一种基于手机登录的系统及登录方法

一种基于手机登录的系统及登录方法
【专利摘要】本发明涉及一种基于手机登录的系统及登录方法，基于本发明，当用户使用客户端访问一个尚未登录的信息系统时，信息系统向用户客户端返回一个随机码；用户启动手机中的移动登录客户端使用在信息系统中的身份凭证和/或返回的随机码在移动登录系统完成针对信息系统的登录鉴别；完成登录鉴别后，用户使用客户端继续访问信息系统；信息系统通过查询移动登录系统确认用户是否已完成登录信息系统的登录鉴别，若是，则允许用户访问信息系统，否则，要求用户登录。另外可采用将随机码分两部分分别返回到客户端和发送到手机的方式进一步提高方法的安全性。通过本发明用户可在网吧等公共环境使用电脑安全地登录信息系统。
【专利说明】
一种基于手机登录的系统及登录方法

【技术领域】
[0001]本发明属于信息安全【技术领域】，特别是一种基于手机登录(Logon或Login)的系统及登录方法。

【背景技术】
[0002]不少人有到公共网吧上网的经历。在网吧上网，若仅是浏览一下新闻，你恐怕没有什么担心的，若是登录网银、QQ或游戏帐户，你一定会担心你的帐户安全，有些人甚至经历过在网吧上网帐户被盗的情况。之所以有这种担心或出现这种情况，这是因为公共网吧是一个开放的环境，电脑上可能暗藏有各种木马、病毒，它们会盗走你的帐户名和口令，即便你采用动态口令这种相对比较安全的口令方式也无法避免这种情况的发生。
[0003]再有，有些信息系统帐户(如网银帐户)要采用USB Key硬件密码装置进行登录，如使用存放有数字证书及其私钥的USB Key,但在公共网吧，电脑的USB接口通常被封存或卸载，因此，你根本无法使用USB Key进行登录操作。


【发明内容】

[0004]本发明的目的是提出一种能在公共网吧安全登录信息系统的基于手机登录的系统及登录方法。
[0005]为了实现上述目的，本发明所采用的技术方案是:
[0006]一种基于手机登录的系统，所述系统包括如下系统构件:
[0007]信息系统:一个通过网络提供功能服务的系统；
[0008]信息系统客户端:一个用户用来访问信息系统的用户端程序；所述信息系统客户端包括专用客户端和浏览器通用客户端；
[0009]移动登录系统:一个对登录信息系统的用户进行登录鉴别处理的信息系统的组件或独立于信息系统的系统；
[0010]手机:用户的移动通信装置；所述手机中的程序能够通过数据网络访问移动登录系统；
[0011]移动登录客户端:一个运行在用户手机中的、用于在移动登录系统进行信息系统登录操作的程序；
[0012]当用户使用信息系统客户端访问信息系统时，使用用户在信息系统中的身份凭证(Credential)，通过手机中的移动登录客户端在移动登录系统完成登录信息系统的操作；
[0013]所述身份凭证是指用于在线标识和鉴别用户的电子数据，由用户标识数据和私密鉴别数据构成(如帐户名和口令、数字证书和私钥、IBC标识和私钥，帐户名和用于用户鉴别的手机短信随机码)；用户在信息系统的身份凭证的用户标识数据是或者包含用户在信息系统的帐户名。
[0014]所述基于手机登录的系统所采用的登录方法可以是如下方案之一。
[0015]方案一:
[0016]第一步:用户使用信息系统客户端访问尚未登录(Logon或Login)的信息系统；
[0017]第二步:信息系统向客户端返回用户尚未登录的提示；
[0018]第三步:用户通过信息系统客户端选择用手机进行登录，输入在信息系统的帐户名，并通过信息系统客户端将选用手机进行登录的选择和输入的帐户名提交到信息系统；
[0019]第四步:信息系统接收到用户提交的选用手机进行登录的选择和帐户名后，通过帐户数据库验证、确认用户帐户是否存在，验证、确认通过后，生成一个随机码(即一个随机字符串)，然后检查信息系统是否已保存有与用户提交的帐户名和生成的随机码相同的待登录用户记录，若有，则重新生成随机码，再次检查信息系统是否已保存有与用户提交的帐户名和生成的随机码相同的待登录用户记录，重复此过程，直到已保存的待登录用户记录中没有与用户提交的帐户名和生成的随机码相同的待登录用户记录；然后信息系统将用户提交的帐户名和生成的随机码作为待登录用户记录保存，并将用户提交的帐户名和生成的随机码保存到信息系统同信息系统客户端之间的会话连接的会话数据中(即将信息系统同客户端之间的会话连接同用户的帐户名和随机码关联)，然后将随机码返回到信息系统客户端；
[0020]信息系统保存的所述待登录用户记录具有时间期限，超过时间期限的待鉴别请求记录被信息系统清除或删除；
[0021]第五步:用户启动手机中的移动登录客户端连接移动登录系统(若移动登录客户端已启动并已连接移动登录系统，则无需再启动、连接)，并通过移动登录客户端使用用户在信息系统的身份凭证在移动登录系统进行登录信息系统的操作；在使用身份凭证在移动登录系统进行登录信息系统的操作过程中，或者在移动登录系统完成登录信息系统的操作后(登录鉴别成功后)，用户将信息系统返回到信息系统客户端的随机码输入到移动登录客户端并提交到移动登录系统；
[0022]移动登录系统在基于用户的身份凭证完成对用户的登录鉴别后(即用户登录鉴别通过后)，将从用户身份凭证中获取的用户在信息系统的帐户名和用户提交的随机码作为已登录用户记录保存；
[0023]第六步:用户使用移动登录客户端在移动登录系统完成登录操作后，通过信息系统客户端继续访问信息系统；
[0024]第七步:信息系统接收到客户端的继续访问请求后，利用同客户端之间的会话连接的会话数据中保存的用户帐户名和返回给用户的随机码到移动登录系统查询、确认用户是否已在移动登录系统完成针对信息系统的登录，若查询结果是用户已完成登录，则信息系统在会话数据中将用户标志为已完成登录的用户，清除或删除同信息系统客户端的会话连接的会话数据中的帐户名和随机码所对应的待登录用户记录(即具有同样帐户名和随机码的待登录用户记录)，允许用户继续访问；否则，向信息系统客户端返回要求用户进行登录的提示，并重新向客户端返回随机码(与之前相同或不同的随机码)；若重新向客户端返回的随机码与之前返回的不同，则更新同信息系统客户端的会话连接的会话数据中的帐户名和随机码所对应的待登录用户记录，并更新同信息系统客户端的会话连接的会话数据中保存的随机码。
[0025]方案二:
[0026]第一步:用户使用信息系统客户端访问尚未登录(Logon或Login)的信息系统；
[0027]第二步:信息系统向客户端返回用户尚未登录的提示；
[0028]第三步:用户通过信息系统客户端选择用手机进行登录，输入在信息系统的帐户名，并通过信息系统客户端将选用手机进行登录的选择和输入的帐户名提交到信息系统；
[0029]第四步:信息系统接收到用户提交的采用手机进行登录的选择和帐户名后，通过帐户数据库验证、确认用户帐户是否存在，验证、确认通过后，生成一个随机码，然后将用户提交的帐户名和生成的随机码提交到移动登录系统，请求利用此随机码对帐户名所对应的用户进行登录鉴别；若移动登录系统返回的结果指示登录鉴别请求提交成功，则信息系统将用户提交的帐户名和生成的随机码保存到信息系统同客户端之间的会话连接的会话数据中，然后将生成的随机码返回到客户端；若移动登录系统返回的结果指示登录鉴别请求提交失败，失败的原因是随机码重复，则信息系统重新生成一个随机码，然后再次将用户提交的帐户名和重新生成的随机码提交到移动登录系统，再次请求利用随机码对帐户名所对应的用户进行登录鉴别，重复此过程，直到重新提交的登录鉴别请求成功，成功后信息系统将用户提交的帐户名和生成的随机码保存到同客户端之间的会话连接的会话数据中，然后将生成的随机码返回到客户端；或者出现其他原因导致的失败，中止登录处理；
[0030]移动登录系统接收到信息系统提交的对用户进行登录鉴别的请求后，判断是否已保存有具有相同帐户名和随机码的待鉴别请求记录，若是，则返回出错并指示错误原因是随机码重复；否则，移动登录系统将接收到的帐户名和随机码作为待鉴别请求记录保存；
[0031]移动登录系统保存的所述待鉴别请求记录具有时间期限，超过时间期限的待鉴别请求记录被移动登录系统清除或删除；
[0032]第五步:用户启动手机中的移动登录客户端连接移动登录系统(若移动登录客户端已启动并已连接移动登录系统，则无需再启动、连接)，并通过移动登录客户端使用用户在信息系统的身份凭证在移动登录系统进行登录信息系统的操作；在使用身份凭证在移动登录系统进行登录信息系统的操作过程中，用户将信息系统返回到信息系统客户端的随机码输入到移动登录客户端并提交到移动登录系统；
[0033]移动登录系统在对用户进行登录鉴别的过程中，先利用从用户身份凭证中获取的用户在信息系统的帐户名和用户提交的随机码，查看是否已保存有对应于相同帐户名和随机码的待鉴别请求记录(即待鉴别请求记录中的帐户名和随机码是否与用户身份凭证中的帐户名和用户提交的随机码相同)；若有，则继续对用户进行登录鉴别，否则，提示错误；
[0034]移动登录系统在基于用户的身份凭证完成对用户的登录鉴别后(即用户登录鉴别通过后)，清除或删除对应于当前用户(正在进行操作的用户)的待鉴别请求记录(即帐户名和随机码分别是用户身份凭证中得到的帐户名和用户提交的随机码的待鉴别请求记录)，将从用户身份凭证中获取的用户在信息系统的帐户名和用户提交的随机码作为已登录用户记录保存；
[0035]第六步:用户使用移动登录客户端在移动登录系统完成登录操作后，通过信息系统客户端继续访问信息系统；
[0036]第七步:信息系统接收到客户端的继续访问请求后，利用同客户端之间的会话连接的会话数据中保存的用户帐户名和返回给用户的随机码到移动登录系统查询、确认用户是否已在移动登录系统完成针对信息系统的登录，若查询结果是用户已完成登录，则信息系统在会话数据中将用户标志为已完成登录的用户，允许用户继续访问；否则，向信息系统客户端返回要求用户进行登录的提示，并重新向信息系统客户端返回随机码(与之前相同或不同的随机码)；若重新向客户端返回的随机码与之前返回的不同，则更新提交到移动登录系统的、同信息系统客户端的会话连接的会话数据中的帐户名和随机码所对应的待鉴别请求记录(用新提交的替换之前提交的)，并更新同信息系统客户端的会话连接的会话数据中保存的随机码。
[0037]在以上方案一和二，当用户通过移动登录客户端使用在信息系统的身份凭证在移动登录系统进行登录信息系统的操作时，若采用的用户登录鉴别方式是帐户名、口令，则所述移动登录系统依据用户提交的帐户名、口令通过查询信息系统的用户帐户数据库完成对用户的登录鉴别；若采用的用户登录鉴别方式是帐户名、动态口令，则所述移动登录系统依据用户提交的帐户名、口令并通过动态口令验证服务器完成对用户的登录鉴别；若采用的用户登录鉴别方式是生物特征鉴别，则所述移动登录系统依据用户通过手机提交的生物特征通过查询生物特征鉴别系统或生物特征存储系统完成对用户的登录鉴别(生物特征鉴别或验证)；若采用的用户登录鉴别方式是基于公钥技术的方案(如数字证书、IBC基于标识的密码技术)，则所述移动登录系统依据用户的基于公钥技术的身份凭证以及身份凭证同用户在信息系统的帐户之间的绑定或对应关系完成对用户的登录鉴别。
[0038]在以上方案一和二，当用户通过移动登录客户端使用在信息系统的身份凭证在移动登录系统进行登录信息系统的操作时，若需要使用用户的密钥进行密码运算，则所述移动登录客户端调用手机中的密码模块并通过密码模块使用手机中保存的用户密钥完成密码运算；所述密钥包括对称密钥密码算法的对称密钥和非对称密钥密码算法的公钥和私钥(如数字证书及私钥，或IBC公钥和私钥)。
[0039]在以上方案一和二中，已登录用户记录按如下方式清除或删除:
[0040]移动登录系统保存的所述已登录用户记录具有时间期限，超过时间期限的已登录用户记录被移动登录系统清除或删除；
[0041]信息系统在移动登录系统查询并确认用户已在移动登录系统完成针对信息系统的登录后，由移动登录系统将在移动登录系统中保存的已完成登录的用户的已登录用户记录清除或删除；
[0042]当用户使用移动登录客户端在移动登录系统完成针对信息系统的登录操作后，若移动登录客户端退出与移动登录系统的会话连接(用户主动退出或连接超时无交互导致移动登录客户端或移动登录系统退出)，则移动登录系统立即清除或删除保存的针对当前用户的已登录用户记录，或者在针对当前用户的已登录用户记录超过存在有效期限后由移动登录系统清除或删除(根据具体的实施需求定)。
[0043]在以上方案一和二中，若所述移动登录系统是一个独立于信息系统且同时支持多个信息系统的用于用户登录的系统，则当用户在移动登录系统进行登录操作时，通过移动登录客户端选择或输入要登录的信息系统。
[0044]进一步地，针对以上所述基于手机的登录方法，还可以通过如下方式进行随机码重新设置:
[0045]当用户使用移动登录客户端在移动登录系统完成针对信息系统的登录操作后(即登录鉴别通过后)，在移动登录客户端退出与移动登录系统的会话连接之前，用户通过移动登录客户端输入信息系统返回到客户端的新的随机码，请求对登录信息系统的随机码进行重新设置；移动登录系统接收到移动登录客户端提交的重新设置随机码的请求后，检查是否保存有对应于当前用户已登录信息系统的已登录用户记录，若有，则使用用户提交的新的随机码替换用户的已登录用户记录中的随机码；否则，为用户创建并保存针对信息系统的已登录用户记录(在移动登录客户端退出与移动登录系统的会话连接之前，移动登录系统记录了用户在要登录的信息系统中的帐户名，故无需再输入帐户名)。
[0046]另外，对方案一和方案二的增强型方法如下:
[0047]在所述第四步和第七步，信息系统将生成的随机码分成两部分，一部分返回到信息系统客户端，一部分以短信方式发送到用户手机；
[0048]在所述第五步，在使用身份凭证在移动登录系统进行登录信息系统的操作过程中，或者在移动登录系统完成登录信息系统的操作后，用户将信息系统返回到信息系统客户端和发送到用户手机的两部分随机码合并输入到移动登录客户端并提交到移动登录系统，或者用户将信息系统返回到信息系统客户端和发送到手机的两部分随机码分别输入到移动登录客户端，由移动登录客户端合并后提交到移动登录系统；
[0049]另外，在信息系统的用户帐户数据库中，用户的帐户绑定有用户的手机号码，信息系统根据用户的帐户名在用户帐户数据库中查询、获得用户帐户绑定的手机号码用于向用户手机发送随机码；
[0050]方案的其他操作不变。
[0051]若基于手机的登录方法是是增强型的方法，则在进行随机码重新设置时，用户将信息系统返回到信息系统客户端和发送到用户手机的两部分随机码合并输入到移动登录客户端并提交到移动登录系统，或者用户将信息系统返回到信息系统客户端和发送到手机的随机码分别输入到移动登录客户端，由移动登录客户端合并后提交到移动登录系统。
[0052]另外，信息系统返回到信息系统客户端的随机码可以以条码或二维码的方式返回。若信息系统返回到信息系统客户端的随机码以条码或二维码的方式返回，则用户使用手机扫描条码或二维码，将条码或二维码表示的随机码输入到移动登录客户端。
[0053]从以上
【发明内容】
可以看到，采用本发明的基于手机登录的系统及方法，用户在网吧进行信息系统登录时可通过一个手机完成系统登录操作。若用户采用帐户名、口令方式登录信息系统，则用户在进行登录操作时无需在网吧电脑中输入口令，因此，网吧电脑中即便存在木马、监听程序也无法拦截、监听用户的口令，因而也就不会出现帐户口令被盗的情况。即便木马拦截到了返回到客户端的随机码，但这个随机码仅起关联作用，而黑客无法获得用户在信息系统的身份凭证的私密鉴别数据(如口令)，因此也是安全的，进一步地，可采用将随机码以图片的形式返回到客户端，这样木马、病毒也很难获得随机码。进一步地，若采用增强型的基于手机登录的方法，则由于黑客无法同时拦截、伪造返回到客户端和发送到用户手机的两部分随机码，因此，方法的安全性进一步提高。
[0054]若用户登录信息系统需要使用硬件密码装置及其中的秘密密钥(如数字证书私钥)进行登录操作，则本发明中的用户的手机就相当于一个保存有用户秘密密钥的硬件密码装置。

【专利附图】

【附图说明】
[0055]图1为本发明系统及方法的示意图。

【具体实施方式】
[0056]下面结合附图和实施例对本发明作进一步的描述。
[0057]本发明的实施不复杂，比较容易，其中比较关键的地方包括:信息系统如何保存、维护与客户端的会话连接的会话数据及用户的帐户名和随机码，信息系统如何保存、维护要登录的用户的待登录用户记录，移动登录系统如何保存、维护信息系统提交的待鉴别请求记录，移动登录系统如何保存、维护已登录用户的已登录用户记录，以及信息系统如何查询已登录用户记录。
[0058]若信息系统是一个采用专用客户端的系统(即C/S架构的系统)，则信息系统维护一个同客户端的TCP连接相关联的会话对象(Sess1n Object)，并将用户提交的帐户名和返回到用户客户端的随机码保存在此与TCP连接相关联的会话对象中。若信息系统是一个采用浏览器通用客户端的Web信息系统(即B/S架构的系统)，则信息系统将用户提交的帐户名和返回到用户客户端的随机码保存到针对客户端会话连接的HTTP会话对象中(如Cookie、Java会话对象、ASP.NET会话对象等)。
[0059]信息系统可将一个要进行登录操作的用户(即待登录用户)的待登录用户记录保存在一个内存链表中或数据库中，每个待登录用户对应有一个待登录用户记录数据对象或数据库记录，且每个待登录用户的待登录用户记录数据对象或数据记录中有一个时间期限字段，用于标志这个数据对象或数据记录的存在时间期限。信息系统定时扫描内存或数据库中的待登录用户记录数据对象或数据记录，若某个待登录用户记录数据对象或数据记录已超出存在时间期限，则将其从内存链表或数据库中删除或清除。
[0060]移动登录系统保存、维护信息系统提交的待鉴别请求记录的方式同信息系统保存、维护待登录用户记录的方式类似，可将待鉴别请求记录保存在一个内存链表或数据库中，当对应用户在移动登录系统完成登录鉴别后或者待鉴别请求记录超过时间有效期后将待鉴别请求记录从内存链表或数据库中删除或清除。
[0061]同样地，移动登录系统保存、维护已登录用户记录的方式同信息系统保存、维护待登录用户记录的方式类似，可将已登录用户记录保存在一个内存链表或数据库中，当已登录用户记录超过时间有效期后将已登录用户记录从内存链表或数据库中删除或清除。
[0062]若移动登录系统是信息系统的一个系统组件，则信息系统可直接访问移动登录系统保存在内存链表中或数据库中的已登录用户记录数据对象或数据记录，确定某一个用户是否已完成登录操作，若是，则将这个用户的已登录用户记录数据对象或数据记录从内存链表或数据库中删除或清除；或者，信息系统可通过移动登录系统提供的调用接口查询、确认某一个用户是否已完成登录操作，且接口调用的输入参数中有专门的参数用于指示当查询、确认一个用户已完成登录鉴别后，调用接口一方面返回用户已完成登录的状态信息，另一方面将这个用户的已登录用户记录数据对象或数据记录从内存链表或数据库中删除或清除。
[0063]若移动登录系统是一个独立于信息系统的系统，则移动登录系统提供安全的远程查询的方式，如远程调用接口 RMI (Remote Method Invocat1n)、Web Services、XML-RPC、Web API等，供信息系统查询用户是否已完成登录操作，并根据信息系统提交的查询指示，在确认用户已完成登录操作后将内存链表或数据库中的用户的已登录用户记录数据对象或数据记录删除或清除。所述安全的远程查询的方式即要保证只有授权的系统才能查询用户的已登录用户记录，以及指示删除已登录用户记录。
[0064]若用户在信息系统的登录鉴别采用的是公钥数字证书，则用户在信息系统的帐户同数字证书之间的绑定可以采用如下方案:
[0065]用户数字证书的证书持有者名(证书主题名)中包含有用户在信息系统的帐户名(比如证书通用名即是帐户名)；当用户使用数字证书在移动登录系统进行登录时，移动登录系统先通过数字证书对用户进行鉴别，鉴别通过后再从证书持有者名中得到用户的帐户名，完成对用户的登录处理；或者，从证书持有者名中得到用户帐户名后进一步查询信息系统的用户帐户数据库，确定用户帐户是否存在并有效，若是，则完成对用户的登录处理。
[0066]若用户在信息系统的登录鉴别采用的是IBC(Identity Based Cryptography)标识密码技术(一种公钥技术)，则用户的公钥，即标识，可以是用户在信息系统的帐户名。当用户使用标识在移动登录系统进行登录时，移动登录系统先通过用户标识(公钥)对用户进行鉴别，鉴别通过后，用户的标识(公钥)即是用户在信息系统的帐户名，完成对用户的登录处理；或者，使用用户的标识进一步查询信息系统的用户帐户数据库，确定用户帐户是否存在并有效，若是，则完成对用户的登录处理。
[0067]若移动登录系统是信息系统的一个组件，则待登录用户记录同待鉴别请求记录只需一个，甚至它们同已登录用户记录可以是具有不同状态的同一条记录。
[0068]若信息系统采用将随机码分成两部分，一部分返回到客户端，一部分发送到用户手机的方式，则可以通过各种手机短信服务实现随机码发送。
[0069]在其他具体实施方面，移动登录系统和移动登录客户端可采用C/S架构，它们之间的交互可采用TCP连接和自定义的协议。移动登录客户端可采用适合于手机的开发技术开发(如J2ME等)。移动登录系统可米用任何合适的信息系统开发技术(如J2EE、ASP.NET)。
[0070]另外，若信息系统或移动登录系统采用了冗余、负载均衡的部署方式，即每种功能系统部署了两套或两套以上，则待登录用户记录、待鉴别请求或已登录用户记录应该在冗余系统之间保持一致，或者采用数据库存储的方式。
[0071]其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。
【权利要求】
1.一种基于手机登录的系统，其特征是:所述系统包括如下系统构件: 信息系统:一个通过网络提供功能服务的系统； 信息系统客户端:一个用户用来访问信息系统的用户端程序；所述信息系统客户端包括专用客户端和浏览器通用客户端； 移动登录系统:一个对登录信息系统的用户进行登录鉴别处理的信息系统的组件或独立于信息系统的系统； 手机:用户的移动通信装置；所述手机中的程序能够通过数据网络访问移动登录系统； 移动登录客户端:一个运行在用户手机中的、用于在移动登录系统进行信息系统登录操作的程序； 当用户使用信息系统客户端访问信息系统时，使用用户在信息系统中的身份凭证，通过手机中的移动登录客户端在移动登录系统完成登录信息系统的操作； 所述身份凭证是指用于在线标识和鉴别用户的电子数据，由用户标识数据和私密鉴别数据构成；用户在信息系统的身份凭证的用户标识数据是或者包含用户在信息系统的帐户名。
2.利用权利要求1所述的基于手机登录的系统的登录方法，其特征是:所述方法包括: 第一步:用户使用信息系统客户端访问尚未登录的信息系统； 第二步:信息系统向客户端返回用户尚未登录的提示； 第三步:用户通过信息系统客户端选择用手机进行登录，输入在信息系统的帐户名，并通过信息系统客户端将选用手机进行登录的选择和输入的帐户名提交到信息系统； 第四步:信息系统接收到用户提交的选用手机进行登录的选择和帐户名后，通过帐户数据库验证、确认用户帐户是否存在，验证、确认通过后，生成一个随机码，然后检查信息系统是否已保存有与用户提交的帐户名和生成的随机码相同的待登录用户记录，若有，则重新生成随机码，再次检查信息系统是否已保存有与用户提交的帐户名和生成的随机码相同的待登录用户记录，重复此过程，直到已保存的待登录用户记录中没有与用户提交的帐户名和生成的随机码相同的待登录用户记录；然后信息系统将用户提交的帐户名和生成的随机码作为待登录用户记录保存，并将用户提交的帐户名和生成的随机码保存到信息系统同信息系统客户端之间的会话连接的会话数据中，然后将随机码返回到信息系统客户端；所述信息系统保存的所述待登录用户记录具有时间期限，超过时间期限的待鉴别请求记录被信息系统清除或删除； 第五步:用户启动手机中的移动登录客户端连接移动登录系统，并通过移动登录客户端使用用户在信息系统的身份凭证在移动登录系统进行登录信息系统的操作；在使用身份凭证在移动登录系统进行登录信息系统的操作过程中，或者在移动登录系统完成登录信息系统的操作后，用户将信息系统返回到信息系统客户端的随机码输入到移动登录客户端并提交到移动登录系统； 移动登录系统在基于用户的身份凭证完成对用户的登录鉴别后，将从用户身份凭证中获取的用户在信息系统的帐户名和用户提交的随机码作为已登录用户记录保存； 第六步:用户使用移动登录客户端在移动登录系统完成登录操作后，通过信息系统客户端继续访问信息系统； 第七步:信息系统接收到客户端的继续访问请求后，利用同客户端之间的会话连接的会话数据中保存的用户帐户名和返回给用户的随机码到移动登录系统查询、确认用户是否已在移动登录系统完成针对信息系统的登录，若查询结果是用户已完成登录，则信息系统在会话数据中将用户标志为已完成登录的用户，清除或删除同信息系统客户端的会话连接的会话数据中的帐户名和随机码所对应的待登录用户记录，允许用户继续访问；否则，向信息系统客户端返回要求用户进行登录的提示，并重新向客户端返回随机码；若重新向客户端返回的随机码与之前返回的不同，则更新同信息系统客户端的会话连接的会话数据中的帐户名和随机码所对应的待登录用户记录，并更新同信息系统客户端的会话连接的会话数据中保存的随机码。
3.利用权利要求1所述的基于手机登录的系统的登录方法，其特征是:所述登录方法包括: 第一步:用户使用信息系统客户端访问尚未登录的信息系统； 第二步:信息系统向客户端返回用户尚未登录的提示； 第三步:用户通过信息系统客户端选择用手机进行登录，输入在信息系统的帐户名，并通过信息系统客户端将选用手机进行登录的选择和输入的帐户名提交到信息系统； 第四步:信息系统接收到用户提交的采用手机进行登录的选择和帐户名后，通过帐户数据库验证、确认用户帐户是否存在，验证、确认通过后，生成一个随机码，然后将用户提交的帐户名和生成的随机码提交到移动登录系统，请求利用此随机码对帐户名所对应的用户进行登录鉴别；若移动登录系统返回的结果指示登录鉴别请求提交成功，则信息系统将用户提交的帐户名和生成的随机码保存到信息系统同客户端之间的会话连接的会话数据中，然后将生成的随机码返回到客户端；若移动登录系统返回的结果指示登录鉴别请求提交失败，失败的原因是随机码重复，则信息系统重新生成一个随机码，然后再次将用户提交的帐户名和重新生成的随机码提交到移动登录系统，再次请求利用随机码对帐户名所对应的用户进行登录鉴别，重复此过程，直到重新提交的登录鉴别请求成功，成功后信息系统将用户提交的帐户名和生成的随机码保存到同客户端之间的会话连接的会话数据中，然后将生成的随机码返回到客户端；或者出现其他原因导致的失败，中止登录处理； 所述移动登录系统接收到信息系统提交的对用户进行登录鉴别的请求后，判断是否已保存有具有相同帐户名和随机码的待鉴别请求记录，若是，则返回出错并指示错误原因是随机码重复；否则，移动登录系统将接收到的帐户名和随机码作为待鉴别请求记录保存；所述移动登录系统保存的所述待鉴别请求记录具有时间期限，超过时间期限的待鉴别请求记录被移动登录系统清除或删除； 第五步:用户启动手机中的移动登录客户端连接移动登录系统，并通过移动登录客户端使用用户在信息系统的身份凭证在移动登录系统进行登录信息系统的操作；在使用身份凭证在移动登录系统进行登录信息系统的操作过程中，用户将信息系统返回到信息系统客户端的随机码输入到移动登录客户端并提交到移动登录系统； 所述移动登录系统在对用户进行登录鉴别的过程中，先利用从用户身份凭证中获取的用户在信息系统的帐户名和用户提交的随机码，查看是否已保存有对应于相同帐户名和随机码的待鉴别请求记录；若有，则继续对用户进行登录鉴别，否则，提示错误； 所述移动登录系统在基于用户的身份凭证完成对用户的登录鉴别后，即用户登录鉴别通过后，清除或删除对应于当前用户的待鉴别请求记录，将从用户身份凭证中获取的用户在信息系统的帐户名和用户提交的随机码作为已登录用户记录保存； 第六步:用户使用移动登录客户端在移动登录系统完成登录操作后，通过信息系统客户端继续访问信息系统； 第七步:信息系统接收到客户端的继续访问请求后，利用同客户端之间的会话连接的会话数据中保存的用户帐户名和返回给用户的随机码到移动登录系统查询、确认用户是否已在移动登录系统完成针对信息系统的登录，若查询结果是用户已完成登录，则信息系统在会话数据中将用户标志为已完成登录的用户，允许用户继续访问；否则，向信息系统客户端返回要求用户进行登录的提示，并重新向信息系统客户端返回随机码；若重新向客户端返回的随机码与之前返回的不同，则更新提交到移动登录系统的、同信息系统客户端的会话连接的会话数据中的帐户名和随机码所对应的待鉴别请求记录，并更新同信息系统客户端的会话连接的会话数据中保存的随机码。
4.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是: 当用户通过移动登录客户端使用在信息系统的身份凭证在移动登录系统进行登录信息系统的操作时，若采用的用户登录鉴别方式是帐户名、口令，则所述移动登录系统依据用户提交的帐户名、口令通过查询信息系统的用户帐户数据库完成对用户的登录鉴别；若采用的用户登录鉴别方式是帐户名、动态口令，则所述移动登录系统依据用户提交的帐户名、口令并通过动态口令验证服务器完成对用户的登录鉴别；若采用的用户登录鉴别方式是生物特征鉴别，则所述移动登录系统依据用户通过手机提交的生物特征通过查询生物特征鉴别系统或生物特征存储系统完成对用户的登录鉴别；若采用的用户登录鉴别方式是基于公钥技术的方案，则所述移动登录系统依据用户的基于公钥技术的身份凭证以及身份凭证同用户在信息系统的帐户之间的绑定或对应关系完成对用户的登录鉴别。
5.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是: 当用户通过移动登录客户端使用在信息系统的身份凭证在移动登录系统进行登录信息系统的操作时，若需要使用用户的密钥进行密码运算，则所述移动登录客户端调用手机中的密码模块并通过密码模块使用手机中保存的用户密钥完成密码运算；所述密钥包括对称密钥密码算法的对称密钥和非对称密钥密码算法的公钥和私钥。
6.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是: 移动登录系统保存的所述已登录用户记录具有时间期限，超过时间期限的已登录用户记录被移动登录系统清除或删除； 信息系统在移动登录系统查询并确认用户已在移动登录系统完成针对信息系统的登录后，由移动登录系统将在移动登录系统中保存的已完成登录的用户的已登录用户记录清除或删除； 当用户使用移动登录客户端在移动登录系统完成针对信息系统的登录操作后，若移动登录客户端退出与移动登录系统的会话连接，则移动登录系统立即清除或删除保存的针对当前用户的已登录用户记录，或者在针对当前用户的已登录用户记录超过存在有效期限后由移动登录系统清除或删除。
7.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是: 若所述移动登录系统是一个独立于信息系统且同时支持多个信息系统的用于用户登录的系统，则当用户在移动登录系统进行登录操作时，通过移动登录客户端选择或输入要登录的信息系统。
8.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是:针对所述登录方法的随机码重新设置方法如下: 当用户使用移动登录客户端在移动登录系统完成针对信息系统的登录操作后，在移动登录客户端退出与移动登录系统的会话连接之前，用户通过移动登录客户端输入信息系统返回到客户端的新的随机码，请求对登录信息系统的随机码进行重新设置；移动登录系统接收到移动登录客户端提交的重新设置随机码的请求后，检查是否保存有对应于当前用户已登录信息系统的已登录用户记录，若有，则使用用户提交的新的随机码替换用户的已登录用户记录中的随机码；否则，为用户创建并保存针对信息系统的已登录用户记录。
9.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是: 若在所述第四步和第七步中，信息系统将生成的随机码分成两部分，一部分返回到信息系统客户端，一部分以短信方式发送到用户手机，则: 在所述第五步中，在使用身份凭证在移动登录系统进行登录信息系统的操作过程中，或者在移动登录系统完成登录信息系统的操作后，用户将信息系统返回到信息系统客户端和发送到用户手机的两部分随机码合并输入到移动登录客户端并提交到移动登录系统，或者用户将信息系统返回到信息系统客户端和发送到用户手机的两部分随机码分别输入到移动登录客户端，由移动登录客户端合并后提交到移动登录系统； 在信息系统的用户帐户数据库中，用户的帐户绑定有用户的手机号码，信息系统根据用户的帐户名在用户帐户数据库中查询、获得用户帐户绑定的手机号码用于向用户手机发送随机码。
10.根据权利要求2或3所述的基于手机登录的系统的登录方法，其特征是: 若信息系统返回到信息系统客户端的随机码以条码或二维码的方式返回，则用户使用手机扫描条码或二维码，将条码或二维码表示的随机码输入到移动登录客户端。
【文档编号】H04L9/32GK104202162SQ201410395338
【公开日】2014年12月10日 申请日期:2014年8月12日 优先权日:2014年8月12日
【发明者】龙毅宏 申请人:武汉理工大学