一切都始于TENCENT SOTER指纹认证技术。8月4日,微信团队宣布对TENCENT SOTER技术进行开源,向业内人士完全开放,供开发者进行研究及自主开发,接入所需所有代码都可供查询。
代码全面开源TENCENT SOTER降低接入门槛
为了能让更多用户体验到指纹认证方案的优越性,让更多开发者及服务商能够更容易接入,TENCENT SOTER选择了进行开源以降低门槛。
目前,TENCENT SOTER已经在微信指纹支付、微信公众号指纹授权接口等场景使用,并得到了验证。
接入TENCENT SOTER之后,APP可以在不获取用户指纹图案的前提下,在Android设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。
TENCENTSOTER在以下五个方面有着突出的表现:
安全:所有关键数据存储与操作均根本依赖TEE,厂商在设备出厂之前安全环境会专门生成TENCENT SOTER设备根密钥,TEE级别保证“无授权,不签名”;
易用:前端sdk轻量,后台无须集成sdk,保证接入成本低廉;
可在敏感业务使用:可以获取指纹在本设备上的数字索引,保证在不获取用户指纹图案的前提下,区分同设备不同用户,可用于支付等敏感场景;
保护用户生物隐私:不会获取任何形式用户指纹图案,保证用户使用时无隐私泄露后顾之忧;
保护接入方商业隐私:验证无须请求到中心服务,保证敏感商业数据不泄露。
目前,超过30家合作厂商已接入TENCENT SOTER,在主流的安卓平台手机中都可以使用,同时这些设备都已经经过了腾讯的测试,不同设备间使用TENCENT SOTER的安全性也得到了可靠的保障,为开发者进行开源项目的测试提供了良好的环境。截至近日,已有数亿设备支持TENCENT SOTER,并且这个数字还在增长。
未来,随着技术的开源,TENCENT SOTER将为更多行业提供指纹认证方案的服务,让更多用户的手机安全地使用指纹登录、支付等重要功能。
指纹认证届黑科技TENCENT SOTER升级安卓原生能力
那么TENCENT SOTER到底是什么?相较于其它指纹认证优势在哪?
其实,TENCENT SOTER是由微信团队推出的一套安全、通用、完整的生物认证方案,旨在帮助开发者快速实现生物认证功能。相比安卓原生的指纹认证系统,TENCENT SOTER建立了一套支付级安全的机制,进行了全面升级。
其认证的原理是,当用户使用指纹授权时,手机内部有一个签名的角色根据指纹对比结果决定是否签名,一旦签名成功,对应的手机外部有一个认证签名的角色。认证完成,设备即可执行相关指令。
如果把手机比喻成一个世界,手机内部的TEE就像与世隔绝的一个小岛,指纹图案送到这个小岛后,通过岛主的认证,就获得了岛主的同意书,并将同意书递送出去,而指纹图案永远不会离开小岛。(也就是说,在指纹识别的整个过程中,用户的指纹信息都从来没有上传到任何服务器中。)
此后,岛主的同意书将交给微信专门的验证服务器TAM以及用户使用的各种APP的专门服务器。神通广大的岛主TEE的同意书,只有APP服务器能够看懂,什么江湖黑客都没有办法模仿或者篡改他的同意书。因此,也不用担心黑客侵入指纹认证的后续流程,造成损失。
TENCENT SOTER指纹认证流程的三个部分
在Android 6.0接口的基础上,TENCENT SOTER指纹认证方案还进行了进一步安全加固,在无需读取用户的指纹信息的情况下,为每个终端增加了一把独一无二的钥匙。这样,即使手机被root破解,获得了最高管理权限,认证结果也无法被劫持,切实保障用户的隐私安全。
现在,TENCENT SOTER已全面开放接入。
