数据保护方法、系统及电子设备技术方案

本申请实施例提供了一种数据保护方法、系统及电子设备。该方法包括：电子设备在加环过程中，输入在环设备的第一锁屏码；当基于第一锁屏码对在环电子设备的身份验证通过，后从云测得到该在环设备的第一主密钥密文解密，得到主密钥；基于第二锁屏码对主密钥进行加密，生成本设备的第二主密钥密文，以及基于第二锁屏码生成第二认证参数；向第一服务器发送加环请求，以使第一服务器将第二主密钥密文和第二认证参数添加至第一信任环的信任环数据中，电子设备成功加环。该种数据保护方法，由于已在环设备的用户秘密例如第一锁屏码对于云侧来说是未知的，并且已在环设备的用户秘密不需要经过云侧的转发，因此，云侧不可解密主密钥密文，可自证清白。可自证清白。可自证清白。

【技术实现步骤摘要】
数据保护方法、系统及电子设备


[0001]本申请实施例涉及终端设备领域，尤其涉及一种数据保护方法、系统及电子设备。

技术介绍

[0002]目前，终端设备可以将用户的数据保存在云端以便用户实时上传和下载该数据。用户的数据通常对应着某个特定的用户账号。然而，用户数据的安全完全依赖于账号安全，只要设备能够通过账号验证，就可以从云侧获得该数据。如果账号和云侧服务器中的任一个被攻击，用户数据就会发生泄露。并且，云侧服务器也存在解密用户数据的可能，云侧无法自证清白。因而，已知的方案安全性较低，无法为具有更高安全性要求的用户数据保护提供支撑。

技术实现思路

[0003]本申请提供一种数据保护方法、系统及电子设备，电子设备在加环过程中，输入在环设备的第一锁屏码；当基于第一锁屏码对在环电子设备的身份验证通过，后从云测得到该在环设备的第一主密钥密文解密，得到主密钥；基于第二锁屏码对主密钥进行加密，生成本设备的第二主密钥密文，以及基于第二锁屏码生成第二认证参数；向第一服务器发送加环请求，以使第一服务器将第二主密钥密文和第二认证参数添加至第一信任环的信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据保护方法，其特征在于，应用于第二电子设备，所述方法包括：接收用户输入的第二电子设备的第二锁屏码，其中，所述第二电子设备已登录第一账号；当所述第二锁屏码验证通过，接收用户输入的第一电子设备的第一锁屏码，其中，所述第一电子设备是从第一服务器获取的所述第一账号对应的第一信任环的在环设备信息中的设备；当基于所述第一锁屏码对所述第一电子设备的身份验证通过，接收所述第一服务器发送的所述第一电子设备的第一主密钥密文；基于所述第一锁屏码对所述第一主密钥密文进行解密，得到主密钥；基于所述第二锁屏码对所述主密钥进行加密，生成所述第二电子设备的第二主密钥密文，以及基于所述第二锁屏码生成第二认证参数；向第一服务器发送加环请求，以使所述第一服务器所述第二主密钥密文和第二认证参数添加至所述第一信任环的信任环数据中。2.根据权利要求1所述的方法，其特征在于，接收用户输入的第二电子设备的第二锁屏码的之后，还包括：向所述第一服务器发送在环设备信息获取请求，其中，所述在环设备信息获取请求中携带有所述第一账号的账号标识；接收所述服务器返回的所述第一账号对应的第一信任环的在环设备信息，其中，在环设备中包括第一电子设备；显示所述第一电子设备锁屏码输入界面。3.根据权利要求1所述的方法，其特征在于，接收用户输入的第二电子设备的第二锁屏码的之后，还包括：向所述第一服务器发送在环设备信息获取请求，其中，所述在环设备信息获取请求中携带有所述第一账号的账号标识；接收所述服务器返回的所述第一账号对应的第一信任环的在环设备信息，其中，在环设备中包括第一电子设备和第三电子设备；响应于对所述在环设备信息中的第三电子设备的选中操作，显示所述第三电子设备锁屏码输入界面。4.根据权利要求1所述的方法，其特征在于，当基于所述第一锁屏码对所述第一电子设备的身份验证通过，接收所述第一服务器发送的所述第一电子设备的第一主密钥密文之前，还包括：基于所述第一锁屏码生成第一认证参数；将所述第一认证参数发送给所述第一服务器，以使所述第一服务器根据所述第一认证参数对所述第一电子设备进行身份验证。5.根据权利要求1所述的方法，其特征在于，当所述第二锁屏码验证通过，接收用户输入的第一电子设备的第一锁屏码之前，还包括：将所述第二锁屏码与本地保存的所述第二电子设备的锁屏码进行比较；当所述第二锁屏码与本地保存的所述第二电子设备的锁屏码一致，确定所述第二锁屏码验证通过。
6.根据权利要求1所述的方法，其特征在于，基于所述第二锁屏码对所述主密钥进行加密，生成所述第二电子设备的第二主密钥密文，包括：根据第二锁屏码生成第三派生密钥；根据第三派生密钥生成第四派生密钥；根据第四派生密钥对所述主密钥进行加密，得到所述第二电子设备的第二主密钥密文。7.根据权利要求1所述的方法，其特征在于，基于所述第二锁屏码生成第二认证参数包括：根据第二锁屏码生成第三派生密钥；根据所述第三派生密钥生成第二共享值；根据所述第一服务器侧生成的HSM公钥加密所述第二共享值，得到所述第二认证参数。8.根据权利要求1所述的方法，其特征在于，还包括：在接收到注册请求的情况下，检测所述第二电子设备的注册状态；在所述第二电子设备未注册的情况下，向第一服务器发送注册状态比对请求，所述注册状态比对请求中携带所述第二电子设备的设备标识和所述第一账号的账号标识；接收所述第一服务器返回的第二注册状态确认消息，其中，所述第二注册状态确认消息用于指示所述第一账号下存在第一信任环、但所述第二电子设备不在所述第一信任环上。9.根据权利要求1所述的方法，其特征在于，还包括：基于所述主密钥派生第一业务密钥，使用所述第一业务密钥对第一业务数据进行加密，得到第一业务数据密文；将所述第一业务数据密文发送给第二服务器，以使第二服务器保存所述第一业务数据密文。10.根据权利要求9所述的方法，其特征在于，还包括：从第二服务器获取第二业务数据密文；基于所述主密钥派生第一业务密钥；使用所述第一业务密钥对第二业务数据密文进行解密，得到第二业务数据。11.一种电子设备，其特征在于，作为第二电子设备，包括信任环服务模块和信任环模块，其中：所述信任环服务模块，用于：接收用户输入的第二电子设备的第二锁屏码，其中，所述第二电子设备已登录第一账号；当所述第二锁屏码验证通过，接收用户输入的第一电子设备的第一锁屏码，其中，所述第一电子设备是从第一服务器获取的所述第一账号对应的第一信任环的在环设备信息；当基于所述第一锁屏码对所述第一电子设备的身份验证通过，接收所述第一服务器发送的所述第一电子设备的第一主密钥密文；将所述第一主密钥密文发送给所述信任环模块；所述信任环模块，用于：基于所述第一锁屏码对所述第一主密钥密文进行解密，得到主密钥；
基于所述第二锁屏码对所述主密钥进行加密，生成所述第二电子设备的第二主密钥密文；将所述第二主密钥密文发送给所述信任环服务模块；所述信任环服务模块，还用于：基于所述第二锁屏码生成第二认证参数；向第一服务器发送加环请求，以使所述第一服务器所述第二主密钥密文和第二认证参数添加至所述第一信...

【专利技术属性】
技术研发人员：丁金岩，窦伟明，
申请(专利权)人：荣耀终端有限公司，
类型：发明
国别省市：