CN110677399B - 鉴权方法及装置 - Google Patents

Abstract

本发明实施例提供一种鉴权方法及装置，终端设备向SP服务器发送订购请求后，SP服务器根据订购请求确定终端设备订购增值业务的订购方式并生成订购订单。之后，SP服务器向认证服务器发送携带订购方式的二次确认请求，以使得认证服务器和终端设备对订购请求进行二次确认。当认证服务器对订购请求完成二次确认后，向鉴权服务器发送鉴权请求，使得鉴权服务器对订购订单进行鉴权。采用该种方案，SP服务器将用户的订购方式发送给认证服务器，使得认证服务器根据用户的订购方式对用户的订购请求做二次确认，而不是SP服务器自己对用户的订购请求做二次确认，避免SP服务器代用户发起订购，提高订购的准确率，杜绝恶意订购。

Description

鉴权方法及装置

技术领域

本发明实施例涉及增值业务订购技术领域，尤其涉及一种鉴权方法及装置。

背景技术

随着通信技术的飞速发展，运营商除了向用户提供基础的语音及流量业务，还提供丰富的增值业务。典型的增值业务可以包括：移动电视、彩铃、体育和娱乐服务、在线游戏、流媒体直播、移动广告等。

通常情况下，增值业务由服务供应商(service provider，SP)提供，用户通过两种方式订购SP提供的增值业务：方式一、通过SP的应用程序(application，APP)或网页上的页面订购；方式二、用户向服务号码发送订购代码短信的上行短信订购。

上述方式一中，一部分SP不和用户做二次确认，即在用户进入产品介绍页面点击订购后，无需再次确认即可订购成功。另一部分SP自己和用户做二次确认，即在用户进入产品介绍页面点击订购后，弹出二次确认页面，需用户输入手机号、正确回填短信验证码并点击确认后，才能订购成功。上述方式二中，基本是用户发送短信后就能直接成功订购增值业务，或者，还有一部分增值产品，在用户发送订购短信后，SP会向用户发送确认信息，用户回复Y后可成功订购。

由此可见：上述方式一或方式二中，用户未主动订购的情况下，若SP代替用户发起订购请求，则导致订购的准确率比较低。

发明内容

本发明实施例提供一种鉴权方法及装置，通过根据用户的订购方式，由认证服务器对用户的订购请求做二次确认，而不是SP服务器自己对用户的订购请求做二次确认，避免SP服务器代用户发起订购请求，提高订购的准确率，杜绝恶意订购。

第一方面，本发明实施例提供一种鉴权方法，应用于SP服务器，所述方法包括：

向认证服务器发送所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

接收所述认证服务器发送接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

接收终端设备发送的订购请求，所述订购请求用于请求订购服务供应商SP服务器提供的增值业务；

根据所述订购请求，确定所述终端设备订购所述增值业务的订购方式并生成订购订单；

向认证服务器发送携带所述订购方式的二次确认请求，以使得所述认证服务器和所述终端设备对所述订购请求进行二次确认；

接收所述认证服务器发送的二次确认响应；

向鉴权服务器发送鉴权请求，以使得所述鉴权服务器对所述订购订单进行鉴权。

一种可行的设计中，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购。

一种可行的设计中，所述根据所述订购方式，向认证服务器发送二次确认请求之前，还包括：

根据所述订购方式，从所述接入凭证集合中确定出与所述订购方式对应的接入凭证；

根据所述接入凭证与当前的时间戳，生成鉴权参数；

向所述认证服务器发送所述鉴权参数与业务参数，所述业务参数是所述SP服务器根据所述订购订单得到的。

一种可行的设计中，所述接收所述认证服务器发送的二次确认响应之后，还包括：

向所述认证服务器发送所述订购订单，以使得所述认证服务器将所述订购订单存储至数据库。

一种可行的设计中，所述订购方式包括：通过短信订购，所述接收终端设备发送的订购请求之前，还包括：

向所述认证服务器发送所述SP服务器的IP地址。

一种可行的设计中，所述根据所述订购方式，向所述认证服务器发送二次确认请求之前，还包括：

将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

第二方面，本发明实施例提供一种鉴权方法，应用于认证服务器，所述方法包括：

接收SP服务器发送的所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

根据所述ID，为所述SP服务器分配接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

向所述SP服务器发送所述接入凭证集合；

接收服务供应商SP服务器根据订购方式发送的二次确认请求，所述订购方式是终端设备订购所述SP服务器提供的增值业务的订购方式；

向所述SP服务器发送二次确认响应，以使得所述SP服务器向鉴权服务器发送鉴权请求，所述二次确认响应是认证服务器与所述终端设备完成二次确认后发送的。

一种可行的设计中，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购。

一种可行的设计中，所述向所述SP服务器发送二次确认响应之前，还包括：

接收所述SP服务器发送的鉴权参数和业务参数，所述鉴权参数是所述SP服务器根据接入凭证与当前的时间戳生成的，所述接入凭证是所述SP服务器根据所述接入方式从所述接入凭证集合中确定出的；

对所述鉴权参数和所述业务参数进行完整性校验。

一种可行的设计中，所述向所述SP服务器发送二次确认响应之前，还包括：

向所述终端设备推送统一认证页面，所述统一认证页面用于对所述用户进行活体验证，所述统一认证页面上的验证码获取按钮处于无法点击状态；

活体验证通过后，将所述验证码获取按钮转换为可点击状态。

一种可行的设计中，所述向所述SP服务器发送二次确认响应之后，还包括：

接收所述SP服务器发送的订购订单；

将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

一种可行的设计中，所述订购方式包括：通过短信订购，所述接收服务供应商SP服务器根据订购方式发送的二次确认请求之前，还包括：

接收所述SP服务器发送的所述SP的IP地址。

一种可行的设计中，所述向所述SP服务器发送二次确认响应，包括：

确定所述IP地址属于白名单；

向所述终端设备发送携带问题的短信；

接收所述终端设备发送的携带答案的短信；

判断所述答案是否为所述问题的正确答案；

若所述答案是所述问题的正确答案，则向所述SP服务器发送二次确认响应。

第三方面，本发明实施例提供一种鉴权装置，包括：

发送单元，用于向认证服务器发送所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

接收单元，用于接收所述认证服务器发送接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

所述接收单元，还用于接收终端设备发送的订购请求，所述订购请求用于请求订购服务供应商SP服务器提供的增值业务；

处理单元，用于根据所述订购请求，确定所述终端设备订购所述增值业务的订购方式并生成订购订单；

所述发送单元，还用于向认证服务器发送携带所述订购方式的二次确认请求，以使得所述认证服务器和所述终端设备对所述订购请求进行二次确认；

所述接收单元，还用于接收所述认证服务器发送的二次确认响应；

所述发送单元，还用于向鉴权服务器发送鉴权请求，以使得所述鉴权服务器对所述订购订单进行鉴权。

一种可行的设计中，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购。

一种可行的设计中，所述处理单元，在所述发送单元根据所述订购方式，向认证服务器发送二次确认请求之前，还用于根据所述订购方式，从所述接入凭证集合中确定出与所述订购方式对应的接入凭证，根据所述接入凭证与当前的时间戳，生成鉴权参数，向所述认证服务器发送所述鉴权参数与业务参数，所述业务参数是所述SP服务器根据所述订购订单得到的。

一种可行的设计中，所述发送单元，在所述接收单元接收所述认证服务器发送的二次确认响应之后，还用于向所述认证服务器发送所述订购订单，以使得所述认证服务器将所述订购订单存储至数据库。

一种可行的设计中，所述订购方式包括：通过短信订购，

所述发送单元，在所述接收单元接收终端设备发送的订购请求之前，还用于向所述认证服务器发送所述SP服务器的IP地址。

一种可行的设计中，所述处理单元，在所述发送单元根据所述订购方式，向所述认证服务器发送二次确认请求之前，还用于将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

第四方面，本申请实施例提供一种鉴权装置，包括：

接收单元，用于接收SP服务器发送的所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

处理单元，用于根据所述ID，为所述SP服务器分配接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

发送单元，用于向所述SP服务器发送所述接入凭证集合；

所述接收单元，还用于接收服务供应商SP服务器根据订购方式发送的二次确认请求，所述订购方式是终端设备订购所述SP服务器提供的增值业务的订购方式；

所述发送单元，还用于向所述SP服务器发送二次确认响应，以使得所述SP服务器向鉴权服务器发送鉴权请求，所述二次确认响应是认证服务器与所述终端设备完成二次确认后发送的。

一种可行的设计中，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购。

一种可行的设计中，所述接收单元，在所述发送单元向所述SP服务器发送二次确认响应之前，还用于接收所述SP服务器发送的鉴权参数和业务参数，所述鉴权参数是所述SP服务器根据接入凭证与当前的时间戳生成的，所述接入凭证是所述SP服务器根据所述接入方式从所述接入凭证集合中确定出的；

所述处理单元，还用于对所述鉴权参数和所述业务参数进行完整性校验。

一种可行的设计中，所述发送单元，在向所述SP服务器发送二次确认响应之前，还用于向所述终端设备推送统一认证页面，所述统一认证页面用于对所述用户进行活体验证，所述统一认证页面上的验证码获取按钮处于无法点击状态；

所述处理单元，在所述用户通过活体验证通过后，将所述验证码获取按钮转换为可点击状态。

一种可行的设计中，所述接收单元，在所述发送单元向所述SP服务器发送二次确认响应之后，还用于接收所述SP服务器发送的订购订单；

所述处理单元，还用于将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

一种可行的设计中，所述订购方式包括：通过短信订购，所述接收单元，在接收服务供应商SP服务器根据订购方式发送的二次确认请求之前，还用于接收所述SP服务器发送的所述SP的IP地址。

一种可行的设计中，所述处理单元，还用于确定所述IP地址属于白名单；

所述发送单元，还用于向所述终端设备发送携带问题的短信；

所述接收单元，还用于接收所述终端设备发送的携带答案的短信；

所述处理单元，还用于判断所述答案是否为所述问题的正确答案；

所述发送单元，在所述处理单元判断出所述答案是所述问题的正确答案，则向所述SP服务器发送二次确认响应。

第五方面，本发明实施例提供一种SP服务器，包括处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上第一方面或第一方面的各种可行的实现方式所述的方法。

第六方面，本发明实施例提供一种认证服务器，包括处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上第一方面或第一方面的各种可行的实现方式所述的方法。

第七方面，本发明实施例提供一种存储介质，所述存储介质中存储有指令，当其在SP服务器上运行时，使得SP服务器执行如上第一方面或第一方面的各种可行的实现方式所述的方法。

第八方面，本发明实施例提供一种存储介质，所述存储介质中存储有指令，当其在认证服务器上运行时，使得认证服务器执行如上第二方面或第二方面的各种可行的实现方式所述的方法。

第九方面，本发明实施例提供一种计算机程序产品，所述计算机程序产品在SP服务器上运行时，使得SP服务器执行如上第一方面或第一方面的各种可行的实现方式所述的方法。

第十方面，本发明实施例提供一种计算机程序产品，所述计算机程序产品在认证服务器上运行时，使得认证服务器执行如上第二方面或第二方面的各种可行的实现方式所述的方法。

本发明实施例提供的鉴权方法及装置，终端设备向SP服务器发送订购请求后，SP服务器根据订购请求确定终端设备订购增值业务的订购方式并生成订购订单。之后，SP服务器向认证服务器发送携带订购方式的二次确认请求，以使得认证服务器和终端设备对订购请求进行二次确认。当认证服务器对订购请求完成二次确认后，向鉴权服务器发送鉴权请求，使得鉴权服务器对订购订单进行鉴权。采用该种方案，SP服务器将用户的订购方式发送给认证服务器，使得认证服务器根据用户的订购方式对用户的订购请求做二次确认，而不是SP服务器自己对用户的订购请求做二次确认，避免SP服务器代用户发起订购，提高订购的准确率，杜绝恶意订购。而且，该方案适配各种类型的订购方式，支持对各种订购方式进行用户二次确认，把控增值业务订购的各个环节，从源头上控制订购安全，全面保障增值业务订购安全，提高订购的准确率，杜绝恶意订购、强制订购、消费不透明等问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的鉴权方法的网络架构示意图；

图2是本发明实施例提供的鉴权方法的流程图；

图3是本发明实施例提供的鉴权方法中接入凭证的分发流程图；

图4是本发明实施例提供鉴权方法中页面二次认证的示意图；

图5是本发明实施例提供鉴权方法中页面二次认证的示意图；

图6为本发明实施例提供的一种鉴权装置的结构示意图；

图7为本发明实施例提供的另一种鉴权装置的结构示意图；

图8为本发明实施例提供的一种服务器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，针对用话费支付的增值业务，常见的订购方式可以分为两类：一类是通过应用程序(application，APP)或网页的页面订购，其中，APP包括安卓APP或思科的互联网操作系统(internetworking operating system-cisco，IOS)；另一类是短信订购，用户向服务号码发送订购代码短信以订购增值业务。第一类订购方式中，一部分服务供应商(ServiceProvider，SP)不和用户总二次确认，即用户通过APP或网页进入增值业务对应的产品的介绍界面点击订购后，无需再次确认即可订购成功。另一部分SP自己和用户做二次确认，即用户进入产品介绍页面后点击订购，弹出二次确认页面，需要用户输入手机号、正确回填短信验证码并点击确认后，才能订购成功。第二类订购方式中，针对大部分增值业务，基本是用户发送短信后就能直接订购成功，还有一部分增值业务，当用户发送订购短信后，SP会向用户发送确认信息，用户回复是(yes，Y)后才能成功订购。

上述第一类订购方式中，若SP和用户不做二次确认，则导致由于用户误操作、机器模拟等引发的非主动意愿的订购。若SP和用户做二次确认，则需要用户接收并回填短信验证码，该种方式虽然在一定程度上提升了订购的安全性，但若有恶意程序拦截用户短信验证码并回填，就会造成恶意订购。上述第二类订购方式中，由于缺少用户确认或者确认信息太过简单，通过机器模拟、恶意程序短信拦截等，就能造成大规模的恶意订购。

另外，上述第一类订购方式和第二类订购方式还存在以下几个共性问题：

第一、SP作为直接利益相关者，可能在用户未主动订购的情况下，代用户发起订购请求，从而造成用户、运营商的利益损失，并造成用户投诉，降低运营商声誉；

第二、缺少二次确认或二次确认信息分散在各SP处，使运营商在收到用户投诉时，无法确认用户是否真正订购了增值业务，只能对所有的投诉做退费处理；

第三、目前存在一个计费点对应多个增值业务的现象，用户在看到账单后无法区分出自己订购了哪些增值业务，客服也无法对用户做出解释；

第四、对于增值业务订购安全没有针对性的技术，如果用户的手机、电脑等终端设备存在安全漏洞，则很容易被利用，产生大规模的恶意订购。

有鉴于此，本发明实施例提供一种鉴权方式及装置，SP服务器将用户的订购方式发送给认证服务器，使得认证服务器根据用户的订购方式对用户的订购请求做二次确认，而不是SP服务器自己对用户的订购请求做二次确认，避免SP服务器代用户发起订购，提高订购的准确率，杜绝恶意订购。

图1是本申请实施例提供的鉴权方法的网络架构示意图。请参照图1，该网络架构包括终端设备、SP服务器、认证服务器和鉴权服务器，终端设备、认证服务器和鉴权服务器分别于SP服务器建立网络连接。认证服务器上与加载运行合作伙伴管理(partnerrelationship management，PRM)系统的PRM服务器(图中未示意出)建立网络连接，用于管理所有的SP服务器的资料，所有的SP服务器都需要向认证服务器上传资料，得到一个或多个SP_ID。每个SP服务器都有对应的PRM账号，可以登录到PRM系统中进行业务申请、产品申请、报账等。一个增值业务可以视为一个增值产品，认证服务器为每个增值产品分配唯一的产品身份标识(SP_PRODUCT_ID)。鉴权服务器用于接收所有SP服务器的订购/退订请求，进行SP服务器、增值产品基本鉴权，确认SP服务器或增值产品状态是否正常。另外，上述网络架构中，除了鉴权服务器外，还可以存在多个子鉴权服务器，各子鉴权服务器分别于鉴权服务器建立网络连接，不同子鉴权服务器用于为不同的地区服务，鉴权服务器对订购/退订请求初步鉴权后，将订购/退订请求发送至子鉴权服务器，由子鉴权服务器进行详细鉴权以及后续流程。

图2是本发明实施例提供的鉴权方法的流程图。本实施例是从终端设备、SP服务器、认证服务器和鉴权服务器交互的角度，对本发明实施例进行详细描述的，本实施例包括：

101、终端设备向SP服务器发送订购请求。

相应的，SP服务器接收终端设备发送的订购请求，该订购请求用于请求订购SP服务器提供的增值业务。

102、SP服务器根据所述订购请求，确定所述终端设备订购所述增值业务的订购方式并生成订购订单。

示例性的，订购请求还携带用于指示订购方式的信息，SP服务器根据该些信息确定订购方式。同时，SP服务器根据用户订购的增值业务生成订购订单。

103、SP服务器向认证服务器发送携带所述订购方式的二次确认请求。

相应的，认证服务器接收该二次确认请求。

104、认证服务器与终端设备交互以完成对订购请求的二次确认。

示例性的，不同的订购方式下，认证服务器采用的二次确认方式不同。例如，若订购方式为通过安卓APP、IOS APP或网页等订购时，认证服务器先与终端设备交互，以完成用户的活体验证；之后，认证服务器通过提示用户输入验证码等完成第二次确认。再如，若订购方式为短信订购，则认证服务器先判断SP服务器是否是预存白名单中的SP服务器，若是，则向终端设备发送问题短信，使得用户在终端设备上回复答案短信，从而完成对用户的第二次确认。

105、认证服务器向SP服务器发送二次确认响应。

示例性的，订购请求通过二次确认后，认证服务器向SP服务器发送二次确认响应。

106、SP向鉴权服务器发送鉴权请求，以使得所述鉴权服务器对所述订购订单进行鉴权。

示例性的，SP服务器可以对订购订单进行初步鉴权，鉴权通过后，发送给子鉴权服务器，由子鉴权服务器对订购订单进行详细鉴权以及后续流程。

本发明实施例提供的鉴权方法，终端设备向SP服务器发送订购请求后，SP服务器根据订购请求确定终端设备订购增值业务的订购方式并生成订购订单。之后，SP服务器向认证服务器发送携带订购方式的二次确认请求，以使得认证服务器和终端设备对订购请求进行二次确认。当认证服务器对订购请求完成二次确认后，向鉴权服务器发送鉴权请求，使得鉴权服务器对订购订单进行鉴权。采用该种方案，SP服务器将用户的订购方式发送给认证服务器，使得认证服务器根据用户的订购方式对用户的订购请求做二次确认，而不是SP服务器自己对用户的订购请求做二次确认，避免SP服务器代用户发起订购，提高订购的准确率，杜绝恶意订购。而且，该方案适配各种类型的订购方式，支持对各种订购方式进行用户二次确认，把控增值业务订购的各个环节，从源头上控制订购安全，全面保障增值业务订购安全，提高订购的准确率，杜绝恶意订购、强制订购、消费不透明等问题。

常见的订购方式包括通过安卓APP订购、通过IOS APP订购、通过网页订购或通过短信订购等，该些订购方式包括两类：第一类订购方式中，用户通过APP或网页的页面发起订购，第一类订购方式包括通过安卓APP订购、通过IOS APP订购或通过H5网页订购；第二类订购方式例如为通过短信订购。下面，对第一类订购方式下和第二类订购方式下，如何对订购订单进行鉴权进行详细说明。

首先，第一类订购方式下的鉴权。

第一类订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购，SP服务器接收终端设备发送的订购请求之前，还向所述认证服务器发送所述SP服务器的身份标识ID，接收所述认证服务器发送接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系。

示例性的，在SP服务器接入认证服务器之前，认证服务器从PRM系统同步所有的SP_ID信息，并为每个SP的每个SP_ID分配一套接入凭证，即一个接入凭证集合，该接入凭证集合包含3对身份标识(client_ID)和密钥(client_secret)，分别对应安卓APP的软件开发工具包(Software Development Kit，SDK)、IOS APP的SDK和H5这三种订购方式。其中，client_ID和client_secret都是根据SP_ID生成的字母数字混合的随机字符串。

为了控制接入凭证的知悉范围，提高安全性，认证服务器将其运营页面的跳转链接作为一个新的功能页签，嵌入RPM系统的菜单栏中。示例性的，可参见图3，图3是本发明实施例提供的鉴权方法中接入凭证的分发流程图。请参照图3，SP服务器用户自己的PRM账号登录PRM系统，并向用户推送统一认证页面跳转链接，用户点击连接，即可免密登录到统一认证页面获取接入凭证集合。通过该流程，可以确保接入凭证分发的安全性，控制接入凭证的知悉范围。

上述通过安卓APP的订购方式中，在SP服务器的安卓SDK中嵌入统一认证SDK；通过IOS APP的订购方式中，在SP服务器的IOS SDK中嵌入统一认证SDK；通过H5网页的订购方式中，在SP服务器的订购页面中嵌入统一认证H5页面，其中，统一认证SDK、统一认证H5页面统称为统一认证页面。不论通过安卓APP订购、通过IOS APP订购或通过H5网页订购，其核心部分都是页面二次认证。示例性的，可参见图4，图4是本发明实施例提供鉴权方法中页面二次认证的示意图。图4是本发明实施例提供鉴权方法中页面二次认证的示意图。

请按照图4，如①所示，终端设备通过第一类订购方式中的任意一种订购方式向SP服务器发送订购请求。SP服务器根据订购方式，从所述接入凭证集合中确定出与所述订购方式对应的接入凭证，根据所述接入凭证与当前的时间戳，生成鉴权参数，向所述认证服务器发送所述鉴权参数与业务参数，所述业务参数是所述SP服务器根据所述订购订单得到的。

示例性的，SP服务器接收到订购请求后，调用统一认证页面，向认证服务器传入业务参数和鉴权参数。其中，业务参数包括增值产品名称、增值产品的产品ID(product_ID)、资费类型、产品类型等业务字段，主要用于统一认证页面中的订购信息展示，以及接口调用业务逻辑校验等。鉴权参数包括第一参数(AUTH_NO)、订购方式对应的接入凭证等。AUTH_NO是SP根据当前时间戳以及预设位数的随机数生成的，预设位数可以为6位等，通过当前时间戳可以明确统一认证页面的调用时间，通过6位随机数可以防止并发请求时生成相同的第一参数。SP服务器根据订购方式选择相应的接入凭证，即client_ID和client_secret，该client_secret不是认证服务器直接分配给SP服务器的client_secret，而是SP服务器将分配的client_secret作为加密因子并使用不可逆算法加密生成的32位字符串。通过该种方式，可以确保认证服务器分配给SP服务器的client_secret不在网络上传输，防止网络攻击引起的接入凭证泄露。统一认证服务器校验传输的业务参数和鉴权参数的完整性，校验通过后终端设备推送订购订单的展示页面。上传SP服务器向认证服务器传送业务传输和鉴权参数的过程汇总，SP服务器上的页面称之为父页面，SP服务器登录认证服务器得到的界面称之为子页面，上述业务参数和鉴权参数仅在父页面和子页面之间传输，不涉及任何网络传输。

上述用户通过SPP或H5页面订购增值业务时，SP服务器调用统一认证页面，该统一认证页面被调起时SP服务器开始页面信息采集，并将采集的信息通过接口形式传入认证服务器。采集信息包括SP页面(即父页面)传输的业务参数和鉴权参数，以及统一认证页面采集的数据，主要包括设备类型、设备ID、SDK/H5的版本信息、页面加载时间、产品ID、产品名称、资费信息、客户端IP、序列号ID(sequence_ID)等。其中，sequence_ID是基于client_ID、页面初始化时间、随机数等生成的一个字符串，从统一认证页面被打开到关闭的所有操作都通过sequence_ID进行关联，作为后台数据模型分析的唯一ID。引入sequence ID字段后，通过实时记录统一认证页面从打开到关闭这一过程中的所有行为与恶意操作行为，进一步确保订购安全。

上述SP服务器和认证服务器交互过程中，对于安卓APP订购方式，相关的数据采用so加密技术，可以实现so文件优化压缩、so文件源码隐藏，同时能够有效防止国际开发协会(International Development Association，IDA)等工具逆向分析和反动态跟踪，从而防止恶意篡改、二次打包等。对于IOS APP订购方式，采用代码混淆进行安全加固。也就是说，认证服务器通过对APP的SDK进行安全加固，能有效对抗种反编译逆向工具，防止SDK被破解剽窃，且SDK体积增量小，对移动应用兼容性几乎没有影响。对于网页订购方式，采用字符串加密、属性加密、调用转移等多项保护措施，提高攻击者分析JS代码逻辑的难度，从而保护核心代码。

请按照图4，如②所示，用户在统一认证页面进行二次确认。

二次确认过程中，认证服务器向终端设备推送统一认证页面，该统一认证页面用户对用户进行活体验证，该统一认证页面上的验证码获取按钮处于无法点击状态。活体验证通过后，认证服务器将验证码获取按钮转换为可点击状态，以对用户进行第二次验证。

活体验证过程中，统一认证页面上可以显示图形验证码、滑块验证等。以图形验证码为例，统一认证页面打开时，调用图形验证码后天服务，生成带有噪点的字母数字混合的图验信息，用户填入图验信息后触发认证服务器校验，若校验未通过，则用户点击图形更换图形验证信息并再次填写，直到校验通过。校验通过后，统一认证页面上的验证码获取按钮转变为可点击状态，用户点击验证码获取按钮，触发认证服务器向终端设备发送短信验证码。该过程中，第一、终端设备向认证服务器发送的入参包括sequence_ID，认证服务器通过校验该字段，能够确保操作是用户通过统一认证页面发起的，而不是SP服务器或第三方通过接口调用模拟发起的；第二、点击验证码获取按钮后，启动定时器，同一个手机号码在1分钟内仅可以获取1次验证码，因此在后台服务中也增加同样的限制，可以减轻业务高峰期短信网关的压力，同时防止针对短信验证码获取的恶意攻击；第三、各个校验都通过后，连接短信网关，对终端设备下发短信验证码。

用户在终端设备上回填短信验证码后，点击“确认”按钮，完成二次确认及订购操作。在用户点击“确认”时，触发统一认证页面调用后台短信验证校验服务。该过程中，第一、终端设备向认证服务器发送的入参包括sequence_ID，认证服务器通过校验该字段，能够确保操作是用户通过统一认证页面发起的，而不是SP服务器或第三方通过接口调用模拟发起的；第二、校验用户回填的短信验证码是否正确；第三、各个校验都通过后，认证服务器向SP服务器发送二次确认成功的标识令牌(token)，token是订购订单的唯一标识，是和时间戳、手机号、产品ID等关联的一个32位字符串，具备系统唯一性，且仅在生成后的某个时间段内有效，有效时间可动态配置。

上述二次确认过程中，活体认证为图形验证码、滑块等形式时，通过后台校验能防止机器模拟订购；通过给用户下发短信验证码并让用户回填，来确保是用户本人进行的订购。

请按照图4，如③所示，SP服务器向所述认证服务器发送所述订购订单，以使得所述认证服务器将所述订购订单存储至数据库。

示例性的，SP服务器收到token后，调用认证服务器的订购订单接口，将token及对应的订购订单的详细信息同步给认证服务器。认证服务器校验token的时效性，以及token与手机号、产品ID的一致性。若校验通过，则将所有入参写入数据库中，记录订购订单的状态为“订购订单同步成功”。认证服务器将该同步成功响应实时返回给SP服务器。

请按照图4，如④所示，SP服务器收到订单同步成功的响应后，向鉴权服务器发送鉴权请求；若SP服务器收到订单同步失败的响应，则终止订购流程。

请按照图4，如⑤所示，SP服务器向鉴权服务器发送校验请求，以使得鉴权服务器对订购订单进行校验，即校验订购订单是否经过二次确认，入参主要包括订单ID、手机号、产品ID等。

请按照图4，如⑥所示，鉴权服务器向认证服务器发送订购订单校验请求，认证服务器根据订购订单的ID等查询数据库，确认是否有该笔订购订单，若数据库中存在该ID对应的订单，则认证服务器获取该ID对应的订购订单的详细信息，然后校验订单内容是否一致、订单是否有效、token是否已被鉴权使用。其中，若认证服务器校验出token已被鉴权使用，则认为是SP服务器使用相同的token重复订购。校验通过后，认证服务器将数据库中订购订单的状态修改为“鉴权成功”；若无法通过校验，则认证服务器将数据库中的订购订单的状态修改“鉴权失败”。之后，认证服务器将订购订单的校验结果实时返回给鉴权服务器。

上述鉴权过程中，增值业务订购过程中必须经过总部鉴权服务器，因此，认证服务器增加了与总部鉴权服务器的订购顶点校验接口，对于每笔订单，总部鉴权服务器均向认证服务器请求校验，认证服务器校验该订单是否通过二次确认，对于没有通过二次确认的订购订单，鉴权服务器终止订购流程。

请参照图4，如⑦所示，鉴权服务器向子鉴权服务器发送鉴权请求。

示例性的，鉴权服务器接收到订购订单的校验结果后，若该订购订单通过校验，则将鉴权请求发送给子鉴权服务器，由子鉴权服务器及其他系统完成订购订单的详细校验等。其中，鉴权服务器例如为全国鉴权服务器，子鉴权服务器例如为省份鉴权服务器等。

上述实施例中，针对第一类订购方式，实现了“活体认证”+“短信验证码”的双因子认证，以确保每次订购都是非机器模拟的、用户主动发起的行为。而且，数据库中保留每笔订购订单的详细信息及二次确认信息，可开放给客服系统使用，便于客户处理增值业务投诉。

其次，第二类订购方式下的鉴权。

第二类订购方式主要包括：通过短信订购增值业务。本申请实施例中，在上行短信订购流程中增加统一认证与用户的短信确认。该种订购方式中，各SP在接入认证服务器之前，需要向各SP服务器向认证服务器上报各自的IP地址，只有申报通过的IP可调用认证服务器的相关接口。示例性的，可参见图5，图5是本发明实施例提供鉴权方法中页面二次认证的示意图。

请按照图5，如①所示，终端设备向SP服务器发送订购请求，例如，终端设备发送DG到SP服务器提供的一个短信接入号。SP服务器接收到订购请求后，将订购内容生成订购订单并存储。

请按照图5，如②所示，SP服务器调用认证服务器的二次确认接口，入参主要为订购订单的信息。认证服务器校验SP服务器的IP是否在白名单内，若SP服务器的IP地址在白名单内，则校验通过，认证服务器将订购订单的所有参数写入数据库，并记录订购订单的状态为“订单同步成功”。

请按照图5，如③所示，认证服务器向终端设备发送二次确认。

示例性的，认证服务器向所述终端设备发送携带问题的短信，该短信可以称之为二次确认短信，短信中包含产品名称、资费等。该问题短信可以根据认证级别做动态的调整或扩展。例如，二次认证为简单的认证，则问题短信为简单的四则运算，如2+9等于几；若为较难认证，则问题短信为百科知识，如一年有几个月等。终端设备接收到问题短信后，根据用户的输入，向认证服务器发送携带答案的短信。认证服务器校验答案是否正确，若用户多次回复答案，则认证服务器只以用户第一次回复的答案为准。若用户在有效期内回答正确，则将订单状态修改为“二次确认成功”；若用户回答错误、重复回答、未在有效期内回答等，认证服务器豆浆订购订单的状态修改为“二次确认失败”。对于上述的所有情况，认证服务器均向终端设备回复短信，以告知二次确认结果。

请按照图5，如④所示，认证服务器向SP服务器发送二次确认响应。只有用户在有效期内回复正确的答案短信时，认证服务器才认为二次确认成功，其他情况都认为是二次确认失败。

请按照图5，如⑤所示，SP服务器收到二次确认成功后，向鉴权服务器发送鉴权请求，以使得鉴权服务器对订购订单进行校验。反之，若SP服务器收到二次确认失败的响应，则终止订购流程。

请按照图5，如⑥所示，鉴权服务器向认证服务器发送订购订单校验请求，以校验订购订单是否通过二次确认，入参主要包括订单ID、手机号、产品ID等。认证服务器根据订购订单的ID等查询数据库，确认是否有该笔订购订单，若数据库中存在该ID对应的订单，则认证服务器获取该ID对应的订购订单的详细信息，然后校验订单内容是否一致、订单是否有效、订购订单是否通过二次确认。校验通过后，认证服务器将数据库中订购订单的状态修改为“鉴权成功”；若无法通过校验，则认证服务器将数据库中的订购订单的状态修改“鉴权失败”。之后，认证服务器将订购订单的校验结果实时返回给鉴权服务器。

请按照图5，如⑦所示，如⑦所示，鉴权服务器向子鉴权服务器发送鉴权请求。

示例性的，鉴权服务器接收到订购订单的校验结果后，若该订购订单通过校验，则将鉴权请求发送给子鉴权服务器，由子鉴权服务器及其他系统完成订购订单的详细校验等。其中，鉴权服务器例如为全国鉴权服务器，子鉴权服务器例如为省份鉴权服务器等。

上述实施例中，针对第二类订购方式，通过和用户之间以短信形式完成了提问、回答的交互，且问题的难度可配置，提升了订购的安全性。而且，数据库中保留每笔订购订单的详细信息及二次确认信息，可开放给客服系统使用，便于客户处理增值业务投诉。

下述为本发明装置实施例，可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节，请参照本发明方法实施例。

图6为本发明实施例提供的一种鉴权装置的结构示意图。该鉴权装置100可以通过软件和/或硬件的方式实现。如图6所示，该鉴权装置100包括：

接收单元11，用于接收终端设备发送的订购请求，所述订购请求用于请求订购服务供应商SP服务器提供的增值业务；

处理单元12，用于根据所述订购请求，确定所述终端设备订购所述增值业务的订购方式并生成订购订单；

发送单元13，用于向认证服务器发送携带所述订购方式的二次确认请求，以使得所述认证服务器和所述终端设备对所述订购请求进行二次确认；

所述接收单元11，还用于接收所述认证服务器发送的二次确认响应；

所述发送单元13，还用于向鉴权服务器发送鉴权请求，以使得所述鉴权服务器对所述订购订单进行鉴权。

一种可行的设计中，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购；

所述发送单元13，在所述接收单元11接收终端设备发送的订购请求之前，还向所述认证服务器发送所述SP服务器的身份标识ID；

所述接收单元11，还用于接收所述认证服务器发送接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系。

一种可行的设计中，所述处理单元12，在所述发送单元13根据所述订购方式，向认证服务器发送二次确认请求之前，还用于根据所述订购方式，从所述接入凭证集合中确定出与所述订购方式对应的接入凭证，根据所述接入凭证与当前的时间戳，生成鉴权参数，向所述认证服务器发送所述鉴权参数与业务参数，所述业务参数是所述SP服务器根据所述订购订单得到的。

一种可行的设计中，所述发送单元13，在所述接收单元11接收所述认证服务器发送的二次确认响应之后，还用于向所述认证服务器发送所述订购订单，以使得所述认证服务器将所述订购订单存储至数据库。

一种可行的设计中，所述订购方式包括：通过短信订购，

所述发送单元13，在所述接收单元11接收终端设备发送的订购请求之前，还用于向所述认证服务器发送所述SP服务器的IP地址。

一种可行的设计中，所述处理单元12，在所述发送单元13根据所述订购方式，向所述认证服务器发送二次确认请求之前，还用于将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

本发明实施例提供的鉴权装置，可以执行上述实施例中SP服务器的动作，其实现原理和技术效果类似，在此不再赘述。

图7为本发明实施例提供的另一种鉴权装置的结构示意图。该鉴权装置200可以通过软件和/或硬件的方式实现。如图7所示，该鉴权装置200包括：

接收单元21，用于接收服务供应商SP服务器根据订购方式发送的二次确认请求，所述订购方式是终端设备订购所述SP服务器提供的增值业务的订购方式；

发送单元22，用于向所述SP服务器发送二次确认响应，以使得所述认证服务器向鉴权服务器发送鉴权请求，所述二次确认响应是认证服务器与所述终端设备完成二次确认后发送的。

一种可行的设计中，再请参照图7，上述的鉴权装置200还包括：处理单元23，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购，所述接收单元21，在接收服务供应商SP服务器根据订购方式发送的二次确认请求之前，还用于接收所述SP服务器发送的所述SP服务器的身份标识ID；

所述处理单元23，用于根据所述ID，为所述SP服务器分配接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

所述发送单元22，还用于向所述SP服务器发送所述接入凭证集合。

一种可行的设计中，所述接收单元21，在所述发送单元22向所述SP服务器发送二次确认响应之前，还用于接收所述SP服务器发送的鉴权参数和业务参数，所述鉴权参数是所述SP服务器根据接入凭证与当前的时间戳生成的，所述接入凭证是所述SP服务器根据所述接入方式从所述接入凭证集合中确定出的；

所述处理单元23，还用于对所述鉴权参数和所述业务参数进行完整性校验。

一种可行的设计中，所述发送单元22，在向所述SP服务器发送二次确认响应之前，还用于向所述终端设备推送统一认证页面，所述统一认证页面用于对所述用户进行活体验证，所述统一认证页面上的验证码获取按钮处于无法点击状态；

所述处理单元23，在所述用户通过活体验证通过后，将所述验证码获取按钮转换为可点击状态。

一种可行的设计中，所述接收单元21，在所述发送单元22向所述SP服务器发送二次确认响应之后，还用于接收所述SP服务器发送的订购订单；

所述处理单元23，还用于将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

一种可行的设计中，所述订购方式包括：通过短信订购，所述接收单元21，在接收服务供应商SP服务器根据订购方式发送的二次确认请求之前，还用于接收所述SP服务器发送的所述SP的IP地址。

一种可行的设计中，所述处理单元23，还用于确定所述IP地址属于白名单；

所述发送单元22，还用于向所述终端设备发送携带问题的短信；

所述接收单元21，还用于接收所述终端设备发送的携带答案的短信；

所述处理单元23，还用于判断所述答案是否为所述问题的正确答案；

所述发送单元22，在所述处理单元23判断出所述答案是所述问题的正确答案，则向所述SP服务器发送二次确认响应。

本发明实施例提供的鉴权装置，可以执行上述实施例中认证服务器的动作，其实现原理和技术效果类似，在此不再赘述。

需要说明的是，应理解以上接收单元实际实现时可以是接收器，发送单元实际实现时可以为发送器，处理单元可以以软件通过处理元件调用的形式实现；也可以以硬件的形式实现。例如，处理单元可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上处理单元的功能。此外这些单元全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个专用集成电路(Application Specific Integrated Circuit，ASIC)，或，一个或多个微处理器(Digital Signal Processor，DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，FPGA)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，CPU)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(System-On-a-Chip，SOC)的形式实现。

图8为本发明实施例提供的一种服务器的结构示意图。如图8所示，该服务器300包括：

处理器31和存储器32；

所述存储器32存储计算机执行指令；

所述处理器31执行所述存储器32存储的计算机执行指令，使得所述处理器31执行如上SP服务器执行的鉴权方法或认证服务器执行的鉴权方法。

处理器31的具体实现过程可参见上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

可选地，该服务器300还包括通信部件33。其中，处理器31、存储器32以及通信部件33可以通过总线34连接。

本发明实施例还提供一种存储介质，所述存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如上SP服务器执行的鉴权方法或认证服务器执行的鉴权方法。

本发明实施例还提供一种计算机程序产品，当所述计算机程序产品在SP服务器上运行时，用于实现SP服务器执行的鉴权方法；或者，当所述计算机程序在认证服务器上运行时，用于实现认证服务器执行的鉴权方法。

在上述的实施例中，应该理解到，所描述的设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能模块的形式实现的集成的模块，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本发明各个实施例所述方法的部分步骤。

应理解，上述处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器可能包含高速RAM存储器，也可能还包括非易失性存储NVM，例如至少一个磁盘存储器，还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。

总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral Component Interconnect，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本发明附图中的总线并不限定仅有一根总线或一种类型的总线。

上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。

一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits，ASIC)中。当然，处理器和存储介质也可以作为分立组件存在于终端或服务器中。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (15)

1.一种鉴权方法，其特征在于，应用于SP服务器，所述方法包括：

向认证服务器发送所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

接收所述认证服务器发送接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

接收终端设备发送的订购请求，所述订购请求用于请求订购服务供应商SP服务器提供的增值业务；

根据所述订购请求，确定所述终端设备订购所述增值业务的订购方式并生成订购订单；

向认证服务器发送携带所述订购方式的二次确认请求，以使得所述认证服务器和所述终端设备对所述订购请求进行二次确认；

接收所述认证服务器发送的二次确认响应；

向鉴权服务器发送鉴权请求，以使得所述鉴权服务器对所述订购订单进行鉴权。

2.根据权利要求1所述的方法，其特征在于，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购。

3.根据权利要求2所述的方法，其特征在于，所述根据所述订购方式，向认证服务器发送二次确认请求之前，还包括：

根据所述订购方式，从所述接入凭证集合中确定出与所述订购方式对应的接入凭证；

根据所述接入凭证与当前的时间戳，生成鉴权参数；

向所述认证服务器发送所述鉴权参数与业务参数，所述业务参数是所述SP服务器根据所述订购订单得到的。

4.根据权利要求2或3所述的方法，其特征在于，所述接收所述认证服务器发送的二次确认响应之后，还包括：

向所述认证服务器发送所述订购订单，以使得所述认证服务器将所述订购订单存储至数据库。

5.根据权利要求1所述的方法，其特征在于，所述订购方式包括：通过短信订购，所述接收终端设备发送的订购请求之前，还包括：

向所述认证服务器发送所述SP服务器的IP地址。

6.根据权利要求5所述的方法，其特征在于，所述根据所述订购方式，向所述认证服务器发送二次确认请求之前，还包括：

将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

7.一种鉴权方法，其特征在于，应用于认证服务器，所述方法包括：

接收SP服务器发送的所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

根据所述ID，为所述SP服务器分配接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

向所述SP服务器发送所述接入凭证集合；

接收服务供应商SP服务器根据订购方式发送的二次确认请求，所述订购方式是终端设备订购所述SP服务器提供的增值业务的订购方式；

向所述SP服务器发送二次确认响应，以使得所述SP服务器向鉴权服务器发送鉴权请求，所述二次确认响应是认证服务器与所述终端设备完成二次确认后发送的。

8.根据权利要求7所述的方法，其特征在于，所述订购方式包括：通过安卓APP订购、通过IOS APP订购或通过网页订购。

9.根据权利要求8所述的方法，其特征在于，所述向所述SP服务器发送二次确认响应之前，还包括：

接收所述SP服务器发送的鉴权参数和业务参数，所述鉴权参数是所述SP服务器根据接入凭证与当前的时间戳生成的，所述接入凭证是所述SP服务器根据所述接入方式从所述接入凭证集合中确定出的；

对所述鉴权参数和所述业务参数进行完整性校验。

10.根据权利要求8或9所述的方法，其特征在于，所述向所述SP服务器发送二次确认响应之前，还包括：

向所述终端设备推送统一认证页面，所述统一认证页面用于对用户进行活体验证，所述统一认证页面上的验证码获取按钮处于无法点击状态；

活体验证通过后，将所述验证码获取按钮转换为可点击状态。

11.根据权利要求7所述的方法，其特征在于，所述向所述SP服务器发送二次确认响应之后，还包括：

接收所述SP服务器发送的订购订单；

将所述订购订单存储至数据库，以使得鉴权服务器确定所述订购订单是否经过二次确认。

12.根据权利要求7所述的方法，其特征在于，所述订购方式包括：通过短信订购，所述接收服务供应商SP服务器根据订购方式发送的二次确认请求之前，还包括：

接收所述SP服务器发送的所述SP的IP地址。

13.根据权利要求12所述的方法，其特征在于，所述向所述SP服务器发送二次确认响应，包括：

确定所述IP地址属于白名单；

向所述终端设备发送携带问题的短信；

接收所述终端设备发送的携带答案的短信；

判断所述答案是否为所述问题的正确答案；

若所述答案是所述问题的正确答案，则向所述SP服务器发送二次确认响应。

14.一种鉴权装置，其特征在于，应用于 SP 服务器， 包括：

发送单元，用于向认证服务器发送所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

接收单元，用于接收所述认证服务器发送接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

所述接收单元，还用于接收终端设备发送的订购请求，所述订购请求用于请求订购服务供应商SP服务器提供的增值业务；

处理单元，用于根据所述订购请求，确定所述终端设备订购所述增值业务的订购方式并生成订购订单；

所述发送单元，还用于向认证服务器发送携带所述订购方式的二次确认请求，以使得所述认证服务器和所述终端设备对所述订购请求进行二次确认；

所述接收单元，还用于接收所述认证服务器发送的二次确认响应；

所述发送单元，还用于向鉴权服务器发送鉴权请求，以使得所述鉴权服务器对所述订购订单进行鉴权。

15.一种鉴权装置，其特征在于，应用于认证服务器， 包括：

接收单元，用于接收SP服务器发送的所述SP服务器的身份标识ID；其中，所述认证服务器用于管理所有的SP服务器的资料，所有的SP服务器均需向所述认证服务器上传资料，以得到SP服务器的身份标识ID；

处理单元，用于根据所述ID，为所述SP服务器分配接入凭证集合，所述接入凭证集合包括至少一个接入凭证，所述接入凭证包含订购方式的标识和密钥的对应关系；

发送单元，用于向所述SP服务器发送所述接入凭证集合；

所述接收单元，还用于接收服务供应商SP服务器根据订购方式发送的二次确认请求，所述订购方式是终端设备订购所述SP服务器提供的增值业务的订购方式；

所述发送单元，还用于向所述SP服务器发送二次确认响应，以使得所述SP服务器向鉴权服务器发送鉴权请求，所述二次确认响应是认证服务器与所述终端设备完成二次确认后发送的。

Images