(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210267993.3 (22)申请日 2022.03.17 (71)申请人 北京字节跳动网络技 术有限公司 地址 100041 北京市石景山区实兴大街3 0 号院3号楼 2层B-0035房间 (72)发明人 张林　张文彬　孙勇　冯庆玲　 (74)专利代理 机构 北京风雅颂专利代理有限公 司 11403 专利代理师 郭曼 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 数据传输方法及相关 设备 (57)摘要 本申请提供一种数据传输方法及相关设备。 其中， 方法执行过程包括： 接收用户端在发送传 输数据之前发来的传输准备请求， 根据所述传输 准备请求中的至少部分数据生 成配置信息； 基于 所述配置信息通过可信执行环境生成认证请求 并发送给用户端， 以供用户端根据所述认证请求 对传输数据进行信封加密； 接收所述用户端发来 的反馈信息， 所述反馈信息中包括经信封加密后 的传输数据； 对 所述反馈信息进行解密得到所述 传输数据。 通过在数据传输过程中利用信封加密 的方式对传输数据进行加密， 这种加密方式操作 简单快捷， 还能有效提高传输数据的安全性， 只 需要进行一轮交互就可完成数据传输过程， 有效 提高数据传输效率。 权利要求书3页 说明书16页 附图5页 CN 114553590 A 2022.05.27 CN 114553590 A 1.一种数据传输方法， 其特 征在于， 所述方法包括： 接收用户端在发送传输数据之前发来的传输准备请求， 根据所述传输准备请求中的至 少部分数据生成配置信息； 基于所述配置信 息通过可信执行环境生成认证请求并发送给用户端， 以供用户端根据 所述认证请求对传输数据进行信封加密； 接收所述用户端发来的反馈信息， 所述反馈信息中包括经信封加密后的传输数据； 对所述反馈信息进行解密得到所述传输数据。 2.根据权利要求1所述的方法， 其特征在于， 接收用户端在发送传输数据之前发来的传 输准备请求， 根据所述传输准备请求中的至少部分数据生成配置信息， 包括： 接收用户端发来的包括密钥长度、 加密模式、 用户端的识别信息和第二数值中的至少 之一的传输准备请求； 将所述密钥长度、 所述加密模式、 所述用户端的识别信息和所述第二数值中的至少之 一进行整合 生成配置信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述基于所述配置信 息通过可信执行环境 生成认证请求并发送给用户端， 包括： 基于所述配置信息中的所述第二数值 生成临时公钥； 对所述用户端的识别 信息进行密码学运 算处理得到第二识别数据； 将所述配置信 息、 所述第 二识别数据和所述临时公钥进行密码学运算处理得到运算处 理结果， 基于所述 运算处理结果生成引证数据； 根据所述配置信息、 所述第二识别数据、 所述临时公钥和所述引 证数据生成认证请求 并发送给用户端。 4.根据权利要求3所述的方法， 其特征在于， 所述基于所述配置信 息中的所述第 二数值 生成临时公钥， 包括： 获取可信硬件端的第一公钥， 并随机生成第一数值， 根据所述第一公钥、 所述第 一数值 和所述第二数值 生成临时公钥。 5.根据权利要求4所述的方法， 其特征在于， 所述将所述配置信息、 所述第二识别数据 和所述临 时公钥进行密码学运算处理得到运算处理结果， 基于所述运算处理结果生成引证 数据， 包括： 将配置信息、 第二识别数据和临时公钥构成的数据进行哈希运 算处理得到哈希值； 在所述哈希值后 面补充预定数量的补充值得到报告数据， 将所述报告数据写入至用户 数据报告中生成引证数据， 并读取 所述引证数据。 6.根据权利要求1至5任一项所述的方法， 其特征在于， 所述反馈信息包括： 签名数据、 密钥密文、 加密数据和用户端证书； 所述对所述反馈信息进行解密得到所述传输数据， 包括： 对所述反馈信息进行解析， 并利用根证书对所述用户端证书进行验证， 验证通过后确 认用户端的身份正确； 获取用户端的第二公钥， 利用所述第二公钥对签名数据进行验证， 验证通过后确认所 述签名数据正确； 获取可信硬件端的第一私钥， 利用所述第一私钥对所述密钥密文进行解密， 得到密钥权　利　要　求　书 1/3 页 2 CN 114553590 A 2数据； 利用所述密钥数据对所述加密数据进行解密得到传输数据。 7.一种数据传输方法， 其特 征在于， 所述方法包括： 根据接收的传输准备 数据， 向可信硬件端发送传输准备请求； 接收可信硬件端发来的认证请求， 对所述认证请求进行解析确认； 响应于确定所述认证请求正确后， 对传输数据进行信封加密， 得到信封加密后的传输 数据； 基于所述信封加密后的传输数据生成反馈信息， 将所述反馈信息发送至可信硬件端。 8.根据权利要求7所述的方法， 其特征在于， 所述认证请求包括： 配置信息、 第 二识别数 据和引证数据； 所述对所述认证请求进行解析确认， 包括： 对所述认证请求进行解析， 得到配置信息、 第二识别数据和引证数据； 将所述配置信 息中的用户端的识别信 息进行密码学运算处理得到识别确认信 息， 将所 述识别确认信息与所述第二识别数据进行比对确认； 调用互联网认证和证书服 务对所述引证数据进行验证； 所述响应于确定所述认证请求 正确包括： 确定所述识别确认信 息与所述第二识别数据相匹配， 以及确定所述服务信 息对所述引 证数据验证通过。 9.根据权利要求8所述的方法， 其特 征在于， 所述认证请求中还 包括： 临时公钥； 所述对传输数据进行信封加密， 得到信封加密后的传输数据， 包括： 确定密钥数据， 利用密钥数据对传输数据进行加密得到加密数据； 从临时公钥中提取第一公钥， 对密钥数据进行加密， 得到密钥密文； 基于临时公钥、 密钥密文、 加密数据组成数据组合； 获取用户端的第二私钥， 利用所述第二私钥对所述数据组合进行签名， 得到签名数据； 其中， 信封加密后的传输数据包括： 所述签名数据、 所述密钥密文和所述加密数据。 10.根据权利要求9所述的方法， 其特征在于， 所述基于所述信封加密后的传输数据生 成反馈信息， 将所述反馈信息发送至可信硬件端， 包括： 获取用户端证书数据， 将所述用户端证书数据与 所述信封加密后的传输数据组合生成 反馈信息； 将所述反馈信息发送至可信硬件端， 同时输出 所述密钥数据和所述临时公钥。 11.一种数据传输装置， 其特 征在于， 所述装置包括： 准备处理模块， 用于接收用户端在发送传输数据之前发来的传输准备请求， 根据所述 传输准备请求中的至少部分数据生成配置信息； 请求生成和发送模块， 用于基于所述配置信 息通过可信执行环境生成认证请求并发送 给用户端， 以供用户端根据所述认证请求对传输数据进行信封加密； 反馈接收模块， 用于接收所述用户端发来的反馈信息， 所述反馈信息中包括经信封加 密后的传输数据； 解密模块， 用于对所述反馈信息进行解密得到所述传输数据。 12.一种数据传输装置， 其特 征在于， 所述装置包括：权　利　要　求　书 2/3 页 3 CN 114553590 A 3