今年4月，FIDO和W3C在基于Web的“强身份认证”（Stronger Authentication）上取得了重要突破。通过标准Web API——WebAuthn，Web应用开发者可以轻松调用FIDO基于生物特征、安全、快速的在线身份认证服务。上周二（11月27日），FIDO联盟和W3C在京联合举办技术研讨会，公开了其技术理念和细节。

这个世界正深受口令所带来的隐患和困扰。这些可能的危害已经显而易见。

——FIDO联盟执行理事 Brett McDowell

Brett McDowell

先再简单介绍一下FIDO。

拒绝共享生物特征 聚焦身份认证

传统的身份认证方式，无论是使用口令还是指纹等生物特征，几乎都要通过用户和服务器两侧的凭证匹配来完成。但是，随着数据泄漏的频发，全球的个人用户已经意识到，即使诸如雅虎、脸书这样规模，依赖互联网和用户信任的企业，也难以做到杜绝数据泄漏。邮箱、重要的业务系统出现异常登陆，我们还可以通过更换口令补救，但生物特征则无法如此随意。

摆在我们面前的有两条路可选，要么停止使用方便且天然具备唯一性的指纹、虹膜等生物特征，要么使用另一种认证方式，个人的生物特征在本地安全存储且任何应用无法获取这些数据。显然，前者并不可取，至少不适应目前技术发展的大趋势。

FIDO联盟是全球性的行业协作，致力于不依赖“共享秘密”解决传统口令（password）给身份认证所带来的弊端。随着移动互联网在中国的迅猛发展，FIDO生态在中国也在不断壮大。目前，联盟在中国的董事会成员包括：阿里巴巴、联想、飞天诚信、以及中国台湾的神盾股份（Egis）。

基于公私钥对的非对称加密体系，只在本地的可信执行环境（TEE）中存储用户的生物特征信息，是FIDO相较于传统身份认证方式的两个重要不同点。

在FIDO2正式发布前，FIDO支持两种认证协议，UAF和U2F。

用我们常见的简单场景举例，UAF类似通过手机上指纹模组完成的app登陆或支付操作，方便快捷，他人也无法偷窥获得你的登陆凭证，几乎不再需要任何口令字符串，无论是强口令还是弱口令；U2F则类似常见的口令+短信验证码的双因子认证场景，例如Google和Steam平台所使用的，在手机端安装的身份认证app，登陆应用时不只需要输入用户名和口令，还需要及时输入身份认证app动态变化的认证码。U2F的一个典型优势是，即使你用于登陆某Web站点的口令不幸泄漏，比如误入了钓鱼网站，你也不需要担心攻击者能够成功冒充你，只要他没有得到能够提供动态认证码的设备。

今天，无论是FIDO 1.0时代的UAF、U2F，还是包含WebAuthn和CTAP的FIDO2，都已经突破了FIDO这一业界联盟内部规范，上升成为了相关国际标准制定机构（ITU国际电信联盟/W3C万维网联盟）的正式标准。同时，在适配层面，FIDO也近乎完成对底层硬件（安全芯片，生物特征鉴证器），操作系统（安卓和Win 10），以及最新版本主流浏览器（Chrome、Edge、Firefox提供原生接口）的支持。这些成果不仅体现了FIDO的安全、便捷、对隐私保护的重视，还包括了和易用性（开发者角度）的平衡。不夸张地说，FIDO已经初步实现了“无处不在”的身份认证体验。

那么，FIDO2正式发布后，增加了哪些技术场景？

FIDO2的与众不同

如果说FIDO UAF适用典型B2C（企业-个人）场景，U2F更适用典型B2E（企业-雇员）场景的话，那么包含WebAuthn API和CTAP协议两部分内容的FIDO2多场景的普适支持。

FIDO2分为WebAuthn和CTAP协议两部分。先说说和W3C合作的WebAuthn。

如上文所介绍的，Web Authentication（https://www.w3.org/TR/webauthn/）由W3C和FIDO联盟一起完成的标准制定，目前仅在Win10和安卓系统下，有三款主流浏览器Chrome、Edge、Firefox提供原生支持，可使用平台认证器（即内置在PC上）或漫游认证器（如手机，平板，智能手表等），通过WebAuthn接口调用FIDO服务，完成Web应用的强身份认证。

当然，因为W3C标准的一般性，所以不只是浏览器，任何Web应用，如使用html5语言开发的手机app，都可以调用该接口。好处有两点，一是通过WebAuthn接口Web应用的开发者可以更容易的以一个统一标准调用FIDO服务，二是让FIDO2强身份认证能力支持的场景通过浏览器和Web应用得以延伸的更加广泛。

再介绍下CTAP（客户端到认证器）协议。

CTAP本质上是U2F的延伸。通过使用独立的手机、USB设备，或PC内置的平台认证器，完成Window 10系统上的身份认证。苹果也有类似的场景。比如没有指纹模组的MacBook，可以通过同一Apple ID使用iPhone完成macOS上App Store中应用的购买和支付确认操作。这也可以应用于Windows 10系统，如企业内部OA登陆的身份认证操作，就可以通过蓝牙连接的手机或其它合法的USB漫游身份认证器实现。

也就是说，只要你随身携带你的手机或一个可作为漫游身份认证器的USB鼠标，你就可以在世界上任何一台联网的Win 10 PC上，使用指纹或其它生物特征，安全、便捷地完成企业内部办公系统登陆时的身份认证操作。

银行场景的典型实践

即使FIDO作为“次世代”身份认证技术有如此之多的优势，但结合各国国情以及各行业发展现状，如何快速、大范围的应用推广，仍是FIDO联盟目前面临的重要挑战。分享各国的成功应用实践，也是举办FIDO技术研讨会的核心初衷。

兼顾中国移动互联网和不同行业的发展现状，会在中国首先愿意尝试FIDO体系的，不难想象仍会是金融行业。对于更安全、更易用和先进的身份认证技术体系，金融行业显然更有理由和意愿进行前期投资。手机银行便是一个典型应用场景。

来自民生银行信息科技部安全运营中心的项目经理牛博强，在会上简要分享了FIDO在民生银行的实践。

互联网时代银行体系内的身份认证主体已经不局限在凭证数据，而是要对具体的人、认证设备和进行认证的环境，提出更多的要求。其中重要的两点，就是能保证过程的隐私性和认证结果的可靠性。

同时，在不同的业务场景，不同的业务策略下，如何达成统一的终端身份认证策略，保证用户合法，认证设备合法，所能接入和访问的服务合法，是目前民生银行身份认证能力建设的三个重要目标。

牛博强介绍，FIDO在民生银行的落地主要包括三个阶段。第一阶段是从2016年起，实现手机银行对FIDO协议，以及指纹、虹膜登录和支付能力的支持，覆盖了民生银行80%的app。第二阶段，认识到终端认证工具单一，抗抵赖性不足，场景适配能力弱等问题后，民生银行开启了移动数字证书（phone as a token）能力的建设。2018年，第三阶段，基于WebAuthn接口，主要针对内部系统进行认证能力建设，减少内部员工口令的使用。

未来，在保障身份的安全和可靠的前提下，手机银行才能承担更多的银行业务。这个前提，对于民生银行和合作伙伴开展的金融服务一样重要。

与数字证书的结合

FIDO保障的安全性，与其自身特有的便捷性，和金融体系中广泛应用的数字证书方案，也可以有很好的结合。

中国人民银行在银发【2016】261号通知明确表示，“除向本人同行账户转账外，银行为个人办理非柜面转账业务，单日累计金额超过5万元的，应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。”在银行这样一个强合规行业，对数字证书的支持，是FIDO在中国银行业完全落地的必要条件。

CFCA电子认证部产品经理张翼表示，一是从合规角度，二是从安全角度，银行不能仅依靠FIDO完成交易的安全保障。

银行除了登录、支付场景需要进行身份认证外，还有更高级别的身份认证要求，比如签署大额的转账合同。这就需要电子签名、电子签章类的产品，实现数据的不可篡改和可追溯。

据了解，招商银行和光大银行，已经率先在手机银行、企业银行中，结合生物特征和数字证书，完成免密登录、免密交易、在线签约等功能。

在技术实现方面，据国民认证的CTO李俊介绍，FIDO和数字证书结合的方案，思路上和之前的UAF类似，只是用CA的数字证书和数字签名技术，为服务器侧的公钥提供了更多一层的保障，同时为客户端的数字签名提供了符合监管要求的格式。技术标准上和FIDO（UAF）以及现有PKI体系兼容，易于手机厂商和银行的集成与部署，同时天然满足对隐私保护的监管要求。

IoT场景下的合作

此次参加FIDO北京技术研讨会的，还有较特殊的一方，来自腾讯领御针对IoT场景的TUSI。腾讯无线安全产品事业部副总经理申子熹介绍，今年5月，TUSI正式发布了身份区块链服务，TUSI可信标识可串联多场景下人与物的关系，并在脱敏后将其存储在区块链平台上，通过索引的方式，提供同人不同场景的交叉认证服务。

IoT场景下，设备、人之间的关系交叉复杂，身份认证的最大困难在于交叉认证和信任链的传递。目前，FIDO在IoT的思路是简化对设备的认证，甚至只认证设备具备唯一性的参数（如DeviceID）。通过在FIDO服务器预置IoT设备根证书的方式，通过证书链而不是单次验签，依次完成对设备公钥证书和私钥的认证。同时，IoT设备规模庞大，相较于一机一密的方案，同一型号的设备对应一个公钥，这在一定程度上简化了运维的负担。

未来，申子熹表示，将寻求和FIDO联盟具体的合作方式，推动下一代身份认证技术在智慧城市等项目中更多的应用与落地。

FIDO中国发展展望

FIDO相关国际标准的正式发布，意味着已经开启了一个全新的身份认证时代。跨设备，多操作系统、浏览器以及生物特征认证方式支持，对开发者的友好，对隐私保护的重视，和强身份认证的安全能力，无疑都是FIDO的重要优势。

谈到FIDO在中国的发展，FIDO联盟中国工作组主席，同时也是国民认证CEO的柴海新博士向记者表示，未来，中国市场的安全身份认证标准，不会是现有的其中任何一家。FIDO和其他联盟的讨论始终没有停止。

我们的最终目的，一是作为FIDO在中国的布道者，促成FIDO在中国市场的广泛应用；二是为国家的身份认证体系框架和技术规范的制定，提供力所能及的支持。

未来，除了会持续满足中国本土的监管要求（如对国密算法的支持），以及可见的在IoT领域和TUSI的合作外，柴海新还表示，为大型企业的员工办公场景提供强身份认证服务也会是FIDO一个重要的应用方向。