WO2016054924A1

WO2016054924A1 - 身份认证方法、第三方服务器、商家服务器及用户终端

Info

Publication number: WO2016054924A1
Application number: PCT/CN2015/080343
Authority: WO
Inventors: 徐成
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-10-11
Filing date: 2015-05-29
Publication date: 2016-04-14
Also published as: CN105577612B; CN105577612A

Abstract

一种身份认证方法、第三方服务器、商家服务器及用户终端，其中，第三方服务器根据接收的客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；第三方服务器根据目的商家服务器信息，获取在本地注册并保存的与目的商家服务器对应的该目的商家服务器的身份信息，并将身份信息发送给客户终端；第三方服务器将第一随机信息发送至目的商家服务器，使得客户终端能够根据目的商家服务器反馈的第一随机信息以及目的商家服务器的身份信息确定目的商家服务器的身份合法性。

Description

身份认证方法、第三方服务器、商家服务器及用户终端

技术领域

本文涉及通信及互联网领域，特别涉及一种身份认证方法、第三方服务器、商家服务器及用户终端。

背景技术

随着电子商务的兴起，网络支付的安全越来越受到重视。由于网络的开放性和网络环境的虚拟性，发生网络支付安全事件之后，往往追查和举证都很困难。因此，在安全事件发送之前的预防就显得尤其重要。预防的重点之一，就是有效认证交易者身份的合法性。

在相关技术的B2C(商对客)的电子商务模型中，双向的身份验证是独立进行的：

商家服务器需要验证客户的身份，以防止合法用户的信息被非法用户利用。商家服务器除了要求客户输入用户名和密码，还会向客户注册的手机发送一条验证码消息，客户将收到的验证码反馈给商家服务器。

客户需要验证商家服务器的身份，以防止受到非法商户的欺骗。非法的网站往往伪装成知名的电子商务网站或者银行网站，欺骗用户进行交易，从而窃取用户的银行账号、密码等私密信息，利用这些信息非法分子可以进行金融交易从而获得经济利益。这些非法网站被称为“钓鱼网站”。钓鱼网站往往经过精心设计与真实的目标网站相似度极高，具有很强的迷惑性。

现阶段对于钓鱼网站的主要预防措施有：创建非法网站黑名单对用户进行提示；使用数字证书进行身份认证。但是这两种方法都有一定的局限性。

第一种方法，需要用户依靠特定的安全软件来上报发现的非法网站，特定的机构收集到上报信息后进行技术分析，在确认为非法网站后，将其列入黑名单。用户每次访问一网站时，需要将其上报，以确认是否在黑名单中。并且黑名单的审核尚未完全能够使用程序代替人工进行，因此这种方法具有明显的滞后性，往往在欺诈事件发生之后才能实施。

第二种方法，依赖客户端程序与服务器之间的交互来完成认证的工作。客户端程序需要获取服务器的电子证书，通过计算确认电子证书的合法性与完整性。然后使用公钥进行加密运算并将结果发送给服务器，等待服务器返回运算结果并进行验证。整个过程需要在客户端与服务器端之间进行多次数据交互，并且在客户端进行不对称加密算法的运算和hash算法的运算。在传统的PC机上，往往使用浏览器或是在浏览器上安装插件来完成认证的工作。但是随着移动互联网的发展，很多业务的操作已经能够在手机终端上进行了。在手机终端上，为了节省数据流量和获得更好的用户体验，一些业务不在浏览器上进行操作，而是直接使用手机客户端进行操作。在这种情况下用户无法确认客户端是否对服务器端进行了身份的认证。

在B2C的商业模式中，客户往往处于弱势的一方，由于技术和经济实力的限制，无法确保所有的客户端都能够进行复杂的运算。即使智能手机的功能越来越强大，但是受限于电源、屏幕尺寸以及通讯资费等因素，手机终端的计算资源依然十分宝贵。

发明内容

本文提供一种身份认证方法、第三方服务器、商家服务器及用户终端，使得在B2C的电子商务模型中，不仅商家能够对客户的身份进行验证，同时客户也可以验证商家身份的真实性，从而为交易双方建立起互信关系，确保了交易的顺利、安全进行。

一种身份认证方法，应用于一第三方服务器，包括：

所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；

所述第三方服务器根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端；

所述第三方服务器将所述第一随机信息发送至所述目的商家服务器，使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。

可选地，所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息的步骤包括：

所述第三方服务器接收所述客户终端发送至一信息网关，由所述信息网关转发的携带有目的商家服务器信息的第一随机信息；

所述第三方服务器根据所述第一随机信息，获取所述目的商家服务器的鉴权号，其中，所述目的商家服务器信息为该商家服务器的鉴权号时，使得所述信息网关向该第三方服务器转发第一随机信息。

可选地，所述第三方服务器根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端的步骤包括：

所述第三方服务器根据所述目的商家服务器的鉴权号，获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书；

所述第三方服务器获取所述数字证书中所述目的商家服务器的身份信息，并将该目的商家服务器的身份信息发送给所述客户终端。

可选地，所述第三方服务器将所述第一随机信息发送至所述目的商家服务器的步骤包括：

所述第三方服务器获取所述数字证书中的一公钥，并利用所述公钥对所述第一随机信息进行加密处理；

所述第三方服务器基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器，使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息，并将所述第一随机信息反馈给所述客户终端。

可选地，获取目的商家服务器信息之前还包括：

所述第三方服务器根据一商家服务器发送的数字证书，确定所述数字证书的合法性；

所述第三方服务器向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号，并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存；

所述第三方服务器将所述商家服务器的鉴权号和通信号反馈给该商家服务器，所述第三方服务器完成所述商家服务器的注册。

一种身份认证方法，应用于商家服务器，包括：

所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息；

所述商家服务器利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息；

所述商家服务器将所述第一随机信息反馈至一客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。

可选地，所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括：

所述商家服务器向所述客户终端发送第二随机信息；

所述商家服务器接收所述客户终端反馈的信息，并将该客户终端反馈的信息与所述第二随机信息对比，确定所述客户终端的身份合法性。

所述商家服务器向所述第三方服务器发送注册请求及该商家服务器的数字证书；

所述商家服务器接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号，则所述商家服务器在所述第三方服务器的注册成功。

一种身份认证方法，应用于一客户终端，包括：

所述客户终端向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息，使得所述信息网关将所述第一随机信息转发至一第三方服务器；

所述客户终端接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息；

所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。

可选地，所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性的步骤包括：

所述客户终端将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比；

若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同，且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致，则该目的商家服务器合法。

可选地，所述客户终端发送所述第一随机信息之前还包括：

所述客户终端接收所述目的商家服务器发送的第二随机信息，并将所述第二随机信息反馈至该目的商家服务器，使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。

一种第三方服务器，包括：

获取模块，设置为：根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；

第一确定模块，设置为：根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端；

第一发送模块，设置为：将所述第一随机信息发送至所述目的商家服务器，使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。

一种商家服务器，包括：

第一接收模块，设置为：接收一第三方服务器发送的利用一公钥加密的第一随机信息；

解密模块，设置为：利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息；

反馈模块，设置为：将所述第一随机信息反馈至一客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。

一种客户终端，包括：

第二发送模块，设置为：向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息，使得所述信息网关将所述第一随机信息转发至一第三方服务器；

第二接收模块，设置为：接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息；

第二确定模块，设置为：根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一项的方法。

本发明实施例的身份认证方法中，通过引入一可信的第三方服务器，由第三方服务器承担起对商家身份验证的计算分析任务，确保了用户终端运算的轻量化；且在B2C的电子商务模型中，不仅商家能够对客户的身份进行验证，同时客户也可以验证商家身份的真实性，从而为交易双方建立起互信关系，确保了交易的顺利、安全进行。

附图概述

图1表示本发明实施例的身份认证方法在第三方服务器侧的基本步骤示意图；

图2表示本发明实施例的身份认证方法在商家服务器侧的基本步骤示意图；

图3表示本发明实施例的身份认证方法在客户终端侧的基本步骤示意图；

图4表示本发明实施例的第三方服务器的组成结构示意图；

图5表示本发明实施例的商家服务器的组成结构示意图；

图6表示本发明实施例的客户终端的组成结构示意图；

图7表示本发明实施例的实施例一的流程图；

图8表示本发明实施例的实施例二的流程图。

本发明的实施方式

下面将结合附图对本发明的实施方式进行详细描述。

本文针对相关技术的B2C电子商务模型中，用户对商家的身份认证方法有明显的滞后性或需用户进行复杂运算，在手机用户的运用上存在较大的问题，提供一种身份认证方法、第三方服务器、商家服务器及用户终端，通过引入一可信的第三方服务器，由第三方服务器承担起对商家身份验证的计算分析任务，确保了用户终端运算的轻量化；且在B2C的电子商务模型中，不仅商家能够对客户的身份进行验证，同时客户也可以验证商家身份的真实性，从而为交易双方建立起互信关系，确保了交易的顺利、安全进行。

如图1所示，本发明实施例提供一种身份认证方法，应用于一第三方服务器，包括：

步骤11，所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；

步骤12，所述第三方服务器根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端；

步骤13，所述第三方服务器将所述第一随机信息发送至所述目的商家服务器，使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。

本发明的上述实施例中，步骤11中的第一随机信息为客户终端发送的，该第一随机信息可通过短信或彩信发送，其中，发送方号码为该客户终端的地址(手机号码)；该第三方服务器接收第一随机信息，获取其目的商家服务器信息后继续执行步骤12，将目的商家服务器的身份信息发送至该客户终端同时将第一随机信息转发至该目的商家服务器，该目的商家服务器需将该第一随机信息反馈至上述客户终端，则使得上述客户终端能够根据目的商家服务器反馈的第一随机信息和该目的商家服务器的身份信息确定其身份是否合法；当目的商家反馈的第一随机信息与该客户终端发送的第一随机信息一致，且目的商家的身份与第三方服务器发送的目的商家的身份信息也一致，则该目的商家服务器的身份合法，可进行交易；该方法在客户终端的运算较轻量化，不占用太多资源，适用范围广，且能够让用户准确的判断商家身份，避免遭受钓鱼网站的侵害，造成不必要的损失。

本发明上述实施例中，步骤11包括：

步骤111，所述第三方服务器接收所述客户终端发送至一信息网关，由所述信息网关转发的携带有目的商家服务器信息的第一随机信息；

步骤112，所述第三方服务器根据所述第一随机信息，获取所述目的商家服务器的鉴权号，其中，所述目的商家服务器信息为该商家服务器的鉴权号时，使得所述信息网关向该第三方服务器转发第一随机信息。

本发明实施例在应用中，借助一信息网关(短信或彩信系统)，客户终端发送的第一随机信息先被发送至该信息网关，由信息网关将该第一随机信息转发至第三方服务器或目的商家服务器；其中，若该第一随机信息携带的目的商家服务器信息为该商家服务器的鉴权号，则将该第一随机信息转发至第三方服务器；若该第一随机信息携带的目的商家服务器信息为该商家服务器的通信号(普通信息)，则直接将该第一随机信息转发至目的商家服务器。步骤112中对于转发至第三方服务器的第一随机信息，获取其目的商家服务器的鉴权号。

本发明上述实施例中，步骤12包括：

步骤121，所述第三方服务器根据所述目的商家服务器的鉴权号，获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书；

步骤122，所述第三方服务器获取所述数字证书中所述目的商家服务器的身份信息，并将该目的商家服务器的身份信息发送给所述客户终端。

本发明实施例的应用中，第三方服务器预先保存着多个商家服务器的信息，如商家服务器的鉴权号、通信号及数字证书，为了根据其中一个信息获取该商家服务器的其他信息时的方便、快捷，同一个商家服务器的所有信息被保存到同一地址或称为将所有信息绑定后保存；其中，该数字证书是由一权威机构颁发给所述商家服务器的，每一个商家服务器对应唯一一个数字证书，保证了其安全性；且该商家服务器的数字证书中保存有该商家服务器的合法身份信息、一对公私钥等信息；步骤122即为获取目的商家服务器的合法身份信息，并发送至客户终端，供客户终端验证商家服务器的合法身份时使用。

本发明上述实施例中，步骤13包括：

步骤131，所述第三方服务器获取所述数字证书中的一公钥，并利用所述公钥对所述第一随机信息进行加密处理；

步骤132，所述第三方服务器基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器，使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息，并将所述第一随机信息反馈给所述客户终端。

本发明实施例的应用中，为了保证第一随机信息传输过程中的安全性，第三方服务器利用一公钥对第一随机信息进行加密处理后再发送至目的商家服务器，由于目的商家服务器也保存有其本身的数字证书，故目的商家服务器从数字证书中获取与该公钥对应的私钥，利用该私钥进行解密处理得到第一随机信息，并将第一随机信息反馈给所述客户终端。由于该私钥仅保存于其对应的目的商家服务器中，故其他目的商家服务器(如钓鱼网站等)无法获取该私钥，即无法进行解密处理，进而无法得到第一随机信息，提高了信息传递过程中的安全性。

本发明上述实施例中，获取目的商家服务器信息之前还包括：

步骤14，所述第三方服务器根据一商家服务器发送的数字证书，确定所述数字证书的合法性；

步骤15，所述第三方服务器向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号，并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存；

步骤16，所述第三方服务器将所述商家服务器的鉴权号和通信号反馈给该商家服务器，所述第三方服务器完成所述商家服务器的注册。

本发明实施例中，步骤14至步骤16描述了商家服务器与第三方服务器之间建立可信关系的过程，即商家服务器向第三方服务器请求注册并注册成功的过程。步骤14中，第三方服务器通过计算数字证书的真实性与完整性来确定数字证书的合法性，即如果是权威机构颁发的证书，且该证书没有被篡改过则该数字证书合法。同时为合法的数字证书对应的商家服务器分配鉴权号Auth ID和通信号Comm ID，并在本地保存；且将鉴权号Auth ID和通信号Comm ID反馈该对应的商家服务器；其中，每一个商家服务器对应唯一的鉴权号和通信号。

上述第三服务器与商家服务器之间的通信以及上述第三服务器与客户终端之间的通信均借助一信息网关，即第三服务器先将信息发送至该信息网关，由信息网关转发至相应设备；或其他设备将信息发送至该信息网关，由该信息网关将信息转发至本第三服务器等等，在此不一一赘述。

为了更好的实现上述目的，如图2所示，本发明实施例还提供一种身份认证方法，应用于商家服务器，包括：

步骤21，所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息；

步骤22，所述商家服务器利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息；

步骤23，所述商家服务器将所述第一随机信息反馈至一客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。

本发明实施例的应用中，商家服务器利用密钥对加密的第一随机信息进行解密后得到第一随机信息，并将其反馈至客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。

本发明上述实施例中，商家服务器与客户终端之间的通信以及商家服务器与第三方服务器之间的通信均通过一信息网关的转发，如步骤21中的第三方服务将利用一公钥加密的第一随机信息发送至该信息网关，其中，该条信息的发送方号码为产生该第一随机信息的客户终端的地址，接收方号码为目的商家服务器的通信号，则如上所述，信息网关检测到加密的第一随机信息的目的商家服务器信息为目的商家服务器的通信号，则直接将加密的该第一随机信息转发至该目的商家服务器；或者步骤23中的商家服务器将第一随机信息发送至该信息网关，此条信息的发送方号码为该商家服务器的通信号，而接收方信息为客户终端的地址，则该信息网关直接跟该客户终端的地址将第一随机信息转发至对应的客户终端。

本发明上述实施例中，所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括：

步骤24，所述商家服务器向所述客户终端发送第二随机信息；

步骤25，所述商家服务器接收所述客户终端反馈的信息，并将该客户终端反馈的信息与所述第二随机信息对比，确定所述客户终端的身份合法性。

本发明实施例中，步骤21至步骤23主要描述客户终端对商家服务器的身份合法性的判定过程；而步骤24和步骤25主要描述其商家服务器对客户终端的身份合法性的判定过程。只有商家服务器确定客户终端是合法的，且客户终端也确定商家服务器是合法的，则交易双方建立起互信关系，确保交易的安全、顺利进行。

本发明实施例提供的方法能够基于消息业务实现双向身份认证，使在B2C的电子商务模型中，不仅商家能够对客户的身份进行验证，同时客户也可以验证商家身份的真实性，从而为交易双方建立起互信关系。

步骤26，所述商家服务器向所述第三方服务器发送注册请求及该商家服务器的数字证书；

步骤27，所述商家服务器接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号，则所述商家服务器在所述第三方服务器的注册成功。

本发明实施例中，步骤26和步骤27描述了商家服务器与第三方服务器之间建立可信关系的过程。

如图3所示，本发明实施例还提供一种身份认证方法，应用于一客户终端，包括：

步骤31，所述客户终端向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息，使得所述信息网关将所述第一随机信息转发至一第三方服务器；

步骤32，所述客户终端接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息；

步骤33，所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。

本发明实施例的应用中，第一随机信息由一客户终端随机产生，可以为一串数字或一张图片，其中，该第一随机信息的发送方号码为该客户终端的地址，接收方号码为目的商家服务器的鉴权号，则该信息网关检测到接收方号码为目的商家服务器的鉴权号，则将该第一随机信息转发至一第三方服务器，使得第三方服务器根据所述鉴权号确定目的商家服务器的身份信息，并将其发送至该客户终端，则所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。

本发明上述实施例中，步骤33包括：

步骤331，所述客户终端将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比；

步骤332，若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同，且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致，则该目的商家服务器合法。

本发明实施例的应用中，所述客户终端将目的商家服务器反馈的第一随机信息与其自身产生的第一随机信息作比较，当其上述两个信息相同，且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致，则该目的商家服务器合法，则客户终端能够安全与该目的商家服务器进行交互。

本发明上述实施例中，所述客户终端发送所述第一随机信息之前还包括：

步骤34，所述客户终端接收所述目的商家服务器发送的第二随机信息，并将所述第二随机信息反馈至该目的商家服务器，使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。

本发明实施例中，步骤34中描述的为目的商家服务器对客户终端身份的认证过程，即目的商家服务器随机产生第二随机信息，该第二随机信息为一验证编码，目的商家服务器将第二随机信息发送至客户终端，客户终端接收到所述第二随机信息后，在目的商家服务器提供的商家web页面上填写收到的第二随机信息，以此证明该客户终端为合法用户。

上述客户终端与商家服务器之间的通信以及上述客户终端与第三服务器之间的通信均借助一信息网关，即客户终端先将信息发送至该信息网关，由信息网关转发至相应设备；或其他设备将信息发送至该信息网关，由该信息网关将信息转发至本客户终端等等，在此不一一赘述。

为了更好实现上述目的，如图4所示，本发明实施例还提供一种第三方服务器，包括：

获取模块401，设置为：根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；

第一确定模块402，设置为：根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端；

第一发送模块403，设置为：将所述第一随机信息发送至所述目的商家服务器，使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。

本发明上述实施例中，获取模块401包括：

第一子模块，设置为：接收所述客户终端发送至一信息网关，由所述信息网关转发的携带有目的商家服务器信息的第一随机信息；

第二子模块，设置为：根据所述第一随机信息，获取所述目的商家服务器的鉴权号，其中，所述目的商家服务器信息为该商家服务器的鉴权号时，使得所述信息网关向该第三方服务器转发第一随机信息。

本发明上述实施例中，第一确定模块402包括：

第三子模块，设置为：根据所述目的商家服务器的鉴权号，获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书；

第四子模块，设置为：获取所述数字证书中所述目的商家服务器的身份信息，并将该目的商家服务器的身份信息发送给所述客户终端。

本发明上述实施例中，第一发送模块403包括：

第五子模块，设置为：获取所述数字证书中的一公钥，并利用所述公钥对所述第一随机信息进行加密处理；

第六子模块，设置为：基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器，使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息，并将所述第一随机信息反馈给所述客户终端。

本发明上述实施例中，该第三方服务器还包括：

确定模块，设置为：根据一商家服务器发送的数字证书，确定所述数字证书的合法性；

分配模块，设置为：向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号，并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存；

第二反馈模块，设置为：将所述商家服务器的鉴权号和通信号反馈给该商家服务器，所述第三方服务器完成所述商家服务器的注册。

需要说明的是，本发明实施例提供的第三方服务器是应用上述身份认证方法的第三方服务器，则上述身份认证方法是所有实施例及其有益效果均适用于该第三方服务器。

如图5所示，本发明实施例还提供一种商家服务器，包括：

第一接收模块501，设置为：接收一第三方服务器发送的利用一公钥加密的第一随机信息；

解密模块502，设置为：利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息；

反馈模块503，设置为：将所述第一随机信息反馈至一客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。

本发明上述实施例中，该商家服务器还包括：

第三发送模块，设置为：向所述客户终端发送第二随机信息；

第三接收模块，设置为：接收所述客户终端反馈的信息，并将该客户终端反馈的信息与所述第二随机信息对比，确定所述客户终端的身份合法性。

本发明上述实施例中，该商家服务器还包括：

注册模块，设置为：向所述第三方服务器发送注册请求及该商家服务器的数字证书；

第四接收模块，设置为：接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号，则所述商家服务器在所述第三方服务器的注册成功。

需要说明的是，本发明实施例提供的商家服务器是应用上述身份认证方法的商家服务器，则上述身份认证方法是所有实施例及其有益效果均适用于该商家服务器。

如图6所示，本发明实施例还提供一种客户终端，包括：

第二发送模块601，设置为：向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息，使得所述信息网关将所述第一随机信息转发至一第三方服务器；

第二接收模块602，设置为：接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息；

第二确定模块603，设置为：根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。

本发明上述实施例中，第二确定模块603包括：

对比模块，设置为：将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比；

确定子模块，设置为：若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同，且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致，则该目的商家服务器合法。

本发明上述实施例中，该客户终端还包括：

第五接收模块，设置为：接收所述目的商家服务器发送的第二随机信息，并将所述第二随机信息反馈至该目的商家服务器，使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。

需要说明的是，本发明实施例提供的客户终端是应用上述身份认证方法的客户终端，则上述身份认证方法的所有实施例及其有益效果均适用于该客户终端。

为了更好的说明本发明实施例提供的身份认证方法，故借助图7、图8对本发明实施例做介绍：

实施例一：商家服务器与第三方服务器之间建立可信关系(商家服务器注册)的工作流程图：

S701：第三方服务器收到注册请求；

S702：商家服务器提交权威机构颁发的数字证书；

S703：第三方服务器计算判断商家所提交的数字证书的真实性与完整性，如果是权威机构颁发的证书且证书没有被篡改过转至S705，否则需要转至S704；

S704：返回注册失败的响应；

S705：第三方服务器为商家服务器分配鉴权号Auth ID和通信号Comm ID；

S706：第三发服务器将鉴权号Auth ID、通信号Comm ID与数字证书绑定并保存；

S707：返回注册成功，向商家返回鉴权号Auth ID和通信号Comm ID；

S708：流程结束。

实施例二：商家服务器与客户终端的双向身份认证过程：

其中，商家服务器包括：商家系统、验证消息下发模块、验证消息接收模块、验证消息解密模块；第三方服务器包括：数字证书管理模块、身份验证模块；

S801：商家系统将随机验证码、AuthID和客户手机号码发送给验证消息下发模块；

S802：验证消息下发模块使用AuthID为发送方号码，客户手机号为目的方地址，将验证码发送给客户终端；

S803：客户终端收到验证消息；

S804：客户将验证消息中的验证码反馈给商家，以此证明自己的身份；

S805：客户在收到的验证消息上直接进行回复，使用AuthID为目的号码，自己的手机号为发送方号码，随机生成信息为消息内容，构造反向验证消息；

S806：信息网关根据目的号码AuthID将反向验证消息路由给第三方服务器。

S807：第三方服务器的身份验证模块以反向验证消息的目的号码AuthID为查询条件，向数字证书管理模块发起查询；

S808：数字证书管理模块将与AuthID关联的数字证书和CommID返回给身份验证模块；

S809：身份验证模块提取出数字证书中的商家信息。以客户手机号为目的地址，AuthID为发送方地址，构造商家身份消息；

S810：第三方服务器将商家身份消息发送给客户终端；

S811：身份验证模块提取出数字证书中的公钥，用公钥对反向验证消息中的随机信息进行加密。以加密后的信息为内容，CommID为接收方，用户手机号为发送方，构造身份验证消息；

S812：信息网关根据目的号码CommID将身份验证消息路由给与之对应的商家；

S813：商家的验证消息接收模块接收到身份验证消息；

S814：商家使用其拥有的私钥，对验证消息中的信息进行解密；

S815：商家将解密后的信息反馈给客户终端。

则客户终端根据其商家反馈的解密后的信息以及客户终端自身产生的信息和商家的身份共同判断其商家身份是否合法。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

本发明实施例提供的身份认证方法使得在B2C的电子商务模型中，不仅商家能够对客户的身份进行验证，同时客户也可以验证商家身份的真实性，从而为交易双方建立起互信关系，确保了交易的顺利、安全进行；在此方法中引入了可信第三方服务器，由可信第三方服务器承担起对商家身份验证的计算分析任务，确保了客户端运算的轻量化，从而使得身份认证方法能够适用各种不同能力的客户终端。

Claims

一种身份认证方法，应用于一第三方服务器，包括：

所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；

所述第三方服务器根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端；

所述第三方服务器将所述第一随机信息发送至所述目的商家服务器，使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。
根据权利要求1所述的身份认证方法，其中，所述第三方服务器根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息的步骤包括：

所述第三方服务器接收所述客户终端发送至一信息网关，由所述信息网关转发的携带有目的商家服务器信息的第一随机信息；

所述第三方服务器根据所述第一随机信息，获取所述目的商家服务器的鉴权号，其中，所述目的商家服务器信息为该商家服务器的鉴权号时，使得所述信息网关向该第三方服务器转发第一随机信息。
根据权利要求2所述的身份认证方法，其中，所述第三方服务器根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端的步骤包括：

所述第三方服务器根据所述目的商家服务器的鉴权号，获取在该第三方服务器本地注册并保存的与所述目的商家服务器的鉴权号对应的该目的商家服务器的通信号和数字证书；

所述第三方服务器获取所述数字证书中所述目的商家服务器的身份信息，并将该目的商家服务器的身份信息发送给所述客户终端。
根据权利要求3所述的身份认证方法，其中，所述第三方服务器将所述第一随机信息发送至所述目的商家服务器的步骤包括：

所述第三方服务器获取所述数字证书中的一公钥，并利用所述公钥对所述第一随机信息进行加密处理；

所述第三方服务器基于所述目的商家服务器的通信号将加密后的所述第一随机信息发送至所述该目的商家服务器，使得该目的商家服务器能够使用与所述公钥对应的一私钥对所述加密后的第一随机信息进行解密处理得到所述第一随机信息，并将所述第一随机信息反馈给所述客户终端。
根据权利要求1所述的身份认证方法，获取目的商家服务器信息之前还包括：

所述第三方服务器根据一商家服务器发送的数字证书，确定所述数字证书的合法性；

所述第三方服务器向合法的数字证书对应的商家服务器分配该商家服务器的鉴权号和通信号，并在本地将商家服务器的数字证书、鉴权号和通信号绑定并保存；

所述第三方服务器将所述商家服务器的鉴权号和通信号反馈给该商家服务器，所述第三方服务器完成所述商家服务器的注册。
一种身份认证方法，应用于商家服务器，包括：

所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息；

所述商家服务器利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息；

所述商家服务器将所述第一随机信息反馈至一客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
根据权利要求6所述的身份认证方法，所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括：

所述商家服务器向所述客户终端发送第二随机信息；

所述商家服务器接收所述客户终端反馈的信息，并将该客户终端反馈的信息与所述第二随机信息对比，确定所述客户终端的身份合法性。
根据权利要求6所述的身份认证方法，所述商家服务器接收一第三方服务器发送的利用一公钥加密的第一随机信息之前还包括：

所述商家服务器向所述第三方服务器发送注册请求及该商家服务器的数字证书；

所述商家服务器接收所述第三方服务器反馈的该第三方服务器为所述商家服务器分配的鉴权号和通信号，则所述商家服务器在所述第三方服务器的注册成功。
一种身份认证方法，应用于一客户终端，包括：

所述客户终端向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息，使得所述信息网关将所述第一随机信息转发至一第三方服务器；

所述客户终端接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息；

所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
根据权利要求9所述的身份认证方法，其中，所述客户终端根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性的步骤包括：

所述客户终端将所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息对比；

若所述目的商家服务器反馈的第一随机信息与该客户终端发送的第一随机信息相同，且反馈所述第一随机信息的目的商家服务器的身份与所述第三方服务器发送的目的商家服务器的身份信息一致，则该目的商家服务器合法。
根据权利要求9所述的身份认证方法，所述客户终端发送所述第一随机信息之前还包括：

所述客户终端接收所述目的商家服务器发送的第二随机信息，并将所述第二随机信息反馈至该目的商家服务器，使得所述目的商家服务器能够根据所述第二随机信息确定所述客户终端的身份合法性。
一种第三方服务器，包括：

获取模块，设置为：根据接收的一客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；

第一确定模块，设置为：根据所述目的商家服务器信息，获取在本地注册并保存的与所述目的商家服务器对应的该目的商家服务器的身份信息，并将所述身份信息发送给所述客户终端；

第一发送模块，设置为：将所述第一随机信息发送至所述目的商家服务器，使得所述客户终端能够根据所述目的商家服务器反馈的第一随机信息以及所述目的商家服务器的身份信息确定所述目的商家服务器的身份合法性。
一种商家服务器，包括：

第一接收模块，设置为：接收一第三方服务器发送的利用一公钥加密的第一随机信息；

解密模块，设置为：利用与所述公钥对应的私钥对所述加密的第一随机信息进行解密得到所述第一随机信息；

反馈模块，设置为：将所述第一随机信息反馈至一客户终端，使得所述客户终端能够根据所述第一随机信息和所述第三方服务器发送的商家服务器的身份信息确定所述商家服务器的身份合法性。
一种客户终端，包括：

第二发送模块，设置为：向一信息网关发送携带有目的商家服务器的鉴权号的第一随机信息，使得所述信息网关将所述第一随机信息转发至一第三方服务器；

第二接收模块，设置为：接收所述第三方服务器根据所述目的商家服务器的鉴权号确定的目的商家服务器的身份信息；

第二确定模块，设置为：根据所述目的商家服务器的身份信息和所述目的商家服务器反馈的第一随机信息确定所述目的商家服务器的身份合法性。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-11任一项的方法。