FIDO 2.0时代: 无处不在的认证体验
今年4月,FIDO和W3C在基于Web的“强身份认证”(Stronger Authentication)上取得了重要突破。通过标准Web API——WebAuthn,Web应用开发者可以轻松调用FIDO基于生物特征、安全、快速的在线身份认证服务。上周二(11月27日),FIDO联盟和W3C在京联合举办技术研讨会,公开了其技术理念和细节。
“
这个世界正深受口令所带来的隐患和困扰。这些可能的危害已经显而易见。
——FIDO联盟执行理事 Brett McDowell
Brett McDowell
先再简单介绍一下FIDO。
拒绝共享生物特征 聚焦身份认证
传统的身份认证方式,无论是使用口令还是指纹等生物特征,几乎都要通过用户和服务器两侧的凭证匹配来完成。但是,随着数据泄漏的频发,全球的个人用户已经意识到,即使诸如雅虎、脸书这样规模,依赖互联网和用户信任的企业,也难以做到杜绝数据泄漏。邮箱、重要的业务系统出现异常登陆,我们还可以通过更换口令补救,但生物特征则无法如此随意。
摆在我们面前的有两条路可选,要么停止使用方便且天然具备唯一性的指纹、虹膜等生物特征,要么使用另一种认证方式,个人的生物特征在本地安全存储且任何应用无法获取这些数据。显然,前者并不可取,至少不适应目前技术发展的大趋势。
FIDO联盟是全球性的行业协作,致力于不依赖“共享秘密”解决传统口令(password)给身份认证所带来的弊端。随着移动互联网在中国的迅猛发展,FIDO生态在中国也在不断壮大。目前,联盟在中国的董事会成员包括:阿里巴巴、联想、飞天诚信、以及中国台湾的神盾股份(Egis)。
基于公私钥对的非对称加密体系,只在本地的可信执行环境(TEE)中存储用户的生物特征信息,是FIDO相较于传统身份认证方式的两个重要不同点。
在FIDO2正式发布前,FIDO支持两种认证协议,UAF和U2F。
用我们常见的简单场景举例,UAF类似通过手机上指纹模组完成的app登陆或支付操作,方便快捷,他人也无法偷窥获得你的登陆凭证,几乎不再需要任何口令字符串,无论是强口令还是弱口令;U2F则类似常见的口令+短信验证码的双因子认证场景,例如Google和Steam平台所使用的,在手机端安装的身份认证app,登陆应用时不只需要输入用户名和口令,还需要及时输入身份认证app动态变化的认证码。U2F的一个典型优势是,即使你用于登陆某Web站点的口令不幸泄漏,比如误入了钓鱼网站,你也不需要担心攻击者能够成功冒充你,只要他没有得到能够提供动态认证码的设备。
今天,无论是FIDO 1.0时代的UAF、U2F,还是包含WebAuthn和CTAP的FIDO2,都已经突破了FIDO这一业界联盟内部规范,上升成为了相关国际标准制定机构(ITU国际电信联盟/W3C万维网联盟)的正式标准。同时,在适配层面,FIDO也近乎完成对底层硬件(安全芯片,生物特征鉴证器),操作系统(安卓和Win 10),以及最新版本主流浏览器(Chrome、Edge、Firefox提供原生接口)的支持。这些成果不仅体现了FIDO的安全、便捷、对隐私保护的重视,还包括了和易用性(开发者角度)的平衡。不夸张地说,FIDO已经初步实现了“无处不在”的身份认证体验。
那么,FIDO2正式发布后,增加了哪些技术场景?
FIDO2的与众不同
如果说FIDO UAF适用典型B2C(企业-个人)场景,U2F更适用典型B2E(企业-雇员)场景的话,那么包含WebAuthn API和CTAP协议两部分内容的FIDO2多场景的普适支持。
FIDO2分为WebAuthn和CTAP协议两部分。先说说和W3C合作的WebAuthn。
如上文所介绍的,Web Authentication(https://www.w3.org/TR/webauthn/)由W3C和FIDO联盟一起完成的标准制定,目前仅在Win10和安卓系统下,有三款主流浏览器Chrome、Edge、Firefox提供原生支持,可使用平台认证器(即内置在PC上)或漫游认证器(如手机,平板,智能手表等),通过WebAuthn接口调用FIDO服务,完成Web应用的强身份认证。
当然,因为W3C标准的一般性,所以不只是浏览器,任何Web应用,如使用html5语言开发的手机app,都可以调用该接口。好处有两点,一是通过WebAuthn接口Web应用的开发者可以更容易的以一个统一标准调用FIDO服务,二是让FIDO2强身份认证能力支持的场景通过浏览器和Web应用得以延伸的更加广泛。
再介绍下CTAP(客户端到认证器)协议。
CTAP本质上是U2F的延伸。通过使用独立的手机、USB设备,或PC内置的平台认证器,完成Window 10系统上的身份认证。苹果也有类似的场景。比如没有指纹模组的MacBook,可以通过同一Apple ID使用iPhone完成macOS上App Store中应用的购买和支付确认操作。这也可以应用于Windows 10系统,如企业内部OA登陆的身份认证操作,就可以通过蓝牙连接的手机或其它合法的USB漫游身份认证器实现。
也就是说,只要你随身携带你的手机或一个可作为漫游身份认证器的USB鼠标,你就可以在世界上任何一台联网的Win 10 PC上,使用指纹或其它生物特征,安全、便捷地完成企业内部办公系统登陆时的身份认证操作。
银行场景的典型实践
即使FIDO作为“次世代”身份认证技术有如此之多的优势,但结合各国国情以及各行业发展现状,如何快速、大范围的应用推广,仍是FIDO联盟目前面临的重要挑战。分享各国的成功应用实践,也是举办FIDO技术研讨会的核心初衷。
兼顾中国移动互联网和不同行业的发展现状,会在中国首先愿意尝试FIDO体系的,不难想象仍会是金融行业。对于更安全、更易用和先进的身份认证技术体系,金融行业显然更有理由和意愿进行前期投资。手机银行便是一个典型应用场景。
来自民生银行信息科技部安全运营中心的项目经理牛博强,在会上简要分享了FIDO在民生银行的实践。
互联网时代银行体系内的身份认证主体已经不局限在凭证数据,而是要对具体的人、认证设备和进行认证的环境,提出更多的要求。其中重要的两点,就是能保证过程的隐私性和认证结果的可靠性。
同时,在不同的业务场景,不同的业务策略下,如何达成统一的终端身份认证策略,保证用户合法,认证设备合法,所能接入和访问的服务合法,是目前民生银行身份认证能力建设的三个重要目标。
牛博强介绍,FIDO在民生银行的落地主要包括三个阶段。第一阶段是从2016年起,实现手机银行对FIDO协议,以及指纹、虹膜登录和支付能力的支持,覆盖了民生银行80%的app。第二阶段,认识到终端认证工具单一,抗抵赖性不足,场景适配能力弱等问题后,民生银行开启了移动数字证书(phone as a token)能力的建设。2018年,第三阶段,基于WebAuthn接口,主要针对内部系统进行认证能力建设,减少内部员工口令的使用。
“
未来,在保障身份的安全和可靠的前提下,手机银行才能承担更多的银行业务。这个前提,对于民生银行和合作伙伴开展的金融服务一样重要。
与数字证书的结合
FIDO保障的安全性,与其自身特有的便捷性,和金融体系中广泛应用的数字证书方案,也可以有很好的结合。
中国人民银行在银发【2016】261号通知明确表示,“除向本人同行账户转账外,银行为个人办理非柜面转账业务,单日累计金额超过5万元的,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。”在银行这样一个强合规行业,对数字证书的支持,是FIDO在中国银行业完全落地的必要条件。
CFCA电子认证部产品经理张翼表示,一是从合规角度,二是从安全角度,银行不能仅依靠FIDO完成交易的安全保障。
“
银行除了登录、支付场景需要进行身份认证外,还有更高级别的身份认证要求,比如签署大额的转账合同。这就需要电子签名、电子签章类的产品,实现数据的不可篡改和可追溯。
据了解,招商银行和光大银行,已经率先在手机银行、企业银行中,结合生物特征和数字证书,完成免密登录、免密交易、在线签约等功能。
在技术实现方面,据国民认证的CTO李俊介绍,FIDO和数字证书结合的方案,思路上和之前的UAF类似,只是用CA的数字证书和数字签名技术,为服务器侧的公钥提供了更多一层的保障,同时为客户端的数字签名提供了符合监管要求的格式。技术标准上和FIDO(UAF)以及现有PKI体系兼容,易于手机厂商和银行的集成与部署,同时天然满足对隐私保护的监管要求。
IoT场景下的合作
此次参加FIDO北京技术研讨会的,还有较特殊的一方,来自腾讯领御针对IoT场景的TUSI。腾讯无线安全产品事业部副总经理申子熹介绍,今年5月,TUSI正式发布了身份区块链服务,TUSI可信标识可串联多场景下人与物的关系,并在脱敏后将其存储在区块链平台上,通过索引的方式,提供同人不同场景的交叉认证服务。
IoT场景下,设备、人之间的关系交叉复杂,身份认证的最大困难在于交叉认证和信任链的传递。目前,FIDO在IoT的思路是简化对设备的认证,甚至只认证设备具备唯一性的参数(如DeviceID)。通过在FIDO服务器预置IoT设备根证书的方式,通过证书链而不是单次验签,依次完成对设备公钥证书和私钥的认证。同时,IoT设备规模庞大,相较于一机一密的方案,同一型号的设备对应一个公钥,这在一定程度上简化了运维的负担。
未来,申子熹表示,将寻求和FIDO联盟具体的合作方式,推动下一代身份认证技术在智慧城市等项目中更多的应用与落地。
FIDO中国发展展望
FIDO相关国际标准的正式发布,意味着已经开启了一个全新的身份认证时代。跨设备,多操作系统、浏览器以及生物特征认证方式支持,对开发者的友好,对隐私保护的重视,和强身份认证的安全能力,无疑都是FIDO的重要优势。
谈到FIDO在中国的发展,FIDO联盟中国工作组主席,同时也是国民认证CEO的柴海新博士向记者表示,未来,中国市场的安全身份认证标准,不会是现有的其中任何一家。FIDO和其他联盟的讨论始终没有停止。
“
我们的最终目的,一是作为FIDO在中国的布道者,促成FIDO在中国市场的广泛应用;二是为国家的身份认证体系框架和技术规范的制定,提供力所能及的支持。
未来,除了会持续满足中国本土的监管要求(如对国密算法的支持),以及可见的在IoT领域和TUSI的合作外,柴海新还表示,为大型企业的员工办公场景提供强身份认证服务也会是FIDO一个重要的应用方向。
相关阅读