詳解IFAA標準中的註冊認證流程

大家早安，這個周末，紅黃藍繼續在讓人不安與憤怒，北京的大清理讓人深思！安智客繼續來聊技術、行業！我們今天來詳細了解下IFAA標準！

IFAA有四個流程，註冊、認證、註銷、查詢

今天我們來說說註冊和認證,註銷和查詢相對簡單。

參與方如上圖所示。

具體來說，註冊過程中，APP首先會調用指紋認證界面進行手指認證，由於是APP主動發起請求註冊，由於IFAA TA數據從APP來的，所以首先需要驗證證書，表明數據的確是從APP來的，而不是其他APP偽造的請求註冊數據。註冊過程中IFAA TA同時還要驗證數據是IFAA伺服器下發的，使用IFAA伺服器的公鑰來驗證IFAA伺服器的合法性。

IFAA伺服器收到APP的數據後，根據APP的欄位，下發註冊請求數據。該數據包含TOKEN(用來標識業務的唯一ID )、Challenge（用來避免重放攻擊）。

然後IFAA TA會獲取當前認證指紋的ID，生成一對業務公私鑰，連同伺服器端下發的TOKEN、Challenge等保存在以TOKEN為文件名在安全存儲中。IFAA TA同時會獲取認證器版本、DEVICEID組建返回數據，並用產線工具預製的私鑰進行簽名。向APP返回數據，確保IFAA伺服器端確認收到的數據是此設備發的。

IFAAServer會根據將客戶端上傳的消息和簽名連同deviceid一起發到IFAA認證中心進行驗證。IFAA認證中心根據deviceid來索引到具體的設備公鑰，並使用該公鑰驗證簽名是否匹配。

IFAA Server發往IFAA認證中心的消息必須經過自己的私鑰簽名，並附加上具體的證書鏈，消息到達IFAA認證中心後，IFAA認證中心先使用附加的證書驗證簽名，再使用IFAA根證書驗證該附加證書的合法性。IFAA認證中心回復給具體IFAA Server的消息將經過IFAA認證中心自己持有的私鑰的簽名。並將證書附加簽名上。以防止認證結果的偽造和篡改。

IFAA認證流程

認證流程中，APP也會調用指紋認證界面進行手指認證，IFAA TA同樣也需要驗證證書鏈的合法性，然後獲取認證ID，讀取註冊時存在安全存儲中的數據，將讀取的last_id與獲取的ID比較指紋是否匹配，如果匹配，則獲取認證器版本號、deviceID等組建返回給IFAA服務的數據。並用註冊時生成的業務私鑰對數據進行簽名。

註冊流程與認證流程相比較：

1，註冊流程是生成業務秘鑰並保存文件，認證流程是通過token來讀取業務秘鑰對、lastID，並與認證過程中獲取的lastID進行對比,判斷出是否認證通過。

2，註冊流程首先是驗證伺服器端發過來數據的有效性，通過IFAA_CheckCert來，註冊流程最後是將生成的業務秘鑰對數據返回給伺服器，同時使用手機在產線生成的私鑰對數據進行簽名。

認證過程不處理產線秘鑰。

如何理解IFAA TA端數據到IFAA伺服器端數據的保密性需求？

因為支付過程中IFAA TA端數據到IFAA伺服器端不會涉及到敏感數據，IFAA伺服器和IFAA TA之間並沒有對數據保密性要求，只需要防抵賴、防篡改即可。

IFAA Server根據註冊時保存的用戶公鑰來驗證用戶校驗結果的簽名，如果驗證通過則繼續驗證用戶的生物特徵是否匹配。兩步均驗證通過後，則返回給應用伺服器結果。否則返回失敗，應用伺服器應該信任IFAA Server的驗證結果， 而不是客戶端的驗證結果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 安智客 的精彩文章: