基于用户识别卡的统一认证方法和系统与流程
本发明涉及互联网领域,特别涉及一种基于用户识别卡的统一认证方法和系统。
背景技术:
目前,基于用户识别卡(简称用户卡)的统一认证方法能够满足客户端通过移动终端接入移动运营商网络(2G/3G/4G),登录业务平台的高安全级别认证要求,其安全性通过基于用户识别卡和公众移动通信网的认证系统得以保证。其原理是,当客户端通过移动终端中的用户识别卡接入公众移动通信网时,公众移动通信网将对用户识别卡和签约业务类型进行认证,4G用户识别卡则同时对公众移动通信网进行认证,实现更高安全级别的双向认证。当业务平台接收到客户端的服务请求时,向公众移动通信网运营商的认证服务器发送认证请求,公众移动通信网运营商的认证服务器返回通过认证的确认信息给业务平台。
但是,当客户端不通过公众移动通信网,而是通过移动终端中的WiFi连接到业务平台时,由于用户识别卡和公众移动通信网并不参与上述登录过程,公众移动通信网不掌握移动终端的登录行为和相关信息,也就无法为业务平台提供基于公众移动通信网接入认证的认证服务。客户端在通过移动终端的WiFi接入业务平台时,移动终端中甚至可以没有插入用户识别卡。
技术实现要素:
鉴于以上技术问题,本发明提供了一种基于用户识别卡的统一认证方法和系统,当客户终端通过无线局域网登录到业务平台时,认证服务器仍然能够为业务平台提供高安全级别的认证服务。
根据本发明的一个方面,提供一种基于用户识别卡的统一认证方法,包括:
客户终端向业务平台发送登录请求,其中,登录请求包括基于用户识别卡的认证信息;
业务平台向认证服务器发送用户认证请求,其中,用户认证请求中包括所述认证信息;
认证服务器根据所述认证信息进行用户身份认证,并将认证结果返回给业务平台;
业务平台根据认证结果决定是否通过客户终端的登录请求。
在本发明的一个实施例中,所述方法还包括:若客户终端通过公众移动通信网向业务平台发送登录请求,则所述认证信息包括客户终端ID、用户识别卡号、认证凭证以及认证时间;所述用户身份认证为基于用户身份识别卡的认证;
若客户终端通过无线局域网向业务平台发送登录请求,则所述认证信息包括客户终端ID、用户识别卡号、认证凭证以及客户终端最近一次通过公众移动通信网认证的时间。
在本发明的一个实施例中,若客户终端通过无线局域网向业务平台发送登录请求,则认证服务器根据所述认证信息进行用户身份认证的步骤包括:
认证服务器判断客户终端是否注册到公众移动通信网;
若客户终端注册到公众移动通信网,则认证服务器查询公众移动通信网的注册信息,并根据查询到的客户终端的注册信息,进行基于用户识别卡的用户身份认证。
在本发明的一个实施例中,认证服务器根据所述认证信息进行用户身份认证的步骤还包括:
若客户终端未注册到公众移动通信网,则认证服务器根据所述认证信息与认证服务器中的认证记录进行比较,进行基于用户识别卡认证记录的用户身份认证。
在本发明的一个实施例中,所述方法还包括:
客户终端对基于用户识别卡的认证信息进行加密处理,之后执行向业务平台发送登录请求的步骤;
在业务平台向认证服务器发送用户认证请求的步骤之后,所述方法还包括:
认证服务器对用户认证请求中的认证信息进行解密,之后执行根据所述认证信息进行用户身份认证的步骤。
在本发明的一个实施例中,用户认证请求包括二次验证请求;
所述方法还包括:认证服务器根据所述认证信息通过用户身份认证后,根据二次验证请求向客户终端发送二次验证要求;
认证服务器根据客户终端返回的二次验证信息,对用户身份进行二次验证,并将二次验证结果作为认证结果,之后执行将认证结果返回给业务平台的步骤。
根据本发明的另一方面,提供一种基于用户识别卡的统一认证系统,包括客户终端、业务平台和认证服务器,其中:
客户终端,用于向业务平台发送登录请求,其中,登录请求包括基于用户识别卡的认证信息;
业务平台,用于向认证服务器发送用户认证请求,其中,用户认证请求中包括所述认证信息;并根据认证服务器返回的认证结果决定是否通过客户终端的登录请求。
认证服务器,用于所述认证信息进行用户身份认证,并将认证结果返回给业务平台。
在本发明的一个实施例中,若客户终端通过公众移动通信网向业务平台发送登录请求,则所述认证信息包括客户终端ID、用户识别卡号、认证凭证以及认证时间;所述用户身份认证为基于用户身份识别卡的认证;
若客户终端通过无线局域网向业务平台发送登录请求,则所述认证信息包括客户终端ID、用户识别卡号、认证凭证以及客户终端最近一次通过公众移动通信网认证的时间。
在本发明的一个实施例中,认证服务器包括查询模块和认证模块, 其中:
查询模块,用于在客户终端通过无线局域网向业务平台发送登录请求时,向公众移动通信网查询客户终端是否注册到公众移动通信网;并在客户终端注册到公众移动通信网时,获取客户终端的注册信息;
认证模块,用于根据查询模块的查询结果,在客户终端注册到公众移动通信网时,根据查询模块获取到的客户终端的注册信息,进行基于用户识别卡的用户身份认证。
在本发明的一个实施例中,认证模块还用于根据查询模块的查询结果,在客户终端未注册到公众移动通信网时,根据所述认证信息与认证服务器中的认证记录进行比较,进行基于用户识别卡认证记录的用户身份认证。
在本发明的一个实施例中,客户终端还用于对基于用户识别卡的认证信息进行加密处理,之后执行向业务平台发送登录请求的操作;
认证服务器还用于在接收到业务平台发送的用户认证请求之后,对用户认证请求中的认证信息进行解密,之后执行根据所述认证信息进行用户身份认证的操作。
在本发明的一个实施例中,用户认证请求包括二次验证请求;
认证服务器还用于在用户身份认证通过后,根据二次验证请求向客户终端发送二次验证要求;根据客户终端返回的二次验证信息,对用户身份进行二次验证;并将二次验证结果作为认证结果,之后执行将认证结果返回给业务平台的操作。
本发明基于用户识别卡的统一认证方法和系统,在客户终端通过无线局域网登录到业务平台时,仍然能够为业务平台提供基于用户识别卡的认证服务,从而提高了对客户终端认证的安全级别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技 术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于用户识别卡的统一认证方法一个实施例的示意图。
图2为本发明一个实施例中认证服务器根据所述认证信息进行用户身份认证的示意图。
图3为本发明基于用户识别卡的统一认证系统的示意图。
图4为本发明一个实施例中认证服务器的示意图。
图5为本发明基于用户识别卡的统一认证方法另一实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此, 一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明基于用户识别卡的统一认证方法一个实施例的示意图。优选的,本实施例可由本发明基于用户识别卡的统一认证系统执行。该方法包括以下步骤:
步骤101,客户终端通过无线局域网(WLAN)、公众移动通信网等网络,向业务平台发送登录请求,其中,客户终端可以为手机登移动终端;登录请求包括客户终端的IP地址、以及基于用户识别卡的认证信息。
客户终端通过无线局域网向业务平台发送登录请求时,所述认证信息包括客户终端ID、用户识别卡号、认证凭证、以及客户终端最近一次通过公众移动通信网认证的时间等。
当用户通过客户终端及用户识别卡接入公众移动通信网(移动运营商网络),以登录业务平台时,认证服务器和客户终端都记录登录认证的相关信息,包括:移动终端ID、用户识别卡号、认证凭证、认证时间。由此,客户终端记录有客户终端ID、用户识别卡号、认证凭证、以及客户终端最近一次通过公众移动通信网认证的时间等认证信息。
步骤102,业务平台从客户终端的登录请求中提取所述认证信息,并向认证服务器发送用户认证请求,其中,业务平台可以是运营商或第三方的业务平台,用户认证请求包括客户终端的IP地址、以及所述认证信息。
步骤103,认证服务器根据所述认证信息,对客户终端进行用户身份认证,并将认证结果返回给业务平台,其中,认证结果包括客户终端通过认证服务器的用户身份认证,或者客户终端未通过认证服务器的用户身份认证。
步骤104,业务平台根据认证结果决定是否通过客户终端的登录请求。
在本发明的一个实施例中,步骤104可以包括:若客户终端通过 认证服务器的用户身份认证,则业务平台允许客户终端登录,否则,若客户终端未通过认证服务器的用户身份认证,则业务平台拒绝客户终端的登录请求。
基于本发明上述实施例提供的统一认证方法,当客户终端通过无线局域网登录到业务平台时,仍然能够为业务平台提供基于用户识别卡的认证服务,由此,提高了对客户终端认证的安全级别,可以为业务平台提供更高安全级别的客户认证服务。
在本发明的一个实施例中,在步骤101之前,所述方法还可以包括:客户终端对基于用户识别卡的认证信息进行封装加密处理。
同时,在步骤102之后,所述方法还可以包括:认证服务器对用户认证请求中的认证信息进行解密,之后执行步骤103。
本发明的所述实施例中,加密后的认证信息只能由公众移动通信网的认证服务器解密,不对业务平台开放,由此保证了用户识别卡信息的安全,用户识别卡信息不被第三方业务平台获取。
在本发明的一个实施例中,用户认证请求还可以包括二次验证请求,二次验证请求中可以包括二次验证的类型,例如,请求发送短信验证码或数字签名。
由此认证服务器根据所述认证信息通过用户身份认证后,所述方法还可以包括:根据二次验证请求向客户终端发送二次验证要求,如回答预留问题的答案或者数字签名信息;认证服务器根据客户终端返回的二次验证信息(如预留问题的答案或者数字签名信息),对用户身份进行二次验证,并将二次验证结果作为认证结果,之后执行将认证结果返回给业务平台的步骤。
本发明上述实施例通过对用户身份的二次验证,可以防止客户端中的认证记录被盗用,从而进一步提高了用户身份认证的安全级别。
本发明的上述实施例的统一认证方法还可以应用于客户终端通过公众移动通信网登录业务平台时的认证。
在本发明的一个实施例中,若客户终端通过公众移动通信网向业务平台发送登录请求,则所述认证信息包括客户终端ID、用户识别卡号、 认证凭证以及认证时间;所述用户身份认证为基于用户身份识别卡的认证。
由此,本发明基于用户识别卡的统一认证方法,可以适用于在客户终端通过公众移动通信网或无线局域网登录业务平台时,为业务平台提供基于用户识别卡的客户身份认证服务。
在本发明的一些实施例中,本发明同时适用于客户终端通过有线网络等其它非公众移动通信网登录业务平台时,向业务平台提供基于用户识别卡的客户身份认证服务。其中,客户终端记录有客户终端ID、用户识别卡号、认证凭证、以及客户终端最近一次通过公众移动通信网认证的时间等认证信息。
图2为本发明一个实施例中认证服务器根据所述认证信息进行用户身份认证的示意图。优选的,本实施例可由本发明的认证服务器执行。如图2所示,图1实施例中的步骤103可以包括:
步骤201,认证服务器判断客户终端是否注册到公众移动通信网。若客户终端注册到公众移动通信网(通过公众移动通信网可以呼叫到移动终端),则执行步骤202;否则,若客户终端未注册到公众移动通信网(通过公众移动通信网无法呼叫到移动终端),则执行步骤203。
步骤202,认证服务器查询公众移动通信网的注册信息,并根据查询到的客户终端的注册信息,进行基于用户识别卡的用户身份认证。即,认证服务器可以提供与通过公众移动通信网登录业务平台相同的认证服务,之后不再执行本实施例的其它步骤。
步骤203,认证服务器根据所述认证信息(依据业务平台转发的最近一次通过公众移动通信网的认证信息)与认证服务器中的认证记录进行核对比较,进行基于用户识别卡认证记录的用户身份认证。
对于客户终端通过客户终端的WiFi设备连接无线局域网,登录业务平台时,现有技术只能提供基于web的认证服务,安全级别低。
本发明上述实施例,对于客户终端通过无线局域网登录业务平台的情景,如果移动终端同时注册到公众移动通信网,由认证服务器查询公众移动通信网的注册信息,执行基于用户识别卡的认证,由此可 以提供更高的认证安全级别;如果移动终端没有注册到公众移动通信网,则由认证服务器提供基于用户识别卡认证记录的认证,其安全级别也大大高于基于web的认证方法的级别,与基于用户识别卡认证方法的安全级别接近。
图3为本发明基于用户识别卡的统一认证系统的示意图。如图3所示,所述统一认证系统包括客户终端301、业务平台302和认证服务器303,其中:
客户终端301,用于向业务平台302发送登录请求,其中客户终端可以为手机登移动终端;登录请求包括客户终端的IP地址和基于用户识别卡的认证信息,所述认证信息包括客户终端ID、用户识别卡号、认证凭证、以及客户终端最近一次通过公众移动通信网认证的时间等。
业务平台302,用于从客户终端的登录请求中提取所述认证信息,向认证服务器303发送用户认证请求,其中,用户认证请求中包括客户终端的IP地址和所述认证信息;并根据认证服务器303返回的认证结果决定是否通过客户终端301的登录请求。
在本发明的一个实施例中,业务平台302具体用于在客户终端通过认证服务器的用户身份认证时,允许客户终端登录;在客户终端未通过认证服务器的用户身份认证时,拒绝客户终端的登录请求。
认证服务器303,用于所述认证信息进行用户身份认证,并将认证结果返回给业务平台302。
基于本发明上述实施例提供的统一认证系统,当客户终端通过无线局域网登录到业务平台时,仍然能够为业务平台提供基于用户识别卡的认证服务,由此,提高了对客户终端认证的安全级别,可以为业务平台提供更高安全级别的客户认证服务。
在本发明的一个实施例中,客户终端301还用于对基于用户识别卡的认证信息进行加密处理,之后执行向业务平台302发送登录请求的操作;认证服务器303还用于在接收到业务平台302发送的用户认证请求之后,对用户认证请求中的认证信息进行解密,之后执行根据所述认证信息进行用户身份认证的操作。
本发明的所述实施例中,加密后的认证信息只能由公众移动通信网的认证服务器解密,不对业务平台开放,由此保证了用户识别卡信息的安全,用户识别卡信息不被第三方业务平台获取。
在本发明的一个实施例中,用户认证请求还可以包括二次验证请求,二次验证请求中可以包括二次验证的类型,例如,请求发送短信验证码或数字签名。
在本发明的一个实施例中,认证服务器303还用于在用户身份认证通过后,根据二次验证请求向客户终端301发送二次验证要求,如回答预留问题的答案或者数字签名信息;根据客户终端301返回的二次验证信息(如预留问题的答案或者数字签名信息),对用户身份进行二次验证;并将二次验证结果作为认证结果,之后执行将认证结果返回给业务平台302的操作。
本发明上述实施例通过对用户身份的二次验证,可以防止客户端中的认证记录被盗用,从而进一步提高了用户身份认证的安全级别。
本发明的上述实施例的统一认证系统还可以应用于客户终端通过公众移动通信网登录业务平台时的认证。其中,客户终端发送的登录请求中,所述认证信息包括客户终端ID、用户识别卡号、认证凭证以及认证时间;所述用户身份认证为基于用户身份识别卡的认证。
由此,本发明基于用户识别卡的统一认证系统,可以适用于在客户终端通过公众移动通信网或无线局域网登录业务平台时,为业务平台提供基于用户识别卡的客户身份认证服务。
在本发明的一些实施例中,本发明同时适用于客户终端通过有线网络等其它非公众移动通信网登录业务平台时,向业务平台提供基于用户识别卡的客户身份认证服务。其中,客户终端记录有客户终端ID、用户识别卡号、认证凭证、以及客户终端最近一次通过公众移动通信网认证的时间等认证信息。
图4为本发明一个实施例中认证服务器的示意图。如图4所示,图3中的认证服务器303可以包括查询模块401和认证模块402,其中:
查询模块401,用于在客户终端301通过无线局域网向业务平台 302发送登录请求时,向公众移动通信网查询客户终端301是否注册到公众移动通信网;并在客户终端注册到公众移动通信网时,获取客户终端301的注册信息。
认证模块402,用于根据查询模块401的判断结果,在客户终端301注册到公众移动通信网时,并根据查询模块401获取到的客户终端301的注册信息,进行基于用户识别卡的用户身份认证。
在本发明的一个实施例中,认证模块402还可以用于根据查询模块401的查询结果,在客户终端301未注册到公众移动通信网时,根据所述认证信息与认证服务器303中的认证记录进行比较,进行基于用户识别卡认证记录的用户身份认证。
本发明上述实施例,对于客户终端通过无线局域网登录业务平台的情景,如果移动终端同时注册到公众移动通信网,由认证服务器查询公众移动通信网的注册信息,执行基于用户识别卡的认证,由此可以提供更高的认证安全级别;如果移动终端没有注册到公众移动通信网,则由认证服务器提供基于用户识别卡认证记录的认证,其安全级别也大大高于基于web的认证方法的级别,与基于用户识别卡认证方法的安全级别接近。
图5为本发明基于用户识别卡的统一认证方法另一实施例的示意图。优选的,本实施例可由本发明基于用户识别卡的统一认证系统执行。该方法包括以下步骤:
步骤501,客户终端对基于用户识别卡的认证信息进行封装加密处理。
步骤502,客户终端通过无线局域网、公众移动通信网、有线网络等网络,向业务平台发送登录请求。其中,登录请求包括客户终端的IP地址和加密后的认证信息。
步骤503,业务平台客户终端发送的登录请求中提取客户终端的IP地址和所述加密后的基于用户识别卡的认证信息。
步骤504,业务平台向认证服务器发送用户认证请求,其中,业务平台可以是运营商或第三方的业务平台,用户认证请求中包括客户 终端的IP地址和所述认证信息。
在本发明的一个实施例中,用户认证请求还可以包括二次验证请求,二次验证请求中可以包括二次验证的类型,例如,请求发送短信验证码或数字签名。
步骤505,认证服务器对用户认证请求中的认证信息进行解密。
步骤506,认证服务器根据解密后的认证信息,对客户终端进行用户身份认证。
在本发明的一个实施例中,若用户认证请求包括二次验证请求,则认证服务器根据所述认证信息通过用户身份认证后,所述方法还可以包括:根据二次验证请求向客户终端发送二次验证要求,如回答预留问题的答案或者数字签名信息;认证服务器根据客户终端返回的二次验证信息(如预留问题的答案或者数字签名信息),对用户身份进行二次验证,并将二次验证结果作为认证结果,之后执行步骤507。
步骤507,认证服务器将认证结果返回给业务平台,其中,认证结果包括客户终端通过认证服务器的用户身份认证,或者客户终端未通过认证服务器的用户身份认证。
步骤508,业务平台根据认证结果决定是否通过客户终端的登录请求。
在本发明的一个实施例中,步骤508可以包括:若客户终端通过认证服务器的用户身份认证,则业务平台允许客户终端登录,否则,若客户终端未通过认证服务器的用户身份认证,则业务平台拒绝客户终端的登录请求。
本发明基于用户识别卡的统一认证方法和系统,可以在没有用户识别卡参与、WiFi接入认证的环境中,为业务平台提供基于用户识别卡的认证服务;通过采用本发明的技术方案,使得客户端通过移动终端的WiFi登录到业务平台时,虽然移动终端没有注册到移动网络,公众移动通信网的认证服务器仍然能够为业务平台提供基于用户卡认证记录的认证服务,由此可以提供高安全级别的认证服务。
在上面所描述的客户终端301、业务平台302和认证服务器303等装 置可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
- 还没有人留言评论。精彩留言会获得点赞!