本發(fā)明涉及大數(shù)據(jù)處理和數(shù)據(jù)安全的技術(shù)領(lǐng)域��,尤其涉及一種海量帳號信息的安全防護(hù)方法���,以及海量帳號信息的安全防護(hù)系統(tǒng)�����。
背景技術(shù):
在大數(shù)據(jù)公司��,用戶的帳號(手機(jī)號�����,IMEI號以及郵箱等)信息是核心機(jī)密���,一旦帳號信息發(fā)生泄漏,后果非常嚴(yán)重��,甚至?xí)o企業(yè)帶來生存危機(jī)����,所以海量帳號信息的安全防護(hù)問題亟待解決。
現(xiàn)有的技術(shù)方案一般是把海量帳號信息存儲到hdaoop上,對帳號使用對稱加密技術(shù)做加密處理��,帳號密文在公司內(nèi)部流轉(zhuǎn)和使用���,需要使用明文時再做一步解密處理���,整個流程由研發(fā)人員操作和控制。
目前的技術(shù)方案弊端非常明顯�����,首先數(shù)據(jù)是加解密是可逆的�����,數(shù)據(jù)安全基本上是依賴于加密密碼的管理����,很單薄��,容易被攻破�����;其次密文數(shù)據(jù)全量可見,很容易發(fā)生數(shù)據(jù)全量泄漏的風(fēng)險�����;最后對于帳號數(shù)據(jù)可以無限次地使用�,而并沒有相關(guān)的安全審計手段,不能追蹤到數(shù)據(jù)使用人����,非法使用數(shù)據(jù)的行為不能被追蹤。
技術(shù)實現(xiàn)要素:
為克服現(xiàn)有技術(shù)的缺陷����,本發(fā)明要解決的技術(shù)問題是提供了一種海量帳號信息的安全防護(hù)方法,其徹底規(guī)避了數(shù)據(jù)被解密的風(fēng)險���,非常容易地規(guī)避數(shù)據(jù)被全面解密的風(fēng)險����,而且可以追蹤并審計非法使用帳號數(shù)據(jù)的行為����。
本發(fā)明的技術(shù)方案是:這種海量帳號信息的安全防護(hù)方法,該方法包括以下步驟:
(1)使用不可逆加密技術(shù)對帳號信息進(jìn)行加密����,并存儲在hadoop上�����,在公司內(nèi)部計算和流轉(zhuǎn)�����;
(2)使用對稱加密方法把帳號存儲在hbase上�,并與加密的帳號信息建立一一對應(yīng)的映射關(guān)系�����;
(3)通過建立基于KV結(jié)構(gòu)的API服務(wù)或者M(jìn)R服務(wù)���,并建立帳號信息查詢權(quán)限���,同時把使用查詢服務(wù)的訪問記錄全部記錄下來以備審計����。
本發(fā)明通過建立一套帶有權(quán)限管理的查詢系統(tǒng),非常有針對性地解決了面向海量帳號信息的安全防護(hù)問題�;使用不可逆加密的方法來加密帳號信息,這樣對外暴露的就是不可解密的密文數(shù)據(jù),徹底規(guī)避了數(shù)據(jù)被解密的風(fēng)險����;另外真實帳號信息對外不可見,只能通過系統(tǒng)訪問的方式來獲取明文數(shù)據(jù)�,加以權(quán)限控制之后就非常容易地規(guī)避數(shù)據(jù)被全面解密的風(fēng)險,而且可以追蹤并審計非法使用帳號數(shù)據(jù)的行為�。
還提供了一種海量帳號信息的安全防護(hù)系統(tǒng),該系統(tǒng)包括:
數(shù)據(jù)加密模塊��,其配置來使用不可逆加密技術(shù)對帳號信息進(jìn)行加密����,并存儲在hadoop上,在公司內(nèi)部計算和流轉(zhuǎn)�����;
存儲映射模塊��,其配置來使用對稱加密方法把帳號存儲在hbase上���,并與加密的帳號信息建立一一對應(yīng)的映射關(guān)系�����;
查詢服務(wù)模塊�����,其配置來通過建立基于KV結(jié)構(gòu)的API服務(wù)或者M(jìn)R服務(wù)����,并建立帳號信息查詢權(quán)限,同時把使用查詢服務(wù)的訪問記錄全部記錄下來以備審計���。
附圖說明
圖1所示為根據(jù)本發(fā)明的海量帳號信息的安全防護(hù)方法的流程圖����。
具體實施方式
如圖1所示�����,這種海量帳號信息的安全防護(hù)方法���,該方法包括以下步驟:
(1)使用不可逆加密技術(shù)對帳號信息進(jìn)行加密��,并存儲在hadoop上�����,在公司內(nèi)部計算和流轉(zhuǎn)��;
(2)使用對稱加密方法把帳號存儲在hbase上����,并與加密的帳號信息建立一一對應(yīng)的映射關(guān)系�����;
(3)通過建立基于KV結(jié)構(gòu)的API服務(wù)或者M(jìn)R服務(wù)�,并建立帳號信息查詢權(quán)限,同時把使用查詢服務(wù)的訪問記錄全部記錄下來以備審計��。
本發(fā)明通過建立一套帶有權(quán)限管理的查詢系統(tǒng)���,非常有針對性地解決了面向海量帳號信息的安全防護(hù)問題��;使用不可逆加密的方法來加密帳號信息��,這樣對外暴露的就是不可解密的密文數(shù)據(jù)�����,徹底規(guī)避了數(shù)據(jù)被解密的風(fēng)險�����;另外真實帳號信息對外不可見��,只能通過系統(tǒng)訪問的方式來獲取明文數(shù)據(jù)����,加以權(quán)限控制之后就非常容易地規(guī)避數(shù)據(jù)被全面解密的風(fēng)險,而且可以追蹤并審計非法使用帳號數(shù)據(jù)的行為���。
另外�����,所述步驟(3)中�,對一次性抽取的數(shù)據(jù)問題做一定限制��。
另外�,一般情況下,該方法通過API的方式對外提供帳號信息查詢服務(wù)�,使用者把使用不可逆加密技術(shù)的帳號信息發(fā)送到服務(wù)器,由服務(wù)器返回一個明文帳號信息��。
另外,為了應(yīng)對海量數(shù)據(jù)查詢���,支持向集群提交MR的運(yùn)算方式來做帳號匹配。該方法通過提交解密文件路徑之后�����,由服務(wù)自動啟動MR來實現(xiàn)帳號反解�,以提升數(shù)據(jù)匹配的效率。
本領(lǐng)域普通技術(shù)人員可以理解��,實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成��,所述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中�,該程序在執(zhí)行時,包括上述實施例方法的各步驟��,而所述的存儲介質(zhì)可以是:ROM/RAM��、磁碟����、光盤、存儲卡等����。因此�,與本發(fā)明的方法相對應(yīng)的����,本發(fā)明還同時包括一種海量帳號信息的安全防護(hù)系統(tǒng),該系統(tǒng)通常以與方法各步驟相對應(yīng)的功能模塊的形式表示�。使用該方法的系統(tǒng)包括:
數(shù)據(jù)加密模塊,其配置來使用不可逆加密技術(shù)對帳號信息進(jìn)行加密�����,并存儲在hadoop上��,在公司內(nèi)部計算和流轉(zhuǎn)��;
存儲映射模塊��,其配置來使用對稱加密方法把帳號存儲在hbase上���,并與加密的帳號信息建立一一對應(yīng)的映射關(guān)系�;
查詢服務(wù)模塊��,其配置來通過建立基于KV結(jié)構(gòu)的API服務(wù)或者M(jìn)R服務(wù)�����,并建立帳號信息查詢權(quán)限,同時把使用查詢服務(wù)的訪問記錄全部記錄下來以備審計�。
另外,所述查詢服務(wù)模塊中�,對一次性抽取的數(shù)據(jù)問題做一定限制。
另外�,該系統(tǒng)通過API的方式對外提供帳號信息查詢服務(wù)��,使用者把使用不可逆加密技術(shù)的帳號信息發(fā)送到服務(wù)器�,由服務(wù)器返回一個明文帳號信息。
另外���,該系統(tǒng)通過提交解密文件路徑之后����,由服務(wù)自動啟動MR來實現(xiàn)帳號反解�����。
本發(fā)明的有益效果如下:
1.規(guī)避全量數(shù)據(jù)泄漏的風(fēng)險�����;
2.通過系統(tǒng)建設(shè)使得帳號數(shù)據(jù)在權(quán)限控制之下被使用;
3.帳號數(shù)據(jù)的使用情況能夠事后審計����。
以上所述,僅是本發(fā)明的較佳實施例��,并非對本發(fā)明作任何形式上的限制�����,凡是依據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施例所作的任何簡單修改��、等同變化與修飾�����,均仍屬本發(fā)明技術(shù)方案的保護(hù)范圍���。