FIDO 的工作原理

FIDO 协议使用标准公钥密码学技术提供更强有力的身份认证方式。向在线服务注册期间，用户的客户端设备会创建一个新的密钥对。该设备保留私钥，并向在线服务注册公钥。客户端通过对挑战值签名的方式向该服务证明私钥的拥有权，以此完成身份认证。用户私钥仅在完成本地解锁后才可以使用。用户通过友好、安全的操作解锁本地密钥，例如验证指纹、输入 PIN、通过话筒语音操作、插入第二因子设备或按下某个按钮。

FIDO 协议始终是围绕保护用户的隐私来设计的。这些协议不会向在线服务提供商提供可用于跟踪用户的信息。如果采用生物特征识别技术，用户生物特征绝不离开用户设备。

FIDO 注册

注册：

• 系统提示用户选择符合在线服务策略的可用 的FIDO 认证器。
• 用户使用指纹传感器、第二因子设备上的按钮、安全输入的 PIN 或其他方法解锁 FIDO 认证器。
• 用户设备创建一对针对本地设备、在线服务和用户账户的独有的全新公/私钥对。
• 系统将公钥发送给在线服务，并将其与用户的账户关联。私钥和本地身份认证方法相关信息（例如生物识别测量或模板）绝不会离开本地设备。

FIDO 登录

登录：

• 在线服务要求用户使用之前注册过的并与服务策略相符的设备登录。
• 用户使用与注册时相同的方法解锁 FIDO 认证器。
• 设备使用由服务器提供的用户的账户标识来选择正确的密钥并签名服务器发出的挑战。
• 客户端设备将经过签名的挑战发送回服务器，由其使用存储的公钥进行验证，然后即可允许用户登录。