[发明专利]分布式计算系统中的数据管理和加密

说明书

描述了在计算节点处提供安全服务的方法。安全服务用于计算节点外部的请求方。以下步骤在计算节点处发生。从请求方接收服务请求。该服务请求包括生成凭证的请求。然后生成凭证，并获得服务相关信息。使用加密过程对凭证和服务相关信息进行加密以形成加密的消息部分。还创建服务识别明文消息部分，并且向请求方发送包括明文消息部分和加密的消息部分的消息。还描述了使用这种消息来验证凭证的方法，以及使用这种消息来确认消息中保持的服务相关信息的完整性的方法，以及适于执行这些方法中的一个或多个方法的计算装置。

相关申请的交叉引用

本申请要求于2020年8月26日提交的英国专利申请号2013340.1的权益，该临时申请的内容出于所有目的通过引用并入本文。

技术领域

本公开涉及分布式计算系统中的数据管理和加密，特别地，涉及执行一个或多个安全过程的分布式计算系统。

背景技术

存在需要中央化(centralized)系统为非常大量的客户端提供服务的多个技术挑战，尤其是当这些客户端在地理上广泛分布时。考虑分布系统使得相关服务能够由一组地理上分布的服务器提供，代替由一个中央服务器或数据中心提供是合乎逻辑的。

在实践中，这种去中央化可能会使用云体系架构，该云体系架构将通常使用多个地理上分布的服务器——或数据中心——来向客户端递送服务。云体系架构可以被认为包括多个节点——当使用云体系架构时，节点可以是多个计算机的聚合，并且可以在给定节点内以“实时”连接和数据共享来覆盖多于一个的数据中心。

去中央化本身可能是有问题的，特别是在有必要以这种方式来提供服务的情况下，服务的供给会产生超出提供服务的服务器和接收服务的客户端的后果。例如，如果其它客户端(或其它系统节点)需要回溯到服务提供节点以检查否已提供服务或如何提供服务，或者中央系统是否有必要知道已经如何提供服务或分布式服务器节点的预期操作，那么新的瓶颈可能会取代以前的瓶颈出现在中央服务器上，系统中的消息传递总量可能增加，并且网络延迟可能成为严重的问题。

当服务与安全性相关时(因此有必要确信它已在整个系统中安全地执行)以及当与在短时间帧内供给服务相关时，这尤其严重。这两个问题都适用于交易系统——交易需要在短时间段内获得授权，并且有必要确保交易已经被合法执行——但也适用于其它技术情境(context)。

诸如交易授权之类的服务可能需要在短时间帧内完成，但也可能需要将与服务实例相关的数据安全且可靠地保持到将来。如果存在异常多的服务实例，那么服务实例记录的安全存储将被证明是极其繁重的。解决这个问题所期望的方式是可以识别过去的服务实例，并使用与服务实例相关的数据来支持将来的服务活动，所有这些都是以维护数据安全性而不对系统资源有过多需求的方式。

发明内容

在第一方面，本公开提供了一种在计算节点处为计算节点外部的请求方提供安全服务的方法，所述方法包括在计算节点处：从请求方接收服务请求，其中该服务请求包括生成凭证的请求；生成凭证；获得服务相关信息，并且使用加密过程来加密凭证和服务相关信息，以形成加密的消息部分；创建服务识别明文消息部分；以及向请求方发送包括明文消息部分和加密的消息部分的消息。

该加密过程可以包括块密码。

凭证本身可以使用密码过程生成。在这种情况下，共享机制可以用于为第一加密过程和密码过程提供密钥。用于加密过程的密钥的密钥有效期然后可以长于用于密码过程的密钥的密钥有效期。然后密码过程可以包括密钥散列算法。然后可以为这两个过程选择一对合适的算法：例如，加密过程和密码过程可以分别包括SM4和SM3算法。更一般地，加密可以使用范围广泛的密码(诸如AES CBC、SM4CBC)中的任何密码，并且密码过程可以使用范围广泛的密钥散列消息认证代码(诸如HMAC-SHA256、HMAC-SM3或适用于生成消息认证码或签名的任何其它过程)。