基于WPKI和时间戳的移动终端身份认证方法和系统技术方案

本发明专利技术实施例提供了一种基于WPKI和时间戳的移动终端身份认证方法和系统。该方法主要包括：用户终端从时间戳机构系统获取时间戳，用户终端采用WPKI与应用服务端建立安全数据通道；应用服务端接收用户终端通过安全数据通道发送的所述时间戳，应用服务端通过时间戳机构系统对时间戳进行验证；在时间戳的验证通过后，应用服务端和用户终端之间利用安全数据通道进行数据传输。本发明专利技术实施例通过移动智能终端采用WPKI技术与应用服务端进行通信，采用基于ECC算法的SSL通信协议，保证整个链路的安全性；通过使用可信第三方时间戳服务，能够抵御对组密钥交换协议的各种攻击。从而实现了对移动终端进行有效的身份验证，保证了移动终端的无线业务的数据安全。

【技术实现步骤摘要】

本专利技术涉及媒体通信
，尤其涉及一种基于WPKI（Wireless Public Key Infrastructure，无线公钥基础设施）和时间戳的移动终端身份认证方法和系统。
技术介绍
移动智能终端，现今主要有三类，分别是Google的android手机、苹果的iphone和微软的Windows Phone。其中，Android智能手机的操作系统基于Linux内核，是Google公司公布的手机操作系统，早期由Google开发，后由开放手持设备联盟开发。该平台由操作系统、中间件、用户界面和应用软件组成，是首个为移动终端打造的真正开放和完整的移动软件。WPKI是把网络中的PKI（Public Key Infrastructure，公钥基础设施）安全技术引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，WPKI用来管理在移动网络环境中使用的公开密钥和数字证书，有效地建立起安全的无线网络环境。WPKI作为PKI技术在无线网络中的优化扩展，采用了优化的压缩的X.509数字证书和ECC椭圆曲线加密技术。它通过第三方的可信任机构CA（certificate authority，认证中心）来验证用户的身份，实现了信息的安全传输。目前，缺乏对移动终端进行有效的身份验证的方法，移动终端的无线业务存在着数据安全的问题。在提供数据的服务器端，由于对外接口基本都采用HTTP（Hypertext Transfer Protocol，超文本传输协议）协议，加密和签名的使用较少，存在很大的超级隐患。在金融领域，针对核心的对外接口，应用服务端针对安全的极致也无非做到1024位RSA算法的使用，RSA算法目前也受到了极大的安全威胁。因此，开发一种对移动终端进行有效的身份验证的方法是一个亟待解决的问题。
技术实现思路
本专利技术的实施例提供了一种基于WPKI和时间戳的移动终端身份认证方法和系统，以实现对移动终端进行有效的身份认证。本专利技术提供了如下方案：一种基于WPKI和时间戳的移动终端身份认证方法，包括：用户终端从时间戳机构系统获取时间戳，所述用户终端采用无线公钥基础设施WPKI与应用服务端建立安全数据通道；所述应用服务端接收所述用户终端通过所述安全数据通道发送的所述时间戳，所述应用服务端通过所述时间戳机构系统对所述时间戳进行验证；在所述时间戳的验证通过后，所述应用服务端和所述用户终端之间利用所述安全数据通道进行数据传输。所述用户终端从时间戳机构系统获取时间戳，包括：时间戳机构系统接收到用户终端发送的携带用户的WPKI数字证书的连接请求，所述时间戳机构系统获取所述连接请求中携带的WPKI数字证书，向在线证书状态协议OCSP服务器发送携带所述WPKI数字证书的证书验证请求；所述OCSP服务器接收到所述证书验证请求后，获取所述WPKI数字证书的唯一标识、有效期、扩展选项，所述OCSP服务器验证所述WPKI证书的有效期是否过期，验证所述WPKI证书是否由指定认证中心CA颁发，验证所述WPKI证书的唯一标识、扩展选项是否有效；所述OCSP服务器在所述WPKI数字证书的所有验证都通过后，向所述时间戳机构系统发送验证合格通知，在所述时间戳机构系统和所述用户终端之间，使用所述WPKI证书建立用于传输数据的安全套接层SSL安全数据通道；所述用户终端采用摘要算法对需要上传的数据生成摘要值，将摘要值遵循时间戳申请规范通过所述SSL安全数据通道传输到时间戳机构系统；所述时间戳机构系统对所述用户终端发送过来的摘要值加盖时间戳，将时间戳用时间戳机构系统的数字证书进行签名，将签名后的时间戳信息返回给用户终端。所述用户终端采用WPKI无线公钥基础设施与应用服务端建立安全数据通道，包括：应用服务端接收到用户终端发送的携带用户的WPKI数字证书的连接请求，所述应用服务端获取所述连接请求中携带的WPKI数字证书，向OCSP服务器发送携带所述WPKI数字证书的证书验证请求；所述OCSP服务器接收到所述证书验证请求后，获取所述WPKI数字证书的唯一标识、有效期、扩展选项，所述OCSP服务器验证所述WPKI证书的有效期是否过期，验证所述WPKI证书是否由指定认证中心CA颁发，验证所述WPKI证书的唯一标识、扩展选项是否有效；所述OCSP服务器在所述WPKI数字证书的所有验证都通过后，向所述应用服务端发送验证合格通知，所述应用服务端接收到所述验证合格通知后，使用所述WPKI证书和所述用户终端之间建立用于传输数据的SSL安全通道。所述应用服务端通过所述时间戳机构系统对所述时间戳进行验证，包括：所述应用服务端获取时间戳上签名的时间戳机构系统的数字证书，向OCSP服务器发送携带所述时间戳机构系统的数字证书的证书验证请求，OCSP对所述时间戳机构系统的数字证书进行校验；所述OCSP服务器在所述时间戳机构系统的数字证书的所有验证都通过后，向所述应用服务端发送验证合格通知，所述应用服务端将所述时间戳信息发送到所述时间戳机构系统；所述时间戳机构系统对应用服务端发来的时间戳信息进行验证，该验证包括时间戳是否为本TSA签发、时间戳信息验签能否通过，所述时间戳机构系统在所述时间戳信息所有验证都通过后，向所述应用服务端发送时间戳信息验证合格通知；在所述时间戳信息的所有验证不是都通过后，向所述应用服务端发送时间戳信息验证不合格通知。在所述时间戳的验证通过后，所述应用服务端和所述用户终端之间利用所述安全数据通道进行数据传输，包括：所述应用服务端接收到所述时间戳机构系统返回的时间戳信息验证合格通知后，判断用户终端的身份验证通过，接受用户终端的连接请求，用户终端和应用服务端之间通过所述SSL安全数据通道进行通信。所述应用服务端接收到所述时间戳机构系统返回的时间戳信息验证不合格通知后，判断所述用户终端的身份验证不通过，拒绝所述用户终端的连接请求。一种基于WPKI和时间戳的移动终端身份认证系统，包括用户终端、应用服务端和时间戳机构系统：所述的用户终端，用于从时间戳机构系统获取时间戳，采用无线公钥基础设施WPKI与应用服务端建立安全数据通道；所述的应用服务端，用于接收所述用户终端通过所述安全数据通道发送的所述时间戳，所述应用服务端通过所述时间戳机构系统对所述时间戳进行验证；在所述时间戳的验证通过后，和所述用户终端之间利用所述安全数据通道进行数据本文档来自技高网...

【技术保护点】
一种基于WPKI和时间戳的移动终端身份认证方法，其特征在于，包括：用户终端从时间戳机构系统获取时间戳，所述用户终端采用无线公钥基础设施WPKI与应用服务端建立安全数据通道；所述应用服务端接收所述用户终端通过所述安全数据通道发送的所述时间戳，所述应用服务端通过所述时间戳机构系统对所述时间戳进行验证；在所述时间戳的验证通过后，所述应用服务端和所述用户终端之间利用所述安全数据通道进行数据传输。

【技术特征摘要】
1.一种基于WPKI和时间戳的移动终端身份认证方法，其特征在于，包
括：
用户终端从时间戳机构系统获取时间戳，所述用户终端采用无线公钥基
础设施WPKI与应用服务端建立安全数据通道；
所述应用服务端接收所述用户终端通过所述安全数据通道发送的所述时
间戳，所述应用服务端通过所述时间戳机构系统对所述时间戳进行验证；
在所述时间戳的验证通过后，所述应用服务端和所述用户终端之间利用
所述安全数据通道进行数据传输。
2.根据权利要求1所述的基于WPKI和时间戳的移动终端身份认证方法，
其特征在于，所述用户终端从时间戳机构系统获取时间戳，包括：
时间戳机构系统接收到用户终端发送的携带用户的WPKI数字证书的连接
请求，所述时间戳机构系统获取所述连接请求中携带的WPKI数字证书，向在
线证书状态协议OCSP服务器发送携带所述WPKI数字证书的证书验证请求；
所述OCSP服务器接收到所述证书验证请求后，获取所述WPKI数字证书
的唯一标识、有效期、扩展选项，所述OCSP服务器验证所述WPKI证书的有
效期是否过期，验证所述WPKI证书是否由指定认证中心CA颁发，验证所述
WPKI证书的唯一标识、扩展选项是否有效；
所述OCSP服务器在所述WPKI数字证书的所有验证都通过后，向所述时
间戳机构系统发送验证合格通知，在所述时间戳机构系统和所述用户终端之
间，使用所述WPKI证书建立用于传输数据的安全套接层SSL安全数据通道；
所述用户终端采用摘要算法对需要上传的数据生成摘要值，将摘要值遵
循时间戳申请规范通过所述SSL安全数据通道传输到时间戳机构系统；所述时
间戳机构系统对所述用户终端发送过来的摘要值加盖时间戳，将时间戳用时

\t间戳机构系统的数字证书进行签名，将签名后的时间戳信息返回给用户终
端。
3.根据权利要求2所述的基于WPKI和时间戳的移动终端身份认证方法，
其特征在于，所述用户终端采用WPKI无线公钥基础设施与应用服务端建立安
全数据通道，包括：
应用服务端接收到用户终端发送的携带用户的WPKI数字证书的连接请
求，所述应用服务端获取所述连接请求中携带的WPKI数字证书，向OCSP服
务器发送携带所述WPKI数字证书的证书验证请求；
所述OCSP服务器接收到所述证书验证请求后，获取所述WPKI数字证书
的唯一标识、有效期、扩展选项，所述OCSP服务器验证所述WPKI证书的有
效期是否过期，验证所述WPKI证书是否由指定认证中心CA颁发，验证所述
WPKI证书的唯一标识、扩展选项是否有效；
所述OCSP服务器在所述WPKI数字证书的所有验证都通过后，向所述应
用服务端发送验证合格通知，所述应用服务端接收到所述验证合格通知后，
使用所述WPKI证书和所述用户终端之间建立用于传输数据的SSL安全通道。
4.根据权利要求2所述的基于WPKI和时间戳的移动终端身份认证方法，
其特征在于，所述应用服务端通过所述时间戳机构系统对所述时间戳进行验
证，包括：
所述应用服务端获取时间戳上签名的时间戳机构系统的数字证书，向
OCSP服务器发送携带所述时间戳机构系统的数字证书的证书验证请求，
OCSP对所述时间戳机构系统的数字证书进行校验；
所述OCSP服务器在所述时间戳机构系统的数字证书的所有验证都通过
后，向所述应用服务端发送验证合格通知，所述应用服务端将所述时间戳信
息发送到所述时间戳机构系统；
所述时间戳机构系统对应用服务端发来的时间戳信息进行验证，该验证

\t包括时间戳是否为本TSA签发、时间戳信息验签能否通过，所述时间戳机构
系统在所述时间戳信息所有验证都通过后，向所述应用服务端发送时间戳信
息验证合格通知；在所述时间戳信息的所有验证不是都通过后，向所述应用
服务端发送时间戳信息验证不合格通知。
5.根据权利要求1至4任一项所述的基于WPKI和时间戳的移动终端身份
认证方法，其特征在于，在所述时间戳的验证通过后，所述应用服务端和所
述用户终端之间利用所述安全数据通道进行数据传输，包括：
所述应用服务端接收到所述时间戳机构系统返回的时间戳信息验证合格
通知后，判断用户终端的身份验证通过，接受用户终端的连接请求，用户终
端和应用服务端之间通过所述SSL安全数据通道进行通信。
所述应用服务端接收到所述时间戳机构系统返回的时间戳信息验证不合
格通知后，判断所述用户终端的身份验证不通过，拒绝所...

【专利技术属性】
技术研发人员：耿方，林文辉，郭向国，林凉，杜悦琨，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京;11