专利名称:一种移动终端及其数字证书功能实现方法
技术领域:
本发明涉及通信技术领域,更具体地,涉及一种移动终端及其数字证书功能实现方法。
背景技术:
移动通信运营商在拓展无线上网卡业务的进程中,一个方向就是发展企业用户, 为企业用户提供无线上网服务。让用户可以无需固定的办公地点,通过手机、无线上网卡、 PAD等移动终端,就能在任意有信号覆盖的地方接入网络,访问企业内网,正常办理公事,就像坐在企业内部,通过企业内网操作一样方便简洁。可是方便的同时,问题也出现了,信息安全的保证成为首要问题。尤其是从互联网登录到企业网,安全风险非常大。信息泄密、病毒、恶意攻击等,都有可能发生。比如有国内运营商为了发展用户,准备为政府网推出一种特别定制的无线上网卡(数据卡),运营商要求数据卡既要具备普通的业务功能(包括上网、短信等),也要具备USBKey数字证书功能,当用户访问普通网站或政府网普通信息时, 不需要身份认证,但当政府工作人员或有授权人员要登录政府网涉密信息时,则需要进行身份认证。
为了保证无线通信的安全,运营商用户提出用数字证书的方法。可是数字证书是需要 存储介质的(如软件、光盘、USBKey等),这就意味着用户要使用移动终端安全上网时, 就需要携带两个设备,一个无线上网设备和一个数字证书,而且还要求上网终端设备必须同时具备两个接口,一个由上网卡使用,另一个又数字证书使用,携带和使用上都不方便, 也增加了使用成本。要解决上述问题,本文就提供了一种将无线上网卡和数字证书合二为一的方法。
首先简要介绍一下数字证书相关的背景技术。数字证书技术是一种以数字证书为核心的加密技术的总称。数字证书由CA (Certification Authority认证中心)发布,CA作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
数字证书的发放和管理,用户要携带有关证件到各地的证书受理点,或者直接到证书发放机构即CA中心填写申请表并进行身份审核,审核通过后就可以得到装有证书的相关介质(磁盘、IC卡或USBKey等)和一个写有密码口令的密码信封。
数字证书的格式及存储,目前数字证书的格式普遍采用的是X.509V3国际标准,内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。数字证书通常以文件形式放在存储介质上。带有私钥的证书由 PKCS#12 (Public Key Cryptography Standards#12)标准定义,以 pfx 作为证书文件后缀名。cer格式的数字证书里面只有公钥没有私钥。
数字证书的应用,按应用角度数字证书可分为服务器证书、电子邮件证书和客户端证书,本文中仅涉及客户端证书的实现。客户端证书主要被用来进行身份验证和电子签名。客户端证书被存储于专用的存储介质中,比如IC卡或Key中,USBKey是最常见的存储介质。存储介质中的证书不能被导出或复制,且存储介质使用时需要输入存储介质的保护密码。使用该证书时,需要物理上获得其存储介质,且需要知道存储介质的保护密码,这也被称为双因子认证。这种认证手段是目前互联网上最安全的身份认证手段之一。数字证书的使用流程如下当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。发明内容
本发明目的是提供一种集成数字证书功能的移动终端及其数字证书实现方法。
本发明提出一种移动终端数字证书功能实现方法,其特征在于,所述方法包括当所述移动终端通过USB接口接入到PC后,所述移动终端上电启动,初始化USB端口,PC机判断是否有新的USB设备连接,如果有新设备则将端口映射到USB接口上,所述移动终端中存储有数字证书的智能卡通过智能卡管理模块与PC侧驱动交互,所述PC侧驱动启动数字证书客户端运行。
进一步地,所述存储有数字证书的智能卡通过IS07816协议和智能卡管理模块交互。
进一步地,所述智能卡管理模块通过移动终端的板侧驱动和PC侧的数字证书PC 侧驱动通过MCSP/PKCS11协议进行透传交互,启动数字证书客户端。
进一步地,所述智能卡是ncc,所述端口包括AT 口、Modem 口以及标准USB设备接□。
进一步地,所述数字证书客户端通过操作命令MCSP/PKCS11数据包发起数字证书操作。
另外,本发明还提出一种移动终端,其特征在于,所述移动终端包括智能卡、智能卡管理模块、板侧驱动;
所述智能卡存储有数字证书;
所述智能卡管理模块实现对智能卡数字证书的操作,智能卡管理模块和智能卡间通过标准协议进行通信;
所述板侧驱动通过协议与数字证书PC侧驱动交互,从而启动数字证书客户端。
进一步地,所述存储有数字证书的智能卡通过IS07816协议和智能卡管理模块交互。
进一步地,所述智能卡管理模块通过移动终端的板侧驱动和PC侧的数字证书PC 侧驱动交互,启动数字证书客户端。
进一步地,所述智能卡是卡。
进一步地,所述数字证书客户端通过操作命令MCSP/PKCS11数据包发起数字证书操作。
综上所述,采用本发明具有如下有益效果
与现有技术相比,采用本发明所述的方法和移动终端,移动终端具有了数字证书功能,可以不必要再增加新的数字证书设备,极大方便了用户使用。
图1a是本发明实施例无线上网数据卡实现数字证书组成示意图1b是本发明实施例手机实现数字证书组成示意图1c是本发明实施例PAD实现数字证书组成示意图2是本发明实施例数字证书客户端到移动通信终端间数据通道创建的实现方法流程示意图3是本发明实施例数字证书操作过程的实现流程示意图。·具体实施方式
本发明提出一种具有数字证书功能的移动通信终端及其实现数字证书功能的方法。本发明的核心思想是在不进行移动通信终端设备硬件改动的前提下,采用软件的方法实现。本文所述方法,涉及如下几个关键问题如何在移动终端上实现数字证书的存储、如何读写存储在移动终端上的数字证书、移动终端上数字证书如何应用。
数字证书的存储。常见的数字证书存储介质有磁盘、IC卡或USBKey中,纵观移动通信终端设备中,可以用于存储数字存储的介质、且对终端设备不可或缺不可替换的部件, 非ncc莫属了。ncc是一种可移动智能卡,它用于存储运营商签约用户信息、鉴权密钥、 电话簿、短消息等信息。ncc可以包括多种逻辑应用,例如用户标识模块(SM,Subscriber Identity Module)、通用用户标识模块(USIM, Universal Subscriber Identity Module)、 IP 多媒体业务标识模块(ISIM, IP Multimedia Service Identity Module)。UICC 数字证书和USBKEY数字证书非常的相似,主要区别在于对外硬件接口的不同。USBKEY的硬件接口为USB 口,而ncc的硬件接口为UICC-终端接口。为实现数字证书功能,UICC除可提供数字证书的存储空间外,还需要具备RSA硬件协处理器以支持支持非对称算法加密功能。
这种特殊的数字证书的制作和发布与普通数字证书的制作过程有以下几点不同
移动业务运营商首先需要为指定的集团用户,制作一批特殊的卡,卡里除存储电信业务相关信息,该卡还能提供RSA算法、身份认证、数据加、解密等安全服务,并提供数字证书存储空间。
集团用户所在企业要为每个客户申请一个数字证书,认证中心CA制作好数字证书后,将数字证书存储到UICC卡中;
运营商向集团客户发布移动通信终端,带有数字证书的移动通信终端。
数字证书的读取及应用。对数字证书的操作,是通过加密设备管理接口来实现的,用于管理硬件或软件形式的加密设备,实现数据加密、解密,数字签名、验证和数据摘要 (即HASH),附图1是本方案中加密设备接口的实现框架。目前有两种比较通用的加密设备管理接口,一种是PKCS#11标准接口,另一种是由Microsoft制定的CSP (Cryptographic Service Provider)标准接口。移动通信终端上的数字证书要能正常使用,需要实现以下内容
数字证书客户端(PC/AP侧应用程序)保持不变;
提供移动通信终端设备驱动,包括PC侧驱动和板侧驱动。数字证书客户端(PC/AP 侧应用程序)对数字证书的各项操作,是通过MCSP协议或PKCSll协议实现的,各项操作通过PC侧驱动透传到板侧驱动。
UICC管理模块要实现对数字证书的操作。管理模块和HCC间通过 IS07816标准协议进行通信。二者间传递的MCSP协议或PKCSll协议包,先打包到IS07816 标准包中,再进行传输。
请参考图1所示,其中图la、图lb、图1c分别是无线上网数据卡、手机、PAD连接方式。
请参考图1a所示是无线上网数据卡具有数字证书功能的设计方案,所述无线上网数据卡包括板侧驱动、UICC管理模块、UICC数字证书。所述ncc管理模块和HCC数字证书通过IS07816协议交互。所述PC侧包括数字证书PC侧驱动和数字证书客户端。所述数字证书PC侧驱动和数字证书客户端通过MCSP协议交互。
请参考图1b所示是手机具有数字证书功能的设计方案,所述手机包括手机数字证书客户端、UICC管理模块、UICC数字证书。所述ncc管理模块和UICC数字证书之间通过IS07816协议交互,所述ncc管理模块和手机数字证书客户端之间通过PKCSll协议交互。
请参考图1c所示是PAD具有数字证书功能的设计方案,所述PAD包括AP侧和无线上网模块。所述AP侧包括数字证书AP侧驱动和数字证书客户端。所述数字证书AP侧驱动和数字证书客户端之间通过MCSP协议交互。所述无线上网模块包括板侧驱动、UICC管理模块和nCC数字证书。所述nCC管理模块和HCC数字证书之间通过IS07816协议交互。所述板侧驱动和数字证书AP侧驱动通过MCSP/PKCS11协议交互。
如图2所示,数字证书客户端到移动通信终端间数据通道创建的实现方法,其具体的实施步骤 如下
步骤101 :判断是否是手机终端,如果是则结束流程,如果不是则转入步骤102 ;
如果移动通信终端设备是手机终端,则数字证书客户端和管理模块都处于同一手机平台,可以直接通信,无需USB接口驱动做中转。
步骤102 PC/AP侧和移动通信终端间硬件上的连接采用USB接口;
终端设备是除过手机之外的无线上网卡或PAD,PC/AP侧和移动通信终端间硬件上的连接采用USB接口。
步骤103 :判断初始化USB接口是否正常,如果正常则转入步骤104,如果不正常则转入步骤106 ;
移动通信终端设备通过USB接口接入到PC后,设备首先上电启动,然后初始化USB 端口。PC机判断是否有新的USB设备连接。如果有新设备接入,转步骤104 ;否则,没有新 USB设备接入,转步骤106 ;
步骤104 :将AT 口、Modem 口和标准USB设备口映射到USB接口上;
板侧驱动进行枚举(Enumerate)操作,将AT 口、Modem 口以及标准USB设备接口服务映射到USB 口。移动通信终端设备的板侧驱动程序,除需要支持AT 口、Modem 口外,为了实现数字证书功能,还需要增加标准USB设备接口的支持。AT 口、Modem 口用于移动终端设备的常规功能(上网、短信、电话本等),标准USB接口用于数字证书功能的使用。标准USB 设备驱动,由操作系统提供。采用标准USB设备驱动,可以保证PC侧数字证书客户端不做任意修改,就可以做到既能支持普通USBKey数字证书,也能支持移动终端设备上的数字证书。
步骤105 :判断端口映射是否成功,如果成功,则转入步骤107,如果不成功,则转入步骤106 ;
步骤106 :数据通道创建失败。
步骤107 :数据通道创建成功。
如图3所示,是本发明中数字证书操作过程的实现流程示意图,其具体实施步骤如下
步骤201 :数字证书客户端发起数字证书操作,操作命令为MCSP/PKCS11数据包;
数字证书客户端发起数字证书相关操作,数字证书客户端与普通USBKey型数字证书间的操作是通过MCSP/PKCS11协议的进行的,故操作命令为MCSP/PKCS11数据包。
步骤202 :判断终端是否为手机,如果是则转入步骤206,如果不是则转入步骤 203 ;
步骤203 PC/AP侧驱动和板侧驱动将MCSP/PKCS11协议进行透传;
步骤204 PC/AP侧驱动将MCSP/PKCS11协议数据包打包到USB数据包后发送给移动通信终端设备;
为了保证原有数字证书客户端不做修改,PC/AP侧驱动和板侧驱动将对MCSP/ PKCSll协议进行透传;
PC/AP侧驱动在收到发往移动通信终端设备的MCSP/PKCS11协议数据包后,不做处理直接按USB格式打包,然后发往移动通信终端设备。包格式如下
权利要求
1.一种移动终端数字证书功能实现方法,其特征在于,所述方法包括当所述移动终端通过USB接口接入到PC后,所述移动终端上电启动,初始化USB端口,PC机判断是否有新的USB设备连接,如果有新设备则将端口映射到USB接口上,所述移动终端中存储有数字证书的智能卡通过智能卡管理模块与PC侧驱动交互,所述PC侧驱动启动数字证书客户端运行。
2.如权利要求1所述的方法,其特征在于,所述存储有数字证书的智能卡通过IS07816 协议和智能卡管理模块交互。
3.如权利要求1所述的方法,其特征在于,所述智能卡管理模块通过移动终端的板侧驱动和PC侧的数字证书PC侧驱动通过MCSP/PKCS11协议进行透传交互,启动数字证书客户端。
4.如权利要求3所述的方法,其特征在于,所述智能卡是nCC,所述端口包括AT口、 Modem 口以及标准USB设备接口。
5.如权利要求1所述的方法,其特征在于,所述数字证书客户端通过操作命令MCSP/ PKCSll数据包发起数字证书操作。
6.一种移动终端,其特征在于,所述移动终端包括智能卡、智能卡管理模块、板侧驱动;所述智能卡存储有数字证书;所述智能卡管理模块实现对智能卡数字证书的操作,智能卡管理模块和智能卡间通过标准协议进行通信;所述板侧驱动通过协议与数字证书PC侧驱动交互,从而启动数字证书客户端。
7.如权利要求6所述的移动终端,其特征在于,所述存储有数字证书的智能卡通过 IS07816协议和智能卡管理模块交互。
8.如权利要求6所述的移动终端,其特征在于,所述智能卡管理模块通过移动终端的板侧驱动和PC侧的数字证书PC侧驱动交互,启动数字证书客户端。
9.如权利要求6所述的移动终端,其特征在于,所述智能卡是nCC卡。
10.如权利要求6所述的移动终端,其特征在于,所述数字证书客户端通过操作命令 MCSP/PKCS11数据包发起数字证书操作。
全文摘要
本发明提出一种移动终端数字证书功能实现方法,所述方法包括当所述移动终端通过USB接口接入到PC后,所述移动终端上电启动,初始化USB端口,PC机判断是否有新的USB设备连接,如果有新设备则将端口映射到USB接口上,所述移动终端中存储有数字证书的智能卡通过智能卡管理模块与PC侧驱动交互,所述PC侧驱动启动数字证书客户端运行。本发明在移动终端上集成了数字证书功能,极大方便了用户使用。
文档编号H04L9/32GK103023642SQ20121047854
公开日2013年4月3日 申请日期2012年11月22日 优先权日2012年11月22日
发明者陈颖, 缪海翔, 马少峰 申请人:中兴通讯股份有限公司