FIDO 2.1协议简介

FIDO联盟已经正式发布了FIDO2的更新，其中包括了CTAP协议第2.1版本、WebAuthn Level 2。本次优化更新，主要集中在企业办公、远程办公及更优的体验上。在远程办公由于疫情影响逐渐常态化的当下，这对企业安全来说无疑是一剂良药。

本次版本更新，主要有七大变动

1、企业认证（Enterprise Attestation）

原有的Attestation，只支持认证器、Client两个级别，对于企业而言，更希望Attestation能定制、同所属员工关联。CTAP2.1中添加的Enterprise Attestation，使得企业可以简单的对FIDO认证器增加特定标识数据，管理员可以对认证器的分发、使用进行追踪。由于这一功能会泄漏部分用户私有信息，认证器厂商不可在toC的版本中激活此功能。应由使用企业，在分发到员工前额外配置。

详细内容可参考：

https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html#sctn-feature-descriptions-enterp-attstn

2、跨域iFrame的支持

这个功能允许第三方应用在其界面内调用银行等身份认证系统，并通过嵌入的界面完成身份认证。2.0版本中，不允许iFrame的调用，以此来防范中间人（man-in-the-middle）、恶意宿主应用（man-in-the-browser）攻击。2.1版本为完成这项能力，提供了一种非常安全、可靠和加密的方式，而不会泄露从多个origin（如原始供应商、用户的银行账户、信用卡发行商等）提取的数据。这项能力也能在一些带宽低的场景（比如蓝牙、信号差的wifi），让认证流程无需再重复后台、前台网络请求，从而带来更加流畅的用户体验。

3、支持Apple Attestation

Apple已经在去年正式加入了FIDO联盟，这项更新将支持苹果设备上的Attestation，包括MAC OS、iOS系统。Apple使用了匿名证书体系，这一体系会在Apple的云端，对认证器产生的每一个凭据生成一个Attestation证书，以保证当前认证器信息不被泄露。

详细内容可参考：

https://www.w3.org/TR/webauthn-2/#sctn-apple-anonymous-attestation

4、更好的生物特征管理

CTAP2.1版本中，增加了生物特征录入、管理能力，用户可以在当前认证器上注册多个生物特征。额外的，企业可以限制最小PIN码长度。当前移动设备基本都有人脸或指纹识别，这项更新使得FIDO紧随认证趋势。

5、Large Blob存储数据

认证器可以额外的存储数据，比如一些对应证书。这项能力对一些认证场景会非常有益，比如使用认证器就可以完成SSH链接。

详细内容可参考：

https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html#authenticatorLargeBlobs

6、加强匿名认证Discoverable Credentials

针对匿名认证场景，认证器属性进行了补充。匿名认证，允许认证器弹出用户选择框，供选择，好处是无需服务端先确认Credential ID。在一些特定的使用场景，比如登录，匿名认证有广泛的使用前景。

7、持续的用户验证

这是一项新增配置，是用于认证器必须每次都进行身份验证的场景。原有的认证器实现，是否需要身份验证依赖于服务端，这一版本对此进行了单独设计，认证器可以自行配置以持续使用身份验证。以确保一些特殊的场景，必须要进行身份验证。