腾讯的开放之路一直在继续,现在,微信团队宣布对TENCENT SOTER技术进行开源,向业内人士完全开放,供开发者进行研究及自主开发,接入所需所有代码都可供查询。TENCENT SOTER是由微信团队推出的一套安全、通用、完整的生物认证方案,旨在帮助开发者快速实现生物认证功能。相比安卓原生的指纹认证系统,TENCENT SOTER建立了一套支付级安全的机制,进行了全面升级。
SOTER认证的原理是,当用户使用指纹授权时,手机内部有一个签名的角色根据指纹对比结果决定是否签名,一旦签名成功,对应的手机外部有一个认证签名的角色。认证完成,设备即可执行相关指令。
为了能让更多用户体验到指纹认证方案的优越性,让更多开发者及服务商能够更容易接入,TENCENT SOTER选择了进行开源以降低门槛。目前,TENCENT SOTER已经在微信指纹支付、微信公众号指纹授权接口等场景使用,并得到了验证。接入TENCENT SOTER之后,APP可以在不获取用户指纹图案的前提下,在Android设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。
- 安全:所有关键数据存储与操作均根本依赖TEE,厂商在设备出厂之前安全环境会专门生成TENCENT SOTER设备根密钥,TEE级别保证“无授权,不签名”;
- 易用:前端sdk轻量,后台无须集成sdk,保证接入成本低廉;
- 可在敏感业务使用:可以获取指纹在本设备上的数字索引,保证在不获取用户指纹图案的前提下,区分同设备不同用户,可用于支付等敏感场景;
- 保护用户生物隐私:不会获取任何形式用户指纹图案,保证用户使用时无隐私泄露后顾之忧;
- 保护接入方商业隐私:验证无须请求到中心服务,保证敏感商业数据不泄露。
目前,超过30家合作厂商已接入TENCENT SOTER,在主流的安卓平台手机中都可以使用,同时这些设备都已经经过了腾讯的测试,不同设备间使用TENCENT SOTER的安全性也得到了可靠的保障,为开发者进行开源项目的测试提供了良好的环境。截至近日,已有数亿设备支持TENCENT SOTER,并且这个数字还在增长。在Android 6.0接口的基础上,TENCENT SOTER指纹认证方案还进行了进一步安全加固,在无需读取用户的指纹信息的情况下,为每个终端增加了一把独一无二的钥匙。这样,即使手机被root破解,获得了最高管理权限,认证结果也无法被劫持,切实保障用户的隐私安全。
未来,随着技术的开源,TENCENT SOTER将为更多行业提供指纹认证方案的服务,让更多用户的手机安全地使用指纹登录、支付等重要功能。
