[发明专利]一种结合慢hash与动态盐的web系统设计方法

说明书

本发明公开了一种结合慢hash与动态盐的web系统设计方法。它具体包括如下步骤：根据输入的用户名，客户端先向服务端查询该用户名，返回该用户在用户表中的旧盐salt；在输入密码后，客户端紧接着用公开的慢HASH算法以旧盐为参数，计算出用户的旧密文password；同时客户端随机生成一个新盐salt，用同样的流程生成新密文password；传输时通过参数签名算法或者依赖Https协议保障参数安全；服务端提取出旧密文后再用私密HASH算法重新计算出密文，与用户名查找数据库的用户表；服务端存在用户，则进行更新密码操作。本发明的有益效果是：保障密码传输的安全性；保证用户的密码不被泄漏；密文安全不可逆性。

技术领域

本发明涉及WEB系统相关技术领域，尤其是指一种结合慢hash与动态盐的web系统设计方法。

背景技术

现有技术包含如下：(1)登陆Web系统的安全认证方法、客户端及系统，该方法通常是客户端先向服务端发送一个认证请求，服务端验证通过后再进行登录操作。该方法只是过滤了哪些客户端可以进行登录，缺少用户登录过程的计算、传输、存储、校验等环节；而这些环节往往是不安全因素较多的地方。该方法只是过滤了哪些客户端可以进行登录，缺少用户登录过程的计算、传输、存储、校验等环节；而这些环节往往是不安全因素较多的地方。。

(2)防撞库的用户登录安全认证方法、终端设备及存储介质，该方法主要约定了用户登录时密码的认证过程，以及存储方法；其中认证过程并没有区分客户端首次加密过程与服务端二次加密过程。由于在互联网B/S架构下，前端是没有秘密可言的，一旦暴露了算法与盐，就可能达到“逆向”目的。服务端获取到前端运算的密文还需要再次加密存储，否则黑客在抓包前端的密文后也可以模拟“登录”操作。该发明的存储方案中由于盐是固定的，这也加大了被“逆向”的风险。

发明内容

本发明是为了克服现有技术中存在上述的不足，提供了一种防止密码泄露且安全性能高的结合慢hash与动态盐的web系统设计方法。

为了实现上述目的，本发明采用以下技术方案：

一种结合慢hash与动态盐的web系统设计方法，具体包括如下步骤：

(1)根据输入的用户名，客户端先向服务端查询该用户名是否存在，若用户名存在则进行登录流程，返回该用户在用户表中的salt，这里称作旧盐；

(2)在输入密码后，客户端紧接着用公开的慢HASH算法以旧盐为参数，计算出用户的password，这里称作旧密文；同时客户端随机生成一个salt，这里称作新盐，再用新盐与用户输入的密码采用公开的慢HASH算法生成password，为新密文；

(3)传输时通过参数签名算法或者依赖Https协议保障参数安全；

(4)服务端接收到参数后，提取出旧密文后再用私密HASH算法重新计算出密文，称为对比密文；使用对比密文与用户名查找数据库的用户表，确定是否存在该用户的记录，存在则对比成功，对比成功后提取新密文、新盐同样采用私密HASH算法计算出密文，称为待更新密文；不存在则对比失败，终止登录流程；

(5)把待更新密文写入到用户表中相应的用户记录行password字段，同时也把新盐写入salt字段，到此登录流程结束，每次登录也是动态更新了用户的盐与密码。

其中：加盐，在HASH算法参数中添加随机字符串salt，来使最终密文的“可逆”程度变困难；慢HASH，简单说就是将加盐HASH算法进行多次重复计算；动态盐，不同用户或不同时间下参与HASH算法的salt，都可能不同。本发明基于慢HASH算法生成密文来保障密码传输的安全性；结合客户端与服务端多次HASH后来保障私密数据的不可“逆向”破解；结合HASH算法与动态盐的库表结构设计，来保障即使用户表被公开，也能保证用户的密码不被泄漏；不明文传输密码的用户注册流程，且密文有更安全的不可逆性。