技术摘要：
本发明公开了一种数据传输方法、服务端和客户端，用以解决使用现有的SSL VPN技术进行数据加密传输时对网络资源消耗较大的问题，包括：接收客户端通过超文本传输协议发送的获取数据资源的第一HTTP请求；创建数据加密传输标识和会话标识并添加到第一HTTP响应报文中返回至  全部
背景技术：
现有技术中，服务端存储有客户端需求的数据资源，客户端向服务端发起数据请 求获取服务端的数据资源，然而，服务端存储的数据资源中包括不同安全等级的数据资源 信息，如果对安全级别高的数据资源使用明文进行传输，将会引起一些安全风险，因此，在 我国提出了通过SSL  VPN（Security  Socket  Layer  Virtual  Private  Network，安全套接 层协议虚拟专用网络）技术实现信息的加密传输，以保证传输数据的安全，SSL  VPN技术是 指基于安全套接层协议建立远程安全访问通道的VPN技术。 SSL  VPN协议包括SSL  VPN握手层协议和SSL  VPN记录层协议，SSL  VPN握手层协议 建立在SSL  VPN记录层协议之上，用于在实际的数据传输开始前通信双方进行身份认证、协 商密钥和加密算法等安全参数、交换密钥等；SSL  VPN记录层协议建立在可靠的传输协议 （如TCP（Transmission  Control  Protocol，传输控制协议））之上，为高层协议提供数据的 分段、封装、压缩及解压缩、加密及解密等基本功能的支持。使用SSL  VPN技术进行数据加密 传输时，虽然保证了数据的安全传输，但是在创建SSL  VPN连接以后，客户端利用高层协议 向服务端请求数据时，客户端和服务端需要先通过SSL  VPN握手层协议协商密钥和加密算 法，再通过SSL  VPN记录层协议对请求的数据进行加密后进行传输，这样对网络资源消耗较 大。
技术实现要素：
为了解决使用现有的SSL  VPN技术进行数据加密传输时对网络资源消耗较大的问 题，本发明实施例提供了一种数据传输方法、服务端和客户端。 第一方面，本发明实施例提供了一种服务端侧实施的数据传输方法，包括： 接收客户端通过超文本传输协议HTTP发送的获取数据资源的第一HTTP请求； 创建数据加密传输标识和会话标识，并将所述加密传输标识和所述会话标识添加到第 一HTTP响应报文中返回至所述客户端，所述数据加密传输标识表征数据的传输方式为加密 传输，所述会话标识用于标识与所述客户端进行会话； 接收所述客户端发送的请求安全参数协商的第二HTTP请求，根据所述第二HTTP请求与 所述客户端进行安全参数协商，确定协商的安全参数，所述第二HTTP请求中携带有所述会 话标识，所述安全参数为用于利用基于安全套接层协议建立远程安全访问通道的虚拟专用 网络SSL  VPN记录层协议进行数据加密传输所需的安全参数； 利用所述协商的安全参数对所述客户端请求的数据资源进行加密得到加密的数据资 源，并生成数据加密标识，所述数据加密标识用于标识所述加密的数据资源； 将所述会话标识、所述协商的安全参数、所述加密的数据资源和所述数据加密标识添 加到第二HTTP响应报文中返回至所述客户端，以使所述客户端利用所述协商的安全参数对 6 CN 111600914 A 说　明　书 2/17 页 所述加密的数据资源进行解密后获得请求的所述数据资源。 本发明实施例提供的数据传输方法中，服务端接收客户端通过超文本传输协议 （HyperText  Transfer  Protocol，HTTP）发送的获取数据资源的第一HTTP请求，创建数据加 密标识以标识数据的传输方式为加密传输，以及创建会话标识以对所述服务端和所述客户 端进行会话控制，所述服务端将创建的加密传输标识和会话标识添加到第一HTTP响应报文 中返回给所述客户端，所述客户端接收到所述第一HTTP响应报文后，向服务端发送请求安 全参数协商的第二HTTP请求以与所述服务端协商用于利用SSL  VPN记录层协议进行数据加 密传输所需的安全参数，所述服务端接收到所述第二HTTP请求后，根据所述第二HTTP请求 于所述客户端进行安全参数协商，确定协商的安全参数，并利用协商出的安全参数对所述 客户端请求的数据资源进行加密得到加密的数据资源，并生成数据加密标识，所述数据加 密标识用于标识所述加密的数据资源，进而，服务端将所述会话标识、所述协商的安全参 数、所述加密的数据资源和所述数据加密标识添加到第二HTTP响应报文中返回至所述客户 端，所述客户端利用协商的安全参数对所述加密的数据资源进行解密，获得请求的所述数 据资源。相比于现有技术，本发明实施例提供的数据传输方法中，当客户端通过超文本传输 协议向服务端请求获取数据资源时，服务端通过创建数据加密标识以标识客户端和服务端 之间采用加密传输的方式进行数据传输，通过创建会话标识，利用会话控制技术实现客户 端与服务端在数据传输过程中的认证识别，并且，通过超文本传输协议完成服务端和客户 端利用SSL  VPN记录层协议进行数据加密传输时所需的安全参数的协商，相比于现有技术， 本发明实施中，数据加密传输过程中无需通过SSL  VPN握手协议进行SSL  VPN记录层的安全 参数的协商，仅通过客户端与服务端进行数据交互所使用的超文本传输协议即可完成所述 安全参数的协商，从而节约了网络资源，提高了数据传输效率。 较佳地，所述第二HTTP请求中还携带有所述客户端基于所述加密传输标识从本地 SSL  VPN协议中获取的多个第一安全参数； 根据所述第二HTTP请求与所述客户端进行安全参数协商，确定协商的安全参数，具体 包括： 从本地SSL  VPN协议中获取与任一所述第一安全参数相匹配的第二安全参数； 将所述第二安全参数确定为协商的安全参数。 较佳地，所述协商的安全参数包括密钥和加密算法； 利用所述协商的安全参数对所述客户端请求的数据资源进行加密得到加密的数据资 源，具体包括： 基于所述SSL  VPN记录层协议利用所述密钥和加密算法对所述客户端请求的数据资源 进行加密，得到加密的数据资源。 较佳地，基于所述SSL  VPN记录层协议利用所述密钥和加密算法对所述数据资源 进行加密，得到加密的数据资源，具体包括： 将所述数据资源、所述密钥和加密算法发送至SSL  VPN记录层，由所述SSL  VPN记录层 根据所述SSL  VPN记录层协议利用所述密钥和加密算法对所述数据资源进行加密，得到加 密的数据资源，并将所述加密的数据资源存储至SSL  VPN记录层协议栈中； 从所述SSL  VPN记录层协议栈中提取所述加密的数据资源。 可选地，在创建数据加密传输标识和会话标识之前，还包括： 7 CN 111600914 A 说　明　书 3/17 页 确定所述客户端请求的数据资源的安全等级大于等于预设阈值。 上述可选的实施方式表征，服务端对客户端请求的数据资源不都采用加密传输方 式进行传输，仅对安全等级大于等于预设阈值的数据资源进行加密传输，从而，进一步节约 了网络资源。 第二方面，本发明实施例提供了一种客户端侧实施的数据传输方法，包括： 通过超文本传输协议HTTP向服务端发送获取数据资源的第一HTTP请求； 接收所述服务端返回的第一HTTP响应报文； 当确定所述第一HTTP响应报文中包含会话标识和数据加密传输标识时，向所述服务端 发送请求安全参数协商的第二HTTP请求，所述会话标识用于标识与所述服务端进行会话， 所述数据加密传输标识表征数据的传输方式为加密传输，所述第二HTTP请求中携带有所述 会话标识，所述安全参数为用于利用基于安全套接层协议建立远程安全访问通道的虚拟专 用网络SSL  VPN记录层协议进行数据加密传输所需的安全参数； 接收所述服务端返回的第二HTTP响应报文； 当确定所述第二HTTP响应报文中包含所述会话标识和所述数据加密标识时，获取所述 第二HTTP响应报文中的协商的安全参数和加密的数据资源，并利用所述协商的安全参数对 所述加密的数据资源进行解密，获得请求的所述数据资源，所述加密的数据资源为所述服 务端利用所述协商的安全参数对所述请求的数据进行加密后获得的。 可选地，在向所述服务端发送请求安全参数协商的第二HTTP请求之前，还包括： 从本地SSL  VPN协议中获取多个第一安全参数，并将所述多个第一安全参数添加到所 述第二HTTP请求中。 较佳地，所述协商的安全参数为所述服务端从本地SSL  VPN协议中获取的与任一 所述第一安全参数相匹配的第二安全参数。 较佳地，所述协商的安全参数包括密钥和加密算法； 利用所述协商的安全参数对所述加密的数据资源进行解密，获得请求的所述数据资 源，具体包括： 基于所述SSL  VPN记录层协议利用所述密钥和加密算法对应的解密算法对所述加密的 数据资源进行解密，获得请求的所述数据资源。 较佳地，基于所述SSL  VPN记录层协议利用所述密钥和加密算法对所述加密的数 据资源进行解密，获得所述请求的数据资源，具体包括： 将所述加密的数据资源、所述密钥和加密算法发送至SSL  VPN记录层，由所述SSL  VPN 记录层根据所述SSL  VPN记录层协议利用所述密钥和所述加密算法对应的解密算法对所述 加密的数据资源进行解密，得到所述请求的数据资源，并将所述请求的数据资源存储至SSL  VPN记录层协议栈中； 从所述SSL  VPN记录层协议栈中提取所述请求的数据资源。 本发明提供的客户端侧实施的数据传输方法的技术效果可以参见上述第一方面 或第一方面的各个实现方式的技术效果，此处不再赘述。 第三方面，本发明实施例提供了一种服务端，包括： 接收单元，用于接收客户端通过超文本传输协议HTTP发送的获取数据资源的第一HTTP 请求； 8 CN 111600914 A 说　明　书 4/17 页 创建单元，用于创建数据加密传输标识和会话标识，并将所述加密传输标识和所述会 话标识添加到第一HTTP响应报文中返回至所述客户端，所述数据加密传输标识表征数据的 传输方式为加密传输，所述会话标识用于标识与所述客户端进行会话； 协商单元，用于接收所述客户端发送的请求安全参数协商的第二HTTP请求，根据所述 第二HTTP请求与所述客户端进行安全参数协商，确定协商的安全参数，所述第二HTTP请求 中携带有所述会话标识，所述安全参数为用于利用基于安全套接层协议建立远程安全访问 通道的虚拟专用网络SSL  VPN记录层协议进行数据加密传输所需的安全参数； 加密单元，用于利用所述协商的安全参数对所述客户端请求的数据资源进行加密得到 加密的数据资源，并生成数据加密标识，所述数据加密标识用于标识所述加密的数据资源； 响应单元，用于将所述会话标识、所述协商的安全参数、所述加密的数据资源和所述数 据加密标识添加到第二HTTP响应报文中返回至所述客户端，以使所述客户端利用所述协商 的安全参数对所述加密的数据资源进行解密后获得请求的所述数据资源。 较佳地，所述第二HTTP请求中还携带有所述客户端基于所述加密传输标识从本地 SSL  VPN协议中获取的多个第一安全参数； 所述协商单元，具体用于从本地SSL  VPN协议中获取与任一所述第一安全参数相匹配 的第二安全参数；将所述第二安全参数确定为协商的安全参数。 较佳地，所述协商的安全参数包括密钥和加密算法； 所述加密单元，具体用于基于所述SSL  VPN记录层协议利用所述密钥和加密算法对所 述客户端请求的数据资源进行加密，得到加密的数据资源。 较佳地，所述加密单元，具体用于将所述数据资源、所述密钥和加密算法发送至 SSL  VPN记录层，由所述SSL  VPN记录层根据所述SSL  VPN记录层协议利用所述密钥和加密 算法对所述数据资源进行加密，得到加密的数据资源，并将所述加密的数据资源存储至SSL  VPN记录层协议栈中；从所述SSL  VPN记录层协议栈中提取所述加密的数据资源。 可选地，所述服务端还包括确定单元； 所述确定单元，用于在创建数据加密传输标识和会话标识之前，确定所述客户端请求 的数据资源的安全等级大于等于预设阈值。 本发明提供的服务端的技术效果可以参见上述第一方面或第一方面的各个实现 方式的技术效果，此处不再赘述。 第四方面，本发明实施例提供了一种客户端，包括： 第一发送单元，用于通过超文本传输协议HTTP向服务端发送获取数据资源的第一HTTP 请求； 第一接收单元，用于接收所述服务端返回的第一HTTP响应报文； 第二发送单元，用于当确定所述第一HTTP响应报文中包含会话标识和数据加密传输标 识时，向所述服务端发送请求安全参数协商的第二HTTP请求，所述会话标识用于标识与所 述服务端进行会话，所述数据加密传输标识表征数据的传输方式为加密传输，所述第二 HTTP请求中携带有所述会话标识，所述安全参数为用于利用基于安全套接层协议建立远程 安全访问通道的虚拟专用网络SSL  VPN记录层协议进行数据加密传输所需的安全参数； 第二接收单元，用于接收所述服务端返回的第二HTTP响应报文； 解密单元，用于当确定所述第二HTTP响应报文中包含所述会话标识和所述数据加密标 9 CN 111600914 A 说　明　书 5/17 页 识时，获取所述第二HTTP响应报文中的协商的安全参数和加密的数据资源，并利用所述协 商的安全参数对所述加密的数据资源进行解密，获得请求的所述数据资源，所述加密的数 据资源为所述服务端利用所述协商的安全参数对所述请求的数据进行加密后获得的。 可选地，所述客户端还包括获取单元； 所述获取单元，用于在向所述服务端发送请求安全参数协商的第二HTTP请求之前，从 本地SSL  VPN协议中获取多个第一安全参数，并将所述多个第一安全参数添加到所述第二 HTTP请求中。 较佳地，所述协商的安全参数为所述服务端从本地SSL  VPN协议中获取的与任一 所述第一安全参数相匹配的第二安全参数。 较佳地，所述协商的安全参数包括密钥和加密算法； 所述解密单元，具体用于基于所述SSL  VPN记录层协议利用所述密钥和加密算法对应 的解密算法对所述加密的数据资源进行解密，获得请求的所述数据资源。 较佳地，所述解密单元，具体用于将所述加密的数据资源、所述密钥和加密算法发 送至SSL  VPN记录层，由所述SSL  VPN记录层根据所述SSL  VPN记录层协议利用所述密钥和 所述加密算法对应的解密算法对所述加密的数据资源进行解密，得到所述请求的数据资 源，并将所述请求的数据资源存储至SSL  VPN记录层协议栈中；从所述SSL  VPN记录层协议 栈中提取所述请求的数据资源。 本发明提供的客户端的技术效果可以参见上述第一方面或第一方面的各个实现 方式的技术效果，此处不再赘述。 第五方面，本发明实施例提供了一种电子设备，包括存储器、处理器及存储在所述 存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明 所述的数据传输方法。 第六方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程 序，该程序被处理器执行时实现本发明所述的数据传输方法中的步骤。 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。 附图说明 此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： 图1为本发明实施例提供的数据传输方法的实施流程示意图； 图2为本发明实施例中，服务端对客户端请求的数据资源进行加密的实施流程示意图； 图3为本发明实施例中，客户端对加密的数据资源进行解密的实施流程示意图； 图4为本发明实施例提供的服务端侧实施的数据传输方法的实施流程示意图； 图5为本发明实施例提供的客户端侧实施的数据传输方法的实施流程示意图； 图6为本发明实施例提供的服务端的结构示意图； 图7为本发明实施例提供的客户端的结构示意图； 图8为本发明实施例提供的电子设备的结构示意图。 10 CN 111600914 A 说　明　书 6/17 页