可信平臺模塊（TPM）在快速網絡身份認證（FIDO）中的應用

針對網絡空間可信身份建設中的統(tǒng)一互聯(lián)網用戶身份認證管理問題，本文介紹了基于ISO/IEC 11889可信平臺模塊的快速網絡身份認證（Fast ID Online，F(xiàn)IDO）應用。

背景：網絡身份安全事件頻發(fā)

首先簡單回顧一下兩起嚴重的網絡空間身份盜用事件：

在一起協(xié)同進行的復雜網絡襲擊中，黑客以孟加拉國央行官員的身份向紐約聯(lián)儲發(fā)出了數(shù)十條加密信息，最終造成孟加拉銀行損失了8100萬美元，這是迄今為止，全世界范圍內的銀行因為被網絡身份盜而損失最嚴重的一次。同時，這件事情也為全世界的銀行敲響了警鐘。

另外一起在央視曝光的銀行卡盜刷黑產事件，“每條信息都有卡主的姓名、銀行卡號、身份證號、銀行預留手機號碼以及銀行密碼”，記者在文件中隨機選取了七十個不同省份的信息進行驗證。其中，身份信息和電話號碼全部正確，除了5個銀行密碼錯誤，其余65個銀行卡密碼全都正確，可謂觸目驚心。

以上事件不過是眾多安全事件中的冰山一角，可見網絡身份已經面臨非常嚴重的威脅。網絡身份認證不僅關系到個人信息安全，而且影響某個國家和組織的利益，其重要性不言而喻。

FIDO身份認證介紹

要解決網絡身份的可信問題，網絡身份的基礎設施必不可少，需要在應用、政策、管理、協(xié)同、監(jiān)管上建立面向人、物的聯(lián)合平臺。技術層面上，人、物都是客觀存在的物理事實，把這些物理事實接入網絡，與身份認證的基礎設施交互，需要分布式的身份采集／認證子系統(tǒng)，為個人、通信服務和其它各種類型的服務提供平臺。這些要素從技術體系上組成了網絡身份認證的框架。

快速網絡身份認證（FIDO）是一個專注于身份認證的國際行業(yè)標準，F(xiàn)IDO通過易用的客觀物理事實，如指紋、人臉、虹膜代替口令（Password），統(tǒng)一分布式的認證器系統(tǒng)，統(tǒng)一開放的基于密碼算法的認證協(xié)議，基于風險策略的身份認證基礎設施，來進行可信身份認證。對于用戶來說，刷指紋，刷臉等方式訪問網絡服務，勝在用戶體驗。

那么FIDO足夠安全嗎？如何保證身份認證信息的安全性呢？這就需要可信平臺模塊（TPM）的參與了。FIDO規(guī)范定義可基于TPM可以形成安全環(huán)境，保護FIDO用戶的網絡身份驗證憑據(jù)。TPM芯片是高等級的安全芯片，國民技術的可信密碼模塊通過了我國商用密碼產品型號認證和國際通用高等級安全認證，安全性有保障，已得到廣泛應用。

FIDO標準組織聯(lián)合W3C（萬維網聯(lián)盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規(guī)范中詳細定義了基于TPM的認證器實現(xiàn)。這意味著所有瀏覽器都要支持基于TPM的FIDO認證協(xié)議。特別需要說明的是，基于ISO/IEC 11889可信平臺模塊應用的FIDO2.0可以直接使用中國密碼算法SM2進行簽名驗證機制，國產密碼算法又多了一個全球一致化的應用，使得FIDO身份認證的安全性是更上一層樓。

IfattestationStatement.core.versionequals2, the following algorithms can be used by FIDO Authenticators:

1.TPM_ALG_RSASSA(0x14). This is the same algorithm RSASSA-PKCS1-v1_5 asfor version 1 but foruse with TPMv2.attestationStatement.header.alg="RS256".
2.TPM_ALG_RSAPSS(0x16);attestationStatement.header.alg="PS256".
3.TPM_ALG_ECDSA(0x18);attestationStatement.header.alg="ES256".
4.TPM_ALG_ECDAA(0x1A);attestationStatement.header.alg="ED256".
5.TPM_ALG_SM2(0x1B);attestationStatement.header.alg="SM256".

有興趣的小伙伴請參考下面的鏈接：

https://www.w3.org/Submission/fido-key-attestation/

Windows可信身份認證應用：Microsoft Passport

Windows登錄使用的Microsoft Passport基于FIDO標準框架建立，同時使用了可信平臺模塊提供的FIDO認證密鑰保護機制，達到了領先的安全性水平。認證密鑰在可信模塊中生成，私鑰將永遠不會在物理安全芯片之外使用。

Microsoft Edge瀏覽器直接支持FIDO2.0, W3C Web Authentication,可以直接基于TPM保護的密鑰做FIDO協(xié)議的身份認證，為全球和中國用戶提供了一致的、開放的領先的身份認證安全方案。

如果您購買新的Windows機器，就可以體驗基于TPM的FIDO安全。小編特別推薦中國版本的Surface系列，它使用了我們國產可信平臺模塊芯片。

總結

目前，在FIDO2.0應用中，可信平臺模塊已成為設備身份、個人身份的同一個安全載體。FIDO2.0規(guī)范與W3C規(guī)范融合，為ISO/IEC11889-2015標準定義的可信平臺模塊在網絡空間身份認證的規(guī)模應用提供了基礎。

借助ISO/IEC 11889 TPM2.0標準，我國商用密碼算法的國際生態(tài)環(huán)境再次拓展，為中國自主信息安全產業(yè)全球競爭提供了有力的平臺，從而有利于中國自主產業(yè)快速參與到國際產業(yè)競爭中，更大規(guī)模在全球部署以中國密碼算法為核心的自主信息安全技術，實現(xiàn)“你中有我，我中有你”的合作共贏安全戰(zhàn)略目的。