STPay-Topaz-Bio: 意法半導(dǎo)體指紋卡榮獲CES 2022 創(chuàng)新獎(jiǎng)，攻克兩大難關(guān)

STPayBio概念驗(yàn)證原型是STPay-Topaz-Bio 卡上生物識(shí)別系統(tǒng)平臺(tái)的核心組件，不久前獲得 CES 2022 創(chuàng)新獎(jiǎng)，被譽(yù)為指紋銀行卡的基石，為消費(fèi)者和金融機(jī)構(gòu)開(kāi)啟一個(gè)新的支付途徑。但是，應(yīng)用場(chǎng)景遠(yuǎn)不止于支付，確實(shí)已有團(tuán)隊(duì)在研究利用這項(xiàng)技術(shù)開(kāi)發(fā)醫(yī)療設(shè)備和門禁系統(tǒng)。用戶指紋身份驗(yàn)證為業(yè)界提供一個(gè)更可靠、更安全的隱私保護(hù)方式，例如，服務(wù)器要求用戶必須提供指紋才能解密生物特征信息，并使用只在卡上保存的生物特征信息驗(yàn)證用戶身份。此外，醫(yī)療專業(yè)人員還可以通過(guò)指紋驗(yàn)證患者身份，打擊醫(yī)保詐騙。

STPay-Topaz-Bio是什么?

一個(gè)軟硬件平臺(tái)

STPay-Topaz-Bio 有助于降低卡上生物識(shí)別系統(tǒng)的開(kāi)發(fā)難度，可以處理指紋注冊(cè)、數(shù)據(jù)模板、電源管理和卡驗(yàn)證過(guò)程。在交易發(fā)生前，用戶只需將手指放在卡的指紋采集器上，無(wú)需輸入 PIN 密碼，使用體驗(yàn)是高效和更安全。黑客確實(shí)無(wú)法用圖片解鎖指紋機(jī)制，同時(shí)銀行可以提供更現(xiàn)代化的身份驗(yàn)證系統(tǒng)。STPay-Topaz-Bio指紋識(shí)別平臺(tái)使用兩顆微控制器，ST31N600安全單元基于40 納米 Arm SecurCore SC000 內(nèi)核，負(fù)責(zé)處理大部分支付操作； STM32L443通用微控制器處理指紋讀取器采集的圖像。該平臺(tái)還包括一個(gè)兼容 Java Card 3.0.5 和 GlobalPlatform 2.3.1 的操作系統(tǒng)，以加快開(kāi)系統(tǒng)開(kāi)發(fā)過(guò)程。

一款擺脫P(yáng)IN密碼的解決方案

意法半導(dǎo)體與 Fingerprint Cards 和 Linxens 兩家公司合作開(kāi)發(fā)出了STPay-Topaz-Bio指紋識(shí)別平臺(tái)。根據(jù) ReportLinker 的一項(xiàng)研究，到 2026 年，全球非接觸式生物識(shí)別技術(shù)市場(chǎng)將達(dá)到 186 億美元。該研究還列舉疫情是促進(jìn)生物識(shí)別技術(shù)應(yīng)用普及的原因。消費(fèi)者在尋找付款的同時(shí)能夠保持安全社交距離的支付方式，因?yàn)閾?dān)心設(shè)備可能被病毒污染，還希望減少人機(jī)交互設(shè)備的使用。使用生物特征驗(yàn)證身份，無(wú)需輸入 PIN 密碼，非接觸式生物識(shí)別卡的安全支付方案可以滿足這些新需求。

業(yè)界慶稱贊STPay-Topaz-Bio 的另一個(gè)原因是芯片 PIN 驗(yàn)證本身存在問(wèn)題。該技術(shù)出現(xiàn)在 2000 年初，對(duì)芯片PIN卡的大規(guī)模黑客攻擊詐騙很少見(jiàn)，但確實(shí)存在。例如，2011 年，詐騙犯使用中間人攻擊芯片PIN 卡，竊取總計(jì) 600,000 歐元。黑客攻擊方法雖然復(fù)雜，但清楚地表明，這項(xiàng)技術(shù)有很大的局限性。同樣，劍橋大學(xué)的兩名研究人員公布了兩個(gè)重大安全漏洞的細(xì)節(jié)。STPay-Topaz-Bio 提供了一個(gè)更新的平臺(tái)和更重要的保護(hù)措施，并棄用密碼，犯罪分子再也不能從背后偷看密碼，或利用社交工程攻擊手段盜取密碼。

一個(gè)簡(jiǎn)單的卡上生物識(shí)別系統(tǒng)開(kāi)發(fā)入門方法

通過(guò)讓卡上生物識(shí)別系統(tǒng)變得更加安全和實(shí)用，STPay-Topaz-Bio 解決方案有助于提高甚至解除當(dāng)今大多數(shù)銀行卡的非接支付限額。該解決方案還將促進(jìn)企業(yè)和醫(yī)療機(jī)構(gòu)采用這項(xiàng)新技術(shù)。可惜的是，管理者很難找到準(zhǔn)確的相關(guān)信息。因此，我們認(rèn)為有必要結(jié)合具體情況討論 STPay-Topaz-Bio技術(shù)。意見(jiàn)領(lǐng)袖和決策者必須了解這些新興技術(shù)固有的技術(shù)挑戰(zhàn)。

STPay-Topaz-Bio:能效挑戰(zhàn)

卡片尺寸要求

卡上生物識(shí)別系統(tǒng)工作原理

在卡片上增加生物識(shí)別技術(shù)是一項(xiàng)具有挑戰(zhàn)性的工作，卡片廠商必須遵守現(xiàn)有的卡片厚度要求，才能在現(xiàn)有讀卡器上刷卡或把卡插入讀卡器。ISO/IEC 7810 標(biāo)準(zhǔn)規(guī)定所有銀行卡和身份證的厚度必須為 0.76 毫米。其他標(biāo)準(zhǔn)還規(guī)定卡片在連接器或組件不斷裂情況下的彎曲程度。滿足這些嚴(yán)格的要求意味著掌握生物識(shí)別銀行卡技術(shù)的公司可以輕松移植他們的解決方案。制造生物識(shí)別 ID 徽章、指紋識(shí)別工作證等產(chǎn)品會(huì)更容易。

工程師還必須解決卡片功耗和能量收集背后的技術(shù)挑戰(zhàn)。因此，意法半導(dǎo)體開(kāi)發(fā)出一個(gè)可以從非接觸式讀卡器獲取電能并將其分配給整張卡片的安全單元。這樣的系統(tǒng)之所以可行是因?yàn)橥ㄓ?MCU(STM32L443)和ST31N600 安全單元的功耗很低，可以利用磁場(chǎng)耦合期間收集的電能運(yùn)行。STPay-Topaz-Bio 的創(chuàng)新之處在于使用與上一代非接觸式銀行卡相同的 NFC 技術(shù)，同時(shí)為指紋傳感器和通用 MCU 等更多組件供電。

存儲(chǔ)和運(yùn)算要求

用戶指紋采集注冊(cè)，然后保存指紋模板，這個(gè)過(guò)程需要更大容量的存儲(chǔ)器。因此，卡上生物識(shí)別系統(tǒng)開(kāi)發(fā)工程師面臨更高的硬件要求。安全單元負(fù)責(zé)運(yùn)行應(yīng)用程序，保護(hù)生物特征模板等信息的安全，運(yùn)行指紋與模板匹配算法，驗(yàn)證用戶身份。因此，參考模板和匹配算法需要更多的存儲(chǔ)空間。同樣，通用MCU從傳感器中提取指紋并將其轉(zhuǎn)交安全單元，需要高計(jì)算性能和盡可能低的功耗。

因此，決策者須明白硬件優(yōu)化的重要性。STM32 微控制器具有低功耗模式，可大幅提高能效。同樣，我們確保 ST31以更快的速度運(yùn)行指紋匹配算法?？偨灰讜r(shí)間，包括指紋匹配，必須少于一秒。因此，該平臺(tái)必須把硬件優(yōu)化做得非常出色，并保證用戶體驗(yàn)完美無(wú)缺。

STPay-Topaz-Bio: 安全和用戶體驗(yàn)挑戰(zhàn)可靠性

因?yàn)槿狈?biāo)準(zhǔn)，用戶的指紋注冊(cè)過(guò)程可能不是很順利，指紋注冊(cè)方法必須全面權(quán)衡總體安全性、性能和用戶便利性。開(kāi)發(fā)者正在研究不同的指紋注冊(cè)方法，包括使用自助注冊(cè)卡套、移動(dòng)設(shè)備或有可選LED指示燈的卡上指紋讀取器。指紋采集速度還必須夠快，并符合生物識(shí)別標(biāo)準(zhǔn)，例如，F(xiàn)AR（誤接受率）和 FRR（誤識(shí)別率）生物識(shí)別交互要求。測(cè)試結(jié)果假陽(yáng)是嚴(yán)重違反安全規(guī)定，破壞了系統(tǒng)總體可靠性，而假陰則會(huì)為注冊(cè)過(guò)程設(shè)置障礙，增加注冊(cè)難度，令最終用戶難以容忍。因此，系統(tǒng)研發(fā)團(tuán)隊(duì)必須在準(zhǔn)確性和性能之間找到合理的平衡點(diǎn)。

安全

STPay-Topaz-Bio與現(xiàn)有解決方案的不同之處在于，提供更好的生物特征識(shí)別處理性能和更安全的資產(chǎn)保護(hù)，例如，為傳感器采集的指紋圖像和參考模板提供更全面的安全保護(hù)。 一般而言，卡上生物識(shí)別系統(tǒng)的安全性和隱私保護(hù)功能更強(qiáng)大，比 PIN驗(yàn)證方法或基本非接觸式解決方案更安全。但是，STPay-Topaz-Bio在安全方面更進(jìn)一步，克服了多個(gè)設(shè)計(jì)挑戰(zhàn)。采用該方案意味著開(kāi)發(fā)團(tuán)隊(duì)可以繞過(guò)復(fù)雜的設(shè)計(jì)問(wèn)題，確保最終用戶信任他們的卡上生物識(shí)別系統(tǒng)。 STPay-Topaz-Bio 平臺(tái)還保證處理時(shí)間短，這對(duì)于成功的使用體驗(yàn)至關(guān)重要。

●   了解意法半導(dǎo)體的安全微控制器和銀行解決方案

1.Ferradi, H., Géraud, R., Naccache, D. et al. When organized crime applies academic results: a forensic analysis of an in-card listening device. J Cryptogr Eng 6, 49–59 (2016). doi: 10.1007/s13389-015-0112-3 

2.M. Bond, O. Choudary, S. J. Murdoch, S. Skorobogatov and R. Anderson, “Chip and Skim: Cloning EMV Cards with the Pre-play Attack,” 2014 IEEE Symposium on Security and Privacy, 2014, pp. 49-64, doi: 10.1109/SP.2014.11.