指紋驗證：主芯片上匹配和傳感器內匹配有何不同？

近來，在生物識別領域，采用指紋認證作為訪問和保護數據的簡單卻安全的方法出現了激增。這個方法也正在安全電子和移動交易方面發揮著越來越大的作用。

與要求用戶創建、記住和保護密碼相比，采用指紋來做用戶驗證要安全得多，也簡便得多，因此指紋驗證成為了商家、銀行、用戶和第三方結算機構的首選方法。業界領先公司在指紋識別領域取得的一些技術進步和積極創新，產生了若干不同形式的指紋識別方法，不過這些方法從本質上說是完全不同的。

并非所有指紋認證技術“生而平等”

“人人生而平等”這句話，因美國第三任總統托馬斯·杰斐遜在《獨立宣言》中的聲言而備受贊許。這一有關平等的觀念盡管歷史悠久，卻未必適用于生物識別安全技術，因為并非所有指紋認證技術都“生而平等”。

在生物識別領域，指紋認證技術被用來保護設備及設備所訪問的數據的安全，并確保交易的安全性。盡管指紋識別技術在上述領域已經廣泛運用，但其相似性僅限于此。指紋認證背后的技術不盡相同，其所能提供的安全級別也是如此。

一種常見的指紋驗證技術是主芯片上匹配(Match-on-Host)技術;采用這種技術后，指紋傳感器讀取指紋數據，并將其發送給主處理器或其他外部處理器進行處理。盡管指紋數據是由指紋傳感器獲取的，但是所有的處理和匹配工作都在主控平臺上完成。還有一種指紋驗證技術是傳感器內匹配(Match-in-Sensor)技術，這種技術采用定制的、完整封裝的單芯片系統(SoC)架構，在實際的指紋傳感器模塊內部，將指紋注冊、圖案存儲和生物識別匹配隔離開來。

下面我們來看一下這兩種截然不同的指紋驗證方法到底有何本質區別。

主芯片上匹配：目前的標準

指紋傳感的基本要求是，通過與一個已知和安全的“模板”或用戶指紋的記錄進行匹配，來明確識別用戶身份(圖1)。傳感器最初用來捕獲數據在“注冊”過程中創建用戶記錄，之后每次用戶試圖訪問設備時，傳感器都會獲取指紋數據和已存儲的模板進行比較。

目前，幾乎每一種指紋傳感解決方案都是直接在主系統上執行匹配操作，無論是智能手機、平板電腦、PC，還是為實現安全性而定制的專用設備。因此，主芯片上匹配架構是分別用兩個IC——一個是用來獲取數據的傳感器IC，另一個是用來運行實際匹配操作的軟件的獨立控制器IC(通常是移動設備上的應用處理器)——來滿足功能要求的。

任何新技術都會自然而然地以使用主芯片資源作為起點。因此，第一代指紋傳感器是很簡單的器件，僅限于完成單一任務，即收集指紋數據，然后主芯片中運行的軟件利用這些指紋數據驗證用戶身份。

軟件執行的功能包括：識別指紋特征、建立安全的生物識別資源(指紋模板)、存儲指紋模板，以及對最新建立的指紋模板和設備上已存儲的指紋模板進行匹配。主系統還提供保護指紋數據完整性和隱私性所需的安全性。此外，主系統還負責檢測偽造的生物識別數據——這些所謂的防欺騙技術是遏制表達攻擊(presentation attack)所必需的。

主芯片上匹配架構的兩個主要賣點是成本低和設計導入(design-in)時間短，這使指紋傳感能夠較快速、合算地添加到設備上。這個勢頭又反過來促進了相關方面的進步，例如FIDO(快速在線認證)聯盟建立的通用驗證框架(UAF)。然而，盡管它有很多優勢，可是在談到提供真正的安全性時，主芯片上匹配的方法相比傳感器內匹配架構卻相形見絀。

傳感器內匹配架構：下一代標準

正如其名字所暗示的那樣，傳感器內匹配架構將匹配及其他生物識別管理功能直接集成到了傳感器IC中。該IC含有高速微處理器、指令和數據存儲器，安全通信和高性能加密功能。為了實現這種程度的集成，同時在傳感器IC內建立安全的執行環境，傳感器內匹配技術采用了SoC架構(圖2)。

因為集成多種功能是集成電路存在的理由，所以這一進步似乎稱不上“下一代”進步。不過，全面集成傳感和匹配功能可以顯著增強安全性，僅憑這一點就足以斷定，其預期的行業影響力不可低估。

傳感器內匹配架構的先進安全性既可以應用到系統上，又可以應用到用戶獨有的生物識別信息的保護上。以下各項進步增強了系統級安全：

·指紋數據和指紋匹配器的執行環境是與主芯片操作系統物理隔離的，因此可以抵抗主芯片上的黑客或惡意軟件攻擊。

·傳感器自主執行生物識別功能，而無需依靠主芯片的輸入，因此避免了一旦主芯片處于危險之中可能帶來的損害。

·匹配器的輸入參數是活體指紋信息——傳感器芯片及其注冊模板獲取這些信息，并對其進行加密和處理。

·能夠準確驗證真偽，因為識別結果是由來自硬件的傳感器專用私鑰簽署的。

·代表身份憑證的密鑰的建立、存儲和管理是共享的——這些密鑰還用來簽署證書，以防受到附有虛假信息的惡意軟件的損害。

即使主芯片被任何類型或來源的攻擊成功擊破，也極其難以強制匹配器產生虛假的積極結果、重新提供以前的結果或以其他任何方式改變或操控匹配結果。這就確保了即使在最壞情況下，身份驗證子系統也仍然是安全的。

至于用戶的生物識別信息，保護是通過以下幾種特性增強的。首先，指紋數據，包括從中提取的所有特性/特征和所有已建立的模板，都只在傳感器的片上CPU及存儲器中處理。這種信息絕對不會與主器件分享或暴露給主器件。此外，注冊數據庫位于獨立閃存之中，與其他部分是隔離的，而且僅傳感器可以進行物理訪問。另外，注冊模板在存儲到獨立閃存之前，會由傳感器使用專有算法和強大的密鑰進行加密和簽署。

與之前談論的系統級安全一樣，即使主芯片被某種成功攻擊完全擊破，攻擊者也無法提取用戶的任何生物識別信息，而生物識別信息失竊無疑是所能想象到的、最具破壞性的身份信息失竊形式之一。

Synaptics公司提供了業內第一款完全封裝在硬件內的指紋傳感器，該傳感器使客戶能夠在其產品中提供極強保護。同時，Synaptics也是業界唯一一家提供該解決方案的公司。傳感器內匹配解決方案將收集和管理的數據存儲在傳感器本身——與主系統是完全隔離的，因此避開了主系統易受黑客攻擊的問題。傳感器也不存儲真正的指紋圖像，而是建立一個采用256位高級加密標準(AES)技術加密的、無法被重構的模板。即使主系統遭遇安全威脅，生物識別數據依然是安全的，因為其始終位于指紋傳感器模塊內。

傳感器內匹配技術可以為很多應用提供強大的、安全性高于主芯片的保護，例如智能手機、平板電腦、個人電腦、電腦鼠標和鍵盤、擴展塢和汽車等。目前，為保護電子商務、金融交易和醫療保健記錄的安全，有關立法工作正在進行，因此企業亟需用傳感器內匹配技術來滿足嚴格的法律法規要求。

Synaptics提供采用這種新型傳感器內匹配技術的傳感器，使Synaptics在生物識別數據安全領域贏得了顯著領先的地位。隨著新的傳感器內匹配解決方案得到越來越多的采用，人們也會越來越清楚地看到，盡管不同的生物識別匹配技術看似相似，但并不是所有指紋認證技術都“生而平等”。

結論

包括指紋認證技術在內的生態系統的支持正在穩步增強，同時，Synaptics公司開發了先進的傳感器內匹配解決方案。這些解決方案通過了FIDO認證，能夠以各種不同的角度讀取指紋信息，選擇是提供視覺還是觸覺反饋信息，并且針對器件或應用進行了優化。此外，傳感器內匹配不需要在指紋模塊和主器件之間傳送或共享生物識別信息，因此即使系統受到危害，生物識別數據也沒有失竊風險。

因此，如果你認為所有指紋認證技術都是相同的，那么你也許需要好好花一番時間，了解一下傳感器內匹配架構及其功能了。