一种面向Web系统的登录方法
【专利摘要】本发明涉及一种面向Web系统的登录方法:当用户使用浏览器访问一个尚未登录的Web系统时Web系统将浏览器与Web系统之间会话的会话标识数据及会话标识数据的暂存标识符提交到移动登录服务器暂存,同时将暂存标识符通过用户浏览器以条码形式显示;用户移动终端中的移动登录助手通过扫描条码获得暂存标识符并将其提交到移动登录服务器;移动登录服务器在完成对用户的身份鉴别后利用暂存标识符对应的会话标识数据代用户登录Web系统,或者将暂存标识符对应的会话标识数据返回给移动登录助手用于登录Web系统,或者移动登录服务器用用户加密密钥对暂存标识符对应的会话标识数据加密然后将其返回给移动登录助手解密后用于登录Web系统。
【专利说明】
一种面向Web系统的登录方法
技术领域
[0001]本发明属于信息安全技术领域,特别是一种面向Web系统的登录方法。【背景技术】
[0002]网络信息或应用系统的用户在访问网络信息或应用系统时可能会遇到以下问题。
[0003]—是,当用户在网吧等公共环境使用公共计算机登录要访问的信息或应用系统时,如登录QQ、网游,由于公共计算机可能被安置了木马,用户登录系统的帐户名、口令存在被监听、窃取的风险(即便是动态口令,也不能避免这种安全风险)。
[0004]二是,用户在不同的信息或应用系统都有帐户名、口令要记忆,帐户名、口令多了很容易忘记、混淆。
[0005]三是,在一些安全性要求高的场合,用户需要使用存有数字证书及私钥的USB Key 等密码硬件,但是如果有多个USB Key密码硬件需要携带,会给用户带来不便。
[0006]针对这些问题,本发明
【申请人】在其专利申请“一种基于移动终端的Web系统便捷登录方法”(专利申请号:201510472645.X)中针对Web系统提出了一种基于移动终端的解决方案,具体地:当用户使用浏览器登录Web系统时,Web系统将浏览器与Web系统之间的会话标识数据以条码的形式显示在浏览器上,用户使用移动终端的摄像头扫描条码,移动终端中的移动登录代理从条码中获得会话标识数据,然后移动登录代理使用用户身份凭证登录 Web系统,移动登录代理登录Web系统时按浏览器提交会话标识数据的方式提交扫描获得的会话标识数据,由此实现用户浏览器在Web系统的登录。201510472645.X的最大特点是实施简单,且Web系统按原有的方式对用户进行登录鉴别,但是,201510472645.X中的方案也存在一个问题,这就是会话标识数据以明文方式返回到浏览器并通过浏览器页面显示,这使得会话标识数据存在被恶意注入的脚本程序(从页面中)窃取的风险。
[0007]针对201510472645.X中的方案存在的会话标识数据泄露的风险,本发明
【申请人】在其专利申请“一种基于移动终端的Web系统安全登录方法”(专利申请号:201510887444.6) 提出了相应的解决方案,在这个方案中用户浏览器与Web系统之间的会话标识数据被加密后再返回到用户浏览器并通过二维码显示,用户移动终端中的移动登录助手通过解密被加密的会话标识数据从而获得会话标识数据;或者Web系统将会话标识数据的暂存标识符加密后再返回到用户浏览器并通过二维码显示,用户移动终端中的移动登录助手通过解密被加密的会话标识数据的暂存标识符,然后再利用会话标识数据的暂存标识符从Web系统获得会话标识数据;无论哪种方式,都避免了通过浏览器的页面内容直接传输、显示明文形式的会话标识数据(或其条码)。但这种方案也存在一些问题:一是,用户要在浏览器输入用户在Web系统的帐户名或用户的一个身份标识,这给用户带来额外的麻烦;二是,若用户在公共计算机上通过浏览器输入用户在Web系统的帐户名,会造成用户信息的泄露,给攻击者留下破解帐户口令密码的线索,比如,通过帐户名去猜测用户的帐户密码,包括利用在其它系统非法获得的相同或相似帐户名的对应口令密码去猜测用户在要登录的Web系统中的口令密码(即所谓的撞库)。
【发明内容】
[0008]本发明的目的是提出一种面向Web系统的登录方法,以克服现有方案的不足。[〇〇〇9]本发明提出的技术方案如下:当用户在计算机上使用浏览器访问一个尚未登录(logon)的Web系统时,Web系统为用户浏览器与Web系统之间会话的会话标识数据生成一个会话标识数据的暂存标识符,然后一方面将用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符提交到移动登录服务器暂存,另一方面将生成的会话标识数据的暂存标识符通过用户浏览器以条码(如二维码)形式显示;移动登录服务器接收到Web系统提交的用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符后,将会话标识数据暂存在内存或数据库中,暂存的会话标识数据用接收到的会话标识数据的暂存标识符标识;用户使用运行有移动登录助手的移动终端扫描浏览器上显示的条码;移动终端中的移动登录助手从扫描的条码中获得用户浏览器与Web系统之间会话的会话标识数据的暂存标识符,然后连接移动登录服务器,将获得的会话标识数据的暂存标识符提交到移动登录服务器;移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库中获得对应的会话标识数据,然后使用用户在Web系统的帐户名和口令或者证明用户身份的安全令牌代用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录服务器按Web系统约定的浏览器提交会话标识数据的方式将从内存或数据库中获得的会话标识数据包含在与Web系统交互的HTTP请求中;或者,移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库中获得对应的会话标识数据,将获得的会话标识数据返回给移动登录助手;移动登录助手使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在 Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将移动登录服务器返回的会话标识数据包含在与Web系统交互的HTTP请求中;或者,移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在Web系统或移动登录服务器的帐户名提交到移动登录服务器;移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数据库中有对应的会话标识数据后,进一步检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,若不是,则返回错误,若是,则通过用户帐户名获得用户的加密密钥,使用用户加密密钥对从内存或数据库中获得的、与接收到的会话标识数据的暂存标识符对应的会话标识数据进行加密,然后将加密后的会话标识数据返回给移动登录助手;移动登录助手利用用户的解密密钥对接收到的加密的会话标识数据进行解密,获得解密后的会话标识数据,之后移动登录助使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将解密获得的会话标识数据包含在与 Web系统交互的HTTP请求中;在移动登录服务器使用用户的帐户名和口令或安全令牌代用户在Web系统完成登录操作后,或者,在移动登录助手使用用户身份凭证或安全令牌为用户在Web系统完成登录操作后,用户浏览器与Web系统之间的会话自动被Web系统标志为已登录状态;所述Web系统是一个基于Web技术开发、提供(特定或预定)功能服务的应用系统或信息系统(S卩Web应用系统或信息系统);所述会话标识数据是包含有Web系统与用户浏览器之间会话的会话标识符(Sess1n ID)及其它会话相关信息的数据;所述其它会话相关信息是用于限定会话的信息;所述会话标识数据的暂存标识符是Web系统生成的用于对暂存在移动登录服务器中的会话标识数据进行标识的字串;所述移动终端是一个具有数据网络联网能力并带有摄像头的便携式计算装置(如移动通信装置、平板电脑、智能穿戴设备等);所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用浏览器在计算机上完成登录Web系统操作的程序;所述移动登录服务器是帮助用户通过移动终端在Web系统完成登录操作的系统;所述身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在一个系统中的帐户名,或者与用户在一个系统中的帐户名对应的、用于标识用户身份的数据(如数字证书);所述私密数据是用于证明用户就是身份凭证的拥有者的数据(如口令、数字证书的私钥);用户在Web系统登录所用的身份凭证是用户在Web系统的身份凭证,用户在移动登录服务器进行身份鉴别所用的身份凭证是用户在Web系统的身份凭证或者是用户在移动登录服务器的身份凭证;所述安全令牌是所述移动登录服务器或一个身份服务系统(如Identity Provider)在完成对用户的身份鉴别后为用户签发的一个证明用户身份的电子信息,所述安全令牌具有时效性;所述身份服务系统是一个专门进行用户在线身份鉴别的系统。
[0010]在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在Web系统的身份凭证,则移动登录服务器能访问Web 系统的用户帐户数据库或者维护有Web系统的用户帐户数据的副本;移动登录服务器通过用户在Web系统的帐户数据或自己维护的Web系统的用户帐户数据的副本对用户进行身份鉴别,以及确定用户是否有登录Web系统的权限(如有帐户且帐户有效);在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,则移动登录服务器维护有用户在移动登录服务器的帐户与用户在Web系统的帐户之间的绑定或对应关系,并依据此绑定或对应关系确定用户是否有登录Web系统的权限(如有绑定则有权限)。
[0011]在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在Web系统的帐户名和口令,且完成对用户的身份鉴别后移动登录服务器使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作, 则移动登录服务器通过对用户的身份鉴别获得用户在Web系统的帐户名和口令,然后使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作;在以上所述登录操作过程中,若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,且完成对用户的身份鉴别后移动登录服务器使用用户在Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器根据用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系从Web系统的用户帐户数据中获得用户登录Web系统的帐户名口令。
[0012]在以上所述登录操作过程中,若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在Web系统的帐户名提交到移动登录服务器,且移动登录服务器使用用户帐户名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器能访问Web系统的用户帐户数据库,或者移动登录服务器维护有 Web系统的用户帐户数据的副本,移动登录服务器通过用户在Web系统的帐户数据或维护的 Web系统的用户帐户数据的副本检查确定移动登录助手提交的帐户名所对应的用户在Web 系统中是否对应一个有效的帐户,并使用用户在Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的与会话标识数据的暂存标识符对应的会话标识数据进行加密;在以上所述登录操作过程中,若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时将用户在移动登录服务器的帐户名提交到移动登录服务器,移动登录服务器使用用户帐户名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系,并依据此绑定或对应关系检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐户,并使用用户在移动登录服务器的帐户名或对应的Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的、与会话标识数据的暂存标识符对应的会话标识数据进行加密。
[0013]所述用户帐户名所对应的加密密钥是用户帐户数据库(Web系统或移动登录服务器的用户帐户数据库)中帐户名所对应的用户帐户中保存的用户公钥,或者由帐户名所对应的用户帐户中保存的口令导出的对称密钥。
[0014]若存在多个Web系统,则用户通过移动登录助手在移动登录服务器进行身份鉴别时,通过移动登录助手选择或输入用户使用浏览器要登录的Web系统,或者Web系统通过用户浏览器显示的条码中包含有用户使用浏览器要登录的Web系统信息(名称或标识或URL), 用户移动终端中的移动登录助手从条码中获得用户使用浏览器要登录的Web系统信息,并在连接移动登录服务器后将用户使用浏览器要登录的Web系统的信息提交给移动登录系统。
[0015]本发明产生的有益效果是:从以上描述可以看到,本发明在基于移动终端实现用户在 Web系统的登录的同时做到:一方面用户浏览器与Web系统之间会话的会话标识数据未被以明文形式传输到用户浏览器的页面,另一方面用户无需在浏览器输入其在Web系统的帐户名,因此,本发明的方法既保持了“一种基于移动终端的Web系统便捷登录方法”(专利申请号:201510472645.X)中方案实施简单的优点,又保持了“一种基于移动终端的Web系统安全登录方法”(专利申请号:201510887444.6)中方案能避免会话标识数据被注入的脚本程序窃取的风险的优点,同时又避免了201510887444.6中用户通过浏览器输入帐户名或身份标识所带来的麻烦以及可能存在的潜在风险。【附图说明】
[0016]无。【具体实施方式】
[0017]下面结合实施例对本发明作进一步的描述。
[0018]Web系统生成会话标识数据的暂存标识符的方法包括(但不限于):用一个随机生成的字串或者包含随机字串的字串作为会话标识数据的暂存标识符,或者用单向不可逆函数(如散列函数)对会话标识数据进行运算,然后用运算后的结果作为会话标识数据的暂存标识符;而移动登录服务器将会话标识数据暂存在内存或数据库中用会话标识数据的暂存标识符标识、以及移动登录服务器依据暂存标识符从内存或数据库中获得会话标识数据的具体实施对相关领域的技术人员而言是非常简单的,在此无需作进一步的说明。
[0019]对于移动登录助手的开发,取决于其运行所在移动终端,它相当于移动终端(如移动通信终端、平板电脑)的一个应用程序(app)。若移动终端是Android系统,则可以采用 Android APP的开发技术,如Java开发;若移动终端是10S系统,则可以采用1S APP的开发技术,如〇bjective-C开发。
[0020]包含会话标识数据的暂存标识符的条码可以采用二维码。浏览器显示的条码可以由Web系统的服务端生成,也可以由浏览器的脚本程序生成。对于用移动终端扫描二维码并从二维码中获取数据目前已是成熟的技术,在此不多赘述。
[0021]对于移动登录服务器的开发,可以采用任何成熟的信息系统开发技术,如J2EE、 ASP.NET等。移动登录助手与移动登录服务器之间的交互采用HTTP协议。[〇〇22]下面结合实施例对本发明的具体实施作进一步的描述。[〇〇23] 实施例一Web系统采用帐户名、口令方式进行用户登录鉴别,Web系统的帐户数据库中存有用户的帐户名、口令;移动登录服务器能直接访问Web系统的用户帐户数据库;用户通过移动登录助手使用在Web系统中的帐户名、口令在移动登录服务器进行身份鉴别,而移动登录服务器从Web系统的帐户数据库获取用户的帐户名、口令,验证用户通过移动登录助手提交的帐户名、口令的有效性;验证通过后移动登录服务器使用获得帐户名、口令代用户在Web系统进行登录,并在代用户进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交依据暂存标识符获得的会话标识数据。[〇〇24] 实施例二Web系统使用安全令牌(如SAML安全断言、Spnego安全令牌)进行登录鉴别;移动登录服务器作为一个签发安全令牌的身份服务系统维护有自身的用户帐户数据,并维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系;用户通过移动登录助手使用在移动登录服务器的身份凭证在移动登录服务器进行身份鉴别;身份鉴别完成后, 移动登录服务器依据帐户绑定或对应关系确定用户具有访问Web系统的权限,然后为用户签发访问Web系统的安全令牌,并使用安全令牌代用户在Web系统进行登录,并在代用户进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交依据暂存标识符获得的会话标识数据。[〇〇25] 实施例三Web系统使用安全令牌(如SAML安全断言、Spnego安全令牌)进行登录鉴别;移动登录服务器作为一个签发安全令牌的身份服务系统维护有自身的用户帐户数据,并维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系;用户通过移动登录助手使用在移动登录服务器的身份凭证在移动登录服务器完成身份鉴别后,移动登录服务器依据帐户绑定或对应关系确定用户具有访问Web系统的权限,然后移动登录服务器为用户签发登录Web系统的安全令牌,然后将安全令牌以及依据暂存标识符获得会话标识数据返回给移动登录助手;移动登录助手利用移动登录服务器返回的安全令牌为用户在Web系统进行登录,并在进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交移动登录服务器返回的会话标识数据。
[0026]实施例四Web系统采用帐户名、口令方式进行登录鉴别,Web系统的帐户数据库中存有用户的帐户名、口令,移动登录服务器能直接访问Web系统的用户帐号数据库;移动登录助手在将扫描获得的会话标识数据的暂存标识符提交给移动登录服务器的同时将(用户输入的)用户在Web系统的帐户名提交给移动登录服务器;移动登录服务器通过用户在Web系统的帐户名确定用户在Web系统有一个有效帐户,然后从Web系统中的帐户名对应的用户帐户数据中获得用户的口令,用从口令导出的对称密钥对移动登录助手提交的暂存标识符在内存或数据库中的对应会话标识数据进行加密,然后将加密的会话标识数据返回给移动登录助手,由移动登录助手使用用户的口令导出的对称密钥对加密后的会话标识数据进行解密,然后移动登录助手使用用户在Web系统的帐户名、口令在Web系统进行登录操作,并在进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交解密获得的会话标识数据。 [〇〇27]实施例五Web系统采用公钥(如数字证书)方式进行登录鉴别,Web系统的帐户数据库中存有用户的公钥(如数字证书);移动登录服务器维护有自身的用户帐户数据,并维护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系;移动登录服务器能访问Web 系统的用户帐户数据库;移动登录助手在将扫描获得的会话标识数据的暂存标识符提交给移动登录服务器的同时将(用户输入的)用户在移动登录服务器的帐户名提交给移动登录服务器;移动登录服务器通过用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系确定用户在Web系统中是否有个有效的帐户,确认通过后移动登录服务器从 Web系统的用户帐户数据中获得用户的公钥(如数字证书),然后用用户的公钥对移动登录助手提交的暂存标识符在内存或数据库中所对应的会话标识数据进行加密,然后将加密的会话标识数据返回给移动登录助手;移动登录助手使用用户的私钥对加密后的会话标识数据进行解密,然后使用用户数字证书及私钥在Web系统进行登录操作,并在进行登录操作时按Web系统约定的浏览器提交会话标识数据的方式提交解密获得的会话标识数据。
[0028]其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
【主权项】
1.一种面向Web系统的登录方法,其特征是:当用户在计算机上使用浏览器访问一个尚未登录的Web系统时,Web系统为用户浏览器 与Web系统之间会话的会话标识数据生成一个会话标识数据的暂存标识符,然后一方面将 用户浏览器与Web系统之间会话的会话标识数据及会话标识数据的对应暂存标识符提交到 移动登录服务器暂存,另一方面将生成的会话标识数据的暂存标识符通过用户浏览器以条 码形式显示;移动登录服务器接收到Web系统提交的用户浏览器与Web系统之间会话的会话标识数 据及会话标识数据的对应暂存标识符后,将会话标识数据暂存在内存或数据库中,暂存的 会话标识数据用接收到的会话标识数据的暂存标识符标识;用户使用运行有移动登录助手的移动终端扫描浏览器上显示的条码;移动终端中的移 动登录助手从扫描的条码中获得用户浏览器与Web系统之间会话的会话标识数据的暂存标 识符,然后连接移动登录服务器,将获得的会话标识数据的暂存标识符提交到移动登录服 务器;移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂 存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进行身份 鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服务器依 据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或数据库 中获得对应的会话标识数据,然后使用用户在Web系统的帐户名和口令或者证明用户身份 的安全令牌代用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录 服务器按Web系统约定的浏览器提交会话标识数据的方式将从内存或数据库中获得的会话 标识数据包含在与Web系统交互的HTTP请求中;或者,移动登录服务器在确定接收到的用户浏览器与Web系统之间会话的会话标识数 据的暂存标识符在内存或数据库中有对应的会话标识数据后,通过移动登录助手对用户进 行身份鉴别,在完成对用户的身份鉴别并确定用户具有登录Web系统的权限后,移动登录服 务器依据接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符从内存或 数据库中获得对应的会话标识数据,将获得的会话标识数据返回给移动登录助手;移动登 录助手使用用户身份凭证或证明用户身份的安全令牌为用户在Web系统完成登录操作,在 Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据 的方式将移动登录服务器返回的会话标识数据包含在与Web系统交互的HTTP请求中;或者,移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同 时将用户在Web系统或移动登录服务器的帐户名提交到移动登录服务器;移动登录服务器 在确定接收到的用户浏览器与Web系统之间会话的会话标识数据的暂存标识符在内存或数 据库中有对应的会话标识数据后,进一步检查确定移动登录助手提交的帐户名所对应的用 户在Web系统中是否对应一个有效的帐户,若不是,则返回错误,若是,则通过用户帐户名获 得用户的加密密钥,使用用户加密密钥对从内存或数据库中获得的、与接收到的会话标识 数据的暂存标识符对应的会话标识数据进行加密,然后将加密后的会话标识数据返回给移 动登录助手;移动登录助手利用用户的解密密钥对接收到的加密的会话标识数据进行解 密,获得解密后的会话标识数据,之后移动登录助手使用用户身份凭证或证明用户身份的 安全令牌为用户在Web系统完成登录操作,在Web系统进行登录操作的过程中,移动登录助手按Web系统约定的浏览器提交会话标识数据的方式将解密获得的会话标识数据包含在与 Web系统交互的HTTP请求中;在移动登录服务器使用用户的帐户名和口令或安全令牌代用户在Web系统完成登录操 作后,或者,在移动登录助手使用用户身份凭证或安全令牌为用户在Web系统完成登录操作 后,用户浏览器与Web系统之间的会话自动被Web系统标志为已登录状态;所述Web系统是一个基于Web技术开发、提供功能服务的应用系统或信息系统;所述会话标识数据是包含有Web系统与用户浏览器之间会话的会话标识符及其它会话 相关信息的数据;所述其它会话相关信息是用于限定会话的信息;所述会话标识数据的暂存标识符是Web系统生成的用于对暂存在移动登录服务器中的 会话标识数据进行标识的字串;所述移动终端是一个具有数据网络联网能力并带有摄像头的便携式计算装置;所述移动登录助手是在用户的移动终端中安装并运行的一个用于帮助用户使用浏览 器在计算机上完成登录Web系统操作的程序;所述移动登录服务器是帮助用户通过移动终端在Web系统完成登录操作的系统;所述身份凭证由用户标识数据和私密数据组成;所述用户标识数据是用户在一个系统 中的帐户名,或者与用户在一个系统中的帐户名对应的、用于标识用户身份的数据;所述私 密数据是用于证明用户就是身份凭证的拥有者的数据;用户在Web系统登录所用的身份凭 证是用户在Web系统的身份凭证,用户在移动登录服务器进行身份鉴别所用的身份凭证是 用户在Web系统的身份凭证或者是用户在移动登录服务器的身份凭证;所述安全令牌是所述移动登录服务器或一个身份服务系统在完成对用户的身份鉴别 后为用户签发的一个证明用户身份的电子信息,所述安全令牌具有时效性;所述身份服务 系统是一个专门进行用户在线身份鉴别的系统。2.根据权利要求1所述的面向Web系统的登录方法,其特征是:若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是 用户在Web系统的身份凭证,则移动登录服务器能访问Web系统的用户帐户数据库或者维护 有Web系统的用户帐户数据的副本;移动登录服务器通过用户在Web系统的帐户数据或自己 维护的Web系统的用户帐户数据的副本对用户进行身份鉴别,以及确定用户是否有登录Web 系统的权限;若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是 用户在移动登录服务器的身份凭证,则移动登录服务器维护有用户在移动登录服务器的帐 户与用户在Web系统的帐户之间的绑定或对应关系,并依据此绑定或对应关系确定用户是 否有登录Web系统的权限。3.根据权利要求2所述的面向Web系统的登录方法,其特征是:若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是 用户在Web系统的帐户名和口令,且完成对用户的身份鉴别后移动登录服务器使用用户在 Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器通过对用户的 身份鉴别获得用户在Web系统的帐户名和口令,然后使用用户在Web系统的帐户名和口令代 用户在Web系统完成登录操作;若移动登录服务器通过移动登录助手对用户进行身份鉴别时用户使用的身份凭证是用户在移动登录服务器的身份凭证,且完成对用户的身份鉴别后移动登录服务器使用用户 在Web系统的帐户名和口令代用户在Web系统完成登录操作,则移动登录服务器根据用户在 移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系从Web系统的用户帐户 数据中获得用户登录Web系统的帐户名口令。4.根据权利要求1所述的面向Web系统的登录方法,其特征是:若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时 将用户在Web系统的帐户名提交到移动登录服务器,且移动登录服务器使用用户帐户名对 应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器能访问 Web系统的用户帐户数据库,或者移动登录服务器维护有Web系统的用户帐户数据的副本, 移动登录服务器通过用户在Web系统的帐户数据或维护的Web系统的用户帐户数据的副本 检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应一个有效的帐 户,并使用用户在Web系统的帐户名所对应的用户加密密钥对从内存或数据库中获得的与 会话标识数据的暂存标识符对应的会话标识数据进行加密;若移动登录助手将获得的会话标识数据的暂存标识符提交到移动登录服务器的同时 将用户在移动登录服务器的帐户名提交到移动登录服务器,移动登录服务器使用用户帐户 名对应的用户加密密钥对返回给移动登录助手的会话标识数据加密,则移动登录服务器维 护有用户在移动登录服务器的帐户与用户在Web系统的帐户的绑定或对应关系,并依据此 绑定或对应关系检查确定移动登录助手提交的帐户名所对应的用户在Web系统中是否对应 一个有效的帐户,并使用用户在移动登录服务器的帐户名或对应的Web系统的帐户名所对 应的用户加密密钥对从内存或数据库中获得的、与会话标识数据的暂存标识符对应的会话 标识数据进行加密。5.根据权利要求4所述的面向Web系统的登录方法,其特征是:所述用户帐户名所对应的加密密钥是用户帐户数据库中帐户名所对应的用户帐户中 保存的用户公钥,或者由帐户名所对应的用户帐户中保存的口令导出的对称密钥。6.根据权利要求1所述的面向Web系统的登录方法,其特征是:若存在多个Web系统,则用户通过移动登录助手在移动登录服务器进行身份鉴别时,通 过移动登录助手选择或输入用户使用浏览器要登录的Web系统,或者Web系统通过用户浏览 器显示的条码中包含有用户使用浏览器要登录的Web系统信息,用户移动终端中的移动登 录助手从条码中获得用户使用浏览器要登录的Web系统信息,并在连接移动登录服务器后 将用户使用浏览器要登录的Web系统的信息提交给移动登录系统。
【文档编号】H04L29/08GK105978994SQ201610455487
【公开日】2016年9月28日
【申请日】2016年6月22日
【发明人】龙毅宏
【申请人】武汉理工大学