一种安全登录方法及装置与流程

本发明涉及通信领域，尤其涉及一种安全登录方法及装置。

背景技术：

当前运营商营业厅工作人员、客服人员等均分散在各地，缺乏统一有效的管控手段，对营业人员的管理仅局限在账号管理、权限管理，但仍然存在异常登录，所谓异常登录主要指非法异地登录，即在另一地理位置上成功登录的用户并非登录账号的合法所有人。

针对上述问题，现有技术通常采用为每个登录人员创建一个账号，注册账号时设置密码、登记每个登录人员的手机号，所有账号认证策略均为静态密码+短信验证码认证。在登录系统时，首先输入密码，验证通过后手机会收到一条验证码短信，然后输入短信验证码，无误后即可登录成功。

但是现有技术的问题是若登录人员的账号密码被泄露，他人可通过架设伪基站的方式截获短信内容，这样就可以通过非法得到的账号密码和短信验证码进行非法异地登录运营系统，这样就会造成敏感信息的泄露或者是有敏感信息被篡改的风险。

技术实现要素：

本发明实施例提供一种安全登录方法及装置，用以解决现有技术中非法异地登录造成敏感信息的泄露或者是有敏感信息被篡改的风险的问题。

本发明方法包括一种安全登录方法，该方法包括：获取用户的登录信息，并根据所述登录信息中的登录账号确定与所述登录账号绑定的主机终端标识和移动终端标识；根据所述移动终端标识确定移动终端的第一地理位置信息；

根据所述主机终端标识确定主机终端的第二地理位置信息；将所述第一地理位置信息与所述移动终端的设定地理位置信息作比较，并且将所述第二地理位置信息与所述主机终端的设定地理位置信息作比较，若比较结果满足设定条件，则认证登录成功。

基于同样的发明构思，本发明实施例进一步地提供一种安全登录装置，该装置包括：确定标识单元，用于获取用户的登录信息，并根据所述登录信息中的登录账号确定与所述登录账号绑定的主机终端标识和移动终端标识；确定第一地理位置信息单元，用于根据所述移动终端标识确定移动终端的第一地理位置信息；确定第二地理位置信息单元，用于根据所述主机终端标识确定主机终端的第二地理位置信息；认证单元，用于将所述第一地理位置信息与所述移动终端的设定地理位置信息作比较，并且将所述第二地理位置信息与所述主机终端的设定地理位置信息作比较，若比较结果满足设定条件，则认证登录成功。

本发明实施例一方面通过记录用户在进行系统登录时的登录信息，然后基于登录信息中登录账号确定出与之关联的移动终端标识和主机终端标识，继而根据移动终端标识定位出移动终端的第一地理位置信息，根据主机终端标识定位出主机终端的第二地理位置信息；另一方面，将所述第一地理位置信息与所述移动终端的设定地理位置信息作比较，并且将所述第二地理位置信息与所述主机终端的设定地理位置信息作比较，若比较结果满足设定条件，则认证登录成功。可见，本发明实施例给出的安全登录方法结合了移动终端和主机终端的位置，当移动终端和主机终端都出现在预先设定的合法区域内，才认为登录信息是合法的，故而可以避免非法人员在异地登录主机终端，提高了访问敏感信息的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的 一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种安全登录方法流程示意图；

图2为本发明实施例提供的一种定位移动终端坐标示意图；

图3为本发明实施例提供的一种定位主机终端坐标示意图；

图4为本发明实施例提供的一种同时定位移动终端坐标和主机终端坐标示意图；

图5为本发明实施例提供的一种由两个覆盖区域组成的合法区域示意图；

图6为本发明实施例提供的一种由一个覆盖区域组成的合法区域示意图；

图7为本发明实施例提供的一种安全登录过程中判断方法流程示意图；

图8为本发明实施例提供的一种安全登录装置示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

参见图1所示，本发明实施例提供一种安全登录方法流程示意图，具体地实现方法包括：

步骤s101，获取用户的登录信息，并根据所述登录信息中的登录账号确定与所述登录账号绑定的主机终端标识和移动终端标识。

步骤s102，根据所述移动终端标识确定移动终端的第一地理位置信息。

步骤s103，根据所述主机终端标识确定主机终端的第二地理位置信息。

步骤s104，将所述第一地理位置信息与所述移动终端的设定地理位置信息作比较，并且将所述第二地理位置信息与所述主机终端的设定地理位置信息作比较，若比较结果满足设定条件，则认证登录成功。

一般地，登录人员登录运营系统前需要先进行注册，注册信息中包含登录账号、登录密码、登录人员的手机号等信息，注册成功之后，就将登录人员的注册信息以及该登录人员访问的主机终端的ip地址绑定在一起存储在运营系统的数据库中。这样，当登录人员再次使用登录账号登录该主机终端时，就可以根据登录账号，从数据库中得到与之绑定的手机号、主机终端等信息。

如图2所示，当登录人员完成注册时，管理员主动根据该登录人员注册信息中的手机号调用基站定位服务获取到登录人员的手机经纬度坐标作为该手机的准确地理位置，并将该手机的准确位置作为该手机的设定地理位置。

进一步地，在主机终端中预设定位模块，通过调用所述定位模块获取主机终端的第二地理位置信息。如图3所示，在登录人员办公的主机终端上外接一个基站定位装置、例如gps定位芯片等，这样调用基站定位的接口就可以获取该主机终端的经纬度坐标，将主机终端的经纬度坐标作为该主机终端的设定地理位置。故所述移动终端的设定地理位置信息是在用户初始注册阶段中，对初始注册信息中携带的移动终端标识对应的移动终端进行定位，得到的定位位置；所述主机终端的设定地理位置信息是在用户初始注册阶段中，对初始注册信息中携带的主机终端标识对应的主机终端进行定位，得到的定位位置。

当然也可以是管理员根据实际的经验，人为设定了移动终端和主机终端的地理位置，并与注册信息一起存储在数据库中。

在数据库中完成上述信息的存储之后，当监测到登录人员再次登录时，就同时定位移动终端和主机终端的地理位置，如图4所示，基站定位出结果后返回坐标位置，并与数据库中预存的信息作比对，具体地比较方法为：判断所述第一地理位置信息是否落在以所述移动终端的设定地理位置为圆心、第一阈值为半径的第一覆盖区域内，若是，则所述第一地理位置信息满足设定条件；

判断所述第二地理位置信息是否落在以所述主机终端的设定地理位置为圆心、第二阈值为半径的第二覆盖区域内，若是则所述第二地理位置信息满足设定条件；

当所述第一地理位置信息满足设定条件，且所述所述第二地理位置信息满足设定条件，则认证登录成功。

也就是说，在移动终端和主机终端的位置的设定之后，就将以移动终端的地理位置为圆心、以第一阈值为半径画的圆作为合法区域；同时将主机终端的地理位置为圆心、以第二阈值为半径画的圆作为合法区域。当后续登录人员再次登录时该主机终端时，则定位该登录人员的移动终端的地理位置，和主机终端的地理位置，并与之间的合法区域作比较，判断是否均落在该合法区域内，例如，图5所示的两个圆，分别是合法区域，当再次定位的移动终端的坐标a和主机终端的坐标b均落在这两个圆内，则证明定位的坐标a和坐标b均在合理误差范围内，因此是登录人员的此次登录是合法登录，否则则认定登录失败。

另外，考虑到移动终端一般是被登录人员随身携带，而且登录人员办公时，主机终端的位置也与登录人员所在位置一致，故较佳地，第一地理位置信息与第二地理位置信息可能是同一个坐标，第一阈值与第二阈值也会相同，如图6所示，图中的圆代表合法区域，当再次定位的移动终端的坐标a和主机终端的坐标b均落在这个圆内，则证明定位的坐标a和坐标b均在合理误差范围内，因此是登录人员的此次登录是合法登录，否则则认定登录失败。

进一步地，所述登录信息还包括主机终端硬件标识；所述认证登录成功之前，还包括：

判断所述硬件标识是否与预设的主机终端的硬件标识一致，若一致，则认证登录成功；和/或向所述移动终端标识对应的移动终端发送第一验证消息；

接收第二验证消息，若所述第二验证消息与所述第一验证消息匹配，则认证登录成功。

其中，可以在登录人员使用的办公终端上安装检测软件客户端，当主机终端运行时，从主机终端获取该主机的cpuid(中央处理器标识)、mac(物理)地址、硬盘序列号等作为该终端的唯一硬件标识，将硬件标识存储在数据库中。那么当监测到登录人员再次登录时，获取其登录的主机的硬件标识，并与数据 库中的硬件标识比较，判断二者是否一致。如果结果一致，则证明登录人员使用的主机终端是合法主机终端，否则则认证登录失败。另外，也可以在登录人员登录过程中，系统主动向移动终端发送验证码信息，并接收登录人员输入的验证码信息，如果二者一致，则认为该登录人员是合法的用户，否则则认证登录失败。

进一步地，若所述第一地理位置信息未满足设定条件，和/或，若所述第二地理位置信息未满足设定条件；则根据所述第一地理位置信息和所述第二地理位置信息，确定所述移动终端与所述主机终端的距离是否小于所述第三阈值；若是，则认证登录成功。

考虑到当办公地点发生迁移时，登录人员再次登录该主机终端的营业系统时，定位得到的移动终端的位置和主机终端的位置均是新的坐标位置，那么此时，只需要判断定位得到的移动终端的坐标a’和主机终端的坐标b’之间的距离是否小于第三阈值，比如说，计算得到坐标a’和坐标b’之间的距离小于50米，则认为正在登录的用户是合法的用户，认证登录成功，否则若距离为1公里，则认为异地登录，拒绝该用户登录，返回失败信息。

进一步地，当认证登录成功之后，还包括：若连续多次所述第一地理位置信息和/或所述第二地理位置信息未满足设定条件，且所述移动终端与所述主机终端的距离小于所述第三阈值；

则确定连续多次确定的所述移动终端的第一地理位置信息是否一致，且确定连续多次确定的所述主机终端的第二地理位置信息是否一致，若是，将连续多次确定的所述移动终端的第一地理位置信息作为所述移动终端的设定地理位置信息，将连续多次确定的所述主机终端的第二地理位置信息作为所述主机终端的设定地理位置信息。

在这种安全登录方法推广之初，需要经过主机终端位置和移动终端位置的自学习过程。也就是说，由这种安全登录方法实现的软件系统需要配置一个自学习功能。比如：管理员预先配置一个设定的时间段，记录在设定的时间段内 营业员日常进行办公时登录的主机终端的位置和该营业员移动终端位置。然后，经管理员人工审核后，确定出该营业员的合法登录区域。

当然，在安全登录方法完全推广之后，也可以利用这种自学习功能，例如，当营业网点发生搬迁之后，该营业员在搬迁之后，日常登录的主机终端位置和移动终端位置就会发生变更，这种情况起初可以通过管理员人工审核允许登录，之后系统可以利用自学习功能重置原先的设定地理位置信息，例如，在一周连续七天登录信息中，定位到连续7天登录人员登录时，移动终端的坐标位置均为a’，并且连续7天登录人员登录时，主机终端的坐标位置均为b’。这样，将可以自学习坐标a’和坐标b’，并将坐标a’重置为预设的移动终端的第一地理位置信息，坐标b’重置为预设的主机终端的第二地理位置信息，存储在数据库中，后续再次登录进行位置比较时，就以坐标a’和坐标b’作为标准，进行比较。这样，就可以在位置变更之后，仍然能够利用安全登录方法实现对用户登录的管控，避免发生误判。

另外，若新搬迁的办公地点和原先的办公地点共用时，那么此时可以将自学习得到的主机终端的位置和移动终端的位置作为另一个合法的设定地理位置信息，也将其一并纳入到合法区域，后续系统登录时，继续验证用户登录是否落在该合法区域中，可见，自学习功能能够省去办公区域变更或人员岗位变更造成的额外管理工作。

为了进一步系统地描述上述安全登录的方法，本发明实施例进一步地提供图7所示的方法流程，具体地：

步骤201，获取登录人员登录时输入的用户名、口令，验证口令是否正确。

步骤202，若口令正确，则系统内部生成一个七位验证码，组装成验证码短信，调用短信网关接口向与用户名绑定的手机号发送该验证码短信，登录人员的手机收到该短信验证码后，继续在上述登录界面输入验证码，系统比对正确后进行后续认证。

步骤203，系统继续调用基站接口获取与用户名绑定的手机号的实时经纬度 坐标c1，对比预设的移动终端的第一地理位置c，计算坐标c1是否在坐标c的圆周半径500米合理误差范围内；同时，调用主机终端上的基站定位装置，调用基站接口获取当前主机终端实时经纬度坐标d1，对比预设的主机终端的第二地理位置d，计算坐标d1是否在坐标d的圆周半径500米合理误差范围内。

步骤204，如果登录人员的手机终端与办公终端位置均在合理范围内，继续获取当前主机终端的cpuid、mac地址、硬盘序列号，与数据库中保存的预设信息比对；

步骤205，若上述信息全部比对通过则说明登录人员正确、登录人员与主机在同一个位置、主机终端是指定主机终端，认证登录成功，缺一则认证失败。

经过上述多步骤认证的效果是可以解决了账号串用、冒用的问题，确保必须账号拥有人在场才可进行管理工作；另外仍然使用登录密码+短信认证方式，即便短信被人恶意发现或通过技术手段截获，仍然无法成功登录办公系统；同时增加硬件唯一标识、硬件主机坐标位置，弥补了之前未对硬件设备进行认证的缺陷，使安全控制更准确；以位置+硬件标识作为认证主要元素，极大的杜绝异地登录行为，避免一定的安全风险。

基于相同的技术构思，本发明实施例还提供一种安全登录装置，该装置可执行上述方法实施例。本发明实施例提供的装置如图8所示，包括：确定标识单元301、确定第一地理位置信息单元302、确定第二地理位置信息单元303、认证单元304，其中：

确定标识单元301，用于获取用户的登录信息，并根据所述登录信息中的登录账号确定与所述登录账号绑定的主机终端标识和移动终端标识；

确定第一地理位置信息单元302，用于根据所述移动终端标识确定移动终端的第一地理位置信息；

确定第二地理位置信息单元303，用于根据所述主机终端标识确定主机终端的第二地理位置信息；

认证单元304，用于将所述第一地理位置信息与所述移动终端的设定地理位 置信息作比较，并且将所述第二地理位置信息与所述主机终端的设定地理位置信息作比较，若比较结果满足设定条件，则认证登录成功。

进一步地，所述确定第二地理位置信息单元303具体用于：在主机终端中预设定位模块，通过调用所述定位模块获取主机终端的第二地理位置信息。

其中，所述移动终端的设定地理位置信息是在用户初始注册阶段中，对初始注册信息中携带的移动终端标识对应的移动终端进行定位，得到的定位位置；所述主机终端的设定地理位置信息是在用户初始注册阶段中，对初始注册信息中携带的主机终端标识对应的主机终端进行定位，得到的定位位置。

进一步地，所述认证单元304具体用于：判断所述第一地理位置信息是否落在以所述移动终端的设定地理位置为圆心、第一阈值为半径的第一覆盖区域内，若是，则所述第一地理位置信息满足设定条件；

判断所述第二地理位置信息是否落在以所述主机终端的设定地理位置为圆心、第二阈值为半径的第二覆盖区域内，若是则所述第二地理位置信息满足设定条件；

当所述第一地理位置信息满足设定条件，且所述所述第二地理位置信息满足设定条件，则认证登录成功。

进一步地，所述认证单元304还用于：若所述第一地理位置信息未满足设定条件，和/或，若所述第二地理位置信息未满足设定条件；

则根据所述第一地理位置信息和所述第二地理位置信息，确定所述移动终端与所述主机终端的距离是否小于所述第三阈值；若是，则认证登录成功。

进一步地，还包括：地理位置自学习单元305，用于若连续多次所述第一地理位置信息和/或所述第二地理位置信息未满足设定条件，且所述移动终端与所述主机终端的距离小于所述第三阈值；

则确定连续多次确定的所述移动终端的第一地理位置信息是否一致，且确定连续多次确定的所述主机终端的第二地理位置信息是否一致，若是，将连续多次确定的所述移动终端的第一地理位置信息作为所述移动终端的设定地理位 置信息，将连续多次确定的所述主机终端的第二地理位置信息作为所述主机终端的设定地理位置信息。

进一步地，所述登录信息还包括主机终端硬件标识；所述认证单元304还用于判断所述硬件标识是否与预设的主机终端的硬件标识一致，若一致，则认证登录成功；和/或

向所述移动终端标识对应的移动终端发送第一验证消息；

接收第二验证消息，若所述第二验证消息与所述第一验证消息匹配，则认证登录成功。

综上所述，本发明实施例一方面通过记录用户在进行系统登录时的登录信息，然后基于登录信息中登录账号确定出与之关联的移动终端标识和主机终端标识，继而根据移动终端标识定位出移动终端的第一地理位置信息，根据主机终端标识定位出主机终端的第二地理位置信息；另一方面，将所述第一地理位置信息与所述移动终端的设定地理位置信息作比较，并且将所述第二地理位置信息与所述主机终端的设定地理位置信息作比较，若比较结果满足设定条件，则认证登录成功。可见，本发明实施例给出的安全登录方法结合了移动终端和主机终端的位置，当移动终端和主机终端都出现在预先设定的合法区域内，才认为登录信息是合法的，故而可以避免非法人员在异地登录主机终端，提高了访问敏感信息的安全性。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备 以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。