数据处理方法、装置、计算机设备和存储介质与流程

本申请涉及计算机技术领域，特别是涉及一种数据处理方法、装置、计算机设备和存储介质。

背景技术：

分布式的数据库的使用方式为多方机构共同往这个数据库里写入数据。通常情况下，加入分布式系统的节点会提供读写接口。

现有的分布式系统的数据读写都是由与分布式系统对接的机构来发起和控制的，在一次写操作过程中，由对接机构发起数据存入分布式系统的请求，数据会通过分布式系统提供的写入接口将数据写到分布式系统中，并同步到分布式系统中的其他节点，在一次读操作过程中，接入机构通过分布式系统提供的读接口从分布式系统中读取数据并使用。

因此，所有要存入分布式系统中的数据必须经由分布式系统所提供的读写接口来完成，这样就会造成权限集中以及性能瓶颈等问题。除此之外，一旦这一个读写接口出问题，那么会造成无法向分布式系统上写入数据的风险。当待写入数据量很多时，也会有数据写入延时、丢失等问题。

技术实现要素：

基于此，有必要针对上述技术问题，提供一种将读写权限下放至授权终端的数据处理方法、装置、计算机设备和存储介质。

一种数据处理方法，所述方法包括：

通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥；

通过所述第一临时会话密钥对待写入数据进行加密；

通过预先配置的接口将加密后的待写入数据发送至所述分布式系统，以使所述分布式系统通过第二临时会话密钥对所述加密后的待写入数据进行解密得到第一明文，所述第二临时会话密钥与所述第一临时会话密钥对应。

在其中一个实施例中，所述通过所述第一临时会话密钥对待写入数据进行加密的步骤之后，还包括：

通过预先部署的终端私钥对加密后的待写入数据进行签名；

所述通过预先配置的接口将加密后的待写入数据发送至所述分布式系统，以使所述分布式系统通过第二临时会话密钥对所述加密后的待写入数据进行解密得到第一明文的步骤，包括：

通过预先配置的接口将经过加密和签名后的待写入数据发送至分布式系统，以使所述分布式系统通过终端公钥对接收到的待写入数据进行验签成功后，通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，所述终端公钥与所述终端私钥对应。

在其中一个实施例中，所述方法还包括：

通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据；

通过所述第一临时会话密钥对加密后的所述待读取数据进行解密得到第二明文。

在其中一个实施例中，所述通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据的步骤，包括：

通过预先配置的接口接收分布式系统返回的通过终端公钥和第二临时会话密钥加签和加密后的待读取数据；

所述通过所述第一临时会话密钥对加密后的所述待读取数据进行解密得到第二明文的步骤之前，还包括：

通过终端私钥对通过终端公钥加签后的待读取数据进行验签得到加密后的待读取数据。

在其中一个实施例中，所述方法还包括：

向分布式系统发送注册请求，所述注册请求中携带有注册类型以及终端标识；

接收所述分布式系统根据所述终端标识和所述注册类型生成的配置文件；

根据所述配置文件进行配置。

在其中一个实施例中，所述方法还包括：

获取终端信息，并根据所述终端信息生成终端公钥以及与终端公钥对应的终端私钥；

将所述终端公钥发送至分布式系统；

所述接收所述分布式系统根据所述终端标识和所述注册类型生成的配置文件的步骤，包括：

当所述分布式系统对通过证书授权中心对所述终端公钥签名成功后，接收所述分布式系统根据所述终端标识和所述注册类型生成的配置文件。

在其中一个实施例中，所述方法还包括：

获取终端信息，并将所述终端信息发送至分布式系统；

接收分布式系统返回的与所述终端信息对应的终端私钥和终端公钥，所述终端私钥和所述终端公钥为所述分布式系统通过证书授权中心根据所述终端信息生成的。

一种数据处理装置，所述装置包括：

密钥获取模块，用于通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥；

加密模块，用于通过所述第一临时会话密钥对待写入数据进行加密；

写入模块，用于通过预先配置的接口将加密后的待写入数据发送至所述分布式系统，以使所述分布式系统通过第二临时会话密钥对所述加密后的待写入数据进行解密得到第一明文，所述第二临时会话密钥与所述第一临时会话密钥对应。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。

上述数据处理方法、装置、计算机设备和存储介质，预先在授权中心配置接口，不用在分布式系统部署的入口节点，大大节约了部署成本，且通过对终端配置接口，可以使得分布式系统中的数据来源丰富，接入更加简单方便，而且大大缓解了分布式系统接入节点的压力，避免了由一个接入节点来写入数据的相关问题。

附图说明

图1为一个实施例中数据处理方法的应用场景图；

图2为一个实施例中数据处理方法的流程示意图；

图3为一实施例中的预先配置步骤的流程图；

图4为一实施例中的数据处理方法的时序图；

图5为一个实施例中数据处理装置的结构框图；

图6为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的数据处理方法，可以应用于如图1所示的应用环境中。其中，终端通过网络与分布式系统通过网络进行连接。分布式系统通过预先对终端进行配置，将原本部署在分布式系统的读写节点处的读写权限下放至终端，从而待写入数据可以通过终端上传至分布式系统的任意节点上，例如可以对终端通过配置文件进行配置，该配置文件可以是集成的SDK(Software Development Kit，软件工具开发包)，通过对终端的接口等进行配置，在终端形成一安全模块，该安全模块获得了分布式系统的访问权限、加解密的密钥管理、终端私钥的管理、授权证书的管理等。其中，终端通过该安全模块根据密钥交换协议与分布式系统交换获得第一临时会话密钥，通过第一临时会话密钥对待写入数据进行加密；通过预先配置的接口将加密后的待写入数据发送至分布式系统以实现数据的写入，同样数据的读取则可以是通过该安全模块向分布式系统发送数据读取请求，然后通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据；通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文。其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。

在一个实施例中，如图2所示，提供一种数据处理方法，以该方法应用于图1中的终端为例进行说明，包括以下步骤：

S202：通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥。

其中，该分布式系统可以是区块链或其他的分布式系统，在此不作具体限制。

具体地，预先配置的接口是终端通过向分布式系统注册获得的，例如终端向分布式系统发送注册请求，分布式系统判断终端是否为安全终端，当为安全终端时，则可以对该终端进行授权，例如发送对应的配置文件对终端的目标接口进行配置等。即通过预先配置将原本部署在分布式系统的读写节点处的读写权限下放到终端，从而待上传数据可以通过终端处理后，上传至分布式系统的任意节点上，且分布式系统不再需要部署大量的读写节点，可以大大降低成本。该部署过程可以是通过在终端形成安全模块的形式存在，例如将配置好的SDK下载到终端进行加载运行后，该SDK则统一管理与分布式系统进行交互的接口。

其中，第一临时会话密钥可以是根据需要做到不同类型的数据采用不同的临时会话密钥，例如每一次终端与分布式系统进行数据交互的临时会话密钥均可以不同，这样即使不法分子获取到该临时会话密钥也无法预测下一次数据交互的密钥，从而无法获取到数据明文。

具体地，终端和授权终端中可以存储有共享曲线参数，例如第一终端中存储有第一共享曲线参数，第二终端中存储有第二共享曲线参数，而分布式系统中存储有所有的共享曲线参数，每一共享曲线参数包括椭圆曲线E，阶N以及基点G。通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥具体可以包括：向通过预先配置的接口向分布式系统发送密钥交换请求；接收分布式系统根据密钥交换请求返回的第一密钥关键码；根据第一密钥关键码生成第一临时会话密钥；其中第二临时会话密钥是由终端生成第二随机数，并根据第二随机数生成第二密钥关键码，将第二密钥关键码发送至分布式系统，分布式系统根据第二密钥关键码以及分布式系统生成的第一随机数生成第二临时会话密钥。

下面详细地说明第一临时会话密钥和第二临时会话密钥的生成过程：终端向分布式系统发送密钥交换请求，该请求携带有终端标识，终端标识可以唯一地确定该终端，并生成第二随机数；当分布式系统接收到终端发送的密钥交换请求后，则获取到与该终端对应的基点G，并生成第一随机数a，分布式系统根据该基点G和第一随机数生成第一密钥关键码A＝a*G，并将生成的第一密钥关键码发送给终端；终端根据自身存储的基点G以及第二随机数生成第二密钥关键码B＝b*G，并将该第二密钥关键码发送给分布式系统；分布式系统根据第二密钥关键码以及第一随机数计算得到第二临时会话密钥Q＝a*B，终端根据第一密钥关键码以及第二随机数计算得到第一临时会话密钥Q’＝b*A，根据交换律和结合律Q＝Q’，过程为Q＝a*B＝a*b*G＝b*a*G＝b*G＝Q’。其中A的传递可以公开，即攻击者可以获取A。由于椭圆曲线的离散对数问题是难题，所以攻击者不可以通过A、G计算出a。从而交换双方可以在不共享任何秘密的情况下协商出一个密钥，从而可以保证待写入数据的安全性。

S204：通过第一临时会话密钥对待写入数据进行加密。

具体地，在终端与分布式系统计算得到临时会话密钥后，终端可以通过该第一临时会话密钥对待写入数据进行加密，从而可以保证该待写入数据的安全性，且进一步地为了使得分布式系统可以了解具体是哪一个终端发送的待写入数据，可以将终端标识以及该加密后的待写入数据一起发送给分布式系统，该终端标识可以唯一地确定该终端，其可以是终端的MAC地址等。

S206：通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，第二临时会话密钥与第一临时会话密钥对应。

具体地，在数据加密成功后，则通过预先配置的接口将加密后的待写入数据发送至分布式系统中，分布式系统在接收到该加密后的待写入数据后，可以获取到刚计算得到的第二临时会话密钥，通过该第二临时会话密钥对加密的待写入数据进行解密得到数据明文。且优选地，当存在多个终端同时向分布式系统发送待写入数据时，则分布式系统首先根据终端的终端标识获得所计算的第二临时会话密钥，例如在分布式系统计算出该第二临时会话密钥时，首先将该第二临时会话密钥与对应的终端标识进行关联存储，从而分布式系统可以根据终端标识获得所计算的第二临时会话密钥，再根据该第二临时会话密钥对该加密的待上传数据进行解密即可获得第一明文。

其中，在分布式系统获取到第一明文后，还可以按照分布式系统上的数据加密方式，对数据进行加密存储以保证数据在分布式系统上的安全性。

上述数据处理方法，预先在授权中心配置接口，不用在分布式系统部署的入口节点，大大节约了部署成本，且通过对授权终端配置接口，可以使得分布式系统中的数据来源丰富，接入更加简单方便，而且大大缓解了分布式系统接入节点的压力，避免了由一个接入节点来写入数据的相关问题。

在其中一个实施例中，通过第一临时会话密钥对待写入数据进行加密的步骤之后，即步骤S204之后还包括通过预先部署的终端私钥对加密后的待写入数据进行签名；从而通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文的步骤，即步骤S206可以包括：通过预先配置的接口将经过加密和签名后的待写入数据发送至分布式系统，以使分布式系统通过终端公钥对接收到的待写入数据进行验签成功后，通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，终端公钥与终端私钥对应。

具体地，为了进一步保证终端与分布式系统之间数据传输的安全性，还可以预先部署终端公私钥，即终端发向分布式系统的数据均通过终端私钥进行签名，从而在分布式系统处可以通过对应的终端公钥进行验签，进一步保证了数据传输的安全性。

该预先部署的终端公私钥可以是由终端生成的，即终端在注册时，将终端生成的公钥提交到分布式系统，然后由分布式系统通过分布式系统的证书授权中心对该终端公钥进行签名存放在分布式系统上，并向终端返回授权证书，以表示终端注册成功；在另外的实施例中，该终端的公私钥可以是在分布式系统生成的，即分布式系统根据终端信息生成终端的公私钥，然后将终端私钥返给终端，且为了保证终端私钥的安全性，该过程可以是通过线下进行的。

具体地，在终端通过第一临时会话密钥对待写入数据进行加密后，还可以通过该预先部署的终端私钥对该加密后的待写入数据进行加签，从而将该加密和加签后的待写入数据以及终端标识发送至分布式系统，分布式系统在接收到该数据后，可以首先根据终端标识获取到终端公钥，通过终端公钥对该加密和加签的待写入数据进行验签，只有验签成功后才会通过第二临时会话密钥对加密的待写入数据进行解密获得第一明文，否则直接删除验签不成功的待写入数据，以保证上传到分布式系统上的数据均是安全数据。其中获取到终端公钥的步骤可以是通过分布式系统的证书对分布式系统进行了签名，因此可以首先通过分布式系统证书对应的私钥对该签名后的终端公钥进行验签得到终端公钥。优选地，对于加密和数字签名可以使用不同的会话密钥，做到一用途一密钥。且为了保证数据的可靠性，可以通过双层加签，例如终端在通过终端私钥加签后，再通过分布式系统公钥进行加签，从而在分布式系统接收到数据后，首先通过分布式系统公钥对应的私钥进行验签，验签成功后，再通过终端公钥进行验签，最后再通过第二临时会话密钥进行解密，进一步保证数据的安全性。

上述实施例中分布式系统会对该终端上送的数据进行签名验证，确认该终端的授权权限，确保该数据确实由该终端上送并且未被篡改；由此保证分布式系统上的数据有效性和真实性。通过该方案，有效解决了多终端接入分布式系统的系统中的上传数据的安全问题，数据的授权读取方在获取数据后，可通过分布式系统上获取某个授权终端的证书，验证获取数据的真实性，解决了授权机构的信任问题。

在其中一个实施例中，该数据处理方法还可以包括数据读取步骤，该数据读取步骤可以包括通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据；通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文。

具体地，上述实施例中主要涉及到将终端的待上传数据上传至分布式系统上，本实施例主要是涉及到终端从分布式系统读取待读取数据，其中终端可以首先向分布式系统发送数据读取请求，该数据读取请求中携带有终端标识，然后分布式系统根据密钥交换协议与终端进行密钥交换得到第二临时会话密钥和第一临时会话密钥，该第一临时会话密钥和第二临时会话密钥的具体获取方式可以参见上述所述，在此不再赘述。分布式系统通过所获取到的第二临时会话密钥对待读取数据进行加密，并将加密后的待读取数据发送至对应的终端，从而终端可以通过与第二临时会话密钥对应的第一临时会话密钥解密待读取数据得到第二明文，从而可以对第二明文进行处理。

上述实施例中，预先在授权中心配置接口，不用在分布式系统部署的入口节点，大大节约了部署成本，且通过对授权终端配置接口，可以使得分布式系统中的数据来源丰富，接入更加简单方便，而且大大缓解了分布式系统接入节点的压力，避免了由一个接入节点来写入数据的相关问题。同时各终端对相同数据采用唯一标识，避免了入链数据的重复。实现了多方渠道的接入，从而实现数据共享的功能。并且，各个入口是互相独立的，某个入口的宕机是不会影响到别的入口的工作的。

在其中一个实施例中，通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据的步骤可以包括：通过预先配置的接口接收分布式系统返回的通过终端公钥和第二临时会话密钥加签和加密后的待读取数据。从而通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文的步骤之前，还可以包括：通过终端私钥对通过终端公钥加签后的待读取数据进行验签得到加密后的待读取数据。

具体地，在预先配置阶段可以配置终端的公钥和私钥，并将终端的公钥存储在分布式系统上，从而在终端从分布式系统读取数据的时候，分布式系统可以首先通过第二临时会话密钥对该待读取数据进行加密，再通过终端公钥对该待读取数据进行加签以进一步保证待读取数据的安全性。在终端接收到该待读取数据时，首先获取到终端私钥，对该加密和加签后的待读取数据进行验签，在验签成功后，才会对该待读取数据通过第一临时会话密钥进行解密得到第二明文，从而对该第二明文进行其他处理。其中，对于加密和数字签名可以使用不同的会话密钥，做到一用途一密钥。且为了保证数据的可靠性，可以通过双层加签，例如分布式系统在通过终端公钥进行加签后，可以再通过分布式系统私钥进行加签，从而在终端接收到数据后，首先通过分布式系统公钥进行验签，验签成功后，再通过终端私钥进行验签，最后再通过第一临时会话密钥进行解密，进一步保证数据的安全性。

在该实施例中，接入的终端可以不用部署分布式系统的入口节点，大大节约了部署成本，同时可以针对不同终端的自身特点，提供差异化的接口配置，使得接入方式更为丰富。采用这种系统，可以使得分布式系统中的数据来源丰富，接入更加简单方便，而且大大缓解了分布式系统接入服务器的压力。避免了由一个接入口来写入数据的相关问题。同时各机构和企业对相同数据采用唯一标识，避免了入链数据的重复。实现了多方渠道的接入，从而实现数据共享的功能。并且，各个入口是互相独立的，某个入口的宕机是不会影响到别的入口的工作的。

在其中一个实施例中，该数据处理方法还可以包括一预先配置步骤，该预先配置步骤是为了将原本部署在分布式系统的读写节点处的读写权限下放到终端，从而数据可以通过终端处理后直接上传到分布式系统，且终端可以直接从分布式系统上获取到数据，接入的终端可以不用部署分布式系统的入口节点，大大节约了部署成本。

参见图3，图3为一实施例中的预先配置步骤的流程图，该预先配置步骤可以包括：

S302：向分布式系统发送注册请求，注册请求中携带有注册类型以及终端标识。

具体地，当终端想要直接与分布式系统进行数据交换时，则需要获取到分布式系统的授权，因此由终端向分布式系统发送注册请求，该注册请求中携带有终端标识，以唯一地表征该终端，注册类型是由于有些终端是数据存储类型终端，有些终端是记账类型终端，针对不同的终端其配置文件是不相同的，可以针对不同授权终端的自身特点，提供差异化的接口配置，使得接入方式更为丰富。

其中，分布式系统在接收到该终端的注册请求时，首先可以根据终端标识确定该终端，然后判断该终端是否是安全终端，例如分布式系统中可以预先存储安全终端的标识，当接收到终端的注册请求时，可以首先与预先存储的安全终端的标识进行比对，只有比对成功，才会继续根据终端标识和注册类型获取到对应的配置文件。

S304：接收分布式系统根据终端标识和注册类型生成的配置文件。

具体地，根据终端标识和注册类型获取到对应的配置文件的步骤可以包括根据注册请求中的注册类型获取到对应的配置文件，再将终端的相关信息填写在该配置文件中，例如终端标识等。具体地，注册类型可以包括数据存储类型和记账类型等，对于数据存储类型，其配置文件中的初始化的接口中包括了:数据加密、解密、数据ID混淆、分布式系统数据库查询等接口；记账类型则需要提供同态加密、环签名等账本记账对账相关的接口。在分布式系统生成对应的配置文件后，可以将该配置文件发送到对应的终端，且为了保证配置文件的安全性，防止线上传输中该配置文件被非法分子获取，可以通过线下传输的方式将配置文件发送至对应的终端。

S306：根据配置文件进行配置。

具体地，终端获取到该配置文件后，根据配置文件中的内容对终端进行配置。配置文件不仅仅是授权终端的访问权限，还有包括其他的功能，比如加解密、私钥/证书管理等，是相当于写好的SDK模块，由终端下载后在本地加载运行，而授权终端相当于调用SDK，由SDK统一访问到分布式系统读写节点，这些功能因为比较复杂，所以可以提供安全模块，配置的时候，也可以理解为配置安全模块，从而后续数据上传和数据读取全部是统一从安全模块处理。

上述实施例中，将原本部署在分布式系统的读写节点处的读写权限下放到终端，从而数据可以通过终端处理后直接上传到分布式系统，且终端可以直接从分布式系统上获取到数据，接入的终端可以不用部署分布式系统的入口节点，大大节约了部署成本。

在其中一个实施例中，该预先配置步骤还可以包括终端公私钥生成步骤，该步骤可以包括两种实现方式，一种是由终端生成公私钥对，终端在注册的时候，提交到分布式系统的证书授权中心，有该证书授权中心对终端公钥进行签名，并将签名后的终端公钥和终端标识关联存储至分布式系统上，以便于分布式系统接收到经过终端私钥签名的数据时可以通过该终端公钥进行验签。另一种方式时由终端提交终端信息至分布式系统，分布式系统根据该终端信息生成终端的公私钥，并将生成的终端私钥返给终端，可选地，通过线下的方式将该终端私钥返给终端，以保证终端私钥的安全性。

下面就两种方式分别进行详细地说明：第一种方式可以包括终端获取终端信息，并根据终端信息生成终端公钥以及与终端公钥对应的终端私钥；将终端公钥发送至分布式系统。其中终端信息可以包括终端标识、用户信息，例如账号和密码等，根据该终端信息可以通过开源工具生成终端的公私钥，或者将该终端信息发送至权威的证书授权中心，由权威的证书授权中心根据该终端信息生成终端公私钥，并下发至终端，终端将生成的终端公钥上传至分布式系统，以便于分布式系统在接收到通过终端私钥签名的数据时，可以通过该终端公钥进行验签。具体地，接收分布式系统根据终端标识和注册类型生成的配置文件的步骤，包括：当分布式系统对通过证书授权中心对终端公钥签名成功后，接收分布式系统根据终端标识和注册类型生成的配置文件。当分布式系统接收到终端上传的终端公钥后，通过分布式系统上的证书授权中心对终端公钥进行签名，以存储在分布式系统上，防止该终端公钥被其他非法分子获取到，且在存储完成后，则向终端下发授权证书，即根据终端标识和注册类型生成的配置文件。

第二种方式可以是终端获取到终端信息，并将终端信息发送至分布式系统，由分布式系统根据该终端信息生成对应的终端的公私钥，该其中终端信息可以包括终端标识、用户信息，例如账号和密码等，分布式系统通过分布式系统的证书授权中心根据该终端信息生成终端公私钥，并将该终端私钥发送至终端进行存储，终端公钥则与终端标识关联存储至分布式系统，以便于分布式系统在接收到通过终端私钥签名的数据时，可以通过该终端公钥进行验签。接收分布式系统返回的与终端信息对应的终端私钥和终端公钥，终端私钥和终端公钥为分布式系统通过证书授权中心根据终端信息生成的。

上述实施例中，预先配置步骤还可以生成终端公私钥，从而在终端和分布式系统进行数据传输时，不仅仅通过临时会话密钥进行加密，还通过终端公私钥进行加签，进一步提高了数据的安全性。

参阅图4，图4为一实施例中的数据处理方法的时序图，该实施例中以终端向分布式系统上传数据进行说明，且终端的公私钥是由终端生成的，在该实施例中，该分布式系统为区块链。

其中，终端首先获取到终端信息，然后根据终端信息生成终端公私钥；其次终端向区块链发送注册请求，该注册请求携带有注册类型、终端标识以及生成的终端公钥信息；第三，区块链接收到该注册请求后，通过区块链的证书授权中心对该终端公钥进行签名，并存储至区块链上，并根据注册类型和终端标识生成对应的配置文件；第四，区块链将该配置文件下发至终端，该步骤可以通过线下的方式进行；第五，终端根据该配置文件对终端进行配置，例如形成对应的安全模块；第六，在配置完成后，终端可以从区块链获取到授权证书，即可以对数据进行加密，以保证数据安全；第七，终端通过安全模块根据密钥交换协议与区块链进行交换获得临时会话密钥；第八，通过该临时会话密钥对待上传数据进行加密，并通过终端私钥对数据进行加签；第九，终端将加密和加签后的数据通过安全模块发送至区块链；第十，区块链在接收到该加密和加签后的数据后，可以根据终端标识获取到终端公钥，通过终端公钥对该加密和加签后的数据进行验签，在验签成功后再通过密钥交换歇息获得的临时会话密钥对加密的数据进行解密得到明文，在得到明文后，还可以根据需要通过区块链上的公私钥对该数据进行加密后存储在区块链上，以保证数据在区块链上的安全。

上述数据处理方法，预先在授权中心配置接口，不用在区块链部署的入口节点，大大节约了部署成本，且通过对授权终端配置接口，可以使得区块链中的数据来源丰富，接入更加简单方便，而且大大缓解了区块链接入节点的压力，避免了由一个接入节点来写入数据的相关问题。

应该理解的是，虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在其中一个实施例中，如图5所示，提供了一种数据处理装置，包括密钥获取模块100、加密模块200以及写入模块300，其中：

密钥获取模块100，用于通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥。

加密模块200，用于通过第一临时会话密钥对待写入数据进行加密。

写入模块300，用于通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，第二临时会话密钥与第一临时会话密钥对应。

在其中一个实施例中，装置还可以包括：

签名模块，用于在通过第一临时会话密钥对待写入数据进行加密后，通过预先部署的终端私钥对加密后的待写入数据进行签名。

写入模块300还用于通过预先配置的接口将经过加密和签名后的待写入数据发送至分布式系统，以使分布式系统通过终端公钥对接收到的待写入数据进行验签成功后，通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，终端公钥与终端私钥对应。

在其中一个实施例中，装置还可以包括：

读取模块，用于通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据。

解密模块，用于通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文。

在其中一个实施例中，读取模块还用于通过预先配置的接口接收分布式系统返回的通过终端公钥和第二临时会话密钥加签和加密后的待读取数据。

装置还可以包括验签模块，用于在通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文之前，通过终端私钥对通过终端公钥加签后的待读取数据进行验签得到加密后的待读取数据。

在其中一个实施例中，装置还可以包括：

发送模块，用于向分布式系统发送注册请求，注册请求中携带有注册类型以及终端标识。

接收模块，用于接收分布式系统根据终端标识和注册类型生成的配置文件。

配置模块，用于根据配置文件进行配置。

在其中一个实施例中，装置还可以包括：

第一公私钥生成模块，用于获取终端信息，并根据终端信息生成终端公钥以及与终端公钥对应的终端私钥。

发送模块还用于将终端公钥发送至分布式系统。

接收模块还用于当分布式系统对通过证书授权中心对终端公钥签名成功后，接收分布式系统根据终端标识和注册类型生成的配置文件。

在其中一个实施例中，发送模块还可以用于获取终端信息，并将终端信息发送至分布式系统。

接收模块还用于接收分布式系统返回的与终端信息对应的终端私钥和终端公钥，终端私钥和终端公钥为分布式系统通过证书授权中心根据终端信息生成的。

关于数据处理装置的具体限定可以参见上文中对于数据处理方法的限定，在此不再赘述。上述数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图6中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥；通过第一临时会话密钥对待写入数据进行加密；通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，第二临时会话密钥与第一临时会话密钥对应。

在一个实施例中，处理器执行计算机程序时实现的通过第一临时会话密钥对待写入数据进行加密的步骤之后，还可以包括：通过预先部署的终端私钥对加密后的待写入数据进行签名；处理器执行计算机程序时实现的通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文的步骤，可以包括：通过预先配置的接口将经过加密和签名后的待写入数据发送至分布式系统，以使分布式系统通过终端公钥对接收到的待写入数据进行验签成功后，通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，终端公钥与终端私钥对应。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据；通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文。

在一个实施例中，处理器执行计算机程序时实现的通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据的步骤，可以包括：通过预先配置的接口接收分布式系统返回的通过终端公钥和第二临时会话密钥加签和加密后的待读取数据；处理器执行计算机程序时实现的通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文的步骤之前，还可以包括：通过终端私钥对通过终端公钥加签后的待读取数据进行验签得到加密后的待读取数据。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：向分布式系统发送注册请求，注册请求中携带有注册类型以及终端标识；接收分布式系统根据终端标识和注册类型生成的配置文件；根据配置文件进行配置。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取终端信息，并根据终端信息生成终端公钥以及与终端公钥对应的终端私钥；将终端公钥发送至分布式系统；处理器执行计算机程序时实现的接收分布式系统根据终端标识和注册类型生成的配置文件的步骤，可以包括：当分布式系统对通过证书授权中心对终端公钥签名成功后，接收分布式系统根据终端标识和注册类型生成的配置文件。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取终端信息，并将终端信息发送至分布式系统；接收分布式系统返回的与终端信息对应的终端私钥和终端公钥，终端私钥和终端公钥为分布式系统通过证书授权中心根据终端信息生成的。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：通过预先配置的接口根据密钥交换协议与分布式系统交换获得第一临时会话密钥；通过第一临时会话密钥对待写入数据进行加密；通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，第二临时会话密钥与第一临时会话密钥对应。

在一个实施例中，计算机程序被处理器执行时实现的通过第一临时会话密钥对待写入数据进行加密的步骤之后，还可以包括：通过预先部署的终端私钥对加密后的待写入数据进行签名；计算机程序被处理器执行时实现的通过预先配置的接口将加密后的待写入数据发送至分布式系统，以使分布式系统通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文的步骤，可以包括：通过预先配置的接口将经过加密和签名后的待写入数据发送至分布式系统，以使分布式系统通过终端公钥对接收到的待写入数据进行验签成功后，通过第二临时会话密钥对加密后的待写入数据进行解密得到第一明文，终端公钥与终端私钥对应。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据；通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文。

在一个实施例中，计算机程序被处理器执行时实现的通过预先配置的接口接收分布式系统返回的通过第二临时会话密钥加密后的待读取数据的步骤，可以包括：通过预先配置的接口接收分布式系统返回的通过终端公钥和第二临时会话密钥加签和加密后的待读取数据；计算机程序被处理器执行时实现的通过第一临时会话密钥对加密后的待读取数据进行解密得到第二明文的步骤之前，还可以包括：通过终端私钥对通过终端公钥加签后的待读取数据进行验签得到加密后的待读取数据。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：向分布式系统发送注册请求，注册请求中携带有注册类型以及终端标识；接收分布式系统根据终端标识和注册类型生成的配置文件；根据配置文件进行配置。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：获取终端信息，并根据终端信息生成终端公钥以及与终端公钥对应的终端私钥；将终端公钥发送至分布式系统；计算机程序被处理器执行时实现的接收分布式系统根据终端标识和注册类型生成的配置文件的步骤，可以包括：当分布式系统对通过证书授权中心对终端公钥签名成功后，接收分布式系统根据终端标识和注册类型生成的配置文件。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：获取终端信息，并将终端信息发送至分布式系统；接收分布式系统返回的与终端信息对应的终端私钥和终端公钥，终端私钥和终端公钥为分布式系统通过证书授权中心根据终端信息生成的。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。