CN201207651Y - Usb数字签名器 - Google Patents
Usb数字签名器 Download PDFInfo
- Publication number
- CN201207651Y CN201207651Y CNU2008201077104U CN200820107710U CN201207651Y CN 201207651 Y CN201207651 Y CN 201207651Y CN U2008201077104 U CNU2008201077104 U CN U2008201077104U CN 200820107710 U CN200820107710 U CN 200820107710U CN 201207651 Y CN201207651 Y CN 201207651Y
- Authority
- CN
- China
- Prior art keywords
- digital signature
- usb
- signature device
- keyboard
- smart card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本实用新型提供了一种USB数字签名器,其包括USB接口,用于连接外部的用户设备;智能卡,用于对用户设备进行校验;其特征在于,还包括:键盘,其内置于USB数字签名器中,连接至控制器,将接收的来自用户的关于校验请求的按键输入转发给智能卡;控制器,其连接键盘、USB接口和智能卡,控制键盘、USB接口和智能卡的工作及相互之间的数据流转发。本实用新型提高了USB数字签名器的安全性。
Description
技术领域
本实用新型涉及计算机加密,具体来说,涉及一种USB数字签名器。
背景技术
随着互联网的发展和网络银行、电子商务、电子政务的广泛应用,基于PKI(Public Key Infrastructure,公钥基础架构)数字证书技术、智能卡技术和USBKey(USB密钥)被广泛地应用到各个行业和地区。越来越多的互联网使用者接受和使用USBKey作为身份认证和数字签名的设备。
PKI数字证书技术是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成。通信PKI是保证网络通信、网上交易安全的一种基础设施,它是利用公钥技术来实现电子商务安全的一种体系。随着计算机通信技术和网络安全技术的发展,PKI网络安全体系在中国的网络应用中,尤其在涉及网络银行、电子商务和电子政务应用安全体系中,得到了广泛的使用。PKI体系的建设,也使智能卡和USBKey这种数字签名器的应用得以大规模的扩展。
智能卡由于具有国际标准的规范和成熟的应用环境,因此人们对其在PKI安全网络环境下的使用较为熟悉。而USBKey作为近年来新兴的硬件设备,具有易携带、USB热插拔等优于智能卡和读卡器的特点,渐渐地被各个行业所采用。
USBKey尽管在外形上大同小异,但在内部根据其设计的不同却千差万别,因而其成本和价格也有很大差距,而这是使用者无法通过外观区分出来的。USBKey通常情况下分为:USB加密狗Key,内存USBKey,和智能卡USBKey。就功能而言,智能卡USBKey和“一张智能卡+一个USB读卡器”是完全一样的,而其成本和价格相对于卡片和读卡器却具有较大优势。
USBKey的核心作用是保护用户的私有密钥以保证网络交易安全的数字签名。这与USBKey中嵌入的智能卡芯片,智能卡COS(Chip Operation System),尤其是私有密钥的生成、存储和使用有着密切的关系。
虽然目前各种USBKey的数字签名器已经广泛地使用在各个领域,有效地保护了在PKI技术框架内的用户PKI私有密钥的安全和使用,但在具体的使用环境中,尤其是随着网络黑客软件程序的不断升级,对USBKey数字签名器的使用环境不断进行攻击和渗透,试图获取用户合法使用USBKey数字签名器的PIN(PersonalIdentification Number,个人身份编号)密码,并对网络交易进行恶意签名。
目前市场上的USBKey数字签名器的主要用途是存储数字证书,进行数字签名,在具体的使用环境中是这样工作的:
1.用户把USBKey数字签名器插入计算机,进行用户的身份认证,此时需要用户在计算机中输入用户的PIN密码,即用户的用户密码。
2.USBKey数字签名器验证PIN码是否正确。如果正确,则授权用户可以进行网站登陆、安全通道连接SSL和数字签名等操作。
3.如果PIN检验不通过,则尝试数次后,USBKey数字签名器会锁定。
由于用户是在计算机的键盘上输入用户的PIN密码,而且一旦PIN密码通过了USBKey的校验,USBKey数字签名器就可以进行相关操作,这种操作均被认为是合法操作。用户无法对USBKey后续的操作进行有效的安全监控。此时,出现了可以被黑客和不法之徒利用的弱点:
1.当用户在计算机键盘上输入正确的PIN密码时,隐藏在计算机中的木马病毒或钩子程序有可能获取该密码,并发送给黑客。
2.黑客在获取用户的USBKey数字签名器的PIN密码后,通过远程控制的黑客软件,控制用户的计算机操作。
3.如果用户的USBKey数字签名器长期插在计算机上,而用户自身不在计算机前(开机状态),黑客会控制用户计算机,并使用用户的USBKey数字签名器和非法获取的PIN密码进行非法的网络交易,使用户造成损失。
4.如果用户自己使用USBKey数字签名器进行签名时,黑客程序可能入侵用户计算机,伪造数字签名的信息,非法使用用户的USBKey数字签名器进行签名交易。用户不会察觉并造成损失。
由于数字签名在实际应用中涉及国家数字签名法和合同、交易、银行资金等问题,因此其安全使用环境和自身的抗攻击性在整个互联网PKI应用中有着重要的意义。因此市场上迫切需要能够防范和保护用户合法权益的级别更高的USB接口的数字签名器。
实用新型内容
本实用新型旨在提供一种USB数字签名器,用于解决现有技术中存在的闯入者从外部用户器闯入USB数字签名器的问题。
在本实用新型的实施例中,提供了一种USB数字签名器,其包括USB接口,用于连接外部的用户设备;智能卡,用于对用户设备进行校验;其特征在于,还包括:键盘,其内置于USB数字签名器中,连接至控制器,将接收的来自用户的关于校验请求的按键输入转发给智能卡;控制器,其连接键盘、USB接口和智能卡,控制键盘、USB接口和智能卡的工作及相互之间的数据流转发。
优选的,键盘是数字键盘。
优选的,还包括:显示屏,其内置于USB数字签名器中,连接至控制器,显示智能卡的显示输出信息;控制器,其连接显示屏、键盘、USB接口和智能卡,控制键盘、USB接口和智能卡的工作及相互之间的数据流转发。
优选的,显示屏是LCD装置或LED装置。
上述实施例的USBKey数字签名器内置了密码键盘和显示屏幕,将PIN输入部分的流程从PC键盘转移到USBKey内置的专有密码键盘上,可选择的内置USBKey的显示屏可有效的提示信息和监控信息的输入,所以更为安全的,可以防止黑客通过截获键盘输入或者显示输出来攻击USB接口的数字签名器。
附图说明
图1示出了根据本实用新型实施例的带有密码键盘的USB数字签名器的结构图;
图2示出了根据本实用新型实施例的带有密码键盘的USB数字签名器的外部结构图;
图3示出了根据本实用新型实施例的带有显示屏幕和密码键盘的USB数字签名器的内部结构图;
图4示出了根据本实用新型实施例的带有显示屏幕和密码键盘的USB数字签名器的工作原理图;
图5示出了根据本实用新型实施例的USB数字签名器的操作方法的流程图;
图6示出了根据本实用新型实施例的在实际业务处理过程中的流程范例。
具体实施方式
图1示出了根据本实用新型实施例的带有密码键盘的USB数字签名器的结构图,其包括USB接口10,用于连接外部的用户设备;智能卡40,用于对用户设备进行校验;还包括:键盘30,其内置于USB数字签名器中,连接至控制器20,将接收的来自用户的关于校验请求的按键输入转发给智能卡40;控制器20,其连接键盘30、USB接口10和智能卡40,控制键盘30、USB接口10和智能卡40的工作及相互之间的数据流转发。
该装置由于将信息输入功能由通用的PC键盘转移到了具有USBKey独立内核控制的专有键盘上,当使用者需要输入关键的交易数据(如帐号、金额和PIN)时,PC端将发起输入信息的交易请求,本专利产品收到请求后随即进入信息输入模式,使用者输入的按键信息将完全由独立的安全芯片接收。交易相关的信息将通过USBKey的专用安全芯片加密后以密文的方式传递到PC或其他网络设备上;内部认证的信息(包括USBKey的PIN密码)将在数字签名器中内部校验,因为输入过程和加密过程都在本专利产品内完成,外界(PC以及其它网络设备)将无法获得以上关键信息的明文。
优选的,键盘是数字键盘。
图2示出了根据本实用新型实施例的带有密码键盘的USB数字签名器的外部结构图,其中,还包括显示屏3,其内置于USB数字签名器中,连接至控制器,显示智能卡的显示输出信息;控制器,其连接显示屏、键盘、USB接口和智能卡,控制键盘、USB接口和智能卡的工作及相互之间的数据流转发。
优选的,显示屏是LCD装置或LED装置。
具体来说,该带有显示屏幕和密码键盘的USB数字签名器的外部结构由以下几个部分构成:
1.USB接口
2.USB连接线接口
3.显示屏
4.密码键盘
5.外壳
图3示出了根据本实用新型实施例的带有显示屏幕和密码键盘的USB数字签名器的内部结构图;其内部结构由以下几个部分构成:
1.USB接线接口(用于实现图1的USB接口10)
2.显示模块(用于实现显示屏)
该LCD液晶显示系统是一个可以控制和驱动液晶显示屏幕进行显示的电路模块。该LCD液晶显示系统连接在PCB电路板上。
3.USB控制器(用于实现图1的控制器20),由于集成度的不同,不排除‘3’和‘4’的功能模块为一个物理模块的可能。
4.带USB通信功能的智能卡芯片(用于实现图1的智能卡40),该芯片是一个标准的CPU智能卡芯片,可以通过USB控制器与USB接头和计算机进行通信。该芯片中嵌入了智能卡操作系统,可以实现标准的PKI智能卡应用,包括生成智能卡文件结构,生成RSA密钥对、存储数字证书、验证用户PIN密码、进行数字签名等。
该芯片焊接在PCB电路板上,通过简单的电路和USB控制器进行连接,同时USB控制器芯片和密码键盘以及LCD液晶显示系统连接,用于接收用户的密码键盘输入信息和输出用户提示等信息。
5.按键模块接口
图4示出了根据本实用新型实施例的带有显示屏幕和密码键盘的USB数字签名器的工作原理图;
1.USB数字签名器带有USB通信接口(用于实现图1的USB接口10)、USB控制器(用于实现图1的控制器20)和一个智能卡芯片(用于实现图1的智能卡40),智能卡芯片中嵌入了智能卡操作系统,可以实现生成RSA密钥对、进行客户PIN密码校验、进行数字签名等功能。
2.USB数字签名器内置了一个专用键盘(用于实现图1的键盘30),可输入关键账户账户信息、交易信息、和校验校验信息。通过专用安全芯片和装在安全芯片中的密钥实现了数据包的组织和加密。
3.USBKey数字签名器带有一个LCD液晶显示系统(用于实现显示屏),可以显示USBKey数字签名器中CPU智能卡芯片和密码键盘所输出的信息,包括数字签名信息(账户信息、交易金额和其他金融交易信息),用户PIN密码和用户提示信息等。
使用显示带有密码键盘和显示屏幕的USB数字签名器在PKI应用中的实现方法,包括如下步骤:所述数字签名器包含带有一个CPU智能卡芯片,能够生成RSA密钥对,存储数字证书,以及验证用户PIN密码、进行数字签名等,该装置同时可以在个人化阶段装载对称密钥。该带有USB通信接口的数字签名器通过电路直接连接设备的USB接口,可以和计算机进行通信。在交易过程中,该数字签名器可以通过在电脑屏幕的提示,以及自有的专用屏幕的辅助显示下,通过自有的密码键盘输入与交易和账户信息相关的信息数据,并通过CPU智能卡芯片的逻辑对数据进行组织和加密。
加密的数据将通过USB通信接口传递到PC端(包括PACKETPC或者web网络设备),再通过网络将数据提交到后台解析和处理。
通过以上的技术方案可以看出,本实用新型的USB数字签名器提供了一个显示屏和复杂信息的输入键盘,在物理上将关键数据的输入与PC(包括PACKET PC或者web网络设备)隔离开,有效杜绝了木马程序对输入信息的捕获和篡改。通过公钥、私钥以及对称密钥体系的灵活应用,将数据打包和加密,在交易信息传递中PC端始终无法得到与交易相关的明文信息。
图5示出了根据本实用新型实施例的USB数字签名器的操作方法的流程图;包括:
步骤S10,从内置于USB数字签名器中的键盘接收来自用户的关于校验请求的按键输入;
步骤S20,USB数字签名器中的智能卡对按键输入得到的信息打包加密得到加密信息;
步骤S30,USB数字签名器中的USB接口将加密信息发送给外部的用户设备。
该操作方法内置了密码键盘和显示屏幕,将PIN输入部分的流程从PC键盘转移到USBKey内置的专有密码键盘上,可选择的内置USBKey的显示屏可有效的提示信息和监控信息的输入,所以更为安全的,可以防止黑客通过截获键盘输入或者显示输出来攻击USB接口的数字签名器。
优选的,校验请求至少包括以下之一:用户登录信息、用户PIN密码、用户交易信息。
优选的,还包括:内置于USB数字签名器中的显示屏显示智能卡的显示输出信息。
优选的,显示输出信息至少包括以下之一:用户登录信息、用户提示信息、用户交易信息。
优选的,还包括:USB数字签名器中的控制器控制键盘、显示屏、USB接口和智能卡的工作及相互之间的数据流转发。
图6示出了根据本实用新型实施例的在实际业务处理过程中的流程范例。图中带有USB通信功能的USB控制芯片和CPU智能卡芯片是整个系统的核心。其中USB控制芯片用于组织和调配USB接口数据的接收和放送,接收按键模块的输入,驱动显示模块显示提示信息;CPU智能卡芯片负责生成应用系统文件结构,生成RSA密钥对、存储数字证书、验证用户PIN密码、进行数字签名等。
步骤一:将带有显示屏幕和密码键盘的USB数字签名器连接到计算机上。
步骤二:装置上电后,用户登陆应用系统,进行身份认证的操作。
步骤三:使用USB数字签名器上输入登陆信息,如账户信息、登陆密码等。此时PC端可要求USB数字签名器一次性输入多个数据,也可以分开控制数据的输入。具体实现方法可根据业务的需求灵活定制。
步骤四:CPU智能卡对输入的信息打包,进行PIN校验并进行登陆信息的加密,通过USB接口传入计算机和应用系统。
步骤五:应用系统将数据通过网络传入后台校验。后台通过掌握的密钥和算法将传送来的数据进行恢复,并校验恢复数据的真实性。显然,虚线框内的这些步骤是可选的。
步骤六:USB数字签名器使用密码键盘输入应用支付密码。此支付流程为可选操作,可根据业务的需要定制。如果业务流程需要输入支付密码,带USB功能的智能卡芯片将等待接收密码的输入,此流程将会在USB数字签名器上的密码键盘上完成,不会在PC端完成。显然,虚线框内的这些步骤是可选的。
步骤七:使用密码键盘输入应用所需要的交易金额、转账账户等交易信息。此时PC端可要求USB数字签名器一次性输入多个数据,也可以分开控制数据的输入。具体实现方法可根据业务的需求灵活定制。
步骤八:CPU智能卡芯片对输入信息打包并进行PIN密码验证和数字签名,通过USB接口传入计算机。
步骤九:计算机将包含加密的数据信息通过网络传入后台。后台通过掌握的密钥和算法对传送来的数据进行恢复,并校验数据的真实性,当数据确定无误后开始应用业务处理流程。
综上所述,本实用新型上述实施例提供了一种利用USB接口的,带有密码键盘功能和显示屏幕的USBKey数字签名器,这种设备可以有效地抵抗PKI应用过程中的黑客攻击,确保使用者的身份识别,密码安全输入以及保护使用者的合法签名。
以上所述仅为本实用新型的优选实施例而已,并不用于限制本实用新型,对于本领域的技术人员来说,本实用新型可以有各种更改和变化。凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的保护范围之内。
Claims (4)
1.一种USB数字签名器,其包括USB接口,用于连接外部的用户设备;智能卡,用于对所述用户设备进行校验;其特征在于,还包括:
键盘,其内置于所述USB数字签名器中,连接至控制器,将接收的来自用户的关于校验请求的按键输入转发给所述智能卡;
所述控制器,其连接所述键盘、USB接口和智能卡,控制所述键盘、USB接口和智能卡的工作及相互之间的数据流转发。
2.根据权利要求1所述的USB数字签名器,其特征在于,所述键盘是数字键盘。
3.根据权利要求1所述的USB数字签名器,其特征在于,还包括:
显示屏,其内置于所述USB数字签名器中,连接至所述控制器,显示所述智能卡的显示输出信息;
所述控制器,其连接所述显示屏、键盘、USB接口和智能卡,控制所述键盘、USB接口和智能卡的工作及相互之间的数据流转发。
4.根据权利要求3所述的USB数字签名器,其特征在于,所述显示屏是LCD装置或LED装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201077104U CN201207651Y (zh) | 2008-03-19 | 2008-03-19 | Usb数字签名器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201077104U CN201207651Y (zh) | 2008-03-19 | 2008-03-19 | Usb数字签名器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201207651Y true CN201207651Y (zh) | 2009-03-11 |
Family
ID=40466706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU2008201077104U Expired - Fee Related CN201207651Y (zh) | 2008-03-19 | 2008-03-19 | Usb数字签名器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201207651Y (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102289611A (zh) * | 2011-06-08 | 2011-12-21 | 郑州信大捷安信息技术股份有限公司 | 安全智能密码芯片及其虚拟通信文件自动构建方法 |
| CN102708491A (zh) * | 2012-04-27 | 2012-10-03 | 东信和平智能卡股份有限公司 | 基于可信计算的新型USB Key设备及其安全交易方法 |
| CN103838995A (zh) * | 2014-03-19 | 2014-06-04 | 北京深思数盾科技有限公司 | 可自定义设置的信息安全设备 |
-
2008
- 2008-03-19 CN CNU2008201077104U patent/CN201207651Y/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102289611A (zh) * | 2011-06-08 | 2011-12-21 | 郑州信大捷安信息技术股份有限公司 | 安全智能密码芯片及其虚拟通信文件自动构建方法 |
| CN102289611B (zh) * | 2011-06-08 | 2013-11-06 | 郑州信大捷安信息技术股份有限公司 | 安全智能密码芯片及其虚拟通信文件自动构建方法 |
| CN102708491A (zh) * | 2012-04-27 | 2012-10-03 | 东信和平智能卡股份有限公司 | 基于可信计算的新型USB Key设备及其安全交易方法 |
| CN103838995A (zh) * | 2014-03-19 | 2014-06-04 | 北京深思数盾科技有限公司 | 可自定义设置的信息安全设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104217327B (zh) | 一种金融ic卡互联网终端及其交易方法 | |
| CN103544599B (zh) | 用于在移动终端内认证、存储和交易的嵌入式安全元件 | |
| CN101662469B (zh) | 基于USBKey网上银行交易信息认证的方法和系统 | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| CN101340285A (zh) | 利用指纹USBkey进行身份验证的方法及系统 | |
| CN102694781B (zh) | 基于互联网的安全性信息交互系统及方法 | |
| CN101340294A (zh) | 一种密码键盘装置及其实现方法 | |
| AU2011316932A1 (en) | Integration of verification tokens with portable computing devices | |
| CN210691384U (zh) | 基于安全单元和可信执行环境的人脸识别支付终端平台 | |
| CN101651675A (zh) | 提高网络交易安全性的方法和系统 | |
| CN101770619A (zh) | 一种用于网上支付的多因子认证方法和认证系统 | |
| CN1921395B (zh) | 提高网络软件安全性的方法 | |
| CN101262348A (zh) | Usb数字签名装置及其操作方法 | |
| US8156548B2 (en) | Identification and authentication system and method | |
| CN107332671A (zh) | 一种基于安全芯片的安全移动终端系统及安全交易方法 | |
| CN101221641A (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN102710611A (zh) | 网络安全身份认证方法和系统 | |
| CN100566253C (zh) | 一种安全使用智能密钥装置的方法及系统 | |
| CN101000703A (zh) | 可保证信息传输机密性与完整性的电子支付终端 | |
| WO2017133204A1 (zh) | 银行卡密码保护方法及系统 | |
| CN101335754A (zh) | 一种利用远程服务器进行信息验证的方法 | |
| US20100005519A1 (en) | System and method for authenticating one-time virtual secret information | |
| CN201207651Y (zh) | Usb数字签名器 | |
| CN202206419U (zh) | 网络安全终端以及基于该终端的交互系统 | |
| CN102004977A (zh) | 网络安全支付方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Yan Lin Document name: Notification to Pay the Fees |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090311 Termination date: 20100319 |