快速身份認(rèn)證系統(tǒng)CFCA FIDO+

高峰　張翼　趙燁昕

摘? ?要：隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)的發(fā)展趨勢已經(jīng)逐漸從PC端轉(zhuǎn)移到移動端，而移動端安全也受到前所未有的關(guān)注。面對復(fù)雜的互聯(lián)網(wǎng)環(huán)境和大量繁瑣的密碼口令，迫切需要一種安全、可靠、合規(guī)和便捷的認(rèn)證手段。文章提出了一種將在線快速身份識別FIDO技術(shù)與電子認(rèn)證技術(shù)完美結(jié)合的方案CFCA FIDO+。用戶不僅可以通過人臉識別、指紋識別等生物識別方式實(shí)現(xiàn)客戶端的免密登錄和免密交易，并且由于結(jié)合了數(shù)字證書，可以對用戶的真實(shí)身份進(jìn)行認(rèn)證。在擁有便捷性的同時，實(shí)現(xiàn)了高安全性，保障司法取證，并滿足監(jiān)管要求。

關(guān)鍵詞：FIDO;快速身份認(rèn)證;UAF;證書;移動安全

中圖分類號：TP309? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

The system of fast identity online CFCA FIDO+

Gao Feng， Zhang Yi， Zhao Yexin

（China Financial Certification Authority， Beijing 100054）

Abstract： With the rapid development of mobile Internet， to gradually transform from PCs to mobile terminals becomes the trend of Internet and mobile security has received unprecedented attention. Facing with complicated cyberspace environment and large quantities of complex passwords， there comes an urgent need for a secure， reliable， compliant and convenient authentication tool. This paper proposes a CFCA FIDO+ system that perfectly combines FIDO and electronic authentication technologies. Users can realize the password-free login and transactions by means of biometric recognition such as face recognition and fingerprint recognition. As a result of the combination of digital certificates， user identity can be defined by high secure and convenient methods， and it also can be as a judicial evidence and satisfy the requirements of compliance.

Key words： FIDO; fast identity online; UAF （Universal Authentication Framework）; digital certificate; mobile security

1 引言

移動互聯(lián)網(wǎng)的快速發(fā)展使我們逐漸進(jìn)入了萬物互聯(lián)的物聯(lián)網(wǎng)時代，各種智能終端的普及對身份認(rèn)證技術(shù)有著迫切的需求。目前，常見的身份認(rèn)證方式主要有密碼口令、生物特征、PKI證書、動態(tài)令牌等。生物識別作為一種安全便捷的身份認(rèn)證方式，得到了大規(guī)模的應(yīng)用，尤其是在智能終端上。根據(jù)相關(guān)數(shù)據(jù)顯示，2016年生物識別市場達(dá)到120億美元，預(yù)計(jì)到2021年中國生物識別行業(yè)的市場規(guī)模將突破340億美元，2002年到2015年，國內(nèi)生物識別市場的年復(fù)合增長率達(dá)到50%[1]。

在萬物智能化的趨勢下，生物識別作為用戶身份認(rèn)證的入口，具備關(guān)鍵性地位。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2019年發(fā)表的《第43次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[2]顯示，2018年賬號或密碼被盜的網(wǎng)民比2017年下降了1.1個百分點(diǎn)，其中不乏生物識別的功勞。但與此同時，涉及生物識別的安全問題日漸凸顯：2017年中央電視臺3·15晚會現(xiàn)場，主持人通過網(wǎng)絡(luò)上隨便找來的一張人物照片，通過簡單的圖像處理和動態(tài)合成技術(shù)，就能騙過一些通過面部識別作為認(rèn)證信息的軟件;2017年7月，美國自助售貨機(jī)供應(yīng)商Avanti Markets被證實(shí)，公司內(nèi)部網(wǎng)絡(luò)支付系統(tǒng)遭黑客入侵并感染惡意軟件，客戶信用卡帳戶信息以及生物識別數(shù)據(jù)極有可能被泄露;2019年2月，追蹤MongoDB數(shù)據(jù)庫多年的荷蘭著名安全研究員Victor Gevers發(fā)現(xiàn)，中國一家名為“深網(wǎng)視界”的人臉識別公司發(fā)生數(shù)據(jù)泄露事件，超過250萬人的核心數(shù)據(jù)可被獲取，680萬條記錄泄露，其中包括身份證信息、人臉識別圖像及GPS位置記錄等。生別識別信息與其他信息不同，一旦被泄露，將導(dǎo)致身份冒用的惡性事件發(fā)生，帶來一系列嚴(yán)重的經(jīng)濟(jì)和社會影響，甚至威脅到國家安全。在這樣的背景下，增強(qiáng)生物識別的安全性也顯得尤為重要。

2? 生物特征識別技術(shù)的認(rèn)證模式

總體來看，根據(jù)用戶識別過程是否需要服務(wù)端參與完成，生物特征識別技術(shù)的應(yīng)用模式可以分為兩種：遠(yuǎn)程認(rèn)證模式和本地認(rèn)證模式。而大部分的生物信息數(shù)據(jù)泄露事件使用的均是遠(yuǎn)程認(rèn)證模式。所謂的遠(yuǎn)程認(rèn)證模式是指生物識別的完整過程需要由用戶接入的設(shè)備端和系統(tǒng)服務(wù)器端共同完成。用戶接入的設(shè)備端主要完成用戶生物特征信息的采集，并傳送到身份認(rèn)證系統(tǒng)的服務(wù)器端，由服務(wù)端完成對生物特征信息的特征提取、存儲、比對和識別結(jié)果的輸出。目前，市場上大部分互聯(lián)網(wǎng)公司的人臉識別解決方案都是采用此種認(rèn)證方式。而除了“被攻破”這類泄露外，如果相關(guān)公司有權(quán)限將生物識別信息存儲在其可控制的服務(wù)器上，從內(nèi)部造成泄露的可能性也存在。

而在本地認(rèn)證模式下，生物識別的完整過程只需用戶接入的設(shè)備端就可完成，不會將用戶的生物特征信息傳遞到服務(wù)器端進(jìn)行分析、處理或存儲。正是由于這種不同，本地認(rèn)證模式天然就可避免一些風(fēng)險(xiǎn)：一是由于不需要在網(wǎng)絡(luò)上傳輸生物識別信息，避免了在網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)遭到劫持泄露的問題;二是生物識別信息不需要在服務(wù)器端進(jìn)行存儲和比對，避免了服務(wù)器端用戶數(shù)據(jù)遭泄露的風(fēng)險(xiǎn)，并且由于不在服務(wù)器端進(jìn)行數(shù)據(jù)比對和識別結(jié)果的輸出，也杜絕了遠(yuǎn)端破解的風(fēng)險(xiǎn)。

3 快速身份認(rèn)證系統(tǒng)CFCA FIDO+

本地認(rèn)證模式被越來越廣泛地運(yùn)用在對安全級別要求極高的金融領(lǐng)域中。由于近年來移動支付的普及，為了匹配金融級別的應(yīng)用，越來越多的設(shè)備逐漸開始支持本地生物識別的認(rèn)證方式。同時，不同廠商之間開發(fā)的本地生物識別技術(shù)存在差異性，為了保證各個廠商開發(fā)的強(qiáng)認(rèn)證技術(shù)之間的互操作性，改變目前的主流在線驗(yàn)證的方式（即使用口令作為主要驗(yàn)證手段），消除或者減弱用戶對口令的依賴，成立于2012年7月的FIDO（Fast Identity Online）聯(lián)盟創(chuàng)建了一套開放的標(biāo)準(zhǔn)在線快速身份認(rèn)證協(xié)議。FIDO協(xié)議將認(rèn)證方式和認(rèn)證協(xié)議分離，通過兩步認(rèn)證的思想，在一定程度上實(shí)現(xiàn)了認(rèn)證方式的集成統(tǒng)一[3]。對于互聯(lián)網(wǎng)公司來說，隨著重大數(shù)據(jù)泄露事故的頻發(fā)，過去基于口令的在線身份驗(yàn)證技術(shù)已經(jīng)難以維持互聯(lián)網(wǎng)經(jīng)濟(jì)的穩(wěn)定發(fā)展，安全界關(guān)于“替代口令”的呼聲越來越高[4]。FIDO聯(lián)盟正是在這個背景下應(yīng)運(yùn)而生的一個推動去密碼化的強(qiáng)認(rèn)證協(xié)議標(biāo)準(zhǔn)的組織。隨著FIDO技術(shù)的推廣，越來越多的終端設(shè)備和系統(tǒng)開始支持FIDO技術(shù)，比如中國人民銀行也加入到了對UAF協(xié)議的研究中[5]。

3.1 FIDO存在的問題

目前，F(xiàn)IDO協(xié)議在移動端電子支付、手機(jī)銀行交易等應(yīng)用場景中尚存在幾個問題。

（1）缺乏有效的身份認(rèn)證：FIDO協(xié)議解決了“你還是你”的問題，但是協(xié)議中沒有真實(shí)身份認(rèn)證的部分，例如怎么證明你是張三而不是李四。

（2）交易簽名安全性低：沒有為交易報(bào)文提供專門接口，僅用私鑰簽名，沒有對應(yīng)的公鑰證書，安全性難以達(dá)到二代U盾“所見即所簽”的標(biāo)準(zhǔn)。

（3）難以進(jìn)行司法取證：生物特征數(shù)據(jù)不離開終端設(shè)備，僅用于解鎖私鑰，并未實(shí)際包含在電子簽名中，不符合《電子簽名法》中簽名“專有”“?？亍焙托枰梢婪ㄔO(shè)立的CA（第三方電子認(rèn)證機(jī)構(gòu)）進(jìn)行認(rèn)證的要求，不能作為司法證據(jù)使用。

（4）算法不適應(yīng)中國國情：FIDO國際標(biāo)準(zhǔn)認(rèn)證器對國密算法SM2、SM3、SM4支持不足，而中國移動支付規(guī)模已占全球市場規(guī)模近一半，如果不能很好地支持國密算法，F(xiàn)IDO難以大范圍普及。

3.2 CFCA FIDO+解決方式

針對這些問題，于2016年加入FIDO聯(lián)盟的中國金融認(rèn)證中心（CFCA）率先將CA的電子簽名服務(wù)與FIDO技術(shù)相結(jié)合，形成了“CFCA FIDO+”方案，面向移動支付等應(yīng)用場景提供符合法律效力、安全便捷的數(shù)字簽名和身份認(rèn)證服務(wù)。對于網(wǎng)絡(luò)的可信身份認(rèn)證問題[6]，有了更加方便、可靠的解決方案?！癈FCA FIDO+”產(chǎn)品完美結(jié)合了FIDO技術(shù)和電子認(rèn)證技術(shù)，解決了FIDO目前面臨的主要問題。

（1）第三方有效身份認(rèn)證：由合法的第三方CA完成用戶真實(shí)身份認(rèn)證，配合標(biāo)準(zhǔn)FIDO協(xié)議，更加符合金融級別的應(yīng)用要求。

（2）公私鑰簽名更安全：為私鑰添加對應(yīng)的公鑰證書，使用效率和安全性均更高的非對稱加密（公鑰加密、私鑰解密）方式確保交易報(bào)文的保密性、防篡改性。

（3）“所見即所簽”：在手機(jī)等移動設(shè)備屏幕顯示交易信息再觸發(fā)FIDO身份認(rèn)證，保證所簽署的內(nèi)容為最終簽署內(nèi)容，進(jìn)一步提升交易安全性。

（4）簽名成為合法證據(jù)：在生物特征數(shù)據(jù)的基礎(chǔ)之上，將可靠電子簽名嵌入交易報(bào)文，使簽名行為符合《電子簽名法》，具有法律效力，讓簽名可以作為司法證據(jù)使用。

（5）支持國密算法：“CFCA FIDO+”完美支持SM2、SM3、SM4國密算法，使銀行等機(jī)構(gòu)無需因應(yīng)用FIDO而進(jìn)行大規(guī)模系統(tǒng)改造。

4 系統(tǒng)架構(gòu)和應(yīng)用場景

“CFCA FIDO+”是FIDO協(xié)議和電子認(rèn)證技術(shù)完美結(jié)合的產(chǎn)物。CFCA FIDO+系統(tǒng)在廣泛研究了目前關(guān)于FIDO架構(gòu)的在線生物識別系統(tǒng)方案[7-8]，以及FIDO UAF認(rèn)證安全性等基礎(chǔ)上[9]，不僅使用生物識別技術(shù)，通過為用戶頒發(fā)數(shù)字證書認(rèn)證用戶真實(shí)身份，同時在業(yè)務(wù)過程中使用電子認(rèn)證技術(shù)完成可靠電子簽名，為司法取證提供了有效手段，防止交易方抵賴，并為多樣化業(yè)務(wù)（例如電子合同、數(shù)據(jù)服務(wù)等）的接入提供了安全認(rèn)證基礎(chǔ)。

4.1 系統(tǒng)架構(gòu)

快速身份認(rèn)證系統(tǒng)CFCA FIDO+產(chǎn)品提供FIDO客戶端軟件開發(fā)包SDK、FIDO服務(wù)端軟件開發(fā)包和FIDO服務(wù)器三部分。

FIDO客戶端SDK內(nèi)包含F(xiàn)IDO認(rèn)證器，實(shí)現(xiàn)FIDO客戶端協(xié)議的生物識別和簽名認(rèn)證，向上層應(yīng)用APP提供接口調(diào)用;FIDO服務(wù)端SDK實(shí)現(xiàn)向上層應(yīng)用服務(wù)提供接口調(diào)用;FIDO服務(wù)器實(shí)現(xiàn)FIDO服務(wù)端的相關(guān)認(rèn)證流程協(xié)議的匹配，方案架構(gòu)如圖1所示。

客戶端應(yīng)用APP調(diào)用FIDO客戶端SDK實(shí)現(xiàn)終端集成，服務(wù)端應(yīng)用服務(wù)器調(diào)用FIDO服務(wù)端SDK實(shí)現(xiàn)服務(wù)端的集成和對接，F(xiàn)IDO服務(wù)器需要對接RA，向第三方CA申請數(shù)字證書。數(shù)字證書私鑰的存儲方式有三種，包括硬件安全單元SE、可信安全環(huán)境TEE和軟SE的存儲方式，系統(tǒng)部署圖如圖2所示。

4.2 應(yīng)用場景和流程

生物識別技術(shù)主要可以應(yīng)用在兩大場景：第一類應(yīng)用場景是手機(jī)、筆記本電腦等個人設(shè)備;第二類應(yīng)用場景是工作場所的生物特征識別門禁系統(tǒng)[10]。FIDO技術(shù)的主要應(yīng)用場景則是第一類，而CFCA FIDO+方案則主要應(yīng)用于對安全性有著極高要求的移動設(shè)備應(yīng)用登錄和高金融級別的支付動賬場景。CFCA FIDO+方案的主要認(rèn)證流程包括注冊流程、認(rèn)證流程和注銷流程。

4.2.1 注冊流程

FIDO詳細(xì)注冊流程如圖3所示，主要分為四步：

1） 首先由用戶在客戶端發(fā)起注冊請求，服務(wù)器端收到注冊請求以后會產(chǎn)生一個隨機(jī)數(shù)，并將隨機(jī)數(shù)發(fā)送給客戶端;

2） 客戶端收到隨機(jī)數(shù)后，會提示用戶使用設(shè)備已經(jīng)存儲的生物識別信息進(jìn)行認(rèn)證，認(rèn)證通過以后在TEE中生成FIDO公私鑰對，將隨機(jī)數(shù)和公鑰等注冊數(shù)據(jù)作為簽名響應(yīng)數(shù)據(jù)發(fā)送給FIDO認(rèn)證服務(wù)器;

3） FIDO認(rèn)證服務(wù)器調(diào)用簽名驗(yàn)簽服務(wù)器做完驗(yàn)簽后，保留FIDO公鑰，將結(jié)果返回給應(yīng)用服務(wù)器，并由RA申請證書;

4） 應(yīng)用服務(wù)器根據(jù)結(jié)果判斷注冊是否成功。

4.2.2 認(rèn)證流程

FIDO詳細(xì)認(rèn)證流程如圖4所示，主要分為四步：

1） 首先由用戶在客戶端發(fā)起認(rèn)證請求，服務(wù)器端收到認(rèn)證請求以后會產(chǎn)生一個隨機(jī)數(shù)，并將隨機(jī)數(shù)發(fā)送給客戶端;

2） 客戶端收到隨機(jī)數(shù)，用戶使用生物識別解鎖TEE中存儲的FIDO私鑰，并用私鑰對隨機(jī)數(shù)和認(rèn)證數(shù)據(jù)進(jìn)行簽名，并將簽名值發(fā)送給FIDO認(rèn)證服務(wù)器;

3） FIDO認(rèn)證服務(wù)器使用存儲的公鑰進(jìn)行驗(yàn)簽，并將驗(yàn)簽結(jié)果返回給應(yīng)用服務(wù)器;

4） 應(yīng)用服務(wù)器根據(jù)結(jié)果判斷認(rèn)證是否成功。

4.2.3 注銷流程

FIDO詳細(xì)注銷流程如圖5所示，主要分為四步：

1） 首先由用戶在客戶端發(fā)起注銷請求，服務(wù)器端收到注銷請求以后會產(chǎn)生一個隨機(jī)數(shù)，并將隨機(jī)數(shù)發(fā)送給客戶端;

2） 客戶端收到隨機(jī)數(shù)，用戶使用生物識別解鎖TEE中存儲的FIDO私鑰，并用私鑰對隨機(jī)數(shù)和認(rèn)證數(shù)據(jù)進(jìn)行簽名，并將簽名值發(fā)送給FIDO認(rèn)證服務(wù)器;

3） FIDO認(rèn)證服務(wù)器使用存儲的公鑰進(jìn)行驗(yàn)簽，將驗(yàn)簽結(jié)果返回給應(yīng)用服務(wù)器，并刪除存儲的公鑰;

4） 應(yīng)用服務(wù)器根據(jù)結(jié)果判斷注銷結(jié)果，并通知本地客戶端刪除本地私鑰。

5? CFCA FIDO+關(guān)鍵技術(shù)和創(chuàng)新點(diǎn)

5.1 關(guān)鍵技術(shù)

CFCA FIDO+產(chǎn)品的FIDO部分采取FIDO聯(lián)盟標(biāo)準(zhǔn)的的FIDO UAF協(xié)議，融合CFCA的證書技術(shù)，采用模塊化開發(fā)理念，提供標(biāo)準(zhǔn)的接口流程，主要采用了幾項(xiàng)關(guān)鍵技術(shù)。

密碼接口標(biāo)準(zhǔn)化：采用標(biāo)準(zhǔn)接口實(shí)現(xiàn)對密碼設(shè)備的訪問，系統(tǒng)可以使用密碼卡、密碼機(jī)提供證書簽發(fā)服務(wù)。

底層接口統(tǒng)一：提供任務(wù)調(diào)度、安全通訊、日志記錄、安全審計(jì)、系統(tǒng)配置、權(quán)限管理、人員管理的統(tǒng)一化，實(shí)現(xiàn)上層代碼開發(fā)的高復(fù)用性。

系統(tǒng)開發(fā)模塊化：采用系統(tǒng)間低耦合、模塊內(nèi)高內(nèi)聚的設(shè)計(jì)理念，開發(fā)后臺系統(tǒng)管理、策略管理組件、終端管理組件、日志管理組件。

應(yīng)用支持多樣化：提供豐富的開發(fā)接口，支持多種開發(fā)語言，支持國內(nèi)外主流軟件的證書應(yīng)用，支持智能終端上的TEE環(huán)境管理密鑰。

5.2 項(xiàng)目創(chuàng)新點(diǎn)

CFCA FIDO+采用本地生物識別認(rèn)證模式，支持TEE/SE級別的密鑰保護(hù)，用戶私鑰和生物信息等私密信息不能導(dǎo)出設(shè)備終端，服務(wù)器端數(shù)據(jù)庫存儲的是用戶公鑰集，從根本上杜絕了大規(guī)模用戶生物識別信息遭泄露的問題。即使服務(wù)器端數(shù)據(jù)庫遭到黑客攻擊，也不會對系統(tǒng)造成災(zāi)難性的風(fēng)險(xiǎn)，或者某個用戶的設(shè)備被黑客竊取到，也不會造成大規(guī)模數(shù)據(jù)泄露風(fēng)險(xiǎn)（此種情況下黑客更多關(guān)注的是如何重置系統(tǒng)賣掉設(shè)備而不是破解設(shè)備，獲取用戶生物識別信息）。

兼容多種認(rèn)證方式：CFCA FIDO+項(xiàng)目可以支持多種生物識別身份認(rèn)證方式，例如人臉認(rèn)證和聲紋認(rèn)證等，后臺服務(wù)器可以自主配置認(rèn)證方式，并配合前端插件，實(shí)現(xiàn)靈活的身份認(rèn)證功能。

結(jié)合數(shù)字證書：采用生物識別+PKI的形式建立了全新的生物識別認(rèn)證平臺，利用移動端的安全硬件保證了生物信息采集、存儲的安全性，利用生物信息代替?zhèn)鹘y(tǒng)口令完成認(rèn)證。生物識別身份認(rèn)證平臺與數(shù)字證書相結(jié)合，形成可靠的電子簽名認(rèn)證體系。彌補(bǔ)現(xiàn)有認(rèn)證過程中客戶身份認(rèn)證和簽名過程中的不足，可以使認(rèn)證平臺更加合規(guī)，更符合中國國情。

免除密碼口令：采用系統(tǒng)，用戶不再需要記憶眾多的、各種各樣的密碼口令，直接采用自身的生物特征進(jìn)行識別，即可以安全快捷認(rèn)證身份。

6 結(jié)束語

目前，CFCA FIDO+產(chǎn)品已成功在光大銀行、招商銀行、渤海銀行等幾十家銀行和中國外匯交易中心、一汽財(cái)務(wù)公司等政企使用。顯然，隨著生物識別技術(shù)的大規(guī)模普及，更多的數(shù)據(jù)泄露事件將越來越頻繁地進(jìn)入到公眾的視野中，而CFCA FIDO+方案能避免類似的數(shù)據(jù)泄露問題。針對移動安全領(lǐng)域中數(shù)據(jù)泄露的其他風(fēng)險(xiǎn)，CFCA也可通過結(jié)合安全檢測、云證通和手機(jī)盾等其他產(chǎn)品，實(shí)現(xiàn)全方位多維度的安全守護(hù)。

參考文獻(xiàn)

[1] 2018年中國生物識別技術(shù)發(fā)展現(xiàn)狀分析[EB/OL].https：//www.qianzhan.com/analyst /detail/220/180412-17ba2420.html，2018.

[2] 中國互聯(lián)網(wǎng)絡(luò)信息中心.第41次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[EB/OL]. http：//www.cac.gov.cn/2018-01/31/c_1122346138.htm，2018.

[3] FIDO-UAF-Overview-V1.1[EB/OL].https：//fidoalliance.org/specs/fido-uaf-v1.1-id-20170202/FIDO-UAF-Errata-UAF-v1.1-Specification.pdf，2017.

[4] 川鴻.FIDO之后，密碼即將死去[EB/OL].https：//www.leiphone.com/news/201412/njac1k7dcdNv6LIk.html，2014，12.

[5] 葉建清，戴斌，黃鶴汶，黎楚嬋.FIDO UAF協(xié)議對移動支付部署生物識別技術(shù)的啟示[J].金融科技時代，2017（2）：45-48.

[6] 宋憲榮，張猛.網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)問題研究[J].網(wǎng)絡(luò)空間安全，2018，9（3）：69-77.

[7] 王耀龍.基于FIDO架構(gòu)在線指紋識別系統(tǒng)客戶端的設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué)，2015.

[8] 郭茂文.基于FIDO協(xié)議的指紋認(rèn)證方案研究[J].廣東通信技術(shù)，2016，36（4）：2-5.

[9] 胡可欣.FIDO UAF認(rèn)證協(xié)議的安全性研究[D].中國科學(xué)技術(shù)大學(xué)，2016.

[10] Nana.生物識別的五大缺陷與兩大應(yīng)用場景[EB/OL]. https：//www.aqniu.com/news-views/42521.html，2019，01.