[发明专利]一种基于多认证器多因子的快速在线身份认证FIDO方法和系统

说明书

本发明提供一种基于多认证器多因子的FIDO认证方法和系统。所述方法和系统将FIDO软件认证器和FIDO硬件认证器两种类型的多个认证器集成到同一FIDO客户端中，在已支持FIDO的移动终端上提供更多的选择，在不支持FIDO的移动设备上也可为用户提供基于FIDO协议的身份认证，并且本发明集成多个认证器，支持多种生物特征识别身份，使不同依赖方平台、不同用户可根据自身需要选择相应的认证器以及生物特征校验方式，具有更加多样化与人性化的特点，这对FIDO的推广与发展具有较好的推动作用，而且本发明将TEE与白盒密码技术应用到FIDO系统中，可有效抵抗密码攻击，大大提高FIDO认证系统的稳定性与安全性。

技术领域

本发明涉及在线身份认证领域,并且更具体地，涉及一种基于多认证器多因子的快速在线身份认证FIDO方法和系统。

背景技术

随着移动应用与移动互联网的迅猛发展，移动应用程序日益丰富多元化，同时信息安全问题也随之而来。近来来重大数据泄露事故频发，传统基于密码的在线身份验证技术已难以维护互联网的安全。过去，用户通过静态口令、短信验证码和U盾等方式证明“正在操作的人是本人”。静态口令面临拖库、撞库、钓鱼、木马和暴力破解等挑战。短信验证码等带外身份验证可能出现被拦截的风险。以上方案均无法“人证合一”地解决身份认证的问题。FIDO应运而生，FIDO联盟为推动去密码去口令化的强认证协议而诞生，可以解决“我就是我”的问题。

FIDO，Fast IDentity Online，提供一种将认证方式与认证协议进行分离的解决方案，可支持多种生物特征认证方式，包括指纹、面部、声纹以及虹膜识别，此外，FIDO还可支持不同安全级别，网络服务提供商根据用户具有的认证方式与认证能力来定制认证策略。

FIDO UAF(UAF，Universal Authentication Framework)协议，允许网络服务器提供无密码和多因子安全服务。用户首先通过本地认证机制(指纹、人脸、声纹或PIN码)通过身份校验，然后通过与FIDO UAF认证器进行交互，拿到注册数据，将用户注册到在线服务端(FIDO服务器)完成注册。UAF协议允许服务选择哪些安全因子来进行用户认证。一旦用户完成了注册，以后用户服务需要调用FIDO UAF服务器时，只要简单通过本地身份验证即可完成认证过程，此后用户无需再输入密码即可进行用户登录，实现去密码化，并解决传统无法解决的“我就是我”的身份认证难题。

但是现有技术中有些移动终端并不支持FIDO，或者硬件支持FIDO的认证器数量较少，无法为依赖方提供更多的选择，而且认证器一般在REE中运行，与密钥相关的运算遭到攻击的风险较高，密钥信息及交易确认内容容易遭到盗取和篡改，系统的安全性和稳定性较低。

发明内容

为了解决现有技术中移动终端FIDO认证器少以及FIDO系统安全性和稳定性较低的技术问题，本发明提供一种基于多认证器多因子的快速在线身份认证FIDO方法，所述方法包括：

依赖方客户端生成触发请求，发送给依赖方服务器；

依赖方服务器将接收的触发请求转发至FIDO服务器；

FIDO服务器根据触发请求生成认证请求，并通过依赖方服务器返回至依赖方客户端；

依赖方客户端接收到认证请求后，查询可用FIDO客户端，并将所述认证请求发送至FIDO客户端；

FIDO客户端检查FIDO认证协议版本，并根据认证请求，弹出符合认证请求的FIDO认证器列表供依赖方选择；

认证器选择结束后，从依赖方设备支持的多种生物特征校验方式中选择一种进行生物特征校验，当校验通过时，将认证请求发送至认证器控制模块(Authen)；