[发明专利]一种身份验证方法、装置、计算机设备和存储介质

说明书

本发明实施例提供了一种身份验证方法、装置、计算机设备和存储介质，该方法包括：接收客户端发送的验证请求，验证请求包括用户名、验证摘要信息、用户计数器，验证摘要信息为以用户计数器作为计算摘要的次数、对口令生成的摘要信息，查找在客户端注册时记录的、与用户名关联的注册参数，注册参数包括服务计数器、标准密文，将用户计数器与服务计数器进行匹配，以检测在身份验证时降低数值的一致性，若用户计数器与服务计数器匹配成功，则根据标准密文与验证摘要信息之间的差异对客户端的身份进行验证，在1‑RTT内，客户端完成口令的验证，递减对口令计算摘要的次数，可防止口令在网络传输过程中的窃听攻击和重放攻击，防止潜在的字典攻击。

技术领域

本发明实施例涉及安全的技术领域，尤其涉及一种身份验证方法、装置、计算机设备和存储介质。

背景技术

口令认证是一种广泛使用的身份验证方式，即用户在服务端注册用户名与口令，服务端持久化存储用户名与口令。在用户使用口令认证登录账户时，用户通过客户端输入用户名和口令，客户端将用户名与口令发送给服务端，服务端收到用户名与口令后，取出数据库中存储的相同用户名与口令进行对比，如果两者一致，则用户的身份验证成功，否则验证失败。

当前使用的口令认证协议包含密码认证协议(Password AuthenticationProtocol，PAP)和基于挑战-响应的口令认证协议CRAM-MD5。

在PAP中，服务端在注册时存储用户名和明文形式的口令，在验证时，客户端直接提交用户输入的用户名和明文形式的口令。明文形式的口令在不安全网络环境中，能够被攻击者使用窃听攻击和重放攻击，成功冒充合法用户成功登陆；并且，服务端存储明文形式的口令，一旦数据库被攻破，口令则被直接泄漏，造成用户身份被冒充的可能性。

在CRAM-MD5中，服务端在注册阶段使用单向散列函数对口令计算摘要信息，在数据库中存储用户名及摘要信息。在登录时，客户端向服务端发起验证请求；服务端收到验证请求后，生成随机数并发送给客户端，客户端对用户输入的口令计算摘要信息之后，与随机数一同再次计算摘要信息，将用户输入的用户名和最终的摘要信息发送给服务端；服务端从数据库中取出该用户名关联的摘要信息，与随机数一同再次计算摘要信息，如果客户端发送的摘要信息与服务端计算的摘要信息一致，则用户的身份验证成功，否则验证失败。

每次验证，服务端额外向客户端发起一个随机数进行挑战，造成客户端与服务端之间的验证需要2-RTT(Round-Trip Time，往返时延，2-RTT为两次交互)，验证耗时较长；此外，服务端使用单向散列函数对口令计算摘要信息，摘要信息被泄漏，攻击者仍然有可能使用字典攻击破解出口令。

发明内容

本发明实施例提出了一种身份验证方法、装置、计算机设备和存储介质，以解决如何在降低验证耗时的情况下，防止不安全网络传输过程中的窃听攻击和重放攻击，以及防止服务端的数据库泄漏造成字典攻击的威胁的问题。

第一方面，本发明实施例提供了一种身份验证方法，包括：

接收客户端发送的验证请求，所述验证请求包括用户名、验证摘要信息、用户计数器，所述验证摘要信息为以所述用户计数器作为计算摘要的次数、对口令生成的摘要信息；

查找在所述客户端注册时记录的、与所述用户名关联的注册参数，所述注册参数包括服务计数器、标准密文；

将所述用户计数器与所述服务计数器进行匹配，以检测在身份验证时降低数值的一致性；

若所述用户计数器与所述服务计数器匹配成功，则根据所述标准密文与所述验证摘要信息之间的差异对所述客户端的身份进行验证。

第二方面，本发明实施例还提供了一种身份验证装置，包括：