本發(fā)明涉及分布式系統(tǒng)中基于白盒加密的信息安全保護系統(tǒng)和方法。本發(fā)明的系統(tǒng)包括用戶終端、應用服務器和分布式信息服務器，應用服務器具有應用白盒加解密模塊和身份驗證模塊，分布式信息服務器具有信息白盒加解密模塊。用戶終端注冊時，用戶終端獲取私鑰，應用服務器獲取身份信息；用戶終端發(fā)送請求后，身份驗證模塊對用戶進行簽名認證，認證通過后，應用服務器向分布式信息服務器發(fā)送寫入或讀取信息的指令；寫入信息時，應用、信息白盒加解密模塊對需要寫入的信息兩次加密后存儲至數(shù)據(jù)庫中；讀取信息時，需要通過兩次解密操作。本發(fā)明方法在保證數(shù)據(jù)傳輸速度的情況下，通過簽名和兩次加解密進行信息安全保護，大大提高了傳輸內(nèi)容的安全性。

技術領域

本發(fā)明屬于信息安全技術領域，涉及一種分布式系統(tǒng)中基于白盒加密的信息安全保護系統(tǒng)和方法，具體是基于分布式系統(tǒng)架構的數(shù)據(jù)、文件身份信息的安全的保護方法。

背景技術

系統(tǒng)設計從單體設計，演變到客戶端/服務器架構，再到面向對象的開發(fā)，再到開源軟件，分布式計算，將來的趨勢就是分布式結構。

分布式結構是客戶機/服務器結構的一種特殊類型。在這種結構中，數(shù)據(jù)分布存儲在多臺服務器上。一個分布式數(shù)據(jù)庫是由分布于計算機網(wǎng)絡上的多個邏輯相關的數(shù)據(jù)庫組成的，其中，網(wǎng)絡上的每個節(jié)點都具有獨立處理能力，可以執(zhí)行局部應用運算，也可通過網(wǎng)絡執(zhí)行全局應用運算。

分布式系統(tǒng)/結構的特點之一就是開放性、透明性。開放性使得分布式系統(tǒng)中的許多軟件接口都提供給用戶，這樣的開放式結構對于開發(fā)人員非常有價值，但同時也為破壞者打開了方便之門。確保分布式系統(tǒng)安全性，比單片環(huán)境中安全問題的難度高了一個數(shù)量級。每個功能都必須單獨保密，功能之間的通信連接也必須保密。隨著網(wǎng)絡規(guī)模和復雜性的增長，必須考慮如何控制對功能的訪問，如何確保只有授權用戶才能訪問這些功能，以及如何將服務與其他服務隔離開來。

發(fā)明內(nèi)容

本發(fā)明的一個目的是提供一種分布式系統(tǒng)中基于白盒加密的信息安全保護系統(tǒng)。針對分布式系統(tǒng)，如分布式文件系統(tǒng)，分布式緩存系統(tǒng)，分布式數(shù)據(jù)庫，分布式webService等的安全問題，本發(fā)明綜合考慮了需求不同的安全等級和不同的信息傳輸速率，給出了對應的方法。主要針對數(shù)據(jù)、文件的存儲安全和用戶身份信息的認證方面基于白盒密碼進行安全保護，使得數(shù)據(jù)可以安全的存儲，并且當用戶身份驗證通過后才能進行數(shù)據(jù)的讀寫等相關操作。

應當理解的是本發(fā)明內(nèi)容，系統(tǒng)架構對于相關專業(yè)領域人員已經(jīng)了解，僅對白盒加解密以及簽名模塊進行詳細描述。

本發(fā)明的系統(tǒng)包括用戶終端、應用服務器和分布式信息服務器，分布式信息服務器為分布式數(shù)據(jù)服務器或分布式文件服務器。

所述的應用服務器具有應用白盒加解密模塊、身份驗證模塊；其中，

應用白盒加解密模塊：對用戶需要寫入的信息進行初次加密，然后將初次加密密文發(fā)送至分布式信息服務器；對某個分布式信息服務器發(fā)送的初次解密密文進行再次解密，得到可讀寫文件；應用服務器通過應用白盒加解密模塊進行讀寫文件，身份信息簽名認證通過后，用戶終端執(zhí)行讀寫操作；

身份驗證模塊：對用戶終端發(fā)送的身份信息進行簽名認證，并將簽名認證成功信息或簽名認證失敗信息發(fā)送至用戶終端。

所述的分布式信息服務器具有信息白盒加解密模塊，對需要存儲的寫入信息進行再次加密，并保存再次加密密文；對存儲的再次加密密文進行初次解密，并將初次解密密文發(fā)送給應用服務器。

進一步，所述的應用服務器還具有算法選擇模塊，對不同的分布式信息服務器選擇不同的白盒加解密算法，并通過生成對應的序列碼確定某一個分布式信息服務器對應的算法，將序列碼發(fā)送至對應分布式信息服務器，將序列碼和算法一一對應的映射關系生成查找表，并存儲；或者，各個分布式信息服務器的信息白盒加解密模塊采用相同的白盒加解密算法；所述的白盒加解密算法為SM4、AES或DES。