一种数据传输方法、数据发送装置及数据接收装置与流程

本发明涉及数据传输技术领域，尤其涉及一种数据传输方法、数据发送装置及数据接收装置。

背景技术：

随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业领域。但与此带来的工业控制系统安全问题也越来越多，一系列工业控制系统安全事件陆续曝光，并且呈增长趋势。因此，提升工业控制系统的安全性已成为重中之重。

对工业通讯协议数据进行加密是一种直观有效的提升工业控制系统方案。在现有技术中，通过在工业控制系统中增加数据加密设备或密钥管理服务器硬件，实现对工业通讯数据的加密，提升工业控制系统的安全性。但是，增加额外的数据加密设备或密钥管理服务器硬件，带来了工业控制系统成本的增加，同时提高了工业控制系统出现故障的概率。

技术实现要素：

基于上述现有技术中的缺陷和不足，本发明提供一种数据传输方法、数据发送装置及数据接收装置，在发送数据时，不需要额外增加数据加密设备，即可实现在嵌入式设备内部基于安全层的数据加密处理。

本发明的第一方面提供了一种数据传输方法，包括以下步骤：数据发送装置接收应用程序发送的原始数据，并生成动态密钥；然后将所述原始数据封装成数据报文，并为所述数据报文增加由特定数据构成的安全层首部；其中，所述特定数据用于所述原始数据通过网络安全层。数据发送装置对所述数据报文的安全层首部中的数据和原始数据进行校验计算，得到校验数据，并将所述校验数据增加到所述数据报文中；使用所述动态密钥，对所述数据报文的原始数据及校验数据进行加密处理，最后将加密处理后的所述数据报文，发送给数据接收装置。采用上述数据传输方法，在数据发送装置内部，即实现了对所发送数据的加密，不需要额外增加数据加密设备，节省成本且系统故障率低。

本发明的第二方面提供了一种数据发送装置，包括：数据接收单元，用于接收应用程序发送的原始数据；密钥生成单元，用于生成动态密钥；数据封装单元，用于将所述原始数据封装成数据报文，并为所述数据报文增加由特定数据构成的安全层首部；其中，所述特定数据用于所述原始数据通过网络安全层；校验单元，用于对所述数据报文的安全层首部中的数据和原始数据进行校验计算，得到校验数据，并将所述校验数据增加到所述数据报文中；加密单元，用于使用所述动态密钥，对所述数据报文的原始数据及校验数据进行加密处理；数据发送单元，用于将加密处理后的所述数据报文，发送给数据接收装置。本发明提出的数据发送装置，在从应用程序接收数据并进行发送时，实现对数据的加密处理，省去了增加额外的数据加密装置对数据进行加密，节省了系统建设成本。

在一个实现方式中，所述生成动态秘钥，包括：与数据接收装置协商初始密钥；生成随机数；利用所述初始密钥和所述随机数，计算得到动态密钥。数据发送装置在生成密钥时，与数据接收装置协商确定初始密钥，数据发送装置与数据接收装置使用相匹配的初始密钥，能够分别实现对数据的加密及解密。

在一个实现方式中，在对所述数据报文的安全层首部中的数据和原始数据进行检验计算，得到校验数据，并将所述校验数据增加到所述数据报文中之后，该方法还包括：将需要明文发送的，标识所述数据报文的关键数据，以及所述随机数存储到所述数据报文的安全层首部中。本发明将标识数据报文的关键数据存储到安全层首部中进行明文发送，使数据接收装置在接收到数据报文时，能够通过安全层首部中的关键数据判断接收到的数据报文是新的数据报文，还是重复的数据报文，从而进一步决定是否进行数据解析，避免了数据接收装置解析重复的数据报文。

本发明的第三方面提供了另一种数据传输方法，包括以下步骤：数据接收装置接收数据发送装置发送的数据报文，识别所述数据报文安全层首部中的随机数；然后根据所述随机数，以及与所述数据发送装置协商得到的初始密钥，对所述数据报文进行解密处理，得到所述数据报文中的原始数据和校验数据。数据接收装置对所述数据报文的安全层首部中的数据及原始数据进行校验计算，并将计算结果与所述校验数据进行对比，当所述计算结果与所述校验数据相同时，将所述原始数据发送至应用程序。在上述数据传输方法中，数据接收装置直接对接收到的数据进行解密及校验处理，不需要增加额外的数据加解密设备，节省了数据传输系统的建设成本，降低了系统故障概率。

本发明的第四方面提供了一种数据接收装置，包括：接收单元，用于接收数据发送装置发送的数据报文；随机数识别单元，用于识别所述数据报文安全层首部中的随机数；解密单元，用于根据所述随机数，以及与所述数据发送装置协商得到的初始密钥，对所述数据报文进行解密处理，得到所述数据报文中的原始数据和校验数据；校验计算单元，用于对所述数据报文的安全层首部中的数据及原始数据进行校验计算，并将计算结果与所述校验数据进行对比；发送单元，用于当所述计算结果与所述校验数据相同时，将所述原始数据发送至应用程序。上述数据接收装置，在接收到数据报文后，自动完成对数据报文的识别、解密及校验，不需要增加额外的数据加解密设备，即可实现应用程序所需数据的还原，节省了数据传输系统建设成本。

在一个实现方式中，在接收数据发送装置发送的数据报文之后，在识别所述数据报文安全层首部中的随机数之前，该方法还包括：识别所述数据报文安全层首部中，用于标识所述数据报文的关键数据；根据所述关键数据，判断是否解析所述数据报文；当判断解析所述数据报文时，识别所述数据报文安全层首部中的随机数。数据接收装置在对接收到的数据报文进行解密之前，首先通过识别数据报文安全层首部中的关键数据，判断接收到的数据报文是新的数据报文，还是重复的数据报文。如果是重复的数据报文，则数据接收装置不再对数据报文进行解密，而是直接丢弃，节省了数据接收装置处理数据的时间。

在一个实现方式中，所述根据所述随机数，以及与数据发送装置协商得到的初始密钥，对所述数据报文进行解密处理，得到所述数据报文中的原始数据和检验数据，包括：根据所述随机数，以及与所述数据发送装置协商得到的初始密钥，计算得到动态密钥；利用所述动态密钥，对所述数据报文进行解密处理，得到所述数据报文中的原始数据和校验数据。数据发送装置不直接将密码发送给数据接收装置，而是将用于计算得到动态密钥的随机数发送给数据接收装置，数据接收装置根据随机数，以及与数据发送装置协商得到的初始密钥，采用与数据发送装置相同的计算方法，自行计算得到动态密钥，提高了数据加密的安全性。

在一个实现方式中，在对所述数据报文的安全层首部及原始数据进行校验计算，并将计算结果与所述校验数据进行对比，并且确认所述计算结果与所述校验数据相同之后，在将所述原始数据发送至应用程序之前，该方法还包括：从所述数据报文中，提取得到原始数据。原始数据是应用程序可以利用的数据，数据接收装置在解析数据报文后，删除各层首部及校验数据，从数据报文中提取得到原始数据，然后将原始数据发送给应用程序。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本发明提供的带安全层的TCP/IP5层模型结构示意图；

图2是本发明提供的一种数据传输方法的过程示意图；

图3是本发明提供的数据报文结构示意图；

图4是本发明提出的数据加密及校验范围示意图；

图5是本发明提供的现有技术中的数据解密及校验范围示意图；

图6是本发明提供的一种数据发送装置的结构示意图；

图7是本发明提供的另一种数据发送装置的结构示意图；

图8是本发明提供的一种数据接收装置的结构示意图；

图9是本发明提供的另一种数据接收装置的结构示意图；

图10是本发明提供的另一种数据接收装置的结构示意图；

图11是本发明提供的另一种数据接收装置的结构示意图。

具体实施方式

随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业领域，使得工业发展走向智能化、自动化。但是由此带来的工业控制系统安全问题也越来越多，一系列工业控制系统安全问题陆续曝光，并呈增长趋势。因此，在工业技术飞速发展的同时，提高工业控制系统的安全性已成为重中之重。提升工业控制系统的安全性是一项全方面的工作，需要从不同层面、不同角度来进行。其中，对于工业控制系统使用的工业通讯协议数据进行加密保护，是一种最直观、最有效的方案。

在传统数据加密方法中，通常需要使用额外设备对原始数据进行加解密，或者需要使用额外的密钥管理服务器硬件配合，才能对传输的数据进行加密及解密，以保证数据安全传输。但是增加额外设备或密钥管理服务器，会导致成本增加，并且提高数据传输系统发生故障的概率。

本发明实施例提出一种数据传输方法、数据发送装置及数据接收装置，能够在不增加额外设备的前提下，对传输的数据进行加解密，保证数据安全传输。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为保证应用数据可以安全可靠地传输，如图1所示，在标准TCP/IP四层模型结构的基础上，在传输层与应用层之间增加一个安全层。数据经过安全层时，对数据进行加解密及校验，以保证数据安全传输。

具体的，参见图2所示，本发明实施例提出的数据传输方法包括以下步骤：

S201、数据发送装置接收应用程序发送的数据，作为应用层原始数据；

应用程序属于标准TCP/IP四层模型结构中的应用层，应用程序产生的数据是需要在网络中进行传输的数据，在本发明实施例中，称之为应用层原始数据。

S202、数据发送装置与数据接收装置协商初始密钥。

数据发送方与数据接收方在每一次会话时，都要首先协商一次收发双方共同的初始密钥。本发明技术方案不对收发双方协商密钥的算法进行限制，收发双方可以根据运算能力进行选择支持。为了加强数据安全性，本发明实施例使用非对称方式协商，即收发双方使用非对称加密算法计算初始密钥。

非对称加密算法是一种密钥的保密方法。非对称加密算法需要两个密钥：公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方收到该机密信息后，用自己保存的另一把专用密钥对加密后的信息进行解密。另一方面，甲方可以使用乙方的公钥对机密信息进行签名后发送给乙方；乙方收到该机密信息后，用自己的私钥对数据进行验签。

非对称密码体制的特点是：算法复杂，其安全性依赖于算法与密钥，但是由于其算法复杂，使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥，所以保证信息的安全性就是保证密钥的安全性。而非对称密钥体制有两种密钥，其中一个是公开的，它消除了收发双方交换密钥的需要，更加提高了数据及密码的安全性。

具体的，在本发明实施例中，收发双方选择RSA加密算法或SM2椭圆曲线公钥密码算法协商初始密钥。

S203、数据发送装置生成随机数；

数据发送方在每次发送数据时，都生成一个随机数，该随机数用于与步骤S202中协商得到的初始密钥一起计算得到动态密钥。同时，该随机数作为数据报文安全层首部的一部分以明文传输。数据接收方在接收到数据报文时，能够根据安全层首部中的随机数，结合初始密钥，计算得到动态密钥，对数据报文进行解密。

S204、数据发送装置由初始密钥和随机数计算得到动态密钥；

在数据发送方和数据接收方内部存储有按照预设规则设计的相同的数学算式，该数学算式用于以初始密钥和随机数为输入，计算得到动态密钥。同样的，数据接收方也能够根据事先协商好的初始密钥，以及从数据报文安全层首部识别到的随机数，利用所述数学算式，计算得到动态密钥。

S205、数据发送装置在应用层原始数据前增加安全层首部、数据链路层首部、网络层首部及传输层首部；

应用层原始数据在通过标准TCP/IP四层协议时，需要在应用层原始数据前面增加一些与各层对应的标准格式的数据，才能在网络中传输。这些与各层对应的标准格式的数据，称为首部。如图3所示，与数据链路层对应的数据，称为数据链路层首部；与网络层对应的数据，称为网络层首部；与传输层对应的数据，称为传输层首部。同样的，由于本发明实施例的技术方案在标准TCP/IP四层模型结构中增加了安全层，因此，数据报文要通过安全层，需要增加与安全层对应的标准格式的数据，称为安全层首部。

S206、数据发送装置对安全层首部中的数据和应用层原始数据进行校验计算，并将校验数据增加到应用层原始数据之后；

校验计算是指将一段明文，通过一种不可逆的方式，计算得出一段短密文。这段短密文可作为明文的一种标识，通过检验标识的正确性，可以保证数据传输的正确性和完整性。

校验是一种数据传输检错方法，数据发送方对数据进行校验计算，并将计算得到的校验结果附在数据后面。接收方也执行相同的校验计算，接收方对比自身计算得到的校验结果与附在数据之后的校验结果是否相同，来判断接收到的数据是否正确及是否完整：如果自身计算得到的校验结果与附在数据之后的校验结果相同，则说明接收方接收到的数据是正确的且完整的；如果自身计算得到的校验结果与附在数据之后的校验结果不相同，则说明接收方接收到的数据是不正确的或不完整的。

本发明实施例不对数据发送装置进行校验计算的算法进行限制，数据发送装置可根据运算能力进行选择支持。例如，数据发送装置可以选择SM3密码杂凑算法、消息摘要算法第5版、安全哈希算法(Secure Hash Algorithm，SHA1)、循环冗余校验码(Cyclic Redundancy Check，CRC)等算法进行校验计算。但是要保证数据发送装置与数据接收装置的校验计算算法相同，以使数据发送装置与数据接收装置针对相同的数据，校验计算得到相同的校验数据。

S207、数据发送装置将需要明文发送的，标识所述数据报文的关键数据，以及所述随机数存储到安全层首部中；

工业通讯协议通常使用冗余的方式来增加数据传输的可靠性，防止攻击者恶意重复攻击数据，这就意味着数据接收方可能会收到两包以上的相同数据，这时数据接收方根据预设规则进行重复数据的丢弃，即数据接收方在接收到相同标识的数据包时，要丢弃重复的数据包。

基于上述工业通讯原理，在数据报文中，需要有特定的标识用于标记数据包。在现有的数据加密方法中，将所述标识加密到应用层原始数据中，数据接收装置在接收到数据包时，需要对数据包进行解密后，才能识别到数据包的标识信息，耗费较长的处理时间，降低了数据传输的实时性。因此，对于区分不同数据包的标识信息，设定为关键数据，并且要明文发送。在本发明实施例中，将需要明文发送的关键数据存储到安全层首部中，数据发送装置对安全层首部进行校验计算但是不加密。使数据接收装置在接收到数据包时，能够直接获取到数据包标识信息，确认接收到的数据包是不是重复的数据包，进一步决定是否进行解密处理，保证了数据传输的实时性。

相应的，在数据收发装置中，需要设置关键数据处理单元，用于对关键数据，尤其是标识数据报文的标识信息进行存储及识别。在所述关键数据处理单元内，还需要有数据丢弃模块，用于分析接收到的数据包是否应该丢弃。

需要说明的是，在步骤S203中生成的随机数，也要增加到安全层首部中。数据接收方在接收到数据报文时，从数据报文的安全层首部识别得到随机数，根据随机数进一步计算得到动态密钥。

S208、数据发送装置使用动态密钥对应用层原始数据和校验数据进行整体加密；

如图4所示，本发明实施例对应用层原始数据和检验数据进行整体加密，在保护应用层原始数据的同时，对校验数据也一同进行了加密，防止校验数据被篡改，从而影响数据接收装置对应用层原始数据的正常接收。

在现有技术中，也有在TCP/IP四层结构中增加安全层，进一步在安全层对数据进行加密的方案。但是，现有技术中的方案只对应用层数据进行了加密，如图5所示。由于应用层原始数据之后的校验数据是通过应用层原始数据校验计算得到的，校验数据作为数据接收方检验是否接收到正确的数据的依据，如果被篡改，会影响数据接收方正确接收数据。因此，本发明实施例的技术方案在对应用层原始数据加密的同时，对校验数据也进行了加密，更进一步提高了应用层原始数据传输的安全性。

S209、数据发送装置将数据报文通过TCP/IP协议栈发送；

数据发送装置将经过上述校验、加密等操作后的数据报文，通过TCP/IP协议栈发送给数据接收装置。

S210、数据接收装置通过TCP/IP协议栈接收数据报文；

S211、数据接收装置识别数据报文安全层首部中的，用于标识该数据报文的关键数据，并根据所述关键数据决定是否解析该数据报文；当根据所述关键数据确认该数据报文是重复的数据报文时，将该数据报文丢弃；当确认该数据报文是新的数据报文时，对该数据报文进行进一步解析；

数据接收装置从接收到的数据报文的安全层首部中，识别到用于标识该数据报文的关键数据。通过对比所述关键数据与已经接收到的数据报文的关键数据，数据接收装置能够确认接收到的数据报文是新的数据报文，还是重复的数据报文。本发明实施例不对数据接收装置分析接收到的数据报文是信道数据报文，还是重复的数据报文的算法进行限定。任何能够使数据接收装置分析出接收到的数据报文是新的数据报文，还是重复的数据报文的方法，都可以被本发明实施例采用。如果是重复的数据报文，则数据接收装置将该数据报文丢弃，不做处理；如果是新的数据报文，则进入下一步流程，进行进一步解析。

下面以通讯序列号比较作为丢弃重复数据包的预设规则，对数据接收方判断是否丢弃数据包的过程进行说明：

数据发送装置将通讯序列号作为安全层首部的一部分以明文传输；

数据发送装置每发送一包加密数据，通讯序列号加1。同样的，数据发送装置在发送冗余数据时，也是每发送一包数据，通讯序列号加1。

数据接收装置每接收到一包加密数据，比较接收到的数据包的通讯序列号与上一次接收到的数据包的通讯序列号。如果接收到的数据包的通讯序列号大于上一次接收到的数据包的通讯序列号，则接收本包数据；如果接收到的数据包的通讯序列号不大于上一次接收到的数据包的通讯序列号，则丢弃本包数据。

S212、数据接收装置从数据报文的安全层首部中识别得到随机数，并根据所述随机数计算得到动态密钥；

在数据发送装置发送数据时，利用随机数和初始密钥计算得到动态密钥。初始密钥是数据发送装置与数据接收装置事先已经协商好的，并且在数据发送装置与数据接收装置中，存储有相同的利用随机数和初始密钥计算得到动态密钥的计算方法。因此，数据接收装置在接收到数据报文时，从数据报文的安全层首部识别到随机数后，结合自身已知的初始密钥，能够计算得到动态密钥。

S213、数据接收装置利用所述动态密钥对数据报文进行解密，得到应用层原始数据和校验数据；

在步骤S212中，数据接收装置计算得到动态密钥后，利用所述动态密钥对数据报文进行解密计算，得到被加密的应用层原始数据和校验数据。

S214、数据接收装置对安全层首部中的数据和应用层原始数据进行校验计算，将计算结果与解密得到的校验数据进行对比，如果计算结果与校验数据相同，则对数据报文进行下一步处理；如果计算结果与校验数据不同，则将该数据报文丢弃；

与数据发送装置相同，数据接收装置也对安全层首部和应用层原始数据进行校验计算，并将校验计算结果与数据发送装置校验计算得到的校验数据进行对比。由于数据发送装置与数据接收装置进行校验计算的算法相同，因此，数据发送装置与数据接收装置针对相同的数据，得到的校验结果应该是相同的。

基于上述原理，数据接收装置可以通过对比自身计算得到的校验结果与数据发送端发送的校验数据，来判断接收到的数据与数据发送装置发送的数据是否相同。具体的，如果数据接收装置校验计算得到的结果，与解密得到的校验数据，即数据发送装置计算得到的校验数据相同，则说明数据发送装置接收到的数据与数据发送装置发送的数据相同，对数据报文进行下一步处理；如果数据接收装置校验计算得到的结果与解密得到的校验数据不同，则说明数据接收装置校验计算的数据与数据发送装置校验计算的数据不同，即数据接收装置接收到的数据与数据发送装置发送的数据不同，本次数据传输失败，将接收到的数据报文丢弃。

S215、数据接收装置将数据报文中的安全层首部、数据链路层首部、网络层首部、传输层首部及校验数据删除，得到应用层原始数据；

数据报文中的应用层原始数据，是数据接收方的应用程序需要的数据。数据接收装置在接收到数据报文时，要从数据报文中提取得到应用层原始数据，去掉应用程序不需要的数据信息。具体的，数据接收装置将数据发送装置为了便于数据在网络中传输，而在应用层原始数据前后增加的安全层首部、数据链路层首部、网络层首部、传输层首部及校验数据进行删除，得到应用层原始数据。

S216、数据接收装置将应用层原始数据发送给应用程序。

数据接收装置将数据报文中的安全层首部、数据链路层首部、网络层首部、传输层首部及校验数据删除之后得到的应用层原始数据，是数据发送端应用程序想要发送给数据接收端应用程序的数据，数据接收装置将应用层原始数据发送给本端应用程序，完成数据传输。

从上述过程可以看出，本发明实施例的技术方案，通过在TCP/IP四层模型结构中增加安全层，实现基于安全层的数据加密保护。在数据发送时，对数据报文进行校验，将校验结果随应用层原始数据发送，并对应用层原始数据及校验结果进行加密，防止校验数据被篡改。对数据进行校验并加密，实现了对传输数据的双重保护，使数据传输更安全。

本发明实施例技术方案不需要额外增加数据加密设备或者额外的密钥管理服务器对原始数据进行加解密，因此不会导致成本增加，也不会提高数据传输系统发生故障的概率。

另一方面，本发明实施例将用于标识数据报文的关键数据进行明文发送，数据接收装置在接收到数据报文时，能够根据关键数据判断接收到的数据报文是新的数据报文还是重复的数据报文，从而决定是将数据报文丢弃，还是进行下一步处理。在满足工业通信协议使用冗余方式来增加通信可靠性的同时，保证了数据报文传输的实时性。

图6是本发明提供的数据发送装置的结构示意图，所述数据接收装置包括：数据接收单元601，用于接收应用程序发送的原始数据；密钥生成单元602，用于生成动态密钥；数据封装单元603，用于将所述原始数据封装成数据报文，并为所述数据报文增加由特定数据构成的安全层首部；其中，所述特定数据用于所述原始数据通过网络安全层；校验单元604，用于对所述数据报文的安全层首部中的数据和原始数据进行校验计算，得到校验数据，并将所述校验数据增加到所述数据报文中；加密单元605，用于使用所述动态密钥，对所述数据报文的原始数据及校验数据进行加密处理；数据发送单元606，用于将加密处理后的所述数据报文，发送给数据接收装置。

图7是本发明提供的另一种数据发送装置的结构示意图，所述数据发送装置的密钥生成单元602，包括：信息交互单元6021，用于与数据接收装置协商初始密钥；随机数生成单元6022，用于生成随机数；计算单元6023，用于利用所述初始密钥和所述随机数，计算得到动态密钥。

图6及图7中所示的数据发送装置的各个单元的具体工作内容，请参见对应的方法实施例的内容，此处不再赘述。

图8是本发明提供的一种数据接收装置的结构示意图，所述数据接收装置，包括：接收单元801，用于接收数据发送装置发送的数据报文；随机数识别单元802，用于识别所述数据报文安全层首部中的随机数；解密单元803，用于根据所述随机数，以及与所述数据发送装置协商得到的初始密钥，对所述数据报文进行解密处理，得到所述数据报文中的原始数据和校验数据；校验计算单元804，用于对所述数据报文的安全层首部中的数据及原始数据进行校验计算，并将计算结果与所述校验数据进行对比；发送单元805，用于当所述计算结果与所述校验数据相同时，将所述原始数据发送至应用程序。

图9是本发明提供的另一种数据接收装置的结构示意图，所述数据接收装置还包括关键数据识别处理单元806，用于在接收单元801接收数据发送装置发送的数据报文之后，在随机数识别单元802识别所述数据报文安全层首部中的随机数之前，识别所述数据报文安全层首部中，用于标识所述数据报文的关键数据；根据所述关键数据，判断是否解析所述数据报文；当判断解析所述数据报文时，使能所述随机数识别单元识别所述数据报文安全层首部中的随机数。

图10是本发明提供的另一种数据接收装置的结构示意图，所述数据接收装置的解密单元803，包括：动态密钥计算单元8031，用于根据所述随机数，以及与所述数据发送装置协商得到的初始密钥，计算得到动态密钥；解密处理单元8032，用于利用所述动态密钥，对所述数据报文进行解密处理，得到所述数据报文中的原始数据和校验数据。

图11是本发明提供的另一种数据接收装置的结构示意图，所述数据接收装置还包括数据提取单元807，用于在所述校验计算单元804对所述数据报文的安全层首部及原始数据进行校验计算，并将计算结果与所述校验数据进行对比，并且确认所述计算结果与所述校验数据相同之后，在所述发送单元805将所述原始数据发送至应用程序之前，从所述数据报文中，提取得到原始数据。

图8、图9、图10及图11所述的数据接收装置的各个单元的具体工作内容，请参见对应的方法实施例的内容，此处不再赘述。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。