專利名稱:基于移動終端的身份認證方法及其裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域���,尤其涉及一種基于移動終端的身份認證方法及其裝置和系 統(tǒng)�����。
背景技術(shù):
互聯(lián)網(wǎng)和電子商務(wù)的高速發(fā)展帶動了在線交易���、網(wǎng)絡(luò)銀行等繁榮,其交易額也呈 現(xiàn)倍數(shù)的增長�,但這種不斷增長的趨勢背后,網(wǎng)絡(luò)銀行的安全問題愈發(fā)讓人擔心�。而網(wǎng)絡(luò)信 息化時代的最大特征就是身份的數(shù)字化和隱形化,如何準確識別一個人的身份�,同時保護 信息資料安全成為必須面對和解決的一個問題�。網(wǎng)上交易的頻繁和網(wǎng)上銀行的安全漏洞,使黑客更容易利用各種手段盜取銀行卡 卡號����、密碼及個人資料����,假冒通知�����、木馬程序����、釣魚網(wǎng)站等虛假信息不斷涌現(xiàn)。所謂釣魚網(wǎng)站 就是不法分子利用各種手段�,仿冒真實網(wǎng)站的URL (Uniform Resource Locator,統(tǒng)一資源 定位器)地址以及頁面內(nèi)容��,或是利用真實網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中 插入危險的HTML(HyperText Mark-up Language�,超文本標記語言)代碼,以此來騙取用戶 銀行或信用卡賬號����、密碼等私人資料。釣魚網(wǎng)站因存活期短���、形式隱蔽等特點���,傳統(tǒng)的司法 手段很難對其進行有效打擊�。因此����,如何防止關(guān)鍵個人信息被木馬、釣魚網(wǎng)站等盜取或監(jiān)聽 成為個人身份認證系統(tǒng)面對的挑戰(zhàn)�����。目前網(wǎng)絡(luò)上常用的身份認證方式主要有如下幾種(1)用戶名/ 口令認證技術(shù)用戶名/ 口令認證是最簡單也是最普遍使用的身份認證方法�。用戶只要能夠正確 輸入他自己的密碼,系統(tǒng)就對該用戶認證通過��。由于密碼是靜態(tài)數(shù)據(jù)�����,并且在驗證過程中需要在計算機內(nèi)存�、登錄Web頁面以及 網(wǎng)絡(luò)中傳輸,而每次驗證過程使用的驗證信息都是相同的�����,很容易被駐留在計算機內(nèi)存中 的木馬程序����、釣魚網(wǎng)站以及網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。(2)動態(tài)口令認證技術(shù)動態(tài)口令認證技術(shù)是一種讓用戶的口令按照時間或使用次數(shù)不斷動態(tài)變化�����,每個 口令只使用一次的技術(shù)�����。它采用一種稱之為動態(tài)令牌的專用硬件�,口令生成芯片運行專門 的口令生成算法,根據(jù)當前時間或使用次數(shù)生成當前口令�。用戶使用時將動態(tài)令牌上顯示 的當前口令輸入認證客戶端終端,從而實現(xiàn)身份的確認�。動態(tài)口令認證技術(shù)的安全性高于用戶名/ 口令認證技術(shù),但是如果客戶端硬件與 服務(wù)器端程序的時間或次數(shù)不能保持良好的同步����,就可能發(fā)生合法用戶無法登陸的問題。 并且�����,用戶每次登錄時需要在Web認證頁面中輸入密碼��,依然存在被釣魚網(wǎng)站非法截獲的 風險。(3)USBKey 認證技術(shù)USB Key身份認證技術(shù)是采用軟硬件相結(jié)合��、一次一密的強雙因子認證模式���。它內(nèi) 置單片機或智能卡芯片�����,可以存儲用戶的私鑰以及數(shù)字證書�,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證���。該認證方式��,需要將USB Key插入認證客戶端所在的PC機才可使用����,使得USB Key 的使用場景受限����。(4)生物特征認證技術(shù)生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù),常見 的有指紋識別�����、虹膜識別等。但受到目前生物特征識別技術(shù)成熟度的影響�����,采用生物特征認 證還具有較大的局限性��,其準確性和穩(wěn)定性還有待提高�。因此����,目前迫切需要一種可以有效防范用戶身份盜竊程序、安全性高��,同時使用場 景不受過多限制�,并在技術(shù)上容易實現(xiàn)的身份認證技術(shù)。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種基于移動終端的身份認證方法及其裝置和系統(tǒng)���,用以解 決現(xiàn)有身份認證技術(shù)安全性差和使用場景受限的問題����。本發(fā)明實施例提供的技術(shù)方案包括一種基于移動終端的身份認證方法�����,包括以下步驟網(wǎng)絡(luò)側(cè)對用戶通過所在認證客戶端提交的登錄賬號驗證通過后,生成第一認證數(shù) 據(jù)�,將第一認證數(shù)據(jù)提供給所述認證客戶端,并發(fā)送給與該登錄賬號綁定的移動終端����;網(wǎng)絡(luò)側(cè)接收所述移動終端發(fā)送的第二認證數(shù)據(jù),其中���,所述移動終端在確認該移 動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第一認證數(shù)據(jù)一致后���,生成并發(fā) 送第二認證數(shù)據(jù);網(wǎng)絡(luò)側(cè)對第二認證數(shù)據(jù)進行驗證�,并根據(jù)驗證結(jié)果確定該用戶的身份是否合法。一種基于移動終端的認證系統(tǒng)�����,包括應(yīng)用服務(wù)器和數(shù)據(jù)傳輸服務(wù)器�;其中所述應(yīng)用服務(wù)器,用于對用戶通過認證客戶端提交的登錄賬號驗證通過后�����,生成 第一認證數(shù)據(jù)�,將第一認證數(shù)據(jù)提供給所述認證客戶端���,并發(fā)送給所述數(shù)據(jù)傳輸服務(wù)器;以 及��,對所述數(shù)據(jù)傳輸服務(wù)器發(fā)送來的第二認證數(shù)據(jù)進行驗證����,并根據(jù)驗證結(jié)果確定該用戶 的身份是否合法���;所述數(shù)據(jù)傳輸服務(wù)器����,用于將接收到的第一認證數(shù)據(jù)轉(zhuǎn)換為移動終端支持的數(shù)據(jù) 格式后����,發(fā)送給與所述登錄賬號綁定的移動終端;以及���,接收所述移動終端發(fā)送的第二認證 數(shù)據(jù)�����,將第二認證數(shù)據(jù)轉(zhuǎn)換為所述應(yīng)用服務(wù)器支持的數(shù)據(jù)格式后發(fā)送給所述應(yīng)用服務(wù)器���, 其中�,所述移動終端在確認該移動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的 第一認證數(shù)據(jù)一致后��,生成并發(fā)送第二認證數(shù)據(jù)�����。一種應(yīng)用服務(wù)器��,包括登錄賬號驗證模塊�����,用于對用戶通過認證客戶端提交的登錄賬號進行驗證��;認證數(shù)據(jù)生成模塊�,用于在所述登錄賬號驗證模塊對登錄賬號驗證通過后生成第 一認證數(shù)據(jù),將第一認證數(shù)據(jù)提供給所述認證客戶端���,并發(fā)送給與該登錄賬號綁定的移動 終端�;身份認證模塊���,用于接收所述移動終端發(fā)送的第二認證數(shù)據(jù)�,對第二認證數(shù)據(jù)進 行驗證,并根據(jù)驗證結(jié)果確定該用戶的身份是否合法��;其中�����,所述移動終端在確認該移動終 端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第一認證數(shù)據(jù)一致后生成并發(fā)送第二認證數(shù)據(jù)��。一種數(shù)據(jù)傳輸服務(wù)器�,包括與應(yīng)用服務(wù)器的接口模塊,用于接收應(yīng)用服務(wù)器生成并發(fā)送的第一認證數(shù)據(jù)��;以 及����,將移動終端發(fā)送的��、經(jīng)格式轉(zhuǎn)換后的第二認證數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器����;與移動終端的接口模塊,用于將格式轉(zhuǎn)換后的第一認證數(shù)據(jù)發(fā)送給與應(yīng)用服務(wù)器 驗證通過的登錄賬號綁定的移動終端�����;以及,接收所述移動終端發(fā)送的第二認證數(shù)據(jù)���,其 中���,所述移動終端在確認該移動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第 一認證數(shù)據(jù)一致后生成并發(fā)送第二認證數(shù)據(jù);格式轉(zhuǎn)換模塊�,用于將從應(yīng)用服務(wù)器接收的第一認證數(shù)據(jù)轉(zhuǎn)換為移動終端支持的 數(shù)據(jù)格式;以及�����,將從移動終端接收的第二認證數(shù)據(jù)轉(zhuǎn)換為應(yīng)用服務(wù)器支持的數(shù)據(jù)格式�����。本發(fā)明的上述實施例中�����,網(wǎng)絡(luò)側(cè)在對用戶提交的登錄賬號驗證通過后�����,首先生成 第一認證數(shù)據(jù)��,并提供給認證客戶端以及發(fā)送給與登錄賬號綁定的移動終端,從而供用戶 比較并確認是否相同����,如果確認相同,則通過移動終端將移動終端生成的第二認證數(shù)據(jù)發(fā) 送給網(wǎng)絡(luò)側(cè)�,使網(wǎng)絡(luò)側(cè)根據(jù)該第二認證數(shù)據(jù)對該用戶進行身份認證?���?梢钥闯觯脩糁恍?通過移動終端確認認證客戶端和移動終端接收到的第一認證數(shù)據(jù)是否相同��,與現(xiàn)有技術(shù)相 比��,無需用戶在登錄認證界面中輸入任何認證信息�,這樣����,避免了認證客戶端被非法程序監(jiān) 聽而導致認證信息丟失,從而有效地防止了駐留在認證客戶端中的非法程序?qū)τ脩羯矸菪?息的盜取���,提高了安全性���。由于本發(fā)明實施例提供的上述技術(shù)方案����,對認證客戶端沒有特殊 要求���,因此���,可適用于不同類型的認證客戶端,而不受使用場景的限制����。
圖1為本發(fā)明實施例所涉及的網(wǎng)絡(luò)系統(tǒng)架構(gòu)示意圖;圖2為本發(fā)明實施例中基于移動終端的身份認證流程示意圖�����;圖3為本發(fā)明實施例中的登錄認證界面示意圖�;圖4為本發(fā)明實施例中顯示有臨時認證票據(jù)的登錄認證界面示意圖;圖5為本發(fā)明實施例中的應(yīng)用服務(wù)器的結(jié)構(gòu)示意圖��;圖6為本發(fā)明實施例中的數(shù)據(jù)傳輸服務(wù)器的結(jié)構(gòu)示意圖����。
具體實施例方式下面結(jié)合附圖對本發(fā)明實施例進行詳細描述。參見圖1,為本發(fā)明實施例所適用的系統(tǒng)架構(gòu)的示意圖���。對于使用移動終端作為 身份認證客戶端設(shè)備的情況��,該系統(tǒng)架構(gòu)主要包括移動終端(內(nèi)含(U) SIM卡����,其中��,USIM 是通用用戶身份識別模塊的英文縮寫����,SIM是用戶身份識別模塊的英文縮寫)、數(shù)據(jù)傳輸 服務(wù)器����、應(yīng)用服務(wù)器,如果傳輸?shù)臄?shù)據(jù)采用數(shù)字簽名��,則還需要CA(證書管理機構(gòu))系統(tǒng)的 LDAP (Lightweight DirectoryAccess Protocol���,輕量目錄訪問協(xié)議)服務(wù)器。對于使用PC 終端作為身份認證客戶端設(shè)備的情況���,該系統(tǒng)架構(gòu)中還需包括PC終端�����。上述系統(tǒng)架構(gòu)中各設(shè)備的主要功能如下身份認證客戶端設(shè)備���,是應(yīng)用服務(wù)器的接入訪問設(shè)備���。身份認證客戶端設(shè)備可以 是PC終端,用戶可以通過PC終端�����、采用WWW方式訪問應(yīng)用服務(wù)器��;身份認證客戶端設(shè)備也可以是移動終端�,用戶可使用移動終端通過GPRS (General Packet Radio Service,通用無 線分組業(yè)務(wù))或WiFUWirelessFidelity����,無線保真)等方式訪問應(yīng)用服務(wù)器;應(yīng)用服務(wù)器����,主要向用戶提供各種業(yè)務(wù)服務(wù)�,以及提供具有用戶身份認證需求的 應(yīng)用�����。應(yīng)用服務(wù)器具有身份認證模塊以實現(xiàn)對用戶身份的認證�����。本發(fā)明實施例中��,應(yīng)用服 務(wù)器與數(shù)據(jù)傳輸服務(wù)器之間具有通信接口�����,用以將為用戶生成的臨時認證票據(jù)(即臨時認 證數(shù)據(jù)�����,以下同)發(fā)送給數(shù)據(jù)傳輸服務(wù)器����,以便數(shù)據(jù)傳輸服務(wù)器在進行格式轉(zhuǎn)換后發(fā)送到 移動終端。應(yīng)用服務(wù)器還可進一步與CA系統(tǒng)LDAP服務(wù)器之間具有通信接口����,以從LDAP服 務(wù)器獲取用戶證書驗證用戶簽名;數(shù)據(jù)傳輸服務(wù)器��,主要負責應(yīng)用服務(wù)器與移動終端之間通信的協(xié)議轉(zhuǎn)換�,可包括 數(shù)據(jù)傳輸服務(wù)器接收到應(yīng)用服務(wù)器發(fā)送的用戶身份認證票據(jù)后,首先將其由應(yīng)用數(shù)據(jù)格式 轉(zhuǎn)化為(U) SIM可接受��、解析和能夠通過移動終端展示的數(shù)據(jù)格式����,然后發(fā)送到移動終端, 并激活(U) SIM卡的STK(SIM Tool Kit��,用戶識別應(yīng)用開發(fā)工具)應(yīng)用��,以展示認證票據(jù)��; 數(shù)據(jù)傳輸服務(wù)器還可以接收用戶在對認證票據(jù)進行確認簽名后通過移動終端發(fā)送的當前 認證口令�,將認證口令轉(zhuǎn)換為應(yīng)用服務(wù)器可接受的格式,并轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器��;(U) SIM卡�����,其上具有實現(xiàn)身份認證的STK應(yīng)用�,該應(yīng)用平時不可見����,當有用戶身份 認證需求時���,可由數(shù)據(jù)傳輸服務(wù)器通過數(shù)據(jù)短信方式激活并顯現(xiàn)����。用戶可對通過(U)SIM卡 STK菜單展現(xiàn)的認證票據(jù)進行核對���,并對本次認證進行確認后����,由(U) SIM卡通過認證口令 生成算法生成本次認證口令����,并通過數(shù)據(jù)傳輸服務(wù)器發(fā)送到應(yīng)用服務(wù)器;CA/LDAP服務(wù)器�,主要負責提供用戶證書。若應(yīng)用服務(wù)器接收到移動終端發(fā)送的認 證口令使用了數(shù)字簽名���,則需要向CA系統(tǒng)的LDAP服務(wù)器查詢相應(yīng)的用戶證書��,以驗證用戶 的數(shù)字簽名����,從而完成本次身份認證。下面結(jié)合圖2�����,以用戶通過PC認證客戶端登錄應(yīng)用服務(wù)器時的身份認證流程為 例�,詳細描述本發(fā)明實施例所提供的動態(tài)身份認證流程��。用戶通過移動終端認證客戶端登 錄應(yīng)用服務(wù)器時的身份認證流程與此類似����。參見圖2,為本發(fā)明實施例所提供的動態(tài)身份認證流程的示意圖�。本發(fā)明實施例 中,用戶在將其登錄賬號(其中可包括登錄用戶名和登錄密碼等信息)注冊到應(yīng)用服務(wù)器 時�,應(yīng)用服務(wù)器還要將用戶指定的移動終端標識與該用戶的登錄賬號進行綁定,以便對該 用戶的身份進行認證�����。該流程主要包括以下步驟步驟201��、PC認證客戶端連接到應(yīng)用服務(wù)器�����。該步驟中,用戶可通過所在PC認證客戶端輸入應(yīng)用服務(wù)器URL地址連接到該應(yīng)用 服務(wù)器�。步驟202、應(yīng)用服務(wù)器生成動態(tài)圖形附加碼��,并將其顯示在登錄認證界面���,將該登 錄認證界面提供給用戶��,以便用戶輸入登錄賬號信息(本流程中為用戶名)等認證信息���。應(yīng)用服務(wù)器將生成的圖形附加碼顯示在登錄認證界面上,是為了供用戶依照顯示 的圖形輸入附加碼��,從而提高安全性����,防止機器自動猜測登錄攻擊。圖形附加碼的生成與顯 示是可選操作��。認證登錄界面可如圖3所示��。步驟203、PC認證客戶端將用戶在登錄認證界面上輸入的登錄用戶名���、附加碼�����,以 及所選擇的登錄命令����,提交給應(yīng)用服務(wù)器����。步驟204�����、應(yīng)用服務(wù)器驗證用戶輸入的登錄賬號信息和附加碼是否正確���,若正確�����,則繼續(xù)后續(xù)步驟��;若錯誤����,則跳轉(zhuǎn)至步驟202,并可進一步提示用戶輸入錯誤����。該步驟中,如果用戶輸入的附加碼與該圖形附加碼所顯示的內(nèi)容相同�,則確認用 戶輸入的附加碼正確;如果用戶輸入的登錄賬號信息已經(jīng)注冊在應(yīng)用服務(wù)器中����,則確認該 登錄賬號信息正確。步驟205����、應(yīng)用服務(wù)器為該用戶隨機生成本次登錄的臨時認證票據(jù),并提供給認證 客戶端�,顯示在登錄認證界面上供用戶核對。顯示有臨時認證票據(jù)的登錄認證界面可如圖 4所示����。步驟206、應(yīng)用服務(wù)器將為該用戶生成的臨時認證票據(jù)��,連同與該用戶的登錄賬號 綁定的移動終端標識信息(如移動終端號碼)等信息,發(fā)送給數(shù)據(jù)傳輸服務(wù)器�����。步驟207�����、數(shù)據(jù)傳輸服務(wù)器將接收到的臨時認證票據(jù)等信息轉(zhuǎn)換成移動終端的 (U) SIM卡可接受���、識別的數(shù)據(jù)格式����。轉(zhuǎn)換后的數(shù)據(jù)格式可如表1所示���。表1、(U) SIM卡可接受的數(shù)據(jù)格式
權(quán)利要求
一種基于移動終端的身份認證方法�����,其特征在于����,包括以下步驟網(wǎng)絡(luò)側(cè)對用戶通過所在認證客戶端提交的登錄賬號驗證通過后,生成第一認證數(shù)據(jù),將第一認證數(shù)據(jù)提供給所述認證客戶端����,并發(fā)送給與該登錄賬號綁定的移動終端;網(wǎng)絡(luò)側(cè)接收所述移動終端發(fā)送的第二認證數(shù)據(jù)�����,其中��,所述移動終端在確認該移動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第一認證數(shù)據(jù)一致后�����,生成并發(fā)送第二認證數(shù)據(jù)�����;網(wǎng)絡(luò)側(cè)對第二認證數(shù)據(jù)進行驗證��,并根據(jù)驗證結(jié)果確定該用戶的身份是否合法����。
2.如權(quán)利要求1所述的方法,其特征在于��,移動終端生成第二認證數(shù)據(jù),包括移動終端使用第一認證數(shù)據(jù)�,采用與網(wǎng)絡(luò)側(cè)約定的方式生成第二認證數(shù)據(jù);網(wǎng)絡(luò)側(cè)對第二數(shù)據(jù)進行認證��,包括網(wǎng)絡(luò)側(cè)使用其生成的第一認證數(shù)據(jù)����,采用與所述移動終端約定的方式生成認證數(shù)據(jù), 并將該自己生成的認證數(shù)據(jù)與所述移動終端生成的第二認證數(shù)據(jù)進行比較���,如果兩者一 致�,則對第二認證數(shù)據(jù)驗證通過����。
3.如權(quán)利要求1或2所述的方法,其特征在于���,如果所述移動終端生成的第二認證數(shù)據(jù) 采用數(shù)字簽名,則網(wǎng)絡(luò)側(cè)對該第二認證數(shù)據(jù)進行認證之前還包括獲取所述用戶的用戶證書�����,用獲取到的用戶證書驗證該第二認證數(shù)據(jù)的數(shù)字簽名���。
4.如權(quán)利要求1所述的方法���,其特征在于�����,網(wǎng)絡(luò)側(cè)在提供給所述認證客戶端的登錄界 面上還顯示有圖形附加碼���,在對所述登錄賬號驗證時還接收所述認證客戶端根據(jù)該圖形附 加碼所提交的數(shù)據(jù),并將該數(shù)據(jù)與該圖形附加碼所顯示的內(nèi)容比較�,如果在網(wǎng)絡(luò)側(cè)注冊有 所述登錄賬號的前提下兩者一致,則對所述登錄賬號驗證通過��。
5.如權(quán)利要求1所述的方法,其特征在于����,網(wǎng)絡(luò)側(cè)通過向所述移動終端發(fā)送數(shù)據(jù)短消 息�����,將第一認證數(shù)據(jù)發(fā)送給該移動終端����。
6.如權(quán)利要求1����、2����、4或5所述的方法,其特征在于����,將第一認證數(shù)據(jù)發(fā)送給與所述登錄 賬號綁定的移動終端,具體為應(yīng)用服務(wù)器將其生成的第一認證數(shù)據(jù)���,以及與所述登錄賬號綁定的移動終端標識發(fā)送 給數(shù)據(jù)傳輸服務(wù)器����;所述數(shù)據(jù)傳輸服務(wù)器將第一認證數(shù)據(jù)轉(zhuǎn)換為所述移動終端支持的數(shù)據(jù)格式后�����,根據(jù)所 述移動終端標識將格式轉(zhuǎn)換后的第一認證數(shù)據(jù)發(fā)送給相應(yīng)移動終端����;網(wǎng)絡(luò)側(cè)接收所述移動終端生成并發(fā)送的第二認證數(shù)據(jù)�����,具體為所述數(shù)據(jù)傳輸服務(wù)器接收所述移動終端發(fā)送的第二認證數(shù)據(jù),將其轉(zhuǎn)換為所述應(yīng)用服 務(wù)器支持的數(shù)據(jù)格式后����,發(fā)送給所述應(yīng)用服務(wù)器。
7.如權(quán)利要求1����、2、4或5所述的方法����,其特征在于,所述認證客戶端為安裝于移動終端 中的認證客戶端�,或者安裝于PC終端中的認證客戶端。
8.一種基于移動終端的認證系統(tǒng)���,其特征在于�,包括應(yīng)用服務(wù)器和數(shù)據(jù)傳輸服務(wù)器��;其中所述應(yīng)用服務(wù)器�����,用于對用戶通過認證客戶端提交的登錄賬號驗證通過后,生成第一 認證數(shù)據(jù)��,將第一認證數(shù)據(jù)提供給所述認證客戶端�����,并發(fā)送給所述數(shù)據(jù)傳輸服務(wù)器�;以及, 對所述數(shù)據(jù)傳輸服務(wù)器發(fā)送來的第二認證數(shù)據(jù)進行驗證���,并根據(jù)驗證結(jié)果確定該用戶的身 份是否合法�����;所述數(shù)據(jù)傳輸服務(wù)器��,用于將接收到的第一認證數(shù)據(jù)轉(zhuǎn)換為移動終端支持的數(shù)據(jù)格式 后��,發(fā)送給與所述登錄賬號綁定的移動終端���;以及,接收所述移動終端發(fā)送的第二認證數(shù) 據(jù)�����,將第二認證數(shù)據(jù)轉(zhuǎn)換為所述應(yīng)用服務(wù)器支持的數(shù)據(jù)格式后發(fā)送給所述應(yīng)用服務(wù)器����,其 中,所述移動終端在確認該移動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第 一認證數(shù)據(jù)一致后�����,生成并發(fā)送第二認證數(shù)據(jù)�����。
9.如權(quán)利要求8所述的認證系統(tǒng)����,其特征在于,所述數(shù)據(jù)傳輸服務(wù)器通過向所述移動 終端發(fā)送數(shù)據(jù)短消息��,將格式轉(zhuǎn)換后的第一認證數(shù)據(jù)發(fā)送給該移動終端����。
10.如權(quán)利要求8所述的認證系統(tǒng),其特征在于���,如果移動終端生成的第二認證數(shù)據(jù)采 用數(shù)字簽名����,則所述應(yīng)用服務(wù)器還用于,在對第二認證數(shù)據(jù)進行認證之前���,獲取所述用戶的 用戶證書�����,用獲取到的用戶證書驗證第二認證數(shù)據(jù)的數(shù)字簽名�。
11.一種應(yīng)用服務(wù)器�,其特征在于,包括登錄賬號驗證模塊����,用于對用戶通過認證客戶端提交的登錄賬號進行驗證;認證數(shù)據(jù)生成模塊���,用于在所述登錄賬號驗證模塊對登錄賬號驗證通過后生成第一 認證數(shù)據(jù)����,將第一認證數(shù)據(jù)提供給所述認證客戶端����,并發(fā)送給與該登錄賬號綁定的移動終 端����;身份認證模塊���,用于接收所述移動終端發(fā)送的第二認證數(shù)據(jù),對第二認證數(shù)據(jù)進行驗 證�����,并根據(jù)驗證結(jié)果確定該用戶的身份是否合法�����;其中��,所述移動終端在確認該移動終端接 收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第一認證數(shù)據(jù)一致后生成并發(fā)送第二認 證數(shù)據(jù)���。
12.如權(quán)利要求11所述的應(yīng)用服務(wù)器�,其特征在于�,所述身份認證模塊驗證第二認證 數(shù)據(jù)時,使用其生成的第一認證數(shù)據(jù)��,采用與所述移動終端約定的方式生成認證數(shù)據(jù),并將 該自己生成的認證數(shù)據(jù)與所述移動終端生成的第二認證數(shù)據(jù)進行比較��,如果兩者一致��,則 對第二認證數(shù)據(jù)認證通過�。
13.如權(quán)利要求11或12所述的應(yīng)用服務(wù)器,其特征在于�,還包括獲取模塊,用于獲取所述用戶的用戶證書���,用獲取到的用戶證書驗證所述身份認證模 塊接收到的第二認證數(shù)據(jù)的數(shù)字簽名���。
14.一種數(shù)據(jù)傳輸服務(wù)器,其特征在于��,包括與應(yīng)用服務(wù)器的接口模塊����,用于接收應(yīng)用服務(wù)器生成并發(fā)送的第一認證數(shù)據(jù);以及�,將 移動終端發(fā)送的、經(jīng)格式轉(zhuǎn)換后的第二認證數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器�����;與移動終端的接口模塊,用于將格式轉(zhuǎn)換后的第一認證數(shù)據(jù)發(fā)送給與應(yīng)用服務(wù)器驗證 通過的登錄賬號綁定的移動終端���;以及��,接收所述移動終端發(fā)送的第二認證數(shù)據(jù)��,其中��,所 述移動終端在確認該移動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第一認 證數(shù)據(jù)一致后生成并發(fā)送第二認證數(shù)據(jù)���;格式轉(zhuǎn)換模塊��,用于將從應(yīng)用服務(wù)器接收的第一認證數(shù)據(jù)轉(zhuǎn)換為移動終端支持的數(shù)據(jù) 格式��;以及��,將從移動終端接收的第二認證數(shù)據(jù)轉(zhuǎn)換為應(yīng)用服務(wù)器支持的數(shù)據(jù)格式����。
15.如權(quán)利要求14所述的數(shù)據(jù)傳輸服務(wù)器,其特征在于��,所述與移動終端的接口模塊����, 通過向所述移動終端發(fā)送數(shù)據(jù)短消息�����,將格式轉(zhuǎn)換后的第一認證數(shù)據(jù)發(fā)送給所述移動終 端�。
全文摘要
本發(fā)明公開了一種基于移動終端的身份認證方法及其裝置和系統(tǒng)����,以解決現(xiàn)有身份認證技術(shù)安全性差和使用場景受限的問題。該方法包括網(wǎng)絡(luò)側(cè)對用戶通過所在認證客戶端提交的登錄賬號驗證通過后�����,生成第一認證數(shù)據(jù)���,將第一認證數(shù)據(jù)提供給所述認證客戶端��,并發(fā)送給與該登錄賬號綁定的移動終端��;網(wǎng)絡(luò)側(cè)接收所述移動終端發(fā)送的第二認證數(shù)據(jù)��,其中�,所述移動終端在確認該移動終端接收到的第一認證數(shù)據(jù)與所述認證客戶端接收到的第一認證數(shù)據(jù)一致后��,生成并發(fā)送第二認證數(shù)據(jù);網(wǎng)絡(luò)側(cè)對第二認證數(shù)據(jù)進行驗證�����,并根據(jù)驗證結(jié)果確定該用戶的身份是否合法����。
文檔編號H04L29/06GK101997824SQ20091009136
公開日2011年3月30日 申請日期2009年8月20日 優(yōu)先權(quán)日2009年8月20日
發(fā)明者劉海龍, 左敏, 柏洪濤, 涂曉強, 粟栗 申請人:中國移動通信集團公司