[发明专利]无签名算法模块射频CPU卡实现数字签名的方法

说明书

技术领域

本发明涉及一种无签名算法模块射频CPU卡实现数字签名的方法，主要用于电子政务、电子商务、一卡通、医疗、卫生等领域中。

背景技术

自2004年“中华人民共和国电子签名法”发布以来，电子签名在电子政务、电子商务、医疗、卫生、社保等领域得到广泛的应用，特别IC卡作为载体的数字签名受到了医疗、卫生、社保等领域的欢迎，通常接触式IC卡具有签名算法模块，可以实现数字签名，由于签名算法模块需要大功率支持才能正常运行，而非接触IC卡是采用天线感应的能量供电，所以具有签名算法模块非接触IC卡很少，并且成本是接触式IC卡的2倍多，为了降低成本，如果采用无签名模块的非接触IC卡，则实现数字签名相当困难,所以，目前还没有实现无签名算法模块射频CPU卡实现数字签名的理论和应用案例。

发明内容

本发明的目的在于，克服现有技术的不足，提供了一种无签名算法模块射频CPU卡实现数字签名的方法，整个过程用户的签名私钥没有被泄露，符合国家签名标准规范的要求，从而实现了无签名模块的射频CPU卡完成数字签名的方法，解决了目前无签名模块的射频CUP卡无法实现数字签名的难题，同时也降低了用户卡的成本。

为解决上述技术问题，本发明的技术方案为：一种无签名算法模块射频CPU卡实现数字签名的方法，包括：

A、射频用户卡的签名私钥密文传输到SAM卡中，采用SAM卡的签名模块完成数字签名；

B、射频卡读卡器获取的密文私钥不回传到PC机，并且不保留在读卡器内。

本发明一种无签名算法模块射频CPU卡实现数字签名的方法包括的步骤：

1）持卡用户首先由键盘设备输入个人PIN码，经过读卡器验证用户卡个人密码，取得使用个人签名私钥和签名证书的权限。

2）获取用户卡各级分散因子和用户卡编号传入SAM卡，有SAM卡根据各级分散因子和用户卡编号分散出与用户卡的传输密钥相等的传输密钥。

3）用户卡产生过程密钥，采用用户卡中的传输密钥将过程密钥加密产生密文过程密钥，有读卡器读取密文过程密钥传入SAM卡中，SAM卡用传输密钥对密文过程密钥解密获取过程密钥。

4）用户卡采用过程密钥将签名私钥加密产生密文签名私钥，读卡器读取密文签名私钥传入SAM卡中，SAM卡用过程密钥对密文签名私钥解密获得用户签名私钥，射频卡读卡器获取的密文私钥时不回传到PC机，并且不保留在读卡器内。

5）将用户的报文数据摘要送入SAM卡中，SAM卡采用用户的签名私钥对报文数据摘要进行签名得到签名值。

6）SAM卡销毁SAM卡中的签名私钥。

本发明提供了一种无签名算法模块射频CPU卡实现数字签名的方法，所述签名算法模块是指：非对称密钥算法模块如SM2、ECC和RSA算法模块，所述数字签名是指：用代表个人身份非对称密钥算法的私钥对报文数据摘要（又称特征数据）进行加密而得到的签名值，代替书写的签名或印章，所述传输密钥是指：数据传输过程的密钥，所述过程密钥是指：MAC 和数据加密过程的密钥，所述待签名摘要信息是指：报文信息 的32 字节的HASH 值，所述根密钥是指：有密钥系统产生的根密钥，所述子密钥是指：按照密钥分散标准有根密钥和分散因子所生成的密钥，所述分散因子是指：密钥系统所规定的数据，所述SAM卡是指：具有签名算法模块的安全存储模块卡， SAM卡装有多套安全管理根密钥，用户卡为无签名算法模块射频CPU卡，用户卡内创建专用证书应用目录，在证书应用目录下装有签名私钥、签名证书和与SAM卡安全管理根密钥匹配的多套按级分散的管理密钥，签名私钥和签名证书的读取、写入和更新受卡内的管理密钥控制。

用接触时具有签名算法模块的CPU卡作为SAM卡，在SAM卡中装载多套安全管理根密钥，用无签名算法模块的射频CPU卡作为用户卡，在用户卡内建立数字证书专用应用目录，在证书应用目录下装有签名私钥、签名证书和与SAM卡安全管理根密钥匹配的多套按级分散的管理密钥，为确保用户卡中数字证书应用目录的安全性，签名私钥和签名证书的读取、写入和更新受卡内的管理密钥控制，实现数字签名时，将用户的签名私钥密文传输到SAM卡中，在SAM卡中恢复出用户私钥，采用SAM卡的签名算法模块完成用户私钥实现数字签名，签名完成后，SAM卡立刻销毁用户签名私钥，整个过程用户的签名私钥没有被泄露，符合国家签名标准规范的要求，从而实现了无签名模块的射频CPU卡完成数字签名的方法，解决了目前无签名模块的射频CUP卡无法实现数字签名的难题，同时也降低了用户卡的成本。