一种数字签名方法及数字签名工具

摘要

本发明公开了一种数字签名方法及签名工具，包括如下步骤：将要签名的文件分成多个数据分组，然后将这些数据分组分批送入到签名硬件中，硬件内部的两条私有密匙分别对混合后的数据进行加密，然后分别输出给软件；软件接收这两组加密数据后，将这些数据再重新组织成一个新的签名文件；该签名文件包含两部分，一部分为由私有密匙一对原文加密的密文，另一部分为由私有密匙二对原文加密的密文；本发明具有如下优点：被签名的数字文件能被任何拥有合法权限的人清楚地知道该签名文件的内容、身份、来源、作者、文件最后的签名时间；任何被签名的数字文件都具有唯一性，即没有一个被签名后的文件是相同的；对被签名的数字文件所作的任何修改都是可知的。

主权项

1、一种数字签名方法，其特征在于，包括如下步骤：签名步骤：1)生成签名文件：将要签名的文件分成多个数据分组，然后将这些数据分组分批送入到签名硬件中，然后发出加密指令；2)硬件内部首先将输入的数据与硬件ID及当前时间按照一定的规则混合，然后使用硬件内部的两条私有密匙分别对混合后的数据进行加密，然后分别输出给软件；3)软件接收这两组加密数据后，将这些数据再重新组织成一个新的签名文件；该签名文件包含两部分，一部分为由私有密匙一对原文加密的密文，另一部分为由私有密匙二对原文加密的密文；这个新生成的签名文件就在原文的基础上具有基于硬件身份及时间的唯一性，同时还具有加密特性；验证签名步骤：1)使用自身密匙进行验证：软件将要签名的文件的由私有密匙一加密的部分送入到硬件中，然后发出解密指令，要求硬件使用自身的私有密匙一对其进行解密。硬件内部就会使用私有密匙一将送入的数据进行解密，然后将解密后的数据返回给软件；软件将要签名的文件由私有密匙二加密的部分送入到硬件中，然后发出解密指令，要求硬件使用自身的私有密匙二对其进行解密；硬件内部使用私有密匙二将送入的数据进行解密，然后将解密后的数据返回给软件；软件将前后两次解密的结果进行比较，如果不相同，表示文件已被修改，可提示错误，将不同的地方显示出来；如果相同，表示签名后的文件未被修改，解密后还原的数据中包含有硬件的ID及签名时的时间以及原有的原文内容，软件将这些数据分离出来，生成该签名文件的原文副本，同时显示签名者身份及签名时的时间；2)使用由签名硬件输出的加密密匙在任何一个签名工具上进行验证：在进行验证签名文件时，生成签名文件的签名工具必须在生成签名文件后输出其加密的私有密匙，使用公有密匙对硬件内的两条私有密匙进行加密，然后输出；软件首先获取该签名文件的签名工具，简称原签名工具的加密后的私有密匙，然后将加密后的私有密匙送入要验证的签名工具，由验证工具使用公有密匙对输入的加密密匙解密，生成原签名工具的两条私有密匙，这样，验证工具就可以使用原签名工具的私有密匙对由原签名工具进行签名的文件进行验证了，验证方法同上；3)用由签名硬件输出的由随机数加密的密匙在指定的签名工具上进行验证：被授权的签名工具首先生成一个随机数，然后将该随机数与自身ID按一定的规则混合，然后使用公有密匙对其进行加密，然后将加密后的数据输出；软件将输出的加密后的数据送入到原签名工具，原签名工具使用公有密匙对该数据进行解密，还原成随机数及被授权工具ID，然后使用随机数对原签名工具内的私有密匙进行加密，然后将加密后的私有密匙及被授权工具ID输出，软件获得加密后的私有密匙的同时，将被授权工具ID显示给用户，以验证其身份；软件将由随机数加密后的加密密匙送入被授权工具，被授权工具使用其生成的随机数对加密密匙进行解密，生成原签名工具的两条私有密匙，验证工具以使用原签名工具的私有密匙对由原签名工具进行签名的文件进行验证。