快速身份认证系统CFCA FIDO+

高峰　张翼　赵烨昕

摘   要：随着移动互联网的飞速发展，互联网的发展趋势已经逐渐从PC端转移到移动端，而移动端安全也受到前所未有的关注。面对复杂的互联网环境和大量繁琐的密码口令，迫切需要一种安全、可靠、合规和便捷的认证手段。文章提出了一种将在线快速身份识别FIDO技术与电子认证技术完美结合的方案CFCA FIDO+。用户不仅可以通过人脸识别、指纹识别等生物识别方式实现客户端的免密登录和免密交易，并且由于结合了数字证书，可以对用户的真实身份进行认证。在拥有便捷性的同时，实现了高安全性，保障司法取证，并满足监管要求。

关键词：FIDO;快速身份认证;UAF;证书;移动安全

中图分类号：TP309          文献标识码：A

The system of fast identity online CFCA FIDO+

Gao Feng， Zhang Yi， Zhao Yexin

（China Financial Certification Authority， Beijing 100054）

Abstract： With the rapid development of mobile Internet， to gradually transform from PCs to mobile terminals becomes the trend of Internet and mobile security has received unprecedented attention. Facing with complicated cyberspace environment and large quantities of complex passwords， there comes an urgent need for a secure， reliable， compliant and convenient authentication tool. This paper proposes a CFCA FIDO+ system that perfectly combines FIDO and electronic authentication technologies. Users can realize the password-free login and transactions by means of biometric recognition such as face recognition and fingerprint recognition. As a result of the combination of digital certificates， user identity can be defined by high secure and convenient methods， and it also can be as a judicial evidence and satisfy the requirements of compliance.

Key words： FIDO; fast identity online; UAF （Universal Authentication Framework）; digital certificate; mobile security

1 引言

移動互联网的快速发展使我们逐渐进入了万物互联的物联网时代，各种智能终端的普及对身份认证技术有着迫切的需求。目前，常见的身份认证方式主要有密码口令、生物特征、PKI证书、动态令牌等。生物识别作为一种安全便捷的身份认证方式，得到了大规模的应用，尤其是在智能终端上。根据相关数据显示，2016年生物识别市场达到120亿美元，预计到2021年中国生物识别行业的市场规模将突破340亿美元，2002年到2015年，国内生物识别市场的年复合增长率达到50%[1]。

在万物智能化的趋势下，生物识别作为用户身份认证的入口，具备关键性地位。根据中国互联网络信息中心2019年发表的《第43次中国互联网络发展状况统计报告》[2]显示，2018年账号或密码被盗的网民比2017年下降了1.1个百分点，其中不乏生物识别的功劳。但与此同时，涉及生物识别的安全问题日渐凸显：2017年中央电视台3·15晚会现场，主持人通过网络上随便找来的一张人物照片，通过简单的图像处理和动态合成技术，就能骗过一些通过面部识别作为认证信息的软件;2017年7月，美国自助售货机供应商Avanti Markets被证实，公司内部网络支付系统遭黑客入侵并感染恶意软件，客户信用卡帐户信息以及生物识别数据极有可能被泄露;2019年2月，追踪MongoDB数据库多年的荷兰著名安全研究员Victor Gevers发现，中国一家名为“深网视界”的人脸识别公司发生数据泄露事件，超过250万人的核心数据可被获取，680万条记录泄露，其中包括身份证信息、人脸识别图像及GPS位置记录等。生别识别信息与其他信息不同，一旦被泄露，将导致身份冒用的恶性事件发生，带来一系列严重的经济和社会影响，甚至威胁到国家安全。在这样的背景下，增强生物识别的安全性也显得尤为重要。

2  生物特征识别技术的认证模式

总体来看，根据用户识别过程是否需要服务端参与完成，生物特征识别技术的应用模式可以分为两种：远程认证模式和本地认证模式。而大部分的生物信息数据泄露事件使用的均是远程认证模式。所谓的远程认证模式是指生物识别的完整过程需要由用户接入的设备端和系统服务器端共同完成。用户接入的设备端主要完成用户生物特征信息的采集，并传送到身份认证系统的服务器端，由服务端完成对生物特征信息的特征提取、存储、比对和识别结果的输出。目前，市场上大部分互联网公司的人脸识别解决方案都是采用此种认证方式。而除了“被攻破”这类泄露外，如果相关公司有权限将生物识别信息存储在其可控制的服务器上，从内部造成泄露的可能性也存在。

而在本地认证模式下，生物识别的完整过程只需用户接入的设备端就可完成，不会将用户的生物特征信息传递到服务器端进行分析、处理或存储。正是由于这种不同，本地认证模式天然就可避免一些风险：一是由于不需要在网络上传输生物识别信息，避免了在网络传输过程中的数据遭到劫持泄露的问题;二是生物识别信息不需要在服务器端进行存储和比对，避免了服务器端用户数据遭泄露的风险，并且由于不在服务器端进行数据比对和识别结果的输出，也杜绝了远端破解的风险。

3 快速身份认证系统CFCA FIDO+

本地认证模式被越来越广泛地运用在对安全级别要求极高的金融领域中。由于近年来移动支付的普及，为了匹配金融级别的应用，越来越多的设备逐渐开始支持本地生物识别的认证方式。同时，不同厂商之间开发的本地生物识别技术存在差异性，为了保证各个厂商开发的强认证技术之间的互操作性，改变目前的主流在线验证的方式（即使用口令作为主要验证手段），消除或者减弱用户对口令的依赖，成立于2012年7月的FIDO（Fast Identity Online）联盟创建了一套开放的标准在线快速身份认证协议。FIDO协议将认证方式和认证协议分离，通过两步认证的思想，在一定程度上实现了认证方式的集成统一[3]。对于互联网公司来说，随着重大数据泄露事故的频发，过去基于口令的在线身份验证技术已经难以维持互联网经济的稳定发展，安全界关于“替代口令”的呼声越来越高[4]。FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。随着FIDO技术的推广，越来越多的终端设备和系统开始支持FIDO技术，比如中国人民银行也加入到了对UAF协议的研究中[5]。

3.1 FIDO存在的问题

目前，FIDO协议在移动端电子支付、手机银行交易等应用场景中尚存在几个问题。

（1）缺乏有效的身份认证：FIDO协议解决了“你还是你”的问题，但是协议中没有真实身份认证的部分，例如怎么证明你是张三而不是李四。

（2）交易签名安全性低：没有为交易报文提供专门接口，仅用私钥签名，没有对应的公钥证书，安全性难以达到二代U盾“所见即所签”的标准。

（3）难以进行司法取证：生物特征数据不离开终端设备，仅用于解锁私钥，并未实际包含在电子签名中，不符合《电子签名法》中签名“专有”“专控”和需要由依法设立的CA（第三方电子认证机构）进行认证的要求，不能作为司法证据使用。

（4）算法不适应中国国情：FIDO国际标准认证器对国密算法SM2、SM3、SM4支持不足，而中国移动支付规模已占全球市场规模近一半，如果不能很好地支持国密算法，FIDO难以大范围普及。

3.2 CFCA FIDO+解决方式

针对这些问题，于2016年加入FIDO联盟的中国金融认证中心（CFCA）率先将CA的电子签名服务与FIDO技术相结合，形成了“CFCA FIDO+”方案，面向移动支付等应用场景提供符合法律效力、安全便捷的数字签名和身份认证服务。对于网络的可信身份认证问题[6]，有了更加方便、可靠的解决方案。“CFCA FIDO+”产品完美结合了FIDO技术和电子认证技术，解决了FIDO目前面临的主要问题。

（1）第三方有效身份认证：由合法的第三方CA完成用户真实身份认证，配合标准FIDO协议，更加符合金融级别的应用要求。

（2）公私钥签名更安全：为私钥添加对应的公钥证书，使用效率和安全性均更高的非对称加密（公钥加密、私钥解密）方式确保交易报文的保密性、防篡改性。

（3）“所见即所签”：在手机等移动设备屏幕显示交易信息再触發FIDO身份认证，保证所签署的内容为最终签署内容，进一步提升交易安全性。

（4）签名成为合法证据：在生物特征数据的基础之上，将可靠电子签名嵌入交易报文，使签名行为符合《电子签名法》，具有法律效力，让签名可以作为司法证据使用。

（5）支持国密算法：“CFCA FIDO+”完美支持SM2、SM3、SM4国密算法，使银行等机构无需因应用FIDO而进行大规模系统改造。

4 系统架构和应用场景

“CFCA FIDO+”是FIDO协议和电子认证技术完美结合的产物。CFCA FIDO+系统在广泛研究了目前关于FIDO架构的在线生物识别系统方案[7-8]，以及FIDO UAF认证安全性等基础上[9]，不仅使用生物识别技术，通过为用户颁发数字证书认证用户真实身份，同时在业务过程中使用电子认证技术完成可靠电子签名，为司法取证提供了有效手段，防止交易方抵赖，并为多样化业务（例如电子合同、数据服务等）的接入提供了安全认证基础。

4.1 系统架构

快速身份认证系统CFCA FIDO+产品提供FIDO客户端软件开发包SDK、FIDO服务端软件开发包和FIDO服务器三部分。

FIDO客户端SDK内包含FIDO认证器，实现FIDO客户端协议的生物识别和签名认证，向上层应用APP提供接口调用;FIDO服务端SDK实现向上层应用服务提供接口调用;FIDO服务器实现FIDO服务端的相关认证流程协议的匹配，方案架构如图1所示。

客户端应用APP调用FIDO客户端SDK实现终端集成，服务端应用服务器调用FIDO服务端SDK实现服务端的集成和对接，FIDO服务器需要对接RA，向第三方CA申请数字证书。数字证书私钥的存储方式有三种，包括硬件安全单元SE、可信安全环境TEE和软SE的存储方式，系统部署图如图2所示。

4.2 应用场景和流程

生物识别技术主要可以应用在两大场景：第一类应用场景是手机、笔记本电脑等个人设备;第二类应用场景是工作场所的生物特征识别门禁系统[10]。FIDO技术的主要应用场景则是第一类，而CFCA FIDO+方案则主要应用于对安全性有着极高要求的移动设备应用登录和高金融级别的支付动账场景。CFCA FIDO+方案的主要认证流程包括注册流程、认证流程和注销流程。

4.2.1 注册流程

FIDO详细注册流程如图3所示，主要分为四步：

1） 首先由用户在客户端发起注册请求，服务器端收到注册请求以后会产生一个随机数，并将随机数发送给客户端;

2） 客户端收到随机数后，会提示用户使用设备已经存储的生物识别信息进行认证，认证通过以后在TEE中生成FIDO公私钥对，将随机数和公钥等注册数据作为签名响应数据发送给FIDO认证服务器;

3） FIDO认证服务器调用签名验签服务器做完验签后，保留FIDO公钥，将结果返回给应用服务器，并由RA申请证书;

4） 应用服务器根据结果判断注册是否成功。

4.2.2 认证流程

FIDO详细认证流程如图4所示，主要分为四步：

1） 首先由用户在客户端发起认证请求，服务器端收到认证请求以后会产生一个随机数，并将随机数发送给客户端;

2） 客户端收到随机数，用户使用生物识别解锁TEE中存储的FIDO私钥，并用私钥对随机数和认证数据进行签名，并将签名值发送给FIDO认证服务器;

3） FIDO认证服务器使用存储的公钥进行验签，并将验签结果返回给应用服务器;

4） 应用服务器根据结果判断认证是否成功。

4.2.3 注销流程

FIDO详细注销流程如图5所示，主要分为四步：

1） 首先由用户在客户端发起注销请求，服务器端收到注销请求以后会产生一个随机数，并将随机数发送给客户端;

2） 客户端收到随机数，用户使用生物识别解锁TEE中存储的FIDO私钥，并用私钥对随机数和认证数据进行签名，并将签名值发送给FIDO认证服务器;

3） FIDO认证服务器使用存储的公钥进行验签，将验签结果返回给应用服务器，并删除存储的公钥;

4） 应用服务器根据结果判断注销结果，并通知本地客户端删除本地私钥。

5  CFCA FIDO+关键技术和创新点

5.1 关键技术

CFCA FIDO+产品的FIDO部分采取FIDO联盟标准的的FIDO UAF协议，融合CFCA的证书技术，采用模块化开发理念，提供标准的接口流程，主要采用了几项关键技术。

密码接口标准化：采用标准接口实现对密码设备的访问，系统可以使用密码卡、密码机提供证书签发服务。

底层接口统一：提供任务调度、安全通讯、日志记录、安全审计、系统配置、权限管理、人员管理的统一化，实现上层代码开发的高复用性。

系统开发模块化：采用系统间低耦合、模块内高内聚的设计理念，开发后台系统管理、策略管理组件、终端管理组件、日志管理组件。

应用支持多样化：提供丰富的开发接口，支持多种开发语言，支持国内外主流软件的证书应用，支持智能终端上的TEE环境管理密钥。

5.2 项目创新点

CFCA FIDO+采用本地生物識别认证模式，支持TEE/SE级别的密钥保护，用户私钥和生物信息等私密信息不能导出设备终端，服务器端数据库存储的是用户公钥集，从根本上杜绝了大规模用户生物识别信息遭泄露的问题。即使服务器端数据库遭到黑客攻击，也不会对系统造成灾难性的风险，或者某个用户的设备被黑客窃取到，也不会造成大规模数据泄露风险（此种情况下黑客更多关注的是如何重置系统卖掉设备而不是破解设备，获取用户生物识别信息）。

兼容多种认证方式：CFCA FIDO+项目可以支持多种生物识别身份认证方式，例如人脸认证和声纹认证等，后台服务器可以自主配置认证方式，并配合前端插件，实现灵活的身份认证功能。

结合数字证书：采用生物识别+PKI的形式建立了全新的生物识别认证平台，利用移动端的安全硬件保证了生物信息采集、存储的安全性，利用生物信息代替传统口令完成认证。生物识别身份认证平台与数字证书相结合，形成可靠的电子签名认证体系。弥补现有认证过程中客户身份认证和签名过程中的不足，可以使认证平台更加合规，更符合中国国情。

免除密码口令：采用系统，用户不再需要记忆众多的、各种各样的密码口令，直接采用自身的生物特征进行识别，即可以安全快捷认证身份。

6 结束语

目前，CFCA FIDO+产品已成功在光大银行、招商银行、渤海银行等几十家银行和中国外汇交易中心、一汽财务公司等政企使用。显然，随着生物识别技术的大规模普及，更多的数据泄露事件将越来越频繁地进入到公众的视野中，而CFCA FIDO+方案能避免类似的数据泄露问题。针对移动安全领域中数据泄露的其他风险，CFCA也可通过结合安全检测、云证通和手机盾等其他产品，实现全方位多维度的安全守护。

参考文献

[1] 2018年中国生物识别技术发展现状分析[EB/OL].https：//www.qianzhan.com/analyst /detail/220/180412-17ba2420.html，2018.

[2] 中国互联网络信息中心.第41次中国互联网络发展状况统计报告[EB/OL]. http：//www.cac.gov.cn/2018-01/31/c_1122346138.htm，2018.

[3] FIDO-UAF-Overview-V1.1[EB/OL].https：//fidoalliance.org/specs/fido-uaf-v1.1-id-20170202/FIDO-UAF-Errata-UAF-v1.1-Specification.pdf，2017.

[4] 川鸿.FIDO之后，密码即将死去[EB/OL].https：//www.leiphone.com/news/201412/njac1k7dcdNv6LIk.html，2014，12.

[5] 叶建清，戴斌，黄鹤汶，黎楚婵.FIDO UAF协议对移动支付部署生物识别技术的启示[J].金融科技时代，2017（2）：45-48.

[6] 宋宪荣，张猛.网络可信身份认证技术问题研究[J].网络空间安全，2018，9（3）：69-77.

[7] 王耀龙.基于FIDO架构在线指纹识别系统客户端的设计与实现[D].北京交通大学，2015.

[8] 郭茂文.基于FIDO协议的指纹认证方案研究[J].广东通信技术，2016，36（4）：2-5.

[9] 胡可欣.FIDO UAF认证协议的安全性研究[D].中国科学技术大学，2016.

[10] Nana.生物识别的五大缺陷与两大应用场景[EB/OL]. https：//www.aqniu.com/news-views/42521.html，2019，01.