[发明专利]移动安全认证终端及方法

权利要求书

1.一种移动安全认证终端，包括：

安全中间件，用于利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令；

基带芯片，用于根据所述AT指令获得与所述客户端的PKI调用请求对应的APDU指令，并将所述APDU指令发送到PKI SIM卡；

PKI SIM卡，作为安全模块核心，提供PKI能力的APDU指令的支持。

2.根据权利要求1所述的移动安全认证终端，其中所述安全中间件还包括：

APDU转换单元，用于将PKI调用请求转换为APDU指令；

AT指令组装单元，用于将转换后的APDU指令作为AT指令的参数组装到AT指令中。

3.根据权利要求2所述的移动安全认证终端，其中所述基带芯片还用于对所述组装的AT指令中的APDU指令的参数不做解析，直接提取该APDU指令，传入所述PKI SIK卡中。

4.根据权利要求1所述的移动安全认证终端，其中所述PKI SIM卡包括：

安全标识检查单元，用于检查接收到的APDU指令中是否包含安全应用协议标识；

PKI操作单元，用于在确定接收到的APDU指令中包含安全应用协议标识时，根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。

5.根据权利要求1～4任一所述的移动安全认证终端，其中所述PKI调用请求包括：公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。

6.一种移动安全认证方法，包括：

移动安全认证终端中的安全中间件利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令；

所述移动安全认证终端中的基带芯片根据指令转换表将所述AT指令转换为APDU指令，并将所述APDU指令发送到安设在所述移动安全认证终端中的PKI SIM卡；

所述PKI SIM卡检查接收到的APDU指令中是否包含安全应用协议标识，在确定接收到的APDU指令中包含安全应用协议标识时，根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。

7.根据权利要求6所述的移动安全认证方法，其中所述PKI调用请求包括：公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。

8.一种移动安全认证方法，包括：

移动安全认证终端中的安全中间件将客户端的PKI调用请求转换为APDU指令，并将转换后的APDU指令作为AT指令的参数组装到AT指令中；

所述移动安全认证终端中的基带芯片对所述组装的AT指令中的APDU指令的参数不做解析，直接提取该APDU指令，并传入安设在所述移动安全认证终端中的PKI SIK卡中；

PKI SIM卡根据接收到的APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。

9.根据权利要求8所述的移动安全认证方法，其中对于非PKI调用请求的普通调用请求，所述安全中间件利用操作系统提供的AT指令通道将客户端的普通调用请求转换为AT指令，所述基带芯片在处理不包括APDU指令的参数的AT指令时，将该AT指令转换为APDU指令，并将所述APDU指令发送到PKI SIM卡。

10.根据权利要求8或9所述的移动安全认证方法，其中所述PKI调用请求包括：公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。