基于移动终端的身份认证方法及其装置和系统

1.一种基于移动终端的身份认证方法，其特征在于，包括以下步骤：
网络侧对用户通过所在认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；
网络侧接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据；
网络侧对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法；
其中，移动终端生成第二认证数据，包括：
移动终端使用第一认证数据，采用与网络侧约定的方式生成第二认证数据；
网络侧对第二数据进行认证，包括：
网络侧使用其生成的第一认证数据，采用与所述移动终端约定的方式生成认证数据，并将该自己生成的认证数据与所述移动终端生成的第二认证数据进行比较，如果两者一致，则对第二认证数据验证通过；
如果所述移动终端生成的第二认证数据采用数字签名，则网络侧对该第二认证数据进行认证之前还包括：
获取所述用户的用户证书，用获取到的用户证书验证该第二认证数据的数字签名。
2.如权利要求1所述的方法，其特征在于，网络侧在提供给所述认证客户端的登录界面上还显示有图形附加码，在对所述登录账号验证时还接收所述认证客户端根据该图形附加码所提交的数据，并将该数据与该图形附加码所显示的内容比较，如果在网络侧注册有所述登录账号的前提下两者一致，则对所述登录账号验证通过。
3.如权利要求1所述的方法，其特征在于，网络侧通过向所述移动终端发送数据短消息，将第一认证数据发送给该移动终端。
4.如权利要求1～3任一所述的方法，其特征在于，将第一认证数据发送给与所述登录账号绑定的移动终端，具体为：
应用服务器将其生成的第一认证数据，以及与所述登录账号绑定的移动终端标识发送给数据传输服务器；
所述数据传输服务器将第一认证数据转换为所述移动终端支持的数据格式后，根据所述移动终端标识将格式转换后的第一认证数据发送给相应移动终端；
网络侧接收所述移动终端生成并发送的第二认证数据，具体为：
所述数据传输服务器接收所述移动终端发送的第二认证数据，将其转换为所述应用服务器支持的数据格式后，发送给所述应用服务器。
5.如权利要求1～3任一所述的方法，其特征在于，所述认证客户端为安装于移动终端中的认证客户端，或者安装于PC终端中的认证客户端。
6.一种基于移动终端的认证系统，其特征在于，包括：应用服务器和数据传输服务器；
其中
所述应用服务器，用于对用户通过认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给所述数据传输服务器；以及，对所述数据传输服务器发送来的第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法；
所述数据传输服务器，用于将接收到的第一认证数据转换为移动终端支持的数据格式后，发送给与所述登录账号绑定的移动终端；以及，接收所述移动终端发送的第二认证数据，将第二认证数据转换为所述应用服务器支持的数据格式后发送给所述应用服务器，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据；
所述移动终端生成第二认证数据的方式包括：移动终端使用第一认证数据，采用与网络侧约定的方式生成第二认证数据；
所述应用服务器对所述数据传输服务器发送来的第二认证数据进行验证的方式包括：
所述应用服务器使用其生成的第一认证数据，采用与所述移动终端约定的方式生成认证数据，并将该自己生成的认证数据与所述移动终端生成的第二认证数据进行比较，如果两者一致，则对第二认证数据验证通过；
其中，如果移动终端生成的第二认证数据采用数字签名，则所述应用服务器还用于，在对第二认证数据进行认证之前，获取所述用户的用户证书，用获取到的用户证书验证第二认证数据的数字签名。
7.如权利要求6所述的认证系统，其特征在于，所述数据传输服务器通过向所述移动终端发送数据短消息，将格式转换后的第一认证数据发送给该移动终端。
8.一种应用服务器，其特征在于，包括：
登录账号验证模块，用于对用户通过认证客户端提交的登录账号进行验证；
认证数据生成模块，用于在所述登录账号验证模块对登录账号验证通过后生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；
身份认证模块，用于接收所述移动终端发送的第二认证数据，对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法；其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后生成并发送第二认证数据；
其中，所述身份认证模块验证第二认证数据时，使用其生成的第一认证数据，采用与所述移动终端约定的方式生成认证数据，并将该自己生成的认证数据与所述移动终端生成的第二认证数据进行比较，如果两者一致，则对第二认证数据认证通过；
所述应用服务器还包括：
获取模块，用于获取所述用户的用户证书，用获取到的用户证书验证所述身份认证模块接收到的第二认证数据的数字签名。
9.一种数据传输服务器，其特征在于，包括：
与应用服务器的接口模块，用于接收应用服务器生成并发送的第一认证数据；以及，将移动终端发送的、经格式转换后的第二认证数据发送给应用服务器进行验证；
与移动终端的接口模块，用于将格式转换后的第一认证数据发送给与应用服务器验证通过的登录账号绑定的移动终端；以及，接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后生成并发送第二认证数据；
格式转换模块，用于将从应用服务器接收的第一认证数据转换为移动终端支持的数据格式；以及，将从移动终端接收的第二认证数据转换为应用服务器支持的数据格式；
所述移动终端生成第二认证数据的方式包括：移动终端使用第一认证数据，采用与网络侧约定的方式生成第二认证数据；
所述应用服务器对所述数据传输服务器发送来的第二认证数据进行验证的方式包括：
所述应用服务器使用其生成的第一认证数据，采用与所述移动终端约定的方式生成认证数据，并将该自己生成的认证数据与所述移动终端生成的第二认证数据进行比较，如果两者一致，则对第二认证数据验证通过；
其中，如果移动终端生成的第二认证数据采用数字签名，则所述应用服务器在对第二认证数据进行认证之前，获取用户的用户证书，用获取到的用户证书验证第二认证数据的数字签名。
10.如权利要求9所述的数据传输服务器，其特征在于，所述与移动终端的接口模块，通过向所述移动终端发送数据短消息，将格式转换后的第一认证数据发送给所述移动终端。

基于移动终端的身份认证方法及其装置和系统\n技术领域\n[0001] 本发明涉及通信领域，尤其涉及一种基于移动终端的身份认证方法及其装置和系统。\n背景技术\n[0002] 互联网和电子商务的高速发展带动了在线交易、网络银行等繁荣，其交易额也呈现倍数的增长，但这种不断增长的趋势背后，网络银行的安全问题愈发让人担心。而网络信息化时代的最大特征就是身份的数字化和隐形化，如何准确识别一个人的身份，同时保护信息资料安全成为必须面对和解决的一个问题。\n[0003] 网上交易的频繁和网上银行的安全漏洞，使黑客更容易利用各种手段盗取银行卡卡号、密码及个人资料，假冒通知、木马程序、钓鱼网站等虚假信息不断涌现。所谓钓鱼网站就是不法分子利用各种手段，仿冒真实网站的URL(Uniform Resource Locator，统一资源定位器)地址以及页面内容，或是利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML(HyperText Mark-up Language，超文本标记语言)代码，以此来骗取用户银行或信用卡账号、密码等私人资料。钓鱼网站因存活期短、形式隐蔽等特点，传统的司法手段很难对其进行有效打击。因此，如何防止关键个人信息被木马、钓鱼网站等盗取或监听成为个人身份认证系统面对的挑战。\n[0004] 目前网络上常用的身份认证方式主要有如下几种：\n[0005] (1)用户名/口令认证技术\n[0006] 用户名/口令认证是最简单也是最普遍使用的身份认证方法。用户只要能够正确输入他自己的密码，系统就对该用户认证通过。\n[0007] 由于密码是静态数据，并且在验证过程中需要在计算机内存、登录Web页面以及网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序、钓鱼网站以及网络中的监听设备截获。\n[0008] (2)动态口令认证技术\n[0009] 动态口令认证技术是一种让用户的口令按照时间或使用次数不断动态变化，每个口令只使用一次的技术。它采用一种称之为动态令牌的专用硬件，口令生成芯片运行专门的口令生成算法，根据当前时间或使用次数生成当前口令。用户使用时将动态令牌上显示的当前口令输入认证客户端终端，从而实现身份的确认。\n[0010] 动态口令认证技术的安全性高于用户名/口令认证技术，但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登陆的问题。\n并且，用户每次登录时需要在Web认证页面中输入密码，依然存在被钓鱼网站非法截获的风险。\n[0011] (3)USBKey认证技术\n[0012] USB Key身份认证技术是采用软硬件相结合、一次一密的强双因子认证模式。它内置单片机或智能卡芯片，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。\n[0013] 该认证方式，需要将USB Key插入认证客户端所在的PC机才可使用，使得USB Key的使用场景受限。\n[0014] (4)生物特征认证技术\n[0015] 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术，常见的有指纹识别、虹膜识别等。但受到目前生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性，其准确性和稳定性还有待提高。\n[0016] 因此，目前迫切需要一种可以有效防范用户身份盗窃程序、安全性高，同时使用场景不受过多限制，并在技术上容易实现的身份认证技术。\n发明内容\n[0017] 本发明实施例提供了一种基于移动终端的身份认证方法及其装置和系统，用以解决现有身份认证技术安全性差和使用场景受限的问题。\n[0018] 本发明实施例提供的技术方案包括：\n[0019] 一种基于移动终端的身份认证方法，包括以下步骤：\n[0020] 网络侧对用户通过所在认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；\n[0021] 网络侧接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据；\n[0022] 网络侧对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法。\n[0023] 一种基于移动终端的认证系统，包括：应用服务器和数据传输服务器；其中[0024] 所述应用服务器，用于对用户通过认证客户端提交的登录账号验证通过后，生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给所述数据传输服务器；以及，对所述数据传输服务器发送来的第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法；\n[0025] 所述数据传输服务器，用于将接收到的第一认证数据转换为移动终端支持的数据格式后，发送给与所述登录账号绑定的移动终端；以及，接收所述移动终端发送的第二认证数据，将第二认证数据转换为所述应用服务器支持的数据格式后发送给所述应用服务器，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后，生成并发送第二认证数据。\n[0026] 一种应用服务器，包括：\n[0027] 登录账号验证模块，用于对用户通过认证客户端提交的登录账号进行验证；\n[0028] 认证数据生成模块，用于在所述登录账号验证模块对登录账号验证通过后生成第一认证数据，将第一认证数据提供给所述认证客户端，并发送给与该登录账号绑定的移动终端；\n[0029] 身份认证模块，用于接收所述移动终端发送的第二认证数据，对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法；其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后生成并发送第二认证数据。\n[0030] 一种数据传输服务器，包括：\n[0031] 与应用服务器的接口模块，用于接收应用服务器生成并发送的第一认证数据；以及，将移动终端发送的、经格式转换后的第二认证数据发送给应用服务器；\n[0032] 与移动终端的接口模块，用于将格式转换后的第一认证数据发送给与应用服务器验证通过的登录账号绑定的移动终端；以及，接收所述移动终端发送的第二认证数据，其中，所述移动终端在确认该移动终端接收到的第一认证数据与所述认证客户端接收到的第一认证数据一致后生成并发送第二认证数据；\n[0033] 格式转换模块，用于将从应用服务器接收的第一认证数据转换为移动终端支持的数据格式；以及，将从移动终端接收的第二认证数据转换为应用服务器支持的数据格式。\n[0034] 本发明的上述实施例中，网络侧在对用户提交的登录账号验证通过后，首先生成第一认证数据，并提供给认证客户端以及发送给与登录账号绑定的移动终端，从而供用户比较并确认是否相同，如果确认相同，则通过移动终端将移动终端生成的第二认证数据发送给网络侧，使网络侧根据该第二认证数据对该用户进行身份认证。可以看出，用户只需通过移动终端确认认证客户端和移动终端接收到的第一认证数据是否相同，与现有技术相比，无需用户在登录认证界面中输入任何认证信息，这样，避免了认证客户端被非法程序监听而导致认证信息丢失，从而有效地防止了驻留在认证客户端中的非法程序对用户身份信息的盗取，提高了安全性。由于本发明实施例提供的上述技术方案，对认证客户端没有特殊要求，因此，可适用于不同类型的认证客户端，而不受使用场景的限制。\n附图说明\n[0035] 图1为本发明实施例所涉及的网络系统架构示意图；\n[0036] 图2为本发明实施例中基于移动终端的身份认证流程示意图；\n[0037] 图3为本发明实施例中的登录认证界面示意图；\n[0038] 图4为本发明实施例中显示有临时认证票据的登录认证界面示意图；\n[0039] 图5为本发明实施例中的应用服务器的结构示意图；\n[0040] 图6为本发明实施例中的数据传输服务器的结构示意图。\n具体实施方式\n[0041] 下面结合附图对本发明实施例进行详细描述。\n[0042] 参见图1，为本发明实施例所适用的系统架构的示意图。对于使用移动终端作为身份认证客户端设备的情况，该系统架构主要包括：移动终端(内含(U)SIM卡，其中，USIM是通用用户身份识别模块的英文缩写，SIM是用户身份识别模块的英文缩写)、数据传输服务器、应用服务器，如果传输的数据采用数字签名，则还需要CA(证书管理机构)系统的LDAP(Lightweight DirectoryAccess Protocol，轻量目录访问协议)服务器。对于使用PC终端作为身份认证客户端设备的情况，该系统架构中还需包括PC终端。\n[0043] 上述系统架构中各设备的主要功能如下：\n[0044] 身份认证客户端设备，是应用服务器的接入访问设备。身份认证客户端设备可以是PC终端，用户可以通过PC终端、采用WWW方式访问应用服务器；身份认证客户端设备也可以是移动终端，用户可使用移动终端通过GPRS(General Packet Radio Service，通用无线分组业务)或WiFi(WirelessFidelity，无线保真)等方式访问应用服务器；\n[0045] 应用服务器，主要向用户提供各种业务服务，以及提供具有用户身份认证需求的应用。应用服务器具有身份认证模块以实现对用户身份的认证。本发明实施例中，应用服务器与数据传输服务器之间具有通信接口，用以将为用户生成的临时认证票据(即临时认证数据，以下同)发送给数据传输服务器，以便数据传输服务器在进行格式转换后发送到移动终端。应用服务器还可进一步与CA系统LDAP服务器之间具有通信接口，以从LDAP服务器获取用户证书验证用户签名；\n[0046] 数据传输服务器，主要负责应用服务器与移动终端之间通信的协议转换，可包括：\n数据传输服务器接收到应用服务器发送的用户身份认证票据后，首先将其由应用数据格式转化为(U)SIM可接受、解析和能够通过移动终端展示的数据格式，然后发送到移动终端，并激活(U)SIM卡的STK(SIM Tool Kit，用户识别应用开发工具)应用，以展示认证票据；数据传输服务器还可以接收用户在对认证票据进行确认签名后通过移动终端发送的当前认证口令，将认证口令转换为应用服务器可接受的格式，并转发给应用服务器；\n[0047] (U)SIM卡，其上具有实现身份认证的STK应用，该应用平时不可见，当有用户身份认证需求时，可由数据传输服务器通过数据短信方式激活并显现。用户可对通过(U)SIM卡STK菜单展现的认证票据进行核对，并对本次认证进行确认后，由(U)SIM卡通过认证口令生成算法生成本次认证口令，并通过数据传输服务器发送到应用服务器；\n[0048] CA/LDAP服务器，主要负责提供用户证书。若应用服务器接收到移动终端发送的认证口令使用了数字签名，则需要向CA系统的LDAP服务器查询相应的用户证书，以验证用户的数字签名，从而完成本次身份认证。\n[0049] 下面结合图2，以用户通过PC认证客户端登录应用服务器时的身份认证流程为例，详细描述本发明实施例所提供的动态身份认证流程。用户通过移动终端认证客户端登录应用服务器时的身份认证流程与此类似。\n[0050] 参见图2，为本发明实施例所提供的动态身份认证流程的示意图。本发明实施例中，用户在将其登录账号(其中可包括登录用户名和登录密码等信息)注册到应用服务器时，应用服务器还要将用户指定的移动终端标识与该用户的登录账号进行绑定，以便对该用户的身份进行认证。该流程主要包括以下步骤：\n[0051] 步骤201、PC认证客户端连接到应用服务器。\n[0052] 该步骤中，用户可通过所在PC认证客户端输入应用服务器URL地址连接到该应用服务器。\n[0053] 步骤202、应用服务器生成动态图形附加码，并将其显示在登录认证界面，将该登录认证界面提供给用户，以便用户输入登录账号信息(本流程中为用户名)等认证信息。\n[0054] 应用服务器将生成的图形附加码显示在登录认证界面上，是为了供用户依照显示的图形输入附加码，从而提高安全性，防止机器自动猜测登录攻击。图形附加码的生成与显示是可选操作。认证登录界面可如图3所示。\n[0055] 步骤203、PC认证客户端将用户在登录认证界面上输入的登录用户名、附加码，以及所选择的登录命令，提交给应用服务器。\n[0056] 步骤204、应用服务器验证用户输入的登录账号信息和附加码是否正确，若正确，则继续后续步骤；若错误，则跳转至步骤202，并可进一步提示用户输入错误。\n[0057] 该步骤中，如果用户输入的附加码与该图形附加码所显示的内容相同，则确认用户输入的附加码正确；如果用户输入的登录账号信息已经注册在应用服务器中，则确认该登录账号信息正确。\n[0058] 步骤205、应用服务器为该用户随机生成本次登录的临时认证票据，并提供给认证客户端，显示在登录认证界面上供用户核对。显示有临时认证票据的登录认证界面可如图4所示。\n[0059] 步骤206、应用服务器将为该用户生成的临时认证票据，连同与该用户的登录账号绑定的移动终端标识信息(如移动终端号码)等信息，发送给数据传输服务器。\n[0060] 步骤207、数据传输服务器将接收到的临时认证票据等信息转换成移动终端的(U)SIM卡可接受、识别的数据格式。转换后的数据格式可如表1所示。\n[0061] 表1、(U)SIM卡可接受的数据格式\n[0062]\n[0063] 步骤208、数据传输服务器根据移动终端标识，将格式转换后的临时认证票据发送到相应移动终端的(U)SIM卡，并激活(U)SIM卡上相应的STK程序。数据传输服务器可通过数据短消息方式将格式转换后的临时认证票据发送到相应移动终端的(U)SIM卡，以及激活(U)SIM卡上相应的STK程序。\n[0064] 步骤209、移动终端的(U)SIM卡将临时认证票据通过被激活的STK弹出式菜单进行显示。\n[0065] 步骤210、移动终端接收用户输入(或选择)的确认命令。\n[0066] 该步骤中，如果用户核对移动终端上显示的临时认证票据与登录界面上显示的临时认证票据内容相同，则输入(或选择)确认命令；否则，可输入(或选择)取消命令，以结束本次认证流程。\n[0067] 步骤211、移动终端上的(U)SIM卡在用户输入(或选择)确认命令后，采用与应用服务器预先约定的方式生成本次认证的认证口令。\n[0068] 该步骤中，移动终端上的(U)SIM卡可以以临时认证票据为输入参数，采用认证口令生成算法，比如DES、3DES、AES、RSA以及几种算法的组合等，生成本次认证的认证口令。也可以采用其他方式生成本次认证的认证口令，如，不使用临时认证票据作为输入参数，而是使用该用户与应用服务器所共享的其他数据作为输入参数。本实施例中，以采用RSA算法生成认证口令为例进行描述。\n[0069] 步骤212、移动终端的(U)SIM卡将生成的认证口令发送到数据传输服务器。\n[0070] 步骤213、数据传输服务器将认证口令数据转换成应用服务器能够识别的格式，比如XML(eXtensible Markup Language，可扩展符号化语言)格式。\n[0071] 步骤214、数据传输服务器将格式转换后的认证口令发送给应用服务器。\n[0072] 步骤215、应用服务器访问CA系统的LDAP服务器以获取该用户的用户证书。\n[0073] 该步骤可选。如果应用服务器接收到的由移动终端生成的认证口令是经过数字签名的，则需要获取该用户的用户证书以对该数字签名进行验证。\n[0074] 步骤216、应用服务器使用获取到的用户证书对接收到的认证口令的数字签名进行验证，如果验证通过，则继续执行后续流程；如果验证未通过，则结束本次认证流程，并可进一步将数字签名验证结果显示在登录认证界面上。\n[0075] 步骤217、应用服务器对数字签名验证通过后，验证该认证口令，如果验证通过，则表明该用户为合法用户，并允许该用户继续访问该应用服务器；否则，结束本次认证流程。\n[0076] 该步骤中，应用服务器对认证口令进行验证时，可采用与移动终端事先约定的一致的算法、使用临时认证票据生成认证口令，并将其生成的认证口令与移动终端生成的认证口令进行比较，如果两者一致，则认证通过；否则，认证失败。\n[0077] 上述流程中的步骤205和步骤206的先后顺序没有严格的时序要求。\n[0078] 上述流程中，应用服务器在对用户提交的登录账号信息验证通过后，首先生成临时认证票据，并将其显示在登录认证界面中提供给用户，还发送给与该登录账号绑定的移动终端以供用户确认，这样，用户只需通过移动终端确认登录认证界面中显示的临时认证票据与移动终端显示的临时认证票据是否相同，与现有技术相比，无需用户在登录认证界面中输入任何认证信息，这样，避免了认证客户端被非法程序监听而导致认证信息丢失，从而有效地防止了驻留在认证客户端中的非法程序对用户身份信息的盗取，提高了安全性。\n[0079] 基于相同的技术构思，本发明实施例还提供了一种应用服务器的结构。如图5所示，该应用服务器中与身份认证相关的功能模块，包括：登录账号验证模块501、认证数据生成模块502、身份认证模块503，其中：\n[0080] 登录账号验证模块501，用于对用户通过认证客户端提交的登录账号进行验证；\n[0081] 认证数据生成模块502，用于在登录账号验证模块501对用户提交的登录账号信息验证通过后生成第一认证数据(即前述的临时认证票据，以下同)，将第一认证数据提供给认证客户端进行显示，并发送给与该登录账号绑定的移动终端；\n[0082] 身份认证模块503，用于接收移动终端发送的第二认证数据，对第二认证数据进行验证，并根据验证结果确定该用户的身份是否合法；其中，移动终端在确认该移动终端接收到的第一认证数据与认证客户端接收到的第一认证数据一致后生成并发送第二认证数据。\n[0083] 身份认证模块503验证第二认证数据时，使用其生成的第一认证数据，采用与移动终端约定的方式生成认证数据，并将该自己生成的认证数据与移动终端生成的第二认证数据进行比较，如果两者一致，则对第二认证数据认证通过。\n[0084] 上述应用服务器还可进一步包括获取模块504，该模块用于获取用户的用户证书，用获取到的用户证书验证身份认证模块503接收到的第二认证数据的数字签名。\n[0085] 基于相同的技术构思，本发明实施例还提供了一种数据传输服务器的结构，如图6所示，该数据传输服务器，包括：与应用服务器的接口模块601、与移动终端的接口模块602，以及格式转换模块603，其中：\n[0086] 与应用服务器的接口模块601，用于与应用服务器进行通信，包括：接收应用服务器生成并发送的第一认证数据；以及，将移动终端发送的、经格式转换后的第二认证数据发送给应用服务器；\n[0087] 与移动终端的接口模块602，用于与移动终端进行通信，包括：将格式转换后的第一认证数据发送给与应用服务器验证通过的登录账号进行绑定的移动终端；以及，接收移动终端发送的第二认证数据，其中，移动终端在确认该移动终端接收到的第一认证数据与认证客户端接收到的第一认证数据一致后生成并发送第二认证数据；\n[0088] 格式转换模块603，用于对数据格式进行转换，包括：将从应用服务器接收的第一认证数据转换为移动终端支持的数据格式；以及，将从移动终端接收的第二认证数据转换为应用服务器支持的数据格式。\n[0089] 与移动终端的接口模块602可通过向移动终端发送数据短消息，将格式转换后的第一认证数据发送给该移动终端。\n[0090] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。