一种身份认证方法和设备

1.一种身份认证方法，其特征在于，包括：
当终端设备需要通过认证服务器进行身份认证时，所述终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；
所述终端设备接收所述移动通信终端设备返回的身份凭证，并向认证服务器发送携带所述身份凭证的认证请求消息；
所述终端设备接收所述认证服务器返回的认证响应消息，并根据该认证响应消息确定身份认证通过或不通过。
2.如权利要求1所述的方法，其特征在于，所述终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求，具体为：
所述终端设备向与自身对码绑定，且具有认证功能的移动通信终端设备发送身份凭证获取请求；
该方法还包括：
当所述终端设备通过本地局域网络或近距离通信机制检测到移动通信终端设备，且所述终端设备与所检测到的移动通信终端设备为第一次连接时，所述终端设备与该移动通信终端设备进行对码绑定，并建立安全连接。
3.如权利要求2所述的方法，其特征在于，所述终端设备向与自身对码绑定，且具有认证功能的移动通信终端设备发送身份凭证获取请求，具体为：
当所述终端设备确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为一个时，所述终端设备向该移动通信终端设备发送身份凭证获取请求；
当所述终端设备确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为多个时，所述终端设备选择其中一个移动通信终端设备，并向该移动通信终端设备发送身份凭证获取请求。
4.如权利要求1所述的方法，其特征在于，所述终端设备接收到所述认证服务器返回的认证响应消息之后，还包括：
所述终端设备根据所述身份凭证对所述认证响应消息进行认证，以确定所述认证服务器合法或非法。
5.一种身份认证方法，其特征在于，包括：
当移动通信终端设备接收到终端设备发送的身份凭证获取请求时，所述移动通信终端设备根据自身与认证服务器协商生成的认证凭证，生成对应所述终端设备的身份凭证；
所述移动通信终端设备将所述身份凭证发送给所述终端设备，以使所述终端设备根据该身份凭证进行认证。
6.如权利要求5所述的方法，其特征在于，该方法还包括：
所述移动通信终端设备与认证服务器进行初始认证，生成认证凭证并存储所述认证凭证。
7.如权利要求5所述的方法，其特征在于，所述移动通信终端设备根据所述认证凭证生成对应所述终端设备的身份凭证，具体为：
所述移动通信终端根据所述认证凭证、辅助信息以及动态参数生成对应所述终端设备的身份凭证；
其中，所述辅助信息包括：所述终端设备的设备标识DID、所述移动通信终端标识MDID、所述终端设备请求访问的应用的标识、固定字符串、随机数中的一个或多个；
所述动态参数包括：所述移动通信终端生成所述身份凭证的当前时间、所述移动通信终端与认证服务共享的计数器的计数值、或所述移动通信终端从所述认证服务器中获得的随机挑战。
8.一种终端设备，其特征在于，包括：
第一接口模块，用于当所述终端设备需要通过认证服务器进行身份认证时，所述终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；接收所述移动通信终端设备返回的身份凭证；
第二接口模块，用于向认证服务器发送携带所述身份凭证的认证请求消息；接收认证服务器返回的认证响应消息；
确定模块，用于根据所述第二接收模块接收到的认证响应消息确定身份认证通过或不通过。
9.如权利要求8所述的终端设备，其特征在于，
所述第一接口模块具体用于，向与自身对码绑定，且具有认证功能的移动通信终端设备发送身份凭证获取请求；
所述终端设备还包括：
对码模块，用于当所述终端设备通过本地局域网络或近距离通信机制检测到移动通信终端设备，且所述终端设备与所检测到的移动通信终端设备为第一次连接时，与该移动通信终端设备进行对码绑定，并建立安全连接。
10.如权利要求8所述的终端设备，其特征在于，所述第一接口模块具体用于：
当所述终端设备确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为一个时，向该移动通信终端设备发送身份凭证获取请求；
当所述终端设备确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为多个时，选择其中一个移动通信终端设备，并向该移动通信终端设备发送身份凭证获取请求。
11.如权利要求8所述的终端设备，其特征在于，所述终端设备还包括：
认证模块，用于当所述第二接口模块接收到认证服务器返回的认证响应消息之后，根据所述身份凭证对所述认证响应消息进行认证，以确定所述认证服务器合法或非法。
12.一种移动通信终端设备，其特征在于，包括：
生成模块，用于当所述移动通信终端设备接收到终端设备发送的身份凭证获取请求时，根据自身与认证服务器协商生成的认证凭证，生成对应所述终端设备的身份凭证；
发送模块，用于将所述身份凭证发送给所述终端设备，以使所述终端设备根据该身份凭证进行认证。
13.如权利要求12所述的移动通信终端设备，其特征在于，所述移动通信终端设备还包括：
认证模块，用于与认证服务器进行初始认证，生成认证凭证并存储所述认证凭证。
14.如权利要求12所述的移动通信终端设备，其特征在于，
所述生成模块具体用于，根据所述认证凭证、辅助信息以及动态参数生成对应所述终端设备的身份凭证；
其中，所述辅助信息包括：所述终端设备的设备标识DID、所述移动通信终端标识MDID、所述终端设备请求访问的应用的标识、固定字符串、随机数中的一个或多个；
所述动态参数包括：所述移动通信终端生成所述身份凭证的当前时间、所述移动通信终端与认证服务共享的计数器的计数值、或所述移动通信终端从所述认证服务器中获得的随机挑战。

一种身份认证方法和设备\n技术领域\n[0001] 本发明涉及通信技术领域，特别是涉及一种身份认证方法和设备。\n背景技术\n[0002] 现有技术中，用户在终端设备上登录业务时，往往需要认证自身身份，基于口令的认证方式由于口令易丢失、强度不高、需要用户记忆和输入等原因，不能完全满足业务对用户体验和安全性的要求。为了解决安全和易用性问题，目前很多业务使用短信验证码方式认证，该验证码发送到手机上，由用户填写验证码到计算机上，完成登录认证。这种方式安全性有所增强，但还是需要用户在计算机输入，而且存在短信时延不可控的问题。\n[0003] 现有技术中还存在一种使用手机生成动态口令认证的方式，由用户手机终端本地生成动态验证码，然后用户将该验证码输入到计算机完成认证，其应用场景的系统架构图可以如图1所示。\n[0004] 上述身份认证方式中，需要用户手动输入，影响了用户业务使用的连续性，用户体验不好，同时，由于需要用户手动输入，密码长度和取值范围受限，安全强度不足。\n发明内容\n[0005] 本发明实施例提供一种身份认证方法和设备，以提高身份认证的效率和安全性。\n[0006] 为了达到以上目的，本发明实施例提供了一种身份认证方法，包括：\n[0007] 当终端设备需要通过认证服务器进行身份认证时，所述终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；\n[0008] 所述终端设备接收所述移动通信终端设备返回的身份凭证，并向认证服务器发送携带所述身份凭证的认证请求消息；\n[0009] 所述终端设备接收所述认证服务器返回的认证响应消息，并根据该认证响应消息确定身份认证通过或不通过。\n[0010] 本发明实施例提供一种身份认证方法，包括：\n[0011] 当移动通信终端设备接收到终端设备发送的身份凭证获取请求时，所述移动通信终端设备根据自身与认证服务器协商生成的认证凭证，生成对应所述终端设备的身份凭证；\n[0012] 所述移动通信终端设备将所述身份凭证发送给所述终端设备，以使所述终端设备根据该身份凭证进行认证。\n[0013] 本发明实施例还提供一种终端设备，，包括：\n[0014] 第一接口模块，用于当所述终端设备需要通过认证服务器进行身份认证时，所述终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；接收所述移动通信终端设备返回的身份凭证；\n[0015] 第二接口模块，用于向认证服务器发送携带所述身份凭证的认证请求消息；接收认证服务器返回的认证响应消息；\n[0016] 确定模块，用于根据所述第二接收模块接收到的认证响应消息确定身份认证通过或不通过。\n[0017] 本发明实施例还提供一种移动通信终端设备，包括：\n[0018] 生成模块，用于当所述移动通信终端设备接收到终端设备发送的身份凭证获取请求时，根据自身与认证服务器协商生成的认证凭证，生成对应所述终端设备的身份凭证；\n[0019] 发送模块，用于将所述身份凭证发送给所述终端设备，以使所述终端设备根据该身份凭证进行认证。\n[0020] 本发明上述实施例中，当终端设备需要通过认证服务器进行身份认证时，终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；移动通信终端设备接收到与自身对码绑定的终端设备发送的身份凭证获取请求后，根据自身与认证服务器协商生成的认证凭证生成对应该终端设备的身份凭证，并将该身份凭证发送给终端设备；终端设备向认证服务器发送携带该身份凭证的认证请求消息，并接收认证服务器返回的认证响应消息，根据该认证响应消息确定身份认证通过或不通过，提高了身份认证的效率和安全性。\n[0021] 本发明实施例还提供了一种身份认证方法，包括：\n[0022] 当终端设备需要通过认证服务器进行身份认证时，所述终端设备向认证服务器发送认证请求消息，所述认证请求消息中携带有用于唯一标识用户身份的移动用户号码MSISDN，以使所述认证服务器根据所述MSISDN向对应的移动通信终端设备发起授权流程；\n[0023] 所述终端设备接收所述认证服务器返回的认证响应消息，并根据该认证响应消息确定身份认证通过或不通过。\n[0024] 本发明实施例还提供了一种身份认证方法，包括：\n[0025] 认证服务器接收终端设备发送的认证请求消息，所述认证请求消息中携带有用于唯一标识用户身份的移动用户号码MSISDN；\n[0026] 所述认证服务器根据所述MSISDN向对应的移动通信终端设备发送授权请求消息，以请求所述移动通信终端设备对所述终端设备的业务访问进行授权；\n[0027] 所述认证服务器接收所述移动通信终端设备返回的授权响应消息，根据该授权响应消息确定所述终端设备的身份认证通过或不通过，并向所述终端设备返回认证响应消息。\n[0028] 本发明实施例还提供了一种终端设备，包括：\n[0029] 发送模块，用于当所述终端设备需要通过认证服务器进行身份认证时，向认证服务器发送认证请求消息，所述认证请求消息中携带有用于唯一标识用户身份的移动用户号码MSISDN，以使所述认证服务器根据所述MSISDN向对应的移动通信终端设备发起授权流程；\n[0030] 接收模块，用于接收所述认证服务器返回的认证响应消息；\n[0031] 确定模块，用于根据所述接收模块接收到的认证响应消息确定身份认证通过或不通过。\n[0032] 本发明实施例还提供了一种认证服务器，包括：\n[0033] 第一接口模块，用于接收终端设备发送的认证请求消息，所述认证请求消息中携带有用于唯一标识用户身份的移动用户号码MSISDN；向所述终端设备返回认证响应消息；\n[0034] 第二接口模块，用于根据所述MSISDN向对应的移动通信终端设备发送授权请求消息，以请求所述移动通信终端设备对所述终端设备的业务访问进行授权；接收所述移动通信终端设备返回的授权响应消息；\n[0035] 确定模块，用于根据所述授权响应消息确定所述终端设备的身份认证通过或不通过，并通过所述第一接口模块向所述终端设备返回认证响应消息。\n[0036] 本发明上述实施例中，当终端设备需要通过认证服务器进行身份认证时，终端设备向认证服务器发送携带有用于唯一标识用户身份的MSISDN的认证请求消息；认证服务器接收到该认证请求消息后，根据其中携带的MSISDN向对应的移动通信终端设备发送授权请求消息，以请求该移动通信终端设备对该终端设备的业务访问进行授权，并接收该移动通信终端设备返回的授权响应消息；认证服务器根据该授权响应消息确定终端设备的身份认证通过或不通过，并向终端设备返回认证响应消息，提高了身份认证的效率和安全性。\n附图说明\n[0037] 图1为本发明实施例提供的一种身份认证方法的流程示意图；\n[0038] 图2为本发明实施例提供的一种终端设备与移动通信终端设备之间的对码绑定流程示意图；\n[0039] 图3为本发明实施例提供的一种具体应用场景的系统架构示意图；\n[0040] 图4为本发明实施例提供的一种身份认证方法的流程示意图；\n[0041] 图5为本发明实施例提供的一种身份认证方法的流程示意图；\n[0042] 图6为本发明实施例提供的一种具体应用场景的系统架构示意图；\n[0043] 图7为本发明实施例提供的一种身份认证方法的流程示意图；\n[0044] 图8为本发明实施例提供的一种具体应用场景的系统架构示意图；\n[0045] 图9为本发明实施例提供的一种身份认证方法的流程示意图；\n[0046] 图10为本发明实施例提供的一种终端设备的结构示意图；\n[0047] 图11为本发明实施例提供的一种移动通信终端设备的结构示意图；\n[0048] 图12为本发明实施例提供的一种终端设备的结构示意图；\n[0049] 图13为本发明实施例提供的一种认证服务器的结构示意图。\n具体实施方式\n[0050] 针对上述现有技术中存在的问题，本发明实施例提供了一种身份认证的技术方案。在该技术方案中，当终端设备需要通过认证服务器进行身份认证时，终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；移动通信终端设备接收到与自身对码绑定的终端设备发送的身份凭证获取请求后，根据自身与认证服务器协商生成的认证凭证生成对应该终端设备的身份凭证，并将该身份凭证发送给终端设备；终端设备向认证服务器发送携带该身份凭证的认证请求消息，并接收认证服务器返回的认证响应消息，根据该认证响应消息确定身份认证通过或不通过，提高了身份认证的效率和安全性。\n[0051] 下面将结合本发明的实施例中的附图，对本发明的实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明的实施例保护的范围。\n[0052] 如图1所示，为本发明实施例提供的一种身份认证方法的流程示意图，可以包括以下步骤：\n[0053] 步骤101、当终端设备需要通过认证服务器进行身份认证时，终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求。\n[0054] 具体的，为了保证业务访问的安全性，当终端设备需要对网络侧业务进行访问时，终端设备需要通过认证服务器进行身份认证。\n[0055] 在本发明实施例中，终端设备通过从移动通信终端设备获取身份凭证，并使用该身份凭证向认证服务器进行身份认证。\n[0056] 其中，终端设备请求获取身份凭证的移动通信终端设备需要是具有认证功能的移动通信终端。优选地，该终端设备需要与该移动通信终端设备进行对码绑定。相应地，在本发明实施例中，当终端设备检测到移动通信终端设备时，若该终端设备与所检测到的移动通信终端设备为第一次连接，则该终端设备与该移动通信终端设备进行对码绑定，并建立安全连接。其中，上述移动通信终端设备可以是终端设备通过本地局域网络（如WLAN（Wireless Local AreaNetwork，无线局域网））或者近距离通信机制（如蓝牙、红外、NFC（Near FieldCommunication，近场通信）、数据线等）检测到的移动通信终端设备，且对码绑定的终端设备与移动通信终端设备之间的对应关系可以为一一对应关系、一对多或多对一的对应关系。\n[0057] 其中，在本发明实施例中，具备认证能力的移动通信终端设备可以通过局域网或近距离通信机制广播自身的认证能力，并在广播消息中携带自身的地址（如IP地址）和认证服务访问地址（如本地URL），终端设备检测到移动通信终端设备的广播消息后，可以根据其中携带的地址信息与相应的移动通信终端设备建立安全连接。\n[0058] 当终端设备需要通过认证服务器进行身份认证时，终端设备检测与自身对码绑定的移动通信终端设备是否具有认证功能，并当确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为一个时，该终端设备向该移动通信终端设备发送身份凭证获取请求；当确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为多个时，该终端设备从中选择一个移动通信终端设备并发送身份凭证获取请求。其中，终端设备从多个与自身对码绑定，且具有认证功能的移动通信终端设备中选择一个的方式可以为随机选择方式，也可以为其它方式，在此不再赘述。\n[0059] 其中，在本发明实施例中，终端设备与移动通信终端设备之间的对码绑定流程（以终端设备发起对码请求为例）可以如图2所示，可以包括以下步骤：\n[0060] 步骤201、在终端设备和移动通信终端设备中预置初始密钥pk。\n[0061] 其中，初始密钥pk可以预先配置在安全软件的代码中，终端设备和移动通信终端设备安装该安全软件时自动读取该初始密钥pk；初始密钥pk还可以以用户手动输入的方式配置在终端设备和移动通信终端设备中。\n[0062] 步骤202、终端设备向移动通信终端设备发送对码请求消息。其中，该对码请求中携带有终端设备的名称标识（如uuid1）。\n[0063] 步骤203、移动通信终端设备接收到对码请求消息后，向终端设备返回对码挑战消息。其中，该对码挑战请求中携带有移动通信终端设备生成的随机数（如rand1）以及移动通信终端设备的名称标识（如uuid2）。\n[0064] 具体的，移动通信终端设备接收到对码请求后，获取并记录其中携带的终端设备的名称标识（uuid1）；移动通信终端设备生成随机数rand1，并将该随机数与自身的名称标识（uuid2）一起携带在对码挑战消息中返回给终端设备。\n[0065] 步骤204、终端设备接收到对码挑战消息后，向移动通信终端设备返回对码确认请求消息。其中携带有终端设备生成的随机数（如rand2）以及终端设备通过预设算法生成的验证码（response）。\n[0066] 具体的，终端设备接收到对码挑战消息后，获取并记录其中携带的随机数1和移动通信终端设备名称标识（uuid2）；终端设备通过预设的算法，根据uuid1、uuid2、pk、rand1以及rand2生成验证码response（如response=MD5（uuid1，uuid2，pk，rand1，rand2）），并将随机数rand2以及该验证码response一起携带在对码确认请求消息中返回给移动通信终端设备。\n[0067] 步骤205、移动通信终端设备接收到对码确认请求消息后，向终端设备返回对码响应消息。其中携带有移动通信终端设备通过相同算法生成的验证码（rspauth）。\n[0068] 具体的，移动通信终端设备接收到对码确认请求消息后，获取并记录其中携带的随机数rand2，并通过相同的算法，根据uuid1、uuid2、pk、rand1以及rand2生成验证码rspauth（rspauth=MD5（uuid1，uuid2，pk，rand1，rand2）），并当response=rspauth时，确认对码成功，将rspauth携带在对码响应消息中返回给终端设备。\n[0069] 步骤206、终端设备和移动通信终端设备通过预设算法生成共享密钥sk。\n[0070] 具体的，当终端设备接收到移动通信终端设备返回的对码响应消息后，获取其中的rspauth，并当response=rspauth时，确认对码成功，通过预设的算法，并根据预设的字符串（如“shared key”）、uuid1、uuid2、pk、rand1以及rand2生成共享密钥sk（如sk=MD5（“shared key”，uuid1，uuid2，pk，rand1，rand2））；相应地，移动通信终端设备也通过相同的算法生成共享密钥sk。\n[0071] 其中，本发明实施例提供的技术方案中，终端设备和移动通信终端设备在获取到rand1和rand2后，还可以根据rand1和rand2通过预设算法生成用户确认码（如Code=H6（BASE64（rand1，rand2））），并显示给用户。当终端设备和移动通信终端设备生成的用户确认码（Code）相同时，确认对码成功。\n[0072] 步骤102、当移动通信终端设备接收到与自身对码绑定的终端设备发送的身份凭证获取请求时，移动通信终端设备根据自身与认证服务器协商生成的认证凭证，生成对应该终端设备的身份凭证，并发送给该终端设备。\n[0073] 具体的，在本发明实施例中，移动通信终端设备需要与认证服务器进行认证，并当认证完成后，协商生成认证凭证（如密钥）并进行存储（可以存储在本地）。\n[0074] 当移动通信终端设备接收到与自身对码绑定的终端设备发送的身份凭证获取请求时，该移动通信终端设备根据与认证服务器协商生成的认证凭证生成对应该终端设备的身份凭证，并将所生成的身份凭证发送给该终端设备。\n[0075] 其中，移动通信终端设备根据认证凭证生成身份凭证具体可以通过以下方式实现：\n[0076] 移动通信终端根据所述认证凭证、辅助信息以及动态参数生成对应终端设备的身份凭证，其具体实现方式至少可以包括以下3种：\n[0077] 方式1：\n[0078] 移动通信终端使用与认证服务器协商的认证凭证（密钥）K1、移动通信终端当前时间T1和辅助信息AuxInfo生成身份凭证Token，辅助信息包括但不限于终端设备的设备标识DID、移动通信终端标识MDID、终端设备请求访问的应用的标识（如应用ID或应用的域名QFDN等）、固定字符串、随机数等信息中的一个或多个。\n[0079] 其中，Token={Ticket、T1、AuxInfo}\n[0080] Ticket=Gen(K1，T1，AuxInfo),\n[0081] Gen函数可以为SHA-1、SHA-256、AES等摘要或加密算法，或者为多个摘要、加密算法的组合。\n[0082] 方式2：\n[0083] 移动通信终端实现与认证服务器协商的认证凭证中除了共享的密钥外还包括一个共享的计数器Counter，移动通信终端与认证服务器事先协商计数器的计数步长delta。\n[0084] 每次移动通信终端为对端对码设备生成身份凭证Token时，其生成方式为：\n[0085] Token={Ticket、counter、AuxInfo}\n[0086] Ticket=Gen(K1，Counter，AuxInfo)，其中Gen、K1、AuxInfo同方式1；\n[0087] 每次生成身份凭证后，移动通信终端在其本地counter基础上增加delta，以保持与认证服务器间计数器的同步，认证服务器同样在验证成功身份凭证后，也将保持的counter增加delta。为了保证系统的健壮性，移动通信终端可以与认证服务器事先协商一定的counter冗余窗口windw，即在[counter-windw，counter+windw]之间的计数器值均可接受。\n[0088] 方式3：\n[0089] 终端设备在移动通信终端请求身份凭证前，首先从认证服务器请求得到一个随机挑战（challenge-s）,在向移动通信终端发送身份凭证请求时携带该随机挑战值，移动通信终端生成身份凭证时计算如下：\n[0090] Token={Ticket、Challenger-s、AuxInfo}\n[0091] Ticket=Gen（K1，challenger-s,AuxInfo）\n[0092] 其中Gen、K1、AuxInfo定义如方式1。\n[0093] 步骤103、终端设备接收移动通信终端设备返回的身份凭证，并向认证服务器发送携带该身份凭证的认证请求消息。\n[0094] 具体的，在本发明实施例中，终端设备使用从移动通信终端设备侧获取到的身份凭证向认证服务器进行认证。\n[0095] 当终端设备接收到移动通信终端设备返回的身份凭证后，将该身份凭证携带在认证请求消息中发送给认证服务器，由认证服务器根据该身份凭证对该终端设备进行认证。\n[0096] 步骤104、认证服务器接收到认证请求消息后，根据其中携带的身份凭证对终端设备进行身份认证，并向该终端设备返回认证响应消息。\n[0097] 步骤105、终端设备接收认证服务器返回的认证响应消息，并根据该认证响应消息确定身份认证通过或不通过。\n[0098] 具体的，当终端设备接收到认证服务器返回的认证通过的响应消息时，确定身份认证通过；当终端设备接收到认证服务器返回的认证不通过的响应消息时，确定身份认证不通过。\n[0099] 为了进一步保证业务访问的安全性，在本发明实施例提供的技术方案中，当终端设备接收到认证服务器返回的认证响应消息后，还可以根据移动通信终端设备提供的身份凭证信息对该认证响应消息进行验证，从而实现对认证服务器的认证，进一步提高业务访问的安全性。\n[0100] 其中，终端设备对认证服务器的认证具体可以通过以下方式实现：\n[0101] 移动通信终端设备在为终端设备生成身份凭证Token时，同时还为终端设备生成一个服务器身份凭证Token-s。Token-s应根据移动通信终端设备与认证服务器预先设定的规则生成，具体的可以有几种方式：\n[0102] 1.Token-s为固定的byte串，此时终端身份凭证Token与之前定义相同；\n[0103] 2.Token-s=Gen2（K1，rand-m,AuxInfo2）,其中Gen2函数可以为SHA-1、SHA-256、AES等摘要或加密算法，或者为多个摘要、加密算法的组合。K1为移动通信终端设备与认证服务器协商的共享密钥，rand-m为移动终端设备产生的随机数(或本地计数器值)，AuxInfo2包括但不限于对端终端设备的设备标识DID1、对端设备请求访问的应用的标识（如应用ID或应用的域名QFDN等）、认证服务器标识或域名、固定字符串等信息中的一个或多个。此时，终端身份凭证Token中的AuxInfo中须包含rand-m。\n[0104] 终端设备在向认证服务器请求认证时仅需要发送Token字段，Token-s留在终端设备本地。认证服务器向终端设备返回认证结果时，一并返回认证服务器生成的服务器凭证Token-s2，终端设备检查Token-s2与之前移动终端设备生成的Token-s是否相同，若相同，则认证服务器身份认证通过，否则认证服务器身份认证失败。\n[0105] 为了更好地理解本发明实施例提供的技术方案，下面结合具体的应用场景对本发明实施例提供的技术方案进行更加详细地描述。\n[0106] 参见图3，为本发明实施例提供的一种具体应用场景的系统架构示意图，在该实施例中，以终端设备为PC，移动通信终端设备为手机进行描述。用户通过PC1对网络侧的业务进行访问，手机1具有认证功能。该应用场景下本发明实施例提供的身份认证方法的流程示意图可以如图4所示。\n[0107] 如图4所示，为本发明实施例提供的一种具体应用场景下的身份认证方法的流程示意图，可以包括：\n[0108] 步骤401、手机1与认证服务器进行初始认证，协商生成密钥K1存储在本地。\n[0109] 步骤402、PC1通过WLAN网络检测到PC1，与PC1对码绑定，并建立安全连接。\n[0110] 其中，步骤401和步骤402之间并没有必然的时序先后顺序，即可以先执行步骤\n401，后执行步骤402；也可以先执行步骤402，再执行步骤401。\n[0111] 步骤403、当用户在PC1上访问网络侧业务时，PC1向手机1发送身份凭证获取请求。\n[0112] 具体的，当用户在PC1上访问网络侧业务时，PC1需要通过认证服务器进行身份认证。在该实施例中，PC1从手机1侧获取身份凭证，并根据获取到的身份凭证向认证服务器进行身份认证。\n[0113] 步骤404、手机1接收到身份凭证获取请求后，根据密钥K1生成对应PC1的身份凭证，并发送给PC1。\n[0114] 其中，手机1根据密钥K1生成对应PC1的身份凭证的具体方式可以参见上述移动通信终端设备根据认证凭证生成身份凭证的方式，在此不再赘述。\n[0115] 步骤405、PC1接收到身份凭证后，向认证服务器发送认证请求消息，该认证请求消息中携带有该身份凭证。\n[0116] 步骤406、认证服务器接收到认证请求消息后，根据该认证请求消息中携带的身份凭证对PC1进行身份认证，并向PC1返回认证响应消息。\n[0117] 步骤407、PC1接收到认证服务器返回的认证响应消息后，根据手机1提供的身份凭证信息以及该认证响应消息对认证服务器进行认证。\n[0118] 其中，PC1根据手机1提供的身份凭证信息以及该认证响应消息对认证服务器进行认证的具体实现方式可以参见上述终端设备对认证服务器的认证方式，在此不再赘述。\n[0119] 通过以上描述可以看出，在本发明上述实施例中，当终端设备需要通过认证服务器进行身份认证时，终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；移动通信终端设备接收到与自身对码绑定的终端设备发送的身份凭证获取请求后，根据自身与认证服务器协商生成的认证凭证生成对应该终端设备的身份凭证，并将该身份凭证发送给终端设备；终端设备向认证服务器发送携带该身份凭证的认证请求消息，并接收认证服务器返回的认证响应消息，根据该认证响应消息确定身份认证通过或不通过，提高了身份认证的效率和安全性。\n[0120] 针对上述现有技术中存在的问题，本发明实施例还提供了另外一种身份认证的技术方案。在该技术方案中，当终端设备需要通过认证服务器进行身份认证时，终端设备向认证服务器发送携带有用于唯一标识用户身份的MSISDN（Mobile  Subscriber \nInternational ISDN（Integrated Services Digital Network，综合业务数字网）Number，移动用户号码）的认证请求消息；认证服务器接收到该认证请求消息后，根据其中携带的MSISDN向对应的移动通信终端设备发送授权请求消息，以请求该移动通信终端设备对该终端设备的业务访问进行授权，并接收该移动通信终端设备返回的授权响应消息；认证服务器根据该授权响应消息确定终端设备的身份认证通过或不通过，并向终端设备返回认证响应消息，提高了身份认证的效率和安全性。\n[0121] 其中，在该实施例中，终端设备与移动通信终端设备可以为不同的两个设备，也可以为同一个设备。\n[0122] 下面将结合本发明的实施例中的附图，对本发明的实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明的实施例保护的范围。\n[0123] 如图5所示，为本发明实施例提供的一种身份认证方法的流程示意图，可以包括以下步骤：\n[0124] 步骤501、当终端设备需要通过认证服务器进行身份认证时，该终端设备向认证服务器发送认证请求消息，该认证请求消息中携带有MSISDN。\n[0125] 具体的，为了保证业务访问的安全性，当终端设备需要对网络侧业务进行访问时，终端设备需要通过认证服务器进行身份认证。\n[0126] 在本发明实施例中，认证服务器根据移动通信终端设备的对终端设备的授权状态对终端设备进行身份认证。当终端设备需要通过认证服务器进行身份认证时，终端设备向认证服务器发送携带有MSISDN的认证请求消息，以使认证服务器根据该MSISDN向对应的移动通信终端设备发起授权流程。其中，终端设备发送的认证请求消息中携带的MSISDN可以是对应任意移动通信终端设备的MSISDN，但优选地，该移动通信终端设备与终端设备属于同一用户。\n[0127] 步骤502、认证服务器接收到认证请求消息后，根据其中携带的MSISDN向对应的移动通信终端设备发送授权请求消息。\n[0128] 具体的，在本发明实施例提供的技术方案中，当认证服务器接收到认证请求消息后，获取该认证请求消息中携带的MSISDN，并根据该MSISDN向对应的移动通信终端设备发送授权请求消息，以请求移动通信终端设备对终端设备的业务访问进行授权。其中，认证服务器向移动通信终端设备发送授权请求消息的方式包括但不限于：IP Push（推送）、短信、或USSD（UnstructuredSupplementary Service Data，非结构化补充数据业务）。\n[0129] 移动通信终端设备接收到认证服务器发送的授权请求消息后，向用户展示授权确认界面，由用户选择是否对相应终端设备的业务访问进行授权，并根据用户的选择结果向认证服务器返回授权响应消息。\n[0130] 步骤503、认证服务器接收移动通信终端设备返回的授权响应消息，根据该授权响应消息确定终端设备的身份认证通过或不通过，并向终端设备返回认证响应消息。\n[0131] 具体的，认证服务器接收到移动通信终端设备返回的授权响应消息后，若该授权响应消息为对终端设备的业务访问进行授权，则认证服务器确定终端设备的身份认证通过；若该授权响应消息为不对终端设备的业务访问进行授权，则认证服务器确定终端设备的身份认证不通过。\n[0132] 步骤504、终端设备接收认证服务器返回的认证响应消息，并根据该认证响应消息确定身份认证通过或不通过。\n[0133] 需要注意的是，在本发明实施例提供的技术方案中，终端设备发送的认证请求消息中携带的MSISDN对应的移动通信终端设备可以为该终端设备自身，即终端设备与移动通信终端设备为同一台设备，终端设备在认证请求消息中携带自身的MSISDN。相应地，终端设备向认证服务器发送认证请求消息之后，还需要接收认证服务器发送的用于请求对该终端设备的业务访问进行授权的授权请求，并向认证服务器返回授权响应消息，以使认证服务器根据授权响应消息向终端设备返回认证响应消息。\n[0134] 为了更好地理解本发明实施例提供的技术方案，下面结合具体的应用场景对本发明实施例提供的技术方案进行更加详细地描述。\n[0135] 参见图6，为本发明实施例提供的一种具体应用场景的系统架构示意图，在该实施例中，以终端设备为PC，移动通信终端设备为手机进行描述。用户通过PC1对网络侧的业务进行访问。该应用场景下本发明实施例提供的身份认证方法的流程示意图可以如图7所示。\n[0136] 如图7所示，为本发明实施例提供的一种具体应用场景下的身份认证方法的流程示意图，可以包括以下步骤：\n[0137] 步骤701、手机1与认证服务器建立TCP（Transmission Control Protocol，传输控制协议）连接。\n[0138] 步骤702、当用户在PC1上访问网络侧业务时，PC1向认证服务器发送认证请求消息，其中携带有手机1的MSISDN（如13712345678）。\n[0139] 步骤703、认证服务器接收到认证请求消息后，根据其中携带的MSISDN对应的移动通信终端设备（即手机1）发送授权请求消息。\n[0140] 其中，认证服务器可以以IP Push、短信、或USSD的方式向手机1发送授权请求消息。\n[0141] 步骤704、手机1接收到授权请求消息后，等待用户确认，并当用户确认后向认证服务器返回授权响应消息。\n[0142] 具体的，手机1接收到授权请求消息后，可以向用户展示选择界面，由用户选择对相应终端设备的业务访问授权，或拒绝对相应终端设备的业务访问授权，手机1根据用户的选择向认证服务器返回对应的授权响应消息。\n[0143] 步骤705、认证服务器接收到授权响应消息后，确定终端设备的身份认证通过或不通过，并向PC1返回认证响应消息。\n[0144] 步骤706、PC1根据接收到的认证响应消息确认自身的身份认证通过或不通过。\n[0145] 参见图8，为本发明实施例提供的另一种具体应用场景的系统架构示意图，在该实施例中，终端设备和移动通信终端设备均为手机1（即终端设备和移动通信终端设备为同一台设备），用户通过手机1对网络侧的业务进行访问。该应用场景下本发明实施例提供的身份认证方法的流程示意图可以如图9所示。\n[0146] 如图9所示，为本发明实施例提供的一种具体应用场景下的身份认证方法的流程示意图，可以包括以下步骤：\n[0147] 步骤901、手机1与认证服务器建立TCP连接。\n[0148] 步骤902、当用户在手机1上访问网络侧业务时，手机1向认证服务器发送认证请求消息，其中携带有手机1的MSISDN（如13712345678）。\n[0149] 步骤903、认证服务器接收到认证请求消息后，向手机1发送授权请求消息。\n[0150] 步骤904、手机1接收到授权请求消息后，等待用户确认，并当用户确认后向认证服务器返回授权响应消息。\n[0151] 步骤905、认证服务器接收到授权响应消息后，确定终端设备的身份认证通过或不通过，并向手机1返回认证响应消息。\n[0152] 步骤906、手机1根据接收到的认证响应消息确认自身的身份认证通过或不通过。\n[0153] 通过以上描述可以看出，在本发明上述实施例中，当终端设备需要通过认证服务器进行身份认证时，终端设备向认证服务器发送携带有移动通信终端设备的通信号码的认证请求消息；认证服务器接收到该认证请求消息后，根据其中携带的移动通信终端设备的通信号码向对应的移动通信终端设备发送授权请求消息，以请求该移动通信终端设备对该终端设备的业务访问进行授权，并接收该移动通信终端设备返回的授权响应消息；认证服务器根据该授权响应消息确定终端设备的身份认证通过或不通过，并向终端设备返回认证响应消息，提高了身份认证的效率和安全性。\n[0154] 基于上述方法实施例相同的技术构思，本发明实施例提供了一种终端设备可以应用于上述方法流程中。\n[0155] 如图10所示，为本发明实施例提供的一种终端设备的结构示意图，可以包括：\n[0156] 第一接口模块11，用于当所述终端设备需要通过认证服务器进行身份认证时，所述终端设备向具有认证功能的移动通信终端设备发送身份凭证获取请求；接收所述移动通信终端设备返回的身份凭证；\n[0157] 第二接口模块12，用于向认证服务器发送携带所述身份凭证的认证请求消息；接收认证服务器返回的认证响应消息；\n[0158] 确定模块13，用于根据所述第二接收模块12接收到的认证响应消息确定身份认证通过或不通过。\n[0159] 其中，所述第一接口模块11具体用于，向与自身对码绑定，且具有认证功能的移动通信终端设备发送身份凭证获取请求；\n[0160] 本发明实施例提供的终端设备还可以包括：\n[0161] 对码模块14，用于当所述终端设备通过本地局域网络或近距离通信机制检测到移动通信终端设备，且所述终端设备与所检测到的移动通信终端设备为第一次连接时，与该移动通信终端设备进行对码绑定，并建立安全连接。\n[0162] 其中，所述第一接口模块具体用于：\n[0163] 当所述终端设备确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为一个时，向该移动通信终端设备发送身份凭证获取请求；\n[0164] 当所述终端设备确定与自身对码绑定，且具有认证功能的移动通信终端设备的数量为多个时，选择其中一个移动通信终端设备，并向该移动通信终端设备发送身份凭证获取请求。\n[0165] 其中，本发明实施例提供的终端设备还可以包括：\n[0166] 认证模块15，用于当所述第二接口模块12接收到认证服务器返回的认证响应消息之后，根据所述身份凭证对所述认证响应消息进行认证，以确定所述认证服务器合法或非法。\n[0167] 基于上述方法实施例相同的技术构思，本发明实施例提供了一种移动通信终端设备，可以应用于上述方法实施例。\n[0168] 如图11所示，为本发明实施例提供的一种移动通信终端设备的结构示意图，可以包括：\n[0169] 生成模块21，用于当所述移动通信终端设备接收到终端设备发送的身份凭证获取请求时，根据自身与认证服务器协商生成的认证凭证，生成对应所述终端设备的身份凭证；\n[0170] 发送模块22，用于将所述身份凭证发送给所述终端设备，以使所述终端设备根据该身份凭证进行认证。\n[0171] 其中，本发明实施例提供的移动通信终端设备还可以包括：\n[0172] 认证模块23，用于与认证服务器进行初始认证，生成认证凭证并存储所述认证凭证。\n[0173] 其中，所述生成模块21具体用于，根据所述认证凭证、辅助信息以及动态参数生成对应所述终端设备的身份凭证；\n[0174] 其中，所述辅助信息包括：所述终端设备的设备标识DID、所述移动通信终端标识MDID、所述终端设备请求访问的应用的标识、固定字符串、随机数中的一个或多个；\n[0175] 所述动态参数包括：所述移动通信终端生成所述身份凭证的当前时间、所述移动通信终端与认证服务共享的计数器的计数值、或所述移动通信终端从所述认证服务器中获得的随机挑战。\n[0176] 基于上述方法实施例相同的技术构思，本发明实施例提供了一种终端设备，可以应用于上述方法实施例。\n[0177] 如图12所示，为本发明实施例提供的一种终端设备的结构示意图，可以包括：\n[0178] 发送模块31，用于当所述终端设备需要通过认证服务器进行身份认证时，向认证服务器发送认证请求消息，所述认证请求消息中携带有用于唯一标识用户身份的移动用户号码MSISDN，以使所述认证服务器根据所述MSISDN向对应的移动通信终端设备发起授权流程；\n[0179] 接收模块32，用于接收所述认证服务器返回的认证响应消息；\n[0180] 确定模块33，用于根据所述接收模块32接收到的认证响应消息确定身份认证通过或不通过。\n[0181] 其中，所述MSISDN对应的移动通信终端设备为所述终端设备；\n[0182] 所述接收模块32还用于，接收认证服务器发送的用于请求对所述终端设备的业务访问进行授权的授权请求；\n[0183] 所述发送模块31还用于，向所述认证服务器返回授权响应消息，以使所述认证服务器根据所述授权响应消息向所述终端设备返回认证响应消息。\n[0184] 基于上述方法实施例相同的技术构思，本发明实施例提供了一种认证服务器，可以应用于上述方法实施例。\n[0185] 如图13所示，为本发明实施例提供的一种认证服务器的结构示意图，可以包括：\n[0186] 第一接口模块41，用于接收终端设备发送的认证请求消息，所述认证请求消息中携带有用于唯一标识用户身份的移动用户号码MSISDN；向所述终端设备返回认证响应消息；\n[0187] 第二接口模块42，用于根据所述MSISDN向对应的移动通信终端设备发送授权请求消息，以请求所述移动通信终端设备对所述终端设备的业务访问进行授权；接收所述移动通信终端设备返回的授权响应消息；\n[0188] 确定模块43，用于根据所述授权响应消息确定所述终端设备的身份认证通过或不通过，并通过所述第一接口模块向所述终端设备返回认证响应消息。\n[0189] 其中，所述第二接口模块42具体用于，通过以下方式向所述移动通信终端设备发送授权请求消息消息的方式：\n[0190] IP推送Push、短信或非结构化补充数据业务USSD。\n[0191] 通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或网络设备等）执行本发明实施例各个实施场景所述的方法。\n[0192] 本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本发明实施例所必须的。\n[0193] 本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。\n[0194] 上述本发明实施例序号仅仅为了描述，不代表实施场景的优劣。\n[0195] 以上公开的仅为本发明实施例的几个具体实施场景，但是，本发明实施例并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明实施例的业务限制范围。