[发明专利]闪存卡及虚拟专用网密钥交换的实现方法

权利要求书

1.一种虚拟专用网密钥交换的实现方法，其特征在于，在包括卡控制器和存储器的闪存卡中集成智能芯片，在所述存储器中存储公开密钥体系PKI管理实体签发的用户证书；该方法还包括：

所述智能芯片利用所述用户证书与目标网络网关相互认证；

所述智能芯片在相互认证通过后，与目标网络网关协商临时会话密钥；

所述智能芯片利用所述用户证书与目标网络网关相互认证的步骤包括：

所述智能芯片将用户证书封装在登录请求消息中发送给目标网络网关；

所述目标网络网关访问PKI管理实体验证所述用户证书有效后，将网关证书封装在登录响应消息中发送给智能芯片；

所述智能芯片访问PKI管理实体验证所述网关证书有效后，将多种安全关联参数封装在认证请求消息中发送给目标网络网关；

所述目标网络网关从认证请求消息中封装的安全关联参数中选择一种，将认证通过及选择出的安全关联参数封装在认证响应消息中发送给智能芯片。

2.如权利要求1所述的方法，其特征在于，所述智能芯片与目标网络网关协商临时会话密钥之后，进一步包括：所述卡控制器使用所述临时会话密钥与目标网络网关交互数据。

3.如权利要求1所述的方法，其特征在于，所述智能芯片将用户证书封装在登录请求消息中发送给目标网络网关之前进一步包括：所述智能芯片控制自身所在的本地终端显示提示登录信息的界面，当智能芯片接收到用户通过所述界面输入的继续登录操作的指令时，继续执行所述智能芯片将用户证书封装在登录请求消息中发送给目标网络网关的步骤。

4.如权利要求1所述的方法，其特征在于，所述用户证书中包含公钥，所述卡控制器中存储有与所述公钥配对的私钥及闪存卡的标识ID；

所述智能芯片将登录请求消息发送给目标网络网关之前，进一步包括：从卡控制器中获取私钥和闪存卡ID，用私钥加密闪存卡ID作为闪存卡ID的签名； 

所述智能芯片将用户证书封装在登录请求消息中时，将闪存卡ID和闪存卡ID的签名也封装在登录请求消息中；

所述目标网络网关验证用户证书有效之后、将登录响应消息发送给智能芯片之前，进一步包括：目标网络网关使用用户证书中的公钥解密所述闪存卡ID的签名，比较解密后的结果与登录请求消息中封装的闪存卡ID是否一致，如果是则继续将登录响应消息发送给智能芯片的步骤，否则向智能芯片发送失败消息并结束流程。

5.如权利要求4所述的方法，其特征在于，所述网关证书中包含公钥，所述目标网络网关中存储有网关ID及与所述网关证书中的公钥配对的私钥；

所述目标网络网关将登录响应消息发送给智能芯片之前，进一步包括：目标网络网关使用自己的私钥加密网关ID，作为网关ID的签名；

所述目标网络网关将网关证书封装在登录响应消息中时，将网关ID和网关ID的签名也封装在登录响应消息中；

所述智能芯片验证网关证书有效之后、将认证请求消息发送给目标网络网关之前，进一步包括：智能芯片使用网关证书中的公钥解密所述网关ID的签名，比较解密后的结果与登录响应消息中封装的网关ID是否一致，如果是则继续将认证请求消息发送给目标网络网关的步骤，否则结束流程。

6.如权利要求5所述的方法，其特征在于，所述PKI管理实体中存储有登录用户名和密码的对应关系列表；

所述智能芯片比较解密后的结果与登录响应消息中封装的网关ID一致时，将认证请求消息发送给目标网络之前，进一步包括：智能芯片控制自身所在的本地终端显示提示输入登录用户名和密码的界面，接收用户通过所述提示输入登陆用户名和密码的界面输入的登录用户名和密码；使用网关证书中的公钥加密输入的登录用户名和密码；

所述智能芯片将安全关联参数封装在认证请求消息中时，将加密后的登录用户名和密码也封装在认证请求消息中；

所述目标网络网关从安全关联参数中选择一种之前，进一步包括：目标网 络网关使用自己的私钥解密认证请求消息中的登录用户名和密码；访问PKI管理实体，比对认证请求消息中封装的登录用户名和密码是否与PKI管理实体中存储的一致，如果是则继续从安全关联参数中选择一种的步骤，否则向智能芯片发送失败消息并结束流程。