密码验证方法、装置、设备及存储介质与流程

本发明实施例涉及密码技术领域，尤其涉及一种密码验证方法、装置、设备及存储介质。

背景技术：

totp算法(time-basedone-timepasswordalgorithm)是一种根据共享密钥和当前时间计算一次性密码的算法，这个算法要解决的问题是使两个独立的终端在不建立任何连接的情况下产生一致的密码，这种算法在互联网各种验证中有着广泛的应用。

由于两个互不连接的终端在时钟上不能做到严格同步，所以现有技术中，通过设置一个时间步长来解决在两端时钟不同步的情况下计算出密码不一致的问题。但是，若该时间步长设置的太大，会降低密码的时效安全性，这样在某些对密码的时效安全性有一定要求的场景下存在安全问题；若该时间步长设置的太小，当两端时差较大时，就无法完成密码的验证，可靠性不高。

技术实现要素：

本发明实施例提供一种密码验证方法、装置、设备及存储介质，既可以提高密码验证的时效安全性，又可以提高可靠性。

第一方面，本发明实施例提供了一种密码验证方法，该方法包括：

获取第一密码；

根据设定共享秘钥和本地当前时刻获取第二密码，并判断所述第二密码和所述第一密码是否匹配；

若不匹配，则根据所述本地当前时刻获取多个本地偏移时刻，并根据所述多个本地偏移时刻和所述设定共享秘钥获取多个第三密码；

若所述多个第三密码中的至少一个与所述第一密码匹配，则密码验证成功。

进一步地，所述第一密码由密码生产端根据所述设定共享秘钥和密码生效时刻生成的；获取第一密码，包括：

接收用户输入的或者所述密码生成端发送的第一密码。

进一步地，根据设定共享秘钥和当前本地时刻获取第二密码，包括：

采用totp算法对设定共享秘钥和当前本地时刻进行计算，获得第二密码；

相应的，根据所述多个本地偏移时刻和所述设定共享秘钥获取多个第三密码，包括：

采用totp算法分别对多个本地偏移时刻和所述设定共享秘钥进行计算，获得多个第三密码。

进一步地，根据所述本地当前时刻获取多个本地偏移时刻，包括：

将所述本地当前时刻按照设定时间步长前向和/或后向偏移设定步数，获得多个本地偏移时刻。

进一步地，在判断所述第二密码和所述第一密码是否匹配之后，还包括：

若所述第二密码和所述第一密码匹配，则密码验证成功。

第二方面，本发明实施例还提供了一种密码验证装置，该装置包括：

第一密码获取模块，用于获取第一密码；

匹配判断模块，用于根据设定共享秘钥和本地当前时刻获取第二密码，并判断所述第二密码和所述第一密码是否匹配；

第三密码获取模块，用于当所述第二密码和所述第一密码不匹配时，根据所述本地当前时刻获取多个本地偏移时刻，并根据所述多个本地偏移时刻和所述设定共享秘钥获取多个第三密码；

验证模块，用于当所述多个第三密码中的至少一个与所述第一密码匹配时，则密码验证成功。

进一步地，所述第一密码由密码生产端根据所述设定共享秘钥和密码生效时刻生成的；所述第一密码获取模块，还用于：

接收用户输入的或者所述密码生成端发送的第一密码。

进一步地，所述第三密码获取模块，还用于：

将所述本地当前时刻按照设定时间步长前向和/或后向偏移设定步数，获得多个本地偏移时刻。

第三方面，本发明实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本发明实施例所述的密码验证方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例所述的密码验证方法。

本发明实施例，首先获取第一密码，然后根据设定共享秘钥和本地当前时刻获取第二密码，并判断第二密码和第一密码是否匹配，若不匹配，则根据本地当前时刻获取多个本地偏移时刻，并根据多个本地偏移时刻和设定共享秘钥获取多个第三密码，最后若多个第三密码中的至少一个与第一密码匹配，则密码验证成功。本发明实施例提供的密码验证方法，当由本地当前时刻和设定共享秘钥获取的第第二密码和第一密码不匹配时，根据本地当前时刻获取多个本地偏移时刻，并根据多个本地偏移时刻和设定共享秘钥获取多个第三密码，将多个第三密码与第一密码进行匹配，既可以提高密码验证的时效安全性，又可以提高可靠性。

附图说明

图1是本发明实施例一中的一种密码验证方法的流程图；

图2是本发明实施例二中的一种密码验证装置的结构示意图；

图3是本发明实施例三中的一种计算机设备的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的一种密码验证方法的流程图，本实施例可适用于对密码进行验证的情况，该方法可以由密码验证装置来执行，该装置可由硬件和/或软件组成，并一般可集成在具有密码验证功能的设备中，该设备可以是服务器或服务器集群等电子设备。如图1所示，该方法具体包括如下步骤：

步骤110，获取第一密码。

其中，第一密码由密码生产端根据设定共享秘钥和密码生效时刻生成的。密码生效时刻可以理解为用户预期密码生效的时刻。可选的，密码生产端采用totp算法对设定共享秘钥和密码生效时刻进行计算，获得第一密码。

本实施例中，当密码生成端生成第一密码后，可以将密码发送至用户，然后用户将收到的第一密码输入密码验证端，或者密码生成端将生成的第一密码直接发送至密码验证端。

具体的，在获取第一密码之前，还包括如下步骤：在密码生产端和密码验证端设置相同的设定共享密钥和设定时间步长。其中，设定时间步长可以理解为以密码生效时刻为起点，根据设定时间步长内的时刻和设定共享秘钥生成的密码都相同。

步骤120，根据设定共享秘钥和本地当前时刻获取第二密码，并判断第二密码和第一密码是否匹配。若不匹配，则执行步骤130，若匹配，则验证成功。

具体的，密码验证端在接收到第一秘密后，获取本地当前时刻，并根据设定共享秘钥和本地当前时刻获得第二密码。优选的，采用totp算法对设定共享秘钥和当前本地时刻进行计算，获得第二密码。将第二密码与第一密码进行比较，若相同，则第二密码和第一密码相匹配，验证成功。若不相同，则第二密码和第一密码不匹配，继续执行后续的步骤。

步骤130，根据本地当前时刻获取多个本地偏移时刻，并根据多个本地偏移时刻和设定共享秘钥获取多个第三密码。

具体的，根据本地当前时刻获取多个本地偏移时刻的方式可以是：将本地当前时刻按照设定时间步长前向和/或后向偏移设定步数，获得多个本地偏移时刻。示例性的，假设设定时间步长为10秒，设定步数为3步，本地当前时刻为10时30分20秒，则获得的本地偏移时刻包括：10时30分30秒、10时30分40秒、10时30分50秒、10时30分10秒、10时30分0秒和10时29分50秒。优选的，在获得多个本地偏移时刻后，采用totp算法分别对多个本地偏移时刻和所述设定共享秘钥进行计算，获得多个第三密码。

步骤140，若多个第三密码中的至少一个与第一密码匹配，则密码验证成功。

具体的，将多个第三密码分别与第一密码进行比对，若其中任意一个或者至少一个与第一密码相同，则验证成功。若多个第三密码与第一密码均不匹配，则验证失败。

本实施例的技术方案，首先获取第一密码，然后根据设定共享秘钥和本地当前时刻获取第二密码，并判断第二密码和第一密码是否匹配，若不匹配，则根据本地当前时刻获取多个本地偏移时刻，并根据多个本地偏移时刻和设定共享秘钥获取多个第三密码，最后若多个第三密码中的至少一个与第一密码匹配，则密码验证成功。本发明实施例提供的密码验证方法，当由本地当前时刻和设定共享秘钥获取的第第二密码和第一密码不匹配时，根据本地当前时刻获取多个本地偏移时刻，并根据多个本地偏移时刻和设定共享秘钥获取多个第三密码，将多个第三密码与第一密码进行匹配，既可以提高密码验证的时效安全性，又可以提高可靠性。

实施例二

图2为本发明实施例二提供的一种密码验证装置的结构示意图。如图2所示，该装置包括：第一密码获取模块210，匹配判断模块220，第三密码获取模块230和验证模块240。

第一密码获取模块210，用于获取第一密码；

匹配判断模块220，用于根据设定共享秘钥和本地当前时刻获取第二密码，并判断第二密码和第一密码是否匹配；

第三密码获取模块230，用于当第二密码和第一密码不匹配时，根据本地当前时刻获取多个本地偏移时刻，并根据多个本地偏移时刻和设定共享秘钥获取多个第三密码；

验证模块240，用于当多个第三密码中的至少一个与第一密码匹配时，则密码验证成功。

可选的，第一密码由密码生产端根据设定共享秘钥和密码生效时刻生成的；第一密码获取模块210，还用于：

接收用户输入的或者密码生成端发送的第一密码。

可选的，根据设定共享秘钥和当前本地时刻获取第二密码，包括：

采用totp算法对设定共享秘钥和当前本地时刻进行计算，获得第二密码；

相应的，第三密码获取模块230，还用于：

采用totp算法分别对多个本地偏移时刻和设定共享秘钥进行计算，获得多个第三密码。

可选的，第三密码获取模块230，还用于：

将本地当前时刻按照设定时间步长前向和/或后向偏移设定步数，获得多个本地偏移时刻。

上述装置可执行本发明前述所有实施例所提供的方法，具备执行上述方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明前述所有实施例所提供的方法。

实施例三

图3为本发明实施例三提供的一种计算机设备的结构示意图。图3示出了适于用来实现本发明实施方式的计算机设备312的框图。图3显示的计算机设备312仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。设备312典型的是密码验证功能的计算设备。

如图3所示，计算机设备312以通用计算设备的形式表现。计算机设备312的组件可以包括但不限于：一个或者多个处理器316，存储装置328，连接不同系统组件(包括存储装置328和处理器316)的总线318。

总线318表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(industrystandardarchitecture，isa)总线，微通道体系结构(microchannelarchitecture，mca)总线，增强型isa总线、视频电子标准协会(videoelectronicsstandardsassociation，vesa)局域总线以及外围组件互连(peripheralcomponentinterconnect，pci)总线。

计算机设备312典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备312访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储装置328可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(randomaccessmemory，ram)330和/或高速缓存存储器332。计算机设备312可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统334可以用于读写不可移动的、非易失性磁介质(图3未显示，通常称为“硬盘驱动器”)。尽管图3中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如只读光盘(compactdisc-readonlymemory，cd-rom)、数字视盘(digitalvideodisc-readonlymemory，dvd-rom)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线318相连。存储装置328可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块326的程序336，可以存储在例如存储装置328中，这样的程序模块326包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块326通常执行本发明所描述的实施例中的功能和/或方法。

计算机设备312也可以与一个或多个外部设备314(例如键盘、指向设备、摄像头、显示器324等)通信，还可与一个或者多个使得用户能与该计算机设备312交互的设备通信，和/或与使得该计算机设备312能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口322进行。并且，计算机设备312还可以通过网络适配器320与一个或者多个网络(例如局域网(localareanetwork，lan)，广域网wideareanetwork，wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器320通过总线318与计算机设备312的其它模块通信。应当明白，尽管图中未示出，可以结合计算机设备312使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(redundantarraysofindependentdisks，raid)系统、磁带驱动器以及数据备份存储系统等。

处理器316通过运行存储在存储装置328中的程序，从而执行各种功能应用以及数据处理，例如实现本发明上述实施例所提供的密码验证方法。

实施例四

本发明实施例四还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例所提供的密码验证方法。

当然，本发明实施例所提供的一种计算机可读存储介质，其上存储的计算机程序不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的密码验证方法中的相关操作。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。