编者按:如前所述,随着互联网的发展,基于账号密码体系和基于PKI体系的身份认证逐渐走进人们的生活,很大程度上解决了用户物理身份与数字身份相对应的问题。然而,如果没有一套完备的法律标准作为约束,身份认证技术的发展必然会走向畸形。随着数字身份认证场景的不断增多,“中国首部真正意义上的信息化法律”——《电子签名法》应运而生;而由国内外知名互联网巨头联合发布的FIDO协议,更是扫除电子商务发展障碍的重要步骤。本文节选汪德嘉博士《身份危机》中的FIDO协议、电子签名法介绍章节。带大家了解FIDO协议和《电子签名法》的详细内容。他们是如何保障网络身份认证体系健康发展的?
FIDO协议
FIDO(FastIdentityOnline,即线上快速身份验证)联盟成立于2012年7月,其宗旨为满足市场需求和应付网上验证要求。FIDO联盟成员包括Google、BlackBerry、ARM、英特尔、PayPal、Lenovo、阿里巴巴和MasterCard等。这些成员通过协助界定市场需求,制定了在线与数码验证方面的首个开放行业标准,并于2014年12月发布,包括FIDO-U2F-V1.0和FIDO-UAF-V1.0两套协议。这两套协议可以很好地提高身份认证安全性、保护隐私及改善用户体验。
FIDO协议概述
FIDO规范是一套开放的标准协议,保证各个厂商开发的强认证技术之间的互操作性,并通过两套协议来支持多种硬件设备。主要如下:
(1)UAF(UniversalAuthenticationFrameworkprotocol)支持指纹、语音、虹膜、脸部识别等生物身份识别方式。无需用户密码介入,直接进行认证。用户在注册阶段,根据服务器支持的本地验证方式,选择一种验证方式,如:指纹识别,人脸识别,语音识别等等,服务器也可保留密码验证方式,将密码和生物识别相结合,增强用户账户安全性。
(2)U2F(UniversalSecondFactorprotocol)支持U盾、NFC芯片、TPM(可信赖平台模块)等硬件设备,使用双因子(密码和硬件设备)保护用户账户和隐私。用户在注册阶段,使用服务器支持的加密设备,将账户和设备绑定。当进行登录验证操作时,服务器在合适的时候,提示用户插入设备并进行按键操作,加密设备对数据签名,发送给服务器,服务器做验证,如果验证成功,用户则可登录成功。由于有了第二因子(加密硬件设备)的保护,用户可以选择不设置密码或者使用一串简单易记的4位密码。
FIDO协议最基本的技术特征就是本地身份识别与在线身份认证相结合,而在线身份认证技术则采用非对称公私钥对来提供安全保障。
具体来说,使用FIDO协议时涉及两个主要步骤:注册和认证。当用户登录服务器注册时,用户端产生一对非对称密钥对,并与用户本地的身份信息(如生物特征、专用硬件设备等)进行关联。私钥在用户端本地设备中保留,黑客无法读取,公钥传给服务器,服务器将此公钥和用户对应的应用账户相关联。当用户登录服务器认证时,用户端设备中的私钥对服务器的挑战数据做签名,服务器使用对应的公钥做验证。用户端设备中的私钥,必须经过本地用户身份识别(如按键,按下指纹等),才能被用来做签名操作。
电子签名法
中华人民共和国电子签名法是为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益而制定的法律。中华人民共和国电子签名法由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,自2005年4月1日起施行。当前版本为2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议修正。
中华人民共和国电子签名法被认为是中国首部真正电子商务法意义上的立法。因为自1996年联合国颁布《电子商务示范法》以来,世界各国电子商务立法如火如荼,有的国家颁布了电子商务法或交易法,有的国家颁布了电子签名或数字签名法,也有的国家兼采两种立法方式。而我国电子商务立法最终在国家信息化战略的引导下出台,可以说是业内人士期盼已久的举措,也受到了各相关企业乃至政府部门的高度关注。
同时,《电子签名法》被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。《电子签名法》是我国推进电子商务发展,扫除电子商务发展障碍的重要步骤。虽然舆论普遍认为《电子签名法》将会极大地促进电子商务在我国的快速发展,但在网络交易安全、相关法律衔接等“拦路虎”面前,有关专家认为,现阶段《电子签名法》的标志意义大于实际意义。
电子签名技术广泛用于PKI体系身份认证,其中《电子签名法》第三章电子签名与认证的第十三条指出“电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”即符合该条规定的电子签名技术,即为合规的电子签名,可用于电子签名认证。
结束: 在这个网络时代,用户名和密码几乎困扰过每一个人。手机账号密码、支付密码、微信密码……,它们不仅很难创建和记忆,而且因为密码保存在集中式的数据库中,很容易被窃,成为网络支付、特别是安全性相对更加脆弱的移动支付的最大隐患。而FIDO协议采用非对称公私钥对来提供安全保障,通过使用效率和安全性均更高的非对称加密(公钥加密、私钥解密)方式确保交易报文的保密性、防篡改性。在生物特征数据的基础之上,将可靠电子签名嵌入交易报文,使签名行为符合《电子签名法》,具有法律效力,并为多样化业务(例如电子合同、数据服务等)的接入提供了安全认证基础。
身份认证技术的发展,经历了从古代辩物识人到账号密码认证,随着互联网金融的发展,硬件认证出现在人们的生活中,硬件认证以硬件为载体,在原有账号密码的基础上,增加硬件这一因子,安全性大大提升。在接下来的章节中将给大家分享科技发展史上身份认证技术从硬件到软件、从软件到生物、从生物再到智能的演化过程,详述各阶段典型技术和产品的优点和缺点。敬请期待!