在公司內部計算和流轉��;
存儲映射模塊����,其配置來使用對稱加密方法把帳號存儲在hbase上�,并與加密的帳號信息建立一一對應的映射關系���;
查詢服務模塊����,其配置來通過建立基于KV結構的API服務或者MR服務����,并建立帳號信息查詢權限,同時把使用查詢服務的訪問記錄全部記錄下來以備審計�����。
另外����,所述查詢服務模塊中,對一次性抽取的數據問題做一定限制����。
另外,該系統(tǒng)通過API的方式對外提供帳號信息查詢服務,使用者把使用不可逆加密技術的帳號信息發(fā)送到服務器�,由服務器返回一個明文帳號信息。
另外�����,該系統(tǒng)通過提交解密文件路徑之后�,由服務自動啟動MR來實現帳號反解。
本發(fā)明的有益效果如下:
1.規(guī)避全量數據泄漏的風險��;
2.通過系統(tǒng)建設使得帳號數據在權限控制之下被使用���;
3.帳號數據的使用情況能夠事后審計�����。
以上所述��,僅是本發(fā)明的較佳實施例,并非對本發(fā)明作任何形式上的限制����,凡是依據本發(fā)明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾��,均仍屬本發(fā)明技術方案的保護范圍。