針對網絡空間可信身份建設中的統一網際網路使用者身份認證管理問題,本文介紹了基于ISO/IEC 11889可信平台子產品的快速網絡身份認證(Fast ID Online,FIDO)應用。
背景:網絡身份安全事件頻發
首先簡單回顧一下兩起嚴重的網絡空間身份盜用事件:
在一起協同進行的複雜網絡襲擊中,黑客以孟加拉國央行官員的身份向紐約聯儲發出了數十條加密資訊,最終造成孟加拉銀行損失了8100萬美元,這是迄今為止,全世界範圍内的銀行因為被網絡身份盜而損失最嚴重的一次。同時,這件事情也為全世界的銀行敲響了警鐘。
另外一起在央視曝光的銀行卡盜刷黑産事件,“每條資訊都有卡主的姓名、銀行卡号、身份證号、銀行預留手機号碼以及銀行密碼”,記者在檔案中随機選取了七十個不同省份的資訊進行驗證。其中,身份資訊和電話号碼全部正确,除了5個銀行密碼錯誤,其餘65個銀行卡密碼全都正确,可謂觸目驚心。
以上事件不過是衆多安全事件中的冰山一角,可見網絡身份已經面臨非常嚴重的威脅。網絡身份認證不僅關系到個人資訊安全,而且影響某個國家群組織的利益,其重要性不言而喻。
FIDO身份認證介紹
要解決網絡身份的可信問題,網絡身份的基礎設施必不可少,需要在應用、政策、管理、協同、監管上建立面向人、物的聯合平台。技術層面上,人、物都是客觀存在的實體事實,把這些實體事實接入網絡,與身份認證的基礎設施互動,需要分布式的身份采集/認證子系統,為個人、通信服務和其它各種類型的服務提供平台。這些要素從技術體系上組成了網絡身份認證的架構。
快速網絡身份認證(FIDO)是一個專注于身份認證的國際行業标準,FIDO通過易用的客觀實體事實,如指紋、人臉、虹膜代替密碼(Password),統一分布式的認證器系統,統一開放的基于密碼算法的認證協定,基于風險政策的身份認證基礎設施,來進行可信身份認證。對于使用者來說,刷指紋,刷臉等方式通路網絡服務,勝在使用者體驗。
那麼FIDO足夠安全嗎?如何保證身份認證資訊的安全性呢?這就需要可信平台子產品(TPM)的參與了。FIDO規範定義可基于TPM可以形成安全環境,保護FIDO使用者的網絡身份驗證憑據。TPM晶片是高等級的安全晶片,國民技術的可信密碼子產品通過了大陸商用密碼産品型号認證和國際通用高等級安全認證,安全性有保障,已得到廣泛應用。
FIDO标準組織聯合W3C(網際網路聯盟,World Wide Web Consortium)在W3C Member Submission送出的FIDO 2.0: Key Attestation Format規範中詳細定義了基于TPM的認證器實作。這意味着所有浏覽器都要支援基于TPM的FIDO認證協定。特别需要說明的是,基于ISO/IEC 11889可信平台子產品應用的FIDO 2.0可以直接使用中國密碼算法SM2進行簽名驗證機制,國産密碼算法又多了一個全球一緻化的應用,使得FIDO身份認證的安全性是更上一層樓。
If attestationStatement.core.version equals 2, the following algorithms can be used by FIDO Authenticators:
1. TPM_ALG_RSASSA(0x14). This is the same algorithm RSASSA-PKCS1-v1_5 as for version 1 but foruse with TPMv2.attestationStatement.header.alg="RS256".
2. TPM_ALG_RSAPSS(0x16); attestationStatement.header.alg="PS256".
3. TPM_ALG_ECDSA(0x18); attestationStatement.header.alg="ES256".
4. TPM_ALG_ECDAA(0x1A); attestationStatement.header.alg="ED256".
5. TPM_ALG_SM2(0x1B); attestationStatement.header.alg="SM256".
有興趣的小夥伴請參考下面的連結:
https://www.w3.org/Submission/fido-key-attestation/
Windows可信身份認證應用:Microsoft Passport
Windows登入使用的Microsoft Passport基于FIDO标準架構建立,同時使用了可信平台子產品提供的FIDO認證密鑰保護機制,達到了領先的安全性水準。認證密鑰在可信子產品中生成,私鑰将永遠不會在實體安全晶片之外使用。
Microsoft Edge浏覽器直接支援FIDO 2.0, W3C Web Authentication,可以直接基于TPM保護的密鑰做FIDO協定的身份認證,為全球和中國使用者提供了一緻的、開放的領先的身份認證安全方案。
如果您購買新的Windows機器,就可以體驗基于TPM的FIDO安全。小編特别推薦中國版本的Surface系列,它使用了我們國産可信平台子產品晶片。
總結
目前,在FIDO 2.0應用中,可信平台子產品已成為裝置身份、個人身份的同一個安全載體。FIDO 2.0規範與W3C規範融合,為ISO/IEC 11889-2015标準定義的可信平台子產品在網絡空間身份認證的規模應用提供了基礎。
借助ISO/IEC 11889 TPM2.0标準,大陸商用密碼算法的國際生态環境再次拓展,為中國自主資訊安全産業全球競争提供了有力的平台,進而有利于中國自主産業快速參與到國際産業競争中,更大規模在全球部署以中國密碼算法為核心的自主資訊安全技術,實作“你中有我,我中有你”的合作共赢安全戰略目的。