CN109361512A - 数据传输方法 - Google Patents

Abstract

本发明提供一种数据传输方法。所述数据传输方法能在验证签章后，再验证密钥管理系统发送的第一会话密钥，并在所述第一会话密钥通过验证时，根据所述接入凭证生成第二会话密钥，以保证数据传输的安全性，同时密钥生成方式简单、灵活，在所述第二会话密钥通过所述密钥管理系统的验证时，获取与所述网关确认过的加密密钥，并根据所述加密密钥加密所述第二加密数据，得到加密数据包，再根据所述加密数据包，向所述网关发送通信建立请求，并接收所述网关发送的确认数据，根据所述确认数据，确认所述网关，对数据传输进行安全保障，具有高效性，且能够实时更新，并实现电子设备与网关间的双向认证，采用混合加密方式便于操作，给用户带来更好的体验。

Description

数据传输方法

技术领域

本发明涉及物联网技术领域，尤其涉及一种数据传输方法。

背景技术

目前普遍使用的数据传输单元(Data Transmission Unit，DTU)或网关(Gateway)，一般为明文传输，或者是基于安全软件生成的会话密钥加密传输，部分系统密钥固定且不改变，这样的系统防攻击和防破解性较差。且其中还有一部分系统密钥是能够变更的，对应的各个设备密钥都不一样，尽管在安全性上有所加强，但由于其安全密钥的生成是依赖于安全软件，因此容易被黑客利用。

在安全方面较有认可性的是金融系统的安全通信方案，但该方案一般要求终端具备较强的运算能力。国内目前使用的为RSA加密方案，此方案应用在一些高端应用处理器上比较合适，且非常成熟。但是，对于物联网中使用的较为低端的处理器，则无法满足其运行要求。并且，上述加密算法是与银行系统紧密组合的，无法实现单独拆分，以满足物联网现有通信安全改造的需要。

发明内容

鉴于以上内容，有必要提供一种数据传输方法，能够有效保证物联网中数据传输的安全性及高效性，且能够实时更新，并实现电子设备与网关间的双向认证，采用混合加密方式便于操作，给用户带来更好的体验。

一种数据传输方法，应用于电子设备，所述电子设备与密钥管理系统及网关相通信，所述方法包括：

当接收到数据传输指令时，获取所述电子设备中安全元件的签章；

发送所述签章至所述密钥管理系统进行验证；

当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；

根据所述接入凭证生成第二加密数据；

验证所述第一加密数据；

当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；

当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；

根据所述加密密钥加密所述第二加密数据，得到加密数据包；

根据所述加密数据包，向所述网关发送通信建立请求；

接收所述网关发送的确认数据；

根据所述确认数据，确认所述网关。

根据本发明优选实施例，所述根据所述接入凭证生成第二加密数据包括：

获取所述电子设备中安全元件的用户身份证明UID；

采用椭圆加密算法ECC加密算法或SM2算法，结合所述接入凭证及所述UID，生成所述电子设备的第二会话密钥；

采用高级加密标准AES加密算法，结合所述第二会话密钥，加密所述第一随机数据，以生成所述第二加密数据。

根据本发明优选实施例，所述根据所述加密密钥加密所述第二加密数据，得到加密数据包包括：

采用AES加密算法或SM4算法，对所述第二加密数据进行加密，得到所述加密数据包。

一种数据传输方法，应用于密钥管理系统，所述密钥管理系统与电子设备及网关相通信，所述方法包括：

接收所述电子设备中安全元件的签章；

验证所述签章；

当所述签章通过验证时，从所述网关获取接入凭证；

根据所述接入凭证生成第一加密数据；

生成第一随机数据；

将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；

当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；

验证所述第二加密数据；

当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。

根据本发明优选实施例，所述根据所述接入凭证生成第一加密数据包括：

获取所述电子设备中安全元件的UID及所述电子设备生成的第二随机数据；

采用安全散列算法，结合所述接入凭证及所述UID，生成所述密钥管理系统的第一会话密钥；

采用AES加密算法或SM4算法，结合所述第一会话密钥，加密所述第二随机数据，以生成所述第一加密数据。

根据本发明优选实施例，所述向所述网关发送所述第二加密数据包括：

采用网络协议HTTPS协议，向所述网关发送所述第二加密数据。

一种数据传输方法，应用于网关，所述网关与密钥管理系统、电子设备及至少一个应用平台相通信，所述方法包括：

接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；

获取与所述电子设备确认过的加密密钥；

根据所述加密密钥，解密所述加密数据包，得到第二UID；

确认所述第二UID是否有效；

当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；

确认所述第三随机数据是否有效；

当所述第三随机数据有效时，向所述电子设备发送确认数据。

根据本发明优选实施例，所述确认所述第二UID是否有效包括：

根据所述第二UID，在所述第二加密数据中进行索引；

当所述第二UID与所述第二加密数据中的UID一致时，确定所述第二UID有效。

根据本发明优选实施例，所述确认所述第三随机数据是否有效包括：

将所述第三随机数据与所述第二加密数据中的第一随机数据进行匹配；

当所述第三随机数据与所述第一随机数据匹配时，确认所述第三随机数据有效。

根据本发明优选实施例，所述方法还包括：

采用AES加密算法，在所述电子设备及所述至少一个应用平台间进行数据传输。

一种数据传输装置，运行于电子设备，所述电子设备与密钥管理系统及网关相通信，所述装置包括：

获取单元，用于当接收到数据传输指令时，获取所述电子设备中安全元件的签章；

发送单元，用于发送所述签章至所述密钥管理系统进行验证；

接收单元，用于当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；

生成单元，用于根据所述接入凭证生成第二加密数据；

验证单元，用于验证所述第一加密数据；

所述发送单元，还用于当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；

所述获取单元，还用于当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；

加密单元，用于根据所述加密密钥加密所述第二加密数据，得到加密数据包；

所述发送单元，还用于根据所述加密数据包，向所述网关发送通信建立请求；

所述接收单元，还用于接收所述网关发送的确认数据；

确认单元，用于根据所述确认数据，确认所述网关。

根据本发明优选实施例，所述生成单元具体用于：

获取所述电子设备中安全元件的用户身份证明UID；

采用椭圆加密算法ECC加密算法或SM2算法，结合所述接入凭证及所述UID，生成所述电子设备的第二会话密钥；

采用高级加密标准AES加密算法，结合所述第二会话密钥，加密所述第一随机数据，以生成所述第二加密数据。

根据本发明优选实施例，所述加密单元具体用于：

采用AES加密算法或SM4算法，对所述第二加密数据进行加密，得到所述加密数据包。

一种数据传输系统，运行于密钥管理系统，所述密钥管理系统与电子设备及网关相通信，所述系统包括：

接收模块，用于接收所述电子设备中安全元件的签章；

验证模块，用于验证所述签章；

获取模块，用于当所述签章通过验证时，从所述网关获取接入凭证；

生成模块，用于根据所述接入凭证生成第一加密数据；

所述生成模块，还用于生成第一随机数据；

发送模块，用于将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；

所述接收模块，还用于当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；

所述验证模块，还用于验证所述第二加密数据；

所述发送模块，还用于当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。

根据本发明优选实施例，所述生成模块具体用于：

获取所述电子设备中安全元件的UID及所述电子设备生成的第二随机数据；

采用安全散列算法，结合所述接入凭证及所述UID，生成所述密钥管理系统的第一会话密钥；

采用AES加密算法或SM4算法，结合所述第一会话密钥，加密所述第二随机数据，以生成所述第一加密数据。

根据本发明优选实施例，所述发送模块向所述网关发送所述第二加密数据包括：

采用网络协议HTTPS协议，向所述网关发送所述第二加密数据。

一种第二数据传输装置，运行于网关，所述网关与密钥管理系统、电子设备及至少一个应用平台相通信，所述装置包括：

第二接收单元，用于接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；

第二获取单元，用于获取与所述电子设备确认过的加密密钥；

第二解密单元，用于根据所述加密密钥，解密所述加密数据包，得到第二UID；

第二确认单元，用于确认所述第二UID是否有效；

所述第二解密单元，还用于当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；

所述第二确认单元，还用于确认所述第三随机数据是否有效；

第二发送单元，用于当所述第三随机数据有效时，向所述电子设备发送确认数据。

根据本发明优选实施例，所述第二确认单元确认所述第二UID是否有效包括：

根据所述第二UID，在所述第二加密数据中进行索引；

当所述第二UID与所述第二加密数据中的UID一致时，确定所述第二UID有效。

根据本发明优选实施例，所述第二确认单元确认所述第三随机数据是否有效包括：

将所述第三随机数据与所述第二加密数据中的第一随机数据进行匹配；

当所述第三随机数据与所述第一随机数据匹配时，确认所述第三随机数据有效。

根据本发明优选实施例，所述装置还包括：

第二传输单元，用于采用AES加密算法，在所述电子设备及所述至少一个应用平台间进行数据传输。

一种电子设备，所述电子设备包括：

处理器；及

存储器，存储在所述存储器中的指令被所述处理器执行以实现所述数据传输方法。

一种计算机可读存储介质，所述计算机可读存储介质中存储的指令被电子设备中的处理器执行以实现所述数据传输方法。

一种密钥管理系统，所述密钥管理系统包括：

处理设备；及

存储设备，存储在所述存储设备中的指令被所述处理设备执行以实现所述数据传输方法。

一种计算机可读存储介质，所述计算机可读存储介质中存储的指令被密钥管理系统中的处理设备执行以实现所述数据传输方法。

一种网关，所述网关包括：

第二处理器；及

第二存储器，存储在所述第二存储器中的指令被所述第二处理器执行以实现所述数据传输方法。

一种计算机可读存储介质，所述计算机可读存储介质中存储的指令被网关中的第二处理器执行以实现所述数据传输方法。

由以上技术方案可以看出，本发明能够在验证签章后，再验证密钥管理系统发送的第一会话密钥，并在所述第一会话密钥通过验证时，根据所述接入凭证生成第二会话密钥，以保证数据传输的安全性，同时密钥生成方式简单、灵活，在所述第二会话密钥通过所述密钥管理系统的验证时，获取与所述网关确认过的加密密钥，并根据所述加密密钥加密所述第二加密数据，得到加密数据包，再根据所述加密数据包，向所述网关发送通信建立请求，并接收所述网关发送的确认数据，根据所述确认数据，确认所述网关，进一步对数据传输进行安全保障，具有高效性，且能够实时更新，并实现电子设备与网关间的双向认证，采用混合加密方式便于操作，给用户带来更好的体验。

附图说明

图1是本发明实现数据传输方法的较佳实施例的应用环境图。

图2是本发明数据传输方法的较佳实施例的流程图。

图3是本发明数据传输方法的另一较佳实施例的流程图。

图4是本发明数据传输方法的第三较佳实施例的流程图。

图5是本发明数据传输装置的较佳实施例的功能模块图。

图6是本发明数据传输系统的较佳实施例的功能模块图。

图7是本发明第二数据传输装置的较佳实施例的功能模块图。

图8是本发明实现数据传输方法的较佳实施例的电子设备的结构示意图。

图9是本发明实现数据传输方法的较佳实施例的密钥管理系统的结构示意图。

图10是本发明实现数据传输方法的较佳实施例的网关的结构示意图。

主要元件符号说明

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

如图1所示，图1是本发明实现数据传输方法的较佳实施例的应用环境图。电子设备1与密钥管理系统2及网关3进行两两通信，所述网关3还与应用平台4相通信。

其中，所述电子设备1可以是一个信息传输单元(Data Transmission Unit，DUT)，并且具有安全元件；

所述密钥管理系统(Key Manage System，KMS)2用于对所述电子设备1进行认证，并实现所述电子设备1与所述网关3的数据通信；

所述网关3用于向所述电子设备1提供认证服务，以实现所述电子设备1与所述应用平台4间的数据通信；

所述应用平台4用于实现数据服务。

如图2所示，是本发明数据传输方法的较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

所述数据传输方法应用于一个或者多个电子设备1中，所述电子设备1是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(Digital SignalProcessor，DSP)、嵌入式设备等。

所述电子设备1可以是任何一种可与用户进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(Internet Protocol Television，IPTV)、智能式穿戴式设备等。

所述电子设备1还可以包括网络设备和/或用户设备。其中，所述网络设备包括，但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。

所述电子设备1所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

S10，当接收到数据传输指令时，所述电子设备1获取所述电子设备1中安全元件的签章。

在本发明的至少一个实施例中，所述安全元件(Secure Element，SE)是一种芯片，能够防止外部恶意解析攻击，保护数据安全，在芯片中具有加密及解密逻辑电路，所述安全元件的写入私钥信息不可读取，其中针对算法的电磁场的处理，可以避免黑客通过分析所述安全元件的电磁等参数破解系统，这样，即使黑客可以破解一台设备，如果还要破解其它设备，黑客将花费同等的代价进行破解，而不会因为一台设备的破解，导致整个系统设备被破解。

在本发明的至少一个实施例中，所述安全元件中具有签章，通过验证所述签章可以进一步识别所述电子设备1的身份，以确认所述电子设备1是否具有相应操作的权限。

在本发明的至少一个实施例中，所述电子设备1接收到数据传输指令包括，但不限于以下任意一种方式：

(1)所述电子设备1检测到所述电子设备1掉线的信号。

具体地，在进行数据传输的过程中，如果所述电子设备1突然掉线，则数据传输中断，此时，所述电子设备1将重新建立连接，以实现数据的继续传输。

(2)所述电子设备1接收到所述电子设备1每隔预设时间间隔触发数据传输的信号。

具体地，所述电子设备1采取定时触发的方式。

进一步的，所述预设时间间隔可以由所述电子设备1进行配置，也可以由所述电子设备1接收用户的设置进行配置，本发明在此不作限制。

例如：所述预设时间间隔可以包括1小时、12小时等。

(3)所述电子设备1接收到所述电子设备1配置的在预设时间触发数据传输的信号。

具体地，所述预设时间可以由所述电子设备1进行配置，或者是，所述预设时间也可以由所述用户进行自定义配置，以更加满足用户的实际需求，本发明不限制。

进一步地，当由所述电子设备1配置所述预设时间时，所述电子设备1可以获取历史配置方式，并根据所述历史配置方式配置所述预设时间，以提高所述预设时间配置的准确性。

例如：所述预设时间可以为12月12日的上午9点等。

(4)所述电子设备1接收到用户触发数据传输的信号。

具体地，所述用户触发数据传输的信号可以包括，但不限于以下一种或者多种的组合：

1)所述用户触摸配置按键的信号。其中，所述配置按键可以是实体按键，也可以是虚拟按键。

2)所述用户输入的配置语音信号。例如：所述配置语音信号可以包括“启动数据传输”等语音。所述配置语音信号可以由所述用户进行自定义设置。当然，所述电子设备1还可以对所述用户输入的配置语音信号进行验证(包括验证语音的内容及语音的音色等)，以确定所述用户是否具有启动数据传输的权限。

S11，所述电子设备1发送所述签章至所述密钥管理系统2进行验证。

在本发明的至少一个实施例中，所述密钥管理系统2可以联通所述电子设备1与所述网关3，所述密钥管理系统2具有解密并验证所述签章的权限。

S12，当所述签章通过验证时，所述电子设备1接收所述密钥管理系统2发送的接入凭证、所述密钥管理系统2生成的第一加密数据及第一随机数据。

在本发明的至少一个实施例中，所述接入凭证由所述网关3生成，没有特定的数据格式及组成方式。

S13，所述电子设备1根据所述接入凭证生成第二加密数据。

在本发明的至少一个实施例中，所述电子设备1根据所述接入凭证生成第二加密数据包括：

所述电子设备1获取所述电子设备1中安全元件的UID(User Identification，用户身份证明)，并采用ECC(Elliptic curve cryptography，椭圆加密算法)加密算法或SM2算法，结合所述接入凭证及所述UID，生成所述电子设备1的第二会话密钥，所述电子设备1采用高级加密标准AES(Advanced Encryption Standard，高级加密标准)加密算法，结合所述第二会话密钥，加密所述第一随机数据，以生成所述第二加密数据。

具体地，所述ECC加密算法是一种非对称式加密算法，所述AES加密算法是一种对称式加密算法。所述电子设备1采用混合加密算法(非对称式加密算法ECC和对称式加密算法AES)进行加密，从而更加确保安全性。又由于所述第二随机数据的随机性，则更加保证了数据安全。

S14，所述电子设备1验证所述第一加密数据。

在本发明的至少一个实施例中，所述电子设备1验证所述第一加密数据包括：

所述电子设备1解密所述第一加密数据，得到用于生成所述第一加密数据的第二随机数据，并确定所述第二随机数据是否正确，以验证所述第一加密数据。其中，所述第二加密数据由所述密钥管理系统2生成。

具体地，当所述第一加密数据正确时，执行后续步骤；当所述第一加密数据不正确时，停止数据传输的相关步骤。

S15，当所述第一加密数据通过验证时，所述电子设备1将所述第二加密数据发送至所述密钥管理系统2进行验证。

S16，当所述第二加密数据通过验证时，所述电子设备1获取与所述网关3确认过的加密密钥。

在本发明的至少一个实施例中，所述电子设备1与所述网关3事先约定一个加密密钥，供后续加解密使用。

S17，所述电子设备1根据所述加密密钥加密所述第二加密数据，得到加密数据包。

在本发明的至少一个实施例中，所述电子设备1根据所述加密密钥加密所述第二加密数据，得到加密数据包包括：

所述电子设备1采用AES加密算法或SM4算法，对所述第二加密数据进行加密，得到所述加密数据包。

S18，所述电子设备1根据所述加密数据包，向所述网关3发送通信建立请求。

在本发明的至少一个实施例中，所述电子设备1将所述加密数据包发送至所述网关3，以发送所述通信建立请求。

S19，所述电子设备1接收所述网关3发送的确认数据。

在本发明的至少一个实施例中，当所述网关3验证所述通信建立请求后，将向所述电子设备1发送确认数据。

S20，所述电子设备1根据所述确认数据，确认所述网关3。

在本发明的至少一个实施例中，当所述电子设备1确认所述网关3有效后，将通过所述网关3进行数据通信。

由于所述电子设备1确认所述网关3的方式与所述网关3确认所述电子设备1的方式类似，此处不赘述。

综上所述，当接收到数据传输指令时，获取所述电子设备中安全元件的签章；发送所述签章至所述密钥管理系统进行验证；当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；根据所述接入凭证生成第二加密数据；验证所述第一加密数据；当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；根据所述加密密钥加密所述第二加密数据，得到加密数据包；根据所述加密数据包，向所述网关发送通信建立请求；接收所述网关发送的确认数据；根据所述确认数据，确认所述网关。本发明能够有效保证数据传输的安全性，且加密方式简单、灵活，便于操作，并实现电子设备与网关间的双向认证，给用户带来更好的体验。

如图3所示，是本发明数据传输方法的另一较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

S20，所述密钥管理系统2接收所述电子设备1中安全元件的签章。

S21，所述密钥管理系统2验证所述签章。

S22，当所述签章通过验证时，所述密钥管理系统2从所述网关3获取接入凭证。

在本发明的至少一个实施例中，所述密钥管理系统2可以根据所述签章从所述网关3获取接入凭证，以使所述接入凭证与所述电子设备1的请求相对应。

当然，在其他实施例中，所述电子设备1也可以采取其他方式获取所述接入凭证，本发明不限制。

S23，所述密钥管理系统2根据所述接入凭证生成第一加密数据。

在本发明的至少一个实施例中，所述密钥管理系统2根据所述接入凭证生成第一加密数据包括：

所述密钥管理系统2获取所述电子设备1中安全元件的UID及所述电子设备1生成的第二随机数据，并采用安全散列(Secure Hash Algorithm，SHA)算法，结合所述接入凭证及所述UID，生成所述密钥管理系统2的第一会话密钥，所述密钥管理系统2采用AES加密算法，结合所述第一会话密钥，加密所述第二随机数据，以生成所述第一加密数据。

S24，所述密钥管理系统2生成第一随机数据。

S25，所述密钥管理系统2将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备1，以使所述电子设备1验证所述第一加密数据。

S26，当所述第一加密数据通过验证时，所述密钥管理系统2接收所述电子设备1发送的第二加密数据。

S27，所述密钥管理系统2验证所述第二加密数据。

S28，当所述第二加密数据通过验证时，所述密钥管理系统2向所述网关3发送所述第二加密数据。

在本发明的至少一个实施例中，所述密钥管理系统2向所述网关3发送所述第二加密数据包括：

所述密钥管理系统2采用网络协议HTTPS协议，向所述网关发送所述第二加密数据。

综上所述，所述密钥管理系统2接收所述电子设备中安全元件的签章；验证所述签章；当所述签章通过验证时，从所述网关获取接入凭证；根据所述接入凭证生成第一加密数据；生成第一随机数据；将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；验证所述第二加密数据；当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。本发明能够有效保证数据传输的安全性，且加密方式简单、灵活，便于操作，给用户带来更好的体验。

如图4所示，本发明数据传输方法的第三较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

S30，所述网关3接收所述电子设备1发送的通信建立请求，所述通信建立请求中包括加密数据包。

S31，所述网关3获取与所述电子设备1确认过的加密密钥。

S32，所述网关3根据所述加密密钥，解密所述加密数据包，得到第二UID。

S33，所述网关3确认所述第二UID是否有效。

在本发明的至少一个实施例中，所述网关3确认所述第二UID是否有效包括：

所述网关3根据所述第二UID，在所述第二加密数据中进行索引，当所述第二UID与所述第二加密数据中的UID一致时，所述网关3确定所述第二UID有效。

S34，当所述第二UID有效时，所述网关3解密所述密钥管理系统2发送的第二加密数据，得到第三随机数据。

S35，所述网关3确认所述第三随机数据是否有效；

在本发明的至少一个实施例中，所述网关3确认所述第三随机数据是否有效包括：

所述网关3将所述第三随机数据与所述第二加密数据中的第一随机数据进行匹配，当所述第三随机数据与所述第一随机数据匹配时，所述网关3确认所述第三随机数据有效。

S36，当所述第三随机数据有效时，所述网关3向所述电子设备1发送确认数据。

在本发明的至少一个实施例中，所述方法还包括：

所述网关3采用AES加密算法，在所述电子设备1及所述至少一个应用平台4间进行数据传输。

具体地，当待传输数据由所述电子设备1发送时，所述网关3解密所述待传输数据，并将所述待传输数据发送至所述至少一个应用平台4。

进一步地，当所述待传输数据由至少一个应用平台4发送时，所述网关3加密所述待传输数据，并将所述待传输数据发送至所述电子设备1。

综上所述，接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；获取与所述电子设备确认过的加密密钥；根据所述加密密钥，解密所述加密数据包，得到第二UID；确认所述第二UID是否有效；当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；确认所述第三随机数据是否有效；当所述第三随机数据有效时，向所述电子设备发送确认数据。本发明能够有效保证数据传输的安全性，且加密方式简单、灵活，便于操作，并实现电子设备与网关间的双向认证，给用户带来更好的体验。

如图5所示，是本发明数据传输装置的较佳实施例的功能模块图。所述数据传输装置11包括获取单元110、发送单元111、接收单元112、验证单元113、生成单元114、加密单元115及确认单元116。本发明所称的模块/单元是指一种能够被处理器13所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储器12中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

当接收到数据传输指令时，获取单元110获取所述电子设备1中安全元件的签章。

在本发明的至少一个实施例中，所述安全元件是一种芯片，能够防止外部恶意解析攻击，保护数据安全，在芯片中具有加密及解密逻辑电路，所述安全元件的写入私钥信息不可读取，其中针对算法的电磁场的处理，可以避免黑客通过分析所述安全元件的电磁等参数破解系统，这样，即使黑客可以破解一台设备，如果还要破解其它设备，黑客将花费同等的代价进行破解，而不会因为一台设备的破解，导致整个系统设备被破解。

在本发明的至少一个实施例中，所述安全元件中具有签章，通过验证所述签章可以进一步识别所述电子设备1的身份，以确认所述电子设备1是否具有相应操作的权限。

在本发明的至少一个实施例中，所述电子设备1接收到数据传输指令包括，但不限于以下任意一种方式：

(1)所述电子设备1检测到所述电子设备1掉线的信号。

具体地，在进行数据传输的过程中，如果所述电子设备1突然掉线，则数据传输中断，此时，所述电子设备1将重新建立连接，以实现数据的继续传输。

(2)所述电子设备1接收到所述电子设备1每隔预设时间间隔触发数据传输的信号。

具体地，所述电子设备1采取定时触发的方式。

进一步的，所述预设时间间隔可以由所述电子设备1进行配置，也可以由所述电子设备1接收用户的设置进行配置，本发明在此不作限制。

例如：所述预设时间间隔可以包括1小时、12小时等。

(3)所述电子设备1接收到所述电子设备1配置的在预设时间触发数据传输的信号。

具体地，所述预设时间可以由所述电子设备1进行配置，或者是，所述预设时间也可以由所述用户进行自定义配置，以更加满足用户的实际需求，本发明不限制。

进一步地，当由所述电子设备1配置所述预设时间时，所述电子设备1可以获取历史配置方式，并根据所述历史配置方式配置所述预设时间，以提高所述预设时间配置的准确性。

例如：所述预设时间可以为12月12日的上午9点等。

(4)所述电子设备1接收到用户触发数据传输的信号。

具体地，所述用户触发数据传输的信号可以包括，但不限于以下一种或者多种的组合：

1)所述用户触摸配置按键的信号。其中，所述配置按键可以是实体按键，也可以是虚拟按键。

2)所述用户输入的配置语音信号。例如：所述配置语音信号可以包括“启动数据传输”等语音。所述配置语音信号可以由所述用户进行自定义设置。当然，所述电子设备1还可以对所述用户输入的配置语音信号进行验证(包括验证语音的内容及语音的音色等)，以确定所述用户是否具有启动数据传输的权限。

发送单元111发送所述签章至所述密钥管理系统2进行验证。

在本发明的至少一个实施例中，所述密钥管理系统2可以联通所述电子设备1与所述网关3，所述密钥管理系统2具有解密并验证所述签章的权限。

当所述签章通过验证时，接收单元112接收所述密钥管理系统2发送的接入凭证、所述密钥管理系统2生成的第一加密数据及第一随机数据。

在本发明的至少一个实施例中，所述接入凭证由所述网关3生成，没有特定的数据格式及组成方式。

生成单元114根据所述接入凭证生成第二加密数据。

在本发明的至少一个实施例中，所述生成单元114根据所述接入凭证生成第二加密数据包括：

所述生成单元114获取所述电子设备1中安全元件的UID(User Identification，用户身份证明)，并采用ECC加密算法或SM2算法，结合所述接入凭证及所述UID，生成所述电子设备1的第二会话密钥，所述生成单元114采用高级加密标准AES(Advanced EncryptionStandard，高级加密标准)加密算法，结合所述第二会话密钥，加密所述第一随机数据，以生成所述第二加密数据。

具体地，所述ECC加密算法是一种非对称式加密算法，所述AES加密算法是一种对称式加密算法。所述生成单元114采用混合加密算法(非对称式加密算法ECC和对称式加密算法AES)进行加密，从而更加确保安全性。又由于所述第二随机数据的随机性，则更加保证了数据安全。

验证单元113验证所述第一加密数据。

在本发明的至少一个实施例中，所述验证单元113验证所述第一加密数据包括：

所述验证单元113解密所述第一加密数据，得到用于生成所述第一加密数据的第二随机数据，并确定所述第二随机数据是否正确，以验证所述第一加密数据。其中，所述第二加密数据由所述密钥管理系统2生成。

具体地，当所述第一加密数据正确时，执行后续步骤；当所述第一加密数据不正确时，停止数据传输的相关步骤。

当所述第一加密数据通过验证时，所述发送单元111将所述第二加密数据发送至所述密钥管理系统2进行验证。

当所述第二加密数据通过验证时，所述获取单元110获取与所述网关3确认过的加密密钥。

在本发明的至少一个实施例中，所述获取单元110与所述网关3事先约定一个加密密钥，供后续加解密使用。

加密单元115根据所述加密密钥加密所述第二加密数据，得到加密数据包。

在本发明的至少一个实施例中，所述加密单元115根据所述加密密钥加密所述第二加密数据，得到加密数据包包括：

所述加密单元115采用AES加密算法或SM4算法，对所述第二加密数据进行加密，得到所述加密数据包。

所述发送单元111根据所述加密数据包，向所述网关3发送通信建立请求。

在本发明的至少一个实施例中，所述发送单元111将所述加密数据包发送至所述网关3，以发送所述通信建立请求。

接收单元112接收所述网关3发送的确认数据。

在本发明的至少一个实施例中，当所述网关3验证所述通信建立请求后，将向所述接收单元112发送确认数据。

确认单元116根据所述确认数据，确认所述网关3。

在本发明的至少一个实施例中，当所述确认单元116确认所述网关3有效后，将通过所述网关3进行数据通信。

由于所述确认单元116确认所述网关3的方式与所述网关3确认所述电子设备1的方式类似，此处不赘述。

综上所述，当接收到数据传输指令时，获取所述电子设备中安全元件的签章；发送所述签章至所述密钥管理系统进行验证；当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；根据所述接入凭证生成第二加密数据；验证所述第一加密数据；当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；根据所述加密密钥加密所述第二加密数据，得到加密数据包；根据所述加密数据包，向所述网关发送通信建立请求；接收所述网关发送的确认数据；根据所述确认数据，确认所述网关。本发明能够有效保证数据传输的安全性，且加密方式简单、灵活，便于操作，并实现电子设备与网关间的双向认证，给用户带来更好的体验。

如图6所示，是本发明数据传输系统的较佳实施例的功能模块图。所述数据传输系统20包括接收模块220、验证模块221、获取模块222、生成模块223、发送模块224。本发明所称的模块/单元是指一种能够被处理设备23所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储设备22中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

接收模块220接收所述电子设备1中安全元件的签章。

验证模块221验证所述签章。

当所述签章通过验证时，获取模块222从所述网关3获取接入凭证。

在本发明的至少一个实施例中，所述获取模块222可以根据所述签章从所述网关3获取接入凭证，以使所述接入凭证与所述电子设备1的请求相对应。

当然，在其他实施例中，所述获取模块222也可以采取其他方式获取所述接入凭证，本发明不限制。

生成模块223根据所述接入凭证生成第一加密数据。

在本发明的至少一个实施例中，所述生成模块223根据所述接入凭证生成第一加密数据包括：

所述生成模块223获取所述电子设备1中安全元件的UID及所述电子设备1生成的第二随机数据，并采用安全散列算法，结合所述接入凭证及所述UID，生成所述密钥管理系统2的第一会话密钥，所述生成模块223采用AES加密算法，结合所述第一会话密钥，加密所述第二随机数据，以生成所述第一加密数据。

所述生成模块223生成第一随机数据。

发送模块224将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备1，以使所述电子设备1验证所述第一加密数据。

当所述第一加密数据通过验证时，所述接收模块220接收所述电子设备1发送的第二加密数据。

所述验证模块221验证所述第二加密数据。

当所述第二加密数据通过验证时，所述发送模块224向所述网关3发送所述第二加密数据。

在本发明的至少一个实施例中，所述发送模块224向所述网关3发送所述第二加密数据包括：

所述发送模块224采用网络协议HTTPS协议，向所述网关发送所述第二加密数据。

综上所述，接收所述电子设备中安全元件的签章；验证所述签章；当所述签章通过验证时，从所述网关获取接入凭证；根据所述接入凭证生成第一加密数据；生成第一随机数据；将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；验证所述第二加密数据；当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。本发明能够有效保证数据传输的安全性，且加密方式简单、灵活，便于操作，给用户带来更好的体验。

如图7所示，是本发明第二数据传输装置的较佳实施例的功能模块图。所述第二数据传输装置30包括第二接收单元330、第二获取单元331、第二解密单元332、第二确认单元333、第二发送单元334、第二传输单元335。本发明所称的模块/单元是指一种能够被第二处理器33所执行，并且能够完成固定功能的一系列计算机程序段，其存储在第二存储器32中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

第二接收单元330接收所述电子设备1发送的通信建立请求，所述通信建立请求中包括加密数据包。

第二获取单元331获取与所述电子设备1确认过的加密密钥。

第二解密单元332根据所述加密密钥，解密所述加密数据包，得到第二UID。

第二确认单元333确认所述第二UID是否有效。

在本发明的至少一个实施例中，所述第二确认单元333确认所述第二UID是否有效包括：

所述第二确认单元333根据所述第二UID，在所述第二加密数据中进行索引，当所述第二UID与所述第二加密数据中的UID一致时，所述第二确认单元333确定所述第二UID有效。

当所述第二UID有效时，所述第二解密单元332解密所述密钥管理系统2发送的第二加密数据，得到第三随机数据。

所述第二确认单元333确认所述第三随机数据是否有效。

在本发明的至少一个实施例中，所述第二确认单元333确认所述第三随机数据是否有效包括：

所述第二确认单元333将所述第三随机数据与所述第二加密数据中的第一随机数据进行匹配，当所述第三随机数据与所述第一随机数据匹配时，所述第二确认单元333确认所述第三随机数据有效。

当所述第三随机数据有效时，第二发送单元334向所述电子设备1发送确认数据。

在本发明的至少一个实施例中，所述方法还包括：

第二传输单元335采用AES加密算法，在所述电子设备1及所述至少一个应用平台4间进行数据传输。

具体地，当待传输数据由所述电子设备1发送时，所述第二传输单元335解密所述待传输数据，所述将所述待传输数据发送至所述至少一个应用平台4。

进一步地，当所述待传输数据由至少一个应用平台4发送时，所述第二传输单元335加密所述待传输数据，并将所述待传输数据发送至所述电子设备1。

综上所述，接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；获取与所述电子设备确认过的加密密钥；根据所述加密密钥，解密所述加密数据包，得到第二UID；确认所述第二UID是否有效；当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；确认所述第三随机数据是否有效；当所述第三随机数据有效时，向所述电子设备发送确认数据。本发明能够有效保证数据传输的安全性，且加密方式简单、灵活，便于操作，并实现电子设备与网关间的双向认证，给用户带来更好的体验。

如图8所示，是本发明实现数据传输方法的较佳实施例的电子设备的结构示意图。

所述电子设备1是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application SpecificIntegrated Circuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述电子设备1还可以是但不限于任何一种可与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(InternetProtocol Television，IPTV)、智能式穿戴式设备等。

所述电子设备1还可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。

所述电子设备1所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

在本发明的一个实施例中，所述电子设备1包括，但不限于，存储器12、处理器13，以及存储在所述存储器12中并可在所述处理器13上运行的计算机程序，例如数据传输程序。

本领域技术人员可以理解，所述示意图仅仅是电子设备1的示例，并不构成对电子设备1的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述电子设备1还可以包括输入输出设备、网络接入设备、总线等。

所称处理器13可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器13是所述电子设备1的运算核心和控制中心，利用各种接口和线路连接整个电子设备1的各个部分，及执行所述电子设备1的操作系统以及安装的各类应用程序、程序代码等。

所述处理器13执行所述电子设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个数据传输方法实施例中的步骤，例如图2所示的步骤S10、S11、S12、S13、S14、S15、S16、S17、S18、S19、S20。

或者，所述处理器13执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能，例如：当接收到数据传输指令时，获取所述电子设备中安全元件的签章；发送所述签章至所述密钥管理系统进行验证；当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；根据所述接入凭证生成第二加密数据；验证所述第一加密数据；当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；根据所述加密密钥加密所述第二加密数据，得到加密数据包；根据所述加密数据包，向所述网关发送通信建立请求；接收所述网关发送的确认数据；根据所述确认数据，确认所述网关。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器12中，并由所述处理器13执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述电子设备1中的执行过程。例如，所述计算机程序可以被分割成获取单元110、发送单元111、接收单元112、验证单元113、生成单元114、加密单元115及确认单元116。

所述存储器12可用于存储所述计算机程序和/或模块，所述处理器13通过运行或执行存储在所述存储器12内的计算机程序和/或模块，以及调用存储在存储器12内的数据，实现所述电子设备1的各种功能。所述存储器12可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器12可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

所述存储器12可以是电子设备1的外部存储器和/或内部存储器。进一步地，所述存储器12可以是集成电路中没有实物形式的具有存储功能的电路，如RAM(Random-AccessMemory，随机存取存储器)、FIFO(First In FirstOut，)等。或者，所述存储器12也可以是具有实物形式的存储器，如内存条、TF卡(Trans-flash Card)等等。

所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

结合图2，所述电子设备1中的所述存储器12存储多个指令以实现一种数据传输方法，所述处理器13可执行所述多个指令从而实现：当接收到数据传输指令时，获取所述电子设备中安全元件的签章；发送所述签章至所述密钥管理系统进行验证；当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；根据所述接入凭证生成第二加密数据；验证所述第一加密数据；当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；根据所述加密密钥加密所述第二加密数据，得到加密数据包；根据所述加密数据包，向所述网关发送通信建立请求；接收所述网关发送的确认数据；根据所述确认数据，确认所述网关。

根据本发明优选实施例，所述处理器13还执行多个指令包括：

获取所述电子设备中安全元件的用户身份证明UID；

采用椭圆加密算法ECC加密算法或SM2算法，结合所述接入凭证及所述UID，生成所述电子设备的第二会话密钥；

采用高级加密标准AES加密算法，结合所述第二会话密钥，加密所述第一随机数据，以生成所述第二加密数据。

根据本发明优选实施例，所述处理器13还执行多个指令包括：

采用AES加密算法或SM4算法，对所述第二加密数据进行加密，得到所述加密数据包。

具体地，所述处理器13对上述指令的具体实现方法可参考图2对应实施例中相关步骤的描述，在此不赘述。

如图9所示，是本发明实现数据传输方法的较佳实施例的密钥管理系统的结构示意图。

所述密钥管理系统2是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable GateArray，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述密钥管理系统2还可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。

所述密钥管理系统2所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

在本发明的一个实施例中，所述密钥管理系统2包括，但不限于，存储设备22、处理设备23，以及存储在所述存储设备22中并可在所述处理设备23上运行的计算机程序，例如数据传输程序。

本领域技术人员可以理解，所述示意图仅仅是密钥管理系统2的示例，并不构成对密钥管理系统2的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述密钥管理系统2还可以包括输入输出设备、网络接入设备、总线等。

所称处理设备23可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理设备23是所述密钥管理系统2的运算核心和控制中心，利用各种接口和线路连接整个密钥管理系统2的各个部分，及执行所述密钥管理系统2的操作系统以及安装的各类应用程序、程序代码等。

所述处理设备23执行所述密钥管理系统2的操作系统以及安装的各类应用程序。所述处理设备23执行所述应用程序以实现上述各个数据传输方法实施例中的步骤，例如图3所示的步骤S20、S21、S22、S23、S24、S25、S26、S27、S28。

或者，所述处理设备23执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能，例如：接收所述电子设备中安全元件的签章；验证所述签章；当所述签章通过验证时，从所述网关获取接入凭证；根据所述接入凭证生成第一加密数据；生成第一随机数据；将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；验证所述第二加密数据；当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储设备22中，并由所述处理设备23执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述密钥管理系统2中的执行过程。例如，所述计算机程序可以被分割成接收模块220、验证模块221、获取模块222、生成模块223、发送模块224。

所述存储设备22可用于存储所述计算机程序和/或模块，所述处理设备23通过运行或执行存储在所述存储设备22内的计算机程序和/或模块，以及调用存储在存储设备22内的数据，实现所述密钥管理系统2的各种功能。所述存储设备22可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储设备22可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

所述存储设备22可以是密钥管理系统2的外部存储器和/或内部存储器。进一步地，所述存储设备22可以是集成电路中没有实物形式的具有存储功能的电路，如RAM(Random-Access Memory，随机存取存储器)、FIFO(First In First Out，)等。或者，所述存储设备22也可以是具有实物形式的存储器，如内存条、TF卡(Trans-flash Card)等等。

所述密钥管理系统2集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

结合图3，所述密钥管理系统2中的所述存储设备22存储多个指令以实现一种数据传输方法，所述处理设备23可执行所述多个指令从而实现：接收所述电子设备中安全元件的签章；验证所述签章；当所述签章通过验证时，从所述网关获取接入凭证；根据所述接入凭证生成第一加密数据；生成第一随机数据；将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；验证所述第二加密数据；当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。

根据本发明优选实施例，所述处理设备23还执行多个指令包括：

获取所述电子设备中安全元件的UID及所述电子设备生成的第二随机数据；

采用安全散列算法，结合所述接入凭证及所述UID，生成所述密钥管理系统的第一会话密钥；

采用AES加密算法或SM4算法，结合所述第一会话密钥，加密所述第二随机数据，以生成所述第一加密数据。

根据本发明优选实施例，所述处理设备23还执行多个指令包括：

采用网络协议HTTPS协议，向所述网关发送所述第二加密数据。

具体地，所述处理设备23对上述指令的具体实现方法可参考图3对应实施例中相关步骤的描述，在此不赘述。

如图10所示，是本发明实现数据传输方法的较佳实施例的网关的结构示意图。

所述网关3是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application SpecificIntegrated Circuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述网关3还可以是但不限于任何一种可与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(InternetProtocol Television，IPTV)、智能式穿戴式设备等。

所述网关3还可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。

所述网关3所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

在本发明的一个实施例中，所述网关3包括，但不限于，第二存储器32、第二处理器33，以及存储在所述第二存储器32中并可在所述第二处理器33上运行的计算机程序，例如数据传输程序。

本领域技术人员可以理解，所述示意图仅仅是网关3的示例，并不构成对网关3的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述网关3还可以包括输入输出设备、网络接入设备、总线等。

所称第二处理器33可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述第二处理器33是所述网关3的运算核心和控制中心，利用各种接口和线路连接整个网关3的各个部分，及执行所述网关3的操作系统以及安装的各类应用程序、程序代码等。

所述第二处理器33执行所述网关3的操作系统以及安装的各类应用程序。所述第二处理器33执行所述应用程序以实现上述各个数据传输方法实施例中的步骤，例如图4所示的步骤S30、S31、S32、S33、S34、S35、S36。

或者，所述第二处理器33执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能，例如：接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；获取与所述电子设备确认过的加密密钥；根据所述加密密钥，解密所述加密数据包，得到第二UID；确认所述第二UID是否有效；当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；确认所述第三随机数据是否有效；当所述第三随机数据有效时，向所述电子设备发送确认数据。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述第二存储器32中，并由所述第二处理器33执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述网关3中的执行过程。例如，所述计算机程序可以被分割成第二接收单元330、第二获取单元331、第二解密单元332、第二确认单元333、第二发送单元334、第二传输单元335。

所述第二存储器32可用于存储所述计算机程序和/或模块，所述第二处理器33通过运行或执行存储在所述第二存储器32内的计算机程序和/或模块，以及调用存储在第二存储器32内的数据，实现所述网关3的各种功能。所述第二存储器32可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，第二存储器32可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

所述第二存储器32可以是网关3的外部存储器和/或内部存储器。进一步地，所述第二存储器32可以是集成电路中没有实物形式的具有存储功能的电路，如RAM(Random-Access Memory，随机存取存储器)、FIFO(First In First Out，)等。或者，所述第二存储器32也可以是具有实物形式的存储器，如内存条、TF卡(Trans-flash Card)等等。

所述网关3集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

结合图4，所述网关中的所述第二存储器32存储多个指令以实现一种数据传输方法，所述第二处理器33可执行所述多个指令从而实现：接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；获取与所述电子设备确认过的加密密钥；根据所述加密密钥，解密所述加密数据包，得到第二UID；确认所述第二UID是否有效；当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；确认所述第三随机数据是否有效；当所述第三随机数据有效时，向所述电子设备发送确认数据。

根据本发明优选实施例，所述处理器13还执行多个指令包括：

根据所述第二UID，在所述第二加密数据中进行索引；

当所述第二UID与所述第二加密数据中的UID一致时，确定所述第二UID有效。

根据本发明优选实施例，所述处理器13还执行多个指令包括：

将所述第三随机数据与所述第二加密数据中的第一随机数据进行匹配；

当所述第三随机数据与所述第一随机数据匹配时，确认所述第三随机数据有效。

根据本发明优选实施例，所述处理器13还执行多个指令包括：

采用AES加密算法，在所述电子设备及所述至少一个应用平台间进行数据传输。

具体地，所述处理器13对上述指令的具体实现方法可参考图4对应实施例中相关步骤的描述，在此不赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种数据传输方法，应用于电子设备，其特征在于，所述电子设备与密钥管理系统及网关相通信，所述方法包括：

当接收到数据传输指令时，获取所述电子设备中安全元件的签章；

发送所述签章至所述密钥管理系统进行验证；

当所述签章通过验证时，接收所述密钥管理系统发送的接入凭证、所述密钥管理系统生成的第一加密数据及第一随机数据；

根据所述接入凭证生成第二加密数据；

验证所述第一加密数据；

当所述第一加密数据通过验证时，将所述第二加密数据发送至所述密钥管理系统进行验证；

当所述第二加密数据通过验证时，获取与所述网关确认过的加密密钥；

根据所述加密密钥加密所述第二加密数据，得到加密数据包；

根据所述加密数据包，向所述网关发送通信建立请求；

接收所述网关发送的确认数据；

根据所述确认数据，确认所述网关。

2.如权利要求1所述的数据传输方法，其特征在于，所述根据所述接入凭证生成第二加密数据包括：

获取所述电子设备中安全元件的用户身份证明UID；

采用椭圆加密算法ECC加密算法或SM2算法，结合所述接入凭证及所述UID，生成所述电子设备的第二会话密钥；

采用高级加密标准AES加密算法，结合所述第二会话密钥，加密所述第一随机数据，以生成所述第二加密数据。

3.如权利要求1所述的数据传输方法，其特征在于，所述根据所述加密密钥加密所述第二加密数据，得到加密数据包包括：

采用AES加密算法或SM4算法，对所述第二加密数据进行加密，得到所述加密数据包。

4.一种数据传输方法，应用于密钥管理系统，其特征在于，所述密钥管理系统与电子设备及网关相通信，所述方法包括：

接收所述电子设备中安全元件的签章；

验证所述签章；

当所述签章通过验证时，从所述网关获取接入凭证；

根据所述接入凭证生成第一加密数据；

生成第一随机数据；

将所述接入凭证、所述第一加密数据及所述第一随机数据发送至所述电子设备，以使所述电子设备验证所述第一加密数据；

当所述第一加密数据通过验证时，接收所述电子设备发送的第二加密数据；

验证所述第二加密数据；

当所述第二加密数据通过验证时，向所述网关发送所述第二加密数据。

5.如权利要求4所述的数据传输方法，其特征在于，所述根据所述接入凭证生成第一加密数据包括：

获取所述电子设备中安全元件的UID及所述电子设备生成的第二随机数据；

采用安全散列算法，结合所述接入凭证及所述UID，生成所述密钥管理系统的第一会话密钥；

采用AES加密算法或SM4算法，结合所述第一会话密钥，加密所述第二随机数据，以生成所述第一加密数据。

6.如权利要求4所述的数据传输方法，其特征在于，所述向所述网关发送所述第二加密数据包括：

采用网络协议HTTPS协议，向所述网关发送所述第二加密数据。

7.一种数据传输方法，应用于网关，其特征在于，所述网关与密钥管理系统、电子设备及至少一个应用平台相通信，所述方法包括：

接收所述电子设备发送的通信建立请求，所述通信建立请求中包括加密数据包；

获取与所述电子设备确认过的加密密钥；

根据所述加密密钥，解密所述加密数据包，得到第二UID；

确认所述第二UID是否有效；

当所述第二UID有效时，解密所述密钥管理系统发送的第二加密数据，得到第三随机数据；

确认所述第三随机数据是否有效；

当所述第三随机数据有效时，向所述电子设备发送确认数据。

8.如权利要求7所述的数据传输方法，其特征在于，所述确认所述第二UID是否有效包括：

根据所述第二UID，在所述第二加密数据中进行索引；

当所述第二UID与所述第二加密数据中的UID一致时，确定所述第二UID有效。

9.如权利要求7所述的数据传输方法，其特征在于，所述确认所述第三随机数据是否有效包括：

将所述第三随机数据与所述第二加密数据中的第一随机数据进行匹配；

当所述第三随机数据与所述第一随机数据匹配时，确认所述第三随机数据有效。

10.如权利要求7所述的数据传输方法，其特征在于，所述方法还包括：

采用AES加密算法，在所述电子设备及所述至少一个应用平台间进行数据传输。