发明涉及一种基于移动终端的系统登录方法:当用户使用信息系统客户端登录一个尚未登录的信息系统时,信息系统客户端显示一个安全令牌标识数据并由用户输入到运行在移动终端中的移动登录助手;在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统或移动登录助手为用户生成一个安全令牌并将安全令牌暂存在移动登录系统,暂存的安全令牌用安全令牌标识数据标识;信息系统客户端利用安全令牌标识数据标识从移动登录系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;基于本发明无需对信息系统的服务端系统进行改动、进行移动登录功能集成或者仅需小改动即可实现基于移动终端的用户登录。
当用户在计算机上使用信息系统客户端访问一个尚未登录的信息系统时,信息系统启动用户登录操作;信息系统客户端显示一个安全令牌标识数据;
用户通过运行在移动终端中的移动登录助手使用用户身份凭证在移动登录系统完成登录;在通过移动登录助手在移动登录系统进行登录操作的过程中,用户将信息系统客户端显示的安全令牌标识数据输入到移动登录助手;
在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手将安全令牌标识数据提交到移动登录系统,移动登录系统为用户生成一个登录信息系统的安全令牌并将生成的安全令牌暂存在移动登录系统,暂存在移动登录系统的安全令牌用移动登录助手提交的安全令牌标识数据或安全令牌标识数据的导出数据标识;
或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统为用户生成一个登录信息系统的安全令牌,移动登录系统将生成的安全令牌返回给移动登录助手,由移动登录助手将安全令牌提交到移动登录系统的安全令牌暂存子系统暂存,暂存在移动登录系统的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;
或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手使用用户身份凭证为用户生成一个登录信息系统的安全令牌,并将生成的安全令牌提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;
用户所使用的信息系统客户端利用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统或移动登录系统的安全令牌暂存子系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;
所述信息系统是一个通过网络提供预定功能服务的系统;所述信息系统客户端是信息系统的用户端程序;
所述安全令牌标识数据是一个随机字串或者是一个包含随机字串的数据;所述安全令牌标识数据由信息系统或信息系统客户端生成;
所述移动终端是一种具有数据网络联网能力的便携式计算装置;
所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用信息系统客户端进行信息系统登录操作的程序;
所述移动登录系统是一个在用户使用计算机上的信息系统客户端登录信息系统过程中通过用户的移动终端帮助信息系统客户端在信息系统完成登录操作的系统;所述移动登录系统是一个独立的系统或者是信息系统的一个组件;所述移动登录系统的安全令牌暂存子系统是移动登录系统用于暂存安全令牌的一个子系统;
用户在移动登录系统进行登录时所用的身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在移动登录系统中的帐户名,或者与用户在移动登录系统的帐户名对应的、用于标识用户身份的数据;所述私密数据是用于证明用户就是身份凭证的拥有者的数据;用户在移动登录系统的身份凭证与用户在信息系统的身份凭证相同或不同;用户在移动登录系统的帐户与用户在信息系统的帐户相同或不同;
所述安全令牌是由移动登录系统或移动登录助手生成的一次性或临时性的身份证明数据,或者是由移动登录助手生成的包含用户身份凭证包括私密数据的身份证明数据;所述临时性是指仅在指定或预定的时间期限内有效;若所述安全令牌是由所述移动登录系统生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名,具有有效期限并能防止伪造和篡改;若所述安全令牌是由所述移动登录助手生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名以及使用用户身份凭证的私密数据运算处理后得到的数据;暂存在移动登录系统中的安全令牌超过预定的时间期限未被信息系统客户端获取则被删除。
2.根据权利要求1所述的基于移动终端的系统登录方法,其特征是:
若信息系统客户端以条码的形式显示所述安全令牌标识数据,且所述移动终端有摄像头,则移动终端调用条码扫描程序通过摄像头获取信息系统客户端显示的条码,从条码中获得安全令牌标识数据;
若信息系统客户端显示的条码中除了所述安全令牌标识数据外,还包括信息系统返回的登录鉴别数据,则移动登录助手从扫描的条码中获得登录鉴别数据,并在用户通过移动登录助手在移动登录系统完成登录后,由移动登录系统利用登录鉴别数据生成用户登录信息系统的安全令牌,或者由移动登录助手利用用户身份凭证的私密数据以及登录鉴别数据生成用户登录信息系统的安全令牌。
3.根据权利要求1所述的基于移动终端的系统登录方法,其特征是:
信息系统客户端和移动登录助手之间共享所述安全令牌标识数据的另一种方式是:在移动登录助手登录移动登录系统过程中,移动登录助手生成安全令牌标识数据并以字符串的形式显示,用户将移动登录助手显示的安全令牌标识数据用手工方式输入到信息系统客户端的人机界面,并提交给信息系统客户端。
4.根据权利要求1所述的基于移动终端的系统登录方法,其特征是:
所述移动登录助手和信息系统客户端,或者移动登录系统和信息系统客户端,利用安全令牌标识数据的导出数据作为密钥,用于对安全令牌进行安全保护,包括加密和解密。
一种基于移动终端的系统登录方法
技术领域
[0001] 本发明属于信息安全技术领域,特别是一种基于移动终端的系统登录方法。
背景技术
[0002] 我们在访问网络信息系统或应用系统时可能会遇到以下问题。
[0003] 一是,当我们在网吧等公共环境使用公共计算机登录我们要访问的信息系统或应用系统时,如登录QQ、支付宝,由于公共计算机可能被安置了木马,我们登录系统的帐户名、口令存在被窃取的风险(即便是动态口令,也不能避免这种安全风险)。
[0004] 二是,我们在不同的信息系统或应用系统的帐户名、口令多了很容易忘记、混淆。
[0005] 三是,在一些安全性要求高的场合,我们需要使用存放有数字证书及私钥的USB Key等密码硬件,但是如果有多个USB Key密码硬件需要携带,会给用户带来不便。
[0006] 针对这些问题,本发明申请人在其专利申请“一种基于移动通信终端和短信的登录方法”(申请号:201510225152.6),“一种基于手机登录的系统及登录方法”(申请号:201410395338.1),“一种面向信息系统的异步登录方法”(201510393405.0),以及腾讯、百度的一系列专利中提出了基于移动终端的解决方案,这些方案的共同特点是:在用户使用计算机登录一个信息系统或应用系统时,用户使用移动终端在信息系统或应用系统或者一个登录辅助系统完成登录操作,从而实现用户使用计算机在信息系统或应用系统上的登录。这样可以做到:用户无需在计算机上输入帐户名、口令,从而避免了在公共计算机上帐户名、口令被窃取的风险;将用户在不同信息系统或应用系统缓存在用户手机等移动终端中,在用户使用移动终端进行登录操作时,登录程序自动从移动终端获取相应的帐户名、口令;可以将移动终端作为一个存放不同数字证书及私钥的密码硬件装置,从而避免了随身携带(不同)密码硬件的麻烦。
[0007] 但是,以上方案也存在一些不足,这些方案需要对信息系统或应用系统的后台进行相应改造,以便与引入的移动登录功能集成,但这在很多情况下这样做是困难的或不便的,特别是对于已部署的系统。
发明内容
[0008] 本发明的目的是提出一种无需对信息系统或应用系统的服务端系统(后台)进行修改以及与移动登录功能集成、或者仅需对服务端系统进行微小修改即可集成移动登录功能的基于移动终端的系统登录方法,以克服现有技术方案的不足。
[0009] 为了实现上述目的,本发明提出的技术方案是:
[0010] 一种基于移动终端的系统登录方法,所述方法如下:
[0011] 当用户在计算机上使用信息系统客户端访问一个尚未登录的信息系统时,信息系统启动用户登录操作(即用户身份鉴别);信息系统客户端显示一个安全令牌标识数据;
[0012] 用户通过运行在移动终端中的移动登录助手使用用户身份凭证在移动登录系统完成登录(即身份鉴别);在通过移动登录助手在移动登录系统进行登录操作的过程中,用户将信息系统客户端显示的安全令牌标识数据输入到移动登录助手;
[0013] 在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手将安全令牌标识数据提交到移动登录系统,移动登录系统为用户生成一个登录信息系统的安全令牌并将生成的安全令牌暂存在移动登录系统,暂存在移动登录系统的安全令牌用移动登录助手提交的安全令牌标识数据或安全令牌标识数据的导出数据标识;
[0014] 或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统为用户生成一个登录信息系统的安全令牌,移动登录系统将生成的安全令牌返回给移动登录助手,由移动登录助手将安全令牌提交到移动登录系统的安全令牌暂存子系统暂存(对应移动登录系统由安全令牌签发系统扩展而来的情形),暂存在移动登录系统的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;
[0015] 或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手使用用户身份凭证为用户生成一个登录信息系统的安全令牌,并将生成的安全令牌提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;
[0016] 用户所使用的信息系统客户端利用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统或移动登录系统的安全令牌暂存子系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;
[0017] 所述信息系统是一个通过网络提供预定功能服务的系统(即提供预定功能的应用系统);所述信息系统客户端是信息系统的用户端程序(包括专用客户端或通用客户端,如浏览器);
[0018] 所述安全令牌标识数据是一个随机字串或者是一个包含随机字串的数据;所述安全令牌标识数据由信息系统或信息系统客户端生成;
[0019] 所述移动终端是一种具有数据网络联网能力的便携式计算装置(如移动通信装置、平板电脑、智能穿戴设备等);
[0020] 所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用信息系统客户端进行信息系统登录操作的程序;
[0021] 所述移动登录系统是一个在用户使用计算机上的信息系统客户端登录信息系统过程中通过用户的移动终端帮助信息系统客户端在信息系统完成登录操作的系统;所述移动登录系统是一个独立的系统或者是信息系统的一个组件;所述移动登录系统的安全令牌暂存子系统是移动登录系统用于暂存安全令牌的一个子系统;
[0022] 用户在移动登录系统进行登录时所用的身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在移动登录系统中的帐户名,或者与用户在移动登录系统的帐户名对应的、用于标识用户身份的数据(如数字证书);所述私密数据是用于证明用户就是身份凭证的拥有者的数据;用户在移动登录系统的身份凭证或帐户与用户在信息系统的身份凭证或帐户相同或不同;
[0023] 所述安全令牌是由移动登录系统或移动登录助手生成的一次性或临时性的身份证明数据,或者是由移动登录助手生成的包含用户身份凭证包括私密数据(如帐户名、口令)的身份证明数据;所述临时性是指仅在指定或预定的时间期限内有效;若所述安全令牌是由所述移动登录系统生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名,具有有效期限并能防止伪造和篡改(如通过公钥数字签名或对称密钥HMAC签名);若所述安全令牌是由所述移动登录助手生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名以及使用用户身份凭证的私密数据运算处理后得到的数据(如用私钥或对称密钥对信息系统返回的挑战码进行签名后的数据,或者基于时间生成的动态口令等);暂存在移动登录系统中的安全令牌超过预定的时间期限未被信息系统客户端获取则被删除。
[0024] 若信息系统客户端以条码的形式显示所述安全令牌标识数据,且所述移动终端有摄像头,则移动终端调用条码扫描程序通过摄像头获取信息系统客户端显示的条码,从条码中获得安全令牌标识数据;
[0025] 若信息系统客户端显示的条码中除了所述安全令牌标识数据外,还包括信息系统返回的登录鉴别数据(如挑战码),则移动登录助手从扫描的条码中获得登录鉴别数据,并在用户通过移动登录助手在移动登录系统完成登录后,由移动登录系统利用登录鉴别数据生成用户登录信息系统的安全令牌,或者由移动登录助手利用用户身份凭证的私密数据以及登录鉴别数据生成用户登录信息系统的安全令牌。
[0026] 信息系统客户端和移动登录助手之间共享所述安全令牌标识数据的另一种方式是:在移动登录助手登录移动登录系统过程中,移动登录助手生成安全令牌标识数据并以字符串的形式显示,用户将移动登录助手显示的安全令牌标识数据用手工方式输入到信息系统客户端的人机界面,并提交给信息系统客户端。
[0027] 所述移动登录助手和信息系统客户端,或者移动登录系统和信息系统客户端,利用安全令牌标识数据的导出数据作为密钥,用于对安全令牌进行安全保护,包括加密和解密。
[0028] 从以上描述可以看到,基于本发明的方法:无需信息系统(或应用系统)后台与引入的移动登录功能进行集成;对于一个已部署的信息系统,系统仍然可以采用原有的用户登录(身份鉴别)方式;若已部署的信息系统是Web系统,只需对Web系统的登录页面进行改动或替换即可;若已部署的信息系统是非Web系统,则只需对其客户端进行修改或替换即可,无需对对信息系统的服务端系统(后台)进行修改。
[0029] 需指出的是,本发明的方法与腾讯、百度的基于移动终端及条码的系统登录方法的不同,除了无需信息系统后台与引入的移动登录功能进行集成及一些具体技术方式不同外(如条码不是必须的、安全令牌标识数据可以由移动终端中的移动登录助手生成),最大的不同之处还有在于,本发明中的移动登录系统可以是一个与信息系统(或应用系统)独立的身份服务系统,如Kerberos KDC、SAML IdP或WS-Fedeation STS(此时对应于安全令牌由移动登录系统生成的情形),或者仅是一个暂存安全令牌的中介系统(此时对应于安全令牌由移动登录助手生成的情形);当移动登录系统纯粹是一个暂存安全令牌的中介系统时,用户在移动登录系统进行登录(身份鉴别)的目的是防止移动登录系统的资源被滥用,或者防止针对移动登录系统的DoS攻击,即在移动登录系统登录的目的是出于对移动登录系统资源的安全保护;无论移动登录系统是一个身份服务系统还是一个暂存数据的中介系统,用户都无需使用移动终端在信息系统(或应用系统)登录,而腾讯、百度的方法,用户都需要使用移动终端在信息系统(或应用系统)登录。
附图说明
[0030] 图1为本发明针对信息系统的系统登录方法的示意图。
具体实施方式
[0031] 下面结合附图和实施例对本发明作进一步的描述。
[0032] 实施例一、
[0033] 信息系统原本采用一个身份服务系统(如Kerberos KDC、SAML Identity Provider或WS-Federation的Security Token Services)签发的安全令牌(Kerberos Ticket、SAML断言,WS-Federation安全令牌)进行用户登录鉴别。这时可采用的实施方案是:
[0034] 开发实施一个移动登录助手程序,在身份服务系统的基础上增加一个安全令牌暂存子系统,扩展身份服务系统成为一个移动登录系统;用户使用移动登录助手在身份服务系统完成身份鉴别后(登录后),身份服务系统为用户签发登录信息系统的安全令牌并将安全令牌返回到移动登录助手;移动登录助手将安全令牌提交到安全令牌暂存子系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;信息系统客户端用安全令牌标识数据或安全令牌标识数据的导出数据从安全令牌暂存子系统获得安全令牌,然后使用安全令牌在信息系统完成登录。
[0035] 实施例二、
[0036] 信息系统原本采用基于时间的动态口令登录。这时可采用的实施方案是:
[0037] 开发实施一个移动登录系统和移动登录助手程序;在用户移动终端中保存生成动态口令的种子密钥;用户使用移动登录助手在移动登录系统完成登录后,移动登录助手利用种子密钥结合时间生成登录信息系统的动态口令,形成包含帐户名和动态口令的安全令牌,然后将形成的安全令牌提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;信息系统客户端用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统获得安全令牌,然后用从安全令牌中获得的帐户名、动态口令在信息系统完成登录(此时,移动登录系统仅是一个暂存安全令牌的中介系统)。
[0038] 实施例三、
[0039] 信息系统原本采用帐户名、口令。这时可采用的实施方案是:
[0040] 开发实施一个移动登录系统和移动登录助手程序;通过移动登录助手或专门的帐户管理工具在用户移动终端中缓存用户在信息系统中的帐户名、口令;在用户使用移动登录助手在移动登录系统完成登录后,移动登录助手利用缓存在移动终端中的用户在信息系统中的帐户名、口令形成安全令牌并提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;信息系统客户端用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统获得安全令牌,然后用从安全令牌中获得的帐户名、口令在信息系统完成登录(此时,移动登录系统仅是一个暂存安全令牌的中介系统)。
[0041] 实施例四、
[0042] 信息系统原本采用挑战-响应方式进行登录鉴别(包括基于挑战码的动态口令)。这时可采用的实施方案是:
[0043] 开发实施一个移动登录系统和移动登录助手程序;信息系统客户端以条码的形式显示安全令牌标识数据,且条码中包含挑战码(登录鉴别数据);在用户使用移动登录助手在移动登录系统完成登录后,用户使用移动终端扫描条码获得安全令牌标识数据及挑战码,移动登录助手使用用户身份凭证的私密数据(如口令)和挑战码生成登录信息系统的响应码(登录鉴别响应数据),并形成包含帐户名和响应码的安全令牌,然后将安全令牌提交到移动登录系统暂存;信息系统客户端用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统获得安全令牌,然后用从中获得的帐户名、响应码在信息系统完成登录(此时,移动登录系统仅是一个暂存安全令牌的中介系统)。
[0044] 实施例一、二、三中的安全令牌标识数据可由信息系统客户端按字串显示,然后由用户手工输入到移动登录助手的人机界面,或者,由信息系统客户端按条码显示,然后由用户使用移动终端扫描输入到移动登录助手;而实施例四中的安全令牌标识数据及挑战码(登录鉴别数据)则由信息系统客户端按条码显示,由用户使用移动终端扫描输入到移动登录助手。条码可以采用二维码。
[0045] 安全令牌暂存子系统、移动登录系统的开发可采用任何信息系统开发技术如J2EE、ASP.NET及相应的数据库;移动登录助手可采用与移动终端的系统相适应的技术开发,如Android采用Java,IOS采用Objective-C。信息系统客户端从移动登录系统获取安全令牌的方式包括:服务器推送(即由服务器主动返回数据,如反向Ajax、持久连接技术)或定时查询。
[0046] 以上实施例一、二、三、四中针对的信息系统若是一个已部署的Web系统,则只需对其登录页面作小改动和替换;若是一个已部署的采用专用客户端的信息系统,只需对其客户端程序作小改动并替换原有客户端程序。
[0047] 其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
