[发明专利]一种密钥设备的工作方法及密钥设备

权利要求书

1.一种密钥设备的工作方法，其特征在于，包括：

步骤s1：密钥设备等待接收认证指令，当接收到所述认证指令时，判断所述认证指令的类型，如果为FIDO2认证指令，执行步骤s2；如果为U2F认证指令，执行步骤s7；

步骤s2：所述密钥设备解析所述FIDO2认证指令得到当前凭证，获取自身保存的FIDO2对应的交换密钥，根据所述FIDO2对应的交换密钥校验所述当前凭证的完整性，如果校验成功，则所述当前凭证为使用FIDO2方式注册的凭证，执行步骤s3；如果校验失败，执行步骤s4；

步骤s3：所述密钥设备使用FIDO2对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位，根据所述预设标志位判断所述当前凭证的保护级别是否符合预设条件，如果是，执行步骤s6；否则，向客户端返回错误响应，退出；

步骤s4：所述密钥设备获取自身保存的U2F对应的交换密钥，根据所述U2F对应的交换密钥校验所述当前凭证的完整性，如果校验成功，则所述当前凭证为使用U2F注册方式注册的凭证，执行步骤s5；如果校验失败，向客户端返回错误响应，退出；

步骤s5：所述密钥设备使用U2F对应的解密密钥解密所述当前凭证得到用户私钥和预设标志位，根据所述预设标志位判断当前凭证的保护级别是否符合预设条件，如果是，执行步骤s6；否则，向客户端返回错误响应，退出；

步骤s6：所述密钥设备根据所述当前凭证、所述用户私钥和所述FIDO2认证指令生成认证响应，向客户端返回所述认证响应，返回步骤s1；

步骤s7：所述密钥设备解析所述U2F认证指令得到密钥句柄，获取自身保存的U2F对应的交换密钥，根据所述U2F对应的交换密钥校验所述密钥句柄的完整性，如果校验成功，则所述密钥句柄为使用U2F方式注册的密钥句柄，执行步骤s8；如果校验失败，执行步骤s9；

步骤s8：所述密钥设备使用U2F解密密钥解密所述密钥句柄得到用户私钥，执行步骤s11；

步骤s9：所述密钥设备获取自身保存的FIDO2对应的交换密钥，根据所述FIDO2对应的交换密钥校验所述密钥句柄的完整性，如果校验成功，则所述密钥句柄为使用FIDO2方式注册的密钥句柄，执行步骤s10；如果校验失败，向客户端返回错误响应，退出；

步骤s10：所述密钥设备使用FIDO2对应的解密密钥解密所述密钥句柄得到用户私钥和预设标志位，根据所述预设标志位判断所述密钥句柄的保护级别是否符合预设条件，如果是，执行步骤s11；否则，向所述客户端返回错误响应，退出；

步骤s11：所述密钥设备根据所述U2F认证指令和所述用户私钥生成认证响应，向客户端返回所述认证响应，返回步骤s1。

2.如权利要求1所述的方法，其特征在于，所述步骤s2中所述密钥设备解析所述FIDO2认证指令得到当前凭证具体为：所述密钥设备解析所述FIDO2认证指令得到白名单、依赖方标识，以及客户端参数；解析所述白名单得到所述当前凭证。

3.如权利要求1所述的方法，其特征在于，所述步骤s3具体为：

步骤s3-1：所述密钥设备使用所述FIDO2对应的解密密钥解密所述当前凭证得到用户私钥中间值、芯片标识明文、依赖方哈希结果明文以及扩展参数标志位；

步骤s3-2：所述密钥设备根据所述扩展参数标志位判断所述当前凭证的保护级别是否符合预设条件，如果是，执行步骤s3-3；否则，向所述客户端返回错误响应，退出；

步骤s3-3：所述密钥设备对所述用户私钥中间值进行预设运算得到所述用户私钥，执行步骤s6。

4.如权利要求3所述的方法，其特征在于，所述步骤s3-3中所述预设运算为逆位运算。

5.如权利要求1所述的方法，其特征在于，所述步骤s5具体包括：

步骤s5-1：所述密钥设备使用所述U2F对应的解密密钥解密所述当前凭证得到用户私钥中间值、芯片标识明文、依赖方标识哈希以及扩展参数标志位；

步骤s5-2：所述密钥设备根据所述扩展参数标志位判断所述当前凭证的保护级别是否符合预设条件，如果是，执行步骤s5-3；否则，向所述客户端返回错误响应，退出；

步骤s5-3：所述密钥设备对所述用户私钥中间值进行预设运算得到用户私钥。