FIDO（快速在線身份認證），作為有可能因為其更好的安全性、便捷性、適配性以及隱私保護，并結合日趨成熟的生物特征識別技術，作為最有可能替代傳統的靜/動態口令驗證方式替代的行業最佳實踐，已經從由聯想、PayPal等6家企業創立之初，擴大到現在的252家成員企業（注：截止到2016年7月），近乎囊括業界所有領先IT廠商。

為何FIDO會如此受行業歡迎？它在技術實現上又有哪些優勢？

什么是FIDO

隨著指紋、人臉、虹膜識別等生物特征識別技術的日益成熟，移動身份認證技術的種類也趨于多樣化。同時，移動設備碎片化嚴重、接口不統一（沒有兼容多種認證手段的統一認證協議）、兼容多應用困難等問題也日益凸顯。而FIDO(Fast Identity Online)作為業內創新的移動端身份認證最佳實踐，通過“將認證方式與認證協議分離，利用硬件設備內嵌的安全能力,對多設備多應用的不同身份認證方式提供同樣的支持”這一技術實現思路，可以很好地解決上述問題。

2012年7月成立的FIDO聯盟，在2014年12月推出了其1.0版本的技術規范，包括致力于“無密碼體驗”（生物特征）的UAF標準，和“雙因子體驗”（口令和特定設備）的U2F標準。除了在解決不同身份認證技術領域“技術孤島”問題上的優勢外，FIDO還可以解決口令或短信驗證碼等傳統移動端認證方式風險過于集中、輸入不方便等問題。

UAF協議的技術實現

在工作原理上，UAF協議利用移動端的認證器（例如TEE、TPM等芯片），解鎖不同認證方式的特定密鑰，生成一公私鑰對。私鑰存儲在認證器的內部，公鑰則通過UAF的標準化鑒別協議，代表用戶向服務器認證。即完成設備對人，服務端對設備的“兩步認證”。而移動端上認證器組件的安全性在整個UAF協議實現的過程中就變得尤為重要。認證器的底層將完成這一公私密鑰對的維護和管理工作。

在應用的服務器端，FIDO服務器將要保管認證器元數據（包括認證器基本屬性、制造商、根證書、加密算法等信息），以及用戶公鑰的安全存儲；同時，在數據傳輸過程中，將會強制使用TLS加密通道。

在UAF協議的流程上，主要包括用戶注冊、認證器鑒證、鑒別、交易確認、注銷這五種流程實現。

交易確認流程是UAF鑒別流程的一個特定應用場景。相較于“鑒別流程”，“交易確認”加入了“交易文本”，并需要用戶最終進行人工的“交易確認”。在整個交易過程中還有一個關鍵點，就是需要移動端可以實現對文本的安全顯示（屏幕顯示的文本內容可被惡意代碼篡改），現在主流的方式是通過TEE（可信執行環境）提供的TUI（可信用戶界面）來實現。

UAF中的安全設計

在安全性設計方面，UAF協議主要遵從以下三點：

1. 認證手段與認證協議分離

手段與協議分離的主要目的，是通過標準化的身份認證協議，實現用戶移動端對任意身份認證方式的對接。UAF協議除了解決生物特征的“不可撤銷性”（即難以像口令一樣重置）以外，其生物特征數據由移動端認證器進行安全存儲、服務端只保存用戶公鑰等特點，使得用戶的敏感信息在數據安全性方面也得到了一定程度的保障。

2. 認證協議無第三方參與

UAF框架是典型的C/S架構，只由客戶端和服務端組成，且均向上層提供標準化接口。UAF協議中沒有引入任意諸如可信應用管理(TAM)、可信服務管理(TSM)等平臺，從而實現降低運營成本的同時，減少產業鏈環節帶來的安全干擾因素。

3. 不可鏈接性的實現

UAF不提供全局性的設備唯一標識符，而是通過一個二元組或是三元組，來唯一確定用戶設備身份，實現用戶身份憑證的碎片化。移動端認證器的鑒證密鑰也不是每設備唯一的，而是由至少10萬臺設備共享，這也是為了防止因為“唯一性”而導致的“可追蹤性”被惡意利用。

FIDO中國組以及技術標準的本土化工作

FIDO聯盟目前有十一個工作組，大致分為“標準與技術”和“市場相關”兩個大類。目前區域性的FIDO工作組只有中國、印度和日本。而中國工作組則主要致力于FIDO在中國的落地、市場推廣以及相關技術協議的標準化工作。

據國民認證首席架構師李俊介紹，在FIDO協議的本土化方面，目前已經完成了UAF 1.0的技術文檔的翻譯工作，以及對國密算法的支持。目前正在嘗試與PKI證書的結合，以及推動同時符合中國市場需求和政府監管要求的安全技術標準的制定。

在FIDO認證服務方面，在FIDO中國工作組的推動下，FIDO聯盟也于今年11月18日和泰爾實驗室(CTTL)正式達成合作，成立泰爾-FIDO授權檢測實驗室。作為全中國也是全球的第一家擁有FIDO聯盟授權的常設檢測實驗室，將為FIDO聯盟中的企業成員（不局限于中國企業）提供相關的檢測和本地化認證服務，從而有效降低本土企業去國外進行相關檢測與認證的成本。

作為FIDO中國工作組的主席，同時也是國民認證的CEO柴海新博士，對此次FIDO聯盟和泰爾實驗室的合作向記者表示，FIDO作為業界的最佳實踐，雖然從架構上天然比傳統的身份認證方式更安全，是魚和熊掌（安全性和便捷性）兼得的產物，但是要實現真正在中國市場的廣泛應用，還有很多工作要去做。

不只是第三方支付領域，在線身份認證技術已經成為了整個移動互聯網的基礎設施，每個國家都對它都有不同的要求，FIDO聯盟也正積極的展開和各國政府間的合作與探索。FIDO聯盟和泰爾實驗室在之后具體的合作過程中，國民認證會是該授權測試與認證實驗室的主要技術提供方，也是泰爾實驗室和FIDO聯盟溝通的一個橋梁。FIDO技術自身也在不斷發展，這些技術的變化反映到測試和認證過程中如何去做，這就是國民認證要弄清楚的事情。

好的技術在國內需要有“鼓吹者”，但更重要的，是要根據中國的市場需求和監管要求，倒推FIDO技術本身的前行；甚至之后出現中國版的和FIDO兼容的在線身份認證協議，讓那些已經實現對FIDO支持的國內外企業在準備進入中國市場時，技術層面不需要做太多的變化。口令已死，把原來的用戶名-口令這種身份認證體系徹底替換掉，這才是我們真正要做的事情。