FIDO的U2F認(rèn)證器設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，人們?cè)絹碓蕉嗟纳鐣?huì)活動(dòng)發(fā)生在虛擬的網(wǎng)絡(luò)空間。網(wǎng)絡(luò)服務(wù)商為人們提供各式各樣便利的網(wǎng)絡(luò)服務(wù)，例如即時(shí)通信、網(wǎng)絡(luò)支付等。但是目前，這些服務(wù)的身份認(rèn)證機(jī)制還是以用戶名和密碼的方式為主。這種認(rèn)證機(jī)制需要用戶每次都輸入復(fù)雜繁瑣的密碼。而且為了降低用戶在不同服務(wù)之間的關(guān)聯(lián)性，用戶將在不同的網(wǎng)絡(luò)服務(wù)上使用不同的密碼，這樣不利于用戶對(duì)密碼的管理。同時(shí)，這種單因子的認(rèn)證體系極易受到竊取、中間人攻擊和釣魚攻擊等。因此，為了提供更加安全便

2、利的強(qiáng)身份認(rèn)證技術(shù)，本論文論述了一種在FIDO的U2F（Universal Second Factor）協(xié)議框架下設(shè)計(jì)與實(shí)現(xiàn)的一種認(rèn)證器，以降低目前密碼認(rèn)證的復(fù)雜性，并通過認(rèn)證器為用戶提供統(tǒng)一的認(rèn)證服務(wù)管理。
　　為了解決以上提出的諸多問題，本論文基于對(duì)FIDO的U2F協(xié)議框架的研究，在安全單元的基礎(chǔ)架構(gòu)和Android系統(tǒng)架構(gòu)的基礎(chǔ)上，設(shè)計(jì)和實(shí)現(xiàn)了符合U2F協(xié)議標(biāo)準(zhǔn)的認(rèn)證器，并通過實(shí)現(xiàn)一個(gè)客戶端對(duì)認(rèn)證器進(jìn)行統(tǒng)一的管理，向第三方應(yīng)

3、用提供了統(tǒng)一的接口方便其進(jìn)行集成。認(rèn)證器作為U2F認(rèn)證體系的關(guān)鍵模塊，實(shí)現(xiàn)了對(duì)用戶的身份認(rèn)證，生成認(rèn)證信息，客戶端則負(fù)責(zé)對(duì)多個(gè)平臺(tái)上認(rèn)證器的管理，并連接認(rèn)證器與服務(wù)器之間安全的傳輸通道。本論文的主要工作包括以下幾點(diǎn)：1.研究了U2F協(xié)議框架，對(duì)整個(gè)U2F認(rèn)證體系按照業(yè)務(wù)流程進(jìn)行了建模，對(duì)服務(wù)器、客戶端和認(rèn)證器進(jìn)行了邏輯分層，抽象和具化出了本論文所關(guān)注的客戶端層和認(rèn)證器層；2.研究了安全單元的體系結(jié)構(gòu)，對(duì)該平臺(tái)上計(jì)算資源和存儲(chǔ)資源受限的特

4、性，對(duì)U2F協(xié)議中部分關(guān)鍵算法進(jìn)行了優(yōu)化，在該平臺(tái)上實(shí)現(xiàn)認(rèn)證器時(shí)考慮了平臺(tái)特性，對(duì)APDU指令交互流程進(jìn)行了完整實(shí)現(xiàn)；3.研究了Android系統(tǒng)上應(yīng)用的安全機(jī)制，在該系統(tǒng)上實(shí)現(xiàn)認(rèn)證器時(shí)，對(duì)設(shè)備密鑰、簽名算法和計(jì)數(shù)器值等認(rèn)證器關(guān)鍵信息的保護(hù)提出了技術(shù)上的解決方案；4.在客戶端實(shí)現(xiàn)了通用APDU生成組件，將APDU命令的生成流程在Android系統(tǒng)上進(jìn)行規(guī)范化和流程化，使客戶端可以兼容多個(gè)通信通道與認(rèn)證器進(jìn)行通信；5.對(duì)本論文所設(shè)計(jì)和實(shí)現(xiàn)