(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210875398.8 (22)申请日 2022.07.25 (65)同一申请的已公布的文献号 申请公布号 CN 114938312 A (43)申请公布日 2022.08.23 (73)专利权人 北京中电普华信息技 术有限公司 地址 102200 北京市昌平区嘉铭奥森产业 园 (72)发明人 郑倩　姜海东　王军　高晓欣　 钟天齐　王思宁　邵进　屈楠　 张涛　雍怡博　孙丽丽　宋亚琼　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 刘翠香(51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 67/2876(2022.01) (56)对比文件 CN 111510474 A,2020.08.07 CN 112751866 A,2021.0 5.04 CN 10952 2727 A,2019.0 3.26 CN 111277413 A,2020.0 6.12 US 7039713 B1,20 06.05.02 CN 113297599 A,2021.08.24 CN 111049738 A,2020.04.21 US 2004196978 A1,20 04.10.07 审查员 杜少凤 (54)发明名称 一种数据传输方法和装置 (57)摘要 本申请提供了数据传输方法和装置， 应用于 数据发送端的数据传输方法包括： 获取待传输的 业务数据， 并接收数据接收端通过消息中间件发 送来的加密公钥和目标长度信息； 基于目标长度 信息生成秘钥信息； 通过消息摘要算法生成业务 数据的消息摘要， 并通过秘钥信息对业务数据和 消息摘要进行加密， 得到业务数据加密传输数 据， 以及通过加密公钥对秘钥信息进行加密， 得 到秘钥加密传输数据； 采用高级消息队列协议将 业务数据加密传输数据和秘钥加密传输数据发 送至消息中间件， 以便数据接收端从消息中间件 中下载业务数据加密传输数据和秘钥加密传输 数据， 并从下载的数据中解析出业务数据。 本申 请能够有效规避数据发送端的业务数据的篡改、 泄露、 丢失的风险。 权利要求书3页 说明书14页 附图6页 CN 114938312 B 2022.09.23 CN 114938312 B 1.一种数据传输方法， 其特 征在于， 应用于数据发送端， 包括： 获取待传输的业务数据， 并接收数据接收端通过消息 中间件发送来的加密公钥和目标 长度信息， 其中， 所述数据发送端、 所述数据接收端和所述消息中间件属于同一内网环境， 所述数据发送端与所述消息中间件通过第一物理防火墙隔离， 所述数据接收端与所述消息 中间件通过第二物理防火墙隔离； 基于所述目标长度信息生成秘钥 信息； 通过消息摘要算法生成所述业务数据的消息摘要， 并通过所述秘钥信 息对所述业务数 据和所述消息摘要进行加密， 得到业务数据加密传输数据， 以及通过所述加密公钥对所述 秘钥信息进行加密， 得到 秘钥加密 传输数据； 采用高级消息队列协议将所述业务数据加密传输数据和所述秘钥加密传输数据发送 至所述消息中间件， 以便所述数据接收端从所述消息中间件中下载所述业务数据加密传输 数据和所述秘钥加密 传输数据， 并从下 载的数据中解析 出所述业务数据。 2.根据权利要求1所述的数据传输方法， 其特征在于， 所述获取待传输的业务数据， 包 括： 通过代理组件从数据层获取所述业务数据， 其中， 所述代理组件的通信方式为半双工 通信， 所述代理 组件具有裁 剪掉TCP/IP协议传输的业 务数据的能力。 3.根据权利要求1所述的数据传输方法， 其特征在于， 所述目标长度信 息包括秘钥长度 和向量长度， 所述秘钥信息包括对称秘钥和初始向量， 所述对称秘钥的长度为所述秘钥长 度， 所述初始向量的长度为所述向量长度； 所述通过所述秘钥信 息对所述业务数据和所述消息摘要进行加密， 得到业务数据加密 传输数据， 包括： 将所述业务数据和所述消息摘要进行拼装， 得到拼装后的数据， 其中， 所述拼装后的数 据包括多个数据分组， 所述多个数据分组具有一定的顺序； 通过所述初始向量和所述对称秘钥对所述多个数据分组中的首个数据分组进行加密 处理， 得到所述首个数据分组对应的密文分组； 对于所述多个数据分组中除所述首个数据分组外的每个数据分组， 通过该数据分组 的 前一数据分组对应的密文分组和所述对称秘钥对该数据分组进行加密处理， 得到该数据分 组对应的密 文分组， 以得到所述多个数据分组中除所述首个数据分组外的其他数据分组分 别对应的密文分组； 将所述首个数据分组对应的密文分组和所述其他数据分组分别对应的密文分组作为 所述业务数据加密 传输数据。 4.根据权利要求1所述的数据传输方法， 其特征在于， 所述消息中间件对应有指定端口 白名单， 所述指定端口白名单中包 含所述数据发送端的目标端口； 所述采用高级消息队列协议将所述业务数据加密传输数据和所述秘钥加密传输数据 发送至所述消息中间件， 包括： 采用所述高级消息队列协议将所述业务数据加密传输数据和所述秘钥加密传输数据 通过所述目标端口发送至所述消息中间件。 5.根据权利要求1~4任一项所述的数据传输方法， 其特征在于， 所述消息 中间件包括所 述数据发送端对应的第一消息中间件和所述数据接收端对应的第二消息中间件， 所述第一权　利　要　求　书 1/3 页 2 CN 114938312 B 2消息中间件和所述第二消息中间件通过第三物理防火墙隔离 。 6.根据权利要求3所述的数据传输方法， 其特征在于， 所述加密公钥为SM2公钥， 所述消 息摘要算法为SM 3算法， 所述对称秘钥为SM4秘钥。 7.一种数据传输方法， 其特 征在于， 应用于数据接收端， 包括： 在建立与数据发送端的会话连接后， 生成当前会话对应的密钥对， 并将所述密钥对中 的加密公钥， 以及目标长度信息通过消息中间件发送至数据发送端， 以便所述数据发送端 基于所述目标长度信息生成秘钥信息， 通过消息摘要算法生成待传输的业务数据的消息摘 要， 并通过所述秘钥信息对所述业务数据和所述消息摘要进行加密， 得到业务数据加密传 输数据， 以及通过所述加密公钥对所述秘钥信息进行加密， 得到秘钥加密传输数据， 其中， 所述数据发送端、 所述数据接 收端和所述消息中间件属于同一内网环境， 所述数据发送端 与所述消息中间件通过第一物理防火墙隔离， 所述数据接收端与所述消息中间件通过第二 物理防火墙隔离； 从所述消息中间件中下载来自所述数据发送端的所述秘钥加密传输数据和所述业务 数据加密传输数据， 其中， 所述秘钥加密传输数据和所述业务数据加密传输数据对应的传 输协议为高级消息队列协议； 通过所述密钥对中的解密私钥对所述秘钥加密传输数据进行解密， 得到解密后的秘钥 信息， 并通过所述解密后的秘钥信息对所述业务数据加密传输数据进行解密， 得到解密后 的业务数据和解密后的消息摘要； 采用所述消息摘要算法生成所述解密后的业务数据的消息摘要， 并将生成的消息摘要 与所述解密后的消息摘要 进行比较， 以确定所述 解密后的业 务数据是否被篡改。 8.根据权利要求7所述的数据传输方法， 其特征在于， 所述解密后的秘钥信 息中包括解 密后的对称秘钥和解密后的初始向量， 所述业务数据加密传输数据包括多个密文分组， 所 述多个密文分组具有一定的顺序； 所述通过所述解密后的秘钥信 息对所述业务数据加密传输数据进行解密， 得到解密后 的业务数据和解密后的消息摘要， 包括： 通过所述解密后的初始向量和所述解密后的对称秘钥对所述多个密文分组中的首个 密文分组进行解密处 理， 得到所述首个密文分组对应的明文分组； 对于所述多个密文分组中除所述首个密文分组外的每个密文分组， 通过该密文分组 的 前一密文分组和所述解密后的对称秘钥对该密文分组进行解密处理， 得到所述多个密文分 组中除所述首个密文分组外的其 他密文分组分别对应的明文分组； 对所述首个密文分组对应的明文分组和所述其他密文分组分别对应的明文分组进行 解析， 解析出 的业务数据作为所述解密后的业务数据， 解析出的消息摘要作为所述解密后 的消息摘要。 9.一种数据传输装置， 其特 征在于， 应用于数据发送端， 包括： 信息获取模块， 用于获取待传输的业务数据， 并接收数据接收端通过消息中间件发送 来的加密公钥和目标长度信息， 其中， 所述数据发送端、 所述数据接收端和所述消息中间件 属于同一内网环境， 所述数据发送端与所述消息中间件通过第一物理防火墙隔离， 所述数 据接收端与所述消息中间件通过第二物理防火墙隔离； 秘钥生成模块， 用于基于所述目标长度信息生成秘钥 信息；权　利　要　求　书 2/3 页 3 CN 114938312 B 3