[发明专利]基于区块链的FIDO认证方法、装置及系统

权利要求书

1.一种基于区块链的FIDO认证方法，其特征在于，应用于线上快速身份认证FIDO服务器，所述方法包括：

通过第一应用服务接收用户设备发送的基于第一用户的初始化认证请求，所述FIDO服务器为所述第一应用服务对应的FIDO服务器，所述FIDO服务器为区块链网络中的一个节点；

响应于所述初始化认证请求，向所述用户设备发送认证请求，所述认证请求中包含挑战值；

通过所述第一应用服务接收所述用户设备发送的认证响应，所述认证响应中包含挑战值签名，所述挑战值签名是所述用户设备利用认证私钥对所述挑战值进行签名得到的，所述认证私钥与所述第一用户以及所述第一应用服务对应；

从所述区块链中获取所述认证私钥对应的认证公钥；

利用所述认证公钥对所述认证响应中的所述挑战值签名进行验证；

和/或，

通过所述第一应用服务接收所述用户设备发送的基于所述第一用户的初始化交易请求；

响应于所述初始化交易请求，向所述用户设备发送交易认证请求，所述交易认证请求中包含交易信息；

通过所述第一应用服务接收所述用户设备发送的交易认证响应，所述交易认证响应中包含所述交易信息的哈希值以及所述哈希值的签名，所述哈希值的签名是所述用户设备利用与所述认证私钥对所述哈希值进行签名得到的；

从所述区块链中获取所述认证公钥；

利用所述认证公钥对所述认证响应中的所述哈希值的签名进行验证；

其中，在所述通过第一应用服务接收用户设备发送的初始化认证请求之前，或在所述通过所述第一应用服务接收所述用户设备发送的基于所述第一用户的初始化交易请求之前，所述方法还包括：

通过所述第一应用服务接收所述用户设备发送的初始化注册请求；

响应于所述初始化注册请求，向所述用户设备发送注册请求，所述注册请求中包含验证策略，所述验证策略包含所述第一应用服务所支持的验证方式和认证器种类；

通过所述第一应用服务接收所述用户设备发送的注册响应，所述注册响应中包含所述认证公钥，以及所述认证公钥的签名，所述认证公钥和所述认证私钥是所述用户设备通过符合所述验证策略的认证器进行所述第一用户的注册后生成的密钥对，所述认证公钥的签名是所述用户设备利用所述认证器的鉴权私钥对所述认证公钥进行签名得到的；

从所述区块链中获取所述认证器的鉴权公钥；

利用所述鉴权公钥对所述注册响应中的所述认证公钥的签名进行验证；

当所述认证公钥的签名通过验证时，将所述认证公钥存储在所述区块链中。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

通过所述第一应用服务接收所述用户设备发送的初始化注销请求；

响应于所述初始化注销请求，向所述区块链中写入用于将指定用户的用户信息设置为无效的数据，其中所述用户信息包括：所述指定用户的认证公钥，以及所述指定用户的认证公钥与所述指定用户、所述第一应用服务的对应关系。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述FIDO服务器在所述区块链中发起用于认证器管理的第一交易，所述第一交易中包括所述FIDO服务器的账户，智能合约的账户，待执行的管理操作，以及所述第一交易的签名，所述第一交易的签名是所述FIDO服务器利用所述FIDO服务器的私钥对所述第一交易进行签名得到的，所述智能合约中记录有所述FIDO服务器的账户的操作权限；

所述第一交易用于利用所述智能合约在所述区块链中执行所述待执行的管理操作，所述待执行的管理操作包括：添加认证器信息、修改认证器信息或删除认证器信息。