[发明专利]一种身份认证信息加密方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种身份认证信息加密方法及系统。

背景技术

目前由于FIDO(Fast Identity Online，快速线上认证)联盟能够替代传统“用户名-口令”在线认证方法而得到广泛应该用，而FIDO上给出了强用户认证标准，在该标准中主要包括两套协议—FIDO UAF(Universal Authentication Framework)协议和FIDO U2F(Universal Second Factor)协议，这两套协议标准基本机构大体相同，都是基于公钥加密来提供强用户认证的协议。其中，UAF可以为在线服务提供“无口令”和“多因子”的安全性。FIDO UAF协议模块包括ASM(Authenticator Specific Module，身份验证特定模块)模块，当用户进行FIDO注册行为后，ASM模块将本地的数据是以加密的方式进行本地存储，在不考虑加密数据破解方式和破解难度的基础上，直接将隐私数据以及其暴露的形式存储，这本身就增加了隐私泄露的风险。

目前的解决方式是单纯的增加加密算法的复杂度，提高加密数据的破解难度，并没有一个有效的隐私数据存放方式和针对ASM模块更安全的防替换机制。

发明内容

针对上述不足与缺陷，本发明提供了一种身份认证信息加密方法及系统，以提高用户认证信息的安全性。

为了实现上述目的，本发明提供了如下技术方案：

一种身份认证信息加密方法，所述方法包括：

用户注册时，获取相关身份认证信息；

通过调用安全元件的API将所述相关身份认证信息存储在所述安全元件中；

控制所述安全元件生成安全密钥并使所述安全元件根据所述安全密钥对所述相关身份认证信息进行加密运算得到保密数据。

优选地，所述根据所述安全密钥对所述相关身份认证信息进行加密运算包括：

所述安全元件根据所述安全密钥，结合摘要算法与加密算法对所述相关身份认证信息进行加密。

优选地，所述方法还包括：

用户身份认证时，通过调用所述安全元件的API控制所述安全元件对所述保密数据进行摘要算法与加密算法逆运算，得到所述相关身份认证信息；

通过调用安全元件的API得到所述相关身份认证信息，并根据所述相关身份认证信息进行鉴权处理。

优选地，所述结合摘要算法与加密算法对所述相关身份认证信息进行加密包括：

根据所述安全密钥，对所述相关身份认证信息进行第一摘要运算；

根据所述安全密钥，对所述第一摘要运算后的数据以及所述相关身份认证信息进行第一对称加密运算；

根据所述安全密钥，对所述第一对称加密运算后的数据进行第二摘要运算；

根据所述安全密钥，对所述第一对称加密运算后的数据以及所述第二摘要运算后的数据进行签名运算；

所述安全元件存储所述第一对称加密运算后的数据、所述第二摘要运算后的数据、所述签名运算后的数据以及所述安全密钥。

优选地，所述方法还包括：

所述安全密钥包括：对称算法标记与非对称算法标记；

所述第一摘要运算以及所述第二摘要运算根据所述对称算法标记指明的摘要算法进行运算；

所述第一对称加密运算以及所述签名运算根据所述非对称算法标记指明的加密算法进行运算。

优选地，所述方法还包括：

将所述相关身份认证信息存储在所述安全元件之前，对所述相关身份认证信息进行加密。

一种身份认证信息加密系统，包括：运行应用软件的终端，所述应用软件内置鉴权处理模块，以完成身份认证过程，还包括：内嵌在所述终端之中的安全元件；所述鉴权处理模块在用户注册时，获取相关身份认证信息，并通过调用所述安全元件的API将相关身份认证信息存储在所述安全元件中；控制所述安全元件生成安全密钥并使所述安全元件根据所述安全密钥对所述相关身份认证信息进行加密运算得到保密数据。

优选地，所述鉴权处理模块控制所述安全元件根据所述安全密钥，结合摘要算法与加密算法对所述相关身份认证信息进行加密。

优选地，所述鉴权处理模块在用户身份认证时，通过调用安全元件的API控制所述安全元件对所述保密数据进行摘要算法与加密算法逆运算，得到所述相关身份认证信息；

所述鉴权处理模块通过调用安全元件的API得到所述相关身份认证信息，并根据所述相关身份认证信息进行鉴权处理。

优选地，所述终端为移动设备。