[发明专利]一种抗服务器端信息泄露的口令认证方法

权利要求书

1.一种抗服务器端信息泄露的口令认证方法，其步骤为：

1)用户将所选应用标识符AI、账户名user以及登陆口令pw通过安全通道发送给可信第三方TTP；

2)该可信第三方TTP根据其密钥k及该用户发送的信息(AI，user，pw)生成一秘密值x，然后将(user，x)发送给该应用标识符AI指定的应用服务器；

3)该应用服务器对该用户信息的合法性进行验证，若验证通过则存储该用户的(user，x)信息，并通过该可信第三方TTP向该用户返回注册成功的信息；

4)当用户在客户端输入包括应用标识符AI、账户名user以及登陆口令pw’的登录信息后，该客户端将该用户当前输入的(AI，user，pw’)通过安全通道发送给该可信第三方TTP，该可信第三方TTP根据其密钥k以及当前收到的信息(AI，user，pw’)计算得到一秘密值x’，并将该(user，x’)发送给应用标识符AI指定的应用服务器进行认证；如果认证成功，则该应用服务器通过该可信第三方向用户返回登陆成功的消息。

2.如权利要求1所述的方法，其特征在于，所述应用服务器进行认证的方法为：应用服务器根据接收到的信息(user，x’)，在本地存储的用户注册信息中寻找user对应的条目(user，x)，若该条目确实存在且对应的x与x’相等，则认证成功。

3.如权利要求2所述的方法，其特征在于，所述应用服务器对秘密值x进行编码或转换后保存；所述应用服务器对秘密值x’进行相应编码或转换后与对应的经过编码或转换后的x进行比较，如果相等，则认证成功。

4.如权利要求1或2或3所述的方法，其特征在于，所述应用服务器采用以x或其经过编码或转换后的x为预共享密钥的认证协议对用户进行认证。

5.如权利要求1或2或3所述的方法，其特征在于，所述用户通过同一个可信第三方TTP在多个不同的应用服务器上注册账号。

6.如权利要求1或2或3所述的方法，其特征在于，所述用户在同一个应用服务器的多个应用上注册账号；所述应用服务器根据(AI，user)确定每一注册账号对应的应用。

7.如权利要求1或2或3所述的方法，其特征在于，所述密钥k来自于不小于128比特的密钥空间。

8.如权利要求1所述的方法，其特征在于，所述可信第三方根据其密钥k以及当前收到的信息(AI，user，pw’)采用安全算法计算得到所述秘密值x’。

9.如权利要求8所述的方法，其特征在于，所述安全算法为SHA-224算法或者SHA-256算法。