基于wpki和時(shí)間戳的移動(dòng)終端身份認(rèn)證方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及媒體通信技術(shù)領(lǐng)域,尤其涉及一種基于WPKI (Wireless Public KeyInfrastructure,無線公鑰基礎(chǔ)設(shè)施)和時(shí)間戳的移動(dòng)終端身份認(rèn)證方法和系統(tǒng)�。
【背景技術(shù)】
[0002]移動(dòng)智能終端,現(xiàn)今主要有三類���,分別是Google的android手機(jī)、蘋果的iphone和微軟的Windows Phone�����。其中,Android智能手機(jī)的操作系統(tǒng)基于Linux內(nèi)核����,是Google公司公布的手機(jī)操作系統(tǒng),早期由Google開發(fā)����,后由開放手持設(shè)備聯(lián)盟開發(fā)���。該平臺(tái)由操作系統(tǒng)、中間件�����、用戶界面和應(yīng)用軟件組成,是首個(gè)為移動(dòng)終端打造的真正開放和完整的移動(dòng)軟件��。
[0003]WPKI是把網(wǎng)絡(luò)中的PKI (Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)安全技術(shù)引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書管理平臺(tái)體系,WPKI用來管理在移動(dòng)網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書�,有效地建立起安全的無線網(wǎng)絡(luò)環(huán)境。WPKI作為PKI技術(shù)在無線網(wǎng)絡(luò)中的優(yōu)化擴(kuò)展�����,采用了優(yōu)化的壓縮的X.509數(shù)字證書和ECC橢圓曲線加密技術(shù)。它通過第三方的可信任機(jī)構(gòu)CA (certificate authority,認(rèn)證中心)來驗(yàn)證用戶的身份�,實(shí)現(xiàn)了信息的安全傳輸。
[0004]目前���,缺乏對(duì)移動(dòng)終端進(jìn)行有效的身份驗(yàn)證的方法,移動(dòng)終端的無線業(yè)務(wù)存在著數(shù)據(jù)安全的問題。在提供數(shù)據(jù)的服務(wù)器端�����,由于對(duì)外接口基本都采用HTTP (HypertextTransfer Protocol,超文本傳輸協(xié)議)協(xié)議,加密和簽名的使用較少���,存在很大的超級(jí)隱患。在金融領(lǐng)域�,針對(duì)核心的對(duì)外接口��,應(yīng)用服務(wù)端針對(duì)安全的極致也無非做到1024位RSA算法的使用�����,RSA算法目前也受到了極大的安全威脅。
[0005]因此,開發(fā)一種對(duì)移動(dòng)終端進(jìn)行有效的身份驗(yàn)證的方法是一個(gè)亟待解決的問題�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的實(shí)施例提供了一種基于WPKI和時(shí)間戳的移動(dòng)終端身份認(rèn)證方法和系統(tǒng),以實(shí)現(xiàn)對(duì)移動(dòng)終端進(jìn)行有效的身份認(rèn)證��。
[0007]本發(fā)明提供了如下方案:
[0008]一種基于WPKI和時(shí)間戳的移動(dòng)終端身份認(rèn)證方法����,包括:
[0009]用戶終端從時(shí)間戳機(jī)構(gòu)系統(tǒng)獲取時(shí)間戳,所述用戶終端采用無線公鑰基礎(chǔ)設(shè)施WPKI與應(yīng)用服務(wù)端建立安全數(shù)據(jù)通道���;
[0010]所述應(yīng)用服務(wù)端接收所述用戶終端通過所述安全數(shù)據(jù)通道發(fā)送的所述時(shí)間戳�����,所述應(yīng)用服務(wù)端通過所述時(shí)間戳機(jī)構(gòu)系統(tǒng)對(duì)所述時(shí)間戳進(jìn)行驗(yàn)證�;
[0011]在所述時(shí)間戳的驗(yàn)證通過后�����,所述應(yīng)用服務(wù)端和所述用戶終端之間利用所述安全數(shù)據(jù)通道進(jìn)行數(shù)據(jù)傳輸���。
[0012]所述用戶終端從時(shí)間戳機(jī)構(gòu)系統(tǒng)獲取時(shí)間戳,包括:
[0013]時(shí)間戳機(jī)構(gòu)系統(tǒng)接收到用戶終端發(fā)送的攜帶用戶的WPKI數(shù)字證書的連接請(qǐng)求�,所述時(shí)間戳機(jī)構(gòu)系統(tǒng)獲取所述連接請(qǐng)求中攜帶的WPKI數(shù)字證書����,向在線證書狀態(tài)協(xié)議OCSP服務(wù)器發(fā)送攜帶所述WPKI數(shù)字證書的證書驗(yàn)證請(qǐng)求����;
[0014]所述OCSP服務(wù)器接收到所述證書驗(yàn)證請(qǐng)求后���,獲取所述WPKI數(shù)字證書的唯一標(biāo)識(shí)��、有效期、擴(kuò)展選項(xiàng)����,所述OCSP服務(wù)器驗(yàn)證所述WPKI證書的有效期是否過期,驗(yàn)證所述WPKI證書是否由指定認(rèn)證中心CA頒發(fā)�����,驗(yàn)證所述WPKI證書的唯一標(biāo)識(shí)��、擴(kuò)展選項(xiàng)是否有效��;
[0015]所述OCSP服務(wù)器在所述WPKI數(shù)字證書的所有驗(yàn)證都通過后�,向所述時(shí)間戳機(jī)構(gòu)系統(tǒng)發(fā)送驗(yàn)證合格通知,在所述時(shí)間戳機(jī)構(gòu)系統(tǒng)和所述用戶終端之間��,使用所述WPKI證書建立用于傳輸數(shù)據(jù)的安全套接層SSL安全數(shù)據(jù)通道�;
[0016]所述用戶終端采用摘要算法對(duì)需要上傳的數(shù)據(jù)生成摘要值�����,將摘要值遵循時(shí)間戳申請(qǐng)規(guī)范通過所述SSL安全數(shù)據(jù)通道傳輸?shù)綍r(shí)間戳機(jī)構(gòu)系統(tǒng)�;所述時(shí)間戳機(jī)構(gòu)系統(tǒng)對(duì)所述用戶終端發(fā)送過來的摘要值加蓋時(shí)間戳,將時(shí)間戳用時(shí)間戳機(jī)構(gòu)系統(tǒng)的數(shù)字證書進(jìn)行簽名,將簽名后的時(shí)間戳信息返回給用戶終端���。
[0017]所述用戶終端采用WPKI無線公鑰基礎(chǔ)設(shè)施與應(yīng)用服務(wù)端建立安全數(shù)據(jù)通道���,包括:
[0018]應(yīng)用服務(wù)端接收到用戶終端發(fā)送的攜帶用戶的WPKI數(shù)字證書的連接請(qǐng)求,所述應(yīng)用服務(wù)端獲取所述連接請(qǐng)求中攜帶的WPKI數(shù)字證書���,向OCSP服務(wù)器發(fā)送攜帶所述WPKI數(shù)字證書的證書驗(yàn)證請(qǐng)求���;
[0019]所述OCSP服務(wù)器接收到所述證書驗(yàn)證請(qǐng)求后�����,獲取所述WPKI數(shù)字證書的唯一標(biāo)識(shí)�、有效期、擴(kuò)展選項(xiàng)��,所述OCSP服務(wù)器驗(yàn)證所述WPKI證書的有效期是否過期�����,驗(yàn)證所述WPKI證書是否由指定認(rèn)證中心CA頒發(fā)����,驗(yàn)證所述WPKI證書的唯一標(biāo)識(shí)�����、擴(kuò)展選項(xiàng)是否有效�;
[0020]所述OCSP服務(wù)器在所述WPKI數(shù)字證書的所有驗(yàn)證都通過后��,向所述應(yīng)用服務(wù)端發(fā)送驗(yàn)證合格通知�,所述應(yīng)用服務(wù)端接收到所述驗(yàn)證合格通知后�,使用所述WPKI證書和所述用戶終端之間建立用于傳輸數(shù)據(jù)的SSL安全通道��。
[0021]所述應(yīng)用服務(wù)端通過所述時(shí)間戳機(jī)構(gòu)系統(tǒng)對(duì)所述時(shí)間戳進(jìn)行驗(yàn)證����,包括:
[0022]所述應(yīng)用服務(wù)端獲取時(shí)間戳上簽名的時(shí)間戳機(jī)構(gòu)系統(tǒng)的數(shù)字證書�����,向OCSP服務(wù)器發(fā)送攜帶所述時(shí)間戳機(jī)構(gòu)系統(tǒng)的數(shù)字證書的證書驗(yàn)證請(qǐng)求,OCSP對(duì)所述時(shí)間戳機(jī)構(gòu)系統(tǒng)的數(shù)字證書進(jìn)行校驗(yàn)�;
[0023]所述OCSP服務(wù)器在所述時(shí)間戳機(jī)構(gòu)系統(tǒng)的數(shù)字證書的所有驗(yàn)證都通過后,向所述應(yīng)用服務(wù)端發(fā)送驗(yàn)證合格通知�,所述應(yīng)用服務(wù)端將所述時(shí)間戳信息發(fā)送到所述時(shí)間戳機(jī)構(gòu)系統(tǒng)�;
[0024]所述時(shí)間戳機(jī)構(gòu)系統(tǒng)對(duì)應(yīng)用服務(wù)端發(fā)來的時(shí)間戳信息進(jìn)行驗(yàn)證�����,該驗(yàn)證包括時(shí)間戳是否為本TSA簽發(fā)�、時(shí)間戳信息驗(yàn)簽?zāi)芊裢ㄟ^��,所述時(shí)間戳機(jī)構(gòu)系統(tǒng)在所述時(shí)間戳信息所有驗(yàn)證都通過后��,向所述應(yīng)用服務(wù)端發(fā)送時(shí)間戳信息驗(yàn)證合格通知;在所述時(shí)間戳信息的所有驗(yàn)證不是都通過后,向所述應(yīng)用服務(wù)端發(fā)送時(shí)間戳信息驗(yàn)證不合格通知。
[0025]在所述時(shí)間戳的驗(yàn)證通過后,所述應(yīng)用服務(wù)端和所述用戶終端之間利用所述安全數(shù)據(jù)通道進(jìn)行數(shù)據(jù)傳輸����,包括:
[0026]所述應(yīng)用服務(wù)端接收到所述時(shí)間戳機(jī)構(gòu)系統(tǒng)返回的時(shí)間戳信息驗(yàn)證合格通知后�����,判斷用戶終端的身份驗(yàn)證通過,接受用戶終端的連接請(qǐng)求,用戶終端和應(yīng)用服務(wù)端之間通過所述SSL安全數(shù)據(jù)通道進(jìn)行通信。
[0027]所述應(yīng)用服務(wù)端接收到所述時(shí)間戳機(jī)構(gòu)系統(tǒng)返回的時(shí)間戳信息驗(yàn)證不合格通知后,判斷所述用戶終端的身份驗(yàn)證不通過��,拒絕所述用戶終端的連接請(qǐng)求��。
[0028]一種基于WPKI和時(shí)間戳的移動(dòng)終端身份認(rèn)證系統(tǒng),包括用戶終端、應(yīng)用服務(wù)端和時(shí)間戳機(jī)構(gòu)系統(tǒng):
[0029]所述的用戶終端�,用于從時(shí)間戳機(jī)構(gòu)系統(tǒng)獲取時(shí)間戳�����,采用無線公鑰基礎(chǔ)設(shè)施WPKI與應(yīng)用服務(wù)端建立安全數(shù)據(jù)通道�����;
[0030]所述的應(yīng)用服務(wù)端�����,用于接收所述用戶終端通過所述安全數(shù)據(jù)通道發(fā)送的所述時(shí)間戳,所述應(yīng)用服務(wù)端通過所述時(shí)間戳機(jī)構(gòu)系統(tǒng)對(duì)所述時(shí)間戳進(jìn)行驗(yàn)證;在所述時(shí)間戳的驗(yàn)證通過后����,和所述用戶終端之間利用所述安全數(shù)據(jù)通道進(jìn)行數(shù)據(jù)傳輸��;
[0031]所述的時(shí)間戳機(jī)構(gòu)系統(tǒng)�,用于向所述的用戶終端發(fā)送時(shí)間戳,對(duì)所述應(yīng)用服務(wù)端發(fā)送過來的時(shí)間戳進(jìn)行驗(yàn)證�����。
[0032]所述的系統(tǒng)還包括:0CSP服務(wù)器,
[0033]所述的時(shí)間戳機(jī)構(gòu)系統(tǒng)����,具體用于接收到用戶終端發(fā)送的攜帶用戶的無線公鑰基礎(chǔ)設(shè)施WPKI數(shù)字證書的連接請(qǐng)求�,獲取所述連接請(qǐng)求中攜帶的WPKI數(shù)字證書����,向OCSP服務(wù)器發(fā)送攜帶所述WPKI數(shù)字證書的證書驗(yàn)證請(qǐng)求�;
[0034]所述的OCSP服務(wù)器����,用于接收到所述證書驗(yàn)證請(qǐng)求后����,獲取所述WPKI數(shù)字證書的唯一標(biāo)識(shí)����、有效期、擴(kuò)展選項(xiàng)����,驗(yàn)證所述WPKI證書的有效期是否過期���,驗(yàn)證所述WPKI證書是否由指定認(rèn)證中心CA頒發(fā)��,驗(yàn)證所述WPKI證書的唯一標(biāo)識(shí)��、擴(kuò)展選項(xiàng)是否有效����;在所述WPKI數(shù)字證書的所有驗(yàn)證都通過后���,向所述時(shí)間戳機(jī)構(gòu)系統(tǒng)發(fā)送驗(yàn)證合格通知��;
[0035]所述的用戶終端��,具體用于采用摘要算法對(duì)需要上傳的數(shù)據(jù)生成摘要值,將摘要值遵循時(shí)間戳申請(qǐng)規(guī)范通過所述SSL安全數(shù)據(jù)通道傳輸?shù)綍r(shí)間戳機(jī)構(gòu)系統(tǒng);
[0036]所述的時(shí)間戳機(jī)構(gòu)系統(tǒng)��,具體用于接收帶所述驗(yàn)證合格通知后,在所述時(shí)間戳機(jī)構(gòu)系統(tǒng)和所述用戶終端之間���,使用所述WPKI證書建立用于傳輸數(shù)據(jù)的SSL安全數(shù)據(jù)通道�����;對(duì)所述用戶終端發(fā)送過來的摘要值加蓋時(shí)間戳��,將時(shí)間戳用時(shí)間戳機(jī)構(gòu)系統(tǒng)的數(shù)字證書進(jìn)行簽名,將簽名后的時(shí)間戳信息返回給用戶終端���。
[0037]所述的應(yīng)用服務(wù)端,具體用于接收到用戶終端發(fā)送的攜帶用戶的WPKI數(shù)字證書的連接請(qǐng)求����,獲取所述連接請(qǐng)求中攜帶的WPKI數(shù)字證書��,向OCSP服務(wù)器發(fā)送攜帶所述WPKI數(shù)字證書的證書驗(yàn)證請(qǐng)求����;
[0038]所述的OCSP服務(wù)器�,具體用于接收到所述證書驗(yàn)證請(qǐng)求后,獲取所述WPKI數(shù)字證書的唯一標(biāo)識(shí)����、有效期、擴(kuò)展選項(xiàng)��,驗(yàn)證所述WPKI證書的有效期是否過期���,驗(yàn)證所述WPKI證書是否由指定認(rèn)證中