技術(shù)特征:1.一種基于移動終端的身份鑒別方法,其特征是:
當(dāng)用戶使用信息系統(tǒng)客戶端在一個(gè)信息系統(tǒng)進(jìn)行登錄或身份鑒別時(shí)��,用戶通過信息系統(tǒng)客戶端輸入用戶在信息系統(tǒng)的帳戶名�,并將帳戶名提交到信息系統(tǒng);
在用戶通過信息系統(tǒng)客戶端將帳戶名提交到信息系統(tǒng)之前或之后���,用戶使用移動終端中的登錄助手以及用戶在信息系統(tǒng)的身份憑證在信息系統(tǒng)完成登錄或身份鑒別操作��;
在用戶通過信息系統(tǒng)客戶端將用戶在信息系統(tǒng)的帳戶名提交到信息系統(tǒng)以及使用登錄助手在信息系統(tǒng)完成登錄或身份鑒別操作后�����,信息系統(tǒng)利用用戶通過信息系統(tǒng)客戶端提交的帳戶名和用戶使用登錄助手進(jìn)行登錄或身份鑒別操作時(shí)的身份憑證,將信息系統(tǒng)與用戶使用的信息系統(tǒng)客戶之間的會話同信息系統(tǒng)與用戶使用的登錄助手之間的會話相關(guān)聯(lián)����,并向登錄助手發(fā)送請求允許用戶在信息系統(tǒng)進(jìn)行登錄或通過身份鑒別的請求,或向登錄助手發(fā)送用戶請求在信息系統(tǒng)進(jìn)行登錄或身份鑒別的提示����;
接收到請求允許用戶在信息系統(tǒng)進(jìn)行登錄或身份鑒別的請求,或接收到用戶請求在信息系統(tǒng)進(jìn)行登錄或身份鑒別的提示后�����,登錄助手自動或者在用戶點(diǎn)擊確認(rèn)后通過信息系統(tǒng)向信息系統(tǒng)客戶端發(fā)送信息,或者登錄助手提示用戶在登錄助手的人機(jī)交互界面輸入信息��,并將用戶輸入的信息通過信息系統(tǒng)向信息系統(tǒng)客戶端發(fā)送���;
登錄助手通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端是否接收到了登錄助手所發(fā)送的信息���;
若通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端接收到了登錄助手所發(fā)送的信息,則登錄助手向信息系統(tǒng)確認(rèn)允許使用信息系統(tǒng)客戶端的用戶在信息系統(tǒng)完成登錄或身份鑒別操作����,之后,信息系統(tǒng)允許使用信息系統(tǒng)客戶端的用戶在信息系統(tǒng)登錄或通過身份鑒別��;
所述信息系統(tǒng)是提供應(yīng)用功能的應(yīng)用系統(tǒng)或?qū)τ脩暨M(jìn)行在線身份鑒別的系統(tǒng)����;所述信息系統(tǒng)客戶端是信息系統(tǒng)在用戶端計(jì)算機(jī)中的程序,也即客戶端程序����;
所述登錄助手是一個(gè)運(yùn)行在用戶的移動終端中的、輔助用戶使用信息系統(tǒng)客戶端在信息系統(tǒng)完成登錄或身份鑒別操作的程序��;
所述移動終端是一個(gè)具有數(shù)據(jù)通信能力的便攜式電子裝置��;
所述用戶身份憑證是證明用戶在信息系統(tǒng)中身份的電子信息,包括身份標(biāo)識及證明用戶是身份標(biāo)識擁有者的私密數(shù)據(jù)���;用戶在信息系統(tǒng)的身份憑證與用戶在信息系統(tǒng)的帳戶名存在對應(yīng)關(guān)系����。
2.根據(jù)權(quán)利要求1所述的基于移動終端的身份鑒別方法���,其特征是:
若通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端沒有接收到登錄助手所發(fā)送的信息�,則登錄助手要求信息系統(tǒng)拒絕當(dāng)前使用信息系統(tǒng)客戶端的用戶在信息系統(tǒng)進(jìn)行的登錄或身份鑒別操作���,或者繼續(xù)通過信息系統(tǒng)向信息系統(tǒng)客戶端發(fā)送信息���,并繼續(xù)通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端是否接收到了登錄助手所發(fā)送的信息����,直到確定信息系統(tǒng)客戶端接收到了登錄助手所發(fā)送的信息,或者達(dá)到最大嘗試次數(shù)后�����,登錄助手要求信息系統(tǒng)拒絕當(dāng)前使用信息系統(tǒng)客戶端的用戶在信息系統(tǒng)進(jìn)行的登錄或身份鑒別操作����。
3.根據(jù)權(quán)利要求1所述的基于移動終端的身份鑒別方法����,其特征是:
登錄助手通過信息系統(tǒng)向信息系統(tǒng)客戶端發(fā)送信息����,并通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端是否接收到了登錄助手所發(fā)送的信息的一種方案是:
登錄助手生成一個(gè)展示信息或從預(yù)先生成的展示信息中選擇一個(gè)展示信息,然后一方面將展示信息提交到信息系統(tǒng)����,另一方面將展示信息通過登錄助手的人機(jī)交互界面在移動終端上顯示;
信息系統(tǒng)將接收到的展示信息返回到用戶使用的信息系統(tǒng)客戶端顯示����;
用戶通過登錄助手的人機(jī)交互界面確認(rèn)信息系統(tǒng)客戶端上顯示的展示信息與移動終端上顯示的展示信息是否一致,或者信息系統(tǒng)客戶端是否有展示信息����;
若用戶確認(rèn)二者一致,則登錄助手確定信息系統(tǒng)客戶端接收到了登錄助手所發(fā)送的信息���;若用戶確認(rèn)二者不一致��,或者用戶確認(rèn)信息系統(tǒng)客戶端沒有顯示展現(xiàn)信息���,則登錄助手確定信息系統(tǒng)客戶端沒有接收到登錄助手所發(fā)送的信息�。
4.根據(jù)權(quán)利要求1所述的基于移動終端的身份鑒別方法�,其特征是:
登錄助手通過信息系統(tǒng)向信息系統(tǒng)客戶端發(fā)送信息,并通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端是否接收到了登錄助手所發(fā)送的信息的一種方案是:
登錄助手生成一個(gè)展示信息或從預(yù)先生成的展示信息中選擇一個(gè)展示信息�����,然后一方面將展示信息提交到信息系統(tǒng)��,另一方面將包含登錄助手提交給信息系統(tǒng)的展示信息的一組展示信息通過登錄助手的人機(jī)交互界面在移動終端上顯示�;
信息系統(tǒng)將接收到的展示信息返回到用戶使用的信息系統(tǒng)客戶端顯示;
用戶在登錄助手的人機(jī)交互界面顯示的一組展示信息中選擇與信息系統(tǒng)客戶端顯示的展示信息一致的展示信息并確認(rèn)���;
若用戶選擇并確認(rèn)的展示信息同登錄助手之前提交到信息系統(tǒng)的展示信息一致����,則登錄助手確定信息系統(tǒng)客戶端接收到了登錄助手所發(fā)送的信息��;若用戶選擇并確認(rèn)的展示信息同登錄助手之前提交到信息系統(tǒng)的展示信息不一致��,或者用戶確認(rèn)無法在在登錄助手的人機(jī)交互界面顯示的一組展示信息中選擇與信息系統(tǒng)客戶端顯示的展示信息一致的展示信息�����,或者用戶確認(rèn)信息系統(tǒng)客戶端沒有顯示展示信息����,則登錄助手確定信息系統(tǒng)客戶端沒有接收到登錄助手所發(fā)送的信息。
5.根據(jù)權(quán)利要求1所述的基于移動終端的身份鑒別方法�,其特征是:
登錄助手提示用戶在登錄助手的人機(jī)交互界面輸入信息,并將用戶輸入的信息通過信息系統(tǒng)向信息系統(tǒng)客戶端發(fā)送��,登錄助手通過用戶的確認(rèn)操作確定信息系統(tǒng)客戶端是否接收到了登錄助手所發(fā)送的信息的一種方案如下:
登錄助手提示用戶在登錄助手的人機(jī)交互界面輸入信息并提示用戶查看���、確認(rèn)信息系統(tǒng)客戶端是否顯示了用戶在移動終端輸入的信息�����;
用戶通過登錄助手的人機(jī)交互界面在移動終端隨機(jī)輸入信息�;
登錄助手將用戶輸入的信息發(fā)送到信息系統(tǒng)����;
信息系統(tǒng)將接收到的信息返回到用戶使用的信息系統(tǒng)客戶端顯示;
用戶查看信息系統(tǒng)客戶端是否顯示了用戶在移動終端輸入的信息���,并通過登錄助手的人機(jī)交互界面進(jìn)行確認(rèn)�;
若用戶通過登錄助手的人機(jī)交互界面確認(rèn)信息系統(tǒng)客戶端顯示了用戶在移動終端輸入的信息���,則登錄助手確定信息系統(tǒng)客戶端接收到了登錄助手所發(fā)送的信息���;若用戶通過登錄助手的人機(jī)交互界面確認(rèn)信息系統(tǒng)客戶端沒有顯示用戶在移動終端輸入的信息��,或者顯示的信息不正確�,則登錄助手確定信息系統(tǒng)客戶端沒有接收到登錄助手所發(fā)送的信息����。
6.根據(jù)權(quán)利要求1所述的基于移動終端的身份鑒別方法,其特征是:針對拒絕服務(wù)攻擊的一種防范措施如下:
在用戶使用移動終端中的登錄助手以及用戶在信息系統(tǒng)的身份憑證在信息系統(tǒng)進(jìn)行登錄或身份鑒別操作時(shí)�����,或者在信息系統(tǒng)完成登錄或身份鑒別操作后����,登錄助手生成一個(gè)可顯示的隨機(jī)字串,然后一方面將隨機(jī)字串發(fā)送給信息系統(tǒng)����,一方面通過登錄助手的人機(jī)界面向用戶顯示;
用戶在通過信息系統(tǒng)客戶端向信息系統(tǒng)提交帳戶名之時(shí)或之前或之后����,將登錄助手的人機(jī)界面顯示的隨機(jī)字串輸入到信息系統(tǒng)客戶端并提交到信息系統(tǒng);
信息系統(tǒng)通過信息系統(tǒng)客戶端提交的帳戶名�����、隨機(jī)字串以及登錄助手使用的身份憑證����、提交的隨機(jī)字串,將信息系統(tǒng)與用戶使用的信息系統(tǒng)客戶之間的會話同信息系統(tǒng)與用戶使用的登錄助手之間的會話相關(guān)聯(lián)��。
7.一種使用權(quán)利要求1所述的身份鑒別方法的身份鑒別系統(tǒng)��,其特征是:
所述身份鑒別系統(tǒng)包括身份鑒別服務(wù)器����、運(yùn)行在移動終端中的登錄助手,其中�,身份鑒別服務(wù)器是所述身份鑒別方法中對用戶進(jìn)行在線身份鑒別的系統(tǒng);身份鑒別服務(wù)器面向應(yīng)用系統(tǒng)提供用戶身份鑒別功能�;身份鑒別服務(wù)器的客戶端是利用所述身份鑒別服務(wù)器對用戶進(jìn)行身份鑒別的應(yīng)用系統(tǒng)的客戶端程序,即應(yīng)用系統(tǒng)客戶端就是身份鑒別服務(wù)器的客戶端�����,或者是一個(gè)在用戶計(jì)算機(jī)中被應(yīng)用系統(tǒng)客戶端調(diào)用、用于在身份鑒別服務(wù)器對用戶進(jìn)行身份鑒別的程序��,對于前者�����,身份鑒別服務(wù)器的客戶端即對應(yīng)所述身份鑒別方法中的信息系統(tǒng)客戶端��,對于后者��,應(yīng)用系統(tǒng)客戶端和身份鑒別服務(wù)器的客戶端合并構(gòu)成了所述身份鑒別方法中的信息系統(tǒng)客戶端�����;若身份鑒別服務(wù)器的客戶端是一個(gè)被應(yīng)用系統(tǒng)客戶端調(diào)用���、在身份鑒別服務(wù)器對用戶進(jìn)行身份鑒別的程序����,則所述身份鑒別系統(tǒng)還包括身份鑒別服務(wù)器的客戶端����;
當(dāng)一個(gè)用戶使用一個(gè)應(yīng)用系統(tǒng)客戶端在應(yīng)用系統(tǒng)進(jìn)行登錄時(shí),用戶先使用應(yīng)用系統(tǒng)客戶端以及運(yùn)行在移動終端中的所述登錄助手按所述身份鑒別方法在身份鑒別服務(wù)器完成身份鑒別操作��;
當(dāng)用戶按所述身份鑒別方法在身份鑒別服務(wù)器完成身份鑒別操作后,身份鑒別服務(wù)器向用戶的應(yīng)用系統(tǒng)客戶端返回一個(gè)證明用戶身份的安全令牌�;用戶的應(yīng)用系統(tǒng)客戶端利用返回的安全令牌在應(yīng)用系統(tǒng)完成登錄操作;
若應(yīng)用系統(tǒng)客戶端是通過調(diào)用身份鑒別服務(wù)器的客戶端在身份鑒別服務(wù)器完成對用戶的身份鑒別��,則應(yīng)用系統(tǒng)客戶端通過身份鑒別服務(wù)器的客戶端提交用戶的帳戶名�����、獲得登錄助手發(fā)送的信息以及身份鑒別服務(wù)器返回的安全令牌��。