腾讯开源生物认证平台soter简介

JAVA herman 804浏览 0评论
公告:“业余草”微信公众号提供免费CSDN下载服务(只下Java资源),关注业余草微信公众号,添加作者微信:xttblog,发送下载链接帮助你免费下载!
本博客日IP超过1800,PV 2600 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog,之前的微信号好友位已满,备注:返现
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
视频教程免费领

腾讯(Tencent)的 soter 选择开源了,一时间在网上引起了极大的关注,我也是最近才注意到它。对它有一个简单的了解,本文将根据作者自己的理解,来介绍一下soter到底是一个什么框架?

按照腾讯官方的说法:“A secure and quick biometric authentication standard and platform in Android held by Tencent.”翻译过来就是说:“soter 是腾讯发布的基于Android的安全快速的生物认证标准与平台。”说白了就是指纹认证等生物识别平台和标准。

SOTER简介

TENCENT SOTER是腾讯于2015年开始制定的生物认证平台与标准,通过与厂商合作,目前已经在一百余款、数亿部Android设备上得到支持,并且这个数字还在快速增长。

目前,TENCENT SOTER已经在微信指纹支付、微信公众号/小程序指纹授权接口等场景使用,并得到了验证。

接入TENCENT SOTER,你可以在不获取用户指纹图案的前提下,在Android设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。

Soter 架构图

SOTER的安全性

这里可以对比下系统原生Android 6.0指纹接口和FIDO方案。

TENCENT SOTER Android Framework FIDO
安全性 高(前后台支持,有产线生成一机一密根密钥) 低(手机被root后易被破解,且无法准确检测root) 高(前后台支持,有产线生成根密钥)
接入成本 较低(前端极轻量级sdk,后台无须集成sdk) 低(无需前后台sdk) 高(部署复杂)
敏感业务可用 是(可获取本机指纹索引) 否(无法获取指纹在本机索引,有盗用风险) 是(可获取本机指纹索引)
用户隐私保护 好(不会获取指纹图案 好(不会获取指纹图案) 好(不会获取指纹图案)
商业隐私保护 好(验证无须请求到中心服务) \ 较差(需要每一笔验证都请求到中心验证服务器)
  • 如果你的应用实现了全套的客户端、后台接口和逻辑,那么TENCENT SOTER非常安全,即使你的设备被root了也是如此。
  • 如果该设备支持TENCENT SOTER,那么腾讯将会保证这部设备出厂即有一机一密的设备根密钥。根密钥验证服务都由腾讯开放平台提供,该平台已经被时间验证了是稳定且可信的。
  • 目前,已经有超过2.3亿部Android设备支持了TENCENT SOTER。并且最重要的是,在几乎所有支持TENCENT SOTER的设备上进行微信指纹支付时,都使用了TENCENT SOTER标准相当长一段时间。这也证明了TENCENT SOTER本身是具备支付级别安全能力的标准和平台。
  • 每次授权之后,你可以知道用户使用了设备上哪根手指进行支付。这对于敏感的业务场景而言非常重要。
  • 如果你对于Android系统中的FingerprintManager和Crypto相关接口很熟悉的话,你不会对TENCENT SOTER的客户端接口感到陌生:我们所有的实现都是使用的Android Framework中的接口,并且,我们没有增加一个公开接口来做这件事情。我们只是针对这些接口和厂商进行合作,进行了很强的安全加固。
  • 你并不需要每次指纹认证都接入腾讯的后台。你的数据安全与隐私将会得到充分保证。
  • 腾讯已经针对所有支持TENCENT SOTER的手机进行了严格的测试,也就意味着你不必担心手头这台支持TENCENT SOTER的设备的安全性是否可靠。

当然,作为应用开发者,并不是所有场景都要求极高安全性。对于这种情况,应用可以更加快速接入TENCENT SOTER,同时,对比与原生接口,也有两个明显优势:

  • 支持部分Android L(Android 5.0、5.1)机型指纹认证
  • 可以提供本次认证在本机上的指纹索引以区分手指

我们做到这些的前提是不会以任何方式获取任何形式用户指纹图案或模板信息,这也减少了用户使用TENCENT SOTER的疑虑。

截止2017年6月2日,已经有超过2.3亿设备支持了TENCENT SOTER。

业余草公众号

最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加QQ1群:135430763(2000人群已满),QQ2群:454796847(已满),QQ3群:187424846(已满)。QQ群进群密码:xttblog,想加微信群的朋友,之前的微信号好友已满,请加博主新的微信号:xttblog,备注:“xttblog”,添加博主微信拉你进群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作可添加助理微信进行沟通!

本文原文出处:业余草: » 腾讯开源生物认证平台soter简介