数据存储和读取的方法及装置制造方法及图纸

本说明书实施例提供了一种数据存储和读取的方法和装置。根据数据存储方法，可信计算集群中任意的第一可信计算节点可以利用第一可信计算节点的硬件标识生成第一对称密钥，使用第一对称密钥加密待持久化数据，得到第一加密数据，例如，待持久化数据可以为第一可信计算节点中的隐私数据；使用集群公钥加密第一对称密钥，得到第二加密数据，将第一加密数据和第二加密数据对应地存储至数据存储平台。

Data storage and reading methods and devices

【技术实现步骤摘要】
数据存储和读取的方法及装置
本说明书一个或多个实施例涉及数据安全领域，尤其涉及一种数据存储和读取的方法和装置。
技术介绍
可信计算集群是由运行在可信执行环境(TrustedExecutionEnvironment，TEE)中的多个可信计算节点所构成的计算集群。可信计算集群能够提供数据计算服务。可信计算节点具有一定的隔离能力，这种隔离能力能够防止其他应用程序包括操作系统或驱动等窥探和篡改可信计算节点的应用程序和数据，进而保证数据计算的安全性。
技术实现思路
本说明书一个或多个实施例描述了数据存储和读取的方法和装置，以提高持久化数据的可读取性。第一方面，本说明书提供了一种数据存储方法，通过可信计算集群中任意的第一可信计算节点执行，所述方法包括：利用所述第一可信计算节点的硬件标识生成第一对称密钥；使用所述第一对称密钥加密待持久化数据，得到第一加密数据；使用集群公钥加密所述第一对称密钥，得到第二加密数据；其中，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥，用于解密使用所述集群公钥加密后的数据；将所述第一加密数据和所述第二加密数据对应地存储至数据存储平台。在一种具体实施例中，所述利用所述第一可信计算节点的硬件标识生成第一对称密钥的步骤，包括：当存在所述待持久化数据时，利用所述第一计算节点的硬件标识和预设生成规则，生成与所述待持久化数据对应的第一对称密钥。在一种具体实施例中，所述数据存储平台包括分布式文件系统HDFS、对象存储服务OSS和MySQL数据库中的至少一个。在一种具体实施例中，方法还包括，可采用以下方式确定集群公钥和对应的集群私钥：在预设数据范围内随机生成待选公钥和对应的私钥；将节点密钥信息发送至协调器；其中，所述节点密钥信息包括：所述待选公钥和所述第一可信计算节点中运行的计算任务的代码哈希；获取所述协调器发送的针对选定的集群公钥的指示信息；其中，所述指示信息为所述协调器根据各个可信计算节点发送的节点密钥信息而确定；利用所述指示信息确定集群公钥和对应的集群私钥。在一种具体实施例中，所述利用所述指示信息确定集群公钥和对应的集群私钥的步骤，包括：当所述指示信息指示所述第一可信计算节点的节点密钥信息中的待选公钥为集群公钥时，将所述第一可信计算节点的待选公钥和对应的私钥确定为集群公钥和对应的集群私钥；当所述指示信息指示其他可信计算节点的节点密钥信息中的待选公钥为集群公钥时，从所述其他可信计算节点中获取集群公钥和对应的集群私钥。在一种具体实施例中，所述从所述其他可信计算节点中获取集群公钥和对应的集群私钥的步骤，包括：与所述其他可信计算节点进行远程RA认证，并建立RA通道；通过所述RA通道，从所述其他可信计算节点获取所述集群公钥和对应的集群私钥。第二方面，本说明书提供了一种数据读取方法，通过可信计算集群中任意的第二可信计算节点执行，所述方法包括：当需要获取已持久化数据时，从数据存储平台获取第三加密数据和对应的第四加密数据；其中，所述第三加密数据为使用第二对称密钥加密所述已持久化数据后的加密数据，所述第四加密数据为使用集群公钥加密所述第二对称密钥后得到的加密数据，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥用于解密使用所述集群公钥加密后的数据；使用所述集群私钥解密所述第四加密数据，得到所述第二对称密钥；使用所述第二对称密钥解密所述第三加密数据，得到所述已持久化数据。在一种具体实施例中，第二对称密钥为利用所述可信计算集群中的其他可信计算节点的硬件标识生成。第三方面，本说明书提供了一种数据存储装置，部署在可信计算集群中任意的第一可信计算节点中，所述装置包括：生成单元，配置为利用所述第一可信计算节点的硬件标识生成第一对称密钥；第一加密单元，配置为使用所述第一对称密钥加密待持久化数据，得到第一加密数据；第二加密单元，配置为使用集群公钥加密所述第一对称密钥，得到第二加密数据；其中，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥，用于解密使用所述集群公钥加密后的数据；存储单元，配置为将所述第一加密数据和所述第二加密数据对应地存储至数据存储平台。在一种具体实施例中，所述生成单元具体配置为：当存在所述待持久化数据时，利用所述第一计算节点的硬件标识和预设生成规则，生成与所述待持久化数据对应的第一对称密钥。在一种具体实施例中，所述数据存储平台包括分布式文件系统HDFS、对象存储服务OSS和MySQL数据库中的至少一个。在一种具体实施例中，该装置还包括：确定单元，配置为采用以下操作确定集群公钥和对应的集群私钥：在预设数据范围内随机生成待选公钥和对应的私钥；将节点密钥信息发送至协调器；其中，所述节点密钥信息包括：所述待选公钥和所述第一可信计算节点中运行的计算任务的代码哈希；获取所述协调器发送的针对选定的集群公钥的指示信息；其中，所述指示信息为所述协调器根据各个可信计算节点发送的节点密钥信息而确定；利用所述指示信息确定集群公钥和对应的集群私钥。在一种具体实施例中，确定单元，利用所述指示信息确定集群公钥和对应的集群私钥时，包括：当所述指示信息指示所述第一可信计算节点的节点密钥信息中的待选公钥为集群公钥时，将所述第一可信计算节点的待选公钥和对应的私钥确定为集群公钥和对应的集群私钥；当所述指示信息指示其他可信计算节点的节点密钥信息中的待选公钥为集群公钥时，从所述其他可信计算节点中获取集群公钥和对应的集群私钥。在一种具体实施例中，确定单元，从所述其他可信计算节点中获取集群公钥和对应的集群私钥时，包括：与所述其他可信计算节点进行远程RA认证，并建立RA通道；通过所述RA通道，从所述其他可信计算节点获取所述集群公钥和对应的集群私钥。第四方面，本说明书提供了一种数据读取装置，部署在可信计算集群中任意的第二可信计算节点中，所述装置包括：获取单元，配置为当需要获取已持久化数据时，从数据存储平台获取第三加密数据和对应的第四加密数据；其中，所述第三加密数据为使用第二对称密钥加密所述已持久化数据后的加密数据，所述第四加密数据为使用集群公钥加密所述第二对称密钥后得到的加密数据，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥用于解密使用所述集群公钥加密后的数据；第一解密单元，配置为使用所述集群私钥解密所述第四加密数据，得到所述第二对称密钥；第二解密单元，配置为使用所述第二对称密钥解密所述第三加密数据，得到所述已持久化数据。在一种具体实施例中，所述第二对称密钥为利用所述可信计算集群中的其他可信计算节点的硬件标识生成。第五方面，本说明书提供了一种计算机可读存储介质本文档来自技高网...

【技术保护点】
1.一种数据存储方法，通过可信计算集群中任意的第一可信计算节点执行，所述方法包括：/n利用所述第一可信计算节点的硬件标识生成第一对称密钥；/n使用所述第一对称密钥加密待持久化数据，得到第一加密数据；/n使用集群公钥加密所述第一对称密钥，得到第二加密数据；其中，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥，用于解密使用所述集群公钥加密后的数据；/n将所述第一加密数据和所述第二加密数据对应地存储至数据存储平台。/n

【技术特征摘要】
1.一种数据存储方法，通过可信计算集群中任意的第一可信计算节点执行，所述方法包括：
利用所述第一可信计算节点的硬件标识生成第一对称密钥；
使用所述第一对称密钥加密待持久化数据，得到第一加密数据；
使用集群公钥加密所述第一对称密钥，得到第二加密数据；其中，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥，用于解密使用所述集群公钥加密后的数据；
将所述第一加密数据和所述第二加密数据对应地存储至数据存储平台。


2.根据权利要求1所述的方法，所述利用所述第一可信计算节点的硬件标识生成第一对称密钥的步骤，包括：
当存在所述待持久化数据时，利用所述第一计算节点的硬件标识和预设生成规则，生成与所述待持久化数据对应的第一对称密钥。


3.根据权利要求1所述的方法，所述数据存储平台包括分布式文件系统HDFS、对象存储服务OSS和MySQL数据库中的至少一个。


4.根据权利要求1所述的方法，还包括，采用以下方式确定集群公钥和对应的集群私钥：
在预设数据范围内随机生成待选公钥和对应的私钥；
将节点密钥信息发送至协调器；其中，所述节点密钥信息包括：所述待选公钥和所述第一可信计算节点中运行的计算任务的代码哈希；
获取所述协调器发送的针对选定的集群公钥的指示信息；其中，所述指示信息为所述协调器根据各个可信计算节点发送的节点密钥信息而确定；
利用所述指示信息确定集群公钥和对应的集群私钥。


5.根据权利要求4所述的方法，所述利用所述指示信息确定集群公钥和对应的集群私钥的步骤，包括：
当所述指示信息指示所述第一可信计算节点的节点密钥信息中的待选公钥为集群公钥时，将所述第一可信计算节点的待选公钥和对应的私钥确定为集群公钥和对应的集群私钥；
当所述指示信息指示其他可信计算节点的节点密钥信息中的待选公钥为集群公钥时，从所述其他可信计算节点中获取集群公钥和对应的集群私钥。


6.根据权利要求5所述的方法，所述从所述其他可信计算节点中获取集群公钥和对应的集群私钥的步骤，包括：
与所述其他可信计算节点进行远程RA认证，并建立RA通道；
通过所述RA通道，从所述其他可信计算节点获取所述集群公钥和对应的集群私钥。


7.一种数据读取方法，通过可信计算集群中任意的第二可信计算节点执行，所述方法包括：
当需要获取已持久化数据时，从数据存储平台获取第三加密数据和对应的第四加密数据；其中，所述第三加密数据为使用第二对称密钥加密所述已持久化数据后的加密数据，所述第四加密数据为使用集群公钥加密所述第二对称密钥后得到的加密数据，所述可信计算集群中的所有可信计算节点共有所述集群公钥和对应的集群私钥，所述集群私钥用于解密使用所述集群公钥加密后的数据；
使用所述集群私钥解密所述第四加密数据，得到所述第二对称密钥；
使用所述第二对称密钥解密所述第三加密数据，得到所述已持久化数据。


8.根据权利要求7所述的方法，其中，所述第二对称密钥为利用所述可信计算集群中的其他可信计算节点的硬件标识生成。


9.一种数据存储装置，部署在可信计算集群中任意的第一可信计算节点中，所述装置包括：
生成单元，配置为利用所述第一可信计算节点的硬件标识生成第一对称密钥；
第一加密单元，配置为使用所述第一对称密钥加密待持久化数据，得...

【专利技术属性】
技术研发人员：余超凡，王磊，黄群山，张宁，周爱辉，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33