五分鐘技術趣談 | 移動端生物認證知多少？

作者：盧興沄，單位：中國移動智慧家庭運營中心成都業(yè)務支持中心

生物認證作為目前最為熱門的身份校驗方式被廣泛使用到各類應用場景。在移動互聯網場景，App搭載生物認證功能對于用戶數據安全性和提升用戶粘性有很大幫助。

Part 01●??主流生物認證方式及其優(yōu)缺點?●?

本期內容介紹的生物認證方式包括：指紋識別和面部識別。

? 指紋識別：通過分析和比對人類手指上的細節(jié)和紋理來識別個體的身份。因為每個人的指紋都是獨一無二的，且指紋易于提取，所以指紋識別方案的采用較為廣泛。目前指紋識別系統(tǒng)使用光學或電容傳感器來捕獲指紋圖像，并用算法來提取和對比指紋特征。

? 人臉識別：通過分析和比對人類面部特征來識別個體身份。人臉識別可以使用攝像頭或圖像傳感器來捕獲人臉圖像，并使用算法來提取和比對面部特征。常用人臉識別分為3d人臉識別和2d人臉識別，目前除了iphone廣泛搭載3d結構光外，少有廠商采用人臉識別的方案。3d結構光由于技術的先進性，使得這一方案下的安全性很高。但是由于技術難度較大，以及硬件成本較高，絕大多數硬件廠商都放棄了3d結構光的人臉識別，而是提供2d的人臉識別方案。作為應用的開發(fā)者，可以借助硬件設備的攝像頭，通過連續(xù)采集不同角度的人臉來構建3d人臉模型來間接實現3d人臉識別方案。

兩種識別技術都有其優(yōu)點和局限性。指紋識別具有高度準確性和穩(wěn)定性，適合用于大規(guī)模應用，但是指紋識別可能會受到指紋質量和損傷的影響。人臉識別具有非接觸性和方便性，但是易受采集環(huán)境如光照、角度和遮擋等因素影響。

根據應用的使用場景選擇適合的生物認證方式或者采用多種生物認證方式相結合的方式，可以克服單一生物認證方式存在的固有缺陷，使得生物認證的適應性更好。

圖2 Treemaps圖示意圖

Part 02●??生物認證在移動設備上使用?●

目前主流移動設備采用Android OS和IOS，受設備廠商硬件限制，生物認證的應用通常在Android OS上采用指紋識別，在IOS上采用人臉識別。市面上已經有大量的應用已經利用移動設備自帶的生物認證硬件實現了各種級別的生物認證功能，包括安全性要求較低的生物認證登錄，以及安全性要求較高的生物認證支付功能。

目前Andoid OS和IOS分別提供了金融級的指紋識別和人臉識別方案，使用起來非常簡單。只需要在OS的設置中注冊用戶的指紋和人臉特征，當需要使用用戶生物特征識別時只需要調用OS提供的相關接口即可，以Android OS為例：

圖3 Android OS指紋識別框架

應用層，App調用AOSP接口，通過接口與與Binder和Framework層的指紋服務進行操作和數據傳輸，最后獲得App所需要的相關數據；

Framework層，承上啟下的作用，分別與應用層和HAL層交互；

HAL層：這一層是手機廠商各自算法邏輯和結果反饋的體現，其結果來自于硬件抽象的結果。

Driver層：受HAL層請求驅動，直接控制指紋硬件。

在應用層獲得指紋認證結果后，即可進行下一步操作。但是已添加的指紋是存儲在手機上的，而指紋識別的結果只是返回true和false，一旦手機設備被用戶獲取root權限，即可劫持指紋驗證結果。因此本地指紋識別的結果作為鑒權的依據存在一定的風險，如果指紋識別用于支付需要更高等級的處理手段。對于一般應用的身份識別，可以采用加密的方式增強指紋識別的安全性。

Part 03●? 實現一個簡單的生物認證登錄系統(tǒng)?●

客戶端統(tǒng)一采取生物認證管理器，封裝各底層API細節(jié)，對上層應用透明，核心功能包括了對設備硬件支持判斷、請求認證以及處理認證結果（包括過期認證憑證的判斷移除）。

服務端為了達到保證用戶登錄流程嚴格按順序執(zhí)行，防止個別繞過流程，采取通用加密方式生成footprint隨機碼，并結合設備uuid唯一字符串進行md5加密，生成業(yè)務憑證，使每一步操作都有憑證校驗，無法繞過或者串改。保證整個生物認證流程完整安全的進行。

服務端采用分布式部署，實現負載均衡，即使在業(yè)務高峰期（比如參加活動，強制重新登錄等場景），也能很好提供穩(wěn)定服務。

后期維護中，若賬號在其他設備登錄或者修改身份，服務端清空當前憑證，使該設備以外的其他設備自動登出，無法使用已過期憑證進行業(yè)務交互，確保了后期安全性。

圖4? 流程圖

Part 04●?總結?●

生物認證在移動設備上的使用已經非常成熟，打造一套簡單易用的生物認證系統(tǒng)已經沒有太大的技術難度。將生物認證集成到我們的App中能夠簡化用戶的登錄操作，對提升用戶的滿意度有很大的幫助。