技術領域

本發明涉及PKI（Public?Key?Infrastructure，公鑰基礎設施）技術領域，特別涉及一種數字證書認證裝置及數字證書認證系統。

背景技術

由于信息技術飛速發展，對信息的完整性越來越重視，設備證書的應用領域也越來越廣。目前，服務器、智能終端等設備主要采用以下三種形式集成設備證書，對傳輸信息進行完整性保護：一是，采用“軟證書”方式，設備證書和密鑰以文件形式存放在設備中，通過算法軟件實現信息的數字簽名與驗證；二是，增加專用硬件設備，如PCI/PCI-E卡、IC卡和讀卡器、USBKey等，專用硬件設備存儲設備證書和密鑰，實現信息的數字簽名與驗證功能，并為服務器、智能終端等設備提供功能調用接口；三是，在設備中直接集成安全芯片，存儲設備證書和密鑰，實現信息的數字簽名與驗證功能。

第一種方式，主要在服務器和一些性能較高的智能終端中，用于在SSL通信中進行密鑰交換。設備證書和密鑰以文件形式存放在設備中，私鑰容易泄露，安全性較低。并且數字簽名與驗證通過軟件算法實現，對設備的硬件性能有一定要求。

第二種方式是目前設備證書實現的主流方式。性能較高的服務器一般采用PCI/PCI-E卡的形式，一般的個人計算機和智能終端一般采用IC卡和讀卡器、以及USBKey的形式。

第三種方式是主要用于可信計算和一些集成度較高的設備中。

設備證書的應用領域越來越廣，需要使用數字證書的設備也千差萬別，現有的設備證書集成方式不能完全適應設備需求。現在的物聯網電子標簽閱讀設備、專用小型工業控制設備等對網絡傳輸信息具有迫切的數據完整性防篡改需求，雖然此類設備通過網絡傳輸的數據量較少，對數據簽名驗證性能要求不高，但是需要在盡量不改動設備硬件結構、并且通過最小的集成開發工作量實現設備數字證書認證模塊化集成。

發明內容

有鑒于此，本發明提供了一種數字證書認證裝置及數字證書認證系統，能夠滿足不改動設備硬件結構以及采用最小的集成開發工作量的要求。

本發明提供了一種數字證書認證裝置，包括軟件部分和硬件部分，所述軟件部分包括片上操作系統COS、引導系統；所述硬件部分為載有所述片上操作系統和引導系統的硬件；所述片上操作系統包括UART傳輸與管理模塊、硬件驅動模塊、功能模塊、算法庫、通信與指令調度模塊以及主函數模塊；其中，

所述UART傳輸與管理模塊用于通過中斷方式將數據接收到接收緩沖區中，以及用于在檢測到有數據寫入發送緩沖區后，通過中斷方式發送給主機MCU；

所述硬件驅動模塊包括多個驅動子模塊，用于進行時鐘配置，中斷向量、優先級和中斷服務程序配置，定時器配置，GPIO輸入/輸出配置，UART接口參數配置，以及對片內FLASH的讀、寫和擦除，對UART接口的數據收發進行控制；

所述功能模塊包括多個功能子模塊，用于進行參數配置和權限控制，實現PIN功能以及數字證書讀寫，還用于完成RSA算法以及SM2算法；

所述算法庫存儲有功能模塊所采用的各種算法以供所述功能模塊進行調用；

所述通信與指令調度模塊用于根據主函數的調用，從所述UART傳輸與管理模塊的接收緩沖區中接收數據，對接收的數據進行指令解析并封裝成指令APDU來調用所述功能模塊的相應子模塊；以及基于所述功能模塊反饋的執行結果，構建響應APDU，并通過主函數調用的方式發送到所述UART傳輸與管理模塊的發送緩沖區中；

所述主函數模塊用于通過循環調用方式，調用通信與指令調度模塊從所述UART傳輸與管理模塊的接收緩沖區中讀取數據，以及向所述UART傳輸與管理模塊的發送緩沖區寫入數據。

所述硬件驅動模塊的各驅動子模塊均封裝成函數供應用層調用。

所述通信與指令調度模塊通過指令列表的形式完成對功能模塊的調度，其中，指令列表由指令碼和功能函數指針兩個元素組成，在指令列表中，不同的指令碼對應不同的功能函數指針，每一條指令APDU中都含有指令碼。

所述引導系統用于將所述片上操作系統COS加載到所述硬件的存儲器中。

本發明還提供了一種數字證書認證系統，所述系統包括上述的數字證書認證裝置，還包括通用服務裝置和專用工具裝置，其中，

所述通用服務裝置用于對所述數字證書認證裝置生成的數字簽名進行驗證；

所述專用工具裝置包括COS下載工具和預植工具，所述COS下載工具用于與所述引導系統進行通信從而將COS下載到所述硬件的存儲器中；所述預植工具用于向所述數字證書認證裝置導入證書以及密鑰。

附圖說明