[发明专利]一种批量口令分级先验检验方法

说明书

技术领域

本发明属于信息安全领域。

背景技术

随着大量用户和应用上网，口令作为当前普遍采用的低成本的系统用户认证方法对于系统安全至关重要。可以预见基于口令的认证将在今后相当长时期内继续实施。诸多口令泄露安全事件和文献表明，国内系统管理方口令管理上存在重大疏忽，另一方面国内用户缺少细致的口令设置指导，导致用户采用弱口令比例远高于国际用户。因此我国具有大量用户的系统在口令安全方面面临较高的风险。提供一种面向大量口令的定期高效的分级检验评估方法能增强系统整体安全，它也可以在用户创建口令时就建立有效的干预和指导，拒绝弱口令。

目前相当多系统采用先验口令检验技术进行口令安全性判断，主要表现为根据口令长度、字符集大小、用户姓名拼写习惯、以及与用户名的重复性等简单规则判断口令的强弱，有些给出弱、中、强等分级评估。但基于简单规则的先验方法对于弱口令判断的准确度不足，用户很容易构建符合规则的弱口令通过检验。其中构建高效精巧的弱口令字典是提高口令分级判断精度的关键。

区别于简单文法规则的先验口令检验方法，基于马尔可夫模型的方法立足统计，构建口令的概率转移矩阵，从而能有效评价待测口令的强弱。但马尔可夫模型法的精度依赖于阈值的设定。此外基于布鲁姆过滤器的可以支持复杂模式的口令强弱判断，但非常依赖于弱口令字典。

发明内容

本发明立足中国用户口令设置习惯，面向有大量用户的系统口令安全评估需求，提出了一种快速有效并批量评估口令强度的方法。使得系统在用户创建口令时能有效评估口令强度，规避中国用户常见的、易于猜测的口令，以达到保护系统总体安全的效果。

本发明所述的批量口令分级先验检验方法，由两个部分组成：基于真实口令数据的分级与分级口令模型的训练与检索。在分级过程中，先要采样提取百万级的中国用户口令数据，得到样本训练集，然后由样本训练集通过二阶的马尔可夫模型得到口令的概率转移矩阵，并计算得到每个口令的强度评估值，最后按口令评估值和口令分级结构对全体口令数据进行分级；在分级口令模型的训练与检索阶段，通过对每一分级的口令集构建不同强度的口令布鲁姆过滤器，把分级结果通过散列函数组合保存在每一级的布鲁姆过滤器位向量中，从而建立分级口令模型。检索时可通过多级的口令布鲁姆过滤器快速且有效判断待测口令的强弱。

详细步骤如下：

1.基于真实口令数据分级模块

首先需要选定马尔可夫模型的口令数据训练样本集。大系统的用户数量往往在千万级以上，相应分级后的用户口令数据的规模也在百万以上，直接构建会导致常见的庞大弱口令字典问题。本方法需要确保口令分级模型兼有精度和计算效率优势。因而提出先对大量的口令数据进行随机抽样得到训练样本，然后借助二阶马尔可夫模型计算得到口令数据总体的概率转移矩阵，接着计算每个口令的强度评估值，最后计算得出分级强度阈值，完成针对真实口令数据的分级口令字典。

1.1口令数据训练样本生成

由于系统功能和用户定位不同，即使是用户量较大的系统，其用户口令数据也不一定能覆盖中国用户的口令设置模式。而对于用户量不大的系统而言，直接用本系统的口令数据进行分级训练更会存在数据量不足等问题。因此本方法的口令训练数据独立于特定系统，采用多个百万级的中国用户口令数据集构成总数据集，以全面覆盖中国用户口令设置模式。本方法通过对总数据集随机抽样的方式生成规模合适的口令数据训练样本，在保持较好的分级效果的基础上减少分级模型训练所需要的时间。

1.2计算概率转移矩阵

N阶马尔可夫模型通过统计以长度为N的前缀字符串可以计算下一个字符的出现概率。文献已经证实了马尔可夫模型适用于口令安全评估。口令数据中字符的相邻关系总体蕴含一定的规律。中国用户在口令设置中“123”，“abc”等三元字符组是频繁出现的模式。因此本方法采用二阶马尔可夫模型，将口令分解为多个三连字符串，通过统计所有的三连字符组合，计算得到口令数据的概率转移矩阵。

口令的二阶马尔可夫模型中的概率转移矩阵T(m,n,k)中的每个元素表示已知前缀为“mn”时下一个字符为“k”的概率，它可以由频率矩阵f(m,n,k)/f(m,n,∞)计算得到。其中m，n，k分别表示口令字符集中的对应字符，f(m,n,k)表示三字符串“mnk”的统计频数，f(m,n,∞)表示所有前缀为“mn”的三字符串的频数。例如，口令串“parsnips”可以产生顺序三字符子串序列：par，ars，rsn，nip和ips。相应的f(p,a,r)，f(a,r,s)等计数加1，对应f(p,a,∞),f(a,r,∞)等计数加1。