FIDO认证器生命周期管理

对在线应用程序和服务的安全访问已经发展成为一个依赖于设备、公私钥加密和生物识别的技术框架，取代了日渐落后的口令。自2013年以来，FIDO联盟开发了开放、可扩展的升级功能，以防止网络钓鱼和其他安全攻击。为了介绍这些功能，并在整个企业管理和IT安全方面对员工进行教育，FIDO联盟制定了一系列最佳实践和操作方法白皮书，使联盟的目标同专业技术人员保持一致。这项工作致力于消除口令、保护企业内登录等简单行为。

本白皮书适用于IT管理员和企业安全架构师，帮助在企业中部署FIDO认证器并定义生命周期管理策略。

FIDO联盟意识到每一个企业的安全策略都是独一无二的，由其内在需求和所在行业决定。在本白皮书中，我们总结了不同类型的身份认证器，并指导在企业中怎样管理它们。希望在我们的指导下，能使企业的认证器生命周期管理策略与其安全策略、潜在风险达到平衡。

认证器是用户拥有的物理硬件或软件应用，它支持安全地创建凭据、生成断言。凭据是由认证器生成的公钥/私钥对。私钥永远不会在认证器的安全芯片之外共享。在凭据注册期间，凭据ID和公钥发送至应用方（RP）。本文档介绍认证器的生命周期管理。有关FIDO凭据生命周期管理的更多详细信息，我们后期也将陆续进行介绍。

FIDO认证器在企业中可用于多个身份认证场景，包括桌面登录、web单点登录（SSO）和APP登录。适用于双因素身份认证（2FA）和无口令身份认证。认证器有不同的形式和类型，包括平台嵌入认证器和跨平台漫游认证器。

本文将介绍以下认证器部署场景：

•场景1：企业只允许使用平台嵌入式认证器

•场景2：企业只允许使用漫游认证器

•场景3：企业允许混合使用嵌入式和漫游认证器

认证器的生命周期管理在每个场景中都是不同的，在计划推出FIDO之前，企业必须核查并知晓每个部署场景的优点和缺点。

在场景1中，平台嵌入式认证器绑定到用户的设备。升级和更换设备将导致现有FIDO凭据不可用。凭据不能从一个身份认证器传输到另一个身份认证器。用户必须使用新的平台绑定认证器并注册新凭据，方可重新使用。

在场景2中，漫游认证器的生存期与设备无关。用户可以替换认证器、使用辅助/备份认证器以及使用新认证器注册新凭证而不需要升级设备，反之亦然。在这种情况下，丢失或放错认证器的可能性比场景1要高。用户需要为恢复场景注册两个或多个认证器备用。

在场景3中，企业兼具场景1和场景2的优缺点。有的用户使用平台嵌入的认证器，有的用户可能使用漫游认证器，也有的用户可能同时使用两种认证器，这取决于应用的功能和场景。当两种类型的认证器都被允许时，用户可以使用漫游认证器引导平台认证器开通。

1.新员工入职

企业在新员工入职时，可以采用不同的身份认证注册和身份绑定模式。

• 委派：由受信任的机构或人员，如IT管理员、人力资源代表、工资管理员或员工的经理，向新员工颁发FIDO认证器，当前仅开通有限权限。例如，用户只能使用凭据登录到桌面计算机或自助注册门户。受信任的权限可以设置一个临时PIN进行用户认证，并请求用户首次登录后更改PIN。一旦认证器交给用户，用户使用它来完成自助注册过程，并将它们绑定到企业内部身份中、提权。

  
  

• 自助服务：新员工自助访问服务、注册门户并注册成为新的认证者。FIDO认证器可以是员工管理或公司管理，在入职过程中交给或转交给员工。在这种模式中，员工在注册时会经历远程身份认证过程，使用临时注册码或口令来证明其企业身份。

2.向在职员工推出FIDO认证器

在推出FIDO认证时，员工可以利用现有的身份认证程序作为FIDO注册的信任锚。根据企业的风险评估，现有的认证方式可能具有同等或较低安全级别。其他认证方式包括智能卡、一次性口令（OTP）令牌和带外（OOB）移动身份认证器。为了保留FIDO身份认证提供的身份认证保证级别，我们建议在为账户注册新的FIDO凭据时以尽可能高的保证级别对用户进行身份认证。员工访问自助注册门户，使用有效的多因素认证器登录，再使用认证器注册FIDO凭证。

3.离职员工

当员工离职时，IT管理员必须确保其FIDO凭据被吊销，以杜绝任何有意或无意访问员工账户和公司资产的行为。公司政策可能要求离职员工退还其认证器，这种策略通常适用于PC或办公终端属于公司，或公司拥有的漫游认证器。可以重置认证器并将其分配给其他用户。

4.替换丢失的FIDO认证器

联盟建议依赖FIDO的各方（包括企业）为每个用户配置多个FIDO认证器，以防在认证器丢失时出现账户锁定的情况。除了FIDO认证器，企业还可要求用户将非FIDO的多因素认证器注册并绑定到其账户，在FIDO认证器丢失时作为备用。当然，由于成本、服务器限制或安全策略等原因，不必为每个用户都注册多个认证器。企业必须有适当的流程和代替的用户认证方案，以便在备份认证器不可用时恢复对账户的访问并代替丢失的认证器。这些方式的选择主要取决于企业风险管理策略、身份认证场景和企业期望的用户体验。

总的来说，企业有多种方式可以选择，包括以下情况：

• 服务台撤销绑定丢失的认证器凭据，并使用注册码或远程身份认证方法为员工订购新的认证器进行自我注册。

•同样，经理审核员工的身份，并协助员工进行恢复/认证器更换过程。

•员工经历远程身份认证过程，该过程包括多个认证步骤，如政府身份认证、移动身份认证、远程生物特征认证等，并自行注册替代身份认证器。

•在注册并将替换的FIDO认证器绑定到其企业身份之前，员工向被信任的身份认证提供者进行身份认证，这个过程可能用到FIDO身份认证。

•员工关联了另一种多因素认证方式。如果可行的话，员工使用一种替代的非FIDO强身份认证技术。然后，就可以自助进行与丢失的认证器关联的现有凭据的吊销，以及随后新凭据的注册。

5.自己的认证器 vs 公司所有的认证器

FIDO联盟发现，公司安全策略是独特的，并由公司和所在行业的需求决定。本白皮书的目的是提供指导，公司可以按照公司现有的安全策略和风险评估来使用。

我们可以利用自带设备（BYOD）场景时经常使用的术语。当公司提供硬件认证器时，我们可以将它们分为两类：公司所有、仅业务（COBO），公司所有、个人启用（COPE）。顾名思义，COBO认证器仅适用于工作/学校账户，而COPE认证器也可用于个人账户。但是，目前没有标准化的机制来防止COBO认证器用于个人账户。建议企业以同样的方式对待COBO和COPE认证器。FIDO认证器为用户提供了一个在数字化生活中提高个人数字安全的机会。

6.BYOA的考虑因素

自带（BYO）部署模式在过去十年中变得很受欢迎，因为这个模式允许用户使用他们喜欢的设备和平台。BYO可以节省硬件成本，但如果没有一个设计良好的BYO支持模型，会增加支持成本。虽然FIDO认证确保了认证器、客户和应用方的互操作性，但认证器的初始配置因供应商而异。即将推出的凭证管理和生物特征管理功能，会通过提供通用接口来减少差异，但与任何新功能一样，它们的广泛使用还需要一些时间。

BYOA有三种主要应用场景：

1．用户被要求提供自己的认证器，并有资格获得帮助台支持。

2．用户可以选择使用自己的认证器，并有资格获得帮助台支持。

3．用户可以选择使用自己的认证器，但没有资格获得帮助台支持。

场景1节省了硬件成本，但可能增加支持成本。请注意，在某些地区，员工不能被要求在没有硬件和/或时间补偿的情况下使用个人设备，因此根据当地法律和/或社会规范，这种情况可能不适用。

场景2为用户提供了一个很好的平衡，可能会节省硬件成本，但是支持成本可能更高，因为公司提供的和BYO认证程序都需要帮助台的支持。

场景3本质上是“我们不会阻止它”的场景。在个人生活中利用FIDO认证器的精明用户可以在工作中继续这样做，但无权获得认证器的帮助台支持。

实际上，所有部署都需要一部分公司提供的认证器，因为总会有用户不愿意购买或想要使用个人设备。还有一种情况是访问者需要机构的访问权限，并且可能没有自己的认证器。承包商就是一个很好的例子，长期承包商可能像员工一样需要分配一个公司所有的认证器。

7.对公司拥有的认证器的考虑

由机构发行的设备通常为最终用户提供更高的支持保证。通过向所有用户发出相同的硬件漫游身份认证器，或者允许用户从支持的集合中进行选择，这样前端IT支持人员在出现问题时更容易为用户提供帮助。这种常见的支持模式带来了巨大的潜在前期资金成本，随着新用户增加和机构壮大会成为经常性开支。当用户与机构的关系发生变化时，需要求用户返还其认证器，从而重置和启用认证器，最大限度地节约成本。在重新分配之前，对认证器进行完全重置至关重要。

应提前进行成本效益分析，以确保退回认证器的运输和处理成本不大于购买新认证器的成本。而在大型的全球部署中，这些成本会很高，允许用户保留硬件认证器的方式反而能够节约成本。

对于希望将特定硬件漫游认证器与用户关联的机构，企业认证（EA，enterprise attestation）可以提供帮助。EA允许基于客户企业策略配置、认证器中的配置或在明确的用户同意之后向RP公开认证器的唯一硬件标识符。EA还使得硬件认证器制造商能够为机构创建特殊认证器，该机构具有被烧录到硬件中的RP ID的不可变列表，并且具有允许经由EA公开设备标识符的标志。这是一种类似智能卡的体验，其中登录将绑定到与用户关联的身份认证器。

在讨论手机时，设备通常被归为公司所有和BYOD。另一个重要维度是非托管与托管。无论所有权如何，托管设备通常都具有额外的资源调配和取消资源调配功能，包括对FIDO认证器应用程序的潜在管理。

通常，公司拥有的身份认证设备（如智能卡和OTP令牌）仅限于COBO。该限制不适用于公司所有的FIDO认证器。FIDO2认证器未绑定到特定的标识或标识提供程序。它们可以用来生成和注册任何FIDO RP的凭证，并将其绑定到任何身份，为用户提供灵活的体验。

由于没有标准化的方法来阻止认证器注册到另一个RP，因此应告知并教育COBO和COPE部署中的用户使用公司提供的认证器进行个人账户操作存在的潜在风险。这些风险也包括可能无法访问仅由公司拥有的认证器保护的个人账户。

认证器的生命周期管理在企业中对于保持员工生产力和管理安全风险具有非常重要的作用。

通常，IT经理和安全架构师有责任制定使用身份认证器的策略和流程，以及在获取身份认证器后和整个生命周期的所有阶段如何管理身份认证器，包括初始引导和绑定到企业标识、丢失或损坏后的替换，重置和重新分配，以及员工离职后的处理等。

IT经理和安全架构师制定策略和流程时需要明确及考虑的主要因素包括：

•工作环境中允许和不允许的认证器。例如，策略可以指定身份认证器的类型（平台或漫游）、品牌和型号、安全功能等；

•允许或禁止员工自带认证器；

•在员工离职时返还公司所有的认证器；

•重置和重新分配或处置返还的所有认证器；

•为员工拥有的认证器提供技术支持；

•在注册认证器和启动FIDO凭据期间进行用户身份认证；

•允许在身份认证器丢失的情况下使用备用身份认证方法进行紧急访问，以确保用户访问的连续性；

•撤销凭证和更换丢失的认证器。

这些政策和流程应在FIDO推出计划之前制定完毕，并与公司风险评估和业务目标保持一致。

有关在企业中部署FIDO的更多信息和其他注意事项，请参阅以下白皮书：

•在企业中接受FIDO凭据

•在企业中部署FIDO服务器的注意事项