在线快速身份认证(FIDO)发展历程
2009 年末,时任 Validity Sensors 公司 CEO 的 Ramesh Kesanupalli 造访了 PayPal 的首席信息安全官 (CISO) Michael Barrett,双方共同探讨了 PayPal.com 如何使用生物识别技术(而非密码)对在线用户进行身份认证。Barrett 被这一概念深深吸引,但其坚持此解决方案应基于某种支持多家供应商的行业标准。
Kesanupalli 努力说服了 Barrett,并联系了其他指纹传感器公司的同行、还有大型设备经销商以及行业专家。讨论的内容是一种生物识别技术用于解锁设备上的加密密钥。密钥将在服务器中进行注册。随后的身份认证要求用户基于此密钥进行签名,从而可完全通过本地身份认证实现无密码的登录。
这一工作奠定了 FIDO 联盟诞生的基础,该联盟由 PayPal、联想集团、Nok Nok Labs、Validity Sensors、Infineon 和 Agnitio 于 2012 年夏天创立。Barrett 和 Kesanupalli 担任联盟领导职务,致力于启动无密码身份认证协议的制定。该联盟于 2013 年 2 月公开面世。
同一年的 4 月,联盟接受了由 Google、Yubico 和 NXP 于 2011 年就开始研发的开放式第二因子身份认证协议。该协议采用了与 FIDO 生物识别解决方案相同的基本原理,具体表现为第二因子设备会自行发放已在服务器上注册的密钥。随后的身份认证会基于该服务发出的挑战,并通过之前已注册的密钥进行回答。用户通过按下某个按钮的手势解锁此密钥,此类第二因子设备已成功在 Google 员工中使用,作为公开发布通用第二因子协议的成功应用。
在过去,强身份认证总是与用户的真实身份或中央服务提供商紧密联系。在制定第二因子协议的过程中,Yubico 的CTO Jakob Ehrensvard 提出了认证器的概念,认证器不受服务数量的限制并且不会在不同服务间共享用户的隐私。这就允许用户采用多个匿名的安全身份 — 此概念目前已成为 FIDO 的核心创新力,也是所有 FIDO 标准的基础所在。
2014 年 12 月 9 日,完整的 1.0 版无密码协议(称为通用身份认证框架 — UAF)和第二因子协议(称为通用第二因子 — U2F)已制定并同时发布。至此,兼容 1.0 版协议的设备和服务器开始切实部署,并稳步增长。
除了创立该联盟的成员之外,各个细分市场的许多行业领导者也逐渐加入 FIDO,有效推动了联盟愿景的实现:在设备中采用简单而安全的身份认证,消除设备对于密码的依赖。FIDO 联盟成员现已包括主流的软件平台供应商、金融领域依赖方信赖团体、领先的安全硬件供应商、顶尖的生物识别供应商等。
2015 年,随着新鲜血液的不断注入以及 FIDO 生态系统的不断壮大。2015 年 5 月,联盟推出了 FIDO® Certified 测试计划,并举行了 首次FIDO 认证测试活动。联盟现在定期会在全球范围内举办检测认证活动。
目前FIDO生态系统的成就主要有:第一批通过FIDO认证的iOS产品;来自全球领先的OEM 的智能手机产品均已支持 FIDO 1.0 规范,它们通过蓝牙和近场通讯 (NFC) 实现非接触的数据传输。NTT DOCOMO 成为部署 FIDO 的首家移动网络运营商,从而使6500 万日本用户带来无密码登录的用户体验。微软也宣布,基于其将在 2017 年发布的新版 FIDO 规范,将在 Windows 10 中支持 FIDO。
随着政府成员计划的推出,联盟得到进一步的发展壮大,目前联盟有来自包括美国、英国、德国、澳大利亚等国在内的多家政府机构。同时,联盟还发布了 FIDO 合作与联络计划,该计划致力于邀请全球范围内的行业协会对 FIDO 标准的制定提出宝贵意见。
FIDO 联盟的发展新篇章开始于 2016 年 2 月,当万维网联盟 (W3C) 基于联盟提交的 FIDO 2.0 Web API 启动了网络身份认证领域的全新标准制定工作。该项工作的意图是对所有网络浏览器和相关网络平台基础设施中采用的强身份认证进行标准化。
全球支付规范标准组织 EMVCo 与 FIDO 随后展开合作,共同商讨 FIDO 身份认证标准如何支持 EMV 移动支付用例。此次合作的关键目标是明确设备上的认证器是否能够为进行移动支付的持卡人提供更便捷、同时更安全的身份认证,从而降低全球范围内消费者遭受电子欺骗的可能性,同时维持良好的消费者体验。
截止到 2016 年末,FIDO 联盟已成为全球最大的基于标准的,并可提供200 多种认证解决方案的,可互操作的身份认证生态系统。2017 年初,Facebook 宣布也将支持 FIDO,至此Facebook全球范围内的30 多亿用户均可利用 FIDO 进行身份认证。