一种数据传输的方法和设备及其系统与流程

本发明涉及互联网技术领域，尤其涉及一种数据传输的方法和设备及其系统。

背景技术：

随着互联网通讯技术的发展，物联网技术应用到越来越多的场景中，例如电梯物联网。在现有的物联网技术中，设备与服务器之间的一般采用对称加密或者明文的方式进行数据传输，采用对称加密传输时对称加密的密钥是固定不变的，因此一旦对称加密的密钥被破解，将造成极大的安全隐患。

技术实现要素：

本发明实施例提供一种数据传输的方法及设备和系统，可以提供动态变化的对称密钥，即当前的对称密钥与之前生成的对称密钥不同，进而提高信息传输的安全性。

第一方面，本发明实施例提供了一种数据传输的方法，该方法包括：

设备发送通讯连接请求给服务器，以供服务器接收到通讯连接请求后发送公钥给设备，服务器上预存了至少一组公钥和私钥；若设备接收到服务器发送的公钥，设备根据当前的通讯连接请求生成对称密钥，其中，不同的通讯连接请求对应不同的对称密钥；设备利用公钥对本地信息进行加密，本地信息包括对称密钥；设备将加密后的本地信息发送给服务器，以供服务器根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥；设备使用对称密钥与服务器进行加密通讯，直至当前的加密通讯通道中断。

另一方面，本发明实施例提供了一种设备，该设备包括：第一收发单元、生成单元、第一加密单元、第一收发单元以及第一通讯单元。

其中，第一收发单元，用于发送通讯连接请求给服务器，以供服务器接收到通讯连接请求后发送公钥给设备，服务器上预存了至少一组公钥和私钥；生成单元，用于若接收到服务器发送的公钥，根据当前的通讯连接请求生成对称密钥，其中，不同的通讯连接请求对应不同的对称密钥；第一加密单元，用于利用公钥对本地信息进行加密，本地信息包括对称密钥；第一收发单元，还用于将加密后的本地信息发送给服务器，以供服务器根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥；第一通讯单元，用于使用对称密钥与服务器进行加密通讯，直至当前的加密通讯通道中断。

另一方面，本发明实施例提供了一种数据传输的系统，该系统包括服务器和设备，所述设备包括第一收发单元、生成单元、第一加密单元、第一收发单元以及第一通讯单元；所述服务器包括第二收发单元、解密单元以及第二通讯单元。

其中，第一收发单元，用于设备发送通讯连接请求给服务器；第二收发单元，用于服务器接收到通讯连接请求后发送公钥给设备，服务器上预存了至少一组公钥和私钥；生成单元，用于若接收到服务器发送的公钥，设备根据当前的通讯连接请求生成对称密钥，其中，不同的通讯连接请求对应不同的对称密钥；第一加密单元，用于设备利用公钥对本地信息进行加密，本地信息包括对称密钥；第一收发单元，还用于设备将加密后的本地信息发送给服务器；解密单元，用于服务器根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥；第一通讯单元，用于设备使用对称密钥与服务器进行加密通讯，直至当前的加密通讯通道中断；第二通讯单元，用于服务器使用对称密钥与设备进行加密通讯，直至当前的加密通讯通道中断。

本发明实施例所公开的一种数据传输的方法，通过设备每次向服务器发送通讯连接请求时，从服务器获取到公钥，并生成对称密钥，利用公钥加密对称密钥后再发送给服务器端，进而建立加密通讯通道进行加密通讯。利用公钥加密对称密钥提高了传输对称密钥给服务器过程的安全性，且设备每次向服务器发送通讯连接请求时生成的对称密钥均不同，进一步地提高了数据的传输安全性。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种数据传输的方法的示意性流程图；

图2是本发明实施例提供的图1的局部流程图；

图3是本发明实施例提供的图1的局部流程图；

图4是本发明实施例提供的一种数据传输的系统的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或若干个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

本发明实施例提供的一种数据传输的方法运行于数据传输的系统，本发明实施例中所述的数据传输系统常应用于物联网系统，物联网系统包括服务器和设备，服务器和设备之间通过网络进行通讯。上述数据传输的方法具体表示为服务器和设备之间的信息传输方法，通过提供动态变化的对称密钥以及利用非对称密钥加密对称密钥来提高服务器与设备之间信息传输的安全性。本发明实施例中的物联网包括但是不限制为电梯物联网、智能家居物联网等，因此设备不限制为电梯、智能家居等。本发明实施例将以电梯物联网为例进行解释说明。

请看图1，是本发明实施例提供的一种数据传输的方法的示意性流程图，如图所示，一种数据传输的方法包括步骤S101～S107：

步骤S101，设备发送通讯连接请求给服务器，以供服务器接收到通讯连接请求后发送公钥给设备。

具体的，若设备检测到当前未建立与服务器之间的加密通讯通道，则发送通讯连接请求给服务器。应当理解，加密通讯通道表示可以进行加密通讯的连接通道。

步骤S102，服务器发送公钥给设备。

具体的，服务器上预存了非对称密钥，即包括至少一组公钥和私钥，使用公钥加密的数据只有当使用相对应的私钥时才能解密。

步骤S103，若设备接收到服务器发送的公钥，设备根据当前的通讯连接请求生成对称密钥，不同的通讯连接请求对应不同的对称密钥。

不同的通讯连接请求对应不同的对称密钥具体表示为：当前通讯连接请求的对称密钥是唯一的，与之前已生成过对称密钥不同。因此本实施例中优选设备根据当前的通讯连接请求生成对称密钥，包括：

设备获取当前的通讯连接请求的识别标识，其中识别标识是用于表示所述通讯连接请求的唯一标识；以及设备根据识别标识生成对称密钥。

本实施例中优选识别标识包括当前时间或者随机数或者他们的组合。在其它可行的实施例中，识别标识包括当前时间或者随机数的同时，识别标识还包括mac地址或者主板编号或者他们的组合。应当理解，不同的通讯连接请求的当前时间理应不同，不同的通讯连接请求的随机数理应不同，进而保证了根据识别标识生成对称密钥的唯一性。mac地址或者主板编号是用于区分不同设备，进一步保证识别标识的唯一性和独特性。

步骤S104，设备利用公钥对本地信息进行加密，本地信息包括对称密钥。

具体的，对称密钥是设备生成的，属于设备的本地信息。利用公钥加密本地信息可以提高信息的安全级别，防止中间人攻击而在网络中获取到对称密钥。

步骤S105，设备将加密后的本地信息发送给服务器，以供服务器根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥。

步骤S106，服务器若接收到被加密的本地信息，服务器根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥。

具体的，基于加密后的本地信息是设备利用接收的公钥加密本地信息而得，因此服务器利用与公钥相匹配的私钥可以进行解密。

步骤S107，设备与服务器使用对称密钥进行加密通讯，直至当前的加密通讯通道中断。

需要说明的是，设备与服务器使用对称密钥进行加密通讯，则表示加密通讯通道已经建立，而当前的加密通讯通道中断后，下一次再需要建立加密通讯通道时，重复步骤S101～S107。进而保证当前的加密通讯通道与后续的加密通讯通道相互独立，即使当前的加密通讯中的对称密钥被破解，后续的加密通讯中的对称密钥是未破解的，提高了数据传输的安全性。

在一些实施例中，若设备或者服务器检测到当前信息已经传输完成时，中断当前的加密通讯通道；在另一些实施例中，若设备或者服务器检测到受到攻击，中断当前的加密通讯通道；在一些可行的实施例中，间隔预设时间，服务器或者设备中断当前的加密通讯通道。即在当前的传输任务中实现了多次加密通讯通道的建立和中断，进而在当前的传输任务中动态更新了对称密钥，提高信息传输的安全性。应当理解，网络异常时也将道中当前的加密通讯通道中断。

综上所述，步骤S101、步骤S103、步骤S104、步骤S105以及步骤S107是运行于设备，步骤S102、步骤S106以及步骤S107是运行于服务器。本发明实施例中所述的数据传输的方法通过设备生成的动态变化的对称密钥来提高信息传输的安全性，另一方面，设备通过服务器发送的公钥来加密对称密钥，可以防止中间人攻击，防止中间人从网络中获取到对称密钥，进一步提高信息传输的安全性。

需要说明的是，在另一些实施中，为了提高安全性能，防止服务器与非授权的设备进行通讯，设备上的本地信息还包括设备鉴权码，请看图2，在上述实施例的基础上，步骤S107设备与服务器使用对称密钥进行加密通讯之前，数据传输的方法还包括如下步骤：

步骤S201，服务器根据与公钥相匹配的私钥解密加密后的本地信息来获取设备鉴权码；

步骤S202，服务器根据设备鉴权码识别设备是否是授权设备，若是授权设备，再执行步骤S107；若不是授权设备，执行S203；

步骤S203，中断通讯连接。

应当理解，服务器获取设备鉴权码的步骤S201和步骤S106可以视为同一步骤执行，也可以先后执行。设备鉴权码为设备的唯一标识，其包括主板编号、mac地址、物联网卡等或者他们的任意组合。此外，服务器上预存了与授权设备的鉴权码相匹配的数据，若服务器上存在数据与设备鉴权码相匹配，则表示服务器是授权设备；若服务器上不存在数据与设备鉴权码相匹配，则表示服务器不是授权设备。

还需要说明的是，为了进一步提高信息传输的安全性，防止中间人破解服务器的公钥和私钥，优选服务器上的公钥和私钥是根据时间变化进行动态变化，进而提高信息传输的安全性。在一些可行的实施例中，上述时间变化表示为服务器重启时间，即服务器每次重启时将会更新公钥和私钥。在一些可行的实施例中，上述时间变化表示为加密通讯通道中断时间，即加密通讯通道每次中断后将会更新公钥和私钥，以供下一次通讯连接时使用。

若服务器上的公钥和私钥是随时间变化而动态变化的，在一些实施例中，则服务器上的公钥和私钥是根据服务器当前信息生成的，例如当前时间；在另一些实施例中，则服务器上的公钥和私钥还可以是随机生成的，每组公钥和私钥匹配了一个随机数，不同组的公钥和私钥的随机数不同。

还需要说明的是，为了进一步提高信息传输的安全性，防止中间人在网络传输过程破解服务器发送的公钥，请看图3，在上述实施例的基础上，若服务器上预存了若干组公钥和私钥，数据传输的方法还包括如下步骤：

步骤S301，服务器从若干组公钥和私钥中选择一组公钥和私钥；

步骤S302，服务器将若干组公钥和私钥中剩余的公钥依次加密被选择一组公钥和私钥中的公钥。

再执行步骤S102，此时步骤S102具体为：服务器将被加密的公钥发送给设备，以供设备利用被加密的公钥加密本地信息。服务器接收到被加密后的本地信息后，依次利用若干组公钥和私钥中的私钥进行解密来获取到对称密钥和设备鉴权码。

另一方面，若服务器上预存了若干组公钥和私钥，优选生成公钥和私钥时，每组公钥和私钥的生成算法不同，进而提高公钥和私钥的安全性。

具体的，若服务器包括第一组公钥和私钥以及第二组公钥和私钥，则将第二组的公钥加密第一组的公钥，再将加密后的第一组的公钥发送给设备；服务器接收到设备利用公钥加密后本地信息后，先用第二组的私钥进行解密。

请看图4，是本发明实施例提供的一种数据传输的系统的示意性框图，如图所示，该系统40包括设备41和服务器42。服务器42和设备41通过网络连接。

其中，设备41包括第一收发单元410、生成单元411、第一加密单元412以及第一通讯单元413。

第一收发单元410，用于设备41发送通讯连接请求给服务器42，以供服务器42接收到通讯连接请求后发送公钥给设备41。

生成单元411，用于若设备41接收到服务器42发送的公钥，设备41根据当前的通讯连接请求生成对称密钥，不同的通讯连接请求对应不同的对称密钥。

具体的，不同的通讯连接请求对应不同的对称密钥具体表示为：当前通讯连接请求的对称密钥是唯一的，与之前已生成过对称密钥不同。因此本实施例中优选生成单元411包括获取单元以及处理单元。

其中，获取单元，用于设备41获取当前的通讯连接请求的识别标识，其中识别标识是用于表示所述通讯连接请求的唯一标识；处理单元，用于设备41根据识别标识生成对称密钥。

本实施例中优选识别标识包括当前时间或者随机数或者他们的组合。在其它可行的实施例中，识别标识包括当前时间或者随机数的同时，识别标识还包括mac地址或者主板编号或者他们的组合。应当理解，不同的通讯连接请求的当前时间理应不同，不同的通讯连接请求的随机数理应不同，进而保证了根据识别标识生成对称密钥的唯一性。mac地址或者主板编号是用于区分不同设备，进一步保证识别标识的唯一性和独特性。

第一加密单元412，用于设备41利用公钥对本地信息进行加密，本地信息包括对称密钥。

具体的，对称密钥是设备41生成的，属于设备41的本地信息。利用公钥加密本地信息可以提高信息的安全级别，防止中间人攻击而在网络中获取到对称密钥。

第一收发单元410，还用于设备41将加密后的本地信息发送给服务器42，以供服务器42根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥。

第一通讯单元413，用于设备41利用对称密钥与服务器42进行加密通讯，直至当前的加密通讯通道中断。

另一方面，服务器42包括第二收发单元420、解密单元421、第二通讯单元422。

其中，第二收发单元420，用于接收设备41发送的通讯连接请求，并发送发送公钥给设备41。

具体的，服务器42上预存了非对称密钥，即包括至少一组公钥和私钥，使用公钥加密的数据只有当使用相对应的私钥时才能解密。

第二收发单元420，还用于接收设备41发送的被加密的本地信息。

解密单元421，用于服务器42根据与公钥相匹配的私钥解密加密后的本地信息来获取对称密钥。

第二通讯单元422，用于服务器42使用对称密钥与设备41进行加密通讯，直至当前的加密通讯通道中断。

需要说明的是，加密通讯通道表示可以进行加密通讯的连接通道。在一些实施例中，第一通讯单元413，还用于设备41中断当前的加密通讯通道。例如设备41检测到当前信息已经传输完成时，中断当前的加密通讯通道。或者设备41检测受到攻击，中断当前的加密通讯通道。或者间隔预设时间，设备41中断当前的加密通讯通道

第二通讯单元422，还用于服务器42中断当前的加密通讯通道。例如服务器42检测到当前信息已经传输完成时，中断当前的加密通讯通道。或者服务器42检测受到攻击，中断当前的加密通讯通道。或者间隔预设时间，服务器42中断当前的加密通讯通道。

应当理解，网络异常时也将导致当前的加密通讯通道中断。

需要说明的是，在另一些实施中，为了提高安全性能，防止服务器与非授权的设备进行通讯，设备41上的本地信息还包括设备鉴权码，服务器42还包括鉴权单元。

其中，解密单元421，还用于服务器42根据与公钥相匹配的私钥解密加密后的本地信息来获取设备鉴权码。

鉴权单元，用于服务器42根据设备鉴权码识别设备41是否是授权设备，若是授权设备，第一通讯单元413使用对称密钥与服务器42进行加密通讯以及第二通讯单元422使用对称密钥与设备41进行加密通讯，直至当前的加密通讯通道中断；若不是授权设备，第一通讯单元413和第二通讯单元422中断通讯连接。

设备鉴权码为设备的唯一标识，其包括主板编号、mac地址、物联网卡等或者他们的任意组合。此外，服务器42上预存了与授权设备的鉴权码相匹配的数据，若服务器42上存在数据与设备鉴权码相匹配，则表示服务器42是授权设备；若服务器42上不存在数据与设备鉴权码相匹配，则表示服务器42不是授权设备。

还需要说明的是，为了进一步提高信息传输的安全性，防止中间人破解服务器42端的公钥和私钥，优选服务器42上的公钥和私钥是根据时间变化进行动态变化，进而提高信息传输的安全性。因此，服务器42上还包括更新单元，更新单元用于服务器42是随时间动态更新公钥和私钥。在一些可行的实施例中，上述时间变化表示为服务器42重启时间，即服务器42每次重启时将会更新公钥和私钥。在一些可行的实施例中，上述时间变化表示为加密通讯通道中断时间，即加密通讯通道每次中断后将会更新公钥和私钥，以供下一次通讯连接时使用。

若服务器42上的公钥和私钥是随时间动态变化的，在一些实施例中，则服务器42上的公钥和私钥是根据服务器42当前信息生成的，例如当前时间；在另一些实施例中，则服务器42上的公钥和私钥还可以是随机生成的，每组公钥和私钥匹配了一个随机数，不同组的公钥和私钥的随机数不同。

还需要说明的是，为了进一步提高信息传输的安全性，防止中间人在网络传输过程破解服务器发送的公钥，若服务器42上预存了若干组公钥和私钥，优选服务器42还包括选择单元以及第二加密单元。

选择单元，用于服务器42从若干组公钥和私钥中选择一组公钥和私钥。

第二加密单元，用于服务器42将若干组公钥和私钥中剩余的公钥依次加密被选择一组公钥和私钥中的公钥。

第二收发单元420，用于服务器42将被加密的公钥发送给设备41，以供设备41利用被加密的公钥加密本地信息。

另一方面，若服务器上预存了若干组公钥和私钥，优选生成公钥和私钥时，每组公钥和私钥的生成算法不同，进而提高公钥和私钥的安全性。

需要说明的是，本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。

本发明实施例中的单元可以根据实际需要进行合并、划分和删减。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的设备、服务器、系统和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本申请所提供的几个实施例中，应该理解到，所揭露的设备、服务器、系统和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如若干个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

另外，在本发明各个实施例中的各功能单元可以集成在一个第一处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。