Universal 2nd Factor (U2F) 概述（3）-目标：建立强大的安全认证和隐私保护

目标：建立强大的安全认证和隐私保护

U2F体系的设计提供了用户在Web上强大的安全认证能力和隐私保护能力。用户只需使用一个第二因子“U2F设备”即可做到。

当用户在一个特定的源网站上使用自己的网站帐号注册U2F设备时，比如http://www.company.com。设备会针对此源网站生成一对新的秘钥对，此秘钥对只能在此源网站使用，并且设备会将公钥提交到网站服务器与用户的帐号进行绑定。当用户在此源网站上进行认证权限时，如登录，除了验证用户名和密码之外，网站还要验证用户是否有使用他自己的U2F设备生成的签名数据。

用户可以用同一个U2F设备在不同的源网站上交叉使用，也就是说一个物理设备可以生成多个不同网站的秘钥。依照开放的U2F标准，任何源网站都可以在任何支持U2F浏览器（或任何操作系统）中与任何兼容U2F设备的进行通信并且提供给用户强大的安全认证功能。

U2F设备注册和用户认证操作通过JavaScript API的形式集成在浏览器中的，在接下来的阶段中，也会在移动操作系统中支持本地API。

U2F设备功能可以集成在不同的验证因子中，比如一个独立标准化的USB设备、NFC设备、BLE设备，或者作为一个纯粹的软件或者一个安全认证的能力内置在用户的客户端机器或手机设备中。当然，有硬件的安全支持是最好的，不过这不是必须条件。然而，就像我们将看到的协议提供的这套认证机制，这样的设备允许接受在线服务和网站的验证，要么接受它，要么不依赖于特定站点的策略。

U2F规范分为两层。上层规范规定了协议的加密核心内容，下层规范规定了客户端怎样通过特定的传输协议（如USB，NFC，BLE，内置的操作系统等等）生成加密请求与U2F设备进行通信。

作为FIDO的U2F工作组的创始人之一，Google已经在Chrome浏览器中支持了U2F，并且可以使用U2F设备作为Google帐户的第二认证因子。这将是开启了这个开放的U2F生态体系。

U2F设备在任何用户现有的客户端设备都可以有效的使用，而不需要额外安装驱动程序或者中间件程序。在这样的一个基础上，其实U2F设备就是设计成了一个通用的可以和用户端的软件整合的设备，而不需要安装驱动或其他软件。

支持U2F设备浏览器可以发现U2F设备，也可以使用标准的内置系统API与U2F设备进行交互。为此，我们通过基于USB的传输协议的标准库方式初步实现而支持到所有的操作系统中。