FIDO技术原理简介

FIDO联盟成立于2013年2月，其目标主要是解决强认证设备之间缺乏互操作性以及用户创建和记忆多个账号及口令所面临的问题。FIDO联盟目前拥有超过260个企业成员，包括设备制造商、操作系统厂商、银行、支付卡组织、安全和生物识别厂商以及多个政府部门，包括苹果、微软、Intel、ARM、Google、Paypal、VISA、MasterCard、RSA、三星、华为、联想、小米、阿里巴巴等重量级企业都是FIDO的成员。FIDO联盟提出的UAF/U2F技术规范被誉为身份鉴别领域的最佳实践的方案。

区别于传统用户名/口令的单步鉴别模式，FIDO UAF协议实现了两步走的身份鉴别方式，其工作原理如下图所示：

第一步：由用户终端设备（认证器）验证用户身份，验证方式可以多种多样，目前通常采用生物识别技术（指纹、人脸、声纹、虹膜等），验证通过后，从而解锁保存在认证器中的用户私钥；

第二步：使用解锁的用户私钥对响应消息进行签名，FIDO服务器端使用该用户对应的公钥进行验签，从而完成整个身份鉴别流程。

通过“两步走”的认证方式，FIDO UAF模型有效地分割了安全风险。传统用户名/口令鉴别方式中用户的秘密都存储在服务器端并进行比对，一旦服务器被攻破，所有用户的秘密都将泄露；而FIDO将用户的秘密前移到用户设备端，由设备中的认证器组件完成对用户身份的鉴别。这样做的好处是：首先，用户秘密都存储在用户设备端，不会上传到服务器，这样避免了服务器被攻破时用户账户及生物特征模板泄露所造成的损失。由于用户生物模板存储在本地设备的安全区域，没有访问秘钥无法解锁和访问，这样就保证了生物特征模板的安全，即便设备丢失也无需担心秘密泄露。其次，设备中的认证器组件可以是多种多样的，例如指纹认证器、虹膜认证器、3D人脸认证器等等，这样就可以在用户设备端即插即用新的身份鉴别手段，而FIDO服务端不需要进行大的改动，从而提高身份鉴别系统的可扩展性，降低部署成本。

一、通用性：

国际工业标准，统一的后台服务可以适配所有支持FIDO的智能终端设备。

二、安全性：

· 隐私保护。生物特征信息及其产生的私钥保存在手机硬件可信环境中，不上传到云端。

· 硬件级安全保障。采用可信执行环境（TEE）或安全芯片执行关键操作及安全存储秘钥，保证安全隔离。

· 网络安全通信。会话数据采用SSLTLS加密，有效抵御网络窃听。

· 终端设备验证。设备认证器预置验证私钥，可由服务端进行验签，确保设备本身的合法性。

三、扩展性：

· 两步走认证方式，先由终端设备认证用户，再由后端服务认证终端设备，使得认证手段和认证协议相分离，扩展性和兼容性更高。

· 支持多种生物识别方式，多样化的认证手段采用统一的认证协议，是的不同的认证手段（如指纹、人脸、虹膜等）可以共用同一个身份认证后端服务，系统建设成本更低。

四、可用性：

· 用户体验好，用户仅需进行生物特征识别，无需记忆口令，无需携带辅助设备，拥有更快捷、更安全、更自然的用户体验。

与其他静态口令、OTP、USB Key等常见身份鉴别方式对比，FIDO方案的优势体现在如下方面：

安全原理层面：

FIDO本质是采用公私钥签名/验签的方式，实现用户身份认证，通过生物识别的方式获得私钥授权；因此FIDO在安全原理上与PKI体系是同属一个安全级别，远远高于静态口令、短信验证码、OTP令牌等传统安全认证方式。由于生物识别技术的引入，与传统通过口令获得私钥授权的安全性相比有全面提升，而且易用性得到显著提高。

安全体系层面：

FIDO认证原理结合上述安全原则、策略与机制，使得在安全体系层面能够有效抵御钓鱼攻击、木马攻击、第三方应用劫持、重放攻击等针对性攻击，整体安全体系与PKI体系应同属一个安全级别。

由上可知，FIDO技术标准有效地解决了身份鉴别技术领域中存在的“孤岛”问题，在加强了系统安全性的同时，提高了身份鉴别的便捷性，改善了用户体验，并有效地保护了用户隐私，是当今业界在身份鉴别领域理论的最佳实践，代表了现代身份鉴别技术的发展趋势。

目前基于FIDO技术标准的身份鉴别解决方案已经在国际上和国内大范围应用。采用FIDO身份鉴别方案的应用服务提供商包括：Paypal、Google、ebay、美洲银行、甜橙金融、工商银行、中国银行、民生银行、贵阳银行、国泰君安、爱奇艺、国家政务服务平台等等，主要覆盖了大型第三方支付公司和银行证券等金融行业以及政企行业；而大部分移动设备制造商也对FIDO协议提供了大力的支持，目前已经支持FIDO UAF标准的设备厂商包括：三星、LG、夏普、SONY、华为、小米、联想等等。FIDO技术标准正在逐渐成为整个产业链（从设备端到服务端）共同遵循的身份鉴别规范，为可信身份产业贡献力量。