CN117034250A - 口令处理方法、装置、非易失性存储介质和电子设备 - Google Patents

口令处理方法、装置、非易失性存储介质和电子设备 Download PDF

Info

Publication number
CN117034250A
CN117034250A CN202311011035.0A CN202311011035A CN117034250A CN 117034250 A CN117034250 A CN 117034250A CN 202311011035 A CN202311011035 A CN 202311011035A CN 117034250 A CN117034250 A CN 117034250A
Authority
CN
China
Prior art keywords
password
rule
target
plaintext
target password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311011035.0A
Other languages
English (en)
Inventor
李平
梁亚女
陈燕妮
王淼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202311011035.0A priority Critical patent/CN117034250A/zh
Publication of CN117034250A publication Critical patent/CN117034250A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种口令处理方法、装置、非易失性存储介质和电子设备。涉及金融科技领域,该方法包括:获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。通过本申请,解决了相关技术中弱口令检查过程中存在信息泄露风险的技术问题。

Description

口令处理方法、装置、非易失性存储介质和电子设备
技术领域
本发明涉及金融科技领域或其他相关领域,具体而言,涉及一种口令处理方法、装置、非易失性存储介质和电子设备。需要说明的是,本发明确定的口令处理方法、装置、非易失性存储介质和电子设备可用于金融科技领域进行口令处理,也可用于除金融科技领域之外的任意领域进行口令处理,本发明涉及的口令处理方法、装置、非易失性存储介质和电子设备的应用领域不做限定。
背景技术
现有技术中为了检查用户是否设置了弱口令,会将用户在前端设置的新口令加密传输到后台,后台系统通过解密,然后按弱口令规则进行检查,如果符合弱口令条件则返回前端告知用户需要设置一个复杂度更高的口令。但在数据传输过程中存在用户口令泄露风险和安全合规风险。所以只能对于一些不重要的口令(非支付交易、非协议签订类等)进行处理。
针对相关技术中弱口令检查过程中存在信息泄露风险的技术问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种口令处理方法、装置、非易失性存储介质和电子设备,以至少解决弱口令检查过程中存在信息泄露风险的技术问题。
为了实现上述目的,根据本申请的一个方面,提供了一种口令处理方法。该方法包括:获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。
可选地,获取验证规则,包括:获取待验证规则和待验证规则的签名;在可信执行环境中,采用预存的公钥将待验证规则的签名解密,得到待验证规则的签名明文;对待验证规则进行哈希运算,得到待验证规则的哈希值;在待验证规则的签名明文与待验证规则的哈希值匹配的情况下,确定待验证规则为验证规则。
可选地,判断目标口令明文是否符合验证规则之前,包括:在可信执行环境中创建可信应用空间,其中,可信应用空间为判断目标口令明文是否符合验证规则提供运行环境。
可选地,在验证规则包括N条规则的情况下,其中,N为大于1的整数,判断目标口令明文是否符合验证规则,包括:将目标口令明文分别与N条规则进行匹配;在目标口令明文符合N条规则包括的任意规则的情况下,确定目标口令为弱口令。
可选地,还包括:获取目标口令对应的用户的个人信息;在可信执行环境中,根据个人信息生成特征规则;在可信执行环境中,判断目标口令明文是否符合特征规则,得到第二判断结果;在第二判断结果为目标口令明文符合特征规则的情况下,确定目标口令为弱口令。
可选地,还包括:在得到第二判断结果后,删除个人信息和特征规则。
可选地,还包括:生成弱口令提示信息,其中,弱口令提示信息用于提示目标口令对应的用户修改目标口令;将弱口令提示信息发送至目标口令对应的用户。
为了实现上述目的,根据本申请的另一方面,提供了一种口令处理装置。该装置包括:获取模块,用于获取目标口令的目标口令密文和验证规则;解密模块,用于在可信执行环境中,将目标口令密文解密,得到目标口令明文;判断模块,用于在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;确定模块,用于在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。
为了实现上述目的,根据本申请的另一方面,提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备上述中任意一项的口令处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种电子设备,包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述中任意一项的口令处理方法。
通过本申请,采用以下步骤:获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令,达到了在安全环境中进行弱口令检查的目的,解决了相关技术中弱口令检查过程中存在信息泄露风险的技术问题,进而达到了提高弱口令检查过程的安全性的技术效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的口令处理方法的流程图;
图2是根据本申请可选实施例提供的口令处理方法的系统结构框架图;
图3是根据本申请实施例提供的口令处理装置的示意图;
图4是根据本发明实施例提供的用于进行口令处理方法的电子设备的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
因用户行为习惯等影响,用户在设置口令时,很容易设置过于简单的口令,即安全等级较低的口令,一般可以被称为弱口令,例如生日、身份证号,或者简单连续的字母或者数字,在这种情况下,口令很容易被猜到。尤其在银行卡领域等领域,受特殊键盘限制,一般只能输入4-12位数字,导致口令被猜测攻击的风险更高。需要说明的是,上述提到的口令是一串字符、数字或符号的组合,用于验证用户身份并保护信息的安全性。口令通常用于登录电子设备、网站、应用程序或其他系统,并限制非授权用户访问。日常生活中的密码与口令含义相近,所以日常中也会采用密码代替口令一词。但是在密码学中,密码是指一种用于保护信息安全的技术或方法。它是通过对信息进行加密或隐藏,使得只有授权的用户能够解密或访问该信息。所以为了使本技术领域人员更好地理解本申请方案,本文采用口令一词。
相关技术中一般会在后台进行弱口令检查,但后台环境安全性较低,弱口令在检查的过程中可能会受到攻击导致用户的敏感信息泄漏,不能很好地保证用户的信息安全。为了解决相关技术中的问题,本发明提供了一种口令处理方法,下面结合优选的实施步骤对本发明进行说明,图1是根据本申请实施例提供的口令处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,获取目标口令的目标口令密文和验证规则。
本步骤中,执行主体可以为金融机构的服务器,金融机构的口令服务系统可以包括服务器,以及与用户交互的终端。用户可以通过终端向金融机构发送设置的目标口令,此时,用户终端可以为口令服务系统的前端系统。前端系统可以对目标口令进行加密,然后将加密后的目标口令密文传输到位于口令服务系统中的后台服务器,这样以密文的形式进行传输,可以防止口令在传输过程中被恶意攻击导致口令泄漏,达到了保护用户信息的技术效果。进一步地,前端系统可以将加密后的目标口令密文传输至后台服务器的可信执行环境中,基于可信执行环境,目标口令密文泄漏的风险将会进一步降低。
获取验证规则,也可以是获取验证规则的密文。将验证规则加密后存储在后台服务器中,需要使用验证规则时,再对其进行解密,得到验证规则的明文。这样可以防止验证规则存储在后台服务器时被泄露,提高了弱口令检测的准确性和安全性。其中,验证规则可以为预先设定好的通用规则,即,不具有个人特征,适用于所有人且具有一定规律容易被猜到的规则,比如相同字符(如:111111)、顺序字符(如:123456)、逆序字符(如:654321)、键盘顺序字符(如:qwerty)、简单重叠(如:112233)等。
步骤S102,在可信执行环境中,将目标口令密文解密,得到目标口令明文。
本步骤中,可以将目标口令的密文传输到可信执行环境中,因为可信执行环境为一个安全可信的环境,所以在可信执行环境中对目标口令密文进行解密,可以确保目标口令明文不被恶意攻击导致口令泄漏,达到了保护用户信息,提高检测过程的安全性的技术效果。当然,也可以不对目标口令密文进行解密,直接将目标口令密文与验证规则进行匹配,但这种情况下,需要采用将目标口令加密为目标口令密文的加密方式,将验证规则包括的弱密码示例也进行加密,得到验证规则密文,将验证规则密文与目标口令密文进行匹配。由于验证规则包括的弱口令示例可能较多,将其全部加密可能会造成匹配过程时间过长。所以,将目标口令密文解密成目标口令明文,便于后续与验证规则的匹配,节省了匹配时间。
步骤S103,在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果。
本步骤中,判断目标口令明文是否符合验证规则,可以采用正则表达式进行判断。其中,正则表达式是一种用来匹配、查找和替换字符串的工具。它通过定义一种特定的模式来描述所需匹配的字符串的规则,然后在目标字符串中搜索符合该模式的子字符串。正则表达式的匹配过程首先要将正则表达式的字符串形式编译成一个正则表达式对象;然后,将待匹配的文本输入给已编译的正则表达式对象;最后进行文本匹配,正则表达式引擎会按照正则表达式的规则从左到右扫描文本,尝试找到与正则表达式匹配的文本部分。其中,正则表达式的匹配规则可以包括字符、字符集合、限定符、分组等。匹配过程中,引擎会根据这些规则进行匹配。具体地,金融机构的后台服务器可以事先导入正则表达式的模块,根据实际需要选择正则表达式的匹配模式,然后使用正则表达式的语法来描述验证规则。使用编译后的正则表达式对目标口令进行匹配操作,用来判断目标口令明文是否符合验证规则。具体地,可以选择字面量文本匹配模式,即,当目标口令明文与验证规则中任意一条规则的内容完全相同,包括字符的顺序和大小写等方面都一致的时候,认为目标口令明文与验证规则相匹配。
步骤S104,在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。
本步骤中,当第一判断结果为目标口令明文符合验证规则时,可以认为目标口令为容易被攻击猜测的口令,此时确定目标口令为弱口令,即,安全等级低于预订等级的口令。然后可以根据检查结果生成提示信息发送至用户,提醒用户输入的口令为弱口令。
作为一种可选的实施例,获取验证规则,包括:获取待验证规则和待验证规则的签名;在可信执行环境中,采用预存的公钥将待验证规则的签名解密,得到待验证规则的签名明文;对待验证规则进行哈希运算,得到待验证规则的哈希值;在待验证规则的签名明文与待验证规则的哈希值匹配的情况下,确定待验证规则为验证规则。
可选地,为了进一步提高目标口令的安全性,需要确保验证规则在传输过程中不被恶意篡改。如果恶意者将事先设定好的验证规则进行删除或者篡改,会使此时的验证规则不具有参考性和准确性。例如,用户输入的目标口令按照原本正确的验证规则进行检查,与验证规则中的一条规则匹配,此时目标口令被确定为弱口令,但被恶意篡改的验证规则中,这条规则可能被篡改或者删除,这样在弱口令的检查过程中,目标口令与验证规则不匹配,会确定目标口令不是弱口令,此时的检查结果并不准确,恶意者可能会基于这个被删除或者篡改的规则对用户设置的口令进行猜测攻击,导致用户的口令泄漏,进而导致用户的个人敏感信息泄漏。
在接收到待验证规则后,要对待验证规则进行公钥验签,即,通过公钥对验证规则的签名进行验证,以保证待验证规则是由可信执行环境信任的一方发出,并且在传输过程中待验证规则没有被恶意篡改,确保了待验证规则的安全性和可靠性,也为后续的弱口令检查创造了安全条件,保证了检查结果的准确性和可靠性。
可信执行环境中预先配置好了公钥证书,其中,公钥证书中包含公钥和与公钥相关的信息。待验证规则的签名是对待验证规则进行哈希运算,得到待验证规则的哈希值,然后通过私钥进行加密得到的。其中,公私钥为事先设定好且相互匹配的。获取存储在后端的待验证规则,采用从公钥证书中获取的公钥将待验证规则的签名解密,得到待验证规则的签名明文,即,待验证规则的哈希值。对可信执行环境接收到的待验证规则进行哈希运算,得到此时待验证规则的哈希值,如果在传输过程中待验证规则被篡改,那么两个哈希值将不匹配;如果两个哈希值匹配,则验证通过,待验证规则在传输过程中没有被篡改而且为可信的。此时,可以将验证规则加载到可信执行环境中,为后续的弱口令检查做准备。通过公钥验签可以检测待验证规则是否为可信的、没有被篡改的,达到了提高检查过程安全性和检查结果可靠性的技术效果,进而更好的保护用户隐私。
具体的,金融机构的服务机器的后台服务器作为保存验证规则的一方,可信执行环境为接收验证规则的一方,两方事先约定好了相互匹配的公私钥。其中,后台服务器事先对待验证规则进行哈希运算,得到待验证规则的哈希值,再用私钥对哈希值进行加密,得到哈希值的密文,即,待验证规则的签名。采用可信执行环境中的公钥对待验证规则的签名进行解密,得到待验证规则的签名明文。对接收到的待验证规则进行同样的哈希运算,得到待验证规则的哈希值。将待验证签名的明文与待验证规则的哈希值进行匹配,匹配成功,待验证规则才可以作为验证规则被判断弱口令过程调用。其中,若待验证规则在传输过程中被篡改,得到的待验证规则的哈希值将无法与待验证规则的签名明文匹配,则验证失败,待验证规则无法作为验证规则被判断弱口令过程调用。若待验证规则不是可信执行环境所信任的一方发出的,此时保存验证规则的一方采用的对待验证规则加密的私钥与可信执行环境中设定的公钥不匹配,此时得到的待验证规则的签名明文和待验证规则的哈希值也不匹配,即,验证失败,待验证规则也无法作为验证规则被调用。
作为一种可选的实施例,判断目标口令明文是否符合验证规则之前,包括:在可信执行环境中创建可信应用空间,其中,可信应用空间为判断目标口令明文是否符合验证规则提供运行环境。
可选地,可以在可信执行环境中创建可信应用空间,可信应用空间可以为程序提供一个安全的运行空间。在可信应用空间中可以保证进行弱口令检查时不受到攻击,进而会保护口令以及用户的个人信息,防止敏感信息泄漏。其中,目标口令密文的解密过程也可以在可信应用空间中进行,可以保证目标口令的明文不被泄露。创建可信应用空间可以提供更高级别的安全保护,确保运行过程的安全性以及数据的安全和完整。
作为一种可选的实施例,在验证规则包括N条规则的情况下,其中,N为大于1的整数,判断目标口令明文是否符合验证规则,包括:将目标口令明文分别与N条规则进行匹配;在目标口令明文符合N条规则包括的任意规则的情况下,确定目标口令为弱口令。
可选地,当验证规则中包含多条规则时,多条规则以串联方式存在,即,当目标口令明文与验证规则中的任意一条规则相匹配的时候,就可以确定目标口令明文为弱口令。
作为一种可选的实施例,还包括:获取目标口令对应的用户的个人信息;在可信执行环境中,根据个人信息生成特征规则;在可信执行环境中,判断目标口令明文是否符合特征规则,得到第二判断结果;在第二判断结果为目标口令明文符合特征规则的情况下,确定目标口令为弱口令。
可选地,在一些特殊的场景下,还可以选择将用户的个人信息作为特征规则进行弱口令判断。可以用参数开关来表示是否需要加入特征规则,on代表接受特征规则,off代表拒绝特征规则,参数开关由金融机构决定,当需要将个人信息作为特征规则进行判断时,金融机构将后台服务器中的参数开关设置为on。另外,用户也可以自己选择是否将敏感信息向金融机构公开,可以在与用户交互的界面上设置选项,yes代表用户允许金融机构获取个人信息,no表示用户拒绝金融机构获取个人信息。当参数开关为on,且用户选择为yes的时候,金融机构可以获取用户个人信息。金融机构的服务器在获取目标口令的同时,获取与该目标口令对应的用户信息,比如身份证号,生日,手机号码等。同样的,可以将用户信息加密传输至可信执行环境,在可信执行环境中,再将用户信息解密,达到了保障用户个人信息不被泄露的技术效果。在可信执行环境中,根据用户的个人信息以及对于口令的位数要求,生成特征规则,比如口令包括身份证号码后六位,或手机号后四位等,根据特征规则判断目标口令是否为弱口令,若目标口令与特征规则中的任意规则匹配,则确定目标口令为弱口令,其中,特征规则只能用于对应用户的弱口令检查,不适用于其他用户的弱口令检查。
作为一种可选的实施例,还包括:在得到第二判断结果后,删除个人信息和特征规则。
可选地,在根据特征规则判断目标口令是否是弱口令结束后,及时删除掉用户的个人信息以及根据个人信息生成的特征规则,防止用户的敏感信息被泄露,充分保护用户隐私。同时,还可以避免影响下一位用户的弱口令检查,而且可以节省内存空间,防止因为存储了太多的用户信息和特征规则导致检查过程时间加长,降低检查效率。
作为一种可选的实施例,还包括:生成弱口令提示信息,其中,弱口令提示信息用于提示目标口令对应的用户修改目标口令;将弱口令提示信息发送至目标口令对应的用户。
可选地,当确定目标口令为弱口令时,生成弱口令提示信息。其中,弱口令提示信息仅作为一个提示用户目标口令为弱口令的信息,提示用户此时口令的安全等级较低,可以对口令进行修改。弱口令提示信息中不会包含用户的个人信息以及用户输入的目标口令,同时也不会强制性要求用户对设置的口令进行修改。
本申请实施例提供的口令处理方法,通过获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令,解决了相关技术中弱口令检查过程中存在信息泄露风险的技术问题,进而达到了提高弱口令检查过程的安全性的技术效果。需要说明的是,相关技术中还可以把弱口令的验证规则写成安全需求,由硬件安全设备厂商协助开发实现,后续弱口令判断在硬件中完成。但这种方案由于是通过将检查逻辑由硬件安全厂商实现,一方面暴露了机构自身的验证规则,另一方面当规则发生变化时会导致需要公司升级所有硬件,复杂度很高,且无法快速实现。由于本发明的方案中,验证规则是存储在后台,根据指令加载到可信执行环境中,而且可以根据个人信息生成特征规则。当验证规则需要发生变化时,可以调整验证规则的内容,进行更新优化。因此,相对于相关技术,本发明方案能够避免与安全硬件设备紧耦合,可以实现验证规则的快速调整。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
下面提供一种本发明的具体实施方式:
图2是根据本申请可选实施例提供的口令处理方法的系统结构框架图,如图2所示,其中,前端系统用于接收用户输入口令以及对口令进行加密,业务系统用于进行信息传输,检查系统包括口令模块、弱口令检查模块和返回模块,其中,口令模块用于进行目标口令密文的解密,弱口令检查模块用于判断目标口令是否符合验证规则,返回模块用于生成弱口令提示信息并发送至用户,验证规则模块用于存储验证规则。下面对本申请可选实施例提供的口令处理方法的具体实现流程进行说明:
在系统加载之前,获取可信执行环境中预先设定好的公钥,对口令模块、弱口令检查模块和返回模块的签名进行验证,确定口令模块、弱口令检查模块和返回模块可信,将三个模块加载到可信执行环境中,在可信执行环境内,将三个模块解密,得到三个模块的明文。然后创建一个可信应用空间,将口令模块、弱口令检查模块和返回模块加载至可信应用空间中,准备进行弱口令检查。
采用预先设定好的公钥对验证规则的签名进行验证,验证通过后,将验证规则加载至可信应用环境中解密,得到验证规则的明文。
用户输入口令至前端系统中,前端系统对口令进行加密,得到口令密文,业务系统接收到前端请求后,调用口令检查接口,与可信执行环境建立连接,将口令密文传输至可信应用空间中的口令模块。若参数开关为on,即,接收特征规则,在传输口令密文的同时,将根据用户的个人信息生成特征规则传送到验证规则模块。
在口令模块对口令密文进行解密,得到口令明文,将口令明文传送至弱口令检查模块,调用验证规则模块,将口令明文与验证规则模块中存储的规则一一匹配,在口令明文与验证模块存储的任意一条规则匹配的情况下,确定口令为弱口令。判断结束后,将获取到的个人信息以及验证规则模块中存储的特征规则删除。将得到的检查结果传送至返回模块,在口令为弱口令的情况下,返回模块生成弱口令提示信息发送至用户,提示用户输入的口令为弱口令,可以选择修改口令。
本申请实施例还提供了一种口令处理装置,需要说明的是,本申请实施例的口令处理装置可以用于执行本申请实施例所提供的用于口令处理方法。以下对本申请实施例提供的口令处理装置进行介绍。
图3是根据本申请实施例的口令处理装置的示意图。如图3所示,该装置包括:获取模块31,用于获取目标口令的目标口令密文和验证规则;解密模块32,与获取模块31连接,用于在可信执行环境中,将目标口令密文解密,得到目标口令明文;判断模块33,与解密模块32连接,用于在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;确定模块34,与判断模块33连接,用于在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。
可选地,在本申请实施例的口令处理装置中包括:获取模块用于获取验证规则,包括:第一获取单元,用于获取待验证规则和待验证规则的签名;在可信执行环境中,采用预存的公钥将待验证规则的签名解密,得到待验证规则的签名明文;对待验证规则进行哈希运算,得到待验证规则的哈希值;在待验证规则的签名明文与待验证规则的哈希值匹配的情况下,确定待验证规则为验证规则。
可选地,在本申请实施例的口令处理装置中包括:判断模块用于判断目标口令明文是否符合验证规则之前,包括:创建单元,用于在可信执行环境中创建可信应用空间,其中,可信应用空间为判断目标口令明文是否符合验证规则提供运行环境。
可选地,在本申请实施例的口令处理装置中包括:判断模块用于在验证规则包括N条规则的情况下,其中,N为大于1的整数,判断目标口令明文是否符合验证规则,包括:匹配单元,用于将目标口令明文分别与N条规则进行匹配;在目标口令明文符合N条规则包括的任意规则的情况下,确定目标口令为弱口令。
可选地,在本申请实施例的口令处理装置中包括:第二获取单元,用于获取目标口令对应的用户的个人信息;在可信执行环境中,根据个人信息生成特征规则;在可信执行环境中,判断目标口令明文是否符合特征规则,得到第二判断结果;在第二判断结果为目标口令明文符合特征规则的情况下,确定目标口令为弱口令。
可选地,在本申请实施例的口令处理装置中包括:删除单元,用于在得到第二判断结果后,删除个人信息和特征规则。
可选地,在本申请实施例的口令处理装置中包括:生成单元,用于生成弱口令提示信息,其中,弱口令提示信息用于提示目标口令对应的用户修改目标口令;将弱口令提示信息发送至目标口令对应的用户。
本申请实施例提供的口令处理装置,通过获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令,解决了相关技术中弱口令检查过程中存在信息泄露风险的技术问题,进而达到了提高弱口令检查过程的安全性的技术效果。
所述口令处理装置包括处理器和存储器,上述获取模块31,解密模块32,判断模块33,确定模块34等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数在安全环境中进行弱口令检查。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述口令处理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述口令处理方法。
如图4所示,本发明实施例提供了一种电子设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。
可选地,获取验证规则,包括:获取待验证规则和待验证规则的签名;在可信执行环境中,采用预存的公钥将待验证规则的签名解密,得到待验证规则的签名明文;对待验证规则进行哈希运算,得到待验证规则的哈希值;在待验证规则的签名明文与待验证规则的哈希值匹配的情况下,确定待验证规则为验证规则。
可选地,判断目标口令明文是否符合验证规则之前,包括:在可信执行环境中创建可信应用空间,其中,可信应用空间为判断目标口令明文是否符合验证规则提供运行环境。
可选地,在验证规则包括N条规则的情况下,其中,N为大于1的整数,判断目标口令明文是否符合验证规则,包括:将目标口令明文分别与N条规则进行匹配;在目标口令明文符合N条规则包括的任意规则的情况下,确定目标口令为弱口令。
可选地,还包括:获取目标口令对应的用户的个人信息;在可信执行环境中,根据个人信息生成特征规则;在可信执行环境中,判断目标口令明文是否符合特征规则,得到第二判断结果;在第二判断结果为目标口令明文符合特征规则的情况下,确定目标口令为弱口令。
可选地,还包括:在得到第二判断结果后,删除个人信息和特征规则。
可选地,还包括:生成弱口令提示信息,其中,弱口令提示信息用于提示目标口令对应的用户修改目标口令;将弱口令提示信息发送至目标口令对应的用户。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取目标口令的目标口令密文和验证规则;在可信执行环境中,将目标口令密文解密,得到目标口令明文;在可信执行环境中,判断目标口令明文是否符合验证规则,得到第一判断结果;在第一判断结果为目标口令明文符合验证规则的情况下,确定目标口令为弱口令,其中,弱口令为安全等级低于预定等级的口令。
可选地,获取验证规则,包括:获取待验证规则和待验证规则的签名;在可信执行环境中,采用预存的公钥将待验证规则的签名解密,得到待验证规则的签名明文;对待验证规则进行哈希运算,得到待验证规则的哈希值;在待验证规则的签名明文与待验证规则的哈希值匹配的情况下,确定待验证规则为验证规则。
可选地,判断目标口令明文是否符合验证规则之前,包括:在可信执行环境中创建可信应用空间,其中,可信应用空间为判断目标口令明文是否符合验证规则提供运行环境。
可选地,在验证规则包括N条规则的情况下,其中,N为大于1的整数,判断目标口令明文是否符合验证规则,包括:将目标口令明文分别与N条规则进行匹配;在目标口令明文符合N条规则包括的任意规则的情况下,确定目标口令为弱口令。
可选地,还包括:获取目标口令对应的用户的个人信息;在可信执行环境中,根据个人信息生成特征规则;在可信执行环境中,判断目标口令明文是否符合特征规则,得到第二判断结果;在第二判断结果为目标口令明文符合特征规则的情况下,确定目标口令为弱口令。
可选地,还包括:在得到第二判断结果后,删除个人信息和特征规则。
可选地,还包括:生成弱口令提示信息,其中,弱口令提示信息用于提示目标口令对应的用户修改目标口令;将弱口令提示信息发送至目标口令对应的用户。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种口令处理方法,其特征在于,包括:
获取目标口令的目标口令密文和验证规则;
在可信执行环境中,将所述目标口令密文解密,得到目标口令明文;
在所述可信执行环境中,判断所述目标口令明文是否符合所述验证规则,得到第一判断结果;
在所述第一判断结果为所述目标口令明文符合所述验证规则的情况下,确定所述目标口令为弱口令,其中,所述弱口令为安全等级低于预定等级的口令。
2.根据权利要求1所述的方法,其特征在于,所述获取验证规则,包括:
获取待验证规则和所述待验证规则的签名;
在所述可信执行环境中,采用预存的公钥将所述待验证规则的签名解密,得到所述待验证规则的签名明文;
对所述待验证规则进行哈希运算,得到所述待验证规则的哈希值;
在所述待验证规则的签名明文与所述待验证规则的哈希值匹配的情况下,确定所述待验证规则为所述验证规则。
3.根据权利要求1所述的方法,其特征在于,所述判断所述目标口令明文是否符合所述验证规则之前,包括:
在所述可信执行环境中创建可信应用空间,其中,所述可信应用空间为判断所述目标口令明文是否符合所述验证规则提供运行环境。
4.根据权利要求1所述的方法,其特征在于,在所述验证规则包括N条规则的情况下,其中,N为大于1的整数,所述判断所述目标口令明文是否符合所述验证规则,包括:
将所述目标口令明文分别与所述N条规则进行匹配;
在所述目标口令明文符合所述N条规则包括的任意规则的情况下,确定所述目标口令为所述弱口令。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,还包括:
获取所述目标口令对应的用户的个人信息;
在所述可信执行环境中,根据所述个人信息生成特征规则;
在所述可信执行环境中,判断所述目标口令明文是否符合所述特征规则,得到第二判断结果;
在所述第二判断结果为所述目标口令明文符合所述特征规则的情况下,确定所述目标口令为所述弱口令。
6.根据权利要求5所述的方法,其特征在于,还包括:
在得到所述第二判断结果后,删除所述个人信息和所述特征规则。
7.根据权利要求1至4中任意一项所述的方法,其特征在于,还包括:
生成弱口令提示信息,其中,所述弱口令提示信息用于提示所述目标口令对应的用户修改所述目标口令;
将所述弱口令提示信息发送至所述目标口令对应的用户。
8.一种口令处理装置,其特征在于,包括:
获取模块,用于获取目标口令的目标口令密文和验证规则;
解密模块,用于在可信执行环境中,将所述目标口令密文解密,得到目标口令明文;
判断模块,用于在所述可信执行环境中,判断所述目标口令明文是否符合所述验证规则,得到第一判断结果;
确定模块,用于在所述第一判断结果为所述目标口令明文符合所述验证规则的情况下,确定所述目标口令为弱口令,其中,所述弱口令为安全等级低于预定等级的口令。
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述的口令处理方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的口令处理方法。
CN202311011035.0A 2023-08-10 2023-08-10 口令处理方法、装置、非易失性存储介质和电子设备 Pending CN117034250A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311011035.0A CN117034250A (zh) 2023-08-10 2023-08-10 口令处理方法、装置、非易失性存储介质和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311011035.0A CN117034250A (zh) 2023-08-10 2023-08-10 口令处理方法、装置、非易失性存储介质和电子设备

Publications (1)

Publication Number Publication Date
CN117034250A true CN117034250A (zh) 2023-11-10

Family

ID=88631266

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311011035.0A Pending CN117034250A (zh) 2023-08-10 2023-08-10 口令处理方法、装置、非易失性存储介质和电子设备

Country Status (1)

Country Link
CN (1) CN117034250A (zh)

Similar Documents

Publication Publication Date Title
US10891384B2 (en) Blockchain transaction device and method
KR102493744B1 (ko) 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버
US9867043B2 (en) Secure device service enrollment
US8775794B2 (en) System and method for end to end encryption
RU2445689C2 (ru) Способ повышения ограничения доступа к программному обеспечению
US9054865B2 (en) Cryptographic system and methodology for securing software cryptography
CN111680305A (zh) 一种基于区块链的数据处理方法、装置及设备
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN111401901B (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
CN110401538B (zh) 数据加密方法、系统以及终端
CN112507326B (zh) 基于sm3杂凑算法的密码信息加密方法、装置以及计算机设备
Feng et al. A Formal Analysis of the FIDO UAF Protocol.
Marforio et al. Hardened setup of personalized security indicators to counter phishing attacks in mobile banking
CN109299944B (zh) 一种交易过程中的数据加密方法、系统及终端
CN107548542B (zh) 经强化完整性及安全性的用户认证方法
Cooijmans et al. Secure key storage and secure computation in Android
Feng et al. FIDO gets verified: A formal analysis of the universal authentication framework protocol
US20240113898A1 (en) Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity
KR20190049177A (ko) 웹브라우저를 이용한 fido 인증방법 및 그 장치
CN116956298A (zh) 应用运行环境检测方法和装置
CN117034250A (zh) 口令处理方法、装置、非易失性存储介质和电子设备
Li et al. Authenticator rebinding attack of the UAF protocol on mobile devices
KR102117871B1 (ko) 공개키 및 개인키 요소들의 분산저장을 통한 간편인증 방법 및 시스템
KR20060098412A (ko) 수시로 변동되는 비밀번호를 생성하는 비밀번호 생성모듈과이를 이용한 수시변동 비밀번호 사용방법
CN112507302A (zh) 基于密码模块执行的调用方身份鉴别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination