数据传输方法、网络设备及计算机存储介质技术

本发明专利技术实施例公开了数据传输方法，应用于包括第一网络节点和第二网络节点在内的存储系统中，该方法包括：第二网络节点根据TPM生成包括第二网络节点的加密密钥和解密密钥在内的密钥对，第二网络节点接收第一网络节点发送的第一请求，用于请求获取第二网络节点的加密密钥，响应第一请求向第一网络节点发送第二网络节点的加密密钥，接收第一网络节点发送的第二密文数据，该第二密文数据为使用第二网络节点的加密密钥对待同步的第一明文数据加密后获得的数据，使用第二网络节点的解密密钥对第二密文数据解密。通过实施本发明专利技术实施例，能够实现数据的安全传输，提升数据传输的安全性和可靠性。

【技术实现步骤摘要】
数据传输方法、网络设备及计算机存储介质
本专利技术涉及计算机
，尤其涉及数据传输方法、网络设备及计算机存储介质。
技术介绍
随着计算机技术的发展，信息安全显得尤为重要。目前，计算机系统中为提供信息安全防护机制，使用大量的对称密钥、非对称密钥以及共享密钥等密钥信息，这些密钥信息均属于敏感数据，一旦泄露将严重影响存储信息的安全性。为保护敏感数据的机密性，现有技术提出如图1所示的多层密钥机制的结构示意图。如图1，该密钥机制包括根密钥、主密钥以及工作密钥。其中，根密钥位于多层密钥机制的底端，主要用于为上层密钥(如主密钥)提供机密性保护，例如根密钥用来对主密钥进行加密存储。主密钥用于为上层工作密钥提供机密性保护，同时自身受根密钥的保护。例如，主密钥用来对工作密钥进行加密保存。工作密钥用于直接对敏感数据、业务数据以及用户数据等数据进行加密保存等，该工作密钥包括但不限于加密密钥以及共享密钥等。然而针对数据的安全需求，在存储系统的各网络节点之间如何实现敏感数据的安全共享，是一个亟需研究和解决的问题。
技术实现思路
本专利技术实施例公开了数据传输方法、相关设备及计算机存储介质，能够解决现有数据传输方案中存在的安全性和可靠性不高等问题。第一方面，本专利技术实施例公开提供了一种数据传输方法，应用在包括第一网络节点和第二网络节点在内的存储系统中，所述方法包括：第二网络节点根据可信平台模块TPM生成第二密钥对，该第二密钥对包括第二网络节点的加密密钥和第二网络节点的解密密钥。该TPM用于实现数据的安全存储，第二网络节点的解密密钥用于解密密文数据。第一网络节点向第二网络节点发送第一请求，该第一请求用于请求获取第二网络节点的加密密钥。相应地，第二网络节点响应第一请求，向第一网络节点发送第二网络节点的加密密钥，该第二网络节点的加密密钥用于第一网络节点对待同步的第一明文数据进行加密。结合第一方面，在第一方面的第一种可能的实施方式中，第二网络节点调用TPM的creatwrapkey函数生成第二密钥对。结合第一方面或第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，第一网络节点获得第二网络节点的加密密钥后，根据第二网络节点的加密密钥对待同步的第一明文数据加密获得第一密文数据。第一网络节点向第二网络节点发送第一密文数据。相应地，第二网络节点接收第一密文数据。第二网络节点根据第二网络节点的解密密钥对第一密文数据解密，获得第一明文数据。为验证同步数据的正确性，第二网络节点可根据第一网络节点的加密密钥对第一明文数据加密获得第二密文数据，将第二密文数据发送给第一网络节点。便于第一网络节点根据第二密文数据对应的第二明文数据和第一明文数据确定两网络节点之间是否完成第一明文数据的同步。结合第一方面或第一方面的第一种或第二种可能的实施方式，在第一方面的第三种可能的实施方式中，第一网络节点的加密密钥和第二网络节点的加密密钥互不相同。第二网络节点的解密密钥和第一网络节点的解密密钥互不相同。结合第一方面或第一方面的第一种至第三种中的任一种可能的实施方式，在第一方面的第四种可能的实施方式中，第二网络节点的解密密钥以第二密钥句柄的形式呈现。第二网络节点中存储有第二网络节点的解密密钥和第二密钥句柄之间的对应关系，第二网络节点根据该第二密钥句柄和该对应关系，可获得第二密钥句柄对应的第二网络节点的解密密钥。结合第一方面或第一方面的第一种至第四种中的任一种可能的实施方式，在第一方面的第五种可能的实施方式中，第一网络节点的解密密钥可以第一密钥句柄的形式呈现。第一网络节点中存储有第一网络节点的解密密钥和第一密钥句柄之间的对应关系，第一网络节点根据该第一密钥句柄和该对应关系，可获得第一密钥句柄对应的第一网络节点的解密密钥。第二方面，本专利技术实施例提供一种数据传输方法，应用于第一网络节点侧，该方法包括：第一网络节点根据TPM生成第一密钥对，该第一密钥对包括第一网络节点的加密密钥和第一网络节点的解密密钥。该TPM用于实现数据的安全存储。该第一网络节点的解密密钥用于解密密文数据。第二网络节点向第一网络节点发送第二请求，该第二请求用于请求获取第一网络节点的加密密钥。相应地，第一网络节点响应第二请求，向第二网络节点发送第一网络节点的加密密钥，该第一网络节点的加密密钥用于对第一网络节点向第二网络节点同步的第一明文数据加密。结合第二方面，在第二方面的第一种可能的实施方式中，第一网络节点调用TPM的creatwrapkey函数，生成第一密钥对。结合第二方面或第二方面的第一种可能的实施方式，在第二方面的第二种可能的实施方式中，第一网络节点向第二网络节点发送第一请求，该第一请求用于请求获取第二网络节点的加密密钥。该第二网络节点的加密密钥由第二网络节点的TPM生成的。第一网络节点接收第二网络节点发送的第二网络节点的加密密钥，第一网络节点根据第二网络节点的加密密钥对待同步的第一明文数据加密，获得第一密文数据。进而将第一密文数据发送给第二网络节点，以同步第一密文数据。结合第二方面或第二方面的第一种或第二种可能的实施方式，在第二方面的第三种可能的实施方式中，第一网络节点接收第二网络节点发送的第二密文数据，该第二密文数据为第二网络节点根据第一网络节点的加密密钥对第一明文数据加密获得的。第一网络节点根据第一网络节点的解密密钥对第二密文数据解密，获得第二明文数据。进而，第一网络节点根据第一明文数据和第二明文数据，确定第一网络节点和第二网络节点之间是否完成第一明文数据的同步。具体的，当第一明文数据和第二明文数据相同，则第一网络节点可确定这两个网络节点之间完成了第一明文数据的同步。如果第一明文数据和第二明文数据不相同，则第一网络节点可确定这两个网络节点之间未完成第一明文数据的同步。结合第二方面或第二方面的第一种至第三种中任一种可能的实施方式，在第二方面的第四种可能的实施方式中，第一网络节点的加密密钥和第二网络节点的加密密钥互不相同。第二网络节点的解密密钥和第一网络节点的解密密钥互不相同。关于本专利技术实施例中未示出或未描述的内容，具体可参见前述第一方面所述实施例中的相关阐述，这里不再赘述。第三方面，本专利技术实施例提供了一种第一网络设备，所述网络设备包括用于执行如上第二方面或第二方面的任意可能的实施方式中所描述的方法的功能模块或单元。第四方面，本专利技术实施例提供了一种第二网络设备，所述网络设备包括用于执行如上第一方面或第一方面的任意可能的实施方式中所描述的方法的功能模块或单元。第五方面，本专利技术实施例提供了一种第一网络设备，包括：处理器，存储器，通信接口和总线；处理器、通信接口、存储器通过总线相互通信；通信接口，用于接收和发送数据；存储器，用于存储指令；处理器，用于调用存储器中的指令，执行上述第二方面或第二方面的任意可能的实施方式中所描述的方法。第六方面，本专利技术实施例提供了一种第二网络设备，包括：处理器，存储器，通信接口和总线；处理器、通信接口、存储器通过总线相互通信；通信接口，用于接收和发送数据；存储器，用于存储指令；处理器，用于调用存储器中的指令，执行上述第一方面或第一方面的任意可能的实施方式中所描述的方法。第七方面，本专利技术实施例提供了一种存储系统，包括第一网络节点和第二网络节点，其中，第一网络节点用于执行本文档来自技高网...

【技术保护点】
1.一种数据传输方法，其特征在于，应用于第二网络节点，所述方法包括：根据可信平台模块TPM生成第二密钥对，所述第二密钥对包括所述第二网络节点的加密密钥和所述第二网络节点的解密密钥；接收第一网络节点发送的第一请求，所述第一请求用于请求获取所述第二网络节点的加密密钥；向所述第一网络节点发送所述第二网络节点的加密密钥；接收所述第一网络节点发送的第一密文数据，所述第一密文数据为使用所述第二网络节点的加密密钥对待同步的第一明文数据加密后的数据；使用所述第二网络节点的解密密钥将所述第一密文数据解密。

【技术特征摘要】
1.一种数据传输方法，其特征在于，应用于第二网络节点，所述方法包括：根据可信平台模块TPM生成第二密钥对，所述第二密钥对包括所述第二网络节点的加密密钥和所述第二网络节点的解密密钥；接收第一网络节点发送的第一请求，所述第一请求用于请求获取所述第二网络节点的加密密钥；向所述第一网络节点发送所述第二网络节点的加密密钥；接收所述第一网络节点发送的第一密文数据，所述第一密文数据为使用所述第二网络节点的加密密钥对待同步的第一明文数据加密后的数据；使用所述第二网络节点的解密密钥将所述第一密文数据解密。2.根据权利要求1所述的方法，其特征在于，所述使用所述第二网络节点的解密密钥将所述第一密文数据解密之前，所述方法还包括：所述第二网络节点中存储有所述第二网络节点的解密密钥和密钥句柄之间的对应关系，所述密钥句柄用于标识所述第二网络节点的解密密钥；所述第二网络节点根据所述密钥句柄和所述对应关系，获得所述第二网络节点的解密密钥。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：向所述第一网络节点发送第二请求，所述第二请求用于请求获取所述第一网络节点的加密密钥；接收所述第一网络节点发送的所述第一网络节点的加密密钥，根据所述第一网络节点的加密密钥对所述解密后的第一明文数据加密，获得第二密文数据；向所述第一网络节点发送所述第二密文数据，便于所述第一网络节点根据所述第二密文数据对应的第二明文数据和所述第一明文数据，确定所述第一网络节点和所述第二网络节点之间是否完成所述第一明文数据的同步。4.根据权利要求1-3中任一项所述的方法，其特征在于，所述第一网络节点的加密密钥和所述第二网络节点的加密密钥互不相同，所述第一网络节点的解密密钥和所述第二网络节点的解密密钥互不相同。5.一种存储系统，其特征在于，所述存储系统包括第一网络节点和第二网络节点，其中，所述第一网络节点，用于向所述第二网络节点发送第一请求，所述第一请求用于请求获取所述第二网络节点的加密密钥；所述第二网络节点，用于根据可信平台模块TPM模块生成第二密钥对，所述第二密钥对包括第二网络节点的加密密钥和第二网络节点的解密密钥；所述第二网络节点，还用于接收所述第一请求，向所述第一网络节点发送所述第二网络节点的加密密钥；所述第一网络节点，还用于接收所述第二网络节点的加密密钥，使用所述第二网络节点的加密密钥待同步的第一明文数据加密获得第一密文数据，向所述第二网络节点发送所述第一密文数据；所述第二网络节点，还用于接收所述第一密文数据，使用所述第二...

【专利技术属性】
技术研发人员：熊磊，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44