FIDO2.0概述

最新推荐文章于 2024-05-04 05:12:05 发布
最新推荐文章于 2024-05-04 05:12:05 发布
阅读量1w 收藏 12
点赞数 4
分类专栏: FIDO2.0 文章标签: fido

问题和目标

今天的认证技术在互联网规模上有很多众所周知的缺点。用户的身份验证体验非常分散,令人焦虑。用户必须多次对不同实体进行身份验证,包括本地设备和各种在线服务,如电子邮件和银行。每一种体验都是不同的,有不同的故障模式。密码是目前最常用的认证方法,它有许多与力量、管理和妥协有关的问题。

越来越多的人一致认为,这个行业需要发展成一个更好的认证模式。FIDO 2规范定义了一个强大的身份验证架构,并考虑到以下目标:它必须是不受影响的。认证方法必须抵制网络钓鱼攻击。安全对服务器入室盗窃。

今天的许多密码妥协来自服务器端攻击,其中大量的密码或密码哈希被暴露出来。Machine-bound身份验证和授权。不可能从一台机器上获取身份和服务的Ticket,并在不同的机器上使用它们。这提高了恶意软件的门槛,因为恶意软件现在必须留在受害者机器上,以便使用任何捕获的Ticket。它必须提供一个加密证明,即所使用证件的性质。与密码相比,它必须提高可用性,必须允许基于客户端平台和认证的力量进行区分。

具体来说,虽然所有平台都必须能够达到有意义的强度,但应该有可能支持RP的策略需要特定客户端平台或更高的认证强度以实现场景的场景。保护用户的隐私:用户有各种在线身份。解决方案必须在这些身份之间提供隔离,不允许依赖各方或身份提供者将它们联系在一起。它必须需要一个用户手势来执行用户身份验证操作。

FIDO2.0 概述

一个核心用例是用户在移动设备(身份验证器)上显示一个手势,想要登录到一个平台设备(比如笔记本电脑、平板电脑等)。另一个核心用例是用户希望使用内置的身份验证器登录到相同的设备——即身份验证器设备和主机设备是相同的。假设登录在定义api的web页面上,以执行清晰。

为了解决这些用例,我们需要一个用于强身份验证的web API和一个强大的身份验证协议的内部设备协议,该协议规定当web API调用主机时,主机和身份验证器之间会发生什么。

有了这个背景,按照这个顺序阅读下面的规范:

FIDO Web API

定义一个web API,允许web页面通过浏览器Javascript访问强大的密码凭证。为了简化开发人员的采用,它的目标是在可能的情况下重用现有的web规范,与现有的web平台进行良好的集成;

定义如何使用WebCrypto api允许web页面通过浏览器JavaScript访问强大的凭据。它试图遵循WebCrypto规范的精神,同时也很容易为开发人员使用。因为它指定了浏览器的功能,为了让它被广泛采用,这个功能的某些方面需要在W3C中开发。

FIDO Client To Authenticator Protocol

定义了一种应用程序层协议,用于在个人设备与加密功能之间进行通信,以及希望使用这些功能进行强大用户身份验证的主机计算机。该协议可以使用不同的物理介质来运行各种传输协议。该规范定义了这种传输协议的需求,但没有详细说明应该如何设置传输层连接的细节;

描述一种设备与设备之间的通信协议,用于在个人设备和主机之间进行通信,并希望使用这些功能来实现安全功能,包括强大的用户身份验证。

这个协议的目的是在用户与一个依赖于某个平台(例如PC)的依赖方(如PC)进行交互的场景中使用,它提示用户与外部认证器(如智能手机)进行交互。为了提供用户交互的证据,实现此协议的外部验证器将有一个获得用户手势的机制。用户手势的可能例子包括:作为同意按钮、密码、PIN、生物特征或这些。在执行此协议之前,客户端/平台(被称为主机)和外部验证器(以下简称验证器)必须建立一个机密的和相互验证的数据传输通道。该规范没有指定如何建立这样一个通道的细节,也没有指定如何实现传输层安全性。

平台与认证器之间的一般协议如下:
1、平台建立与认证器的连接。
2、平台使用authenticatorGetInfo命令获取关于authenticator的信息,该命令帮助它确定认证器的功能。
3、项目如果身份验证器能够支持该操作,平台将发送一个操作命令。
4、身份验证者用响应数据或错误回答。

此文档指定外部FIDO 2.0认证器的所有三个部分:

Authenticator API-在这种抽象级别上,每个身份验证器操作的定义类似于API调用——它接受输入参数并返回输出或错误代码。注意,这个API级别是概念性的,不代表实际的API。实际的api将由每个实现平台提供。

authenticator API中的每个操作都可以独立于其他操作执行,所有操作都是异步的。身份验证器可能会对未执行的操作执行限制,以限制资源的使用——在这种情况下,验证器将会返回繁忙状态,而主机预计稍后将重试操作。
此外,该协议没有强制执行或可靠地交付请求和响应;如果需要这些属性,则必须由底层传输协议提供,或者由应用程序在更高层次上实现。注意,这个API级别是概念性的,不代表实际的API。实际的api将由每个实现平台提供。

Transport-specific Binding-请求和响应被传送到外部验证器而不是特定的传输(例如,USB,NFC,蓝牙)。对于每种传输技术,都为该协议指定了消息绑定。

Message Encoding-为了在authenticator API中调用一个方法,主机必须构造和编码请求,并将其发送给经过选择的传输协议的authenticator。然后,authenticator将处理请求并返回一个已编码的响应。

dyson.zhang
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
FIDO框架分析2(FIDO UAF服务器)
qq_35161159的博客
02-18 2710
FIDO UAF服务器   fidouaf  github地址: https://github.com/eBay/UAF/tree/master/fidouaf FIDO UAF演示服务器通过使用github上面分析的UAF Core的代码实现了可以实际运行和使用的服务器。它是用Java编写的,我使用SUN的Jersey服务器框架创建了一个服务器。依赖关系如下:除了使用GSON之外,演示服务...
一文读懂华为FIDO2指纹/3D 面容登录技术
华为开发者联盟
08-03 3848
前言   随着人们对于个人信息安全越来越重视,用户对APP安全要求也越来越高,尤其是金融类APP,很多都已支持指纹&3D登录功能。相较于传统登录方法,指纹&3D面容登录可省去输入账户、密码、验证码等环节,在最大限度地方便用户的同时,也保证了用户信息的私密。那么,如何让自己的APP增加指纹/面容登录功能呢?   只要接入HMS线上快速验证服务(FIDO),即可帮助你的APP实现指纹&3D面容登录功能。 HMS Core FIDO2 是个啥?   Fast Identity Onlin
FIDO与WebAuthn
qq_45756062的博客
12-12 2476
WebAuthn 是“一个用于访问公钥凭证的 API”,网站可以通过这个 API 进行一些高安全性的身份验证。WebAuthn 一个最常见的应用就是用于网站登录时的 2FA(双重因素验证)甚至是无密码登录。通过网页调用 WebAuthn,在不同平台下,我们可以实现通过 USB Key、指纹、面部甚至虹膜扫描来认证身份,同时确保安全和隐私。图一:是window1903以上版本提供的window Hello图二三:是浏览器调用WebAuthn API拉起的访问认证器的交互页面。
python-fido2:提供FIDO 2.0的库功能,包括通过USB与设备进行通信
03-17
python-fido2 提供用于通过USB与FIDO设备通信以及验证证明和断言签名的库功能。 警告 该项目处于测试阶段。 期望事情随时改变或破坏! 警告 0.9版是该库的最后一个计划版本,它将支持Python2。下一个计划的主要版本是1.0,它将需要Python 3或更高版本。 该库旨在支持FIDO U2F和FIDO 2.0协议,以通过客户端到身份验证器协议(CTAP 1和2)与USB身份验证器进行通信。 除了这种低级别的设备访问之外,在fido2.client和fido2.server模块中定义的类fido2.server实现了更高级别的操作,这些功能在与Authenticator接口或实现对依赖方的WebAuthn支持时非常有用。 有关用法,请参见examples/目录。 参考 这些与WebAuthn和FIDO2相关的链接可以帮助您入门: Yubico WebAuthn
【信息安全案例】——身份与访问安全(学习笔记)_身份与访问安全实例
最新发布
2401_84302369的博客
05-04 839
1、用户发出登录请求,服务器端发出挑战数据提示用户进行身份验证2、用户在本地输入身份信息(按键、指纹)。3、客户端对用户身份验证成功,取出私钥对挑战数据进行签名。4、服务器使用对应公钥对签名进行验证。
FIDO2入门以及相关概念 Client to Authenticator Protocol
Liwo4418的博客
02-20 1846
FIDO(Fast Identity Online)是一组开放标准和协议,旨在提供更强大、更安全的身份验证方法,以替代传统的用户名和密码登录。FIDO 的目标是通过使用公钥密码学和生物识别技术来提高用户身份验证的安全性,并减少对传统密码的依赖。
fido2:开源FIDO服务器,具有FIDO2标准。 https
03-27
StrongKey FIDO服务器(SKFS),社区版 自述文件 概述FIDO(R)认证的StrongKey FIDO服务器(SKFS),社区版是一个开放源代码解决方案,适用于希望为任何应用程序使用无密码FIDO2登录名的DIY编码人员。 下载代码并将其与您自己的Web登录集成,或研究OpenAPI文档并贡献自己的代码提交。 以下链接提供了FIDOFIDO联盟和FIDO2的一些背景知识: 安装 按照下载SKFS,并使它作为独立服务器运行。 按照下载SKFS并使它作为集群运行。 升级 按照将您当前的SKFS版本升级到最新版本。 样例应用 示例代码提供了每个示例的简要说明: Java样本 :演示FIDO2注册和身份验证的基本Java应用程序 :基本的Java示例应用程序 :概念验证(PoC)Java应用程序 :支持FIDO的示例应用程序演示SSO :启用FIDO的示例And
FIDO-v2.0-ps.zip
08-28
本文档指定了一个API,使Web页面能够访问符合FIDO 2.0标准的强加密 凭据通过浏览器脚本。 从概念上讲,凭据存储在FIDO 2.0身份验证器上,每个都是 凭证必须与单个依赖方绑定。 验证者负责确保不进行任何操作 未经...
libfido2:提供FIDO 2.0的库功能,包括通过USB与设备通信
02-17
libfido2支持FIDO U2F(CTAP 1)和FIDO 2.0(CT​​AP 2)协议。 有关用法,请参见examples/目录。 执照 libfido2已获得BSD 2条款许可。 有关完整的许可证文本,请参阅LICENSE文件。 支持平台 已知libfido2可在...
fido2-lib:用于执行FIDO 2.0 WebAuthn服务器功能的node.js库
05-28
npm install fido2-library概述用于执行FIDO 2.0 / WebAuthn服务器功能的库该库包含实现完整的FIDO2 / WebAuthn服务器所需的所有功能。 它有意不实现任何类型的网络协议(例如REST端点),因此它可以独立于任何消息...
fido2-helpers:用于测试FIDO 2.0 WebAuthn CTAP的有用数据结构
04-28
一组帮助程序功能和数据集,用于测试FIDO 2.0,WebAuthn和CTAP。 安装 node.js npm install fido2-helpers html < script src =" ...
Fido UAF接口文档
02-25
Fido-UAF接口文档说明,包括注册接口、注册响应接口、鉴别请求接口、鉴别响应接口、注销请求接口
FIDO UAF ASM 接口文档
02-27
本文主要说明的FIDO UAF框架中ASM 的API。
android-fido2-authenticator:Android中的Fido2验证器实现-与NFC和BLE兼容
02-15
Android FIDO2身份验证器 FIDO2身份验证器仍然很新颖:它们并不便宜,只能存储很少数量的持久密钥(对于单因素是必需的),具有简约的用户界面,并且大多数情况下不会通过生物识别/引脚进行加固。 Android具有出色的FIDO2身份验证器的所有硬件功能。 该项目旨在通过BLE和NFC实施CTAP2。 参考
fido-u2f-net:C#.NET中的FIDO U2F实现(已停产)
05-14
C#.NET的FIDO通用第二因素(U2F) 该代码实现了正在开发的FIDO U2F规范。 Chrome扩展程序 为了使用FIDO U2F,您可能需要安装(当前仅支持Chrome)。 更多资源 执照 MIT许可证(MIT) 版权所有(c)2015 Hans Wolff 特此免费授予获得此软件和相关文档文件(“软件”)副本的任何人无限制地处理软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,分发,再许可和/或出售本软件的副本,并允许具备软件的人员这样做,但须满足以下条件: 以上版权声明和此许可声明应包含在本软件的所有副本或大部分内容中。 该软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但不限于对适销性,特定目的的适用性和非侵权性的担保。 无论是由于软件,使用或其他方式产生的,与之有关或与之相关的合同,侵权或其他形式的任何索赔,损害或其他责任,作者或版权所有者
fido2-net-lib:使用.NET进行FIDO2 WebAuthn认证和声明的FIDO2 .NET库
03-19
FIDO2 .NET库(WebAuthn) 使用和有效实现库+演示 :light_bulb:无密码API现在可用! 使用FIDO2和WebAuthn最快的方法是使用无 。承诺使用此库实现自己的服务器之前,可以自由尝试并开始使用。 目的 为所有.net应用程序(asp,core,native)启用无密码登录。 为开发人员提供友好且经过良好测试的 / 库,以轻松验证 / 凭据的()和(),以增加对该技术的采用,最终击败网络钓鱼攻击。 Install-Package Fido2 -Version 1.1.0 要使用asp.net助手,请安装asp.net-package。 Install-Package Fido2.AspNet -Version 1.1.0 演示版 在线示例: : 什么是FIDO2? 无密码的网站即将到来。 / 是一种新的开放式身份验证标准,受和例如Microsoft,Google等)
Windows Hello FIDO2 认证让您更接近无密码
月来better
03-01 1416
地址:https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-hello-fido2-certification-gets-you-closer-to/ba-p/534592 借助 Windows Hello 的 FIDO2 认证,微软正在让使用 Windows 10 的 8 亿人更接近一个没有密码的世界。 没有人喜欢密码(除了黑客)。人们不喜欢密码,因为我们必须记住它们。因此,我们经常创建易于猜测的密码,这使它们成为黑客试图在工
FIDO发展现状
哈喽word的博客
04-08 1512
fido 的发展现状 FIDO联盟于2012年7月名义上成立,期初有六家公司参与,包括 PayPal、Lenovo、Nok Nok Labs、Validity Sensors、Infineon、Agnitio,2013年2月,FIDO联盟正式公开成立,随后Google的加入和其技术力量的注入,促使FIDO联盟在成立和成长上有了快速的发展,并于2014年12月推出了1.0版本技术规范,包括UAF和U
FIDO UAF:应用接口与传输安全规范解析
"FIDO UAF 应用API和传输绑定规格" FIDO(Fast IDentity Online)UAF(User Authentication Framework)是一种身份验证标准,旨在提供强身份验证,以增强网络安全。本文档主要关注FIDO UAF应用API的定义以及UAF协议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值