WO2024060630A1

WO2024060630A1 - 数据传输管理的方法、数据处理的方法和装置

Info

Publication number: WO2024060630A1
Application number: PCT/CN2023/091957
Authority: WO
Inventors: 赵莹; 郑锐
Original assignee: 京东科技信息技术有限公司
Priority date: 2022-09-20
Filing date: 2023-05-04
Publication date: 2024-03-28
Also published as: CN115567263A

Abstract

本申请公开了一种数据传输管理的方法、数据处理的方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；利用客户端的公钥对第一密钥进行非对称加密，生成与第一密钥对应的密文；将密文发送至客户端，以使客户端根据与公钥对应的私钥对密文进行解密获得第一密钥，第一密钥用于客户端对待传输的源数据进行对称加密。该实施方式采用非对称加密算法对密钥进行加密，保证了密钥传输的安全性，利用密钥基于对称加密算法对传输的数据进行加密，提高数据加密、解密效率，满足客户端和服务端敏感数据频繁交互的高安全性和高效率的要求。

Description

数据传输管理的方法、数据处理的方法和装置

相关申请的交叉引用

本申请要求享有2022年9月20日提交的发明名称为“一种数据传输管理的方法、数据处理的方法和装置”的中国申请专利No.202211143893.6的优先权，在此全文引用上述中国专利申请公开的内容以作为本申请的一部分或全部。

技术领域

本公开涉及计算机技术领域，尤其涉及一种数据传输管理的方法、数据处理的方法和装置。

背景技术

在移动端与服务端的数据传输过程中，敏感信息如个人信息和设备信息等需要进行加密传输的，以保证信息的安全性。

相关技术中一般采用对称加密和非对称加密两种方案进行加密，但是，采用非对称加密方案时对敏感信息的加解密效率较低；对称加密方案中，将用于对称加密的密钥以硬编码形式存储在移动端，密钥泄露风险较大，上述两种方案均不能满足移动端与服务端频繁交互且存在需要加密的敏感信息时，对高效率和高安全性的要求。

发明内容

有鉴于此，本公开实施例提供一种数据传输管理的方法、数据处理的方法和装置。

根据本公开实施例的一个方面，提供了一种数据传输管理的方法，包括：

响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；

利用所述客户端的公钥对所述第一密钥进行非对称加密，生成与所述第一密钥对应的密文；

将所述密文发送至所述客户端，以使所述客户端根据与所述公钥对应的私钥对所述密文进行解密获得所述第一密钥，所述第一密钥用于所述客户端对待传输的源数据进行对称加密。

根据本公开的一个或多个实施例，所述第一密钥的使用周期为所述客户端的启动周期。

根据本公开的一个或多个实施例，该方法还包括：在从密钥池中获取第一密钥之前，生成多个密钥以及每个密钥的密钥摘要，以所述密钥摘要作为索引保存所述多个密钥，形成所述密钥池。

根据本公开的一个或多个实施例，该方法还包括：

响应于接收到客户端发送的待处理数据，判断所述待处理数据是否是加密数据；

在所述待处理数据是加密数据的情况下，利用所述第一密钥对所述待处理数据进行解密，以获得与所述待处理数据对应的源数据。

根据本公开的一个或多个实施例，判断所述待处理数据是否是加密数据，包括：判断所述待处理数据中是否包含密钥摘要；其中，在所述待处理数据中包含密钥摘要的情况下，确定所述待处理数据是加密数据；

利用所述第一密钥对所述待处理数据进行解密，包括：从所述密钥池中获取与所述密钥摘要对应的所述第一密钥，利用所述第一密钥对所述待处理数据进行解密，以获得与所述待处理数据对应的源数据。

根据本公开的一个或多个实施例，判断所述待处理数据中是否包含密钥摘要，包括：

判断所述待处理数据中是否包含预设的摘要长度标识；

若是，判定所述待处理数据中包含密钥摘要；

若否，判定所述待处理数据中不包含密钥摘要。

根据本公开的一个或多个实施例，还包括：形成所述密钥池之后，从所述密钥池中获取第二密钥发送至所述客户端，以使所述客户端在无法获取所述第一密钥的情况下利用所述第二密钥对所述源数据进行加密。

本公开实施例的另一方面提供一种数据处理的方法，包括：

响应于接收到针对源数据的数据传输请求，利用所述第一密钥基于对称加密算法对所述源数据进行加密得到加密数据；

将所述加密数据发送至服务端。

根据本公开的一个或多个实施例，还包括：在利用第一密钥基于对称加密算法对所述源数据进行加密得到加密数据之前，响应于应用程序启动，向服务端发送密钥获取请求以获取所述第一密钥。

根据本公开的一个或多个实施例，还包括：还包括：在无法获取所述第一密钥的情况下，利用第二密钥基于对称加密算法对所述源数据进行加密得到加密数据，将所述加密数据发送至所述服务端，所述第二密钥是从所述服务端获取的。

根据本公开的一个或多个实施例，利用所述第一密钥基于对称加密算法对所述源数据进行加密得到加密数据，包括：

根据摘要算法生成与所述第一密钥对应的密钥摘要；

采用所述第一密钥对所述源数据进行对称加密，生成加密后的源数据；

根据所述密钥摘要和所述加密后的源数据获得所述加密数据。

根据本公开的一个或多个实施例，根据所述密钥摘要和所述加密后的源数据获得加密数据，包括：

获取所述密钥摘要的摘要长度标识；所述摘要长度标识指示了所述密钥摘要的长度和位置；

根据所述密钥摘要的长度和位置，将所述密钥摘要和所述加密后的源数据进行拼接，获得所述加密数据。

根据本公开实施例的另一方面，提供一种数据传输管理的装置，包括：

第一获取模块，响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；

第一生成模块，利用所述客户端的公钥对所述第一密钥进行非对称加密，生成与所述第一密钥对应的密文；

第一发送模块，将所述密文发送至所述客户端，以使所述客户端根据与所述公钥对应的私钥对所述密文进行解密获得所述第一密钥，所述第一密钥用于所述客户端对待传输的源数据进行对称加密。

根据本公开实施例的再一方面，提供一种数据处理的装置，包括：

第二生成模块，响应于接收到针对源数据的数据传输请求，利用所述第一密钥基于对称加密算法对所述源数据进行加密得到加密数据，所述第一密钥是采用数据传输管理的方法生成的；

第二发送模块，将所述加密数据发送至服务端。

根据本公开实施例的还一个方面，提供了一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本公开提供的数据传输管理的方法或数据处理的方法。

根据本公开实施例的还一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本公开提供的数据传输管理的方法或数据处理的方法。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本公开，不构成对本公开的不当限定。其中：

图1是根据本公开实施例的一种数据管理的方法的主要流程的示意图；

图2是根据本公开实施例的一种数据传输管理的方法的流程示意图；

图3是根据本公开实施例的一种数据处理的方法的主要流程的示意图；

图4是本公开实施例的一种数据处理的方法的流程示意图；

图5是根据本公开实施例的数据传输管理的装置的主要模块的示意图；

图6是根据本公开实施例的一种数据处理的装置的主要模块的示意图；

图7是本公开实施例可以应用于其中的示例性系统架构图；

图8是适于用来实现本公开实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本公开实施例的一种数据传输管理的方法的主要流程的示意图，如图1所示，该数据传输管理的方法，应用于服务端，包括以下步骤：

步骤S101：响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；

步骤S102：利用客户端的公钥对第一密钥进行非对称加密，生成与第一密钥对应的密文；

步骤S103：将密文发送至客户端，以使客户端根据与公钥对应的私钥对密文进行解密获得第一密钥，第一密钥用于客户端对待传输的源数据进行对称加密。

在本公开实施例中，在移动端与服务端的数据传输过程中，对于敏感数据需要进行加密处理，为了保证数据加密和解密的效率，对敏感数据采用效率高的对称加密的方法，对称加密需要移动端和服务端使用同一个密钥，为了保证密钥的安全性，采用本公开实施例的数据传输管理的方法。其中，敏感数据如可以为用户个人信息等，需要说明的是，本公开实施例的技术方案中，所涉及的个人信息等的获取、存储和应用等，均符合相关法律法规的规定，且不违背公序良俗。

在本公开实施例中，客户端在启动时，向服务端发送密钥获取请求，服务端接收到该密钥获取请求后，从密钥池中获取第一密钥。客户端从服务端获取到第一密钥后，在一定时间内可以使用该密钥。可选地，客户端从服务端获取的第一密钥的使用周期是客户端的启动周期，客户端下一次启动时，需要重新向服务端发送密钥获取请求，以从服务端获取第一密钥。可选地，第一密钥的使用周期也可以是其他预设时长，如可以是客户端的多个启动周期，

在本公开实施例中，在从密钥池中获取第一密钥之前，该方法还包括：生成多个密钥以及每个密钥的密钥摘要，以密钥摘要作为索引保存多个密钥，形成密钥池。其中，多个密钥是服务端生成并维护的，是用于对数据进行对称加密、解密的。密钥可以是随机生成的长度为16字节的包含数字、字母和特殊符号中一种或多种的字符串。采用摘要算法如密码散列函数标准(SM3)对每个密钥进行摘要计算可以生成每个密钥的密钥摘要，然后将密钥和密钥摘要对应保存在数据库中，以密钥摘要为索引，即根据密钥摘要可以查询到与该密钥摘要对应的密钥。

在本公开实施例的另一种实施方式中，在从密钥池中获取第一密钥之前，该方法还包括：生成一个密钥以及该密钥的密钥摘要，以密钥摘要作为索引保存该密钥，形成密钥池。即密钥池中可以只包括一个密钥及密钥摘要，也可以保证密钥安全，这是因为密钥从服务端发送至客户端时需要对密钥进行非对称加密，安全性较高。在满足服务端检索和数据交互安全的情况下，密钥池中密钥的数量可以根据实际需求调整。

在本公开实施例中，服务端在形成密钥池之后，从密钥池中获取第二密钥发送至客户端，以使客户端在无法获取第一密钥的情况下利用第二密钥对源数据进行加密。其中，无法获取第一密钥的情况，可能是内存中不存在第一密钥并且利用私有对密文解密失败的情况，也可能是内存中不存在第一密钥也不存在第一密钥的密文的情况。可选地，第二密钥可以是服务端形成密钥池的时，服务端发送给客户端的；也可以是接收到客户端发送的密钥获取请求后发送的，与第一密钥同时发送给客户端的，还可以是客户端产生待传输的源数据后，从服务端获取的。可选地，第二密钥的使用周期大于第一密钥的使用周期。第二密钥可以作为默认密钥，在无法获取第一密钥的情况下对源数据进行加密，通过该兜底机制，可以保证客户端发送给服务端的源数据均经过加密处理。

在本公开实施例中，客户端在启动时，通过非对称加密算法生成成对的公钥和私钥，然后可以将公钥通过密钥获取请求发送至服务端，以使得服务端在接收到该密钥获取请求后，对密钥获取请求进行解析获取到公钥。此外，服务端还可以通过其他渠道获取到客户端的公钥。

在获取到客户端的公钥后，采用该公钥从密钥池中获取的第一密钥进行非对称加密，生成与该第一密钥对称的密文，其中，非对称加密采用非对称加密算法实现，非对称加密算法可以为椭圆曲线公钥密码算法(SM2)。然后将生成的密文发送至客户端，客户端接收到该密文后，将密文和私钥对应保存在客户端的内存中，从而使得客户端可以采用私钥对该密文进行解密获得第一密钥，以通过该第一密钥实现对待传输的源数据进行对称加密。

如图2所示为本公开实施例的一种数据传输管理的方法的流程示意图，应用程序启动时初始化加密模块，加密模块初始化环境，然后应用程序调用加密模块即调用握手API，加密模块接收调用，即开始握手，以执行密钥交换过程；加密模块通过非对称加密算法生成公钥和私钥，加密模块组装包含公钥的密钥获取请求，发送至服务端；服务端接收到密钥获取请求后，解析得到公钥；然后从密钥池中随机获取一个密钥，使用解析得到的公钥对该密钥进行非对称加密，生成与该密钥对应的密文，将密文发送至加密模块；加密模块接收到密文后，将密文和私钥对应保存到内存中，结束流程。

在本公开实施例的数据传输管理的方法中，客户端在从服务端获取第一密钥的过程中，通过公钥和密文的方式实现了密钥传输，即采用非对称加密算法进行密钥交换，保证了密钥传输的安全性，且密钥由服务端生成和维护，客户端没有通过硬编码方式存储关于第一密钥的相关信息，进一步保证了密钥的安全性。通过该密钥交换机制，保证了对称加密密钥的安全性。

在本公开实施例中，该方法还包括：响应于接收到客户端发送的待处理数据，判断待处理数据是否是加密数据；在待处理数据是加密数据的情况下，利用第一密钥对待处理数据进行解密，以获得与待处理数据对应的源数据。

也就是说，当接收到客户端发送的待处理数据时，首先对该待处理数据是否为加密数据进行判断，如果该待处理数据不是加密数据，则可以直接对该待处理数据执行对应的业务逻辑处理；如果该待处理数据是加密数据，即该待处理数据为采用第一密钥进行对称加密后的数据，则需要采用第一密钥对该待处理数据进行解密，获得待处理数据进行的源数据，然后对源数据执行对应的业务逻辑处理。

在本公开实施例中，判断待处理数据是否是加密数据，包括：判断待处理数据中是否包含密钥摘要；其中，在待处理数据中包含密钥摘要的情况下，确定待处理数据是加密数据；

利用密钥对待处理数据进行解密，包括：从密钥池中获取与该密钥摘要对应的第一密钥，利用第一密钥对待处理数据进行解密，以获得与待处理数据对应的源数据。

也就是说，在判断该待处理数据是否是加密数据时，可以通过判断待处理数据中是否包含密钥摘要来确定，如果待处理数据中包含密钥摘要，则说明该待处理数据是加密数据，如果待处理数据中不包含密钥摘要，则说明该待处理数据不是加密数据。当待处理数据包含密钥摘要，采用第一密钥对待处理数据进行解密时，以密钥摘要为索引，从密钥池中查询到与密钥摘要对应的第一密钥，然后利用第一密钥采用对称加密算法进行解密，以获取到源数据。

在判断待处理数据中是否包含密钥摘要时，可以通过待处理数据中的摘要长度标识来确定，即判断待处理数据中是否包含密钥摘要，包括：判断待处理数据中是否包含摘要长度标识；若是，判定待处理数据中包含密钥摘要；若否，判定待处理数据中不包含密钥摘要。也就是说，待处理数据中包含摘要长度标识，则判定待处理数据中包含密钥摘要。

在一个密钥池中，各个密钥摘要的摘要长度是固定的，摘要长度标识则可以是相同的，例如，采用SM3摘要算法生成的密钥摘要，摘要长度标识固定为64位。因此，也可以通过判断摘要长度标识是否为预设的标识(如64)来判断待处理数据中是否包含密钥摘要，即，若摘要长度标识为预设的标识，则判定待处理数据中包含密钥摘要。其中，密钥摘要长度标识为指示密钥摘要长度的标识。若密钥摘要长度标识不为预设的标识(如00或其他标识)，则说明待处理数据中不包含密钥摘要。

当确定待处理数据中包含密钥摘要后，可以根据摘要长度标识从待处理数据中获取密钥摘要，并获取到加密后的源数据，然后根据密钥摘要从密钥池中查询与该密钥摘要对应的第一密钥，采用第一密钥和对称加密算法对待处理数据进行解密，即对加密后的源数据进行解密，获得与待处理数据对应的源数据，然后对源数据执行对应的业务逻辑处理。

在本公开实施例中，在判断待处理数据是否是加密数据时，也可以根据预设的加密标识判断，如待处理数据包含预设的加密标识，则判定待处理数据为加密数据。

在本公开实施例中，该数据传输管理的方法，服务端通过摘要算法加密、以密钥摘要为索引等手段进行动态密钥池的生成和维护，保证了密钥的存储安全和获取效率；客户端通过与服务端进行基于非对称加密算法的密钥交换，获得密钥，降低了密钥在客户端存储和网络传输过程中的泄露风险，提升了密钥的安全性。在对待处理数据进行解密过程中，采用密钥摘要进行索引，可以查询到对应的密钥，提升了数据解密过程中获取加密密钥的效率；同时，采用对称加密算法进行解密，可以保证数据解密的效率。

在本公开实施例中，如图3所示，提供一种数据处理的方法，该方法应用于客户端，包括以下步骤：

步骤S301：响应于接收到针对源数据的数据传输请求，利用第一密钥基于对称加密算法对源数据进行加密得到加密数据；

步骤S302：将加密数据发送至服务端。

在本公开实施例中，在客户端与服务端频繁交互过程中，当传输敏感数据时，需要对敏感数据进行加密，因此，数据加密、解密会被频繁执行，因此，可以采用对称加密算法对数据进行加密，以保证客户端加密及服务端解密性能，提高加密、解密的效率。其中，对称加密算法可以采用分组密码算法(SM4)。

当客户端产生源数据后，执行对源数据的加密流程，在利用第一密钥基于对称加密算法对源数据进行加密得到加密数据之前，响应于应用程序启动，向服务端发送密钥获取请求以获取第一密钥。其中，第一密钥是采用数据传输管理方法生成的。

在本公开实施例中，可以从内存中获取第一密钥，若内存中不存在第一密钥，可以从内存中获取密文和私钥，采用私钥对密文进行解密，获得用于对源数据进行加密的第一密钥。即，首先判断内存中是否存在用于对源数据进行加密的第一密钥，如果存在，则直接采用第一密钥基于对称加密算法对源数据进行加密，如果不存在，则判断内存中是否同时存在密文，如果内存中同时存在密文和私钥，则采用私钥对密文采用非对称加密算法解密获取到第一密钥，然后将第一密钥存储在内存中。通过将第一密钥缓存在内存中，可以保证密钥的安全性，也能够避免每次对源数据执行加密流程时执行解密流程，进一步提升加密性能。

在本公开实施例中，在无法获取所述第一密钥的情况下，利用第二密钥基于对称加密算法对所述源数据进行加密得到加密数据，将所述加密数据发送至所述服务端，所述第二密钥是从所述服务端获取的。其中，无法获取到第一密钥的情况可以是：即在内存中不存在第一密钥且内存中不存在密文，或者内存中不存在第一密钥且私钥对密文解密失败等情况。也就是说，如果从内存中获取不到第一密钥，且不能通过密文和私钥获取到第一密钥，则可以采用第二密钥作为默认密钥，作为用于对源数据进行加密的密钥，从而可以保证在获取第一密钥失败时也可以实现对源数据的加密，保证数据传输的安全性。

在本公开实施例中，利用第一密钥基于对称加密算法对源数据进行加密得到加密数据，包括：根据摘要算法生成与第一密钥对应的密钥摘要；采用第一密钥对源数据进行对称加密，生成加密后的源数据；根据密钥摘要和加密后的源数据获得加密数据。

在本公开实施例中，在获取到用于对源数据进行加密的第一密钥后，可以采用摘要算法对密钥进行摘要加密处理，生成与第一密钥对应的密钥摘要，并将密钥摘要保存在内存中，以供后续使用，从而进一步提升加密性能。对源数据进行加密得到加密数据，可以是，采用密钥对源数据进行对称加密，生成加密后的源数据，然后将密钥摘要和加密后的源数据进行拼接，得到加密数据。获得加密数据后，将加密数据发送至服务端，以使服务端对加密数据进行解密获得源数据。还可以利用密钥对源数据进行对称加密获得加密后的源数据，然后将加密后的源数据和与第一密钥对应的标识进行拼接，得到加密数据，将加密数据发送至服务端；或者，也可以采用摘要算法对与第一密钥对应的标识进行加密，获得加密后的标识，将加密后的标识与加密后的源数据拼接，得到加密数据并发送至服务端。其中，与第一密钥对应的标识可以是客户端标识、客户端的IP地址等。服务端可以根据与第一密钥对应的标识查询到对应的密钥，利用密钥解密获得源数据。

根据密钥摘要和加密后的源数据获得加密数据，包括：获取密钥摘要的摘要长度标识；摘要长度标识指示了密钥摘要的长度和位置；根据密钥摘要的长度和位置，将密钥摘要和加密后的源数据进行拼接，获得加密数据。

也就是说，根据密钥摘要可以获得该密钥摘要对应的摘要长度标识，拼接规则可以是摘要长度标识+密钥摘要+加密后的源数据，其中，该摘要长度标识指示了密钥摘要的位置和长度，摘要长度标识为预留固定位数的值，用于告知服务端第几位至第几位为密钥摘要，用于服务端获取密钥摘要和加密后的源数据。例如，拼接为：64+密钥摘要+加密后的源数据，根据前2位摘要长度标识可知，第三位开始64位均为密钥摘要，其余部分为加密后的源数据，2位为固定位数，可以根据密钥摘要的长度进行改变，但一个密钥池中的密钥摘要的长度固定。

在本公开实施例中，根据密钥摘要和加密后的源数据获得加密数据，可以直接将密钥摘要和加密后的源数据作为加密数据发送至服务端，即，可以不将密钥摘要和加密后的源数据进行拼接。其中，可以采用摘要长度标识对密钥摘要进行标识，以区分密钥摘要和加密后的源数据，当服务端接收到加密数据后，可以通过摘要长度标识确定密钥摘要和加密后的源数据，从而根据密钥摘要查询到与该密钥摘要对应的第一密钥，采用第一密钥对加密后的源数据进行解密，获得源数据，以使得服务端执行针对源数据的业务逻辑处理。

本公开实施例的应用于客户端的数据处理的方法，在源数据加密过程中，与服务端的数据传输涉及加密数据和密钥摘要，保证了源数据的安全性，客户端不采用硬编码存储第一密钥或加密数据的相关信息，减小密钥或加密数据的泄露风险。并且，在内存中获取不到由私钥和密文获得的第一密钥时，采用第二密钥的兜底机制，可以保证传输的数据均为加密数据，保证数据传输的安全性。

如图4所示为本公开实施例的一种数据处理的方法的流程示意图，该方法包括：

应用程序产生源数据，调用加密模块对源数据进行加密；

加密模块判断内存中是否包含第一密钥；

若是，将第一密钥作为对源数据进行对称加密的密钥；

若否，判断内存中是否包含密文和私钥，若是，采用私钥对密文进行解密，获得第一密钥，将第一密钥作为对源数据进行对称加密的密钥；若否，则使用第二密钥作为对源数据进行对称加密的密钥；

采用获得的密钥对源数据进行对称加密获得加密后的源数据；

根据摘要算法生成密钥的密钥摘要；

将密钥摘要和加密后的源数据拼接成加密数据，将加密数据作为待处理数据发送至与应用程序对应的业务处理端；

业务处理端接收到待处理数据后，调用解密模块，执行对待处理数据的解密流程；

解密模块判断待处理数据中是否包含密钥摘要；

若待处理数据中不包含密钥摘要，则将待处理数据作为源数据返回给业务处理端；

若待数据处理中包含密钥摘要，则根据密钥摘要从密钥池中获取对应的密钥，然后使用该密钥对待处理数据进行解密，获得源数据，然后将源数据返回至业务处理端；

业务处理端获取到源数据，对源数据进行业务逻辑处理。

本公开实施例的数据处理的方法，利用数据传输管理的方法保障客户端与服务端传输密钥的安全性，并采用对称加密算法对数据进行加密、解密，以提高加密、解密的效率，适用于在客户端与服务端频繁交互敏感数据时对安全性和效率具有高要求的场景，如客户端频繁上报敏感数据的场景。

如图5所示，本公开实施例的还一方面提供一种数据传输管理的装置500，包括：

第一获取模块501，响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；

第一生成模块502，利用客户端的公钥对密钥进行非对称加密，生成与第一密钥对应的密文；

第一发送模块503，将密文发送至客户端，以使客户端根据与公钥对应的私钥对密文进行解密获得第一密钥，第一密钥用于客户端对待传输的源数据进行对称加密。

在本公开实施例的数据传输管理的装置500中，第一密钥的使用周期为客户端的启动周期。

在本公开实施例中，第一获取模块501，还用于：在从密钥池中获取第一密钥之前，生成多个密钥以及每个密钥的密钥摘要，以密钥摘要作为索引保存多个密钥，形成密钥池。

在本公开实施例中，该数据传输管理的装置500还包括解密模块，用于：响应于接收到客户端发送的待处理数据，判断待处理数据是否是加密数据；在待处理数据是加密数据的情况下，利用第一密钥对待处理数据进行解密，以获得与待处理数据对应的源数据。

在本公开实施例中，解密模块，进一步用于：判断待处理数据中是否包含密钥摘要；其中，在待处理数据中包含密钥摘要的情况下，确定待处理数据是加密数据。该解密模块，进一步用于：利用第一密钥对待处理数据进行解密，包括：从密钥池中获取与密钥摘要对应的第一密钥，利用第一密钥对待处理数据进行解密，以获得与待处理数据对应的源数据。

在本公开实施例中，解密模块，进一步用于：判断所述待处理数据中是否包含密钥摘要，包括：判断所述待处理数据中是否包含预设的摘要长度标识；若是，判定所述待处理数据中包含密钥摘要；若否，判定所述待处理数据中不包含密钥摘要。

在本公开实施例中，第一发送模块503，还用于：形成密钥池之后，从密钥池中获取第二密钥发送至客户端，以使客户端在无法获取第一密钥的情况下利用第二密钥对源数据进行加密。

如图6所示，本公开实施例的还一方面提供一种数据处理的装置600，包括：

第二生成模块601，响应于接收到针对源数据的数据传输请求，利用第一密钥基于对称加密算法对源数据进行加密得到加密数据；密钥是采用数据传输管理的方法获得的；

第二发送模块602，将加密数据发送至服务端。

在本公开实施例中，该数据处理的装置600还包括第二获取模块，用于：在利用第一密钥基于对称加密算法对所述源数据进行加密得到加密数据之前，响应于应用程序启动，向服务端发送密钥获取请求以获取所述第一密钥。

在本公开实施例中，第二生成模块601，还用于：在无法获取第一密钥的情况下，利用第二密钥基于对称加密算法对源数据进行加密得到加密数据，将加密数据发送至服务端，第二密钥是从服务端获取的。

在本公开实施例中，第二生成模块601，进一步用于：根据摘要算法生成与第一密钥对应的密钥摘要；采用第一密钥对源数据进行对称加密，生成加密后的源数据；根据密钥摘要和加密后的源数据获得加密数据。

在本公开实施例中，第二生成模块601，进一步用于：获取密钥摘要的摘要长度标识；摘要长度标识指示了密钥摘要的长度和位置；根据密钥摘要的长度和位置，将密钥摘要和加密后的源数据进行拼接，获得加密数据。

本公开实施例的还一方面提供一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现本公开实施例的数据传输管理的方法或数据处理的方法。

本公开实施例的还一方面提供一种计算机可读介质，其上存储有计算机程序，程序被处理器执行时实现本公开实施例的数据传输管理的方法或数据处理的方法。

图7示出了可以应用本公开实施例的数据传输管理的方法或数据传输管理的装置以及数据处理的方法或数据处理的装置的示例性系统架构700。

如图7所示，系统架构700可以包括终端设备701、702、703，网络704和服务器705。网络704用以在终端设备701、702、703和服务器705之间提供通信链路的介质。网络704可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备701、702、703通过网络704与服务器705交互，以接收或发送消息等。终端设备701、702、703上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。

终端设备701、702、703可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器705可以是提供各种服务的服务器，例如对用户利用终端设备701、702、703所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理，并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。

需要说明的是，本公开实施例所提供的数据传输管理的方法一般由服务器705执行，相应地，数据传输管理的装置一般设置于服务器705中；本公开实施例所提供的数据处理的方法一般由终端设备701、702、703执行，相应地，数据处理的装置一般设置于终端设备701、702、703中。

应该理解，图7中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图8，其示出了适于用来实现本公开实施例的终端设备的计算机系统800的结构示意图。图8示出的终端设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图8所示，计算机系统800包括中央处理单元(CPU)801，其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中，还存储有系统800操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。

以下部件连接至I/O接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(CPU)801执行时，执行本公开的系统中限定的上述功能。

需要说明的是，本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括第一获取模块、第一生成模块和第一发送模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，第一获取模块还可以被描述为“响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥的模块”。

作为另一方面，本公开还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；利用客户端的公钥对第一密钥进行非对称加密，生成与第一密钥对应的密文；将密文发送至客户端，以使客户端根据与公钥对应的私钥对密文进行解密获得第一密钥，第一密钥用于客户端对待传输的源数据进行对称加密。

根据本公开实施例的技术方案，提供了数据传输管理的方法，服务端通过摘要算法加密、以密钥摘要为索引等手段进行动态密钥池的生成和维护，保证了密钥的存储安全和获取效率；客户端通过与服务端进行基于非对称加密算法的密钥交换，获得密钥，降低了密钥在客户端存储和网络传输过程中的泄露风险，提升了密钥的安全性；本公开实施例提供的数据处理的方法，利用数据传输管理的方法保障客户端与服务端传输密钥的安全性，并采用对称加密算法对数据进行加密、解密，以提高加密、解密的效率，适用于在客户端与服务端频繁交互敏感数据时对安全性和效率具有高要求的场景，如客户端频繁上报敏感数据的场景。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims

一种数据传输管理的方法，包括：

响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；

利用所述客户端的公钥对所述第一密钥进行非对称加密，生成与所述第一密钥对应的密文；

将所述密文发送至所述客户端，以使所述客户端根据与所述公钥对应的私钥对所述密文进行解密获得所述第一密钥，所述第一密钥用于所述客户端对待传输的源数据进行对称加密。
根据权利要求1所述的方法，其中，所述第一密钥的使用周期为所述客户端的启动周期。
根据权利要求1所述的方法，还包括：在从密钥池中获取第一密钥之前，生成多个密钥以及每个密钥的密钥摘要，以所述密钥摘要作为索引保存所述多个密钥，形成所述密钥池。
根据权利要求1所述的方法，还包括：

响应于接收到客户端发送的待处理数据，判断所述待处理数据是否是加密数据；

在所述待处理数据是加密数据的情况下，利用所述第一密钥对所述待处理数据进行解密，以获得与所述待处理数据对应的源数据。
根据权利要求4所述的方法，其中，判断所述待处理数据是否是加密数据，包括：判断所述待处理数据中是否包含密钥摘要；其中，在所述待处理数据中包含密钥摘要的情况下，确定所述待处理数据是加密数据；

利用所述第一密钥对所述待处理数据进行解密，包括：从所述密钥池中获取与所述密钥摘要对应的所述第一密钥，利用所述第一密钥对所述待处理数据进行解密，以获得与所述待处理数据对应的源数据。
根据权利要求5所述的方法，其中，判断所述待处理数据中是否包含密钥摘要，包括：

判断所述待处理数据中是否包含预设的摘要长度标识；

若是，判定所述待处理数据中包含密钥摘要；

若否，判定所述待处理数据中不包含密钥摘要。
根据权利要求3所述的方法，还包括：形成所述密钥池之后，从所述密钥池中获取第二密钥发送至所述客户端，以使所述客户端在无法获取所述第一密钥的情况下利用所述第二密钥对所述源数据进行加密。
一种数据处理的方法，包括：

响应于接收到针对源数据的数据传输请求，利用第一密钥基于对称加密算法对所述源数据进行加密得到加密数据，所述第一密钥是采用权利要求1-6任一所述的方法生成的；

将所述加密数据发送至服务端。
根据权利要求8所述的方法，还包括：在利用第一密钥基于对称加密算法对所述源数据进行加密得到加密数据之前，响应于应用程序启动，向所述服务端发送密钥获取请求以获取所述第一密钥。
根据权利要求9所述的方法，还包括：在无法获取所述第一密钥的情况下，利用第二密钥基于对称加密算法对所述源数据进行加密得到加密数据，将所述加密数据发送至所述服务端，所述第二密钥是从所述服务端获取的。
根据权利要求8所述的方法，其中，利用所述第一密钥基于对称加密算法对所述源数据进行加密得到加密数据，包括：

根据摘要算法生成与所述第一密钥对应的密钥摘要；

采用所述第一密钥对所述源数据进行对称加密，生成加密后的源数据；

根据所述密钥摘要和所述加密后的源数据获得所述加密数据。
根据权利要求11所述的方法，其中，根据所述密钥摘要和所述加密后的源数据获得加密数据，包括：

获取所述密钥摘要的摘要长度标识；所述摘要长度标识指示了所述密钥摘要的长度和位置；

根据所述密钥摘要的长度和位置，将所述密钥摘要和所述加密后的源数据进行拼接，获得所述加密数据。
一种数据传输管理的装置，包括

第一获取模块，响应于接收到客户端发送的密钥获取请求，从密钥池中获取第一密钥；

第一生成模块，利用所述客户端的公钥对所述第一密钥进行非对称加密，生成与所述第一密钥对应的密文；

第一发送模块，将所述密文发送至所述客户端，以使所述客户端根据与所述公钥对应的私钥对所述密文进行解密获得所述第一密钥，所述第一密钥用于所述客户端对待传输的源数据进行对称加密。
一种数据处理的装置，包括：

第二生成模块，响应于接收到针对源数据的数据传输请求，利用所述第一密钥基于对称加密算法对所述源数据进行加密得到加密数据，所述第一密钥是采用权利要求1-6任一所述的方法生成的；

第二发送模块，将所述加密数据发送至服务端。
一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-12中任一所述的方法。
一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现如权利要求1-12中任一所述的方法。