身份溯源认证方法及系统的制作方法

身份溯源认证方法及系统的制作方法
【专利摘要】本发明涉及一种身份溯源认证方法及系统，方法包括：服务提供商平台接收用户终端通过一次身份认证数据报文提交的常规认证信息后进行身份验证；通过后，获取用户终端的移动运营商信息，并根据移动运营商信息向对应的移动运营商平台发出身份溯源认证请求；移动运营商平台中的网关设备捕捉用户终端发出的二次身份认证数据报文，并根据身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息；网关设备将用户识别卡信息插入二次身份认证数据报文，并发送给服务提供商平台进行基于用户识别卡信息的二次认证。本发明修补了现有NET网络环境下简单认证方式所存在的安全隐患，增强了用户身份的可信程度，提高了用户在电子商务活动过程中的安全性和便利性。
【专利说明】身份溯源认证方法及系统
【技术领域】
[0001]本发明涉及认证安全领域，尤其涉及一种身份溯源认证方法及系统。
【背景技术】
[0002]目前随着移动电子商务应用的日益普及，移动电子商务用户身份认证的安全性成为用户关注的重点。在移动电子商务NET方式接入时，移动电子商务服务提供商SP对用户的认证通常采用“账号+ 口令+验证码”认证的方式，将验证码通过短信发送到用户开通业务时所登记的手机上，用户登录时需同时输入账号、口令以及验证码，通过验证后才能登录电子商务服务平台。
[0003]但目前移动电子商务所采用的“账号+ 口令+验证码”认证技术尚存在以下一些问题:
[0004]1、用户可能无法实时接收短信，业务即时性较差；
[0005]2、短信在发送过程中可能被拦截或窃听，增加了安全隐患；
[0006]3、增加了用户操作，较为繁琐。

【发明内容】

[0007]本发明的目的是提出一种身份溯源认证方法及系统，能够在提高移动电子商务NET方式的接入认证安全性的同时，提升用户访问效率和使用体验，解决安全性和便利性等问题。
[0008]为实现上述目的，本发明提供了一种身份溯源认证方法，包括:
[0009]服务提供商(Service Provider,简称SP)平台接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证；
[0010]验证通过后，所述服务提供商平台获取所述用户终端的移动运营商信息，并根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；
[0011]所述移动运营商平台中的网关设备捕捉所述用户终端发出的二次身份认证数据报文，并根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息；
[0012]所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文，并发送给所述服务提供商平台进行基于所述用户识别卡信息的二次认证。
[0013]进一步的，所述服务提供商平台获取所述用户终端的移动运营商信息的操作具体为:
[0014]所述服务提供商平台通知所述用户终端选择移动运营商，并接收所述用户终端选择的移动运营商信息；或
[0015]所述服务提供商平台在本地数据库查询所述用户终端对应的移动运营商，所述用户终端对应的移动运营商信息为用户进行业务登记时在所述服务提供商平台的本地数据库中登记的所述用户终端的移动运营商信息。[0016]进一步的，所述根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求的操作具体为:
[0017]所述服务提供商平台根据所述用户终端的移动运营商信息确定对应的移动运营商平台；
[0018]所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息。
[0019]进一步的，在所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求时，还包括:所述服务提供商平台向所述用户终端发出进行二次认证的要求，以便所述用户终端发送二次身份认证数据报文；以及
[0020]所述移动运营商平台的第二接口前置机将所述身份溯源认证请求传递给所述移动运营商平台中的网关设备；
[0021]所述移动运营商平台中的网关设备从所述身份溯源认证请求中获取所述用户终端的流量特征信息，并根据所述用户终端的流量特征信息捕捉所述用户终端的二次身份认证数据报文。
[0022]进一步的，在所述移动运营商平台中的网关设备接收所述身份溯源认证请求之后，从所述身份溯源认证请求提取出的参数包括所述用户终端的IP地址，则所述根据所述身份溯源认证请求从AAA 服务器中获取对应的用户识别卡信息的操作具体为:
[0023]所述移动运营商平台中的网关设备将所述用户终端的IP地址发送给所述AAA服务器，所述AAA服务器根据所述用户终端的IP地址在本地数据库中查询对应用户的用户识别卡信息，所述用户识别卡信息包括国际移动用户识别码或手机号码信息。
[0024]进一步的，所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文的操作具体为:
[0025]所述移动运营商平台中的网关设备根据预设加密算法对所述国际移动用户识别码或手机号码信息进行加密，然后将加密后的信息插入到所述二次身份认证数据报文中，形成新的二次身份认证数据报文。
[0026]进一步的，所述转发给所述服务提供商平台进行基于所述用户识别卡信息的二次认证的操作具体包括:
[0027]所述移动运营商平台中的网关设备计算所述新的二次身份认证数据报文的校验和，再将所述新的二次身份认证数据报文发送给所述服务提供商平台；
[0028]所述服务提供商平台将所述新的二次身份认证数据报文的加密信息与所述用户在本地登记的认证信息进行比对，根据比对结果确定所述用户的身份是否真实可信且可溯源。
[0029]为实现上述目的，本发明提供了一种身份溯源认证系统，包括:
[0030]服务提供商平台，用于接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证，并在验证通过后获取所述用户终端的移动运营商信息，并根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，以及在接收到所述移动运营商平台转发的二次身份认证数据报文时进行基于所述用户识别卡信息的二次认证；[0031]移动运营商平台，包括网关设备和AAA服务器，所述网关设备用于捕捉所述用户终端发出的二次身份认证数据报文，并根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息，然后将所述用户识别卡信息插入所述二次身份认证数据报文，并发送给所述服务提供商平台。
[0032]进一步的，还包括:
[0033]第一接口前置机，处于所述服务提供商平台一侧，用于向所述移动运营商平台的第二接口前置机发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；
[0034]第二接口前置机，处于所述移动运营商平台一侧，用于将所述身份溯源认证请求传递给所述移动运营商平台中的网关设备。
[0035]进一步的，所述服务提供商平台具体包括:
[0036]一次身份认证模块，用于接收所述用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证；
[0037]运营商信息获取模块，用于在验证通过后获取所述用户终端的移动运营商信息；
[0038]溯源请求发送模块，用于根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；
[0039]二次身份认证模块，用于在接收到所述移动运营商平台发送的二次身份认证数据报文时进行基于所述用户识别卡信息的二次认证。
[0040]进一步的，所述网关设备具体包括:
[0041]报文捕捉模块，用于捕捉所述用户终端发出的二次身份认证数据报文；
[0042]信息查询模块，用于根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息；
[0043]信息插入模块，用于将所述用户识别卡信息插入所述二次身份认证数据报文；
[0044]报文发送模块，用于将插入所述用户识别卡信息的二次身份认证数据报文发送给所述服务提供商平台。
[0045]进一步的，所述运营商信息获取模块具体包括:
[0046]运营商选择模块，用于通知所述用户终端选择移动运营商，并接收所述用户终端选择的移动运营商信息；或
[0047]运营商查询模块，用于在本地数据库查询所述用户终端对应的移动运营商，所述用户终端对应的移动运营商信息为用户进行业务登记时在所述服务提供商平台的本地数据库中登记的所述用户终端的移动运营商信息。
[0048]进一步的，所述服务提供商平台还包括:
[0049]二次认证要求模块，用于在所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求时，向所述用户终端发出进行二次认证的要求，以便所述用户终端发送二次身份认证数据报文；
[0050]所述报文捕捉模块具体包括:
[0051]流量特征获取单元，用于从所述身份溯源认证请求中获取所述用户终端的流量特征信息；[0052]报文捕捉单元，用于根据所述用户终端的流量特征信息捕捉所述用户终端的二次身份认证数据报文。
[0053]进一步的，所述信息查询模块中从所述身份溯源认证请求中提取出的参数包括所述用户终端的IP地址，所述用户识别卡信息包括国际移动用户识别码或手机号码信息。
[0054]进一步的，所述网关设备还包括:
[0055]信息加密模块，用于根据预设加密算法对所述国际移动用户识别码或手机号码信息进行加密，以便所述信息插入模块将加密后的信息插入到所述二次身份认证数据报文中，形成新的二次身份认证数据报文；
[0056]校验和计算模块，用于计算所述新的二次身份认证数据报文的校验和。
[0057]进一步的，所述二次身份认证模块具体包括:
[0058]信息比对单元，用于将所述新的二次身份认证数据报文的加密信息与所述用户在本地登记的加密信息进行比对，根据比对结果确定所述用户的身份是否真实可信且可溯源。
[0059]基于上述技术方案，本发明在用户通过移动NET网络向SP平台提交认证请求时，通过与移动运营商平台的交互在用户的二次认证请求中插入用户识别卡信息来实现身份溯源验证，这样即便黑客盗用了用户的账号和口令，也无法在其它移动终端上使用，修补了现有NET网络环境下简单认证方式所存在的安全隐患，增强了用户身份的可信程度，提高了用户在电子商务活动过程中的安全性和便利性。
【专利附图】

【附图说明】
[0060]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0061]图1为本发明身份溯源认证方法的一实施例的流程示意图。
[0062]图2为本发明身份溯源认证方法的另一实施例的信令流程示意图。
[0063]图3为本发明身份溯源认证系统的一实施例的结构示意图。
[0064]图4为本发明身份溯源认证系统的另一实施例的应用场景示意图。
[0065]图5为本发明身份溯源认证系统实施例中服务提供商平台的结构示意图。
[0066]图6为本发明身份溯源认证系统实施例中网关设备的结构示意图。
【具体实施方式】
[0067]下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
[0068]如图1所示，为本发明身份溯源认证方法的一实施例的流程示意图。在本实施例，身份溯源认证流程包括:
[0069]步骤101、SP平台接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证；
[0070]步骤102、验证通过后，所述SP平台获取所述用户终端的移动运营商信息；
[0071]步骤103、SP平台根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；
[0072]步骤104、所述移动运营商平台中的网关设备捕捉所述用户终端发出的二次身份认证数据报文，并根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息；
[0073]步骤105、所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文；
[0074]步骤106、所述移动运营商平台中的网关设备将插入用户识别卡信息的二次身份认证数据报文发送给所述SP平台进行基于所述用户识别卡信息的二次认证。
[0075]在本实施例的步骤101中，用户终端在通过移动NET网络访问SP平台的应用服务(例如手机银行、手机证券、手机办公等)时，需要提交常规的认证信息进行第一次认证，这里的常规认证信息可以是“账号+ 口令”，也可以是“账号+ 口令+验证码”，或者其它常规认证信息的形式。SP平台在接收到用户终端所发出的常规认证信息时，会根据数据库中的数据来实现对常规认证信息的第一次验证，如果本次验证失败，那么则可以直接拒绝该用户终端访问SP平台的应用服务，或者通知用户终端重新输入常规认证信息等。对于重新输入的常规认证信息，则被视为一次新的认证过程，仍属于第一次的认证请求。
[0076]如果一次身份认证数据报文的身份验证通过，则并不意味着已满足了 SP平台向使用该用户终端的用户提供服务的条件，而是会启动作为第二次身份认证的身份溯源认证过程。在步骤102中，SP平台需要获取该用户终端的移动运营商信息，以便与移动运营商进行交互。移动运营商的信息可由用户终端主动选择，即SP平台通知用户终端选择移动运营商，当用户操作用户终端选择了其所使用的移动运营商时，SP平台可以接收用户终端所选择的移动运营商信息。移动运营商的信息也可以由SP平台通过数据库进行查询获得，当然这种方式需要用户进行业务登记时，在SP平台的本地数据库中登记用户终端所对应的移动运营商信息，从而 实现SP平台在获取移动运营商信息时的查询需要。
[0077]在步骤103中，SP平台在获知用户终端的移动运营商信息后，可以与对应的移动运营商平台建立通信联系，具体来说就是向移动运营商平台发出身份溯源认证请求，这个过程可以通过SP平台和移动运营商平台的接口前置机实现，即在SP平台根据用户终端的移动运营商信息确定对应的移动运营商平台后，通过本侧的第一接口前置机向该移动运营商平台的第二接口前置机发出身份溯源认证请求。而身份溯源认证请求主要包括用户终端的流量特征信息，通过流量特征信息可以识别出哪些数据报文是用户终端发出的。
[0078]在SP平台通过本侧的第一接口前置机向该移动运营商平台的第二接口前置机发出身份溯源认证请求时，SP平台可以向用户终端发出进行二次认证的要求，这种要求可以是第一次认证请求的回应消息，按照约定用户终端根据这一回应消息需要发出二次身份认证数据报文，也可以是一个要求用户终端发出二次身份认证数据报文的通知消息。
[0079]移动运营商平台包括了网关设备和AAA服务器，移动运营商平台一侧的第二接口前置机接收到身份溯源认证请求后，会将该请求传递给该网关设备，而该网关设备可以从该身份溯源认证请求提取出用户终端的流量特征信息，以便利用该流量特征信息捕捉用户终端发出的二次身份认证数据报文。网关设备可以利用从报文中提取的五元组参数来确定二次身份认证数据报文。
[0080]这里所提到的流量特征信息包括但不仅限于用户终端的IP地址、目的IP地址、源端口号、目的端口号等，在步骤104中利用用户终端的IP地址可以捕捉到源IP地址为该IP地址的二次身份认证数据报文，获得该数据报文的五元组参数。[0081]网关设备可以从所述身份溯源认证请求提取参数向AAA服务器发起查询，提取的参数包括用户终端的IP地址，AAA服务器可以根据该用户终端的IP地址在本地数据库中查询对应用户的用户识别卡信息。而AAA服务器可以在用户进行接入网络认证时，获取用户识别卡信息与IP地址的对应关系进行保存。
[0082]该用户识别卡信息为用户所使用的用户识别卡(SM卡或ΠΜ卡)的主要参数，以便唯一的确定用户的身份信息，而用户识别卡信息可以包括国际移动用户识别码(International Mobile SubscriberIdentification Number,简称 IMSI)或手机号石马信
肩、O
[0083]在步骤105中网关设备将用户识别卡信息插入二次身份认证数据报文时，优选对该用户识别卡信息(IMSI或手机号码信息)进行加密，以免被黑客截取，加密方式以及插入位置等可以在网关设备和SP平台之间事先约定。根据情况还可以加入时间戳，以防止重放攻击。插入了加密的用户识别卡信息的新的二次身份认证数据报文会被网关设备发送给SP平台，而在发送前，可以对该新的二次身份认证数据报文进行校验和(checksum)的计算，以防止流量信息被篡改。
[0084]在步骤106中，当SP平台接收到新的二次身份认证数据报文时，可以将该新的二次身份认证数据报文的加密信息与用户在本地登记的认证信息进行比对，根据比对结果确定所述用户的身份是否真实可信且可溯源。例如通过Hash函数进行加密，然后通过比对计算出的Hash值来确定用户身份是否真实可信且可溯源。用户在本地登记的认证信息可以是用户的MSI或者手机号码信息经过Hash函数计算后的数值。
[0085]SP平台也可以根据约定的加密算法对报文中的加密信息进行解密，获得对应的用户识别卡信息aM SI或手机号码信息)，通过调出在本地登记的用户的IMSI或者手机号码信息，与从报文中获取的MSI或者手机号码信息进行比对，根据比对结果来确定用户的身份是否真实可信且可溯源。
[0086]如果比对结果为相同，说明该用户为合法用户，可以为该用户终端提供应用服务，否则可以拒绝为该用户终端提供应用服务。
[0087]下面通过图2对本发明身份溯源认证方法的另一实施例进行说明。在本实施例中，移动证券用户利用手中的智能用户终端向券商交易SP平台获取交易服务，在SP平台和移动运营商平台的一侧各有接口前置机，在移动运营商平台中包括了网关设备和AAA服务器。身份溯源认证流程包括:
[0088]步骤201、移动证券用户通过智能用户终端访问券商交易SP平台，发起包括常规认证信息的一次身份认证数据报文，常规认证信息为“账号+ 口令+验证码”；
[0089]步骤202、券商交易SP平台对上述认证信息进行验证；
[0090]步骤203、验证通过后,券商交易SP平台通知移动证券用户选择移动运营商；
[0091]步骤204、移动证券用户在选择后，通过用户终端将选择的移动运营商信息发送给券商交易SP平台；
[0092]步骤205、服务提供商平台根据选择的移动运营商信息确定对应的移动运营商平台，并通过本侧的第一接口前置机向移动运营商平台的第二接口前置机发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；
[0093]步骤206、券商交易SP平台向智能用户终端发出进行二次认证的要求，以便智能用户终端发送二次身份认证数据报文；
[0094]步骤207、移动运营商平台的第二接口前置机将身份溯源认证请求传递给网关设备;
[0095]步骤208、网关设备从所述身份溯源认证请求中获取智能用户终端的IP地址作为流量特征信息，以及从AAA服务器获取对应的用户手机号码；
[0096]步骤209、智能用户终端发出二次身份认证数据报文，并被网关设备根据智能用户终端的IP地址来捕获该二次身份认证数据报文；
[0097]步骤210、网关设备在该二次身份认证数据报文的预设位置插入用户手机号码通过Hash函数加密后的结果；
[0098]步骤211、网关设备重新计算该报文的校验和后，向券商交易SP平台发送新的二次身份认证数据报文；
[0099]步骤212、券商交易SP平台比较从新的二次身份认证数据报文提取出的加密后的信息和本地注册时登记的认证信息；
[0100]步骤213、如果验证一致，则允许移动证券用户通过智能用户终端登入券商交易SP平台，接受服务，否则通知登入失败。
[0101]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成 ，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0102]如图3所示，为本发明身份溯源认证系统的一实施例的结构示意图。在本实施例中，身份溯源认证系统包括:SP平台I和移动运营商平台，移动运营商平台包括网关设备2和AAA服务器3。
[0103]SP平台I负责在接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据常规认证信息进行身份验证，并在验证通过后获取用户终端的移动运营商信息，然后根据用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求。SP平台I还负责在接收到移动运营商平台发送的二次身份认证数据报文时进行基于用户识别卡信息的二次认证。
[0104]网关设备2负责捕捉用户终端发出的二次身份认证数据报文，并根据身份溯源认证请求从AAA服务器3中获取对应的用户识别卡信息，然后将用户识别卡信息插入二次身份认证数据报文，并发送给SP平台I。
[0105]如图4所示，为本发明身份溯源认证系统的另一实施例的应用场景示意图。与上一实施例相比，本实施例中还可以包括处于SP平台I 一侧的第一接口前置机4和处于移动运营商平台一侧和第二接口前置机5。第一接口前置机4负责向移动运营商平台的第二接口前置机5发出身份溯源认证请求，身份溯源认证请求包括用户终端的流量特征信息。第二接口前置机5负责将身份溯源认证请求传递给移动运营商平台中的网关设备。
[0106]在本实施例的应用场景中，用户终端6发送的认证报文通过无线接入网7JDSN设备8、网关设备2以及NET网关9发送到SP平台1，而网关设备2与AAA服务器3和第二接口前置机5相连。
[0107]如图5所示，为本发明身份溯源认证系统实施例中服务提供商平台的结构示意图。在本实施例中，SP平台具体包括:一次身份认证模块11、运营商信息获取模块12、溯源请求发送模块13和二次身份认证模块14。其中，一次身份认证模块11负责接收所述用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证。运营商信息获取模块12负责在验证通过后获取所述用户终端的移动运营商信息。
[0108]在另一个实施例中，运营商信息获取模块12可以具体包括:运营商选择模块或运营商查询模块，其中运营商选择模块负责通知所述用户终端选择移动运营商，并接收所述用户终端选择的移动运营商信息，运营商查询模块负责在本地数据库查询所述用户终端对应的移动运营商，所述用户终端对应的移动运营商信息为用户进行业务登记时在所述服务提供商平台的本地数据库中登记的所述用户终端的移动运营商信息。
[0109]溯源请求发送模块13负责根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息。二次身份认证模块14负责在接收到所述移动运营商平台转发的二次身份认证数据报文时进行基于所述用户识别卡信息的二次认证。
[0110]如图6所示，为本发明身份溯源认证系统实施例中网关设备的结构示意图。在本实施例中，网关设备具体包括:报文捕捉模块21、信息查询模块22、信息插入模块23和报文发送模块24。报文捕捉模块21负责捕捉所述用户终端发出的二次身份认证数据报文。
[0111]信息查询模块22负责根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息。信息查询模块22中从所述身份溯源认证请求中提取出的参数可以包括所述用户终端的IP地址，所述用户识别卡信息包括国际移动用户识别码或手机号码信息。
[0112]信息插入模块23负责将所述用户识别卡信息插入所述二次身份认证数据报文。报文发送模块24负责将插入所述用户识别卡信息的二次身份认证数据报文发送给所述服务提供商平台。
[0113]在另一个实施例中，SP平台还可以包括二次认证要求模块，用于在所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求时，向所述用户终端发出进行二次认证的要求，以便所述用户终端发送二次身份认证数据报文，相应的网关设备中的报文捕捉模块21就可以具体包括流量特征获取单元和报文捕捉单元。流量特征获取单元负责从所述身份溯源认证请求中获取所述用户终端的流量特征信息。报文捕捉单元负责根据所述用户终端的流量特征信息捕捉所述用户终端的二次身份认证数据报文。
[0114]在另一个实施例中，网关设备还可以包括:信息加密模块以及校验和计算模块，信息加密模块负责根据预设加密算法对所述国际移动用户识别码或手机号码信息进行加密，以便所述信息插入模块将加密后的信息插入到所述二次身份认证数据报文中，形成新的二次身份认证数据报文。校验和计算模块负责计算所述新的二次身份认证数据报文的校验和。
[0115]相应的，SP平 台的二次身份认证模块可以具体包括:信息比对单元。信息比对单元负责将新的二次身份认证数据报文的加密信息与所述用户在本地登记的认证信息进行比对，根据比对结果确定所述用户的身份是否真实可信且可溯源。
[0116]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。
【权利要求】
1.一种身份溯源认证方法，包括: 服务提供商平台接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证； 验证通过后，所述服务提供商平台获取所述用户终端的移动运营商信息，并根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息； 所述移动运营商平台中的网关设备捕捉所述用户终端发出的二次身份认证数据报文，并根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息； 所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文，并发送给所述服务提供商平台进行基于所述用户识别卡信息的二次认证。
2.根据权利要求1所述的身份溯源认证方法，其中所述服务提供商平台获取所述用户终端的移动运营商信息的操作具体为: 所述服务提供商平台通知所述用户终端选择移动运营商，并接收所述用户终端选择的移动运营商信息；或 所述服务提供商平台在本地数据库查询所述用户终端对应的移动运营商，所述用户终端对应的移动运营商信息为用户进行业务登记时在所述服务提供商平台的本地数据库中登记的所述用户终端的移动运营商信息。
3.根据权利要求1所 述的身份溯源认证方法，其中所述根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求的操作具体为: 所述服务提供商平台根据所述用户终端的移动运营商信息确定对应的移动运营商平台； 所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信肩、O
4.根据权利要求3所述的身份溯源认证方法，其中在所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求时，还包括:所述服务提供商平台向所述用户终端发出进行二次认证的要求，以便所述用户终端发送二次身份认证数据报文；以及 所述移动运营商平台的第二接口前置机将所述身份溯源认证请求传递给所述移动运营商平台中的网关设备； 所述移动运营商平台中的网关设备从所述身份溯源认证请求中获取所述用户终端的流量特征信息，并根据所述用户终端的流量特征信息捕捉所述用户终端的二次身份认证数据报文。
5.根据权利要求4所述的身份溯源认证方法，其中在所述移动运营商平台中的网关设备接收所述身份溯源认证请求之后，从所述身份溯源认证请求提取出的参数包括所述用户终端的IP地址，则所述根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息的操作具体为: 所述移动运营商平台中的网关设备将所述用户终端的IP地址发送给所述AAA服务器，所述AAA服务器根据所述用户终端的IP地址在本地数据库中查询对应用户的用户识别卡信息，所述用户识别卡信息包括国际移动用户识别码或手机号码信息。
6.根据权利要求5所述的身份溯源认证方法，其中所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文的操作具体为: 所述移动运营商平台中的网关设备根据预设加密算法对所述国际移动用户识别码或手机号码信息进行加密，然后将加密后的信息插入到所述二次身份认证数据报文中，形成新的二次身份认证数据报文。
7.根据权利要求6所述的身份溯源认证方法，其中所述发送给所述服务提供商平台进行基于所述用户识别卡信息的二次认证的操作具体包括: 所述移动运营商平台中的网关设备计算所述新的二次身份认证数据报文的校验和，再将所述新的二次身份认证数据报文发送给所述服务提供商平台； 所述服务提供商平台将所述新的二次身份认证数据报文的加密信息与所述用户在本地登记的认证信息进行比对，根据比对结果确定所述用户的身份是否真实可信且可溯源。
8.一种身份溯源认证系统，包括: 服务提供商平台，用于接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证，并在验证通过后获取所述用户终端的移动运营商信息，并根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，以及在接收到所述移动运营商平台转发的二次身份认证数据报文时进行基于所述用户识别卡信息的二次认证； 移动运营商平台，包括网关设备和AAA服务器，所述网关设备用于捕捉所述用户终端发出的二次身份认证数据报文，并根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息，然后将所述用户识别卡信息插入所述二次身份认证数据报文，并发送给所述服务提供商平台。
9.根据权利要求8所述的身份溯源认证系统，其中还包括: 第一接口前置机，处于所述服务提供商平台一侧，用于向所述移动运营商平台的第二接口前置机发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息； 第二接口前置机，处于所述移动运营商平台一侧，用于将所述身份溯源认证请求传递给所述移动运营商平台中的网关设备。
10.根据权利要求9所述的身份溯源认证系统，其中所述服务提供商平台具体包括: 一次身份认证模块，用于接收所述用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证； 运营商信息获取模块，用于在验证通过后获取所述用户终端的移动运营商信息； 溯源请求发送模块，用于根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；二次身份认证模块，用于在接收到所述移动运营商平台转发的二次身份认证数据报文时进行基于所述用户识别卡信息的二次认证。
11.根据权利要求10所述的身份溯源认证系统，其中所述网关设备具体包括: 报文捕捉模块，用于捕捉所述用户终端发出的二次身份认证数据报文； 信息查询模块，用于根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息； 信息插入模块，用于将所述用户识别卡信息插入所述二次身份认证数据报文； 报文发送模块，用于将插入所述用户识别卡信息的二次身份认证数据报文发送给所述服务提供商平台。
12.根据权利要求10所述的身份溯源认证系统，其中所述运营商信息获取模块具体包括: 运营商选择模块，用于通知所述用户终端选择移动运营商，并接收所述用户终端选择的移动运营商信息；或 运营商查询模块，用于在本地数据库查询所述用户终端对应的移动运营商，所述用户终端对应的移动运营商信息为用户进行业务登记时在所述服务提供商平台的本地数据库中登记的所述用户终端的移动运营商信息。
13.根据权利要求11所述的身份溯源认证系统，其中所述服务提供商平台还包括: 二次认证要求模块，用于在所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求时，向所述用户终端发出进行二次认证的要求，以便所述用户终端发送二次身份认证数据报文； 所述报文捕捉模块具体包括: 流量特征获取单元，用于从所述身份溯源认证请求中获取所述用户终端的流量特征信息； 报文捕捉单元，用于根据所述用户终端的流量特征信息捕捉所述用户终端的二次身份认证数据报文。
14.根据权利要求13所述的身份溯源认证系统，其中所述信息查询模块中从所述身份溯源认证请求中提取出的参数包括所述用户终端的IP地址，所述用户识别卡信息包括国际移动用户识别码或手机号码信息。
15.根据权利要求14所述的身份溯源认证系统，其中所述网关设备还包括: 信息加密模块，用于根据预设加密算法对所述国际移动用户识别码或手机号码信息进行加密，以便所述信息插入模块将加密后的信息插入到所述二次身份认证数据报文中，形成新的二次身份认证数据报文； 校验和计算模块，用于计算所述新的二次身份认证数据报文的校验和。
16.根据权利要求15所述的身份溯源认证系统，其中所述二次身份认证模块具体包括: 信息比对单元，用于将所述新的二次身份认证数据报文的加密信息与所述用户在本地登记的认证信息进行比对，根据比对结果确定所述用户的身份是否真实可信且可溯源。
【文档编号】H04W12/06GK103905194SQ201210575921
【公开日】2014年7月2日 申请日期:2012年12月26日 优先权日:2012年12月26日
【发明者】王帅, 罗志强, 沈军, 金华敏 申请人:中国电信股份有限公司