[发明专利]一种基于多种加密算法的密文口令校验方法

说明书

本发明公开了一种基于多种加密算法的密文口令校验方法，包括客户端对明文口令进行哈希运算得到哈希值M，并利用客户端产生的随机数Rc和请求应用服务器产生的随机数Rs对哈希值M进行加密，得到加密数据E；客户端利用预置公钥Kp对所述随机数Rc进行加密，得到加密数据Erc；客户端将随机数Rs、加密数据E以及加密数据Erc经应用服务器发送至加解密模块进行解密，得到哈希值M；加解密模块对哈希值M再次进行哈希运算，得到密文口令并返回至应用服务器；应用服务器将所述密文口令与数据库中储存的密文口令进行对比，完成口令校验；本发明所保护的用户明文口令，仅在用户输入时短暂使用，安全性极高。

技术领域

本发明涉及计算机信息安全领域，具体涉及一种基于多种加密算法的密文口令校验方法。

背景技术

随着互联网技术的迅猛发展，人们在使用各类信息系统时都会应用到账号协同口令的认证体系进行用户身份认证，然而用户口令被恶意窃取的事件经常发生(如携程、CSDN等)。因为很多用户都习惯性使用相同的口令，所以一次账户泄漏事件将导致一连串信息系统账户被盗事件的发生。因此在客户端、网络、数据库等层面如何保护用户明文密码成为信息安全领域的一个重要研究方向。

信息系统的口令验证一般都是在服务器侧完成，根据服务器储存密码形式的不同，目前主要有以下方案：

第一种为保存明文口令，客户端侧直接将用户输入的账号\口令以明文形式上传到服务器，服务器存储着账号和明文口令的对应关系表，当用户认证时，服务器将上传口令和存储口令两者进行比对，如一致则认证成功。该方法的问题在于明文口令可以在终端侧、传输网络中被轻易截获；明文口令直接存储在服务器中，如果服务器遭到黑客入侵，数据库很容易被拖走(俗称“拖库”)，造成严重的信息泄露事件；黑客还可以利用获取到的账号和明文口令对应关系表，登录该用户使用相同账号和口令的其他信息系统。

第二种为保存可逆加密口令，客户端侧对用户输入的明文口令进行加密，服务器存储账号和加密密码的对应关系表，但加密算法可逆，例如采用直接可逆的加密算法(如Base64算法)、明文保存加密密钥等情况。此方案和保存明文口令方案没有本质区别，如果服务器遭到黑客入侵，黑客找到加密密钥和加密算法，只要进行简单的逆向操作，就可以解密得到明文口令，造成严重的信息安全事故。

发明内容

本发明的目的在于：提供一种基于多种加密算法的密文口令校验方法，解决了明文口令存在于信息系统各个使用环节，十分容易被窃取的问题。

本发明采用的技术方案如下：

一种基于多种加密算法的密文口令校验方法，包括以下步骤：

步骤1：客户端对明文口令(PIN)进行哈希运算得到哈希值M，并利用客户端产生的随机数Rc和请求应用服务器产生的随机数Rs对哈希值M进行加密，得到加密数据E；

步骤2：客户端利用预置公钥Kp对所述随机数Rc进行加密，得到加密数据Erc；

步骤3：客户端将随机数Rs、加密数据E以及加密数据Erc经应用服务器发送至加解密模块进行解密，得到哈希值M；

步骤4：加解密模块对哈希值M再次进行哈希运算，得到密文口令(PWD)并返回至应用服务器；

步骤5：应用服务器将所述密文口令(PWD)与数据库中存储的密文口令进行对比，完成口令校验。

进一步的，所述客户端为密码控件，具有防截屏、防键盘挂钩和数据加密功能。

进一步的，所述步骤1中随机数Rc和的随机数Rs均为当前次校验有效。

进一步的，所述步骤1中对哈希值M进行加密包括以下步骤：

步骤101：客户端利用随机数Rc和随机数Rs生成密钥R；