互操作性测试活动:FIDO UAF、FIDO U2F 和 FIDO2
互操作性测试是认证过程中的必要步骤。
认证支持以下类型的互操作性测试:
互操作性测试事件
互操作性测试事件是实现者收集和验证他们的实现是否相互兼容的论坛。这意味着每个实施者都将与其他实施者一起测试他们的实施。例如,FIDO UAF 客户端将在 UAF 互操作性事件中使用所有 UAF 服务器和所有 UAF Authenticator 进行测试;同样,FIDO U2F 服务器需要在 U2F 互操作性事件中使用所有 U2F 身份验证器进行测试。对于每个参与者组合,将执行下面列出的相应 UAF、U2F 和 FIDO2 测试程序。实施表明他们可以在活动中与所有其他实施一起通过测试程序,或者可以表明任何失败的测试程序不是由于他们的实施不符合 FIDO 规范,认证。
互操作性活动至少每 90 天举行一次,其时间表可在 此处 找到。在注册互操作性事件之前,实现必须通过 一致性自我验证,并且在互操作性事件之前不得更改实现。参与者必须 在活动开始前至少 14 天 注册。需要保密协议来保护所有测试参与者的机密信息。保密协议可 在此处 获得。
如果没有足够的实现来举办互操作性测试活动,活动将被取消,并会在活动开始前 12 天通知潜在参与者。
作为互操作性事件注册期间的选项之一,实施者将面临是否参与预测试的选择。预测试的目的是让参与互操作性活动的公司能够在活动开始前相互交换软件、元数据和测试。对于那些选择参加预测试的实施者,他们的联系信息将在活动开始前与其他实施者共享,以便他们可以相互交流以共享适当的信息并执行预测试。
鼓励实施者亲自参加互操作性活动,以帮助促进交互和问题解决。对于无法参加互操作性活动的参与者,将提供远程访问;但是,远程参与不是首选,因为它使互操作性活动期间的沟通和参与变得更加困难。远程参与者应准备好设置网络摄像头和屏幕共享功能,以便在执行互操作性步骤时可以直观地验证它们。
将为规范的活动版本举行互操作性活动,这包括尚未达到日落日期的所有版本。请参考当前 支持的认证版本 表。
互操作性事件(UAF、U2F 和 FIDO2)
FIDO 2022 互操作性活动日期:互操作性测试活动
按需测试
已引入按需测试作为参加互操作性活动的替代方案。按需测试全年可用。
按需测试使用 FIDO® 认证的参考实现来完成测试。如果参考实现的数量等于测试的最低要求(每个实现类中来自三个唯一供应商的三个实现),则一个实现有资格进行按需测试。供应商可以查看 参考实施库。
拥有认证实施的 FIDO 成员可以通过填写 捐赠表格 将他们的实施捐赠给 FIDO 参考实施库。
当前有一个选项可用于按需测试:
虚拟的
虚拟按需认证要求供应商提交按需测试,以向认证秘书处提供对其实施操作的访问权和说明。认证秘书处将促进按需互操作性测试流程。必须提供供应商公司代表的联系信息,并且如果在测试期间出现任何问题或问题,该代表必须在测试期间可用。
对虚拟按需测试感兴趣的供应商可以 在这里 注册。注册后,认证经理将与您联系,以协调按需测试的时间。需要保密协议来保护测试参与者的机密信息。保密协议 可在此 处获得。
测试程序
UAF 互操作性测试程序
按照上述策略,UAF 测试将通过 Authenticators / ASM、客户端和服务器的规定组合进行迭代。这将需要对每组测试进行以下配置:
- Client+Authr 组合,或 Client 和 ASM+Authr 组合将加载到单个实现中
- 服务器将安装具有相应策略和权限的 Authenticator 元数据
对于每个规定的组合,将在辅导员面前进行以下测试:
- Register:向服务器进行有效注册。
- Authenticate:对服务器执行有效的身份验证。
- Transaction:与服务器执行事务。测试必须显示正在执行的交易的文本或图像指示器,并确认交易成功。
- De-Register:从设备中删除注册。通过尝试与服务器进行身份验证并确认它失败来确认取消注册成功。
请注意,由于每个测试的配置所需的时间以及 UAF 互操作性测试的潜在组合数量,每个测试事件将持续三天。即使他们的实施已经通过了所有指定的测试,实施者也应该每天参加,以促进任何必要的重新测试。如果确定互操作性测试所需的测试天数减少,将至少在活动开始前 7 天或在合理可能的情况下尽快通知参与者。
U2F 互操作性测试程序
按照上述策略,U2F 测试将通过 Authenticators 和 Server 的规定组合进行迭代。使用 Chrome 浏览器作为 U2F 客户端执行互操作性测试。使用浏览器的本机 U2F 功能进行测试,并且不允许在测试中使用 U2F Chrome 扩展程序。当其他 U2F 客户端可用时,可能会更改此政策。验证器和服务器的每个组合都需要为协调器执行以下测试:
- Register:U2F Authenticator 需要向 U2F 服务器注册。
- Authenticate: U2F Authenticator 在向服务器注册后,将被要求证明它可以向服务器进行身份验证。 根据规范,这些步骤中的每一个都需要人工交互,例如触摸按钮;插入或移除设备;等 如果设备的插入被用作人机交互的形式,则每次执行测试步骤时都应要求重新插入。
实现还可以执行以下测试步骤:
- Negative Register: 以一种应该被服务器拒绝的方式注册一个无效的证书。
- Negative Authentication:在有效注册后,以可能被服务器拒绝的方式使用无效凭据进行身份验证。 这些可选步骤对于客户端实施是可选的,因为某些实施可能难以实施无效证书或执行这些测试步骤所需的其他机制。但是,对于执行这些可选步骤的客户端,服务器需要通过互操作性测试。
FIDO2 互操作性测试程序
FIDO2 测试将迭代验证器、浏览器和服务器的规定组合。
这将需要对每组测试进行以下配置:
所有服务器和身份验证器都需要
- Register:FIDO2 Authenticator 需要向 FIDO2 服务器注册。
- Authenticate:FIDO2 Authenticator 在向服务器注册后,将需要证明它可以向服务器进行身份验证。 3 Reset:擦除并恢复到出厂设置并重新验证
可选的身份验证器功能
-
Client PIN:演示基于 PIN 的用户验证(如果适用)
- 设置 PIN
- 使用 PIN 码注册
- 使用 PIN 进行身份验证
- 更改密码
- 使用新 PIN 进行身份验证
- Resident Key:证明验证者可以创建驻留密钥(如果适用)
- Multi-Account:证明验证器可以支持同一服务的多个用户(如果适用)
- HMAC 扩展
所需的浏览器互操作性
-
Servers
- 带有参考 U2F 令牌的 Firefox 61 或更高版本
- Edge Edge Edge 44.17723.1000.0 与所有符合条件的参与身份验证者
- Chrome 69 或更高版本以及所有符合条件的参与身份验证器
-
Authenticators:
- USB CTAP2 认证器
- Edge Edge Edge 44.17723.1000.0 与所有参与的服务器
- Chrome 69 或更高版本以及所有参与的服务器
- NFC CTAP2 认证器
- Edge Edge Edge 44.17723.1000.0 与所有参与的服务器
-
BLE CTAP2 认证器
- Chrome 69 或更高版本以及所有参与的服务器
1 级身份验证器认证是 FIDO 认证的必需组件。所有实施都必须完成并通过 1 级身份验证器认证的测试程序(第 5.4.4 节)才能获得 FIDO 认证。
根据规范,每个步骤都需要人工交互,例如用户验证手势;插入或移除设备;等 如果设备的插入被用作人机交互的形式,则每次执行测试步骤时都应要求重新插入。
1 级认证器认证测试程序
对于寻求 1 级身份验证器认证的身份验证器,必须在一致性自我验证或互操作性测试期间验证下表 3 中的身份验证器安全要求。有关更多信息,请访问 身份验证器认证级别 页面。
要求和供应商问卷在身份验证器安全要求中定义。
注意:完成 L2 及更高级别的认证者不需要在一致性自我验证或互操作性测试期间证明要求,认证者安全要求由经认可的安全实验室在认证者认证的安全评估步骤中进行评估。
评估方法包括一致性自我验证和互操作性测试:
- 对于一致性自我验证,在注册或测试期间会自动验证需求。
- 对于互操作性测试,供应商应向测试监考人员演示验证器如何在互操作性测试期间满足要求。
L1 互操作性需求映射
| 规格 | Authenticator 认证要求 | 评价方式 |
|---|---|---|
| UAF & FIDO2 | 1.4 | 互操作性测试 |
| UAF & FIDO2 | 1.9 | 互操作性测试 |
| UAF, U2F & FIDO2 | 3.1 | 互操作性测试 |
| UAF & FIDO2 | 3.4 | 互操作性测试 |
| UAF & FIDO2 | 3.5 | 互操作性测试 |
| UAF, U2F & FIDO2 | 3.9 | 互操作性测试 |
| UAF & FIDO2 | 4.4 | 互操作性测试 |
| UAF, U2F & FIDO2 | 6.2 | 互操作性测试 |
| UAF, U2F & FIDO2 | 6.3 | 互操作性测试 |