[发明专利]基于口令重用、字符跳变与分隔的口令强度评估方法

说明书

一种基于口令重用、字符跳变与分隔的口令强度评估方法，属于信息安全技术领域，步骤包括：选取与场景相契合的口令集，通过模糊匹配算法，构造字符转换字典及口令结构字典；将用户输入的口令，还原为基础字符片段并记录字符转换和口令结构；用神经网络计算基础字符片段构造概率，并从字典中查找字符转换和口令结构对应概率，概率连乘得到口令构造概率；向用户反馈口令的绝对强度、相对强度和相似于用户口令但足够安全的候选口令。本发明将用户口令重用特征归纳为大写转换、字符跳变与分隔。神经网络结合模糊匹配算法，能够更准确、鲁棒地评估口令强度。用户通过相对强度了解其口令相对于其他用户的口令的强度，从候选口令中选择更安全易记口令。

技术领域

本发明属于信息安全技术领域，涉及口令安全认证领域，更具体地，涉及口令强度评价方法。

背景技术

口令作为目前使用最广泛的身份认证方式，是维护信息系统安全、保护用户隐私的首要防线。许多用户倾向于设置强度低、易猜测的弱口令以方便记忆，或在多个网站中重用口令，这些脆弱口令行为给网站和用户均带来了严重的安全隐患。

为了保护系统和用户的安全，主流互联网服务提供商都会在用户注册网站服务或修改口令时，通过口令强度评价器(password strength meter，PSM)将口令强度反馈给用户。只有对口令强度反馈准确的PSM才能显著提高用户的口令强度，进而保护用户账户的安全。

然而目前广泛使用的各种PSM常常给出不准确的、误导的反馈，不同网站之间的评测结果也存在较大冲突，难以保证其声称的安全性。不准确的强度反馈导致用户误认为只需将口令末尾添加数字或特殊字符，或者简单地将首字母大写就可以将原本的弱口令提升为强口令。此类PSM远远落后于当下攻击者的真实水平，并无法帮助用户提高口令强度。因此，学者们提出了依据攻击难易程度设计PSM的新思路，基于攻击算法的Markov^[5]、PCFG^[6]、RNN^[9]、fuzzyPSM^[4]应运而生。可惜的是，除fuzzyPSM^[4]外，现有的基于攻击算法的PSM均默认用户的口令是全新构造的，这显然不符合用户真实的口令使用习惯。

因此，存在如下需求：在充分考虑用户口令重用行为的基础上，反馈给用户准确的口令强度。

发明内容

为了克服上述技术的不足，本发明提供了一种基于口令重用、字符跳变与分隔的口令强度评估方法。本发明的目的是通过以下技术方案实现的：

1.一种基于口令重用、字符跳变与分隔的口令强度评估方法，由字典构造模块、口令预处理模块、概率计算模块与强度反馈模块组成，具体包括下列步骤：

A.在字典构造模块，选取与服务类型相契合的口令集S作为训练集，通过模糊匹配算法，构造字符转换字典及口令结构字典，具体执行如下操作：

A1.统计每个大写字母和基础字符在S中的出现频数，并计算得到小写字母转换为大写字母的概率，以及基础字符保持不变的概率；

A2.将S中每条口令包含的大写字母转换为对应小写字母，得到新的数据集S_lower；

A3.根据字符组成，将S_lower划分为两个子数据集：集合S_match由仅含基础字符且频数≥10的字符串构成，S_special由包含特殊字符的字符串构成；

A4.设置适当的置信度CR后执行模糊匹配算法，算法步骤为：

选取S_special中的字符串str1，在S_match中提取长度满足len(str2)≤ len(str1)条件的字符串str2，构造待匹配集合S_match′；