CN110889698A - 一种命令处理方法、电子设备及存储介质 - Google Patents

一种命令处理方法、电子设备及存储介质 Download PDF

Info

Publication number
CN110889698A
CN110889698A CN201811045221.5A CN201811045221A CN110889698A CN 110889698 A CN110889698 A CN 110889698A CN 201811045221 A CN201811045221 A CN 201811045221A CN 110889698 A CN110889698 A CN 110889698A
Authority
CN
China
Prior art keywords
command
fido
smart card
processing method
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811045221.5A
Other languages
English (en)
Other versions
CN110889698B (zh
Inventor
陈柳章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Excelsecu Data Technology Co Ltd
Original Assignee
Shenzhen Excelsecu Data Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Excelsecu Data Technology Co Ltd filed Critical Shenzhen Excelsecu Data Technology Co Ltd
Priority to CN201811045221.5A priority Critical patent/CN110889698B/zh
Priority to PCT/CN2019/099839 priority patent/WO2020048287A1/zh
Publication of CN110889698A publication Critical patent/CN110889698A/zh
Application granted granted Critical
Publication of CN110889698B publication Critical patent/CN110889698B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4018Transaction verification using the card verification value [CVV] associated with the card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种命令处理方法、电子设备及存储介质,命令处理方法包括:接收第一FIDO认证请求命令;从所述第一FIDO认证请求命令中获取预设应用的APDU命令,执行所述APDU命令以得到第一响应数据;将所述第一响应数据封装到第一FIDO认证响应命令中并返回。电子设备包括存储器、处理器以及存储在存储器中的程序,所述程序被配置成由处理器执行,处理器执行所述程序时实现:上述的命令处理方法。存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的命令处理方法。本发明的有益效果在于:通过对FIDO规范的命令,封装预定格式的预定协议的ADPU指令及业务功能响应数据实现了扩展的业务功能。

Description

一种命令处理方法、电子设备及存储介质
技术领域
本发明涉及互联网领域,尤其涉及一种基于FIDO规范的命令处理方法、电子设备及存储介质。
背景技术
目前,智能卡安全设备需要安装对应的中间件才可进行访问。安装中间件较麻烦而且安装中间件的过程中可能会出现安装失败,或者中间件因出现问题需要升级更新,可能会造成无法访问智能卡安全设备的问题,从而给用户带来不必要的麻烦。
发明内容
为了克服现有技术的不足,本发明的目的在于提供一种命令处理方法,无需安装中间件即可实现业务功能。
一种命令处理方法,由智能卡安全设备执行,包括:
接收第一FIDO认证请求命令;
从所述第一FIDO认证请求命令中获取预设应用的APDU命令,执行所述APDU命令以得到第一响应数据;
将所述第一响应数据封装到第一FIDO认证响应命令中并返回。
进一步地,所述APDU命令封装在所述第一FIDO认证请求命令的KeyHandle字段中,所述第一响应数据封装在所述第一FIDO认证响应命令的Signature字段中。
进一步地,所述接收第一FIDO认证请求命令之前,还包括:
接收FIDO注册请求命令;
生成并发送FIDO注册响应命令,所述FIDO注册响应命令中包括指示智能卡安全设备支持所述预设应用的信息。
一种命令处理方法,包括:
服务器接收客户终端发送的交易请求;
所述服务器依据所述交易请求生成并向客户终端发送第一FIDO认证请求命令,所述第一FIDO认证请求命令中包括预设应用的APDU命令;
接收第一FIDO认证响应命令,并从所述第一FIDO认证响应命令中获取智能卡安全设备执行所述APDU命令得到的第一响应数据。
进一步地,所述APDU命令封装在所述第一FIDO认证请求命令的KeyHandle字段中,所述第一响应数据封装在所述第一FIDO认证响应命令的Signature字段中。
进一步地,在步骤服务器接收客户终端发送的交易请求之后还包括:服务器向客户终端发送FIDO注册请求命令,并接收智能卡安全设备执行所述FIDO注册请求命令得到的FIDO注册响应命令;根据所述FIDO注册响应命令判断所述智能卡安全设备是否支持预设应用,若不支持则拒绝所述交易请求。
进一步地,所述方法还包括:
所述客户终端获取用户输入,并根据所述用户输入生成第一认证信息,将所述第一认证信息添加到向所述智能卡安全设备发送的第二FIDO认证请求的APDU命令中。
进一步地,所述APDU命令包括从所述智能卡安全设备获取的随机数,所述客户终端根据用户输入和所述随机数生成所述第一认证信息,使用所述第一认证信息替换所述第一FIDO认证请求中的所述随机数,并向所述智能卡安全设备发送替换后的第一FIDO认证请求。
一种电子设备,包括存储器、处理器以及存储在存储器中的程序,所述程序被配置成由处理器执行,处理器执行所述程序时实现:
如上所述的命令处理方法。
一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的命令处理方法。
相比现有技术,本发明较佳实施例中,通过对FIDO规范的命令进行扩展,封装预定格式的预定协议的命令功能指令及命令功能响应数据实现了扩展的命令功能,无需安装额外的插件或者接口软件,减少了客户安装额外中间件的麻烦,提高了智能卡安全设备的开发效率及工作的稳定性。
附图说明
图1为本发明的命令处理方法的实施例一的流程图;
图2为本发明的命令处理方法的实施例二的流程图;
图3为本发明的命令处理方法的实施例三的流程图;
图4为本发明的命令处理方法的实施例四的流程图;
图5为本发明的命令处理方法的实施例五的流程图;
图6为本发明的电子设备的示意图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
实施例一
参阅图1,图1为本发明第一实施例提供的一种命令处理方法的流程示意图,本实施例方法可以通过FIDO规范的命令实现证书功能。该方法包括以下步骤:
步骤S110:客户终端在检测到证书签名用户操作时,产生证书签名业务请求,将所述证书签名业务请求发送至服务器,服务器接收所述证书签名业务请求。
在本发明实施例中,较佳的,用户可以在客户终端的浏览器中进行证书签名操作,例如:用户在客户终端的浏览器中发起一笔交易,此交易需要用户在智能卡安全设备做签名进行身份验证,从而发起证书签名操作。
步骤S120:所述服务器依据证书签名业务请求生成FIDO注册请求指令,向智能卡安全设备发送FIDO注册请求指令,智能卡安全设备接收所述FIDO注册请求指令。
步骤S130:所述智能卡安全设备依据FIDO注册请求指令生成FIDO注册响应指令,向服务器发送FIDO注册响应指令,服务器接收所述FIDO注册响应指令。
其中,FIDO注册响应指令中包括KeyHandle、X509证书及签名。
本实施中,若智能卡安全设备支持预定的扩展功能,可以通过在KeyHandle或X509证书中包括预定编码来设定。例如,假设通过KeyHandle来设定,可以在KeyHandle中包括格式为Flag1+Flag2+UserKey的编码,其中,Flag1标识智能卡安全设备是否支持预定的扩展功能;Flag2标识后续数据UserKey的类型,UserKey为数据信息,可以是APDU或密钥句柄值。
本实施例中,预定的扩展功能包括证书签名及验证密码等功能。
步骤S140:服务器依据FIDO注册响应指令判断智能卡安全设备是否支持预定的扩展功能,若否,证书功能失败,执行步骤S150;若是,执行步骤S160。
步骤S150:按照FIDO规范直接把注册时返回的KeyHandle(Flag1+Flag2+UserKey)通过FIDO认证请求指令下发给智能卡安全设备,使得智能卡安全设备内部验证UserKey的正确性,从而实现FIDO的标准流程。
步骤S160:根据所述密码验证业务请求生成FIDO认证请求指令,在FIDO认证请求指令的KeyHandle中包括以预定格式封装的预定协议的APDU指令,并向客户终端发送所述FIDO认证请求指令,客户终端接收所述FIDO认证请求指令。
在一个较佳的实例中,KeyHandle中的以预定格式封装的预定协议的业务功能指令可以是“Flag1+Flag2+APDU”,其中的APDU是业务功能指令(Application Protocol DataUnit),例如随机数获取指令可以是01 01 0084000009,其中第一个“01”表示支扩展功能,第二个“01”表示后续跟着业务功能指令。
步骤S170:客户终端将所述FIDO认证请求指令发送到智能卡安全设备。
可以理解为,客户终端将服务器的FIDO认证请求指令按照FIDO标准进行转换后发送转换后的FIDO认证请求指令到智能卡安全设备。
步骤S180:所述智能卡安全设备执行客户终端发送的所述FIDO认证请求指令中KeyHandle中的APDU指令,产生业务功能响应数据,将所述业务功能响应数据按照预定协议封装到FIDO认证响应指令的Signature中,并向服务器发送FIDO认证响应指令;服务器接收FIDO认证响应指令,获得其中的业务功能响应数据。
可以理解为:当用户进行签名验证时,APDU指令为签名指令,产生业务功能响应数据即签名结果,用于进行签名验证。
本发明实施例通过对FIDO规范的命令进行扩展,实现了证书功能,无需安装额外的插件或者接口软件,减少了客户安装额外中间件的麻烦,提高了智能卡安全设备的开发效率及工作的稳定性。
当需要对智能卡安全设备进行受限功能访问时,传统的方法是客户终端发起验证,由客户终端获取用户权限,以实现对智能卡安全设备的受限功能访问,但是FIDO规范是由服务端发起和主导的受限访问,而用户密码是在客户终端输入的,服务端如何获取用户权限以访问智能卡安全设备的受限功能,传统方法无法实现,本发明下面的第二实施例和第三实施例中的方案可以解决这一技术问题。
实施例二
参阅图2,图2为本发明第二实施例提供的一种命令处理方法的流程示意图,本实施例方法可以通过FIDO规范的命令验证用户输入密码,获取智能卡安全设备的访问权限。该方法包括以下步骤:
步骤S210:客户终端在检测到密码验证用户操作时,产生密码验证业务请求,将所述密码验证业务请求发送至服务器,服务器接收所述密码验证业务请求。
在本发明实施例中,较佳的,用户可以在客户终端的浏览器中进行密码验证操作,例如:用户在客户终端的浏览器中发起一笔交易,此交易需要用户智能卡安全设备做签名进行身份验证,而使用用户智能卡安全设备做签名需要验证用户密码,从而发起密码验证操作。
步骤S220:所述服务器依据密码验证业务请求生成FIDO注册请求指令,向智能卡安全设备发送FIDO注册请求指令,智能卡安全设备接收所述FIDO注册请求指令。
步骤S230:所述智能卡安全设备依据FIDO注册请求指令生成FIDO注册响应指令,向服务器发送FIDO注册响应指令,服务器接收所述FIDO注册响应指令。
其中,FIDO注册响应指令中包括KeyHandle、X509证书及签名。
本实施中,若智能卡安全设备支持预定的扩展功能,可以通过在KeyHandle或X509证书中包括预定编码来设定。例如,假设通过KeyHandle来设定,可以在KeyHandle中包括格式为“Flag1+Flag2+UserKey”的编码。
本实施例中,预定的扩展功能包括密码验证功能。
步骤S240:服务器依据FIDO注册响应指令判断智能卡安全设备是否支持预定的扩展功能,若否,获取智能卡安全设备的访问权限失败,执行步骤S250,若是,执行步骤S260。
步骤S250:若智能卡安全设备支持FIDO规范则:按照FIDO规范直接把注册时返回的KeyHandle(Flag1+Flag2+UserKey)通过FIDO认证请求指令下发给智能卡安全设备,使得智能卡安全设备内部验证UserKey的正确性,从而实现FIDO的标准流程。若智能卡安全设备不支持FIDO规范则访问失败。
步骤S260:根据所述密码验证业务请求生成第一FIDO认证请求指令,在第一FIDO认证请求指令的KeyHandle中包括以预定格式封装的预定协议的随机数获取指令,并向客户终端发送所述第一FIDO认证请求指令,客户终端接收所述第一FIDO认证请求指令。
在一个较佳的实例中,KeyHandle中的以预定格式封装的预定协议的随机数获取指令可以是“Flag1+Flag2+APDU”,其中的APDU是预定义的指令格式,例如随机数获取指令可以是01 01 0084000009,其中第一个“01”表示支扩展功能,第二个“01”表示后续跟着业务功能指令。
步骤S270:所述客户终端将所述第一FIDO认证请求指令发送到智能卡安全设备。
可以理解为,客户终端将服务器的第一FIDO认证请求指令按照FIDO标准进行转换后发送转换后的第一FIDO认证请求指令。
步骤S280:智能卡安全设备从客户终端发来的第一FIDO认证指令的KeyHandle中获得随机数获取指令,执行所述随机数获取指令生成随机数Rand,并将随机数Rand以预定协议封装到第一FIDO认证响应指令的Signature中,将所述第一FIDO认证响应指令发送至所述客户终端,客户终端接收所述第一FIDO认证响应指令。
步骤S290:所述客户终端从所述第一FIDO认证响应指令的Signature中获取随机数Rand,并获取用户输入密码,对所述随机数Rand和用户输入密码进行预定运算,使得用户输入密码对随机数Rand进行加密,得到密码验证信息EncRand。
步骤S2100:客户终端将密码验证信息EncRand以预定协议封装到第二FIDO认证请求指令的KeyHandle中,并将所述第二FIDO认证请求指令发送给智能卡安全设备,智能卡安全设备接收所述第二FIDO认证请求指令。
步骤S2110:智能卡安全设备依据所述随机数Rand和第二FIDO认证请求指令中的密码验证信息EncRand对所述用户输入密码进行验证,获得密码验证结果,将获得的密码验证结果封装在第二FIDO认证响应指令中的Signature中,将所述第二FIDO认证响应指令发送至所述服务器,服务器接收所述第二FIDO认证响应指令。
在本发明实施例中,智能卡安全设备将保存的用户密码对第二FIDO认证请求指令中的密码验证信息EncRand进行解密,并且对随机数Rand进行比对;或者智能卡安全设备将保存的用户密码和随机数计算得出EncRand2再与第二FIDO认证请求指令中的密码验证信息EncRand进行比对。
步骤S2120:所述服务器对第二FIDO认证响应指令中的Signature中的密码验证结果进行解析,若所述密码验证结果表示验证通过,则获得智能卡安全设备的访问权限,进而允许访问取智能卡安全设备中的受限功能。
实施例三
参阅图3,图3为本发明第三实施例提供的一种命令处理方法的流程示意图,本实施例方法可以通过FIDO规范的命令验证用户输入密码,获取智能卡安全设备的访问权限。该方法包括以下步骤:
步骤S310:客户终端在检测到密码验证用户操作时,产生密码验证业务请求,将所述密码验证业务请求发送至服务器,服务器接收所述密码验证业务请求。
在本发明实施例中,较佳的,用户可以在客户终端的浏览器中进行密码验证操作。
步骤S320:所述服务器依据密码验证业务请求生成FIDO注册请求指令,向智能卡安全设备发送FIDO注册请求指令,智能卡安全设备接收所述FIDO注册请求指令。
步骤S330:所述智能卡安全设备依据FIDO注册请求指令生成FIDO注册响应指令,向服务器发送FIDO注册响应指令,服务器接收所述FIDO注册响应指令。
其中,FIDO注册响应指令中包括KeyHandle、X509证书及Signture。
本实施中,若智能卡安全设备支持预定的扩展功能,可以通过在KeyHandle或X509证书中包括预定编码来设定。例如,假设通过KeyHandle来设定,可以在KeyHandle中包括格式为Flag1+Flag2+UserKey的编码。
步骤S340:服务器依据FIDO注册响应指令判断智能卡安全设备是否支持预定的扩展功能,若否,获取智能卡安全设备的访问权限失败,执行步骤S350,若是,执行步骤S360。
步骤S350:继续按照FIDO规范直接把注册时返回的KeyHandle(Flag1+Flag2+UserKey)通过FIDO认证请求指令下发给智能卡安全设备,使得智能卡安全设备内部验证UserKey的正确性,从而实现FIDO的标准流程。
步骤S360:根据所述密码验证业务请求生成第一FIDO认证请求指令,在第一FIDO认证请求指令的KeyHandle中包括以预定格式封装的预定协议的随机数获取指令,并向客户终端发送所述第一FIDO认证请求指令,客户终端接收所述第一FIDO认证请求指令。
在一个较佳的实例中,KeyHandle中的以预定格式封装的预定协议(ADPU协议)的随机数获取指令可以是“Flag1+Flag2+APDU”,其中的APDU是预定义的指令格式,例如随机数获取指令可以是01 01 0084000009,其中第一个“01”表示支扩展功能,第二个“01”表示后续跟着业务功能指令。
步骤S370:所述客户终端将所述第一FIDO认证请求指令发送到智能卡安全设备。
可以理解的,客户终端将服务器的第一FIDO认证请求指令按照FIDO标准进行转换后发送转换后的第一FIDO认证请求指令。
步骤S380:智能卡安全设备从客户终端发来的第一FIDO认证请求指令的KeyHandle中获得随机数获取指令,执行所述随机数获取指令生成随机数Rand,并将随机数Rand以预定协议封装到第一FIDO认证响应指令的Signature中,将所述FIDO认证响应指令发送至所述客户终端,客户终端接收所述第一FIDO认证响应指令。
步骤S390:所述客户终端从所述第一FIDO认证响应指令的Signature中获取随机数Rand,把所述第一FIDO认证响应指令发送到服务器,服务器接收所述第一FIDO认证响应指令。
较佳的,客户终端在本地缓存获取的随机数Rand。
步骤S3100:服务器生成并向客户终端发送第二FIDO认证请求指令,客户终端接收所述第二FIDO认证请求指令。所述第二FIDO认证请求指令的KeyHandle中包括以预定格式封装的预定协议的第一密码验证信息EncRand。本实施例中,第一密码验证信息EncRand可以是依据从第一FIDO认证响应指令的Signature中获取随机数Rand后按预定运算生成的其他随机数,也可以是随机数Rand本身,或者是其他数据,只要符合需要的数据格式。
步骤S3110:客户终端获取用户输入密码,对缓存的随机数Rand和用户输入密码进行预定运算,使得用户输入密码对随机数Rand进行加密,得到第二密码验证信息EncRand2。
步骤S3120:客户终端以第二密码验证信息EncRand2替换第二FIDO认证请求指令的KeyHandle中的第一密码验证信息EncRand,并将经过替换后的第二FIDO认证请求指令发送给智能卡安全设备,智能卡安全设备接收所述第二FIDO认证请求指令。
步骤S3130:智能卡安全设备依据所述随机数Rand和第二FIDO认证请求指令的的KeyHandle中的第二密码验证信息EncRand2对所述用户输入密码进行验证,获得密码验证结果,将获得的密码验证结果封装在第二FIDO认证响应指令的Signature中,将所述第二FIDO认证响应指令发送至所述服务器,服务器接收所述第二FIDO认证响应指令。
步骤S3140:所述服务器对第二FIDO认证响应指令的Signature中的密码验证结果进行解析,若所述密码验证结果表示验证通过,则获得智能卡安全设备的访问权限,进而允许访问取智能卡安全设备中的受限功能。
实施例四
图4示出本发明第四实施例的一种命令处理方法,由服务器执行,本实施例的方法可以在FIDO规范的命令中加载预定协议的业务功能指令来实现相应的业务功能。所述方法包括:
S410:获得智能卡安全设备的第一FIDO指令。
S420:依据所述第一FIDO指令判断所述智能卡安全设备是否支持预定的扩展功能,若是,则生成并发送第二FIDO指令,所述第二FIDO指令包括以预定格式封装的预定协议的APDU指令。
较佳的,依据所述第一FIDO指令判断所述智能卡安全设备是否支持预定的扩展功能包括:判断所述第一FIDO指令是否包括预定编码,若是,则判定所述智能卡安全设备支持预定的扩展功能。
较佳的,在所述生成并发送第二FIDO指令后还包括:获得所述智能卡安全设备的第三FIDO指令,所述第三FIDO指令中包括以所述预定格式封装的预定协议的业务功能响应数据,所述业务功能响应数据对应于所述第二FIDO指令的ADPU指令。
较佳的,所述业务功能指令包括密码验证指令;所述业务功能响应数据包括密码验证结果。
较佳的,在所述获得所述智能卡安全设备的第三FIDO指令后还包括:对所述密码验证结果进行解析,若所述密码验证结果表示验证通过,则获得所述智能卡安全设备的访问权限。
较佳的,所述第一FIDO指令为FIDO注册响应指令,所述第二FIDO指令为FIDO认证请求指令,第三FIDO指令为FIDO认证响应指令。所述业务功能指令封装在KeyHandle中,所述业务功能响应数据封装在Signature中。
实施例五
图5示出本发明第五实施例的一种命令处理方法,由智能卡安全设备执行,本实施例的方法可以在FIDO规范的命令中加载预定协议的业务功能指令来实现相应的业务功能,包括:
S510:接收第二FIDO指令。
S520:若判断所述第二FIDO指令为扩展功能指令,则生成第三FIDO指令。
较佳的,所述判断所述第二FIDO指令为扩展功能指令包括:判断所述第二FIDO指令是否包括预定编码,若是,则判定所述第二FIDO指令为扩展功能指令。
S530:发送所述第三FIDO指令,所述第三FIDO指令包括对应于所述扩展功能的以预定格式封装的预定协议的业务功能响应数据。
较佳的,本实施例中的第二FIDO指令为FIDO认证请求指令,第三FIDO指令为FIDO认证响应指令。所述智能卡安全设备支持所述扩展功能时所述第二FIDO指令中包括以预定格式封装的预定协议的业务功能指令,所述业务功能指令封装在KeyHandle中,第三FIDO指令中的所述业务功能响应数据封装在Signature中。
较佳的,在接收所述第二FIDO指令之前还包括:
接收第六FIDO指令;
生成并发送第一FIDO指令,所述第一FIDO指令中包括指示所述智能卡安全设备支持预定的扩展功能的信息。
较佳的,所述第六FIDO指令为FIDO注册请求指令,所述第一FIDO指令为FIDO注册响应指令。所述指示所述智能卡安全设备支持预定的扩展功能的信息封装在KeyHandle或X509证书中。
实施例六
图6为本发明实施例的一种电子设备,包括存储器100、处理器200以及存储在存储器100中的程序,所述程序被配置成由处理器200执行,处理器200执行所述程序时实现:
第四实施例中由服务器执行的命令处理方法;或
第五实施例中的由智能卡安全设备执行的命令处理方法。
本发明实施例中,智能卡安全设备较佳的为智能卡安全设备,例如:USBKEY、蓝牙盾、智能卡,当然,并不限于此,也可以是例如:手机、平板电脑、inSE等其他支持FIDO规范指令的电子设备。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质(如ROM/RAM、磁碟、光盘等)中,包括若干指令用以使得一台设备(可以是个人计算机、服务器或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
上述实施方式仅为本发明的优选实施方式,不能以此来限定本发明保护的范围,本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换均属于本发明所要求保护的范围。

Claims (10)

1.一种命令处理方法,由智能卡安全设备执行,其特征在于,包括:
接收第一FIDO认证请求命令;
从所述第一FIDO认证请求命令中获取预设应用的APDU命令,执行所述APDU命令以得到第一响应数据;
将所述第一响应数据封装到第一FIDO认证响应命令中并返回。
2.如权利要求1所述的命令处理方法,其特征在于,所述APDU命令封装在所述第一FIDO认证请求命令的KeyHandle字段中,所述第一响应数据封装在所述第一FIDO认证响应命令的Signature字段中。
3.如权利要求1所述的命令处理方法,其特征在于,所述接收第一FIDO认证请求命令之前,还包括:
接收FIDO注册请求命令;
生成并发送FIDO注册响应命令,所述FIDO注册响应命令中包括指示智能卡安全设备支持所述预设应用的信息。
4.一种命令处理方法,其特征在于,包括:
服务器接收客户终端发送的交易请求;
所述服务器依据所述交易请求生成并向客户终端发送第一FIDO认证请求命令,所述第一FIDO认证请求命令中包括预设应用的APDU命令;
接收第一FIDO认证响应命令,并从所述第一FIDO认证响应命令中获取智能卡安全设备执行所述APDU命令得到的第一响应数据。
5.如权利要求4所述的命令处理方法,其特征在于,所述APDU命令封装在所述第一FIDO认证请求命令的KeyHandle字段中,所述第一响应数据封装在所述第一FIDO认证响应命令的Signature字段中。
6.如权利要求4所述的命令处理方法,其特征在于,在步骤服务器接收客户终端发送的交易请求之后还包括:服务器向客户终端发送FIDO注册请求命令,并接收智能卡安全设备执行所述FIDO注册请求命令得到的FIDO注册响应命令;根据所述FIDO注册响应命令判断所述智能卡安全设备是否支持预设应用,若不支持则拒绝所述交易请求。
7.如权利要求4所述的命令处理方法,其特征在于,所述方法还包括:
所述客户终端获取用户输入,并根据所述用户输入生成第一认证信息,将所述第一认证信息添加到向所述智能卡安全设备发送的第二FIDO认证请求的APDU命令中。
8.如权利要求4所述的命令处理方法,其特征在于,所述APDU命令包括从所述智能卡安全设备获取的随机数,所述客户终端根据用户输入和所述随机数生成所述第一认证信息,使用所述第一认证信息替换所述第一FIDO认证请求中的所述随机数,并向所述智能卡安全设备发送替换后的第一FIDO认证请求。
9.一种电子设备,其特征在于,包括存储器、处理器以及存储在存储器中的程序,所述程序被配置成由处理器执行,处理器执行所述程序时实现:
如权利要求1至8任一项所述的命令处理方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的命令处理方法。
CN201811045221.5A 2018-09-07 2018-09-07 一种命令处理方法、电子设备及存储介质 Active CN110889698B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201811045221.5A CN110889698B (zh) 2018-09-07 2018-09-07 一种命令处理方法、电子设备及存储介质
PCT/CN2019/099839 WO2020048287A1 (zh) 2018-09-07 2019-08-08 一种命令处理方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811045221.5A CN110889698B (zh) 2018-09-07 2018-09-07 一种命令处理方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN110889698A true CN110889698A (zh) 2020-03-17
CN110889698B CN110889698B (zh) 2023-07-07

Family

ID=69722187

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811045221.5A Active CN110889698B (zh) 2018-09-07 2018-09-07 一种命令处理方法、电子设备及存储介质

Country Status (2)

Country Link
CN (1) CN110889698B (zh)
WO (1) WO2020048287A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114938281A (zh) * 2022-07-21 2022-08-23 飞天诚信科技股份有限公司 一种安全设备的实现方法及安全设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105656890A (zh) * 2015-12-30 2016-06-08 深圳数字电视国家工程实验室股份有限公司 一种基于tee和无线确认的fido认证器及系统及方法
CN105721480A (zh) * 2016-03-02 2016-06-29 北京九州云腾科技有限公司 基于fido硬件的用户操作方法及系统
WO2016137271A1 (en) * 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd. Payment means operation supporting method and electronic device for supporting the same
CN107085790A (zh) * 2015-12-28 2017-08-22 三星电子株式会社 电子设备及其使用切换的支付执行方法
WO2018105850A1 (ko) * 2016-12-07 2018-06-14 주식회사 에스위너스 스마트 전자봉인 장치 및 그의 통합 관리 시스템 그리고 잠금 해제 방법
CN108234509A (zh) * 2018-01-16 2018-06-29 国民认证科技(北京)有限公司 基于tee和pki证书的fido认证器、认证系统及方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618117B (zh) * 2015-02-04 2018-06-12 北京奇虎科技有限公司 基于二维码的智能卡设备的身份认证装置及方法
US20170061419A1 (en) * 2015-08-28 2017-03-02 Samsung Electronics Co., Ltd. Payment information processing method and apparatus of electronic device
EP3408988B1 (en) * 2016-01-25 2020-06-17 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for network access
CN106789072A (zh) * 2016-12-26 2017-05-31 北京握奇智能科技有限公司 一种具有按键确认和nfc刷卡确认的fido设备及其工作方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016137271A1 (en) * 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd. Payment means operation supporting method and electronic device for supporting the same
CN107085790A (zh) * 2015-12-28 2017-08-22 三星电子株式会社 电子设备及其使用切换的支付执行方法
CN105656890A (zh) * 2015-12-30 2016-06-08 深圳数字电视国家工程实验室股份有限公司 一种基于tee和无线确认的fido认证器及系统及方法
CN105721480A (zh) * 2016-03-02 2016-06-29 北京九州云腾科技有限公司 基于fido硬件的用户操作方法及系统
WO2018105850A1 (ko) * 2016-12-07 2018-06-14 주식회사 에스위너스 스마트 전자봉인 장치 및 그의 통합 관리 시스템 그리고 잠금 해제 방법
CN108234509A (zh) * 2018-01-16 2018-06-29 国民认证科技(北京)有限公司 基于tee和pki证书的fido认证器、认证系统及方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CHAE等: ""Authentication Method using Multiple Biometric Information in FIDO Environment"", 《JOURNAL OF DIGITAL CONVERGENCE》 *
徐睿等: ""基于国密算法和PUF的企业用户身份认证系统"", 《计算机与现代化》 *
杨舟: ""FIDO的U2F认证器设计与实现"", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114938281A (zh) * 2022-07-21 2022-08-23 飞天诚信科技股份有限公司 一种安全设备的实现方法及安全设备
CN114938281B (zh) * 2022-07-21 2022-11-04 飞天诚信科技股份有限公司 一种安全设备的实现方法及安全设备

Also Published As

Publication number Publication date
CN110889698B (zh) 2023-07-07
WO2020048287A1 (zh) 2020-03-12

Similar Documents

Publication Publication Date Title
US11252569B2 (en) Method, system, and device for generating, storing, using, and validating NFC tags and data
TWI587167B (zh) Method and apparatus for user authentication
WO2017177383A1 (zh) 一种远程管理方法及设备
CN110784450A (zh) 一种基于浏览器的单点登录方法和装置
US20210390173A1 (en) Interaction Method and Apparatus
CN106257879B (zh) 一种下载应用的方法和装置
WO2018129753A1 (zh) 一种签约信息集的下载方法、装置以及相关设备
WO2019134494A1 (zh) 验证信息处理方法、通信设备、业务平台及存储介质
CN110889698B (zh) 一种命令处理方法、电子设备及存储介质
CN106569851B (zh) 应用程序处理方法及装置
CN110943827B (zh) 一种基于网络协议的数据获取方法及装置
CN108881320B (zh) 一种用户登陆的认证处理方法、服务器及客户端
CN110602051B (zh) 基于共识协议的信息处理方法及相关装置
CN115935321B (zh) 算法库的访问方法、装置及存储介质
CN114938281B (zh) 一种安全设备的实现方法及安全设备
EP3410332B1 (en) A system and method for transferring data to an authentication device
CN108574658B (zh) 一种应用登录方法及其设备
CN111756916A (zh) 应用处理方法、装置、电子设备及计算机存储介质
CN112149097B (zh) 身份认证方法、装置、设备及存储介质
CN114338060A (zh) 一种权限校验方法、装置、系统、设备及存储介质
CN112543454B (zh) 一种认证方法及设备
WO2024067165A1 (zh) 用于认证能力的处理方法、终端、系统和存储介质
CN111124565B (zh) 数据装载方法及装置
CN117313069A (zh) 基于页面公共头的单点登录方法、系统、设备和存储介质
JP2023084130A (ja) 情報処理装置、及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant