口令和标识型密码相集成的用户登录鉴别实施方法技术

本发明专利技术涉及一种口令和标识型密码相集成的用户登录鉴别实施方法，本方法的Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据；其中，标识型密码鉴别数据包括两部分的数据：用户标识或标识的散列值，以及特征数据；当Web信息系统的用户帐户登录鉴别实施组件接收到用户进行Web信息系统帐户登录操作时提交的帐户名和鉴别数据后，根据帐户名从Web信息系统中获得的用户帐户的鉴别数据，然后根据从Web信息系统中获得的鉴别数据是否包含特征数据确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据，若是口令，则基于口令对用户进行登录鉴别，若是标识型密码鉴别数据，则基于标识型密码对用户进行登录鉴别。

【技术实现步骤摘要】
口令和标识型密码相集成的用户登录鉴别实施方法
本专利技术属于信息安全领域，特别是一种将基于口令的用户登录鉴别同基于标识型密码的用户登录鉴别相集成的用户登录鉴别实施方法。
技术介绍
用户访问一个受到安全保护和限制的Web信息系统(包括各种应用系统和安全系统)时，通常需要进行登录操作(Logon或Login)。用户登录操作的目的就是要确认用户是Web信息系统的一个合法用户，即进行用户鉴别(UserAuthentication)；而实际上对许多Web信息系统而言，用户的身份信息是否真实、他是谁并不重要，因此，更确切地说，用户登录操作的目的就是要确认用户是Web信息系统的一个注册帐户的拥有者，即进行帐户鉴别(AccountAuthentication)。目前的Web信息系统普遍采用帐户名+口令或密码(帐户名也称用户名)的方式作为用户登录(LongOn或LongIn)Web信息系统的用户或帐户鉴别的安全手段。帐户名+口令或密码的方案简单、用户操作使用方便，但它的不安全是众所周知的。针对用户名、口令不安全的问题，在安全性要求较高的系统中，人们采用密码技术，比如PKI(PublicKeyInfrastructure)数字证书(DigitalCertificate)技术，进行用户登录鉴别。PKI数字证书虽然安全，但将它用于Web信息系统的用户或帐户鉴别，存在用户操作使用不方便、用户私钥丢失恢复困难、证书更新麻烦(通常需要手工操作)等易用性差的问题，而且需要针对相关浏览器开发控件或插件，导致出现技术开发工作量大、适用性差等问题：一是因为需要针对不同的浏览器开发不同的控件或插件，而目前浏览器众多，针对所有浏览器包括运行在不同环境下的浏览器进行控件或插件开发的工作量是非常大的；二是因为有的浏览器对控件或插件的支持非常有限甚至不支持。进一步，将PKI数字证书实施用于已部署的采用帐户名+口令或密码的系统时，需要对已有系统进行改造，故到目前为止PKI数字证书并未获得广泛应用。针对以上问题，本专利技术申请人在其专利申请“一种基于标识型密码实现用户登录鉴别的系统及方法”(专利申请号：201410244543.8)中提出一个基于标识型密码的用户登录鉴别方法，将标识型密码技术用于Web信息系统的用户登录。所述标识型密码(Identity-TypedCryptography)包括基于标识的密码(IdentityBasedCryptography，IBC)和基于标识的椭圆曲线密码(Identity-BasedECC)，无论是IBC密码技术还是基于标识的椭圆曲线密码技术，它们都是公开密钥密码算法或技术，有如下共同特点：1)用户的一个标识对应一个标识公钥和一个标识私钥(用于数据加密的标识公钥和私钥同用于数字签名的标识公钥和私钥不一定相同)；2)在实际的密钥生成和密码运算过程中，并不是将一个标识本身用于密钥生成和密码运算，而是将附加了其他限定信息后的扩展标识用于密钥生成和密码运算；3)若采用“一种自动更新和恢复私钥的标识型密码系统及方法”(专利申请号：201410058689.3)中的技术，则能够实现自动恢复私钥，以及实现自动更新标识的当前有效的标识公钥和标识私钥。在专利技术专利申请201410244543.8中的所述方案中，用户的一个身份标识(如电子邮箱地址)或标识的散列值作为用户在Web信息系统中的帐户的鉴别数据保存在Web信息系统的帐户数据库中；当用户登录Web信息系统时，Web信息系统的用户登录鉴别实施组件利用系统保存的用户帐户的鉴别数据，即用户的标识或标识的散列值，对用户进行登录鉴别。专利申请中201410244543.8的方法具有如下特点：1)不采用浏览器插件或控件，而是通过本地通信方式调用用户端的密码模块进行密码运算，故不受浏览器类型和种类的限制，也不受用户端计算设备的运行平台限制；2)专利技术中的用户标识及标识密钥不是作为用户的身份凭证使用，而是作为高安全强度的帐户鉴别私密数据使用，而且不同的Web信息系统可以使用同一个密码标识的密钥进行用户登录时的帐户鉴别，无需针对不同的Web信息系统使用不同的标识密钥；若使用的标识是电子通信标识(如电子邮箱地址、手机号码)，则标识密钥的生成、恢复、更新将方便；特别地，若进一步地实施标识密钥的自动更新，则标识密钥的更新操作无需用户手工干预，给用户带来极大方便；3)通过将用户标识或标识的散列值作为用户帐户的鉴别数据即口令保存在用户帐户数据中，以及通过外置安全网关或内置安全插件的方式在采用帐户名+口令或密码进行登录帐户鉴别的Web信息系统中实施专利技术中的安全登录方案，能够在不修改Web信息系统的情况下很好地用于已部署的、自身原本采用帐户名+口令或密码进行登录帐户鉴别的Web信息系统。但专利技术申请201410244543.8中的方案在实际应用中也存在或遇到如下问题：1)对一个具体的Web信息系统而言，要求所有的用户都使用基于标识型密码的用户登录鉴别方案，但实际应用过程我们可能需要采用基于用户名、口令的用户登录鉴别同基于标识型密码的用户登录鉴别共存的方案，比如，在过渡期需要二者共存，或者有些用户希望采用简单的用户名、口令方案；2)若基于标识型密码的用户登录鉴别是通过Web信息系统的插件(如过滤器)实施的，若此时实施用户登录鉴别的插件未正常启动，则此时用户登录的密码就是简单的用户标识，则可能导致有人假冒他人登录系统。本专利技术就是要解决专利技术申请201410244543.8中的方案存在的以上问题。
技术实现思路
本专利技术的目的是提出一种既能满足基于口令的用户登录鉴别和基于标识型密码的用户登录鉴别共存于一个系统的需求，又能防止实施基于标识型密码的用户登录鉴别的系统前置组件或插件未正常启动所带来的安全风险的用户登录鉴别实施方法。为了实现上述目的，本专利技术所采用的技术方案是：一种口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据(二者之一)；所述标识型密码鉴别数据又包括两部分的数据：用户标识或标识的散列值(二者之一)，以及特征数据；若标识型密码鉴别数据中包含的是用户标识的散列值(而不是用户标识字符串本身)，则用户标识的散列值以Base64编码或其他字符编码的形式保存，称为标识散列值字符编码；所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串；当用户在Web信息系统进行帐户登录时，Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后，根据帐户名从Web信息系统中获得的用户帐户的鉴别数据，然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据，若是口令，则基于口令对用户进行登录鉴别，否则，从用户帐户鉴别数据中获得用户标识，并基于标识型密码对用户进行登录鉴别。Web信息系统返回给用户的帐户注册页面提供有帐户鉴别数据是口令还是标识的选择；若用户进行帐户注册时选择的帐户鉴别数据是口令，则Web信息系统处理用户帐户注册数据的系统组件接收到用户提交的帐户注册数据后直接将帐户注册数据中的帐户鉴别数据(即口令)保存在Web信息系统的用本文档来自技高网...

【技术保护点】
一种口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据；所述标识型密码鉴别数据又包括两部分的数据：用户标识或标识的散列值，以及特征数据；若标识型密码鉴别数据中包含的是用户标识的散列值，则用户标识的散列值以Base64编码或其他字符编码的形式保存，称为标识散列值字符编码；所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串；当用户在Web信息系统进行帐户登录时，Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后，根据帐户名从Web信息系统中获得的用户帐户的鉴别数据，然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据，若是口令，则基于口令对用户进行登录鉴别，否则，从用户帐户鉴别数据中获得用户标识，并基于标识型密码对用户进行登录鉴别。

【技术特征摘要】
1.一种口令和标识型密码相集成的用户登录鉴别实施方法，所述标识型密码包括基于标识的密码和基于标识的椭圆曲线密码，其特征是：Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据；所述标识型密码鉴别数据又包括两部分的数据：用户标识或标识的散列值，以及特征数据；若标识型密码鉴别数据中包含的是用户标识的散列值，则用户标识的散列值以Base64编码或其他字符编码的形式保存，称为标识散列值字符编码；所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串；当用户在Web信息系统进行帐户登录时，Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后，根据帐户名从Web信息系统中获得用户帐户的鉴别数据，然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据，若是口令，则基于口令对用户进行登录鉴别，否则，从用户帐户鉴别数据中获得用户标识，并基于标识型密码对用户进行登录鉴别。2.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：所述用户帐户的标识型密码鉴别数据的特征数据包含按约定方式放置的用于指示和区分特征数据的界定字符；所述界定字符是用户口令和标识型密码鉴别数据中的用户标识或标识散列值字符编码中不能出现的字符；实施用户登录鉴别处理的系统组件通过检查用户帐户的鉴别数据中是否有按约定方式放置的界定字符，包括检查界定字符放置的位置和个数，确定用户帐户的鉴别数据是否包含特征数据。3.根据权利要求2所述的口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：所述特征数据的实施方案包括：方案一：所述特征数据中除有按约定方式放置的界定字符之外还包含一个随机生成的随机字符串；方案二：所述特征数据中除有按约定方式放置的界定字符之外还包含一个随机生成的随机字符串，以及由用户标识或标识的散列值同随机字符串合并后的数据的散列值的Base64编码或其他字符编码，称为特征散列值字符编码；方案三：Web信息系统有一个随机生成的随机字串，称为主随机字串，而所述特征数据中除有按约定方式放置的界定字符之外还包含用户标识或标识散列值同Web信息系统的主随机字串合并后的数据的散列值的Base64编码或其他字符编码，同样称为特征散列值字符编码。4.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：若所述特征数据采用实施方案一，则当用户在Web信息系统进行帐户登录时，Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后，在对用户进行登录鉴别前，先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据，若不包含，则确定从Web信息系统中获得的用户帐户的鉴别数据是口令；否则，进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串，以及帐户鉴别数据的特征数据是否包含一个作为随机字符串的字符串，若包含，则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据；否则，报告错误。5.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：若所述特征数据采用实施方案二，则当用户在Web信息系统进行帐户登录时，Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后，在对用户进行登录鉴别前，先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据，若不包含，则确定从Web信息系统中获得的用户帐户的鉴别数据是口令；否则，进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串，以及帐户鉴别数据的特征数据是否包含分别作为随机字符串和特征散列值字符编码的两个字符串，若不包含，则报告错误；否则，从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码，并从用户帐户鉴别数据的特征数据中获取随机字符串和特征散列值字符编码，然后将获得的用户标识或标识散列同随机字符串合并重新计算特征散列值字符编码，比较重新计算得到的特征散列值字符编码同从Web信息系统获得的用户帐户鉴别数据中的特征数据的特征散列值字符编码是否相同，若相同，则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据；否则，报告错误。6.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法，其特征是：若所述特征数据采用实施方案三，则当用户在Web信息系统进行帐户登录时，Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后，在对用户进行登录鉴别前，先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据，若不包含，则确定从Web信息系统中获得的用户帐户的鉴别数据是口令；否则，进一步检查从Web信息系统中获得的用户帐户鉴别数据的特征数据是否包含一个作为特征散列值字符编码的字符串，若不包含，则报告错误；否则，从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码，从Web信息系统获取主随机字串，然后将获得的用户标识或标识散列和主随机字串合并后重新计算特征散列值字符编码，比较重新计算的特征散...

【专利技术属性】
技术研发人员：龙毅宏，唐志红，
申请(专利权)人：武汉理工大学，
类型：发明
国别省市：湖北;42