本发明专利技术涉及一种用于公认认证的硬件安全模块及其驱动方法。根据本发明专利技术的用于公认认证的硬件安全模块的特征在于包括安全芯片,所述安全芯片包括:密钥对生成模块,其生成用于公认认证书的私钥和公钥对;电子签名模块,其基于所述公认认证书生成电子签名;内部存储器,其存储所述公认认证书、私钥、公钥;NFC通信模块,其与无线终端执行NFC通信;以及控制部,其对所述密钥对生成模块、电子签名模块、内部存储器、NFC通信模块进行控制。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于公认认证的硬件安全模块及其驱动方法,更为详细地涉及这样一种用于公认认证的硬件安全模块及其驱动方法,所述用于公认认证的硬件安全模块能够在PC环境和智能手机环境下安全且便利地以共用的形式使用公认认证书。
技术介绍
公认认证书是由具有公信力的公认认证机关颁发的电子签名认证书,在韩国,不仅是网上银行,在线上证明书颁发、电子商务、网上股票交易等很多领域都是必不可少的。并且,最近急速普及的智能手机(smartphone)的金融交易正在激增,从而在智能手机上的公认认证书使用度正逐渐扩大。观察现有的PC环境下公认认证书的使用形态,其为执行如下公认认证的方式:将公认认证书存储于硬盘(harddisc)、移动式光盘(disc)、手机、存储令牌、硬件安全模块等,为了网上金融交易而需要公认认证时,通过存储于硬盘等的公认认证书生成电子签名,并使得认证服务器对其进行验证而进行公认认证。但是,硬盘或移动式光盘存储方式的情况下,黑客程序能够轻易复制以文件的形式存储于特定文件夹的公认认证书,并对PC进行监控,从而能够轻易获取公认认证书的密码,因此存在由于安全薄弱而因黑客所致的金融事故频繁发生的问题。另外,如果使用移动式光盘,则只有连接于PC时可能被黑客窃取,因此可能被认为比硬盘更安全,但是相反地,移动式光盘遗失的可能性较高,因此公认认证书的泄漏可能性较高。并且,手机、存储令牌存储方式的情况下,虽然公认认证书不是以文件形式被存储,但是在使用公认认证书时,必须在PC执行电子签名,因此仍然具有如下缺点:公认认证书的私钥被泄漏至PC存储器从而可能被黑客入侵。因此,将公认认证书存储于安全芯片内,并在安全芯片内执行电子签名的硬件安全模块(HSM;HardwareSecurityModule)存储方式最为安全,并且韩国互联网络振兴院(KISA)也正在鼓励硬件安全模块的使用。但是,现在受到韩国互联网络振兴院(KISA)认证而销售的这种形态的硬件安全模块产品是只能够在PC环境下进行操作的方式,因此存在无法在智能手机上进行使用的问题。与此相关地,从在现有的智能手机环境下使用公认认证书的形态来看,其为如下方式:将PC所颁发的公认认证书复制到智能手机,以文件的形式存储于特定文件夹,并使得多个应用(Application,或应用程序)以共用的形式使用,或者将PC所颁发的公认认证书复制并存储到智能手机每个应用自身的数据存储空间后进行使用。但是,即使在所述情况下,也存在如下问题:与在PC环境下硬盘存储方式一样,存储于智能手机的公认认证书可能被黑客入侵,并与移动式光盘存储方式一样,由于智能手机的遗失可能使得公认认证书泄漏。因此,需要一种方案,该方案无法被黑客入侵,并即使遗失也能够在智能手机上使用安全的硬件安全模块,尤其急切需要一种方案,该方案能够在PC环境和智能手机环境下以共用的形式安全且方便地使用硬件安全模块。并且,最近韩国互联网络振兴院(KISA)正在推进公认认证书密码系统高度化事业。此项事业的核心目的在于,将电子签名算法的私钥(密钥)长度由1024比特(bit)上调至2048比特,从而增加电子签名算法的安全性。目前,公认认证书的电子签名算法正使用RSA(RivestShamirAdleman)算法,如果将1024比特的RSA算法提高为2048比特,则理论上需要约四倍以上的运算时间。具体而言,目前智能卡芯片生成一对1024比特的私钥和公钥的时间为平均2~3秒,并且根据情况也可能需要6秒以上,密码系统提升的情况下,生成一对2048比特的私钥和公钥的时间为平均20~30秒,并且根据情况也可能需要60秒以上。由此,使用硬件安全模块来颁发2048比特的公认认证书时,颁发过程可能需要1分钟以上,从而可能使得用户感到非常不便。对此,韩国互联网络振兴院(KISA)虽然希望将硬件安全模块生成一对2048比特的私钥和公钥的时间缩短在数秒之内,但是并未公开有能够以目前技术来解决的方法。因此,急需一种方案,该方案在智能手机环境下利用近距离无线通信(NFC;NearFieldCommunication)技术使得硬件安全模块有效地生成一对私钥和公钥并能够进行使用。本专利技术的详细说明技术课题本专利技术为满足如上所述的要求而提出,本专利技术的目的在于提供一种能够在PC环境和智能手机环境下安全且便利地使用公认认证书的用于公认认证的硬件安全模块及其驱动方法。本专利技术的另一个目的在于提供一种在智能手机环境下利用NFC通信来预先生成私钥和公钥对的用于公认认证的硬件安全模块及其驱动方法。本专利技术的又一目的在于提供这样一种用于公认认证的硬件安全模块及其驱动方法,其将私钥和公钥对的生成过程分为两个以上的子过程来进行,由此即使通过电力较弱的NFC通信也能够生成私钥和公钥对。本专利技术的再一目的在于提供这样一种用于公认认证的硬件安全模块及其驱动方法,其在智能手机环境下利用NFC通信来生成电子签名。本专利技术的又另一目的在于提供这样一种用于公认认证的硬件安全模块及其驱动方法,其将电子签名生成过程分为两个以上的子过程来进行,由此即使通过电力较弱的NFC通信也能够生成电子签名。课题的解决手段为了所述目的,根据本专利技术的一形态的用于公认认证的硬件安全模块的特征在于包括安全芯片,所述安全芯片包括:密钥对生成模块,其生成用于公认认证书的私钥和公钥对;电子签名模块,其基于所述公认认证书生成电子签名;内部存储器,其存储所述公认认证书、私钥、公钥;NFC通信模块,其与无线终端执行NFC(NearFieldCommunication,近距离无线通信);以及控制部,其对所述密钥对生成模块、电子签名模块、内部存储器、NFC通信模块进行控制。优选地,所述安全芯片如果从所述无线终端接收生成私钥和公钥对的指令,则确认所述内部存储器是否存储有预先生成的私钥和公钥对,如果所述内部存储器存储有预先生成的私钥和公钥对,则读取所述预先生成的私钥和公钥对。并且,所述安全芯片如果从所述无线终端接收准备生成电子签名的请求,则利用通过从所述无线终端发出的电磁波得到充电的电力,选择从所述无线终端接收的相当于密钥信息的公认认证书的私钥,从而在通过所选择的私钥使得电子签名运算初始化后,向所述无线终端传送状态信息,如果从所述无线终端接收执行生成电子签名的请求,则利用通过从所述无线终端发出的电磁波而得到的再充电的电力,针对从所述无线终端接收的签名的数据执行电子签名运算,并向所述无线终端传送电子签名值。另外,根据本专利技术一形态的用于公认认证书的硬件安全模块的驱动方法的特征在于包括如下步骤:所述硬件安全模块通过NFC通信从无线终端接收生成私钥和公钥对的指令;所述硬件安全模块确认所述内部存储器是否存储有预先生成的私钥和公钥对;以及如果所述内部存储器存储有预先生成的私钥和公钥对,则所述硬件安全模块通过NFC通信向所述无线终端回应生成所述私钥和公钥对。优选地,所述硬件安全模块的驱动方法还包括如下步骤:如果所述内部存储器不存在预先生成的私钥和公钥对,则所述硬件安全模块通过所述无线终端所发出的电磁波实时生成所述私钥和公钥对,并通过NFC通信向所述无线终端回应。专利技术的效果根据本专利技术,具有如下效果:能够在任何PC环境和智能手机环境下稳定且方便地执行公认认证。并且根据本专利技术本文档来自技高网...
【技术保护点】
一种硬件安全模块,其是用于公认认证的硬件安全模块,其特征在于,包括安全芯片,所述安全芯片包括:密钥对生成模块,其生成用于公认认证书的私钥和公钥对;电子签名模块,其基于所述公认认证书生成电子签名;内部存储器,其存储所述公认认证书、私钥、公钥;NFC通信模块,其与无线终端执行NFC通信;以及控制部,其对所述密钥对生成模块、所述电子签名模块、所述内部存储器、所述NFC通信模块进行控制。
【技术特征摘要】
【国外来华专利技术】2014.05.12 KR 10-2014-00561061.一种硬件安全模块,其是用于公认认证的硬件安全模块,其特征在于,包括安全芯片,所述安全芯片包括:密钥对生成模块,其生成用于公认认证书的私钥和公钥对;电子签名模块,其基于所述公认认证书生成电子签名;内部存储器,其存储所述公认认证书、私钥、公钥;NFC通信模块,其与无线终端执行NFC通信;以及控制部,其对所述密钥对生成模块、所述电子签名模块、所述内部存储器、所述NFC通信模块进行控制。2.根据权利要求1所述的硬件安全模块,其特征在于,所述安全芯片如果从所述无线终端接收生成私钥和公钥对的指令,则确认所述内部存储器是否存储有预先生成的私钥和公钥对,如果所述内部存储器存储有预先生成的私钥和公钥对,则读取所述预先生成的私钥和公钥对。3.根据权利要求2所述的硬件安全模块,其特征在于,如果所述内部存储器未存储有预先生成的私钥和公钥对,则所述安全芯片通过所述密钥对生成模块实时生成私钥和公钥对。4.根据权利要求1所述的硬件安全模块,其特征在于,所述安全芯片如果从所述无线终端接收到指令,则在处理所述指令期间通过所述密钥对生成模块预先生成所述私钥和公钥对。5.根据权利要求1所述的硬件安全模块,其特征在于,所述安全芯片如果从所述无线终端接收到指令,则在处理所述指令之后的待机模式期间通过所述密钥对生成模块预先生成所述私钥和公钥对。6.根据权利要求3至5中任意一项所述的硬件安全模块,其特征在于,所述安全芯片将所述私钥和公钥对的生成过程分为两个以上的子过程来执行。7.根据权利要求6所述的硬件安全模块,其特征在于,所述安全芯片以模幂运算为基准将所述私钥和公钥对的生成子过程分开。8.根据权利要求6所述的硬件安全模块,其特征在于,所述安全芯片以素数生成运算为基准将所述私钥和公钥对的生成子过程分开。9.根据权利要求6所述的硬件安全模块,其特征在于,所述安全芯片在执行生成所述私钥和公钥对的各个子过程之间分配充电时间。10.根据权利要求1至5中任意一项所述的硬件安全模块,其特征在于,所述安全芯片如果从所述无线终端接收准备生成电子签名的请求,则利用通过从所述无线终端发出的电磁波得到充电的电力,选择从所述无线终端接收的相当于密钥信息的公认认证书的私钥,从而在通过所选择的私钥使得电...
【专利技术属性】
技术研发人员:李政烨,
申请(专利权)人:密钥对株式会社,
类型:发明
国别省市:韩国;KR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。