近日，银行卡检测中心深圳分中心顺利通过FIDO联盟专家组评审，正式成为FIDO联盟授权的全球第6家安全检测实验室。FIDO安全检测实验室的建成，是中心既成为我国本土首家PCI PTS授权实验室后，在生物识别安全检测领域迈出的又一关键步伐，标志着中心进一步扩大了国内外检测业务版图，极大丰富和完善了金融科技安全检测整体服务能力，向建设成为“国内领先、国际一流”检测机构的目标不断前进。 

FIDO实验室审核现场图

1.关于FIDO联盟

FIDO（Fast IDentity Online）联盟成立于2012年，目标是创建一套开放的标准协议，保证各个厂商开发的强认证技术之间的互操作性，改变目前的主流在线验证的方式（即使用密码作为主要验证手段），消除或者减弱用户对密码的依赖。FIDO联盟包括生物特征认证产业链上的各方，含手机厂商、芯片厂商、生物特征厂商、电商、银行以及金融机构等。目前已经有Google、Visa、MasterCard、BC Card、Microsoft、Intel, PayPal、ARM, 阿里巴巴集团、联想集团等超过252家公司以及美英德国政府权威机构参与。

2. FIDO工作原理和技术特点

FIDO协议使用标准的非对称公私钥对来提供安全保障：

• 当用户登录服务器注册信息时，用户的加密设备产生一对非对称密钥对，私钥在加密设备中保留，不会离开本地设备，公钥传给服务器，服务器将此公钥和用户对应的账户相关联。
• 当用户登录服务器验证信息时，用户使用设备中的私钥对服务器的挑战数据做签名，服务器使用对应的公钥做验证。用户的设备中的私钥，必须经过用户解锁（如按键，按下指纹等），才能被用于签名操作。

其技术特点是硬件隔离配合高强度的密码学算法来实现身份认证，实现轻量级、通用化、优良的用户体验。用户可以使用智能手机指纹采集器、USB令牌等多种方式登录，服务商无需再维护复杂且成本高昂的认证后台。其既解决了不同身份鉴别系统各自为政的“孤岛”问题，又解决移动互联网时代的身份鉴别系统“安全”、“便捷”和“隐私保护”问题。

3. FIDO安全性认证

为进一步提高FIDO产品的安全性，FIDO联盟在FIDO功能性检测之外新增的了FIDO安全性认证，主要是针对FIDO认证器验证其安全特性是否符合FIDO规范要求，认证分为Level 1到Level 5共5个级别，这些认证级别描述了认证器对各种威胁的防御级别，同时也是对设备的安全级别的分类，依赖方（RP）可通过该级别分类决定是否允许特定的设备连接到其服务。目前FIDO暂时只开放Level 1和Level 2测试。具体见下表。

认证类别	内容
安全性认证 （FIDO认证器认证）	Level 1用来评估认证器实现的安全防御能力。该级别的安全评测由FIDO联盟官方完成。
	Level 2用来评估认证器抵御大规模软件攻击的防御能力，由FIDO授权安全检测实验室来完成。

目前，深圳分中心已根据FIDO联盟的最新的规范要求完成了FIDO认证器认证Level 2检测的技术更新，人员培训，环境搭建，可根据FIDO相关标准规范，对厂商送检的FIDO认证器进行Level 2安全检测。

4. FIDO认证器安全认证Level 2主要测试内容

• 认证器定义和派生认证器要求； 
• 密钥管理和认证器安全参数；

文档；

随机数产生；

签名计数器；

• 用户在场和用户验证的认证器测试； 
• 隐私；
• 物理安全，侧信道攻击和错误注入抵御； 
• 鉴证；
• 操作环境；
• 自检和固件升级；  
• 制造和开发；

 

5. 主要测试依据

•  《FIDO Authenticator Security Requirements 》
•  《FIDO Authenticator Allowed Cryptography List》
•  《FIDO Authenticator Allowed Restricted Operating Environments List》
•  《FIDO Authenticator Metadata Requirements》

6. 结语

银行卡检测中心作为专业第三方检测机构，持续关注国内外支付行业发展动态，深入研究大数据、人工智能、云计算、生物识别等前沿技术，积极探索创新检测业务，努力提升自身技术能力和服务水平，可为支付产业各方提供涵盖芯片、嵌入式软件、受理终端、生物识别设备、移动支付软件、信息系统等支付产品的整体安全检测服务。