本發明公開了一種身份認證服務器和身份認證令牌，其特征是，身份認證服務器，包括相互連接的標準FIDO服務器和用于存儲密鑰的存儲空間，即數據庫；身份認證令牌，基于物理不可克隆與FIDO U2F協議，包括U2F模塊、與U2F模塊分別相連的PUF模塊、TRNG模塊、USB模塊、交互模塊，以及與交互模塊連接的觸摸模塊；身份令牌與客戶端瀏覽器進行交互，客戶端瀏覽器又與身份認證服務器中的FIDO服務器進行交互。本發明采用物理不可克隆函數與FIDO相結合，以物理不可克隆函數保證令牌的唯一性，不可復制性，以FIDO保證用戶身份的準確性以及所進行操作的不可篡改性、不可抵賴性。

技術領域

本發明屬于身份認證安全技術領域，具體涉及一種基于身份認證服務器和身份認證令牌的系統。

背景技術

隨著全球能源互聯網的不斷發展，企業內部和企業之間的各類業務越來越多的依靠信息系統和網絡平臺展開。這種新形勢對于人資管理、財務管理、生產管理、企業管理等電力企業的資源管理模式提出了越來越高的要求。電力企業信息系統中的核心業務，如人資業務中的人才引進涉及的人力資源的聘用、關鍵人才的企業間聯動，財務管理中關鍵業務在企業內、企業間的財務往來業務,生產管理中的相關服務類和物資類的重點往來業務，企業內部、企業間的重點任務、重點專項資金的分配與下達，都是企業的重點關注點，客觀上需要通過一定的手段確保相關內容的不可篡改性和不可抵賴性。

保證企業員工有效控制處理企業的核心業務，并且處理過程不被篡改、不可抵賴，企業內、企業間優質資源在合法范圍內通過便捷的信息化手段被監控，且在監控同時不受監控技術權限的影響，作為管理企業資源重點環節的技術手段成為能源互聯網下的關鍵訴求。

FIDO(線上快速身份認證)是FIDO聯盟提出的一套開放、可擴展、可協同的標準協議，旨在提供一個高安全性、跨平臺兼容性、極佳用戶體驗與用戶隱私保護的在線身份認證技術架構，來改變現有在線認證方式，減少認證用戶時對密碼的依賴。FIDO有兩套規范:U2F(第二因子協議)和UAF。U2F是在現有的用戶名+密碼認證的基礎之上，增加一個更安全的認證因子用于登錄認證。用戶可以像以前一樣通過用戶名和密碼登錄服務，服務會提示用戶出示一個第二因子設備來進行認證。U2F可以使用簡單的密碼(比如4個數字的PIN)而不犧牲安全性。

現有的FIDO U2F身份令牌有可能被破解，存在被惡意攻擊者復制、克隆的可能，導致身份認證系統安全性的巨大風險。為了確保身份令牌的不可復制性，需引入新的技術。PUF(物理不可克隆技術)是一種依賴芯片特征的硬件函數實現電路，具有唯一性和隨機性，通過提取芯片制造過程中必然引入的工藝參數偏差，實現激勵信號與產生的不可預測的響應信號唯一對應的函數功能。在FIDO U2F身份令牌中集成PUF并應用其功能是一個值得探索的方向。

另一方面，隨機數的使用在身份認證系統中具有重要作用。不完善的隨機數會導致攻擊者能夠對身份認證協議執行重放、交錯等攻擊，致使系統安全性出現巨大風險。為解決這一問題，應該在身份認證令牌中使用真隨機數發生器。

發明內容

為解決現有技術的不足，本發明的目的在于提供一種基于身份認證服務器和身份認證令牌的系統，解決了身份認證過程中的令牌被復制、身份被冒用的問題，以確保持有者相關操作的不可篡改性以及不可抵賴性。

為了實現上述目標，本發明采用如下的技術方案：一種基于身份認證服務器和身份認證令牌的系統，其特征是，身份認證服務器，包括相互連接的標準FIDO服務器和用于存儲密鑰的存儲空間，即數據庫；

身份認證令牌，基于物理不可克隆與FIDO U2F協議，包括U2F模塊、與U2F模塊分別相連的PUF模塊、TRNG模塊、USB模塊、交互模塊，以及與交互模塊連接的觸摸模塊；

U2F模塊用于實現加密算法、人機交互、和外界通信；

PUF模塊為物理不可克隆函數模塊，用來產生根密鑰，與U2F模塊以挑戰應答方式通信；