專利名稱：無簽名算法模塊射頻cpu卡實現(xiàn)數(shù)字簽名的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，主要用于電子政務(wù)、電子商務(wù)、一卡通、醫(yī)療、衛(wèi)生等領(lǐng)域中。
背景技術(shù)：
自2004年“中華人民共和國電子簽名法”發(fā)布以來，電子簽名在電子政務(wù)、電子商務(wù)、醫(yī)療、衛(wèi)生、社保等領(lǐng)域得到廣泛的應(yīng)用，特別IC卡作為載體的數(shù)字簽名受到了醫(yī)療、 衛(wèi)生、社保等領(lǐng)域的歡迎，通常接觸式IC卡具有簽名算法模塊，可以實現(xiàn)數(shù)字簽名，由于簽名算法模塊需要大功率支持才能正常運(yùn)行，而非接觸IC卡是采用天線感應(yīng)的能量供電，所以具有簽名算法模塊非接觸IC卡很少，并且成本是接觸式IC卡的2倍多，為了降低成本， 如果采用無簽名模塊的非接觸IC卡，則實現(xiàn)數(shù)字簽名相當(dāng)困難，所以，目前還沒有實現(xiàn)無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的理論和應(yīng)用案例。

發(fā)明內(nèi)容
本發(fā)明的目的在于，克服現(xiàn)有技術(shù)的不足，提供了一種無簽名算法模塊射頻CPU 卡實現(xiàn)數(shù)字簽名的方法，整個過程用戶的簽名私鑰沒有被泄露，符合國家簽名標(biāo)準(zhǔn)規(guī)范的要求，從而實現(xiàn)了無簽名模塊的射頻CPU卡完成數(shù)字簽名的方法，解決了目前無簽名模塊的射頻CUP卡無法實現(xiàn)數(shù)字簽名的難題，同時也降低了用戶卡的成本。為解決上述技術(shù)問題，本發(fā)明的技術(shù)方案為一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，包括
A、射頻用戶卡的簽名私鑰密文傳輸?shù)絊AM卡中，采用SAM卡的簽名模塊完成數(shù)字簽
名；
B、射頻卡讀卡器獲取的密文私鑰不回傳到PC機(jī)，并且不保留在讀卡器內(nèi)。本發(fā)明一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法包括的步驟
1)持卡用戶首先由鍵盤設(shè)備輸入個人PIN碼，經(jīng)過讀卡器驗證用戶卡個人密碼，取得使用個人簽名私鑰和簽名證書的權(quán)限。2)獲取用戶卡各級分散因子和用戶卡編號傳入SAM卡，有SAM卡根據(jù)各級分散因子和用戶卡編號分散出與用戶卡的傳輸密鑰相等的傳輸密鑰。3)用戶卡產(chǎn)生過程密鑰，采用用戶卡中的傳輸密鑰將過程密鑰加密產(chǎn)生密文過程密鑰，有讀卡器讀取密文過程密鑰傳入SAM卡中，SAM卡用傳輸密鑰對密文過程密鑰解密獲取過程密鑰。4)用戶卡采用過程密鑰將簽名私鑰加密產(chǎn)生密文簽名私鑰，讀卡器讀取密文簽名私鑰傳入SAM卡中，SAM卡用過程密鑰對密文簽名私鑰解密獲得用戶簽名私鑰，射頻卡讀卡器獲取的密文私鑰時不回傳到PC機(jī)，并且不保留在讀卡器內(nèi)。5)將用戶的報文數(shù)據(jù)摘要送入SAM卡中，SAM卡采用用戶的簽名私鑰對報文數(shù)據(jù)摘要進(jìn)行簽名得到簽名值。
6) SAM卡銷毀SAM卡中的簽名私鑰。本發(fā)明提供了一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，所述簽名算法模塊是指非對稱密鑰算法模塊如SM2、ECC和RSA算法模塊，所述數(shù)字簽名是指用代表個人身份非對稱密鑰算法的私鑰對報文數(shù)據(jù)摘要(又稱特征數(shù)據(jù))進(jìn)行加密而得到的簽名值，代替書寫的簽名或印章，所述傳輸密鑰是指數(shù)據(jù)傳輸過程的密鑰，所述過程密鑰是指MAC和數(shù)據(jù)加密過程的密鑰，所述待簽名摘要信息是指報文信息的32字節(jié)的HASH 值，所述根密鑰是指有密鑰系統(tǒng)產(chǎn)生的根密鑰，所述子密鑰是指按照密鑰分散標(biāo)準(zhǔn)有根密鑰和分散因子所生成的密鑰，所述分散因子是指密鑰系統(tǒng)所規(guī)定的數(shù)據(jù)，所述SAM卡是指具有簽名算法模塊的安全存儲模塊卡，SAM卡裝有多套安全管理根密鑰，用戶卡為無簽名算法模塊射頻CPU卡，用戶卡內(nèi)創(chuàng)建專用證書應(yīng)用目錄，在證書應(yīng)用目錄下裝有簽名私鑰、簽名證書和與SAM卡安全管理根密鑰匹配的多套按級分散的管理密鑰，簽名私鑰和簽名證書的讀取、寫入和更新受卡內(nèi)的管理密鑰控制。用接觸時具有簽名算法模塊的CPU卡作為SAM卡，在SAM卡中裝載多套安全管理根密鑰，用無簽名算法模塊的射頻CPU卡作為用戶卡，在用戶卡內(nèi)建立數(shù)字證書專用應(yīng)用目錄，在證書應(yīng)用目錄下裝有簽名私鑰、簽名證書和與SAM卡安全管理根密鑰匹配的多套按級分散的管理密鑰，為確保用戶卡中數(shù)字證書應(yīng)用目錄的安全性，簽名私鑰和簽名證書的讀取、寫入和更新受卡內(nèi)的管理密鑰控制，實現(xiàn)數(shù)字簽名時，將用戶的簽名私鑰密文傳輸?shù)絊AM卡中，在SAM卡中恢復(fù)出用戶私鑰，采用SAM卡的簽名算法模塊完成用戶私鑰實現(xiàn)數(shù)字簽名，簽名完成后，SAM卡立刻銷毀用戶簽名私鑰，整個過程用戶的簽名私鑰沒有被泄露，符合國家簽名標(biāo)準(zhǔn)規(guī)范的要求，從而實現(xiàn)了無簽名模塊的射頻CPU卡完成數(shù)字簽名的方法，解決了目前無簽名模塊的射頻CUP卡無法實現(xiàn)數(shù)字簽名的難題，同時也降低了用戶卡的成本。本發(fā)明的有益效果是一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，將無簽名算法模塊射頻CPU卡中的私鑰密文傳輸?shù)絊AM卡中，采用SAM卡的簽名算法模塊實現(xiàn)數(shù)字簽名，由于用戶的私鑰傳輸?shù)絊AM卡過程中，是密文傳輸?shù)模⑶液灻瓿珊罅⒖啼N毀SAM卡中的用戶私鑰，所以沒有出現(xiàn)私鑰泄漏，符合國家簽名標(biāo)準(zhǔn)規(guī)范的要求，簽名值有效，不僅實現(xiàn)了無簽名算法模塊射頻CPU卡的數(shù)字簽名，而且降低的用戶卡的成本，真正解決了無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的難題。


圖1無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法流程圖， 圖2連接框圖，
圖3用戶卡證書應(yīng)用文件結(jié)構(gòu)圖。
具體實施例方式
以下通過一個簡單的數(shù)字簽名模型來描述本發(fā)明的內(nèi)容，但不構(gòu)成對本發(fā)明的限制。圖1所示無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名流程模型圖，
圖2顯示了用戶卡、SAM卡、讀卡器和PC機(jī)連接關(guān)系，SAM卡插到射頻讀卡器內(nèi)的SAM 卡插槽，讀卡器鏈接PC機(jī)，PC機(jī)應(yīng)用程序經(jīng)過射頻卡讀卡器訪問射頻用戶卡。圖3所示射頻用戶CPU卡建立證書應(yīng)用文件結(jié)構(gòu)，文件結(jié)構(gòu)中的各文件描述如表 1所示，
權(quán)利要求
1.一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，包括下列步驟A、射頻用戶卡的簽名私鑰密文傳輸?shù)絊AM卡中，采用SAM卡的簽名模塊完成數(shù)字簽名；B、射頻卡讀卡器獲取的密文私鑰不回傳到PC機(jī)，并且不保留在讀卡器內(nèi)。
2.如權(quán)利要求1所述的一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，其特征在于，包括以下步驟1)持卡用戶首先由鍵盤設(shè)備輸入個人PIN碼，經(jīng)過讀卡器驗證用戶卡個人密碼，取得使用個人簽名私鑰和簽名證書的權(quán)限；2)獲取用戶卡各級分散因子和用戶卡編號傳入SAM卡，有SAM卡根據(jù)各級分散因子和用戶卡編號分散出與用戶卡的傳輸密鑰相等的傳輸密鑰；3)用戶卡產(chǎn)生過程密鑰，采用用戶卡中的傳輸密鑰將過程密鑰加密產(chǎn)生密文過程密鑰，有讀卡器讀取密文過程密鑰傳入SAM卡中，SAM卡用傳輸密鑰對密文過程密鑰解密獲取過程密鑰；4)用戶卡采用過程密鑰將簽名私鑰加密產(chǎn)生密文簽名私鑰，讀卡器讀取密文簽名私鑰傳入SAM卡中，SAM卡用過程密鑰對密文簽名私鑰解密獲得用戶簽名私鑰，射頻卡讀卡器獲取的密文私鑰時不回傳到PC機(jī)，并且不保留在讀卡器內(nèi)；5)將用戶的報文數(shù)據(jù)摘要送入SAM卡中，SAM卡采用用戶的簽名私鑰對報文數(shù)據(jù)摘要進(jìn)行簽名得到簽名值；6)SAM卡銷毀SAM卡中的簽名私鑰。
3.如權(quán)利要求1或2所述的一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，其特征在于，所述簽名算法總類包含并不限于SM2、ECC和RSA。
全文摘要
本發(fā)明涉及一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，主要用于電子政務(wù)、電子商務(wù)、一卡通、醫(yī)療、衛(wèi)生等領(lǐng)域中。一種無簽名算法模塊射頻CPU卡實現(xiàn)數(shù)字簽名的方法，包括下列步驟A、射頻用戶卡的簽名私鑰密文傳輸?shù)絊AM卡中，采用SAM卡的簽名模塊完成數(shù)字簽名；B、射頻卡讀卡器獲取的密文私鑰不回傳到PC機(jī)，并且不保留在讀卡器內(nèi)。整個過程用戶的簽名私鑰沒有被泄露，符合國家簽名標(biāo)準(zhǔn)規(guī)范的要求，從而實現(xiàn)了無簽名模塊的射頻CPU卡完成數(shù)字簽名的方法，解決了目前無簽名模塊的射頻CUP卡無法實現(xiàn)數(shù)字簽名的難題，同時也降低了用戶卡的成本。
文檔編號H04L9/32GK102355354SQ201110236040
公開日2012年2月15日 申請日期2011年8月17日 優(yōu)先權(quán)日2011年8月17日
發(fā)明者李秀芳 申請人:山東省數(shù)字證書認(rèn)證管理有限公司