一种身份验证的方法、终端设备以及服务器与流程

本发明涉及通信技术领域，尤其涉及的是一种身份验证的方法、终端设备以及服务器。

背景技术：

随着用户网络安全意识的提升，用户身份验证的应用越来越广泛，在不安全的公共网络渠道中，用户身份验证能够有效的保护安全通信和系统相关资源。

因此为了保护安全的网络系统环境，简单而有效的用户身份验证机制是非常必要的。基于密码的用户身份验证机制为防止未经允许授权的访问与权限提供了最基本的功能。当然还有基于用户权限与授权设定实现了一些智能卡、令牌TOKEN等，然而这些手段在无形中增加了硬件成本和维护成本，而且用户身份验证的效率低，准确性差。

技术实现要素：

本发明实施例提供了一种能够降低成本且提升了用户身份验证效率以及准确性的身份验证的方法、终端设备以及服务器。

本发明实施例第一方面提供了一种身份验证的方法，包括：

终端设备扫描客户端设备生成的二维码，以使已扫描所述二维码的所述终端设备注册到服务器，所述二维码由所述客户端设备基于一次性密码所生成；

所述终端设备将第一验证数据发送给所述服务器，以使所述服务器将第二验证数据发送给所述终端设备，所述第二验证数据为所述服务器根据单向散列函数对所述第一验证数据进行计算以生成的数据；

所述终端设备根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据；

所述终端设备将所述第三验证数据发送给所述服务器设备，以使所述服务器将指示信息发送给所述客户端设备，所述指示信息用于指示所述终端设备已通过验证。

本发明实施例第二方面提供了一种身份验证的方法，包括：

服务器接收终端设备发送的第一验证数据，所述第一验证数据为所述终端设备注册到所述服务器后所生成的用于进行验证的数据，所述终端设备通过扫描客户端设备生成的二维码注册到所述服务器，所述二维码由所述客户端设备基于一次性密码所生成；

所述服务器根据单向散列函数对所述第一验证数据进行计算以生成第二验证数据；

所述服务器将所述第二验证数据发送给所述终端设备，以使所述终端设备根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据；

所述服务器接收所述终端设备发送的所述第三验证数据；

所述服务器根据所述第三验证数据生成指示信息，所述指示信息用于指示所述终端设备已通过验证；

所述服务器将所述指示信息发送给所述客户端设备。

本发明实施例第三方面提供了一种终端设备，包括：

扫描单元，用于扫描客户端设备生成的二维码，以使已扫描所述二维码的所述终端设备注册到服务器，所述二维码由所述客户端设备基于一次性密码所生成；

第一发送单元，用于将第一验证数据发送给所述服务器，以使所述服务器将第二验证数据发送给所述终端设备，所述第二验证数据为所述服务器根据单向散列函数对所述第一验证数据进行计算以生成的数据；

计算单元，用于根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据；

第二发送单元，用于将所述第三验证数据发送给所述服务器设备，以使所述服务器将指示信息发送给所述客户端设备，所述指示信息用于指示所述终端设备已通过验证。

本发明实施例第四方面提供了一种服务器，包括：

第一接收单元，用于接收终端设备发送的第一验证数据，所述第一验证数据为所述终端设备注册到所述服务器后所生成的用于进行验证的数据，所述终端设备通过扫描客户端设备生成的二维码注册到所述服务器，所述二维码由所述客户端设备基于一次性密码所生成；

第一计算单元，用于根据单向散列函数对所述第一验证数据进行计算以生成第二验证数据；

第一发送单元，用于将所述第二验证数据发送给所述终端设备，以使所述终端设备根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据；

第一接收单元，用于接收所述终端设备发送的所述第三验证数据；

生成单元，用于根据所述第三验证数据生成指示信息，所述指示信息用于指示所述终端设备已通过验证；

第二发送单元，用于将所述指示信息发送给所述客户端设备。

采用本实施例所示的方法，能够使得终端设备通过扫描客户端设备基于一次性密码所生成二维码实现身份的验证，且验证的过程中，由终端设备和服务器之间相互发送验证数据，从而使得服务器通过终端设备所发送的验证数据判断所述终端设备是否通过验证，可见，本实施例所示的对所述终端设备进行注册以及验证的过程都放到了远端的服务器上，从而降低了终端设备的计算量，提升了身份验证的效率，而且降低了身份验证的风险，提升了身份验证的安全。

附图说明

图1为本发明所提供的验证系统的一种实施例结构示意图；

图2为本发明所提供的服务器的一种实施例结构示意图；

图3为本发明所提供的终端设备的一种实施例结构示意图；

图4为本发明所提供的身份验证的方法的一种实施例步骤流程图；

图5为本发明所提供的身份验证的方法的另一种实施例步骤流程图；

图6为本发明所提供的身份验证的方法的另一种实施例步骤流程图；

图7为本发明所提供的身份验证的方法的另一种实施例步骤流程图；

图8为本发明所提供的终端设备的另一种实施例结构示意图；

图9为本发明所提供的服务器的另一种实施例结构示意图。

具体实施方式

本发明实施例提供了一种身份验证的方法、为更好的理解本发明实施例所提供的身份验证的方法，以下首先对能够实现本发明实施例所提供的方法的验证系统的具体结构进行详细说明：

如图1所示，本实施例所示的验证系统包括服务器101、至少一个客户端设备102以及至少一个终端设备103。

本实施例所示的所述验证系统所包括的所述客户端设备102以及所述终端设备103的具体数目不作限定。

本实施例所示的所述服务器101、所述客户端设备102以及所述终端设备103之间能够进行数据通信。

以下结合图2所示对本实施例所示的服务器的具体结构进行说明：

本发明实施例所提供的服务器200可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，CPU)222(例如，一个或一个以上处理器)和存储器232，一个或一个以上存储应用程序242或数据244的存储介质230(例如一个或一个以上海量存储设备)。其中，存储器232和存储介质230可以是短暂存储或持久存储。存储在存储介质230的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器222可以设置为与存储介质230通信，在服务器200上执行存储介质230中的一系列指令操作。

服务器200还可以包括一个或一个以上电源226，一个或一个以上有线或无线网络接口250，一个或一个以上输入输出接口258，和/或，一个或一个以上操作系统241，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM等等。

以下结合图3所示对本实施例所提供的终端设备103的具体结构进行详细说明：

如图3所示，为了便于说明，仅示出了与本发明实施例相关的部分，具体技术细节未揭示的，请参照本发明实施例方法部分。该终端设备可以为包括手机、平板电脑、PDA(Personal Digital Assistant，个人数字助理)、POS(Point of Sales，销售终端)、车载电脑等任意终端设备。

图3示出的是与本发明实施例提供的终端设备相关的终端设备的部分结构的框图。参考图3，终端设备包括：射频(Radio Frequency，RF)电路310、存储器320、输入单元330、显示单元340、传感器350、音频电路360、无线保真(wireless fidelity，WiFi)模块370、处理器380、以及电源390等部件。本领域技术人员可以理解，图3中示出的终端设备结构并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图3对终端设备的各个构成部件进行具体的介绍：

RF电路310可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器380处理；另外，将设计上行的数据发送给基站。通常，RF电路310包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise Amplifier，LNA)、双工器等。此外，RF电路310还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System of Mobile communication，GSM)、通用分组无线服务(General Packet Radio Service，GPRS)、码分多址(Code Division Multiple Access，CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution，LTE)、电子邮件、短消息服务(Short Messaging Service，SMS)等。

存储器320可用于存储软件程序以及模块，处理器380通过运行存储在存储器320的软件程序以及模块，从而执行终端设备的各种功能应用以及数据处理。存储器320可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据终端设备的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器320可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元330可用于接收输入的数字或字符信息，以及产生与终端设备的用户设置以及功能控制有关的键信号输入。具体地，输入单元330可包括触控面板331以及其他输入设备332。触控面板331，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板331上或在触控面板331附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板331可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器380，并能接收处理器380发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板331。除了触控面板331，输入单元330还可以包括其他输入设备332。具体地，其他输入设备332可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元340可用于显示由用户输入的信息或提供给用户的信息以及终端设备的各种菜单。显示单元340可包括显示面板341，可选的，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板341。进一步的，触控面板331可覆盖显示面板341，当触控面板331检测到在其上或附近的触摸操作后，传送给处理器380以确定触摸事件的类型，随后处理器380根据触摸事件的类型在显示面板341上提供相应的视觉输出。虽然在图3中，触控面板331与显示面板341是作为两个独立的部件来实现终端设备的输入和输入功能，但是在某些实施例中，可以将触控面板331与显示面板341集成而实现终端设备的输入和输出功能。

终端设备还可包括至少一种传感器350，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板341的亮度，接近传感器可在终端设备移动到耳边时，关闭显示面板341和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别终端设备姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于终端设备还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路360、扬声器361，传声器362可提供用户与终端设备之间的音频接口。音频电路360可将接收到的音频数据转换后的电信号，传输到扬声器361，由扬声器361转换为声音信号输出；另一方面，传声器362将收集的声音信号转换为电信号，由音频电路360接收后转换为音频数据，再将音频数据输出处理器380处理后，经RF电路310以发送给比如另一终端设备，或者将音频数据输出至存储器320以便进一步处理。

WiFi属于短距离无线传输技术，终端设备通过WiFi模块370可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图3示出了WiFi模块370，但是可以理解的是，其并不属于终端设备的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器380是终端设备的控制中心，利用各种接口和线路连接整个终端设备的各个部分，通过运行或执行存储在存储器320内的软件程序和/或模块，以及调用存储在存储器320内的数据，执行终端设备的各种功能和处理数据，从而对终端设备进行整体监控。可选的，处理器380可包括一个或多个处理单元；优选的，处理器380可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器380中。

终端设备还包括给各个部件供电的电源390(比如电池)，优选的，电源可以通过电源管理系统与处理器380逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

尽管未示出，终端设备还可以包括摄像头、蓝牙模块等，在此不再赘述。

本实施例对所述客户端设备102的具体结构不作限定，只要所述客户端设备102能够生成二维码以被终端设备103扫描即可。

基于图1至图3所示，以下结合图4所示对本发明实施例所提供的身份验证的方法的具体执行过程进行详细说明。

步骤401、客户端设备基于一次性密码生成二维码。

首先对本实施例所示的一次性密码进行说明：

在对用户进行身份验证的过程中，静态密码容易遭到破解，而一次性密码(英文全称：One Time Password，英文简称：OTP)能够有效的提升用户身份验证的安全性。

一次性密码只对于一个登录会话或事务是有效的。一次性密码防止了与传统静态密码相关联的许多缺点，例如，重播攻击，字典攻击，网络钓鱼攻击。这意味着，如果一个潜在的入侵者试着去记录一个已经被用于登录服务或者进行事物的一次性密码，他将不能滥用它因为这个密码不再有效。

因此，一次性密码的目的是使它更加难以获得未经授权访问受限资源的权限。

一次性密码方案不能由人类记忆。出于这个原因，为了工作，它们需要额外的技术。基本上，一次性密码可以分为一下四类：

一类：基于数学算法：1981年，Lamport首先提出了利用单向散列链的一次性密码身份验证方案。然而，如果需要无期限的密码，当一套老哈希链用尽的时候，需要选取一个新的种子值。特别是，维护一个用来验证用户身份验证请求的密码文件同时也增加了篡改的风险和维护成本。出于这个原因，许多研究人员提出了各种用户身份验证，如使用智能卡来改善安全，成本或效率。

另一类：基于智能卡：由于管理密码文件中的抗篡改技术和便利性，智能卡已经广泛应用到许多远程身份验证方案。然而，对于用户来说，随身携带卡和扫描器仍然是一个负担。因此这个障碍限制了基于身份验证方案的智能卡的应用。

另一类：基于令牌标记：令牌一次性密码通常与物理硬件令牌相关联。在令牌的内部是一个准确的已经与服务器上的时钟同步的时钟。近期，它已经可以将电子原件与常规密钥卡一次性密码令牌相关联，例如InCard，RSA，SafeNet，和Vasco。然而，出于和智能卡方案一样的原因，这些方法不是很方便。

另一类：基于短消息服务：由于短息是一个无处不在的通信通道同时在所有的手机上利用。然后，尽管短信是一个最尽力的递送员，意味着通讯公司尽力地传送短信，但是不能保证它一定送达，或者不知道它要花多长时间。应该强调，一次性密码必须有一个生命周期作为安全特性。此外，基于短信方案必须持续直到带来额外费用。因此，它是不切实际的，同时不是必要地低成本解决方案。

可见，为了消除上述所示的一次性密码的缺点，则本实施例所示的客户端设备可基于所述一次性密码生成二维码。

具体的，本实施例所示的客户端设备被启动时，客户端设备的处理器能够通过一次性密码计算预设内容以生成二维码，所述客户端设备的显示屏即可显示已生成的所述二维码。

应用本实施例所示的方法的应用场景也可参见图5所示，本实施例所示的客户端设备可存储有图5所示的预设内容content可为统一资源定位地址URL，或文本text，或电话号码phone number，或短讯服务SMS。

如图5所示的应用场景可知，所述客户端服务器能够基于一次性密码对预设内容content进行加密运算以生成二维码QR Code。

步骤402、所述终端设备扫描所述客户端设备生成的二维码。

本实施例所示的终端设备通过扫描所述二维码以加入图1所示的验证系统。

由于移动通信的飞速发展，在嵌入式摄像头中的二维码技术已经作为新的输入接口被应用。有嵌入式摄像头的终端设备可以捕捉到二维码，然后使用运行在终端设备上的软件对它们进行解码。

与此同时，在终端设备中使用二维码有许多好处，比如全方位的可读性和纠错能力。出于这个原因，采用了二维码的终端设备支持现在的许多服务，比如，订票、支付和统一资源定位符阅读。

所以本实施例提出采用广泛使用的二维码技术来支持一次性密码系统，则终端设备上的二维码应用可以获得从二维码上继承的好处，如大容量，打印尺寸小，高速扫描，抗毁坏能力和数据健壮性。此外，各种属性，比如流动性和灵巧性。因此，我们的方法可以更加的便利，因为用户不需要对于每一个安全域都携带单独的硬件令牌来获得访问权限。

如图5所示的应用场景为例，则终端设备扫描所述客户端设备所生成的二维码后则执行注册阶段，所述注册阶段的具体执行过程请详见下述步骤403至步骤408所示。

步骤403、所述终端设备生成与所述终端设备对应的第一注册数据。

本实施例对所述第一注册数据IDA不作限定，只要所述第一注册数据IDA与所述终端设备对应即可，例如，所述第一注册数据IDA可为所述终端设备的处理器的ID码，或所述终端设备的预设的登录账号和登陆密码等。

步骤404、所述终端设备将所述第一注册数据发送给所述服务器。

步骤405、所述服务器接收所述终端设备发送的所述第一注册数据。

具体的，在执行本实施例所示的步骤404和步骤405的过程中，所述服务器和所述终端设备可预先建立安全的通信通道，从而使得所述服务器和所述终端设备之间通过已创建的通信通道进行数据的传输。

步骤406、所述服务器生成第二注册数据。

具体的，本实施例所示的服务器能够根据单向散列函数h(*)对所述第一注册数据IDA和预设密钥S进行计算以生成第二注册数据XA。

所述预设密钥S为所述服务器预先存储的长期密钥。

更具体的，XA＝h(IDA，S)。

步骤407、所述服务器将所述第二注册数据发送给所述终端设备。

步骤408、所述终端设备接收所述第二注册数据。

本实施例所示的终端设备在接收到所述第二注册数据之后，所述终端设备即可将所述第二注册数据XA作为长期密钥进行存储。

采用本实施例所示的步骤403至步骤408从而完成了所述终端设备注册到服务器的过程。

如图5所示的应用场景为例，在执行完步骤403至步骤408，完成了终端设备注册到服务器的过程后，通过下述所示的步骤409至步骤435执行验证阶段。

步骤409、所述终端设备记录第一时间戳。

具体的，所述第一时间戳T1为所述终端设备检测到所述终端设备扫描所述二维码结束的时间。

步骤410、所述终端设备生成所述第一验证数据。

具体的，本实施例所示的所述第一验证数据包括所述第一时间戳T1和所述第二注册数据XA。

步骤411、所述终端设备将所述第一验证数据发送给所述服务器。

步骤412、所述服务器接收所述第一验证数据。

步骤413、所述服务器记录第二时间戳。

具体的，所述第二时间戳T2为所述服务器检测到所述终端设备扫描所述二维码结束的时间；

步骤414、所述服务器判断所述第一验证数据是否满足第一预设条件，若否，则执行步骤415，若是，则执行步骤416。

其中，所述第一预设条件为所述第一时间戳等于第二时间戳。

具体的，当所述服务器判断出所述第一验证数据所包括的第一时间戳与所述服务器所记录的第二时间戳不相等，则说明所述第一验证数据不满足所述第一预设条件，则继续执行步骤415。

当所述服务器判断出所述第一验证数据所包括的第一时间戳与所述服务器所记录的第二时间戳相等，则说明所述第一验证数据满足所述第一预设条件，则继续执行步骤416。

步骤415、所述服务器拒绝所述终端设备进行验证的请求。

在所述服务器判断出所述第一验证数据所包括的第一时间戳与所述服务器所记录的第二时间戳不相等的情况下，则所述服务器即可确定出所述终端设备进行身份验证的请求是无效的，可选的，所述服务器可向所述终端设备和/或所述客户端设备发送目标指示信息，所述目标指示信息用于指示所述终端设备进行身份验证的请求是无效的。

步骤416、所述服务器生成第一子数据。

具体的，所述服务器根据所述单向散列函数h(*)对目标随机数r、所述第一时间戳T1和所述第二时间戳T2进行计算以生成第一子数据h(r,T1，T2)。

所述目标随机数r为所述服务器随机生成的数据。

步骤417、所述服务器生成第一参数。

具体的，所述服务器对所述目标随机数r和所述第二注册数据IDA进行异或运算以生成第一参数α；

本实施例所示的所述第二注册数据为在所述步骤406中所生成的数据。

具体的，

步骤418、所述服务器生成第二子数据。

具体的，所述服务器通过第一函数对所述第一参数进行计算以生成第二子数据。

更具体的，本实施例所示的第一函数为EOR(*)。

其中，所述第一函数EOR(*)为将数据编码成二维码图像的函数。

在本实施例中，所述第二子数据为EOR(α)。

步骤419、所述服务器生成第二验证数据。

本实施例中，所述服务器所生成的所述第二验证数据包括所述第一子数据h(r,T1，T2)、所述第二子数据EOR(α)以及所述第二时间戳T2。

步骤420、所述服务器将所述第二验证数据发送给所述终端设备。

步骤421、所述终端设备接收所述第二验证数据。

步骤422、所述终端设备判断所述第二验证数据是否满足第二预设条件，若否，则执行步骤423、若是，则执行步骤424。

本实施例中，所述第二预设条件为所述第一时间戳T1等于所述第二时间戳T2。

即若所述终端设备确定出所述第一时间戳T1等于所述第二时间戳T2，则确定出所述第二验证数据满足所述第二预设条件，则可继续执行步骤424。

若所述终端设备确定出所述第一时间戳T1不等于所述第二时间戳T2，则确定出所述第二验证数据不满足所述第二预设条件，则可继续执行步骤423。

步骤423、所述终端设备拒绝继续进行身份验证。

本实施例在所述终端设备确定出所述第一时间戳T1不等于所述第二时间戳T2的情况下，则所述终端设备拒绝继续进行身份验证，则身份验证的流程终止。

步骤424、所述终端设备生成第二参数。

具体的，所述终端设备通过第二函数DOR(*)对所述第二验证数据所包括的所述第二子数据EOR(α)进行计算以生成第二参数。

其中，所述第二函数DOR(*)为终端设备将捕获在嵌入式摄像头设备的二维码解码的函数。

所述第二参数为DOR(EOR(α))。

步骤425、所述终端设备生成所述目标随机数。

本实施例中，所述终端设备对所述第二参数DOR(EOR(α))和所述第二注册数据XA通过异或运算进行计算以生成所述目标随机数r。

具体的，

步骤426、所述终端设备生成第三参数。

具体的，所述终端设备通过所述单向散列函数h(*)对所述目标随机数r、所述第一时间戳T1以及所述第二时间戳T2进行计算以生成第三参数。

更具体的，所述第三参数为h(r，T1，T2)。

步骤427、所述终端设备判断所述第三参数是否满足第三预设条件，若否，则执行步骤428，若是，则执行步骤429。

本实施例中，所述第三预设条件为所述第三参数等于所述第一子数据。

具体的，若所述终端设备判断出所述第三参数不等于所述第一子数据，则继续执行步骤428，若所述终端设备判断出所述第三参数等于所述第一子数据，则继续执行步骤429。

步骤428、所述终端设备拒绝继续进行身份验证。

步骤429、所述终端设备获取第三时间戳。

本实施例所示的所述第三时间戳为所述终端设备检测到所述终端设备扫描所述二维码开始的时间。

步骤430、所述终端设备生成第三验证数据。

本实施例所示的终端设备所生成的所述第三验证数据包括所述第三参数h(r，T1，T2)和所述第三时间戳T3。

步骤431、所述终端设备将所述第三验证数据发送给所述服务器。

步骤432、所述服务器判断所述第三验证数据是否满足第四预设条件，若是，则执行步骤433。

本实施例中，所述第四预设条件为所述第一时间戳T1和所述第三时间戳T3之间的差值小于或等于预设阈值，且所述第四预设条件还为所述第三参数h(r，T1，T2)和所述服务器所存储的所述第二验证数据所包括的所述第一子数据h(r，T1，T2)相等。

具体的，本实施例所示的所述服务器预先存储有所述预设阈值，则所述服务器在接收到所述第三时间戳后，所述服务器即可判断所述第一时间戳和所述第三时间戳之间的差值是否小于或等于所述预设阈值。

本实施例所述第三参数为所述终端设备发送给所述服务器的，所述第一子数据为所述服务器在执行步骤416所生成的，则本步骤所示，所述服务器需要判断所述第三参数是否等于所述第一子数据。

步骤433、所述服务器生成指示信息。

本实施例所示在所述服务器确定出所述第三验证数据满足所述第四预设条件的情况下，则所述服务器可生成用于指示所述终端设备通过验证的指示信息。

步骤434、所述服务器将所述指示信息发送给客户端设备。

本实施例中，在所述服务器确定出所述终端设备已通过验证的情况下，所述服务器可将已生成的指示信息发送给所述客户端设备。

步骤435、所述客户端设备接收所述指示信息。

本实施例中，所述客户端设备在接收到所述指示信息的情况下，即可确定当前的所述终端设备已通过验证，即可执行对应的功能。

例如，将本实施例所示的验证系统应用至订票领域，则所述客户端设备可为能够执行订票功能的计算机设备，在所述计算机设备接收到服务器所发送的所述指示信息的情况下，所述计算机设备即可对所述终端设备开放订票的对应功能。

如图5所示的应用场景中，在完成了验证阶段后，本实施例所示的方法还能够继续执行安全规避的阶段。

具体的，本实施例所示的方法能够对终端设备的风险进行规避。

其中，本实施例因为所述终端设备长期存储有步骤408所示的密钥XA，因此终端设备需要受到良好的保护，而本实施例所示的终端设备只是用来扫描客户端设备的二维码，核心的注册阶段以及验证阶段在远端的服务器上执行，二维码的生成阶段在客户端设备上执行，从而有效的降低了本实施例所示的终端设备的安全风险，提升了终端设备的安全。

采用本实施例所示的方法，攻击者通过终端设备得到服务器的密钥的目的是不可行的，因为本实施例所示的单向散列函数又称单向哈希函数，单向哈希函数是不可逆转的，通过不可逆转的单向哈希函数，能够使得攻击者无法获取到服务器所存储的密钥，从而进一步的提升了验证过程的安全。

采用本实施例所示的方法，有效的降低了远程用户的安全风险，因为当不知道相应的随机数r的值时，得到合法的用户长期密钥xA是不可行的。另一方面如果截获了在公共渠道传播的信息，它仍然无法得到r，这是因为单向哈希函数是不可逆转的。

采用本实施例所示的方法，有效的降低了中间人攻击和重放攻击，如果破解者多次尝试一个从公共渠道上截获的合法的时间戳T3请求，服务器在时间戳T3上接收到了访问请求。但是时间戳T1和时间戳T3之间的差值不低于预先存储的时间间隔，则服务器即可进行拒绝。而且随机数r是服务器随机选取的。因此，中间人攻击和重放攻击将会失败。

为更好的理解本发明实施例所示的方法，则以下结合应用场景对本实施例所示的方法进行详细说明：

本应用场景中，将所述验证系统应用至支付领域，在本应用场景中，所述客户端设备为能够执行支付功能的计算机设备。

结合图5、图6以及图7所示。

本应用场景所示的客户端设备生成二维码的具体过程，请详见图4的实施例所示，具体不做赘述。

在支付之前，所述终端设备通过扫描所述客户端设备所生成的二维码以加入所述验证系统，在加入所述验证系统后，所述终端设备执行图6所示的过程以使终端设备注册到所述服务器。

如图6所示，终端设备将IDA发送至所述服务器和所述客户端设备，所述终端设备发送所述IDA的具体过程请详见图4所示的实施例，具体在本应用场景中不做赘述。

所述服务器对所述IDA进行计算以生成XA，本应用场景中所述XA的具体生成过程请详见图4所示的实施例，具体在本应用场景中不做赘述。

所述服务器将以生成的所述XA发送至所述终端设备，以使所述终端设备对所述XA进行存储。

所述终端设备存储所述XA的具体过程，请详见图4所示的实施例，具体在本应用场景中不做赘述。

如图5所示可知，在终端设备执行完所述注册阶段以使所述终端设备注册到所述服务器上后，即可执行验证阶段，所述验证阶段的具体过程可参见图7所示。

在验证阶段，所述终端设备和所述服务器之间进行验证数据的交互，具体的交互过程，请详见图4所示的具体过程，在本应用场景中不做赘述。

在图7所示中，若所述服务器确定出所述终端设备已通过验证，则所述服务器即可将指示信息发送给所述客户端设备，以使接收到所述指示信息的所述客户端设备确定出所述终端设备已通过验证，在本应用场景中，所述客户端设备即可与已通过验证的终端设备之间进行支付的操作。

在高速发展的信息化时代，采用本实施例所示的验证方法在基于日常产品和系统化设计的情况下，能够配合到人们的习惯、便利性和日常生产。本实施例提供的基于一次性密码认证协议的动态安全性边界二维码，不仅消除了密码验证表的使用，同时由于信息化时代终端设备以及网络的普遍遍及性，使得本实施例所示的方法具有广泛的应用范围，而且在验证的过程中，用户无需添置新的设备，则使得本实施例所示的方法具有非常高的性价比，能够普及的应用，可以消除现有技术所示的携带单独硬件令牌的负担，还可以减少短信带来的额外费用。且本实施例所示的方法有效的提高了安全性，使用二维码的终端设备的验证使原有用户身份验证提高了方便性和便捷性。

图3所示从硬件实体的角度对本实施例所提供的终端设备的结构进行说明，以下结合图8所示从功能模块角度对本实施例所提供的终端设备的具体结构进行详细说明：

所述终端设备包括：

扫描单元801，用于扫描客户端设备生成的二维码，以使已扫描所述二维码的所述终端设备注册到服务器，所述二维码由所述客户端设备基于一次性密码所生成；

第一生成单元802，用于生成与所述终端设备对应的第一注册数据；

第三发送单元803，用于将所述第一注册数据发送给所述服务器，以使所述服务器将第二注册数据发送给所述终端设备，所述第二注册数据为所述服务器根据所述单向散列函数对所述第一注册数据和预设密钥进行计算以生成的数据，所述预设密钥为所述服务器预先存储的密钥；

第一接收单元804，用于接收所述第二注册数据。

第一记录单元，用于记录第一时间戳，所述第一时间戳为所述终端设备检测到所述终端设备扫描所述二维码结束的时间；

第二生成单元805，用于生成所述第一验证数据，所述第一验证数据包括所述第一时间戳和所述第二注册数据，以使所述服务器确定所述第一验证数据满足第一预设条件的情况下，生成所述第二验证数据，所述第一预设条件为所述第一时间戳等于第二时间戳，所述第二时间戳为所述服务器检测到所述终端设备扫描所述二维码结束的时间，所述第二验证数据包括第一子数据、第二子数据以及所述第二时间戳，其中，所述第一子数据为所述服务器根据所述单向散列函数对目标随机数、所述第一时间戳和所述第二时间戳进行计算以生成的数据，所述目标随机数为所述服务器随机生成的数据，所述第二子数据为所述服务器通过第一函数对第一参数进行计算以生成的数据，所述第一参数为所述服务器对所述目标随机数和所述第二注册数据进行异或运算所生成的数据。

第一发送单元806，用于将第一验证数据发送给所述服务器，以使所述服务器将第二验证数据发送给所述终端设备，所述第二验证数据为所述服务器根据单向散列函数对所述第一验证数据进行计算以生成的数据；

第二接收单元807，用于接收所述第二验证数据，所述第二验证数据包括第二时间戳，所述第二时间戳为所述服务器检测到所述终端设备扫描所述二维码结束的时间；

第一判断单元808，用于判断所述第二验证数据是否满足第二预设条件，所述第二预设条件为第一时间戳等于所述第二时间戳，所述第一时间戳为所述终端设备检测到所述终端设备扫描所述二维码结束的时间；

触发单元809，用于若所述第一判断单元判断出所述第二验证数据满足第二预设条件，则触发执行所述计算单元执行根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据的步骤。

计算单元810，用于根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据；

具体的，所述计算单元810包括：

第一计算模块8101，用于通过第二函数对所述第二验证数据所包括的所述第二子数据进行计算以生成第二参数；

第二计算模块8102，用于对所述第二参数和所述第二注册数据通过异或运算进行计算以生成所述目标随机数；

第三计算模块8103，用于通过所述单向散列函数对所述目标随机数、所述第一时间戳以及所述第二时间戳进行计算以生成第三参数；

判断模块8104，用于判断所述第三参数是否满足第三预设条件，所述第三预设条件为所述第三参数等于所述第一子数据；

获取模块8105，用于若所述判断模块判断出所述第三参数满足第三预设条件，则获取第三时间戳，所述第三时间戳为所述终端设备检测到所述终端设备扫描所述二维码开始的时间；

确定模块8106，用于确定所述第三验证数据包括所述第三参数和所述第三时间戳，以使所述服务器在确定出所述第三验证数据满足第四预设条件的情况下，生成所述指示信息，所述第四预设条件为所述第一时间戳和所述第三时间戳之间的差值小于或等于预设阈值，且所述第四预设条件还为所述第三参数和所述服务器所存储的所述第二验证数据所包括的所述第一子数据相等。

第二发送单元811，用于将所述第三验证数据发送给所述服务器设备，以使所述服务器将指示信息发送给所述客户端设备，所述指示信息用于指示所述终端设备已通过验证。

图8所示的终端设备执行身份验证的方法的具体过程请详见图4所示的实施例，具体在本实施例中不做赘述。

图8所示的终端设备在执行身份验证方法的具体过程所取得的有益效果的说明，请详见图4所示的实施例，具体在本实施例中不做赘述。

图2从硬件实体的角度对服务器的具体结构进行说明，以下结合图9所示的实施例从功能模块的角度对服务器的具体结构进行详细说明：

所述服务器包括：

第二接收单元901，用于接收所述终端设备发送的与所述终端设备对应的第一注册数据；

第二计算单元902，用于根据所述单向散列函数对所述第一注册数据和预设密钥进行计算以生成第二注册数据，所述预设密钥为所述服务器预先存储的密钥；

第二发送单元903，用于将所述第二注册数据发送给所述终端设备。

第一接收单元904，用于接收终端设备发送的第一验证数据，所述第一验证数据为所述终端设备注册到所述服务器后所生成的用于进行验证的数据，所述终端设备通过扫描客户端设备生成的二维码注册到所述服务器，所述二维码由所述客户端设备基于一次性密码所生成；

记录单元905，用于记录第二时间戳，所述第二时间戳为所述服务器检测到所述终端设备扫描所述二维码结束的时间；

判断单元906，用于判断所述第一验证数据是否满足第一预设条件，所述第一验证数据包括第一时间戳和所述第二注册数据，所述第一时间戳为所述终端设备检测到所述终端设备扫描所述二维码结束的时间，所述第一预设条件为所述第一时间戳等于第二时间戳；

触发单元907，用于若所述判断单元判断出所述第一验证数据满足所述第一预设条件，则触发所述第一计算单元执行根据单向散列函数对所述第一验证数据进行计算以生成第二验证数据的步骤。

第一计算单元908，用于根据单向散列函数对所述第一验证数据进行计算以生成第二验证数据；

具体的，所述第一计算单元908包括：

第一计算模块9081，用于根据所述单向散列函数对所述目标随机数、所述第一时间戳和所述第二时间戳进行计算以生成第一子数据，所述目标随机数为所述服务器随机生成的数据；

第二计算模块9082，用于对所述目标随机数和所述第二注册数据进行异或运算以生成第一参数；

第三计算模块9083，用于通过第一函数对所述第一参数进行计算以生成第二子数据；

第一生成模块9084，用于生成第二验证数据，所述第二验证数据包括所述第一子数据、所述第二子数据以及所述第二时间戳。

第一发送单元909，用于将所述第二验证数据发送给所述终端设备，以使所述终端设备根据所述单向散列函数对所述第二验证数据进行计算以生成第三验证数据；

第一接收单元910，用于接收所述终端设备发送的所述第三验证数据，所述第三验证数据包括第三参数和第三时间戳，所述第三参数为所述终端设备通过所述单向散列函数对所述目标随机数、所述第一时间戳以及所述第二时间戳进行计算以生成的参数，所述目标随机数为所述终端设备对第二参数和所述第二注册数据通过异或运算进行计算以生成的随机数，所述第二参数为所述终端设备通过第二函数对所述第二验证数据所包括的所述第二子数据进行计算以生成的参数，所述第三时间戳为所述终端设备检测到所述终端设备扫描所述二维码开始的时间；

生成单元911，用于根据所述第三验证数据生成指示信息，所述指示信息用于指示所述终端设备已通过验证；

具体的，所述生成单元911包括：

判断模块9111，用于判断所述第三验证数据是否满足第四预设条件，所述第四预设条件为所述第一时间戳和所述第三时间戳之间的差值小于或等于预设阈值，且所述第四预设条件还为所述第三参数和所述服务器所存储的所述第二验证数据所包括的所述第一子数据相等；

第二生成模块9112，用于若所述判断模块判断出所述第三验证数据满足所述第四预设条件，则生成所述指示信息。

第二发送单元912，用于将所述指示信息发送给所述客户端设备。

图9所示的服务器执行身份验证的方法的具体过程请详见图4所示的实施例，具体在本实施例中不做赘述。

图9所示的服务器在执行身份验证方法的具体过程所取得的有益效果的说明，请详见图4所示的实施例，具体在本实施例中不做赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。