Поделиться через

Реализация ключей доступа

  • Статья

Дополнительные сведения см . в разделе "Введение" для секретных ключей

В этом разделе описывается, как реализовать входы секретного ключа в интернете, корпоративных и государственных приложениях, а также для оплаты. Вы можете реализовать секретные ключи (вместо паролей) для предоставления веб-сайтов и приложений с помощью удобных и криптографически безопасных входов — все удобно для общедоступного API WebAuthn.

Поставщики услуг потребителей, предприятия и правительства по всему миру переходят от проверки подлинности форм (например, паролей и SMS OTPs) к входу на основе ключей. Каждая организация имеет собственные варианты использования и бизнес-требования.

Как работают ключи доступа

Секретные ключи используют стандартные методы шифрования открытого ключа. Когда пользователь регистрируется в веб-службе, клиентское устройство пользователя создает новую пару криптографических ключей, привязанную к домену веб-службы. Устройство сохраняет закрытый ключ и регистрирует открытый ключ в веб-службе. Эти пары криптографических ключей, называемые секретными ключами, уникальны и привязаны к домену веб-службы.

Способ работы проверки подлинности заключается в том, что устройство пользователя должно подтвердить владение закрытым ключом, предоставив вызов для завершения входа. Это происходит после того, как пользователь утвердит вход локально на своем устройстве с помощью быстрого и простого ввода биометрических данных (например, отпечатка), или локального ПИН-кода или касания ключа безопасности FIDO. Вход завершается с помощью ответа на запрос от устройства пользователя и веб-службы. Служба не видит или никогда не сохраняет закрытый ключ.

Чтобы зарегистрировать секретный ключ в веб-службе, выполните приведенные действия.

  • Пользователю будет предложено создать секретный ключ.
  • Пользователь проверяет создание секретного ключа с помощью локального метода проверки подлинности (например, биометрических данных).
  • Устройство пользователя создает новую пару открытого и закрытого ключа (секретный ключ), уникальную для локального устройства, веб-службы и учетной записи пользователя.
  • Открытый ключ (и только это) отправляется в веб-службу и связан с учетной записью пользователя.

Для последующего входа с помощью секретного ключа:

  • Пользователю будет предложено войти с помощью секретного ключа.
  • Пользователь проверяет ключ входа с помощью локального метода проверки подлинности (например, биометрии).
  • Устройство использует идентификатор учетной записи пользователя (предоставленный службой) для выбора правильного ключа и подписывания задачи службы.
  • Клиентское устройство отправляет подписанный запрос обратно в службу, которая проверяет его с помощью сохраненного открытого ключа и подписывает пользователя.

Реализация секретных ключей для потребителей, предприятий, государственных организаций или платежей

Этот раздел предназначен для вас, если вы рассматриваете возможность реализации секретных ключей.

Если вы не знакомы с FIDO, рекомендуется сначала просмотреть общие сведения о спецификациях проверки подлинности пользователей. Затем вы можете получить доступ к последним версиям спецификаций проверки подлинности пользователей FIDO Alliance, чтобы скачать спецификации проверки подлинности.

Сертифицированная демонстрация FIDO выделяет членов Альянса FIDO и их сертифицированные решения FIDO. Это отличный ресурс, если вы хотите развернуть FIDO.

Рабочая группа по развертыванию FIDO Enterprise (EDWG) разработала ряд технических документов, которые предоставляют рекомендации для руководителей и практиков, рассматривающих секретные ключи— масштабирование от МАЛОГО бизнеса до крупных предприятий. Чтобы понять ключевые моменты принятия решений, см. статью Enterprise.

Если ваше поле находится вдоль линий гражданских услуг или приложений государственных сотрудников, то см. статью "Правительство".

Дополнительные сведения о сценариях оплаты, которые идеально подходят для секретных ключей, см. в разделе "Платежи".

Следующие шаги

Далее см . рекомендации по проектированию ключей для секретных ключей.

Дополнительные сведения