基于移动终端的wpki安全监控方法和系统的制作方法
【专利摘要】本发明实施例提供了一种基于移动终端的WPKI安全监控方法和系统。该方法主要包括:用户的移动终端向安全监控系统发送连接请求,连接请求中携带用户终端的数字证书信息;安全监控系统通过目录服务器对用户终端的数字证书进行验证,在验证通过后,安全监控系统向移动终端返回连接响应;移动终端使用数字证书和安全监控系统之间建立SSL连接通道,通过SSL连接通道向安全监控系统发送操作查询请求,安全监控系统通过SSL连接通道向移动终端返回信息报表。本发明实施例在无线网络中对传输的数据进行加密处理,保障信息安全保密,即使在被不法分子截取信息的情况下,用户信息也无法被不法分子获取以及篡改。
【专利说明】基于移动终端的WPKI安全监控方法和系统
【技术领域】
[0001]本发明涉及通信【技术领域】,尤其涉及一种基于移动终端的WPKKWireless PublicKey Infrastructure,无线公钥基础设施)安全监控方法和系统。
【背景技术】
[0002]移动智能终端,现今主要有三类,分别是Google的android手机、苹果的iphone和微软的Windows Phone。其中,Android智能手机的操作系统基于Linux内核,是Google公司公布的手机操作系统,早期由Google开发,后由开放手持设备联盟开发。该平台由操作系统、中间件、用户界面和应用软件组成,是首个为移动终端打造的真正开放和完整的移动软件。
[0003]WPKI是把网络中的PKI (Public Key Infrastructure,公钥基础设施)安全技术引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,WPKI用来管理在移动网络环境中使用的公开密钥和数字证书,有效地建立起安全的无线网络环境。WPKI作为PKI技术在无线网络中的优化扩展,采用了优化的压缩的X.509数字证书和ECC椭圆曲线加密技术。它通过第三方的可信任机构CA (certificate authority,认证中心)来验证用户的身份,实现了信息的安全传输。
[0004]LDAP (Lightweight Directory Access Protocol,轻量目录访问协议)目录服务器用于存储对象的各类属性和信息,它定义了一个用来发布目录信息到许多不同资源的协议,使得各种应用可以通过标准接口目录服务器获取相应信息。在PKI平台中LDAP目录服务器主要用于发布证书信息和证书注销列表,通过该目录服务器,应用系统可以查询到用户的证书信息和证书状态。
[0005]目前,国内的网络监控系统大都采用监控服务器负责监控运营系统,管理员要查询相关监控资料,需要使用电脑登录到相应的监控服务器查询相关监控信息。同时,当有紧急信息需要告知管理员时均基于邮件、短信通知的方式。这种情况对于管理员要及时了解监控信息极其不方便,若采用短信方式通知用户,用户了解不到监控的详细信息。
【发明内容】
[0006]本发明的实施例提供了一种基于移动终端的WPKI安全监控方法和系统,以实现移动终端安全、方便地和安全监控系统进行通信,获取所监控的运营平台的信息。
[0007]一种基于移动终端的WPKI安全监控方法,包括:
[0008]用户的移动终端向安全监控系统发送连接请求,所述连接请求中携带用户终端的数字证书信息;
[0009]所述安全监控系统通过目录服务器对所述用户终端的数字证书进行验证,在验证通过后,所述安全监控系统向所述移动终端返回连接响应;
[0010]所述移动终端使用数字证书和所述安全监控系统之间建立SSL连接通道,通过所述SSL连接通道向安 全监控系统发送操作查询请求,所述安全监控系统通过所述SSL连接通道向所述移动终端返回信息报表。
[0011]一种基于移动终端的WPKI安全监控系统,包括:
[0012]用户的移动终端,用于向安全监控系统发送连接请求,所述连接请求中携带用户终端的数字证书信息,使用数字证书和所述安全监控系统之间建立SSL连接通道,通过所述SSL连接通道向安全监控系统发送操作查询请求;
[0013]安全监控系统,通过目录服务器对所述用户终端的数字证书进行验证,在验证通过后,所述安全监控系统向所述移动终端返回连接响应,通过所述SSL连接通道向所述移动终端返回信息报表。
[0014]由上述本发明的实施例提供的技术方案可以看出,本发明实施例的基于移动终端的WPKI安全监控方法和系统具有安全便捷的特点,实现了移动终端安全、方便地和安全监控系统进行通信,获取所监控的运营平台的信息。在无线网络中对传输的数据进行加密处理,保障信息安全保密,即使在被不法分子截取信息的情况下,用户信息也无法被不法分子获取以及篡改,这在电子政务和电子商务的运营平台上尤其重要。
【专利附图】
【附图说明】
[0015]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0016]图1对本发明实施例一提供的一种基于移动终端的WPKI安全监控的方法的原理示意图
[0017]图2对本发明实施例一提供的一种基于移动终端的WPKI安全监控的方法的处理流程示意图;
[0018]图3为本发明实施例二提供的另一种基于移动终端的WPKI安全监控的方法的处理流程示意图;
[0019]图4本发明实施例三提供的一种基于移动终端的WPKI安全监控系统的结构示意图。
【具体实施方式】
[0020]为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0021]实施例一
[0022]该实施例提供的一种基于移动终端的WPKI安全监控的方法的原理示意图如图1所示,具体处理流程示意图如图2所示,包括如下的处理步骤:
[0023]步骤21、用户通过移动终端向安全监控系统发送连接请求。
[0024]用户通过移动终端根据其用户的数字证书向安全监控系统发送连接请求,该连接请求中携带用户终端的数字证书信息,包括数字证书DN(Distinguished Name,识别名)、有效期、扩展选项等内容。
[0025]上述移动终端可以为移动智能终端。[0026]步骤22、安全监控系统接收到上述连接请求后,获取到用户终端的数字证书信息,向目录服务器发送携带上述用户终端的数字证书信息的证书验证请求。
[0027]步骤23、目录服务器接收到上述证书验证请求后,对上述用户终端的数字证书信息进行校验,该校验包括校验证书是否在有效期内,是否是CA颁发的有效证书,以及校验用户DN和扩展信息是否有效。
[0028]所述目录服务器在所述数字证书的所有校验通过后,向所述安全监控系统返回携带验证通过信息的证书校验结果;否则,向所述安全监控系统返回携带验证不通过信息的证书校验结果。
[0029]步骤24、当目录服务器返回的证书校验结果为校验不通过时,安全监控系统拒绝该移动终端的连接请求,流程结束;当目录服务器返回的证书校验结果为校验通过时,则允许该移动终端的连接请求,向上述移动终端返回连接响应;[0030]步骤25、用户的移动终端内存放用户的数字证书,安全监控系统配置服务器证书,上述移动终端使用用户的数字证书和安全监控系统之间建立双向的SSL (Secure SocketLayer,安全套接层)连接通道,上述安全监控系统系统使用数字证书DN对各个用户终端进行标识,同时根据用户终端的数字证书DN确定用户的权限,包括各个用户通过安全监控系统可以监控的运营平台。
[0031]用户的移动终端通过SSL连接通道向安全监控系统发送操作查询请求,该操作查询请求中携带请求查询的运营平台。
[0032]步骤26、安全监控系统对用户的移动终端发送的操作查询请求进行响应,对上述请求查询的运营平台进行信息收集和数据处理,生成相关的信息报表。
[0033]安全监控系统通过SSL连接通道把上述相关的信息报表发送到用户的移动终端。
[0034]安全监控系统与CA的目录服务器保持通讯,用于对用户终端的数字证书进行校验,可以实时保证用户信息的有效性,也可以保证用户出现丢失自己的移动终端时,可以即时注销自己的移动终端的数字证书,防止非法用户使用其登录安全监控系统系统偷窃信肩、O
[0035]WPKI作为PKI技术在无线网络中的优化扩展,采用了优化的压缩的X.509数字证书和ECC椭圆曲线加密技术。上述过程中,用户的移动终端的数字证书使用了 WPKI中优化的压缩的X.509数字证书,并使用该数字证书进行数据加密、签名、验证等操作。整个通信流程使用的就是WPKI技术。
[0036]实施例二
[0037]该实施例提供的另一种基于移动终端的WPKI安全监控的方法的处理流程示意图如图3所示,包括如下的处理步骤:
[0038]步骤31、安全监控系统监控运营平台和应用服务器,发现存在需要通知管理员用
户的告警信息。
[0039]安全监控系统采集告警信息,将所述告警信息转换为报表形式,得到告警信息报表。上述安全监控系统同时查询需要通知的管理员信息;
[0040]安全监控系统根据管理员用户的手机号,通过移动网络查找到管理员用户的移动终端;
[0041]步骤32,安全监控系统向管理员用户的移动终端发送连接请求和验证用户信息请求;
[0042]步骤33、移动终端接收到上述连接请求和验证用户信息请求后,发送该移动终端的数字证书信息给安全监控系统;
[0043]步骤34、安全监控系统接收到上述移动终端的数字证书信息后,向目录服务器发送携带上述数字证书信息的证书验证请求;
[0044]步骤35、目录服务器接收到上述证书验证请求后,对上述移动终端的数字证书信息进行校验,该校验包括校验证书是否在有效期内,是否是CA颁发的有效证书,以及校验用户DN和扩展信息是否有效。
[0045]然后,目录服务器向安全监控系统返回证书校验结果。
[0046]步骤36、当目录服务器返回的证书校验结果为数字证书无效时,安全监控系统中止与该移动终端的通信,流程结束;当目录服务器返回的证书校验结果为数字证书有效时,则安全监控系统与该移动终端之间建立SSL连接通道;
[0047]步骤37、安全监控系统通过SSL连接通道向该移动终端发送所述告警信息报表。则完成一次告警信息的发送。
[0048]实施例三
[0049]该实施例提供的一种基于移动终端的WPKI安全监控系统的结构示意图如图4所示,包括如下的模块:
[0050]用户的移动终端41,用于向安全监控系统发送连接请求,所述连接请求中携带用户终端的数字证书信息,使用数字证书和所述安全监控系统之间建立SSL连接通道,通过所述SSL连接通道向安全监控系统发送操作查询请求;
[0051]安全监控系统42,通过目录服务器对所述用户终端的数字证书进行验证,在验证通过后,所述安全监控系统向所述移动终端返回连接响应,通过所述SSL连接通道向所述移动终端返回信息报表。
[0052]进一步地,所述的系统还可以包括:
[0053]目录服务器43,用于接收到所述安全监控系统发送的携带所述用户终端的数字证书信息的证书验证请求后,对所述用户终端的数字证书信息进行校验,该校验包括校验证书是否在有效期内,是否是认证中心颁发的有效证书,以及校验数字证书识别名、扩展选项是否有效;
[0054]在所述数字证书的所有校验通过后,向所述安全监控系统返回携带验证通过信息的证书校验结果;否则,向所述安全监控系统返回携带验证不通过信息的证书校验结果。
[0055]具体,所述的安全监控系统系统42包括:
[0056]数字证书管理模块421,用于使用数字证书识别名对各个用户终端进行标识,根据用户终端的数字证书识别名确定用户的权限,该权限包括各个用户通过安全监控系统可以监控的运营平台和应用服务器;
[0057]信息报表生成模块422,用于接收所述移动终端通过SSL连接通道发送的操作查询请求,该操作查询请求中携带请求查询的运营平台或应用服务器,对所述请求查询的运营平台或应用服务器进行信息收集和数据处理,生成相关的信息报表;
[0058]信息报表下发模块423,用于通过所述SSL连接通道将所述相关的信息报表发送给所述移动终端。[0059]告警信息处理模块424,用于监控运营平台和应用服务器,发现存在需要通知管理员用户的告警信息后,采集告警信息,将所述告警信息转换为报表形式,得到告警信息报表;
[0060]通过目录服务器对所述管理员用户的移动终端的数字证书进行验证,在验证通过后,利用所述管理员用户的用户终端的数字证书,与所述管理员用户的移动终端之间建立SSL连接通道;
[0061]通过所述SSL连接通道将所述告警信息报表发送给所述管理员用户的移动终端。
[0062]用本发明实施例的系统进行基于移动终端的WPKI安全监控的具体过程与前述方法实施例类似,此处不再赘述。
[0063]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0064]本领域普通技术人员可以理解:实施例中的设备中的模块可以按照实施例描述分布于实施例的设备中,也可以进行相应变化位于不同于本实施例的一个或多个设备中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0065]综上所述,本发明实施例的基于移动终端的WP KI安全监控方法和系统具有安全便捷的特点,实现了移动终端安全、方便地和安全监控系统进行通信,获取所监控的运营平台的信息。本发明实施例的安全性在于采用了基于移动安全终端的WPKI技术,在无线网络中对传输的数据进行加密处理,保障信息安全保密,即使在被不法分子截取信息的情况下,用户信息也无法被不法分子获取以及篡改,这在电子政务和电子商务的运营平台上尤其重要。
[0066]本发明实施例中的目录服务器进行用户证书校验,保证用户证书的实时有效性,避免用户证书被注销或者丢失的情况下非法用户使用该证书登陆安全监控系统。同时,用户可以使用移动安全终端随时随地登陆到该安全监控系统,获取详细的监控信息报表,方便用户使用。
[0067]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护 范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【权利要求】
1.一种基于移动终端的WPKI安全监控方法,其特征在于,包括: 用户的移动终端向安全监控系统发送连接请求,所述连接请求中携带用户终端的数字证书信息; 所述安全监控系统通过目录服务器对所述用户终端的数字证书进行验证,在验证通过后,所述安全监控系统向所述移动终端返回连接响应; 所述移动终端使用数字证书和所述安全监控系统之间建立SSL连接通道,通过所述SSL连接通道向安全监控系统发送操作查询请求,所述安全监控系统通过所述SSL连接通道向所述移动终端返回信息报表。
2.根据权利要求1所述的基于移动终端的WPKI安全监控方法,其特征在于,所述的数字证书信息包括数字证书识别名、有效期、扩展选项内容。
3.根据权利要求1所述的基于移动终端的WPKI安全监控方法,其特征在于,所述的安全监控系统通过目录服务器对所述用户终端的数字证书进行验证,包括: 所述的安全监控系统接收到所述连接请求后,获取到用户终端的数字证书信息,向目录服务器发送携带所述用户终端的数字证书信息的证书验证请求; 所述目录服务器接收到所述证书验证请求后,对所述用户终端的数字证书信息进行校验,该校验包括校验证书是否在有效期内,是否是认证中心颁发的有效证书,以及校验数字证书识别名、扩展选项是否有效; 所述目录服务器在所述 数字证书的所有校验通过后,向所述安全监控系统返回携带验证通过信息的证书校验结果;否则,向所述安全监控系统返回携带验证不通过信息的证书校验结果。
4.根据权利要求1或2或3所述的基于移动终端的WPKI安全监控方法,其特征在于,所述的通过所述SSL连接通道向安全监控系统发送操作查询请求,所述安全监控系统通过所述SSL连接通道向所述移动终端返回信息报表,包括: 所述安全监控系统系统使用数字证书识别名对各个用户终端进行标识,根据用户终端的数字证书识别名确定用户的权限,该权限包括各个用户通过安全监控系统可以监控的运营平台和应用服务器; 所述移动终端通过SSL连接通道向安全监控系统发送操作查询请求,该操作查询请求中携带请求查询的运营平台或应用服务器; 所述安全监控系统接收到所述操作查询请求后,对所述请求查询的运营平台或应用服务器进行信息收集和数据处理,生成相关的信息报表,通过所述SSL连接通道将所述相关的信息报表发送给所述移动终端。
5.根据权利要求1所述的基于移动终端的WPKI安全监控方法,其特征在于,所述的方法还包括: 安全监控系统监控运营平台和应用服务器,发现存在需要通知管理员用户的告警信息,所述安全监控系统采集告警信息,将所述告警信息转换为报表形式,得到告警信息报表; 所述安全监控系统通过目录服务器对所述管理员用户的移动终端的数字证书进行验证,在验证通过后,所述安全监控系统利用所述管理员用户的用户终端的数字证书,与所述管理员用户的移动终端之间建立SSL连接通道;所述安全监控系统通过所述SSL连接通道将所述告警信息报表发送给所述管理员用户的移动终端。
6.一种基于移动终端的WPKI安全监控系统,其特征在于,包括: 用户的移动终端,用于向安全监控系统发送连接请求,所述连接请求中携带用户终端的数字证书信息,使用数字证书和所述安全监控系统之间建立SSL连接通道,通过所述SSL连接通道向安全监控系统发送操作查询请求; 安全监控系统,通过目录服务器对所述用户终端的数字证书进行验证,在验证通过后,所述安全监控系统向所述移动终端返回连接响应,通过所述SSL连接通道向所述移动终端返回信息报表。
7.根据权利要求6所述的基于移动终端的WPKI安全监控系统,其特征在于,所述的系统还包括: 目录服务器,用于接收到所述安全监控系统发送的携带所述用户终端的数字证书信息的证书验证请求后,对所述用户终端的数字证书信息进行校验,该校验包括校验证书是否在有效期内,是否是认证中心颁发的有效证书,以及校验数字证书识别名、扩展选项是否有效; 在所述数字证书的所有校验通过后,向所述安全监控系统返回携带验证通过信息的证书校验结果;否则,向所述安全监控系统返回携带验证不通过信息的证书校验结果。
8.根据权 利要求6或7所述的基于移动终端的WPKI安全监控系统,其特征在于,所述的安全监控系统系统包括: 数字证书管理模块,用于使用数字证书识别名对各个用户终端进行标识,根据用户终端的数字证书识别名确定用户的权限,该权限包括各个用户通过安全监控系统可以监控的运营平台和应用服务器; 信息报表生成模块,用于接收所述移动终端通过SSL连接通道发送的操作查询请求,该操作查询请求中携带请求查询的运营平台或应用服务器,对所述请求查询的运营平台或应用服务器进行信息收集和数据处理,生成相关的信息报表; 信息报表下发模块,用于通过所述SSL连接通道将所述相关的信息报表发送给所述移动终端。
9.根据权利要求8所述的基于移动终端的WPKI安全监控系统,其特征在于,所述的安全监控系统系统还包括: 告警信息处理模块,用于监控运营平台和应用服务器,发现存在需要通知管理员用户的告警信息后,采集告警信息,将所述告警信息转换为报表形式,得到告警信息报表; 通过目录服务器对所述管理员用户的移动终端的数字证书进行验证,在验证通过后,利用所述管理员用户的用户终端的数字证书,与所述管理员用户的移动终端之间建立SSL连接通道; 通过所述SSL连接通道将所述告警信息报表发送给所述管理员用户的移动终端。
【文档编号】H04W12/02GK103906050SQ201210587643
【公开日】2014年7月2日 申请日期:2012年12月30日 优先权日:2012年12月30日
【发明者】林文辉, 周珅珅, 郭向国, 林凉, 华刚 申请人:航天信息股份有限公司