摘要:結(jié)構(gòu)概述版本協(xié)議中文文檔。根據(jù)已配置的認(rèn)證器元數(shù)據(jù)驗證認(rèn)證器的可靠性�,確保只有可信賴的認(rèn)證器注冊使用。利用認(rèn)證機(jī)構(gòu)提供的認(rèn)證元數(shù)據(jù)來對認(rèn)證器的真實性和可靠性進(jìn)行驗證���。具體來說����,是通過認(rèn)證器元數(shù)據(jù)中發(fā)布的認(rèn)證公鑰完成驗證�。
FIDO UAF 結(jié)構(gòu)概述
版本 v1.1
FIDO UAF協(xié)議中文文檔。
現(xiàn)在FIDO UAF有關(guān)的文章還比較少�,這主要是文檔翻譯和UAF系統(tǒng)概要介紹��。
FIDO官網(wǎng)
感謝原文作者:
Salah Machani, RSA, the Security Division of EMC
Rob Philpott, RSA, the Security Division of EMC
Sampath Srinivas, Google, Inc.
John Kemp, FIDO Alliance
Jeff Hodges, PayPal, Inc.
摘要
FIDO UAF強(qiáng)大的認(rèn)證框架使得網(wǎng)絡(luò)服務(wù)提供端能夠透明的利用用戶終端上已有的安全功能來完成用戶身份的認(rèn)證工作�,并在這個過程中避免認(rèn)證過程中和多認(rèn)證憑證關(guān)聯(lián)所帶來的問題���。
FIDO UAF參考架構(gòu)描述了它的組件���、協(xié)議及構(gòu)成其強(qiáng)認(rèn)證生態(tài)系統(tǒng)的接口。
1. 介紹
本文檔介紹了FIDO通用認(rèn)證框架(UAF)的參考架構(gòu)�����。本文會方便技術(shù)架構(gòu)師來深入理解FIDO UAF強(qiáng)大的身份認(rèn)證解決方案和它的相關(guān)工業(yè)標(biāo)準(zhǔn)����。
FIDO UAF將按如下順序介紹:
FIDO UAF 協(xié)議
FIDO UAF 應(yīng)用程序API和傳輸綁定(Transport Binding)
FIDO UAF 認(rèn)證器命令
FIDO UAF 認(rèn)證器特定模塊(Authenticator-Specific Module,ASM)API
FIDO UAF 預(yù)定義值注冊表
FIDO UAF APDU(Application Protocol Data Unit��,應(yīng)用協(xié)議數(shù)據(jù)單元)
附錄文檔提供和UAF架構(gòu)相關(guān)的重要信息:
FIDO AppID和Facets規(guī)范
FIDO 元數(shù)據(jù)語句
FIDO 元數(shù)據(jù)服務(wù)
FIDO 預(yù)定值注冊表
FIDO ECDAA算法
FIDO 安全參考
FIDO 詞匯表
以上文檔在FIDO聯(lián)盟網(wǎng)站獲取�����。
1.1 背景
FIDO聯(lián)盟旨在通過以下方式來改善線上強(qiáng)認(rèn)證生態(tài):
制定開放����、可擴(kuò)展的�、可互操作的線上用戶身份認(rèn)證技術(shù)規(guī)范����,取消對傳統(tǒng)密碼等的依賴;
制定確保這套標(biāo)準(zhǔn)再全球推廣的行業(yè)計劃方案�;
向相關(guān)機(jī)構(gòu)提交已成熟化的技術(shù)規(guī)范以推動標(biāo)準(zhǔn)化制定�����。
FIDO的核心驅(qū)動思想是:
易用性
隱私和安全
標(biāo)準(zhǔn)化
主要工作是使得網(wǎng)絡(luò)服務(wù)提供端能夠透明的利用用戶終端上已有的安全功能來完成用戶身份的認(rèn)證工作�����,并在這個過程中避免認(rèn)證過程中和多認(rèn)證憑證關(guān)聯(lián)所帶來的問題�。
FIDO中包含兩個關(guān)鍵協(xié)議來滿足用戶使用網(wǎng)絡(luò)服務(wù)的時兩種基本模式。兩個協(xié)議共享了大量的基礎(chǔ)內(nèi)容���,不過各自針對不用的使用場景有了不同的發(fā)展變化���。
Universal Authentication Framework (UAF) 協(xié)議
UAF協(xié)議允許網(wǎng)絡(luò)服務(wù)端提供無密碼和多因子安全的服務(wù)。用戶通過本地認(rèn)證機(jī)制(例如指紋�,人臉識別,聲紋����,PIN碼等)將用戶注冊到在線服務(wù)端��。UAF協(xié)議允許服務(wù)選擇哪些安全因子來進(jìn)行用戶認(rèn)證�����。一旦注冊����,當(dāng)用戶需求服務(wù)時只需進(jìn)行身份驗證��,用戶只需重復(fù)本地身份驗證操作就能完認(rèn)證過程�����。當(dāng)在該設(shè)備進(jìn)行身份驗證后��,用戶將不再需要輸入密碼�����。 UAF還可以提供多因子認(rèn)證的操作�,例如指紋+ PIN碼等。
本文將著重介紹UAF相關(guān)內(nèi)容。
Universal 2nd Factor (U2F) 協(xié)議
U2F協(xié)議允許在線服務(wù)通過要求用戶提供第二個安全因子構(gòu)成的強(qiáng)認(rèn)證來增強(qiáng)其現(xiàn)有密碼架構(gòu)的安全性�����。用戶和以前一樣通過用戶名密碼登陸����,而后服務(wù)端可以在它選擇的任何時間點要求用戶進(jìn)行第二安全因子驗證。強(qiáng)認(rèn)證方式可以簡單的如4位PIN碼�,而不會影響其之前原有結(jié)構(gòu)的安全性。在驗證期間��,還可以通過U盾�����、點擊NFC等方式完成���。用戶可以在任何支持此協(xié)議的在線服務(wù)中使用他的FIDO U2F設(shè)備。
1.2 FIDO UAF 文件(名詞對照)
了解以下名詞有助于更好的理解FIDO UAF��。
FIDO UAF 概述:本文檔�,介紹FIDO UAF 框架、協(xié)議和規(guī)范��。
FIDO技術(shù)術(shù)語:定義FIDO 聯(lián)盟規(guī)范和文件中使用的技術(shù)術(shù)語和短語���。
UAF
UAF協(xié)議規(guī)范:所有UAF協(xié)議消息的消息格式和處理規(guī)則�����。
UAF應(yīng)用程序API和傳輸綁定規(guī)范:規(guī)范客戶端應(yīng)用程序使用FIDO的API和互操作性的配置文件����。
UAF認(rèn)證器命令:UAF認(rèn)證機(jī)構(gòu)應(yīng)實現(xiàn)的最基本功能,用以支持UAF協(xié)議�����。
UAF認(rèn)證器特定模塊API:由ASM向FIDO客戶端提供的特定于認(rèn)證器的模塊API����。
UAF預(yù)定義值注冊表:定義UAF協(xié)議保留的所有字符串和常量。
UAF APDU:將FIDO UAF認(rèn)證器命令映射到應(yīng)用協(xié)議數(shù)據(jù)單元(APDU)���。
FIDO AppID和Facet規(guī)范:用戶憑證的范圍以及支持應(yīng)用程序隔離的可信計算基礎(chǔ)���。可以對哪些應(yīng)用程序和Web來源可以使用哪些密鑰進(jìn)行訪問控制決定�����。
FIDO元數(shù)據(jù)語句:FIDO認(rèn)證過程中用于交互和策略描述的因子、特征�、功能等的信息。
FIDO元數(shù)據(jù)服務(wù):依賴方訪問最新元數(shù)據(jù)語句的基線方法����。
FIDO ECDAA算法:定義FIDO認(rèn)證器的直接匿名證明算法。
FIDO預(yù)定義值注冊表:定義FIDO協(xié)議保留的與多個FIDO相關(guān)的所有字符串和常量協(xié)議族���。
FIDO安全參考:根據(jù)與FIDO相關(guān)的安全威脅的詳細(xì)分析��,提供對FIDO安全性的分析基于其目標(biāo)�,假設(shè)和固有安全措施的協(xié)議��。
參考架構(gòu)文檔的“介紹”的其余部分主要講了有關(guān)UAF的關(guān)鍵驅(qū)動因素���,目標(biāo)和原則。
在后續(xù)章節(jié)中����,本文檔會繼續(xù)介紹以下內(nèi)容:
對架構(gòu)定義的組件,協(xié)議和API進(jìn)行更深入的介紹�。
一個的FIDO UAF實例和實現(xiàn)它們所需的協(xié)議消息流。
FIDO協(xié)議與其他相關(guān)行業(yè)標(biāo)準(zhǔn)的關(guān)系。
1.3 FIDO UAF目標(biāo)
為了解決當(dāng)下在強(qiáng)認(rèn)證領(lǐng)域所面臨的問題�����,需要有一個運(yùn)作良好的生態(tài)系統(tǒng)��,一個全面���、開放����、多元化的架構(gòu)���,包括:
多樣化的用戶設(shè)備����,無論是個人的���、企業(yè)發(fā)布的還是企業(yè)BYOD�,多樣化的設(shè)備運(yùn)行環(huán)境��,如家里�、辦公室���、開放場所等。
認(rèn)證器
依賴方應(yīng)用程序及其部署環(huán)境
滿足最終用戶和依賴方的需求
非常重視基于瀏覽器或傳統(tǒng)應(yīng)用的終端用戶體驗
此解決方案架構(gòu)必須具有以下特點:
FIDO UAF認(rèn)證器的發(fā)現(xiàn)�,認(rèn)證和配置
通過FIDO UFA認(rèn)證器實現(xiàn)跨平臺的強(qiáng)身份認(rèn)證協(xié)議
統(tǒng)一的跨平臺的認(rèn)證器API
依賴方簡單的整合機(jī)制
FIDO聯(lián)盟旨在打造一個開放、 多供應(yīng)商�、跨平臺的參考架構(gòu),其具有以下目標(biāo):
支持多因子強(qiáng)認(rèn)證:通過兩個或更多個安全因子對終端用戶的身份認(rèn)證來使服務(wù)提供方避免未經(jīng)授權(quán)的訪問�。
基于但不限于已有的設(shè)備功能:使用設(shè)備內(nèi)置的認(rèn)證器或功能(如指紋、相機(jī)�����、聲紋�����、嵌入式TPM硬件)來進(jìn)行用戶身份認(rèn)證���,也可以使用一些額外的輔助認(rèn)證器。
認(rèn)證機(jī)制的可選擇性:使服務(wù)提供端和用戶選擇最合適的認(rèn)證機(jī)制來盡量減少特定用戶場景下的風(fēng)險����。
簡化新認(rèn)證功能的集成:使組織可以簡便的擴(kuò)展所使用的強(qiáng)認(rèn)證手段以解決新場景、新挑戰(zhàn)并和新的認(rèn)證器功能所匹配�����。
保持可擴(kuò)展性:設(shè)計可擴(kuò)展的協(xié)議和API方便以后使用
盡可能利用現(xiàn)有的標(biāo)準(zhǔn),并使其變得更開放��、更具有可擴(kuò)展性:一個開放����、標(biāo)準(zhǔn)化的規(guī)范套件會帶來一個良性循環(huán)的生態(tài)系統(tǒng),并降低部署強(qiáng)認(rèn)證時遇到的風(fēng)險���、復(fù)雜度和成本?,F(xiàn)有標(biāo)準(zhǔn)主要有下面的問題����,缺乏統(tǒng)一的身份驗證器配置和認(rèn)證,缺少統(tǒng)一的跨平臺的用于身份認(rèn)證API�����,用戶認(rèn)證過程中更靈活強(qiáng)大的的認(rèn)證挑戰(zhàn)-響應(yīng)協(xié)議���。
完善現(xiàn)有的登錄模式和認(rèn)證聯(lián)合方式:現(xiàn)有的工業(yè)解決方案(如OpenID��、OAuth���、SAML等)已經(jīng)在減少對密碼驗證方式和傳統(tǒng)認(rèn)證聯(lián)合方式的依賴了�,但是它們并沒有直接解決用戶和服務(wù)提供端初始的強(qiáng)認(rèn)證交互過程所面臨的問題�����。
對最終用戶隱私的保護(hù):向用戶提供控制服務(wù)提供方對設(shè)備等信息的傳播的能力�����,同時減少服務(wù)端潛在的信息傳播能力�。
統(tǒng)一的最終用戶的體驗:在所有的平臺和類似的身份認(rèn)證器上創(chuàng)建簡單、統(tǒng)一的用戶體驗�����。
2 FIDO UAF 高階架構(gòu)分析
FIDO UAF架構(gòu)旨在滿足FIDO目標(biāo)并產(chǎn)生所需的生態(tài)系統(tǒng)優(yōu)勢�����。 它通過使用標(biāo)準(zhǔn)化協(xié)議和API填補(bǔ)現(xiàn)狀的空白來實現(xiàn)這一點���。
下圖給出了參考架構(gòu)及其組件和用戶�����、服務(wù)提供端的關(guān)系����。
2.1 FIDO UAF 客戶端
它實現(xiàn)了FIDO UAF 協(xié)議中客戶端的部分�,主要負(fù)責(zé):
通過FIDO UAF認(rèn)證器抽象層的認(rèn)證器API來完成和特定FIDO UAF認(rèn)證器的交互;
使用用戶設(shè)備上(如手機(jī)app����、瀏覽器等)特定的代理接口來完成和FIDO UAF 服務(wù)端的交互。舉個例子:FIDO可能會采用瀏覽器現(xiàn)有的插件����,在app上可能會使用FIDO特定的SDK。隨后���,用戶代理負(fù)責(zé)將FIDO UAF 傳送到服務(wù)提供方的FIDO UAF 服務(wù)器上��。
FIDO UAF 架構(gòu)確保FIDO客戶端軟件可以實現(xiàn)跨系統(tǒng)跨平臺的能力�����。盡管每個特定的FIDO客戶端是平臺相關(guān)的�,但是組件間的交互會確保平臺到平臺的一致性的用戶體驗�����。
2.2 FIDO UAF服務(wù)器
它實現(xiàn)了FIDO UAF協(xié)議中服務(wù)端的部分,主要負(fù)責(zé):
服務(wù)端利用FIDO UAF協(xié)議通過設(shè)備用戶代理向FIDO UAF客戶端傳遞信息����。
根據(jù)已配置的認(rèn)證器元數(shù)據(jù)驗證FIDO UAF認(rèn)證器的可靠性,確保只有可信賴的認(rèn)證器注冊使用�����。
管理用戶接入的FIDO UAF認(rèn)證器的認(rèn)證聯(lián)合��。
評估用戶認(rèn)證和交易確認(rèn)響應(yīng)以確定其有效性����。
FIDO UAF服務(wù)器一般又服務(wù)端作為內(nèi)部服務(wù)器進(jìn)行部署,或者又第三方外包服務(wù)商提供�����。
2.3 FIOD UAF協(xié)議
FIDO UAF協(xié)議用于在用戶設(shè)備和依賴方之間傳遞信息�。這些信息主要包括:
認(rèn)證器注冊:FIOD UAF注冊協(xié)議使依賴方能夠:
發(fā)現(xiàn)用戶系統(tǒng)或設(shè)備上可用的FIDO UAF身份驗證器,并把認(rèn)證器的相關(guān)屬性傳遞到服務(wù)依賴端���,使得后續(xù)的安全策略得以確定和執(zhí)行�����。
利用FIDO UAF認(rèn)證機(jī)構(gòu)提供的認(rèn)證元數(shù)據(jù)來對認(rèn)證器的真實性和可靠性進(jìn)行驗證�����。具體來說�����,是通過認(rèn)證器元數(shù)據(jù)中發(fā)布的認(rèn)證公鑰完成驗證�。
注冊認(rèn)證者�����,并將其與依賴方的用戶帳戶相關(guān)聯(lián)�����。一旦認(rèn)證者證明了驗證方�����,依賴方可以提供獨(dú)特的安全標(biāo)識符,該標(biāo)識符是依賴方和FIDO UAF身份驗證器所特有的��。該標(biāo)示符可以通過{RP,Authentication}這樣的對耳朵形式應(yīng)用在后續(xù)的交互過程中�,并且這個標(biāo)示符對其他設(shè)備是不可知的。
用戶認(rèn)證:認(rèn)證過程使用基于加密的挑戰(zhàn)-響應(yīng)認(rèn)證協(xié)議����,并且讓用戶選用認(rèn)證過程中將要使用的具體認(rèn)證器。
確保安全的傳輸過程:如果用戶端認(rèn)證器包含這樣的功能�,依賴方就只需向用戶顯示一個安全消息進(jìn)行確認(rèn)。消息內(nèi)容由依賴方?jīng)Q定�。這個確認(rèn)可以用于各種情況,如金融交易�����、用戶合同確定��、醫(yī)療手續(xù)的確認(rèn)�����。
認(rèn)證器注銷:用戶不再需要服務(wù)時�����,反注冊是一個基本的需求。服務(wù)提供方在驗證認(rèn)證器合法性后刪除本地用戶相關(guān)認(rèn)證數(shù)據(jù)����,隨后向用戶確認(rèn)注銷,用戶刪除UFA憑證完成注銷�����。
2.4 FIDO UAF認(rèn)證器抽象層
它為FIDO客戶端提供統(tǒng)一的API����,可以為FIDO支持的操作提供基于認(rèn)證器的加密服務(wù)���。它向下提供了一個底層的認(rèn)證器插件API���,以便部署多廠商FIDO UAF認(rèn)證器和對應(yīng)的驅(qū)動。
2.5 FIDO UAF認(rèn)證器
FIDO UAF身份驗證器是連接到或安裝在FIDO用戶設(shè)備中的安全實體��,可以創(chuàng)建與依賴方相關(guān)的key等���。密鑰用于參與FIDO UAF強(qiáng)認(rèn)證過程中��。如�����,隨后的FIDO UAF身份驗證器可以使用密鑰材料提供對加密挑戰(zhàn)的響應(yīng)���,從而完成依賴方進(jìn)行認(rèn)證器的身份驗證���。
為了達(dá)到簡單集成可信認(rèn)證功能的目標(biāo),一個FIOD UAF認(rèn)證器需要提供它特有的認(rèn)證類型(如:生物特征)����,功能(如支持的加密算法)和設(shè)備來源等。這為依賴方驗證用戶認(rèn)證器身份的可靠性提供了支持��。
2.6 FIDO UAF認(rèn)證器元數(shù)據(jù)驗證
在FIDO UAF認(rèn)證的過程中����,認(rèn)證是由認(rèn)證器向依賴方提出的需求,認(rèn)證器通過生成密鑰或信息報告來證明認(rèn)證設(shè)備的真實性���。然后有UAF協(xié)議攜帶包含簽名的信息給UAF服務(wù)端進(jìn)行驗證����。首先由認(rèn)證器使用其私鑰進(jìn)行簽名���,然后在服務(wù)端通過認(rèn)證元數(shù)據(jù)中的公鑰進(jìn)行證書驗簽��。元數(shù)據(jù)采用數(shù)據(jù)外放的方式和FIDO UAF服務(wù)器進(jìn)行共享���。
3 FIDO UAF使用場景和協(xié)議消息流
3.1 FIDO UAF認(rèn)證器采集和用戶注冊
用戶將會有多種途徑獲取FIDO UAF認(rèn)證器:比如購買了具有嵌入式FIDO UAF認(rèn)證功能的新系統(tǒng)��,后買了具有嵌入式FIDO UAF身份認(rèn)證器的設(shè)備����,或又其他機(jī)構(gòu)(eg.銀行)分發(fā)得到身份認(rèn)證器��。
獲取了認(rèn)證期之后��,用戶需要向認(rèn)證器進(jìn)行特定的注冊(此注冊過程不再FIDO UAF協(xié)議范圍內(nèi))����。如����,認(rèn)證器設(shè)備是基于指紋的,用戶需要向認(rèn)證器注冊其指紋���。在注冊完成后�,認(rèn)證器就可以在支持FIDO UAF的服務(wù)提供端進(jìn)行下一步的用戶注冊。
3.2 認(rèn)證器注冊
如下給出的FIDO UAF架構(gòu)�,當(dāng)用戶開始進(jìn)行認(rèn)證器初始化并和服務(wù)端發(fā)起交互時,依賴方可以把信息透傳到FIDO服務(wù)器中����。在初始化階段,服務(wù)端將提示用戶檢測到的認(rèn)證器���,并給出用戶注冊相關(guān)的選項���。
3.3 認(rèn)證
注冊后,F(xiàn)IDO UAF身份認(rèn)證器將在隨后用戶和服務(wù)端進(jìn)行身份認(rèn)證時使用����。如果FIDO身份認(rèn)證器不存在時,服務(wù)端將采用各種預(yù)備策略���。這些策略可能包括允許常規(guī)登陸或者因權(quán)限減少而不允許登陸等��。
用戶所使用的FIDO UAF認(rèn)證器有多種類型���。 一些認(rèn)證器可以采樣生物特征數(shù)據(jù),如臉部圖像��,指紋或語音檢測。 一些通過PIN或本地認(rèn)證者特定密碼條目��, 還有一些可能只是一個硬件承載認(rèn)證器���。 這里���,只要遵守FIDO隱私原則,F(xiàn)IDO客戶端就可以與外部服務(wù)進(jìn)行交互 �����。
3.4 加強(qiáng)認(rèn)證(Step-up Authentication)
強(qiáng)認(rèn)證是傳統(tǒng)的網(wǎng)站登陸驗證場景下的補(bǔ)充策略�����。通常網(wǎng)站會允許未經(jīng)驗證或者經(jīng)普通驗證方式認(rèn)證的用戶瀏覽信息��。但是當(dāng)用戶希望有更高價值的交互時����,如進(jìn)入會員專區(qū)等�,服務(wù)端會要求用戶進(jìn)一步認(rèn)證來提高安全級別。
FIDO UAF將幫助實現(xiàn)這種需求���,有FIDO服務(wù)的網(wǎng)站將能識別用戶端系統(tǒng)可用的FIDO UAF認(rèn)證器�����,并從中選擇合適的認(rèn)證器來完成身份的認(rèn)證����。即,根據(jù)用戶對交互的安全要求��,服務(wù)端將根據(jù)客戶端能提供的認(rèn)證方式和網(wǎng)站風(fēng)險分析引擎來動態(tài)的制定認(rèn)證交互標(biāo)準(zhǔn)�。
3.5 交易確認(rèn)(安全交易)
提供FIDO服務(wù)的依賴方結(jié)合有FIDO認(rèn)證器的客戶端可以提供多樣化的服務(wù)。例如之前的網(wǎng)站登錄認(rèn)證和加強(qiáng)認(rèn)證等����。另一個更高級的使用場景就是安全交易的處理。
考慮如下場景�����,依賴方希望最終用戶確認(rèn)交易(例如財務(wù)操作����,特權(quán)操作等)的情況,以便可以檢測到在其到達(dá)終端設(shè)備顯示和返回的路由期間任何篡改交易消息����。FIDO架構(gòu)具有提供此功能的“安全事務(wù)”概念��。如果FIDO UAF身份驗證器具有事務(wù)確認(rèn)顯示功能�,則FIDO UAF架構(gòu)可確保系統(tǒng)支持“你看到的就是你要的”(WYSIWYS)��。很多場景需要這種功能- 主要涉及交易授權(quán)(匯款�,執(zhí)行上下文特定的特權(quán)操作,電子郵件/地址的確認(rèn)等)�����。
3.6 認(rèn)證注銷
在某些情況下�,依賴方可能需要刪除FIDO中與特定用戶帳戶相關(guān)聯(lián)的UAF憑據(jù)認(rèn)證。 例如����,用戶的帳戶被取消或刪除,用戶的FIDO認(rèn)證器丟失或被盜等�����。在這種情況下��,RP可以請求FIDO認(rèn)證器刪除綁定到用戶帳戶的認(rèn)證密鑰���。
3.7 對新FIDO UAF的可擴(kuò)展性
隨著技術(shù)的發(fā)展�����,各種新的認(rèn)證器將會出現(xiàn)��。只要它們是基于FIDO結(jié)構(gòu)的�。則添加對它的支持�����,只需要依賴方在認(rèn)證器描述元數(shù)據(jù)中添加對應(yīng)條目��,和認(rèn)證證書即可�����。用戶就可以通過新型認(rèn)證器和依賴方進(jìn)行交互�。
4 隱私保護(hù)
用戶隱私是FIDO在設(shè)計之初就予以考慮的,并在又UAF提供了支持��。一些核心的隱私保護(hù)設(shè)計如下:
UAF沒有一個全局可見的唯一標(biāo)識符(實現(xiàn)不可鏈接性��,即對同一角色或身份的關(guān)聯(lián))如果出現(xiàn)UAF設(shè)備丟失的情況,撿到設(shè)備的人也無法準(zhǔn)確的將其指向某個服務(wù)方�,并發(fā)現(xiàn)其他關(guān)聯(lián)賬戶。此外����,如果有多名用戶共享某個UAF設(shè)備,且都進(jìn)行過認(rèn)證注冊過程�,依賴方將不能通過UAF協(xié)議來多帶帶識別兩個賬戶在共享設(shè)備。
UAF協(xié)議基于賬戶�、設(shè)備、服務(wù)端生成唯一的非對稱加密密鑰對����。不同服務(wù)端的加密密鑰不能讓他們相互產(chǎn)生任何關(guān)聯(lián),即UAF具有不可鏈接性����。
UAF協(xié)議需要極少量的用戶個人數(shù)據(jù),最多需要提供一個用戶在依賴方的username�����,這個信息指揮用在FIDO的作用過程中�����,如注冊�����、認(rèn)證��、驗權(quán)等�����。這個數(shù)據(jù)信息只存在在用戶端環(huán)境中�����,且只有在必要的時候會做本地永久化處理�����。
在UAF中�����,用戶驗證(用戶生物特征校驗等)在本地執(zhí)行��。UAF不向依賴方傳遞任何生物特征數(shù)據(jù)�����,更不會要求依賴方對它進(jìn)行存儲。
用戶會明確自己使用的某特定廠商的UAF設(shè)備��。只有在用戶同意的情況下����,才會在注冊期間生產(chǎn)唯一的加密密鑰并將其綁定到依賴方。
UAF認(rèn)證器只能通過生產(chǎn)批次或制造商和設(shè)備型號的認(rèn)證證書來識別�。它們不能被多帶帶標(biāo)識。UAF規(guī)范要求廠商要以相同的認(rèn)證證書和私鑰來制造一批100,000個或更多的UAF認(rèn)證器�,以確保不可鏈接性。
5 和其他技術(shù)的關(guān)系
OpenID, SAML, OAuth
FIDO協(xié)議(UAF和U2F)完善了身份聯(lián)合管理(FIM)框架���,如OpenId����、SAML����;也完善了web授權(quán)協(xié)議,如OAuth��。
FIM依賴方可以利用身份提供者(IdP)的初始身份驗證事件��。然而,OpenID和SAML在IdP上沒有定義用于直接用戶身份驗證的特定機(jī)制���。(就是OpenId和SAML只解決了第二公里的問題——通過鑒別后身份憑證的分享�����,沒有解決第一公里——對最終用戶的直接鑒別的問題)
當(dāng)IdP與啟用FIDO的認(rèn)證服務(wù)集成時,它可以配合服務(wù)端進(jìn)行強(qiáng)身份認(rèn)證�。下圖說明了這種關(guān)系?���;贔IDO的認(rèn)證機(jī)制首先被觸發(fā),隨后FIM協(xié)議把這個身份認(rèn)證用于隨后的身份憑證分享����。
原創(chuàng)內(nèi)容,版權(quán)所有�����,轉(zhuǎn)載請注明出處
