CN106304074B - 面向移动用户的身份验证方法和系统 - Google Patents
面向移动用户的身份验证方法和系统 Download PDFInfo
- Publication number
- CN106304074B CN106304074B CN201610792258.9A CN201610792258A CN106304074B CN 106304074 B CN106304074 B CN 106304074B CN 201610792258 A CN201610792258 A CN 201610792258A CN 106304074 B CN106304074 B CN 106304074B
- Authority
- CN
- China
- Prior art keywords
- user
- sdk
- party
- msisdn
- service platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了面向移动用户的身份验证方法和系统,可实现免密注册及登录,具有使用便捷、安全性高、成本低廉等优点。其中,本发明适用于Andriod或iOS系统的第三方应用的移动用户身份验证方法包括:在安全服务平台装置上完成第三方应用的接入注册;完成安全服务卡应用装置的注册以建立用户信息库。在用户首次登录时,安全服务平台代理装置SDK将用户手机号码发送给安全服务平台装置进行身份验证,若验证通过则安全服务平台装置生成唯一性的OpenID,然后安全服务平台装置经SDK返回用户验证结果和OpenID给第三方应用。用户二次登录时,SDK将OpenID发送给安全服务平台装置进行身份验证,若验证通过则安全服务平台装置经SDK返回用户验证结果和用户手机号码给第三方应用。
Description
技术领域
本发明涉及计算机及其软件技术领域,特别地涉及一种面向移动用户的身份验证方法和系统。
背景技术
随着互联网技术和通讯技术的发展,“手机号+短信验证码”的登录方案被广泛应用在网站注册/登录、网上支付等需要快速确认用户身份的业务场景。其技术原理为:首先,用户登录服务界面(网站或APP),填写自己的手机号码,点击“获取验证码”按钮。其次,网站或者APP按规则生成短信验证码,并将验证码通过运营商提供的短信发送接口,下推至用户的手机终端。最后,用户收到下推短信,并在规定时间内把验证码填写到服务界面,服务系统会对用户填写的验证码进行校验,通过则向用户提供所请求的服务。
上述的短信验证码登录方案的关键点在于:利用了手机号与用户之间的自然绑定关系,通过用户能否接收到验证码短信和能否在有效时间内回填正确验证码这样一个事实,来完成服务系统对用户身份的认证。此外,用户在点击“获取验证码”后,在有限时间内接收到短信,并通过短信里面的内容,也可知道该短信是否由当前服务商发出,相当于完成了用户对服务系统的简单认证,至此完成了用户与服务商之间的双向认证。但该方案的安全性十分薄弱,缺点阐述如下:
(1)用户无法对服务系统进行准确验证:验证短信发送号码和发送内容没有统一的规范,完全由服务商自行拟定。而且通常服务系统并不会提前对用户进行通告,因此在大多数情况下,用户没有相应的手段对验证短信的真伪进行辨别。在如今很多的电信诈骗案件中,受害人都是在无法辨别验证短信发送来源的情况下,将验证码泄露给不法分子,造成账号密码重置、网银手机号解绑等严重问题。
(2)验证短信易被拦截,且内容无法加密:普通短信的主要功能是在收发者之间传输简短字符,这些字符统一采用UCS2编码方案,属于明文传输。这就造成了验证短信一旦被拦截,其内容便会被轻易破解。而当下智能手机对于短信的处理都由APP(系统应用或第三方应用)来完成,这就使具有“读取短信权限”的恶意APP,可以轻易拦截验证短信并识别其内容,并把其中内容暗自转发给第三方。
发明内容
有鉴于此,本发明提供一种面向移动用户的身份验证方法和系统,可以解决现有技术中的上述问题,具有使用便捷、安全性高、成本低廉等优点。
为实现上述目的,根据本发明的第一个方面,提供了一种面向移动用户的身份验证方法,适用于Andriod系统第三方应交互情景,包括:安全服务卡应用装置向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;所述安全服务平台装置保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;所述安全服务平台装置接收到所述Andriod系统第三方应用发出的应用注册请求之后,向所述Andriod系统第三方应用分配第三方接入码;所述安全服务平台代理装置SDK接收来自所述Andriod系统第三方应用的第一调用指令,其中所述第一调用指令是由所述Andriod系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第一调用指令的携带信息包括所述MSISDN和第三方接入码;所述SDK确认当前移动终端的移动网络状态正常且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;所述SDK向所述安全服务平台装置加密传输第一用户身份验证请求,所述第一用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、所述MSISDN、IMSI、IMEI、ICCID以及第三方接入码;所述安全服务平台装置解密接收到的所述第一用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,然后将当前的所述MSISDN、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便验证用户身份信息,若验证通过则生成每个用户在每个Andriod系统第三方应用的唯一的用户身份标识码OpenID,然后向所述SDK返回用户验证结果和所述OpenID;所述SDK向所述Andriod系统第三方应用返回所述用户验证结果和OpenID。
可选地,在所述SDK向所述Andriod系统第三方应用返回所述用户验证结果和OpenID的步骤之后,还包括:所述SDK接收来自所述Andriod系统第三方应用的第二调用指令,其中所述第二调用指令是由所述Andriod系统第三方应用接收到用户二次登录指令之后发出的,所述第二调用指令的携带信息包括所述OpenID和第三方接入码;所述SDK确认当前移动终端的移动网络状态正常且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;所述SDK向所述安全服务平台装置加密传输第二用户身份验证请求,所述第二用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、OpenID、IMSI、IMEI、ICCID以及第三方接入码;所述安全服务平台装置解密接收到的所述第二用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述Andriod系统第三方应用一致性以及移动终端一致性,然后将当前的所述OpenID、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则向所述SDK返回用户验证结果和所述MSISDN;所述SDK向所述Andriod系统第三方应用返回用户验证结果和所述MSISDN。
根据本发明的第二个方面,提供了一种面向移动用户的身份验证系统,适用于Andriod系统第三方应交互情景,包括:安全服务卡应用装置、安全服务平台装置和安全服务平台代理装置SDK,所述安全服务卡应用装置用于:向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;所述安全服务平台装置用于:保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;接收到所述Andriod系统第三方应用发出的应用注册请求之后,向所述Andriod系统第三方应用分配第三方接入码;解密接收到的所述第一用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,然后将当前的所述MSISDN、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则生成每个用户在每个Andriod系统第三方应用的唯一的用户身份标识码OpenID,然后向所述SDK返回用户验证结果和所述OpenID;所述SDK用于:接收来自所述Andriod系统第三方应用的第一调用指令,其中所述第一调用指令是由所述Andriod系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第一调用指令的携带信息包括所述MSISDN和第三方接入码;确认当前移动终端的移动网络状态正常并且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;向所述安全服务平台装置加密传输第一用户身份验证请求,所述第一用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、所述MSISDN、IMSI、IMEI、ICCID以及第三方接入码;向所述Andriod系统第三方应用返回所述用户验证结果和OpenID。
可选地,所述SDK还用于:接收来自所述Andriod系统第三方应用的第二调用指令,其中所述第二调用指令是由所述Andriod系统第三方应用接收到用户二次登录指令之后发出的,所述第二调用指令的携带信息包括所述OpenID和第三方接入码;确认当前移动终端的移动网络状态正常且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;向所述安全服务平台装置加密传输第二用户身份验证请求,所述第二用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、OpenID、IMSI、IMEI、ICCID以及第三方接入码;向所述Andriod系统第三方应用返回用户验证结果和所述MSISDN;所述安全服务平台装置还用于:解密接收到的所述第二用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述Andriod系统第三方应用一致性以及移动终端一致性,然后将当前的所述OpenID、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则向所述SDK返回用户验证结果和所述MSISDN。
根据本发明的第三个方面,提供了一种面向移动用户的身份验证方法,适用于iOS系统第三方应用交互情景,包括:安全服务卡应用装置向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;所述安全服务平台装置保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;所述安全服务平台装置接收到所述iOS系统第三方应用发出的应用注册请求之后,向所述iOS系统第三方应用分配第三方接入码;所述安全服务平台代理装置SDK接收来自所述iOS系统第三方应用的第三调用指令,其中所述第三调用指令是由所述iOS系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第三调用指令的携带信息包括所述MSISDN和第三方接入码;所述SDK确认当前移动终端的移动网络状态正常,然后向所述安全服务平台装置加密传输第三用户身份验证请求,所述第三用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、所述MSISDN和第三方接入码;所述安全服务平台装置解密接收到的第三用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法以及确认所述MSISDN有效,然后通过短信通道向所述安全服务卡应用装置发送用户授权邀请报文,以使所述安全服务卡应用装置控制移动终端的屏幕向用户呈现用户授权邀请信息;所述安全服务卡应用装置接收到移动终端传递的用户确认授权指令之后,向所述安全服务平台装置发送用户确认授权报文;所述安全服务平台装置生成每个用户在每个iOS系统第三方应用的唯一的用户身份标识码OpenID,然后根据MSISDN查找对应的ICCID-IMSI-IMEI的绑定关系数据然后生成用户令牌;所述安全服务平台装置向所述SDK返回用户验证结果、所述OpenID和用户令牌;所述SDK将所述用户令牌加密后以密文形式保存在iOS系统提供的KeyChain中,并且向所述iOS系统第三方应用返回用户验证结果和OpenID。
可选地,在所述SDK将所述用户令牌加密后以密文形式保存在iOS系统提供的KeyChain中,并且向所述iOS系统第三方应用返回用户验证结果和OpenID的步骤之后,还包括:所述SDK接收来自所述iOS系统第三方应用的第四调用指令,其中所述第四调用指令是由所述iOS系统第三方应用接收到用户二次登录指令之后发出的,第四调用指令的携带信息包括所述OpenID和第三方接入码;所述SDK确认当前移动终端的移动网络状态正常,然后从所述KeyChain中读取并解密得到明文的所述用户令牌,并在用户令牌中检索所述OpenID对应的ICCID-IMSI-IMEI的绑定关系数据,然后向所述安全服务平台装置加密传输第四用户身份验证请求,所述第四用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、MSISDN、ICCID-IMSI-IMEI的绑定关系数据、第三方接入码以及OpenID;所述安全服务平台装置解密接收到的所述第四用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述iOS系统第三方应用一致性以及移动终端一致性,然后将所述ICCID-IMSI-IMEI的绑定关系数据与本地记录比对以便验证用户身份信息,若验证通过则向所述SDK返回所述用户验证结果以及所述MSISDN;所述SDK向所述iOS系统第三方应用返回所述用户验证结果以及所述MSISDN。
根据本发明的第四个方面,提供了一种面向移动用户的身份验证系统,适用于iOS系统第三方应用交互情景,包括:安全服务卡应用装置、安全服务平台装置和安全服务平台代理装置SDK,所述安全服务卡应用装置用于:向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;接收到移动终端传递的用户确认授权指令之后,向所述安全服务平台装置发送用户确认授权报文;所述安全服务平台装置用于:保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;接收到所述iOS系统第三方应用发出的应用注册请求之后,向所述iOS系统第三方应用分配第三方接入码;解密接收到的第三用户身份验证请求,根据SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法以及确认所述MSISDN有效,然后通过短信通道向所述安全服务卡应用装置发送用户授权邀请报文,以使所述安全服务卡应用装置控制移动终端的屏幕向用户呈现用户授权邀请信息;生成每个用户在每个iOS系统第三方应用的唯一的用户身份标识码OpenID,然后根据所述MSISDN查找对应的IMSI、ICCID和IMEI的对应关系数据然后生成用户令牌;向所述SDK返回用户验证结果、所述OpenID和用户令牌;所述SDK用于:接收来自所述iOS系统第三方应用的第三调用指令,其中所述第三调用指令是由所述iOS系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第三调用指令的携带信息包括所述MSISDN和第三方接入码;确认当前移动终端的移动网络状态正常,然后向所述安全服务平台装置加密传输第三用户身份验证请求,所述第三用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、MSISDN和第三方接入码;将所述用户令牌加密后以密文形式保存在iOS系统提供的KeyChain中,并且向所述iOS系统第三方应用返回用户验证结果和OpenID。
可选地,其特征在于,所述SDK还用于:接收来自所述iOS系统第三方应用的第四调用指令,其中所述第四调用指令是由所述iOS系统第三方应用接收到用户二次登录指令之后发出的,第四调用指令的携带信息包括所述OpenID和第三方接入码;确认当前移动终端的移动网络状态正常,然后从所述KeyChain中读取并解密得到明文的所述用户令牌,并在用户令牌中检索所述OpenID对应的ICCID-IMSI-IMEI的绑定关系数据,然后向所述安全服务平台装置加密传输第四用户身份验证请求,所述第四用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、MSISDN、ICCID-IMSI-IMEI的绑定关系数据、第三方接入码以及OpenID;向所述iOS系统第三方应用返回所述用户验证结果以及所述MSISDN;所述安全服务平台装置还用于:解密接收到的所述第四用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述iOS系统第三方应用一致性以及移动终端一致性,然后将所述ICCID-IMSI-IMEI的绑定关系数据与本地记录比对以便于验证用户身份信息,若验证通过则向所述SDK返回所述用户验证结果以及所述MSISDN。
根据本发明的第五个方面,提供了一种面向移动用户的身份验证方法,适用于第三方web业务平台交互情景,包括:安全服务卡应用装置向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;所述安全服务平台装置保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;所述安全服务平台装置接收到所述第三方web业务平台发出的应用注册请求之后,向所述第三方web业务平台分配第三方接入码;所述安全服务平台装置接收所述第三方web业务平台发出的用户登录请求,其中所述用户登录请求包括第三方接入码和MSISDN;所述安全服务平台装置根据所述第三方接入码和MSISDN进行内部鉴权,鉴权通过后通过短信通道向安全服务卡应用装置推送身份验证信息;所述安全服务卡应用装置接收所述身份验证信息,并通过主动式命令控制移动终端向用户展示;所述安全服务卡应用装置在接收到用户确认指令之后,向所述安全服务平台装置发送用户确认结果;所述安全服务平台装置根据所述用户确认结果,向所述第三方web业务平台发送身份验证结果和OpenID。
根据本发明的第六个方面,提供了一种面向移动用户的身份验证系统,适用于第三方web业务平台交互情景,包括:安全服务卡应用装置和安全服务平台装置,所述安全服务卡应用装置用于:向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;接收所述身份验证信息,并通过主动式命令控制移动终端向用户展示;在接收到用户确认指令之后,向所述安全服务平台装置发送用户确认结果;所述安全服务平台装置用于:保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;接收到所述第三方web业务平台发出的应用注册请求之后,向所述第三方web业务平台分配第三方接入码;接收所述第三方web业务平台发出的用户登录请求,其中所述用户登录请求包括第三方接入码和MSISDN;根据所述第三方接入码和MSISDN进行内部鉴权,鉴权通过后通过短信通道向安全服务卡应用装置推送身份验证信息;根据所述用户确认结果,向所述第三方web业务平台发送身份验证结果和OpenID。
根据本发明的技术方案,至少具有如下有益效果。
(1)使用方便。用户无需记忆密码,只需输入手机号码,便可完成APP注册及登陆过程。区别于第三方授权登录方案,本发明并非是向第三方应用方提供用户的个人信息以确认用户身份,而是为其提供一种依托手机智能卡硬件的快速持卡人身份验证方案,即可以有效保护用户的个人隐私信息,又无需依赖用户已注册的任何账号便可准确、高效地完成身份核实,实现无密快捷注册和登录操作。
(2)安全性高。通过手机智能卡应用的动态终端检测技术,可以及时更新服务器所存储的卡片与终端的绑定关系,确保用户身份的可靠性与安全性。此外,由于服务器与智能卡之间采用的是芯片级的短信安全通信协议,因此相较传统的短信验证码方式,避免了推送信息被手机端应用层APP所拦截、破解和仿冒回复的情况,极大的提高了业务安全性。
(3)成本低。由于采用了“逆向认证技术”,用户的绑定信息通过卡片采集并与服务器实时同步。与传统短信验证码登录相比,无需每次登录都需要进行短信动态码验证,因此可节省大量的电信运营商短信通道资费,以达到节约运营成本的目的。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施方式的适用于Andriod系统第三方应用交互情景的面向移动用户的身份验证方法的基本步骤的示意图;
图2是根据本发明实施方式的适用于Andriod系统第三方应用交互情景的面向移动用户的身份验证系统的基本模块的示意图;
图3是图2所示的面向移动用户的身份验证系统的工作时序图;
图4是根据本发明实施方式的适用于iOS系统第三方应用交互情景的面向移动用户的身份验证方法的基本步骤的示意图;
图5是根据本发明实施方式的适用于iOS系统第三方应用交互情景的面向移动用户的身份验证系统的基本模块的示意图;
图6是图5所示的面向移动用户的身份验证系统的工作时序图;
图7是根据本发明实施方式的适用于第三方web业务平台交互情景的面向移动用户的身份验证方法的基本步骤的示意图;
图8是根据本发明实施方式的适用于第三方web业务平台交互情景的面向移动用户的身份验证系统的基本模块的示意图;
图9是图8所示的面向移动用户的身份验证系统的工作时序图。
具体实施方式
以下结合附图对本发明的示范性实施方式做出说明,其中包括本发明实施方式的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施方式做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。为了使本领域技术人员更好地理解,现对部分名词术语解释如下:
安全服务卡应用装置:是一个安全芯片卡上的特殊应用程序,该安全芯片卡以可插拔形式或内嵌芯片形式安装在移动终端内使用。该装置相当于安全服务平台装置所对应的客户端。
安全服务平台装置:相当于安全服务卡应用装置所对应的服务器。
SDK:Software Development Kit,在本发明中代表安全服务平台代理装置,为移动终端APP与安全服务平台装置提供安全通信的桥梁。
MSISDN:Mobile Subscriber International ISDN/PSTN number,即用户手机号码。
IMSI:International Mobile Subscriber Identification Number,即国际移动用户识别码。
IMEI:International Mobile Equipment Identity,即移动终端串码。
ICCID:Integrated Circuit Card Identifier,即集成电路卡识别码。
KeyChain:iOS系统特有的提供给APP的密钥管理系统。可以理解为iOS系统替APP将敏感数据保存在移动终端的内存上。
API:Application Programming Interface,即应用程序编程接口。
图1是根据本发明实施方式的适用于Andriod系统第三方应用交互情景(包括免密注册与登录、以OpenID为基准进行自有账号创建或关联等情景)的面向移动用户的身份验证方法的基本步骤的示意图。如图1所示,该实施方式的方法可以包括如下的步骤101至步骤108。
步骤101:安全服务卡应用装置向安全服务平台装置发出的卡注册请求,卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID。需要补充说明的是,在移动终端开机和卡片热插拔时,安全服务卡应用装置检测用户终端是否变更并与安全服务平台装置保持信息同步;接收安全服务平台装置发送的身份验证信息,并通过主动式命令控制移动终端向用户展示;同时在接收到用户确认指令之后,向安全服务平台装置发送用户确认结果。
步骤102:安全服务平台装置保存MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向安全服务卡应用装置发出卡注册成功通知。
步骤103:安全服务平台装置接收到Andriod系统第三方应用发出的应用注册请求之后,向Andriod系统第三方应用分配第三方接入码。
步骤104:安全服务平台代理装置SDK接收来自Andriod系统第三方应用的第一调用指令,其中第一调用指令是由Andriod系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,第一调用指令的携带信息包括MSISDN和第三方接入码。
步骤105:SDK确认当前移动终端的移动网络状态正常并且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的IMSI、IMEI以及ICCID。
步骤106:SDK向安全服务平台装置加密传输第一用户身份验证请求,第一用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、MSISDN、IMSI、IMEI、ICCID以及第三方接入码。
步骤107:安全服务平台装置解密接收到的第一用户身份验证请求,根据SDK的版本号和SDK的ID号确认SDK合法,确认第三方接入码合法,确认MSISDN有效,然后将当前的MSISDN、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则生成每个用户在每个Andriod系统第三方应用的唯一的用户身份标识码OpenID,然后向SDK返回用户验证结果和OpenID。
步骤108:SDK向Andriod系统第三方应用返回用户验证结果和OpenID。需要说明的是,Andriod系统第三方应用可以根据该用户验证结果允许用户免注册免密码登录,以及Andriod系统第三方应用应以OpenID为基准,进行自有系统账号的创建或关联。
在本发明的实施方式中,在步骤108之后还可以包括如下的步骤109至步骤113(图1中并未示出)。
步骤109:SDK接收来自Andriod系统第三方应用的第二调用指令,其中第二调用指令是由Andriod系统第三方应用接收到用户二次登录指令之后发出的,第二调用指令携带OpenID和第三方接入码。
步骤110:SDK确认当前移动终端的移动网络状态正常并且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的IMSI、IMEI以及ICCID。
步骤111:SDK向安全服务平台装置加密传输第二用户身份验证请求,第二用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、OpenID、IMSI、IMEI、ICCID以及第三方接入码。
步骤112:安全服务平台装置通过SDK版本号区分当前移动终端是Android系统还,是iOS系统;通过SDK的ID号,检查当前SDK的合法性;通过第三方接入码,检查发送请求的第三方应用的合法性;通过MSISDN,检查目标用户(卡片)是否已在平台注册;通过对比同一个第三方接入码的前后两次验证请求所携带的SDK的ID号是否一致,检查发出两次请求的第三方应用是否为同一个;通过对比前后两次验证请求所携带的IMEI是否一致,检查发出两次请求的移动终端是否为同一个。若一致性检测相同,则安全服务平台装置会将当前的OpenID、IMSI、IMEI及ICCID的绑定关系与本地记录进行对比以验证用户的持卡人身份。若一致性检测不相同,则安全服务平台装置会通过安全服务卡应用装置向用户发送验证弹窗获取用户的登录授权。完成验证安全服务平台装置会向SDK返回验证结果和MSISDN。
步骤113:SDK向Andriod系统第三方应用返回用户验证结果和MSISDN。Andriod系统第三方应用可以根据该用户验证结果,允许用户免注册免密码登。需要说明的是,对于用户更换手机号的情况,返回的MSISDN可能有两个,一个旧MSISDN,一个新MSISDN,需要Andriod系统第三方应用加以识别和处理。
需要说明的是,步骤112中的一致性校验不通过时,还需要将当前登录标记为临时登录。临时登录也算验证成功,只不过下一次登录时还是需要再次进行弹窗验证。还需要说明的是,二次登录阶段中也允许以MSISDN为依据进行认证登录,具体过程与步骤109至步骤113的过程相近,只是将涉及“OpenID”之处改写成“MSISDN”,并且涉及“MSISDN”之处改写成“OpenID”即可(具体可参考图3)。
图2是根据本发明实施方式的适用于Andriod系统第三方应用交互情景的面向移动用户的身份验证系统的基本模块的示意图。如图2所示,该实施方式的面向移动用户的身份验证系统20可以包括:安全服务卡应用装置201、安全服务平台装置202和安全服务平台代理装置(即SDK)203。
安全服务卡应用装置201用于:向安全服务平台装置202发出的卡注册请求,卡注册请求中包括安全服务卡应用装置201对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID。需要补充说明的是,安全服务卡应用装置201还用于:在移动终端开机和卡片热插拔时,检测用户终端是否变更并与安全服务平台装置202保持信息同步;接收安全服务平台装置202发送的身份验证信息,并通过主动式命令控制移动终端向用户展示;同时在接收到用户确认指令之后,向安全服务平台装置202发送用户确认结果。
安全服务平台装置202用于:保存MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向安全服务卡应用装置201发出卡注册成功通知;接收到Andriod系统第三方应用发出的应用注册请求之后,向Andriod系统第三方应用分配第三方接入码;解密接收到的第一用户身份验证请求,根据SDK的版本号和SDK的ID号确认SDK合法,确认第三方接入码合法,确认MSISDN有效,然后将当前的MSISDN、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则生成每个用户在每个Andriod系统第三方应用的唯一的用户身份标识码OpenID,然后向SDK203返回用户验证结果和OpenID。
SDK 203用于:接收来自Andriod系统第三方应用的第一调用指令,其中第一调用指令是由Andriod系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,第一调用指令的携带信息包括MSISDN和第三方接入码;确认当前移动终端的移动网络状态正常并且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的IMSI、IMEI以及ICCID;向安全服务平台装置202加密传输第一用户身份验证请求,第一用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、MSISDN、IMSI、IMEI、ICCID以及第三方接入码;向Andriod系统第三方应用返回用户验证结果和OpenID。
根据本发明的实施方式,SDK203还可以用于:接收来自Andriod系统第三方应用的第二调用指令,其中第二调用指令是由Andriod系统第三方应用接收到用户二次登录指令之后发出的,第二调用指令的携带信息包括OpenID(或MSISDN)和第三方接入码;确认当前移动终端的移动网络状态正常并且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的IMSI、IMEI以及ICCID;向安全服务平台装置202加密传输第二用户身份验证请求,第二用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、OpenID(或MSISDN)、IMSI、IMEI、ICCID以及第三方接入码;向Andriod系统第三方应用返回用户验证结果和MSISDN(或OpenID)。并且,安全服务平台装置202还可以用于:解密接收到的第二用户身份验证请求,根据SDK的版本号和SDK的ID号确认SDK合法,确认第三方接入码合法,确认MSISDN有效,确认连续两次登录验证的Andriod系统第三方应用一致性以及移动终端一致性,然后将当前的OpenID(或MSISDN)、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则向SDK 203返回用户验证结果和MSISDN(或OpenID)。
为使公众更好地理解上述的适用于Andriod系统第三方应用交互情景的面向移动用户的身份验证方法和系统,可以参考图3。
需要说明的是,本发明的所有面向移动用户的身份验证方法(无论是适用于Andriod系统第三方应用、iOS系统第三方应用还是第三方web业务平台)都会经历完全相同的卡注册阶段,其具体流程说明如下:
(1)确保用户卡中已加载安全服务应用装置。用户插卡开机(含开机热插拔卡的情况),移动终端将按照电信国际标准去激活卡片。
(2)卡片收到终端的开机通知,则激活卡中的安全服务应用。应用激活后,将启动开机处理流程(以下操作不分先后顺序):A.检查激活状态:通过应用程序中的一个状态标识进行判定。B.检查终端信息:每次插卡开机时,安全服务应用都会向终端发送主动式命令(一种机卡通信的底层交互指令,参见电信国际标准《ETSI TS 102 223》),以获取终端的标识信息(包括但不限于:IMEI,国际移动设备标识)并进行存储。因此只要对每次新获取的终端标识信息与应用中已存储的终端标识信息比较,便可判定出两次插卡的移动终端是否是同一台。对于未激活的安全服务应用,其内置的终端标识信息为空。C.检查卡片信息:对于未激活安全服务应用,在首次运行时会从卡片中获取卡片标识信息(包括但不限于:ICCID、IMSI等)。获取方法包括但不限于:读取卡片文件、通过卡片API获取等。
(3)上行卡片注册信息,根据上述检查结果:A.当应用处于未激活状态:则对获取的卡片和终端标识信息进行安全报文封装(通过卡应用预置密钥进行加密),并通过短信通道上行至安全服务平台。B.当应用处于终端变更状态:则对获取到的终端标识信息进行安全报文封装(通过卡应用预置密钥进行加密),并通过短信通道上行至安全服务平台。
(4)安全服务平台收到卡应用的上行注册信息后,通过预置密钥进行报文解析,并作以下处理:A.若为新应用激活信息,则通过手机号、终端标识信息、卡片标识信息,在平台数据库中建用户、手机卡和终端三者的对应关系。平台为该用户分配一个唯一的用户标识符,并动态生成若干把业务密钥。这些数据都会利用安全短信技术,下推到用户的安全服务应用中,并由此完成应用的初始化工作。B.若为终端更换通知信息,则根据手机号找到该用户的关系表并更新终端标识信息。
图4是根据本发明实施方式的适用于iOS系统第三方应用交互情景的面向移动用户的身份验证方法的基本步骤的示意图。如图4所示,该实施方式的方法可以包括如下的步骤401至步骤410。
步骤401:安全服务卡应用装置向安全服务平台装置发出的卡注册请求,卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID。需要补充说明的是,在移动终端开机和卡片热插拔时,安全服务卡应用装置检测用户终端是否变更并与安全服务平台装置保持信息同步;接收安全服务平台装置发送的身份验证信息,并通过主动式命令控制移动终端向用户展示;同时在接收到用户确认指令之后,向安全服务平台装置发送用户确认结果。
步骤402:安全服务平台装置保存MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向安全服务卡应用装置发出卡注册成功通知。
步骤403:安全服务平台装置接收到iOS系统第三方应用发出的应用注册请求之后,向iOS系统第三方应用分配第三方接入码。
步骤404:安全服务平台代理装置SDK接收来自iOS系统第三方应用的第三调用指令,其中第三调用指令是由iOS系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,第三调用指令的携带信息包括MSISDN和第三方接入码。
步骤405:SDK确认当前移动终端的移动网络状态正常,然后向安全服务平台装置加密传输第三用户身份验证请求,第三用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、MSISDN和第三方接入码。
步骤406:安全服务平台装置解密接收到的第三用户身份验证请求,根据SDK的版本号和SDK的ID号确认SDK合法,确认第三方接入码合法以及确认MSISDN有效,然后通过短信通道向安全服务卡应用装置发送用户授权邀请报文,以使安全服务卡应用装置控制移动终端的屏幕向用户呈现用户授权邀请信息。
步骤407:安全服务卡应用装置接收到移动终端传递的用户确认授权指令之后,向安全服务平台装置发送用户确认授权报文。
步骤408:安全服务平台装置生成每个用户在每个iOS系统第三方应用的唯一的用户身份标识码OpenID,然后根据MSISDN查找对应的ICCID-IMSI-IMEI的绑定关系数据然后生成用户令牌。
步骤409:安全服务平台装置向SDK返回用户验证结果、OpenID和用户令牌。
步骤410:SDK将用户令牌加密后以密文形式保存在KeyChain中,并且向iOS系统第三方应用返回用户验证结果和OpenID。需要说明的是,iOS系统第三方应用可以根据该用户验证结果允许用户免注册免密码登录,以及iOS系统第三方应用应以OpenID为基准,进行自有系统账号的创建或关联。
在本发明的实施方式中,在步骤410之后还可以包括如下的步骤411至步骤114(图4中并未示出)。
步骤411:SDK接收来自iOS系统第三方应用的第四调用指令,其中第四调用指令是由iOS系统第三方应用接收到用户二次登录指令之后发出的,第四调用指令的携带信息包括OpenID和第三方接入码。
步骤412:SDK确认当前移动终端的移动网络状态正常,然后从KeyChain中读取并解密得到明文的用户令牌,并在用户令牌中检索OpenID对应的ICCID-IMSI-IMEI的绑定关系数据,然后向安全服务平台装置加密传输第四用户身份验证请求,第四用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、MSISDN、ICCID-IMSI-IMEI的绑定关系数据、第三方接入码以及OpenID。
步骤413:安全服务平台装置解密接收到的第四用户身份验证请求,通过SDK版本号区分当前移动终端是Android系统还,是iOS系统;通过SDK的ID号,检查当前SDK的合法性;通过第三方接入码,检查发送请求的第三方应用的合法性;通过MSISDN,检查目标用户(卡片)是否已在平台注册;通过对比同一个第三方接入码的前后两次验证请求所携带的SDK的ID号是否一致,检查发出两次请求的第三方应用是否为同一个;通过对比前后两次验证请求所携带的IMEI是否一致,检查发出两次请求的移动终端是否为同一个。若一致性检测为相同,则安全服务平台装置会将ICCID-IMSI-IMEI的绑定关系数据与本地记录进行对比以验证用户的持卡人身份。然后向SDK返回验证结果和MSISDN(或OpenID);若一致性检测为不相同,则安全服务平台装置会通过安全服务卡应用装置向用户下发登录授权邀请报文,若收到用户的授权确认信息,则安全服务平台装置检索该用户的MSISDN、OpenID及ICCID-IMSI-IMEI的绑定关系数据,生成新的用户令牌,然后向SDK发送授权验证结果和新的用户令牌。
步骤414:SDK向iOS系统第三方应用返回用户验证结果以及MSISDN。iOS系统第三方应用可以根据该用户验证结果,允许用户免注册免密码登录。需要说明的是,对于用户更换手机号的情况,返回的MSISDN可能有两个,一个旧MSISDN,一个新MSISDN,需要iOS系统第三方应用加以识别和处理。
需要说明的是,二次登录阶段中也允许以MSISDN为依据进行认证登录,具体过程与步骤411至步骤414的过程相近,只是将涉及“OpenID”之处改写成“MSISDN”,并且涉及“MSISDN”之处改写成“OpenID”即可(具体可参考图6)。
图5是根据本发明实施方式的适用于iOS系统第三方应用交互情景的面向移动用户的身份验证系统的基本模块的示意图。如图5所示,该实施方式的面向移动用户的身份验证系统50可以包括:安全服务卡应用装置501、安全服务平台装置502和安全服务平台代理装置(即SDK)503。
安全服务卡应用装置501用于:向安全服务平台装置502发出的卡注册请求,卡注册请求中包括安全服务卡应用装置501对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;接收到移动终端传递的用户确认授权指令之后,向安全服务平台装置502发送用户确认授权报文。需要补充说明的是,安全服务卡应用装置501还用于:在移动终端开机和卡片热插拔时,检测用户终端是否变更并与安全服务平台装置502保持信息同步;接收安全服务平台装置502发送的身份验证信息,并通过主动式命令控制移动终端向用户展示;同时在接收到用户确认指令之后,向安全服务平台装置502发送用户确认结果。
安全服务平台装置502用于:保存MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向安全服务卡应用装置501发出卡注册成功通知;接收到iOS系统第三方应用发出的应用注册请求之后,向iOS系统第三方应用分配第三方接入码;解密接收到的第三用户身份验证请求,根据SDK的版本号和SDK的ID号确认SDK合法,确认第三方接入码合法以及确认MSISDN有效,然后通过短信通道向安全服务卡应用装置501发送用户授权邀请报文,以使安全服务卡应用装置501控制移动终端的屏幕向用户呈现用户授权邀请信息;生成每个用户在每个iOS系统第三方应用的唯一的用户身份标识码OpenID,然后根据MSISDN查找对应的ICCID-IMSI-IMEI的绑定关系数据然后生成用户令牌;向SDK 503返回用户验证结果、OpenID和用户令牌。
SDK 503用于:接收来自iOS系统第三方应用的第三调用指令,其中第三调用指令是由iOS系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,第三调用指令的携带信息包括MSISDN和第三方接入码;确认当前移动终端的移动网络状态正常,然后向安全服务平台装置502加密传输第三用户身份验证请求,第三用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、MSISDN和第三方接入码;将用户令牌加密后以密文形式保存在KeyChain中,并且向iOS系统第三方应用返回用户验证结果和OpenID。
根据本发明的实施方式,SDK 503还可以用于:接收来自iOS系统第三方应用的第四调用指令,其中第四调用指令是由iOS系统第三方应用接收到用户二次登录指令之后发出的,第四调用指令的携带信息包括OpenID(或MSISDN)和第三方接入码;确认当前移动终端的移动网络状态正常,然后从KeyChain中读取并解密得到明文的用户令牌,并在用户令牌中检索OpenID(或MSISDN)对应的ICCID-IMSI-IMEI的绑定关系数据,然后向安全服务平台装置502加密传输第四用户身份验证请求,第四用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、MSISDN、ICCID-IMSI-IMEI的绑定关系数据、第三方接入码以及OpenID;向iOS系统第三方应用返回用户验证结果以及MSISDN。并且,安全服务平台装置502还可以用于:解密接收到的第四用户身份验证请求,根据SDK的版本号和SDK的ID号确认SDK合法,确认第三方接入码合法,确认MSISDN有效,确认连续两次登录验证的iOS系统第三方应用一致性以及移动终端一致性,然后将ICCID-IMSI-IMEI的绑定关系数据与本地记录比对以便于验证用户身份信息,若验证通过则向SDK 503返回用户验证结果以及MSISDN(或OpenID)。
为使公众更好地理解上述的适用于iOS系统第三方应用交互情景的面向移动用户的身份验证方法和系统,可以参考图6。
图7是根据本发明实施方式的适用于第三方web业务平台交互情景的面向移动用户的身份验证方法的基本步骤的示意图。如图7所示,该实施方式的方法可以包括如下的步骤701至步骤708。
步骤701:安全服务卡应用装置向安全服务平台装置发出的卡注册请求,卡注册请求中包括用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID。
步骤702:安全服务平台装置保存MSISDN、IMEI以及ICCID的绑定关系,然后向安全服务卡应用装置发出卡注册成功通知。
步骤703:安全服务平台装置接收到第三方web业务平台发出的应用注册请求之后,向第三方web业务平台分配第三方接入码。
步骤704:安全服务平台装置接收第三方web业务平台发出的用户登录请求,其中用户登录请求包括第三方接入码和MSISDN。
步骤705:安全服务平台装置根据第三方接入码和MSISDN进行内部鉴权,鉴权通过后通过短信通道向安全服务卡应用装置推送身份验证信息。
步骤706:安全服务卡应用装置接收身份验证信息,并通过主动式命令控制移动终端向用户展示;
步骤707:安全服务卡应用装置在接收到用户确认指令之后,向安全服务平台装置发送用户确认结果;
步骤708:安全服务平台装置根据用户确认结果,向第三方web业务平台发送身份验证结果和OpenID。
图8是根据本发明实施方式的适用于第三方web业务平台交互情景的面向移动用户的身份验证系统的基本模块的示意图。如图8所示,该实施方式的面向移动用户的身份验证系统80可以包括:安全服务卡应用装置801、安全服务平台装置802。
安全服务卡应用装置801用于:向安全服务平台装置802发出的卡注册请求,卡注册请求中包括用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;接收身份验证信息,并通过主动式命令控制移动终端向用户展示;在接收到用户确认指令之后,向安全服务平台装置802发送用户确认结果。
安全服务平台装置802用于:保存MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向安全服务卡应用装置801发出卡注册成功通知;接收到第三方web业务平台发出的应用注册请求之后,向第三方web业务平台分配第三方接入码;接收第三方web业务平台发出的用户登录请求,其中用户登录请求包括第三方接入码和MSISDN;根据第三方接入码和MSISDN进行内部鉴权,鉴权通过后通过短信通道向安全服务卡应用装置801推送身份验证信息;根据用户确认结果,向第三方web业务平台发送身份验证结果和OpenID。
为使公众更好地理解上述的适用于第三方web业务平台交互情景的面向移动用户的身份验证方法和系统,可以参考图9。
由上可知,本发明实施方式的面向移动用户的身份验证方法和系统至少具有使用方便、安全性高、成本低等优点。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种面向移动用户的身份验证方法,其特征在于,适用于Andriod系统第三方应用交互情景,包括:
安全服务卡应用装置向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;
所述安全服务平台装置保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;
所述安全服务平台装置接收到所述Andriod系统第三方应用发出的应用注册请求之后,向所述Andriod系统第三方应用分配第三方接入码;
安全服务平台代理装置SDK接收来自所述Andriod系统第三方应用的第一调用指令,其中所述第一调用指令是由所述Andriod系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第一调用指令的携带信息包括所述MSISDN和第三方接入码;
所述SDK确认当前移动终端的移动网络状态正常且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;
所述SDK向所述安全服务平台装置加密传输第一用户身份验证请求,所述第一用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、所述MSISDN、IMSI、IMEI、ICCID以及第三方接入码;
所述安全服务平台装置解密接收到的所述第一用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,然后将当前的所述MSISDN、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便验证用户身份信息,若验证通过则生成每个用户在每个Andriod系统第三方应用的唯一的用户身份标识码OpenID,然后向所述SDK返回用户验证结果和所述OpenID;
所述SDK向所述Andriod系统第三方应用返回所述用户验证结果和OpenID。
2.根据权利要求1所述的面向移动用户的身份验证方法,其特征在于,在所述SDK向所述Andriod系统第三方应用返回所述用户验证结果和OpenID的步骤之后,还包括:
所述SDK接收来自所述Andriod系统第三方应用的第二调用指令,其中所述第二调用指令是由所述Andriod系统第三方应用接收到用户二次登录指令之后发出的,所述第二调用指令的携带信息包括所述OpenID和第三方接入码;
所述SDK确认当前移动终端的移动网络状态正常且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;
所述SDK向所述安全服务平台装置加密传输第二用户身份验证请求,所述第二用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、OpenID、IMSI、IMEI、ICCID以及第三方接入码;
所述安全服务平台装置解密接收到的所述第二用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述Andriod系统第三方应用一致性以及移动终端一致性,然后将当前的所述OpenID、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则向所述SDK返回用户验证结果和所述MSISDN;
所述SDK向所述Andriod系统第三方应用返回用户验证结果和所述MSISDN。
3.一种面向移动用户的身份验证系统,其特征在于,适用于Andriod系统第三方应用交互情景,包括:安全服务卡应用装置、安全服务平台装置和安全服务平台代理装置SDK,
所述安全服务卡应用装置用于:向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;
所述安全服务平台装置用于:保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;接收到所述Andriod系统第三方应用发出的应用注册请求之后,向所述Andriod系统第三方应用分配第三方接入码;解密接收到的第一用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,然后将当前的所述MSISDN、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则生成每个用户在每个Andriod系统第三方应用的唯一的用户身份标识码OpenID,然后向所述SDK返回用户验证结果和所述OpenID;
所述SDK用于:接收来自所述Andriod系统第三方应用的第一调用指令,其中所述第一调用指令是由所述Andriod系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第一调用指令的携带信息包括所述MSISDN和第三方接入码;确认当前移动终端的移动网络状态正常并且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;向所述安全服务平台装置加密传输第一用户身份验证请求,所述第一用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、所述MSISDN、IMSI、IMEI、ICCID以及第三方接入码;向所述Andriod系统第三方应用返回所述用户验证结果和OpenID。
4.根据权利要求3所述的面向移动用户的身份验证系统,其特征在于,
所述SDK还用于:接收来自所述Andriod系统第三方应用的第二调用指令,其中所述第二调用指令是由所述Andriod系统第三方应用接收到用户二次登录指令之后发出的,所述第二调用指令的携带信息包括所述OpenID和第三方接入码;确认当前移动终端的移动网络状态正常且未被获取系统ROOT权限,然后通过Andriod系统提供的API获取当前的所述IMSI、IMEI以及ICCID;向所述安全服务平台装置加密传输第二用户身份验证请求,所述第二用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、OpenID、IMSI、IMEI、ICCID以及第三方接入码;向所述Andriod系统第三方应用返回用户验证结果和所述MSISDN;
所述安全服务平台装置还用于:解密接收到的所述第二用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述Andriod系统第三方应用一致性以及移动终端一致性,然后将当前的所述OpenID、IMSI、IMEI以及ICCID的对应关系与本地记录比对以便于验证用户身份信息,若验证通过则向所述SDK返回用户验证结果和所述MSISDN。
5.一种面向移动用户的身份验证方法,其特征在于,适用于iOS系统第三方应用交互情景,包括:
安全服务卡应用装置向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;
所述安全服务平台装置保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;
所述安全服务平台装置接收到所述iOS系统第三方应用发出的应用注册请求之后,向所述iOS系统第三方应用分配第三方接入码;
安全服务平台代理装置SDK接收来自所述iOS系统第三方应用的第三调用指令,其中所述第三调用指令是由所述iOS系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第三调用指令的携带信息包括所述MSISDN和第三方接入码;
所述SDK确认当前移动终端的移动网络状态正常,然后向所述安全服务平台装置加密传输第三用户身份验证请求,所述第三用户身份验证请求的携带信息包括SDK的版本号、SDK的ID号、所述MSISDN和第三方接入码;
所述安全服务平台装置解密接收到的第三用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法以及确认所述MSISDN有效,然后通过短信通道向所述安全服务卡应用装置发送用户授权邀请报文,以使所述安全服务卡应用装置控制移动终端的屏幕向用户呈现用户授权邀请信息;
所述安全服务卡应用装置接收到移动终端传递的用户确认授权指令之后,向所述安全服务平台装置发送用户确认授权报文;
所述安全服务平台装置生成每个用户在每个iOS系统第三方应用的唯一的用户身份标识码OpenID,然后根据MSISDN查找对应的ICCID-IMSI-IMEI的绑定关系数据然后生成用户令牌;
所述安全服务平台装置向所述SDK返回用户验证结果、所述OpenID和用户令牌;
所述SDK将所述用户令牌加密后以密文形式保存在iOS系统提供的KeyChain中,并且向所述iOS系统第三方应用返回用户验证结果和OpenID。
6.根据权利要求5所述的面向移动用户的身份验证方法,其特征在于,在所述SDK将所述用户令牌加密后以密文形式保存在iOS系统提供的KeyChain中,并且向所述iOS系统第三方应用返回用户验证结果和OpenID的步骤之后,还包括:
所述SDK接收来自所述iOS系统第三方应用的第四调用指令,其中所述第四调用指令是由所述iOS系统第三方应用接收到用户二次登录指令之后发出的,第四调用指令的携带信息包括所述OpenID和第三方接入码;
所述SDK确认当前移动终端的移动网络状态正常,然后从所述KeyChain中读取并解密得到明文的所述用户令牌,并在用户令牌中检索所述OpenID对应的ICCID-IMSI-IMEI的绑定关系数据,然后向所述安全服务平台装置加密传输第四用户身份验证请求,所述第四用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、MSISDN、ICCID-IMSI-IMEI的绑定关系数据、第三方接入码以及OpenID;
所述安全服务平台装置解密接收到的所述第四用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述iOS系统第三方应用一致性以及移动终端一致性,然后将所述ICCID-IMSI-IMEI的绑定关系数据与本地记录比对以便验证用户身份信息,若验证通过则向所述SDK返回所述用户验证结果以及所述MSISDN;
所述SDK向所述iOS系统第三方应用返回所述用户验证结果以及所述MSISDN。
7.一种面向移动用户的身份验证系统,其特征在于,适用于iOS系统第三方应用交互情景,包括:安全服务卡应用装置、安全服务平台装置和安全服务平台代理装置SDK,
所述安全服务卡应用装置用于:向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括安全服务卡应用装置对应的用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;接收到移动终端传递的用户确认授权指令之后,向所述安全服务平台装置发送用户确认授权报文;
所述安全服务平台装置用于:保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;接收到所述iOS系统第三方应用发出的应用注册请求之后,向所述iOS系统第三方应用分配第三方接入码;解密接收到的第三用户身份验证请求,根据SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法以及确认所述MSISDN有效,然后通过短信通道向所述安全服务卡应用装置发送用户授权邀请报文,以使所述安全服务卡应用装置控制移动终端的屏幕向用户呈现用户授权邀请信息;生成每个用户在每个iOS系统第三方应用的唯一的用户身份标识码OpenID,然后根据所述MSISDN查找对应的IMSI、ICCID和IMEI的对应关系数据然后生成用户令牌;向所述SDK返回用户验证结果、所述OpenID和用户令牌;
所述SDK用于:接收来自所述iOS系统第三方应用的第三调用指令,其中所述第三调用指令是由所述iOS系统第三方应用接收到用户首次登录指令和外界输入的MSISDN之后发出的,所述第三调用指令的携带信息包括所述MSISDN和第三方接入码;确认当前移动终端的移动网络状态正常,然后向所述安全服务平台装置加密传输第三用户身份验证请求,所述第三用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、MSISDN和第三方接入码;将所述用户令牌加密后以密文形式保存在iOS系统提供的KeyChain中,并且向所述iOS系统第三方应用返回用户验证结果和OpenID。
8.根据权利要求7所述的面向移动用户的身份验证系统,其特征在于,
所述SDK还用于:接收来自所述iOS系统第三方应用的第四调用指令,其中所述第四调用指令是由所述iOS系统第三方应用接收到用户二次登录指令之后发出的,第四调用指令的携带信息包括所述OpenID和第三方接入码;确认当前移动终端的移动网络状态正常,然后从所述KeyChain中读取并解密得到明文的所述用户令牌,并在用户令牌中检索所述OpenID对应的ICCID-IMSI-IMEI的绑定关系数据,然后向所述安全服务平台装置加密传输第四用户身份验证请求,所述第四用户身份验证请求的携带信息包括所述SDK的版本号、SDK的ID号、MSISDN、ICCID-IMSI-IMEI的绑定关系数据、第三方接入码以及OpenID;向所述iOS系统第三方应用返回所述用户验证结果以及所述MSISDN;
所述安全服务平台装置还用于:解密接收到的所述第四用户身份验证请求,根据所述SDK的版本号和SDK的ID号确认所述SDK合法,确认所述第三方接入码合法,确认所述MSISDN有效,确认连续两次登录验证的所述iOS系统第三方应用一致性以及移动终端一致性,然后将所述ICCID-IMSI-IMEI的绑定关系数据与本地记录比对以便于验证用户身份信息,若验证通过则向所述SDK返回所述用户验证结果以及所述MSISDN。
9.一种面向移动用户的身份验证方法,其特征在于,适用于第三方web业务平台交互情景,包括:
安全服务卡应用装置向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;
所述安全服务平台装置保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;
所述安全服务平台装置接收到所述第三方web业务平台发出的应用注册请求之后,向所述第三方web业务平台分配第三方接入码;
所述安全服务平台装置接收所述第三方web业务平台发出的用户登录请求,其中所述用户登录请求包括第三方接入码和MSISDN;
所述安全服务平台装置根据所述第三方接入码和MSISDN进行内部鉴权,鉴权通过后通过短信通道向安全服务卡应用装置推送身份验证信息;
所述安全服务卡应用装置接收所述身份验证信息,并通过主动式命令控制移动终端向用户展示;
所述安全服务卡应用装置在接收到用户确认指令之后,向所述安全服务平台装置发送用户确认结果;
所述安全服务平台装置根据所述用户确认结果,向所述第三方web业务平台发送身份验证结果和OpenID。
10.一种面向移动用户的身份验证系统,其特征在于,适用于第三方web业务平台交互情景,包括:安全服务卡应用装置和安全服务平台装置,
所述安全服务卡应用装置用于:向安全服务平台装置发出的卡注册请求,所述卡注册请求中包括用户手机号码MSISDN、国际移动用户识别码IMSI、移动终端串码IMEI和集成电路卡识别码ICCID;接收所述身份验证信息,并通过主动式命令控制移动终端向用户展示;在接收到用户确认指令之后,向所述安全服务平台装置发送用户确认结果;
所述安全服务平台装置用于:保存所述MSISDN、IMSI、IMEI以及ICCID的绑定关系,然后向所述安全服务卡应用装置发出卡注册成功通知;接收到所述第三方web业务平台发出的应用注册请求之后,向所述第三方web业务平台分配第三方接入码;接收所述第三方web业务平台发出的用户登录请求,其中所述用户登录请求包括第三方接入码和MSISDN;根据所述第三方接入码和MSISDN进行内部鉴权,鉴权通过后通过短信通道向安全服务卡应用装置推送身份验证信息;根据所述用户确认结果,向所述第三方web业务平台发送身份验证结果和OpenID。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610792258.9A CN106304074B (zh) | 2016-08-31 | 2016-08-31 | 面向移动用户的身份验证方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610792258.9A CN106304074B (zh) | 2016-08-31 | 2016-08-31 | 面向移动用户的身份验证方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106304074A CN106304074A (zh) | 2017-01-04 |
CN106304074B true CN106304074B (zh) | 2019-08-16 |
Family
ID=57674044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610792258.9A Active CN106304074B (zh) | 2016-08-31 | 2016-08-31 | 面向移动用户的身份验证方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106304074B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107689870B (zh) * | 2017-08-29 | 2021-02-02 | 杭州绿湾网络科技有限公司 | 客户端鉴权方法和系统 |
US10586033B2 (en) * | 2017-08-29 | 2020-03-10 | International Business Machines Corporation | Automatic upgrade from one step authentication to two step authentication via application programming interface |
CN108134770A (zh) * | 2017-10-19 | 2018-06-08 | 黄策 | 验证短信的应用级防盗方法 |
CN109089264A (zh) * | 2018-08-02 | 2018-12-25 | 江苏满运软件科技有限公司 | 一种移动终端免密登录的方法及系统 |
CN108989346B (zh) * | 2018-08-30 | 2021-03-16 | 上海同态信息科技有限责任公司 | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 |
CN109977126B (zh) * | 2018-10-25 | 2023-08-15 | 创新先进技术有限公司 | 身份标识的更换方法、装置、电子设备及存储介质 |
GB2582169B (en) * | 2019-03-13 | 2021-08-11 | Trustonic Ltd | Authentication method |
CN110069355B (zh) * | 2019-04-22 | 2020-06-02 | 北京字节跳动网络技术有限公司 | 用户关系显示、用户关系转变方法、装置、设备及介质 |
CN110149629A (zh) * | 2019-05-22 | 2019-08-20 | 中国联合网络通信集团有限公司 | 一种基于手机的快速注册及登录应用程序的方法和系统 |
CN110149625A (zh) * | 2019-06-14 | 2019-08-20 | 北京么登科技有限公司 | 手机号码验证方法及系统 |
CN112215628B (zh) * | 2019-07-09 | 2023-04-18 | 贝壳技术有限公司 | 拉新活动有效性的判断方法和装置 |
CN111740942B (zh) * | 2020-01-17 | 2022-11-08 | 北京沃东天骏信息技术有限公司 | 一种登录/注册方法、装置、系统、电子设备及存储介质 |
CN111371770B (zh) * | 2020-02-28 | 2020-12-22 | 乐清市川嘉电气科技有限公司 | 外来访客的智能动态授权系统及方法 |
CN114638608A (zh) * | 2022-03-10 | 2022-06-17 | 中国银联股份有限公司 | 支付方法、终端设备、服务器、系统及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701758A (zh) * | 2012-09-27 | 2014-04-02 | 中国电信股份有限公司 | 通过移动终端客户端使用业务的方法、系统及认证网关 |
CN105100415A (zh) * | 2015-05-28 | 2015-11-25 | 努比亚技术有限公司 | 登录方法、移动终端 |
CN105791262A (zh) * | 2015-12-30 | 2016-07-20 | 广东亿迅科技有限公司 | 基于手机imsi的app实名认证安全登录系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101315670B1 (ko) * | 2011-05-25 | 2013-10-08 | 주식회사 슈프리마 | 보안인증 디바이스에 접근하는 스마트폰 등록 방법 및 등록된 스마트폰의 접근 권한 인증방법 |
-
2016
- 2016-08-31 CN CN201610792258.9A patent/CN106304074B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701758A (zh) * | 2012-09-27 | 2014-04-02 | 中国电信股份有限公司 | 通过移动终端客户端使用业务的方法、系统及认证网关 |
CN105100415A (zh) * | 2015-05-28 | 2015-11-25 | 努比亚技术有限公司 | 登录方法、移动终端 |
CN105791262A (zh) * | 2015-12-30 | 2016-07-20 | 广东亿迅科技有限公司 | 基于手机imsi的app实名认证安全登录系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106304074A (zh) | 2017-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106304074B (zh) | 面向移动用户的身份验证方法和系统 | |
CN105978917B (zh) | 一种用于可信应用安全认证的系统和方法 | |
RU2434352C2 (ru) | Способ и устройство для надежной аутентификации | |
CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
CN103685282B (zh) | 一种基于单点登录的身份认证方法 | |
CN102378170B (zh) | 一种鉴权及业务调用方法、装置和系统 | |
US9300474B2 (en) | Enhanced authentication and/or enhanced identification of a secure element of a communication device | |
CN109471844A (zh) | 文件共享方法、装置、计算机设备和存储介质 | |
CN110463237A (zh) | 用于管理服务器和用户设备之间的通信的方法 | |
RU2610419C2 (ru) | Способ, сервер и система для идентификации человека | |
CN108418691A (zh) | 基于sgx的动态网络身份认证方法 | |
KR20170042549A (ko) | 제2 전자 엔티티에 의한 제1 전자 엔티티의 인증 방법 및 그러한 방법을 구현하는 전자 엔티티 | |
CN108418812A (zh) | 一种基于可信执行环境的智能终端安全消息服务方法 | |
CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
CN105847000A (zh) | 令牌产生方法以及基于该令牌产生方法的通信系统 | |
CN105657699B (zh) | 数据安全传输方法 | |
KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
CN109740319B (zh) | 数字身份验证方法及服务器 | |
CN104463584A (zh) | 实现移动端App安全支付的方法 | |
CN104901967A (zh) | 信任设备的注册方法 | |
CN109587683A (zh) | 短信防监听的方法及系统、应用程序和终端信息数据库 | |
CN109409109A (zh) | 网络服务中的数据处理方法、装置、处理器及服务器 | |
CN104917763B (zh) | 一种pin码缓存方法 | |
JP2007116641A (ja) | 秘密情報送信方法 | |
CN111404680B (zh) | 口令管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20201202 Address after: 100070, room 12, building 8, 2006 Toyohashi Road, Beijing, Fengtai District Patentee after: Yin Zidong Address before: 100039 Fuxing Road, Beijing, Haidian District, a hundred long Park, No. A1, room 1505, section Patentee before: Yin Zidong Patentee before: Li Qi |
|
TR01 | Transfer of patent right |