本发明涉及计算机数据处理领域,具体为一种基于硬件加密的泄漏账号数据查询系统。
背景技术:
随着社会的发展,互联网已经广泛应用于生活工作的方方面面,越来越多的人在网上进行社交、新闻发布、咨询互动以及一些金融活动。互联网的工作和生活方式大大节省了成本,但几乎所有的互联网活动都需要有相应的账户名以及对应的密码来保证账户的安全。然后由于各方面的原因,账号以及密码信息存在泄露情况;更有一些不法分子利用各种手段和方法收集或破解用户的账号和密码进行一些违法活动,对个人、企业甚至国家都带来巨大的损失。为了避免这样的情况,一些企业在互联网搜集整理了目前已经泄漏的账户和密码信息并整理成数据库,即社工库,为用户提供泄露检测查询服务,用来判断自己的账户信息是否具有直接或者潜在的风险。
目前采用的是通常的社工库查询方式:用户输入账号信息,如邮件地址,社工库查询接口将该信息发送到服务器端的社工库中进行查询匹配后并返回此账号下的泄露数据或泄露情况,如泄露密码信息等。这种传统的社工库查询服务的服务提供商为客户提供社工库查询服务时,难以确保客户不获知社工库中的泄露数据信息,尤其是在社工库查询系统部署在客户内网环境下时,缺乏对社工库数据内容的安全保护措施,可能造成社工库数据的二次泄露,社工库查询服务提供商将蒙受损失,并可能承担法律风险。
技术实现要素:
本发明的目的在于提供一种基于硬件加密的泄漏账号数据查询系统,以解 决上述背景技术中提出的问题。
为了实现上述目的,本发明提供了如下技术方案:
一种基于硬件加密的泄漏账号数据查询系统,包含客户端、查询服务器、硬件加密机,所述客户端、查询服务器、硬件加密机的运行环境为局域网离线环境,所述查询服务器中存储有数据库,所述数据库中的数据信息为泄露的账号以及对应的密码数据,且泄露的账号以及对应的密码预先经过算法加密。
一种基于硬件加密的泄漏账号数据查询系统的查询流程,包括:
第一步,局域网离线环境内的工作人员操作客户端输入查询数据内容,所述查询数据内容包含账号和密码;
第二步,客户端将第一步中的账号和密码传输到查询服务器,查询服务器将账号传输到硬件加密机,硬件加密机将账号进行加密运算得到加密账号;
第三步,硬件加密机将加密账号传输到查询服务器,所述查询服务器将得到的加密账号与数据库中预先加密的泄露的账号信息进行比对:
(a)当查询服务器发现第二步中得到的加密账号与存在于查询服务器中数据库中预先加密的泄露的账号加密信息一致时,查询服务器提取预先加密的泄露的账号对应的加密密码信息,将提取的预先加密密码信息和第二步中得到的密码传输到硬件加密机,硬件加密机对预先加密密码进行解密,将得到的解密后的明文密码和第一步中输入的密码在硬件加密机中进行比对:
(a1)对比结果完全一致时,硬件加密机返回“完全泄露”的结果信息到查询服务器;
(a2)对比结果完全不一致时,硬件加密机返回“未泄露”的结果信息到查询服务器;
(a3)对比结果不完全一致时,硬件加密机返回“与泄露数据相似”的结果信 息到查询服务器;
最后,查询服务器将结果信息返回到第一步中的客户端;
(b)当发现第二步中得到的加密账号与存在于查询服务器中数据库中预先加密的泄露的账号的加密信息不一致时,查询服务器返回“未泄露”的结果信息到第一步中的客户端上。
优选的,所述数据库中的数据信息的加密算法为通用加密算法AES256。
优选的,所述硬件加密机为独立的硬件主机。
优选的,所述硬件加密机为硬件板卡形式集成在查询服务器上。
优选的,所述泄露的账号预先加密时采用同样的初始化向量进行加密。
优选的,与已泄露的账号对应的所述密码预先加密时采用不同的初始化向量进行加密。
优选的,所述客户端为多个,且每个客户端均有唯一的校验码,且查询服务器设有对应的校验系统。
与现有技术相比,本发明的有益效果是:一种基于硬件加密的泄漏账号数据查询系统,能够在提供账号数据泄露查询服务的同时,利用硬件加密机对提取出的加密密码等敏感信息进行对比,一定程度上降低了数据入侵以及泄露的风险,提高了安全保护能力,有效防止泄露数据库中的数据被恶意用户获取,避免造成数据的再次泄露,查询服务器中的数据库可通过定期离线上传补充加密后的账号和密码数据对内容进行更新维护,此种社工库的泄露查询服务方式,能够在为用户提供泄露检测查询服务、提升用户信息安全防护能力的同时,保证社工库中的泄漏数据的安全性,最大程度避免了泄露数据查询服务提供方的潜在法律风险。
附图说明
图1为本发明的流程示意图。
图中:1、客户端,2、查询服务器,3、硬件加密机。
具体实施方式
下面结合具体实施例对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于硬件加密的泄漏账号数据查询系统,包含客户端1、查询服务器2、硬件加密机3,所述客户端1、查询服务器2、硬件加密机3的运行环境为局域网离线环境,防止在数据传输和查询过程中发生数据的网络泄露,从硬件连接方式上阻隔了互联网形式的数据泄露,所述查询服务器2中存储有数据库,所述数据库中的数据信息为已泄露的账号以及对应的密码,且所述泄露的账号以及对应的密码预先经过算法加密,服务商可对查询服务器2中存储的数据库定期进行维护更新。
搭建好整个数据查询系统后,用户可以进行数据查询工作,第一步,局域网离线环境内的工作人员操作客户端1输入想要查询是否有泄露情况的账号和密码;客户端1的数量可以是多个,以供一个局域网离线环境下的多个用户进行查询活动,另外每个客户端1上均具有验证码,整个验证码信息会被传输到查询服务器2上进行核对,并作为返回数据的数据源凭证,第二步账号和密码传输到查询服务器2,查询服务器2将账号信息传输到硬件加密机3上,硬件加密机3仅对账号信息进行加密演算,加密算法可以是AES256,加密完成后进行第三步,将加密后的账号信息传输到查询服务器2,所述查询服务器2将得到的加密账号与数据库中的账号加密信息进行比对,采用硬件系统单独加密在比对 的形式,可以保证数据库中泄漏数据安全性,(a)当发现第二步中得到的加密账号与存在于查询服务器2中数据库的泄露账号的加密信息一致时,查询服务器2提取泄露的账号对应的加密密码信息,并将提取的加密密码信息以及第二步中得到的明文密码传输到硬件加密机3进行解密,将得到的解密后的明文密码和第一步中输入的明文密码在硬件加密机3进行比对,在硬件加密机3中进行比对可防止有入侵行为,硬件加密机3具有较强反泄露功能,一旦发现有入侵行为可立即断开连接并记录入侵行为的相关信息;查询服务器2的数据存储以及处理的能力比较强,用于处理加密账号的大规模比对,工作的效率比较高,硬件加密机3的安全等级高但相对数据存储和处理量较小,根据匹配的账号信息提取相应的密码等敏感信息传输到硬件加密机3中进行解密比对,采用这样的形式在实现高安全等级保护下尽量小的减少硬件加密机3的数据处理量,大大提高了工作效率,在密码采用明文的形式进行比对,可使泄露比对结论更为丰富,提供更高的应用价值,比如说(a1)对比结果完全一致时,硬件加密机3返回“完全泄露”的结果信息,提示用户此账号密码已经完全泄露于网络中,不要再进行使用了;(a2)对比结果完全不一致时,硬件加密机3返回“未泄露”的结果信息,提示用户此账号信息比较安全;(a3)对比结果不完全一致时,硬件加密机3返回“与泄露数据相似”的结果信息提示这个账号具有潜在的风险;另外(b)当发现第二步中得到的加密账号与存在于查询服务器2中数据库的泄露的账号的加密信息不一致时,说明目前没有和查询账号相关的数据被泄露,查询服务器2返回“未泄露”的结果信息到第一步中的客户端1上,这个查询的账号和密码是比较安全的。
为了满足加密要求所述硬件加密机3为独立的硬件主机,也可作为硬件板卡形式集成在查询服务器2上,采用硬件形式的加密能够更大程度上保证数据 安全性。
为了便于进行快速查询检索,对于数据库中泄露的账号加密时采用同样的初始化向量进行加密。
为了提高数据库中泄露的账号对应密码的安全性,防止二次泄露,与已泄露的账号对应的所述密码加密时采用不同的初始化向量进行加密,使得同一明文密码的密文不同,这样即使单个密码被破解,也不会造成其他明文相同的密码发生泄露。
举例来说,假设工作人员需要查询账号john@a.com和密码abc123是否泄漏,将通过如下步骤进行:
第一步,在所述局域网离线环境内的工作人员操作客户端1输入查询数据内容,所述查询数据内容包含账号john@a.com和密码abc123;
第二步,客户端1将第一步中的账号john@a.com和密码abc123传输到查询服务器2,查询服务器2将账号john@a.com传输到硬件加密机,硬件加密机3将账号使用固定的初始化向量进行加密运算得到加密账号ece462729983e60beaf0c8a479c319a8;
第三步,硬件加密机3将加密账号ece462729983e60beaf0c8a479c319a8传输到查询服务器3,所述查询服务器3将得到的加密账号与数据库中的预先加密的账号信息进行比对。数据库中的加密账号信息与该加密账号使用的是同样的初始化向量和密钥加密,故如果加密信息一致,则说明该账号存在于数据库中:
(a)当查询服务器2发现第二步中得到的加密账号与存在于查询服务器中数据库的泄露的账号的加密信息一致时,查询服务器2提取泄露的账号对应的加密密码信息,如下列出一个对应的加密密码信息:0db92286c258f609f18ca7304de6d19d:cddcb05790c844e1019893492f99a39e。该密 码信息由两部分组成,冒号之前的部分是加密密码,冒号之后的部分是用于加密该密码的初始化向量。将提取的此加密密码信息0db92286c258f609f18ca7304de6d19d:cddcb05790c844e1019893492f99a39e和第二步中得到的密码abc123传输到硬件加密机3,硬件加密机3对已加密密码0db92286c258f609f18ca7304de6d19d:cddcb05790c844e1019893492f99a39e进行解密,将得到的解密后的明文密码Abc123和第二步中的密码abc123在硬件加密机3中进行比对,由于两个密码只有一处不同,比对结果为“与泄漏数据相似”。硬件加密机3将此结果返回给查询服务器,查询服务器2再将结果返回到第一步中的客户端1上。
除此之外,本发明提供的一种基于硬件加密的泄漏账号数据查询系统还支持邮件地址和哈希密码的查询,只是在密码比对时是加密密码和哈希密码比对,而不是加密密码和明文比对,原理和过程是相同的,另外本发明也支持电话号码型的账号、字符串型账号的泄露查询,极大的提高了应用范围。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。