(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221090475 0.6 (22)申请日 2022.07.29 (71)申请人 蔚泓智能信息科技 （上海） 有限公司 地址 201508 上海市金山区山阳镇 山富东 路55弄4号1幢2层 （金石 湾功能区） (72)发明人 常闻宇　 (74)专利代理 机构 上海浦科知识产权代理有限 公司 3140 0 专利代理师 武静 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) G06F 16/27(2019.01) G06F 16/2455(2019.01) (54)发明名称 分布式数据加密的方法、 装置、 电子设备及 存储介质 (57)摘要 本发明涉及一种分布式数据加密的方法、 装 置、 电子设备及存储介质。 分布式数据加密的方 法包括： S1、 由客户端发起数据访问请求； S2、 系 统业务逻辑层模块接收来自客户端的明文请求； S3、 数据请求代理模块接收明文请求， 对明文请 求进行数据加密和密钥管理， 并根据动态一致性 要求查询出数据所在的数据节点； S4、 依据该节 点， 对数据节点的虚拟数据进行分区， 通过hash 的方式来定位所请求的数据存储的分布式数据 节点， 通过包括洋 葱模型的UDF对数据进行加密； S5、 从分布式数据节点读取并返回加密数据给数 据请求代理模块， 由请求代理模块将加密数据解 密为明文数据， 并返回。 依据本发明的分布式数 据加密的方法能够满足分布式大数据的更高数 据安全性能要求。 权利要求书2页 说明书6页 附图2页 CN 115391798 A 2022.11.25 CN 115391798 A 1.一种分布式数据加密的方法， 其特 征在于， 包括如下步骤： S1、 由客户端发起数据访问请求； S2、 系统业务逻辑层模块接收来自客户端的所述访问请求， 并发送给下一步， 所述访问 请求为明文请求； S3、 数据请求代理模块接收所述明文请求， 所述数据请求代理模块对所述明文请求进 行数据加密和密钥管理， 将明文请求加密成加密数据的数据请求， 并根据动态一致性要求 查询出所请求数据所在的数据节点； S4、 依据所述数据所在的数据节点， 对数据节点的虚拟数据进行分区， 通过hash的方式 来定位所请求的数据存储的分布式数据 节点， 通过UDF对 数据进行加密， 其中， UDF加密包括 洋葱模型 数据加密； S5、 从所述分布式数据节点读取并返回加密数据给所述数据请求代理模块， 由所述请 求代理模块将所述加密数据解密为明文数据， 并经 所述业务逻辑层模块返回所述 客户端。 2.如权利要求1所述的方法， 其特征在于， 步骤S3中， 所述数据请求代理模块还包括负 载均衡器， 用于根据数据 节点负载情况和可访问情况对数据请求进行定位具体数据节点位 置。 3.如权利要求1所述的方法， 其特征在于， 步骤S4中， 所述分布式数据节点上有写数据 请求时， 通过Commit  Log(操作日志)对加密数据进行优化写入， 其中， 所述Commit  Log为预 写日志， 具有失败时重放功能； 所述Com mit Log可暂存高频 数据， 从而提高读写速度。 4.如权利要求3所述的方法， 其特征在于， 步骤S4中， 对Commit  Log的数据文件进行两 次加密， 并写到磁盘上， 存入分布式数据 节点上的数据文件以两级加密形式存储， 所述两次 加密包括两级， 分别为第一级为数据节点自身的常规加密方式进行数据格式加密， 第二级 为采用洋葱加密模型处 理的机密数据。 5.如权利要求4所述的方法， 其特征在于， 步骤S4中， 所述分布式数据节点上有读数据 请求时， 通过Read  Cache(读缓存)进行读优化， 首先从Read  Cache中进行查询请求的数据， 如果查询到数据， 则直接 返回； 如果没有从Read  Cache中查询到请求， 则从分布式数据节 点 上的数据文件中读取， 返回请求数据并将该数据同时写入到Read  Cache中， 以备下次直接 从Read Cache中快速读取。 6.如权利要求1所述的方法， 其特征在于， 步骤S4中， 数据节点的数据处理还包括数据 索引和数据灾备， 其中， 所述数据索引为每一个数据文件对应有一个数据索引， 该索引用于 定位具体数据在数据文件中的位置， 方便检索； 所述数据灾备为数据灾难备份模式， 数据灾 备模式用于防止因单个数据节点出现故障而引起的数据访问失败。 7.一种分布式数据加密的装置， 其特 征在于， 包括： 业务逻辑层模块， 所述业务逻辑层模块用于接收来自客户端的访 问请求， 并发送给下 一步， 所述访问请求 为明文请求； 数据请求代理模块， 具有密钥管理功能， 用于接收所述明文请求， 所述数据请求代 理模 块对所述明文请求进行数据加密， 将 明文请求加密成加密数据的数据请求， 并根据动态一 致性要求查询出所请求数据所在的数据节点； 依据所述数据所在的数据节点， 对数据节点 的虚拟数据进行分区， 通过hash的方式来定位所请求的数据存储的分布式数据节点； 并从 所述分布式数据 节点读取和返回加密数据给所述数据请求代理模块， 由所述请求代理模块权　利　要　求　书 1/2 页 2 CN 115391798 A 2将所述加密数据解密为明文数据， 再 经所述业务逻辑层模块返回所述 客户端； 至少一分布式数据节点， 所述分布式数据节点接收到所述数据请求代 理模块hash的数 据请求， 所述分布式数据 节点用于通过包括洋葱模 型数据加密的UDF对 数据进行加密； 所述 分布式数据节点按照请求进行读和/或写后， 将所请求的加密数据返回给所述数据请求代 理模块。 8.如权利要求7 所述的装置， 其特 征在于， 所述分布式数据节点还 包括： Commit Log， 所述Commit  Log用于在所述分布式数据节点上有写数据请求时， 通过 Commit Log对加密数据进行优化写入， 其中， 所述Commit  Log为预写日志， 具有失败时重放 功能； 所述Com mit Log可暂存高频 数据， 从而提高读写速度； Read Cache， 所述Read  Cache用于在所述分布式数据节点上有读数据请求时， 通过 Read Cache进行读优化， 首先从Read  Cache中进行查询请求的数据， 如果查询到数据， 则直 接返回； 如果没有从Read  Cache中查询到请求， 则从分布式数据节 点上的数据文件中读取， 返回请求数据并将该数据同时写入到Read  Cache中， 以备下次直接从Read  Cache中快速读 取。 9.一种电子设备， 其特征在于， 包括： 存储器、 处理器及存储在所述存储器上并可在所 述处理器上运行的分布式数据加密程序， 所述分布式数据加密程序被所述处理器执行时实 现如权利要求1至7中任一项所述的分布式数据加密方法的步骤。 10.一种计算机存储介质， 其特征在于， 所述计算机存储介质上存储有分布式数据加密 程序， 所述分布式数据加密程序被处理器执行时实现如权利要求 1至7中任一项 所述的分布 式数据加密方法的步骤。权　利　要　求　书 2/2 页 3 CN 115391798 A 3