本申请提供加密方法、装置及密钥管理系统,其中,方法应用于第一计算节点,包括如下步骤:首先获取一个或多个密钥因子,然后使用加密密钥对明文数据进行加密得到密文数据,其中,加密密钥为基于一个或多个密钥因子和第一计算节点的标识得到,该标识为第一计算节点的标识或第一计算节点所在设备的标识或目标处理器的标识,最后将密文数据和第一计算节点的标识发送至第二计算节点。该方法能够解决站点(指计算设备集群)之间协商密钥占用站点较多计算资源,以及站点中专门部署的加密节点难以运维大量加密密钥的问题。运维大量加密密钥的问题。运维大量加密密钥的问题。
【技术实现步骤摘要】
加密方法、装置及密钥管理系统
[0001]本申请涉及通信
,尤其涉及一种加密方法、装置及密钥管理系统。
技术介绍
[0002]随着计算机技术和互联网技术的迅速发展,信息安全成为人们重点关注的问题。站点之间在进行数据传输时,需要对数据进行加密,以保证数据安全。
[0003]目前,站点之间进行数据加密传输的具体过程为:如图1所示,第一站点100中专门部署的加密节点1和第二站点200中专门部署的加密节点2通过协商的方式得到各自的加密密钥,然后,若第一站点100中的任意一个计算节点需要给第二站点200中的某个计算节点发送数据,该数据需要加密节点1进行加密后,传输给加密节点2,由加密节点2进行解密后传输给接收数据的计算节点,如图1所示,计算节点A1将明文数据发送给加密节点1进行加密得到密文数据,加密节点1将密文数据传输给加密节点2,加密节点2对密文数据进行解密得到明文数据,再将明文数据发送给计算节点Bn。
[0004]但是,随着业务的发展,站点的数量越来越多,当存在t(t为非常大的自然数)个站点且t个站点需要彼此通信的时候,则每一个站点中专门部署的加密节点都需要与其他t
‑
1个站点中专门部署的加密节点协商得到加密密钥,协商的过程会占用站点较多计算资源,而且,每一个站点中专门部署的加密节点最终会产生出个加密密钥,该加密节点难以运维大量的加密密钥。
技术实现思路
[0005]本申请提供一种加密方法、装置及密钥管理系统,可以解决站点之间协商密钥占用站点较多计算资源的问题,以及解决站点中专门部署的加密节点难以运维大量加密密钥的问题。
[0006]第一方面,提供一种加密方法,该方法应用于第一计算节点,包括如下步骤:首先获取一个或多个密钥因子,然后使用加密密钥对明文数据进行加密得到密文数据,其中,加密密钥为基于一个或多个密钥因子和第一计算节点的标识得到,该标识为第一计算节点的标识或第一计算节点所在设备的标识或目标处理器的标识,最后将密文数据和第一计算节点的标识发送至第二计算节点。
[0007]其中,第一计算节点可以为发送数据的站点包括的多个计算节点中的任意一个,也就是说,发送数据的站点包括的多个计算节点均可以获取一个或多个密钥因子,然后基于一个或多个密钥因子和自己的标识得到加密密钥,对明文数据进行加密得到密文数据。具体实现中,多个计算节点获取的一个或多个密钥因子可以相同,也可以不同,此处不作具体限定。
[0008]上述方案中,站点中的任意一个计算节点均可以获取一个或多个密钥因子,然后基于一个或多个密钥因子和自己的标识得到加密密钥,站点之间无需协商得到加密密钥,因而,该方案可以解决站点之间协商密钥占用站点较多计算资源的问题。此外,站点中的多
个计算节点均可以作为加密节点使用,如此,可以使得一个站点与其他多个站点进行通信时,该站点可以通过不同的计算节点与其他多个站点通信,例如,站点A通过计算节点A1与站点B进行通信,站点A通过计算节点A2与站点C和站点D进行通信,每个计算节点仅需维护自己生成的少量加密密钥,如此,可以解决站点中专门部署的加密节点难以运维大量加密密钥的问题。
[0009]在一种可能的实现方式中,上述目标处理器用于执行加密操作,其中,第一计算节点包括目标处理器。
[0010]具体实现中,第一计算节点可包括一个或者多个处理器,在第一计算节点包括一个处理器时,目标处理器即为该处理器,在第一计算节点包括多个处理器时,目标处理器可以为多个处理器中用于执行加密操作的处理器,多个处理器中用于执行加密操作的处理器可以为一个或多个,即目标处理器可以包括一个或多个处理器,此处不作具体限定。
[0011]实施上述实现方式,若第一计算节点基于一个或多个密钥因子和目标处理器核的标识得到加密密钥,从而进行数据加密传输,可以使得即便站点包括的多个计算节点中的某个计算节点的加密密钥泄露,不会导致站点中的其他计算节点的加密密钥泄露,提升站点之间数据传输的安全性。
[0012]在一种可能的实现方式中,第一计算节点在获取一个或多个密钥因子时,还可以获取一个或多个密钥因子中每一密钥因子的版本号,此时,第一方面描述的方法还包括如下步骤:向第二计算节点发送用于生成上述加密密钥的一个或多个密钥因子中每一密钥因子的版本号。
[0013]实施上述实现方式,可以使得第二计算节点在接收到用于生成加密密钥的一个或多个密钥因子中每一密钥因子的版本号之后,基于一个或多个密钥因子中每一密钥因子的版本号获取一个或多个密钥因子,然后,基于一个或多个密钥因子和第一计算节点的标识得到解密密钥,从而实现对密文数据的解密。
[0014]在一种可能的实现方式中,第一计算节点获取的一个或多个密钥因子,可以为第一密钥管理服务节点发送的,也可以为包括第一密钥管理服务节点在内的多个密钥管理服务节点发送的。
[0015]举例来讲,假设第一计算节点需获取多个密钥因子,多个密钥因子包括第一密钥因子和第二密钥因子,则第一密钥因子可以为第一密钥管理服务节点向第一计算节点发送的,第二密钥因子可以为第二密钥管理服务节点向第一计算节点发送的。
[0016]可以理解,若第一计算节点获取的多个密钥因子为多个密钥管理服务节点发送,即便多个密钥管理服务节点中的某个密钥管理服务节点被劫持或者发生故障,无法向第一计算节点发送密钥因子,第一计算节点基于其他密钥管理服务节点发送的密钥因子也可以获取加密密钥,实现数据加密传输,如此,可以保证第一计算节点的通信稳定性,从而保证站点之间的通信稳定性。
[0017]第二方面,提供一种加密方法,该方法应用于第二计算节点,包括如下步骤:首先接收第一计算节点发送的密文数据和第一计算节点的标识,然后基于一个或多个密钥因子和第一计算节点的标识,得到解密密钥,最后利用解密密钥对密文数据解密出明文数据,其中,标识为第一计算节点的标识或第一计算节点所在设备的标识或目标处理器的标识。
[0018]其中,第二计算节点可以为接收数据的站点包括的多个计算节点中的任意一个,
也就是说,接收数据的站点包括的多个计算节点均可以基于一个或多个密钥因子和第一计算节点的标识,得到解密密钥,对密文数据进行解密。
[0019]在一种可能的实现方式中,上述目标处理器用于执行加密操作,其中,第一计算节点包括目标处理器。
[0020]在一种可能的实现方式中,第二方面描述的方法还包括如下步骤:接收第一计算节点发送的用于生成加密密钥的一个或多个密钥因子中每一密钥因子的版本号,此时,第二计算节点具体可以通过如下方式实现基于一个或多个密钥因子和第一计算节点的标识,生成解密密钥:基于一个或多个密钥因子中每一密钥因子的版本号和第一计算节点的标识,生成解密密钥。
[0021]在一种可能的实现方式中,第二计算节点在基于一个或多个密钥因子和第一计算节点的标识,生成解密密钥之前,第二计算节点还可以接收一个或多个密钥管理服务节点发送的一个或多个密钥因子。
[0022]第三方面,提供一种加密装置,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥管理方法,其特征在于,应用于第一计算节点,所述方法包括:获取一个或多个密钥因子;使用加密密钥对明文数据进行加密得到密文数据,其中,所述加密密钥基于所述一个或多个密钥因子和所述第一计算节点的标识得到,所述标识为所述第一计算节点的标识或第一计算节点所在设备的标识或所述目标处理器的标识;将所述密文数据和所述第一计算节点的标识发送至第二计算节点。2.根据权利要求1所述的方法,其特征在于,所述目标处理器用于执行加密操作,其中,所述第一计算节点包括所述目标处理器。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:向所述第二计算节点发送用于生成所述加密密钥的所述一个或多个密钥因子中每一密钥因子的版本号。4.根据权利要求1至3中任一所述的方法,其特征在于,所述获取一个或多个密钥因子,包括:接收一个或多个密钥管理服务节点发送的所述一个或多个密钥因子。5.一种密钥管理方法,其特征在于,应用于第二计算节点,所述方法包括:接收第一计算节点发送的密文数据和所述第一计算节点的标识,其中,所述标识为所述第一计算节点的标识或第一计算节点所在设备的标识或所述目标处理器的标识;基于一个或多个密钥因子和所述第一计算节点的标识,生成解密密钥;利用所述解密密钥对所述密文数据解密出明文数据。6.根据权利要求5所述的方法,其特征在于,所述目标处理器用于执行加密操作,其中,所述第一计算节点包括所述目标处理器。7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:接收所述第一计算节点发送的用于生成加密密钥的所述一个或多个密钥因子中每一密钥因子的版本号;所述基于一个或多个密钥因子和所述第一计算节点的标识,生成解密密钥,包括:基于所述一个或多个密钥因子中每一密钥因子的版本号和所述第一计算节点的标识,生成所述解密密钥。8.根据权利要求5至7中任一所述的方法,其特征在于,所述基于一个或多个密钥因子和所述第一计算节点的标识,生成解密密钥之前,所述方法还包括:接收一个或多个密钥管理服务节...
【专利技术属性】
技术研发人员:赵海飞,郜忠华,李俊,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。