可信移动应用的FIDO UAF协议的改进

摘要

FIDO UAF协议是由线上快速身份验证（FIDO，FastIdentityOnline）联盟提出的统一身份认证框架（UAF，Universal Authentication Framework）协议，目的是在降低密码的使用频率的同时增强身份认证。FIDO UAF协议采用标准的公私密钥对加密解密技术实现强用户认证。
　　FIDO UAF协议分注册和认证两个流程。在注册流程中，产生用户公私密钥对，私钥保存在用户设备的安全区域，密钥的生成使用都在可信执行环境中执行，用户隐私信息不离开安全区域，保证了用户信息的安全，公钥信息发送到FIDO服务器端保存。在认证流程中，用户完成身份认证后（通过按下指纹授权），用户设备中的私钥对挑战信息签名，在由FIDO服务器验证签名，从而降低用户对密码的使用。由于FIDO UAF协议的注册过程实际上是用户设备的注册，对于同一用户在同一设备上在任何业务上只能注册生成一对公私密钥对，这种的设计对于金融类APP有较大的局限性，用户的查询和支付使用相同的公私密钥对相当于采取了相同的安全等级，有一定的安全隐患。
　　本文针对金融类APP的需求，对FIDO UAF协议提出了改进方案，引入公钥基础设施，对用户设备的认证上采用每个用户设备都有不同的密钥，由统一的FIDO认证中心对用户设备验证。对改进的FIDO UAF协议分别从体系架构，密钥生成，注册以及认证过程等方面进行了详细分析。利用免密登录和免密支付两种不同的业务对改进的方案进行验证，使用不同的指纹验证完成认证，初步实现了所提出的改进方案的功能需求。

目录

声明

1 绪论

1.1 研究背景

1.2 国内外研究现状

1.3 论文的组织结构

2 可信移动应用及其身份认证

2.1 PKI体系

2.2 可信执行环境

2.3 FIDO UAF协议

2.4 本章小结

3 FIDO UAF协议分析

3.1 参数符号定义

3.2 注册协议的密钥体系

3.3 认证协议的密钥体系

3.4 协议的分析

3.5 本章小结

4 FIDO UAF协议的改进

4.1 体系架构的改进

4.2 工作流程的改进

4.3 安全目标分析

4.4 本章小结

5 实验结果及分析

5.1 实验环境和方法

5.2 实验结果与分析

5.3 本章小结

6 总结与展望

6.1 本文的主要研究工作及成果

6.2 展望

致谢

参考文献