本發明提供一種移動數字證書裝置及其更新方法。所述更新方法包括所述移動數字證書裝置按照預先和CA協商好的協議產生會話密鑰以及配對的移動數字證書裝置的新公鑰和新私鑰，并向CA發送經CA的公鑰加密的更新請求；CA向所述移動數字證書裝置簽發經所述會話秘鑰加密的新數字證書；以及所述移動數字證書裝置接收并解密所述新數字證書。本發明所提供的更新方法可以通過移動終端以在線的方式進行數字證書更新，能夠使移動數字證書裝置的數字證書更新過程得以簡化，用戶無需定期到CA指定的地點對移動數字證書裝置進行更新，很大程度上方便了用戶。

技術領域

本發明涉及信息安全領域，更具體地，涉及移動數字證書裝置及其更新方法。

背景技術

移動數字證書裝置在網上銀行、政府的OA以及VPN網絡中都應用比較廣泛，但是，隨著移動支付、移動辦公的興起，移動終端的數字認證問題越來越顯現。

CA是國家認可的權威、可信、公正的第三方機構，專門負責發放并管理所有參與網上業務的實體所需的數字證書。

數字證書是網絡世界中的身份證。可以在網絡世界中為互不見面的用戶建立安全可靠的信任關系，這種信任關系的建立則源于PKI/CA認證中心，構建安全的PKI/CA認證中心是至關重要的。

CA擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證CA的簽名從而信任CA，任何人都可以得到CA的證書(含公鑰)，用以驗證它所簽發的證書。

USBKey是目前最常用的一種移動數字證書裝置，其提供了數字證書在終端安全存儲的環境；另外，通過硬件協處理器處理運算也提高了認證的效率。但是USBKey基于的USB接口功耗太大，且只適用于PC機等固定終端，移動終端并不支持此接口；因此，基于USBKey的證書認證方式不能平滑地移植到移動終端上。

為了解決移動終端的證書認證的問題，目前主要采取兩種方案：

現有方案一：采用軟證書的形式

這個方案把數字證書及私鑰直接存放在移動終端設備上，私鑰由用戶PIN碼保護，證書認證中需要的非對稱密鑰產生，加解密，簽名驗證等運算由軟件實現。

現有方案一的缺陷：

1.數字證書及私鑰存放在移動終端設備上，使用過程中需要存放于終端的RAM中，容易被攻擊者獲取，因此不安全。

2.數字認證中需要的加解密/簽名驗證等運算由軟件實現，運算速度慢。

3.不符合國家信息安全相關標準。

現有方案二：采用SIM卡的方式

這個方案把SIM作為數字證書存放的硬件載體，證書認證中需要的非對稱密鑰對產生，加解密，簽名驗證等運算由SIM卡進行處理。

現有方案二的缺陷：

1.數字證書及私鑰存放在SIM卡上，存儲空間有限。

2.SIM卡通信速率低。大多SIM卡采用是7816接口，相對SD接口傳輸速率比較低。

3.不能直接在PC上使用，即無法兼容當前PC上的證書認證方式。

發明內容

本發明提供一種克服上述問題或者至少部分地解決上述問題的移動數字證書裝置及其訪問方法和更新方法。

根據本發明的一個方面，提供一種移動數字證書裝置，包括：

接口模塊，用于接收數據；

存儲控制模塊，與所述接口模塊連接，用于接收并判斷數據是否為私密數據，將判斷后的數據發送至相應的模塊；