本发明专利技术公开了一种基于多种加密算法的第三方明文口令校验方法,客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密,生成密钥R;客户端利用密钥R对用于第三方信息系统的PIN进行加密,生成加密数据E;客户端利用预置的公钥Kp对所述随机数Rc进行加密,得到加密数据Erc;服务器接收客户端上传的加密数据E和加密数据Erc,并将所述随机数Rs、加密数据E和加密数据Erc上传至加解密模块进行解密,得到PIN,对PIN进行加密,得到PWD并将PWD返回至服务器;所述服务器将所述PWD提交至第三方信息系统,所述第三方信息系统对PWD进行解密得到PIN后进行比对,完成校验;采用该校验方法,支持第三方信息系统明文口令校验场景。
【技术实现步骤摘要】
一种基于多种加密算法的第三方明文口令校验方法
本专利技术涉及计算机信息安全领域,具体涉及一种基于多种加密算法的第三方明文口令校验方法。
技术介绍
随着互联网技术的迅猛发展,人们在使用各类信息系统时都会应用到口令认证体系进行用户身份认证,然而用户口令被恶意拖库的事件经常发生(如携程、CSDN等)。因为很多用户都习惯性使用相同的口令,所以一次账户泄漏事件将导致一连串信息系统账户被盗事件的发生。为解决明文口令存在于信息系统各个使用环节十分容易被窃取的问题,以及第三方信息系统用户需要进行明文口令校验的问题。信息系统的口令验证一般都是在服务器侧完成,根据服务器储存密码形式的不同,目前主要有以下方案:1、保存明文口令,客户端侧直接将用户输入的账号\口令以明文形式上传到服务器,服务器存储着账号和明文口令的对应关系表,当用户认证时,服务器将上传口令和存储口令两者进行比对,如一致则认证成功。存在问题:(1)明文口令可以在终端侧、传输网络中被轻易截获。(2)明文口令直接存储在服务器中,如果服务器遭到黑客入侵,数据库很容易被拖走(俗称“拖库”),造成严重的信息泄露事件。(3)黑客还可以利用获取到的账号和明文口令对应关系表,登录该用户使用相同账号和口令的其他信息系统。2、保存可逆加密口令,客户端侧对用户输入的明文口令进行加密,服务器存储账号和加密密码的对应关系表,但加密算法可逆,例如采用直接可逆的加密算法(如Base64算法)、明文保存加密密钥等情况。存在问题:此方案和保存明文口令方案没有本质区别,如果服务器遭到黑客入侵,黑客找到加密密钥和加密算法,只要进行简单的逆向操作,就可以解密得到明文口令。
技术实现思路
本专利技术的目的在于:提供一种基于多种加密算法的第三方明文口令校验方法,解决了目前在对第三方信息系统的用户口令进行加密保护和安全校验时,存在被网络窃听和数据库拖库等恶意攻击行为的技术问题。本专利技术采用的技术方案如下:一种基于多种加密算法的第三方明文口令校验方法,其特征在于:包括以下步骤:步骤1:客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密,生成密钥R;步骤2:客户端利用密钥R对用于第三方信息系统的用户明文口令(PIN)进行加密,生成加密数据E;步骤3:客户端利用预置的公钥Kp对所述随机数Rc进行加密,得到加密数据Erc;步骤4:服务器接收客户端上传的加密数据E和加密数据Erc,并将所述随机数Rs、加密数据E和加密数据Erc上传至加解密模块进行解密,得到用户明文口令(PIN),对所述用户明文口令(PIN)进行加密,得到密文口令(PWD)并将密文口令(PWD)返回至服务器;步骤5:所述服务器将所述密文口令(PWD)提交至第三方信息系统,所述第三方信息系统对所述密文口令(PWD)进行解密得到用户明文口令(PIN)后进行比对,完成校验。进一步的,所述客户端为密码控件,具有防截屏、防键盘挂钩和数据加密功能。进一步的,所述步骤1中,所述随机数Rc和随机数Rs仅在当前次校验过程中有效。进一步的,所述步骤2中,采用的加密算法为对称加密算法。进一步的,所述步骤3中,采用的加密算法为非对称加密算法。进一步的,所述步骤4中,加解密模块的解密过程包括以下步骤:步骤41:利用所述预置公钥Kp对应的私钥Ks解密加密数据Erc,得到随机数Rc;步骤42:利用随机数Rc和Rs,生成密钥R;步骤43:利用所述密钥R解密加密数据E,得到用户明文口令(PIN)。进一步的,所述步骤4中,对所述用户明文口令(PIN)进行加密采用的算法为对称加密算法或非对称加密算法中的一种。综上所述,由于采用了上述技术方案,本专利技术的有益效果是:1.在用户明文口令的产生、存储、使用、传输过程中,客户端和服务器端均不直接使用和存储明文口令,而是利用各类密码学算法,只在用户输入、加解密模块处理和第三方信息系统校验时,短暂使用用户明文口令,此设计能有效防范网络窃取、数据库拖库等攻击场景。2.客户端和服务器同时产生随机数,随机数仅单次校验期内有效,在客户端和服务器之间的不可靠网络传输中,仅使用网络传递随机数Rs、加密数据E和加密数据Erc,能有效防止黑客通过网络窃听等手段获取密钥R,进而对明文口令的破解,安全性能极高。3.在客户端侧,当用户输入明文口令后,通过客户端(密码控件)对其进行防截屏、防键盘挂钩、数据加密等方式的保护,不存储用户明文口令,能有效防止黑客在终端侧获取明文口令。4.本专利技术通过多种加密算法的应用,较传统密码口令校验方案,极大地提高了校验过程中口令保护的安全性。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1是本专利技术的流程图。具体实施方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。下面结合图1对本专利技术作详细说明。一种基于多种加密算法的第三方明文口令校验方法,其特征在于:包括以下步骤:步骤1:客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密,生成密钥R;所述客户端为密码控件,具有防截屏、防键盘挂钩和数据加密功能:所述随机数Rc和随机数Rs仅在当前次校验过程中有效。步骤2:客户端利用密钥R对用于第三方信息系统的用户明文口令(PIN)进行加密,生成加密数据E;采用的加密算法为对称加密算法。步骤3:客户端利用预置的公钥Kp对所述随机数Rc进行加密,得到加密数据Erc,采用的加密算法为非对称加密算法;步骤4:服务器接收客户端上传的加密数据E和加密数据Erc,并将所述随机数Rs、加密数据E和加密数据Ere上传至加解密模块进行解密,得到用户明文口令(PIN),加解密模块的解密过程包括以下步骤:步骤41:利用所述预置公钥Kp对应的私钥Ks解密加密数据Erc,得到随机数Rc;步骤42:利用随机数Rc和Rs,生成密钥R;步骤43:利用所述密钥R解密加密数据E,得到用户明文口令(PIN);对所述用户明文口令(PIN)进行加密,得到密文口令(PWD)并将密文口令(PWD)返回至服务器;对所述用户明文口令(PIN)进行加密采用的算法为对称加密算法或非对称加密算法中的一种。步骤5:所述服务器将所述密文口令(PWD)提交至第三方信息系统,所述第三方信息系统对所述密文口令(PWD)进行解密得到用户明文口令(PIN)后进行比对,完成校验。本专利技术适用于需要提供给第三方信息系统明文口令才能完成校验的场景,例如本单位信息系统(本银行)完成第三方信息系统(其他银行)的网银支付密码校验的场景,实现安全的第三方信息系统明文口令校验流程。具体实施方式本实施例将本专利技术细化为以下内容:步骤1:客户端产生随机数Rc,所述随机数Rc仅在当前次校验过程中有效,所述客户端为密码控件,具有防截屏、防键盘挂钩和数据加密功能,能够保证信息不在客户端侧输入时被黑客所窃取;步骤2:客户端请求本单位信息系统的服务器产生随机数Rs,所述随机数Rs仅在当前次校验过程中有效。步骤3:客户端利用随机数Rc和随机数Rs生成密钥R,生成密钥的算法可采用首尾拼接算法、穿插拼接算法中的一种。步骤4:客户端利用所述密钥R对用于第三方信息系统的用户明文口令(PIN)进行加密,生成加密数据E,加密时采用的算本文档来自技高网...
【技术保护点】
1.一种基于多种加密算法的第三方明文口令校验方法,其特征在于:包括以下步骤:步骤1:客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密,生成密钥R;步骤2:客户端利用密钥R对用于第三方信息系统的用户明文口令(PIN)进行加密,生成加密数据E;步骤3:客户端利用预置的公钥Kp对所述随机数Rc进行加密,得到加密数据Erc;步骤4:服务器接收客户端上传的加密数据E和加密数据Erc,并将所述随机数Rs、加密数据E和加密数据Erc上传至加解密模块进行解密,得到用户明文口令(PIN),对所述用户明文口令(PIN)进行加密,得到密文口令(PWD)并将密文口令(PWD)返回至服务器;步骤5:所述服务器将所述密文口令(PWD)提交至第三方信息系统,所述第三方信息系统对所述密文口令(PWD)进行解密得到用户明文口令(PIN)后进行比对,完成校验。
【技术特征摘要】
1.一种基于多种加密算法的第三方明文口令校验方法,其特征在于:包括以下步骤:步骤1:客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密,生成密钥R;步骤2:客户端利用密钥R对用于第三方信息系统的用户明文口令(PIN)进行加密,生成加密数据E;步骤3:客户端利用预置的公钥Kp对所述随机数Rc进行加密,得到加密数据Erc;步骤4:服务器接收客户端上传的加密数据E和加密数据Erc,并将所述随机数Rs、加密数据E和加密数据Erc上传至加解密模块进行解密,得到用户明文口令(PIN),对所述用户明文口令(PIN)进行加密,得到密文口令(PWD)并将密文口令(PWD)返回至服务器;步骤5:所述服务器将所述密文口令(PWD)提交至第三方信息系统,所述第三方信息系统对所述密文口令(PWD)进行解密得到用户明文口令(PIN)后进行比对,完成校验。2.根据权利要求1所述的一种基于多种加密算法的密文口令校验方法,其特征在于:所述客户端为密码控件,具有防截屏、防键...
【专利技术属性】
技术研发人员:杨凌潇,雷涛,刘钢,
申请(专利权)人:四川新网银行股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。