Path: EDNTaiwan電子技術設計 >> 設計中心 >> 工業/軍事/航太 >> 不是所有的指紋驗證技術都一樣!
工業/軍事/航太 Share print

不是所有的指紋驗證技術都一樣!

2016年02月01日  | Anthony Gioeli、Ritu Favre/Synaptics生物識別產品部門行銷副總裁、資深副總裁暨生物識別產品部總經理

Share this page with your friends

近來在生物識別領域,以指紋認證做為存取和保護資料的簡單、安全解決方案明顯激增,這種方法也正在安全電子/行動交易方面發揮越來越大的作用。


與要求使用者建立、記憶和保護密碼相比,用指紋驗證用戶更安全也簡便得多,因此指紋驗證成為了商家、銀行、用戶和協力廠商結算機構的首選方法。業界領先公司在指紋識別領域取得的一些技術進步和積極創新,產生了若干不同形式的指紋識別方法,不過這些方法在本質上是完全不同的。


並非所有指紋認證技術「生而平等」

「人人生而平等」這句話,因為美國第三任總統湯瑪斯·傑弗遜在《獨立宣言》中的聲明而被廣為傳頌;這一有關平等的觀念儘管歷史悠久,卻未必適用於生物識別安全技術,因為並非所有指紋認證技術都「生而平等」。


在生物識別領域,指紋認證技術被用來保護設備及設備所存取的資料安全性,並確保交易的安全性。儘管指紋識別技術在上述領域已經廣泛運用,但其相似性僅限於此。指紋認證背後的技術不盡相同,其所能提供的安全級別也是如此。


一種常見的指紋驗證技術是主晶片上比對(Match-on-Host)技術;採用這種技術後,指紋感測器讀取指紋資料,並將其發送給主處理器或其他外部處理器進行處理;儘管指紋資料是由指紋感測器擷取的,但是所有的處理和比對工作都在主控平台上完成。


還有一種指紋驗證技術是感測器內比對(Match-in-Sensor)技術,這種技術採用特製的完整封裝系統單晶片(SoC)架構,在實際的指紋感測器模組內部將指紋註冊(enrollment)、圖案儲存和生物識別比對隔離開來。


下面我們來看看這兩種截然不同的指紋驗證方法到底有何本質上的差異。


主晶片上比對:目前的標準

指紋感測的基本要求是,透過與一個已知和安全的「範本」或使用者指紋的記錄進行比對,來明確識別用戶身份(圖1)。感測器最初用來擷取資料在「註冊」過程中創建使用者記錄,之後每次使用者試圖存取設備時,感測器都會擷取指紋資料和已儲存的範本進行比對。


圖1 主晶片上比對指紋辨識架構。
圖1 主晶片上比對指紋辨識架構。

目前,幾乎每一種指紋感測解決方案都是直接在主系統上執行比對操作,無論是智慧型手機、平板電腦、PC,還是為安全性應用特制的專屬設備;因此,主晶片上比對架構是分別用兩顆IC—其中一顆是用來擷取資料的感測器IC,另一顆是用來執行實際比對操作之軟體的獨立控制器IC(通常是行動設備的應用處理器)—來滿足功能要求的。


任何新技術都會自然而然地以使用主晶片資源作為起點;因此第一代指紋感測器是很簡單的元件,僅限於完成單一任務,即收集指紋資料,然後主晶片中運作的軟體利用這些指紋資料驗證使用者身份。


軟體執行的功能包括:識別指紋特徵、建立安全的生物識別資源(指紋範本)、儲存指紋範本,以及對最新建立的指紋範本和設備上已儲存的指紋範本進行比對。主系統還提供保護指紋資料完整性和隱私性所需的安全性。此外,主系統還負責檢測偽造的生物識別資料—這些所謂的防欺騙技術是遏止表達攻擊(presentation attack)所必需的。


主晶片上比對架構的兩個主要賣點,是成本低和設計導入(design-in)時間短,這使指紋感測能夠較快速、合算地添加到設備上。這個勢頭又反過來促進了相關方面的進步,例如快速線上身份識別(Fast Identity Online,FIDO)聯盟建立的通用驗證框架(Universal Authentication Framework,UAF)。


然而,儘管它有很多優勢,可是在談到提供真正的安全性時,主晶片上比對的方法相比感測器內比對架構卻相形見絀。


感測器內比對架構:新一代標準

感測器內比對架構正如其名,是將比對及其他生物識別管理功能直接整合到了感測器IC中。該IC含有高速微處理器、指令和資料儲存記憶體,以及安全通訊和高性能加密功能。為了實現這種程度的整合,同時在感測器IC內建立安全的執行環境,感測器內比對技術採用了SoC架構(圖2)。


圖2 感測器內比對指紋辨識架構
圖2 感測器內比對指紋辨識架構

因為整合多種功能是IC存在的理由,所以這種進步似乎不能說是「新一代」的;不過,全面整合感測和比對功能可以顯著增強安全性,僅憑這一點就足以斷定,其預期的產業影響力不可低估。


感測器內比對架構的先進安全性既可以應用到系統上,又可以應用到使用者獨有的生物識別資訊的保護上;以下各項進步增強了系統級安全性:


  ● 指紋資料和指紋比對器的執行環境是與主晶片作業系統在實體上隔離的,因此可以抵抗主晶片上的駭客或惡意軟體攻擊。

  ● 感測器自主執行生物識別功能,而無需仰賴主晶片的輸入,因此避免了一旦主晶片處於危險之中可能帶來的損害。

  ● 比對器的輸入參數是活體指紋資訊—感測器晶片及其註冊範本獲取這些資訊,並對其進行加密和處理。

  ● 能夠準確驗證真偽,因為識別結果是由來自硬體的感測器專用私密金鑰簽署。

  ● 代表身份憑證的金鑰建立、儲存和管理是共用的—這些金鑰還用來簽署憑證,以防受到附有虛假資訊的惡意軟體損害。

即使主晶片被任何類型或來源的攻擊成功突破,也極其難以強制比對器產生假陽性結果(false positive result)、重新提供以前的結果,或以其他任何方式改變或操控比對結果。這就確保了即使在最壞情況下,身份驗證子系統也仍然是安全的。


至於使用者的生物識別資訊,保護是透過以下幾種功能來強化的:首先,指紋資料,包括從中提取的所有特性/特徵和所有已建立的範本,都只在感測器的晶片上CPU及記憶體中處理;這種資訊絕對不會與主元件分享或暴露給主元件。


此外,註冊資料庫位於獨立快閃記憶體之中,與其他部分是隔離的,而且僅感測器可以進行實體存取。再者,註冊範本在儲存到獨立快閃記憶體之前,會由感測器以專屬演算法和強大的金鑰進行加密和簽署。


與之前談論的系統級安全一樣,即使主晶片被某種成功攻擊完全突破,攻擊者也無法提取使用者的任何生物識別資訊,而生物識別資訊失竊無疑是所能想像到的、最具破壞性的身份資訊失竊形式之一。


Synaptics能提供一款完全封裝在硬體內的指紋感測器,感測器內比對解決方案將收集和管理的資料儲存在感測器本身—與主系統是完全隔離的,因此避開了主系統易受駭客攻擊的問題。感測器也不儲存真正的指紋圖像,而是建立一個採用256位高級加密標準(AES)技術加密的、無法被重構的範本。即使主系統遭遇安全威脅,生物識別資料依然是安全的,因為其始終位於指紋感測器模組內。


感測器內比對技術可以為很多應用提供強大的、安全性高於主晶片的保護,例如智慧手機、平板電腦、個人電腦、電腦滑鼠和鍵盤、擴展基座和汽車等。目前,為保護電子商務、金融交易和醫療保健記錄的安全,有關立法工作正在進行,因此企業亟需用感測器內比對技術來滿足嚴格的法律法規要求。


隨著新的感測器內比對解決方案得到越來越多的採用,人們也會越來越清楚地看到,儘管不同的生物識別比對技術看似相似,但並不是所有指紋認證技術都「生而平等」。


結論

包括指紋認證技術在內的生態系統的支援正在穩步增強,例如Synaptics的先進感測器內比對解決方案;這些解決方案通過了FIDO認證,能夠以各種不同的角度讀取指紋資訊,可選擇視覺還是觸覺回饋資訊,並且針對元件或應用進行了最佳化。


此外,感測器內比對不需要在指紋模組和主元件之間傳送或共用生物識別資訊,因此即使系統受到危害,生物識別資料也沒有失竊風險。因此,如果你認為所有指紋認證技術都是相同的,那麼你也許需要好好花一番時間,瞭解一下感測器內比對架構及其功能了。





想要免費接收更多的技術設計資訊嗎?

馬上訂閱《電子技術設計》郵件速遞,透過郵箱輕鬆接收最新的設計理念和產品新聞。

為確保您的資訊安全,請輸入右方顯示的代碼.

啟動您的訂閱申請

我們已給您的註冊郵箱發送了確認信,請點擊信中的連結啟動您的訂閱申請。

這將有助於我們很好地保護您的個人隱私同時確保您能成功接收郵件。


添加新評論
遊客 (您目前以遊客身份發表,請 登入 | 註冊)
*驗證碼:

新聞 | 產品 | 設計實例