(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211082462.3 (22)申请日 2022.09.06 (71)申请人 亚数信息科技 （上海） 有限公司 地址 200233 上海市徐汇区桂平路391号3 号楼32层3201A室 (72)发明人 陈启敬　王果　贺山峰　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于Internet网络实现的FIDO2认 证系 统及方法 (57)摘要 本发明涉及一种基于Internet网络实现的 FIDO2认证系 统及方法。 系 统包括用于FIDO认证 的移动端APP(即FIDO认证器)、 用于FIDO认证请 求转发的PC端驱动程序(驱动)、 以及用于移动端 APP与PC端驱动程序通信的消息服务。 方法包括 步骤： 驱动程序初始化， 通过调用keychain或可 信平台模块 （Trusted  Platform  Module， TPM） 分 别生成公钥1和私钥1， 并向后端消息服务申请一 个消息ID1 并基于WebSocket进行通信连接等。 本 发明基于Internet实现的FIDO2认 证方式适用于 各种设备、 无需额外硬件支持、 支持远程 登录。 此 外， 两端通信加密实现了高级别安全性， 且建立 认证耗费时间短， 操作起来更加方便快捷， 提高 了认证效率。 权利要求书2页 说明书4页 附图1页 CN 115459994 A 2022.12.09 CN 115459994 A 1.一种基于Internet网络实现的FIDO2认证系统， 其所述系统包括： 用于FIDO认证的移 动端APP(即FIDO认证器)、 用于FIDO认证请求转发的PC端驱动程序、 以及用于移动端APP与 PC端驱动程序通信的消息服 务， 所述移动端AP P、 消息服 务、 PC端驱动程序依次连接； 所述移动端APP包括功能模块、 用户模块、 通知模块， 三个模块互相连接， 通知模块与后 端消息服 务连接； 所述功能模块包括FIDO2协议实现、 加密算法实现、 凭证管理存储功能实现、 与安全模 块 （Secure  Element， SE） 元件进行通信、 对用户模块的控制实现、 对通知模块输入识别实 现； 所述驱动程序， 是通过实现操作系统的USB ‑HID驱动， 模拟为FIDO认证器， 然后将用户 在PC端的FIDO认证请求 通过后端消息服 务转发到移动端AP P的通知模块； 所述后端消息服务， 主要负责转发FIDO认证器与驱动程序之间的数据， 将其推送到 FIDO认证 器， 即移动端AP P的系统通知上。 2.根据权利要求1所述的一种基于Internet网络实现的FIDO2认证系统， 其特征在于， 所述的消息服 务与PC端驱动程序是通过I nternet的方式进行通信。 3.根据权利要求1所述的一种基于Internet网络实现的FIDO2认证系统， 其特征在于， 所述的消息服 务与移动端AP P是通过I nternet的方式进行通信。 4.一种基于Internet网络实现的FIDO2认证方法， 其应用于一种基于Internet网络实 现的FIDO2 认证系统， 所述方法包括以下步骤： S1， 驱动程序初始化， 通过调用keychain或可信平台模块 （Trusted  Platform  Module， TPM） 分别生 成公钥1和私钥1， 并向后端消息服务申请一个消息ID1并基于WebSocket进行通 信连接； S2， 移动APP初始化， 通过KeyChain或者  KeyStore分别生成公钥 2和私钥2， 并向操作系 统申请并获取一个消息ID2； S3， 驱动程序将公钥1信息以及消息ID1通过二维码的形式进行展示； S4， 移动端AP P扫描二维码， 获取到公钥1与消息ID1； S5， 移动端APP使用公钥1将公钥2、 消息ID2及系统平台信息加密， 并提交给后端消息服 务， 表示其将要和消息ID1 （也就是驱动程序） 进行绑定， 后端消息服务查询WebSocket连接， 发送移动数据到驱动程序； S6， 驱动程序获取到移动数据并用私钥1进行解密， 获取到移动端APP信息， 即消息ID2 及公钥2； S7， 驱动程序用公钥2加密消息进行消息响应， 消息响应这里是一个通信机制， 处理完 消息后通过WebSocket返回， 这 也代表完成绑定； S8， 移动端AP P获取到响应， 用私钥2进行解密， 绑定 完成； S9， 驱动程序获取到FIDO认证请求， 将请求数据包装为消息数据并通过公钥2进行加 密， 发送到消息ID2； S10， 后端消息服务调用移动端对应系统平台的API和消息ID2进行系 统通知将消息数 据加密发送到移动端AP P； S11， 移动端APP收到系统通知， 通过私钥2进行解密,  若解密成功， 则代表是已配对的 设备， 若解密失败， 则舍弃请求；权　利　要　求　书 1/2 页 2 CN 115459994 A 2S12， 移动端AP P的功能模块 开始解析 数据， 并通过 FIDO协议标准进行验证； S13， 移动端AP P验证成功后， 基于用户模块 提示用户进行认证； S14， 用户通过生物识别等方式进行认证， 表示同意此 次FIDO认证， 并将结果通过公钥1 进行加密， 调用API返回数据； S15， 后端消息服 务查询消息ID1对应Websocket连接， 并将数据发送到驱动程序； S16， 驱动程序使用私钥1解密数据， 将认证结果返回给依赖方 （Relyi ng Party， RP） 。 5.根据权利要求4所述的一种基于Internet网络实现的FIDO2认证方法， 其特征在于， 所述方法中的消息ID1可通过公钥SHA1哈希算法求得或者 直接采用随机数作为消息ID1。 6.根据权利要求4所述的一种基于Internet网络实现的FIDO2认证方法， 其特征在于， 所述方法中的消息ID2是通过系统通知API获取。权　利　要　求　书 2/2 页 3 CN 115459994 A 3