一种基于移动终端的系统登录方法
【技术领域】
[0001]本发明属于信息安全技术领域,特别是一种基于移动终端的系统登录方法。
【背景技术】
[0002]我们在访问网络信息系统或应用系统时可能会遇到以下问题。
[0003]—是,当我们在网吧等公共环境使用公共计算机登录我们要访问的信息系统或应用系统时,如登录QQ、支付宝,由于公共计算机可能被安置了木马,我们登录系统的帐户名、口令存在被窃取的风险(即便是动态口令,也不能避免这种安全风险)。
[0004]二是,我们在不同的信息系统或应用系统的帐户名、口令多了很容易忘记、混淆。
[0005]三是,在一些安全性要求高的场合,我们需要使用存放有数字证书及私钥的USBKey等密码硬件,但是如果有多个USB Key密码硬件需要携带,会给用户带来不便。
[0006]针对这些问题,本发明申请人在其专利申请“一种基于移动通信终端和短信的登录方法”(申请号:201510225152.6),“一种基于手机登录的系统及登录方法”(申请号:201410395338.1),“一种面向信息系统的异步登录方法” (201510393405.0),以及腾讯、百度的一系列专利中提出了基于移动终端的解决方案,这些方案的共同特点是:在用户使用计算机登录一个信息系统或应用系统时,用户使用移动终端在信息系统或应用系统或者一个登录辅助系统完成登录操作,从而实现用户使用计算机在信息系统或应用系统上的登录。这样可以做到:用户无需在计算机上输入帐户名、口令,从而避免了在公共计算机上帐户名、口令被窃取的风险;将用户在不同信息系统或应用系统缓存在用户手机等移动终端中,在用户使用移动终端进行登录操作时,登录程序自动从移动终端获取相应的帐户名、口令;可以将移动终端作为一个存放不同数字证书及私钥的密码硬件装置,从而避免了随身携带(不同)密码硬件的麻烦。
[0007]但是,以上方案也存在一些不足,这些方案需要对信息系统或应用系统的后台进行相应改造,以便与引入的移动登录功能集成,但这在很多情况下这样做是困难的或不便的,特别是对于已部署的系统。
【发明内容】
[0008]本发明的目的是提出一种无需对信息系统或应用系统的服务端系统(后台)进行修改以及与移动登录功能集成、或者仅需对服务端系统进行微小修改即可集成移动登录功能的基于移动终端的系统登录方法,以克服现有技术方案的不足。
[0009]为了实现上述目的,本发明提出的技术方案是:
[0010]一种基于移动终端的系统登录方法,所述方法如下:
[0011]当用户在计算机上使用信息系统客户端访问一个尚未登录的信息系统时,信息系统启动用户登录操作(即用户身份鉴别);信息系统客户端显示一个安全令牌标识数据;
[0012]用户通过运行在移动终端中的移动登录助手使用用户身份凭证在移动登录系统完成登录(即身份鉴别);在通过移动登录助手在移动登录系统进行登录操作的过程中,用户将信息系统客户端显示的安全令牌标识数据输入到移动登录助手;
[0013]在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手将安全令牌标识数据提交到移动登录系统,移动登录系统为用户生成一个登录信息系统的安全令牌并将生成的安全令牌暂存在移动登录系统,暂存在移动登录系统的安全令牌用移动登录助手提交的安全令牌标识数据或安全令牌标识数据的导出数据标识;
[0014]或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录系统为用户生成一个登录信息系统的安全令牌,移动登录系统将生成的安全令牌返回给移动登录助手,由移动登录助手将安全令牌提交到移动登录系统的安全令牌暂存子系统暂存(对应移动登录系统由安全令牌签发系统扩展而来的情形),暂存在移动登录系统的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;
[0015]或者,在用户通过移动登录助手在移动登录系统完成登录后,移动登录助手使用用户身份凭证为用户生成一个登录信息系统的安全令牌,并将生成的安全令牌提交到移动登录系统暂存,暂存的安全令牌用安全令牌标识数据或安全令牌标识数据的导出数据标识;
[0016]用户所使用的信息系统客户端利用安全令牌标识数据或安全令牌标识数据的导出数据从移动登录系统或移动登录系统的安全令牌暂存子系统获得暂存的安全令牌,然后使用安全令牌在信息系统完成登录操作;
[0017]所述信息系统是一个通过网络提供预定功能服务的系统(即提供预定功能的应用系统);所述信息系统客户端是信息系统的用户端程序(包括专用客户端或通用客户端,如浏览器);
[0018]所述安全令牌标识数据是一个随机字串或者是一个包含随机字串的数据;所述安全令牌标识数据由信息系统或信息系统客户端生成;
[0019]所述移动终端是一种具有数据网络联网能力的便携式计算装置(如移动通信装置、平板电脑、智能穿戴设备等);
[0020]所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用信息系统客户端进行信息系统登录操作的程序;
[0021]所述移动登录系统是一个在用户使用计算机上的信息系统客户端登录信息系统过程中通过用户的移动终端帮助信息系统客户端在信息系统完成登录操作的系统;所述移动登录系统是一个独立的系统或者是信息系统的一个组件;所述移动登录系统的安全令牌暂存子系统是移动登录系统用于暂存安全令牌的一个子系统;
[0022]用户在移动登录系统进行登录时所用的身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在移动登录系统中的帐户名,或者与用户在移动登录系统的帐户名对应的、用于标识用户身份的数据(如数字证书);所述私密数据是用于证明用户就是身份凭证的拥有者的数据;用户在移动登录系统的身份凭证或帐户与用户在信息系统的身份凭证或帐户相同或不同;
[0023]所述安全令牌是由移动登录系统或移动登录助手生成的一次性或临时性的身份证明数据,或者是由移动登录助手生成的包含用户身份凭证包括私密数据(如帐户名、口令)的身份证明数据;所述临时性是指仅在指定或预定的时间期限内有效;若所述安全令牌是由所述移动登录系统生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名,具有有效期限并能防止伪造和篡改(如通过公钥数字签名或对称密钥HMAC签名);若所述安全令牌是由所述移动登录助手生成的一次性或临时性的身份证明数据,则所述安全令牌中包含有用户在信息系统的帐户名以及使用用户身份凭证的私密数据运算处理后得到的数据(如用私钥或对称密钥对信息系统返回的挑战码进行签名后的数据,或者基于时间生成的动态口令等);暂存在移动登录系统中的安全令牌超过预定的时间期限未被信息系统客户端获取则被删除。
[0024]若信息系统客户端以条码的形式显示所述安全令牌标识数据,且所述移动终端有摄像头,则移动终端调用条码扫描程序通过摄像头获取信息系统客户端显示的条码,从条码中获得安全令牌标识数据;
[0025]若信息系统客户端显示的条码中除了所述安全令牌标识数据外,还包括信息系统返回的登录鉴别数据(如挑战码),则移动登录助手从扫描的条码中获得登录鉴别数据,并在用户通过移动登录助手在移动登录系统完成登录后,由移动登录系统利用登录鉴别数据生成用户登录信息系统的安全令牌,或者由移动登录助手利用用户身份凭证的私密数据以及登录鉴别数据生成用户登录信息系统的安全令牌。
[0026]信息系统客户端和移动登录助手之间共享所述安全令牌标识数据的另一种方式是:在移动登录助手登录移动登录系统过程中,移动登录助手生成安全令牌标识数据并以字符串的形式显示,用户将移动登录助手显示的安全令牌标识数据用手工方式输入到信息系统客户端的人机界面,并提交给信息系统客户端。
[0027]所述移动登录助手和信息系统客户端,或者移动登录系统和信息系统客户端,利用安全令牌标识数据的导出数据作为密钥,用于对安全令牌进行安全保护,包括加密和解
I_L| ο
[0028]从以上描述可以看到,基于本发明的方法:无需信息系统(或应用系统)后台与引入的移动登录功能进行集成;对于一个已部署的信息系统,系统仍然可以采用原有的用户登录(身份鉴别)方式;若已部署的信息系统是Web系统,只需对Web系统的登录页面进行改动或替换即可;若已部署的信息系统是非Web系统,则只需对其客户端进行修改或替换即可,无需对对信息系统的服务端系统(后台)进行修改。
[0029]需指出的是,本发明的方法与腾讯、百度的基于移动终端及条码的系统登录方法的不同,除了无需信息系统后台与引入的移动登录功能进行集成及一些具体技术方式不同外(如条码不是必须的、安全令牌标识数据可以由移动终端中的移动登录助手生成),最大的不同之处还有在于,本发明中的移动登录系统可以是一个与信息系统(或应用系统)独立的身份服务系统,如Kerberos KDC、SAML IdP或WS_Fedeat1n STS (此时对应于安全令牌由移动登录系统生成的情形),或者仅是一个暂存安全令牌的中介系统(此时对应于安全令牌由移动登录助手生成的情形);当移动登录系统纯粹是一个暂存安全令牌的中介系统时,用户在移动登录系统进行登录(身份鉴别)的目的是防止移动登录系统的资源被滥用,或者防止针对移动登录系统的DoS攻击,即在移动登录系统登录的目的是出于对移动登录系统资源的安全保护;无论移动登录系统是一个身份服务系统还是一个暂存数据的中介系统,用户都无需使用移动终端在信息系统(或应用系统)登录,而腾讯、百度的方法,用户都需要使用移动终端在信息系统(或应用系统)登录。
【附图说明】
[0030]图1为本发明针对信息系统的系统登录方法的示意图。
【具体实施方式】
[0031]下面结合附图和实施例对本发明作进一步的描述。
[0032]实施例一、
[0033]信息系统原本采用一个身份服务系统(如Kerberos KDC、SAML IdentityProvider 或 WS-Federat1n 的 Security Token Services)签发的安全令牌(KerberosTicket、SAML断言,WS-Federat1n安全令牌)进行用户登录鉴别。这时可采用的实