2019年基于可信平台模块的快速身份认证技术探索.pdf

1、基于可信平台模块的快速身份认证技术探索目录1、可信计算和FIDO发展情况、技术介绍2、基于可信计算的认证器FIDO身份认证3、国民技术可信计算产品目录TCG：可信计算成为全球计算机安全技术发展趋势TCG成立的初衷：制定与推进公开、中立性、适合 产业化、跨平台的可信计算构建模块和软件接口的标准规范。在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。200多位成员TCGTCG2003年3月成立TCPATCPA改组改组1999年成立主主要要成成员员目前已推出1.2、2.0等版本技术规范，并已经成为ISO标准。可信计算解决的问题传统打补丁式的安全防御机制难以满足安全需

2、求。FIDO(快速在线身份认证）是一套身份鉴别框架协议，FIDO联盟于2013年2月正式成立。FIDO：构建身份认证的创新模型FastIDentityOnline 是一套身份鉴别框架协议 FIDO联盟于2013年2月正式成立，创始人为6家公司 至2017年5月联盟成员已达252家，囊括业界领先厂商目前已推出1.0、1.1、2.0版本技术规范，包括UAF和U2F、FIDO2。FIDO解决的问题适配标准不统一传统身份认证框架导致“孤岛”问题，不同认证方式之间各自为政，无法互操作，从而带来部署复杂、冗余以及高成本的问题思路和目标 将认证手段与身份认证协议分离 支持尽可能多的认证手段，充分利用现有硬件

3、设备内嵌的安全能力 保护用户隐私，使得用户信息不被泄露且无法被非法追踪可信计算以TPM芯片为基础、核心安全芯片作为可信计算的根，提供各种密码算法支撑和密钥管理。可以作为设备的“身份证”。目标：建立平台安全信任根基核心功能：1)度量平台完整性，建立平台免疫力；2)平台身份唯一性标识；3)提供硬件级密码学计算与密钥保护。TPM芯片提供基础的密码算法和密钥管理安全芯片通过相关标准和协议，具备完善的密码服务接口。FIDO身份认证技术原理FIDO与传统认证方式不同，进行两步式认证 第一步由设备验证人；第二步由服务验证设备。以设备的安全载体为基础，利用各种芯片芯片内提供的认证器，进行认证的密钥生产、运算和

4、存储。FIDO身份认证体系架构FIDO在设备安全认证器（Authenticator）内管理和保护私钥，在服务端依赖方（RP）或身份服务提供方（IDP）进行公钥验证。基于可信计算的FIDO身份认证综上所述，可信计算平台模块与FIDO身份认证是紧密结合的两个技术架构和标准体系。因此，FIDO标准在规范中，明确定义了TPM是标准的认证器之一。并对于接口调用进行详细定义。目录1、可信计算和FIDO发展情况、技术介绍2、基于可信计算的认证器FIDO身份认证3、国民技术可信计算产品目录FIDO UAF 体系架构FIDO UAF认证流程基于可信计算的UAF身份认证实现方案TPM进行密钥管理FIDO的签名密钥

5、都是在TPM创建。FIDO的签名密钥存储在TPM内。FIDO的签名操作在TPM内进行。可以对接指纹、人脸等各种生物认证的验证器：验证器与认证器在SGX、TEE等安全运行环境中。验证器与认证器之间密钥加密传输。FIDO ASM和Client将TPM认证器进行协议标准化ASM和Client进行协议封装。浏览器按照W3C标准已经全部支持。采用FIDO UAF的TPM身份认证器技术架构：FIDO2架构的实现方案采用FIDO2最新的身份认证框架的TPM身份认证器技术架构：FIDO2 架构的实现技术FIDO2标准将TPM作为FIDO2认证器可以直接连接浏览器基于CTAP（Client to Authent

6、icator Protocol，客户端到鉴别器协议）规范将FIDO规范中的鉴别器（authenticator）与WebAuthn API对接，从而实现了FIDO与WebAuthn的互通。目前，FIDO2已经受到了Windows 10以及Android 7.0以上操作系统的支持。用户通过浏览器访问应用服务器上内嵌WebAuthn API的资源（页面），当页面在浏览器加载时，WebAuthn API被调用，从而启动FIDO协议。鉴别器是FIDO体系中负责生成数字签名的模块。FIDO2项目中的鉴别器可分为以下类型：内置鉴别器（On-device authent