[发明专利]一种移动终端及其数字证书功能实现方法

说明书

技术领域

本发明涉及通信技术领域，更具体地，涉及一种移动终端及其数字证书功能实现方法。

背景技术

移动通信运营商在拓展无线上网卡业务的进程中，一个方向就是发展企业用户，为企业用户提供无线上网服务。让用户可以无需固定的办公地点，通过手机、无线上网卡、PAD等移动终端，就能在任意有信号覆盖的地方接入网络，访问企业内网，正常办理公事，就像坐在企业内部，通过企业内网操作一样方便简洁。可是方便的同时，问题也出现了，信息安全的保证成为首要问题。尤其是从互联网登录到企业网，安全风险非常大。信息泄密、病毒、恶意攻击等，都有可能发生。比如有国内运营商为了发展用户，准备为政府网推出一种特别定制的无线上网卡(数据卡)，运营商要求数据卡既要具备普通的业务功能(包括上网、短信等)，也要具备USBKey数字证书功能，当用户访问普通网站或政府网普通信息时，不需要身份认证，但当政府工作人员或有授权人员要登录政府网涉密信息时，则需要进行身份认证。

为了保证无线通信的安全，运营商用户提出用数字证书的方法。可是数字证书是需要存储介质的(如软件、光盘、USBKey等)，这就意味着用户要使用移动终端安全上网时，就需要携带两个设备，一个无线上网设备和一个数字证书，而且还要求上网终端设备必须同时具备两个接口，一个由上网卡使用，另一个又数字证书使用，携带和使用上都不方便，也增加了使用成本。要解决上述问题，本文就提供了一种将无线上网卡和数字证书合二为一的方法。

首先简要介绍一下数字证书相关的背景技术。数字证书技术是一种以数字证书为核心的加密技术的总称。数字证书由CA(Certification Authority认证中心)发布，CA作为权威的、公正的、可信赖的第三方，其作用是至关重要的。

数字证书的发放和管理，用户要携带有关证件到各地的证书受理点，或者直接到证书发放机构即CA中心填写申请表并进行身份审核，审核通过后就可以得到装有证书的相关介质(磁盘、IC卡或USBKey等)和一个写有密码口令的密码信封。

数字证书的格式及存储，目前数字证书的格式普遍采用的是X.509V3国际标准，内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。数字证书通常以文件形式放在存储介质上。带有私钥的证书由PKCS#12(Public Key Cryptography Standards#12)标准定义，以pfx作为证书文件后缀名。cer格式的数字证书里面只有公钥没有私钥。

数字证书的应用，按应用角度数字证书可分为：服务器证书、电子邮件证书和客户端证书，本文中仅涉及客户端证书的实现。客户端证书主要被用来进行身份验证和电子签名。客户端证书被存储于专用的存储介质中，比如IC卡或Key中，USBKey是最常见的存储介质。存储介质中的证书不能被导出或复制，且存储介质使用时需要输入存储介质的保护密码。使用该证书时，需要物理上获得其存储介质，且需要知道存储介质的保护密码，这也被称为双因子认证。这种认证手段是目前互联网上最安全的身份认证手段之一。数字证书的使用流程如下：当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。

发明内容

本发明目的是：提供一种集成数字证书功能的移动终端及其数字证书实现方法。

本发明提出一种移动终端数字证书功能实现方法，其特征在于，所述方法包括：当所述移动终端通过USB接口接入到PC后，所述移动终端上电启动，初始化USB端口，PC机判断是否有新的USB设备连接，如果有新设备则将端口映射到USB接口上，所述移动终端中存储有数字证书的智能卡通过智能卡管理模块与PC侧驱动交互，所述PC侧驱动启动数字证书客户端运行。

进一步地，所述存储有数字证书的智能卡通过ISO7816协议和智能卡管理模块交互。

进一步地，所述智能卡管理模块通过移动终端的板侧驱动和PC侧的数字证书PC侧驱动通过MCSP/PKCS11协议进行透传交互，启动数字证书客户端。

进一步地，所述智能卡是UICC，所述端口包括AT口、Modem口以及标准USB设备接口。

进一步地，所述数字证书客户端通过操作命令MCSP/PKCS11数据包发起数字证书操作。

另外，本发明还提出一种移动终端，其特征在于，所述移动终端包括智能卡、智能卡管理模块、板侧驱动；

所述智能卡存储有数字证书；