数据安全传输方法、系统、装置及存储介质与流程

本申请涉及网络安全技术领域，具体而言，涉及一种数据安全传输方法、系统、装置及存储介质。

背景技术：

传统的分支-总部组网架构下，分支和总部之间存在数据交互，如图1所示，pc1访问总部服务器，为了安全起见，需要将pc1和总部服务器之间的数据加密，通常的加密手段是建立ipsecvpn，在出口路由器上开启ipsecvpn功能，例如，在路由器1和路由器2之间建立ipsec(internetprotocolsecurity，互联网安全协议)vpn(virtualprivatenetwork，虚拟专用网络)，但是建立ipsecvpn之后，会增加一层隧道协议头以及包含隧道终结点源地址和目的地址的头，这样带来的不利效果包括：报文加长了，增加了带宽开销，一方面增加了隧道协议头，另一方面，还增加了隧道终结点地址头；在传输路径上可能部署了防火墙等安全设备，在部署的时候，存在一种可能(基于安全的考虑)，只允许封装之前的原始报文经过防火墙设备，不允许封装后的报文经过防火墙设备；ipsecvpn部署在路由器上，那么pc1和路由器1之间的这段报文传输就没有安全保障，路由器2和总部服务器之间的这段传输也是没有安全保障的，从某种意义上讲，是存在安全风险的。

针对上述问题，现有技术中提出了“链路加密”的方案，这个方案简单来说，就是解决ipsecvpn部署带来的几个不利效果。部署图如图2，在通讯两端点部署加密的盒子，链路加密网关1、链路加密网关2以及链路加密网关3，做到端到端的加密，加密密钥等信息使用控制器统一管理，做到尽可能简化。

但是上述“链路加密”的现有技术方案中，如果每台终端前面都部署一台链路加密网关，一旦一个网络中终端很多，相对于传统的网络部署，硬件部署成本将增加很多，存在部署成本较高的问题。

技术实现要素：

有鉴于此，本申请实施例的目的在于提供一种数据安全传输方法、系统、装置及存储介质，以改善现有技术中存在的部署成本较高的问题。

本申请实施例提供了一种数据安全传输方法，应用于与一个或多个终端通信连接的第一链路加密网关，所述第一链路加密网关还与第二链路加密网关通信连接，所述第二链路加密网关与服务端通信连接，所述方法包括：接收所述终端发送的第一加密报文；确定所述第一加密报文认证通过；对所述第一加密报文进行解密后获得第一解密报文；基于与所述第二链路加密网关约定的加密方式对所述第一解密报文进行加密后获得第二加密报文；将所述第二加密报文发送至所述第二链路加密网关，以使所述第二链路加密网关对所述第二加密报文进行解密后得到的第二解密报文发送至服务端。

在上述实现方式中，第一链路加密网关可以和多个终端连接，不需要为每个终端配备一个单独的链路加密网关，降低了硬件成本，同时，终端和第一链路加密网关之间的数据传输也有安全保障，进一步提高了数据传输的安全性。

可选地，所述第一链路加密网关还与控制器通信连接，在所述接收所述终端发送的第一加密报文之前，所述方法还包括：向所述控制器发送第一注册信息；接收所述控制器在允许所述第一链路加密网关接入时发送的第一密钥信息和第二密钥信息，以使所述第一链路加密网关与所述终端基于所述第一密钥信息进行通信，所述第二链路加密网关与所述第一链路加密网关基于所述第二密钥信息进行通信。

在上述实现方式中，通过控制器进行终端、第一链路加密网关和第二链路加密网关之间的安全通道的密钥信息的生成和下发，能够提高数据传输的安全性，同时基于控制器的标准进行隧道传输能够增加数据安全传输的统一性和标准性，从而提高了整体安全性。

可选地，所述第一密钥信息包括第一认证算法和第一认证密钥，所述第一加密报文包括第一封装头，所述第一封装头包括第一安全控制信息和由所述终端基于所述第一认证算法和所述第一认证密钥对所述第一加密报文加密后获得的第一认证信息，所述确定所述第一加密报文认证通过，包括：基于所述第一认证信息和所述第一安全控制信息确定所述第一加密报文认证通过。

在上述实现方式中，通过先对加密报文进行安全认证，进一步提高了数据传输的安全性，且通过第一加密报文的第一封装头进行该安全认证，以使第一链路加密网关能够独立对多个终端传来的报文数据进行安全认证，从而能够同时保证多个终端传来的报文的安全性。

可选地，所述第一密钥信息还包括第一加密算法和第一加密密钥，所述对所述第一加密报文进行解密后获得第一解密报文，包括：基于所述第一安全控制信息获取与所述第一加密报文对应的所述第一加密算法，根据本地的所述第一加密密钥，采用所述第一加密算法对所述第一加密报文进行解密后获得所述第一解密报文。

在上述实现方式中，第一链路加密网关通过从第一加密报文头部的所述第一安全控制信息获取到第一加密报文所采用的第一加密算法，根据本地存储的与第一加密算法对应的第一密钥信息就可以对多个终端传来的加密报文进行解密，从而使第一链路加密网关能够同时处理多个终端的数据传输需求。

可选地，所述第二密钥信息包括第二加密算法和第二加密密钥，所述基于与所述第二链路加密网关的约定加密方式对所述第一解密报文进行加密后获得第二加密报文，包括：基于所述第二加密密钥，采用所述第二加密算法对所述第一解密报文进行加密后获得所述第二加密报文。

在上述实现方式中，第一链路加密网关通过本地存储的第二密钥信息就可以对多个终端对应的解密报文进行统一加密后传输至第二链路加密网关，从而使第一链路加密网关能够同时处理多个终端向服务端的数据传输需求。

本申请实施例还提供了一种数据安全传输方法，应用于与服务端通信连接的第二链路加密网关，所述第二链路加密网关还与第一链路加密网关通信连接，所述方法包括：接收所述第一链路加密网关发送的第二加密报文；确定所述第二加密报文认证通过；对所述第二加密报文进行解密后获得第二解密报文；将所述第二解密报文发送至所述服务端。

在上述实现方式中，第一链路加密网关可以和多个终端连接，再由第二链路加密网关将第一链路加密网关接收到的多个终端的报文传输至服务端，不需要为每个终端配备一个单独的链路加密网关，降低了硬件成本，同时，服务端和第二链路加密网关之间的数据传输也有安全保障，进一步提高了数据传输的安全性。

可选地，所述第二链路加密网关还与控制器通信连接，在所述接收所述第一链路加密网关发送的第二加密报文之前，所述方法还包括：向所述控制器发送第二注册信息；接收所述控制器在允许所述第二链路加密网关接入时发送的第二密钥信息，以使所述第二链路加密网关与所述第一链路加密网关基于所述第二密钥信息进行通信。

在上述实现方式中，通过控制器下发密钥信息进行第一链路加密网关与终端的安全通信，以及第一链路加密网关与第二链路加密网关的安全通信，提高了安全通信的标准性和统一性，从而能够统一进行多个终端至第一链路加密网关的安全通信模式，不需要为每个终端设置单独的链路加密网关，降低了硬件成本，提高了数据传输安全性。

可选地，所述第二密钥信息包括第二认证算法和第二认证密钥，所述第二加密报文包括第二封装头，所述第二封装头包括第二安全控制信息和由所述第一链路加密网关基于所述第二认证算法和所述第二认证密钥对所述第二加密报文加密后获得的第二认证信息，所述确定所述第二加密报文认证通过，包括：基于所述第二认证信息和所述第二安全控制信息确定所述第二加密报文认证通过。

在上述实现方式中，对第二链路加密网关接收的加密报文进行安全认证，进一步提高了数据传输的安全性。

本申请实施例还提供了一种数据安全传输方法，应用于分别与终端、第一链路加密网关和第二链路加密网关通信连接的控制器，所述方法包括：接收所述第一链路加密网关发送的第一注册信息；在所述第一注册信息验证通过后，向所述第一链路加密网关发送用于所述第一链路加密网关与所述终端之间进行通信的第一密钥信息；接收所述第二链路加密网关发送的第二注册信息；在所述第二注册信息验证通过后，向所述第二链路加密网关发送用于所述第二链路加密网关与所述服务端之间进行通信的第二密钥信息。

在上述实现方式中，通过控制器向链路加密网关下发密钥信息以实现安全隧道通信，提高了安全通信的标准性和统一性，从而能够统一进行多个终端至第一链路加密网关的通信标准以及第一链路加密网关和第二链路加密网关的安全通信标准，不需要为每个终端设置单独的链路加密网关，降低了硬件成本，提高了数据传输安全性。

可选地，在所述向所述第一链路加密网关发送用于所述第一链路加密网关与所述终端之间进行通信的第一密钥信息之前，所述方法还包括：接收所述终端发送的终端注册信息；在所述终端注册信息验证通过后，向所述终端发送链路加密网关中与所述终端最近的所述第一链路加密网关的网络地址，以及用于与所述第一链路加密网关进行通信的所述第一密钥信息。

在上述实现方式中，通过控制器向多个终端下发包括算法和密钥的密钥信息实现第一链路加密网关和终端的安全通信，以及第一链路加密网关和第二链路加密网关的安全通信，提高了安全通信的标准性和统一性，从而能够统一进行多个终端至第一链路加密网关的安全通信模式，不需要为每个终端设置单独的链路加密网关，降低了硬件成本，提高了数据传输安全性。

本申请实施例还提供了一种数据安全传输系统，所述系统包括第一链路加密网关、第二链路加密网关和控制器，所述第一链路加密网关与一个或多个终端通信连接，所述第二链路加密网关与所述第一链路加密网关以及服务端通信连接，所述控制器与所述第一链路加密网关、所述第二链路加密网关和所述一个或多个终端通信连接；所述第一链路加密网关用于执行上述任一项所述的数据安全传输方法；所述第二链路加密网关用于执行上述任一项所述的数据安全传输方法；所述控制器用于执行上述任一项所述的数据安全传输方法。

在上述实现方式中，通过数据安全传输系统的设置，使第一链路加密网关可以和多个终端连接，不需要为每个终端配备一个单独的链路加密网关，降低了硬件成本，同时，终端和第一链路加密网关之间、第一链路加密网关与第二链路加密网关之间的数据传输也有安全保障，进一步提高了数据传输的安全性。

本申请实施例还提供了一种数据安全传输装置，应用于与一个或多个终端通过隧道通信连接的第一链路加密网关，所述第一链路加密网关还与第二链路加密网关通信连接，所述第二链路加密网关与服务端通信连接，所述装置包括：第一接收模块，用于接收所述终端发送的第一加密报文；第一认证模块，用于确定所述第一加密报文认证通过；第一解密模块，用于对所述第一加密报文进行解密后获得第一解密报文；第一加密模块，用于基于与所述第二链路加密网关的约定加密方式对所述第一解密报文进行加密后获得第二加密报文；第一发送模块，用于将所述第二加密报文发送至所述第二链路加密网关，以使所述第二链路加密网关对所述第二加密报文进行解密后得到的第二解密报文发送至服务端。

在上述实现方式中，第一链路加密网关可以和多个终端连接，不需要为每个终端配备一个单独的链路加密网关，降低了硬件成本，同时，终端和第一链路加密网关之间的数据传输也有安全保障，进一步提高了数据传输的安全性。

可选地，所述数据安全传输装置还包括：第一注册模块，用于向所述控制器发送第一注册信息；接收所述控制器在允许所述第一链路加密网关接入时发送的第一密钥信息和第二密钥信息，以使所述第一链路加密网关与所述终端基于所述第一密钥信息进行通信，所述第二链路加密网关与所述第一链路加密网关基于所述第二密钥信息进行通信。

在上述实现方式中，通过控制器进行终端、第一链路加密网关和第二链路加密网关之间的安全通道的密钥信息的生成和下发，能够提高数据传输的效率和安全性，同时基于控制器的标准进行隧道传输能够增加数据安全传输的统一性和标准性，从而提高了整体安全性。

可选地，所述第一密钥信息包括第一认证算法和第一认证密钥，所述第一加密报文包括第一封装头，所述第一封装头包括第一安全控制信息和由所述终端基于所述第一认证算法和所述第一认证密钥对所述第一加密报文加密后获得的第一认证信息，所述第一认证模块具体用于：基于所述第一认证信息和所述第一安全控制信息确定所述第一加密报文认证通过。

在上述实现方式中，对加密报文进行安全认证，进一步提高了数据传输的安全性，且通过第一加密报文的第一封装头进行该安全认证，以使第一链路加密网关能够独立对多个终端传来的报文数据进行安全认证，从而能够同时保证多个终端传来的报文的安全性。

可选地，所述第一密钥信息还包括第一加密算法和第一加密密钥，所述第一解密模块具体用于：根据所述第一安全控制信息获取与所述第一加密报文对应的所述第一加密算法，根据本地的所述第一加密密钥，采用所述第一加密算法对所述第一加密报文进行解密后获得所述第一解密报文。

在上述实现方式中，第一链路加密网关通过本地存储的第一密钥信息就可以对多个终端传来的加密报文进行解密，从而使第一链路加密网关能够同时处理多个终端的数据传输需求。

可选地，所述第二密钥信息包括第二加密算法和第二加密密钥，所述第一加密模块具体用于：基于所述第二加密密钥，采用所述第二加密算法对所述第一解密报文进行加密后获得所述第二加密报文。

在上述实现方式中，第一链路加密网关通过本地存储的第二密钥信息就可以对多个终端对应的解密报文进行统一加密后传输至第二链路加密网关，从而使第一链路加密网关能够同时处理多个终端向服务端的数据传输需求。

本申请实施例还提供了一种数据安全传输装置，应用于与服务端通信连接的第二链路加密网关，所述第二链路加密网关还与第一链路加密网关通信连接，所述装置包括：第二接收模块，用于接收所述第一链路加密网关发送的第二加密报文；第二认证模块，用于确定所述第二加密报文认证通过；第二解密模块，用于对所述第二加密报文进行解密后获得第二解密报文；第二发送模块，用于将所述第二解密报文发送至所述服务端。

在上述实现方式中，第一链路加密网关可以和多个终端连接，再由第二链路加密网关将第一链路加密网关接收到的多个终端的报文传输至服务端，不需要为每个终端配备一个单独的链路加密网关，降低了硬件成本，同时，服务端和第二链路加密网关之间的数据传输也有安全保障，进一步提高了数据传输的安全性。

可选地，所述数据安全传输装置还包括：第二注册模块，用于向所述控制器发送第二注册信息；接收所述控制器在允许所述第二链路加密网关接入时发送的第二密钥信息，以使所述第二链路加密网关与所述第一链路加密网关基于所述第二密钥信息进行通信密钥。

在上述实现方式中，通过控制器下发密钥信息进行第一链路加密网关与终端的安全通信，以及第一链路加密网关与第二链路加密网关的安全通信，提高了安全通信的标准性和统一性，从而能够统一进行多个终端至第一链路加密网关的安全通信模式，不需要为每个终端设置单独的链路加密网关，降低了硬件成本，提高了数据传输安全性。

可选地，所述第二密钥信息包括第二认证算法和第二认证密钥，所述第二加密报文包括第二封装头，所述第二封装头包括第二安全控制信息和由所述第一链路加密网关基于所述第二认证算法和所述第二认证密钥对所述第二加密报文加密后获得的第二认证信息，所述第二认证模块具体用于：基于所述第二认证信息和所述第二安全控制信息确定所述第二加密报文认证通过。

在上述实现方式中，对第二链路加密网关接收的加密报文进行安全认证，进一步提高了数据传输的安全性。本申请实施例还提供了一种数据安全传输装置，应用于分别与终端、第一链路加密网关和第二链路加密网关通信连接的控制器，所述装置包括：注册信息接收模块，用于接收所述第一链路加密网关发送的第一注册信息；密钥信息发送模块，用于在所述第一注册信息验证通过后，向所述第一链路加密网关发送用于所述第一链路加密网关与所述终端之间进行通信的第一密钥信息；所述注册信息接收模块，还用于接收所述第二链路加密网关发送的第二注册信息；所述密钥信息发送模块，还用于在所述第二注册信息验证通过后，向所述第二链路加密网关发送用于所述第二链路加密网关与所述服务端之间进行通信的第二密钥信息。

在上述实现方式中，通过控制器向链路加密网关下发密钥信息以实现安全隧道通信，提高了安全通信的标准性和统一性，从而能够统一进行多个终端至第一链路加密网关的通信标准以及第一链路加密网关和第二链路加密网关的通信标准，不需要为每个终端设置单独的链路加密网关，降低了硬件成本，提高了数据传输安全性。

本申请实施例还提供了一种电子设备，所述电子设备包括存储器和处理器，所述存储器中存储有程序指令，所述处理器读取并运行所述程序指令时，执行上述任一实现方式中的步骤。

本申请实施例还提供了一种存储介质，所述存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述任一实现方式中的步骤。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为现有技术中分支-总部组网架构的结构示意图；

图2为现有技术中链路加密方案的分支-总部组网架构的结构示意图；

图3为本申请实施例提供的一种数据安全传输系统的结构示意图；

图4为本申请实施例提供的一种数据安全传输系统的网络配置步骤的流程示意图；

图5为本申请实施例提供的一种报文的结构示意图；

图6为本申请实施例提供的一种认证信息的结构示意图；

图7为本申请实施例提供的一种应用于第一链路加密网关的数据安全传输方法的流程示意图；

图8为本申请实施例提供的一种应用于第二链路加密网关的数据安全传输方法的流程示意图；

图9为本申请实施例提供的一种应用于第一链路加密网关的数据安全传输装置的模块示意图；

图10为本申请实施例提供的一种应用于第二链路加密网关的数据安全传输装置的模块示意图；

图11为本申请实施例提供的一种应用于控制器的数据安全传输装置的模块示意图。

图标：10-数据安全传输系统；11-第一链路加密网关；12-第二链路加密网关；13-控制器；50-数据安全传输装置；51-第一接收模块；52-第一认证模块；53-第一解密模块；54-第一加密模块；55-第一发送模块；60-数据安全传输装置；61-第二接收模块；62-第二认证模块；63-第二解密模块；64-第二发送模块；70-数据安全传输装置；71-注册信息接收模块；72-密钥信息发送模块。

具体实施方式

下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行描述。

经本申请人研究发现，现有的分支-总部组网架构下的数据交互通过在每一个终端处设置单独的链路加密网关实现分支和总部的数据安全传输，存在硬件设备成本较高问题，而直接在终端处采用软件进行安全传输保障，不采用与终端连接的链路加密网关，则会存在安全性问题，不适用于安全性要求较高的数据传输场景。

为了解决上述问题，本申请实施例提供了一种数据安全传输系统10，请参考图3，图3为本申请实施例提供的一种数据安全传输系统的结构示意图。

数据安全传输系统10包括第一链路加密网关11、第二链路加密网关12和控制器13。其中，数据安全传输系统10用于进行分支-总部组网架构中的分支和总部之间的数据传输，分支-总部组网架构通常包括终端设备pc(personalcomputer，个人计算机)1、终端设备pc2等多个终端设备，以及交换机、第一路由器、第二路由器和总部服务器，分支-总部组网架构中pc1和pc2依次通过交换机和第一路由器，基于因特网与第二路由器连接，然后通过第二路由器和总部服务器通信连接。数据安全传输系统10中的第一链路加密网关11分别与pc1、pc2等多个终端通信连接，还与第二链路加密网关12通信连接，控制器13分别与第一链路加密网关11、第二链路加密网关12以及pc1、pc2等多个终端通信连接，第二链路加密网关12还与总部服务端等服务端通信连接。

应当理解的是，终端设备除了普通个人电脑，还可以是智能手机、处理器等电子设备。第一链路加密网关11和第二链路加密网关12可以是适用类型、品牌的链路网关，以使终端设备可以使用加密连接，通过因特网连接到分支-总部网络中的内部网络资源，不必配置虚拟专用网络连接，同时提供点对点的rdp(emotedesktopprotocol，远程桌面协议)，而不是允许远程用户访问所有内部网络资源，从而提高了网络安全性。控制器13可以是提供网络系统管理、控制、可视化、策略管控、服务编排等一项或多项功能的服务器，是用户对网络系统管理控制业务的支撑平台，例如申请人的智能控制中心(icc：intelligentcontrolcenter)。此外，总部服务端可以是能够执行数据传输、运算处理等功能的服务器。

首先，终端和链路加密网关需要在控制器13上完成注册，并进行终端与第一链路加密网关11进行安全数据通信的相关信息下发，以及第一链路加密网关11与第二链路加密网关12进行安全数据通信的相关信息下发，请参考图4，图4为本申请实施例提供的一种数据安全传输系统的网络配置步骤的流程示意图，其具体步骤可以包括：

步骤s21：控制器静态配置全网所有的终端和链路加密网关的接入验证信息。

终端利用链路加密软件通过控制器13自动查找与本机最近的链路加密网关(本实施例中为第一链路加密网关11)的地址，并通过链路加密软件建立和该链路加密网关的端到端隧道，使用此隧道进行安全数据传输对数据进行保护。因此，该链路加密网关只是对报文增加了加密信息头，不增加隧道终结点的头，也就不改变原始报文的源地址目的地址信息，减少带宽消耗，且终端发送出的数据的封装方式还是和传统的链路加密网关一致，不会修改原始报文头，增加加密信息头之后的报文也可以经过防火墙，不会带来安全风险，并且从终端到该硬件链路加密网关之间的数据传输也有数据安全保障。

其中，接入验证信息可以包括链路加密的软件版本号、终端的mac(mediaaccesscontroladdress，媒体存取控制位址)地址等。

步骤s22：控制器开启接入服务端口，等待终端和链路加密网关的接入。

步骤s23：终端、第一链路加密网关、第二链路加密网关分别向控制器发送注册信息。

终端、第一链路加密网关11、第二链路加密网关12的注册信息通常与接入验证信息相对应，除了可以包括上述设备的ip(internetprotocol，互联网协议)地址、端口信息、设备mac地址，还可以包括内存/硬盘等硬件信息及自身链路加密软件版本信息等。

步骤s24：控制器基于接入验证信息验证注册信息并通过后，向终端、第一链路加密网关和第二链路加密网关发送验证通过信息，并向终端发送链路加密网关中与终端最近的第一链路加密网关的网络地址和第一密钥信息，向第一链路加密网关发送第一密钥信息以及第二密钥信息，向第二链路加密网关发送第二密钥信息，以使第一链路加密网关与终端基于第一密钥信息进行通信，第二链路加密网关与第一链路加密网关基于第二密钥信息进行通信。

需要说明的是，控制器下发的第一密钥信息和第二密钥信息可以是多个。

其中，与终端最近的链路加密网关，一般可以是与终端之间跳转次数最少或报文送达耗时最短的链路加密网关，可以是但不限于根据链路加密软件中的已学习、存储的网络拓扑图，通过ping测试响应速度等方式确定最近的链路加密网关。

第一密钥信息包括第一加密算法、第一加密密钥、第一认证算法和第一认证密钥等，第二密钥信息包括第二加密算法、第二加密密钥、第二认证算法和第二认证密钥等。其中，终端采用第一加密算法和第一加密密钥对需要发送至服务端的报文进行加密获得第一加密报文，并采用第一认证算法和第一认证密钥对第一加密报文进行加密获得第一认证信息，在第一加密报文的第一安全控制信息中添加第一认证算法的信息以及第一认证信息。

第一链路加密网关11基于第一安全控制信息确定第一认证算法，在本地确定与所述第一认证算法对应的第一认证密钥，采用第一认证算法和第一认证密钥认证第一加密报文后，采用第一加密算法和第一加密密钥对第一加密报文解密获得第一解密报文，再将基于第二加密算法、第二加密密钥对第一解密报文进行加密获得的第二加密报文，并采用第二认证算法和第二认证密钥对第二加密报文进行加密获得第二认证信息，在第二加密报文的第二安全控制信息中添加第二认证算法和第二认证信息，再将第二加密报文发送至第二链路加密网关12。

第二链路加密网关12基于第二安全控制信息中的第二认证算法在本地确定与第二认证算法对应的第二认证密钥，采用第二认证算法和第二认证密钥认证第二加密报文，再采用第二加密算法、第二加密密钥对第二加密报文进行解密获得第二解密报文并发送给服务端。

应当理解的是，控制器13下发的第一密钥信息中可能含有多套认证算法和认证密钥，可以是但不限于基于sha1、sha2、sha256或md5等算法的认证算法和认证密钥，由终端根据自身的运算能力选择合适的认证算法和认证密钥对第一加密报文进行签名获得第一认证信息，并将第一认证信息放入第一加密报文的头部。第二密钥信息与第一密钥信息同理，此处不再赘述。

可选地，本实施例中的第一链路加密网关11与终端之间的数据传输，以及第一链路加密网关11与第二链路加密网关12之间的数据传输可以是基于隧道技术进行，其是一种通过使用互联网络的基础设施在网络之间传递数据的方式，使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

在根据上述步骤完成数据安全传输系统10的网络配置后，终端需要通过数据安全传输系统10进行数据传输时，会对报文进行加密封装操作，然后将获得的第一加密报文发送至第一链路加密网关11。

请参考图5，图5为本申请实施例提供的一种报文的结构示意图。

报文的源地址为终端的地址，目的地址为总部服务端的地址，封装后的源地址、目的地址不变，由通常报文包括的以太封装头、ip封装头、tcp(transmissioncontrolprotocol，传输控制协议)/udp(userdatagramprotocol，用户数据报协议)封装头、sec(securitycertificate，安全证书)封装头、tcp/udp有效载荷。

sec封装头可以为本实施例中的第一封装头，其中，sec封装头包括第一认证信息(secsignature)和第一安全控制信息(seccontrolinformation)，第一认证信息是终端根据自身运算能力采用控制器13下发的第一密钥信息中的指定的第一认证算法和第一认证密钥对整个加密报文进行签名获得，认证报文在传输过程中是否被篡改，第一安全控制信息用于第一链路加密网关11进行报文认证、解密等。

具体地，请参考图6，图6为本申请实施例提供的一种认证信息的结构示意图。

请参考表1，表1示出了第一安全控制信息的信息构成。

第一链路加密网关11接收到终端发送来的第一加密报文后，需要对其进行认证、解密以及再加密后发送至第二链路加密网关12。本申请实施例提供了一种数据安全传输方法，应用于第一链路加密网关11，请参考图7，图7为本申请实施例提供的一种应用于第一链路加密网关的数据安全传输方法的流程示意图。该数据安全传输方法的具体步骤可以如下：

步骤s31：第一链路加密网关接收终端发送的第一加密报文。

步骤s32：第一链路加密网关确定第一加密报文认证通过。

第一安全控制信息中包含有认证算法、验证字长度等用于进行安全认证的数据，其具体验证过程可以是第一链路加密网关11根据第一加密报文的第一安全控制信息中的第一认证算法，从控制器13获取的第一密钥信息中的一个或多个认证密钥中确定与第一认证算法对应的第一认证密钥，采用第一认证密钥和第一认证算法获得第一加密报文的认证信息(如安全签名)，若该认证信息与第一安全控制信息中的第一认证信息相同，则判定第一加密报文认证通过，反之认证不通过。

步骤s33：第一链路加密网关对第一加密报文进行解密后获得第一解密报文。

上述步骤是对第一加密报文的tcp/udp有效载荷进行解密，其具体解密过程为加密领域的通用常识，在本实施例中不再赘述。

步骤s34：第一链路加密网关基于与第二链路加密网关约定的加密方式对第一解密报文进行加密后获得第二加密报文。

具体地，使用第二密钥信息中的第二加密算法和第二加密密钥对第一解密报文(有效载荷)进行加密，然后基于运算能力在第二密钥信息中选用合适的第二认证算法和第二认证密钥对整个加密报文进行安全认证(如安全签名)，将安全认证信息作为第二认证信息补充到第二封装头中，获得第二加密报文。

步骤s35：第一链路加密网关将第二加密报文发送至第二链路加密网关，以使第二链路加密网关对第二加密报文进行解密后得到的第二解密报文发送至服务端。

第一链路加密网关11将第二加密报文发送出本设备，路由至第二链路加密网关12，路由信息的规划属于通信领域的常用技术，在本实施例中就不再赘述。

第二链路加密网关12接收到第二加密报文后，需要对第二加密报文进行认证和解密，具体认证和解密步骤与第一加密报文的认证和解密步骤相似，然后发送至服务端。本申请实施例提供了一种数据安全传输方法，应用于第二链路加密网关12，请参考图8，图8为本申请实施例提供的一种应用于第二链路加密网关的数据安全传输方法的流程示意图。该数据安全传输方法的具体步骤可以如下：

步骤s41：第二链路加密网关接收第一链路加密网关发送的第二加密报文。

步骤s42：第二链路加密网关确定第二加密报文认证通过。

第二安全控制信息中包含有第二认证算法、验证字长度等用于进行安全认证的数据，其具体认证过程与第一加密报文的认证过程相同，此处不再赘述。

步骤s43：第二链路加密网关对第二加密报文进行解密后获得第二解密报文。

上述步骤是对第二加密报文的tcp/udp有效载荷进行解密，其具体解密过程为加密领域的通用常识，在本实施例中不再赘述。

步骤s44：第二链路加密网关将第二解密报文发送至服务端。

可选地，在其他实施例中，为了第二链路加密网关12与服务端之间的数据传输安全，第二链路加密网关12和服务端之间的数据传输还可以和第一链路加密网关11与第二链路加密网关12之间的传输相同，由第二链路加密网关12对第二解密报文进行再次加密后传输至服务端，由服务端解密获得第二解密报文中的有效载荷的内容。

作为一种可选的实施方式，作为链路加密网关等链路加密设备的厂商，还可以在网络上建立多个硬件链路网关，组成一条安全的链路环，多个客户的不同链路加密软件都可以和同一个硬件链路加密网关进行安全数据传输，相当于一个链路加密网关的成本分摊至多个用户，可以进一步减低成本。

为了配合上述应用于第一链路加密网关11的数据安全传输方法，本申请实施例还提供了一种应用于第一链路加密网关的数据安全传输装置50。

请参考图9，图9为本申请实施例提供的一种应用于第一链路加密网关的数据安全传输装置的模块示意图。

数据安全传输装置50包括：

第一接收模块51，用于接收终端发送的第一加密报文；

第一认证模块52，用于确定第一加密报文认证通过；

第一解密模块53，用于对第一加密报文进行解密后获得第一解密报文；

第一加密模块54，用于基于与第二链路加密网关的约定加密方式对第一解密报文进行加密后获得第二加密报文；

第一发送模块55，用于将第二加密报文发送至第二链路加密网关，以使第二链路加密网关对第二加密报文进行解密后得到的第二解密报文发送至服务端。

可选地，数据安全传输装置50还包括：第一注册模块，用于向控制器发送第一注册信息；接收控制器在允许第一链路加密网关接入时发送的第一密钥信息和第二密钥信息；以使所述第一链路加密网关与所述终端基于所述第一密钥信息进行通信，所述第二链路加密网关与所述第一链路加密网关基于所述第二密钥信息进行通信。

可选地，第一密钥信息包括第一认证算法和第一认证密钥，第一加密报文包括第一封装头，第一封装头包括第一安全控制信息和由终端基于第一认证算法和第一认证密钥对第一加密报文加密后获得的第一认证信息，第一认证模块52具体用于：基于第一认证信息和第一安全控制信息确定第一加密报文认证通过。

可选地，第一密钥信息包括第一加密算法和第一加密密钥，第一解密模块53具体用于：基于所述第一安全控制信息获取与所述第一加密报文对应的所述第一加密算法，根据本地的所述第一加密密钥，采用第一加密算法对第一加密报文进行解密后获得第一解密报文。

可选地，第二密钥信息包括第二加密算法和第二加密密钥，第一加密模块54具体用于：基于第二加密密钥，采用第二加密算法对第一解密报文进行加密后获得第二加密报文。

为了配合上述应用于第二链路加密网关12的数据安全传输方法，本申请实施例还提供了一种应用于第二链路加密网关的数据安全传输装置60。

请参考图10，图10为本申请实施例提供的一种应用于第二链路加密网关的数据安全传输装置的模块示意图。

数据安全传输装置60包括：

第二接收模块61，用于接收第一链路加密网关发送的第二加密报文；

第二认证模块62，用于确定第二加密报文认证通过；

第二解密模块63，用于对第二加密报文进行解密后获得第二解密报文；

第二发送模块64，用于将第二解密报文发送至服务端。

可选地，数据安全传输装置60还包括：第二注册模块，用于向控制器发送第二注册信息；接收控制器在允许第二链路加密网关接入时发送的第二密钥信息，以使所述第二链路加密网关与所述第一链路加密网关基于所述第二密钥信息进行通信密钥。

可选地，第二密钥信息包括第二认证算法和第二认证密钥，第二加密报文包括第二封装头，第二封装头包括第二安全控制信息和由第一链路加密网关基于第二认证算法和第二认证密钥对第二加密报文加密后获得的第二认证信息，第二认证模块62具体用于：基于第二认证信息和第二安全控制信息确定第二加密报文认证通过。

为了配合上述应用于控制器13的数据安全传输方法，本申请实施例还提供了一种应用于控制器的数据安全传输装置70。

请参考图11，图11为本申请实施例提供的一种应用于控制器的数据安全传输装置的模块示意图。

数据安全传输装置70包括：

注册信息接收模块71，用于接收第一链路加密网关发送的第一注册信息；

密钥信息发送模块72，用于在第一注册信息验证通过后，向第一链路加密网关发送用于第一链路加密网关与终端之间进行通信的第一密钥信息；

注册信息接收模块71，还用于接收第二链路加密网关发送的第二注册信息；

密钥信息发送模块72，还用于在第二注册信息验证通过后，向第二链路加密网关发送建立第二链路加密网关与服务端之间进行通信的第二密钥信息。

本申请实施例还提供了一种存储介质，所述存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行数据安全传输方法中的步骤。

综上所述，本申请实施例提供了一种数据安全传输方法、系统、装置及存储介质，应用于与一个或多个终端通信连接的第一链路加密网关，所述第一链路加密网关还与第二链路加密网关通信连接，所述第二链路加密网关与服务端通信连接，所述方法包括：接收所述终端发送的第一加密报文；确定所述第一加密报文认证通过；对所述第一加密报文进行解密后获得第一解密报文；基于与所述第二链路加密网关约定的加密方式对所述第一解密报文进行加密后获得第二加密报文；将所述第二加密报文发送至所述第二链路加密网关，以使所述第二链路加密网关对所述第二加密报文进行解密后得到的第二解密报文发送至服务端。

在上述实现方式中，第一链路加密网关可以和多个终端连接，不需要为每个终端配备一个单独的链路加密网关，降低了硬件成本，同时，终端和第一链路加密网关之间的数据传输也有安全保障，进一步提高了数据传输的安全性。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。