專利名稱:一種物理擴展的ca數(shù)字簽名方法及其ca數(shù)字簽名裝置的制作方法
技術領域:
本發(fā)明涉 及CA數(shù)字簽名技術���,特別是涉及一種物理擴展的CA數(shù)字簽名方法及 其CA數(shù)字簽名裝置�。
背景技術:
目前使用的CA數(shù)字簽名裝置具有一定的存儲空間����,可以存儲數(shù)字證書和用戶私 鑰�����,同時內(nèi)置單片機或智能卡芯片���,利用公鑰算法實現(xiàn)對用戶身份的認證�����。由于用戶私 鑰保存在簽名裝置中��,理論上任何方式都無法讀取���,因此保證了用戶認證的安全性���。但是,當前使用的數(shù)字簽名裝置存在兩大安全漏洞1���、可能存在冒名頂替的非法操作�����。黑客通過植入木馬程序����,可以遠程控制���,冒 用用戶的CA數(shù)字簽名進行身份認證�����,用戶卻無法知曉��。2��、無法杜絕交易數(shù)據(jù)被篡改��。用戶輸入數(shù)據(jù)在送入數(shù)字簽名裝置加密前�,可 能被黑客攔截并篡改為另外一組數(shù)據(jù),這樣的篡改交易會在用戶不知情的情況下通過認 證�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題就是為了克服上述現(xiàn)有技術存在的缺陷而提供一種 物理擴展的CA數(shù)字簽名方法及其CA數(shù)字簽名裝置。本發(fā)明的目的可以通過以下技術方案來實現(xiàn)一種物理擴展的CA數(shù)字簽名方 法���,其特征在于�,包括以下步驟(1)計算機向數(shù)字簽名單元發(fā)出簽名請求����;(2)數(shù)字簽名單元接受到簽名請求后,指令擴展鍵盤進入預備狀態(tài)����,等待用戶輸 入;(3)擴展鍵盤接收到用戶輸入的交易數(shù)據(jù)以及確認指令后�����,將交易數(shù)據(jù)發(fā)送到數(shù) 字簽名單元�;(4)數(shù)字簽名單元接收到交易數(shù)據(jù)并生成數(shù)字簽名,采用用戶私鑰對交易數(shù)據(jù)以 及數(shù)字簽名進行加密后���,將交易數(shù)據(jù)以及數(shù)字簽名發(fā)送給計算機��。一種物理擴展的CA數(shù)字簽名裝置����,包括計算機�、CA數(shù)字簽名單元以及擴展鍵 盤,所述的計算機����、CA數(shù)字簽名單元以及擴展鍵盤依次連接。所述的CA數(shù)字簽名單元上設有USB接口��,所述的CA數(shù)字簽名單元通過USB 接口與計算機連接����。所述的CA數(shù)字簽名單元內(nèi)設有存儲模塊以及智能卡芯片,所述的存儲模塊與智 能卡芯片連接。所述的擴展鍵盤采用帶確認鍵的小鍵盤��。所述的擴展鍵盤采用標準鍵盤�����。本發(fā)明區(qū)別于以往的數(shù)字簽名裝置��,具有獨立的擴展物理鍵盤輸入端���,并包括以下優(yōu)點1���、有效防止交易數(shù)據(jù)被篡改當用戶需要進行數(shù)字簽名和身份驗證時,就要通 過擴展鍵盤向數(shù)字簽名單元輸入交易數(shù)據(jù)�,而不經(jīng)過計算機。發(fā)送到電腦主機上的數(shù)字 簽名和交易數(shù)據(jù)是數(shù)字簽名單元加密后的信息��,黑客即使截獲也是無用的亂碼���,如果修 改�����,數(shù)字簽名就會失效����。2、杜絕冒名頂替 的非法認證用戶輸入交易數(shù)據(jù)后�,要在擴展鍵盤上點擊確認 才能激活數(shù)字簽名�����,這樣就避免了木馬程序盜用簽名���,發(fā)起非法的交易認證���。
圖1為本發(fā)明的一種物理擴展的CA數(shù)字簽名方法的流程圖;圖2為本發(fā)明的一種物理擴展的CA數(shù)字簽名方法的原理圖��;圖3為本發(fā)明的一種物理擴展的CA數(shù)字簽名裝置的結構示意圖�����。
具體實施例方式下面結合附圖對本發(fā)明做進一步說明��。如圖1所示�����,一種物理擴展的CA數(shù)字簽名方法,包括以下步驟(1)計算機向數(shù)字簽名單元發(fā)出簽名請求�;(2)數(shù)字簽名單元接受到簽名請求后,指令擴展鍵盤進入預備狀態(tài)�����,等待用戶輸 入�;(3)擴展鍵盤接收到用戶輸入的交易數(shù)據(jù)以及確認指令后,將交易數(shù)據(jù)發(fā)送到數(shù) 字簽名單元��;(4)數(shù)字簽名單元接收到交易數(shù)據(jù)并生成數(shù)字簽名�,采用用戶私鑰對交易數(shù)據(jù)以 及數(shù)字簽名進行加密后,將交易數(shù)據(jù)以及數(shù)字簽名發(fā)送給計算機�����。如圖2所示�,當用戶需要進行數(shù)字簽名和身份驗證時,首先由個人電腦向數(shù)字 簽名單元發(fā)出簽名請求���,數(shù)字簽名單元隨即通知擴展鍵盤進入預備狀態(tài)����,等待用戶輸 入����;當用戶在擴展鍵盤上輸入數(shù)據(jù)并按下確認鍵后��,交易數(shù)據(jù)直接被發(fā)送到數(shù)字簽名單 元進行加密��,而不經(jīng)過計算機��;最后,經(jīng)過用戶私鑰加密后的加密數(shù)據(jù)和數(shù)字簽名被發(fā) 送到個人電腦上��。如圖3所示����,一種物理擴展的CA數(shù)字簽名裝置,包括計算機a����、CA數(shù)字簽名 單元b以及擴展鍵盤c,所述的計算機a����、CA數(shù)字簽名單元b以及擴展鍵盤c依次連接。所述的CA數(shù)字簽名單元b上設有USB接口��,所述的CA數(shù)字簽名單元b通過 USB接口與計算機1連接����;所述的CA數(shù)字簽名單元b內(nèi)設有存儲模塊以及智能卡芯片��, 所述的存儲模塊與智能卡芯片連接��,可以保存用戶私鑰�����,并具有運算加密功能�;所述的 擴展鍵盤采用帶確認鍵的小鍵盤或采用標準鍵盤�����。
權利要求
1.一種物理擴展的CA數(shù)字簽名方法�,其特征在于,包括以下步驟(1)計算機向數(shù)字簽名單元發(fā)出簽名請求����;(2)數(shù)字簽名單元接受到簽名請求后,指令擴展鍵盤進入預備狀態(tài)��,等待用戶輸入�����;(3)擴展鍵盤接收到用戶輸入的交易數(shù)據(jù)以及確認指令后,將交易數(shù)據(jù)發(fā)送到數(shù)字簽 名單元����;(4)數(shù)字簽名單元接收到交易數(shù)據(jù)并生成數(shù)字簽名,采用用戶私鑰對交易數(shù)據(jù)以及數(shù) 字簽名進行加密后���,將交易數(shù)據(jù)以及數(shù)字簽名發(fā)送給計算機����。
2.—種物理擴展的CA數(shù)字簽名裝置�,其特征在于�����,包括計算機���、CA數(shù)字簽名單元 以及擴展鍵盤��,所述的計算機�、CA數(shù)字簽名單元以及擴展鍵盤依次連接��。
3.根據(jù)權利要求2所述的一種物理擴展的CA數(shù)字簽名裝置���,其特征在于���,所述的 CA數(shù)字簽名單元上設有USB接口���,所述的CA數(shù)字簽名單元通過USB接口與計算機連 接。
4.根據(jù)權利要求3所述的一種物理擴展的CA數(shù)字簽名裝置��,其特征在于����,所述的 CA數(shù)字簽名單元內(nèi)設有存儲模塊以及智能卡芯片,所述的存儲模塊與智能卡芯片連接�。
5.根據(jù)權利要求4所述的一種物理擴展的CA數(shù)字簽名裝置,其特征在于��,所述的擴 展鍵盤采用帶確認鍵的小鍵盤�。
6.根據(jù)權利要求4所述的一種物理擴展的CA數(shù)字簽名裝置,其特征在于���,所述的擴 展鍵盤采用標準鍵盤���。
全文摘要
本發(fā)明涉及一種物理擴展的CA數(shù)字簽名方法,包括以下步驟(1)計算機向數(shù)字簽名單元發(fā)出簽名請求;(2)數(shù)字簽名單元接受到簽名請求后�����,指令擴展鍵盤進入預備狀態(tài)���,等待用戶輸入�;(3)擴展鍵盤接收到用戶輸入的交易數(shù)據(jù)以及確認指令后����,將交易數(shù)據(jù)發(fā)送到數(shù)字簽名單元;(4)數(shù)字簽名單元接收到交易數(shù)據(jù)并生成數(shù)字簽名���,采用用戶私鑰對交易數(shù)據(jù)以及數(shù)字簽名進行加密后��,將交易數(shù)據(jù)以及數(shù)字簽名發(fā)送給計算機。本發(fā)明具有獨立的擴展物理鍵盤輸入端���,有效防止交易數(shù)據(jù)被篡改��,杜絕冒名頂替的非法認證��。
文檔編號H04L9/32GK102025499SQ20091019594
公開日2011年4月20日 申請日期2009年9月18日 優(yōu)先權日2009年9月18日
發(fā)明者周軍明 申請人:周軍明