CN107306181B - 鉴权系统及其鉴权信息的加密、验证方法与装置 - Google Patents
鉴权系统及其鉴权信息的加密、验证方法与装置 Download PDFInfo
- Publication number
- CN107306181B CN107306181B CN201610241157.2A CN201610241157A CN107306181B CN 107306181 B CN107306181 B CN 107306181B CN 201610241157 A CN201610241157 A CN 201610241157A CN 107306181 B CN107306181 B CN 107306181B
- Authority
- CN
- China
- Prior art keywords
- ciphertext
- authentication information
- key
- authentication
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
一种鉴权系统及其鉴权信息的加密、验证方法与装置,所述鉴权系统包括:客户端和服务器端;客户端包括鉴权信息的加密装置,用于获取鉴权信息,将其中的用户信息与验证密码相结合形成第一混合字符串、第二混合字符串,并以散列算法将第一混合字符串、第二混合字符串生成第一密钥、第二密钥,以第一密钥对用户信息进行加密形成第一密文,以第二密钥对验证密码进行加密形成第二密文;所述服务器端包括鉴权信息的加密装置,用于将收到的第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果。本发明能提高加密鉴权信息的破解难度,并且不会增加实施的难度,对于鉴权系统的通信双方的计算性能也没有太高要求。
Description
技术领域
本发明涉及鉴权与加密解密技术领域,特别涉及一种鉴权系统及其鉴权信息的加密、验证方法与装置。
背景技术
现行加密技术主要有3种,第一种是对称加密技术,其实施简单,破解难度较低。第二种是非对称加密技术,破解难度较大,但是实施起来较困难。第三种属于散列算法,如MD5和Base64等算法,实施简单,但是当前对这种算法已经有了一些破解方式。
现有技术一:对称加密算法/非对称加密
不管是对称加密或者非对称加密,都围绕着密钥(Key)的生成做文章,但是很少有人考虑到如果Key遗失或者被窃取怎么办,如下分析:
一种方式,如图1所示,客户端加密明文,加密使用的Key放在本地,黑客可以采用读取文件、数据库、反编译等方式获取客户端存放的Key,这样一来,密文反推成明文就非常简单了。
另一种方式,如图2所示,服务器端加密明文,加密使用的Key放在服务器,黑客不能从客户端拿到key了,但是这种方式有两种缺点:黑客可以在拦截网络上传递的明文,使加密形同虚设,另一个缺点,黑客可以攻破服务器,然后采用读取文件、读数据库、反编译等方式获取服务器端存放的Key,这样一来,密文反推成明文也非常简单了。
所以,现有的对称/非对称加密算法,Key的存放是一个非常难以解决的问题。
现有技术二:散列算法
在信息安全领域中应用的散列算法,基于一个理念:只加密不解密。所以需要满足的关键特性:
第一是单向性(one-way),密码学上的Hash又被称为“消息摘要(messagedigest)”,就是要求能方便的将“消息”进行“摘要”,但在“摘要”中无法得到比“摘要”本身更多的关于“消息”的信息。
第二是抗冲突性(collision-resistant),即在统计上无法产生2个散列值相同的映射。第三是映射分布均匀性和差分分布均匀性,散列结果中,为0的bit和为1的bit,其总数应该大致相等;输入中一个bit的变化,散列结果中将有一半以上的bit改变,这又叫做“雪崩效应(avalanche effect)”。
常见散列函数(Hash函数)有:
·MD5:是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值。
·SHA:这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值。
·MAC:消息认证代码,是一种使用密钥的单向函数,可以用它们在系统上或用户之间认证文件或消息,常见的是HMAC(用于消息认证的密钥散列算法)。
·CRC:循环冗余校验码,CRC校验由于实现简单,检错能力强,被广泛使用在各种数据校验应用中。占用系统资源少,用软硬件均能实现,是进行数据传输差错检测地一种很好的手段(CRC并不是严格意义上的散列算法,但它的作用与散列算法大致相同,所以归于此类)。
MD5一度被广泛应用于安全领域。但是由于MD5的弱点被不断发现以及计算机能力不断的提升,现在已经可以构造两个具有相同MD5的信息,使本算法不再适合当前的安全环境。目前,MD5计算广泛应用于错误检查。例如在一些BitTorrent下载中,软件通过计算MD5和检验下载到的碎片的完整性。
SHA-1在许多安全协议中广为使用,包括TLS和SSL、PGP、SSH、S/MIME和IPsec,曾被视为是MD5(更早之前被广为使用的散列函数)的后继者。但SHA-1的安全性如今被密码学家严重质疑。微软是第一个宣布了SHA-1弃用计划,在2016年之后Windows和IE将不再信任SHA-1证书。Mozilla也做了同样的决定。
目前SHA-2被认为是绝对安全,尚未发现可能的碰撞攻击。但性能较差,对系统的要求较高。
一般来说,普通的加密算法(不管是上述哪种方式)对于用户鉴权系统中鉴权信息加密与鉴权(例如网络登录)没有很好的解决方式,若采用破解难度高的算法,则对通信双方的计算机系统有较高要求,而且对网络环境的要求也高,这就形成了性能与加密强度之间的一个矛盾。
发明内容
本发明要解决的问题是现有技术难以同时兼顾鉴权系统中对于鉴权信息加密的密钥容易被泄露而破解、为增强安全性所采取措施而导致实施难度高以及对通信双方的计算性能要求高的问题。
为解决上述问题,本发明技术方案提供一种鉴权信息的加密方法,包括:获取鉴权信息,所述鉴权信息包括用户信息及其相应的验证密码;将所述用户信息与所述验证密码相结合形成第一混合字符串,并以第一散列算法将所述第一混合字符串生成第一密钥;将所述验证密码与所述用户信息相结合形成第二混合字符串,并以第二散列算法将所述第二混合字符串生成第二密钥;以所述第一密钥对所述用户信息进行加密形成第一密文,以所述第二密钥对所述验证密码进行加密形成第二密文。
可选的,所述第一散列算法不同于所述第二散列算法。
可选的,所述第一混合字符串不同于所述第二混合字符串。
可选的,所述第一散列算法和第二散列算法为hashCode方法、SDBMHash、RSHash、JSHash、ELFHash、BKDRHash和DJBHash方法中的其中一种。
可选的,所述第一混合字符串和第二混合字符串通过字符串拼接或字符混编的方式形成。
为解决上述问题,本发明技术方案还提供一种鉴权信息的验证方法,包括:接收由上述的鉴权信息的加密方法所形成的第一密文和第二密文;将接收到的所述第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果。
为解决上述问题,本发明技术方案还提供一种鉴权信息的加密装置,包括:第一获取单元,适于获取鉴权信息,所述鉴权信息包括用户信息及其相应的验证密码;密钥生成单元,适于将所述用户信息与所述验证密码相结合形成第一混合字符串,并以第一散列算法将所述第一混合字符串生成第一密钥;所述密钥生成单元还适于将所述验证密码与所述用户信息相结合形成第二混合字符串,并以第二散列算法将所述第二混合字符串生成第二密钥;加密单元,适于以所述第一密钥对所述用户信息进行加密形成第一密文,以及以所述第二密钥对所述验证密码进行加密形成第二密文。
为解决上述问题,本发明技术方案还提供一种鉴权信息的验证装置,包括:第二获取单元,适于获取由上述的鉴权信息的加密方法所形成的第一密文和第二密文;配对单元,适于将获取的所述第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果。
为解决上述问题,本发明技术方案还提供一种鉴权系统,包括:客户端和服务器端;所述客户端包括第一通信装置和上述的鉴权信息的加密装置,所述鉴权信息的加密装置在用户登录时将用户输入的鉴权信息进行加密后形成第一密文和第二密文,由所述第一通信装置将所述第一密文和第二密文发送至所述服务器端;所述服务器端包括第二通信装置、数据库以及上述的鉴权信息的验证装置,所述数据库适于存储各个用户注册时上传的密文对,所述密文对由所述鉴权信息的加密装置形成的第一预存密文和第二预存密文构成,所述第二通信装置接收到的所述第一预存密文和第二预存密文存入所述数据库,所述第二通信装置接收到的所述第一密文和第二密文由所述鉴权信息的验证装置进行鉴权处理,所述鉴权处理后返回的验证结果由所述第二通信装置反馈至所述客户端。
可选的,所述客户端以明文的形式显示所述用户信息,以暗文的形式显示所述验证密码。
与现有技术相比,本发明的技术方案至少具有以下优点:
通过在客户端将针对用户的鉴权信息中所包含的用户信息与验证密码相结合分别形成第一混合字符串、第二混合字符串,并以散列算法将第一混合字符串、第二混合字符串生成第一密钥、第二密钥,以第一密钥对用户信息进行加密形成第一密文,以第二密钥对验证密码进行加密形成第二密文;在服务器端将收到的第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果,由于通过上述方式生成的密钥,无论是在客户端还是在服务器端都不需要进行保存,所以难以被获取并进而被破解,因此能够提高加密鉴权信息的破解难度,从而提高了鉴权系统的安全性,并且不会增加实施的难度,对于鉴权系统的通信双方的计算性能也没有太高要求,从而降低了成本。
附图说明
图1是现有技术中通过客户端加密明文的示意图;
图2是现有技术中通过服务器端加密明文的示意图;
图3是本发明实施例提供的鉴权系统的结构示意图;
图4是本发明实施例的鉴权系统中针对鉴权信息的加密与鉴权的示意图。
具体实施方式
现有技术中普通的加密算法对于用户鉴权系统中鉴权信息的加密与鉴权,(例如网络登录)没有很好的解决方式,主要是由于存在以下问题难以被解决:首先是Key容易被泄露的问题,无论是存放与客户端还是服务器端,都有可能被获取到,且一旦被获取就存在被破解的可能,从而使系统安全性较差;其次是实施难度高的问题,因为一旦涉及采用非对称加密、证书等方式提高安全性,势必会增加实施难度;最后是对通信双方的计算性能要求高的问题,即便抛开实施难度不提,现有技术中为了提高安全性所采用的措施都无法避免地对客户端或服务器端的计算性能提出了更高的要求,这就使系统成本增加,不利于实际应用。
此外,还有一些所谓“加壳”的方式对key进行加密,但实际上这是循环递归的。即,如果要对key进行加密,那么意味着必须要存放加密算法的另一套key(记为Key’),如果Key’被泄露,那么key也会被破解,那么真正的密文也会被破解,因此同样无法解决上述问题。
对此,本申请的发明人认为,本领域技术人员所采用的一般的数据加密方式有两个显著特点:1)要对明文加密,还要对密文解密;2)加密的数据都是一段明文。为此,本发明技术方案提供的加密方式针对上述两种情况做了不同的迂回:1)本发明技术方案采取的方式能够做到“只加密,不解密”,因为解密是不必要的;2)本发明技术方案涉及的加密数据一定是有两段数据,其中一段是明文(用户名之类)的,另一段是用户心里记得的密码。
因此,本发明技术方案的技术关键点之一在于key的生成方式。一般的key要么是存在文件或数据库里,要么硬编码到代码里,只要能获取出来,就能被破解;而本发明技术方案中生成的key无论是在客户端还是在服务器端都不需要进行保存,即便也将其存放在同样的位置(客户端本地),但即使被取出来也较难被反推出密码。
为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施例作详细的说明。
如图3所示,本发明实施例提供的鉴权系统包括:客户端1和服务器端2;
所述客户端1包括第一通信装置20和鉴权信息的加密装置10,所述鉴权信息的加密装置10则可以包括:第一获取单元101,适于获取鉴权信息,所述鉴权信息包括用户信息(例如用户名,通常可以是字母、数字、符号或字母、数字、符号相组合的形式)及其相应的验证密码(具体可以是指与用户名相对应的密码);密钥生成单元102,适于将所述用户信息与所述验证密码相结合形成第一混合字符串,并以第一散列算法将所述第一混合字符串生成第一密钥;所述密钥生成单元102还适于将所述验证密码与所述用户信息相结合形成第二混合字符串,并以第二散列算法将所述第二混合字符串生成第二密钥;加密单元103,适于以所述第一密钥对所述用户信息进行加密形成第一密文,以及以所述第二密钥对所述验证密码进行加密形成第二密文;在具体实施时,所述客户端1通过所述鉴权信息的加密装置10,可以在用户登录时将用户输入的鉴权信息进行加密后形成第一密文和第二密文,由所述第一通信装置20将所述第一密文和第二密文发送至所述服务器端2;
所述服务器端2包括第二通信装置40、数据库50以及鉴权信息的验证装置30,所述鉴权信息的验证装置30可以包括:第二获取单元301,适于获取由上述鉴权信息的加密装置10所形成的且由所述第一通信装置所传送的第一密文和第二密文;配对单元302,适于将获取的所述第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果;所述数据库50适于存储各个用户注册时上传的密文对,所述密文对由所述鉴权信息的加密装置10于用户注册时所形成的第一预存密文和第二预存密文构成,所述第二通信装置40接收到的所述第一预存密文和第二预存密文会被存入所述数据库50,所述第二通信装置40接收到的所述第一密文和第二密文由所述鉴权信息的验证装置30进行鉴权处理,所述鉴权处理后返回的验证结果由所述第二通信装置40再反馈至所述客户端1。
需要说明的是,在本实施例中,出于系统安全性的考虑,所述密钥生成单元102在用户注册时生成第一密钥和第二密钥,使所述加密单元103并根据第一密钥对用户注册时提供的用户名加密形成第一预存密文以及根据第二密钥对用户注册时设定的验证密码加密形成第二预存密文之后,便会将生成第一密钥和第二密钥删除,如此能有效避免被非法从客户端获取到Key,所述鉴权信息也就不能被破解。
当然,在其他实施例中,所述密钥生成单元102也可以在用户注册时生成第一密钥和第二密钥后,将生成的第一密钥和第二密钥保存于客户端1,而在用户以后登录时,加密单元103可以根据保存于客户端1的第一密钥和第二密钥,分别生成相应的第一密文和第二密文,如此所述第一密钥和第二密钥并不需要在每次获取到用户名及其相应的密码时都生成一次,而仅需要在用户注册时生成一次即可,一定程度上减少了后续登陆时客户端所产生的计算量,从而提高系统性能;然而,这种方式会给系统安全性带来一定风险,不过相对于现有技术,即便是将第一密钥和第二密钥保存于客户端,且被非法获取,由于第一密钥和第二密钥是用散列算法处理过的短数字,这个数字重复的几率是比较大的,也较难被反推出对应的用户名和密码,所以也很难被破解。
本实施例中,所述客户端以明文的形式显示所述用户信息,以暗文的形式显示所述验证密码。
在实际实施时,所述鉴权信息的加密装置10可以是以客户端应用程序的形式予以实施,类似地,所述鉴权信息的验证装置30也可以是以服务器端应用程序的形式予以实施。当然,所述鉴权信息的加密装置10和鉴权信息的验证装置30不局限于纯软件的实施方式,也可以是软硬件相结合的实施方式。
下面结合图4对本发明实施例的鉴权系统中针对鉴权信息的加密与鉴权过程进行说明。
需要指出的是,本发明实施例的关键点之一在于生成Key的方式与现有技术存在明显区别。对于一个登陆系统,用户名和密码一般是必须具备的两个要素。排除用户自己泄露密码或者黑客采用物理手段获取到密码,密码只有用户知道,而且应用系统本身也不应该保存密码,而用户名可以在一定范围内公开。
本实施例中,通过把用户名与密码相结合(比如字符串拼接、字符混编等)的方式,利用简单的hash码生成算法,比如Java里的hashCode方法,复杂一点的可以采用SDBMHash,RSHash,JSHash,ELFHash,BKDRHash,DJBHash等等,总而言之把这段混合字符串生成一个短整数。这个短整数就是对称加密算法里的Key(记为Key1)。然后用这个Key1对用户名进行加密。
本实施例中以Java里的hashCode方法为例,此时所述第一散列算法即为图4所示的hashCode1,将所述第一混合字符串生成第一密钥即为Key1。
再次,使用密码与用户名相结合(比如字符串拼接、字符混编等)的方式,使用上述类似的hash算法(可以不一样,也可以相同)生成另一个Key(记为Key2),在本实施例中,注意此处密码与用户名相结合的方式与上述的用户名与密码相结合的方式必须不一样,这样保证Key1和Key2很大的概率很不相同。然后用Key2对密码进行加密。
本实施例中以所述第二散列算法与所述第一散列算法相同为例进行说明,即此时所述第二散列算法为图4所示的hashCode2,将所述第二混合字符串生成第二密钥即为Key2。
客户端应用程序会把生成的Key1和Key2暂时放在客户端本地,在通过Key1加密用户名,通过Key2加密密码,各自形成相应的密文后,便将Key1和Key2删除,即客户端本地并不会对Key1和Key2予以永久保存。
最后,客户端应用程序把用户注册时所形成的加密的用户名和密码(即:第一预存密文和第二预存密文)发到服务器端的数据库进行保存。
每次用户登录客户端时,必须先用上述流程生成密钥并形成密文(第一密文和第二密文),当鉴权的时候,客户端程序把新生成的密文发到服务器端,服务器端程序通过数据库查找并匹配出完全相同的密码,进行查找之后再把查找结果返回给客户端。
需要说明的是,图4中示出了两个加密模块,而在实际实施时,这两个加密模块完全可以是指同一个加密模块,或者是将两个不同的加密模块集成在一起,形成图3所示的加密单元103。
下面分析一下上述鉴权系统的安全性。
在上述针对鉴权信息的加密与鉴权过程中,假设以下情况:
1.黑客获取了网络上的密文,由于不知道密文的Key,故无法破解。
2.黑客反汇编代码,由于代码里根本没有硬编码Key1和Key2,所以无法获取Key,故无法破解。
3.黑客获取客户端文件或数据库(DB)里存放的Key1和Key2(本实施例中Key1和Key2并不会存放在客户端,此处假设存放在客户端的情况),但此时的Key1和Key2是用Hash算法(散列算法)处理过的短数字,这个数字重复的几率是比较大的,几乎不能反推出对应的用户名和密码,故很难破解。
4.黑客攻破了服务器端,然后采用拖库撞库的方式对存放密码的数据库暴力破解。由于采用的不是大部分系统的MD5或SHA1方式,而每个用户的Key都完全不一样,更重要的是服务器端也没有保存任何Key,所以很难破解。
综上分析,本实施例提供的鉴权系统,采用对称加密技术结合明文变换的方式,能够提高加密鉴权信息的破解难度,从而提高了鉴权系统的安全性,并且不会增加实施的难度,对于鉴权系统的通信双方的计算性能也没有太高要求,从而降低了成本。
基于上述鉴权系统及其鉴权信息的加密装置,本发明实施例还提供一种鉴权信息的加密方法,包括:获取鉴权信息,所述鉴权信息包括用户信息及其相应的验证密码;将所述用户信息与所述验证密码相结合形成第一混合字符串,并以第一散列算法将所述第一混合字符串生成第一密钥;将所述验证密码与所述用户信息相结合形成第二混合字符串,并以第二散列算法将所述第二混合字符串生成第二密钥;以所述第一密钥对所述用户信息进行加密形成第一密文,以所述第二密钥对所述验证密码进行加密形成第二密文。
具体实施时,所述第一散列算法和第二散列算法可以为hashCode方法、SDBMHash、RSHash、JSHash、ELFHash、BKDRHash和DJBHash方法中的其中一种。当然,在其他实施例中,所述第一散列算法和第二散列算法也可以选用其他类型的散列算法。
需要指出的是,所述第一散列算法可以与所述第二散列算法相同,也可以与所述第二散列算法不相同。例如:第一散列算法和第二散列算法可以同时选取Java里的hashCode方法、SDBMHash、RSHash、JSHash、ELFHash、BKDRHash和DJBHash方法中的同一种;也可以使第一散列算法采用上述散列算法中的其中一种,而使第二散列算法采用上述散列算法中的另一种。
在实际实施时,为了应当尽量使所述第一混合字符串不同于所述第二混合字符串,这就要求密码与用户名相结合的方式与用户名与密码相结合的方式必须不一样,这样能保证生成Key1和Key2很大的概率很不相同,从而增强鉴权系统的安全性。当然,所述第一混合字符串和第二混合字符串均可以通过字符串拼接、字符混编等方式形成。
此外,基于上述鉴权系统及其鉴权信息的验证装置,本发明实施例还提供一种鉴权信息的验证方法,包括:接收由上述的鉴权信息的加密方法所形成的第一密文和第二密文;将接收到的所述第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果。
所述鉴权信息的加密方法和鉴权信息的验证方法的具体实施也可以参考上述鉴权系统及其鉴权信息的加密装置与验证装置的实施相关内容,此处不再赘述。
本领域技术人员可以理解,实现上述鉴权系统及其鉴权信息的加密装置与验证装置的全部或部分是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读存储介质中,所述存储介质可以是ROM、RAM、磁碟、光盘等。
本发明虽然已以较佳实施例公开如上,但其并不是用来限定本发明,任何本领域技术人员在不脱离本发明的精神和范围内,都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改,因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰,均属于本发明技术方案的保护范围。
Claims (10)
1.一种鉴权信息的加密方法,其特征在于,包括:
获取鉴权信息,所述鉴权信息包括用户信息及其相应的验证密码;
将所述用户信息与所述验证密码相结合形成第一混合字符串,并以第一散列算法将所述第一混合字符串生成第一密钥;
将所述验证密码与所述用户信息相结合形成第二混合字符串,并以第二散列算法将所述第二混合字符串生成第二密钥;
其中,所述用户信息与所述验证密码相结合形成的方式与所述验证密码与所述用户信息相结合的方式不一样,以所述第一密钥对所述用户信息进行加密形成第一密文,以所述第二密钥对所述验证密码进行加密形成第二密文。
2.根据权利要求1所述的鉴权信息的加密方法,其特征在于,所述第一散列算法不同于所述第二散列算法。
3.根据权利要求1所述的鉴权信息的加密方法,其特征在于,所述第一混合字符串不同于所述第二混合字符串。
4.根据权利要求1所述的鉴权信息的加密方法,其特征在于,所述第一散列算法和第二散列算法为hashCode方法、SDBMHash、RSHash、JSHash、ELFHash、BKDRHash和DJBHash方法中的其中一种。
5.根据权利要求1所述的鉴权信息的加密方法,其特征在于,所述第一混合字符串和第二混合字符串通过字符串拼接或字符混编的方式形成。
6.一种鉴权信息的验证方法,其特征在于,包括:
接收由权利要求1至5任一项所述的鉴权信息的加密方法所形成的第一密文和第二密文;
将接收到的所述第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果。
7.一种鉴权信息的加密装置,其特征在于,包括:
第一获取单元,适于获取鉴权信息,所述鉴权信息包括用户信息及其相应的验证密码;
密钥生成单元,适于将所述用户信息与所述验证密码相结合形成第一混合字符串,并以第一散列算法将所述第一混合字符串生成第一密钥;所述密钥生成单元还适于将所述验证密码与所述用户信息相结合形成第二混合字符串,并以第二散列算法将所述第二混合字符串生成第二密钥;
其中,所述用户信息与所述验证密码相结合的方式与所述验证密码与所述用户信息相结合的方式不一样;
加密单元,适于以所述第一密钥对所述用户信息进行加密形成第一密文,以及以所述第二密钥对所述验证密码进行加密形成第二密文。
8.一种鉴权信息的验证装置,其特征在于,包括:
第二获取单元,适于获取由权利要求1至5任一项所述的鉴权信息的加密方法所形成的第一密文和第二密文;
配对单元,适于将获取的所述第一密文、第二密文与预先存储的密文对进行配对,并根据配对成功与否的情况返回相应的验证结果。
9.一种鉴权系统,其特征在于,包括:客户端和服务器端;所述客户端包括第一通信装置和权利要求7所述的鉴权信息的加密装置,所述鉴权信息的加密装置在用户登录时将用户输入的鉴权信息进行加密后形成第一密文和第二密文,由所述第一通信装置将所述第一密文和第二密文发送至所述服务器端;所述服务器端包括第二通信装置、数据库以及权利要求8所述的鉴权信息的验证装置,所述数据库适于存储各个用户注册时上传的密文对,所述密文对由所述鉴权信息的加密装置形成的第一预存密文和第二预存密文构成,所述第二通信装置接收到的所述第一预存密文和第二预存密文存入所述数据库,所述第二通信装置接收到的所述第一密文和第二密文由所述鉴权信息的验证装置进行鉴权处理,所述鉴权处理后返回的验证结果由所述第二通信装置反馈至所述客户端。
10.根据权利要求9所述的鉴权系统,其特征在于,所述客户端以明文的形式显示所述用户信息,以暗文的形式显示所述验证密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610241157.2A CN107306181B (zh) | 2016-04-18 | 2016-04-18 | 鉴权系统及其鉴权信息的加密、验证方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610241157.2A CN107306181B (zh) | 2016-04-18 | 2016-04-18 | 鉴权系统及其鉴权信息的加密、验证方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107306181A CN107306181A (zh) | 2017-10-31 |
| CN107306181B true CN107306181B (zh) | 2020-03-17 |
Family
ID=60151219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610241157.2A Active CN107306181B (zh) | 2016-04-18 | 2016-04-18 | 鉴权系统及其鉴权信息的加密、验证方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107306181B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150903A (zh) * | 2018-09-25 | 2019-01-04 | 平安科技(深圳)有限公司 | 一种账号管理方法、装置、存储介质和终端设备 |
| CN110351077B (zh) * | 2019-05-30 | 2023-05-02 | 平安科技(深圳)有限公司 | 数据加密的方法、装置、计算机设备和存储介质 |
| CN113127830B (zh) * | 2019-12-31 | 2023-07-28 | 深圳云天励飞技术有限公司 | 数据删除方法、装置、系统、电子设备及存储介质 |
| CN113381853B (zh) * | 2020-03-10 | 2024-04-16 | 北京京东振世信息技术有限公司 | 生成随机密码以及客户端鉴权的方法和装置 |
| CN111368323B (zh) * | 2020-03-24 | 2020-12-01 | 上海竞动科技有限公司 | 基于大数据的医疗保险金融用户信息加密方法及系统 |
| CN113536278B (zh) * | 2020-04-20 | 2023-10-13 | 深圳市江波龙电子股份有限公司 | 存储装置的鉴权方法及存储装置、鉴权端 |
| CN111563251B (zh) * | 2020-07-15 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 一种终端设备中私密信息的加密方法和相关装置 |
| CN113761561B (zh) * | 2021-09-18 | 2024-01-30 | 中国银行股份有限公司 | 一种基于褶积优化的sha1加密方法及装置 |
| CN115766115A (zh) * | 2022-10-28 | 2023-03-07 | 支付宝(杭州)信息技术有限公司 | 一种身份验证方法、装置、存储介质及电子设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU5634100A (en) * | 1999-06-23 | 2001-01-09 | Brodia Group, The | Software smart card |
| CN102123140B (zh) * | 2011-01-14 | 2014-01-08 | 普联技术有限公司 | 一种网络设备的控制方法、系统及网络设备 |
| CN102904720B (zh) * | 2011-07-29 | 2015-06-24 | 邵军利 | 移动支付密码处理方法及系统 |
| DE102012222995B3 (de) * | 2012-12-12 | 2013-10-02 | Deutsche Post Ag | Verfahren für die sichere Übertragung einer digitalen Nachricht |
-
2016
- 2016-04-18 CN CN201610241157.2A patent/CN107306181B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107306181A (zh) | 2017-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107306181B (zh) | 鉴权系统及其鉴权信息的加密、验证方法与装置 | |
| US9225526B2 (en) | Multifactor username based authentication | |
| KR101095239B1 (ko) | 보안 통신 | |
| Uymatiao et al. | Time-based OTP authentication via secure tunnel (TOAST): A mobile TOTP scheme using TLS seed exchange and encrypted offline keystore | |
| US8156333B2 (en) | Username based authentication security | |
| US6959394B1 (en) | Splitting knowledge of a password | |
| CA2694500C (en) | Method and system for secure communication | |
| AU2003203712B2 (en) | Methods for remotely changing a communications password | |
| Harba | Secure data encryption through a combination of AES, RSA and HMAC | |
| US10057060B2 (en) | Password-based generation and management of secret cryptographic keys | |
| CN106789032B (zh) | 服务器与移动设备间秘密共享的单一口令三方认证方法 | |
| US11153074B1 (en) | Trust framework against systematic cryptographic | |
| Nayak et al. | An improved mutual authentication framework for cloud computing | |
| US11438316B2 (en) | Sharing encrypted items with participants verification | |
| WO2016054905A1 (zh) | 一种数据处理方法 | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| Ahmed et al. | Dynamic reciprocal authentication protocol for mobile cloud computing | |
| Yevseiev et al. | The development of the method of multifactor authentication based on hybrid cryptocode constructions on defective codes | |
| Dowling et al. | There can be no compromise: The necessity of ratcheted authentication in secure messaging | |
| CN104394532A (zh) | 移动端防暴力破解的安全登录方法 | |
| CN109412799B (zh) | 一种生成本地密钥的系统及其方法 | |
| Wang et al. | Cryptanalysis of Two Efficient Password-based Authentication Schemes Using Smart Cards. | |
| Kobeissi | An analysis of the protonmail cryptographic architecture | |
| CN114389903A (zh) | 一种数字身份信息加密和认证方法 | |
| Thakur et al. | A Comprehensive Review of Wireless Security Protocols and Encryption Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210525 Address after: Room 607-608, block a, building 19, Changsheng South Road, Jiaxing Economic and Technological Development Zone, Zhejiang 314000 Patentee after: Jiaxing Wanfeng Information Technology Co.,Ltd. Address before: Room 643, building 1, No.1 luting Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Patentee before: HANGZHOU YUNFENG TECHNOLOGY Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Authentication system and encryption and verification method and device of authentication information Effective date of registration: 20221009 Granted publication date: 20200317 Pledgee: Bank of Jiaxing science and technology branch of Limited by Share Ltd. Pledgor: Jiaxing Wanfeng Information Technology Co.,Ltd. Registration number: Y2022980017739 |