CN103731262B

CN103731262B - 一种数字证书认证装置及数字证书认证系统

Info

Publication number: CN103731262B
Application number: CN201310731279.6A
Authority: CN
Inventors: 姜晓新; 简志栋; 庄瑞; 赵波
Original assignee: CHINA FINANCIAL CERTIFICATION AUTHORITY CENTER Co Ltd
Current assignee: CHINA FINANCIAL CERTIFICATION AUTHORITY CENTER Co Ltd
Priority date: 2013-12-26
Filing date: 2013-12-26
Publication date: 2017-01-18
Anticipated expiration: 2033-12-26
Also published as: CN103731262A

Abstract

本发明涉及PKI（Public Key Infrastructure，公钥基础设施）技术领域，提供了一种数字证书认证装置及数字证书认证系统。本发明的数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统COS、引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块。本发明的数字证书认证装置和数字证书认证系统能够满足不改动设备硬件结构以及采用最小的集成开发工作量的要求。

Description

一种数字证书认证装置及数字证书认证系统

技术领域

本发明涉及PKI（Public Key Infrastructure，公钥基础设施）技术领域，特别涉及一种数字证书认证装置及数字证书认证系统。

背景技术

由于信息技术飞速发展，对信息的完整性越来越重视，设备证书的应用领域也越来越广。目前，服务器、智能终端等设备主要采用以下三种形式集成设备证书，对传输信息进行完整性保护：一是，采用“软证书”方式，设备证书和密钥以文件形式存放在设备中，通过算法软件实现信息的数字签名与验证；二是，增加专用硬件设备，如PCI/PCI-E卡、IC卡和读卡器、USBKey等，专用硬件设备存储设备证书和密钥，实现信息的数字签名与验证功能，并为服务器、智能终端等设备提供功能调用接口；三是，在设备中直接集成安全芯片，存储设备证书和密钥，实现信息的数字签名与验证功能。

第一种方式，主要在服务器和一些性能较高的智能终端中，用于在SSL通信中进行密钥交换。设备证书和密钥以文件形式存放在设备中，私钥容易泄露，安全性较低。并且数字签名与验证通过软件算法实现，对设备的硬件性能有一定要求。

第二种方式是目前设备证书实现的主流方式。性能较高的服务器一般采用PCI/PCI-E卡的形式，一般的个人计算机和智能终端一般采用IC卡和读卡器、以及USBKey的形式。

第三种方式是主要用于可信计算和一些集成度较高的设备中。

设备证书的应用领域越来越广，需要使用数字证书的设备也千差万别，现有的设备证书集成方式不能完全适应设备需求。现在的物联网电子标签阅读设备、专用小型工业控制设备等对网络传输信息具有迫切的数据完整性防篡改需求，虽然此类设备通过网络传输的数据量较少，对数据签名验证性能要求不高，但是需要在尽量不改动设备硬件结构、并且通过最小的集成开发工作量实现设备数字证书认证模块化集成。

发明内容

有鉴于此，本发明提供了一种数字证书认证装置及数字证书认证系统，能够满足不改动设备硬件结构以及采用最小的集成开发工作量的要求。

本发明提供了一种数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统COS、引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块；其中，

所述UART传输与管理模块用于通过中断方式将数据接收到接收缓冲区中，以及用于在检测到有数据写入发送缓冲区后，通过中断方式发送给主机MCU；

所述硬件驱动模块包括多个驱动子模块，用于进行时钟配置，中断向量、优先级和中断服务程序配置，定时器配置，GPIO输入/输出配置，UART接口参数配置，以及对片内FLASH的读、写和擦除，对UART接口的数据收发进行控制；

所述功能模块包括多个功能子模块，用于进行参数配置和权限控制，实现PIN功能以及数字证书读写，还用于完成RSA算法以及SM2算法；

所述算法库存储有功能模块所采用的各种算法以供所述功能模块进行调用；

所述通信与指令调度模块用于根据主函数的调用，从所述UART传输与管理模块的接收缓冲区中接收数据，对接收的数据进行指令解析并封装成指令APDU来调用所述功能模块的相应子模块；以及基于所述功能模块反馈的执行结果，构建响应APDU，并通过主函数调用的方式发送到所述UART传输与管理模块的发送缓冲区中；

所述主函数模块用于通过循环调用方式，调用通信与指令调度模块从所述UART传输与管理模块的接收缓冲区中读取数据，以及向所述UART传输与管理模块的发送缓冲区写入数据。

所述硬件驱动模块的各驱动子模块均封装成函数供应用层调用。

所述通信与指令调度模块通过指令列表的形式完成对功能模块的调度，其中，指令列表由指令码和功能函数指针两个元素组成，在指令列表中，不同的指令码对应不同的功能函数指针，每一条指令APDU中都含有指令码。

所述引导系统用于将所述片上操作系统COS加载到所述硬件的存储器中。

本发明还提供了一种数字证书认证系统，所述系统包括上述的数字证书认证装置，还包括通用服务装置和专用工具装置，其中，

所述通用服务装置用于对所述数字证书认证装置生成的数字签名进行验证；

所述专用工具装置包括COS下载工具和预植工具，所述COS下载工具用于与所述引导系统进行通信从而将COS下载到所述硬件的存储器中；所述预植工具用于向所述数字证书认证装置导入证书以及密钥。

附图说明

为了更清楚地说明本发明实施例或现有技术中的方案，下面将对实施例中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的数字证书认证模块应用方式的示意图；

图2为本发明的数字证书认证模块的结构布局示意图；

图3为本发明的数字证书认证模块的COS结构示意图；

图4为本发明的数字证书认证模块的COS各组成部件的交互关系示意图；

图5为本发明的数字证书认证模块的UART接口初始化流程示意图；

图6为本发明的数字证书认证模块的密钥对生成流程示意图；

图7为本发明的数字证书认证模块的指令调度的流程示意图；

图8为本发明的数字证书认证系统的结构示意图。

具体实施方式

下面将结合各附图对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，应用本发明的数字证书认证模块的设备板块需要预留数字证书认证模块插槽，并采用UART接口通过专用协议与本发明的数字证书认证模块进行通信。设备将原始数据和数字签名结果（签名结果长度由选用的数字签名算法决定，如RSA1024为128字节，RSA2048为256字节，SM2为64字节）通过网络发送至监控中心，监控中心调用数字签名验证服务接口对数字签名进行验证，确保数据的完整性、有效性。

通常，本发明的数字证书认证模块出厂前预植设备数字证书，数字证书有效期一般为3至5年，到期时对数字证书认证模块进行整体更换。

图2为本发明的数字证书认证模块的结构布局示意图，本发明的数字证书认证模块结构尺寸可根据用户实际需求进行定制。

本发明的数字证书认证模块的物理接口可以采用间距2.54MM的十芯双排针插座，双排针插座以产品正面俯视图的左下为第一脚，表1为引脚分布。引脚类型和顺序可根据用户实际需求进行定制。

通信参数，默认为：TTL电平，1位起始位，8位数据位，1位停止位，无奇偶校验，波特率为38400bps。校验方式和波特率可根据用户实际需求进行定制

表1十芯双排针插座引脚序号

①	②	③	④	⑤
					⑥	⑦	⑧	⑨	⑩

表2通信接口引脚定义

如图3所示，本发明的一种数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统COS、引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块；其中，

功能模块与硬件驱动之间的交互主要包括：

（1）UART传输与管理由硬件驱动的相应中断向量触发。

（2）参数配置过程中，对UART的波特率进行配置时，需要获取系统时钟进行分频计算，需要配置中断向量和中断优先级；

（3）PIN码验证和数字签名运算过程中调用定时器计时进行超时控制；

（4）数字证书和密钥保存在片内FLASH中，需要调用FLASH的读写功能接口进行操作；

（5）数字证书认证模块UART接口和状态指示灯都是通用的GPIO口，需要调用GPIO使能、输入输出配置等功能接口进行操作；

（6）UART传输管理在数据收发过程中调用UART硬件驱动对接收和发送缓冲区进行操作。

此外，所述硬件驱动模块的各驱动子模块均封装成函数供应用层调用。并且，各个驱动模块之间并不完全独立，例如UART驱动模块在接口初始化函数中会调用时钟、中断和GPIO驱动模块的功能函数。UART接口初始化过程如图5所示。

对算法库的使用均为函数调用方式，相关功能模块在算法库的基础上进行封装，图6给出了密钥对生成的流程。

所述通信与指令调度模块通过指令列表的形式完成对功能模块的调度，其中，指令列表由指令码和功能函数指针两个元素组成，在指令列表中，不同的指令码对应不同的功能函数指针，每一条指令APDU中都含有指令码。如图7所示给出了指令调度的主要流程图。

主函数主要由系统初始化和while（1）循环两部分构成。数字证书认证模块上电后运行主函数。主函数首先对系统时钟、定时器、中断、UART接口、片内FLASH等硬件驱动模块进行初始化和参数配置，对系统全局变量进行初始。初始化工作完成后进入while（1）循环，在while（1）循环中的主要工作是接收UART接口的指令数据，调用通信和指令调度模块对指令数据进行处理，将处理结果通过UART接口进行反馈。

本发明还给出了一种数字证书认证系统，如图8所示，所述系统包括上述的数字证书认证装置，还包括通用服务装置和专用工具装置，其中，

通过上述技术方案可知，本发明的数字证书认证装置和认证系统主要有以下五个方面的优点：

（1）硬件接口简单。模块硬件提供的功能接口主要有4个，分别是VCC（电源）、GND（地）、TX（发送）和RX（接收），根据用户的特殊需求，还可提供一个可选的RST（复位）接口，接口为TTL电平，TX（发送）和RX（接收）可与主板的主控芯片响应接口进行直连，无需改变原有主板的电路设计，基本属于硬件通信设备模块化集成的最简接口形式。

（2）通信协议简单灵活。采用UART接口通信协议，波特率（支持9600bps、19200bps、38400bps、57600bps、115200bps）、数据位、奇偶校验（支持奇校验、偶校验和无校验方式）等可根据用户需要灵活选定。专用的数据通信协议，简洁高效，模块集成的工作量基本可忽略不计。

（3）电路板结构尺寸可定制。电路板结构尺寸在不小于限定范围的情况下，可按照用户需求进行定制，灵活适应设备的模块化集成需求。

（4）模块维护简单。模块与主板相对独立，与芯片直接集成的方式相比，可维修性好。

（5）成本低廉。本发明的数字证书认证模块的元器件数量少，成本低。

本发明的数字认证装置及认证系统满足了在数字签名与验证性能要求不高的情况下，尽量不改动设备硬件结构、并且通过最小的集成开发工作量实现设备数字证书认证模块化集成的需求。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

Claims

1.一种数字证书认证装置，包括软件部分和硬件部分，所述软件部分包括片上操作系统COS和引导系统；所述硬件部分为载有所述片上操作系统和引导系统的硬件；其特征在于，所述片上操作系统包括UART传输与管理模块、硬件驱动模块、功能模块、算法库、通信与指令调度模块以及主函数模块；其中，

所述通信与指令调度模块用于根据主函数的调用，从所述UART传输与管理模块的接收缓冲区中读取数据，对接收的数据进行指令解析并封装成指令APDU来调用所述功能模块的相应子模块；以及基于所述功能模块反馈的执行结果，构建响应APDU，并通过主函数调用的方式写入到所述UART传输与管理模块的发送缓冲区中；

2.根据权利要求1所述的一种数字证书认证装置，其特征在于，所述硬件驱动模块的各驱动子模块均封装成函数供应用层调用。

3.根据权利要求1所述的一种数字证书认证装置，其特征在于，所述通信与指令调度模块通过指令列表的形式完成对功能模块的调度，其中，指令列表由指令码和功能函数指针两个元素组成，在指令列表中，不同的指令码对应不同的功能函数指针，每一条指令APDU中都含有指令码。

4.根据权利要求1-3之一所述的一种数字证书认证装置，其特征在于，所述引导系统用于将所述片上操作系统COS加载到所述硬件的存储器中。

5.一种数字证书认证系统，所述系统包括如权利要求4所述的数字证书认证装置，其特征在于，所述系统还包括通用服务装置和专用工具装置，其中，