[发明专利]身份认证方法、第三方服务器、商家服务器及用户终端

说明书

本发明提供一种身份认证方法、第三方服务器、商家服务器及用户终端，其中身份认证方法应用于第三方服务器，包括：第三方服务器根据接收的客户终端发送的携带有目的商家服务器信息的第一随机信息，获取目的商家服务器信息；第三方服务器根据目的商家服务器信息，获取在本地注册并保存的与目的商家服务器对应的该目的商家服务器的身份信息，并将身份信息发送给客户终端；第三方服务器将第一随机信息发送至目的商家服务器，使得客户终端能够根据目的商家服务器反馈的第一随机信息以及目的商家服务器的身份信息确定目的商家服务器的身份合法性。通过引入第三方服务器，由其承担起对商家身份验证的计算分析，确保了用户运算的轻量化，适用范围广。

技术领域

本发明涉及通信及互联网领域，特别涉及一种身份认证方法、第三方服务器、商家服务器及用户终端。

背景技术

随着电子商务的兴起，网络支付的安全越来越受到重视。由于网络的开放性和网络环境的虚拟性，发生网络支付安全事件之后，往往追查和举证都很困难。因此，在安全事件发送之前的预防就显得尤其重要。预防的重点之一，就是有效认证交易者身份的合法性。

在现有的B2C(商对客)的电子商务模型中，双向的身份验证是独立进行的：

商家服务器需要验证客户的身份，以防止合法用户的信息被非法用户利用。商家服务器除了要求客户输入用户名和密码，还会向客户注册的手机发送一条验证码消息，客户将收到的验证码反馈给商家服务器。

客户需要验证商家服务器的身份，以防止受到非法商户的欺骗。非法的网站往往伪装成知名的电子商务网站或者银行网站，欺骗用户进行交易，从而窃取用户的银行账号、密码等私密信息，利用这些信息非法分子可以进行金融交易从而获得经济利益。这些非法网站被称为“钓鱼网站”。钓鱼网站往往经过精心设计与真实的目标网站相似度极高，具有很强的迷惑性。

现阶段对于钓鱼网站的主要预防措施有：创建非法网站黑名单对用户进行提示；使用数字证书进行身份认证。但是这两种方法都有一定的局限性。

第一种方法，需要用户依靠特定的安全软件来上报发现的非法网站，特定的机构收集到上报信息后进行技术分析，在确认为非法网站后，将其列入黑名单。用户每次访问某一网站时，需要将其上报，以确认是否在黑名单中。并且黑名单的审核尚未完全能够使用程序代替人工进行，因此这种方法具有明显的滞后性，往往在欺诈事件发生之后才能实施。

第二种方法，依赖客户端程序与服务器之间的交互来完成认证的工作。客户端程序需要获取服务器的电子证书，通过计算确认电子证书的合法性与完整性。然后使用公钥进行加密运算并将结果发送给服务器，等待服务器返回运算结果并进行验证。整个过程需要在客户端与服务器端之间进行多次数据交互，并且在客户端进行不对称加密算法的运算和hash算法的运算。在传统的PC机上，往往使用浏览器或是在浏览器上安装插件来完成认证的工作。但是随着移动互联网的发展，很多业务的操作已经能够在手机终端上进行了。在手机终端上，为了节省数据流量和获得更好的用户体验，一些业务不在浏览器上进行操作，而是直接使用手机客户端进行操作。在这种情况下用户无法确认客户端是否对服务器端进行了身份的认证。

在B2C的商业模式中，客户往往处于弱势的一方，由于技术和经济实力的限制，无法确保所有的客户端都能够进行复杂的运算。即使智能手机的功能越来越强大，但是受限于电源、屏幕尺寸以及通讯资费等因素，手机终端的计算资源依然十分宝贵。

发明内容

本发明的目的在于提供一种身份认证方法、第三方服务器、商家服务器及用户终端，使得在B2C的电子商务模型中，不仅商家能够对客户的身份进行验证，同时客户也可以验证商家身份的真实性，从而为交易双方建立起互信关系，确保了交易的顺利、安全进行。

为了达到上述目的，本发明提供一种身份认证方法，应用于一第三方服务器，包括：