基于口令重用、字符跳变与分隔的口令强度评估方法技术

一种基于口令重用、字符跳变与分隔的口令强度评估方法，属于信息安全技术领域，步骤包括：选取与场景相契合的口令集，通过模糊匹配算法，构造字符转换字典及口令结构字典；将用户输入的口令，还原为基础字符片段并记录字符转换和口令结构；用神经网络计算基础字符片段构造概率，并从字典中查找字符转换和口令结构对应概率，概率连乘得到口令构造概率；向用户反馈口令的绝对强度、相对强度和相似于用户口令但足够安全的候选口令。本发明专利技术将用户口令重用特征归纳为大写转换、字符跳变与分隔。神经网络结合模糊匹配算法，能够更准确、鲁棒地评估口令强度。用户通过相对强度了解其口令相对于其他用户的口令的强度，从候选口令中选择更安全易记口令。

【技术实现步骤摘要】
基于口令重用、字符跳变与分隔的口令强度评估方法
本专利技术属于信息安全
，涉及口令安全认证领域，更具体地，涉及口令强度评价方法。
技术介绍
口令作为目前使用最广泛的身份认证方式，是维护信息系统安全、保护用户隐私的首要防线。许多用户倾向于设置强度低、易猜测的弱口令以方便记忆，或在多个网站中重用口令，这些脆弱口令行为给网站和用户均带来了严重的安全隐患。为了保护系统和用户的安全，主流互联网服务提供商都会在用户注册网站服务或修改口令时，通过口令强度评价器(passwordstrengthmeter，PSM)将口令强度反馈给用户。只有对口令强度反馈准确的PSM才能显著提高用户的口令强度，进而保护用户账户的安全。然而目前广泛使用的各种PSM常常给出不准确的、误导的反馈，不同网站之间的评测结果也存在较大冲突，难以保证其声称的安全性。不准确的强度反馈导致用户误认为只需将口令末尾添加数字或特殊字符，或者简单地将首字母大写就可以将原本的弱口令提升为强口令。此类PSM远远落后于当下攻击者的真实水平，并无法帮助用户提高口令强度。因此，学者们提出了依据攻击难易程度设计PSM的新思路，基于攻击算法的Markov[5]、PCFG[6]、RNN[9]、fuzzyPSM[4]应运而生。可惜的是，除fuzzyPSM[4]外，现有的基于攻击算法的PSM均默认用户的口令是全新构造的，这显然不符合用户真实的口令使用习惯。因此，存在如下需求：在充分考虑用户口令重用行为的基础上，反馈给用户准确的口令强度。
技术实现思路
为了克服上述技术的不足，本专利技术提供了一种基于口令重用、字符跳变与分隔的口令强度评估方法。本专利技术的目的是通过以下技术方案实现的：1.一种基于口令重用、字符跳变与分隔的口令强度评估方法，由字典构造模块、口令预处理模块、概率计算模块与强度反馈模块组成，具体包括下列步骤：A.在字典构造模块，选取与服务类型相契合的口令集S作为训练集，通过模糊匹配算法，构造字符转换字典及口令结构字典，具体执行如下操作：A1.统计每个大写字母和基础字符在S中的出现频数，并计算得到小写字母转换为大写字母的概率，以及基础字符保持不变的概率；A2.将S中每条口令包含的大写字母转换为对应小写字母，得到新的数据集Slower；A3.根据字符组成，将Slower划分为两个子数据集：集合Smatch由仅含基础字符且频数≥10的字符串构成，Sspecial由包含特殊字符的字符串构成；A4.设置适当的置信度CR后执行模糊匹配算法，算法步骤为：选取Sspecial中的字符串str1，在Smatch中提取长度满足len(str2)≤len(str1)条件的字符串str2，构造待匹配集合Smatch′；利用str1匹配Smatch′中的str2，即逐字符比较str1与str2；若str1与str2中的基础字符无法一一对应，认为匹配失败，str1左移一个字符，并再次尝试匹配str2；若str1中的特殊字符与str2中的基础字符相对应，认为暂时匹配成功；对于暂时匹配成功的str1与str2，计算匹配率MR来判断模糊匹配是否成功，进而判断对应特殊字符是否为基础字符跳变所得。若(count为成功匹配的字符个数)，则认为str1与str2模糊匹配失败，str1中的对应特殊字符为分隔符，反之则认为str1与str2模糊匹配成功，str1中的特殊字符是由str2中对应基础字符跳变所得；A5.将模糊匹配成功，即认为是基础字符跳变所得的特殊字符，“反跳变”为对应的基础字符，并按照正则表达式[^B？(SnB)*Sn？$]的格式来记录口令结构，其中B代表基础字符，Sn代表被认为是分隔符的长度为n的特殊字符串；A6.记录所有出现过的大写转换、字符跳变、字符分隔的情况并将相应的概率存储于字符转换字典；记录所有出现过的口令结构，并计算相应的概率存储于口令结构字典；B.在口令预处理模块，将用户输入的口令，还原为基础口令片段并记录转换类型和口令结构，具体执行如下操作：B1.将用户口令中的大写字母转换为对应的小写字母，并记录此次转换；B2.利用A4所述算法，将转换后的口令在A3构造的Smatch中进行模糊匹配；将模糊匹配成功的特殊字符“反跳变”对应基础字符，记录此时的口令结构以及进行的跳变转换；B3.以模糊匹配失败的特殊字符为分隔符，将口令切割为若干基础字符片段，记录此时作为分隔符的特殊字符；C.在概率计算模块，通过神经网络计算基础口令的构造概率，结合字典记录的口令格式概率与字符转换概率，计算用户口令的构造概率，具体执行如下操作：C1.利用A3构造的Smatch，训练LSTM，并以B3得到的基础字符片段作为LSTM的输入，计算基础字符片段对应构造概率；C2.在A6构造的字符转换字典中查找B1记录的大写转换概率、B2中记录的字符跳变概率、B3中记录的字符分隔概率；C3.在A6构造的口令结构字典中查找B2记录的口令结构对应概率；C4.将上述概率连乘，得到用户输入口令的构造概率；D.在强度反馈模块，反馈给用户其口令的绝对强度与相对强度，同时提供给用户与其输入口令相似但更安全的候选口令，具体执行如下操作：D1.将C4计算得到的口令构造概率作为口令绝对强度，反馈给用户；D2.计算C4得到的口令构造概率与标杆口令构造概率之间的差值，将该差值作为口令的相对强度，反馈给用户；D3.基于A6构造的字符转换字典，随机选择一种转换情况，对用户口令进行修改，从而生成若干条更安全的候选口令，供用户选择；进一步的，在上述公开的方案中，通过步骤A，本专利技术将用户的口令重用行为归纳为大写转换、特殊字符跳变以及特殊字符分隔三种，并分别计算得到了相应概率。进一步的，在上述公开的方案中，通过步骤B，本专利技术还原了用户口令重用过程，并将用户口令切分成了若干基础字符片段。进一步的，在上述公开的方案中，通过步骤C，本专利技术将LSTM计算的基础字符片段的概率、从字典中查找的变换类型和口令结构对应概率连乘，最终得到用户输入口令的构造概率；进一步的，在上述公开的方案中，通过步骤D，本专利技术在使用标杆口令向用户展示其口令的相对强度的同时，通过简单步骤生成了与用户输入口令相似但足够安全的候选口令，供用户选择。本专利技术的优点和有益效果：(1)本专利技术将用户口令重用行为归纳为大写变换、字符跳变和分隔三种情况，并设计了模糊匹配算法，能够精确给出各种转换情况对应的概率。通过模糊匹配算法，本专利技术克服了以往方案中缺少重要的转换、缺少概率计算等不足。(2)本专利技术使用LSTM计算基础字符串的构造概率，结合模糊匹配算法计算特殊字符和口令结构的概率，这使得本专利技术能够在在强度评价的准确性以及运行效率之间取得良好的平衡。实验结果表明，本专利技术在评估中等强度的口令(猜测数≥1010)效果最好，在相同的实验环境下，本专利技术计算得到的覆盖率比fuzzyPSM[4]对应覆盖率本文档来自技高网...

【技术保护点】
1.一种基于口令重用、字符跳变与分隔的口令强度评估方法，由字典构造模块、口令预处理模块、概率计算模块与强度反馈模块组成，具体包括下列步骤：/nA.在字典构造模块，选取与服务类型相契合的口令集S作为训练集，通过模糊匹配算法，构造字符转换字典及口令结构字典；/nB.在口令预处理模块，将用户输入的口令，还原为基础口令片段并记录转换类型和口令结构；/nC.在概率计算模块，通过神经网络计算基础口令的构造概率，结合字典记录的口令格式概率与字符转换概率，计算用户口令的构造概率；/nD.在强度反馈模块，反馈给用户其口令的绝对强度与相对强度，同时提供给用户与其输入口令相似但更安全的候选口令。/n

【技术特征摘要】
1.一种基于口令重用、字符跳变与分隔的口令强度评估方法，由字典构造模块、口令预处理模块、概率计算模块与强度反馈模块组成，具体包括下列步骤：
A.在字典构造模块，选取与服务类型相契合的口令集S作为训练集，通过模糊匹配算法，构造字符转换字典及口令结构字典；
B.在口令预处理模块，将用户输入的口令，还原为基础口令片段并记录转换类型和口令结构；
C.在概率计算模块，通过神经网络计算基础口令的构造概率，结合字典记录的口令格式概率与字符转换概率，计算用户口令的构造概率；
D.在强度反馈模块，反馈给用户其口令的绝对强度与相对强度，同时提供给用户与其输入口令相似但更安全的候选口令。


2.根据权利要求1所述的基于口令重用、字符跳变与分隔的口令强度评估方法，其特征在于，步骤A具体执行如下操作：
A1.统计每个大写字母和基础字符(小写字母和数字)在S中的出现频数，计算得到小写字母转换为大写字母的概率，以及基础字符保持不变的概率；
A2.将S中每条口令包含的大写字母转换为对应小写字母，得到新的数据集Slower；
A3.根据字符组成，将Slower划分为两个子数据集：集合Smatch由仅含基础字符且频数≥10的字符串构成，Sspecial由包含特殊字符(除大写字母和基础字符外的ASCII字符)的字符串构成；
A4.设置适当的置信度(confidenceratio，CR)后执行模糊匹配算法，算法步骤为：
选取Sspecial中的字符串str1，在Smatch中提取长度满足len(str2)≤len(str1)条件的字符串str2，构造待匹配集合Smatch′；
利用str1匹配Smatch′中的str2，即逐字符比较str1与str2；若str1与str2中的基础字符无法一一对应，认为匹配失败，str1左移一个字符，并再次尝试匹配str2；若str1中的特殊字符与str2中的基础字符相对应，认为暂时匹配成功；
对于暂时匹配成功的str1与str2，计算匹配率(matchingratio，MR)来判断模糊匹配是否成功，进而判断对应特殊字符是否为基础字符跳变所得。若(count为成功匹配的字符个数)，则认为str1与str2模糊匹配失败，str1中的对应特殊字符为分隔符，反之则认为str1与str2模糊匹配成功，str1中的特殊字符是由str2中对应基础字符跳变所得；
A5.将模糊匹配成功，即认为是基础字符跳变所得的特殊字符，“反跳变”为对应的基础字符，并按照正则表达式[^B？(SnB)*Sn？$]的格式来记录口令结构，其中B代表基础字符，Sn代表被认为是分隔符的长度为n的特殊字符串；
A6.记录所有出现过的大写转换、字符跳变、字符分隔的情况并将相应的概率存储于字符转换字典；记录所有出现过的口令结构，并...

【专利技术属性】
技术研发人员：董奇颖，贾春福，汪定，单轩，洪淑弘，段非，
申请(专利权)人：南开大学，
类型：发明
国别省市：天津;12