[发明专利]基于身份的口令认证系统及方法

说明书

本发明公开了一种基于身份的口令认证系统及方法。本发明通过采用这种双服务器的架构，在对用户的身份进行认证时，由前向服务器根据用户端提供的登录账号查找预先存储的与之对应的登录口令的第二密文以及用户陷门，然后利用用户陷门分别对用户端提供的第一密文和第二密文进行计算，并将得到的与第一密文对应的第一中间结果和与第二密文对应的第二中间结果传输至后向服务器，由后向服务器根据预设的验证规则分别对第一中间结果，得到第一验证结果，根据验证规则对第二中间结果进行处理，得到第二验证结果，通过对两个验证结果的匹配，在确定两者匹配时，确定用户身份验证成功可以进行数据访问操作，大大提升了口令认证系统的安全性和稳定性。

技术领域

本发明涉及身份认证技术领域，尤其涉及一种基于身份的口令认证系统及方法。

背景技术

口令认证是一种互联网上普遍使用的身份认证技术，目的是在网络用户进入系统或访问受限系统资源时，对用户的身份进行鉴别。口令认证技术是防止主动攻击的技术之一，目前大体可分为静态口令认证技术和动态口令认证技术。

由于口令具有部署成本低、易找回、使用方便等特点，是其他替代品无法企及的，因此口令认证是目前互联网上使用最广泛的身份认证机制，在更好的认证机制出现之前，口令将长期用于身份认证。

但是，近年来，互联网上用户口令数据泄漏事件时有发生。通过对已泄漏的口令数据进行分析发现，其在服务器端存储时，除少数存储明文以外，通常存储的是口令哈希值(采用Bcrypt、PBKDF2等加密工具获得)。然而哈希算法存在相同的输入对应的输出一定相同的问题。而且，为了方便记忆，用户口令通常没有足够的复杂度，这使得用户口令很容易遭受口令猜测攻击。特别是在攻击者拥有大量口令哈希值的情况下，攻击的成功率更高。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种基于身份的口令认证系统及方法，旨在解决现有技术中用户持有的登录口令过于简单，导致口令认证系统的安全性和稳定性较差，认证口令容易被破解的技术问题。

为实现上述目的，本发明提供了一种基于身份的口令认证系统，所述系统包括：用户端和服务器端；

所述服务器端包括前向服务器和后向服务器，所述前向服务器与所述用户端通信连接，与所述后向服务器串行连接；

所述用户端，用于响应于用户触发的数据访问指令，获取用户输入的登录账号和登录口令的明文，根据预设的加密规则对所述登录口令的明文进行处理，得到所述登录口令的第一密文，将所述登录账号和所述第一密文传输至所述前向服务器；

所述前向服务器，用于根据所述登录账号，在本地数据库中查找所述登录口令的第二密文，利用预先存储的与所述登录账号对应的用户陷门对所述第一密文进行计算，得到第一中间结果，利用所述用户陷门对所述第二密文进行计算，得到第二中间结果，并将所述第一中间结果和所述第二中间结果传输至所述后向服务器；

所述后向服务器，用于根据预设的验证规则对所述第一中间结果进行处理，得到第一验证结果，根据预设的所述验证规则对所述第二中间结果进行处理，得到第二验证结果，并将所述第一验证结果与所述第二验证结果进行匹配，若确定匹配，则用户身份验证成功可以进行数据访问操作。

优选地，所述系统还包括：密钥生成中心，所述密钥生成中心与所述用户端、所述前向服务器及所述后向服务器分别通信连接；

所述密钥生成中心，用于为所述前向服务器分配第一密钥，并根据所述第一密钥计算所述前向服务器的第一公钥；

所述密钥生成中心，还用于为所述后向服务器分配第二密钥，并根据所述第二密钥计算所述后向服务器的第二公钥；

相应地，所述用户端，用于根据预设的加密规则，利用所述第一公钥和所述第二公钥对所述登录口令的明文进行处理，得到所述登录口令的第一密文；