CN112311758A - 一种基于psi的登录凭证泄露查询方法、装置及系统 - Google Patents

一种基于psi的登录凭证泄露查询方法、装置及系统 Download PDF

Info

Publication number
CN112311758A
CN112311758A CN202010926925.4A CN202010926925A CN112311758A CN 112311758 A CN112311758 A CN 112311758A CN 202010926925 A CN202010926925 A CN 202010926925A CN 112311758 A CN112311758 A CN 112311758A
Authority
CN
China
Prior art keywords
login
credentials
credential
name
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010926925.4A
Other languages
English (en)
Inventor
李登峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Rongan digital technology (Beijing) Co.,Ltd.
Original Assignee
Shenzhou Rongan Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhou Rongan Technology Beijing Co ltd filed Critical Shenzhou Rongan Technology Beijing Co ltd
Priority to CN202010926925.4A priority Critical patent/CN112311758A/zh
Publication of CN112311758A publication Critical patent/CN112311758A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明实施例提供了一种基于隐私集合交集PSI的登录凭证泄露查询方法、装置及系统,涉及隐私保护技术领域,用于在登录凭证泄露查询过程中避免服务端和客户端之间相互暴露自身所持有的登录凭证。该方法包括:接收服务端发送的第一集合;基于第二密钥对第一集合进行加密获取第三集合;基于第二密钥对第四集合进行加密获取第五集合;第四集合为第六集合中的登录凭证的登录名组成的集合,第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;向服务端发送第五集合;接收服务端发送的第七集合;获取第三集合和第七集合均包含的登录名组成的第八集合;基于第八集合,确定第六集合中的登录凭证的泄漏情况。本发明实施例用于登录凭证泄露的查询。

Description

一种基于PSI的登录凭证泄露查询方法、装置及系统
技术领域
本发明涉及隐私保护技术领域,尤其涉及一种基于隐私集合交集(Private SetIntersection PSI)的登录凭证泄露查询方法、装置及系统。
背景技术
随着通信技术、网络技术等的快速发展以及移动计算机、云计算、分布式计算等广泛应用,虚拟网络和人们的日常生活更加紧密,互联网大数据的各种应用渗透到人们的社交、购物出行等方方面面。这些应用让人们享受到更加便捷的服务,但同时大量有价值的客户信息、个人隐私记录、企业运营数据不断被挖掘,人们的隐私受到越来越强烈的威胁,因此大数据时代的隐私保护成为了普遍关注的焦点。
为了对用户身份进行验证,网络中对外提供服务的业务系统保存有全部用户的登录凭证,以便在用户通过登录凭证登录业务系统时对用户身份进行验证。然而,业务系统中保存的登录凭证可能会因为黑客攻击而泄露,严重威胁业务系统的安全和用户账户的安全。为了能够使用户及时发现登录凭证已泄露,现有技术中提供了登录凭证的泄露查询服务。一种查询方式为:服务端收集全部已泄露的登录凭证,当用户需要查询某一登录凭证是否已泄露时,将该登录凭证发送至服务端,服务端将该登录凭证与全部已泄露的登录凭证进行匹配,并根据匹配结果向用户反馈该登录凭证是否已泄露。现有技术中这种登录凭证泄露查询方式中,用户需要将需要查询的登录凭证发送至服务端,而将登录凭证发送至服务端本身就会泄露用户的隐私,而若服务端将收集的登录凭证发送给客户端进行登录凭证泄露查询,则会造成更严重的安全隐患。因此如何在登录凭证泄露查询过程中避免服务端和客户端之间相互暴露自身所持有的登录凭证是一个亟待解决的问题。
发明内容
有鉴于此,本发明提供了一种基于PSI的登录凭证泄露查询方法、装置及系统,用于在登录凭证泄露查询过程中避免服务端和客户端之间相互暴露自身所持有的登录凭证。
为了实现上述目的,本发明实施例提供技术方案如下:
第一方面,本发明实施例提供一种基于PSI的登录凭证泄露查询方法,应用于客户端,所述方法包括:
接收服务端发送的第一集合,所述第一集合为基于所述客户端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端获取的全部已泄露的登录凭证成的集合;
基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合;
基于所述第二密钥对第四集合中的各登录名进行加密,获取第五集合;所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
向所述服务端发送所述第五集合;
接收所述服务端发送的第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
获取第八集合,所述第八集合为所述第三集合和所述第七集合均包含的两次加密和登录名组成的集合;
基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况。
第二方面,本发明实施例提供一种基于PSI的登录凭证泄露查询方法,应用于服务端,所述方法包括:
获取第一集合;所述第一集合为基于所述客户端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端获取的全部已泄露的登录凭证成的集合;
向客户端发送所述第一集合;
接收所述客户端第五集合,所述基于所述第二密钥对第四集合中的各登录名进行加密得到的集合,所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
获取第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
向所述客户端发送第七集合。
第三方面,本发明实施例提供一种客户端设备,包括:
接收单元,用于接收服务端设备发送的第一集合,所述第一集合为基于所述客户端设备对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端设备获取的全部已泄露的登录凭证成的集合;
第一获取单元,用于基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合;
第二获取单元,用于基于所述第二密钥对第四集合中的各登录名进行加密,获取第五集合;所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
发送单元,用于向所述服务端设备发送所述第五集合;
所述接收单元,还用于接收所述服务端设备发送的第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
第三获取单元,用于获取第八集合,所述第八集合为所述第三集合和所述第七集合均包含的两次加密后登录名组成的集合;
处理单元,用于基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况。
第四方面,本发明实施例提供一种服务端设备,包括:
第一获取单元,用于获取第一集合;所述第一集合为基于所述客户端设备对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端设备获取的全部已泄露的登录凭证成的集合;
发送单元,用于向客户端设备发送所述第一集合;
接收单元,用于接收所述客户端设备第五集合,所述基于所述第二密钥对第四集合中的各登录名进行加密得到的集合,所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
第二获取单元,用于获取第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
所述发送单元,还用于向所述客户端发送第七集合。
第五方面、本发明实施例提供一种基于PSI的登录凭证泄露查询系统,包括:第三方面所述的客户端设备以及第四方面所述的服务端设备。
第六方面、本发明实施例提供一种电子设备,包括:存储器和处理器,所述存储器用于存储计算机程序;所述处理器用于在调用计算机程序时执行上述第一方面或第二方面所述的基于PSI的登录凭证泄露查询方法。
第七方面,本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器实现上述第一方面或第二方面所述的基于PSI的登录凭证泄露查询方法。
本发明实施例提供的基于PSI的登录凭证泄露查询方法在进行登录凭证泄露查询时,第一方面,接收服务端发送的基于客户端对应的第一密钥对服务端获取的全部已泄露的登录凭证的登录名进行加密得到的集合,并基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密获取第三集合。第二方面,基于所述第二密钥对需要进行登录凭证泄露查询的登录凭证的登录名进行加密获取第五集合,然后向所述服务端发送所述第五集合,再接收所述服务端发送的基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的第七集合。最后获取第一方面获取的第三集合和第二方面获取的第七集合中均包含的加密后登录名组成的第八集合,并基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况。由于服务端通过第一密钥对已泄露的登录凭证的登录名进行加密后,才会将加密后的登录凭证发送的至客户端,因此客户端无法获取已泄露的登录凭证;又因为客户端通过第二密钥对需要进行登录凭证泄露查询的登录凭证中的登录名进行加密后,才会将加密后的需要进行登录凭证泄露查询的登录凭证中的登录名发送的至服务端,因此服务端也无法获取需要进行登录凭证泄露查询的登录凭证。由于本发明实施例提供的登录凭证泄露查询方法在进行登录凭证泄露查询过程中,服务端无需向客户端暴露收集的已泄露的登录凭证,客户端也无需向服务端暴露需要进行登录凭证泄露查询的登录凭证,因此本发明实施例可以在登录凭证泄露查询过程中避免服务端和客户端之间相互暴露自身所持有的登录凭证。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。
图1为本发明实施例提供的基于PSI的登录凭证泄露查询方法的交互流程图之一;
图2为本发明实施例提供的基于PSI的登录凭证泄露查询方法的交互流程图之二;
图3为本发明实施例提供的基于PSI的登录凭证泄露查询方法的交互流程图之三;
图4为本发明实施例提供的基于PSI的登录凭证泄露查询方法的交互流程图之四;
图5为本发明实施例提供的客户端的示意性结构图之一;
图6为本发明实施例提供的客户端的示意性结构图之二;
图7为本发明实施例提供的服务端的示意性结构图;
图8为本发明实施例提供的电子设备硬件结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述对象的特定顺序。例如,第一集合和第二集合等是用于区别不同的集合,而不是用于描述集合的特定顺序。在下述实施例中可能存在先出现“第n集合”后出现“第m集合”,m<n,或者仅出现“第x集合”并未出现“第y集合”,y<x的情况,但由于“第一”和“第二”等是用于区别不同的对象,因此上述情况并不影响本申请实施例提供清楚性。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外,在本发明实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
隐私集合交集(Private Set Intersection,PSI)是安全多方计算领域的一个重要方面。PSI协议允许持有各自集合的两方来共同计算两个集合的交集,一方或是双方可以得到正确的交集,而且不会得到交集以外另一方集合中的任何信息。具体到本发明实施例中,服务端通过第一密钥对已泄露的登录凭证的登录名进行加密后,才会将加密后的登录凭证发送至客户端,客户端通过第二密钥对需要进行登录凭证泄露查询的登录凭证中的登录名进行加密后,才会将加密后的需要进行登录凭证泄露查询的登录凭证中的登录名发送的至服务端,客户端可以获取已泄露的登录凭证与需要进行登录凭证泄露查询的登录凭证的交集,但服务端和客户端均不会得到交集以外另一方集合中的任何信息。
本发明方案中所使用的加密算法要求具备交换性。以下以基于Diffie-Hellman的PSI协议为例说明本发明方案中所述加密算法的性质。设所使用的加密算法定义在群G上,群的阶为n,选取a∈{1,2,3,4,…,n-1}和b∈{1,2,3,4,…,n-1}作为两个密钥,对群元素G0的加密具有交换性。所述交换性指使用两个不同的密钥按照不同的加密顺序对同一个明文加密两次得到的两个二次加密密文相等;例如先使用密钥a加密明文G0得到密文aG0,再使用密钥b加密aG0得到一个二次加密的密文baG0;对同一个明文G0先使用密钥b加密G0得到密文bG0,再使用密钥a加密密文bG0得到另一个二次加密密文abG0,则两个二次加密的密文baG0和abG0相等。
以下首先对本发明实施例中的集合以及集合之间的关系进行说明。
本发明实施例中的集合包括
第一集合:{(AM1/S1),(AM2/S2),(AM3/S3)…};
第二集合:{(M1/S1),(M2/S2),(M3/S3)…};
第三集合:{(ABM1/S1),(ABM2/S2),(ABM3/S3)…};
第四集合:{m1,m2,m3,…};
第五集合:{Bm1,Bm2,Bm3,…};
第六集合:{(m1/s1),(m2/s2),(m3/s3)…};
或{(m1/y1/h1),(m2/y2/h2),(m3/y3/h3)…};
第七集合:{ABm1,ABm2,ABm3,…};
第八集合:{ABmx,ABmy,ABmz,…};
第九集合:{(AMa/Sa),(AMb/Sb),(AMc/Sc)…};
第十集合:{(Ma/Sa),(Mb/Sb),(Mc/Sc)…};
第十一集合:{(ABMa/Sa),(ABMb/Sb),(ABMc/Sc)…};
第十二集合:{ABma,ABmb,ABmc,…};
第十三集合:
{(ABM1/S1),(ABM2/S2),(ABM3/S3)…,(ABMa/Sa),(ABMb/Sb),(ABMc/Sc)…}。
集合之间的关系包括
101、根据服务端获取的全部已泄露的登录凭证成第二集合;
102、基于服务端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密组成第一集合;
103、基于第二密钥对第一集合中的各登录凭证的加密后的登录名进行再次加密,组成的集合为第三集合;
104、根据客户端需要进行登录凭证泄露查询的登录凭证为第六集合;
105、提取第六集合中每一个登录凭证的登录名组成第四集合;
106、基于第二密钥对第四集合中的各登录名进行加密得到第五集合;
107、基于第一密钥对第五集合中的各加密后登录名进行再次加密得到第七集合;
108、获取第三集合和第七集合均包含的两次加密后登录名组成第八集合;
109、服务端在第二集合的基础上获取的新的泄露的登录凭证成的集合为第十集合。
110、基于第一密钥对第十集合中的各登录凭证的登录名进行加密得到第九集合;
111、基于第二密钥对第九集合中的各加密后登录名进行再次加密得到第十一集合;
112、获取第十一集合和第七集合均包含的两次加密后登录名组成第十二集合;
113、合并第十一集合与第三集合得到第十三集合。
基于上述内容,本发明实施例提供一种基于PSI的登录凭证泄露查询方法。参照图1所示,本发明实施例提供的基于PSI的登录凭证泄露查询方法包括如下步骤:
S101、服务端获取第一集合。
其中,所述第一集合为基于所述客户端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端获取的全部已泄露的登录凭证成的集合。
本发明实施例中不限定服务端获取已泄露的登录凭证的方式,以服务端可以获取已泄露的登录凭证为准。
服务端可能服务于多个客户端,服务端可以在本地存储一个客户端与密钥的对应关系,在进行登录凭证泄露查询时,基于客户端选取对应的密钥。
可选的,已泄露的登录凭证的登录凭证可以包括登录名和登录密码。示例性的,当已泄露的登录凭证的登录凭证包括登录名和登录密码时,已泄露的登录凭证可以如下表1所示:
表1-已泄露的登录凭证
Figure BDA0002668757950000081
当已泄露的登录凭证如表1所示时,第二集合为:{(M1/S1),(M2/S2),(M3/S3)…},其中,(Mi/Si)表示一个登录凭证,Mi表示该登录凭证的登录名,Si表示该登录凭证的登录密码。
可选的,第一密钥为服务端从PSI系统的密钥集合中均匀随机选取的密钥,设第一密钥为:A,密钥集合为:{1,2,3,4,…,n-1},则有A∈{1,2,3,4,…,n-1}。
承上示例所述,第二集合为:
{(M1/S1),(M2/S2),(M3/S3)…};
第一密钥为:A,则基于所述客户端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的第一集合为:
{(AM1/S1),(AM2/S2),(AM3/S3)…}。
S102、服务端向客户端发送所述第一集合。
对应的,客户端接收服务端发送的第一集合。
由于第一集合中登录凭证的登录名经过了第一密钥的加密,而第一密钥为服务端随机选取的,客户端无法获取第一密钥,因此服务端收集的已泄露的登录凭证不会暴露给客户端。
S103、客户端基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合。
其中,第一集合中的各登录凭证的登录名为基于第一密钥对第二集合中的各登录凭证的登录名进行加密得到的登录名。
可选的,第二密钥为客户端从PSI系统的密钥集合中均匀随机选取的密钥,设第二密钥为:B,密钥集合为:{1,2,3,4,…,n-1},则有B∈{1,2,3,4,…,n-1}。
承上示例所述,第一集合为:
{(AM1/S1),(AM2/S2),(AM3/S3)…};
第二密钥为:B,第一集合中的各登录凭证的登录名包括“AM1”、“AM2”“AM3”……,则基于第二密钥对所述第一集合中的各登录凭证的登录名进行加密获取的第三集合为:
{(ABM1/S1),(ABM2/S2),(ABM3/S3)…}。
S104、客户端基于所述第二密钥对第四集合中的各登录名进行加密,获取第五集合。
其中,所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合。
可选的,需要进行登录凭证泄露查询的登录凭证可以包括登录名和登录密码。
可选的,需要进行登录凭证泄露查询的登录凭证可以包括登录名、加盐值以及哈希值。
其中,哈希值为基于预设哈希算法对登录凭证的加盐值和登录密码进行哈希运算得到的值。
示例性的,需要进行登录凭证泄露查询的登录凭证可以包括登录名和登录密码时,已泄露的登录凭证可以如下表2所示:
表2-需要进行登录凭证泄露查询的登录凭证
Figure BDA0002668757950000101
当需要进行登录凭证泄露查询的登录凭证如表2所示时,第六集合为:
{(m1/s1),(m2/s2),(m3/s3)…}。
示例性的,需要进行登录凭证泄露查询的登录凭证可以包括登录名和登录密码时,已泄露的登录凭证可以如下表3所示:
表3-需要进行登录凭证泄露查询的登录凭证
Figure BDA0002668757950000102
当需要进行登录凭证泄露查询的登录凭证如表3所示时,第六集合为:
{(m1/y1/h1),(m2/y2/h2),(m3/y3/h3)…}。
承上示例所述,当第六集合为:
{(m1/s1),(m2/Ss2),(m3/s3)…}或
{(m1/y1/h1),(m2/y2/h2),(m3/y3/h3)…};
第二密钥为:B;
则,第四集合为:
{m1,m2,m3,…};
第五集合为:
{Bm1,Bm2,Bm3,…}。
S105、客户端向所述服务端发送所述第五集合。
对应的,服务端接收客户端发送的第五集合。
由于第五集合中仅包括需要进行登录凭证泄露查询的登录凭证的登录名,且登录名还是经过第二密钥加密过的,且第二密钥为客户端随机选取的,服务端无法获取第二密钥,因此客户端需要进行登录凭证泄露查询的登录凭证不会暴露给服务端。
S106、服务端获取第七集合。
所述第七集合为基于所述第一密钥对所述第五集合中的各加密登录名进行再次加密得到的集合。
承上示例所述,第五集合为:
{Bm1,Bm2,Bm3,…};
第一密钥为:A,则基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的第七集合为:
{ABm1,ABm2,ABm3,…}。
S107、服务端向所述客户端发送第七集合。
对应的,客户端接收所述服务端发送的第七集合。
S108、客户端获取第八集合。
其中,所述第八集合为所述第三集合和所述第七集合均包含的两次加密后登录名组成的集合。
具体的,可以将第七集合中的每一个元素逐一与第三集合中每一个登录凭证的两次加密后登录名进行匹配,若匹配成功,则放入第八集合,若匹配失败,则进行下一个元素的匹配,直至第七集合中的最后元素匹配成功或失败。
示例性的,第八集合可以为:{ABmx,ABmy,ABmz,…}。
S109、客户端基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况。
可选的,上述步骤S109(基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况)包括:
在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;
在所述第八集合不为空集的情况下,确定所述第六集合中具有登录名已泄露的登录凭证。
进一步的,在所述第八集合不为空集的情况下,所述方法还包括:
根据所述第八集合中的登录名与所述第六集合中的登录凭证的对应关系,确定所述第六集合中登录名已泄露的登录凭证。
示例性的,若第八集合为{ABmx,ABmy,ABmz,…},其中,ABm2对应第六集合中的登录凭证(mx/sx)或(mx/yx/hx),ABmy对应第六集合中的登录凭证(my/sy)或(my/yy/hy),ABmz对应第六集合中的登录凭证(mz/sz)或(mz/yz/hz),则第六集合中的登录凭证(mx/s2)或(mx/yx/hx)、(my/sy)或(my/yy/hy)、(mz/sz)或(mz/yz/hz)的登录名已泄露。
需要说明的是,参照图1所示,本发明实施例提供的基于PSI的登录凭证泄露查询方法可以分为三个阶段,该三个阶段分别为:第一预处理阶段、第二预处理阶段以及泄露查询阶段。其中,第一预处理阶段包括上述步骤S101至S103,用于对服务端获取的已泄露的登录凭证进行预处理,第二预处理阶段包括上述步骤S104至S107,用于对客户端需要进行登录凭证查询的登录凭证进行预处理,泄露查询阶段包括S108和S109,用于获取查询结果。由于泄露查询阶段需要使用第一预处理阶段获取的第三集合以及第二预处理阶段获取的第七集合,因此泄露查询阶段必须在第一预处理阶段和第二预处理阶段完成之后进行,但第三集合和第七集合可以以任意先后顺序获取,因此第一预处理阶段和第二预处理阶段可以以任意先后顺序执行。
本发明实施例提供的基于PSI的登录凭证泄露查询方法在进行登录凭证泄露查询时,第一方面,接收服务端发送的基于客户端对应的第一密钥对服务端获取的全部已泄露的登录凭证的登录名进行加密得到的集合,并基于第二密钥对所述第一集合中的各加密后登录凭证的登录名进行再次加密获取第三集合。第二方面,基于所述第二密钥对需要进行登录凭证泄露查询的登录凭证的登录名进行加密获取第五集合,然后向所述服务端发送所述第五集合,再接收所述服务端发送的基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的第七集合。最后获取第一方面获取的第三集合和第二方面获取的第七集合中均包含的两次加密后登录名组成的第八集合,并基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况。由于服务端通过第一密钥对已泄露的登录凭证的登录名进行加密后,才会将加密后的登录凭证发送的至客户端,因此客户端无法获取已泄露的登录凭证;又因为客户端通过第二密钥对需要进行登录凭证泄露查询的登录凭证中的登录名进行加密后,才会将加密后的需要进行登录凭证泄露查询的登录凭证中的登录名发送的至服务端,因此服务端也无法获取需要进行登录凭证泄露查询的登录凭证。由于本发明实施例提供的登录凭证泄露查询方法在进行登录凭证泄露查询过程中,服务端无需向客户端暴露收集的已泄露的登录凭证,客户端也无需向服务端暴露需要进行登录凭证泄露查询的登录凭证,因此本发明实施例可以在登录凭证泄露查询过程中避免服务端和客户端之间相互暴露自身所持有的登录凭证。
作为本发明实施例一种可选的实施方式,参照图2所示,当所述第二集合中的各个登录凭证还包括登录密码(如上表1所示),所述第六集合中的各个登录凭证还包括登录密码(如上表2所示)的情况下,上述步骤S109(所述基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况)包括:
S201、判断所述第八集合是否为空集。
在上述步骤S201中,若第八集合为空集,则执行如下步骤S202,若第八集合不为空集,则执行如下步骤S203。
S202、确定所述第六集合中不具有已泄露的登录凭证。
S203、确定所述第八集合中每一个登录名对应的第一登录密码与第二登录密码是否相同。
其中,所述第八集合中任一登录名对应的第一登录密码为所述第三集合中该登录名对应的登录密码,所述第八集合中任一登录名对应的第二登录密码为所述第六集合中该登录名对应的登录密码。
承上示例所述,当第八集合为:{ABmx,ABmy,ABmz,…},第三集合为:{(ABM1/S1),(ABM2/S2),(ABM3/S3)…},第六集合为:{(m1/s1),(m2/s2),(m3/s3)…},则ABmx对应的第一登录密码为:Sx,ABmx对应的第二登录密码sx,ABmy对应的第一登录密码为:Sy,ABmy对应的第二登录密码sy,ABmz对应的第一登录密码为:Sz,ABmz对应的第二登录密码sz。
在上述步骤S203中,若目标登录名对应的第一登录密码与第二登录密码相同,则执行如下步骤S204,若目标登录名对应的第一登录密码与第二登录密码不同,则执行如下步骤S205。
其中,目标登录名为第八集合中的任一登录名。
S204、确定所述第六集合中与所述目标登录名对应的登录凭证已泄露。
S205、确定所述第六集合中与所述目标登录名对应的登录凭证仅登录名泄露。
可选的,在上述步骤S204之后,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
客户端输出第一指示信息,所述第一指示信息用于指示目标登录名对应的登录凭证已泄露。
可选的,在上述步骤S205之后,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
客户端输出第二指示信息,所述第二指示信息用于指示目标登录名对应的登录凭证的登录名在其他系统发生泄露。
作为本发明实施例一种可选的实施方式,参照图3所示,当所述第二集合中的各个登录凭证还包括登录密码(如上表1所示),所述第六集合中的各个登录凭证还包括加盐值和哈希值(如上表3所示)的情况下,上述步骤S109(所述基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况)包括:
S301、判断所述第八集合是否为空集。
在上述步骤S301中,若第八集合为空集,则执行如下步骤S302,若第八集合不为空集,则执行如下步骤S303。
S302、确定所述第六集合中不具有已泄露的登录凭证。
S303、获取所述第八集合中每一个登录凭证的第一哈希值。
其中,所述第八集合中任一登录名对应的第一哈希值为基于所述预设哈希算法对所述第三集合中该登录名对应的登录凭证的登录密码和所述第六集合中该登录名对应的登录凭证的加盐值进行哈希运算得到的值。
例如:对于第八集合中的元素ABmx,第三集合中ABmx对应的登录凭证的登录密码为Sx,第六集合中该登录名对应的登录凭证的加盐值为yx,则基于预设哈希算法对Sx和yx进行哈希运算得到ABmx对应的第一哈希值。
S304、确定所述第八集合中每一个登录名对应的第一哈希值与第二哈希值是否相同。
其中,所述第八集合中任一登录名对应的第二哈希值为所述第六集合中该登录名对应的登录凭证的哈希值。
例如:对于第八集合中的元素ABmy,第六集合中my对应的登录凭证的哈希值为hy,则ABmy对应的第二哈希值为hy。
在上述步骤S304中,若目标登录名对应的第一哈希值与第二哈希值相同,则执行如下步骤S305,若目标登录名对应的第一哈希值与第二哈希值不同,则执行如下步骤S306。
其中,目标登录名为第八集合中的任一登录名。
S305、确定所述第六集合中与所述目标登录名对应的登录凭证已泄露。
S306、确定所述第六集合中与所述目标登录名对应的登录凭证仅登录名泄露。
可选的,在上述步骤S305之后,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
客户端输出第一指示信息,所述第一指示信息用于指示目标登录名对应的登录凭证已泄露。
可选的,在上述步骤S306之后,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
客户端输出第二指示信息,所述第二指示信息用于指示目标登录名对应的登录凭证的登录名在其他系统发生泄露。
作为本发明实施例一种可选的实施方式,在上述步骤S103(基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合)之后,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
客户端将所述第三集合存储于本地数据库中。
客户端将所述第三集合存储于本地数据库中,可以在下次需要进行登录凭证泄露查询时,只需要获取对应的第七集合,根据第七集合和数据库中的第三集合获取第八集合,最后基于所述第八集合确定要进行登录凭证泄露查询的登录凭证的泄漏情况,避免重复获取第三集合,进而节省客户端、服务端的计算资源和网络传输资源。
参照图4所示,作为本发明实施例一种可选的实施方式,在客户端将所述第三集合存储于本地数据库中的情况下,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
S401、服务端获取第九集合;
其中,所述第九集合为基于所述第一密钥对第十集合中的各登录凭证的登录名进行加密得到的集合,所述第十集合为所述服务端在所述第二集合的基础上获取的新的泄露的登录凭证成的集合。
示例性的,当第十集合为:{(Ma/Sa),(Mb/Sb),(Mc/Sc)…},第一密钥为:A,则第九集合为:{(AMa/Sa),(AMb/Sb),(AMc/Sc)…}。
S402、服务端向所述客户端发送第九集合。
对应的,客户端接收服务端发送的第九集合。
S403、客户端基于所述第二密钥对所述第九集合中的各登录凭证的加密后登录名进行再次加密,获取第十一集合。
承上示例所述,第九集合为:{(AMa/Sa),(AMb/Sb),(AMc/Sc)…},第二密钥为:B,则第十一集合为:{(ABMa/Sa),(ABMb/Sb),(ABMc/Sc)…}。
S404、客户端获取第十二集合。
其中,所述第十二集合为所述第十一集合和所述第七集合均包含的两次加密后登录名组成的集合。
第十二集合的获取方式与上述第八集合的获取方式类似,在此不再赘述。
S405、基于所述第十二集合确定所述第六集合中的登录凭证的泄漏情况。
参照图4所示,步骤S401至S405为更新查询阶段。
基于所述第十二集合确定所述第六集合中的登录凭证的泄漏情况的方式与上述实施例中基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况的实现方式类似,在此不再赘述。
上述实施例在服务端收集到新的已泄露的登录凭证时,可以对将查询服务端新收集到的登录凭证是否包含需要进行登录凭证泄露查询的登录凭证,进而进一步提升需要进行登录凭证泄露查询的登录凭证的安全性。
进一步的,上述实施例的基础上,本发明实施例提供的基于PSI的登录凭证泄露查询方法还包括:
客户端获取第十三集合。
其中,所述第十三集合为合并所述第十一集合与所述第三集合得到的集合;
客户端删除所述第三集合,并将所述第十三集合存储于本地数据库中。
示例性的,当第十二集合:{ABma,ABmb,ABmc,…},由于第三集合为:{(ABM1/S1),(ABM2/S2),(ABM3/S3)…},因此第十三集合:
{(ABM1/S1),(ABM2/S2),(ABM3/S3)…,(ABMa/Sa),(ABMb/Sb),(ABMc/Sc)…}。
上述实施例在服务端收集到新的已泄露的登录凭证时,可以及时对客户端存储的已泄露的登录凭证进行更新,进而提升登录凭证泄露查询的准确性。
基于同一发明构思,作为对上述方法的实现,本发明实施例还提供了一种执行上述方法实施例提供的方法的客户端设备和服务端设备,该实施例与前述方法实施例对应,为便于阅读,本实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的客户端设备和服务端设备能够对应实现前述方法实施例中的全部内容。
图5为本发明实施例提供的客户端设备,参照图5所示,本发明实施例提供的客户端设备500包括:
接收单元51,用于接收服务端设备发送的第一集合,所述第一集合为基于所述客户端设备对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端设备获取的全部已泄露的登录凭证成的集合;
第一获取单元52,用于基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合;
第二获取单元53,用于基于所述第二密钥对第四集合中的各登录名进行加密,获取第五集合;所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
发送单元54,用于向所述服务端设备发送所述第五集合;
所述接收单元51,还用于接收所述服务端设备发送的第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
第三获取单元55,用于获取第八集合,所述第八集合为所述第三集合和所述第七集合均包含的两次加密后登录名组成的集合;
处理单元56,用于基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况。
作为本发明实施例一种可选的实施方式,所述处理单元56,具体用于在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;在所述第八集合不为空集的情况下,确定所述第六集合中具有登录名已泄露的登录凭证。
作为本发明实施例一种可选的实施方式,所述处理单元56,还用于在所述第八集合不为空集的情况下,根据所述第八集合中的登录名与所述第六集合中的登录凭证的对应关系,确定所述第六集合中登录名已泄露的登录凭证。
作为本发明实施例一种可选的实施方式,所述第二集合中的各个登录凭证还包括登录密码,所述第六集合中的各个登录凭证还包括登录密码;
所述处理单元56,具体用于在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;在所述第八集合不为空集的情况下,确定所述第八集合中每一个登录名对应的第一登录密码与第二登录密码是否相同;所述第八集合中任一登录名对应的第一登录密码为所述第三集合中该登录名对应的登录密码,所述第八集合中任一登录名对应的第二登录密码为所述第六集合中该登录名对应的登录密码;在所述第八集合中的目标登录名对应的第一登录密码与第二登录密码相同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证已泄露;在所述第八集合中的目标登录名对应的第一登录密码与第二登录密码不同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证仅登录名泄露。
作为本发明实施例一种可选的实施方式,所述第二集合中的各个登录凭证还包括登录密码,所述第六集合中的各个登录凭证还包括加盐值和哈希值,任一登录凭证的哈希值为基于预设哈希算法对该登录凭证的加盐值和该登录凭证的登录密码进行哈希运算得到的值;
所述处理单元56,具体用于在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;在所述第八集合不为空集的情况下,获取所述第八集合中每一个登录凭证的第一哈希值,所述第八集合中任一登录名对应的第一哈希值为基于所述预设哈希算法对所述第三集合中该登录名对应的登录凭证的登录密码和所述第六集合中该登录名对应的登录凭证的加盐值进行哈希运算得到的值;确定所述第八集合中每一个登录名对应的第一哈希值与第二哈希值是否相同;所述第八集合中任一登录名对应的第二哈希值为所述第六集合中该登录名对应的登录凭证的哈希值;在所述第八集合中的目标登录名对应的第一哈希值与第二哈希值相同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证已泄露;在所述第八集合中的目标登录名对应的第一哈希值与第二哈希值不同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证仅登录名泄露。
作为本发明实施例一种可选的实施方式,参照图6所示,所述客户端设备还包括:存储单元57,用于在获取所述第三集合之后,将所述第三集合存储于本地数据库中。
作为本发明实施例一种可选的实施方式,所述接收单元55,还用于接收服务端设备发送的第九集合,所述第九集合为基于所述第一密钥对第十集合中的各登录凭证的登录名进行加密得到的集合,所述第十集合为所述服务端设备在所述第二集合的基础上获取的新的泄露的登录凭证成的集合;
所述第一获取单元52,还用于基于所述第二密钥对所述第九集合中的各登录凭证的加密后登录名进行再次加密,获取第十一集合;
所述第三获取单元55,还用于获取第十二集合,所述第十二集合为所述第十一集合和所述第七集合均包含的两次加密后登录名组成的集合;
所述处理单元56,还用于基于所述第十二集合确定所述第六集合中的登录凭证的泄漏情况。
作为本发明实施例一种可选的实施方式,存储单元58,还用于获取第十三集合,所述第十三集合为合并所述第十一集合与所述第三集合得到的集合,以及删除所述第三集合,并将所述第十三集合存储于本地数据库中。
本发明实施例提供的客户端设备可以执行上述实施例提供的基于PSI的登录凭证泄露查询方法中客户端设备所执行的步骤,且可达到相同的技术效果,在此不再对客户端设备所能达到的技术效果进行赘述。
图7为本发明实施例提供的服务端设备,参照图7所示,本发明实施例提供的服务端设备700包括:
第一获取单元71,用于获取第一集合;所述第一集合为基于所述客户端设备对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端设备获取的全部已泄露的登录凭证成的集合;
发送单元72,用于向客户端设备发送所述第一集合;
接收单元73,用于接收所述客户端设备第五集合,所述基于所述第二密钥对第四集合中的各登录名进行加密得到的集合,所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
第二获取单元74,用于获取第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
所述发送单元72,还用于向所述客户端发送第七集合。
作为本发明实施例一种可选的实施方式,
所述方法还包括:
所述第一获取单元71,还用于获取第九集合,所述第九集合为基于所述第一密钥对第十集合中的各登录凭证的登录名进行加密得到的集合,所述第十集合为所述服务端设备在所述第二集合的基础上获取的新的泄露的登录凭证成的集合;
所述发送单元72,还用于向所述客户端设备发送第九集合。
本发明实施例提供的服务端设备可以执行上述实施例提供的基于PSI的登录凭证泄露查询方法中服务端设备所执行的步骤,且可达到相同的技术效果,在此不再对服务端设备所能达到的技术效果进行赘述。
基于同一发明构思,本发明实施例提供一种基于PSI的登录凭证泄露查询系统,包括:上述实施例所述的客户端设备以及上述实施例所述的服务端设备。
基于同一发明构思,本发明实施例还提供了一种电子设备。图8为本发明实施例提供的电子设备的结构示意图,如图8所示,本实施例提供的电子设备包括:存储器81和处理器82,存储器81用于存储计算机程序;处理器82用于在调用计算机程序时执行上述基于PSI的登录凭证泄露查询方法的步骤。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例所述的基于PSI的登录凭证泄露查询方法中的步骤。
本领域技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储,信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。根据本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (15)

1.一种基于隐私集合交集PSI的登录凭证泄露查询方法,其特征在于,应用于客户端,所述方法包括:
接收服务端发送的第一集合,所述第一集合为基于所述客户端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端获取的全部已泄露的登录凭证成的集合;
基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合;
基于所述第二密钥对第四集合中的各登录名进行加密,获取第五集合;所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
向所述服务端发送所述第五集合;
接收所述服务端发送的第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
获取第八集合,所述第八集合为所述第三集合和所述第七集合均包含的两次加密后登录名组成的集合;
基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况,包括:
在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;
在所述第八集合不为空集的情况下,确定所述第六集合中具有登录名已泄露的登录凭证。
3.根据权利要求2所述的方法,其特征在于,在所述第八集合不为空集的情况下,所述方法还包括:
根据所述第八集合中的登录名与所述第六集合中的登录凭证的对应关系,确定所述第六集合中登录名已泄露的登录凭证。
4.根据权利要求1所述的方法,其特征在于,所述第二集合中的各个登录凭证还包括登录密码,所述第六集合中的各个登录凭证还包括登录密码;
所述基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况,包括:
在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;
在所述第八集合不为空集的情况下,确定所述第八集合中每一个登录名对应的第一登录密码与第二登录密码是否相同;所述第八集合中任一登录名对应的第一登录密码为所述第三集合中该登录名对应的登录密码,所述第八集合中任一登录名对应的第二登录密码为所述第六集合中该登录名对应的登录密码;
在所述第八集合中的目标登录名对应的第一登录密码与第二登录密码相同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证已泄露;
在所述第八集合中的目标登录名对应的第一登录密码与第二登录密码不同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证仅登录名泄露。
5.根据权利要求1所述的方法,其特征在于,所述第二集合中的各个登录凭证还包括登录密码,所述第六集合中的各个登录凭证还包括加盐值和哈希值,任一登录凭证的哈希值为基于预设哈希算法对该登录凭证的加盐值和该登录凭证的登录密码进行哈希运算得到的值;
所述基于所述第八集合确定所述第六集合中的登录凭证的泄漏情况,包括:
在所述第八集合的交集为空集的情况下,确定所述第六集合中不具有已泄露的登录凭证;
在所述第八集合不为空集的情况下,获取所述第八集合中每一个登录凭证的第一哈希值,所述第八集合中任一登录名对应的第一哈希值为基于所述预设哈希算法对所述第三集合中该登录名对应的登录凭证的登录密码和所述第六集合中该登录名对应的登录凭证的加盐值进行哈希运算得到的值;
确定所述第八集合中每一个登录名对应的第一哈希值与第二哈希值是否相同;所述第八集合中任一登录名对应的第二哈希值为所述第六集合中该登录名对应的登录凭证的哈希值;
在所述第八集合中的目标登录名对应的第一哈希值与第二哈希值相同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证已泄露;
在所述第八集合中的目标登录名对应的第一哈希值与第二哈希值不同的情况下,确定所述第六集合中与所述目标登录名对应的登录凭证仅登录名泄露。
6.根据权利要求1-5任一项所述的方法,其特征在于,在获取所述第三集合之后,所述方法还包括:
将所述第三集合存储于本地数据库中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收服务端发送的第九集合,所述第九集合为基于所述第一密钥对第十集合中的各登录凭证的登录名进行加密得到的集合,所述第十集合为所述服务端在所述第二集合的基础上获取的新的泄露的登录凭证成的集合;
基于所述第二密钥对所述第九集合中的各登录凭证的加密后登录名进行再次加密,获取第十一集合;
获取第十二集合,所述第十二集合为所述第十一集合和所述第七集合均包含的两次加密后登录名组成的集合;
基于所述第十二集合确定所述第六集合中的登录凭证的泄漏情况。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
获取第十三集合,所述第十三集合为合并所述第十一集合与所述第三集合得到的集合;
删除所述第三集合,并将所述第十三集合存储于本地数据库中。
9.一种基于隐私集合交集PSI的登录凭证泄露查询方法,其特征在于,应用于服务端,所述方法包括:
获取第一集合;所述第一集合为基于所述客户端对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端获取的全部已泄露的登录凭证成的集合;
向客户端发送所述第一集合;
接收所述客户端发送的第五集合,所述第五集合为基于所述第二密钥对第四集合中的各登录名进行加密得到的集合,所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
获取第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
向所述客户端发送第七集合。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
获取第九集合,所述第九集合为基于所述第一密钥对第十集合中的各登录凭证的登录名进行加密得到的集合,所述第十集合为所述服务端在所述第二集合的基础上获取的新的泄露的登录凭证成的集合;
向所述客户端发送第九集合。
11.一种客户端设备,其特征在于,包括:
接收单元,用于接收服务端设备发送的第一集合,所述第一集合为基于所述客户端设备对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端设备获取的全部已泄露的登录凭证成的集合;
第一获取单元,用于基于第二密钥对所述第一集合中的各登录凭证的加密后登录名进行再次加密,获取第三集合;
第二获取单元,用于基于所述第二密钥对第四集合中的各登录名进行加密,获取第五集合;所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
发送单元,用于向所述服务端设备发送所述第五集合;
所述接收单元,还用于接收所述服务端设备发送的第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
第三获取单元,用于获取第八集合,所述第八集合为所述第三集合和所述第七集合均包含的两次加密后登录名组成的集合;
处理单元,用于基于所述第八集合,确定所述第六集合中的登录凭证的泄漏情况。
12.一种服务端设备,其特征在于,包括:
第一获取单元,用于获取第一集合;所述第一集合为基于所述客户端设备对应的第一密钥对第二集合中的各登录凭证的登录名进行加密得到的集合,所述第二集合为所述服务端设备获取的全部已泄露的登录凭证成的集合;
发送单元,用于向客户端设备发送所述第一集合;
接收单元,用于接收所述客户端设备第五集合,所述基于所述第二密钥对第四集合中的各登录名进行加密得到的集合,所述第四集合为第六集合中的登录凭证的登录名组成的集合,所述第六集合为需要进行登录凭证泄露查询的登录凭证成的集合;
第二获取单元,用于获取第七集合,所述第七集合为基于所述第一密钥对所述第五集合中的各加密后登录名进行再次加密得到的集合;
所述发送单元,还用于向所述客户端发送第七集合。
13.一种基于隐私集合交集PSI的登录凭证泄露查询系统,其特征在于,包括:权利要求11所述的客户端设备以及权利要求12所述的服务端设备。
14.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器用于存储计算机程序;所述处理器用于在调用计算机程序时执行权利要求1-10任一项所述的基于PSI的登录凭证泄露查询方法。
15.一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器实现权利要求1-10任一项所述的基于PSI的登录凭证泄露查询方法。
CN202010926925.4A 2020-09-07 2020-09-07 一种基于psi的登录凭证泄露查询方法、装置及系统 Pending CN112311758A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010926925.4A CN112311758A (zh) 2020-09-07 2020-09-07 一种基于psi的登录凭证泄露查询方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010926925.4A CN112311758A (zh) 2020-09-07 2020-09-07 一种基于psi的登录凭证泄露查询方法、装置及系统

Publications (1)

Publication Number Publication Date
CN112311758A true CN112311758A (zh) 2021-02-02

Family

ID=74483428

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010926925.4A Pending CN112311758A (zh) 2020-09-07 2020-09-07 一种基于psi的登录凭证泄露查询方法、装置及系统

Country Status (1)

Country Link
CN (1) CN112311758A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3340152A1 (en) * 2016-12-22 2018-06-27 Telefonica Digital España, S.L.U. Method of selecting and delivering content for privacy-protected targeting content systems
CN109040076A (zh) * 2018-08-09 2018-12-18 腾讯科技(深圳)有限公司 一种数据处理方法、系统、装置、设备及介质
CN110086817A (zh) * 2019-04-30 2019-08-02 阿里巴巴集团控股有限公司 可靠的用户服务系统和方法
CN111177769A (zh) * 2020-04-10 2020-05-19 支付宝(杭州)信息技术有限公司 一种隐私数据保护的名单查询方法及相关的名单查询系统
US20200195618A1 (en) * 2018-12-18 2020-06-18 International Business Machines Corporation Secure multiparty detection of sensitive data using Private Set Intersection (PSI)
CN111552978A (zh) * 2020-04-21 2020-08-18 杭州趣链科技有限公司 基于DH加密和Hash表的隐私保护集合求交集方法
CN111555880A (zh) * 2019-02-12 2020-08-18 北京京东尚科信息技术有限公司 数据碰撞方法、装置、存储介质及电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3340152A1 (en) * 2016-12-22 2018-06-27 Telefonica Digital España, S.L.U. Method of selecting and delivering content for privacy-protected targeting content systems
CN109040076A (zh) * 2018-08-09 2018-12-18 腾讯科技(深圳)有限公司 一种数据处理方法、系统、装置、设备及介质
US20200195618A1 (en) * 2018-12-18 2020-06-18 International Business Machines Corporation Secure multiparty detection of sensitive data using Private Set Intersection (PSI)
CN111555880A (zh) * 2019-02-12 2020-08-18 北京京东尚科信息技术有限公司 数据碰撞方法、装置、存储介质及电子设备
CN110086817A (zh) * 2019-04-30 2019-08-02 阿里巴巴集团控股有限公司 可靠的用户服务系统和方法
CN111177769A (zh) * 2020-04-10 2020-05-19 支付宝(杭州)信息技术有限公司 一种隐私数据保护的名单查询方法及相关的名单查询系统
CN111552978A (zh) * 2020-04-21 2020-08-18 杭州趣链科技有限公司 基于DH加密和Hash表的隐私保护集合求交集方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
荆巍巍等: "安全查询方案的设计与实现", 《计算机工程》 *

Similar Documents

Publication Publication Date Title
TWI748853B (zh) 用於基於區塊鏈的系統結合錢包管理系統中的安全多方防遺失儲存及加密金鑰轉移
Khanezaei et al. A framework based on RSA and AES encryption algorithms for cloud computing services
GB2538052B (en) Encoder, decoder, encryption system, encryption key wallet and method
US9219722B2 (en) Unclonable ID based chip-to-chip communication
AU2012367314B2 (en) Secure peer discovery and authentication using a shared secret
US8315395B2 (en) Nearly-stateless key escrow service
KR101982237B1 (ko) 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템
US20040010699A1 (en) Secure data management techniques
Yu et al. Identity privacy-preserving public auditing with dynamic group for secure mobile cloud storage
CN112187466B (zh) 一种身份管理方法、装置、设备及存储介质
WO2015185331A1 (en) Management of high number of unique keys by a secure element
Xia et al. Searchable Public-Key Encryption with Data Sharing in Dynamic Groups for Mobile Cloud Storage.
CN111192050B (zh) 一种数字资产私钥存储提取方法及装置
Habib et al. Simplified file assured deletion (sfade)-a user friendly overlay approach for data security in cloud storage system
CN114528331A (zh) 基于区块链的数据查询方法及装置、介质、设备
CN112887087B (zh) 数据管理方法、装置、电子设备及可读存储介质
CN114268447B (zh) 一种文件传输方法、装置、电子设备和计算机可读介质
Chang et al. Multi-user searchable encryption scheme with constant-size keys
CN112311758A (zh) 一种基于psi的登录凭证泄露查询方法、装置及系统
TW202304172A (zh) 位置密鑰加密系統
EP3598689B1 (en) Managing central secret keys of a plurality of user devices associated with a single public key
KR20210020851A (ko) 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치
US9525554B2 (en) Device and method for identifying a certificate for multiple identities of a user
Anuar et al. GSM mobile SMS/MMS using public key infrastructure: m-PKI
CN115208630B (zh) 基于区块链的数据获取方法、系统及区块链系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220117

Address after: Unit 515, floor 5, building 1, No. a 12, Zhongguancun South Street, Haidian District, Beijing 100081

Applicant after: Shenzhou Rongan digital technology (Beijing) Co.,Ltd.

Address before: 100081 Room 408, Huantai building, 12 Zhongguancun South Street, Haidian District, Beijing

Applicant before: SHENZHOU RONGAN TECHNOLOGY (BEIJING) CO.,LTD.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210202