技术领域
[0001] 本
发明属于信息安全技术领域,特别是一种基于移动终端的身份鉴别方法及系统。
背景技术
[0002] 为了应对在网吧等公共环境使用公共计算机登录(logon)网络信息系统存在的帐户名、口令失窃的
风险,以及为了方便用户在信息系统的登录,人们提出了一些借助移动终端(如手机、
平板电脑)的信息系统登录方案,如本发明
专利申请人在其专利申请“一种基于
移动通信终端和短信的登录方法”(申请号:201510225152.6),“一种基于手机登录的系统及登录方法”(申请号:201410395338.1),“一种面向信息系统的异步登录方法”(201510393405.0),以及腾讯、百度的一系列专利中提出了基于移动终端的解决方案。这些方案的共同特点是:在用户使用计算机登录一个信息系统或应用系统时,用户使用移动终端在信息系统或应用系统或者一个登录辅助系统完成登录操作,从而实现用户使用计算机在信息系统或应用系统上的登录。采用这些方案,用户无需在计算机上输入帐户名、口令,从而避免了在公共计算机上帐户名、口令被窃取的风险。
[0003] 这些方案,或者要求用户使用移动终端通过扫描条码(二维码)输入,或者要求用户在进行登录操作的计算机或移动终端中输入,用于在用户计算机和移动终端之间建立关联的随机字串,而为了防止攻击者通过猜测随机字串进行攻击,这个随机字串要足够长。扫描条码或手工输入长随机字串给用户带来不便(无论扫描条码还是手工输入,用户都要进行较多的操作,而且手工输入易出错)。
发明内容
[0004] 本发明的目的是提出一种基于移动终端的身份鉴别方法及系统以克服现有方案的不足。
[0005] 为了实现上述目的,本发明提出的技术方案包括一种基于移动终端的身份鉴别方法以及此方法的系统,其中,基于移动终端的身份鉴别方法如下。
[0006] 当用户使用信息系统客户端在一个信息系统进行登录或身份鉴别时(logon或authentication),用户通过信息系统客户端(的登录或身份鉴别界面)输入用户在信息系统的帐户名,并将帐户名提交到信息系统;
[0007] 在用户通过信息系统客户端将帐户名提交到信息系统之前或之后,用户使用移动终端中的登录助手以及用户在信息系统的身份凭证在信息系统完成登录或身份鉴别操作(成功登录或通过身份鉴别);
[0008] 在用户通过信息系统客户端将用户在信息系统的帐户名提交到信息系统以及使用登录助手在信息系统完成登录或身份鉴别操作后,信息系统利用用户通过信息系统客户端提交的帐户名和用户使用登录助手进行登录或身份鉴别操作时的身份凭证,将信息系统与用户使用的信息系统客户之间的会话同信息系统与用户使用的登录助手之间的会话相关联(由此将用户使用的信息系统客户端同用户使用的登录助手相关联),并向登录助手发送
请求允许用户在信息系统进行登录或通过身份鉴别的请求,或向登录助手发送用户请求在信息系统进行登录或身份鉴别的提示(若有多个信息系统客户端使用同样的帐户名在信息系统进行登录或身份鉴别操作,则这种会话关联会有多个,登录助手接收到的登录或身份鉴别的请求或提示会有多个,而用户可以依次对其中的一个进行处理);
[0009] 接收到请求允许用户在信息系统进行登录或身份鉴别的请求,或接收到用户请求在信息系统进行登录或身份鉴别的提示后,登录助手自动或者在用户点击确认后通过信息系统向信息系统客户端发送信息,或者登录助手提示用户在登录助手的
人机交互界面输入信息,并将用户输入的信息通过信息系统向信息系统客户端发送;
[0010] 登录助手通过用户的确认操作确定信息系统客户端是否接收到了登录助手所发送的信息;
[0011] 若通过用户的确认操作确定信息系统客户端接收到了登录助手所发送的信息,则登录助手向信息系统确认允许使用(与登录助手关联的)信息系统客户端的用户在信息系统完成登录或身份鉴别操作(成功登录或通过身份鉴别),之后,信息系统允许使用信息系统客户端的用户在信息系统登录或通过身份鉴别;
[0012] 若通过用户的确认操作确定信息系统客户端没有接收到登录助手所发送的信息,则登录助手要求信息系统拒绝当前使用(与登录助手关联的)信息系统客户端的用户在信息系统进行的登录或身份鉴别操作,或者继续通过信息系统向信息系统客户端发送信息,并继续通过用户的确认操作确定信息系统客户端是否接收到了登录助手所发送的信息,直到确定信息系统客户端接收到了登录助手所发送的信息,或者达到最大尝试次数后(重复进行发送信息-确认是否接收到消息的最大操作次数,该次数可预先设定),登录助手要求信息系统拒绝当前使用(与登录助手关联的)信息系统客户端的用户在信息系统进行的登录或身份鉴别操作;
[0013] 所述信息系统是提供应用功能的应用系统或对用户进行在线身份鉴别的系统;所述信息系统客户端是信息系统在用户端计算机中的程序,也即客户端程序(包括专用客户端程序和通用客户端程序,如浏览器);
[0014] 所述登录助手是一个运行在用户的移动终端中的、辅助用户使用信息系统客户端在信息系统完成登录或身份鉴别操作的程序;
[0015] 所述移动终端是一个具有数据通信能
力的便携式
电子装置(如手机、平板电脑等);
[0016] 所述用户身份凭证是证明用户在信息系统中身份的电子信息,包括身份标识(如帐户名、数字证书等)及证明用户是身份标识拥有者的私密数据(如口令、私钥、标识私钥等);用户在信息系统的身份凭证与用户在信息系统的帐户名存在对应关系(如身份凭证中的身份标识就是用户在信息系统中的帐户名,数字证书的主题名中包含帐户名)。
[0017] 登录助手通过信息系统向信息系统客户端发送信息,并通过用户的确认操作确定信息系统客户端是否接收到了登录助手所发送的信息的一种方案是:
[0018] 登录助手生成一个展示信息(如文字、图片)或从预先生成的展示信息中选择一个展示信息,然后一方面将展示信息提交到信息系统,另一方面将展示信息通过登录助手的人机交互界面在移动终端上显示;
[0019] 信息系统(根据用户使用的信息系统客户端与用户使用的登录助手之间的关联关系)将接收到的展示信息返回(发送)到用户使用的信息系统客户端显示;
[0020] 用户通过登录助手的人机交互界面确认信息系统客户端上显示的展示信息与移动终端上显示的展示信息是否一致,或者信息系统客户端是否有展示信息;
[0021] 若用户确认二者一致,则登录助手确定信息系统客户端接收到了登录助手所发送的信息;若用户确认二者不一致,或者用户确认信息系统客户端没有显示展现信息,则登录助手确定信息系统客户端没有接收到登录助手所发送的信息。
[0022] 登录助手通过信息系统向信息系统客户端发送信息,并通过用户的确认操作确定信息系统客户端是否接收到了登录助手所发送的信息的另一种方案是:
[0023] 登录助手生成一个展示信息(如文字、图片等)或从预先生成的展示信息中选择一个展示信息,然后一方面将展示信息提交到信息系统,另一方面将包含登录助手提交给信息系统的展示信息的一组展示信息通过登录助手的人机交互界面在移动终端上显示;
[0024] 信息系统(根据用户使用的信息系统客户端与用户使用的登录助手之间的关联关系)将接收到的展示信息返回(发送)到用户使用的信息系统客户端显示;
[0025] 用户在登录助手的人机交互界面显示的一组展示信息中选择与信息系统客户端显示的展示信息一致的展示信息并确认;
[0026] 若用户选择并确认的展示信息同登录助手之前提交到信息系统的展示信息一致,则登录助手确定信息系统客户端接收到了登录助手所发送的信息;若用户选择并确认的展示信息同登录助手之前提交到信息系统的展示信息不一致,或者用户确认无法在在登录助手的人机交互界面显示的一组展示信息中选择与信息系统客户端显示的展示信息一致的展示信息,或者用户确认信息系统客户端没有显示展示信息,则登录助手确定信息系统客户端没有接收到登录助手所发送的信息。登录助手提示用户在登录助手的人机交互界面输入信息,并将用户输入的信息通过信息系统向信息系统客户端发送,登录助手通过用户的确认操作确定信息系统客户端是否接收到了登录助手所发送的信息的一种方案如下:
[0027] 登录助手提示用户在登录助手的人机交互界面输入信息并提示用户查看、确认信息系统客户端是否显示了用户在移动终端输入的信息;
[0028] 用户通过登录助手的人机交互界面在移动终端随机(随便、任意)输入信息;
[0029] 登录助手将用户输入的信息发送到信息系统;
[0030] 信息系统(根据用户使用的信息系统客户端与用户使用的登录助手之间的关联关系)将接收到的信息返回(发送)到用户使用的信息系统客户端显示;
[0031] 用户查看信息系统客户端是否显示了用户在移动终端输入的信息,并通过登录助手的人机交互界面进行确认;
[0032] 若用户通过登录助手的人机交互界面确认信息系统客户端显示了用户在移动终端输入的信息,则登录助手确定信息系统客户端接收到了登录助手所发送的信息;若用户通过登录助手的人机交互界面确认信息系统客户端没有显示用户在移动终端输入的信息,或者显示的信息不正确,则登录助手确定信息系统客户端没有接收到登录助手所发送的信息。
[0033] 以上消息发送、确认方案并不是全部的可能方案,实施者可根据需要设计其他的方案。
[0034] 基于上述身份鉴别方法的身份鉴别系统如下。
[0035] 基于上述身份鉴别方法的身份鉴别系统包括身份鉴别
服务器、运行在移动终端中的登录助手,其中,身份鉴别服务器是所述身份鉴别方法中对用户进行在线身份鉴别的系统;身份鉴别服务器面向应用系统(即提供应用功能的信息系统)提供用户身份鉴别功能;身份鉴别服务器的客户端是利用所述身份鉴别服务器对用户进行身份鉴别的应用系统的客户端程序,即应用系统客户端就是身份鉴别服务器的客户端,或者是一个在用户计算机中被应用系统客户端调用、用于在身份鉴别服务器对用户进行身份鉴别的程序,对于前者,身份鉴别服务器的客户端即对应所述身份鉴别方法中的信息系统客户端,对于后者,应用系统客户端和身份鉴别服务器的客户端合并构成了所述身份鉴别方法中的信息系统客户端;若身份鉴别服务器的客户端是一个被应用系统客户端调用、在身份鉴别服务器对用户进行身份鉴别的程序,则所述身份鉴别系统还包括身份鉴别服务器的客户端(程序);
[0036] 当一个用户使用一个应用系统客户端在应用系统进行登录时,用户先使用应用系统客户端以及运行在移动终端中的所述登录助手按所述身份鉴别方法在身份鉴别服务器完成身份鉴别操作;
[0037] 当用户按所述身份鉴别方法在身份鉴别服务器完成身份鉴别操作后,身份鉴别服务器向用户的应用系统客户端返回一个证明用户身份的安全令牌;用户的应用系统客户端利用返回的安全令牌在应用系统完成登录操作;
[0038] 若应用系统客户端是通过调用身份鉴别服务器的客户端(程序)在身份鉴别服务器完成对用户的身份鉴别,则应用系统客户端通过身份鉴别服务器的客户端(程序)提交用户的帐户名、获得登录助手发送的信息以及身份鉴别服务器返回的安全令牌。
[0039] 从以上描述可以看到,基于本发明的方法及系统:用户通过移动终端及运行在移动终端中登录助手,可以无需在信息系统客户端使用身份凭证的情况下实现信息系统客户端在信息系统的成功登录或身份鉴别,同时,在登录过程中用户又无需扫描二维码或者手工输入用于在信息系统客户端和登录助手之间建立关联的足够长的随机字串,从而达到既保证安全,又简化用户的操作的效果。对于登录助手提示用户在登录助手的人机交互界面输入信息,并将用户输入的信息通过信息系统向信息系统客户端发送的方式,这时用户可以随机(随便、任意)输入信息,而且输入的信息可以很短,短到一个字符都可以,因为这里登录助手只需要确认它是和用户的信息系统客户端建立了关联,而不是和假冒者的信息系统客户端建立了关联,信息本身是什么、有多少无关紧要。本发明的另一个好处是一个用户能方便地远程授权另一用户使用自己的帐户登录应用系统而不会泄露自己的身份凭证的私密信息。
[0040] 上述方法及系统也存在一个弱点,这就是易遭受拒绝服务攻击:攻击者恶意地、不断地重复使用某个用户的帐户名尝试使用信息系统客户端在信息系统进行登录或身份鉴别操作,这将导致真正的用户无法在信息系统进行正常的登录或身份鉴别操作。在内网应用环境下,这不是大问题(这种攻击很容易发现),在外网环境下,对此弱点,可以采用如下应对措施:
[0041] 在用户使用移动终端中的登录助手以及用户在信息系统的身份凭证在信息系统进行登录或身份鉴别操作时,或者在信息系统完成登录或身份鉴别操作后,登录助手生成一个可显示的随机字串(可以是比较短的随机字串,如4-6个字节的数字),然后一方面将随机字串发送给信息系统,一方面通过登录助手的
人机界面向用户显示;
[0042] 用户在通过信息系统客户端向信息系统提交帐户名之时或之前或之后,将登录助手的人机界面显示的随机字串输入到信息系统客户端并提交到信息系统;
[0043] 信息系统通过信息系统客户端提交的帐户名、随机字串以及登录助手使用的身份凭证、提交的随机字串,将信息系统与用户使用的信息系统客户之间的会话同信息系统与用户使用的登录助手之间的会话相关联(由此将用户使用的信息系统客户端同用户使用的登录助手关联)。
[0044] 以上应对措施虽然也要求用户输入信息系统客户端与登录助手之间建立连接的随机字串,但由于这个字串可以比较短,而且由于信息系统为了防止恶意的重复提交登录请求,通常也要求用户在使用信息系统客户端进行登录时要输入并提交随机确认码,而这里的随机字串可以作为随机确认码提交,因此种做法不会给用户带来过多的麻烦。
[0045] 本发明与已公开的发明专利“一种面向信息系统的异步登录方法”(专利申请号:201510393405.0)也存在不同,二者的差别不仅在登录确认信息(展示信息)的产生主体、传送途径不同,更重要的是对于发明201510393405.0而言,登录确认信息必须是随机的而且有足够的随机性,即在用户甲登录信息系统时,攻击者或其他用户登录信息系统获得同样登录确认信息的可能性非常低,否则,在用户乙授权用户甲登录信息系统时(无论甲、乙是否同一个人,是否在同一个
位置),攻击者假冒用户甲或者其他用户意外作为用户甲获得授权的可能性将大大增加;登录确认信息的随机性要大,登录确认信息包含的文字或图片不但要求是随机的,而且必须足够多,这给用户进行确认也带来不便,也易于出错;而对于本发明而言,展示信息(即登录确认信息),可以是几个固定的信息,且数量不必很多,甚至可以是两个区分明显的信息,因为当攻击者尝试假冒真正的用户进行登录时,用户的登录助手发送的信息被发送到了攻击者的信息系统客户端,用户自己的信息系统客户端看不到登录助手发送的信息,从而通过确认未接收到信息来拒绝攻击者的登录企图。
附图说明
[0047] 图2为本发明实施例3的示意图。
[0048] 图3为本发明实施例4的示意图。
[0049] 图4为本发明实施例5的示意图。
[0050] 图5为本发明实施例6的示意图。
具体实施方式
[0051] 下面结合附图和实施例对本发明作进一步的描述。
[0052] 实施例1、
[0053] 本发明的实施例1(如图1所示)是将本发明的身份鉴别方法直接用于应用系统的登录操作。在此实施例中,本实施例的应用系统对应本专利发明的身份鉴别方法中的信息系统,本实施例中的应用系统的客户端对应本发明身份鉴别方法中的信息系统客户端。当用户使用应用系统客户端在应用系统登录时,用户通过应用系统客户端输入并提交在应用系统的帐户名;同时,用户使用移动终端中的登录助手及用户的身份凭证(如帐户名口令、帐户名及标识私钥、数字证书及私钥)登录应用系统;应用系统通过帐户名与身份凭证之间的对应关系将用户的应用系统客户端同用户的登录助手关联;登录助手将随机生成的一串可显示字符或预先生成的一段话通过应用系统发送到用户的应用系统客户端,并同时将发送的信息在登录助手的人机交互界面显示,并提示用户确认应用系统客户端显示的信息与用户在移动终端上显示的信息是否一致;若用户确认信息一致,则登录助手通知信息系统允许用户使用信息系统客户端在应用系统登录;否则,登录助手一方面要求应用系统拒绝用户通过信息系统客户端的登录操作,另一方面要求用户重新使用应用系统客户端程序进行登录操作。用户使用应用系统客户端程序重新进行登录操作时,应用系统客户端清空之前显示的展示信息。若用户确认看到的信息不一致,有两种可能:一是用户看错了,二是另有他人使用当前用户的帐户名在信息系统登录,若是后者,应用系统根据登录助手的要求拒绝其他人的登录企图。若用户确认看不到信息,也有两种可能:一是网络出现了问题,二是另有他人使用当前用户的帐户名在信息系统登录,若是后者,应用系统根据登录助手的要求拒绝其他人的登录企图。若登录助手是将预先生成的一段话通过应用系统发送到用户的应用系统客户端,则登录助手可预先生成一组话,然后每次在这组话中选择一段不同的话发送到应用系统客户端(可循环使用这组话中的不同话)。使用预选生成的一段话是不存在问题的,而且这组话中可仅包含两段区别明显的话,因为,若不是用户正在使用的应用客户端与用户的登录助手在关联,则用户在应用系统客户是看不到登录助手发送给它的信息的。
[0054] 实施例2、
[0055] 本实施例(如图1所示)也是将本发明的身份鉴别方法直接用于应用系统的登录操作,与实施例1不同的是,本实施例中登录助手发送给应用系统客户端的展示信息是一个图片,登录助手在移动终端显示的是包含发送给应用系统客户端的图片的一组图片。用户在移动终端显示的一组图片中选择他在应用系统客户端看到的图片,通过这种方式向登录助手确认他看到的展示信息,或者告知登录助手未见到相符图片或在信息系统客户端未见到图片。这里,登录助手发送和显示的图片可以是来自预先生成的一组图片(这组图片可以仅包含两个区别很多的图片)。
[0056] 实施例3、
[0057] 本实施例(如图2所示)也是将本发明的身份鉴别方法直接用于应用系统的登录操作,与实施例1和2不同的是,在本实施例中,登录助手接收到信息系统发送的请求允许用户登录的请求后,提示用户在登录助手的人机交互界面随机(随便、任意)输入信息,并将用户输入的信息通过信息系统向信息系统客户端发送;用户根据登录助手的提示,查看在信息系统客户端是否显示了用户在移动终端输入的信息,并将结果向登录助手确认,登录助手据此确定信息系统客户端是否接收到了其发送的信息。在这种方式中,用户输入的信息多少不重要,是什么不重要,用户通常输入几个字符、数字即可,甚至输入一个字符、数字即可。
[0058] 实施例4、
[0059] 在本实施例中(如图3所示),Web应用系统利用本发明的身份鉴别系统进行用户登录(logon)Web应用系统时的身份鉴别,身份鉴别系统包括身份鉴别服务器和移动终端中的登录助手,此时,浏览器既是用户
访问Web系统的客户端程序(应用系统客户端)又是用户在身份鉴别服务器进行身份鉴别的客户端程序(身份鉴别客户端)。当用户使用浏览器访问Web应用系统时,Web应用系统通过HTTP重定向将用户浏览器引导到身份鉴别服务器,用户通过浏览器提交用户在身份服务器中的帐户名,同时使用移动终端中的登录助手及用户在身份鉴别服务器的身份凭证在身份鉴别服务器完成身份鉴别,然后用户向登录助手确认浏览器是否显示有与登录助手显示的展示信息一致的展示信息,这里的展示信息可以是如实施例1中的可显示字串,也可以是如实施例2中的图片。如果用户向登录助手确认浏览器显示有与登录助手显示的展示信息一致的展示信息,则登录助手向身份鉴别服务器确认允许使用浏览器的用户通过身份鉴别,身份鉴别服务器向浏览器返回证明用户身份(以及证明用户具有访问Web应用系统的权限)的安全令牌,之后通过HTTP自动POST方式或HTTP重定向方式,由浏览器将安全令牌(或获取安全令牌的信息)提交到Web应用系统;Web应用系统验证了用户的安全令牌的有效性后,允许用户在Web应用系统登录。若安全令牌验证不通过,则Web应用系统拒绝用户使用浏览器在Web系统的登录。
[0060] 在这个实施例中,身份鉴别服务器与登录助手的交互既可以用TCP连接,也可以用HTTP,身份鉴别服务器在后台将其与用户浏览器的会话和其与登录助手的会话关联。安全令牌可以是SAML
断言,WS-Federation安全令牌或自定义的安全令牌。
[0061] 对于客户端程序(浏览器、登录助手)通过HTTP与身份鉴别服务器交互的情形,身份鉴别服务器通过HTTP反向推送技术主动向客户端程序发送消息,或者采用客户端轮询方式由客户端程序从身份鉴别服务器获取消息。
[0062] 实施例5、
[0063] 在本实施例中(如图4所示),使用专用客户端的应用系统利用本发明的身份鉴别系统进行用户登录(logon)应用系统时的身份鉴别;身份鉴别系统包括身份鉴别服务器及运行在移动终端中的登录助手,同时,身份鉴别服务器提供有专
门的客户端程序(如动态库),即身份鉴别客户端,用于客户端与身份鉴别服务器的交互;此时,应用系统的客户端程序通过调用身份鉴别服务器的客户端程序与身份鉴别服务进行交互,如提交用户在身份鉴别服务器的帐户名,获得登录助手发送的展示信息,获得身份鉴别服务器返回的安全令牌,然后将获得安全令牌提交的应用系统完成登录操作。这里,用户输入帐户名、显示登录助手发送的展示信息的客户端人机交互界面可以由应用系统客户端的人机交互界面提供,也可以由身份鉴别服务器的客户端程序(如动态库)提供。当用户向登录助手确认在用户计算机客户端接收到了登录助手发送的展示信息后,登录助手向身份鉴别服务器确认允许(调用身份鉴别客户端)在身份鉴别服务器进行应用客户端所对应的用户通过身份鉴别;身份鉴别服务器(通过身份鉴别服务器的客户端)向应用系统客户端返回证明用户身份(以及证明用户具有访问应用系统的权限)的安全令牌,之后应用系统客户端将安全令牌提交到应用系统请求登录;应用系统验证了安全令牌的有效性后,允许用户使用信息系统客户端在应用系统登录;若安全令牌验证无效,则拒绝用户登录。
[0064] 实施例6、
[0065] 本实施例(如图5所示)的应用场景与实施例4相同,与实施例4不同的是,在本实施例中,登录助手接收到信息系统发送的请求允许用户通过身份鉴别的请求后,提示用户在登录助手的人机交互界面随机(随便、任意)输入信息,并将用户输入的信息通过信息系统向用户浏览器发送;用户根据登录助手的提示,查看在浏览器上是否显示了用户在移动终端输入的信息,并将结果向登录助手确认,登录助手据此确定信息系统客户端也即用户浏览器是否接收到了其发送的信息。
[0066] 在以上实施中,信息系统(应用系统、身份鉴别服务器)将其与信息系统客户端(应用系统客户端或身份鉴别客户端)、登录助手之间的会话进行关联的方案有很多种,一种方式是:信息系统与信息系统客户端、登录助手之间的会话都有一个会话标识,信息系统在内存或
数据库中维护一张表,其中每一项存放的是被关联的信息系统客户端、登录助手与信息系统之间会话的会话标识(一对会话标识)。
[0067] 其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
