本发明专利技术的目的是为了满足诸如软件保护之类的应用,在USBKEY中设置一个使用计数器,使被保护软件可以通过检测这个使用计数器,来确定该装置是否还在被其它用户或程序共用,并据此采用相应的保护措施;该使用计数器工作于USBKEY等数字安全设备内部,被安全设备保护,在读出该使用计数器值的过程中,使用计数器的值被公开密钥加密体系中的数字签名所保护。
【技术实现步骤摘要】
本专利技术涉及一种应用于数字签名的装置。技术背景在传统商务活动中,为了保证交易的安全与真实, 一份书面合同或公文要 由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签 字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电 子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的,在电子 文件上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。 能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以 及不可抵赖性,起到与手写签名或者盖章同等作用的签名的电子技术手段,称 之为电子签名。从法律上讲,签名有两个功能即标识签名人和表示签名人对 文件内容的认可。实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普 遍使用的电子签名技术还是基于公开密钥体系的数字签名技术。1976年whitfield. diffie和martin, hellman 首次公开提出了公开密钥 理论,奠定了 pki体系的基础。pki即public key infrastruction的縮写, 也就是所谓公开密钥体系。公开密钥体系是一种利用现代密码学的公钥密码技 术在公开的网络环境中提供数据加密以及数字签名服务的统一的技术框架。常 用的公开密钥算法有rsa、 dsa和deffie. hellman (dh)算法等。使用公开密 钥算法的用户同时拥有匹配的公钥和用户私钥,用户私钥由用户保存且不能漏,公钥则要广泛公开的发布,用户私钥无法通过公钥计算获得。在一般情况下,由于公开密钥体系中使用的算法和公钥都是公开的,使得 所述用户私钥成为公钥体系中最薄弱的环节。为严格地保护用户私钥不被泄漏, 不被越权使用,人们专利技术了众多的用户私钥保护装置,解决用户私钥的保存和使用问题,现在广泛使用的USBKEY即是一种比较好的用户私钥保护装置。USBKEY是一种USB接口的小巧的硬件设备,形状与我们常见的U盘没有什 么两样。但它的内部结构却不简单,它内置了 CPU、存储器、芯片操作系统(COS), 可以存储用户的用户私钥或数字证书,并内置密码算法。USBKEY内置CPU实现 加解密和签名的各种算法在USBKEY内进行,保证了用户私钥不出现在计算机内 存中,从而杜绝了用户私钥被黑客截取的可能性。USBKEY具有安全数据存储空间,可以存储数字证书、用户私钥等秘密数据, USBKEY中私钥的使用在装置内部就地完成,用户不需要也无法将用户私钥导出 到装置外部,从而杜绝了以一个USBKEY为原版,完整复制另外一个存储有相同 用户密钥的USBKEY的可能性。USBKEY —般都具有硬件PIN码保护,PIN码和硬件构成了用户使用USBKEY 的两个必要因素。用户只有同时取得了 USBKEY和用户PIN码,才可以使用USBKEY 中的用户私钥。即使用户的PIN码被泄漏,只要用户持有的USBKEY不被盗取, 合法用户的身份就不会被仿冒;如果用户的USBKEY遗失,拾到者由于不知道用 户PIN码,也无法仿冒合法用户的身份。在现有的数字签名装置的应用中,数字签名装置的持有人一般为权利人, 数字签名装置保护的是装置持有人的某项权利,或者说现有的数字签名装置主 要解决的是用户私钥不被复制和不被合法持有者之外的人盗用的问题。但是,在一些特殊的应用中,装置需要被用来保护装置持有者之外的某人的某项权利,在这种情况下,我们可能就需要有某种手段来确定装置中用户私 钥被使用的情况,例如被使用的次数等等。一个典型的例子是,在将USBKEY用于软件保护时,USBKEY作为软件使用许 可体系中的行权凭证,在同一个时刻, 一般只能被一个用户使用。而在目前的 网络环境下,类似USBKEY之类的装置和设备是非常易于被共享的,如果我们在 USBKEY中设置一个使用计数器,则被保护软件通过检测这个使用计数器,可以 很容易地确定该装置是否还在被其它用户或程序共用,这便是本专利技术的目的
技术实现思路
本专利技术的目的是为了满足诸如软件保护之类的应用,在USBKEY中设置一个 使用计数器,使被保护软件可以通过检测这个使用计数器,来确定该装置是否 还在被其它用户或程序共用。作为一整套安全方案,该使用计数器工作于USBKEY 等数字安全设备内部,被装置的安全体系保护,在读出该使用计数器值的过程 中,使用计数器的值被公开密钥加密体系中的数字签名保护。本专利技术还提出了一种使用所述装置,可靠地确定所述数字签名装置是否在 被多点共享的方法,该方法的要点是在数字签名装置内部设置一个使用计数器, 装置外部的用户或程序通过连续地访问所述使用计数器的值,并通过比较两次 连续访问的结果是否连续,以确定装置是否在被其它用户或程序共享,配套的 安全措施是数字签名装置将使用计数器的值传递到目标位置之前,先对使用计 数器的值进行签名保护,以使信息的接收者既能确定信息的来源,又能确认信 息在传递过程中没有被替换或篡改。本文所述装置和方法可以应用于软件保护,也可应用于网络登录等方面的 应用,例如限制用户在一个时刻只能登录一个服务点。具体实现方式也是通过连续地访问所述使用计数器的值,并比较两次连续访问的结果是否连续,以确 定装置是否在被其它服务点共享使用。所谓访问结果连续,举例来说,如果USBKEY中改变使用计数器的方法是 加一,如果前一次的访问结果是N,后一次的访问结果是N+1,我们说访问结 果是连续的。访问结果连续说明在本处两次访问所述设备的间隙中间,没有其 它用户或程序访问该设备。附图说明图l所示,为在原有数字签名装置基础上增加使用计数器的程序框图。原有的数字签名装置直接对被签名数据进行签名;而新的带使用计数器的 签名装置是,先将一个使用计数器的值组合到从装置外部传入的被签名数据之 上,然后对组合过所述使用计数器的数据进行签名,最后调整所述使用计数器 的值,例如对其加一。图l所示只是本专利技术的实施方式之一,本处描述也只是在原有USBKEY实施 基础上的改进性描述,所以在程序框图中没有画出主程序。至于USBKEY的整体 结构,可以査阅相关公开文件。图2所示,为旧的USBKEY实施方案中对应部分的程序框图。至于如何给装 置增加一个使用计数器,或者在程序设计中从USBKEY的CPU里面分配一个存储 单元供使用计数器使用,是众所周知的技术,本文不再赘述。具体实施方式本文所述签名,特指公开密钥加密技术中,使用所谓私钥(有些资料也将 之称为"金钥")对一个数据块进行的变换运算。在公开密钥加密体系中, 一个私钥(我们可以称之为A)对应一个公钥B,一个签名算法S,以及一个签名验证算法V;任意给出一块数据D1,我们可以通过签名算法S,以参数A对D1进行变换, 得到数据D2:,5a"",^为微"厶Z^为教薪,^力参,。而通过签名验证算法V,以参数B对D2进行变换刚好得到数据Dl: "7二Z但巡人Z为,兹,"厶W力教薪,^力参教。在只知道签名验证算法V和公钥B的情况下,人们极难同时推知S和A;也 极难推出替代的算法S2和相应的密钥A2,以完整地实现S和A组合能实现的算 法功能。"i^i^^"从"为,兹,"7,瓜力箭嚴,W力参袭。 本文所述数字摘要,特指使用公开密钥加密体系中的数字摘要算法,对一个数本文档来自技高网...
【技术保护点】
一种数字签名装置,该装置包括一个带中央处理器和用户私钥存储器的智能卡,所述智能卡可以以存储于其中的用户私钥为参数,使用公开密钥加密算法,对装置外部送入的数据进行签名或解密运算,并将结果发送到装置外部;该装置中还有一个使用计数器,以及至少一个这样的私钥,每使用所述私钥进行一次数字签名,所述使用计数器的状态改变一次;该装置还提供命令,对所述使用计数器中的数据与其它数据组合得出的结果数据进行签名,并将签名结果发送到装置外部。
【技术特征摘要】
【专利技术属性】
技术研发人员:李代甫,
申请(专利权)人:李代甫,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。