一種面向Web系統的登錄方法
【專利摘要】本發明涉及一種面向Web系統的登錄方法：當用戶使用瀏覽器訪問一個尚未登錄的Web系統時Web系統將瀏覽器與Web系統之間會話的會話標識數據及會話標識數據的暫存標識符提交到移動登錄服務器暫存，同時將暫存標識符通過用戶瀏覽器以條碼形式顯示；用戶移動終端中的移動登錄助手通過掃描條碼獲得暫存標識符并將其提交到移動登錄服務器；移動登錄服務器在完成對用戶的身份鑒別后利用暫存標識符對應的會話標識數據代用戶登錄Web系統，或者將暫存標識符對應的會話標識數據返回給移動登錄助手用于登錄Web系統，或者移動登錄服務器用用戶加密密鑰對暫存標識符對應的會話標識數據加密然后將其返回給移動登錄助手解密后用于登錄Web系統。
【專利說明】
一種面向Web系統的登錄方法
技術領域
[0001]本發明屬于信息安全技術領域，特別是一種面向Web系統的登錄方法。【背景技術】
[0002]網絡信息或應用系統的用戶在訪問網絡信息或應用系統時可能會遇到以下問題。
[0003]—是，當用戶在網吧等公共環境使用公共計算機登錄要訪問的信息或應用系統時，如登錄QQ、網游，由于公共計算機可能被安置了木馬，用戶登錄系統的帳戶名、口令存在被監聽、竊取的風險(即便是動態口令，也不能避免這種安全風險)。
[0004]二是，用戶在不同的信息或應用系統都有帳戶名、口令要記憶，帳戶名、口令多了很容易忘記、混淆。
[0005]三是，在一些安全性要求高的場合，用戶需要使用存有數字證書及私鑰的USB Key 等密碼硬件，但是如果有多個USB Key密碼硬件需要攜帶，會給用戶帶來不便。
[0006]針對這些問題，本發明
【申請人】在其專利申請“一種基于移動終端的Web系統便捷登錄方法”(專利申請號:201510472645.X)中針對Web系統提出了一種基于移動終端的解決方案，具體地:當用戶使用瀏覽器登錄Web系統時，Web系統將瀏覽器與Web系統之間的會話標識數據以條碼的形式顯示在瀏覽器上，用戶使用移動終端的攝像頭掃描條碼，移動終端中的移動登錄代理從條碼中獲得會話標識數據，然后移動登錄代理使用用戶身份憑證登錄 Web系統，移動登錄代理登錄Web系統時按瀏覽器提交會話標識數據的方式提交掃描獲得的會話標識數據，由此實現用戶瀏覽器在Web系統的登錄。201510472645.X的最大特點是實施簡單，且Web系統按原有的方式對用戶進行登錄鑒別，但是，201510472645.X中的方案也存在一個問題，這就是會話標識數據以明文方式返回到瀏覽器并通過瀏覽器頁面顯示，這使得會話標識數據存在被惡意注入的腳本程序(從頁面中)竊取的風險。
[0007]針對201510472645.X中的方案存在的會話標識數據泄露的風險，本發明
【申請人】在其專利申請“一種基于移動終端的Web系統安全登錄方法”(專利申請號:201510887444.6) 提出了相應的解決方案，在這個方案中用戶瀏覽器與Web系統之間的會話標識數據被加密后再返回到用戶瀏覽器并通過二維碼顯示，用戶移動終端中的移動登錄助手通過解密被加密的會話標識數據從而獲得會話標識數據;或者Web系統將會話標識數據的暫存標識符加密后再返回到用戶瀏覽器并通過二維碼顯示，用戶移動終端中的移動登錄助手通過解密被加密的會話標識數據的暫存標識符，然后再利用會話標識數據的暫存標識符從Web系統獲得會話標識數據;無論哪種方式，都避免了通過瀏覽器的頁面內容直接傳輸、顯示明文形式的會話標識數據(或其條碼)。但這種方案也存在一些問題:一是，用戶要在瀏覽器輸入用戶在Web系統的帳戶名或用戶的一個身份標識，這給用戶帶來額外的麻煩;二是，若用戶在公共計算機上通過瀏覽器輸入用戶在Web系統的帳戶名，會造成用戶信息的泄露，給攻擊者留下破解帳戶口令密碼的線索，比如，通過帳戶名去猜測用戶的帳戶密碼，包括利用在其它系統非法獲得的相同或相似帳戶名的對應口令密碼去猜測用戶在要登錄的Web系統中的口令密碼(即所謂的撞庫)。
【發明內容】

[0008]本發明的目的是提出一種面向Web系統的登錄方法，以克服現有方案的不足。[〇〇〇9]本發明提出的技術方案如下:當用戶在計算機上使用瀏覽器訪問一個尚未登錄(logon)的Web系統時，Web系統為用戶瀏覽器與Web系統之間會話的會話標識數據生成一個會話標識數據的暫存標識符，然后一方面將用戶瀏覽器與Web系統之間會話的會話標識數據及會話標識數據的對應暫存標識符提交到移動登錄服務器暫存，另一方面將生成的會話標識數據的暫存標識符通過用戶瀏覽器以條碼(如二維碼)形式顯示；移動登錄服務器接收到Web系統提交的用戶瀏覽器與Web系統之間會話的會話標識數據及會話標識數據的對應暫存標識符后，將會話標識數據暫存在內存或數據庫中，暫存的會話標識數據用接收到的會話標識數據的暫存標識符標識；用戶使用運行有移動登錄助手的移動終端掃描瀏覽器上顯示的條碼;移動終端中的移動登錄助手從掃描的條碼中獲得用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符，然后連接移動登錄服務器，將獲得的會話標識數據的暫存標識符提交到移動登錄服務器；移動登錄服務器在確定接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符在內存或數據庫中有對應的會話標識數據后，通過移動登錄助手對用戶進行身份鑒別，在完成對用戶的身份鑒別并確定用戶具有登錄Web系統的權限后，移動登錄服務器依據接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符從內存或數據庫中獲得對應的會話標識數據，然后使用用戶在Web系統的帳戶名和口令或者證明用戶身份的安全令牌代用戶在Web系統完成登錄操作，在Web系統進行登錄操作的過程中，移動登錄服務器按Web系統約定的瀏覽器提交會話標識數據的方式將從內存或數據庫中獲得的會話標識數據包含在與Web系統交互的HTTP請求中；或者，移動登錄服務器在確定接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符在內存或數據庫中有對應的會話標識數據后，通過移動登錄助手對用戶進行身份鑒別，在完成對用戶的身份鑒別并確定用戶具有登錄Web系統的權限后，移動登錄服務器依據接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符從內存或數據庫中獲得對應的會話標識數據，將獲得的會話標識數據返回給移動登錄助手;移動登錄助手使用用戶身份憑證或證明用戶身份的安全令牌為用戶在Web系統完成登錄操作，在 Web系統進行登錄操作的過程中，移動登錄助手按Web系統約定的瀏覽器提交會話標識數據的方式將移動登錄服務器返回的會話標識數據包含在與Web系統交互的HTTP請求中；或者，移動登錄助手將獲得的會話標識數據的暫存標識符提交到移動登錄服務器的同時將用戶在Web系統或移動登錄服務器的帳戶名提交到移動登錄服務器;移動登錄服務器在確定接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符在內存或數據庫中有對應的會話標識數據后，進一步檢查確定移動登錄助手提交的帳戶名所對應的用戶在Web系統中是否對應一個有效的帳戶，若不是，則返回錯誤，若是，則通過用戶帳戶名獲得用戶的加密密鑰，使用用戶加密密鑰對從內存或數據庫中獲得的、與接收到的會話標識數據的暫存標識符對應的會話標識數據進行加密，然后將加密后的會話標識數據返回給移動登錄助手；移動登錄助手利用用戶的解密密鑰對接收到的加密的會話標識數據進行解密，獲得解密后的會話標識數據，之后移動登錄助使用用戶身份憑證或證明用戶身份的安全令牌為用戶在Web系統完成登錄操作，在Web系統進行登錄操作的過程中，移動登錄助手按Web系統約定的瀏覽器提交會話標識數據的方式將解密獲得的會話標識數據包含在與 Web系統交互的HTTP請求中；在移動登錄服務器使用用戶的帳戶名和口令或安全令牌代用戶在Web系統完成登錄操作后，或者，在移動登錄助手使用用戶身份憑證或安全令牌為用戶在Web系統完成登錄操作后，用戶瀏覽器與Web系統之間的會話自動被Web系統標志為已登錄狀態；所述Web系統是一個基于Web技術開發、提供(特定或預定)功能服務的應用系統或信息系統(S卩Web應用系統或信息系統)；所述會話標識數據是包含有Web系統與用戶瀏覽器之間會話的會話標識符(Sess1n ID)及其它會話相關信息的數據;所述其它會話相關信息是用于限定會話的信息；所述會話標識數據的暫存標識符是Web系統生成的用于對暫存在移動登錄服務器中的會話標識數據進行標識的字串；所述移動終端是一個具有數據網絡聯網能力并帶有攝像頭的便攜式計算裝置(如移動通信裝置、平板電腦、智能穿戴設備等)；所述移動登錄助手是在用戶的移動終端中安裝并運行的一個用于幫助用戶使用瀏覽器在計算機上完成登錄Web系統操作的程序；所述移動登錄服務器是幫助用戶通過移動終端在Web系統完成登錄操作的系統；所述身份憑證由用戶標識數據和私密數據組成;所述用戶標識數據是用戶在一個系統中的帳戶名，或者與用戶在一個系統中的帳戶名對應的、用于標識用戶身份的數據(如數字證書);所述私密數據是用于證明用戶就是身份憑證的擁有者的數據(如口令、數字證書的私鑰)；用戶在Web系統登錄所用的身份憑證是用戶在Web系統的身份憑證，用戶在移動登錄服務器進行身份鑒別所用的身份憑證是用戶在Web系統的身份憑證或者是用戶在移動登錄服務器的身份憑證；所述安全令牌是所述移動登錄服務器或一個身份服務系統(如Identity Provider)在完成對用戶的身份鑒別后為用戶簽發的一個證明用戶身份的電子信息，所述安全令牌具有時效性;所述身份服務系統是一個專門進行用戶在線身份鑒別的系統。
[0010]在以上所述登錄操作過程中，若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是用戶在Web系統的身份憑證，則移動登錄服務器能訪問Web 系統的用戶帳戶數據庫或者維護有Web系統的用戶帳戶數據的副本;移動登錄服務器通過用戶在Web系統的帳戶數據或自己維護的Web系統的用戶帳戶數據的副本對用戶進行身份鑒別，以及確定用戶是否有登錄Web系統的權限(如有帳戶且帳戶有效)；在以上所述登錄操作過程中，若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是用戶在移動登錄服務器的身份憑證，則移動登錄服務器維護有用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶之間的綁定或對應關系，并依據此綁定或對應關系確定用戶是否有登錄Web系統的權限(如有綁定則有權限)。
[0011]在以上所述登錄操作過程中，若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是用戶在Web系統的帳戶名和口令，且完成對用戶的身份鑒別后移動登錄服務器使用用戶在Web系統的帳戶名和口令代用戶在Web系統完成登錄操作， 則移動登錄服務器通過對用戶的身份鑒別獲得用戶在Web系統的帳戶名和口令，然后使用用戶在Web系統的帳戶名和口令代用戶在Web系統完成登錄操作；在以上所述登錄操作過程中，若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是用戶在移動登錄服務器的身份憑證，且完成對用戶的身份鑒別后移動登錄服務器使用用戶在Web系統的帳戶名和口令代用戶在Web系統完成登錄操作，則移動登錄服務器根據用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系從Web系統的用戶帳戶數據中獲得用戶登錄Web系統的帳戶名口令。
[0012]在以上所述登錄操作過程中，若移動登錄助手將獲得的會話標識數據的暫存標識符提交到移動登錄服務器的同時將用戶在Web系統的帳戶名提交到移動登錄服務器，且移動登錄服務器使用用戶帳戶名對應的用戶加密密鑰對返回給移動登錄助手的會話標識數據加密，則移動登錄服務器能訪問Web系統的用戶帳戶數據庫，或者移動登錄服務器維護有 Web系統的用戶帳戶數據的副本，移動登錄服務器通過用戶在Web系統的帳戶數據或維護的 Web系統的用戶帳戶數據的副本檢查確定移動登錄助手提交的帳戶名所對應的用戶在Web 系統中是否對應一個有效的帳戶，并使用用戶在Web系統的帳戶名所對應的用戶加密密鑰對從內存或數據庫中獲得的與會話標識數據的暫存標識符對應的會話標識數據進行加密；在以上所述登錄操作過程中，若移動登錄助手將獲得的會話標識數據的暫存標識符提交到移動登錄服務器的同時將用戶在移動登錄服務器的帳戶名提交到移動登錄服務器，移動登錄服務器使用用戶帳戶名對應的用戶加密密鑰對返回給移動登錄助手的會話標識數據加密，則移動登錄服務器維護有用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系，并依據此綁定或對應關系檢查確定移動登錄助手提交的帳戶名所對應的用戶在Web系統中是否對應一個有效的帳戶，并使用用戶在移動登錄服務器的帳戶名或對應的Web系統的帳戶名所對應的用戶加密密鑰對從內存或數據庫中獲得的、與會話標識數據的暫存標識符對應的會話標識數據進行加密。
[0013]所述用戶帳戶名所對應的加密密鑰是用戶帳戶數據庫(Web系統或移動登錄服務器的用戶帳戶數據庫)中帳戶名所對應的用戶帳戶中保存的用戶公鑰，或者由帳戶名所對應的用戶帳戶中保存的口令導出的對稱密鑰。
[0014]若存在多個Web系統，則用戶通過移動登錄助手在移動登錄服務器進行身份鑒別時，通過移動登錄助手選擇或輸入用戶使用瀏覽器要登錄的Web系統，或者Web系統通過用戶瀏覽器顯示的條碼中包含有用戶使用瀏覽器要登錄的Web系統信息(名稱或標識或URL)， 用戶移動終端中的移動登錄助手從條碼中獲得用戶使用瀏覽器要登錄的Web系統信息，并在連接移動登錄服務器后將用戶使用瀏覽器要登錄的Web系統的信息提交給移動登錄系統。
[0015]本發明產生的有益效果是:從以上描述可以看到，本發明在基于移動終端實現用戶在 Web系統的登錄的同時做到:一方面用戶瀏覽器與Web系統之間會話的會話標識數據未被以明文形式傳輸到用戶瀏覽器的頁面，另一方面用戶無需在瀏覽器輸入其在Web系統的帳戶名，因此，本發明的方法既保持了“一種基于移動終端的Web系統便捷登錄方法”(專利申請號:201510472645.X)中方案實施簡單的優點，又保持了“一種基于移動終端的Web系統安全登錄方法”(專利申請號:201510887444.6)中方案能避免會話標識數據被注入的腳本程序竊取的風險的優點，同時又避免了201510887444.6中用戶通過瀏覽器輸入帳戶名或身份標識所帶來的麻煩以及可能存在的潛在風險。【附圖說明】
[0016]無。【具體實施方式】
[0017]下面結合實施例對本發明作進一步的描述。
[0018]Web系統生成會話標識數據的暫存標識符的方法包括(但不限于):用一個隨機生成的字串或者包含隨機字串的字串作為會話標識數據的暫存標識符，或者用單向不可逆函數(如散列函數)對會話標識數據進行運算，然后用運算后的結果作為會話標識數據的暫存標識符;而移動登錄服務器將會話標識數據暫存在內存或數據庫中用會話標識數據的暫存標識符標識、以及移動登錄服務器依據暫存標識符從內存或數據庫中獲得會話標識數據的具體實施對相關領域的技術人員而言是非常簡單的，在此無需作進一步的說明。
[0019]對于移動登錄助手的開發，取決于其運行所在移動終端，它相當于移動終端(如移動通信終端、平板電腦)的一個應用程序(app)。若移動終端是Android系統，則可以采用 Android APP的開發技術，如Java開發;若移動終端是10S系統，則可以采用1S APP的開發技術，如〇bjective-C開發。
[0020]包含會話標識數據的暫存標識符的條碼可以采用二維碼。瀏覽器顯示的條碼可以由Web系統的服務端生成，也可以由瀏覽器的腳本程序生成。對于用移動終端掃描二維碼并從二維碼中獲取數據目前已是成熟的技術，在此不多贅述。
[0021]對于移動登錄服務器的開發，可以采用任何成熟的信息系統開發技術，如J2EE、 ASP.NET等。移動登錄助手與移動登錄服務器之間的交互采用HTTP協議。[〇〇22]下面結合實施例對本發明的具體實施作進一步的描述。[〇〇23] 實施例一Web系統采用帳戶名、口令方式進行用戶登錄鑒別，Web系統的帳戶數據庫中存有用戶的帳戶名、口令;移動登錄服務器能直接訪問Web系統的用戶帳戶數據庫；用戶通過移動登錄助手使用在Web系統中的帳戶名、口令在移動登錄服務器進行身份鑒別，而移動登錄服務器從Web系統的帳戶數據庫獲取用戶的帳戶名、口令，驗證用戶通過移動登錄助手提交的帳戶名、口令的有效性;驗證通過后移動登錄服務器使用獲得帳戶名、口令代用戶在Web系統進行登錄，并在代用戶進行登錄操作時按Web系統約定的瀏覽器提交會話標識數據的方式提交依據暫存標識符獲得的會話標識數據。[〇〇24] 實施例二Web系統使用安全令牌(如SAML安全斷言、Spnego安全令牌)進行登錄鑒別;移動登錄服務器作為一個簽發安全令牌的身份服務系統維護有自身的用戶帳戶數據，并維護有用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系；用戶通過移動登錄助手使用在移動登錄服務器的身份憑證在移動登錄服務器進行身份鑒別；身份鑒別完成后， 移動登錄服務器依據帳戶綁定或對應關系確定用戶具有訪問Web系統的權限，然后為用戶簽發訪問Web系統的安全令牌，并使用安全令牌代用戶在Web系統進行登錄，并在代用戶進行登錄操作時按Web系統約定的瀏覽器提交會話標識數據的方式提交依據暫存標識符獲得的會話標識數據。[〇〇25] 實施例三Web系統使用安全令牌(如SAML安全斷言、Spnego安全令牌)進行登錄鑒別;移動登錄服務器作為一個簽發安全令牌的身份服務系統維護有自身的用戶帳戶數據，并維護有用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系；用戶通過移動登錄助手使用在移動登錄服務器的身份憑證在移動登錄服務器完成身份鑒別后，移動登錄服務器依據帳戶綁定或對應關系確定用戶具有訪問Web系統的權限，然后移動登錄服務器為用戶簽發登錄Web系統的安全令牌，然后將安全令牌以及依據暫存標識符獲得會話標識數據返回給移動登錄助手；移動登錄助手利用移動登錄服務器返回的安全令牌為用戶在Web系統進行登錄，并在進行登錄操作時按Web系統約定的瀏覽器提交會話標識數據的方式提交移動登錄服務器返回的會話標識數據。
[0026]實施例四Web系統采用帳戶名、口令方式進行登錄鑒別，Web系統的帳戶數據庫中存有用戶的帳戶名、口令，移動登錄服務器能直接訪問Web系統的用戶帳號數據庫;移動登錄助手在將掃描獲得的會話標識數據的暫存標識符提交給移動登錄服務器的同時將(用戶輸入的)用戶在Web系統的帳戶名提交給移動登錄服務器;移動登錄服務器通過用戶在Web系統的帳戶名確定用戶在Web系統有一個有效帳戶，然后從Web系統中的帳戶名對應的用戶帳戶數據中獲得用戶的口令，用從口令導出的對稱密鑰對移動登錄助手提交的暫存標識符在內存或數據庫中的對應會話標識數據進行加密，然后將加密的會話標識數據返回給移動登錄助手，由移動登錄助手使用用戶的口令導出的對稱密鑰對加密后的會話標識數據進行解密，然后移動登錄助手使用用戶在Web系統的帳戶名、口令在Web系統進行登錄操作，并在進行登錄操作時按Web系統約定的瀏覽器提交會話標識數據的方式提交解密獲得的會話標識數據。 [〇〇27]實施例五Web系統采用公鑰(如數字證書)方式進行登錄鑒別，Web系統的帳戶數據庫中存有用戶的公鑰(如數字證書);移動登錄服務器維護有自身的用戶帳戶數據，并維護有用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系;移動登錄服務器能訪問Web 系統的用戶帳戶數據庫;移動登錄助手在將掃描獲得的會話標識數據的暫存標識符提交給移動登錄服務器的同時將(用戶輸入的)用戶在移動登錄服務器的帳戶名提交給移動登錄服務器;移動登錄服務器通過用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系確定用戶在Web系統中是否有個有效的帳戶，確認通過后移動登錄服務器從 Web系統的用戶帳戶數據中獲得用戶的公鑰(如數字證書)，然后用用戶的公鑰對移動登錄助手提交的暫存標識符在內存或數據庫中所對應的會話標識數據進行加密，然后將加密的會話標識數據返回給移動登錄助手;移動登錄助手使用用戶的私鑰對加密后的會話標識數據進行解密，然后使用用戶數字證書及私鑰在Web系統進行登錄操作，并在進行登錄操作時按Web系統約定的瀏覽器提交會話標識數據的方式提交解密獲得的會話標識數據。
[0028]其他未說明的具體技術實施，對于相關領域的技術人員而言是眾所周知，不言自明的。
【主權項】
1.一種面向Web系統的登錄方法，其特征是:當用戶在計算機上使用瀏覽器訪問一個尚未登錄的Web系統時，Web系統為用戶瀏覽器 與Web系統之間會話的會話標識數據生成一個會話標識數據的暫存標識符，然后一方面將 用戶瀏覽器與Web系統之間會話的會話標識數據及會話標識數據的對應暫存標識符提交到 移動登錄服務器暫存，另一方面將生成的會話標識數據的暫存標識符通過用戶瀏覽器以條 碼形式顯示；移動登錄服務器接收到Web系統提交的用戶瀏覽器與Web系統之間會話的會話標識數 據及會話標識數據的對應暫存標識符后，將會話標識數據暫存在內存或數據庫中，暫存的 會話標識數據用接收到的會話標識數據的暫存標識符標識；用戶使用運行有移動登錄助手的移動終端掃描瀏覽器上顯示的條碼;移動終端中的移 動登錄助手從掃描的條碼中獲得用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標 識符，然后連接移動登錄服務器，將獲得的會話標識數據的暫存標識符提交到移動登錄服 務器；移動登錄服務器在確定接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫 存標識符在內存或數據庫中有對應的會話標識數據后，通過移動登錄助手對用戶進行身份 鑒別，在完成對用戶的身份鑒別并確定用戶具有登錄Web系統的權限后，移動登錄服務器依 據接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符從內存或數據庫 中獲得對應的會話標識數據，然后使用用戶在Web系統的帳戶名和口令或者證明用戶身份 的安全令牌代用戶在Web系統完成登錄操作，在Web系統進行登錄操作的過程中，移動登錄 服務器按Web系統約定的瀏覽器提交會話標識數據的方式將從內存或數據庫中獲得的會話 標識數據包含在與Web系統交互的HTTP請求中；或者，移動登錄服務器在確定接收到的用戶瀏覽器與Web系統之間會話的會話標識數 據的暫存標識符在內存或數據庫中有對應的會話標識數據后，通過移動登錄助手對用戶進 行身份鑒別，在完成對用戶的身份鑒別并確定用戶具有登錄Web系統的權限后，移動登錄服 務器依據接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符從內存或 數據庫中獲得對應的會話標識數據，將獲得的會話標識數據返回給移動登錄助手;移動登 錄助手使用用戶身份憑證或證明用戶身份的安全令牌為用戶在Web系統完成登錄操作，在 Web系統進行登錄操作的過程中，移動登錄助手按Web系統約定的瀏覽器提交會話標識數據 的方式將移動登錄服務器返回的會話標識數據包含在與Web系統交互的HTTP請求中；或者，移動登錄助手將獲得的會話標識數據的暫存標識符提交到移動登錄服務器的同 時將用戶在Web系統或移動登錄服務器的帳戶名提交到移動登錄服務器;移動登錄服務器 在確定接收到的用戶瀏覽器與Web系統之間會話的會話標識數據的暫存標識符在內存或數 據庫中有對應的會話標識數據后，進一步檢查確定移動登錄助手提交的帳戶名所對應的用 戶在Web系統中是否對應一個有效的帳戶，若不是，則返回錯誤，若是，則通過用戶帳戶名獲 得用戶的加密密鑰，使用用戶加密密鑰對從內存或數據庫中獲得的、與接收到的會話標識 數據的暫存標識符對應的會話標識數據進行加密，然后將加密后的會話標識數據返回給移 動登錄助手；移動登錄助手利用用戶的解密密鑰對接收到的加密的會話標識數據進行解 密，獲得解密后的會話標識數據，之后移動登錄助手使用用戶身份憑證或證明用戶身份的 安全令牌為用戶在Web系統完成登錄操作，在Web系統進行登錄操作的過程中，移動登錄助手按Web系統約定的瀏覽器提交會話標識數據的方式將解密獲得的會話標識數據包含在與 Web系統交互的HTTP請求中；在移動登錄服務器使用用戶的帳戶名和口令或安全令牌代用戶在Web系統完成登錄操 作后，或者，在移動登錄助手使用用戶身份憑證或安全令牌為用戶在Web系統完成登錄操作 后，用戶瀏覽器與Web系統之間的會話自動被Web系統標志為已登錄狀態；所述Web系統是一個基于Web技術開發、提供功能服務的應用系統或信息系統；所述會話標識數據是包含有Web系統與用戶瀏覽器之間會話的會話標識符及其它會話 相關信息的數據;所述其它會話相關信息是用于限定會話的信息；所述會話標識數據的暫存標識符是Web系統生成的用于對暫存在移動登錄服務器中的 會話標識數據進行標識的字串；所述移動終端是一個具有數據網絡聯網能力并帶有攝像頭的便攜式計算裝置；所述移動登錄助手是在用戶的移動終端中安裝并運行的一個用于幫助用戶使用瀏覽 器在計算機上完成登錄Web系統操作的程序；所述移動登錄服務器是幫助用戶通過移動終端在Web系統完成登錄操作的系統；所述身份憑證由用戶標識數據和私密數據組成;所述用戶標識數據是用戶在一個系統 中的帳戶名，或者與用戶在一個系統中的帳戶名對應的、用于標識用戶身份的數據;所述私 密數據是用于證明用戶就是身份憑證的擁有者的數據；用戶在Web系統登錄所用的身份憑 證是用戶在Web系統的身份憑證，用戶在移動登錄服務器進行身份鑒別所用的身份憑證是 用戶在Web系統的身份憑證或者是用戶在移動登錄服務器的身份憑證；所述安全令牌是所述移動登錄服務器或一個身份服務系統在完成對用戶的身份鑒別 后為用戶簽發的一個證明用戶身份的電子信息，所述安全令牌具有時效性;所述身份服務 系統是一個專門進行用戶在線身份鑒別的系統。2.根據權利要求1所述的面向Web系統的登錄方法，其特征是:若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是 用戶在Web系統的身份憑證，則移動登錄服務器能訪問Web系統的用戶帳戶數據庫或者維護 有Web系統的用戶帳戶數據的副本;移動登錄服務器通過用戶在Web系統的帳戶數據或自己 維護的Web系統的用戶帳戶數據的副本對用戶進行身份鑒別，以及確定用戶是否有登錄Web 系統的權限；若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是 用戶在移動登錄服務器的身份憑證，則移動登錄服務器維護有用戶在移動登錄服務器的帳 戶與用戶在Web系統的帳戶之間的綁定或對應關系，并依據此綁定或對應關系確定用戶是 否有登錄Web系統的權限。3.根據權利要求2所述的面向Web系統的登錄方法，其特征是:若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是 用戶在Web系統的帳戶名和口令，且完成對用戶的身份鑒別后移動登錄服務器使用用戶在 Web系統的帳戶名和口令代用戶在Web系統完成登錄操作，則移動登錄服務器通過對用戶的 身份鑒別獲得用戶在Web系統的帳戶名和口令，然后使用用戶在Web系統的帳戶名和口令代 用戶在Web系統完成登錄操作；若移動登錄服務器通過移動登錄助手對用戶進行身份鑒別時用戶使用的身份憑證是用戶在移動登錄服務器的身份憑證，且完成對用戶的身份鑒別后移動登錄服務器使用用戶 在Web系統的帳戶名和口令代用戶在Web系統完成登錄操作，則移動登錄服務器根據用戶在 移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系從Web系統的用戶帳戶 數據中獲得用戶登錄Web系統的帳戶名口令。4.根據權利要求1所述的面向Web系統的登錄方法，其特征是:若移動登錄助手將獲得的會話標識數據的暫存標識符提交到移動登錄服務器的同時 將用戶在Web系統的帳戶名提交到移動登錄服務器，且移動登錄服務器使用用戶帳戶名對 應的用戶加密密鑰對返回給移動登錄助手的會話標識數據加密，則移動登錄服務器能訪問 Web系統的用戶帳戶數據庫，或者移動登錄服務器維護有Web系統的用戶帳戶數據的副本， 移動登錄服務器通過用戶在Web系統的帳戶數據或維護的Web系統的用戶帳戶數據的副本 檢查確定移動登錄助手提交的帳戶名所對應的用戶在Web系統中是否對應一個有效的帳 戶，并使用用戶在Web系統的帳戶名所對應的用戶加密密鑰對從內存或數據庫中獲得的與 會話標識數據的暫存標識符對應的會話標識數據進行加密；若移動登錄助手將獲得的會話標識數據的暫存標識符提交到移動登錄服務器的同時 將用戶在移動登錄服務器的帳戶名提交到移動登錄服務器，移動登錄服務器使用用戶帳戶 名對應的用戶加密密鑰對返回給移動登錄助手的會話標識數據加密，則移動登錄服務器維 護有用戶在移動登錄服務器的帳戶與用戶在Web系統的帳戶的綁定或對應關系，并依據此 綁定或對應關系檢查確定移動登錄助手提交的帳戶名所對應的用戶在Web系統中是否對應 一個有效的帳戶，并使用用戶在移動登錄服務器的帳戶名或對應的Web系統的帳戶名所對 應的用戶加密密鑰對從內存或數據庫中獲得的、與會話標識數據的暫存標識符對應的會話 標識數據進行加密。5.根據權利要求4所述的面向Web系統的登錄方法，其特征是:所述用戶帳戶名所對應的加密密鑰是用戶帳戶數據庫中帳戶名所對應的用戶帳戶中 保存的用戶公鑰，或者由帳戶名所對應的用戶帳戶中保存的口令導出的對稱密鑰。6.根據權利要求1所述的面向Web系統的登錄方法，其特征是:若存在多個Web系統，則用戶通過移動登錄助手在移動登錄服務器進行身份鑒別時，通 過移動登錄助手選擇或輸入用戶使用瀏覽器要登錄的Web系統，或者Web系統通過用戶瀏覽 器顯示的條碼中包含有用戶使用瀏覽器要登錄的Web系統信息，用戶移動終端中的移動登 錄助手從條碼中獲得用戶使用瀏覽器要登錄的Web系統信息，并在連接移動登錄服務器后 將用戶使用瀏覽器要登錄的Web系統的信息提交給移動登錄系統。
【文檔編號】H04L29/08GK105978994SQ201610455487
【公開日】2016年9月28日
【申請日】2016年6月22日
【發明人】龍毅宏
【申請人】武漢理工大學