快速身份認證系統(tǒng)CFCA FIDO+

高峰　張翼　趙燁昕

摘? ?要：隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)的發(fā)展趨勢已經(jīng)逐漸從PC端轉(zhuǎn)移到移動端，而移動端安全也受到前所未有的關(guān)注。面對復(fù)雜的互聯(lián)網(wǎng)環(huán)境和大量繁瑣的密碼口令，迫切需要一種安全、可靠、合規(guī)和便捷的認證手段。文章提出了一種將在線快速身份識別FIDO技術(shù)與電子認證技術(shù)完美結(jié)合的方案CFCA FIDO+。用戶不僅可以通過人臉識別、指紋識別等生物識別方式實現(xiàn)客戶端的免密登錄和免密交易，并且由于結(jié)合了數(shù)字證書，可以對用戶的真實身份進行認證。在擁有便捷性的同時，實現(xiàn)了高安全性，保障司法取證，并滿足監(jiān)管要求。

關(guān)鍵詞：FIDO;快速身份認證;UAF;證書;移動安全

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

The system of fast identity online CFCA FIDO+

Gao Feng， Zhang Yi， Zhao Yexin

（China Financial Certification Authority， Beijing 100054）

Abstract： With the rapid development of mobile Internet， to gradually transform from PCs to mobile terminals becomes the trend of Internet and mobile security has received unprecedented attention. Facing with complicated cyberspace environment and large quantities of complex passwords， there comes an urgent need for a secure， reliable， compliant and convenient authentication tool. This paper proposes a CFCA FIDO+ system that perfectly combines FIDO and electronic authentication technologies. Users can realize the password-free login and transactions by means of biometric recognition such as face recognition and fingerprint recognition. As a result of the combination of digital certificates， user identity can be defined by high secure and convenient methods， and it also can be as a judicial evidence and satisfy the requirements of compliance.

Key words： FIDO; fast identity online; UAF （Universal Authentication Framework）; digital certificate; mobile security

1 引言

移動互聯(lián)網(wǎng)的快速發(fā)展使我們逐漸進入了萬物互聯(lián)的物聯(lián)網(wǎng)時代，各種智能終端的普及對身份認證技術(shù)有著迫切的需求。目前，常見的身份認證方式主要有密碼口令、生物特征、PKI證書、動態(tài)令牌等。生物識別作為一種安全便捷的身份認證方式，得到了大規(guī)模的應(yīng)用，尤其是在智能終端上。根據(jù)相關(guān)數(shù)據(jù)顯示，2016年生物識別市場達到120億美元，預(yù)計到2021年中國生物識別行業(yè)的市場規(guī)模將突破340億美元，2002年到2015年，國內(nèi)生物識別市場的年復(fù)合增長率達到50%[1]。

在萬物智能化的趨勢下，生物識別作為用戶身份認證的入口，具備關(guān)鍵性地位。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2019年發(fā)表的《第43次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》[2]顯示，2018年賬號或密碼被盜的網(wǎng)民比2017年下降了1.1個百分點，其中不乏生物識別的功勞。但與此同時，涉及生物識別的安全問題日漸凸顯：2017年中央電視臺3·15晚會現(xiàn)場，主持人通過網(wǎng)絡(luò)上隨便找來的一張人物照片，通過簡單的圖像處理和動態(tài)合成技術(shù)，就能騙過一些通過面部識別作為認證信息的軟件;2017年7月，美國自助售貨機供應(yīng)商Avanti Markets被證實，公司內(nèi)部網(wǎng)絡(luò)支付系統(tǒng)遭黑客入侵并感染惡意軟件，客戶信用卡帳戶信息以及生物識別數(shù)據(jù)極有可能被泄露;2019年2月，追蹤MongoDB數(shù)據(jù)庫多年的荷蘭著名安全研究員Victor Gevers發(fā)現(xiàn)，中國一家名為“深網(wǎng)視界”的人臉識別公司發(fā)生數(shù)據(jù)泄露事件，超過250萬人的核心數(shù)據(jù)可被獲取，680萬條記錄泄露，其中包括身份證信息、人臉識別圖像及GPS位置記錄等。生別識別信息與其他信息不同，一旦被泄露，將導(dǎo)致身份冒用的惡性事件發(fā)生，帶來一系列嚴重的經(jīng)濟和社會影響，甚至威脅到國家安全。在這樣的背景下，增強生物識別的安全性也顯得尤為重要。

2? 生物特征識別技術(shù)的認證模式

總體來看，根據(jù)用戶識別過程是否需要服務(wù)端參與完成，生物特征識別技術(shù)的應(yīng)用模式可以分為兩種：遠程認證模式和本地認證模式。而大部分的生物信息數(shù)據(jù)泄露事件使用的均是遠程認證模式。所謂的遠程認證模式是指生物識別的完整過程需要由用戶接入的設(shè)備端和系統(tǒng)服務(wù)器端共同完成。用戶接入的設(shè)備端主要完成用戶生物特征信息的采集，并傳送到身份認證系統(tǒng)的服務(wù)器端，由服務(wù)端完成對生物特征信息的特征提取、存儲、比對和識別結(jié)果的輸出。目前，市場上大部分互聯(lián)網(wǎng)公司的人臉識別解決方案都是采用此種認證方式。而除了“被攻破”這類泄露外，如果相關(guān)公司有權(quán)限將生物識別信息存儲在其可控制的服務(wù)器上，從內(nèi)部造成泄露的可能性也存在。

而在本地認證模式下，生物識別的完整過程只需用戶接入的設(shè)備端就可完成，不會將用戶的生物特征信息傳遞到服務(wù)器端進行分析、處理或存儲。正是由于這種不同，本地認證模式天然就可避免一些風險：一是由于不需要在網(wǎng)絡(luò)上傳輸生物識別信息，避免了在網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)遭到劫持泄露的問題;二是生物識別信息不需要在服務(wù)器端進行存儲和比對，避免了服務(wù)器端用戶數(shù)據(jù)遭泄露的風險，并且由于不在服務(wù)器端進行數(shù)據(jù)比對和識別結(jié)果的輸出，也杜絕了遠端破解的風險。

3 快速身份認證系統(tǒng)CFCA FIDO+

本地認證模式被越來越廣泛地運用在對安全級別要求極高的金融領(lǐng)域中。由于近年來移動支付的普及，為了匹配金融級別的應(yīng)用，越來越多的設(shè)備逐漸開始支持本地生物識別的認證方式。同時，不同廠商之間開發(fā)的本地生物識別技術(shù)存在差異性，為了保證各個廠商開發(fā)的強認證技術(shù)之間的互操作性，改變目前的主流在線驗證的方式（即使用口令作為主要驗證手段），消除或者減弱用戶對口令的依賴，成立于2012年7月的FIDO（Fast Identity Online）聯(lián)盟創(chuàng)建了一套開放的標準在線快速身份認證協(xié)議。FIDO協(xié)議將認證方式和認證協(xié)議分離，通過兩步認證的思想，在一定程度上實現(xiàn)了認證方式的集成統(tǒng)一[3]。對于互聯(lián)網(wǎng)公司來說，隨著重大數(shù)據(jù)泄露事故的頻發(fā)，過去基于口令的在線身份驗證技術(shù)已經(jīng)難以維持互聯(lián)網(wǎng)經(jīng)濟的穩(wěn)定發(fā)展，安全界關(guān)于“替代口令”的呼聲越來越高[4]。FIDO聯(lián)盟正是在這個背景下應(yīng)運而生的一個推動去密碼化的強認證協(xié)議標準的組織。隨著FIDO技術(shù)的推廣，越來越多的終端設(shè)備和系統(tǒng)開始支持FIDO技術(shù)，比如中國人民銀行也加入到了對UAF協(xié)議的研究中[5]。

3.1 FIDO存在的問題

目前，F(xiàn)IDO協(xié)議在移動端電子支付、手機銀行交易等應(yīng)用場景中尚存在幾個問題。

（1）缺乏有效的身份認證：FIDO協(xié)議解決了“你還是你”的問題，但是協(xié)議中沒有真實身份認證的部分，例如怎么證明你是張三而不是李四。

（2）交易簽名安全性低：沒有為交易報文提供專門接口，僅用私鑰簽名，沒有對應(yīng)的公鑰證書，安全性難以達到二代U盾“所見即所簽”的標準。

（3）難以進行司法取證：生物特征數(shù)據(jù)不離開終端設(shè)備，僅用于解鎖私鑰，并未實際包含在電子簽名中，不符合《電子簽名法》中簽名“專有”“?？亍焙托枰梢婪ㄔO(shè)立的CA（第三方電子認證機構(gòu)）進行認證的要求，不能作為司法證據(jù)使用。

（4）算法不適應(yīng)中國國情：FIDO國際標準認證器對國密算法SM2、SM3、SM4支持不足，而中國移動支付規(guī)模已占全球市場規(guī)模近一半，如果不能很好地支持國密算法，F(xiàn)IDO難以大范圍普及。

3.2 CFCA FIDO+解決方式

針對這些問題，于2016年加入FIDO聯(lián)盟的中國金融認證中心（CFCA）率先將CA的電子簽名服務(wù)與FIDO技術(shù)相結(jié)合，形成了“CFCA FIDO+”方案，面向移動支付等應(yīng)用場景提供符合法律效力、安全便捷的數(shù)字簽名和身份認證服務(wù)。對于網(wǎng)絡(luò)的可信身份認證問題[6]，有了更加方便、可靠的解決方案?！癈FCA FIDO+”產(chǎn)品完美結(jié)合了FIDO技術(shù)和電子認證技術(shù)，解決了FIDO目前面臨的主要問題。

（1）第三方有效身份認證：由合法的第三方CA完成用戶真實身份認證，配合標準FIDO協(xié)議，更加符合金融級別的應(yīng)用要求。

（2）公私鑰簽名更安全：為私鑰添加對應(yīng)的公鑰證書，使用效率和安全性均更高的非對稱加密（公鑰加密、私鑰解密）方式確保交易報文的保密性、防篡改性。

（3）“所見即所簽”：在手機等移動設(shè)備屏幕顯示交易信息再觸發(fā)FIDO身份認證，保證所簽署的內(nèi)容為最終簽署內(nèi)容，進一步提升交易安全性。

（4）簽名成為合法證據(jù)：在生物特征數(shù)據(jù)的基礎(chǔ)之上，將可靠電子簽名嵌入交易報文，使簽名行為符合《電子簽名法》，具有法律效力，讓簽名可以作為司法證據(jù)使用。

（5）支持國密算法：“CFCA FIDO+”完美支持SM2、SM3、SM4國密算法，使銀行等機構(gòu)無需因應(yīng)用FIDO而進行大規(guī)模系統(tǒng)改造。

4 系統(tǒng)架構(gòu)和應(yīng)用場景

“CFCA FIDO+”是FIDO協(xié)議和電子認證技術(shù)完美結(jié)合的產(chǎn)物。CFCA FIDO+系統(tǒng)在廣泛研究了目前關(guān)于FIDO架構(gòu)的在線生物識別系統(tǒng)方案[7-8]，以及FIDO UAF認證安全性等基礎(chǔ)上[9]，不僅使用生物識別技術(shù)，通過為用戶頒發(fā)數(shù)字證書認證用戶真實身份，同時在業(yè)務(wù)過程中使用電子認證技術(shù)完成可靠電子簽名，為司法取證提供了有效手段，防止交易方抵賴，并為多樣化業(yè)務(wù)（例如電子合同、數(shù)據(jù)服務(wù)等）的接入提供了安全認證基礎(chǔ)。

4.1 系統(tǒng)架構(gòu)

快速身份認證系統(tǒng)CFCA FIDO+產(chǎn)品提供FIDO客戶端軟件開發(fā)包SDK、FIDO服務(wù)端軟件開發(fā)包和FIDO服務(wù)器三部分。

FIDO客戶端SDK內(nèi)包含F(xiàn)IDO認證器，實現(xiàn)FIDO客戶端協(xié)議的生物識別和簽名認證，向上層應(yīng)用APP提供接口調(diào)用;FIDO服務(wù)端SDK實現(xiàn)向上層應(yīng)用服務(wù)提供接口調(diào)用;FIDO服務(wù)器實現(xiàn)FIDO服務(wù)端的相關(guān)認證流程協(xié)議的匹配，方案架構(gòu)如圖1所示。

客戶端應(yīng)用APP調(diào)用FIDO客戶端SDK實現(xiàn)終端集成，服務(wù)端應(yīng)用服務(wù)器調(diào)用FIDO服務(wù)端SDK實現(xiàn)服務(wù)端的集成和對接，F(xiàn)IDO服務(wù)器需要對接RA，向第三方CA申請數(shù)字證書。數(shù)字證書私鑰的存儲方式有三種，包括硬件安全單元SE、可信安全環(huán)境TEE和軟SE的存儲方式，系統(tǒng)部署圖如圖2所示。

4.2 應(yīng)用場景和流程

生物識別技術(shù)主要可以應(yīng)用在兩大場景：第一類應(yīng)用場景是手機、筆記本電腦等個人設(shè)備;第二類應(yīng)用場景是工作場所的生物特征識別門禁系統(tǒng)[10]。FIDO技術(shù)的主要應(yīng)用場景則是第一類，而CFCA FIDO+方案則主要應(yīng)用于對安全性有著極高要求的移動設(shè)備應(yīng)用登錄和高金融級別的支付動賬場景。CFCA FIDO+方案的主要認證流程包括注冊流程、認證流程和注銷流程。

4.2.1 注冊流程

FIDO詳細注冊流程如圖3所示，主要分為四步：

1） 首先由用戶在客戶端發(fā)起注冊請求，服務(wù)器端收到注冊請求以后會產(chǎn)生一個隨機數(shù)，并將隨機數(shù)發(fā)送給客戶端;

2） 客戶端收到隨機數(shù)后，會提示用戶使用設(shè)備已經(jīng)存儲的生物識別信息進行認證，認證通過以后在TEE中生成FIDO公私鑰對，將隨機數(shù)和公鑰等注冊數(shù)據(jù)作為簽名響應(yīng)數(shù)據(jù)發(fā)送給FIDO認證服務(wù)器;

3） FIDO認證服務(wù)器調(diào)用簽名驗簽服務(wù)器做完驗簽后，保留FIDO公鑰，將結(jié)果返回給應(yīng)用服務(wù)器，并由RA申請證書;

4） 應(yīng)用服務(wù)器根據(jù)結(jié)果判斷注冊是否成功。

4.2.2 認證流程

FIDO詳細認證流程如圖4所示，主要分為四步：

1） 首先由用戶在客戶端發(fā)起認證請求，服務(wù)器端收到認證請求以后會產(chǎn)生一個隨機數(shù)，并將隨機數(shù)發(fā)送給客戶端;

2） 客戶端收到隨機數(shù)，用戶使用生物識別解鎖TEE中存儲的FIDO私鑰，并用私鑰對隨機數(shù)和認證數(shù)據(jù)進行簽名，并將簽名值發(fā)送給FIDO認證服務(wù)器;

3） FIDO認證服務(wù)器使用存儲的公鑰進行驗簽，并將驗簽結(jié)果返回給應(yīng)用服務(wù)器;

4） 應(yīng)用服務(wù)器根據(jù)結(jié)果判斷認證是否成功。

4.2.3 注銷流程

FIDO詳細注銷流程如圖5所示，主要分為四步：

1） 首先由用戶在客戶端發(fā)起注銷請求，服務(wù)器端收到注銷請求以后會產(chǎn)生一個隨機數(shù)，并將隨機數(shù)發(fā)送給客戶端;

2） 客戶端收到隨機數(shù)，用戶使用生物識別解鎖TEE中存儲的FIDO私鑰，并用私鑰對隨機數(shù)和認證數(shù)據(jù)進行簽名，并將簽名值發(fā)送給FIDO認證服務(wù)器;

3） FIDO認證服務(wù)器使用存儲的公鑰進行驗簽，將驗簽結(jié)果返回給應(yīng)用服務(wù)器，并刪除存儲的公鑰;

4） 應(yīng)用服務(wù)器根據(jù)結(jié)果判斷注銷結(jié)果，并通知本地客戶端刪除本地私鑰。

5? CFCA FIDO+關(guān)鍵技術(shù)和創(chuàng)新點

5.1 關(guān)鍵技術(shù)

CFCA FIDO+產(chǎn)品的FIDO部分采取FIDO聯(lián)盟標準的的FIDO UAF協(xié)議，融合CFCA的證書技術(shù)，采用模塊化開發(fā)理念，提供標準的接口流程，主要采用了幾項關(guān)鍵技術(shù)。

密碼接口標準化：采用標準接口實現(xiàn)對密碼設(shè)備的訪問，系統(tǒng)可以使用密碼卡、密碼機提供證書簽發(fā)服務(wù)。

底層接口統(tǒng)一：提供任務(wù)調(diào)度、安全通訊、日志記錄、安全審計、系統(tǒng)配置、權(quán)限管理、人員管理的統(tǒng)一化，實現(xiàn)上層代碼開發(fā)的高復(fù)用性。

系統(tǒng)開發(fā)模塊化：采用系統(tǒng)間低耦合、模塊內(nèi)高內(nèi)聚的設(shè)計理念，開發(fā)后臺系統(tǒng)管理、策略管理組件、終端管理組件、日志管理組件。

應(yīng)用支持多樣化：提供豐富的開發(fā)接口，支持多種開發(fā)語言，支持國內(nèi)外主流軟件的證書應(yīng)用，支持智能終端上的TEE環(huán)境管理密鑰。

5.2 項目創(chuàng)新點

CFCA FIDO+采用本地生物識別認證模式，支持TEE/SE級別的密鑰保護，用戶私鑰和生物信息等私密信息不能導(dǎo)出設(shè)備終端，服務(wù)器端數(shù)據(jù)庫存儲的是用戶公鑰集，從根本上杜絕了大規(guī)模用戶生物識別信息遭泄露的問題。即使服務(wù)器端數(shù)據(jù)庫遭到黑客攻擊，也不會對系統(tǒng)造成災(zāi)難性的風險，或者某個用戶的設(shè)備被黑客竊取到，也不會造成大規(guī)模數(shù)據(jù)泄露風險（此種情況下黑客更多關(guān)注的是如何重置系統(tǒng)賣掉設(shè)備而不是破解設(shè)備，獲取用戶生物識別信息）。

兼容多種認證方式：CFCA FIDO+項目可以支持多種生物識別身份認證方式，例如人臉認證和聲紋認證等，后臺服務(wù)器可以自主配置認證方式，并配合前端插件，實現(xiàn)靈活的身份認證功能。

結(jié)合數(shù)字證書：采用生物識別+PKI的形式建立了全新的生物識別認證平臺，利用移動端的安全硬件保證了生物信息采集、存儲的安全性，利用生物信息代替?zhèn)鹘y(tǒng)口令完成認證。生物識別身份認證平臺與數(shù)字證書相結(jié)合，形成可靠的電子簽名認證體系。彌補現(xiàn)有認證過程中客戶身份認證和簽名過程中的不足，可以使認證平臺更加合規(guī)，更符合中國國情。

免除密碼口令：采用系統(tǒng)，用戶不再需要記憶眾多的、各種各樣的密碼口令，直接采用自身的生物特征進行識別，即可以安全快捷認證身份。

6 結(jié)束語

目前，CFCA FIDO+產(chǎn)品已成功在光大銀行、招商銀行、渤海銀行等幾十家銀行和中國外匯交易中心、一汽財務(wù)公司等政企使用。顯然，隨著生物識別技術(shù)的大規(guī)模普及，更多的數(shù)據(jù)泄露事件將越來越頻繁地進入到公眾的視野中，而CFCA FIDO+方案能避免類似的數(shù)據(jù)泄露問題。針對移動安全領(lǐng)域中數(shù)據(jù)泄露的其他風險，CFCA也可通過結(jié)合安全檢測、云證通和手機盾等其他產(chǎn)品，實現(xiàn)全方位多維度的安全守護。

參考文獻

[1] 2018年中國生物識別技術(shù)發(fā)展現(xiàn)狀分析[EB/OL].https：//www.qianzhan.com/analyst /detail/220/180412-17ba2420.html，2018.

[2] 中國互聯(lián)網(wǎng)絡(luò)信息中心.第41次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[EB/OL]. http：//www.cac.gov.cn/2018-01/31/c_1122346138.htm，2018.

[3] FIDO-UAF-Overview-V1.1[EB/OL].https：//fidoalliance.org/specs/fido-uaf-v1.1-id-20170202/FIDO-UAF-Errata-UAF-v1.1-Specification.pdf，2017.

[4] 川鴻.FIDO之后，密碼即將死去[EB/OL].https：//www.leiphone.com/news/201412/njac1k7dcdNv6LIk.html，2014，12.

[5] 葉建清，戴斌，黃鶴汶，黎楚嬋.FIDO UAF協(xié)議對移動支付部署生物識別技術(shù)的啟示[J].金融科技時代，2017（2）：45-48.

[6] 宋憲榮，張猛.網(wǎng)絡(luò)可信身份認證技術(shù)問題研究[J].網(wǎng)絡(luò)空間安全，2018，9（3）：69-77.

[7] 王耀龍.基于FIDO架構(gòu)在線指紋識別系統(tǒng)客戶端的設(shè)計與實現(xiàn)[D].北京交通大學(xué)，2015.

[8] 郭茂文.基于FIDO協(xié)議的指紋認證方案研究[J].廣東通信技術(shù)，2016，36（4）：2-5.

[9] 胡可欣.FIDO UAF認證協(xié)議的安全性研究[D].中國科學(xué)技術(shù)大學(xué)，2016.

[10] Nana.生物識別的五大缺陷與兩大應(yīng)用場景[EB/OL]. https：//www.aqniu.com/news-views/42521.html，2019，01.