騰訊生物認(rèn)證平臺TENCENT SOTER全面開源(附源碼)
Hi商學(xué)院8月5日消息,hishop了解到騰訊生物認(rèn)證平臺TENCENT SOTER全面開源,TENCENT SOTER已全面開放接入指紋登錄、指紋支付幾乎已經(jīng)成為智能手機的標(biāo)配。手指按在手機上的那一瞬間,到底是什么神秘技術(shù)的力量,將指紋能力運用到產(chǎn)品中去的呢?
一切都始于TENCENT SOTER指紋認(rèn)證技術(shù)?,F(xiàn)在,微信團隊宣布對TENCENT SOTER技術(shù)進行開源,向業(yè)內(nèi)人士完全開放,供開發(fā)者進行研究及自主開發(fā),接入所需所有代碼都可供查詢。
一、代碼全面開源——TENCENT SOTER降低接入門檻
為了能讓更多用戶體驗到指紋認(rèn)證方案的優(yōu)越性,讓更多開發(fā)者及服務(wù)商能夠更容易接入,TENCENT SOTER選擇了進行開源以降低門檻。
目前,TENCENT SOTER已經(jīng)在微信指紋支付、微信公眾號指紋授權(quán)接口等場景使用,并得到了驗證。
接入TENCENT SOTER之后,APP可以在不獲取用戶指紋圖案的前提下,在Android設(shè)備上實現(xiàn)可信的指紋認(rèn)證,獲得與微信指紋支付一致的安全快捷認(rèn)證體驗。
安全:所有關(guān)鍵數(shù)據(jù)存儲與操作均根本依賴TEE,廠商在設(shè)備出廠之前安全環(huán)境會專門生成TENCENT SOTER設(shè)備根密鑰,TEE級別保證“無授權(quán),不簽名”;
易用:前端sdk輕量,后臺無須集成sdk,保證接入成本低廉;
可在敏感業(yè)務(wù)使用:可以獲取指紋在本設(shè)備上的數(shù)字索引,保證在不獲取用戶指紋圖案的前提下,區(qū)分同設(shè)備不同用戶,可用于支付等敏感場景;
保護用戶生物隱私:不會獲取任何形式用戶指紋圖案,保證用戶使用時無隱私泄露后顧之憂;
保護接入方商業(yè)隱私:驗證無須請求到中心服務(wù),保證敏感商業(yè)數(shù)據(jù)不泄露。
目前,超過30家合作廠商已接入TENCENT SOTER,在主流的安卓平臺手機中都可以使用,同時這些設(shè)備都已經(jīng)經(jīng)過了騰訊的測試,不同設(shè)備間使用TENCENT SOTER的安全性也得到了可靠的保障,為開發(fā)者進行開源項目的測試提供了良好的環(huán)境。截至近日,已有數(shù)億設(shè)備支持TENCENT SOTER,并且這個數(shù)字還在增長。
未來,隨著技術(shù)的開源,TENCENT SOTER將為更多行業(yè)提供指紋認(rèn)證方案的服務(wù),讓更多用戶的手機安全地使用指紋登錄、支付等重要功能。
附開源鏈接:https://github.com/Tencent/soter
二、指紋認(rèn)證屆黑科技——TENCENT SOTER升級安卓原生能力
那么TENCENT SOTER到底是什么?相較于其它指紋認(rèn)證優(yōu)勢在哪?
其實,TENCENT SOTER是由微信團隊推出的一套安全、通用、完整的生物認(rèn)證方案,旨在幫助開發(fā)者快速實現(xiàn)生物認(rèn)證功能。相比安卓原生的指紋認(rèn)證系統(tǒng),TENCENT SOTER建立了一套支付級安全的機制,進行了全面升級。
SOTER認(rèn)證的原理是,當(dāng)用戶使用指紋授權(quán)時,手機內(nèi)部有一個簽名的角色根據(jù)指紋對比結(jié)果決定是否簽名,一旦簽名成功,對應(yīng)的手機外部有一個認(rèn)證簽名的角色。認(rèn)證完成,設(shè)備即可執(zhí)行相關(guān)指令。
如果把手機比喻成一個世界,手機內(nèi)部的TEE就像與世隔絕的一個小島,指紋圖案送到這個小島后,通過島主的認(rèn)證,就獲得了島主的同意書,并將同意書遞送出去,而指紋圖案永遠(yuǎn)不會離開小島。(也就是說,在指紋識別的整個過程中,用戶的指紋信息都從來沒有上傳到任何服務(wù)器中。)
此后,島主的同意書將交給微信專門的驗證服務(wù)器TAM以及用戶使用的各種APP的專門服務(wù)器。神通廣大的島主TEE的同意書,只有APP服務(wù)器能夠看懂,什么江湖黑客都沒有辦法模仿或者篡改他的同意書。因此,也不用擔(dān)心黑客侵入指紋認(rèn)證的后續(xù)流程,造成損失。
TENCENT SOTER指紋認(rèn)證流程的三個部分
在Android 6.0接口的基礎(chǔ)上,TENCENT SOTER指紋認(rèn)證方案還進行了進一步安全加固,在無需讀取用戶的指紋信息的情況下,為每個終端增加了一把獨一無二的鑰匙。這樣,即使手機被root破解,獲得了最高管理權(quán)限,認(rèn)證結(jié)果也無法被劫持,切實保障用戶的隱私安全。