[发明专利]一种基于TEE和无线确认的FIDO认证器及系统及方法

说明书

本发明公开了一种基于TEE和无线确认的FIDO认证器及系统及方法。认证器包括在TEE中以TA的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器。系统包括FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器。方法包括步骤：在TEE中加载运行主运算部件，主运算部件接收认证客户端发送的绑定/认证/交易请求等。本发明使用基于FIDO协议实现的认证方式来提高用户体验，可以免去输入用户名和密码的过程；其次，在实现FIDO认证器的过程中运用TEE技术来提高安全性。本发明可广泛应用于各种智能终端认证系统。

技术领域

本发明涉及在线认证技术领域，具体涉及到一种应用于智能终端认证的FIDO认证器、基于FIDO认证器的智能终端认证系统和方法。

背景技术

TEE：Trusted Execution Environment，可信运行环境，应用于安全智能终端，安全支付等领域。

REE：Rich Execution Environment，富运行环境或非可信运行环境，如安卓系统等。

TA：Trusted Application，可信应用，指TEE中的安全应用程序。

CA：Client Application，客户端应用程序，在REE中，可调用TA。

FIDO：Fast Identity Online，线上快速身份认证，是一个身份认证标准。

UAF: Universal Authentication Framework，通用认证框架，FIDO协议两种规范的一种。

U2F: Universal Second Factor，通用第二因子，FIDO协议两种规范的一种。

TEE（Trusted Execution Environment）是相对于REE（Rich ExecutionEnvironment，如安卓系统等）来说的。TEE和REE是运行在同一个芯片平台上的“双系统”。因为TEE与REE的隔离性，TEE能有效防止REE下的软件攻击，能提供额外高强度的安全性，且共享主CPU和部分IP，增加的成本很少，已经在市场上大范围流行，如三星的KNOX系统，Windows RT系统，华为一些高端手机上的指纹支付方案等。

FIDO（Fast Identity Online） Alliance，成立于2012年7月。FIDO的目标是创建一套开放的标准协议，保证各厂商开发的强认证技术之间的互操作性，改变目前的主流在线验证的方式（使用口令作为主要验证手段），消除或者减弱用户对口令的依赖。 该联盟目前有220多家企业加入，包括Google、Microsoft、PayPal、ARM、Nok Nok Labs、三星、联想、阿里巴巴等大型国内外企业成员，并在其成立一周年之际发布了FIDO协议的技术规范草案，它包括UAF（Universal Authentication Framework protocol）和U2F（Universal SecondFactor protocol），其中UAF协议支持指纹、语音、虹膜扫描等生物特征身份识别技术，U2F协议则是使用双因子保护用户账户隐私。FIDO标准的出现解决了传统口令认证的各种问题，该技术可以增强身份认证安全系数，还可以避免用户口令泄露、网络攻击等带来的损失，是未来在线身份认证的主流技术之一。

现有的在线认证方式有以下几种：一是用户名+口令密码，它只需要用户在每次认证时输入已记忆的用户名、口令即可完成认证；二是使用UKey来增强认证过程，尤其是在网上银行操作时用得较为普遍；三是使用动态验证码（手机验证码、动态口令等）来增强认证过程。第四种是采用FIDO标准的认证方案或类似的实现，比如三星的KNOX认证系统，苹果手机的指纹认证等。其中，第二种和第三种都依赖于传统的用户名+口令的认证方式，第四种将用户账户和认证器绑定后，在以后的认证过程中无需输入用户名和密码，用户只需将手指放在智能终端的指纹扫描仪上即可完成认证确认。