(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210762027.9 (22)申请日 2022.06.30 (71)申请人 支付宝 （杭州） 信息技 术有限公司 地址 310013 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 杨洋　张成龙　 (74)专利代理 机构 北京智信禾专利代理有限公 司 11637 专利代理师 李晓庆 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 数据处理方法及系统 (57)摘要 本说明书实施例提供数据处理方法及系统， 其中所述数据处理方法， 应用于服务器， 所述服 务器包括存储管理模块以及加密卡， 其中， 所述 存储管理模块将待加密数据发送给所述加密卡； 所述加密卡基于数据加密秘钥对所述待加密数 据进行加密， 其中， 所述数据加密秘钥被另 一秘 钥加密后保存； 所述数据加密秘钥被另一秘钥加 密包括： 所述存储管理模块指示所述加密卡使用 所述另一秘钥对 所述数据加密秘钥进行加密； 加 密卡基于所述存储管理模块的指示基于所述另 一秘钥对所述数据加密秘钥进行加密； 其中， 所 述另一秘钥是由秘钥管理系统发送给所述存储 管理模块的； 所述存储管理模块， 将待解密数据 发送给所述加密卡。 权利要求书2页 说明书14页 附图4页 CN 115134076 A 2022.09.30 CN 115134076 A 1.一种数据处理方法， 应用于服务器， 所述服务器包括存储管理模块以及加密卡， 其 中， 所述存储管理模块将待加密数据发送给 所述加密卡； 所述加密卡基于数据加密秘钥对所述待加密数据进行加密， 其中， 所述数据加密秘钥 被另一秘钥加密后保存； 所述数据加密秘钥被另一秘钥加密包括： 所述存储管理模块指示所述加密卡使用所述 另一秘钥对所述数据加密秘钥进 行加密； 加密卡基于所述存储管理模块的指示基于所述另 一秘钥对所述数据加密秘钥进行加密； 其中， 所述另一秘钥是由秘钥管理系统发送给所述 存储管理模块的； 所述存储管理模块， 将待解密数据发送给 所述加密卡。 2.根据权利要求1所述的数据处理方法， 所述存储管理模块指示所述加密卡使用所述 另一秘钥对所述数据加密秘钥进行加密， 包括： 所述存储管理模块向秘钥管理系统请求所述另一秘钥， 并接收由所述秘钥管理系统发 送的所述另一秘钥； 将所述另一秘钥发送至所述加密卡， 并指示所述加密卡使用所述另一秘钥对所述数据 加密秘钥进行加密。 3.根据权利要求2所述的数据处理方法， 所述存储管理模块向秘钥管理系统请求所述 另一秘钥， 并接收由所述秘钥管理系统发送的所述另一秘钥， 包括： 所述存储管理模块从所述加密卡中读取身份凭证， 并基于所述身份凭证向秘钥管理系 统请求另一秘钥； 接收所述秘钥管理系统在确定针对所述身份凭证的身份验证通过， 且所述存储管理模 块满足秘钥发送条件的情况 下， 发送的所述另一秘钥。 4.根据权利要求1所述的数据处理方法， 所述加密卡基于所述存储管理模块的指示基 于所述另一秘钥对所述数据加密秘钥进行加密， 包括： 所述加密卡响应于所述存储管理模块的指示， 在确定存在所述数据加密秘钥的情况 下， 基于所述另一秘钥对所述数据加密秘钥进行加密。 5.根据权利要求4所述的数据处理方法， 所述基于所述另一秘钥对所述数据加密秘钥 进行加密， 包括： 所述加密卡， 确定所述数据加密秘钥对应的历史秘钥， 其中， 所述历史秘钥为历史对所 述数据加密秘钥进行加密的秘钥； 基于所述历史秘钥对所述数据加密秘钥进行解密， 并通过所述另一秘钥对解密后的所 述数据加密秘钥进行加密。 6.根据权利要求1所述的数据处理方法， 所述加密卡基于所述存储管理模块的指示基 于所述另一秘钥对所述数据加密秘钥进行加密， 包括： 所述加密卡， 响应于所述存储管理模块的指示， 在确定不存在所述数据加密秘钥的情 况下， 向所述存 储管理模块发送秘钥生成通知； 所述存储管理模块， 响应于所述秘钥生成通知， 通过调用秘钥创建接口指示所述加密 卡生成所述数据加密秘钥； 所述加密卡， 基于所述存储管理模块的指示生成所述数据加密秘钥， 并通过所述另一权　利　要　求　书 1/2 页 2 CN 115134076 A 2秘钥对所述数据加密秘钥进行加密。 7.根据权利要求1所述的数据处理方法， 所述存储管理模块将待加密数据发送给所述 加密卡， 包括： 所述存储管理模块， 从所述加密卡中读取身份凭证， 并基于所述身份凭证向秘钥管理 系统请求另一秘钥； 接收所述秘钥管理系统在确定对所述身份凭证的验证通过， 且所述存储管理模块不满 足秘钥发送条件的情况 下， 发送的秘钥可用通知； 基于所述秘钥可用通知， 将待加密数据发送给 所述加密卡。 8.根据权利要求3或7 所述的数据处 理方法， 所述秘钥发送条件 包括： 所述秘钥管理系统未向所述存 储管理模块发送所述另一秘钥； 或 所述秘钥管理系统确定所述存储管理模块对应的秘钥发送时间与当前时间的时间差 值， 大于预设时间阈值， 其中， 所述秘钥发送时间为所述秘钥管理系统向所述存储管理模块 发送所述另一秘钥的时间。 9.根据权利要求1所述的数据处理方法， 所述存储管理模块， 将待解密数据发送给所述 加密卡之后， 还 包括： 所述加密卡基于数据加密秘钥对所述待解密数据进行解密， 获得解密数据， 并将所述 解密数据返回至所述存 储管理模块。 10.一种数据处理系统， 所述系统包括服务器以及秘钥管理系统， 所述服务器包括存储 管理模块以及加密卡， 其中， 所述存储管理模块， 被 配置为将待加密数据发送给 所述加密卡； 所述加密卡， 被配置为基于数据加密秘钥对所述待加密数据进行加密， 其中， 所述数据 加密秘钥被另一秘钥加密后保存； 所述数据加密秘钥被另一秘钥加密包括： 所述存储管理模块指示所述加密卡使用所述 另一秘钥对所述数据加密秘钥进 行加密； 加密卡基于所述存储管理模块的指示基于所述另 一秘钥对所述数据加密秘钥进行加密； 其中， 所述另一秘钥是由秘钥管理系统发送给所述 存储管理模块的； 所述存储管理模块， 还被 配置为将待解密数据发送给 所述加密卡。权　利　要　求　书 2/2 页 3 CN 115134076 A 3