本发明属于信息安全技术领域,特别是一种Web系统登录方法及登录辅助系统。
背景技术:
针对在网吧等公共环境使用公共计算机登录(logon)Web信息系统或应用系统存在的帐户名、口令失窃的风险,以及方便用户在Web信息系统或应用系统完成登录操作的需要,本专利申请人提出一些借助移动终端(如手机、平板电脑)的Web系统登录方案,如“一种面向Web系统的登录方法”(专利申请号:201610455487.1)、 “一种基于移动终端的Web系统安全登录方法”(专利申请号:201510887444.6)、“一种面向Web系统的登录助手系统”(专利申请号:201510591684.1)、“一种基于移动终端的Web系统便捷登录方法”(专利申请号:201510472645.X)。
这些方案的共同特点是:当用户使用浏览器在一个Web信息系统或应用系统进行登录操作时,用户只需使用移动终端在Web信息系统或应用系统完成登录操作即可实现用户浏览器在Web信息系统或应用系统完成登录,用户无需在计算机上输入帐户名、口令,从而避免了在公共计算机上输入帐户名、口令导致的帐户名、口令被窃取的风险,而且将用户在不同Web信息系统或应用系统的身份凭证保存在移动终端中也给用户进行登录操作带来方便。但这些方案要求用户登录Web系统时(Web信息系统或应用系统),使用移动终端扫描条码(二维码),通过扫描条码让移动终端中的登录辅助程序获得Web系统与用户浏览器之间会话的会话标识数据。但是,每次登录不同的Web系统都要使用移动终端进行条码扫描也给用户带来了不便。
技术实现要素:
本发明的目的是提出一种针对Web系统的登录方法及登录辅助系统以克服现有技术方案的不足。
为了实现上述目的,本发明提出的技术方案包括一种Web系统登录方法以及相应的登录辅助系统,其中,Web系统登录方法如下。
当用户使用浏览器访问一个尚未登录(logon)的Web系统时,Web系统将用户浏览器引导到一个连接服务器;
若用户浏览器尚未通过连接服务器与用户移动终端中的登录助手建立连接,则用户浏览器先通过连接服务器与用户移动终端中的登录助手建立连接;
若用户浏览器已通过连接服务器与用户移动终端中的登录助手建立连接,或者,在用户浏览器通过连接服务器与用户移动终端中的登录助手建立连接后,Web系统与用户浏览器之间会话的会话标识数据通过用户浏览器与用户移动终端中的登录助手之间的连接,经连接服务器被传输给用户移动终端中的登录助手;
用户移动终端中的登录助手接收到会话标识数据后,使用用户的身份凭证在Web系统完成登录操作;在登录助手使用用户的身份凭证在Web系统进行登录操作的过程中,登录助手按Web系统约定的浏览器提交会话标识数据的方式,将接收到的会话标识数据包含在登录助手提交到Web系统的HTTP请求中;
当用户移动终端中的登录助手使用用户的身份凭证在Web系统完成登录操作后,Web系统与用户浏览器之间的会话处于已登录状态(登录助手在Web系统完成登录操作之前或之后,用户浏览器被连接服务器引导到Web系统);
所述Web系统是一个通过Web提供信息或应用或安全服务的系统(比如,一个Web应用系统,一个身份鉴别系统);
所述连接服务器是一个在用户浏览器和用户移动终端中登录助手之间建立连接的系统;
所述登录助手是一个运行在用户移动终端中的、帮助使用浏览器的用户在Web系统完成登录操作的程序;
用户浏览器与登录助手之间的连接是逻辑连接或会话连接;
所述会话标识数据是包含有Web系统与用户浏览器之间会话的会话标识符(Session Identifier, 简称Session ID)及其它会话相关信息的数据;所述其它会话相关信息是用于限定会话的信息(如有效时间、域、路径等);Web系统与用户浏览器之间会话的会话标识数据由Web系统传送给浏览器,然后由浏览器提交给连接服务器,并最终由连接服务器通过用户浏览器与用户移动终端中的登录助手之间的连接,传输给用户移动终端中的登录助手。
用户浏览器通过连接服务器与登录助手之间建立连接的一种方案如下:
当用户浏览器与用户移动终端中的登录助手通过连接服务器建立连接时,一方面,用户的浏览器与连接服务器建立会话,将用户输入的、用户在连接服务器的帐户名提交到连接服务器,请求与用户移动终端中的登录助手建立连接,另一方面,(用户使用的)登录助手与连接服务器建立会话,使用用户身份凭证在连接服务器完成登录(身份鉴别)操作;连接服务器先依据浏览器提交的帐户名、登录助手登录时使用的身份凭证(用户身份凭证与帐户名之间存在对应关系),将连接服务器与浏览器之间会话、连接服务器与登录助手之间会话临时关联,从而将用户浏览器和登录助手临时关联,由此在用户浏览器和登录助手之间建立临时连接;之后,浏览器与登录助手通过如下方式建立正式关联或连接(即建立会话连接或逻辑连接):
登录助手自动或在用户的参与下,通过连接服务器向用户浏览器发送信息,并要求用户进行确认;连接服务器根据浏览器与登录助手之间的临时关联关系(或临时连接),将登录助手发送的消息转发到用户浏览器,并由浏览器显示接收到信息;用户对浏览器是否接收到登录助手发送的信息进行确认;若用户确认浏览器接收到登录助手发送的信息,则登录助手通知连接服务器,同意与浏览器建立正式连接,连接服务器将自己与浏览器之间的会话、与登录助手之间的会话正式关联,从而将用户浏览器与登录助手正式关联,由此在用户浏览器和登录助手之间建立正式连接(简称连接),否则,拒接建立连接;
或者,反过来,浏览器自动或在用户的参与下,通过连接服务器向登录助手发送信息,连接服务器根据浏览器与登录助手的临时关联关系,将浏览器发送的消息转发到登录助手,并要求用户在登录助手进行确认;登录助手显示接收到信息;用户在登录助手确认登录助手显示的信息与浏览器发送的信息是否一致;若用户向登录助手确认登录助手显示的信息与浏览器发送的信息一致,则登录助手通知连接服务器,同意与浏览器建立正式连接,连接服务器将与其浏览器之间的会话、与登录助手之间的会话正式关联,从而用于浏览器与登录助手正式关联,由此在用户浏览器和登录助手之间建立正式连接(简称连接),否则,拒接建立连接。
若用户确认采用后一种方式,即由浏览器发送信息,登录助手接收并显示,则浏览器发送的信息必须有足够的随机性,这样攻击者猜中用户浏览器发送的信息可能性将很小,否则,在连接建立过程中,存在被攻击者假冒用户与登录助手建立连接的可能(碰巧假冒者发送的信息与用户浏览器发送的信息一致),而对于前一种用户确认方式不存在这种可能性。
以上连接建立方案只是本发明可采用的连接建立方案中的一种,本发明实施者可根据需要设计其他的连接建立方案,只要浏览器与登录助手能通过连接服务器建立连接即可。
上述Web系统登录方法所使用的登录辅助系统如下。
所述登录辅助系统包括连接服务器和登录助手,其中:
连接服务器是一个在用户浏览器和用户移动终端中的登录助手之间建立连接包括临时连接和正式连接的系统,并在临时或正式连接建立后,在用户浏览器和登录助手之间传输(传递)数据;
登录助手是一个运行在用户移动终端中的、帮助使用浏览器的用户在Web系统完成登录操作的程序;登录助手通过连接服务器与用户浏览器建立临时和正式连接,并通过与浏览器之间的正式连接,接收浏览器经连接服务器发送的、Web系统与浏览器之间会话的会话标识数据,以及利用用户身份凭证和接收到会话标识数据在Web系统完成登录操作。
基于本发明的方案,用户浏览器与用户移动终端中的登录助手通过连接服务器以非扫码方式建立连接,Web系统通过浏览器将Web系统与浏览器之间会话的会话标识数据,经连接服务器传输(传递)到用户移动终端中的登录助手,然后由登录助手使用接收到的会话标识数据在Web系统完成登录操作,由此实现用户浏览器在Web系统的登录。本发明的方案不但简化了用户的操作,且无需改变Web系统本身的登录鉴别方式。
附图说明
图1为本发明的方法及系统的示意图。
具体实施方式
下面对本发明作进一步的描述。
Web系统将用户浏览器引导到一个连接服务器的方式包括HTTP重定向、HTTP自动POST FORM数据,通过返回到浏览器的脚本代码以异步通讯方式(如Ajax)访问连接服务器,以及其他可能的方式。
在实施发明内容中所述的浏览器与登录助手通过连接服务器建立连接的方案中,连接服务器将其与浏览器之间的会话、与登录助手之间的会话进行临时关联或正式关联的一种方案如下:
连接服务器与浏览器之间的会话、连接服务器与登录助手之间的会话分别通过会话标识符标识(比如,浏览器与连接服务器之间的会话通过HTTP会话的会话标识符标识;登录助手与连接服务器之间,若通过HTTP交互,则也可以通过HTTP会话的会话标识符标识;若登录助手与连接服务器基于TCP建立会话,则连接服务器为其与登录助手之间的会话分配一个唯一的会话标识符);连接服务器通过将自己与浏览器之间会话的会话标识符、与登录助手之间会话的会话标识符(在内存或数据库表中)临时或正式关联,从而将连接服务器与浏览器之间的会话、与登录助手之间的会话临时关联或正式关联。
在实施发明内容中所述的浏览器与登录助手通过连接服务器建立连接的方案中,若采用登录助手发送信息由用户确认的方式,则有如下用户确认方式可供采用(但也不是全部可能的实施方式)。
用户确认实施方式一、
登录助手将一串随机生成的可显示字符或预先生成的一段话通过连接服务器发送到用户浏览器,同时将发送的信息在登录助手的人机交互界面显示,并提示用户确认用户浏览器显示的信息与用户在移动终端上显示的信息是否一致;浏览器将接收到的信息显示;若用户确认信息一致,则登录助手通知连接服务器允许与用户浏览器建立连接;否则,登录助手通知连接服务器不与浏览器建立连接。若登录助手是将预先生成的一段话通过连接服务器发送到用户浏览器,则登录助手可预先生成一组话,然后每次在这组话中选择一段不同的话发送到用户浏览器(可循环使用这组话中的不同话)。
用户确认实施方式二、
登录助手向用户浏览器发送的信息是一个图片,登录助手在移动终端显示的是包含发送给浏览器的图片的一组图片;浏览器显示接收到的图片;用户根据登录助手的提示,在移动终端显示的一组图片中选择他在用户浏览器看到的图片,通过这种方式向登录助手确认他在浏览器上看到的信息,或者告知登录助手在浏览器上未见到相符图片或在浏览器未见到图片。若用户确认的图片与登录助手发送的图片一致,则登录助手通知连接服务器允许与用户浏览器建立连接;否则,登录助手通知连接服务器不与浏览器建立连接。这里,登录助手发送和显示的图片可以是来自预先生成的一组图片(这组图片甚至可以仅包含两个区别很多的图片)。
用户确认实施方式三、
登录助手提示用户在登录助手的人机交互界面随机(随便、任意)输入信息,并将用户输入的信息通过连接服务器向用户浏览器发送;浏览器将接收到的信息显示;用户根据登录助手的提示,查看浏览器是否显示了用户在移动终端输入的信息,并向登录助手确认,登录助手据此确定浏览器是否接收到了其发送的、由用户输入的信息。若用户确认浏览器显示了用户在移动终端输入的信息,则登录助手通知连接服务器允许与用户浏览器建立连接;否则,登录助手通知连接服务器不与浏览器建立连接。在这种方式中,用户输入的信息多少不重要,是什么不重要,用户通常输入几个字符、数字即可,甚至输入一个字符、数字即可。
在实施前述浏览器与登录助手通过连接服务器建立连接的方案中,若采用浏览器发送信息由用户确认的方式,则有如下用户确认方式可供采用(但也不是全部可能的实施方式)。
用户确认实施方式四、
浏览器将一串随机生成的可显示字符通过连接服务器发送到登录助手,同时将发送的信息在浏览器显示,并提示用户确认用户浏览器上显示的信息与用户在移动终端上显示的信息是否一致;登录助手接收到浏览器发送的信息后,将接收到的信息显示;若用户确认信息一致,则登录助手通知连接服务器允许与用户浏览器建立连接;否则,登录助手通知连接服务器不与浏览器建立连接。
浏览器与Web系统之间会话的会话标识数据的获取方式可以是:由Web系统在服务端获取(如从Cookie中获取)并返回到浏览器,或者由浏览器端的脚本代码在客户端获取(如从页面内容或Cookie中获取)。
浏览器将会话标识数据提交到连接服务器的方式可以是:Web系统将会话标识数据包含在重定向到连接服务器的重定向URL(Universal Resource Locator)中,或者包含在提交到连接服务器的、HTTP自动POST的FORM数据中,或者通过脚本代码包含在提交到连接服务器的异步请求中。
会话标识数据提交到连接服务器的时间点可以是:Web系统将用户浏览器引导到连接服务器时提交的第一个HTTP请求(包含在此请求中),或者在浏览器与登录助手建立会话连接的过程中,或在浏览器与登录助手建立会话连接后。若不是Web系统将用户浏览器引导到连接服务器时提交的第一个HTTP请求,则在需要获取会话标识数据时,由连接服务器将用户浏览器引导到Web系统获取会话标识数据,然后再由浏览器提交连接服务器。
在本发明技术方案的实施中,会话标识数据从Web系统经浏览器、连接服务器传输到用户移动终端中的登录助手的过程中,可以是非加密的,也可以是加密的,也可以在部分传输路径中是加密的。
若会话标识数据从Web系统经浏览器、连接服务器传输到用户移动终端中的登录助手的过程中是加密的,则有如下可采用的方案:
用户浏览器访问尚未登录的Web系统时,用户通过浏览器输入用户在Web系统的帐户名并提交到Web系统;Web系统根据用户的帐户名找到用户的加密密钥(如以用户的口令导出的对称密钥,或用户的公钥),并用用户的加密密钥对Web系统与浏览器之间会话的会话标识数据进行加密,然后将加密后的会话标识数据返回到用户浏览器,由用户浏览器提交到连接服务器;
连接服务器通过用户浏览器与登录助手之间的(正式)连接,将加密后的会话标识数据传输到登录助手;
登录助手接收到加密后的会话标识数据后,使用用户帐户名对应的解密密钥(如以用户的口令导出的对称密钥,或用户的私钥)对接收到的加密的会话标识数据进行解密,获得Web系统与用户浏览器之间会话的会话标识数据;
或者,用户浏览器访问尚未登录的Web系统时,Web系统用连接服务器的加密密钥(对称密钥或公钥)对Web系统与浏览器之间会话的会话标识数据进行加密,然后将加密后的会话标识数据返回到用户浏览器,由用户浏览器提交到连接服务器;
连接服务器利用解密密钥(对称密钥或私钥)对接收到会话标识数据进行解密,然后根据用户在连接服务器的帐户名或身份凭证得到用户的加密密钥(如以用户的口令导出的对称密钥,或用户的公钥),用用户的加密密钥对会话标识数据加密,之后,通过浏览器与登录助手之间的(正式)连接,将加密后的会话标识数据传输给登录助手;
登录助手接收到加密后的会话标识数据后,用用户的对应解密密钥(如以用户的口令导出的对称密钥,或用户的私钥),解密加密后的会话标识数据。
若会话标识数据从Web系统经浏览器、连接服务器传输到用户移动终端中的登录助手的过程中在部分路径是部分加密的,则有如下可采用的方案:
用户浏览器访问尚未登录的Web系统时,Web系统用连接服务器的加密密钥(对称密钥或公钥)对Web系统与浏览器之间会话的会话标识数据进行加密,然后将加密后的会话标识数据返回到用户浏览器,由用户浏览器提交到连接服务器;
连接服务器利用解密密钥(对称密钥或私钥)对接收到会话标识数据进行解密,然后通过浏览器与登录助手之间的(正式)连接,将解密获得的会话标识数据传输给登录助手。
之前描述的方案都是避免用户使用移动终端扫码(扫描条码,如二维码),但是,本发明的方案若使用扫码,则也是一种使用移动终端辅助用户使用浏览器登录Web系统的新方案,具体如下:
当用户浏览器与连接服务器建立会话后,连接服务器向浏览器返回一个条码形式显示的会话关联标识符;所述会话关联标识符是将浏览器与连接服务器之间的会话(的会话标识符),同登录助手与连接服务器之间的会话(的会话标识符)进行关联的数据;所述会话关联标识符是一个同浏览器与连接服务器之间的会话(的会话标识符)相关联的随机字串,或者就是浏览器与连接服务器之间会话的会话标识符;
用户使用登录助手的条码扫描功能扫描浏览器显示的条码;
登录助手从扫描的条码中获得会话关联标识符,并在与连接服务器建立会话后,将获得的会话关联标识符提交到连接服务器;
在提交会话关联标识符之前或之后,登录助手使用用户身份凭证在连接服务器完成登录(身份鉴别)操作;
在登录助手使用用户身份凭证在连接服务器完成登录(身份鉴别)操作,以及接收到登录助手提交的会话关联标识符后,连接服务器通过会话关联标识符将自己与浏览器之间的会话、与登录助手之间的会话正式关联,从而将用户浏览器与登录助手正式关联,由此在用户浏览器和登录助手之间建立正式连接(简称连接)。
这种扫码方案的好处是用户无需在浏览器输入帐户名,即便在会话标识数据从Web系统,经浏览器、连接服务器传输(传递)到登录助手的过程中是加密传送的情况,用户也无需在浏览器中输入帐户名(此时,Web系统用连接服务器的加密密钥,将Web系统与浏览器之间会话的会话标识数据加密;而连接服务器使用自己的解密密钥,解密会话标识数据,然后根据登录助手在连接服务器登录时所使用的身份凭证获得用户的加密密钥,然后用用户加密密钥对会话标识数据进行加密,将加密后的会话标识数据传送到登录助手;登录助手使用用户的解密密钥,解密加密后的会话标识数据)。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。