[发明专利]一种口令保护方法、口令校验方法及系统

说明书

本发明实施例公开了一种口令保护方法和系统，应用于服务端，该方法包括：接收到来自客户端的用户标识和用户口令时，基于用户口令进行慢哈希计算得到第一计算值；利用密码机的安全芯片对第一计算值进行加密处理生成第二计算值；将至少包括第二计算值的口令认证码存储为与用户标识对应。本发明实施例还公开了口令校验方法和系统以及密码机。通过本发明实施例的方案，能够防止对受保护用户口令的暴力破解，提升用户口令的安全性。

技术领域

本发明涉及信息安全技术领域，特别涉及一种口令保护方法及系统。

背景技术

目前，在服务端存储用户口令的常见做法是对口令进行哈希运算并存储哈希结果。但是，随着计算能力的逐渐提高，现在计算机每秒中可以做数百万次的哈希运算，如果使用GPU运算，每秒甚至可做数亿次的杂凑运算，还有计算数度更快的FPGA和专用ASIC，简单的对口令做哈希运算已经不再安全。高效的哈希计算能力，使得对用户口令的哈希结果进行暴力破解和字典攻击成为可能。

目前，针对该问题的常见做法是在计算口令的哈希之前，对口令加盐。加盐哈希技术可以完美抵御查表攻击，反向查表攻击，彩虹表攻击，但不能防止暴力破解和字典攻击。

发明内容

暴力破解和字典攻击能够实现的原因主要在于常用杂凑算法执行速度太快，需要的资源很少，可以快速的尝试可能的密码，甚至可以使用FPGA或者专用的ASIC进行并行密码尝试。

有鉴于此，本发明实施例提出了一种口令保护方法、口令校验方法及系统，其目的在于有效地应对暴力破解和字典攻击对用户口令存储的威胁。

为此，本发明实施例提出了一种口令保护方法，应用于服务端，该方法包括：接收到来自客户端的用户标识和用户口令时，基于用户口令进行慢哈希计算得到第一计算值；利用密码机的安全芯片对第一计算值进行加密处理生成第二计算值；将至少包括第二计算值的口令认证码存储为与用户标识对应。

可选地，基于用户口令进行慢哈希计算得到第一计算值，包括：生成第一盐值；使用第一盐值对用户口令进行加盐，并对加盐后得到的用户口令进行慢哈希计算得到所述第一计算值。

可选地，利用密码机的安全芯片对第一计算值进行加密处理生成第二计算值，包括：利用安全芯片生成第一初始向量；利用安全芯片基于第一初始向量对第一计算值进行加密处理生成第二计算值。

本发明实施例还提出了一种口令保护系统，包括：通信设备，其配置为接收来自客户端的用户标识和用户口令；密码机，其配置为基于用户口令进行慢哈希计算得到第一计算值，并利用安全芯片对第一计算值进行加密处理生成第二计算值；存储设备，其配置为将至少包括第二计算值的口令认证码存储为与用户标识对应。

本发明实施例进一步提出了一种密码机，包括：存储器，其配置为存储预定的计算机可执行指令；处理器，其配置为执行所述预定的计算机可执行指令以实施上述任一实施例中的口令保护方法。

本发明实施例同时提出了一种口令校验方法，包括：接收到来自客户端的用户标识和用户口令时，获取预存的与用户标识对应的口令认证码，基于用户口令进行慢哈希计算得到第三计算值；利用密码机的安全芯片对第三计算值进行加密处理生成第四计算值；基于口令认证码对第四计算值进行验证。

可选地，口令认证码中还包含第一盐值，其中，基于用户口令进行慢哈希计算得到第三计算值，包括：从口令认证码中解析出第一盐值；使用第一盐值对用户口令进行加盐，并对加盐后得到的用户口令进行慢哈希计算得到所述第三计算值。

可选地，口令认证码中还包含第一初始向量，其中，利用密码机的安全芯片对第三计算值进行加密处理生成第四计算值，包括：从口令认证码中解析出第一初始向量；利用安全芯片基于第一初始向量对第三计算值进行加密处理生成第四计算值。