1.一種基于身份認(rèn)證服務(wù)器和身份認(rèn)證令牌的系統(tǒng)，其特征是，身份認(rèn)證服務(wù)器，包括相互連接的標(biāo)準(zhǔn)FIDO服務(wù)器和用于存儲(chǔ)密鑰的存儲(chǔ)空間，即數(shù)據(jù)庫(kù)；

身份認(rèn)證令牌，基于物理不可克隆與FIDO U2F協(xié)議，包括U2F模塊、與U2F模塊分別相連的PUF模塊、TRNG模塊、USB模塊、交互模塊，以及與交互模塊連接的觸摸模塊；

U2F模塊用于實(shí)現(xiàn)加密算法、人機(jī)交互、和外界通信；

PUF模塊為物理不可克隆函數(shù)模塊，用來(lái)產(chǎn)生根密鑰，與U2F模塊以挑戰(zhàn)應(yīng)答方式通信；

TRNG模塊為真隨機(jī)數(shù)發(fā)生器；

USB模塊用于與PC端以人機(jī)接口設(shè)備的形式進(jìn)行通信，用于將接收的PC端發(fā)送過(guò)來(lái)的數(shù)據(jù)傳給U2F模塊，以及將U2F模塊處理后的數(shù)據(jù)傳給PC端；

觸摸模塊為觸摸感應(yīng)模塊，包括一個(gè)觸摸感應(yīng)模組和一個(gè)LED燈，觸摸感應(yīng)模組和LED燈分別與交互模塊連接，注冊(cè)或認(rèn)證時(shí)，LED燈閃爍提示用戶觸摸，用戶手按觸摸模組，進(jìn)行確認(rèn)，防止非主動(dòng)操作以及用戶誤操作；

交互模塊為人機(jī)交互信息處理模塊，其與觸摸感應(yīng)模組相連，驅(qū)動(dòng)觸摸感應(yīng)模組以及接受用戶對(duì)觸摸模塊的操作信息傳輸給U2F模塊，與LED燈相連，用于驅(qū)動(dòng)LED燈；

身份認(rèn)證令牌與客戶端瀏覽器進(jìn)行交互，客戶端瀏覽器又與身份認(rèn)證服務(wù)器中的FIDO服務(wù)器進(jìn)行交互；

所述身份認(rèn)證令牌的驗(yàn)證過(guò)程通過(guò)數(shù)字簽名實(shí)現(xiàn)，其中涉及到如下密鑰：

①身份認(rèn)證令牌的令牌私鑰和令牌證書，用于驗(yàn)證身份認(rèn)證令牌是否合法；令牌私鑰和證書預(yù)裝入身份認(rèn)證令牌U2F模塊數(shù)據(jù)庫(kù)中，在注冊(cè)時(shí)由令牌將證書發(fā)送給FIDO服務(wù)器；

②身份認(rèn)證令牌的根密鑰，用于生成加密的密鑰句柄；每次使用根密鑰前，U2F模塊和PUF模塊要執(zhí)行挑戰(zhàn)-應(yīng)答協(xié)議，協(xié)議正確執(zhí)行后，U2F模塊才接收PUF模塊發(fā)來(lái)的根密鑰值；

③簽名所使用的公私密鑰對(duì)，這些密鑰在身份認(rèn)證令牌中生成，生成過(guò)程中使用物理不可克隆函數(shù)、真隨機(jī)數(shù)發(fā)生器模塊；

所述身份認(rèn)證令牌支持兩種操作：注冊(cè)、認(rèn)證；用戶第一次使用時(shí)調(diào)用注冊(cè)方法，之后使用調(diào)用認(rèn)證方法；其中注冊(cè)操作在身份認(rèn)證令牌中建立簽名公鑰和私鑰密鑰對(duì)，并在FIDO服務(wù)器注冊(cè)用戶的身份及公鑰和句柄，用于后續(xù)的認(rèn)證操作；認(rèn)證操作中令牌需要向FIDO服務(wù)器證明自己持有合法的私鑰；

所述注冊(cè)方法包括步驟：

(1)當(dāng)用戶在客戶端瀏覽器請(qǐng)求注冊(cè)時(shí)，在客戶端瀏覽器輸入注冊(cè)用戶名，發(fā)送給FIDO服務(wù)器，F(xiàn)IDO服務(wù)器生成一個(gè)隨機(jī)數(shù)A，并將該隨機(jī)數(shù)A連同用戶名發(fā)送給客戶端瀏覽器，使用隨機(jī)數(shù)可以有效地防止重放攻擊；

(2)客戶端瀏覽器檢驗(yàn)和FIDO服務(wù)器的TLS連接，確定是合法的FIDO服務(wù)器后，客戶端生成注冊(cè)挑戰(zhàn)參數(shù)列表{TLS連接數(shù)據(jù)TLSData、客戶端瀏覽器隨機(jī)生成的一個(gè)會(huì)話隨機(jī)參數(shù)SessionRandomValue、隨機(jī)數(shù)A、用戶名}，客戶端進(jìn)一步對(duì)FIDO服務(wù)器URL進(jìn)行哈希運(yùn)算，得到URL哈希值；

(3)客戶端瀏覽器將注冊(cè)挑戰(zhàn)參數(shù)列表和URL哈希值通過(guò)與計(jì)算機(jī)USB接口相連接的身份認(rèn)證令牌的USB接口，經(jīng)USB模塊發(fā)送給U2F模塊；

(4)身份認(rèn)證令牌的U2F模塊調(diào)用數(shù)字簽名密鑰生成算法，生成一對(duì)簽名公私密鑰對(duì)；簽名公鑰和簽名私鑰是以客戶端登錄會(huì)話信息和隨機(jī)數(shù)A作為參數(shù)，通過(guò)密鑰生成算法計(jì)算出來(lái)的，其中登錄會(huì)話信息包括FIDO服務(wù)器URL、用戶名、TLSData、SessionRandomValue；

(5)U2F模塊通過(guò)挑戰(zhàn)應(yīng)答協(xié)議調(diào)用PUF模塊生成自己的根密鑰，并以根密鑰為加密密鑰，簽名私鑰和FIDO服務(wù)器URL哈希值作為明文，調(diào)用對(duì)稱加密算法，加密后生成密鑰句柄；根密鑰長(zhǎng)度為128比特；

(6)身份認(rèn)證令牌的U2F模塊調(diào)用數(shù)字簽名算法，以自己的簽名私鑰為密鑰，對(duì)列表{密鑰句柄、簽名公鑰、注冊(cè)挑戰(zhàn)參數(shù)列表}進(jìn)行簽名，產(chǎn)生簽名值；

(7)U2F模塊經(jīng)USB模塊，通過(guò)USB接口將密鑰句柄、簽名公鑰、注冊(cè)挑戰(zhàn)參數(shù)列表、簽名值、令牌證書發(fā)送給客戶端瀏覽器，客戶端瀏覽器再將其發(fā)送給FIDO服務(wù)器；

(8)FIDO服務(wù)器從收到的消息中提取出令牌證書，首先驗(yàn)證令牌證書的合法性；如果合法，則提取令牌證書中令牌公鑰，并調(diào)用驗(yàn)簽算法，使用該令牌公鑰，驗(yàn)證簽名的合法性；如果合法則FIDO服務(wù)器存儲(chǔ)“用戶名、簽名公鑰、密鑰句柄”，并通知客戶端瀏覽器注冊(cè)成功；否則通知客戶端注冊(cè)失敗。