移動端防暴力破解的安全登錄方法
【專利摘要】本發(fā)明公開了一種移動端防暴力破解的安全登錄方法�,包括:所述移動端向服務(wù)端發(fā)送登錄驗證請求;所述移動端將用戶名和明文密碼經(jīng)過消息摘要算法進(jìn)行加密����,以得到隨機驗證碼���;以及所述移動端將所述用戶名和所述隨機驗證碼發(fā)送到所述服務(wù)端以進(jìn)行隨機驗證碼驗證�。
【專利說明】移動端防暴力破解的安全登錄方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動端登錄��,更具體地���,本發(fā)明涉及移動端防暴力破解的安全登錄方法�����。
【背景技術(shù)】
[0002]現(xiàn)有移動端登錄方式普遍采用明文用戶名+MD5加密密碼方式驗證�����,然后在服務(wù)端采取用戶驗證頻率以及ip請求頻率限制策略��,進(jìn)行登錄�。如圖1所示,其中圖示了現(xiàn)有登錄方式的框圖�����。
[0003]雖然現(xiàn)有登錄方案����,能夠解決針對單個用戶的暴力破解問題,比如當(dāng)一個用戶名或者ip訪問服務(wù)端登錄驗證接口時���,過于頻繁我們可以直接提示異常信息�,從而拒絕海量的破解驗證請求�。
[0004]但是,當(dāng)前互聯(lián)網(wǎng)信息系統(tǒng)經(jīng)常會存在不安全的情況�����,很多網(wǎng)站都暴出用戶名甚至密碼泄漏的問題�,一旦黑客手中擁有幾千上百萬的用戶名時,就可以利用這個用戶名池來循環(huán)的進(jìn)行驗證攻擊破解�,一個用戶有三次機會,那么100萬個用戶就有300萬個機會進(jìn)行破解���,破解成功概率大大增加���,已嚴(yán)重威脅互聯(lián)網(wǎng)用戶的賬戶安全�����。
[0005]因此�,需要一種能夠有效防止暴力破解的安全登錄方法����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明技術(shù)方案在現(xiàn)有登錄方式上�,針對黑客利用用戶池的破解問題進(jìn)行了改進(jìn)加強,徹底避免了用戶密碼容易被破解的問題���,為企業(yè)級用戶信息安全提供了絕對安全的保障�。
[0007]根據(jù)本發(fā)明的一個實施例����,提供了一種移動端防暴力破解的安全登錄方法,包括:所述移動端向服務(wù)端發(fā)送登錄驗證請求����;所述移動端將用戶名和明文密碼經(jīng)過消息摘要算法進(jìn)行加密��,以得到隨機驗證碼��;以及所述移動端將所述用戶名和所述隨機驗證碼發(fā)送到所述服務(wù)端以進(jìn)行隨機驗證碼驗證�����。
[0008]優(yōu)選地��,所述消息摘要算法包括以下中的一個或多個:安全哈希算法SHA1�、不可逆分布式發(fā)散加密算法����、和消息摘要算法第五版MD5、多重SHA1��、分布式發(fā)散加密算法�。
[0009]根據(jù)本公開和附圖的下面的詳細(xì)描述,對本領(lǐng)域的普通技術(shù)人員來說其它的目的�����、特征�、以及優(yōu)點將是顯而易見的。
【專利附圖】
【附圖說明】
[0010]附圖圖示了本發(fā)明的實施例��,并與說明書一起用于解釋本發(fā)明的原理。在附圖中:
[0011]圖1圖示了現(xiàn)有登錄方式的框圖��。
[0012]圖2圖示了根據(jù)本發(fā)明的實施例的防暴力破解登錄方式的框圖���。
【具體實施方式】
[0013]根據(jù)本發(fā)明的實施例公開了一種用于移動端防暴力破解的安全登錄方法���。在以下描述中,為了說明的目的���,闡述了多個具體細(xì)節(jié)以提供對本發(fā)明的實施例的全面理解���。然而,對于本領(lǐng)域人員顯而易見的是���,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實現(xiàn)。
[0014]密碼是通信雙方按約定的法則進(jìn)行信息特殊交換的一種重要保密手段�。按照這些法則,將明文變?yōu)槊芪?,稱為加密變換;將密文變?yōu)槊魑?,稱為脫密變換。
[0015]暴力破解法是一種針對密碼的破譯方法���,即����,將密碼進(jìn)行逐個推算,直到找到真正的密碼為止���。例如����,一個已知是四位并且全部由數(shù)字組成的密碼����,其可以共有10000種組合,因此最多嘗試9999次就能找到正確的密碼�。理論上,利用這種方法可以破解任何一種密碼��。
[0016]根據(jù)本發(fā)明的技術(shù)方案����,可以實現(xiàn)具有持久防暴力破解能力的安全登錄方法。本發(fā)明的技術(shù)方案通過安全可控的隨機驗證碼的機制����,可持久抵御黑客的暴力破解��,從而保障了智能終端設(shè)備中的各類通信系統(tǒng)的信息安全�����。
[0017]圖2圖示了根據(jù)本發(fā)明的實施例的防暴力破解登錄方式的框圖���。如圖2所示,首先����,移動端應(yīng)用向服務(wù)端發(fā)送登錄驗證請求,然后����,移動端將用戶名和明文密碼兩者經(jīng)過消息摘要算法進(jìn)行加密,以得到隨機驗證碼���。進(jìn)而��,移動端將用戶名和所得到的隨機驗證碼一起發(fā)送到服務(wù)端登錄接口,進(jìn)而進(jìn)行隨機驗證碼驗證��。
[0018]消息摘要算法的主要特征是加密過程不需要密鑰����,并且經(jīng)過加密的數(shù)據(jù)無法被解密��,只有輸入相同的明文數(shù)據(jù)經(jīng)過相同的消息摘要算法才能得到相同的密文����。
[0019]在一個實施例中�����,消息摘要算法包括但不限于安全哈希算法SHA1���、不可逆分布式發(fā)散加密算法���、和消息摘要算法第五版MD5、多重SHA1���、分布式發(fā)散加密算法����,或其任意組合�����。本領(lǐng)域技術(shù)人員將理解,本發(fā)明不限于這些算法�,還可以采用其他算法。
[0020]安全哈希算法(SHAl)主要適用于數(shù)字簽名標(biāo)準(zhǔn)里面定義的數(shù)字簽名算法����。對于長度小于2~64位的消息,SHAl會產(chǎn)生一個160位的消息摘要���。當(dāng)接收到消息的時候�,這個消息摘要可以用來驗證數(shù)據(jù)的完整性�����。在傳輸?shù)倪^程中�����,數(shù)據(jù)很可能會發(fā)生變化����,那么這時候就會產(chǎn)生不同的消息摘要。
[0021]消息摘要算法第五版(MD5)是計算機安全領(lǐng)域廣泛使用的一種散列函數(shù)��,用以提供消息的完整性保護(hù)����,從而使大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被〃壓縮〃成一種保密的格式。應(yīng)用MD5算法摘要的消息有128位的輸出����。
[0022]從圖2中可以看出提供了一種新的防暴力破解方式,該登錄方式只需驗證用戶和隨機驗證碼�����。移動端除了發(fā)送用戶名外���,還將用戶名和明文密碼經(jīng)過安全哈希算法(SHAl)和消息摘要算法第五版(MD5)加密后以得到隨機驗證碼�,以便將用戶名和所得到的隨機驗證碼一起發(fā)送到服務(wù)端登錄接口��,進(jìn)而進(jìn)行隨機驗證碼驗證���。
[0023]因為每個用戶在登錄時�����,經(jīng)過加密用戶和密碼產(chǎn)生的隨機驗證碼都不一樣�,所以黑客無法得知移動端應(yīng)用和服務(wù)端的算法約定,那么黑客永遠(yuǎn)都不能進(jìn)行破解��;而且無需再單獨傳遞MD5密碼���,有效避免了 MD5密碼被反譯�����。
[0024]本申請技術(shù)方案的關(guān)鍵點在于隨機驗證碼�,根據(jù)傳統(tǒng)思維單純驗證用戶名和密碼是不可靠的�����,必須在驗證時加入算法上的考慮���,也就是隨機驗證碼�。然而在隨機驗證碼中也包含了用戶的密碼使得隨機驗證碼的信息更大����,密碼不被反譯。
[0025]上述實施例僅是本發(fā)明的優(yōu)選實施例�����,并不用于限制本發(fā)明。對本領(lǐng)域技術(shù)人員顯而易見的是����,在不脫離本發(fā)明精神和范圍的情況下����,可以對本發(fā)明的實施例進(jìn)行各種修改和改變。因此��,本發(fā)明意在涵蓋落入如權(quán)利要求所限定的本發(fā)明的范圍之內(nèi)的所有的修改或變型�����。
【權(quán)利要求】
1.一種移動端防暴力破解的安全登錄方法�,包括: 所述移動端向服務(wù)端發(fā)送登錄驗證請求; 所述移動端將用戶名和明文密碼經(jīng)過消息摘要算法進(jìn)行加密��,以得到隨機驗證碼�����;以及 所述移動端將所述用戶名和所述隨機驗證碼發(fā)送到所述服務(wù)端以進(jìn)行隨機驗證碼驗證��。
2.根據(jù)權(quán)利要求1所述的方法��,其中,所述消息摘要算法包括以下中的一個或多個:安全哈希算法SHA1�、不可逆分布式發(fā)散加密算法、和消息摘要算法第五版MD5���、多重SHA1����、分布式發(fā)散加密算法�。
【文檔編號】H04W88/02GK104394532SQ201410673373
【公開日】2015年3月4日 申請日期:2014年11月21日 優(yōu)先權(quán)日:2014年11月21日
【發(fā)明者】羅勁松 申請人:北京京東尚科信息技術(shù)有限公司