FIDO 2.0時代: 無處不在的認證體驗
今年4月,FIDO和W3C在基於Web的“強身份認證”(Stronger Authentication)上取得了重要突破。通過標準Web API——WebAuthn,Web應用開發者可以輕鬆呼叫FIDO基於生物特徵、安全、快速的線上身份認證服務。上週二(11月27日),FIDO聯盟和W3C在京聯合舉辦技術研討會,公開了其技術理念和細節。
這個世界正深受口令所帶來的隱患和困擾。這些可能的危害已經顯而易見。
——FIDO聯盟執行理事 Brett McDowell
Brett McDowell
先再簡單介紹一下FIDO。
拒絕共享生物特徵 聚焦身份認證
傳統的身份認證方式,無論是使用口令還是指紋等生物特徵,幾乎都要通過使用者和伺服器兩側的憑證匹配來完成。但是,隨著資料洩漏的頻發,全球的個人使用者已經意識到,即使諸如雅虎、臉書這樣規模,依賴網際網路和使用者信任的企業,也難以做到杜絕資料洩漏。郵箱、重要的業務系統出現異常登陸,我們還可以通過更換口令補救,但生物特徵則無法如此隨意。
擺在我們面前的有兩條路可選,要麼停止使用方便且天然具備唯一性的指紋、虹膜等生物特徵,要麼使用另一種認證方式,個人的生物特徵在本地安全儲存且任何應用無法獲取這些資料。顯然,前者並不可取,至少不適應目前技術發展的大趨勢。
FIDO聯盟是全球性的行業協作,致力於不依賴“共享祕密”解決傳統口令(password)給身份認證所帶來的弊端。隨著移動網際網路在中國的迅猛發展,FIDO生態在中國也在不斷壯大。目前,聯盟在中國的董事會成員包括:阿里巴巴、聯想、飛天誠信、以及中國臺灣的神盾股份(Egis)。
基於公私鑰對的非對稱加密體系,只在本地的可信執行環境(TEE)中儲存使用者的生物特徵資訊,是FIDO相較於傳統身份認證方式的兩個重要不同點。
在FIDO2正式釋出前,FIDO支援兩種認證協議,UAF和U2F。
用我們常見的簡單場景舉例,UAF類似通過手機上指紋模組完成的app登陸或支付操作,方便快捷,他人也無法偷窺獲得你的登陸憑證,幾乎不再需要任何口令字串,無論是強口令還是弱口令;U2F則類似常見的口令+簡訊驗證碼的雙因子認證場景,例如Google和Steam平臺所使用的,在手機端安裝的身份認證app,登陸應用時不只需要輸入使用者名稱和口令,還需要及時輸入身份認證app動態變化的認證碼。U2F的一個典型優勢是,即使你用於登陸某Web站點的口令不幸洩漏,比如誤入了釣魚網站,你也不需要擔心攻擊者能夠成功冒充你,只要他沒有得到能夠提供動態認證碼的裝置。
今天,無論是FIDO 1.0時代的UAF、U2F,還是包含WebAuthn和CTAP的FIDO2,都已經突破了FIDO這一業界聯盟內部規範,上升成為了相關國際標準制定機構(ITU國際電信聯盟/W3C全球資訊網聯盟)的正式標準。同時,在適配層面,FIDO也近乎完成對底層硬體(安全晶片,生物特徵鑑證器),作業系統(安卓和Win 10),以及最新版本主流瀏覽器(Chrome、Edge、Firefox提供原生介面)的支援。這些成果不僅體現了FIDO的安全、便捷、對隱私保護的重視,還包括了和易用性(開發者角度)的平衡。不誇張地說,FIDO已經初步實現了“無處不在”的身份認證體驗。
那麼,FIDO2正式釋出後,增加了哪些技術場景?
FIDO2的與眾不同
如果說FIDO UAF適用典型B2C(企業-個人)場景,U2F更適用典型B2E(企業-僱員)場景的話,那麼包含WebAuthn API和CTAP協議兩部分內容的FIDO2多場景的普適支援。
FIDO2分為WebAuthn和CTAP協議兩部分。先說說和W3C合作的WebAuthn。
如上文所介紹的,Web Authentication(https://www.w3.org/TR/webauthn/)由W3C和FIDO聯盟一起完成的標準制定,目前僅在Win10和安卓系統下,有三款主流瀏覽器Chrome、Edge、Firefox提供原生支援,可使用平臺認證器(即內建在PC上)或漫遊認證器(如手機,平板,智慧手錶等),通過WebAuthn介面呼叫FIDO服務,完成Web應用的強身份認證。
當然,因為W3C標準的一般性,所以不只是瀏覽器,任何Web應用,如使用html5語言開發的手機app,都可以呼叫該介面。好處有兩點,一是通過WebAuthn介面Web應用的開發者可以更容易的以一個統一標準呼叫FIDO服務,二是讓FIDO2強身份認證能力支援的場景通過瀏覽器和Web應用得以延伸的更加廣泛。
再介紹下CTAP(客戶端到認證器)協議。
CTAP本質上是U2F的延伸。通過使用獨立的手機、USB裝置,或PC內建的平臺認證器,完成Window 10系統上的身份認證。蘋果也有類似的場景。比如沒有指紋模組的MacBook,可以通過同一Apple ID使用iPhone完成macOS上App Store中應用的購買和支付確認操作。這也可以應用於Windows 10系統,如企業內部OA登陸的身份認證操作,就可以通過藍芽連線的手機或其它合法的USB漫遊身份認證器實現。
也就是說,只要你隨身攜帶你的手機或一個可作為漫遊身份認證器的USB滑鼠,你就可以在世界上任何一臺聯網的Win 10 PC上,使用指紋或其它生物特徵,安全、便捷地完成企業內部辦公系統登陸時的身份認證操作。
銀行場景的典型實踐
即使FIDO作為“次世代”身份認證技術有如此之多的優勢,但結合各國國情以及各行業發展現狀,如何快速、大範圍的應用推廣,仍是FIDO聯盟目前面臨的重要挑戰。分享各國的成功應用實踐,也是舉辦FIDO技術研討會的核心初衷。
兼顧中國移動網際網路和不同行業的發展現狀,會在中國首先願意嘗試FIDO體系的,不難想象仍會是金融行業。對於更安全、更易用和先進的身份認證技術體系,金融行業顯然更有理由和意願進行前期投資。手機銀行便是一個典型應用場景。
來自民生銀行資訊科技部安全運營中心的專案經理牛博強,在會上簡要分享了FIDO在民生銀行的實踐。
網際網路時代銀行體系內的身份認證主體已經不侷限在憑證資料,而是要對具體的人、認證裝置和進行認證的環境,提出更多的要求。其中重要的兩點,就是能保證過程的隱私性和認證結果的可靠性。
同時,在不同的業務場景,不同的業務策略下,如何達成統一的終端身份認證策略,保證使用者合法,認證裝置合法,所能接入和訪問的服務合法,是目前民生銀行身份認證能力建設的三個重要目標。
牛博強介紹,FIDO在民生銀行的落地主要包括三個階段。第一階段是從2016年起,實現手機銀行對FIDO協議,以及指紋、虹膜登入和支付能力的支援,覆蓋了民生銀行80%的app。第二階段,認識到終端認證工具單一,抗抵賴性不足,場景適配能力弱等問題後,民生銀行開啟了移動數字證書(phone as a token)能力的建設。2018年,第三階段,基於WebAuthn介面,主要針對內部系統進行認證能力建設,減少內部員工口令的使用。
未來,在保障身份的安全和可靠的前提下,手機銀行才能承擔更多的銀行業務。這個前提,對於民生銀行和合作夥伴開展的金融服務一樣重要。
與數字證書的結合
FIDO保障的安全性,與其自身特有的便捷性,和金融體系中廣泛應用的數字證書方案,也可以有很好的結合。
中國人民銀行在銀髮【2016】261號通知明確表示,“除向本人同行賬戶轉賬外,銀行為個人辦理非櫃面轉賬業務,單日累計金額超過5萬元的,應當採用數字證書或者電子簽名等安全可靠的支付指令驗證方式。”在銀行這樣一個強合規行業,對數字證書的支援,是FIDO在中國銀行業完全落地的必要條件。
CFCA電子認證部產品經理張翼表示,一是從合規角度,二是從安全形度,銀行不能僅依靠FIDO完成交易的安全保障。
銀行除了登入、支付場景需要進行身份認證外,還有更高級別的身份認證要求,比如簽署大額的轉賬合同。這就需要電子簽名、電子簽章類的產品,實現資料的不可篡改和可追溯。
據瞭解,招商銀行和光大銀行,已經率先在手機銀行、企業銀行中,結合生物特徵和數字證書,完成免密登入、免密交易、線上簽約等功能。
在技術實現方面,據國民認證的CTO李俊介紹,FIDO和數字證書結合的方案,思路上和之前的UAF類似,只是用CA的數字證書和數字簽名技術,為伺服器側的公鑰提供了更多一層的保障,同時為客戶端的數字簽名提供了符合監管要求的格式。技術標準上和FIDO(UAF)以及現有PKI體系相容,易於手機廠商和銀行的整合與部署,同時天然滿足對隱私保護的監管要求。
IoT場景下的合作
此次參加FIDO北京技術研討會的,還有較特殊的一方,來自騰訊領御針對IoT場景的TUSI。騰訊無線安全產品事業部副總經理申子熹介紹,今年5月,TUSI正式釋出了身份區塊鏈服務,TUSI可信標識可串聯多場景下人與物的關係,並在脫敏後將其儲存在區塊鏈平臺上,通過索引的方式,提供同人不同場景的交叉認證服務。
IoT場景下,裝置、人之間的關係交叉複雜,身份認證的最大困難在於交叉認證和信任鏈的傳遞。目前,FIDO在IoT的思路是簡化對裝置的認證,甚至只認證裝置具備唯一性的引數(如DeviceID)。通過在FIDO伺服器預置IoT裝置根證書的方式,通過證書鏈而不是單次驗籤,依次完成對裝置公鑰證書和私鑰的認證。同時,IoT裝置規模龐大,相較於一機一密的方案,同一型號的裝置對應一個公鑰,這在一定程度上簡化了運維的負擔。
未來,申子熹表示,將尋求和FIDO聯盟具體的合作方式,推動下一代身份認證技術在智慧城市等專案中更多的應用與落地。
FIDO中國發展展望
FIDO相關國際標準的正式釋出,意味著已經開啟了一個全新的身份認證時代。跨裝置,多作業系統、瀏覽器以及生物特徵認證方式支援,對開發者的友好,對隱私保護的重視,和強身份認證的安全能力,無疑都是FIDO的重要優勢。
談到FIDO在中國的發展,FIDO聯盟中國工作組主席,同時也是國民認證CEO的柴海新博士向記者表示,未來,中國市場的安全身份認證標準,不會是現有的其中任何一家。FIDO和其他聯盟的討論始終沒有停止。
我們的最終目的,一是作為FIDO在中國的佈道者,促成FIDO在中國市場的廣泛應用;二是為國家的身份認證體系框架和技術規範的制定,提供力所能及的支援。
未來,除了會持續滿足中國本土的監管要求(如對國密演算法的支援),以及可見的在IoT領域和TUSI的合作外,柴海新還表示,為大型企業的員工辦公場景提供強身份認證服務也會是FIDO一個重要的應用方向。