一种基于多认证器多因子的快速在线身份认证FIDO方法和系统技术方案

本发明专利技术提供一种基于多认证器多因子的FIDO认证方法和系统。所述方法和系统将FIDO软件认证器和FIDO硬件认证器两种类型的多个认证器集成到同一FIDO客户端中，在已支持FIDO的移动终端上提供更多的选择，在不支持FIDO的移动设备上也可为用户提供基于FIDO协议的身份认证，并且本发明专利技术集成多个认证器，支持多种生物特征识别身份，使不同依赖方平台、不同用户可根据自身需要选择相应的认证器以及生物特征校验方式，具有更加多样化与人性化的特点，这对FIDO的推广与发展具有较好的推动作用，而且本发明专利技术将TEE与白盒密码技术应用到FIDO系统中，可有效抵抗密码攻击，大大提高FIDO认证系统的稳定性与安全性。

A Fast Online Identity Authentication FIDO Method and System Based on Multi-Authenticator and Multi-factor

The invention provides a FIDO authentication method and system based on multiple authenticators and multiple factors. The method and system integrates two types of multiple authenticators, FIDO software authenticator and FIDO hardware authenticator, into the same FIDO client, provides more choices on mobile terminals that already support FIDO, and provides user authentication based on FIDO protocol on mobile devices that do not support FIDO, and the invention integrates multiple authenticators to support multiple biometric identifiers. In this way, different dependant platforms and different users can choose appropriate authentication devices and biometric verification methods according to their own needs, which has more diversified and humanized characteristics, and has a good impetus to the popularization and development of FIDO. Moreover, the invention applies TEE and white box cryptography technology to FIDO system, which can effectively resist password attacks and greatly improve FIDO authentication system. Stability and security of the system.

【技术实现步骤摘要】
一种基于多认证器多因子的快速在线身份认证FIDO方法和系统
本专利技术涉及在线身份认证领域,并且更具体地，涉及一种基于多认证器多因子的快速在线身份认证FIDO方法和系统。
技术介绍
随着移动应用与移动互联网的迅猛发展，移动应用程序日益丰富多元化，同时信息安全问题也随之而来。近来来重大数据泄露事故频发，传统基于密码的在线身份验证技术已难以维护互联网的安全。过去，用户通过静态口令、短信验证码和U盾等方式证明“正在操作的人是本人”。静态口令面临拖库、撞库、钓鱼、木马和暴力破解等挑战。短信验证码等带外身份验证可能出现被拦截的风险。以上方案均无法“人证合一”地解决身份认证的问题。FIDO应运而生，FIDO联盟为推动去密码去口令化的强认证协议而诞生，可以解决“我就是我”的问题。FIDO，FastIDentityOnline，提供一种将认证方式与认证协议进行分离的解决方案，可支持多种生物特征认证方式，包括指纹、面部、声纹以及虹膜识别，此外，FIDO还可支持不同安全级别，网络服务提供商根据用户具有的认证方式与认证能力来定制认证策略。FIDOUAF(UAF，UniversalAuthenticationFramework)协议，允许网络服务器提供无密码和多因子安全服务。用户首先通过本地认证机制(指纹、人脸、声纹或PIN码)通过身份校验，然后通过与FIDOUAF认证器进行交互，拿到注册数据，将用户注册到在线服务端(FIDO服务器)完成注册。UAF协议允许服务选择哪些安全因子来进行用户认证。一旦用户完成了注册，以后用户服务需要调用FIDOUAF服务器时，只要简单通过本地身份验证即可完成认证过程，此后用户无需再输入密码即可进行用户登录，实现去密码化，并解决传统无法解决的“我就是我”的身份认证难题。但是现有技术中有些移动终端并不支持FIDO，或者硬件支持FIDO的认证器数量较少，无法为依赖方提供更多的选择，而且认证器一般在REE中运行，与密钥相关的运算遭到攻击的风险较高，密钥信息及交易确认内容容易遭到盗取和篡改，系统的安全性和稳定性较低。
技术实现思路
为了解决现有技术中移动终端FIDO认证器少以及FIDO系统安全性和稳定性较低的技术问题，本专利技术提供一种基于多认证器多因子的快速在线身份认证FIDO方法，所述方法包括：依赖方客户端生成触发请求，发送给依赖方服务器；依赖方服务器将接收的触发请求转发至FIDO服务器；FIDO服务器根据触发请求生成认证请求，并通过依赖方服务器返回至依赖方客户端；依赖方客户端接收到认证请求后，查询可用FIDO客户端，并将所述认证请求发送至FIDO客户端；FIDO客户端检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择；认证器选择结束后，从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验，当校验通过时，将认证请求发送至认证器控制模块(Authen)；认证器控制模块收到认证请求后，产生公私钥对，将私钥信息采用白盒加密算法进行加密，并保存至可信任执行环境TEE中，然后将公钥信息和认证应答信息生成响应请求，并将所述响应请求返回FIDO客户端；FIDO客户端将响应请求返回至依赖方客户端；依赖方客户端将接收的响应请求发送至依赖方服务器，依赖方服务器转发响应请求至FIDO服务器；FIDO服务器进行响应请求的校验后，将校验结果经依赖方服务器转发至依赖方客户端；依赖方根据接收的校验结果完成触发请求中的操作。进一步地，所述方法还包括在依赖方客户端生成触发请求信息之前依赖方已经通过依赖方客户端在依赖方服务器完成用户注册并登录成功。进一步地，所述方法中的FIDO认证器包括硬件认证器和软件认证器。进一步地，所述依赖方客户端生成的触发请求包括注册、登录鉴别、交易确认和注销。进一步地，所述FIDO客户端检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择是指通过获取认证器信息接口来获得依赖方设备中集成的所有认证器，并以列表的形式弹出供依赖方选择。进一步地，所述认证器选择结束后，从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验指选择人脸、声纹、指纹、虹膜和PIN码中的任意一种。根据本专利技术的另一方面，本专利技术提供一种基于多认证器多因子的快速在线身份认证FIDO系统，所述系统包括：依赖方客户端，其用于生成触发请求，发送给依赖方服务器，接收FIDO服务器根据触发请求生成的认证请求后发送至FIDO客户端，以及从FIDO客户端接收响应请求后发送至FIDO服务器进行校验，并接收FIDO服务器返回的校验结果；依赖方服务器，其用于将依赖方发送的触发请求转发至FIDO服务器，将FIDO服务器根据触发请求生成的认证请求转发至依赖方客户端，以及将依赖方客户端发送的响应请求转发至FIDO服务器；FIDO服务器，其用于接收触发请求，根据触发请求生成认证请求后通过依赖方服务器将认证请求返回至依赖方客户端，以及对依赖方客户端返回的响应请求进行校验，并将校验结果经依赖方服务器转发至依赖方客户端；FIDO客户端，其用于检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择，以及接收认证器控制模块的响应请求并转发至依赖方客户端；FIDO认证器，其用于从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验，当校验通过时，将认证请求发送至认证器控制模块；认证器控制模块，其用于收到认证请求后产生，公私钥对将私钥信息采用白盒加密算法进行加密，并保存至可信任执行环境TEE中，将公钥信息和认证应答信息生成响应请求，并将所述响应请求返回FIDO客户端。进一步地，所述依赖方客户端还用于使依赖方在依赖方服务器完成用户注册并登录。进一步地，所述FIDO认证器包括硬件认证器和软件认证器。进一步地，所述依赖方客户端生成的触发请求包括注册、登录鉴别、交易确认和注销。本专利技术技术方案提供的基于多认证器多因子的FIDO认证方法和系统将FIDO软件认证器和FIDO硬件认证器两种类型的多个认证器集成到同一FIDO客户端中，在已支持FIDO的移动终端上提供更多的选择，在不支持FIDO的移动设备上也可为用户提供基于FIDO协议的身份认证，并且本专利技术集成多个认证器，支持多种生物特征(如人脸、声纹、指纹和虹膜识别)，使不同依赖方平台、不同用户可根据自身需要选择相应的认证器以及生物特征校验方式，具有更加多样化与人性化的特点，这对FIDO的推广与发展具有较好的推动作用，而且本专利技术将TEE与白盒密码技术应用到FIDO系统中，可有效抵抗密码攻击，大大提高FIDO认证系统的稳定性与安全性。附图说明通过参考下面的附图，可以更为完整地理解本专利技术的示例性实施方式：图1为根据本专利技术优选实施方式的基于多认证器多因子的快速在线身份认证FIDO方法的流程图；图2为根据本专利技术优选实施方式的基于多认证器多因子的快速在线身份认证FIDO系统的结构示意图。具体实施方式现在参考附图介绍本专利技术的示例性实施方式，然而，本专利技术可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本专利技术，并且向所属
的技术人员充分传达本专利技术的范围。对于表示在附图中的示本文档来自技高网...

【技术保护点】
1.一种基于多认证器多因子的快速在线身份认证FIDO方法，其特征在于，所述方法包括：依赖方客户端生成触发请求，发送给依赖方服务器；依赖方服务器将接收的触发请求转发至FIDO服务器；FIDO服务器根据触发请求生成认证请求，并通过依赖方服务器返回至依赖方客户端；依赖方客户端接收到认证请求后，查询可用FIDO客户端，并将所述认证请求发送至FIDO客户端；FIDO客户端检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择；认证器选择结束后，从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验，当校验通过时，将认证请求发送至认证器控制模块；认证器控制模块收到认证请求后，产生公私钥对，将私钥信息采用白盒加密算法进行加密，并保存至可信任执行环境TEE中，然后将公钥信息和认证应答信息生成响应请求，并将所述响应请求返回FIDO客户端；FIDO客户端将响应请求返回至依赖方客户端；依赖方客户端将接收的响应请求发送至依赖方服务器，依赖方服务器转发响应请求至FIDO服务器；FIDO服务器进行响应请求的校验后，将校验结果经依赖方服务器转发至依赖方客户端；依赖方根据接收的校验结果完成触发请求中的操作。...

【技术特征摘要】
1.一种基于多认证器多因子的快速在线身份认证FIDO方法，其特征在于，所述方法包括：依赖方客户端生成触发请求，发送给依赖方服务器；依赖方服务器将接收的触发请求转发至FIDO服务器；FIDO服务器根据触发请求生成认证请求，并通过依赖方服务器返回至依赖方客户端；依赖方客户端接收到认证请求后，查询可用FIDO客户端，并将所述认证请求发送至FIDO客户端；FIDO客户端检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择；认证器选择结束后，从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验，当校验通过时，将认证请求发送至认证器控制模块；认证器控制模块收到认证请求后，产生公私钥对，将私钥信息采用白盒加密算法进行加密，并保存至可信任执行环境TEE中，然后将公钥信息和认证应答信息生成响应请求，并将所述响应请求返回FIDO客户端；FIDO客户端将响应请求返回至依赖方客户端；依赖方客户端将接收的响应请求发送至依赖方服务器，依赖方服务器转发响应请求至FIDO服务器；FIDO服务器进行响应请求的校验后，将校验结果经依赖方服务器转发至依赖方客户端；依赖方根据接收的校验结果完成触发请求中的操作。2.根据权利要求1所述的方法，其特征在于，所述方法还包括在依赖方客户端生成触发请求信息之前依赖方已经通过依赖方客户端在依赖方服务器完成用户注册并登录成功。3.根据权利要求1所述的方法，其特征在于，所述方法中的FIDO认证器包括硬件认证器和软件认证器。4.根据权利要求1所述的方法，其特别在于，所述依赖方客户端生成的触发请求包括注册、登录鉴别、交易确认和注销。5.根据权利要求1所述的方法，其特征在于，所述FIDO客户端检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择是指通过获取认证器信息接口来获得依赖方设备中集成的所有认证器，并以列表的形式弹出供依赖方选择。6.根据权...

【专利技术属性】
技术研发人员：黄艳丽，张宇驰，周珅珅，梁宵，李骁，刘茜，李孝猛，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11