一种数字证书认证装置及数字证书认证系统的制作方法

一种数字证书认证装置及数字证书认证系统的制作方法
【专利摘要】本发明涉及PKI（Public?Key?Infrastructure，公钥基础设施）【技术领域】，提供了一种数字证书认证装置及数字证书认证系统。本发明的数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统COS、引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块。本发明的数字证书认证装置和数字证书认证系统能够满足不改动设备硬件结构以及采用最小的集成开发工作量的要求。
【专利说明】一种数字证书认证装置及数字证书认证系统
【技术领域】
[0001]本发明涉及PKI (Public Key Infrastructure,公钥基础设施)【技术领域】,特别涉及一种数字证书认证装置及数字证书认证系统。
【背景技术】
[0002]由于信息技术飞速发展，对信息的完整性越来越重视，设备证书的应用领域也越来越广。目前，服务器、智能终端等设备主要采用以下三种形式集成设备证书，对传输信息进行完整性保护:一是，采用“软证书”方式，设备证书和密钥以文件形式存放在设备中，通过算法软件实现信息的数字签名与验证；二是，增加专用硬件设备，如PCI/PC1-E卡、IC卡和读卡器、USBKey等，专用硬件设备存储设备证书和密钥，实现信息的数字签名与验证功能，并为服务器、智能终端等设备提供功能调用接口 ；三是，在设备中直接集成安全芯片，存储设备证书和密钥，实现信息的数字签名与验证功能。
[0003]第一种方式，主要在服务器和一些性能较高的智能终端中，用于在SSL通信中进行密钥交换。设备证书和密钥以文件形式存放在设备中，私钥容易泄露，安全性较低。并且数字签名与验证通过软件算法实现，对设备的硬件性能有一定要求。
[0004]第二种方式是目前设备证书实现的主流方式。性能较高的服务器一般采用PCI/PC1-E卡的形式，一般的个人计算机和智能终端一般采用IC卡和读卡器、以及USBKey的形式。
[0005]第三种方式是主要用于可信计算和一些集成度较高的设备中。
[0006]设备证书的应用领域越来越广，需要使用数字证书的设备也千差万别，现有的设备证书集成方式不能完全适应设备需求。现在的物联网电子标签阅读设备、专用小型工业控制设备等对网络传输信息具有迫切的数据完整性防篡改需求，虽然此类设备通过网络传输的数据量较少，对数据签名验证性能要求不高，但是需要在尽量不改动设备硬件结构、并且通过最小的集成开发工作量实现设备数字证书认证模块化集成。

【发明内容】

[0007]有鉴于此，本发明提供了一种数字证书认证装置及数字证书认证系统，能够满足不改动设备硬件结构以及采用最小的集成开发工作量的要求。
[0008]本发明提供了一种数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统cos、引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块；其中，
[0009]所述UART传输与管理模块用于通过中断方式将数据接收到接收缓冲区中，以及用于在检测到有数据写入发送缓冲区后，通过中断方式发送给主机MCU;
[0010]所述硬件驱动模块包括多个驱动子模块，用于进行时钟配置，中断向量、优先级和中断服务程序配置，定时器配置，GPIO输入/输出配置，UART接口参数配置，以及对片内FLASH的读、写和擦除，对UART接口的数据收发进行控制；
[0011]所述功能模块包括多个功能子模块，用于进行参数配置和权限控制，实现PIN功能以及数字证书读写，还用于完成RSA算法以及SM2算法；
[0012]所述算法库存储有功能模块所采用的各种算法以供所述功能模块进行调用；
[0013]所述通信与指令调度模块用于根据主函数的调用，从所述UART传输与管理模块的接收缓冲区中接收数据，对接收的数据进行指令解析并封装成指令APDU来调用所述功能模块的相应子模块；以及基于所述功能模块反馈的执行结果，构建响应APDU，并通过主函数调用的方式发送到所述UART传输与管理模块的发送缓冲区中；
[0014]所述主函数模块用于通过循环调用方式，调用通信与指令调度模块从所述UART传输与管理模块的接收缓冲区中读取数据，以及向所述UART传输与管理模块的发送缓冲区写入数据。
[0015]所述硬件驱动模块的各驱动子模块均封装成函数供应用层调用。
[0016]所述通信与指令调度模块通过指令列表的形式完成对功能模块的调度，其中，指令列表由指令码和功能函数指针两个元素组成，在指令列表中，不同的指令码对应不同的功能函数指针，每一条指令APDU中都含有指令码。
[0017]所述引导系统用于将所述片上操作系统COS加载到所述硬件的存储器中。
[0018]本发明还提供了一种数字证书认证系统，所述系统包括上述的数字证书认证装置，还包括通用服务装置和专用工具装置，其中，
[0019]所述通用服务装置用于对所述数字证书认证装置生成的数字签名进行验证；
[0020]所述专用工具装置包括COS下载工具和预植工具，所述COS下载工具用于与所述引导系统进行通信从而将COS下载到所述硬件的存储器中；所述预植工具用于向所述数字证书认证装置导入证书以及密钥。
【专利附图】

【附图说明】
[0021]为了更清楚地说明本发明实施例或现有技术中的方案，下面将对实施例中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0022]图1为本发明的数字证书认证模块应用方式的示意图；
[0023]图2为本发明的数字证书认证模块的结构布局示意图；
[0024]图3为本发明的数字证书认证模块的COS结构示意图；
[0025]图4为本发明的数字证书认证模块的COS各组成部件的交互关系示意图；
[0026]图5为本发明的数字证书认证模块的UART接口初始化流程示意图；
[0027]图6为本发明的数字证书认证模块的密钥对生成流程示意图；
[0028]图7为本发明的数字证书认证模块的指令调度的流程示意图；
[0029]图8为本发明的数字证书认证系统的结构示意图。
【具体实施方式】
[0030]下面将结合各附图对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0031]如图1所示，应用本发明的数字证书认证模块的设备板块需要预留数字证书认证模块插槽，并采用UART接口通过专用协议与本发明的数字证书认证模块进行通信。设备将原始数据和数字签名结果(签名结果长度由选用的数字签名算法决定，如RSA1024为128字节，RSA2048为256字节，SM2为64字节)通过网络发送至监控中心，监控中心调用数字签名验证服务接口对数字签名进行验证，确保数据的完整性、有效性。
[0032]通常，本发明的数字证书认证模块出厂前预植设备数字证书，数字证书有效期一般为3至5年，到期时对数字证书认证模块进行整体更换。
[0033]图2为本发明的数字证书认证模块的结构布局示意图，本发明的数字证书认证模块结构尺寸可根据用户实际需求进行定制。
[0034]本发明的数字证书认证模块的物理接口可以采用间距2.54MM的十芯双排针插座，双排针插座以产品正面俯视图的左下为第一脚，表1为引脚分布。引脚类型和顺序可根据用户实际需求进行定制。
[0035]通信参数，默认为:TTL电平，I位起始位，8位数据位，I位停止位，无奇偶校验，波特率为38400bps。校验方式和波特率可根据用户实际需求进行定制
[0036]表1十芯双排针插座引脚序号
[0037]
【权利要求】
1.一种数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统COS、引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；其特征在于，所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块；其中， 所述UART传输与管理模块用于通过中断方式将数据接收到接收缓冲区中，以及用于在检测到有数据写入发送缓冲区后，通过中断方式发送给主机MCU ; 所述硬件驱动模块包括多个驱动子模块，用于进行时钟配置，中断向量、优先级和中断服务程序配置，定时器配置，GPIO输入/输出配置，UART接口参数配置，以及对片内FLASH的读、写和擦除，对UART接口的数据收发进行控制； 所述功能模块包括多个功能子模块，用于进行参数配置和权限控制，实现PIN功能以及数字证书读写，还用于完成RSA算法以及SM2算法； 所述算法库存储有功能模块所采用的各种算法以供所述功能模块进行调用； 所述通信与指令调度模块用于根据主函数的调用，从所述UART传输与管理模块的接收缓冲区中接收数据，对接收的数据进行指令解析并封装成指令APDU来调用所述功能模块的相应子模块；以及基于所述功能模块反馈的执行结果，构建响应APDU，并通过主函数调用的方式发送到所述UART传输与管理模块的发送缓冲区中； 所述主函数模块用于通过循环调用方式，调用通信与指令调度模块从所述UART传输与管理模块的接收缓冲区中读取数据，以及向所述UART传输与管理模块的发送缓冲区写入数据。
2.根据权利要求1所述的一种数字证书认证装置，其特征在于，所述硬件驱动模块的各驱动子模块均封装成函数供应用层调用。
3.根据权利要求1所述的一种数字证书认证装置，其特征在于，所述通信与指令调度模块通过指令列表的形式完成对功能模块的调度，其中，指令列表由指令码和功能函数指针两个元素组成，在指令列表中，不同的指令码对应不同的功能函数指针，每一条指令APDU中都含有指令码。
4.根据权利要求1-3之一所述的一种数字证书认证装置，其特征在于，所述引导系统用于将所述片上操作系统COS加载到所述硬件的存储器中。
5.一种数字证书认证系统，所述系统包括如权利要求4所述的数字证书认证装置，其特征在于，所述系统还包括通用服务装置和专用工具装置，其中， 所述通用服务装置用于对所述数字证书认证装置生成的数字签名进行验证； 所述专用工具装置包括COS下载工具和预植工具，所述COS下载工具用于与所述引导系统进行通信从而将COS下载到所述硬件的存储器中；所述预植工具用于向所述数字证书认证装置导入证书以及密钥。
【文档编号】H04L9/30GK103731262SQ201310731279
【公开日】2014年4月16日 申请日期:2013年12月26日 优先权日:2013年12月26日
【发明者】姜晓新, 简志栋, 庄瑞, 赵波 申请人:中金金融认证中心有限公司