[发明专利]鉴权系统及其鉴权信息的加密、验证方法与装置

说明书

一种鉴权系统及其鉴权信息的加密、验证方法与装置，所述鉴权系统包括：客户端和服务器端；客户端包括鉴权信息的加密装置，用于获取鉴权信息，将其中的用户信息与验证密码相结合形成第一混合字符串、第二混合字符串，并以散列算法将第一混合字符串、第二混合字符串生成第一密钥、第二密钥，以第一密钥对用户信息进行加密形成第一密文，以第二密钥对验证密码进行加密形成第二密文；所述服务器端包括鉴权信息的加密装置，用于将收到的第一密文、第二密文与预先存储的密文对进行配对，并根据配对成功与否的情况返回相应的验证结果。本发明能提高加密鉴权信息的破解难度，并且不会增加实施的难度，对于鉴权系统的通信双方的计算性能也没有太高要求。

技术领域

本发明涉及鉴权与加密解密技术领域，特别涉及一种鉴权系统及其鉴权信息的加密、验证方法与装置。

背景技术

现行加密技术主要有3种，第一种是对称加密技术，其实施简单，破解难度较低。第二种是非对称加密技术，破解难度较大，但是实施起来较困难。第三种属于散列算法，如MD5和Base64等算法，实施简单，但是当前对这种算法已经有了一些破解方式。

现有技术一：对称加密算法/非对称加密

不管是对称加密或者非对称加密，都围绕着密钥(Key)的生成做文章，但是很少有人考虑到如果Key遗失或者被窃取怎么办，如下分析：

一种方式，如图1所示，客户端加密明文，加密使用的Key放在本地，黑客可以采用读取文件、数据库、反编译等方式获取客户端存放的Key，这样一来，密文反推成明文就非常简单了。

另一种方式，如图2所示，服务器端加密明文，加密使用的Key放在服务器，黑客不能从客户端拿到key了，但是这种方式有两种缺点：黑客可以在拦截网络上传递的明文，使加密形同虚设，另一个缺点，黑客可以攻破服务器，然后采用读取文件、读数据库、反编译等方式获取服务器端存放的Key，这样一来，密文反推成明文也非常简单了。

所以，现有的对称/非对称加密算法，Key的存放是一个非常难以解决的问题。

现有技术二：散列算法

在信息安全领域中应用的散列算法，基于一个理念：只加密不解密。所以需要满足的关键特性：

第一是单向性(one-way)，密码学上的Hash又被称为“消息摘要(messagedigest)”，就是要求能方便的将“消息”进行“摘要”，但在“摘要”中无法得到比“摘要”本身更多的关于“消息”的信息。

第二是抗冲突性(collision-resistant)，即在统计上无法产生2个散列值相同的映射。第三是映射分布均匀性和差分分布均匀性，散列结果中，为0的bit和为1的bit，其总数应该大致相等；输入中一个bit的变化，散列结果中将有一半以上的bit改变，这又叫做“雪崩效应(avalanche effect)”。

常见散列函数(Hash函数)有：

·MD5：是RSA数据安全公司开发的一种单向散列算法，MD5被广泛使用，可以用来把不同长度的数据块进行暗码运算成一个128位的数值。

·SHA：这是一种较新的散列算法，可以对任意长度的数据运算生成一个160位的数值。

·MAC：消息认证代码，是一种使用密钥的单向函数，可以用它们在系统上或用户之间认证文件或消息，常见的是HMAC(用于消息认证的密钥散列算法)。

·CRC：循环冗余校验码，CRC校验由于实现简单，检错能力强，被广泛使用在各种数据校验应用中。占用系统资源少，用软硬件均能实现，是进行数据传输差错检测地一种很好的手段(CRC并不是严格意义上的散列算法，但它的作用与散列算法大致相同，所以归于此类)。