公开/公告号CN105577612A
专利类型发明专利
公开/公告日2016-05-11
原文格式PDF
申请/专利权人 中兴通讯股份有限公司;
申请/专利号CN201410534426.5
发明设计人 徐成;
申请日2014-10-11
分类号H04L29/06(20060101);H04L9/32(20060101);
代理机构11243 北京银龙知识产权代理有限公司;
代理人许静;黄灿
地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部
入库时间 2023-12-18 15:20:54
法律状态公告日
法律状态信息
法律状态
2020-04-17
授权
授权
2017-10-31
实质审查的生效 IPC(主分类):H04L29/06 申请日:20141011
实质审查的生效
2016-05-11
公开
公开
技术领域
本发明涉及通信及互联网领域,特别涉及一种身份认证方法、第三方服务器、商家服务器及用户终端。
背景技术
随着电子商务的兴起,网络支付的安全越来越受到重视。由于网络的开放性和网络环境的虚拟性,发生网络支付安全事件之后,往往追查和举证都很困难。因此,在安全事件发送之前的预防就显得尤其重要。预防的重点之一,就是有效认证交易者身份的合法性。
在现有的B2C(商对客)的电子商务模型中,双向的身份验证是独立进行的:
商家服务器需要验证客户的身份,以防止合法用户的信息被非法用户利用。商家服务器除了要求客户输入用户名和密码,还会向客户注册的手机发送一条验证码消息,客户将收到的验证码反馈给商家服务器。
客户需要验证商家服务器的身份,以防止受到非法商户的欺骗。非法的网站往往伪装成知名的电子商务网站或者银行网站,欺骗用户进行交易,从而窃取用户的银行账号、密码等私密信息,利用这些信息非法分子可以进行金融交易从而获得经济利益。这些非法网站被称为“钓鱼网站”。钓鱼网站往往经过精心设计与真实的目标网站相似度极高,具有很强的迷惑性。
现阶段对于钓鱼网站的主要预防措施有:创建非法网站黑名单对用户进行提示;使用数字证书进行身份认证。但是这两种方法都有一定的局限性。
第一种方法,需要用户依靠特定的安全软件来上报发现的非法网站,特定的机构收集到上报信息后进行技术分析,在确认为非法网站后,将其列入黑名单。用户每次访问某一网站时,需要将其上报,以确认是否在黑名单中。并且黑名单的审核尚未完全能够使用程序代替人工进行,因此这种方法具有明显的滞后性,往往在欺诈事件发生之后才能实施。
第二种方法,依赖客户端程序与服务器之间的交互来完成认证的工作。客户端程序需要获取服务器的电子证书,通过计算确认电子证书的合法性与完整性。然后使用公钥进行加密运算并将结果发送给服务器,等待服务器返回运算结果并进行验证。整个过程需要在客户端与服务器端之间进行多次数据交互,并且在客户端进行不对称加密算法的运算和hash算法的运算。在传统的PC机上,往往使用浏览器或是在浏览器上安装插件来完成认证的工作。但是随着移动互联网的发展,很多业务的操作已经能够在手机终端上进行了。在手机终端上,为了节省数据流量和获得更好的用户体验,一些业务不在浏览器上进行操作,而是直接使用手机客户端进行操作。在这种情况下用户无法确认客户端是否对服务器端进行了身份的认证。
在B2C的商业模式中,客户往往处于弱势的一方,由于技术和经济实力的限制,无法确保所有的客户端都能够进行复杂的运算。即使智能手机的功能越来越强大,但是受限于电源、屏幕尺寸以及通讯资费等因素,手机终端的计算资源依然十分宝贵。
发明内容
本发明的目的在于提供一种身份认证方法、第三方服务器、商家服务器及用户终端,使得在B2C的电子商务模型中,不仅商家能够对客户的身份进行验证,同时客户也可以验证商家身份的真实性,从而为交易双方建立起互信关系,确保了交易的顺利、安全进行。
为了达到上述目的,本发明提供一种身份认证方法,应用于一第三方服务器,包括:
所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息,获取目的商家服务器信息;
所述第三方服务器根据所述目的商家服务器信息,获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息,并将所述身份信息发送给所述客户终端;
所述第三方服务器将所述第一随机信息发送至所述目的商家服务器,使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。
其中,所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息,获取目的商家服务器信息的步骤包括:
所述第三方服务器接收所述客户终端发送至一信息网关,由所述信息网关转发的携带有目的商家服务器信息的第一随机信息;
所述第三方服务器根据所述第一随机信息,获取所述目的商家服务器的鉴权号,其中,所述目的商家服务器信息为该商家服务器的鉴权号时,使得所述信息网关向该第三方服务器转发第一随机信息。
其中,所述第三方服务器根据所述目的商家服务器信息,获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息,并将所述身份信息发送给所述客户终端的步骤包括:
所述第三方服务器根据所述目的商家服务器的鉴权号,获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书;
所述第三方服务器获取所述数字证书中所述目的商家服务器的身份信息,并将该目的商家服务器的身份信息发送给所述客户终端。
其中,所述第三方服务器将所述第一随机信息发送至所述目的商家服务器的步骤包括:
所述第三方服务器获取所述数字证书中的一公钥,并利用所述公钥对所述第一随机信息进行加密处理;
所述第三方服务器基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器,使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息,并将所述第一随机信息反馈给所述客户终端。
其中,获取目的商家服务器信息之前还包括:
所述第三方服务器根据一商家服务器发送的数字证书,确定所述数字证书的合法性;
所述第三方服务器向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号,并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存;
所述第三方服务器将所述商家服务器的鉴权号和通信号反馈给该商家服务器,所述第三方服务器完成所述商家服务器的注册。
本发明实施例还提供一种身份认证方法,应用于商家服务器,包括:
所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息;
所述商家服务器利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息;
所述商家服务器将所述第一随机信息反馈至一客户终端,使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
其中,所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括:
所述商家服务器向所述客户终端发送第二随机信息;
所述商家服务器接收所述客户终端反馈的信息,并将该客户终端反馈的信息与所述第二随机信息对比,确定所述客户终端的身份合法性。
其中,所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括:
所述商家服务器向所述第三方服务器发送注册请求及该商家服务器的数字证书;
所述商家服务器接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号,则所述商家服务器在所述第三方服务器的注册成功。
本发明实施例还提供一种身份认证方法,应用于一客户终端,包括:
所述客户终端向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息,使得所述信息网关将所述第一随机信息转发至一第三方服务器;
所述客户终端接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息;
所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
其中,所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性的步骤包括:
所述客户终端将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比;
若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同,且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致,则该目的商家服务器合法。
其中,所述客户终端发送所述第一随机信息之前还包括:
所述客户终端接收所述目的商家服务器发送的第二随机信息,并将所述第二随机信息反馈至该目的商家服务器,使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。
本发明实施例还提供一种第三方服务器,包括:
获取模块,用于根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息,获取目的商家服务器信息;
第一确定模块,用于根据所述目的商家服务器信息,获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息,并将所述身份信息发送给所述客户终端;
第一发送模块,用于将所述第一随机信息发送至所述目的商家服务器,使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。
本发明实施例还提供一种商家服务器,包括:
第一接收模块,用于接收一第三方服务器发送的利用一公钥加密的第一随机信息;
解密模块,用于利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息;
反馈模块,用于将所述第一随机信息反馈至一客户终端,使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
本发明实施例还提供一种客户终端,包括:
第二发送模块,用于向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息,使得所述信息网关将所述第一随机信息转发至一第三方服务器;
第二接收模块,用于接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息;
第二确定模块,用于根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例的身份认证方法中,通过引入一可信的第三方服务器,由第三方服务器承担起对商家身份验证的计算分析任务,确保了用户终端运算的轻量化;且在B2C的电子商务模型中,不仅商家能够对客户的身份进行验证,同时客户也可以验证商家身份的真实性,从而为交易双方建立起互信关系,确保了交易的顺利、安全进行。
附图说明
图1表示本发明实施例的身份认证方法在第三方服务器侧的基本步骤示意图;
图2表示本发明实施例的身份认证方法在商家服务器侧的基本步骤示意图;
图3表示本发明实施例的身份认证方法在客户终端侧的基本步骤示意图;
图4表示本发明实施例的第三方服务器的组成结构示意图;
图5表示本发明实施例的商家服务器的组成结构示意图;
图6表示本发明实施例的客户终端的组成结构示意图;
图7表示本发明实施例的具体实施例一的具体流程图;
图8表示本发明实施例的具体实施例二的具体流程图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有技术的B2C电子商务模型中,用户对商家的身份认证方法有明显的滞后性或需用户进行复杂运算,在手机用户的运用上存在较大的问题,提供一种身份认证方法、第三方服务器、商家服务器及用户终端,通过引入一可信的第三方服务器,由第三方服务器承担起对商家身份验证的计算分析任务,确保了用户终端运算的轻量化;且在B2C的电子商务模型中,不仅商家能够对客户的身份进行验证,同时客户也可以验证商家身份的真实性,从而为交易双方建立起互信关系,确保了交易的顺利、安全进行。
如图1所示,本发明实施例提供一种身份认证方法,应用于一第三方服务器,包括:
步骤11,所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息,获取目的商家服务器信息;
步骤12,所述第三方服务器根据所述目的商家服务器信息,获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息,并将所述身份信息发送给所述客户终端;
步骤13,所述第三方服务器将所述第一随机信息发送至所述目的商家服务器,使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。
本发明的上述实施例中,步骤11中的第一随机信息为客户终端发送的,具体的,该第一随机信息为通过短信或彩信发送,其中,发送方号码为该客户终端的地址(手机号码);该第三方服务器接收第一随机信息,获取其目的商家服务器信息后继续执行步骤12,将目的商家服务器的身份信息发送至该客户终端同时将第一随机信息转发至该目的商家服务器,该目的商家服务器需将该第一随机信息反馈至上述客户终端,则使得上述客户终端能够根据目的商家服务器反馈的第一随机信息和该目的商家服务器的身份信息确定其身份是否合法;具体的,当目的商家反馈的第一随机信息与该客户终端发送的第一随机信息一致,且目的商家的身份与第三方服务器发送的目的商家的身份信息也一致,则该目的商家服务器的身份合法,可进行交易;该方法在客户终端的运算较轻量化,不占用太多资源,适用范围广,且能够让用户准确的判断商家身份,避免遭受钓鱼网站的侵害,造成不必要的损失。
本发明上述实施例中,步骤11包括:
步骤111,所述第三方服务器接收所述客户终端发送至一信息网关,由所述信息网关转发的携带有目的商家服务器信息的第一随机信息;
步骤112,所述第三方服务器根据所述第一随机信息,获取所述目的商家服务器的鉴权号,其中,所述目的商家服务器信息为该商家服务器的鉴权号时,使得所述信息网关向该第三方服务器转发第一随机信息。
本发明实施例在具体应用中,需借助一信息网关(短信或彩信系统),客户终端发送的第一随机信息先被发送至该信息网关,由信息网关将该第一随机信息转发至第三方服务器或目的商家服务器;具体的,若该第一随机信息携带的目的商家服务器信息为该商家服务器的鉴权号,则将该第一随机信息转发至第三方服务器;若该第一随机信息鞋带的目的商家服务器信息为该商家服务器的通信号(普通信息),则直接将该第一随机信息转发至目的商家服务器。步骤112中对于转发至第三方服务器的第一随机信息,获取其目的商家服务器的鉴权号。
本发明上述实施例中,步骤12包括:
步骤121,所述第三方服务器根据所述目的商家服务器的鉴权号,获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书;
步骤122,所述第三方服务器获取所述数字证书中所述目的商家服务器的身份信息,并将该目的商家服务器的身份信息发送给所述客户终端。
本发明实施例的具体应用中,第三方服务器预先保存着多个商家服务器的信息,如商家服务器的鉴权号、通信号及数字证书,为了根据其中一个信息获取该商家服务器的其他信息时的方便、快捷,同一个商家服务器的所有信息被保存到同一地址或称为将所有信息绑定后保存;具体的,该数字证书是由一权威机构颁发给所述商家服务器的,每一个商家服务器对应唯一一个数字证书,保证了其安全性;且该商家服务器的数字证书中保存有该商家服务器的合法身份信息、一对公私钥等信息;步骤122即为获取目的商家服务器的合法身份信息,并发送至客户终端,供客户终端验证商家服务器的合法身份时使用。
本发明上述实施例中,步骤13包括:
步骤131,所述第三方服务器获取所述数字证书中的一公钥,并利用所述公钥对所述第一随机信息进行加密处理;
步骤132,所述第三方服务器基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器,使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息,并将所述第一随机信息反馈给所述客户终端。
本发明实施例的具体应用中,为了进一步保证第一随机信息传输过程中的安全性,第三方服务器利用一公钥对第一随机信息进行加密处理后再发送至目的商家服务器,由于目的商家服务器也保存有其本身的数字证书,故目的商家服务器从数字证书中获取与该公钥对应的私钥,利用该私钥进行解密处理得到第一随机信息,并将第一随机信息反馈给所述客户终端。由于该私钥仅保存于其对应的目的商家服务器中,故其他目的商家服务器(如钓鱼网站等)无法获取该私钥,即无法进行解密处理,进而无法得到第一随机信息,提高了信息传递过程中的安全性。
本发明上述实施例中,获取目的商家服务器信息之前还包括:
步骤14,所述第三方服务器根据一商家服务器发送的数字证书,确定所述数字证书的合法性;
步骤15,所述第三方服务器向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号,并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存;
步骤16,所述第三方服务器将所述商家服务器的鉴权号和通信号反馈给该商家服务器,所述第三方服务器完成所述商家服务器的注册。
本发明具体实施例中,步骤14至步骤16具体描述了商家服务器与第三方服务器之间建立可信关系的过程,即商家服务器向第三方服务器请求注册并注册成功的过程。步骤14中,第三方服务器通过计算数字证书的真实性与完整性来确定数字证书的合法性,即如果是权威机构颁发的证书,且该证书没有被篡改过则该数字证书合法。同时为合法的数字证书对应的商家服务器分配鉴权号AuthID和通信号CommID,并在本地保存;且将鉴权号AuthID和通信号CommID反馈该对应的商家服务器;其中,每一个商家服务器对应唯一的鉴权号和通信号。
需要说明的是,上述第三服务器与商家服务器之间的通信以及上述第三服务器与客户终端之间的通信均需借助一信息网关,即第三服务器先将信息发送至该信息网关,由信息网关转发至相应设备;或其他设备将信息发送至该信息网关,由该信息网关将信息转发至本第三服务器等等,在此一一赘述。
为了更好的实现上述目的,如图2所示,本发明实施例还提供一种身份认证方法,应用于商家服务器,包括:
步骤21,所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息;
步骤22,所述商家服务器利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息;
步骤23,所述商家服务器将所述第一随机信息反馈至一客户终端,使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
本发明实施例的具体应用中,商家服务器利用密钥对加密的第一随机信息进行解密后得到第一随机信息,并将其反馈至客户终端,使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
需要说明的是,本发明上述实施例中,商家服务器与客户终端之间的通信以及商家服务器与第三方服务器之间的通信均需通过一信息网关的转发,如步骤21中的第三方服务将利用一公钥加密的第一随机信息发送至该信息网关,其中,该条信息的发送方号码为产生该第一随机信息的客户终端的地址,接收方号码为目的商家服务器的通信号,则如上所述,信息网关检测到加密的第一随机信息的目的商家服务器信息为目的商家服务器的通信号,则直接将加密的该第一随机信息转发至该目的商家服务器;或者步骤23中的商家服务器将第一随机信息发送至该信息网关,此条信息的发送方号码为该商家服务器的通信号,而接收方信息为客户终端的地址,则该信息网关直接跟该客户终端的地址将第一随机信息转发至对应的客户终端。
本发明上述实施例中,所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括:
步骤24,所述商家服务器向所述客户终端发送第二随机信息;
步骤25,所述商家服务器接收所述客户终端反馈的信息,并将该客户终端反馈的信息与所述第二随机信息对比,确定所述客户终端的身份合法性。
本发明具体实施例中,步骤11至步骤13主要描述客户终端对商家服务器的身份合法性的判定过程;而步骤24和步骤25主要描述其商家服务器对客户终端的身份合法性的判定过程。只有商家服务器确定客户终端是合法的,且客户终端也确定商家服务器是合法的,则交易双方建立起互信关系,确保交易的安全、顺利进行。
本发明实施例提供的方法能够基于消息业务实现双向身份认证,使在B2C的电子商务模型中,不仅商家能够对客户的身份进行验证,同时客户也可以验证商家身份的真实性,从而为交易双方建立起互信关系。
本发明上述实施例中,所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括:
步骤26,所述商家服务器向所述第三方服务器发送注册请求及该商家服务器的数字证书;
步骤27,所述商家服务器接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号,则所述商家服务器在所述第三方服务器的注册成功。
本发明实施例中,步骤26和步骤27描述了商家服务器与第三方服务器之间建立可信关系的过程。
为了更好的实现上述目的,如图3所示,本发明实施例还提供一种身份认证方法,应用于一客户终端,包括:
步骤31,所述客户终端向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息,使得所述信息网关将所述第一随机信息转发至一第三方服务器;
步骤32,所述客户终端接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息;
步骤33,所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
本发明实施例的具体应用中,第一随机信息由一客户终端随机产生,具体的可以为一串数字或一张图片,其中,该第一随机信息的发送方号码为该客户终端的地址,接收方号码为目的商家服务器的鉴权号,则该信息网关检测到接收方号码为目的商家服务器的鉴权号,则将该第一随机信息转发至一第三方服务器,使得第三方服务器根据所述鉴权号确定目的商家服务器的身份信息,并将其发送至该客户终端,则所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
本发明上述实施例中,步骤33包括:
步骤331,所述客户终端将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比;
步骤332,若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同,且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致,则该目的商家服务器合法。
本发明实施例的具体应用中,所述客户终端将目的商家服务器反馈的第一随机信息与其自身产生的第一随机信息作比较,当其上述两个信息相同,且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致,则该目的商家服务器合法,则客户终端能够安全与该目的商家服务器进行交互。
具体的,本发明上述实施例中,所述客户终端发送所述第一随机信息之前还包括:
步骤34,所述客户终端接收所述目的商家服务器发送的第二随机信息,并将所述第二随机信息反馈至该目的商家服务器,使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。
本发明实施例中,步骤34中描述的为目的商家服务器对客户终端身份的认证过程,即目的商家服务器随机产生第二随机信息,该第二随机信息具体为一验证编码,目的商家服务器将第二随机信息发送至客户终端,客户终端接收到所述第二随机信息后,在目的商家服务器提供的商家web页面上填写收到的第二随机信息,以此证明该客户终端为合法用户。
需要说明的是,上述客户终端与商家服务器之间的通信以及上述客户终端与第三服务器之间的通信均需借助一信息网关,即客户终端先将信息发送至该信息网关,由信息网关转发至相应设备;或其他设备将信息发送至该信息网关,由该信息网关将信息转发至本客户终端等等,在此一一赘述。
为了更好实现上述目的,如图4所示,本发明实施例还提供一种第三方服务器,包括:
获取模块401,用于根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息,获取目的商家服务器信息;
第一确定模块402,用于根据所述目的商家服务器信息,获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息,并将所述身份信息发送给所述客户终端;
第一发送模块403,用于将所述第一随机信息发送至所述目的商家服务器,使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。
本发明上述实施例中,获取模块401包括:
第一子模块,用于接收所述客户终端发送至一信息网关,由所述信息网关转发的携带有目的商家服务器信息的第一随机信息;
第二子模块,用于根据所述第一随机信息,获取所述目的商家服务器的鉴权号,其中,所述目的商家服务器信息为该商家服务器的鉴权号时,使得所述信息网关向该第三方服务器转发第一随机信息。
本发明上述实施例中,第一确定模块402包括:
第三子模块,用于根据所述目的商家服务器的鉴权号,获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书;
第四子模块,用于获取所述数字证书中所述目的商家服务器的身份信息,并将该目的商家服务器的身份信息发送给所述客户终端。
本发明上述实施例中,第一发送模块403包括:
第五子模块,用于获取所述数字证书中的一公钥,并利用所述公钥对所述第一随机信息进行加密处理;
第六子模块,用于基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器,使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息,并将所述第一随机信息反馈给所述客户终端。
本发明上述实施例中,该第三方服务器还包括:
确定模块,用于根据一商家服务器发送的数字证书,确定所述数字证书的合法性;
分配模块,用于向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号,并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存;
第二反馈模块,用于将所述商家服务器的鉴权号和通信号反馈给该商家服务器,所述第三方服务器完成所述商家服务器的注册。
需要说明的是,本发明实施例提供的第三方服务器是应用上述身份认证方法的第三方服务器,则上述身份认证方法是所有实施例及其有益效果均适用于该第三方服务器。
为了更好的实现上述目的,如图5所示,本发明实施例还提供一种商家服务器,包括:
第一接收模块401,用于接收一第三方服务器发送的利用一公钥加密的第一随机信息;
解密模块402,用于利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息;
反馈模块403,用于将所述第一随机信息反馈至一客户终端,使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
本发明上述实施例中,该商家服务器还包括:
第三发送模块,用于向所述客户终端发送第二随机信息;
第三接收模块,用于接收所述客户终端反馈的信息,并将该客户终端反馈的信息与所述第二随机信息对比,确定所述客户终端的身份合法性。
本发明上述实施例中,该商家服务器还包括:
注册模块,用于向所述第三方服务器发送注册请求及该商家服务器的数字证书;
第四接收模块,用于接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号,则所述商家服务器在所述第三方服务器的注册成功。
需要说明的是,本发明实施例提供的商家服务器是应用上述身份认证方法的商家服务器,则上述身份认证方法是所有实施例及其有益效果均适用于该商家服务器。
为了更好的实现上述目的,如图6所示,本发明实施例还提供一种客户终端,包括:
第二发送模块601,用于向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息,使得所述信息网关将所述第一随机信息转发至一第三方服务器;
第二接收模块602,用于接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息;
第二确定模块603,用于根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
本发明上述实施例中,第二确定模块603包括:
对比模块,用于将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比;
确定子模块,用于若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同,且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致,则该目的商家服务器合法。
本发明上述实施例中,该客户终端还包括:
第五接收模块,用于接收所述目的商家服务器发送的第二随机信息,并将所述第二随机信息反馈至该目的商家服务器,使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。
需要说明的是,本发明实施例提供的客户终端是应用上述身份认证方法的客户终端,则上述身份认证方法的所有实施例及其有益效果均适用于该客户终端。
为了更好的说明本发明实施例提供的身份认证方法,故借助图7、图8对本发明实施例做具体介绍:
具体实施例一:商家服务器与第三方服务器之间建立可信关系(商家服务器注册)的工作流程图:
S701:第三方服务器收到注册请求;
S702:商家服务器提交权威机构颁发的数字证书;
S703:第三方服务器计算判断商家所提交的数字证书的真实性与完整性,如果是权威机构颁发的证书且证书没有被篡改过转至S105,否则需要转至S104;
S704:返回注册失败的响应;
S705:第三方服务器为商家服务器分配鉴权号AuthID和通信号CommID;
S706:第三发服务器将鉴权号AuthID、通信号CommID与数字证书绑定并保存;
S707:返回注册成功,向商家返回鉴权号AuthID和通信号CommID;
S708:流程结束。
具体实施例二:商家服务器与客户终端的双向身份认证过程:
其中,商家服务器包括:商家系统、验证消息下发模块、验证消息接收模块、验证消息解密模块;第三方服务器包括:数字证书管理模块、身份验证模块;
S801:商家系统将随机验证码、AuthID和客户手机号码发送给验证消息下发模块;
S802:验证消息下发模块使用AuthID为发送方号码,客户手机号为目的方地址,将验证码发送给客户终端;
S803:客户终端收到验证消息;
S804:客户将验证消息中的验证码反馈给商家,以此证明自己的身份;
S805:客户在收到的验证消息上直接进行回复,使用AuthID为目的号码,自己的手机号为发送方号码,随机生成信息为消息内容,构造反向验证消息;
S806:信息网关根据目的号码AuthID将反向验证消息路由给第三方服务器。
S807:第三方服务器的身份验证模块以反向验证消息的目的号码AuthID为查询条件,向数字证书管理模块发起查询;
S808:数字证书管理模块将与AuthID关联的数字证书和CommID返回给身份验证模块;
S809:身份验证模块提取出数字证书中的商家信息。以客户手机号为目的地址,AuthID为发送方地址,构造商家身份消息;
S810:第三方服务器将商家身份消息发送给客户终端;
S811:身份验证模块提取出数字证书中的公钥,用公钥对反向验证消息中的随机信息进行加密。以加密后的信息为内容,CommID为接收方,用户手机号为发送方,构造身份验证消息;
S812:信息网关根据目的号码CommID将身份验证消息路由给与之对应的商家;
S813:商家的验证消息接收模块接收到身份验证消息;
S814:商家使用其拥有的私钥,对验证消息中的信息进行解密;
S815:商家将解密后的信息反馈给客户终端。
则客户终端根据其商家反馈的解密后的信息以及客户终端自身产生的信息和商家的身份共同判断其商家身份是否合法。
本发明提供的身份认证方法使得在B2C的电子商务模型中,不仅商家能够对客户的身份进行验证,同时客户也可以验证商家身份的真实性,从而为交易双方建立起互信关系,确保了交易的顺利、安全进行;在此方法中引入了可信第三方服务器,由可信第三方服务器承担起对商家身份验证的计算分析任务,确保了客户端运算的轻量化,从而使得本发明能够适用各种不同能力的客户终端。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
机译: 身份认证方法,第三方服务器,商户服务器和用户终端
机译: 向用户终端(包括客户和商家)提供网络/基础结构的邮票服务平台,以及服务器与用户终端之间的邮票服务服务器交互
机译: 数据学习服务器,空调,控制空调的用户终端,网络系统,从数据学习服务器生成学习模型的方法,从学习服务器数据使用学习模型的方法,提供推荐温度的方法空调,从用户终端控制空调的方法,生成包括空调和模型服务器学习的网络系统的学习模型的方法,用于在网格系统中提供推荐温度的方法以及用于控制空调的方法网格系统中的空调