下一代身份认证技术FIDO在中韩两国的实践

作者:星期二, 十一月 14, 20170
分享:

上周二,致力于在全球各领域推动“快速在线身份认证”(Fast IDentity Online)的FIDO联盟,在北京举行了其中国大陆首站技术研讨会。以“身份认证与金融科技发展”为主题,探讨了FIDO联盟及中、韩两国工作组的发展现状,国内外的典型案例,目前的挑战与未来。

一、FIDO联盟

据FIDO联盟国际总干事Brett McDowell介绍,FIDO联盟是一个拥有250+的企业和政府成员单位。联盟的核心,是在各国不同领域推广利用“公私钥对”进行在线身份认证的技术标准体系——UAF和U2F,并通过各国工作组反馈不断发展FIDO的技术体系,使其在满足各国合规标准的同时,更具有普适性和易用性。

目前,在全球,有近400个受到FIDO认证的身份认证体系,为超过30亿的账户提供安全的在线身份认证服务。

口令问题,一直是数据泄露、网络钓鱼等安全事件中“挥之不去”的大麻烦;通过移动终端、ukey等外设实现的动态口令(OTP)技术,因为短信平台本身的安全风险、用户的不习惯、无法完全避免钓鱼风险等问题,始终只是权宜之计。这就要求一个新的技术模型,不只是作为公开标准向世界提供,还要实现全球通用、部署简单、用户体验更好,同时又更强力的基于公钥加密的身份认证技术。

这也即FIDO的使命,更简单的部署和使用,以及更强力的安全性保障。

通过移动终端或PC上包括指纹、虹膜、人脸、声纹等生物信息识别&认证模块,在本地证明用户为设备所有者后,再通过线上的公钥加密到服务器端进行设备-身份的认证。同时,这种多因子体验也可以通过PC或移动设备的外设或者内嵌硬件实现。

FIDO标准的七大优势:

一次认证即可;任何支持设备的安全接入;可多次集成;未来的国际化扩展;更低的泄露风险和潜在损害;更多的身份认证选择;更好的用户体验。

当然,FIDO联盟的最终愿景,还是在全球围绕不断发展的FIDO开放标准和不同国家不同领域的授权落地方案,建立起全产业链合作共赢的生态体系。

驱使FIDO标准不断发展的全球合作伙伴

开放新市场的战略合作伙伴

FIDO在中国和全球市场快速发展

二、FIDO在中、韩两国的发展现状

中国对于FIDO联盟的重要性,无论是对FIDO全球市场的贡献,还是FIDO自身技术体系的发展,都是举足轻重的。在FIDO联盟的成立之初,联想、阿里巴巴集团、飞天诚信,便作为董事会成员和最初的推动者,参与其中。

FIDO联盟中国工作组的主席,同时也是国民认证CEO的柴海新博士,在此次研讨会开始,以“聚焦产业力量”为题,详细介绍了FIDO在中国的现状与未来。

1. 中国:行业强监管、身份认证标准碎片化带来了更多挑战

经历了两年多的发展,FIDO在中国的企业/机构成员目前共有34家,授权实验室3家(分别是BCTC、CTTL以及DPLS LAB),服务覆盖1亿用户、100种以上智能手机,每月基于FIDO的身份认证次数超过1.5亿

FIDO中国成员&实验室

FIDO在中国的应用是从金融领域开始起步。虽然FIDO技术本身不具有行业倾向性,但因为中国在移动支付、互金等新兴金融领域的发展势头迅猛,且监管力度强,所以天然对更安全、易用的身份认证技术的需求强劲。反过来,这也为FIDO这一国际联盟如何更普适性地为中国金融行业服务提出了更具体的要求和挑战。

同时,非金融领域的应用也在持续推进中。

FIDO中国金融业的案例

对于FIDO而言,中国和全球市场是非常不同的。无论是技术环境、监管力度,还是用户总量,都是远远不同的。这就要求FIDO要满足中国的法律和监管要求。同时,中国的身份认证标准目前是多方案并存的。这种碎片化在某种程度上制约了产业的发展,FIDO如何和他们达成合作,以及FIDO体系内部如何形成合力,这些都是必须要面对的挑战。

国内市场已支持FIDO的智能手机品牌

在亚太地区,FIDO如何和传统的PKI体系进行集成,是FIDO快速发展所必须面对的挑战。FIDO在中国的推进速度迅猛已经是世人皆知,而同样是在智能移动终端和金融科技领域走在世界前沿的韩国,又有哪些经验值得借鉴?

2. 韩国:核心驱动力在于手机厂商和政府的支持

据韩国Global PD公司(注:提供生物特征识别、金融科技、IoT传感器等领域的咨询服务)的创始人&CEO,同时也是FIDO韩国工作组的副主席Dongpyo Hong介绍,韩国目前同样拥有成员企业34家,覆盖领域包括生物识别、移动设备及运营商、银行和支付卡、政府、安全平台提供商、嵌入式安全解决放方案提供商等,并且是全球拥有最多FIDO授权方案的国家(145UAF+15U2F)。

韩国的FIDO生态

韩国是个智能手机普及率较高,且金融科技应用广泛(政府推动)的国家。FIDO在韩国快速发展的两大主要驱动力,一是来自韩国最大的两个移动手机厂商三星和LG对FIDO的全方位的支持,二是政府主导的技术推广。这些举措使得PKI不再是唯一方案,且两个生态系统也在互相融合;而如传统银行业等金融机构也在积极部署FIDO,以利用最新的身份认证技术节省预算。

FIDO在韩国的发展(金融领域)

FIDO在韩国的金融领域得到了广泛的应用,特别是得到了韩国目前最大商业银行——新韩银行对FIDO的支持。除此以外,FIDO还用于企业级多移动设备多种生物特征的身份认证服务,以及政府所提供的公共服务上。今年,FIDO在韩国的IoT领域,例如AI语音助手,也得到了广泛的关注。

FIDO在韩国不同行业的市场

未来趋势方面,Dongpyo Hong认为,随着之后以平台为中心的FIDO 2.0的发布,使用生物特征代替口令的UAF和U2F标准,将被集成到更多的硬件设备中(如英特尔支持TPM的芯片,支持指纹的加密狗等),来为更多的移动设备提供便捷、安全、内建的身份认证手段。同时,IoT领域,如基于生物特征进行身份认证的智能汽车钥匙,以及通过将FIDO的公钥存储在区块链中以进行更强有力的安全密钥管理,都是可能的发展方向。

三、FIDO今年的典型案例

2014年,FIDO1.0版本应用之初,不同品牌手机厂商还需自行实现对FIDO的支持。而如今,不久的将来就会正式发布的FIDO2.0将成为平台级和标准化的技术,包括安卓、iOS&macOS、Windows(10)等平台都有计划将其作为内置的基础身份认证服务,向消费者提供。

案例1. 联想发布全球首款内建支持FIDO认证标准的PC

英特尔的第7代和第8代酷睿处理器,以OEM的方式集成了FIDO的UAF和U2F协议,消费者可以自行选择通过指纹或双因子认证(输入用户名和口令后,在PC上点击确认按钮实现安全登录)的方式,进行PayPal、Dropbox、谷歌、脸书等网站的身份认证。而联想,是全球第一家将这些支持FIDO的英特尔芯片打包进PC进行出售的厂商。支持机型包括:联想Yoga 920、 ThinkPad X1 Table(2代)、ThinkPad X1 Carbon(5代)、IdeaPad 720S 等。

案例2. 结合行为检测和FIDO的强身份认证

国际健康保险公司Aetna开发,用于通过移动设备访问Web应用的下一代身份认证平台(NGA)已推出多年。在今年7月,为了权衡数据安全和用户体验,以及用户移动设备丢失所带来的潜在欺诈风险,引入了两种强认证方式:一是基于行为的身份认证,通过诸如用户手持移动设备的方式等指标,来评估访问风险并分配对应权限,甚至阻断访问;二是基于FIDO标准,利用生物特征作为用户访问账户的凭证,生物特征数据本地保存,且降低了钓鱼和中间人攻击所带来的潜在风险。

除此以外,还有企业内部员工的身份管理、无人机实名认证、支持生物特征的安防/门禁系统,都是FIDO在金融领域外的典型案例。

在FIDO2.0正式发布后,通过标准化的Web API接口,浏览器提供商将天然实现对FIDO2.0的支持;同时,FIDO2.0还可以将手机作为基础的身份认证设备,通过蓝牙实现多设备(包括平板、PC)和网站的一次认证通过,提升认证便捷性的同时,也避免了钓鱼网站的凭证劫持风险。

四、FIDO在中国的挑战与未来

回到中国,FIDO在中国的挑战,现阶段主要集中在以下两方面:

  • 合规

金融行业是个强监管行业,有着独特的合规要求。这种监管,以国民认证为代表的FIDO中国工作组目前是和包括商密管理局、央行、网信办和工信部在一起推动的。落地所需要的特殊需求,反过来也会帮助FIDO联盟在技术标准方面不断发展,如实现对国密算法的支持等,为适应中国的合规要求不断变化和改进。

  • 标准竞争

随着支付宝,微信支付业务的不断发展,其自有的身份认证标准(分别对应IFAA和SOTER)和生态,也在不断推陈出新。可以看到,产业届对身份认证的重要性的认识是一致的。但标准碎片化严重的现状,是不利用中国快速推进和部署下一代身份认证技术的。同时,支付宝和微信支付受自身业务牵制,也难以在传统银行业和海外推广。这对于FIDO来讲,是挑战也是机遇。

虽然没有很强的技术专利壁垒,但FIDO标准在业内的领先性,以及近乎完整的产业链覆盖,且联盟内部成员间不涉及业务层面的竞争,如能形成合力,将会是持续推动FIDO发展和广泛应用的最大优势。

未来

目前,国内包括国民认证、飞天诚信、中国金融认证中心(CFCA)都在积极的推进FIDO在金融领域的部署。未来,FIDO中国工作组如何在国内“多方割据”的形势下,构建基于FIDO的统一标准,持续拓展物联网、区块链、企业级身份认证服务等非金融领域的行业应用,并积极参与到国家级身份监管标准和体系的建设中。这些是FIDO及其中国成员正在且未来要持续做的事情。

相关阅读

关于FIDO 你了解多少?
英特尔酷睿芯片和联想PC让双因子身份验证无需手机参与

 

分享:

相关文章

写一条评论

 

 

0条评论