[发明专利]基于软硬件协同的加解密方法及系统

说明书

本发明提供一种基于软硬件协同的加解密方法及系统，属于数据安全技术领域，所述方法包括：获取调用方的用户登录信息，对所述用户进行身份认证后获取服务器端的第一交换密钥因子，并在本地生成第一交换密钥对；根据所述第一交换密钥因子和所述第一交换密钥对进行计算，得到第一会话密钥，并使用所述第一会话密钥加密用户登录应用程序标识号和本机IP，生成第一数据令牌；将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作。本发明通过构建基于软硬件协同的加解密系统，实现密钥的自动生成和更新，并结合软硬件加密的优点实现数据安全保护。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种基于软硬件协同的加解密方法及系统。

背景技术

近年来，各企、事业单位以及国家机关纷纷建立了自己的信息中心，并且各信息中心的规模在不断扩大，地位和作用也越来越突出，安全问题也就逐渐被人们所重视，一旦系统后台存放的关键数据的泄密会给企业带来不可估量的损失。因此，在信息中心建立一套完善的安全机制，可以有效防止来自外部和内部的非法数据侵袭。

从技术实现的方式来看，目前存在两类加密机制:软件加密和硬件加密。软件加密实现容易，投资较小，但密钥及算法易于外泄，安全级别有所降低；硬件加密采用硬件加密机进行加密运算，需要增加设备投资，扩容、管理、运维难度较大，但对密钥及算法的保护比较充分。

发明内容

本发明提供一种基于软硬件协同的加解密方法及系统，用以解决现有技术中通过软件加密数据存在密钥及算法易于外泄的问题或通过硬件加密数据存在设备投资大等问题，结合软硬件加密的优点实现数据安全保护。

本发明还提供一种基于软硬件协同的加解密方法，包括：

获取调用方的用户登录信息，对所述用户进行身份认证后获取服务器端的第一交换密钥因子，并在本地生成第一交换密钥对；

根据所述第一交换密钥因子和所述第一交换密钥对进行计算，得到第一会话密钥，并使用所述第一会话密钥加密用户登录应用程序标识号APP ID和本机，生成第一数据令牌；

将所述第一数据令牌进行加密后返回给调用方，并由调用方解密成功后完成登录流程以发起业务请求操作。

根据本发明提供的一种基于软硬件协同的加解密方法，所述将所述第一数据令牌进行加密后返回给调用方，包括：

将所述第一数据令牌、所述用户登录应用程序标识号APP ID以及所述第一交换密钥对的第二交换密钥因子进行保存；

使用所述第一会话密钥加密所述第一数据令牌，得到第二数据令牌，并将加密后的第二数据令牌返回给调用方。

根据本发明提供的一种基于软硬件协同的加解密方法，所述由调用方解密成功后完成登录流程以发起业务请求操作，还包括：

当接收到用户非正常登出或重复登录时，身份验证中心将第一数据令牌做过期处理。

根据本发明提供的一种基于软硬件协同的加解密方法，所述由调用方解密成功后完成登录流程以发起业务请求操作，包括：

将用户登录时所产生的会话密钥加密业务数据，并获取登录时产生的第三数据令牌和调用方的第二交换密钥因子、应用程序标识号APP ID；

通过用户登录APP ID查询用户的第二交换密钥对，使用所述第二交换密钥因子和所述第二交换密钥对计算第二会话密钥；

使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作。

根据本发明提供的一种基于软硬件协同的加解密方法，所述使用所述第二会话密钥解密已加密的业务数据，解密所述业务数据成功后，完成对应的业务操作，包括：

校验所述第三数据令牌的有效性；