一種業(yè)務(wù)認證方法��、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種業(yè)務(wù)認證方法��、裝置及系統(tǒng)�,該方法包括:業(yè)務(wù)認證服務(wù)器接收針對用戶名信息的認證請求�����,其中����,所述認證請求中包含鑒權(quán)隨機數(shù),所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時��,按照預設(shè)算法隨機生成并發(fā)送的;根據(jù)存儲的用戶名信息和包含SIM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系��,獲得所述用戶名信息對應(yīng)的用戶身份標識信息�����;且獲得該用戶身份標識信息的認證向量��,并向所述終端發(fā)送認證響應(yīng)信息�,接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求����,根據(jù)所述業(yè)務(wù)認證響應(yīng)請求、認證向量和所述鑒權(quán)隨機數(shù)�,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證。能夠較好地提高業(yè)務(wù)認證的安全性�����。
【專利說明】—種業(yè)務(wù)認證方法���、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,尤其是涉及一種業(yè)務(wù)認證方法���、裝置及系統(tǒng)���。
【背景技術(shù)】
[0002]在物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用中,網(wǎng)絡(luò)安全日益成為終端用戶比較關(guān)注的問題����。
[0003]現(xiàn)有物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用中,為保證終端用戶的隱私性�,以及提高網(wǎng)絡(luò)安全,在物聯(lián)網(wǎng)終端用戶側(cè)與網(wǎng)絡(luò)業(yè)務(wù)平臺側(cè)需要進行業(yè)務(wù)認證時����,通常采用預先為用戶分配用戶名/ 口令的方式進行業(yè)務(wù)認證。具體地���,基于用戶名/ 口令進行業(yè)務(wù)認證的方式���,該方式中業(yè)務(wù)平臺側(cè)與終端用戶側(cè)通過離線的方式預先設(shè)定固定的用戶名/ 口令,在終端用戶接入網(wǎng)絡(luò)與業(yè)務(wù)平臺側(cè)進行通信要求進行業(yè)務(wù)處理時���,業(yè)務(wù)平臺側(cè)會要求終端用戶側(cè)輸入用戶名/ 口令��,終端用戶通過在終端上輸入用戶名/ 口令����,并將輸入的用戶名/ 口令,直接明文或者進行簡單的數(shù)學轉(zhuǎn)換后將結(jié)果發(fā)送給網(wǎng)絡(luò)業(yè)務(wù)平臺側(cè)�����,網(wǎng)絡(luò)業(yè)務(wù)平臺側(cè)根據(jù)接收到的用戶名/ 口令對終端用戶進行身份認證���,當認證通過時,則允許終端用戶進業(yè)務(wù)使用����,反之拒絕用戶使用業(yè)務(wù)。[0004]現(xiàn)有技術(shù)中基于用戶名/ 口令的端到端業(yè)務(wù)認證方式���,存在較為嚴重的安全隱患����,終端用戶設(shè)置的用戶名/ 口令容易被非法分子探測����,偵知。大部分終端用戶的用戶名/口令一般長期保持不變�,并且終端用戶為了便于使用,一般采用有規(guī)律或者建大的字符、數(shù)字等組合來設(shè)置用戶名/ 口令��,使得攻擊者可以可以通過猜測�、字典攻擊等方式獲得終端用戶的用戶名/ 口令,并通過獲得的用戶名/ 口令進行非法使用�。
[0005]綜上所述,現(xiàn)有技術(shù)中提出的業(yè)務(wù)認證方式�����,安全性較低�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明實施例提供了一種業(yè)務(wù)認證方法�、裝置及系統(tǒng),能夠較好地提高業(yè)務(wù)認證的安全性����。
[0007]—種業(yè)務(wù)認證方法,包括:業(yè)務(wù)認證服務(wù)器接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的針對用戶名信息的認證請求�����,其中�����,所述認證請求中包含鑒權(quán)隨機數(shù),所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時��,按照預設(shè)算法隨機生成并發(fā)送的�;根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別(SIM, Subscriber IdentityModule)/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息����;且獲得該用戶身份標識信息的認證向量�,并向所述終端發(fā)送認證響應(yīng)信息,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量�����;接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求����,根據(jù)所述業(yè)務(wù)認證響應(yīng)請求、所述認證向量和所述鑒權(quán)隨機數(shù)��,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
[0008]一種業(yè)務(wù)認證方法�����,包括:包含用戶識別/通用用戶識別SM/US頂卡的終端獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值����,其中所述認證響應(yīng)信息是網(wǎng)絡(luò)側(cè)根據(jù)獲得的認證向量向所述終端發(fā)送的,所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量��;接收鑒權(quán)隨機數(shù)�����,其中所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有用戶名信息的業(yè)務(wù)請求時����,按照預設(shè)算法隨機生成并發(fā)送的;根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值�����,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求�,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SIM/USIM卡的終端的用戶身份標識信息,網(wǎng)絡(luò)側(cè)根據(jù)所述業(yè)務(wù)認證響應(yīng)請求����,確定該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證��。
[0009]一種業(yè)務(wù)認證裝置����,包括:接收模塊����,用于接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的針對用戶名信息的認證請求,其中���,所述認證請求中包含鑒權(quán)隨機數(shù)����,所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時��,按照預設(shè)算法隨機生成并發(fā)送給業(yè)務(wù)認證服務(wù)器的�;獲得模塊��,用于根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系��,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息�;且獲得該用戶身份標識信息的認證向量,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量��;發(fā)送模塊,用于向所述終端發(fā)送認證響應(yīng)信息�;所述接收模塊,還用于接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求��;確定模塊�����,用于根據(jù)所述業(yè)務(wù)認證響應(yīng)請求����,認證向量和所述鑒權(quán)隨機數(shù),確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證����。
[0010]一種業(yè)務(wù)認證裝置,包括:獲得模塊���,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值�����,其中所述認證響應(yīng)信息是網(wǎng)絡(luò)側(cè)根據(jù)獲得的認證向量向包含用戶識別/通用用戶識別SM/US頂卡的終端發(fā)送的�,所述認證向量是該終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量;接收模塊��,用于接收鑒權(quán)隨機數(shù)�,其中所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有用戶名信息的業(yè)務(wù)請求時,按照預設(shè)算法隨機生成并發(fā)送的��;發(fā)送模塊�,用于根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求�,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SM/USM卡的終端的用戶身份標識信息,網(wǎng)絡(luò)側(cè)根據(jù)所述業(yè)務(wù)認證響應(yīng)請求�����,確定該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證��。
[0011]一種業(yè)務(wù)認證系統(tǒng)�����,包括包含用戶識別/通用用戶識別SM/US頂卡的終端���,業(yè)務(wù)認證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器,其中業(yè)務(wù)認證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器之間設(shè)置有安全傳輸通道進行通信��;所述業(yè)務(wù)應(yīng)用服務(wù)器��,用于發(fā)送針對用戶名信息的認證請求,其中���,所述認證請求中包含鑒權(quán)隨機數(shù)���,所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時,按照預設(shè)算法隨機生成并分別發(fā)送給業(yè)務(wù)認證服務(wù)器和客戶端�����;所述業(yè)務(wù)認證服務(wù)器�����,用于接收認證請求�����,根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系���,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息�;且獲得該用戶身份標識信息的認證向量�,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量;并向所述終端發(fā)送認證響應(yīng)信息,接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求���,根據(jù)所述認證響應(yīng)請求����、所述認證向量和所述鑒權(quán)隨機數(shù)���,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證����;所述終端��,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值�,接收鑒權(quán)隨機數(shù),根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值����,向業(yè)務(wù)認證服務(wù)器發(fā)送業(yè)務(wù)認證響應(yīng)請求,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SIM/US頂卡的終端的用戶身份標識息O
[0012]采用上述技術(shù)方案�����,通過接收的由業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的認證請求中包含的鑒權(quán)隨機數(shù)�����,和獲得的終端接入移動通信網(wǎng)絡(luò)時用于鑒權(quán)的認證向量���,以及終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求�,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證�����。從而在進行業(yè)務(wù)認證時��,能夠較好地提高業(yè)務(wù)認證過程的安全性�����。
【專利附圖】
【附圖說明】
[0013]圖1為本發(fā)明實施例一中����,提出的業(yè)務(wù)認證系統(tǒng)結(jié)構(gòu)組成示意圖;
[0014]圖2為本發(fā)明實施例二中�,提出的業(yè)務(wù)認證方法流程圖;
[0015]圖3為本發(fā)明實施例二中�����,提出的網(wǎng)絡(luò)側(cè)業(yè)務(wù)認證裝置結(jié)構(gòu)組成示意圖;
[0016]圖4為本發(fā)明實施例二中�,提出的終端側(cè)業(yè)務(wù)認證裝置結(jié)構(gòu)組成示意圖。
【具體實施方式】
[0017]針對現(xiàn)有技術(shù)中存在的業(yè)務(wù)認證方法安全性較低的問題��,本發(fā)明實施例這里提出的技術(shù)方案�����,通過通過接收的由業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的認證請求中包含的鑒權(quán)隨機數(shù)���,和獲得的終端接入移動通信網(wǎng)絡(luò)時用于鑒權(quán)的認證向量���,以及終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證����。能夠較好地提高業(yè)務(wù)認證的安全性。
[0018]下面將結(jié)合各個附圖對本發(fā)明實施例技術(shù)方案的主要實現(xiàn)原理�����、【具體實施方式】及其對應(yīng)能夠達到的有益效果進行詳細地闡述�����。
[0019]實施例一
[0020]本發(fā)明實施例一這里提出一種業(yè)務(wù)認證系統(tǒng),如圖1所示�,包括終端側(cè)和網(wǎng)絡(luò)側(cè)��,其中在終端側(cè)設(shè)置有包含用戶識別/通用用戶識別SM/US頂卡的終端�����,在網(wǎng)絡(luò)側(cè)設(shè)置有業(yè)務(wù)認證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器���,其中業(yè)務(wù)認證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器之間設(shè)置有安全傳輸通道進行通信��。
[0021]所述業(yè)務(wù)應(yīng)用服務(wù)器����,用于發(fā)送針對用戶名信息的認證請求��,其中�����,所述認證請求中包含鑒權(quán)隨機數(shù)�����,所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時,按照預設(shè)算法隨機生成并分別發(fā)送給業(yè)務(wù)認證服務(wù)器和客戶端���。
[0022]所述業(yè)務(wù)認證服務(wù)器�����,用于接收認證請求��,根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系����,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息���;且獲得該用戶身份標識信息的認證向量�,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量�;并向所述終端發(fā)送認證響應(yīng)信息,接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求,根據(jù)所述認證響應(yīng)請求、所述認證向量和所述鑒權(quán)隨機數(shù)�,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證。
[0023]具體地���,所述業(yè)務(wù)認證響應(yīng)請求中包含終端側(cè)的期望鑒權(quán)值�����,所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的認證響應(yīng)信息和鑒權(quán)隨機數(shù)計算得到的����;上述業(yè)務(wù)認證服務(wù)器,具體用于確定網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值和業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值��,其中所述網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值是根據(jù)所述鑒權(quán)隨機數(shù)和獲得的認證向量確定出的����;根據(jù)獲得的終端側(cè)的期望鑒權(quán)值��,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果�,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證。
[0024]具體地�,上述業(yè)務(wù)認證服務(wù)器,具體用于確定接收到的終端側(cè)的期望鑒權(quán)值是否等于網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值��,如果等于��,則確定該認證請求所針對的用戶名信息通過業(yè)務(wù)認證�,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送認證成功消息;反之��,則確定該認證請求所針對的用戶名信息未通過業(yè)務(wù)認證�����,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)認證失敗消息。
[0025]所述終端�,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值,接收鑒權(quán)隨機數(shù)�,根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值,向業(yè)務(wù)認證服務(wù)器發(fā)送業(yè)務(wù)認證響應(yīng)請求���,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息��。
[0026]具體地�,上述終端���,具體用于在獲得認證響應(yīng)值之后����,展示請求輸入鑒權(quán)隨機數(shù)的界面���。
[0027]具體實施中����,業(yè)務(wù)客戶端可以安裝在不包含SM/USM卡的第一終端中,也可以安裝在包含SM/USM卡的第二終端中����。[0028]本發(fā)明實施例一這里,以客戶端安裝在第一終端為例來進行詳細闡述�。在終端側(cè),包括第一終端�����、第二終端���,第一終端中安裝業(yè)務(wù)客戶端,在網(wǎng)絡(luò)側(cè)包含業(yè)務(wù)應(yīng)用服務(wù)器���、業(yè)務(wù)認證服務(wù)器�����。
[0029]其中���,所述第一終端,用于接收終端用戶輸入的使用用戶名信息接入物聯(lián)網(wǎng)網(wǎng)絡(luò)進行業(yè)務(wù)使用時發(fā)送的認證請求�����,并將所述認證請求發(fā)送給業(yè)務(wù)應(yīng)用服務(wù)器。
[0030]具體地���,第一終端可以但不限于是終端用戶使用的個人計算機(PC�,PersonalComputer)��、專用儀器等能夠和與業(yè)務(wù)平臺進行通信的終端設(shè)備��。較佳地�����,本發(fā)明實施例這里以第一終端為PC設(shè)備為例來進行方案的詳細闡述��。
[0031]具體地�����,所述用戶名信息可以但不限于是僅包含用戶名的格式���,或者是包含用戶名/ 口令的格式�����,較佳地�����,為保證業(yè)務(wù)認證的安全性�����,本發(fā)明實施例一這里提出的用戶名信息是采用用戶名/口令的格式���。
[0032]所述業(yè)務(wù)應(yīng)用服務(wù)器��,用于根據(jù)接收的第一終端發(fā)來的針對用戶名信息的認證請求�,按照預設(shè)算法隨機生成鑒權(quán)隨機數(shù)并分別發(fā)送給第一終端和業(yè)務(wù)認證服務(wù)器���。
[0033]其中,業(yè)務(wù)應(yīng)用服務(wù)器設(shè)置在業(yè)務(wù)平臺側(cè)�����,所述業(yè)務(wù)平臺可以由業(yè)務(wù)提供商設(shè)置����。例如可以是業(yè)務(wù)提供商設(shè)置的醫(yī)療、金融等網(wǎng)絡(luò)業(yè)務(wù)平臺。
[0034]所述業(yè)務(wù)認證服務(wù)器�,用于接收認證請求,根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系��,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息�;且獲得該用戶身份標識信息的認證向量,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量�;并向所述終端發(fā)送認證響應(yīng)信息,接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求,根據(jù)所述認證響應(yīng)請求、所述認證向量和所述鑒權(quán)隨機數(shù)��,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
[0035]其中�����,業(yè)務(wù)認證服務(wù)器設(shè)置在網(wǎng)絡(luò)側(cè)���,業(yè)務(wù)認證服務(wù)器可以但不限于是獨立設(shè)置在移動通信系統(tǒng)中的一個獨立設(shè)備,也可以是集成在移動通信系統(tǒng)中包含的任一網(wǎng)元設(shè)備中��。例如�����,可以集成在用戶簽約認證(HSS, Home Subscriber Server)網(wǎng)元設(shè)備中。
[0036]業(yè)務(wù)認證服務(wù)器可以直接或間接的在HSS網(wǎng)元設(shè)備中獲得第二終端的認證向量�。具體地,獲得的認證向量的格式與第二終端中包含SM卡或者USM卡接入移動通信網(wǎng)絡(luò)時��,進行鑒權(quán)時所使用的認證向量的格式相同�。
[0037]具體地,第一終端可以通過互聯(lián)網(wǎng)和業(yè)務(wù)平臺相連進行通信�,第二終端可以通過無線網(wǎng)絡(luò)與移動通信系統(tǒng)相連,業(yè)務(wù)平臺和移動通信系統(tǒng)之間可以設(shè)置安全傳輸通道來傳輸數(shù)據(jù)��。例如��,可以設(shè)置專用的傳輸通道傳輸業(yè)務(wù)平臺和移動通信系統(tǒng)之間的數(shù)據(jù)��。
[0038]所述第二終端�����,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值�,接收鑒權(quán)隨機數(shù),根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值�����,向業(yè)務(wù)認證服務(wù)器發(fā)送業(yè)務(wù)認證響應(yīng)請求����,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SIM/USIM卡的終端的用戶身份標識信息。
[0039] 具體地����,上述第二終端,具體用于在獲得認證響應(yīng)值之后�,向終端用戶展示請求輸入鑒權(quán)隨機數(shù)的界面,用于提示終端用戶輸入在第一終端中接收到的鑒權(quán)隨機數(shù)��。
[0040]具體地�����,上述第一終端�����,具體用于接收終端用戶輸入的用戶名/ 口令��,并將所述用戶名/口令發(fā)送給業(yè)務(wù)應(yīng)用服務(wù)器���;
[0041]所述業(yè)務(wù)應(yīng)用服務(wù)器�,還用于將接收到的用戶名/ 口令和自身存儲的用戶名/ 口令進行比對�����,在比對結(jié)果相同時,生成鑒權(quán)隨機數(shù)���。
[0042]實施例二
[0043]基于圖1所示的系統(tǒng)架構(gòu)��,本發(fā)明實施例二這里還提出一種業(yè)務(wù)認證方法�,
[0044]具體實施中�����,業(yè)務(wù)客戶端可以安裝在不包含SM/US頂卡的第一終端中�,也可以安裝在包含SIM/US頂卡的第二終端中。本發(fā)明實施例二這里��,以客戶端安裝在第一終端為例來進行詳細闡述���,即第一終端和第二終端是兩個獨立的終端�,第一終端可以是PC機����。如圖2所示,具體處理流程如下述:
[0045]步驟201���,終端用戶使用第一終端接入業(yè)務(wù)平臺���,第一終端接收終端用戶輸入針對用戶名信息的接入請求,并將接收到的接入請求發(fā)送給業(yè)務(wù)應(yīng)用服務(wù)器�����。
[0046]其中�,本發(fā)明實施例二這里提出的技術(shù)方案中,以第一終端是PC設(shè)備�����,用戶名信息為用戶名/ 口令為例來進行詳細闡述��,PC通過互聯(lián)網(wǎng)與業(yè)務(wù)應(yīng)用服務(wù)器進行通信��,終端用戶在PC設(shè)備中輸入用戶名/ 口令�,PC將接收到的用戶名/ 口令發(fā)送給業(yè)務(wù)應(yīng)用服務(wù)器。
[0047]具體實施中�����,例如在金融行業(yè)中�,金融業(yè)務(wù)提供商設(shè)置金融業(yè)務(wù)應(yīng)用服務(wù)器�����,終端用戶可以通過互聯(lián)網(wǎng)���,與金融業(yè)務(wù)應(yīng)用服務(wù)器通信,來進行業(yè)務(wù)操作�,如轉(zhuǎn)賬、電子支付等業(yè)務(wù)處理?�,F(xiàn)有技術(shù)中終端用戶一般使用用戶名/ 口令的方式直接登錄金融業(yè)務(wù)系統(tǒng)���。用戶名/ 口令可以是終端用戶在開通業(yè)務(wù)使用時����,預先設(shè)定的��,在業(yè)務(wù)平臺側(cè)����,保存用戶名/口令和相應(yīng)業(yè)務(wù)的對應(yīng)關(guān)系(例如保存在業(yè)務(wù)應(yīng)用服務(wù)器中),并且也存儲著用戶名信息和包含用戶識別/通用用戶識別SIM/USIM卡的第二終端的用戶身份標識信息的對應(yīng)關(guān)系����。
[0048]步驟202����,業(yè)務(wù)應(yīng)用服務(wù)器接收第一終端發(fā)來的接入請求��,將接收請求中包含的用戶名信息和自身存儲的用戶名信息進行比對���。
[0049]其中,業(yè)務(wù)應(yīng)用服務(wù)器接收PC發(fā)來的用戶名/ 口令��,將接收到的用戶名/ 口令與自身存儲的用戶名/ 口令進行比對�����,如果比對結(jié)果相同���,則可以確定初步驗證通過�。例如����,在金融行業(yè)中,終端用戶在PC中輸入用戶名/ 口令�����,通過互聯(lián)網(wǎng)發(fā)送給業(yè)務(wù)應(yīng)用服務(wù)器,請求處理某一定制的業(yè)務(wù)����。業(yè)務(wù)應(yīng)用服務(wù)器根據(jù)接收到的用戶名/ 口令,以及該終端用戶定制的業(yè)務(wù)����,在自身存儲的業(yè)務(wù)和用戶名/ 口令的對應(yīng)關(guān)系中,確定接收到的用戶名/ 口令是否正確��,如果正確����,則確定終端用戶完成初級認證,建立初級安全通道��。業(yè)務(wù)應(yīng)用服務(wù)器可以和PC之間傳輸數(shù)據(jù)�。反之,則可以拒絕后續(xù)任何操作���。
[0050]步驟203�����,在比對結(jié)果相同時�����,業(yè)務(wù)應(yīng)用服務(wù)器向業(yè)務(wù)認證服務(wù)器發(fā)送針對用戶名信息的認證請求���。
[0051]其中��,所述認證請求中包含鑒權(quán)隨機數(shù),所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時���,按照預設(shè)算法隨機生成并發(fā)送的����。具體地��,所述鑒權(quán)隨機數(shù)分別發(fā)送給第一終端和業(yè)務(wù)認證服務(wù)器��。
[0052]在對用戶名/ 口令驗證通過之后�����,業(yè)務(wù)應(yīng)用服務(wù)器按照預設(shè)算法隨機生成鑒權(quán)隨機數(shù)�,并通過建立的初級安全通道將鑒權(quán)隨機數(shù)(例如可以用RANDl來表示)通過PC展示給終端用戶,以及將生成的鑒權(quán)隨機數(shù)RANDl通過業(yè)務(wù)應(yīng)用服務(wù)器和業(yè)務(wù)認證服務(wù)器之間設(shè)置的安全傳輸通道發(fā)送給業(yè)務(wù)認證服務(wù)器。具體實施中���,在金融行業(yè)中��,業(yè)務(wù)應(yīng)用服務(wù)器和業(yè)務(wù)認證服務(wù)之間可以設(shè)置專用數(shù)據(jù)傳輸通道��。在用戶名/ 口令認證之后���,業(yè)務(wù)應(yīng)用服務(wù)器將包含隨機生成的鑒權(quán)隨機數(shù)RANDl的認證請求通過初級安全通道發(fā)送給PC,以及將隨機生成的鑒權(quán)隨機數(shù)RANDl通過專用數(shù)據(jù)傳輸通道發(fā)送給業(yè)務(wù)認證服務(wù)器���。
[0053]步驟204����,業(yè)務(wù)認證服務(wù)器在接收到鑒權(quán)隨機數(shù)后��,根據(jù)存儲的用戶名信息和包含SIM/USIM卡的第二終端的用戶身份標識信息的對應(yīng)關(guān)系��,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息�����,并獲得該用戶身份標識信息的認證向量���。
[0054]其中����,可以通過直接或者間接的方式在HSS網(wǎng)元設(shè)備中獲得第二終端的用戶身份標識信息對應(yīng)的認證向量。業(yè)務(wù)認證服務(wù)器在獲得鑒權(quán)隨機數(shù)和第二終端的用戶身份標識信息之后��,在HSS網(wǎng)元設(shè)備中獲得和第二終端的用戶身份標識信息對應(yīng)的認證向量�����。例如包含SM卡的終端在進行接入網(wǎng)絡(luò)認證時�,認證向量可以是三維矩陣形式,證向量AV中包含認證隨機數(shù)(RAND2)��、鑒權(quán)值(AUTN)�、期待響應(yīng)值(XKES)�,即AV=(RAND2,AUTN, XRES)�。
[0055]步驟205,在獲得該用戶身份標識信息的認證向量之后��,向第二終端發(fā)送認證響應(yīng)信息����。
[0056]業(yè)務(wù)認證服務(wù)器根據(jù)獲得的認證向量��,向第二終端發(fā)送認證響應(yīng)信息���,其中認證認證響應(yīng)信息中可以包含認證隨機數(shù)(RAND2)、鑒權(quán)值(AUTN)����,即AV1=(RAND2,AUTN)��。
[0057]步驟206���,第二終端接收認證響應(yīng)信息���,獲得所述認證響應(yīng)信息中包含的認證響應(yīng)值。
[0058]其中所述認證響應(yīng)信息是網(wǎng)絡(luò)側(cè)根據(jù)獲得的認證向量向所述終端發(fā)送的�����,所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量����。
[0059]其中,第二終端接收到AV1=(RAND2�����,AUTN)之后,通過設(shè)置的SM卡或者US頂卡進行認證處理��,得到認證響應(yīng)值RES�����。
[0060]步驟207��,第二終端在獲得認證響應(yīng)值之后�����,向終端用戶展示請求輸入鑒權(quán)隨機數(shù)的界面����,指示終端用戶在該界面中輸入鑒權(quán)隨機數(shù)�。
[0061]步驟208,終端用戶根據(jù)在第一終端中獲知的鑒權(quán)隨機數(shù)�����,將該鑒權(quán)隨機數(shù)輸入到第二終端的指定界面中�。
[0062]其中��,業(yè)務(wù)應(yīng)用服務(wù)器生成鑒權(quán)隨機數(shù)RANDl之后����,分別向第一終端和業(yè)務(wù)認證服務(wù)器發(fā)送���,因此���,終端用戶可以在第一終端中獲得鑒權(quán)隨機數(shù)RAND1,將獲得的鑒權(quán)隨機數(shù)RANDl輸入到第二終端中的指示界面中���。
[0063]步驟209����,根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值���,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求���。
[0064]其中,第二終端根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值�,確定終端側(cè)的期望鑒權(quán)值,其中所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值確定出的�����;向網(wǎng)絡(luò)側(cè)發(fā)送包含所述終端側(cè)的期望鑒權(quán)值的業(yè)務(wù)認證響應(yīng)請求,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含SM/USIM卡的終端的用戶身份標識信息����。
[0065]具體實施中,第二終端根據(jù)接收到的鑒權(quán)隨機數(shù)RANDl和獲得的認證響應(yīng)值RES��,按照計算網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值相同的計算方法�����,計算終端側(cè)的期望鑒權(quán)值�。具體實施中,第二終端可以根據(jù)獲得的RES和RANDl進行加密運算����,獲得終端側(cè)的期望鑒權(quán)值A(chǔ)uth。
[0066]步驟210��,業(yè)務(wù)認證服務(wù)器接收第二終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求�����,根據(jù)所述業(yè)務(wù)認證響應(yīng)請求��、所述認證向量和所述鑒權(quán)隨機數(shù)���,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
[0067]具體實施中,所述業(yè)務(wù)認證響應(yīng)請求中包含終端側(cè)的期望鑒權(quán)值�����,所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的認證響應(yīng)信息和鑒權(quán)隨機數(shù)計算得到的���;業(yè)務(wù)認證服務(wù)器確定網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值和業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值�,其中所述網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值是根據(jù)所述鑒權(quán)隨機數(shù)和獲得的認證向量確定出的���;根據(jù)獲得的終端側(cè)的期望鑒權(quán)值�,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果��,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證�����。
[0068]需要說明的是,本發(fā)明實施例上述提出的確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證的方式并不限于上述一種方法����,還可以采用其他方式實現(xiàn)。本發(fā)明實施例這里僅給出一種較佳的實現(xiàn)方式��。
[0069]具體地����,確定接收到的終端側(cè)的期望鑒權(quán)值是否等于網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值,如果等于�����,則確定該認證請求所針對的用戶名信息通過業(yè)務(wù)認證���,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送認證成功消息��;反之�,則確定該認證請求所針對的用戶名信息未通過業(yè)務(wù)認證�����,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)認證失敗消息��。
[0070]具體實施中,業(yè)務(wù)認證服務(wù)器可以根據(jù)獲得的認證向量和鑒權(quán)隨機數(shù)����,計算網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值��。其中���,根據(jù)獲得的認證向量AV和鑒權(quán)隨機數(shù)RAND1��,按照預設(shè)算法���,計算得到網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值。較佳地獲得的認證向量AV=(RAND2�,AUTN, XRES),通過獲得的AV中包含的XRES�,和接收到的鑒權(quán)隨機數(shù)RANDl,進行加密運算���,得到網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值XAuth,并將得到的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值XAuth進行存儲���。
[0071]相應(yīng)地,本發(fā)明實施例這里還提出一種業(yè)務(wù)認證裝置�,該裝置位于網(wǎng)絡(luò)側(cè)����,如圖3所示��,包括:
[0072]接收模塊301�,用于接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的針對用戶名信息的認證請求,其中����,所述認證請求中包含鑒權(quán)隨機數(shù),所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時���,按照預設(shè)算法隨機生成并發(fā)送給業(yè)務(wù)認證服務(wù)器的����。
[0073]獲得模塊302����,用于根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息�;且獲得該用戶身份標識信息的認證向量,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò) 時用于接入鑒權(quán)的向量���。[0074]發(fā)送模塊303����,用于向所述終端發(fā)送認證響應(yīng)信息。
[0075]所述接收模塊301��,還用于接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求���。
[0076]確定模塊304,用于根據(jù)所述業(yè)務(wù)認證響應(yīng)請求�����,認證向量和所述鑒權(quán)隨機數(shù)��,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證�。
[0077]具體地,所述業(yè)務(wù)認證響應(yīng)請求中包含終端側(cè)的期望鑒權(quán)值���,所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的認證響應(yīng)信息和鑒權(quán)隨機數(shù)計算得到的����;上述確定模塊304���,具體用于確定網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值和業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值��,其中所述網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值是根據(jù)所述鑒權(quán)隨機數(shù)和獲得的認證向量確定出的��;根據(jù)獲得的終端側(cè)的期望鑒權(quán)值����,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
[0078]具體地����,上述確定模塊304�,具體用于確定接收到的終端側(cè)的期望鑒權(quán)值是否等于網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值,如果等于����,則確定該認證請求所針對的用戶名信息通過業(yè)務(wù)認證,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送認證成功消息��;反之�����,則確定該認證請求所針對的用戶名信息未通過業(yè)務(wù)認證��,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)認證失敗消息。
[0079]相應(yīng)地�,本發(fā)明實施例這里還提出一種業(yè)務(wù)認證裝置,該裝置位于終端側(cè)����,如圖4所示,包括:
[0080]獲得模塊401��,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值�,其中所述認證響應(yīng)信息是網(wǎng)絡(luò)側(cè)根據(jù)獲得的認證向量向包含用戶識別/通用用戶識別SM/USM卡的終端發(fā)送的��,所述認證向量是該 終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量�。
[0081]接收模塊402,用于接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的鑒權(quán)隨機數(shù)�����,其中所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有用戶名信息的業(yè)務(wù)請求時��,按照預設(shè)算法隨機生成并發(fā)送的��。
[0082]發(fā)送模塊403�����,用于根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求�����,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息����,網(wǎng)絡(luò)側(cè)根據(jù)所述業(yè)務(wù)認證響應(yīng)請求,確定該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證��。
[0083]較佳地��,該裝置還包括:
[0084]確定模塊��,用于確定終端側(cè)的期望鑒權(quán)值�,其中所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值確定出的。
[0085]所述發(fā)送模塊�,具體用于向網(wǎng)絡(luò)側(cè)向網(wǎng)絡(luò)側(cè)發(fā)送包含所述終端側(cè)的期望鑒權(quán)值的業(yè)務(wù)認證響應(yīng)請求,其中�����,網(wǎng)絡(luò)側(cè)根據(jù)接收到業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值��,和確定出的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果,該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證��。
[0086]該裝置還包括:
[0087]展示模塊���,用于展示請求輸入鑒權(quán)隨機數(shù)的界面���。
[0088]采用本發(fā)明實施例這里提出的技術(shù)方案,將現(xiàn)有技術(shù)中提出的基于用戶名/ 口令的認證方式���,結(jié)合包含SM./US頂卡的終端在接入通信網(wǎng)絡(luò)時生成的認證向量����,以及業(yè)務(wù)應(yīng)用服務(wù)器生成的鑒權(quán)隨機數(shù)���,來共同完成業(yè)務(wù)認證,使得在進行業(yè)務(wù)認證時�����,可以通過基于包含SM./US頂卡的終端中的信息����,完成終端用戶的身份認證,能夠較好地提高業(yè)務(wù)認證的安全性�����,有效地防止不法分子的攻擊,從而避免了當用戶名/ 口令被攻擊者獲得后對業(yè)務(wù)系統(tǒng)造成的隨壞��,提高了系統(tǒng)的安全性��。并且本發(fā)明實施例這里提出的技術(shù)方案中��,能夠突破用戶使用設(shè)備必須使用包含SM./USIM卡的終端進行業(yè)務(wù)認證的局限性���,在整個業(yè)務(wù)認證過程中�����,終端用戶可以主動參與業(yè)務(wù)認證�����,防止攻擊者通過終端用戶不知道的認證通過合法的認證進而對終端用戶的系統(tǒng)造成損害����。
[0089]本領(lǐng)域的技術(shù)人員應(yīng)明白���,本發(fā)明的實施例可提供為方法���、裝置(設(shè)備)���、或計算機程序產(chǎn)品。因此��,本發(fā)明可采用完全硬件實施例�、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式���。而且�,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器����、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式�����。
[0090]本發(fā)明是參照根據(jù)本發(fā)明實施例的方法��、裝置(設(shè)備)和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的����。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合���?��?商峁┻@些計算機程序指令到通用計算機、專用計算機����、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置�。
[0091]這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品�,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0092]這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上�,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟��。
[0093]盡管已描述了本發(fā)明的優(yōu)選實施例���,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念��,則可對這些實施例作出另外的變更和修改�。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改�����。
[0094]顯然�����,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍���。這樣����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�,則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
【權(quán)利要求】
1.一種業(yè)務(wù)認證方法�,其特征在于,包括: 業(yè)務(wù)認證服務(wù)器接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的針對用戶名信息的認證請求�,其中,所述認證請求中包含鑒權(quán)隨機數(shù)�����,所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時���,按照預設(shè)算法隨機生成并發(fā)送的�����; 根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SIM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系��,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息��;且 獲得該用戶身份標識信息的認證向量�����,并向所述終端發(fā)送認證響應(yīng)信息��,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量�; 接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求��,根據(jù)所述業(yè)務(wù)認證響應(yīng)請求���、所述認證向量和所述鑒權(quán)隨機數(shù)�,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
2.如權(quán)利要求1所述的方法����,其特征在于,所述業(yè)務(wù)認證響應(yīng)請求中包含終端側(cè)的期望鑒權(quán)值�,所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的認證響應(yīng)信息和鑒權(quán)隨機數(shù)計算得到的; 根據(jù)所述業(yè)務(wù)認證響應(yīng)請求����、所述認證向量和所述鑒權(quán)隨機數(shù),確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證����,包括: 業(yè)務(wù)認證服務(wù)器確定網(wǎng) 絡(luò)側(cè)的期望鑒權(quán)值和業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值,其中所述網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值是根據(jù)所述鑒權(quán)隨機數(shù)和獲得的認證向量確定出的�; 根據(jù)獲得的終端側(cè)的期望鑒權(quán)值,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果��,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
3.如權(quán)利要求2所述的方法��,其特征在于�,根據(jù)獲得的終端側(cè)的期望鑒權(quán)值��,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果���,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證�����,包括: 確定接收到的終端側(cè)的期望鑒權(quán)值是否等于網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值�,如果等于����,則確定該認證請求所針對的用戶名信息通過業(yè)務(wù)認證,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送認證成功消息����;反之,則確定該認證請求所針對的用戶名信息未通過業(yè)務(wù)認證�,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)認證失敗消息。
4.一種業(yè)務(wù)認證方法����,其特征在于,包括: 包含用戶識別/通用用戶識別SM/USIM卡的終端獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值����,其中所述認證響應(yīng)信息是網(wǎng)絡(luò)側(cè)根據(jù)獲得的認證向量向所述終端發(fā)送的,所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量��; 接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的鑒權(quán)隨機數(shù),其中所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有用戶名信息的業(yè)務(wù)請求時�����,按照預設(shè)算法隨機生成并發(fā)送的�; 根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求�,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SM/USM卡的終端的用戶身份標識信息,網(wǎng)絡(luò)側(cè)根據(jù)所述業(yè)務(wù)認證響應(yīng)請求���,確定該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證��。
5.如權(quán)利要求4所述的方法���,其特征在于,根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值�,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求,包括: 確定終端側(cè)的期望鑒權(quán)值��,其中所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值確定出的�����; 向網(wǎng)絡(luò)側(cè)發(fā)送包含所述終端側(cè)的期望鑒權(quán)值的業(yè)務(wù)認證響應(yīng)請求,其中����,網(wǎng)絡(luò)側(cè)根據(jù)接收到業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值,和確定出的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果�,該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證。
6.如權(quán)利要求4所述的方法��,其特征在于��,在獲得認證響應(yīng)值之后�,接收鑒權(quán)隨機數(shù)之前��,還包括: 展示請求輸入鑒權(quán)隨機數(shù)的界面���。
7.一種業(yè)務(wù)認證裝置�����,其特征在于���,包括: 接收模塊,用于接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的針對用戶名信息的認證請求���,其中����,所述認證請求中包含鑒權(quán)隨機數(shù),所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時�����,按照預設(shè)算法隨機生成并發(fā)送給業(yè)務(wù)認證服務(wù)器的����; 獲得模塊,用于根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SIM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系�����,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息��;且獲得該用戶身份標識信息的認證向量����,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量; 發(fā)送模塊����,用于向所 述終端發(fā)送認證響應(yīng)信息; 所述接收模塊,還用于接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求��; 確定模塊�����,用于根據(jù)所述業(yè)務(wù)認證響應(yīng)請求���,認證向量和所述鑒權(quán)隨機數(shù)�����,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證。
8.如權(quán)利要求7所述的裝置�,其特征在于,所述業(yè)務(wù)認證響應(yīng)請求中包含終端側(cè)的期望鑒權(quán)值�����,所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的認證響應(yīng)信息和鑒權(quán)隨機數(shù)計算得到的���; 所述確定模塊��,具體用于確定網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值和業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值�,其中所述網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值是根據(jù)所述鑒權(quán)隨機數(shù)和獲得的認證向量確定出的;根據(jù)獲得的終端側(cè)的期望鑒權(quán)值����,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證�。
9.如權(quán)利要求8所述的裝置,其特征在于����,所述確定模塊,具體用于確定接收到的終端側(cè)的期望鑒權(quán)值是否等于網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值���,如果等于�����,則確定該認證請求所針對的用戶名信息通過業(yè)務(wù)認證��,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送認證成功消息�����;反之��,則確定該認證請求所針對的用戶名信息未通過業(yè)務(wù)認證��,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)認證失敗消息��。
10.一種業(yè)務(wù)認證裝置�,其特征在于,包括: 獲得模塊�,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值,其中所述認證響應(yīng)信息是網(wǎng)絡(luò)側(cè)根據(jù)獲得的認證向量向包含用戶識別/通用用戶識別SM/USM卡的終端發(fā)送的��,所述認證向量是該終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量��; 接收模塊�����,用于接收業(yè)務(wù)應(yīng)用服務(wù)器發(fā)來的鑒權(quán)隨機數(shù)��,其中所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有用戶名信息的業(yè)務(wù)請求時���,按照預設(shè)算法隨機生成并發(fā)送的;發(fā)送模塊�����,用于根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值��,向網(wǎng)絡(luò)側(cè)發(fā)送業(yè)務(wù)認證響應(yīng)請求,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SM/US頂卡的終端的用戶身份標識信息���,網(wǎng)絡(luò)側(cè)根據(jù)所述業(yè)務(wù)認證響應(yīng)請求�����,確定該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證��。
11.如權(quán)利要求10所述的裝置�,其特征在于�,該裝置還包括: 確定模塊,用于確定終端側(cè)的期望鑒權(quán)值�����,其中所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值確定出的�; 所述發(fā)送模塊,具體用于向網(wǎng)絡(luò)側(cè)向網(wǎng)絡(luò)側(cè)發(fā)送包含所述終端側(cè)的期望鑒權(quán)值的業(yè)務(wù)認證響應(yīng)請求����,其中,網(wǎng)絡(luò)側(cè)根據(jù)接收到業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值�����,和確定出的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果,該業(yè)務(wù)認證響應(yīng)請求所針對的用戶名信息是否通過業(yè)務(wù)認證���。
12.如權(quán)利要求10所述的裝置�����,其特征在于�����,該裝置還包括: 展示模塊����,用于展示請求輸入鑒權(quán)隨機數(shù)的界面����。
13.一種業(yè)務(wù)認證系統(tǒng),其特征在于���,包括包含用戶識別/通用用戶識別SM/US頂卡的終端,業(yè)務(wù)認證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器�,其中業(yè)務(wù)認證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器之間設(shè)置有安全傳輸通道進行通信; 所述業(yè)務(wù)應(yīng)用服務(wù)器����,用于發(fā)送針對用戶名信息的認證請求����,其中����,所述認證請求中包含鑒權(quán)隨機數(shù),所述鑒權(quán)隨機數(shù)是業(yè)務(wù)應(yīng)用服務(wù)器接收到客戶端發(fā)送的含有所述用戶名信息的業(yè)務(wù)請求時�,按照預設(shè)算法隨機生成并分別發(fā)送給業(yè)務(wù)認證服務(wù)器和客戶端; 所述業(yè)務(wù)認證服務(wù)器����,用于接收認證請求,根據(jù)存儲的用戶名信息和包含用戶識別/通用用戶識別SM/USIM卡的終端的用戶身份標識信息的對應(yīng)關(guān)系��,獲得所述認證請求所針對的用戶名信息對應(yīng)的用戶身份標識信息���;且獲得該用戶身份標識信息的認證向量���,其中所述認證向量是終端接入移動通信網(wǎng)絡(luò)時用于接入鑒權(quán)的向量;并向所述終端發(fā)送認證響應(yīng)信息�,接收終端發(fā)來的業(yè)務(wù)認證響應(yīng)請求,根據(jù)所述認證響應(yīng)請求����、所述認證向量和所述鑒權(quán)隨機數(shù)����,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證���; 所述終端���,用于獲得接收的認證響應(yīng)信息中包含的認證響應(yīng)值,接收鑒權(quán)隨機數(shù)����,根據(jù)接收到的鑒權(quán)隨機數(shù)和獲得的認證響應(yīng)值,向業(yè)務(wù)認證服務(wù)器發(fā)送業(yè)務(wù)認證響應(yīng)請求����,其中所述業(yè)務(wù)認證響應(yīng)請求中包含用戶名信息和包含用戶識別/通用用戶識別SM/USM卡的終端的用戶身份標識信息。
14.如權(quán)利要求13所述的系統(tǒng)�,其特征在于,所述業(yè)務(wù)認證響應(yīng)請求中包含終端側(cè)的期望鑒權(quán)值�,所述終端側(cè)的期望鑒權(quán)值是終端根據(jù)接收到的認證響應(yīng)信息和鑒權(quán)隨機數(shù)計算得到的; 所述業(yè)務(wù)認證服務(wù)器�,具體用于確定網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值和業(yè)務(wù)認證響應(yīng)請求中包含的終端側(cè)的期望鑒權(quán)值,其中所述網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值是根據(jù)所述鑒權(quán)隨機數(shù)和獲得的認證向量確定出的�����;根據(jù)獲得的終端側(cè)的期望鑒權(quán)值�����,和確定的網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值的匹配結(jié)果��,確定該認證請求所針對的用戶名信息是否通過業(yè)務(wù)認證�����。
15.如權(quán)利要求14所述的系統(tǒng)���,其特征在于���,所述業(yè)務(wù)認證服務(wù)器,具體用于確定接收到的終端側(cè)的期望鑒權(quán)值是否等于網(wǎng)絡(luò)側(cè)的期望鑒權(quán)值�,如果等于,則確定該認證請求所針對的用戶名信息通過業(yè)務(wù)認證�����,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送認證成功消息;反之�,則確定該認證請求所針對的用戶名信息未通過業(yè)務(wù)認證,并向業(yè)務(wù)應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)認證失敗消息
16.如權(quán)利要求13所述的系統(tǒng)�����,其特征在于����,所述終端,具體用于在獲得認證響應(yīng)值之后����,展示請求輸入鑒權(quán)隨機數(shù)的界面。
【文檔編號】H04L29/06GK103905400SQ201210581317
【公開日】2014年7月2日 申請日期:2012年12月27日 優(yōu)先權(quán)日:2012年12月27日
【發(fā)明者】齊旻鵬, 莊小君, 閻軍智, 朱紅儒 申請人:中國移動通信集團公司