发明专利技术涉及一种基于移动终端的系统登录方法:当用户使用信息系统客户端登录一个尚未登录的信息系统时,信息系统客户端显示一个安全令牌标识数据并由用户输入到运行在移动终端中的移动登录助手;在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统或移动登录助手为用户生成一个安全令牌并将安全令牌暂存在移动登录系统,暂存的安全令牌用安全令牌标识数据标识;信息系统客户端利用安全令牌标识数据标识从移动登录系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;基于本发明专利技术无需对信息系统的服务端系统进行改动、进行移动登录功能集成或者仅需小改动即可实现基于移动终端的用户登录。
【技术实现步骤摘要】
本专利技术属于信息安全
,特别是。
技术介绍
我们在访问网络信息系统或应用系统时可能会遇到以下问题。—是,当我们在网吧等公共环境使用公共计算机登录我们要访问的信息系统或应用系统时,如登录QQ、支付宝,由于公共计算机可能被安置了木马,我们登录系统的帐户名、口令存在被窃取的风险(即便是动态口令,也不能避免这种安全风险)。二是,我们在不同的信息系统或应用系统的帐户名、口令多了很容易忘记、混淆。三是,在一些安全性要求高的场合,我们需要使用存放有数字证书及私钥的USBKey等密码硬件,但是如果有多个USB Key密码硬件需要携带,会给用户带来不便。针对这些问题,本专利技术申请人在其专利申请“一种基于移动通信终端和短信的登录方法”(申请号:201510225152.6),“一种基于手机登录的系统及登录方法”(申请号:201410395338.1),“一种面向信息系统的异步登录方法” (201510393405.0),以及腾讯、百度的一系列专利中提出了基于移动终端的解决方案,这些方案的共同特点是:在用户使用计算机登录一个信息系统或应用系统时,用户使用移动终端在信息系统或应用系统或者一个登录辅助系统完成登录操作,从而实现用户使用计算机在信息系统或应用系统上的登录。这样可以做到:用户无需在计算机上输入帐户名、口令,从而避免了在公共计算机上帐户名、口令被窃取的风险;将用户在不同信息系统或应用系统缓存在用户手机等移动终端中,在用户使用移动终端进行登录操作时,登录程序自动从移动终端获取相应的帐户名、口令;可以将移动终端作为一个存放不同数字证书及私钥的密码硬件装置,从而避免了随身携带(不同)密码硬件的麻烦。但是,以上方案也存在一些不足,这些方案需要对信息系统或应用系统的后台进行相应改造,以便与引入的移动登录功能集成,但这在很多情况下这样做是困难的或不便的,特别是对于已部署的系统。
技术实现思路
本专利技术的目的是提出一种无需对信息系统或应用系统的服务端系统(后台)进行修改以及与移动登录功能集成、或者仅需对服务端系统进行微小修改即可集成移动登录功能的基于移动终端的系统登录方法,以克服现有技术方案的不足。为了实现上述目的,本专利技术提出的技术方案是:,所述方法如下:当用户在计算机上使用信息系统客户端访问一个尚未登录的信息系统时,信息系统启动用户登录操作(即用户身份鉴别);信息系统客户端显示一个安全令牌标识数据;用户通过运行在移动终端中的移动登录助手使用用户身份凭证在移动登录系统完成登录(即身份鉴别);在通过移动登录助手在移动登录系统进行登录操作的过程中,用户将信息系统客户端显示的安全令牌标识数据输入到移动登录助手;在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手将安全令牌标识数据提交到移动登录系统,移动登录系统为用户生成一个登录信息系统的安全令牌并将生成的安全令牌暂存在移动登录系统,暂存在移动登录系统的安全令牌用移动登录助手提交的安全令牌标识数据或安全令牌标识数据的导出数据标识;或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统为用户生成一个登录信息系统的安全令牌,移动登录系统将生成的安全令牌返回给移动登录助手,由移动登录助手将安全令牌提交到移动登录系统的安全令牌暂存子系统暂存(对应移动登录系统由安全令牌签发系统扩展而来的情形),暂存在移动登录系统的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手使用用户身份凭证为用户生成一个登录信息系统的安全令牌,并将生成的安全令牌提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;用户所使用的信息系统客户端利用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统或移动登录系统的安全令牌暂存子系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;所述信息系统是一个通过网络提供预定功能服务的系统(即提供预定功能的应用系统);所述信息系统客户端是信息系统的用户端程序(包括专用客户端或通用客户端,如浏览器);所述安全令牌标识数据是一个随机字串或者是一个包含随机字串的数据;所述安全令牌标识数据由信息系统或信息系统客户端生成;所述移动终端是一种具有数据网络联网能力的便携式计算装置(如移动通信装置、平板电脑、智能穿戴设备等);所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用信息系统客户端进行信息系统登录操作的程序;所述移动登录系统是一个在用户使用计算机上的信息系统客户端登录信息系统过程中通过用户的移动终端帮助信息系统客户端在信息系统完成登录操作的系统;所述移动登录系统是一个独立的系统或者是信息系统的一个组件;所述移动登录系统的安全令牌暂存子系统是移动登录系统用于暂存安全令牌的一个子系统;用户在移动登录系统进行登录时所用的身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在移动登录系统中的帐户名,或者与用户在移动登录系统的帐户名对应的、用于标识用户身份的数据(如数字证书);所述私密数据是用于证明用户就是身份凭证的拥有者的数据;用户在移动登录系统的身份凭证或帐户与用户在信息系统的身份凭证或帐户相同或不同;所述安全令牌是由移动登录系统或移动登录助手生成的一次性或临时性的身份证明数据,或者是由移动登录助手生成的包含用户身份凭证包括私密数据(如帐户名、口令)的身份证明数据;所述临时性是指仅在指定或预定的时间期限内有效;若所述安全令牌是由所述移动登录系统生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名,具有有效期限并能防止伪造和篡改(如通过公钥数字签名或对称密钥HMAC签名);若所述安全令牌是由所述移动登录助手生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名以及使用用户身份凭证的私密数据运算处理后得到的数据(如用私钥或对称密钥对信息系统返回的挑战码进行签名后的数据,或者基于时间生成的动态口令等);暂存在移动登录系统中的安全令牌超过预定的时间期限未被信息系统客户端获取则被删除。若信息系统客户端以条码的形式显示所述安全令牌标识数据,且所述移动终端有摄像头,则移动终端调用条码扫描程序通过摄像头获取信息系统客户端显示的条码,从条码中获得安全令牌标识数据;若信息系统客户端显示的条码中除了所述安全令牌标识数据外,还包括信息系统返回的登录鉴别数据(如挑战码),则移动登录助手从扫描的条码中获得登录鉴别数据,并在用户通过移动登录助手在移动登录系统完成登录后,由移动登录系统利用登录鉴别数据生成用户登录信息系统的安全令牌,或者由移动登录助手利用用户身份凭证的私密数据以及登录鉴别数据生成用户登录信息系统的安全令牌。信息系统客户端和移动登录助手之间共享所述安全令牌标识数据的另一种方式是:在移动登录助手登录移动登录系统过程中,移动登录助手生成安全令牌标识数据并以字符串的形式显示,用户将移动登录助手显示的安全令牌标识数据用手工方式输入到信息系统客户端的人机界面,并提交给信息系统客户端。所述移动登录助手和信息系统客户端,或者移动登录系统和信息系统客户端,利用安全令牌标识数据的导出数据作为本文档来自技高网...
【技术保护点】
一种基于移动终端的系统登录方法,其特征是:当用户在计算机上使用信息系统客户端访问一个尚未登录的信息系统时,信息系统启动用户登录操作;信息系统客户端显示一个安全令牌标识数据;用户通过运行在移动终端中的移动登录助手使用用户身份凭证在移动登录系统完成登录;在通过移动登录助手在移动登录系统进行登录操作的过程中,用户将信息系统客户端显示的安全令牌标识数据输入到移动登录助手;在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手将安全令牌标识数据提交到移动登录系统,移动登录系统为用户生成一个登录信息系统的安全令牌并将生成的安全令牌暂存在移动登录系统,暂存在移动登录系统的安全令牌用移动登录助手提交的安全令牌标识数据或安全令牌标识数据的导出数据标识;或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统为用户生成一个登录信息系统的安全令牌,移动登录系统将生成的安全令牌返回给移动登录助手,由移动登录助手将安全令牌提交到移动登录系统的安全令牌暂存子系统暂存,暂存在移动登录系统的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手使用用户身份凭证为用户生成一个登录信息系统的安全令牌,并将生成的安全令牌提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;用户所使用的信息系统客户端利用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统或移动登录系统的安全令牌暂存子系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;所述信息系统是一个通过网络提供预定功能服务的系统;所述信息系统客户端是信息系统的用户端程序;所述安全令牌标识数据是一个随机字串或者是一个包含随机字串的数据;所述安全令牌标识数据由信息系统或信息系统客户端生成;所述移动终端是一种具有数据网络联网能力的便携式计算装置;所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用信息系统客户端进行信息系统登录操作的程序;所述移动登录系统是一个在用户使用计算机上的信息系统客户端登录信息系统过程中通过用户的移动终端帮助信息系统客户端在信息系统完成登录操作的系统;所述移动登录系统是一个独立的系统或者是信息系统的一个组件;所述移动登录系统的安全令牌暂存子系统是移动登录系统用于暂存安全令牌的一个子系统;用户在移动登录系统进行登录时所用的身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在移动登录系统中的帐户名,或者与用户在移动登录系统的帐户名对应的、用于标识用户身份的数据;所述私密数据是用于证明用户就是身份凭证的拥有者的数据;用户在移动登录系统的身份凭证或帐户与用户在信息系统的身份凭证或帐户相同或不同;所述安全令牌是由移动登录系统或移动登录助手生成的一次性或临时性的身份证明数据,或者是由移动登录助手生成的包含用户身份凭证包括私密数据的身份证明数据;所述临时性是指仅在指定或预定的时间期限内有效;若所述安全令牌是由所述移动登录系统生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名,具有有效期限并能防止伪造和篡改;若所述安全令牌是由所述移动登录助手生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名以及使用用户身份凭证的私密数据运算处理后得到的数据;暂存在移动登录系统中的安全令牌超过预定的时间期限未被信息系统客户端获取则被删除。...
【技术特征摘要】
【专利技术属性】
技术研发人员:龙毅宏,
申请(专利权)人:武汉理工大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。