一种业务认证方法、装置及系统的制作方法

一种业务认证方法、装置及系统的制作方法
【专利摘要】本发明公开了一种业务认证方法、装置及系统，该方法包括：业务认证服务器接收针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送的；根据存储的用户名信息和包含SIM/USIM卡的终端的用户身份标识信息的对应关系，获得所述用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，并向所述终端发送认证响应信息，接收终端发来的业务认证响应请求，根据所述业务认证响应请求、认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。能够较好地提高业务认证的安全性。
【专利说明】—种业务认证方法、装置及系统
【技术领域】
[0001]本发明涉及网络安全【技术领域】，尤其是涉及一种业务认证方法、装置及系统。
【背景技术】
[0002]在物联网业务应用中，网络安全日益成为终端用户比较关注的问题。
[0003]现有物联网业务应用中，为保证终端用户的隐私性，以及提高网络安全，在物联网终端用户侧与网络业务平台侧需要进行业务认证时，通常采用预先为用户分配用户名/ 口令的方式进行业务认证。具体地，基于用户名/ 口令进行业务认证的方式，该方式中业务平台侧与终端用户侧通过离线的方式预先设定固定的用户名/ 口令，在终端用户接入网络与业务平台侧进行通信要求进行业务处理时，业务平台侧会要求终端用户侧输入用户名/ 口令，终端用户通过在终端上输入用户名/ 口令，并将输入的用户名/ 口令，直接明文或者进行简单的数学转换后将结果发送给网络业务平台侧，网络业务平台侧根据接收到的用户名/ 口令对终端用户进行身份认证，当认证通过时，则允许终端用户进业务使用，反之拒绝用户使用业务。[0004]现有技术中基于用户名/ 口令的端到端业务认证方式，存在较为严重的安全隐患，终端用户设置的用户名/ 口令容易被非法分子探测，侦知。大部分终端用户的用户名/口令一般长期保持不变，并且终端用户为了便于使用，一般采用有规律或者建大的字符、数字等组合来设置用户名/ 口令，使得攻击者可以可以通过猜测、字典攻击等方式获得终端用户的用户名/ 口令，并通过获得的用户名/ 口令进行非法使用。
[0005]综上所述，现有技术中提出的业务认证方式，安全性较低。

【发明内容】

[0006]本发明实施例提供了一种业务认证方法、装置及系统，能够较好地提高业务认证的安全性。
[0007]—种业务认证方法，包括:业务认证服务器接收业务应用服务器发来的针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送的；根据存储的用户名信息和包含用户识别/通用用户识别(SIM, Subscriber IdentityModule)/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，并向所述终端发送认证响应信息，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；接收终端发来的业务认证响应请求，根据所述业务认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
[0008]一种业务认证方法，包括:包含用户识别/通用用户识别SM/US頂卡的终端获得接收的认证响应信息中包含的认证响应值，其中所述认证响应信息是网络侧根据获得的认证向量向所述终端发送的，所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；接收鉴权随机数，其中所述鉴权随机数是业务应用服务器接收到客户端发送的含有用户名信息的业务请求时，按照预设算法随机生成并发送的；根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SIM/USIM卡的终端的用户身份标识信息，网络侧根据所述业务认证响应请求，确定该业务认证响应请求所针对的用户名信息是否通过业务认证。
[0009]一种业务认证装置，包括:接收模块，用于接收业务应用服务器发来的针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送给业务认证服务器的；获得模块，用于根据存储的用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；发送模块，用于向所述终端发送认证响应信息；所述接收模块，还用于接收终端发来的业务认证响应请求；确定模块，用于根据所述业务认证响应请求，认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
[0010]一种业务认证装置，包括:获得模块，用于获得接收的认证响应信息中包含的认证响应值，其中所述认证响应信息是网络侧根据获得的认证向量向包含用户识别/通用用户识别SM/US頂卡的终端发送的，所述认证向量是该终端接入移动通信网络时用于接入鉴权的向量；接收模块，用于接收鉴权随机数，其中所述鉴权随机数是业务应用服务器接收到客户端发送的含有用户名信息的业务请求时，按照预设算法随机生成并发送的；发送模块，用于根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SM/USM卡的终端的用户身份标识信息，网络侧根据所述业务认证响应请求，确定该业务认证响应请求所针对的用户名信息是否通过业务认证。
[0011]一种业务认证系统，包括包含用户识别/通用用户识别SM/US頂卡的终端，业务认证服务器和业务应用服务器，其中业务认证服务器和业务应用服务器之间设置有安全传输通道进行通信；所述业务应用服务器，用于发送针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并分别发送给业务认证服务器和客户端；所述业务认证服务器，用于接收认证请求，根据存储的用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；并向所述终端发送认证响应信息，接收终端发来的业务认证响应请求，根据所述认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证；所述终端，用于获得接收的认证响应信息中包含的认证响应值，接收鉴权随机数，根据接收到的鉴权随机数和获得的认证响应值，向业务认证服务器发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SIM/US頂卡的终端的用户身份标识息O
[0012]采用上述技术方案，通过接收的由业务应用服务器发来的认证请求中包含的鉴权随机数，和获得的终端接入移动通信网络时用于鉴权的认证向量，以及终端发来的业务认证响应请求，确定该认证请求所针对的用户名信息是否通过业务认证。从而在进行业务认证时，能够较好地提高业务认证过程的安全性。
【专利附图】

【附图说明】
[0013]图1为本发明实施例一中，提出的业务认证系统结构组成示意图；
[0014]图2为本发明实施例二中，提出的业务认证方法流程图；
[0015]图3为本发明实施例二中，提出的网络侧业务认证装置结构组成示意图；
[0016]图4为本发明实施例二中，提出的终端侧业务认证装置结构组成示意图。
【具体实施方式】
[0017]针对现有技术中存在的业务认证方法安全性较低的问题，本发明实施例这里提出的技术方案，通过通过接收的由业务应用服务器发来的认证请求中包含的鉴权随机数，和获得的终端接入移动通信网络时用于鉴权的认证向量，以及终端发来的业务认证响应请求，确定该认证请求所针对的用户名信息是否通过业务认证。能够较好地提高业务认证的安全性。
[0018]下面将结合各个附图对本发明实施例技术方案的主要实现原理、【具体实施方式】及其对应能够达到的有益效果进行详细地阐述。
[0019]实施例一
[0020]本发明实施例一这里提出一种业务认证系统，如图1所示，包括终端侧和网络侧，其中在终端侧设置有包含用户识别/通用用户识别SM/US頂卡的终端，在网络侧设置有业务认证服务器和业务应用服务器，其中业务认证服务器和业务应用服务器之间设置有安全传输通道进行通信。
[0021]所述业务应用服务器，用于发送针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并分别发送给业务认证服务器和客户端。
[0022]所述业务认证服务器，用于接收认证请求，根据存储的用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；并向所述终端发送认证响应信息,接收终端发来的业务认证响应请求,根据所述认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
[0023]具体地，所述业务认证响应请求中包含终端侧的期望鉴权值，所述终端侧的期望鉴权值是终端根据接收到的认证响应信息和鉴权随机数计算得到的；上述业务认证服务器，具体用于确定网络侧的期望鉴权值和业务认证响应请求中包含的终端侧的期望鉴权值，其中所述网络侧的期望鉴权值是根据所述鉴权随机数和获得的认证向量确定出的；根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证。
[0024]具体地，上述业务认证服务器，具体用于确定接收到的终端侧的期望鉴权值是否等于网络侧的期望鉴权值，如果等于，则确定该认证请求所针对的用户名信息通过业务认证，并向业务应用服务器发送认证成功消息；反之，则确定该认证请求所针对的用户名信息未通过业务认证，并向业务应用服务器发送业务认证失败消息。
[0025]所述终端，用于获得接收的认证响应信息中包含的认证响应值，接收鉴权随机数，根据接收到的鉴权随机数和获得的认证响应值，向业务认证服务器发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息。
[0026]具体地，上述终端，具体用于在获得认证响应值之后，展示请求输入鉴权随机数的界面。
[0027]具体实施中，业务客户端可以安装在不包含SM/USM卡的第一终端中，也可以安装在包含SM/USM卡的第二终端中。[0028]本发明实施例一这里，以客户端安装在第一终端为例来进行详细阐述。在终端侧，包括第一终端、第二终端，第一终端中安装业务客户端，在网络侧包含业务应用服务器、业务认证服务器。
[0029]其中，所述第一终端，用于接收终端用户输入的使用用户名信息接入物联网网络进行业务使用时发送的认证请求，并将所述认证请求发送给业务应用服务器。
[0030]具体地，第一终端可以但不限于是终端用户使用的个人计算机(PC，PersonalComputer)、专用仪器等能够和与业务平台进行通信的终端设备。较佳地，本发明实施例这里以第一终端为PC设备为例来进行方案的详细阐述。
[0031]具体地，所述用户名信息可以但不限于是仅包含用户名的格式，或者是包含用户名/ 口令的格式，较佳地，为保证业务认证的安全性，本发明实施例一这里提出的用户名信息是采用用户名/口令的格式。
[0032]所述业务应用服务器，用于根据接收的第一终端发来的针对用户名信息的认证请求，按照预设算法随机生成鉴权随机数并分别发送给第一终端和业务认证服务器。
[0033]其中，业务应用服务器设置在业务平台侧，所述业务平台可以由业务提供商设置。例如可以是业务提供商设置的医疗、金融等网络业务平台。
[0034]所述业务认证服务器，用于接收认证请求，根据存储的用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；并向所述终端发送认证响应信息,接收终端发来的业务认证响应请求,根据所述认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
[0035]其中，业务认证服务器设置在网络侧，业务认证服务器可以但不限于是独立设置在移动通信系统中的一个独立设备，也可以是集成在移动通信系统中包含的任一网元设备中。例如，可以集成在用户签约认证(HSS, Home Subscriber Server)网元设备中。
[0036]业务认证服务器可以直接或间接的在HSS网元设备中获得第二终端的认证向量。具体地，获得的认证向量的格式与第二终端中包含SM卡或者USM卡接入移动通信网络时，进行鉴权时所使用的认证向量的格式相同。
[0037]具体地，第一终端可以通过互联网和业务平台相连进行通信，第二终端可以通过无线网络与移动通信系统相连，业务平台和移动通信系统之间可以设置安全传输通道来传输数据。例如，可以设置专用的传输通道传输业务平台和移动通信系统之间的数据。
[0038]所述第二终端，用于获得接收的认证响应信息中包含的认证响应值，接收鉴权随机数，根据接收到的鉴权随机数和获得的认证响应值，向业务认证服务器发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SIM/USIM卡的终端的用户身份标识信息。
[0039] 具体地，上述第二终端，具体用于在获得认证响应值之后，向终端用户展示请求输入鉴权随机数的界面，用于提示终端用户输入在第一终端中接收到的鉴权随机数。
[0040]具体地，上述第一终端，具体用于接收终端用户输入的用户名/ 口令，并将所述用户名/口令发送给业务应用服务器；
[0041]所述业务应用服务器，还用于将接收到的用户名/ 口令和自身存储的用户名/ 口令进行比对，在比对结果相同时，生成鉴权随机数。
[0042]实施例二
[0043]基于图1所示的系统架构，本发明实施例二这里还提出一种业务认证方法，
[0044]具体实施中，业务客户端可以安装在不包含SM/US頂卡的第一终端中，也可以安装在包含SIM/US頂卡的第二终端中。本发明实施例二这里，以客户端安装在第一终端为例来进行详细阐述，即第一终端和第二终端是两个独立的终端，第一终端可以是PC机。如图2所示，具体处理流程如下述:
[0045]步骤201，终端用户使用第一终端接入业务平台，第一终端接收终端用户输入针对用户名信息的接入请求，并将接收到的接入请求发送给业务应用服务器。
[0046]其中，本发明实施例二这里提出的技术方案中，以第一终端是PC设备，用户名信息为用户名/ 口令为例来进行详细阐述，PC通过互联网与业务应用服务器进行通信，终端用户在PC设备中输入用户名/ 口令，PC将接收到的用户名/ 口令发送给业务应用服务器。
[0047]具体实施中，例如在金融行业中，金融业务提供商设置金融业务应用服务器，终端用户可以通过互联网，与金融业务应用服务器通信，来进行业务操作，如转账、电子支付等业务处理。现有技术中终端用户一般使用用户名/ 口令的方式直接登录金融业务系统。用户名/ 口令可以是终端用户在开通业务使用时，预先设定的，在业务平台侧，保存用户名/口令和相应业务的对应关系(例如保存在业务应用服务器中)，并且也存储着用户名信息和包含用户识别/通用用户识别SIM/USIM卡的第二终端的用户身份标识信息的对应关系。
[0048]步骤202，业务应用服务器接收第一终端发来的接入请求，将接收请求中包含的用户名信息和自身存储的用户名信息进行比对。
[0049]其中，业务应用服务器接收PC发来的用户名/ 口令，将接收到的用户名/ 口令与自身存储的用户名/ 口令进行比对，如果比对结果相同，则可以确定初步验证通过。例如，在金融行业中，终端用户在PC中输入用户名/ 口令，通过互联网发送给业务应用服务器，请求处理某一定制的业务。业务应用服务器根据接收到的用户名/ 口令，以及该终端用户定制的业务，在自身存储的业务和用户名/ 口令的对应关系中，确定接收到的用户名/ 口令是否正确，如果正确，则确定终端用户完成初级认证，建立初级安全通道。业务应用服务器可以和PC之间传输数据。反之，则可以拒绝后续任何操作。
[0050]步骤203，在比对结果相同时，业务应用服务器向业务认证服务器发送针对用户名信息的认证请求。
[0051]其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送的。具体地，所述鉴权随机数分别发送给第一终端和业务认证服务器。
[0052]在对用户名/ 口令验证通过之后，业务应用服务器按照预设算法随机生成鉴权随机数，并通过建立的初级安全通道将鉴权随机数(例如可以用RANDl来表示)通过PC展示给终端用户，以及将生成的鉴权随机数RANDl通过业务应用服务器和业务认证服务器之间设置的安全传输通道发送给业务认证服务器。具体实施中，在金融行业中，业务应用服务器和业务认证服务之间可以设置专用数据传输通道。在用户名/ 口令认证之后，业务应用服务器将包含随机生成的鉴权随机数RANDl的认证请求通过初级安全通道发送给PC，以及将随机生成的鉴权随机数RANDl通过专用数据传输通道发送给业务认证服务器。
[0053]步骤204，业务认证服务器在接收到鉴权随机数后，根据存储的用户名信息和包含SIM/USIM卡的第二终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息，并获得该用户身份标识信息的认证向量。
[0054]其中，可以通过直接或者间接的方式在HSS网元设备中获得第二终端的用户身份标识信息对应的认证向量。业务认证服务器在获得鉴权随机数和第二终端的用户身份标识信息之后，在HSS网元设备中获得和第二终端的用户身份标识信息对应的认证向量。例如包含SM卡的终端在进行接入网络认证时，认证向量可以是三维矩阵形式，证向量AV中包含认证随机数(RAND2)、鉴权值(AUTN)、期待响应值(XKES)，即AV=(RAND2，AUTN, XRES)。
[0055]步骤205，在获得该用户身份标识信息的认证向量之后，向第二终端发送认证响应信息。
[0056]业务认证服务器根据获得的认证向量，向第二终端发送认证响应信息，其中认证认证响应信息中可以包含认证随机数(RAND2)、鉴权值(AUTN)，即AV1=(RAND2，AUTN)。
[0057]步骤206，第二终端接收认证响应信息，获得所述认证响应信息中包含的认证响应值。
[0058]其中所述认证响应信息是网络侧根据获得的认证向量向所述终端发送的，所述认证向量是终端接入移动通信网络时用于接入鉴权的向量。
[0059]其中，第二终端接收到AV1=(RAND2，AUTN)之后，通过设置的SM卡或者US頂卡进行认证处理，得到认证响应值RES。
[0060]步骤207，第二终端在获得认证响应值之后，向终端用户展示请求输入鉴权随机数的界面，指示终端用户在该界面中输入鉴权随机数。
[0061]步骤208，终端用户根据在第一终端中获知的鉴权随机数，将该鉴权随机数输入到第二终端的指定界面中。
[0062]其中，业务应用服务器生成鉴权随机数RANDl之后，分别向第一终端和业务认证服务器发送，因此，终端用户可以在第一终端中获得鉴权随机数RAND1，将获得的鉴权随机数RANDl输入到第二终端中的指示界面中。
[0063]步骤209，根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求。
[0064]其中，第二终端根据接收到的鉴权随机数和获得的认证响应值，确定终端侧的期望鉴权值，其中所述终端侧的期望鉴权值是终端根据接收到的鉴权随机数和获得的认证响应值确定出的；向网络侧发送包含所述终端侧的期望鉴权值的业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含SM/USIM卡的终端的用户身份标识信息。
[0065]具体实施中，第二终端根据接收到的鉴权随机数RANDl和获得的认证响应值RES，按照计算网络侧的期望鉴权值相同的计算方法，计算终端侧的期望鉴权值。具体实施中，第二终端可以根据获得的RES和RANDl进行加密运算，获得终端侧的期望鉴权值Auth。
[0066]步骤210，业务认证服务器接收第二终端发来的业务认证响应请求，根据所述业务认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
[0067]具体实施中，所述业务认证响应请求中包含终端侧的期望鉴权值，所述终端侧的期望鉴权值是终端根据接收到的认证响应信息和鉴权随机数计算得到的；业务认证服务器确定网络侧的期望鉴权值和业务认证响应请求中包含的终端侧的期望鉴权值，其中所述网络侧的期望鉴权值是根据所述鉴权随机数和获得的认证向量确定出的；根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证。
[0068]需要说明的是，本发明实施例上述提出的确定该认证请求所针对的用户名信息是否通过业务认证的方式并不限于上述一种方法，还可以采用其他方式实现。本发明实施例这里仅给出一种较佳的实现方式。
[0069]具体地，确定接收到的终端侧的期望鉴权值是否等于网络侧的期望鉴权值，如果等于，则确定该认证请求所针对的用户名信息通过业务认证，并向业务应用服务器发送认证成功消息；反之，则确定该认证请求所针对的用户名信息未通过业务认证，并向业务应用服务器发送业务认证失败消息。
[0070]具体实施中，业务认证服务器可以根据获得的认证向量和鉴权随机数，计算网络侧的期望鉴权值。其中，根据获得的认证向量AV和鉴权随机数RAND1，按照预设算法，计算得到网络侧的期望鉴权值。较佳地获得的认证向量AV=(RAND2，AUTN, XRES)，通过获得的AV中包含的XRES，和接收到的鉴权随机数RANDl，进行加密运算，得到网络侧的期望鉴权值XAuth,并将得到的网络侧的期望鉴权值XAuth进行存储。
[0071]相应地，本发明实施例这里还提出一种业务认证装置，该装置位于网络侧，如图3所示，包括:
[0072]接收模块301，用于接收业务应用服务器发来的针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送给业务认证服务器的。
[0073]获得模块302，用于根据存储的用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络 时用于接入鉴权的向量。[0074]发送模块303，用于向所述终端发送认证响应信息。
[0075]所述接收模块301，还用于接收终端发来的业务认证响应请求。
[0076]确定模块304，用于根据所述业务认证响应请求，认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
[0077]具体地，所述业务认证响应请求中包含终端侧的期望鉴权值，所述终端侧的期望鉴权值是终端根据接收到的认证响应信息和鉴权随机数计算得到的；上述确定模块304，具体用于确定网络侧的期望鉴权值和业务认证响应请求中包含的终端侧的期望鉴权值，其中所述网络侧的期望鉴权值是根据所述鉴权随机数和获得的认证向量确定出的；根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证。
[0078]具体地，上述确定模块304，具体用于确定接收到的终端侧的期望鉴权值是否等于网络侧的期望鉴权值，如果等于，则确定该认证请求所针对的用户名信息通过业务认证，并向业务应用服务器发送认证成功消息；反之，则确定该认证请求所针对的用户名信息未通过业务认证，并向业务应用服务器发送业务认证失败消息。
[0079]相应地，本发明实施例这里还提出一种业务认证装置，该装置位于终端侧，如图4所示，包括:
[0080]获得模块401，用于获得接收的认证响应信息中包含的认证响应值，其中所述认证响应信息是网络侧根据获得的认证向量向包含用户识别/通用用户识别SM/USM卡的终端发送的，所述认证向量是该 终端接入移动通信网络时用于接入鉴权的向量。
[0081]接收模块402，用于接收业务应用服务器发来的鉴权随机数，其中所述鉴权随机数是业务应用服务器接收到客户端发送的含有用户名信息的业务请求时，按照预设算法随机生成并发送的。
[0082]发送模块403，用于根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息，网络侧根据所述业务认证响应请求，确定该业务认证响应请求所针对的用户名信息是否通过业务认证。
[0083]较佳地，该装置还包括:
[0084]确定模块，用于确定终端侧的期望鉴权值，其中所述终端侧的期望鉴权值是终端根据接收到的鉴权随机数和获得的认证响应值确定出的。
[0085]所述发送模块，具体用于向网络侧向网络侧发送包含所述终端侧的期望鉴权值的业务认证响应请求，其中，网络侧根据接收到业务认证响应请求中包含的终端侧的期望鉴权值，和确定出的网络侧的期望鉴权值的匹配结果，该业务认证响应请求所针对的用户名信息是否通过业务认证。
[0086]该装置还包括:
[0087]展示模块，用于展示请求输入鉴权随机数的界面。
[0088]采用本发明实施例这里提出的技术方案，将现有技术中提出的基于用户名/ 口令的认证方式，结合包含SM./US頂卡的终端在接入通信网络时生成的认证向量，以及业务应用服务器生成的鉴权随机数，来共同完成业务认证，使得在进行业务认证时，可以通过基于包含SM./US頂卡的终端中的信息，完成终端用户的身份认证，能够较好地提高业务认证的安全性，有效地防止不法分子的攻击，从而避免了当用户名/ 口令被攻击者获得后对业务系统造成的随坏，提高了系统的安全性。并且本发明实施例这里提出的技术方案中，能够突破用户使用设备必须使用包含SM./USIM卡的终端进行业务认证的局限性，在整个业务认证过程中，终端用户可以主动参与业务认证，防止攻击者通过终端用户不知道的认证通过合法的认证进而对终端用户的系统造成损害。
[0089]本领域的技术人员应明白，本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0090]本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0091]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0092]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0093]尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0094]显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种业务认证方法，其特征在于，包括: 业务认证服务器接收业务应用服务器发来的针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送的； 根据存储的用户名信息和包含用户识别/通用用户识别SIM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且 获得该用户身份标识信息的认证向量，并向所述终端发送认证响应信息，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量； 接收终端发来的业务认证响应请求，根据所述业务认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
2.如权利要求1所述的方法，其特征在于，所述业务认证响应请求中包含终端侧的期望鉴权值，所述终端侧的期望鉴权值是终端根据接收到的认证响应信息和鉴权随机数计算得到的； 根据所述业务认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证，包括: 业务认证服务器确定网 络侧的期望鉴权值和业务认证响应请求中包含的终端侧的期望鉴权值，其中所述网络侧的期望鉴权值是根据所述鉴权随机数和获得的认证向量确定出的； 根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证。
3.如权利要求2所述的方法，其特征在于，根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证，包括: 确定接收到的终端侧的期望鉴权值是否等于网络侧的期望鉴权值，如果等于，则确定该认证请求所针对的用户名信息通过业务认证，并向业务应用服务器发送认证成功消息；反之，则确定该认证请求所针对的用户名信息未通过业务认证，并向业务应用服务器发送业务认证失败消息。
4.一种业务认证方法，其特征在于，包括: 包含用户识别/通用用户识别SM/USIM卡的终端获得接收的认证响应信息中包含的认证响应值，其中所述认证响应信息是网络侧根据获得的认证向量向所述终端发送的，所述认证向量是终端接入移动通信网络时用于接入鉴权的向量； 接收业务应用服务器发来的鉴权随机数，其中所述鉴权随机数是业务应用服务器接收到客户端发送的含有用户名信息的业务请求时，按照预设算法随机生成并发送的； 根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SM/USM卡的终端的用户身份标识信息，网络侧根据所述业务认证响应请求，确定该业务认证响应请求所针对的用户名信息是否通过业务认证。
5.如权利要求4所述的方法，其特征在于，根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求，包括: 确定终端侧的期望鉴权值，其中所述终端侧的期望鉴权值是终端根据接收到的鉴权随机数和获得的认证响应值确定出的； 向网络侧发送包含所述终端侧的期望鉴权值的业务认证响应请求，其中，网络侧根据接收到业务认证响应请求中包含的终端侧的期望鉴权值，和确定出的网络侧的期望鉴权值的匹配结果，该业务认证响应请求所针对的用户名信息是否通过业务认证。
6.如权利要求4所述的方法，其特征在于，在获得认证响应值之后，接收鉴权随机数之前，还包括: 展示请求输入鉴权随机数的界面。
7.一种业务认证装置，其特征在于，包括: 接收模块，用于接收业务应用服务器发来的针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并发送给业务认证服务器的； 获得模块，用于根据存储的用户名信息和包含用户识别/通用用户识别SIM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量； 发送模块，用于向所 述终端发送认证响应信息； 所述接收模块，还用于接收终端发来的业务认证响应请求； 确定模块，用于根据所述业务认证响应请求，认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证。
8.如权利要求7所述的装置，其特征在于，所述业务认证响应请求中包含终端侧的期望鉴权值，所述终端侧的期望鉴权值是终端根据接收到的认证响应信息和鉴权随机数计算得到的； 所述确定模块，具体用于确定网络侧的期望鉴权值和业务认证响应请求中包含的终端侧的期望鉴权值，其中所述网络侧的期望鉴权值是根据所述鉴权随机数和获得的认证向量确定出的；根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证。
9.如权利要求8所述的装置，其特征在于，所述确定模块，具体用于确定接收到的终端侧的期望鉴权值是否等于网络侧的期望鉴权值，如果等于，则确定该认证请求所针对的用户名信息通过业务认证，并向业务应用服务器发送认证成功消息；反之，则确定该认证请求所针对的用户名信息未通过业务认证，并向业务应用服务器发送业务认证失败消息。
10.一种业务认证装置，其特征在于，包括: 获得模块，用于获得接收的认证响应信息中包含的认证响应值，其中所述认证响应信息是网络侧根据获得的认证向量向包含用户识别/通用用户识别SM/USM卡的终端发送的，所述认证向量是该终端接入移动通信网络时用于接入鉴权的向量； 接收模块，用于接收业务应用服务器发来的鉴权随机数，其中所述鉴权随机数是业务应用服务器接收到客户端发送的含有用户名信息的业务请求时，按照预设算法随机生成并发送的；发送模块，用于根据接收到的鉴权随机数和获得的认证响应值，向网络侧发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SM/US頂卡的终端的用户身份标识信息，网络侧根据所述业务认证响应请求，确定该业务认证响应请求所针对的用户名信息是否通过业务认证。
11.如权利要求10所述的装置，其特征在于，该装置还包括: 确定模块，用于确定终端侧的期望鉴权值，其中所述终端侧的期望鉴权值是终端根据接收到的鉴权随机数和获得的认证响应值确定出的； 所述发送模块，具体用于向网络侧向网络侧发送包含所述终端侧的期望鉴权值的业务认证响应请求，其中，网络侧根据接收到业务认证响应请求中包含的终端侧的期望鉴权值，和确定出的网络侧的期望鉴权值的匹配结果，该业务认证响应请求所针对的用户名信息是否通过业务认证。
12.如权利要求10所述的装置，其特征在于，该装置还包括: 展示模块，用于展示请求输入鉴权随机数的界面。
13.一种业务认证系统，其特征在于，包括包含用户识别/通用用户识别SM/US頂卡的终端，业务认证服务器和业务应用服务器，其中业务认证服务器和业务应用服务器之间设置有安全传输通道进行通信； 所述业务应用服务器，用于发送针对用户名信息的认证请求，其中，所述认证请求中包含鉴权随机数，所述鉴权随机数是业务应用服务器接收到客户端发送的含有所述用户名信息的业务请求时，按照预设算法随机生成并分别发送给业务认证服务器和客户端； 所述业务认证服务器，用于接收认证请求，根据存储的用户名信息和包含用户识别/通用用户识别SM/USIM卡的终端的用户身份标识信息的对应关系，获得所述认证请求所针对的用户名信息对应的用户身份标识信息；且获得该用户身份标识信息的认证向量，其中所述认证向量是终端接入移动通信网络时用于接入鉴权的向量；并向所述终端发送认证响应信息，接收终端发来的业务认证响应请求，根据所述认证响应请求、所述认证向量和所述鉴权随机数，确定该认证请求所针对的用户名信息是否通过业务认证； 所述终端，用于获得接收的认证响应信息中包含的认证响应值，接收鉴权随机数，根据接收到的鉴权随机数和获得的认证响应值，向业务认证服务器发送业务认证响应请求，其中所述业务认证响应请求中包含用户名信息和包含用户识别/通用用户识别SM/USM卡的终端的用户身份标识信息。
14.如权利要求13所述的系统，其特征在于，所述业务认证响应请求中包含终端侧的期望鉴权值，所述终端侧的期望鉴权值是终端根据接收到的认证响应信息和鉴权随机数计算得到的； 所述业务认证服务器，具体用于确定网络侧的期望鉴权值和业务认证响应请求中包含的终端侧的期望鉴权值，其中所述网络侧的期望鉴权值是根据所述鉴权随机数和获得的认证向量确定出的；根据获得的终端侧的期望鉴权值，和确定的网络侧的期望鉴权值的匹配结果，确定该认证请求所针对的用户名信息是否通过业务认证。
15.如权利要求14所述的系统，其特征在于，所述业务认证服务器，具体用于确定接收到的终端侧的期望鉴权值是否等于网络侧的期望鉴权值，如果等于，则确定该认证请求所针对的用户名信息通过业务认证，并向业务应用服务器发送认证成功消息；反之，则确定该认证请求所针对的用户名信息未通过业务认证，并向业务应用服务器发送业务认证失败消息
16.如权利要求13所述的系统，其特征在于，所述终端，具体用于在获得认证响应值之后，展示请求输入鉴权随机数的界面。
【文档编号】H04L29/06GK103905400SQ201210581317
【公开日】2014年7月2日 申请日期:2012年12月27日 优先权日:2012年12月27日
【发明者】齐旻鹏, 庄小君, 阎军智, 朱红儒 申请人:中国移动通信集团公司