[发明专利]一种结合慢hash与动态盐的web系统设计方法

权利要求书

1.一种结合慢hash与动态盐的web系统设计方法，其特征是，具体包括如下步骤：

（1）根据输入的用户名，客户端先向服务端查询该用户名是否存在，若用户名存在则进行登录流程，返回该用户在用户表中的salt，称作旧盐；

（2）在输入密码后，客户端紧接着用公开的慢HASH算法以旧盐为参数，计算出用户的password，称作旧密文；同时客户端随机生成一个salt，称作新盐，再用新盐与用户输入的密码采用公开的慢HASH算法生成password，为新密文；

（3）传输时通过参数签名算法或者依赖Https协议保障参数安全；

（4）服务端接收到参数后，提取出旧密文后再用私密HASH算法重新计算出密文，称为对比密文；使用对比密文与用户名查找数据库的用户表，确定是否存在该用户的记录，存在则对比成功，对比成功后提取新密文、新盐同样采用私密HASH算法计算出密文，称为待更新密文；不存在则对比失败，终止登录流程；

（5）把待更新密文写入到用户表中相应的用户记录行password字段，同时也把新盐写入salt字段，到此登录流程结束，每次登录也是动态更新了用户的盐与密码。

2.根据权利要求1所述的一种结合慢hash与动态盐的web系统设计方法，其特征是，所述的用户表指的是一个有动态盐字段的用户库表结构，用于存储用户信息的库表结构不能缺少的字段：用户名username、密文password、盐salt。

3.根据权利要求2所述的一种结合慢hash与动态盐的web系统设计方法，其特征是，在步骤（3）中，若在非Https环境，则username、oldSalt、oldPassword、newSalt、newPassword信息传输过程中需要对请求参数进行签名，防止参数被抓包篡改。

4.根据权利要求1或2或3所述的一种结合慢hash与动态盐的web系统设计方法，其特征是，在步骤（1）中，如果用户名不存在，则结束登录流程，开始注册流程，客户端先随机生成一个registerSalt，在用户输入注册密码 inputPwd后，用公开的慢HASH算法运算出registerPassword，提交给服务端传输时通过参数签名算法或者依赖Https协议保障参数安全，服务端接收参数后，在数据库的用户表中创建用户，创建成功后提取registerPassword、registerSalt同样采用私密HASH算法计算出密文，称为待更新密文，并进入到步骤（5）中；创建失败则终止登录流程。

5.根据权利要求4所述的一种结合慢hash与动态盐的web系统设计方法，其特征是，如果注册流程中的注册密码在服务端生成，客户端按步骤（3）的要求，提交inputUsername后，服务端先生成一个随机密码noticePwd，然后服务端继续生成registerSalt，通过随机密码noticePwd用公开的慢HASH算法运算出registerPassword，再用私密HASH方法生成密文initPwd，存入数据库，并通过自定义的插入用户函数InsertUserTransaction创建新用户，并进入到步骤（5）中，最后服务端需要把noticePwd通过邮件返回给用户。