-
Notifications
You must be signed in to change notification settings - Fork 205
Home
yexuan-henryye edited this page Aug 4, 2017
·
27 revisions
TENCENT SOTER是一种生物认证标准,同时也是腾讯生物认证平台。TENCENT SOTER主要着眼于如何安全、高效并简单地使用你设备上的传感器进行鉴权——最重要,也是目前用到最多的就是指纹传感器。
这里可以对比下系统原生Android 6.0指纹接口和FIDO方案。
| TENCENT SOTER | Android Framework | FIDO | |
|---|---|---|---|
| 安全性 | 高(前后台支持,有产线生成一机一密根密钥) | 低(手机被root后易被破解,且无法准确检测root) | 高(前后台支持,有产线生成根密钥) |
| 接入成本 | 较低(前端极轻量级sdk,后台无须集成sdk) | 低(无需前后台sdk) | 高(部署复杂) |
| 敏感业务可用 | 是(可获取本机指纹索引) | 否(无法获取指纹在本机索引,有盗用风险) | 是(可获取本机指纹索引) |
| 用户隐私保护 | 好(不会获取指纹图案) | 好(不会获取指纹图案) | 好(不会获取指纹图案) |
| 商业隐私保护 | 好(验证无须请求到中心服务) | \ | 较差(需要每一笔验证都请求到中心验证服务器) |
- 如果你的应用实现了全套的客户端、后台接口和逻辑,那么TENCENT SOTER非常安全,即使你的设备被root了也是如此。
- 如果该设备支持TENCENT SOTER,那么腾讯将会保证这部设备出厂即有一机一密的设备根密钥。根密钥验证服务都由腾讯开放平台提供,该平台已经被时间验证了是稳定且可信的。
- 目前,已经有超过2.3亿部Android设备支持了TENCENT SOTER。并且最重要的是,在几乎所有支持TENCENT SOTER的设备上进行微信指纹支付时,都使用了TENCENT SOTER标准相当长一段时间。这也证明了TENCENT SOTER本身是具备支付级别安全能力的标准和平台。
- 每次授权之后,你可以知道用户使用了设备上哪根手指进行支付。这对于敏感的业务场景而言非常重要。
- 如果你对于Android系统中的FingerprintManager和Crypto相关接口很熟悉的话,你不会对TENCENT SOTER的客户端接口感到陌生:我们所有的实现都是使用的Android Framework中的接口,并且,我们没有增加一个公开接口来做这件事情。我们只是针对这些接口和厂商进行合作,进行了很强的安全加固。
- 你并不需要每次指纹认证都接入腾讯的后台。你的数据安全与隐私将会得到充分保证。
- 腾讯已经针对所有支持TENCENT SOTER的手机进行了严格的测试,也就意味着你不必担心手头这台支持TENCENT SOTER的设备的安全性是否可靠。
当然,作为应用开发者,并不是所有场景都要求极高安全性。对于这种情况,应用可以更加快速接入TENCENT SOTER,同时,对比与原生接口,也有两个明显优势:
- 支持部分Android L(Android 5.0、5.1)机型指纹认证
- 可以提供本次认证在本机上的指纹索引以区分手指
我们做到这些的前提是不会以任何方式获取任何形式用户指纹图案或模板信息,这也减少了用户使用TENCENT SOTER的疑虑。
截止2017年6月2日,已经有超过2.3亿设备支持了TENCENT SOTER。通过这个网址可以了解目前哪些厂商的哪些机型已经支持了TENCENT SOTER。
概述
TENCENT SOTER介绍
TENCENT SOTER原理
基础
快速接入
进阶
安全接入
安全接入——客户端
安全接入——后台
接口文档
客户端接口文档
后台接口文档
个人信息保护规则
合规使用指南