FIDO线上身份验证标准介绍(五)——UAF协议.docVIP

FIDO线上身份验证标准介绍—UAF协议 ??FIDO的另一身份验证协议UAF，全称为通用认证框架协议（Universal Authentication Framework Protocol）。如下图所示，借助功能强大的智能设备以及必威体育精装版的生物识别技术（如指纹识别、语音识别、人脸识别或虹膜识别等），UAF为用户提供一个无密码、安全性能高、使用方便以及隐私性好的在线身份验证方案。 如示意图所示，在整体上看，UAF与U2F的技术原理大致相同，但具体实现流程更加符合智能设备特征。它也可以分为两大步： 第一步：用户设备注册。 如图所示，用户进行UAF注册大致分为5个步骤： ??（1）用户终端通过APP向应用提供方提交用户名和其它必要用户数据，申请启动UAF注册程序。 ??（2）应用提供方服务器收到用户请求后，通过用户应用向智能设备中的UAF客户端发出注册申请。 ??（3）UAF客户端收到注册申请后，通过应用接口调用UAF身份验证器，并向用户提供本设备支持的本地确认方式供用户选择与确认；在用户确认后，UAF身份验证器生成新的公私钥对。这里需要注意的是，用户在获得一个支持UAF协议的智能终端（如手机）后，需要像日常使用那样先在设备上录入用户设备识别信息完成本地认证。例如利用指纹识别模块采集用户的指纹信息、利用麦克采集用户的语音信息、或者利用摄像头采集用户的面部或虹膜信息等，完成用户与设备之间的认证信息采集，并存储在本设备的安全单元中。UAF协议只是调用这些信息用于所必须的用户确认操作，不需要上传服务器或用作其它用途。 ??（4）UAF客户端将UAF身份验证器生成的公钥与相关数据借助用户应用发送给应用服务器。 ? （5）?应用提供方UAF服务器验证收到公钥信息的真实性并保存供后续交易使用。 第二步：身份验证或交易授权 ? （1）? 按照UAF协议完成注册后，当需要用户身份验证或交易授权时，应用提供方向用户应用发起UAF申请身份验证或交易授权指令； ? （2）? 用户应用收到指令后，通知UAF客户端收并一并推送待签名数据； ? （3）? UAF用户端通过接口调用UAF身份验证器，在得到用户批准确认后（即当前用户信息与注册时的用户信息相匹配），利用私钥签名需要认证的数据； ? （4）? UAF用户端通过用户应用将签名数据推送回后台服务器； ? （5）? UAF服务器验证签名数据通过后，完成身份验证或交易授权，批准此次操作；反之，身份验证或交易授权失败。 ??在协议框架设计过程中，同U2F协议，UAF协议同样采用了功能分层设计理念，将整个协议实现分为了UAF客户端与UAF身份验证器两个功能层。UAF客户端又被成为UAF适配层（UAF Authenticator Abstraction Layer），为用户应用提供UAF协议提供身份验证实现接口，但屏蔽实现细节，支持不同的操作系统与应用，提升UAF的兼容性； UAF身份验证器则负责UAF用户身份验证协议具体实现。