(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211082683.0 (22)申请日 2022.09.06 (71)申请人 亚数信息科技 （上海） 有限公司 地址 200233 上海市徐汇区桂平路391号3 号楼32层3201A室 (72)发明人 陈启敬　贺山峰　王果　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种自适应国密算法和国际算法的FIDO2认 证方法 (57)摘要 本发明涉及一种自适应国密算法和国际算 法的FIDO2认证方法， 方法包括步骤： FIDO   Server和认证器根据国家商用 密码标准分别实 现国密SM2算 法等。 本发明基于 FIDO2规范提出了 一种能够在支持国际算法的基础上完全兼容国 密算法方案， 自适应国际与 国密双算法， 这不仅 大幅度提高了FIDO认证器的使用范围， 同时解决 了FIDO不支持国密算法的问题， 使身份鉴别应用 过程更加安全。 权利要求书2页 说明书5页 附图4页 CN 115459995 A 2022.12.09 CN 115459995 A 1.一种自适应国密算法和国际算法的FIDO2 认证方法， 所述方法包括以下步骤： S1， FIDO Server和认证 器根据国家商用密码标准分别实现国密SM2算法； S2， 认证器分别生成并保存国密SM2算法的公私钥对和国际算法的公私钥对； S3， FIDO Server在算法支持列表中添加国密SM2算法支持信息 （alg: ‑48） ， 认证器也在 算法支持列表中添加国密SM2算法支持信息 （alg: ‑48） ， 认证器将凭证声明格式 （fmt参数） 设置为packed； S4， 依赖方 （Relyi ng Party， RP） 向FIDO  Server发起创建凭证的预创建请求； S5， FIDO Server生成一个认证challenge， 包含FIDO  Server的一些配置信息， 包括 pubKeyCredParams和extensions， 其中pubKeyCredParams包含支持 国密SM2算法凭证的信 息 （alg:‑48） ， 且FIDO  Server在拓展字段extensions中增加参数SM2， 并设置其值为true， 表示FIDO Server支持国密SM2算法证书证明； S6， 认证器收到FIDO  Server生成的challenge， 开始解析认证请求， 其使用优先级匹配 模式， 优先判断算法支持列表中是否包含支持国密SM2算法 的信息， 同时生成一个凭证ID， 并存储相关凭证的凭证信息； S7， 认证器选择packed方式进行认证， 判断extensions字段是否包含国密算法支持参 数 （sm2:true） ， 然后使用对应算法的私钥进行签名； S8， 认证器整理响应请求的相关信息数据， 返回给 FIDO Server相关认证结果； S9， FIDO Server解析来自认证器的认证结果， 若识别到凭证声明格式为packed， 通过 解析凭证证书， 判断当获取凭证的算法为国密SM2算法时 （alg为 ‑48） ， 则选择国密SM2算法 进行验签， 否则选择国际算法进行验签， 验签成功后存储凭证信息， 凭证创建成功， 否则凭 证创建失败； S10， RP向认证务器发起获取凭证的预认证请求； S11， FIDO  Server生成一个认证challenge， 并响应凭证ID， 认证器通过凭证关联字段 查询凭证详细信息， 根据查询到的凭证算法进行对应的签名； S12， 认证 器整理响应请求的相关信息数据， 将签名后的凭证数据返回至FIDO  Server； S13， FIDO  Server解析来自认证器的认证结果， 根据凭证ID查询凭证信息， 查询成功后 解析出凭证公钥， 如果是国密S M2算法公钥， 则使用国密S M2算法验签， 否则使用国际算法验 签， 验签通过则获取凭证成功， 否则， 返回认证失败。 2.根据权利要求1所述的一种自适应国密算法和国际算法的FIDO2认证方法， 其特征在 于， 所述的认证器收到FIDO  Server生成的challenge， 开始解析认证请求， 其使用优先级匹 配模式， 优先判断算法支持列表中是否包含支持国密SM2算法的信息， 同时生成一个凭证 ID， 并存储相关凭证的凭证信息， 具体还 包括以下步骤： 若pubKeyCredParams列表中包含 （alg: ‑48） 则代表FIDO  Server支持国密算法SM2， 则 生成国密算法的凭证； 若pubKeyCredParam s列表中不包 含支持国密算法的信息， 则生成国际算法凭证。 3.根据权利要求1所述的一种自适应国密算法和国际算法的FIDO2认证方法， 其特征在 于， 所述的认证器选择packed方式进行认证， 判断extensions字段是否包含国密算法支持 参数 （sm2:true） ， 然后使用对应算法的私钥进行签名， 具体还 包括以下步骤： 若含有国密算法支持参数， 则使用生成的国密算法SM2私钥进行签名；权　利　要　求　书 1/2 页 2 CN 115459995 A 2若不含有国密算法支持参数， 则使用生成的国际算法私钥签名。 4.根据权利要求1所述的一种自适应国密算法和国际算法的FIDO2认证方法， 其特征在 于， 所述的FIDO  Server生成一个认证challenge， 并响应凭证ID， 认证器通过 凭证关联字段 查询凭证详细信息， 根据查询到的凭证算法进行对应的签名， 具体还 包括以下步骤： 如果查询到的凭证算法为国密SM2算法， 则获取认证器生成的国密SM2算法私钥， 再利 用国密SM2算法私钥进行签名； 如果是国际算法， 则直接使用国际算法生成的私钥进行签名。 5.根据权利要求1所述的一种自适应国密算法和国际算法的FIDO2认证方法， 其特征在 于， 所述凭证信息包括凭证ID， 凭证 证书， 凭证算法。 6.根据权利要求1所述的一种自适应国密算法和国际算法的FIDO2认证方法， 其特征在 于， 所述凭证关联字段为凭证ID。权　利　要　求　书 2/2 页 3 CN 115459995 A 3