[发明专利]USB数字签名装置及其操作方法

说明书

技术领域

本发明涉及计算机加密，具体来说，涉及一种USB数字签名装置及其操作方法。

背景技术

随着互联网的发展和网络银行、电子商务、电子政务的广泛应用，基于PKI(Public Key Infrastructure，公钥基础架构)数字证书技术、智能卡技术和USBKey(USB密钥)被广泛地应用到各个行业和地区。越来越多的互联网使用者接受和使用USBKey作为身份认证和数字签名的设备。

PKI数字证书技术是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成。通信PKI是保证网络通信、网上交易安全的一种基础设施，它是利用公钥技术来实现电子商务安全的一种体系。随着计算机通信技术和网络安全技术的发展，PKI网络安全体系在中国的网络应用中，尤其在涉及网络银行、电子商务和电子政务应用安全体系中，得到了广泛的使用。PKI体系的建设，也使智能卡和USBKey这种数字签名装置的应用得以大规模的扩展。

智能卡由于具有国际标准的规范和成熟的应用环境，因此人们对其在PKI安全网络环境下的使用较为熟悉。而USBKey作为近年来新兴的硬件设备，具有易携带、USB热插拔等优于智能卡和读卡器的特点，渐渐地被各个行业所采用。

USBKey尽管在外形上大同小异，但在内部根据其设计的不同却千差万别，因而其成本和价格也有很大差距，而这是使用者无法通过外观区分出来的。USBKey通常情况下分为：USB加密狗Key，内存USBKey，和智能卡USBKey。就功能而言，智能卡USBKey和“一张智能卡+一个USB读卡器”是完全一样的，而其成本和价格相对于卡片和读卡器却具有较大优势。

USBKey的核心作用是保护用户的私有密钥以保证网络交易安全的数字签名。这与USBKey中嵌入的智能卡芯片，智能卡COS(Chip Operation System)，尤其是私有密钥的生成、存储和使用有着密切的关系。

虽然目前各种USBKey的数字签名装置已经广泛地使用在各个领域，有效地保护了在PKI技术框架内的用户PKI私有密钥的安全和使用，但在具体的使用环境中，尤其是随着网络黑客软件程序的不断升级，对USBKey数字签名装置的使用环境不断进行攻击和渗透，试图获取用户合法使用USBKey数字签名装置的PIN(PersonalIdentification Number，个人身份编号)密码，并对网络交易进行恶意签名。

目前市场上的USBKey数字签名装置的主要用途是存储数字证书，进行数字签名，在具体的使用环境中是这样工作的：

1.用户把USBKey数字签名装置插入计算机，进行用户的身份认证，此时需要用户在计算机中输入用户的PIN密码，即用户的用户密码。

2.USBKey数字签名装置验证PIN码是否正确。如果正确，则授权用户可以进行网站登陆、安全通道连接SSL和数字签名等操作。

3.如果PIN检验不通过，则尝试数次后，USBKey数字签名装置会锁定。

由于用户是在计算机的键盘上输入用户的PIN密码，而且一旦PIN密码通过了USBKey的校验，USBKey数字签名装置就可以进行相关操作，这种操作均被认为是合法操作。用户无法对USBKey后续的操作进行有效的安全监控。此时，出现了可以被黑客和不法之徒利用的弱点：

1.当用户在计算机键盘上输入正确的PIN密码时，隐藏在计算机中的木马病毒或钩子程序有可能获取该密码，并发送给黑客。

2.黑客在获取用户的USBKey数字签名装置的PIN密码后，通过远程控制的黑客软件，控制用户的计算机操作。

3.如果用户的USBKey数字签名装置长期插在计算机上，而用户自身不在计算机前(开机状态)，黑客会控制用户计算机，并使用用户的USBKey数字签名装置和非法获取的PIN密码进行非法的网络交易，使用户造成损失。

4.如果用户自己使用USBKey数字签名装置进行签名时，黑客程序可能入侵用户计算机，伪造数字签名的信息，非法使用用户的USBKey数字签名装置进行签名交易。用户不会察觉并造成损失。

由于数字签名在实际应用中涉及国家数字签名法和合同、交易、银行资金等问题，因此其安全使用环境和自身的抗攻击性在整个互联网PKI应用中有着重要的意义。因此市场上迫切需要能够防范和保护用户合法权益的级别更高的USB接口的数字签名装置。

发明内容

本发明旨在提供一种USB数字签名装置及其操作方法，用于解决现有技术中存在的闯入者从外部用户装置闯入USB数字签名装置的问题。