一种智能密钥设备的工作方法
【技术领域】
[0001] 本发明涉及信息安全领域,尤其涉及一种智能密钥设备的工作方法。
【背景技术】
[0002] 随着互联网和电子商务的快速发展,网上银行(简称网银)在线交易金额不断扩 大,网络信息安全问题日益凸显,消费者也越来越关注网上交易的安全问题。在现有技术 中,可以利用动态口令或USB Key (智能密钥设备)进行网上交易,进行网上交易时需要每 次都输入动态口令,过程太过复杂,而后则出现了快捷支付的方式,现有技术中快捷支付过 程中需要使用短信认证码,如用户如丢失手机则可能出现恶意者利用该手机以用户名义进 行网上交易的情形,这会给用户造成无法挽回的损失,所以现有技术中的利用短信认证码 进行快捷支付是非常不安全的,且每次都需输入短信也非常不便捷。
【发明内容】
[0003] 本发明的目的是为了克服现有技术的不足,提供一种智能密钥设备的工作方法。
[0004] 本发明提供了一种智能密钥设备的工作方法,包括:
[0005] 步骤Sl :智能密钥设备上电,进行初始化;
[0006] 步骤S2 :当所述智能密钥设备接收到上位机发送的枚举描述符命令时,所述智能 密钥设备设置描述符并将其返回给所述上位机;
[0007] 步骤S3 :当所述智能密钥设备接收到上位机发送的命令,判断所述命令的类型, 如为注册请求命令则执行步骤S4,如为认证请求命令则执行步骤S7,如为其他命令则根据 所述命令执行相应操作,返回步骤S3 ;
[0008] 步骤S4 :所述智能密钥设备判断是否接收到用户按键信息,是则执行步骤S5,否 则报错,返回步骤S3;
[0009] 步骤S5 :所述智能密钥设备将生成的用户密钥对与对应的创建的密钥句柄进行 关联,并根据预设算法对所述注册请求命令中的数据域部分进行签名,得到第一签名结果 并保存;生成证书序列号,并使用预置的根密钥对的私钥对所述用户密钥对颁发一个与所 述证书序列号对应的数字证书;所述注册请求命令中的数据域部分包括挑战参数和注册地 应用参数;
[0010] 步骤S6 :所述智能密钥设备根据预定格式保存所述用户密钥对和所述密钥句柄, 并根据所述数字证书和所述第一签名结果生成注册响应数据并返回给所述上位机,返回步 骤S3 ;
[0011] 步骤S7 :所述智能密钥设备根据所述认证请求命令判断用户是否合法,是则执行 步骤S8,否则报错,返回步骤S3 ;
[0012] 步骤S8:所述智能密钥设备等待用户按键信息,并判断是否接收到用户按键信 息,是则执行步骤S9,否则报错,返回步骤S3 ;
[0013] 步骤S9 :所述智能密钥设备根据所述认证请求命令中的密钥句柄获取对应的用 户密钥对,根据预设算法使用所述用户密钥对中的私钥,对所述认证请求命令的数据域进 行签名得到第二签名结果;
[0014] 步骤SlO :所述智能密钥设备根据所述第二签名结果生成认证响应数据并返回给 上位机,返回步骤S3。
[0015] 进一步地,所述智能密钥设备设置描述符并将其返回给所述上位机,包括:
[0016] 步骤S22-1 :所述智能密钥设备设置配置描述符内容为HID设备;
[0017] 步骤S22-2 :所述智能密钥设备设置报告描述符;
[0018] 步骤S22-3 :所述智能密钥设备将所述配置描述符和所述报告描述符返回给所 述上位机。
[0019] 进一步地,所述步骤S3中如所述智能密钥设备判断所述命令的类型为协议命令 则执行步骤Al ;
[0020] 步骤Al :所述智能密钥设备检测所述命令中的第五个字节,如第五个字节上的数 据为第一数据则将接收到的数据返回给所述上位机,返回步骤S3 ;如第五个字节上的数据 为第二数据则将十七个有效字节的数据返回给所述上位机,返回步骤S3。
[0021] 进一步地,所述步骤S3中如所述智能密钥设备判断命令的类型为获取版本号命 令则执行步骤Bl ;
[0022] 步骤Bl :所述智能密钥设备将预设的字符串返回给所述上位机,返回步骤S3。
[0023] 进一步地,所述步骤S3与步骤S4之间包括:
[0024] 步骤Cl :所述智能密钥设备生成用户密钥对和所述密钥句柄,根据所述用户密钥 对和所述注册请求命令中的注册地应用参数得到密钥信息,查找空闲的密钥索引,如找到 则执行步骤S4,如未找到则执行步骤C2 ;
[0025] 步骤C2 :所述智能密钥设备判断空间是否有大小合适的剩余空间,是则生成对应 的密钥索引,执行步骤S4,否则返回空间不足信息,返回步骤S3 ;
[0026] 所述步骤S5还包括:所述智能密钥设备将生成的用户密钥对与所述密钥索引进 行关耳关;
[0027] 所述步骤S6还包括:所述智能密钥设备根据预定格式保存所述用户密钥对、所述 密钥索引和所述注册请求命令中的注册地应用参数。
[0028] 进一步地,所述步骤S4判断为否时还包括:所述智能密钥设备判断等待时间是否 到达预设时间,是则报错,返回步骤S3,否则返回步骤S4。
[0029] 进一步地,所述根据预设算法对所述注册请求命令中的数据域部分进行签名,包 括:
[0030] 所述智能密钥设备根据所述预设算法对所述注册请求命令中的数据域部分进行 哈希计算得到第一哈希值,使用所述用户密钥对中的私钥对所述第一哈希值进行签名得到 所述第一签名结果。
[0031] 进一步地,所述步骤S7判断为是时还包括:
[0032] 步骤S71 :所述智能密钥设备根据所述认证请求命令中的密钥句柄和密钥句柄长 度判断对应的密钥句柄是否被注册过,是则执行步骤S72,否则报错,返回步骤S3 ;
[0033] 步骤S72 :所述智能密钥设备判断所述认证请求命令中的注册地应用参数是否与 保存的注册地应用参数一致,是则执行步骤S8,否则报错,返回步骤S3。
[0034] 进一步地,所述步骤S71具体包括:
[0035] 步骤S71-1 :所述智能密钥设备判断所述认证请求命令中的密钥句柄长度是否与 保存的密钥句柄长度相同,是则执行步骤S71-2,否则报错,返回步骤S3;
[0036] 步骤S71-2 :所述智能密钥设备判断所述认证请求命令中的密钥句柄是否与保存 的密钥句柄相同,是则执行步骤S72,否则报错,返回步骤S3。
[0037] 进一步地,所述智能密钥设备根据预定格式保存所述用户密钥对和所述密钥句 柄,包括:所述智能密钥设备根据预定格式保存所述用户密钥对、所述密钥句柄和所述注册 请求命令中的注册地应用参数;所述步骤S3与步骤S4之间包括:
[0038] 步骤Dl :所述智能密钥设备根据所述注册地应用参数判断当前用户是否已经注 册过了,是则报错,返回步骤S3,否则执行步骤D2 ;
[0039] 步骤D2 :所述智能密钥设备生成所述用户密钥对,根据所述用户密钥对和所述 注册请求命令中的注册地应用参数得到密钥信息,执行步骤S4。
[0040] 进一步地,所述步骤Dl包括:
[0041] 所述智能密钥设备判断是否保存了所述注册地应用参数,是则当前用户已经注册 过了,否则当前用户未注册。
[0042] 进一步地,所述步骤S8判断为否时还包括:所述智能密钥设备判断等待时间是否 到达预设时间,是则报错,返回步骤S3,否则返回步骤S8。
[0043] 进一步地,所述步骤S3中判断所述命令的类型,具体包括:所述智能密钥设备根 据所述命令中数据域的第二字节判断所述命令的类型,如数据域的第二字节上的数据为第 一数值则为注册请求命令,如数据域的第二字节上的数据为第二数值则为认证请求命令。
[0044] 本发明与现有技术相比,具有以下优点:
[0045] 本发明的技术方案中上位机通过浏览器从信任服务器获取数据然后将其发送给 智能密钥设备;智能密钥设备接收到上位机发送的数据后在用户按键确认后进行签名操 作,然后将签名结果返回给上位机;上位机把智能密钥设备响应的数据发送给信任服务器 来验证智能密钥设备的合法性,实现了对用户身份的快速认证,从而可以进行高效、安全、 快捷的进行网上交易。
【附图说明】
[0046] 图1为本发明实施例一提供的一种智能密钥设备的工作方法流程图;
[0047] 图2为本发明实施例二提供的一种智能密钥设备的工作方法流程图;
[0048] 图3为本发明实施例三提供的一种智能密钥设备的工作方法流程图。
【具体实施方式】
[0049] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。
[0050] 实施例一
[0051] 本发明实施例一提供一种智能密钥设备的工作方法,如图1所示,包括:
[0052] 步骤SI :智能密钥设备上电,进行初始化;
[0053] 步骤S2 :当智能密钥设备接收到上位机发送的枚举描述符命令时,智能密钥设备 设置描述符并将其返回给上位机;
[0054] 步骤S3 :当智能密钥设备接收到上位机发送的命令,判断该命令的类型是否为功 能命令,是则执行步骤S4,否则根据命令执行相应操作,返回步骤S3 ;
[0055] 步骤S4 :智能密钥设备判断功能命令的类型,如为注册请求命令则执行步骤S5, 如为认证请求命令则执行步骤S9 ;
[0056] 步骤S5 :智能密钥设备判断是否接收到用户按键信息,是则执行步骤S6,否则报 错,返回步骤S3 ;
[0057] 步骤S6 :智能密钥设备将生成的用户密钥对与对应的创建的密钥句柄进行关联, 并根据预设算法对注册请求命令中的数据域部分进行签名,得到第一签名结果并保存;
[0058] 在本实施例中,注册请求命令中的数据域部分包括挑战参数和注册地应用参数;
[0059] 步骤S7 :智能密钥设备生成证书序列号,并使用预置的根密钥对的私钥对用户密 钥对颁发一个与该证书序列号对应的数字证书;
[0060] 步骤S8 :智能密钥设备根据预定格式保存用户密钥对和对应的密钥句柄,并根 据数字证书和第一签名结果生成注册响应数据并返回给上位机,返回步骤S3 ;
[0061] 步骤S9 :智能密钥设备根据认证请求命令判断用户是否合法,是则执行步骤S10, 否则报错,返回步骤S3 ;
[0062] 步骤SlO :智能密钥设备等待用户按键信息,并判断是否在预设时间内接收到用 户按键信息,是则执行步骤S11,否则报错,返回步骤S3 ;
[0063] 步骤Sll :智能密钥设备根据认证请求命令中的密钥句柄获取对应的用户密钥 对,根据预设算法使用用户密钥对中的私钥,对认证请求命令的数据域进行签名得到