FDO认证独立于FIDO联盟的其他认证项目。
获得FDO认证的途径始于产品开发。 产品开发不在FDO认证范围之内。 在申请认证之前,请阅读FDO的所有规范、认证要求和政策。 实施者指导文件和FDO开发者论坛是产品开发支持的可用资源。
下表列出了每种产品认证所需的步骤。 选择一个步骤了解更多信息。
FDO实施类别
| 设备上载(DO)服务 | 设备/支持FDO的设备 | Rendezvous服务器(RV) | |
| 步骤1:申请 |
|
|
|
| 认证NDA |
|
|
|
| 步骤2:一致性测试 |
|
|
|
| 步骤3:互操作性测试 |
|
|
|
| 步骤4:安全评估 |
|
| 不适用 |
| 一级(L1)供应商问卷 |
|
| 不适用 |
| 步骤5:认证申请 |
|
|
|
| 认证费发票和付款 |
|
|
|
| 步骤6:颁发证书 |
|
|
|
| TMLA |
|
|
|
| 步骤7:认证维护 |
|
|
|
| 衍生产品 |
|
|
|
| Delta |
|
| 不适用 |
| 重新认证 |
|
| 不适用 |
步骤1:申请
要开始FDO认证流程,供应商必须填写FDO认证申请表,FIDO认证秘书处将收到并确认申请。 该申请旨在向FIDO认证提供有关认证供应商的管理细节,以及有关申请FDO认证的实施方案的一般信息。
认证申请表可在此处获取。
此外,如果认证公司尚未填写,供应商必须填写并向认证秘书处提交一份FIDO认证保密协议(NDA),邮箱为:certification@fidoalliance.org。
步骤2:一致性测试
对于任何寻求FDO认证的实施,供应商通过使用测试工具自行管理并成功完成FDO一致性测试,并将结果提交给FIDO认证秘书处。
有关FDO一致性测试的更多信息,请参阅功能认证计划页面。
步骤3:互操作性测试
在成功完成FDO一致性测试后,供应商要为任何寻求FDO认证的实施注册并成功完成FDO互操作性测试。
有关FDO互操作性测试的更多信息,包括即将举行的FDO互操作性测试时间表和注册链接,请参阅功能认证计划页面。
步骤4:安全评估
安全评估是认证“设备上载服务”和“设备”所必需的步骤。 Rendezvous服务器无需完成安全认证。
完成FDO互操作性测试后,供应商必须为每个认证产品填写一份FDO供应商问卷(VQ)。 填妥的供应商问卷(VQ)应提交至:fdo-security-evaluation@fidoalliance.org。
FIDO安全秘书处将确认收到提交的材料,并根据收到材料的先后顺序审查每份供应商问卷(VQ)。 安全秘书处可能会要求进一步澄清,有时还会要求提供细节。 评估成功后,安全秘书处将标明供应商问卷(VQ)已获批准,并通知供应商和认证秘书处。
步骤5:认证申请
FIDO认证秘书处要求供应商在所有适用的认证测试和/或评估步骤完成后提交一份认证申请。
Rendezvous服务器
成功完成功能认证后,认证秘书处将发送一封电子邮件,核实所有已完成的认证步骤,并要求供应商完成认证申请。
设备上载服务和支持FDO的设备
在成功完成功能和安全认证后,认证秘书处将发送一封电子邮件,核实所有已完成的认证步骤,并要求供应商完成认证申请。
认证申请会触发供应商和FIDO联盟之间的开票流程。 收到供应商付款后,认证秘书处将完成证书颁发。
步骤6:颁发证书
收到付款后,认证秘书处将为每个经认证的产品汇总一份FDO证书,并通过电子邮件将每份证书发给供应商。 此时,如果认证公司尚未完成,则要求供应商在希望使用FIDOⓇ认证标识时填写一份FIDO商标许可协议(TMLA)。 每家公司每个版本的TMLA都需要一份完整执行的TMLA。 认证秘书处还将要求供应商确认FDO证书所附产品和公司字段的准确性。 如果需要更改,请供应商在3个工作日内通过电子邮件作出答复,并注明任何修改。
在确认FDO证书详情后,认证秘书处将把FDO认证产品证书上传到FIDO认证产品数据库。
步骤7:认证维护
FIDO®认证产品有时会发生一些变化。 Rendezvous服务器可能会被授权或出售,因此需要完成衍生认证维护。 设备上载服务和启用FDO的设备可能会受到与FDO安全要求有关的变更的影响,因此需要完成对此类变更的评估,这些变更被归类为非干扰、次要或主要变更,并与衍生、Delta和重新认证有关。
认证维护包括对所有FIDO®认证产品的要求,贯穿产品的整个生命周期。 FIDO®认证产品的供应商必须通过认证维护来遵守和维护其认证。 有关完整的认证维护、供应商义务和认证撤销信息,请参考认证计划政策文件。
认证维护流程按FDO实施类别划分。
Rendezvous服务器
FIDO®认证Rendezvous服务器的认证维护包括一个过程,该过程验证归类为非干扰,相关和需要RV服务器组件的衍生认证的更改。 这个过程由一个步骤组成。 衍生认证的好处是,认证实施不需要通过功能认证测试,而且每个衍生认证的费用低于基本认证。
以下情况旨在帮助确定一项实施是否有资格获得衍生认证:
| FIDO®认证实施 – Rendezvous服务器 | 衍生产品? |
| B公司使用A公司(完成基础认证的公司)公开提供的FIDO®认证Rendezvous服务器,B公司使用的实施方案保持不变 | 是 |
| B公司使用由A公司(完成基础认证的公司)许可或出售的FIDO®认证Rendezvous服务器,B公司使用的实施方案保持不变 | 是 |
| B公司在其网站上使用与另一家公司的FIDO®认证Rendezvous服务器组件有关的FIDO®认证标识 | 是 |
| 实施FIDO®认证的公司[Product v1.0]推出与产品1.0不同的新产品[New Product v2.0],但FIDO®认证的Rendezvous服务器组件保持不变 | 是 |
| 实施FIDO®认证的公司[Product v1.0]推出与产品1.0不同的新产品[New Product v2.0],其中包括对FIDO®认证Rendezvous服务器组件所做的更改 | 不是 |
要申请FIDO®认证的Rendezvous服务器的衍生认证,供应商必须填写Rendezvous服务器衍生认证申请表,包括认证产品的基本证书编号。
设备上载服务和支持FDO的设备
FIDO®认证设备上载服务和FDO支持设备的认证维护包括多步骤流程,可验证归类为无干扰、次要或主要的变更。 这些变化可能会影响FDO安全要求。 此类变更可能是为纠正已发现的缺陷而设计的补丁、对功能的增强、添加新功能或对FIDO®认证的FDO硬件和/或软件的任何其他变更。
步骤#1:认证维护评估
为评估这类变更的影响,供应商必须填写FDO影响分析报告(FIAR)表。 作为FIAR表的一部分,提交变更说明和认证产品的源证书编号,然后由FIDO安全秘书处进行评估。 对所述变更进行分析,并确定其对FDO安全要求覆盖范围的影响。 安全秘书处将根据对认证产品所做更改的特点作出判断。 结果要么是“非干扰性变化”,要么是“次要变化”或“主要变化”,分别导致衍生、Delta或重新认证。
要申请设备上载服务和FDO支持设备的认证维护,供应商必须填写FIAR表。
安全秘书处将确认收到提交的表格,并根据收到的先后顺序审查每份FIAR表格。 安全秘书处可能会要求进一步澄清,有时还会要求提供细节。 评估完成后,安全秘书处将标注并说明机密变更的类型,注明批准或拒绝。
步骤#2:认证维护申请
根据FIAR评估结果:
如需进行衍生产品认证,供应商须填写衍生产品/Delta认证申请表。
对于Delta认证,要求供应商首先完成一致性和互操作性测试步骤,以确认所评估的变更不会影响产品的功能特性。 成功完成后,供应商须填写一份衍生/Delta认证申请表。
对于重新认证,要求供应商从一开始就启动认证流程。
衍生/Delta认证申请会触发供应商与FIDO联盟之间的开票流程。 收到供应商付款后,认证秘书处将完成证书颁发。
