一种面向信息系统的异步登录方法
【技术领域】
[0001]本发明属于信息安全技术领域,特别是一种适合于使用公共计算机安全登录信息系统或临时授权登录他人登录信息系统的异步登录方法。
【背景技术】
[0002]人们有时会使用公共计算机登录各种网络信息系统(或应用系统),比如,使用网吧的计算机登录网游系统、登录QQ系统,或者进行网上订购并进行网上支付。但是,我们也知道在网吧等公共环境下使用计算机存在安全风险,因为,这种公共环境下的计算机有可能中了木马、或被人安装了监听程序,在这种情况下用户使用公共计算机上登录网络信息系统就存在帐户名、口令被窃取的风险,而且即便采用了动态口令,这种风险也存在,因为用户的动态口令仍然可能被木马程序监听并通过网络快速传送给攻击者,从而造成用户的系统帐户被入侵。还有,在公共计算机上使用USB Key也存在密钥被盗用的风险,因此,即便使用USB Key也无法解决在公共计算机上登录信息系统所存在的安全风险问题(实际上,网吧的计算机大多把USB封死了,无法使用存放有密钥的USB Key进行系统登录操作)。
[0003]我们有时还会遇到这样的情况,我们有时可能需要临时授权某个没有访问系统权限的人访问信息系统,但从安全考虑,我们又不希望将密码告诉被临时授权的人,或者将存放有秘密数据的密码装置交给他使用。
[0004]这些问题就是本发明要解决的问题。
【发明内容】
[0005]本发明的目的是提出一种适合于使用公共主机安全登录信息系统或临时授权登录他人登录信息系统的异步登录方法。
[0006]为了实现本发明的目的,本发明提出的技术方案是:
[0007]一种面向信息系统的异步登录方法,所述方法概述如下:
[0008]在信息系统之外引入一个对用户在信息系统的登录操作进行确认的异步登录系统,该异步登录系统是一个独立系统,或者是信息系统的一个组件。若某个用户甲使用一个计算设备在一个信息系统请求登录,则信息系统向用户甲返回一个登录确认信息,并将此登录确认信息提交到异步登录系统请求对用户甲的登录操作进行确认;具有登录信息系统权限的用户乙使用另一个计算设备在异步登录系统完成登录,然后利用登录确认信息对用户甲在信息系统的登录操作进行确认,从而实现用户甲的登录授权。若用户甲登录信息系统时输入帐户名,则异步登录系统向用户乙显示针对用户甲的登录确认信息由用户乙确认;若用户甲登录信息系统时不输入帐户名,则由用户乙在异步登录系统输入针对用户甲的登录确认信息从而实现对用户甲在信息系统的登录操作的确认。这里用户甲和用户乙是同一个人或者是不同的人;若用户甲和用户乙不是同一个人,且用户甲和用户乙位于不能直接相互交谈的位置(如位于不同位置),则用户甲通过实时通信方式,包括电话、即时通信、电子邮件,将信息系统返回到信息系统客户端程序的登录确认信息告知用户乙。
[0009]所述异步登录方法详述如下。
[0010]第一步:用户甲通过一个计算设备A使用信息系统的客户端程序(称为信息系统客户端程序)访问信息系统请求登录;
[0011]第二步:信息系统向用户甲的信息系统客户端程序返回并显示登录确认信息,并向异步登录系统提交针对用户甲的登录确认请求,登录确认请求中包含有向用户甲的信息系统客户端程序返回的登录确认信息;
[0012]在用户甲访问信息系统请求登录之前或者之后,用户乙通过另一个计算设备B使用异步登录系统的客户端程序(称为异步登录系统客户端程序)在异步登录系统完成登录操作(如通过输入帐户名、口令,或采用其他身份凭证完成登录操作);
[0013]第三步:已在异步登录系统完成登录操作的用户乙(已成功登录异步登录系统的用户乙),利用信息系统返回到用户甲的信息系统客户端程序的登录确认信息,在异步登录系统对用户甲在信息系统的登录操作进行确认;
[0014]第四步:信息系统从异步登录系统获取用户乙对用户甲在信息系统进行登录操作的确认结果(登录确认结果),若确认结果是允许,则允许用户甲登录信息系统;或者,异步登录系统将用户乙对用户甲在信息系统进行登录操作的确认结果通知信息系统,若确认结果是允许,则信息系统允许用户甲登录信息系统。
[0015]以上过程中,若异步登录系统是信息系统的一个组件,则用户乙在异步登录系统进行登录操作所使用的帐户名是用户乙在信息系统中的帐户名;
[0016]若异步登录系统是一个独立的系统,则用户乙在异步登录系统进行登录操作所使用的帐户是用户乙在信息系统中的帐户,或者是一个与用户乙在信息系统中的帐户相绑定的帐户(如用户乙在异步登录系统中的帐户)。
[0017]以上方法中,若所述异步登录系统是一个独立的系统且支持针对不同信息系统的登录操作的确认,则所述信息系统在所述第二步提交给异步登录系统的针对用户甲的登录确认请求以及异步登录系统形成的针对用户甲的登录确认结果中包含有用户甲要登录的信息系统的名称或标识。
[0018]根据第一步中用户甲访问信息系统请求登录时提交或不提交帐户名,所述异步登录方法的登录确认信息、第二步和第三步的执行过程会不同,具体如下。
[0019]情形一:在所述第一步用户甲访问信息系统请求登录时提交帐户名
[0020]则此时信息系统返回的所述登录确认信息是一个随机字串,或者是一组随机选择的图片,而所述第二步信息系统向异步登录系统提交的针对用户甲的登录确认请求中包含有用户甲提交的帐户名,而所述第三步的执行过程如下:
[0021]步骤3.1:异步登录系统检查确定已在异步登录系统完成登录操作的用户乙在信息系统中的帐户名与针对用户甲的登录确认请求中的帐户名是否相同,若相同,则向用户乙的异步登录系统客户端程序返回并显示针对用户甲的登录确认请求中的登录确认信息(即信息系统在第二步向用户甲的信息系统客户端程序返回的登录确认信息),要求用户乙对用户甲在信息系统的登录操作进行确认;否则,不执行要求用户乙进行确认的操作;
[0022]步骤3.2:用户乙检查异步登录系统返回到异步登录系统客户端程序的登录确认信息与信息系统在第二步返回到用户甲的信息系统客户端程序的登录确认信息是否相同,若相同,则通过异步登录系统客户端程序确认并允许用户甲在信息系统的登录操作;否则,不对用户甲在信息系统的登录操作进行确认或拒绝用户甲在信息系统的登录操作。
[0023]对于情形一,若所述异步登录系统是一个独立的系统,且支持针对不同信息系统的登录操作的确认,而用户乙登录异步登录系统时所用的帐户是用户乙在信息系统中的帐户,则所述异步登录系统只安排用户乙对来自同一信息系统且包含同样登录确认信息的登录确认请求进行确认;所述同一信息系统即用户乙登录异步登录系统时所用帐户所在信息系统;
[0024]对于