FDO认证流程概述

FDO认证独立于FIDO联盟的其他认证项目。

获得FDO认证的途径始于产品开发。产品开发不在FDO认证范围之内。在申请认证之前,请阅读FDO的所有规范、认证要求和政策。实施者指导文件和FDO开发者论坛是产品开发支持的可用资源。

下表列出了每种产品认证所需的步骤。选择一个步骤了解更多信息。

FDO实施类别

设备上载(DO)服务设备/支持FDO的设备Rendezvous服务器(RV)
步骤1:申请 ✅ ✅ ✅
认证NDA ✅ ✅ ✅
步骤2:一致性测试 ✅ ✅ ✅
步骤3:互操作性测试 ✅ ✅ ✅
步骤4:安全评估 ✅ ✅ 不适用
一级(L1)供应商问卷 ✅ ✅ 不适用
步骤5:认证申请 ✅ ✅ ✅
认证费发票和付款 ✅ ✅ ✅
步骤6:颁发证书 ✅ ✅ ✅
TMLA ✅ ✅ ✅
步骤7:认证维护 ✅ ✅ ✅
衍生产品 ✅ ✅ ✅
Delta ✅ ✅ 不适用
重新认证 ✅ ✅ 不适用

步骤1:申请

要开始FDO认证流程,供应商必须填写FDO认证申请表,FIDO认证秘书处将收到并确认申请。该申请旨在向FIDO认证提供有关认证供应商的管理细节,以及有关申请FDO认证的实施方案的一般信息。

认证申请表可在此处获取。

此外,如果认证公司尚未填写,供应商必须填写并向认证秘书处提交一份FIDO认证保密协议(NDA),邮箱为:certification@fidoalliance.org

步骤2:一致性测试

对于任何寻求FDO认证的实施,供应商通过使用测试工具自行管理并成功完成FDO一致性测试,并将结果提交给FIDO认证秘书处。

有关FDO一致性测试的更多信息,请参阅功能认证计划页面。

步骤3:互操作性测试

在成功完成FDO一致性测试后,供应商要为任何寻求FDO认证的实施注册并成功完成FDO互操作性测试。

有关FDO互操作性测试的更多信息,包括即将举行的FDO互操作性测试时间表和注册链接,请参阅功能认证计划页面。

步骤4:安全评估

安全评估是认证“设备上载服务”和“设备”所必需的步骤。Rendezvous服务器无需完成安全认证。

完成FDO互操作性测试后,供应商必须为每个认证产品填写一份FDO供应商问卷(VQ)。填妥的供应商问卷(VQ)应提交至:fdo-security-evaluation@fidoalliance.org

FIDO安全秘书处将确认收到提交的材料,并根据收到材料的先后顺序审查每份供应商问卷(VQ)。安全秘书处可能会要求进一步澄清,有时还会要求提供细节。评估成功后,安全秘书处将标明供应商问卷(VQ)已获批准,并通知供应商和认证秘书处。

步骤5:认证申请

FIDO认证秘书处要求供应商在所有适用的认证测试和/或评估步骤完成后提交一份认证申请。

Rendezvous服务器

成功完成功能认证后,认证秘书处将发送一封电子邮件,核实所有已完成的认证步骤,并要求供应商完成认证申请。

设备上载服务和支持FDO的设备

在成功完成功能和安全认证后,认证秘书处将发送一封电子邮件,核实所有已完成的认证步骤,并要求供应商完成认证申请。

认证申请会触发供应商和FIDO联盟之间的开票流程。收到供应商付款后,认证秘书处将完成证书颁发。

步骤6:颁发证书

收到付款后,认证秘书处将为每个经认证的产品汇总一份FDO证书,并通过电子邮件将每份证书发给供应商。此时,如果认证公司尚未完成,则要求供应商在希望使用FIDOⓇ认证标识时填写一份FIDO商标许可协议(TMLA)。每家公司每个版本的TMLA都需要一份完整执行的TMLA。认证秘书处还将要求供应商确认FDO证书所附产品和公司字段的准确性。如果需要更改,请供应商在3个工作日内通过电子邮件作出答复,并注明任何修改。

在确认FDO证书详情后,认证秘书处将把FDO认证产品证书上传到FIDO认证产品数据库。

步骤7:认证维护

FIDO®认证产品有时会发生一些变化。Rendezvous服务器可能会被授权或出售,因此需要完成衍生认证维护。设备上载服务和启用FDO的设备可能会受到与FDO安全要求有关的变更的影响,因此需要完成对此类变更的评估,这些变更被归类为非干扰、次要或主要变更,并与衍生、Delta和重新认证有关。

认证维护包括对所有FIDO®认证产品的要求,贯穿产品的整个生命周期。FIDO®认证产品的供应商必须通过认证维护来遵守和维护其认证。有关完整的认证维护、供应商义务和认证撤销信息,请参考认证计划政策文件。

认证维护流程按FDO实施类别划分。

Rendezvous服务器

FIDO®认证Rendezvous服务器的认证维护包括一个过程,该过程验证归类为非干扰,相关和需要RV服务器组件的衍生认证的更改。这个过程由一个步骤组成。衍生认证的好处是,认证实施不需要通过功能认证测试,而且每个衍生认证的费用低于基本认证。

以下情况旨在帮助确定一项实施是否有资格获得衍生认证:

FIDO®认证实施 – Rendezvous服务器 衍生产品?
B公司使用A公司(完成基础认证的公司)公开提供的FIDO®认证Rendezvous服务器,B公司使用的实施方案保持不变
B公司使用由A公司(完成基础认证的公司)许可或出售的FIDO®认证Rendezvous服务器,B公司使用的实施方案保持不变
B公司在其网站上使用与另一家公司的FIDO®认证Rendezvous服务器组件有关的FIDO®认证标识
实施FIDO®认证的公司[Product v1.0]推出与产品1.0不同的新产品[New Product v2.0],但FIDO®认证的Rendezvous服务器组件保持不变
实施FIDO®认证的公司[Product v1.0]推出与产品1.0不同的新产品[New Product v2.0],其中包括对FIDO®认证Rendezvous服务器组件所做的更改不是

要申请FIDO®认证的Rendezvous服务器的衍生认证,供应商必须填写Rendezvous服务器衍生认证申请表,包括认证产品的基本证书编号。

设备上载服务和支持FDO的设备

FIDO®认证设备上载服务和FDO支持设备的认证维护包括多步骤流程,可验证归类为无干扰、次要或主要的变更。这些变化可能会影响FDO安全要求。此类变更可能是为纠正已发现的缺陷而设计的补丁、对功能的增强、添加新功能或对FIDO®认证的FDO硬件和/或软件的任何其他变更。

步骤#1:认证维护评估

为评估这类变更的影响,供应商必须填写FDO影响分析报告(FIAR)表。作为FIAR表的一部分,提交变更说明和认证产品的源证书编号,然后由FIDO安全秘书处进行评估。对所述变更进行分析,并确定其对FDO安全要求覆盖范围的影响。安全秘书处将根据对认证产品所做更改的特点作出判断。结果要么是“非干扰性变化”,要么是“次要变化”或“主要变化”,分别导致衍生、Delta或重新认证。

要申请设备上载服务和FDO支持设备的认证维护,供应商必须填写FIAR表。

安全秘书处将确认收到提交的表格,并根据收到的先后顺序审查每份FIAR表格。安全秘书处可能会要求进一步澄清,有时还会要求提供细节。评估完成后,安全秘书处将标注并说明机密变更的类型,注明批准或拒绝。

步骤#2:认证维护申请

根据FIAR评估结果:

如需进行衍生产品认证,供应商须填写衍生产品/Delta认证申请表。

对于Delta认证,要求供应商首先完成一致性和互操作性测试步骤,以确认所评估的变更不会影响产品的功能特性。成功完成后,供应商须填写一份衍生/Delta认证申请表。

对于重新认证,要求供应商从一开始就启动认证流程。

衍生/Delta认证申请会触发供应商与FIDO联盟之间的开票流程。收到供应商付款后,认证秘书处将完成证书颁发。