为了解决个资与密码验证的问题,FIDO(Fast Identity Online,线上快速身分认证)联盟制订了新的协定,为使用者、装置和信赖凭证者网站之间提供简单且强大的验证机制。采用FIDO的行动装置,可以利用生物辨识技术例如指纹感测或虹膜扫描来启动服务,进而大幅改善使用者体验,让交易更简单便利,装置制造商也能迅速导入。
FIDO必须有安全的硬体设计,才能抵御恶意攻击,例如加密金钥、机密流程、存取验证资料等资源皆须受到保护,以防止恶意攻击并维持系统的完整性。此文将介绍 ARM TrustZone技术如何协助GlobalPlatform 组织建构可信任执行环境(Trusted Execution Environment, TEE)所需的硬体隔离,以及为何此安全层最适用于FIDO安全验证。
为防止系统资源遭受攻击,ARM提出多项技术组合:从 Cortex 核心Hypervisor模式,到以 TrustZone架构为基础的 TEE、防篡改安全处理器、或采用ARM SecurCoreR处理器 IP 的安全元件。这些技术透过多层次或隔离的方式,提升整体系统的安全,并且让行动装置不仅是作业系统的其他资源都能获得适切的保护。
基于TrustZone技术的可信任执行环境 (TEE) 提供强化的安全机制,以抵御不断加剧的软体攻击和一般的硬体威胁(所谓的shack攻击),而且成本更低。此架构将两个执行区域分隔开:“一般区域”(normal world)执行开放作业系统和应用程式;隐密的“安全区域”(secure world) 执行机密操作如加密、金钥管理和完整性检查。此设计已成为重要的硬体安全层,装置制造商过去十年来针对此机制进行开发和标准化,以保护珍贵的系统资源。TEE标准化组织GlobalPlatform负责制订法规和认证计画,独立的测试实验室可据此检视各种平台能否抵御设定档中所辨识到的威胁。GlobalPlatform已发布多篇探讨TEE的白皮书,而本文则是针对他们提出的 FIDO 案例和 ARM TrustZone 技术提供更多的说明。
FIDO联盟的标准化工作加速安全认证朝向生物辨识之无密码登录形式。通用验证架构(Universal Authentication Framework, UAF)等FIDO协定能够利用多种验证方式进行在地用户的身分验证,例如指纹感测器、虹膜扫描器、或是取代传统帐号与密码的PIN码登入。
我们常说安全就像是一条锁链,里面的每道环节都与安全息息相关。以此为喻,第一个重要的环节就是安全硬体,透过TrustZone技术将它与正常执行环境隔离,并成为安全开机(Trusted Boot)的基础。安全开机启动正常区域的作业系统之前,会先进行安全作业系统 (Trusted OS) 及TEE的初始化。建立TEE之后FIDO可信任应用程式 (Trusted App) 就会被下载安装,负责管理重要资料、密码和其他机密操作程序。
FIDO UAF 的无密码体验
消费者使用具备FIDO技术的智慧型装置,只要在喜爱的线上购物网站或银行注册一次即可。注册时装置会建立专属于使用者、使用者的装置以及信赖凭证者网站的公用金钥和私用金钥。注册之后,消费者造访该线上商店时将变得轻松便利,只要手指快速按一下或输入简易的 PIN 码 (图1) ,即可取代常见的帐号/密码验证步骤和购买确认流程。FIDO 协定不会将一般使用者资讯分享出去,因为执行程序无法泄露使用者的个人资讯。此外,信赖凭证者网站仅保管公用金钥,因此若网站伺服器受到攻击(当前业界的一大难题),骇客也无法透过公用金钥直接盗取帐户。
FIDO 和 FIDO 联盟简介
FIDO 联盟由 180 多个成员组成,涵盖整个产业价值链包括晶片合作夥伴(如高通)、装置制造商(如三星和联想)、作业系统厂商(如微软和Google)、FIDO 伺服器供应商(如 Nok Nok Labs)、以及信赖凭证者网站(如美国银行和 PayPal)。FIDO 联盟负责制定技术规范和认证计画,以落实更简便和强大的验证机制。FIDO 协定的目标在于提升验证的便利性、内建保密性、设计安全性以及推动标准化,让信赖凭证者网站能够使用符合 FIDO 规范的验证方式。最终版 FIDO 1.0 规范已经公布于网路上,包含两种不同的使用者体验:
1.通用验证架构(Universal Authenticator Framework, UAF),为智慧型手机等内建验证机制的装置提供无密码体验;
2.通用第二要素(Universal 2nd Factor,U2F),适用于软体加密锁,防止传统帐号/密码遭到钓鱼式攻击。 FIDO 2.0 统一标准相关准备工作正在进行当中 。
信赖凭证者网站使用帐号和密码作为安全防护已行之有年,但这种方式存在诸多风险,已无法满足消费者和企业的安全需求。首先,消费者通常偏好安全防御较弱的密码,并且在不同网站均使用相同的密码,这等于为骇客盗取帐户开启了方便之门。但如果消费者被迫设定复杂的密码,他们可能会因为忘记密码而放弃交易。更严重的是,密码容易被垃圾邮件透过钓鱼方式取得,造成大规模的金融诈欺。根据卡巴斯基的估计,2014年网路钓鱼犯罪集团从多家银行窃取的金额高达十亿美元。
因此企业有时会要求使用第二要素 (second factor) ,例如一次性密码(One Time Password, OTP)token,亦即除了输入帐号和密码之外,还要提供一组随机产生的代码。此私密代码让消费者的口袋和抽屉塞满各种硬体:一组是银行专用的 OTP 代码,另一组是开启公司e-mail专用,其他服务供应商也各有各的代码。
其次,使用传统验证机制的信赖凭证者网站也遭遇挑战,他们必须保管每一位用户的私密金钥。这些存有个资的巨量资料库成为骇客的最爱,他们只需精心设计一次攻击行动,便能同时窃取数百万消费者的个人身分资料。这给大品牌企业带来信誉上的风险,他们得先坦承有安全漏洞,才能要求客户立即重设密码。
FIDO 可以解决传统帐号和密码衍生的问题,并且能为消费者带来更加愉悦的使用体验。例如,使用新款 Samsung Galaxy行动装置的消费者,能够透过指纹登入网站或购物付款。如此简便的使用者体验,幕后功臣是FIDO UAF协定,利用指纹感测等内建验证机制取代帐号/密码登入之后,即可直接解开装置中的私密金钥,然后再与远端伺服器(握有公开金钥)的加密机制结合。信赖凭证者网站则可取得后设资料 (metadata) 例如验证类型、金钥防护机制、装置型号等基本资料,进行后端风险分析。此外,生物辨识、PIN 码或私密金钥均不会与线上伺服器进行资讯交换。
FIDO 协定的“隐私设计 (Privacy by Design)”为消费者提供额外的保护,降低因为商店伺服器的安全漏洞而受害的可能性。此加密机制是基于完善的公开金钥加密 (Public Key Cryptography) 原则,透过每一组使用者/装置/信赖凭证者网站在装置上所生成的一对公开金钥/私密金钥来进行安全把关。
总结FIDO的安全效益如下:
·确保装置的完整性
·保护重要资料的机密性,防止未经授权的使用
·维护机密流程的机密性和完整性
来源:http://mt.sohu.com/20151216/n431439455.shtml