一种基于终端卡对APP的认证方法及系统与流程

本申请涉及通信技术领域，尤其涉及一种基于终端卡对app的认证方法及系统。

背景技术：

在信息化的今天，人们越来越多的登录和使用各种app，例如：手机银行app、手机购物app等。在登录app或使用app的过程时，一般会通过短信验证码的方式确认用户或交易的合法性。短信验证码是app提供商为用户提供用于注册登录、信息变更、付款交易等操作的安全凭证，用户填写手机号码之后，点击获取验证码，app网站服务器平台端自动生成一个随机的数字作为验证码，临时记录下来，并且将用户的手机号码和含有验证码的短信内容通过验证码短信接口提交到移动运营商。移动运营商将短信即时发送到用户的手机；用户接收到短信后，填写验证码，app网站服务器平台端将用户填写的验证码和服务器生成的验证码进行比对，如果一致，则验证成功。

但是，由于短信是通过不安全的gsm网络发送，而gsm网络是非常容易被监听的，伪基站利用gsm网络设计的缺陷，获取用户手机短信内容，通过短信验证码实现资金盗刷、信息窃取。另外，若用户手机被安装了木马/病毒，用户的短信可能会被截获，短信中包含的验证码会被轻易的窃取并转发给不法分子，实现对用户账号信息和资金的盗取。

还由于app提供商通过移动运营商每向用户发送一条验证短信，均需要app提供商向移动运营商支付一条短信的费用，并且目前验证短信的市场均价是4-5分，因此作为对验证短信需求量较大的各大银行、团购app、网上商城等商家，验证短信的费用较高。

因此，如何提高app认证的安全性，并且降低app认证的费用，是本领域技术人员目前急需解决的技术问题。

技术实现要素：

本申请提供了一种基于终端卡对app的认证方法及系统，以提高app认证的安全性，并降低app认证的费用。

为解决上述技术问题，本申请提供如下技术方案：

一种基于终端卡对app的认证方法，包括以下步骤：运行于移动终端的app向运行于终端卡上的动态口令认证系统发送获取终端动态口令请求；动态口令认证系统根据获取终端动态口令请求生成终端动态口令，并将所述终端动态口令发送至动态口令认证平台；动态口令认证平台生成服务器端动态口令，并将服务器端动态口令与终端动态口令比较后生成的认证结果发送至app；app根据认证结果执行操作。

如上所述的基于终端卡对app的认证方法，其中，优选的是，运行于终端卡的动态口令认证系统获取终端卡的国际移动用户识别码，通过动态口令认证系统生成包含有国际移动用户识别码终端动态口令；动态口令认证平台获取预存的国际移动用户识别码，生成包含国际移动用户识别码的服务器动态口令。

如上所述的基于终端卡对app的认证方法，其中，优选的是，app向动态口令认证系统发送获取终端动态口令请求，具体包括如下子步骤：app向动态口令认证平台发送认证请求；动态口令认证平台根据认证请求指示的终端卡向所述终端卡上的动态口令认证系统发送获取终端动态口令的请求。

如上所述的基于终端卡对app的认证方法，其中，优选的是，将所述终端动态口令发送至动态口令认证平台，具体包括如下子步骤:动态口令认证系统将终端动态口令发送至移动终端上运行的app；app将终端动态口令和生成的业务请求发送至app平台；app平台将接收的终端动态口令发送至动态口令认证平台。

如上所述的基于终端卡对app的认证方法，其中，优选的是，若认证结果为相同，app平台则通知app允许执行操作；若认证结果不相同，app平台则通知app不允许执行操作。

一种基于终端卡对app的认证系统，包括：移动终端和动态口令认证平台；所述移动终端上运行有app，并且在所述移动终端中安装有终端卡，在终端卡中运行有动态口令认证系统；所述app向所述动态口令认证系统发送获取终端动态口令请求；所述动态口令认证系统根据获取终端动态口令请求生成终端动态口令，并将所述终端动态口令发送至动态口令认证平台；所述动态口令认证平台生成服务器端动态口令，并将服务器端动态口令与终端动态口令比较后生成的认证结果发送至app；所述app根据认证结果执行操作。

如上所述的基于终端卡对app的认证系统，其中，优选的是，动态口令认证系统获取终端卡的国际移动用户识别码，通过动态口令认证系统生成包含有国际移动用户识别码终端动态口令；动态口令认证平台获取预存于所述动态口令认证平台的国际移动用户识别码，生成包含国际移动用户识别码的服务器动态口令。

如上所述的基于终端卡对app的认证系统，其中，优选的是，app向动态口令认证系统发送获取终端动态口令请求，具体为app向动态口令认证平台发送认证请求，动态口令认证平台根据认证请求指示的终端卡向所述终端卡上的动态口令认证系统发送获取终端动态口令的请求。

如上所述的基于终端卡对app的认证系统，其中，优选的是，还包括：app平台，所述app将终端动态口令和生成的业务请求发送至app平台，所述app平台将接收的终端动态口令发送至动态口令认证平台。

如上所述的基于终端卡对app的认证系统，其中，优选的是，若认证结果为相同，app平台则通知app允许执行操作；若认证结果不相同，app平台则通知app不允许执行操作。

相对上述背景技术，本发明所提供的基于终端卡对app的认证方法及系统，登录app或者通过app进行交易时，使用动态生成的一次性临时密码认证，在认证过程中，只与受信任的动态口令认证平台交互，避免了泄露用户账户信息，提高了app认证过程的安全性，并且避免了商家支付短信验证码的费用，降低了app认证的费用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本申请实施例的基于终端卡对app的认证系统的示意图；

图2是本申请实施例的基于终端卡对app的认证方法的流程图；

图3是本申请又一实施例的基于终端卡对app的认证系统的示意图；

图4是本申请又一实施例的基于终端卡对app的认证方法的流程图；

图5是本申请再一实施例的基于终端卡对app的认证方法的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

实施例1

本申请提供一种基于终端卡对app的认证系统，如图1所示，包括：移动终端110和动态口令认证平台120。

其中，移动终端110可以是手机、平板电脑、pos机等设备；在移动终端110中安装有终端卡112，如：sim卡或uim卡。在sim卡或uim卡预存有区别移动用户有效信息的国际移动用户识别码imsi，imsi具有唯一性，可以唯一识别用户信息。并且，在sim卡或uim卡中还运行有动态口令认证系统，该动态口令认证系统内置有加密算法、密钥、计数器、挑战码等，用于生成终端动态口令。另外，在移动终端110上还运行有app111，例如：手机银行app、手机淘宝app等各种app，app111预存有用户信息(例如：用户的手机号码、用户名称运行的终端信息等信息),当用户登录app111或者通过app111进行交易时，app111会发出认证请求，以使终端卡112中运行的动态口令认证系统生成终端动态口令。

动态口令，又称为“一次性口令(otp：onetimepassword)”，是一种根据加密算法、随某一个动态参数(例如：时间、事件等)计算产生的一次一变的口令。动态口令的生成有“基于事件”和“基于时间”两种实现方式。“基于事件”方式：app下发认证请求需获取动态口令时，终端卡根据计数器初始值和指定的加密算法实时产生终端动态口令，并且计数器自动累加1，计数器累加方式不可逆。“基于时间”方式：app下发认证请求需获取动态口令时，终端卡发送主动式命令给移动终端，获取时间信息，终端卡根据时间信息和加密算法实时产生动态口令。

动态口令认证平台120存储用户信息(例如：用户的手机号码、用户名称、sim/uim卡对应的imsi、动态口令认证系统标识等)、移动终端110信息(例如：手机型号、imei国际移动设备识别码等)、动态口令相关的参数(例如：加密算法、密钥、计数器、挑战码等),通过存储的信息生成服务器端动态口令。其中，动态口令认证平台120生成服务器端动态口令的方法与移动终端生成的移动动态口令的方法相同，以验证终端动态口令。

当用户在移动终端上登录app或者通过app进行交易时，会向移动终端发送获取终端动态口令请求。

具体的，如图2所示，可以是app向动态口令认证平台发送认证请求(210)，该认证请求中可以含有app类别、用户的信息、移动终端信息、动态口令认证系统标识、国际移动用户识别码imsi等至少之一，以保证动态口令认证平台识别出认证请求的发送方；动态口令认证平台根据收到的认证请求指示的终端卡向该终端卡上的动态口令认证系统发送获取终端动态口令的请求(220)，其中获取终端动态口令的请求中可以包含有移动终端信息、动态口令认证系统标识、国际移动用户识别码imsi等至少之一，以保证获取终端动态口令的请求能够准确的发送至终端卡上的动态口令认证系统。

另外，还可以是app直接向终端卡的动态口令认证系统发送获取终端动态口令的请求，其中，获取终端动态口令的请求中可以包含移动终端信息、动态口令认证系统标识、app类别等。

请继续参阅图2，终端卡的动态口令认证系统接收到获取终端动态口令的请求后，生成终端动态口令(230)。具体的，动态口令认证系统获取终端卡的国际移动用户识别码imsi，并通过动态口令认证系统内置的加密算法、密钥、计数器、挑战码等，以及获取的国际移动用户识别码imsi、app类别等信息，通过“时间方式”或“事件方式”生成终端动态口令。

终端卡的动态口令认证系统将生成的终端动态口令发送至动态口令认证平台。具体的，可以是终端卡上运行的动态口令认证系统将终端动态口令直接发送至动态口令认证平台(240)，如图2所示。也可以是动态口令认证系统将终端动态口令发送给移动终端上运行的app，然后通过app将终端动态口令发送至动态口令认证平台。

请继续参阅图2，动态口令认证平台接收到终端动态口令后，根据其预存的用户信息、移动终端信息、动态口令相关的参数、国际移动用户识别码imsi等，生成服务器端动态口令，将服务器端动态口令与终端动态口令相对比(250)，以完成对此次操作的认证，然后将认证结果发送给app(260)。

app根据认证结果执行此次操作，例如：若认证结果为相同，则认证成功，允许用户登录app；若认证结果不相同，则认证失败，不允许用户登录app。

实施例2

在另一个实施例中，如图3所示，基于终端卡对app的认证系统包括：移动终端310和动态口令认证平台320，在移动终端310上安装有终端卡312和app311；其中，终端卡312和app311与上一实施例中的终端卡112和app111相同，移动终端310和动态口令认证平台320和上一实施例中的移动终端110和动态口令认证平台120相同。除此之外，该基于终端卡对app的认证系统还包括：app平台330，该app平台330是移动终端310上安装的app311的服务平台，例如：移动终端上安装的手机银行app，则app平台则是银行平台；移动终端上安装的是手机淘宝app，则app平台则是淘宝平台。

同样，当用户在移动终端上登录app或者通过app进行交易时，会向移动终端发送获取终端动态口令请求；如图2所示，具体的，可以是app向动态口令认证平台发送认证请求(210)，动态口令认证平台向终端卡上的动态口令认证系统发送获取终端动态口令的请求(220)；或者如图4所示，app直接向终端卡的动态口令认证系统发送获取终端动态口令的请求(410)。

请继续参阅图4，终端卡的动态口令认证系统接收到获取终端动态口令的请求后生成终端动态口令(420)，生成终端动态口令的方法和上一实施例中生成终端动态口令的方法相同。

将生成的终端动态口令发送至动态口令认证平台。具体的，动态口令认证系统将终端动态口令发送给移动终端上运行的app(430)；app将生成业务请求(例如：手机银行app向app平台的转账请求)以及接收的终端动态口令发送至app平台(440)；app平台将接收的终端动态口令发送至动态口令认证平台(450)。

动态口令认证平台接收到终端动态口令后，根据其预存的存储用户信息、移动终端信息、动态口令相关的参数等，生成服务器端动态口令，将服务器端动态口令与终端动态口令向对比(460)，以完成对此次操作的认证，然后将认证结果发送给app平台(470)。

app平台根据认证结果执行向app发送业务请求结果(480)。例如：认证结果为相同，则认证成功，通知app允许用户登录或转账交易等操作；认证结果不相同，则认证失败，不允许用户登录app或转账交易等操作。

作为又一举例，如图5所示，发送获取终端动态口令请求(510)和生成终端动态口令(520)与上一实施例中向终端卡的动态口令认证系统发送获取终端动态口令的请求(410)和生成终端动态口令(420)相同。

生成终端动态口令后，终端卡上运行的动态口令认证系统将终端动态口令直接发送至动态口令认证平台(530)；在这之前，app还向app平台发送业务请求(例如，请求银行平台办理转账业务)(540)。

动态口令认证平台生成服务器端动态口令，并将服务器端动态口令与终端动态口令相对比(550)，然后将认证结果发送给app平台(560)与上一实施例中的对比服务器端动态口令与终端动态口令(460)和向app平台发送认证结果(470)相同。

app平台接收到认证结果后，根据认证结果和业务请求向app下发业务请求结果(570)。

本申请实施例提供的基于终端卡对app的认证方法及系统，登录app或者通过app进行交易时，使用动态生成的一次性临时密码认证，在认证过程中，只与受信任的动态口令认证平台交互，避免了泄露用户账户信息，提高了app认证过程的安全性，并且避免了商家支付短信验证码的费用，降低了app认证的费用。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。