一种数据安全传输方法及终端、服务器的制造方法

一种数据安全传输方法及终端、服务器的制造方法
【专利摘要】本发明实施例公开了一种数据安全传输方法及终端、服务器，其中方法包括：判断终端连接的wifi是否为已标记的wifi；若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据；终端将第一加密数据通过所述wifi发送给服务器，所述服务器对第一加密数据进行解密；终端接收服务器返回的第二加密数据，所述第二加密数据是服务器经过加密后的应答数据包；终端对第二加密数据进行解密得到应答数据包。本发明实施例通过判断公共wifi是否为标记的wifi，如果为未标记的wifi才对请求数据包进行加密并发送给服务器，可以降低终端和服务器的负载。
【专利说明】
一种数据安全传输方法及终端、服务器
技术领域
[0001]本发明涉及数据传输技术领域，尤其涉及一种数据安全传输方法及终端、服务器。
【背景技术】
[0002]现在公用wifi能解决用户在陌生环境的大数据传输的需求，但公用wifi的数据安全却是一个很大的问题。不法的公用wifi通过数据包分析能很方便的窃取用户隐私并可能使用钓鱼网站来给用户造成损失，使得公共wifi下数据传输的安全性不足。现有技术在公共wifi的情况下，无论公共wifi是否安全，都对终端需要传输的数据进行加密解密，服务器接收到数据也需要进行加密解密。加密解密所耗费的资源和时间增加了终端和服务器的负载，降低了数据传输速度。

【发明内容】

[0003]本发明实施例提供一种数据安全传输方法及终端、服务器，可降低终端和服务器的负载。
[0004]第一方面，本发明实施例提供了一种数据安全传输方法，该方法包括:
[0005]判断终端连接的wifi是否为已标记的wifi ;
[0006]若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据；
[0007]终端将第一加密数据通过所述wifi发送给服务器，所述服务器对第一加密数据进行解密；
[0008]终端接收服务器返回的第二加密数据，所述第二加密数据是服务器经过加密后的应答数据包；
[0009]终端对第二加密数据进行解密得到应答数据包。
[0010]另一方面，本发明实施例提供了一种终端，该终端包括:
[0011]判断单元，用于判断终端连接的Wifi是否为已标记的wifi ;
[0012]加密单元，用于若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据；
[0013]发送单元，用于将第一加密数据通过所述wifi发送给服务器，所述服务器对第一加密数据进行解密；
[0014]接收单元，用于接收服务器返回的第二加密数据，所述第二加密数据是服务器经过加密后的应答数据包；
[0015]解密单元，用于对第二加密数据进行解密得到应答数据包。
[0016]另外，本发明实施例提供了一种服务器，该服务器包括包括安全服务器和应用服务器，所述安全服务器包括解密单元、加密单元；
[0017]所述解密单元，用于接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器；
[0018]所述加密单元，用于接收应用服务器返回的应答数据包，对应答数据包进行加密得到第二加密数据，将第二加密数据发送给终端。
[0019]本发明实施例通过判断公共wifi是否为标记的wifi，如果为未标记的wif i才对请求数据包进行加密并发送给服务器，接收服务器返回的加密后的应答数据包并解密;服务器对终端发送的请求数据包解密，对将应答数据包进行加密返回给终端，降低终端和服务器的负载。
【附图说明】
[0020]为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。[0021 ]图1是本发明第一实施例提供的方法示意流程图；
[0022]图2是本发明第一实施例提供的方法的子流程示意图；
[0023]图3是本发明另一实施例提供的方法的示意流程图；
[0024]图4是本发明另一实施例提供的方法的子流程示意图；
[0025]图5是本发明实施例提供的判断wifi是否为安全wifi的方法流程示意图；
[0026]图6是本发明实施例提供的一种终端的示意性框图；
[0027]图7是图6实施例中提供的加密单元的子功能框图；
[0028]图8是本发明另一实施例提供的一种终端的示意性框图；
[0029]图9是本发明实施例提供的一种服务器的示意性框图；
[0030]图10是图9实施例中提供的解密单元的子功能框图；
[0031]图11是本发明另一实施例提供的一种终端的示意性框图；
[0032]图12是本发明另一实施例提供的一种服务器的示意性框图。
【具体实施方式】
[0033]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0034]应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
[0035]图1为本发明第一实施例提供的一种数据安全传输方法的示意流程图。该方法应用于可以无线上网的终端设备中，如手机、pad等。该方法包括SlOl?S105。
[0036]SlOl，判断终端连接的wifi是否为已标记的wifi。已标记的wifi为安全的wifi。具体地，判断wif i是否为安全wif i的方法可以为:根据终端连接的wif i的地理位置判断wifi的安全性，若终端连接的wif i为安全的wif i，将终端连接的wif i进行标记。如终端连接的wif i在家的地理范围内或者在公司的范围内，将家的wifi或者公司的wifi标记为安全wifi，根据ssid或mac地址来匹配，这些wifi在传输数据中不需要进行加密。若终端连接的wifi为某商场中的wifi，不能对其的安全性进行判定，不对其进行标记。判断wifi是否为安全的wifi的方法还可以为其他可行的方法。
[0037]S102，若终端连接的wif i是未标记的wif i且终端需发送请求数据包，对该请求数据包进行加密得到第一加密数据。其中，加密所使用的加密算法包括对称加密算法、非对称加密算法等，如DES、SHA、RSA等加密算法。可以理解地，终端需发送请求数据包具体为终端的应用程序需发送请求数据包。若终端连接的wifi是已标记的wifi，对发送的请求数据包不进行加密处理。
[0038]S103，终端将第一加密数据通过wifi发送给服务器，该服务器对第一加密数据进行解密。终端将第一加密数据加上TCP/IP包头，通过Wifi发送给服务器。需要注意的是，不同终端的加密、解密机制可以不同。相应的，服务器与该终端之间传输数据时，采用的加密、解密机制与该终端的加密、解密机制相同。如两个不同的终端可分别使用DES加密算法、SHA加密算法，当终端使用DES加密算法时，与该终端传输数据的服务器也使用DES加密算法。为进一步提高安全性，还可以对各终端的加密、解密机制进行更新。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。
[0039]S104，终端接收服务器返回的第二加密数据，该第二加密数据是服务器经过加密后的应答数据包。
[0040]S105，终端对第二加密数据进行解密得到应答数据包。终端接收到第二加密数据后，根据与服务器进行加密时使用的加密秘钥对应的解密秘钥对其进行解密，解密后即可得到完整的应答数据包。终端将应答数据包分配给发出请求数据包的应用程序。
[0041 ] 上述实施例通过判断终端连接的wifi是否为已标记的wifi，若为未标记的wifi才对传输的数据进行加密并发送给服务器，并接收服务器返回的加密后的应答数据包并解密，该实施例降低了终端和服务器的负载，提高了网络传输速度。
[0042]图2为本发明第一实施例提供的方法的子流程示意图。具体地，为S102的子流程示意图。S102包括:
[0043]S201，若终端连接的wif i是未标记的wif i且终端需发送请求数据包，对需发送的请求数据包进行检测。
[0044]S202，若请求数据包中含有需要加密的数据，将终端的请求数据包进行加密得到第一加密数据。终端与服务器间的请求可以是http请求，若检测到终端与服务器间的请求数据包是对特殊银行网页的请求或请求数据包中包含有用户名、密码等需要加密的网页请求，将请求数据包进行加密。如检测到http请求中包含有ICBC，则为请求工商银行网页的数据包，可能会涉及需保密的数据，对该请求数据包进行加密。
[0045]上述实施例通过检测请求数据包中是否包含有需要加密的数据，若包含有需要加密的数据将请求数据包进行加密。进一步描述需要加密的请求数据包的类型，不对所有的请求数据包进行加密，降低终端和服务器的负载，提高数据传输速度。
[0046]图3是本发明另一实施例提供的方法的示意流程图。该方法应用于可以无线上网的终端设备中，如手机、pad等。该方法包括S301?S307。该方法中的服务器包括安全服务器和应用服务器。其中，安全服务器可以是具有CA(CertifiCate Authority)证书或与终端上运行的本方法所依赖的计算机程序对应的具有安全保障的第三方服务器。应用服务器是处理终端业务逻辑的服务器。
[0047]S301，判断终端连接的wif i是否为已标记的wif i。具体地，判断wif i是否为安全wifi的方法可以为:根据终端连接的wif i的地理位置判断wif i的安全性，若若终端连接的wifi为安全的wif i，将终端连接的wifi进行标记。如终端连接的wifi在家的地理范围内或者在公司的范围内，将家的wifi或者公司的wifi标记为安全wifi，根据ssid或mac地址来匹配，这些wifi在传输数据中不需要进行加密。若终端连接的wifi为某商场中的wifi，不能对其的安全性进行判定，不对其进行标记。判断wifi是否为安全wifi的方法还可以为其他可行的方法。
[0048]S302，若终端连接的wif i是未标记的wif i且终端需发送请求数据包，对该请求数据包进行加密得到第一加密数据。其中，加密所使用的加密算法包括对称加密算法、非对称加密算法等，如DES、SHA、RSA等加密算法。可以理解地，终端需发送请求数据包具体为终端的应用程序需发送请求数据包。若终端连接的wifi是已标记的wifi，对发送的请求数据包不进行加密处理。
[0049]S303，终端将第一加密数据通过wifi发送给安全服务器。终端将第一加密数据加上TCP/IP包头，通过Wifi发送给安全服务器。需要注意的是，不同终端的加密、解密机制可以不同。相应的，服务器与该终端之间传输数据时，采用的加密、解密机制与该终端的加密、解密机制相同。如两个不同的终端可分别使用DES加密算法、SHA加密算法，当终端使用DES加密算法时，与该终端传输数据的服务器也使用DES加密算法。为进一步提高安全性，还可以对各终端的加密、解密机制进行更新。
[0050]S304，安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。请求数据包中的目标IP地址即对应终端需发送请求数据包的应用服务器，可将请求数据包发送至该应用服务器。
[0051 ] S305，安全服务器接收应用服务器返回的应答数据包，对应答数据包进行加密得到第二加密数据，将第二加密数据发送给终端。
[0052]S306，终端接收安全服务器返回的第二加密数据。
[0053]S307，终端对第二加密数据进行解密得到应答数据包。终端接收到第二加密数据后，根据与服务器进行加密时使用的加密秘钥对应的解密秘钥对其进行解密，解密后即可得到完整的应答数据包。终端将应答数据包分配给发送请求数据包的应用程序。
[0054]上述实施例进一步将服务器划分为安全服务器和应用服务器，安全服务器将数据进行加解密，应用服务器返回应答数据包以响应终端的请求。相对于只有一种服务器而言，划分为安全服务器和应用服务器可以减少服务器的负载，加快服务器响应的速度。
[0055]图4为本发明另一实施例提供的方法的子流程示意图。具体地，为步骤S304的方法子流程图。S304包括:
[0056]S401，安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。请求数据包中的目标IP地址即对应终端需发送请求数据包的应用服务器。
[0057]S402，对解密得到的请求数据包进行安全检查，判断请求数据包中的数据是否为非法请求的数据。
[0058]S403，若为非法请求的数据，将请求数据包丢弃。非法请求，如终端的应用程序盗取手机联系人、终端将个人隐私发送给自有服务器等。
[0059]S404，若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。
[0060]上述实施例通过安全服务器对终端的请求数据报进行安全检查，若为非法请求的数据，将请求数据包丢弃，若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。安全服务器对请求数据包的合法性进行判断，进一步保证了数据传输的安全。
[0061]在其他可行的实施例中，判断wifi是否为安全wifi的方法还可以为其他可行的方法，如图5所示，为另一种判断wifi是否为安全wifi的方法。
[0062]具体地，图5包括S501?S507。
[0063]S501，终端连接wifi后把第一请求数据包发送给应用服务器并对应用服务器返回的第一应答数据包按照预设的算法计算出第一校验值，所述请求数据包中包含有请求的链接。其中，预设的算法优选为MD5校验算法，预设的算法还可以为其他可行的算法。该第一请求数据包发送给应用服务器时无需加密。
[0064]S502，终端把第一请求数据包发送给安全服务器。
[0065]S503，安全服务器接收第一请求数据包并将第一请求数据包发送给应用服务器以使应用服务器返回第二应答数据包。
[0066]S504，安全服务器验证请求的链接是否有效，且对接收的第二应答数据包按照预设的算法计算出第二校验值。安全服务器验证第一请求数据包中的请求的链接是否有效，并对接收到的第二应答数据包按照预设的算法计算出第二校验值。其中，预设的算法优选为MD5校验算法，预设的算法与终端计算第一校验值的算法相同。
[0067]S505，终端接收安全服务器返回的请求的链接是否有效的数据和第二校验值。
[0068]S506，终端判断第一校验值和第二校验值是否一致，并且判断所述请求的链接是否有效。若第一校验值和第二校验值一致，且请求的链接有效，进入S507。若第一校验值和第二校验值不一致或者请求的链接无效，那么有可能是因为终端连接的wifi不可信，也有可能是请求的网页不可信，请求的网页被修改过，因此对终端连接的wifi不做任何的操作。若第一校验值和第二校验值一致，且请求的链接有效，说明终端直接请求应用服务器返回的第一应答数据包与安全服务器请求应用服务器返回的第二应答数据包的内容一致，wifi是可信的、安全的。安全服务器进一步起到了验证的作用。若wifi为安全的wifi对后续请求的数据包不进行加密处理。
[0069]S507，终端将所连接的wif i标记。进行标记的wif i为安全的wif i。
[0070]上述实施例通过计算终端直接请求应用服务器返回的第一应答数据包的第一校验值与安全服务器请求应用服务器返回的第二应答数据包的第二校验值，并且验证请求的链接是否有效，若第一校验值与第二校验值一致且请求的链接有效，将终端所连接的wifi标记，该实施例进一步判定终端所连接的wif i是否为安全的wif i。
[0071]参见图6，是本发明实施例提供的一种终端的示意性框图。该终端可以实现无线上网。该终端60包括判断单元61、加密单元62、发送单元63、接收单元64、解密单元65、标记单元66 ο
[0072]判断单元61，用于判断终端连接的wifi是否为已标记的wifi。判断单元61，还用于根据终端连接的wif i的地理位置判断wif i的安全性。标记单元66，用于若终端连接的wifi为安全的wif i，将终端连接的wif i进行标记。如终端连接的wifi在家的地理范围内或者在公司的范围内，将家的wif i或者公司的wif i标记为安全wif i，根据ssid或mac地址来匹配，这些wifi在传输数据中不需要进行加密。若终端连接的wifi为某商场中的wifi，不能对其的安全性进行判定，不对其进行标记。判断终端连接的wifi是否为安全的wifi还可以为其他可行的方法。
[0073]加密单元62，用于若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对该请求数据包进行加密得到第一加密数据。其中，加密所使用的加密算法包括对称加密算法、非对称加密算法等，如DES、SHA、RSA等加密算法。可以理解地，终端需发送请求数据包具体为终端的应用程序需发送请求数据包。如图7所示，加密单元62包括检测单元71、数据加密单元72。其中，检测单元7，用于若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对需发送的请求数据包进行检测。数据加密单元72，用于若请求数据包中含有需要加密的数据，将终端的请求数据包进行加密得到第一加密数据。终端与服务器间的请求可以是http请求，若检测到终端与服务器间的请求数据包是对特殊银行网页的请求或请求数据包中包含有用户名、密码等需要加密的网页请求，将请求数据包进行加密。如检测到http请求中包含有ICBC，则为请求工商银行网页的数据包，可能会涉及需保密的数据，对该请求数据包进行加密。
[0074]发送单元63，用于将第一加密数据通过wifi发送给服务器，该服务器对第一加密数据进行解密。终端将第一加密数据加上TCP/IP包头，通过Wifi发送给服务器。需要注意的是，不同终端的加密、解密机制可以不同。相应的，服务器与该终端之间传输数据时，采用的加密、解密机制与该终端的加密、解密机制相同。如两个不同的终端可分别使用DES加密算法、SHA加密算法，当终端使用DES加密算法时，与该终端传输数据的服务器也使用DES加密算法。为进一步提高安全性，还可以对各终端的加密、解密机制进行更新。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。
[0075]接收单元64，用于接收服务器返回的第二加密数据，该第二加密数据是服务器经过加密后的应答数据包。
[0076]解密单元65，用于对第二加密数据进行解密得到应答数据包。终端接收到第二加密数据后，根据与服务器进行加密时使用的加密秘钥对应的解密秘钥对其进行解密，解密后即可得到完整的应答数据包。终端将应答数据包分配给发出请求数据包的应用程序。
[0077]上述实施例通过检测请求数据包中是否包含有需要加密的数据，若包含有需要加密的数据将请求数据包进行加密。进一步描述需要加密的请求数据包的类型，不对所有的请求数据包进行加密，降低终端和服务器的负载，提高数据传输速度。
[0078]图8为本发明另一实施例提供的一种终端的示意性框图。该终端80包括判断单元81、加密单元82、发送单元83、接收单元84、解密单元85、标记单元86、计算单元87。
[0079]计算单元87，用于连接wifi后把第一请求数据包发送给应用服务器并对应用服务器返回的第一应答数据包按照预设的算法计算出第一校验值，所述请求数据包中包含有请求的链接。其中，预设的算法优选为MD5校验算法，预设的算法还可以为其他可行的算法。该第一请求数据包发送给应用服务器时无需加密。其中，应用服务器是处理终端业务逻辑的服务器。
[0080]发送单元83，用于把第一请求数据包发送给安全服务器。其中，安全服务器可以是具有CA(Certificate Authority)证书或与终端上运行的本方法所依赖的计算机程序对应的具有安全保障的第三方服务器。
[0081]接收单元84，用于用于接收安全服务器返回的请求的链接是否有效的数据和第二校验值，其中，该第二校验值是安全服务器按照预设的算法计算第二应答数据包所产生的结果，该第二应答数据包为应用服务器应答第一请求数据包所产生的。其中，预设的算法优选为MD5校验算法，预设的算法与终端计算第一校验值的算法相同。
[0082]判断单元81，用于判断第一校验值和第二校验值是否一致，并且判断所述请求的链接是否有效。
[0083]标记单元86，用于若第一校验值和第二校验值一致且所述请求的链接有效，终端将所连接的wifi标记。若第一校验值和第二校验值不一致或者请求的链接无效，那么有可能是因为终端连接的wifi不可信，也有可能是请求的网页不可信，请求的网页被修改过，因此对终端连接的Wifi不做任何的操作。若第一校验值和第二校验值一致，且请求的链接有效，说明终端直接请求应用服务器返回的第一应答数据包与安全服务器请求应用服务器返回的第二应答数据包的内容一致，Wifi是可信的、安全的。安全服务器进一步起到了验证的作用。若wifi为安全的wifi对后续请求的数据包不进行加密处理。
[0084]判断单元81，还用于判断终端连接的wifi是否为已标记的wifi。
[0085]加密单元82，用于若终端连接的wif i是未标记的wifi且终端需发送请求数据包，对该请求数据包进行加密得到第一加密数据。其中，加密所使用的加密算法包括对称加密算法、非对称加密算法等，如DES、SHA、RSA等加密算法。可以理解地，终端需发送请求数据包具体为终端的应用程序需发送请求数据包。如图7所示，加密单元82包括检测单元71、数据加密单元72。其中，检测单元71，用于若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对需发送的请求数据包进行检测。数据加密单元72，用于若请求数据包中含有需要加密的数据，将终端的请求数据包进行加密得到第一加密数据。终端与服务器间的请求可以是http请求，若检测到终端与服务器间的请求数据包是对特殊银行网页的请求或请求数据包中包含有用户名、密码等需要加密的网页请求，将请求数据包进行加密。如检测到http请求中包含有ICBC，则为请求工商银行网页的数据包，可能会涉及需保密的数据，对该请求数据包进行加密。
[0086]发送单元83，还用于将第一加密数据通过wifi发送给安全服务器，该安全服务器对第一加密数据进行解密。终端将第一加密数据加上TCP/IP包头，通过Wifi发送给服务器。需要注意的是，不同终端的加密、解密机制可以不同。相应的，服务器与该终端之间传输数据时，采用的加密、解密机制与该终端的加密、解密机制相同。如两个不同的终端可分别使用DES加密算法、SHA加密算法，当终端使用DES加密算法时，与该终端传输数据的服务器也使用DES加密算法。为进一步提高安全性，还可以对各终端的加密、解密机制进行更新。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。
[0087]接收单元84，还用于接收安全服务器返回的第二加密数据，该第二加密数据是安全服务器经过加密后的应答数据包，该应答数据包是应用服务器应答安全服务器发送的请求数据包而产生的。
[0088]解密单元85，用于对第二加密数据进行解密得到应答数据包。终端接收到第二加密数据后，根据与服务器进行加密时使用的加密秘钥对应的解密秘钥对其进行解密，解密后即可得到完整的应答数据包。终端将应答数据包分配给发出请求数据包的应用程序。
[0089]图9为本发明实施例提供的一种服务器的示意性框图。该服务器用于与终端进行通信。该服务器90包括安全服务器91和应用服务器92。其中，安全服务器91可以是具有CA(Certificate Authority)证书或与终端上运行的本方法所依赖的计算机程序对应的具有安全保障的第三方服务器。应用服务器92是处理终端业务逻辑的服务器，应用服务器可应答终端发送的第一请求数据包，应用服务器也可应答安全服务器发送的请求数据包。安全服务器91包括解密单元911、加密单元912、验证单元913、计算单元914。
[0090]解密单元911，用于接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。请求数据包中的目标IP地址即对应终端需发送请求数据包的应用服务器，将请求数据包发送至该应用服务器。
[0091 ]加密单元912，用于接收应用服务器返回的应答数据包，对应答数据包进行加密得到第二加密数据，将第二加密数据发送给终端。
[0092]需要注意的是，由于不同终端的加密、解密机制可以不同。相应的，服务器与该终端之间传输数据时，采用的加密、解密机制与该终端的加密、解密机制相同。如两个不同的终端可分别使用DES加密算法、SHA加密算法，当终端使用DES加密算法时，与该终端传输数据的服务器也使用DES加密算法。
[0093]验证单元913，用于接收第一请求数据包，并验证第一请求数据包中的请求的链接是否有效。
[0094]计算单元914，用于接收应用服务器应答第一请求数据包而产生的第二应答数据包，并对该第二应答数据包按照预设的算法计算出第二校验值。该预设的算法与终端计算第一校验值的算法相同，该第二校验值与终端计算出的第一校验值进行比较，判断是否一致以判断终端所连接的wifi是否为安全的wifi。
[0095]上述实施例进一步将服务器划分为安全服务器和应用服务器，安全服务器将数据进行加解密，应用服务器返回应答数据包以响应终端的请求。相对于只有一种服务器而言，划分为安全服务器和应用服务器可以减少服务器的负载，加快服务器响应的速度。另一方面，安全服务器通过验证请求的链接是否有效，以及判断安全服务器计算出来的第二校验值与终端计算出来的第一校验值的是否一致，来判断终端所连接的wifi是否为安全的wifi，安全服务器起到了校验的作用。
[0096]图10为图9中实施例提供的解密单元的子功能框图。解密单元911包括数据解密单元101、判断单元102、丢弃单元103、发送单元104。
[0097]数据解密单元101，用于接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包。服务器接收到第一加密数据后，根据与终端进行加密时使用的加密密钥对应的解密密钥对其进行解密，解密后即可得到完整的请求数据包。请求数据包中的目标IP地址即对应终端需发送请求数据包的应用服务器。
[0098]判断单元102，用于对解密得到的请求数据包进行安全检查，判断请求数据包中的数据是否为非法请求的数据。
[0099]丢弃单元103，用于若为非法请求的数据，将请求数据包丢弃。非法请求，如终端的应用程序盗取手机联系人、终端将个人隐私发送给自有服务器等。
[0100]发送单元104，用于若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。
[0101]上述实施例通过安全服务器对终端的请求数据报进行安全检查，若为非法请求的数据，将请求数据包丢弃，若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。安全服务器对请求数据包的合法性进行判断，进一步保证了数据传输的安全。
[0102]图11为本发明另一实施例提供的一种终端的示意性框图。该终端110包括输入装置111、输出装置112、存储器113以及处理器114，上述输入装置111、输出装置112、存储器113和处理器114通过总线115连接。其中:
[0103]输入装置111，用于提供用户输入标记信息。具体实现中，本发明实施例的输入装置111可包括键盘、鼠标、光电输入装置、声音输入装置、触摸式输入装置等。
[0104]输出装置112，用于输出终端连接wifi的界面等。具体实现中，本发明实施例的输出装置112可包括显示器、显示屏、触摸屏等。
[0105]存储器113，用于存储带有各种功能的程序数据。本发明实施例中存储器113存储的数据包括已标记的wifi信息，以及其他可调用并运行的程序数据。具体实现中，本发明实施例的存储器113可以是系统存储器，比如，挥发性的(诸如RAM)，非易失性的(诸如R0M，闪存等)，或者两者的结合。具体实现中，本发明实施例的存储器113还可以是系统之外的外部存储器，比如，磁盘、光盘、磁带等。
[0106]处理器114，用于调用存储器113中存储的程序数据，并执行如下操作:
[0?07] 判断终端连接的wifi是否为已标记的wifi ;若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据;终端将第一加密数据通过所述wifi发送给服务器，所述服务器对第一加密数据进行解密;终端接收服务器返回的第二加密数据，所述第二加密数据是服务器经过加密后的应答数据包;终端对第二加密数据进行解密得到应答数据包。
[0108]在其他可行的实施例中，处理器114还可执行如下步骤:
[0?09]若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对终端需发送的请求数据包进行检测；若请求数据包中含有需要加密的数据，将请求数据包进行加密得到第一加密数据。
[0110]在其他可行的实施例中，服务器包括安全服务器与应用服务器，处理器114还可执行如下步骤:
[0111]所述终端连接wifi后把第一请求数据包发送给应用服务器并对应用服务器返回的第一应答数据包按照预设的算法计算出第一校验值，所述请求数据包中包含有请求的链接;所述终端把第一请求数据包发送给安全服务器;所述终端接收安全服务器返回的所述请求的链接是否有效的数据和第二校验值，其中，所述第二校验值是所述安全服务器按照所述预设的算法计算第二应答数据包所产生的结果，所述第二应答数据包为所述应用服务器应答所述第一请求数据包所产生的；终端判断第一校验值和第二校验值是否一致，并且判断所述请求的链接是否有效;若第一校验值和第二校验值一致且所述请求的链接有效， 终端将所连接的wif i标记。
[0112]图12为本发明另一实施例提供的一种服务器的示意性框图。该服务器120包括存储器121以及处理器122,存储器121和处理器122通过总线123连接。其中:
[0113]存储器121，用于存储带有各种功能的程序数据。本发明实施例中存储器121存储的数据包括其他可调用并运行的程序数据。具体实现中，本发明实施例的存储器121可以是系统存储器，比如，挥发性的(诸如RAM)，非易失性的(诸如R0M，闪存等)，或者两者的结合。 具体实现中，本发明实施例的存储器121还可以是系统之外的外部存储器，比如，磁盘、光盘、磁带等。
[0114]处理器122,用于调用存储器121中存储的程序数据，并执行如下操作:
[0115]服务器包括安全服务器和应用服务器；安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器;安全服务器接收应用服务器返回的应答数据包，对应答数据包进行加密得到第二加密数据，将第二加密数据发送给终端。
[0116]在其他可行的实施方式中，处理器122还可执行如下步骤:
[0117]安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包;对解密得到的请求数据包进行安全检查，判断请求数据包中的数据是否为非法请求的数据;若为非法请求的数据，将所述请求数据包丢弃;若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。
[0118]本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0119]所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0120]在本申请所提供的几个实施例中，应该理解到，所揭露的终端和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。[〇121]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
[0122]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0123]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0124]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。
【主权项】
1.一种数据安全传输方法，其特征在于，包括: 判断终端连接的wif i是否为已标记的wif i ; 若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据； 终端将第一加密数据通过所述wifi发送给服务器，所述服务器对第一加密数据进行解密； 终端接收服务器返回的第二加密数据，所述第二加密数据是服务器经过加密后的应答数据包； 终端对第二加密数据进行解密得到应答数据包。2.根据权利要求1所述的方法，其特征在于，若终端连接的wifi是未标记的wif i且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据，包括: 若终端连接的wif i是未标记的wifi且终端需发送请求数据包，对终端需发送的请求数据包进行检测； 若请求数据包中含有需要加密的数据，将请求数据包进行加密得到第一加密数据。3.根据权利要求1所述的方法，其特征在于，所述服务器包括安全服务器和应用服务器，所述方法还包括: 所述终端连接wifi后把第一请求数据包发送给应用服务器并对应用服务器返回的第一应答数据包按照预设的算法计算出第一校验值，所述请求数据包中包含有请求的链接；所述终端把第一请求数据包发送给安全服务器； 所述终端接收安全服务器返回的所述请求的链接是否有效的数据和第二校验值，其中，所述第二校验值是所述安全服务器按照所述预设的算法计算第二应答数据包所产生的结果，所述第二应答数据包为所述应用服务器应答所述第一请求数据包所产生的； 终端判断第一校验值和第二校验值是否一致，并且判断所述请求的链接是否有效； 若第一校验值和第二校验值一致且所述请求的链接有效，终端将所连接的wif i标记。4.根据权利要求1所述的方法，其特征在于，所述服务器包括安全服务器和应用服务器； 安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器； 安全服务器接收应用服务器返回的应答数据包，对应答数据包进行加密得到第二加密数据，将第二加密数据发送给终端。5.根据权利要求4所述的方法，其特征在于，安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器，包括: 安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包； 对解密得到的请求数据包进行安全检查，判断请求数据包中的数据是否为非法请求的数据； 若为非法请求的数据，将所述请求数据包丢弃； 若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。6.一种终端，其特征在于，所述终端包括: 判断单元，用于判断终端连接的wifi是否为已标记的wifi ; 加密单元，用于若终端连接的wifi是未标记的wifi且终端需发送请求数据包，对所述请求数据包进行加密得到第一加密数据； 发送单元，用于将第一加密数据通过所述wifi发送给服务器，所述服务器对第一加密数据进行解密； 接收单元，用于接收服务器返回的第二加密数据，所述第二加密数据是服务器经过加密后的应答数据包； 解密单元，用于对第二加密数据进行解密得到应答数据包。7.根据权利要求6所述的终端，其特征在于，所述加密单元包括检测单元、数据加密单元； 所述检测单元，用于若终端连接的wifi是未标记的wif i且终端需发送请求数据包，对需发送的请求数据包进行检测； 所述数据加密单元，还用于若请求数据包中含有需要加密的数据，将请求数据包进行加密得到第一加密数据。8.根据权利要求6所述的终端，其特征在于，所述服务器包括安全服务器和应用服务器，所述终端还包括计算单元、标记单元； 所述计算单元，用于连接wif i后把第一请求数据包发送给应用服务器并对应用服务器返回的第一应答数据包按照预设的算法计算出第一校验值，所述请求数据包中包含有请求的链接； 所述发送单元，还用于把第一请求数据包发送给安全服务器； 所述接收单元，还用于接收安全服务器返回的所述请求的链接是否有效的数据和第二校验值，其中，所述第二校验值是所述安全服务器按照所述预设的算法计算第二应答数据包所产生的结果，所述第二应答数据包为所述应用服务器应答所述第一请求数据包所产生的； 所述判断单元，还用于判断第一校验值和第二校验值是否一致，并且判断所述请求的链接是否有效； 所述标记单元，用于若第一校验值和第二校验值一致且所述请求的链接有效，终端将所连接的W i f i标记。9.一种服务器，其特征在于，所述服务器包括安全服务器和应用服务器;所述安全服务器包括解密单元、加密单元； 所述解密单元，用于接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包，将请求数据包发送给需要访问的应用服务器； 所述加密单元，用于接收应用服务器返回的应答数据包，对应答数据包进行加密得到第二加密数据，将第二加密数据发送给终端。10.根据权利要求9所述的服务器，其特征在于，所述解密单元包括数据解密单元、判断单元、丢弃单元、发送单元； 所述数据解密单元，用于安全服务器接收终端发送的第一加密数据，将第一加密数据进行解密得到请求数据包； 所述判断单元，用于对解密得到的请求数据包进行安全检查，判断请求数据包中的数据是否为非法请求的数据； 所述丢弃单元，用于若为非法请求的数据，将所述请求数据包丢弃； 所述发送单元，用于若为合法请求的数据，将请求数据包发送给需要访问的应用服务器。
【文档编号】H04W84/12GK106028320SQ201610596973
【公开日】2016年10月12日
【申请日】2016年7月26日
【发明人】李韧, 袁旦
【申请人】深圳市金立通信设备有限公司