CN106161364A - 一种基于移动终端的个人认证凭证管理方法及系统 - Google Patents
一种基于移动终端的个人认证凭证管理方法及系统 Download PDFInfo
- Publication number
- CN106161364A CN106161364A CN201510158823.1A CN201510158823A CN106161364A CN 106161364 A CN106161364 A CN 106161364A CN 201510158823 A CN201510158823 A CN 201510158823A CN 106161364 A CN106161364 A CN 106161364A
- Authority
- CN
- China
- Prior art keywords
- user
- mobile terminal
- network application
- network
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种基于移动终端的个人认证凭证管理方法及系统,所述基于移动终端的个人认证凭证管理方法包括用户在移动终端通过登录认证凭证进行网络应用登录;对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理,本发明还公开了一种基于移动终端的个人认证凭证管理系统,能够实现个人密码集中管理的模式,解决用户密码疲劳问题,保证了企业保密数据在移动端的安全性。
Description
技术领域
本发明涉及认证与授权技术领域,尤其涉及一种基于移动终端的个人认证凭证管理方法及系统。
背景技术
互联网正以移动化、云化的方式深入到大众生活当中,在互联网提供精彩服务的同时,密码众多和密码复杂让人头痛不已。试想一个人在日常使用当中需要记忆多少帐号和密码,比如邮箱帐号及其密码,社交帐号及其密码,门户网站帐号密码,售票系统帐号密码,社区服务帐号密码等等。虽然每一个网站或者社区均提供了密码策略保证密码的安全性,如密码至少要8位、必须包含特殊字符、必须包含大写字母、3个月必须修改一次等等。但是在众多密码需要记忆的前提下,绝大部分人都将这些密码设置为自己常用的几个密码之一。
正是因为上述情况,12306网站的密码虽然自身为加密安全存储,但是依然被人撞库攻击,而撞库使用的帐号密码就是从其他渠道获得的,比如订房系统等等。综上所述,一个互联网网站即使自身使用安全措施很好,在现有的互联网体系下也难免存在密码泄露风险。
此外,在互联网发展的今天,为了解决统一帐号的问题,逐渐提出了基于OpenID、SAML或者OAuth协议的联邦认证。采用联邦认证的模式下,一个帐号可以被用来登录到多个系统中,比如我们常见的使用微信帐号登录,新浪微博帐号登录等。但是此种方式也存在几个缺点:
依赖于各个服务提供商直接提供互信
服务提供商直接存在竞争,很难形成统一阵营,即无法使用一个帐号登录完毕所有系统
现有帐号作为资产将会丢失,有时是不可接受的
各种协议之间交互复杂,登录速度慢,在服务提供商交互过程中,还需要用户再次接入,例如使用微信登录时,会被问及是否愿意为请求方提供认证及其授信某些资源。
上面讨论均是针对某一个用户在生活状态下的密码管理情况,可以看出在密码疲劳和密码泄露方面的重大漏洞。而除了生活状态下密码生态外,用户在工作状态下也面临的密码疲劳和泄露的风险。当然,目前在工作环境中,或者说在企业环境中,可以利用身份管理套件,提供单点登录服务,采用密码集中存储,这样极大的降低了密码疲劳,同时由于做到集中,可以统一密码安全策略和密码存储策略,从而可以做到密码安全存储。
但是,随着移动化的发展,越来越的人开始使用手机办公,而手机的特性决定这是一个私人设备,完全归属用户,故移动办公在身份管理方面提出新的挑战如下:
为了应对密码疲劳问题,需要实现移动端的单点登录服务,并且该单点登录服务需要和企业内部的系统保持互联。
需要加强移动端企业数据的安全,如果用户离职,移动端企业数据是否可以安全销毁,同时在企业数据销毁的同时,不影响用户私人数据。
移动端为了适配企业内部单点服务,需要支持多种主流企业内部单点登录服务。
发明内容
鉴于目前认证作证管理存在的上述不足,本发明提供一种基于移动终端的个人认证凭证管理方法及系统,能够实现个人密码集中管理的模式,解决用户密码疲劳问题,完美结合个人密码管理和企业密码管理,实现用户在移动终端通过单点登录后,享受个人娱乐性服务的同时,同步享受企业办公便利性服务,另外也保证了企业保密数据在移动端的安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
一种基于移动终端的个人认证凭证管理方法,所述基于移动终端的个人认证凭证管理方法包括如下步骤:
用户在移动终端通过登录认证凭证进行网络应用登录;
对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;
用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理。
依照本发明的一个方面,所述用户在移动终端通过登录认证凭证进行网络应用登录步骤具体包括以下步骤:用户在移动终端添加需要访问的网络应用;用户通过HTTP Form的方式或者通过Selenium脚本录制方式进行回放登录。
依照本发明的一个方面,所述对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌步骤具体包括以下步骤:当用户完成网络应用登录后,将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上,对存储的登录密码进行加密并定期对密码进行动态修改;用户通过移动终端登录个人网络应用时移动终端获取经过加密的动态密码,并使用用户名和获取的动态密码登录对应的个人网络应用,在登录个人网络应用前先要使用用户获取的验证识别码对用户身份进行后才能登录;用户通过移动终端登录企业网络应用时移动终端的单点登录模块对用户登录企业网络应用的登录信息进行记录并通过SSL协议与企业内部单点协议及企业单点登录服务进行交互获得验证识别Token,移动终端将验证识别Token分配给用户用于身份认证。
依照本发明的一个方面,所述用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证步骤执行前执行以下步骤:在移动终端的单点登录模块上设置CAS服务模块、Oracle访问管理模块及IBMTivoli服务模块。
依照本发明的一个方面,所述用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证步骤具体包括以下步骤:用户通过移动终端登录个人网络应用时通过获取的验证识别码对用户身份进行验证,验证通过后允许用户对个个网络应用进行访问,并可对之前登录过的所有个网络应用进行访问而无须再次输入登录密码;当用户通过移动终端登录企业网络应用时将分配的验证识别Token发送给企业身份管理模块对用户身份状态验证,若用户身份状态处于有权状态,则允许用户登录企业网络应用,若用户身份状态处于无权状态,则拒绝用户登录企业网络应用。
依照本发明的一个方面,所述用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离或销毁处理步骤具体包括以下步骤:用户在移动终端上登录个人网络应用时在移动终端验证用户身份发现用户身份状态处于锁定状态,则拒绝用户登录个人网络应用并个人网络应用内的数据信息进行隔离锁定;用户通过移动终端单点登录企业网络应用后,移动终端的帐号信息同步模块定期从企业身份管理模块同步用户帐号信息,若用户帐号信息中用于登录企业网络应用的用户身份状态处于没有登录权限状态时,则移动终端收回分配的验证识别Token,同时对用户帐号所登录的企业网络应用内的保密数据进行销毁处理。
一种基于移动终端的个人认证凭证管理系统,所述基于移动终端的个人认证凭证管理系统包括:
登录模块,用于用户在移动终端通过登录认证凭证进行网络应用登录;
密码加密模块,用于对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户密码,同时为用户分配验证识别令牌;
验证模块,用于用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
数据销毁模块,用于用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离销毁处理。
依照本发明的一个方面,所述基于移动终端的个人认证凭证管理系统还包括:登录逻辑模块,用于从密码加密模块处获取密码,并使用用户名和获取的密码登录对应的个人网络应用。
依照本发明的一个方面,所述基于移动终端的个人认证凭证管理系统还包括:密码存储模块,用于将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上。
依照本发明的一个方面,所述基于移动终端的个人认证凭证管理系统还包括:帐号信息同步模块,用于定期从企业身份管理模块同步用户帐号信息。
本发明实施的优点:通过用户在移动终端通过登录认证凭证进行网络应用登录;对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的保密数据进行隔离销毁处理,通过上述步骤能够实现个人密码集中管理的模式,解决用户密码疲劳问题,完美结合个人密码管理和企业密码管理,实现用户在移动终端通过单点登录后,享受个人娱乐性服务的同时,同步享受企业办公便利性服务,另外也保证了企业保密数据在移动端的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述的一种基于移动终端的个人认证凭证管理方法的实施例1的方法流程图;
图2为本发明所述的一种基于移动终端的个人认证凭证管理方法的实施例2的方法流程图;
图3为本发明所述的一种基于移动终端的个人认证凭证管理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
如图1所示,一种基于移动终端的个人认证凭证管理方法,所述基于移动终端的个人认证凭证管理方法包括如下步骤:
步骤S1:用户在移动终端通过登录认证凭证进行网络应用登录;
所述步骤S1:用户在移动终端通过登录认证凭证进行网络应用登录步骤具体包括以下步骤:用户在移动终端添加需要访问的网络应用;用户通过HTTP Form的方式或者通过Selenium脚本录制方式进行回放登录。
HTTP是一个无状态的协议,无状态的意思可以理解为:WEB服务器在处理所有传入请求时,根本就不知道某个请求是否是一个用户的第一次请求与后续请求,或者是另一个用户的请求。WEB服务器每次在处理请求时,都会按照用户所访问的资源所对应的处理代码,从头到尾执行一遍,然后输出响应内容,WEB服务器根本不会记住已处理了哪些用户的请求,因此,我们通常说HTTP协议是无状态的。
虽然HTTP协议与WEB服务器是无状态,但业务需求却要求有状态,典型的就是用户登录,在这种业务需求中,要求WEB服务器端能区分某个请求是不是一个已登录用户发起的,或者当前请求是哪个用户发出的。在开发WEB应用程序时,我们通常会使用Cookie来保存一些简单的数据供服务端维持必要的状态。
登录的操作通常会检查用户提供的用户名和密码,因此登录状态也必须具有足够高的安全性。在Forms身份认证中,由于登录状态是保存在Cookie中,而Cookie又会保存到客户端,因此,为了保证登录状态不被恶意用户伪造,ASP.NET采用了加密的方式保存登录状态。为了实现安全性,ASP.NET采用Forms身份验证凭据(即Forms-Authentication Ticket对象)来表示一个Forms登录用户,加密与解密由Forms Authentication的Encrypt与Decrypt的方法来实现。
Selenium是一套完整的Web应用程序,它包含了录制(SeleniumIDE)、编写及运行(Selenium Remote Control)和测试的并行处理(Selenium Grid)。Selenium IDE在浏览器中模拟用户真实操作进行回放。而且可以生成一些简单的基于Selenium Remote Control模式的简单代码。
步骤S2:对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;
所述步骤S2:对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌步骤具体包括以下步骤:当用户完成网络应用登录后,将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上,对存储的登录密码进行加密并定期对密码进行动态修改;用户通过移动终端登录个人网络应用时移动终端获取经过加密的动态密码,并使用用户名和获取的动态密码登录对应的个人网络应用,在登录个人网络应用前先要使用用户获取的验证识别码对用户身份进行后才能登录;用户通过移动终端登录企业网络应用时移动终端的单点登录模块对用户登录企业网络应用的登录信息进行记录并通过SSL协议与企业内部单点协议及企业单点登录服务进行交互获得验证识别Token,移动终端将验证识别Token分配给用户用于身份认证。
移动终端将网络应用登录区域分为个人网络应用登录区和企业网络应用登录区域,用户选择个人网络应用或者企业网络应用,比如,腾讯QQ、QQ空间、新浪微博、网盘等个人网络应用,企业网络应用,比如,OA应用、企业邮箱、HR管理应用、ERP应用等等,用户进行首次登录后移动终端记录下登录用户名和登录密码,将网络应用与登录用户名和登录密码分类生产对应列表后存储到移动终端本地存储器或云端服务器,并定期对密码进行修改。移动终端为用户登录个人网络应用时分配唯一的验证识别码,验证识别码可以通过移动终端通知信息形式、邮件形式或其它形式发给用户,用户收到验证识别码进行用户身份验证。
移动终端访问企业网络应用也需要对用户身份进行验证,但与登录个人网络应用需要在移动终端进行身份验证方式不同,移动终端访问企业网络应用需要到企业端对用户身份进行验证,用户通过移动终端登录企业网络应用时移动终端的单点登录模块对用户登录企业网络应用的登录信息进行记录并通过SSL协议与企业内部单点协议及企业单点登录服务进行交互获得验证识别Token,用户下次登录企业网络应用时需要通过验证识别Token在企业端对用户身份状态进行验证,验证通过后才可通过单点登录服务登录所有企业办公应用。
移动终端损坏或者丢失后,则可通过云端服务器将用户名和密码找回,大大提高了帐号了安全和便捷性。移动终端自动将网络应用分为个人网络应用和企业网络应用登录区,方便用户快速选对要登录的网络应用类型,减少访问等待的时间,提高效率。
步骤S3:用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
所述步骤S3:用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证步骤具体包括以下步骤:用户通过移动终端登录个人网络应用时通过获取的验证识别码对用户身份进行验证,验证通过后允许用户对个人网络应用进行访问并可对之前登录过的所有个人网络应用进行访问而无须再次输入登录密码;当用户通过移动终端登录企业网络应用时将分配的验证识别Token发送给企业身份管理模块对用户身份状态验证,若用户身份状态处于有权状态,则允许用户登录企业网络应用,若用户身份状态处于无权状态,则拒绝用户登录企业网络应用。
用户在移动终端上登录个人网络应用时通过分配的唯一验证识别码进行身份状态验证,当用户通过移动终端登录企业网络应用时将分配的验证识别Token发送给企业端对用户身份状态验证。
用户在移动终端上登录个人网络应用时发布了违法犯罪的内容或都其他不利于公共利益的内容时,个人网络应用将用户的帐号进行限时封号,用户下次登录个人网络应用时进行身份状态验证将显示此用户无权登录提示,说明用户身份处于无登录权限状态,将拒绝用户登录。
当用户通过移动终端登录企业网络应用需要在企业端对用户身份状态验证,当用户因离职或其他原因离开企业工作岗位不再使用登录企业网络应用的帐号时,移动终端获取用户身份状态处于无登录权限时,收回验证识别Token,并自动销毁企业网络应用内的数据信息,保证企业数据不被泄露。
步骤S4:用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理;
所述步骤S4:用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理步骤具体包括以下步骤:用户在移动终端上登录个人网络应用时在移动终端验证用户身份发现用户身份状态处于锁定状态,则拒绝用户登录个人网络应用并个人网络应用内的数据信息进行隔离锁定;用户通过移动终端单点登录企业网络应用后,移动终端定期从企业身份管理平台同步用户帐号信息,若用户帐号信息中用于登录企业网络应用的用户身份状态处于没有登录权限状态时,则移动终端收回分配的验证识别Token,同时对用户帐号所登录的企业网络应用内的保密数据进行销毁处理。
用户在移动终端上登录个人网络应用时发布了违法犯罪的内容或都其他不利于公共利益的内容时,个人网络应用将用户的帐号进行限时封号,用户下次登录个人网络应用时进行身份状态验证将显示此用户无权登录提示,说明用户身份处于无登录权限状态,将拒绝用户登录,并将个人网络应用内的数据信息进行隔离锁定,直到身份状态为有权限时才可进行身份认证登录。
身份管理是企业内部的帐号管理、认证管理、授权管理和审计管理的总称。在大型企业尤其是人员较多的企业中,存在很多的异构应用,常见如HR应用、CRM应用、OA应用、ERP应用等等,而这些应用中的用户管理部分各自独立,造成了同一个企业用户在不同应用中拥有很多帐号的情况。在企业规模增大时,由此造成的问题会不断的扩大,一个常见的例子是,某员工离职后,在ERP或者CRM应用中的帐号还没有删除,此时及其容易造成企业信息外泄,据统计,84%的企业安全来源于内部,而帐号统一是消除不同系统中帐号生命周期不同的基础。同样的道理,各个系统的中的权限由各自系统独立管理,而没有一个统一的管理平台,这意味着跨应用的权限冲突无法被探究到。
在移动终端通过单点登录服务建立统一的管理平台,当用户通过移动终端登录企业网络应用需要在企业端对用户身份状态验证,当用户因离职或其他原因离开企业工作岗位不再使用登录企业网络应用的帐号时,移动终端获取用户身份状态处于无登录权限时,收回验证识别Token,并自动销毁企业网络应用内的数据信息,保证企业数据不被泄露。
通过用户在移动终端通过登录认证凭证进行网络应用登录;对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的保密数据进行隔离销毁处理,通过上述步骤能够实现个人密码集中管理的模式,解决用户密码疲劳问题,完美结合个人密码管理和企业密码管理,实现用户在移动终端通过单点登录后,享受个人娱乐性服务的同时,同步享受企业办公便利性服务,另外也保证了企业保密数据在移动端的安全性。
实施例2:
如图2所示,一种基于移动终端的个人认证凭证管理方法,所述基于移动终端的个人认证凭证管理方法包括如下步骤:
步骤S1:用户在移动终端通过登录认证凭证进行网络应用登录;
所述步骤S1:用户在移动终端通过登录认证凭证进行网络应用登录步骤具体包括以下步骤:用户在移动终端添加需要访问的网络应用;用户通过HTTP Form的方式或者通过Selenium脚本录制方式进行回放登录。
HTTP是一个无状态的协议,无状态的意思可以理解为:WEB服务器在处理所有传入请求时,根本就不知道某个请求是否是一个用户的第一次请求与后续请求,或者是另一个用户的请求。WEB服务器每次在处理请求时,都会按照用户所访问的资源所对应的处理代码,从头到尾执行一遍,然后输出响应内容,WEB服务器根本不会记住已处理了哪些用户的请求,因此,通常说HTTP协议是无状态的。
虽然HTTP协议与WEB服务器是无状态,但业务需求却要求有状态,典型的就是用户登录,在这种业务需求中,要求WEB服务器端能区分某个请求是不是一个已登录用户发起的,或者当前请求是哪个用户发出的。在开发WEB应用程序时,我们通常会使用Cookie来保存一些简单的数据供服务端维持必要的状态。
登录的操作通常会检查用户提供的用户名和密码,因此登录状态也必须具有足够高的安全性。在Forms身份认证中,由于登录状态是保存在Cookie中,而Cookie又会保存到客户端,因此,为了保证登录状态不被恶意用户伪造,ASP.NET采用了加密的方式保存登录状态。为了实现安全性,ASP.NET采用Forms身份验证凭据(即Forms-Authentication Ticket对象)来表示一个Forms登录用户,加密与解密由Forms Authentication的Encrypt与Decrypt的方法来实现。
Selenium是一套完整的Web应用程序,它包含了录制(SeleniumIDE)、编写及运行(Selenium Remote Control)和测试的并行处理(Selenium Grid)。Selenium IDE在浏览器中模拟用户真实操作进行回放。而且可以生成一些简单的基于Selenium Remote Control模式的简单代码。
步骤S2:对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;
所述步骤S2:对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌步骤具体包括以下步骤:当用户完成网络应用登录后,将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上,对存储的登录密码进行加密并定期对密码进行动态修改;用户通过移动终端登录个人网络应用时移动终端获取经过加密的动态密码,并使用用户名和获取的动态密码登录对应的个人网络应用,在登录个人网络应用前先要使用用户获取的验证识别码对用户身份进行后才能登录;用户通过移动终端登录企业网络应用时移动终端的单点登录模块对用户登录企业网络应用的登录信息进行记录并通过SSL协议与企业内部单点协议及企业单点登录服务进行交互获得验证识别Token,移动终端将验证识别Token分配给用户用于身份认证。
移动终端将网络应用登录区域分为个人网络应用登录区和企业网络应用登录区域,用户选择个人网络应用或者企业网络应用,比如,腾讯QQ、QQ空间、新浪微博、网盘等个人网络应用,企业网络应用,比如,OA应用、企业邮箱、HR管理应用、ERP应用等等,用户进行首次登录后移动终端记录下登录用户名和登录密码,将网络应用与登录用户名和登录密码分类生产对应列表后存储到移动终端本地存储器或云端服务器,并定期对密码进行修改。移动终端为用户登录个人网络应用时分配唯一的验证识别码,验证识别码可以通过移动终端通知信息形式、邮件形式或其它形式发给用户,用户收到验证识别码进行用户身份验证。
移动终端访问企业网络应用也需要对用户身份进行验证,但与登录个人网络应用需要在移动终端进行身份验证方式不同,移动终端访问企业网络应用需要到企业端对用户身份进行验证,用户通过移动终端登录企业网络应用时移动终端的单点登录模块对用户登录企业网络应用的登录信息进行记录并通过SSL协议与企业内部单点协议及企业单点登录服务进行交互获得验证识别Token,用户下次登录企业网络应用时需要通过验证识别Token在企业端对用户身份状态进行验证,验证通过后才可通过单点登录服务登录所有企业办公应用。
移动终端损坏或者丢失后,则可通过云端服务器将用户名和密码找回,大大提高了帐号了安全和便捷性。移动终端自动将网络应用分为个人网络应用和企业网络应用登录区,方便用户快速选对要登录的网络应用类型,减少访问等待的时间,提高效率。
步骤S3:在移动终端的单点登录模块上设置CAS服务模块、Oracle访问管理模块及IBM Tivoli服务模块;
要在移动终端通过单点登录服务建立统一的管理平台就需要支持的现有企业端单点登录服务,主要有CAS、Oracle Access Manager、IBMTivoli,通过集成上述企业端单点登录服务,可实现统一的管理平台兼容性,保证企业网络应用登录的可靠性、保密性和便捷性。
步骤S4:用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
所述步骤S4:用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证步骤具体包括以下步骤:用户通过移动终端登录个人网络应用时通过获取的验证识别码对用户身份进行验证,验证通过后允许用户对个个网络应用进行访问并可对之前登录过的所有个网络应用进行访问而无须再次输入登录密码;当用户通过移动终端登录企业网络应用时将分配的验证识别Token发送给企业身份管理模块对用户身份状态验证,若用户身份状态处于有权状态,则允许用户登录企业网络应用,若用户身份状态处于无权状态,则拒绝用户登录企业网络应用。
用户在移动终端上登录个人网络应用时通过分配的唯一验证识别码进行身份状态验证,当用户通过移动终端登录企业网络应用时将分配的验证识别Token发送给企业端对用户身份状态验证。
用户在移动终端上登录个人网络应用时发布了违法犯罪的内容或都其他不利于公共利益的内容时,个人网络应用将用户的帐号进行限时封号,用户下次登录个人网络应用时进行身份状态验证将显示此用户无权登录提示,说明用户身份处于无登录权限状态,将拒绝用户登录。
当用户通过移动终端登录企业网络应用需要在企业端对用户身份状态验证,当用户因离职或其他原因离开企业工作岗位不再使用登录企业网络应用的帐号时,移动终端获取用户身份状态处于无登录权限时,收回验证识别Token,并自动销毁企业网络应用内的数据信息,保证企业数据不被泄露。
步骤S5:用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理;
所述步骤S5:用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理步骤具体包括以下步骤:用户在移动终端上登录个人网络应用时在移动终端验证用户身份发现用户身份状态处于锁定状态,则拒绝用户登录个人网络应用并个人网络应用内的数据信息进行隔离锁定;用户通过移动终端单点登录企业网络应用后,移动终端定期从企业身份管理平台同步用户帐号信息,若用户帐号信息中用于登录企业网络应用的用户身份状态处于没有登录权限状态时,则移动终端收回分配的验证识别Token,同时对用户帐号所登录的企业网络应用内的保密数据进行销毁处理。
用户在移动终端上登录个人网络应用时发布了违法犯罪的内容或都其他不利于公共利益的内容时,个人网络应用将用户的帐号进行限时封号,用户下次登录个人网络应用时进行身份状态验证将显示此用户无权登录提示,说明用户身份处于无登录权限状态,将拒绝用户登录,并将个人网络应用内的数据信息进行隔离锁定,直到身份状态为有权限时才可进行身份认证登录。
身份管理是企业内部的帐号管理、认证管理、授权管理和审计管理的总称。在大型企业尤其是人员较多的企业中,存在很多的异构应用,常见如HR应用、CRM应用、OA应用、ERP应用等等,而这些应用中的用户管理部分各自独立,造成了同一个企业用户在不同应用中拥有很多帐号的情况。在企业规模增大时,由此造成的问题会不断的扩大,一个常见的例子是,某员工离职后,在ERP或者CRM应用中的帐号还没有删除,此时及其容易造成企业信息外泄,据统计,84%的企业安全来源于内部,而帐号统一是消除不同系统中帐号生命周期不同的基础。同样的道理,各个系统的中的权限由各自系统独立管理,而没有一个统一的管理平台,这意味着跨应用的权限冲突无法被探究到。
在移动终端通过单点登录服务建立统一的管理平台,当用户通过移动终端登录企业网络应用需要在企业端对用户身份状态验证,当用户因离职或其他原因离开企业工作岗位不再使用登录企业网络应用的帐号时,移动终端获取用户身份状态处于无登录权限时,收回验证识别Token,并自动销毁企业网络应用内的数据信息,保证企业数据不被泄露。
通过用户在移动终端通过登录认证凭证进行网络应用登录;对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的保密数据进行隔离销毁处理,通过上述步骤能够实现个人密码集中管理的模式,解决用户密码疲劳问题,完美结合个人密码管理和企业密码管理,实现用户在移动终端通过单点登录后,享受个人娱乐性服务的同时,同步享受企业办公便利性服务,另外也保证了企业保密数据在移动端的安全性。
一种基于移动终端的个人认证凭证管理系统的实施例:
一种基于移动终端的个人认证凭证管理系统,所述基于移动终端的个人认证凭证管理系统包括:
登录模块1,用于用户在移动终端通过登录认证凭证进行网络应用登录;
密码加密模块2,用于对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户密码,同时为用户分配验证识别令牌;
验证模块3,用于用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
数据销毁模块4,用于用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离销毁处理。
在本实施例中,基于移动终端的个人认证凭证管理系统还包括:登录逻辑模块5,用于从密码加密模块处获取密码,并使用用户名和获取的密码登录对应的个人网络应用。
在本实施例中,基于移动终端的个人认证凭证管理系统还包括:密码存储模块6,用于将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上。
在本实施例中,基于移动终端的个人认证凭证管理系统还包括:帐号信息同步模块7,用于定期从企业身份管理模块同步用户帐号信息。
本发明实施的优点:通过用户在移动终端通过登录认证凭证进行网络应用登录;对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的保密数据进行隔离销毁处理,通过上述步骤能够实现个人密码集中管理的模式,解决用户密码疲劳问题,完美结合个人密码管理和企业密码管理,实现用户在移动终端通过单点登录后,享受个人娱乐性服务的同时,同步享受企业办公便利性服务,另外也保证了企业保密数据在移动端的安全性。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域技术的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于移动终端的个人认证凭证管理方法,其特征在于,所述基于移动终端的个人认证凭证管理方法包括:
用户在移动终端通过登录认证凭证进行网络应用登录;
对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌;
用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理。
2.根据权利要求1所述的基于移动终端的个人认证凭证管理方法,其特征在于,所述用户在移动终端通过登录认证凭证进行网络应用登录步骤具体包括以下步骤:用户在移动终端添加需要访问的网络应用;用户通过HTTP Form的方式或者通过Selenium脚本录制方式进行回放登录。
3.根据权利要求1所述的基于移动终端的个人认证凭证管理方法,其特征在于,所述对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户认证凭证,同时为用户分配验证识别令牌步骤具体包括以下步骤:当用户完成网络应用登录后,将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上,对存储的登录密码进行加密并定期对密码进行动态修改;用户通过移动终端登录个人网络应用时移动终端获取经过加密的动态密码,并使用用户名和获取的动态密码登录对应的个人网络应用,在登录个人网络应用前先要使用用户获取的验证识别码对用户身份进行后才能登录;用户通过移动终端登录企业网络应用时移动终端的单点登录模块对用户登录企业网络应用的登录信息进行记录并通过SSL协议与企业内部单点协议及企业单点登录服务进行交互获得验证识别Token,移动终端将验证识别Token分配给用户用于身份认证。
4.根据权利要求1所述的基于移动终端的个人认证凭证管理方法,其特征在于,所述用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证步骤执行前执行以下步骤:在移动终端的单点登录模块上设置CAS服务模块、Oracle访问管理模块及IBM Tivoli服务模块。
5.根据权利要求1至4之一所述的基于移动终端的个人认证凭证管理方法,其特征在于,所述用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证步骤具体包括以下步骤:用户通过移动终端登录个人网络应用前通过获取的验证识别码对用户身份进行验证,验证通过后允许用户对个个网络应用进行访问,并可对之前登录过的所有个网络应用进行访问而无须再次输入登录密码;当用户通过移动终端登录企业网络应用时将分配的验证识别Token发送给企业身份管理模块对用户身份状态验证,若用户身份状态处于有权状态,则允许用户登录企业网络应用,若用户身份状态处于无权状态,则拒绝用户登录企业网络应用。
6.根据权利要求5所述的基于移动终端的个人认证凭证管理方法,其特征在于,所述用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离锁定或销毁处理步骤具体包括以下步骤:用户在移动终端上登录个人网络应用时在移动终端验证用户身份发现用户身份状态处于锁定状态,则拒绝用户登录个人网络应用并个人网络应用内的数据信息进行隔离锁定;用户通过移动终端单点登录企业网络应用后,移动终端定期从企业身份管理平台同步用户帐号信息,若用户帐号信息中用于登录企业网络应用的用户身份状态处于没有登录权限状态时,则移动终端收回分配的验证识别Token,同时对用户帐号所登录的企业网络应用内的保密数据进行销毁处理。
7.一种基于移动终端的个人认证凭证管理系统,其特征在于,所述基于移动终端的个人认证凭证管理系统包括:
登录模块,用于用户在移动终端通过登录认证凭证进行网络应用登录;
密码加密模块,用于对用户所登录的网络应用与认证凭证进行记录存储,将用户登认证凭证进行加密并定期修改用户密码,同时为用户分配验证识别令牌;
验证模块,用于用户登录的网络应用时通过验证识别令牌对用户身份状态进行验证;
数据销毁模块,用于用户的现有用户身份状态没有登录网络应用的权限时收回验证识别令牌,对用户帐号所持有的数据信息进行隔离销毁处理。
8.根据权利要求7所述的基于移动终端的个人认证凭证管理系统,其特征在于,所述基于移动终端的个人认证凭证管理系统还包括:登录逻辑模块,用于从密码加密模块处获取密码,并使用用户名和获取的密码登录对应的个人网络应用。
9.根据权利要求8所述的基于移动终端的个人认证凭证管理系统,其特征在于,所述基于移动终端的个人认证凭证管理系统还包括:密码存储模块,用于将用户所登录的网络应用和登录密码分别存储在本地移动终端上与云端服务器上。
10.根据权利要求7至9之一所述的基于移动终端的个人认证凭证管理系统,其特征在于,所述基于移动终端的个人认证凭证管理系统还包括:帐号信息同步模块,用于定期从企业身份管理模块同步用户帐号信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510158823.1A CN106161364A (zh) | 2015-04-06 | 2015-04-06 | 一种基于移动终端的个人认证凭证管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510158823.1A CN106161364A (zh) | 2015-04-06 | 2015-04-06 | 一种基于移动终端的个人认证凭证管理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106161364A true CN106161364A (zh) | 2016-11-23 |
Family
ID=57337576
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510158823.1A Pending CN106161364A (zh) | 2015-04-06 | 2015-04-06 | 一种基于移动终端的个人认证凭证管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106161364A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107835161A (zh) * | 2017-10-23 | 2018-03-23 | 中国石油天然气股份有限公司北京信息技术服务中心 | 内外用户统一管理的方法、系统及计算机存储介质 |
| CN109067826A (zh) * | 2018-06-21 | 2018-12-21 | 深圳市买买提信息科技有限公司 | 一种实现移动终端办公的方法、移动终端及系统 |
| CN109118236A (zh) * | 2018-08-08 | 2019-01-01 | 深圳市富途网络科技有限公司 | 一种基于人体生物特征信息进行身份认证的交易方法 |
| CN109241722A (zh) * | 2018-09-25 | 2019-01-18 | 上海盛付通电子支付服务有限公司 | 用于获取信息的方法、电子设备和计算机可读介质 |
| CN111771354A (zh) * | 2017-11-28 | 2020-10-13 | 美国运通旅游有关服务公司 | 使用区块链的单点登录方案 |
| CN112532599A (zh) * | 2020-11-19 | 2021-03-19 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
| CN113348491A (zh) * | 2018-10-23 | 2021-09-03 | 克隆尼斯股份有限公司 | 通过个人访问模块的访问授权 |
| CN113569292A (zh) * | 2021-08-05 | 2021-10-29 | 贵州电网有限责任公司 | 一种电力监控系统密码管理工具及其管理方法 |
| CN114422258A (zh) * | 2022-01-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
| CN117596237A (zh) * | 2024-01-19 | 2024-02-23 | 安擎计算机信息股份有限公司 | 一种基于移动终端的服务器远程控制系统和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| CN102480472A (zh) * | 2010-11-22 | 2012-05-30 | 英业达股份有限公司 | 企业内网络的应用程序整合登录方法及其验证服务器 |
| CN103179564A (zh) * | 2011-12-22 | 2013-06-26 | 上海格尔软件股份有限公司 | 基于移动终端认证的网络应用登录方法 |
| CN103229453A (zh) * | 2012-12-28 | 2013-07-31 | 华为技术有限公司 | 一种认证方法、设备和系统 |
| CN104320392A (zh) * | 2014-10-22 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 一种用户统一认证的方法 |
-
2015
- 2015-04-06 CN CN201510158823.1A patent/CN106161364A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| CN102480472A (zh) * | 2010-11-22 | 2012-05-30 | 英业达股份有限公司 | 企业内网络的应用程序整合登录方法及其验证服务器 |
| CN103179564A (zh) * | 2011-12-22 | 2013-06-26 | 上海格尔软件股份有限公司 | 基于移动终端认证的网络应用登录方法 |
| CN103229453A (zh) * | 2012-12-28 | 2013-07-31 | 华为技术有限公司 | 一种认证方法、设备和系统 |
| CN104320392A (zh) * | 2014-10-22 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 一种用户统一认证的方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107835161A (zh) * | 2017-10-23 | 2018-03-23 | 中国石油天然气股份有限公司北京信息技术服务中心 | 内外用户统一管理的方法、系统及计算机存储介质 |
| CN111771354A (zh) * | 2017-11-28 | 2020-10-13 | 美国运通旅游有关服务公司 | 使用区块链的单点登录方案 |
| CN109067826A (zh) * | 2018-06-21 | 2018-12-21 | 深圳市买买提信息科技有限公司 | 一种实现移动终端办公的方法、移动终端及系统 |
| CN109118236A (zh) * | 2018-08-08 | 2019-01-01 | 深圳市富途网络科技有限公司 | 一种基于人体生物特征信息进行身份认证的交易方法 |
| CN109241722A (zh) * | 2018-09-25 | 2019-01-18 | 上海盛付通电子支付服务有限公司 | 用于获取信息的方法、电子设备和计算机可读介质 |
| CN113348491A (zh) * | 2018-10-23 | 2021-09-03 | 克隆尼斯股份有限公司 | 通过个人访问模块的访问授权 |
| CN113348491B (zh) * | 2018-10-23 | 2023-10-17 | 克隆尼斯股份有限公司 | 通过个人访问模块的访问授权 |
| CN112532599A (zh) * | 2020-11-19 | 2021-03-19 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
| CN112532599B (zh) * | 2020-11-19 | 2023-04-18 | 北京信安世纪科技股份有限公司 | 一种动态鉴权方法、装置、电子设备和存储介质 |
| CN113569292A (zh) * | 2021-08-05 | 2021-10-29 | 贵州电网有限责任公司 | 一种电力监控系统密码管理工具及其管理方法 |
| CN114422258A (zh) * | 2022-01-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
| CN117596237A (zh) * | 2024-01-19 | 2024-02-23 | 安擎计算机信息股份有限公司 | 一种基于移动终端的服务器远程控制系统和方法 |
| CN117596237B (zh) * | 2024-01-19 | 2024-04-19 | 安擎计算机信息股份有限公司 | 一种基于移动终端的服务器远程控制系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161364A (zh) | 一种基于移动终端的个人认证凭证管理方法及系统 | |
| CN112154639B (zh) | 在没有用户足迹的情况下的多因素认证 | |
| US6668322B1 (en) | Access management system and method employing secure credentials | |
| US6892307B1 (en) | Single sign-on framework with trust-level mapping to authentication requirements | |
| EP2856702B1 (en) | Policy service authorization and authentication | |
| US10778668B2 (en) | HTTP session validation module | |
| US8832857B2 (en) | Unsecured asset detection via correlated authentication anomalies | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| US20100031317A1 (en) | Secure access | |
| CN107872455A (zh) | 一种跨域单点登录系统及其方法 | |
| Beltran | Characterization of web single sign-on protocols | |
| CN104836803A (zh) | 基于session机制的单点登录方法 | |
| CN109728903A (zh) | 一种使用属性密码的区块链弱中心密码授权方法 | |
| Hossain et al. | OAuth-SSO: A framework to secure the OAuth-based SSO service for packaged web applications | |
| CN102143131A (zh) | 用户注销方法及认证服务器 | |
| GB2595405A (en) | Platform for generation of passwords and/or email addresses | |
| Shaikh et al. | Identity management in cloud computing | |
| CN108989334A (zh) | 一种基于java的sso单点登录方法 | |
| Balaj | Token-based vs session-based authentication: A survey | |
| Liu et al. | Account Lockouts: Characterizing and Preventing Account Denial-of-Service Attacks | |
| Grzonkowski et al. | D-FOAF-Security Aspects in Distributed User Management System | |
| Algaradi et al. | Big data security: a progress study of current user authentication schemes | |
| Koundinya et al. | A review on single sign on as an authentication | |
| Wang et al. | Research on cross-platform unified resource access control management system | |
| Maudoux et al. | LemonLDAP:: NG a full AAA free open source WebSSO solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161123 |