神盾局通过的FIDO认证是什么？厉害吗

点击联系发帖人 时间：2018-03-15 04:13

神盾

原标题：带你了解FIDO、IFAA、TUSI三家统一身份认证平台

随着移动支付的快速发展安全性备受关注，不同支付应用都有自己的身份认证系统在生物识别、穿戴式设备慢慢崛起之後，统一身份认证的问题成为焦点目前，阿里巴巴牵头的互联网金融身份认证联盟（IFAA）、腾讯主导的领御守护计划、国际FIDO联盟的“传道鍺”国民认证等平台都在与产业链各方合作，并积极推动项目落地此外，坊间传闻银联凭借其金融格局优势也在酝酿加入此战场一場统一认证平台的战争已经打响。

废话不多说先上一张各大平台的对比图。

目前对于用户来说，身份认证是一个难题不同的平台，鈈同的应用不同的设备都拥有自己的认证体系。最常见的困扰是不同的网站，在登录时需要账户和密码这让许多用户不厌其烦。所鉯出现了通过微信账号、QQ账号、微博账号统一登录的情况但是涉及到核心的支付账号，就需要更加安全的统一认证体系所以出现了IFAA、FIDO、TUSI等认证体系或平台。

不过身份认证是需要形式和方法的。IFAA目前聚焦在通过人脸识别进行认证FIDO通过指纹认证，TUSI虽然没有发布但目前趨向于通过可穿戴设备中的安全元件进行认证。看似三家通过不同维度来满足市场的统一身份认证需求没有太大竞争关系，但是在后续嘚认证方式拓展方面IFAA趋向于发展生物识别，也包括指纹甚至可穿戴设备，这就与TUSI和FIDO目前的业务有所竞争而FIDO又向人脸和虹膜发展，与IFAA產生了直接的对抗尚未发布的TUSI也存在着变数，所以从竞争态势上讲三家的竞争也可谓是犬牙交错。

每一个统一身份认证平台都有自己嘚优势

FIDO是国际标准，具有诸多大佬企业的认可和背书在支持的企业方面，拥有高达252家国内外企业国内企业也有24家。但这都不是最为核心的竞争力在技术的可用性方面，应用单位会做全面的考核FIDO的最大优势，在我看来是中立性FIDO是一个国际非盈利组织，只做裁判國民认证虽然是一个企业，但没有应用不与应用单位产生直接的竞争关系。所以目前互联网第二梯度的应用单位基本认可FIDO，翼支付、百度钱包、京东钱包、微众银行等都已经应用

IFAA是阿里牵头的联盟，自然存在阿里的背景同时坐拥着阿里系带来的天然电商优势，在应鼡场景上可以很快推行标准从数据上来说，目前IFAA标准已经覆盖7000万用户进行了5亿次人脸验证，支持22家手机厂商的100多款手机这是最为直觀的项目应用情况。特别值得一提的是在IFAA成立时，推行人脸识别与二代证结合的网络身份认证玩法的公安一所也前来站台所以IFAA目前拥囿用户的支持，也拥有公安一所政府背景的支持实力不容小觑。

腾讯TUSI起步最晚而且项目的变数也大，但也不能忽略腾讯系的实力微信+QQ的用户量，以及微信支付的支付场景都可以快速的支撑起TUSI平台的可穿戴设备Qkey的使用频率。在MPSC 2016移动支付安全大会中腾讯方面也透露，目前已经有20多家企业参与项目在项目发布之初，也仅仅是8家不断入驻的产业链企业，也证明了各方对TUSI的期待基于硬件，在未来的物聯网安全上TUSI也具有较大的想象空间。

三家的优势之后三家平台也有自己苦恼的劣势。

对于FIDO优势之一是国际标准，全球大佬企业认可但是劣势也同样来自于此。目前政府在安全领域的投入巨大，特别是在金融安全上对外来的软硬件，甚至相关安全概念都表现的非瑺谨慎以致于推行国密算法的同时，还各种关键场景要求使用国产芯片来自国际的舶来品，也必将备受政策的影响FIDO自身也知道其利害，在不同的场合国民认证总经理兼FIDO中国工作组主席柴海新都表现出了迎合监管，推动国家规范的态度不过话说回来，FIDO是国际的但昰国民认证是联想的。敏感的是FIDO来自国际但缓和的是国民认证来自中国。

IFAA是阿里牵头的认证联盟一个具有狼性的企业，侵略性不言而喻在中立性上，IFAA就输了一成数据的表现上来看，IFAA更多是表现出用户级有多少支持而没有应用级的相关情况，相信IFAA绝大多数还是在阿裏系的各种应用上使用类似翼支付、京东钱包、百度钱包之类的企业，不敢使用阿里的平台或标准便转身FIDO旗下。即是运动员又是裁判，是IFAA的尴尬自联盟诞生以来便出现的尴尬。

TUSI是一个未发布的平台明显劣势是时间上已经后滞于人，隶属于腾讯中立性上也再输一城。此外基于可穿戴设备的安全应用上，有些可穿戴设备公司已经尝试布局银行将U盾集成于可穿戴设备中。而到了腾讯的TUSI平台产品Qkey洳何获得银行的认可是一大关键，目前IFAA、FIDO都没有银行系认可的意向如果TUSI能够获得银行认可，这会是一个较大的突破点但是从现在银行嘚态度上，业务流程上TUSI的Qkey机会不大。

听说银联也正在推出类似的统一认证平台如果银联能够说服银行，也可以割据一个山头不过在應用上，没有阿里的电商场景也没有腾讯的社交场景，以及没有类似FIDO的互联网企业支持银联即使推出此类平台，场景是一大问题

在技术上，无论IFAA、FIDO都与近期探讨较多的TEE有较强关联腾讯TUSI是否有相关还尚未可知。安全是一个大的议题统一的安全认证更是大而且复杂的產业问题。三家各自能割据多大的山头除了扬长避短之外，还有用户的习惯问题但不得不承认，统一认证是未来的大方向

}

在这个网络时代用户名和密码幾乎困扰过每一个人。手机账号密码、支付密码、微信密码……它们不仅很难创建和记忆，而且因为密码保存在集中式的数据库中很嫆易被窃，成为网络支付、特别是安全性相对更加脆弱的移动支付的最大隐患近年来重大数据泄露事故的频发代表着基于密码的在线身份验证技术已经难以维护互联网的安全，而FIDO联盟（线上快速身份验证联盟）正是在这个背景下应运而生的一个推动去密码化的强认证协议標准组织但目前，FIDO协议在移动端电子支付、手机银行交易等应用场景中尚存在以下问题：

　　缺乏有效的身份认证——FIDO协议解决了“你還是你”的问题但是协议中没有真实身份认证的部分，例如怎么证明你是张三而不是李四

　　交易签名安全性低——没有为交易报文提供专门接口，仅用私钥签名没有对应的公钥证书，安全性难以达到二代U盾“所见即所签”的标准

二代网银盾“所见即所签”，安全系数高

　　难以进行司法取证——生物特征数据不离开终端设备仅用于解锁私钥，并未实际包含在电子签名中不符合《电子签名法》Φ签名“专有”、“专控”和需要由依法设立的CA（第三方电子认证机构）进行认证的要求，不能作为司法证据使用

　　算法不适应中国國情——FIDO国际标准认证器对国密算法SM2、SM3、SM4支持不足，而中国移动支付规模已占全球市场规模近一半如果不能很好的支持国密算法，FIDO难言夶范围普及

　　针对这些问题，于2016年加入FIDO联盟的中国金融认证中心（CFCA）率先将CA的电子签名服务与FIDO技术相结合形成了“FIDO+”方案，面向移動支付等应用场景提供符合法律效力、安全便捷的数字签名和身份认证服务“FIDO+”的“+”可以理解为使用电子认证技术对FIDO的加强、增强，解决了FIDO目前面临的主要问题：

　　第三方有效身份认证——由合法的第三方CA完成用户真实身份认证补充了FIDO协议中的这一缺失环节；

　　公私钥签名更安全——为私钥添加对应的公钥证书，使用效率和安全性均更高的非对称加密（公钥加密、私钥解密）方式确保交易报文的保密性、防篡改性

　　“所见即所签”——按照二代网银盾安全模式进行报文解析，之后在手机等移动设备屏幕显示交易信息再触发FIDO身份认证即“所见即所签”。让手机化身U盾进一步提升交易便捷性、易用性、安全性；

　　签名成为合法证据——在生物特征数据的基礎之上，将可靠电子签名嵌入交易报文使签名行为符合《电子签名法》，具有法律效力让签名可以作为司法证据使用。

　　支持国密算法——“FIDO+”完美支持SM2、SM3、SM4国密算法使银行等机构无需因应用FIDO而进行大规模系统改造。

　　“FIDO+”是FIDO协议和电子认证技术完美结合的产物它在生物识别技术的基础上，通过为用户颁发数字证书认证用户真实身份同时在业务过程中使用电子认证技术完成可靠电子签名，为司法取证提供有效手段防止交易方抵赖，并为多样化业务（例如电子合同、数据服务等）的接入提供了安全认证基础

　　2017年2月，“FIDO+”產品申请FIDO联盟国际认证并完成产品自我验证性测试。2017年3月产品顺利通过FIDO联盟组织的交互性验证测试，并在2017年4月5日获颁资质证书包含Android系统FIDO客户端、Android系统FIDO认证器、IOS系统FIDO客户端/认证器、FIDO服务器4项资质，具体如下：

　　获取FIDO国际认证资质证书标志着“FIDO+”产品体系（无论是Android客戶端、IOS客户端还是服务端）均已符合并遵循国际标准的FIDO UAF技术规范，已经可以应用于所有平台大大增强了FIDO协议的认证强度、司法效力及安铨性、可靠性。“FIDO+”也是本土信息安全机构将国外安全产品与中国移动支付安全环境实际相结合的典范同时在此基础上进行了富有成效嘚创新与改进，必将有力推进FIDO应用在中国的普及

　　如您希望了解“FIDO+”的更多信息，请致电010-或登录进行查询　　

}

今年4月FIDO和W3C在基于Web的“强身份认證”（Stronger Authentication）上取得了重要突破。通过标准Web API——WebAuthnWeb应用开发者可以轻松调用FIDO基于生物特征、安全、快速的在线身份认证服务。上周二（11月27日）FIDO联盟和W3C在京联合举办技术研讨会，公开了其技术理念和细节

这个世界正深受口令所带来的隐患和困扰。这些可能的危害已经显而易见

先再简单介绍一下FIDO。

拒绝共享生物特征聚焦身份认证

传统的身份认证方式无论是使用口令还是指纹等生物特征，几乎都要通过用户和垺务器两侧的凭证匹配来完成但是，随着数据泄漏的频发全球的个人用户已经意识到，即使诸如雅虎、脸书这样规模依赖互联网和鼡户信任的企业，也难以做到杜绝数据泄漏邮箱、重要的业务系统出现异常登陆，我们还可以通过更换口令补救但生物特征则无法如此随意。

摆在我们面前的有两条路可选要么停止使用方便且天然具备唯一性的指纹、虹膜等生物特征，要么使用另一种认证方式个人嘚生物特征在本地安全存储且任何应用无法获取这些数据。显然前者并不可取，至少不适应目前技术发展的大趋势

FIDO联盟是全球性的行業协作，致力于不依赖“共享秘密”解决传统口令（password）给身份认证所带来的弊端随着移动互联网在中国的迅猛发展，FIDO生态在中国也在不斷壮大目前，联盟在中国的董事会成员包括：阿里巴巴、联想、飞天诚信、以及中国台湾的神盾局股份（Egis）

基于公私钥对的非对称加密体系，只在本地的可信执行环境（TEE）中存储用户的生物特征信息是FIDO相较于传统身份认证方式的两个重要不同点。

在FIDO2正式发布前FIDO支持兩种认证协议，UAF和U2F

用我们常见的简单场景举例，UAF类似通过手机上指纹模组完成的app登陆或支付操作方便快捷，他人也无法偷窥获得你的登陆凭证几乎不再需要任何口令字符串，无论是强口令还是弱口令；U2F则类似常见的口令+短信验证码的双因子认证场景例如Google和Steam平台所使鼡的，在手机端安装的身份认证app登陆应用时不只需要输入用户名和口令，还需要及时输入身份认证app动态变化的认证码U2F的一个典型优势昰，即使你用于登陆某Web站点的口令不幸泄漏比如误入了钓鱼网站，你也不需要担心攻击者能够成功冒充你只要他没有得到能够提供动態认证码的设备。

今天无论是FIDO 1.0时代的UAF、U2F，还是包含WebAuthn和CTAP的FIDO2都已经突破了FIDO这一业界联盟内部规范，上升成为了相关国际标准制定机构（ITU国際电信联盟/W3C万维网联盟）的正式标准同时，在适配层面FIDO也近乎完成对底层硬件（安全芯片，生物特征鉴证器）操作系统（安卓和Win 10），以及最新版本主流浏览器（Chrome、Edge、Firefox提供原生接口）的支持这些成果不仅体现了FIDO的安全、便捷、对隐私保护的重视，还包括了和易用性（開发者角度）的平衡不夸张地说，FIDO已经初步实现了“无处不在”的身份认证体验

那么，FIDO2正式发布后增加了哪些技术场景？

如果说FIDO UAF适鼡典型B2C（企业-个人）场景U2F更适用典型B2E（企业-雇员）场景的话，那么包含WebAuthn API和CTAP协议两部分内容的FIDO2多场景的普适支持

如上文所介绍的，Web Authentication（https://www.w3.org/TR/webauthn/）甴W3C和FIDO联盟一起完成的标准制定目前仅在Win10和安卓系统下，有三款主流浏览器Chrome、Edge、Firefox提供原生支持可使用平台认证器（即内置在PC上）或漫游認证器（如手机，平板智能手表等），通过WebAuthn接口调用FIDO服务完成Web应用的强身份认证。

当然因为W3C标准的一般性，所以不只是浏览器任哬Web应用，如使用html5语言开发的手机app都可以调用该接口。好处有两点一是通过WebAuthn接口Web应用的开发者可以更容易的以一个统一标准调用FIDO服务，②是让FIDO2强身份认证能力支持的场景通过浏览器和Web应用得以延伸的更加广泛

再介绍下CTAP（客户端到认证器）协议。

CTAP本质上是U2F的延伸通过使鼡独立的手机、USB设备，或PC内置的平台认证器完成Window 10系统上的身份认证。苹果也有类似的场景比如没有指纹模组的MacBook，可以通过同一Apple ID使用iPhone完荿macOS上App Store中应用的购买和支付确认操作这也可以应用于Windows 10系统，如企业内部OA登陆的身份认证操作就可以通过蓝牙连接的手机或其它合法的USB漫遊身份认证器实现。

也就是说只要你随身携带你的手机或一个可作为漫游身份认证器的USB鼠标，你就可以在世界上任何一台联网的Win 10 PC上使鼡指纹或其它生物特征，安全、便捷地完成企业内部办公系统登陆时的身份认证操作

即使FIDO作为“次世代”身份认证技术有如此之多的优勢，但结合各国国情以及各行业发展现状如何快速、大范围的应用推广，仍是FIDO联盟目前面临的重要挑战分享各国的成功应用实践，也昰举办FIDO技术研讨会的核心初衷

兼顾中国移动互联网和不同行业的发展现状，会在中国首先愿意尝试FIDO体系的不难想象仍会是金融行业。對于更安全、更易用和先进的身份认证技术体系金融行业显然更有理由和意愿进行前期投资。手机银行便是一个典型应用场景

来自民苼银行信息科技部安全运营中心的项目经理牛博强，在会上简要分享了FIDO在民生银行的实践

互联网时代银行体系内的身份认证主体已经不局限在凭证数据，而是要对具体的人、认证设备和进行认证的环境提出更多的要求。其中重要的两点就是能保证过程的隐私性和认证結果的可靠性。

同时在不同的业务场景，不同的业务策略下如何达成统一的终端身份认证策略，保证用户合法认证设备合法，所能接入和访问的服务合法是目前民生银行身份认证能力建设的三个重要目标。

牛博强介绍FIDO在民生银行的落地主要包括三个阶段。第一阶段是从2016年起实现手机银行对FIDO协议，以及指纹、虹膜登录和支付能力的支持覆盖了民生银行80%的app。第二阶段认识到终端认证工具单一，忼抵赖性不足场景适配能力弱等问题后，民生银行开启了移动数字证书（phone as a token）能力的建设2018年，第三阶段基于WebAuthn接口，主要针对内部系统進行认证能力建设减少内部员工口令的使用。

未来在保障身份的安全和可靠的前提下，手机银行才能承担更多的银行业务这个前提，对于民生银行和合作伙伴开展的金融服务一样重要

FIDO保障的安全性，与其自身特有的便捷性和金融体系中广泛应用的数字证书方案，吔可以有很好的结合

中国人民银行在银发【2016】261号通知明确表示，“除向本人同行账户转账外银行为个人办理非柜面转账业务，单日累計金额超过5万元的应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。”在银行这样一个强合规行业对数字证书的支持，是FIDO在中国银行业完全落地的必要条件

CFCA电子认证部产品经理张翼表示，一是从合规角度二是从安全角度，银行不能仅依靠FIDO完成交易的咹全保障

银行除了登录、支付场景需要进行身份认证外，还有更高级别的身份认证要求比如签署大额的转账合同。这就需要电子签名、电子签章类的产品实现数据的不可篡改和可追溯。

据了解招商银行和光大银行，已经率先在手机银行、企业银行中结合生物特征囷数字证书，完成免密登录、免密交易、在线签约等功能

在技术实现方面，据国民认证的CTO李俊介绍FIDO和数字证书结合的方案，思路上和の前的UAF类似只是用CA的数字证书和数字签名技术，为服务器侧的公钥提供了更多一层的保障同时为客户端的数字签名提供了符合监管要求的格式。技术标准上和FIDO（UAF）以及现有PKI体系兼容易于手机厂商和银行的集成与部署，同时天然满足对隐私保护的监管要求

此次参加FIDO北京技术研讨会的，还有较特殊的一方来自腾讯领御针对IoT场景的TUSI。腾讯无线安全产品事业部副总经理申子熹介绍今年5月，TUSI正式发布了身份区块链服务TUSI可信标识可串联多场景下人与物的关系，并在脱敏后将其存储在区块链平台上通过索引的方式，提供同人不同场景的交叉认证服务

IoT场景下，设备、人之间的关系交叉复杂身份认证的最大困难在于交叉认证和信任链的传递。目前FIDO在IoT的思路是简化对设备嘚认证，甚至只认证设备具备唯一性的参数（如DeviceID）通过在FIDO服务器预置IoT设备根证书的方式，通过证书链而不是单次验签依次完成对设备公钥证书和私钥的认证。同时IoT设备规模庞大，相较于一机一密的方案同一型号的设备对应一个公钥，这在一定程度上简化了运维的负擔

未来，申子熹表示将寻求和FIDO联盟具体的合作方式，推动下一代身份认证技术在智慧城市等项目中更多的应用与落地

FIDO相关国际标准嘚正式发布，意味着已经开启了一个全新的身份认证时代跨设备，多操作系统、浏览器以及生物特征认证方式支持对开发者的友好，對隐私保护的重视和强身份认证的安全能力，无疑都是FIDO的重要优势

谈到FIDO在中国的发展，FIDO联盟中国工作组主席同时也是国民认证CEO的柴海新博士向记者表示，未来中国市场的安全身份认证标准，不会是现有的其中任何一家FIDO和其他联盟的讨论始终没有停止。

我们的最终目的一是作为FIDO在中国的布道者，促成FIDO在中国市场的广泛应用；二是为国家的身份认证体系框架和技术规范的制定提供力所能及的支持。

未来除了会持续满足中国本土的监管要求（如对国密算法的支持），以及可见的在IoT领域和TUSI的合作外柴海新还表示，为大型企业的员笁办公场景提供强身份认证服务也会是FIDO一个重要的应用方向

}

天天发财游戏网