第三方支付平台强身份认证中的FIDO应用(二)
发布时间:2021-04-01 09:03:29|浏览次数:2574
四、强身份认证委托解决方案
本节介绍了一种最受欢迎的身份认证机制,第三方支付平台可以使用这种机制对银行委托认证的消费者进行强身份认证。
4.1 FIDO解决方案(双因素)
FIDO解决方案为消费者提供了双因素的身份验证:设备“所有”(第一个因素)和“所知”或“所是”(第二个因素),通过这两个因素对消费者的设备进行身份认证,从而解锁FIDO私钥,对交易进行数字签名。
下面的图2说明了FIDO标准提供的用于认证消费者身份的组件:
图2–FIDO组件
要使用FIDO进行身份认证,消费者必须拥有嵌入在通用设备(如智能手机、笔记本电脑)或单独设备(如安全密钥、智能卡)中的FIDO认证器。下表列出了FIDO认证器的示例。
表1–FIDO认证器
FIDO认证的第一步是认证消费者是否为FIDO认证器的授权所有者。此步骤是由认证器在本地执行的步骤;由认证器认证PIN码、几何图案或生物特征数据。
用户认证数据(PIN码、几何图案或生物特征数据)在本地设备内存储和认证,既不传输到任何服务器,也不与任何服务器共享,这是FIDO的隐私资产和强大安全保护。
FIDO认证的第二步是在线认证,用于证明FIDO认证者的所有权。在该步骤中,第三方支付平台的服务器(通过业务应用程序)向认证器发送挑战消息,该挑战消息由存储在认证器中的私钥进行加密签名。签名的响应将返回给第三方支付平台,正确的认证作为拥有私钥证明。
FIDO标准基于公私钥、电子签名机制。私钥是认证器本身随机生成的密钥对的一部分,任何其他方都不会知道。在生成时,密钥对的公钥以受保护的方式发送给依赖方,以确保其不会被篡改。
认证器为每个依赖方维护唯一的私钥。例如,如果消费者在依赖方1(商家1)和依赖方2(商家2)处拥有帐户,则认证器为依赖方1(商家1)和依赖方2(商家2)生成并存储不同的私钥,每个私钥都被限制仅用于对应的依赖方。
FIDO标准
FIDO UAF (通用认证框架)是一种完全取代口令的FIDO标准。符合FIDO-UAF的认证器支持对用户的PIN码或生物特征数据进行本地认证。典型的UAF实现可以在智能手机中看到。
FIDO2是一种FIDO标准,由WebAuthn(web身份认证)和客户端到身份认证协议(CTAP)组成,WebAuthn是万维网联盟(W3C)组织与FIDO联盟合作指定的一组JavaScript API,这些API合并在本机最新的浏览器中,一种用于浏览器等应用程序连接FIDO认证器的通信协议。与UAF一样,FIDO2不仅能够完全替换移动设备上的口令,而且在配置了适当的安全设备后,还能够完全替代台式机和笔记本电脑上的口令。WebAuthn和CTAP共同标准化了从平台(个人计算机或移动设备)上的浏览器到FIDO认证器的访问。
有关这些标准以及FIDO规范的详细说明,请参见https://fidoalliance.org/download/.
4.2 非FIDO身份认证解决方案
本节列出了不基于FIDO的身份认证解决方案,第三方支付平台可以将其用于强身份认证委托。
4.2.1非FIDO设备生物特征解决方案(单或双因素)
非FIDO生物识别解决方案提供了对消费者的单因素或双因素认证,例如拥有生物识别设备(第一因素)和解锁设备以执行敏感操作的“所知”或“所是”(第二因素)。
这些设备不同于FIDO解决方案,因为这些解决方案是专有的,即在行业标准的范围之外开发,并且通常利用消费者设备和第三方支付平台的服务器之间共享的对称密钥(从而存在所有设备与单个设备泄露的风险),而不是使用公钥加密(将泄露设备的风险限制于该设备)。
4.2.2 SMS OTP(单因素)
短消息服务(SMS)一次性口令(OTP)提供单因素认证(占有系数),并可与另一因素(例如口令(“所知”)或行为生物特征(“所是”)结合使用,以符合强身份认证要求。
SMS OTP成为流行的方式,原因有以下几点:
•可在用户拥有的任何设备上使用。
•它不需要任何额外的软件或硬件,因此易于扩展。
•对依赖方基础设施的要求是最低限度的,即他们可以聘请合作伙伴来提供短信服务。
但是,SMS OTP也有一些缺点:
•不便利性:从消息传递应用程序检索OTP、记下它、并在商家或钱包环境中输入,给用户带来了很大的不便利性。
•日渐增加的安全漏洞:这类漏洞与电信系统的弱点、使用第三方服务提供商的短信服务(保护级别不足)、网络钓鱼攻击等有关。
4.2.3口令(单因素)
口令提供单因素身份认证(“所知”),并可与另一因素(通常是“所有”因素)结合使用,以符合强身份认证要求。口令被广泛用作身份认证因素,但在可用性方面存在缺陷(很难记住所有口令、设置口令的规则不同等),并且存在安全漏洞(口令较弱、容易受到网络钓鱼、数据库黑客攻击等)。
4.2.4 行为生物特征(单因素)
行为生物特征提供单因素身份认证,并可与另一因素(通常是设备占有因素)结合使用,以符合强身份认证要求。
根据欧洲银行业管理局对PSD2(EBA-Op-2019-68)强身份认证要素的意见,行为生物特征识别被确定为一种内在因素,只要它“与身体部位的物理特性、生理特征和身体产生的行为过程以及这些因素的任何组合有关”。此外,“任何基于内在的方法的实施(质量)将决定其是否构成合规的内在要素”。
行为生物特征识别是一种可以轻松对消费者身份认证的方法,例如,基于消费者键入、刷卡或持有设备的方式,但由于会采集过多用户隐私,可能某些数据会被限制收集,最终影响认证结果。
五、为什么选择FIDO作为强身份认证委托
消费者、第三方支付平台以及银行都可以从FIDO作为强身份认证委托的使用中获益。FIDO解决方案的主要优点:
•提供更好的用户体验;
•完全符合PSD2;
•标准化,提供了完整的互操作性和更好的市场接受度;
•高度安全,能够抵御网络钓鱼攻击;
•设计时考虑隐私;
•可扩展且易于部署。
5.1 更好的用户体验
消费者更喜欢使用安全、便捷的机制进行身份认证,更希望在不同的支付方式中获得一致的用户体验。与OTP/口令解决方案不同,FIDO不需要输入身份验证码。
用户体验可以简单到扫描人脸或指纹(当存在生物特征时)或输入PIN码或几何图案–消费者可以使用他们每天使用数十次的身份认证机制解锁计算设备,从而无需记忆不同的口令。
当然,在用户的便捷体验背后,一个完整的多因素认证过程仍然会在第三方支付平台发生。
5.2 符合PSD2
银行有责任对其消费者进行认证,因此正在探索是否符合PSD2法规的要求。
文件“FIDO标准如何满足PSD2关于强身份认证的监管技术标准要求”解释了FIDO是怎样完全符合PSD2要求,特别是以下要求:
•基于两个独立因素进行认证:
为了使用FIDO进行认证,消费者必须拥有FIDO认证器,该认证器集成在通用设备(如智能手机、笔记本电脑等)中,或者单独的设备(如安全密钥、智能卡等)中。由于使用了安全保存在设备中的私钥(用于生成不可复制的断言),FIDO身份认证提供了安全的占有证明–FIDO身份认证符的占有满足了认证消费者所需的两个要素中的第一个要素。
第二个元素由“所有”(生物特征)因素或“所知”(例如,PIN或几何图案)因素组成,由FIDO认证器(FIDO UAF和FIDO2)进行本地认证。FIDO断言在有效的生物特征认证后生成,并对挑战进行数字签名,从而断言认证的成功结果。
•FIDO支持远程支付的动态链接要求,因为FIDO认证器可以对传入的消息进行签名,该消息将挑战与事务细节结合起来。
5.3 与基于标准的解决方案的完全互操作性
第三方支付平台寻求跨设备、平台和支付方式保持一致的机制。
FIDO是平台本地支持的标准,因此在大多数设备上都可以直接使用FIDO认证器,并且应用程序或网页(使用WebAuthn API)可以统一地访问。
FIDO认证计划认证FIDO产品是否符合FIDO规范,并在市场内进行互操作,例如,FIDO2认证的服务器可以接受来自任何FIDO2认证的认证者的协议消息,而不考虑其制造商。这使第三方支付平台能够使用一种认证解决方案,该解决方案在遵守FIDO规范的同时被证明是可互操作的,并允许消费者利用跨设备和网站工作的认证程序。
5.4 安全性
FIDO可以提供与硬件OTP生成器类似的安全级别。实际上,FIDO认证器大部分实现在SE、TEE中。
指定的FIDO认证器的安全级别由其FIDO证书来证明。FIDO联盟执行了一个非常严格的认证计划,不仅测试解决方案的互操作性,而且还测试它们的安全级别。
FIDO协议具有强大的措施,可通过以下方式防止网络钓鱼攻击:
•FIDO客户端对web源(网站的统一资源定位器或URL)的认证;
•由FIDO认证器生成的加密断言,对web源站(挑战消息中的其他数据元素)进行签名,由依赖方在认证步骤中认证。
总之,这些措施有效地防止了中间人的攻击和网络钓鱼企图。
FIDO安全认证计划提供了对FIDO认证器实现的安全级别的独立评估。评估通常由FIDO认可的实验室进行,并由FIDO技术人员评估完成,从而获得正式的FIDO认证。
5.5 设计时考虑到隐私问题
FIDO方法使用公钥加密密钥进行身份认证。它不依赖于与任何依赖方共享或存储在任何依赖方对互联网的系统上的敏感生物特征数据.更多详情请参见FIDO隐私原则白皮书.
5.6 部署/可扩展性 FIDO是一种本机支持的平台标准,并且通过处理注册的方式,简化了部署和可扩展性。FIDO认证器不需要预先配置到特定的商家或钱包。加密密钥对的生成发生在消费者向第三方支付平台注册其FIDO设备时。与一个商户一起使用的FIDO认证器可以注册为与另一个商户一起使用;每次生成特定于该商户或钱包的新私钥/公钥对时。由于只有公钥被传输到商家或钱包服务器(以及与FIDO协议有关的其他数据元素),因此不需要像其他解决方案那样使用安全的供应服务器。 本机平台支持:由于最新Android和iOS版本对FIDO身份认证的本地支持,许多智能手机都在设备中嵌入了FIDO身份认证程序,这大大简化了部署和扩展过程。windows10本身也支持FIDO,因此外部FIDO认证器(包括智能手机)可以通过嵌入式CTAP接口连接到个人计算机。不需要安装驱动程序。 对于设备,支持FIDO的智能手机可以在带外访问,以进行用户身份认证。 全球范围:FIDO是一个行业标准,这一事实有助于向大多数使用者部署身份认证器。FIDO供应商社区提出了一系列FIDO认证的设备,这些设备可以与FIDO认证的服务器进行互操作。第三方支付平台在FIDO服务器上的投资将允许他们接受各种兼容的FIDO设备。 帐户恢复:与依赖于设备的其他解决方案一样,FIDO认证器的丢失可能阻止用户对事务进行认证。但是,如果其他解决方案需要新设备,FIDO认证者可以使用任何现成的FIDO认证设备。例如,丢失智能手机后,消费者可以快速购买另一部智能手机,然后再次向第三方支付平台注册以重新获得访问权限。 非对称电子签名:FIDO使用非对称加密技术,这使得与依赖方(第三方支付平台)和希望认证FIDO断言数据的银行(或其代理)共享公钥变得更加简单。基于对称口令学的解决方案需要不同的各方就安全地共享对称密钥的机制达成一致。