一种数据保护方法、业务申报系统和业务处理系统

技术领域

本发明涉及数据处理技术领域，尤其涉及一种数据保护方法、业务申报系统和业务处理系统。

背景技术

随着计算机行业的快速发展，计算机的数据安全备受关注。

目前，在银行与客户进行重要交易业务时，客户需要将与业务交易相关的数据文件进行密钥加密，再发送给银行，以便于银行解密后进行处理。由于客户直接加密的数据文件容易被破解，从而业务交易数据出现泄露的问题。

发明内容

有鉴于此，本发明实施例提供一种数据保护方法、业务申报系统和业务处理系统，以解决现有技术中业务交易容易数据泄露的问题。

为实现上述目的，本发明实施例提供如下技术方案：

本发明实施例第一方面公开了一种数据保护方法，应用于业务处理系统，所述业务处理系统包括第一数据处理机构和第一移动加解密装置，所述第一移动加解密装置内设置有加/解密算法，所述方法包括：

所述第一数据处理机构获取业务申报系统发送的数据包文件和客户身份信息，所述业务申报系统包括第二移动加解密装置；

所述第一数据处理机构根据所述身份信息，确定客户的身份标识号；

所述第一数据处理机构基于所述身份标识号，确定客户的公钥证书，并将所述数据包文件和所述公钥证书输入第一移动加解密装置，所述公钥证书是激活状态的公钥证书；

所述第一移动加解密装置基于所述公钥证书和第一移动加解密装置的密钥对所述数据包文件进行解密，得到明文数据。

可选的，还包括：

所述第一数据处理机构根据所述身份信息，确定第二移动加解密装置的标识号；基于所述第二移动加解密装置的标识号，确定客户的公钥证书，并将所述数据包文件和所述公钥证书输入第一移动加解密装置。

可选的，所述第一移动加解密装置基于所述公钥证书和第一移动加解密装置的密钥对所述数据包文件进行解密，得到明文数据，包括：

所述第一移动加解密装置利用所述公钥证书中的公钥对所述数据包文件进行解密，得到数字签名文件、密文数据和第一密钥；

判断所述数字签名文件是否存在异常；

若否，利用所述第一移动加解密装置的密钥对第一密钥进行解密，得到第二密钥；

基于所述第二密钥解密密文数据，得到明文数据。

本发明实施例第二方面示出了一种数据保护方法，应用于业务申报系统，所述业务申报包括第二数据处理机构和第二移动加解密装置，所述第二移动加解密装置内设置有加解密算法，所述方法包括：

第二移动加解密装置获取待加密的明文数据，并基于随机数生成第二密钥，所述随机数是第二移动加解密设备随机生成的；

第二移动加解密装置基于所述第二密钥对所述明文数据进行加密，得到密文数据；

第二移动加解密装置利用银行的公钥加密第二密钥，得到第一密钥，并对第一密钥和密文数据进行签名，得到数字签名文件，所述银行的公钥是第二移动加解密装置预先存储的；

第二移动加解密装置将所述密文数据、第一密钥和数字签名文件进行打包，生成数据包文件；

第二数据处理机构获取客户输入的客户身份信息，并将所述客户身份信息和所述数据包文件发送给业务处理系统。

本发明实施例第三方面公开了一种业务处理系统，所述业务处理系统包括：

第一数据处理机构，用于获取业务申报系统发送的数据包文件和客户身份信息，所述业务申报系统包括第二移动加解密装置；根据所述身份信息，确定客户的身份标识号；基于所述身份标识号，确定客户的公钥证书，并将所述数据包文件和所述公钥证书输入第一移动加解密装置，所述公钥证书是激活状态的公钥证书；

所述第一移动加解密装置，用于基于所述公钥证书和第一移动加解密装置的密钥对所述数据包文件进行解密，得到明文数据。

可选的，所述第一数据处理机构，还用于：根据所述身份信息，确定第二移动加解密装置的标识号；基于所述第二移动加解密装置的标识号，确定客户的公钥证书，并将所述数据包文件和所述公钥证书输入第一移动加解密装置。

可选的，所述第一移动加解密装置，具体用于：利用所述公钥证书中的公钥对所述数据包文件进行解密，得到数字签名文件、密文数据和第一密钥；判断所述数字签名文件是否存在异常；若否，利用所述第一移动加解密装置的密钥对第一密钥进行解密，得到第二密钥；基于所述第二密钥解密密文数据，得到明文数据。

本发明实施例第四方面公开了一种业务申报系统，所述业务申报系统包括：

第二移动加解密装置，用于获取待加密的明文数据，并基于随机数生成第二密钥，所述随机数是第二移动加解密设备随机生成的；基于所述第二密钥对所述明文数据进行加密，得到密文数据；利用银行的公钥加密第二密钥，得到第一密钥，并对第一密钥和密文数据进行签名，得到数字签名文件，所述银行的公钥是第二移动加解密装置预先存储的；将所述密文数据、第一密钥和数字签名文件进行打包，生成数据包文件；

第二数据处理机构，用于获取客户输入的客户身份信息，并将所述客户身份信息和所述数据包文件发送给业务处理系统。

基于上述本发明实施例提供的一种数据保护方法、业务申报系统和业务处理系统，业务处理系统包括第一数据处理机构和第一移动加解密装置，第一移动加解密装置内设置有加/解密算法，方法包括：第一数据处理机构获取业务申报系统发送的数据包文件和客户身份信息，业务申报系统包括第二移动加解密装置；第一数据处理机构根据身份信息，确定客户的身份标识号；第一数据处理机构基于身份标识号，确定客户的公钥证书，并将数据包文件和公钥证书输入第一移动加解密装置，公钥证书是激活状态的公钥证书；第一移动加解密装置基于公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。在本发明实施例中，业务申报系统中的第二移动加解密装置对需要申报的明文数据进行加密，确定包括密文数据的数据包文件；业务处理系统中的第一数据处理机构根据客户身份信息，确定客户的身份标识，以确定与身份标识对应的公钥证书，再利用公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。能够实现利用一个移动加解密装置对另一移动加解密装置加密的明文数据进行解密，从而保护加密的数据。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例示出的业务处理系统和业务申报系统的应用结构图；

图2为本发明实施例示出的业务处理系统的结构示意图；

图3为本发明实施例示出的业务申报系统的结构示意图

图4为本发明实施例示出的一种数据保护方法的流程示意图；

图5为本发明实施例示出的另一种数据保护方法的流程示意图；

图6为本发明实施例示出的又一种数据保护方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本申请中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

在本发明实施例中，业务申报系统中的第二移动加解密装置对需要申报的明文数据进行加密，确定包括密文数据的数据包文件；业务处理系统中的第一数据处理机构根据客户身份信息，确定客户的身份标识，以确定与身份标识对应的公钥证书，再利用公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。能够实现利用一个移动加解密装置对另一移动加解密装置加密的密文数据进行解密，从而保护加密的数据。

参见图1，为本发明实施例示出的业务处理系统和业务申报系统的应用结构图。

业务处理系统10包括第一数据处理机构101和第一移动加解密装置102。

其中，第一移动加解密装置102内设置有加/解密算法。

业务申报系统20包括第二数据处理机构201和第二移动加解密装置202。

其中，第二移动加解密装置202内设置有加/解密算法。

第一移动加解密装置102和第二移动加解密装置202可以是U盘或其他类型的移动存储装置。

第一数据处理机构101和第二数据处理机构201可以是计算机。

在具体实现中，第一移动加解密装置102通过USB接口与第一数据处理机构101连接。业务处理系统10由第一数据处理机构101和第一移动加解密装置102组成；第二移动加解密装置202通过USB接口与第二移动加解密装置202连接，业务申报系统20由第二数据处理机构201和第二移动加解密装置202组成。

第一移动加解密装置102内预先设置有银行的非对称密钥和公钥；第二移动加解密装置202内也预先设置有客户的非对称密钥和公钥。

需要说明的是，第一移动加解密装置102和第二移动加解密装置202内设置连接有国密SM4算法、公钥算法支持国密SM2。也可以支持RSA、ECC等其他加解密算法。

基于上述示出的应用架构实现针对数据处理的过程包括：

第二数据处理机构201将待进行加密的明文数据写入第二移动加解密装置202。

第二移动加解密装置202获取待加密的明文数据，并基于随机数生成第二密钥；再利用第二密钥对明文数据进行加密，得到密文数据；接着利用银行的公钥加密第二密钥，得到第一密钥，并对第一密钥和密文数据进行签名，得到数字签名文件；最后将密文数据、第一密钥和数字签名文件进行打包，生成数据包文件，并发送给第二数据处理机构201。

需要说明的是，银行的公钥预先存储于第二移动加解密装置202内。

可选的，第二移动加解密装置202除了可以用上述的方式对明文数据进行加密外，还可以利用其他的方式进行加密，其他加密方式如下。

第二移动加解密装置202中设置加解密算法的加密芯片上运行的程序监控到有文件，即明文数据放入时，确定待加密的明文数据的文件大小。当明文数据的文件大小不超过第一数值时，利用自身的密钥对放入的明文数据进行单重密钥加密，或者，用银行的公钥对放入的明文数据进行单重公钥加密生成密文数据；当明文数据的文件大小不超过第二数值且大于第一数值时，利用自身的密钥对放入的明文数据进行双重加密，生成密文数据。

具体的，双重加密的具体实现为：利用自身的密钥对放入的明文数据进行第一重加密，得到密文数据1，接着利用银行的公钥对密文数据1进行第二重加密，得到密文数据。

需要说明的是，第一数值和第二数值是预先设置的，第一数值可为117字节，第二数值为234字节。

可选的，在明文数据加密后可将放入第二移动加解密装置202中的明文数据删除或者保留该明文数据。

第二数据处理机构201获取客户输入的客户身份信息，并将客户身份信息和数据包文件发送给业务处理系统10的第一数据处理机构101。

需要说明的是，客户输入的客户身份信息包括客户姓名和手机号。

第一数据处理机构101获取业务申报系统20中的第二数据处理机构201发送的数据包文件和客户身份信息；并根据身份信息，确定客户的身份标识号；以基于身份标识号，确定客户的公钥证书，并将数据包文件和公钥证书输入第一移动加解密装置102。

需要说明的是，公钥证书是激活状态的公钥证书。

第一移动加解密装置102基于公钥证书和自身的密钥对数据包文件进行解密，得到明文数据。

可选的，第一移动加解密装置102也可以利用自身的加密算法对一些明文数据进行加密。

可选的，除了上述示出的解密方法，当对明文数据进行加密的加密方式出现变化时，需要利用与加密方式对应的解密方式进行解密。

当加密方式为单重密钥加密时，第一数据处理机构101将接收到的密文数据写入第一移动加解密装置102。以便于第一移动加解密装置102中设置加解密算法的加密芯片上运行的程序监控到有文件，即密文数据放入时，利用第二移动加解密装置202利用客户公钥，即第二移动加解密装置202对应的客户的公钥进行解密，生成明文数据。

当加密方式为单重公钥加密时，第一数据处理机构101将接收到的密文数据写入第一移动加解密装置102。以便于第一移动加解密装置102中设置加解密算法的加密芯片上运行的程序监控到有文件，即密文数据放入时，利用第二移动加解密装置202密钥进行解密，生成明文数据。

当加密方式为双重加密时，第一数据处理机构101将接收到的密文数据写入第一移动加解密装置102。以便于第一移动加解密装置102中设置加解密算法的加密芯片上运行的程序监控到有文件，即密文数据放入时，利用第二移动加解密装置202密钥进行解密，得到密文数据1；再利用客户的公钥对密文数据1进行解密，得到明文数据。

在本发明实施例中，业务申报系统中的第二移动加解密装置对需要申报的明文数据进行加密，确定包括密文数据的数据包文件；业务处理系统中的第一数据处理机构根据客户身份信息，确定客户的身份标识，以确定与身份标识对应的公钥证书，再利用公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。能够实现利用一个移动加解密装置对另一移动加解密装置加密的密文数据进行解密，从而保护加密的数据。

基于上述本发明实施例公开的应用结构，本发明实施例示出的业务处理系统的结构示意图，如图2所示，该业务处理系统10包括：

第一数据处理机构101，用于获取业务申报系统20发送的数据包文件和客户身份信息；根据身份信息，确定客户的身份标识号；基于身份标识号，确定客户的公钥证书，并将数据包文件和公钥证书输入第一移动加解密装置。

需要说明的是，公钥证书是激活状态的公钥证书。

在具体实现中，第一数据处理机构101接收业务申报系统20通过邮件发送的数据包文件和客户身份信息。利用客户身份信息查找预先存储的客户身份信息与身份标识号之间的对应关系，确定与客户身份信息对应的身份标识号。第一数据处理机构遍历预先存储的所有身份标识号，确定与上述得到的身份标识号对应的客户的公钥证书。

需要说明的是，数据包文件包括密文数据、数字签名文件和第一密钥；客户身份信息包括客户姓名和手机号。

第一移动加解密装置102，用于基于公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。

可选的，第一移动加解密装置102具体用于：第一移动加解密装置101利用公钥证书中的公钥对数据包文件进行解密，得到数字签名文件、密文数据和第一密钥；判断数字签名文件是否存在异常，若否，利用第一移动加解密装置的密钥对第一密钥进行解密，得到第二密钥。基于第二密钥解密密文数据，得到明文数据。

在具体实现中，通过公钥证书中的公钥解密数据包文件，得到数字签名文件、密文数据和第一密钥。利用公钥证书中的公钥验证数字签名文件中的数字签名是否存在签名异常，以确定加密的数据和第一密钥是否被更改，若否，通过第一移动加解密装置的密钥解密第一密钥，得到第二密钥；利用第二密钥解密密文数据，得到与该密文数据对应的明文数据。

在本发明实施例中，业务处理系统中的第一数据处理机构根据客户身份信息，确定客户的身份标识，以确定与身份标识对应的公钥证书，再利用公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。能够实现利用一个移动加解密装置对另一移动加解密装置加密的密文数据进行解密，从而保护加密的数据。

基于上述本发明实施例公开的应用结构，本发明实施例示出的业务申报系统的结构示意图，如图3所示，该业务申报系统20包括：

第二移动加解密装置201，用于获取待加密的明文数据，并基于随机数生成第二密钥；基于第二密钥对明文数据进行加密，得到密文数据；利用银行的公钥加密第二密钥，得到第一密钥，并对第一密钥和密文数据进行签名，得到数字签名文件；将密文数据、第一密钥和数字签名文件进行打包，生成数据包文件。

需要说明的是，随机数是第二移动加解密设备随机生成的，银行的公钥是第二移动加解密装置预先存储的。

在具体实现中，第二数据处理机构将待加密的明文数据写入第二移动加解密装置，第二移动加解密装置利用具有加解密算法的解密芯片生成一个随机数，以将该随机数作为第二密钥。在自身设置有加解密算法的加密芯片中利用第二密钥对明文数据进行对称加密算法，生成密文数据。第二移动加解密装置利用自身的公钥对第二密钥进行加密，得到第一密钥，并在自身设置有加解密算法的加密芯片中对第一密钥和密文数据进行数字签名，以确定数字签名文件。打包密文数据、第一密钥和数字签名文件，得到数据包文件。

其中，第二密钥是对称密钥。

第二数据处理机构202，用于获取客户输入的客户身份信息，并将客户身份信息和数据包文件发送给业务处理系统。

在具体实现中，第二数据处理机构202将自身的客户身份信息和数据包文件通过邮件发送给业务处理系统。

在本发明实施例中，业务申报系统中的第二移动加解密装置对需要申报的明文数据进行加密，确定包括密文数据的数据包文件；以便于业务处理系统对加密的数据进行处理。能够实现利用一个移动加解密装置对另一移动加解密装置加密的明文数据进行解密，从而保护加密的数据。

基于上述本发明实施例公开的应用架构，参见图4，为本发明实施例示出的一种数据保护方法的流程示意图，应用于业务处理系统，该方法包括：

步骤S401：第一数据处理机构获取业务申报系统发送的数据包文件和客户身份信息。

在具体实现步骤S401的过程中，第一数据处理机构接收业务申报系统通过邮件发送的数据包文件和客户身份信息。

需要说明的是，数据包文件包括密文数据、数字签名文件和第一密钥；客户身份信息包括客户姓名和手机号。

步骤S402：第一数据处理机构根据客户身份信息，确定客户的身份标识号。

在步骤S402中，客户身份信息与客户的身份标识号之间存在对应关系。

需要说明的是，预先存储客户身份信息与客户的身份标识号之间存在对应关系的过程包括：

在客户第一次到银行进行业务办理时，记录客户的手机号和姓名等身份信息。

基于客户的手机号和姓名等身份信息，为该客户分配一个唯一的身份标识号，以标识该客户。

建立手机号和姓名等身份信息与客户的身份标识号之间存在对应关系，并存储至第一序列表。

在具体实现步骤S402的过程中，利用客户身份信息查找第一序列表，确定与客户身份信息对应的身份标识号。

需要说明的是，客户的身份标识号能够唯一识别该客户。

步骤S403：第一数据处理机构基于身份标识号，确定客户的公钥证书，并将数据包文件和公钥证书输入第一移动加解密装置。

在步骤S403中，公钥证书是激活状态的公钥证书。

身份标识号与客户的公钥证书之间存在对应关系。

需要说明的是，预先存储身份标识号与客户的公钥证书之间对应关系的过程包括：

在客户第一次到银行进行业务办理时，根据客户提供的公钥建立对应的公钥证书。

将客户的公钥证书进行激活，并存储。

建立身份标识号与客户的公钥证书之间对应关系，并进行存储。

在具体实现步骤S403的过程中，第一数据处理机构遍历预先存储的所有身份标识号，确定与上述得到的身份标识号对应的客户的公钥证书。

需要说明的是，客户的公钥证书包括客户的公钥。

步骤S404：第一移动加解密装置基于公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。

需要说明的是，在执行步骤S204的过程中，包括以下步骤：

步骤S11：第一移动加解密装置利用公钥证书中的公钥对数据包文件进行解密，得到数字签名文件、密文数据和第一密钥。

在具体实现步骤S11的过程中，通过公钥证书中的公钥解密数据包文件，得到数字签名文件、密文数据和第一密钥。

步骤S12：判断数字签名文件是否存在异常，若否，则执行步骤S13，若是，则输出错误信息。

在具体实现步骤S12的过程中，利用公钥证书中的公钥验证数字签名文件中的数字签名是否存在签名异常，以确定加密的数据和第一密钥是否被更改，若否，则执行步骤S13，若是，说明加密的数据可能被更改，并输出指示数据被更改的信息。

步骤S13：利用第一移动加解密装置的密钥对第一密钥进行解密，得到第二密钥。

在步骤S13中，第二密钥是第二移动加解密装置基于随机数生成的。

在具体实现步骤S13的过程中，通过第一移动加解密装置的密钥解密第一密钥，得到第二密钥。

步骤S14：基于第二密钥解密密文数据，得到明文数据。

在具体实现步骤S14的过程中，利用第二密钥解密密文数据，得到与该密文数据对应的明文数据。

为了更好的理解上述步骤S404示出的内容，下面进行举例说明。

例如，第一移动加解密装置包括银行B的密钥PriKeyB和公钥PubKeyB；

第一移动加解密装置b2利用公钥证书中的公钥验证数字签名文件中的数字签名没有存在签名异常时，利用自身的密钥PriKeyB解密第一密钥Key2得到第二密钥Key1。最后，利用第二密钥Key1对密文数据DataEnc进行解密，得到明文数据Data1。

在本发明实施例中，业务处理系统中的第一数据处理机构根据客户身份信息，确定客户的身份标识，以确定与身份标识对应的公钥证书，再利用公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。能够实现利用一个移动加解密装置对另一移动加解密装置加密的明文数据进行解密，从而保护加密的数据。

基于上述本发明实施例示出的数据保护方法，参见图5，为本发明实施例示出的另一种数据保护方法的流程示意图。

步骤S501：第一数据处理机构获取业务申报系统发送的数据包文件和客户身份信息。

需要说明的是，步骤S501的具体实现过程与上述步骤S401示出的具体实现过程相同，可相互参见。

步骤S502：第一数据处理机构根据身份信息，确定第二移动加解密装置的标识号。

在步骤S502中，客户身份信息与第二移动加解密装置的标识号之间存在对应关系。

需要说明的是，预先存储客户身份信息与第二移动加解密装置的标识号之间存在对应关系的过程包括：

在客户第一次到银行进行业务办理时，记录客户的手机号和姓名等身份信息。

银行记录该第二移动加解密装置的标识号，其中第二移动加解密装置的标识号是银行标记的。

建立手机号和姓名等身份信息与第二移动加解密装置的标识号之间存在对应关系，并存储至第二序列表。

在具体实现步骤S502的过程中，利用客户身份信息查找第二序列表，确定与客户身份信息对应的第二移动加解密装置的标识号。

步骤S503：基于第二移动加解密装置的标识号，确定客户的公钥证书，并将数据包文件和公钥证书输入第一移动加解密装置。

在步骤S503中，公钥证书是激活状态的公钥证书。

第二移动加解密装置的标识号与客户的公钥证书之间存在对应关系。

需要说明的是，预先存储第二移动加解密装置的标识号与客户的公钥证书之间对应关系的过程包括：

在客户第一次到银行进行业务办理时，根据客户提供的公钥建立对应的公钥证书。

将客户的公钥证书进行激活，并存储。

建立第二移动加解密装置的标识号与客户的公钥证书之间对应关系，并进行存储。

在具体实现步骤S503的过程中，第一数据处理机构遍历预先存储的所有第二移动加解密装置的标识号，确定与上述得到的第二移动加解密装置的标识号对应的公钥证书。

需要说明的是，公钥证书包括客户的公钥。

步骤S504：第一移动加解密装置基于公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。

需要说明的是，步骤S504示出的内容与上述步骤S404示出的内容相同，可相互参见。

在本发明实施例中，业务处理系统中的第一数据处理机构根据客户身份信息，确定第二移动加解密装置的标识号，以确定与第二移动加解密装置的标识号对应的公钥证书，再利用公钥证书和第一移动加解密装置的密钥对数据包文件进行解密，得到明文数据。能够实现利用一个移动加解密装置对另一移动加解密装置加密的明文数据进行解密，从而保护加密的数据。

基于上述本发明实施例示出的数据保护方法，参见图6，为本发明实施例示出的又一种数据保护方法的流程示意图，该方法包括：

步骤S601：第二移动加解密装置获取待加密的明文数据，并基于随机数生成第二密钥。

在具体实现步骤S601的过程中，第二数据处理机构将待加密的明文数据写入第二移动加解密装置，第二移动加解密装置利用具有加解密算法的解密芯片生成一个随机数，以将该随机数作为第二密钥。

需要说明的是，第二密钥是对称密钥。

步骤S602：第二移动加解密装置基于第二密钥对明文数据进行加密，得到密文数据。

在具体实现步骤S602的过程中，第二移动加解密装置在自身设置有加解密算法的加密芯片中利用第二密钥对明文数据进行对称加密算法，生成密文数据。

步骤S603:第二移动加解密装置利用银行的公钥加密第二密钥，得到第一密钥，并对第一密钥和密文数据进行签名，得到数字签名文件。

在具体实现步骤S603的过程中，第二移动加解密装置利用自身的公钥对第二密钥进行加密，得到第一密钥，并在自身设置有加解密算法的加密芯片中对第一密钥和密文数据进行数字签名，以确定数字签名文件。

步骤S604：第二移动加解密装置将密文数据、第一密钥和数字签名文件进行打包，生成数据包文件。

在具体实现步骤S604的过程中，打包密文数据、第一密钥和数字签名文件，得到数据包文件。

步骤S605：第二数据处理机构获取客户输入的客户身份信息，并将客户身份信息和数据包文件发送给业务处理系统。

在具体实现步骤S605的过程中，第二数据处理机构将自身的客户身份信息和数据包文件通过邮件发送给业务处理系统。

为了更好的理解上述实施例示出的数据保护方法，下面进行举例说明。

例如：客户A预先在银行B的业务处理系统中存储自身的公钥证书；第二移动加解密装置a2存放客户A的密钥PriKeyA和客户公钥PubKeyA，以及银行B的公钥PubKeyB。

第二数据处理机构a1将待加密的明文数据Data1文件复制到第二移动加解密装置a2中。

第二移动加解密装置a2中的加密芯片将随机生成的随机数作为第二密钥Key1，并利用第二密钥Key1对明文数据Data1进行高速对称加密算法AES生成密文数据DataEnc；在利用银行B的公钥PubKeyB对第二密钥Key1进行加密，得到第一密钥Key2；接着将密文数据DataEnc和第一密钥Key2进行数字签名，得到数字签名文件SignData；最后将密文数据DataEnc、第一密钥Key2和数字签名文件SignData打包，得到数据包文件；第二数据处理机构a1将自身的客户身份信息和数据包文件通过邮件发送给业务处理系统。

在本发明实施例中，业务申报系统中的第二移动加解密装置对需要申报的明文数据进行加密，确定包括密文数据的数据包文件；以便于业务处理系统对加密的数据进行处理。能够实现利用一个移动加解密装置对另一移动加解密装置加密的明文数据进行解密，从而保护加密的数据。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。