通行密钥 承诺

无论您的公司是希望将基于 FIDO 的解决方案推向市场的供应商，还是您的组织是寻求了解为客户和/或员工部署 FIDO 身份验证的最有效方法的服务提供商，作为成员加入 FIDO Alliance 都有很大的好处。您可以 在此处了解更多信息。

请参阅 FIDO Alliance 成员 资格网页上的所需步骤。

FIDO 对非对称公钥加密采用“轻量级”方法，这为服务提供商提供了一种将公钥加密的安全优势扩展到更广泛的应用程序、域和设备的方法，尤其是在传统 PKI 被证明困难或不可能的情况下。FIDO 不是 PKI 的替代品，而是 PKI 的补充，使更多的用户和应用程序能够使用非对称加密受到保护。这在替代方法是用户名和密码的情况下尤其重要。

FIDO Alliance与 W3C 一起开发了 FIDO2 规范，使 FIDO 身份验证功能能够内置到更广泛的设备、平台和 Web 浏览器中。目前，Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari （MacOS）、iOS Web 浏览器以及 Windows 10 和 Android 平台均支持 FIDO。

全球许多领先的组织已为其员工和用户部署了 FIDO 身份验证，从而降低了他们的安全风险并改善了用户体验。查看我们主页的“谁在使用 FIDO”下的示例。

FIDO Alliance发布了三组更简单、更强大的身份验证规范 – FIDO U2F、FIDO UAF 和 FIDO2 – 以提供最广泛的使用案例和部署场景：

从一开始， FIDO Alliance 就表示打算通过制定规范来改变身份验证的性质，这些规范定义了一组开放、可扩展、可互作的机制，这些机制取代了对密码的依赖，从而安全地对在线服务的用户进行身份验证。在成立两年后，该联盟于 2014 年 12 月交付了最终的 1.0 规范，以实现这一愿景。这是该行业实现无处不在的更简单、更强大的身份验证道路上的一个重要里程碑，许多部署将 FIDO 身份验证带给了全球用户。为了进一步增加对跨设备和平台的 FIDO 身份验证的支持， FIDO Alliance 于 2019 年 3 月发布了第二组规范 FIDO2。有关更多信息，请参阅“为什么 FIDO Alliance 看到对 FIDO2 的需求？

FIDO Alliance发布了三组更简单、更强大的身份验证规范：FIDO 通用第二因素 （FIDO U2F）、FIDO 通用身份验证框架 （FIDO UAF） 和客户端到Authenticator协议 （CTAP）。CTAP 是对 W3C 的 Web 身份验证 （WebAuthn） 规范的补充;它们合称为 FIDO2。

FIDO Alliance网站提供有关联盟、其规范、FIDO Certified产品、资源知识库和最佳实践以及一般进展的全面信息。您还可以注册以接收未来活动的更新和邀请，其中许多活动向公众开放。您还可以在 Twitter 和/或 LinkedIn 上关注@FIDOalliance。

FIDO（在线快速身份）联盟是一个 501（c）6 非营利组织，成立于 2012 年年中，旨在制定标准，以解决强身份验证设备之间缺乏互作性的问题，以及用户在创建和记住多个用户名和密码时面临的问题。要了解有关 FIDO Alliance 治理和结构的更多信息，请参阅 关于 FIDO 页面 和 成员资格详细信息页面。

FIDO 的规范是公开的，任何人都可以阅读和分析。但只有 FIDO Alliance 成员受益于不针对其他成员的实施主张专利权的“承诺”（有关详细信息，请参阅 FIDO Alliance 成员协议 ）。任何人都可以加入 FIDO Alliance;我们鼓励即使是成本非常低的非常小的公司也从入门级加入。各级成员不仅受益于相互非断言保护，还可以参与 FIDO Alliance 成员、活动和发展;助理的参与权益更有限 （https://fidoalliance.org/members/membership-benefits/）。邀请所有人加入 FIDO Alliance 并参与其中。

FIDO 规范与设备无关，并支持各种身份验证技术，包括 FIDO 安全密钥和生物识别技术，例如指纹和虹膜扫描仪、语音和面部识别，以及 PIN 或图案保护的 microSD 卡。FIDO 规范还将支持现有的解决方案和通信标准，例如可信平台模块 （TPM）、USB 安全令牌、嵌入式安全元件 （eSE）、智能卡、低功耗蓝牙 （BLE） 和近场通信 （NFC）。由于 FIDO 规范是开放的，因此它们被设计为可扩展的，以适应未来的创新，并保护现有投资。

FIDO Alliance 成员均已承诺遵守我们的会员协议中包含的承诺，即不针对任何其他成员实施 FIDO 1.0 最终规范（在我们的 会员协议中称为“拟议标准”）主张其专利。任何有兴趣部署 FIDO 兼容解决方案的人都可以在不加入联盟的情况下进行部署，并且强烈建议他们使用 FIDO Certified 产品来实现该部署。

FIDO Alliance认证工作组负责测试产品是否符合 FIDO 规范以及这些实施之间的互作性。您可以在此处了解有关 FIDO® 认证计划的更多信息。

开放式行业标准确保现有和未来的产品和服务兼容，并且任何人都可以评估该技术。用户可以依赖其 FIDO 设备在支持 FIDO 身份验证的任何地方工作。服务提供商和企业可以容纳各种设备和 服务 ，而无需进行新的投资或恢复到专有配置。

不。为了闯入帐户，犯罪分子不仅需要注册为 FIDO Authenticator 的用户设备，还需要能够击败 Authenticator 用于保护私钥（例如用户名和 PIN 或生物识别）的用户身份验证。这使得闯入启用了 FIDO 的账户变得极其困难。

在 FIDO 身份验证中使用时，用户生物识别数据永远不会离开设备，也不会存储在中央服务器上，否则可能会在泄露中被盗。FIDO 的设备端身份验证模型消除了远程攻击的风险。如果潜在攻击者可以访问用户的实际设备，则成功的欺骗将非常困难。首先，攻击者必须获得一个格式完美、完整的潜在打印，该打印也注册在目标用户的设备上。然后，攻击者必须获得对用户设备的访问权限，以便仅控制这一台设备。即使完成了单个欺骗，也无法解决当今典型的大规模攻击所造成的潜在危害，后者可能导致获取数百万和数亿用户的凭据。

与当前基于密码的身份验证模型不同，FIDO 身份验证凭据永远不会共享或存储在集中式数据库中。FIDO 凭证仅由用户自己的设备知道和维护。服务提供商存储的只是与存储私钥的用户设备配对的公钥。为了提高安全性和隐私性，FIDO 身份验证中使用的生物识别永远不会离开设备。此安全模型消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。潜在的攻击者甚至需要用户的物理设备才能尝试黑客攻击（有关更多信息，请参阅下面的“如果有人窃取了设备，他们就不能闯入帐户吗？密码生态系统为攻击者提供了巨大的投资回报，而风险相对有限;FIDO 生态系统对攻击者来说要获利要困难、昂贵和风险大得多。

FIDO Alliance最近启动了 Authenticator 认证计划。该计划将 Authenticator 安全要求引入 FIDO 认证计划，专门用于身份验证器。根据 FIDO 认证计划认证的每个身份验证器都经过验证，以满足特定的安全保证级别，具体取决于供应商所寻求的安全级别。 级别越高，安全保证就越强。有关此计划的更多信息，请访问： https://fidoalliance.org/certification/authenticator-certification-levels/。

不可以，FIDO 身份验证会阻止这种类型的信息交换。每个设备/网站配对都需要单独的注册和单独的加密密钥对。注册后，用户可以轻松地从同一设备向多个站点进行身份验证，但每个站点都不知道用户与其他站点的交互。FIDO 没有引入任何可用于关联在线用户活动的新跟踪机制。

不。 FIDO Alliance 仅指定强身份验证的标准，并测试实施是否符合这些标准;联盟不提供服务或配备设备或站点。设备制造商、在线服务提供商、企业和开发人员使用 FIDO 规范来构建产品、提供服务，并为网站和浏览器启用 FIDO 身份验证。根据 FIDO 规范，用户的凭证必须保留在用户的设备上，并且永远不会与提供商或服务共享。

IDWG 和 IoT TWG 现已向行业参与者开放。FIDO 联盟工作组对 FIDO Alliance的所有董事会和赞助商级别成员开放。FIDO Alliance有关加入联盟的更多信息，请访问 https://fidoalliance.org/members/membership-benefits。

IoT TWG 将为 IoT 设备提供全面的身份验证框架，以符合联盟的基本使命 – 无密码身份验证。IoT TWG 将开发用例、目标架构和规范，包括：IoT 设备认证/身份验证配置文件，以实现服务提供商和 IoT 设备之间的互作性;应用程序和/或用户自动载入和绑定到 IoT 设备;以及通过智能路由器和 IoT 中心进行 IoT 设备身份验证和配置。

FIDO Alliance已经确定了更新的远程、基于所有权的技术，包括生物识别“自拍”匹配和政府颁发的身份证件身份验证，有可能大大提高新账户注册和账户恢复的身份保证质量。IDWG 将定义此类远程身份验证的标准以及其他标准，并制定认证计划和教育材料以支持采用该标准。

该联盟成立了两个新的工作组：身份验证和约束工作组 （IDWG） 和物联网技术工作组 （IoT TWG），以制定这些领域的指南和认证标准。 FIDO Alliance 将继续专注于开发和采用其用户身份验证标准和相关计划，并将其用作这项扩展工作的基础，现有成员和新的行业参与者都做出了贡献。

身份验证和 IoT 安全都与 FIDO Alliance 的核心关注点相邻，即用户身份验证。对于受 FIDO 身份验证保护的账户，当 FIDO 设备丢失或被盗时，账户恢复过程中的身份验证对于维护用户账户的完整性至关重要。对于 IoT 设备，典型的行业做法是使用默认密码凭证和手动载入来交付它们，这使它们容易受到攻击。这两个领域的安全漏洞可以通过行业协作和标准化而不是孤立的专有方法来最有效地解决。

最终，该联盟正在努力通过解决在 Web 上留下安全漏洞的相邻技术领域来提高 FIDO 身份验证的功效和市场采用率。FIDO 身份验证标准提供的高保证与用于帐户恢复和 IoT 身份验证的身份验证中使用的较低保证方法之间存在差距。该联盟旨在加强身份验证保证，以支持更好的帐户恢复，并自动安全设备注册，以消除 IoT 中的密码使用。

该联盟宣布了新的工作领域，以制定身份验证和物联网 （IoT） 方面的标准和认证计划。

FIDO Alliance的工作才刚刚开始。规范和认证计划不断发展，我们的部署工作变得更加重要。此外，该联盟刚刚推出了 IoT 和身份验证方面的新工作领域，这些领域利用了 Alliance 来自世界各地的领先组织的广泛联盟，帮助标准化与用户身份验证相关的技术。有关这些工作区的更多信息，请阅读 https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/。

FIDO Alliance为符合 FIDO2 规范的服务器、客户端和身份验证器提供互作性测试和认证。此外，联盟还为与所有 FIDO Authenticator类型（UAF、U2F、CTAP）互作的服务器引入了新的通用服务器认证。作为最佳实践，FIDO Alliance建议在线服务和企业部署通用服务器，以确保支持所有 FIDO Certified身份验证器。

一点也不。FIDO U2F 功能已合并到 FIDO2 的 CTAP2 协议中，FIDO U2F 安全密钥将继续与支持 U2F 身份验证的服务以及支持 FIDO2 身份验证的服务一起使用。

FIDO2 下的规范支持现有的无密码 FIDO UAF 和 FIDO U2F 使用案例和规范，并扩展了 FIDO 身份验证的可用性。已经拥有符合 FIDO 的外部设备（例如 FIDO U2F 安全密钥）的用户将能够继续将这些设备与支持 WebAuthn 的 Web 应用程序一起使用。现有的 FIDO UAF 设备仍然可以与预先存在的服务以及基于 FIDO UAF 协议的新服务产品一起使用。

当前的采用状态可 在此处查看。

FIDO2 标准现已发布并可供实施。WebAuthn 于 2019 年 3 月达到 W3C 的最终推荐标准，是官方 Web 标准。CTAP 是最终的 FIDO Alliance 规范。

FIDO Alliance 与 W3C 合作，为整个 Web 平台标准化 FIDO 身份验证，以便 FIDO 生态系统可以通过支持该标准的整个 Web 浏览器和 Web 应用程序服务器社区来发展。W3C 是 Web 社区制定标准的地方，因此在该论坛中工作更为实用。

一个好的经验法则是记住这个简单的方程式：

FIDO2 = W3C WebAuthn + CTAP

以下是 FIDO2 开发的完整故事：

在 FIDO UAF 和 FIDO U2F 规范发布后， FIDO Alliance 专注于让全球用户更容易获得 FIDO 身份验证。该联盟制定了三个技术规范，定义了一个基于 Web 的 API，使 FIDO 身份验证能够直接内置到浏览器和平台中。这些规范已于 2015 年 11 月提交给万维网的国际标准组织 W3C。 FIDO Alliance 成员公司在 W3C 的 Web 身份验证工作组内合作，最终确定了 API，即后来的 WebAuthn。WebAuthn 于 2019 年 3 月被正式认可为 W3C Web 标准。

在同一时期， FIDO Alliance 创建并最终确定了 WebAuthn 的补充规范：客户端到 Authenticator 协议 （CTAP）。CTAP 允许用户使用他们已经拥有的设备（例如手机、安全密钥或 Windows 10 电脑）对支持 WebAuthn 的浏览器和平台进行身份验证，从而使用户更容易访问 WebAuthn。

WebAuthn 和 CTAP 一起称为 FIDO2。 FIDO Alliance 管理和维护认证计划，以确保市场上所有 FIDO2 实施（客户端、服务器和身份验证设备）的互作性。

FIDO Alliance的目标一直是在 Web 上无处不在的强身份验证。这意味着在人们每天使用的每台设备中构建对 FIDO 身份验证的支持。该联盟在其最初的 FIDO U2F 和 FIDO UAF 规范方面取得了显著进展，尤其是在移动平台上。FIDO2 通过使其成为跨浏览器和 Web 平台的内置功能，扩展了 FIDO 身份验证的范围，这是朝着联盟总体目标迈出的重要一步。

FIDO2 是 FIDO 全套最新标准的正式名称。

FIDO2 包括两个规范：

FIDO2 是 FIDO Alliance最新的强身份验证标准集的总称。FIDO2 包括两个规范：W3C 的 Web 身份验证 （WebAuthn） 和 FIDO Alliance的客户端到 Authenticator 协议 （CTAP）。

是的，您可以从一台 FIDO 设备使用多个网站。每个设备/网站配对都需要单独的注册和单独的加密密钥对。注册后，用户可以轻松地从同一设备向多个站点进行身份验证，但每个站点都不知道用户与其他站点的交互。

如果用户购买了新设备或想要使用多个 FIDO 设备，则用户只需在他想要使用它们的站点上注册每个设备。在站点上注册设备后，每当用户需要在该站点进行身份验证时，都会识别该设备。当用户使用尚未注册的新设备访问站点时，系统将提示用户注册新的 FIDO 设备，以便在该站点上使用新设备启用 FIDO 身份验证。

FIDO 模型的目的是为在线服务提供安全简单的身份验证体验。身份验证涉及使用设备通过网络连接到服务的用户。

FIDO Alliance证书编号格式为：AA-NNNNN-SSSSS，其中 AA 是计划标识符，NNNNN 是认证编号，SSSSS 是产品标识符。Program Identifier 对应于颁发证书的认证计划。

FIDO Alliance工作人员将每月审核 FIDO Certified徽标的使用情况和已发布的认证声明。实际实施的审计将由市场反馈驱动。如果出现任何问题，可以通过认证标志违规表提交反馈。

不。但是，产品必须经过认证才能声称已获得 FIDO Certified 并使用 FIDO Certified 标志。

创建Derivative certification是为了简化实施者的认证流程，这些实施者拥有大量认证，这些认证基本上都基于相同的实施。在这种情况下，实施者可以认证一个实施，其余实施可以注册为该基本认证的 “衍生” 实施。Derivatives 不需要参加互作性活动即可获得认证，但它们确实要求 Derivative 实现运行并通过一致性测试。与我们的测试工具和互作性测试获得的原始认证相比，实施不会发生任何实质性变化。如果实施有变化，则需要通过 FIDO 影响分析来确定实施是否需要 Delta 认证或重新认证。

互作性事件至少每 90 天发生一次，但根据实施者的需求，可能会更频繁地发生。

费用按实施认证进行，必须在颁发证书之前支付。

有关每个计划的 FIDO 认证 费用的概述，请转到 认证 费用 页面。

是的。欢迎非会员对其实施进行认证。

UAF 身份验证器规范定义了一个 AAID 字段，该字段一半是供应商 ID 和一半设备 ID，用于唯一标识每个身份验证器。供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。AAID 字段的另一半（设备 ID）由实施公司分配给身份验证器。只有 UAF Authenticator 需要供应商 ID。

只要产品的 FIDO 实现的代码库没有发生任何实质性变化，产品就会无限期地获得认证。只有在极少数情况下才能终止 认证 ，例如确定实现未正确通过测试工具或互作性事件。 认证 仅适用于特定的规范和实现类（即“UAF Authenticator”）。如果发布了规范的新主要版本（由 FIDO 认证 工作组确定），并且实施方案希望声明符合该规范，则需要新的认证。

使用 FIDO Certified 标志需要签署 TMLA。对于希望在其网站上使用认证徽标的依赖方，有一个简化的流程，其中包括 “无点击”许可协议。

是的。供应商有一个可识别的 FIDO Certified 标志，可包含在其网站、产品材料、包装等中。

首先，确保您的实施通过 一致性测试 （需要注册）。验证实施 后，注册 Interoperability 活动，然后您就可以开始认证您的产品了。

FIDO Alliance元数据服务 （MDS） 是一个基于 Web 的工具，FIDO 身份验证器供应商可以在其中发布元数据语句供 FIDO 服务器下载。这为部署 FIDO 服务器的组织提供了有关 FIDO 身份验证器的集中且可信的信息源。

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或寻求了解部署 FIDO 身份验证的最有效方法的组织服务提供商将从参与 FIDO Alliance 工作组中受益最大。

通过参与 FIDO Alliance的技术工作组，成员能够塑造并尽早了解 FIDO 的技术产出，这有助于加速产品和服务的开发。参与工作组还将使您的团队能够获得基于同行的反馈，以帮助您自己实施，同时也创造了一个机会，将您公司的愿景反映在部署指南和建议中。

有四个主要测试步骤：

认证 从使用 FIDO Alliance 提供的测试工具对规范一致性进行自我评估开始，然后在 FIDO Alliance监考的测试活动中与至少三个测试合作伙伴进行互作性测试。目前，认证计划没有实验室方面，但 认证 工作组目前正在审查开发和实施功能实验室认证计划的要求。 请参阅 入门 网页以了解更多信息。

是的。实现必须为他们寻求认证的每个实现类申请认证（并支付认证费用）。例如，如果实施同时对 FIDO UAF 服务器和 FIDO2 服务器进行认证，则该实施必须遵循两者的认证流程（并支付两者的认证费用）。该实施最终将获得两项认证。针对不同规范进行测试之间的主要区别在于它们具有不同的测试工具和不同的互作性事件。

不。只有通过 FIDO 认证 计划并获得认证编号的商品才能声称已获得 FIDO Certified。

FIDO Alliance颁发的证书采用以下数字格式：

SSSXYZAYYYYMMDD####

SSS – 规格编号（UAF 或 U2F）

X – 规格编号

Y – 规范次版本号

Z – 规范修订号

A – 规格勘误号

YYYY – 颁发年份

MM – 签发月份

DD – 发行日

#### – 今天颁发的证书编号

FIDO Alliance工作人员将每月审核 FIDO Certified徽标的使用情况和已发布的认证声明。实际实施的审计将由市场反馈驱动。如果出现任何问题，可以通过认证标志违规表提交反馈。

不。但是，产品必须经过认证才能声称已获得 FIDO Certified 并使用 FIDO Certified 标志。

创建Derivative certification是为了简化实施者的认证流程，这些实施者拥有大量认证，这些认证基本上都基于相同的实施。在这种情况下，实施者可以认证一个实施，其余实施可以注册为该基本认证的 “衍生” 实施。Derivatives 不需要参加互作性活动即可获得认证，但它们确实要求 Derivative 实现运行并通过一致性测试。与我们的测试工具和互作性测试获得的原始认证相比，实施不会发生任何实质性变化。如果实施有变化，则需要通过 FIDO 影响分析来确定实施是否需要 Delta 认证或重新认证。

互作性事件至少每 90 天发生一次，但根据实施者的需求，可能会更频繁地发生。

费用按实施认证进行，必须在颁发证书之前支付。

是的。欢迎非会员对其实施进行认证。

UAF 身份验证器规范定义了一个 AAID 字段，该字段一半是供应商 ID 和一半设备 ID，用于唯一标识每个身份验证器。供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。AAID 字段的另一半（设备 ID）由实施公司分配给身份验证器。只有 UAF Authenticator 需要供应商 ID。

只要产品的 FIDO 实现的代码库没有发生任何实质性变化，产品就会无限期地获得认证。只有在极少数情况下才能终止 认证 ，例如确定实现未正确通过测试工具或互作性事件。 认证 仅适用于特定的规范和实现类（即“UAF Authenticator”）。如果发布了规范的新主要版本（由 FIDO 认证 工作组确定），并且实施方案希望声明符合该规范，则需要新的认证。

使用 FIDO Certified 标志需要签署 TMLA。对于希望在其网站上使用认证徽标的依赖方，有一个简化的流程，其中包括 “无点击”许可协议。

是的。供应商有一个可识别的 FIDO Certified 标志，可包含在其网站、产品材料、包装等中。

首先，确保您的实施通过 一致性测试 （需要注册）。验证实施 后，注册 Interoperability 活动，然后您就可以开始认证您的产品了。

FIDO Alliance元数据服务 （MDS） 是一个基于 Web 的工具，FIDO 身份验证器供应商可以在其中发布元数据语句供 FIDO 服务器下载。这为部署 FIDO 服务器的组织提供了有关 FIDO 身份验证器的集中且可信的信息源。

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或寻求了解部署 FIDO 身份验证的最有效方法的组织服务提供商将从参与 FIDO Alliance 工作组中受益最大。