CN112669033A - 基于fido设备的交易认证方法及fido设备 - Google Patents
基于fido设备的交易认证方法及fido设备 Download PDFInfo
- Publication number
- CN112669033A CN112669033A CN201910979088.9A CN201910979088A CN112669033A CN 112669033 A CN112669033 A CN 112669033A CN 201910979088 A CN201910979088 A CN 201910979088A CN 112669033 A CN112669033 A CN 112669033A
- Authority
- CN
- China
- Prior art keywords
- fido
- transaction
- information
- login instruction
- transaction information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 239000000284 extract Substances 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 abstract description 3
- 238000012795 verification Methods 0.000 description 2
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种基于FIDO设备的交易认证方法及FIDO设备,应用于服务器,交易认证方法包括:接收终端发送的交易请求;从交易请求中获取交易信息,根据交易请求生成FIDO登录指令,其中FIDO登录指令包含交易信息;将FIDO登录指令通过终端发送至FIDO设备;接收FIDO设备通过终端返回的认证信息,其中认证信息由FIDO设备根据交易信息生成;验证认证信息是否正确。本发明提出的技术方案,在FIDO设备登录指令中的extension信息条目或其他现有条目或新增的条目中嵌入交易信息,采用这种嵌入方式既不和原有功能冲突,又实现用户交易信息确认的安全功能,实现了国内外网上银行大金额交易的安全和应用要求。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种基于FIDO设备的交易认证方法及FIDO设备。基于FIDO设备的交易认证方法基于FIDO设备的交易认证方法
背景技术
FIDO设备:基于线上快速身份认证(Fast Identity Online)协议的设备。
目前的FIDO设备主要用于安全登录,无法对金融交易提供身份认证。
发明内容
本发明实施例提供一种FIDO(Fast Identity Online,线上快速身份验证联盟)设备认证方法、设备及计算机可读存储介质,可以对第二代FIDO的CBOR(Concise BinaryObject Representation,简洁的二进制对象表示)报文进行扩展,用于支持国内外网上银行大金额交易安全和应用的需求。
本发明实施例第一方面提供了一种基于FIDO设备的交易认证方法,应用于服务器,所述交易认证方法包括:接收终端发送的交易请求;
从所述交易请求中获取交易信息,根据所述交易请求生成FIDO登录指令,其中所述FIDO登录指令包含所述交易信息;
将所述FIDO登录指令通过所述终端发送至FIDO设备;
接收所述FIDO设备通过所述终端返回的认证信息,其中所述认证信息由所述FIDO设备根据所述交易信息生成;
验证所述认证信息是否正确;
如果正确,则执行所述交易。
可选地,所述根据所述交易请求生成FIDO登录指令包括:
将交易信息嵌入至FIDO设备登录指令的命令数据域中形成单独的信息条目或者将交易信息嵌入至FIDO设备登录指令的命令数据域中的一个信息条目中。
可选地,所述将交易信息嵌入至FIDO设备登录指令的命令数据域中形成单独的信息条目包括:将交易信息嵌入到命令数据域中登录指令的extension信息条目中。
可选地,在所述将所述FIDO登录指令通过所述终端发送至FIDO设备之后,还包括:
FIDO设备对所述登录指令进行解析,以提取登录指令中的交易信息。
可选地,所述接收所述FIDO设备通过所述终端返回的认证信息包括:
判断交易信息是否有经过确认;
如果有经过确认,则生成报文的签名,把所述签名的值嵌入到响应数据中返回;
服务器接收响应数据并抽出签名值。
可选地,所述服务器接收响应数据并抽出签名值包括:
服务器接收CBOR(Concise Binary Object Representation,简洁的二进制对象表示)报文的响应数据,从响应数据已有的authData字段的extension中抽出签名值。
可选地,在接收终端发送的交易请求之后还包括:
获取所述FIDO设备的配置信息;
根据所述配置信息判断所述FIDO设备是否支持对所述交易进行认证,若不支持,则拒绝所述交易请求。
可选地,所述交易信息包括交易信息条目内容和交易信息格式;
所述交易信息包括用户转入账号﹑用户转出账号﹑交易金额﹑交易时间。
可选地,所述交易信息格式采用XML格式﹑TLV格式或者PEM格式其中的任意一种。
本发明实施例第二方面提供了一种FIDO设备,所述FIDO设备包括:
接收模块,用于接收终端发送的FIDO登录指令;
获取模块,用于从所述FIDO登录指令中获取交易信息;
认证模块,用于根据所述交易信息生成认证信息;
发送模块,用于将所述认证信息发送至所述终端。
本发明提出的技术方案,在FIDO设备登录指令中的extension信息条目或其他现有条目或新增的条目中嵌入交易信息,采用这种嵌入方式既不和原有功能冲突,又实现用户交易信息确认的安全功能,实现了国内外网上银行大金额交易的安全和应用要求。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1为本发明第一实施例提供的一种基于FIDO设备的交易认证方法的流程图;
图2为图1中步骤S10的流程图;
图3为本发明一实施例提供的一种基于FIDO设备的交易认证方法的FIDO的登录流程图;
图4为本发明一实施例提供的一种FIDO设备认证设备的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
请参看图1,图1为第一实施方式提供的一种基于FIDO(Fast Identity Online,线上快速身份验证联盟)设备的交易认证方法,应用于服务器,所述交易认证方法包括:
步骤S10:接收终端发送的交易请求;
具体地,用户操作终端生成交易请求,所述终端将生成的交易请求发送至服务器,其中,所述交易请求包括交易信息;
请参看图2,具体地,所述接收终端发送的交易请求包括:
步骤S11:服务器接收到交易请求后,获取所述FIDO设备的配置信息;
步骤S12:根据所述配置信息判断所述FIDO设备是否支持对所述交易进行认证,若不支持,则进入步骤S13;若支持,则进入步骤S20;
步骤S13:拒绝所述交易请求;
步骤S20:从所述交易请求中获取交易信息,根据所述交易请求生成FIDO登录指令,其中所述FIDO登录指令包含所述交易信息;具体地,所述根据所述交易请求生成FIDO登录指令包括:
将交易信息嵌入至FIDO设备登录指令的命令数据域中形成单独的信息条目或者将交易信息嵌入至FIDO设备登录指令的命令数据域中的一个信息条目中。
请参看图2,具体地,根据所述交易请求生成FIDO登录指令包括方式1和方式2这两种方式,其中,方式1和方式2任一种均能实现根据所述交易请求生成FIDO登录指令;所述方式1为:将交易信息嵌入至FIDO设备的命令数据域中的一个信息条目中;所述方式2为:将交易信息嵌入至FIDO设备的命令数据域中形成单独的信息条目;优选地,服务器组织XML交易信息,嵌入到登录指令中的extension信息条目中。
另外应当指出的是,命令数据域采用CBOR报文来传递各种信息;应当指出的是,CBOR是作为FIDO2中的一种规定的数据格式;其中,FIDO2的原理为:FIDO协议使用标准的非对称公私钥对来提供安全保障,确切的说,FIDO草案中使用的是ECDSA(Elliptic CurveDigital Signature Algorithm,椭圆曲线数字签名算法);当用户登录服务器注册信息时,用户的加密设备产生一对非对称密钥对,私钥在加密设备中保留,黑客无法读取,公钥传给服务器,服务器将此公钥和用户对应的账户相关联;当用户登录服务器验证信息时,用户使用设备中的私钥对服务器的挑战数据做签名,服务器使用对应的公钥做验证。用户的设备中的私钥,必须经过用户解锁(如按键,按下指纹等),才能被用来做签名操作。
优选地,所述交易信息格式为XML。
优选地,所述将交易信息嵌入至FIDO设备登录指令的命令数据域中的一个信息条目中为:将交易信息嵌入到登录指令中的extension信息条目中。
下面具体举例说明服务器组织XML交易信息,嵌入到extension中的工作原理:例如交易信息为:04A1 63 786D6C 59xxxx XML;其中04表示extension在CBOR数据域中的第4条信息条目,A1表示CBOR的map类型,共有1对name和value值,63表示接着有3字节长度的name字节数组,name=786D6C,为“xml”的十六进制,59表示接下来有2字节表示数组长度,xxxx为2字节XML的长度,value=XML为交易信息。另外应当指出的是,本实施例仅描述一种嵌入的形式,当然还会有很多种形式嵌入XML;例如这里是以map类型嵌入byte sting的xml,还可以嵌入text string字符数组等等。上面的name值=786D6C也可以随便定义,主要能说明本条目为用户交易信息条目即可。
另外应当指出的是,交易信息的嵌入不只仅以XML这种已有的报文嵌入,采用把账号和金额等等作为独立的项或者条目嵌入的方式也可以;把账号和金额等等作为独立的项或者条目嵌入的方式具体为:在extension中嵌入各个项后得到:04A2 67 6163636F756E746A 30313233343536373839 65 6D6F6E657918 64。其中A2表示有2对name和value的项。第1对的name为6163636F756E74,即“account”,value为30313233343536373839,即“0123456789”;第2对的name为6D6F6E6579,即“money”,value为64,即为100。也就是交易账号为0123456789,交易金额为100元。
另外应当至出的是,也可以将交易信息嵌入至FIDO设备登录指令的命令数据域中形成单独的信息条目,具体工作原理如下:服务器组织XML交易信息,将将交易信息嵌入至FIDO设备登录指令的命令数据域中、以形成一个单独的信息条目中的工作原理:举例说明,基于目前的登录指令,规范定义的信息条目已经有7条了,那么我们增加08及以上的条目索引。具体地,例如byte sting类型条目的08 59xxxx XML,也可以类似方式1的map类型条目:08A163 786D6C 59xxxx XML;还可以是array类型条目:08 81 59xxxx XML;或者textstring类型条目:08 79xxxx XML;或者多种类型嵌套:08 81A1 63786D6C 59xxxx XML等等;可以根据应用环境灵活运用。
另外应当指出的是,交易信息的嵌入不只仅以XML这种已有的报文嵌入,采用把账号和金额等等作为独立的项或者条目嵌入的方式也可以;把账号和金额等等作为独立的项或者条目嵌入的方式具体为:在extension中嵌入各个项后得到:08A2 67 6163636F756E746A 30313233343536373839 65 6D6F6E657918 64。其中A2表示有2对name和value的项。第1对的name为6163636F756E74,即“account”,value为30313233343536373839,即“0123456789”;第2对的name为6D6F6E6579,即“money”,value为64,即为100。也就是交易账号为0123456789,交易金额为100元;通过在FIDO设备登录指令中的extension信息条目或其他现有条目或新增的条目中嵌入交易信息,采用这种嵌入方式既不和原有功能冲突,又实现用户交易信息确认的安全功能,实现了国内外网上银行大金额交易的安全和应用要求。
可选地,在从所述交易请求中获取交易信息,根据所述交易请求生成FIDO登录指令之后,还包括:
步骤S30:将所述FIDO登录指令通过所述终端发送至FIDO设备;
步骤S40:FIDO设备对所述登录指令进行解析,以提取登录指令中的交易信息;具体地,FIDO设备解析CBOR报文,并且把extension中的XML交易信息抽出来,解析并提取用户交易信息,并显示在FIDO设备的显示屏幕上。
步骤S50:所述接收所述FIDO设备通过所述终端返回的认证信息,其中所述认证信息由所述FIDO设备根据所述交易信息生成;具体地,所述接收所述FIDO设备通过所述终端返回的认证信息包括:
所述FIDO设备判断交易信息是否有经过确认;
如果有经过确认,则生成报文的签名,把所述签名的值嵌入到响应数据中返回;服务器接收响应数据并抽出签名值;具体地,所述服务器接收响应数据并抽出签名值包括:服务器接收CBOR(Concise Binary Object Representation,简洁的二进制对象表示)报文的响应数据,从响应数据已有的authData字段的extension中抽出签名值;
步骤S60:验证所述认证信息是否正确;如果正确,则进入步骤S70;如果不正确,则进入步骤S80;
步骤S70:执行所述交易;
步骤S80:交易失败。
请参看图3,图3为FIDO的登录流程,在这个流程中,我们可以把图中的第0第1和第2增加交易信息的信息条目以便实现本专利要求;图中,表示浏览器向服务器发送的命令;①表示challenge,也就是提议;②表示relying party ID,也就是信任方的地址;③表示user verification(用户验证)和create assertion(明确肯定);④表示authenticatorDate signature,也就是验证者日期签名;⑤表示clientData JSON,也就是客户数据格式,signature,签名;⑥表示server validation,也就是服务器验证。
请参看图4,本发明实施例第二方面提供了一种FIDO设备20,所述FIDO设备20包括:
接收模块21,用于接收终端10发送的FIDO登录指令;
获取模块22,用于从所述FIDO登录指令中获取交易信息;
认证模块23,用于根据所述交易信息生成认证信息;
发送模块24,用于将所述认证信息发送至所述终端10。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于FIDO设备的交易认证方法,应用于服务器,其特征在于,所述交易认证方法包括:接收终端发送的交易请求;
从所述交易请求中获取交易信息,根据所述交易请求生成FIDO登录指令,其中所述FIDO登录指令包含所述交易信息;
将所述FIDO登录指令通过所述终端发送至FIDO设备;
接收所述FIDO设备通过所述终端返回的认证信息,其中所述认证信息由所述FIDO设备根据所述交易信息生成;
验证所述认证信息是否正确;
如果正确,则执行所述交易。
2.如权利要求1所述的基于FIDO设备的交易认证方法,其特征在于,所述根据所述交易请求生成FIDO登录指令包括:
将交易信息嵌入至FIDO设备登录指令的命令数据域中形成单独的信息条目或者将交易信息嵌入至FIDO设备登录指令的命令数据域中的一个信息条目中。
3.根据权利要求2所述的基于FIDO设备的交易认证方法,其特征在于,所述将交易信息嵌入至FIDO设备登录指令的命令数据域中形成单独的信息条目包括:将交易信息嵌入到命令数据域中登录指令的extension信息条目中。
4.如权利要求1-3任一项所述的基于FIDO设备的交易认证方法,其特征在于,在所述将所述FIDO登录指令通过所述终端发送至FIDO设备之后,还包括:
FIDO设备对所述登录指令进行解析,以提取登录指令中的交易信息。
5.根据权利要求4所述的基于FIDO设备的交易认证方法,其特征在于,所述接收所述FIDO设备通过所述终端返回的认证信息包括:
判断交易信息是否有经过确认;
如果有经过确认,则生成报文的签名,把所述签名的值嵌入到响应数据中返回;
服务器接收响应数据并抽出签名值。
6.根据权利要求5所述的基于FIDO设备的交易认证方法,其特征在于,所述服务器接收响应数据并抽出签名值包括:
服务器接收CBOR(Concise Binary Object Representation,简洁的二进制对象表示)报文的响应数据,从响应数据已有的authData字段的extension中抽出签名值。
7.根据权利要求1所述的基于FIDO设备的交易认证方法,其特征在于,在接收终端发送的交易请求之后还包括:
获取所述FIDO设备的配置信息;
根据所述配置信息判断所述FIDO设备是否支持对所述交易进行认证,若不支持,则拒绝所述交易请求。
8.如权利要求1所述的基于FIDO设备的交易认证方法,其特征在于,所述交易信息包括交易信息条目内容和交易信息格式;
所述交易信息包括用户转入账号﹑用户转出账号﹑交易金额﹑交易时间。
9.如权利要求8所述的基于FIDO设备的交易认证方法,其特征在于,所述交易信息格式采用XML格式﹑TLV格式或者PEM格式其中的任意一种。
10.一种FIDO设备,其特征在于,包括:
接收模块,用于接收终端发送的FIDO登录指令;
获取模块,用于从所述FIDO登录指令中获取交易信息;
认证模块,用于根据所述交易信息生成认证信息;
发送模块,用于将所述认证信息发送至所述终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910979088.9A CN112669033A (zh) | 2019-10-15 | 2019-10-15 | 基于fido设备的交易认证方法及fido设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910979088.9A CN112669033A (zh) | 2019-10-15 | 2019-10-15 | 基于fido设备的交易认证方法及fido设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112669033A true CN112669033A (zh) | 2021-04-16 |
Family
ID=75400554
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910979088.9A Pending CN112669033A (zh) | 2019-10-15 | 2019-10-15 | 基于fido设备的交易认证方法及fido设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112669033A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113312607A (zh) * | 2021-08-02 | 2021-08-27 | 飞天诚信科技股份有限公司 | 一种实现指纹共用的方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291376A (zh) * | 2010-06-18 | 2011-12-21 | 普天信息技术研究院有限公司 | 一种支持移动终端的电子交易实现方法和系统 |
JP2015230728A (ja) * | 2014-06-03 | 2015-12-21 | パスロジ株式会社 | 取引システム、取引方法、ならびに、情報記録媒体 |
CN105989471A (zh) * | 2015-03-03 | 2016-10-05 | 中兴通讯股份有限公司 | 一种实现安全支付的方法、移动终端和支付认证服务端 |
CN108064440A (zh) * | 2017-05-25 | 2018-05-22 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的fido认证方法、装置及系统 |
-
2019
- 2019-10-15 CN CN201910979088.9A patent/CN112669033A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291376A (zh) * | 2010-06-18 | 2011-12-21 | 普天信息技术研究院有限公司 | 一种支持移动终端的电子交易实现方法和系统 |
JP2015230728A (ja) * | 2014-06-03 | 2015-12-21 | パスロジ株式会社 | 取引システム、取引方法、ならびに、情報記録媒体 |
CN105989471A (zh) * | 2015-03-03 | 2016-10-05 | 中兴通讯股份有限公司 | 一种实现安全支付的方法、移动终端和支付认证服务端 |
CN108064440A (zh) * | 2017-05-25 | 2018-05-22 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的fido认证方法、装置及系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113312607A (zh) * | 2021-08-02 | 2021-08-27 | 飞天诚信科技股份有限公司 | 一种实现指纹共用的方法及系统 |
CN113312607B (zh) * | 2021-08-02 | 2021-11-02 | 飞天诚信科技股份有限公司 | 一种实现指纹共用的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210097536A1 (en) | Signature verification method, apparatus, and system | |
KR101883156B1 (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
Srinivas et al. | Universal 2nd factor (U2F) overview | |
KR101853610B1 (ko) | 생체정보 기반의 전자서명 인증 시스템 및 그의 전자서명 인증 방법 | |
CN101765108B (zh) | 基于移动终端的安全认证服务平台系统、装置和方法 | |
EP2860906B1 (en) | Identity authentication method and device | |
US20140173287A1 (en) | Identifier management method and system | |
US9306930B2 (en) | Service channel authentication processing hub | |
CN108764848B (zh) | 一种电子合同的签署方法及系统 | |
CN201467167U (zh) | 一种密码编码器和密码保护系统 | |
CN110930147B (zh) | 离线支付方法、装置、电子设备及计算机可读存储介质 | |
CN103973695A (zh) | 一种与服务器验证的签名算法 | |
CN103514410A (zh) | 电子合同的可信保全与证据提取系统及方法 | |
CN102648610A (zh) | 能够与多个独立的应用提供者一起使用的强认证令牌 | |
JP5462021B2 (ja) | 認証システム、認証方法および認証プログラム | |
CN107992759B (zh) | 实现电子印章的装置、方法及计算机可读存储介质 | |
CN101631022A (zh) | 一种签名方法和系统 | |
Balfanz et al. | Fido U2F raw message formats | |
CN111506632A (zh) | 一种数据处理方法及装置 | |
CN105591745A (zh) | 对使用第三方应用的用户进行身份认证的方法和系统 | |
CN105162604A (zh) | 一种基于特征图像识别的验证方法、服务器及系统 | |
CN103368831A (zh) | 一种基于熟客识别的匿名即时通讯系统 | |
CN112669033A (zh) | 基于fido设备的交易认证方法及fido设备 | |
JP2009301446A (ja) | 複数の端末を用いた利用者の認証方法、認証サーバ及びプログラム | |
CN106341370A (zh) | 一种防御跨站请求伪造攻击的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |