技術領域

本發明屬于信息安全領域，特別是一種將基于口令的用戶登錄鑒別同基于標識型密碼的用戶登錄鑒別相集成的用戶登錄鑒別實施方法。

背景技術

用戶訪問一個受到安全保護和限制的Web信息系統(包括各種應用系統和安全系統)時，通常需要進行登錄操作(Logon或Login)。用戶登錄操作的目的就是要確認用戶是Web信息系統的一個合法用戶，即進行用戶鑒別(User?Authentication)；而實際上對許多Web信息系統而言，用戶的身份信息是否真實、他是誰并不重要，因此，更確切地說，用戶登錄操作的目的就是要確認用戶是Web信息系統的一個注冊帳戶的擁有者，即進行帳戶鑒別(Account?Authentication)。

目前的Web信息系統普遍采用帳戶名+口令或密碼(帳戶名也稱用戶名)的方式作為用戶登錄(Long?On或Long?In)Web信息系統的用戶或帳戶鑒別的安全手段。帳戶名+口令或密碼的方案簡單、用戶操作使用方便，但它的不安全是眾所周知的。

針對用戶名、口令不安全的問題，在安全性要求較高的系統中，人們采用密碼技術，比如PKI(Public?Key?Infrastructure)數字證書(Digital?Certificate)技術，進行用戶登錄鑒別。PKI數字證書雖然安全，但將它用于Web信息系統的用戶或帳戶鑒別，存在用戶操作使用不方便、用戶私鑰丟失恢復困難、證書更新麻煩(通常需要手工操作)等易用性差的問題，而且需要針對相關瀏覽器開發控件或插件，導致出現技術開發工作量大、適用性差等問題：一是因為需要針對不同的瀏覽器開發不同的控件或插件，而目前瀏覽器眾多，針對所有瀏覽器包括運行在不同環境下的瀏覽器進行控件或插件開發的工作量是非常大的；二是因為有的瀏覽器對控件或插件的支持非常有限甚至不支持。進一步，將PKI數字證書實施用于已部署的采用帳戶名+口令或密碼的系統時，需要對已有系統進行改造，故到目前為止PKI數字證書并未獲得廣泛應用。

針對以上問題，本發明申請人在其專利申請“一種基于標識型密碼實現用戶登錄鑒別的系統及方法”(專利申請號：201410244543.8)中提出一個基于標識型密碼的用戶登錄鑒別方法，將標識型密碼技術用于Web信息系統的用戶登錄。所述標識型密碼(Identity-Typed?Cryptography)包括基于標識的密碼(Identity?Based?Cryptography，IBC)和基于標識的橢圓曲線密碼(Identity-Based?ECC)，無論是IBC密碼技術還是基于標識的橢圓曲線密碼技術，它們都是公開密鑰密碼算法或技術，有如下共同特點：

1)用戶的一個標識對應一個標識公鑰和一個標識私鑰(用于數據加密的標識公鑰和私鑰同用于數字簽名的標識公鑰和私鑰不一定相同)；

2)在實際的密鑰生成和密碼運算過程中，并不是將一個標識本身用于密鑰生成和密碼運算，而是將附加了其他限定信息后的擴展標識用于密鑰生成和密碼運算；

3)若采用“一種自動更新和恢復私鑰的標識型密碼系統及方法”(專利申請號：201410058689.3)中的技術，則能夠實現自動恢復私鑰，以及實現自動更新標識的當前有效的標識公鑰和標識私鑰。

在發明專利申請201410244543.8中的所述方案中，用戶的一個身份標識(如電子郵箱地址)或標識的散列值作為用戶在Web信息系統中的帳戶的鑒別數據保存在Web信息系統的帳戶數據庫中；當用戶登錄Web信息系統時，Web信息系統的用戶登錄鑒別實施組件利用系統保存的用戶帳戶的鑒別數據，即用戶的標識或標識的散列值，對用戶進行登錄鑒別。

專利申請中201410244543.8的方法具有如下特點：

1)不采用瀏覽器插件或控件，而是通過本地通信方式調用用戶端的密碼模塊進行密碼運算，故不受瀏覽器類型和種類的限制，也不受用戶端計算設備的運行平臺限制；

2)發明中的用戶標識及標識密鑰不是作為用戶的身份憑證使用，而是作為高安全強度的帳戶鑒別私密數據使用，而且不同的Web信息系統可以使用同一個密碼標識的密鑰進行用戶登錄時的帳戶鑒別，無需針對不同的Web信息系統使用不同的標識密鑰；若使用的標識是電子通信標識(如電子郵箱地址、手機號碼)，則標識密鑰的生成、恢復、更新將方便；特別地，若進一步地實施標識密鑰的自動更新，則標識密鑰的更新操作無需用戶手工干預，給用戶帶來極大方便；