基于移动终端的身份认证方法及其装置和系统制造方法及图纸

本发明专利技术公开了一种基于移动终端的身份认证方法及其装置和系统，以解决现有身份认证技术安全性差和使用场景受限的问题。该方法包括：网络侧对用户通过所在认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；网络侧接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据；网络侧对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及一种基于移动终端的身份认证方法及其装置和系 统。
技术介绍
互联网和电子商务的高速发展带动了在线交易、网络银行等繁荣，其交易额也呈 现倍数的增长，但这种不断增长的趋势背后，网络银行的安全问题愈发让人担心。而网络信 息化时代的最大特征就是身份的数字化和隐形化，如何准确识别一个人的身份，同时保护 信息资料安全成为必须面对和解决的一个问题。网上交易的频繁和网上银行的安全漏洞，使黑客更容易利用各种手段盗取银行卡 卡号、密码及个人资料，假冒通知、木马程序、钓鱼网站等虚假信息不断涌现。所谓钓鱼网站 就是不法分子利用各种手段，仿冒真实网站的URL (Uniform Resource Locator，统一资源 定位器)地址以及页面内容，或是利用真实网站服务器程序上的漏洞在站点的某些网页中 插入危险的HTML(HyperText Mark-up Language，超文本标记语言)代码，以此来骗取用户 银行或信用卡账号、密码等私人资料。钓鱼网站因存活期短、形式隐蔽等特点，传统的司法 手段很难对其进行有效打击。因此，如何防止关键个人信息被木马、钓鱼网站等盗取或监听 成为个人身份认证系统面对的挑战。目前网络上常用的身份认证方式主要有如下几种(1)用户名/ 口令认证技术用户名/ 口令认证是最简单也是最普遍使用的身份认证方法。用户只要能够正确 输入他自己的密码，系统就对该用户认证通过。由于密码是静态数据，并且在验证过程中需要在计算机内存、登录Web页面以及 网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中 的木马程序、钓鱼网站以及网络中的监听设备截获。(2)动态口令认证技术动态口令认证技术是一种让用户的口令按照时间或使用次数不断动态变化，每个 口令只使用一次的技术。它采用一种称之为动态令牌的专用硬件，口令生成芯片运行专门 的口令生成算法，根据当前时间或使用次数生成当前口令。用户使用时将动态令牌上显示 的当前口令输入认证客户端终端，从而实现身份的确认。动态口令认证技术的安全性高于用户名/ 口令认证技术，但是如果客户端硬件与 服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登陆的问题。 并且，用户每次登录时需要在Web认证页面中输入密码，依然存在被钓鱼网站非法截获的 风险。(3)USBKey 认证技术USB Key身份认证技术是采用软硬件相结合、一次一密的强双因子认证模式。它内 置单片机或智能卡芯片，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。该认证方式，需要将USB Key插入认证客户端所在的PC机才可使用，使得USB Key 的使用场景受限。(4)生物特征认证技术生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术，常见 的有指纹识别、虹膜识别等。但受到目前生物特征识别技术成熟度的影响，采用生物特征认 证还具有较大的局限性，其准确性和稳定性还有待提高。因此，目前迫切需要一种可以有效防范用户身份盗窃程序、安全性高，同时使用场 景不受过多限制，并在技术上容易实现的身份认证技术。
技术实现思路
本专利技术实施例提供了一种基于移动终端的身份认证方法及其装置和系统，用以解 决现有身份认证技术安全性差和使用场景受限的问题。本专利技术实施例提供的技术方案包括一种基于移动终端的身份认证方法，包括以下步骤网络侧对用户通过所在认证客户端提交的登录账号验证通过后，生成第一认证数 据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；网络侧接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移 动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发 送第二认证数据；网络侧对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法。一种基于移动终端的认证系统，包括应用服务器和数据传输服务器；其中所述应用服务器，用于对用户通过认证客户端提交的登录账号验证通过后，生成 第一认证数据，将第一认证数据提供给所述认证客户端，并发送给所述数据传输服务器；以 及，对所述数据传输服务器发送来的第二认证数据进行验证，并根据验证结果确定该用户 的身份是否合法；所述数据传输服务器，用于将接收到的第一认证数据转换为移动终端支持的数据 格式后，发送给与所述登录账号绑定的移动终端；以及，接收所述移动终端发送的第二认证 数据，将第二认证数据转换为所述应用服务器支持的数据格式后发送给所述应用服务器， 其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的 第一认证数据一致后，生成并发送第二认证数据。一种应用服务器，包括登录账号验证模块，用于对用户通过认证客户端提交的登录账号进行验证；认证数据生成模块，用于在所述登录账号验证模块对登录账号验证通过后生成第 一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动 终端；身份认证模块，用于接收所述移动终端发送的第二认证数据，对第二认证数据进 行验证，并根据验证结果确定该用户的身份是否合法；其中，所述移动终端在确认该移动终 端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后生成并发送第二认证数据。一种数据传输服务器，包括与应用服务器的接口模块，用于接收应用服务器生成并发送的第一认证数据；以 及，将移动终端发送的、经格式转换后的第二认证数据发送给应用服务器；与移动终端的接口模块，用于将格式转换后的第一认证数据发送给与应用服务器 验证通过的登录账号绑定的移动终端；以及，接收所述移动终端发送的第二认证数据，其 中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第 一认证数据一致后生成并发送第二认证数据；格式转换模块，用于将从应用服务器接收的第一认证数据转换为移动终端支持的 数据格式；以及，将从移动终端接收的第二认证数据转换为应用服务器支持的数据格式。本专利技术的上述实施例中，网络侧在对用户提交的登录账号验证通过后，首先生成 第一认证数据，并提供给认证客户端以及发送给与登录账号绑定的移动终端，从而供用户 比较并确认是否相同，如果确认相同，则通过移动终端将移动终端生成的第二认证数据发 送给网络侧，使网络侧根据该第二认证数据对该用户进行身份认证。可以看出，用户只需 通过移动终端确认认证客户端和移动终端接收到的第一认证数据是否相同，与现有技术相 比，无需用户在登录认证界面中输入任何认证信息，这样，避免了认证客户端被非法程序监 听而导致认证信息丢失，从而有效地防止了驻留在认证客户端中的非法程序对用户身份信 息的盗取，提高了安全性。由于本专利技术实施例提供的上述技术方案，对认证客户端没有特殊 要求，因此，可适用于不同类型的认证客户端，而不受使用场景的限制。附图说明图1为本专利技术实施例所涉及的网络系统架构示意图；图2为本专利技术实施例中基于移动终端的身份认证流程示意图；图3为本专利技术实施例中的登录认证界面示意图；图4为本专利技术实施例中显示有临时认证票据的登录认证界面示意图；图5为本专利技术实施例中的应用服务器的结构示意图；图6为本专利技术实施例中的数据传输服务器的结构示意图。具体实施例方式下面结合附图对本专利技术实施本文档来自技高网...

【技术保护点】
一种基于移动终端的身份认证方法，其特征在于，包括以下步骤：　　网络侧对用户通过所在认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；　　网络侧接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据；　　网络侧对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法。

【技术特征摘要】
一种基于移动终端的身份认证方法，其特征在于，包括以下步骤网络侧对用户通过所在认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；网络侧接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据；网络侧对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法。2.如权利要求1所述的方法，其特征在于，移动终端生成第二认证数据，包括移动终端使用第一认证数据，采用与网络侧约定的方式生成第二认证数据；网络侧对第二数据进行认证，包括网络侧使用其生成的第一认证数据，采用与所述移动终端约定的方式生成认证数据， 并将该自己生成的认证数据与所述移动终端生成的第二认证数据进行比较，如果两者一 致，则对第二认证数据验证通过。3.如权利要求1或2所述的方法，其特征在于，如果所述移动终端生成的第二认证数据 采用数字签名，则网络侧对该第二认证数据进行认证之前还包括获取所述用户的用户证书，用获取到的用户证书验证该第二认证数据的数字签名。4.如权利要求1所述的方法，其特征在于，网络侧在提供给所述认证客户端的登录界 面上还显示有图形附加码，在对所述登录账号验证时还接收所述认证客户端根据该图形附 加码所提交的数据，并将该数据与该图形附加码所显示的内容比较，如果在网络侧注册有 所述登录账号的前提下两者一致，则对所述登录账号验证通过。5.如权利要求1所述的方法，其特征在于，网络侧通过向所述移动终端发送数据短消 息，将第一认证数据发送给该移动终端。6.如权利要求1、2、4或5所述的方法，其特征在于，将第一认证数据发送给与所述登录 账号绑定的移动终端，具体为应用服务器将其生成的第一认证数据，以及与所述登录账号绑定的移动终端标识发送 给数据传输服务器；所述数据传输服务器将第一认证数据转换为所述移动终端支持的数据格式后，根据所 述移动终端标识将格式转换后的第一认证数据发送给相应移动终端；网络侧接收所述移动终端生成并发送的第二认证数据，具体为所述数据传输服务器接收所述移动终端发送的第二认证数据，将其转换为所述应用服 务器支持的数据格式后，发送给所述应用服务器。7.如权利要求1、2、4或5所述的方法，其特征在于，所述认证客户端为安装于移动终端 中的认证客户端，或者安装于PC终端中的认证客户端。8.一种基于移动终端的认证系统，其特征在于，包括应用服务器和数据传输服务器；其中所述应用服务器，用于对用户通过认证客户端提交的登录账号验证通过后，生成第一 认证数据，将第一认证数据提供给所述认证客户端，并发送给所述数据传输服务器；以及， 对所述数据传输服务器发送来的第二认证数据进行验证，并根据验证结果确定该用户的身 份是否合法；所述数据传输服务器，用于...

【专利技术属性】
技术研发人员：柏洪涛，刘海龙，粟栗，涂晓强，左敏，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：11[中国|北京]