专利名称:无签名算法模块射频cpu卡实现数字签名的方法
技术领域:
本发明涉及一种无签名算法模块射频CPU卡实现数字签名的方法,主要用于电子政务、电子商务、一卡通、医疗、卫生等领域中。
背景技术:
自2004年“中华人民共和国电子签名法”发布以来,电子签名在电子政务、电子商务、医疗、卫生、社保等领域得到广泛的应用,特别IC卡作为载体的数字签名受到了医疗、 卫生、社保等领域的欢迎,通常接触式IC卡具有签名算法模块,可以实现数字签名,由于签名算法模块需要大功率支持才能正常运行,而非接触IC卡是采用天线感应的能量供电,所以具有签名算法模块非接触IC卡很少,并且成本是接触式IC卡的2倍多,为了降低成本, 如果采用无签名模块的非接触IC卡,则实现数字签名相当困难,所以,目前还没有实现无签名算法模块射频CPU卡实现数字签名的理论和应用案例。
发明内容
本发明的目的在于,克服现有技术的不足,提供了一种无签名算法模块射频CPU 卡实现数字签名的方法,整个过程用户的签名私钥没有被泄露,符合国家签名标准规范的要求,从而实现了无签名模块的射频CPU卡完成数字签名的方法,解决了目前无签名模块的射频CUP卡无法实现数字签名的难题,同时也降低了用户卡的成本。为解决上述技术问题,本发明的技术方案为一种无签名算法模块射频CPU卡实现数字签名的方法,包括
A、射频用户卡的签名私钥密文传输到SAM卡中,采用SAM卡的签名模块完成数字签
名;
B、射频卡读卡器获取的密文私钥不回传到PC机,并且不保留在读卡器内。本发明一种无签名算法模块射频CPU卡实现数字签名的方法包括的步骤
1)持卡用户首先由键盘设备输入个人PIN码,经过读卡器验证用户卡个人密码,取得使用个人签名私钥和签名证书的权限。2)获取用户卡各级分散因子和用户卡编号传入SAM卡,有SAM卡根据各级分散因子和用户卡编号分散出与用户卡的传输密钥相等的传输密钥。3)用户卡产生过程密钥,采用用户卡中的传输密钥将过程密钥加密产生密文过程密钥,有读卡器读取密文过程密钥传入SAM卡中,SAM卡用传输密钥对密文过程密钥解密获取过程密钥。4)用户卡采用过程密钥将签名私钥加密产生密文签名私钥,读卡器读取密文签名私钥传入SAM卡中,SAM卡用过程密钥对密文签名私钥解密获得用户签名私钥,射频卡读卡器获取的密文私钥时不回传到PC机,并且不保留在读卡器内。5)将用户的报文数据摘要送入SAM卡中,SAM卡采用用户的签名私钥对报文数据摘要进行签名得到签名值。
6) SAM卡销毁SAM卡中的签名私钥。本发明提供了一种无签名算法模块射频CPU卡实现数字签名的方法,所述签名算法模块是指非对称密钥算法模块如SM2、ECC和RSA算法模块,所述数字签名是指用代表个人身份非对称密钥算法的私钥对报文数据摘要(又称特征数据)进行加密而得到的签名值,代替书写的签名或印章,所述传输密钥是指数据传输过程的密钥,所述过程密钥是指MAC和数据加密过程的密钥,所述待签名摘要信息是指报文信息的32字节的HASH 值,所述根密钥是指有密钥系统产生的根密钥,所述子密钥是指按照密钥分散标准有根密钥和分散因子所生成的密钥,所述分散因子是指密钥系统所规定的数据,所述SAM卡是指具有签名算法模块的安全存储模块卡,SAM卡装有多套安全管理根密钥,用户卡为无签名算法模块射频CPU卡,用户卡内创建专用证书应用目录,在证书应用目录下装有签名私钥、签名证书和与SAM卡安全管理根密钥匹配的多套按级分散的管理密钥,签名私钥和签名证书的读取、写入和更新受卡内的管理密钥控制。用接触时具有签名算法模块的CPU卡作为SAM卡,在SAM卡中装载多套安全管理根密钥,用无签名算法模块的射频CPU卡作为用户卡,在用户卡内建立数字证书专用应用目录,在证书应用目录下装有签名私钥、签名证书和与SAM卡安全管理根密钥匹配的多套按级分散的管理密钥,为确保用户卡中数字证书应用目录的安全性,签名私钥和签名证书的读取、写入和更新受卡内的管理密钥控制,实现数字签名时,将用户的签名私钥密文传输到SAM卡中,在SAM卡中恢复出用户私钥,采用SAM卡的签名算法模块完成用户私钥实现数字签名,签名完成后,SAM卡立刻销毁用户签名私钥,整个过程用户的签名私钥没有被泄露,符合国家签名标准规范的要求,从而实现了无签名模块的射频CPU卡完成数字签名的方法,解决了目前无签名模块的射频CUP卡无法实现数字签名的难题,同时也降低了用户卡的成本。本发明的有益效果是一种无签名算法模块射频CPU卡实现数字签名的方法,将无签名算法模块射频CPU卡中的私钥密文传输到SAM卡中,采用SAM卡的签名算法模块实现数字签名,由于用户的私钥传输到SAM卡过程中,是密文传输的,并且签名完成后立刻销毁SAM卡中的用户私钥,所以没有出现私钥泄漏,符合国家签名标准规范的要求,签名值有效,不仅实现了无签名算法模块射频CPU卡的数字签名,而且降低的用户卡的成本,真正解决了无签名算法模块射频CPU卡实现数字签名的难题。
图1无签名算法模块射频CPU卡实现数字签名的方法流程图, 图2连接框图,
图3用户卡证书应用文件结构图。
具体实施例方式
以下通过一个简单的数字签名模型来描述本发明的内容,但不构成对本发明的限制。图1所示无签名算法模块射频CPU卡实现数字签名流程模型图,
图2显示了用户卡、SAM卡、读卡器和PC机连接关系,SAM卡插到射频读卡器内的SAM 卡插槽,读卡器链接PC机,PC机应用程序经过射频卡读卡器访问射频用户卡。图3所示射频用户CPU卡建立证书应用文件结构,文件结构中的各文件描述如表 1所示,
权利要求
1.一种无签名算法模块射频CPU卡实现数字签名的方法,包括下列步骤A、射频用户卡的签名私钥密文传输到SAM卡中,采用SAM卡的签名模块完成数字签名;B、射频卡读卡器获取的密文私钥不回传到PC机,并且不保留在读卡器内。
2.如权利要求1所述的一种无签名算法模块射频CPU卡实现数字签名的方法,其特征在于,包括以下步骤1)持卡用户首先由键盘设备输入个人PIN码,经过读卡器验证用户卡个人密码,取得使用个人签名私钥和签名证书的权限;2)获取用户卡各级分散因子和用户卡编号传入SAM卡,有SAM卡根据各级分散因子和用户卡编号分散出与用户卡的传输密钥相等的传输密钥;3)用户卡产生过程密钥,采用用户卡中的传输密钥将过程密钥加密产生密文过程密钥,有读卡器读取密文过程密钥传入SAM卡中,SAM卡用传输密钥对密文过程密钥解密获取过程密钥;4)用户卡采用过程密钥将签名私钥加密产生密文签名私钥,读卡器读取密文签名私钥传入SAM卡中,SAM卡用过程密钥对密文签名私钥解密获得用户签名私钥,射频卡读卡器获取的密文私钥时不回传到PC机,并且不保留在读卡器内;5)将用户的报文数据摘要送入SAM卡中,SAM卡采用用户的签名私钥对报文数据摘要进行签名得到签名值;6)SAM卡销毁SAM卡中的签名私钥。
3.如权利要求1或2所述的一种无签名算法模块射频CPU卡实现数字签名的方法,其特征在于,所述签名算法总类包含并不限于SM2、ECC和RSA。
全文摘要
本发明涉及一种无签名算法模块射频CPU卡实现数字签名的方法,主要用于电子政务、电子商务、一卡通、医疗、卫生等领域中。一种无签名算法模块射频CPU卡实现数字签名的方法,包括下列步骤A、射频用户卡的签名私钥密文传输到SAM卡中,采用SAM卡的签名模块完成数字签名;B、射频卡读卡器获取的密文私钥不回传到PC机,并且不保留在读卡器内。整个过程用户的签名私钥没有被泄露,符合国家签名标准规范的要求,从而实现了无签名模块的射频CPU卡完成数字签名的方法,解决了目前无签名模块的射频CUP卡无法实现数字签名的难题,同时也降低了用户卡的成本。
文档编号H04L9/32GK102355354SQ201110236040
公开日2012年2月15日 申请日期2011年8月17日 优先权日2011年8月17日
发明者李秀芳 申请人:山东省数字证书认证管理有限公司