CN115549894A - 加解密处理方法及相关设备 - Google Patents

Abstract

本申请提供一种加解密处理方法及相关设备，该方法包括：在第一设备与第二设备之间建立通信连接的情况下，该第一设备向该第二设备发送密钥协商信息；该第一设备接收来自该第二设备的第一密钥，该第一密钥为基于该密钥协商信息生成；该第一设备采用该第一密钥对该第一设备内的数据解密；在该第一设备与该第二设备之间的通信连接断开的情况下，该第一设备对该第一设备内的数据加密。本申请能够解决每次数据加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的问题。

Description

加解密处理方法及相关设备

技术领域

本发明涉及数据加密技术领域，尤其涉及一种加解密处理方法及相关设备。

背景技术

数据加密技术指利用密钥和加密函数对原始数据/文件进行数学计算进行加密，从而得到一个无法直接识别或利用的密文；经过加密后的数据/文件则需要通过密钥和解密函数进行数学计算，才能还原出原始的数据/文件。理想情况下，只有经过授权的人员才能阅读密文要传达的信息。加密本身并不能防止传输被拦截，但它确实可以阻止拦截器理解其内容。由于各种技术原因，加密方法通常使用由算法生成的伪随机密钥。虽然任何加密的消息都可以被破解，但对于一个好的加密算法来说，破解需要相当的技能和计算能力。经授权阅读消息的人可以使用发送方提供的密钥轻松地解密消息，但未经授权的人则不能。密码学的历史充满了加密方法；早期的加密方法经常用于军事通信。从那时起，在现代计算中出现了许多加密技术，加密技术在现代计算中变得越来越普遍。现代密码学通常使用公钥或对称密钥。现代的加密技术依赖于这样一个事实:现代计算机不能有效地破译密钥，以确保密钥的安全性。

目前市场上的文件加密用的最多的最简单的方法是设置一个安全密码文件或文件夹,打开文件夹或者文件时输入一个密码进入,这只能说文件保护,不能被称为一个文件加密,因为没有加密文件的本身。这种加密方式可以通过其他手段绕过输入密码的操作直接打开文件。另一种文件加密方式是将文件本身的内容，通过加密算法，将明文转化为密文。但是，这些加密方式均需要用户手动输入加/解密秘码才能实现数据/文件的加/解密，解密过程不方便，同时也存在忘记密码导致数据/文件很难复原的风险。

发明内容

本申请实施例公开了一种加解密处理方法及相关设备，能够解决现有的相关的数据或文件的加解密，每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的问题。

第一方面，本申请提供一种加解密处理方法，该方法包括：在第一设备与第二设备之间建立通信连接的情况下，该第一设备向该第二设备发送密钥协商信息；该第一设备接收来自该第二设备的第一密钥，该第一密钥为基于该密钥协商信息生成；该第一设备采用该第一密钥对该第一设备内的数据解密，在该第一设备与该第二设备之间的通信连接断开的情况下，该第一设备对该第一设备内的数据加密。

在本申请中，两个设备建立通信连接后，第一设备可以与第二设备交互获取数据加解密的密钥实现自身数据的加解密，无需手动输入加解密密码，从而解决了每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的技术问题。另外，现有方案中数据加解密的密码，复杂度不够，容易被破解，进而影响数据的安全性，而本申请中，设备中数据的加解密的密码需要与另外一个设备交互来动态生成的，不易被破解，进而可以增加数据的安全性。另外，只有在第一设备和第二设备之间建立通信连后，该第一设备内的数据才被解密，在该通信连接断开后第一设备又自动为自身的数据加密，可以有效地防御了多种针对主机的物理攻击，比如午餐攻击等，从而降低了数据泄露的风险，保证了数据的安全性。

在一种可能的实施方式中，上述第一设备采用该第一密钥对该第一设备内的数据解密，包括：在第一计算值与第二计算值匹配的情况下，该第一设备采用该第一密钥对该第一设备内的数据解密，其中，该第一计算值为通过不可逆算法对该第一密钥计算得到，该第二计算值为通过该不可逆算法对第二密钥计算得到，该第二密钥为该第一设备生成。

在本申请中，通过不可逆算法对密钥计算得到的计算值来对第一密钥进行验证，验证成功才解密数据，一方面可以确保第一密钥的安全性和正确性，保证了数据的安全，另一方面在具体实现中第二计算值存储在第一设备中，由于第二计算值为采用不可逆算法计算得到，因此即使第二计算值泄露也无法计算得到密钥，进而保证了密钥的安全。

在一种可能的实施方式中，第一公钥与第一私钥为该第一设备生成的非对称加密算法的一对密钥，第二公钥和第二私钥为该第二设备生成的该非对称加密算法的一对密钥；

上述密钥协商信息包括该第一公钥；该第一密钥为基于该密钥协商信息生成，包括：该第一密钥为基于该第一公钥和该第二私钥生成；

上述第二密钥为该第一设备生成，包括：该第二密钥为该第一设备基于该第一私钥和来自该第二设备的该第二公钥生成。

在本申请中，第一设备和第二设备各自生成一对非对称加密算法的公钥和秘钥，并各自将生成的公钥发送给对方，然后，各自基于获取的公钥和自身生成的私钥生成数据加解密的密钥，通过这种方式生成的数据加解密的密钥安全性更高，无法轻易被破解。

在一种可能的实施方式中，上述第一设备对该第一设备内的数据加密之后，还包括：该第一设备销毁该第一密钥。

在本申请中，加密完成后第一设备销毁加密的密钥，即第一设备中不存储加密的密钥，从而极大地降低了密钥被窃取而泄露的风险。

第二方面，本申请提供一种加解密处理方法，该方法包括：在第二设备与第一设备之间建立通信连接的情况下，该第二设备接收来自该第一设备的密钥协商信息；该第二设备基于该密钥协商信息生成第一密钥；该第二设备向该第一设备发送该第一密钥，该第一密钥用于对该第一设备内的数据解密。

在本申请中，两个设备建立通信连接后，第二设备动态生成数据加解密的密钥发送给第一设备，使得第一设备可以基于该密钥自动对自身的数据进行加解密，无需手动输入加解密密码，从而解决了每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的技术问题。另外，现有方案中数据加解密的密码，复杂度不够，容易被破解，进而影响数据的安全性，而本申请中，设备中数据的加解密的密码需要与另外一个设备交互来动态生成的，不易被破解，进而可以增加数据的安全性。

在一种可能的实施方式中，上述密钥协商信息包括非对称加密算法的第一公钥；该第二设备基于该密钥协商信息生成第一密钥，包括：该第二设备基于该第一公钥和第一私钥生成该第一密钥，该第一私钥为该第二设备生成。

在本申请中，第二设备是基于自身生成的一个私钥和从第一设备中获取的一个公钥来生成第一密钥的，通过这种方式生成的数据加解密的密钥安全性更高，无法轻易被破解。

第三方面，本申请提供一种装置，该装置包括：

发送单元，用于在第一设备与第二设备之间建立通信连接的情况下，向该第二设备发送密钥协商信息；

接收单元，用于接收来自该第二设备的第一密钥，该第一密钥为基于该密钥协商信息生成；

解密单元，用于采用该第一密钥对该第一设备内的数据解密；

加密单元，用于在所述第一设备与所述第二设备之间的通信连接断开的情况下，对所述第一设备内的数据加密。

一种可能的实施方式中，上述解密单元具体用于：在第一计算值与第二计算值匹配的情况下，采用该第一密钥对该第一设备内的数据解密，其中，该第一计算值为通过不可逆算法对该第一密钥计算得到，该第二计算值为通过该不可逆算法对第二密钥计算得到，该第二密钥为该第一设备生成。

一种可能的实施方式中，第一公钥与第一私钥为该第一设备生成的非对称加密算法的一对密钥，第二公钥和第二私钥为该第二设备生成的该非对称加密算法的一对密钥；

该密钥协商信息包括该第一公钥；该第一密钥为基于该密钥协商信息生成，包括：该第一密钥为基于该第一公钥和该第二私钥生成；

该第二密钥为该第一设备生成，包括：该第二密钥为该第一设备基于该第一私钥和来自该第二设备的该第二公钥生成。

一种可能的实施方式中，上述装置还包括销毁单元，用于在上述加密单元对该第一设备内的数据加密之后，销毁该第一密钥。

第四方面，本申请提供一种装置，该装置包括：

接收单元，用于在第二设备与第一设备之间建立通信连接的情况下，接收来自该第一设备的密钥协商信息；

生成单元，用于基于该密钥协商信息生成第一密钥；

发送单元，用于向该第一设备发送该第一密钥，该第一密钥用于对该第一设备内的数据解密。

一种可能的实施方式中，上述密钥协商信息包括非对称加密算法的第一公钥；上述生成单元具体用于：

基于该第一公钥和第一私钥生成该第一密钥，该第一私钥为该第二设备生成。

第五方面，本申请提供一种装置，该装置可以包括处理器和存储器，用于实现上述第一方面及其可能的实施方式描述的加解密处理方法。该存储器与处理器耦合，处理器执行存储器中存储的计算机程序时，可以使得该装置实现上述第一方面或第一方面任一种可能的实现方式所述的方法。该装置还可以包括通信接口，通信接口用于该装置与其它装置进行通信，示例性的，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。该通信接口包括接收接口和发送接口，该接收接口用于接收消息，该发送接口用于发送消息。

在一种可能的实现中，该装置可以包括：

存储器，用于存储计算机程序；

处理器，用于在第一设备与第二设备之间建立通信连接的情况下，通过发送接口向该第二设备发送密钥协商信息；并通过接收接口接收来自该第二设备的第一密钥，该第一密钥为基于该密钥协商信息生成；然后，采用该第一密钥对该第一设备内的数据解密；并且在该第一设备与该第二设备之间的通信连接断开的情况下，对该第一设备内的数据加密。

需要说明的是，本申请中存储器中的计算机程序可以预先存储也可以使用该装置时从互联网下载后存储，本申请对于存储器中计算机程序的来源不进行具体限定。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或连接，其可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。

第六方面，本申请提供一种装置，该装置可以包括处理器和存储器，用于实现上述第二方面及其可能的实施方式描述的加解密处理方法。该存储器与处理器耦合，处理器执行存储器中存储的计算机程序时，可以使得该装置实现上述第二方面或第二方面任一种可能的实现方式所述的方法。该装置还可以包括通信接口，通信接口用于该装置与其它装置进行通信，示例性的，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。该通信接口包括接收接口和发送接口，该接收接口用于接收消息，该发送接口用于发送消息。

在一种可能的实现中，该装置可以包括：

存储器，用于存储计算机程序；

处理器，用于在第二设备与第一设备之间建立通信连接的情况下，通过接收接口接收来自该第一设备的密钥协商信息；然后，基于该密钥协商信息生成第一密钥；并通过发送接口向该第一设备发送该第一密钥，该第一密钥用于对该第一设备内的数据解密。

需要说明的是，本申请中存储器中的计算机程序可以预先存储也可以使用该装置时从互联网下载后存储，本申请对于存储器中计算机程序的来源不进行具体限定。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或连接，其可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。

第七方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行以实现上述第一方面及其可能的实施方式中任意一项所述的方法。

第八方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行以实现上述第二方面及其可能的实施方式中任意一项所述的方法。

第九方面，本申请提供一种计算机程序产品，当计算机程序产品在计算机上运行时，使得该计算机执行如上述第一方面任意一项所述的方法。

第十方面，本申请提供一种计算机程序产品，当计算机程序产品在计算机上运行时，使得该计算机执行如上述第二方面任意一项所述的方法。

可以理解地，上述提供的第三方面、第四方面、第五方面和第六方面所述的装置、第七方面和第八方面所述的计算机存储介质、第九方面和第十方面所述的计算机程序产品均用于执行第一方面和第二方面中任一项所提供的方法。因此，其所能达到的有益效果可参考对应方法中的有益效果，此处不再赘述。

附图说明

下面将对本申请实施例中所需要使用的附图作介绍。

图1所示为本申请实施例提供的系统架构示意图；

图2所示为本申请提供的加解密处理方法中注册流程示意图；

图3所示为本申请提供的加解密处理方法中身份认证流程示意图；

图4所示为本申请提供的加解密处理方法中密钥协商流程程示意图；

图5A所示为本申请提供的加解密处理方法中手机端的流程示意图；

图5B所示为本申请提供的加解密处理方法中电脑端的流程示意图；

图6所示为本申请提供的装置的逻辑结构示意图；

图7所示为本申请提供的另一种装置的逻辑结构示意图；

图8所示为本申请提供的装置的硬件结构示意图；

图9所示为本申请提供的另一种装置的硬件结构示意图。

具体实施方式

下面结合附图对本申请的实施例进行描述。

参见图1，图1示例性示出了本申请适用的系统架构示意图。该系统架构包括第一设备101和第二设备102，第一设备101和第二设备102之间可以建立通信连接。

示例性地，第一设备101可以包括但不限于平板电脑、个人电脑、台式电脑、电视机、车载显示器等以及智能冰箱、智能空调、智能音箱、智能机器人等物联网设备。

示例性地，该第二设备102可以包括但不限于任何一种基于智能操作系统的手持式电子产品，其可与用户通过键盘、虚拟键盘、触摸板、触摸屏以及声控设备等输入设备来进行人机交互，诸如智能手机、平板电脑、手持计算机、可穿戴电子设备等。其中，智能操作系统包括但不限于任何通过向设备提供各种应用来丰富设备功能的操作系统，诸如安卓Android、IOS、鸿蒙系统HarmonyOS、Windows和MAC等系统。

需要说明的是，本申请对上述第一设备和第二设备的具体形态不做限制，上述描述的第一设备的具体形态也可以是第二设备的具体形态，上述描述的第二设备的具体形态也可以是第一设备的具体形态等等。

示例性地，第一设备101和第二设备102之间可以通过有线连接方式或无线连接方式建立通信连接。其中，有线连接方式例如可以包括数据线连接等等；无线连接方式例如可以包括无线电技术连接方式，例如蓝牙或者无线保真(Wireless Fidelity，WiFi)等连接方式。

由于现有的相关的数据或文件的加解密，每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险。为了解决这个技术问题，本申请提供了一种加解密处理方法。该方法可以适用于上述图1所示的系统架构。

本申请提供的加解密处理方法涉及两个设备，分别称为第一设备和第二设备，该第一设备可以是上述图1中所述的第一设备101，该第二设备可以是上述图2中的第二设备102。该方法是在该第一设备和第二设备之间建立通信连接的情况下实现的，该第一设备和该第二设备之间可以通过上述有线连接方式或无线连接方式建立通信连接。

在具体实施例中，本申请提供的加解密处理方法可以包括三个流程：注册流程、身份认证流程和密钥协商流程。其中，注册流程和身份认证流程是为了进一步保证数据的安全性，密钥协商流程主要是第一设备和第二设备动态交互协商第一设备中数据的加解密的密钥的过程，当协商得到密钥后第一设备采用该密钥自动对自身中的数据进行解密，当第一设备和第二设备的通信连接断开后，第一设备自动通过协商得到的密钥对自身的数据进行加密，从而解决了现有相关的数据或文件的加解密，每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的技术问题。在一种可能的实施方式中，本申请提供的加解密处理方法可以只包括该密钥协商流程。下面示例性地介绍本申请提供的加解密处理方法。

一种可能的实施方式中，在第一设备和第二设备首次建立通信连接的情况下，第二设备在第一设备中进行注册。具体的注册的交互流程示意图可以参见图2，包括但不限于如下步骤：

201、第二设备向第一设备发送连接请求。

在具体实施例中，第二设备可以实时监测是否满足与第一设备建立通信连接的条件，在满足建立通信连接条件的情况下，第二设备可以向第一设备发送连接请求。

示例性地，若该第一设备与该第二设备通过数据线建立通信连接，则该满足建立通信连接的条件可以为该第二设备监测到已经通过数据线物理连接该第一设备。若该第一设备与该第二设备通过蓝牙建立通信连接，则该满足建立通信连接的条件可以为该第二设备监测到该第一设备开启蓝牙功能。若该第一设备与该第二设备通过WIFI建立通信连接，则该满足建立通信连接的条件可以为该第二设备监测到该第一设备接入同一个WIFI网络。

202、第一设备接收该连接请求，并建立与第二设备的通信连接。

具体的，第一设备接收到第二设备发送的连接请求后，响应于该连接请求，完成与第二设备通信连接的建立。

203、第一设备基于该连接请求中的信息确定该通信连接为首次连接。

在具体实施例中，上述第二设备向第一设备发送的连接请求中包括指示是否为首次连接的信息。示例性地，该连接请求可以是一个数据包，该指示是否为首次连接的信息例如可以是该连接请求数据包中指定位置的信息，若该指定位置的信息为信息A，则指示为首次连接，若该指定位置中的信息为信息B，则指示为非首次连接。该信息A和信息B可以是任意预设的信息，本申请对此不作限制。示例性地，例如若该指定位置中的信息为“Register”，则指示为首次连接，若该指定位置中的信息为“Login”，则指示为非首次连接。

上述第一设备接收到上述连接请求后，解析该连接请求获取到该请求中的上述指定位置的信息为信息A，指示该通信连接为首次连接。

需要说明的是，上述信息A和信息B中的A和B是为了区分不同的信息，没有其它的意思。

204、第一设备向第二设备发送注册邀请请求。

在确定上述通信连接为首次连接后，第一设备向第二设备发送注册邀请请求，该注册邀请请求中包括获取的注册信息类型的指示信息，例如指示需要获取注册的用户名和手机号等等。

205、第二设备接收该注册邀请请求。

206、第二设备基于该注册邀请请求向第一设备发送注册信息。

第二设备接收到第一设备发送的注册邀请请求后，解析该注册邀请请求，获取注册信息类型的指示信息，通过用户界面将需要获取的注册信息显示在显示屏中提供给用户，然后接收用户输入的注册信息，并将注册信息发送给第一设备。此外，第二设备接收用户输入的注册信息后，还将该注册信息进行保存。

一种可能的实施方式中，上述第二设备向第一设备发送的注册信息是加密后再发送的。该加密的密钥(为了便于后续的描述，可以称为第一预设密钥)可以是预先设置在第二设备中的，且对应的解密密钥(为了便于后续的描述，可以称为第二预设密钥)也预先设置在第一设备中。

可选的，可以通过非对称加密算法实现对该注册信息的加密，那么，该第一预设密钥可以是该非对称加密算法的公钥，该第二预设密钥可以是该非对称加密算法的私钥。示例性地，该非对称加密算法例如可以是国密SM2算法、RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或椭圆曲线加密算法ECC等等。

或者，可选的，可以通过对称加密算法实现对该注册信息的加密，这种情况下，上述第一预设密钥和第二预设密钥相同。该对称加密算法例如可以是国密SM1算法、国密SM4算法、DES算法、3DES算法、TDEA算法、Blowfish算法、RC5算法或IDEA算法等等。

207、第一设备接收该注册信息并保存。

具体实施例中，第一设备接收到上述第二设备发送的注册信息后，将该注册信息保存到数据库中完成注册。可选的，若接收到的是加密的注册信息，那么第一设备通过对应的算法和上述第二预设密钥对加密的注册信息进行解密，从而获取到解密后的注册信息，并将其保存。

一种可能的实施方式中，上述第二设备接收到上述第一设备发送的注册邀请请求后，还可以向该第一设备发送该第二设备自身的标识信息，该标识信息不会更改并且可以唯一标识该第二设备。例如，若该第二设备为手机，那么该标识信息可以是国际移动设备识别码(International Mobile Equipment Identity，IMEI)或者国际移动用户识别码(IMSI:International Mobile Subscriber Identification Number，IMSI)等等。第一设备接收到该标识信息后，可以将该标识信息与上述注册信息一起保存到数据库中。

一种可能的实施方式中，上述第二设备完成在第一设备上的注册操作后，在后续第二设备与第一设备建立通信连接后，可以通过上述注册信息和/或上述第二设备的标识信息进行身份认证，身份认证通过后才可以进一步通信，从而可以保证第一设备中的数据安全。

具体的，不管是首次连接还是非首次连接，第二设备与第一设备之间进一步的数据通信可以在完成第二设备的身份认证之后进行，具体的身份认证流程示意图可以参见图3，包括但不限于如下步骤：

301、第一设备向第二设备发送认证请求。

在具体实施例中，若第二设备和第一设备为首次连接，那么，在完成上述注册流程后第一设备即可向第二设备发送身份认证的认证请求。若第二设备和第一设备为非首次连接，那么，第二设备和第一设备之间建立通信连接之后，第一设备即可向第二设备发送身份认证的认证请求。

该认证请求可以是预设的一个数据包，该数据包中可以包括用于指示身份认证的信息，该指示身份认证的信息可以是任意预设的信息，本申请对此不做限制。示例性地，例如该指示身份认证的信息可以为字符串“Certification”或者字母“C”等信息。

302、第二设备接收该认证请求。

303、第二设备基于该认证请求向第一设备发送已注册信息和/或第二设备的标识信息。

第二设备接收到上述认证请求后，响应于该认证请求，向第一设备发送已经在该第一设备中注册的注册信息和/或该第二设备的标识信息。

一种可能的实施方式中，该第二设备向第一设备发送的已注册信息和/或该第二设备的标识信息是加密后再发送的。基于上述的描述可知，可以预先在第二设备中设置用于加密的上述第一预设密钥，以及预先在第一设备中设置用于解密的上述第二预设密钥，那么，可以通过加密算法和该第一预设密钥对该已注册信息和/或该第二设备的标识信息进行加密。然后，将加密后的已注册信息和/或该第二设备的标识信息发送给第一设备。

304、第一设备接收该已注册信息和/或第二设备的标识信息，将该已注册信息和/或第二设备的标识信息与存储的注册信息和/或第二设备的标识信息比较。

305、在接收的已注册信息和/或第二设备的标识信息与存储的注册信息和/或第二设备的标识信息匹配的情况下，第一设备确定身份认证成功。

第一设备接收到上述已注册信息和/或该第二设备的标识信息后，可以将该已注册信息和/或该第二设备的标识信息，与注册流程中存储在该第一设备中的注册信息和/或该第二设备的标识信息比较，若接收到的已注册信息和/或该第二设备的标识信息与存储的注册信息和/或该第二设备的标识信息相同，那么可以确定第二设备的身份认证成功。

一种可能的实施方式中，若第一设备接收到的已注册信息和/或该第二设备的标识信息为加密后的信息，那么可以通过上述预设的第二预设密钥解密得到解密后的信息，然后再将解密后的已注册信息和/或该第二设备的标识信息与存储的注册信息和/或该第二设备的标识信息比较，若相同则确定第二设备的身份认证成功。

在具体实施例中，上述注册流程和身份认证流程是可选的，该两个流程主要是为了进一步保证与第一设备连接的第二设备是否为合法安全的设备，以保证第一设备中的数据的安全。

上述第一设备和第二设备建立通信连接之后，可以进一步实现第一设备和第二设备之间的密钥协商流程。或者，另一种可能的实施方式中，上述第一设备和第二设备建立通信连接并完成第二设备的身份认证流程之后，可以进一步实现第一设备和第二设备之间的密钥协商流程。具体的密钥协商流程可以参见图4，包括但不限于如下步骤：

401、第一设备向第二设备发送密钥协商请求。

在具体实施例中，上述第一设备和第二设备建立通信连接之后，或者，在上述第一设备和第二设备建立通信连接并完成第二设备的身份认证流程之后，第一设备可以向第二设备发送密钥协商请求。

该密钥协商请求包括生成密钥的指示信息，该指示信息可以是任意预设的信息或者按照预设程序计算得到的信息等，本申请对该指示信息的具体内容不做限制。示例性地，该指示信息可以是一种非对称加密算法(为了便于后面的描述，可以称为第一非对称加密算法)的公钥(为了便于后面的描述，可以称该公钥为公钥A)，该公钥A是该第一设备和第二设备首次建立通信连接后该第一设备生成并存储的密钥。在生成该公钥A的同时还生成了该第一非对称加密算法的私钥(简称为私钥A)，该公钥A和私钥A是一对加解密的密钥。或者，示例性地，该指示信息可以是任意预设的信息，例如可以是“negotiation”或者“N”等等，用于指示第二设备生成密钥。

上述第一非对称加密算法可以是国密SM2算法、RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或椭圆曲线加密算法ECC等等。

一种可能的实施方式中，上述第一设备向第二设备发送的密钥协商请求可以是加密之后发送的。具体的，在上述第一设备和第二设备建立通信连接之后，在第一设备向第二设备发送密钥协商请求之前，第二设备可以将一个在密钥协商流程中使用的密钥(为了便于描述，简称为协商密钥)发送给第一设备，第一设备将接收到的协商密钥保存起来以备后续使用。该协商密钥可以是任意一种加密算法的密钥，例如可以是国密算法SM1或者国密算法SM4等加密算法的密钥，为了便于后面的描述，可以将对协商密钥加密的算法称为协商密钥加密算法。基于此，上述第一设备可以通过该协商密钥和该协商密钥加密算法对该密钥协商请求进行加密，然后将加密后的密钥协商请求发送给第二设备。由于第一设备已经从第二设备获取到该协商密钥，因此，第一设备接收到通过该协商密钥加密的密钥协商请求，可以采用该协商密钥对该密钥协商请求解密。

可选的，可以通过前述介绍的预先设置在第二设备中的第一预设密钥及其对应的加密算法对上述协商密钥加密后再发送给第一设备。

一种可能的实施方式中，第二设备可以在上述图2所述注册流程的步骤206中该第二设备基于注册邀请请求向第一设备发送注册信息时，可以同时一起将该协商密钥发送给第一设备。或者，第二设备可以在上述图3所述身份认证流程的步骤303中该第二设备基于该认证请求向第一设备发送已注册信息和/或第二设备的标识信息时，可以同时一起将该协商密钥发送给第一设备。

402、第二设备接收该密钥协商请求。

403、第二设备基于该密钥协商请求向第一设备发送第一密钥。

第二设备接收到上述密钥协商请求后，响应于该请求生成第一密钥。

一种可能的实施方式中，若上述密钥协商请求中包括的生成密钥的指示信息为公钥A，那么，第二设备基于该公钥A生成上述第一密钥。具体的，在上述第一设备和第二设备首次建立通信连接之后，第二设备也生成了一对上述第一非对称加密算法的公钥和私钥并进行存储，该公钥和私钥可以分别称为公钥B和私钥B。需要说明的是，公钥A、私钥A、公钥B和私钥B中的A和B只是用于区分不同的公钥和私钥，没有其它的含义。并且，第二设备将公钥B发送给了第一设备，该公钥B用于与第一设备自身生成的私钥A一起生成数据加解密的密钥。

可选的，可以通过前述介绍的预先设置在第二设备中的第一预设密钥及其对应的加密算法对上述公钥B加密后再发送给第一设备。可选的，第二设备可以在上述图2所述注册流程的步骤206中该第二设备基于注册邀请请求向第一设备发送注册信息时，可以同时一起将该公钥B发送给第一设备。或者，第二设备可以在首次与第一设备建立通信连接时，在上述图3所述身份认证流程的步骤303中该第二设备基于该认证请求向第一设备发送已注册信息和/或第二设备的标识信息时，可以同时一起将该公钥B发送给第一设备。

基于上述的描述，第二设备从该密钥协商请求中获得公钥A，然后基于该公钥A和自身生成的私钥B通过上述第一非对称加密算法生成了上述第一密钥。

另一种可能的实施方式中，若上述密钥协商请求中包括的生成密钥的指示信息为上述任意预设的信息，那么，第二设备基于该指示信息按照预设的算法计算生成该第一密钥。

第二设备生成上述第一密钥后，将该第一密钥发送给第一设备，发送完成后为了避免密钥泄露可以将该第一密钥删除以销毁。

一种可能的实施方式中，该第一密钥是加密后才发送给第一设备的。具体的，第二设备可以通过上述协商密钥和协商密钥加密算法对该第一密钥进行加密，然后将加密后的第一密钥发送给第一设备。

404、第一设备接收该第一密钥，采用该第一密钥对第一设备内的数据进行解密。

第一设备接收到上述第一密钥后，一种可能的实施方式中，该第一密钥没有加密，则直接基于该第一密钥执行后续的操作；另一种可能的实施方式中，若该第一密钥被加密，由于第一设备已经从第二设备获取到上述协商密钥，因此，第一设备接收到通过该协商密钥加密的第一密钥，可以采用该协商密钥对该第一密钥解密后，再基于解密后的该第一密钥执行后续的操作。

一种可能的实施方式中，若此次通信连接为第一设备与第二设备之间的首次通信连接，那么，由于第一设备中的数据还未被加密，所以不用执行解密的操作。当检测到该首次通信连接断开时，第一设备可以通过上述接收到的第一密钥对自身设备中的数据进行加密，并且在加密完成后将该第一密钥从第一设备中删除以销毁该第一密钥。

一种可能的实施方式中，若此次通信连接为第一设备与第二设备之间的非首次通信连接，那么，在此次通信连接的前一次通信连接断开时，第一设备采用上述第一密钥对第一设备中的数据进行了加密，因此，在此次通信连接中，第一设备接收到上述第二设备发送的第一密钥后，可以采用该密钥对第一设备中的数据进行解密，从而使得用户可以查阅该第一设备中的数据等。同样的，当检测到此次通信连接断开时，第一设备可以通过上述接收到的第一密钥对自身设备中的数据进行加密，并且在加密完成后将该第一密钥从第一设备中删除以销毁该第一密钥。

一种可能的实施方式中，第一设备接收到上述第一密钥之后，为了确保该第一密钥的安全性和正确性，可以先判断该第一密钥与第二密钥是否匹配。该第二密钥可以是第一设备在与第二设备建立首次通信连接后，基于从第二设备接收到的公钥B和自身生成的私钥A通过上述第一非对称加密算法生成并存储的密钥。由于公钥A和私钥A为该第一非对称加密算法的一对密钥，由于公钥B和私钥B为该第一非对称加密算法的另一对密钥，因此，基于公钥A和私钥B通过该第一非对称加密算法计算得到的密钥，与基于公钥B和私钥A通过该第一非对称加密算法计算得到的密钥为长度和内容相同的密钥。基于此，若上述第一密钥和第二密钥相同，则可以确定上述第一密钥为安全且正确的数据加解密的密钥，可以采用该第一密钥对第一设备中的数据进行加解密。若该第一密钥和第二密钥不相同，则表明接收到的该第一密钥不是安全正确的密钥，可能存在安全风险，可以尽快删除以销毁该第一密钥。

另一种可能的实施方式中，上述判断该第一密钥与第二密钥是否匹配，可以包括判断该第一密钥的第一计算值与该第二密钥的第二计算值是否匹配。具体实施例中，该第一计算值可以为通过不可逆算法对该第一密钥计算得到，该第二计算值为通过该不可逆算法对该第二密钥计算得到。可选的，该不可逆算法可以为md5算法，mac算法，sha1算法，sha256算法等哈希算法。若该不可逆算法为哈希算法，则计算得到的第一计算值和第二计算值均为哈希散列值。

在具体实施例中，上述第二计算值是在第一设备与第二设备建立首次通信连接，计算得到上述第二密钥后，通过上述不可逆算法对该第二密钥计算得到的，并且将该第二计算值存储在存储器中，并将第二密钥删除以销毁。基于上述的描述可知，正常情况下，第一密钥和第二密钥为相同的密钥，从而该两个密钥通过同一个不可逆算法计算得到的计算值也是相同的。所以，上述第一设备从第二设备接收到上述第一密钥后，可以采用该不可逆算法计算该第一密钥的第一计算值，然后将该第一计算值与第一设备中存储的第二计算值比较，若该两个值相同，则可以确定该第一密钥为安全且正确的数据加解密的密钥，可以采用该第一密钥对第一设备中的数据进行加解密。若该两个值不相同，则表明接收到的该第一密钥不是安全正确的密钥，可能存在安全风险，可以尽快删除以销毁该第一密钥。

本实施例中不在第一设备中存储第二密钥，而是存储第二密钥的上述第二计算值，这是因为该第二计算值是通过不可逆算法计算得到的，获知该第二计算值并不能反推计算得到第二密钥，所以极大降低了密钥泄露的风险，提高了数据的安全性。

一种可能的实施方式中，第一设备和第二设备建立通信连接后，可以通过互相发送心跳包来检测彼此之间的通信连接的通断。若在预设时长内未接收到对方的心跳包，则表明通信连接中断，此时第一设备可以采用上述第一密钥对自身中的数据进行加密，以免数据泄露。

一种可能的实施方式中，上述第一设备与第二设备在建立通信连接的过程中，可以交互协商新的数据加解密的密钥，然后，在该第一设备与第二设备的通信连接断开的情况下，第一设备可以采用该新协商的密钥对数据进行加密。

示例性地，该新的数据加解密的密钥协商过程可以包括：首先，第一设备和第二设备各自重新生成一对上述第一非对称加密算法的密钥，假设第一设备生成的该第一非对称加密算法的一对密钥为公钥A’和私钥A’，第二设备生成的该第一非对称加密算法的一对密钥为公钥B’和私钥B’，同样的，该A’和B’是为了区分不同的密钥，没有其它含义。然后，第一设备将公钥A’发送给第二设备，第二设备将公钥B’发送给第一设备。然后，第一设备基于公钥B’和私钥A’生成新的第二密钥，第二设备基于公钥A’和私钥B’生成新的第一密钥。第一设备生成该新的第二密钥后，通过上述不可逆算法计算该新的第二密钥的计算值得到新的第二计算值，并将该新的第二计算值替换掉原来的第二计算值存储到数据库中，存储完成后将该新的第二密钥销毁。然后，第一设备接收来自第二设备的新的第一密钥。接收到新的第一密钥后的处理操作可以参见上述步骤404中接收到第一密钥后的具体操作的描述，此处不再赘述。

基于上述的描述，那么，在上述第一设备与第二设备的通信连接断开的情况下，第一设备可以采用上述新的第一密钥对数据进行加密。当然，在第一设备与第二设备再次建立通信连接后，第一设备同样可以与第二设备交互，使得第二设备生成上述新的第一密钥发送给该第一设备，以对第一设备中的数据进行解密，具体的交互流程可以参见上述图4及其可能的实施方式中的描述，此处不再赘述。

为了解决上述每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的技术问题，本申请提供了另一种加解密处理方法。具体实施例中，对第一设备中的数据加解密的密钥就存储在该第一设备中，在上述第一设备和第二设备建立通信连接的情况下，第一设备对第二设备进行身份认证，具体的身份认证流程可以参见上述图3所示流程。在第二设备的身份认证成功的情况下，第一设备获取存储的密钥对第一设备中的数据进行解密，以供用于查阅。当第一设备与第二设备的通信连接断开时，第一设备可以获取该存储的密钥对自身中的数据进行加密，以保证数据的安全性。

为了便于理解上述加解密处理方法，可以参见图5A和图5B。图5A以上述第一设备为电脑为例画出了一种加解密处理方法实施例中第一设备侧的流程框图的示意图，图5B以上述第二设备为手机为例画出了一种加解密处理方法实施例中第二设备侧的流程框图的示意图。

在图5A中可以看到，手机端A可以实时监测是否可以与电脑端B建立通信连接。若不可以与电脑端B连接，那么，继续监测；若可以与电脑端B连接，那么，进一步判断此次连接是否为首次连接，若是首次连接，则判断该手机端A自身是否允许用户注册，若不允许用户注册，则中断程序，并返回错误信息，然后继续进行连接监测。若允许用户注册，则与电脑端B交互进行用户注册，若用户注册不成功则返回继续进行连接检测，若用户注册成功，则进行与电脑端B交互进行手机端A自身的身份认证。若此次连接为非首次连接，则直接进行身份认证。若认证失败，则中断连接并提示用户。若认证成功，则进行密钥协商，手机端A生成协商密钥A(即上述实施例中的第一密钥)，并将该协商密钥A发送给电脑端B，然后销毁该协商密钥A。然后，手机端A实时监测与电脑端B的连接状态，若连接中断，则返回检测是否可以与手机端A建立通信连接，若连接正常，可以提示用户连接正常。

在图5B中可以看到，电脑端B可以实时监测是否可以与手机端A建立通信连接。若不可以与手机端A连接，那么，继续监测；若可以与手机端A连接，那么，进一步判断此次连接是否为首次连接，若是首次连接，则判断手机端A是否允许用户注册，若不允许用户注册，则中断程序，并返回错误信息，然后继续进行连接监测。若允许用户注册，则与手机端A交互进行用户注册，若用户注册不成功则返回继续进行连接检测，若用户注册成功，则进行手机端A的身份认证。若此次连接为非首次连接，则直接进行手机端A的身份认证。若认证失败，则中断连接并提示用户。若认证成功，则进行密钥协商，若为首次连接，则电脑端B生成协商密钥B(即上述实施例中的第二密钥)，并计算该协商密钥B的哈希值保存到数据库，并将协商密钥B销毁。若为非首次连接，则无需执行生成协商密钥B和计算并保存哈希值的步骤。然后，电脑端B可以从手机端A接收到协商密钥A(即上述实施例中的第一密钥)，计算该协商密钥A的哈希值，并与数据库中的协商密钥B的哈希值进行对比。若哈希值不一致，则中断连接并提示用户。若哈希值一致，则利用该协商密钥A对第一设备中的数据/文件/文件夹进行解密。然后，电脑端B实时监测与手机端A的连接状态，若连接中断，则利用协商密钥A对第一设备中的数据/文件/文件夹进行加密，然后销毁协商密钥A。并返回检测是否可以与手机端A建立通信连接。若连接正常，可以提示用户连接正常。

需要说明的是，上述图5A和图5B仅为一个示例，不构成对本申请的限制。

综上所述，本申请实施例中，以第二设备作为第一设备中的数据加解密的钥匙，在第二设备与第一设备建立通信连接时，第二设备可以动态生成密钥提供给第一设备进行数据解密，在第二设备与第一设备之间的连接中断时，第一设备可以自动采用第一设备提供的密钥对数据进行加密，从而解决了上述现有方案中每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的技术问题，极大地提供了数据加解密的便利，且无需用户记住密码，不存在忘记密码导致数据/文件很难复原的风险。并且第二设备是常用的随身携带的智能设备，不需要额外增加其它配套的设备，可以节省成本。并且，不管是第一设备还是第二设备，对第一设备中的数据加解密的密钥均不保存，都是在每次建立通信连接后重新生成的，从而避免了密码泄露的风险，提高了数据的安全性。再者，本申请中只要第一设备与第二设备之间互相靠近建立通信连接后即可进行数据解密，断开连接时将对数据进行自动加密，可以有效地防御了多种针对主机的物理攻击，比如午餐攻击等。

上述主要对本申请实施例提供的加解密处理方法进行了介绍。可以理解的是，各个设备为了实现上述对应的功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本文中所公开的实施例描述的各示例的单元及步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能，但这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图6示出了装置的一种可能的逻辑结构示意图，该装置可以是上述第一设备，或者可以是该第一设备中的芯片或处理系统等。该装置600包括发送单元601、接收单元602、解密单元603和加密单元604。其中：

发送单元601，用于在第一设备与第二设备之间建立通信连接的情况下，向该第二设备发送密钥协商信息；该密钥协商信息可以是上述密钥协商请求，该发送单元601可以用于执行上述图4所述的步骤401中的步骤。

接收单元602，用于接收来自该第二设备的第一密钥，该第一密钥为基于该密钥协商信息生成；该接收单元602可以用于执行上述图4所述的步骤404中接收的步骤。

解密单元603，用于采用该第一密钥对该第一设备内的数据解密；该解密单元603可以用于执行上述图4所述的步骤404中解密的步骤。

加密单元604，用于在该第一设备与该第二设备之间的通信连接断开的情况下，对该第一设备内的数据加密。该加密单元604可以用于执行上述图4该的步骤404详细描述中的加密步骤，或者可以用于执行上述用新的第一密钥加密的步骤。

一种可能的实施方式中，上述解密单元603具体用于：在第一计算值与第二计算值匹配的情况下，采用该第一密钥对该第一设备内的数据解密，其中，该第一计算值为通过不可逆算法对该第一密钥计算得到，该第二计算值为通过该不可逆算法对第二密钥计算得到，该第二密钥为该第一设备生成。

一种可能的实施方式中，第一公钥与第一私钥为该第一设备生成的非对称加密算法的一对密钥，第二公钥和第二私钥为该第二设备生成的该非对称加密算法的一对密钥；

该密钥协商信息包括该第一公钥；该第一密钥为基于该密钥协商信息生成，包括：该第一密钥为基于该第一公钥和该第二私钥生成；

该第二密钥为该第一设备生成，包括：该第二密钥为该第一设备基于该第一私钥和来自该第二设备的该第二公钥生成。

该第一公钥和第一私钥可以分别是上述方式实施例中的的公钥A和私钥A，该第二公钥和第二私钥可以分别是上述方式实施例中的的公钥B和私钥B。

一种可能的实施方式中，上述装置还包括销毁单元，用于在上述加密单元对该第一设备内的数据加密之后，销毁该第一密钥。

图6所示装置600中各个单元的具体操作以及有益效果可以参见上述图4及其可能的方法实施例中对应的描述，此处不再赘述。

在采用对应各个功能划分各个功能模块的情况下，图7示出了装置的一种可能的逻辑结构示意图，该装置可以是上述第二设备，或者可以是该第二设备中的芯片或处理系统等。该装置700包括接收单元701、生成单元702和发送单元703。其中：

接收单元701，用于在第二设备与第一设备之间建立通信连接的情况下，接收来自该第一设备的密钥协商信息；该接收单元701可以用于执行上述图4所述的步骤402中的步骤。

生成单元702，用于基于该密钥协商信息生成第一密钥；该生成单元702可以用于执行上述图4所述的步骤403详细描述中的生成步骤。

发送单元703，用于向该第一设备发送该第一密钥，该第一密钥用于对该第一设备内的数据解密。该发送单元703可以用于执行上述图4所述的步骤403中的发送步骤。

一种可能的实施方式中，上述密钥协商信息包括非对称加密算法的第一公钥；上述生成单元702具体用于：

基于该第一公钥和第一私钥生成该第一密钥，该第一私钥为该第二设备生成。

该第一公钥可以是上述方式实施例中的的公钥A，该第一私钥可以分别是上述方式实施例中的的私钥B。

图7所示装置700中各个单元的具体操作以及有益效果可以参见上述图4及其可能的方法实施例中对应的描述，此处不再赘述。

图8所示为本申请提供的装置的一种可能的硬件结构示意图，该装置可以是上述实施例所述方法中的第一设备或者可以是该第一设备中的芯片或处理系统等。该装置800包括：处理器801、存储器802和通信接口803。处理器801、通信接口803以及存储器802可以相互连接或者通过总线804相互连接。

示例性的，存储器802用于存储装置800的计算机程序和数据，存储器802可以包括但不限于是随机存储记忆体(random access memory，RAM)、只读存储器(read-onlymemory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)或便携式只读存储器(compact disc read-only memory，CD-ROM)等。

通信接口803包括发送接口和接收接口，通信接口803的个数可以为多个，用于支持装置800进行通信，例如接收或发送数据或消息等。

示例性的，处理器801可以是中央处理器单元、通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。处理器801可以用于读取上述存储器802中存储的程序，使得装置800执行如上述任一种加解密处理方法中第一设备所做的操作。

一种可能的实施方式中，处理器801可以用于读取上述存储器802中存储的程序，执行如下操作：

在第一设备与第二设备之间建立通信连接的情况下，通过发送接口向该第二设备发送密钥协商信息；通过接收接口接收来自该第二设备的第一密钥，该第一密钥为基于该密钥协商信息生成；采用该第一密钥对该第一设备内的数据解密；在该第一设备与该第二设备之间的通信连接断开的情况下，对该第一设备内的数据加密。

图8所示装置800中各个具体操作以及有益效果可以参见上述方法实施例中对应的描述，此处不再赘述。

图9所示为本申请提供的装置的一种可能的硬件结构示意图，该装置可以是上述实施例所述方法中的第二设备或者该第二设备中的芯片或处理系统等。该装置900包括：处理器901、存储器902和通信接口903。处理器901、通信接口903以及存储器902可以相互连接或者通过总线904相互连接。

示例性的，存储器902用于存储装置900的计算机程序和数据，存储器902可以包括但不限于是随机存储记忆体(random access memory，RAM)、只读存储器(read-onlymemory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)或便携式只读存储器(compact disc read-only memory，CD-ROM)等。

通信接口903包括发送接口和接收接口，通信接口903的个数可以为多个，用于支持装置900进行通信，例如接收或发送数据或消息等。

示例性的，处理器901可以是中央处理器单元、通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。处理器901可以用于读取上述存储器902中存储的程序，使得装置900执行如上述任一种加解密处理方法中第二设备所做的操作。

一种可能的实施方式中，处理器901可以用于读取上述存储器902中存储的程序，执行如下操作：

在第二设备与第一设备之间建立通信连接的情况下，通过接收接口接收来自该第一设备的密钥协商信息；基于该密钥协商信息生成第一密钥；通过发送接口向该第一设备发送该第一密钥，该第一密钥用于对该第一设备内的数据解密。

图9所示装置900中各个具体操作以及有益效果可以参见上述方法实施例中对应的描述，此处不再赘述。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行以实现上述方法实施例中任一实施例所述方法中第一设备所做的操作；或者，该计算机程序被处理器执行以实现上述方法实施例中任一实施例所述方法中第二设备所做的操作。

本申请实施例还提供一种计算机程序产品，当该计算机程序产品被计算机读取并执行时，上述方法实施例中任一实施例所述方法中第一设备所做的操作将被执行；或者，上述方法实施例中任一实施例所述方法中第二设备所做的操作将被执行。

综上所述，在本申请中，两个设备建立通信连接后，第一设备可以与第二设备交互获取数据加解密的密钥实现自身数据的解密，无需手动输入加解密密码，从而解决了每次加解密都需要输入密码，造成极大不便，并且存在忘记密码导致数据/文件很难复原的风险的技术问题。另外，现有方案中数据加解密的密码，复杂度不够，容易被破解，进而影响数据的安全性，而本申请中，设备中数据的加解密的密码需要与另外一个设备交互来动态生成的，不易被破解，进而可以增加数据的安全性。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种加解密处理方法，其特征在于，所述方法包括：

在第一设备与第二设备之间建立通信连接的情况下，所述第一设备向所述第二设备发送密钥协商信息；

所述第一设备接收来自所述第二设备的第一密钥，所述第一密钥为基于所述密钥协商信息生成；

所述第一设备采用所述第一密钥对所述第一设备内的数据解密；

在所述第一设备与所述第二设备之间的通信连接断开的情况下，所述第一设备对所述第一设备内的数据加密。

2.根据权利要求1所述的方法，其特征在于，所述第一设备采用所述第一密钥对所述第一设备内的数据解密，包括：

在第一计算值与第二计算值匹配的情况下，所述第一设备采用所述第一密钥对所述第一设备内的数据解密，其中，所述第一计算值为通过不可逆算法对所述第一密钥计算得到，所述第二计算值为通过所述不可逆算法对第二密钥计算得到，所述第二密钥为所述第一设备生成。

3.根据权利要求2所述的方法，其特征在于，第一公钥与第一私钥为所述第一设备生成的非对称加密算法的一对密钥，第二公钥和第二私钥为所述第二设备生成的所述非对称加密算法的一对密钥；

所述密钥协商信息包括所述第一公钥；所述第一密钥为基于所述密钥协商信息生成，包括：所述第一密钥为基于所述第一公钥和所述第二私钥生成；

所述第二密钥为所述第一设备生成，包括：所述第二密钥为所述第一设备基于所述第一私钥和来自所述第二设备的所述第二公钥生成。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述第一设备对所述第一设备内的数据加密之后，还包括：

所述第一设备销毁所述第一密钥。

5.一种加解密处理方法，其特征在于，所述方法包括：

在第二设备与第一设备之间建立通信连接的情况下，所述第二设备接收来自所述第一设备的密钥协商信息；

所述第二设备基于所述密钥协商信息生成第一密钥；

所述第二设备向所述第一设备发送所述第一密钥，所述第一密钥用于对所述第一设备内的数据解密。

6.根据权利要求5所述的方法，其特征在于，所述密钥协商信息包括非对称加密算法的第一公钥；所述第二设备基于所述密钥协商信息生成第一密钥，包括：

所述第二设备基于所述第一公钥和第一私钥生成所述第一密钥，所述第一私钥为所述第二设备生成。

7.一种装置，其特征在于，所述装置包括用于执行如权利要求1-4任一项所述的方法的单元。

8.一种装置，其特征在于，所述装置包括用于执行如权利要求5或6所述的方法的单元。

9.一种装置，其特征在于，所述装置包括处理器和存储器；其中，所述存储器用于存储计算机程序，所述处理器用于调用所述计算机程序，以使得所述装置执行如权利要求1-4任一项所述的方法；或者，所述处理器用于调用所述计算机程序，以使得所述装置执行如权利要求5或6所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行以实现权利要求1至4任意一项所述的方法；或者，所述计算机程序被处理器执行以实现权利要求5或6所述的方法。

Images