CN104158797A - 口令和标识型密码相集成的用户登录鉴别实施方法 - Google Patents
口令和标识型密码相集成的用户登录鉴别实施方法 Download PDFInfo
- Publication number
- CN104158797A CN104158797A CN201410332530.6A CN201410332530A CN104158797A CN 104158797 A CN104158797 A CN 104158797A CN 201410332530 A CN201410332530 A CN 201410332530A CN 104158797 A CN104158797 A CN 104158797A
- Authority
- CN
- China
- Prior art keywords
- user
- account
- authentication data
- information system
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000010200 validation analysis Methods 0.000 claims description 23
- 238000012850 discrimination method Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000026676 system process Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 2
- 230000004048 modification Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 238000011084 recovery Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种口令和标识型密码相集成的用户登录鉴别实施方法,本方法的Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据;其中,标识型密码鉴别数据包括两部分的数据:用户标识或标识的散列值,以及特征数据;当Web信息系统的用户帐户登录鉴别实施组件接收到用户进行Web信息系统帐户登录操作时提交的帐户名和鉴别数据后,根据帐户名从Web信息系统中获得的用户帐户的鉴别数据,然后根据从Web信息系统中获得的鉴别数据是否包含特征数据确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据,若是口令,则基于口令对用户进行登录鉴别,若是标识型密码鉴别数据,则基于标识型密码对用户进行登录鉴别。
Description
技术领域
本发明属于信息安全领域,特别是一种将基于口令的用户登录鉴别同基于标识型密码的用户登录鉴别相集成的用户登录鉴别实施方法。
背景技术
用户访问一个受到安全保护和限制的Web信息系统(包括各种应用系统和安全系统)时,通常需要进行登录操作(Logon或Login)。用户登录操作的目的就是要确认用户是Web信息系统的一个合法用户,即进行用户鉴别(User Authentication);而实际上对许多Web信息系统而言,用户的身份信息是否真实、他是谁并不重要,因此,更确切地说,用户登录操作的目的就是要确认用户是Web信息系统的一个注册帐户的拥有者,即进行帐户鉴别(AccountAuthentication)。
目前的Web信息系统普遍采用帐户名+口令或密码(帐户名也称用户名)的方式作为用户登录(Long On或Long In)Web信息系统的用户或帐户鉴别的安全手段。帐户名+口令或密码的方案简单、用户操作使用方便,但它的不安全是众所周知的。
针对用户名、口令不安全的问题,在安全性要求较高的系统中,人们采用密码技术,比如PKI(Public Key Infrastructure)数字证书(Digital Certificate)技术,进行用户登录鉴别。PKI数字证书虽然安全,但将它用于Web信息系统的用户或帐户鉴别,存在用户操作使用不方便、用户私钥丢失恢复困难、证书更新麻烦(通常需要手工操作)等易用性差的问题,而且需要针对相关浏览器开发控件或插件,导致出现技术开发工作量大、适用性差等问题:一是因为需要针对不同的浏览器开发不同的控件或插件,而目前浏览器众多,针对所有浏览器包括运行在不同环境下的浏览器进行控件或插件开发的工作量是非常大的;二是因为有的浏览器对控件或插件的支持非常有限甚至不支持。进一步,将PKI数字证书实施用于已部署的采用帐户名+口令或密码的系统时,需要对已有系统进行改造,故到目前为止PKI数字证书并未获得广泛应用。
针对以上问题,本发明申请人在其专利申请“一种基于标识型密码实现用户登录鉴别的系统及方法”(专利申请号:201410244543.8)中提出一个基于标识型密码的用户登录鉴别方法,将标识型密码技术用于Web信息系统的用户登录。所述标识型密码(Identity-TypedCryptography)包括基于标识的密码(Identity Based Cryptography,IBC)和基于标识的椭圆曲线密码(Identity-Based ECC),无论是IBC密码技术还是基于标识的椭圆曲线密码技术,它们都是公开密钥密码算法或技术,有如下共同特点:
1)用户的一个标识对应一个标识公钥和一个标识私钥(用于数据加密的标识公钥和私钥同用于数字签名的标识公钥和私钥不一定相同);
2)在实际的密钥生成和密码运算过程中,并不是将一个标识本身用于密钥生成和密码运算,而是将附加了其他限定信息后的扩展标识用于密钥生成和密码运算;
3)若采用“一种自动更新和恢复私钥的标识型密码系统及方法”(专利申请号:201410058689.3)中的技术,则能够实现自动恢复私钥,以及实现自动更新标识的当前有效的标识公钥和标识私钥。
在发明专利申请201410244543.8中的所述方案中,用户的一个身份标识(如电子邮箱地址)或标识的散列值作为用户在Web信息系统中的帐户的鉴别数据保存在Web信息系统的帐户数据库中;当用户登录Web信息系统时,Web信息系统的用户登录鉴别实施组件利用系统保存的用户帐户的鉴别数据,即用户的标识或标识的散列值,对用户进行登录鉴别。
专利申请中201410244543.8的方法具有如下特点:
1)不采用浏览器插件或控件,而是通过本地通信方式调用用户端的密码模块进行密码运算,故不受浏览器类型和种类的限制,也不受用户端计算设备的运行平台限制;
2)发明中的用户标识及标识密钥不是作为用户的身份凭证使用,而是作为高安全强度的帐户鉴别私密数据使用,而且不同的Web信息系统可以使用同一个密码标识的密钥进行用户登录时的帐户鉴别,无需针对不同的Web信息系统使用不同的标识密钥;若使用的标识是电子通信标识(如电子邮箱地址、手机号码),则标识密钥的生成、恢复、更新将方便;特别地,若进一步地实施标识密钥的自动更新,则标识密钥的更新操作无需用户手工干预,给用户带来极大方便;
3)通过将用户标识或标识的散列值作为用户帐户的鉴别数据即口令保存在用户帐户数据中,以及通过外置安全网关或内置安全插件的方式在采用帐户名+口令或密码进行登录帐户鉴别的Web信息系统中实施发明中的安全登录方案,能够在不修改Web信息系统的情况下很好地用于已部署的、自身原本采用帐户名+口令或密码进行登录帐户鉴别的Web信息系统。
但发明申请201410244543.8中的方案在实际应用中也存在或遇到如下问题:
1)对一个具体的Web信息系统而言,要求所有的用户都使用基于标识型密码的用户登录鉴别方案,但实际应用过程我们可能需要采用基于用户名、口令的用户登录鉴别同基于标识型密码的用户登录鉴别共存的方案,比如,在过渡期需要二者共存,或者有些用户希望采用简单的用户名、口令方案;
2)若基于标识型密码的用户登录鉴别是通过Web信息系统的插件(如过滤器)实施的,若此时实施用户登录鉴别的插件未正常启动,则此时用户登录的密码就是简单的用户标识,则可能导致有人假冒他人登录系统。
本发明就是要解决发明申请201410244543.8中的方案存在的以上问题。
发明内容
本发明的目的是提出一种既能满足基于口令的用户登录鉴别和基于标识型密码的用户登录鉴别共存于一个系统的需求,又能防止实施基于标识型密码的用户登录鉴别的系统前置组件或插件未正常启动所带来的安全风险的用户登录鉴别实施方法。
为了实现上述目的,本发明所采用的技术方案是:
一种口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:
Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据(二者之一);所述标识型密码鉴别数据又包括两部分的数据:用户标识或标识的散列值(二者之一),以及特征数据;若标识型密码鉴别数据中包含的是用户标识的散列值(而不是用户标识字符串本身),则用户标识的散列值以Base64编码或其他字符编码的形式保存,称为标识散列值字符编码;所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串;
当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后,根据帐户名从Web信息系统中获得的用户帐户的鉴别数据,然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据,若是口令,则基于口令对用户进行登录鉴别,否则,从用户帐户鉴别数据中获得用户标识,并基于标识型密码对用户进行登录鉴别。
Web信息系统返回给用户的帐户注册页面提供有帐户鉴别数据是口令还是标识的选择;若用户进行帐户注册时选择的帐户鉴别数据是口令,则Web信息系统处理用户帐户注册数据的系统组件接收到用户提交的帐户注册数据后直接将帐户注册数据中的帐户鉴别数据(即口令)保存在Web信息系统的用户帐户的鉴别数据中;若用户进行帐户注册时选择的帐户鉴别数据是标识,则Web信息系统处理用户帐户注册数据的系统组件接收到用户提交的帐户注册数据后,先验证确认用户是标识的拥有者,验证确认通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后将生成的标识型密码鉴别数据保存在Web信息系统的用户帐户的鉴别数据中;若用户进行帐户注册时选择的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
若Web信息系统原本采用用户名、口令方式进行用户登录鉴别,而实施口令和标识型密码相集成的用户登录鉴别方法的系统组件是前置于Web信息系统的一个安全网关或插入到Web信息系统的请求响应传输通道中的一个安全插件,则当Web信息系统返回帐户注册页面时,所述安全网关或安全插件修改或替换返回的帐户注册页面,使得返回给用户的帐户注册页面提供有帐户鉴别数据是口令还是标识的选择;当用户提交包含帐户注册数据的注册请求后,所述安全网关或安全插件拦截用户提交的包含帐户注册数据的注册请求,判断用户注册时选择的帐户鉴别数据是口令还是标识,若用户进行帐户注册时选择的帐户鉴别数据是口令,则安全网关或安全插件直接让包含注册数据的注册请求通过;若用户进行帐户注册时选择的帐户鉴别数据是标识,则安全网关或安全插件先验证确认用户是标识的拥有者,验证确认通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后用生成的标识型密码鉴别数据作为口令替换用户提交的注册请求中的帐户鉴别数据,之后让包含修改后的帐户注册数据的注册请求通过(即修改后的帐户注册数据是按注册帐户名、口令方式提交);若用户进行帐户注册时选择的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
所述Web信息系统向用户提供的变更或更新帐户鉴别数据的页面一方面要求用户输入原有的帐户鉴别数据,另一方面要求用户给出变更或更新的帐户鉴别数据是口令还是标识的选择;Web信息系统处理用户帐户鉴别变更或更新的系统组件接收到用户提交的变更或更新帐户鉴别数据的请求后,先用原有的帐户鉴别数据完成对用户的鉴别,鉴别通过后根据变更或更新后的帐户鉴别数据是口令还是标识分别按如下方式进行不同的处理:
若用户变更或更新后的帐户鉴别数据是口令,则Web信息系统处理用户帐户鉴别变更或更新的系统组件直接将用户提交的变更或更新后的帐户鉴别数据(即口令)替换Web信息系统的用户帐户的原有鉴别数据;若用户变更或更新后的帐户鉴别数据是标识,则Web信息系统处理用户帐户鉴别变更或更新的系统组件先验证确认用户是标识的拥有者,验证确认通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后将生成的标识型密码鉴别数据替换Web信息系统的用户帐户的原有鉴别数据;若用户变更或更新后的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
若Web信息系统原本采用用户名、口令方式进行用户登录鉴别,而实施口令和标识型密码相集成的用户登录鉴别方法的系统组件是前置于Web信息系统的一个安全网关或插入到Web信息系统的请求响应传输通道中的一个安全插件,则所述安全网关或安全插件修改或替换Web信息系统返回的让用户变更或更新帐户鉴别数据的页面,返回给用户的修改或替换的变更或更新帐户鉴别数据的页面一方面要求用户输入原有的帐户鉴别数据,另一方面要求用户给出变更或更新的帐户鉴别数据是口令还是标识的选择;
所述安全网关或安全插件拦截用户提交的变更或更新帐户鉴别数据请求后,先用原有的帐户鉴别数据完成对用户的鉴别(由安全网关或安全插件直接对用户进行鉴别,包括用户名、口令鉴别方式),鉴别通过后根据变更或更新后的帐户鉴别数据是口令还是标识分别按如下方式进行不同的处理:
若用户变更或更新后的帐户鉴别数据是口令,则安全网关或安全插件直接将用户提交的变更或更新后的帐户鉴别数据(即口令)替换Web信息系统中的用户帐户的原有鉴别数据,然后返回结果;若用户变更或更新后的帐户鉴别数据是标识,则安全网关或安全插件先验证确认用户是标识的拥有者,验证通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后将生成的标识型密码鉴别数据替换Web信息系统中的用户帐户的原有鉴别数据,之后返回结果;若用户变更或更新后的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
基于以上发明内容可看到,通过Web信息系统保存的用户帐户的鉴别数据中的特征数据,实施用户登录鉴别处理的系统组件能够确定进行帐户登录的用户所采用的登录鉴别方式是普通的用户名、口令还是基于标识型密码的登录鉴别方式,并基于相应的登录鉴别方式对用户帐户登录进行鉴别。进一步地,若Web信息系统原本采用用户名、口令方式进行用户登录鉴别,而实施口令和标识型密码相集成的用户登录鉴别方法的系统组件,或者仅实施标识型密码的用户登录鉴别方法的系统组件,是前置于Web信息系统的一个安全网关或插入到Web信息系统的请求响应传输通道中的一个安全插件,则当安全网关或安全插件未启动或者不能正常工作时,由于Web信息系统保存的对应于标识型密码进行登录鉴别的一个用户的帐户鉴别数据中包含随机数据,则其他用户无法假冒该用户登录Web信息系统。
具体实施方式
下面结合实施例对本发明作进一步的描述。
本发明的具体实施的关键是标识型密码鉴别数据及特征数据的实施方案。标识型密码鉴别数据包括用户标识或标识散列值字符编码以及特征数据,为了通过特征数据将标识型密码鉴别数据同用户口令相区分,以及将特征数据同标识型密码鉴别数据中的用户标识或标识散列值字符编码相区分,可以选用和规定一个在口令和用户标识或标识散列值字符编码中不出现的一个字符作为指示和区分特征数据的界定字符,该界定字符按约定的位置和个数放置在特征数据中,比如,规定特征数据放置在用户标识或标识散列值字符编码之后,用“|”作为界定字符并放置于特征数据的首个字符位置,“|”之后是特征数据包含的具体数据。
特征数据包含的具体数据有如下几种实施方案可选择:
方案一:特征数据中首个字符是“|”,后面跟一个随机生成的随机字符串;
方案二:特征数据首个字符是“|”,后跟一个随机生成的随机字符串,之后再跟一个“|”,之后是由用户标识或标识的散列值(散列值原始数据字节串或其字符编码)同随机字符串合并后的数据(经散列算法计算得到)的散列值的Base64编码或其他字符编码,称为特征散列值字符编码;
方案三:Web信息系统有一个随机生成的随机字串,称为主随机字串,而特征数据的首个字符是“|”,后跟用户标识或标识散列值(散列值原始数据字节串或其字符编码)同Web信息系统的主随机字串合并后的数据(经散列算法计算得到)的散列值的Base64编码或其他字符编码,同样称为特征散列值字符编码。
有了以上特征数据实施方案后,实施用户登录鉴别处理的系统组件通过检查用户帐户的鉴别数据中是否有按约定方式放置的界定字符包括界定字符放置的位置和个数确定用户帐户的鉴别数据是否包含特征数据。
若所述特征数据采用以上方案一,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串,以及帐户鉴别数据的特征数据是否包含一个作为随机字符串的字符串,若包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。
若所述特征数据采用以上方案二,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串,以及帐户鉴别数据的特征数据是否包含分别作为随机字符串和特征散列值字符编码的两个字符串,若不包含,则报告错误;否则,从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码,并从用户帐户鉴别数据的特征数据中获取随机字符串和特征散列值字符编码,然后将获得的用户标识或标识散列(散列值原始数据或其字符编码)同随机字符串合并重新计算特征散列值字符编码,比较重新计算得到的特征散列值字符编码同从Web信息系统获得的用户帐户鉴别数据中的特征数据的特征散列值字符编码是否相同,若相同,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。
若所述特征数据采用以上方案三,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据的特征数据是否包含一个作为特征散列值字符编码的字符串,若不包含,则报告错误;否则,从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码,从Web信息系统获取主随机字串,然后将获得的用户标识或标识散列(散列值原始数据或其字符编码)和主随机字串合并后重新计算特征散列值字符编码,比较重新计算的特征散列值字符编码同从Web信息系统中获得的用户帐户鉴别数据的特征数据的特征散列值字符编码是否相同,若相同,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。
当用户帐户的鉴别数据是标识型密码鉴别数据时,对用户进行帐户登录鉴别的方式,以及当用户进行帐户注册时输入的帐户鉴别数据是标识或者进行帐户鉴别数据变更或更新时更新的鉴别数据是标识时,验证确认用户是标识拥有者的方式,参见发明专利申请201410244543.8。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
Claims (10)
1.一种口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:Web信息系统中保存的用户帐户的鉴别数据是口令或者标识型密码鉴别数据;所述标识型密码鉴别数据又包括两部分的数据:用户标识或标识的散列值,以及特征数据;若标识型密码鉴别数据中包含的是用户标识的散列值,则用户标识的散列值以Base64编码或其他字符编码的形式保存,称为标识散列值字符编码;所述特征数据是用于将标识型密码鉴别数据同口令相区别且能防止猜测的字符串;
当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据后,根据帐户名从Web信息系统中获得的用户帐户的鉴别数据,然后通过检查从Web信息系统中获得的用户帐户鉴别数据是否包含特征数据从而确定获得的用户帐户鉴别数据是口令还是标识型密码鉴别数据,若是口令,则基于口令对用户进行登录鉴别,否则,从用户帐户鉴别数据中获得用户标识,并基于标识型密码对用户进行登录鉴别。
2.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:所述用户帐户的标识型密码鉴别数据的特征数据包含按约定方式放置的用于指示和区分特征数据的界定字符;所述界定字符是用户口令和标识型密码鉴别数据中的用户标识或标识散列值字符编码中不能出现的字符;实施用户登录鉴别处理的系统组件通过检查用户帐户的鉴别数据中是否有按约定方式放置的界定字符包括界定字符放置的位置和个数确定用户帐户的鉴别数据是否包含特征数据。
3.根据权利要求2所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:所述特征数据的实施方案包括:
方案一:所述特征数据中除有按约定方式放置的界定字符之外还包含一个随机生成的随机字符串;
方案二:所述特征数据中除有按约定方式放置的界定字符之外还包含一个随机生成的随机字符串,以及由用户标识或标识的散列值同随机字符串合并后的数据的散列值的Base64编码或其他字符编码,称为特征散列值字符编码;
方案三:Web信息系统有一个随机生成的随机字串,称为主随机字串,而所述特征数据中除有按约定方式放置的界定字符之外还包含用户标识或标识散列值同Web信息系统的主随机字串合并后的数据的散列值的Base64编码或其他字符编码,同样称为特征散列值字符编码。
4.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:
若所述特征数据采用实施方案一,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串,以及帐户鉴别数据的特征数据是否包含一个作为随机字符串的字符串,若包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。
5.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:
若所述特征数据采用实施方案二,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据是否包含作为用户标识或标识散列值字符编码的字符串,以及帐户鉴别数据的特征数据是否包含分别作为随机字符串和特征散列值字符编码的两个字符串,若不包含,则报告错误;否则,从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码,并从用户帐户鉴别数据的特征数据中获取随机字符串和特征散列值字符编码,然后将获得的用户标识或标识散列同随机字符串合并重新计算特征散列值字符编码,比较重新计算得到的特征散列值字符编码同从Web信息系统获得的用户帐户鉴别数据中的特征数据的特征散列值字符编码是否相同,若相同,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。
6.根据权利要求3所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:
若所述特征数据采用实施方案三,则当用户在Web信息系统进行帐户登录时,Web信息系统的用户帐户登录鉴别实施组件在接收到用户进行Web信息系统登录操作时提交的帐户名和鉴别数据并根据帐户名从Web信息系统中获得用户帐户的鉴别数据后,在对用户进行登录鉴别前,先检查确定从Web信息系统中获得的用户帐户的鉴别数据是否包含特征数据,若不包含,则确定从Web信息系统中获得的用户帐户的鉴别数据是口令;否则,进一步检查从Web信息系统中获得的用户帐户鉴别数据的特征数据是否包含一个作为特征散列值字符编码的字符串,若不包含,则报告错误;否则,从获得的Web信息系统的用户帐户鉴别数据中获取用户标识或标识散列字符编码,从Web信息系统获取主随机字串,然后将获得的用户标识或标识散列和主随机字串合并后重新计算特征散列值字符编码,比较重新计算的特征散列值字符编码同从Web信息系统中获得的用户帐户鉴别数据的特征数据的特征散列值字符编码是否相同,若相同,则确定从Web信息系统中获得的用户帐户的鉴别数据是标识型密码鉴别数据;否则,报告错误。
7.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:针对所述实施方法的用户注册实施方法是:
Web信息系统返回给用户的帐户注册页面提供有帐户鉴别数据是口令还是标识的选择;
若用户进行帐户注册时选择的帐户鉴别数据是口令,则Web信息系统处理用户帐户注册数据的系统组件接收到用户提交的帐户注册数据后直接将帐户注册数据中的帐户鉴别数据保存在Web信息系统的用户帐户的鉴别数据中;若用户进行帐户注册时选择的帐户鉴别数据是标识,则Web信息系统处理用户帐户注册数据的系统组件接收到用户提交的帐户注册数据后,先验证确认用户是标识的拥有者,验证确认通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后将生成的标识型密码鉴别数据保存在Web信息系统的用户帐户的鉴别数据中;若用户进行帐户注册时选择的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
8.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:若Web信息系统原本采用用户名、口令方式进行用户登录鉴别,而实施口令和标识型密码相集成的用户登录鉴别方法的系统组件是前置于Web信息系统的一个安全网关或插入到Web信息系统的请求响应传输通道中的一个安全插件,则针对所述实施方法的用户注册实施方法是:
当Web信息系统返回帐户注册页面时,所述安全网关或安全插件修改或替换返回的帐户注册页面,使得返回给用户的帐户注册页面提供有帐户鉴别数据是口令还是标识的选择;当用户提交包含帐户注册数据的注册请求后,所述安全网关或安全插件拦截用户提交的包含帐户注册数据的注册请求,判断用户注册时选择的帐户鉴别数据是口令还是标识,若用户进行帐户注册时选择的帐户鉴别数据是口令,则安全网关或安全插件直接让包含注册数据的注册请求通过;若用户进行帐户注册时选择的帐户鉴别数据是标识,则安全网关或安全插件先验证确认用户是标识的拥有者,验证确认通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后用生成的标识型密码鉴别数据作为口令替换用户提交的注册请求中的帐户鉴别数据,之后让包含修改后的帐户注册数据的注册请求通过;若用户进行帐户注册时选择的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
9.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:针对所述实施方法的帐户鉴别数据变更或更新实施方法是:
所述Web信息系统向用户提供的变更或更新帐户鉴别数据的页面一方面要求用户输入原有的帐户鉴别数据,另一方面要求用户给出变更或更新的帐户鉴别数据是口令还是标识的选择;Web信息系统处理用户帐户鉴别变更或更新的系统组件接收到用户提交的变更或更新帐户鉴别数据的请求后,先用原有的帐户鉴别数据完成对用户的鉴别,鉴别通过后根据变更或更新后的帐户鉴别数据是口令还是标识分别按如下方式进行不同的处理:
若用户变更或更新后的帐户鉴别数据是口令,则Web信息系统处理用户帐户鉴别变更或更新的系统组件直接将用户提交的变更或更新后的帐户鉴别数据替换Web信息系统的用户帐户的原有鉴别数据;若用户变更或更新后的帐户鉴别数据是标识,则Web信息系统处理用户帐户鉴别变更或更新的系统组件先验证确认用户是标识的拥有者,验证确认通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后将生成的标识型密码鉴别数据替换Web信息系统的用户帐户的原有鉴别数据;若用户变更或更新后的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
10.根据权利要求1所述的口令和标识型密码相集成的用户登录鉴别实施方法,其特征是:若Web信息系统原本采用用户名、口令方式进行用户登录鉴别,而实施口令和标识型密码相集成的用户登录鉴别方法的系统组件是前置于Web信息系统的一个安全网关或插入到Web信息系统的请求响应传输通道中的一个安全插件,则针对所述实施方法的帐户鉴别数据变更或更新实施方法是:
所述安全网关或安全插件修改或替换Web信息系统返回的让用户变更或更新帐户鉴别数据的页面,返回给用户的修改或替换的变更或更新帐户鉴别数据的页面一方面要求用户输入原有的帐户鉴别数据,另一方面要求用户给出变更或更新的帐户鉴别数据是口令还是标识的选择;
所述安全网关或安全插件拦截用户提交的变更或更新帐户鉴别数据请求后,先用原有的帐户鉴别数据完成对用户的鉴别,鉴别通过后根据变更或更新后的帐户鉴别数据是口令还是标识分别按如下方式进行不同的处理:
若用户变更或更新后的帐户鉴别数据是口令,则安全网关或安全插件直接将用户提交的变更或更新后的帐户鉴别数据替换Web信息系统中的用户帐户的原有鉴别数据,然后返回结果;若用户变更或更新后的帐户鉴别数据是标识,则安全网关或安全插件先验证确认用户是标识的拥有者,验证通过之后根据特征数据的实施方案并利用用户提交的作为帐户鉴别数据的标识生成相应的特征数据以及用户帐户的标识型密码鉴别数据,然后将生成的标识型密码鉴别数据替换Web信息系统中的用户帐户的原有鉴别数据,之后返回结果;若用户变更或更新后的帐户鉴别数据是标识,而验证确认用户是标识的拥有者不通过,则返回错误。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410332530.6A CN104158797B (zh) | 2014-07-14 | 2014-07-14 | 口令和标识型密码相集成的用户登录鉴别实施方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410332530.6A CN104158797B (zh) | 2014-07-14 | 2014-07-14 | 口令和标识型密码相集成的用户登录鉴别实施方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104158797A true CN104158797A (zh) | 2014-11-19 |
| CN104158797B CN104158797B (zh) | 2017-03-08 |
Family
ID=51884202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410332530.6A Expired - Fee Related CN104158797B (zh) | 2014-07-14 | 2014-07-14 | 口令和标识型密码相集成的用户登录鉴别实施方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104158797B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282150A (zh) * | 2015-09-16 | 2016-01-27 | 武汉理工大学 | 一种面向Web系统的登录助手系统 |
| CN105281902A (zh) * | 2015-12-03 | 2016-01-27 | 武汉理工大学 | 一种基于移动终端的Web系统安全登录方法 |
| CN105391727A (zh) * | 2015-11-26 | 2016-03-09 | 武汉理工大学 | 一种基于移动终端的系统登录方法 |
| CN105897424A (zh) * | 2016-03-14 | 2016-08-24 | 深圳奥联信息安全技术有限公司 | 一种增强身份认证的方法 |
| CN105991568A (zh) * | 2015-02-09 | 2016-10-05 | 苏州精易会信息技术有限公司 | 一种代理实现装置 |
| CN114760253A (zh) * | 2022-03-31 | 2022-07-15 | 慧之安信息技术股份有限公司 | 快速物联网数据传输方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006051517A1 (en) * | 2004-11-12 | 2006-05-18 | Dublin City University | Identity based encryption |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN102932149A (zh) * | 2012-10-30 | 2013-02-13 | 武汉理工大学 | 一种集成ibe数据加密系统 |
| CN103560882A (zh) * | 2013-10-29 | 2014-02-05 | 武汉理工大学 | 一种基于标识的椭圆曲线密码系统 |
-
2014
- 2014-07-14 CN CN201410332530.6A patent/CN104158797B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006051517A1 (en) * | 2004-11-12 | 2006-05-18 | Dublin City University | Identity based encryption |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN102932149A (zh) * | 2012-10-30 | 2013-02-13 | 武汉理工大学 | 一种集成ibe数据加密系统 |
| CN103560882A (zh) * | 2013-10-29 | 2014-02-05 | 武汉理工大学 | 一种基于标识的椭圆曲线密码系统 |
Non-Patent Citations (2)
| Title |
|---|
| MAYSAM HEDAYATI ET AL: "Using Identity-Based Secret Public Keys Cryptography for Heuristic Security Analyses in Grid Computing", 《2010 5TH INTERNATIONAL SYMPOSIUM ON TELECOMMUNICATIONS》 * |
| TIANJIE CAO ET AL: "Improved Dynamic ID-based Authentication Scheme for Telecare Medical Information Systems", 《JOURNAL OF MEDICAL SYSTEMS》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991568A (zh) * | 2015-02-09 | 2016-10-05 | 苏州精易会信息技术有限公司 | 一种代理实现装置 |
| CN105282150A (zh) * | 2015-09-16 | 2016-01-27 | 武汉理工大学 | 一种面向Web系统的登录助手系统 |
| CN105282150B (zh) * | 2015-09-16 | 2019-08-20 | 武汉理工大学 | 一种面向Web系统的登录助手系统 |
| CN105391727A (zh) * | 2015-11-26 | 2016-03-09 | 武汉理工大学 | 一种基于移动终端的系统登录方法 |
| CN105391727B (zh) * | 2015-11-26 | 2018-03-02 | 武汉理工大学 | 一种基于移动终端的系统登录方法 |
| CN105281902A (zh) * | 2015-12-03 | 2016-01-27 | 武汉理工大学 | 一种基于移动终端的Web系统安全登录方法 |
| CN105281902B (zh) * | 2015-12-03 | 2018-04-20 | 武汉理工大学 | 一种基于移动终端的Web系统安全登录方法 |
| CN105897424A (zh) * | 2016-03-14 | 2016-08-24 | 深圳奥联信息安全技术有限公司 | 一种增强身份认证的方法 |
| CN114760253A (zh) * | 2022-03-31 | 2022-07-15 | 慧之安信息技术股份有限公司 | 快速物联网数据传输方法和系统 |
| CN114760253B (zh) * | 2022-03-31 | 2022-10-28 | 慧之安信息技术股份有限公司 | 快速物联网数据传输方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104158797B (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951489B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
| US11290255B2 (en) | Verifying an identity based on multiple distributed data sources using a blockchain to safeguard the identity | |
| US10700861B2 (en) | System and method for generating a recovery key and managing credentials using a smart blockchain contract | |
| Lang et al. | Security keys: Practical cryptographic second factors for the modern web | |
| US11917074B2 (en) | Electronic signature authentication system based on biometric information and electronic signature authentication method | |
| CN105516201B (zh) | 一种多服务器环境下轻量级匿名认证与密钥协商方法 | |
| CN104158797A (zh) | 口令和标识型密码相集成的用户登录鉴别实施方法 | |
| CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| WO2020073513A1 (zh) | 基于区块链的用户认证方法及终端设备 | |
| US20130318576A1 (en) | Method, device, and system for managing user authentication | |
| CN103581105A (zh) | 登录验证方法和登录验证系统 | |
| RU2017140260A (ru) | Аутентификация в распределенной среде | |
| KR102387865B1 (ko) | 패스워드 생성 디바이스 및 패스워드 검증 디바이스 | |
| CN104662864A (zh) | 使用了移动认证应用的用户方便的认证方法和装置 | |
| KR102137122B1 (ko) | 보안 체크 방법, 장치, 단말기 및 서버 | |
| CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的系统及方法 | |
| CN105827395A (zh) | 一种网络用户认证方法 | |
| CN105580312A (zh) | 用于认证设备的用户的方法和系统 | |
| CN104683354A (zh) | 一种基于标识的动态口令系统 | |
| Klevjer et al. | Extended HTTP digest access authentication | |
| US20120005169A1 (en) | Method and system for securing data | |
| JP2018022501A (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
| JP6037460B2 (ja) | サービス提供装置、プログラム、及び、方法 | |
| CN112150151B (zh) | 安全支付方法、装置、电子设备及存储介质 | |
| KR101821645B1 (ko) | 자체확장인증을 이용한 키관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170308 |