FIDO UAF架构

本文是基于UAF架构的官方文档，其中增加了自己的理解，对其中的流程图进行了修改，以便于理解。FIDO UAF协议携带F| DO UAF消息,用户支持设备与第三方业务的交互,其中的主要消息包括认证器注册:注册消息使第三方业务发现用户设备中可用的认证器,协议会把FDOUAF认证器属性提交到第三方业务系统,从而支持业务系统下发认证簧略;验证UAF认证器的证实声明以桷认认证器是真实的可信的。验证通过使用认证器元数据分发的证实公钥证书来进行的;注册认证器并与第三方业务系统的账户关联。一个认证器的证实被确认后,第三方业务系统将提供一个业务系统和认证器所特有的唯的安全标识符。该标识符用」业务系统与认让器的后继交互,并且不为认让器所在设备之外的设备所知用户认证。认证基于典型的加密挑战应答认证协议,并且支持用户选择在认证过程中使用哪个认证器。确认安全交易。如果用户的认证器具备证明安全交易的能力,第三方业务系统会给用户提供一个安全消息去进行确认。安全消息的内容由业务系统决定,并可用丁确认一个支付交易、合同或者发布专利记录认证器注销。当业务系统要删除用户账号吋,需要注销认证器。第三方业务通过请求认证器删除与用户账户相关的证书来触发注销23F| DO UAF流程1)F| DO UAF认让器获取和登记用户可通过如下几个途径获取认证器:购买一个内置嵌入 FIDO UAF认证器能力的新系统;购买一个带有嵌入式 FIDO UAF认证器的设备;雇主发放认证器;其他机构,比如银行发放认证器。用户拿到认证器后还需要进行登记,登记属于UAF范畴之外。举个例子,对于一个指纹感知认证器,需要用广向登记其指纹。完成登记后, FIDO UAF认证器可以用于向支持FIDO的在线服务或站点进行注册。2)认证器注册在UAF中,业务系统能检测到一个用户何时跟其进行交互,业务系统提示用户出示任何检测到的认证器,用户有权选择使用认证器在业务系统进行注册。认正tIJD CLIENMPE/BUSERIER APERegi stationRegistralRogistration Rcqusst (Pa-iRegistra: Icn Recuest iPolIcy)Enro.IRegistration Heaponae-Atteatat: on+Public k.Regis rat i or Response t At testa iant Pahli: Key3)认证完成注册后,认讦器被第三方用于进行认证。认证过程随认证器类型不同稍有差别,有些认证器需要采样生物特征,有些认证器需要输入一个PN码认证器FLDO CLIENTAPP/ BROWSERVEB APPF DO SERTEPInitlate authent icationAIther ticauthe tication Request+?icy+ ChallengeAuthenticalRequest+Policy- ChallengeRegistration Request roliAuthen . - cation Response(S snedAuthentication Response(Sigred)Validate Respense w th Public Ke交易桷认IniTiate trenshe-urAL Lhen. cationAuther licaTiocy+ ChallengeAuthentication Requcst+Transaction TextAuthentica or Request+Transaction解锁私钥Authe cation Responsa(s gnedthentication Fcspo sc+Transaction Signed)spense wth Public ke5)认证器注销如果第三业务系统中药删除用户,或者用户的认沚器丢失或被窃(比如PN泄露,或指纹被窃取),第三方业务公要求认证器删除与本系统绑定的务密钥。用户认证耀FIDO CLIENTAPP/BROWSERWEB APPFIDO SERVERInitiate daretntactDeregistration RequestDelete local ke24隐私考虑FIDO UAF在设计之初就考虑了对用户隐私的保护,下面是一些主要的隐私保护设计:1)一个UAF设备的标识符不能跨业务系统共亨,及时在一个业务系统内也没有一个全局的标识符。如果用户丟失了设备,持有改备的人不能根据设备反向获取该设备在某个特定的业务系统,更不能发现用户是否在一个特定的业务系统拥有账户;如果两个用户共享一台设备,并且使用了同个业务,业务系统仅根据UAF协议也不能识别出两个账广共享了台设备。2)UAF协议针对一台设备、一个用户、一个业务产生唯一的密钥对,任何一个业务系统也不能把一个用户的所有操作关联起来3)UAF协议的操作仅需要收集最小集的用户个人数据:最多与用户在业务系统的用户名关联。这些个人数据仅被FDo使用,包括注册、认证和授权。这些数据仅存在于用户的本地计算环境,最多在本地实现持久化4)用户在本地进行验证后,UAF协议不会把用户的声明特征上传到业务方,也不要求业务方存储这些信息5)某个特定的业务系统要使用UAF设备,用户必须要知情。在注册过程中,只有在用户同意的情况下,才能产生密钥并与用户在业务系统中的账广绑定6)UAF认证尜仅能被证实证书识别。证实证书顶置在认证器中。UAF规范要求一批认证器(100000个左右)使用相同的证书。3UAF与FM( Federated identity Management)协议关系FM协议包括SAML和 OPENID,其中有一个身份提供方( dentity provider)提供统一的身份服务,其他的第三方业务依赖身份提供方实现联合认证。FM协议未针对用户在IDP的认证做出明确规定,而UAF(包括∪2F)走行了只体定义,从而很好的支撑」联合身份认证者是相辅相成的。联合认证服务使用方身份提供方FID0设备BROWSER/APPIDP(身份提供服务)UAF协议FID0客户端AALFIDO服务FID认证器FI0元数据服务