(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210855758.8 (22)申请日 2022.07.21 (65)同一申请的已公布的文献号 申请公布号 CN 114938281 A (43)申请公布日 2022.08.23 (73)专利权人 飞天诚信科技股份有限公司 地址 100085 北京市海淀区学清路9号汇智 大厦B楼17层 (72)发明人 陆舟　 (51)Int.Cl. H04L 9/32(2006.01) (56)对比文件 CN 112953970 A,2021.0 6.11 CN 1082345 09 A,2018.0 6.29 CN 110889698 A,2020.0 3.17CN 109474 437 A,2019.0 3.15 CN 111726365 A,2020.09.2 9 审查员 颜悦 (54)发明名称 一种安全设备的实现方法及安全设备 (57)摘要 本发明公开了一种安全设备的实现方法及 安全设备， 方法包括： 安全设备的FIDO  HID接口 接收指令， 当判断接收到的指令为预置的FIDO指 令时， 安全设备对预置的FIDO指令进行解析后得 到预置参数， 根据预置参数得到功能指令， 判断 功能指令的类型， 当功能指令为证书请求生成指 令时， 安全设备生成密钥对， 将密钥对存储到存 储文件， 使用密钥对的私钥对证书请求生成指令 中的用户输入信息和密钥对的公钥进行签名， 生 成签名值， 将签名值、 密钥对的公钥和用户输入 信息发送给客户端， 当功能指令为写入证书指令 时， 安全设备将写入证书指令中的证书数据写入 存储文件， 并返回操作成功的响应。 本发明扩展 了安全设备的使用范围。 权利要求书3页 说明书16页 附图5页 CN 114938281 B 2022.11.04 CN 114938281 B 1.一种安全设备的实现方法， 其特 征在于， 所述方法包括： 步骤1， 安全设备等待接收客户端发送指令； 步骤2， 当安全设备的第一接口接收到指令时， 判断接收到的指令是否为预置的FID O指 令， 如果是， 执行步骤3，  如果否， 执行相应的指令操作， 执行步骤1； 所述第一接口为FIDO   HID接口； 步骤3， 安全设备对预置的FIDO指令进行解析后得到预置参数， 根据所述预置参数得到 功能指令， 判断所述功能指 令的类型， 当所述功能指 令为证书请求生成指 令时， 执行步骤4;   当功能指令为写入证书指令时， 执 行步骤5； 步骤4, 安全设备生成密钥对， 将所述密钥 对存储到存储文件， 使用所述密钥 对的私钥 对所述证书请求生成指令中的用户输入信息和所述密钥对的公钥进行签名， 生成签名值， 根据所述签名值、 所述密钥对的公钥和所述用户输入信息生成证书请求生成指令的响应， 根据所述证书请求生成指令的响应生成响应数据， 根据所述响应数据生成验证数据参数， 根据所述验证数据参数生 成预置的FIDO指 令的响应， 将所述预置的FIDO指 令的响应发送给 客户端， 执 行步骤1； 步骤5， 安全设备将写入证书指令 中的证书数据写入所述存储文件， 根据成功的状态码 组成响应数据， 根据所述响应数据生成验证数据参数， 根据所述验证数据参数生成预置的 FIDO指令的响应， 将所述预置的FIDO指令的响应发送给客户端， 执 行步骤1。 2.如权利要求1所述的方法， 其特征在于， 所述存储文件为容器文件， 所述容器文件有 对应的容器标识。 3.如权利要求2所述的方法， 其特征在于， 所述步骤4中， 安全设备生成密钥对， 将所述 密钥对存储到存储文件具体为： 安全设备生成密钥对， 将所述密钥对存储到与所述证书请 求生成指令中的容器标识所对应的容器文件中； 所述步骤5 中， 安全设备将写入证书指令 中的证书数据写入存储文件具体为： 安全设备 将写入证书指令中的证书数据写入与所述写入证书指令中的容器标识所对应的容器文件 中。 4.如权利要求2所述的方法， 其特征在于， 当所述功能指令为证书请求生成指令时， 执 行步骤4具体为： 安全设备判断是否存在与 所述证书请求生成指令中的容器标识所对应的容器文件， 如 果是， 执行步骤4， 如果否， 安全设备创建与所述证书请求生成指令中的容器标识所对应的 容器文件， 执 行步骤4。 5.如权利要求3所述的方法， 其特 征在于， 所述 步骤3还包括： 当所述功能指令为读取证书指令时， 执行步骤6； 当所述功能指令为签名指令， 执行步 骤7； 步骤6， 安全设备从与读取证书指令 中的容器标识对应的容器文件中获取证书数据， 将 获取的证书数据发送给客户端， 执 行步骤1； 步骤7， 安全设备从所述签名指令 中获取容器标识和待签名信 息， 从与所述容器标识对 应的容器文件中读取私钥， 根据找到的私钥对待签名信息进行签名后得到签名结果， 根据 签名结果组成预置FIDO指令的响应， 将所述预置FIDO指令的响应发送给客户端， 执行步骤 1。权　利　要　求　书 1/3 页 2 CN 114938281 B 26.如权利要求2所述的方法， 其特征在于， 所述步骤2还包括： 当安全设备的第 二接口接 收到指令并且接收到的指 令类型为读 证书指令时， 安全设备从与所述读 证书指令所对应的 容器文件中获取证书数据， 并将所述证书数据返回给客户端， 执 行步骤1。 7.如权利要求1所述的方法， 其特征在于， 所述存储文件包含： IKF文件、 公有区文件和 私有区文件， 所述公有区文件包括容器对象、 公钥对 象、 加速对 象和证书对象， 所述私有区 文件包括私钥对 象， 所述公有区文件具有对应的公有区文件标识， 所述私有区文件具有对 应的私有区文件标识。 8.如权利要求7所述的方法， 其特征在于， 所述步骤4中， 安全设备生成密钥对， 将所述 密钥对存储到存储文件具体为： 步骤4‑1， 安全设备生成密钥对和密钥标识， 将所述密钥对和密钥标识存储到预置的 IKF文件中； 步骤4‑2， 安全设备创建容器对象、 公钥对象、 私钥对象； 步骤4‑3， 安全设备将容器对象的容器名称、 所述证书请求生成指令中的用户输入信息 中的证书DN值和密钥标识关联生成加速对象记录， 将所述加速对象记录存储到加速对象中 以更新加速对象； 所述步骤5 中， 安全设备将写入证书指令 中的证书数据写入存储文件具体为： 安全设备 根据写入证书指令中的证书数据创建证书对象及证书对象标识， 将 证书对象标识与所述加 速对象中的与证书数据中的证书DN 值相对应的加速对象记录相关联以更新加速对象。 9.如权利要求8所述的方法， 其特征在于， 所述步骤3中还包括:  当所述功能指令为读 取证书指令时， 执 行步骤6’； 当所述功能指令为签名指令时， 执 行步骤7’； 步骤6’  ， 安全设备根据读取证书指令中的证书DN值或容器名称对加速对象中的加速 对象记录进行遍历， 根据证书DN值或容器名称找到与其对应的加速对象记录， 从所述加速 对象记录中获取证书对 象标识， 根据证书对 象标识从证书对 象中获取证书数据， 根据所述 证书数据生成响应数据， 根据响应数据组成预置FIDO指令的响应， 将所述预置FIDO指令的 响应发送给客户端， 执 行步骤1； 步骤7’， 安全设备根据签名指令 中的证书DN值或者容器名称对加速对象中的加速对象 记录进行遍历， 找到与所述证书DN值或者容器名称相对应的加速对象记录， 从所述加速对 象记录中获取密钥标识， 根据密钥标识从IKF文件中找到对应的私钥， 使用私钥对签名指 令 中的待签名数据进行签名后得到签名结果， 根据所述签名结果组成预置FIDO指令的响应， 将所述预置FIDO指令的响应发送给客户端， 执 行步骤1。 10.如权利要求7 所述的方法， 其特 征在于， 所述 步骤2还包括： 当安全设备的第二接口接收到指令并且接收到的指令的类型为选择文件指令且选择 文件指令中的文件标识为公有区文件标识时， 执 行步骤a1; 步骤a1, 安全设备将公有区文件作为当前文件； 当安全设备的第二接口接收到指令并且接收到的指令的类型为读指令时， 执行步骤 b1; 步骤b1, 安全设备将当前文件中容器对象、 公钥 对象、 加速对象、 证书对象发送给客户 端， 返回步骤1。 11.如权利要求1所述的方法， 其特征在于， 所述步骤3中安全设备对预置的FIDO指令进权　利　要　求　书 2/3 页 3 CN 114938281 B 3