一种数据加密传输的方法及设备与流程

本申请涉及数据处理技术领域，尤其涉及一种数据加密传输的方法及设备。

背景技术：

数据加密是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。

随着互联网的高速发展，越来越多的数据在网络之间进行传输，然而保密性极高的数据在网络中公开传输，会面临着信息泄露的重大问题。为了避免这种问题，现有技术中，通常有两种方式对在网络中传输的数据进行加密：一、把公钥和私钥都存储到数据发送方的在线网络服务器，可以直接在网络服务器中对待发送数据使用私钥进行数字签名；二、把私钥存储到离线服务器，当需要发送数据时将数据通过数据存储工具(u盘/移动硬盘)传输或者挂载到离线服务器上，在离线服务器使用私钥对待发送数据进行数字签名，再使用数据存储工具将签名数据传输或者挂载到网络服务器使用。

然而，上述第一种方法保证了数据传输的时效性，但是由于私钥存储在网络服务器中，私钥可能会导致网络服务器和应用安全问题。第二种方法保证了私钥的安全性，但是却因为需要将待传输数据和签名数据使用其他移动存储工具进行传输，极大地降低了效率。所以，如何保证数据加密传输的安全性又能保证传输效率，成为本领域技术人员亟待解决的问题。

技术实现要素：

本申请提供了一种数据加密传输的方法及设备，以解决现有的加密传输数据的方法的安全性低和传输效率低的问题。

一方面，本申请提供了一种数据加密传输的方法，所述方法包括：

前置服务器上的第一加密信号通信器将压缩数据包单向传输至离线服务器上的第二加密信号通信器；所述压缩数据包为待传输数据与签名指令加密压缩后的数据包；

所述第二加密信号通信器将所述压缩数据包发送到所述离线服务器的处理器；

所述离线服务器的处理器解析所述压缩数据包，得到待传输数据和签名指令；

所述离线服务器的处理器根据所述签名指令，利用私钥对所述待传输数据签名，得到签名数据；

所述离线服务器的处理器将所述签名数据加密封装，得到封装包；

所述离线服务器上的第三加密信号通信器将所述封装包单向传输至后置服务器上的第四加密信号通信器。

可选的，所述前置服务器上的第一加密信号通信器将压缩数据包单向传输至离线服务器上的第二加密信号通信器的步骤之前，还包括：

所述前置服务器的处理器将待传输数据与签名指令加密压缩成压缩数据包；

所述前置服务器上的第一加密信号通信器获取所述压缩数据包。

可选的，所述前置服务器上的第一加密信号通信器获取所述压缩数据包的步骤之后，包括：

所述第一加密信号通信器将承载所述压缩数据包的电信号转换成单向传输信号。

可选的，所述第二加密信号通信器将所述压缩数据包发送到所述离线服务器的处理器的步骤之前，包括：

所述第二加密信号通信器将承载所述压缩数据包的单向传输信号转换成电信号。

可选的，所述离线服务器上的第三加密信号通信器将所述封装包单向传输至后置服务器上的第四加密信号通信器的步骤，包括：

所述第三加密信号通信器获取所述封装包；

所述第三加密信号通信器将承载所述封装包的电信号转换成单向传输信号；

所述第三加密信号通信器利用所述单向传输信号将所述封装包单向传输至后置服务器上的第四加密信号通信器。

可选的，所述离线服务器上的第三加密信号通信器将所述封装包单向传输至后置服务器上的第四加密信号通信器的步骤之后，还包括：

所述第四加密信号通信器将所述封装包发送到所述后置服务器的处理器。

可选的，所述第四加密信号通信器将所述封装包发送到所述后置服务器的处理器的步骤之前，还包括：

所述第四加密信号通信器将承载所述封装包的单向传输信号转换成电信号。

可选的，所述第四加密信号通信器将所述封装包发送到所述后置服务器的处理器的步骤之后，还包括：

所述后置服务器的处理器解析所述封装包，得到所述签名数据；

所述后置服务器的处理器对所述签名数据进行数据校验；

所述后置服务器的处理器根据所述数据校验的结果，判断所述待传输数据是否合法。

可选的，所述后置服务器的处理器根据所述数据校验的结果，判断所述待传输数据是否合法的步骤，包括：

如果所述数据校验成功，则所述待传输数据合法；

如果所述数据校验未成功，则所述待传输数据不合法。

另一方面，本申请提供了一种数据加密传输的设备，所述设备包括：

至少一个前置服务器、离线服务器和至少一个后置服务器；

设在所述至少一个前置服务器上的至少一个第一加密信号通信器；

设在所述离线服务器上的第二加密信号通信器和第三加密信号通信器；

设在所述至少一个后置服务器上的至少一个第四加密信号通信器；

所述离线服务器中设有离线服务器中的处理器；

所述离线服务器的处理器被配置为：

解析所述压缩数据包，得到待传输数据和签名指令；

根据所述签名指令，利用私钥对所述待传输数据签名，得到签名数据；

将所述签名数据加密封装，得到封装包。

由以上技术方案可知，本申请实施例的数据加密传输的方法及设备，能够在前置服务器和离线服务器之间进行单向的数据传输，也能够在离线服务器和后置服务器之间进行单向的数据传输，并且数据发送及接收分别由第一加密信号通信器、第二加密信号通信器、第三加密信号通信器和第四加密信号通信器控制，使离线服务器隔绝物理网络，保证离线服务器中存储的私钥、公钥和签名数据不会被窃取与泄露，保证信息安全。另外，本申请实施例的技术方案，由于采用了单向数据传输的方式，使数据直接从一个服务器进入另一个服务器中，避免运用其他工具进行数据传输，能够保证数据的传输效率与数据传输的实时性。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施案例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种数据加密传输的方法流程图；

图2为本申请实施例提供的步骤106的流程图；

图3为本申请实施例提供的一种数据加密传输的设备结构图；

图4为本申请实施例提供的另一种数据加密传输的设备结构图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合附图，对本申请实施例中的技术方案进行清楚、完整地描述。

数据在传输的过程中进行加密是目前普遍的方法，通常是为了避免数据传输时发生信息泄露的安全问题。但是各种网络技术日渐发展与强大起来，目前即使对数据加密，也难以保证存储数据的网络服务器不被窃取与入侵。或者说，一旦网络服务器处于网络之中，就难以避免其他人采用高端技术窃取信息，如此一来，不论是网络服务器中存储的数据还是服务器之间传输的数据，其安全性都难以得到保证。基于此，本申请实施例中提供了一种数据加密传输的方法，使存储数据的服务器隔绝物理网络。

参见图1，为本申请实施例提供的一种数据加密传输的方法，包括：

步骤101，前置服务器上的第一加密信号通信器将压缩数据包单向传输至离线服务器上的第二加密信号通信器；所述压缩数据包为待传输数据与签名指令加密压缩后的数据包。

第一加密信号通信器和第二加密信号通信器之间进行的是单向的数据发送与接收，具体地，可以将第一加密信号通信器定向设置成仅用于发送所述压缩数据包，而将第二加密信号通信器设置成仅用于接收所述压缩数据包，这样前置服务器与离线服务器之间就会只进行由前置服务器向离线服务器传输的单向过程，能保证数据单向传输，即压缩数据包一旦进入离线服务器之后，除非是对第一加密信号通信器和第二加密信号通信器重新进行通信设置，否则从前置服务器这一端无法再将数据获取出来。因此，由第一加密信号通信器和第二加密信号通信器建立的单向传输线路可以保证离线服务器中数据的安全性。

步骤102，第二加密信号通信器将压缩数据包发送到离线服务器的处理器。

第二加密信号通信器在接收到压缩数据包之后，还要将压缩数据包发送到离线服务器进行处理，具体进行处理的是离线服务器内部的处理器。

步骤103，离线服务器的处理器解析压缩数据包，得到待传输数据和签名指令。

由于压缩数据包是待传输数据与签名指令加密压缩后生成的，所以离线服务器的处理器解析压缩数据包后，就可以得到待传输数据和签名指令。

值得说明的是，通常为了保证服务器之间传输数据的安全性，还需要将前置服务器中发出的数据包进行加密，而离线服务器在获取该压缩数据包之后，利用解密操作，将该压缩数据包解密使用。通常，服务器之间采用的加密技术有很多，本申请中前置服务器和离线服务器之间数据加密技术也是如此，可以是对称加密，也可以是非对称加密，在本申请实施例中不做具体限定。

步骤104，离线服务器的处理器根据签名指令，利用私钥对待传输数据签名，得到签名数据。

离线服务器中保存有私钥，利用私钥对待传输数据进行签名，是数据加密的重要手段。签名保证这段数据只有发送者才能产生，而别人无法伪造，如果将签名数据、公钥和待传输数据一起发给接受者，那么接收者就会利用公钥对签名数据进行验证，如果证明数据传输过程中没有被修改，则该待传输数据就是完整的，可以被进一步使用。

步骤105，离线服务器的处理器将签名数据加密封装，得到封装包。

由于离线服务器中的数据和信息将来是会被后置服务器获取而使用的，为了避免离线服务器与后置服务器传输数据时发生信息泄露的问题，需要将离线服务器中签名后的数据再进行加密封装处理，以保证数据的安全性。

优选的，离线服务器的处理器在处理时，可以将签名数据、操作指令、公钥和待传输数据一同加密封装成封装包，当后置服务器获取并解析封装包后，可以根据公钥对签名数据进行验证，保证数据传输的完整性。

步骤106，离线服务器上的第三加密信号通信器将封装包单向传输至后置服务器上的第四加密信号通信器。

同上述步骤101，第三加密信号通信器和第四加密信号通信器之间进行的也是单向的数据发送与接收，具体地，可以将第三加密信号通信器定向设置成仅用于发送封装包，而将第四加密信号通信器设置成仅用于接收所述封装包，这样离线服务器与后置服务器之间就会只进行由离线服务器向后置服务器传输的单向过程，能保证数据单向传输，即封装包一旦离开离线服务器之后，除非是对第三加密信号通信器和第四加密信号通信器重新进行通信设置，否则后置服务器中数据无法再进入离线服务器中。因此，由第三加密信号通信器和第四加密信号通信器建立的单向传输线路同样可以保证离线服务器中数据的安全性。

由以上技术方案可知，本申请实施例的数据加密传输的方法，能够在前置服务器和离线服务器之间进行单向的数据传输，也能够在离线服务器和后置服务器之间进行单向的数据传输，并且数据发送及接收分别由第一加密信号通信器、第二加密信号通信器、第三加密信号通信器和第四加密信号通信器控制，使离线服务器隔绝物理网络，保证离线服务器中存储的私钥、公钥和签名数据不会被窃取与泄露，保证信息安全。另外，本申请实施例的技术方案，由于采用了单向数据传输的方式，使数据直接从一个服务器进入另一个服务器中，避免运用其他工具进行数据传输，能够保证数据的传输效率与数据传输的实时性。

本申请的一个优选的实例中，在步骤101，前置服务器上的第一加密信号通信器将压缩数据包单向传输至离线服务器上的第二加密信号通信器之前，还包括：前置服务器的处理器将待传输数据与签名指令加密压缩成压缩数据包；前置服务器上的第一加密信号通信器获取压缩数据包。

由于第一加密信号通信器发送的是压缩数据包，所以前置服务器中必然需要将待传输数据和签名指令进行压缩，在前置服务器中执行这一操作的是前置服务器的处理器，其中，签名指令用于指示离线服务器的处理器对待传输数据进行签名操作，以保证数据的安全性。此外，由于第一加密信号通信器安装在前置服务器上，而第一加密信号通信器和前置服务器的处理器又是两种不同的元件，所以处理器产生的压缩数据包不能直接被第一加密信号通信器使用，在第一加密信号通信器将压缩数据包发送到第二加密信号通信器之前，还要从前置服务器的处理器中获取该压缩数据包。

具体的，在前置服务器上的第一加密信号通信器获取所述压缩数据包之后，第一加密信号通信器还要将承载压缩数据包的电信号转换成单向传输信号，以便数据进行单向传输。第二加密信号通信器将压缩数据包发送到离线服务器的处理器的步骤之前，第二加密信号通信器也要将承载所述压缩数据包的单向传输信号转换成电信号。由于第一加密信号通信器与第二加密信号通信器之间是单向传输的关系，那么在它们之间进行传输的信号也必然是可以进行单向传输的信号，以适应于单向传输介质。以一个优选的实施例为例，第一加密信号通信器与第二加密信号通信器之间的传输介质是光纤，在光纤中传输的必定是光信号，所以，光信号即为单向传输信号，第一加密信号通信器在获取压缩数据包之后，还要将承载压缩数据包的电信号转换成光信号传输给第二加密信号通信器。第二加密信号通信器接收到光信号之后，再将光信号转换成电信号，发送给离线服务器的处理器进行处理。

本申请的一个优选的实例中，如图2所示，步骤106，离线服务器上的第三加密信号通信器将封装包单向传输至后置服务器上的第四加密信号通信器的具体步骤还包括：

步骤601，第三加密信号通信器获取所封装包。

离线服务器的处理器生成封装包之后不会直接发送出去，为了实现单向传输，还要利用第三加密信号通信器将封装包发送出去。

步骤602，第三加密信号通信器将承载封装包的电信号转换成单向传输信号。由于第三加密信号通信器与第四加密信号通信器之间是单向传输的关系，那么在它们之间进行传输的信号也必然是可以进行单向传输的信号，以适应于单向传输介质。再以上述的一个优选的实施例为例，第三加密信号通信器与第四加密信号通信器之间的传输介质是光纤，在光纤中传输的必定是光信号，所以，光信号即为单向传输信号，第三加密信号通信器在获取封装包之后，还要将承载封装包的电信号转换成光信号传输给第四加密信号通信器。

步骤603，第三加密信号通信器利用单向传输信号将封装包单向传输至后置服务器中的第四加密信号通信器。

本申请的一个优选实施例中，离线服务器中的第三加密信号通信器将封装包单向传输至后置服务器中的第四加密信号通信器之后，第四加密信号通信器还可以将封装包发送到后置服务器的处理器。

具体的，第四加密信号通信器将封装包发送到后置服务器的处理器之前，第四加密信号通信器将承载封装包的单向传输信号转换成电信号。由于后置服务器的处理器不能对光信号直接进行处理，所以第四加密信号通信器在接收到封装包之后，还要将光信号转换成电信号，以便处理器进行下一步操作。

另外，离线服务器的主要作用就是存储私钥和公钥，并且对待传输数据进行签名，保证待传输数据的安全性，而对这些数据进行下一步处理的过程均在离线服务器之外进行，此时，需要后置服务器从离线服务器中获取签名数据，再进行下一步的操作。

可选的，第四加密信号通信器将封装包发送到后置服务器的处理器之后，还包括：

步骤301，后置服务器的处理器解析封装包，得到签名数据，由于离线服务器与后置服务器之间进行数据传递时，数据通常要被进行加密压缩，以保证数据的安全性，所以，当后置服务器获取到封装包时，首先要把封装包中的数据解析出来，离线服务器与后置服务器之间的数据加密技术可以采用对称加密也可以采用非对称加密，本申请实施例中不做具体限定。

步骤302，后置服务器的处理器对签名数据进行数据校验，数据校验可以保证待传输数据的完整性，一旦待传输数据在传输过程中被窃取或者泄露，那么后置服务器的处理器就会校验出该待传输数据不完整。

步骤303，后置服务器的处理器根据数据校验的结果，判断待传输数据是否合法。

具体的，后置服务器的处理器根据数据校验的结果，判断待传输数据是否合法，包括：如果数据校验成功，则证明待传输数据完整，待传输数据合法；如果数据校验未成功，则证明待传输数据不完整，待传输数据不合法。

值得说明的是，签名是一个加密的过程，那么数据校验就是一个解密的过程，通常，离线服务器需要将待传输数据的一部分信息用私钥进行签名，也就是加密过程，然后离线服务器再将签名数据和待传输数据一同发给后置服务器，后置服务器的处理器利用离线服务器的公钥对签名数据解密，然后再利用其它函数对待传输数据产生一个摘要信息，将此摘要信息与解密后的签名数据进行对比，如果相同，则说明后置服务器接收到的信息是完整的，在传输过程中没有被修改，反之，则说明后置服务器接收的信息不完整，在传输过程中被修改过。因此，数据校验的过程能够验证信息的完整性。

本申请的一个优选实施例中，单向传输介质并不限定光纤，第一加密信号通信器与第二加密信号通信器之间的数据传输，和第三加密信号通信器与第四加密信号通信器之间的数据传输都可以通过扫面二维码的方式进行。具体的，当待传输的数据量较小时，前置服务器的处理器将签名指令和待传输数据生成二维码，并显示在第一加密信号通信器上，然后离线服务器的第二加密信号通信器通过扫码的方式从第一加密信号通信器上获取二维码中的签名指令和待传输数据，之后离线服务器的处理器再对待传输数据进行签名，将签名数据、待传输数据、公钥和操作指令生成二维码，离线服务器上的第三加密信号通信器将二维码显示出来，后置服务器上的第四加密信号通信器再经过扫码的方式获取签名数据、待传输数据、公钥和操作指令。

值得说明的是，上述单向传输介质并不仅仅限定于上述光纤和二维码两种方式，在本申请实施例中，光纤和二维码均可以被其他能支持单向传输的介质所替代，单向传输介质可以是有线传输介质和无线传输介质。

由以上技术方案可知，本申请实施例的数据加密传输的方法，能够在前置服务器和离线服务器之间进行单向的数据传输，也能够在离线服务器和后置服务器之间进行单向的数据传输，并且数据发送及接收分别由第一加密信号通信器、第二加密信号通信器、第三加密信号通信器和第四加密信号通信器控制，使离线服务器隔绝物理网络，保证离线服务器中存储的私钥、公钥和签名数据不会被窃取与泄露，保证信息安全。另外，本申请实施例的技术方案，由于采用了单向数据传输的方式，使数据直接从一个服务器进入另一个服务器中，避免运用其他工具进行数据传输，能够保证数据的传输效率与数据传输的实时性。

参见图3，本申请实施例提供了一种数据加密传输的设备，所述设备包括：

至少一个前置服务器301、离线服务器302和至少一个后置服务器303；

设在所述至少一个前置服务器301上的至少一个第一加密信号通信器311；

设在所述离线服务器302上的第二加密信号通信器312和第三加密信号通信器322；

设在所述至少一个后置服务器303上的至少一个第四加密信号通信器313；

所述离线服务器302中设有离线服务器中的处理器332；

所述离线服务器的处理器332被配置为：

解析所述压缩数据包，得到待传输数据和签名指令；

根据所述签名指令，利用私钥对所述待传输数据签名，得到签名数据；

将所述签名数据加密封装，得到封装包。

可选的，参见图4，前置服务器中还设有前置服务器的处理器321，前置服务器的处理器321被配置为：将待传输数据与签名指令加密压缩成压缩数据包。

后置服务器303中还设有后置服务器的处理器323，后置服务器的处理器323被配置为：

解析封装包，得到签名数据；

对签名数据进行数据校验；

根据数据校验的结果，判断待传输数据是否合法；

如果数据校验成功，则待传输数据合法；

如果数据校验未成功，则待传输数据不合法。

由以上技术方案可知，本申请实施例的数据加密传输的方法及设备，能够在前置服务器和离线服务器之间进行单向的数据传输，也能够在离线服务器和后置服务器之间进行单向的数据传输，并且数据发送及接收分别由第一加密信号通信器、第二加密信号通信器、第三加密信号通信器和第四加密信号通信器控制，使离线服务器隔绝物理网络，保证离线服务器中存储的私钥、公钥和签名数据不会被窃取与泄露，保证信息安全。另外，本申请实施例的技术方案，由于采用了单向数据传输的方式，使数据直接从一个服务器进入另一个服务器中，避免运用其他工具进行数据传输，能够保证数据的传输效率与数据传输的实时性。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围由权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。以上所述的本申请实施方式并不构成对本申请保护范围的限定。