[发明专利]基于WPKI和时间戳的移动终端身份认证方法和系统

权利要求书

1.一种基于WPKI和时间戳的移动终端身份认证方法，其特征在于，包括：

时间戳机构系统接收到用户终端发送的携带用户的WPKI数字证书的连接请求，所述时间戳机构系统获取所述连接请求中携带的WPKI数字证书，向在线证书状态协议OCSP服务器发送携带所述WPKI数字证书的证书验证请求；

所述OCSP服务器在所述WPKI数字证书的所有验证都通过后，向所述时间戳机构系统发送验证合格通知，在所述时间戳机构系统和所述用户终端之间，使用所述WPKI证书建立用于传输数据的安全套接层SSL安全数据通道；

用户终端通过所述SSL安全数据通道从时间戳机构系统获取时间戳；

所述用户终端向应用服务端发送携带用户的WPKI数字证书的连接请求，应用服务端通过OCSP服务器对所述WPKI数字证书进行验证，验证通过后用户终端与应用服务端建立安全数据通道；

所述应用服务端接收所述用户终端通过所述安全数据通道发送的所述时间戳，应用服务端获取时间戳上签名的时间戳机构系统的数字证书，向OCSP服务器发送携带所述时间戳机构系统的数字证书的证书验证请求，OCSP对所述时间戳机构系统的数字证书进行校验；

所述OCSP服务器在所述时间戳机构系统的数字证书的所有验证都通过后，向所述应用服务端发送验证合格通知，所述应用服务端将所述时间戳信息发送到所述时间戳机构系统；

所述时间戳机构系统对应用服务端发来的时间戳信息进行验证，验证通过后，向所述应用服务端发送时间戳信息验证合格通知；

在所述时间戳的验证通过后，所述应用服务端和所述用户终端之间利用所述安全数据通道进行数据传输。

2.根据权利要求1所述的基于WPKI和时间戳的移动终端身份认证方法，其特征在于，所述用户终端从时间戳机构系统获取时间戳，包括：

所述OCSP服务器接收到所述证书验证请求后，获取所述WPKI数字证书的唯一标识、有效期、扩展选项，所述OCSP服务器验证所述WPKI证书的有效期是否过期，验证所述WPKI证书是否由指定认证中心CA颁发，验证所述WPKI证书的唯一标识、扩展选项是否有效；

所述用户终端采用摘要算法对需要上传的数据生成摘要值，将摘要值遵循时间戳申请规范通过所述SSL安全数据通道传输到时间戳机构系统；所述时间戳机构系统对所述用户终端发送过来的摘要值加盖时间戳，将时间戳用时间戳机构系统的数字证书进行签名，将签名后的时间戳信息返回给用户终端。

3.根据权利要求1所述的基于WPKI和时间戳的移动终端身份认证方法，其特征在于：

所述OCSP服务器接收到所述证书验证请求后，获取所述WPKI数字证书的唯一标识、有效期、扩展选项，所述OCSP服务器验证所述WPKI证书的有效期是否过期，验证所述WPKI证书是否由指定认证中心CA颁发，验证所述WPKI证书的唯一标识、扩展选项是否有效；

所述OCSP服务器在所述WPKI数字证书的所有验证都通过后，向所述应用服务端发送验证合格通知，所述应用服务端接收到所述验证合格通知后，使用所述WPKI证书和所述用户终端之间建立用于传输数据的SSL安全通道。

4.根据权利要求1所述的基于WPKI和时间戳的移动终端身份认证方法，其特征在于所述时间戳机构系统对应用服务端发来的时间戳信息进行验证，该验证包括时间戳是否为本TSA签发、时间戳信息验签能否通过，所述时间戳机构系统在所述时间戳信息所有验证都通过后，向所述应用服务端发送时间戳信息验证合格通知；在所述时间戳信息的所有验证不是都通过后，向所述应用服务端发送时间戳信息验证不合格通知。

5.根据权利要求1至4任一项所述的基于WPKI和时间戳的移动终端身份认证方法，其特征在于，在所述时间戳的验证通过后，所述应用服务端和所述用户终端之间利用所述安全数据通道进行数据传输，包括：

所述应用服务端接收到所述时间戳机构系统返回的时间戳信息验证合格通知后，判断用户终端的身份验证通过，接受用户终端的连接请求，用户终端和应用服务端之间通过所述SSL安全数据通道进行通信；

所述应用服务端接收到所述时间戳机构系统返回的时间戳信息验证不合格通知后，判断所述用户终端的身份验证不通过，拒绝所述用户终端的连接请求。