【技术实现步骤摘要】
一种结合慢hash与动态盐的web系统设计方法
本专利技术涉及WEB系统相关
,尤其是指一种结合慢hash与动态盐的web系统设计方法。
技术介绍
现有技术包含如下:(1)登陆Web系统的安全认证方法、客户端及系统,该方法通常是客户端先向服务端发送一个认证请求,服务端验证通过后再进行登录操作。该方法只是过滤了哪些客户端可以进行登录,缺少用户登录过程的计算、传输、存储、校验等环节;而这些环节往往是不安全因素较多的地方。该方法只是过滤了哪些客户端可以进行登录,缺少用户登录过程的计算、传输、存储、校验等环节;而这些环节往往是不安全因素较多的地方。。(2)防撞库的用户登录安全认证方法、终端设备及存储介质,该方法主要约定了用户登录时密码的认证过程,以及存储方法;其中认证过程并没有区分客户端首次加密过程与服务端二次加密过程。由于在互联网B/S架构下,前端是没有秘密可言的,一旦暴露了算法与盐,就可能达到“逆向”目的。服务端获取到前端运算的密文还需要再次加密存储,否则黑客在抓包前端的密文后也可以模拟“登录”操作。该专利...
【技术保护点】
1.一种结合慢hash与动态盐的web系统设计方法,其特征是,具体包括如下步骤:/n(1)根据输入的用户名,客户端先向服务端查询该用户名是否存在,若用户名存在则进行登录流程,返回该用户在用户表中的salt,这里称作旧盐;/n(2)在输入密码后,客户端紧接着用公开的慢HASH算法以旧盐为参数,计算出用户的password,这里称作旧密文;同时客户端随机生成一个salt,这里称作新盐,再用新盐与用户输入的密码采用公开的慢HASH算法生成password,为新密文;/n(3)传输时通过参数签名算法或者依赖Https协议保障参数安全;/n(4)服务端接收到参数后,提取出旧密文后再用...
【技术特征摘要】
1.一种结合慢hash与动态盐的web系统设计方法,其特征是,具体包括如下步骤:
(1)根据输入的用户名,客户端先向服务端查询该用户名是否存在,若用户名存在则进行登录流程,返回该用户在用户表中的salt,这里称作旧盐;
(2)在输入密码后,客户端紧接着用公开的慢HASH算法以旧盐为参数,计算出用户的password,这里称作旧密文;同时客户端随机生成一个salt,这里称作新盐,再用新盐与用户输入的密码采用公开的慢HASH算法生成password,为新密文;
(3)传输时通过参数签名算法或者依赖Https协议保障参数安全;
(4)服务端接收到参数后,提取出旧密文后再用私密HASH算法重新计算出密文,称为对比密文;使用对比密文与用户名查找数据库的用户表,确定是否存在该用户的记录,存在则对比成功,对比成功后提取新密文、新盐同样采用私密HASH算法计算出密文,称为待更新密文;不存在则对比失败,终止登录流程;
(5)把待更新密文写入到用户表中相应的用户记录行password字段,同时也把新盐写入salt字段,到此登录流程结束,每次登录也是动态更新了用户的盐与密码。
2.根据权利要求1所述的一种结合慢hash与动态盐的web系统设计方法,其特征是,所述的用户表指的是一个有动态盐字段的用户库表结构,用于存储用户信息的库表结构不能缺少的字段:用户名username、密文password、盐salt。
3.根据权利要求2所述的一种结合慢hash与动态盐的web系统设计方法,其特征是,在步骤(3...
【专利技术属性】
技术研发人员:高海,顾湘余,赵东奇,
申请(专利权)人:杭州趣维科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。