一种身份认证方法和系统与流程

本发明涉及网络信息通信领域，具体为一种身份认证方法和系统。

背景技术：

随着计算机与互联网技术的迅速发展，用户的个人身份如何在互联网中被有效认证成为了商业界和学术界共同关注的热点问题。为了解决这一问题，用户在实名制网站注册时，被动要求提供个人的手机号码、身份证号、家庭住址等隐私信息，但是这种方法会存在实名制网站倒卖用户隐私、服务器被黑客攻击而隐私泄露等问题。

针对这些问题，现有技术中使用以优盘为终端载体的网络电子身份证，实现了物理分离，通过网络实时更新验证用户的身份有效性。网络电子身份证依托公安部覆盖13亿人口的全国公民身份信息库，生成了一组唯一的网络标识符和数字证书，保证用户身份的真实性和唯一性，同时其本身并不包含任何个人身份隐私信息。这样既确保了个人身份的真实性，又可有效避免用户身份信息被保留到各种网络运营商处时曝光和泄露的风险。

然而随着信息社会的快速发展，越来越多的用户选择使用手机、平板电脑等便携移动终端进行网上办公、网络购物等，这些移动终端并没有usb接口或者只有少数usb接口，属于资源受限设备，该类设备主要体现在低存储能力等问题上，通常情况下，该类设备需要访问资源服务器来获取数据，在该过程中，为了数据的安全性，需要对使用该类设备的用户身份进行校验。在实际应用场景中，由于该类设备还存在缺乏用户接口的问题，即不支持键盘输入，因此，在用户身份校验过程中，一般需要借助诸如手机、计算机之类的终端进行校验。

然而，上述提供的用户身份校验方法中，由于认证服务器只是根据分配的用户校验码对用户身份进行校验，但是，在实际应用场景中，由于任一用户均可能从终端中获取到该用户校验码，因此，该用户身份校验方法效率低，安全性较差。上述提到的这些缺陷已经成为了急需解决的技术问题。

技术实现要素：

为了解决现有技术中用户身份校验效率低，安全性较差的问题,本发明设计了一种身份认证方法和系统。

本发明采用了如下技术方案：

一种用户身份认证方法，其特征在于，所述方法包括：

认证服务器接收用户设备发送的第一请求消息，所述第一请求消息中携带设备标识和密文信息，所述密文信息由所述设备基于安全码对所述设备标识进行加密得到；

所述认证服务器接收终端发送的第二请求消息，所述第二请求消息中携带用户校验码和安全码，所述用户校验码由所述认证服务器基于所述设备标识确定所述设备属于所述认证服务器所管理的设备后分配的；

若所述认证服务器基于所述用户校验码确定所述第二请求消息与所述第一请求消息关联，则当使用所述第二请求消息中携带的安全码对所述密文信息进行解密处理得到所述设备标识时，确定用户身份认证通过。

进一步的，所述认证服务器接收用户设备发送的第一请求消息之前，还包括：认证服务器从运营商服务器上获取并存储已登记的有效的设备标识。

进一步的，所述确定用户身份认证通过之后，还包括：向所述设备发送更新的安全码。

进一步的，所述认证服务器接收终端发送的第二请求消息之前，还包括：当基于所述设备标识确定所述设备属于所述认证服务器所管理的设备时，分配所述用户校验码；将所述用户校验码发送给所述设备和与所述设备关联的终端中的至少一个。

一种用户身份认证系统，应用于认证服务器中，其特征在于，所述系统包括：

第一接收模块，用于接收用户设备发送的第一请求消息，所述第一请求消息中携带设备标识和密文信息，所述密文信息由所述设备基于安全码对所述设备标识进行加密得到；

第二接收模块，用于接收终端发送的第二请求消息，所述第二请求消息中携带用户校验码和安全码，所述用户校验码由所述认证服务器基于所述设备标识确定所述设备属于所述认证服务器所管理的设备后分配的；

校验模块，用于若基于所述用户校验码确定所述第二请求消息与所述第一请求消息关联，则当使用所述第二请求消息中携带的安全码对所述密文信息进行解密处理得到所述设备标识时，确定用户身份校验通过。

进一步的，所述系统还包括：第一发送模块，用于向所述设备发送更新的安全码。

进一步的，所述系统还包括：信息分配模块，用于当基于所述设备标识确定所述设备属于所述认证服务器所管理的设备时，分配所述用户校验码；

进一步的，所述系统还包括：第二发送模块，用于将所述用户校验码发送给所述设备和与所述设备关联的终端中的至少一个。

本发明的有益效果是：使用的虚拟号码而并不是真实的手机号，因此可以有效的避免用户真实信息的泄露，而且上述校验过程不仅依据用户校验码进行校验，还结合密文信息和安全码进行用户身份校验，提高了用户身份校验的效率和安全性。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是实施环境的示意图；

图2是认证服务器的结构示意图；

图3是用户身份认证系统的结构示意图。

具体实施方式

下面结合具体实施方式对本发明作进一步详细描述：

图1是本发明实施环境的示意图。在该实施环境中主要包括用户设备110、认证服务器120和与该用户设备110关联的终端130。其中，该用户设备110和该关联的终端130均可以通过有线网络或者无线与该认证服务器120连接。

其中，该设备110可以为资源受限设备，主要体现在缺乏有效的用户接口，即不支持键盘输入，例如，该设备110可以为诸如游戏控制台、电视机和多媒体集线器之类的设备，也可以为用户手机、或者其他类型的移动终端。

需要说明的是，在一种可能的实现方式中，该设备110可以配置有显示装置，该显示装置可以用于显示各种信息。其中，终端130可以用于辅助设备110向认证服务器120发送请求消息以请求用户身份校验。由于设备110缺乏有效的用户接口，在实际实现过程中，用户可以借助该终端130实现用户身份校验。例如，该终端130可以用于基于认证服务器120分配的校验链接，例如通过二维码展示，为用户展示显示界面，用户即可在该显示界面中输入安全码和用户校验码，从而通过该终端130向认证服务器120发送携带该安全码和用户校验码的第二请求消息，以使认证服务器120进行用户身份校验。其中，该终端130可以为诸如手机、平板电脑、计算机之类的设备，本发明实施例对此不作限定。

在具体实现中，该终端130可以通过有线网络或者无线网络与该设备110连接，并通过该连接来传输数据，例如，该设备110可以通过该连接将该用户校验码、校验链接之类的信息发送给该终端130。在一种可能的实现方式中，终端130和设备110之间可以采用带外数据技术实现数据传输，具体实现方式可以参见相关技术，本发明实施例不作限定。

图2是认证服务器120的结构示意图，该认证服务器120主要用于实现用户身份认证方法，在实际实现中，该认证服务器120可以为一台服务器，也可以是由多台服务器组成的服务器集群，本发明实施例对此不作限定。该认证服务器与运营商服务器相连，并从运营商服务器上获取已登记的有效的设备标识，该设备标识为运营商分配的虚拟号码，虚拟号码与用户的真实号码相对应，可以通过向运营商服务器请求相应的真实号码来使得每一个虚拟号码具有可追溯性。此外，运营商可以将虚拟号码有时限的授权给用户或者提供给第三方进行营销，用户通过支付相关的使用费用来获得虚拟号码的使用权限。

该认证服务器120中包括发送器1201、接收器1202、存储器1203、处理器1204以及通信总线1205。本领域技术人员可以理解，图2中示出的认证服务器120的结构并不构成对认证服务器120的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，本申请实施例对此不做限定。

其中，该发送器1201可以用于向设备110或终端130发送数据和/或信令等。该接收器1202可以用于接收该设备110或终端130发送的数据和/或信令等。该存储器1203中保存有从运营商处获取的设备标识。并且，该存储器1203也可以用于存储用于执行该用户身份校验方法的一个或多个运行程序和/或模块。在具体实现中，该存储器1203还可以用于调用外部软件系统中的多个运行程序和/或模块。

用户身份认证方法的流程具体步骤如下：

ss201，用户设备向认证服务器发送认证请求消息，认证服务器接收设备发送的认证请求消息，该认证请求消息中携带设备标识和密文信息，该密文信息由该设备基于安全码对设备标识进行加密得到。

其中，该设备标识可以用于唯一标识一个设备，例如，该设备标识可以为设备的身份(identification，id)信息、用户的手机号码等。需要说明的是，当该设备属于客户端设备类型时，该设备标识也可以为客户端标识，本发明实施例对此不作限定。在这里，该安全码通常为初始安全码，该初始安全码是由供应商在该设备出厂时设置和提供，例如该安全码可以为“0000”。

该认证请求消息可以是由该设备在接收到认证请求指令时发送，该认证请求指令可以由用户触发，该用户可以通过指定操作触发，该指定操作可以为按键操作等等。该设备基于安全码对该设备标识进行加密处理，得到密文信息，之后，该设备基于该设备标识和该密文信息生成认证请求消息，并向认证服务器发送该认证请求消息。需要说明的是，基于安全码对该设备标识进行加密处理得到密文信息的过程可以参见相关技术，本发明实施例不对加密算法进行限定。

ss202，当认证服务器基于该设备标识确定该设备属于认证服务器所管理的设备时，分配用户校验码。

在具体实现中，认证服务器中可以预先存储有自身所管理的所有设备的设备标识。认证服务器接收到该认证请求消息后，从存储的所有设备标识中查询是否包括该设备标识，如果存储的所有设备标识中包括该设备标识，则可以确定该设备属于自身所管理的设备。需要说明的是，上述基于该设备标识判断该设备是否属于所管理的设备的实现过程仅是示例性的，在实际实现过程中，还可能通过其它方式来基于该设备标识判断该设备是否属于自身所管理的设备，本发明实施例对此不作限定。

当认证服务器基于该设备标识确定该设备属于该认证服务器所管理的设备时，分配用户校验码。除此之外，在实际实现过程中，认证服务器还分配校验链接，用户可以通过终端基于该校验链接，可以向认证服务器请求身份认证。

需要说明的是，认证服务器分配校验链接和用户校验码的实现方式可以参见相关技术，例如，该用户校验码可以由认证服务器随机分配，该校验链接可以由认证服务器基于预先存储的根链接，按照一定的生成策略生成得到，本发明实施例对此不作限定。

ss203，认证服务器将该用户校验码发送给该设备和与该设备关联的终端中的至少一个。

在实际实现过程中，除了用户校验码外，认证服务器还将所分配的校验链接也一同发送给设备和与设备关联的终端中的至少一个。认证服务器可以将该校验链接和用户校验码发送给该设备。该设备可以通过自身配置的显示装置显示该校验链接和该用户校验码，用户可以从该显示装置中读取该设备所显示的校验链接和该用户校验码。或者，该设备也可以有线或者无线连接将该用户校验码和该校验链接发送给该终端，用户即可从该终端中获知该校验链接和用户校验码。该认证服务器也可以将该校验链接和用户校验码发送给与该设备关联的终端，用户可以直接从该终端中获知该校验链接和用户校验码。

ss204，终端向认证服务器发送第二请求消息，认证服务器接收该终端发送的第二请求消息，该第二请求消息中携带用户校验码和安全码。

该校验链接和该用户校验码可以从设备中获取得到，或者，也可以由终端从认证服务器中接收得到。另外，该第二请求消息可以由终端在接收到第二请求发送指令时发送，该第二请求发送指令可以由用户触发，该用户可以通过诸如点击、滑动等之类的操作触发。

当上述ss203中认证服务器将该校验链接和用户校验码发送给设备时，用户可以从该设备中读取该校验链接和该用户校验码，之后，在该终端中登录浏览器，并在该浏览器中输入该校验链接。终端基于该校验链接展示显示界面，用户在该显示界面中输入用户校验码和安全码。

该显示界面中可以提供有第二请求发送选项，当用户输入结束后，可以点击该第二请求发送选项，当终端检测到用户对该第二请求发送选项的点击操作时，确定接收到第二请求发送指令，终端基于该用户校验码和该安全码生成第二请求消息，并向认证服务器发送该第二请求消息。

ss205，若认证服务器基于用户校验码确定该第二请求消息与第一请求消息关联，则当使用第二请求消息中携带的安全码对该密文信息进行解密处理得到上述设备标识时，确定用户身份校验通过。

认证服务器接收到该第二请求消息后，获取该第二请求消息中的用户校验码，并判断该用户校验码与之前接收到第一请求消息后分配的用户校验码是否相同，若相同，则确定该第二请求消息为与上述绑定请求消息关联。

当确定该第二请求消息与上述绑定请求消息关联时，认证服务器使用第二请求消息中携带的安全码对上述绑定请求消息中的密文信息进行解密处理。如果使用该第二请求消息中的安全码能够对密文信息进行解密处理且得到上述设备标识，则可以确定用户身份校验通过，否则，确定用户身份认证未通过，如此，即实现了对用户身份的认证。

至此，已经实现了对用户身份的认证。然而，由于安全码是由供应商在该设备出厂时提供，并且，通常下各个设备的安全码均可能相同，例如，均为“0000”，在该种情况下，导致其它用户很容易获知到该安全码，安全性较差。为此，在确定用户身份认证通过后，还对该安全码进行更新，具体请参见如下ss206至ss207。

ss206，认证服务器向该设备发送更新后的安全码，设备接收该更新后的安全码。

其中，该更新后的安全码可以由该认证服务器随机生成，并进行对应的关联存储。

ss207：设备基于更新该安全码。

该设备更新该安全码后，可以通过显示装置显示该更新后的安全码，或者，也可以将该更新后的安全码发送给与该设备关联的终端，如此，用户可以获知更新后的安全码。

上述将用户校验码发送给与该设备关联的终端的具体实现方式包括：基于该设备标识，获取存储的联系方式，该联系方式包括邮箱账号、电话号码、用户账号中的任一种，通过该联系方式，将该用户校验码发送给与该设备关联的终端。需要说明的是，校验链接也可以采用该种方式发送给与该设备关联的终端。

图3是用户身份认证系统的结构示意图。该用户身份认证系统可以由软件、硬件或者两者的结合实现。该用户身份认证系统可以包括：

第一接收模块，用于接收用户设备发送的第一请求消息，所述第一请求消息中携带设备标识和密文信息，所述密文信息由所述设备基于安全码对所述设备标识进行加密得到；

第二接收模块，用于接收终端发送的第二请求消息，所述第二请求消息中携带用户校验码和安全码，所述用户校验码由所述认证服务器基于所述设备标识确定所述设备属于所述认证服务器所管理的设备后分配的；

校验模块，用于若基于所述用户校验码确定所述第二请求消息与所述第一请求消息关联，则当使用所述第二请求消息中携带的安全码对所述密文信息进行解密处理得到所述设备标识时，确定用户身份校验通过。

所述系统还包括：第一发送模块，用于向所述设备发送更新的安全码。

所述系统还包括：信息分配模块，用于当基于所述设备标识确定所述设备属于所述认证服务器所管理的设备时，分配所述用户校验码；

所述系统还包括：第二发送模块，用于将所述用户校验码发送给所述设备和与所述设备关联的终端中的至少一个。

在上述在用户身份校验过程中，使用的虚拟号码而并不是真实的手机号，因此可以有效的避免用户真实信息的泄露，而且上述校验过程不仅依据用户校验码进行校验，还结合密文信息和安全码进行用户身份校验，提高了用户身份校验的效率和安全性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，光介质、或者半导体介质等。