一種數(shù)字證書認證裝置及數(shù)字證書認證系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及PKI(Public?Key?Infrastructure���,公鑰基礎(chǔ)設(shè)施)【技術(shù)領(lǐng)域】��,提供了一種數(shù)字證書認證裝置及數(shù)字證書認證系統(tǒng)�。本發(fā)明的數(shù)字證書認證裝置,包括軟件部分和硬件部分��,所述軟件部分包括片上操作系統(tǒng)COS�����、引導(dǎo)系統(tǒng)����;所述硬件部分為載有所述片上操作系統(tǒng)和引導(dǎo)系統(tǒng)的硬件;所述片上操作系統(tǒng)包括UART傳輸與管理模塊�、硬件驅(qū)動模塊、功能模塊��、算法庫���、通信與指令調(diào)度模塊以及主函數(shù)模塊����。本發(fā)明的數(shù)字證書認證裝置和數(shù)字證書認證系統(tǒng)能夠滿足不改動設(shè)備硬件結(jié)構(gòu)以及采用最小的集成開發(fā)工作量的要求�����。
【專利說明】一種數(shù)字證書認證裝置及數(shù)字證書認證系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及PKI (Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)【技術(shù)領(lǐng)域】,特別涉及一種數(shù)字證書認證裝置及數(shù)字證書認證系統(tǒng)。
【背景技術(shù)】
[0002]由于信息技術(shù)飛速發(fā)展�����,對信息的完整性越來越重視�����,設(shè)備證書的應(yīng)用領(lǐng)域也越來越廣���。目前����,服務(wù)器�、智能終端等設(shè)備主要采用以下三種形式集成設(shè)備證書,對傳輸信息進行完整性保護:一是����,采用“軟證書”方式��,設(shè)備證書和密鑰以文件形式存放在設(shè)備中���,通過算法軟件實現(xiàn)信息的數(shù)字簽名與驗證���;二是����,增加專用硬件設(shè)備���,如PCI/PC1-E卡�、IC卡和讀卡器����、USBKey等,專用硬件設(shè)備存儲設(shè)備證書和密鑰�����,實現(xiàn)信息的數(shù)字簽名與驗證功能�,并為服務(wù)器、智能終端等設(shè)備提供功能調(diào)用接口 �����;三是�����,在設(shè)備中直接集成安全芯片,存儲設(shè)備證書和密鑰���,實現(xiàn)信息的數(shù)字簽名與驗證功能�����。
[0003]第一種方式�����,主要在服務(wù)器和一些性能較高的智能終端中�����,用于在SSL通信中進行密鑰交換�����。設(shè)備證書和密鑰以文件形式存放在設(shè)備中����,私鑰容易泄露����,安全性較低。并且數(shù)字簽名與驗證通過軟件算法實現(xiàn)����,對設(shè)備的硬件性能有一定要求。
[0004]第二種方式是目前設(shè)備證書實現(xiàn)的主流方式�。性能較高的服務(wù)器一般采用PCI/PC1-E卡的形式,一般的個人計算機和智能終端一般采用IC卡和讀卡器���、以及USBKey的形式�����。
[0005]第三種方式是主要用于可信計算和一些集成度較高的設(shè)備中���。
[0006]設(shè)備證書的應(yīng)用領(lǐng)域越來越廣,需要使用數(shù)字證書的設(shè)備也千差萬別�����,現(xiàn)有的設(shè)備證書集成方式不能完全適應(yīng)設(shè)備需求?���,F(xiàn)在的物聯(lián)網(wǎng)電子標簽閱讀設(shè)備、專用小型工業(yè)控制設(shè)備等對網(wǎng)絡(luò)傳輸信息具有迫切的數(shù)據(jù)完整性防篡改需求�,雖然此類設(shè)備通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量較少�,對數(shù)據(jù)簽名驗證性能要求不高���,但是需要在盡量不改動設(shè)備硬件結(jié)構(gòu)�、并且通過最小的集成開發(fā)工作量實現(xiàn)設(shè)備數(shù)字證書認證模塊化集成�。
【發(fā)明內(nèi)容】
[0007]有鑒于此,本發(fā)明提供了一種數(shù)字證書認證裝置及數(shù)字證書認證系統(tǒng)���,能夠滿足不改動設(shè)備硬件結(jié)構(gòu)以及采用最小的集成開發(fā)工作量的要求���。
[0008]本發(fā)明提供了一種數(shù)字證書認證裝置,包括軟件部分和硬件部分���,所述軟件部分包括片上操作系統(tǒng)cos����、引導(dǎo)系統(tǒng)���;所述硬件部分為載有所述片上操作系統(tǒng)和引導(dǎo)系統(tǒng)的硬件�;所述片上操作系統(tǒng)包括UART傳輸與管理模塊�、硬件驅(qū)動模塊、功能模塊��、算法庫�����、通信與指令調(diào)度模塊以及主函數(shù)模塊���;其中�����,
[0009]所述UART傳輸與管理模塊用于通過中斷方式將數(shù)據(jù)接收到接收緩沖區(qū)中�����,以及用于在檢測到有數(shù)據(jù)寫入發(fā)送緩沖區(qū)后��,通過中斷方式發(fā)送給主機MCU;
[0010]所述硬件驅(qū)動模塊包括多個驅(qū)動子模塊�,用于進行時鐘配置��,中斷向量�����、優(yōu)先級和中斷服務(wù)程序配置���,定時器配置���,GPIO輸入/輸出配置���,UART接口參數(shù)配置,以及對片內(nèi)FLASH的讀��、寫和擦除��,對UART接口的數(shù)據(jù)收發(fā)進行控制��;
[0011]所述功能模塊包括多個功能子模塊��,用于進行參數(shù)配置和權(quán)限控制��,實現(xiàn)PIN功能以及數(shù)字證書讀寫����,還用于完成RSA算法以及SM2算法;
[0012]所述算法庫存儲有功能模塊所采用的各種算法以供所述功能模塊進行調(diào)用�;
[0013]所述通信與指令調(diào)度模塊用于根據(jù)主函數(shù)的調(diào)用,從所述UART傳輸與管理模塊的接收緩沖區(qū)中接收數(shù)據(jù)�����,對接收的數(shù)據(jù)進行指令解析并封裝成指令A(yù)PDU來調(diào)用所述功能模塊的相應(yīng)子模塊;以及基于所述功能模塊反饋的執(zhí)行結(jié)果�����,構(gòu)建響應(yīng)APDU�,并通過主函數(shù)調(diào)用的方式發(fā)送到所述UART傳輸與管理模塊的發(fā)送緩沖區(qū)中��;
[0014]所述主函數(shù)模塊用于通過循環(huán)調(diào)用方式����,調(diào)用通信與指令調(diào)度模塊從所述UART傳輸與管理模塊的接收緩沖區(qū)中讀取數(shù)據(jù),以及向所述UART傳輸與管理模塊的發(fā)送緩沖區(qū)寫入數(shù)據(jù)���。
[0015]所述硬件驅(qū)動模塊的各驅(qū)動子模塊均封裝成函數(shù)供應(yīng)用層調(diào)用�。
[0016]所述通信與指令調(diào)度模塊通過指令列表的形式完成對功能模塊的調(diào)度����,其中,指令列表由指令碼和功能函數(shù)指針兩個元素組成����,在指令列表中,不同的指令碼對應(yīng)不同的功能函數(shù)指針�,每一條指令A(yù)PDU中都含有指令碼�����。
[0017]所述引導(dǎo)系統(tǒng)用于將所述片上操作系統(tǒng)COS加載到所述硬件的存儲器中����。
[0018]本發(fā)明還提供了一種數(shù)字證書認證系統(tǒng)���,所述系統(tǒng)包括上述的數(shù)字證書認證裝置��,還包括通用服務(wù)裝置和專用工具裝置��,其中�����,
[0019]所述通用服務(wù)裝置用于對所述數(shù)字證書認證裝置生成的數(shù)字簽名進行驗證�;
[0020]所述專用工具裝置包括COS下載工具和預(yù)植工具��,所述COS下載工具用于與所述引導(dǎo)系統(tǒng)進行通信從而將COS下載到所述硬件的存儲器中�;所述預(yù)植工具用于向所述數(shù)字證書認證裝置導(dǎo)入證書以及密鑰。
【專利附圖】
【附圖說明】
[0021]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的方案��,下面將對實施例中所需要使用的附圖作一簡單地介紹,顯而易見地����,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員而言����,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。
[0022]圖1為本發(fā)明的數(shù)字證書認證模塊應(yīng)用方式的示意圖���;
[0023]圖2為本發(fā)明的數(shù)字證書認證模塊的結(jié)構(gòu)布局示意圖;
[0024]圖3為本發(fā)明的數(shù)字證書認證模塊的COS結(jié)構(gòu)示意圖��;
[0025]圖4為本發(fā)明的數(shù)字證書認證模塊的COS各組成部件的交互關(guān)系示意圖�;
[0026]圖5為本發(fā)明的數(shù)字證書認證模塊的UART接口初始化流程示意圖;
[0027]圖6為本發(fā)明的數(shù)字證書認證模塊的密鑰對生成流程示意圖�����;
[0028]圖7為本發(fā)明的數(shù)字證書認證模塊的指令調(diào)度的流程示意圖�����;
[0029]圖8為本發(fā)明的數(shù)字證書認證系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0030]下面將結(jié)合各附圖對本發(fā)明實施例中的技術(shù)方案進行清楚�、完整的描述,顯然��,所描述的實施例是本發(fā)明的一部分實施例�����,而不是全部的實施例�����?��;诒景l(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍。
[0031]如圖1所示�,應(yīng)用本發(fā)明的數(shù)字證書認證模塊的設(shè)備板塊需要預(yù)留數(shù)字證書認證模塊插槽,并采用UART接口通過專用協(xié)議與本發(fā)明的數(shù)字證書認證模塊進行通信��。設(shè)備將原始數(shù)據(jù)和數(shù)字簽名結(jié)果(簽名結(jié)果長度由選用的數(shù)字簽名算法決定��,如RSA1024為128字節(jié)���,RSA2048為256字節(jié)�����,SM2為64字節(jié))通過網(wǎng)絡(luò)發(fā)送至監(jiān)控中心���,監(jiān)控中心調(diào)用數(shù)字簽名驗證服務(wù)接口對數(shù)字簽名進行驗證�����,確保數(shù)據(jù)的完整性���、有效性�。
[0032]通常,本發(fā)明的數(shù)字證書認證模塊出廠前預(yù)植設(shè)備數(shù)字證書����,數(shù)字證書有效期一般為3至5年,到期時對數(shù)字證書認證模塊進行整體更換����。
[0033]圖2為本發(fā)明的數(shù)字證書認證模塊的結(jié)構(gòu)布局示意圖,本發(fā)明的數(shù)字證書認證模塊結(jié)構(gòu)尺寸可根據(jù)用戶實際需求進行定制�����。
[0034]本發(fā)明的數(shù)字證書認證模塊的物理接口可以采用間距2.54MM的十芯雙排針插座,雙排針插座以產(chǎn)品正面俯視圖的左下為第一腳���,表1為引腳分布�����。引腳類型和順序可根據(jù)用戶實際需求進行定制��。
[0035]通信參數(shù)�����,默認為:TTL電平�,I位起始位���,8位數(shù)據(jù)位��,I位停止位���,無奇偶校驗,波特率為38400bps�����。校驗方式和波特率可根據(jù)用戶實際需求進行定制
[0036]表1十芯雙排針插座引腳序號
[0037]
【權(quán)利要求】
1.一種數(shù)字證書認證裝置,包括軟件部分和硬件部分���,所述軟件部分包括片上操作系統(tǒng)COS�、引導(dǎo)系統(tǒng)����;所述硬件部分為載有所述片上操作系統(tǒng)和引導(dǎo)系統(tǒng)的硬件;其特征在于�����,所述片上操作系統(tǒng)包括UART傳輸與管理模塊��、硬件驅(qū)動模塊����、功能模塊����、算法庫、通信與指令調(diào)度模塊以及主函數(shù)模塊��;其中, 所述UART傳輸與管理模塊用于通過中斷方式將數(shù)據(jù)接收到接收緩沖區(qū)中���,以及用于在檢測到有數(shù)據(jù)寫入發(fā)送緩沖區(qū)后��,通過中斷方式發(fā)送給主機MCU ; 所述硬件驅(qū)動模塊包括多個驅(qū)動子模塊�����,用于進行時鐘配置����,中斷向量��、優(yōu)先級和中斷服務(wù)程序配置�����,定時器配置����,GPIO輸入/輸出配置,UART接口參數(shù)配置�,以及對片內(nèi)FLASH的讀、寫和擦除�,對UART接口的數(shù)據(jù)收發(fā)進行控制��; 所述功能模塊包括多個功能子模塊��,用于進行參數(shù)配置和權(quán)限控制�����,實現(xiàn)PIN功能以及數(shù)字證書讀寫���,還用于完成RSA算法以及SM2算法; 所述算法庫存儲有功能模塊所采用的各種算法以供所述功能模塊進行調(diào)用��; 所述通信與指令調(diào)度模塊用于根據(jù)主函數(shù)的調(diào)用�����,從所述UART傳輸與管理模塊的接收緩沖區(qū)中接收數(shù)據(jù)�����,對接收的數(shù)據(jù)進行指令解析并封裝成指令A(yù)PDU來調(diào)用所述功能模塊的相應(yīng)子模塊���;以及基于所述功能模塊反饋的執(zhí)行結(jié)果,構(gòu)建響應(yīng)APDU�����,并通過主函數(shù)調(diào)用的方式發(fā)送到所述UART傳輸與管理模塊的發(fā)送緩沖區(qū)中; 所述主函數(shù)模塊用于通過循環(huán)調(diào)用方式��,調(diào)用通信與指令調(diào)度模塊從所述UART傳輸與管理模塊的接收緩沖區(qū)中讀取數(shù)據(jù)��,以及向所述UART傳輸與管理模塊的發(fā)送緩沖區(qū)寫入數(shù)據(jù)�。
2.根據(jù)權(quán)利要求1所述的一種數(shù)字證書認證裝置,其特征在于���,所述硬件驅(qū)動模塊的各驅(qū)動子模塊均封裝成函數(shù)供應(yīng)用層調(diào)用���。
3.根據(jù)權(quán)利要求1所述的一種數(shù)字證書認證裝置,其特征在于�,所述通信與指令調(diào)度模塊通過指令列表的形式完成對功能模塊的調(diào)度,其中�,指令列表由指令碼和功能函數(shù)指針兩個元素組成,在指令列表中�����,不同的指令碼對應(yīng)不同的功能函數(shù)指針���,每一條指令A(yù)PDU中都含有指令碼�。
4.根據(jù)權(quán)利要求1-3之一所述的一種數(shù)字證書認證裝置,其特征在于�,所述引導(dǎo)系統(tǒng)用于將所述片上操作系統(tǒng)COS加載到所述硬件的存儲器中。
5.一種數(shù)字證書認證系統(tǒng)�����,所述系統(tǒng)包括如權(quán)利要求4所述的數(shù)字證書認證裝置����,其特征在于,所述系統(tǒng)還包括通用服務(wù)裝置和專用工具裝置����,其中, 所述通用服務(wù)裝置用于對所述數(shù)字證書認證裝置生成的數(shù)字簽名進行驗證��; 所述專用工具裝置包括COS下載工具和預(yù)植工具���,所述COS下載工具用于與所述引導(dǎo)系統(tǒng)進行通信從而將COS下載到所述硬件的存儲器中���;所述預(yù)植工具用于向所述數(shù)字證書認證裝置導(dǎo)入證書以及密鑰。
【文檔編號】H04L9/30GK103731262SQ201310731279
【公開日】2014年4月16日 申請日期:2013年12月26日 優(yōu)先權(quán)日:2013年12月26日
【發(fā)明者】姜曉新, 簡志棟, 莊瑞, 趙波 申請人:中金金融認證中心有限公司