CN117131481A - 用户登录方法和电子设备 - Google Patents
用户登录方法和电子设备 Download PDFInfo
- Publication number
- CN117131481A CN117131481A CN202310138354.1A CN202310138354A CN117131481A CN 117131481 A CN117131481 A CN 117131481A CN 202310138354 A CN202310138354 A CN 202310138354A CN 117131481 A CN117131481 A CN 117131481A
- Authority
- CN
- China
- Prior art keywords
- electronic device
- user
- login
- user login
- electronic equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 145
- 238000012795 verification Methods 0.000 claims description 46
- 238000004891 communication Methods 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 42
- 230000006870 function Effects 0.000 description 32
- 239000010410 layer Substances 0.000 description 22
- 238000012545 processing Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 15
- 238000010295 mobile communication Methods 0.000 description 11
- 230000001976 improved effect Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000003416 augmentation Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000008093 supporting effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 210000000988 bone and bone Anatomy 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Abstract
本申请实施例提供了一种用户登录方法和电子设备,该方法由第一电子设备执行,包括:显示用户登录页面,该用户登录页面包括第一控件,该第一控件用于触发请求第二电子设备辅助第一电子设备进行用户登录;若接收到用户对第一控件的触发操作,则向第二电子设备发送用户登录请求,用户登录请求携带第一电子设备的设备标识,第一电子设备上所要登录的用户账号与第二电子设备上已登录的用户账号相同;接收来自第二电子设备的用户登录凭证,以及根据用户登录凭证进行用户登录,用户登录凭证为第二电子设备经过用户身份认证后所获取的凭证。该方法可以提高用户的登录成功率。
Description
技术领域
本申请涉及电子技术领域,具体涉及一种用户登录方法和电子设备。
背景技术
为更好的服务于用户,电子设备提供了账号功能,用户可以在电子设备上注册账号,并根据注册的账号进行登录,以体验更多的用户权益。
当前,用户通常是根据注册时设置的账号和密码在电子设备上登录。然而,当用户更换新的电子设备时,可能会因长时间未进行过登录操作而忘记密码,导致用户登录失败的情况,影响用户使用体验。
发明内容
本申请提供了一种用户登录方法和电子设备,可以提高用户的登录成功率。
第一方面,本申请提供一种用户登录方法,该方法由第一电子设备执行,该方法包括:显示用户登录页面,该用户登录页面包括第一控件,该第一控件用于触发请求第二电子设备辅助第一电子设备进行用户登录;若接收到用户对第一控件的触发操作,则向第二电子设备发送用户登录请求,用户登录请求携带第一电子设备的设备标识,第一电子设备上所要登录的用户账号与第二电子设备上已登录的用户账号相同;接收来自第二电子设备的用户登录凭证,以及根据用户登录凭证进行用户登录,用户登录凭证为第二电子设备经过用户身份认证后所获取的凭证。
其中,用户登录页面(也可称为账号登录页面)可以通过账号登录应用或者设置应用来显示,用户在该页面上可以输入用户账号和密码进行登录。为提高用户的登录成功率,本申请由另一个已登录相同用户账号的电子设备(即第二电子设备)来辅助第一电子设备执行用户登录过程。因此,在用户登录页面上可以具有用于触发第二电子设备辅助第一电子设备进行用户登录的第一控件(也可称为跨设备验证登录控件),若用户触发该控件,则第一电子设备便可以向第二电子设备发送用户登录请求,并根据第二电子设备返回的用户登录凭证(例如临时Token等)进行用户登录。
可选地,用户登录凭证可以为第二电子设备经过用户的生物信息认证后所获取的凭证。
上述用户登录方法,用户在新的电子设备上执行用户登录时,只需选择跨设备验证登录方式,并在旧的电子设备进行安全认证即可,无需再输入密码或验证码,可以提高用户的登录成功率。
结合第一方面,在第一方面的有些实现方式中,若接收到用户输入的第一操作,上述方法还包括:向服务器发送请求消息,请求消息用于请求加密第一电子设备的设备标识;接收来自服务器的第一信息,以及根据第一信息确定用户登录请求,第一信息为对第一电子设备的设备标识进行加密后的信息。
其中,为提高数据安全性,第一电子设备向第二电子设备发送用户登录请求之前,还可以向服务器请求对第一电子设备的设备标识(也可以为设备信息)进行加密,并将加密后的信息发送至第二电子设备。这里服务器加密时所采用的密钥可以为第一电子设备所要登录的用户账号对应的公钥,因该用户账号已在第二电子设备上登录,则第二电子设备在进行身份认证时便可以将公钥传输至服务器。
结合第一方面,在第一方面的有些实现方式中,上述根据用户登录凭证进行用户登录,包括:根据用户登录凭证向服务器申请用户登录;接收来自服务器在对用户登录凭证校验通过后发送的登录成功消息;显示用户登录成功页面。
其中,在第一电子设备接收到用户登录凭证后,便可以根据该用户登录凭证向服务器申请用户登录,服务器可以根据第一电子设备的设备标识与用户登录凭证进行校验,若校验通过则允许第一电子设备进行用户登录,进而第一电子设备可以显示出用户登录成功页面。通过服务器的安全校验过程,可以提高用户登录的安全性。
结合第一方面,在第一方面的有些实现方式中,上述第二电子设备上已登录的用户账号已进行过线上快速身份验证服务FIDO认证。
第二电子设备在登录用户账号后,可以再进行FIDO注册,通过生物识别安全认证方式进行身份认证。同时还可以基于FIDO服务生成对应的密钥(passkey),并将私钥在本地保留,将公钥传给服务器,服务器便可以将passkey与用户账号做关联,以供后续的安全认证过程。
结合第一方面,在第一方面的有些实现方式中,在向第二电子设备发送用户登录请求之前,上述方法还包括:向第二电子设备发送连接请求;接收来自第二电子设备针对连接请求返回的确认消息,与第二电子设备建立通信连接。
其中,由上述描述可知,第一电子设备与第二电子设备之间具有数据传输过程,那么第一电子设备与第二电子设备之间就需要建立起通信连接。可选地,第一电子设备可以在针对第一控件输入触发操作之前与第二电子设备建立通信连接,也可以在针对第一控件输入触发操作之后与第二电子设备建立通信连接。可选地,第一电子设备与第二电子设备之间建立的通信连接为蓝牙连接。
结合第一方面,在第一方面的有些实现方式中,在用户登录成功的情况下,上述方法还包括:与第二电子设备组建信任环,以及基于信任环同步第二电子设备中用户账号对应的密钥。
通过上述过程,用户即可以在第一电子设备上登录成功,且是通过第二电子设备安全认证后的登录状态,那么,第一电子设备可以加入第二电子设备所在的信任环,并且第二电子设备可以通过该信任环将自身的passkey加密传输至第一电子设备。由此,第一电子设备后续也可以通过passkey进行一系列的身份认证过程。
第二方面,本申请提供一种用户登录方法,该方法由第二电子设备执行,第二电子设备已登录有用户账号,该方法包括:接收来自第一电子设备的用户登录请求,用户登录请求携带第一电子设备的设备标识,第一电子设备上所要登录的用户账号与第二电子设备上已登录的用户账号相同;根据用户登录请求,进行用户身份认证;在用户身份认证通过的情况下,获取并向第一电子设备发送用户登录凭证。
其中,在第二电子设备已登录用户账号的情况下,即可以辅助第一电子设备进行用户登录。第二电子设备在接收到第一电子设备的用户登录请求的情况下,便可以进行用户身份认证(也可以为安全认证),并向服务器申请用于第一电子设备登录的用户登录凭证。
上述用户登录方法,用户在新的电子设备上执行用户登录时,只需选择跨设备验证登录方式,并在旧的电子设备进行安全认证即可,无需再输入密码或验证码,可以提高用户的登录成功率。
在一些实现方式中,上述根据用户登录请求,进行用户身份认证,包括:根据用户登录请求,显示第一提示框,第一提示框用于提示用户是否允许在第一电子设备上登录用户账号;若接收到用户允许在第一电子设备上登录用户账号的操作,显示第二提示框,第二提示框用于提示用户输入身份认证信息;接收并认证用户输入的身份认证信息。
该实现方式中,第二电子设备在接收到用户登录请求后,可以弹出第一提示框(也即登录请求提示框),在用户在登录请求提示框上选择允许登录选项的情况下,可以再弹出第二提示框(也即安全登录提示框),用户可以通过该安全登录提示框输入身份认证信息(也即安全登录信息),例如安全登录提示框可以提示用户仅通过指纹识别进行验证、或者仅通过人脸识别进行验证、或者通过指纹识别或人脸识别进行验证等。可选地,上述身份认证信息可以为生物识别信息。
在用户输入对应的安全登录信息的情况下,可选地,第二电子设备便可以通过TEE环境运行的FIDO服务来验证该安全登录信息,以确定是否为认证过的用户信息。本申请中通过FIDO认证技术可以提高登录过程的安全性。
结合第二方面,在第二方面的有些实现方式中,上述获取并向第一电子设备发送用户登录凭证,包括:根据第一电子设备的设备标识,从服务器获取用户登录凭证;向第一电子设备发送用户登录凭证。
可选地,第二电子设备从服务器获取的用户登录凭证可以为临时Token,第二电子设备向服务器申请该临时Token时,服务器可以将该临时Token与第一电子设备的设备标识进行对应,以在第一电子设备申请用户登录时进行校验。
在一些实现方式中,在用户登录请求携带的第一电子设备的设备标识为加密的情况下,在从服务器获取用户登录凭证之前,上述方法还包括:对第一电子设备的设备标识进行解密。
其中,第二电子设备对第一电子设备的设备标识进行解密所采用的密钥即为进行FIDO认证时的私钥,该私钥与服务器对第一电子设备的设备标识进行加密时所采用的公钥对应。
结合第二方面,在第二方面的有些实现方式中,在接收来自第一电子设备的用户登录请求之前,上述方法还包括:接收来自第一电子设备的连接请求;针对连接请求向第一电子设备返回确认消息,与第一电子设备建立通信连接。
其中,由上述描述可知,第一电子设备与第二电子设备之间具有数据传输过程,那么第一电子设备与第二电子设备之间就需要建立起通信连接。可选地,第一电子设备可以在针对第一控件输入触发操作之前与第二电子设备建立通信连接,也可以在针对第一控件输入触发操作之后与第二电子设备建立通信连接。可选地,第一电子设备与第二电子设备之间建立的通信连接为蓝牙连接。
第三方面,本申请提供一种装置,该装置包含在电子设备中,该装置具有实现上述第一方面及上述第一方面的可能实现方式中电子设备行为的功能,或者具有实现上述第二方面及上述第二方面的可能实现方式中电子设备行为的功能。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块或单元。例如,接收模块或单元、处理模块或单元等。
第四方面,本申请提供一种电子设备,电子设备包括:处理器、存储器和接口;处理器、存储器和接口相互配合,使得电子设备执行第一方面的技术方案中任意一种方法,或者执行第二方面的技术方案中任意一种方法。
第五方面,本申请提供一种用户登录系统,包括第一电子设备和第二电子设备,该第一电子设备执行第一方面的技术方案中任意一种方法,第二电子设备执行第二方面的技术方案中任意一种方法。
第六方面,本申请提供一种芯片,包括处理器。处理器用于读取并执行存储器中存储的计算机程序,以执行第一方面及其任意可能的实现方式中的方法,或者执行第二方面及其任意可能的实现方式中的方法。
可选地,芯片还包括存储器,存储器与处理器通过电路或电线连接。
进一步可选地,芯片还包括通信接口。
第七方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储了计算机程序,当计算机程序被处理器执行时,使得该处理器执行第一方面的技术方案中任意一种方法,或者执行第二方面的技术方案中任意一种方法。
第八方面,本申请提供一种计算机程序产品,计算机程序产品包括:计算机程序代码,当计算机程序代码在电子设备上运行时,使得该电子设备执行第一方面的技术方案中任意一种方法,或者执行第二方面的技术方案中任意一种方法。
附图说明
图1是相关技术提供的一例用户登录过程的示意图;
图2是本申请实施例提供的一例电子设备的结构示意图;
图3是本申请实施例提供的一例电子设备的软件结构框图;
图4是本申请实施例提供的另一例电子设备的软件结构框图;
图5是本申请实施例提供的一例账号登录页面的示意图;
图6是本申请实施例提供的一例第一电子设备上蓝牙设置页面的示意图;
图7是本申请实施例提供的一例第二电子设备上蓝牙配对请求页面的示意图;
图8是本申请实施例提供的一例第二电子设备上登录请求页面的示意图;
图9是本申请实施例提供的一例第二电子设备上安全认证页面的示意图;
图10是本申请实施例提供的一例第一电子设备上用户登录完成的页面示意图;
图11是本申请实施例提供的一例用户登录方法的流程示意图;
图12是本申请实施例提供的一例第一电子设备和第二电子设备建立蓝牙连接的过程示意图;
图13是本申请实施例提供的另一例用户登录方法的流程示意图;
图14是本申请实施例提供的一例基于信任环同步信息的流程示意图;
图15是本申请实施例提供的又一例用户登录方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
以下,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”的特征可以明示或者隐含地包括一个或者更多个该特征。
当前,除了应用程序(application,APP)具有账号功能之外,电子设备也推出了账号功能,用户可以在电子设备上注册账号并进行登录,同时,所注册的账号也可以在与该电子设备品牌相同的其他电子设备上进行登录,以实现电子设备之间的用户信息共享等服务。
示例性地,如图1所示,以电子设备是手机为例,在手机的设置页面具有“登录账号”控件11,用户点击该控件后,手机可以跳转至登录页面。在登录页面上,用户可以输入注册时设置的账号和密码,若校验通过则可以完成登录过程。或者,在用户设置的账号为手机号的情况下,也可以采用手机号和短信验证码的方式完成登录过程。
然而,相关技术中,用户在电子设备上登录后,通常会长时间保持登录状态。如果用户更换了新的电子设备再去进行登录时,可能会因长时间未进行过登录操作而忘记密码,导致用户登录失败的情况,影响用户使用体验。或者,在用户设置的账号为手机号的情况下,需要通过短信验证码进行验证,亦或者,用户可以使用旧的电子设备来扫描新的电子设备上的标识码(如二维码),来辅助完成在新的电子设备上的登录操作,但这种操作过程都比较繁琐,安全性也较低。
有鉴于此,本申请实施例提供了一种用户登录方法,可以基于可信执行环境,采用生物识别方式由旧的电子设备辅助实现用户在新的电子设备上的登录过程,提高用户的登录成功率,同时操作过程较为便捷且安全性较高。需要说明的是,本申请实施例提供的用户登录方法可以应用于手机、平板电脑、可穿戴设备、车载设备、增强现实(augmentedreality,AR)/虚拟现实(virtual reality,VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digitalassistant,PDA)等具有用户登录功能的电子设备上,本申请实施例对电子设备的具体类型不作任何限制。
其中,本申请实施例中的可信执行环境可以为TEE(trusted executionenvironment)环境,其可以是电子设备中CPU上的一块区域,这块区域的作用是给数据和代码的执行提供一个更安全的空间,并保证数据和代码的机密性、完整性。在可信执行环境中,可以运行有身份认证服务,用于对电子设备上登录的用户进行身份认证。例如,身份认证服务可以为线上快速身份验证服务(fast identity online service,FIDO Service),其可以实现用户在多个电子设备之间的安全登录。对于本申请实施例提出的用户登录方法的具体实现过程,可以详见下述实施例中的描述。
下面先介绍一下本申请实施例中电子设备的结构以及软件架构。示例性的,图2是本申请实施例提供的一例电子设备100的结构示意图。以电子设备100是手机为例,电子设备100可以包括处理器110,外部存储器接口120,内部存储器121,通用串行总线(universalserial bus,USB)接口130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,移动通信模块150,无线通信模块160,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriber identification module,SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A,陀螺仪传感器180B,气压传感器180C,磁传感器180D,加速度传感器180E,距离传感器180F,接近光传感器180G,指纹传感器180H,温度传感器180J,触摸传感器180K,环境光传感器180L,骨传导传感器180M等。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
其中,控制器可以是电子设备100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
可以理解的是,本申请实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对电子设备100的结构限定。在本申请另一些实施例中,电子设备100也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
电源管理模块141用于连接电池142,充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入,为处理器110,内部存储器121,外部存储器,显示屏194,摄像头193,和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量,电池循环次数,电池健康状态(漏电,阻抗)等参数。在其他一些实施例中,电源管理模块141也可以设置于处理器110中。在另一些实施例中,电源管理模块141和充电管理模块140也可以设置于同一个器件中。
电子设备100的无线通信功能可以通过天线1,天线2,移动通信模块150,无线通信模块160,调制解调处理器以及基带处理器等实现。
移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noise amplifier,LNA)等。移动通信模块150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在一些实施例中,电子设备100的天线1和移动通信模块150耦合,天线2和无线通信模块160耦合,使得电子设备100可以通过无线通信技术与网络以及其他设备通信。无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packet radio service,GPRS),码分多址接入(codedivision multiple access,CDMA),宽带码分多址(wideband code division multipleaccess,WCDMA),时分码分多址(time-division code division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC,FM,和/或IR技术等。GNSS可以包括全球卫星定位系统(global positioning system,GPS),全球导航卫星系统(global navigation satellite system,GLONASS),北斗卫星导航系统(beidounavigation satellite system,BDS),准天顶卫星系统(quasi-zenith satellitesystem,QZSS)和/或星基增强系统(satellite based augmentation systems,SBAS)。
电子设备100通过GPU,显示屏194,以及应用处理器等实现显示功能。GPU为图像处理的微处理器,连接显示屏194和应用处理器。GPU用于执行数学和几何计算,用于图形渲染。处理器110可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。
电子设备100可以通过ISP,摄像头193,视频编解码器,GPU,显示屏194以及应用处理器等实现拍摄功能。
内部存储器121可以用于存储计算机可执行程序代码,可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令,从而执行电子设备100的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的应用程序(比如声音播放功能,图像播放功能等)等。存储数据区可存储电子设备100使用过程中所创建的数据(比如音频数据,电话本等)等。此外,内部存储器121可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flash storage,UFS)等。
电子设备100可以通过音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
压力传感器180A用于感受压力信号,可以将压力信号转换成电信号。在一些实施例中,压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多,如电阻式压力传感器,电感式压力传感器,电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A,电极之间的电容改变。电子设备100根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194,电子设备100根据压力传感器180A检测触摸操作强度。电子设备100也可以根据压力传感器180A的检测信号计算触摸的位置。在一些实施例中,作用于相同触摸位置,但不同触摸操作强度的触摸操作,可以对应不同的操作指令。例如:当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时,执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时,执行新建短消息的指令。
触摸传感器180K,也称“触控面板”。触摸传感器180K可以设置于显示屏194,由触摸传感器180K与显示屏194组成触摸屏,也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器,以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中,触摸传感器180K也可以设置于电子设备100的表面,与显示屏194所处的位置不同。
SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195,或从SIM卡接口195拔出,实现和电子设备100的接触和分离。电子设备100可以支持1个或N个SIM卡接口,N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡,Micro SIM卡,SIM卡等。同一个SIM卡接口195可以同时插入多张卡。多张卡的类型可以相同,也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。电子设备100通过SIM卡和网络交互,实现通话以及数据通信等功能。在一些实施例中,电子设备100采用eSIM,即:嵌入式SIM卡。eSIM卡可以嵌在电子设备100中,不能和电子设备100分离。
可以理解的是,本申请实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中,电子设备100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
电子设备100的软件系统可以采用分层架构,事件驱动架构,微核架构,微服务架构,或云架构。本申请实施例以分层架构的Android系统为例,示例性说明电子设备100的软件结构。
图3是本申请实施例的电子设备100的软件结构框图。分层架构将软件分成若干个层,每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中,将Android系统分为四层,从上至下分别为应用程序层,应用程序框架层,安卓运行时(Android runtime)和系统库,以及内核层。应用程序层可以包括一系列应用程序包。
如图3所示,应用程序包可以包括相机,图库,日历,通话,地图,导航,WLAN,蓝牙,音乐,视频,短信息等应用程序。
应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface,API)和编程框架。应用程序框架层包括一些预先定义的函数。
如图3所示,应用程序框架层可以包括窗口管理器,内容提供器,视图系统,电话管理器,资源管理器,通知管理器等。
窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小,判断是否有状态栏,锁定屏幕,截取屏幕等。内容提供器用来存放和获取数据,并使这些数据可以被应用程序访问。数据可以包括视频,图像,音频,拨打和接听的电话,浏览历史和书签,电话簿等。视图系统包括可视控件,例如显示文字的控件,显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如,包括短信通知图标的显示界面,可以包括显示文字的视图以及显示图片的视图。电话管理器用于提供电子设备100的通信功能。例如通话状态的管理(包括接通,挂断等)。资源管理器为应用程序提供各种资源,比如本地化字符串,图标,图片,布局文件,视频文件等等。通知管理器使应用程序可以在状态栏中显示通知信息,可以用于传达告知类型的消息,可以短暂停留后自动消失,无需用户交互。比如通知管理器被用于告知下载完成,消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知,例如后台运行的应用程序的通知,还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息,发出提示音,电子设备振动,指示灯闪烁等。
Android runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。
核心库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。
应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理,堆栈管理,线程管理,安全和异常的管理,以及垃圾回收等功能。
系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(media libraries),三维图形处理库(例如:OpenGL ES),2D图形引擎(例如:SGL)等。
表面管理器用于对显示子系统进行管理,并且为多个应用程序提供了2D和3D图层的融合。媒体库支持多种常用的音频,视频格式回放和录制,以及静态图像文件等。媒体库可以支持多种音视频编码格式,例如:MPEG4,H.264,MP3,AAC,AMR,JPG,PNG等。三维图形处理库用于实现三维图形绘图,图像渲染,合成,和图层处理等。2D图形引擎是2D绘图的绘图引擎。
内核层是硬件和软件之间的层。内核层至少包含显示驱动,摄像头驱动,蓝牙驱动,音频驱动,传感器驱动等。
在一些实施例中,在图3所示的电子设备的软件结构的基础上,如图4所示,电子设备中应用程序层的应用程序包可以为Android应用程序包(android applicationpackage,APK),除此之外,应用程序层还可以包括软件开发工具包(software developmentkit,SDK)。
其中,APK是Android系统使用的一种应用程序包文件格式,用于分发和安装应用程序及中间件。一个Android应用程序的代码想要在Android设备上运行,必须先进行编译,然后被打包成为一个被Android系统所能识别的文件才可以被运行,而这种能够被Android系统识别并运行的文件格式便是APK。SDK广义上可以指辅助开发某一类软件的相关文档、范例和工具的集合。
示例性地,本申请实施例中的APK可以包括账号APK,用于管理用户账号,账号APK可以集成一个基于FIDO的SDK。
除了应用程序层和上述图3中的各个层级(在图4中未示出)之外,如图4所示,电子设备还可以包括安全系统,在该安全系统中运行有TEE环境,用于身份校验的FIDO Service可以运行在该TEE环境。在实际应用中,FIDO Service可以将校验结果通过层级之间的接口上传至应用程序层的SDK,SDK再通过接口传输给调用者(例如账号登录应用等)。
基于上述所示结构的电子设备,下面先结合附图和应用场景,对本申请实施例提供的用户登录方法的界面操作过程进行阐述。
首先需要说明的是,本申请实施例提供的用户登录方法是由旧的电子设备来辅助新的电子设备完成用户登录过程,为方便描述,以下将新的电子设备简称为第一电子设备,将旧的电子设备简称为第二设备。需要说明的是,旧的电子设备(即第二电子设备)上需要已登录用户账号,且该用户账号进行过FIDO认证,并且,新的电子设备(即第一电子设备)上所要登录的用户账号与旧的电子设备上已登录的用户账号相同;例如,第一电子设备与第二电子设备上插过同一张SIM卡,该SIM卡对应的手机号码在第二电子设备已注册登录。
在用户使用第一电子设备时,若想要登录用户账号,则可以通过账号登录应用或者设置应用的登录入口进行登录。示例性地,以从设置应用的登录入口进行登录为例,如图5所示,用户可以点击图5中的登录账号控件51,第一电子设备可以显示出账号登录页面,在该页面上,若第一电子设备上已插有SIM卡,则可以自动识别并显示出SIM卡对应的电话号码,用户可以基于该电话号码操作一键登录或者其他方式登录。为提高用户登录的成功率且确保用户登录过程的安全性,本申请实施例提供的用户登录方法为通过其他方式登录的过程。
继续参见图5,当用户点击了其他方式登录控件52,第一电子设备可以切换账号登录页面,该切换的页面上提供有不同登录方式的入口,一方面,用户可以通过手机号码、邮箱地址或账号名等方式进行验证登录,但该登录方式通常需要输入密码或验证码,其过程类似于上述相关技术;另一方面,即本申请实施例提供的跨设备验证登录方式,也即需要由第二电子设备来辅助的登录方式。可以理解,若第一电子设备上未插有SIM卡,则可以不显示上述包含电话号码的页面,直接显示该提供有不同登录方式的入口的页面,这里可以由用户手动填入要登录的用户账号。
在该切换的页面上,若用户点击跨设备验证登录控件53,则第一电子设备可以跳转至图6中的(a)图所示的蓝牙设置页面。也即是说,在第二电子设备辅助第一电子设备进行用户登录时,第一电子设备需要和第二电子设备建立通信连接,本申请实施例以建立蓝牙连接为例进行示出,当然也可以建立其他方式的通信连接,如Wi-Fi P2P连接、NFC连接等。可以理解,第一电子设备和第二电子设备需提前打开蓝牙开关,或者在第一电子设备跳转至图6中的(a)图所示的页面时打开两个电子设备的蓝牙开关,以确保两个电子设备成功建立蓝牙连接。
在图6中的(a)图所示的页面上,若第一电子设备已打开了蓝牙开关,则可以显示出已配对的设备和可用设备,该已配对的设备是指已与第一电子设备建立过蓝牙连接的设备,该可用设备是指当前通过蓝牙信号搜索到但还未与第一电子设备建立蓝牙连接的设备。如果第二电子设备也已打开了蓝牙开关,则第二电子设备的设备信息(如设备名称、型号等)可以显示在第一电子设备所显示的可用设备中。如图6中的(a)图所示,第一电子设备的蓝牙设置页面上所显示的可用设备包括第二电子设备。在该页面上,若用户选中该第二电子设备,则第一电子设备可以向第二电子设备发送配对请求,以与第二电子设备之间建立蓝牙连接。相应的,第二电子设备上会显示出该配对请求,例如图7所示,第二电子设备上可以弹出配对请求提示框,如果用户选择同意选项,即完成了第一电子设备与第二电子设备之间的蓝牙连接过程。
在第一电子设备与第二电子设备建立了蓝牙连接之后,第二电子设备即可以显示在第一电子设备所显示的已配对的设备中,参见上述图6中的(b)图,第一电子设备的蓝牙设置页面上所显示的已配对的设备包括第二电子设备。此时,若用户选中该第二电子设备,则触发由第二电子设备来辅助第一电子设备进行用户登录的过程。可以理解,第一电子设备和第二电子设备之间也可以提前建立蓝牙连接,那么如果用户在图5所示的界面上点击了跨设备验证登录控件53,则第一电子设备可以直接显示图6中的(b)图所示的页面。
当用户在图6中的(b)图所示的页面上选中第二电子设备,第一电子设备便可以向第二电子设备发送蓝牙广播,以请求第二电子设备执行验证登录。此时,第二电子设备上可以弹出登录请求提示框,例如图8所示,第二电子设备所弹出的登录请求提示框中可以显示如“您的账号将在一台新的设备上登录”提示信息。如果用户确定需要在第一电子设备上登录,则可以选择允许登录选项,如果用户暂时不需要在第一电子设备上登录,则可以选择取消选项。
如果用户选择了允许登录选项,则第二电子设备跳转至图9所示的页面。因第二电子设备已进行过FIDO认证,那么在选择了允许登录的情况下,需要用户在第二电子设备上进行生物识别安全认证。例如图9中所示,可以仅通过指纹识别进行验证、或者仅通过人脸识别进行验证、或者通过指纹识别或人脸识别进行验证,可以理解,具体需要通过哪种方式验证取决于第二电子设备进行FIDO认证时采用的验证方式。例如,第二电子设备在进行FIDO认证时是采用的指纹识别验证,则此次仅通过指纹识别进行验证即可。除了上述的生物识别方式之外,还可以采用虹膜识别等其他识别方式,本申请实施例对此不作具体限制。
若用户在第二电子设备验证成功,则第二电子设备便辅助第一电子设备完成了用户登录过程,第一电子设备可以显示出账号中心页面。示例性地,账号中心页面可以如图10所示,其显示有账号信息以及账号的相关功能。
对于上述用户登录方法的界面操作过程,用户在新的电子设备上执行用户登录时,只需选择跨设备验证登录方式,并在旧的电子设备进行安全认证即可,无需再输入密码或验证码,可以提高用户的登录成功率且操作过程比较便捷;另外,通过FIDO认证技术还可以提高登录过程的安全性。
基于上述用户登录方法的界面操作过程,下面将详细阐述该用户登录方法的实现过程。为便于理解,先简单介绍一下FIDO认证的原理:用户在注册阶段,通过支持FIDO协议的电子设备,将用户账号和设备绑定。当通过服务器(例如账号云)注册信息时,用户的电子设备产生一对非对称密钥对,私钥在电子设备中保留,公钥传给服务器,服务器将此公钥和用户账号相关联。当用户通过服务器验证信息时,用户使用电子设备中的私钥对服务器的数据做签名,服务器使用对应的公钥做验证,并且,电子设备中的私钥在签名时,必须经过用户的解锁操作(如按键、指纹识别、人脸识别等),才能被用来做签名操作,由此提高验证过程的安全性。
由上述描述可知,第二电子设备(即旧的电子设备)上需要已登录用户账号,且该用户账号进行过FIDO认证,因此再简单介绍一下第二电子设备上进行FIDO认证的过程:首先第二电子设备已登录用户账号,登录用户账号的方式包括但不限于通过密码或验证码登录,优选地是同时通过了密码和验证码的方式登录,即是中安全等级登录。然后,在第二电子设备再进行FIDO注册,例如第二电子设备上可以提示用户是否进行生物识别安全认证。如果用户要进行生物识别安全认证,则用户可以输入指纹信息或人脸信息等作为认证凭证,第二电子设备即可以基于FIOD Service生成对应的密钥(passkey),并将私钥在本地保留,将公钥传给服务器(或账号云),账号云便可以将passkey与用户账号做关联。同时,第二电子设备也可以实现用户通过生物识别方式进行登录,例如通过指纹识别或人脸识别方式安全快速的进行登录。
在此基础上,第一电子设备便可以借助第二电子设备实现用户登录的过程,图11是本申请实施例提供的一例用户登录方法的流程示意图,该方法可以包括:
S101,第一电子设备接收到用户输入的第一操作。
其中,该第一操作可以为用户对跨设备验证登录的触发操作,即触发使用第二电子设备来辅助第一电子设备进行用户登录。可选地,用户在输入第一操作之前,还可以输入要登录的用户账号,或者由第一电子设备自动读取本设备中SIM卡对应的电话号码作为用户账号,以供后续由服务器(或账号云)获取该用户账号对应的公钥。
S102,第一电子设备向账号云发送请求加密信息的请求消息。
其中,第一电子设备向账号云发送请求消息时,可以将设备信息和用户账号作为请求参数,用户账号用于账号云查找对应的公钥,然后由账号云使用该公钥对设备信息进行加密,以得到加密信息。可选地,设备信息可以包括设备ID、设备类型等信息。可选地,上述请求参数还可以包括安全随机数,以提高加密过程的安全性。
S103,账号云根据请求消息确定加密信息。
S104,账号云向第一电子设备发送加密信息。
其中,账号云接收到第一电子设备的请求消息时,可以获取其中携带的用户账号,以及根据该用户账号查找对应的公钥。需要说明的是,因该用户账号已通过第二电子设备完成了FIDO认证,因此其对应的公钥也已存储于账号云中。那么账号云便可以通过对应的公钥对第一电子设备的设备信息进行加密,得到加密信息,并返回给第一电子设备。
S105,第一电子设备向第二电子设备发送用户登录请求,该用户登录请求携带上述加密信息。
因本申请实施例是需要由第二电子设备来辅助第一电子设备进行用户登录,因此,第一电子设备在接收到用户对跨设备验证登录的触发操作并获取到加密信息后,便可以向第二电子设备发送用户登录请求,以请求在第二电子设备执行用户登录操作。
可以理解,第一电子设备可以通过与第二电子设备之间的蓝牙连接向第二电子设备发送用户登录请求。由上述图6至图7可知,第一电子设备与第二电子设备之间还需要先建立蓝牙连接,建立蓝牙连接的过程可以如图12所示,包括:
S11,第一电子设备调用蓝牙芯片的能力搜索发现附近的可用设备。
此步骤中,第一电子设备调用蓝牙芯片的能力,也即是利用蓝牙芯片搜索可用设备的蓝牙信号。
S12,可用设备的蓝牙芯片接收到第一电子设备的搜索信号,并向第一电子设备发送自身的设备信息。
其中,图12中仅示出第二电子设备这一个可用设备,其余的可用设备的原理类似,图12中未示出。
S13,第一电子设备将接收到的可用设备的设备信息展示在可用设备列表中。
S14,用户输入选中可用设备列表中的第二电子设备的操作。
S15,第一电子设备通过蓝牙芯片向第二电子设备发送请求建立蓝牙连接的消息。
S16,第二电子设备向第一电子设备返回确认消息。
S17,第一电子设备与第二电子设备建立蓝牙连接。
需要说明的是,第一电子设备与第二电子设备建立蓝牙连接的过程不局限于图12所示的示例,只要可以建立连接即可,本申请实施例对此不做限制。
S106,第二电子设备根据接收到的用户登录请求,弹出登录请求提示框。
示例性地,第二电子设备所弹出的登录请求提示框可以如上述图8所示。
S107,第二电子设备接收到用户针对登录请求提示框输入的确定操作,弹出安全登录提示框。
在用户在图8所示的登录请求提示框上选择允许登录选项的情况下,即是输入了确定操作,则第二电子设备可以再弹出例如上述图9所示的安全登录提示框,提示用户仅通过指纹识别进行验证、或者仅通过人脸识别进行验证、或者通过指纹识别或人脸识别进行验证,以完成安全登录。
S108,第二电子设备接收到用户输入的安全登录信息,通过FIDO Service验证安全登录信息。
在用户在图9所示的安全登录提示框输入对应的安全登录信息(也即生物识别信息)的情况下,第二电子设备便可以通过TEE环境运行的FIDO Service来验证该安全登录信息,以确定是否为认证过的用户信息。
S109,在安全登录信息验证通过的情况下,第二电子设备对上述加密信息进行解密。
由上述FIDO认证的原理可知,电子设备中存储有用户的私钥,因此,第二电子设备便可以通过自身存储的私钥对上述第一电子设备发送的加密信息进行解密,以得到第一电子设备得到设备信息。可以理解,因上述加密信息是账号云通过用户账号对应的公钥加密的,第二电子设备中存储的私钥也是该用户账号所对应的密钥,因此第二电子设备通常可以成功解密该加密信息。如果在实际场景中因特殊情况解密失败,则用户登录失败,第一电子设备也相应的无法成功登录。
S110,在解密成功的情况下,第二电子设备将解密得到的第一电子设备的设备信息发送至账号云,申请临时Token。
在解密成功的情况下,也即当前的用户登录操作为安全操作,则第二电子设备便可以为第一电子设备向账号云申请临时Token,以供第一电子设备进行登录。
S111,第二电子设备向第一电子设备发送临时Token。
可以理解,第二电子设备也可以通过与第一电子设备之间的蓝牙连接向第一电子设备发送上述临时Token。可选地,第二电子设备还可以对临时Token进行签名后再发送至第一电子设备。
S112,第一电子设备通过临时Token向账号云申请用户登录。
S113,账号云对第一电子设备的用户登录申请校验通过,返回登录成功消息。
其中,因第二电子设备是根据第一电子设备的设备信息向账号云申请临时Token的,因此,第一电子设备的设备信息与临时Token具有对应关系。那么,账号云在接收到第一电子设备的用户登录申请时,便可以根据第一电子设备的设备信息与临时Token进行校验,若校验通过则允许第一电子设备进行用户登录。可选地,若第一电子设备发送的临时Token是签名后的信息,则账号云还可以通过对应的公钥对其进行校验。
S114,第一电子设备提示用户登录成功。
示例性地,第一电子设备可以显示例如上述图10所示的页面,以提示用户已登录成功。
上述用户登录方法,用户在新的电子设备上执行用户登录时,只需选择跨设备验证登录方式,并在旧的电子设备进行安全认证即可,无需再输入密码或验证码,可以提高用户的登录成功率且操作过程比较便捷;另外,通过FIDO认证技术还可以提高登录过程的安全性。
图13是本申请实施例提供的另一例用户登录方法的流程示意图,该方法可以包括:
S201,第一电子设备接收到用户输入的第一操作。
其中,该第一操作可以为用户对跨设备验证登录的触发操作,即触发使用第二电子设备来辅助第一电子设备进行用户登录,也即要在第一电子开启passkey登录模式。
S202,第一电子设备与第二电子设备之间进行设备认证,建立安全会话。
可选地,该步骤中进行设备认证并建立安全会话的过程可以为第一电子设备与第二电子设备建立蓝牙连接的过程,第一电子设备与第二电子设备之间的建立的蓝牙通道即为一个安全会话。
S203,第一电子设备向第二电子设备发送用户登录请求。
其中,该用户登录请求可以携带登录请求消息,例如可以包括第一电子设备向账号云请求的加密信息。
S204,第二电子设备接收用户针对用户登录请求输入的安全登录信息。
可以理解,第二电子设备在接收用户输入安全登录信息之前,还可以包括弹框等过程,具体可以参见上述S106-S108的描述,在此不再赘述。
S205,在安全登录信息验证通过的情况下,第二电子设备对用于第一电子设备进行用户登录的登录信息进行签名,并发送至第一电子设备。
可选地,上述用于第一电子设备进行用户登录的登录信息可以为第二电子设备向账号云所申请的临时Token,第二电子设备可以对其进行passkey签名后发送至第一电子设备。
S206,第一电子设备根据签名登录信息向账号云申请用户登录。
S207,账号云对第一电子设备的用户登录申请校验通过,返回登录成功消息。
其中,若账号云对签名登录信息验证通过,即账号云使用上述用户账号对应的公钥对签名登录信息验证通过,则完成第一电子设备的用户登录,并且该第一电子设备上登录的用户账号也是进行过了FIDO认证,第一电子设备上用户登录的状态也是中安全等级登录状态。
在此场景下,因第一电子设备上登录了与第二电子设备相同的用户账号,且都通过了FIDO认证,因此第一电子设备可以加入第二电子设备所在的信任环,并且第二电子设备可以通过该信任环将自身的passkey加密传输至第一电子设备。
示例性地,如图14所示,在第一电子设备加入第二电子设备所在的信任环的情况下,第二电子设备可以基于该信任环以及自身的可信环境,将passkey加密传输至账号云。然后,账号云再基于信任环将passkey加密传输至第一电子设备。第一电子设备接收到passkey后,即可以同步至本地的可信环境,那么,若后续用户想要在第一电子设备上重新进行用户登录,则可以直接通过生物识别方式进行登录,例如通过指纹识别或人脸识别方式登录。
可选地,第二电子设备可以基于锁屏码或者FIFO(first input first output)的解锁码派生密钥来加密passkey(或者passkey中的私钥),并端到端备份到第二电子设备中,该过程仅用户可感知。可以理解,因上述第二电子设备是中安全等级登录状态,因此可以将passkey同步至第一电子设备;如果第二电子设备是低安全等级登录状态,则仅可以将登录态同步至第一电子设备,以确保登录过程的安全性。
根据上述实施例的实现过程,若以第一电子设备来执行上述用户登录方法为例,则如图15所示,该方法可以包括:
S301,显示用户登录页面,该用户登录页面包括第一控件。
其中,该第一控件用于触发请求第二电子设备辅助第一电子设备进行用户登录,该第一控件也即上述实施例中的跨设备验证登录控件。
S302,若接收到用户对第一控件的触发操作,则向第二电子设备发送用户登录请求。
其中,用户登录请求携带第一电子设备的设备标识,第一电子设备上所要登录的用户账号与第二电子设备上已登录的用户账号相同。
S303,接收来自第二电子设备的用户登录凭证,以及根据用户登录凭证进行用户登录。
其中,用户登录凭证为第二电子设备经过用户身份认证后所获取的凭证。可选地,该用户登录凭证可以为临时Token。
关于该实施例中各步骤的实现过程,可以参见上述实施例的描述,其实现原理和技术效果类似,在此不再赘述。
对于上述用户登录过程,下面以两个示例对其进行举例:
第一个示例:假设第一电子设备和第二电子设备为同类型的电子设备,例如都是Android系统的电子设备,第一电子设备简称为Android A,第二电子设备简称为AndroidB。
1.Android B已登录用户帐号并开启了双因子验证(2factor authentication,2FA),例如开启了密码和验证码验证,且已注册基于passkey的FIDO认证。
2.用户在Android A触发账号登录,并触发跨设备验证登录。同时开启蓝牙功能,向Android B广播用户登录请求。
3.Android B接收到Android A的用户登录请求,提醒用户是否允许Android A进行帐号登录操作,若用户同意,则需要进行指纹或者人脸信息的识别,如果通过则允许Android A登录。
4.Android A接收到Android B发送的登录信息,发送至账号云进行验证,若验证通过则登录成功。
第二个示例:假设第一电子设备和第二电子设备为不同类型的电子设备,例如第一电子设备是Windows系统的电子设备,第二电子设备是Android系统的电子设备,第一电子设备简称为Windows A,第二电子设备简称为Android B。
1.Android B已登录用户帐号并开启了双因子验证(2factor authentication,2FA),例如开启了密码和验证码验证,且已注册基于passkey的FIDO认证。
2.Windows A的浏览器帐号登录页面弹出,用户触发跨设备验证登录,借助Windows的蓝牙功能,向Android B广播用户登录请求。
3.Android B接收到Windows A的用户登录请求,提醒用户是否允许Windows A进行帐号登录操作,若用户同意,则需要进行指纹或者人脸信息的识别,如果通过则允许Windows A登录。
4.Windows A接收到Android B发送的登录信息,发送至账号云进行验证,若验证通过则登录成功。
可以理解,本申请实施例提供的用户登录方法的技术原理,即通过旧的电子设备来辅助新的电子设备进行安全验证的过程,除了可以应用在用户登录场景之外,还可以应用在例如用户查找密码的安全验证、用户等级跃迁时的安全验证、以及一些需要二次认证等场景,其实现过程类似,在此不再赘述。
上文详细介绍了本申请实施例提供的用户登录方法的示例。可以理解的是,电子设备为了实现上述功能,其包含了执行各个功能相应的硬件和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以结合实施例对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对电子设备进行功能模块的划分,例如,可以对应各个功能划分为各个功能模块,例如检测单元、处理单元、显示单元等,也可以将两个或两个以上的功能集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本实施例提供的电子设备,用于执行上述用户登录方法,因此可以达到与上述实现方法相同的效果。
在采用集成的单元的情况下,电子设备还可以包括处理模块、存储模块和通信模块。其中,处理模块可以用于对电子设备的动作进行控制管理。存储模块可以用于支持电子设备执行存储程序代码和数据等。通信模块,可以用于支持电子设备与其他设备的通信。
其中,处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,数字信号处理和微处理器的组合等等。存储模块可以是存储器。通信模块具体可以为射频电路、蓝牙芯片、Wi-Fi芯片等与其他电子设备交互的设备。
在一个实施例中,当处理模块为处理器,存储模块为存储器时,本实施例所涉及的电子设备可以为具有图2所示结构的设备。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质中存储了计算机程序,当计算机程序被处理器执行时,使得处理器执行上述任一实施例的用户登录方法。
本申请实施例还提供了一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述相关步骤,以实现上述实施例中的用户登录方法。
另外,本申请的实施例还提供一种装置,这个装置具体可以是芯片,组件或模块,该装置可包括相连的处理器和存储器;其中,存储器用于存储计算机执行指令,当装置运行时,处理器可执行存储器存储的计算机执行指令,以使芯片执行上述各方法实施例中的用户登录方法。
其中,本实施例提供的电子设备、计算机可读存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
通过以上实施方式的描述,所属领域的技术人员可以了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上内容,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (18)
1.一种用户登录方法,其特征在于,所述方法由第一电子设备执行,所述方法包括:
显示用户登录页面,所述用户登录页面包括第一控件,所述第一控件用于触发请求第二电子设备辅助所述第一电子设备进行用户登录;
若接收到用户对所述第一控件的触发操作,则向所述第二电子设备发送用户登录请求,所述用户登录请求携带所述第一电子设备的设备标识,所述第一电子设备上所要登录的用户账号与所述第二电子设备上已登录的用户账号相同;
接收来自所述第二电子设备的用户登录凭证,以及根据所述用户登录凭证进行用户登录,所述用户登录凭证为所述第二电子设备经过用户身份认证后所获取的凭证。
2.根据权利要求1所述的方法,其特征在于,若接收到所述用户输入的第一操作,所述方法还包括:
向服务器发送请求消息,所述请求消息用于请求加密所述第一电子设备的设备标识;
接收来自所述服务器的第一信息,以及根据所述第一信息确定所述用户登录请求,所述第一信息为对所述第一电子设备的设备标识进行加密后的信息。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述用户登录凭证进行用户登录,包括:
根据所述用户登录凭证向服务器申请用户登录;
接收来自所述服务器在对所述用户登录凭证校验通过后发送的登录成功消息;
显示用户登录成功页面。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第二电子设备上已登录的用户账号已进行过线上快速身份验证服务FIDO认证。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在向所述第二电子设备发送用户登录请求之前,所述方法还包括:
向所述第二电子设备发送连接请求;
接收来自所述第二电子设备针对所述连接请求返回的确认消息,与所述第二电子设备建立通信连接。
6.根据权利要求5所述的方法,其特征在于,所述第一电子设备与所述第二电子设备之间建立的通信连接为蓝牙连接。
7.根据权利要求1至6中任一项所述的方法,其特征在于,在用户登录成功的情况下,所述方法还包括:
与所述第二电子设备组建信任环,以及基于所述信任环同步所述第二电子设备中所述用户账号对应的密钥。
8.一种用户登录方法,其特征在于,所述方法由第二电子设备执行,所述第二电子设备已登录有用户账号,所述方法包括:
接收来自第一电子设备的用户登录请求,所述用户登录请求携带所述第一电子设备的设备标识,所述第一电子设备上所要登录的用户账号与所述第二电子设备上已登录的用户账号相同;
根据所述用户登录请求,进行用户身份认证;
在用户身份认证通过的情况下,获取并向所述第一电子设备发送用户登录凭证。
9.根据权利要求8所述的方法,其特征在于,所述根据所述用户登录请求,进行用户身份认证,包括:
根据所述用户登录请求,显示第一提示框,所述第一提示框用于提示用户是否允许在所述第一电子设备上登录所述用户账号;
若接收到所述用户允许在所述第一电子设备上登录所述用户账号的操作,显示第二提示框,所述第二提示框用于提示所述用户输入身份认证信息;
接收并认证所述用户输入的身份认证信息。
10.根据权利要求9所述的方法,其特征在于,所述用户输入的身份认证信息包括生物识别信息。
11.根据权利要求9或10所述的方法,其特征在于,所述认证所述用户输入的身份认证信息,包括:
通过FIDO服务认证所述用户输入的身份认证信息。
12.根据权利要求8至11中任一项所述的方法,其特征在于,所述获取并向所述第一电子设备发送用户登录凭证,包括:
根据所述第一电子设备的设备标识,从服务器获取所述用户登录凭证;
向所述第一电子设备发送用户登录凭证。
13.根据权利要求12所述的方法,其特征在于,在所述用户登录请求携带的所述第一电子设备的设备标识为加密的情况下,在从服务器获取所述用户登录凭证之前,所述方法还包括:
对所述第一电子设备的设备标识进行解密。
14.根据权利要求8至13中任一项所述的方法,其特征在于,在接收来自第一电子设备的用户登录请求之前,所述方法还包括:
接收来自所述第一电子设备的连接请求;
针对所述连接请求向所述第一电子设备返回确认消息,与所述第一电子设备建立通信连接。
15.一种电子设备,其特征在于,包括:
一个或多个处理器;
一个或多个存储器;
所述存储器存储有一个或多个程序,当所述一个或多个程序被所述处理器执行时,使得所述电子设备执行如权利要求1至7中任一项所述的方法。
16.一种电子设备,其特征在于,包括:
一个或多个处理器;
一个或多个存储器;
所述存储器存储有一个或多个程序,当所述一个或多个程序被所述处理器执行时,使得所述电子设备执行如权利要求8至14中任一项所述的方法。
17.一种用户登录系统,其特征在于,所述系统包括第一电子设备和第二电子设备,所述第一电子设备执行如权利要求1至7中任一项所述的方法,所述第二电子设备执行如权利要求8至14中任一项所述的方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储了计算机程序,当所述计算机程序被处理器执行时,使得所述处理器执行权利要求1至14中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310138354.1A CN117131481A (zh) | 2023-02-09 | 2023-02-09 | 用户登录方法和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310138354.1A CN117131481A (zh) | 2023-02-09 | 2023-02-09 | 用户登录方法和电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117131481A true CN117131481A (zh) | 2023-11-28 |
Family
ID=88855278
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310138354.1A Pending CN117131481A (zh) | 2023-02-09 | 2023-02-09 | 用户登录方法和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117131481A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9077713B1 (en) * | 2014-09-02 | 2015-07-07 | Google Inc. | Typeless secure login to web-based services |
CN109413006A (zh) * | 2017-08-17 | 2019-03-01 | 阿里巴巴集团控股有限公司 | 账号的处理方法、装置、设备和机器可读介质 |
CN113259301A (zh) * | 2020-02-12 | 2021-08-13 | 华为技术有限公司 | 一种账号数据共享方法及电子设备 |
CN114722377A (zh) * | 2020-12-22 | 2022-07-08 | 华为技术有限公司 | 一种利用其它设备授权的方法、电子设备和系统 |
-
2023
- 2023-02-09 CN CN202310138354.1A patent/CN117131481A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9077713B1 (en) * | 2014-09-02 | 2015-07-07 | Google Inc. | Typeless secure login to web-based services |
CN109413006A (zh) * | 2017-08-17 | 2019-03-01 | 阿里巴巴集团控股有限公司 | 账号的处理方法、装置、设备和机器可读介质 |
CN113259301A (zh) * | 2020-02-12 | 2021-08-13 | 华为技术有限公司 | 一种账号数据共享方法及电子设备 |
CN114722377A (zh) * | 2020-12-22 | 2022-07-08 | 华为技术有限公司 | 一种利用其它设备授权的方法、电子设备和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111466099B (zh) | 一种登录方法、令牌发送方法、设备及存储介质 | |
EP3952361B1 (en) | Bluetooth scanning method and electronic device | |
EP3913516B1 (en) | File access authority authentication method and electronic device | |
WO2020143414A1 (zh) | 无线网络接入方法、装置、设备及系统 | |
EP2172043B1 (en) | Device activation and access | |
CN113259301B (zh) | 一种账号数据共享方法及电子设备 | |
CN108769992B (zh) | 用户认证方法、装置、终端及存储介质 | |
CN114661501A (zh) | 一种开机异常的修复方法及装置 | |
CN113468606A (zh) | 一种应用程序的访问方法及电子设备 | |
EP4266202A1 (en) | Data protection method and system, and medium and electronic device | |
CN117131481A (zh) | 用户登录方法和电子设备 | |
CN116956311A (zh) | 异步授权方法、系统、电子设备及计算机可读存储介质 | |
CN108683684B (zh) | 登录目标即时通讯应用的方法、装置和系统 | |
CN115146253A (zh) | 一种移动App登录方法、移动设备及系统 | |
CN115238259A (zh) | 一种设备认证方法以及相关装置 | |
CN114756849A (zh) | 一种验证个人身份识别码pin码的方法和装置 | |
EP4261715A1 (en) | Password reset method and apparatus, and electronic device | |
CN115562573A (zh) | 一种存储数据的方法、通信系统、电子设备及存储介质 | |
CN117951662A (zh) | 一种处理数据的方法及电子设备 | |
CN117992414A (zh) | 一种资源共享方法及电子设备 | |
CN117009971A (zh) | 数据处理方法及装置 | |
CN117135631A (zh) | 设备认证方法及终端设备 | |
CN115550919A (zh) | 设备配对认证方法、装置、发送方设备及接收方设备 | |
CN115550415A (zh) | 设备连接方法和电子设备 | |
CN115967507A (zh) | 一种账号绑定方法、设备、服务器及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |