FIDO的U2F認(rèn)證器設(shè)計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，人們越來越多的社會活動發(fā)生在虛擬的網(wǎng)絡(luò)空間。網(wǎng)絡(luò)服務(wù)商為人們提供各式各樣便利的網(wǎng)絡(luò)服務(wù)，例如即時通信、網(wǎng)絡(luò)支付等。但是目前，這些服務(wù)的身份認(rèn)證機制還是以用戶名和密碼的方式為主。這種認(rèn)證機制需要用戶每次都輸入復(fù)雜繁瑣的密碼。而且為了降低用戶在不同服務(wù)之間的關(guān)聯(lián)性，用戶將在不同的網(wǎng)絡(luò)服務(wù)上使用不同的密碼，這樣不利于用戶對密碼的管理。同時，這種單因子的認(rèn)證體系極易受到竊取、中間人攻擊和釣魚攻擊等。因此，為了提供更加安全便

2、利的強身份認(rèn)證技術(shù)，本論文論述了一種在FIDO的U2F（Universal Second Factor）協(xié)議框架下設(shè)計與實現(xiàn)的一種認(rèn)證器，以降低目前密碼認(rèn)證的復(fù)雜性，并通過認(rèn)證器為用戶提供統(tǒng)一的認(rèn)證服務(wù)管理。
　　為了解決以上提出的諸多問題，本論文基于對FIDO的U2F協(xié)議框架的研究，在安全單元的基礎(chǔ)架構(gòu)和Android系統(tǒng)架構(gòu)的基礎(chǔ)上，設(shè)計和實現(xiàn)了符合U2F協(xié)議標(biāo)準(zhǔn)的認(rèn)證器，并通過實現(xiàn)一個客戶端對認(rèn)證器進行統(tǒng)一的管理，向第三方應(yīng)

3、用提供了統(tǒng)一的接口方便其進行集成。認(rèn)證器作為U2F認(rèn)證體系的關(guān)鍵模塊，實現(xiàn)了對用戶的身份認(rèn)證，生成認(rèn)證信息，客戶端則負(fù)責(zé)對多個平臺上認(rèn)證器的管理，并連接認(rèn)證器與服務(wù)器之間安全的傳輸通道。本論文的主要工作包括以下幾點：1.研究了U2F協(xié)議框架，對整個U2F認(rèn)證體系按照業(yè)務(wù)流程進行了建模，對服務(wù)器、客戶端和認(rèn)證器進行了邏輯分層，抽象和具化出了本論文所關(guān)注的客戶端層和認(rèn)證器層；2.研究了安全單元的體系結(jié)構(gòu)，對該平臺上計算資源和存儲資源受限的特

4、性，對U2F協(xié)議中部分關(guān)鍵算法進行了優(yōu)化，在該平臺上實現(xiàn)認(rèn)證器時考慮了平臺特性，對APDU指令交互流程進行了完整實現(xiàn)；3.研究了Android系統(tǒng)上應(yīng)用的安全機制，在該系統(tǒng)上實現(xiàn)認(rèn)證器時，對設(shè)備密鑰、簽名算法和計數(shù)器值等認(rèn)證器關(guān)鍵信息的保護提出了技術(shù)上的解決方案；4.在客戶端實現(xiàn)了通用APDU生成組件，將APDU命令的生成流程在Android系統(tǒng)上進行規(guī)范化和流程化，使客戶端可以兼容多個通信通道與認(rèn)證器進行通信；5.對本論文所設(shè)計和實現(xiàn)