CN109460647B - 一种多设备安全登录的方法 - Google Patents
一种多设备安全登录的方法 Download PDFInfo
- Publication number
- CN109460647B CN109460647B CN201811340284.3A CN201811340284A CN109460647B CN 109460647 B CN109460647 B CN 109460647B CN 201811340284 A CN201811340284 A CN 201811340284A CN 109460647 B CN109460647 B CN 109460647B
- Authority
- CN
- China
- Prior art keywords
- server
- login
- user
- logged
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种多设备安全登录的方法,该方法在用户登录设备时,判断是否存在已登录设备,若无已登录设备,则正常使用账号密码登录,否则用户通过已登录设备来决定该设备是否可以登录。该方法方便用户登录多个设备,提高了多设备登录的安全性。
Description
【技术领域】
本发明属于信息安全领域,尤其涉及一种多设备安全登录的方法。
【背景技术】
随着移动互联网的发展,用户常常需要在多个设备上登录相同的账号,例如在多个智能手机、平板电脑等设备上同时登录相同的账号。现有技术中,用户在登录一个设备时,都需要输入账号和密码,由服务器对账号密码进行校验,校验通过,则服务器允许该设备登录,之后在一定时间内该设备可保持登录状态。但是,在这种方式下,一旦用户的账号密码泄露,或者处于登录状态的设备遗失,就会导致恶意用户可以直接冒充该用户进行操作,可能给用户带来极大损失。
【发明内容】
为了解决上述问题,本发明提出了一种多设备安全登录的方法。
本发明采用的技术方案如下:
一种多设备安全登录的方法,包括以下步骤:
(1)用户使用一个设备A连接远程服务器,并输入其账号向服务器请求登录,服务器从数据库中获取该账号当前已登录的设备信息,设当前已登录的设备有n台,如果n=0,则服务器要求该设备A输入该账号的密码,用户再通过设备A输入其密码,所述设备A构造一个请求登录消息发送给所述服务器;如果n>0,则转到步骤4;
(2)所述服务器基于接收到的请求登录消息,对用户输入的账号和密码的正确性进行验证,如果验证不通过,则直接拒绝该用户登录,否则继续后续步骤;
(3)服务器在账号密码验证通过后,允许该设备A登录,并将该设备A作为已登录设备,在数据库中记录其相关信息,登录过程结束;
(4)服务器同时向所述n台已登录设备发送询问消息,所述询问消息中包括了所述设备A的相关信息;
(5)每台接收到所述询问消息的已登录设备,在其屏幕上显示所述设备A的相关信息,并询问用户是否允许该设备A登录;
(6)所述已登录设备根据用户的输入,向服务器返回答复消息;
(7)所述服务器在发送询问消息后,等待各个已登录设备的答复消息,根据在预定义的时间内收到的答复消息,决定是否允许设备A的登录。
进一步地,所述步骤7中,根据收到的答复消息,分为三种情况:
情况1:在预定义的时间内,没有收到已登录设备的答复消息,则所述服务器拒绝该设备A的登录;
情况2:在预定义的时间内,收到的第一个答复消息表示允许设备A的登录,则服务器首先允许该设备A的登录;然后服务器继续等待,如果在预定义的时间内,没有收到拒绝设备A登录的答复消息,则方法结束;如果在预定义的时间内,又收到了一个或多个拒绝设备A登录的答复消息,则服务器根据收到的所有答复消息进行综合判断,基于综合判断的结果决定是否中止设备A的登录;
情况3:在预定义的时间内,服务器收到的第一个答复消息表示拒绝设备A的登录,则服务器等待到预定义时间结束,基于收到的所有答复消息进行综合判断,基于综合判断的结果决定是否允许设备A的登录。
进一步地,所述综合判断的具体步骤如下:
假设服务器收到了K个答复消息M1,M2,……,MK,答复消息Mi来自于设备Si,其中Mi中包括Resulti(1≤i≤K);如果设备Si的用户允许设备A的登录,则Resulti=1,否则Resulti=0;服务器获取设备Si的已登录时间Ti,计算综合判断值R,即:
其中
如果R大于预定义的阈值,则允许设备A的登录,否则中止或拒绝设备A的登录。
进一步地,所述阈值为0.3。
进一步地,当服务器允许设备A登录时,其为该设备A生成一个登录令牌Token,并将该登录令牌发送给设备A;
所述登录令牌Token=E(account,ID,Endtime);其中,account是用户账号,ID是所述设备A的唯一标识符,Endtime是该登录令牌的过期时间,函数E是一个加密函数,其使用服务器的私钥进行加密。
进一步地,所述设备A的相关信息包括设备A的名称以及该设备A所在的地理位置。
进一步地,对于一个已登录设备B,其返回答复消息MB={Result,ID,Token};其中,Result值表示用户的输入,如果用户在设备B上输入允许该设备A登录,则Result=1,否则Result=0;ID是该已登录设备B的标识符,Token是该已登录设备B的登录令牌。
进一步地,对于收到的每一个答复消息,服务器根据其中的标识符和登录令牌来验证该答复消息的合法性,如果不合法则直接忽略该答复消息,否则存储该答复消息。
进一步地,其特征在于,所述预定义的时间为1分钟。
本发明的有益效果为:方便用户登录多个设备,提高了多设备登录的安全性。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明多设备的连接结构图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
参见附图1,其示出了本发明多设备的连接结构,用户使用的多个设备可同时通过互联网连接到远程服务器,用户通过其中任意一个设备都可以登录该服务器。基于这一结构,下面对本发明的方法进行详细说明。
本发明方法的具体步骤如下:
(1)用户使用一个设备A连接远程服务器,并输入其账号向服务器请求登录,服务器从数据库中获取该账号当前已登录的设备信息,设当前已登录的设备有n台,如果n=0,则服务器要求该设备A输入该账号的密码,用户再通过设备A输入其密码,所述设备A构造一个请求登录消息发送给所述服务器;如果n>0,则转到步骤4。
需要说明的是,各个设备和服务器之间的通信都是在安全信道中进行的,例如通过https协议,在这一点上和现有的登录过程一样,在此不再赘述。
所述请求登录消息中包括了所述账号、所述密码的哈希值、所述设备A的名称和设备A的唯一标识符。
设备的名称通常是机器名,以方便用户识别;而设备的唯一标识符是用于唯一标识每个设备的ID,例如,对于智能手机而言,所述唯一标识符可以使用其IMEI码,对于普通计算机而言,可以使用其MAC地址。
提供登录界面的可以是设备上的一个APP,也可以是设备操作系统,本发明对此不作限制。
(2)所述服务器基于接收到的请求登录消息,对用户输入的账号和密码的正确性进行验证,如果验证不通过,则直接拒绝该用户登录,否则继续后续步骤。
这一步骤中,账号和密码的正确性验证与现有技术相同,即根据账号查询注册数据库,如果能查询到该账号,则判断密码的哈希值与数据库中存储的密码哈希值是否相同,如果相同则验证通过,否则验证不通过。
(3)服务器在账号密码验证通过后,允许该设备A登录,并将该设备A作为已登录设备,在数据库中记录其相关信息,登录过程结束。
具体的,当服务器允许该设备A登录时,其为该设备A生成一个登录令牌Token,并将该登录令牌发送给设备A,之后设备A就可以持该登录令牌访问服务器。
所述登录令牌Token=E(account,ID,Endtime);其中,account是所述账号,ID是所述设备A的唯一标识符,Endtime是该登录令牌的过期时间。函数E是一个加密函数,其使用服务器的私钥进行加密。
服务器在数据库中记录的设备信息也包括了上述account、ID和Endtime。当到达所述过期时间Endtime时,服务器从数据库中删除该设备A的信息,这样设备A就不再作为一个已登录设备。
设备A在登录后,访问服务器时都需要提供该登录令牌,服务器使用其公钥对登录令牌进行解密,将解密信息和数据库中的设备信息进行匹配,只有两者相匹配,才允许该设备A的访问。
(4)服务器同时向所述n台已登录设备发送询问消息,所述询问消息中包括了所述设备A的相关信息。
发送询问消息的目的是为了询问这些已登录设备是否允许该设备A的登录,为此询问消息中的设备A的信息应当尽量明确该设备A是哪台设备。例如,询问消息中可以包括该设备A的名称以及该设备A所在的地理位置。
设备A的地理位置可以根据设备A上的定位装置(例如GPS装置)获得,设备A可在步骤1中将其定位信息与账号一起发送给服务器。或者,服务器也可以根据设备A的网络地址来得到其地理位置。
(5)每台接收到所述询问消息的已登录设备,在其屏幕上显示所述设备A的相关信息,并询问用户是否允许该设备A登录。
用户可以根据显示的设备A的相关信息,判断是否允许该设备A登录,从而在所述已登录设备上输入允许或者不允许该设备A登录。
(6)所述已登录设备根据用户的输入,向服务器返回答复消息。
具体的,对于一个已登录设备B,其返回答复消息MB={Result,ID,Token}。其中,Result值表示用户的输入,如果用户在设备B上输入允许该设备A登录,则Result=1,否则Result=0。ID是该已登录设备B的标识符,Token是该已登录设备B的登录令牌。
对于收到的每一个答复消息,服务器根据其中的标识符和登录令牌来验证该答复消息的合法性,如果不合法则直接忽略该答复消息,否则存储该答复消息,并执行后续步骤(后续步骤所说的答复消息都是已通过验证的答复消息,不再特别说明)。存储的答复消息还可用于未来的追溯和审查。
(7)所述服务器在发送询问消息后,等待各个已登录设备的答复消息,根据在预定义的时间内(例如1分钟)收到的答复消息,决定是否允许设备A的登录。
具体的,根据收到的答复消息,可以分为三种情况:
情况1:在预定义的时间内,没有收到已登录设备的答复消息,则所述服务器拒绝该设备A的登录。
情况2:在预定义的时间内,收到的第一个答复消息表示允许设备A的登录(即该答复消息中的Result值为1),则服务器首先允许该设备A的登录,为设备A生成登录令牌,并发送给设备A。然后服务器继续等待,如果在预定义的时间内,没有收到拒绝设备A登录的答复消息(即答复消息中的Result值为0),则方法结束;如果在预定义的时间内,又收到了一个或多个拒绝设备A登录的答复消息,则服务器根据收到的所有答复消息执行综合判断方法,基于综合判断方法的结果决定是否中止设备A的登录。
所述综合判断方法是综合所有答复消息的结果进行的判断,具体方法在后面介绍。
情况2是本发明方法最可能出现的情况,即用户在设备A申请登录,然后在另一个已登录设备直接允许该设备A登录。但是,为了避免用户等待时间过长,给用户造成不好的体验,在收到第一个允许登录答复消息后,服务器就首先允许设备A登录,如果后续出现了其他矛盾的答复消息,则服务器再进行进一步的判断。
情况3:在预定义的时间内,服务器收到的第一个答复消息表示拒绝设备A的登录,则服务器等待到预定义时间结束,基于收到的所有答复消息,执行综合判断方法,基于综合判断方法的结果决定是否允许设备A的登录。
下面说明综合判断方法的过程:
综合判断方法是基于服务器在预定义时间内收到的所有答复消息来决定是否允许设备A的登录,假设服务器收到了K个答复消息M1,M2,……,MK,其中Mi={Resulti,IDi,Tokeni},(1≤i≤K),Mi的含义与上述步骤6中MB的含义一样,即如果Mi所对应的设备的用户允许设备A的登录,则Resulti=1,否则Resulti=0。
设答复消息Mi来自于设备Si(1≤i≤K),服务器获取设备Si的已登录时间Ti,所述已登录时间Ti指的是设备Si最后一次登录距离现在的时间。由于设备的每次登录,服务器在数据库中都有记录,因此服务器可以获取各个已登录设备的已登录时间。
所述服务器计算一个综合判断值R,即
其中
如果R大于预定义的阈值,则应当允许设备A的登录,否则应当中止(在情况2下)或拒绝(在情况3下)设备A的登录。
优选情况下,所述预定义的阈值为0.3。
上述综合判断方法考虑了各个已登录设备的登录时间,基于登录时间赋予了设备不同的可信度。这是因为通常而言,如果一个已登录设备被盗或丢失,用户应当会很快发现,并采取措施清除该设备的登录状态,另一方面登录令牌也具有过期时间,因此登录时间越久的设备其可信度越高。
通过本发明的上述方法,用户在首次登录时,通过账号和密码登录,这一过程与现有的账号密码登录过程基本相同。但是如果用户有了已登录设备,就无需输入密码,只需要已登录设备的授权,从而提高了多设备登录的安全性,在一定程度上也方便了用户。
以上所述仅是本发明的较佳实施方式,故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰,均包括于本发明专利申请范围内。
Claims (7)
1.一种多设备安全登录的方法,其特征在于,包括以下步骤:
(1)用户使用一个设备A连接远程服务器,并输入其账号向服务器请求登录,服务器从数据库中获取该账号当前已登录的设备信息,设当前已登录的设备有n台,如果n=0,则服务器要求该设备A输入该账号的密码,用户再通过设备A输入其密码,所述设备A构造一个请求登录消息发送给所述服务器;如果n>0,则转到步骤4;
(2)所述服务器基于接收到的请求登录消息,对用户输入的账号和密码的正确性进行验证,如果验证不通过,则直接拒绝该用户登录,否则继续后续步骤;
(3)服务器在账号密码验证通过后,允许该设备A登录,并将该设备A作为已登录设备,在数据库中记录其相关信息,登录过程结束;
(4)服务器同时向所述n台已登录设备发送询问消息,所述询问消息中包括了所述设备A的相关信息;
(5)每台接收到所述询问消息的已登录设备,在其屏幕上显示所述设备A的相关信息,并询问用户是否允许该设备A登录;
(6)所述已登录设备根据用户的输入,向服务器返回答复消息;
(7)所述服务器在发送询问消息后,等待各个已登录设备的答复消息,根据在预定义的时间内收到的答复消息,决定是否允许设备A的登录;
其中,所述步骤(7)中,根据收到的答复消息,分为三种情况:
情况1:在预定义的时间内,没有收到已登录设备的答复消息,则所述服务器拒绝该设备A的登录;
情况2:在预定义的时间内,收到的第一个答复消息表示允许设备A的登录,则服务器首先允许该设备A的登录;然后服务器继续等待,如果在预定义的时间内,没有收到拒绝设备A登录的答复消息,则方法结束;如果在预定义的时间内,又收到了一个或多个拒绝设备A登录的答复消息,则服务器根据收到的所有答复消息进行综合判断,基于综合判断的结果决定是否中止设备A的登录;
情况3:在预定义的时间内,服务器收到的第一个答复消息表示拒绝设备A的登录,则服务器等待到预定义时间结束,基于收到的所有答复消息进行综合判断,基于综合判断的结果决定是否允许设备A的登录;
其中,所述综合判断的具体步骤如下:
假设服务器收到了K个答复消息M1,M2,……,MK,答复消息Mi来自于设备Si,其中Mi中包括Resulti,1≤i≤K;如果设备Si的用户允许设备A的登录,则Resulti=1,否则Resulti=0;服务器获取设备Si的已登录时间Ti,计算综合判断值R,即:
其中
如果R大于预定义的阈值,则允许设备A的登录,否则中止或拒绝设备A的登录。
2.根据权利要求1所述的方法,其特征在于,所述阈值为0.3。
3.根据权利要求1-2任意一项所述的方法,其特征在于,当服务器允许设备A登录时,其为该设备A生成一个登录令牌Token,并将该登录令牌发送给设备A;
所述登录令牌Token=E(account,ID,Endtime);其中,account是用户账号,ID是所述设备A的唯一标识符,Endtime是该登录令牌的过期时间,函数E是一个加密函数,其使用服务器的私钥进行加密。
4.根据权利要求1-2任意一项所述的方法,其特征在于,所述设备A的相关信息包括设备A的名称以及该设备A所在的地理位置。
5.根据权利要求1-2任意一项所述的方法,其特征在于,对于一个已登录设备B,其返回答复消息MB={Result,ID,Token};其中,Result值表示用户的输入,如果用户在设备B上输入允许该设备A登录,则Result=1,否则Result=0;ID是该已登录设备B的标识符,Token是该已登录设备B的登录令牌。
6.根据权利要求5所述的方法,其特征在于,对于收到的每一个答复消息,服务器根据其中的标识符和登录令牌来验证该答复消息的合法性,如果不合法则直接忽略该答复消息,否则存储该答复消息。
7.根据权利要求1-2任意一项所述的方法,其特征在于,所述预定义的时间为1分钟。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811340284.3A CN109460647B (zh) | 2018-11-12 | 2018-11-12 | 一种多设备安全登录的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811340284.3A CN109460647B (zh) | 2018-11-12 | 2018-11-12 | 一种多设备安全登录的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109460647A CN109460647A (zh) | 2019-03-12 |
CN109460647B true CN109460647B (zh) | 2022-04-05 |
Family
ID=65610057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811340284.3A Active CN109460647B (zh) | 2018-11-12 | 2018-11-12 | 一种多设备安全登录的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109460647B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110717170B (zh) * | 2019-10-09 | 2023-08-11 | 江苏重华数字科技有限公司 | 一种bim系统指纹登陆系统、方法及其装置 |
CN113162935B (zh) * | 2021-04-25 | 2022-06-24 | 东风汽车集团股份有限公司 | 一种车载终端车主账户防异常登录的方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878176A (zh) * | 2005-06-09 | 2006-12-13 | 株式会社日立制作所 | 设备管理系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102201915B (zh) * | 2010-03-22 | 2014-05-21 | 中国移动通信集团公司 | 一种基于单点登录的终端认证方法和装置 |
CN102404392A (zh) * | 2011-11-10 | 2012-04-04 | 山东浪潮齐鲁软件产业股份有限公司 | 一种Web应用或网站集成登录的方法 |
JP6004454B2 (ja) * | 2014-09-25 | 2016-10-05 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データベースへのアクセスを制御する装置及び方法 |
CN104506492B (zh) * | 2014-11-28 | 2018-04-13 | 北京奇艺世纪科技有限公司 | 一种多终端帐号同步的方法及装置 |
CN104486747A (zh) * | 2014-12-19 | 2015-04-01 | 北京奇艺世纪科技有限公司 | 一种跨终端帐号登录的方法及装置 |
CN106101103A (zh) * | 2016-06-14 | 2016-11-09 | 乐视控股(北京)有限公司 | 用户账户登录方法、装置及系统 |
CN108156169A (zh) * | 2017-12-28 | 2018-06-12 | 惠州Tcl家电集团有限公司 | 账号登录验证方法、系统及计算机可读存储介质 |
-
2018
- 2018-11-12 CN CN201811340284.3A patent/CN109460647B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878176A (zh) * | 2005-06-09 | 2006-12-13 | 株式会社日立制作所 | 设备管理系统 |
Non-Patent Citations (3)
Title |
---|
《Design and Implementation of Gigabit Data Cards with Function to Inquire Parameters of Net Ports Status》;Wenzhi Luo;《2013 International Conference on Computational and Information Sciences》;20131024;第1517-1520页 * |
《一个Java Web项目的逆向工程应用案例》;刘洁;《科技传播》;20110129(第1期);第172-173页 * |
《一个帐号多设备登录的处理》;拙_言;《https://blog.csdn.net/xcl168/article/details》;20151115;第1-5页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109460647A (zh) | 2019-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3550783B1 (en) | Internet of things device burning verification method and apparatus | |
EP3691215B1 (en) | Access token management method, terminal and server | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
AU2014262138B2 (en) | User authentication | |
KR101451359B1 (ko) | 사용자 계정 회복 | |
WO2014183526A1 (zh) | 一种身份识别的方法、装置和系统 | |
CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
US11823007B2 (en) | Obtaining device posture of a third party managed device | |
DK2924944T3 (en) | Presence authentication | |
CN110138718A (zh) | 信息处理系统及其控制方法 | |
CN106921663B (zh) | 基于智能终端软件/智能终端的身份持续认证系统及方法 | |
JP2015517261A (ja) | マルチパーティシステムにおける安全な認証 | |
US20160149894A1 (en) | System and method for providing multi factor authentication | |
JP2018517367A (ja) | サービスプロバイダ証明書管理 | |
WO2016155220A1 (zh) | 一种单点登录的方法、系统以及终端 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
FI128171B (en) | network authentication | |
WO2018196686A1 (zh) | 一种服务响应方法及其中间件 | |
EP3965363A1 (en) | Methods and systems for enabling identity-based services using a random identifier | |
CN113569210A (zh) | 分布式身份认证方法、设备访问方法及装置 | |
CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
CN109460647B (zh) | 一种多设备安全登录的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |