1.一種大數(shù)據(jù)安全管理系統(tǒng),其特征在于,包括云存儲系統(tǒng)、數(shù)據(jù)預處理系統(tǒng)、云存儲加解密系統(tǒng)、控制系統(tǒng)和安全管理中心;所述云存儲系統(tǒng),包括本地存儲器和云存儲器,所述云存儲器包括客戶端和云端,所述客戶端負責監(jiān)控和捕獲本地的系統(tǒng)操作,所述云端設置有數(shù)據(jù)管理中心,負責數(shù)據(jù)的存儲、備份及查詢,所述數(shù)據(jù)管理中心下設有各專業(yè)數(shù)據(jù)中心;所述數(shù)據(jù)預處理系統(tǒng)用于在客戶端將用戶需要上傳的數(shù)據(jù)進行預處理;所述云存儲加解密系統(tǒng)用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進行加密或解密;所述控制系統(tǒng)用于將用戶需要上傳的數(shù)據(jù)存儲至相應的物理存儲設備;所述安全管理中心用于對各系統(tǒng)安全進行統(tǒng)一監(jiān)控管理;所述負責數(shù)據(jù)的存儲、備份及查詢,包括:
(1)對數(shù)據(jù)格式進行轉換,建立適用于非關系數(shù)據(jù)庫進行存儲的格式;
(2)將數(shù)據(jù)分為基礎數(shù)據(jù)和專業(yè)數(shù)據(jù),采用集中式和分布式結合的策略對數(shù)據(jù)進行存儲,存儲時所有數(shù)據(jù)都進行備份;所述集中式和分布式結合的策略包括:對于高于預設頻率的基礎數(shù)據(jù)采用集中式存儲,由數(shù)據(jù)管理中心統(tǒng)一維護,對于低于預設頻率的專業(yè)數(shù)據(jù)采用分布式存儲,由各專業(yè)數(shù)據(jù)中心分別維護;
(3)建立相應的數(shù)據(jù)檢索算法,對數(shù)據(jù)進行快速檢索,所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結合的方式進行,具體包括:建立數(shù)據(jù)目錄,根據(jù)目錄對數(shù)據(jù)進行初步檢索;在搜索引擎輸入關鍵詞,對數(shù)據(jù)進行精確檢索;搜索引擎按照一定的方式尋找匹配的數(shù)據(jù),并根據(jù)數(shù)據(jù)與關鍵詞的匹配程度進行排序反饋給用戶。
2.根據(jù)權利要求1所述的一種大數(shù)據(jù)安全管理系統(tǒng),其特征在于,所述數(shù)據(jù)預處理系統(tǒng)包括數(shù)據(jù)分割單元、數(shù)據(jù)抽取單元和訪問控制安全策略優(yōu)化單元,所述數(shù)據(jù)分割單元用于對所述用戶需要上傳的數(shù)據(jù)分割成多個互斥的數(shù)據(jù)集合;所述數(shù)據(jù)抽取單元用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進行排序,將每個數(shù)據(jù)集合中的第一個數(shù)據(jù)單元按序抽取出來,與所述排序規(guī)則一起保存作為小塊數(shù)據(jù),其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關聯(lián);所述訪問控制安全策略優(yōu)化單元用于基于細粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略,包括:
(1)基于被數(shù)據(jù)抽取單元處理后的互斥的數(shù)據(jù)集合,構建層次化數(shù)據(jù)數(shù)結構,所述層次化數(shù)據(jù)樹結構為三層數(shù)據(jù)樹結構,其包括服務層、邏輯層和物理層,所述服務層為與數(shù)據(jù)調度服務相關的樹根節(jié)點,所述邏輯層為訪問控制安全策略中關聯(lián)的數(shù)據(jù),所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元;
(2)基于訪問控制標記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略,將訪問控制安全策略中與數(shù)據(jù)關聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上,從而將訪問控制安全策略中的規(guī)則細化到數(shù)據(jù)維度;
(3)在每個所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進行規(guī)則優(yōu)化,以刪除分配在每個數(shù)據(jù)單元上的規(guī)則的沖突和冗余;
(4)合并優(yōu)化后的規(guī)則,生成優(yōu)化的訪問控制安全策略。
3.根據(jù)權利要求2所述的一種大數(shù)據(jù)安全管理系統(tǒng),其特征在于,所述訪云存儲加解密系統(tǒng)主要由數(shù)據(jù)擁有者、屬性機構、云、可信三方、用戶五個實體構成,所述對剩余需存儲到云存儲器中的數(shù)據(jù)進行加密或解密,包括:
(1)可信三方為用戶和屬性機構分別分配用戶身份標識UAID和屬性機構身份標識AID,包括:
A、進行初始化,可信三方設定系統(tǒng)參數(shù)為其中α為隨機整數(shù);
B、對于每個合法用戶,可信三方分配UAID并為其生成證書:
同時,公布合法用戶的身份驗證參數(shù)其中,CUAID∈ZP;
C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對;
(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰,其中所述基于身份的加解密密鑰包括身份公鑰GKUAID和身份私鑰CKUAID,所述屬性加解密密鑰包括屬性公鑰GKAID和屬性私鑰CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID為單個屬性機構能夠分配的屬性集合,GKx為屬性x的公鑰,Bx為屬性x的版本號,∝AID為屬性機構的私鑰參數(shù),βAID為屬性更新參數(shù),ASUAID,AID為根據(jù)屬性機構的身份分配的屬性集合,γ為屬性機構隨機選擇的參數(shù),γ,∝AID,βAID∈ZP;
(3)云存儲加解密系統(tǒng)利用數(shù)據(jù)密鑰對剩余需存儲到云存儲器中的數(shù)據(jù)加密,得到密文CT,然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密,生成身份密鑰密文CTU和屬性密鑰密文CTA,包括:
A、隨機生成兩個固定長度的字符串IK,AK,合并生成數(shù)據(jù)密鑰DK:
DK=IK||AK
B、利用數(shù)據(jù)密鑰DK對剩余需存儲到云存儲器中的數(shù)據(jù)加密,得到密文CT后,利用屬性公鑰對AK加密,生成屬性密鑰密文CTA,利用身份公鑰對IK加密,生成身份密鑰密文CTU;
(4)進行代理重加密,當收到用戶的數(shù)據(jù)請求時,云利用代理重加密密鑰將身份密鑰密文CTU轉化為指定用戶可解密的密文,其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計算生成;
(5)進行數(shù)據(jù)解密時,用戶收到數(shù)據(jù)后,分別利用身份私鑰CKUAID和屬性私鑰CKAID解密身份密鑰密文CTU和屬性密鑰密文CTA,然后重構數(shù)據(jù)密鑰,解密密文CT;
(6)進行屬性和身份密鑰的更新。
4.根據(jù)權利要求3所述的一種大數(shù)據(jù)安全管理系統(tǒng),其特征在于,所述將用戶需要上傳的數(shù)據(jù)存儲至相應的物理存儲設備,包括:
(1)將小塊數(shù)據(jù)存儲至本地存儲器,并對小塊數(shù)據(jù)進行加密;
(2)將通過云存儲加解密系統(tǒng)加密后的剩余需存儲到云存儲器中的數(shù)據(jù)通過Internet網(wǎng)絡傳輸?shù)皆贫?;當云端接收到?shù)據(jù)后,云對該數(shù)據(jù)進行完整性校驗后保存在存儲節(jié)點中。
5.根據(jù)權利要求4所述的一種大數(shù)據(jù)安全管理系統(tǒng),其特征在于,所述對各系統(tǒng)安全進行統(tǒng)一監(jiān)控管理,包括:
(1)針對云存儲系統(tǒng)、數(shù)據(jù)預處理系統(tǒng)、云存儲加解密系統(tǒng)、控制系統(tǒng)不同的安全防護要求采取對應的安全防護技術,配備相關的安全防護設備,形成完整的安全防護體制;
(2)建立有效的數(shù)據(jù)安全策略,對數(shù)據(jù)存儲、傳輸、訪問過程中的安全進行綜合考慮,不僅對數(shù)據(jù)進行加密,同時對數(shù)據(jù)的傳輸協(xié)議進行加密;
(3)建立病毒和木馬防御機制,定期更新病毒庫和升級防火墻,更新周期為T,T取值為6-10天,對檢測到的異常數(shù)據(jù)要進行分析,并發(fā)出預警。