快速身份認證系統CFCA FIDO+

高峰　張翼　趙燁昕

摘? ?要：隨著移動互聯網的飛速發展，互聯網的發展趨勢已經逐漸從PC端轉移到移動端，而移動端安全也受到前所未有的關注。面對復雜的互聯網環境和大量繁瑣的密碼口令，迫切需要一種安全、可靠、合規和便捷的認證手段。文章提出了一種將在線快速身份識別FIDO技術與電子認證技術完美結合的方案CFCA FIDO+。用戶不僅可以通過人臉識別、指紋識別等生物識別方式實現客戶端的免密登錄和免密交易，并且由于結合了數字證書，可以對用戶的真實身份進行認證。在擁有便捷性的同時，實現了高安全性，保障司法取證，并滿足監管要求。

關鍵詞：FIDO;快速身份認證;UAF;證書;移動安全

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

The system of fast identity online CFCA FIDO+

Gao Feng， Zhang Yi， Zhao Yexin

（China Financial Certification Authority， Beijing 100054）

Abstract： With the rapid development of mobile Internet， to gradually transform from PCs to mobile terminals becomes the trend of Internet and mobile security has received unprecedented attention. Facing with complicated cyberspace environment and large quantities of complex passwords， there comes an urgent need for a secure， reliable， compliant and convenient authentication tool. This paper proposes a CFCA FIDO+ system that perfectly combines FIDO and electronic authentication technologies. Users can realize the password-free login and transactions by means of biometric recognition such as face recognition and fingerprint recognition. As a result of the combination of digital certificates， user identity can be defined by high secure and convenient methods， and it also can be as a judicial evidence and satisfy the requirements of compliance.

Key words： FIDO; fast identity online; UAF （Universal Authentication Framework）; digital certificate; mobile security

1 引言

移動互聯網的快速發展使我們逐漸進入了萬物互聯的物聯網時代，各種智能終端的普及對身份認證技術有著迫切的需求。目前，常見的身份認證方式主要有密碼口令、生物特征、PKI證書、動態令牌等。生物識別作為一種安全便捷的身份認證方式，得到了大規模的應用，尤其是在智能終端上。根據相關數據顯示，2016年生物識別市場達到120億美元，預計到2021年中國生物識別行業的市場規模將突破340億美元，2002年到2015年，國內生物識別市場的年復合增長率達到50%[1]。

在萬物智能化的趨勢下，生物識別作為用戶身份認證的入口，具備關鍵性地位。根據中國互聯網絡信息中心2019年發表的《第43次中國互聯網絡發展狀況統計報告》[2]顯示，2018年賬號或密碼被盜的網民比2017年下降了1.1個百分點，其中不乏生物識別的功勞。但與此同時，涉及生物識別的安全問題日漸凸顯：2017年中央電視臺3·15晚會現場，主持人通過網絡上隨便找來的一張人物照片，通過簡單的圖像處理和動態合成技術，就能騙過一些通過面部識別作為認證信息的軟件;2017年7月，美國自助售貨機供應商Avanti Markets被證實，公司內部網絡支付系統遭黑客入侵并感染惡意軟件，客戶信用卡帳戶信息以及生物識別數據極有可能被泄露;2019年2月，追蹤MongoDB數據庫多年的荷蘭著名安全研究員Victor Gevers發現，中國一家名為“深網視界”的人臉識別公司發生數據泄露事件，超過250萬人的核心數據可被獲取，680萬條記錄泄露，其中包括身份證信息、人臉識別圖像及GPS位置記錄等。生別識別信息與其他信息不同，一旦被泄露，將導致身份冒用的惡性事件發生，帶來一系列嚴重的經濟和社會影響，甚至威脅到國家安全。在這樣的背景下，增強生物識別的安全性也顯得尤為重要。

2? 生物特征識別技術的認證模式

總體來看，根據用戶識別過程是否需要服務端參與完成，生物特征識別技術的應用模式可以分為兩種：遠程認證模式和本地認證模式。而大部分的生物信息數據泄露事件使用的均是遠程認證模式。所謂的遠程認證模式是指生物識別的完整過程需要由用戶接入的設備端和系統服務器端共同完成。用戶接入的設備端主要完成用戶生物特征信息的采集，并傳送到身份認證系統的服務器端，由服務端完成對生物特征信息的特征提取、存儲、比對和識別結果的輸出。目前，市場上大部分互聯網公司的人臉識別解決方案都是采用此種認證方式。而除了“被攻破”這類泄露外，如果相關公司有權限將生物識別信息存儲在其可控制的服務器上，從內部造成泄露的可能性也存在。

而在本地認證模式下，生物識別的完整過程只需用戶接入的設備端就可完成，不會將用戶的生物特征信息傳遞到服務器端進行分析、處理或存儲。正是由于這種不同，本地認證模式天然就可避免一些風險：一是由于不需要在網絡上傳輸生物識別信息，避免了在網絡傳輸過程中的數據遭到劫持泄露的問題;二是生物識別信息不需要在服務器端進行存儲和比對，避免了服務器端用戶數據遭泄露的風險，并且由于不在服務器端進行數據比對和識別結果的輸出，也杜絕了遠端破解的風險。

3 快速身份認證系統CFCA FIDO+

本地認證模式被越來越廣泛地運用在對安全級別要求極高的金融領域中。由于近年來移動支付的普及，為了匹配金融級別的應用，越來越多的設備逐漸開始支持本地生物識別的認證方式。同時，不同廠商之間開發的本地生物識別技術存在差異性，為了保證各個廠商開發的強認證技術之間的互操作性，改變目前的主流在線驗證的方式（即使用口令作為主要驗證手段），消除或者減弱用戶對口令的依賴，成立于2012年7月的FIDO（Fast Identity Online）聯盟創建了一套開放的標準在線快速身份認證協議。FIDO協議將認證方式和認證協議分離，通過兩步認證的思想，在一定程度上實現了認證方式的集成統一[3]。對于互聯網公司來說，隨著重大數據泄露事故的頻發，過去基于口令的在線身份驗證技術已經難以維持互聯網經濟的穩定發展，安全界關于“替代口令”的呼聲越來越高[4]。FIDO聯盟正是在這個背景下應運而生的一個推動去密碼化的強認證協議標準的組織。隨著FIDO技術的推廣，越來越多的終端設備和系統開始支持FIDO技術，比如中國人民銀行也加入到了對UAF協議的研究中[5]。

3.1 FIDO存在的問題

目前，FIDO協議在移動端電子支付、手機銀行交易等應用場景中尚存在幾個問題。

（1）缺乏有效的身份認證：FIDO協議解決了“你還是你”的問題，但是協議中沒有真實身份認證的部分，例如怎么證明你是張三而不是李四。

（2）交易簽名安全性低：沒有為交易報文提供專門接口，僅用私鑰簽名，沒有對應的公鑰證書，安全性難以達到二代U盾“所見即所簽”的標準。

（3）難以進行司法取證：生物特征數據不離開終端設備，僅用于解鎖私鑰，并未實際包含在電子簽名中，不符合《電子簽名法》中簽名“專有”“專控”和需要由依法設立的CA（第三方電子認證機構）進行認證的要求，不能作為司法證據使用。

（4）算法不適應中國國情：FIDO國際標準認證器對國密算法SM2、SM3、SM4支持不足，而中國移動支付規模已占全球市場規模近一半，如果不能很好地支持國密算法，FIDO難以大范圍普及。

3.2 CFCA FIDO+解決方式

針對這些問題，于2016年加入FIDO聯盟的中國金融認證中心（CFCA）率先將CA的電子簽名服務與FIDO技術相結合，形成了“CFCA FIDO+”方案，面向移動支付等應用場景提供符合法律效力、安全便捷的數字簽名和身份認證服務。對于網絡的可信身份認證問題[6]，有了更加方便、可靠的解決方案。“CFCA FIDO+”產品完美結合了FIDO技術和電子認證技術，解決了FIDO目前面臨的主要問題。

（1）第三方有效身份認證：由合法的第三方CA完成用戶真實身份認證，配合標準FIDO協議，更加符合金融級別的應用要求。

（2）公私鑰簽名更安全：為私鑰添加對應的公鑰證書，使用效率和安全性均更高的非對稱加密（公鑰加密、私鑰解密）方式確保交易報文的保密性、防篡改性。

（3）“所見即所簽”：在手機等移動設備屏幕顯示交易信息再觸發FIDO身份認證，保證所簽署的內容為最終簽署內容，進一步提升交易安全性。

（4）簽名成為合法證據：在生物特征數據的基礎之上，將可靠電子簽名嵌入交易報文，使簽名行為符合《電子簽名法》，具有法律效力，讓簽名可以作為司法證據使用。

（5）支持國密算法：“CFCA FIDO+”完美支持SM2、SM3、SM4國密算法，使銀行等機構無需因應用FIDO而進行大規模系統改造。

4 系統架構和應用場景

“CFCA FIDO+”是FIDO協議和電子認證技術完美結合的產物。CFCA FIDO+系統在廣泛研究了目前關于FIDO架構的在線生物識別系統方案[7-8]，以及FIDO UAF認證安全性等基礎上[9]，不僅使用生物識別技術，通過為用戶頒發數字證書認證用戶真實身份，同時在業務過程中使用電子認證技術完成可靠電子簽名，為司法取證提供了有效手段，防止交易方抵賴，并為多樣化業務（例如電子合同、數據服務等）的接入提供了安全認證基礎。

4.1 系統架構

快速身份認證系統CFCA FIDO+產品提供FIDO客戶端軟件開發包SDK、FIDO服務端軟件開發包和FIDO服務器三部分。

FIDO客戶端SDK內包含FIDO認證器，實現FIDO客戶端協議的生物識別和簽名認證，向上層應用APP提供接口調用;FIDO服務端SDK實現向上層應用服務提供接口調用;FIDO服務器實現FIDO服務端的相關認證流程協議的匹配，方案架構如圖1所示。

客戶端應用APP調用FIDO客戶端SDK實現終端集成，服務端應用服務器調用FIDO服務端SDK實現服務端的集成和對接，FIDO服務器需要對接RA，向第三方CA申請數字證書。數字證書私鑰的存儲方式有三種，包括硬件安全單元SE、可信安全環境TEE和軟SE的存儲方式，系統部署圖如圖2所示。

4.2 應用場景和流程

生物識別技術主要可以應用在兩大場景：第一類應用場景是手機、筆記本電腦等個人設備;第二類應用場景是工作場所的生物特征識別門禁系統[10]。FIDO技術的主要應用場景則是第一類，而CFCA FIDO+方案則主要應用于對安全性有著極高要求的移動設備應用登錄和高金融級別的支付動賬場景。CFCA FIDO+方案的主要認證流程包括注冊流程、認證流程和注銷流程。

4.2.1 注冊流程

FIDO詳細注冊流程如圖3所示，主要分為四步：

1） 首先由用戶在客戶端發起注冊請求，服務器端收到注冊請求以后會產生一個隨機數，并將隨機數發送給客戶端;

2） 客戶端收到隨機數后，會提示用戶使用設備已經存儲的生物識別信息進行認證，認證通過以后在TEE中生成FIDO公私鑰對，將隨機數和公鑰等注冊數據作為簽名響應數據發送給FIDO認證服務器;

3） FIDO認證服務器調用簽名驗簽服務器做完驗簽后，保留FIDO公鑰，將結果返回給應用服務器，并由RA申請證書;

4） 應用服務器根據結果判斷注冊是否成功。

4.2.2 認證流程

FIDO詳細認證流程如圖4所示，主要分為四步：

1） 首先由用戶在客戶端發起認證請求，服務器端收到認證請求以后會產生一個隨機數，并將隨機數發送給客戶端;

2） 客戶端收到隨機數，用戶使用生物識別解鎖TEE中存儲的FIDO私鑰，并用私鑰對隨機數和認證數據進行簽名，并將簽名值發送給FIDO認證服務器;

3） FIDO認證服務器使用存儲的公鑰進行驗簽，并將驗簽結果返回給應用服務器;

4） 應用服務器根據結果判斷認證是否成功。

4.2.3 注銷流程

FIDO詳細注銷流程如圖5所示，主要分為四步：

1） 首先由用戶在客戶端發起注銷請求，服務器端收到注銷請求以后會產生一個隨機數，并將隨機數發送給客戶端;

2） 客戶端收到隨機數，用戶使用生物識別解鎖TEE中存儲的FIDO私鑰，并用私鑰對隨機數和認證數據進行簽名，并將簽名值發送給FIDO認證服務器;

3） FIDO認證服務器使用存儲的公鑰進行驗簽，將驗簽結果返回給應用服務器，并刪除存儲的公鑰;

4） 應用服務器根據結果判斷注銷結果，并通知本地客戶端刪除本地私鑰。

5? CFCA FIDO+關鍵技術和創新點

5.1 關鍵技術

CFCA FIDO+產品的FIDO部分采取FIDO聯盟標準的的FIDO UAF協議，融合CFCA的證書技術，采用模塊化開發理念，提供標準的接口流程，主要采用了幾項關鍵技術。

密碼接口標準化：采用標準接口實現對密碼設備的訪問，系統可以使用密碼卡、密碼機提供證書簽發服務。

底層接口統一：提供任務調度、安全通訊、日志記錄、安全審計、系統配置、權限管理、人員管理的統一化，實現上層代碼開發的高復用性。

系統開發模塊化：采用系統間低耦合、模塊內高內聚的設計理念，開發后臺系統管理、策略管理組件、終端管理組件、日志管理組件。

應用支持多樣化：提供豐富的開發接口，支持多種開發語言，支持國內外主流軟件的證書應用，支持智能終端上的TEE環境管理密鑰。

5.2 項目創新點

CFCA FIDO+采用本地生物識別認證模式，支持TEE/SE級別的密鑰保護，用戶私鑰和生物信息等私密信息不能導出設備終端，服務器端數據庫存儲的是用戶公鑰集，從根本上杜絕了大規模用戶生物識別信息遭泄露的問題。即使服務器端數據庫遭到黑客攻擊，也不會對系統造成災難性的風險，或者某個用戶的設備被黑客竊取到，也不會造成大規模數據泄露風險（此種情況下黑客更多關注的是如何重置系統賣掉設備而不是破解設備，獲取用戶生物識別信息）。

兼容多種認證方式：CFCA FIDO+項目可以支持多種生物識別身份認證方式，例如人臉認證和聲紋認證等，后臺服務器可以自主配置認證方式，并配合前端插件，實現靈活的身份認證功能。

結合數字證書：采用生物識別+PKI的形式建立了全新的生物識別認證平臺，利用移動端的安全硬件保證了生物信息采集、存儲的安全性，利用生物信息代替傳統口令完成認證。生物識別身份認證平臺與數字證書相結合，形成可靠的電子簽名認證體系。彌補現有認證過程中客戶身份認證和簽名過程中的不足，可以使認證平臺更加合規，更符合中國國情。

免除密碼口令：采用系統，用戶不再需要記憶眾多的、各種各樣的密碼口令，直接采用自身的生物特征進行識別，即可以安全快捷認證身份。

6 結束語

目前，CFCA FIDO+產品已成功在光大銀行、招商銀行、渤海銀行等幾十家銀行和中國外匯交易中心、一汽財務公司等政企使用。顯然，隨著生物識別技術的大規模普及，更多的數據泄露事件將越來越頻繁地進入到公眾的視野中，而CFCA FIDO+方案能避免類似的數據泄露問題。針對移動安全領域中數據泄露的其他風險，CFCA也可通過結合安全檢測、云證通和手機盾等其他產品，實現全方位多維度的安全守護。

參考文獻

[1] 2018年中國生物識別技術發展現狀分析[EB/OL].https：//www.qianzhan.com/analyst /detail/220/180412-17ba2420.html，2018.

[2] 中國互聯網絡信息中心.第41次中國互聯網絡發展狀況統計報告[EB/OL]. http：//www.cac.gov.cn/2018-01/31/c_1122346138.htm，2018.

[3] FIDO-UAF-Overview-V1.1[EB/OL].https：//fidoalliance.org/specs/fido-uaf-v1.1-id-20170202/FIDO-UAF-Errata-UAF-v1.1-Specification.pdf，2017.

[4] 川鴻.FIDO之后，密碼即將死去[EB/OL].https：//www.leiphone.com/news/201412/njac1k7dcdNv6LIk.html，2014，12.

[5] 葉建清，戴斌，黃鶴汶，黎楚嬋.FIDO UAF協議對移動支付部署生物識別技術的啟示[J].金融科技時代，2017（2）：45-48.

[6] 宋憲榮，張猛.網絡可信身份認證技術問題研究[J].網絡空間安全，2018，9（3）：69-77.

[7] 王耀龍.基于FIDO架構在線指紋識別系統客戶端的設計與實現[D].北京交通大學，2015.

[8] 郭茂文.基于FIDO協議的指紋認證方案研究[J].廣東通信技術，2016，36（4）：2-5.

[9] 胡可欣.FIDO UAF認證協議的安全性研究[D].中國科學技術大學，2016.

[10] Nana.生物識別的五大缺陷與兩大應用場景[EB/OL]. https：//www.aqniu.com/news-views/42521.html，2019，01.