[发明专利]密钥及密钥句柄的生成方法、系统及智能密钥安全设备

说明书

本发明属于通信技术领域，提供了一种密钥及密钥句柄的生成方法、系统及智能密钥安全设备，所述方法包括：接收客户端发送的注册指令；判断密钥存储是否已满；若密钥存储已满，则选取已存储密钥中的一个，使用选取的密钥标识，结合分散因子，生成密钥句柄。通过本发明可有效解决现有技术提供的密钥及密钥句柄的生成方法，当密钥对个数超出最大限制个数时，会出现无法再注册的问题。

技术领域

本发明属于通信技术领域，尤其涉及一种密钥及密钥句柄的生成方法、系统及智能密钥安全设备。

背景技术

目前，相关应用规范有无限次注册的要求，这种应用流程规范，可以是符合FIDO规范，也可以符合QKey规范，还可以符合其他相似的应用规范。

例如，根据FIDO规范的要求，FIDO USBKey应用需要支持无限次注册的功能，意味着FIDO在注册指令中，USBKey返回的KeyHandle可以支持无限个，然而KeyHandle对应的是非对称私钥，根据智能密钥安全设备的安全性要求，非对称私钥都必须保存在USBKey内，然而，智能密钥安全设备的密钥存储容量是有限的。

因此，智能密钥安全设备的密钥存储容量限制了密钥对的个数。所以，现有的密钥及密钥句柄的生成方法，当密钥对个数超出最大限制个数时，会出现无法再注册的问题。

发明内容

鉴于此，本发明实施例提供一种密钥及密钥句柄的生成方法、系统及智能密钥安全设备，以解决现有技术提供的密钥及密钥句柄的生成方法，当密钥对个数超出最大限制个数时，会出现无法再注册的问题。

本发明实施例的第一方面，提供一种密钥及密钥句柄的生成方法，所述方法包括：

接收客户端发送的注册指令；

判断密钥存储是否已满；

若密钥存储已满，则选取已存储密钥中的一个，使用选取的密钥的标识，结合分散因子，生成密钥句柄。

进一步地，所述判断密钥存储是否已满后，还包括：若密钥存储未满，则生成并存储用户密钥，将密钥的标识作为密钥句柄或者将密钥的标识处理后作为密钥句柄。

进一步地，根据智能密钥安全设备的密钥存储容量判断密钥存储是否已满，若密钥存储剩余容量不足，则密钥存储已满，否则密钥存储未满。

进一步地，所述分散因子是当前注册的网站服务器标识、用户标识或随机数中的一种或多种。

进一步地，所述使用选取的密钥的标识，结合分散因子，生成密钥句柄包括：

使用分散因子加密密钥的标识，得到密钥句柄；或者使用预置密钥加密分散因子和密钥的标识，得到密钥句柄。

进一步地，使用预置密钥加密分散因子和密钥的标识，得到密钥句柄包括：

生成随机数；

将使用预置密钥加密随机数和密钥的标识拼接成的数据得到的密文作为密钥句柄。

进一步地，使用分散因子加密密钥的标识，得到密钥句柄包括：

将分散因子与密钥的标识进行异或得到密钥句柄；或者使用预置密钥加密分散因子得到分散密钥，再使用分散密钥加密密钥的标识得到密钥句柄。

本发明实施例的第二方面提供了一种智能密钥安全设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现第一方面所述方法的步骤。

本发明实施例的第三方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述方法的步骤。