CN112311558A - 一种密钥设备的工作方法及密钥设备 - Google Patents

一种密钥设备的工作方法及密钥设备 Download PDF

Info

Publication number
CN112311558A
CN112311558A CN202011572632.7A CN202011572632A CN112311558A CN 112311558 A CN112311558 A CN 112311558A CN 202011572632 A CN202011572632 A CN 202011572632A CN 112311558 A CN112311558 A CN 112311558A
Authority
CN
China
Prior art keywords
key
module
fido2
user private
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011572632.7A
Other languages
English (en)
Other versions
CN112311558B (zh
Inventor
陆舟
于华章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Feitian Technologies Co Ltd
Original Assignee
Feitian Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Feitian Technologies Co Ltd filed Critical Feitian Technologies Co Ltd
Priority to CN202011572632.7A priority Critical patent/CN112311558B/zh
Publication of CN112311558A publication Critical patent/CN112311558A/zh
Application granted granted Critical
Publication of CN112311558B publication Critical patent/CN112311558B/zh
Priority to US17/773,687 priority patent/US20230163965A1/en
Priority to PCT/CN2021/117509 priority patent/WO2022142456A1/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephone Function (AREA)
  • Lock And Its Accessories (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开一种密钥设备的工作方法及密钥设备,包括:智能密钥装置接收认证指令,判断认证指令的类型,如果是FIDO2认证指令,解析FIDO2认证指令获取凭证,使用FIDO2对应的交换密钥校验凭证的完整性,如果校验成功,说明该凭证为FIDO2方式注册的凭证,生成认证响应,向客户端返回认证响应;如果校验失败,使用U2F对应的交换密钥校验凭证的完整性,如果校验成功,说明该凭证为U2F方式注册的凭证,生成认证响应,向客户端返回认证响应;如果校验失败,向客户端返回错误响应。通过本发明,实现了FIDO2可以认证U2F注册的凭证,同时U2F也可以认证FIDO2注册的凭证,提高了可用性和兼容性。

Description

一种密钥设备的工作方法及密钥设备
技术领域
本发明涉及一种密钥设备的工作方法及密钥设备,属于信息安全领域。
背景技术
FIDO(Fast Identity Online 联盟)是一个基于标准、可互操作的身份认证生态系统。FIDO2是FIDO联盟最新一套规范的总称。FIDO2使用户能够在移动和桌面环境中利用普通设备轻松地验证在线服务。U2F(Universal 2nd Factor)是FIDO联盟提出的使用标准公钥密码学技术提供更强有力的身份认证协议。目前,U2F和FIDO2在applet中可以做到二合一,也就是说一个applet可以既支持U2F功能,又支持FIDO2功能,但是两者的注册和认证是分开的,即用FIDO2注册需要用FIDO2来认证,用U2F注册,就需要用U2F来认证,如果用户使用FIDO2则不能互通,这样为用户的使用带来不便。
发明内容
根据本发明的一个方面,提供一种密钥设备的工作方法,包括:
步骤s1:密钥设备等待接收认证指令,当接收到认证指令时,判断认证指令的类型,如果为FIDO2认证指令,执行步骤s2;如果为U2F认证指令,执行步骤s7;
步骤s2:密钥设备解析FIDO2认证指令得到当前凭证,获取自身保存的FIDO2对应的交换密钥,根据FIDO2对应的交换密钥校验当前凭证的完整性,如果校验成功,则当前凭证为使用FIDO2方式注册的凭证,执行步骤s3;如果校验失败,执行步骤s4;
步骤s3:使用FIDO2对应的解密密钥解密当前凭证得到用户私钥和预设标志位,根据预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s6;否则,向客户端返回错误响应,退出;
步骤s4:密钥设备获取自身保存的U2F对应的交换密钥,根据U2F对应的交换密钥校验当前凭证的完整性,如果校验成功,则当前凭证为使用U2F注册方式注册的凭证,执行步骤s5;否则,向客户端返回错误响应,退出;
步骤s5:密钥设备使用U2F对应的解密密钥解密当前凭证得到用户私钥和预设标志位,根据预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s6;否则,向客户端返回错误响应,退出;
步骤s6:密钥设备根据当前凭证、用户私钥和FIDO2认证指令生成认证响应,向客户端返回认证响应,返回步骤s1;
步骤s7:密钥设备解析U2F认证指令得到密钥句柄,获取自身保存的U2F对应的交换密钥,根据U2F对应的交换密钥校验密钥句柄的完整性,如果校验成功,则密钥句柄为使用U2F方式注册的密钥句柄,执行步骤s8;否则,执行步骤s9;
步骤s8:密钥设备使用U2F对应的解密密钥解密密钥句柄得到用户私钥,执行步骤s11;
步骤s9:密钥设备获取自身保存的FIDO2对应的交换密钥,根据FIDO2对应的交换密钥校验密钥句柄的完整性,如果校验成功,则密钥句柄为使用FIDO2方式注册的密钥句柄,执行步骤s10;如果校验失败,向客户端返回错误响应,退出;
步骤s10:密钥设备使用FIDO2对应的解密密钥解密密钥句柄得到用户私钥和预设标志位,根据预设标志位判断密钥句柄的保护级别是否符合预设条件,如果是,执行步骤s11;否则,向客户端返回错误响应,退出;
步骤s11:密钥设备根据U2F认证指令和用户私钥生成认证响应,向客户端返回认证响应,返回步骤s1。
可选地,步骤s2中密钥设备解析FIDO2认证指令得到当前凭证具体为:密钥设备解析FIDO2认证指令得到白名单、依赖方标识,以及客户端参数;解析白名单得到当前凭证。
可选地,步骤s3具体为:
步骤s3-1:密钥设备使用FIDO2对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果明文以及扩展参数标志位;
步骤s3-2:密钥设备根据扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s3-3;否则,向客户端返回错误响应,退出;
步骤s3-3:密钥设备对用户私钥中间值进行预设运算得到用户私钥,执行步骤s6。
可选地,步骤s3-3中预设预算为逆位运算。
可选地,步骤s5具体包括:
步骤s5-1:密钥设备使用U2F对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位;
步骤s5-2:密钥设备根据扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s5-3;否则,向客户端返回错误响应,退出;
步骤s5-3:密钥设备对用户私钥中间值进行预设运算得到用户私钥。
可选地,步骤s5-3中的预设运算为逆位运算。
可选地,步骤s8具体包括:
步骤s8-1:密钥设备使用U2F对应的解密密钥解密密钥句柄得到用户私钥中间值、芯片标识明文和第二应用参数;
步骤s8-2:密钥设备对用户私钥中间值进行预设运算得到用户私钥,执行步骤s11。
可选地,步骤s8-2中预设运算为逆位运算。
可选地,步骤s11具体为:
密钥设备根据随机参数和应用参数组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据签名结果和U2F认证指令生成认证响应,向客户端返回所述认证响应。
根据本发明另一方面,提供一种密钥设备,包括:
接收模块,用于接收认证指令;
判断模块,用于当接收模块接收到认证指令时,判断认证指令的类型;
解析模块,用于当判断模块判断出认证指令为FIDO2认证指令时,解析FIDO2认证指令得到当前凭证;
校验模块,用于获取密钥设备自身保存的FIDO2对应的交换密钥,根据FIDO2对应的交换密钥校验解析模块解析FIDO2认证指令得到的当前凭证的完整性;
解密模块,用于当校验模块校验当前凭证的完整性校验成功时,使用FIDO2对应的解密密钥解密当前凭证得到用户私钥和预设标志位;
判断模块还用于根据解密模块得到的预设标志位判断当前凭证的保护级别是否符合预设条件;如果是,触发生成模块;否则,触发返回模块;
返回模块,用于当判断模块判断出当前凭证的保护级别不符合预设条件时,向客户端返回错误响应;
获取模块,用于获取密钥设备自身保存的U2F对应的交换密钥;
校验模块还用于,当获取模块获取到U2F对应的交换密钥时,根据U2F对应的交换密钥校验当前凭证的完整性,如果校验成功,则触发解密模块;如果校验失败,触发返回模块;
返回模块还用于当校验模块根据U2F对应的交换密钥校验当前凭证的完整性失败时,向客户端返回错误响应;
解密模块还用于当校验模块根据U2F对应的交换密钥校验当前凭证的完整性成功时,使用U2F对应的解密密钥解密当前凭证得到用户私钥和预设标志位;
判断模块还用于根据解密模块使用U2F对应的解密密钥解密当前凭证得到的预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发生成模块;否则,触发返回模块;
生成模块,用于当根据当前凭证、用户私钥和FIDO2认证指令生成认证响应,触发返回模块;
返回模块还用于向客户端返回生成模块生成的认证响应;
解析模块还用于解析U2F认证指令得到密钥句柄;
获取模块还用于获取密钥设备自身保存的U2F对应的交换密钥;
校验模块还用于根据获取模块获取的密钥设备自身保存的U2F对应的交换密钥校验密钥句柄的完整性,如果校验成功,触发解密模块;如果校验失败,触发获取模块;
解密模块还用于使用U2F对应的解密密钥解密密钥句柄得到用户私钥,触发生成模块;
获取模块还用于获取密钥设备自身保存的FIDO2对应的交换密钥;
校验模块还用于根据获取模块获取的密钥设备自身保存的FIDO2对应的交换密钥校验密钥句柄的完整性,如果校验成功,触发解密模块;如果校验失败,触发返回模块;
解密模块还用于使用FIDO2对应的解密密钥解密所述密钥句柄得到用户私钥和预设标志位;
判断模块还用于根据解密模块使用FIDO2对应的解密密钥解密密钥句柄得到的预设标志位判断密钥句柄的保护级别是否符合预设条件,如果是,触发生成模块;否则,触发返回模块;
生成模块还用于根据U2F认证指令和用户私钥生成认证响应。
可选地,密钥设备还包括:解密模块具体用于解析FIDO2认证指令得到白名单、依赖方标识,以及客户端参数;还用于解析白名单得到当前凭证。
可选地,密钥设备还包括:运算模块;
解密模块,用于当校验模块校验当前凭证的完整性校验成功时,使用FIDO2对应的解密密钥解密当前凭证得到用户私钥和预设标志位,具体为解密模块使用FIDO2对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果以及扩展参数标志位;
判断模块具体用于根据解密模块得到预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发运算模块;否则,触发返回模块;具体为判断模块根据解密模块得到扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发运算模块;否则,触发返回模块;
运算模块,用于对私钥中间值进行预设运算得到用户私钥。
可选地,运算模块具体用于对用户私钥中间值进行逆位运算。
可选地,密钥设备还包括:运算模块;
解密模块还用于当校验模块根据U2F对应的交换密钥校验当前凭证的完整性成功时,使用U2F对应的解密密钥解密当前凭证得到用户私钥和预设标志位,具体为解密模块用于使用U2F对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位;
判断模块还具体用于根据解密模块得到的扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发运算模块;否则,触发返回模块;
返回模块用于当判断模块判断出当前凭证的保护级别不符合预设条件时,向客户端返回错误响应;
运算模块还用于对私钥中间值进行预设运算得到用户私钥。
可选地,运算模块具体用于对私钥中间值进行逆位运算得到用户私钥。
可选地,解密模块还用于使用所述U2F对应的解密密钥解密所述密钥句柄得到所述用户私钥,具体为使用U2F对应的解密密钥解密密钥句柄得到用户私钥中间值、芯片标识明文和第二应用参数;
运算模块还用于对私钥中间值进行预设运算得到用户私钥,触发生成模块。
可选的,运算模块具体用于对用户私钥中间值进行逆位运算。
可选地,生成模块还用于根据U2F认证指令和所述用户私钥生成认证响应,具体为根据随机参数和应用参数组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据签名结果和U2F认证指令生成认证响应,触发返回模块;
返回模块还用于当生成模块生成认证响应时,向客户端返回认证响应。
通过本发明,FIDO2可以认证U2F注册的凭证,同时U2F也可以认证FIDO2注册的凭证,提高了可用性和兼容性。
附图说明
图1为根据本发明实施例一提供的一种密钥设备的工作方法的流程图;
图2为根据本发明实施例二提供的一种密钥设备的工作方法的流程图;
图3为根据本发明实施例三提供的一种密钥设备的工作方法的流程图;
图4为根据本发明实施例四提供的一种密钥设备的工作方法的流程图;
图5为根据本发明实施例五提供的一种密钥设备的模块框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
根据本发明实施例一提供一种密钥设备的工作方法,如图1所示,包括:
步骤s1:密钥设备等待接收认证指令,当接收到认证指令时,判断认证指令类型,如果为FIDO2认证指令,执行步骤s2;如果为U2F认证指令,执行步骤s7;
步骤s2:密钥设备解析FIDO2认证指令得到当前凭证,获取自身保存的FIDO2对应的交换密钥,根据FIDO2对应的交换密钥校验当前凭证的完整性,如果校验成功,则当前凭证为使用FIDO2方式注册的凭证,执行步骤s3;如果校验失败,执行步骤s4;
步骤s3:密钥设备使用FIDO2对应的解密密钥解密当前凭证得到用户私钥和预设标志位,根据预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s6;否则,向客户端返回错误响应,退出;
步骤s4:密钥设备获取自身保存的U2F对应的交换密钥,根据U2F对应的交换密钥校验当前凭证的完整性,如果校验成功,则当前凭证为使用U2F注册方式注册的凭证,执行步骤s5;如果校验失败,向客户端返回错误响应,退出;
步骤s5:密钥设备使用U2F对应的解密密钥解密当前凭证得到用户私钥和预设标志位,根据预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s6;否则,向客户端返回错误响应,退出;
步骤s6:密钥设备根据当前凭证、用户私钥和FIDO2认证指令生成认证响应,向客户端返回认证响应,返回步骤s1;
步骤s7:密钥设备解析U2F认证指令得到密钥句柄,获取自身保存的U2F对应的交换密钥,根据U2F对应的交换密钥校验密钥句柄的完整性,如果校验成功,则密钥句柄为使用U2F方式注册的密钥句柄,执行步骤s8;如果校验失败,执行步骤s9;
步骤s8:密钥设备使用U2F对应的解密密钥解密密钥句柄得到用户私钥,执行步骤s11;
步骤s9:密钥设备获取自身保存的FIDO2对应的交换密钥,根据FIDO2对应的交换密钥校验密钥句柄的完整性,如果校验成功,则密钥句柄为使用FIDO2方式注册的密钥句柄,执行步骤s10;如果校验失败,向客户端返回错误响应,退出;
步骤s10:密钥设备使用FIDO2对应的解密密钥解密密钥句柄得到用户私钥和预设标志位,根据预设标志位判断密钥句柄的保护级别是否符合预设条件,如果是,执行步骤s11;否则,向客户端返回错误响应,退出;
步骤s11:密钥设备根据U2F认证指令和用户私钥生成认证响应,向客户端返回认证响应,返回步骤s1。
可选地,步骤s2中密钥设备解析FIDO2认证指令得到当前凭证具体为:密钥设备解析FIDO2认证指令得到白名单、依赖方标识,以及客户端参数;解析白名单得到当前凭证。
可选地,步骤s3具体为:
步骤s3-1:密钥设备使用FIDO2对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果明文以及扩展参数标志位;
步骤s3-2:密钥设备根据扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s3-3;否则,向客户端返回错误响应,退出;
步骤s3-3:密钥设备对用户私钥中间值进行预设运算得到用户私钥,执行步骤s6。
可选地,步骤s3-3中预设预算为逆位运算。
可选地,步骤s5具体包括:
步骤s5-1:密钥设备使用U2F对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位;
步骤s5-2:密钥设备根据扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s5-3;否则,向客户端返回错误响应,退出;
步骤s5-3:密钥设备对用户私钥中间值进行预设运算得到用户私钥。
可选地,步骤s5-3中的预设运算为逆位运算。
可选地,步骤s8具体包括:
步骤s8-1:密钥设备使用U2F对应的解密密钥解密密钥句柄得到用户私钥中间值、芯片标识明文、第二应用参数;
步骤s8-2:密钥设备对用户私钥中间值进行预设运算得到用户私钥,执行步骤s11。
可选地,步骤s8-2中预设运算为逆位运算。
可选地,步骤s11具体为:
密钥设备根据随机参数、应用参数组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据签名结果和U2F认证指令生成认证响应,向客户端返回所述认证响应。
实施例二
根据本发明实施例二,提供一种密钥设备的工作方法,如图2所示,包括:
步骤s201:密钥设备等待接收认证指令,当接收到认证指令时,判断认证指令类型,当认证指令为FIDO2认证指令时,执行步骤s202;当认证指令为U2F认证指令时,执行步骤s214;
可选地,密钥设备根据传入的APDU的CLA的值判断指令类型,如果CLA的值为80,则认证指令为FIDO2认证指令;如果CLA的值为00,则认证指令为U2F认证指令。
例如:当密钥设备接收到认证指令时,判断指令类型,如果指令为80 00 bb 02 A601 76 77 65 62 61 75 74 68 6E 74 65 73 74 2E 66 74 73 61 66 65 2E 63 6E 02 5820 08 EE B3 85 94 BC 89 A4 EA 25 7D 8C 53 80 31 EE B9 2D 69 E3 F5 3D E1 7E 028E 73 1F 6D 74 02 EF 03 81 A2 62 69 64 58 20 3B B4 14 44 53 CF 8B B6 39 05 B482 28 B7 E9 B1 F4 15 C4 D2 91 A7 B5 CC 14 AA 8F FA 17 27 1A ED 64 74 79 70 656A 70 75 62 6C 69 63 2D 6B 65 79 05 A1 62 75 70 F5 06 50 06 95 CA AE A2 43 3846 F0 E5 5D C1 DF 36 FC 73 07 01或者80 00 bb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时,认证指令为FIDO2认证指令;当认证指令为00020300000091CFF69B107235A3E56E18BAA270A3A097DDBD75F4713E7C8126491E9057DC32310102030405060708090A0B0C0D0E0F100102030405060708090A0B0C0D0E0F10509C3BDE1387CEDD769DEE530F3618845CB4D0FFFEB57A755B4A7909D762CBDCD9DF5BB2D531858DB4027E41AD071958FD29DEE200BE9C8C62140BA1EE0B26CC6F40BEBC02B8B0A500B9A0D43692A12B290000时,认证指令为U2F认证指令;
步骤s202:密钥设备解析FIDO2认证指令得到白名单、依赖方标识,以及客户端参数,解析白名单获得当前凭证;
例如:解析后的结构:
{1: "webauthntest.ftsafe.cn", 2: h'5B69620E9D1EFDAE08AA4A998889DE1EF30CC1DBA63CE04D984A806548DF4729', 3: [{"id": h'63A14D03876FC78D1748F107019C9CD7F899BB7AB491EF0C753110B1CBCA1F97D8DBE1C35924A39176A4AC6805870B03B492BE26F2A48C3775AE56581D2C34AB9832B43ADBC85DCDB9F4EA824EF4D345DB9CC6A5206D783B181B377835563EF7', "type": "public-key"}], 5: {"up": true}}
其中1-rpid 2-clientDataHash 3-allowList白名单 5-option
白名单具体为:63A14D03876FC78D1748F107019C9CD7F899BB7AB491EF0C753110B1CBCA1F97D8DBE1C35924A39176A4AC6805870B03B492BE26F2A48C3775AE56581D2C34AB9832B43ADBC85DCDB9F4EA824EF4D345;
步骤s203:密钥设备判断当前凭证的长度,如果为第一预设长度,则查找密钥设备中保存的匹配凭证,执行步骤s212;如果为第二预设长度,执行步骤s204;
可选地,密钥设备判断当前凭证的长度,如果当前凭证的长度为32字节,则查找密钥设备中保存的匹配凭证,执行步骤s212;如果当前凭证的长度为96字节,则执行步骤s204;
例如,当当前凭证为3BB4144453CF8BB63905B48228B7E9B1F415C4D291A7B5CC14AA8FFA17271AED时,当前凭证的长度为32字节,则查找密钥设备中保存的匹配凭证,执行步骤s212;当当前凭证为63A14D03876FC78D1748F107019C9CD7F899BB7AB491EF0C753110B1CBCA1F97D8DBE1C35924A39176A4AC6805870B03B492BE26F2A48C3775AE56581D2C34AB9832B43ADBC85DCDB9F4EA824EF4D345DB9CC6A5206D783B181B377835563EF7时,当前凭证长度为96字节,则执行步骤s204;
步骤s204:密钥设备获取自身保存的FIDO2对应的交换密钥,使用FIDO2对应的交换密钥校验当前凭证的完整性,如果校验成功,执行步骤s205;如果校验失败,执行步骤s206;
可选地,当FIDO2对应的交换密钥校验当前凭证完整性成功,则说明所述凭证为FIDO2注册;
可选地,步骤s204具体包括:
步骤s204-1:密钥设备解析白名单获得第一密文和第一MAC值;
其中,第一密文为将32字节私钥中间值、32字节客户端参数、8字节芯片标识(chipid)、一个字节的扩展标志位和7字节的默认填充值加密得到的密文。
例如,解析白名单得到的第一密文为:63A14D03876FC78D1748F107019C9CD7F899BB7AB491EF0C753110B1CBCA1F97D8DBE1C35924A39176A4AC6805870B03B492BE26F2A48C3775AE56581D2C34AB9832B43ADBC85DCDB9F4EA824EF4D345;
第一MAC值为:DB9CC6A5206D783B181B377835563EF7;
步骤s204-2:密钥设备使用FIDO2的交换密钥根据预设算法对第一密文进行运算,得到第二MAC值,判断第二MAC值和第一MAC值是否相同,是则当前凭证完整性校验成功,执行步骤s205;否则,当前凭证完整性校验失败,执行步骤s206。
例如,对第一密文63A14D03876FC78D1748F107019C9CD7F899BB7AB491EF0C753110B1CBCA1F97D8DBE1C35924A39176A4AC6805870B03B492BE26F2A48C3775AE56581D2C34AB9832B43ADBC85DCDB9F4EA824EF4D345进行signatureX.ALG_AES_CMAC16运算得到第二MAC值为DB9CC6A5206D783B181B377835563EF7;则第一MAC值与第二MAC值相同,当前凭证完整性,校验成功,执行步骤s205。
步骤s205:密钥设备使用FIDO2对应的解密密钥解密当前凭证得到用户私钥中间值、chipid明文、依赖方标识哈希结果明文以及预设标志位;执行步骤s208;
可选地,步骤s205具体为:密钥设备使用FIDO2解密密钥解密当前凭证得到32字节用户私钥中间值、8字节chipid明文、32字节rpidhash明文以及1字节扩展参数标志位,执行步骤s208。
步骤s206:密钥设备获取自身保存的U2F对应的交换密钥,使用U2F对应的交换密钥校验当前凭证的完整性,如果校验成功,则执行步骤s207;如果校验失败,则向客户端返回错误响应,退出;
例如:认证指令为80 00 bb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解析后的数据结构为:
{1: "webauthntest.ftsafe.cn", 2: h'5677F351CAAD3216D5970769E7366A3DE725EF81A3EFA6E3894DA465374CD6FF', 3: [{"id": h'FAF53E153F17F8C762A9B7B3685AAAC4D8977DF93994BF5C8DD094FDF41578810730F5290122339B3BE45BEA7297247B7030323E32B62B2D4C335825E7CC67F41649FAF078CC6D3C3D0A75BE24C5898B0BDAD5867109F3311D1FF3281E42C9E4', "type": "public-key"}], 5: {"up": true}}
其中1代表的是rpid 2代表的是clientDataHash 3代表的是allowList白名单 5代表的是option
白名单数据密文数据:
FAF53E153F17F8C762A9B7B3685AAAC4D8977DF93994BF5C8DD094FDF41578810730F5290122339B3BE45BEA7297247B7030323E32B62B2D4C335825E7CC67F41649FAF078CC6D3C3D0A75BE24C5898B值:
0BDAD5867109F3311D1FF3281E42C9E4;
可选地,步骤s206包括:
步骤s206-1:密钥设备解析当前凭证获取第一密文和第一MAC值;
步骤s206-2:密钥设备使用U2F对应的交换密钥对第一密文进行预设运算得到第二MAC值,判断第一MAC值和第二MAC值是否相同,是则当前凭证完整性校验成功,执行步骤s207;否则,当前凭证完整性校验失败,向客户端返回错误响应,退出。
步骤s207:密钥设备使用U2F对应的解密密钥解密当前凭证得到用户私钥中间值、chipid明文、rpidhash明文以及预设标志位;
可选地,步骤s207具体为:密钥设备使用U2F解密密钥解密当前凭证得到32字节用户私钥中间值、8字节chipid明文、32字节rpidhash明文、1字节扩展参数标志位以及7字节默认填充值;
其中,1字节的扩展参数标志位为默认值0。
步骤s208:密钥设备根据预设标志位判断FIDO2注册保护级别是否符合预设条件,如果是,执行步骤s209;否则,向客户端返回错误响应,退出。
例如:如果扩展的预设标志位为默认0,则不支持扩展,如果为1,则支持扩展项hmac-secret,如果为2,则支持扩展项credential-prodect且保护级别为1级默认级别,如果为3,则支持扩展项hmac-secret和credential-prodect且保护级别为1级默认级别,如果为4,支持扩展项credential-prodect且保护级别为2级需携带白名单认证级别,如果为5,则支持扩展项hmac-secret和credential-prodect且保护级别为2级需携带白名单认证级别,如果为8支持扩展项credential-prodect且保护级别为3级最高级别必须验证用户标识(user verification)一般指指纹或者虹膜等。如果为9,支持扩展项hmac-secret和credential-prodect且保护级别为3级最高级别必须验证用户标识(user verification)一般指指纹或者虹膜等。
步骤s209:密钥设备对用户私钥中间值进行预设运算得到并保存用户私钥;
可选地,步骤s209具体为:密钥设备对用户私钥中间值进行逆位运算得到并保存用户私钥。
例如:将私钥与rapidhash参数进行异或得到的私钥中间值,逆运算就是使用私钥中间值与rapidhash参数再次异或及得到私钥正确数据。
步骤s210:密钥设备获取自身保存的chipid明文,判断解密当前凭证得到的chipid明文和自身保存的chipid明文是否相同,如果是,执行步骤s211;否则,向客户端返回错误响应,退出。
步骤s211:密钥设备将依赖方标识进行哈希运算得到哈希结果,判断解密当前凭证得到的rpidhash明文和哈希结果是否相同,如果是,对应保存当前凭证、用户私钥以及rpidhash明文,执行步骤s212;否则,向客户端返回错误响应,退出。
步骤s212:密钥设备提示用户确认,判断是否接收到用户确认信息,如果是,执行步骤s213;否则,向客户端返回错误响应,退出。
步骤s213:密钥设备根据当前凭证、用户私钥以及rpidhash明文组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据签名结果和接收到的FIDO2认证指令生成认证响应,向客户端返回认证响应,返回步骤s201。
步骤s214:密钥设备解析U2F认证指令得到密钥句柄、随机参数,以及第一应用参数;
例如:U2F认证指令为00020300000091CFF69B107235A3E56E18BAA270A3A097DDBD75F4713E7C8126491E9057DC32310102030405060708090A0B0C0D0E0F100102030405060708090A0B0C0D0E0F10509C3BDE1387CEDD769DEE530F3618845CB4D0FFFEB57A755B4A7909D762CBDCD9DF5BB2D531858DB4027E41AD071958FD29DEE200BE9C8C62140BA1EE0B26CC6F40BEBC02B8B0A500B9A0D43692A12B290000,解析U2F认证指令得到32字节随机参数:CFF69B107235A3E56E18BAA270A3A097DDBD75F4713E7C8126491E9057DC3231;32字节的应用参数:0102030405060708090A0B0C0D0E0F100102030405060708090A0B0C0D0E0F10;1字节句柄长度:96;句柄内容A8CCF559C0792DE1E88938AED2975E144FDD5FF1376811B90CA17CDC0666A59B6ACEC983C365BC63C892B24F5C9AE40F51F30D8865E74EABFCB2A997A71F30D7308E047909034150B660353410FB19F08062523A2EA04D244C87BE6A60AF094E。
步骤s215:密钥设备获取自身保存的U2F认证指令对应的交换密钥,使用U2F认证指令对应的交换密钥校验密钥句柄的完整性,如果校验成功,执行步骤s216;否则,执行步骤s217;
可选地,步骤s215具体包括:
步骤s215-1:密钥设备解析密钥句柄得到第二密文和第三MAC值;
步骤s215-2:密钥设备使用U2F对应的交换密钥对第二密文进行预设运算得到第四MAC值,判断第三MAC值和第四MAC值是否相同,如果是,密钥句柄完整性校验成功,执行步骤s216;否则,密钥句柄完整性校验失败,执行步骤s217。
步骤s216:密钥设备使用U2F对应的解密密钥解密密钥句柄得到用户私钥中间值、chipid明文、第二应用参数,执行步骤s220;
可选地,步骤s216具体为:密钥设备使用U2F解密密钥解密密钥句柄得到用户私钥中间值、chipid明文、第二应用参数,执行步骤s220;
步骤s217:密钥设备获取自身保存的FIDO2对应的交换密钥,使用FIDO2对应的交换密钥校验密钥句柄的完整性,如果校验成功,执行步骤s218;如果校验失败,向客户端返回错误响应,退出。
可选地,步骤s217具体包括:
步骤s217-1:密钥设备解析密钥句柄得到第二密文和第三MAC地址;
步骤s217-2:密钥设备使用FIDO2对应的交换密钥对第二密文进行预设运算的得到第四MAC值,判断第三MAC值和第四MAC值是否相同,如果是,校验成功,执行步骤s218;否则,校验失败,向客户端返回错误响应,退出。
例如,步骤s215-2和步骤s217-2种提到的预设算法为SignatureX.ALG_AES_CMAC16算法。
步骤s218:密钥设备使用FIDO2对应的解密密钥解密密钥句柄得到用户私钥中间值、chipid明文、第二应用参数以及预设标志位;
可选地,步骤s218具体为密钥设备使用FIDO2解密密钥解密密钥句柄得到用户私钥中间值、chipid明文、第二应用参数以及扩展参数标志位。
步骤s219:密钥设备根据预设标志位判断FIDO2注册保护级别是否符合预设条件,如果是,执行步骤s220;否则,向客户端返回错误响应,退出。
可选地,步骤s219具体为:密钥设备根据扩展参数标志位判断保护级别,如果保护级别为第一或者第二级别,则保护级别符合预设条件,执行步骤s220;如果保护级别为第三级别,则保护级别不符合预设条件,向客户端返回错误响应,退出。
例如:如果扩展标志位为8或者以上级别需要支持扩展项credential-prodect且保护级别为3级最高级别必须验证用户标识(user verification)一般指指纹或者虹膜等,u2f不支持user verification的验证,所以安全级别不满足,返回对应错误码。
步骤s220:密钥设备对用户私钥中间值进行预设运算得到并保存用户私钥;
可选地,步骤s220具体为:密钥设备对用户私钥中间值进行逆位运算得到并保存用户私钥。
例如:将私钥与应用参数进行异或得到的私钥中间值,逆运算就是使用私钥中间值与应用参数再次异或及得到私钥正确数据。
步骤s221:密钥设备获取自身保存的chipid明文,判断解密密钥句柄得到的chipid明文和自身保存的chipid明文是否相同,如果是,执行步骤s222;否则,向客户端返回错误响应,退出。
步骤s222:密钥设备判断第一应用参数和第二应用参数是否相同,如果是,执行步骤s223;否则,向客户端返回错误响应,退出。
步骤s223:密钥设备提示用户确认,判断是否接收到用户确认信息,如果是,执行步骤s224;否则,向客户端返回错误响应,退出。
步骤s224:密钥设备根据随机参数和应用参数组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据U2F认证指令和签名结果生成认证响应,向客户端返回认证响应,返回步骤s201。
实施例三
根据本发明实施例三提供一种密钥设备的方法,如图3所示,包括:
步骤s301:密钥设备接收客户端发送的U2F认证指令,解析U2F认证指令获取密钥句柄和应用参数明文;
步骤s302:密钥设备使用U2F的交换密钥校验密钥句柄的完整性,如果校验成功,执行步骤s304;如果校验失败,执行步骤s303;
可选地,步骤s302具体包括:
步骤s302-1:密钥设备解析密钥句柄获得第二密文和第二密文的第一MAC地址;
步骤s302-2:密钥设备用U2F的交换密钥根据预设算法对第二密文进行运算,得到第二密文的第二MAC地址,判断第二密文的第一MAC地址与第二密文的第二MAC地址是否相同,如果是,密钥句柄完整性校验成功,执行步骤s304;否则,密钥句柄完整性校验失败,执行步骤s303;
具体地,当密钥句柄完整性校验成功时,说明注册和认证的类型相同;当密钥句柄完整性校验失败时,说明注册和认证的类型不同。
例如:预设算法为SignatureX.ALG_AES_CMAC16算法。
步骤s303:密钥设备使用FIDO2的交换密钥校验密钥句柄的完整性,如果校验成功,执行步骤s304;如果校验失败,向客户端返回错误响应,退出。
可选地,步骤s303具体包括:
步骤s303-1:密钥设备解析密钥句柄获得第二密文和第二密文的第一MAC地址;
步骤s303-2:密钥设备用FIDO2的交换密钥根据预设算法对第二密文进行运算,得到第二密文的第二MAC地址,判断第二密文的第一MAC地址与第二密文的第二MAC地址是否相同,如果是,密钥句柄完整性校验成功,执行步骤s304;否则,密钥句柄完整性校验失败,向客户端返回失败响应,退出;
步骤s304:密钥设备使用第一密钥解密第二密文得到用户私钥中间值,应用参数明文以及芯片标识明文;
具体地,第二密文为将用户私钥中间值、应用参数明文和chipid明文加密后的到的密文。
可选地,步骤s304具体为:密钥设备使用U2F的AES解密密钥解密第二密文得到用户私钥中间值、应用参数明文,以及芯片标识明文。
步骤s305:密钥设备根据密钥句柄指定位的数据值判断密钥句柄的保护级别是否满足预设条件,如果是,执行步骤s306;否则,向客户端返回错误响应,退出。
可选地,步骤s305中密钥设备根据密钥句柄指定位的数据值判断密钥句柄的保护级别是否满足预设条件具体为:密钥设备根据指定位的数据值判断密钥句柄的保护级别,如果为第一级别或者第二级别,保护级别满足预设条件;如果为第三级别,保护级别不满足预设条件。
步骤s306:密钥设备对用户私钥中间值进行逆位运算得到用户私钥;
步骤s307:密钥设备判断得到的芯片标识明文和密钥设备中保存的芯片标识明文是否相同,如果是,执行步骤s308;否则,认证失败,向客户端返回错误响应,退出;
步骤s308:密钥设备判断解析第二密文得到的应用参数明文和从U2F认证指令中获取到的应用参数明文是否相同,如果是,执行步骤s309;否则,认证失败,向客户端返回错误响应,退出;
步骤s309:密钥设备提示用户确认,判断是否接收到用户确认信息,如果是,执行步骤s310;否则,向客户端返回错误响应,退出。
可选地,步骤s309具体为:密钥设备提示用户按键确认,判断是否接收到用户的按键确认,如果是,执行步骤s310;否则,认证失败,向客户端返回错误响应,退出。
步骤s310:密钥设备组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据U2F认证指令和签名结果组织认证响应,并向客户端返回认证响应,结束。
实施例四
根据本发明实施例四提供一种密钥设备的工作方法,如图4所示,包括:
步骤s401:密钥设备接收客户端发送的FIDO2认证指令,解析接收到的FIDO2认证指令得到白名单、依赖方标识和客户端参数明文;
步骤s402:密钥设备解析白名单得到当前凭证,判断当前凭证长度,如果长度为第一预设值,则根据依赖方标识在密钥设备中查找匹配凭证,执行步骤s410;如果白名单的长度为第二预设值,执行步骤s403;
可选地,步骤s402具体为:密钥设备解析白名单,获取当前凭证,判断当前凭证长度,如果长度为32字节,根据依赖方标识在密钥设备中查找匹配凭证,执行步骤s410;如果长度为96字节,执行步骤s403;
可选地,当当前凭证长度为32字节时,则该凭证是通过FIDO2在常驻密钥(residentkey, rk)为ture情况下注册的凭证,此时密钥设备保存了用户注册相关消息,可通过认证时传入的依赖方(relying party, rp)标识查找到对应的凭证信息;当当前凭证长度为96字节时,此凭证可能是来源于FIDO2或者U2F注册,执行步骤s403;
步骤s403:密钥设备使用FIDO2的交换密钥验证当前凭证是否完整,如果校验成功,执行步骤s405;如果校验失败,执行步骤s404;
可选地,步骤s403具体包括:
步骤s403-1:密钥设备解析当前凭证获取第一密文和第一密文的第一MAC值;
其中,第一密文包括将32字节私钥中间值、32字节客户端参数以及16字节的chipid加密所得的密文。
步骤s403-2:密钥设备用FIDO2的交换密钥根据预设算法对第一密文进行运算,得到第二MAC值,判断第二MAC值和第一MAC值是否相同,如果是,当前凭证完整性校验成功,执行步骤s405;否则,当前凭证完整性校验失败,执行步骤s404;
具体地,如果当前凭证完整性校验成功说明注册和认证的类型相同;如果校验失败,说明注册和认证的类型不同。
例如,预设算法为SignatureX.ALG_AES_CMAC16算法。
步骤s404:密钥设备使用U2F的交换密钥校验当前凭证的完整性,如果校验成功,执行步骤s405;如果校验失败,向客户端返回错误响应,退出。
可选地,密钥设备使用U2F的交换密钥校验当前凭证的完整性具体为:
步骤s404-1:密钥设备解析当前凭证获取第一密文和第一密文的第一MAC值;
步骤s404-2:密钥设备使用U2F的交换密钥根据预设算法对第一密文进行运算得到第二MAC值,判断第一MAC值和第二MAC值是否相同,如果是,当前凭证完整性校验成功,执行步骤s405;否则,当前凭证完整性校验失败,认证失败,向客户端返回错误响应,退出。
步骤s405:密钥设备使用第一密钥解密第一密文得到用户私钥中间值、客户端参数明文,以及芯片标识(chipid)明文;
可选地,步骤s405具体为:密钥设备使用FIDO2的AES解密密钥解密第一密文得到用户私钥中间值(NONCE)、客户端参数明文,以及芯片标识明文;
步骤s406:密钥设备对用户私钥中间值进行逆位运算得到并保存用户私钥;
可选地,密钥设备对用户私钥中间值进行逆位运算具体为:
密钥设备对用户私钥中间值与客户端参数进行高低位交位操作得到并保存用户私钥。
步骤s407:密钥设备判断得到的芯片标识明文与自身保存的芯片标识明文是否相同,如果是,执行步骤s408;否则,向客户端返回错误响应,退出;
步骤s408:密钥设备判断解析第一密文得到的客户端参数明文和解析FIDO2认证指令得到的客户端参数明文是否相同,如果是,执行步骤s409;否则,向客户端返回错误响应,退出。
步骤s409:密钥设备将当前凭证和依赖方标识对应保存;
步骤s410:密钥设备提示用户确认,等待接收用户确认信息,判断是否接收到用户确认信息,如果是,执行步骤s411;否则,向客户端返回错误响应,退出;
可选地,当密钥设备没有接收到用户确认信息时,还包括:密钥设备判断是否超时,如果是,认证失败,向客户端返回错误响应,退出;否则,继续等待接收用户确认信息;
步骤s411:密钥设备组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据FIDO2认证指令和签名结果得到认证响应,向客户端返回认证响应,结束。
实施例五
根据本发明实施例五,提供一种密钥设备,如图5所示,包括:
接收模块501,用于接收认证指令;
判断模块502,用于当接收模块501接收到认证指令时,判断认证指令类型;
解析模块503,用于当判断模块502判断出认证指令为FIDO2认证指令时,解析FIDO2认证指令得到当前凭证;
校验模块504,用于获取密钥设备自身保存的FIDO2对应的交换密钥,根据FIDO2对应的交换密钥校验解析模块得到的当前凭证的完整性;
解密模块505,用于,当校验模块504校验当前凭证的完整性校验成功时,使用FIDO2对应的解密密钥解密当前凭证得到用户私钥和预设标志位;
判断模块502还用于根据解密模块505得到的预设标志位判断当前凭证的保护级别是否符合预设条件;如果是,触发生成模块506;否则,触发返回模块507;
返回模块507,用于当判断模块502判断出当前凭证的保护级别不符合预设条件时,向客户端返回错误响应;
获取模块508,用于获取密钥设备自身保存的U2F对应的交换密钥;
校验模块504还用于,当获取模块508获取到U2F对应的交换密钥时,根据U2F对应的交换密钥校验当前凭证的完整性,如果校验成功,则触发解密模块505;如果校验失败,触发返回模块507;
返回模块507还用于当校验模块504根据U2F对应的交换密钥校验当前凭证的完整性失败时,向客户端返回错误响应;
解密模块505还用于当校验模块504根据U2F对应的交换密钥校验当前凭证的完整性成功时,使用U2F对应的解密密钥解密当前凭证得到用户私钥和预设标志位;
判断模块502还用于根据解密模块505使用U2F对应的解密密钥解密当前凭证得到的预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发生成模块506;否则,触发返回模块507;
生成模块506,用于当根据当前凭证、用户私钥和FIDO2认证指令生成认证响应,触发返回模块507;
返回模块507还用于向客户端返回生成模块506生成的认证响应;
解析模块503还用于解析U2F认证指令得到密钥句柄;
获取模块508还用于获取密钥设备自身保存的U2F对应的交换密钥;
校验模块504还用于根据获取模块508获取的密钥设备自身保存的U2F对应的交换密钥校验密钥句柄的完整性,如果校验成功,触发解密模块505;如果校验失败,触发获取模块508;
解密模块505还用于使用U2F对应的解密密钥解密密钥句柄得到用户私钥,触发生成模块;
获取模块508还用于获取密钥设备自身保存的FIDO2对应的交换密钥;
校验模块504还用于根据获取模块508获取的密钥设备自身保存的FIDO2对应的交换密钥校验密钥句柄的完整性,如果校验成功,触发解密模块505;如果校验失败,触发返回模块507;
解密模块505还用于使用FIDO2对应的解密密钥解密所述密钥句柄得到用户私钥和预设标志位;
判断模块502还用于根据解密模块使用FIDO2对应的解密密钥解密密钥句柄得到的预设标志位判断密钥句柄的保护级别是否符合预设条件,如果是,触发生成模块506;否则,触发返回模块507;
生成模块506还用于根据U2F认证指令和用户私钥生成认证响应。
可选地,解密模块505具体用于解析FIDO2认证指令得到白名单、依赖方标识,以及客户端参数;还用于解析白名单得到当前凭证。
可选地,密钥设备还包括:运算模块;
解密模块505,用于当校验模块504校验当前凭证的完整性校验成功时,使用FIDO2对应的解密密钥解密当前凭证得到用户私钥和预设标志位,具体为解密模块使用FIDO2对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果以及扩展参数标志位;
判断模块502具体用于根据解密模块505得到预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发运算模块;否则,触发返回模块507,具体为判断模块502根据解密模块505得到扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发运算模块;否则,出发返回模块507;
运算模块,用于对私钥中间值进行预设运算得到用户私钥。
可选地,运算模块具体用于对用户私钥中间值进行逆位运算得到用户私钥。
可选地,密钥设备还包括:运算模块;
解密模块505还用于当校验模块504根据U2F对应的交换密钥校验当前凭证的完整性成功时,使用U2F对应的机密密钥解密当前凭证得到用户私钥和预设标志位,具体用于使用U2F对应的解密密钥解密当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位;
判断模块502还具体用于根据解密模块505得到的扩展参数标志位判断当前凭证的保护级别是否符合预设条件,如果是,触发运算模块;否则,触发返回模块507;
返回模块507用于当判断模块502判断出当前凭证的保护级别不符合预设条件时,向客户端返回错误响应;
运算模块还用于对私钥中间值进行预设运算得到用户私钥。
可选地,运算模块具体用于对私钥中间值进行逆位运算得到用户私钥。
可选地,密钥设备还包括:运算模块;
解密模块505还用于使用所述U2F对应的解密密钥解密所述密钥句柄得到所述用户私钥,具体用于使用U2F对应的解密密钥解密密钥句柄得到用户私钥中间值、芯片标识明文、第二应用参数;
运算模块还用于对私钥中间值进行预设运算得到用户私钥,触发生成模块506。
可选的,运算模块具体用于对用户私钥中间值进行逆位运算得到用户私钥。
可选地,生成模块506还用于根据U2F认证指令和所述用户私钥生成认证响应,具体为根据随机参数、应用参数组织签名数据,使用用户私钥对签名数据进行签名得到签名结果,根据签名结果和U2F认证指令生成认证响应,触发返回模块507;
返回模块507还用于当生成模块506生成认证响应时,向客户端返回认证响应。

Claims (18)

1.一种密钥设备的工作方法,其特征在于,包括:
步骤s1:密钥设备等待接收认证指令,当接收到所述认证指令时,判断所述认证指令的类型,如果为FIDO2认证指令,执行步骤s2;如果为U2F认证指令,执行步骤s7;
步骤s2:所述密钥设备解析所述FIDO2认证指令得到当前凭证,获取自身保存的FIDO2对应的交换密钥,根据所述FIDO2对应的交换密钥校验所述当前凭证的完整性,如果校验成功,则所述当前凭证为使用FIDO2方式注册的凭证,执行步骤s3;如果校验失败,执行步骤s4;
步骤s3:所述密钥设备使用FIDO2对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位,根据所述预设标志位判断所述当前凭证的保护级别是否符合预设条件,如果是,执行步骤s6;否则,向客户端返回错误响应,退出;
步骤s4:所述密钥设备获取自身保存的U2F对应的交换密钥,根据所述U2F对应的交换密钥校验所述当前凭证的完整性,如果校验成功,则所述当前凭证为使用U2F注册方式注册的凭证,执行步骤s5;如果校验失败,向客户端返回错误响应,退出;
步骤s5:所述密钥设备使用U2F对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位,根据所述预设标志位判断当前凭证的保护级别是否符合预设条件,如果是,执行步骤s6;否则,向客户端返回错误响应,退出;
步骤s6:所述密钥设备根据所述当前凭证、所述用户私钥和所述FIDO2认证指令生成认证响应,向客户端返回所述认证响应,返回步骤s1;
步骤s7:所述密钥设备解析所述U2F认证指令得到密钥句柄,获取自身保存的U2F对应的交换密钥,根据所述U2F对应的交换密钥校验所述密钥句柄的完整性,如果校验成功,则所述密钥句柄为使用U2F方式注册的密钥句柄,执行步骤s8;如果校验失败,执行步骤s9;
步骤s8:所述密钥设备使用U2F解密密钥解密所述密钥句柄得到用户私钥,执行步骤s11;
步骤s9:所述密钥设备获取自身保存的FIDO2对应的交换密钥,根据所述FIDO2对应的交换密钥校验所述密钥句柄的完整性,如果校验成功,则所述密钥句柄为使用FIDO2方式注册的密钥句柄,执行步骤s10;如果校验失败,向客户端返回错误响应,退出;
步骤s10:所述密钥设备使用FIDO2对应的解密密钥解密所述密钥句柄得到用户私钥和预设标志位,根据所述预设标志位判断所述密钥句柄的保护级别是否符合预设条件,如果是,执行步骤s11;否则,向所述客户端返回错误响应,退出;
步骤s11:所述密钥设备根据所述U2F认证指令和所述用户私钥生成认证响应,向客户端返回所述认证响应,返回步骤s1。
2.如权利要求1所述的方法,其特征在于,所述步骤s2中所述密钥设备解析所述FIDO2认证指令得到当前凭证具体为:所述密钥设备解析所述FIDO2认证指令得到白名单、依赖方标识,以及客户端参数;解析所述白名单得到所述当前凭证。
3.如权利要求1所述的方法,其特征在于,所述步骤s3具体为:
步骤s3-1:所述密钥设备使用所述FIDO2对应的解密密钥解密所述当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果明文以及扩展参数标志位;
步骤s3-2:所述密钥设备根据所述扩展参数标志位判断所述当前凭证的保护级别是否符合预设条件,如果是,执行步骤s3-3;否则,向所述客户端返回错误响应,退出;
步骤s3-3:所述密钥设备对所述用户私钥中间值进行预设运算得到所述用户私钥,执行步骤s6。
4.如权利要求3所述的方法,其特征在于,所述步骤s3-3中所述预设运算为逆位运算。
5.如权利要求1所述的方法,其特征在于,所述步骤s5具体包括:
步骤s5-1:所述密钥设备使用所述U2F对应的解密密钥解密所述当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位;
步骤s5-2:所述密钥设备根据所述扩展参数标志位判断所述当前凭证的保护级别是否符合预设条件,如果是,执行步骤s5-3;否则,向所述客户端返回错误响应,退出;
步骤s5-3:所述密钥设备对所述用户私钥中间值进行预设运算得到用户私钥。
6.如权利要求5所述的方法,其特征在于,所述步骤s5-3中的预设运算为逆位运算。
7.如权利要求1所述的方法,其特征在于,所述步骤s8具体包括:
步骤s8-1:所述密钥设备使用所述U2F对应的解密密钥解密所述密钥句柄得到用户私钥中间值、芯片标识明文和第二应用参数;
步骤s8-2:所述密钥设备对所述用户私钥中间值进行预设运算得到用户私钥,执行步骤s11。
8.如权利要求7所述的方法,其特征在于,所述步骤s8-2中所述预设运算为逆位运算。
9.如权利要求1所述的方法,其特征在于,所述步骤s11具体为:
所述密钥设备根据随机参数和应用参数组织签名数据,使用所述用户私钥对所述签名数据进行签名得到签名结果,根据所述签名结果和所述U2F认证指令生成所述认证响应,向客户端返回所述认证响应。
10.一种密钥设备,其特征在于,包括:
接收模块,用于接收认证指令;
判断模块,用于当所述接收模块接收到所述认证指令时,判断所述认证指令的类型;
解析模块,用于当所述判断模块判断出所述认证指令为FIDO2认证指令时,解析所述FIDO2认证指令得到当前凭证;
校验模块,用于获取所述密钥设备自身保存的FIDO2对应的交换密钥,根据所述FIDO2对应的交换密钥校验所述解析模块解析所述FIDO2认证指令得到的所述当前凭证的完整性;
解密模块,用于当所述校验模块校验所述当前凭证的完整性校验成功时,使用FIDO2对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位;
所述判断模块还用于根据所述解密模块得到的所述预设标志位判断所述当前凭证的保护级别是否符合预设条件;如果是,触发生成模块;否则,触发返回模块;
所述返回模块,用于当所述判断模块判断出所述当前凭证的保护级别不符合预设条件时,向客户端返回错误响应;
获取模块,用于获取所述密钥设备自身保存的U2F对应的交换密钥;
所述校验模块还用于,当所述获取模块获取到所述U2F对应的交换密钥时,根据所述U2F对应的交换密钥校验所述当前凭证的完整性,如果校验成功,则触发所述解密模块;如果校验失败,触发所述返回模块;
所述返回模块还用于当所述校验模块根据所述U2F对应的交换密钥校验所述当前凭证的完整性失败时,向客户端返回错误响应;
所述解密模块还用于当所述校验模块根据所述U2F对应的交换密钥校验所述当前凭证的完整性成功时,使用U2F对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位;
所述判断模块还用于根据所述解密模块使用所述U2F对应的解密密钥解密所述当前凭证得到的所述预设标志位判断所述当前凭证的保护级别是否符合预设条件,如果是,触发所述生成模块;否则,触发返回模块;
所述生成模块,用于当根据所述当前凭证、所述用户私钥和所述FIDO2认证指令生成认证响应,触发所述返回模块;
所述返回模块还用于向客户端返回所述生成模块生成的认证响应;
所述解析模块还用于解析所述U2F认证指令得到密钥句柄;
所述获取模块还用于获取所述密钥设备自身保存的U2F对应的交换密钥;
所述校验模块还用于根据所述获取模块获取的所述密钥设备自身保存的U2F对应的交换密钥校验所述密钥句柄的完整性,如果校验成功,触发所述解密模块;如果校验失败,触发所述获取模块;
所述解密模块还用于使用所述U2F对应的解密密钥解密所述密钥句柄得到所述用户私钥,触发所述生成模块;
所述获取模块还用于获取所述密钥设备自身保存的FIDO2对应的交换密钥;
所述校验模块还用于根据所述获取模块获取的所述密钥设备自身保存的FIDO2对应的交换密钥校验所述密钥句柄的完整性,如果校验成功,触发所述解密模块;如果校验失败,触发所述返回模块;
所述解密模块还用于使用所述FIDO2对应的解密密钥解密所述密钥句柄得到用户私钥和预设标志位;
所述判断模块还用于根据所述解密模块使用所述FIDO2对应的解密密钥解密所述密钥句柄得到的所述预设标志位判断所述密钥句柄的保护级别是否符合预设条件,如果是,触发所述生成模块;否则,触发所述返回模块;
所述生成模块还用于根据所述U2F认证指令和所述用户私钥生成认证响应。
11.如权利要求10所述的密钥设备,其特征在于,包括:所述解密模块具体用于解析所述FIDO2认证指令得到白名单、依赖方标识,以及客户端参数;还用于解析所述白名单得到所述当前凭证。
12.如权利要求10所述的密钥设备,其特征在于,所述密钥设备还包括:运算模块;
所述解密模块,用于当所述校验模块校验所述当前凭证的完整性校验成功时,使用FIDO2对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位,具体为所述解密模块使用所述FIDO2对应的解密密钥解密所述当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果以及扩展参数标志位;
所述判断模块用于根据所述解密模块得到的所述预设标志位判断所述当前凭证的保护级别是否符合预设条件;如果是,触发运算模块;否则,触发返回模块,具体为所述判断模块根据所述解密模块得到所述扩展参数标志位判断所述当前凭证的保护级别是否符合预设条件,如果是,触发所述运算模块;否则,触发返回模块;
所述运算模块,用于对所述私钥中间值进行预设运算得到所述用户私钥。
13.如权利要求12所述的密钥设备,其特征在于,包括:所述运算模块具体用于对所述用户私钥中间值进行逆位运算得到所述用户私钥。
14.如权利要求10所述的密钥设备,其特征在于,还包括:运算模块:
所述解密模块还用于当所述校验模块根据所述U2F对应的交换密钥校验所述当前凭证的完整性成功时,使用U2F对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位,具体为所述解密模块用于使用所述U2F对应的解密密钥解密所述当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位;
所述判断模块还具体用于根据所述解密模块得到的所述扩展参数标志位判断所述当前凭证的保护级别是否符合预设条件,如果是,触发所述运算模块;否则,触发所述返回模块;
所述返回模块用于当所述判断模块判断出所述当前凭证的保护级别不符合预设条件时,向所述客户端返回错误响应;
所述运算模块还用于对所述私钥中间值进行预设运算得到所述用户私钥。
15.如权利要求14所述的密钥设备,其特征在于,包括:所述运算模块具体用于对所述私钥中间值进行逆位运算得到所述用户私钥。
16.如权利要求10所述的密钥设备,其特征在于,还包括:运算模块;
所述解密模块还用于使用所述U2F对应的解密密钥解密所述密钥句柄得到所述用户私钥,具体为使用所述U2F对应的解密密钥解密所述密钥句柄得到用户私钥中间值、芯片标识明文和第二应用参数;
所述运算模块还用于对所述私钥中间值进行预设运算得到所述用户私钥,触发所述生成模块。
17.如权利要求16所述的密钥设备,其特征在于,包括:所述运算模块具体用于对所述用户私钥中间值进行逆位运算得到所述用户私钥。
18.如权利要求10所述的密钥设备,其特征在于,还包括:
所述生成模块还用于根据U2F认证指令和所述用户私钥生成认证响应,具体为根据随机参数和应用参数组织签名数据,使用所述用户私钥对所述签名数据进行签名得到签名结果,根据所述签名结果和所述U2F认证指令生成所述认证响应,触发所述返回模块;
所述返回模块还用于当所述生成模块生成所述认证响应时,向所述客户端返回所述认证响应。
CN202011572632.7A 2020-12-28 2020-12-28 一种密钥设备的工作方法及密钥设备 Active CN112311558B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202011572632.7A CN112311558B (zh) 2020-12-28 2020-12-28 一种密钥设备的工作方法及密钥设备
US17/773,687 US20230163965A1 (en) 2020-12-28 2021-09-09 Working method for key device and key device
PCT/CN2021/117509 WO2022142456A1 (zh) 2020-12-28 2021-09-09 一种密钥设备的工作方法及密钥设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011572632.7A CN112311558B (zh) 2020-12-28 2020-12-28 一种密钥设备的工作方法及密钥设备

Publications (2)

Publication Number Publication Date
CN112311558A true CN112311558A (zh) 2021-02-02
CN112311558B CN112311558B (zh) 2021-04-06

Family

ID=74487545

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011572632.7A Active CN112311558B (zh) 2020-12-28 2020-12-28 一种密钥设备的工作方法及密钥设备

Country Status (3)

Country Link
US (1) US20230163965A1 (zh)
CN (1) CN112311558B (zh)
WO (1) WO2022142456A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022142456A1 (zh) * 2020-12-28 2022-07-07 飞天诚信科技股份有限公司 一种密钥设备的工作方法及密钥设备
CN114978543A (zh) * 2022-05-23 2022-08-30 飞天诚信科技股份有限公司 一种凭证注册和认证的方法及系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208554B (zh) * 2022-09-13 2022-12-13 三未信安科技股份有限公司 一种密钥自校验、自纠错、自恢复的管理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108092776A (zh) * 2017-12-04 2018-05-29 南京南瑞信息通信科技有限公司 一种身份认证服务器和身份认证令牌
US20190124081A1 (en) * 2017-10-19 2019-04-25 Mastercard International Incorporated Methods and systems for providing fido authentication services
CN111414608A (zh) * 2020-03-10 2020-07-14 飞天诚信科技股份有限公司 一种服务器接受注册的方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
CN105721480A (zh) * 2016-03-02 2016-06-29 北京九州云腾科技有限公司 基于fido硬件的用户操作方法及系统
US10461939B2 (en) * 2017-02-08 2019-10-29 Ca, Inc. Secure device registration for multi-factor authentication
CN107919963B (zh) * 2017-12-27 2020-10-27 飞天诚信科技股份有限公司 一种认证器及其实现方法
JP2022508010A (ja) * 2018-10-02 2022-01-19 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 非接触カードの暗号化認証のためのシステムおよび方法
CN109088902B (zh) * 2018-11-05 2019-10-25 江苏恒宝智能系统技术有限公司 注册方法及装置、认证方法及装置
EP3654578B1 (en) * 2018-11-16 2022-04-06 SafeTech BV Methods and systems for cryptographic private key management for secure multiparty storage and transfer of information
FR3096480B1 (fr) * 2019-05-24 2021-04-23 Idemia Identity & Security France Procédé d’authentification forte d’un individu
CN112311558B (zh) * 2020-12-28 2021-04-06 飞天诚信科技股份有限公司 一种密钥设备的工作方法及密钥设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190124081A1 (en) * 2017-10-19 2019-04-25 Mastercard International Incorporated Methods and systems for providing fido authentication services
CN108092776A (zh) * 2017-12-04 2018-05-29 南京南瑞信息通信科技有限公司 一种身份认证服务器和身份认证令牌
CN111414608A (zh) * 2020-03-10 2020-07-14 飞天诚信科技股份有限公司 一种服务器接受注册的方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022142456A1 (zh) * 2020-12-28 2022-07-07 飞天诚信科技股份有限公司 一种密钥设备的工作方法及密钥设备
CN114978543A (zh) * 2022-05-23 2022-08-30 飞天诚信科技股份有限公司 一种凭证注册和认证的方法及系统
CN114978543B (zh) * 2022-05-23 2023-09-19 飞天诚信科技股份有限公司 一种凭证注册和认证的方法及系统

Also Published As

Publication number Publication date
WO2022142456A1 (zh) 2022-07-07
CN112311558B (zh) 2021-04-06
US20230163965A1 (en) 2023-05-25

Similar Documents

Publication Publication Date Title
CN112311558B (zh) 一种密钥设备的工作方法及密钥设备
CN107888381B (zh) 一种密钥导入的实现方法、装置及系统
KR101185595B1 (ko) 스마트 카드를 이용하여 보안 기능을 수행하는 장치 및 그방법
CN105847247A (zh) 一种认证系统及其工作方法
US11811952B2 (en) Authentication system and working method thereof
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
CN107969001B (zh) 一种蓝牙配对双向认证的方法及装置
CN104982053B (zh) 用于获得认证无线设备的永久身份的方法和网络节点
EP2879421A1 (en) Terminal identity verification and service authentication method, system, and terminal
CN114125832B (zh) 一种网络连接方法及终端、待配网设备、存储介质
CN109815666B (zh) 基于fido协议的身份认证方法、装置、存储介质和电子设备
CN104767617A (zh) 一种信息处理方法、系统和相关设备
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
JP2006303751A (ja) 通信システム,通信方法および通信端末
RU2698424C1 (ru) Способ управления авторизацией
KR100753285B1 (ko) 이동통신시스템에서의 가입자 인증 방법
CN114079921B (zh) 会话密钥的生成方法、锚点功能网元以及系统
CN112989316A (zh) 一种adb授权的认证方法与系统
CN109088733B (zh) 一种智能卡应用扩展的实现方法及装置
CN115171245B (zh) 一种基于hce的门锁安全认证方法及系统
CN111148275A (zh) 基于设备码的通信方法、装置及系统
US11972651B2 (en) Intelligent key device and verification method therefor
CN111563247A (zh) 一种智能密钥设备登录系统的方法及装置
KR100934309B1 (ko) 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법
CN107846276B (zh) 开放环境中通信数据加密方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant