WO2023124530A1

WO2023124530A1 - 一种数据加密系统及相关产品

Info

Publication number: WO2023124530A1
Application number: PCT/CN2022/129790
Authority: WO
Inventors: 赵海飞; 郜忠华; 李俊
Original assignee: 华为云计算技术有限公司
Priority date: 2021-12-29
Filing date: 2022-11-04
Publication date: 2023-07-06
Also published as: CN116418486A

Abstract

本申请实施例提供了一种数据加密系统及相关产品，能够提高待传输数据的安全性。具体地，该系统包括密钥创建装置以及加密节点。加密节点用于通过内部的加密芯片创建密钥对，其中，密钥对包括第一加密密钥和第一解密密钥。密钥创建装置用于创建数据密钥，并使用第一加密密钥对数据密钥进行加密得到第一密文。加密节点还用于获取第一密文，并通过加密芯片使用第一解密密钥对第一密文进行解密得到上述数据密钥，以及使用数据密钥对待传输的数据进行加密。利用上述系统可以提高数据密钥的安全性，也就可以提高使用该数据密钥加密后的数据的安全性。

Description

一种数据加密系统及相关产品

本申请要求于2021年12月29日提交中国专利局、申请号为202111648273.3、申请名称为“一种数据加密系统及相关产品”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及数据安全领域，尤其涉及一种数据加密系统及相关产品。

背景技术

近年来，用户对于数据安全性的要求越来越高，这就需要保证设备间的通信是安全的。对于提高设备间通信的安全性，目前采用的方式主要有：数据加密方式。具体地，密钥分发系统(包括密钥管理服务(key management service,KMS))创建设备所需的密钥，并基于加密后的通道(例如Kafka通道)将密钥推送至设备。之后，设备使用上述密钥对待传输的数据进行加密，再将加密后的传输进行传输。但是，这种方式存在以下问题：经由加密后的通道传输的密钥是未经过加密处理的，一旦该通道被攻击，就很容易导致密钥被泄漏，从而无法保证待传输数据的安全。

因此，如何提高待传输数据的安全性仍然是一个急需解决的问题。

发明内容

本申请实施例提供了一种数据加密系统及相关产品，能够提高待传输数据的安全性。

第一方面，本申请实施例提供了一种加密节点，该节点包括加密芯片和通信接口。加密芯片用于创建密钥对，其中，密钥对包括第一加密密钥和第一解密密钥。通信接口用于发送第一加密密钥，以及接收基于第一加密密钥对数据密钥进行加密得到的密文，并将该密文推送至加密芯片。加密芯片还用于使用第一解密密钥对上述密文进行解密，得到上述数据密钥。应理解，在实际应用中，不同的节点创建出的密钥对不同，也就是说，使用本地芯片创建的第一加密密钥对数据密钥进行加密得到的密文，仅能由本地芯片创建出的第一解密密钥进行解密，从而可以提高数据密钥的安全性。

在第一方面的一种可能的实现方式中，上述加密芯片还用于使用数据密钥对待传输的数据进行加密。上述通信接口还用于发送上述加密后的数据。应理解，加密节点在传输数据之前，先对待传输的数据进行加密，再将加密后的数据传输至其他的节点，通过这一实现方式可以提高待传输数据的安全性。

在第一方面的一种可能的实现方式中，上述数据密钥存储在加密芯片内部的安全存储区域中。其中，该区域不对芯片外部的部件提供访问接口，即不支持外部部件访问该区域。如此，可以提高了数据密钥的安全性，进一步提高待传输数据的安全性。

在第一方面的一种可能的实现方式中，上述密钥对存储在上述安全存储区域中。如此，加密芯片外部的部件将无法获得第一解密密钥，那么即便加密芯片外部的部件获得上述密文，也无法对密文进行解密得到数据密钥，从而提高了数据密钥的安全性，进一步提高待传输数据的安全性。

第二方面，本申请实施例提供了一种密钥创建装置，该装置包括通信接口和处理器。通信接口用于接收第一加密密钥，其中，第一加密密钥是加密节点创建的。处理器用于创建上述加密节点所需的数据密钥，并使用第一加密密钥对数据密钥进行加密得到密文。通信接口还用于发送上述密文。应理解，上述密钥创建装置创建出数据密钥后，通过使用加密节点创建的第一加密密钥对数据密钥进行加密，再将加密后的数据密钥下发至加密节点，如此操作可以提高数据密钥的安全性。

第三方面，本申请实施例提供了一种数据加密系统，该系统包括密钥创建装置，以及如第一方面以及第一方面的任一种可能的实现方式中所描述的加密节点。上述加密节点用于创建密钥对，其中，密钥对包括第一加密密钥和第一解密密钥。密钥创建装置用于创建数据密钥，并使用第一加密密钥对数据密钥进行加密得到第一密文。上述加密节点还用于获取第一密文，并使用第一解密密钥对第一密文进行解密得到上述数据密钥，以及使用上述数据密钥对待传输的数据进行加密。应理解，通过上述数据加密系统，可以提高数据密钥的安全性，那么，使用安全的数据密钥对待传输的数据进行加密，可以提高待传输数据的安全性。

在第三方面的一种可能的实现方式中，上述系统还包括控制装置。上述密钥创建装置还用于使用第二加密密钥对数据密钥进行加密得到第二密文，并向控制装置发送第二密文。控制装置用于接收第二密文，并向加密节点发送通知消息。加密节点用于响应上述通知消息，将第一加密密钥返回至控制装置。应理解，在实际应用中，为了节省存储资源，密钥创建装置可能不会持久存储数据密钥，因此，通过上述实现方式可以使得解决这一问题。而且，由于控制装置并不会获得第二加密密钥对应的第二解密密钥，因此控制装置获得第二密文后，将无法通过对第二密文解密获得数据密钥，也就是说，通过上述实现方式还可以保证数据密钥的安全性。

在第三方面的一种可能的实现方式中，上述控制装置还用于向密钥创建装置发送重加密请求，其中，重加密请求用于指示密钥创建装置使用第一加密密钥对数据密钥进行加密。

在第三方面的一种可能的实现方式中，上述重加密请求包括第一加密密钥、第二加密密钥的标识以及第二密文。上述密钥创建装置用于根据第二加密密钥的标识确定与第二加密密钥对应的第二解密密钥，使用第二解密密钥对第二密文进行解密得到上述数据密钥，之后，使用第一加密密钥对数据密钥进行加密得到第一密文。应理解，通过上述实现方式，既可以节省密钥创建装置本地的存储资源，还可以提高数据密钥的安全性。

在第三方面的一种可能的实现方式中，上述加密节点包括虚拟私有云(virtual private cloud,VPC)内的计算节点。

第四方面，本申请实施例提供了一种数据加密方法，该方法可以应用于数据加密系统，该系统包括密钥创建装置和加密节点，上述方法包括：加密节点通过内部的加密芯片创建密钥对，其中，密钥对包括第一加密密钥和第一解密密钥。密钥创建装置创建数据密钥，并使用第一加密密钥对数据密钥进行加密得到第一密文。之后，加密节点获取第一密文，并通过内部的加密芯片使用第一解密密钥对第一密文进行解密得到上述数据密钥，再通过加密芯片使用上述数据密钥对待传输的数据进行加密。

在第四方面的一种可能的实现方式中，上述数据密钥存储在加密芯片内部的安全存储区域中。该区域不对芯片外部的部件提供访问接口，即不支持外部部件访问该区域。

在第四方面的一种可能的实现方式中，上述密钥对存储在上述安全存储区域中。

在第四方面的一种可能的实现方式中，上述数据加密系统还包括控制装置，在密钥创建装置使用第一加密密钥对数据密钥进行加密得到第一密文之前，上述方法还包括：密钥创建装置使用第二加密密钥对数据密钥进行加密得到第二密文，并向控制装置发送第二密文；控制装置接收第二密文，并向加密节点发送通知消息；加密节点响应上述通知消息，将第一加密密钥返回至控制装置。

在第四方面的一种可能的实现方式中，上述方法还包括：控制装置向密钥创建装置发送重加密请求；密钥创建装置根据重加密请求获得第一加密密钥和数据密钥。

在第四方面的一种可能的实现方式中，上述重加密请求包括第一加密密钥、第二加密密钥的标识以及第二密文，上述密钥创建装置根据重加密请求获得第一加密密钥和数据密钥，包括：密钥创建装置根据第二加密密钥的标识确定与第二加密密钥对应的第二解密密钥，然后使用第二解密密钥对第二密文进行解密得到数据密钥。

在第四方面的一种可能的实现方式中，上述加密节点包括VPC内的计算节点。

第五方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，计算机指令运行在数据加密系统上，以实现前述第四方面以及第四方面的任一种可能的实现方式中所描述的部分或全部方法。

附图说明

图1是本申请实施例提供的一种密钥分发方式的示意图；

图2是本申请实施例提供的一种密钥分发场景的示意图；

图3是本申请实施例提供的一种数据加密系统的结构示意图；

图4是本申请实施例提供的一种数据加密方法的流程示意图；

图5是本申请实施例提供的另一种数据加密方法的流程示意图；

图6是本申请实施例提供的一种数据加密系统的应用场景示意图；

图7是本申请实施例提供的一种具体示例的示意图；

图8是本申请实施例提供的一种用户界面的示意图；

图9是本申请实施例提供的另一种数据加密系统的结构示意图。

具体实施方式

为了使本申请实施例的方案更清晰，在具体描述本申请实施例的方案之前，首先介绍本申请实施例涉及到的相关术语。

在大数据和人工智能的时代，人们能够更方便并且更高效地获取到各种数据，但与此同时，人们访问数据的行为也被记录、被学习以及被使用。如果在这一过程中不注重数据安全，用户信息就可能被泄漏。为此，对数据进行保护是至关重要的。

数据加密是一种提高数据安全性的方式，其基本过程是按照某种加密算法对明文(即未经加密的数据)进行处理，使其成为一段不可读的代码，即密文。对明文进行加密处理的过程中需要使用到加密密钥，加密密钥是一种参数，它是在将明文转换为密文的加密算法中输入的参数。一般地，对数据加密后，还需要对加密后的数据进行解密，其基本过程是按照某种解密算法对密文进行处理，使其还原成明文。对密文进行解密处理的过程中需要使用到与上述加密密钥对应的解密密钥，上述解密密钥也是一种参数，它是在将密文转换为明文的解密算法中输入的参数。对于通信双方来说，数据发送端在发送数据之前，先采用数据加密的方式对待传输的数据进行加密，之后，再传输至数据接收端，这一操作可以提高待传输的数据的安全性；数据接收端接收到加密后的数据后，通过对加密后的数据进行解密，可以得到相应的数据。也就是说，上述过程可以实现数据发送端和数据接收端之间的安全通信。

常见的数据加密方式包括对称加密(symmetric cryptography)和非对称加密(asymmetric cryptography)。其中，对称加密是指通信双方使用相同的密钥和相同的算法对数据进行加密和解密，具体地：数据发送端使用对称加密算法(例如高级加密标准(advanced encryption standard,AES)算法)和密钥对待传输的数据进行加密得到密文，当数据发送端将密文发送至数据接收端之后，数据接收端可以使用上述算法和上述密钥对密文进行解密得到上述数据。非对称加密是指通信双方使用不同的密钥(即密钥对，包括公钥和私钥)对数据进行加密和解密，具体地：数据发送端使用非对称加密算法(例如RSA算法)和密钥对中的一个密钥对数据进行加密得到密文，当数据发送端将密文发送至数据接收端之后，数据接收端使用上述算法和密钥对中的另一个密钥对密文进行解密得到上述数据。需要说明的是，用于对数据进行加密的密钥可以是密钥对中的任一个密钥，一般地，可以使用公钥对数据进行加密，私钥对密文进行解密。

在上述加密通信的过程中，数据发送端对数据进行加密需要使用密钥，数据接收端对加密得到的密文进行解密也需要使用密钥。那么，数据发送端和数据接收端如何能获取到所需的密钥呢？其中，一种实现方式是：数据发送端和数据接收端相互协商，确定数据发送端所需的对数据进行加密的密钥A，以及数据接收端所需的对加密后的数据进行解密的密钥B。另一种实现方式是：如图1所示，密钥分发系统包括能够创建密钥的装置(例如KMS)，以用于创建出数据发送端所需的密钥A和数据接收端所需的密钥B，其中，密钥A和密钥B可以相同，也可以不同。之后，密钥分发系统将密钥A和密钥B分别下发至数据发送端和数据接收端。这样，数据发送端就可以使用密钥A对待传输的数据进行加密，数据接收端也可以使用密钥B对上述加密后的数据进行解密，从而得到相应的数据。

接下来，介绍本申请实施例提供的技术方案适用的场景。

本申请实施例提供的技术方案适用于设备间的加密通信场景，即：设备M在向设备N传输数据之前，先使用加密密钥对待传输的数据进行加密，再将加密后的数据传输至设备N，设备N接收到上述加密后的数据后，使用相应的解密密钥对其进行解密得到数据，其中，上述加密密钥及其对应的解密密钥是密钥分发系统下发至设备M和设备N的，具体可参见图1所描述的密钥分发方式。

需要说明的是，本申请实施例提供的技术方案尤其适用于数量众多的设备间的加密通信场景，比如说，VPC内的不同节点之间的加密通信，或者不同VPC内的节点之间的加密通信。在这种场景下，一个设备可能与很多个设备进行通信，此时互相通信的设备间将难以通过两两协商的方式获取密钥，而图1所描述的密钥分发方式可以大大降低设备获取密钥的难度。下面以VPC内的节点之间的加密通信为例，来进一步说明本申请实施例适用的场景。

VPC是用户在云上申请的隔离的、私密的虚拟网络环境，VPC内拥有大量资源(包括计算资源、存储资源和网络资源)，这些资源分别散落在数以万计的节点(包括计算节点、存储节点和网络节点)上，这些节点彼此协作、相互通信以向用户提供云服务。为提高云服务的质量，VPC内的节点之间需要进行加密通信，也就是说，每个节点均需要密钥。如图2所示，VPC内存在K个节点(即节点1、节点2、…、节点K)，K是大于0的整数。以节点1为例，节点1分别与节点2、节点3、…、节点K通信，如果采用节点两两协商的方式获取密，那么，节点1需要分别与K-1个节点进行密钥协商，当K的数值越大，节点1上的负荷越大，这可能会影响云服务的质量。但是，如果采用图1所描述的密钥分发方式，即密钥分发系统创建各节点所需的密钥，并将这些密钥分别下发至相应的节点，这样，各个节点既能够获取到所需的密钥，还能够减少资源占用。因此，相较于节点间两两协商获取的密钥的方式，图1所描述的密钥分发方式更适用于数量众多的节点间的加密通信场景。

不难看出，节点间传输的数据的安全性依赖于密钥，也就是说，密钥自身的安全性尤为重要，那么如何提高密钥的安全性，以提高数据的安全性呢？

针对上述问题，本申请实施例提供了一种数据加密系统，能够提高密钥的安全性，那么利用安全的密钥对待传输数据进行加密便可以提高数据的安全性。图3示例性的展示了本申请实施例提供的数据加密系统的结构示意图，如图3所示，数据加密系统100包括密钥创建装置110和多个节点120，可选的，数据加密系统100还包括控制装置130。下面简单描述数据加密系统100的各个部分。

密钥创建装置110：是一种具有密钥创建功能和加密功能的装置，可支持按照指定的密钥和加密算法进行加密，例如KMS。本申请实施例中，密钥创建装置110用于创建数据密钥(datakey)，其中，数据密钥包括两种类型，一种用于加密数据(以下简称为数据加密密钥)，另一种用于对加密后的数据进行解密(以下简称为数据解密密钥)。

节点120：是具有资源(计算资源、网络资源以及存储资源中的一种或多种)的、可以与其他节点或设备进行加密通信的节点，具体可以包括服务器、虚拟机(virtual machine,VM)、容器(container)、网卡以及存储器等。本申请实施例中，节点120包括加密芯片121，加密芯片121用于创建密钥对，其中，密钥对包括第一加密密钥和第一解密密钥。

密钥创建装置110还用于获取第一加密密钥，并使用第一加密密钥对数据密钥进行加密得到密文。节点120还用于获取上述密文，并通过内部的加密芯片121使用第一解密密钥对该密文进行解密得到数据密钥。应理解，由于数据密钥是经过加密后才由密钥创建装置110传输至节点120的，因此利用数据加密系统100可以提高数据密钥的安全性。

可选的，加密芯片121具有保护密钥安全的功能，例如，加密芯片121中设置有安全存储区域，该区域不对芯片外部的部件提供访问接口，即不支持外部部件访问该区域。加密芯片121还用于将数据密钥存储至上述安全存储区域，这样，加密芯片121外部的部件将无法获得数据密钥，从而提高了数据密钥的安全性。进一步地，加密芯片121还用于将本地创建的密钥对存储至上述安全存储区域，这样，加密芯片121外部的部件将无法获得第一解密密钥，那么即便加密芯片121外部的部件获得上述密文，也无法对密文进行解密得到数据密钥，从而进一步提高了数据密钥的安全性。

可选的，当节点120作为数据发送端，节点120还用于通过加密芯片121使用数据密钥(具体为数据加密密钥)对待传输的数据进行加密，并将加密后的数据发送至其他的节点。当节点120作为数据接收端，节点120还用于通过加密芯片121使用数据密钥(具体为数据解密密钥)对接收到的密文进行解密，得到相应的数据。应理解，当上述数据加密以及密文解密的过程由加密芯片121实现时，说明数据密钥始终位于加密芯片121中，那么可以保证数据密钥不被泄漏，从而提高数据密钥的安全性。

考虑到实际应用中，节点120的数量可能很多，例如，当数据加密系统100应用于图2描述的场景时，节点120相当于云计算模式下的节点，这意味着节点120的数量是数以万计的，在这种情况下，密钥创建装置110可以具有高性能，能够并发地处理大量的访问，其中，此处的访问包括创建数据密钥的访问以及使用节点120创建的第一加密密钥对数据密钥进行加密的访问；或者，密钥创建装置110还可以支持排队机制，使得密钥创建装置110在接收到大量的访问时，能够基于排队机制作出响应，从而避免因节点120数量过多而导致的密钥创建装置110出现故障，或者部分节点120无法获取到所需的数据密钥的情况。

在一些实施例中，数据加密系统100还可以包括控制装置130，控制装置130用于负责数据加密系统100中管控面逻辑的处理，例如，控制装置130可以包括软件定义网络(software defined network,SDN)控制器。

可选的，控制装置130用于向密钥创建装置110发送密钥创建请求，以使得密钥创建装置110创建数据密钥。当数据密钥创建完成后，控制装置130还用于向节点120发送通知消息，以使得节点120将创建的第一加密密钥返回至该装置130。

可选的，控制装置130还用于向密钥创建装置110发送重加密请求，以将节点120创建的第一加密密钥转发至密钥创建装置110，并使得密钥创建装置110使用第一加密密钥对数据密钥进行加密得到上述密文。控制装置130还用于将上述密文转发至节点120，从而使得节点120可以获得所需的数据密钥。

可选的，控制装置130支持排队机制，那么，当节点120的数+量很多时，控制装置130的存在也可以避免因节点120数量过多而导致的密钥创建装置110出现故障，或者部分节点120无法获取到所需的数据密钥的情况。具体理由如下：当出现大量节点120同时请求数据密钥的情况时，控制装置130可以基于排队机制向密钥创建装置110发送的密钥创建请求和重加密请求，使得密钥创建装置110需要并发处理的访问数量始终在该装置110能够并发处理的最大访问数量的范围内。

下面结合图4和图5描述的数据加密方法来进一步介绍上述数据加密系统100。需要说明的是，为了更加清晰地介绍上述数据加密系统100，此处将以多个节点120中的第一节点和第二节点之间的加密通信过程为例展开描述，即描述了第一节点和第二节点如何获取所需的数据密钥，以及基于获得的数据密钥进行加密通信的过程。

首先，请参见图4，图4示出了本申请实施例提供的一种数据加密方法的流程示意图。

S101：密钥创建装置110创建第一数据密钥。

其中，第一数据密钥是第一节点所需的数据密钥，用于对待传输的数据进行加密，此处的“第一”用于与第二节点所需的数据密钥(即第二数据密钥)进行区分。

在一些实施例中，响应于数据加密命令，密钥创建装置110创建第一数据密钥。其中，数据加密命令是表示第一节点和第二节点之间启用加密通信的命令，用于指示密钥创建装置110为第一节点创建第一数据密钥，以及为第二节点创建第二数据密钥。需要说明的是，第一数据密钥和第二数据密钥可以是同一个密钥，也可以是不同的密钥，第一数据密钥是数据加密密钥，第二数据密钥是数据解密密钥，即第二数据密钥用于对使用第一数据密钥进行加密的数据进行解密。

可选的，密钥创建装置110提供应用程序编程接口(application programming interface,API)，用户可以通过调用API向密钥创建装置110发送数据加密命令；或者，数据加密系统100提供用户界面(user interface,UI)，用户通过在UI上操作来向数据加密系统100发送数据加密命令。

可选的，密钥创建装置110可以采用多种方式创建第一数据密钥，例如，产生随机数，将随机数作为第一数据密钥，又例如，通过对用户指定的密钥进行处理(如在密钥中增加字符、改变密钥中不同数字的位置等)，将处理后的密钥作为第一数据密钥，本申请实施例不作限定。

S102：密钥创建装置110向第一节点发送通知消息。

在一些实施例中，上述数据加密命令包括第一节点的标识，那么，密钥创建装置110可以通过以下方式向第一节点发送通知消息：根据数据加密命令获得第一节点的标识，然后基于第一节点的标识向第一节点发送上述通知消息。其中，第一节点的标识可以是第一节点的ID，或者，当第一节点是VPC内的节点时，第一节点的标识还可以是第一节点所在的VPC的标识。

可选的，上述通信消息用于通知密钥创建装置110已完成第一数据密钥的创建，并指示第一节点将通过本地加密芯片(以下称为第一加密芯片)创建的第一加密密钥返回至密钥创建装置110。

示例性地，为了提高第一数据密钥的安全性，密钥创建装置110创建出第一数据密钥后，还可以执行步骤：(1)使用第二加密密钥对第一数据密钥进行加密得到第二密文，其中，第二加密密钥可以是用户预设的(例如，用户主密钥)，具体实现中，第二加密密钥可以携带在上述数据加密命令中；或者，第二加密密钥也可以是密钥创建装置110自动创建的(例如，密钥创建装置110创建的随机数)。(2)删除第一数据密钥。这样，密钥创建装置110中将不会存储第一数据密钥，既可以节省本地的存储资源，也可以避免因密钥创建装置110故障而导致的第一数据密钥被泄漏。在这种情况下，上述通知消息可以包括第二加密密钥的标识，或者，包括第二密文以及第二加密密钥的标识。当上述通知消息包括第二密文以及第二加密密钥的标识时，密钥创建装置110在将通知消息发送至第一节点之后，还可以删除存储在本地的第二密文，从而进一步节省本地的存储资源。

S103：第一节点向密钥创建装置110返回密钥请求。

其中，密钥请求包括第一加密密钥。具体地，第一节点(具体可以是第一节点的通信接口)接收到上述通知消息后，向第一加密芯片请求第一加密密钥，之后，第一加密芯片将第一加密密钥推送至第一节点内且第一加密芯片外的处理器。该处理器接收到第一加密密钥后，根据第一加密密钥生成上述密钥请求，并将上述密钥请求发送至密钥创建装置110。

进一步地，第一加密芯片将第一加密密钥发送至上述处理器之前，第一加密芯片还执行以下步骤：第一加密芯片创建密钥对，其中，密钥对包括第一加密密钥和第一解密密钥，第一加密密钥对应于第一解密密钥，即第一解密密钥用于对使用第一加密密钥加密得到的密文进行解密。为了提高第一数据密钥的安全性，本申请实施例提出：不同节点内部的加密芯片创建出的密钥对不同，即第一加密芯片创建出的第一加密密钥与其他节点内存的加密芯片创建的第一加密密钥不同，第一加密芯片创建出的第一解密密钥与其他节点内存的加密芯片创建的第一解密密钥不同。这样，可以保证使用节点创建的第一加密密钥加密得到的密文仅能由本地加密芯片解密，也就是说，使用第一加密密钥对第一数据密钥进行加密可以提高第一数据密钥的安全性。

更进一步地，第一加密芯片还将上述密钥对存储至本地的安全存储区域，其中，该区域不对第一加密芯片外部的部件(例如第一节点内且第一加密芯片外的处理器)提供访问接口，即不支持外部部件访问该区域。如此，第一加密芯片外部的部件将无法获得第一解密密钥，那么，第一加密芯片外部的部件无法对使用第一加密密钥加密得到的密文进行解密，也就是说，使用第一加密密钥对第一数据密钥进行加密可以提高第一数据密钥的安全性。

可选的，当上述S102中的通知消息包括第二加密密钥的标识时，密钥请求还包括第二加密密钥的标识；当上述通知消息包括第二密文以及第二加密密钥的标识时，密钥请求还包括第二密文以及第二加密密钥的标识。

S104：密钥创建装置110根据密钥请求对第一数据密钥进行加密得到第一密文，并将第一密文发送至第一节点。

具体地，密钥创建装置110根据密钥请求对第一数据密钥进行加密得到第一密文，其具体实现方式包括以下几种：

方式1、密钥请求包括第一加密密钥，且密钥创建装置110中存储有第一数据密钥，那么，密钥创建装置110根据密钥请求对第一数据密钥进行加密得到第一密文，包括：根据密钥请求获得第一加密密钥，然后使用第一加密密钥对第一数据密钥进行加密得到第一密文。

方式2、密钥请求包括第一加密密钥以及第二加密密钥的标识，且密钥创建装置110中存储有第二密文，那么，密钥创建装置110根据密钥请求对第一数据密钥进行加密得到第一密文，包括：根据密钥请求获得第一加密密钥以及第二加密密钥的标识，然后根据第二加密密钥的标识确定与第二加密密钥对应的第二解密密钥以及第二密文，使用第二解密密钥对第二密文进行解密得到第一数据密钥，最后使用第一加密密钥对第一数据密钥进行加密得到第一密文。

其中，第二解密密钥用于对使用第二加密密钥加密得到的密文进行解密，并且，与第二加密密钥类似的，第二解密密钥也可以是用户预设的(例如，用户主密钥)，或者是密钥创建装置110自动创建的。第二加密密钥与第二解密密钥可以是同一个密钥，也可以是不同的密钥。

方式3、密钥请求可以包括第一加密密钥、第二加密密钥的标识以及第二密文，那么，密钥创建装置110根据密钥请求对第一数据密钥进行加密得到第一密文，包括：根据密钥请求获得第一加密密钥、第二加密密钥的标识以及第二密文，然后根据第二加密密钥的标识确定与第二加密密钥对应的第二解密密钥，使用第二解密密钥对第二密文进行解密得到第一数据密钥，最后使用第一加密密钥对第一数据密钥进行加密得到第一密文。

可选的，密钥请求还可以包括加密算法，例如，RSAES_OAEP_SHA_256算法、SM2_ENCRYPT算法等。其中，该加密算法可以是用户预设的，具体实现中，第二加密密钥可以携带在上述数据加密命令中；或者，该加密算法也可以是密钥创建装置110根据实际情况从本地算法库中选择的。那么，密钥创建装置110可以使用上述加密算法和第一加密密钥对第一数据密钥进行加密得到第一密文。

S105：第一节点接收第一密文，并使用第一解密密钥对第一密文进行解密得到第一数据密钥。

具体地，第一节点(具体可以是第一节点的通信接口)接收到第一密文后，将第一密文推送至第一加密芯片，第一加密芯片获得第一密文后，使用第一解密密钥对第一密文进行解密得到第一数据密钥。

可选的，第一加密芯片获得第一数据密钥后，还执行以下步骤：第一加密芯片将第一数据密钥存储至内部的安全存储区域。如此，可以提高第一数据密钥的安全性。

S106：第一节点使用第一数据密钥对待传输的数据进行加密，并将加密后的数据传输至第二节点。

具体地，当第一节点想要通过内部的通信接口向第二节点发送数据时，先将待传输的数据推送至第一加密芯片，由第一加密芯片使用第一数据密钥对该数据进行加密，之后，将加密后的数据推送至第一节点的通信接口，再由该接口将加密后的数据传输至第二节点。应理解，由于上述数据在传输之前使用了安全的第一数据密钥进行加密，因此可以提高上述数据的安全性。

本申请实施例中，第二节点(具体为第二节点的通信接口)接收到上述加密后的数据之后，将加密后的数据推送至内部的加密芯片(以下称为第二加密芯片)，之后，第二加密芯片使用第二数据密钥对上述加密后的数据进行解密得到上述数据，从而完成了第一节点和第二节点之间的加密通信。其中，第二数据密钥的相关描述可参见上述S101。另外，第二节点获得第二数据密钥的过程与第一节点获得第一数据密钥的过程类似，具体可参见上述S101-S105，为了简便，此处不再进行描述。

接下来，请参见图5，图5示出了本申请实施例提供的另一种数据加密方法的流程示意图。由前文可知，数据加密系统100还可以包括控制装置130，图5描述了当数据加密系统100包括控制装置130时，第一节点和第二节点如何获取所需的数据密钥，以及基于获得的数据密钥进行加密通信的过程。

S201：响应于数据加密命令，控制装置130向密钥创建装置110发送密钥创建请求。

其中，数据加密命令是表示第一节点和第二节点之间启用加密通信的命令。可选的，数据加密命令可以是用户发起的。在一些实施例中，控制装置130提供API或UI，以方便用户可以通过调用API或在UI上操作来向控制装置130发送数据加密命令。

S202：密钥创建装置110根据上述密钥创建请求创建第一数据密钥，并向控制装置130返回第一消息。其中，第一消息用于通知密钥创建装置110已完成第一数据密钥的创建。

可选的，密钥创建装置110创建出第一数据密钥之后，还可以执行以下步骤：使用第二加密密钥对第一数据密钥进行加密得到第二密文，其中，第二加密密钥可以是用户预设的(例如，用户主密钥)，也可以是密钥创建装置110自动创建的(例如，密钥创建装置110创建的随机数)。

可选的，第一消息可以包括第二加密密钥的标识，那么，密钥创建装置110在生成第二密文后，可以删除第一数据密钥，如此，既可以节省密钥创建装置110内部的存储资源，也可以避免因密钥创建装置110故障而导致的第一数据密钥被泄漏。进一步地，除上述第二加密密钥的标识之外，第一消息还可以包括第二密文，如此，密钥创建装置110在将第一消息发送至控制装置130后，还可以删除第二密文，从而进一步节省本地的内存资源。

S203：控制装置130向第一节点发送第二消息。

在一些实施例中，上述数据加密命令包括第一节点的标识，那么，控制装置130可以通过以下方式向第一节点发送第二消息：控制装置130接收到第一消息后，根据数据加密命令获得第一节点的标识，然后基于第一节点的标识向第一节点发送第二消息。其中，第一节点的标识可以是第一节点的ID，或者，当第一节点是VPC内的节点时，第一节点的标识还可以是第一节点所在的VPC的标识。第二消息用于通知第一节点已完成第一数据密钥的创建，以及指示第一节点返回第一加密密钥。

S204：第一节点向控制装置130返回密钥请求。

具体地，第一节点接收到第二消息后，根据第二消息向控制装置130返回密钥请求。其中，密钥请求包括第一加密密钥。为了简便，此处不再对该步骤的具体实现过程展开描述，具体可参见上述S103。

S205：控制装置130接收密钥请求，并向密钥创建装置110发送重加密请求。

其中，重加密请求用于指示密钥创建装置110使用第一加密密钥对第一数据密钥进行加密，重加密请求包括第一数据密钥。可选的，当上述S204中的密钥请求包括第二加密密钥的标识时，重加密请求还包括第二加密密钥的标识；当上述密钥请求包括第二密文以及第二加密密钥的标识时，重加密请求还包括第二密文以及第二加密密钥的标识。

S206：密钥创建装置110根据重加密请求对第一数据密钥进行加密得到第一密文，并将第一密文发送至控制装置130。

具体地，密钥创建装置110根据重加密请求对第一数据密钥进行加密得到第一密文的具体过程与上述S104中根据密钥请求对第一数据密钥进行加密得到第一密文的过程类似，为了简便，此处不再展开叙述。

S207：控制装置130将第一密文发送至第一节点。

S208：第一节点接收第一密文，并使用第一解密密钥对第一密文进行解密得到第一数据密钥。

S209：第一节点使用第一数据密钥对待传输的数据进行加密，并将加密后的数据传输至第二节点。

应理解，上述S208-S209的具体实现过程与上述S105-S106的具体实现过程类似，为了简便，此处不再展开叙述。还应理解，第二节点(具体为第二节点的通信接口)接收到第一节点发送的加密后的数据后，还执行以下步骤：将加密后的数据推送至内部的加密芯片(以下称为第二加密芯片)，之后，第二加密芯片使用第二数据密钥对上述加密后的数据进行解密得到上述数据，从而完成了第一节点和第二节点之间的加密通信。其中，第二数据密钥和第一数据密钥可以是同一个密钥，也可以是不同的密钥，第一数据密钥是数据加密密钥，第二数据密钥是数据解密密钥，即第二数据密钥用于对使用第一数据密钥进行加密的数据进行解密。另外，第二节点获得第二数据密钥的过程与第一节点获得第一数据密钥的过程类似，具体可参见上述S201-S208，为了简便，此处不再进行描述。

前文中结合图4和图5，详细描述了本申请实施例提供的数据加密方法，下面结合图7-图9，从数据加密系统100的部署以及结构方面，更详细地描述数据加密系统100。

本申请实施例提供的数据加密系统100的部署灵活，具体可以全部部署在云环境中，云环境是云计算模式下利用基础资源向用户提供云服务的实体，云环境包括云数据中心和云服务平台，云数据中心包括云服务提供商拥有的大量基础资源(包括计算资源、存储资源和网络资源)，云数据中心包括的计算资源可以是大量的计算设备(例如服务器)。数据加密系统100可以独立地部署在云数据中心中的服务器或虚拟机上，数据加密系统100也可以分布式地部署在云数据中心中的多台服务器上，或者分布式地部署在云数据中心中的多台虚拟机上，又或者是分布式地部署在云数据中心中的服务器和虚拟机上。

如图6所示，数据加密系统100由云服务提供商在云服务平台抽象成一种数据加密云服务提供给用户，用户在云服务平台购买数据加密云服务后(可预先充值再根据最终资源的使用情况进行结算)，云环境利用部署在云数据中心的数据加密系统100向用户提供数据加密云服务。下面通过一个具体的示例进行描述：

本示例中部署在云数据中心的数据加密系统100包括密钥创建装置110、多个节点120以及控制装置130，其中，多个节点120包括第一VPC内的节点，第一VPC是用户A在云环境上申请的隔离的、私密的虚拟网络环境，第一VPC内的节点协同工作以为用户A提供云服务。为保证用户数据的安全性，用户A在云服务平台购买了数据加密云服务，以用于保证第一VPC内不同节点之间的通信的安全性。

如图7所示，在使用数据加密云服务时，用户A可以通过API或UI向控制装置130发送数据加密命令，以图8示出的UI为例，UI上显示有“用户信息”、“密钥名称”、“用户主密钥”、“密钥算法”等选项，用户可以选择性地在这些选项后的方框中进行填写。例如，用户在“用户信息”后的选项框中选择该用户购买的VPC的标识，即第一VPC的标识；在“密钥名称”后填写第一VPC内的节点所需的数据密钥的名称；在“用户主密钥”后的方框中填写用户预设的密钥(例如由6-18位数字及字母组成)，该密钥用于对上述数据密钥进行加密；在“密钥算法”后的方框中填写用户预设的加密算法，该算法用于对上述数据密钥进行加密。在填写完成后，点击“完成”选项，UI会基于用户填写的信息生成数据加密命令，并向控制装置130发送该命令。控制装置130向密钥创建装置110发送密钥创建请求，密钥创建装置110接收到上述密钥创建请求后，创建数据密钥，并使用上述用户主密钥对数据密钥进行加密得到密文A，之后，根据密文A以及用户主密钥的标识生成第一消息，将第一消息返回至控制装置130。控制装置130接收到第一消息后，基于第一VPC的标识向第一VPC内的节点发送第二消息。第一VPC内的节点接收到第二消息后，向控制装置130返回通过本地加密芯片创建的加密密钥。控制装置130接收到加密密钥后，向密钥创建装置110发送重加密请求，其中，重加密请求包括密文A、用户主密钥的标识以及上述加密密钥。密钥创建装置110接收到重加密请求后，首先根据用户主密钥的标识确定用户主密钥，然后使用用户主密钥对密文A进行解密得到数据密钥，之后，使用加密芯片创建的加密密钥对数据密钥以及用户A预设的加密算法对数据密钥进行加密得到密文B，并将密文B返回控制装置130。控制装置130接收到上述密文B之后，将密文B返回至对应的节点120。该节点120接收到密文B之后，由本地加密芯片使用创建出的解密密钥对密文B进行解密得到数据密钥，并将数据密钥存储至加密芯片内部的安全存储区域中。这样，第一VPC内的节点中均存储有上述数据密钥，那么，第一VPC内的节点在互相通信时就可以使用上述数据密钥对数据进行加密以及解密，从而实现节点之间的安全通信。

可选的，数据加密系统100还可以分布式地部署在不同的环境中，例如，密钥创建装置110和控制装置130部署在云环境或边缘环境中，多个节点120是终端计算设备，其中，边缘环境是包括距离终端计算设备较近的边缘计算设备集合的环境，边缘计算设备包括：边缘服务器、拥有计算力的边缘小站等，终端计算设备可以包括：终端服务器、智能手机、笔记本电脑、平板电脑、个人台式电脑、智能摄像机等。又例如，密钥创建装置110和控制装置部署在云环境中，多个节点120是边缘环境中的计算节点。又例如，密钥创建装置110部署在云环境中，控制装置部署在边缘环境中，多个节点120是终端计算设备。应理解，本申请实施例不对数据加密系统100的哪些部分具体部署在什么环境进行限制性的划分，实际应用格式可根据终端计算设备的计算能力，边缘环境和云环境的资源占有情况或具体应用需求进行适应性的部署。

进一步地，密钥创建装置110和控制装置130可以部署在同一个计算设备上，也可以分别部署在不同的计算设备上。因此，本申请实施例还提供了数据加密系统100的另一种结构示意图。如图9所示，数据加密系统100包括多个计算设备200，每个计算设备200包括存储器210、处理器220、通信接口230以及总线240，其中，存储器210、处理器220、通信接口230通过总线240实现彼此之间的通信连接。

存储器210可以是只读存储器(read only memory,ROM)，静态存储设备、动态存储设备或者随机存取存储器(random access memory,RAM)。存储器210可以存储计算机指令，当存储器210中存储的计算机指令被处理器220执行时，处理器220和通信接口230用于执行数据加密系统100所执行的部分方法。存储器210还可以存储数据，例如：处理器220在执行过程中产生的中间数据或结果数据。

处理器220可以采用通用的中央处理器(central processing unit,CPU)，微处理器，专用集成电路(application specific integrated circuit,ASIC)，图形处理器(graphics processing unit,GPU)或者一个或多个集成电路。

处理器220还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，数据加密系统100的部分功能可用通过处理器220中的硬件的集成逻辑电路或者软件形式的指令完成。处理器220还可以是通用处理器、数据信号处理器(digital signal process,DSP)、现场可编程逻辑门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件，分立门或者晶体管逻辑器件，分立硬件组件，可以实现或者执行本申请实施例中公开的方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器210，处理器220读取存储器210中的信息，结合其硬件完成数据加密系统100的部分功能。

通信接口230使用例如但不限于收发器一类的收发模块，来实现计算设备200与其他设备或通信网络之间的通信。例如，可以通过通信接口230获取用户发送的数据加密命令，或发送使用数据密钥加密后的数据。

总线240可以包括在计算设备200中的各个部件(例如，存储器210、处理器220、通信接口230)之间传送信息的通路。

上述多个计算设备200之间通过通信网络建立通信通路，以实现数据加密系统100的功能。任一计算设备可以是云数据中心中的计算设备(例如，服务器)，或边缘数据中心中的计算设备，或终端计算设备。

上述多个计算设备200中，一部分计算设备200上运行密钥创建装置110和控制装置130中任意一个或多个，另一部分计算设备200是节点120。在一些实施例中，如图9所示，当计算设备200是节点120时，该计算设备200中的处理器220还包括加密芯片121，加密芯片121用于创建密钥对，以及使用第一数据密钥对待传输的数据进行加密，或者，使用第二数据密钥对接收到的加密后的数据进行解密。该计算设备200中的存储器210包括加密芯片121中的安全存储区域，该区域不对芯片外部的部件提供访问接口，即不支持外部部件访问，该区域用于存储上述第一数据密钥、密钥对等。

进一步地，当计算设备200是节点120时，该计算设备200可以包括智能网卡，智能网卡用于实现与其他设备之间的通信。加密芯片121设置在智能网卡上，智能网卡的通信端口和加密芯片121通过硬件接口连接。这样，加密芯片121可以将创建好的第一加密密钥通过该接口发送至部署有控制装置130的计算设备上；部署有控制装置130的计算设备也可以将第一密文通过上述接口推送至加密芯片121，使得加密芯片121能够使用第一解密密钥对加密后的数据密钥进行解密得到数据密钥；智能网卡还可以将待传输的数据通过该接口推送至加密芯片121，对应的，加密芯片121还可以使用数据密钥对待传输的数据进行加密，并通过该接口将加密后的数据发送至其他的设备；或者，智能网卡还可以将加密后的数据通过该接口推送至加密芯片121，对应的，加密芯片121使用数据密钥对加密后的数据进行解密得到数据。

上述各个附图对应的流程的描述各有侧重，某个流程中没有详细描述的部分，可以参见其他流程的相关描述。

在上述实施例中，可以全部或部分地通过软件、硬件或者其组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。提供数据加密系统100的计算机程序产品包括一个或多个数据加密系统100执行的计算指令，在计算机上加载和执行这些计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。

上述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，上述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如，同轴电缆、光纤、双绞线或无线(例如，红外、无线、微波)等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质存储有提供数据加密系统100的计算机程序指令。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，光盘)、或者半导体介质(例如，固态硬盘(solid state disk,SSD))。

Claims

一种加密节点，其特征在于，包括加密芯片和通信接口，

所述加密芯片，用于创建密钥对，其中，所述密钥对包括第一加密密钥和第一解密密钥；

所述通信接口，用于发送所述第一加密密钥，以及接收基于所述第一加密密钥对数据密钥进行加密得到的密文，并将所述密文推送至所述加密芯片；

所述加密芯片，还用于使用所述第一解密密钥对所述密文进行解密，得到所述数据密钥。
根据权利要求1所述的节点，其特征在于，

所述加密芯片，还用于使用所述数据密钥对待传输的数据进行加密；

所述通信接口，还用于发送所述加密后的数据。
根据权利要求1或2所述的节点，其特征在于，所述数据密钥存储在所述加密芯片内部的安全存储区域中。
根据权利要求3所述的节点，其特征在于，所述密钥对存储在所述安全存储区域中。
一种数据加密系统，其特征在于，包括密钥创建装置以及如权利要求1-4任一项所述的加密节点，

所述加密节点，用于创建密钥对，其中，所述密钥对包括第一加密密钥和第一解密密钥；

所述密钥创建装置，用于创建数据密钥，并使用所述第一加密密钥对所述数据密钥进行加密得到第一密文；

所述加密节点，还用于获取所述第一密文，并使用所述第一解密密钥对所述第一密文进行解密得到所述数据密钥，以及使用所述数据密钥对待传输的数据进行加密。
根据权利要求5所述的系统，其特征在于，还包括控制装置，

所述密钥创建装置，还用于使用第二加密密钥对所述数据密钥进行加密得到第二密文，并向所述控制装置发送所述第二密文；

所述控制装置，用于接收所述第二密文，并向所述加密节点发送通知消息；

所述加密节点，用于响应所述通知消息，将所述第一加密密钥返回至所述控制装置。
根据权利要求6所述的系统，其特征在于，

所述控制装置，还用于向所述密钥创建装置发送重加密请求，其中，所述重加密请求用于指示所述密钥创建装置使用所述第一加密密钥对所述数据密钥进行加密。
根据权利要求7所述的系统，其特征在于，所述重加密请求包括所述第一加密密钥、所述第二加密密钥的标识以及所述第二密文，

所述密钥创建装置，用于根据所述第二加密密钥的标识确定与所述第二加密密钥对应的第二解密密钥，使用所述第二解密密钥对所述第二密文进行解密得到所述数据密钥，使用所述第一加密密钥对所述数据密钥进行加密得到所述第一密文。
根据权利要求5-8任一项所述的系统，其特征在于，所述加密节点包括虚拟私有云VPC内的计算节点。
一种数据加密方法，其特征在于，应用于数据加密系统，所述数据加密系统包括密钥创建装置和加密节点，所述方法包括：

所述加密节点通过内部的加密芯片创建密钥对，其中，所述密钥对包括第一加密密钥和第一解密密钥；

所述密钥创建装置创建数据密钥，并使用所述第一加密密钥对所述数据密钥进行加密得到第一密文；

所述加密节点获取所述第一密文，并通过所述加密芯片使用所述第一解密密钥对所述第一密文进行解密得到所述数据密钥；

所述加密节点通过所述加密芯片使用所述数据密钥对待传输的数据进行加密。
根据权利要求10所述的方法，其特征在于，所述数据密钥存储在所述加密芯片内部的安全存储区域中。
根据权利要求11所述的方法，其特征在于，所述密钥对存储在所述安全存储区域中。
根据权利要求10-12任一项所述的方法，其特征在于，所述数据加密系统还包括控制装置，在所述密钥创建装置使用所述第一加密密钥对所述数据密钥进行加密得到第一密文之前，所述方法还包括：

所述密钥创建装置使用第二加密密钥对所述数据密钥进行加密得到第二密文，并向所述控制装置发送所述第二密文；

所述控制装置接收所述第二密文，并向所述加密节点发送通知消息；

所述加密节点响应所述通知消息，将所述第一加密密钥返回至所述控制装置。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述控制装置向所述密钥创建装置发送重加密请求；

所述密钥创建装置根据所述重加密请求获得所述第一加密密钥和所述数据密钥。
根据权利要求14所述的方法，其特征在于，所述重加密请求包括所述第一加密密钥、所述第二加密密钥的标识以及所述第二密文，所述密钥创建装置根据所述重加密请求获得所述第一加密密钥和所述数据密钥，包括：

所述密钥创建装置根据所述第二加密密钥的标识确定与所述第二加密密钥对应的第二解密密钥；

所述密钥创建装置使用所述第二解密密钥对所述第二密文进行解密得到所述数据密钥。
根据权利要求13-15任一项所述的方法，其特征在于，所述加密节点包括虚拟私有云VPC内的计算节点。
一种计算机可读存储介质，其特征在于，存储有计算机指令，所述计算机指令运行在数据加密系统上，以实现前述权利要求10-16任一项所述的方法。