[发明专利]一种密码生成及验证方法

说明书

本发明公开了一种密码生成及验证方法，包括(A)生成密码序列：生成一个密码序列T；其中后一元素由前一元素按照一定的映射关系生成；取一元素作为该用户初始的密码验证凭证v，将其与该用户的ID一起保存到数据库；(B)进行密码验证：由用户提交的密码，按照阶段(A)中相同的映射关系，生成z；并基于该用户的ID，在数据库中找到其密码验证凭证v；然后将v与z与进行比较，如果不一致，则验证不通过；如果一致，则验证通过；在此过程中，若数据库存储的该用户的密码验证凭证v＝t_j，则用户只有提交t_j‑1作为密码key才能通过验证，否则不能通过验证；验证通过后，更改数据库中保存的该用户的密码验证凭证v。本发明安全性高。

技术领域

本发明涉及金融信息安全领域，具体是涉及一种防止能抵御密码被偷窥的密码生成及验证方法。

背景技术

密码是实现身份认证和权限控制的一种方法，它因为简单方便得到广泛应用，在金融领域应用尤其如此，比如目前国内不能透支的储蓄卡均需密码授权，信用卡一般情况下也默认凭密码交易。用密码进行身份认证存在的一个主要安全问题是密码被盗用，一旦密码被盗，如果不法分子同时知道该银行卡账号信息，克隆好卡片后，就可以盗取用户的资金，这给用户带来安全隐患。目前密码被盗的主要途径之一是用户输入密码时被不法分子偷窥。

为防止输入密码时输入的密码被偷窥，人们提出了很多办法，但思路都是采用遮挡的办法来解决，即通过遮挡使输入的密码不被偷窥者看到，比如银行普遍采用在输入密码的键盘上加装遮挡罩，或者采用视角很小的液晶触摸屏并辅以打乱排列顺序的输入码来输入密码，使偏离正视视角较大的偷窥者看不清用户输入的密码。由于在密码输入过程中，使用者能看到的输入过程，偷窥也有可能看到输入过程，因此采用遮挡的办法方法在只是增加偷窥的难度，降低密码输入过程中密码被偷窥的概率，而不能彻底解决密码被偷窥。除了直接偷窥外，还有一些间接偷窥的手段能使不法分子获得用户输入的密码，比如不法分子可通过研究用户在POS机密码键盘上输入密码时的手势就能推测出输入的密码；再比如曾经有媒体报道有些不法份子甚至在银行的ATM机的键盘上再覆一层键盘，这个被再覆上去的键盘内有能记录用户输入的密码的功能，用户输入的密码不管采用什么样的遮挡方式均被完整地发送给不法份子，甚至还有犯罪集团在移动POS机上做手脚，直接记录用户输入的密码，这也从另一个方面说明用遮挡的办法无法彻底解决密码被偷窥的问题。

因此，有必要设计一种能避免密码被偷窥而泄密的密码生成及验证方法。

发明内容

本发明所解决的技术问题是，针对现有技术的不足，提供一种密码生成及验证方法，采用该方法每次输入的密码不需要保密，从而能避免密码被偷窥而泄密，安全性高。

本发明解决其技术问题采用的技术方案为：

一种密码生成及验证方法，包括(A)生成密码序列和(B)进行密码验证两个阶段；

(A)生成密码序列的方法为：

生成一个密码序列T＝{t₁,t₂,…,t_n}，用于用户进行身份验证；其中t_j由t_j-1按照一定的映射关系生成，j＝2,3…,n；

将t_j作为该用户初始的密码验证凭证v，即v＝t_j，将其与该用户的ID一起保存到数据库；

(B)进行密码验证的方法为：

由用户提交的密码key，按照阶段(A)中相同的映射关系，生成z；并基于该用户的ID，在数据库中找到其密码验证凭证v；然后将v与z与进行比较，如果不一致，则验证不通过；如果一致，则验证通过；

在此过程中，若数据库存储的该用户的密码验证凭证v＝t_j，则用户只有提交t_j-1作为密码key才能通过验证，否则不能通过验证；