【技术实现步骤摘要】
口令和标识型密码相集成的用户登录鉴别实施方法
本专利技术属于信息安全领域,特别是一种将基于口令的用户登录鉴别同基于标识型密码的用户登录鉴别相集成的用户登录鉴别实施方法。
技术介绍
用户访问一个受到安全保护和限制的Web信息系统(包括各种应用系统和安全系统)时,通常需要进行登录操作(Logon或Login)。用户登录操作的目的就是要确认用户是Web信息系统的一个合法用户,即进行用户鉴别(UserAuthentication);而实际上对许多Web信息系统而言,用户的身份信息是否真实、他是谁并不重要,因此,更确切地说,用户登录操作的目的就是要确认用户是Web信息系统的一个注册帐户的拥有者,即进行帐户鉴别(AccountAuthentication)。目前的Web信息系统普遍采用帐户名+口令或密码(帐户名也称用户名)的方式作为用户登录(LongOn或LongIn)Web信息系统的用户或帐户鉴别的安全手段。帐户名+口令或密码的方案简单、用户操作使用方便,但它的不安全是众所周知的。针对用户名、口令不安全的问题,在安全性要求较高的系统中,人们采用密码技术,比如PKI(PublicKeyInfrastructure)数字证书(DigitalCertificate)技术,进行用户登录鉴别。PKI数字证书虽然安全,但将它用于Web信息系统的用户或帐户鉴别,存在用户操作使用不方便、用户私钥丢失恢复困难、证书更新麻烦(通常需要手工操作)等易用性差的问题,而且需要针对相关浏览器开发控件或插件,导致出现技术开发工作量大、适用性差等问题:一是因为需要针对不同的浏览器开发不同的控件或插 ...
【技术保护点】
一种口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据;所述标识型密码鉴别数据又包括两部分的数据:用户标识或标识的散列值,以及特征数据;若标识型密码鉴别数据中包含的是用户标识的散列值,则用户标识的散列值以Base64编码或其他字符编码的形式保存,称为标识散列值字符编码;所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串;当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后,根据帐户名从Web信息系统中获得的用户帐户的鉴别数据,然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据,若是口令,则基于口令对用户进行登录鉴别,否则,从用户帐户鉴别数据中获得用户标识,并基于标识型密码对用户进行登录鉴别。
【技术特征摘要】
1.一种口令和标识型密码相集成的用户登录鉴别实施方法,所述标识型密码包括基于标识的密码和基于标识的椭圆曲线密码,其特征是:Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据;所述标识型密码鉴别数据又包括两部分的数据:用户标识或标识的散列值,以及特征数据;若标识型密码鉴别数据中包含的是用户标识的散列值,则用户标识的散列值以Base64编码或其他字符编码的形式保存,称为标识散列值字符编码;所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串;当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后,根据帐户名从Web信息系统中获得用户帐户的鉴别数据,然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据,若是口令,则基于口令对用户进行登录鉴别,否则,从用户帐户鉴别数据中获得用户标识,并基于标识型密码对用户进行登录鉴别。2.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:所述用户帐户的标识型密码鉴别数据的特征数据包含按约定方式放置的用于指示和区分特征数据的界定字符;所述界定字符是用户口令和标识型密码鉴别数据中的用户标识或标识散列值字符编码中不能出现的字符;实施用户登录鉴别处理的系统组件通过检查用户帐户的鉴别数据中是否有按约定方式放置的界定字符,包括检查界定字符放置的位置和个数,确定用户帐户的鉴别数据是否包含特征数据。3.根据权利要求2所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:所述特征数据的实施方案包括:方案一:所述特征数据中除有按约定方式放置的界定字符之外还包含一个随机生成的随机字符串;方案二:所述特征数据中除有按约定方式放置的界定字符之外还包含一个随机生成的随机字符串,以及由用户标识或标识的散列值同随机字符串合并后的数据的散列值的Base64编码或其他字符编码,称为特征散列值字符编码;方案三:Web信息系统有一个随机生成的随机字串,称为主随机字串,而所述特征数据中除有按约定方式放置的界定字符之外还包含用户标识或标识散列值同Web信息系统的主随机字串合并后的数据的散列值的Base64编码或其他字符编码,同样称为特征散列值字符编码。4.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:若所述特征数据采用实施方案一,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串,以及帐户鉴别数据的特征数据是否包含一个作为随机字符串的字符串,若包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。5.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:若所述特征数据采用实施方案二,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串,以及帐户鉴别数据的特征数据是否包含分别作为随机字符串和特征散列值字符编码的两个字符串,若不包含,则报告错误;否则,从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码,并从用户帐户鉴别数据的特征数据中获取随机字符串和特征散列值字符编码,然后将获得的用户标识或标识散列同随机字符串合并重新计算特征散列值字符编码,比较重新计算得到的特征散列值字符编码同从Web信息系统获得的用户帐户鉴别数据中的特征数据的特征散列值字符编码是否相同,若相同,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。6.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:若所述特征数据采用实施方案三,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据的特征数据是否包含一个作为特征散列值字符编码的字符串,若不包含,则报告错误;否则,从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码,从Web信息系统获取主随机字串,然后将获得的用户标识或标识散列和主随机字串合并后重新计算特征散列值字符编码,比较重新计算的特征散...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。