[发明专利]一种认证凭据保护方法和系统

说明书

本申请提供了一种认证凭据保护方法和系统，该保护方法包括以下步骤：将锁屏口令与第一设备的硬件秘密信息生成认证秘密信息；所述第一设备随机生成对称密钥，并将所述对称密钥作为所述认证秘密信息的加密密钥；通过多方计算的数据拆分算法将所述加密密钥拆分成至少两份第一密钥分片；所述至少两份第一密钥分片中的一份第一密钥分片存储在所述第一设备，且所述第一设备将其他第一密钥分片发送到可信设备。在上述技术方案中，通过采用锁屏口令以及硬件秘密信息生成认证秘密信息提高了信息的复杂度。并且通过采用不同的可信设备存储拆分的密钥分片，提高了加密密钥的安全性。

本申请要求在2019年07月31日提交中国专利局、申请号为201910703950.3、申请名称为“一种认证凭据保护方法和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及到信息安全技术领域，尤其涉及到一种认证凭据保护方法和系统。

背景技术

网络环境中的信息隐私和安全非常重要，信息使用中的鉴权是常见的技术手段，包括身份认证用的口令(认证凭据)，数据加密用的密钥，数字签名用的私钥等。作为信息安全技术和系统的核心，其安全存储和安全使用是信息安全系统安全性的基础。

安全存储方面，秘密信息可以通过可信的硬件设备保存，使用可信的安全芯片保护数据的安全。如可信计算芯片，TEE安全芯片，SGX安全运行环境等。但这些技术也不是完美的，比如：基于硬件设备的可实现很高的安全性，但是如果存储该秘密信息的设备被入侵，则存在信息泄露的风险。这类技术采用设备的通用唯一标识符(UUID)对密码进行加密后，将密码密文分散保存，恢复时再收集分散的密码文件，一块解密恢复密码。通用唯一标识符(UUID)保存在硬件模块中，随着对硬件攻击技术的改进，这种方法也变得不太安全。近年硬件侧信道被击破的案例不断爆出，证明了可信硬件的安全性也有风险。同时硬件安全保护手段也存在成本高，升级慢和难以打补丁的缺点。

秘密信息也可以通过白盒加密的技术在备份设备上实现安全存储，白盒加密可以提高攻击的难度，但是白盒加密的安全性也不够理想。

另一方面，秘密信息可以通过分散在多个设备上保存实现安全保护，从而降低设备被入侵时秘密信息泄露的风险。

安全使用方面，采用安全多方安全计算技术可解决一组互不信任的参与方之间保护隐私的协同计算问题，同时不泄露各输入值给参与计算的其他成员。也可以采用秘密共享技术，即将秘密内容以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复全部的秘密信息，只有若干个参与者一同协作才能恢复秘密消息。

因此随着信息技术的发展，更安全可靠和低成本的保护隐私的技术不断出现。

发明内容

本申请提供了一种认证凭据保护方法和系统，用以提高信息安全。

第一方面，提供了一种认证凭据保护方法，该保护方法包括以下步骤：将锁屏口令与第一设备的硬件秘密信息生成认证秘密信息；所述第一设备随机生成对称密钥，并将所述对称密钥作为所述认证秘密信息的加密密钥；通过所述加密秘钥对所述认证秘密信息加密并存储在所述第一设备；通过拆分算法将所述加密密钥拆分成至少两份第一密钥分片；所述至少两份第一密钥分片中的一份第一密钥分片存储在所述第一设备，且所述第一设备将其他第一密钥分片发送到可信设备。在上述技术方案中，通过采用锁屏口令以及硬件秘密信息生成认证秘密信息提高了信息的复杂度。并且通过采用不同的可信设备存储拆分的密钥分片，提高了加密密钥的安全性。

在一个具体的可实施方案中，所述拆分算法为安全多方数据拆分算法。通过采用拆分加密密钥且分散保存的方式提高了加密密钥的安全性。

在一个具体的可实施方案中，所述第一设备将其他第一密钥分片发送到可信设备具体为：