新聞中心

EEPW首頁 > 消費(fèi)電子 > 設(shè)計(jì)應(yīng)用 > 指紋驗(yàn)證:主芯片上匹配和傳感器內(nèi)匹配有何不同?

指紋驗(yàn)證:主芯片上匹配和傳感器內(nèi)匹配有何不同?

作者: 時(shí)間:2018-08-14 來源:網(wǎng)絡(luò) 收藏

近來,在生物識別領(lǐng)域,采用指紋認(rèn)證作為訪問和保護(hù)數(shù)據(jù)的簡單卻安全的方法出現(xiàn)了激增。這個方法也正在安全電子和移動交易方面發(fā)揮著越來越大的作用。

本文引用地址:http://m.butianyuan.cn/article/201808/386580.htm

與要求用戶創(chuàng)建、記住和保護(hù)密碼相比,采用指紋來做用戶驗(yàn)證要安全得多,也簡便得多,因此成為了商家、銀行、用戶和第三方結(jié)算機(jī)構(gòu)的首選方法。業(yè)界領(lǐng)先公司在指紋識別領(lǐng)域取得的一些技術(shù)進(jìn)步和積極創(chuàng)新,產(chǎn)生了若干不同形式的指紋識別方法,不過這些方法從本質(zhì)上說是完全不同的。

并非所有指紋認(rèn)證技術(shù)“生而平等”

“人人生而平等”這句話,因美國第三任總統(tǒng)托馬斯·杰斐遜在《獨(dú)立宣言》中的聲言而備受贊許。這一有關(guān)平等的觀念盡管歷史悠久,卻未必適用于生物識別安全技術(shù),因?yàn)椴⒎撬兄讣y認(rèn)證技術(shù)都“生而平等”。

在生物識別領(lǐng)域,指紋認(rèn)證技術(shù)被用來保護(hù)設(shè)備及設(shè)備所訪問的數(shù)據(jù)的安全,并確保交易的安全性。盡管指紋識別技術(shù)在上述領(lǐng)域已經(jīng)廣泛運(yùn)用,但其相似性僅限于此。指紋認(rèn)證背后的技術(shù)不盡相同,其所能提供的安全級別也是如此。

一種常見的技術(shù)是主上匹配(Match-on-Host)技術(shù);采用這種技術(shù)后,指紋讀取指紋數(shù)據(jù),并將其發(fā)送給主處理器或其他外部處理器進(jìn)行處理。盡管指紋數(shù)據(jù)是由指紋獲取的,但是所有的處理和匹配工作都在主控平臺上完成。還有一種技術(shù)是內(nèi)匹配(Match-in-Sensor)技術(shù),這種技術(shù)采用定制的、完整封裝的單系統(tǒng)(SoC)架構(gòu),在實(shí)際的指紋傳感器模塊內(nèi)部,將指紋注冊、圖案存儲和生物識別匹配隔離開來。

下面我們來看一下這兩種截然不同的指紋驗(yàn)證方法到底有何本質(zhì)區(qū)別。

上匹配:目前的標(biāo)準(zhǔn)

指紋傳感的基本要求是,通過與一個已知和安全的“模板”或用戶指紋的記錄進(jìn)行匹配,來明確識別用戶身份(圖1)。傳感器最初用來捕獲數(shù)據(jù)在“注冊”過程中創(chuàng)建用戶記錄,之后每次用戶試圖訪問設(shè)備時(shí),傳感器都會獲取指紋數(shù)據(jù)和已存儲的模板進(jìn)行比較。

目前,幾乎每一種指紋傳感解決方案都是直接在主系統(tǒng)上執(zhí)行匹配操作,無論是智能手機(jī)、平板電腦、PC,還是為實(shí)現(xiàn)安全性而定制的專用設(shè)備。因此,主芯片上匹配架構(gòu)是分別用兩個IC——一個是用來獲取數(shù)據(jù)的傳感器IC,另一個是用來運(yùn)行實(shí)際匹配操作的軟件的獨(dú)立控制器IC(通常是移動設(shè)備上的應(yīng)用處理器)——來滿足功能要求的。

任何新技術(shù)都會自然而然地以使用主芯片資源作為起點(diǎn)。因此,第一代指紋傳感器是很簡單的器件,僅限于完成單一任務(wù),即收集指紋數(shù)據(jù),然后主芯片中運(yùn)行的軟件利用這些指紋數(shù)據(jù)驗(yàn)證用戶身份。

軟件執(zhí)行的功能包括:識別指紋特征、建立安全的生物識別資源(指紋模板)、存儲指紋模板,以及對最新建立的指紋模板和設(shè)備上已存儲的指紋模板進(jìn)行匹配。主系統(tǒng)還提供保護(hù)指紋數(shù)據(jù)完整性和隱私性所需的安全性。此外,主系統(tǒng)還負(fù)責(zé)檢測偽造的生物識別數(shù)據(jù)——這些所謂的防欺騙技術(shù)是遏制表達(dá)攻擊(presentation attack)所必需的。

主芯片上匹配架構(gòu)的兩個主要賣點(diǎn)是成本低和設(shè)計(jì)導(dǎo)入(design-in)時(shí)間短,這使指紋傳感能夠較快速、合算地添加到設(shè)備上。這個勢頭又反過來促進(jìn)了相關(guān)方面的進(jìn)步,例如FIDO(快速在線認(rèn)證)聯(lián)盟建立的通用驗(yàn)證框架(UAF)。然而,盡管它有很多優(yōu)勢,可是在談到提供真正的安全性時(shí),主芯片上匹配的方法相比傳感器內(nèi)匹配架構(gòu)卻相形見絀。

傳感器內(nèi)匹配架構(gòu):下一代標(biāo)準(zhǔn)

正如其名字所暗示的那樣,傳感器內(nèi)匹配架構(gòu)將匹配及其他生物識別管理功能直接集成到了傳感器IC中。該IC含有高速微處理器、指令和數(shù)據(jù)存儲器,安全通信和高性能加密功能。為了實(shí)現(xiàn)這種程度的集成,同時(shí)在傳感器IC內(nèi)建立安全的執(zhí)行環(huán)境,傳感器內(nèi)匹配技術(shù)采用了SoC架構(gòu)(圖2)。

因?yàn)榧啥喾N功能是集成電路存在的理由,所以這一進(jìn)步似乎稱不上“下一代”進(jìn)步。不過,全面集成傳感和匹配功能可以顯著增強(qiáng)安全性,僅憑這一點(diǎn)就足以斷定,其預(yù)期的行業(yè)影響力不可低估。

傳感器內(nèi)匹配架構(gòu)的先進(jìn)安全性既可以應(yīng)用到系統(tǒng)上,又可以應(yīng)用到用戶獨(dú)有的生物識別信息的保護(hù)上。以下各項(xiàng)進(jìn)步增強(qiáng)了系統(tǒng)級安全:

·指紋數(shù)據(jù)和指紋匹配器的執(zhí)行環(huán)境是與主芯片操作系統(tǒng)物理隔離的,因此可以抵抗主芯片上的黑客或惡意軟件攻擊。

·傳感器自主執(zhí)行生物識別功能,而無需依靠主芯片的輸入,因此避免了一旦主芯片處于危險(xiǎn)之中可能帶來的損害。

·匹配器的輸入?yún)?shù)是活體指紋信息——傳感器芯片及其注冊模板獲取這些信息,并對其進(jìn)行加密和處理。

·能夠準(zhǔn)確驗(yàn)證真?zhèn)危驗(yàn)樽R別結(jié)果是由來自硬件的傳感器專用私鑰簽署的。

·代表身份憑證的密鑰的建立、存儲和管理是共享的——這些密鑰還用來簽署證書,以防受到附有虛假信息的惡意軟件的損害。

即使主芯片被任何類型或來源的攻擊成功擊破,也極其難以強(qiáng)制匹配器產(chǎn)生虛假的積極結(jié)果、重新提供以前的結(jié)果或以其他任何方式改變或操控匹配結(jié)果。這就確保了即使在最壞情況下,身份驗(yàn)證子系統(tǒng)也仍然是安全的。

至于用戶的生物識別信息,保護(hù)是通過以下幾種特性增強(qiáng)的。首先,指紋數(shù)據(jù),包括從中提取的所有特性/特征和所有已建立的模板,都只在傳感器的片上CPU及存儲器中處理。這種信息絕對不會與主器件分享或暴露給主器件。此外,注冊數(shù)據(jù)庫位于獨(dú)立閃存之中,與其他部分是隔離的,而且僅傳感器可以進(jìn)行物理訪問。另外,注冊模板在存儲到獨(dú)立閃存之前,會由傳感器使用專有算法和強(qiáng)大的密鑰進(jìn)行加密和簽署。

與之前談?wù)摰南到y(tǒng)級安全一樣,即使主芯片被某種成功攻擊完全擊破,攻擊者也無法提取用戶的任何生物識別信息,而生物識別信息失竊無疑是所能想象到的、最具破壞性的身份信息失竊形式之一。

Synaptics公司提供了業(yè)內(nèi)第一款完全封裝在硬件內(nèi)的指紋傳感器,該傳感器使客戶能夠在其產(chǎn)品中提供極強(qiáng)保護(hù)。同時(shí),Synaptics也是業(yè)界唯一一家提供該解決方案的公司。傳感器內(nèi)匹配解決方案將收集和管理的數(shù)據(jù)存儲在傳感器本身——與主系統(tǒng)是完全隔離的,因此避開了主系統(tǒng)易受黑客攻擊的問題。傳感器也不存儲真正的指紋圖像,而是建立一個采用256位高級加密標(biāo)準(zhǔn)(AES)技術(shù)加密的、無法被重構(gòu)的模板。即使主系統(tǒng)遭遇安全威脅,生物識別數(shù)據(jù)依然是安全的,因?yàn)槠涫冀K位于指紋傳感器模塊內(nèi)。

傳感器內(nèi)匹配技術(shù)可以為很多應(yīng)用提供強(qiáng)大的、安全性高于主芯片的保護(hù),例如智能手機(jī)、平板電腦、個人電腦、電腦鼠標(biāo)和鍵盤、擴(kuò)展塢和汽車等。目前,為保護(hù)電子商務(wù)、金融交易和醫(yī)療保健記錄的安全,有關(guān)立法工作正在進(jìn)行,因此企業(yè)亟需用傳感器內(nèi)匹配技術(shù)來滿足嚴(yán)格的法律法規(guī)要求。

Synaptics提供采用這種新型傳感器內(nèi)匹配技術(shù)的傳感器,使Synaptics在生物識別數(shù)據(jù)安全領(lǐng)域贏得了顯著領(lǐng)先的地位。隨著新的傳感器內(nèi)匹配解決方案得到越來越多的采用,人們也會越來越清楚地看到,盡管不同的生物識別匹配技術(shù)看似相似,但并不是所有指紋認(rèn)證技術(shù)都“生而平等”。

結(jié)論

包括指紋認(rèn)證技術(shù)在內(nèi)的生態(tài)系統(tǒng)的支持正在穩(wěn)步增強(qiáng),同時(shí),Synaptics公司開發(fā)了先進(jìn)的傳感器內(nèi)匹配解決方案。這些解決方案通過了FIDO認(rèn)證,能夠以各種不同的角度讀取指紋信息,選擇是提供視覺還是觸覺反饋信息,并且針對器件或應(yīng)用進(jìn)行了優(yōu)化。此外,傳感器內(nèi)匹配不需要在指紋模塊和主器件之間傳送或共享生物識別信息,因此即使系統(tǒng)受到危害,生物識別數(shù)據(jù)也沒有失竊風(fēng)險(xiǎn)。

因此,如果你認(rèn)為所有指紋認(rèn)證技術(shù)都是相同的,那么你也許需要好好花一番時(shí)間,了解一下傳感器內(nèi)匹配架構(gòu)及其功能了。



關(guān)鍵詞: 指紋驗(yàn)證 傳感器 芯片

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉