[发明专利]一种认证凭据保护方法和系统

权利要求书

1.一种认证凭据保护方法，其特征在于，包括以下步骤：

将锁屏口令与第一设备的硬件秘密信息生成认证秘密信息；

所述第一设备随机生成对称密钥，并将所述对称密钥作为所述认证秘密信息的加密密钥；

通过所述加密秘钥对所述认证秘密信息加密并存储在所述第一设备；

通过拆分算法将所述加密密钥拆分成至少两份第一密钥分片；

所述至少两份第一密钥分片中的一份第一密钥分片存储在所述第一设备，且所述第一设备将其他第一密钥分片发送到可信设备。

2.根据权利要求1所述的认证凭据保护方法，其特征在于，所述拆分算法为安全多方数据拆分算法。

3.根据权利要求2所述的认证凭据保护方法，其特征在于，所述第一设备将其他第一密钥分片发送到可信设备具体为：

所述可信设备包括第二设备及第三设备，所述第一密钥分片为三份；所述第一设备将所述三份密钥分片中的两份密钥分片一一对应发送到所述第二设备及所述第三设备进行存储；或，

所述可信设备包括第二设备，所述第一密钥分片为两份；所述第一设备将一份第一密钥分片发送到所述第二设备。

4.根据权利要求1所述的认证凭据保护方法，其特征在于，所述第一设备与所述可信设备之间通过安全通道连接。

5.根据权利要求4所述的认证凭据保护方法，其特征在于，所述方法还包括：

在所述可信设备上进行用户身份信息验证，并在确定用户身份信息后，接收所述第一设备发送的第一密钥分片。

6.根据权利要求1～5任一项所述的认证凭据保护方法，其特征在于，所述方法还包括：

通过所述可信设备及所述第一设备上分别存储的第一密钥分片作为安全多方计算的密钥分量输入，在所述可信设备及所述第一设备之间进行安全多方计算，并在所述第一设备解密所述认证秘密信息。

7.根据权利要求6所述的认证凭据保护方法，其特征在于，所述方法还包括：在进行所述多方计算之前，在所述可信设备上进行用户身份信息验证，并在确定用户身份信息后，以所述可信设备及所述第一设备上分别存储的第一密钥分片作为安全多方计算的密钥分量输入，在所述可信设备及所述第一设备之间进行所述安全多方计算。

8.根据权利要求6或7所述的认证凭据保护方法，其特征在于，所述方法还包括：

重置口令，将重置的锁屏口令与第一设备的硬件秘密信息生成新的认证秘密信息。

9.根据权利要求8所述的认证凭据保护方法，其特征在于，所述方法还包括：

所述第一设备随机生成新的对称密钥，并将所述新的对称密钥作为所述新的认证秘密信息的新的加密密钥进行加密；

将所述解密得到的所述认证秘密信息与TEE中存储的认证秘密信息进行对比，并在两者匹配时，在TEE中将新的认证秘密信息替换所述存储旧的认证秘密信息。

10.根据权利要求9所述的认证凭据保护方法，其特征在于，所述方法还包括：

通过拆分算法将所述新的加密密钥拆分成至少两份第二密钥分片；

所述至少两份第二密钥分片中的一份第二密钥分片存储在所述第一设备，且所述第一设备将其他第二密钥分片发送到可信设备。

11.一种认证凭据保护系统，其特征在于，包括：

第一设备，包括第一处理模块：用于将锁屏口令与所述第一设备的硬件秘密信息生成认证秘密信息；随机生成对称密钥，并将所述对称密钥作为所述认证秘密信息的加密密钥；通过拆分算法将所述加密密钥拆分成至少两份第一密钥分片；第一存储模块，用于存储加密后的认证秘密信息以及所述至少两份第一密钥分片中的一份密钥分片；第一通信模块，用于将其他第一密钥分片发送到可信设备；

可信设备，所述可信设备用于接收并存储所述第一设备发送的第一密钥分片。