信息网络安全 ›› 2017, Vol. 17 ›› Issue (6): 35-42.doi: 10.3969/j.issn.1671-1122.2017.06.006

• 技术研究 • 上一篇    下一篇

一种基于FIDO UAF架构的开放授权方案

李梁磊1, 2, 邵立嵩3, 王传勇4, 刘勇5   

  1. 1.中国科学院信息工程研究所,北京 100093;
    2.中国科学院数据与通信保护研究教育中心,北京 100093;
    3.南瑞集团公司,江苏南京 211000;
    4.国网山东省电力公司枣庄供电公司,山东枣庄 277100;
    5.国网山东省电力公司,山东济南 250001
  • 收稿日期:2017-01-15 出版日期:2017-06-20
  • 通讯作者: 李梁磊 lilianglei@is.ac.cn
  • 作者简介:李梁磊(1991-),男,黑龙江,硕士研究生,主要研究方向为信息安全;邵立嵩(1974-),男,北京,高级工程师,硕士,主要研究方向为网络与信息安全;王传勇(1977-),男,山东,高级工程师,主要研究方向为电力系统及其自动化;刘勇(1982-),男,山东,工程师,硕士,主要研究方向为电力系统。
  • 基金资助:
    国家自然科学基金[614002470]

The Scheme of Open Authorization Based on FIDO UAF

LI Lianglei1, 2, SHAO Lisong3, WANG Chuanyong4, LIU Yong5   

  1. 1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
    2.Data Assurance and Communication Security Research Center of Chinese Academy of Sciences, Beijing 100093, China;
    3. Nari Group Corporation, Nanjing Jiangsu 211000, China;
    4.STATE GRID Zaozhuang Power Supply Company, Zaozhuang Shandong 277100, China;
    5. STATE GRID Shandong Power Supply Company, Jinan Shandong 250001, China
  • Received:2017-01-15 Online:2017-06-20

摘要: OAuth2.0协议是当前最流行的API访问控制模型之一,然而该协议在实施过程中采用传统的认证方式具有一定的局限性:一方面授权服务器不仅要管理授权信息,还需要管理用户认证信息;另一方面传统基于用户名口令的认证方式容易遭受攻击破解。文章将基于FIDO UAF架构的身份认证方案与OAuth2.0协议相结合,在用户登录时采用生物特征识别技术进行认证,满足安全性、用户体验等需求。文章首先研究了OAuth2.0协议的原理与FIDO UAF认证架构,设计了基于FIDO UAF架构的认证方案与基于OAuth2.0协议的授权方案,并将两种方案结合。对方案的实现架构、具体的认证流程、授权流程进行了详细的介绍。最后通过系统测试结合工程应用实例验证方案的可行性与有效性。

关键词: OAuth2.0, FIDO, 授权, 生物识别

Abstract: OAuth2.0 as open authorization standard,is one of the most popular API access control. While using the traditional authentication has some limitations: authorization server is responsible for issuing the access token as well as managing user’s information; traditional authentication such as username/password is vulnerable to many attacks. This scheme will be based on FIDO UAF architectural identity authentication combined with OAuth2.0 agreement, when a user logs in using biometric identification technology to identity himself, meeting the demand of security, user experience, etc. This paper studies OAuth2.0 and FIDO UAF, then designs authentication scheme and authorization scheme and mix them. We describe the framework and detail process of authentication and authorization.Finally, we give an example of system design to fulfill the new scheme.

Key words: OAuth2.0, FIDO, authorization, biometrics identification

中图分类号: