CN105933353B - 安全登录的实现方法及系统 - Google Patents
安全登录的实现方法及系统 Download PDFInfo
- Publication number
- CN105933353B CN105933353B CN201610525851.7A CN201610525851A CN105933353B CN 105933353 B CN105933353 B CN 105933353B CN 201610525851 A CN201610525851 A CN 201610525851A CN 105933353 B CN105933353 B CN 105933353B
- Authority
- CN
- China
- Prior art keywords
- information
- network
- certification
- authentication
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Abstract
本发明提供了一种安全登录的实现方法及系统,其中的方法包括:网络终端设备中的客户端展示二维码;移动设备通过扫描二维码从网络终端设备处获取用于确定本次认证的网络终端设备的标识信息,根据用户身份信息和用户私钥获得数字签名信息,向网络侧发送包含有标识信息、用户身份信息以及数字签名信息的身份认证请求;网络侧利用用户公钥对接收到的身份认证请求进行用户身份认证,并向网络终端设备发送身份认证结果信息;客户端在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示用户登录界面。本发明可以在不影响现有的系统的稳定性的情况下,增强系统登录的安全性,并增强登录用户的可追溯性。
Description
技术领域
本发明涉及网络通讯技术,尤其涉及一种安全登录的实现方法以及安全登录的实现系统。
背景技术
目前,管理信息系统(Management Information System,MIS)以及业务系统等诸多系统通常采用用户名和密码进行登录,如终端设备中的客户端被启动后,显示用户登录界面,用户在用户登录界面的用户名输入框和密码输入框中输入用户名和密码,客户端将基于用户名输入框和密码输入框而获得的用户名和密码传输给系统的网络设备(如服务器),网络设备检验接收到的用户名和密码是否正确,并将检验结果返回给客户端,如果检验结果为用户名和密码均输入通过,则客户端允许用户使用本系统,否则,拒绝用户使用本系统。另外,上述用户登录界面中也有可能包括验证码输入框以及图片验证码,即用户在登录过程中需要输入用户名、密码以及图片中的验证码。
显然,使用用户名和密码进行系统登录存在诸多问题,如任何获得了用户名和密码的人都可以使用用户名和密码进行系统登录,也就是说,无论用户名和密码是由于网络设备或客户端设备遭受黑客攻击而泄露,还是由于用户采取的保密措施欠缺而泄露,任何获得了用户名和密码的人均可以像合法用户一样使用其登录系统,不仅无法核实登录用户的真实身份,而且还会使系统存在较大的安全隐患;再例如,通常无法追查用户名和密码泄露的途径等。
发明人在实现本发明过程中发现,虽然系统运营维护方已经意识到基于用户名和密码的传统登录方式存在诸多问题,也希望系统能够采用更安全的登录方式,然而,现有的很多系统往往已经推出了较长一段时间,鉴于系统结构的复杂性以及庞大的数据量等因素,系统运营维护方往往由于担心采用新的系统登录方式会影响系统的稳定性,而又不愿意更换现有的系统登录方式。如何在不影响系统的稳定性的情况下,增强系统登录的安全性,并增强登录用户的可追溯性,是一个值得关注的问题。
发明内容
本发明的目的是提供一种安全登录的实现方法及系统。
根据本发明的第一个方面,提供了一种安全登录的实现方法,且该方法主要包括以下步骤:在用户侧,网络终端设备中的客户端展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;移动设备通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据标识信息向网络终端设备发送身份认证结果信息;网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面。
根据本发明的第二个方面,提供了一种安全登录的实现方法,且该方法主要包括以下步骤:在用户侧,网络终端设备中的客户端在确定出针对用户输入的用户名和密码的验证结果信息为验证通过后,展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;移动设备通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,允许用户使用客户端,否则,禁止用户使用客户端。
根据本发明的第三个方面,还提供一种安全登录的实现系统,且该系统包括:二维码展示模块,设置于用户侧的网络终端设备中的客户端中,用于展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;身份认证请求模块,设置于移动设备中,用于通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;身份认证模块,设置于网络侧,用于利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;登录控制模块,设置于网络终端设备中的客户端中,用于在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面。
根据本发明的第四个方面,还提供一种安全登录的实现系统,且该系统包括:二维码展示模块,设置于用户侧的网络终端设备中的客户端中,用于在针对用户输入的用户名和密码的验证结果信息为验证通过后,展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;身份认证请求模块,设置于移动设备中,用于通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;身份认证模块,设置于网络侧,用于利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;使用控制模块,设置于所述客户端中,用于在确定接收到的身份认证结果信息为认证通过信息时,允许用户继续使用客户端,否则,禁止用户继续使用客户端。
与现有技术相比,本发明至少具有以下优点:本发明通过在网络终端设备中的客户端在被启动时,先不使客户端向用户展示基于用户名和密码的用户登录界面,而是由客户端利用认证发起请求来触发一个对用户的身份进行认证的过程,可以实现对待登录用户的真实身份进行认证,从而可以在一定程度上避免任何获得了用户名和密码的人均可以像合法用户一样使用其登录系统的现象,而且有利于追查用户名和密码泄露的途径;由于本发明中的身份认证前置系统以及身份认证服务器可以完全独立于现有的系统的网络侧设备,因此,本发明可以在不改变或者更新现有系统的网络侧设备以及现有系统的网络侧数据的情况下,实现安全登录,其实现相当于在现有的系统的外部额外增加一层安全登录防护,而且只有在通过该外层的安全登录防护的情况下,用户才能够执行利用现有的系统的用户名和密码进行登录的操作,否则,用户会被阻挡于该外层的安全登录防护之外,根本不可能接触到利用现有的系统的用户名和密码进行登录的操作;通过在用户身份认证过程中,引入用户的移动电话等移动设备,不仅使用户身份认证的过程便于实现,而且有利于追查用户名和密码泄露的途径;由此可知,本发明提供的技术方案可以在不影响现有的系统的稳定性的情况下,增强系统登录的安全性,并增强登录用户的可追溯性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明实施例一的安全登录的实现方法的流程图;
图2为本发明实施例二的安全登录的实现方法的流程图;
图3为本发明实施例三的安全登录的实现系统的结构示意图;
图4为本发明实施例四的安全登录的实现系统的结构示意图;
图5为本发明实施例五的安全登录的实现系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施例作详细描述。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然本发明的流程图将各项操作描述成顺序的处理,但是,其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
本实施例中的服务器包括但不限于单个网络服务器、多个网络服务器组成的服务器组或者基于云计算(Cloud Computing)的由大量计算机或者网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述服务器可以接入网络并与网络中的其他设备进行信息交互操作。其中,所述服务器所能够接入的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述服务器以及网络等仅为举例,其他现有的或今后可能出现的服务器或者网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面描述所讨论的方法(其中一些通过流程图示出)实施例可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合的形式来实施。当用软件、固件、中间件或者微代码来实施时,用以实施必要任务的程序代码或者代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的,但是,本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
应当理解的是,当一个单元被称为“连接”或者“耦合”到另一个单元时,其可以直接连接或者耦合到所述另一个单元,也可以存在中间单元。与此相对的,当一个单元被称为“直接连接”或者“直接耦合”到另一个单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如,“处于...之间”相比于“直接处于...之间”,“与...邻近”相比于“与...直接邻近”等等)。
这里所使用的术语仅仅是为了描述具体实施例,而不是意图限制示例性实施例。除非上下文中明确地另有所指,否则,这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定了所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或者添加一个或更多的其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换的实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
下面结合附图对本发明的技术方案作进一步详细描述。
实施例一、安全登录的实现方法。
图1为本实施例的安全登录的实现方法的流程图。在图1中,本实施例的方法包括:步骤S100、步骤S110、步骤S120、步骤S130、步骤S140以及步骤S150。
下面对本实施例的方法所包含的各步骤分别进行说明。
S100、网络终端设备中的客户端在被启动时,向身份认证前置系统发送包含有网络终端设备信息的认证发起请求。
作为示例,本实施例中的网络终端设备中的客户端是指安装于网络终端设备中的应用软件,且网络终端设备通常为可以接入网络的计算机等终端设备,如银行/通讯/网吧等行业提供的营业场所或者办公室中的计算机等,且网络终端设备可以通过WIFI或者网线等方式接入互联网或者局域网等形式的网络。
网络终端设备中的客户端可以由于被点击而启动,也可以由于预先设置的配置信息而随着网络终端设备的启动而启动。本实施例中的客户端在被启动时,该客户端并不会先向用户展示基于用户名和密码的用户登录界面,而是先获取其所在的网络终端设备信息,然后,客户端根据预先存储的身份认证前置系统的地址以及上述获取的网络终端设备信息产生认证发起请求,并向身份认证前置系统发送包含有网络终端设备信息的认证发起请求,以便于对需要使用客户端的用户进行用户身份认证。
本实施例中的网络终端设备信息通常是指能够唯一标识出一台网络终端设备的信息,如网络终端设备的MAC(介质访问控制)地址信息、网络终端设备标识(如客户端对应的服务器为网络中的各网络终端设备分别设置的设备编码等)、网络终端设备所在的位置信息(如营业场所的地理位置信息)以及网络终端设备所在的营业场所标识(如营业场所代码)等。本实施例不限制网络终端设备信息的具体表现形式。
本实施例中的认证发起请求主要用于触发对需要使用客户端的用户进行身份认证操作,也就是说,认证发起请求主要用于通知身份认证前置系统:网络终端设备信息所对应的网络终端设备存在用户登录需求,即有用户需要利用网络终端设备信息所对应的网络终端设备进行用户登录操作,从而使身份认证前置系统可以发起对用户的身份认证操作。本实施例中的身份认证前置系统通常为与客户端所在系统的网络设备相独立设置的服务器等网络设备。也就是说,本实施例可以在现有的基于用户名和密码登录的系统的基础上额外增加了身份认证前置系统。
本实施例中的认证发起请求可以为基于HTTP的消息,也可以为基于其他协议(如自定义协议)的消息。本实施例不限制认证发起请求所采用的协议以及认证发起请求的消息格式等。
S110、身份认证前置系统根据该认证发起请求存储认证发起信息,并向客户端返回包含有认证发起标识的认证发起响应。
作为示例,本实施例中的认证发起信息主要包括:认证发起请求中的网络终端设备信息以及针对该认证发起请求设置的认证发起标识;当然,本实施例中的认证发起信息还可以包括:接收到认证发起请求的时间等其他信息。
作为示例,身份认证前置系统在接收到来自网络终端设备的认证发起请求后,一方面需要从认证发起请求中获取网络终端设备信息并将其作为认证发起信息存储,另一方面需要针对该认证发起请求获取认证发起标识并将其作为认证发起信息存储。本实施例中的认证发起标识主要用于唯一标识一个身份认证过程,换句话说,本实施例中的认证发起标识可以用于唯一标识一个用户登录过程。
作为示例,身份认证前置系统在从认证发起请求中获取网络终端设备信息后,可以对该网络终端设备信息进行合法性验证,以判断发送认证发起请求的网络终端设备是否为合法的网络终端设备;一个具体的例子,身份认证前置系统中预先存储有系统中所有合法的网络终端设备的网络终端设备信息,这样,身份认证前置系统可以在预先存储的信息中进行查找,以确定预先存储的信息中是否存在与认证发起请求中的网络终端设备信息相匹配的网络终端设备信息,如果存在相匹配的网络终端设备信息,则身份认证前置系统确定发送认证发起请求的网络终端设备为合法的网络终端设备,否则,身份认证前置系统确定发送认证发起请求的网络终端设备为非法的网络终端设备。
作为示例,身份认证前置系统可以在确定出发送认证发起请求的网络终端设备为合法的网络终端设备的情况下,执行获取认证发起标识的操作。当然,身份认证前置系统也可以在不对该网络终端设备信息进行合法性验证的情况下,在接收到认证发起请求后直接获取认证发起标识。
作为示例,身份认证前置系统可以针对接收到的认证发起请求自主生成认证发起标识,如身份认证前置系统在接收到认证发起请求后,直接针对该认证发起请求生成随机数或者顺序的序列号等;再如身份认证前置系统在基于接收到的认证发起请求中携带的网络终端设备信息确定出发送认证发起请求的网络终端设备为合法的网络终端设备后,针对该认证发起请求生成随机数或者顺序的序列号。
作为示例,身份认证前置系统也可以针对认证发起请求从其他网络设备(如身份认证服务器)处获取针对该认证发起请求的认证发起标识;一个具体的例子为:身份认证前置系统在接收到认证发起请求后,直接从身份认证服务器处获取该认证发起请求对应的认证发起标识,如身份认证前置系统向身份认证服务器发送该认证发起请求,身份认证服务器在接收到认证发起请求后,生成随机数或者顺序的序列号,并向身份认证前置系统返回承载有该随机数或序列号的认证发起响应,身份认证前置系统从接收到的认证发起响应中获取随机数或者序列号;另一个具体的例子为:身份认证前置系统在基于接收到的认证发起请求中携带的网络终端设备信息确定出发送认证发起请求的网络终端设备为合法的网络终端设备后,再从身份认证服务器处获取该认证发起请求对应的认证发起标识;如身份认证前置系统在确定出发送认证发起请求的网络终端设备为合法的网络终端设备后,向身份认证服务器发送该认证发起请求,身份认证服务器在接收到认证发起请求后,生成随机数或者顺序的序列号,并向身份认证前置系统返回承载有该随机数或序列号的认证发起响应,身份认证前置系统从接收到的认证发起响应中获取随机数或者序列号。
身份认证前置系统在获取到认证发起标识后,应向网络终端设备发送包含有认证发起标识的认证发起响应,以便于本实施例的方法可以基于该认证发起标识继续执行身份认证操作。
需要特别说明的是,在身份认证前置系统确定出发送认证发起请求的网络终端设备不为合法的网络终端设备的情况下,身份认证前置系统可以不再执行获取认证发起标识的操作,而是向网络终端设备发送承载有该网络终端设备为非法的网络终端设备的认证发起响应,从而使网络终端设备可以根据该认证发起响应结束本次登录过程。另外,身份认证前置系统可以将该认证发起标识以二维码的形式返回给网络终端设备。
S120、移动设备通过二维码扫描方式从网络终端设备(即客户端)处获取认证发起标识,并向身份认证服务器发送包含有认证发起标识、用户身份信息以及数字签名信息的身份认证请求,其中的数字签名信息是基于用户身份信息和用户私钥获得的。
作为示例,本实施例中的移动设备通常为智能移动电话,当然,也可以为能够接入移动通讯网络的平板电脑等用户设备。
本实施例中的网络终端设备是通过二维码的方式向用户展现其获取到的认证发起标识的,从而使移动设备可以通过二维码扫描的方式获取到该认证发起标识。在身份认证前置系统返回的认证发起响应中包含有二维码的情况下,网络终端设备可以直接从认证发起响应中获取该二维码,并展示;而在身份认证前置系统返回的认证发起响应中并没有包含二维码的情况下,网络终端设备可以基于认证发起响应中承载的认证发起标识生成相应的二维码,并展示。
需要特别说明的是,在移动设备通过二维码扫描的方式获取到认证发起标识的情况下,本实施例可以通过在移动设备中安装相应的应用(如安全登录应用)来实现通过二维码扫描来获取认证发起标识的操作,本实施例也可以通过使现有的具有二维码扫描的应用(如微信)来支持本实施例的安全登录方法的方式来实现通过二维码扫描来获取认证发起标识的操作。
移动设备在获取到认证发起标识后,应获取用户身份信息以及数字签名信息,并发送身份认证请求;
一个具体的例子,在移动设备中存储有用户私钥和用户身份信息的情况下,移动设备利用本地存储的用户私钥对用户身份信息进行数字签名处理(如根据预先设定的算法从用户身份信息等待签名信息中提取摘要信息,并利用用户私钥对提取出的摘要信息进行加密处理),以获得用户的数据签名信息,然后,移动设备向身份认证服务器发送身份认证请求,且该身份认证请求中包含有认证发起标识、用户身份信息以及上述获得的数字签名信息等信息,以便于身份认证服务器可以基于接收到的身份认证请求对用户进行真实身份认证。
另一个具体的例子,在用户私钥存储于安全单元(如与移动设备相隔离的SIM卡、智能卡、Ukey、EID卡等安全单元)中的情况下,移动设备可以将本地存储的用户身份信息通过无线通讯方式(如RFID或者近场通讯等无线通讯方式)发送给安全单元,由安全单元利用本地存储的用户私钥对接收到的用户身份信息进行数字签名处理,并将数字签名信息发送给移动设备,然后,移动设备向身份认证服务器发送身份认证请求,且该身份认证请求中包含有认证发起标识、用户身份信息以及上述获得的数字签名信息等信息,以便于身份认证服务器可以基于接收到的身份认证请求对用户进行真实身份认证。
再一个具体的例子,在用户私钥存储于安全单元(如与移动设备相隔离的SIM卡、智能卡、Ukey、EID卡等安全单元)中的情况下,移动设备可以将本地存储的用户身份信息通过无线通讯方式(如RFID或者近场通讯等无线通讯方式)发送给安全单元,安全单元从本地获取用户身份信息,并验证接收到的用户身份信息是否与其从本地获取的用户身份信息相同,如果两者不相同,则安全单元向移动设备返回用户身份信息有误的响应信息,如果两者相同,则安全单元利用本地存储的用户私钥对用户身份信息进行数字签名处理,并将数字签名信息发送给移动设备,然后,移动设备向身份认证服务器发送身份认证请求,且该身份认证请求中包含有认证发起标识、用户身份信息以及上述获得的数字签名信息等信息,以便于身份认证服务器可以基于接收到的身份认证请求对用户进行真实身份认证。
作为示例,本实施例中的用户身份信息可以具体为用户的身份证信息或者用户的员工编号等可以唯一标识出一个用户真实身份的信息。
作为示例,移动设备向身份认证服务器发送的身份认证请求中还可以包含有用户公钥,也就是说,移动设备本地不仅可以存储有用户私钥,还可以存储有用户公钥。本实施例中的用户私钥可以预先设置于移动设备中,也可以预先设置于能够对关键数据进行存储和运算的移动设备外部的安全单元(如SIM卡、智能卡、Ukey、EID卡等)中;且用户私钥可以是通过生产厂家或者销售商等提前部署在移动设备或安全单元内;用户私钥也可以是在管理信息系统或者业务系统等系统的用户注册过程中部署在移动设备或者安全单元内。本实施例可以在用户注册过程中不进行用户私钥和用户公钥的布设操作,而是利用现有的用户私钥和用户公钥来实现本实施例的安全登录过程中的用户身份认证过程。
在用户公钥预先设置于安全单元中的情况下,安全单元在向移动设备返回数字签名信息时,可以将用户公钥一起返回给移动设备。另外,用户公钥可以在用户注册过程中布设在网络侧的身份认证服务器中。
作为示例,本实施例中的移动设备与安全单元之间可以通过蓝牙方式或者RFID(Radio Frequency Identification,射频识别)方式或者NFC(Near FieldCommunication,近场通讯)方式等实现信息交互。
S130、身份认证服务器利用用户公钥对接收到的身份认证请求进行用户身份认证,并向身份认证前置系统发送认证发起标识和身份认证结果信息。
作为示例,在身份认证请求中承载有用户公钥的情况下,身份认证服务器可以在接收到身份认证请求后,直接从身份认证请求中获取用户公钥,并利用用户公钥针对该身份认证请求中的数字签名信息进行用户身份认证处理,如身份认证服务器利用用户公钥对身份认证请求中的数字签名信息进行解密处理,以获得摘要信息,身份认证服务器利用预先设定的算法(与移动设备所采用的算法相同)对身份认证请求中的用户身份信息等待签名信息中提取出摘要信息,然后,身份认证服务器将解密处理获得的摘要信息与其提取出的摘要信息进行对比,在两者一致时,确定出身份认证请求中的用户身份信息以及认证发起标识等信息为真实的未篡改信息,之后,身份认证服务器可以利用身份认证请求中的用户身份信息在本地存储的信息中进行查找,以判断本地存储的信息中是否存在与用户身份信息相匹配的信息,如果存在相匹配的信息,则可以确定出本次身份认证通过,否则,身份认证服务器确定出本次身份认证失败。身份认证服务器在身份认证完成后,应将认证发起标识和身份认证结果信息(如身份认证通过或者身份认证失败)一起通过身份认证响应发送给身份认证前置系统。
作为示例,在身份认证服务器本地存储有用户公钥的情况下,不论身份认证请求中是否承载有用户公钥,身份认证服务器均可以在接收到身份认证请求后,从身份认证请求中获取用户身份信息,并利用该用户身份信息在本地存储的信息中进行查找,以获得该用户身份信息对应的用户公钥,身份认证服务器利用获得的用户公钥对该身份认证请求进行用户身份认证处理,如身份认证服务器利用用户公钥对身份认证请求中的数字签名信息进行解密处理,以获得摘要信息,并利用预先设定的算法(与移动设备所采用的算法相同)从身份认证请求中的用户身份信息等待签名信息中提取出摘要信息,然后,身份认证服务器将解密处理获得的摘要信息与其提取出的摘要信息进行对比,在两者一致时,确定出身份认证请求中的用户身份信息以及认证发起标识等信息为真实的未篡改信息,之后,身份认证服务器可以利用身份认证请求中的用户身份信息在本地存储的信息中进行查找,以判断本地存储的信息中是否存在与用户身份信息相匹配的信息,如果存在相匹配的信息,则可以确定出本次身份认证通过,否则,身份认证服务器确定出本次身份认证失败。身份认证服务器在身份认证完成后,将认证发起标识和身份认证结果信息(如身份认证通过或者身份认证失败)一起通过身份认证响应发送给身份认证前置系统。
另外,需要特别说明的,在网络终端设备只能由特定人员使用(如单位的工作人员或者持有会员卡/银行卡/VIP卡的用户等)的情况下,本实施例还可以在身份认证服务器中预先设置网络终端设备的使用权限信息(如网络终端设备信息与允许使用网络终端设备的各用户身份信息),这样,身份认证服务器可以根据身份认证请求中的网络终端设备信息以及用户身份信息对该用户是否有权限使用该网络终端设备进行进一步的判断,在判断出该用户没有使用该网络终端设备的权限的情况下,身份认证服务器确定出本次身份认证通过,否则,身份认证服务器确定出本次身份认证失败。
S140、身份认证前置系统根据接收到的认证发起标识将认证结果信息存储于相应的认证发起记录中,并向客户端发送认证发起标识和认证结果信息。
作为示例,身份认证前置系统从身份认证服务器发送来的身份认证响应消息中获取认证发起标识以及认证结果信息,并利用认证发起标识在本地存储的认证发起记录中进行查找,以判断该认证发起标识对应的认证发起记录,并将认证结果信息存储于该认证发起标识对应的认证发起记录中。身份认证前置系统可以针对该身份认证结果信息形成认证结果响应,并向相应的网络终端设备发送该认证结果响应,以使网络终端设备中的客户端获知身份认证结果信息。
S150、客户端在确定接收到的认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,不展示用户登录界面。
作为示例,本实施例中的用户登录界面为现有系统的用户登录界面,也就是说,本实施例是在现有的用户登录界面的外层增加了一层基于用户身份认证的安全登录防护措施,在用户不能够通过该外层的安全登录防护措施的情况下,用户没有机会使用其掌握的用户名和密码来执行用户登录操作,只有在用户通过了该外层的安全登录防护措施的情况下,用户才有机会使用其掌握的用户名和密码来执行用户登录操作。另外,客户端展示的基于用户名和密码的用户登录界面中有可能包含有验证码输入框以及图片验证码,即用户在登录过程中需要输入用户名、密码以及图片中的验证码。本实施例不限制用户登录界面的具体表现形式。
实施例二、安全登录的实现方法。
图2为本实施例二的安全登录的实现方法的流程图。
在图2中,S200、在用户侧,网络终端设备中的客户端展示二维码,其中,该二维码包含有用于确定本次认证的网络终端设备的标识信息。
作为示例,本实施例中的用于确定本次认证的网络终端设备的标识信息可以具体为认证发起标识,也可以为网络终端设备信息等;上述认证发起标识用于唯一标识一个认证发起请求;上述网络终端设备信息用于唯一标识一个网络终端设备。
作为示例,在本实施例中的标识信息为网络终端设备信息时,客户端可以从本地存储的信息中获取到网络终端设备信息。
作为示例,在本实施例中的标识信息为认证发起标识的情况下,该认证发起标识可以是网络终端设备自主产生的,如网络终端设备中的客户端在被启动时,客户端自主生成一个认证发起标识,该认证发起标识可以为随机数或者序列号等,并向用户展示包含有该标识信息的二维码。
作为示例,在本实施例中的标识信息为认证发起标识时,该认证发起标识可以是网络终端设备从其他网络设备处获取的。
一个具体的例子,网络终端设备中的客户端在被启动时,向身份认证服务器或者身份认证前置系统等网络设备发送包含有网络终端设备信息的认证发起请求,身份认证服务器或者身份认证前置系统等网络设备在接收到认证发起请求后,针对该认证发起请求产生认证发起标识,并根据认证发起请求中承载的信息以及认证发起标识存储相应的认证发起信息,身份认证服务器或者身份认证前置系统等网络设备向网络终端设备返回认证发起响应,该认证发起响应中包含有认证发起标识,且认证发起响应中的认证发起标识可以为二维码的形式或非二维码的形式;在认证发起响应中的认证发起标识为二维码形式的情况下,网络终端设备中的客户端可以直接从认证发起响应中获取该二维码并展示给用户;而在认证发起响应中的认证发起标识不为二维码形式的情况下,网络终端设备中的客户端可以根据认证发起响应中的认证发起标识产生二维码,并展示给用户。
另一个具体的例子,网络终端设备中的客户端在被启动时,向身份认证前置系统发送包含有网络终端设备信息的认证发起请求,身份认证前置系统在接收到认证发起请求后,向身份认证服务器发送认证发起请求,身份认证服务器针对该认证发起请求产生认证发起标识,并向身份认证前置系统返回包含有认证发起标识的认证发起响应,身份认证前置系统根据接收到的认证发起请求中承载的信息以及认证发起响应中承载的认证发起标识存储相应的认证发起信息,身份认证前置系统向网络终端设备返回认证发起响应,该认证发起响应中包含有认证发起标识,且认证发起响应中的认证发起标识可以为二维码的形式或非二维码的形式;在认证发起响应中的认证发起标识为二维码形式的情况下,网络终端设备中的客户端可以直接从认证发起响应中获取该二维码并展示给用户;而在认证发起响应中的认证发起标识不为二维码形式的情况下,网络终端设备中的客户端可以根据认证发起响应中的认证发起标识产生二维码,并展示给用户。
S210、移动设备通过扫描网络终端设备中的客户端展示的二维码,从网络终端设备处获取上述标识信息,并根据用户身份信息和用户私钥获得数字签名信息,移动设备向网络侧发送包含有上述标识信息、用户身份信息以及数字签名信息的身份认证请求。
该步骤的具体实现方式可以参见上述实施例一中针对S120的描述。在此不再重复说明。
S220、在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据上述标识信息向网络终端设备发送身份认证结果信息。
作为示例,网络侧的身份认证服务器可以利用用户公钥对移动设备传输来的身份认证请求进行用户身份认证;身份认证服务器可以直接向网络终端设备发送身份认证结果信息,也可以向身份认证前置系统发送身份认证结果信息,并由身份认证前置系统将身份认证结果信息发送给网络终端设备。
作为示例;在身份认证服务器接收到的身份认证请求中包含有认证发起标识时,身份认证服务器应将该认证发起标识与身份认证结果信息一起发送给身份认证前置系统或者网络终端设备。
身份认证服务器对身份认证请求进行用户身份认证的具体实现方式以及身份认证服务器通过身份认证前置系统向网络终端设备发送认证发起标识以及身份认证结果信息的具体实现方式可以参见上述实施例一中针对S130以及S140的描述。在此不再重复说明。
S230、网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示该用户登录界面。
该步骤的具体实现方式可以参见上述实施例一中针对S150的描述。在此不再重复说明。
实施例三、安全登录的实现方法。
图3为本实施例三的安全登录的实现方法的流程图。
在图3中,S300、在用户侧,网络终端设备中的客户端在确定出针对用户输入的用户名和密码的验证结果信息为验证通过后,展示二维码,其中的二维码包含有用于确定本次认证的网络终端设备的标识信息。
作为示例,本实施例中的用户输入的用户名和密码是在用户登录界面输入的用户名和密码,且该用户登录界面为现有系统的用户登录界面,也就是说,本实施例是在现有的用户登录界面的内层增加了一层基于用户身份认证的安全登录防护措施,在用户不能够通过该内层的安全登录防护措施的情况下,用户没有机会进一步使用客户端提供的功能,只有在用户通过了该内层的安全登录防护措施的情况下,用户才有机会使用客户端,即用户才有机会使用客户端提供的功能。
作为示例,本实施例中的用于确定本次认证的网络终端设备的标识信息可以具体为认证发起标识,也可以为网络终端设备信息等;上述认证发起标识用于唯一标识一个认证发起请求;上述网络终端设备信息用于唯一标识一个网络终端设备。
作为示例,在本实施例中的标识信息为网络终端设备信息时,客户端可以从本地存储的信息中获取到网络终端设备信息。
作为示例,在本实施例中的标识信息为认证发起标识的情况下,该认证发起标识可以是网络终端设备自主产生的,如网络终端设备中的客户端在被启动时,客户端自主生成一个认证发起标识(如随机数或者序列号等),并向用户展示包含有该认证发起标识的二维码。
作为示例,在本实施例中的标识信息为认证发起标识时,该认证发起标识可以是网络终端设备从其他网络设备处获取的。具体的例子如上述S200中的描述,在此不再重复说明。
S310、移动设备通过扫描网络终端设备中的客户端展示的二维码,从网络终端设备处获取上述标识信息,并根据用户身份信息和用户私钥获得数字签名信息,移动设备向网络侧发送包含有上述标识信息、用户身份信息以及数字签名信息的身份认证请求。
该步骤的具体实现方式可以参见上述实施例一中针对S120的描述。在此不再重复说明。
S320、在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据上述标识信息向网络终端设备发送身份认证结果信息。
该步骤的具体实现方式可以参见上述实施例二中针对S220、实施例一中的S130以及S140的描述。在此不再重复说明。
S330、网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,允许用户使用客户端,否则,禁止用户使用客户端。
本实施例中的允许用户使用网络终端设备中的客户端可以为向用户展示客户端的主页面,以便于用户可以使用客户端提供的各种功能;本实施例中的禁止用户使用客户端可以为禁止向用户展示客户端的主页面,从而使用户不能够使用客户端提供的各种功能。
实施例四、安全登录的实现系统。
图4为本实施例的安全登录的实现系统的结构示意图。在图4中,本实施例的系统主要包括:设置于网络终端设备的客户端400中的认证发起模块401、二维码展示模块402以及登录控制模块403、设置于身份认证前置系统410中的认证发起响应模块411和认证请求响应模块412、设置于移动设备420中的身份认证请求模块421以及设置于身份认证服务器430中的身份认证模块431。
认证发起模块401主要用于在网络终端设备中的客户端400被启动时,向身份认证前置系统410发送包含有网络终端设备信息的认证发起请求。
二维码展示模块402主要用于展示二维码,且该二维码包含有用于确定本次认证的网络终端设备的标识信息。
认证发起响应模块411可以用于根据身份认证前置系统410接收到的认证发起请求存储认证发起信息,并向客户端400返回包含有认证发起标识的认证发起响应,该认证发起信息包括:认证发起请求中的网络终端设备信息以及针对该认证发起请求设置的认证发起标识。
认证发起响应模块411也可以用于根据身份认证前置系统410接收到的认证发起请求存储认证发起信息,根据认证发起标识产生二维码,并向客户端400返回包含二维码的认证发起响应,该认证发起信息包括:网络终端设备信息以及针对该认证发起请求设置的认证发起标识。
作为示例,本实施例中的用于确定本次认证的网络终端设备的标识信息可以具体为认证发起标识,也可以为网络终端设备信息等;上述认证发起标识用于唯一标识一个认证发起请求;上述网络终端设备信息用于唯一标识一个网络终端设备。
作为示例,在本实施例中的标识信息为网络终端设备信息时,认证发起模块401可以从本地存储的信息中获取到网络终端设备信息。
作为示例,在本实施例中的标识信息为认证发起标识的情况下,该认证发起标识可以是二维码展示模块402自主产生的,如在网络终端设备中的客户端被启动时,二维码展示模块402自主生成一个认证发起标识(如自主生成随机数或者序列号等),并向用户展示包含有该标识信息的二维码。
作为示例,在本实施例中的标识信息为认证发起标识时,该认证发起标识可以是认证发起模块401从其他网络设备处获取的。
一个具体的例子,在网络终端设备中的客户端被启动时,认证发起模块401向身份认证服务器或者身份认证前置系统等网络设备发送包含有网络终端设备信息的认证发起请求,身份认证服务器430(如身份认证模块431)或者身份认证前置系统410(如认证发起响应模块411)等网络设备在接收到认证发起请求后,针对该认证发起请求产生认证发起标识,并根据认证发起请求中承载的信息以及认证发起标识存储相应的认证发起信息,身份认证服务器430(如身份认证模块431)或者身份认证前置系统430(如认证发起响应模块411)等网络设备向网络终端设备返回认证发起响应,该认证发起响应中包含有认证发起标识,且认证发起响应中的认证发起标识可以为二维码的形式或非二维码的形式;在认证发起响应中的认证发起标识为二维码形式的情况下,网络终端设备中的客户端400中的二维码展示模块402可以直接从认证发起响应中获取该二维码并展示给用户;而在认证发起响应中的认证发起标识不为二维码形式的情况下,网络终端设备中的客户端中的二维码展示模块402可以根据认证发起响应中的认证发起标识产生二维码,并展示给用户。
另一个具体的例子,在网络终端设备中的客户端被启动时,认证发起模块401向身份认证前置系统410发送包含有网络终端设备信息的认证发起请求,在身份认证前置系统410接收到认证发起请求后,认证发起响应模块411向身份认证服务器430发送认证发起请求,身份认证服务器430(如身份认证模块431)针对该认证发起请求产生认证发起标识,并向身份认证前置系统410返回包含有认证发起标识的认证发起响应,身份认证前置系统410(如认证发起响应模块411)根据接收到的认证发起请求中承载的信息以及认证发起响应中承载的认证发起标识存储相应的认证发起信息,身份认证前置系统410(如认证发起响应模块411)向网络终端设备返回认证发起响应,该认证发起响应中包含有认证发起标识,且认证发起响应中的认证发起标识可以为二维码的形式或非二维码的形式;在认证发起响应中的认证发起标识为二维码形式的情况下,客户端400中的二维码展示模块402可以直接从认证发起响应中获取该二维码并展示给用户;而在认证发起响应中的认证发起标识不为二维码形式的情况下,客户端400中的二维码展示模块402可以根据认证发起响应中的认证发起标识产生二维码,并展示给用户。
身份认证请求模块421主要用于通过扫描二维码展示模块402所展示的二维码从网络终端设备处获取标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有标识信息、用户身份信息以及数字签名信息的身份认证请求。
作为示例,身份认证请求模块421通常设置于智能移动电话中,当然,身份认证请求模块421也可以设置于能够接入移动通讯网络的平板电脑等用户设备中。
本实施例中的二维码展示模块402是通过二维码的方式向用户展现其获取到的认证发起标识的,从而使身份认证请求模块421可以通过二维码扫描的方式获取到该认证发起标识。
需要特别说明的是,在身份认证请求模块421通过二维码扫描的方式获取到认证发起标识的情况下,本实施例可以通过在移动设备中安装相应的应用(如安全登录应用)来实现身份认证请求模块421通过二维码扫描来获取认证发起标识的操作,本实施例也可以通过使现有的具有二维码扫描的应用(如微信)来支持本实施例的安全登录方法的方式来实现身份认证请求模块421通过二维码扫描来获取认证发起标识的操作。
身份认证请求模块421在获取到认证发起标识后,身份认证请求模块421应获取用户身份信息以及数字签名信息,并发送身份认证请求;
一个具体的例子,在移动设备420中存储有用户私钥和用户身份信息的情况下,身份认证请求模块421利用移动设备420本地存储的用户私钥对用户身份信息进行数字签名处理(如身份认证请求模块421根据预先设定的算法从用户身份信息等待签名信息中提取摘要信息,并利用用户私钥对提取出的摘要信息进行加密处理),以获得用户的数据签名信息,然后,身份认证请求模块421向身份认证服务器430发送身份认证请求,且该身份认证请求中包含有认证发起标识、用户身份信息以及上述获得的数字签名信息等信息,以便于身份认证服务器可以基于接收到的身份认证请求对用户进行真实身份认证。
另一个具体的例子,在用户私钥存储于安全单元(如与移动设备相隔离的SIM卡、智能卡、Ukey、EID卡等安全单元)中的情况下,身份认证请求模块421可以将移动设备420本地存储的用户身份信息通过无线通讯方式(如RFID或者近场通讯等无线通讯方式)发送给安全单元,由安全单元利用本地存储的用户私钥对接收到的用户身份信息进行数字签名处理,并将数字签名信息发送给移动设备420,然后,身份认证请求模块421向身份认证服务器发送身份认证请求,且该身份认证请求中包含有认证发起标识、用户身份信息以及上述获得的数字签名信息等信息,以便于身份认证服务器430可以基于接收到的身份认证请求对用户进行真实身份认证。
再一个具体的例子,在用户私钥存储于安全单元(如与移动设备相隔离的SIM卡、智能卡、Ukey、EID卡等安全单元)中的情况下,身份认证请求模块421可以将移动设备420本地存储的用户身份信息通过无线通讯方式(如RFID或者近场通讯等无线通讯方式)发送给安全单元,安全单元从本地获取用户身份信息,并验证接收到的用户身份信息是否与其从本地获取的用户身份信息相同,如果两者不相同,则安全单元向移动设备返回用户身份信息有误的响应信息,如果两者相同,则安全单元利用本地存储的用户私钥对用户身份信息进行数字签名处理,并将数字签名信息发送给移动设备420,然后,身份认证请求模块421向身份认证服务器430发送身份认证请求,且该身份认证请求中包含有认证发起标识、用户身份信息以及上述获得的数字签名信息等信息,以便于身份认证服务器430可以基于接收到的身份认证请求对用户进行真实身份认证。
作为示例,本实施例中的用户身份信息可以具体为用户的身份证信息或者用户的员工编号等可以唯一标识出一个用户真实身份的信息。
作为示例,身份认证请求模块421向身份认证服务器430发送的身份认证请求中还可以包含有用户公钥,也就是说,移动设备本地不仅可以存储有用户私钥,还可以存储有用户公钥。本实施例中的用户私钥可以预先设置于移动设备420中,也可以预先设置于能够对关键数据进行存储和运算的移动设备外部的安全单元(如SIM卡、智能卡、Ukey、EID卡等)中;且用户私钥可以是通过生产厂家或者销售商等提前部署在移动设备或安全单元内;用户私钥也可以是在管理信息系统或者业务系统等系统的用户注册过程中部署在移动设备或者安全单元内。本实施例可以在用户注册过程中不进行用户私钥和用户公钥的布设操作,而是利用现有的用户私钥和用户公钥来实现本实施例的安全登录过程中的用户身份认证过程。
在用户公钥预先设置于安全单元中的情况下,安全单元在向移动设备420返回数字签名信息时,可以将用户公钥一起返回给移动设备420。另外,用户公钥可以在用户注册过程中布设在网络侧的身份认证服务器430中。
作为示例,本实施例中的移动设备420与安全单元之间可以通过蓝牙方式或者RFID方式或者NFC方式等实现信息交互。
身份认证模块431主要用于利用用户公钥对身份认证服务器430接收到的身份认证请求进行用户身份认证,并根据身份认证请求中的标识信息向网络终端设备发送身份认证结果信息。
作为示例,网络侧的身份认证服务器430中的身份认证模块431可以利用用户公钥对移动设备420传输来的身份认证请求进行用户身份认证;身份认证模块431可以直接向网络终端设备发送身份认证结果信息,也可以向身份认证前置系统410发送身份认证结果信息,并由身份认证前置系统410中的认证请求响应模块412将身份认证结果信息发送给网络终端设备。
作为示例;在身份认证服务器接收到的身份认证请求中包含有认证发起标识时,身份认证服务器430应将该认证发起标识与身份认证结果信息一起发送给身份认证前置系统410或者网络终端设备。
身份认证服务器430对身份认证请求进行用户身份认证的具体实现方式以及身份认证服务器通过身份认证前置系统410向网络终端设备发送认证发起标识以及身份认证结果信息的具体实现方式可以参见上述实施例一中针对S130以及S140的描述。在此不再重复说明。
登录控制模块403主要用于在确定网络终端设备接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示用户登录界面。
作为示例,本实施例中的登录控制模块403允许客户端400展示的用户登录界面为现有系统的用户登录界面,也就是说,本实施例的安全登录的实现系统是在现有的用户登录界面的外层增加了一层基于用户身份认证的安全登录防护措施,在用户不能够通过该外层的安全登录防护措施的情况下,用户没有机会使用其掌握的用户名和密码来执行用户登录操作,只有在用户通过了该外层的安全登录防护措施的情况下,用户才有机会使用其掌握的用户名和密码来执行用户登录操作。另外,登录控制模块403允许客户端展示的基于用户名和密码的用户登录界面中有可能包含有验证码输入框以及图片验证码,即用户在登录过程中需要输入用户名、密码以及图片中的验证码。本实施例不限制用户登录界面的具体表现形式。
实施例五、安全登录的实现系统。
图5为本实施例的安全登录的实现系统的结构示意图。在图5中,本实施例的系统主要包括:设置于网络终端设备的客户端400中的认证发起模块401、二维码展示模块402以及使用控制模块503、设置于身份认证前置系统410中的认证发起响应模块411和认证请求响应模块412、设置于移动设备420中的身份认证请求模块421以及设置于身份认证服务器430中的身份认证模块431。本系统中的各模块执行的操作与上述实施例四中各模块执行的操作基本相同,其区别包括:
二维码展示模块402主要用于在确定出针对用户输入的用户名和密码的验证结果信息为验证通过后,展示二维码,其中的二维码包含有用于确定本次认证的网络终端设备的标识信息。
使用控制模块503主要用于在确定网络终端设备接收到的身份认证结果信息为认证通过信息时,允许用户使用客户端400,否则,禁止用户使用客户端400。
使用控制模块503允许用户使用网络终端设备中的客户端400可以为使用控制模块503允许客户端400向用户展示客户端主页面,以便于用户可以使用客户端400提供的各种功能;使用控制模块503禁止用户使用客户端400可以为使用控制模块503禁止客户端400向用户展示客户端的主页面,从而使用户不能够使用客户端400提供的各种功能。
需要注意的是,本发明的一部分可以被应用为计算机程序产品,例如计算机程序指令,当其被智能电子设备(如计算机或者服务器等)执行时,通过该智能电子设备的操作可以调用或者提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或者其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的智能电子设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该系统包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明并不局限于上述示范性实施例的细节,而且在不背离本发明的精神或者基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将本发明的实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或者步骤,且单数不排除复数。装置权利要求中陈述的多个单元或者装置或者模块也可以由一个单元或者装置或者模块通过软件或者硬件来实现。第一,第二等词语仅用来表示名称,而并不表示任何特定的顺序。
Claims (17)
1.一种安全登录的实现方法,其特征在于,所述方法包括:
在用户侧,网络终端设备中的客户端展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
移动设备通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;
在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;
网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面;
其中,所述用于确定本次认证的网络终端设备的标识信息包括:认证发起标识,且所述网络终端设备中的客户端展示二维码的步骤包括:网络终端设备中的客户端在被启动时,向网络侧发送包含有网络终端设备信息的认证发起请求,在网络侧,根据所述认证发起请求存储认证发起信息,对所述网络终端设备信息进行合法性验证,并向网络终端设备返回包含认证发起标识的认证发起响应,网络终端设备中的客户端根据接收的认证发起标识产生二维码并展示,或者,在网络侧,根据所述认证发起请求存储认证发起信息,对所述网络终端设备信息进行合法性验证,并根据认证发起标识产生二维码,向网络终端设备返回包含二维码的认证发起响应,所述认证发起信息包括:网络终端设备信息以及针对该认证发起请求设置的认证发起标识、网络终端设备中的客户端展示所述认证发起响应中的二维码。
2.根据权利要求1所述的方法,其特征在于,所述根据所述认证发起请求存储认证发起信息的步骤包括:
在网络侧的身份认证前置系统接收到来自网络终端设备的认证发起请求的情况下,产生用于唯一标识该认证发起请求的认证发起标识,并存储该认证发起标识和网络终端设备信息;或者
在网络侧的身份认证前置系统接收到来自网络终端设备的认证发起请求的情况下,向身份认证服务器发送认证发起请求,身份认证服务器产生用于唯一标识该认证发起请求的认证发起标识,并向身份认证前置系统发送包含有该认证发起标识的认证发起响应,身份认证前置系统存储该认证发起标识和认证发起请求中的网络终端设备信息。
3.根据权利要求1所述的方法,其特征在于,所述用于确定本次认证的网络终端设备的标识信息包括:网络终端设备信息,且所述网络终端设备中的客户端展示二维码的步骤包括:
网络终端设备中的客户端在被启动时,根据网络终端设备信息产生二维码,并展示。
4.根据权利要求1所述的方法,其特征在于,所述根据用户身份信息和用户私钥获得数字签名信息的步骤包括:
移动设备从本地存储的信息中获取用户身份信息和用户私钥,并利用用户私钥对用户身份信息进行数字签名;或者
移动设备通过近场通讯方式/射频识别方式/蓝牙方式将用户身份信息发送至安全单元,以由安全单元利用其存储的用户私钥对所述用户身份信息进行数字签名,并接收来自安全单元的数字签名信息。
5.根据权利要求1所述的方法,其特征在于,所述移动设备向网络侧发送的身份认证请求中还包含有用于用户身份认证的用户公钥,且所述移动设备从本地存储的信息中获取用于用户身份认证的用户公钥,或者所述移动设备通过近场通讯方式/射频识别方式/蓝牙方式从安全单元处获取用于用户身份认证的用户公钥。
6.根据权利要求1所述的方法,其特征在于,所述利用用户公钥对接收到的身份认证请求进行用户身份认证的步骤包括:
网络侧的身份认证服务器在本存储的信息中查找身份认证请求中的用户身份信息所对应的用户公钥,并利用查找到的用户公钥对身份认证请求进行用户身份认证;或者
身份认证服务器从身份认证请求中获取用户公钥,并利用获取的用户公钥对身份认证请求进行用户身份认证。
7.一种安全登录的实现方法,其特征在于,所述方法包括以下步骤:
在用户侧,网络终端设备中的客户端展示二维码,以使移动设备扫描该二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
在网络侧,接收来自移动设备的身份认证请求,所述身份认证请求包含有所述标识信息、用户身份信息以及数字签名信息,且所述数字签名信息是移动设备根据用户身份信息和用户私钥获得;
利用用户公钥对身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;
网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面。
8.一种安全登录的实现方法,其特征在于,所述方法包括以下步骤:
在用户侧,网络终端设备中的客户端展示二维码,以使移动设备扫描该二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
身份认证前置系统接收来自身份认证服务器的所述标识信息和身份认证结果信息;其中,所述身份认证结果信息是身份认证服务器利用用户公钥对来自移动设备的身份认证请求进行用户身份认证的结果信息,且所述身份认证请求包含有所述标识信息、用户身份信息以及数字签名信息,所述数字签名信息是移动设备根据用户身份信息和用户私钥获得;
身份认证前置系统根据所述标识信息向网络终端设备发送身份认证结果信息;
网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面。
9.一种安全登录的实现方法,其特征在于,所述方法包括:
在用户侧,网络终端设备中的客户端展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
移动设备通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求,使网络侧利用用户公钥对身份认证请求进行用户身份认证;
网络终端设备中的客户端在确定来自网络侧的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面。
10.一种安全登录的实现方法,其特征在于,所述方法包括以下步骤:
在用户侧,网络终端设备中的客户端在确定出针对用户输入的用户名和密码的验证结果信息为验证通过后,展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
移动设备通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;
在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;
网络终端设备中的客户端在确定接收到的身份认证结果信息为认证通过信息时,允许用户使用客户端,否则,禁止用户使用客户端。
11.一种安全登录的实现系统,其特征在于,所述系统包括:
二维码展示模块,设置于用户侧的网络终端设备中的客户端中,用于展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
身份认证请求模块,设置于移动设备中,用于通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;
身份认证模块,设置于网络侧,用于利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;
登录控制模块,设置于网络终端设备中的客户端中,用于在确定接收到的身份认证结果信息为认证通过信息时,展示基于用户名和密码的用户登录界面,否则,禁止展示所述用户登录界面;
其中,所述用于确定本次认证的网络终端设备的标识信息包括:认证发起标识,且所述系统还包括:设置于网络终端设备中的客户端中的认证发起模块以及设置于网络侧的认证发起响应模块,所述认证发起模块用于,在网络终端设备中的客户端被启动时,向网络侧发送包含有网络终端设备信息的认证发起请求,所述认证发起响应模块用于,根据所述认证发起请求存储认证发起信息,对所述网络终端设备信息进行合法性验证,并向网络终端设备返回包含认证发起标识的认证发起响应,所述二维码展示模块具体用于,根据网络终端设备接收的认证发起标识产生二维码并展示,或者,所述认证发起响应模块用于,根据所述认证发起请求存储认证发起信息,对所述网络终端设备信息进行合法性验证,并根据认证发起标识产生二维码,向网络终端设备返回包含二维码的认证发起响应,所述认证发起信息包括:网络终端设备信息以及针对该认证发起请求设置的认证发起标识,所述二维码展示模块具体用于,展示所述认证发起响应中的二维码。
12.根据权利要求11所述的系统,其特征在于,所述认证发起响应模块设置于网络侧的身份认证前置系统中,且所述认证发起响应模块具体用于:
在身份认证前置系统接收到来自网络终端设备的认证发起请求的情况下,产生用于唯一标识该认证发起请求的认证发起标识,并存储该认证发起标识和网络终端设备信息;或者
在身份认证前置系统接收到来自网络终端设备的认证发起请求的情况下,向身份认证服务器发送认证发起请求,身份认证服务器产生用于唯一标识该认证发起请求的认证发起标识,并向身份认证前置系统发送包含有该认证发起标识的认证发起响应,身份认证前置系统存储该认证发起标识和认证发起请求中的网络终端设备信息。
13.根据权利要求11所述的系统,其特征在于,所述用于确定本次认证的网络终端设备的标识信息包括:网络终端设备信息;
且所述二维码展示模块具体用于,在网络终端设备中的客户端被启动时,根据网络终端设备信息产生二维码,并展示。
14.根据权利要求11所述的系统,其特征在于,所述身份认证请求模块具体用于:
从移动设备本地存储的信息中获取用户身份信息和用户私钥,并利用用户私钥对用户身份信息进行数字签名;或者
通过近场通讯方式/射频识别方式/蓝牙方式将用户身份信息发送至安全单元,以由安全单元利用其存储的用户私钥对所述用户身份信息进行数字签名,并接收来自安全单元的数字签名信息。
15.根据权利要求11所述的系统,其特征在于,所述身份认证请求模块向网络侧发送的身份认证请求中还包含有用于用户身份认证的用户公钥,且所述身份认证请求模块从移动设备本地存储的信息中获取用于用户身份认证的用户公钥,或者通过近场通讯方式/射频识别方式/蓝牙方式从安全单元处获取用于用户身份认证的用户公钥。
16.根据权利要求11所述的系统,其特征在于,所述身份认证模块具体用于:
在网络侧的身份认证服务器本存储的信息中查找身份认证请求中的用户身份信息所对应的用户公钥,并利用查找到的用户公钥对身份认证请求进行用户身份认证;或者
从身份认证请求中获取用户公钥,并利用获取的用户公钥对身份认证请求进行用户身份认证。
17.一种安全登录的实现系统,其特征在于,所述系统包括:
二维码展示模块,设置于用户侧的网络终端设备中的客户端中,用于在确定出针对用户输入的用户名和密码的验证结果信息为验证通过后,展示二维码,所述二维码包含有用于确定本次认证的网络终端设备的标识信息;
身份认证请求模块,设置于移动设备中,用于通过扫描所述二维码从网络终端设备处获取所述标识信息,根据用户身份信息和用户私钥获得数字签名信息,并向网络侧发送包含有所述标识信息、用户身份信息以及数字签名信息的身份认证请求;
在网络侧,利用用户公钥对接收到的身份认证请求进行用户身份认证,并根据所述标识信息向网络终端设备发送身份认证结果信息;
使用控制模块,设置于网络终端设备中的客户端中,用于在确定接收到的身份认证结果信息为认证通过信息时,允许用户使用客户端,否则,禁止用户使用客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610525851.7A CN105933353B (zh) | 2016-07-05 | 2016-07-05 | 安全登录的实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610525851.7A CN105933353B (zh) | 2016-07-05 | 2016-07-05 | 安全登录的实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105933353A CN105933353A (zh) | 2016-09-07 |
| CN105933353B true CN105933353B (zh) | 2019-05-17 |
Family
ID=56827710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610525851.7A Active CN105933353B (zh) | 2016-07-05 | 2016-07-05 | 安全登录的实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105933353B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108229180B (zh) * | 2016-12-09 | 2022-02-08 | 阿里巴巴集团控股有限公司 | 截图数据处理方法、装置和电子设备 |
| CN108206821A (zh) * | 2016-12-20 | 2018-06-26 | 航天信息股份有限公司 | 一种身份认证的方法及系统 |
| TWI612436B (zh) * | 2016-12-30 | 2018-01-21 | 臺灣銀行股份有限公司 | 自然人憑證認證方法 |
| CN106789043A (zh) * | 2017-02-20 | 2017-05-31 | 珠海市魅族科技有限公司 | 一种密码生成方法、密码验证方法及相关装置 |
| CN107528842A (zh) * | 2017-08-21 | 2017-12-29 | 合肥丹朋科技有限公司 | 网站密码生成方法及装置 |
| CN108134787B (zh) * | 2017-12-21 | 2020-06-23 | 恒宝股份有限公司 | 一种身份认证方法及认证装置 |
| CN110582085B (zh) * | 2018-06-11 | 2022-12-16 | 成都鼎桥通信技术有限公司 | 一种通信方法、装置和系统 |
| BE1026835B1 (de) * | 2018-12-06 | 2020-07-07 | Phoenix Contact Gmbh & Co | Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren |
| CN110113329B (zh) * | 2019-04-28 | 2021-11-09 | 北京信安世纪科技股份有限公司 | 一种验证码的验证方法及装置 |
| CN111125668A (zh) * | 2019-09-30 | 2020-05-08 | 武汉信安珞珈科技有限公司 | 一种基于移动端增强Linux操作系统登录安全性的方法和系统 |
| CN111031539A (zh) * | 2019-09-30 | 2020-04-17 | 武汉信安珞珈科技有限公司 | 一种基于移动端增强Windows操作系统登录安全性的方法和系统 |
| CN111027036B (zh) * | 2019-12-09 | 2022-10-21 | 武汉信安珞珈科技有限公司 | 一种基于区块链的身份关联方法 |
| CN111860723A (zh) * | 2020-07-23 | 2020-10-30 | 江苏税软软件科技有限公司 | 基于二维码的终端管理方法 |
| CN112600820B (zh) * | 2020-12-09 | 2022-08-26 | 腾讯科技(深圳)有限公司 | 一种网络连接方法、装置、计算机设备以及存储介质 |
| CN112738797B (zh) * | 2020-12-24 | 2023-06-30 | 上海华申智能卡应用系统有限公司 | 基于蓝牙的web应用认证登录方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023919A (zh) * | 2012-12-26 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法和系统 |
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW434520B (en) * | 1998-06-30 | 2001-05-16 | Sony Corp | Two-dimensional code recognition processing method, device therefor and medium |
| CN1750462A (zh) * | 2004-09-14 | 2006-03-22 | 华为技术有限公司 | 通过移动终端实现身份认证的方法 |
| CN102571803B (zh) * | 2012-01-19 | 2016-04-27 | 北京远鉴科技有限公司 | 一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 |
| CN103001973B (zh) * | 2012-12-26 | 2016-08-31 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法、系统和装置 |
| CN103036902B (zh) * | 2012-12-26 | 2016-06-15 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法和系统 |
| CN103067378B (zh) * | 2012-12-26 | 2016-08-03 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法和系统 |
| CN103001974B (zh) * | 2012-12-26 | 2016-11-16 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法、系统和装置 |
| CN103001975B (zh) * | 2012-12-26 | 2016-12-28 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法、系统和装置 |
| CN103795731B (zh) * | 2014-02-26 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种用户账户登录方法 |
| CN103944877A (zh) * | 2014-03-02 | 2014-07-23 | 王恩惠 | 一种基于二维码实现银行网站安全登录的方法及系统 |
| CN104967604B (zh) * | 2015-04-21 | 2018-07-20 | 深圳市腾讯计算机系统有限公司 | 登录方法和系统 |
| CN105095729B (zh) * | 2015-06-19 | 2018-05-25 | 广州密码科技有限公司 | 一种二维码登录方法、服务器及系统 |
-
2016
- 2016-07-05 CN CN201610525851.7A patent/CN105933353B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023919A (zh) * | 2012-12-26 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法和系统 |
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105933353A (zh) | 2016-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105933353B (zh) | 安全登录的实现方法及系统 | |
| CN106899410B (zh) | 一种设备身份认证的方法及装置 | |
| CN107172008B (zh) | 一种在移动设备中进行多系统认证及同步的系统和方法 | |
| US9350548B2 (en) | Two factor authentication using a protected pin-like passcode | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CA2968051C (en) | Systems and methods for authentication using multiple devices | |
| US10880306B2 (en) | Verification information update | |
| CN103597799B (zh) | 服务访问认证方法和系统 | |
| CN104283886B (zh) | 一种基于智能终端本地认证的web安全访问的实现方法 | |
| CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN106302502A (zh) | 一种安全访问认证处理方法、用户终端和服务端 | |
| US20120300927A1 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
| US20130305325A1 (en) | Methods for Thwarting Man-In-The-Middle Authentication Hacking | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| CN105763517B (zh) | 一种路由器安全接入和控制的方法及系统 | |
| KR102274285B1 (ko) | 동적 공유 시크릿 분배 방식의 otp 보안관리 방법 | |
| WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN108347428A (zh) | 基于区块链的应用程序的注册系统、方法和装置 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| JP2021519966A (ja) | リモート生体計測識別 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |