1.一種安全盾，其特征在于，該安全盾包括通信接口和智能芯片，該通信接口為音頻接口或USB接口，其中智能芯片包括：

存儲單元，與通信接口相連并接收和存儲激活數(shù)據(jù)子密鑰ADK子密鑰以及證書公鑰CPK；

激活單元，與通信接口相連以接收激活數(shù)據(jù)、利用ADK子密鑰來解密激活數(shù)據(jù)以激活智能芯片；以及

處理單元，與通信接口相連以接收應(yīng)用安裝證書AIC和公鑰基礎(chǔ)設(shè)施PKI應(yīng)用，根據(jù)CPK來驗(yàn)證AIC并在驗(yàn)證通過的情況下安裝PKI應(yīng)用，

處理單元在已經(jīng)安裝PKI應(yīng)用的情況下從通信接口接收至少一個金融機(jī)構(gòu)的數(shù)字證書并將保存在存儲單元中，

處理單元根據(jù)證書標(biāo)識符AID來調(diào)用對應(yīng)的金融機(jī)構(gòu)的數(shù)字證書。

2.如權(quán)利要求1所述的安全盾，其特征在于，處理單元能夠刪除和更新數(shù)字證書。

3.如權(quán)利要求1所述的安全盾，其特征在于，處理單元從通信接口接收應(yīng)用刪除證書ADC，根據(jù)CPK驗(yàn)證ADC并在驗(yàn)證通過時刪除PKI應(yīng)用。

4.如權(quán)利要求1-3之一所述的安全盾，其特征在于，該安全盾還包括和處理單元相連的物理鍵盤，用于輸出安全盾訪問口令至處理單元，該安全盾還包括交易確認(rèn)物理鍵，用戶通過該交易確認(rèn)物理鍵輸入交易使能信號至處理單元。

5.如權(quán)利要求1-3之一所述的安全盾，其特征在于，安全盾還包括加解密單元和數(shù)模-模數(shù)轉(zhuǎn)換單元，其中

加解密單元，其與處理單元相連，用于加密來自處理單元的數(shù)據(jù)并將加密后的數(shù)據(jù)返回至處理單元；以及

數(shù)模-模數(shù)轉(zhuǎn)換單元，其連接在處理單元和通信接口之間。

6.一種數(shù)字證書管理系統(tǒng)，其特征在于，包括證書管理中心CMS、可信服務(wù)管理中心TSM、至少一個金融機(jī)構(gòu)服務(wù)器、客戶端設(shè)備、如上述權(quán)利要求1～5任意一項(xiàng)所述的安全盾，其中

CMS生成激活數(shù)據(jù)密鑰ADK、證書公鑰CPK和證書私鑰CSK；

利用分散算法以芯片參數(shù)UID為分散因子來分散ADK以得到ADK子密鑰；

將ADK子密鑰和CPK寫入智能芯片的存儲單元中；

第一金融機(jī)構(gòu)服務(wù)器獲得UID；

第一金融機(jī)構(gòu)服務(wù)器發(fā)送芯片注冊請求和UID至CMS；

CMS根據(jù)UID生成并發(fā)送激活數(shù)據(jù)至第一金融機(jī)構(gòu)服務(wù)器；

第一金融機(jī)構(gòu)服務(wù)器將激活數(shù)據(jù)轉(zhuǎn)發(fā)至TSM；

用戶經(jīng)客戶端設(shè)備發(fā)送包括用戶身份信息的安全盾激活請求至TSM；

TSM在用戶身份信息驗(yàn)證通過的情況下將激活數(shù)據(jù)經(jīng)客戶端設(shè)備發(fā)送至安全盾的激活單元；

安全盾的激活單元根據(jù)ADK子密鑰來解密激活數(shù)據(jù)以激活安全盾；

第二金融機(jī)構(gòu)服務(wù)器向CMS發(fā)送包括公鑰基礎(chǔ)設(shè)施PKI應(yīng)用參數(shù)文件的PKI應(yīng)用注冊請求；

CMS根據(jù)PKI應(yīng)用參數(shù)文件和CSK來生成與該P(yáng)KI應(yīng)用相對應(yīng)的應(yīng)用安裝證書AIC并將其發(fā)送至第二金融機(jī)構(gòu)服務(wù)器；

第二金融機(jī)構(gòu)服務(wù)器將AIC和PKI應(yīng)用發(fā)送至TSM；

用戶經(jīng)客戶端設(shè)備向TSM發(fā)送包括第二金融機(jī)構(gòu)標(biāo)識符的應(yīng)用安裝請求；

TSM根據(jù)第二金融機(jī)構(gòu)標(biāo)識符將與第二金融機(jī)構(gòu)對應(yīng)的AIC和PKI應(yīng)用經(jīng)客戶端設(shè)備發(fā)送至安全盾的處理單元；

安全盾的處理單元根據(jù)CPK驗(yàn)證AIC并在驗(yàn)證通過的情況下安裝PKI應(yīng)用，

用戶經(jīng)客戶端設(shè)備向第二金融機(jī)構(gòu)服務(wù)器發(fā)送包括用戶身份信息的數(shù)字證書下載請求；

第二金融機(jī)構(gòu)服務(wù)器驗(yàn)證身份信息并在驗(yàn)證通過的情況下將數(shù)字證書經(jīng)客戶端設(shè)備發(fā)送至安全盾的處理單元，

處理單元在處理交易請求時根據(jù)客戶端設(shè)備所發(fā)送的應(yīng)用標(biāo)識符AID來調(diào)用對應(yīng)的數(shù)字證書。

7.如權(quán)利要求6所述的數(shù)字證書管理系統(tǒng)，其特征在于，用戶通過交易確認(rèn)物理鍵輸入交易使能信號至處理單元。

8.如權(quán)利要求6所述的數(shù)字證書管理系統(tǒng)，其特征在于，

CMS還根據(jù)PKI應(yīng)用參數(shù)文件和CSK生成應(yīng)用刪除證書ADC并將ADC發(fā)送至第二金融機(jī)構(gòu)服務(wù)器；

第二金融機(jī)構(gòu)服務(wù)器將ADC轉(zhuǎn)發(fā)至TSM；

用戶經(jīng)客戶端設(shè)備向TSM發(fā)送包括第二金融機(jī)構(gòu)標(biāo)識符的應(yīng)用刪除請求；

TSM根據(jù)第二金融機(jī)構(gòu)標(biāo)識符將對應(yīng)的ADC經(jīng)客戶端設(shè)備發(fā)送至安全盾的處理單元；

安全盾的處理單元根據(jù)CPK驗(yàn)證ADC并在驗(yàn)證通過的情況下刪除對應(yīng)的PKI應(yīng)用。