[发明专利]一种物理扩展的CA数字签名方法及其CA数字签名装置

说明书

技术领域

本发明涉及CA数字签名技术，特别是涉及一种物理扩展的CA数字签名方法及其CA数字签名装置。

背景技术

目前使用的CA数字签名装置具有一定的存储空间，可以存储数字证书和用户私钥，同时内置单片机或智能卡芯片，利用公钥算法实现对用户身份的认证。由于用户私钥保存在签名装置中，理论上任何方式都无法读取，因此保证了用户认证的安全性。

但是，当前使用的数字签名装置存在两大安全漏洞：

1、可能存在冒名顶替的非法操作。黑客通过植入木马程序，可以远程控制，冒用用户的CA数字签名进行身份认证，用户却无法知晓。

2、无法杜绝交易数据被篡改。用户输入数据在送入数字签名装置加密前，可能被黑客拦截并篡改为另外一组数据，这样的篡改交易会在用户不知情的情况下通过认证。

发明内容

本发明所要解决的技术问题就是为了克服上述现有技术存在的缺陷而提供一种物理扩展的CA数字签名方法及其CA数字签名装置。

本发明的目的可以通过以下技术方案来实现：一种物理扩展的CA数字签名方法，其特征在于，包括以下步骤：

(1)计算机向数字签名单元发出签名请求；

(2)数字签名单元接受到签名请求后，指令扩展键盘进入预备状态，等待用户输入；

(3)扩展键盘接收到用户输入的交易数据以及确认指令后，将交易数据发送到数字签名单元；

(4)数字签名单元接收到交易数据并生成数字签名，采用用户私钥对交易数据以及数字签名进行加密后，将交易数据以及数字签名发送给计算机。

一种物理扩展的CA数字签名装置，包括计算机、CA数字签名单元以及扩展键盘，所述的计算机、CA数字签名单元以及扩展键盘依次连接。

所述的CA数字签名单元上设有USB接口，所述的CA数字签名单元通过USB接口与计算机连接。

所述的CA数字签名单元内设有存储模块以及智能卡芯片，所述的存储模块与智能卡芯片连接。

所述的扩展键盘采用带确认键的小键盘。

所述的扩展键盘采用标准键盘。

本发明区别于以往的数字签名装置，具有独立的扩展物理键盘输入端，并包括以下优点：

1、有效防止交易数据被篡改：当用户需要进行数字签名和身份验证时，就要通过扩展键盘向数字签名单元输入交易数据，而不经过计算机。发送到电脑主机上的数字签名和交易数据是数字签名单元加密后的信息，黑客即使截获也是无用的乱码，如果修改，数字签名就会失效。

2、杜绝冒名顶替的非法认证：用户输入交易数据后，要在扩展键盘上点击确认才能激活数字签名，这样就避免了木马程序盗用签名，发起非法的交易认证。

附图说明

图1为本发明的一种物理扩展的CA数字签名方法的流程图；

图2为本发明的一种物理扩展的CA数字签名方法的原理图；

图3为本发明的一种物理扩展的CA数字签名装置的结构示意图。

具体实施方式

下面结合附图对本发明做进一步说明。

如图1所示，一种物理扩展的CA数字签名方法，包括以下步骤：

(1)计算机向数字签名单元发出签名请求；

(2)数字签名单元接受到签名请求后，指令扩展键盘进入预备状态，等待用户输入；

(3)扩展键盘接收到用户输入的交易数据以及确认指令后，将交易数据发送到数字签名单元；

(4)数字签名单元接收到交易数据并生成数字签名，采用用户私钥对交易数据以及数字签名进行加密后，将交易数据以及数字签名发送给计算机。

如图2所示，当用户需要进行数字签名和身份验证时，首先由个人电脑向数字签名单元发出签名请求，数字签名单元随即通知扩展键盘进入预备状态，等待用户输入；当用户在扩展键盘上输入数据并按下确认键后，交易数据直接被发送到数字签名单元进行加密，而不经过计算机；最后，经过用户私钥加密后的加密数据和数字签名被发送到个人电脑上。

如图3所示，一种物理扩展的CA数字签名装置，包括计算机a、CA数字签名单元b以及扩展键盘c，所述的计算机a、CA数字签名单元b以及扩展键盘c依次连接。

所述的CA数字签名单元b上设有USB接口，所述的CA数字签名单元b通过USB接口与计算机1连接；所述的CA数字签名单元b内设有存储模块以及智能卡芯片，所述的存储模块与智能卡芯片连接，可以保存用户私钥，并具有运算加密功能；所述的扩展键盘采用带确认键的小键盘或采用标准键盘。