CN105978994A - 一种面向Web系统的登录方法 - Google Patents
一种面向Web系统的登录方法 Download PDFInfo
- Publication number
- CN105978994A CN105978994A CN201610455487.1A CN201610455487A CN105978994A CN 105978994 A CN105978994 A CN 105978994A CN 201610455487 A CN201610455487 A CN 201610455487A CN 105978994 A CN105978994 A CN 105978994A
- Authority
- CN
- China
- Prior art keywords
- user
- web system
- service device
- mobile
- identification data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000012423 maintenance Methods 0.000 claims description 7
- 230000018109 developmental process Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 230000032683 aging Effects 0.000 claims description 2
- 230000006399 behavior Effects 0.000 claims description 2
- 238000000151 deposition Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种面向Web系统的登录方法:当用户使用浏览器访问一个尚未登录的Web系统时Web系统将浏览器与Web系统之间会话的会话标识数据及会话标识数据的暂存标识符提交到移动登录服务器暂存,同时将暂存标识符通过用户浏览器以条码形式显示;用户移动终端中的移动登录助手通过扫描条码获得暂存标识符并将其提交到移动登录服务器;移动登录服务器在完成对用户的身份鉴别后利用暂存标识符对应的会话标识数据代用户登录Web系统,或者将暂存标识符对应的会话标识数据返回给移动登录助手用于登录Web系统,或者移动登录服务器用用户加密密钥对暂存标识符对应的会话标识数据加密然后将其返回给移动登录助手解密后用于登录Web系统。
Description
技术领域
本发明属于信息安全技术领域,特别是一种面向Web系统的登录方法。
背景技术
网络信息或应用系统的用户在访问网络信息或应用系统时可能会遇到以下问题。
一是,当用户在网吧等公共环境使用公共计算机登录要访问的信息或应用系统时,如登录QQ、网游,由于公共计算机可能被安置了木马,用户登录系统的帐户名、口令存在被监听、窃取的风险(即便是动态口令,也不能避免这种安全风险)。
二是,用户在不同的信息或应用系统都有帐户名、口令要记忆,帐户名、口令多了很容易忘记、混淆。
三是,在一些安全性要求高的场合,用户需要使用存有数字证书及私钥的USB Key等密码硬件,但是如果有多个USB Key密码硬件需要携带,会给用户带来不便。
针对这些问题,本发明申请人在其专利申请“一种基于移动终端的Web系统便捷登录方法”(专利申请号:201510472645.X)中针对Web系统提出了一种基于移动终端的解决方案,具体地:当用户使用浏览器登录Web系统时,Web系统将浏览器与Web系统之间的会话标识数据以条码的形式显示在浏览器上,用户使用移动终端的摄像头扫描条码,移动终端中的移动登录代理从条码中获得会话标识数据,然后移动登录代理使用用户身份凭证登录Web系统,移动登录代理登录Web系统时按浏览器提交会话标识数据的方式提交扫描获得的会话标识数据,由此实现用户浏览器在Web系统的登录。201510472645.X的最大特点是实施简单,且Web系统按原有的方式对用户进行登录鉴别,但是, 201510472645.X中的方案也存在一个问题,这就是会话标识数据以明文方式返回到浏览器并通过浏览器页面显示,这使得会话标识数据存在被恶意注入的脚本程序(从页面中)窃取的风险。
针对201510472645.X中的方案存在的会话标识数据泄露的风险,本发明申请人在其专利申请“一种基于移动终端的Web系统安全登录方法”(专利申请号:201510887444.6)提出了相应的解决方案,在这个方案中用户浏览器与Web系统之间的会话标识数据被加密后再返回到用户浏览器并通过二维码显示,用户移动终端中的移动登录助手通过解密被加密的会话标识数据从而获得会话标识数据;或者Web系统将会话标识数据的暂存标识符加密后再返回到用户浏览器并通过二维码显示,用户移动终端中的移动登录助手通过解密被加密的会话标识数据的暂存标识符,然后再利用会话标识数据的暂存标识符从Web系统获得会话标识数据;无论哪种方式,都避免了通过浏览器的页面内容直接传输、显示明文形式的会话标识数据(或其条码)。但这种方案也存在一些问题:一是,用户要在浏览器输入用户在Web系统的帐户名或用户的一个身份标识,这给用户带来额外的麻烦;二是,若用户在公共计算机上通过浏览器输入用户在Web系统的帐户名,会造成用户信息的泄露,给攻击者留下破解帐户口令密码的线索,比如,通过帐户名去猜测用户的帐户密码,包括利用在其它系统非法获得的相同或相似帐户名的对应口令密码去猜测用户在要登录的Web系统中的口令密码(即所谓的撞库)。
发明内容
本发明的目的是提出一种面向Web系统的登录方法,以克服现有方案的不足。
本发明提出的技术方案如下:
当用户在计算机上使用浏览器访问一个尚未登录(logon)的Web系统时,Web系统为用户浏览器与Web系统之间会话的会话标识数据生成一个会话标识数据的暂存标识符,然后一方面将用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符提交到移动登录服务器暂存,另一方面将生成的会话标识数据的暂存标识符通过用户浏览器以条码(如二维码)形式显示;
移动登录服务器接收到Web系统提交的用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符后,将会话标识数据暂存在内存或数据库中,暂存的会话标识数据用接收到的会话标识数据的暂存标识符标识;
用户使用运行有移动登录助手的移动终端扫描浏览器上显示的条码;移动终端中的移动登录助手从扫描的条码中获得用户浏览器与Web系统之间会话的会话标识数据的暂存标识符,然后连接移动登录服务器,将获得的会话标识数据的暂存标识符提交到移动登录服务器;
移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库中获得对应的会话标识数据,然后使用用户在Web系统的帐户名和口令或者证明用户身份的安全令牌代用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录服务器按Web系统约定的浏览器提交会话标识数据的方式将从内存或数据库中获得的会话标识数据包含在与Web系统交互的HTTP请求中;
或者,移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库中获得对应的会话标识数据,将获得的会话标识数据返回给移动登录助手;移动登录助手使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将移动登录服务器返回的会话标识数据包含在与Web系统交互的HTTP请求中;
或者,移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在Web系统或移动登录服务器的帐户名提交到移动登录服务器;移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,进一步检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,若不是,则返回错误,若是,则通过用户帐户名获得用户的加密密钥,使用用户加密密钥对从内存或数据库中获得的、与接收到的会话标识数据的暂存标识符对应的会话标识数据进行加密,然后将加密后的会话标识数据返回给移动登录助手;移动登录助手利用用户的解密密钥对接收到的加密的会话标识数据进行解密,获得解密后的会话标识数据,之后移动登录助使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将解密获得的会话标识数据包含在与Web系统交互的HTTP请求中;
在移动登录服务器使用用户的帐户名和口令或安全令牌代用户在Web系统完成登录操作后,或者,在移动登录助手使用用户身份凭证或安全令牌为用户在Web系统完成登录操作后,用户浏览器与Web系统之间的会话自动被Web系统标志为已登录状态;
所述Web系统是一个基于Web技术开发、提供(特定或预定)功能服务的应用系统或信息系统(即Web应用系统或信息系统);
所述会话标识数据是包含有Web系统与用户浏览器之间会话的会话标识符(SessionID)及其它会话相关信息的数据;所述其它会话相关信息是用于限定会话的信息;
所述会话标识数据的暂存标识符是Web系统生成的用于对暂存在移动登录服务器中的会话标识数据进行标识的字串;
所述移动终端是一个具有数据网络联网能力并带有摄像头的便携式计算装置(如移动通信装置、平板电脑、智能穿戴设备等);
所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用浏览器在计算机上完成登录Web系统操作的程序;
所述移动登录服务器是帮助用户通过移动终端在Web系统完成登录操作的系统;
所述身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在一个系统中的帐户名,或者与用户在一个系统中的帐户名对应的、用于标识用户身份的数据(如数字证书);所述私密数据是用于证明用户就是身份凭证的拥有者的数据(如口令、数字证书的私钥);用户在Web系统登录所用的身份凭证是用户在Web系统的身份凭证,用户在移动登录服务器进行身份鉴别所用的身份凭证是用户在Web系统的身份凭证或者是用户在移动登录服务器的身份凭证;
所述安全令牌是所述移动登录服务器或一个身份服务系统(如Identity Provider)在完成对用户的身份鉴别后为用户签发的一个证明用户身份的电子信息,所述安全令牌具有时效性;所述身份服务系统是一个专门进行用户在线身份鉴别的系统。
在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在Web系统的身份凭证,则移动登录服务器能访问Web系统的用户帐户数据库或者维护有Web系统的用户帐户数据的副本;移动登录服务器通过用户在Web系统的帐户数据或自己维护的Web系统的用户帐户数据的副本对用户进行身份鉴别,以及确定用户是否有登录Web系统的权限(如有帐户且帐户有效);
在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,则移动登录服务器维护有用户在移动登录服务器的帐户与用户在Web系统的帐户之间的绑定或对应关系,并依据此绑定或对应关系确定用户是否有登录Web系统的权限(如有绑定则有权限)。
在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在Web系统的帐户名和口令,且完成对用户的身份鉴别后移动登录服务器使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器通过对用户的身份鉴别获得用户在Web系统的帐户名和口令,然后使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作;
在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,且完成对用户的身份鉴别后移动登录服务器使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器根据用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系从Web系统的用户帐户数据中获得用户登录Web系统的帐户名口令。
在以上所述登录操作过程中,若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在Web系统的帐户名提交到移动登录服务器,且移动登录服务器使用用户帐户名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器能访问Web系统的用户帐户数据库,或者移动登录服务器维护有Web系统的用户帐户数据的副本,移动登录服务器通过用户在Web系统的帐户数据或维护的Web系统的用户帐户数据的副本检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,并使用用户在Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的与会话标识数据的暂存标识符对应的会话标识数据进行加密;
在以上所述登录操作过程中,若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在移动登录服务器的帐户名提交到移动登录服务器,移动登录服务器使用用户帐户名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系,并依据此绑定或对应关系检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,并使用用户在移动登录服务器的帐户名或对应的Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的、与会话标识数据的暂存标识符对应的会话标识数据进行加密。
所述用户帐户名所对应的加密密钥是用户帐户数据库(Web系统或移动登录服务器的用户帐户数据库)中帐户名所对应的用户帐户中保存的用户公钥,或者由帐户名所对应的用户帐户中保存的口令导出的对称密钥。
若存在多个Web系统,则用户通过移动登录助手在移动登录服务器进行身份鉴别时,通过移动登录助手选择或输入用户使用浏览器要登录的Web系统,或者Web系统通过用户浏览器显示的条码中包含有用户使用浏览器要登录的Web系统信息(名称或标识或URL),用户移动终端中的移动登录助手从条码中获得用户使用浏览器要登录的Web系统信息,并在连接移动登录服务器后将用户使用浏览器要登录的Web系统的信息提交给移动登录系统。
本发明产生的有益效果是:从以上描述可以看到,本发明在基于移动终端实现用户在Web系统的登录的同时做到:一方面用户浏览器与Web系统之间会话的会话标识数据未被以明文形式传输到用户浏览器的页面,另一方面用户无需在浏览器输入其在Web系统的帐户名,因此,本发明的方法既保持了“一种基于移动终端的Web系统便捷登录方法”(专利申请号:201510472645.X)中方案实施简单的优点,又保持了“一种基于移动终端的Web系统安全登录方法”(专利申请号:201510887444.6)中方案能避免会话标识数据被注入的脚本程序窃取的风险的优点,同时又避免了201510887444.6中用户通过浏览器输入帐户名或身份标识所带来的麻烦以及可能存在的潜在风险。
附图说明
无。
具体实施方式
下面结合实施例对本发明作进一步的描述。
Web系统生成会话标识数据的暂存标识符的方法包括(但不限于):用一个随机生成的字串或者包含随机字串的字串作为会话标识数据的暂存标识符,或者用单向不可逆函数(如散列函数)对会话标识数据进行运算,然后用运算后的结果作为会话标识数据的暂存标识符;而移动登录服务器将会话标识数据暂存在内存或数据库中用会话标识数据的暂存标识符标识、以及移动登录服务器依据暂存标识符从内存或数据库中获得会话标识数据的具体实施对相关领域的技术人员而言是非常简单的,在此无需作进一步的说明。
对于移动登录助手的开发,取决于其运行所在移动终端,它相当于移动终端(如移动通信终端、平板电脑)的一个应用程序(app)。若移动终端是Android系统,则可以采用Android APP的开发技术,如Java开发;若移动终端是IOS系统,则可以采用IOS APP的开发技术,如Objective-C开发。
包含会话标识数据的暂存标识符的条码可以采用二维码。浏览器显示的条码可以由Web系统的服务端生成,也可以由浏览器的脚本程序生成。对于用移动终端扫描二维码并从二维码中获取数据目前已是成熟的技术,在此不多赘述。
对于移动登录服务器的开发,可以采用任何成熟的信息系统开发技术,如J2EE、ASP.NET等。移动登录助手与移动登录服务器之间的交互采用HTTP协议。
下面结合实施例对本发明的具体实施作进一步的描述。
实施例一
Web系统采用帐户名、口令方式进行用户登录鉴别,Web系统的帐户数据库中存有用户的帐户名、口令;移动登录服务器能直接访问Web系统的用户帐户数据库;用户通过移动登录助手使用在Web系统中的帐户名、口令在移动登录服务器进行身份鉴别,而移动登录服务器从Web系统的帐户数据库获取用户的帐户名、口令,验证用户通过移动登录助手提交的帐户名、口令的有效性;验证通过后移动登录服务器使用获得帐户名、口令代用户在Web系统进行登录, 并在代用户进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交依据暂存标识符获得的会话标识数据。
实施例二
Web系统使用安全令牌(如SAML安全断言、Spnego安全令牌)进行登录鉴别;移动登录服务器作为一个签发安全令牌的身份服务系统维护有自身的用户帐户数据,并维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系;用户通过移动登录助手使用在移动登录服务器的身份凭证在移动登录服务器进行身份鉴别;身份鉴别完成后,移动登录服务器依据帐户绑定或对应关系确定用户具有访问Web系统的权限,然后为用户签发访问Web系统的安全令牌,并使用安全令牌代用户在Web系统进行登录, 并在代用户进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交依据暂存标识符获得的会话标识数据。
实施例三
Web系统使用安全令牌(如SAML安全断言、Spnego安全令牌)进行登录鉴别;移动登录服务器作为一个签发安全令牌的身份服务系统维护有自身的用户帐户数据,并维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系;用户通过移动登录助手使用在移动登录服务器的身份凭证在移动登录服务器完成身份鉴别后,移动登录服务器依据帐户绑定或对应关系确定用户具有访问Web系统的权限,然后移动登录服务器为用户签发登录Web系统的安全令牌,然后将安全令牌以及依据暂存标识符获得会话标识数据返回给移动登录助手;移动登录助手利用移动登录服务器返回的安全令牌为用户在Web系统进行登录, 并在进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交移动登录服务器返回的会话标识数据。
实施例四
Web系统采用帐户名、口令方式进行登录鉴别,Web系统的帐户数据库中存有用户的帐户名、口令,移动登录服务器能直接访问Web系统的用户帐号数据库;移动登录助手在将扫描获得的会话标识数据的暂存标识符提交给移动登录服务器的同时将(用户输入的)用户在Web系统的帐户名提交给移动登录服务器;移动登录服务器通过用户在Web系统的帐户名确定用户在Web系统有一个有效帐户,然后从Web系统中的帐户名对应的用户帐户数据中获得用户的口令,用从口令导出的对称密钥对移动登录助手提交的暂存标识符在内存或数据库中的对应会话标识数据进行加密,然后将加密的会话标识数据返回给移动登录助手,由移动登录助手使用用户的口令导出的对称密钥对加密后的会话标识数据进行解密,然后移动登录助手使用用户在Web系统的帐户名、口令在Web系统进行登录操作,并在进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交解密获得的会话标识数据。
实施例五
Web系统采用公钥(如数字证书)方式进行登录鉴别,Web系统的帐户数据库中存有用户的公钥(如数字证书);移动登录服务器维护有自身的用户帐户数据,并维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系;移动登录服务器能访问Web系统的用户帐户数据库;移动登录助手在将扫描获得的会话标识数据的暂存标识符提交给移动登录服务器的同时将(用户输入的)用户在移动登录服务器的帐户名提交给移动登录服务器;移动登录服务器通过用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系确定用户在Web系统中是否有个有效的帐户,确认通过后移动登录服务器从Web系统的用户帐户数据中获得用户的公钥(如数字证书),然后用用户的公钥对移动登录助手提交的暂存标识符在内存或数据库中所对应的会话标识数据进行加密,然后将加密的会话标识数据返回给移动登录助手;移动登录助手使用用户的私钥对加密后的会话标识数据进行解密,然后使用用户数字证书及私钥在Web系统进行登录操作,并在进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交解密获得的会话标识数据。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
Claims (6)
1.一种面向Web系统的登录方法,其特征是:
当用户在计算机上使用浏览器访问一个尚未登录的Web系统时,Web系统为用户浏览器与Web系统之间会话的会话标识数据生成一个会话标识数据的暂存标识符,然后一方面将用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符提交到移动登录服务器暂存,另一方面将生成的会话标识数据的暂存标识符通过用户浏览器以条码形式显示;
移动登录服务器接收到Web系统提交的用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符后,将会话标识数据暂存在内存或数据库中,暂存的会话标识数据用接收到的会话标识数据的暂存标识符标识;
用户使用运行有移动登录助手的移动终端扫描浏览器上显示的条码;移动终端中的移动登录助手从扫描的条码中获得用户浏览器与Web系统之间会话的会话标识数据的暂存标识符,然后连接移动登录服务器,将获得的会话标识数据的暂存标识符提交到移动登录服务器;
移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库中获得对应的会话标识数据,然后使用用户在Web系统的帐户名和口令或者证明用户身份的安全令牌代用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录服务器按Web系统约定的浏览器提交会话标识数据的方式将从内存或数据库中获得的会话标识数据包含在与Web系统交互的HTTP请求中;
或者,移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库中获得对应的会话标识数据,将获得的会话标识数据返回给移动登录助手;移动登录助手使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将移动登录服务器返回的会话标识数据包含在与Web系统交互的HTTP请求中;
或者,移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在Web系统或移动登录服务器的帐户名提交到移动登录服务器;移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,进一步检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,若不是,则返回错误,若是,则通过用户帐户名获得用户的加密密钥,使用用户加密密钥对从内存或数据库中获得的、与接收到的会话标识数据的暂存标识符对应的会话标识数据进行加密,然后将加密后的会话标识数据返回给移动登录助手;移动登录助手利用用户的解密密钥对接收到的加密的会话标识数据进行解密,获得解密后的会话标识数据,之后移动登录助手使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将解密获得的会话标识数据包含在与Web系统交互的HTTP请求中;
在移动登录服务器使用用户的帐户名和口令或安全令牌代用户在Web系统完成登录操作后,或者,在移动登录助手使用用户身份凭证或安全令牌为用户在Web系统完成登录操作后,用户浏览器与Web系统之间的会话自动被Web系统标志为已登录状态;
所述Web系统是一个基于Web技术开发、提供功能服务的应用系统或信息系统;
所述会话标识数据是包含有Web系统与用户浏览器之间会话的会话标识符及其它会话相关信息的数据;所述其它会话相关信息是用于限定会话的信息;
所述会话标识数据的暂存标识符是Web系统生成的用于对暂存在移动登录服务器中的会话标识数据进行标识的字串;
所述移动终端是一个具有数据网络联网能力并带有摄像头的便携式计算装置;
所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用浏览器在计算机上完成登录Web系统操作的程序;
所述移动登录服务器是帮助用户通过移动终端在Web系统完成登录操作的系统;
所述身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在一个系统中的帐户名,或者与用户在一个系统中的帐户名对应的、用于标识用户身份的数据;所述私密数据是用于证明用户就是身份凭证的拥有者的数据;用户在Web系统登录所用的身份凭证是用户在Web系统的身份凭证,用户在移动登录服务器进行身份鉴别所用的身份凭证是用户在Web系统的身份凭证或者是用户在移动登录服务器的身份凭证;
所述安全令牌是所述移动登录服务器或一个身份服务系统在完成对用户的身份鉴别后为用户签发的一个证明用户身份的电子信息,所述安全令牌具有时效性;所述身份服务系统是一个专门进行用户在线身份鉴别的系统。
2.根据权利要求1所述的面向Web系统的登录方法,其特征是:
若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在Web系统的身份凭证,则移动登录服务器能访问Web系统的用户帐户数据库或者维护有Web系统的用户帐户数据的副本;移动登录服务器通过用户在Web系统的帐户数据或自己维护的Web系统的用户帐户数据的副本对用户进行身份鉴别,以及确定用户是否有登录Web系统的权限;
若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,则移动登录服务器维护有用户在移动登录服务器的帐户与用户在Web系统的帐户之间的绑定或对应关系,并依据此绑定或对应关系确定用户是否有登录Web系统的权限。
3.根据权利要求2所述的面向Web系统的登录方法,其特征是:
若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在Web系统的帐户名和口令,且完成对用户的身份鉴别后移动登录服务器使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器通过对用户的身份鉴别获得用户在Web系统的帐户名和口令,然后使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作;
若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,且完成对用户的身份鉴别后移动登录服务器使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器根据用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系从Web系统的用户帐户数据中获得用户登录Web系统的帐户名口令。
4.根据权利要求1所述的面向Web系统的登录方法,其特征是:
若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在Web系统的帐户名提交到移动登录服务器,且移动登录服务器使用用户帐户名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器能访问Web系统的用户帐户数据库,或者移动登录服务器维护有Web系统的用户帐户数据的副本,移动登录服务器通过用户在Web系统的帐户数据或维护的Web系统的用户帐户数据的副本检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,并使用用户在Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的与会话标识数据的暂存标识符对应的会话标识数据进行加密;
若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在移动登录服务器的帐户名提交到移动登录服务器,移动登录服务器使用用户帐户名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系,并依据此绑定或对应关系检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,并使用用户在移动登录服务器的帐户名或对应的Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的、与会话标识数据的暂存标识符对应的会话标识数据进行加密。
5.根据权利要求4所述的面向Web系统的登录方法,其特征是:
所述用户帐户名所对应的加密密钥是用户帐户数据库中帐户名所对应的用户帐户中保存的用户公钥,或者由帐户名所对应的用户帐户中保存的口令导出的对称密钥。
6.根据权利要求1所述的面向Web系统的登录方法,其特征是:
若存在多个Web系统,则用户通过移动登录助手在移动登录服务器进行身份鉴别时,通过移动登录助手选择或输入用户使用浏览器要登录的Web系统,或者Web系统通过用户浏览器显示的条码中包含有用户使用浏览器要登录的Web系统信息,用户移动终端中的移动登录助手从条码中获得用户使用浏览器要登录的Web系统信息,并在连接移动登录服务器后将用户使用浏览器要登录的Web系统的信息提交给移动登录系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610455487.1A CN105978994B (zh) | 2016-06-22 | 2016-06-22 | 一种面向Web系统的登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610455487.1A CN105978994B (zh) | 2016-06-22 | 2016-06-22 | 一种面向Web系统的登录方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105978994A true CN105978994A (zh) | 2016-09-28 |
CN105978994B CN105978994B (zh) | 2019-01-18 |
Family
ID=57022164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610455487.1A Expired - Fee Related CN105978994B (zh) | 2016-06-22 | 2016-06-22 | 一种面向Web系统的登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105978994B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357669A (zh) * | 2016-10-14 | 2017-01-25 | 武汉理工大学 | 一种Web系统登录方法及登录辅助系统 |
CN108462706A (zh) * | 2018-03-06 | 2018-08-28 | 武汉理工大学 | 一种单点登录方法及系统 |
CN110245499A (zh) * | 2019-05-08 | 2019-09-17 | 深圳丝路天地电子商务有限公司 | Web应用权限管理方法及系统 |
CN110336820A (zh) * | 2019-07-09 | 2019-10-15 | 中国联合网络通信集团有限公司 | 单点登出方法、装置、设备、存储介质及系统 |
CN110430249A (zh) * | 2019-07-23 | 2019-11-08 | 上海易点时空网络有限公司 | 基于手机应用程序的处理方法以及装置 |
CN113221083A (zh) * | 2021-06-02 | 2021-08-06 | 湖北央中巨石信息技术有限公司 | 一种能够提升服务器性能的区块链用户会话缓存方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
CN103609090A (zh) * | 2013-06-19 | 2014-02-26 | 华为技术有限公司 | 身份登录方法及设备 |
CN105162773A (zh) * | 2015-08-04 | 2015-12-16 | 武汉理工大学 | 一种基于移动终端的Web系统便捷登录方法 |
CN105281902A (zh) * | 2015-12-03 | 2016-01-27 | 武汉理工大学 | 一种基于移动终端的Web系统安全登录方法 |
-
2016
- 2016-06-22 CN CN201610455487.1A patent/CN105978994B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
CN103609090A (zh) * | 2013-06-19 | 2014-02-26 | 华为技术有限公司 | 身份登录方法及设备 |
CN105162773A (zh) * | 2015-08-04 | 2015-12-16 | 武汉理工大学 | 一种基于移动终端的Web系统便捷登录方法 |
CN105281902A (zh) * | 2015-12-03 | 2016-01-27 | 武汉理工大学 | 一种基于移动终端的Web系统安全登录方法 |
Non-Patent Citations (1)
Title |
---|
苏志芳: "基于Cookies的分布式多Web系统的一站式登录认证的实现", 《科技创业月刊》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357669A (zh) * | 2016-10-14 | 2017-01-25 | 武汉理工大学 | 一种Web系统登录方法及登录辅助系统 |
CN108462706A (zh) * | 2018-03-06 | 2018-08-28 | 武汉理工大学 | 一种单点登录方法及系统 |
CN110245499A (zh) * | 2019-05-08 | 2019-09-17 | 深圳丝路天地电子商务有限公司 | Web应用权限管理方法及系统 |
CN110336820A (zh) * | 2019-07-09 | 2019-10-15 | 中国联合网络通信集团有限公司 | 单点登出方法、装置、设备、存储介质及系统 |
CN110430249A (zh) * | 2019-07-23 | 2019-11-08 | 上海易点时空网络有限公司 | 基于手机应用程序的处理方法以及装置 |
CN110430249B (zh) * | 2019-07-23 | 2022-06-07 | 上海易点时空网络有限公司 | 基于手机应用程序的处理方法以及装置 |
CN113221083A (zh) * | 2021-06-02 | 2021-08-06 | 湖北央中巨石信息技术有限公司 | 一种能够提升服务器性能的区块链用户会话缓存方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105978994B (zh) | 2019-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lang et al. | Security keys: Practical cryptographic second factors for the modern web | |
US10904014B2 (en) | Encryption synchronization method | |
US11967186B1 (en) | Blockchain-based election system | |
US8438382B2 (en) | Credential management system and method | |
CN105978994A (zh) | 一种面向Web系统的登录方法 | |
CN101166091B (zh) | 一种动态密码认证的方法及服务端系统 | |
CN110046482A (zh) | 身份核实方法及其系统 | |
US9800572B2 (en) | System and method for providing limited access to data | |
CN108684041A (zh) | 登录认证的系统和方法 | |
BRPI0616692A2 (pt) | métodos fora de linha para autenticação em um sistema de autenticação cliente/servidor | |
TW201424316A (zh) | 使用瀏覽器認證線上交易的方法 | |
US20140227999A1 (en) | Method, server and system for authentication of a person | |
CN105281902B (zh) | 一种基于移动终端的Web系统安全登录方法 | |
US9654466B1 (en) | Methods and systems for electronic transactions using dynamic password authentication | |
CN100589382C (zh) | 动态口令认证系统和方法 | |
GB2488310A (en) | A method and system for authenticating a computer user by using an array of elements | |
CN101552671A (zh) | 基于u盘和动态差异密码的网络身份认证方法及系统 | |
JP6910748B1 (ja) | パスワード認証システム | |
CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
CN105391727B (zh) | 一种基于移动终端的系统登录方法 | |
Polleit et al. | Defeating the secrets of otp apps | |
KR100750214B1 (ko) | 공인 인증서를 이용한 로그인 방법 | |
CN109145543A (zh) | 一种身份认证方法 | |
JP3993132B2 (ja) | オンライン認証装置、オンライン認証システム、及びオンライン認証方法 | |
TWI640887B (zh) | 配合一行動裝置實現的使用者身分驗證系統及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190118 |