CN106603547A - 一种统一登录方法 - Google Patents
一种统一登录方法 Download PDFInfo
- Publication number
- CN106603547A CN106603547A CN201611206816.5A CN201611206816A CN106603547A CN 106603547 A CN106603547 A CN 106603547A CN 201611206816 A CN201611206816 A CN 201611206816A CN 106603547 A CN106603547 A CN 106603547A
- Authority
- CN
- China
- Prior art keywords
- website
- log
- message
- user
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
本发明涉及一种统一登录方法,该方法在不设置单独的登录服务器的情况下,通过已登录网站的安全等级和密码等级,确定是否可以直接登录新的网站。该方法通过记录多个网站本身的登录信息,避免了将系统的安全性集中于单点上,从而整体上增强了系统的安全性。
Description
【技术领域】
本发明属于计算机和网络领域,涉及网络上网站的登录方法,尤其涉及一种统一登录方法。
【背景技术】
近年来,互联网开始大规模进入人们的生活,各个企业和商家通过互联网网站给用户提供服务和应用,这些不同的服务和应用都会要求用户先登录再使用,即先对用户进行身份认证,这样用户每进一个网站都需要登录一次。
对用户的身份进行有效认证是实施网站安全保障的前提,一般来说,用户必须提供正确的用户名/密码才能够进入网站。用户每天通常要登录诸多网站请求服务,为了安全起见,不可避免的要针对每个网站提交不同的用户名和密码。因而,许多用户每天需要反复登录各种网站,反复输入用户名和密码,严重影响了用户体验。
现在技术中,解决这一问题的方法是使用单点登录技术,这是目前常用的关于企业业务整合的解决方案之一。单点登录可以这样定义:在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它允许用户定义一组不同的服务,并通过集中接口(门户)访问这些服务,其中的每个服务都可能要求认证用户。而所述门户可以提供到所有从属服务的单点登录,避免了用户不断登录的需求,从而提高了门户的价值。
但是,单点登录的优点也同时带来了一个最大的缺点,就是其安全性完全依赖于单点登录的门户,一旦该门户发生故障或者受到攻击,就会导致整个系统陷入瘫痪。也就是说,将整个系统的安全性集中到一点是与现在的网络安全思想背道而驰。
对于现有技术的上述缺点,还没有一种完善的解决方案。
【发明内容】
为了解决现有技术中的上述问题,本发明提出了一种统一登陆方法。
本发明采用的技术方案如下:
一种统一登录方法,该方法包括如下步骤:
用户使用用户名、密码登录任意一个网站后,所述网站为该用户生成一个登录信息Login,该登录信息被发送到用户终端保存,所述登录信息是以下五元组,即:
Login={WebID,username,Time,PLevel,Sig},
其中,WebID是该网站的标识符,username是登录的用户名,Time是登录该网站的时间,PLevel是登录该网站所使用的密码的强度,Sig是该网站使用其私钥对四元组{WebID,username,Time,PLevel}所做的数字签名。
当用户需要新登录一个网站W时,所述用户终端检查其拥有的所有登录信息,去除掉过期的登录信息后,将剩余的登录信息发送给该网站W;
该网站W检查接收到的登录信息,去除其中过期的登录信息和数字签名不正确的登录信息,剩下了k个有效登录信息,设为L1,L2,……,Lk,其中Li={WebIDi,username,Timei,PLeveli,Sigi};
该网站W从WebIDi所对应的数字证书中获取其相应的网站安全等级SLeveli,1≤i≤k,则该网站W使用该k个有效登录信息计算一个登录安全值P,即:
该网站判断不等式P≥PLevelmax×SLevelW是否成立,其中PLevelmax是密码强度的最大可能值,SLevelW是该网站W自身的安全等级;
如果上述不等式成立,则该网站W直接接受该用户登录,即以用户名username的登录;如果上述不等式成立,则该网站W要求该用户通过输入用户名、密码正常登录,并在正常登录后生成相应的登录信息发送给该用户终端保存。
进一步地,预先给每个网站各颁发一个数字证书,该数字证书中包括网站的标识符和安全等级。
进一步地,所述网站的安全等级分为5级,安全性从1级到5级依次增高。
进一步地,所述密码强度分为5级,强度从1级到5级依次增高。
进一步地,所述用户终端和各网站之间的通信都是在安全信道中进行的。
本发明的有益效果包括:提供了一种方便的登录方法,可以避免用户登录大量网站时,反复输入用户名和密码,并且保证了系统整体的安全性。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明方法所应用的系统结构图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
参见附图1,其示出了本发明的系统结构,系统包括用户终端,以及用户终端通过互联网连接的各种类型的网站,例如银行网站、网络论坛、电子邮箱等等,这些网站都需要用户输入用户名、密码进行登录,才能允许用户终端访问网站内部的内容。
实际上,在现实应用中,每个网站本身的安全性是不同的。例如,通常而言,银行网站的安全性极高,电子邮箱的安全性也比较高,但可能不及银行网站,网络论坛的安全性就相对较低。因而本发明将使用的各个网站按照其安全性分级。根据本发明的一个实施例,将网站安全等级分为5级,安全性从1级到5级依次增高,安全高的银行网站可以设为5级,电子邮箱为4级,网络论坛可以根据网站架构和管理程度设为1-3级。
本发明给每个网站各颁发一个数字证书,数字证书中包括了网站的标识符WebID和安全等级SLevel,以作为数字证书中的两个字段。基于该数字证书,每个网站也具有了其相应的公钥和私钥。具体的数字证书技术和颁发方法已经是本领域中公知的技术,本发明不再赘述。
在本发明中,用户在所有网站需要使用同一个用户名登录,但是密码可以是不同的。基于密码的复杂性,本发明将密码按照其复杂程度分级,即密码强度分级。根据本发明的一个实施例,密码强度也分为5级,强度从1级到5级依次增高。具体的强度计算方式如下:
(1)如果密码的长度(即密码中的字符数量)小于等6,则该密码的强度为1;否则按照下述方式计算强度;
(2)如果密码中只有数字,或只有字母,则该密码的强度为2;
(3)如果密码中包括了数字和字母,但没有其他类型字符,并且字母都是小写或都是大写,则该密码的强度为3;
(4)如果密码中包括了数字和字母,但没有其他类型字符,并且既有大写字母,又有小写字母,则该密码的强度为4;
(5)如果密码中包括了数字、字母和其他类型字符,则该密码的强度为5。
以上所述只是一种示例性的分级方法,本领域技术人员可以采用别的密码强度分级方法,本发明对此不作限制。
下面对本发明的方法做出详细说明:
首先需要说明的是,以下方法中,用户终端和各网站之间的通信都是在安全信道中进行的,例如通过https协议。
在初始状态下,即用户还没有登录任何网站时,用户正常使用用户名、密码方式登录任意一个网站Web1,在登录成功后,所述网站Web1为该用户生成一个登录信息Login,该登录信息由所述网站发送到用户终端,用户终端保存该登录信息。
所述登录信息是以下五元组,即:
Login={WebID,username,Time,PLevel,Sig}
其中,WebID是该网站Web1的标识符,username是登录的用户名,Time是登录Web1的时间,PLevel是登录Web1所使用的密码的强度,Sig是网站Web1使用其私钥对四元组{WebID,username,Time,PLevel}所做的数字签名。
在首次登录之后,用户如果需要登录另一个网站W,用户终端首先检查其拥有的所有登录信息,根据每个登录信息中的时间值,去除掉过期的登录信息。可以预先设置一个过期的时间阈值,计算当前时间和登录信息中的登录时间的时间差,如果该时间差大于该时间阈值,就认为该登录信息已过期。
在去除了过期登录信息后,假设剩余了n个有效登录信息,记为L1,L2,……,Ln,Li={WebIDi,username,Timei,PLeveli,Sigi},其中,WebIDi是Li所属网站的标识符,Timei是用户登录Li所属网站的时间,PLeveli是用户登录Li所属网站的密码的强度,Sigi是Li所属网站对四元组{{WebIDi,username,Timei,PLeveli}所做的数字签名。
用户终端将剩余的n个有效登录信息发送给需要登录的网站W,该网站W首先对接收的有效登录信息再次做一遍检查,以确认其都没有过期,去除过期的登录信息。
然后,该网站W根据各个有效登录信息里的网站标识符WebIDi获取相应网站的数字证书,使用这些数字证书对各个有效登录信息里的数字签名进行验证,去除签名验证不通过的登录信息。
经过上述两个去除步骤,剩下了k个有效登录信息,假设为L1,L2,……,Lk,该网站W从WebIDi所对应的数字证书中获取其相应的网站安全等级SLeveli,1≤i≤k,则该网站W使用该k个有效登录信息计算一个登录安全值P,即:
该网站W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是密码强度的最大可能值,以前述实施例而言,PLevelmax=5;SLevelW是该网站W自身的安全等级。
如果上述不等式成立,则该网站W直接接受该用户登录,即以用户名username的登录。如果上述不等式成立,则该网站W要求该用户通过输入用户名、密码正常登录,并在正常登录后生成相应的登录信息发送给该用户终端。
通过本发明的上述方法,用户在每次使用用户名、密码登录网站后,都能获得一定量的安全值,当累积的安全值足够时,就可以直接登录其他任意网站,从而方便了用户登录,并且无需设置一个单独的登录点,提高了系统整体的安全性。
以上所述仅是本发明的较佳实施方式,故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰,均包括于本发明专利申请范围内。
Claims (5)
1.一种统一登录方法,其特征在于,该方法包括如下步骤:
用户使用用户名、密码登录任意一个网站后,所述网站为该用户生成一个登录信息Login,该登录信息被发送到用户终端保存,所述登录信息是以下五元组,即:
Login={WebID,username,Time,PLevel,Sig},
其中,WebID是该网站的标识符,username是登录的用户名,Time是登录该网站的时间,PLevel是登录该网站所使用的密码的强度,Sig是该网站使用其私钥对四元组{WebID,username,Time,PLevel}所做的数字签名。
当用户需要新登录一个网站W时,所述用户终端检查其拥有的所有登录信息,去除掉过期的登录信息后,将剩余的登录信息发送给该网站W;
该网站W检查接收到的登录信息,去除其中过期的登录信息和数字签名不正确的登录信息,剩下了k个有效登录信息,设为L1,L2,……,Lk,其中
Li={WebIDi,username,Timei,PLeveli,Sigi};
该网站W从WebIDi所对应的数字证书中获取其相应的网站安全等级SLeveli,1≤i≤k,则该网站W使用该k个有效登录信息计算一个登录安全值P,即:
该网站判断不等式P≥PLevelmax×SLevelW是否成立,其中PLevelmax是密码强度的最大可能值,SLevelW是该网站W自身的安全等级;
如果上述不等式成立,则该网站W直接接受该用户登录,即以用户名username的登录;如果上述不等式成立,则该网站W要求该用户通过输入用户名、密码正常登录,并在正常登录后生成相应的登录信息发送给该用户终端保存。
2.根据权利要求1所述的统一登录方法,其特征在于,预先给每个网站各颁发一个数字证书,该数字证书中包括网站的标识符和安全等级。
3.根据权利要求1-2任意一项所述的统一登录方法,其特征在于,所述网站的安全等级分为5级,安全性从1级到5级依次增高。
4.根据权利要求1-3任意一项所述的统一登录方法,其特征在于,所述密码强度分为5级,强度从1级到5级依次增高。
5.根据权利要求1-4任意一项所述的统一登录方法,其特征在于,所述用户终端和各网站之间的通信都是在安全信道中进行的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611206816.5A CN106603547B (zh) | 2016-12-23 | 2016-12-23 | 一种统一登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611206816.5A CN106603547B (zh) | 2016-12-23 | 2016-12-23 | 一种统一登录方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106603547A true CN106603547A (zh) | 2017-04-26 |
CN106603547B CN106603547B (zh) | 2022-03-18 |
Family
ID=58601030
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611206816.5A Active CN106603547B (zh) | 2016-12-23 | 2016-12-23 | 一种统一登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106603547B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107612880A (zh) * | 2017-07-28 | 2018-01-19 | 深圳竹云科技有限公司 | 一种应用访问方法和装置 |
CN110661695A (zh) * | 2019-08-27 | 2020-01-07 | 紫光云(南京)数字技术有限公司 | 一种电子邮箱统一登陆入口的方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102750486A (zh) * | 2012-06-29 | 2012-10-24 | 奇智软件(北京)有限公司 | 一种登录控件更新登录信息的方法和装置 |
US8595810B1 (en) * | 2013-01-13 | 2013-11-26 | Mourad Ben Ayed | Method for automatically updating application access security |
CN103501344A (zh) * | 2013-10-10 | 2014-01-08 | 从兴技术有限公司 | 多应用实现单点登录的方法及系统 |
CN104980429A (zh) * | 2015-05-06 | 2015-10-14 | 努比亚技术有限公司 | 一种基于虚拟用户识别卡统一账户登录方法、装置及系统 |
CN105354482A (zh) * | 2015-12-09 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | 一种单点登录方法及装置 |
US20160191645A1 (en) * | 2014-12-30 | 2016-06-30 | Citrix Systems, Inc. | Containerizing Web Applications for Managed Execution |
CN105959311A (zh) * | 2016-07-04 | 2016-09-21 | 天闻数媒科技(湖南)有限公司 | 一种单点登录应用系统的方法和装置 |
-
2016
- 2016-12-23 CN CN201611206816.5A patent/CN106603547B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102750486A (zh) * | 2012-06-29 | 2012-10-24 | 奇智软件(北京)有限公司 | 一种登录控件更新登录信息的方法和装置 |
US8595810B1 (en) * | 2013-01-13 | 2013-11-26 | Mourad Ben Ayed | Method for automatically updating application access security |
CN103501344A (zh) * | 2013-10-10 | 2014-01-08 | 从兴技术有限公司 | 多应用实现单点登录的方法及系统 |
US20160191645A1 (en) * | 2014-12-30 | 2016-06-30 | Citrix Systems, Inc. | Containerizing Web Applications for Managed Execution |
CN104980429A (zh) * | 2015-05-06 | 2015-10-14 | 努比亚技术有限公司 | 一种基于虚拟用户识别卡统一账户登录方法、装置及系统 |
CN105354482A (zh) * | 2015-12-09 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | 一种单点登录方法及装置 |
CN105959311A (zh) * | 2016-07-04 | 2016-09-21 | 天闻数媒科技(湖南)有限公司 | 一种单点登录应用系统的方法和装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107612880A (zh) * | 2017-07-28 | 2018-01-19 | 深圳竹云科技有限公司 | 一种应用访问方法和装置 |
CN110661695A (zh) * | 2019-08-27 | 2020-01-07 | 紫光云(南京)数字技术有限公司 | 一种电子邮箱统一登陆入口的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106603547B (zh) | 2022-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101626369B (zh) | 一种单点登录方法、设备及系统 | |
US8078870B2 (en) | HTTP-based authentication | |
US8726358B2 (en) | Identity ownership migration | |
CN109815010A (zh) | 一种云平台统一身份认证方法及系统 | |
EP3127293B1 (de) | Verteiltes authentifizierungssystem und -verfahren | |
Hammood et al. | A review of user authentication model for online banking system based on mobile IMEI number | |
US20080015986A1 (en) | Systems, methods and computer program products for controlling online access to an account | |
US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
Oh et al. | The security limitations of sso in openid | |
CN109714370A (zh) | 一种基于http协议端云安全通信的实现方法 | |
CN109067785A (zh) | 集群认证方法、装置 | |
CN108076077A (zh) | 一种会话控制方法及装置 | |
CN106603547A (zh) | 一种统一登录方法 | |
Wang et al. | A new secure OpenID authentication mechanism using one-time password (OTP) | |
Bilal et al. | Assessment of secure OpenID-based DAAA protocol for avoiding session hijacking in Web applications | |
WO2005022474A1 (en) | A method of, and a system for, inhibiting fraudulent online transactions | |
CN108243145B (zh) | 一种多源身份认证方法 | |
CN108763965A (zh) | 电子合同数据保全的方法、装置、设备和介质 | |
KR102209481B1 (ko) | 계정 키 페어 기반 계정 인증 서비스를 운영하는 방법과 시스템 및 이 방법을 기록한 컴퓨터로 읽을 수 있는 기록 매체 | |
CN107844290A (zh) | 基于数据流安全威胁分析的软件产品设计方法及装置 | |
Nasiri et al. | Using Combined One-Time Password for Prevention of Phishing Attacks. | |
CN107656949B (zh) | 一种分布式数据库的联合访问方法 | |
CN108241803B (zh) | 一种异构系统的访问控制方法 | |
Han et al. | Using a smart phone to strengthen password-based authentication | |
Bhosale | Architecture of a single sign on (SSO) for internet banking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 101399 No. 2 East Airport Road, Shunyi Airport Economic Core Area, Beijing (1st, 5th and 7th floors of Industrial Park 1A-4) Applicant after: Zhongke Star Map Co., Ltd. Address before: 101399 Building 1A-4, National Geographic Information Technology Industrial Park, Guomen Business District, Shunyi District, Beijing Applicant before: Space Star Technology (Beijing) Co., Ltd. |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |