一种基于FIDO UAF架构的开放授权方案

doi:10.3969/j.issn.1671-1122.2017.06.006

信息网络安全 ›› 2017, Vol. 17 ›› Issue (6): 35-42.doi: 10.3969/j.issn.1671-1122.2017.06.006

一种基于FIDO UAF架构的开放授权方案

李梁磊^{1, 2}, 邵立嵩³, 王传勇⁴, 刘勇⁵

1.中国科学院信息工程研究所,北京 100093;
2.中国科学院数据与通信保护研究教育中心,北京 100093;
3.南瑞集团公司,江苏南京 211000;
4.国网山东省电力公司枣庄供电公司,山东枣庄 277100;
5.国网山东省电力公司,山东济南 250001

收稿日期:2017-01-15 出版日期:2017-06-20
通讯作者: 李梁磊 lilianglei@is.ac.cn
作者简介:李梁磊（1991-）,男,黑龙江,硕士研究生,主要研究方向为信息安全;邵立嵩（1974-）,男,北京,高级工程师,硕士,主要研究方向为网络与信息安全;王传勇（1977-）,男,山东,高级工程师,主要研究方向为电力系统及其自动化;刘勇（1982-）,男,山东,工程师,硕士,主要研究方向为电力系统。
基金资助:
国家自然科学基金[614002470]

The Scheme of Open Authorization Based on FIDO UAF

LI Lianglei^{1, 2}, SHAO Lisong³, WANG Chuanyong⁴, LIU Yong⁵

1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
2.Data Assurance and Communication Security Research Center of Chinese Academy of Sciences, Beijing 100093, China;
3. Nari Group Corporation, Nanjing Jiangsu 211000, China;
4.STATE GRID Zaozhuang Power Supply Company, Zaozhuang Shandong 277100, China;
5. STATE GRID Shandong Power Supply Company, Jinan Shandong 250001, China

Received:2017-01-15 Online:2017-06-20

摘要/Abstract

摘要： OAuth2.0协议是当前最流行的API访问控制模型之一,然而该协议在实施过程中采用传统的认证方式具有一定的局限性：一方面授权服务器不仅要管理授权信息,还需要管理用户认证信息;另一方面传统基于用户名口令的认证方式容易遭受攻击破解。文章将基于FIDO UAF架构的身份认证方案与OAuth2.0协议相结合,在用户登录时采用生物特征识别技术进行认证,满足安全性、用户体验等需求。文章首先研究了OAuth2.0协议的原理与FIDO UAF认证架构,设计了基于FIDO UAF架构的认证方案与基于OAuth2.0协议的授权方案,并将两种方案结合。对方案的实现架构、具体的认证流程、授权流程进行了详细的介绍。最后通过系统测试结合工程应用实例验证方案的可行性与有效性。

关键词: OAuth2.0, FIDO, 授权, 生物识别

Abstract: OAuth2.0 as open authorization standard,is one of the most popular API access control. While using the traditional authentication has some limitations: authorization server is responsible for issuing the access token as well as managing user’s information; traditional authentication such as username/password is vulnerable to many attacks. This scheme will be based on FIDO UAF architectural identity authentication combined with OAuth2.0 agreement, when a user logs in using biometric identification technology to identity himself, meeting the demand of security, user experience, etc. This paper studies OAuth2.0 and FIDO UAF, then designs authentication scheme and authorization scheme and mix them. We describe the framework and detail process of authentication and authorization.Finally, we give an example of system design to fulfill the new scheme.

Key words: OAuth2.0, FIDO, authorization, biometrics identification

中图分类号:

TP393

李梁磊, 邵立嵩, 王传勇, 刘勇. 一种基于FIDO UAF架构的开放授权方案[J]. 信息网络安全, 2017, 17(6): 35-42.

LI Lianglei, SHAO Lisong, WANG Chuanyong, LIU Yong. The Scheme of Open Authorization Based on FIDO UAF[J]. 信息网络安全, 2017, 17(6): 35-42.

参考文献

[1] ALOTAIBI A, MAHMMOD A. Enhancing OAuth Services Security by an Authentication Service with Face Recognition[C]//IEEE. Systems Applications and Technology Conference (LISAT), 2015 IEEE Long Island, May 1 ,2015,Farmingdale, NY, USA .New York:IEEE,2015: 1-6.
[2] 吴世梁.基于OAUTH协议的动态口令认证平台设计与实现[D]. 北京：北京邮电大学,2014 .
[3] 魏成坤,刘向东,石兆军. 基于OAuth2.0的认证授权技术研究[J]. 信息网络安全, 2016(9) : 6-11.
[4] 阮杰辉.智能家居平台中认证授权系统的设计与实现[D]. 西安：西安电子科技大学,2014.
[5] 李俊.身份认证技术标准及FIDO介绍[EB/OL]. http://www.docin.com/p-1473275310.html,2015-11-15/2016-6-15.
[6] LINDERMANN D R. DAVIT B, BRAD H. FIDO Technical Glossary[EB/OL].https://fidoalliance.org/specs/fido-uaf-v1.0-ps-20141208/fido-glossary-v1.0-ps-20141208.pdf,2014-12-10/2016-6-15.
[7] LINDERMANN D R. DAVIT B, BRAD H. FIDO Technical Glossary[EB/OL].https://fidoalliance.org/specs/fido-u2f-v1.1-id-20160915/fido-u2f-overview-v1.1-v1.1-id-20160915.html, 2014-12-10/2016-6-15.
[8] ARMANDO A, CARBONE R, COMPAGNA L,et al. An Authentication Flaw in Browser-based Single Sign-on Protocols: Impact and Remediations[J].Computers & Security,2013,33 (4)：41-58.
[9] ARMANDO A, CARBONE R, COMPAGNA L,et al. Formal Analysis of SAML 2.0 Web Browser Single Sign-on: Breaking the Saml-based Single Sign-on for Google Apps[C]//ACM. FMSE '08 Proceedings of the 6th ACM workshop on Formal methods in security engineering ,October 27 , 2008,Alexandria, Virginia, USA. New York: ACM,2008：1-10.
[10] RYCK P D,DESMET L,HEYMAN T,et al.Csfire: Transparent Client-Side Mitigation of Malicious Cross-Domain Requests[C]// ESSoS 2010.Engineering Secure Software and Systems, Second International Symposium, February 3-4, 2010 , Pisa, Italy. Heidelberg：Springer, 2010：18-34.
[11] PAI S,SHARMA Y,KUMAR S,et al.Formal Verification of Oauth 2.0 Using Alloy Framework[C]// IEEE .CSNT '11 Proceedings of the 2011 International Conference on Communication Systems and Network Technologies,June 03 - 05, 2011,Shri Mata Vaishno Devi University, Katra, Jammu,India. New York: IEEE, 2011：655-659.
[12] ALESSANDRI A D ,BESCHI S ,CASCIARO R,et al. The Devil is in the (Implementation) Details:an Empirical Analysis of Oauth SSO Systems[C]//ACM .CCS '12 Proceedings of the 2012 ACM conference on Computer and communications security. New York：ACM, 2012：378-390.
[13] 江伟玉,高能,刘泽艺,等.一种云计算中的多重身份认证与授权方案[J]. 信息网络安全. 2012(8) : 7-10).
[14] 胡可欣.FIDO UAF认证协议的安全性研究[D]. 合肥：中国科学技术大学,2016.
[15] 邱登峰.基于Hadoop可公共审计云存储的设计与实现[D].大连：大连理工大学,2015.
[16] 曹晔.基于校园网的单点登录系统的研究与设计[D].北京：首都经济贸易大学,2009.
[17] 王耀龙.基于FIDO架构在线指纹识别系统客户端的设计与实现[D]. 北京：北京交通大学, 2015.
[18] 林晓锋, 房牧, 李强,等.一种基于指纹识别的Windows系统登录方法设计与实现[J].信息网络安全, 2016(9): 130-133.

一种基于FIDO UAF架构的开放授权方案

The Scheme of Open Authorization Based on FIDO UAF

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

[1]	张艺, 刘红燕, 咸鹤群, 田呈亮. 基于授权记录的云存储加密数据去重方法[J]. 信息网络安全, 2020, 20(3): 75-82.
[2]	许盛伟, 王飞杰. 多机构授权下可追踪可隐藏的属性基加密方案[J]. 信息网络安全, 2020, 20(1): 33-39.
[3]	张富友, 王琼霄, 宋利. 基于生物特征识别的统一身份认证系统研究[J]. 信息网络安全, 2019, 19(9): 86-90.
[4]	李一凡, 李昌婷, 李一鸣, 刘宗斌. 基于NFC智能卡的防伪方案及实现[J]. 信息网络安全, 2018, 18(9): 74-79.
[5]	张琦, 林喜军, 曲海鹏. 云计算中支持授权相等测试的基于身份加密方案[J]. 信息网络安全, 2018, 18(6): 52-60.
[6]	魏占祯, 王守融, 李兆斌, 李伟隆. 基于OpenFlow的SDN终端接入控制研究[J]. 信息网络安全, 2018, 18(4): 23-31.
[7]	韩清德, 谢慧, 袁志民, 聂峰. 一种支持访问结构隐藏的MA-CP-ABE方案[J]. 信息网络安全, 2017, 17(1): 48-56.
[8]	魏成坤, 刘向东, 石兆军. 基于OAuth2.0的认证授权技术研究[J]. 信息网络安全, 2016, 16(9): 6-11.
[9]	范运东, 吴晓平, 石雄. 基于信任值评估的云计算访问控制模型研究[J]. 信息网络安全, 2016, 16(7): 71-77.
[10]	荣星, 江荣. 一种基于混合属性的多授权中心云访问方案[J]. 信息网络安全, 2016, 16(11): 6-6.
[11]	赵洋, 陈阳, 熊虎, 任化强. 云环境下一种可撤销授权的数据拥有性证明方案[J]. 信息网络安全, 2015, 15(8): 1-7.
[12]	连科, 赵泽茂, 王丽君, 贺玉菊. 一种支持属性重用的DCP-ABE方案研究[J]. 信息网络安全, 2015, 15(6): 41-46.
[13]	赵洋, 岳峰, 熊虎, 秦志光. 一种强指定验证者环签名和签密体制[J]. 信息网络安全, 2015, 15(10): 8-13.
[14]	. 信息系统集中授权管理平台研究[J]. , 2014, 14(4): 88-.
[15]	张天琪. OAuth协议安全性研究[J]. , 2013, 13(3): 0-0.