針對(duì)網(wǎng)絡(luò)空間可信身份建設(shè)中的統(tǒng)一互聯(lián)網(wǎng)用戶身份認(rèn)證管理問(wèn)題，本文介紹了基于ISO/IEC 11889可信平臺(tái)模塊的快速網(wǎng)絡(luò)身份認(rèn)證（Fast ID Online，F(xiàn)IDO）應(yīng)用。

背景：網(wǎng)絡(luò)身份安全事件頻發(fā)

首先簡(jiǎn)單回顧一下兩起嚴(yán)重的網(wǎng)絡(luò)空間身份盜用事件：

在一起協(xié)同進(jìn)行的復(fù)雜網(wǎng)絡(luò)襲擊中，黑客以孟加拉國(guó)央行官員的身份向紐約聯(lián)儲(chǔ)發(fā)出了數(shù)十條加密信息，最終造成孟加拉銀行損失了8100萬(wàn)美元，這是迄今為止，全世界范圍內(nèi)的銀行因?yàn)楸痪W(wǎng)絡(luò)身份盜而損失最嚴(yán)重的一次。同時(shí)，這件事情也為全世界的銀行敲響了警鐘。

另外一起在央視曝光的銀行卡盜刷黑產(chǎn)事件，“每條信息都有卡主的姓名、銀行卡號(hào)、身份證號(hào)、銀行預(yù)留手機(jī)號(hào)碼以及銀行密碼”，記者在文件中隨機(jī)選取了七十個(gè)不同省份的信息進(jìn)行驗(yàn)證。其中，身份信息和電話號(hào)碼全部正確，除了5個(gè)銀行密碼錯(cuò)誤，其余65個(gè)銀行卡密碼全都正確，可謂觸目驚心。

以上事件不過(guò)是眾多安全事件中的冰山一角，可見(jiàn)網(wǎng)絡(luò)身份已經(jīng)面臨非常嚴(yán)重的威脅。網(wǎng)絡(luò)身份認(rèn)證不僅關(guān)系到個(gè)人信息安全，而且影響某個(gè)國(guó)家和組織的利益，其重要性不言而喻。

FIDO身份認(rèn)證介紹

要解決網(wǎng)絡(luò)身份的可信問(wèn)題，網(wǎng)絡(luò)身份的基礎(chǔ)設(shè)施必不可少，需要在應(yīng)用、政策、管理、協(xié)同、監(jiān)管上建立面向人、物的聯(lián)合平臺(tái)。技術(shù)層面上，人、物都是客觀存在的物理事實(shí)，把這些物理事實(shí)接入網(wǎng)絡(luò)，與身份認(rèn)證的基礎(chǔ)設(shè)施交互，需要分布式的身份采集／認(rèn)證子系統(tǒng)，為個(gè)人、通信服務(wù)和其它各種類型的服務(wù)提供平臺(tái)。這些要素從技術(shù)體系上組成了網(wǎng)絡(luò)身份認(rèn)證的框架。

快速網(wǎng)絡(luò)身份認(rèn)證（FIDO）是一個(gè)專注于身份認(rèn)證的國(guó)際行業(yè)標(biāo)準(zhǔn)，F(xiàn)IDO通過(guò)易用的客觀物理事實(shí)，如指紋、人臉、虹膜代替口令（Password），統(tǒng)一分布式的認(rèn)證器系統(tǒng)，統(tǒng)一開(kāi)放的基于密碼算法的認(rèn)證協(xié)議，基于風(fēng)險(xiǎn)策略的身份認(rèn)證基礎(chǔ)設(shè)施，來(lái)進(jìn)行可信身份認(rèn)證。對(duì)于用戶來(lái)說(shuō)，刷指紋，刷臉等方式訪問(wèn)網(wǎng)絡(luò)服務(wù)，勝在用戶體驗(yàn)。

那么FIDO足夠安全嗎？如何保證身份認(rèn)證信息的安全性呢？這就需要可信平臺(tái)模塊（TPM）的參與了。FIDO規(guī)范定義可基于TPM可以形成安全環(huán)境，保護(hù)FIDO用戶的網(wǎng)絡(luò)身份驗(yàn)證憑據(jù)。TPM芯片是高等級(jí)的安全芯片，國(guó)民技術(shù)的可信密碼模塊通過(guò)了我國(guó)商用密碼產(chǎn)品型號(hào)認(rèn)證和國(guó)際通用高等級(jí)安全認(rèn)證，安全性有保障，已得到廣泛應(yīng)用。

FIDO標(biāo)準(zhǔn)組織聯(lián)合W3C（萬(wàn)維網(wǎng)聯(lián)盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規(guī)范中詳細(xì)定義了基于TPM的認(rèn)證器實(shí)現(xiàn)。這意味著所有瀏覽器都要支持基于TPM的FIDO認(rèn)證協(xié)議。特別需要說(shuō)明的是，基于ISO/IEC 11889可信平臺(tái)模塊應(yīng)用的FIDO2.0可以直接使用中國(guó)密碼算法SM2進(jìn)行簽名驗(yàn)證機(jī)制，國(guó)產(chǎn)密碼算法又多了一個(gè)全球一致化的應(yīng)用，使得FIDO身份認(rèn)證的安全性是更上一層樓。

IfattestationStatement.core.versionequals2, the following algorithms can be used by FIDO Authenticators:

1.TPM_ALG_RSASSA(0x14). This is the same algorithm RSASSA-PKCS1-v1_5 asfor version 1 but foruse with TPMv2.attestationStatement.header.alg="RS256".
2.TPM_ALG_RSAPSS(0x16);attestationStatement.header.alg="PS256".
3.TPM_ALG_ECDSA(0x18);attestationStatement.header.alg="ES256".
4.TPM_ALG_ECDAA(0x1A);attestationStatement.header.alg="ED256".
5.TPM_ALG_SM2(0x1B);attestationStatement.header.alg="SM256".

有興趣的小伙伴請(qǐng)參考下面的鏈接：

https://www.w3.org/Submission/fido-key-attestation/

Windows可信身份認(rèn)證應(yīng)用：Microsoft Passport

Windows登錄使用的Microsoft Passport基于FIDO標(biāo)準(zhǔn)框架建立，同時(shí)使用了可信平臺(tái)模塊提供的FIDO認(rèn)證密鑰保護(hù)機(jī)制，達(dá)到了領(lǐng)先的安全性水平。認(rèn)證密鑰在可信模塊中生成，私鑰將永遠(yuǎn)不會(huì)在物理安全芯片之外使用。

Microsoft Edge瀏覽器直接支持FIDO2.0, W3C Web Authentication,可以直接基于TPM保護(hù)的密鑰做FIDO協(xié)議的身份認(rèn)證，為全球和中國(guó)用戶提供了一致的、開(kāi)放的領(lǐng)先的身份認(rèn)證安全方案。

如果您購(gòu)買新的Windows機(jī)器，就可以體驗(yàn)基于TPM的FIDO安全。小編特別推薦中國(guó)版本的Surface系列，它使用了我們國(guó)產(chǎn)可信平臺(tái)模塊芯片。

總結(jié)

目前，在FIDO2.0應(yīng)用中，可信平臺(tái)模塊已成為設(shè)備身份、個(gè)人身份的同一個(gè)安全載體。FIDO2.0規(guī)范與W3C規(guī)范融合，為ISO/IEC11889-2015標(biāo)準(zhǔn)定義的可信平臺(tái)模塊在網(wǎng)絡(luò)空間身份認(rèn)證的規(guī)模應(yīng)用提供了基礎(chǔ)。

借助ISO/IEC 11889 TPM2.0標(biāo)準(zhǔn)，我國(guó)商用密碼算法的國(guó)際生態(tài)環(huán)境再次拓展，為中國(guó)自主信息安全產(chǎn)業(yè)全球競(jìng)爭(zhēng)提供了有力的平臺(tái)，從而有利于中國(guó)自主產(chǎn)業(yè)快速參與到國(guó)際產(chǎn)業(yè)競(jìng)爭(zhēng)中，更大規(guī)模在全球部署以中國(guó)密碼算法為核心的自主信息安全技術(shù)，實(shí)現(xiàn)“你中有我，我中有你”的合作共贏安全戰(zhàn)略目的。