本申請涉及一種口令認證方法、系統、電子裝置和存儲介質，其中，該口令認證方法可以通過響應于用戶的登錄請求，生成第一隨機數；接收服務端返回的第二隨機數、鹽值和循環數，生成客戶端認證憑證；基于客戶端認證憑證得到簽名摘要和客戶端簽名，將客戶端簽名和客戶端認證憑證發送至服務端進行驗簽；接收服務端返回的第一服務端認證憑據，并對服務端在注冊階段生成的第一密鑰進行HMAC?SM3計算，生成第二服務端認證憑據，在第一服務端認證憑據和第二服務端認證憑據一致的情況下，對服務端認證成功。通過本申請，解決了相關技術中存在口令認證過程中，口令容易遭受攻擊以及泄露的問題，實現了口令安全認證。

技術領域

本申請涉及身份認證領域，特別是涉及一種口令認證方法、系統、電子裝置和存儲介質。

背景技術

當前，許多在線交易都受到身份認證技術的保護，身份認證技術是電子支付的基礎。但是，直到現在各行各業仍不斷爆出短信驗證碼劫持、賬戶被盜等事件，導致資產轉移、數十上百萬資產損失，給各行各業敲響警鐘。其中，口令認證是大多數應用系統普遍采用的一種比較簡便易行的身份認證方式，然而字典攻擊、信息截取/重放、網絡數據流竊聽等攻擊方法仍嚴重威脅著口令認證的安全。

相關技術中通常存在兩類口令認證方式：服務端直接口令明文存儲，系統認證時通過用戶輸入的口令和預先存儲的用戶口令進行比較進而實現用戶的認證；服務端口令Hash(散列函數)存儲，系統認證時對用戶輸入的口令進行Hash計算，最后與系統預先存儲的用戶口令的Hash值進行比對，如果一致則認證通過，否則認證失敗。上述兩類口令認證方式所使用的口令使用查字典表法或者彩虹表破解法等密碼破解方法均能被破解，口令容易遭受攻擊以及泄露。

針對相關技術中存在口令認證過程中，口令容易遭受攻擊以及泄露的問題，目前還沒有提出有效的解決方案。

發明內容

在本實施例中提供了一種口令認證方法、系統、電子裝置和存儲介質，以解決相關技術中存在口令認證過程中，口令容易遭受攻擊以及泄露的問題。

第一個方面，在本實施例中提供了一種口令認證方法，用于對服務端進行認證，包括以下步驟：

響應于用戶的登錄請求，生成第一隨機數，并將所述第一隨機數和所述用戶的用戶名發送至所述服務端；

接收所述服務端返回的第二隨機數、以及與所述用戶名對應的鹽值和循環數，對注冊階段生成的第一哈希密鑰進行HMAC(Hash-based Message Authentication Code，密鑰相關的哈希運算消息認證碼)-SM3(國產哈希算法)計算獲得消息認證碼，將所述消息認證碼與注冊階段生成的第一密鑰做異或運算，生成客戶端認證憑證；

對所述客戶端認證憑證進行SM3哈希計算，得到簽名摘要，并利用注冊階段生成的SM2(橢圓曲線公鑰密碼算法)私鑰，對所述簽名摘要加密得到客戶端簽名，將所述客戶端簽名和所述客戶端認證憑證發送至所述服務端進行驗簽；

接收所述服務端返回的第一服務端認證憑據，并對所述服務端在注冊階段生成的第一密鑰進行HMAC-SM3計算，生成第二服務端認證憑據，在所述第一服務端認證憑據和所述第二服務端認證憑據一致的情況下，對所述服務端認證成功；其中，所述第一服務端認證憑據由所述服務端對第二密鑰進行HMAC-SM3計算而生成，所述第二密鑰由所述服務端對所述客戶端認證憑證和所述消息認證碼進行異或運算得到。

在其中的一些實施例中，還包括：響應于用戶的注冊請求，生成SM2密鑰對，將所述SM2密鑰對中的SM2公鑰和用戶注冊信息發送給所述服務端。

第二個方面，在本實施例中提供了一種口令認證方法，用于對客戶端進行認證，包括以下步驟：

接收所述客戶端發送的第一隨機數和所述用戶的用戶名，判斷所述第一隨機數是否使用過，在所述第一隨機數未使用過的條件下，生成第二隨機數，并將所述第二隨機數、以及存儲的用戶名對應的鹽值和循環數發送至客戶端；