一种密码认证方法及装置与流程

本发明实施例涉及信息安全技术领域，尤其涉及一种密码认证方法及装置。

背景技术：

互联网信息技术飞速发展，在给人们的生活带来便利的同时也带来了诸多安全隐患，个人信息泄露风险无处不在，数据安全日益受到人们的重视。

现有的安全系统通常使用密码来控制对系统资源的访问，并通常将密码存储在系统中，用于通过将接收的待认证密码与存储的密码相比较来验证该待认证密码。最早期服务器上存储的密码都是明文存储，这种明文存储方式极易遭到黑客的攻击，从而导致用户信息被泄露。为了保障密码安全，现有技术虽然对明文存储密码的方式进行了改进，采用了一些加密算法。然而，经证实现有技术中的加密算法也可以被破解，无法避免黑客的字典攻击和暴力攻击，用户信息遭遇泄露的安全隐患依然存在。

技术实现要素：

本发明提供一种密码认证方法及装置，以进一步保障密码安全，从而降低用户信息泄露的风险。

第一方面，本发明实施例提供了一种密码认证方法，包括：

服务器获取待认证的明文密码以及目标用户标识；

所述服务器基于预设哈希密文、预设盐值与预设的用户标识的对应关系，获取与所述目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于所述目标预设盐值对所述待认证的明文密码进行加盐；

所述服务器对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的所述目标哈希值以及所述目标预设哈希密文发送给认证设备；

所述认证设备接收所述服务器发送的所述目标哈希值以及所述目标预设哈希密文；

所述认证设备采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证。

第二方面，本发明实施例还提供了一种密码认证装置，包括：

第一获取模块，用于获取待认证的明文密码以及目标用户标识；

第一加盐模块，用于基于预设哈希密文、预设盐值与预设的用户标识的对应关系，获取与所述目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于所述目标预设盐值对所述待认证的明文密码进行加盐；

第一发送模块，用于对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的所述目标哈希值以及所述目标预设哈希密文发送给认证设备；

第一接收模块，用于接收所述服务器发送的所述目标哈希值以及所述目标预设哈希密文；

认证模块，用于采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证。

本发明实施例通过服务器获取待认证的明文密码以及目标用户标识；获取与目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于目标预设盐值对待认证的明文密码进行加盐；对加盐后的待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的目标哈希值以及目标预设哈希密文发送给认证设备。认证设备接收服务器发送的目标哈希值以及目标预设哈希密文并对其进行密码认证，解决现有加密方式容易被破解而无法避免黑客的字典攻击和暴力攻击的问题，以进一步保障密码安全，从而降低用户信息泄露的风险。

附图说明

图1是本发明实施例一提供的一种密码认证方法的流程图；

图2是本发明实施例二提供的一种密码认证方法的流程图；

图3是本发明实施例三提供的一种密码信息发送方法的流程图；

图4是本发明实施例四提供的一种密码认证方法的流程图

图5是本发明实施例五提供的一种密码认证装置的示意图；

图6是本发明实施例六提供的一种服务器的结构示意图；

图7为本发明实施例七提供的一种认证设备的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例一

图1是本发明实施例一提供的一种密码认证方法的流程图，本实施例可适用于密码认证的情况，该方法可以由密码认证装置来执行，该装置可以由软件和/或硬件的方式来实现，该方法包括如下操作：

s110、服务器获取待认证的明文密码以及目标用户标识。

其中，待认证的明文密码是需要被认证的没有被加密处理的原始明文密码，待认证的明文密码可以由字母、数字以及各种符号组成，其位数可以为6位或8位，本发明实施例对此并不进行限制。目标用户标识是与待认证的明文密码相对应的，用于在服务器存储的信息中搜索与目标用户标识相同的预设的用户标识以及其对应的预设盐值和预设哈希密文等信息。目标用户标识可以是用户名、手机号、邮箱以及身份证号等。服务器端可以从客户端获取待认证的明文密码以及目标用户标识，也可以从网页中获取待认证的明文密码以及目标用户标识。

s120、所述服务器基于预设哈希密文、预设盐值与预设的用户标识的对应关系，获取与所述目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于所述目标预设盐值对所述待认证的明文密码进行加盐。

其中，目标预设盐值用于对待认证的明文密码进行加盐，目标预设哈希密文用于对待认证的明文密码进行认证时作为验证待认证的明文密码是否正确的判断标准。由于预设哈希密文、预设盐值与预设的用户标识在进行认证之前已经存在一一对应的存储关系，因此，获取与目标用户标识对应的目标预设盐值以及目标预设哈希密文需要以预设哈希密文、预设盐值与预设的用户标识的对应关系为依据，在服务器存储的信息中搜索与目标用户标识相同的预设的用户标识对应的预设盐值和预设哈希密文作为目标预设盐值以及目标预设哈希密文。如果在搜索过程中，服务器并未找到与目标用户标识相同的预设的用户标识，则提示“用户名不存在”、“用户名输入有误”等信息。

在本发明实施例中，加盐指的是在密码任意固定位置插入特定的字符串，让散列后的结果和使用原始密码的散列结果不相符，以保障密码的安全，这里特定的字符串就是指的目标预设盐值。目标预设盐值可以是任意方式生成的随机数，随机数在每次计算时都需随机生成，随机数可以是一位也可以是多位，为兼顾安全性及加密效率可根据实际需求自定义。随机数可以使用马特赛特旋转演算法(mersennetwister)生成，例如随机数可以为：2101077161。当然，上述随机数仅为举例，并不构成对具体实施的限定。服务器在获取到待认证的明文密码以及目标用户标识后，需要采用目标预设盐值对待认证的明文密码进行加盐。

s130、所述服务器对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的所述目标哈希值以及所述目标预设哈希密文发送给认证设备。

其中，哈希算法是一个密码散列函数家族，是联邦信息处理标准(federalinformationprocessingstandards，fips)所认证的安全散列算法。哈希算法是能计算出一个数字消息所对应的，长度固定的字符串(又称消息摘要)的算法，且若输入的消息不同，将得到不同的字符串，且得到不同字符串的概率很高。哈希算法能够将任意长度的二进制值映射为固定长度的较小二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式，通过哈希运算可以获取哈希值。

在本发明的实施例中，服务器采用目标预设盐值对待认证的明文密码进行加盐，把加盐的待认证的明文密码进行哈希运算得到目标哈希值，该目标哈希值可以直接被利用进行认证，也可以进一步被处理后进行认证。服务器获取到目标哈希值后，即可将目标哈希值以及目标用户标识对应的目标预设哈希密文一起发送给认证设备进行认证。

举例而言，采用“h＝hash(salt||password)”语句对待认证的明文密码加盐做哈希，其中，password表示待认证的明文密码，salt表示目标预设盐值，hash(salt||password)表示对加盐后的待认证的明文密码进行哈希运算，h表示得到的目标哈希值。

s140、所述认证设备接收所述服务器发送的所述目标哈希值以及所述目标预设哈希密文。

在本发明的实施例中，认证过程是在认证设备中进行的，而不是由服务器进行的。其中，认证设备可以是专用的硬件，并与服务器集成于一个系统。如果是在服务器中进行认证过程，则密码和密钥均需要存放在服务器中相应的加密分区中，这种存放方式使得密码一旦被破译，其密钥也会被随之获取，而且其他人可以同时盗取密码和密钥。在认证设备中进行密码认证过程即可实现将服务器中的密码和密钥彼此分开存储，因此可以进一步保证用户信息的安全性。

s150、所述认证设备采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证。

在本发明的实施例中，认证设备与服务器可以集成于一个系统中，认证设备并不是可移动的认证设备，认证设备和服务器可以通过有线或无线的方式进行通信。因此，认证设备中存储的密钥虽然与服务器是隔离的，但也属于认证设备与服务器所在的系统。在认证设备接收到服务器发送的目标哈希值以及目标预设哈希密文后，即可针对目标哈希值以及目标预设哈希密文采用存储的密钥对服务器获取的待认证的明文密码进行密码认证。

在本发明的一个可选的实施例中，所述密钥只能用于加密所述预设哈希值和所述目标哈希值，解密所述目标预设哈希密文，解密得到的结果不允许输出所述认证设备。

其中，密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数，在本发明实施例中，密钥用来对哈希密文进行解密或对哈希值进行加密。存储的密钥长度可以根据需要任意设置，只要能与服务器中的加密程序(如加盐、哈希运算)匹配即可，同时，认证设备中存储的密钥不出现在该认证设备以外的其他任何设备。

在本发明的一个可选的实施例中，所述认证设备采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证，包括：所述认证设备采用存储的密钥对所述目标哈希值进行加密，获得目标哈希密文；所述认证设备判断所述目标哈希密文以及接收到的所述目标预设哈希密文是否相同；若是，认证成功，若否，认证失败。

需要说明的是，本发明实施例中的认证设备在对服务器获取的待认证的密码进行认证时，可以采取两种认证方式。其中一种认证方式是对服务器发送的目标哈希值进行处理来进行认证，具体为：认证设备采用存储的密钥对目标哈希值进行加密，获得目标哈希密文，认证设备可以根据利用密钥加密获得的目标哈希密文对待认证的密码进行认证。

举例而言，采用“c＝enc(k,h)”实现认证设备的加密过程。其中，k表示认证设备存储的密钥，h表示目标哈希值，enc(k,h)表示认证设备采用存储的密钥对目标哈希值进行进一步的加密，c表示目标哈希密文。其中，该加密过程必须在专用认证设备中完成，保证k不出现在专用认证设备外。

相应的，认证设备采用存储的密钥对目标哈希值进行加密获得目标哈希密文后，即可将目标哈希密文为依据，判断认证设备接收到的服务器发送的目标预设哈希密文与认证设备获取的目标哈希密文是否相同，如果相同则表明认证成功，否则表明认证失败。

在本发明的另一个可选的实施例中，所述认证设备采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证，包括：所述认证设备采用存储的密钥对接收到的所述目标预设哈希密文进行解密，获得与所述目标预设哈希密文对应的哈希值；所述认证设备判断与所述目标预设哈希密文对应的哈希值与所述目标哈希值是否相同；若是，认证成功；若否，认证失败。

相应的，认证设备在对服务器获取的待认证的密码进行认证时采取的另外一种认证方式是：认证设备对服务器发送的目标预设哈希密文进行处理来进行认证，具体为：认证设备采用存储的密钥对接收到的目标预设哈希密文进行解密，获得与目标预设哈希密文对应的哈希值，认证设备可以根据利用密钥解密获得的与目标预设哈希密文对应的哈希值对待认证的密码进行认证。

具体的，采用存储的密钥对接收到的目标预设哈希密文进行解密获得与目标预设哈希密文对应的哈希值后，即可将与目标预设哈希密文对应的哈希值为依据，判断与目标预设哈希密文对应的哈希值以及认证设备接收到的服务器发送的目标哈希值是否相同，如果相同则表明认证成功，否则表明认证失败。

在认证设备中对服务器获取的待认证的明文密码进行认证，能够实现认证过程与密码获取过程的分离。如此，即使其他人可以盗取存储在服务器中的密码，但并不能同时获取存储在认证设备中的密钥，从而进一步保障认证过程的安全性。

本发明实施例通过服务器获取待认证的明文密码以及目标用户标识；获取与目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于目标预设盐值对待认证的明文密码进行加盐；对加盐后的待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的目标哈希值以及目标预设哈希密文发送给认证设备。认证设备接收服务器发送的目标哈希值以及目标预设哈希密文并对其进行密码认证，解决现有加密方式容易被破解而无法避免黑客的字典攻击和暴力攻击的问题，以进一步保障密码安全，从而降低用户信息泄露的风险。

实施例二

图2是本发明实施例二提供的一种密码认证方法的流程图，该方法包括如下操作：

s210、服务器获取原始明文密码及预设的用户标识，采用所述预设盐值对所述原始明文密码进行加盐，所述预设盐值是服务器通过随机生成函数生成的随机数值，并对加盐后的所述原始明文密码进行哈希运算，获得预设哈希值。

在本发明实施例中，在进行密码认证之前，首先需要具备注册阶段以获取预设哈希密文、预设盐值与预设的用户标识，以及预设哈希密文、预设盐值与预设的用户标识的对应关系。在注册阶段，服务器首先获取原始明文密码及预设的用户标识。其中，原始明文密码即注册时提供的注册密码，原始明文密码和待认证的明文密码性质相同，可以由字母、数字以及各种符号组成，其位数可以为6位或8位，本发明实施例对此并不进行限制。预设的用户标识与原始明文密码相对应，和目标用户标识性质相同，可以是用户名、手机号、邮箱以及身份证号等。服务器端可以从客户端获取原始明文密码及预设的用户标识，也可以从网页中获取原始明文密码及预设的用户标识，原始明文密码与预设的用户标识之间存在一一对应的关系。

其中，预设盐值与目标预设盐值性质相同，可以是任意方式生成的随机数，随机数在每次计算时都需随机生成，随机数可以是一位也可以是多位，为兼顾安全性及加密效率可根据实际需求自定义。需要说明的是，每个预设用户标识对应一个预设盐值，该预设盐值与后期服务器对获取的目标用户标识(与预设的用户标识相同)对应的待认证的明文密码进行加盐采用的目标预设盐值是相同的，否则无法通过认证过程。本发明实施例中的加盐过程完成对原始明文密码的第一次加密操作。

相应的，服务器采用预设盐值对原始明文密码进行加盐后，对加盐后的原始明文密码进行哈希运算，获得预设哈希值，完成对原始明文密码的第二次加密操作。然后，服务器再将获得的预设哈希值发送给所述认证设备对原始明文密码的第三次加密操作。

s220、服务器将所述预设哈希值发送给所述认证设备。

在本发明实施例中，服务器完成原始明文密码的加盐哈希运算后，将获得预设哈希值发送给认证设备。其中，服务器通过有线或无线的方式将预设哈希值发送给认证设备。

s230、所述认证设备接收所述服务器发送的所述预设哈希值，采用存储的密钥对所述预设哈希值加密得到所述预设哈希密文。

在本发明的实施例中，服务器将获得的预设哈希值发送给所述认证设备，由认证设备对原始明文密码完成第三次加密操作。具体是：认证设备对预设哈希值进行加密的过程中同样采用存储在认证设备中的密钥来进行。其中，对预设哈希值进行加密的过程中采用的存储在认证设备中的密钥与认证设备在认证过程中采用的存储在认证设备中的密钥性质相同，存储的密钥长度可以根据需要任意设置，只要能与服务器中的加密程序(如加盐、哈希运算)匹配即可。认证设备采用存储的密钥对预设哈希值进行加密完成第三次加密操作，并获得预设哈希密文。

s240、所述认证设备将所述预设哈希密文发送给所述服务器。

具体的，认证设备采用有线或无线的方式将获得的预设哈希密文发送给服务器。

s250、所述服务器将所述预设哈希密文、所述预设盐值与所述预设的用户标识进行对应存储，并形成所述预设哈希密文、所述预设盐值与所述预设的用户标识的对应关系。

在本发明的实施例中，在密码加密的过程中，认证设备采用存储的密钥对服务器发送的预设哈希值进行加密获得预设哈希密文后即完成了所有的加密操作。在完成所有的加密操作后，服务器对加密操作过程中涉及到的预设哈希密文、预设盐值与预设的用户标识进行对应存储，以便在后期的认证过程中根据目标用户标识相同的预设的用户标识查找对应的预设盐值和预设哈希密文获得目标预设盐值和目标预设哈希密文，从而对服务器获取待认证的明文密码进行认证。本发明实施例中采用三次加密操作对原始明文密码进行加密，能够进一步保障密码安全，从而最大限度保证用户信息的安全。

举例而言，采用“password_shadow＝salt||c||b”语句来存储预设哈希密文、预设盐值与预设的用户标识，并形成预设哈希密文、预设盐值与预设的用户标识的对应关系。其中，salt表示预设盐值，c表示预设哈希密文、b表示预设的用户标识，password_shadow表示预设哈希密文、预设盐值与预设的用户标识的对应关系。

s260、服务器获取待认证的明文密码以及目标用户标识。

s270、所述服务器基于所述预设哈希密文、所述预设盐值与所述预设的用户标识的对应关系，获取与所述目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于所述目标预设盐值对所述待认证的明文密码进行加盐，对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值。

s280、所述服务器将获得的所述目标哈希值以及所述目标预设哈希密文发送给认证设备。

s290、所述认证设备接收所述服务器发送的所述目标哈希值以及所述目标预设哈希密文，并采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证。

本发明实施例采用服务器获取相关密码和标识，对密码进行加盐哈希运算，并在认证设备中对服务器获取的原始明文密码进行三次加密，对待认证的明文密码生成的目标哈希值进行认证，能够实现认证设备的加密、认证过程与相应密码获取过程的分离。如此，即使其他人可以通过一定收到盗取存储在服务器中的密码，但并不能同时获取存储在认证设备中的密钥，从而进一步保障认证过程的安全性。

实施例三

图3是本发明实施例三提供的一种密码信息发送方法的流程图，该方法包括如下操作：

s310、服务器获取原始明文密码及预设的用户标识，并采用预设盐值对所述原始明文密码进行加盐，所述预设盐值是服务器通过随机生成函数生成的随机数值。

s320、所述服务器对加盐后的所述原始明文密码进行哈希运算，获得预设哈希值，并将所述预设哈希值发送给认证设备。

s330、所述服务器接收认证设备发送的采用存储的密钥对所述预设哈希值加密得到的预设哈希密文。

s340、所述服务器将所述预设哈希密文、所述预设盐值与所述预设的用户标识进行对应存储，并形成所述预设哈希密文、所述预设盐值与所述预设的用户标识的对应关系。

s350、服务器获取待认证的明文密码以及目标用户标识。

s360、所述服务器基于预设哈希密文、预设盐值与预设的用户标识的对应关系，获取与所述目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于所述目标预设盐值对所述待认证的所述明文密码进行加盐。

s370、所述服务器对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的所述目标哈希值以及目标预设哈希密文发送给认证设备。

本发明实施例通过服务器获取原始明文密码和待认证的明文密码以及相关预设的用户标识和目标用户标识，对原始明文密码和待认证的明文密码进行加盐哈希运算，将获得的预设哈希值和目标哈希值发送给认证设备，能够实现认证过程与密码信息获取过程的分离，从而进一步保障密码认证过程的安全性。

实施例四

图4是本发明实施例四提供的一种密码认证方法的流程图，该方法包括如下操作：

s410、认证设备接收服务器发送的目标哈希值以及目标预设哈希密文。

s420、所述认证设备基于接收到的所述目标哈希值以及目标预设哈希密文采用存储的密钥进行密码认证。

其中，所述目标哈希值以及所述目标预设哈希密文由所述服务器通过如下方式获得：

所述服务器基于预设哈希密文、预设盐值与预设的用户标识的对应关系，获取与获取的目标用户标识对应的目标预设盐值，并基于所述目标预设盐值对待认证的明文密码进行加盐；所述服务器对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值；所述目标预设哈希密文由所述服务器基于预设哈希密文、预设盐值与预设的用户标识的对应关系，以及获取的目标用户标识进行获得。

其中，所述密钥只能用于加密所述预设哈希值和所述目标哈希值，解密所述目标预设哈希密文，解密得到的结果不允许输出所述认证设备。

在上述实施例的基础上，在认证设备接收服务器发送的目标哈希值以及目标预设哈希密文之前，还包括：

所述认证设备接收服务器发送的预设哈希值；所述认证设备采用存储的密钥对所述预设哈希值进行加密，获得预设哈希密文。

本发明实施例通过认证设备在注册阶段对服务器发送的预设哈希值加密得到预设哈希密文，在密码认证阶段对服务器发送的目标哈希值以及目标预设哈希密文进行密码认证，能够实现认证过程与密码获取过程的分离，如此，即使其他人可以盗取存储在服务器中的密码，但并不能同时获取存储在认证设备中的密钥，从而进一步保障认证过程的安全性。

实施例五

图5是本发明实施例五提供的一种密码认证装置的示意图，可执行本发明实施例一和本发明实施例二所提供的密码认证方法，具备执行方法相应的功能模块和有益效果，本实施例可适用于密码认证的情况。

所述装置包括：

第一获取模块510，用于获取待认证的明文密码以及目标用户标识。

第一加盐模块520，用于基于预设哈希密文、预设盐值与预设的用户标识的对应关系，获取与所述目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于所述目标预设盐值对所述待认证的明文密码进行加盐。

第一发送模块530，用于对加盐后的所述待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的所述目标哈希值以及所述目标预设哈希密文发送给认证设备。

第一接收模块540，用于接收所述服务器发送的所述目标哈希值以及所述目标预设哈希密文。

认证模块550，用于采用存储的密钥基于接收到的所述目标哈希值以及所述目标预设哈希密文进行密码认证。

本发明实施例通过服务器获取待认证的明文密码以及目标用户标识；获取与目标用户标识对应的目标预设盐值以及目标预设哈希密文，并基于目标预设盐值对待认证的明文密码进行加盐；对加盐后的待认证的明文密码进行哈希运算，获得目标哈希值，并将获得的目标哈希值以及目标预设哈希密文发送给认证设备。认证设备接收服务器发送的目标哈希值以及目标预设哈希密文并对其进行密码认证，解决现有加密方式容易被破解而无法避免黑客的字典攻击和暴力攻击的问题，以进一步保障密码安全，从而降低用户信息泄露的风险。

进一步的，所述装置还包括第二获取模块560，用于获取原始明文密码及预设的用户标识。

进一步的，所述装置还包括第二加盐模块570，用于采用所述预设盐值对所述原始明文密码进行加盐，所述预设盐值是服务器通过随机生成函数生成的随机数值。

进一步的，所述装置还包括第二发送模块580，用于对加盐后的所述原始明文密码进行哈希运算，获得预设哈希值，并将所述预设哈希值发送给所述认证设备。

进一步的，所述装置还包括第二接收模块590，用于接收所述认证设备发送的采用存储的密钥对所述预设哈希值加密得到的所述预设哈希密文。

进一步的，所述装置还包括存储模块511，用于将所述预设哈希密文、所述预设盐值与所述预设的用户标识进行对应存储，并形成所述预设哈希密文、所述预设盐值与所述预设的用户标识的对应关系。

进一步的，所述认证模块550，用于采用存储的密钥对所述目标哈希值进行加密，获得目标哈希密文；判断所述目标哈希密文以及接收到的所述目标预设哈希密文是否相同；若是，认证成功，若否，认证失败。

进一步的，所述认证模块550，用于采用存储的密钥对接收到的所述目标预设哈希密文进行解密，获得与所述目标预设哈希密文对应的哈希值；判断与所述目标预设哈希密文对应的哈希值与所述目标哈希值是否相同；若是，认证成功；若否，认证失败。

进一步的，所述认证模块550，用于接收所述服务器发送的所述预设哈希值；采用存储的密钥对所述预设哈希值进行加密，获得所述预设哈希密文。

进一步的，所述密钥只能用于加密所述预设哈希值和所述目标哈希值，解密所述目标预设哈希密文，解密得到的结果不允许输出所述认证设备。

上述密码认证装置可执行本发明任意实施例所提供的密码认证方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明实施例一和本发明实施例二所提供的密码认证方法。

实施例六

图6为本发明实施例六提供的一种服务器的结构示意图。图6示出了适于用来实现本发明实施方式的服务器612的框图。图6显示的服务器612仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图6所示，服务器612以通用计算设备的形式表现。服务器612的组件可以包括但不限于：一个或者多个处理器616，存储装置628，连接不同系统组件(包括存储装置628和处理器616)的总线618。

总线618表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

服务器612典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器612访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储装置628可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)630和/或高速缓存存储器632。服务器612可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统634可以用于读写不可移动的、非易失性磁介质(图6未显示，通常称为“硬盘驱动器”)。尽管图6中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom，dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线618相连。存储装置628可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块626的程序636，可以存储在例如存储装置628中，这样的程序模块626包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块626通常执行本发明所描述的实施例中的功能和/或方法。

服务器612也可以与一个或多个外部设备614(例如键盘、指向设备、摄像头、显示器624等)通信，还可与一个或者多个使得用户能与该服务器612交互的设备通信，和/或与使得该服务器612能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口622进行。并且，服务器612还可以通过网络适配器620与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器620通过总线618与服务器612的其它模块通信。应当明白，尽管图中未示出，可以结合服务器612使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理器616通过运行存储在存储装置628中的程序，从而执行各种功能应用以及数据处理，例如实现本发明上述实施例三所提供的密码信息发送方法。

通过服务器获取原始明文密码和待认证的明文密码以及相关预设的用户标识和目标用户标识，对原始明文密码和待认证的明文密码进行加盐哈希运算，将获得的预设哈希值和目标哈希值发送给认证设备，能够实现认证过程与密码信息获取过程的分离，从而进一步保障密码认证过程的安全性。

实施例七

图7是本发明实施例七提供的一种认证设备的结构示意图，图7示出了适于用来实现本发明实施方式的认证设备712的框图。图7显示的认证设备712仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，认证设备712以通用计算设备的形式表现。认证设备712的组件可以包括但不限于：一个或者多个处理器716，存储装置728，连接不同系统组件(包括存储装置728和处理器716)的总线718。

总线718表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

认证设备712典型地包括多种计算机系统可读介质。这些介质可以是任何能够被认证设备712访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储装置728可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)530和/或高速缓存存储器732。认证设备712可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统734可以用于读写不可移动的、非易失性磁介质(图7未显示，通常称为“硬盘驱动器”)。尽管图7中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom，dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线718相连。存储装置728可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块726的程序736，可以存储在例如存储装置728中，这样的程序模块726包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块726通常执行本发明所描述的实施例中的功能和/或方法。

认证设备712也可以与一个或多个外部设备714(例如键盘、指向设备、摄像头、显示器724等)通信，还可与一个或者多个使得用户能与该认证设备712交互的设备通信，和/或与使得该认证设备712能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口722进行。并且，认证设备712还可以通过网络适配器720与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器720通过总线718与认证设备712的其它模块通信。应当明白，尽管图中未示出，可以结合认证设备712使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理器716通过运行存储在存储装置728中的程序，从而执行各种功能应用以及数据处理，例如实现本发明上述实施例四所提供的密码认证方法。

通过认证设备在注册阶段对服务器发送的预设哈希值加密得到预设哈希密文，在密码认证阶段对服务器发送的目标哈希值以及目标预设哈希密文进行密码认证，能够实现认证过程与密码获取过程的分离，如此，即使其他人可以盗取存储在服务器中的密码，但并不能同时获取存储在认证设备中的密钥，从而进一步保障认证过程的安全性。

实施例八

本发明实施例八还提供一种存储计算机程序的计算机存储介质，所述计算机程序在由计算机处理器执行时用于执行本发明实施例三提供的密码信息发送方法。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言——诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

实施例九

本发明实施例九还提供一种存储计算机程序的计算机存储介质，所述计算机程序在由计算机处理器执行时用于执行本发明上述实施例四提供的密码认证方法。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言——诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。