[发明专利]一种移动数字证书装置及其更新方法

说明书

本发明提供一种移动数字证书装置及其更新方法。所述更新方法包括所述移动数字证书装置按照预先和CA协商好的协议产生会话密钥以及配对的移动数字证书装置的新公钥和新私钥，并向CA发送经CA的公钥加密的更新请求；CA向所述移动数字证书装置签发经所述会话秘钥加密的新数字证书；以及所述移动数字证书装置接收并解密所述新数字证书。本发明所提供的更新方法可以通过移动终端以在线的方式进行数字证书更新，能够使移动数字证书装置的数字证书更新过程得以简化，用户无需定期到CA指定的地点对移动数字证书装置进行更新，很大程度上方便了用户。

技术领域

本发明涉及信息安全领域，更具体地，涉及移动数字证书装置及其更新方法。

背景技术

移动数字证书装置在网上银行、政府的OA以及VPN网络中都应用比较广泛，但是，随着移动支付、移动办公的兴起，移动终端的数字认证问题越来越显现。

CA是国家认可的权威、可信、公正的第三方机构，专门负责发放并管理所有参与网上业务的实体所需的数字证书。

数字证书是网络世界中的身份证。可以在网络世界中为互不见面的用户建立安全可靠的信任关系，这种信任关系的建立则源于PKI/CA认证中心，构建安全的PKI/CA认证中心是至关重要的。

CA拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签名从而信任CA，任何人都可以得到CA的证书(含公钥)，用以验证它所签发的证书。

USBKey是目前最常用的一种移动数字证书装置，其提供了数字证书在终端安全存储的环境；另外，通过硬件协处理器处理运算也提高了认证的效率。但是USBKey基于的USB接口功耗太大，且只适用于PC机等固定终端，移动终端并不支持此接口；因此，基于USBKey的证书认证方式不能平滑地移植到移动终端上。

为了解决移动终端的证书认证的问题，目前主要采取两种方案：

现有方案一：采用软证书的形式

这个方案把数字证书及私钥直接存放在移动终端设备上，私钥由用户PIN码保护，证书认证中需要的非对称密钥产生，加解密，签名验证等运算由软件实现。

现有方案一的缺陷：

1.数字证书及私钥存放在移动终端设备上，使用过程中需要存放于终端的RAM中，容易被攻击者获取，因此不安全。

2.数字认证中需要的加解密/签名验证等运算由软件实现，运算速度慢。

3.不符合国家信息安全相关标准。

现有方案二：采用SIM卡的方式

这个方案把SIM作为数字证书存放的硬件载体，证书认证中需要的非对称密钥对产生，加解密，签名验证等运算由SIM卡进行处理。

现有方案二的缺陷：

1.数字证书及私钥存放在SIM卡上，存储空间有限。

2.SIM卡通信速率低。大多SIM卡采用是7816接口，相对SD接口传输速率比较低。

3.不能直接在PC上使用，即无法兼容当前PC上的证书认证方式。

发明内容

本发明提供一种克服上述问题或者至少部分地解决上述问题的移动数字证书装置及其访问方法和更新方法。

根据本发明的一个方面，提供一种移动数字证书装置，包括：

接口模块，用于接收数据；

存储控制模块，与所述接口模块连接，用于接收并判断数据是否为私密数据，将判断后的数据发送至相应的模块；