基于电信智能卡的数字证书管理方法及电信智能卡

摘要

本发明实施例提供一种基于电信智能卡的数字证书管理方法及电信智能卡，涉及数据安全领域，使电信智能卡与PKI技术相结合，实现无线互联网上PKI的应用，加强了移动电子商务的安全性。该方法为：电信智能卡通过移动终端向CA发送数字证书操作请求；所述电信智能卡通过移动终端接收所述CA返回的操作结果，并根据所述操作结果进行数字证书管理操作。本发明实施例用于移动电子商务。

说明书

技术领域

本发明涉及数据安全领域，尤其涉及一种基于电信智能卡的数字证书管理方法及电信智能卡。

背景技术

移动互联网下的电子商务是指利用手机、掌上电脑等移动通信设备与因特网有机结合，进行电子商务活动。移动电子商务包括移动支付、无线CRM(客户关系管理，Customer Relationship Management)、移动股市、移动银行与移动办公等。安全性是影响移动电子商务发展的关键问题，相对于传统的电子商务模式，移动电子商务的安全性更加薄弱。如何保护用户的合法信息不受侵犯，是一项迫切需要解决的问题。

在有线互联网络通信中，电子商务交易的一个重要安全保障是PKI(Public Key Infrastructure，公钥基础设施)，PKI基于非对称公钥体制，采用数字证书管理机制，通过第三方的可信任机构—认证中心(Certificate Authority，CA)验证用户的身份，从而实现透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。

但是有线互联网上应用的PKI体系，是在PC机上以USB KEY+软件客户端的形式实现的，USB KEY实现密码算法和数字证书的存储，由客户端软件与CA通过有线网络的方式交互完成证书管理流程。无线互联网上的应用实现PKI体系目前无法完全按照有线网络上的PKI体系技术实现，如现有移动终端无法与USB KEY进行连接，进而无法与CA进行证书管理交互流程。

发明内容

本发明的实施例提供一种基于电信智能卡的数字证书管理方法及电信智能卡，使电信智能卡与PKI技术相结合，实现无线互联网上PKI的应用，加强了移动电子商务的安全性。

为达到上述目的，本发明的实施例采用如下技术方案：

一种基于电信智能卡的数字证书管理方法，包括：

电信智能卡通过移动终端向认证中心发送数字证书操作请求；

所述电信智能卡通过移动终端接收所述认证中心返回的操作结果，并根据所述操作结果进行数字证书管理操作。

一种电信智能卡，包括芯片，所述芯片包括：

证书管理模块单元，用于向认证中心发送数字证书操作请求；接收所述认证中心返回的操作结果。

本发明实施例提供的基于电信智能卡的数字证书管理方法及电信智能卡，电信智能卡通过移动终端能够直接向CA发送数字证书操作请求，并接收CA返回的操作结果。实现了现有技术中通过USBKEY+软件客户端的形式进行的数字证书管理，有效利用了电信智能卡中的微处理器，在卡内实现了数字证书管理，使得电信智能卡与PKI技术相结合，实现了无线互联网上的PKI应用，加强了移动电子商务的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于电信智能卡的数字证书管理方法的流程框图；

图2为本发明实施例提供的数字证书申请的流程框图；

图3为本发明实施例提供的数字证书申请的流程示意图；

图4为本发明实施例提供的数字证书撤销的流程框图；

图5为本发明实施例提供的数字证书撤销的流程示意图；

图6为本发明实施例提供的数字证书更新的流程框图；

图7为本发明实施例提供的数字证书挂起或解挂的流程框图；

图8为本发明实施例提供的数字证书挂起或解挂的流程示意图；

图9为本发明实施例提供的数字证书查询的流程框图；

图10为本发明实施例提供的数字证书查询的流程示意图；

图11为本发明实施例提供的电信智能卡的结构框图；

图12为本发明实施例提供的另一电信智能卡的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本申请的各个实施例中，电信智能卡为符合现有的各种通信制式规范的电信智能卡，例如：SIM(Subscriber Identity Module，用户身份识别模块)卡和UIM(User Identity Model，用户识别模块)卡等。

本发明实施例提供的基于电信智能卡的数字证书管理方法，如图1所示，该方法步骤包括：

S101、电信智能卡通过移动终端向CA发送数字证书操作请求。

具体的，电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的输入/输出(input/output，I/O)口，利用移动终端的天线通过无线网络向CA发送数字证书操作请求。发送的数字证书操作请求可以包括：数字证书申请请求、数字证书撤销请求、数字证书查询请求、数字证书挂起请求、数字证书解挂请求等等。

S102、电信智能卡通过移动终端接收CA返回的操作结果，并根据该操作结果进行数字证书管理操作。

具体的，电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的操作结果；根据该操作结果，电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用相应的模块单元进行数字证书管理操作。

此外，电信智能卡通过移动终端可以采用数据短信或BIP(Bearer Independent Protocol，承载无关协议)方式向CA发送数字证书操作请求，以及接收该CA返回的操作结果。CA所进行的操作包括：数字证书的申请、撤销、查询、挂起、解挂等等。

本发明实施例提供的基于电信智能卡的数字证书管理方法，电信智能卡通过移动终端能够直接向CA发送数字证书操作请求，并接收CA返回的操作结果。实现了现有技术中通过USB KEY+软件客户端的形式进行的数字证书管理，有效利用了电信智能卡中的微处理器，在卡内实现了数字证书管理，使得电信智能卡与PKI技术相结合，实现了无线互联网上的PKI应用，加强了移动电子商务的安全性。

下面以用户通过STK菜单申请数字证书为例，进行说明，

在本实施例中，电信智能卡中设有一证书管理模块单元，该证书管理模块单元用于管理与CA的交互，实现数字证书管理。如图2所示，其流程可以为：

S201、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书申请请求。

S202、CA收到该数字证书申请请求，经验证通过后，颁发数字证书。

S203、CA通过空中下载向移动终端发送颁发的数字证书。

S204、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书。

S205、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的存储器存储该数字证书。

S206、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书发布请求。

S207、CA收到该数字证书发布请求，经验证通过后，向移动终端下发数字证书发布成功消息。

S208、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书发布成功消息。

在整个过程中，电信智能卡向CA发送的上行报文结构包括安全数据信息和命令数据信息，如表1所示：

表1、上行通信报文结构

具体的证书申请请求上行命令数据信息描述如表2所示：

表2、证书申请请求报文结构

具体的证书发布请求上行命令数据信息描述如表3所示：

表3、证书发布请求报文结构

整个过程中，CA向电信智能卡发送的下行报文结构包括安全数据信息和命令数据信息，如表4所示：

表4、下行通信报文结构

具体的证书下载下行命令数据信息描述如表5所示：

表5、证书下载的报文结构

具体的数字证书发布成功消息下行命令数据信息描述如表6所示：

表6、证书发布请求响应的报文结构

另外，电信智能卡用户证书存储在DF：3F00(MF)/7F 10(Telecom)/EF：6F60中，用户证书文件如表7所示，：

 表7、用户证书文件

以SIM卡为例，SIM卡上的证书文件格式，即卡上建立申请文件存储信息，如表8所示：

  项目  长度(字节)  值  说明  版本  5  ASCII  序列号  20  ASCII  签名算法  20  ASCII  密钥长度  20  ASCII  颁发者  200  UCS2  主题  200  UCS2  有效起始期  37  UCS2  有效终止期  37  UCS2  密钥用途  200  UCS2

表8、SIM卡上的证书文件格式

下面通过图3，将数字证书申请的过程进行详细说明，图3为数字证书申请的流程示意图。

当用户在STK菜单选择证书申请时，电信智能卡会生成数字证书申请的上行短信，发送到CA，具体证书申请流程如下：

S301、用户通过STK菜单点击“证书申请”选项，并输入预先设置好的业务使用权限密码PASSCODE。

S302、电信智能卡的证书管理模块单元通过电信智能卡的微处理器，根据预设的算法生成公私钥对。

S303、电信智能卡的证书管理模块单元通过电信智能卡的微处理器计算HASH(Passcode，公钥)、以及对HASH值的签名。

S304、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络将PASSCODE、IMSI(International Mobile SubscriberIdentification，国际移动用户识别码)、公钥和生成的PKCS#10数据包，并发送给CA。

S305、CA验证PKCS#10数据包，验证通过后向移动终端返回证书文件和解析的证书文件。

S306、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的证书文件和解析的证书文件。

S307、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的存储器存储数字证书。

S308、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书发布请求。

S309、CA验证成功后向移动终端返回证书发布成功消息。

S310、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的所述CA返回的数字证书发布成功消息。

本发明实施例提供的基于电信智能卡的数字证书管理方法，电信智能卡通过移动终端能够向CA发送数字证书申请请求，然后CA根据接收的数字证书申请请求，颁发数字证书，并将数字证书返回给电信智能卡。因此电信智能卡与CA通过空中通道能够进行数字证书的申请，实现了数字证书管理，实现了基于移动互联网的PKI应用，加强移动电子商务的安全性。

下面以用户通过STK菜单撤销数字证书为例，进行说明，如图4所示，其操作流程可以为：

S401、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送证书撤销请求。

S402、CA接收到证书撤销请求，验证成功后撤销数字证书，并向移动终端下发证书撤销成功消息。

S403、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的证书撤销成功消息。

S404、电信智能卡的证书管理模块单元通过电信智能卡的微处理器删除电信智能卡的存储器中存储的数字证书。

在整个过程中，电信智能卡通过移动终端向CA发送的证书撤销请求上行命令数据信息描述如表9所示：

表9、证书撤销请求报文结构整个过程中，CA向电信智能卡发送的下行报文结构如表4所示。

具体的证书撤销响应下行命令数据信息描述如表10所示：

表10、证书撤销响应的报文结构

下面通过图5，将数字证书撤销的过程进行详细说明，图5为数字证书撤销的流程示意图。

当用户在STK菜单选择证书撤销时，电信智能卡会生成证书撤销申请的上行短信发送到CA，具体流程如下：

S501、用户通过STK菜单点击“证书撤销”选项。

S502、电信智能卡的证书管理模块单元通过电信智能卡的微处理器对电信智能卡的存储器中存储的证书序列号进行签名，并生成数字证书撤销请求。

S503、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书撤销请求。

S504、CA接收到数字证书撤销请求，验证成功后，向移动终端发送数字证书撤销成功消息。

S505、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书撤销成功消息。

S506、电信智能卡的证书管理模块单元通过电信智能卡的微处理器删除电信智能卡的存储器中存储的数字证书。

S507、电信智能卡的证书管理模块单元通过移动终端的显示屏将撤销的结果显示给用户，完成数字证书撤销。

本发明实施例提供的基于电信智能卡的数字证书管理方法，电信智能卡通过移动终端能够向CA发送数字证书撤销请求，然后CA根据接收的数字证书撤销请求，撤销数字证书，并将撤销结果返回给电信智能卡。因此电信智能卡能够实现与CA通过空中通道进行数字证书的撤销，能够实现数字证书管理，实现基于移动互联网的PKI应用，加强移动电子商务的安全性。

下面以用户通过STK菜单更新数字证书为例，进行说明，如图6所示，其操作流程可以为：

S601、用户在STK菜单选择“证书更新”选项。

S602、电信智能卡的证书管理模块单元首先判断电信智能卡的存储器中是否存在有效的数字证书，如果存在，则执行后续流程，不存在则终止流程。

S603、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书撤销请求。

S604、CA接收到证书撤销请求，验证成功后撤销数字证书，并向移动终端下发证书撤销成功消息。

S605、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的证书撤销成功消息。

S606、电信智能卡的证书管理模块单元通过电信智能卡的微处理器删除电信智能卡的存储器中存储的数字证书。

S607、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书申请请求。

S608、CA收到该数字证书申请请求，经验证通过后，颁发数字证书。

S609、CA通过空中下载向移动终端发送颁发的数字证书。

S610、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书。

S611、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的存储器存储该数字证书。

S612、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送数字证书发布请求。

S613、CA收到该数字证书发布请求，经验证通过后，向移动终端下发数字证书发布成功消息。

S614、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书发布成功消息。

本发明实施例提供的基于电信智能卡的数字证书管理方法，能够通过电信智能卡向CA发送数字证书撤销请求、申请请求，以达到更新数字证书的目的。因此电信智能卡能够实现与CA通过空中通道进行数字证书的更新，能够实现数字证书管理实现基于移动互联网的PKI应用，加强移动电子商务的安全性。

下面以用户通过STK菜单挂起或解挂数字证书为例，进行说明，如图7所示，其操作流程可以为：

S701、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送证书挂起请求或证书解挂请求。

S702、CA验证成功后，完成相应的证书挂起或解挂操作，并向移动终端下发证书挂起或解挂成功消息。

S703、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的挂起成功消息。

S704、电信智能卡的证书管理模块单元通过电信智能卡的微处理器将数字证书的状态标识改为挂起或解挂。

在整个过程中，电信智能卡向CA发送的证书挂起请求上行命令数据信息描述如表11所示：

表11、证书挂起请求报文结构

具体的证书解挂请求上行命令数据信息描述如表12所示：

表12、证书解挂请求报文结构

整个过程中，CA向电信智能卡发送的下行报文结构如表4所示。

具体的证书挂起响应下行命令数据信息描述如表13所示：

  项目  名称  长度(字节)  值  说明  命令类型  证书挂起响应  1  4

表13、证书挂起响应报文结构

具体的证书解挂响应下行命令数据信息描述如表14所示：

表14、证书解挂响应报文结构

下面通过图8，将数字证书挂起或解挂的过程进行详细说明，图8为数字证书挂起或解挂的流程示意图。

当用户在STK菜单选择证书挂起或解挂时，电信智能卡会生成证书挂起请求或证书解挂申请的上行短信发送到CA，具体流程如下：

S801、用户在STK菜单选择“证书挂起”或“证书解挂”选项。

S802、电信智能卡的证书管理模块单元通过电信智能卡的微处理器对电信智能卡的存储器中存储的证书序列号进行签名，并生成证书挂起请求或证书解挂请求的上行短信。

S803、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送证书挂起请求或证书解挂请求。

S804、CA验证成功后，向移动终端发送挂起成功消息或解挂成功消息的下行短信。

S805、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的挂起成功消息或解挂成功消息。

S806、电信智能卡的证书管理模块单元通过电信智能卡的微处理器将数字证书的状态标识改为挂起或解挂。

S807、电信智能卡的证书管理模块单元通过移动终端的显示屏将挂起或解挂的结果显示给用户，完成证书挂起或解挂。

本发明实施例提供的基于电信智能卡的数字证书管理方法，电信智能卡通过移动终端能够向CA发送数字证书挂起或解挂请求，然后CA根据接收的数字证书挂起或解挂请求，挂起或解挂数字证书，并将挂起或解挂结果返回给电信智能卡。因此电信智能卡能够实现与CA通过空中通道进行数字证书的挂起或解挂，能够实现数字证书管理，进而可以加强移动电子商务的安全性。

下面以用户通过STK菜单查询数字证书为例，进行说明，如图9所示，其操作流程可以为：

S901、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送证书状态查询请求。

S902、CA验证成功后，完成数字证书状态查询，并向移动终端发送数字证书的状态信息。

S903、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书的状态信息。

S904、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，通过移动终端显示屏将数字证书的状态信息显示给用户。

在整个过程中，电信智能卡向CA发送证书查询请求上行命令数据信息描述如表15所示：

表15、证书查询请求报文结构

整个过程中，CA向电信智能卡发送的下行报文结构如表4所示。

具体的证书查询响应下行命令数据信息描述如表16所示：

表16、数字证书查询响应报文结构

下面通过图10，将数字证书查询的过程进行详细说明，图10为数字证书查询的流程示意图。

当用户在STK菜单选择证书查询时，电信智能卡会生成证书查询申请的上行短信发送到CA，具体流程如下：

S1001、用户在STK菜单选择“证书状态查询”选项。

S1002、电信智能卡的证书管理模块单元通过电信智能卡的微处理器对电信智能卡的存储器中存储的证书序列号进行签名，并生成证书状态查询请求的上行短信。

S1003、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，利用移动终端的天线通过无线网络向CA发送证书状态查询请求。

S1004、CA验证成功后，向移动终端发送数字证书状态信息的下行短信。

S1005、电信智能卡的证书管理模块单元通过电信智能卡的微处理器调用电信智能卡的I/O口，获取通过移动终端的天线接收到的CA返回的数字证书状态信息。

S1006、电信智能卡的证书管理模块单元通过移动终端的显示屏将数字证书状态显示给用户，完成证书状态查询。

本发明实施例提供的基于电信智能卡的数字证书管理方法，电信智能卡通过移动终端能够向CA发送数字证书查询请求，然后CA根据接收的数字证书查询请求，查询数字证书，并将查询结果返回给电信智能卡。因此电信智能卡能够实现与CA通过空中通道进行数字证书的查询，能够实现数字证书管理，进而可以加强移动电子商务的安全性。

本发明实施例提供的电信智能卡11，如图11所示，该电信智能卡包括芯片，该芯片包括：I/O口1101、微处理器1102和存储器1103，其中I/O口1101和存储器1103分别与微处理器1102电连接。该电信智能卡还包括证书管理模块单元1104，该证书管理模块单元1104用于通过微处理器1102调用I/O口1101向CA发送数字证书操作请求，以及接收CA返回的操作结果。

具体的，由于电信智能卡11插入移动终端后才能使用，所以在本实施例提供的电信智能卡11插入终移动端后，移动终端即可与无线网络连接。在用户通过键盘在屏幕中选择了相应的数字证书管理操作后，电信智能卡11中的证书管理模块单元1103就会通过微处理器1102调用I/O口1101，利用移动终端的天线采用数据短信或BIP方式向CA发送相应请求；并经由移动终端的天线采用数据短信或BIP方式，通过微处理器1102调用I/O口1101接收CA返回的结果，需要进行存储的，证书管理模块单元1103还会通过微处理器1102调用存储器1103进行存储。

本发明实施例提供的电信智能卡，能够通过移动终端向CA发送数字证书操作请求，并接收CA返回的操作结果。实现了现有技术中通过USB KEY+软件客户端的形式进行的数字证书管理，有效利用了电信智能卡中的微处理器，在卡内实现了数字证书管理，使得电信智能卡与PKI技术相结合，实现了无线互联网上的PKI应用，加强了移动电子商务的安全性。

进一步地，证书管理模块单元1104进一步包括以下各子模块单元中的一个或多个。在本实施例中，如图12所示，假设证书管理模块单元1104包括以下所有子单元模块。

证书申请子模块单元11041，用于通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书申请请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书；通过微处理器1102调用存储器1103存储数字证书；通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书发布请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书发布成功消息。

证书撤销子模块单元11042，用于通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书撤销请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书撤销成功消息；通过微处理器1102删除存储器1103中存储的数字证书。

证书更新子模块单元11043，用于通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书撤销请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书撤销成功消息；通过微处理器1102删除存储器1103中存储的数字证书；通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书申请请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书；通过微处理器1102调用存储器1103存储数字证书；通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书发布请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书发布成功消息。

证书挂起子模块单元11044，用于通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书挂起求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的挂起成功消息；通过微处理器1102将数字证书的状态标识改为挂起。

证书解挂子模块单元11045，用于通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书解挂请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的解挂成功消息；通过微处理器1102将数字证书的状态标识改为解挂。

证书状态查询子模块单元11046，用于通过微处理器1102调用I/O口1101，利用移动终端的天线通过无线网络向CA发送数字证书查询请求；通过微处理器1102调用I/O口1101，获取通过移动终端的天线接收到的CA返回的数字证书的状态信息；通过微处理器1102调用I/O口1101，通过移动终端显示屏将数字证书的状态信息显示给用户。

由此，本发明实施例提供的电信智能卡，在电信智能卡内实现了数字证书的申请、撤销、更新、挂起、解挂、查询管理。

进一步地，电信智能卡11的证书管理模块单元1104通过微处理器1102调用I/O口，利用移动终端的天线通过无线网络采用数据短信或BIP方式向CA发送数字证书操作请求，以及接收CA返回的操作结果。

另外，电信智能卡11的证书管理模块单元1104通过微处理器1102调用I/O口，利用移动终端的天线通过无线网络向CA发送的数字证书操作请求和接收的CA返回的操作结果的报文结构包括：安全数据信息和命令数据信息。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。