著录项信息
专利名称 | 一种基于移动终端的应用登录系统和方法 |
申请号 | CN201410144378.9 | 申请日期 | 2014-04-11 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2014-06-25 | 公开/公告号 | CN103888265A |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L9/32 | IPC分类号 | H;0;4;L;9;/;3;2;;;H;0;4;B;5;/;0;0;;;H;0;4;W;1;2;/;0;6查看分类表>
|
申请人 | 上海博路信息技术有限公司 | 申请人地址 | 上海市浦东新区沪南路2688弄77号601室
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 上海博路信息技术有限公司 | 当前权利人 | 上海博路信息技术有限公司 |
发明人 | 顾健 |
代理机构 | 暂无 | 代理人 | 暂无 |
摘要
本发明公开了一种基于移动终端的登录系统和方法,包含电脑认证鉴权服务模块和应用,终端认证鉴权服务模块,系统认证鉴权服务等。用户电脑与移动终端通过短距无线技术互相扫描发现并根据认证模式进行认证,用户登录应用时,应用请求系统同时向移动终端发起登录请求,系统接收到用户的请求后在系统端等待对终端的认证和鉴权结果,终端接收到用户的请求后根据安全设置可选地验证用户身份后将可以认证终端身份的数据以及登录请求信息发给系统,系统对手机发送的数据进行对终端的认证和鉴权,如通过,则允许用户在访问设备上的应用登录。通过设备发现和认证并基于移动终端鉴权和认证,为用户提供了一种方便的自动登录业务体验。
1.一种基于移动终端的应用登录方法,其特征在于,该方法基于如下应用登录系统,该系统包含后台系统、移动终端和访问设备三个组成部分,所述方法包含如下步骤:
1)用户在后台系统注册,绑定用户身份和移动终端,设置访问设备、移动终端、后台系统相互之间的验证规则;
2)用户访问设备与用户移动终端通过短距无线技术进行互相扫描发现并根据用户选定的认证模式,进行设备之间的单向或双向认证;
3)用户在访问设备上登录应用时选择移动终端验证模式,应用请求系统进行登录的同时向发现和验证过的移动终端发起登录请求;
4)后台系统接收到用户的登录请求后,在后台系统计算认证鉴权数据和查询和比对移动终端上传的认证和鉴权数据;
5)移动终端接收到用户的验证请求,移动终端根据安全设置验证用户身份后根据与后台系统约定的认证和鉴权算法,将可以认证的移动终端身份的数据以及登录请求信息发给后台系统进行认证和鉴权;6)后台系统对移动终端发送的数据进行对终端的认证和鉴权,如通过,则允许用户在访问设备上的应用登录。
2.如权利要求1所述的方法,用户在后台系统注册,绑定用户身份和移动终端,设置访问设备、移动终端、后台系统之间的验证规则,其特征在于,用户在后台系统进行注册后获得后台系统的用户身份和对应的访问权限,并使用获得的用户访问身份信息在终端上登录系统,终端客户端采集终端特征数据,同步到后台系统,获得后台系统分配的验证计算所需的各种数据,后台系统绑定用户和移动终端,在绑定成功后,用户设置访问设备和移动终端的设备之间的验证规则。
3.如权利要求1所述的方法,用户访问设备与用户移动终端通过短距无线技术进行互相扫描发现并根据用户设定的验证规则,进行设备之间的单向或双向认证,其特征在于,设备通过短距无线进行相互之间的扫描,发现设备,并根据用户设定设备之间的验证规则,包含设备间验证模式,包含单向或双向设备特征验证、口令验证,通过约定的验证算法来验证发现的设备是否可信,验证算法模块作为可升级的软件模块存在于后台系统、移动终端和访问设备上。
4.如权利要求1所述的方法,用户在访问设备上登录应用时选择移动终端验证模式,应用请求系统进行登录的同时向发现和验证过的移动终端发起登录请求,其特征在于,用户打开应用请求登录系统,在用户选择通过移动终端验证登录的情况下,应用向系统发出登录请求的同时向已经发现和验证过的存在于周边的移动终端设备发出登录验证请求,请求验证过的移动终端进行应用登录验证,请求消息中包含了用户的登录请求信息。
5.如权利要求1所述的方法,后台系统接收到用户的登录请求后,在后台系统端计算认证鉴权数据和查询和比对移动终端上传的认证鉴权数据,其特征在于,后台系统接收到应用的登录请求,根据用户登录请求的信息,在后台系统计算认证和鉴权计算,并查询当前用户的登录请求会话对应的绑定的移动终端认证和鉴权计算结果信息,与后台系统端的计算结果进行比对,判断是否为有效的移动终端发出的有效请求,如为有效的移动终端且认证鉴权计算结果一致则认为移动终端发出的请求有效,允许用户在访问设备登录,如等待超时则判断本次用户登录请求失效并回送错误信息到访问设备。
6.如权利要求1所述的方法,移动终端接收到用户的验证请求,移动终端根据安全设置验证用户身份后,根据与后台系统约定的认证和鉴权算法,将可以认证移动终端身份的数据以及登录请求信息发给后台系统进行鉴权和认证,其特征在于,移动终端接收到用户的登录验证请求信息,移动终端根据用户的本地安全设置,能够通过终端本身的输入,移动终端输入包含指纹识别,手势,密码以及移动终端支持的方式验证用户身份,同时,还能够无需用户介入直接认可该验证过的终端的请求信息,根据与后台系统约定的认证和鉴权算法和后台系统分配的计算参数进行认证和鉴权的计算,将移动终端的认证和鉴权计算算法计算的数据以及登录会话信息发给系统进行认证和鉴权,后台系统对移动终端发送的数据进行鉴权和认证,如通过,则允许用户在应用登录,否则拒绝本次登录。
7.一种执行如权利要求1所述方法的应用登陆系统,该系统包含了后台系统、移动终端和访问设备三个组成部分,其特征在于,
后台系统主要包含:
注册和绑定模块,认证和鉴权模块,数据模块,更新模块,其中,注册和绑定模块负责用户的注册和用户终端与用户身份的绑定;
认证和鉴权模块负责用户身份和终端的认证和鉴权;
数据模块负责保存用户数据和业务数据;
更新模块负责后台系统,移动终端和访问设备端对应的软件更新和升级;移动终端主要包含:
注册和绑定模块,扫描和发现模块,验证模块,认证和鉴权模块,通讯模块,更新模块,其中:
注册和绑定模块负责注册终端和用户信息到后台系统,后台系统进行绑定;扫描和发现模块负责根据短距无线协议,包含蓝牙、WIFI-DIRECT、NFC短距无线技术,扫描和发现用户登录设备,验证模块负责根据用户设定的设备间验证规则和验证算法对附近的其他设备,验证是否为可信的设备;
验证模块负责根据验证算法验证发现的周边的设备是否为用户注册和指定的设备;
认证和鉴权模块负责根据用户的访问信息和终端计算的认证和鉴权数据对用户和设备进行认证和鉴权;
通讯模块负责与验证过的设备进行通讯和数据的双向传输;
更新模块负责与后台系统进行交互,升级和更新终端侧的软件;
访问设备包含:应用登录模块,扫描和发现模块,验证模块,通讯模块,更新模块;
其中,登录模块负责发起对后台系统的登录请求和终端的登录验证请求,扫描和发现模块负责扫描访问设备周边的移动终端,移动终端能够在访问设备周边被扫描到,验证模块负责根据验证算法验证发现的周边的移动终端是否为用户注册和绑定的终端设备,通讯模块负责与经过验证的终端进行通讯进行数据的双向传输,更新模块负责与后台系统进行交互,升级和更新访问设备侧的软件。
8.如权利要求7所述的系统,其特征在于,各个组成部分包含的认证和鉴权模块,对用户和移动终端进行认证和鉴权,作为应用登陆系统各个组成部分的一个可升级的模块存在,其具体算法可通过后台系统、移动终端和访问设备各个组成部分的更新模块进行算法和功能的升级和替换,而不局限于特定的算法。
一种基于移动终端的应用登录系统和方法\n技术领域\n[0001] 本发明涉及互联网和终端技术领域,特别是指一种基于移动终端的应用登录系统和方法。\n背景技术\n[0002] 随着互联网技术和终端软件技术的发展,特别是互联网和终端技术的发展,为一种基于移动终端的应用登录系统和方法提供了可行性。\n[0003] 用户在电脑等设备上使用软件时,经常需要进行登录,需要用户输入用户名、密码甚至验证码等输入,步骤繁琐,需要用户记忆大量的登录信息,即用户名和密码,且存在用户名密码数据频繁在网络上传输,在传输过程中存在安全的隐患,因为网络上传输的数据在传输的任何一个节点上都可能被窃听和分析,或在访问设备如电脑上被木马等恶意软件盗窃密码的可能性,用户需要投入较大的精力维护不同软件的登录信息,用户体验需要得到提高,需要我们找出一个既保证安全又能提高登录效率的方法。\n[0004] 随着移动终端的日益普及以及智能终端的占有率大规模提高,智能终端成为人们日常生活中不可或缺的用品,智能终端的功能日益强大,扩展性也和传统的电脑等设备慢慢不相上下并在很多情况下更为强大,如移动终端上的触摸屏,可以提供手势,文字的输入,或者指纹识别或终端的动作感应,这些功能都能集成在移动终端上。\n[0005] 同时,短距无线技术的发展,包含蓝牙,WIFI-DIRECT,NFC等技术都日益成熟并逐渐普及到移动终端上和电脑设备上,基于短距无线技术,我们可以在一个较小的距离之内如几十米到几厘米内的范围,扫描和发现附近的设备并进行数据的交互。\n[0006] 因此,基于移动终端的私密性以及便携性,我们考虑将用户的移动终端作为认证和鉴权用户的一种机制,或者说是用户在系统的钥匙,用户在设备距离之内无需输入登录信息或在移动终端上简单地识别用户的身份后,系统识别和验证用户的移动终端并基于移动终端的可信度赋予用户在访问设备如电脑上的对应的访问权限。\n[0007] 有鉴于此,本发明的目的在于提出一种简单易行,结合短距无线技术和软件技术的一种基于移动终端的应用登录系统和方法。\n发明内容\n[0008] 从上面所述可以看出:\n[0009] 系统包含后台系统、移动终端和访问设备三个组成部分,所述方法包含如下步骤:\n[0010] 1)用户在系统注册,绑定用户身份和移动终端,设置访问设备、移动终端、系统相互之间的验证规则;\n[0011] 2)用户访问设备与用户移动终端通过短距无线技术进行互相扫描发现并根据用户选定的认证模式,进行设备之间的单向或双向认证;\n[0012] 3)用户在访问设备上登录应用时选择移动终端验证模式,应用请求系统进行登录的同时向发现和验证过的移动终端发起登录请求;\n[0013] 4)后台系统接收到用户的登录请求后,在后台系统计算认证鉴权数据和查询和比对移动终端上传的认证和鉴权数据;\n[0014] 5)移动终端接收到用户的验证请求,移动终端根据安全设置验证用户身份后根据与系统约定的认证和鉴权算法,将可以认证的移动终端身份的数据以及登录请求信息发给系统进行认证和鉴权;\n[0015] 6)后台系统对移动终端发送的数据进行对终端的认证和鉴权,如通过,则允许用户在访问设备上的应用登录。\n[0016] 进一步的,通过所提供的一种基于移动终端的应用登录系统和方法为一种基于终端的应用登录业务的发展提供有力保障,满足用户各方要求,提升用户友好体验。\n[0017] 为实现上述目的,本发明的一个方面提供了一种基于移动终端的应用登录系统和方法,该系统包括:\n[0018] 后台系统主要包含:\n[0019] 注册和绑定模块,认证和鉴权模块,数据模块,更新模块,其中,注册和绑定模块负责用户的注册和用户终端与用户身份的绑定;\n[0020] 系统认证和鉴权模块负责用户身份和终端的认证和鉴权;\n[0021] 数据模块负责保存用户数据和业务数据;\n[0022] 更新模块负责系统,终端和访问设备端对应的软件更新和升级;\n[0023] 移动终端主要包含:\n[0024] 注册和绑定模块,扫描和发现模块,验证模块,认证和鉴权模块,通讯模块,更新模块,其中:\n[0025] 注册和绑定模块负责注册终端和用户信息到系统,系统进行绑定;\n[0026] 扫描和发现模块负责根据短距无线协议,包含蓝牙、WIFI-DIRECT、NFC短距无线技术,扫描和发现用户登录设备,验证模块负责根据用户设定的设备间验证规则和验证算法对附近的其他设备,验证是否为可信的设备;\n[0027] 验证模块负责根据验证算法验证发现的周边的设备是否为用户注册和指定的设备;认证鉴权模块负责根据用户的访问信息和终端计算的认证和鉴权数据,对用户和设备进行认证和鉴权;\n[0028] 通讯模块负责与验证过的设备进行通讯和数据的双向传输;\n[0029] 更新模块负责与系统进行交互,升级和更新终端侧的软件;\n[0030] 访问设备包含:应用登录模块,扫描和发现模块,验证模块,通讯模块,更新模块;\n[0031] 其中,登录模块负责发起对系统的登录请求和终端的登录验证请求,扫描和发现模块负责扫描访问设备周边的移动终端,移动终端能够在访问设备周边被扫描到,验证模块负责根据验证算法验证发现的周边的移动终端是否为用户注册和绑定的终端设备,通讯模块负责与经过验证的终端进行通讯进行数据的双向传输,更新模块负责与系统进行交互,升级和更新访问设备侧的软件。\n[0032] 本发明提供的一种基于移动终端的应用登录系统和方法的一个实施例中,该方法还包括:\n[0033] 用户在系统进行注册后获得系统的用户身份和对应的访问权限,并使用获得的用户访问身份信息在终端上登录系统,终端客户端采集终端特征数据,同步到系统,获得系统分配的验证计算所需的各种数据,系统绑定用户和移动终端,在绑定成功后,用户设置访问设备和移动终端的设备之间的验证规则。\n[0034] 设备通过短距无线进行相互之间的扫描,发现设备,并根据用户设定设备之间的验证规则,包含设备间验证模式,包含单向或双向设备特征验证、口令验证,通过约定的验证算法来验证发现的设备是否可信,验证算法模块作为可升级的软件模块存在于系统、终端和访问设备上。\n[0035] 用户打开应用请求登录系统,在用户选择通过移动终端验证登录的情况下,应用向系统发出登录请求的同时向已经发现和验证过的存在于周边的移动终端设备发出登录验证请求,请求验证过的移动终端进行应用登录验证,请求消息中包含了用户的登录请求信息。\n[0036] 系统接收到应用的登录请求,根据用户登录请求的信息,在系统计算认证和鉴权计算,并查询当前用户的登录请求会话对应的绑定的移动终端认证和鉴权计算结果信息,与系统端的计算结果进行比对,判断是否为有效的移动终端发出的有效请求,如为有效的移动终端且认证鉴权计算结果一致则认为移动终端发出的请求有效,允许用户在访问设备登录,如等待超时则判断本次用户登录请求失效并回送错误信息到访问设备。\n[0037] 移动终端接收到用户的登录验证请求信息,移动终端根据用户的本地安全设置,能够通过终端本身的输入,移动终端输入包含指纹识别,手势,密码以及移动终端支持的方式验证用户身份,同时,还能够无需用户介入直接认可该验证过的终端的请求信息,根据与系统约定的认证和鉴权算法和系统分配的计算参数进行认证和鉴权的计算,将移动终端的认证和鉴权计算算法计算的数据以及登录会话信息发给系统进行认证和鉴权,系统对移动终端发送的数据进行鉴权和认证,如通过,则允许用户在应用登录,否则拒绝本次登录。\n[0038] 本发明提供的一种基于移动终端的应用登录系统和方法的一个实施例中,该方法还包括:\n[0039] 各个组成部分包含的认证和鉴权模块,对用户和移动终端进行认证和鉴权,作为系统各个组成部分的一个互相约定的可升级的模块存在,其具体算法可通过系统、移动终端和访问设备各个组成部分的更新模块进行算法和功能的升级和替换,而不局限于特定的算法。\n[0040] 具体来说具有以下优点:\n[0041] 无需输入密码:\n[0042] 在进行注册和绑定终端后,用户在需要登录应用时,无需在访问设备如电脑上输入密码甚至也无需输入用户名即可登录,无需用户记忆密码,方便了用户使用。\n[0043] 安全性得以提高:\n[0044] 通过认证和鉴权算法,在终端侧和系统侧分别计算和提交可以识别终端身份的数据,系统进行比对终端和系统的数据并进行判断,用户名和密码不再需要在网络上进行传递,提高了使用的安全性。\n[0045] 为防止终端丢失的情况存在的安全问题,终端侧还可以进一步通过移动终端的自身的输入能力和验证装置,包含手势,指纹识别,密码输入的方式来校验终端的使用者,进一步保证使用者的安全。\n[0046] 同时,负责验证设备和用户身份的认证和鉴权模块为可升级的软件模块,通过软件升级即可使用和约定不同的安全算法,进一步保证安全。\n[0047] 独立通道提高安全性:\n[0048] 传统模式的登录和数据传输的通道为同一个通道,电脑的安全和传输通道都可能存在风险,将登录请求和验证数据通道隔离为访问设备端如电脑的数据通道和移动终端如手机端的数据通道,很难同时窃听两种通道,进一步提高了安全性。\n[0049] 自动登录,提高使用体验:\n[0050] 通过设备间的自动扫描和发现注册和绑定的访问端设备如电脑和移动终端如手机、PAD等,经过验证匹配为用户许可的注册的设备后,即可自动登录,提高了用户的业务使用体验。\n附图说明\n[0051] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:\n[0052] 图1为本发明系统模块结构示意图。\n[0053] 图2为本发明系统用户信息映射关联示意图。\n[0054] 图3为本发明用户注册和绑定流程示意图。\n[0055] 图4为本发明设备验证流程示意图。\n[0056] 图5为本发明登出业务流程示意图。\n[0057] 图6为本发明登录业务流程示意图。\n具体实施方式\n[0058] 下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。\n[0059] 为实现上述目的,提出了一种基于移动终端的应用登录系统和方法。\n[0060] 以下通过结合附图,对本发明的实施方式进行描述。\n[0061] 实现一种基于移动终端的应用登录系统和方法的关键点如下:\n[0062] 用户注册和设备绑定:\n[0063] 用户在系统进行注册,系统分配用户信息和权限,用户注册成功后,在访问设备如电脑和移动终端上通过客户端方式访问系统,移动终端侧采集用户终端的特征信息,包含硬件特征数据,软件特征数据,硬件特征数据采取获取设备上具备唯一性特征的数据,包含访问宿主设备如电脑上的CPU序列号,MAC地址等硬件特征信息以及移动终端上的SIM卡ID信息,机身码,终端号码等数据,或MAC地址等唯一性的特征数据,以及软件特征数据,如软件类型和版本数据,以及系统分配的计算参数,如系统分配的特定的参与计算的Key给用户,系统将用户信息和移动终端进行绑定,可选地根据用户是否限定访问设备而绑定访问宿主设备,如用户使用的电脑,在设备请求访问系统时将验证设备登录许可和设备特征信息以及计算参数,将这些数据根据移动终端认证和鉴权函数计算后传递到系统进行验证,如通过则可认为该台设备为用户的可信设备,认同该设备即为该用户。\n[0064] 同时,访问设备端如电脑和移动终端也可互相保存对方的特征信息,在扫描和发现对方设备时进行自动验证,以减少设备连接和验证步骤,实现自动连接和加快数据交换的速度。\n[0065] 设备扫描和验证:\n[0066] 用户使用的访问端设备如电脑和移动终端通过短距无线技术,包含蓝牙,WIFI-DIRECT,NFC或DLNA等技术互相扫描和发现,发现后,根据设定进行单向或双向的设备验证,如电脑验证手机是否为绑定的手机,或者手机验证发现的电脑设备是否为指定的宿主设备,验证通过的设备才允许进行数据的交互。\n[0067] 验证的方式包含计算哈希设备特征值或在电脑请求接入移动终端时,用户在终端输入接入码,包含指纹识别、手势密码,文字密码来加强接入的安全性,通过后再验证各自的哈希值的方式进行许可连接。\n[0068] 或采取自动计算和验证的方式,在绑定时保存的移动终端数据,通过访问设备验证移动终端后自动连接而不需要用户介入。\n[0069] 默认的方式采取访问设备如电脑验证移动终端的单向验证方式,以方便用户可以更换不同的访问电脑设备而访问系统。\n[0070] 举个简单的验证算法函数,例如:HASH(需验证设备的MAC地址+系统分配的KEY+时间戳+随机数等参数)。\n[0071] 需要验证的设备将算法计算的结果和部分参数,如查询对话消息的MAC地址或随消息发送给对方,对方根据同样的算法即可进行校验。\n[0072] 验证的模块为可升级和更新的软件模块,系统在需要时通过升级和更新模块可更新验证的具体算法。\n[0073] 用户登录:\n[0074] 用户登录包含了用户在宿主访问设备的登录和对移动终端的验证。\n[0075] 用户在宿主访问设备,如电脑上启动应用进行登录,登录请求同时发送到系统和已经发现和验证过的移动终端设备,登录请求消息包含经过计算后的访问宿主设备的特征值,可选的用户名,登录的应用信息,时间戳等数据,系统在接收到用户的登录请求后,验证是否为合法登录,如用户名在该系统存在且为合法用户,或者用户是否指定了指定的访问宿主设备,如为合法登录请求则等待对移动终端的验证结果,如对移动终端的登录验证请求信息通过认证和鉴权的话则允许访问设备端的登录。\n[0076] 移动终端接收到用户的登录请求消息后,可选地,验证该用户的登录请求,包含通过指纹识别,手势,接入密码方式,判断该请求是合法接入请求,或者根据用户设定,如用户设定无需指纹,手势或密码,终端接入后验证和处理该登录请求消息,并根据与系统约定的认证算法,对用户的登录请求数据进行计算,并将计算后的数据和部分原始参数,如时间戳,随机数随请求消息提交到系统。\n[0077] 系统对移动终端的验证为用户在发出对系统的登录请求后,在系统端等待对用户绑定的移动终端的认证和鉴权结果,如果在系统规定的时限内成功认证用户绑定的终端提交的登录请求数据则允许访问设备端的用户登录。\n[0078] 认证和鉴权:\n[0079] 认证和鉴权负责对用户的设备,包含宿主访问设备,用户终端设备进行认证和鉴权,具体的认证算法以可升级模块的形式存在,系统只要通过升级方式,即可将各个组成部分的认证和鉴权模块进行升级和替换。\n[0080] 认证通过后,系统即可通过查询对应设备的用户注册时分配权限进行鉴权,并允许用户在访问设备上的发出的登录请求进行登录。\n[0081] 举个简单的例子,终端与系统约定的特定认证算法A算法,输入参数包含用户名,终端特征信息,系统分配的Client Key,时间戳、随机数等参数,计算一个算法值,并将这个计算值与时间戳、终端特征值提交到系统,系统采取同样的认证算法进行计算并比较,如一致则认为该终端通过认证。\n[0082] 举个简单的例子,可以在消息中提交算法结果和部分参数:\n[0083] HASH(用户名+终端特征值+Client Key+随机数),系统端采取同样的方法计算和比对即可,其中部分参数,如Client Key或终端特征值不在参数中传递,系统在注册和绑定时就已经保存在系统端,系统通过用户名或用户ID可以查询到,以此加强安全性。\n[0084] 终端特征值是能唯一代表终端的一个特征数据,其映射对象可以包含MAC,MSISDN,机身码等唯一代表终端的值,通过将这些数据单独或组合的方式通过映射函数如哈希映射到一个唯一性的且无法逆向的数据。\n[0085] 认证算法可以通过升级更新模块进行不断的更新,而不一定采取上述的哈希函数进行计算,例如也可以采取公私钥数字签名的方式保证消息的安全性。\n[0086] 用户登出:\n[0087] 传统的登出模式为手动退出或者超时自动退出,在本发明中,用户依然可以选择手动退出,即用户主动退出登录状态,也可以自动超时退出,除此之外,系统还支持从访问设备端发起的移动终端超出范围后达到时限后退出,即访问设备端或移动终端发现周边验证过的设备不在范围之内后超出一定的时间,可以自动发起登出流程,实现用户离开访问设备后,如用户离开电脑一定的时间后,自动登出。\n[0088] 更新和升级:\n[0089] 系统各个组成部分包含更新和升级模块,在系统需要进行升级时,通知各个组成部分进行模块的升级,更新和替换各个组成部分的软件模块,包含认证和鉴权模块,以保证软件持续地更新和安全性。\n[0090] 主要功能模块\n[0091] 如图1所示,一种基于移动终端的应用登录系统和方法的模块结构包括访问设备端,移动终端和系统三个组成部分:\n[0092] 访问设备端是指电脑等设备,用户使用访问设备访问系统,包含如下模块:\n[0093] 数据模块100:数据模块负责保存访问设备端应用涉及的各种数据,可以以数据库或文件的方式存在。\n[0094] 升级更新模块101:升级更新模块负责查询软件版本以及根据系统端的升级指令进行访问端应用的软件升级和更新。\n[0095] 扫描模块102:扫描模块负责通过短距无线技术,包含蓝牙,WIFI-DIRECT,WIFI,NFC等无线技术,扫描访问设备端,如电脑设备周边的移动终端,包含手机、PAD等,获得设备列表和请求接入。\n[0096] 设备验证模块103:设备验证模块负责对请求接入的设备进行验证,准许符合验证规则的设备接入和进行数据交互。\n[0097] 注册绑定模块104:注册绑定模块负责用户在访问设备端的发起的用户注册,以及请求系统绑定用户的访问设备和用户对应关系。\n[0098] 登录模块105:访问设备端如电脑,用户发起应用登录的请求模块。\n[0099] 通讯模块106:访问设备端与系统和周边设备进行通讯,进行数据交互的功能模块。\n[0100] 移动终端侧包含:\n[0101] 设备验证模块107:设备验证模块负责对请求接入的设备进行验证,准许符合验证规则的设备接入和进行数据交互。\n[0102] 升级更新模块108:移动终端侧的软件更新和升级模块,负责查询软件版本以及根据系统端的升级指令进行移动终端侧应用的软件升级和更新。\n[0103] 扫描模块109:扫描模块负责通过短距无线技术,包含蓝牙,WIFI-DIRECT,WIFI,NFC等无线技术,扫描周边的设备,获得设备列表和请求接入。\n[0104] 认证和鉴权模块110:负责移动终端侧想系统发起认证和鉴权的请求。\n[0105] 注册绑定模块111:注册绑定模块负责用户在移动终端侧的发起的用户注册,以及请求在系统绑定用户的移动终端设备。\n[0106] 数据模块112:数据模块负责保存移动终端侧应用涉及的各种数据,可以以数据库或文件的方式存在。\n[0107] 通讯模块113:移动终端侧与系统和周边设备进行通讯,进行数据交互的功能模块。\n[0108] 数据传输通道包含访问设备使用的数据传输通道114和移动终端使用的移动数据传输通道115,包含固定数据网和WIFI接入,如固定宽带网以及通过WIFI接入固定宽带网的方式或使用移动通信网络的数据传输通道,如3G网的数据通道。\n[0109] 系统端包含如下功能模块:\n[0110] 服务访问接口116:\n[0111] 系统端向访问设备端和移动终端或第三方应用提供数据访问接口,通过接口与系统进行交互。\n[0112] 数据库117:\n[0113] 系统数据库,存储各种业务数据,提供各种数据访问功能。\n[0114] 业务逻辑模块118:\n[0115] 系统端的业务逻辑功能模块,与各个功能模块进行交互,完成各个业务逻辑流程。\n[0116] 注册和绑定模块119:\n[0117] 为用户提供用户注册的功能服务,为用户分配账户以及权限,绑定用户和用户终端或访问设备的映射关系,管理用户。\n[0118] 认证和鉴权模块120:\n[0119] 对用户发起的登录请求进行认证和鉴权,包含对用户和终端的认证和鉴权,并根据认证和鉴权结果准许或拒绝用户访问系统。\n[0120] 管理配置模块121:\n[0121] 系统端的管理配置功能模块,配置系统参数,对系统进行管理。\n[0122] 升级模块122:\n[0123] 负责访问设备端和移动终端侧的应用的升级和更新,根据系统指示发起访问设备端和移动终端的升级更新。\n[0124] OAUTH服务123:\n[0125] 系统可选地为第三方提供认证和鉴权的外部服务的功能模块。\n[0126] 系统门户124:\n[0127] 系统为用户提供接入和使用系统的途径,用户通过门户进入到系统,使用业务和对业务进行管理。\n[0128] 图2示为本发明系统用户信息映射关联示意图。\n[0129] 如图所示,系统用户信息映射关联示意图说明了用户信息和访问设备信息以及移动终端信息的关联。\n[0130] 其中,用户系统账户信息包含用户登录所必须的信息,图中包含了用户ID或用户名,经过哈希映射处理过的密码以及登录账户包含的其他必须的一些信息,如最后登录时间,账户状态等信息。\n[0131] 用户账户信息通过单向的映射,即用户账户信息与移动设备为一对一的关系,关联到移动终端和访问设备的信息,图中,包含了单向映射如哈希算法处理过的访问设备的特征信息,移动终端特征信息,系统采取的认证鉴权算法的指示信息,系统分配的算法参数如分配的特定的Key,用户当前登录请求的应用的ID,以及其他一些可扩展的映射信息。\n[0132] 通过单向映射的方式,系统可以通过认证鉴权算法计算和判断映射的设备映射信息判断请求的终端设备或访问设备是否可信,从而决定是否允许用户登录到应用。\n[0133] 图3示为本发明用户注册和绑定流程示意图。\n[0134] 如图所示,用户注册和绑定流程包含如下步骤:\n[0135] 步骤1:用户在访问设备上进行注册,获得系统分配的账户信息;\n[0136] 步骤2:根据用户是否选择绑定访问设备,如用户选择绑定访问设备,则采集访问设备端的特征信息并处理后提交给系统,系统进行绑定并分配认证算法所需的关键参数给访问设备,如系统分配的算法参数Key;\n[0137] 步骤3:如用户不选择绑定访问设备信息则访问设备端的流程结束;\n[0138] 步骤4:用户在注册成功后,使用相同的账户信息在移动终端上登录到系统;\n[0139] 步骤5:采集移动终端的特征信息处理后提交到系统,系统进行绑定并分配认证算法所需的关键参数给访问设备,如系统分配的算法参数Key;\n[0140] 另外,可说明的是,用户同样可以在移动终端侧进行注册获取用户账户信息后进行绑定,流程与本流程一致,只是发起注册的设备改变为移动终端,后续流程一样,过程不再累述。\n[0141] 图4示为本发明设备验证流程示意图。\n[0142] 如图所示,设备验证流程说明的是设备间单向或双向的验证,即访问设备验证移动终端或移动终端同时验证访问设备,判断是否为绑定和可信的设备的流程,包含如下步骤:\n[0143] 步骤1:用户打开应用,应用扫描附近的设备;\n[0144] 步骤2:如未发现设备,则继续扫描,如发现用户移动设备,用户选择该设备后发起连接,访问设备端则可保存本次用户选择的移动设备的连接信息,作为下次连接的首选;\n[0145] 步骤3:移动设备接收到访问设备发起的连接请求,根据用户事先在移动终端上的连接安全设置,判断是否需要用户介入连接过程;\n[0146] 步骤4:如需要用户介入连接过程,用户在移动终端的连接请求的界面上,通过指纹识别,手势操作,或者密码输入许可此次连接,如正确,则本次连接成功,如不正确则不允许连接,提示错误信息,如无需用户介入,则自动连接到该移动终端;\n[0147] 步骤5:如连接成功,则根据设备验证设置,交换验证数据进行单向或双向通过验证算法来验证对方设备是否为可信设备;\n[0148] 步骤6:如验证成功,则认可对方设备为可信设备,允许进一步传输数据等操作,否则本次流程结束,否则报告错误信息。\n[0149] 图5示为本发明登出流程示意图。\n[0150] 如图所示,应用的登出流程说明的是用户在访问设备上登录的应用的自动登出流程,包含如下步骤:\n[0151] 步骤1:访问设备上的应用检测登出的条件,包含用户在应用上不活动的时间以及终端设备是否还在有效检测范围之内;\n[0152] 步骤2:访问设备端检测用户终端设备是否在访问设备的检测范围之内,如检测到移动终端不在访问之内达到一定的时间则应用自动登出而无需用户进行手动显式的登出操作,如仍然在检测范围内则继续进行移动终端范围内的检测操作;\n[0153] 步骤3:访问设备检测用户的未在应用活动的时间达到一定的时间,如达到,则自动登出而无需用户进行手动显式地登出操作,如未达到则继续检测用户未活动的时间;\n[0154] 步骤4:访问设备端的应用如接收到用户手动的显示登出操作请求,则进行登出,否则继续检测用户登出条件;\n[0155] 其中,步骤3、4、5可并行检测,但是也可以为串行执行不影响整个流程的技术效果。\n[0156] 下面举一个例子来说明本发明用户一种基于移动终端的应用登录系统和方法的使用流程,如图6所示,该实施例中,业务流程包括以下步骤:\n[0157] 如图所示,登录业务流程为本发明的用户使用移动终端协助进行登录的业务流程,用户只需携带事先注册和绑定好的移动终端,靠近登录的宿主设备即可实现快速登录,其中,通过短距无线技术,优选蓝牙,也可以采取WIFI-DIRECT或NFC等短距无线技术来发现和识别周边设备。\n[0158] 如图所示,本发明登录业务流程包含如下步骤:\n[0159] 步骤1:用户在访问设备端启动应用,访问端设备扫描和验证发现的终端是否为用户注册和绑定的移动终端或移动终端也验证访问端设备进行双向验证,如找到注册和绑定的移动终端则继续步骤2,否则报告错误信息;\n[0160] 步骤2:用户在访问设备端的应用中请求以移动终端验证的方式登录到系统;\n[0161] 步骤3:访问设备端的应用将登录请求发送到系统和经过验证的移动设备端设备;\n[0162] 步骤4:系统接收到用户从访问设备端发来的登录请求,等待对应的移动终端的验证结果状态;\n[0163] 步骤5:移动终端接收到用户从应用设备端发来的登录请求,通过认证算法计算认证数据并将可以在系统端认证自己的数据和请求消息发送到系统;\n[0164] 步骤6:系统等待移动终端提交的结果,如在等待的有效期之内,通过认证鉴权算法判断是否为合法的终端提交的正确的请求消息,如为合法的终端提交的请求消息则允许访问设备端的用户登录,如为非法终端则不允许进行登录,如超时,则拒绝访问设备端的用户登录;\n[0165] 本发明的描述是为了示例和说明起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
法律信息
- 2017-07-25
- 2014-07-16
实质审查的生效
IPC(主分类): H04L 9/32
专利申请号: 201410144378.9
申请日: 2014.04.11
- 2014-06-25
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2013-09-25
|
2012-03-19
| | |
2
| |
2013-10-30
|
2012-04-16
| | |
3
| |
2007-10-31
|
2007-04-12
| | |
4
| |
2010-03-24
|
2008-09-17
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |