[发明专利]用户身份认证方法、装置、设备和存储介质

说明书

本发明实施例公开了一种用户身份认证方法、装置、设备和存储介质，其中方法包括：获取输入的用户名，发送认证请求至服务器端；接收所述服务器端发送的反馈信息；读取本地存储的和所述用户名关联的认证数据；获取输入的用户口令，根据所述用户名、所述随机数以及所述用户口令计算生成对称密钥，通过所述对称密钥对所述密文信息进行解密得到签名私钥；通过所述签名私钥计算所述用户名、所述散列值以及所述反馈信息的签名值，发送至所述服务器端。本方案中，可有效防止用户口令的窃听攻击、重放攻击和字典攻击，且不会额外增加硬件设备，降低了成本开销。

技术领域

本申请实施例涉及身份认证技术领域，尤其涉及一种用户身份认证方法、装置、设备和存储介质。

背景技术

身份验证又称“验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。目前主要的用户身份认证手段可归结为三类：用户口令认证、用户数字签名认证以及用户生物特征(如指纹、人脸等)认证。

其中，用户口令认证是一种使用最广泛的登录认证方式。用户首先在服务器注册自己的用户名及所选口令，服务器持久化存储的用户名与口令，口令往往以加密的形式存储。在用户进行口令认证登录账户时，用户通过客户端软件或浏览器页面输入自己的用户名和口令，客户端软件或浏览器会将所输入用户名和口令以某种形式发送给远端服务器，服务器收到用户名和口令后，取出数据库中存储的相同用户名及所关联的口令进行对比，如果收到的口令与数据库中口令一致，则用户认证成功允许登录，否则认证失败拒绝用户登录。用户口令认证虽然具有实现方式简单、不需要额外硬件设备的有点，但是其存在严重的安全威胁，如：用户选择口令时，往往倾向于使用较为简单的口令以便于记忆，简单口令安全性低，易被猜测；服务器数据库存储口令，攻击者有可能对数据库中的口令进行字典攻击破解。

用户数字签名认证是目前安全性最高的身份认证方式，广泛使用于网络银行场景。首先，服务方会在服务器注册用户的用户名和生成数字签名公钥和私钥，服务器持久化存储用户的用户名与签名公钥；然后，服务方将签名私钥持久化存储在安全硬件存储介质或设备(例如银行的网银UKey、RFID卡、智能芯片卡)中，将存储介质或设备发给用户保管；最后，在用户进行数字签名认证时，用户需要将安全硬件存储介质或设备与电脑设备进行连接，通过客户端软件或浏览器页面输入自己的用户名，客户端软件或浏览器会使用安全硬件存储介质或设备中的私钥进行数字签名计算，并把签名值和所输入用户名发送给远端服务器，服务器收到用户名和口令后，取出数据库中存储的相同用户名及所关联的公钥，使用公钥对数字签名值进行计算对比，如果签名值对比通过，则用户认证成功允许登录，否则认证失败拒绝用户登录。用户数字签名认证方式具有安全性高、无法被字典攻击破解等优点，但是，需要使用服务方预制的存有数字签名私钥的安全硬件存储介质或设备，增加了成本。

用户生物特征认证是根据用户的生物特征信息，如指纹、人脸、虹膜等，目前主要的应用场景包括手机屏幕解锁、用户登录计算机系统、门禁系统等。用户使用硬件传感器(如指纹扫描器、摄像头、虹膜扫描器等)，通过安全信道，在计算系统中注册自己的用户名和生物特征数据，系统提取生物特征模板并安全持久化存储；用户进行身份认证时，通过硬件传感器向计算系统输入自己的生物特征数据，系统对比本次输入的生物特征数据与注册的生物特征模板是否一致，如果一致，则认证成功，用户可以登录，否则，拒绝用户登录请求。用户生物特征认证方式，具有较高的用户友好度，安全性介于用户口令认证和用户数字签名认证之间，但是需要额外硬件传感器，且硬件传感器与计算系统需要建立安全信道，用户的生物特征模板信息存储必须保证安全，增加了成本。

发明内容

本发明实施例提供了一种用户身份认证方法、装置、设备和存储介质，用户口令不会以任何形式在网络中传输，能够防止口令在网络传输过程中的窃听攻击和重放攻击，以及口令在服务器数据库存储时面临的潜在的字典攻击。结合使用非对称数字身份认证，客户端所在本地设备或本地系统不需要使用额外硬件保护签名私钥，降低成本开销；服务器只保存验签公钥，不受服务器潜在的拖库攻击和字典攻击的威胁。

第一方面，本发明实施例提供了一种用户身份认证方法，该方法包括：