針對網(wǎng)絡(luò)空間可信身份建設(shè)中的統(tǒng)一互聯(lián)網(wǎng)用戶身份認證管理問題，本文介紹了基于ISO/IEC 11889可信平臺模塊的快速網(wǎng)絡(luò)身份認證（Fast ID Online，F(xiàn)IDO）應(yīng)用。

背景：網(wǎng)絡(luò)身份安全事件頻發(fā)

首先簡單回顧一下兩起嚴重的網(wǎng)絡(luò)空間身份盜用事件：

在一起協(xié)同進行的復雜網(wǎng)絡(luò)襲擊中，黑客以孟加拉國央行官員的身份向紐約聯(lián)儲發(fā)出了數(shù)十條加密信息，最終造成孟加拉銀行損失了8100萬美元，這是迄今為止，全世界范圍內(nèi)的銀行因為被網(wǎng)絡(luò)身份盜而損失最嚴重的一次。同時，這件事情也為全世界的銀行敲響了警鐘。

另外一起在央視曝光的銀行卡盜刷黑產(chǎn)事件，“每條信息都有卡主的姓名、銀行卡號、身份證號、銀行預留手機號碼以及銀行密碼”，記者在文件中隨機選取了七十個不同省份的信息進行驗證。其中，身份信息和電話號碼全部正確，除了5個銀行密碼錯誤，其余65個銀行卡密碼全都正確，可謂觸目驚心。

以上事件不過是眾多安全事件中的冰山一角，可見網(wǎng)絡(luò)身份已經(jīng)面臨非常嚴重的威脅。網(wǎng)絡(luò)身份認證不僅關(guān)系到個人信息安全，而且影響某個國家和組織的利益，其重要性不言而喻。

FIDO身份認證介紹

要解決網(wǎng)絡(luò)身份的可信問題，網(wǎng)絡(luò)身份的基礎(chǔ)設(shè)施必不可少，需要在應(yīng)用、政策、管理、協(xié)同、監(jiān)管上建立面向人、物的聯(lián)合平臺。技術(shù)層面上，人、物都是客觀存在的物理事實，把這些物理事實接入網(wǎng)絡(luò)，與身份認證的基礎(chǔ)設(shè)施交互，需要分布式的身份采集／認證子系統(tǒng)，為個人、通信服務(wù)和其它各種類型的服務(wù)提供平臺。這些要素從技術(shù)體系上組成了網(wǎng)絡(luò)身份認證的框架。

快速網(wǎng)絡(luò)身份認證（FIDO）是一個專注于身份認證的國際行業(yè)標準，F(xiàn)IDO通過易用的客觀物理事實，如指紋、人臉、虹膜代替口令（Password），統(tǒng)一分布式的認證器系統(tǒng)，統(tǒng)一開放的基于密碼算法的認證協(xié)議，基于風險策略的身份認證基礎(chǔ)設(shè)施，來進行可信身份認證。對于用戶來說，刷指紋，刷臉等方式訪問網(wǎng)絡(luò)服務(wù)，勝在用戶體驗。

那么FIDO足夠安全嗎？如何保證身份認證信息的安全性呢？這就需要可信平臺模塊（TPM）的參與了。FIDO規(guī)范定義可基于TPM可以形成安全環(huán)境，保護FIDO用戶的網(wǎng)絡(luò)身份驗證憑據(jù)。TPM芯片是高等級的安全芯片，國民技術(shù)的可信密碼模塊通過了我國商用密碼產(chǎn)品型號認證和國際通用高等級安全認證，安全性有保障，已得到廣泛應(yīng)用。

FIDO標準組織聯(lián)合W3C（萬維網(wǎng)聯(lián)盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規(guī)范中詳細定義了基于TPM的認證器實現(xiàn)。這意味著所有瀏覽器都要支持基于TPM的FIDO認證協(xié)議。特別需要說明的是，基于ISO/IEC 11889可信平臺模塊應(yīng)用的FIDO2.0可以直接使用中國密碼算法SM2進行簽名驗證機制，國產(chǎn)密碼算法又多了一個全球一致化的應(yīng)用，使得FIDO身份認證的安全性是更上一層樓。

IfattestationStatement.core.versionequals2, the following algorithms can be used by FIDO Authenticators:

1.TPM_ALG_RSASSA(0x14). This is the same algorithm RSASSA-PKCS1-v1_5 asfor version 1 but foruse with TPMv2.attestationStatement.header.alg="RS256".
2.TPM_ALG_RSAPSS(0x16);attestationStatement.header.alg="PS256".
3.TPM_ALG_ECDSA(0x18);attestationStatement.header.alg="ES256".
4.TPM_ALG_ECDAA(0x1A);attestationStatement.header.alg="ED256".
5.TPM_ALG_SM2(0x1B);attestationStatement.header.alg="SM256".

有興趣的小伙伴請參考下面的鏈接：

https://www.w3.org/Submission/fido-key-attestation/

Windows可信身份認證應(yīng)用：Microsoft Passport

Windows登錄使用的Microsoft Passport基于FIDO標準框架建立，同時使用了可信平臺模塊提供的FIDO認證密鑰保護機制，達到了領(lǐng)先的安全性水平。認證密鑰在可信模塊中生成，私鑰將永遠不會在物理安全芯片之外使用。

Microsoft Edge瀏覽器直接支持FIDO2.0, W3C Web Authentication,可以直接基于TPM保護的密鑰做FIDO協(xié)議的身份認證，為全球和中國用戶提供了一致的、開放的領(lǐng)先的身份認證安全方案。

如果您購買新的Windows機器，就可以體驗基于TPM的FIDO安全。小編特別推薦中國版本的Surface系列，它使用了我們國產(chǎn)可信平臺模塊芯片。

總結(jié)

目前，在FIDO2.0應(yīng)用中，可信平臺模塊已成為設(shè)備身份、個人身份的同一個安全載體。FIDO2.0規(guī)范與W3C規(guī)范融合，為ISO/IEC11889-2015標準定義的可信平臺模塊在網(wǎng)絡(luò)空間身份認證的規(guī)模應(yīng)用提供了基礎(chǔ)。

借助ISO/IEC 11889 TPM2.0標準，我國商用密碼算法的國際生態(tài)環(huán)境再次拓展，為中國自主信息安全產(chǎn)業(yè)全球競爭提供了有力的平臺，從而有利于中國自主產(chǎn)業(yè)快速參與到國際產(chǎn)業(yè)競爭中，更大規(guī)模在全球部署以中國密碼算法為核心的自主信息安全技術(shù)，實現(xiàn)“你中有我，我中有你”的合作共贏安全戰(zhàn)略目的。