专利名称:一种信息处理系统中的安全登录装置和方法
技术领域:
本发明涉及信息安全技术,特别涉及一种信息处理系统中的安全登录装 置和方法。
技术背景目前,随着GPRS、 CDMA、 3G无线通讯技术的发展和无线接入(WAN, Wireless Access Network)模块的应用,计算机和互联网以及无线通讯设备的 联系更加方便。WAN模块就是指通过无线访问网络的通讯模块。例如,通过 笔记本电脑的个人计算机存储卡国际协会接口 (PCMCIA)、通用串行总线接 口 (USB)、 Cardbus或MiniPCIE接口和WAN卡(如GPRS、 CDMA或3G 无线上网卡)相连,可以实现笔记本电脑的移动上网,并且可以实现通过笔 记本电脑收发短信(SMS)、打电话等。WAN卡已经逐渐成为笔记本电脑的 标准配置。对于计算机系统的操作系统登录、邮件系统登陆、加密文件(目录)登 录,网络帐户登录等,现在普遍采用的登录模式是要求用户在登录时输入用 户名和密码。由于输入的密码通常是固定和唯一的,需要牢记密码,如果忘 记了密码会直接导致不能登录;而在输入密码时,容易被别人看见或者监视 从而导致密码被盗。所有这些都给用户带来一些使用上的不方便。 发明内容本发明的目的在于提供一种信息处理系统中的安全登录装置,使用该装 置的登录用户不需要记忆登录密码。本发明的安全登录装置应用于包含有无线接入模块的信息处理设备,包括用户信息存储模块,用于存储用户移动终端号码信息; 密码生成模块,用于接收到登录启动命令时产生密码,并将该密码发送 给密码发送模块;
密码发送模块,与无线接入模块连接,用于接收密码生成模块的密码并 从用户信息存储模块获取用户移动终端号码,通过无线接入模块将所述密码 发送给获取的用户移动终端号码对应的移动终端;密码验证模块,用于将接收的用户输入和密码生成模块产生的密码进行 验证,并根据验证结果确定是否登录成功。用户信息存储模块存储的用户移动终端号码信息包括用户名和对应的移 动终端号码,用户信息存储模块还用于接收用户名的输入,并将与用户名对 应的移动终端号码发送给密码发送模块,密码发送模块通过无线接入模块将 所述密码发送给移动终端号码对应的移动终端。进一步, 一个用户名对应于多个移动终端号码,密码发送模块用于依次 将所述密码发送给与移动终端号码对应的移动终端,或者提示用户选择一个 移动终端号码并将所述密码发送给与选定移动终端号码对应的移动终端。而密码发送模块可以将所述密码作为短信的内容,通过无线接入模块发 送给移动终端号码对应的移动终端用户信息存储模块还可以用于接受用户对密码长度或/和形式的设置,并 存储对密码长度或/和形式的设置信息,密码生成模块从用户信息存储模块获 得所述密码的设置信息,并产生符合设置的密码。而密码验证模块对接收的用户输入和密码生成模块产生的密码分别进行 相同的加密后再进行验证。通过上述本发明提供的安全登录装置,每次登录时,安全登录装置将产 生的新密码通过无线接入模块发送到用户指定的移动终端,用户通过该密码 完成登录,从而使用户省去了记忆密码的负担,并且由于每次产生的都是新 密码,也不需要担心在输入密码的过程中被别人看见而被盗取,从而方便了 用户的登录,并增加了登录的安全性。本发明的另一目的在于提供一种信息处理系统中的安全登录方法,通过 该方法登录的用户不需要记忆登录密码。本发明的安全登录方法应用于包含有无线接入模块的信息处理系统,包括如下步骤A,在收到登录启动命令后产生密码;B,将密码通过无线接入模块发送到用户移动终端号码对应的移动终端; C,验证用户输入与产生的密码是否匹配,如果是,则允许登录,否则, 拒绝登录。在上述步骤B中,可以将密码作为短信的内容通过无线接入模块发送到 用户移动终端号码对应的移动终端。进一步,步骤B中的用户移动终端号码可以包含多个移动终端号码,步 骤B可以包含如下步骤提示用户从多个移动终端号码中选择一个移动终端号码;将密码通过无线接入模块发送到用户选择的移动终端号码对应的移动终A山顺。或者依次将密码通过无线接入模块发送到用户移动终端号码对应的移动终端。其中,上述的密码符合指定的格式和/或长度。而步骤102中所述的用户 移动终端号码包含一个或者多个移动终端号码。 进一步,在步骤A前还可以包括如下步骤 接收用户设定所述密码的长度和/或形式; 且在步骤A中所述产生的密码符合设定的长度和/或形式。 或者,接收用户输入的当前用户名,并根据当前用户名获得对应的用户移动终 端号码。 或者,提示用户选择是否启用安全登录;判断用户是否选择安全登录,如果是则继续执行步骤A,否则执行其它 登录过程。通过本发明提供的上述安全登录方法,在登录过程中,每次都由产生新 的密码,并通过无线接入模块发送到用户的移动终端上,用户根据该密码实 现登录,从而省去了用户需要记忆密码的负担,也不用担心在输入密码的过 程中被其它人看见而盗取,方便了用户的登录,并增加了登录的安全性。
图1所示为本发明的安全登录装置示意图; 图2所示为本发明的安全登录方法流程图; 图3所示为使用本发明的安全登录方法的系统登录流程图。
具体实施方式
本发明的基本思想是,在每次进入登录时产生一个新的登录密码,通过 WAN模块将该登录密码发送到指定的用户移动终端上,用户利用发送到移动 终端的密码完成登录。通过这样的登录方式,用户无须记忆设置的各种密码, 而且在输入密码时不需要担心别人看见而被盗取,方便了用户的登录,并提 高了登录的安全性。如图1所示,本发明的一种信息处理系统中的安全登录装置包括用户信 息存储模块、密码生成模块、密码发送模块以及密码验证模块。其中,用户信息存储模块用于存储用户的相关信息。在只有一个用户的 情况下,可以只存储用户的移动终端号码信息。在存在多个用户的情况下, 需要存储用户名和对应的移动终端号码,用户信息存储模块可以根据用户名 获得对应的用户移动终端号码。还有一点需要指出的是,对一个用户,可以 规定只能为其设置一个移动终端号码,也可以规定允许为其设置多个移动终 端号码。移动终端可以包括手机、个人数字助理(PDA)等。密码生成模块用于产生密码。安全登录装置在收到启动命令后,密码生 成模块产生新的密码,密码生成模块将产生的新的密码发送给密码发送模块。 密码生成模块还可以将生成的密码保存到缓存中或登陆密码保存文件中。例如,在WINDOWS系统下,密码生成模块可以调用系统的随机数产生功能来实现密码的生成。密码的长度以及形式可以由用户设定或者按随机方 式产生。例如调用系统的random()底层函数接口,密码的形式可以设定为包 括整数和/或字符。字符的ASCII码值对应0 128,只要产生一个在这个范围 内的整数就可以转换成相应的字符。在把产生的整数和字符按一定的方式组 合,可以组合出任意长度密码。密码发送模块在收到新的密码时,直接从用户信息存储模块获得需要的 指定移动终端号码,或者根据用户名从用户信息存储模块获得需要的指定移
动终端号码。用户名可以在登录开始时或者在需要的时候由用户输入或者通过系统的缺省配置信息中获得。密码发送模块通过AT指令通知WAN模块将该密码发送给指定移动终端号码对应的移动终端。密码可以作为短信的内容发送,或者作为彩信的内容发送,或者其它的一些WAN模块支持且移动终 端可以接收的方式发送。例如,假定用户的移动终端为手机,手机号码为 13888888888,密码内容为helbl38,则可以用如下的格式通知WAN模块将 密码通过短信发送给用户的手机AT+CMGS ="13888888888" <hellol38>。如 果存在多个指定的移动终端号码,则可以依次将该密码发送给指定的移动终^山顿。在密码发送成功后,安全登录装置等待接收用户的输入。在用户输入完 成后,密码验证模块验证用户输入和密码生成模块产生的新密码是否匹配, 如果匹配,则用户登录成功,否则,用户登录失败。上述的验证也可以在分 别对用户输入和新密码进行相同的加密过程后进行。用户还可以对产生的密码的长度和/或形式进行设置,并将设置信息存储 在用户信息存储模块,当密码产生模块在产生密码前,首先到用户信息存储 模块获得对密码的设置信息,然后产生符合设置的密码。用户信息存储模块在收到提供移动终端号码或者密码设置的请求时,如 果存在多个用户信息,可以根据请求中的用户名返回对应的移动终端号码或 者密码设置信息;如果请求中没有提供具体的用户名,则可以提示用户输入 用户名。然后根据输入的用户名返回对应的移动终端号码或者密码设置信息。通过上述本发明提供的安全登录装置,在用户指定了移动终端号码的情 况下,每次登录时,安全登录装置将产生的新密码通过WAN模块发送到用 户指定的移动终端,用户通过该密码完成登录,从而使用户不需要再承受记 忆密码的负担,并且由于每次产生的都是新密码,也不需要担心在输入密码 的过程中被别人窃取,从而方便了用户的登录,并增加了登录的安全性。如图2所示,本发明的一种信息处理系统中的安全登录方法包括如下步骤步骤201,收到登录启动命令后产生密码。在收到登录启动命令后,产生一个新的密码。例如,在Windows或者Linux
系统下一种实现方法是通过random()或者其它类似的函数产生一系列随机 数。如果密码中需要存在字符,则可以产生0-128内的整数,然后根据字符 的ASCII码值,将整数转换为字符。密码的格式和长度可以进行限定或者不限定。如果需要进行限定,可以 在产生密码前对密码的格式和长度进行设置。在产生密码的过程中,可以通 过控制产生的整数和字符的转换以及整数和字符的组合,从而使产生的密码 符合设置的要求。步骤202,将密码通过无线接入模块发送到指定用户移动终端号码对应 的移动终端。移动终端可以包括手机、个人数字助理(PDA)等。为了将密码发送到 用户的移动终端,需要获得用户的移动终端号码。在不存在其它用户引起混 淆的情况下,可以只存储用户的移动终端号码,获得的用户移动终端号码就 是要发送的移动终端号码。在存在多个用户的情况下,首先需要获得用户名, 并根据用户名获得对应的用户移动终端号码。其中,用户名可以在登录开始 时提示用户输入获得。需要指出的是,同一个用户可以有一个移动终端号码, 也可以允许有多个移动终端号码。用户的移动终端号码可以由用户通过专门 的配置程序实现。在获得了用户移动终端号码和密码的情况下,可以通过AT指令通知 WAN模块将上述的密码作为短信的内容发送到指定的用户移动终端号码对 应的移动终端。例如,假定用户移动终端为手机,手机号码为13888888888, 密码内容为hdlol38,则可以用如下的格式通知WAN模块AT+CMGS ="13888888888" <hellol38>。如果存在多个用户移动终端号码,可以依次将 该密码发送给对应的移动终端;也可以提示用户选择希望发送的那个移动终 端号码,在用户选定后将密码发送到选定移动终端号码对应的移动终端。上 述的密码除了以短信的形式发送,还可以作为彩信的内容发送,当然也可以 用其它的WAN模块支持且移动终端可以接收的形式发送。步骤203,验证用户输入与产生的密码是否匹配,如果是,则允许登录, 否则拒绝登录。在密码发出后,等待用户的密码输入。在接收到用户的密码输入后,将
用户输入的密码和前面产生的密码进行验证,如果匹配,则允许用户登录, 否则,拒绝用户登录。可以将上述安全登录方法实现的功能封装为一个安全登录组件,这样, 就可以通过调用该安全登录组件实现本发明的安全登录方法的功能。通过上述的步骤,在登录过程中,每次都产生新的密码,并通过WAN 模块发送到用户的移动终端上,用户根据该密码实现登录,从而省去了用户 需要记忆密码的负担,也不用担心在输入密码的过程中被其它人看见而盗取, 方便了用户的登录,并增加了登录的安全性。进一步,在进入安全登录之前,可以提示用户选择是否需要启用安全登 录。如果选择安全登录,则执行上述的安全登录步骤,如果不选择安全登录,则可以进入现有的正常登录过程。或者在进入安全登录前,系统可以对WAN 模块设备进行检测,如果WAN模块还没有准备好,则可以提示用户直接进 入正常登录过程;在WAN模块准备就绪的情况下,才可以进入安全登录。而在安全登录过程中,如果不能根据用户输入的用户名获得对应的移动 终端号码,则可以提示用户重新输入用户名或者切换到正常的登录过程。在 给用户移动终端发送密码前,可以将要发送的移动终端号码提示给用户,由 用户确认是否是正确的移动终端号码,如果不正确,则退出上述的登录过程。下面以Windows系统登录为例,介绍本发明的安全登录方法在系统登录 过程中的具体应用。如图3所示,Windows的系统启动过程开机后经过如下几个阶段1. 预引导阶段。在该阶段,计算机首先运行上电自检(POST, Power On Self Test),检 测系统的总内存以及其它硬件设备的状态,然后BIOS定位计算机的引导设 备。2. 引导阶段。在该阶段主要完成内存模式的转换,识别文件系统分区以及操作系统的 选择和硬件检测。3. 加载内核阶段。该阶段主要完成加载Windows的内核,如ntokrnl.exe。4. 初始化内核阶段。该阶段主要是系统完成初始化以及加载设备驱动程序。5. 登录阶段。根据现有的登录方法,在该阶段接收用户的密码输入进行登录。但是在 使用本发明的安全登录方法进行系统登录的情况下,首先调用安全登录组件,并由安全登录组件完成产生随机密码、通过AT指令通知WAN模块将随机密 码以短信的形式发送到用户移动终端、修改登录密码所在的账号密码数据库 (SAM)文件等操作。等上述的操作完成后,再进入现有的登录阶段。此时 系统期待输入的应该是安全登录组件产生的随机密码。在用户输入正确的密 码的情况下,登录成功。上面描述的是Windows系统登录过程,实际上,Linux或Unix的操作系 统同样可以按照类似的方式实现登录,而与SAM文件对应的为passwd文件。 这些文件用来存储用户名和密码。在知道了这些文件的格式的情况下,可以 通过如下的方法修改文件中的密码获得相应密码的位置,将该密码替换为 经过相同加密算法加密的随机密码。上述登录阶段是利用了系统自带的登录组件(如Winlogon)进行登录, 它必须检测指定的登录文件(SAM或passwd文件)来完成登录,从而需要 修改相应的登录文件。其实,在Windows系统中,可以通过设置注册表,使 得每次登陆时都不需要经过Windows系统的登陆框而直接进入操作系统。这 样,本发明可以通过新增一个登录对话框来代替winlogon的登录对话框,使 得每次进入系统时,调用新增的登录对话框来实现登录,这样,登录密码文 件就可以按自定义的方式和过程来进行管理,而不需要去修改原有的SAM或 者passwd文件。上面介绍了本发明的安全登录方法在操作系统登录中的具体应用,实际 上,本发明的方法在邮件系统登陆,加密文件(目录)登录,网络帐户登录 等登录过程中同样适用,本领域的技术人员可以参照上述的描述类似实现, 在此不再作具体的叙述。在上面具体实施例中,主要以计算机系统中的应用为例介绍了本发明的 方法和装置,但是需要指出的是,本发明的方法和装置可以应用于其它的一
些信息处理系统或设备,这些信息处理系统或设备通常具有操作系统、能够 对信息进行存储和处理、带有输入输出设备、并能提供对WAN模块的支持, 例如现有的许多手持设备。综上所述,本发明提供的信息处理系统中的安全登录装置和方法,每次 登录时产生新的密码发送到用户指定的移动终端,用户根据该密码进行登录, 省去了用户记忆密码的负担,避免了用户由于忘记密码而不能登录。同时用 户不会因为在登录过程中被别人看见密码而导致密码被盗取。方便了用户的 登录,并增加了登录的安全性。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种应用于包含有无线接入模块的信息处理设备中的安全登录装置,其特征在于,包括用户信息存储模块,用于存储用户移动终端号码信息;密码生成模块,用于接收到登录启动命令时产生密码,并将该密码发送给密码发送模块;密码发送模块,与无线接入模块连接,用于接收密码生成模块的密码并从用户信息存储模块获取用户移动终端号码,通过无线接入模块将所述密码发送给获取的用户移动终端号码对应的移动终端;密码验证模块,用于将接收的用户输入和密码生成模块产生的密码进行验证,并根据验证结果确定是否登录成功。
2. 如权利要求1所述的装置,其特征在于,所述用户信息存储模块存储 的用户移动终端号码信息包括用户名和对应的移动终端号码,所述用户信息 存储模块还用于接收用户名的输入,并将与用户名对应的移动终端号码发送 给密码发送模块,密码发送模块通过无线接入模块将所述密码发送给移动终 端号码对应的移动终端。
3. 如权利要求2所述的装置,其特征在于, 一个所述用户名对应于多个 移动终端号码,密码发送模块用于依次将所述密码发送给与移动终端号码对 应的移动终端,或者提示用户选择一个移动终端号码并将所述密码发送给与 选定移动终端号码对应的移动终端。
4. 如权利要求1或2或3所述的装置,其特征在于,所述的密码发送模 块将所述密码作为短信的内容通过无线接入模块发送给所述移动终端号码对 应的移动终端。
5. 如权利要求1或2或3所述的装置,其特征在于,所述用户信息存储 模块还用于存储对密码长度或/和形式的设置信息,所述密码生成模块用 于从用户信息存储模块获得所述密码的设置信息,并产生符合设置的密码。
6. 如权利要求5所述的装置,其特征在于,所述用户信息存储模块用于 接受用户对密码长度或/和形式的设置。
7. 如权利要求1所述的装置,其特征在于,所述密码验证模块对接收的 用户输入和密码生成模块产生的密码分别进行相同的加密后再进行验证。
8. —种信息处理系统中的安全登录方法,应用于包含有无线接入模块的 信息处理系统,其特征在于,包括如下步骤A,在收到登录启动命令后产生密码;B,将密码通过无线接入模块发送到用户移动终端号码对应的移动终端; C,验证用户输入与产生的密码是否匹配,如果是,则允许登录,否则, 拒绝登录。
9. 如权利要求8所述的方法,其特征在于,在所述步骤B中,将密码作 为短信的内容通过无线接入模块发送到用户移动终端号码对应的移动终端。
10. 如权利要求8或9所述的方法,其特征在于,步骤B中所述的用户 移动终端号码包含多个移动终端号码,步骤B包含如下步骤-提示用户从多个移动终端号码中选择一个移动终端号码; 将密码通过无线接入模块发送到用户选择的移动终端号码对应的移动终端。
11. 如权利要求8或9所述的方法,其特征在于,步骤B中所述的用户 移动终端号码包含多个移动终端号码,步骤B包含如下步骤依次将密码通过无线接入模块发送到用户移动终端号码对应的移动终端。
12. 如权利要求8或9所述的方法,其特征在于,在步骤A前还包括如 下步骤接收用户设定所述密码的长度和/或形式; 且所述产生的密码符合设定的长度和/或形式。
13. 如权利要求8或9所述的方法,其特征在于,在步骤A前包括如下 步骤接收用户输入的当前用户名,并根据当前用户名获得对应的用户移动终 端号码。
14. 如权利要求8或9所述的方法,其特征在于,在步骤A之前包括如 下步骤 提示用户选择是否启用安全登录;判断用户是否选择安全登录,如果是则继续执行步骤A,否则执行其它 登录过程。
全文摘要
本发明公开了一种信息处理系统中的安全登录方法,该方法在收到启动命令后每次产生不同的密码;将密码通过无线接入模块发送到指定用户的移动终端;然后验证用户输入与产生的密码是否匹配,如果是,则允许登录。该登录方法省去了用户记忆密码的负担,避免了用户由于忘记密码而不能登录,同时用户不会因为在登录过程中被别人看见密码而导致密码被盗取,方便了用户的登录,更具有安全性。
文档编号H04W12/04GK101150850SQ200610154280
公开日2008年3月26日 申请日期2006年9月19日 优先权日2006年9月19日
发明者倪绪能, 颖 梁, 海 汪, 陈兴文, 瑱 黄 申请人:联想(北京)有限公司