可信平台模块（TPM）在快速网络身份认证（FIDO）中的应用

针对网络空间可信身份建设中的统一互联网用户身份认证管理问题，本文介绍了基于ISO/IEC 11889可信平台模块的快速网络身份认证（Fast ID Online，FIDO）应用。

背景：网络身份安全事件频发

首先简单回顾一下两起严重的网络空间身份盗用事件：

在一起协同进行的复杂网络袭击中，黑客以孟加拉国央行官员的身份向纽约联储发出了数十条加密信息，最终造成孟加拉银行损失了8100万美元，这是迄今为止，全世界范围内的银行因为被网络身份盗而损失最严重的一次。同时，这件事情也为全世界的银行敲响了警钟。

另外一起在央视曝光的银行卡盗刷黑产事件，“每条信息都有卡主的姓名、银行卡号、身份证号、银行预留手机号码以及银行密码”，记者在文件中随机选取了七十个不同省份的信息进行验证。其中，身份信息和电话号码全部正确，除了5个银行密码错误，其余65个银行卡密码全都正确，可谓触目惊心。

以上事件不过是众多安全事件中的冰山一角，可见网络身份已经面临非常严重的威胁。网络身份认证不仅关系到个人信息安全，而且影响某个国家和组织的利益，其重要性不言而喻。

FIDO身份认证介绍

要解决网络身份的可信问题，网络身份的基础设施必不可少，需要在应用、政策、管理、协同、监管上建立面向人、物的联合平台。技术层面上，人、物都是客观存在的物理事实，把这些物理事实接入网络，与身份认证的基础设施交互，需要分布式的身份采集／认证子系统，为个人、通信服务和其它各种类型的服务提供平台。这些要素从技术体系上组成了网络身份认证的框架。

快速网络身份认证（FIDO）是一个专注于身份认证的国际行业标准，FIDO通过易用的客观物理事实，如指纹、人脸、虹膜代替口令（Password），统一分布式的认证器系统，统一开放的基于密码算法的认证协议，基于风险策略的身份认证基础设施，来进行可信身份认证。对于用户来说，刷指纹，刷脸等方式访问网络服务，胜在用户体验。

那么FIDO足够安全吗？如何保证身份认证信息的安全性呢？这就需要可信平台模块（TPM）的参与了。FIDO规范定义可基于TPM可以形成安全环境，保护FIDO用户的网络身份验证凭据。TPM芯片是高等级的安全芯片，国民技术的可信密码模块通过了我国商用密码产品型号认证和国际通用高等级安全认证，安全性有保障，已得到广泛应用。

FIDO标准组织联合W3C（万维网联盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format规范中详细定义了基于TPM的认证器实现。这意味着所有浏览器都要支持基于TPM的FIDO认证协议。特别需要说明的是，基于ISO/IEC 11889可信平台模块应用的FIDO2.0可以直接使用中国密码算法SM2进行签名验证机制，国产密码算法又多了一个全球一致化的应用，使得FIDO身份认证的安全性是更上一层楼。

If attestationStatement.core.version equals2, the following algorithms can be used by FIDO Authenticators:

1.TPM_ALG_RSASSA(0x14). This is the same algorithm RSASSA-PKCS1-v1_5 asfor version 1 but foruse with TPMv2.attestationStatement.header.alg="RS256".
2.TPM_ALG_RSAPSS(0x16); attestationStatement.header.alg="PS256".
3.TPM_ALG_ECDSA(0x18); attestationStatement.header.alg="ES256".
4.TPM_ALG_ECDAA(0x1A); attestationStatement.header.alg="ED256".
5.TPM_ALG_SM2(0x1B); attestationStatement.header.alg="SM256".

有兴趣的小伙伴请参考下面的链接：

https://www.w3.org/Submission/fido-key-attestation/

Windows可信身份认证应用：Microsoft Passport

Windows登录使用的Microsoft Passport基于FIDO标准框架建立，同时使用了可信平台模块提供的FIDO认证密钥保护机制，达到了领先的安全性水平。认证密钥在可信模块中生成，私钥将永远不会在物理安全芯片之外使用。

Microsoft Edge浏览器直接支持FIDO2.0, W3C  Web Authentication,可以直接基于TPM保护的密钥做FIDO协议的身份认证，为全球和中国用户提供了一致的、开放的领先的身份认证安全方案。

如果您购买新的Windows机器，就可以体验基于TPM的FIDO安全。小编特别推荐中国版本的Surface系列，它使用了我们国产可信平台模块芯片。

总结

目前，在FIDO2.0应用中，可信平台模块已成为设备身份、个人身份的同一个安全载体。FIDO2.0规范与W3C规范融合，为ISO/IEC11889-2015标准定义的可信平台模块在网络空间身份认证的规模应用提供了基础。

借助ISO/IEC 11889 TPM2.0标准，我国商用密码算法的国际生态环境再次拓展，为中国自主信息安全产业全球竞争提供了有力的平台，从而有利于中国自主产业快速参与到国际产业竞争中，更大规模在全球部署以中国密码算法为核心的自主信息安全技术，实现“你中有我，我中有你”的合作共赢安全战略目的。