(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111669044.X (22)申请日 2021.12.3 0 (71)申请人 飞天诚信科技股份有限公司 地址 100085 北京市海淀区学清路9号汇智 大厦B楼17层 (72)发明人 陆舟　 (51)Int.Cl. G06F 21/33(2013.01) G06F 21/60(2013.01) G06F 16/22(2019.01) (54)发明名称 一种保存大对象数据的方法及装置 (57)摘要 本发明公开了一种保存大对象数据的方法 及装置， 该方法包括： 注册过程和认证过程， 其中 注册过程包括： 客户端获取大对象密钥， 根据大 对象密钥对组织的大对象数据进行加密后进行 处理生成大对象数据块， 根据大对象数据块对从 身份认证器获取的大对象数组进行更新后存储 到身份认证器， 认证过程包括： 客户端从身份认 证器中获取大对象数据， 并根据大对象数据进行 身份验证操作。 通过本方法扩展了FIDO协议的框 架下的身份认证器的使用场景和行业用途， 从而 推动身份认证 器与各个行业领域的结合。 权利要求书3页 说明书10页 附图4页 CN 114417298 A 2022.04.29 CN 114417298 A 1.一种保存大对象数据的方法， 其特 征在于， 所述方法包括： 注 册过程和认证过程； 所述注册过程包括： 步骤01， 客户端判断身份认证器支持大对象扩展后， 获取身份认证器生成的凭证标识 和与所述凭证标识关联的大对 象密钥， 组织大对 象数据， 使用所述大对 象密钥对所述大对 象数据进行加密后得到密文数据； 步骤02， 所述 客户端向所述身份认证 器发送读取 大对象数据指令； 步骤03， 所述身份认证 器向所述 客户端返回大对象数组； 步骤04， 所述客户端按照预定格式根据所述密文数据生成大对象数据块， 将所述大对 象数据块封装到所述大对象数组中生成新大对象数组， 根据所述新大对象数组生成设置大 对象指令； 步骤05， 所述客户端将所述设置大对象指令发送给 所述身份认证 器； 步骤06， 所述身份认证器对所述设置大对象指令进行解析， 得到所述新大对象数组， 将 所述新大对象数组存 储为所述大对象数组； 所述认证过程包括： 步骤B1， 所述客户端判断所述身份认证器支持大对象扩展后， 向所述身份认证器发送 包含凭证标识的凭证验证指令； 步骤B2， 所述身份认证器根据所述凭证标识获取凭证， 根据所述凭证执行认证操作获 得操作结果， 根据所述操作结果生成凭证验证指令响应， 将所述凭证验证指令响应发送给 所述客户端； 步骤B3， 所述客户端接收所述凭证验证指令响应， 对所述凭证验证指令响应中的操作 结果进行判断， 当所述操作结果为认证成功的操作结果， 所述客户端获取所述凭证验证指 令响应中的大对象密钥， 执行步骤B4， 当所述操作结果为认证失败的操作结果， 所述客户端 报错， 结束； 步骤B4， 所述 客户端向所述身份认证 器发送读取 大对象数据指令； 步骤B5， 所述身份认证 器向所述 客户端返回大对象数组； 步骤B6， 所述客户端对所述大对象数组中的大对象数据块进行遍历， 找到符合所述预 定格式的大对 象数据块， 对找到的所述大对 象数据块进行解析后得到解析结果， 使用所述 大对象密钥对所述 解析结果进行解密后得到明文数据； 步骤B7， 所述客户端计算所述明文数据的长度， 判断所述明文数据的长度 是否合法， 如 果是， 则根据所述明文数据获取 大对象数据， 执 行步骤B8； 如果否， 报错； 步骤B8， 所述 客户端根据获取的所述大对象数据进行身份验证操作。 2.如权利要求1所述的方法， 其特征在于， 所述客户端判断所述身份认证器支持大对象 扩展具体为： 所述客户端获取所述身份认证器的设备信息， 当所述所述设备信息中的扩展 字段的值 为预定值时， 则判断所述身份认证 器支持大对象扩展。 3.如权利要求2所述的方法， 其特征在于， 所述步骤01中所述客户端判断身份认证器支 持大对象扩展后还 包括： 所述 客户端从所述设备信息中获取 大对象数组的容 量的最大值； 所述步骤04具体为： 所述客户端按照预定格式根据所述密文数据生成大对象数据块， 将所述大对 象数据块封装到大对 象数组中生成新大对 象数组， 计算新大对 象数组的容量， 判断所述新大对象数组的容量是否大于所述大对象数组的容量的最大值， 如果是， 报错， 如权　利　要　求　书 1/3 页 2 CN 114417298 A 2果否， 根据所述 新大对象数组生成设置大对象指令 。 4.如权利要求1所述的方法， 其特 征在于， 所述 步骤B6具体包括： 步骤m1， 所述客户端从所述大对象数组中找到一个大对象数据块， 作为当前大对象数 据块； 步骤m2， 所述客户端判断当前大对象数据块的格 式是否与所述预定格 式相同， 如果是， 执行步骤m3， 如果否， 执 行步骤m4； 步骤m3， 所述客户端对当前大对象数据块进行解析， 得到密文数据， 根据 所述大对象密 钥对所述密文数据进行解密， 判断解密是否成功， 如果是， 执行步骤B7， 如果否， 执行步骤 m4； 步骤m4， 所述客户端判断是否可以从所述大对象数组中找到下一个未遍历的大对象数 据块， 如果是， 则将下一个未遍历的大对象数据块作为当前大对象数据块， 执行步骤m2， 如 果否， 报错。 5.如权利要求1所述的方法， 其特征在于， 所述步骤01中组织大对象数据， 使用所述大 对象密钥对所述大对象数据进行加密后得到密文数据具体为： 所述客户端组织大对象数据， 对所述大对象数据进行压缩， 将压缩结果作为明文原始 数据； 获取明文原始数据的长度， 根据所述明文原始数据的长度获取关联数据； 生成随机 数； 根据随机数、 关联 数据和大对象密钥对明文原 始数据进行加密得到密文数据； 所述步骤B6中， 对找到的所述大对象数据块进行解析后得到解析结果， 使用所述大对 象密钥对所述解析结果进 行解密后得到明文 数据具体为： 对找到的所述大对象数据块进 行 解析得到密文数据、 随机数和明文原始数据的长度， 根据明文原始数据的长度获取关联数 据， 根据所述 随机数、 所述关联数据和所述大对 象密钥对所述密文数据进行解密得到明文 数据； 所述B7中根据 所述明文数据获取大对象数据 具体为： 对所述明文数据进行解压缩后得 到解压缩结果， 将所述 解压缩结果作为大对象数据。 6.如权利要求1所述的方法， 其特征在于， 所述步骤01之前还包括： 所述客户端获取所 述身份认证 器发送的表示设置有PI N码验证的用户PI N码标识； 所述步骤01中获取身份认证器生成的凭证标识和与所述凭证标识关联的大对象密钥 具体包括： 步骤01‑1， 所述客户端向所述身份认证 器发送PI N码验证标识和PI N码验证协议标识； 步骤01‑2， 所述身份认证器根据所述PIN码验证协议标识和所述PIN码验证标识计算 PIN码验证值， 并根据自身存储的PIN码值判断计算得到的所述PIN验证码值是否正确， 如果 是， 所述身份认证 器生成凭证标识和与所述凭证标识关联的大对象密钥， 如果否， 报错。 7.一种保存大对象数据的装置， 其特征在于， 所述装置包括至少一个处理器、 存储器及 存储在所述存储器上并可被所述至少一个处理器执行的指 令， 所述至少一个处理器执行所 述指令以实现权利要求1至 6任一项所述的方法。 8.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质包括计算机程序， 当所述计算机程序在计算机上运行时， 使 得所述计算机执行如权利要求 1至6任一项 所述的 方法。 9.一种芯片， 其特征在于， 所述芯片与存储器耦合， 用于执行所述存储器中存储的计算权　利　要　求　书 2/3 页 3 CN 114417298 A 3