本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)處理領(lǐng)域，具體為一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)。

背景技術(shù)：

隨著社會(huì)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)廣泛應(yīng)用于生活工作的方方面面，越來越多的人在網(wǎng)上進(jìn)行社交、新聞發(fā)布、咨詢互動(dòng)以及一些金融活動(dòng)?；ヂ?lián)網(wǎng)的工作和生活方式大大節(jié)省了成本，但幾乎所有的互聯(lián)網(wǎng)活動(dòng)都需要有相應(yīng)的賬戶名以及對(duì)應(yīng)的密碼來保證賬戶的安全。然后由于各方面的原因，賬號(hào)以及密碼信息存在泄露情況；更有一些不法分子利用各種手段和方法收集或破解用戶的賬號(hào)和密碼進(jìn)行一些違法活動(dòng)，對(duì)個(gè)人、企業(yè)甚至國(guó)家都帶來巨大的損失。為了避免這樣的情況，一些企業(yè)在互聯(lián)網(wǎng)搜集整理了目前已經(jīng)泄漏的賬戶和密碼信息并整理成數(shù)據(jù)庫(kù)，即社工庫(kù)，為用戶提供泄露檢測(cè)查詢服務(wù)，用來判斷自己的賬戶信息是否具有直接或者潛在的風(fēng)險(xiǎn)。

目前采用的是通常的社工庫(kù)查詢方式：用戶輸入賬號(hào)信息，如郵件地址，社工庫(kù)查詢接口將該信息發(fā)送到服務(wù)器端的社工庫(kù)中進(jìn)行查詢匹配后并返回此賬號(hào)下的泄露數(shù)據(jù)或泄露情況，如泄露密碼信息等。這種傳統(tǒng)的社工庫(kù)查詢服務(wù)的服務(wù)提供商為客戶提供社工庫(kù)查詢服務(wù)時(shí)，難以確?？蛻舨猾@知社工庫(kù)中的泄露數(shù)據(jù)信息，尤其是在社工庫(kù)查詢系統(tǒng)部署在客戶內(nèi)網(wǎng)環(huán)境下時(shí)，缺乏對(duì)社工庫(kù)數(shù)據(jù)內(nèi)容的安全保護(hù)措施，可能造成社工庫(kù)數(shù)據(jù)的二次泄露，社工庫(kù)查詢服務(wù)提供商將蒙受損失，并可能承擔(dān)法律風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)，以解 決上述背景技術(shù)中提出的問題。

為了實(shí)現(xiàn)上述目的，本發(fā)明提供了如下技術(shù)方案：

一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)，包含客戶端、查詢服務(wù)器、硬件加密機(jī)，所述客戶端、查詢服務(wù)器、硬件加密機(jī)的運(yùn)行環(huán)境為局域網(wǎng)離線環(huán)境，所述查詢服務(wù)器中存儲(chǔ)有數(shù)據(jù)庫(kù)，所述數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息為泄露的賬號(hào)以及對(duì)應(yīng)的密碼數(shù)據(jù)，且泄露的賬號(hào)以及對(duì)應(yīng)的密碼預(yù)先經(jīng)過算法加密。

一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)的查詢流程，包括：

第一步，局域網(wǎng)離線環(huán)境內(nèi)的工作人員操作客戶端輸入查詢數(shù)據(jù)內(nèi)容，所述查詢數(shù)據(jù)內(nèi)容包含賬號(hào)和密碼；

第二步，客戶端將第一步中的賬號(hào)和密碼傳輸?shù)讲樵兎?wù)器，查詢服務(wù)器將賬號(hào)傳輸?shù)接布用軝C(jī)，硬件加密機(jī)將賬號(hào)進(jìn)行加密運(yùn)算得到加密賬號(hào)；

第三步，硬件加密機(jī)將加密賬號(hào)傳輸?shù)讲樵兎?wù)器，所述查詢服務(wù)器將得到的加密賬號(hào)與數(shù)據(jù)庫(kù)中預(yù)先加密的泄露的賬號(hào)信息進(jìn)行比對(duì)：

(a)當(dāng)查詢服務(wù)器發(fā)現(xiàn)第二步中得到的加密賬號(hào)與存在于查詢服務(wù)器中數(shù)據(jù)庫(kù)中預(yù)先加密的泄露的賬號(hào)加密信息一致時(shí)，查詢服務(wù)器提取預(yù)先加密的泄露的賬號(hào)對(duì)應(yīng)的加密密碼信息，將提取的預(yù)先加密密碼信息和第二步中得到的密碼傳輸?shù)接布用軝C(jī)，硬件加密機(jī)對(duì)預(yù)先加密密碼進(jìn)行解密，將得到的解密后的明文密碼和第一步中輸入的密碼在硬件加密機(jī)中進(jìn)行比對(duì)：

(a1)對(duì)比結(jié)果完全一致時(shí)，硬件加密機(jī)返回“完全泄露”的結(jié)果信息到查詢服務(wù)器；

(a2)對(duì)比結(jié)果完全不一致時(shí)，硬件加密機(jī)返回“未泄露”的結(jié)果信息到查詢服務(wù)器；

(a3)對(duì)比結(jié)果不完全一致時(shí)，硬件加密機(jī)返回“與泄露數(shù)據(jù)相似”的結(jié)果信 息到查詢服務(wù)器；

最后，查詢服務(wù)器將結(jié)果信息返回到第一步中的客戶端；

(b)當(dāng)發(fā)現(xiàn)第二步中得到的加密賬號(hào)與存在于查詢服務(wù)器中數(shù)據(jù)庫(kù)中預(yù)先加密的泄露的賬號(hào)的加密信息不一致時(shí)，查詢服務(wù)器返回“未泄露”的結(jié)果信息到第一步中的客戶端上。

優(yōu)選的，所述數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息的加密算法為通用加密算法AES256。

優(yōu)選的，所述硬件加密機(jī)為獨(dú)立的硬件主機(jī)。

優(yōu)選的，所述硬件加密機(jī)為硬件板卡形式集成在查詢服務(wù)器上。

優(yōu)選的，所述泄露的賬號(hào)預(yù)先加密時(shí)采用同樣的初始化向量進(jìn)行加密。

優(yōu)選的，與已泄露的賬號(hào)對(duì)應(yīng)的所述密碼預(yù)先加密時(shí)采用不同的初始化向量進(jìn)行加密。

優(yōu)選的，所述客戶端為多個(gè)，且每個(gè)客戶端均有唯一的校驗(yàn)碼，且查詢服務(wù)器設(shè)有對(duì)應(yīng)的校驗(yàn)系統(tǒng)。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)，能夠在提供賬號(hào)數(shù)據(jù)泄露查詢服務(wù)的同時(shí)，利用硬件加密機(jī)對(duì)提取出的加密密碼等敏感信息進(jìn)行對(duì)比，一定程度上降低了數(shù)據(jù)入侵以及泄露的風(fēng)險(xiǎn)，提高了安全保護(hù)能力，有效防止泄露數(shù)據(jù)庫(kù)中的數(shù)據(jù)被惡意用戶獲取，避免造成數(shù)據(jù)的再次泄露，查詢服務(wù)器中的數(shù)據(jù)庫(kù)可通過定期離線上傳補(bǔ)充加密后的賬號(hào)和密碼數(shù)據(jù)對(duì)內(nèi)容進(jìn)行更新維護(hù)，此種社工庫(kù)的泄露查詢服務(wù)方式，能夠在為用戶提供泄露檢測(cè)查詢服務(wù)、提升用戶信息安全防護(hù)能力的同時(shí)，保證社工庫(kù)中的泄漏數(shù)據(jù)的安全性，最大程度避免了泄露數(shù)據(jù)查詢服務(wù)提供方的潛在法律風(fēng)險(xiǎn)。

附圖說明

圖1為本發(fā)明的流程示意圖。

圖中：1、客戶端，2、查詢服務(wù)器，3、硬件加密機(jī)。

具體實(shí)施方式

下面結(jié)合具體實(shí)施例對(duì)本發(fā)明中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)，包含客戶端1、查詢服務(wù)器2、硬件加密機(jī)3，所述客戶端1、查詢服務(wù)器2、硬件加密機(jī)3的運(yùn)行環(huán)境為局域網(wǎng)離線環(huán)境，防止在數(shù)據(jù)傳輸和查詢過程中發(fā)生數(shù)據(jù)的網(wǎng)絡(luò)泄露，從硬件連接方式上阻隔了互聯(lián)網(wǎng)形式的數(shù)據(jù)泄露，所述查詢服務(wù)器2中存儲(chǔ)有數(shù)據(jù)庫(kù)，所述數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息為已泄露的賬號(hào)以及對(duì)應(yīng)的密碼，且所述泄露的賬號(hào)以及對(duì)應(yīng)的密碼預(yù)先經(jīng)過算法加密，服務(wù)商可對(duì)查詢服務(wù)器2中存儲(chǔ)的數(shù)據(jù)庫(kù)定期進(jìn)行維護(hù)更新。

搭建好整個(gè)數(shù)據(jù)查詢系統(tǒng)后，用戶可以進(jìn)行數(shù)據(jù)查詢工作，第一步，局域網(wǎng)離線環(huán)境內(nèi)的工作人員操作客戶端1輸入想要查詢是否有泄露情況的賬號(hào)和密碼；客戶端1的數(shù)量可以是多個(gè)，以供一個(gè)局域網(wǎng)離線環(huán)境下的多個(gè)用戶進(jìn)行查詢活動(dòng)，另外每個(gè)客戶端1上均具有驗(yàn)證碼，整個(gè)驗(yàn)證碼信息會(huì)被傳輸?shù)讲樵兎?wù)器2上進(jìn)行核對(duì)，并作為返回?cái)?shù)據(jù)的數(shù)據(jù)源憑證，第二步賬號(hào)和密碼傳輸?shù)讲樵兎?wù)器2，查詢服務(wù)器2將賬號(hào)信息傳輸?shù)接布用軝C(jī)3上，硬件加密機(jī)3僅對(duì)賬號(hào)信息進(jìn)行加密演算，加密算法可以是AES256，加密完成后進(jìn)行第三步，將加密后的賬號(hào)信息傳輸?shù)讲樵兎?wù)器2，所述查詢服務(wù)器2將得到的加密賬號(hào)與數(shù)據(jù)庫(kù)中的賬號(hào)加密信息進(jìn)行比對(duì)，采用硬件系統(tǒng)單獨(dú)加密在比對(duì) 的形式，可以保證數(shù)據(jù)庫(kù)中泄漏數(shù)據(jù)安全性，(a)當(dāng)發(fā)現(xiàn)第二步中得到的加密賬號(hào)與存在于查詢服務(wù)器2中數(shù)據(jù)庫(kù)的泄露賬號(hào)的加密信息一致時(shí)，查詢服務(wù)器2提取泄露的賬號(hào)對(duì)應(yīng)的加密密碼信息，并將提取的加密密碼信息以及第二步中得到的明文密碼傳輸?shù)接布用軝C(jī)3進(jìn)行解密，將得到的解密后的明文密碼和第一步中輸入的明文密碼在硬件加密機(jī)3進(jìn)行比對(duì)，在硬件加密機(jī)3中進(jìn)行比對(duì)可防止有入侵行為，硬件加密機(jī)3具有較強(qiáng)反泄露功能，一旦發(fā)現(xiàn)有入侵行為可立即斷開連接并記錄入侵行為的相關(guān)信息；查詢服務(wù)器2的數(shù)據(jù)存儲(chǔ)以及處理的能力比較強(qiáng)，用于處理加密賬號(hào)的大規(guī)模比對(duì)，工作的效率比較高，硬件加密機(jī)3的安全等級(jí)高但相對(duì)數(shù)據(jù)存儲(chǔ)和處理量較小，根據(jù)匹配的賬號(hào)信息提取相應(yīng)的密碼等敏感信息傳輸?shù)接布用軝C(jī)3中進(jìn)行解密比對(duì)，采用這樣的形式在實(shí)現(xiàn)高安全等級(jí)保護(hù)下盡量小的減少硬件加密機(jī)3的數(shù)據(jù)處理量，大大提高了工作效率，在密碼采用明文的形式進(jìn)行比對(duì)，可使泄露比對(duì)結(jié)論更為豐富，提供更高的應(yīng)用價(jià)值，比如說(a1)對(duì)比結(jié)果完全一致時(shí)，硬件加密機(jī)3返回“完全泄露”的結(jié)果信息，提示用戶此賬號(hào)密碼已經(jīng)完全泄露于網(wǎng)絡(luò)中，不要再進(jìn)行使用了；(a2)對(duì)比結(jié)果完全不一致時(shí)，硬件加密機(jī)3返回“未泄露”的結(jié)果信息，提示用戶此賬號(hào)信息比較安全；(a3)對(duì)比結(jié)果不完全一致時(shí)，硬件加密機(jī)3返回“與泄露數(shù)據(jù)相似”的結(jié)果信息提示這個(gè)賬號(hào)具有潛在的風(fēng)險(xiǎn)；另外(b)當(dāng)發(fā)現(xiàn)第二步中得到的加密賬號(hào)與存在于查詢服務(wù)器2中數(shù)據(jù)庫(kù)的泄露的賬號(hào)的加密信息不一致時(shí)，說明目前沒有和查詢賬號(hào)相關(guān)的數(shù)據(jù)被泄露，查詢服務(wù)器2返回“未泄露”的結(jié)果信息到第一步中的客戶端1上，這個(gè)查詢的賬號(hào)和密碼是比較安全的。

為了滿足加密要求所述硬件加密機(jī)3為獨(dú)立的硬件主機(jī)，也可作為硬件板卡形式集成在查詢服務(wù)器2上，采用硬件形式的加密能夠更大程度上保證數(shù)據(jù) 安全性。

為了便于進(jìn)行快速查詢檢索，對(duì)于數(shù)據(jù)庫(kù)中泄露的賬號(hào)加密時(shí)采用同樣的初始化向量進(jìn)行加密。

為了提高數(shù)據(jù)庫(kù)中泄露的賬號(hào)對(duì)應(yīng)密碼的安全性，防止二次泄露，與已泄露的賬號(hào)對(duì)應(yīng)的所述密碼加密時(shí)采用不同的初始化向量進(jìn)行加密，使得同一明文密碼的密文不同，這樣即使單個(gè)密碼被破解，也不會(huì)造成其他明文相同的密碼發(fā)生泄露。

舉例來說，假設(shè)工作人員需要查詢賬號(hào)john@a.com和密碼abc123是否泄漏，將通過如下步驟進(jìn)行：

第一步，在所述局域網(wǎng)離線環(huán)境內(nèi)的工作人員操作客戶端1輸入查詢數(shù)據(jù)內(nèi)容，所述查詢數(shù)據(jù)內(nèi)容包含賬號(hào)john@a.com和密碼abc123；

第二步，客戶端1將第一步中的賬號(hào)john@a.com和密碼abc123傳輸?shù)讲樵兎?wù)器2，查詢服務(wù)器2將賬號(hào)john@a.com傳輸?shù)接布用軝C(jī)，硬件加密機(jī)3將賬號(hào)使用固定的初始化向量進(jìn)行加密運(yùn)算得到加密賬號(hào)ece462729983e60beaf0c8a479c319a8；

第三步，硬件加密機(jī)3將加密賬號(hào)ece462729983e60beaf0c8a479c319a8傳輸?shù)讲樵兎?wù)器3，所述查詢服務(wù)器3將得到的加密賬號(hào)與數(shù)據(jù)庫(kù)中的預(yù)先加密的賬號(hào)信息進(jìn)行比對(duì)。數(shù)據(jù)庫(kù)中的加密賬號(hào)信息與該加密賬號(hào)使用的是同樣的初始化向量和密鑰加密，故如果加密信息一致，則說明該賬號(hào)存在于數(shù)據(jù)庫(kù)中：

(a)當(dāng)查詢服務(wù)器2發(fā)現(xiàn)第二步中得到的加密賬號(hào)與存在于查詢服務(wù)器中數(shù)據(jù)庫(kù)的泄露的賬號(hào)的加密信息一致時(shí)，查詢服務(wù)器2提取泄露的賬號(hào)對(duì)應(yīng)的加密密碼信息，如下列出一個(gè)對(duì)應(yīng)的加密密碼信息：0db92286c258f609f18ca7304de6d19d:cddcb05790c844e1019893492f99a39e。該密 碼信息由兩部分組成，冒號(hào)之前的部分是加密密碼，冒號(hào)之后的部分是用于加密該密碼的初始化向量。將提取的此加密密碼信息0db92286c258f609f18ca7304de6d19d:cddcb05790c844e1019893492f99a39e和第二步中得到的密碼abc123傳輸?shù)接布用軝C(jī)3，硬件加密機(jī)3對(duì)已加密密碼0db92286c258f609f18ca7304de6d19d:cddcb05790c844e1019893492f99a39e進(jìn)行解密，將得到的解密后的明文密碼Abc123和第二步中的密碼abc123在硬件加密機(jī)3中進(jìn)行比對(duì)，由于兩個(gè)密碼只有一處不同，比對(duì)結(jié)果為“與泄漏數(shù)據(jù)相似”。硬件加密機(jī)3將此結(jié)果返回給查詢服務(wù)器，查詢服務(wù)器2再將結(jié)果返回到第一步中的客戶端1上。

除此之外，本發(fā)明提供的一種基于硬件加密的泄漏賬號(hào)數(shù)據(jù)查詢系統(tǒng)還支持郵件地址和哈希密碼的查詢，只是在密碼比對(duì)時(shí)是加密密碼和哈希密碼比對(duì)，而不是加密密碼和明文比對(duì)，原理和過程是相同的，另外本發(fā)明也支持電話號(hào)碼型的賬號(hào)、字符串型賬號(hào)的泄露查詢，極大的提高了應(yīng)用范圍。

盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域的普通技術(shù)人員而言，可以理解在不脫離本發(fā)明的原理和精神的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化、修改、替換和變型，本發(fā)明的范圍由所附權(quán)利要求及其等同物限定。