用于实现移动认证的方法、装置和系统.pdf

本发明公开一种用于实现移动认证的方法、装置和系统，涉及通信领域。其中设置在移动终端中的用户识别卡在接收到卡应用认证服务器发送的认证信息获取消息后，从认证信息获取消息中提取出第一API命令，根据第一API命令与卡应用认证服务器建立BIP通道，将认证信息通过BIP通道发送给卡应用认证服务器，以便卡应用认证服务器根据认证信息进行认证。本发明通过在用户识别卡和卡应用认证服务器之间建立BIP通道以传送安全信息，从而有效减少数据传送延迟，综合改善了数据传输效率，同时提高了卡应用移动认证业务的终端和卡的业务覆盖率。

1.一种用于实现移动认证的方法，其特征在于，包括：在接收到卡应用认证服务器发送的认证信息获取消息后，从认证信息获取消息中提取出第一应用程序编程接口API命令；根据第一API命令，与卡应用认证服务器建立承载无关协议BIP通道；将认证信息通过BIP通道发送给卡应用认证服务器，以便卡应用认证服务器根据认证信息进行认证。2.根据权利要求1所述的方法，其特征在于，在接收到卡应用认证服务器发送的通道关闭消息后，从通道关闭消息中提取出第二API命令；根据第二API命令，关闭与卡应用认证服务器建立的BIP通道。3.根据权利要求1或2所述的方法，其特征在于，认证信息获取消息和通道关闭消息为IMS IP短消息。4.一种用于实现移动认证的方法，其特征在于，包括：在接收到应用服务器发送的认证请求后，向相应的用户识别卡发送认证信息获取消息，其中认证信息获取消息中包括第一API命令，以便用户识别卡根据第一API命令打开BIP通道；在与用户识别卡建立BIP通道后，通过BIP通道接收用户识别卡发送的认证信息；利用认证信息进行认证；将认证结果发送给应用服务器。5.根据权利要求4所述的方法，其特征在于，还包括：在接收到认证信息后，向相应的用户识别卡发送通道关闭消息，其中通道关闭消息中包括第二API命令，以便用户识别卡根据第二API命令关闭BIP通道。6.根据权利要求4或5所述的方法，其特征在于，认证信息获取消息和通道关闭消息为IMS IP短消息。 -->7.一种用于实现移动认证的用户识别卡，其特征在于，包括接收模块、提取模块、通道管理模块和发送模块，其中：提取模块，用于在接收模块接收到卡应用认证服务器发送的认证信息获取消息后，从认证信息获取消息中提取出第一应用程序编程接口API命令；通道管理模块，用于根据第一API命令，与卡应用认证服务器建立承载无关协议BIP通道；发送模块，用于将认证信息通过BIP通道发送给卡应用认证服务器，以便卡应用认证服务器根据认证信息进行认证。8.根据权利要求7所述的用户识别卡，其特征在于，提取模块还用于在接收到卡应用认证服务器发送的通道关闭消息后，从通道关闭消息中提取出第二API命令；通道管理模块还用于根据第二API命令，关闭与卡应用认证服务器建立的BIP通道。9.根据权利要求7或8所述的用户识别卡，其特征在于，认证信息获取消息和通道关闭消息为IMS IP短消息。10.一种用于实现移动认证的卡应用认证服务器，其特征在于，包括第一接口单元、第二接口单元、信息接收单元和认证单元，其中：第二接口单元，用于在第一接口单元接收到应用服务器发送的认证请求后，向相应的用户识别卡发送认证信息获取消息，其中认证信息获取消息中包括第一API命令，以便用户识别卡根据第一API命令打开BIP通道；信息接收单元，用于在与用户识别卡建立BIP通道后，通过BIP通道接收用户识别卡发送的认证信息；认证单元，用于利用认证信息进行认证，将认证结果通过第一接口发送给应用服务器。11.根据权利要求10所述的卡应用认证服务器，其特征在于，第二接口单元还用于在信息接收单元接收到认证信息后，向相应的用户识别卡发送通道关闭消息，其中通道关闭消息中包括第二API命令，以便用户识别卡根据第二API命令关闭BIP通道。12.根据权利要求10或11所述的卡应用认证服务器，其特征在于，认证信息获取消息和通道关闭消息为IMS IP短消息。13.一种用于实现移动认证的系统，其特征在于，包括如权利要求7-9中任一项涉及的用户识别卡，如权利要求10-12中任一项涉及的卡应用认证服务器、应用服务器，其中：应用服务器，用于向卡应用认证服务器发送认证请求，以便对相应的用户识别卡进行移动认证，并接收卡应用认证服务器发送的认证结果。 -->

用于实现移动认证的方法、装置和系统

技术领域

本发明涉及通信领域，特别涉及一种用于实现移动认证的方法、
装置和系统。

背景技术

现有移动认证所使用的安全通道局限在OMA(Open Mobile
Architecture，开放式移动体系结构)与OTA(Over the Air，空中下
载)数据短信方式。目前OMA通道仅限于安卓手机，且要求终端和卡
都需要支持机卡接口；OTA数据短信方式受网络限制，速度往往很慢，
每个短信也只能传输100多字节。

BIP(Bearer Independent Protocol，承载无关协议)通道使得远程
实体到用户终端上的卡之间可以完全采用IP数据通信，目前只是用来
进行PRL(Preferred Roaming List，优选漫游列表)列表更新，而所
有的4G终端和卡都已经要求支持BIP。

图1为现有技术中移动认证一个实施例的示意图。其中：

步骤101，应用服务器向卡应用认证服务器发送认证请求。

步骤102，卡应用认证服务器接收到认证请求后，向移动终端的用
户识别卡发送OTA认证请求。

步骤103，用户识别卡向卡应用认证服务器返回认证响应数据。

步骤104，卡应用认证服务器利用接收到的认证响应数据进行认
证。

步骤105，卡应用认证服务器将认证结果提供给应用服务器。

该技术存在以下一些问题：

OMA通道的终端支持度不够，例如苹果终端就不支持开放
OMA通道；

OTA数据短信方式有缺陷，每个短信数据量受限，且短信时
延较高。

发明内容

本发明实施例提供一种用于实现移动认证的方法、装置和系统，通
过在用户识别卡和卡应用认证服务器之间建立BIP通道以传送安全信
息，从而有效减少数据传送延迟，综合改善了数据传输效率，同时提高
了卡应用移动认证业务的终端和卡的业务覆盖率。

根据本发明的一个方面，提供一种用于实现移动认证的方法，包括：

在接收到卡应用认证服务器发送的认证信息获取消息后，从认证信
息获取消息中提取出第一应用程序编程接口API命令；

根据第一API命令，与卡应用认证服务器建立承载无关协议BIP
通道；

将认证信息通过BIP通道发送给卡应用认证服务器，以便卡应用认
证服务器根据认证信息进行认证。

在一个实施例中，在接收到卡应用认证服务器发送的通道关闭消息
后，从通道关闭消息中提取出第二API命令；

根据第二API命令，关闭与卡应用认证服务器建立的BIP通道。

在一个实施例中，认证信息获取消息和通道关闭消息为IMS IP短
消息。

根据本发明的另一方面，提供一种用于实现移动认证的方法，包括：

在接收到应用服务器发送的认证请求后，向相应的用户识别卡发送
认证信息获取消息，其中认证信息获取消息中包括第一API命令，以
便用户识别卡根据第一API命令打开BIP通道；

在与用户识别卡建立BIP通道后，通过BIP通道接收用户识别卡
发送的认证信息；

利用认证信息进行认证；

将认证结果发送给应用服务器。

在一个实施例中，在接收到认证信息后，向相应的用户识别卡发送
通道关闭消息，其中通道关闭消息中包括第二API命令，以便用户识
别卡根据第二API命令关闭BIP通道。

在一个实施例中，认证信息获取消息和通道关闭消息为IMS IP短
消息。

根据本发明的另一方面，提供一种用于实现移动认证的用户识别
卡，包括接收模块、提取模块、通道管理模块和发送模块，其中：

提取模块，用于在接收模块接收到卡应用认证服务器发送的认证信
息获取消息后，从认证信息获取消息中提取出第一应用程序编程接口
API命令；

通道管理模块，用于根据第一API命令，与卡应用认证服务器建
立承载无关协议BIP通道；

发送模块，用于将认证信息通过BIP通道发送给卡应用认证服务
器，以便卡应用认证服务器根据认证信息进行认证。

在一个实施例中，提取模块还用于在接收到卡应用认证服务器发送
的通道关闭消息后，从通道关闭消息中提取出第二API命令；

通道管理模块还用于根据第二API命令，关闭与卡应用认证服务
器建立的BIP通道。

在一个实施例中，认证信息获取消息和通道关闭消息为IMS IP短
消息。

根据本发明的另一方面，提供一种用于实现移动认证的卡应用认证
服务器，包括第一接口单元、第二接口单元、信息接收单元和认证单元，
其中：

第二接口单元，用于在第一接口单元接收到应用服务器发送的认证
请求后，向相应的用户识别卡发送认证信息获取消息，其中认证信息获
取消息中包括第一API命令，以便用户识别卡根据第一API命令打开
BIP通道；

信息接收单元，用于在与用户识别卡建立BIP通道后，通过BIP
通道接收用户识别卡发送的认证信息；

认证单元，用于利用认证信息进行认证，将认证结果通过第一接口
发送给应用服务器。

在一个实施例中，第二接口单元还用于在信息接收单元接收到认证
信息后，向相应的用户识别卡发送通道关闭消息，其中通道关闭消息中
包括第二API命令，以便用户识别卡根据第二API命令关闭BIP通道。

在一个实施例中，认证信息获取消息和通道关闭消息为IMS IP短
消息。

根据本发明的另一方面，提供一种用于实现移动认证的系统，包括
如上述任一实施例涉及的用户识别卡，如上述任一实施例涉及的卡应用
认证服务器、应用服务器，其中：

应用服务器，用于向卡应用认证服务器发送认证请求，以便对相应
的用户识别卡进行移动认证，并接收卡应用认证服务器发送的认证结
果。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明
的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将
对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见
地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技
术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获
得其他的附图。

图1为现有技术中移动认证示意图。

图2为本发明用于实现移动认证的方法一个实施例的示意图。

图3为本发明用于实现移动认证的方法另一实施例的示意图。

图4为本发明用于实现移动认证的用户识别卡一个实施例的示意
图。

图5为本发明用于实现移动认证的卡应用认证服务器一个实施例
的示意图。

图6为本发明用于实现移动认证的系统一个实施例的示意图。

图7为本发明移动认证一个实施例的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案
进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实
施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实
际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限
制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳
动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相
对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺
寸并不是按照实际的比例关系绘制的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详
细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说
明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是
示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具
有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，
一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行
进一步讨论。

图2为本发明用于实现移动认证的方法一个实施例的示意图。优选
的，本实施例的方法步骤可由设置在移动终端中的用户识别卡执行。其
中：

步骤201，在接收到卡应用认证服务器发送的认证信息获取消息后，
从认证信息获取消息中提取出第一API(应用程序编程接口)命令。

优选的，认证信息获取消息为IMS IP短消息。

步骤202，根据第一API命令，与卡应用认证服务器建立承载无关
协议BIP通道。

步骤203，将认证信息通过BIP通道发送给卡应用认证服务器，以
便卡应用认证服务器根据认证信息进行认证。

基于本发明上述实施例提供的用于实现移动认证的方法，通过在用
户识别卡和卡应用认证服务器之间建立BIP通道以传送安全信息，从而
有效减少数据传送延迟，综合改善了数据传输效率，同时提高了卡应用
移动认证业务的终端和卡的业务覆盖率。

优选的，在接收到卡应用认证服务器发送的通道关闭消息后，从通
道关闭消息中提取出第二API命令，根据第二API命令，关闭与卡应
用认证服务器建立的BIP通道。

即，可根据相应的命令打开或关闭BIP通道。

优选的，通道关闭消息为IMS IP短消息。

图3为本发明用于实现移动认证的方法另一实施例的示意图。优选
的，本实施例的方法步骤可由卡应用认证服务器执行。其中：

步骤301，在接收到应用服务器发送的认证请求后，向相应的用户
识别卡发送认证信息获取消息，其中认证信息获取消息中包括第一API
命令，以便用户识别卡根据第一API命令打开BIP通道。

优选的，认证信息获取消息为IMS IP短消息。

步骤302，在与用户识别卡建立BIP通道后，通过BIP通道接收用
户识别卡发送的认证信息。

步骤303，利用认证信息进行认证。

步骤304，将认证结果发送给应用服务器。

基于本发明上述实施例提供的用于实现移动认证的方法，通过在用
户识别卡和卡应用认证服务器之间建立BIP通道以传送安全信息，从而
有效减少数据传送延迟，综合改善了数据传输效率，同时提高了卡应用
移动认证业务的终端和卡的业务覆盖率。

优选的，在接收到认证信息后，向相应的用户识别卡发送通道关闭
消息，其中通道关闭消息中包括第二API命令，以便用户识别卡根据
第二API命令关闭BIP通道。

优选的，通道关闭消息为IMS IP短消息。

图4为本发明用于实现移动认证的用户识别卡一个实施例的示意
图。如图4所示，用户识别卡包括接收模块401、提取模块402、通道
管理模块403和发送模块404，其中：

提取模块402，用于在接收模块401接收到卡应用认证服务器发送
的认证信息获取消息后，从认证信息获取消息中提取出第一API命令。

优选的，认证信息获取消息为IMS IP短消息。

通道管理模块403，用于根据第一API命令，与卡应用认证服务器
建立承载无关协议BIP通道。

发送模块404，用于将认证信息通过BIP通道发送给卡应用认证服
务器，以便卡应用认证服务器根据认证信息进行认证。

基于本发明上述实施例提供的用户识别卡，通过与卡应用认证服务
器建立BIP通道以传送安全信息，从而有效减少数据传送延迟，综合改
善了数据传输效率，同时提高了卡应用移动认证业务的终端和卡的业务
覆盖率。

优选的，提取模块402还用于在接收到卡应用认证服务器发送的通
道关闭消息后，从通道关闭消息中提取出第二API命令。

优选的，通道关闭消息为IMS IP短消息。

通道管理模块403还用于根据第二API命令，关闭与卡应用认证
服务器建立的BIP通道。

图5为本发明用于实现移动认证的卡应用认证服务器一个实施例
的示意图。如图5所示，卡应用认证服务器包括第一接口单元501、第
二接口单元502、信息接收单元503和认证单元504，其中：

第二接口单元502，用于在第一接口单元501接收到应用服务器发
送的认证请求后，向相应的用户识别卡发送认证信息获取消息，其中认
证信息获取消息中包括第一API命令，以便用户识别卡根据第一API
命令打开BIP通道。

优选的，认证信息获取消息为IMS IP短消息。

信息接收单元503，用于在与用户识别卡建立BIP通道后，通过
BIP通道接收用户识别卡发送的认证信息。

认证单元504，用于利用认证信息进行认证，将认证结果通过第一
接口501发送给应用服务器。

基于本发明上述实施例提供的卡应用认证服务器，通过与用户识别
卡建立BIP通道以传送安全信息，从而有效减少数据传送延迟，综合改
善了数据传输效率，同时提高了卡应用移动认证业务的终端和卡的业务
覆盖率。

优选的，第二接口单元502还用于在信息接收单元503接收到认证
信息后，向相应的用户识别卡发送通道关闭消息，其中通道关闭消息中
包括第二API命令，以便用户识别卡根据第二API命令关闭BIP通道。

优选的，通道关闭消息为IMS IP短消息。

图6为本发明用于实现移动认证的系统一个实施例的示意图。如图
6所示，该系统包括设置在移动终端600中的用户识别卡601、卡应用
认证服务器602和应用服务器603，其中：

用户识别卡601为图4中任一实施例涉及的用户识别卡，卡应用认
证服务器602为图5中任一实施例涉及的卡应用认证服务器。

应用服务器603用于向卡应用认证服务器602发送认证请求，以便
对相应的用户识别卡601进行移动认证，并接收卡应用认证服务器602
发送的认证结果。

基于本发明上述实施例提供的用于实现移动认证的系统，通过在用
户识别卡和卡应用认证服务器之间建立BIP通道以传送安全信息，从而
有效减少数据传送延迟，综合改善了数据传输效率，同时提高了卡应用
移动认证业务的终端和卡的业务覆盖率。

下面通过具体示例对本发明进行说明，如图7所示。

步骤701，应用服务器向卡应用认证服务器发送认证请求。

步骤702，卡应用认证服务器接收到认证请求后，以IMS IP短消
息的形式向移动终端的用户识别卡发送认证信息获取消息。

步骤703，用户识别卡从认证信息获取消息中提取出第一API命令，
并根据第一API命令，与卡应用认证服务器建立BIP通道。

步骤704，用户识别卡将认证信息通过BIP通道发送给卡应用认证
服务器。

步骤705，卡应用认证服务器利用接收到的认证响应数据进行认
证。

步骤706，卡应用认证服务器将认证结果提供给应用服务器。

步骤707，在认证结束后，卡应用认证服务器以IMS IP短消息的
形式向用户识别卡发送通道关闭消息。

步骤708，用户识别卡在接收到卡应用认证服务器发送的通道关闭
消息后，从通道关闭消息中提取出第二API命令，并根据第二API命
令，关闭与卡应用认证服务器建立的BIP通道。

通过实施本发明，可有效减少数据传送时延，由于Https over BIP
的传送方式更加安全可靠，因此可用于基于PKI的卡应用认证传送相
对大数据量的场景。

本领域普通技术人员可以理解实现上述实施例的全部或部分步
骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所
述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介
质可以是只读存储器，磁盘或光盘等。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的
或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技
术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理
和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适
于特定用途的带有各种修改的各种实施例。