基于移動終端的wpki安全監控方法和系統的制作方法

文檔序號：7988566閱讀：259來源：國知局

基于移動終端的wpki安全監控方法和系統的制作方法
【專利摘要】本發明實施例提供了一種基于移動終端的WPKI安全監控方法和系統。該方法主要包括：用戶的移動終端向安全監控系統發送連接請求，連接請求中攜帶用戶終端的數字證書信息；安全監控系統通過目錄服務器對用戶終端的數字證書進行驗證，在驗證通過后，安全監控系統向移動終端返回連接響應；移動終端使用數字證書和安全監控系統之間建立SSL連接通道，通過SSL連接通道向安全監控系統發送操作查詢請求，安全監控系統通過SSL連接通道向移動終端返回信息報表。本發明實施例在無線網絡中對傳輸的數據進行加密處理，保障信息安全保密，即使在被不法分子截取信息的情況下，用戶信息也無法被不法分子獲取以及篡改。
【專利說明】基于移動終端的WPKI安全監控方法和系統
【技術領域】
[0001]本發明涉及通信【技術領域】，尤其涉及一種基于移動終端的WPKKWireless PublicKey Infrastructure,無線公鑰基礎設施)安全監控方法和系統。
【背景技術】
[0002]移動智能終端,現今主要有三類，分別是Google的android手機、蘋果的iphone和微軟的Windows Phone。其中，Android智能手機的操作系統基于Linux內核，是Google公司公布的手機操作系統，早期由Google開發，后由開放手持設備聯盟開發。該平臺由操作系統、中間件、用戶界面和應用軟件組成，是首個為移動終端打造的真正開放和完整的移動軟件。
[0003]WPKI是把網絡中的PKI (Public Key Infrastructure,公鑰基礎設施)安全技術引入到無線網絡環境中的一套遵循既定標準的密鑰及證書管理平臺體系，WPKI用來管理在移動網絡環境中使用的公開密鑰和數字證書，有效地建立起安全的無線網絡環境。WPKI作為PKI技術在無線網絡中的優化擴展，采用了優化的壓縮的X.509數字證書和ECC橢圓曲線加密技術。它通過第三方的可信任機構CA (certificate authority,認證中心)來驗證用戶的身份，實現了信息的安全傳輸。
[0004]LDAP (Lightweight Directory Access Protocol,輕量目錄訪問協議)目錄服務器用于存儲對象的各類屬性和信息，它定義了一個用來發布目錄信息到許多不同資源的協議，使得各種應用可以通過標準接口目錄服務器獲取相應信息。在PKI平臺中LDAP目錄服務器主要用于發布證書信息和證書注銷列表，通過該目錄服務器，應用系統可以查詢到用戶的證書信息和證書狀態。
[0005]目前，國內的網絡監控系統大都采用監控服務器負責監控運營系統，管理員要查詢相關監控資料，需要使用電腦登錄到相應的監控服務器查詢相關監控信息。同時，當有緊急信息需要告知管理員時均基于郵件、短信通知的方式。這種情況對于管理員要及時了解監控信息極其不方便，若采用短信方式通知用戶，用戶了解不到監控的詳細信息。

【發明內容】

[0006]本發明的實施例提供了一種基于移動終端的WPKI安全監控方法和系統，以實現移動終端安全、方便地和安全監控系統進行通信，獲取所監控的運營平臺的信息。
[0007]一種基于移動終端的WPKI安全監控方法，包括:
[0008]用戶的移動終端向安全監控系統發送連接請求，所述連接請求中攜帶用戶終端的數字證書信息；
[0009]所述安全監控系統通過目錄服務器對所述用戶終端的數字證書進行驗證，在驗證通過后，所述安全監控系統向所述移動終端返回連接響應；
[0010]所述移動終端使用數字證書和所述安全監控系統之間建立SSL連接通道，通過所述SSL連接通道向安全監控系統發送操作查詢請求，所述安全監控系統通過所述SSL連接通道向所述移動終端返回信息報表。
[0011]一種基于移動終端的WPKI安全監控系統，包括:
[0012]用戶的移動終端，用于向安全監控系統發送連接請求，所述連接請求中攜帶用戶終端的數字證書信息，使用數字證書和所述安全監控系統之間建立SSL連接通道，通過所述SSL連接通道向安全監控系統發送操作查詢請求；
[0013]安全監控系統，通過目錄服務器對所述用戶終端的數字證書進行驗證，在驗證通過后，所述安全監控系統向所述移動終端返回連接響應，通過所述SSL連接通道向所述移動終端返回信息報表。
[0014]由上述本發明的實施例提供的技術方案可以看出，本發明實施例的基于移動終端的WPKI安全監控方法和系統具有安全便捷的特點，實現了移動終端安全、方便地和安全監控系統進行通信，獲取所監控的運營平臺的信息。在無線網絡中對傳輸的數據進行加密處理，保障信息安全保密，即使在被不法分子截取信息的情況下，用戶信息也無法被不法分子獲取以及篡改，這在電子政務和電子商務的運營平臺上尤其重要。
【專利附圖】

【附圖說明】
[0015]為了更清楚地說明本發明實施例的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。
[0016]圖1對本發明實施例一提供的一種基于移動終端的WPKI安全監控的方法的原理示意圖
[0017]圖2對本發明實施例一提供的一種基于移動終端的WPKI安全監控的方法的處理流程示意圖；
[0018]圖3為本發明實施例二提供的另一種基于移動終端的WPKI安全監控的方法的處理流程示意圖；
[0019]圖4本發明實施例三提供的一種基于移動終端的WPKI安全監控系統的結構示意圖。
【具體實施方式】
[0020]為便于對本發明實施例的理解，下面將結合附圖以幾個具體實施例為例做進一步的解釋說明，且各個實施例并不構成對本發明實施例的限定。
[0021]實施例一
[0022]該實施例提供的一種基于移動終端的WPKI安全監控的方法的原理示意圖如圖1所示，具體處理流程示意圖如圖2所示，包括如下的處理步驟:
[0023]步驟21、用戶通過移動終端向安全監控系統發送連接請求。
[0024]用戶通過移動終端根據其用戶的數字證書向安全監控系統發送連接請求，該連接請求中攜帶用戶終端的數字證書信息，包括數字證書DN(Distinguished Name,識別名)、有效期、擴展選項等內容。
[0025]上述移動終端可以為移動智能終端。[0026]步驟22、安全監控系統接收到上述連接請求后，獲取到用戶終端的數字證書信息，向目錄服務器發送攜帶上述用戶終端的數字證書信息的證書驗證請求。
[0027]步驟23、目錄服務器接收到上述證書驗證請求后，對上述用戶終端的數字證書信息進行校驗，該校驗包括校驗證書是否在有效期內，是否是CA頒發的有效證書，以及校驗用戶DN和擴展信息是否有效。
[0028]所述目錄服務器在所述數字證書的所有校驗通過后，向所述安全監控系統返回攜帶驗證通過信息的證書校驗結果；否則，向所述安全監控系統返回攜帶驗證不通過信息的證書校驗結果。
[0029]步驟24、當目錄服務器返回的證書校驗結果為校驗不通過時，安全監控系統拒絕該移動終端的連接請求，流程結束；當目錄服務器返回的證書校驗結果為校驗通過時，則允許該移動終端的連接請求，向上述移動終端返回連接響應；[0030]步驟25、用戶的移動終端內存放用戶的數字證書，安全監控系統配置服務器證書，上述移動終端使用用戶的數字證書和安全監控系統之間建立雙向的SSL (Secure SocketLayer,安全套接層)連接通道，上述安全監控系統系統使用數字證書DN對各個用戶終端進行標識，同時根據用戶終端的數字證書DN確定用戶的權限，包括各個用戶通過安全監控系統可以監控的運營平臺。
[0031]用戶的移動終端通過SSL連接通道向安全監控系統發送操作查詢請求，該操作查詢請求中攜帶請求查詢的運營平臺。
[0032]步驟26、安全監控系統對用戶的移動終端發送的操作查詢請求進行響應，對上述請求查詢的運營平臺進行信息收集和數據處理，生成相關的信息報表。
[0033]安全監控系統通過SSL連接通道把上述相關的信息報表發送到用戶的移動終端。
[0034]安全監控系統與CA的目錄服務器保持通訊，用于對用戶終端的數字證書進行校驗，可以實時保證用戶信息的有效性，也可以保證用戶出現丟失自己的移動終端時，可以即時注銷自己的移動終端的數字證書，防止非法用戶使用其登錄安全監控系統系統偷竊信肩、O
[0035]WPKI作為PKI技術在無線網絡中的優化擴展，采用了優化的壓縮的X.509數字證書和ECC橢圓曲線加密技術。上述過程中，用戶的移動終端的數字證書使用了 WPKI中優化的壓縮的X.509數字證書，并使用該數字證書進行數據加密、簽名、驗證等操作。整個通信流程使用的就是WPKI技術。
[0036]實施例二
[0037]該實施例提供的另一種基于移動終端的WPKI安全監控的方法的處理流程示意圖如圖3所示，包括如下的處理步驟:
[0038]步驟31、安全監控系統監控運營平臺和應用服務器，發現存在需要通知管理員用
戶的告警信息。
[0039]安全監控系統采集告警信息，將所述告警信息轉換為報表形式，得到告警信息報表。上述安全監控系統同時查詢需要通知的管理員信息；
[0040]安全監控系統根據管理員用戶的手機號，通過移動網絡查找到管理員用戶的移動終端；
[0041]步驟32，安全監控系統向管理員用戶的移動終端發送連接請求和驗證用戶信息請求；
[0042]步驟33、移動終端接收到上述連接請求和驗證用戶信息請求后，發送該移動終端的數字證書信息給安全監控系統；
[0043]步驟34、安全監控系統接收到上述移動終端的數字證書信息后，向目錄服務器發送攜帶上述數字證書信息的證書驗證請求；
[0044]步驟35、目錄服務器接收到上述證書驗證請求后，對上述移動終端的數字證書信息進行校驗，該校驗包括校驗證書是否在有效期內，是否是CA頒發的有效證書，以及校驗用戶DN和擴展信息是否有效。
[0045]然后，目錄服務器向安全監控系統返回證書校驗結果。
[0046]步驟36、當目錄服務器返回的證書校驗結果為數字證書無效時，安全監控系統中止與該移動終端的通信，流程結束；當目錄服務器返回的證書校驗結果為數字證書有效時，則安全監控系統與該移動終端之間建立SSL連接通道；
[0047]步驟37、安全監控系統通過SSL連接通道向該移動終端發送所述告警信息報表。則完成一次告警信息的發送。
[0048]實施例三
[0049]該實施例提供的一種基于移動終端的WPKI安全監控系統的結構示意圖如圖4所示，包括如下的模塊:
[0050]用戶的移動終端41，用于向安全監控系統發送連接請求，所述連接請求中攜帶用戶終端的數字證書信息，使用數字證書和所述安全監控系統之間建立SSL連接通道，通過所述SSL連接通道向安全監控系統發送操作查詢請求；
[0051]安全監控系統42，通過目錄服務器對所述用戶終端的數字證書進行驗證，在驗證通過后，所述安全監控系統向所述移動終端返回連接響應，通過所述SSL連接通道向所述移動終端返回信息報表。
[0052]進一步地，所述的系統還可以包括:
[0053]目錄服務器43，用于接收到所述安全監控系統發送的攜帶所述用戶終端的數字證書信息的證書驗證請求后，對所述用戶終端的數字證書信息進行校驗，該校驗包括校驗證書是否在有效期內，是否是認證中心頒發的有效證書，以及校驗數字證書識別名、擴展選項是否有效；
[0054]在所述數字證書的所有校驗通過后，向所述安全監控系統返回攜帶驗證通過信息的證書校驗結果；否則，向所述安全監控系統返回攜帶驗證不通過信息的證書校驗結果。
[0055]具體，所述的安全監控系統系統42包括:
[0056]數字證書管理模塊421，用于使用數字證書識別名對各個用戶終端進行標識，根據用戶終端的數字證書識別名確定用戶的權限，該權限包括各個用戶通過安全監控系統可以監控的運營平臺和應用服務器；
[0057]信息報表生成模塊422，用于接收所述移動終端通過SSL連接通道發送的操作查詢請求，該操作查詢請求中攜帶請求查詢的運營平臺或應用服務器，對所述請求查詢的運營平臺或應用服務器進行信息收集和數據處理，生成相關的信息報表；
[0058]信息報表下發模塊423，用于通過所述SSL連接通道將所述相關的信息報表發送給所述移動終端。[0059]告警信息處理模塊424，用于監控運營平臺和應用服務器，發現存在需要通知管理員用戶的告警信息后，采集告警信息，將所述告警信息轉換為報表形式，得到告警信息報表;
[0060]通過目錄服務器對所述管理員用戶的移動終端的數字證書進行驗證，在驗證通過后，利用所述管理員用戶的用戶終端的數字證書，與所述管理員用戶的移動終端之間建立SSL連接通道；
[0061]通過所述SSL連接通道將所述告警信息報表發送給所述管理員用戶的移動終端。
[0062]用本發明實施例的系統進行基于移動終端的WPKI安全監控的具體過程與前述方法實施例類似，此處不再贅述。
[0063]本領域普通技術人員可以理解:附圖只是一個實施例的示意圖，附圖中的模塊或流程并不一定是實施本發明所必須的。
[0064]本領域普通技術人員可以理解:實施例中的設備中的模塊可以按照實施例描述分布于實施例的設備中，也可以進行相應變化位于不同于本實施例的一個或多個設備中。上述實施例的模塊可以合并為一個模塊，也可以進一步拆分成多個子模塊。
[0065]綜上所述，本發明實施例的基于移動終端的WP KI安全監控方法和系統具有安全便捷的特點，實現了移動終端安全、方便地和安全監控系統進行通信，獲取所監控的運營平臺的信息。本發明實施例的安全性在于采用了基于移動安全終端的WPKI技術，在無線網絡中對傳輸的數據進行加密處理，保障信息安全保密，即使在被不法分子截取信息的情況下，用戶信息也無法被不法分子獲取以及篡改，這在電子政務和電子商務的運營平臺上尤其重要。
[0066]本發明實施例中的目錄服務器進行用戶證書校驗，保證用戶證書的實時有效性，避免用戶證書被注銷或者丟失的情況下非法用戶使用該證書登陸安全監控系統。同時，用戶可以使用移動安全終端隨時隨地登陸到該安全監控系統，獲取詳細的監控信息報表，方便用戶使用。
[0067]以上所述，僅為本發明較佳的【具體實施方式】，但本發明的保護范圍并不局限于此，任何熟悉本【技術領域】的技術人員在本發明揭露的技術范圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護范圍之內。因此，本發明的保護范圍應該以權利要求的保護范圍為準。
【權利要求】
1.一種基于移動終端的WPKI安全監控方法，其特征在于，包括: 用戶的移動終端向安全監控系統發送連接請求，所述連接請求中攜帶用戶終端的數字證書信息；所述安全監控系統通過目錄服務器對所述用戶終端的數字證書進行驗證，在驗證通過后，所述安全監控系統向所述移動終端返回連接響應；所述移動終端使用數字證書和所述安全監控系統之間建立SSL連接通道，通過所述SSL連接通道向安全監控系統發送操作查詢請求，所述安全監控系統通過所述SSL連接通道向所述移動終端返回信息報表。
2.根據權利要求1所述的基于移動終端的WPKI安全監控方法，其特征在于，所述的數字證書信息包括數字證書識別名、有效期、擴展選項內容。
3.根據權利要求1所述的基于移動終端的WPKI安全監控方法，其特征在于，所述的安全監控系統通過目錄服務器對所述用戶終端的數字證書進行驗證，包括: 所述的安全監控系統接收到所述連接請求后，獲取到用戶終端的數字證書信息，向目錄服務器發送攜帶所述用戶終端的數字證書信息的證書驗證請求；所述目錄服務器接收到所述證書驗證請求后，對所述用戶終端的數字證書信息進行校驗，該校驗包括校驗證書是否在有效期內，是否是認證中心頒發的有效證書，以及校驗數字證書識別名、擴展選項是否有效；所述目錄服務器在所述數字證書的所有校驗通過后，向所述安全監控系統返回攜帶驗證通過信息的證書校驗結果；否則，向所述安全監控系統返回攜帶驗證不通過信息的證書校驗結果。
4.根據權利要求1或2或3所述的基于移動終端的WPKI安全監控方法，其特征在于，所述的通過所述SSL連接通道向安全監控系統發送操作查詢請求，所述安全監控系統通過所述SSL連接通道向所述移動終端返回信息報表，包括: 所述安全監控系統系統使用數字證書識別名對各個用戶終端進行標識，根據用戶終端的數字證書識別名確定用戶的權限，該權限包括各個用戶通過安全監控系統可以監控的運營平臺和應用服務器；所述移動終端通過SSL連接通道向安全監控系統發送操作查詢請求，該操作查詢請求中攜帶請求查詢的運營平臺或應用服務器；所述安全監控系統接收到所述操作查詢請求后，對所述請求查詢的運營平臺或應用服務器進行信息收集和數據處理，生成相關的信息報表，通過所述SSL連接通道將所述相關的信息報表發送給所述移動終端。
5.根據權利要求1所述的基于移動終端的WPKI安全監控方法，其特征在于，所述的方法還包括: 安全監控系統監控運營平臺和應用服務器，發現存在需要通知管理員用戶的告警信息，所述安全監控系統采集告警信息，將所述告警信息轉換為報表形式，得到告警信息報表; 所述安全監控系統通過目錄服務器對所述管理員用戶的移動終端的數字證書進行驗證，在驗證通過后，所述安全監控系統利用所述管理員用戶的用戶終端的數字證書，與所述管理員用戶的移動終端之間建立SSL連接通道；所述安全監控系統通過所述SSL連接通道將所述告警信息報表發送給所述管理員用戶的移動終端。
6.一種基于移動終端的WPKI安全監控系統,其特征在于,包括: 用戶的移動終端，用于向安全監控系統發送連接請求，所述連接請求中攜帶用戶終端的數字證書信息，使用數字證書和所述安全監控系統之間建立SSL連接通道，通過所述SSL連接通道向安全監控系統發送操作查詢請求；安全監控系統，通過目錄服務器對所述用戶終端的數字證書進行驗證，在驗證通過后，所述安全監控系統向所述移動終端返回連接響應，通過所述SSL連接通道向所述移動終端返回信息報表。
7.根據權利要求6所述的基于移動終端的WPKI安全監控系統，其特征在于，所述的系統還包括: 目錄服務器，用于接收到所述安全監控系統發送的攜帶所述用戶終端的數字證書信息的證書驗證請求后，對所述用戶終端的數字證書信息進行校驗，該校驗包括校驗證書是否在有效期內，是否是認證中心頒發的有效證書，以及校驗數字證書識別名、擴展選項是否有效；在所述數字證書的所有校驗通過后，向所述安全監控系統返回攜帶驗證通過信息的證書校驗結果；否則，向所述安全監控系統返回攜帶驗證不通過信息的證書校驗結果。
8.根據權利要求6或7所述的基于移動終端的WPKI安全監控系統，其特征在于，所述的安全監控系統系統包括: 數字證書管理模塊，用于使用數字證書識別名對各個用戶終端進行標識，根據用戶終端的數字證書識別名確定用戶的權限，該權限包括各個用戶通過安全監控系統可以監控的運營平臺和應用服務器；信息報表生成模塊，用于接收所述移動終端通過SSL連接通道發送的操作查詢請求，該操作查詢請求中攜帶請求查詢的運營平臺或應用服務器，對所述請求查詢的運營平臺或應用服務器進行信息收集和數據處理，生成相關的信息報表；信息報表下發模塊，用于通過所述SSL連接通道將所述相關的信息報表發送給所述移動終端。
9.根據權利要求8所述的基于移動終端的WPKI安全監控系統，其特征在于，所述的安全監控系統系統還包括: 告警信息處理模塊，用于監控運營平臺和應用服務器，發現存在需要通知管理員用戶的告警信息后，采集告警信息，將所述告警信息轉換為報表形式，得到告警信息報表；通過目錄服務器對所述管理員用戶的移動終端的數字證書進行驗證，在驗證通過后，利用所述管理員用戶的用戶終端的數字證書，與所述管理員用戶的移動終端之間建立SSL連接通道；通過所述SSL連接通道將所述告警信息報表發送給所述管理員用戶的移動終端。
【文檔編號】H04W12/02GK103906050SQ201210587643
【公開日】2014年7月2日申請日期:2012年12月30日優先權日:2012年12月30日
【發明者】林文輝, 周珅珅, 郭向國, 林涼, 華剛申請人:航天信息股份有限公司

完整全部詳細技術資料下載