CN106603547A - 一种统一登录方法 - Google Patents

Abstract

本发明涉及一种统一登录方法，该方法在不设置单独的登录服务器的情况下，通过已登录网站的安全等级和密码等级，确定是否可以直接登录新的网站。该方法通过记录多个网站本身的登录信息，避免了将系统的安全性集中于单点上，从而整体上增强了系统的安全性。

Description

一种统一登录方法

【技术领域】

本发明属于计算机和网络领域，涉及网络上网站的登录方法，尤其涉及一种统一登录方法。

【背景技术】

近年来，互联网开始大规模进入人们的生活，各个企业和商家通过互联网网站给用户提供服务和应用，这些不同的服务和应用都会要求用户先登录再使用，即先对用户进行身份认证，这样用户每进一个网站都需要登录一次。

对用户的身份进行有效认证是实施网站安全保障的前提，一般来说，用户必须提供正确的用户名/密码才能够进入网站。用户每天通常要登录诸多网站请求服务，为了安全起见，不可避免的要针对每个网站提交不同的用户名和密码。因而，许多用户每天需要反复登录各种网站，反复输入用户名和密码，严重影响了用户体验。

现在技术中，解决这一问题的方法是使用单点登录技术，这是目前常用的关于企业业务整合的解决方案之一。单点登录可以这样定义：在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它允许用户定义一组不同的服务，并通过集中接口(门户)访问这些服务，其中的每个服务都可能要求认证用户。而所述门户可以提供到所有从属服务的单点登录，避免了用户不断登录的需求，从而提高了门户的价值。

但是，单点登录的优点也同时带来了一个最大的缺点，就是其安全性完全依赖于单点登录的门户，一旦该门户发生故障或者受到攻击，就会导致整个系统陷入瘫痪。也就是说，将整个系统的安全性集中到一点是与现在的网络安全思想背道而驰。

对于现有技术的上述缺点，还没有一种完善的解决方案。

【发明内容】

为了解决现有技术中的上述问题，本发明提出了一种统一登陆方法。

本发明采用的技术方案如下：

一种统一登录方法，该方法包括如下步骤：

用户使用用户名、密码登录任意一个网站后，所述网站为该用户生成一个登录信息Login，该登录信息被发送到用户终端保存，所述登录信息是以下五元组，即：

Login＝{WebID，username，Time，PLevel，Sig}，

其中，WebID是该网站的标识符，username是登录的用户名，Time是登录该网站的时间，PLevel是登录该网站所使用的密码的强度，Sig是该网站使用其私钥对四元组{WebID，username，Time，PLevel}所做的数字签名。

当用户需要新登录一个网站W时，所述用户终端检查其拥有的所有登录信息，去除掉过期的登录信息后，将剩余的登录信息发送给该网站W；

该网站W检查接收到的登录信息，去除其中过期的登录信息和数字签名不正确的登录信息，剩下了k个有效登录信息，设为L₁，L₂，……，L_k，其中L_i＝{WebID_i，username，Time_i，PLevel_i，Sig_i}；

该网站W从WebID_i所对应的数字证书中获取其相应的网站安全等级SLevel_i，1≤i≤k，则该网站W使用该k个有效登录信息计算一个登录安全值P，即：

该网站判断不等式P≥PLevel_max×SLevel_W是否成立，其中PLevel_max是密码强度的最大可能值，SLevel_W是该网站W自身的安全等级；

如果上述不等式成立，则该网站W直接接受该用户登录，即以用户名username的登录；如果上述不等式成立，则该网站W要求该用户通过输入用户名、密码正常登录，并在正常登录后生成相应的登录信息发送给该用户终端保存。

进一步地，预先给每个网站各颁发一个数字证书，该数字证书中包括网站的标识符和安全等级。

进一步地，所述网站的安全等级分为5级，安全性从1级到5级依次增高。

进一步地，所述密码强度分为5级，强度从1级到5级依次增高。

进一步地，所述用户终端和各网站之间的通信都是在安全信道中进行的。

本发明的有益效果包括：提供了一种方便的登录方法，可以避免用户登录大量网站时，反复输入用户名和密码，并且保证了系统整体的安全性。

【附图说明】

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

图1是本发明方法所应用的系统结构图。

【具体实施方式】

下面将结合附图以及具体实施例来详细说明本发明，其中的示意性实施例以及说明仅用来解释本发明，但并不作为对本发明的限定。

参见附图1，其示出了本发明的系统结构，系统包括用户终端，以及用户终端通过互联网连接的各种类型的网站，例如银行网站、网络论坛、电子邮箱等等，这些网站都需要用户输入用户名、密码进行登录，才能允许用户终端访问网站内部的内容。

实际上，在现实应用中，每个网站本身的安全性是不同的。例如，通常而言，银行网站的安全性极高，电子邮箱的安全性也比较高，但可能不及银行网站，网络论坛的安全性就相对较低。因而本发明将使用的各个网站按照其安全性分级。根据本发明的一个实施例，将网站安全等级分为5级，安全性从1级到5级依次增高，安全高的银行网站可以设为5级，电子邮箱为4级，网络论坛可以根据网站架构和管理程度设为1-3级。

本发明给每个网站各颁发一个数字证书，数字证书中包括了网站的标识符WebID和安全等级SLevel，以作为数字证书中的两个字段。基于该数字证书，每个网站也具有了其相应的公钥和私钥。具体的数字证书技术和颁发方法已经是本领域中公知的技术，本发明不再赘述。

在本发明中，用户在所有网站需要使用同一个用户名登录，但是密码可以是不同的。基于密码的复杂性，本发明将密码按照其复杂程度分级，即密码强度分级。根据本发明的一个实施例，密码强度也分为5级，强度从1级到5级依次增高。具体的强度计算方式如下：

(1)如果密码的长度(即密码中的字符数量)小于等6，则该密码的强度为1；否则按照下述方式计算强度；

(2)如果密码中只有数字，或只有字母，则该密码的强度为2；

(3)如果密码中包括了数字和字母，但没有其他类型字符，并且字母都是小写或都是大写，则该密码的强度为3；

(4)如果密码中包括了数字和字母，但没有其他类型字符，并且既有大写字母，又有小写字母，则该密码的强度为4；

(5)如果密码中包括了数字、字母和其他类型字符，则该密码的强度为5。

以上所述只是一种示例性的分级方法，本领域技术人员可以采用别的密码强度分级方法，本发明对此不作限制。

下面对本发明的方法做出详细说明：

首先需要说明的是，以下方法中，用户终端和各网站之间的通信都是在安全信道中进行的，例如通过https协议。

在初始状态下，即用户还没有登录任何网站时，用户正常使用用户名、密码方式登录任意一个网站Web₁，在登录成功后，所述网站Web₁为该用户生成一个登录信息Login，该登录信息由所述网站发送到用户终端，用户终端保存该登录信息。

所述登录信息是以下五元组，即：

Login＝{WebID，username，Time，PLevel，Sig}

其中，WebID是该网站Web₁的标识符，username是登录的用户名，Time是登录Web₁的时间，PLevel是登录Web₁所使用的密码的强度，Sig是网站Web₁使用其私钥对四元组{WebID，username，Time，PLevel}所做的数字签名。

在首次登录之后，用户如果需要登录另一个网站W，用户终端首先检查其拥有的所有登录信息，根据每个登录信息中的时间值，去除掉过期的登录信息。可以预先设置一个过期的时间阈值，计算当前时间和登录信息中的登录时间的时间差，如果该时间差大于该时间阈值，就认为该登录信息已过期。

在去除了过期登录信息后，假设剩余了n个有效登录信息，记为L₁，L₂，……，L_n，L_i＝{WebID_i，username，Time_i，PLevel_i，Sig_i}，其中，WebID_i是L_i所属网站的标识符，Time_i是用户登录L_i所属网站的时间，PLevel_i是用户登录L_i所属网站的密码的强度，Sig_i是L_i所属网站对四元组{{WebID_i，username，Time_i，PLevel_i}所做的数字签名。

用户终端将剩余的n个有效登录信息发送给需要登录的网站W，该网站W首先对接收的有效登录信息再次做一遍检查，以确认其都没有过期，去除过期的登录信息。

然后，该网站W根据各个有效登录信息里的网站标识符WebID_i获取相应网站的数字证书，使用这些数字证书对各个有效登录信息里的数字签名进行验证，去除签名验证不通过的登录信息。

经过上述两个去除步骤，剩下了k个有效登录信息，假设为L₁，L₂，……，L_k，该网站W从WebID_i所对应的数字证书中获取其相应的网站安全等级SLevel_i，1≤i≤k，则该网站W使用该k个有效登录信息计算一个登录安全值P，即：

该网站W判断P≥PLevel_max×SLevel_W是否成立，其中PLevel_max是密码强度的最大可能值，以前述实施例而言，PLevel_max＝5；SLevel_W是该网站W自身的安全等级。

如果上述不等式成立，则该网站W直接接受该用户登录，即以用户名username的登录。如果上述不等式成立，则该网站W要求该用户通过输入用户名、密码正常登录，并在正常登录后生成相应的登录信息发送给该用户终端。

通过本发明的上述方法，用户在每次使用用户名、密码登录网站后，都能获得一定量的安全值，当累积的安全值足够时，就可以直接登录其他任意网站，从而方便了用户登录，并且无需设置一个单独的登录点，提高了系统整体的安全性。

以上所述仅是本发明的较佳实施方式，故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰，均包括于本发明专利申请范围内。

Claims (5)

1.一种统一登录方法，其特征在于，该方法包括如下步骤：

用户使用用户名、密码登录任意一个网站后，所述网站为该用户生成一个登录信息Login，该登录信息被发送到用户终端保存，所述登录信息是以下五元组，即：

Login＝{WebID，username，Time，PLevel，Sig}，

其中，WebID是该网站的标识符，username是登录的用户名，Time是登录该网站的时间，PLevel是登录该网站所使用的密码的强度，Sig是该网站使用其私钥对四元组{WebID，username，Time，PLevel}所做的数字签名。

当用户需要新登录一个网站W时，所述用户终端检查其拥有的所有登录信息，去除掉过期的登录信息后，将剩余的登录信息发送给该网站W；

该网站W检查接收到的登录信息，去除其中过期的登录信息和数字签名不正确的登录信息，剩下了k个有效登录信息，设为L₁，L₂，……，L_k，其中

L_i＝{WebID_i，username，Time_i，PLevel_i，Sig_i}；

该网站W从WebID_i所对应的数字证书中获取其相应的网站安全等级SLevel_i，1≤i≤k，则该网站W使用该k个有效登录信息计算一个登录安全值P，即：

$P=\underset{i=1}{\overset{k}{\Σ}}({\mathrm{PLevel}}_i\×{\mathrm{SLevel}}_i)$

该网站判断不等式P≥PLevel_max×SLevel_W是否成立，其中PLevel_max是密码强度的最大可能值，SLevel_W是该网站W自身的安全等级；

如果上述不等式成立，则该网站W直接接受该用户登录，即以用户名username的登录；如果上述不等式成立，则该网站W要求该用户通过输入用户名、密码正常登录，并在正常登录后生成相应的登录信息发送给该用户终端保存。

2.根据权利要求1所述的统一登录方法，其特征在于，预先给每个网站各颁发一个数字证书，该数字证书中包括网站的标识符和安全等级。

3.根据权利要求1-2任意一项所述的统一登录方法，其特征在于，所述网站的安全等级分为5级，安全性从1级到5级依次增高。

4.根据权利要求1-3任意一项所述的统一登录方法，其特征在于，所述密码强度分为5级，强度从1级到5级依次增高。

5.根据权利要求1-4任意一项所述的统一登录方法，其特征在于，所述用户终端和各网站之间的通信都是在安全信道中进行的。