登录口令的处理方法、装置、存储介质及电子设备与流程

登录信息、登录账号、认证方名称、登录口令输入至目标算法中，得到目标字符串； 对目标字符串进行截取，得到预设长度的字符串；将预设长度的字符串作为认证口令。
9.进一步地，在获取目标用户登录目标系统的登录信息之前，该方法还包括：接收 目标客户端发送的对目标系统进行登录认证的登录认证请求；响应登录认证请求，触 发对目标系统进行登录认证的认证界面。
10.进一步地，在将认证口令发送至认证服务器，以通过认证服务器对登录信息进行 认证之后，该方法还包括：检测认证服务器是否接收到非目标客户端使用登录账号对 目标系统发起的认证授权请求；若检测到认证服务器接收到非目标客户端使用登录账 号对目标系统发起的认证授权请求，则将认证授权请求发送至目标客户端，以使目标 客户端对非目标客户端进行授权。
11.进一步地，在通过目标函数将登录口令进行转换，得到认证口令之后，该方法还 包括：接收认证服务器发送的口令更新指令；响应于口令更新指令，通过目标更新参 数对认证口令进行更新。
12.进一步地，在将认证口令发送至认证服务器，以通过认证服务器对登录信息进行 认证之前，方法还包括：从关联后的信息中获取认证方名称与认证口令的关联信息； 根据关联信息确定认证方名称对应的认证口令。
13.为了实现上述目的，根据本技术的另一方面，提供了一种登录口令的处理装置。 该装置包括：第一获取单元，用于获取目标用户登录目标系统的登录信息，其中，登 录信息至少包括：登录口令；转换单元，用于通过目标函数将登录口令进行转换，得 到认证口令，其中，目标函数至少包括：目标哈希函数、内存困难函数；第一发送单 元，用于将认证口令发送至认证服务器，以通过认证服务器对登录信息进行认证。
14.通过本技术，采用以下步骤：获取目标用户登录目标系统的登录信息，其中，登 录信息至少包括：登录口令；通过目标函数将登录口令进行转换，得到认证口令，其 中，目标函数至少包括：目标哈希函数、内存困难函数；将认证口令发送至认证服务 器，以通过认证服务器对登录信息进行认证。通过本技术，解决了相关技术中口令比 较复杂且安全性较低，导致用户账户信息安全性无法保证的问题。通过将认证口令发 送至认证服务器，以通过认证服务器对登录信息进行认证，加强了口令的安全性，避 免了复杂口令的记忆困难，进而达到了保证用户账户信息安全性的效果。
附图说明
15.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实 施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
16.图1是根据本技术实施例提供的登录口令的处理方法的流程图；
17.图2是根据本技术实施例提供的登录口令的处理方法的系统操作示意图；
18.图3是根据本技术实施例提供的登录口令的处理方法的phf设计示意图；
19.图4是根据本技术实施例提供的登录口令的处理方法的口令更新示意图；
20.图5是根据本技术实施例提供的登录口令的处理方法的口令授权示意图；
21.图6是根据本技术实施例提供的登录口令的处理方法的系统认证过程示意图；
22.图7是根据本技术实施例提供的登录口令的处理方法的功能逻辑示意图；
23.图8是根据本技术的相关技术的功能逻辑示意图；
24.图9是根据本技术实施例提供的登录口令的处理装置的示意图；
25.图10是根据本技术实施例提供的登录口令的处理电子设备的示意图。
具体实施方式
26.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本技术。
27.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的 附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例 仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领 域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于 本技术保护的范围。
28.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第 二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这 样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语
ꢀ“
包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含 了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步 骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的 其它步骤或单元。
29.为了便于描述，以下对本技术实施例涉及的部分名词或术语进行说明：
30.口令：口令或者称为通行字、通行码，或者常被混称为“密码”。口令原来的意义 是口头暗号，也叫“通行字”，是一个用于身份验证的保密的字符串，用以保护不想被 别人看到的隐私以及防止未经授权的操作，达到保护隐私以及防止未经授权的操作的 目的。
31.认证：身份验证(英语：authentication)又称“认证”、“鉴权”，是指通过一定的 手段，完成对用户身份的确认。
32.杂凑算法：密码杂凑算法也称作“哈希算法”或者“散列算法”。密码杂凑算法对 任意长度的消息进行压缩，输出定长的消息摘要或杂凑值。
33.熵：接收的每条消息中包含的信息的平均量，又被称为信息熵、信源熵、平均自 信息量，越随机的信源的熵越大。
34.内存困难函数：在密码学中，内存困难函数(mhf)是一个需要花费大量内存来完 成的函数。mhf主要被用在工作量证明中。因为需要花费大量的内存，所以mhf也 会被用在密码hash中，可以防止恶意破解。
35.phf：是password hash function的缩写，即口令杂凑函数。
36.需要说明的是，本公开所涉及的用户信息(包括但不限于用户设备信息、用户个 人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权 或者经过各方充分授权的信息和数据。
37.下面结合优选的实施步骤对本发明进行说明，图1是根据本技术实施例提供的登 录口令的处理方法的流程图，如图1所示，该方法包括如下步骤：
38.步骤s101，获取目标用户登录目标系统的登录信息，其中，登录信息至少包括： 登录口令。
39.例如，目标用户在客户端登录某系统的应用程序对应的app时，在app界面上 输入该用户对应的登录信息，具体的，登录信息可以是用户的账号信息、认证方名称 信息、登录口令(也即用户口令、登录密码)。
40.如图1所示，目标用户在app界面输入登录信息之前，需要向认证服务器发送服 务请求，具体步骤包括：接收目标客户端发送的对目标系统进行登录认证的登录认证 请求；响应登录认证请求，触发对目标系统进行登录认证的认证界面。
41.例如，如图2所示，目标用户在登录某系统的应用程序对应的app时，通过目标 客户端向认证服务器发送需要对该app进行登录的登录认证请求，认证服务器在接收 到该登录认证请求之后，将对目标系统进行登录认证的认证界面发送至目标客户端中， 对该目标用户的登录身份进行验证。
42.步骤s102，通过目标函数将登录口令进行转换，得到认证口令，其中，目标函数 至少包括：目标哈希函数、内存困难函数。
43.如图2所示，为了提升口令的安全性，本技术在客户端增加了一个安全增强操作， 也即将(账号，口令)转换为(账号，phf(口令))的形式。
44.可选地，在本技术实施例提供的登录口令的处理方法中，登录信息还包括：登录 账号、认证方名称，在通过目标函数将登录口令进行转换，得到认证口令之前，该方 法还包括：通过目标哈希函数将登录账号、认证方名称、登录口令进行关联，得到关 联后的信息；将关联后的信息输入至内存困难函数中进行多线程并行计算，得到每个 线程对应的计算结果；将每个线程对应的计算结果通过异或运算符进行关联，得到关 联后的登录信息。
45.具体的，通过口令杂凑函数(也即phf)将用户的登录信息进行关联，例如，phf 的接口设计可以如下所示：
46.string phf(id，authenticator，password，salt，time，space，parallelism，length)；
47.phf的输入：
48.id是用户的账号；
49.authenticator是认证方名称；
50.password是用户口令；
51.salt是盐值；
52.time是时间参数，决定phf内部的迭代次数；
53.space是内存参数，决定phf计算需要占用的内存；
54.parallelism是并行参数，决定并行的线程数；
55.length是输出长度；
56.phf的输出：指定长度length的字符串。
57.例如，phf的一个实例代码调用如下所示：
58.phf(138-1234-5678，
59.icbc，
60.ipassword，
61.12345678，
62.6，
证服务器，以通过认证服务器对登录信息进行认证之后，该方法还包括：检测认证服 务器是否接收到非目标客户端使用登录账号对目标系统发起的认证授权请求；若检测 到认证服务器接收到非目标客户端使用登录账号对目标系统发起的认证授权请求，则 将认证授权请求发送至目标客户端，以使目标客户端对非目标客户端进行授权。
75.具体的，在不同客户端登录相同帐号时，只需增加一个原客户端(对应于本技术 中的目标客户端)的授权即可。其授权过程可以如图5所示，原客户端接收到新客户 端发送的授权请求之后，发送同意授权信息以及本地参数至新客户端(对应于本技术 中的非目标客户端)，其中，原客户端与新客户端通过认证服务器进行信息通信，通过 原客户端的登录授权，可以实现在不同客户端安全的登录相同帐号。
76.可选地，本技术可以集成进认证系统的设计，具体的如图6所示，认证服务存储 的口令形式可以为phf的加密/散列值。输入帐号、口令和计算phf的过程在客户端 完成。客户端初始化时随机产生phf的参数：盐值，而对于认证方名称，时间参数， 内存参数，并行参数，输出长度这几个参数可以采取默认值，对于用户的操作而言， 与一般的通过帐号、口令登录系统的过程并没有区别。客户端本地加密保存盐值，认 证方名称，时间参数，内存参数，并行参数，输出长度这几个参数，密钥由用户口令 导出。当用户非初次登录时，客户端本地解密并读取上述参数，用于后续认证过程。 需要指出的是，此种设计造成了一种客户端关联的安全性：用户的帐号与用户口令即 使泄露，也不能被用于其它客户端登录，保证了用户账户的安全性。
77.需要说明的是，对于集成设计而言，本技术可作为一个安全增强技术，与信道加 密传输、后台加密散列等现有技术耦合性低，可相互补充，兼容性较好；本技术可以 纯软件实现，不增加硬件设备，没有硬件成本；本技术不改变用户的使用习惯；用户 只需要记忆一个口令，可以参与多个系统认证；采用集成设计的口令更新无需用户参 与；对于作为辅助模块而言，本技术无需改动系统认证过程。这对于无法重新开发或 者更新的老旧系统而言是很重要的。
78.可选地，本技术可以作为现有认证系统的一个辅助模块，由于历史的原因，一些 认证系统的安全已经难以满足当前的现实要求，但是这类系统又不能重新开发或者更 新，本技术不会改变它们的认证过程。本技术充当一个独立的角色，可以看作是一个 不存储用户口令的口令转换器，具体的如图7所示，认证口令由输入参数导出。不同 帐号导出不同的认证口令，一般情况下用户口令可以长时间保持不变，更改认证口令 由变动其它参数(salt)实现。除用户口令之外，其它参数可加密保存。用户口令只由 存在用户的记忆中，不保存在设备上，使得用户口令不易被泄露。
79.通过本技术的步骤s101-步骤s103，提高口令的熵，增强口令认证系统的安全性； 利用层次化设计，可以加固现有口令认证系统的安全，尽量减少对原系统的改造，对 于原系统而言，可以降低系统改造的复杂度和成本，增强其安全性。对于用户而言， 不改变其使用习惯，不降低系统的可用性。
80.可选地，本技术也可以实现对不同的认证攻击进行有效防御，进一步保证了用户 账户的安全性。关于蛮力攻击：从客户端来看，由于本技术生成的认证口令是一个伪 随机字符串，在长度满足条件的情况下，蛮力攻击将不再奏效；从认证服务器端来看， 如果泄露了认证口令的加密/散列值，那么由于认证口令的伪随机性，蛮力攻击认证口 令在计算上
是不可行的。因此攻击者更加有效的方法将是穷举用户口令。在无法得到 phf的其它参数的情况下，攻击者首先需要猜测这些参数的值。单看salt这个参数， 因为它是一个随机生成的值，要穷举这个值并不简单。退一步，假定phf的参数已经 被攻击者获取，那么只需要猜测用户口令就能计算认证口令。在这样的条件下，phf 的内存困难函数mhf将有效减缓破解的速度，增加破解成本。如果用户口令具足够 的强度，那么攻击者就难以计算认证口令。基于这样的原因，若用户选择安全系数高 的口令。虽然安全系数越高记忆难度越高，但用户只需要记忆这唯一的口令，其负担 已大大减轻。关于撞库攻击：对于每个帐号，phf的参数(例如salt)是随机生成的， 所以相同的用户口令导出了不同的认证口令，即对于不同的认证服务器，其认证口令 是不一样的。正是这样的原因，撞库攻击将不可行。
81.可选地，由于本技术的一个潜在应用是当作口令管理器使用，由于本技术的用户 口令与认证口令是有关联的，即使加密保存的参数被攻破，攻击者仍然无法得到认证 口令，无法冒充用户登录帐号。
82.综上，本技术实施例提供的登录口令的处理方法，通过获取目标用户登录目标系 统的登录信息，其中，登录信息至少包括：登录口令；通过目标函数将登录口令进行 转换，得到认证口令，其中，目标函数至少包括：目标哈希函数、内存困难函数；将 认证口令发送至认证服务器，以通过认证服务器对登录信息进行认证。通过本技术， 解决了相关技术中口令比较复杂且安全性较低，导致用户账户信息安全性无法保证的 问题。通过将认证口令发送至认证服务器，以通过认证服务器对登录信息进行认证， 加强了口令的安全性，避免了复杂口令的记忆困难，进而达到了保证用户账户信息安 全性的效果。
83.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的 计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可 以以不同于此处的顺序执行所示出或描述的步骤。
84.本技术实施例还提供了一种登录口令的处理装置，需要说明的是，本技术实施例 的登录口令的处理装置可以用于执行本技术实施例所提供的用于登录口令的处理方 法。以下对本技术实施例提供的登录口令的处理装置进行介绍。
85.图9是根据本技术实施例的登录口令的处理装置的示意图。如图9所示，该装置 包括：第一获取单元901、转换单元902、第一发送单元903。
86.具体的，第一获取单元901，用于获取目标用户登录目标系统的登录信息，其中， 登录信息至少包括：登录口令；
87.转换单元902，用于通过目标函数将登录口令进行转换，得到认证口令，其中， 目标函数至少包括：目标哈希函数、内存困难函数；
88.第一发送单元903，用于将认证口令发送至认证服务器，以通过认证服务器对登 录信息进行认证。
89.综上，本技术实施例提供的登录口令的处理装置，通过第一获取单元901获取目 标用户登录目标系统的登录信息，其中，登录信息至少包括：登录口令；转换单元902 通过目标函数将登录口令进行转换，得到认证口令，其中，目标函数至少包括：目标 哈希函数、内存困难函数；第一发送单元903将认证口令发送至认证服务器，以通过 认证服务器对登录信息进行认证，解决了相关技术中口令比较复杂且安全性较低，导 致用户账户信息安全性无法保证的问题。通过将认证口令发送至认证服务器，以通过 认证服务器对登录信息进
器执行时实现登录口令的处理方法。
100.本发明实施例提供了一种处理器，处理器用于运行程序，其中，程序运行时执行 登录口令的处理方法。
101.如图10所示，本发明实施例提供了一种电子设备，设备包括处理器、存储器及存 储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：获取目 标用户登录目标系统的登录信息，其中，登录信息至少包括：登录口令；通过目标函 数将登录口令进行转换，得到认证口令，其中，目标函数至少包括：目标哈希函数、 内存困难函数；将认证口令发送至认证服务器，以通过认证服务器对登录信息进行认 证。
102.处理器执行程序时还实现以下步骤：登录账号、认证方名称，在通过目标函数将 登录口令进行转换，得到认证口令之前，该方法还包括：通过目标哈希函数将登录账 号、认证方名称、登录口令进行关联，得到关联后的信息；将关联后的信息输入至内 存困难函数中进行多线程并行计算，得到每个线程对应的计算结果；将每个线程对应 的计算结果通过异或运算符进行关联，得到关联后的登录信息。
103.处理器执行程序时还实现以下步骤：将关联后的登录信息、登录账号、认证方名 称、登录口令输入至目标算法中，得到目标字符串；对目标字符串进行截取，得到预 设长度的字符串；将预设长度的字符串作为认证口令。
104.处理器执行程序时还实现以下步骤：在获取目标用户登录目标系统的登录信息之 前，接收目标客户端发送的对目标系统进行登录认证的登录认证请求；响应登录认证 请求，触发对目标系统进行登录认证的认证界面。
105.处理器执行程序时还实现以下步骤：在将认证口令发送至认证服务器，以通过认 证服务器对登录信息进行认证之后，检测认证服务器是否接收到非目标客户端使用登 录账号对目标系统发起的认证授权请求；若检测到认证服务器接收到非目标客户端使 用登录账号对目标系统发起的认证授权请求，则将认证授权请求发送至目标客户端， 以使目标客户端对非目标客户端进行授权。
106.处理器执行程序时还实现以下步骤：在通过目标函数将登录口令进行转换，得到 认证口令之后，接收认证服务器发送的口令更新指令；响应于口令更新指令，通过目 标更新参数对认证口令进行更新。
107.处理器执行程序时还实现以下步骤：在将认证口令发送至认证服务器，以通过认 证服务器对登录信息进行认证之前，从关联后的信息中获取认证方名称与认证口令的 关联信息；根据关联信息确定认证方名称对应的认证口令。
108.本文中的设备可以是认证服务器、pc、pad、手机等。
109.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初 始化有如下方法步骤的程序：获取目标用户登录目标系统的登录信息，其中，登录信 息至少包括：登录口令；通过目标函数将登录口令进行转换，得到认证口令，其中， 目标函数至少包括：目标哈希函数、内存困难函数；将认证口令发送至认证服务器， 以通过认证服务器对登录信息进行认证。
110.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：登录账 号、认证方名称，在通过目标函数将登录口令进行转换，得到认证口令之前，该方法 还包括：通过目标哈希函数将登录账号、认证方名称、登录口令进行关联，得到关联 后的信息；
将关联后的信息输入至内存困难函数中进行多线程并行计算，得到每个线 程对应的计算结果；将每个线程对应的计算结果通过异或运算符进行关联，得到关联 后的登录信息。
111.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：将关联 后的登录信息、登录账号、认证方名称、登录口令输入至目标算法中，得到目标字符 串；对目标字符串进行截取，得到预设长度的字符串；将预设长度的字符串作为认证 口令。
112.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在获取 目标用户登录目标系统的登录信息之前，接收目标客户端发送的对目标系统进行登录 认证的登录认证请求；响应登录认证请求，触发对目标系统进行登录认证的认证界面。
113.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在将认 证口令发送至认证服务器，以通过认证服务器对登录信息进行认证之后，检测认证服 务器是否接收到非目标客户端使用登录账号对目标系统发起的认证授权请求；若检测 到认证服务器接收到非目标客户端使用登录账号对目标系统发起的认证授权请求，则 将认证授权请求发送至目标客户端，以使目标客户端对非目标客户端进行授权。
114.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在通过 目标函数将登录口令进行转换，得到认证口令之后，接收认证服务器发送的口令更新 指令；响应于口令更新指令，通过目标更新参数对认证口令进行更新。
115.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在将认 证口令发送至认证服务器，以通过认证服务器对登录信息进行认证之前，从关联后的 信息中获取认证方名称与认证口令的关联信息；根据关联信息确定认证方名称对应的 认证口令。
116.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程 序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件 方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序 代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等) 上实施的计算机程序产品的形式。
117.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的 每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供 这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处 理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理 器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多 个方框中指定的功能的装置。
118.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定 方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括 指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个 方框或多个方框中指定的功能。
119.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算 机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或 方框
图一个方框或多个方框中指定的功能的步骤。
120.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、 网络接口和内存。
121.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/ 或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可 读介质的示例。
122.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法 或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他 数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存 储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、 只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内 存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、 磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储 可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可 读媒体(transitory media)，如调制的数据信号和载波。
123.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性 的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素， 而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设 备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素， 并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
124.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。 因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施 例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算 机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计 算机程序产品的形式。
125.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说， 本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同 替换、改进等，均应包含在本技术的权利要求范围之内。