江苏龙网

  1. 首页 > 生活 > >

FIDO 是啥( 二 )


当然,因为W3C标准的一般性,所以不只是浏览器,任何Web应用,如使用html5语言开发的手机app,都可以调用该接口。好处有两点,一是通过WebAuthn接口Web应用的开发者可以更容易的以一个统一标准调用FIDO服务,二是让FIDO2强身份认证能力支持的场景通过浏览器和Web应用得以延伸的更加广泛。
再介绍下CTAP(客户端到认证器)协议。
CTAP本质上是U2F的延伸。通过使用独立的手机、USB设备,或PC内置的平台认证器,完成Window 10系统上的身份认证。苹果也有类似的场景。比如没有指纹模组的MacBook,可以通过同一Apple ID使用iPhone完成macOS上App Store中应用的购买和支付确认操作。这也可以应用于Windows 10系统,如企业内部OA登陆的身份认证操作,就可以通过蓝牙连接的手机或其它合法的USB漫游身份认证器实现。
也就是说,只要你随身携带你的手机或一个可作为漫游身份认证器的USB鼠标,你就可以在世界上任何一台联网的Win 10 PC上,使用指纹或其它生物特征,安全、便捷地完成企业内部办公系统登陆时的身份认证操作。
银行场景的典型实践
即使FIDO作为“次世代”身份认证技术有如此之多的优势,但结合各国国情以及各行业发展现状,如何快速、大范围的应用推广,仍是FIDO联盟目前面临的重要挑战。分享各国的成功应用实践,也是举办FIDO技术研讨会的核心初衷。
兼顾中国移动互联网和不同行业的发展现状,会在中国首先愿意尝试FIDO体系的,不难想象仍会是金融行业。对于更安全、更易用和先进的身份认证技术体系,金融行业显然更有理由和意愿进行前期投资。手机银行便是一个典型应用场景。
来自民生银行信息科技部安全运营中心的项目经理牛博强,在会上简要分享了FIDO在民生银行的实践。
互联网时代银行体系内的身份认证主体已经不局限在凭证数据,而是要对具体的人、认证设备和进行认证的环境,提出更多的要求。其中重要的两点,就是能保证过程的隐私性和认证结果的可靠性。
同时,在不同的业务场景,不同的业务策略下,如何达成统一的终端身份认证策略,保证用户合法,认证设备合法,所能接入和访问的服务合法,是目前民生银行身份认证能力建设的三个重要目标。
牛博强介绍,FIDO在民生银行的落地主要包括三个阶段。第一阶段是从2016年起,实现手机银行对FIDO协议,以及指纹、虹膜登录和支付能力的支持,覆盖了民生银行80%的app。第二阶段,认识到终端认证工具单一,抗抵赖性不足,场景适配能力弱等问题后,民生银行开启了移动数字证书(phone as a token)能力的建设。2018年,第三阶段,基于WebAuthn接口,主要针对内部系统进行认证能力建设,减少内部员工口令的使用。
未来,在保障身份的安全和可靠的前提下,手机银行才能承担更多的银行业务。这个前提,对于民生银行和合作伙伴开展的金融服务一样重要。与数字证书的结合FIDO保障的安全性,与其自身特有的便捷性,和金融体系中广泛应用的数字证书方案,也可以有很好的结合。
中国人民银行在银发【2016】261号通知明确表示,“除向本人同行账户转账外,银行为个人办理非柜面转账业务,单日累计金额超过5万元的,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。”在银行这样一个强合规行业,对数字证书的支持,是FIDO在中国银行业完全落地的必要条件。
CFCA电子认证部产品经理张翼表示,一是从合规角度,二是从安全角度,银行不能仅依靠FIDO完成交易的安全保障。
银行除了登录、支付场景需要进行身份认证外,还有更高级别的身份认证要求,比如签署大额的转账合同。这就需要电子签名、电子签章类的产品,实现数据的不可篡改和可追溯。据了解,招商银行和光大银行,已经率先在手机银行、企业银行中,结合生物特征和数字证书,完成免密登录、免密交易、在线签约等功能。


推荐阅读


上一篇:普通二本毕业半年,想跨专业考研,不知道考计算机还是金融,现在这两个行业哪个更好些,求解答,谢谢

下一篇:御膳房安全做的这么烂,马总你知道吗