基于FIDOUAF无密指纹识别的身份认证系统的制作方法

本实用新型涉及信息安全领域，具体涉及一种基于FIDO UAF无密指纹识别的身份认证系统。

背景技术：

随着互联网技术的高速发展和普及，特别是各种智能设备例如智能手机、平板pad以及各种穿戴设备突飞猛进，人们在享受更加智能与便捷生活的同时，也正在面临着日益严重的用户信息泄露问题。而目前的互联网与物联网上身份验证和帐户鉴权暴露的一些安全风险问题如下：

1．帐户密码集中式存储，一旦服务器数据库攻击，密码和数据信息全部泄露；

2．密码的复杂性照成用户不便于记忆，且容易发生连环泄露；

3．不便于移动智能设备使用。

为此，业内提出了很多针对密码验证的改进型方案来加强对用户的密码保护，但每种方案都有其明显的局限性。例如被银行等大型企业采用的U盾等类似硬件令牌技术来提供更强大的安全防护，但因其配置、更新与维护成本较高，很难为普通的中小企业和用户采用。此外，硬件令牌不太方便配合移动智能设备使用。软件令牌虽然较硬件令牌部署方便、便宜，但企业仍需要承担大量的维护成本，且它是以降低安全性为代价，也很难满足移动智能设备的用户验证需求。

技术实现要素：

本实用新型的目的是根据上述现有技术的不足之处，提供一种基于FIDO UAF无密指纹识别的身份认证系统，该系统通过将指纹识别技术与FIDO UAF协议相结合，提供了一种安全可靠的身份认证系统。

本实用新型目的实现由以下技术方案完成：

一种基于FIDO UAF无密指纹识别的身份认证系统，所述身份认证系统包括UAF服务器以及位于用户端的UAF设备和UAF身份验证器；所述UAF服务器与所述UAF设备之间通过网络连接；所述UAF身份验证器包括指纹识别模组、密钥管理芯片以及通讯组件；所述指纹识别模组以及所述通讯组件分别连接所述密钥管理芯片；所述UAF身份验证器通过所述通讯组件连接所述UAF设备。

所述UAF身份验证器还包括电源，所述电源连接所述指纹识别模组、所述密钥管理芯片以及所述通讯组件。

所述指纹识别模组由相互连接的指纹传感器以及算法芯片组成。

所述通讯组件为USB Type-C接口、串口接口、蓝牙BLE模组、WIFI模组以及NFC模组中的一种或多种组合。

所述密钥管理芯片为安全芯片。

所述UAF设备为计算机或手机。

本实用新型的优点是：

使用本技术方案的基于FIDO UAF无密指纹识别的身份认证系统使得整个身份验证过程可完全不需要密码，实现真正意义上实现了“终结密码”；

在交易或在高安全性操作过程中基于指纹UAF协议的身份验证时，只需用户刷一下指纹，就可以完成用户登录、交易确认或其他需要强身份验证操作；依据UAF协议，用户所有的个人生物数据与私有密钥都只存储在用户设备中，无需经网络传送到网站服务器，而服务器只需存储有用户的公有密钥即可完成用户身份验证；这样就大大降低了用户验证信息暴露的风险。即使网站服务器被黑客攻击，他们也得不到用户验证信息伪造交易，也消除了传统密码数据泄露后的连锁式反应；

UAF身份验证器基于指纹识别技术，使用统一的FIDO UAF协议进行身份验证，使身份认证方案形成统一的生态系统，适用于任意应用、任意认证器、任意设备，使用户和服务提供者在信息安全与使用体验上取得了最佳的平衡点。

附图说明

图1为本实用新型基于FIDO UAF无密指纹识别的身份认证系统的结构框图；

图2为本实用新型中UAF身份验证器的结构框图。

具体实施方式

以下结合附图通过实施例对本实用新型的特征及其它相关特征作进一步详细说明，以便于同行业技术人员的理解：

如图1-2，图中标记1-12分别为：UAF服务器1、UAF设备2、UAF身份验证器3、指纹识别模组4、密钥管理芯片5、通讯组件6、电源7、USB Type-C接口8、串口接口9、蓝牙BLE模组10、WiFi模组11、NFC模组12。

实施例：如图1所示，本实施例具体涉及一种基于FIDO UAF无密指纹识别的身份认证系统，该身份认证系统包括UAF服务器1以及位于用户端的UAF设备2和UAF身份验证器3；UAF服务器1与UAF设备2之间通过网络连接；UAF设备2上运行有符合FIDO规范的客户端程序，UAF服务器1采用线上快速身份验证标准（FIDO）对UAF设备2的使用者进行身份验证。

FIDO标准是由FIDO联盟提出的一个开放的标准协议，旨在提供一个高安全性、跨平台兼容性、极佳用户体验与用户隐私保护的在线身份验证技术架构。UAF协议，全称为通用认证框架协议（Universal Authentication Framework Pro-

tocol），它充分地吸收了智能设备所具有的新技术，更加符合移动用户的使用习惯。

如图2所示，UAF身份验证器3包括指纹识别模组4、密钥管理芯片5以及通讯组件6；指纹识别模组4以及通讯组件6分别连接密钥管理芯片5；UAF身份验证器3通过通讯组件6连接所述UAF设备2。

如图2所示，指纹识别模组4由相互连接的指纹传感器以及算法芯片组成；指纹识别模组4用于采集用户的指纹数据；密钥管理芯片5为安全芯片，密钥管理芯片5用于存储用户的指纹数据、对指纹数据进行验证、存储密钥。

如图2所示，密钥管理芯片5对指纹信息的存储独立于UAF身份认证过程，由密钥管理芯片5中的安全硬件完成对加密后的用户指纹信息进行存储；指纹数据也是由密钥管理芯片5的安全硬件中的程序进行验证，该程序只有UAF SDK才能访问，而其他一切软件均无法访问。

如图1、2所示，密钥管理芯片5中存储有用户认证密钥、认证器验证私钥以及加密密钥；其中用户认证密钥与UAF服务器1中存储的用户认证公钥相适配，用于验证用户的身份，用户认证密钥与用户认证公钥均由密钥管理芯片5生成；密钥管理芯片5可以为不同的UAF服务器1生成不同的用户认证密钥以及与之对应的用户认证公钥；认证器验证私钥用于验证UAF身份验证器3的合法性；加密密钥由UAF身份验证器3的生产厂商产生，每台唯一，用于对密钥管理芯片5中的其他密钥进行保护；密钥管理芯片5中内置了多种高安全性的加密算法，例如国密SM2、SM3及SM4算法。

如图2所示，本实施例的UAF身份验证器还包括电源7，电源7连接指纹识别模组4、密钥管理芯片5以及通讯组件6，电源7用于向上述模块供电；UAF设备2为计算机或手机，通讯组件6包括USB Type-C接口8、串口接口9、蓝牙BLE模组10、WiFi模组11以及NFC模组12。

如图1、2所示，在首次使用UAF设备2登陆某个具有FIDO UAF协议的应用软件或网络应用时，需要在该应用软件或网络应用的UAF服务器1上对使用者的UAF身份验证器进行注册，注册过程包括以下步骤：

1）用户通过UAF设备2上运行的APP或客户端软件向应用提供方的UAF服务器1提交用户名和其它必要用户数据，申请启动UAF注册程序；

2）应用提供方的UAF服务器1收到用户请求后，向UAF设备2发出注册申请；

3）UAF设备2收到注册申请后，通过应用接口调用UAF身份验证器3，并提示用户按压UAF身份验证器3的指纹识别模组4进行操作确认；在用户确认后，UAF身份验证器3生成一对用户认证密钥以及用户认证公钥；同时用户需要在UAF身份验证器3上录入用户设备识别信息完成本地认证；即利用指纹识别模组4采集用户的指纹信息，完成用户与设备之间的认证信息采集，并存储在密钥管理芯片5的安全单元中；UAF设备2需要调用此信息用于所必须的用户确认操作；

4）UAF设备2将UAF身份验证器3生成的用户认证公钥与相关数据发送给应用提供方的UAF服务器1；

5）应用提供方的UAF服务器1验证收到用户认证公钥信息的真实性并保存供后续交易使用。

如图1、2所示，按照UAF协议注册完成后，每当用户需要验证身份或交易授权时，可采用FIDO UAF协议进行身份认证或交易授权，身份认证或交易授权具体包括以下步骤：

1）应用提供方的UAF服务器1向UAF设备2上的客户端软件发起UAF申请身份验证或交易授权指令；

2）UAF设备2上的客户端软件收到指令后，通知UAF设备2接收并推送待签名数据；

3）UAF设备2通过接口调用UAF身份验证器3，在得到用户指纹认证确认后（即当前用户指纹信息与注册时的用户指纹信息相匹配），利用密钥管理芯片5中存储的用户认证密钥对UAF服务器1发出的待签名数据进行签名操作；

4）UAF设备2通过客户端软件将签名后的数据推送回UAF服务器1；

5）若签名后的数据通过了UAF服务器1的验证，则完成身份验证或交易授权，批准此次操作；反之，身份验证或交易授权失败。

本实施例的基于FIDO UAF无密指纹识别的身份认证系统采用了功能分层设计理念，将整个协议实现分为了UAF设备2与UAF身份验证器3两个功能层。UAF设备2，为应用提供UAF协议提供身份验证实现接口，但屏蔽实现细节，支持不同的操作系统与应用，提升UAF的兼容性；UAF身份验证器3则负责UAF用户身份验证协议具体实现。

本实施例的有益技术效果为：

使用本技术发明的基于FIDO UAF无密指纹识别的身份认证系统使得整个身份验证过程可完全不需要密码，实现真正意义上实现了“终结密码”。

在交易或在高安全性操作过程中基于指纹UAF协议的身份验证时，只需用户刷一下指纹，就可以完成用户登录、交易确认或其他需要强身份验证操作。依据UAF协议，用户所有的个人生物数据与私有密钥都只存储在用户设备中，无需经网络传送到网站服务器，而服务器只需存储有用户的公有密钥即可完成用户身份验证。这样就大大降低了用户验证信息暴露的风险。即使网站服务器被黑客攻击，他们也得不到用户验证信息伪造交易，也消除了传统密码数据泄露后的连锁式反应。

UAF身份验证器基于指纹识别技术，使用统一的FIDO UAF协议进行身份验证，使身份认证方案形成统一的生态系统，适用于任意应用、任意认证器、任意设备，使用户和服务提供者在信息安全与使用体验上取得了最佳的平衡点。