加密方法、装置及密钥管理系统与流程

本技术涉及通信，尤其涉及一种加密方法、装置及密钥管理系统。

背景技术：

1、随着计算机技术和互联网技术的迅速发展，信息安全成为人们重点关注的问题。站点之间在进行数据传输时，需要对数据进行加密，以保证数据安全。

2、目前，站点之间进行数据加密传输的具体过程为：如图1所示，第一站点100中专门部署的加密节点1和第二站点200中专门部署的加密节点2通过协商的方式得到各自的加密密钥，然后，若第一站点100中的任意一个计算节点需要给第二站点200中的某个计算节点发送数据，该数据需要加密节点1进行加密后，传输给加密节点2，由加密节点2进行解密后传输给接收数据的计算节点，如图1所示，计算节点a1将明文数据发送给加密节点1进行加密得到密文数据，加密节点1将密文数据传输给加密节点2，加密节点2对密文数据进行解密得到明文数据，再将明文数据发送给计算节点bn。

3、但是，随着业务的发展，站点的数量越来越多，当存在t(t为非常大的自然数)个站点且t个站点需要彼此通信的时候，则每一个站点中专门部署的加密节点都需要与其他t-1个站点中专门部署的加密节点协商得到加密密钥，协商的过程会占用站点较多计算资源，而且，每一个站点中专门部署的加密节点最终会产生出个加密密钥，该加密节点难以运维大量的加密密钥。

技术实现思路

1、本技术提供一种加密方法、装置及密钥管理系统，可以解决站点之间协商密钥占用站点较多计算资源的问题，以及解决站点中专门部署的加密节点难以运维大量加密密钥的问题。

2、第一方面，提供一种加密方法，该方法应用于第一计算节点，包括如下步骤：首先获取一个或多个密钥因子，然后使用加密密钥对明文数据进行加密得到密文数据，其中，加密密钥为基于一个或多个密钥因子和第一计算节点的标识得到，该标识为第一计算节点的标识或第一计算节点所在设备的标识或目标处理器的标识，最后将密文数据和第一计算节点的标识发送至第二计算节点。

3、其中，第一计算节点可以为发送数据的站点包括的多个计算节点中的任意一个，也就是说，发送数据的站点包括的多个计算节点均可以获取一个或多个密钥因子，然后基于一个或多个密钥因子和自己的标识得到加密密钥，对明文数据进行加密得到密文数据。具体实现中，多个计算节点获取的一个或多个密钥因子可以相同，也可以不同，此处不作具体限定。

4、上述方案中，站点中的任意一个计算节点均可以获取一个或多个密钥因子，然后基于一个或多个密钥因子和自己的标识得到加密密钥，站点之间无需协商得到加密密钥，因而，该方案可以解决站点之间协商密钥占用站点较多计算资源的问题。此外，站点中的多个计算节点均可以作为加密节点使用，如此，可以使得一个站点与其他多个站点进行通信时，该站点可以通过不同的计算节点与其他多个站点通信，例如，站点a通过计算节点a1与站点b进行通信，站点a通过计算节点a2与站点c和站点d进行通信，每个计算节点仅需维护自己生成的少量加密密钥，如此，可以解决站点中专门部署的加密节点难以运维大量加密密钥的问题。

5、在一种可能的实现方式中，上述目标处理器用于执行加密操作，其中，第一计算节点包括目标处理器。

6、具体实现中，第一计算节点可包括一个或者多个处理器，在第一计算节点包括一个处理器时，目标处理器即为该处理器，在第一计算节点包括多个处理器时，目标处理器可以为多个处理器中用于执行加密操作的处理器，多个处理器中用于执行加密操作的处理器可以为一个或多个，即目标处理器可以包括一个或多个处理器，此处不作具体限定。

7、实施上述实现方式，若第一计算节点基于一个或多个密钥因子和目标处理器核的标识得到加密密钥，从而进行数据加密传输，可以使得即便站点包括的多个计算节点中的某个计算节点的加密密钥泄露，不会导致站点中的其他计算节点的加密密钥泄露，提升站点之间数据传输的安全性。

8、在一种可能的实现方式中，第一计算节点在获取一个或多个密钥因子时，还可以获取一个或多个密钥因子中每一密钥因子的版本号，此时，第一方面描述的方法还包括如下步骤：向第二计算节点发送用于生成上述加密密钥的一个或多个密钥因子中每一密钥因子的版本号。

9、实施上述实现方式，可以使得第二计算节点在接收到用于生成加密密钥的一个或多个密钥因子中每一密钥因子的版本号之后，基于一个或多个密钥因子中每一密钥因子的版本号获取一个或多个密钥因子，然后，基于一个或多个密钥因子和第一计算节点的标识得到解密密钥，从而实现对密文数据的解密。

10、在一种可能的实现方式中，第一计算节点获取的一个或多个密钥因子，可以为第一密钥管理服务节点发送的，也可以为包括第一密钥管理服务节点在内的多个密钥管理服务节点发送的。

11、举例来讲，假设第一计算节点需获取多个密钥因子，多个密钥因子包括第一密钥因子和第二密钥因子，则第一密钥因子可以为第一密钥管理服务节点向第一计算节点发送的，第二密钥因子可以为第二密钥管理服务节点向第一计算节点发送的。

12、可以理解，若第一计算节点获取的多个密钥因子为多个密钥管理服务节点发送，即便多个密钥管理服务节点中的某个密钥管理服务节点被劫持或者发生故障，无法向第一计算节点发送密钥因子，第一计算节点基于其他密钥管理服务节点发送的密钥因子也可以获取加密密钥，实现数据加密传输，如此，可以保证第一计算节点的通信稳定性，从而保证站点之间的通信稳定性。

13、第二方面，提供一种加密方法，该方法应用于第二计算节点，包括如下步骤：首先接收第一计算节点发送的密文数据和第一计算节点的标识，然后基于一个或多个密钥因子和第一计算节点的标识，得到解密密钥，最后利用解密密钥对密文数据解密出明文数据，其中，标识为第一计算节点的标识或第一计算节点所在设备的标识或目标处理器的标识。

14、其中，第二计算节点可以为接收数据的站点包括的多个计算节点中的任意一个，也就是说，接收数据的站点包括的多个计算节点均可以基于一个或多个密钥因子和第一计算节点的标识，得到解密密钥，对密文数据进行解密。

15、在一种可能的实现方式中，上述目标处理器用于执行加密操作，其中，第一计算节点包括目标处理器。

16、在一种可能的实现方式中，第二方面描述的方法还包括如下步骤：接收第一计算节点发送的用于生成加密密钥的一个或多个密钥因子中每一密钥因子的版本号，此时，第二计算节点具体可以通过如下方式实现基于一个或多个密钥因子和第一计算节点的标识，生成解密密钥：基于一个或多个密钥因子中每一密钥因子的版本号和第一计算节点的标识，生成解密密钥。

17、在一种可能的实现方式中，第二计算节点在基于一个或多个密钥因子和第一计算节点的标识，生成解密密钥之前，第二计算节点还可以接收一个或多个密钥管理服务节点发送的一个或多个密钥因子。

18、第三方面，提供一种加密装置，该装置包括用于执行第一方面或第一方面任一种可能实现方式中的加密方法的各个模块。

19、第四方面，提供一种加密装置，该装置包括用于执行第二方面或第二方面任一种可能实现方式中的加密方法的各个模块。

20、第五方面，提供一种密钥管理系统，该系统包括第一计算节点和第二计算节点，其中，第一计算节点，用于使用加密密钥对明文数据进行加密得到密文数据，将密文数据和第一计算节点的标识发送至第二计算节点，第二计算节点，用于根据一个或多个密钥因子和第一计算节点的标识，获得解密密钥，利用解密密钥对密文数据解密出明文数据。其中，加密密钥为基于一个或多个密钥因子和第一计算节点的标识得到，标识为第一计算节点的标识或第一计算节点所在设备的标识或目标处理器的标识。

21、在一种可能的实现方式中，第五方面描述的密钥管理系统还包括第一密钥管理服务节点，该节点用于将一个或多个密钥因子发送至第一计算节点。

22、在一种可能的实现方式中，第五方面描述的密钥管理系统还包括第一密钥管理服务节点和第二密钥管理服务节点，上述一个或多个密钥因子包括第一密钥因子和第二密钥因子，其中，第一密钥管理服务节点，用于将第一密钥因子发送至第一计算节点，第二密钥管理服务节点，用于将第二密钥因子发送至第一计算节点。

23、实施上述实现方式，可以使得即便多个密钥管理服务节点中的某个密钥管理服务节点被劫持或者发生故障，无法向第一计算节点和第二计算节点发送密钥因子，正常的密钥管理服务节点可以继续向第一计算节点和第二计算节点发送密钥因子，如此，能够保证本技术提供的密钥管理系统的稳定性。此外，还可以保证第一计算节点和第二计算节点的通信稳定性，进而保证站点之间的通信稳定性。

24、具体实现中，第五方面或第五方面任一种可能实现方式中的密钥管理系统为计算设备集群。

25、第六方面，提供一种计算节点，所述计算节点包括处理器和存储器；所述处理器用于执行所述存储器存储的指令，使得所述计算节点实现如上述第一方面或第二方面中的任意可能的实现方式提供的方法。

26、第七方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令，当所述计算机可读指令在计算设备或计算设备集群上运行时，使得所述计算设备或计算设备集群执行如上述第一方面或第二方面中的任意可能的实现方式提供的方法。

27、第八方面，提供一种计算机程序产品，包括计算机可读指令，当所述计算机可读指令在计算设备或计算设备集群上运行时，使得所述计算设备或计算设备集群执行如上述第一方面或第二方面中的任意可能的实现方式提供的方法。