用户认证方法、装置、终端及存储介质与流程

本发明涉及通信领域，特别涉及一种用户认证方法、装置、终端及存储介质。

背景技术

随着网络的迅速发展，网络安全问题越来越受到重视，例如，通过计算机设备上的客户端、nas(networkaccessserver，接入点设备)、aaa(authenticationauthorizationaccounting，认证授权计费)服务器相互配合实现对接入相应网络的计算机设备进行准入控制。radius(remoteauthenticationdialinuserservice)是一种客户端/服务器结构的远程用户拨号认证服务协议，其目的是为拨号用户进行认证、授权和计费(aaa)，任何运行nas软件的计算机设备都可以成为radius的客户端。

目前的用户认证方法可以包括以下步骤：radius服务器将用户名和密码以明文形式存储在radius服务器的配置文件或数据库中，当用户想要使用某一服务时，可以登录该服务的客户端，在登录时会触发该客户端向对应的接入点设备发送接入请求，当该接入点设备接收到该接入请求时，向radius服务器发送认证请求，该认证请求携带用户标识和密码，radius服务器根据该认证请求中携带的用户标识，从本地配置文件或数据库中获取相应的密码，并将该密码与认证请求中携带的密码进行对比。当该密码与认证请求中携带的密码一致时，则radius服务器向该接入点设备发送认证通过通知，当该密码与认证请求中携带的密码不一致时，则radius服务器向该接入点设备发送认证未通过通知。

然而，由于radius服务器中所存储的密码是明文形式，因此，密码容易暴露，且一旦该用户标识和密码暴露，其他用户在任何一台计算机设备上都可以使用该密码登录该客户端，造成该用户的信息泄露，对网络安全造成极大的威胁。

技术实现要素：

为了解决现有技术的问题，本发明实施例提供了一种用户认证方法、装置、终端及存储介质。所述技术方案如下：

一方面，提供了一种用户认证方法，所述方法包括：

通过注册流程与密码服务器进行交互，获取所述密码服务器发送的第一密码，所述第一密码基于所述终端的用户标识以及设备硬件信息生成；

根据列表显示指令，显示接入点设备列表；

根据对所述接入点设备列表中接入点设备的网络接入指令，获取预先存储于所述终端上的第一密码；

向接入点设备发送网络接入请求，所述网络接入请求携带用户标识、所述终端的设备硬件信息和所述第一密码；

当接收到所述接入点设备的接入响应时，与所述接入点设备建立连接。

一方面，提供了一种用户认证方法，所述方法包括：

接收接入点设备发送的认证请求，所述认证请求携带用户标识、待接入终端的设备硬件信息和第一密码；

向密码服务器发送密码获取请求，所述密码获取请求携带所述用户标识和所述设备硬件信息；

接收密码服务器发送的第二密码，所述第二密码基于所述用户标识和所述待接入终端的设备硬件信息生成；

当所述第一密码与所述第二密码相同时，向所述接入点设备返回认证通过通知，所述认证通过通知用于指示所述待接入终端认证通过。

一方面，提供了一种用户认证方法，所述方法包括：

接收认证服务器发送的密码获取请求，所述密码获取请求携带待接入终端的用户标识和设备硬件信息；

根据待接入终端的用户标识和设备硬件信息，生成第二密码；

将所述第二密码发送至所述认证服务器，所述第二密码用于所述认证服务器基于所述第二密码进行认证。

一方面，提供了一种用户认证装置，所述装置包括：

获取模块，用于通过注册流程与密码服务器进行交互，获取所述密码服务器发送的第一密码，所述第一密码基于所述终端的用户标识以及设备硬件信息生成；

显示模块，根据列表显示指令，显示接入点设备列表；

所述获取模块还用于根据对所述接入点设备列表中接入点设备的网络接入指令，获取预先存储于所述终端上的第一密码；

发送模块，用于向接入点设备发送网络接入请求，所述网络接入请求携带用户标识、所述终端的设备硬件信息和所述第一密码；

连接模块，用于当接收到所述接入点设备的接入响应时，与所述接入点设备建立连接。

一方面，提供了一种终端，所述终端包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如上述用户认证方法所执行的操作。

一方面，提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如上述用户认证方法所执行的操作。

一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如上述用户认证方法所执行的操作。

本发明实施例提供的技术方案带来的有益效果是：

本发明实施例提供了一种基于云端的用户认证方案，通过在进行接入请求时，提供终端的用户标识、能够唯一标识终端的设备硬件信息以及基于上述信息注册时所获取到的密码，使得认证服务器可以基于能够唯一标识终端的信息，触发云端的密码服务器实时生成密码，由于采用了相同的方式进行生成，因此，其所生成的密码是针对该终端的，基于这样实时生成的密码进行认证，可以避免由于密码泄露而造成的不安全接入，大大增强了用户认证的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种用户认证方法的实施环境示意图；

图2是本发明实施例提供的一种用户认证方法的流程图；

图3是本发明实施例提供的一种设备交互示意图；

图4是本发明实施例提供的终端上的接入点设备列表显示页面；

图5是本发明实施例提供的终端上的接入点设备连接成功显示页面；

图6是本发明实施例提供的一种用户认证装置的结构示意图；

图7是本发明实施例提供的一种用户认证装置的结构示意图；

图8是本发明实施例提供的一种用户认证装置的结构示意图；

图9是本发明实施例提供的一个终端的结构框图；

图10是本发明实施例提供的一种服务器的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

图1是本发明实施例提供的用户认证方法的实施环境示意图。参见图1，该实施环境包括至少一个终端101、至少一个接入点设备102、至少一个认证服务器103以及至少一个密码服务器104。

其中，至少一个终端101可以安装有认证服务器103所提供的应用客户端，该应用客户端在运行过程中可以基于终端所检测到的接入点设备提供安全服务，例如，该客户端可以基于检测到的接入点设备的接入历史信息等，显示该接入点设备的安全等级等，从而为用户提供接入服务。

至少一个接入点设备102可以为无线ap(accesspoint，接入点)，其可以广播自身的接入信息，使得在该接入点设备102的一定范围内的终端可以通过接收该接入信息，以检测到该接入点设备102，从而与接入点设备102进行连接，为终端提供网络接入服务。

至少一个认证服务器103可以提供用户认证服务，以便对请求接入该接入点设备102的终端进行身份认证，从而提高接入点设备的安全性。例如，该认证服务器103可以为radius服务器，也即是，下述实施例可以应用于radius认证的场景下。

该至少一个密码服务器104为云端服务器，可以为至少一个终端101提供注册服务，以使得终端101能够在注册后，使用由认证服务器103以及接入点设备102提供的网络接入服务，进一步地，该密码服务器104还可以为认证服务器提供密码查询服务，从而在终端101想要接入接入点设备102时，基于接入点设备所发送的认证请求进行认证，使得接入点设备根据认证结果确定是否与终端建立连接。

图2是本发明实施例提供的一种用户认证方法的流程图。图3是基于上述图1所提供的实施场景所提供的设备交互示意图。该流程中仅以终端、密码服务器、认证服务器以及接入点设备之间的交互流程为例进行说明，参见图2，该实施例具体包括：

201、终端向密码服务器发送注册请求，该注册请求携带该终端的用户标识以及设备硬件信息。

该用户标识可以是用户手机号，也可以是其他任何唯一标识该用户的信息，本发明实施例在此不做限定。终端的设备硬件信息可以为终端的mac地址。

在本发明实施例中，该终端可以安装有应用客户端，为了使用由应用客户端提供的更加个性化或进阶的服务，用户可以在应用客户端上进行注册，也即是，用户可以在应用客户端上触发注册流程，应用客户端可以获取用户输入的用户标识，并获取该终端的设备硬件信息，将用户标识和设备硬件信息携带在注册请求中发送至密码服务器。

需要说明的是，同一用户在不同的终端上使用同一应用客户端时，由于终端不同，因此，即使用户标识相同，其所发送的任一请求中所携带的设备硬件信息仍然不同。

202、当密码服务器接收到终端发送的注册请求后，根据该终端的用户标识以及设备硬件信息，生成第一密码。

在本发明实施例中，由于设备硬件信息能够唯一标识一个终端，因此，基于该设备硬件信息和用户标识所生成的第一密码，实现了密码与终端的绑定，大大限制了该密码的可使用范围。

在本发明实施例中，该密码服务器可以从该注册请求获取该终端的用户标识和该设备硬件信息，将该终端的用户标识和该设备硬件信息拼接为第一字符串，基于该第一字符串，进行预设特征值计算，得到该第一密码。其中，该基于该第一字符串，进行预设特征值计算，得到该第一密码的过程具体可以采用下述任一种实现方式：

一种实现方式、对该第一字符串进行预设特征值计算，得到该第一密码。

又一种实现方式、获取干扰字符串，将该第一字符串和干扰字符串拼接为第二字符串，对该第二字符串进行预设特征值计算，得到该第一密码。

在第一种实现方式中，可以直接根据第一字符串采用预设特征值算法进行计算，从而将计算所得到的特征值作为第一密码，而为了增加密码的复杂性，增加破解的难度，在第二种实现方式中，还可以在进行特征值计算时，加入干扰字符串，从而达到更好的防止攻击的效果。

例如，可以如下的方式计算密码：密码password＝hash(username,usermac,salt)。

其中，username为radius认证的用户名，usermac为客户端的mac地址；salt为哈希运算中加入的一串固定的盐值字符串。

在一些实施例中，可以设置多个不同的干扰字符串，用以进一步地提高破解难度，例如，该干扰字符串可以根据接入点设备不同而设置，还可以根据用户所属群组设置，相应地，上述干扰字符串的获取方式可以采用下述任一种实现方式：

一种实现方式、根据对应的接入点设备的设备标识，获取与该对应的设备标识对应的干扰字符串。

如果某一用户在注册时是针对某一运营商提供的接入点设备进行注册，那么可以根据接入点设备的设备标识，来获取该接入点设备对应的运营商的干扰字符串。

又一种实现方式、根据该用户标识所属群组，获取与该所属群组对应的干扰字符串。

用户所属群组可以用于区分用户的类别或是级别等，因此，可以对于不同的用户标识所属群组，来获取不同的干扰字符串。

需要说明的是，上述特征值计算所采用的算法可以为md5算法或sha1算法，或者还可以采用其他特征值算法，本发明实施例对此不做限定。下面以md5为例，对上述生成第一密码的过程进行举例说明：

例如，该用户标识为“13012345678”，该设备硬件信息为“12:34:56:78:90：ab”，该干扰字符串为“ttttttt2018”，则计算md5(“13012345678”+“12:34:56:78:90：ab”+“ttttttt2018”)，得到的md5的输出值就是一个16字节的密码。

在一些实施例中，还可以将上述特征值计算所输出的密码进行进一步处理，以得到较简短的第一密码，例如，可以基于特征值计算的输出至进行模运算或按位运算等，得到预设位数的密码作为第一密码，例如，可以将较长的密码映射为6位或8位的数字，以作为该第一密码。

203、密码服务器将该第一密码发送至该终端。

204、当终端接收该密码服务器发送的第一密码后，根据该密码服务器对应的接入点设备，将该第一密码存储至该接入点设备对应的存储空间中。

在本发明实施例中，为了方便终端与不同的接入点设备建立连接，终端对不同的接入点设备建立对应的不同的存储空间，终端将接收到的第一密码分别存储在对应的存储空间中，以便后续根据不同的网络接入指令，获取对应存储空间中的对应的第一密码。

需要说明的是，该步骤204仅是终端上会针对不同归属方的接入点设备进行区别性的存储为例进行说明，也即是，由于终端待接入的接入点设备可能由不同归属方(例如运营商)提供，则不同归属方可能对应于不同的认证服务器，从而对应于不同的密码服务器，因此，为了避免密码的混淆，则可以为不同归属方的接入点设备设置不同的存储空间，以便区分。而在一些实施例中，接入点设备的认证可以均由同一个密码服务器提供，因此，可以不进行区分，而是均存储于终端的目标存储空间中，相应地，该步骤204可以替换为终端将第一密码存储至目标存储空间中。

上述步骤201至步骤204为终端通过注册流程获取第一密码，所述第一密码基于所述终端的用户标识以及设备硬件信息生成的过程，该注册过程只要在终端接入任一接入点设备之前进行即可，本发明实施例对其执行时机不做具体限定。当然，上述过程是以在客户端进行注册为例进行说明的，在一些实施例中，该注册过程还可以发生于认证服务器对应的门户服务器上，而用户在第一次通过该终端上安装的应用客户端进行登录时，则可以进行如上述注册过程同理的激活过程，以得到密码服务器提供的第一密码并进行存储，本发明实施例对此不做具体限定。

205、终端根据列表显示指令，显示接入点设备列表。

在本发明实施例中，当终端上的应用客户端启动时，可以通过应用客户端提供的接入选项触发列表显示指令，并根据列表显示指令，检测预设范围内的接入点设备，并根据接收到的接入点设备的信息，以列表的形式显示。其中，接入点设备列表中的每个设备项可以包括该接入点设备的ssid(servicesetidentifier，服务集标识)，如图4所示。当用户想要将该终端与某一接入点设备建立连接时，可以在该接入点设备列表上对任一设备项进行触发操作，以触发对该设备项对应的接入点设备的网络接入指令。

206、终端根据对该接入点设备列表中接入点设备的网络接入指令，确定该接入点设备对应的存储空间地址。

207、终端基于该存储空间地址，从该接入点设备对应的存储空间中获取该第一密码。

上述步骤206至207是以终端上会针对不同归属方的接入点设备进行区别性的存储为例进行说明。而在一些实施例中，密码可以均存储于终端的目标存储空间中，相应地，该步骤206和207可以替换为终端从目标存储空间中获取第一密码。该目标存储空间可以为该应用客户端对应的存储空间。

208、终端向接入点设备发送网络接入请求，该网络接入请求携带用户标识、该终端的设备硬件信息和该第一密码。

在本发明实施例中，当终端检测到用户对接入点设备列表中相应的接入点设备的网络接入指令时，终端可以通过上述步骤206和207，来获取第一密码，获取用户标识、终端的设备硬件信息，并触发该网络接入请求，该网络接入请求用于请求认证服务器对该用户标识、该终端的而设备硬件信息和该第一密码进行认证。

209、当接入点设备接收到该终端发送的该网络接入请求后，向认证服务器发送认证请求，该认证请求携带用户标识、待接入终端的设备硬件信息和第一密码。

对于接入点设备来说，为了适应于更大的用户覆盖面，接入点设备本身可以不做用户认证的工作，而是将该用户认证过程转移到认证服务器上，例如，对于一个运营商的多个接入点设备来说，如果将用户认证过程转移到认证服务器上，则用户可以通过一套用户名和密码，来获取多个接入点设备的网络接入服务，而无需获知该多个接入点设备的密码，大大降低了用户侧的操作成本，提高了操作的便捷性。

210、当该认证服务器接收到该接入点设备发送的该认证请求后，向密码服务器发送密码获取请求，该密码获取请求携带该用户标识和该设备硬件信息。

在实际应用中，为了使该认证服务器接收到该认证请求后，向该密码服务器发送该密码获取请求，需提前对该认证服务器进行配置。在本发明实施例中，采用freeradius服务器作为该认证服务器，具体地，下面对该freeradius服务器的配置过程作介绍：

(1)该认证服务器中创建一个从/etc/raddb/mods_enabled/python(模式启动)到/etc/raddb/mods_available/python(模式可用)的python的符号链接，根据该符号链接启用rlm_python扩展功能。

(2)在python文件中定义module(模块)名字，假设该module名字为dot1x，并定义其func_authorize(功能认证)为authorize(认证)。

(3)在相应的authorizesection(认证选项)中增加python字段以启用python。

(4)在/etc/raddb/mods_config(模式定义)/python目录下编写python脚本(dot1x.py)，以实现authorize(认证)接口。

基于上述配置，该步骤210的一种实现方式可以包括：通过该authorize接口接收认证请求，从认证请求中获取用户标识和设备硬件信息，基于该用户标识和该设备硬件信息，向密码服务器发送携带该用户标识和该设备硬件信息的密码获取请求。在一些实施例中，该认证服务器与密码服务器之间的信息交互可以通过https(hypertexttransferprotocoloversecuresocketlayer，超文本传输安全协议)加密通道进行，也即是，对数据进行加密传输，从而使得服务器之间的数据传输过程更加安全。

211、当该密码服务器接收到该密码服务器发送的密码获取请求后，根据待接入终端的用户标识和设备硬件信息，生成第二密码。

需要说明的是，该生成第二密码的过程与上述生成第一密码的过程同理，在此不做赘述。

212、密码服务器将该第二密码发送至该认证服务器，该第二密码用于该认证服务器基于该第二密码进行认证。

213、认证服务器接收该密码服务器发送的该第二密码。

214、当认证服务器接收到的该第一密码与该第二密码相同时，认证服务器向该接入点设备返回认证通过通知，该认证通过通知用于指示该待接入终端认证通过。

当第一密码与第二密码相同时，则认为发送该网络接入请求的终端与注册的终端为同一个终端，可以为其提供网络接入服务，因此，认证服务器向该接入点设备发送认证通过通知，允许该接入点设备与该待接入终端建立连接。

在本发明实施例中是以认证通过为例进行说明，而在一些实施例中，认证服务器将接收到的第一密码与第二密码进行对比后，也可能确定该第一密码与第二密码不同，则认为发送该网络接入请求的终端与注册的终端为不是同一个终端，不能为其提供网络接入服务，则认证服务器向该接入点设备发送认证未通过通知，不允许该接入点设备与该待接入终端建立连接。

215、当接入点设备接收到该认证通过通知后，向终端发送接入响应。

在本发明实施例中，当认证服务器中的第一密码和第二密码相同时，该接入点设备可以接收到该认证通过通知，向终端发送接入响应。当然，当认证服务器中的第一密码和第二密码不同时，接入点设备接收到的是该认证未通过通知，此时，该接入点设备不向该终端发送接入响应。

216、当终端接收到该接入点设备发送的接入响应后，与该接入点设备建立连接。

需要说明的是，在接收到接入响应后，终端与接入点设备可以通过多次协商以建立连接，从而由该接入点设备为终端提供网络接入服务。

在本发明实施例中，当待接入终端认证通过时，则该待接入终端可以与该接入点设备建立连接，如图5所示。当然，当该接入终端认证未通过，即该接入点设备接收到该认证未通过通知时，该待接入终端不可以与该接入点设备建立连接。

本发明实施例提供了一种基于云端的用户认证方案，通过在进行接入请求时，提供终端的用户标识、能够唯一标识终端的设备硬件信息以及基于上述信息注册时所获取到的密码，使得认证服务器可以基于能够唯一标识终端的信息，触发云端的密码服务器实时生成密码，由于采用了相同的方式进行生成，因此，其所生成的密码是针对该终端的，基于这样实时生成的密码进行认证，可以避免由于密码泄露而造成的不安全接入，大大增强了用户认证的安全性。对认证服务器而言，用实时从云端的密码服务器获取用户密码的方式替代了原有的本地配置文件或数据库存储方式，提高了认证的安全性和可扩展性。

本本发明实施例是一种对通用的用户认证方案的改进，可以应用到需要进行用户认证的任意场景中去，其中，比较典型的应用场景是无线局域网的802.1x接入认证系统，例如，我们可以把本发明实施例应用在应用管家中，以便客户端可以选择连接安全的802.1x认证的wifi网络。

上述所有可选技术方案，可以采用任意结合形成本公开的可选实施例，在此不再一一赘述。

图6是本发明实施例提供的一种用户认证装置的结构示意图。参见图5，该装置包括：

获取模块601，用于通过注册流程与密码服务器进行交互，获取该密码服务器发送的第一密码，该第一密码基于该终端的用户标识以及设备硬件信息生成；

显示模块602，根据列表显示指令，显示接入点设备列表；

该获取模块601，还用于根据对该接入点设备列表中接入点设备的网络接入指令，获取预先存储于该终端上的第一密码；

发送模块603，用于向接入点设备发送网络接入请求，该网络接入请求携带用户标识、该终端的设备硬件信息和该第一密码；

连接模块604，用于当接收到该接入点设备的接入响应时，与该接入点设备建立连接。

在一些实施例中，该获取模块601用于：

根据对该接入点设备列表中接入点设备的网络接入指令，从该终端的目标存储空间中，获取预先存储于该目标存储空间的第一密码；或，

根据对该接入点设备列表中接入点设备的网络接入指令，确定该接入点设备对应的存储空间地址，基于该存储空间地址，从该接入点设备对应的存储空间中获取该第一密码。

在一些实施例中，该装置还包括：

该发送模块603，还用于向密码服务器发送注册请求，该注册请求携带该终端的用户标识以及设备硬件信息；

接收模块605，用于接收该密码服务器发送的第一密码，该第一密码基于该终端的用户标识以及设备硬件信息生成；

存储模块606，用于存储该第一密码。

在一些实施例中，该存储模块606用于：

根据该密码服务器对应的接入点设备，将该第一密码存储至该接入点设备对应的存储空间中。

需要说明的是：上述实施例提供的用户认证装置在用户认证时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将终端的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的用户认证装置与用户认证方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图7是本发明实施例提供的一种用户认证装置的结构示意图。参见图7，该装置包括：

接收模块701，用于接收接入点设备发送的认证请求，该认证请求携带用户标识、待接入终端的设备硬件信息和第一密码；

发送模块702，用于向密码服务器发送密码获取请求，该密码获取请求携带该用户标识和该设备硬件信息；

该接收模块701，还用于接收密码服务器发送的第二密码，该第二密码基于该用户标识和该待接入终端的设备硬件信息生成；

该发送模块702，还用于当该第一密码与该第二密码相同时，向该接入点设备返回认证通过通知，该认证通过通知用于指示该待接入终端认证通过。

在一些实施例中，该发送模块702还用于：

当该第一密码与该第二密码不同时，向该接入点设备发送认证未通过通知，该认证未通过通知用于指示该待接入终端认证未通过。

需要说明的是：上述实施例提供的用户认证装置在用户认证时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将终端的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的用户认证装置与用户认证方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图8是本发明实施例提供的一种用户认证装置的结构示意图。参见图8，该装置包括：

接收模块801，用于接收认证服务器发送的密码获取请求，该密码获取请求携带待接入终端的用户标识和设备硬件信息；

生成模块802，用于根据待接入终端的用户标识和设备硬件信息，生成第二密码；

发送模块803，用于将该第二密码发送至该认证服务器，该第二密码用于该认证服务器基于该第二密码进行认证。

在一些实施例中，该生成模块802包括：

拼接单元，用于将待接入终端的用户标识和设备硬件信息拼接为第一字符串；

计算单元，用于基于该第一字符串，进行预设特征值计算，得到该第二密码。

在一些实施例中，该计算单元包括：

获取子单元，用于获取干扰字符串，将该第一字符串和干扰字符串拼接为第二字符串，对该第二字符串进行预设特征值计算，得到该第二密码；或，

对该第一字符串进行预设特征值计算，得到该第二密码。

在一些实施例中，该获取子单元用于：

根据该接入点设备的设备标识，获取与该设备标识对应的干扰字符串；或，

根据该用户标识所属群组，获取与该所属群组对应的干扰字符串。

在一些实施例中，该装置还包括：

该接收模块801，还用于接收终端的注册请求，该注册请求携带该终端的用户标识以及设备硬件信息；

该生成模块802，还用于根据该终端的用户标识以及设备硬件信息，生成第一密码；

该发送模块803，还用于将该第一密码发送至该终端。

需要说明的是：上述实施例提供的用户认证装置在用户认证时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将终端的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的用户认证装置与用户认证方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图9示出了本发明一个示例性实施例提供的终端900的结构框图。该终端900可以是：智能手机、平板电脑、mp3播放器(movingpictureexpertsgroupaudiolayeriii，动态影像专家压缩标准音频层面3)、mp4(movingpictureexpertsgroupaudiolayeriv，动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端900还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。

通常，终端900包括有：处理器901和存储器902。

处理器901可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器901可以采用dsp(digitalsignalprocessing，数字信号处理)、fpga(field－programmablegatearray，现场可编程门阵列)、pla(programmablelogicarray，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器901也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(centralprocessingunit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器901可以在集成有gpu(graphicsprocessingunit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器901还可以包括ai(artificialintelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。

存储器902可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器902还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器902中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器901所执行以实现本申请中方法实施例提供的用户认证方法。

在一些实施例中，终端900还可选包括有：外围设备接口903和至少一个外围设备。处理器901、存储器902和外围设备接口903之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口903相连。具体地，外围设备包括：射频电路904、触摸显示屏905、摄像头906、音频电路907、定位组件908和电源909中的至少一种。

外围设备接口903可被用于将i/o(input/output，输入/输出)相关的至少一个外围设备连接到处理器901和存储器902。在一些实施例中，处理器901、存储器902和外围设备接口903被集成在同一芯片或电路板上；在一些其他实施例中，处理器901、存储器902和外围设备接口903中的任意一个或两个可以在单独的芯片或电路板上实现，本实施例对此不加以限定。

射频电路904用于接收和发射rf(radiofrequency，射频)信号，也称电磁信号。射频电路904通过电磁信号与通信网络以及其他通信设备进行通信。射频电路904将电信号转换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路904包括：天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路904可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于：城域网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wirelessfidelity，无线保真)网络。在一些实施例中，射频电路904还可以包括nfc(nearfieldcommunication，近距离无线通信)有关的电路，本申请对此不加以限定。

显示屏905用于显示ui(userinterface，用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏905是触摸显示屏时，显示屏905还具有采集在显示屏905的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器901进行处理。此时，显示屏905还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一些实施例中，显示屏905可以为一个，设置终端900的前面板；在另一些实施例中，显示屏905可以为至少两个，分别设置在终端900的不同表面或呈折叠设计；在再一些实施例中，显示屏905可以是柔性显示屏，设置在终端900的弯曲表面上或折叠面上。甚至，显示屏905还可以设置成非矩形的不规则图形，也即异形屏。显示屏905可以采用lcd(liquidcrystaldisplay，液晶显示屏)、oled(organiclight-emittingdiode,有机发光二极管)等材质制备。

摄像头组件906用于采集图像或视频。可选地，摄像头组件906包括前置摄像头和后置摄像头。通常，前置摄像头设置在终端的前面板，后置摄像头设置在终端的背面。在一些实施例中，后置摄像头为至少两个，分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种，以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及vr(virtualreality，虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中，摄像头组件906还可以包括闪光灯。闪光灯可以是单色温闪光灯，也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合，可以用于不同色温下的光线补偿。

音频电路907可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波，并将声波转换为电信号输入至处理器901进行处理，或者输入至射频电路904以实现语音通信。出于立体声采集或降噪的目的，麦克风可以为多个，分别设置在终端900的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器901或射频电路904的电信号转换为声波。扬声器可以是传统的薄膜扬声器，也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时，不仅可以将电信号转换为人类可听见的声波，也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中，音频电路907还可以包括耳机插孔。

定位组件908用于定位终端900的当前地理位置，以实现导航或lbs(locationbasedservice，基于位置的服务)。定位组件908可以是基于美国的gps(globalpositioningsystem，全球定位系统)、中国的北斗系统、俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。

电源909用于为终端900中的各个组件进行供电。电源909可以是交流电、直流电、一次性电池或可充电电池。当电源909包括可充电电池时，该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。

在一些实施例中，终端900还包括有一个或多个传感器910。该一个或多个传感器910包括但不限于：加速度传感器911、陀螺仪传感器912、压力传感器913、指纹传感器914、光学传感器915以及接近传感器916。

加速度传感器911可以检测以终端900建立的坐标系的三个坐标轴上的加速度大小。比如，加速度传感器911可以用于检测重力加速度在三个坐标轴上的分量。处理器901可以根据加速度传感器911采集的重力加速度信号，控制触摸显示屏905以横向视图或纵向视图进行用户界面的显示。加速度传感器911还可以用于游戏或者用户的运动数据的采集。

陀螺仪传感器912可以检测终端900的机体方向及转动角度，陀螺仪传感器912可以与加速度传感器911协同采集用户对终端900的3d动作。处理器901根据陀螺仪传感器912采集的数据，可以实现如下功能：动作感应(比如根据用户的倾斜操作来改变ui)、拍摄时的图像稳定、游戏控制以及惯性导航。

压力传感器913可以设置在终端900的侧边框和/或触摸显示屏905的下层。当压力传感器913设置在终端900的侧边框时，可以检测用户对终端900的握持信号，由处理器901根据压力传感器913采集的握持信号进行左右手识别或快捷操作。当压力传感器913设置在触摸显示屏905的下层时，由处理器901根据用户对触摸显示屏905的压力操作，实现对ui界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。

指纹传感器914用于采集用户的指纹，由处理器901根据指纹传感器914采集到的指纹识别用户的身份，或者，由指纹传感器914根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时，由处理器901授权该用户执行相关的敏感操作，该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器914可以被设置终端900的正面、背面或侧面。当终端900上设置有物理按键或厂商logo时，指纹传感器914可以与物理按键或厂商logo集成在一起。

光学传感器915用于采集环境光强度。在一个实施例中，处理器901可以根据光学传感器915采集的环境光强度，控制触摸显示屏905的显示亮度。具体地，当环境光强度较高时，调高触摸显示屏905的显示亮度；当环境光强度较低时，调低触摸显示屏905的显示亮度。在另一个实施例中，处理器901还可以根据光学传感器915采集的环境光强度，动态调整摄像头组件906的拍摄参数。

接近传感器916，也称距离传感器，通常设置在终端900的前面板。接近传感器916用于采集用户与终端900的正面之间的距离。在一个实施例中，当接近传感器916检测到用户与终端900的正面之间的距离逐渐变小时，由处理器901控制触摸显示屏905从亮屏状态切换为息屏状态；当接近传感器916检测到用户与终端900的正面之间的距离逐渐变大时，由处理器901控制触摸显示屏905从息屏状态切换为亮屏状态。

本领域技术人员可以理解，图9中示出的结构并不构成对终端900的限定，可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。

图10是本发明实施例提供的一种服务器的结构示意图，该服务器1000可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessingunits，cpu)1001和一个或一个以上的存储器1002，其中，所述存储器1002中存储有至少一条指令，所述至少一条指令由所述处理器1001加载并执行以实现上述各个方法实施例提供的方法。当然，该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件，以便进行输入输出，该服务器还可以包括其他用于实现设备功能的部件，在此不做赘述。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由终端中的处理器执行以完成下述实施例中的用户认证方法。例如，所述计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。