第三方应用认证方法、认证服务器、终端及管理服务器与流程

本发明涉及通信领域，尤其涉及一种第三方应用认证方法、认证服务器、终端及管理服务器。

背景技术：

所谓的第三方登录，就是利用用户在第三方应用平台上已有的账号来快速完成自己应用的登录或者注册的功能。而这里的第三方应用平台，一般是已经有大量用户的应用平台，如国内的新浪微博、QQ空间，微信，外国的Facebook、twitter等等。

要实现第三方登录，首先你需要选择一个第三方应用平台。例如新浪微博和QQ空间都是好的选择，这些平台拥有大量的用户，而且还开放了API，供我们调用接入。比如微博开放平台封装了可直接部署在任意网站上的微博登录按钮、关注按钮、分享按钮等组件，为开发者降低新用户注册门槛的同时，实现了社交关系的零成本引入和优质内容的快速传播。所以说，第三方登录具有很好的便利性。但是目前基于互联网，如国内的新浪微博、QQ空间，微信等应用，以及外国的Facebook、twitter等等的第三方应用登录存在一个严重的问题，就是第三方登录的安全性不会高于原认证平台的安全性，因为目前的上述第三方应用所采用的认证信息很少是可以真正识别用户的信息，并且后续也无法做实名制，导致采用第三方应用登陆的安全性降低，存在安全隐患。

技术实现要素：

本发明要解决的主要技术问题是，提供一种第三方应用认证方法、认证服务器、终端及管理服务器，解决现有第三方登陆安全性低，存在安全隐患的问题。

为解决上述技术问题，本发明提供一种第三方应用认证方法，包括：

终端的第三方应用模块从终端的用户身份信息模块获取运营商为用户设置的身份识别信息；

所述第三方应用模块生成包含该身份识别信息的认证请求发给第三方认证服务器进行认证。

在本发明的一种实施例中，还包括：

所述第三方应用模块接收所述第三方认证服务器根据所述认证请求反馈的认证挑战信息；

所述第三方应用模块将所述认证挑战信息发给终端的用户身份信息模块；

所述第三方应用模块接收所述用户身份信息模块反馈的认证挑战响应信息，并发给所述第三方认证服务器进行再次认证。

在本发明的一种实施例中，所述第三方应用模块获取运营商为用户设置的身份识别信息包括：

所述第三方应用模块为运营商设置的第三方应用模块时，直接从终端的用户身份信息模块获取所述身份识别信息；

所述第三方应用模块为非运营商设置的第三方应用模块时，向终端的认证代理模块发送身份信息获取请求，接收所述认证代理模块反馈的从所述用户身份信息模块获取的身份识别信息。

为解决上述技术问题，本发明还提供了一种第三方应用认证方法，包括：

第三方认证服务器接收来自终端的第三方应用发送的认证请求，所述认证请求包含运营商为用户设置的身份识别信息；

第三方认证服务器将所述认证请求发给运营商侧的用户数据管理服务器进行认证。

在本发明的一种实施例中，还包括：

第三方认证服务器接收所述用户数据管理服务器根据所述认证请求反馈的认证挑战信息；

第三方认证服务器将所述认证挑战信息发给所述终端的第三方应用模块；

第三方认证服务器接收所述终端的第三方应用反馈的认证挑战响应信息，并发给所述用户数据管理服务器进行认证。

为解决上述技术问题，本发明还提供了一种第三方应用认证方法，包括：

用户数据管理服务器接收来自第三方认证服务器发送的认证请求，所述认证请求包含运营商为用户设置的身份识别信息；

所述用户数据管理服务器根据所述认证请求进行认证。

在本发明的一种实施例中，所述用户数据管理服务器根据所述认证请求进行认证包括：

根据所述认证请求中的身份识别信息生成认证挑战信息；

将所述认证挑战信息发给所述第三方认证服务器；

接收来自所述第三方认证服务器的认证挑战响应信息进行认证。

为解决上述技术问题，本发明还提供了一种终端，包括：第三方应用模块，所述第三方应用模块包括身份信息获取子模块以及第一处理子模块；

所述信息获取子模块用于从终端的用户身份信息模块获取运营商为用户设置的身份识别信息；

所述第一处理子模块用于根据所述身份识别信息生成包含该身份识别信息的认证请求发给第三方认证服务器进行认证。

在本发明的一种实施例中，所述第三方应用模块还包括：

挑战信息获取子模块，用于接收所述第三方认证服务器根据所述认证请求 反馈的认证挑战信息；

信息转发子模块，用于将所述认证挑战信息发给终端的用户身份信息模块；

第二处理子模块，用于接收所述用户身份信息模块反馈的认证挑战响应信息并发给所述第三方认证服务器进行再次认证。

为解决上述技术问题，本发明还提供了一种第三方认证服务器，包括：

请求接收模块，用于接收来自终端的第三方应用发送的认证请求，所述认证请求包含运营商为用户设置的身份识别信息；

请求发送模块，用于将所述认证请求发给运营商侧的用户数据管理服务器进行认证。

在本发明的一种实施例中，还包括：

挑战信息接收模块，用于接收所述用户数据管理服务器根据所述认证请求反馈的认证挑战信息；

挑战信息发送模块，用于将所述认证挑战信息发给所述终端的第三方应用；

响应信息接收模块，用于接收所述终端的第三方应用反馈的认证挑战响应信息；

响应消息发送模块，用于将所述认证挑战响应信息发给运营商侧的用户数据管理服务器进行认证。

为解决上述技术问题，本发明还提供了一种用户数据管理服务器，包括：

请求获取模块，用于接收来自第三方认证服务器发送的认证请求，所述认证请求包含运营商为用户设置的身份识别信息；

鉴权处理模块，用于根据所述认证请求进行认证。

在本发明的一种实施例中，所述鉴权处理模块包括：

挑战信息生成子模块，用于根据所述认证请求中的身份识别信息生成认证 挑战信息；

挑战信息反馈子模块，用于将所述认证挑战信息发给所述第三方认证服务器；

认证子模块，用于接收来自所述第三方认证服务器的认证挑战响应信息进行认证。

为解决上述技术问题，本发明还提供了一种通信系统，包括终端、第三方认证服务器以及用户数据管理服务器；

所述终端的第三方应用模块从终端的用户身份信息模块获取运营商为用户设置的身份识别信息，生成包含该身份识别信息的认证请求发给第三方认证服务器；

所述第三方认证服务器用于接收所述认证请求并发给运营商侧的用户数据管理服务器；

所述用户数据管理服务器用于根据所述认证请求进行认证。

在本发明的一种实施例中，还包括认证代理服务器，用于将所述第三方认证服务器发送的所述认证请求格式处理为运营商网络内部消息格式后发给所述用户数据管理服务器。

在本发明的一种实施例中，所述用户数据管理服务器为归属签约用户服务器；和/或，所述用户身份信息模块为用户识别可卡模块或IP多媒体服务身份模块。

本发明的有益效果是：

本发明提供的第三方应用认证方法、认证服务器、终端及管理服务器，在采用第三方登陆时，终端中的第三方应用可从终端的用户身份信息模块获取运营商为用户设置的身份识别信息，然后生成包含该身份识别信息的认证请求发给第三方认证服务器进行认证；第三方认证服务器则将该认证请求发给运营商 侧的用户数据管理服务器进行认证。本发明在第三方登陆时，直接从终端中调用运营商为用户分配的身份识别信息结合运营商侧的用户数据管理服务器进行认证；运营商为用户分配的身份识别信息是可以真正识别各用户的信息，例如进行实名制认证的号码等各种用户身份信息，因此既可以提升认证的安全性，为第三方提供更安全、可靠并可以实名制认证的同时，也满足运营商开放能力的需求。

附图说明

图1为本发明实施例一提供的终端侧第三方认证过程流程图；

图2为本发明实施例一提供的第三方服务器侧第三方认证过程流程图；

图3为本发明实施例一提供的用户数据管理服务器侧第三方认证过程流程图；

图4为本发明实施例二提供的通信系统结构示意图；

图5为本发明实施例二提供的终端结构示意图；

图6为图5中第三方应用模块的结构示意图；

图7为本发明实施例二提供的第三方认证服务器结构示意图；

图8为本发明实施例二提供的用户数据管理服务器结构示意图；

图9为本发明实施例二提供的基于IMS架构的通信系统结构示意图；

图10为本发明实施例三提供的具有认证代理模块时的第三方认证过程流程图；

图11为本发明实施例三提供的直接获取用户身份时的第三方认证过程流程图；

图12为本发明实施例三提供的基于IMS架构具有认证代理模块时的第三方认证过程流程图；

图13为本发明实施例三提供的基于IMS架构直接获取用户身份时的第三方认证过程流程图。

具体实施方式

本发明在第三方登陆时，直接采用运营商为用户分配的身份识别信息结合运营商侧的用户数据管理服务器进行认证，既可以提升认证的安全性，为第三方提供更安全、可靠并可以实名制认证的同时，也满足运营商开放能力的需求。下面通过具体实施方式结合附图对本发明作进一步详细说明。

实施例一：

本实施例中，运营商为用户分配的身份识别信息一般是内置在终端的用户身份信息模块中的，因此终端的第三方应用模块(也即各种第三方应用APP)在登陆时可以直接从终端中获取运营商为用户分配的用户识别信息；本实施例中的用户识别信息是指可以真正识别用户的各中身份信息。例如用户身份识别信息模块可以是用户识别卡模块(SIM模块)，此时的用户识别信息可以是该用户识别卡模块中的各身份信息，例如电话号码等，用户识别卡模块中还存储有各种密钥信息；又例如，在IMS(IP Multimedia Subsystem，IP多媒体子系统网络)中，用户身份识别信息模块也可以是IP多媒体服务身份模块(ISIM模块)中包含的各种身份信息，其也包括各种密钥信息。

本实施例中的第三方应用模块可以是运营商在终端中设置的各种应用，也可以是终端厂家或其他应用商或终端用户自己在终端中设置的各种应用。对于运营商内置的第三方应用模块，这类应用一般可直接与终端内的用户身份信息模块交互，获取到相应的用户识别信息和相应的各种密钥信息；对于非运营商内置的第三方应用模块，运营商为用户分配的用户身份识别信息的安全等级是极高的，其一般不能直接与用户身份信息模块交互获取，因此本实施例中的终 端中还设置有认证代理模块，该认证代理模块用于与用户身份信息模块交互进行用户识别信息的获取以及密钥的获取等，然后转发给第三方应用模块。

第三方应用模块通过上述方式获取到运营商为用户分配的身份识别信息后，即可生成包含该身份识别信息的认证请求发给第三方认证服务器进行认证。

本实施例中，第三方认证服务器上一般并不存在运营商为用户分配的身份识别信息等用户数据，其具备对终端用户身份进行认证鉴权的能力。因此第三方认证服务器接收到认证请求后，需借助运营商侧用于管理用户数据的用户数据管理服务器(也即运营商用户数据中心)进行认证。

对于运营商而言，其本身就已经具备用户身份认证机制，因此如果可以开放给第三方，则可以将其用户身份认证平台化，更符合目前运营商能力开放的需求，提升运营商的核心竞争力。本实施例中运营商侧的用户数据管理服务器在接收到该认证请求后，可以根据该认证请求中的身份识别信息，采用现有的各种认证机制进行认证。当然，本实施例中用户数据管理服务器进行认证时所采用的认证机制可以根据不同运营商或不同协议等具体场景灵活选择。例如在IMS网络中，用户数据管理服务器具体可以是HSS(Home Subscriber Server，归属签约用户服务器)。

另外，由于第三方应用服务器一般都是基于HTTP一类的协议，无法直接与运营商侧的用户数据管理服务器通信，因此本实施例中可以增设认证代理服务器，用于实现第三方应用服务器和用户数据管理服务器之间交互信息的格式转换和转发，也即进行第三方应用服务器和用户数据管理服务器两侧的协议转换，例如将来自第三方应用服务器使用的HTTP一类协议的信息，转换成运营商内部的Diameter一类协议的信息后发给用户数据管理服务器。

下面分别对认证过程中，终端、第三方认证服务器以及用户数据管理服务 器的执行过程进行说明。

请参见图1所示，终端在第三方应用认证过程中的流程包括：

步骤101：终端的第三方应用模块从终端的用户身份信息模块获取运营商为用户设置的身份识别信息；

第三方应用模块为运营商设置的第三方应用模块时，直接从终端的用户身份信息模块获取所述身份识别信息；

第三方应用模块为非运营商设置的第三方应用模块时，向终端的认证代理模块发送身份信息获取请求，接收所述认证代理模块反馈的从所述用户身份信息模块获取的身份识别信息；

步骤102：第三方应用模块生成包含该身份识别信息的认证请求发给第三方认证服务器进行认证；

步骤103：第三方应用模块接收第三方认证服务器根据认证请求反馈的认证挑战信息；

步骤104：第三方应用模块将收到的认证挑战信息发给终端的用户身份信息模块，以供用户身份信息模块生成认证挑战响应信息；

步骤105：第三方应用模块接收用户身份信息模块反馈的认证挑战响应信息，并发给第三方认证服务器进行再次认证；具体可重新构造一个包含该认证挑战响应信息的认证请求发给第三方认证服务器；

步骤106：第三方应用模块接收第三方认证服务器发送的注册成功消息。

请参见图2所示，第三方认证服务器在第三方应用认证过程中的执行流程包括：

步骤201：第三方认证服务器接收来自终端的第三方应用发送的认证请求，该认证请求包含运营商为用户设置的身份识别信息；

步骤202：第三方认证服务器将所认证请求发给运营商侧的用户数据管理服务器进行认证；

步骤203：第三方认证服务器接收用户数据管理服务器根据认证请求反馈的认证挑战信息；

步骤204：第三方认证服务器将认证挑战信息发给终端的第三方应用模块；

步骤205：第三方认证服务器接收终端的第三方应用反馈的认证挑战响应信息，并发给用户数据管理服务器进行认证；

步骤206：第三方认证服务器接收用户数据管理服务器反馈的认证成功消息。

请参见图3所示，用户数据管理服务器在第三方应用认证过程中的执行流程包括：

步骤301：用户数据管理服务器接收来自第三方认证服务器发送的认证请求，该认证请求包含运营商为用户设置的身份识别信息；

步骤302：用户数据管理服务器根据该认证请求中的身份识别信息生成认证挑战信息；

步骤303：用户数据管理服务器将认证挑战信息发给第三方认证服务器；

步骤304：用户数据管理服务器接收来自第三方认证服务器的认证挑战响应信息进行认证；

步骤305：用户数据管理服务器在认证成功时向第三方认证服务器发送认证成功消息。

上述图2和图3中，第三方应用服务器和用户数据管理服务器之间的各消息的交互通过上述认证代理服务器完成。但是应当理解的是，当第三方应用服务器和用户数据管理服务器所采用的通信协议相同时，二者也可直接进行交互， 并不需要额外设置认证代理服务器进行格式转换和转发。

实施例二：

请参见图4所示，本实施例提供了一种通信系统，包括终端1、第三方认证服务器2、用户数据管理服务器4；

终端1的第三方应用模块从终端的用户身份信息模块获取运营商为用户设置的身份识别信息，生成包含该身份识别信息的认证请求发给第三方认证服务器；

第三方认证服务器2用于接收认证请求并发给运营商侧的用户数据管理服务器4；

用户数据管理服务器4，用于根据该认证请求进行认证。

由于第三方应用服务器2和运营商侧的用户数据管理服务器4采用的通信协议不同，第三方应用服务器2一般都是基于HTTP一类的协议，其无法直接与运营商侧的用户数据管理服务器通信，因此本实施例中可以增设认证代理服务器3，用于实现第三方应用服务器2和用户数据管理服务器4之间交互信息的格式转换和转发，也即进行第三方应用服务器和用户数据管理服务器两侧的协议转换，例如将来自第三方应用服务器使用的HTTP一类协议的信息，转换成运营商内部的Diameter一类协议的信息后发给用户数据管理服务器。

运营商为用户分配的身份识别信息一般是内置在终端1的用户身份信息模块中的，因此终端的第三方应用模块在登陆时可以直接从终端中获取运营商为用户分配的用户识别信息。本实施例中的第三方应用模块可以是运营商在终端中设置的各种应用，也可以是终端厂家或其他应用商或终端用户自己在终端中设置的各种应用。对于运营商内置的第三方应用模块，这类应用一般可直接与终端内的用户身份信息模块交互，获取到相应的用户识别信息和相应的各种密 钥信息；对于非运营商内置的第三方应用模块，运营商为用户分配的用户身份识别信息的安全等级是极高的，其一般不能直接与用户身份信息模块交互获取，因此本实施例中的终端中还设置有认证代理模块，该认证代理模块用于与用户身份信息模块交互进行用户识别信息的获取以及密钥的获取等，然后转发给第三方应用模块。因此，请参见图5所示，本实施例中的终端1包括第三方应用模块11、认证代理模块12和用户身份信息模块13。

请参见图6所示，本实施例中的第三方应用模块11包括身份信息获取子模块111以及第一处理子模块112；

信息获取子模块111用于从终端的用户身份信息模块13获取运营商为用户设置的身份识别信息；根据上述分析可知其可直接从用户身份信息模块13获取，也可通过认证代理模块12获取；

第一处理子模块112用于根据所述身份识别信息生成包含该身份识别信息的认证请求发给第三方认证服务器2进行认证；

挑战信息获取子模块113，用于接收第三方认证服务器2根据所述认证请求反馈的认证挑战信息；

信息转发子模块114，用于将认证挑战信息发给终端的用户身份信息模块；

第二处理子模块115，用于接收用户身份信息模块13反馈的认证挑战响应信息并发给第三方认证服务器2进行再次认证。具体可重新构造一个包含该认证挑战响应信息的认证请求发给第三方认证服务器2。

请参见图7所示，本实施例中的第三方认证服务器2包括：

请求接收模块21，用于接收来自终端1的第三方应用发送的认证请求，认证请求包含运营商为用户设置的身份识别信息；

请求发送模块22，用于将认证请求发给运营商侧的用户数据管理服务器4 进行认证。

挑战信息接收模块23，用于接收用户数据管理服务器4根据认证请求反馈的认证挑战信息；

挑战信息发送模块24，用于将认证挑战信息发给终端1的第三方应用；

响应信息接收模块25，用于接收终端1的第三方应用反馈的认证挑战响应信息；

响应消息发送模块26，用于将认证挑战响应信息发给运营商侧的用户数据管理服务器4进行认证。

请参见图8所示，用户数据管理服务器4包括：

请求获取模块41，用于接收来自第三方认证服务器2发送的认证请求，认证请求包含运营商为用户设置的身份识别信息；

鉴权处理模块42，用于根据认证请求进行认证，具体的，其包括：

挑战信息生成子模块421，用于根据认证请求中的身份识别信息生成认证挑战信息；

挑战信息反馈子模块422，用于将认证挑战信息发给第三方认证服务器；

认证子模块423，用于接收来自第三方认证服务器的认证挑战响应信息进行认证。

上述第三方应用服务器2和用户数据管理服务器4之间的各消息的交互通过上述认证代理服务器3完成。但是应当理解的是，当第三方应用服务器2和用户数据管理服务器4所采用的通信协议相同时，二者也可直接进行交互，并不需要额外设置认证代理服务器3进行格式转换和转发。

请参见图9所示，在IMS网络中，用户身份信息模块13具体可为IP多媒体服务身份模块131(ISIM模块)，用户数据管理服务器4则具体可为归属签约 用户服务器401(Home Subscriber Server，HSS)。

实施例三：

为了更好的理解本发明，下面结合几种具体的应用场景对本发明做进一步说明。

请参见图10所示，本发明提出的电信网络的向第三方应用提供身份认证的基础流程包括：

步骤1001：第三方应用模块(App)向认证代理模块发送电信身份查询请求；

步骤1002：认证代理模块向用户身份信息模块交互获取用户身份；

步骤1003：认证代理模块向第三方应用模块(App)返回电信身份查询响应；

步骤1004：第三方应用模块(App)向第三方应用服务器发起注册请求，并使用从认证代理模块获取的用户身份构造认证请求；

步骤1005：第三方应用服务器向运营商的认证代理服务器转发认证请求；

步骤1006：认证代理服务器将认证请求改造为运营商内部的用户数据管理服务器可以识别的认证请求，发送到运营商内部的用户数据管理服务器；

步骤1007：运营商内部的用户数据管理服务器回认证失败，并携带该用户的认证挑战信息；

步骤1008：第三方应用服务器向用户回注册失败，含从电信网络获取的挑战信息；

步骤1009：第三方应用模块(App)收到注册失败消息，将认证挑战信息发送到认证代理模块；

步骤1010：认证代理模块与用户身份信息模块交互，生成认证挑战响应消息；

步骤1011：认证代理模块将挑战响应发送到第三方应用模块(App)；

步骤1012：第三方应用模块(App)使用挑战响应消息重新构造注册请求，发送到第三方应用服务器；

步骤1013：第三方应用服务器根据新收到的注册请求，构造认证请求发送到认证代理服务器；

步骤1014：认证代理服务器转发认证请求到运营商内部的用户数据管理服务器；

步骤1015：运营商内部的用户数据管理服务器认证通过，回认证成功到认证代理服务器；

步骤1016：认证代理服务器转发认证成功到第三方应用服务器；

步骤1017：第三方应用服务器向用户回注册成功。

请参见图11所示，直接从用户身份信息模块获取用户身份的交互流程，如下：

步骤1101：第三方应用模块(一般是Native模式的应用或其他运营商设置的其他应用)与用户身份信息模块交互，获取用户身份；

步骤1102：第三方应用模块向第三方应用服务器发起注册请求，并使用从认证代理模块获取的用户身份构造认证信息；

步骤1103：第三方应用服务器向运营商的认证代理服务器转发认证请求；

步骤1104：认证代理服务器将认证请求改造为运营商内部的用户数据管理服务器可以识别的认证请求，发送到运营商内部的用户数据管理服务器；

步骤1105：运营商内部的用户数据管理服务器回认证失败，并携带该用户的认证挑战信息；

步骤1106：第三方应用服务器向用户回注册失败，含从电信网络获取的认 证挑战信息；

步骤1107：第三方应用模块收到注册失败消息，使用挑战信息与用户身份信息模块交互，生成认证挑战响应消息；

步骤1108：第三方应用模块使用认证挑战响应重新构造注册请求，发送到第三方应用服务器；

步骤1109：第三方应用服务器根据新收到的注册请求，构造认证请求发送到认证代理服务器；

步骤1110：认证代理服务器转发认证请求到运营商内部的用户数据管理服务器；

步骤1111：运营商内部的用户数据管理服务器认证通过，回认证成功到认证代理服务器；

步骤1112：认证代理服务器转发认证成功到第三方应用服务器；

步骤1113：第三方应用服务器向用户回注册成功。

请参见图12所示，为基于IMS向第三方应用提供身份认证的流程，具体实施过程如下：

步骤1201：第三方应用模块(App)向认证代理模块发送电信身份查询请求；

步骤1202：认证代理模块向IP多媒体服务身份模块(ISIM模块)交互，获取用户身份，因为是IMS系统的ISIM模块，可以获取非电话号码格式的用户身份，如john@abc.com格式的用户身份；

步骤1203：认证代理模块向第三方应用模块(App)返回电信身份查询响应；

步骤1204：第三方应用模块(App)向第三方应用服务器发起注册请求，并使用从认证代理模块获取的用户身份构造认证信息；

步骤1205：第三方应用服务器向运营商的认证代理服务器转发认证请求；

步骤1206：认证代理服务器将认证请求改造为运营商内部的归属签约用户服务器可以识别的认证请求，发送到运营商内部的归属签约用户服务器；

步骤1207：运营商内部的归属签约用户服务器回认证失败，并携带该用户的认证挑战信息；

步骤1208：第三方应用服务器向用户回注册失败，含从电信网络获取的认证挑战信息；

步骤1209：第三方应用模块(App)收到注册失败消息，将挑战信息发送到认证代理模块；

步骤1210：认证代理模块与ISIM模块交互，生成挑战响应；

步骤1211：认证代理模块将认证挑战响应消息发送到第三方应用模块(App)；

步骤1212：第三方应用模块(App)使用认证挑战响应消息重新构造注册请求，发送到第三方应用服务器；

步骤1213：第三方应用服务器根据新收到的注册请求，构造认证请求发送到认证代理服务器；

步骤1214：认证代理服务器转发认证请求到运营商内部的归属签约用户服务器；

步骤1215：运营商内部的归属签约用户服务器认证通过，回认证成功到认证代理服务器；

步骤1216：认证代理服务器转发认证成功到第三方应用服务器；

步骤1217：第三方应用服务器向用户回注册成功。

请参见图13所示，为基于IMS直接从用户身份信息模块获取用户身份的交互流程，具体实施过程如下：

步骤S1301：第三方应用模块(一般是Native模式的应用)与IP多媒体服务身份模块(ISIM模块)交互，获取用户身份；

步骤S1302：第三方应用模块向第三方应用服务器发起注册请求，并使用从认证代理模块获取的用户身份构造认证信息；

步骤S1303：第三方应用服务器向运营商的认证代理服务器转发认证请求；

步骤S1304：认证代理服务器将认证请求改造为运营商内部的归属签约用户服务器可以识别的认证请求，发送到运营商内部的归属签约用户服务器；

步骤S1305：运营商内部的归属签约用户服务器回认证失败，并携带该用户的认证挑战信息；

步骤S1306：第三方应用服务器向用户回注册失败，含从电信网络获取的认证挑战信息；

步骤S1307：第三方应用模块收到注册失败消息，使用挑战信息与ISIM模块交互，生成认证挑战响应信息；

步骤S1308：第三方应用模块使用认证挑战响应信息重新构造注册请求，发送到第三方应用服务器；

步骤S1309：第三方应用服务器根据新收到的注册请求，构造认证请求发送到认证代理服务器；

步骤S1310：认证代理服务器转发认证请求到运营商内部的归属签约用户服务器；

步骤S1311：运营商内部的归属签约用户服务器认证通过，回认证成功到认证代理服务器；

步骤S1312：认证代理服务器转发认证成功到第三方应用服务器；

步骤S1313：第三方应用服务器向用户回注册成功。

显然，本领域的技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本发明不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。