The invention provides a FIDO authentication method and system based on multiple authenticators and multiple factors. The method and system integrates two types of multiple authenticators, FIDO software authenticator and FIDO hardware authenticator, into the same FIDO client, provides more choices on mobile terminals that already support FIDO, and provides user authentication based on FIDO protocol on mobile devices that do not support FIDO, and the invention integrates multiple authenticators to support multiple biometric identifiers. In this way, different dependant platforms and different users can choose appropriate authentication devices and biometric verification methods according to their own needs, which has more diversified and humanized characteristics, and has a good impetus to the popularization and development of FIDO. Moreover, the invention applies TEE and white box cryptography technology to FIDO system, which can effectively resist password attacks and greatly improve FIDO authentication system. Stability and security of the system.
【技术实现步骤摘要】
一种基于多认证器多因子的快速在线身份认证FIDO方法和系统
本专利技术涉及在线身份认证领域,并且更具体地,涉及一种基于多认证器多因子的快速在线身份认证FIDO方法和系统。
技术介绍
随着移动应用与移动互联网的迅猛发展,移动应用程序日益丰富多元化,同时信息安全问题也随之而来。近来来重大数据泄露事故频发,传统基于密码的在线身份验证技术已难以维护互联网的安全。过去,用户通过静态口令、短信验证码和U盾等方式证明“正在操作的人是本人”。静态口令面临拖库、撞库、钓鱼、木马和暴力破解等挑战。短信验证码等带外身份验证可能出现被拦截的风险。以上方案均无法“人证合一”地解决身份认证的问题。FIDO应运而生,FIDO联盟为推动去密码去口令化的强认证协议而诞生,可以解决“我就是我”的问题。FIDO,FastIDentityOnline,提供一种将认证方式与认证协议进行分离的解决方案,可支持多种生物特征认证方式,包括指纹、面部、声纹以及虹膜识别,此外,FIDO还可支持不同安全级别,网络服务提供商根据用户具有的认证方式与认证能力来定制认证策略。FIDOUAF(UAF,UniversalAuthenticationFramework)协议,允许网络服务器提供无密码和多因子安全服务。用户首先通过本地认证机制(指纹、人脸、声纹或PIN码)通过身份校验,然后通过与FIDOUAF认证器进行交互,拿到注册数据,将用户注册到在线服务端(FIDO服务器)完成注册。UAF协议允许服务选择哪些安全因子来进行用户认证。一旦用户完成了注册,以后用户服务需要调用FIDOUAF服务器时,只要简单通过本地身份验证 ...
【技术保护点】
1.一种基于多认证器多因子的快速在线身份认证FIDO方法,其特征在于,所述方法包括:依赖方客户端生成触发请求,发送给依赖方服务器;依赖方服务器将接收的触发请求转发至FIDO服务器;FIDO服务器根据触发请求生成认证请求,并通过依赖方服务器返回至依赖方客户端;依赖方客户端接收到认证请求后,查询可用FIDO客户端,并将所述认证请求发送至FIDO客户端;FIDO客户端检查FIDO认证协议版本,并根据认证请求,弹出符合认证请求的FIDO认证器列表供依赖方选择;认证器选择结束后,从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验,当校验通过时,将认证请求发送至认证器控制模块;认证器控制模块收到认证请求后,产生公私钥对,将私钥信息采用白盒加密算法进行加密,并保存至可信任执行环境TEE中,然后将公钥信息和认证应答信息生成响应请求,并将所述响应请求返回FIDO客户端;FIDO客户端将响应请求返回至依赖方客户端;依赖方客户端将接收的响应请求发送至依赖方服务器,依赖方服务器转发响应请求至FIDO服务器;FIDO服务器进行响应请求的校验后,将校验结果经依赖方服务器转发至依赖方客户端;依赖方根据 ...
【技术特征摘要】
1.一种基于多认证器多因子的快速在线身份认证FIDO方法,其特征在于,所述方法包括:依赖方客户端生成触发请求,发送给依赖方服务器;依赖方服务器将接收的触发请求转发至FIDO服务器;FIDO服务器根据触发请求生成认证请求,并通过依赖方服务器返回至依赖方客户端;依赖方客户端接收到认证请求后,查询可用FIDO客户端,并将所述认证请求发送至FIDO客户端;FIDO客户端检查FIDO认证协议版本,并根据认证请求,弹出符合认证请求的FIDO认证器列表供依赖方选择;认证器选择结束后,从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验,当校验通过时,将认证请求发送至认证器控制模块;认证器控制模块收到认证请求后,产生公私钥对,将私钥信息采用白盒加密算法进行加密,并保存至可信任执行环境TEE中,然后将公钥信息和认证应答信息生成响应请求,并将所述响应请求返回FIDO客户端;FIDO客户端将响应请求返回至依赖方客户端;依赖方客户端将接收的响应请求发送至依赖方服务器,依赖方服务器转发响应请求至FIDO服务器;FIDO服务器进行响应请求的校验后,将校验结果经依赖方服务器转发至依赖方客户端;依赖方根据接收的校验结果完成触发请求中的操作。2.根据权利要求1所述的方法,其特征在于,所述方法还包括在依赖方客户端生成触发请求信息之前依赖方已经通过依赖方客户端在依赖方服务器完成用户注册并登录成功。3.根据权利要求1所述的方法,其特征在于,所述方法中的FIDO认证器包括硬件认证器和软件认证器。4.根据权利要求1所述的方法,其特别在于,所述依赖方客户端生成的触发请求包括注册、登录鉴别、交易确认和注销。5.根据权利要求1所述的方法,其特征在于,所述FIDO客户端检查FIDO认证协议版本,并根据认证请求,弹出符合认证请求的FIDO认证器列表供依赖方选择是指通过获取认证器信息接口来获得依赖方设备中集成的所有认证器,并以列表的形式弹出供依赖方选择。6.根据权...
【专利技术属性】
技术研发人员:黄艳丽,张宇驰,周珅珅,梁宵,李骁,刘茜,李孝猛,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。