摘要：結(jié)構(gòu)概述版本協(xié)議中文文檔。根據(jù)已配置的認證器元數(shù)據(jù)驗證認證器的可靠性，確保只有可信賴的認證器注冊使用。利用認證機構(gòu)提供的認證元數(shù)據(jù)來對認證器的真實性和可靠性進行驗證。具體來說，是通過認證器元數(shù)據(jù)中發(fā)布的認證公鑰完成驗證。

版本 v1.1

FIDO UAF協(xié)議中文文檔。

現(xiàn)在FIDO UAF有關(guān)的文章還比較少，這主要是文檔翻譯和UAF系統(tǒng)概要介紹。

FIDO官網(wǎng)

感謝原文作者：

Salah Machani, RSA, the Security Division of EMC 
  Rob Philpott, RSA, the Security Division of EMC 
  Sampath Srinivas, Google, Inc. 
  John Kemp, FIDO Alliance 
  Jeff Hodges, PayPal, Inc.

FIDO UAF強大的認證框架使得網(wǎng)絡(luò)服務(wù)提供端能夠透明的利用用戶終端上已有的安全功能來完成用戶身份的認證工作，并在這個過程中避免認證過程中和多認證憑證關(guān)聯(lián)所帶來的問題。

FIDO UAF參考架構(gòu)描述了它的組件、協(xié)議及構(gòu)成其強認證生態(tài)系統(tǒng)的接口。

本文檔介紹了FIDO通用認證框架（UAF）的參考架構(gòu)。本文會方便技術(shù)架構(gòu)師來深入理解FIDO UAF強大的身份認證解決方案和它的相關(guān)工業(yè)標(biāo)準(zhǔn)。

FIDO UAF將按如下順序介紹：

FIDO UAF 協(xié)議

FIDO UAF 應(yīng)用程序API和傳輸綁定（Transport Binding）

FIDO UAF 認證器命令

FIDO UAF 認證器特定模塊（Authenticator-Specific Module，ASM）API

FIDO UAF 預(yù)定義值注冊表

FIDO UAF APDU(Application Protocol Data Unit，應(yīng)用協(xié)議數(shù)據(jù)單元)

附錄文檔提供和UAF架構(gòu)相關(guān)的重要信息：

FIDO AppID和Facets規(guī)范

FIDO 元數(shù)據(jù)語句

FIDO 元數(shù)據(jù)服務(wù)

FIDO 預(yù)定值注冊表

FIDO ECDAA算法

FIDO 安全參考

FIDO 詞匯表

以上文檔在FIDO聯(lián)盟網(wǎng)站獲取。

FIDO聯(lián)盟旨在通過以下方式來改善線上強認證生態(tài)：

制定開放、可擴展的、可互操作的線上用戶身份認證技術(shù)規(guī)范，取消對傳統(tǒng)密碼等的依賴；

制定確保這套標(biāo)準(zhǔn)再全球推廣的行業(yè)計劃方案；

向相關(guān)機構(gòu)提交已成熟化的技術(shù)規(guī)范以推動標(biāo)準(zhǔn)化制定。

FIDO的核心驅(qū)動思想是：

易用性

隱私和安全

標(biāo)準(zhǔn)化

主要工作是使得網(wǎng)絡(luò)服務(wù)提供端能夠透明的利用用戶終端上已有的安全功能來完成用戶身份的認證工作，并在這個過程中避免認證過程中和多認證憑證關(guān)聯(lián)所帶來的問題。

FIDO中包含兩個關(guān)鍵協(xié)議來滿足用戶使用網(wǎng)絡(luò)服務(wù)的時兩種基本模式。兩個協(xié)議共享了大量的基礎(chǔ)內(nèi)容，不過各自針對不用的使用場景有了不同的發(fā)展變化。

Universal Authentication Framework (UAF) 協(xié)議

UAF協(xié)議允許網(wǎng)絡(luò)服務(wù)端提供無密碼和多因子安全的服務(wù)。用戶通過本地認證機制（例如指紋，人臉識別，聲紋，PIN碼等）將用戶注冊到在線服務(wù)端。UAF協(xié)議允許服務(wù)選擇哪些安全因子來進行用戶認證。一旦注冊，當(dāng)用戶需求服務(wù)時只需進行身份驗證，用戶只需重復(fù)本地身份驗證操作就能完認證過程。當(dāng)在該設(shè)備進行身份驗證后，用戶將不再需要輸入密碼。 UAF還可以提供多因子認證的操作，例如指紋+ PIN碼等。

本文將著重介紹UAF相關(guān)內(nèi)容。

Universal 2nd Factor (U2F) 協(xié)議

U2F協(xié)議允許在線服務(wù)通過要求用戶提供第二個安全因子構(gòu)成的強認證來增強其現(xiàn)有密碼架構(gòu)的安全性。用戶和以前一樣通過用戶名密碼登陸，而后服務(wù)端可以在它選擇的任何時間點要求用戶進行第二安全因子驗證。強認證方式可以簡單的如4位PIN碼，而不會影響其之前原有結(jié)構(gòu)的安全性。在驗證期間，還可以通過U盾、點擊NFC等方式完成。用戶可以在任何支持此協(xié)議的在線服務(wù)中使用他的FIDO U2F設(shè)備。

了解以下名詞有助于更好的理解FIDO UAF。

FIDO UAF 概述：本文檔，介紹FIDO UAF 框架、協(xié)議和規(guī)范。

FIDO技術(shù)術(shù)語：定義FIDO 聯(lián)盟規(guī)范和文件中使用的技術(shù)術(shù)語和短語。

UAF

UAF協(xié)議規(guī)范：所有UAF協(xié)議消息的消息格式和處理規(guī)則。

UAF應(yīng)用程序API和傳輸綁定規(guī)范：規(guī)范客戶端應(yīng)用程序使用FIDO的API和互操作性的配置文件。

UAF認證器命令：UAF認證機構(gòu)應(yīng)實現(xiàn)的最基本功能，用以支持UAF協(xié)議。

UAF認證器特定模塊API：由ASM向FIDO客戶端提供的特定于認證器的模塊API。

UAF預(yù)定義值注冊表：定義UAF協(xié)議保留的所有字符串和常量。

UAF APDU：將FIDO UAF認證器命令映射到應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）。

FIDO AppID和Facet規(guī)范：用戶憑證的范圍以及支持應(yīng)用程序隔離的可信計算基礎(chǔ)。可以對哪些應(yīng)用程序和Web來源可以使用哪些密鑰進行訪問控制決定。

FIDO元數(shù)據(jù)語句：FIDO認證過程中用于交互和策略描述的因子、特征、功能等的信息。

FIDO元數(shù)據(jù)服務(wù)：依賴方訪問最新元數(shù)據(jù)語句的基線方法。

FIDO ECDAA算法：定義FIDO認證器的直接匿名證明算法。

FIDO預(yù)定義值注冊表：定義FIDO協(xié)議保留的與多個FIDO相關(guān)的所有字符串和常量協(xié)議族。

FIDO安全參考：根據(jù)與FIDO相關(guān)的安全威脅的詳細分析，提供對FIDO安全性的分析基于其目標(biāo)，假設(shè)和固有安全措施的協(xié)議。

參考架構(gòu)文檔的“介紹”的其余部分主要講了有關(guān)UAF的關(guān)鍵驅(qū)動因素，目標(biāo)和原則。

在后續(xù)章節(jié)中，本文檔會繼續(xù)介紹以下內(nèi)容：

對架構(gòu)定義的組件，協(xié)議和API進行更深入的介紹。

一個的FIDO UAF實例和實現(xiàn)它們所需的協(xié)議消息流。

FIDO協(xié)議與其他相關(guān)行業(yè)標(biāo)準(zhǔn)的關(guān)系。

為了解決當(dāng)下在強認證領(lǐng)域所面臨的問題，需要有一個運作良好的生態(tài)系統(tǒng)，一個全面、開放、多元化的架構(gòu)，包括：

多樣化的用戶設(shè)備，無論是個人的、企業(yè)發(fā)布的還是企業(yè)BYOD，多樣化的設(shè)備運行環(huán)境，如家里、辦公室、開放場所等。

認證器

依賴方應(yīng)用程序及其部署環(huán)境

滿足最終用戶和依賴方的需求

非常重視基于瀏覽器或傳統(tǒng)應(yīng)用的終端用戶體驗

此解決方案架構(gòu)必須具有以下特點：

FIDO UAF認證器的發(fā)現(xiàn)，認證和配置

通過FIDO UFA認證器實現(xiàn)跨平臺的強身份認證協(xié)議

統(tǒng)一的跨平臺的認證器API

依賴方簡單的整合機制

FIDO聯(lián)盟旨在打造一個開放、 多供應(yīng)商、跨平臺的參考架構(gòu)，其具有以下目標(biāo)：

支持多因子強認證：通過兩個或更多個安全因子對終端用戶的身份認證來使服務(wù)提供方避免未經(jīng)授權(quán)的訪問。

基于但不限于已有的設(shè)備功能：使用設(shè)備內(nèi)置的認證器或功能（如指紋、相機、聲紋、嵌入式TPM硬件）來進行用戶身份認證，也可以使用一些額外的輔助認證器。

認證機制的可選擇性：使服務(wù)提供端和用戶選擇最合適的認證機制來盡量減少特定用戶場景下的風(fēng)險。

簡化新認證功能的集成：使組織可以簡便的擴展所使用的強認證手段以解決新場景、新挑戰(zhàn)并和新的認證器功能所匹配。

保持可擴展性：設(shè)計可擴展的協(xié)議和API方便以后使用

盡可能利用現(xiàn)有的標(biāo)準(zhǔn)，并使其變得更開放、更具有可擴展性：一個開放、標(biāo)準(zhǔn)化的規(guī)范套件會帶來一個良性循環(huán)的生態(tài)系統(tǒng)，并降低部署強認證時遇到的風(fēng)險、復(fù)雜度和成本。現(xiàn)有標(biāo)準(zhǔn)主要有下面的問題，缺乏統(tǒng)一的身份驗證器配置和認證，缺少統(tǒng)一的跨平臺的用于身份認證API，用戶認證過程中更靈活強大的的認證挑戰(zhàn)-響應(yīng)協(xié)議。

完善現(xiàn)有的登錄模式和認證聯(lián)合方式：現(xiàn)有的工業(yè)解決方案（如OpenID、OAuth、SAML等）已經(jīng)在減少對密碼驗證方式和傳統(tǒng)認證聯(lián)合方式的依賴了，但是它們并沒有直接解決用戶和服務(wù)提供端初始的強認證交互過程所面臨的問題。

對最終用戶隱私的保護：向用戶提供控制服務(wù)提供方對設(shè)備等信息的傳播的能力，同時減少服務(wù)端潛在的信息傳播能力。

統(tǒng)一的最終用戶的體驗：在所有的平臺和類似的身份認證器上創(chuàng)建簡單、統(tǒng)一的用戶體驗。

FIDO UAF架構(gòu)旨在滿足FIDO目標(biāo)并產(chǎn)生所需的生態(tài)系統(tǒng)優(yōu)勢。 它通過使用標(biāo)準(zhǔn)化協(xié)議和API填補現(xiàn)狀的空白來實現(xiàn)這一點。

下圖給出了參考架構(gòu)及其組件和用戶、服務(wù)提供端的關(guān)系。

它實現(xiàn)了FIDO UAF 協(xié)議中客戶端的部分，主要負責(zé)：

通過FIDO UAF認證器抽象層的認證器API來完成和特定FIDO UAF認證器的交互；

使用用戶設(shè)備上（如手機app、瀏覽器等）特定的代理接口來完成和FIDO UAF 服務(wù)端的交互。舉個例子：FIDO可能會采用瀏覽器現(xiàn)有的插件，在app上可能會使用FIDO特定的SDK。隨后，用戶代理負責(zé)將FIDO UAF 傳送到服務(wù)提供方的FIDO UAF 服務(wù)器上。

FIDO UAF 架構(gòu)確保FIDO客戶端軟件可以實現(xiàn)跨系統(tǒng)跨平臺的能力。盡管每個特定的FIDO客戶端是平臺相關(guān)的，但是組件間的交互會確保平臺到平臺的一致性的用戶體驗。

它實現(xiàn)了FIDO UAF協(xié)議中服務(wù)端的部分，主要負責(zé)：

服務(wù)端利用FIDO UAF協(xié)議通過設(shè)備用戶代理向FIDO UAF客戶端傳遞信息。

根據(jù)已配置的認證器元數(shù)據(jù)驗證FIDO UAF認證器的可靠性，確保只有可信賴的認證器注冊使用。

管理用戶接入的FIDO UAF認證器的認證聯(lián)合。

評估用戶認證和交易確認響應(yīng)以確定其有效性。

FIDO UAF服務(wù)器一般又服務(wù)端作為內(nèi)部服務(wù)器進行部署，或者又第三方外包服務(wù)商提供。

FIDO UAF協(xié)議用于在用戶設(shè)備和依賴方之間傳遞信息。這些信息主要包括：

認證器注冊：FIOD UAF注冊協(xié)議使依賴方能夠：

發(fā)現(xiàn)用戶系統(tǒng)或設(shè)備上可用的FIDO UAF身份驗證器，并把認證器的相關(guān)屬性傳遞到服務(wù)依賴端，使得后續(xù)的安全策略得以確定和執(zhí)行。

利用FIDO UAF認證機構(gòu)提供的認證元數(shù)據(jù)來對認證器的真實性和可靠性進行驗證。具體來說，是通過認證器元數(shù)據(jù)中發(fā)布的認證公鑰完成驗證。

注冊認證者，并將其與依賴方的用戶帳戶相關(guān)聯(lián)。一旦認證者證明了驗證方，依賴方可以提供獨特的安全標(biāo)識符，該標(biāo)識符是依賴方和FIDO UAF身份驗證器所特有的。該標(biāo)示符可以通過{RP,Authentication}這樣的對耳朵形式應(yīng)用在后續(xù)的交互過程中，并且這個標(biāo)示符對其他設(shè)備是不可知的。

用戶認證：認證過程使用基于加密的挑戰(zhàn)-響應(yīng)認證協(xié)議，并且讓用戶選用認證過程中將要使用的具體認證器。

確保安全的傳輸過程：如果用戶端認證器包含這樣的功能，依賴方就只需向用戶顯示一個安全消息進行確認。消息內(nèi)容由依賴方?jīng)Q定。這個確認可以用于各種情況，如金融交易、用戶合同確定、醫(yī)療手續(xù)的確認。

認證器注銷：用戶不再需要服務(wù)時，反注冊是一個基本的需求。服務(wù)提供方在驗證認證器合法性后刪除本地用戶相關(guān)認證數(shù)據(jù)，隨后向用戶確認注銷，用戶刪除UFA憑證完成注銷。

它為FIDO客戶端提供統(tǒng)一的API，可以為FIDO支持的操作提供基于認證器的加密服務(wù)。它向下提供了一個底層的認證器插件API，以便部署多廠商FIDO UAF認證器和對應(yīng)的驅(qū)動。

FIDO UAF身份驗證器是連接到或安裝在FIDO用戶設(shè)備中的安全實體，可以創(chuàng)建與依賴方相關(guān)的key等。密鑰用于參與FIDO UAF強認證過程中。如，隨后的FIDO UAF身份驗證器可以使用密鑰材料提供對加密挑戰(zhàn)的響應(yīng)，從而完成依賴方進行認證器的身份驗證。
為了達到簡單集成可信認證功能的目標(biāo)，一個FIOD UAF認證器需要提供它特有的認證類型（如：生物特征），功能（如支持的加密算法）和設(shè)備來源等。這為依賴方驗證用戶認證器身份的可靠性提供了支持。

在FIDO UAF認證的過程中，認證是由認證器向依賴方提出的需求，認證器通過生成密鑰或信息報告來證明認證設(shè)備的真實性。然后有UAF協(xié)議攜帶包含簽名的信息給UAF服務(wù)端進行驗證。首先由認證器使用其私鑰進行簽名，然后在服務(wù)端通過認證元數(shù)據(jù)中的公鑰進行證書驗簽。元數(shù)據(jù)采用數(shù)據(jù)外放的方式和FIDO UAF服務(wù)器進行共享。

用戶將會有多種途徑獲取FIDO UAF認證器：比如購買了具有嵌入式FIDO UAF認證功能的新系統(tǒng)，后買了具有嵌入式FIDO UAF身份認證器的設(shè)備，或又其他機構(gòu)（eg.銀行）分發(fā)得到身份認證器。

獲取了認證期之后，用戶需要向認證器進行特定的注冊（此注冊過程不再FIDO UAF協(xié)議范圍內(nèi)）。如，認證器設(shè)備是基于指紋的，用戶需要向認證器注冊其指紋。在注冊完成后，認證器就可以在支持FIDO UAF的服務(wù)提供端進行下一步的用戶注冊。

如下給出的FIDO UAF架構(gòu)，當(dāng)用戶開始進行認證器初始化并和服務(wù)端發(fā)起交互時，依賴方可以把信息透傳到FIDO服務(wù)器中。在初始化階段，服務(wù)端將提示用戶檢測到的認證器，并給出用戶注冊相關(guān)的選項。

注冊后，F(xiàn)IDO UAF身份認證器將在隨后用戶和服務(wù)端進行身份認證時使用。如果FIDO身份認證器不存在時，服務(wù)端將采用各種預(yù)備策略。這些策略可能包括允許常規(guī)登陸或者因權(quán)限減少而不允許登陸等。

用戶所使用的FIDO UAF認證器有多種類型。 一些認證器可以采樣生物特征數(shù)據(jù)，如臉部圖像，指紋或語音檢測。 一些通過PIN或本地認證者特定密碼條目， 還有一些可能只是一個硬件承載認證器。 這里，只要遵守FIDO隱私原則，F(xiàn)IDO客戶端就可以與外部服務(wù)進行交互 。

強認證是傳統(tǒng)的網(wǎng)站登陸驗證場景下的補充策略。通常網(wǎng)站會允許未經(jīng)驗證或者經(jīng)普通驗證方式認證的用戶瀏覽信息。但是當(dāng)用戶希望有更高價值的交互時，如進入會員專區(qū)等，服務(wù)端會要求用戶進一步認證來提高安全級別。

FIDO UAF將幫助實現(xiàn)這種需求，有FIDO服務(wù)的網(wǎng)站將能識別用戶端系統(tǒng)可用的FIDO UAF認證器，并從中選擇合適的認證器來完成身份的認證。即，根據(jù)用戶對交互的安全要求，服務(wù)端將根據(jù)客戶端能提供的認證方式和網(wǎng)站風(fēng)險分析引擎來動態(tài)的制定認證交互標(biāo)準(zhǔn)。

提供FIDO服務(wù)的依賴方結(jié)合有FIDO認證器的客戶端可以提供多樣化的服務(wù)。例如之前的網(wǎng)站登錄認證和加強認證等。另一個更高級的使用場景就是安全交易的處理。

考慮如下場景，依賴方希望最終用戶確認交易（例如財務(wù)操作，特權(quán)操作等）的情況，以便可以檢測到在其到達終端設(shè)備顯示和返回的路由期間任何篡改交易消息。FIDO架構(gòu)具有提供此功能的“安全事務(wù)”概念。如果FIDO UAF身份驗證器具有事務(wù)確認顯示功能，則FIDO UAF架構(gòu)可確保系統(tǒng)支持“你看到的就是你要的”（WYSIWYS）。很多場景需要這種功能- 主要涉及交易授權(quán)（匯款，執(zhí)行上下文特定的特權(quán)操作，電子郵件/地址的確認等）。

在某些情況下，依賴方可能需要刪除FIDO中與特定用戶帳戶相關(guān)聯(lián)的UAF憑據(jù)認證。 例如，用戶的帳戶被取消或刪除，用戶的FIDO認證器丟失或被盜等。在這種情況下，RP可以請求FIDO認證器刪除綁定到用戶帳戶的認證密鑰。

隨著技術(shù)的發(fā)展，各種新的認證器將會出現(xiàn)。只要它們是基于FIDO結(jié)構(gòu)的。則添加對它的支持，只需要依賴方在認證器描述元數(shù)據(jù)中添加對應(yīng)條目，和認證證書即可。用戶就可以通過新型認證器和依賴方進行交互。

用戶隱私是FIDO在設(shè)計之初就予以考慮的，并在又UAF提供了支持。一些核心的隱私保護設(shè)計如下：

UAF沒有一個全局可見的唯一標(biāo)識符（實現(xiàn)不可鏈接性，即對同一角色或身份的關(guān)聯(lián)）如果出現(xiàn)UAF設(shè)備丟失的情況，撿到設(shè)備的人也無法準(zhǔn)確的將其指向某個服務(wù)方，并發(fā)現(xiàn)其他關(guān)聯(lián)賬戶。此外，如果有多名用戶共享某個UAF設(shè)備，且都進行過認證注冊過程，依賴方將不能通過UAF協(xié)議來多帶帶識別兩個賬戶在共享設(shè)備。

UAF協(xié)議基于賬戶、設(shè)備、服務(wù)端生成唯一的非對稱加密密鑰對。不同服務(wù)端的加密密鑰不能讓他們相互產(chǎn)生任何關(guān)聯(lián)，即UAF具有不可鏈接性。

UAF協(xié)議需要極少量的用戶個人數(shù)據(jù)，最多需要提供一個用戶在依賴方的username，這個信息指揮用在FIDO的作用過程中，如注冊、認證、驗權(quán)等。這個數(shù)據(jù)信息只存在在用戶端環(huán)境中，且只有在必要的時候會做本地永久化處理。

在UAF中，用戶驗證（用戶生物特征校驗等）在本地執(zhí)行。UAF不向依賴方傳遞任何生物特征數(shù)據(jù)，更不會要求依賴方對它進行存儲。

用戶會明確自己使用的某特定廠商的UAF設(shè)備。只有在用戶同意的情況下，才會在注冊期間生產(chǎn)唯一的加密密鑰并將其綁定到依賴方。

UAF認證器只能通過生產(chǎn)批次或制造商和設(shè)備型號的認證證書來識別。它們不能被多帶帶標(biāo)識。UAF規(guī)范要求廠商要以相同的認證證書和私鑰來制造一批100,000個或更多的UAF認證器，以確保不可鏈接性。

OpenID, SAML, OAuth

FIDO協(xié)議（UAF和U2F）完善了身份聯(lián)合管理(FIM)框架，如OpenId、SAML；也完善了web授權(quán)協(xié)議，如OAuth。

FIM依賴方可以利用身份提供者（IdP）的初始身份驗證事件。然而，OpenID和SAML在IdP上沒有定義用于直接用戶身份驗證的特定機制。（就是OpenId和SAML只解決了第二公里的問題——通過鑒別后身份憑證的分享，沒有解決第一公里——對最終用戶的直接鑒別的問題）

當(dāng)IdP與啟用FIDO的認證服務(wù)集成時，它可以配合服務(wù)端進行強身份認證。下圖說明了這種關(guān)系。基于FIDO的認證機制首先被觸發(fā)，隨后FIM協(xié)議把這個身份認證用于隨后的身份憑證分享。

原創(chuàng)內(nèi)容，版權(quán)所有，轉(zhuǎn)載請注明出處