基于软硬件协同的加解密方法及系统技术方案

本发明专利技术提供一种基于软硬件协同的加解密方法及系统，属于数据安全技术领域，所述方法包括：获取调用方的用户登录信息，对所述用户进行身份认证后获取服务器端的第一交换密钥因子，并在本地生成第一交换密钥对；根据所述第一交换密钥因子和所述第一交换密钥对进行计算，得到第一会话密钥，并使用所述第一会话密钥加密用户登录应用程序标识号和本机IP，生成第一数据令牌；将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作。本发明专利技术通过构建基于软硬件协同的加解密系统，实现密钥的自动生成和更新，并结合软硬件加密的优点实现数据安全保护。全保护。全保护。

【技术实现步骤摘要】
基于软硬件协同的加解密方法及系统


[0001]本专利技术涉及数据安全
，尤其涉及一种基于软硬件协同的加解密方法及系统。

技术介绍

[0002]近年来，各企、事业单位以及国家机关纷纷建立了自己的信息中心，并且各信息中心的规模在不断扩大，地位和作用也越来越突出，安全问题也就逐渐被人们所重视，一旦系统后台存放的关键数据的泄密会给企业带来不可估量的损失。因此，在信息中心建立一套完善的安全机制，可以有效防止来自外部和内部的非法数据侵袭。
[0003]从技术实现的方式来看，目前存在两类加密机制:软件加密和硬件加密。软件加密实现容易，投资较小，但密钥及算法易于外泄，安全级别有所降低；硬件加密采用硬件加密机进行加密运算，需要增加设备投资，扩容、管理、运维难度较大，但对密钥及算法的保护比较充分。

技术实现思路

[0004]本专利技术提供一种基于软硬件协同的加解密方法及系统，用以解决现有技术中通过软件加密数据存在密钥及算法易于外泄的问题或通过硬件加密数据存在设备投资大等问题，结合软硬件加密的优点实现数据安全保护。
[0005]本专利技术还提供一种基于软硬件协同的加解密方法，包括：
[0006]获取调用方的用户登录信息，对所述用户进行身份认证后获取服务器端的第一交换密钥因子，并在本地生成第一交换密钥对；
[0007]根据所述第一交换密钥因子和所述第一交换密钥对进行计算，得到第一会话密钥，并使用所述第一会话密钥加密用户登录应用程序标识号APP ID和本机，生成第一数据令牌；
[0008]将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作。
[0009]根据本专利技术提供的一种基于软硬件协同的加解密方法，所述将所述第一数据令牌进行加密后返回给调用方，包括：
[0010]将所述第一数据令牌、所述用户登录应用程序标识号APP ID以及所述第一交换密钥对的第二交换密钥因子进行保存；
[0011]使用所述第一会话密钥加密所述第一数据令牌，得到第二数据令牌，并将加密后的第二数据令牌返回给调用方。
[0012]根据本专利技术提供的一种基于软硬件协同的加解密方法，所述由调用方解密成功后完成登录流程以发起业务请求操作，还包括：
[0013]当接收到用户非正常登出或重复登录时，身份验证中心将第一数据令牌做过期处理。
[0014]根据本专利技术提供的一种基于软硬件协同的加解密方法，所述由调用方解密成功后完成登录流程以发起业务请求操作，包括：
[0015]将用户登录时所产生的会话密钥加密业务数据，并获取登录时产生的第三数据令牌和调用方的第二交换密钥因子、应用程序标识号APP ID；
[0016]通过用户登录APP ID查询用户的第二交换密钥对，使用所述第二交换密钥因子和所述第二交换密钥对计算第二会话密钥；
[0017]使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作。
[0018]根据本专利技术提供的一种基于软硬件协同的加解密方法，所述使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作，包括：
[0019]校验所述第三数据令牌的有效性；
[0020]当确认所述第三数据令牌有效后，解密所述业务数据；
[0021]将完成对应的业务操作的业务结果使用所述第二会话密钥进行加密后，返回给调用方。
[0022]本专利技术提供一种基于软硬件协同的加解密系统，包括：
[0023]安全接入前置中心，用于将获取调用方的用户登录信息进行转发；
[0024]身份认证中心，用于对所述安全接入前置中心发来的用户登录信息进行身份认证后获取服务器端的第一交换密钥因子，并在本地生成第一交换密钥对，并根据所述第一交换密钥因子和所述第一交换密钥对进行计算，得到第一会话密钥，并使用所述第一会话密钥加密用户登录应用程序标识号和本机IP，生成第一数据令牌；将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作。
[0025]根据本专利技术提供的一种基于软硬件协同的加解密系统，还包括：
[0026]内存强一致中心，用于保存所述第一数据令牌、所述用户登录应用程序标识号以及所述第一交换密钥对的第二交换密钥因子；
[0027]所述身份认证中心还用于使用所述第一会话密钥加密所述第一数据令牌，得到第二数据令牌，并第二数据令牌返回给调用方根据本专利技术提供的一种基于软硬件协同的加解密系统，还包括：
[0028]安全运算中心，用于将用户登录时所产生的会话密钥加密业务数据，并获取登录时产生的第三数据令牌和调用方的第二交换密钥因子、应用程序标识号；通过用户登录应用程序标识号查询用户的第二交换密钥对，使用所述第二交换密钥因子和所述第二交换密钥对计算第二会话密钥；使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作。
[0029]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于软硬件协同的加解密方法的步骤。
[0030]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于软硬件协同的加解密方法的步骤。
[0031]本专利技术提供的一种基于软硬件协同的加解密方法及系统，通过构建基于软硬件协同的加解密系统，可在服务器端实现密钥的自动生成和更新，而业务终端对于密钥的版本
更新毫无感知，提高了数据的安全性。并且基于构建软硬件协同的加解密系统，通过生成的第一数据令牌对数据进行加密后实现了对第一会话密钥的加密管理，并且保证第一交换密钥对的应用与内部人员均不可见从而完成对数据的保护，并且加解密服务简单易用。
附图说明
[0032]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0033]图1是本专利技术提供的基于软硬件协同的加解密系统的框图；
[0034]图2是本专利技术提供的用户登录基于软硬件协同的加解密系统的流程示意图；
[0035]图3是本专利技术提供的令牌生命周期管理的流程示意图；
[0036]图4是本专利技术提供的用户业务请求流程的流程示意图；
[0037]图5是本专利技术基于软硬件协同的加解密系统的时序图；
[0038]图6是本专利技术提供的电子设备的结构示意图。
具体实施方式
[0039]为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于软硬件协同的加解密方法，其特征在于，包括：获取调用方的用户登录信息，对所述用户进行身份认证后获取服务器端的第一交换密钥因子，并在本地生成第一交换密钥对；根据所述第一交换密钥因子和所述第一交换密钥对进行计算，得到第一会话密钥，并使用所述第一会话密钥加密用户登录应用程序标识号和本机IP，生成第一数据令牌；将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作。2.根据权利要求1所述的基于软硬件协同的加解密方法，其特征在于，所述将所述第一数据令牌进行加密后返回给调用方，包括：将所述第一数据令牌、所述用户登录应用程序标识号以及所述第一交换密钥对的第二交换密钥因子进行保存；使用所述第一会话密钥加密所述第一数据令牌，得到第二数据令牌，并第二数据令牌返回给调用方。3.根据权利要求1所述的基于软硬件协同的加解密方法，其特征在于，所述将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作，还包括：当接收到用户非正常登出或重复登录时，身份验证中心将所述第一数据令牌做过期处理。4.根据权利要求1所述的基于软硬件协同的加解密方法，其特征在于，所述将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作，包括：将用户登录时所产生的会话密钥加密业务数据，并获取登录时产生的第三数据令牌和调用方的第二交换密钥因子、应用程序标识号；通过用户登录应用程序标识号查询用户的第二交换密钥对，使用所述第二交换密钥因子和所述第二交换密钥对计算第二会话密钥；使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作。5.根据权利要求4所述的基于软硬件协同的加解密方法，其特征在于，所述使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作，包括：校验所述第三数据令牌的有效性；当确认所述第三数据令牌有效后，解密所述业务数据；将完成对应的...

【专利技术属性】
技术研发人员：杨毓，李畅，吴蔚，王绪文，李柱保，
申请(专利权)人：京东数字科技控股股份有限公司，
类型：发明
国别省市：