WO2021077627A1

WO2021077627A1 - 一种智能密钥设备及其验证方法

Info

Publication number: WO2021077627A1
Application number: PCT/CN2020/070169
Authority: WO
Inventors: 陆舟; 于华章
Original assignee: 飞天诚信科技股份有限公司
Priority date: 2019-10-21
Filing date: 2020-01-03
Publication date: 2021-04-29
Also published as: EP4050837A1; US11972651B2; EP4050837A4; CN110740043A; US20220245977A1; CN110740043B

Abstract

一种智能密钥设备及其验证方法，该验证方法通过智能密钥设备判断指令类型，根据指令类型确定密钥区，获取密钥区对应的生物特征验证标识，根据生物特征验证标识确定密钥区对应的生物特征验证方式，根据生物特征验证方式执行相应的操作。根据本发明，用户在使用智能密钥设备进行验证的过程中能够根据密钥区实现生物特征的多种验证方式，满足了用户在不同的应用场景下对所使用密钥时不同的验证需求。

Description

一种智能密钥设备及其验证方法

技术领域

本发明涉及一种智能密钥设备及其验证方法，属于信息安全技术领域。

背景技术

智能密钥设备是一种带有处理器和存储器的小型硬件装置，它可通过计算机的数据通讯接口与计算机连接。智能密钥设备通过内置的单片机或智能卡芯片完成密钥的生成以及密钥的安全存储，其中可预置加密算法功能，且与密钥相关的运算完全在智能密钥设备内部运行，使得智能密钥设备具有抗攻击的特性，安全性极高。

现有技术中，智能密钥设备针对密码区设定了身份验证方式，例如设备接收到签名指令时，判断签名指令所需密钥是否需要PIN码验证，根据PIN码验证结果使用密钥完成签名。发明人在发明过程中发现现有的这种验证方式存在缺陷：用户在不同的应用场景下对所使用的密钥有不同的验证需求，然而现有的密钥区设定的身份验证方式太过于单一，不能满足用户在不同的应用场景下所需密钥的不同验证需求，导致产品不够个性化，用户体检差。

发明内容

本发明的目的是提供了一种智能密钥设备及其验证方法，能够满足用户在不同的应用场景下对所使用密钥的不同验证需求。

为此，根据本发明的一个方面，提供了一种智能密钥设备验证方法，其包括如下步骤：

s1)智能密钥设备接收上位机下发的指令；

s2)智能密钥设备判断指令类型，当指令类型为涉及密钥的操作指令时，执行步骤s3，当指令类型为其他指令时，执行相应的操作，返回步骤s1；

s3)智能密钥设备根据涉及密钥的操作指令确定密钥区，执行步骤s4；

s4)智能密钥设备获取密钥区对应的生物特征验证标识，根据生物特征验证标识确定密钥区对应的生物特征验证方式，当生物特征验证方式为第一方式时，执行步骤s5，当生物特征验证方式为第二方式时，执行步骤s6，当生物特征验证方式为第三方式时，执行步骤s7；

s5)智能密钥设备根据涉及密钥的操作指令获取密钥区对应的操作密钥，根据操作密钥执行相应的操作，将操作结果返回上位机，执行步骤s1；

s6)智能密钥设备验证生物特征，判断生物特征验证是否通过，是则获取并记录生物特征验证通过时计时器的时间，根据操作指令获取密钥区对应的操作密钥，根据操作密钥执行相应的操作，将操作结果返回上位机，执行步骤s1，否则返回错误码，执行步骤s1；

s7)智能密钥设备获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间，根据获取的当前时间和记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征，是则执行步骤s6，否则根据操作指令获取密钥区对应的操作密钥，根据操作密钥执行相应的操作，将操作结果返回上位机，执行步骤s1。

根据本发明的另外一个方面，提供了一种智能密钥设备，其包括：

接收模块、判断模块、确定模块、获取模块、验证模块、执行模块和发送模块；

其中，接收模块，用于接收上位机下发的指令；

判断模块，用于判断接收模块接收的指令的指令类型；

确定模块，用于当判断模块判断指令的指令类型为涉及密钥的操作指令时，根据操作指令确定密钥区，获取密钥区对应的生物特征验证标识，根据生物特征验证标识确定密钥区对应的生物特征验证方式；

获取模块，用于获取密钥区中的操作密钥，根据操作密钥执行相应的操作得到操作结果；

验证模块，用于验证生物特征；

判断模块，还用于判断验证模块验证生物特征是否通过；

获取模块，还用于当判断模块判断验证模块验证生物特征通过时，获取并记录生物特征验证通过时计时器的时间；

获取模块，还用于当确定模块确定生物特征验证方式为第三方式时，获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间；

判断模块，还用于根据获取模块获取的当前时间和记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征；

发送模块，用于将操作结果返回上位机；

发送模块，还用于当判断模块判断验证模块验证生物特征未通过时，向上位机返回错误；

执行模块，用于当判断模块判断指令的指令类型为其他指令时，执行相应的操作。

根据本发明，在使用智能密钥设备验证过程中，用户能够根据密钥区实现生物特征多种验证方式，满足了用户在不同的应用场景下对所使用密钥时不同的生物特征验证需求。

附图说明

图1是本发明实施例1提供的一种智能密钥设备验证方法流程图；

图2是本发明实施例2提供的一种智能密钥设备框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域的技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1：

本发明实施例1提供了一种智能密钥设备验证方法，该方法包括：

步骤101、智能密钥设备接收上位机下发的指令；

本实施例1中，智能密钥设备接收的指令符合APDU格式，具体为：CLA INS P1 P2 LC Data Le；

具体地，在本实施例1中，CLA表示指令的应用类型，INS表示指令的执行类别，P1、P2表示指令的参数，LC表示指令的数据域(Data)的长度，Le表示上层应用希望智能密钥设备响应时回答的数据字节数。

步骤102、智能密钥设备判断指令类型，当指令类型为涉及密钥的操作指令时，执行步骤103，当指令类型为其他指令时，执行相应的操作，返回步骤101；

在本实施例1中，智能密钥设备判断指令类型具体为：智能密钥设备解析接收到的指令，根据指令中的指定字节获取指令类型标识，根据指令类型标识确定指令类型；

具体地，智能密钥设备根据指令中的INS字节获取指令类型标识，根据指令类型标识确定指令类型；INS字节表示指令的执行类别；

例如，当INS字节为04时，指令类型为选应用指令，当INS字节为20时，指令类型为验证PIN码指令，当INS字节为87时，指令类型为涉及密钥的操作指令；

其中，涉及密钥的操作指令包括：签名操作、加密操作、认证操作等，涉及密钥的操作指令为签名操作时，指令具体为：1087079aff7c8201068200818201000003ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff003031300d0609608648016503040201050004203d4510354b4d288504edef18917e429f7c6623547800 87 07 9a 0b 1f 03 8b 72 1c d5 86 41 3d 38 1f。

步骤103、智能密钥设备根据涉及密钥的操作指令确定密钥区，执行步骤104；

在本实施例1中，智能密钥设备根据涉及密钥的操作指令确定密钥区具体为：智能密钥设备解析操作指令，根据指令中的指定字节获取密钥区标识，根据密钥区标识确定密钥区；

具体地，密钥区标识包括9a、9c、9d、9e；智能密钥设备根据指令中的P2字节获取密钥区标识；

步骤104、智能密钥设备获取密钥区对应的生物特征验证标识，根据生物特征验证标识确定密钥区对应的生物特征验证方式，当生物特征验证方式为第一方式时，执行步骤105，当生物特征验证方式为第二方式时，执行步骤106，当生物特征验证方式为第三方式时，执行步骤107；

优选地，生物特征包括：指纹、虹膜、手形、脸形、视网膜、脉搏、耳廓等；

本实施例1中生物特征以指纹为例，具体地，生物特征验证标识为指纹标识；生物特征验证方式包括第一方式01、第二方式02、第三方式03，当指纹验证标识为01时，验证方式为第一方式，第一方式具体表示在响应操作指令进行操作过程中，无需验证操作密钥对应的生物特征；当指纹验证标识为02时，验证方式为第二方式，第二方式具体表示在预设时间范围内，在响应操作指令进行操作过程中，只需验证一次操作密钥对应的生物特征；当指纹验证标识为03时，验证方式为第三方式，第三方式具体表示在响应操作指令进行操作过程中，每次都需验证操作密钥对应的生物特征；

步骤105、智能密钥设备根据操作指令获取密钥区对应的操作密钥，根据操作密钥执行相应的操作，将操作结果返回上位机，执行步骤101；

具体地，当操作指令为签名操作时，智能密钥设备获取密钥区中的签名密钥，根据预设算法通过签名密钥对相应的数据进行签名，将签名结果返回上位机，执行步骤101。

步骤106、智能密钥设备验证生物特征，判断生物特征验证是否通过，是则获取并记录生物特征验证通过时计时器的时间，根据操作指令获取密钥区对应的操作密钥，根据操作密钥执行相应的操作，将操作结果返回所述上位机，执行步骤101，否则返回错误码，执行步骤101；

在本实施例1中，智能密钥设备验证生物特征具体为：智能密钥设备通过提示模块提示用户验证生物特征，并将获取的生物特征信息与自身保存的生物特征信息进行比对，若一致则生物特征验证成功，否则生物特征验证失败。

步骤107、智能密钥设备获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间，根据获取的当前时间和记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征，是则执行步骤106，否则根据操作指令获取密钥区对应的操作密钥，根据操作密钥执行相应的操作，将操作结果返回上位机，执行步骤101。

优选地，根据获取的当前时间和记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征具体为：智能密钥设备计算当前时间与记录的生物特征验证通过时计时器的时间的差值，判断差值是否超过预设值，若超过预设值则需要验证生物特征，若没有超过预设值则不需要验证生物特征。

优选地，预设值可以是2分钟。

优选地，本实施例1中，当生物特征验证方式为第三方式时还包括：智能密钥设备判断是否能获取到记录的生物特征验证通过时计时器的时间，当智能密钥设备能获取到记录的生物特征验证通过时计时器的时间时，执行步骤107；当智能密钥设备不能获取到记录的生物特征验证通过时计时器的时间时，执行步骤106。

优选地，本实施例1中，其他指令具体包括：选应用指令；当指令类型为选应用指令时，执行的相应的操作具体为：智能密钥设备根据选应用指令中的应用标识选择相应的应用，向上位机返回选应用响应数据，执行步骤101。

具体地，智能密钥设备根据选应用指令中的应用标识选择相应的应用具体为：智能密钥设备获取选应用指令数据域中的AID标识(Application Identification，应用标识符)，根据AID标识查找自身保存的应用标识列表中是否有匹配的AID标识，如果有相同AID标识则选择相应的应用；

具体地，向上位机返回的选应用响应数据包括选应用成功响应数据或选应用失败响应数据；

其中，选应用指令为：00a4 04 00 09a0 00 00 03 97 42 54 46 59；其中包括选择头：00a404 00和应用编号：a0 00 00 03 97 42 54 46 59；

选应用成功的信息包括：选应用成功状态码；选应用失败的信息包括：选应用失败状态码；

例如，选应用成功的状态码为：9000，选应用失败的状态码为：0000。

优选地，本实施例1中，其他指令具体包括：生成密钥对指令；当指令类型为生成密钥对指令时，执行相应的操作具体为：智能密钥设备根据生成密钥对指令确定密钥区，获取指令中的生物特征验证标识，根据获取的生物特征验证标识设置密钥区对应的生物特征验证方式，获取密钥对存入密钥区，并向上位机返回响应数据，执行步骤101。

具体地，智能密钥设备根据生成密钥对指令确定密钥区具体为：智能密钥设备解析生成密钥对指令，根据指令中的指定字节获取密钥区标识，根据密钥区标识确定密钥区；

优选地，智能设备中分有4个密钥区域，4个密钥区域存储有不同的密钥对和证书，具有不同的密钥功能，一个密钥区可以对应多个不同操作；其中，密钥区标识包括9a、9c、9d、9e；具体地，9a为认证密钥区；9c为数字签名密钥区；9d为密钥管理密钥区；9e为卡认证密钥区；

智能密钥设备根据指令中的指定字节P2获取密钥区标识，根据密钥区标识确定密钥区；

具体地，获取指令中的生物特征验证标识，根据获取的生物特征验证标识设置密钥区对应的生物特征验证方式，具体为：智能密钥设备解析设置生物特征验证方式指令，根据指令中的数据域获取生物特征验证方式设置标签，根据生物特征验证方式设置标签获取生物特征验证方式标识，智能密钥设备获取密钥区对应的生物特征验证方式标签，将获取生物特征验证方式标识赋值给生物特征验证方式标签；

例如，生物特征验证方式设置标签为bc；生物特征验证方式标识为01、02、03；

优选地，当智能密钥设备获取的生物特征验证标识为其他时，可以设置相应的标识，还可以向上位机返回错误；

优选地，智能密钥设备获取密钥对存入密钥区具体包括：智能密钥设备根据设置生物特征验证方式指令生成密钥对并保存在密钥区；

优选地，智能密钥设备获取密钥对存入密钥区具体还包括：智能密钥设备根据设置生物特征验证方式指令获取指令数据域中包含的密钥对并保存在密钥区；

优选地，本实施例1中，其他指令具体包括：验证PIN码指令；当指令类型为验证PIN码指令时，执行相应的操作具体为：智能密钥设备根据验证PIN码指令进行验证PIN码，验证通过则将PIN状态标识位置位，将验证结果返回给上位机，执行步骤101。

在本实施例1中，智能密钥设备根据验证PIN码指令进行验证PIN码具体为：智能密钥设备根据验证PIN码指令获取指令数据域中的PIN码，将获取PIN码与自身保存的PIN码进行比对，若一致则验证PIN码成功，否则验证PIN码失败；

优选地，智能密钥设备验证通过则将PIN状态标识位置位具体为：智能密钥设备查找PIN状态标识，将PIN状态标识对应的PIN状态标识位修改为指定数值；例如，PIN状态标识为：F_UNLOCKED，PIN状态标识位对应的数值为00时表示PIN状态标识复位，PIN状态标识位对应的数值为01时表示PIN状态标识置位；

具体地，返回给所述上位机的验证结果包括：验证PIN码成功数据或验证PIN码失败数据。

在本实施例1中，智能密钥设备根据涉及密钥的操作指令确定密钥区之后还包括：智能密钥设备获取密钥区对应的PIN码验证标识，根据PIN码验证标识确定密钥区对应的PIN码验证方式，当PIN码验证方式为第一方式时，执行步骤104；

当PIN码验证方式为第二方式，智能密钥设备获取密钥区对应的PIN状态标识位，判断PIN状态标识位的状态，若PIN状态标识位的状态为置位时，执行步骤104，若PIN状态标识位的状态为复位时，向上位机发送错误信息，执行步骤101。

优选地，智能密钥设备判断PIN状态标识位的状态为置位时，还包括：智能密钥设备将PIN状态标识位复位。

优选地，PIN码验证方式包括第一方式01、第二方式02、第三方式03，当PIN码验证标识为01时，PIN码验证方式为第一方式，第一方式具体表示智能密钥设备在响应操作指令进行操作过程中，无需验证操作密钥对应的PIN码；当PIN码验证标识为02时，PIN码验证方式为第二方式，第二方式具体表示智能密钥设备在第一次选应用成功到第二次选应用之间，响应操作指令进行操作过程中，只需验证一次操作密钥对应的PIN码；当PIN码验证标识为03时，PIN码验证方式为第三方式，第三方式具体表示智能密钥设备在响应操作指令进行操作过程中，每次操作都需验证操作密钥对应的PIN码；

PIN状态标识为：F_UNLOCKED；PIN状态标识位对应的数值为00时表示PIN状态标识复位，PIN状态标识位对应的数值为01时表示PIN状态标识置位。优选地，在本实施例1中，其他指令具体包括：双向认证请求指令；

当指令类型为双向认证请求指令时，执行相应的操作具体为：智能密钥设备解析双向认证请求指令，获取双向认证请求数据，根据请求数据生成挑战值并保存，根据挑战值生成认证请求响应数据发送给所述上位机，执行步骤101；

具体地，智能密钥设备生成挑战值具体为：

例如，生成的挑战值为：3c9b0ea8731313e6；

优选地，在本实施例1中，其他指令具体包括：双向认证响应指令；

当指令类型为双向认证响应指令时，执行相应的操作具体为：智能密钥设备解析双向认证响应指令，获取双向认证响应数据，获取预存密钥，根据预设算法通过预存密钥对双向认证响应数据进行解密得到第一明文，将第一明文与保存的挑战值进行比对得到比对结果，将比对结果发送给所述上位机，执行步骤101。

具体地，预存密钥具体是智能密钥设备与上位机协商一致提前保存的通信密钥；其中，预设算法具体为加密算法，例如：加密算法DesEcb；

具体地，智能密钥设备获取的双向认证响应数据具体为：bd50f30c85b48906。

实施例2：

本发明实施例2提供了一种智能密钥设备，该设备100包括：接收模块11、判断模块12、确定模块13、获取模块14、验证模块15、执行模块16和发送模块17；

其中，接收模块11，用于接收上位机下发的指令；

本实施例2中，接收模块11接收的指令符合APDU格式，具体为：CLA INS P1 P2 LC Data Le；

具体地，在本实施例2中，CLA表示指令的应用类型，INS表示指令的执行类别，P1、P2表示指令的参数，LC表示指令的数据域(Data)的长度，Le表示上层应用希望智能密钥设备响应时回答的数据字节数。

其中，判断模块12，用于判断接收模块11接收的指令的指令类型；

优选地，当判断模块12用于判断指令类型时，判断模块12具体用于：解析接收到的指令，根据指令中的指定字节获取指令类型标识，根据指令类型标识确定指令类型。

其中，确定模块13，用于当判断模块12判断指令的指令类型为涉及密钥的操作指令时，根据操作指令确定密钥区，获取密钥区对应的生物特征验证标识，根据生物特征验证标识确定密钥区对应的生物特征验证方式；

优选地，当确定模块13用于根据操作指令确定密钥区时，确定模块13具体用于：解析操作指令，根据指令中的指定字节获取密钥区标识，根据密钥区标识确定密钥区。

其中，获取模块14，用于获取密钥区中的操作密钥，根据操作密钥执行相应的操作得到操作结果；

其中，验证模块15，用于验证生物特征；

其中，判断模块12，还用于判断验证模块验证生物特征是否通过；

其中，获取模块14，还用于当判断模块12判断验证模块验证生物特征通过时，获取并记录生物特征验证通过时计时器的时间；

其中，获取模块14，还用于当确定模块13确定生物特征验证方式为第三方式时，获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间；

具体地，获取模块14包括第一获取子模块；

第一获取子模块，具体用于获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间；

当确定模块13确定生物特征验证方式为第三方式时，判断模块12还用于判断是否能获取到记录的生物特征验证通过时计时器的时间，还用于当判断模块12判断能获取到记录的生物特征验证通过时计时器的时间时，触发第一获取子模块，还用于当判断模块12判断不能获取到记录的生物特征验证通过时计时器的时间时，触发验证模块15。

其中，判断模块12，还用于根据获取模块14获取的当前时间和记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征；

优选地，当判断模块12用于根据获取模块14获取的当前时间和记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征时，判断模块12具体包括：第一计算单元和第一判断单元；

第一计算单元，用于计算当前时间与记录的生物特征验证通过时计时器的时间的差值；

第一判断单元，用于判断差值是否超过预设值，若超过预设值则需要验证生物特征，若没有超过预设值则不需要验证生物特征。

其中，发送模块17，用于将操作结果返回上位机；

其中，发送模块17，还用于当判断模块12判断验证模块15验证生物特征未通过时，向上位机返回错误；

其中，执行模块16，用于当判断模块12判断指令的指令类型为其他指令时，执行相应的操作。

优选地，其他指令具体包括：选应用指令；

执行模块16包括：选应用单元和第一发送单元；

选应用单元，用于根据选应用指令中的应用标识选择相应的应用；

第一发送单元，用于向上位机返回选应用响应数据。

优选地，其他指令具体包括：生成密钥对指令；

执行模块16包括：确定单元、第一获取单元、第一设置单元、生成单元和第二发送单元；

确定单元，用于根据生成密钥对指令确定密钥区；

第一获取单元，用于获取生成密钥对指令中的生物特征验证标识；

第一设置单元，用于根据获取的生物特征验证标识设置密钥区对应的生物特征验证方式；

生成单元，用于生成密钥对存入密钥区；

第二发送单元，用于向上位机返回响应数据。

优选地，确定单元具体用于：解析生成密钥对指令，根据生成密钥对指令中的指定字节获取密钥区标识，根据密钥区标识确定密钥区。

优选地，获取单元具体用于：解析生成密钥对指令，根据生成密钥对指令中的数据域获取生物特征验证方式设置标签，根据生物特征验证方式设置标签获取生物特征验证方式标识，获取密钥区对应的生物特征验证方式标签；

第一设置单元具体用于：将获取的生物特征验证方式标识赋值给生物特征验证方式标签。

优选地，其他指令具体包括：验证PIN码指令；

执行模块16包括：验证单元、第二设置单元和第三发送单元；

验证单元，用于根据验证PIN码指令进行PIN码验证；

第二设置单元，用于当验证单元验证通过时，将PIN状态标识位设置成置位状态；

第三发送单元，用于向上位机发送验证结果。

优选地，获取模块14还用于获取密钥区对应的PIN码验证标识；

确定模块13还用于根据PIN码验证标识确定密钥区对应的PIN码验证方式；

获取模块14包括：第二获取子模块；

第二获取子模块，用于获取密钥区对应的生物特征验证标识；当确定模块确定PIN码验证方式为第一方式时，确定模块触发第二获取子模块；

执行模块16，还用于当确定模块确定PIN码验证方式为第二方式时，获取密钥区对应的PIN状态标识位，判断PIN状态标识位的状态，若PIN状态标识位的状态为置位时，触发第二获取子模块，若PIN状态标识位的状态为复位时，触发接收模块11。

优选地，执行模块16包括第二设置单元；

第二设置单元，用于当执行模块16判断PIN状态标识位的状态为置位时，将PIN状态标识位复位，触发第二获取子模块。

优选地，其他指令具体包括：双向认证请求指令；

执行模块16具体用于：解析双向认证请求指令，获取双向认证请求数据，根据请求数据生成挑战值并保存，根据挑战值生成认证请求响应数据发送给上位机。

优选地，其他指令具体包括：双向认证响应指令；

执行模块16具体用于：解析双向认证响应指令，获取双向认证响应数据，获取预存密钥，根据预设算法通过预存密钥对双向认证响应数据进行解密得到第一明文，将第一明文与保存的挑战值进行比对得到比对结果，将比对结果发送给上位机。

优选的，涉及密钥的操作指令具体包括：签名指令、和/或认证指令、和/或加密指令、和/或解密指令。

根据本发明，用户在使用智能密钥设备验证过程中能够根据密钥区实现生物特征多种验证方式，满足了用户在不同的应用场景下对所使用密钥时不同的生物特征验证需求，采用本发明提供的方法，进一步确保了密钥使用过程中的安全性。

以上对本发明所提供的一种智能密钥设备及其验证方法及***进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

Claims

一种智能密钥设备验证方法，其特征在于，所述方法包括如下步骤：

A1)智能密钥设备接收上位机下发的指令；

A2)所述智能密钥设备判断指令类型，当指令类型为涉及密钥的操作指令时，执行步骤A3，当指令类型为其他指令时，执行相应的操作，返回步骤A1；

A3)所述智能密钥设备根据所述操作指令确定密钥区，执行步骤A4；

A4)所述智能密钥设备获取所述密钥区对应的生物特征验证标识，根据所述生物特征验证标识确定密钥区对应的生物特征验证方式，当所述生物特征验证方式为第一方式时，执行步骤A5，当所述生物特征验证方式为第二方式时，执行步骤A6，当所述生物特征验证方式为第三方式时，执行步骤A7；

A5)所述智能密钥设备根据所述操作指令获取所述密钥区对应的操作密钥，根据所述操作密钥执行相应的操作，将操作结果返回所述上位机，执行步骤A1；

A6)所述智能密钥设备验证生物特征，判断生物特征验证是否通过，是则获取并记录生物特征验证通过时计时器的时间，根据所述操作指令获取所述密钥区对应的操作密钥，根据所述操作密钥执行相应的操作，将操作结果返回所述上位机，执行步骤A1，否则返回错误码，执行步骤A1；以及

A7)所述智能密钥设备获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间，根据获取的所述当前时间和所述记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征，是则执行步骤A6，否则根据所述操作指令获取所述密钥区对应的操作密钥，根据所述操作密钥执行相应的操作，将操作结果返回所述上位机，执行步骤A1。
根据权利要求1所述的方法，其特征在于，所述智能密钥设备判断指令类型具体为：所述智能密钥设备解析接收到的指令，根据指令中的指定字节获取指令类型标识，根据指令类型标识确定指令类型。
根据权利要求1所述的方法，其特征在于，所述智能密钥设备根据所述操作指令确定密钥区具体为：所述智能密钥设备解析所述操作指令，根据指令中的指定字节获取密钥区标识，根据所述密钥区标识确定密钥区。
根据权利要求1所述的方法，其特征在于，在步骤A7中，所述根据获取的所述当前时间和所述记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征具体为：所述智能密钥设备计算所述当前时间与所述记录的生物特征验证通过时计时器的时间的差值，判断所述差值是否超过预设值，若超过预设值则需要验证生物特征，若没有超过预设值则不需要验证生物特征。
根据权利要求1所述的方法，其特征在于，所述当所述生物特征验证方式为第三方式时还包括：所述智能密钥设备判断是否能获取到记录的生物特征验证通过时计时器的时间，当所述智能密钥设备能获取到记录的生物特征验证通过时计时器的时间时，执行步骤A7；当所述智能密钥设备不能获取到记录的生物特征验证通过时计时器的时间时，执行步骤A6。
根据权利要求1所述的方法，其特征在于，所述其他指令具体包括：选应用指令；

所述执行相应的操作具体为：所述智能密钥设备根据所述选应用指令中的应用标识选择相应的应用，向所述上位机返回选应用响应数据，执行步骤A1。
根据权利要求1所述的方法，其特征在于，所述其他指令具体包括：生成密钥对指令；

所述执行相应的操作具体为：所述智能密钥设备根据所述生成密钥对指令确定密钥区，获取所述生成密钥对指令中的生物特征验证标识，根据获取的生物特征验证标识设置密钥区对应的生物特征验证方式，获取密钥对存入密钥区，并向所述上位机返回响应数据，执行步骤A1。
根据权利要求7所述的方法，其特征在于，所述获取所述生成密钥对指令中的生物特征验证标识，根据获取的生物特征验证标识设置密钥区对应的生物特征验证方式，具体为：所述智能密钥设备解析生成密钥对指令，根据指令中的数据域获取生物特征验证方式设置标签，根据所述生物特征验证方式设置标签获取生物特征验证方式标识，所述智能密钥设备获取密钥区对应的生物特征验证方式标签，将获取生物特征验证方式标识赋值给生物特征验证方式标签。
根据权利要求1所述的方法，其特征在于，所述其他指令具体包括：双向认证请求指令；

所述执行相应的操作具体为：所述智能密钥设备解析所述双向认证请求指令，获取双向认证请求数据，根据请求数据生成挑战值并保存，根据所述挑战值生成认证请求响应数据发送给所述上位机，执行步骤A1。
根据权利要求1所述的方法，其特征在于，所述其他指令具体包括：双向认证响应指令；

所述执行相应的操作具体为：所述智能密钥设备解析所述双向认证响应指令，获取双向认证响应数据，获取预存密钥，根据预设算法通过所述预存密钥对所述双向认证响应数据进行解密得到第一明文，将所述第一明文与保存的挑战值进行比对得到比对结果，将比对结果发送给所述上位机，执行步骤A1。
一种智能密钥设备，其特征在于，所述设备包括：接收模块、判断模块、确定模块、获取模块、验证模块、执行模块和发送模块；

所述接收模块，用于接收上位机下发的指令；

所述判断模块，用于判断所述接收模块接收的指令的指令类型；

所述确定模块，用于当所述判断模块判断所述指令的指令类型为涉及密钥的操作指令时，根据所述操作指令确定密钥区，获取所述密钥区对应的生物特征验证标识，根据所述生物特征验证标识确定所述密钥区对应的生物特征验证方式；

所述获取模块，用于获取所述密钥区中的操作密钥，根据所述操作密钥执行相应的操作得到操作结果；

所述验证模块，用于验证生物特征；

所述判断模块，还用于判断所述验证模块验证生物特征是否通过；

所述获取模块，还用于当所述判断模块判断所述验证模块验证生物特征通过时，获取并记录生物特征验证通过时计时器的时间；

所述获取模块，还用于当所述确定模块确定所述生物特征验证方式为第三方式时，获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间；

所述判断模块，还用于根据所述获取模块获取的所述当前时间和所述记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征；

所述发送模块，用于将操作结果返回上位机；

所述发送模块，还用于当所述判断模块判断所述验证模块验证生物特征未通过时，向上位机返回错误；以及

所述执行模块，用于当所述判断模块判断所述指令的指令类型为其他指令时，执行相应的操作。
根据权利要求11所述的设备，其特征在于，当所述判断模块用于判断指令类型时，所述判断模块具体用于：解析接收到的指令，根据指令中的指定字节获取指令类型标识，根据指令类型标识确定指令类型。
根据权利要求11所述的设备，其特征在于，当所述确定模块用于根据所述操作指令确定密钥区时，所述确定模块具体用于：解析所述操作指令，根据指令中的指定字节获取密钥区标识，根据密钥区标识确定密钥区。
根据权利要求11所述的设备，其特征在于，当所述判断模块用于根据所述获取模块获取的所述当前时间和所述记录的生物特征验证通过时计时器的时间判断是否需要验证生物特征时，所述判断模块具体包括：第一计算单元和第一判断单元；

所述第一计算单元，用于计算所述当前时间与所述记录的生物特征验证通过时计时器的时间的差值；以及

所述第一判断单元，用于判断所述差值是否超过预设值，若超过预设值则需要验证生物特征，若没有超过预设值则不需要验证生物特征。
根据权利要求11所述的设备，其特征在于，所述获取模块包括第一获取子模块；

所述第一获取子模块，具体用于获取计时器的当前时间以及记录的生物特征验证通过时计时器的时间；以及

当所述确定模块确定所述生物特征验证方式为第三方式时，所述判断模块还用于判断是否能获取到记录的生物特征验证通过时计时器的时间，还用于当所述判断模块判断能获取到记录的生物特征验证通过时计时器的时间时，触发第一获取子模块，还用于当所述判断模块判断不能获取到记录的生物特征验证通过时计时器的时间时，触发验证模块。
根据权利要求11所述的设备，其特征在于，所述其他指令具体包括：选应用指令；

所述执行模块包括：选应用单元和第一发送单元；

所述选应用单元，用于根据所述选应用指令中的应用标识选择相应的应用；以及

所述第一发送单元，用于向所述上位机返回选应用响应数据。
根据权利要求11所述的设备，其特征在于，所述其他指令具体包括：生成密钥对指令；

所述执行模块包括：确定单元、第一获取单元、第一设置单元、生成单元和第二发送单元；

所述确定单元，用于根据所述生成密钥对指令确定密钥区；

所述第一获取单元，用于获取所述生成密钥对指令中的生物特征验证标识；

所述第一设置单元，用于根据获取的生物特征验证标识设置密钥区对应的生物特征验证方式；

所述生成单元，用于生成密钥对存入密钥区；以及

所述第二发送单元，用于向所述上位机返回响应数据。
根据权利要求11所述的设备，其特征在于，所述获取单元具体用于：解析生成密钥对指令，根据所述生成密钥对指令中的数据域获取生物特征验证方式设置标签，根据生物特征验证方式设置标签获取生物特征验证方式标识，获取密钥区对应的生物特征验证方式标签；以及

所述第一设置单元具体用于：将获取的生物特征验证方式标识赋值给生物特征验证方式标签。
根据权利要求11所述的设备，其特征在于，所述其他指令具体包括：双向认证请求指令；以及

所述执行模块具体用于：解析所述双向认证请求指令，获取双向认证请求数据，根据请求数据生成挑战值并保存，根据挑战值生成认证请求响应数据发送给所述上位机。
根据权利要求11所述的设备，其特征在于，所述其他指令具体包括：双向认证响应指令；以及

所述执行模块具体用于：解析所述双向认证响应指令，获取双向认证响应数据，获取预存密钥，根据预设算法通过预存密钥对双向认证响应数据进行解密得到第一明文，将所述第一明文与保存的挑战值进行比对得到比对结果，将比对结果发送给所述上位机。