一種基于移動終端的系統登錄方法
【技術領域】
[0001]本發明屬于信息安全技術領域,特別是一種基于移動終端的系統登錄方法。
【背景技術】
[0002]我們在訪問網絡信息系統或應用系統時可能會遇到以下問題。
[0003]—是,當我們在網吧等公共環境使用公共計算機登錄我們要訪問的信息系統或應用系統時,如登錄QQ、支付寶,由于公共計算機可能被安置了木馬,我們登錄系統的帳戶名、口令存在被竊取的風險(即便是動態口令,也不能避免這種安全風險)。
[0004]二是,我們在不同的信息系統或應用系統的帳戶名、口令多了很容易忘記、混淆。
[0005]三是,在一些安全性要求高的場合,我們需要使用存放有數字證書及私鑰的USBKey等密碼硬件,但是如果有多個USB Key密碼硬件需要攜帶,會給用戶帶來不便。
[0006]針對這些問題,本發明申請人在其專利申請“一種基于移動通信終端和短信的登錄方法”(申請號:201510225152.6),“一種基于手機登錄的系統及登錄方法”(申請號:201410395338.1),“一種面向信息系統的異步登錄方法” (201510393405.0),以及騰訊、百度的一系列專利中提出了基于移動終端的解決方案,這些方案的共同特點是:在用戶使用計算機登錄一個信息系統或應用系統時,用戶使用移動終端在信息系統或應用系統或者一個登錄輔助系統完成登錄操作,從而實現用戶使用計算機在信息系統或應用系統上的登錄。這樣可以做到:用戶無需在計算機上輸入帳戶名、口令,從而避免了在公共計算機上帳戶名、口令被竊取的風險;將用戶在不同信息系統或應用系統緩存在用戶手機等移動終端中,在用戶使用移動終端進行登錄操作時,登錄程序自動從移動終端獲取相應的帳戶名、口令;可以將移動終端作為一個存放不同數字證書及私鑰的密碼硬件裝置,從而避免了隨身攜帶(不同)密碼硬件的麻煩。
[0007]但是,以上方案也存在一些不足,這些方案需要對信息系統或應用系統的后臺進行相應改造,以便與引入的移動登錄功能集成,但這在很多情況下這樣做是困難的或不便的,特別是對于已部署的系統。
【發明內容】
[0008]本發明的目的是提出一種無需對信息系統或應用系統的服務端系統(后臺)進行修改以及與移動登錄功能集成、或者僅需對服務端系統進行微小修改即可集成移動登錄功能的基于移動終端的系統登錄方法,以克服現有技術方案的不足。
[0009]為了實現上述目的,本發明提出的技術方案是:
[0010]一種基于移動終端的系統登錄方法,所述方法如下:
[0011]當用戶在計算機上使用信息系統客戶端訪問一個尚未登錄的信息系統時,信息系統啟動用戶登錄操作(即用戶身份鑒別);信息系統客戶端顯示一個安全令牌標識數據;
[0012]用戶通過運行在移動終端中的移動登錄助手使用用戶身份憑證在移動登錄系統完成登錄(即身份鑒別);在通過移動登錄助手在移動登錄系統進行登錄操作的過程中,用戶將信息系統客戶端顯示的安全令牌標識數據輸入到移動登錄助手;
[0013]在用戶通過移動登錄助手在移動登錄系統完成登錄后,移動登錄助手將安全令牌標識數據提交到移動登錄系統,移動登錄系統為用戶生成一個登錄信息系統的安全令牌并將生成的安全令牌暫存在移動登錄系統,暫存在移動登錄系統的安全令牌用移動登錄助手提交的安全令牌標識數據或安全令牌標識數據的導出數據標識;
[0014]或者,在用戶通過移動登錄助手在移動登錄系統完成登錄后,移動登錄系統為用戶生成一個登錄信息系統的安全令牌,移動登錄系統將生成的安全令牌返回給移動登錄助手,由移動登錄助手將安全令牌提交到移動登錄系統的安全令牌暫存子系統暫存(對應移動登錄系統由安全令牌簽發系統擴展而來的情形),暫存在移動登錄系統的安全令牌用安全令牌標識數據或安全令牌標識數據的導出數據標識;
[0015]或者,在用戶通過移動登錄助手在移動登錄系統完成登錄后,移動登錄助手使用用戶身份憑證為用戶生成一個登錄信息系統的安全令牌,并將生成的安全令牌提交到移動登錄系統暫存,暫存的安全令牌用安全令牌標識數據或安全令牌標識數據的導出數據標識;
[0016]用戶所使用的信息系統客戶端利用安全令牌標識數據或安全令牌標識數據的導出數據從移動登錄系統或移動登錄系統的安全令牌暫存子系統獲得暫存的安全令牌,然后使用安全令牌在信息系統完成登錄操作;
[0017]所述信息系統是一個通過網絡提供預定功能服務的系統(即提供預定功能的應用系統);所述信息系統客戶端是信息系統的用戶端程序(包括專用客戶端或通用客戶端,如瀏覽器);
[0018]所述安全令牌標識數據是一個隨機字串或者是一個包含隨機字串的數據;所述安全令牌標識數據由信息系統或信息系統客戶端生成;
[0019]所述移動終端是一種具有數據網絡聯網能力的便攜式計算裝置(如移動通信裝置、平板電腦、智能穿戴設備等);
[0020]所述移動登錄助手是在用戶的移動終端中安裝并運行的一個用于幫助用戶使用信息系統客戶端進行信息系統登錄操作的程序;
[0021]所述移動登錄系統是一個在用戶使用計算機上的信息系統客戶端登錄信息系統過程中通過用戶的移動終端幫助信息系統客戶端在信息系統完成登錄操作的系統;所述移動登錄系統是一個獨立的系統或者是信息系統的一個組件;所述移動登錄系統的安全令牌暫存子系統是移動登錄系統用于暫存安全令牌的一個子系統;
[0022]用戶在移動登錄系統進行登錄時所用的身份憑證由用戶標識數據和私密數據組成;所述用戶標識數據是用戶在移動登錄系統中的帳戶名,或者與用戶在移動登錄系統的帳戶名對應的、用于標識用戶身份的數據(如數字證書);所述私密數據是用于證明用戶就是身份憑證的擁有者的數據;用戶在移動登錄系統的身份憑證或帳戶與用戶在信息系統的身份憑證或帳戶相同或不同;
[0023]所述安全令牌是由移動登錄系統或移動登錄助手生成的一次性或臨時性的身份證明數據,或者是由移動登錄助手生成的包含用戶身份憑證包括私密數據(如帳戶名、口令)的身份證明數據;所述臨時性是指僅在指定或預定的時間期限內有效;若所述安全令牌是由所述移動登錄系統生成的一次性或臨時性的身份證明數據,則所述安全令牌中包含有用戶在信息系統的帳戶名,具有有效期限并能防止偽造和篡改(如通過公鑰數字簽名或對稱密鑰HMAC簽名);若所述安全令牌是由所述移動登錄助手生成的一次性或臨時性的身份證明數據,則所述安全令牌中包含有用戶在信息系統的帳戶名以及使用用戶身份憑證的私密數據運算處理后得到的數據(如用私鑰或對稱密鑰對信息系統返回的挑戰碼進行簽名后的數據,或者基于時間生成的動態口令等);暫存在移動登錄系統中的安全令牌超過預定的時間期限未被信息系統客戶端獲取則被刪除。
[0024]若信息系統客戶端以條碼的形式顯示所述安全令牌標識數據,且所述移動終端有攝像頭,則移動終端調用條碼掃描程序通過攝像頭獲取信息系統客戶端顯示的條碼,從條碼中獲得安全令牌標識數據;
[0025]若信息系統客戶端顯示的條碼中除了所述安全令牌標識數據外,還包括信息系統返回的登錄鑒別數據(如挑戰碼),則移動登錄助手從掃描的條碼中獲得登錄鑒別數據,并在用戶通過移動登錄助手在移動登錄系統完成登錄后,由移動登錄系統利用登錄鑒別數據生成用戶登錄信息系統的安全令牌,或者由移動登錄助手利用用戶身份憑證的私密數據以及登錄鑒別數據生成用戶登錄信息系統的安全令牌。
[0026]信息系統客戶端和移動登錄助手之間共享所述安全令牌標識數據的另一種方式是:在移動登錄助手登錄移動登錄系統過程中,移動登錄助手生成安全令牌標識數據并以字符串的形式顯示,用戶將移動登錄助手顯示的安全令牌標識數據用手工方式輸入到信息系統客戶端的人機界面,并提交給信息系統客戶端。
[0027]所述移動登錄助手和信息系統客戶端,或者移動登錄系統和信息系統客戶端,利用安全令牌標識數據的導出數據作為密鑰,用于對安全令牌進行安全保護,包括加密和解
I_L| ο
[0028]從以上描述可以看到,基于本發明的方法:無需信息系統(或應用系統)后臺與引入的移動登錄功能進行集成;對于一個已部署的信息系統,系統仍然可以采用原有的用戶登錄(身份鑒別)方式;若已部署的信息系統是Web系統,只需對Web系統的登錄頁面進行改動或替換即可;若已部署的信息系統是非Web系統,則只需對其客戶端進行修改或替換即可,無需對對信息系統的服務端系統(后臺)進行修改。
[0029]需指出的是,本發明的方法與騰訊、百度的基于移動終端及條碼的系統登錄方法的不同,除了無需信息系統后臺與引入的移動登錄功能進行集成及一些具體技術方式不同外(如條碼不是必須的、安全令牌標識數據可以由移動終端中的移動登錄助手生成),最大的不同之處還有在于,本發明中的移動登錄系統可以是一個與信息系統(或應用系統)獨立的身份服務系統,如Kerberos KDC、SAML IdP或WS_Fedeat1n STS (此時對應于安全令牌由移動登錄系統生成的情形),或者僅是一個暫存安全令牌的中介系統(此時對應于安全令牌由移動登錄助手生成的情形);當移動登錄系統純粹是一個暫存安全令牌的中介系統時,用戶在移動登錄系統進行登錄(身份鑒別)的目的是防止移動登錄系統的資源被濫用,或者防止針對移動登錄系統的DoS攻擊,即在移動登錄系統登錄的目的是出于對移動登錄系統資源的安全保護;無論移動登錄系統是一個身份服務系統還是一個暫存數據的中介系統,用戶都無需使用移動終端在信息系統(或應用系統)登錄,而騰訊、百度的方法,用戶都需要使用移動終端在信息系統(或應用系統)登錄。
【附圖說明】
[0030]圖1為本發明針對信息系統的系統登錄方法的示意圖。
【具體實施方式】
[0031]下面結合附圖和實施例對本發明作進一步的描述。
[0032]實施例一、
[0033]信息系統原本采用一個身份服務系統(如Kerberos KDC、SAML IdentityProvider 或 WS-Federat1n 的 Security Token Services)簽發的安全令牌(KerberosTicket、SAML斷言,WS-Federat1n安全令牌)進行用戶登錄鑒別。這時可采用的實