一种数据加密方法及装置、数据解密方法及装置与流程

本发明涉及信息安全技术领域，尤其涉及一种数据加密方法及装置、数据解密方法及装置、计算机装置、可读存储介质。

背景技术：

目前，对于工业领域(例如，压缩机、发电机组、柴油机、工业锅炉、汽轮机、水处理装置、某个化工工艺装置、自动化产线、机加工设备、产线、物料传输设备及包装设备等)而言，工业设备的运行是否良好，涉及到广大民众的生活质量及企业效益。因此，如何获取相应工业领域的数据，并利用该数据对相应工业领域中的设备进行控制与状态分析等显得尤为重要。

然而，在数据的传输过程中，可能存在数据的非法抓取或拦截等问题而导致数据的泄露，也可能存在数据的非法篡改，但对于一些工业领域而言，这不仅可能引起机密数据的非法公开，也可能会影响其设备的安全操作，安全隐患很高。因此，需要一种方法来保证工业领域中的数据传输安全。

技术实现要素：

本发明实施例提供了一种数据加密方法及装置、数据解密方法及装置、计算机装置、可读存储介质，用于保障设备数据的传输安全性。

有鉴于此，本发明提供了一种数据加密方法，应用于物联网网关，可包括：

获取对应的工业设备的设备数据；

利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

将加密设备数据和密钥数据传输至物联网应用服务系统。

进一步的，在利用预设对称密钥对设备数据进行对称加密，得到加密设备数据之前，方法还包括：

利用预设对称算法生成预设对称密钥。

进一步的，在利用预设对称算法生成预设对称密钥之前，方法还包括：

检测是否存在预设非对称公钥；

若是，则触发利用预设对称算法生成预设对称密钥的步骤。

进一步的，在利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据之前，方法还包括：

接收业务支撑平台发送的预设非对称公钥，预设非对称公钥为业务支撑平台利用预设非对称算法生成；

存储预设非对称公钥。

进一步的，将加密设备数据和密钥数据传输至物联网应用服务系统包括：

将加密设备数据和密钥数据传输至物联网云平台，以使得物联网云平台将加密设备数据和密钥数据传输至物联网应用服务系统。

进一步的，将加密设备数据和密钥数据上报至物联网云平台包括：

将加密设备数据和密钥数据分别以预设报文格式传输至物联网云平台。

进一步的，利用预设对称算法生成预设对称密钥包括：

检测是否与物联网云平台重新连接成功；

若是，则利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥。

本发明第二方面提供一种数据解密方法，应用于物联网应用服务系统，可包括：

获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

进一步的，获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据包括：

从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据以及密钥数据为物联网网关上报至物联网云平台。

进一步的，获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据包括：

按照预设时间周期从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据。

进一步的，在利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥之前，方法还包括：

从物联网云平台的鉴权中心获取预设非对称私钥，预设非对称私钥为业务支撑平台利用预设非对称算法生成并传输至鉴权中心。

进一步的，方法还包括：

按照时间顺序对设备数据进行队列存储。

本发明第三方面提供一种数据加密装置，应用于物联网网关，可包括：

获取单元，用于获取对应的工业设备的设备数据；

加密单元，用于利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

传输单元，用于将加密设备数据和密钥数据传输至物联网应用服务系统。

进一步的，装置还包括：

生成单元，用于利用预设对称算法生成预设对称密钥。

进一步的，装置还包括：

检测单元，用于检测是否存在预设非对称公钥；

触发单元，用于当存在预设非对称公钥时，则触发生成单元利用预设对称算法生成预设对称密钥。

进一步的，装置还包括：

接收单元，用于接收业务支撑平台发送的预设非对称公钥，预设非对称公钥为业务支撑平台利用预设非对称算法生成；

存储单元，用于存储预设非对称公钥。

进一步的，传输单元，具体用于：

将加密设备数据和密钥数据传输至物联网云平台，以使得物联网云平台将加密设备数据和密钥数据传输至物联网应用服务系统。

进一步的，传输单元，具体用于：

将加密设备数据和密钥数据分别以预设报文格式传输至物联网云平台。

进一步的，生成单元，具体用于：

检测是否与物联网云平台重新连接成功；

若是，则利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥。

本发明第四方面提供一种数据解密装置，应用于物联网应用服务系统，可包括：

第一获取单元，用于获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

第一解密单元，用于利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

第二解密单元，用于利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

进一步的，第一获取单元，具体用于：

从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据以及密钥数据为物联网网关上报至物联网云平台。

进一步的，第一获取单元，具体用于：

物联网应用服务系统按照预设时间周期从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据。

进一步的，装置还包括：

第二获取单元，用于从物联网云平台的鉴权中心获取预设非对称私钥，预设非对称私钥为业务支撑平台利用预设非对称算法生成并传输至鉴权中心。

进一步的，装置还包括：

存储单元，用于按照时间顺序对设备数据进行队列存储。

本发明第五方面提供一种计算机装置，计算机装置包括处理器，处理器用于执行存储器中存储的计算机程序时，实现如下步骤：

获取对应的工业设备的设备数据；

利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

将加密设备数据和密钥数据传输至物联网应用服务系统。

本发明第六方面提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现如下步骤：

获取对应的工业设备的设备数据；

利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

将加密设备数据和密钥数据传输至物联网应用服务系统。

本发明第七方面提供一种计算机装置，计算机装置包括处理器，处理器用于执行存储器中存储的计算机程序时，实现如下步骤：

物联网应用服务系统获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

物联网应用服务系统利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

物联网应用服务系统利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

本发明第八方面提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现如下步骤：

物联网应用服务系统获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

物联网应用服务系统利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

物联网应用服务系统利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明提供了一种数据加密方法，在工业设备的设备数据的传输过程中，可以先利用预设对称密钥对设备数据进行对称加密，并利用预设非对称公钥对预设非对称密钥加密，再将对称加密后得到的加密设备数据以及非对称加密后得到的密钥数据传输至物联网应用服务系统。由此，通过上述对称加密与非对称加密结合的方式，不仅实现了对设备数据的加密，以保障设备数据的传输安全性，且由于对设备数据加密的预设对称密钥也进行了加密，则在需要对加密设备数据解密时，需要先行对密钥数据进行解密，从而进一步加强了设备数据的安全性。

附图说明

图1为本发明实施例中数据加密方法一个实施例示意图；

图2为本发明实施例中数据加密方法另一实施例示意图；

图3为本发明实施例中数据解密方法一个实施例示意图；

图4为本发明实施例中数据解密方法另一实施例示意图；

图5为本发明实施例中数据加密至数据解密的交互示意图；

图6为本发明实施例中数据加密装置一个实施例示意图；

图7为本发明实施例中数据加密装置另一实施例示意图；

图8为本发明实施例中数据加密装置另一实施例示意图；

图9为本发明实施例中数据加密装置另一实施例示意图；

图10为本发明实施例中数据解密装置一个实施例示意图；

图11为本发明实施例中数据解密装置另一实施例示意图；

图12为本发明实施例中数据解密装置另一实施例示意图。

具体实施方式

本发明实施例提供了一种数据加密方法及装置、数据解密方法及装置、计算机装置、可读存储介质，用于保障设备数据的传输安全性。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于理解，下面对本发明实施例中的具体流程进行描述，请参阅图1，本发明实施例中数据加密方法一个实施例包括：

101、获取对应的工业设备的设备数据；

本实施例中，物联网网关可以对应一个或多个工业设备，为了获悉工业设备的运行状态并实现对工业设备的控制，物联网网关可以与对应的工业设备连接，并获取对应的工业设备的设备数据。

具体的，工业设备本身作为一种只具有运行功能的设备，并不具有获取数据的能力以及与外部设备的通信能力，但工业设备上可以安装有设备控制器，物联网网关可以通过与设备控制器连接，从而获取设备控制器上工业设备的设备数据；或者，物联网网关也可以直接外接传感器，传感器可以部署在工业设备的周围，用于采集工业设备周边的设备数据，例如，温度、湿度等。

本发明实施例中的物联网网关，是一款针对于工业物联网的智能网关，包括数据采集模块、通讯模块、定位模块、数据处理芯片模块等，可同时对接多个工业设备或传感器，支持以太网口(ethernet)、rs485串口、rs232串口、无线传输等上行方式，或者gprs，433mhz，2.4ghz，wi-fi等无线传输方式。支持不同的通信协议和多台服务器交换数据。集数据采集、数据传输、通讯管理、数据接收、协议转换、数据处理转发等功能。

可以理解的是，本实施例中仅以上述内容说明了获取对应的工业设备的设备数据的具体方式，在实际应用中，还可以采用其它方式，只要能够获取对应的工业设备的设备数据即可，此处不做具体限定。

本实施例中，工业设备可以包括但不限于压缩机、发电机组、柴油机、工业锅炉、汽轮机、水处理装置及包装设备，此处不做具体限定。

102、利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

本实施例中，获取对应的工业设备的设备数据后，可以利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并可以利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据。

其中，对称加密只包括一个密钥，该同一个密钥既用于加密又用于解密；非对称加密则包括一个密钥对，即一个公钥和一个私钥，其中的一个密钥可以向外界公开，称为公钥，另一个不被公开的密钥则称为私钥，通过非对称算法得到的密钥对能保证在世界范围内是唯一的，但使用这个密钥对的时候，如果用其中一个密钥加密一段数据，必须用另一个密钥解密。

具体的，由于预设对称密钥需要进行非对称加密，则不仅存在预设非对称私钥，也存在与预设非对称私钥对应的预设非对称公钥。假设预设非对称公钥为a，预设非对称私钥为b，预设对称密钥为c，设备数据为d，那么可以利用a对c进行加密得到密钥数据，还可以利用c对d进行加密得到加密设备数据。

本实施例中，a、b和/或c可以由物联网网关随机产生，也可以由物联网网关从第三方获取，此处不做具体限定。

103、将加密设备数据和密钥数据传输至物联网应用服务系统。

本实施例中，得到加密设备数据和密钥数据后，可以将加密设备数据和密钥数据传输至物联网应用服务系统，由此完成设备数据从加密端到解密端的传输。

其中，物联网应用服务系统作为设备数据的解密端，可以订阅其归属下的工业设备的所有加密设备数据以及相应的密钥数据，使得对应的应用平台可以获取相应的工业设备的设备数据进行相应的使用。

可以理解的是，本实施例中，在加密设备数据和密钥数据的传输过程中，除了物联网网关至物联网应用服务系统的直接传输，还可以经由其它设备进行转传输，同时，加密设备数据和密钥数据的传输，可以是由物联网网关的主动传输，也可以是由物联网应用服务系统的主动获取，此处不做具体限定。

优选的，本实施例中，为了在解密端解密加密设备数据的实时性，密钥数据可以先于加密设备数据生成，且可以先于加密设备数据传输至物联网应用服务系统。

本实施例中，在工业设备的设备数据的传输过程中，可以先利用预设对称密钥对设备数据进行对称加密，并利用预设非对称公钥对预设非对称密钥加密，再将对称加密后得到的加密设备数据以及非对称加密后得到的密钥数据传输至物联网应用服务系统。由此，通过上述对称加密与非对称加密结合的方式，不仅实现了对设备数据的加密，以保障设备数据的传输安全性，且由于对设备数据加密的预设对称密钥也进行了加密，则在需要对加密设备数据解密时，需要先行对密钥数据进行解密，从而进一步加强了设备数据的安全性。

请参阅图2，本发明实施例中数据加密方法另一实施例包括：

201、接收业务支撑平台发送的预设非对称公钥；

本实施例中，物联网网关可以与业务支撑平台通信连接，业务支撑平台可以连接至少一个物联网网关，业务支撑平台可以利用预设非对称算法为每一个物联网网关生成一对密钥对，即预设非对称公钥和预设非对称私钥。为了使得物联网网关可以利用预设非对称公钥进行相应的加密，业务支撑平台可以将预设非对称公钥发送至物联网网关，则物联网网关可以接收业务支撑平台发送的预设非对称公钥。

具体地，业务支撑平台是物联网云平台的应用管理系统，包括物联网应用服务系统管理模块、物联网网关管理模块、流量使用监控模块、流量计费模块等。可以管理所有在物联网云平台上注册的物联网应用服务系统、管理所有与物联网云平台通信的物联网网关(离线或在线状态)，管理所有物联网网关的流量计费，等等。

其中，业务支撑平台可以对与其连接的至少一个物联网网关进行管理，并为每一个物联网网关分配相应的id，以区分各个物联网网关。业务支撑平台为每一个物联网网关生成一对密钥对以后，可以将预设非对称公钥发送至物联网网关用于加密使用，还可以将预设非对称私钥发送至物联网云平台的鉴权中心，以在需要对利用预设非对称公钥加密的数据进行解密时，可以从鉴权中心获取对应的预设非对称私钥。

其中，物联网云平台是由多个服务器群组成的数据处理中枢，每个集群都由多台物理服务器构成，它的总体能力，是所有单台物理服务器上能承载并发处理能力的总和，它确保在多个地方能建立冗灾备份中心，数据服务在任何情况下都不中断。并且拥有强大的数据并发处理能力，具备亿级的高并发处理能力和毫秒级个性化事件触发能力，因此能很好的支持百万级的所述物联网网关连接，高效收发数据。

物联网云平台的具体作用还体现在可以接收物联网网关发送的相应数据，并保存这些数据；维护一系列的逻辑规则，比如：关联关系、预警模型、阈值控制、边界条件设置等等；把数据进行整理、组织、关联、分析；根据逻辑规则，形成一系列的触发机制；给物联网网关下发信息(数据)；把从物联网网关接收的相应数据，提供给其他的平台等。物联网云平台的鉴权中心的可以对接入物联网云平台的设备进行身份验证，以加强预设非对称私钥的安全性。

202、存储预设非对称公钥；

本实施例中，物联网网关接收业务支撑平台发送的预设非对称公钥后，可以存储该预设非对称公钥。

具体的，预设非对称公钥可以存储于物联网网关的本地内存或缓存中，当物联网网关的本地内存中存在预设非对称公钥时，意味着预设非对称公钥可以由业务支撑平台一次生成且长久使用，但当预设非对称公钥存储于缓存中时，意味着预设非对称公钥只有在缓存未被清除的时候能够使用，一旦缓存清除，则业务支撑平台针对该物联网网关需要重新生成预设非对称公钥。

本实施例中，为了减少生成预设非对称公钥的计算负载，优选的，预设非对称公钥可以存储于本地内存中。

203、获取对应的工业设备的设备数据；

本实施例中的步骤203与图1所示实施例中的步骤101相同，此处不再赘述。

204、检测是否存在预设非对称公钥，若是，则执行步骤205，若否，则执行步骤209；

本实施例中，由于预设对称密钥需要利用预设非对称公钥进行非对称加密，那么在物联网网关无法获取预设非对称公钥的情况下，无法实现对预设对称密钥的加密，也就无法加强设备数据的安全性。由此，可以先行检测物联网网关的本地内存或缓存中是否存在预设非对称公钥。

一般来说，在步骤202中物联网网关存储预设非对称公钥后，若预设非对称公钥存储于本地内存中，则物联网网关不需要每一次从业务支撑平台获取预设非对称公钥，但为了避免预设非对称公钥发送的不及时或缓存的删除等原因而造成的预设非对称公钥不存在，进而引起的预设对称密钥无法加密的情况的发生，可以在每一次需要使用预设非对称公钥时，对物联网网关是否存在预设非对称公钥进行相应的检测。

205、检测是否与物联网云平台重新连接成功，若是，则执行步骤206，若否，则执行步骤209；

本实施例中，若物联网网关存在预设非对称公钥，那么可以检测物联网网关是否与物联网云平台连接成功。

具体的，物联网网关可以发送接入请求至物联网云平台，物联网云平台通过鉴权中心可以对请求接入的物联网网关做鉴权，非法的未授权的物联网网关是不可接入的，物联网云平台不会向物联网网关反馈连接信息。由此，物联网网关如果是已授权的，物联网网关可接入，那么物联网云平台会给物联网网关反馈一个连接信息，物联网网关若接收到连接信息，则可以表明物联网云平台对接入的物联网网关做鉴权的结果是合法的，准许物联网网关接入，物联网网关根据连接信息与物联网云平台建立连接；如果物联网网关未接收到连接信息，表明物联网云平台对接入的物联网网关做鉴权的结果是非法的，或者物联网网关接入物联网云平台时发生了其他的错误。

本实施例中，由于物联网网关需要将加密后的数据传输至物联网云平台，则只有当物联网网关与物联网云平台连接成功才可能实现，反之，若物联网网关与物联网云平台连接失败，则无法传输加密后的数据，也就不需要生成用于加密设备数据的预设对称密钥，以减少计算资源的浪费。由此，在生成预设对称密钥之前，可以先行检测物联网网关是否与物联网云平台连接成功。

206、利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥；

本实施例中，若物联网网关与物联网云平台重新连接成功，则物联网网关可以利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥。

可以理解的是，为了安全起见，预设对称加密密钥可以不为一个固定的对称密钥，即在物联网网关每一次与物联网云平台重新连接成功后，物联网网关可以生成一个预设对称密钥，并存储于缓存中暂时使用，即只要物联网网关与物联网云平台未断开连接，则可以一直使用该预设对称密钥，但一旦物联网网关与物联网云平台连接成功后断开连接而又重新建立连接时，物联网网关将生成一个新的预设对称密钥进行使用，并将该新的预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据密码密钥。

207、利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

本实施例中的步骤207与图1所示实施例中的步骤102相同，此处不再赘述。

208、将加密设备数据和密钥数据传输至物联网云平台，以使得物联网云平台将加密设备数据和密钥数据传输至物联网应用服务系统；

本实施例中，物联网云平台可以与至少一个物联网网关连接，可以获取到海量的设备数据，为了提高海量的设备数据的处理效率，物联网云平台可以将物联网网关发送的数据进行关联、分析及逻辑处理等操作，以供物联网应用服务系统进行使用，则在得到加密设备数据和密钥数据后，物联网网关可以将加密设备数据和密钥数据传输至物联网云平台，以使得物联网云平台可以将加密设备数据和密钥数据传输至物联网应用服务系统，从而可以减少物联网应用服务系统对接收的数据的分析与处理操作，降低物联网应用服务系统的资源负载。

本发明实施例中，优选地，物联网应用服务系统，是一个工业物联网应用服务系统，采用模块化设计，可以灵活展现从物联网云平台接收的设备数据。可根据用户需求，配置成各个应用模块，如设备运行数据实时管理监控模块、设备管理模块、维修工单管理模块、生命周期管理模块、告警信息模块、历史数据模块、操作权限管理模块、合同管理模块、工单流程管理模块等，简便易用、高度自定义。

本实施例中，考虑到物联网云平台所能接入的数据格式的要求，物联网网关获取到原始的设备数据之后，可以需要上报至物联网云平台的数据进行加工整理及格式化，从而变为物联网云平台能够接收的数据格式。其中，物联网网关可以将加密设备数据和密钥数据分别以预设报文格式传输至物联网云平台。例如，预设非对称公钥为a，预设非对称私钥为b，预设对称密钥为c，设备数据为d，那么可以利用a对c进行加密得到报文格式的密钥数据ac，还可以利用c对d进行加密得到报文格式的加密设备数据cd，且可以将ac、cd分别发送至物联网云平台。

可以理解的是，本实施例中加密设备数据以及密钥数据的数据格式除了上述说明的内容之外，在实际应用中，还可以是采用其它数据格式，只要能够是物联网云平台可以接收的数据格式即可，此处不做具体限定。

209、执行其它流程。

本实施例中，若检测物联网网关不存在预设非对称公钥，则意味着无法对预设对称密钥进行加密，那么可以执行其它流程，如反复检测是否已存在预设非对称公钥，此处不做具体限定。

本实施例中，若检测物联网网关与物联网云平台未连接成功，则意味着无法向物联网云平台传输数据，且不需要生成预设对称密钥，那么可以执行其它流程，如重新向物联网云平台发起接入请求，此处不做具体限定。

上面从数据加密方法一侧进行了说明，下面对数据解密方法进行说明：

请参阅图3，本发明实施例中数据解密方法一个实施例包括：

301、获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据；

本实施例中，物联网应用服务系统作为相应的工业设备的加密设备数据的解密端，可以获取相应的工业设备的加密设备数据以及用于解密该加密设备数据的密钥数据，以对加密设备数据进行解密留待使用。其中，加密设备数据可以为物联网网关加密的对称加密数据，密钥数据可以为物联网网关加密的非对称加密数据。

例如，加密设备数据d1可以为由设备数据d进行对称加密得到，密钥数据c1可以为由预设对称密钥c进行非对称加密得到。

302、利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

本实施例中，物联网应用服务系统获取到加密设备数据以及加密设备数据对应的密钥数据后，可以利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥。

具体的，预设非对称私钥与密钥数据加密时的预设非对称公钥相对应，若预设非对称私钥与预设非对称公钥这一密钥对由物联网网关生成，则预设非对称私钥可以从物联网网关获取；若预设非对称私钥与预设非对称公钥这一密钥对由物联网网关以外的第三方生成，则预设非对称私钥可以从第三方获取；若预设非对称私钥由生成方存储至第三方，则预设非对称私钥可以从该第三方获取。

例如，假设预设非对称私钥为b，那么可以利用b以及非对称算法对密钥数据c1进行非对称解密，得到预设对称密钥c，并可以将c留存于缓存中待用。

303、利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

本实施例中，物联网应用服务系统得到预设对称密钥后，可以利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

例如，通过在缓存中调取c，可以利用c以及对称算法对加密设备数据d进行非对称解密，得到设备数据d，并可以存储d以待用。

在物联网云平台存储的设备数据可以下发至对应的应用平台，应用平台作为一个应用开发平台，可以实现设备数据的管理、关联等功能，应用平台接收的设备数据可以在诸如pc端上显示，使得用户可查看相应的工业设备的实时运行数据、设备管理、工单管理、生命周期管理、告警信息、历史数据、权限管理等。

请参阅图4，本发明实施例中数据解密方法另一实施例包括：

401、从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据；

本实施例中，在物联网网关生成加密设备数据以及用于解密加密设备数据的密钥数据后，若物联网网关将加密设备数据以及密钥数据上报至物联网云平台，则物联网应用服务系统可以从物联网云平台获取对应的工业设备的加密设备数据以及密钥数据。

具体的，当加密设备数据以及用于加密设备数据的密钥数据存储于物联网云平台上时，物联网应用服务系统可以从物联网云平台订阅其归属下的设备的加密设备数据以及用于解密该加密设备数据的密钥数据。在实际应用中，物联网网关将加密设备数据以及对应的密钥数据传输至物联网云平台后，物联网云平台能够确定该加密设备数据以及对应的密钥数据是哪个设备类型的工业设备产生的，而不同设备类型的工业设备所对应的订阅方(即物联网应用服务系统)也是不同的，那么确定设备数据对应的工业设备的设备类型之后，物联网云平台将该加密设备数据以及对应的密钥数据传输至与该设备类型的工业设备对应的物联网应用服务系统中，使得加密设备数据以及对应的密钥数据能够传输到物联网应用服务系统。

进一步的，为了避免加密设备数据以及对应的密钥数据的不定时性以及无规律性，物联网应用服务系统可以按照预设时间周期从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，如每隔一天获取一次相应的工业设备的加密设备数据以及对应的密钥数据。

402、从物联网云平台的鉴权中心获取预设非对称私钥；

本实施例中，获取加密设备数据以及用于解密该加密设备数据的密钥数据后，物联网应用服务系统可以从物联网云平台的鉴权中心获取预设非对称私钥。其中，预设非对称私钥可以为业务支撑平台利用预设非对称算法生成并传输至鉴权中心。

具体的，所述鉴权中心为物联网云平台上的安全管理单元/鉴权模块，存储鉴权算法和密钥，保证各种保密参数的安全性，提供鉴权参数。

具体的，在物联网网关与业务支撑平台连接后，业务支撑平台可以为物联网网关生成一对密钥对，即预设非对称公钥和预设非对称私钥。其中，预设非对称私钥可以由业务支撑平台存储至物联网云平台的鉴权中心，以留待进行相应数据的解密，预设非对称私钥则可以由业务支撑平台存储至物联网网关，以留待进行相应数据的加密。

在实际应用中，物联网应用服务系统获取到由预设非对称私钥加密的密钥数据后，可以向物联网云平台的鉴权中心发送私钥获取请求，以获取预设非对称私钥对应的预设非对称私钥，鉴权中心接收到私钥获取请求后，可以根据该私钥获取请求查找对应的预设非对称私钥，并可以将该预设非对称私钥返回至物联网应用服务系统，以使得物联网应用服务系统可以根据该预设非对称私钥对密钥数据进行解密。

进一步的，本实施例中，为了加强数据安全，鉴权中心在接收到私钥获取请求后，可以根据该私钥获取请求对物联网应用服务系统进行身份验证，只有在身份验证通过的情况下，才会反馈预设非对称私钥至物联网应用服务系统，从而有利于防止预设非对称私钥的非法盗取。

403、利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

404、利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

本实施例中的步骤403至步骤404与图3所示实施例中的302至步骤303相同，此处不再赘述。

进一步的，本实施例中，物联网应用服务系统将加密设备数据解密得到设备数据后，可以将设备数据按照时间顺序进行队列存储，该时间可以为诸如解密时间，由此可以便于物联网应用服务系统基于时间顺序对设备数据的管理以及应用平台基于时间顺序对设备数据的获取。

上面分别说明了数据加密方法、数据解密方法，请参阅图5，下面从数据的加密至解密的实现流程进行示例性的交互说明：

501、业务支撑平台为物联网网关生成预设非对称公钥和预设非对称私钥；

可以理解的是，物联网网关可以包括一个或以上，当物联网网关包括一个以上时，每一个物联网网关可以对应有一个预设非对称公钥和一个预设非对称公钥。

其中，多个物联网网关对应的预设非对称公钥和预设非对称私钥可以批量生成，也可以单个生成，此处不做具体限定。

502、业务支撑平台将预设非对称公钥发送至物联网网关，以使得物联网网关存储预设非对称公钥；

可以理解的是，本实施例中，业务支撑平台生成预设非对称公钥和预设非对称私钥后，可以将对应的预设非对称公钥手动导入物联网网关，也可以由第三方程序获取预设非对称公钥后自动导入物联网网关，而不是由业务支撑平台与物联网网关直接通信，由业务支撑平台发送至物联网网关，此处不做具体限定。

其中，预设非对称公钥可以存储在物联网网关的加密ic中。

503、业务支撑平台将预设非对称私钥发送至物联网云平台的鉴权中心，以使得鉴权中心存储预设非对称私钥；

可以理解的是，本实施例中的步骤503可以在步骤502之前执行，也可以与步骤502同时执行，此处不做具体限定。

504、物联网网关检测是否与物联网云平台重新连接成功；

505、若连接成功，则物联网网关利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥；

506、物联网网关获取对应的工业设备的设备数据；

507、物联网网关利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

508、物联网网关将加密设备数据和密钥数据传输至物联网云平台；

509、物联网应用服务系统从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据；

510、物联网应用服务系统从物联网云平台的鉴权中心获取预设非对称私钥；

511、物联网应用服务系统利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

512、物联网应用服务系统利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

本实施例中步骤501至步骤512可以参考前述方法实施例中说明的内容，此处不再赘述。

上面对本发明实施例中的数据加密方法、数据解密方法进行了说明，下面对本发明实施例中的数据加密装置、数据解密装置进行说明：

请参阅图6，本发明实施例中数据加密装置一个实施例包括：

获取单元601，用于获取对应的工业设备的设备数据；

加密单元602，用于利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

传输单元603，用于将加密设备数据和密钥数据传输至物联网应用服务系统。

本实施例中，在工业设备的设备数据的传输过程中，可以先由加密单元602利用预设对称密钥对获取单元601获取的设备数据进行对称加密，并利用预设非对称公钥对预设非对称密钥加密，再由传输单元603将对称加密后得到的加密设备数据以及非对称加密后得到的密钥数据传输至物联网应用服务系统。由此，通过上述对称加密与非对称加密结合的方式，不仅实现了对设备数据的加密，以保障设备数据的传输安全性，且由于对设备数据加密的预设对称密钥也进行了加密，则在需要对加密设备数据解密时，需要先行对密钥数据进行解密，从而进一步加强了设备数据的安全性。

可选的，在本发明的一些实施例中，基于图6，如图7所示，装置还可以进一步包括：

生成单元604，用于利用预设对称算法生成预设对称密钥。

可选的，在本发明的一些实施例中，基于图7，如图8所示，装置还可以进一步包括：

检测单元605，用于检测是否存在预设非对称公钥；

触发单元606，用于当存在预设非对称公钥时，则触发生成单元利用预设对称算法生成预设对称密钥。

可选的，在本发明的一些实施例中，基于图8，如图9所示，装置还可以进一步包括：

接收单元607，用于接收业务支撑平台发送的预设非对称公钥，预设非对称公钥为业务支撑平台利用预设非对称算法生成；

存储单元608，用于存储预设非对称公钥。

可选的，在本发明的一些实施例中，传输单元603，可以进一步具体用于：

将加密设备数据和密钥数据传输至物联网云平台，以使得物联网云平台将加密设备数据和密钥数据传输至物联网应用服务系统。

可选的，在本发明的一些实施例中，传输单元603，可以进一步具体用于：

将加密设备数据和密钥数据分别以预设报文格式传输至物联网云平台。

可选的，在本发明的一些实施例中，生成单元604，可以进一步具体用于：

检测是否与物联网云平台连接成功；

若是，则利用预设对称算法生成预设对称密钥。

请参阅图10，本发明实施例中数据解密装置一个实施例包括：

第一获取单元1001，用于获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

第一解密单元1002，用于利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

第二解密单元1003，用于利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

可选的，在本发明的一些实施例中，第一获取单元1001，可以进一步具体用于：

从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据以及密钥数据为物联网网关上报至物联网云平台。

可选的，在本发明的一些实施例中，第一获取单元1001，可以进一步具体用于：

物联网应用服务系统按照预设时间周期从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据。

可选的，在本发明的一些实施例中，基于图10，如图11所示，装置还可以进一步包括：

第二获取单元1004，用于从物联网云平台的鉴权中心获取预设非对称私钥，预设非对称私钥为业务支撑平台利用预设非对称算法生成并传输至鉴权中心。

可选的，在本发明的一些实施例中，基于图11，如图12所示，装置还可以进一步包括：

存储单元1005，用于按照时间顺序对设备数据进行队列存储。

上面从模块化功能实体的角度对本发明实施例中的数据加密、数据解密装置进行了描述，下面从硬件处理的角度对本发明实施例中的计算机装置进行描述：

基于数据加密装置，本发明实施例中计算机装置一个实施例包括：

处理器以及存储器；

存储器用于存储计算机程序，处理器用于执行存储器中存储的计算机程序时，可以实现如下步骤：

获取对应的工业设备的设备数据；

利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

将加密设备数据和密钥数据传输至物联网应用服务系统。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

利用预设对称算法生成预设对称密钥。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

检测是否存在预设非对称公钥；

若是，则触发利用预设对称算法生成预设对称密钥的步骤。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

检测是否与物联网应用服务系统重新连接成功；

若是，则利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

接收业务支撑平台发送的预设非对称公钥，预设非对称公钥为业务支撑平台利用预设非对称算法生成；

存储预设非对称公钥。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

将加密设备数据和密钥数据上报至物联网云平台，以使得物联网云平台将加密设备数据和密钥数据传输至物联网应用服务系统。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

将加密设备数据和密钥数据分别以预设报文格式传输至物联网应用服务系统。

基于数据解密装置，本发明实施例中计算机装置一个实施例包括：

处理器以及存储器；

存储器用于存储计算机程序，处理器用于执行存储器中存储的计算机程序时，可以实现如下步骤：

获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据以及密钥数据为物联网网关上报至物联网云平台。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

按照预设时间周期从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

从物联网云平台的鉴权中心获取预设非对称私钥，预设非对称私钥为业务支撑平台利用预设非对称算法生成并传输至鉴权中心。

在本发明的一些实施例中，处理器用于执行存储器中存储的计算机程序时，还可以实现如下步骤：

按照时间顺序对设备数据进行队列存储。

可以理解的是，上述说明的计算机装置中的处理器执行所述计算机程序时，也可以实现上述对应的各装置实施例中各单元的功能，此处不再赘述。示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述数据加密装置或数据解密装置中的执行过程。例如，所述计算机程序可以被分割成上述数据加密装置中的各单元，各单元可以实现如上述相应数据加密装置说明的具体功能。

所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解，处理器、存储器仅仅是计算机装置的示例，并不构成对计算机装置的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。

所述处理器可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述计算机装置的控制中心，利用各种接口和线路连接整个计算机装置的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

基于数据加密方法，本发明还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，可以实现如下步骤：

获取对应的工业设备的设备数据；

利用预设对称密钥对设备数据进行对称加密，得到加密设备数据，并利用预设非对称公钥对预设对称密钥进行非对称加密，得到密钥数据；

将加密设备数据和密钥数据传输至物联网应用服务系统。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

利用预设对称算法生成预设对称密钥。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

检测是否存在预设非对称公钥；

若是，则触发利用预设对称算法生成预设对称密钥的步骤。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

检测是否与物联网应用服务系统重新连接成功；

若是，则利用预设对称算法生成预设对称密钥，并将预设对称密钥作为物联网网关与物联网云平台在当前通信过程中的设备数据加密密钥。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

接收业务支撑平台发送的预设非对称公钥，预设非对称公钥为业务支撑平台利用预设非对称算法生成；

存储预设非对称公钥。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

将加密设备数据和密钥数据上报至物联网云平台，以使得物联网云平台将加密设备数据和密钥数据传输至物联网应用服务系统。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

将加密设备数据和密钥数据分别以预设报文格式传输至物联网应用服务系统。

基于数据解密方法，本发明还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，可以实现如下步骤：

获取从物联网网关传输的对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据为对称加密数据，密钥数据为非对称加密数据；

利用预设非对称私钥对密钥数据进行非对称解密，得到预设对称密钥；

利用预设对称密钥对加密设备数据进行对称解密，得到设备数据。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据，加密设备数据以及密钥数据为物联网网关上报至物联网云平台。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

按照预设时间周期从物联网云平台获取对应的工业设备的加密设备数据以及用于解密加密设备数据的密钥数据。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

从物联网云平台的鉴权中心获取预设非对称私钥，预设非对称私钥为业务支撑平台利用预设非对称算法生成并传输至鉴权中心。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，还可以实现如下步骤：

按照时间顺序对设备数据进行队列存储。

可以理解的是，所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在相应的一个计算机可读取存储介质中。基于这样的理解，本发明实现上述相应的实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。