第三方支付平台强身份认证中的FIDO应用（三）

六、以符合要求的方式实现FIDO

本节将介绍第三方支付平台，如何在满足PSD2、提升用户体验的前提下，使用FIDO。

6.1 集成FIDO组件

FIDO组件包括FIDO认证器和FIDO服务端，二者结合实现强身份认证。

在部署FIDO时，第三方支付平台可以自行开发不同的FIDO组件，或从认证过的FIDO供应商处采购组件。当涉及到FIDO认证器时，他们可以使用本机嵌入到用户设备中的平台认证器（Android或windows10中的API可以很容易地将这些平台认证器集成到第三方支付平台中）。已认证的FIDO产品可在官网查询。

商家也可以选择与他们的支付服务提供商（PSP：Payment Service Provider）合作，由后者开发FIDO组件。例如，PSP可以向商户提供SDK，商家将其集成到他们的应用程序中。如果解决方案可以在支付外一并支持登录，商家也就无需再单独维护登录。

6.2 初始注册过程

第三方支付平台进行远程交易前，需要完成三个步骤。

6.2.1 实人验证（ID&V）

银行须确保向商户或钱包注册支付工具的消费者是该支付工具的合法所有者，然后才能将其对该支付工具的认证委托给该商户或钱包。

商家或钱包可能会使用不同的身份认证机制，让银行对消费者进行身份认证，并确认消费者是支付工具的合法所有者。对于基于卡的ID&V方案，标准方法是第三方支付平台使用带有挑战流的EMV 3DS协议（支付流程或非支付流程皆可）。

商户或钱包可以决定在交易期间或交易之外执行身份认证流程，只要银行对消费者进行实人验证。

6.2.2 FIDO认证器注册

一旦商户或钱包收到银行的确认--消费者是支付工具的合法所有者，他们要求消费者同意注册其FIDO认证器以进行后续认证。

如果这是消费者首次在其设备上使用FIDO认证器，他们会在FIDO认证器中设置其用户认证方法（例如，生物特征或PIN）。注意，设置过程可能因身份认证器的不同而不同。如果认证器之前是与其他依赖方一起设置的，或者在平台认证器的情况下，由使用者在配置其设备时预先设置的，则可以跳过此步骤。

消费者在一次成功认证后，认证器会为第三方支付平台生成新的FIDO密钥对。

6.2.3 FIDO认证器绑定

一旦获得同意，第三方支付平台将FIDO凭据同用户、银行相关联。添加新的银行（并对该支付工具执行新的ID&V）时，可以重复此步骤。

当消费者的设备上创建了FIDO凭证，银行可能会期望第三方支付平台与其（或其代理）共享注册数据，包括正在使用的FIDO认证器的信息。这可以使银行（或其代理）：

•验证FIDO认证器是否符合银行的政策，

•将消费者、第三方支付平台绑定，

•存储必要的FIDO公钥数据，用于验证后续认证。

6.3 结账、交易过程

6.3.1 FIDO凭据标识

结账时，消费者选择支付通道（银行）。第三方支付平台确认付款通道已绑定，并且为消费者创建了FIDO凭据。

对消费者进行身份认证之前，第三方支付平台要确保消费者可以访问FIDO凭据，因为它可能是在不同于消费者发起结账的设备上删除或创建的。在使用浏览器的情况下，第三方支付平台可以使用cookies或localstorage来识别消费者设备上是否有可用的FIDO凭据。

6.3.2 消费者认证

一旦第三方支付平台确定消费者可以使用FIDO凭据，他们会提示用户认证，以便：

•允许访问商户（或钱包）账户和存储的支付通道，和/或

•认证使用存储的支付通道启动的交易。

用户认证成功后，将生成签名响应（FIDO断言），并发送第三方支付平台的FIDO服务器进行验证。

消费者使用体验

消费者可以有两种方式体验：

1、消费者在结账时通过FIDO认证，或

2、消费者在结账前通过FIDO认证，使用商户或钱包（登录）访问其账户，在这种情况下，第三方支付平台可以：

a. 在结账时再次使用FIDO对消费者进行身份认证，以符合PSD2动态链接的要求，并使消费者更加确信他们的购买是安全的，或者

b. 与银行的合同中约定，如果满足某些条件，则选择不重复FIDO认证，包括（但不限于）：

i 消费者在FIDO认证的五分钟内完成结账。

ii 消费者确认交易金额和商户身份。

iii 动态链接不依赖于FIDO签名响应，而是依赖于不使用FIDO生成的不同身份认证码。

6.4 使用多个FIDO认证器

许多消费者有多个FIDO认证器，可能位于多个设备（电话、平板电脑、个人电脑等）上，虽然可以在一个设备上签出并在另一个设备上进行身份认证，但消费者可能希望能够在其任一设备上进行身份认证，而不是占用特定设备进行身份认证。

场景一：消费者在初始注册阶段（执行ID&V）为同一支付工具注册多个FIDO认证器。如果在与银行的合同协议中约定了这一点（或在国内和国际方案提供的合同框架内），则第三方支付平台无需重复身份认证流程来注册这些FIDO认证机构。

场景二：消费者为同一支付工具注册多个认证器，但在时间与初始注册过程不同。在这个场景中，每次消费者添加新的FIDO认证器时，通常都需要经历一个新的初始注册过程。如果在与银行的合同协议中约定（或在国内和国际方案提供的合同框架中约定），第三方支付平台可以选择对消费者进行认证，只需通过最初为该支付工具注册的FIDO认证机构进行认证，无需银行参与。

相同的FIDO认证器可以在所有商户界面上使用，包括浏览器、应用，而不需要消费者为每个界面上注册新的FIDO凭据。签名的FIDO响应始终生成，并与商户共享以进行认证。可以应用以下场景：

1、FIDO认证器最初通过安装在消费设备上的应用程序注册：

a.消费者在同一设备上访问的网页可以使用相同的FIDO认证器。

b.同一FIDO认证器可用作漫游认证器，即在不同设备（带外）上对消费者进行认证。

2、FIDO认证器最初是通过消费者在其设备上访问的商家网页注册的；消费者在同一设备上安装的商家应用程序可以使用相同的FIDO认证器。

如果FIDO认证器或FIDO认证器所在的消费者设备丢失或被盗，消费者需要经历新的初始注册过程来注册新的FIDO认证器。

七、与银行共享的FIDO数据

如第3.2.1节（详情请查阅《第三方支付平台强身份认证中的FIDO应用（一）》）所述，银行与第三方支付平台有不同程度的信任关系，因此要求在交易时与商户（或其代理）共享不同数量的信息。

本节详细介绍了第3.2.2节中描述的与银行共享证据的选项-共享此类证据的协议包括EMV 3D安全和其他通信协议，这些协议可能在其API中使用类似级别的数据共享，例如EMV Secure Remote Commerce、Open Banking API和其他国内或国际API标准。

委托认证框架可由国内或国际支付方案提供，以确定选项与每个远程用例的关联，以及与银行（或其代理）共享的正确数据量。

在“最小共享，最大信任”模型中，第三方支付平台仅通过FIDO进行了身份认证，但没有与银行共享FIDO数据。

例如，在EMV 3DS 2.2中，可以通过“3DS Requestor Challenge Indicator”字段发送信号，值为“07-未请求挑战，已执行强身份认证”。第三方支付平台还可以将“3DS请求者身份认证方法”中使用的FIDO指示为值“06-使用FIDO认证器登录3DS请求者系统中的持卡人账户”。