本申請涉及網(wǎng)絡通信技術領域，尤其涉及一種用戶認證的方法和裝置、一種獲取用戶號碼信息的方法和裝置。

背景技術：

手機App(應用程序)在用戶注冊、身份識別、二次驗證等應用場景中，廣泛的使用短信校驗碼來作為一種驗證手段。用戶先在App的服務端預留手機號碼，在進行驗證時，服務端向用戶預留的手機號碼發(fā)送短信，短信內(nèi)容中包括一串由數(shù)字或字符組成的校驗碼。用戶將收到的校驗碼輸入到App的指定輸入框中，由App上傳到服務端，服務端通過比對上傳的與下發(fā)的校驗碼是否相同來對用戶進行認證。

現(xiàn)有技術中上述短信校驗碼的驗證方式存在一些問題。首先，據(jù)行業(yè)機構調(diào)查，由于通信延遲、網(wǎng)關屏蔽、安全軟件攔截等原因，當前短信驗證碼平均到達率為93％，也就是說7％的情況下用戶將因非自身原因無法通過驗證；其次，在認證過程中，用戶需要切換界面查看短信、記住校驗碼、在將校驗碼輸入到指定的輸入框中，操作繁瑣耗時漫長，造成了用戶的不便。

技術實現(xiàn)要素：

有鑒于此，本申請?zhí)峁┮环N用戶認證的方法，應用在終端上，包括：

獲取本設備的用戶號碼信息；

向認證服務端發(fā)送認證請求，所述認證請求中包括用戶號碼信息；

接收認證服務端返回的認證響應，所述認證響應由認證服務端根據(jù)所述用戶預留的服務端號碼信息和所述用戶號碼信息的匹配結果生成。

本申請?zhí)峁┑囊环N用戶認證的方法，應用在認證服務端上，包括：

接收終端發(fā)送的認證請求，所述認證請求中包括用戶號碼信息；

獲取所述用戶預留的服務端號碼信息，對服務端號碼信息和所述用戶號碼信息進行匹配；

將根據(jù)匹配結果生成的認證響應發(fā)送給所述終端。

本申請還提供了一種獲取用戶號碼信息的方法，應用在終端上，包括：

向號碼服務端發(fā)送連接請求并建立連接，所述連接請求中包括請求方標識；

采用基于號碼的通信方式向號碼服務端的預置接口發(fā)起通信，通信內(nèi)容中包括所述請求方標識；

接收號碼服務端通過所述連接返回的用戶號碼信息，所述用戶號碼信息根據(jù)與號碼服務端預置接口通信的用戶號碼生成，并且所述用戶號碼的通信內(nèi)容中的請求方標識、與建立所述連接的連接請求中的請求方標識相同；所述用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

本申請?zhí)峁┑囊环N獲取用戶號碼信息的方法，應用在號碼服務端，包括：

接收終端發(fā)送的連接請求并建立連接，所述連接請求中包括請求方標識；

接收終端以基于用戶號碼的通信方式向本服務端的預置接口發(fā)起的通信，獲取用戶號碼和通信內(nèi)容中的請求方標識并建立二者的對應關系；

根據(jù)所述用戶號碼生成用戶號碼信息，通過具有對應于所述用戶號碼的請求方標識的連接，將所述用戶號碼信息返回給終端；所述用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

本申請還提供了一種用戶認證的裝置，應用在終端上，包括：

號碼信息獲取單元，用于獲取本設備的用戶號碼信息；

認證請求發(fā)送單元，用于向認證服務端發(fā)送認證請求，所述認證請求中包括用戶號碼信息；

認證響應接收單元，用于接收認證服務端返回的認證響應，所述認證響應由認證服務端根據(jù)所述用戶預留的服務端號碼信息和所述用戶號碼信息的匹配結果生成。

本申請?zhí)峁┑囊环N用戶認證的裝置，應用在認證服務端上，包括：

認證請求接收單元，用于接收終端發(fā)送的認證請求，所述認證請求中包括用戶號碼信息；

號碼信息匹配單元，用于獲取所述用戶預留的服務端號碼信息，對服務端號碼信息和所述用戶號碼信息進行匹配；

認證響應發(fā)送單元，用于將根據(jù)匹配結果生成的認證響應發(fā)送給所述終端。

本申請還提供了一種獲取用戶號碼信息的裝置，應用在終端上，包括：

連接請求發(fā)送單元，用于向號碼服務端發(fā)送連接請求并建立連接，所述連接請求中包括請求方標識；

基于號碼的通信發(fā)起單元，用于采用基于號碼的通信方式向號碼服務端的預置接口發(fā)起通信，通信內(nèi)容中包括所述請求方標識；

號碼信息接收單元，用于接收號碼服務端通過所述連接返回的用戶號碼信息，所述用戶號碼信息根據(jù)與號碼服務端預置接口通信的用戶號碼生成，并且所述用戶號碼的通信內(nèi)容中的請求方標識、與建立所述連接的連接請求中的請求方標識相同；所述用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

本申請?zhí)峁┑囊环N獲取用戶號碼信息的裝置，應用在號碼服務端，包括：

連接請求接收單元，用于接收終端發(fā)送的連接請求并建立連接，所述連接請求中包括請求方標識；

基于號碼的通信接收單元，用于接收終端以基于用戶號碼的通信方式向本服務端的預置接口發(fā)起的通信，獲取用戶號碼和通信內(nèi)容中的請求方標識并建立二者的對應關系；

號碼信息下發(fā)單元，用于根據(jù)所述用戶號碼生成用戶號碼信息，通過具有對應于所述用戶號碼的請求方標識的連接，將所述用戶號碼信息返回給終端；所述用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

由以上技術方案可見，在本申請用戶認證的方法和裝置的實施例中，終端將獲取的本設備的用戶號碼信息在認證請求中上傳到認證服務端，認證服務端根據(jù)用戶預留的服務端號碼信息與上傳的用戶號碼信息是否匹配來對用戶進行認證，使得認證服務端無需通過短信下發(fā)驗證碼的方式即可認證用戶號碼，避免了短信通信故障造成的認證失敗，并且用戶無需查看和輸入驗證碼，在簡化用戶操作的同時加快了認證速度。

在本申請獲取用戶號碼信息的方法和裝置實施例中，終端分別采用連接和基于號碼的通信方式與號碼服務端進行交互，號碼服務端通過終端發(fā)起的基于號碼的通信獲知終端的用戶號碼信息和請求方標識，并且將用戶號碼信息返回給具有相同請求方標識的連接發(fā)起方，使得終端得到本設備的用戶號碼信息，在將用戶號碼信息用于用戶認證過程后，避免了認證服務端通過發(fā)送短信校驗碼來認證用戶號碼，并且用戶無需查看和輸入校驗碼，在簡化用戶操作的同時加快了認證速度。

附圖說明

圖1是本申請實施例一中一種應用在終端上，獲取用戶號碼信息的方法的流程圖；

圖2是本申請實施例一中一種應用在號碼服務端，獲取用戶號碼信息的方法的流程圖；

圖3是本申請實施例二中一種應用在終端上，用戶認證的方法的流程圖；

圖4是本申請實施例二中一種應用在認證服務端，用戶認證的方法的流程圖；

圖5是本申請應用示例所在場景的的一種網(wǎng)絡結構示意圖；

圖6是終端、號碼服務端所在設備、或認證服務端所在設備的一種硬件結構圖；

圖7是本申請實施例中一種應用在終端上，獲取用戶號碼信息的裝置的邏輯結構圖；

圖8是本申請實施例中一種應用在號碼服務端，獲取用戶號碼信息的裝置的邏輯結構圖；

圖9是本申請實施例中一種應用在終端上，用戶認證的裝置的邏輯結構圖；

圖10是本申請實施例中一種應用在認證服務端，用戶認證的裝置的邏輯結構圖。

具體實施方式

現(xiàn)有技術采用短信驗證碼的認證方式中，由認證服務端向用戶預留的用戶號碼以短信明文發(fā)送驗證碼，用戶將收到的驗證碼原文輸入到應用程序中并發(fā)送給認證服務端，認證服務端比對驗證碼是否一致來確定該用戶(該終端)是否通過認證。可見，短信驗證碼唯一驗證的事實是，使用預留用戶號碼的終端是否在用戶的控制中。而絕大多數(shù)應用場景中，用戶通常只控制一臺終端，這時實際驗證的事實是，運行應用程序的終端所使用的用戶號碼是否就是預留的用戶號碼。因此，本申請的實施例中，由終端在請求認證服務端認證時主動上傳用戶號碼信息，認證服務端在比對終端上傳的用戶號碼信息與用戶預留的服務端號碼信息是否匹配后決定用戶是否通過認證。

在移動通信系統(tǒng)中，采用IMSI(International Mobile Subscriber Identification Number，國際移動用戶識別碼)來唯一的標識一個移動通信用戶，IMSI保存在用戶識別卡上，與用戶識別卡綁定。用戶識別卡用來標識移動通信網(wǎng)絡中的用戶身份，如SIM(Subscriber Identity Module，用戶識別模塊)卡、USIM(Universal Subscriber Identity Module，全球用戶身份模塊)卡等等。

當用戶的用戶識別卡安裝在終端上后，終端即可采用與其綁定的IMSI來進行通信。而用戶識別卡可能損壞，為了方便用戶在更換用戶識別卡時不必更換其聯(lián)系方式，移動通信系統(tǒng)中采用了另一種唯一標識一個用戶的方式，MSISDN(Mobile Station International Subscriber Directory Number，移動臺國際用戶目錄號)，又稱為用戶號碼。IMSI與用戶號碼的對應關系保存在移動通信網(wǎng)絡服務提供商的設備中，當用戶A的終端采用其IMSI向服務提供商發(fā)起與用戶B的終端的通信(如打電話或發(fā)短信)后，移動通信網(wǎng)絡服務提供商查找與該用戶A的IMSI對應的用戶號碼，并將該用戶號碼下發(fā)給用戶B的終端，這樣用戶B可以通過通信對端的用戶號碼，得知向其發(fā)起通信的對端是用戶A。

運行在終端上的應用程序與其服務端之間的信息交互中通常采用終端的識別碼，如IMEI(International Mobile Equipment Identity，國際終端身份碼)來代表終端，而不會采用用戶的識別碼IMSI(即不是基于用戶號碼的通信)，因此終端和其應用程序的服務端都不能從相互的信息交互過程中得知該終端使用的用戶號碼。

現(xiàn)有技術中，有的移動通信網(wǎng)絡服務提供商在將用戶識別卡交付用戶使用前，會將用戶號碼寫入到用戶識別卡中；在這樣的應用場景中，終端可以通過API(Application Programming Interface，應用程序編程接口)來從用戶識別卡中讀出該終端使用的用戶號碼。對用戶識別卡中未保存用戶號碼的應用場景，終端可以采用本申請實施例一的技術方案來得到其使用的用戶號碼。

本申請的實施例一提出一種獲取用戶號碼信息的方法，終端分別通過連接方式和基于號碼的通信方式，將代表終端的請求方標識上傳給號碼服務端，號碼服務端將從基于號碼的通信方式中得到用戶號碼，生成用戶號碼信息下發(fā)給具有相同請求方標識的所連接的終端，使得終端可以在進行用戶驗證時直接向認證服務端上傳其用戶號碼信息，從而無需下發(fā)、輸入和上傳短信驗證碼即可實現(xiàn)對用戶號碼的認證，避免因短信接收故障導致的認證失敗，在減少用戶操作的同時加快了認證速度。

本申請的實施例一中，終端通過兩種不同的通信方式與號碼服務端進行信息交互，其中一種是基于用戶號碼的通信，即采用終端的IMSI進行的通信，如打電話或發(fā)短信；另一種是非基于用戶號碼的通信，即不采用IMSI，而是采用其他代表終端或用戶的標識信息進行的連接，如運行在終端上的應用程序與該應用程序的服務端建立的連接。

本實施例中，終端可以是可以任何能夠采用上述兩種通信方式進行移動通信的設備，如手機、平板電腦、安裝有SIM卡或USIM卡的筆記本等；號碼服務端可以是任何能夠采用上述兩種通信方式的物理或邏輯設備、或者是物理或邏輯設備的組合，不做限定。

實施例一中，獲取用戶號碼信息的方法應用在終端上的流程如圖1所示，應用在號碼服務端的流程如圖2所示。

在終端上，步驟110，向號碼服務端發(fā)送連接請求并建立連接，連接請求中包括請求方標識。

在號碼服務端，步驟210，接收終端發(fā)送的連接請求并建立連接。

終端采用非基于用戶號碼的方式向號碼服務端發(fā)送連接請求，連接請求中攜帶有請求方標識。請求方標識可以是任何在號碼服務端能夠唯一代表該終端或使用終端的用戶的標識信息，舉例說明，可以是終端的識別碼，如終端的IMEI、終端的UUID(Universally Unique Identifier，通用唯一識別碼)等；可以是終端的MAC(Media Access Control，媒介接入控制)地址；可以是使用終端的用戶賬戶在號碼服務端的標識，如用戶賬戶名稱、用戶賬戶編碼等等。

號碼服務端在收到終端的連接請求后，與終端建立連接。

在終端上，步驟120，采用基于號碼的通信方式向號碼服務端的預置接口發(fā)起通信，通信內(nèi)容中包括終端的請求方標識。

在號碼服務端，步驟220，接收終端以基于用戶號碼的通信方式向本服務端的預置接口發(fā)起的通信，獲取用戶號碼和通信內(nèi)容中的請求方標識并建立二者的對應關系。

號碼服務端向終端開放預置接口，該預置接口用來進行基于用戶號碼的通信。終端向號碼服務端的預置接口發(fā)起基于用戶號碼的通信，并且在通信內(nèi)容中將本設備的請求方標識傳輸給號碼服務端。由于基于號碼的通信中，移動通信網(wǎng)絡的服務提供商會將發(fā)送端的用戶號碼通知接收端，號碼服務端從預置接口收到終端基于用戶號碼發(fā)起的通信時，即可得到終端的用戶號碼，并且可以從通信內(nèi)容中得到該終端的請求方標識(即對應于該用戶號碼的請求方標識)，從而將該終端的用戶號碼和請求方標識對應起來。

例如，號碼服務端采用預置短信網(wǎng)關作為預置接口，終端將本設備的請求方標識編輯在短信內(nèi)容中，并且將短信發(fā)送給號碼服務端的預置短信網(wǎng)關。預置短信網(wǎng)關收到短信后，號碼服務端從短信內(nèi)容中提取出請求方標識，并且將短信的發(fā)送方號碼作為用戶號碼，建立與該請求方標識的對應關系。

再如，號碼服務端可以采用預置電話接入接口，終端將本設備的請求方標識生成語音，以電話的方式傳輸給號碼服務端的預置電話接入接口。號碼服務端識別預置電話接入接口收到的語音，得到請求方標識，并且將電話的撥出方號碼作為用戶號碼，建立與該請求方標識的對應關系。

需要說明的是，終端上步驟110和步驟120之間沒有時序關系，號碼服務端的步驟210和220之間也沒有時序關系。

在號碼服務端，步驟230，根據(jù)用戶號碼生成用戶號碼信息，通過具有對應于該用戶號碼的請求方標識的連接，將該用戶號碼信息返回給終端。用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

在終端上，步驟130，接收號碼服務端通過建立的連接返回的用戶號碼信息，該用戶號碼信息根據(jù)與號碼服務端預置接口通信的用戶號碼生成，并且該用戶號碼的通信內(nèi)容中的請求方標識、與建立該連接的連接請求中的請求方標識相同。該用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

本申請的實施例中，用戶號碼信息可以是任何與用戶號碼相關聯(lián)、并且能夠與用戶用于認證的預留號碼進行匹配的數(shù)據(jù)。例如：用戶號碼信息可以是用戶號碼本身；可以是采用預定算法對用戶號碼進行多到一轉換后的映射值(如以預定哈希算法算出的用戶號碼哈希值)；還可以是與用戶號碼、或用戶號碼的映射值具有一一對應關系的數(shù)據(jù)(如該用戶號碼在號碼服務端用于保存用戶號碼的數(shù)據(jù)庫表中索引等)。對應的，在生成用戶號碼信息時，號碼服務端可以直接將用戶號碼作為用戶號碼信息；號碼服務端可以將用戶號碼作為預定算法的輸入，并將預定算法的輸出作為用戶號碼信息；號碼服務端還可以查找(如查找保存用戶號碼的數(shù)據(jù)庫表)、計算(如隨機生成并具有唯一性)出與用戶號碼、或用戶號碼的映射值具有一一對應關系的數(shù)據(jù)，并將其作為用戶號碼信息。

在生成用戶號碼信息后，號碼服務端根據(jù)建立的對應關系，得到與用來生成該用戶號碼信息的用戶號碼對應的請求方標識，查找根據(jù)攜帶有相同請求方標識的連接請求所建立的連接，通過該連接將用戶號碼信息發(fā)送給對端的終端。

終端在收到用戶號碼信息后，即可在向認證服務端請求用戶認證時，將該用戶號碼信息發(fā)送給認證服務端，供認證服務端與用戶預留的服務端號碼信息進行匹配，來決定用戶認證是否通過。

由于通常用戶很少更換終端使用的用戶號碼，可以將終端收到的用戶號碼信息保存起來，這樣就不需要每次進行用戶認證前都運行一遍上述獲取用戶號碼信息的流程。為了提高采用用戶號碼信息進行用戶認證的安全程度，終端可以將接收的用戶號碼信息保存在本設備的安全區(qū)域，如保存在TEE(Trusted Execution Environment，可信執(zhí)行環(huán)境)或TE(Secure Element，安全元件)中。

通常只有在更換安裝在終端上的用戶識別卡時，用戶才能更換終端使用的用戶號碼。因此，終端可以對用戶識別卡的狀態(tài)進行檢測，當檢測到用戶識別卡插入時，向號碼服務端發(fā)送攜帶請求方標識的連接請求并建立連接，以及采用基于號碼的通信方式向號碼服務端的預置接口發(fā)起通信，并在通信內(nèi)容中攜帶請求方標識，重新進行獲取新插入的用戶識別卡對應的用戶號碼的流程。當檢測到用戶識別卡拔出時，終端可以刪除保存在其安全區(qū)域的用戶號碼信息。

在終端上，可以將實施例一中的方法運行在操作系統(tǒng)層，即在終端的操作系統(tǒng)中實現(xiàn)實施例一的方法，這樣能夠更加便于對用戶識別卡的插拔進行檢測。如在安卓系統(tǒng)的Application Framwork(應用程序架構)層實現(xiàn)。

另外，為了增加用戶號碼信息獲取過程的安全性，可以由號碼服務端在生成用戶號碼信息后，采用號碼服務端的私鑰進行數(shù)字簽名，再將用戶號碼信息和數(shù)字簽名通過與終端間建立的連接返回給該終端。終端在與號碼服務端的連接上收到返回的用戶號碼信息和數(shù)字簽名后，采用號碼服務端的公鑰對數(shù)字簽名進行驗簽，驗簽通過后再保存接收的用戶號碼信息，驗簽失敗則丟棄接收的用戶號碼信息。

可見，本申請的實施例一中，終端分別通過連接方式和基于號碼的通信方式與號碼服務端進行交互，號碼服務端將從基于號碼的通信方式中得到用戶號碼，生成用戶號碼信息下發(fā)給具有相同請求方標識的所連接的終端，以便終端將用戶號碼信息用于用戶認證，避免了認證服務端通過發(fā)送短信校驗碼來認證用戶號碼，同時簡化了認證過程中的用戶操作，加快了認證速度。

本申請的實施例二提出了一種新的用戶認證的方法，由終端將本設備的用戶號碼信息在認證請求中主動發(fā)送給認證服務端，供認證服務端比對終端上傳的用戶號碼信息、和用戶預留的服務端號碼信息是否匹配器，來確定用戶是否通過認證，從而無需下發(fā)和上傳校驗碼即可驗證終端所使用的號碼是否就是用戶預留的號碼，避免了因短信通信故障導致的認證失敗，以及用戶查看和輸入校驗碼的操作，用更少的操作和更快的速度完成認證過程，以解決現(xiàn)有技術中存在的問題。

本申請的實施例二中，終端與認證服務端通過移動通信網(wǎng)絡可相互訪問。通常而言，在認證流程中，運行在終端上的應用程序與認證服務端建立連接，以請求/響應模式進行與認證服務端之間的信息交互。其中，終端可以是任何能夠采用用戶號碼進行移動通信的設備，如手機、平板電腦、筆記本等；認證服務端可以是一個物理或邏輯服務器，也可以是由兩個或兩個以上分擔不同職責的物理或邏輯服務器、相互協(xié)同來實現(xiàn)本申請實施例中認證服務端的各項功能。

本實施例中，用戶認證的方法應用在終端上的流程如圖3所示，應用在認證服務端的流程如圖4所示。

在終端上，步驟310，獲取本設備的用戶號碼信息。

如前所述，如果終端的用戶識別卡中寫有用戶號碼，則終端可以調(diào)用提供用戶號碼的接口，來得到本設備使用的用戶號碼，并根據(jù)該用戶號碼生成用戶號碼信息。用戶號碼信息可以是用戶號碼本身，也可以是采用預定算法對用戶號碼進行多到一、或一到一轉換后的映射值(如用戶號碼的哈希值)。

如果無法從終端自身得到本設備的用戶號碼信息，則可以采用實施例一提供的方案來從號碼服務端得到用戶號碼信息。對將從號碼服務端得到的用戶號碼信息保存在本設備安全區(qū)域(如TEE或SE)中的應用場景，終端可以從該安全區(qū)域讀取存儲的用戶號碼信息。其中，來自號碼服務端的用戶號碼信息可以是用戶號碼；可以是采用預定算法對用戶號碼進行多到一轉換后的映射值；還可以是與用戶號碼、或用戶號碼的映射值具有一一對應關系的數(shù)據(jù)。

在終端上，步驟320，向認證服務端發(fā)送認證請求，認證請求中包括用戶號碼信息。

在認證服務端，步驟410，接收終端發(fā)送的認證請求。

終端向認證服務端發(fā)送認證請求，在認證請求中封裝本設備的用戶號碼信息。認證請求可以是任何業(yè)務過程中啟動服務側對終端進行用戶身份認證的請求，例如登錄請求、支付請求等，不做限定。認證服務端接收終端的認證請求，從中提取該終端的用戶號碼信息。

在認證服務端，步驟420，獲取所述用戶預留的服務端號碼信息，對服務端號碼信息和接收的用戶號碼信息進行匹配。

現(xiàn)有技術中，終端通常在與認證服務端建立連接的過程中，會向認證服務端上傳使用該終端的用戶的賬戶信息；或者終端在認證請求中向認證服務端上傳用戶的賬戶信息。也就是說，認證服務端能夠得知發(fā)送認證請求的是哪個用戶。

在采用用戶號碼進行身份認證的應用場景中，每個用戶會在服務側預留其使用的用戶號碼。服務側根據(jù)預留的用戶號碼生成每個用戶的服務端號碼信息，并且保存在預定的存儲位置。服務端號碼信息可以是用戶號碼本身，可以是采用預定算法對用戶號碼進行多到一轉換后的映射值(如用戶號碼的哈希值)，還可以是與用戶號碼、或用戶號碼的映射值具有一一對應關系的數(shù)據(jù)(如采用預定算法進行一到一映射后的映射值、保存用戶號碼的數(shù)據(jù)庫表的索引值、隨機生成并唯一對應于一個用戶號碼的數(shù)值等)。

在收到終端的認證請求后，認證服務端根據(jù)發(fā)送該認證請求的用戶，在預定存儲位置查找該用戶預留的服務端號碼信息，對服務端號碼信息和接收的用戶號碼信息進行匹配。具體的匹配方法根據(jù)實際應用場景中采用的用戶號碼信息和服務端號碼信息來確定，不再贅述。

需要說明的是，一個應用場景中的用戶號碼信息和服務端號碼信息可以相同，也可以不同，只要認證服務端能夠對二者進行匹配即可。一個例子中，用戶號碼信息是將用戶號碼輸入某種預定哈希算法得到哈希值，服務端號碼信息是用戶號碼；在匹配時，認證服務端將服務端號碼信息輸入同樣的預定哈希算法后，將輸出的哈希值與用戶號碼信息進行比對，相同則二者匹配。另一個例子中，用戶號碼信息是服務側保存用戶號碼的數(shù)據(jù)庫表的索引值，服務端號碼信息是用戶號碼；在匹配時，認證服務端用用戶號碼信息作為索引查詢保存用戶號碼的數(shù)據(jù)庫表，如果查到的用戶號碼與服務端號碼信息相同，則二者匹配。

為了增加用戶認證過程的安全性，可以由終端采用請求方私鑰對認證請求進行數(shù)字簽名，并將帶有請求方標識和數(shù)字簽名的認證請求發(fā)送給認證服務端。認證服務端采用終端的請求方公鑰對認證請求中的數(shù)字簽名進行驗簽，如果驗簽未通過則將匹配結果置為不匹配，驗簽通過后認證服務端獲取該用戶預留的服務端號碼信息，根據(jù)服務端號碼信息和用戶號碼信息是否匹配來決定匹配結果。

請求方私鑰和請求方公鑰可以是終端的各種設備密鑰，也可以是用戶的各種密鑰，本申請的實施例不做限定。有的終端廠商在終端出廠前，會在終端的安全區(qū)域(如TEE或SE)如內(nèi)置該終端的根密鑰(一種設備私鑰)，由于根密鑰相對于其他密鑰更加安全和不可抵賴，采用終端的根密鑰來對攜帶用戶號碼信息的認證請求進行數(shù)字簽名，由認證服務端采用該終端的根密鑰對應的公鑰進行驗簽，將達到更高的安全性。

在認證服務端，步驟430，將根據(jù)匹配結果生成的認證響應發(fā)送給該終端。

在終端上，步驟330，接收認證服務端返回的認證響應，該認證響應由認證服務端在匹配該用戶預留的服務端號碼信息和上傳的用戶號碼信息后生成。

認證服務端根據(jù)服務端號碼信息和用戶號碼信息的匹配結果生成認證響應，在認證響應中攜帶認證成功與否的認證結果。如果對用戶身份的認證結果只基于用戶號碼進行，則當服務端號碼信息和用戶號碼信息的匹配結果為匹配時，認證成功；匹配結果為不匹配時，認證失敗。如果對用戶身份認證的結果不僅基于用戶號碼，還基于其他的身份認證方式，則只有當匹配結果為匹配并且其他身份認證方式的結果為通過時，認證成功，否則認證失敗。

認證服務端將認證響應發(fā)送給終端，終端從認證響應中得知認證結果。

可見，本申請的實施例二中，終端將本設備的用戶號碼信息在認證請求中主動發(fā)送給認證服務端，認證服務端根據(jù)用戶預留的服務端號碼信息與上傳的用戶號碼信息是否匹配來對用戶進行認證，從而無需終端和認證服務端之間下發(fā)短信和上傳校驗碼即可驗證終端所使用的用戶號碼是否就是用戶預留的號碼，避免了短信通信故障造成的認證失敗，并且用戶無需查看和輸入驗證碼，在簡化用戶操作的同時加快了認證速度。

在本申請的一個應用示例中，終端采用實施例一中的方案來獲得本設備的用戶號碼哈希值(一種用戶號碼信息)，并通過實施例二中的方案來進行采用用戶號碼的身份認證。

請參見圖5，本應用示例中，終端的生產(chǎn)廠商在終端中內(nèi)置有用于獲取用戶號碼信息的軟件模塊，以終端號碼服務的形式運行在終端的操作系統(tǒng)層；在服務側，號碼服務器上運行號碼哈希服務和短息網(wǎng)關，作為號碼服務端與終端上終端號碼服務協(xié)同實現(xiàn)本申請實施例一的方案。服務側的認證服務器作為認證服務端，與終端上的App協(xié)同實現(xiàn)本申請實施例二的方案。

具體而言，終端上的終端號碼服務監(jiān)控SIM卡的插拔情況。當發(fā)現(xiàn)有SIM插入后，終端號碼服務向號碼服務器上運行的號碼哈希服務發(fā)送連接請求，在連接請求中攜帶終端的IMEI(一種請求方標識)，并與號碼哈希服務建立連接。另外，終端號碼服務向號碼服務器的短信網(wǎng)關發(fā)送短信，短信內(nèi)容為該終端的IMEI。

號碼服務器的短信網(wǎng)關收到終端發(fā)送的短信，提取短信發(fā)送方的用戶號碼和短信內(nèi)容中的IMEI，并將該用戶號碼和該IMEI對應起來。號碼服務器的號碼哈希服務從短信網(wǎng)關獲取對應的用戶號碼和終端IMEI，采用預定哈希算法，以用戶號碼為輸入生成用戶號碼哈希值。號碼哈希服務查找根據(jù)攜帶對應于該用戶號碼的IMEI的連接請求所建立的連接，將生成的用戶號碼哈希值、以及采用號碼服務器的私鑰進行的數(shù)字簽名從該連接發(fā)送給對端的終端號碼服務。

終端上的終端號碼服務將接收的數(shù)字簽名和用戶號碼哈希值傳輸給本設備的TEE或SE。終端的TEE或SE以號碼服務器的公鑰對接收的數(shù)字簽名進行驗簽，未通過則丟棄接收的用戶號碼哈希值；如果驗簽通過則將接收的用戶號碼哈希值保存在安全區(qū)域。

當終端號碼服務檢測到終端的SIM卡拔出時，刪除保存在TEE安全區(qū)域或SE安全區(qū)域的用戶號碼哈希值。

當終端上的App要進行基于用戶號碼的身份認證時，App從本設備的TEE安全區(qū)域或SE安全區(qū)域，讀取保存的用戶號碼哈希值和終端內(nèi)置的根密鑰。App將用戶號碼哈希值封裝在認證請求中，采用根密鑰對認證請求進行簽名后發(fā)送給認證服務器。

認證服務器收到認證請求，查找發(fā)送該認證請求的終端根密鑰對應的公鑰，用該公鑰對認證請求中的數(shù)字簽名進行驗簽。如果驗簽未通過，則標記匹配結果為不匹配，并生成攜帶有認證結果為失敗的認證響應，回復給該App。

如果驗簽通過，認證服務器查找出使用該App的用戶預留的用戶號碼(一種服務端號碼信息)。認證服務器采用與號碼服務器的號碼哈希服務相同的預定哈希算法，以預留的用戶號碼為輸入得到預留號碼哈希值。認證服務器比對認證請求中的用戶號碼哈希值和預留號碼哈希值，如果二者相同則匹配，認證結果為成功；二者不同則不匹配，認證結果為失敗。

認證服務器將認證結果封裝在認證響應中，發(fā)送給App。

與上述流程實現(xiàn)對應，本申請的實施例還提供了一種應用在終端上的獲取用戶號碼信息的的裝置、一種應用在號碼服務端的獲取用戶號碼信息的的裝置、一種應用在終端上的用戶認證的裝置、和一種應用在認證服務端的用戶認證的裝置。上述裝置均可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為邏輯意義上的裝置，是通過終端、號碼服務端所在設備或認證服務端所在設備的CPU(Central Process Unit，中央處理器)將對應的計算機程序指令讀取到內(nèi)存中運行形成的。從硬件層面而言，除了圖6所示的CPU、內(nèi)存以及非易失性存儲器之外，終端通常還包括用于進行無線信號收發(fā)的芯片等其他硬件，號碼服務端所在設備或認證服務端所在設備通常還包括用于實現(xiàn)網(wǎng)絡通信功能的板卡等其他硬件。

圖7所示為本申請實施例提供的一種用戶認證的裝置，應用在終端上，包括號碼信息獲取單元、認證請求發(fā)送單元和認證響應接收單元，其中：號碼信息獲取單元用于獲取本設備的用戶號碼信息；認證請求發(fā)送單元用于向認證服務端發(fā)送認證請求，所述認證請求中包括用戶號碼信息；認證響應接收單元用于接收認證服務端返回的認證響應，所述認證響應由認證服務端根據(jù)所述用戶預留的服務端號碼信息和所述用戶號碼信息的匹配結果生成。

可選的，所述號碼信息獲取單元具體用于：讀取存儲在本設備安全區(qū)域的用戶號碼信息。

一個例子中，所述認證請求中還包括：采用請求方私鑰進行的數(shù)字簽名；所述認證響應由認證服務端根據(jù)以請求方公鑰對所述數(shù)字簽名的驗簽結果、以及所述用戶預留的服務端號碼信息和所述用戶號碼信息的匹配結果生成。

上述例子中，所述請求方私鑰包括：內(nèi)置在本設備安全區(qū)域的設備根密鑰。

可選的，所述安全區(qū)域包括：可信執(zhí)行環(huán)境TEE或安全元件SE。

可選的，所述用戶號碼信息包括如下之一：用戶號碼，采用預定算法對用戶號碼進行多到一轉換后的映射值，與用戶號碼、或用戶號碼的映射值在認證服務端具有一一對應關系的數(shù)據(jù)；所述服務端號碼信息包括以下之一：用戶號碼，采用預定算法對用戶號碼進行多到一轉換后的映射值，與用戶號碼、或用戶號碼的映射值具有一一對應關系的數(shù)據(jù)。

圖8所示為本申請實施例提供的一種用戶認證的裝置，應用在認證服務端上，包括認證請求接收單元、號碼信息匹配單元和認證響應發(fā)送單元，其中：認證請求接收單元用于接收終端發(fā)送的認證請求，所述認證請求中包括用戶號碼信息；號碼信息匹配單元用于獲取所述用戶預留的服務端號碼信息，對服務端號碼信息和所述用戶號碼信息進行匹配；認證響應發(fā)送單元用于將根據(jù)匹配結果生成的認證響應發(fā)送給所述終端。

一個例子中，所述認證請求中還包括：由終端采用請求方私鑰進行的數(shù)字簽名；所述號碼信息匹配單元具體用于：在采用請求方公鑰對所述數(shù)字簽名驗簽通過后，獲取所述用戶預留的服務端號碼信息，對服務端號碼信息和所述用戶號碼信息進行匹配。

上述例子中，所述請求方公鑰包括：所述終端的根密鑰對應的公鑰。

可選的，所述用戶號碼信息包括以下之一：用戶號碼，采用預定算法對用戶號碼進行多到一轉換后的映射值，與用戶號碼、或用戶號碼的映射值在認證服務端具有一一對應關系的數(shù)據(jù)；所述服務端號碼信息包括以下之一：用戶號碼，采用預定算法對用戶號碼進行多到一轉換后的映射值，與用戶號碼、或用戶號碼的映射值具有一一對應關系的數(shù)據(jù)。

圖9所示為本申請實施例提供的一種獲取用戶號碼信息的裝置，應用在終端上，包括連接請求發(fā)送單元、基于號碼的通信發(fā)起單元和號碼信息接收單元，其中：連接請求發(fā)送單元用于向號碼服務端發(fā)送連接請求并建立連接，所述連接請求中包括請求方標識；基于號碼的通信發(fā)起單元用于采用基于號碼的通信方式向號碼服務端的預置接口發(fā)起通信，通信內(nèi)容中包括所述請求方標識；號碼信息接收單元用于接收號碼服務端通過所述連接返回的用戶號碼信息，所述用戶號碼信息根據(jù)與號碼服務端預置接口通信的用戶號碼生成，并且所述用戶號碼的通信內(nèi)容中的請求方標識、與建立所述連接的連接請求中的請求方標識相同；所述用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

一個例子中，所述裝置還包括：號碼信息保存單元，用于將接收的用戶號碼信息保存在本設備的安全區(qū)域。

上述例子中，所述號碼信息接收單元具體用于：接收號碼服務端通過所述連接返回的用戶號碼信息和采用號碼服務端私鑰進行的數(shù)字簽名；所述號碼信息保存單元具體用于：在采用號碼服務端公鑰對所述數(shù)字簽名驗簽通過后，將接收的用戶號碼信息保存在本設備的安全區(qū)域。

可選的，所述安全區(qū)域包括：可信執(zhí)行環(huán)境TEE或安全元件SE。

一種實現(xiàn)方式中，所述連接請求發(fā)送單元具體用于：當終端的用戶識別卡插入時，向號碼服務端發(fā)送連接請求并建立連接；

所述基于號碼的通信發(fā)起單元具體用于：當終端的用戶識別卡插入時，采用基于號碼的通信方式向號碼服務端的預置接口發(fā)起通信。

上述實現(xiàn)方式中，所述裝置還包括：號碼信息刪除單元，用于當終端的用戶識別卡拔出時，刪除保存的用戶號碼信息。

可選的，所述基于號碼的通信發(fā)起單元具體用于：向號碼服務端的預置短信網(wǎng)關發(fā)送內(nèi)容包括請求方標識的短信。

可選的，所述請求方標識包括：用戶賬戶的標識或終端的識別碼。

可選的，所述用戶號碼信息包括以下之一：用戶號碼，采用預定算法對所述用戶號碼進行多到一轉換后的映射值，與所述用戶號碼、或所述用戶號碼的映射值具有一一對應關系的數(shù)據(jù)。

可選的，所述裝置運行在終端的操作系統(tǒng)層。

圖10所示為本申請實施例提供的一種獲取用戶號碼信息的裝置，應用在號碼服務端，包括連接請求接收單元、基于號碼的通信接收單元和號碼信息下發(fā)單元，其中：連接請求接收單元用于接收終端發(fā)送的連接請求并建立連接，所述連接請求中包括請求方標識；基于號碼的通信接收單元用于接收終端以基于用戶號碼的通信方式向本服務端的預置接口發(fā)起的通信，獲取用戶號碼和通信內(nèi)容中的請求方標識并建立二者的對應關系；號碼信息下發(fā)單元用于根據(jù)所述用戶號碼生成用戶號碼信息，通過具有對應于所述用戶號碼的請求方標識的連接，將所述用戶號碼信息返回給終端；所述用戶號碼信息用于在用戶認證時由終端提供給認證服務端，與用戶在認證服務端預留的服務端號碼信息進行匹配。

可選的，所述號碼信息下發(fā)單元具體用于：根據(jù)所述用戶號碼生成用戶號碼信息，在采用號碼服務端私鑰進行數(shù)字簽名后，通過具有對應于所述用戶號碼的請求方標識的連接，將所述用戶號碼信息返回給終端。

可選的，所述本服務端的預置接口包括：預置短信網(wǎng)關；所述終端以基于用戶號碼的通信方式向本服務端的預置接口發(fā)起的通信，包括：終端向預置短信網(wǎng)關發(fā)送的內(nèi)容包括請求方標識的短信。

可選的，所述請求方標識包括：用戶賬戶的標識或終端的識別碼。

可選的，所述用戶號碼信息包括以下之一：所述用戶號碼，采用預定算法對所述用戶號碼進行多到一轉換后的映射值，與所述用戶號碼、或所述用戶號碼的映射值具有一一對應關系的數(shù)據(jù)。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內(nèi)。

在一個典型的配置中，計算設備包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡接口和內(nèi)存。

內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器，隨機存取存儲器(RAM)和/或非易失性內(nèi)存等形式，如只讀存儲器(ROM)或閃存(flash RAM)。內(nèi)存是計算機可讀介質(zhì)的示例。

計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結構、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機存取存儲器(SRAM)、動態(tài)隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內(nèi)存技術、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設備訪問的信息。按照本文中的界定，計算機可讀介質(zhì)不包括暫存電腦可讀媒體(transitory media)，如調(diào)制的數(shù)據(jù)信號和載波。

還需要說明的是，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。

本領域技術人員應明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例或結合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。