CN112580021B - 一种传统密码强度评分方法 - Google Patents

Abstract

本发明属于密码安全领域，涉及一种传统密码强度评分方法，建立该评分方法包括如下步骤：获得中文语言有序对照表；获得英文语言有序对照表；获得特殊名词对照表；以待评分密码为参数一，将特殊名词对照表设为参数二，当参数一在参数二中时，返回0分，将中文语言有序对照表设为参数三、英文语言有序对照表设为参数四，代入马尔可夫模型。其中，将有序对照表视为马尔科夫矩阵，通过扫描指针移动遍历待评分密码、采用迭代算法计算该待评分密码的评分。本申请的技术方案有效克服现有技术对传统密码评判的不精准，分布式评分效率低下和无法在特定领域中生成有针对的密码评分系统的缺陷。

Description

一种传统密码强度评分方法

技术领域

本发明属于密码安全领域，涉及一种传统密码强度评分方法。

背景技术

在互联网时代的大背景下，人们的生活离不开网络的提供的方便。人们需要网络世界来社交，工作，甚至完成金融服务。这些各式各样的服务离不开各种账号的注册与使用，而随之而来的就是密码的设置。

虽然，如今的技术已经支持利用人脸，虹膜，指纹，掌纹等各种生物认证技术，但大多数情况下仍旧需要一个传统密码与账户进行绑定。而且在可以预见的未来，传统密码仍旧不会被淘汰，生物认证只是作为传统密码的一种补充。另外，在一些系统上应用将不会设立生物认证技术。进一步说，对于某些敏感信息的访问有时需要生物认证和传统密码同时通过才能进行授权。总而言之，传统密码仍旧重要。

然而，相比于生物认证，传统密码更容易被攻破，常见的方法是利用常用密码库进行攻击，从而攻破传统密码。为了提高传统密码的安全性，需要对密码安全性的评估进行量化。

现在常见的密码安全性评估是一些基于策略的评估方法，比如，当密码中有特殊符号，大小写混用，带有数字等，密码的安全性就会得到一个较高的评估。

申请人在实际应用过程中发现这种评估体系的缺陷如下：

（1）基于策略的密码评估过于粗糙，无法做到精准化评定，比如用户名为tommy，设置密码为123_@tommY1234567和u_xL2Mq@Rp，的评估结果都是安全性高，而显然第二个密码更安全些。

（2）容易出现误判，即明明不安全的密码，由于满足了策略，得到了安全性高的评估，比如qwerT!@#$5，这个密码满足所有的安全性高的策略，但是其实是键盘的连续按键的组合，其实容易被攻破。

（3）缺乏组内密码动态去重判断。比如，同一个公司的所有员工，都用同一个密码，在这种情况下需要进行去重判断，即在定义组范围后，不允许组内的成员共用一个密码。这主要是防范如果某一个成员的密码被攻破，不至于使得整个组的所有成员一起被攻破。

（4）缺乏组相关信息拒绝机制。比如，在一家叫做UltraSecurity的公司，所有员工的密码应当不包含任何UltraSecurity的片段或者组合，即形如u1ltr@Security这样的密码应该是被拒绝使用的。当然，如果是在一家叫FamilyMart的公司，u1ltr@Security的密码是合法的。

因此，现在急需一种对密码安全性的评估进行量化方法，以有效实现密码强度精准化评定、高安全性评判，以及对动态密码判断等。

发明内容

本申请提供一种传统密码强度评分方法，其有效克服现有技术对传统密码评判的不精准的缺陷。

为实现上述技术目的，本申请采取的技术方案如下：一种传统密码强度评分方法，包括如下步骤：

根据语料库获得中文语言中有序字母组合的概率分布，得到中文语言有序对照表，该中文语言有序对照表即为马尔科夫模型用的马尔科夫矩阵一；所述中文语言有序对照表包括中文语言拼音字母有序组合以及其对应的概率；

根据语料库获得英文语言中有序字母组合的概率分布，得到英文语言有序对照表，该英文语言有序对照表即为马尔科夫模型用的马尔科夫矩阵二；所述英文语言有序对照表包括英文语言中字母有序组合以及其对应的概率；

制备特殊名词对照表，该特殊名词对照表；特殊名词表包括特殊名词组合以及其对应的概率；所述特殊名词来自地名字典、人名字典、特定符号字典、特定缩写字典、企业名称、商标名称和键盘上有序字符集合；

遍历特殊名词对照表，若待评分密码完全匹配特殊名词对照表中的任何一条记录，则停止评分，返回0分；

若待评分密码未完全匹配特殊名词对照表中的任何信息，则利用中文语言有序对照表构建马尔科夫模型中的马尔科夫矩阵一，利用英文语言有序对照表构建马尔科夫模型中的马尔科夫矩阵二；再以指针按序遍历待评分密码，依次查询所遍历的待评分密码中相邻两字符在马尔科夫矩阵一与马尔科夫矩阵二中最小概率值，迭代计算所有相邻两字符的最小概率值，形成密码强度；其中，若待评分密码中一相邻两字符不存在于中文语言有序对照表和英文语言有序对照表中，则该相邻两字符的概率定义为0；

其中，迭代计算过程中，若存在概率为0的字符组，则采用将概率0采用Laplace平滑系数处理。

作为本申请改进的技术方案，迭代计算所有相邻两字符概率后形成密码强度包括：利用映射函数将概率形式的密码强度映射成最终的0分，1分或2分的结果；分值越大，则密码的强度越强；

具体包括：

设置映射函数final_prob=-log₁₀(prob/n)

其中，final_prob代表待评分密码的最终强度；

prob代表迭代计算所有相邻两字符最小概率得到的概率；

n代表待评分密码的长度;

若final_prob的值小于0.0025，则待评分密码得分为0；

若final_prob的值介于0.0025—0.3，则待评分密码得分为1；

若final_prob的值大于0.3，则待评分强度得分为2。

作为本申请改进的技术方案，采用迭代算法时包括如下流程：

设置初始最终概率为1；

扫描指针移动待评分密码的第1位，核实待扫描的待评分密码长度是否为0，为0则返回最终概率；

不为0，则扫描指针后移1位，取扫描指针之前的位置与此时扫描指针对应的位置的数据，构成长度为2的数据块，记为当前计算片段；将当前计算片段与中文语言有序对照表比对，得到当前计算片段的概率A；将当前计算片段与英文语言有序对照表比对，得到当前计算片段的概率B；将概率A与概率B中最小值，记为当前概率C；则本轮计算的最终概率=上一轮的最终概率*当前概率C；重复该过程直至待扫描的待评分密码长度为0；

其中，若当前概率C的值为0，则利用Laplace平滑系数代替C，将C记为该当前计算片段的当前概率。

有益效果

本申请采用特殊名词对照表对直接使用特殊名词（比如人名，地名等）构成的密码进行直接判别为0分的操作。再利用中文字母有序对照表和英文字母有序对照表构建的马尔科夫矩阵，再以对待评分密码从左到右按片段对照马尔科夫矩阵后，利用贝叶斯方法计算密码评分对应概率的方法，有效克服现有技术中心：完全基于策略的密码评估过于粗糙，无法做到精准化评定，容易出现误判；而完全基于密码评分算法评分则又显得效率较低；常用密码评分算法对密码中替换个别字符场景下，评分结果不稳定的技术问题。

附图说明

图1 绘示本申请中中文语言对照表和英文语言对照表的生成流程图；

图2 绘示本申请中密码强度评分流程图；

图3 绘示本申请中密码强度最终概率评分流程图；

图4 绘示本申请密码强度最终概率计算流程示例图。

具体实施方式

为使本发明实施例的目的和技术方案更加清楚，下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于所描述的本发明的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语（包括技术术语和科学术语）具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

本申请的核心逻辑是：以待评分密码为参数一，利用中文语言有序字母对照表和英文语言有序字母对照表作为马尔科夫矩阵；对参数一从左到右利用指针进行扫描，每次取固定长度为2的数据；将每次取出的数据在马尔科夫矩阵中找到对应的概率；再利用类似朴素贝叶斯模型的算法，求解待评分密码的评分对应概率；最后将这个评分对应概率利用固定的映射关系，映射到0分，1分和2分的评分结果。其中得分越高，表示密码的强度越强。

解释：本文中所述的密码均是指传统密码。所述传统密码皆是由字母、数字以及特殊符号组成的密码。

本文的整体思路如下：

如图1所示，利用概率学习的方法，对语料数据进行学习，总结得到自然语言中字母之间概率的分布，该分布称为对照表。

具体为：根据语料库获得中文语言中有序字母组合的概率分布，得到中文语言有序对照表，该中文语言有序对照表即为马尔科夫模型用的马尔科夫矩阵一；所述中文语言有序对照表包括中文语言拼音字母有序组合以及其对应的概率；其中，中文语言有序对照表中的字母组合的概率分布式是通过利用概率学习的方法，对语料数据进行学习，计算语料数据得到的。

示例为：例如，语料为{我是中国人, 你也是中国人}，则其对应的拼音字母为woshizhongguorenniyeshizhongguoren，则第一个片段wo表示w到o出现了一次，第二个片段os表示o到s出现一次，以此类推，可以得到以下中文语言有序对照表1（计数表）：

表1

总共是32个计算片段，将上表除以计算片段总数，得到以下中文语言有序对照表2（概率表，其中数字代表百分比）：

表2 对照表

根据语料库获得英文语言中有序字母组合的概率分布，得到英文语言有序对照表，该英文语言有序对照表即为马尔科夫模型用的马尔科夫矩阵二；所述英文语言有序对照表包括英文语言中字母有序组合以及其对应的概率。英文语言有序对照表中的字母组合的概率分布式是通过利用概率学习的方法，对语料数据进行学习，计算语料数据得到的。

例如，语料为{show me the money, show me more money}，则第一个片段sh表示s到h出现了一次，第二个片段ho表示h到o出现了一次，以此类推，得到以下英文语言有序对照表3（计数表）：

表3

总计28个计算单元，将上表除以计算单元总数，得到以下英文语言有序对照表（概率表，其中数字代表百分比）：

表4

制备特殊名词对照表，该特殊名词对照表；特殊名词表包括特殊名词组合以及其对应的概率；所述特殊名词来自地名字典、人名字典、特定符号字典、特定缩写字典、企业名称、商标名称和键盘上有序字符集合；举例说明如表5所示。

表5

如图2所示，遍历特殊名词对照表，若待评分密码完全匹配特殊名词对照表中的任何一条记录，则停止评分，返回0分；

若待评分密码未完全匹配特殊名词对照表中的任何信息，则利用中文语言有序对照表构建马尔科夫模型中的马尔科夫矩阵一，利用英文语言有序对照表构建马尔科夫模型中的马尔科夫矩阵二；再以指针按序遍历待评分密码，依次查询所遍历的待评分密码中相邻两字符在马尔科夫矩阵一与马尔科夫矩阵二中最小概率值，迭代计算所有相邻两字符的最小概率值，形成密码强度；其中，若待评分密码中一相邻两字符不存在于中文语言有序对照表和英文语言有序对照表中，则该相邻两字符的概率定义为0。

举例，例如根据语料库得到下列中文对照表6：

表6

那么，根据此对照表，可以认为第一位为A且第二位为A的概率为0.4，第一位为A且第二位为B的概率为0.1，第一位为A且第二位为C的概率为0.2，以此类推，得到“当前计算片段”的中文计算的“当前概率”。

举例，例如根据语料库得到下列英文对照表7；

表7

那么，根据此对照表7，可以认为第一位为A且第二位为A的概率为0.65，第一位为A且第二位为B的概率为0.25，第一位为A且第二位为C的概率为0.1，以此类推，得到每个“当前计算片段”的英文计算的“当前概率”。

其中，迭代计算过程中，若存在概率为0的字符组，则采用将概率0采用Laplace平滑系数处理。本文中Laplace平滑系数定义为0.001。

如图3所示，采用迭代算法时包括如下流程：

设置初始最终概率为1；

扫描指针移动待评分密码的第1位，核实待扫描的待评分密码长度是否为0，为0则返回最终概率；

不为0，则扫描指针后移1位，取扫描指针之前的位置与此时扫描指针对应的位置的数据，构成长度为2的数据块，记为当前计算片段；将当前计算片段与中文语言有序对照表比对，得到当前计算片段的概率A；将当前计算片段与英文语言有序对照表比对，得到当前计算片段的概率B；将概率A与概率B中最小值，记为当前概率C；则本轮计算的最终概率=上一轮的最终概率*当前概率C；重复该过程直至待扫描的待评分密码长度为0；

其中，若当前概率C的值为0，则利用Laplace平滑系数代替C，将C记为该当前计算片段的当前概率。

迭代计算所有相邻两字符概率后形成密码强度包括：利用映射函数将概率形式的密码强度映射成最终的0分，1分或2分的结果；分值越大，则密码的强度越强；

具体包括：

设置映射函数final_prob=-log₁₀(prob/n)

其中，final_prob代表待评分密码的最终强度；

prob代表迭代计算所有相邻两字符最小概率得到的概率；

n代表待评分密码的长度;

若final_prob的值小于0.0025，则待评分密码得分为0；

若final_prob的值介于0.0025—0.3，则待评分密码得分为1；

若final_prob的值大于0.3，则待评分强度得分为2。

本申请的技术方案利用中文语言有序对照表和英文语言有序对照表作为马尔科夫矩阵；利用迭代的朴素贝叶斯算法，将密码强度转换成密码的片段在自然语言中有序出现的联合概率；利用特殊名词对照表，排除已经可归纳为特殊名词的待评分密码的算法评分，以在不影响评分精准性的条件下，增加评分的效率。其有效实现对传统密码进行快速直观自动评分。

尤其是，马尔科夫模型具有鲁邦性，在密码安全评分中具有优势。举例来说，最终模型对密码”tommyXyzPara”的评分为1，而对密码”t0mmyXyzPa2@”的评分也为1。可见马尔科夫对密码中替换了一些字符的情况，评分是相对稳定的。这样可以弥补常见的密码安全性评估是一些基于策略的评估方法中对特殊符号过于敏感等问题。

具体应用，如图4所示，设一密码为_par@。

首先，单独比对特殊名词对照表，看是否完全落入特殊名词对照表，若落入则直接返回0值，若未落入则进行如下迭代算法。经比对该密码为落入特殊名词对照表中。

其次，利用马尔科夫模型，扫描指针从_挪至p的后面，计算当前片段_p的当前概率为0.001（由于_不存在于中文语言有序对照表中也不存在于英文语言有序对照表中，故当前概率为0，进行Laplace平滑），当前最终概率为初始最终概率1*0.001；

扫描指针从p挪至a，当前片段pa的当前概率为0.014（中文语言对照表或英文语言对照表中最小值）；当前最终概率为1*0.001*0.014，即1.4e^-5;

扫描指针从a挪至r，当前片段ar的当前概率为0.046（中文语言对照表或英文语言对照表中最小值）；当前最终概率为1*0.001*0.014*0.046，即6.44e^-7；

扫描指针从r挪至@，当前片段r@的当前概率0.001（由于落入特殊名词对照表，故当前概率为0，进行Laplace平滑）；当前最终概率为1*0.001*0.014*0.046*0.001，即6.44e^-10；

输出最终概率6.44e^-10；

输入映射函数final_prob=-log₁₀(prob/n)，换成得分1。

以上仅为本发明的实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些均属于本发明的保护范围。

Claims (4)

1.一种传统密码强度评分方法，其特征在于，包括如下步骤：

根据语料库获得中文语言中有序字母组合的概率分布，得到中文语言有序对照表，该中文语言有序对照表即为马尔科夫模型用的马尔科夫矩阵一；所述中文语言有序对照表包括中文语言拼音字母有序组合以及其对应的概率；

根据语料库获得英文语言中有序字母组合的概率分布，得到英文语言有序对照表，该英文语言有序对照表即为马尔科夫模型用的马尔科夫矩阵二；所述英文语言有序对照表包括英文语言中字母有序组合以及其对应的概率；

制备特殊名词对照表，该特殊名词对照表；特殊名词表包括特殊名词组合以及其对应的概率；所述特殊名词来自地名字典、人名字典、特定符号字典、特定缩写字典、企业名称、商标名称和键盘上有序字符集合；

遍历特殊名词对照表，若待评分密码完全匹配特殊名词对照表中的任何一条记录，则停止评分，返回0分；

若待评分密码未完全匹配特殊名词对照表中的任何信息，则利用中文语言有序对照表构建马尔科夫模型中的马尔科夫矩阵一，利用英文语言有序对照表构建马尔科夫模型中的马尔科夫矩阵二；再以指针按序遍历待评分密码，依次查询所遍历的待评分密码中相邻两字符在马尔科夫矩阵一与马尔科夫矩阵二中最小概率值，迭代计算所有相邻两字符的最小概率值，形成密码强度；其中，若待评分密码中一相邻两字符不存在于中文语言有序对照表和英文语言有序对照表中，则该相邻两字符的概率定义为0；

其中，迭代计算过程中，若存在概率为0的字符组，则采用将概率0采用Laplace平滑系数处理。

2.根据权利要求1所述的一种传统密码强度评分方法，其特征在于，迭代计算所有相邻两字符概率后形成密码强度包括：利用映射函数将概率形式的密码强度映射成最终的0分，1分或2分的结果；

具体包括：

设置映射函数final_prob＝-log₁₀(prob/n)

其中，final_prob代表待评分密码的最终强度；

prob代表迭代计算所有相邻两字符最小概率得到的概率；

n代表待评分密码的长度；

若final_prob的值小于0.0025，则待评分密码得分为0；

若final_prob的值介于0.0025—0.3，则待评分密码得分为1；

若final_prob的值大于0.3，则待评分强度得分为2。

3.根据权利要求1所述的一种传统密码强度评分方法，其特征在于，采用迭代算法时包括如下流程：

设置初始最终概率为1；

扫描指针移动待评分密码的第1位，核实待扫描的待评分密码长度是否为0，为0则返回最终概率；

不为0，则扫描指针后移1位，取扫描指针之前的位置与此时扫描指针对应的位置的数据，构成长度为2的数据块，记为当前计算片段；将当前计算片段与中文语言有序对照表比对，得到当前计算片段的概率A；将当前计算片段与英文语言有序对照表比对，得到当前计算片段的概率B；将概率A与概率B中最小值，记为当前概率C；则本轮计算的最终概率＝上一轮的最终概率*当前概率C；重复该过程直至待扫描的待评分密码长度为0；

其中，若当前概率C的值为0，则利用Laplace平滑系数代替C，将C记为该当前计算片段的当前概率。

4.根据权利要求1所述的一种传统密码强度评分方法，其特征在于，Laplace平滑系数定义为0.001。