指紋驗證:主芯片上匹配和傳感器內(nèi)匹配有何不同?
近來,在生物識別領(lǐng)域,采用指紋認證作為訪問和保護數(shù)據(jù)的簡單卻安全的方法出現(xiàn)了激增。這個方法也正在安全電子和移動交易方面發(fā)揮著越來越大的作用。
本文引用地址:http://m.butianyuan.cn/article/201808/386580.htm與要求用戶創(chuàng)建、記住和保護密碼相比,采用指紋來做用戶驗證要安全得多,也簡便得多,因此指紋驗證成為了商家、銀行、用戶和第三方結(jié)算機構(gòu)的首選方法。業(yè)界領(lǐng)先公司在指紋識別領(lǐng)域取得的一些技術(shù)進步和積極創(chuàng)新,產(chǎn)生了若干不同形式的指紋識別方法,不過這些方法從本質(zhì)上說是完全不同的。
并非所有指紋認證技術(shù)“生而平等”
“人人生而平等”這句話,因美國第三任總統(tǒng)托馬斯·杰斐遜在《獨立宣言》中的聲言而備受贊許。這一有關(guān)平等的觀念盡管歷史悠久,卻未必適用于生物識別安全技術(shù),因為并非所有指紋認證技術(shù)都“生而平等”。
在生物識別領(lǐng)域,指紋認證技術(shù)被用來保護設(shè)備及設(shè)備所訪問的數(shù)據(jù)的安全,并確保交易的安全性。盡管指紋識別技術(shù)在上述領(lǐng)域已經(jīng)廣泛運用,但其相似性僅限于此。指紋認證背后的技術(shù)不盡相同,其所能提供的安全級別也是如此。
一種常見的指紋驗證技術(shù)是主芯片上匹配(Match-on-Host)技術(shù);采用這種技術(shù)后,指紋傳感器讀取指紋數(shù)據(jù),并將其發(fā)送給主處理器或其他外部處理器進行處理。盡管指紋數(shù)據(jù)是由指紋傳感器獲取的,但是所有的處理和匹配工作都在主控平臺上完成。還有一種指紋驗證技術(shù)是傳感器內(nèi)匹配(Match-in-Sensor)技術(shù),這種技術(shù)采用定制的、完整封裝的單芯片系統(tǒng)(SoC)架構(gòu),在實際的指紋傳感器模塊內(nèi)部,將指紋注冊、圖案存儲和生物識別匹配隔離開來。
下面我們來看一下這兩種截然不同的指紋驗證方法到底有何本質(zhì)區(qū)別。
主芯片上匹配:目前的標準
指紋傳感的基本要求是,通過與一個已知和安全的“模板”或用戶指紋的記錄進行匹配,來明確識別用戶身份(圖1)。傳感器最初用來捕獲數(shù)據(jù)在“注冊”過程中創(chuàng)建用戶記錄,之后每次用戶試圖訪問設(shè)備時,傳感器都會獲取指紋數(shù)據(jù)和已存儲的模板進行比較。
目前,幾乎每一種指紋傳感解決方案都是直接在主系統(tǒng)上執(zhí)行匹配操作,無論是智能手機、平板電腦、PC,還是為實現(xiàn)安全性而定制的專用設(shè)備。因此,主芯片上匹配架構(gòu)是分別用兩個IC——一個是用來獲取數(shù)據(jù)的傳感器IC,另一個是用來運行實際匹配操作的軟件的獨立控制器IC(通常是移動設(shè)備上的應(yīng)用處理器)——來滿足功能要求的。
任何新技術(shù)都會自然而然地以使用主芯片資源作為起點。因此,第一代指紋傳感器是很簡單的器件,僅限于完成單一任務(wù),即收集指紋數(shù)據(jù),然后主芯片中運行的軟件利用這些指紋數(shù)據(jù)驗證用戶身份。
軟件執(zhí)行的功能包括:識別指紋特征、建立安全的生物識別資源(指紋模板)、存儲指紋模板,以及對最新建立的指紋模板和設(shè)備上已存儲的指紋模板進行匹配。主系統(tǒng)還提供保護指紋數(shù)據(jù)完整性和隱私性所需的安全性。此外,主系統(tǒng)還負責檢測偽造的生物識別數(shù)據(jù)——這些所謂的防欺騙技術(shù)是遏制表達攻擊(presentation attack)所必需的。
主芯片上匹配架構(gòu)的兩個主要賣點是成本低和設(shè)計導入(design-in)時間短,這使指紋傳感能夠較快速、合算地添加到設(shè)備上。這個勢頭又反過來促進了相關(guān)方面的進步,例如FIDO(快速在線認證)聯(lián)盟建立的通用驗證框架(UAF)。然而,盡管它有很多優(yōu)勢,可是在談到提供真正的安全性時,主芯片上匹配的方法相比傳感器內(nèi)匹配架構(gòu)卻相形見絀。
傳感器內(nèi)匹配架構(gòu):下一代標準
正如其名字所暗示的那樣,傳感器內(nèi)匹配架構(gòu)將匹配及其他生物識別管理功能直接集成到了傳感器IC中。該IC含有高速微處理器、指令和數(shù)據(jù)存儲器,安全通信和高性能加密功能。為了實現(xiàn)這種程度的集成,同時在傳感器IC內(nèi)建立安全的執(zhí)行環(huán)境,傳感器內(nèi)匹配技術(shù)采用了SoC架構(gòu)(圖2)。
因為集成多種功能是集成電路存在的理由,所以這一進步似乎稱不上“下一代”進步。不過,全面集成傳感和匹配功能可以顯著增強安全性,僅憑這一點就足以斷定,其預(yù)期的行業(yè)影響力不可低估。
傳感器內(nèi)匹配架構(gòu)的先進安全性既可以應(yīng)用到系統(tǒng)上,又可以應(yīng)用到用戶獨有的生物識別信息的保護上。以下各項進步增強了系統(tǒng)級安全:
·指紋數(shù)據(jù)和指紋匹配器的執(zhí)行環(huán)境是與主芯片操作系統(tǒng)物理隔離的,因此可以抵抗主芯片上的黑客或惡意軟件攻擊。
·傳感器自主執(zhí)行生物識別功能,而無需依靠主芯片的輸入,因此避免了一旦主芯片處于危險之中可能帶來的損害。
·匹配器的輸入?yún)?shù)是活體指紋信息——傳感器芯片及其注冊模板獲取這些信息,并對其進行加密和處理。
·能夠準確驗證真?zhèn)危驗樽R別結(jié)果是由來自硬件的傳感器專用私鑰簽署的。
·代表身份憑證的密鑰的建立、存儲和管理是共享的——這些密鑰還用來簽署證書,以防受到附有虛假信息的惡意軟件的損害。
即使主芯片被任何類型或來源的攻擊成功擊破,也極其難以強制匹配器產(chǎn)生虛假的積極結(jié)果、重新提供以前的結(jié)果或以其他任何方式改變或操控匹配結(jié)果。這就確保了即使在最壞情況下,身份驗證子系統(tǒng)也仍然是安全的。
至于用戶的生物識別信息,保護是通過以下幾種特性增強的。首先,指紋數(shù)據(jù),包括從中提取的所有特性/特征和所有已建立的模板,都只在傳感器的片上CPU及存儲器中處理。這種信息絕對不會與主器件分享或暴露給主器件。此外,注冊數(shù)據(jù)庫位于獨立閃存之中,與其他部分是隔離的,而且僅傳感器可以進行物理訪問。另外,注冊模板在存儲到獨立閃存之前,會由傳感器使用專有算法和強大的密鑰進行加密和簽署。
與之前談?wù)摰南到y(tǒng)級安全一樣,即使主芯片被某種成功攻擊完全擊破,攻擊者也無法提取用戶的任何生物識別信息,而生物識別信息失竊無疑是所能想象到的、最具破壞性的身份信息失竊形式之一。
Synaptics公司提供了業(yè)內(nèi)第一款完全封裝在硬件內(nèi)的指紋傳感器,該傳感器使客戶能夠在其產(chǎn)品中提供極強保護。同時,Synaptics也是業(yè)界唯一一家提供該解決方案的公司。傳感器內(nèi)匹配解決方案將收集和管理的數(shù)據(jù)存儲在傳感器本身——與主系統(tǒng)是完全隔離的,因此避開了主系統(tǒng)易受黑客攻擊的問題。傳感器也不存儲真正的指紋圖像,而是建立一個采用256位高級加密標準(AES)技術(shù)加密的、無法被重構(gòu)的模板。即使主系統(tǒng)遭遇安全威脅,生物識別數(shù)據(jù)依然是安全的,因為其始終位于指紋傳感器模塊內(nèi)。
傳感器內(nèi)匹配技術(shù)可以為很多應(yīng)用提供強大的、安全性高于主芯片的保護,例如智能手機、平板電腦、個人電腦、電腦鼠標和鍵盤、擴展塢和汽車等。目前,為保護電子商務(wù)、金融交易和醫(yī)療保健記錄的安全,有關(guān)立法工作正在進行,因此企業(yè)亟需用傳感器內(nèi)匹配技術(shù)來滿足嚴格的法律法規(guī)要求。
Synaptics提供采用這種新型傳感器內(nèi)匹配技術(shù)的傳感器,使Synaptics在生物識別數(shù)據(jù)安全領(lǐng)域贏得了顯著領(lǐng)先的地位。隨著新的傳感器內(nèi)匹配解決方案得到越來越多的采用,人們也會越來越清楚地看到,盡管不同的生物識別匹配技術(shù)看似相似,但并不是所有指紋認證技術(shù)都“生而平等”。
結(jié)論
包括指紋認證技術(shù)在內(nèi)的生態(tài)系統(tǒng)的支持正在穩(wěn)步增強,同時,Synaptics公司開發(fā)了先進的傳感器內(nèi)匹配解決方案。這些解決方案通過了FIDO認證,能夠以各種不同的角度讀取指紋信息,選擇是提供視覺還是觸覺反饋信息,并且針對器件或應(yīng)用進行了優(yōu)化。此外,傳感器內(nèi)匹配不需要在指紋模塊和主器件之間傳送或共享生物識別信息,因此即使系統(tǒng)受到危害,生物識別數(shù)據(jù)也沒有失竊風險。
因此,如果你認為所有指紋認證技術(shù)都是相同的,那么你也許需要好好花一番時間,了解一下傳感器內(nèi)匹配架構(gòu)及其功能了。
評論