[发明专利]基于区块链的FIDO认证方法、装置及系统

说明书

本公开涉及基于区块链的FIDO认证方法、装置及系统，该方法包括：通过第一应用服务接收用户设备发送的初始化认证请求后，向用户设备发送认证请求，该认证请求中包含挑战值，在用户设备利用认证私钥对该挑战值进行签名后，FIDO服务器通过第一应用服务接收用户设备发送的认证响应，该认证响应中包含挑战值签名，而后FIDO从区块链中获取该认证私钥对应的认证公钥，并利用该认证公钥对认证响应中的该挑战值签名进行验证。能够解决现有FIDO系统易受到攻击而造成信息泄露、被篡改或出现系统故障的问题，提高FIDO系统的安全性。

技术领域

本公开涉及信息安全领域，具体地，涉及一种基于区块链的FIDO认证方法、装置及系统。

背景技术

FIDO(Fast Identity Online，线上快速身份认证)标准是由FIDO联盟提出的一个开放的标准协议，旨在提供一个高安全性、跨平台兼容性、极佳用户体验与用户隐私保护的在线身份验证技术架构。FIDO标准通过集成生物识别与非对称加密两大技术来完成用户身份验证，试图终结多年来用户必须记忆并使用大量复杂密码的烦恼。目前的FIDO标准中提出了两种认证协议：U2F(Universal 2nd Factor Protocol，通用第二因素)与UAF(Universal Authentication Framework，通用认证框架)。

其中，U2F是在兼容现有密码验证体系基础上提出的。当在线进行高安全属性的在线操作时，用户需提供一个符合U2F协议的验证设备作为第二身份验证因素，即可保证交易足够安全。该验证设备被称为U2F设备，例如第二代U盾，用户在使用时先通过用户名和密码的方式登录该网站或服务，然后在任何有高安全需求时(如交易确认)接入U2F设备并确认本次身份验证操作，就可以完成用户强身份验证，提升交易安全。借助U2F设备，用户不再需要记忆大量的复杂密码，传统密码主要用于用户登录使用，不决定交易安全性高低，用户即使只使用4位简单密码也不会影响到最终的交易安全。不仅如此，U2F协议还支持单一U2F验证设备同时为多个网站或服务进行强安全认证服务。

UAF充分地吸收了移动智能设备所具有的新技术，更加符合移动用户的使用习惯。在需要验证身份时，智能设备利用生物识别技术(如指纹识别、面部识别、虹膜识别等)取得用户授权，然后通过非对称加密技术生成加密的认证数据供后台服务器进行用户身份验证操作。整个过程可完全不需要密码，真正意义上实现了“终结密码”。交易在进行基于UAF协议的身份验证时，只需用户刷一下指纹，或说一句话，又或简单看着摄像头就可以完成用户登录、交易确认或其他需要强身份验证操作。依据UAF协议，用户所有的个人生物数据与私有密钥都只存储在用户设备中，无需经网络传送到网站服务器，而服务器只需存储有用户的公有密钥即可完成用户身份验证。这样就大大降低了用户验证信息暴露的风险。

但是目前的FIDO架构是C/S(Client/Server，客户端/服务器)架构，其中服务器端采用中心化架构，与身份认证相关的隐私信息，比如用户的公钥，注册信息等均存储在FIDO服务器的数据库中，一旦FIDO服务器受到攻击可能导致信息的泄露、被篡改或出现系统故障等问题，因此存在一定的安全隐患。

发明内容

本公开的一个目的是提供一种基于区块链的FIDO认证方法、装置及系统，能够解决现有的FIDO服务器中心化部署方式易受到攻击而造成信息泄露、被篡改或出现系统故障的问题。

为了实现上述目的，第一方面，本公开提供一种基于区块链的FIDO认证方法，应用于线上快速身份认证FIDO服务器，所述方法包括：

通过第一应用服务接收用户设备发送的基于第一用户的初始化认证请求，所述FIDO服务器为所述第一应用服务对应的FIDO服务器，所述FIDO服务器为区块链网络中的一个节点；

响应于所述初始化认证请求，向所述用户设备发送认证请求，所述认证请求中包含挑战值；