本發(fā)明公開一種密鑰設(shè)備的工作方法及密鑰設(shè)備，包括：智能密鑰裝置接收認(rèn)證指令，判斷認(rèn)證指令的類型，如果是FIDO2認(rèn)證指令，解析FIDO2認(rèn)證指令獲取憑證，使用FIDO2對應(yīng)的交換密鑰校驗(yàn)憑證的完整性，如果校驗(yàn)成功，說明該憑證為FIDO2方式注冊的憑證，生成認(rèn)證響應(yīng)，向客戶端返回認(rèn)證響應(yīng)；如果校驗(yàn)失敗，使用U2F對應(yīng)的交換密鑰校驗(yàn)憑證的完整性，如果校驗(yàn)成功，說明該憑證為U2F方式注冊的憑證，生成認(rèn)證響應(yīng)，向客戶端返回認(rèn)證響應(yīng)；如果校驗(yàn)失敗，向客戶端返回錯誤響應(yīng)。通過本發(fā)明，實(shí)現(xiàn)了FIDO2可以認(rèn)證U2F注冊的憑證，同時U2F也可以認(rèn)證FIDO2注冊的憑證，提高了可用性和兼容性。

技術(shù)領(lǐng)域

本發(fā)明涉及一種密鑰設(shè)備的工作方法及密鑰設(shè)備，屬于信息安全領(lǐng)域。

背景技術(shù)

FIDO（Fast Identity Online 聯(lián)盟）是一個基于標(biāo)準(zhǔn)、可互操作的身份認(rèn)證生態(tài)系統(tǒng)。FIDO2是FIDO聯(lián)盟最新一套規(guī)范的總稱。FIDO2使用戶能夠在移動和桌面環(huán)境中利用普通設(shè)備輕松地驗(yàn)證在線服務(wù)。U2F（Universal 2nd Factor）是FIDO聯(lián)盟提出的使用標(biāo)準(zhǔn)公鑰密碼學(xué)技術(shù)提供更強(qiáng)有力的身份認(rèn)證協(xié)議。目前，U2F和FIDO2在applet中可以做到二合一，也就是說一個applet可以既支持U2F功能，又支持FIDO2功能，但是兩者的注冊和認(rèn)證是分開的，即用FIDO2注冊需要用FIDO2來認(rèn)證，用U2F注冊，就需要用U2F來認(rèn)證，如果用戶使用FIDO2則不能互通，這樣為用戶的使用帶來不便。

發(fā)明內(nèi)容

根據(jù)本發(fā)明的一個方面，提供一種密鑰設(shè)備的工作方法，包括：

步驟s1：密鑰設(shè)備等待接收認(rèn)證指令，當(dāng)接收到認(rèn)證指令時，判斷認(rèn)證指令的類型，如果為FIDO2認(rèn)證指令，執(zhí)行步驟s2；如果為U2F認(rèn)證指令，執(zhí)行步驟s7；

步驟s2：密鑰設(shè)備解析FIDO2認(rèn)證指令得到當(dāng)前憑證，獲取自身保存的FIDO2對應(yīng)的交換密鑰，根據(jù)FIDO2對應(yīng)的交換密鑰校驗(yàn)當(dāng)前憑證的完整性，如果校驗(yàn)成功，則當(dāng)前憑證為使用FIDO2方式注冊的憑證，執(zhí)行步驟s3；如果校驗(yàn)失敗，執(zhí)行步驟s4；

步驟s3：使用FIDO2對應(yīng)的解密密鑰解密當(dāng)前憑證得到用戶私鑰和預(yù)設(shè)標(biāo)志位，根據(jù)預(yù)設(shè)標(biāo)志位判斷當(dāng)前憑證的保護(hù)級別是否符合預(yù)設(shè)條件，如果是，執(zhí)行步驟s6；否則，向客戶端返回錯誤響應(yīng)，退出；

步驟s4：密鑰設(shè)備獲取自身保存的U2F對應(yīng)的交換密鑰，根據(jù)U2F對應(yīng)的交換密鑰校驗(yàn)當(dāng)前憑證的完整性，如果校驗(yàn)成功，則當(dāng)前憑證為使用U2F注冊方式注冊的憑證，執(zhí)行步驟s5；否則，向客戶端返回錯誤響應(yīng)，退出；

步驟s5：密鑰設(shè)備使用U2F對應(yīng)的解密密鑰解密當(dāng)前憑證得到用戶私鑰和預(yù)設(shè)標(biāo)志位，根據(jù)預(yù)設(shè)標(biāo)志位判斷當(dāng)前憑證的保護(hù)級別是否符合預(yù)設(shè)條件，如果是，執(zhí)行步驟s6；否則，向客戶端返回錯誤響應(yīng)，退出；

步驟s6：密鑰設(shè)備根據(jù)當(dāng)前憑證、用戶私鑰和FIDO2認(rèn)證指令生成認(rèn)證響應(yīng)，向客戶端返回認(rèn)證響應(yīng)，返回步驟s1；

步驟s7：密鑰設(shè)備解析U2F認(rèn)證指令得到密鑰句柄，獲取自身保存的U2F對應(yīng)的交換密鑰，根據(jù)U2F對應(yīng)的交換密鑰校驗(yàn)密鑰句柄的完整性，如果校驗(yàn)成功，則密鑰句柄為使用U2F方式注冊的密鑰句柄，執(zhí)行步驟s8；否則，執(zhí)行步驟s9；

步驟s8：密鑰設(shè)備使用U2F對應(yīng)的解密密鑰解密密鑰句柄得到用戶私鑰，執(zhí)行步驟s11；

步驟s9：密鑰設(shè)備獲取自身保存的FIDO2對應(yīng)的交換密鑰，根據(jù)FIDO2對應(yīng)的交換密鑰校驗(yàn)密鑰句柄的完整性，如果校驗(yàn)成功，則密鑰句柄為使用FIDO2方式注冊的密鑰句柄，執(zhí)行步驟s10；如果校驗(yàn)失敗，向客戶端返回錯誤響應(yīng)，退出；

步驟s10：密鑰設(shè)備使用FIDO2對應(yīng)的解密密鑰解密密鑰句柄得到用戶私鑰和預(yù)設(shè)標(biāo)志位，根據(jù)預(yù)設(shè)標(biāo)志位判斷密鑰句柄的保護(hù)級別是否符合預(yù)設(shè)條件，如果是，執(zhí)行步驟s11；否則，向客戶端返回錯誤響應(yīng)，退出；