腾讯生物认证平台TENCENT SOTER全面开源（附源码）

　　Hi商学院8月5日消息，hishop了解到腾讯生物认证平台TENCENT SOTER全面开源，TENCENT SOTER已全面开放接入指纹登录、指纹支付几乎已经成为智能手机的标配。手指按在手机上的那一瞬间，到底是什么神秘技术的力量，将指纹能力运用到产品中去的呢?

　　一切都始于TENCENT SOTER指纹认证技术。现在，微信团队宣布对TENCENT SOTER技术进行开源，向业内人士完全开放，供开发者进行研究及自主开发，接入所需所有代码都可供查询。

　　一、代码全面开源——TENCENT SOTER降低接入门槛

　　为了能让更多用户体验到指纹认证方案的优越性，让更多开发者及服务商能够更容易接入，TENCENT SOTER选择了进行开源以降低门槛。

　　目前，TENCENT SOTER已经在微信指纹支付、微信公众号指纹授权接口等场景使用，并得到了验证。

　　接入TENCENT SOTER之后，APP可以在不获取用户指纹图案的前提下，在Android设备上实现可信的指纹认证，获得与微信指纹支付一致的安全快捷认证体验。

　　安全：所有关键数据存储与操作均根本依赖TEE，厂商在设备出厂之前安全环境会专门生成TENCENT SOTER设备根密钥，TEE级别保证“无授权，不签名”;

　　易用：前端sdk轻量，后台无须集成sdk，保证接入成本低廉;

　　可在敏感业务使用：可以获取指纹在本设备上的数字索引，保证在不获取用户指纹图案的前提下，区分同设备不同用户，可用于支付等敏感场景;

　　保护用户生物隐私：不会获取任何形式用户指纹图案，保证用户使用时无隐私泄露后顾之忧;

　　保护接入方商业隐私：验证无须请求到中心服务，保证敏感商业数据不泄露。

　　目前，超过30家合作厂商已接入TENCENT SOTER，在主流的安卓平台手机中都可以使用，同时这些设备都已经经过了腾讯的测试，不同设备间使用TENCENT SOTER的安全性也得到了可靠的保障，为开发者进行开源项目的测试提供了良好的环境。截至近日，已有数亿设备支持TENCENT SOTER，并且这个数字还在增长。

　　未来，随着技术的开源，TENCENT SOTER将为更多行业提供指纹认证方案的服务，让更多用户的手机安全地使用指纹登录、支付等重要功能。

　　附开源链接：https://github.com/Tencent/soter

　　二、指纹认证届黑科技——TENCENT SOTER升级安卓原生能力

　　那么TENCENT SOTER到底是什么?相较于其它指纹认证优势在哪?

　　其实，TENCENT SOTER是由微信团队推出的一套安全、通用、完整的生物认证方案，旨在帮助开发者快速实现生物认证功能。相比安卓原生的指纹认证系统，TENCENT SOTER建立了一套支付级安全的机制，进行了全面升级。

　　SOTER认证的原理是，当用户使用指纹授权时，手机内部有一个签名的角色根据指纹对比结果决定是否签名，一旦签名成功，对应的手机外部有一个认证签名的角色。认证完成，设备即可执行相关指令。

　　如果把手机比喻成一个世界，手机内部的TEE就像与世隔绝的一个小岛，指纹图案送到这个小岛后，通过岛主的认证，就获得了岛主的同意书，并将同意书递送出去，而指纹图案永远不会离开小岛。(也就是说，在指纹识别的整个过程中，用户的指纹信息都从来没有上传到任何服务器中。)

　　此后，岛主的同意书将交给微信专门的验证服务器TAM以及用户使用的各种APP的专门服务器。神通广大的岛主TEE的同意书，只有APP服务器能够看懂，什么江湖黑客都没有办法模仿或者篡改他的同意书。因此，也不用担心黑客侵入指纹认证的后续流程，造成损失。

　　TENCENT SOTER指纹认证流程的三个部分

　　在Android 6.0接口的基础上，TENCENT SOTER指纹认证方案还进行了进一步安全加固，在无需读取用户的指纹信息的情况下，为每个终端增加了一把独一无二的钥匙。这样，即使手机被root破解，获得了最高管理权限，认证结果也无法被劫持，切实保障用户的隐私安全。