Mobile Connect卡认证与FIDO认证技术方案比较研究
FIDO
保护用户隐私
为避免用户信息泄露,U2F设备将不分配统一独立的识别ID,不再 和用户名或服务应用绑定。网站也不能通过所产生的密钥信息有效区分不同 U2F设备,也不能通过认证信息来识别用户。同时,在每次用户身份验证时, U2F设备首先验证网站识别信息数据的Hash值,并借助私钥索引识别当前应 用的认证密钥,从而保证不同私钥之间相互独立透明。
密钥种类
认证手段与认证协议相分离
不可链接性
协议无第三方参与
FIDO—U2F协议
FIDO—U2F协议
兼容性强,便于大规模部署
对单个网站或服务应用来说,U2F认证设备和传统第二代U盾很相似,都采 用非对称加密技术,但传统U盾一般只适用于单个应用,且与单个用户一一对 应。而U2F协议支持一个设备同时供多应用或多用户使用,以及多设备验证同 一应用的同一账户,互不影响。
安全性更强
U2F设备在身份验证过程中,增加了网站信息验证与用户确认环节。U2F 设备只对信息验证通过并经用户同意的身份验证请求进行签名认证,大大降低 了U2F协议被暴力攻击的概率。同时U2F在验证设备中还设置了一个计数器,
FIDO—U2F协议
更好的用户体验
用户只需注册一个U2F设备,就可以同时在多个应用和网站上完成 第二因数强身份验证。借助U2F认证设备,用户可以放心使用简单密码(如4 位密码),而不需担心交易安全,也无需像U盾那样针对每个客户每个应用都 需单独申请办理。此外,U2F身份验证设备注册和使用非常简便,并支持USB、 蓝牙、NFC等多种通信协议。
FIDO—UAF协议
FIDO—UAF协议
(1) 按照UAF协议完成注册后,当需要用户身份验证或交易授权时, 应用提供方向用户应用发起UAF申请身份验证或交易授权指令; (2) 用户应用收到指令后,通知UAF客户端收并一并推送待签名数据; (3) UAF用户端通过接口调用UAF身份验证器,在得到用户批准确认 后(即当前用户信息与注册时的用户信息相匹配),利用私钥签名需要 认证的数据; (4) UAF用户端通过用户应用将签名数据推送回后台服务器; (5) UAF服务器验证签名数据通过后,完成身份验证或交易授权,批 准此次操作;反之,身份验证或交易授权失败。
华为手机更新后出现的“FIDO安全密钥”是个什么鬼?
华为手机更新后出现的“FIDO安全密钥”是个什么鬼?大家是不是都对华为手机更新后出现的“FIDO安全密钥”感到疑惑呢?下面就为大家简单解惑一下。
传统手机支付保护传统手机支付保护缺点太明显,比如:•口令:过于简单不安全,过于复杂难记忆;•短信验证码:“伪基站”表示它能劫取短信,银行表示每年的短信费有点高;•手机盾:随身携带太麻烦,银行表示短信费还没算完就又要买U 盾了…于是,新的安全认证方式就开始出现了,例如利用指纹、人脸等具有唯一性的生物识别特征进行认证。
FIDO联盟FIDO联盟,英文全称Fast Identity Online,即线上快速身份验证联盟。
成立于2012年,目标是创建一套开放、可扩展的标准协议,支持对Web应用的非密码安全认证。
该协议为在线与数码验证方面的首个开放行业标准,可提高安全性、保护私隐及简化用户体验。
FIDO主要通过两个标准协议来实现安全登录(验证):•无密码体验FIDO UAF:指纹—生物识别;•双因子体验FIDO U2F标:密码—U盾等设备;1、无密码的UAF(Universal Authentication Framework)①用户携带含有UAF的客户设备(通常手机或pc,内置采集设备);②用户出示一个本地的生物识别特征(指纹、人脸、声纹等);③网站可以选择是否保存密码;用户选择一个本地的认证方案(例如按一下指纹、看一下摄像头、对麦克说话,输入一个PIN等)把他的设备注册到在线服务上去。
只需要一次注册,之后用户再需要去认证时,就可以简单的重复一个认证动作即可。
用户在进行身份认证时,不再需要输入他们的密码了,UAF也允许组合多种认证方案,比如指纹+PIN等。
UAF适用于基于手机、平板、智能手表等已内置生物识别的设备进行验证,无需增加其他设备。
2、双因子的U2F(Universal Second Factor)①用户携带U2F设备,浏览器支持这个设备;②用户出示U2F设备,浏览器读取设备证书;③网站可以使用简单的密码(比如4个数字的PIN)。
无惧BYOD大潮——五款移动终端管理软件横向评测
无惧BYOD大潮——五款移动终端管理软件横向评测作者:暂无来源:《计算机世界》 2012年第44期BYOD 给我们带来了极大的便利,但也为企业带来很多风险。
面对来势汹汹的BYOD 大潮,选择一款适合的管理工具已迫在眉睫。
本文介绍了当下主流的五款BYOD 管理工具,相信总有一款适合你。
■ 沈建苗编译随着移动终端的飞速发展,智能手机、平板电脑商用化已经随处可见。
原本为个人消费者设计的智能手机和平板电脑正在不断被企业用于承载关键业务及核心应用,这就需要企业能够应用相关IT 策略及规范管理这些设备。
移动终端管理(Mobile Device Management,MDM)的概念由此应运而生,目前主流的移动终端操作系统均不同程度地支持MDM 管理协议。
本次评测涵盖了目前市面上主流的五款MDM 软件,其中包括Tangoe MDM、SOTI MobiControl、Webroot SAB-MP、蓝代斯克移动管理器以及SAP Afaria 7。
不同于以往主要偏重于资产管理,包括移动设备的配置、保护和控制等方面的测试,本次测试大大加强了对部分智能手机和终端操作系统控制能力的测试。
另外,还有像基于位置的跟踪、移动终端使用情况跟踪、双因子验证以及隔离个人身份和企业身份的沙箱机制等方面的测试。
功能强大的Tangoe MDMTangoe 公司最初只是开发手机费用控制和资产控制应用软件,不过现在其产品已经能够提供全方位的移动设备生命周期管理。
TangoeMDM(以下简称MDM)功能比较成熟,适用于iOS、安卓、黑莓和Windows Mobile 系统,而且MDM可以充分体现大型企业的工作流程。
例如,在测试中,虽然MDM 的Web 用户界面并未完全定义工作流程,但是通过简单体验,很快就可以掌握并灵活操作。
MDM 的整个部署过程首先从配置MDM 组件开始,然后安装应用程序和软件。
MDM 可以安装在远程主机中,也可以部署在企业内部,本次测试我们选择安装在远程主机中。
【最新】移动LTE初级认证考试考试题库及答案6
【最新】移动LTE初级认证考试考试题库及答案6考号姓名分数一、单选题(每题1分,共100分)1、以下不属于OMC的功能是()A.测试B.性能C.告警D.计费答案:D2、关于切换过程描叙正确的是()A.切换过程中,收到源小区发来的RRC CONNECTION RECONFIGURATION,UE在源小区发送RRC CONNECTION SETUP RECONFIGURATION COMPELTEB.切换过程中,收到源小区发来的RRC CONNECTION RECONFIGURATION,UE在目标小区随机接入后并在目标小区上送RRC CONNECTION SETUP RECONFIGURATION COMPELTEC.切换过程中,收到源小区发来的RRC CONNECTION RECONFIGURATION,UE无需随机接入过程,直接在目标小区上送RRC CONNECTION SETUP RECONFIGURATION COMPELTED.切换过程中,UE在目标随机接入后收到目标小区发来的RRC CONNECTION RECONFIGURATION后在目标小区上送RRC CONNECTION SETUP RECONFIGURATION COMPELTE答案:B3、LTE中上行控制信道检测与错误检测要求中CQI块错误率的目标质量为()A.1/10~2/10B.2/10~3/10C.3/10~4/10D.2/10~4/104、接入层信息不包括哪些?A.小区信息B.信道消息域信息D.小区选择信息答案:C5、链路预算中,一般将普通手持智能终端的天线增益设置为多大()A.0dBB.1dBiC.2dBiD.3dBi答案:A6、网管中,一般设置FTP的端口为:A.21B.162C.10021D.5000答案:C7、当UL-SCH资源没有被分配时,以下哪类信道用于承载上行的 ACK/NACK()A.PUSCHB.PRACHC.PUCCHD.PDCCH答案:C8、哪些不属于LTE采用独立天线的优点?A.最佳的网络性能B.最匹配的天线间距C.对现网影响最小D.降低成本9、ICIC技术是用来解决:( )A.A、邻频干扰B.B、同频干扰C.C、随机干扰D.D、异系统干扰答案:B10、HRQ的信息是承载在哪个信道上的?A.PDCCHB.PDSHC.PHICHD.PCFICH答案:C11、支持宏分集的网络架构(三层构架)不包括A.核心网CNB.无线网络控制器RNCC.基站NodeBD.核心网+基站答案:D12、S1接口的用户面终止在什么上?A.SGWB.MMEC.MMHD.SAW答案:A13、下面不属于控制面协议的是()A.SCTPB.S1APC.APPD.NAS14、LTE下,用户通过()方式进行认证A.AKAB.EAP-SIMC.CHAPD.EAP-AKA答案:D15、以下3GPP版本中,哪个版本是LTE的第一版A..R6B..R7C..R8D..R9答案:C16、室外D频段组网采用的时隙配比为( )A.0.084B.0.042C.0.126D.0.126答案:A17、查询小区状态的MML命令A.DSP CELLB.C.D.答案:A18、MME的APN配置用于设置()和()对应关系A.PLMN中APN名、SGW主机名B.PLMN中APN名、PGW主机名C.PLMN中APN名、SGW的IP地址D.PLMN中APN名、PGW的IP地址19、当使用不同循环时间移位的UE数量()可支持的循环时间移位数量时,分配具有最大可能间距的循环时间移位是有利的,在LTE中也得到支持。
3种接入认证技术的浅析与比较
3种接入认证技术的浅析与比较肖义【摘要】接入认证技术支撑了宽带接入的发展.目前,应用最为广泛的认证技术有3种:以太网上传送PPP协议(PPPoE,PPP over Ethernet)、Web和802.1x .文章先给出了用户认证系统的基本模型,并基于此对这3种用户认证技术进行了分析与比较.从可扩展性上考虑,Web认证技术的可扩展性是最好的.文章最后给出了作者的观点:Web认证在将来会得到更好的发展.【期刊名称】《光通信研究》【年(卷),期】2006(000)003【总页数】4页(P25-28)【关键词】宽带接入;用户认证;以太网上传送PPP协议;Web;802.1x【作者】肖义【作者单位】武汉邮电科学研究院,湖北,武汉,430074【正文语种】中文【中图分类】TN915随着Internet 的普及,宽带接入认证技术得到了长足发展。
目前,使用最为广泛的认证技术主要有3种,即以太网上传送PPP协议(PPPoE)、Web和802.1x。
PPPoE认证与电信运营商非对称数字用户线(ADSL)接入业务相结合,应用最为广泛;Web认证和802.1x认证主要应用在以太网接入上,也获得了规模应用。
这几种认证技术支撑了整个宽带用户接入的发展,对建设可运营、可管理的网络起到了非常大的作用。
在IETF RFC2516[1]中给出了PPPoE的协议标准,而IEEE Std 802.1x-2001[2]中给出了关于802.1x 认证技术的定义,但Web 认证的国际规范还没有制定,目前所使用的Web认证技术都是设备制造商自定义的。
从技术上来分析,这3种技术都存在很多不足的地方,随着应用的日益丰富,如IPTV的普及,势必会对认证技术提出更严格的要求。
哪一种认证技术会得到更好的发展,未来的主流认证技术会采用哪一种呢?本文将逐一分析这3种认证技术的优势和不足,对这3种技术做一个简要的比较,最后从发展的角度,给出本文的观点。
1 认证过程简介对用户的认证管理(即通常所说的AAA)包含3个方面,即认证(Authentication)、授权 (Authorization)和计费 (Accounting)。
FIDO机遇与挑战
认证器 元数据
FIDO 服务端 组件
代表用户身份的 私钥
代表设备身份的 私钥
验证用户身份的 公钥
验证设备身份的 公钥根证书
• UAF的最佳使用场景是在移动终端上与app集成,利用移动终端的指纹、虹膜、 3D人脸识别以及可信执行环境或eSE等能力。
• 认证器最好是预装在移动终端中,也可基于移动操作系统API开发。
Universal FIDO Server
13
FIDO2.0应用场景 – 漫游认证器(手机)
Android Phone
BLE
Banking Service
Windows 10 PC
Web Authentication Enabled Browsers
Universal FIDO Server 14
9.提供公钥 及申请
10.颁发证书
RA/CA
基于FIDO协议进行 扩展的手机盾方案
SE
加密模块
5.生成公私钥对
*: 用户确认方式:1)指纹;2)PIN码;3)指纹+PIN码 PIN码校验由Se加密模块Applet完成(输入可由TUI实现)
17
FIDO手机盾方案优势
兼容
兼容FIDO UAF国际 标准协议;满足PKI 体系的相关技术标准
• 中国于2017年正式实施《网络安全法》,并发布国家标准GB/T 35273-2017《个人信息保护规范》, 高度重视对个人隐私的保护;
• FIDO标准,从最初制定就高度秉承“用户隐私保护至上”的宗旨,最大程度上减少任何来自由于身份认 证技术本身引起的潜在的用户隐私或安全风险。FIDO协议中, 不涉及任何第三方, 在用户账户和应用服务 之间也不涉及任何链接功能或跟踪的可能。FIDO标准完全符合潮流,面临发展机遇。
Mobile Connect卡认证与FIDO认证技术方案比较研究
Mobile Connect卡认证与FIDO认证技术方案比较研究郭茂文
【期刊名称】《广东通信技术》
【年(卷),期】2016(36)12
【摘要】主要介绍了业界两种典型的移动认证解决方案:以运营商为代表的Mobile Connect卡认证方案和以互联网公司为代表的FIDO联盟认证方案,并从多个角度比较了这两种方案的差异及其优缺点,最后提出了在Mobile Connect 卡认证方案中集成FIDO联盟认证方案的设想和思路。
【总页数】4页(P17-20)
【作者】郭茂文
【作者单位】中国电信股份有限公司广州研究院
【正文语种】中文
【相关文献】
1.基于智能SIM卡的生物特征认证(FIDO认证) [J], 张超;刘镝;王笑帝;宁晓魁;李俊
2.基于用户卡的移动认证技术方案与应用 [J], 张荣;黎艳;郭建昌
3.fido5100和fido5200 REM交换芯片为工业通信提供预认证方案 [J], Matteo Crosio
4.fido5100和fido5200 REM交换芯片为工业通信提供预认证方案 [J], Matteo Crosio
5.基于FIDO技术的物联网身份认证解决方案 [J], 李俊;柴海新
因版权原因,仅展示原文概要,查看原文内容请购买。
国外运营商认证测试要求
国外运营商认证测试要求摘要:介绍了不同层面的终端测试,即强制性测试、终端一致性测试和运营商认证测试。
对国外运营商认证测试、运营商认证流程以及欧洲和北美运营商的测试要求和测试内容进行了阐述,并给出了一个运营商定义的测试例。
1 引言为了确保投向市场的移动电话终端与网络的一致性和兼容性,保证终端性能优良、功能正常,能够满足消费者的要求,政府、行业组织和运营商都会要求终端在进入市场之前,必须经过多项的设备认证测试。
对于一款终端来说需要进行的认证测试分为3个级别,即国家和地区的强制性测试、行业组织要求的终端一致性测试以及运营商的认证测试。
随着运营商定制终端模式的大规模发展,运营商认证测试在整个认证体系中扮演着越来越重要的角色。
2 强制性认证测试国际上的强制性认证测试,根据地域主要分为2大体系,欧洲体系和北美体系。
根据欧盟R&TTE导则,进入欧盟市场的终端设备必须通过强制性认证。
CE标志(CE Mark)是欧盟特有的强制性产品的认证标志,产品贴上CE标志,表明其符合安全、健康、环保等相关指令的主要要求,因此CE标志是产品进入欧洲统一市场的“准入证”。
美国要求对WCDMA终端设备进行强制性认证测试的管制机构是FCC(美国联邦通讯委员会),绝大部分无线电应用产品、通讯产品和数字产品如果想要进入美国市场,必须通过由政府授权的实验室根据FCC技术标准实施检测和获得批准。
加拿大的强制性认证是IC,测试要求和内容基本和FCC 相同。
强制性的认证测试主要满足了终端设备最基本的要求,主要目的是达到终端对人身、设备、频谱进行保护性的要求,保证终端性能以及终端和网络互联互通的问题。
一般引用ETSI 和FCC定义的标准,例如有安全性能(Safety)、健康\人体吸收率(SAR)、电磁兼容(EMC)、无线频谱、杂散等方面的测试。
3 终端一致性测试终端认证测试的第二个阶段就是一些行业、论坛和组织所要求的终端一致性测试,主要有GCF(Globle Certification Forum),PTCRB(PCS Type Certification Review Board)和CCF(CDMA Certification Forum)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
要实现访 问控制 ,建立应用 AP P、
应 关 系 ,屏 蔽 认 证 器 差 异 ( 一 个 移 旨)向应 用 A P P提 供统 一 接 口 ,
1 8
Mo b i l e C o n n e c t 卡认证 与 F I D O认证技术方案 比较研究
具体 来说 ,基于 U AF协 议 的 F l D 0 联盟 方案在使 用
技
术方案 比较研
运二 营二 皇 应 甫一
1 7
圜
运营与应用
客 户端 进 行 后续 操 作
G s M A M 。 b i I e c 。 n n e c t 卡认证方案如图1 所示:
3 F I D O联盟认 E 技 术方案介绍
方案是 F I D O 联 盟 制 定 的 在 线 与
移 动终 端作为认证载体 ,其 中卡认 证方案利用 了运营 商的
用 户卡 ( 手机号 )作为用户 的身份 标识 .而 F I D O 联盟认
证 方 案 则 是 利 用 了终 端 生物 特 征 识 别 技 术 .并 将 用 户 生 物
特 征作为身份标识
但是 ,这两种 方案在应用场景 、加 密
互相借鉴和融合 .形成新 的安全性高 、用户体验 良好 的移
环境或者 S E 实现 认 证 器 功 能 。
器 , 服 务 器 将 此 公 钥 和 用 户 对 应 的 应 用 账 户 相 关 联
当用户登 录时 ,用户 侧 U AF认证 器在经过 本地用 户
身份识别后 ,采用私钥 对服 务器 的挑战数据做签名 .服 务
器 使 用 对应 的 公 钥做 验 证
时 涉 及 两 个 步 骤 :注 册 和 认 证 : 当用 户 注 册 时 , 用 户 侧 的 U AF认 证 器 产 生 一 对 非 对
盖 能力有赖于运营商及各运 营商之间的互联互通情况 .在
用 户体 验 方 面 也 一般 对 于 F I D O 联 盟 方 案 来 说 ,只 需 要 移 动终 端 支 持 生 物 特 征 识 别技 术 ,对 用 户 卡 无 要 求 ,可 广
5 两种 方案 的集成 分析
综 上 所 述 ,Mo b i l e C o n n e c t 卡认证和 F I D O 联 盟 认
4 两种方案 的比较分析
Mo b i l e Co n n e c t 卡 认 证 方案 和 F I D O 联 盟 认 证 方 案
证方案各有 自己的优 缺点 .其 中。卡认证采 用短信通 道对
称密钥对 ,并与用户本地 的生物特征身份信 息 ( 如指纹等 )
进行关联 私 钥 在 用户 端 本 地 设 备 中保 留 .公 钥 传 给服 务
泛 覆盖各 运营商的用户 ,用户使 用时,认证速度 比较快 . 用户具有 良好 的客户体验 .但是 .这种 方案只适用于移动 应 用,而且 ,在 高安全 需 求情 况下 ,需 要终 端通 过 T E E
9
,
圜卓。
பைடு நூலகம்圆
固 圃
子 i F v C e ( r s 芯 密 a 片 l 码 A 和 、 u t T h 硬 P e 件 n M t i ( 设 c 可 a 备 t i 信 o n ) 赖 保 F 平 r a 护 台 m 用 e 模 w 户 块 o 账 r k )
; 音 、虹膜 、脸 部识 别等生物 身份
用 户 的 业 务 体 验 会 有 一 定 的 影 响 .而 F I D O 联 盟 认 证 方 案
均 希望为用户提供更容 易 、更安 全的在线身份认证 ,采 用
中的认证器如果 需要 安全存储 .则对终端 的要 求较 高 ,影 响该方案的推广 和普及 一随着现在用户卡技术 以及机 卡通 信技术 的发展 .终端 和用户卡之 间可直接通过 OMA接 口 实现高效通信 卡认证和 F I DO联盟认 证这两种方 案可以
动 认 证 解 决 方 案 ,如 图 3所 示
技 术以及对终端 与卡的要求 方面 均存在一定 的差异 ,表 1
是 二者 的 主要 比较 和分 析 情 况 :
表1 Mo b i l e Co n n e c t 卡认证和 F I D O联盟认证方案 比较
认证器安 存储在用户卡 内.安全性高 全 性
该 方 案 主 要 功 能模 块 包 括 : 网络 侧 的认 证 器 服 务 器 、 终 端侧的 U A F认 证 器 ] U A F插 件 其 中 .认 证 器 服 务 器 交验 功 能 ;U AF认 证 器 负 责 获 取 生
一
般 是 指 纹信 息 ),产 生 并 管 理 非
密码 学 运 算 ( 例 如 签 名 、哈 希 、加
目 一
. 一 ~ ~ ~
舻 . 黑 吣 。
触发
曼 放 行 业 标 准 , 并 于 2 0 1 4 年 1 2 月
.
0和 f i d o — u a f - v 1 . 0两 套 协 议
这
:
高 身 份 认 证 安 全 性 、保 护 隐 私 及
U2 F (Un i v er s a l Se c o n d F a c t o r
吗介 入 .直 接 进 行 认 证 这 里 主 要 了 智 能 终端 的 生物 特 征 识 别 技 术 ,
左 线身份认证相结合的方式实现用
中, 在线身 份认证技术采用非对称
:
障
基于 U AF协 议 的 F I D O 联 盟
訇2 所示
廊J } ] AP P 客 户端 ▲
T
存储在移动终端内.高安全 性 情 况 下 .需 要 终 端 支持
T E E环 境 或 S E
uAF插 r{ :
▲
’
UAF | 人 i l 器
( 4) S P服 务 器 重 定 向将 AP P客 户 端 的 认 证 请 求 信
络
终
息转发给运营商认证平 台:
( 5)运 营 商 认 证 平 台 以短 信 方 式 将 认 证 请 求信 息 发 送给用户卡 ;
图 2基于 U A F协议 的 F I D O 联盟 认证 方案总体 架构