[发明专利]一种基于公开密钥算法实现的用户名口令认证方法

说明书

技术领域

本发明涉及信息安全领域，更具体的涉及一种基于用户名口令的身份认证方法。

背景技术

在互联网中，各类网站非常普遍的使用的用户名加口令的方式对网站用户的身份进行认证。基于口令的认证方式通常有以下几种实现方法：

第一种：直接将口令原文记录在系统数据库中。用户发起认证时，将口令的明文提交到服务端，服务端与数据库中记录的口令进行比较。一致则认证通过。这种方式安全性极低，口令原文以明文的方式存储和传输。攻击者可以通过网络侦听、攻击数据库等手段获取用户的口令。

第二种：通过哈希算法处理口令。系统中并不保存口令原文，而是保存口令的哈希值。在认证时，系统的客户端计算出用户输入的口令的哈希值，然后将该哈希值（而不是口令原文）提交到服务器端。服务端通过对比客户端提交的哈希值与数据库中的哈希值是否一致来判定认证的结果。这种方式虽然能够解决第一种方式中口令被侦听的问题。但无法抵御彩虹表攻击。此前，互联网上就出现过大批网站用户名口令被泄露的事件。

由于基于口令的认证方式的简便性决定了这种方式在互联网上广泛的被使用，但同时其安全性也存在着较大的问题。由此可见提高用户口令认证的安全性是本领域亟需要解决的问题。

发明内容

针对现有的口令的认证方式所存在的安全性问题，本发明的目的在于提供一种用户名口令认证方法，且该方法能够在保留口令认证方式简便性的同时提高其安全性。

为了达到上述目的，本发明采用如下的技术方案：

一种基于公开密钥算法实现的用户名口令认证方法，所述认证方法在认证过程中引入公钥算法，使用公钥算法实现认证，用户口令不直接用于认证而是用于保护用户的私钥。

在本发明的优选方案中，所述认证方法在用户注册环节为用户生成一对密对。并使用用户提供的用户口令作为密码加密用户私钥。同时将用户名、密钥对中的用户公钥以及加密后的用户私钥对应的保存于用于认证的认证服务端中。所保存的这些信息，将在认证环节作为认证的凭证使用。

进一步的，所述认证方法的用户认证环节包括如下步骤：

（1）客户端提交用户名发起认证请求给认证服务端；

（2）认证服务端根据客户端提交的用户名，从数据库中查询该用户名对应的用户公钥及加密后的用户私钥；

（3）认证服务端生成随机数，并将该随机数使用对应的用户公钥进行加密，并将对应的加密的用户私钥及加密后的随机数返回给客户端；

（4）客户端使用用户口令解密加密的私钥数据，得到用户私钥；

（5）客户端使用解密得到的用户私钥对步骤（3）中从认证服务端返回的加密随机数据进行解密运算，得到对应的随机数；

（6）客户端将步骤（5）中所生成的数据提交给认证服务端；

（7）认证服务端对比步骤（6）中所提交的数据与步骤（3）中所生成的随机数，若一致则认证通过。

进一步的，所述用户注册环节中采用对称算法以用户口令作为密码加密用户私钥。

通过上述步骤实现的认证，能够在不增加用户认证难度（更复杂的交互、更多的认证装置等）的前提下，提高用户口令认证的安全性。

同时上述认证方案在实施时，从被认证的用户的角度还是只需要提供用户名和用户口令作为认证的凭证；而从认证服务端的角度，不再需要存储、传递口令或口令的哈希值，这样能够在保留口令认证方式简便性的同时有效的防止了彩虹表攻击，保证用户口令认证的安全性。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明实例中用户注册流程图；

图2为本发明实例中用户注册过程中的数据处理的流程图；

图3为本发明实例中用户口令认证的流程图；

图4为本发明实例中用户口令认证过程中数据处理的流程图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

本发明针对网站、信息系统等软件平台采用现有口令认证方式进行用户口令在认证时，所存在的安全性问题，将公钥（非对称）加密算法引入到口令认证中。公钥加密算法的最显著特点是加密中涉及一对密钥：公钥和私钥。用公钥加密的数据只有用对应的私钥才能解密，使用私钥加密的数据只有使用对应的公钥才能解密。