基于移動終端的系統登錄方法的研究與開發

江 超，龍毅宏

（武漢理工大學信息工程學院，湖北 武漢 430070）

基于移動終端的系統登錄方法的研究與開發

江 超，龍毅宏

（武漢理工大學信息工程學院，湖北 武漢 430070）

本文針對在不安全的網絡環境或不安全的上網系統的環境下，提出一種基于移動終端的安全登錄系統，克服了現有移動登錄方案的不足。當用戶使用瀏覽器在一個 Web信息系統或應用系統進行登錄操作時，Web信息系統或應用系統將瀏覽器與 Web系統之間的會話標識數據以二維碼的形式顯示在瀏覽器上，用戶只需使用移動終端的攝像頭掃描二維碼獲得會話標識數據并利用移動終端完成身份認證即可實現用戶瀏覽器在 Web信息系統或應用系統的安全登錄，用戶無需在計算機上輸入帳戶名、口令，從而避免了在公共計算機上輸入帳戶名、口令導致的帳戶名、口令被竊取的風險，而且將用戶在不同 Web信息系統或應用系統的身份憑證保存在移動終端中也給用戶進行登錄操作帶來方便。

安全登錄；移動終端；二維碼

0 引言

隨著互聯網的迅速發展，各企事業單位都建立了自己的的系統供自己員工使用及向外提供服務。用戶想要登錄自身單位的系統或使用互聯網公司提供的服務都要提供身份進行驗證，系統根據用戶身份進行驗證和授權，驗證成功才能訪問該系統[1]。現在，國內外主要使用的登錄方式有以下幾種：

（1）主機直接登錄方式。用戶在需要使用應用系統的計算機上按照應用系統的要求直接輸入相應的身份信息進行登錄[2]。我們一般采用的就是此種方式進行登錄。

（2）郵件或手機短信驗證的登錄方式。用戶輸入賬戶名，應用系統驗證該賬戶名存在后，產生一個與該賬戶名綁定的隨機碼字符串并將其發到用戶的郵箱或手機中[3]。用戶將獲取的隨機碼字符后提交到應用系統，應用系統根據用戶的賬戶名和綁定的驗證碼來鑒別身份[4]。

（3）二維碼掃描的方式。首先需要用戶的移動終端擁有要登錄的應用系統的移動端的應用，在登錄了移動端的應用后[5]，用戶通過掃描在計算機上該應用系統生成的供登錄使用的二維碼后，批準已在移動端應用登錄的用戶在計算機上登錄，則在計算機上用戶登錄成功[6]。

雖然有各種各樣的登錄方式，但在不安全網絡環境或不安全的上網系統的公共環境下，這些方式都有一定的安全隱患或缺陷[7-8]。若使用直接主機登錄的方式，則可能造成用戶信息被竊取，具有一定的安全問題；若采用手機短信或郵件的方式，對用戶來講非常不方便；若采用二維碼登錄的方式，用戶需要下載手機客戶端才能掃描二維碼登錄，即使有手機客戶端，如果要登錄多個應用系統還需登錄多個手機應用，用戶體驗不好[9]。因此，利用手機的的3G、4G創造一個相對安全的網絡環境，利用手機進行安全登錄是一項非常有意義的工作。

1 基于移動終端登錄系統的整體設計

1.1 系統結構

基于會話的移動登錄系統結構如圖1所示，包括瀏覽器，Web系統，手機移動登錄助手，Web系統數據庫四部分。

圖1 基于移動終端登錄系統的結構圖Fig.1 Structure of System Login Method Based on Mobile Terminal

（1）瀏覽器：應用系統的客戶端。由于本方案面向的是Web系統，因此瀏覽器即為應用系統的客戶端；

（2）Web系統：一個通過網絡提供預定功能服務的系統，該系統可以提供各種各樣的服務，本文中只討論該系統的登錄部分；

（3）移動登錄助手：一個手機應用軟件，即為本研究所研究系統的用于移動登錄的手機客戶端；

（4）Web系統數據庫：應用系統用來維護用戶身份信息，并用該信息來驗證用戶身份。

1.2 驗證過程

整個用戶身份驗證基本過程如下：

（1）用戶在計算機上使用瀏覽器訪問一個尚未登錄的Web系統時，若用戶選擇使用移動終端登錄，則瀏覽器客戶端在應用系統的支持下以二維碼的形式展現出需要傳遞給移動登錄助手的包含會話標識數據的登錄信息。

（2）用戶啟動移動登錄助手獲取瀏覽器客戶端傳遞的信息后，移動登錄助手根據協商好的參數數據結構解析參數，按Web系統約定的提交會話標識數據的方式將會話標識數據包含在提交到Web系統的登錄請求中。

（3）Web系統在接受移動登錄系統提交的登錄請求后，驗證用戶的身份憑證，驗證成功則將用戶的會話標記為已登錄狀態，并向移動登錄助手返回登錄成功的狀態，同時向瀏覽器客戶端推送用戶登錄狀態轉變的信息，否則返回登錄失敗的狀態。

2 系統主要功能的實施

2.1 系統整體流程圖

從系統的驗證過程看出，其主要包含登錄信息的傳遞，移動終端的登錄，用戶登錄狀態的轉變三大部分的功能。整個方案的具體流程圖如圖2所示。

圖2 方案整體流程圖Fig.2 System block chart

2.2 登錄信息的傳遞

登錄信息傳遞采用二維碼的形式進行信息的傳遞，生成二維碼圖片傳出信息，掃描二維碼獲取信息兩個模塊。其中，在生成二維碼和解析二維碼時都需要協商好二維碼中參數信息的數據結構。

登錄信息的傳遞功能的整體框圖3所示。

（1）登錄信息的傳出。在登錄信息的傳遞這個功能中，需要定義二維碼中數據的結構以便Web系統通過此數據結構整合數據生成二維碼圖片[10]，同時，移動登錄助手也需要根據此數據結構解析二維碼中的參數。通過分析后得出二維碼中數據結構中主要需要包含登錄地址，身份認證方式，數據格式，表單數據提交信息，會話保持方式，會話標識數據。二維碼中各參數的定義如表1所示。

圖3 登錄信息的傳遞的整體框圖Fig.3 Structure of Login Information Transfer

表1 數據結構參數定義表Tab.1 Data Structure Parameter Definition Table

url表示的是身份鑒別地址。在移動登錄助手生成登錄請求后，需要提交到該地址進行驗證。實際實現時，使用字符串來表示，格式為url=登錄地址。

at表示的是身份鑒別方式。該系統包含四種身份認證方式，以一位字符來表示，0表示以賬戶名/密碼的方式登錄，1表示賬戶名/密碼/隨機碼的方式登錄，2表示以動態口令的方式登錄，3表示利用數字證書加密登錄，若身份認證方式不屬于以上任何一種方式，則使用-1來表示。

dt表示的是數據格式，包含數據提交格式和數據返回格式和數據提交方式。數據提交格式分為基于 json輕量級數據的提交和基于表單的提交，用json/form表示。數據返回格式包括json數據返回和返回HTML頁面，用json/html表示。數據提交方式分為GET方式和POST方式，用get/post表示[11]。數據格式信息以&&符合連接以上三個信息合成。

fds表示表單數據提交信息。表單數據提交信息包含一系列的標簽名和值，可以包含會話標簽（sLabel），賬戶名標簽（uLabel），密碼標簽（pL-abel），隨機碼標簽（rLabel），其中必須包含會話標簽，這樣可以不改應用系統后端登錄模塊也能處理安全登錄的請求。

St表示的是會話保持方式。有三種會話保持方式，以一位字符來表示。0表示在Cookie中保存會話ID，Cookie保存在客戶端，用來保持狀態連續性[12]。 1表示采用URL保持會話，將會話ID以URL參數的形式通過URL來保持。2表示以隱藏表單項的方式保持，即在每個表單中設置一個隱藏的字段用來存儲會話ID。

Sid表示的是會話標識數據。會話標識數據是將移動登錄助手用戶與瀏覽器用戶用于聯系起來的樞紐，是本方案的核心參數，是必須的二維碼參數。格式為sid=會話標識數據。

上述各個參數數據以“；”連接起來組合成二維碼中的數據，數據按照數據結構整合好后，即可生成二維碼圖片。

（2）登錄信息的獲取。通過移動登錄助手掃描二維碼，根據數據結構進行參數解析。解析時，首先判斷各個參數名是否符合數據協議規定；然后，檢查各個參數數據是否符合數據結構的定義；接著，根據身份認證方式的不同，檢查表單數據提交信息中包含的參數的個數。各身份認證方式所檢查的表單提交數據如表2所示。

表2 表單提交信息表Tab.2 Form Submission Information Table

根據此表信息檢查完表單提交數據中的參數后，再解析出其他參數。若在解析過程中發現參數信息不符合要求，即提示用戶該二維碼參數不符合規定，并終止安全登錄的過程。

2.3 移動終端的登錄

移動終端的登錄包含六個模塊，整體流程圖如圖4所示。

（1）用戶身份信息的獲取模塊，該模塊根據身份鑒別方式at來判斷需要獲取用戶什么樣的身份信息，根據身份鑒別方式的不同，登錄助手將提示用戶輸入不同的所需要的身份數據。

圖4 移動終端的登錄的整體流程圖Fig.4 Structure of Mobile Terminal Login

（2）提交方式的處理模塊，該模塊根據數據提交方式dt來判斷Web系統與瀏覽器約定的數據提交方式，生成相應的get/post登錄請求。

（3）會話處理模塊，移動登錄助手通過會話保持方式參數st來識別Web系統與瀏覽器約定的提交會話標識數據的方式，并將會話標識數據包含在提交到Web系統的登錄請求中。

（4）數據提交格式模塊，對登錄請求設置數據提交格式。數據提交格式分為基于json輕量級數據交互格式和一般的表單數據格式[13]。

（5）返回數據處理模塊，此模塊設置登錄請求響應的處理方式。Web系統返回給瀏覽器端的響應可能是json數據，也有可能是HTML頁面，登錄助手需要處理這兩種返回數據。

在完成以上模塊的處理后，登錄助手將移動登錄請求提交到Web系統進行身份鑒別。

2.4 登錄狀態的轉變

在這一部分，實現瀏覽器即時獲取用戶登錄狀態。本系統采用 WebSocket[14]實現服務端向客戶端即時推送功能。WebSocket是一個雙向通信協議，是種簡單的模擬Socket的協議[15]。此協議中連接的雙方都可以向對方通過TCP來發送數據，是種全雙工通信協議。WebSocket協議傳輸數據前要經過握手連接，連接成功才能進行雙向的通信，握手連接是建立在HTTP[16]協議上的。使用WebSocket實現瀏覽器與服務端的即時通信的交互模型過程如圖5所示。

圖5 瀏覽器與服務器使用WebSocket交互流程圖Fig.5 Browser and server using WebSocket interactive flow chart

圖中可以看出，瀏覽器端在WebSocket連接的狀態下發現用戶登錄狀態改變即用戶已登錄時，將此消息直接推送到客戶端，客戶端接收到此消息后做相應處理。若用戶登錄狀態未改變，則服務端保持該連接，在連接斷掉前，不需要像http一樣重新發起連接。

3 結束語

本文針對當前登錄方式存在的不足，提出了基于移動終端的系統登錄的方案，并從基于會話方式對該方案進行了描述。提出的方案具有以下優勢：

（1）該方案使各種各樣已經部署的或未部署的應用系統集成移動登錄的功能，此移動登錄功能能夠使用戶在不安全的計算機系統或不安全的網絡連接下，通過利用移動終端，這個用戶生活中現已不可或缺的工具，實現應用系統的移動安全登錄；

（2）實現的基于移動終端的安全登錄系統在面向某一類系統時是一個通用的系統，克服了現有移動登錄需要登錄手機客戶端才能進行移動登錄的缺陷。

[1]付亮, 于立娟.2012-2013年移動互聯網發展趨勢綜述[J].互聯網天地, 2013, 02: 1-6+12.

[2]唐志紅, 龍毅宏.面向Web Form身份鑒別的單點登錄透明集成技術[J].軟件, 2014, 35(8): 75-78

[3]于新波.基于Web的在線郵件系統的設計與研究[D].吉林大學, 2011.

[4]彭光明.基于Android平臺的安全短信系統的研究與實現[D].蘭州大學, 2014.

[5]趙哲, 宋俊德, 鄂海紅.基于Android 平臺的移動應用構建研究與設計[J].新型工業化, 2013, 3(6): 78-89.

[6]郭婧.二維碼技術在移動電子商務中的應用研究[J].通訊世界, 2015, 13: 133.

[7]肖廣娣, 凌云.幾種常見信息認證方式的比較[J].硅谷, 2012, (23): 127-128.

[8]周莉婕, 雷友珣[J].Android 操作系統瀏覽器安全漏洞的分析軟件, 2013, 34(5): 107-111

[9]Cochoy Franck.Consumers at work, or curiosity at play? Revisiting the prosumption/value cocreation debate with smartphones and two-dimensional bar codes[J].Marketing Theory, 2015, 152: .

[10]郭利敏, 劉悅如, 等.微信二維碼用于圖書館讀者身份認證的實踐[J].現代圖書情報技術, 2015, Z1: 144-147.]

[11]潘書彬.基于XMLHTTP通訊傳輸架構的數據傳輸方法[J].信息通信, 2013(5): 14-15.

[12]Alex X.Liu, Jason M., et al.A secure cookie scheme[J].Computer Networks, 2012, 566: .

[13]Hope Ryan M, Schoelles Michael J, et al.Simplifying the interaction between cognitive models and task environments with the JSON Network Interface[J].Behavior research methods, 2013: .

[14]Alex X.Liu, Jason M., et al.A secure cookie scheme[J].Computer Networks, 2012, 566: .

[15]Anonymous.Kaazing; Kaazing Announces Kaazing WebS-ocket Gateway--the Industry’s First Enterprise-Grade Web Infrastructure Software Based on the HTML5 WebSocket Standard[J].Technology & Business Journal, 2010,: .

[16]阮曉龍.HTTP協議狀態檢測與性能分析軟件的設計與實現[J].軟件, 2015, 36(7): 136-141.

Research and Development of System Log-in Method Based on Mobile Terminal

JIANG Chao, LONG Yi-hong
(School of Information Engineering, Wuhan University of Technology, Wuhan 430070, China)

This paper proposes a secure log-in system based on the mobile terminals in an insecure environment or insecure Internet network system environment to overcome the shortcomings of the existing mobile log-in program.When a user uses a browser to log in a Web information system or application system, Web information system or application system displays the session identification data between the browser and the system on the browser in the form of QR code, users only need to use the camera of the mobile terminal to scan the QR code to get the session identification and use the mobile terminal to complete the identity authentication so that the browser can log in the Web information system or application system.Users do not need to enter the account name and password on the computer, Thus avoiding the risk of theft of account name and password caused by inputting account name and password on public computer.Moreover, it is convenient for users to save the user’s identity certificate in different Web information system or application system on the mobile terminal.

Secure log-in; Mobile terminal; QR code

TP393.08

: A

10.3969/j.issn.1003-6970.2017.03.003

國家科技支撐計劃項目(2015BAH17F03)；國家科技支撐計劃項目(2014BAH26F03)

江超(1991-），男，碩士研究生，主要研究方向為信息安全。

龍毅宏，教授，博士，主要研究方向為信息安全。

本文著錄格式：江超，龍毅宏.基于移動終端的系統登錄方法的研究與開發[J].軟件，2017，38（3）：12-15