产品概述
FIDO 产品遵循 FIDO-UAF 1.0 规范,为移动互联网应用提供基于生物特征识别 +PKI 高强度密码认证的复合身份验证方式,采用了 SM2、SM3、SM4 等国产密码算法,使用多级密钥体系,协议安全经过了形式化证明,提供基于“刷脸认证”、“指纹认证”、“声音识别”、“虹膜识别”等组合认证方式,无需账号口令就能快速安全地完成身份验证,为银行业、电子商务行业、第三方支付、保险证券、政府机构等提供高强度的安全保障和最佳的用户体验。
1、系统架构
FIDO 系统支持多生物识别方式,彻底“杀死口令”,提供安全、快捷、标准 的身份验证方式。
FIDO 产品采用结构化、组件化设计,产品包括:
(1)FIDO 服务器:系统服务端采用开放架构,基于标准的认证服务平台,支持Java 语言、C 语言调用接口; Web 管理页面,可以灵活订制前端身份验证方式。
(2)快速认证服务器:提供 FIDO 服务器的管理功能,包括系统初始化、认证策 略管理、认证设备管理、日志审计等功能。
(3)FIDO 客户端:安卓系统和 IOS 系统 APP,独立的生物识别抽象层,可灵活添 加多种生物识别模式。
(4)FIDOSDK 开发套件:包括 FIDO 客户端 SDK、FIDO 服务器端 SDK。提供标准 的 FIDO 客户端消息调用方式;为了便于应用推广,同时提供 SDK 调用方式,支 持客户端无缝集成到用户的 APP 中;提供服务器端调用接口,支持用户身份绑 定、解绑等功能。
产品功能
1、 FIDO 认证服务器基础功能
(1)FIDO 认证服务器基础功能:支持 FIDO UAF 协议,满足 FIDO UAF 协议 的基本功能以及符合规范的交互报文。
(2)可以灵活的设置认证方式并支持多种生物认证模式,如指纹,面部,声纹等。
(3)通过配置 AppID 和 FacetID 能够实现对终端设备上的应用进行管理。
2、 FIDO 认证服务器管理功能
(1)系统管理:提供给管理员进行系统配置的可视化界面。用来完成以下模块的管理:数据库管理、密码设备管理、管理员管理、软件许可管理等。
(2) 终端管理:实现终端绑定、终端解绑、终端冻结、终端解冻。
(3)策略管理:用来完成以下参数的配置:密钥存储方式、认证设备类型、认证 方式、元数据获取方式。
(4)元数据管理:查看管理 FIDO UAF 认证器中的可信信息,包含,认证器型 号,特征,厂商根证书,厂商 ID 等。
(5)管理员管理:管理员可以通过此平台对相关操作人员进行权限分配,并可以 对管理员的信息进行增、删、改、查操作。管理员密钥采用硬件 Key 保护, 支持数字证书方式、支持门限管理机制。
3、 FIDO UAF 客户端控件基本功能
(1)集成于应用程序内,实现应用程序和认证器的交互,使得本地设备能够用于身份认证。
(2)指纹认证设备:实现指纹验证、密钥管理、密码运算功能,包括通讯接口、 指纹特征采集器和密码运算环境。
(3)指纹验证:采用原生指纹验证方式。系统将用户的生物特征信息与其身份凭证进行一一对应的绑定,即采用用户生物特征信息来解锁用户认证私钥。当出现生物特征信息被伪冒、设备丢失等异常情况时,用户可以进行“注销” 操作以确保安全。
(4)密钥管理:支持 TEE、软 SE、TF 密码卡产生用户密钥,预置认证设备密钥。
(5)指纹存储:指纹信息应保存在手机硬件(SE)等可信环境之中,防止信息泄漏和木马病毒威胁。
(6)指纹变动相关的安全要求:指纹发生变化时,业务人员能从服务后台获取到变化信息,进行相应处理(如关闭等),并可以有效抵御常见的“钓鱼”、“木 马”、“中间人”等安全风险。
(7)密钥存储:指纹信息的加密密钥和生成的客户私钥在手机的安全环境进行保 护。支持 TEE 环境、SE 环境、软 SE 环境下管理用户应用密钥。
(8)密码运算:用户密钥的密码运算在 TEE 中完成,认证设备出厂密钥的密码 运算在 SE 中实现。
(9)软 SE 安全防护:解决大批量存量终端没有 FIDO 认证设备的问题,可在 Android、iOS 终端中安全的运算加密算法和存储密钥等敏感信息,并与未受信的应用软件环境隔离,防止攻击者破解和获取 。采用白盒算法、设备绑定、反编译调试、反逆向工程、内存加密加扰等技术,保证密钥存储、运 算的安全性 。
(10)指纹认证设备选择:指纹认证设备可以在手机出厂时预置到 TEE 运行环境,根据手机厂家的指纹认证设备预置情况,客户端可以选择指纹认证设备,目前已经预置的机型包括:三星 Note 4、Note 5、S5、S6,华为 Mate8、 Mate9、P9,LG V10 等。提供的指纹认证客户端可以调用预置手机的认证设备,对于没有指纹认证设备(Authenticator)的机型可以采用本方案提供的认证设备。
4、FIDO 辅助功能
多终端设备管理——用户可以在多个手机上使用同一个应用;用户可以在多 个设备上绑定生物识别方式,一个设备上可以解绑所有已经绑定的设备。
手机、电脑、电视多屏支持-----通过二维码扫码技术,能够把手机登录的信息推送到电脑、平板、电视等屏幕。
安全性设计
1、安全架构设计
圣博润在 FIDO 产品的设计上,遵循 FIDO 联盟《FIDO 技术规范》,从服务器安全设计、通道安全设计、终端安全设计三方面进行分析。分析产品的安全目标、安全措施、安全假定和一系列 FIDO 系统面临的威胁,并针对各种威胁制定安全措施和解决方案。
2、三层密钥架构设计
圣博润 FIDO 具有三层密钥架构设计,包括用户密钥,认证器密钥、对称密钥。
(1)用户密钥:由认证器产生,用于保护用户私钥。
(2)非对称密钥对:由设备制造商在产线上预置在认证器中。在注册流程中对用户公钥进行签名,由服务端使用公钥证书验签。
(3)用户私钥:由认证器在注册流程中产生并安全存储,用于在认证流程中的签名。
(4)用户公钥:由认证器在注册流程中产生并传送到服务端,用于在认证流程中验签。
3、Android 端安全的 TEE 环境
可信执行环境(TEE)是 Global Platform(GP)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者,移动运营商,以及芯片厂商。TEE 是与设备上的 Rich OS(通常是 Android等)并存的运行环境,并且给 Rich OS 提供安全服务。它具有其自身的执行空间,比 Rich OS 的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全性要低一些。但是 TEE 能够满足大多数应用的安全需求。从成本上看,TEE 提供了安全和成本的平衡。
TEE 所能访问的软硬件资源是与 Rich OS 分离的。TEE 提供了授权安全软件(可信应用,TA)的安全执行环境,同时也保护 TA 的资源和数据的保密性,完整性和访问权限。为了保证 TEE 本身的可信根,TEE 在安全启动过程中是要通过验证并且与 Rich OS 隔离的。在 TEE 中,每个 TA 是相互独立的,而且不能在未授权的情况下不能互相访问。FIDO 针对 TEE 的安全设计如下:
设备端的核心运算全部在 TEE 中进行。
生物特征值在 TEE 环境下录入、校验,加密后在 TEE 内安全存储。
用户密钥本地产生,加密存放到 TEE 环境。
4、IOS 端安全的 SE 环境
苹果端定制了一个高度优化的 TrustZone 版本,可以 TrustZone 安全系统是由硬件和软件分区来成就的。不管是硬件还是软件中,都有两个区,一个是安全子系统,一个是正常的区。TrustZoneAMBA3AXI 总线可确保正常区组件不访问安全区的数据。而那些敏感的数据就放在安全区,来防止许多可能的攻击。当有安全验证的需求时,Moniter 模式就会自主进行两个虚拟处理器的切换,有针对性地工作。
苹果的 TrustZone 除了苹果自己,其他应用无法访问,因此,为了保障苹果端的安全性,我们在苹果端设计了安全的软 SE 环境,采用专利技术 SM4 白盒加密技术、代码混淆技术、反静态分析技术、反动态调试技术等,保障 FIDO 产品苹果端的安全性。
5、安全环境检查
圣博润 FIDO SDK 中包含安全环境检查模块,该模块能够防止 SDK 或底层源码篡改。SDK 在 FIDO 注册过程中会调用安全环境检查模块对当前 Android 执行环境进行检测,如果检测到当前 SDK 源码或者底层源码被篡改则会拒绝 FIDO 注册操作。
使用的技术:反调试技术、访问控制技术、代码混淆技术以及白盒加密技术等。
产品特点
1、极简的用户体验
为了得到广大个人用户及企业用户的认可,新认证技术必须在足够简单方便的同时达到更高安全性能,如下图所示,相对于传统的密码认证体系,FIDO 技术在用户验证技术领域有新的突破。 FIDO 采用人体生物特征作为认证手段,代替了口令,可以避免记忆和输入冗长的、复杂的口令,直接通过摄像头刷脸或采集一下指纹等生物特征即可登录系统,简单、安全,用户体验非常好。
2、 保护用户隐私
用户用于身份验证的生物信息(如指纹、虹膜、声音)等信息都不能离开该用户设备,FIDO 协议收集的个人信息只能用于 FIDO 身份验证,非 FIDO 所允许的操作都将被禁止。
3、实现强身份认证
采用人体生物特征作为认证手段,代替了口令,可以有效防止身份的假冒,实现了真实身份的认证。 FIDO 认证通过客户端产生自己的密钥对,并安全保存在自己的私有存储区,其他人或应用无法访问和复制,可以实现对关键业务的数字签名,防止对业务操作的抵赖。
4、 强安全性
1)指纹信息的安全存储
指纹信息的保存,独立于身份认证过程,由设备的安全硬件完成对加密后的用户指纹信息存储。在 Android 设备中,加密后的指纹信息由 TEE(Trusted Execution Environment)负责安全存储。指纹生物特征匹配时,特征值不用导出认证设备。
2)指纹信息的验证
指纹的验证过程在 FIDO 认证器中完成,认证服务器是运行在设备的安全硬件内的程序。只有 FIDO Client SDK 才能访问,而其他一切软件均无权接触。
3) 密钥安全
用户密钥本地产生,加密存放到 TEE 环境,服务器端采用密码卡加密保护。
设备密钥由设备厂家预制产生,设备证书通过元数据服务器获取。
管理员密钥采用硬件 Key 保护,支持数字证书方式、支持门限管理机制。
4) 密钥访问
使用 FIDO 协议定义的 AccessToken 确保只有 FIDO 客户端能够访问用户密钥,其他软件均无访问权限。
5) 高安全性的算法
支持国产密码 SM2、SM3 及 SM4 算法。
公钥算法:采用 256 位 SM2 密码算法。用于在客户端进行数字签名,提交到服务端进行验证。
对称算法:采用 128 位 SM4 密码算法。用于本地数据的安全存储。所有的在本地智能终端保存的数据全部采用加密存储的方式。
杂凑算法:采用 SM3 密码算法。配合 SM2 实现在客户端的数字签名和服务端的验证。
支持白盒对称密码算法,防止密钥泄露,扩充后的密钥数据只有 300KB。
6) 通讯层加密
FIDO 基于 SSL/TLS 协议的最新版本开发,确保了通讯层的安全。
7)合法性
FIDO 支持与第三方 CA 的完美结合,私钥通过第三方 CA 签发证书、与生物识别信息及个人信息绑定,确保私钥只由电子签名人掌握。
私钥只有用户设置的生物识别信息可以解密,保证用户的电子签名仅由签名人控制。
电子签名及证书由第三方 CA 进行认证,保证签名改动能够被发现。
对数据的杂凑(hash)的签名,保证数据的内容和形式的任何改动被发现。
产品优势
1、简单易用 全新体验
用户无需记忆复杂的口令,直接使用如指纹、声纹、人脸、虹膜等更快捷、人性化的生物特征身份认证方式。
2、易集成、易实施
提供标准 SDK 快速实现对多种设备和复合认证方式的支持,为企业降低部署及管理成本。
3、扩展性强 灵活性高
(1)采用国际标准 FIDO UAF 1.0 协议
(2)服务器端支持多种操作系统
(3)客户端支持 Android、iOS 等主流操作系统
(4)支持新的认证设备扩展,支持多种用户密钥保存方式
4、高性能
后台服务支持集群方式,可根据应用需求提升产品性能。
5、多屏互动
支持二维码扫码技术,实现手机、电脑、电视多屏互动;,能够把手机登录的信息推送到电脑、平板、电视等屏幕。
6、个性化定制服务
可根据金融行业的具体业务情况,提供定制化的移动安全身份认证服务。
1 review for Cisco