技術領域

本發明涉及一種應用于數字簽名的裝置。

背景技術

在傳統商務活動中，為了保證交易的安全與真實，一份書面合同或公文要由當事人或其負責人簽字、蓋章，以便讓交易雙方識別是誰簽的合同，保證簽字或蓋章的人認可合同的內容，在法律上才能承認這份合同是有效的。而在電子商務的虛擬世界中，合同或文件是以電子文件的形式表現和傳遞的。在電子文件上，傳統的手寫簽名和蓋章是無法進行的，這就必須依靠技術手段來替代。能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵賴性，起到與手寫簽名或者蓋章同等作用的簽名的電子技術手段，稱之為電子簽名。從法律上講，簽名有兩個功能：即標識簽名人和表示簽名人對文件內容的認可。

實現電子簽名的技術手段有很多種，但目前比較成熟的，世界先進國家普遍使用的電子簽名技術還是基于公開密鑰體系的數字簽名技術。

1976年whitfield.diffie和martin.hellman??首次公開提出了公開密鑰理論，奠定了pki體系的基礎。pki即public?key?infrastruction的縮寫，也就是所謂公開密鑰體系。公開密鑰體系是一種利用現代密碼學的公鑰密碼技術在公開的網絡環境中提供數據加密以及數字簽名服務的統一的技術框架。常用的公開密鑰算法有rsa、dsa和deffie.hellman(dh)算法等。使用公開密鑰算法的用戶同時擁有匹配的公鑰和用戶私鑰，用戶私鑰由用戶保存且不能泄漏，公鑰則要廣泛公開的發布，用戶私鑰無法通過公鑰計算獲得。

在一般情況下，由于公開密鑰體系中使用的算法和公鑰都是公開的，使得所述用戶私鑰成為公鑰體系中最薄弱的環節。為嚴格地保護用戶私鑰不被泄漏，不被越權使用，人們發明了眾多的用戶私鑰保護裝置，解決用戶私鑰的保存和使用問題，現在廣泛使用的USBKEY即是一種比較好的用戶私鑰保護裝置。

USBKEY是一種USB接口的小巧的硬件設備，形狀與我們常見的U盤沒有什么兩樣。但它的內部結構卻不簡單，它內置了CPU、存儲器、芯片操作系統(COS)，可以存儲用戶的用戶私鑰或數字證書，利用USBKEY內置的密碼算法實現對用戶身份的認證。USBKEY內置CPU以實現加解密和簽名的各種算法在USBKEY內進行，保證了用戶私鑰不出現在計算機內存中，從而杜絕了用戶私鑰被黑客截取的可能性。

USBKEY具有安全數據存儲空間，可以存儲數字證書、用戶私鑰等秘密數據，USBKEY中私鑰的使用在裝置內部就地完成，用戶不需要也無法將用戶私鑰導出到裝置外部，從而杜絕了以一個USBKEY為原版，完整復制另外一個存儲有相同用戶密鑰的USBKEY的可能性。

USBKEY一般都具有硬件PIN碼保護，PIN碼和硬件構成了用戶使用USBKEY的兩個必要因素。用戶只有同時取得了USBKEY和用戶PIN碼，才可以使用USBKEY中的用戶私鑰。即使用戶的PIN碼被泄漏，只要用戶持有的USBKEY不被盜取，合法用戶的身份就不會被仿冒；如果用戶的USBKEY遺失，拾到者由于不知道用戶PIN碼，也無法仿冒合法用戶的身份。

現有的數字簽名裝置主要解決的是用戶私鑰的不被復制和不被盜用的問題。在一般的數字簽名應用中，用戶私鑰保護的核心問題也正是保護用戶私鑰不被泄密和冒用，包括不被復制。而用戶私鑰本身的丟失，包括用戶的失誤操作導致用戶私鑰被誤刪除，反而是一個微不足道的問題。

但是，一些特殊的應用中，例如將USBKEY用于軟件保護，或將一些數字權利綁定在用戶私鑰上的情形，USBKEY中的用戶私鑰是用戶行權的唯一憑據，此時用戶私鑰自身的安全就成為一個重要的問題。因為一旦用戶私鑰被破壞，就意味著綁定在用戶私鑰上的用戶權利的滅失。如果說妥善保管USBKEY有形硬件自身，隨時備查可以是用戶的義務，則保證存儲在USBKEY硬件中的信息，例如保護保存在USBKEY中的用戶私鑰不會輕易被各種病毒程序、黑客程序攻擊，也不輕易被用戶一個普通的失誤操作刪除，則應該是USBKEY安全裝置設計制造商家的責任。