[发明专利]一种基于多种加密算法的第三方明文口令校验方法

说明书

本发明公开了一种基于多种加密算法的第三方明文口令校验方法，客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密，生成密钥R；客户端利用密钥R对用于第三方信息系统的PIN进行加密，生成加密数据E；客户端利用预置的公钥Kp对所述随机数Rc进行加密，得到加密数据Erc；服务器接收客户端上传的加密数据E和加密数据Erc，并将所述随机数Rs、加密数据E和加密数据Erc上传至加解密模块进行解密，得到PIN，对PIN进行加密，得到PWD并将PWD返回至服务器；所述服务器将所述PWD提交至第三方信息系统，所述第三方信息系统对PWD进行解密得到PIN后进行比对，完成校验；采用该校验方法，支持第三方信息系统明文口令校验场景。

技术领域

本发明涉及计算机信息安全领域，具体涉及一种基于多种加密算法的第三方明文口令校验方法。

背景技术

随着互联网技术的迅猛发展，人们在使用各类信息系统时都会应用到口令认证体系进行用户身份认证，然而用户口令被恶意拖库的事件经常发生(如携程、CSDN等)。因为很多用户都习惯性使用相同的口令，所以一次账户泄漏事件将导致一连串信息系统账户被盗事件的发生。

为解决明文口令存在于信息系统各个使用环节十分容易被窃取的问题，以及第三方信息系统用户需要进行明文口令校验的问题。

信息系统的口令验证一般都是在服务器侧完成，根据服务器储存密码形式的不同，目前主要有以下方案：

1、保存明文口令，客户端侧直接将用户输入的账号\口令以明文形式上传到服务器，服务器存储着账号和明文口令的对应关系表，当用户认证时，服务器将上传口令和存储口令两者进行比对，如一致则认证成功。

存在问题：(1)明文口令可以在终端侧、传输网络中被轻易截获。(2)明文口令直接存储在服务器中，如果服务器遭到黑客入侵，数据库很容易被拖走(俗称“拖库”)，造成严重的信息泄露事件。(3)黑客还可以利用获取到的账号和明文口令对应关系表，登录该用户使用相同账号和口令的其他信息系统。

2、保存可逆加密口令，客户端侧对用户输入的明文口令进行加密，服务器存储账号和加密密码的对应关系表，但加密算法可逆，例如采用直接可逆的加密算法(如Base64算法)、明文保存加密密钥等情况。

存在问题：此方案和保存明文口令方案没有本质区别，如果服务器遭到黑客入侵，黑客找到加密密钥和加密算法，只要进行简单的逆向操作，就可以解密得到明文口令。

发明内容

本发明的目的在于：提供一种基于多种加密算法的第三方明文口令校验方法，解决了目前在对第三方信息系统的用户口令进行加密保护和安全校验时，存在被网络窃听和数据库拖库等恶意攻击行为的技术问题。

本发明采用的技术方案如下：

一种基于多种加密算法的第三方明文口令校验方法，其特征在于：包括以下步骤：

步骤1：客户端对所述客户端产生的随机数Rc和请求本单位信息系统的服务器产生的随机数Rs进行加密，生成密钥R；

步骤2：客户端利用密钥R对用于第三方信息系统的用户明文口令(PIN)进行加密，生成加密数据E；

步骤3：客户端利用预置的公钥Kp对所述随机数Rc进行加密，得到加密数据Erc；

步骤4：服务器接收客户端上传的加密数据E和加密数据Erc，并将所述随机数Rs、加密数据E和加密数据Erc上传至加解密模块进行解密，得到用户明文口令(PIN)，对所述用户明文口令(PIN)进行加密，得到密文口令(PWD)并将密文口令(PWD)返回至服务器；

步骤5：所述服务器将所述密文口令(PWD)提交至第三方信息系统，所述第三方信息系统对所述密文口令(PWD)进行解密得到用户明文口令(PIN)后进行比对，完成校验。