[发明专利]身份溯源认证方法及系统

说明书

技术领域

本发明涉及认证安全领域，尤其涉及一种身份溯源认证方法及系统。

背景技术

目前随着移动电子商务应用的日益普及，移动电子商务用户身份认证的安全性成为用户关注的重点。在移动电子商务NET方式接入时，移动电子商务服务提供商SP对用户的认证通常采用“账号+口令+验证码”认证的方式，将验证码通过短信发送到用户开通业务时所登记的手机上，用户登录时需同时输入账号、口令以及验证码，通过验证后才能登录电子商务服务平台。

但目前移动电子商务所采用的“账号+口令+验证码”认证技术尚存在以下一些问题：

1、用户可能无法实时接收短信，业务即时性较差；

2、短信在发送过程中可能被拦截或窃听，增加了安全隐患；

3、增加了用户操作，较为繁琐。

发明内容

本发明的目的是提出一种身份溯源认证方法及系统，能够在提高移动电子商务NET方式的接入认证安全性的同时，提升用户访问效率和使用体验，解决安全性和便利性等问题。

为实现上述目的，本发明提供了一种身份溯源认证方法，包括：

服务提供商（Service Provider，简称SP）平台接收用户终端通过一次身份认证数据报文提交的常规认证信息后，根据所述常规认证信息进行身份验证；

验证通过后，所述服务提供商平台获取所述用户终端的移动运营商信息，并根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息；

所述移动运营商平台中的网关设备捕捉所述用户终端发出的二次身份认证数据报文，并根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息；

所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文，并发送给所述服务提供商平台进行基于所述用户识别卡信息的二次认证。

进一步的，所述服务提供商平台获取所述用户终端的移动运营商信息的操作具体为：

所述服务提供商平台通知所述用户终端选择移动运营商，并接收所述用户终端选择的移动运营商信息；或

所述服务提供商平台在本地数据库查询所述用户终端对应的移动运营商，所述用户终端对应的移动运营商信息为用户进行业务登记时在所述服务提供商平台的本地数据库中登记的所述用户终端的移动运营商信息。

进一步的，所述根据所述用户终端的移动运营商信息向对应的移动运营商平台发出身份溯源认证请求的操作具体为：

所述服务提供商平台根据所述用户终端的移动运营商信息确定对应的移动运营商平台；

所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求，所述身份溯源认证请求包括所述用户终端的流量特征信息。

进一步的，在所述服务提供商平台通过本侧的第一接口前置机向所述移动运营商平台的第二接口前置机发出身份溯源认证请求时，还包括：所述服务提供商平台向所述用户终端发出进行二次认证的要求，以便所述用户终端发送二次身份认证数据报文；以及

所述移动运营商平台的第二接口前置机将所述身份溯源认证请求传递给所述移动运营商平台中的网关设备；

所述移动运营商平台中的网关设备从所述身份溯源认证请求中获取所述用户终端的流量特征信息，并根据所述用户终端的流量特征信息捕捉所述用户终端的二次身份认证数据报文。

进一步的，在所述移动运营商平台中的网关设备接收所述身份溯源认证请求之后，从所述身份溯源认证请求提取出的参数包括所述用户终端的IP地址，则所述根据所述身份溯源认证请求从AAA服务器中获取对应的用户识别卡信息的操作具体为：

所述移动运营商平台中的网关设备将所述用户终端的IP地址发送给所述AAA服务器，所述AAA服务器根据所述用户终端的IP地址在本地数据库中查询对应用户的用户识别卡信息，所述用户识别卡信息包括国际移动用户识别码或手机号码信息。

进一步的，所述移动运营商平台中的网关设备将所述用户识别卡信息插入所述二次身份认证数据报文的操作具体为：

所述移动运营商平台中的网关设备根据预设加密算法对所述国际移动用户识别码或手机号码信息进行加密，然后将加密后的信息插入到所述二次身份认证数据报文中，形成新的二次身份认证数据报文。

进一步的，所述转发给所述服务提供商平台进行基于所述用户识别卡信息的二次认证的操作具体包括：