[发明专利]证书认证装置及该装置的访问和证书更新方法

说明书

技术领域

本发明涉及认证技术领域，特别涉及证书认证装置及该装置的访问和证书更新方法。

背景技术

USBKey是一种通用串行总线(USB)接口的证书认证装置，它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USBKey内置的公钥算法实现对用户身份的认证。

USBKey在现在的网上银行、政府的OA以及虚拟专用网(VPN)中都应用的比较广泛。USBKey提供了数字证书在终端安全存储的环境；通过硬件协处理器处理运算提高了认证的效率，是目前对证书认证比较好的解决方案。

随着移动支付、移动办公的兴起，对于移动终端的证书认证需求越来越多，由于很多移动终端并不支持USB接口，且USB接口功耗太大，大多数移动终端无法负担，因此，目前USBKey的证书认证方式并不适用于移动终端。

为了解决移动终端的证书认证的问题，目前主要采取以下两种方案：

一、软证书认证方式

这个方式是把数字证书及私钥直接存放在移动终端设备上，私钥由用户的个人识别码(PIN)保护，证书认证中需要的非对称密钥的产生、加解密和签名验证等运算由移动终端上承载的软件实现。

二、用户识别卡(SIM)卡方式

这个方式是把SIM卡作为数字证书存放的硬件载体，证书认证中需要的非对称密钥的产生、加解密和签名验证等运算由SIM卡实现。

方案一的缺陷：

数字证书及私钥存放在移动终端设备上，使用过程中需要存放于终端的内存(RAM)中，容易被攻击者获取，安全性不高，不符合国家信息安全相关标准。另外，证书认证中需要的非对称密钥的产生、加解密和签名验证等运算由软件实现，运算速度慢。以普通的智能机为例，主频在200M左右，生成一对1024位RSA加密算法的密钥对平均需要时间大约几十秒，相比使用硬件产生同样长度的密钥对的平均时间4秒来说，差距很大，从而影响认证速度。

方案二的缺陷：

SIM卡存储空间很小，数字证书及私钥若保存在SIM卡上，将会影响其他数据的存储，比如占用通讯录等数据的存储空间。而且，SIM卡通信速率很低，大多数SIM卡采用的是国际标准化组织(ISO)7816接口，相对于一般的存储卡接口的传输速率来说，速度差距较大，从而影响认证速度。另外，由于SIM卡不能直接在PC上使用，无法兼容当前PC上的证书认证方式，其适用范围受限。

发明内容

本发明实施例提供一种证书认证装置，用于移动终端时，能够在保证安全性的情况下，拥有较高的证书认证速度。

本发明实施例提供一种证书认证装置的访问方法，能够实现对证书认证装置内用于认证的私密信息的访问。

本发明实施例提供一种证书认证装置的证书更新方法，能够简便地实现对证书认证装置中保存的证书的更新。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种证书认证装置，包括普通存储模块、存储控制模块和接口模块；所述普通存储模块与存储控制模块相连，所述存储控制模块和接口模块相连；该装置还包括：

安全存储模块，与运算处理模块以及安全控制模块分别相连，用于存储用于证书认证的私密信息；

运算处理模块，用于对加密算法进行硬件加速；

安全控制模块，与所述存储控制模块相连，用于调度所述运算处理模块进行运算，控制所述安全存储模块进行数据的存储和输出。

较佳地，所述安全存储模块、运算处理模块和安全控制模块集成于一块独立芯片。

较佳地，所述安全存储模块、运算处理模块、安全控制模块和存储控制模块集成于一块独立芯片。

较佳地，所述安全存储模块与所述普通存储模块集成于一块独立芯片；所述运算处理模块、安全控制模块和存储控制模块集成于另一块独立芯片。

较佳地，所述安全控制模块与所述存储控制模块通过串口、7816或SPI总线方式连接。

一种基于上述的证书认证装置的访问方法，该方法包括：

存储控制模块通过接口模块接收到存储卡写指令时，若所述写指令指定的地址是预先定义的特殊地址，则将所述写指令携带的数据作为命令数据传送给安全控制模块；

安全控制模块解析并响应所述命令数据，根据所述命令数据对应的操作指令进行处理；

安全控制模块将处理完成后得到的响应数据输出给存储控制模块；

存储控制模块对所述响应数据进行重组。

较佳地，该方法进一步包括：