一种登录方法及装置转让专利
申请号 : CN202211388667.4
文献号 : CN115442809B
文献日 : 2023-01-31
发明人 : 覃勇
申请人 : 北京紫光青藤微系统有限公司
摘要 :
本申请公开了一种登录方法及装置,该方法中使用在第1次登录应用软件时自身存储的临时非对称密钥对中的私钥对动态口令进行签名生成登录临时证书,并通过应用软件发送至应用软件后台服务端,以便应用软件后台服务端在验证登录临时证书通过后登录应用软件。本申请中在第N次登录应用软件时,自动化的生成登录临时证书,以便应用软件后台服务端对登录临时证书进行验证来完成与应用软件之间的认证互信,从而在验证通过后登录应用软件,有效的减少用户输入账号密码或短信验证码过程中因敏感信息泄漏而引发的风险,提高了登录安全性,并且无需用户再次输入账号密码,避免了因输入失败而导致的账号锁定的情况的发生,提高了用户使用的便利性。
权利要求 :
1.一种登录方法,其特征在于,所述方法应用于移动终端设备,所述移动终端设备安装有应用软件,所述方法包括:接收第N次应用软件登录请求,打开所述应用软件,在第1次登录所述应用软件时自身存储的第一绑定关系中查找到与所述移动终端设备的特征值绑定的账号,其中,所述N为正整数且大于1;
对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;
使用在第1次登录所述应用软件时所述移动终端设备存储的临时非对称密钥对中的私钥对所述动态口令进行签名,以生成登录临时证书,并通过所述应用软件将所述登录临时证书发送至应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录临时证书通过后登录所述应用软件;
所述移动终端设备预置有非对称根密钥对,所述方法还包括:
接收第1次应用软件登录请求,打开所述应用软件,并通过所述应用软件发送用户的登录信息至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录信息通过后登录所述应用软件,并建立所述应用软件在与所述移动终端设备之间的安全会话通信机制;
建立所述安全会话通信机制后,利用所述应用软件向所述移动终端设备发送建立登录机制信息,根据所述建立登录机制信息动态生成临时非对称密钥对并存储;
使用所述非对称根密钥对中的私钥对所述临时非对称密钥对中的公钥进行签发得到登录证书,并通过所述应用软件将所述登录证书发送至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录证书通过后存储所述登录证书;
将所述安全会话通信机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储,将所述第一绑定关系通过所述应用软件发送至应用软件后台服务端。
2.根据权利要求1所述的方法,其特征在于,所述对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令包括:利用种子密钥信息对当前时间信息、所述移动终端设备的特征值和所查找到的账号进行加密运算得到加密运算结果,对所述加密运算结果进行动态截短得到截短结果,将所述截短结果转换为数字得到用于登录的动态口令。
3.根据权利要求1所述的方法,其特征在于,在所述将所述安全会话通信机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储的步骤之后,所述方法还包括:将所述移动终端设备的软件启动功能模块与所述临时非对称密钥对进行绑定得到第二绑定关系,并将所述第二绑定关系发送至所述应用软件。
4.根据权利要求3所述的方法,其特征在于,所述软件启动功能模块包括:
重新唤醒处于后台守护进程的应用程序的功能模块、指纹模块、人脸识别模块或图案解锁模块。
5.根据权利要求3所述的方法,其特征在于,所述接收第N次应用软件登录请求,打开所述应用软件的步骤,包括:接收触发所述软件启动功能模块的指令,通过所述软件启动功能模块打开所述应用软件。
6.根据权利要求1所述的方法,其特征在于,所述接收第N次应用软件登录请求,打开所述应用软件的步骤,包括:接收对所述应用软件的点击操作,打开所述应用软件。
7.一种登录装置,其特征在于,所述装置应用于移动终端设备,所述移动终端设备安装有应用软件,所述装置包括:接收模块,用于接收第N次应用软件登录请求,打开所述应用软件,在第1次登录所述应用软件时自身存储的第一绑定关系中查找到与所述移动终端设备的特征值绑定的账号,其中,所述N为正整数且大于1;
动态口令生成模块,用于对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;
登录模块,用于使用在第1次登录所述应用软件时自身存储的临时非对称密钥对中的私钥对所述动态口令进行签名生成登录临时证书,并通过所述应用软件发送至应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录临时证书通过后登录所述应用软件;所述移动终端设备预置有非对称根密钥对,所述登录模块还用于:接收第1次应用软件登录请求,打开所述应用软件,并通过所述应用软件发送用户的登录信息至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录信息通过后登录所述应用软件,并建立所述应用软件在与所述移动终端设备之间的安全会话通信机制;建立所述安全会话通信机制后,利用所述应用软件向所述移动终端设备发送建立登录机制信息,根据所述建立登录机制信息动态生成临时非对称密钥对并存储;使用所述非对称根密钥对中的私钥对所述临时非对称密钥对中的公钥进行签发得到登录证书,并通过所述应用软件将所述登录证书发送至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录证书通过后存储所述登录证书;将所述安全会话通信机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储,将所述第一绑定关系通过所述应用软件发送至应用软件后台服务端。
8.根据权利要求7所述的装置,其特征在于,所述动态口令生成模块,具体用于:
利用种子密钥信息对当前时间信息、所述移动终端设备的特征值和所查找到的账号进行加密运算得到加密运算结果,对所述加密运算结果进行动态截短得到截短结果,将所述截短结果转换为数字得到用于登录的动态口令。
9.一种电子设备,其特征在于,包括:处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行权利要求1‑6任一项所述的方法。
说明书 :
一种登录方法及装置
技术领域
[0001] 本申请涉及安全传输技术领域,尤其涉及一种登录方法及装置。
背景技术
[0002] 目前,在移动终端设备上每次登录应用软件时,都需要输入账号和密码。为了保证安全登录,可以通过操作系统内置的安全键盘或者应用软件内置的随机乱序键盘输入账号和密码来登录,或者结合运营商渠道下发的短信验证码来登录。
[0003] 然而,不论是通过操作系统内置的安全键盘或者应用软件内置的随机乱序键盘进行登录,在用户敲击键盘时均存在被偷窥和剽窃到输入过程的风险。对于短信验证码方式,虽然在一定程度上做到了短信验证码是随机数据,但由于短信验证码长度较短且全为数字,而且短信程序的访问权限门槛很低,使得许多恶意软件均可以很方便的获取短信验证码,实际上也存在较大的安全隐患,导致登录安全性较差。
[0004] 以及,用户在使用应用软件时,特别是一些对安全性较为敏感的应用软件例如:银行应用软件,每次都需要登录并输入账号和密码,而且会限制输入账号和密码的失败次数,一旦失败达到次数限制就会锁定账号一段时间,给用户的带来使用不便。
[0005] 因此,目前在移动终端设备上每次登录应用软件时,登录安全性较差且使用不便。
发明内容
[0006] 本申请提供一种登录方法及装置,提高了登录安全性和用户使用的便利性。
[0007] 第一方面,本申请提供了一种登录方法,所述方法应用于移动终端设备,所述移动终端设备安装有应用软件,所述方法包括:
[0008] 接收第N次应用软件登录请求,打开所述应用软件,在第1次登录所述应用软件时自身存储的第一绑定关系中查找到与所述移动终端设备的特征值绑定的账号,其中,所述N为正整数且大于1;
[0009] 对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;
[0010] 使用在第1次登录所述应用软件时所述移动终端设备存储的临时非对称密钥对中的私钥对所述动态口令进行签名,以生成登录临时证书,并通过所述应用软件将所述登录临时证书发送至应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录临时证书通过后登录所述应用软件。
[0011] 可选的,所述对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令包括:
[0012] 利用种子密钥信息对当前时间信息、所述移动终端设备的特征值和所查找到的账号进行加密运算得到加密运算结果,对所述加密运算结果进行动态截短得到截短结果,将所述截短结果转换为数字得到用于登录的动态口令。
[0013] 可选的,所述移动终端设备预置有非对称根密钥对,所述方法还包括:
[0014] 接收第1次应用软件登录请求,打开所述应用软件,并通过所述应用软件发送用户的登录信息至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录信息通过后登录所述应用软件,并建立所述应用软件在与所述移动终端设备之间的安全会话通信机制;
[0015] 建立所述安全会话通信机制后,利用所述应用软件接收建立登录机制信息,根据所述建立登录机制信息动态生成临时非对称密钥对并存储;
[0016] 使用所述非对称根密钥对中的私钥对所述临时非对称密钥对中的公钥进行签发得到登录证书,并通过所述应用软件将所述登录证书发送至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录证书通过后存储所述登录证书;
[0017] 将所述安全通信会话机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储,将所述第一绑定关系通过所述应用软件发送至应用软件后台服务端。
[0018] 可选的,在所述将所述安全通信会话机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储的步骤之后,所述方法还包括:
[0019] 将所述移动终端设备的软件启动功能模块与所述临时非对称密钥对进行绑定得到第二绑定关系,并将所述第二绑定关系发送至所述应用软件。
[0020] 可选的,所述软件启动功能模块包括:
[0021] 重新唤醒处于后台守护进程的应用程序的功能模块、指纹模块、人脸识别模块或图案解锁模块。
[0022] 可选的,所述接收第N次应用软件登录请求,打开所述应用软件的步骤,包括:
[0023] 接收触发所述软件启动功能模块的指令,通过所述软件启动功能模块打开所述应用软件。
[0024] 可选的,所述接收第N次应用软件登录请求,打开所述应用软件的步骤,包括:
[0025] 接收对所述应用软件的点击操作,打开所述应用软件。
[0026] 第二方面,本申请提供了一种登录装置,所述装置应用于移动终端设备,所述移动终端设备安装有应用软件,所述装置包括:
[0027] 接收模块,用于接收第N次应用软件登录请求,打开所述应用软件,在第1次登录所述应用软件时自身存储的第一绑定关系中查找到与所述移动终端设备的特征值绑定的账号,其中,所述N为正整数且大于1;
[0028] 动态口令生成模块,用于对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;
[0029] 登录模块,用于使用在第1次登录所述应用软件时自身存储的临时非对称密钥对中的私钥对所述动态口令进行签名生成登录临时证书,并通过所述应用软件发送至应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录临时证书通过后登录所述应用软件。
[0030] 可选的,所述动态口令生成模块,具体用于:
[0031] 利用种子密钥信息对当前时间信息、所述移动终端设备的特征值和所查找到的账号进行加密运算得到加密运算结果,对所述加密运算结果进行动态截短得到截短结果,将所述截短结果转换为数字得到用于登录的动态口令。
[0032] 第三方面,本申请提供了一种可读介质,包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如第一方面中任一所述的方法。
[0033] 第四方面,本申请提供了一种电子设备,包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如第一方面中任一所述的方法。
[0034] 由上述技术方案可以看出,本发明提供了一种登录方法,在本方法中,可以接收第N次应用软件登录请求,打开应用软件,在第1次登录应用软件时自身存储的第一绑定关系中查找到与移动终端设备的特征值绑定的账号,其中,N为正整数且大于1;对移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;使用在第1次登录应用软件时自身存储的临时非对称密钥对中的私钥对动态口令进行签名生成登录临时证书,并通过应用软件发送至应用软件后台服务端,以便应用软件后台服务端在验证登录临时证书通过后登录应用软件。本发明实施例中,在第N次登录应用软件时,自动化的生成登录临时证书,以便应用软件后台服务端对登录临时证书进行验证来完成与应用软件之间的认证互信,从而在验证通过后登录应用软件,取代了用户在第N次登录应用软件时输入账号密码或短信验证码的过程,有效的减少用户输入账号密码或短信验证码过程中因敏感信息泄漏而引发的风险,提高了登录安全性,并且无需用户再次输入账号密码,避免了因输入失败而导致的账号锁定的情况的发生,提高了用户使用的便利性。
[0035] 上述的非惯用的优选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
[0036] 为了更清楚地说明本申请实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0037] 图1为本发明实施例提供的登录方法的一种流程示意图;
[0038] 图2A为本发明实施例提供的登录方法的第1次登录流程示意图;
[0039] 图2B为本发明实施例提供的登录方法的第2‑N次登录流程示意图;
[0040] 图3为本发明实施例提供的登录装置的一种结构示意图;
[0041] 图4为本发明实施例提供的电子设备的一种结构示意图。
具体实施方式
[0042] 为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0043] 为了解决现有技术中,在移动终端设备上每次登录应用软件时,登录安全性较差且使用不便的问题。
[0044] 本发明提供了一种登录方法,本发明中,在第N次登录应用软件时,自动化的生成登录临时证书,以便应用软件后台服务端对登录临时证书进行验证来完成与应用软件之间的认证互信,从而在验证通过后登录应用软件,取代了用户在第N次登录应用软件时输入账号密码或短信验证码的过程,有效的减少用户输入账号密码或短信验证码过程中因敏感信息泄漏而引发的风险,提高了登录安全性,并且无需用户再次输入账号密码,避免了因输入失败而导致的账号锁定的情况的发生,提高了用户使用的便利性。
[0045] 下面结合附图,详细说明本申请的各种非限制性实施方式。
[0046] 参见图1,示出了本发明实施例中的一种登录方法的流程示意图。在本实施例中,该方法应用于移动终端设备,移动终端设备可以为手机或者平板电脑,移动终端设备安装有应用软件,方法例如可以包括以下步骤:
[0047] S101:接收第N次应用软件登录请求,打开应用软件,在第1次登录应用软件时自身存储的第一绑定关系中查找到与移动终端设备的特征值绑定的账号,其中,N为正整数且大于1。
[0048] 在本发明实施例中,将登录应用软件区分为第1次登录应用软件和第N次登录应用软件,其中,N为正整数且大于1。
[0049] 其中,移动终端设备预置有非对称根密钥对,第1次登录应用软件的流程可以为:
[0050] 接收第1次应用软件登录请求,打开应用软件,并通过应用软件发送用户的登录信息至应用软件后台服务端,以便应用软件后台服务端在验证登录信息通过后登录应用软件;,并建立所述应用软件在与所述移动终端设备之间的安全会话通信机制。
[0051] 建立所述安全会话通信机制后,利用所述应用软件向所述移动终端设备发送建立登录机制信息,根据所述建立登录机制信息动态生成临时非对称密钥对并存储。
[0052] 使用非对称根密钥对中的私钥对临时非对称密钥对中的公钥进行签发得到登录证书,并通过应用软件将登录证书发送至应用软件后台服务端,以便应用软件后台服务端在验证登录证书通过后存储登录证书。
[0053] 将安全通信会话机制对应的账号、移动终端设备的特征值以及临时非对称密钥对进行绑定得到第一绑定关系并存储,将第一绑定关系通过应用软件发送至应用软件后台服务端。
[0054] 用户在第1次登录应用软件时,点击移动终端设备的屏幕上的应用软件图标,移动终端设备就接收用户发出的第1次应用软件登录请求,触发底层运行机制,加载应用软件到内存,打开应用软件。
[0055] 然后用户输入账号密码或短信验证码,应用软件接收用户输入的账号密码或短信验证码,并发送用户的登录信息至应用软件后台服务端以便应用软件后台服务端在验证登录信息通过后登录应用软件,其中,用户的登录信息可以为账号密码、短信验证码或者加密字符串,其中,加密字符串为对账号密码或者短信验证码进行加密得到的,加密方式可以为现有任意一种字符加密方式,本发明实施例对此不做任何限定。应用软件后台服务端接收用户的登录信息,并根据预设验证方式对用户的登录信息进行验证,当验证通过时,登录应用软件,并将验证成功结果发送至应用软件,其中,预设验证方式可以为数据库验证方式或者文件校验方式。
[0056] 应用软件接收验证成功结果,建立自身与移动终端设备之间的安全会话通信机制,并发送建立登录机制信息至移动终端设备。其中,应用软件可通过现有任一安全会话通信机制建立方式来建立自身与移动终端设备之间的安全会话通信机制,本发明实施例对此并不做任何限定。
[0057] 移动终端设备接收建立登录机制信息,动态生成临时非对称密钥对并存储,使用非对称根密钥对中的私钥对临时非对称密钥对中的公钥进行签发得到登录证书,并通过应用软件将登录证书发送至应用软件后台服务端,以便应用软件后台服务端在验证登录证书通过后存储登录证书。
[0058] 其中,移动终端设备预置有可信安全执行环境(Trusted Execution Environment,简称TEE)和安全元件(Secure Element,简称SE)。其中,TEE是移动终端设备的中央处理器内的一个安全区域。它运行在一个独立的环境中且与操作系统并行运行。中央处理器确保TEE 中代码和数据的机密性和完整性都得到保护。即运行在TEE中的代码和数据是保密且不可篡改的。
[0059] SE通常以芯片形式提供。为防止外部恶意解析攻击,保护数据安全,在芯片中具有加密/解密逻辑电路。
[0060] 具体的,移动终端设备中的可信安全执行环境接收建立登录机制信息,动态生成临时非对称密钥对,使用非对称根密钥对中的私钥对临时非对称密钥对中的公钥进行签发得到登录证书,并发送至应用软件,其中,临时非对称密钥对可以为ECC(Elliptic Curve Cryptography,椭圆曲线加密)密钥对或者RSA密钥对。
[0061] 应用软件接收登录证书,使用安全通信会话机制对登录证书进行安全处理,并将安全处理后的登录证书发送至应用软件后台服务端。
[0062] 由于安全处理后的登录证书中可能存在敏感数据,因此,应用软件后台服务端在接收到安全处理后的登录证书后,需要根据安全通信会话机制对安全处理后的登录证书进行脱敏,其中,脱敏方法可以为现有技术中的任意一种脱敏方法,本发明实施例对此并不做任何限定。
[0063] 脱敏后,应用软件后台服务端还需要根据安全通信会话机制对安全处理后的登录证书进行安全验证。
[0064] 具体的,应用软件使用安全通信会话机制对登录证书进行安全验证的方式包括但不限于以下两种方式:
[0065] 第一种方式:
[0066] 应用软件使用安全通信会话机制对应的加密算法对登录证书进行加密处理或者转加密处理得到安全处理后的登录证书。
[0067] 此时,应用软件后台服务端在接收到安全处理后的登录证书后,根据安全通信会话机制对应的解密算法对安全处理后的登录证书进行解密,当解密成功时,确定安全验证成功。
[0068] 第二种方式:
[0069] 应用软件使用安全通信会话机制对应的MAC算法对登录证书进行MAC计算生成第一MAC值,并为登录证书增加第一MAC值得到安全处理后的登录证书。
[0070] 此时,应用软件后台服务端在接收到安全处理后的登录证书后,根据安全通信会话机制对应的MAC算法对安全处理后的登录证书中的除第一MAC值以外的部分进行MAC计算生成第二MAC值,判断第一MAC值和第二MAC值是否相同,如果是,确定安全验证成功。
[0071] 在安全验证成功后,应用软件后台服务端再使用非对称根密钥中的公钥对安全验证成功后的登录证书进行密钥验证,如果密钥验证成功即应用软件后台服务端验证登录证书通过。
[0072] 当密钥验证成功时,应用软件后台服务端存储密钥验证成功后的登录证书,并将密钥验证成功后的登录证书与安全通信会话机制对应的账号以及移动终端设备的特征值进行绑定得到第三绑定关系并存储,将第三绑定关系发送至应用软件,其中,移动终端设备的特征值可以为移动终端设备的名称。
[0073] 移动终端设备将安全通信会话机制对应的账号、移动终端设备的特征值以及临时非对称密钥对进行绑定得到第一绑定关系并存储,将第一绑定关系通过应用软件发送至应用软件后台服务端。
[0074] 具体的,应用软件接收第三绑定关系,并通知可信安全执行环境将临时非对称密钥对存储至安全元件中。
[0075] 当安全元件存储临时非对称密钥对成功后,可信安全执行环境将安全通信会话机制对应的账号、移动终端设备的特征值以及存储于安全元件中的临时非对称密钥对进行绑定得到第一绑定关系并存储,然后将第一绑定关系发送至应用软件。
[0076] 应用软件接收第一绑定关系并转发至应用软件后台服务端,应用软件后台服务端接收第一绑定关系并存储。
[0077] 由此,完成了第1次登录应用软件。
[0078] 如果移动终端设备支持更多丰富的与软件启动相关的功能特性,则上述在将安全通信会话机制对应的账号、移动终端设备的特征值以及临时非对称密钥对进行绑定得到第一绑定关系并存储的步骤之后,上述方法还可以包括:
[0079] 将移动终端设备的软件启动功能模块与临时非对称密钥对进行绑定得到第二绑定关系,并将第二绑定关系发送至应用软件。
[0080] 具体的,移动终端设备中的安全元件将移动终端设备的软件启动功能模块与临时非对称密钥对进行绑定得到第二绑定关系,并将第二绑定关系发送至应用软件。
[0081] 应用软件接收第二绑定关系并存储。其中,软件启动功能模块包括重新唤醒处于后台守护进程的应用程序的功能模块、指纹模块、人脸识别模块或图案解锁模块。
[0082] 用户在第1次登录应用软件后,如果后续再次登录应用软件时,移动终端设备接收第N次应用软件登录请求,打开应用软件,其中,N为正整数且大于1。
[0083] 具体的,打开应用软件的方式有多种,包括但不限于以下两种方式:
[0084] 第一种方式:
[0085] 接收第N次应用软件登录请求,打开应用软件,可以包括:
[0086] 接收触发软件启动功能模块的指令,通过软件启动功能模块打开应用软件。
[0087] 如果移动终端设备支持更多丰富的与软件启动相关的功能特性,在将移动终端设备的软件启动功能模块与临时非对称密钥对进行绑定得到第二绑定关系的情况下,用户直接触发软件启动功能模块,例如:用户在应用软件的登录截面进行人脸识别登录,则移动终端设备接收用户发出的触发软件启动功能模块的指令,通过软件启动功能模块打开应用软件。
[0088] 第二种方式:
[0089] 接收第N次应用软件登录请求,打开应用软件,可以包括:
[0090] 接收对应用软件的点击操作,打开应用软件。
[0091] 如果移动终端设备不支持更多丰富的与软件启动相关的功能特性的情况下,用户直接点击移动终端设备屏幕上的应用软件,移动终端设备接收用户对应用软件的点击操作,打开应用软件。
[0092] 然后,移动终端设备在第1次登录应用软件时存储的第一绑定关系中查找到与移动终端设备的特征值绑定的账号。
[0093] 具体的,移动终端设备中的可信安全执行环境在第1次登录应用软件时存储的第一绑定关系中查找到与移动终端设备的特征值绑定的账号。
[0094] 在打开应用软件后,移动终端设备也可以在用户触发一键安全登录后,才进行后续步骤,即应用软件在打开后,显示“一键安全登录”按钮,用户点击“一键安全登录”按钮发出一键安全登录指令,应用软件接收用户发出的一键安全登录指令,发送触发一键安全登录流程信息至移动终端设备,然后移动终端设备在第1次登录应用软件时存储的第一绑定关系中查找到与移动终端设备的特征值绑定的账号。
[0095] S102:对移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令。
[0096] 在查找到与移动终端设备的特征值绑定的账号后,移动终端设备对移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令。
[0097] 具体的,移动终端设备中的可信安全执行环境对移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令。
[0098] 其中,步骤S102可以包括:
[0099] 利用种子密钥信息对当前时间信息、移动终端设备的特征值和所查找到的账号进行加密运算得到加密运算结果,对加密运算结果进行动态截短得到截短结果,将截短结果转换为数字得到用于登录的动态口令。
[0100] S103:使用在第1次登录所述应用软件时所述移动终端设备存储的临时非对称密钥对中的私钥对所述动态口令进行签名,以生成登录临时证书,并通过所述应用软件将所述登录临时证书发送至应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录临时证书通过后登录所述应用软件。
[0101] 在生成用于登录的动态口令后,移动终端设备使用在第1次登录应用软件时自身存储的临时非对称密钥对中的私钥对动态口令进行签名生成登录临时证书,并通过应用软件发送至应用软件后台服务端,以便应用软件后台服务端在验证登录临时证书通过后登录应用软件。
[0102] 具体的,移动终端设备中的安全元件使用在第1次登录应用软件时自身存储的临时非对称密钥对中的私钥对动态口令进行签名生成登录临时证书,并发送至可信安全执行环境。
[0103] 可信安全执行环境接收登录临时证书,并发送登录临时证书至应用软件,应用软件接收登录临时证书,并发送登录临时证书至应用软件后台服务端。
[0104] 应用软件后台服务端使用在第1次登录应用软件时存储的验证后的登录证书对登录临时证书进行验证,在验证通过后登录应用软件。具体的,应用软件后台服务端判断第1次登录应用软件时存储的验证后的登录证书与登录临时证书是否相同,如果是,验证通过,登录应用软件。
[0105] 综上可见,本发明提供了一种登录方法,在本方法中,可以接收第N次应用软件登录请求,打开应用软件,在第1次登录应用软件时自身存储的第一绑定关系中查找到与移动终端设备的特征值绑定的账号,其中,N为正整数且大于1;对移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;使用在第1次登录应用软件时自身存储的临时非对称密钥对中的私钥对动态口令进行签名生成登录临时证书,并通过应用软件发送至应用软件后台服务端,以便应用软件后台服务端在验证登录临时证书通过后登录应用软件。本发明实施例中,在第N次登录应用软件时,自动化的生成登录临时证书,以便应用软件后台服务端对登录临时证书进行验证来完成与应用软件之间的认证互信,从而在验证通过后登录应用软件,取代了用户在第N次登录应用软件时输入账号密码或短信验证码的过程,有效的减少用户输入账号密码或短信验证码过程中因敏感信息泄漏而引发的风险,提高了登录安全性,并且无需用户再次输入账号密码,避免了因输入失败而导致的账号锁定的情况的发生,提高了用户使用的便利性。
[0106] 为了方便理解,下面通过一具体实施例对本发明实施例提供的一种登录方法进行详细介绍,图2A为本发明实施例提供的登录方法的第1次登录流程示意图,图2B为本发明实施例提供的登录方法的第2‑N次登录流程示意图。参见图2A,本发明实施例提供的登录方法的第1次登录的流程可以为:
[0107] 安全元件预置有非对称根密钥对prikey和pubkey,应用软件后台服务端预置非对称根公钥pubkey,其中,prikey为私钥,pubkey为公钥。
[0108] 第1次登录:
[0109] 1、用户点击移动终端设备屏幕上的应用软件;
[0110] 2、移动终端设备触发底层运行机制,打开应用软件;
[0111] 3、用户输入登录信息,例如输入账号密码或短信验证码;
[0112] 4、应用软件发送登录信息给应用软件后台服务端以进行验证;
[0113] 5、应用软件后台服务端在验证后返回验证结果给应用软件;
[0114] 6、应用软件验证登录成功后,建立安全会话通信机制;
[0115] 7、应用软件触发“建立可信安全一键登录”机制至可信安全执行环境;
[0116] 8、可信安全执行环境生成临时非对称密钥对对ePrikey和ePubkey,其中,ePrikey为私钥,ePubkey为公钥;
[0117] 9、可信安全执行环境使用非对称根私钥prikey对临时非对称密钥对中的公钥ePubkey进行签发得到登录证书eCERT,将登录证书eCERT发送至应用软件;
[0118] 10、应用软件基于安全会话通信机制,对登录证书eCERT进行安全处理,向应用软件后台服务端返回处理后的eCERT;
[0119] 11、应用软件后台服务端基于安全会话通信机制,对eCERT脱敏和安全验证,并使用预置的非对称根公钥ePubkey对登录证书eCERT进行密钥验证;
[0120] 12、应用软件后台服务端将登录证书eCERT与当前建立安全会话通信机制的账号以及当前移动终端设备的特征值进行绑定得到第三绑定关系;
[0121] 13、应用软件后台服务端返回绑定结果至应用软件;
[0122] 14、应用软件通知绑定结果至可信安全执行环境;
[0123] 15、可信安全执行环境存储临时非对称密钥对ePrikey和ePubkey,并发送至安全元件;
[0124] 16、安全元件存储临时非对称密钥对ePrikey和ePubkey;
[0125] 17、安全元件将存储结果通知可信安全执行环境;
[0126] 18、可信安全执行环境将存储于安全元件中的临时非对称密钥对与当前建立安全会话通信机制的账号以及当前移动终端设备的特征值进行绑定得到第一绑定关系;
[0127] 19、可信安全执行环境通知绑定结果至应用软件;
[0128] 20、应用软件返回绑定结果至应用软件后台服务端。
[0129] 参见图2B,本发明实施例提供的登录方法的第2‑N次登录的流程可以为,[0130] 第2‑N次登录:
[0131] 1、用户触发移动终端设备特性,例如:指纹识别、人脸识别等;
[0132] 2、移动终端设备打开应用软件;
[0133] 3、用户与应用软件进行交互,点击“一键安全登录”按钮;
[0134] 4、应用软件触发“一键安全登录流程”至可信安全执行环境;
[0135] 5、可信安全执行环境校验移动终端设备的特征值,并根据此特征值进行加密运算生成用于登录的动态口令eToken;
[0136] 6、可信安全执行环境触发签名操作至安全元件;
[0137] 7、安全元件使用第1次通信存储的临时非对称密钥对中的私钥ePrikey对动态口令eToken进行签名,得到登录临时证书eTokenCERT;
[0138] 8、安全元件返回登录临时证书eTokenCERT至可信安全执行环境;
[0139] 9、可信安全执行环境返回登录临时证书eTokenCERT至应用软件;
[0140] 10、应用软件发送登录临时证书eTokenCERT至应用软件后台服务端;
[0141] 11、应用软件后台服务端使用第1次通信中存储的登录证书eCERT对登录临时证书eTokenCERT进行验证,返回验证结果至应用软件;
[0142] 12、登录成功,进入应用软件。
[0143] 其中,上文中的临时生成的非对称密钥对、临时非对称密钥对和临时公私钥对三者是相同的。
[0144] 综上,在现有的登录应用软件的流程上,在第1次登录应用软件时增加了可信安全执行环境和安全元件来动态的、安全的产生和存储临时非对称密钥对,然后可信安全执行环境使用预置于安全元件中的非对称根密钥对中的私钥对临时非对称密钥对中的公钥进行签发得到证书,并将验证后的证书存储于应用软件后台服务,然后在第N次登录应用软件时,自动化的生成登录临时证书,以便应用软件后台服务使用在第1次登录应用软件时存储的验证后的证书对登录临时证书进行验证来完成与应用软件之间的认证互信,取代了用户在第N次登录应用软件时输入账号密码或短信验证码的过程,实现了应用软件到应用软件后台服务的一键安全快速登录,有效的减少用户输入账号密码或短信验证码过程中因敏感信息泄漏而引发的风险,提高了登录安全性,并且无需用户再次输入账号密码,避免了因输入失败而导致的账号锁定的情况的发生,提高了用户使用的便利性。
[0145] 在上述登录方法的基础上,参见图3,本发明还提供了一种登录装置,所述装置应用于移动终端设备,所述移动终端设备安装有应用软件,所述装置包括:
[0146] 接收模块301,用于接收第N次应用软件登录请求,打开所述应用软件,在第1次登录所述应用软件时自身存储的第一绑定关系中查找到与所述移动终端设备的特征值绑定的账号,其中,所述N为正整数且大于1;
[0147] 动态口令生成模块302,用于对所述移动终端设备的特征值和所查找到的账号进行加密运算生成用于登录的动态口令;
[0148] 登录模块303,用于使用在第1次登录所述应用软件时自身存储的临时非对称密钥对中的私钥对所述动态口令进行签名生成登录临时证书,并通过所述应用软件发送至应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录临时证书通过后登录所述应用软件。
[0149] 可见,本装置可以在第N次登录应用软件时,自动化的生成登录临时证书,以便应用软件后台服务端对登录临时证书进行验证来完成与应用软件之间的认证互信,从而在验证通过后登录应用软件,取代了用户在第N次登录应用软件时输入账号密码或短信验证码的过程,有效的减少用户输入账号密码或短信验证码过程中因敏感信息泄漏而引发的风险,提高了登录安全性,并且无需用户再次输入账号密码,避免了因输入失败而导致的账号锁定的情况的发生,提高了用户使用的便利性。
[0150] 在一种实现方式中,所述动态口令生成模块302,可以具体用于:
[0151] 利用种子密钥信息对当前时间信息、所述移动终端设备的特征值和所查找到的账号进行加密运算得到加密运算结果,对所述加密运算结果进行动态截短得到截短结果,将所述截短结果转换为数字得到用于登录的动态口令。
[0152] 在一种实现方式中,所述移动终端设备预置有非对称根密钥对,所述装置还包括第1次登录模块,所述第1次登录模块用于确定第1次登录所述应用软件的流程,所述第一登录模块,可以包括:
[0153] 第一接收子模块,用于接收第1次应用软件登录请求,打开所述应用软件,并通过所述应用软件发送用户的登录信息至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录信息通过后登录所述应用软件;
[0154] 第二接收子模块,用于接收所述应用软件在建立自身与所述移动终端设备之间的安全会话通信机制后发送的建立登录机制信息,动态生成临时非对称密钥对并存储;
[0155] 签发子模块,用于使用所述非对称根密钥对中的私钥对所述临时非对称密钥对中的公钥进行签发得到登录证书,并通过所述应用软件将所述登录证书发送至所述应用软件后台服务端,以便所述应用软件后台服务端在验证所述登录证书通过后存储所述登录证书;
[0156] 绑定子模块,用于将所述安全通信会话机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储,将所述第一绑定关系通过所述应用软件发送至应用软件后台服务端。
[0157] 在一种实现方式中,上述登录装置还包括:
[0158] 绑定模块,用于在所述将所述安全通信会话机制对应的账号、所述移动终端设备的特征值以及所述临时非对称密钥对进行绑定得到所述第一绑定关系并存储之后,将所述移动终端设备的软件启动功能模块与所述临时非对称密钥对进行绑定得到第二绑定关系,并将所述第二绑定关系发送至所述应用软件。
[0159] 在一种实现方式中,所述软件启动功能模块包括重新唤醒处于后台守护进程的应用程序的功能模块、指纹模块、人脸识别模块或图案解锁模块。
[0160] 在一种实现方式中,所述接收模块,具体用于:
[0161] 接收触发所述软件启动功能模块的指令,通过所述软件启动功能模块打开所述应用软件。
[0162] 在一种实现方式中,所述接收模块,具体用于:
[0163] 接收对所述应用软件的点击操作,打开所述应用软件。
[0164] 图4是本申请实施例提供的一种电子设备的结构示意图。在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random‑Access Memory,RAM),也可能还包括非易失性存储器(non‑volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
[0165] 处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
[0166] 存储器,用于存放执行指令。具体地,执行指令即可被执行的计算机程序。存储器可以包括内存和非易失性存储器,并向处理器提供执行指令和数据。
[0167] 在一种可能实现的方式中,处理器从非易失性存储器中读取对应的执行指令到内存中然后运行,也可从其它设备上获取相应的执行指令,以在逻辑层面上形成登录装置。处理器执行存储器所存放的执行指令,以通过执行的执行指令实现本申请任一实施例中提供的登录方法。
[0168] 上述如本申请图1所示实施例提供的登录方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0169] 结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述登录方法的步骤。
[0170] 本申请实施例还提出了一种可读介质,该可读存储介质存储有执行指令,存储的执行指令被电子设备的处理器执行时,能够使该电子设备执行本申请任一实施例中提供的登录方法。
[0171] 前述各个实施例中所述的电子设备可以为计算机。
[0172] 本领域内的技术人员应明白,本申请的实施例可提供为方法或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例,或软件和硬件相结合的形式。
[0173] 本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0174] 还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0175] 以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。