施方案是:
[0034]開發(fā)實施一個移動登錄助手程序�����,在身份服務(wù)系統(tǒng)的基礎(chǔ)上增加一個安全令牌暫存子系統(tǒng)�����,擴展身份服務(wù)系統(tǒng)成為一個移動登錄系統(tǒng)���;用戶使用移動登錄助手在身份服務(wù)系統(tǒng)完成身份鑒別后(登錄后),身份服務(wù)系統(tǒng)為用戶簽發(fā)登錄信息系統(tǒng)的安全令牌并將安全令牌返回到移動登錄助手�;移動登錄助手將安全令牌提交到安全令牌暫存子系統(tǒng)暫存,暫存的安全令牌用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)標(biāo)識����;信息系統(tǒng)客戶端用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)從安全令牌暫存子系統(tǒng)獲得安全令牌,然后使用安全令牌在信息系統(tǒng)完成登錄�。
[0035]實施例二、
[0036]彳目息系統(tǒng)原本米用基于時間的動態(tài)口令登錄�。這時可米用的實施方案是:
[0037]開發(fā)實施一個移動登錄系統(tǒng)和移動登錄助手程序���;在用戶移動終端中保存生成動態(tài)口令的種子密鑰�;用戶使用移動登錄助手在移動登錄系統(tǒng)完成登錄后,移動登錄助手利用種子密鑰結(jié)合時間生成登錄信息系統(tǒng)的動態(tài)口令��,形成包含帳戶名和動態(tài)口令的安全令牌���,然后將形成的安全令牌提交到移動登錄系統(tǒng)暫存�,暫存的安全令牌用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)標(biāo)識���;信息系統(tǒng)客戶端用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)從移動登錄系統(tǒng)獲得安全令牌�,然后用從安全令牌中獲得的帳戶名���、動態(tài)口令在信息系統(tǒng)完成登錄(此時��,移動登錄系統(tǒng)僅是一個暫存安全令牌的中介系統(tǒng))����。
[0038]實施例三���、
[0039]信息系統(tǒng)原本采用帳戶名�����、口令��。這時可采用的實施方案是:
[0040]開發(fā)實施一個移動登錄系統(tǒng)和移動登錄助手程序��;通過移動登錄助手或?qū)iT的帳戶管理工具在用戶移動終端中緩存用戶在信息系統(tǒng)中的帳戶名��、口令���;在用戶使用移動登錄助手在移動登錄系統(tǒng)完成登錄后�,移動登錄助手利用緩存在移動終端中的用戶在信息系統(tǒng)中的帳戶名��、口令形成安全令牌并提交到移動登錄系統(tǒng)暫存�����,暫存的安全令牌用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)標(biāo)識����;信息系統(tǒng)客戶端用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)從移動登錄系統(tǒng)獲得安全令牌,然后用從安全令牌中獲得的帳戶名�����、口令在信息系統(tǒng)完成登錄(此時,移動登錄系統(tǒng)僅是一個暫存安全令牌的中介系統(tǒng))�����。
[0041]實施例四��、
[0042]信息系統(tǒng)原本采用挑戰(zhàn)-響應(yīng)方式進(jìn)行登錄鑒別(包括基于挑戰(zhàn)碼的動態(tài)口令)�。這時可采用的實施方案是:
[0043]開發(fā)實施一個移動登錄系統(tǒng)和移動登錄助手程序�����;信息系統(tǒng)客戶端以條碼的形式顯示安全令牌標(biāo)識數(shù)據(jù)���,且條碼中包含挑戰(zhàn)碼(登錄鑒別數(shù)據(jù))��;在用戶使用移動登錄助手在移動登錄系統(tǒng)完成登錄后���,用戶使用移動終端掃描條碼獲得安全令牌標(biāo)識數(shù)據(jù)及挑戰(zhàn)碼,移動登錄助手使用用戶身份憑證的私密數(shù)據(jù)(如口令)和挑戰(zhàn)碼生成登錄信息系統(tǒng)的響應(yīng)碼(登錄鑒別響應(yīng)數(shù)據(jù))��,并形成包含帳戶名和響應(yīng)碼的安全令牌���,然后將安全令牌提交到移動登錄系統(tǒng)暫存��;信息系統(tǒng)客戶端用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)從移動登錄系統(tǒng)獲得安全令牌��,然后用從中獲得的帳戶名�、響應(yīng)碼在信息系統(tǒng)完成登錄(此時,移動登錄系統(tǒng)僅是一個暫存安全令牌的中介系統(tǒng))�。
[0044]實施例一、二���、三中的安全令牌標(biāo)識數(shù)據(jù)可由信息系統(tǒng)客戶端按字串顯示���,然后由用戶手工輸入到移動登錄助手的人機界面,或者�,由信息系統(tǒng)客戶端按條碼顯示,然后由用戶使用移動終端掃描輸入到移動登錄助手���;而實施例四中的安全令牌標(biāo)識數(shù)據(jù)及挑戰(zhàn)碼(登錄鑒別數(shù)據(jù))則由信息系統(tǒng)客戶端按條碼顯示�����,由用戶使用移動終端掃描輸入到移動登錄助手���。條碼可以采用二維碼。
[0045]安全令牌暫存子系統(tǒng)�����、移動登錄系統(tǒng)的開發(fā)可米用任何信息系統(tǒng)開發(fā)技術(shù)如J2EE、ASP.NET及相應(yīng)的數(shù)據(jù)庫����;移動登錄助手可采用與移動終端的系統(tǒng)相適應(yīng)的技術(shù)開發(fā)����,如Android采用Java,10S采用Ob jective-C�。信息系統(tǒng)客戶端從移動登錄系統(tǒng)獲取安全令牌的方式包括:服務(wù)器推送(即由服務(wù)器主動返回數(shù)據(jù),如反向Ajax�、持久連接技術(shù))或定時查詢。
[0046]以上實施例一��、二����、三、四中針對的信息系統(tǒng)若是一個已部署的Web系統(tǒng)�,則只需對其登錄頁面作小改動和替換;若是一個已部署的采用專用客戶端的信息系統(tǒng)�����,只需對其客戶端程序作小改動并替換原有客戶端程序。
[0047]其他未說明的具體技術(shù)實施�,對于相關(guān)領(lǐng)域的技術(shù)人員而言是眾所周知,不言自明的���。
【主權(quán)項】
1.一種基于移動終端的系統(tǒng)登錄方法�����,其特征是: 當(dāng)用戶在計算機上使用信息系統(tǒng)客戶端訪問一個尚未登錄的信息系統(tǒng)時��,信息系統(tǒng)啟動用戶登錄操作��;信息系統(tǒng)客戶端顯示一個安全令牌標(biāo)識數(shù)據(jù)����; 用戶通過運行在移動終端中的移動登錄助手使用用戶身份憑證在移動登錄系統(tǒng)完成登錄����;在通過移動登錄助手在移動登錄系統(tǒng)進(jìn)行登錄操作的過程中,用戶將信息系統(tǒng)客戶端顯示的安全令牌標(biāo)識數(shù)據(jù)輸入到移動登錄助手�; 在用戶通過移動登錄助手在移動登錄系統(tǒng)完成登錄后,移動登錄助手將安全令牌標(biāo)識數(shù)據(jù)提交到移動登錄系統(tǒng)�,移動登錄系統(tǒng)為用戶生成一個登錄信息系統(tǒng)的安全令牌并將生成的安全令牌暫存在移動登錄系統(tǒng),暫存在移動登錄系統(tǒng)的安全令牌用移動登錄助手提交的安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)標(biāo)識����; 或者��,在用戶通過移動登錄助手在移動登錄系統(tǒng)完成登錄后�����,移動登錄系統(tǒng)為用戶生成一個登錄信息系統(tǒng)的安全令牌���,移動登錄系統(tǒng)將生成的安全令牌返回給移動登錄助手,由移動登錄助手將安全令牌提交到移動登錄系統(tǒng)的安全令牌暫存子系統(tǒng)暫存��,暫存在移動登錄系統(tǒng)的安全令牌用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)標(biāo)識�; 或者����,在用戶通過移動登錄助手在移動登錄系統(tǒng)完成登錄后,移動登錄助手使用用戶身份憑證為用戶生成一個登錄信息系統(tǒng)的安全令牌�����,并將生成的安全令牌提交到移動登錄系統(tǒng)暫存����,暫存的安全令牌用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)標(biāo)識�����;用戶所使用的信息系統(tǒng)客戶端利用安全令牌標(biāo)識數(shù)據(jù)或安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)從移動登錄系統(tǒng)或移動登錄系統(tǒng)的安全令牌暫存子系統(tǒng)獲得暫存的安全令牌�,然后使用安全令牌在信息系統(tǒng)完成登錄操作�����; 所述信息系統(tǒng)是一個通過網(wǎng)絡(luò)提供預(yù)定功能服務(wù)的系統(tǒng)�;所述信息系統(tǒng)客戶端是信息系統(tǒng)的用戶端程序; 所述安全令牌標(biāo)識數(shù)據(jù)是一個隨機字串或者是一個包含隨機字串的數(shù)據(jù)�����;所述安全令牌標(biāo)識數(shù)據(jù)由信息系統(tǒng)或信息系統(tǒng)客戶端生成�����; 所述移動終端是一種具有數(shù)據(jù)網(wǎng)絡(luò)聯(lián)網(wǎng)能力的便攜式計算裝置���; 所述移動登錄助手是在用戶的移動終端中安裝并運行的一個用于幫助用戶使用信息系統(tǒng)客戶端進(jìn)行信息系統(tǒng)登錄操作的程序���; 所述移動登錄系統(tǒng)是一個在用戶使用計算機上的信息系統(tǒng)客戶端登錄信息系統(tǒng)過程中通過用戶的移動終端幫助信息系統(tǒng)客戶端在信息系統(tǒng)完成登錄操作的系統(tǒng);所述移動登錄系統(tǒng)是一個獨立的系統(tǒng)或者是信息系統(tǒng)的一個組件���;所述移動登錄系統(tǒng)的安全令牌暫存子系統(tǒng)是移動登錄系統(tǒng)用于暫存安全令牌的一個子系統(tǒng)�����; 用戶在移動登錄系統(tǒng)進(jìn)行登錄時所用的身份憑證由用戶標(biāo)識數(shù)據(jù)和私密數(shù)據(jù)組成���;所述用戶標(biāo)識數(shù)據(jù)是用戶在移動登錄系統(tǒng)中的帳戶名�,或者與用戶在移動登錄系統(tǒng)的帳戶名對應(yīng)的��、用于標(biāo)識用戶身份的數(shù)據(jù)�����;所述私密數(shù)據(jù)是用于證明用戶就是身份憑證的擁有者的數(shù)據(jù)����;用戶在移動登錄系統(tǒng)的身份憑證或帳戶與用戶在信息系統(tǒng)的身份憑證或帳戶相同或不同��; 所述安全令牌是由移動登錄系統(tǒng)或移動登錄助手生成的一次性或臨時性的身份證明數(shù)據(jù)��,或者是由移動登錄助手生成的包含用戶身份憑證包括私密數(shù)據(jù)的身份證明數(shù)據(jù)��;所述臨時性是指僅在指定或預(yù)定的時間期限內(nèi)有效��;若所述安全令牌是由所述移動登錄系統(tǒng)生成的一次性或臨時性的身份證明數(shù)據(jù),則所述安全令牌中包含有用戶在信息系統(tǒng)的帳戶名����,具有有效期限并能防止偽造和篡改;若所述安全令牌是由所述移動登錄助手生成的一次性或臨時性的身份證明數(shù)據(jù)���,則所述安全令牌中包含有用戶在信息系統(tǒng)的帳戶名以及使用用戶身份憑證的私密數(shù)據(jù)運算處理后得到的數(shù)據(jù)���;暫存在移動登錄系統(tǒng)中的安全令牌超過預(yù)定的時間期限未被信息系統(tǒng)客戶端獲取則被刪除。2.根據(jù)權(quán)利要求1所述的基于移動終端的系統(tǒng)登錄方法�,其特征是: 若信息系統(tǒng)客戶端以條碼的形式顯示所述安全令牌標(biāo)識數(shù)據(jù),且所述移動終端有攝像頭���,則移動終端調(diào)用條碼掃描程序通過攝像頭獲取信息系統(tǒng)客戶端顯示的條碼�,從條碼中獲得安全令牌標(biāo)識數(shù)據(jù)�����; 若信息系統(tǒng)客戶端顯示的條碼中除了所述安全令牌標(biāo)識數(shù)據(jù)外����,還包括信息系統(tǒng)返回的登錄鑒別數(shù)據(jù),則移動登錄助手從掃描的條碼中獲得登錄鑒別數(shù)據(jù)��,并在用戶通過移動登錄助手在移動登錄系統(tǒng)完成登錄后,由移動登錄系統(tǒng)利用登錄鑒別數(shù)據(jù)生成用戶登錄信息系統(tǒng)的安全令牌����,或者由移動登錄助手利用用戶身份憑證的私密數(shù)據(jù)以及登錄鑒別數(shù)據(jù)生成用戶登錄信息系統(tǒng)的安全令牌。3.根據(jù)權(quán)利要求1所述的基于移動終端的系統(tǒng)登錄方法���,其特征是: 信息系統(tǒng)客戶端和移動登錄助手之間共享所述安全令牌標(biāo)識數(shù)據(jù)的另一種方式是:在移動登錄助手登錄移動登錄系統(tǒng)過程中��,移動登錄助手生成安全令牌標(biāo)識數(shù)據(jù)并以字符串的形式顯示���,用戶將移動登錄助手顯示的安全令牌標(biāo)識數(shù)據(jù)用手工方式輸入到信息系統(tǒng)客戶端的人機界面,并提交給信息系統(tǒng)客戶端��。4.根據(jù)權(quán)利要求1所述的基于移動終端的系統(tǒng)登錄方法�����,其特征是: 所述移動登錄助手和信息系統(tǒng)客戶端��,或者移動登錄系統(tǒng)和信息系統(tǒng)客戶端��,利用安全令牌標(biāo)識數(shù)據(jù)的導(dǎo)出數(shù)據(jù)作為密鑰��,用于對安全令牌進(jìn)行安全保護(hù)����,包括加密和解密。
【專利摘要】發(fā)明涉及一種基于移動終端的系統(tǒng)登錄方法:當(dāng)用戶使用信息系統(tǒng)客戶端登錄一個尚未登錄的信息系統(tǒng)時��,信息系統(tǒng)客戶端顯示一個安全令牌標(biāo)識數(shù)據(jù)并由用戶輸入到運行在移動終端中的移動登錄助手���;在用戶通過移動登錄助手在移動登錄系統(tǒng)完成登錄后���,移動登錄系統(tǒng)或移動登錄助手為用戶生成一個安全令牌并將安全令牌暫存在移動登錄系統(tǒng),暫存的安全令牌用安全令牌標(biāo)識數(shù)據(jù)標(biāo)識�;信息系統(tǒng)客戶端利用安全令牌標(biāo)識數(shù)據(jù)標(biāo)識從移動登錄系統(tǒng)獲得暫存的安全令牌,然后使用安全令牌在信息系統(tǒng)完成登錄操作�����;基于本發(fā)明無需對信息系統(tǒng)的服務(wù)端系統(tǒng)進(jìn)行改動����、進(jìn)行移動登錄功能集成或者僅需小改動即可實現(xiàn)基于移動終端的用戶登錄。
【IPC分類】H04L29/06
【公開號】CN105391727
【申請?zhí)枴緾N201510844457
【發(fā)明人】龍毅宏
【申請人】武漢理工大學(xué)
【公開日】2016年3月9日
【申請日】2015年11月26日