返回
FIDO技术原理简要剖析-2.pdf

FIDO技术原理简要剖析-2.pdf

ID:23622186

大小:8.31 MB

页数:63页

时间:2018-11-09

FIDO技术原理简要剖析-2.pdf_第1页
FIDO技术原理简要剖析-2.pdf_第2页
FIDO技术原理简要剖析-2.pdf_第3页
FIDO技术原理简要剖析-2.pdf_第4页
FIDO技术原理简要剖析-2.pdf_第5页
资源描述:

《FIDO技术原理简要剖析-2.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、FIDO技术原理简要剖析李俊lijun@gmrz-bj.com首席架构师国民认证科技(北京)有限公司2016-111目录•背景、概念、范畴、目标•UAF协议总体框架•UAF协议流程详解•UAF应用部署方案•UAF安全设计思路•若干需阐明的问题•FIDO产业链简介2目录•背景、概念、范畴、目标•UAF协议总体框架•UAF协议流程详解•UAF应用部署方案•UAF安全设计思路•若干需阐明的问题•FIDO产业链简介3移动互联网对身份认证的需求安全性便捷性隐私保护•身份凭证的保密性•用户体验良好•用户隐私数据的保密性•认证信息的完整性•易于理解和操作•

2、用户行为的不可链接性•身份认证的可用性•快速完成认证•企业业务数据的保密性•移动设备本身的安全性?•无需携带额外的专用设备•用户隐私被采集到后台了么?•移动设备丢失如何处理?•身份凭证不容易丢失或遗忘•用户的操作能够被非法追踪么?•身份凭证是否容易被窃取?•随时随地简单易用•企业关键数据被泄露出去了吗?•……•……•……•与业务场景的适配性及可扩展性•与产业链的配合程度•与企业自身安全策略和发展战略的适配性•与国家及行业监管政策的合规性适配性4传统静态口令方式存在较大问题拖库:口令数据库被黑钓鱼:假网站诱骗口令撞库:跨站点的口令重用木马:键盘

3、记录器体验差:移动设备输入难破解:容易被暴力破解安全性隐私保护便捷性适配性5静态口令安全模型:攻击面较广Web服务****网络传输过程中存在口令被嗅探的可能性口令数据库存在被****攻击的可能性木马截获口令、偷窥口令、社交钓鱼诱骗口令、工程骗取口令暴力破解口令6动态口令方式也存在问题短消息方式专用硬件依然存在用户体验不佳可靠性不高通用性差钓鱼问题安全性隐私保护便捷性适配性7短信验证码已经不再安全•容易被截获•不是真正的带外美国国家标准技术研究所(NIST)在SP800-63B《身份鉴别与生命周期管理》中明确指出:使用公众交换电话网络(短消息或

4、语音)的带外身份鉴别不宜使用,正在考虑在本指南的未来版本中去掉。Source:https://pages.nist.gov/800-63-3/sp800-63b.html8替代口令的强认证方式种类繁多•USBkey•安全芯片•穿戴式设备•IC卡•指纹识别•虹膜识别•声纹识别•人脸识别•静脉识别•掌纹识别•……9生物特征识别技术日益成熟•指纹已成千元机标配;Android6.0推出指纹API•人脸识别精确度及活体检测能力正日益提高•虹膜识别已经集成高端智能手机•声纹识别也已达到成熟可用程度安全性隐私保护•步态识别、指静脉识别、掌纹识别……便捷性

5、适配性10身份认证领域的“孤岛”问题认证手段应用应用1应用2??新应用•复杂,冗余,高成本11移动身份认证标准不统一带来问题应用1RP1RP1应用2应用3新应用认证方式繁多设备碎片化严重,接口不统一兼容多应用困难12需要创新的身份认证模型•创新思路认证手段应用•将认证方式与认证协议分离•支持尽可能多的认证方式,充分利用现有硬件设备内嵌的安全能力应用1统一认证协议•支持不同的安全级别,使得网络服务提供商能够了解设备具有的认证方式和能力并设置认证策略应用2•保护用户隐私,使得用户信息不被泄露且无法被追踪•在所有用户的所有设备上对所?新应用有应用支

6、持多样化的认证方式13FIDO是什么•FastIDentityOnline是一套轻量级身份鉴别框架协议•FIDO联盟于2013年2月正式成立,创始人为6家公司•至2016年9月联盟成员已达252家,囊括业界领先厂商••2014年12月推出1.0版本技术规范,包括UAF和U2F两大系列14FIDO的范畴ModernAuthenticationSingle现代身份鉴别Sign-On单点登录FederationPasswordsStrongRiskBasedIdentityStack身份联合口令强身份鉴别基于风险的鉴别身份协议栈Authentica

7、tion身份鉴别•OTP•根据不同风险等级•USBKey动态调整认证措施•智能卡•采集用户行为习惯、UserManagement•短信验证设备指纹、地理位用户管理•人脸识别置及时间等上下文•指纹识别信息等•声纹识别Physical-to-digitalIdentity•虹膜识别物理/数字身份转换•静脉识别•……15FIDO的范畴(续)身份SAML鉴别联合“第一公里”“第二公里”OpenID对最终用户的直接鉴别一旦用户通过鉴别后身份凭证的分享RecreatedPMS16FIDO的目标•解决身份鉴别领域的“孤岛”问题•不同身份鉴别系统各自为政,无

8、法互操作•解决移动互联网时代的身份鉴别系统“安全”、“便捷”和“隐私保护”问题•安全性:用户秘密(口令、生物特征)保存在服务端,风险过于集中•便捷性:用户输入口令不

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。