[发明专利]一种身份认证方法及系统

说明书

一种身份认证方法及系统，包括：客户端生成第一随机数；根据生成的第一随机数确定服务器是否合法。本发明实施例对身份认证时，服务器是否合法进行了确定，提升了数据库口令认证和用户数据的安全性。

技术领域

本文涉及但不限于安全认证技术，尤指一种身份认证方法及系统。

背景技术

身份认证作为数据库安全的第一道防线，是数据库系统的门户。数据库身份认证是判断是否允许客户端以它要求的用户名进行数据库连接的过程，是认证技术和数据库技术的紧密结合。口令认证是一种普遍的认证技术，也是最易受到威胁的一种安全机制。由于安全口令空间通常较小，因此较随机秘钥更容易受到攻击；特别是针对离线口令，采用口令猜测攻击之类的穷尽搜索攻击很容易破解安全防线。一次性口令是指每次登录系统时用户所使用虽然是同一个口令，但口令在传输时是不断变化的。目前，一次性口令主要采用由服务器端的服务器生成的随机数SALT(在密码保护技术中，用来修改口令散列的随机数据串)在网络上的明文传输，易遭受离线的口令猜测攻击，并只能实现单向认证。

K-DB数据库(K-DB数据库采用多进程多线程、多版本并发控制、存储虚拟化等技术。K-DB数据库能实现异构平台自动化迁移。)口令认证是一次性口令的一种实施方式，其分为明文口令传送和加密口令传送；加密方法分为消息摘要算法第五版(MD5)和Crypt(Crypt函数为C语言函数之一，返回加密后的字符串)。目前，K-DB数据库口令认证存在口令容易被非法用户窃取以及不能防范假冒服务器攻击的缺陷。图1为相关技术进行身份认证的信息传输示意图，如图1所示，包括：

步骤101、客户端接收到用户输入的用户身份标识(ID)和口令(PASSWD)，将接收到的用户ID发送至服务器端的服务器；

步骤102、服务器收到用户ID后，发送一个随机数(SALT)至客户端，以供客户端对口令进行加密；在发送随机数时，服务器保存发送至客户端的随机数；

步骤103、客户端通过第一函数对用户ID和口令进行运算，获得第一信息MD5(ID，PASSWD)；并根据接收到的SALT通过第二函数运算获得口令信息MD5(MD5(ID，PASSWD)，SALT)，并将计算获得的口令信息发送到服务器。

步骤104、服务器接收到口令信息时，从口令信息中获取第一信息，并根据本地存储的发送至客户端的SALT计算获得用于匹配验证的口令验证信息；

步骤105、服务器根据计算获得的口令验证信息和接收到的口令信息确定用户身份是否认证通过；假设接收到的口令信息为合法用户发送的口令信息，则从口令信息中获取的第一信息为合法信息，以此计算获得的口令验证信息与接收到的口令信息相等，则可以确定用户身份认证通过；计算获得的口令验证信息与接收到的口令信息不相等时，确定用户身份认证失败。

上述K-DB数据库口令认证方法在一定程度上采用了动态口令认证方式，随着SALT随机数的不同，客户端每次生成的口令信息是不同的，可以避免静态口令的攻击。但是该口令认证方法依然存在很大的缺陷性，包括：

当非法用户窃取到用户ID、SATL和口令信息时，通过离线字典轨迹，可以猜测获得口令，进而通过猜测获得的口令计算获得口令信息；由于用户通常都采用有意义的或者比较容易记忆的短密码作为口令，因此使用口令猜测攻击在计算上是可行的。一旦获取口令，非法用户就可以进入数据库中盗取数据；

客户端对服务器没有进行任何的认证，假设非法用户通过虚假服务器向客户端发送一个SALT，则非法用户就可以通过虚假服务器获取客户端发送的口令信息，由于用户ID和SALT已知，因此可以通过离线方式获得口令。

综上，K-DB数据库口令认证仍存在安全问题，无法保证用户数据的安全性。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。