指纹识别在手机银行应用的技术研究

指纹识别在手机银行应用的技术研究

1.应用现状

指纹识别技术在支付宝钱包率先使用，微信支付随后跟进，用来代替密码，其使用场景覆盖登陆和所有支付。同业的民生银行手机银行近期也开始使用这项技术，但面向的功能有限，主要是缴费、飞机票购买等特定场景，代替短信验证码使用。值得一提的是以上三个应用对于手机型号的支持都比较类似，即对iphone5S以上苹果机型全部支持，对android的支持则非常有限。

那么问题来了，我行的手机银行能用上这项技术吗、什么场景用？会不会有什么安全问题？实施起来难不难？以下从技术实现原理入手，来解答以上三个问题。

2.技术原理

手机指纹识别的核心技术自然在于手机厂商集成的指纹识别模块，app的指纹应用都只能基于手机厂商提供的开放接口进行开发。因此要在app应用中使用此项技术，首要条件是要信任手机厂商的指纹识别安全机制。

目前IOS系列设备的指纹识别模块标准和接口是统一的，同时操作上和安全上更被普遍认可。而android系列的设备由于各家厂家不统一，集成的指纹识别无论在操作上、安全标准和实现接口上都不一致，导致app应用难以开发适配，更由于android操作系统的开源特性，其在安全上更受到质疑。这也解释了为何民生银行手机银行的指纹识别只支持IOS设备，而微信支付和支付宝钱包在android设备上只支持有战略合作的华为手机。

无论是IOS还是android设备，指纹的识别实现上尽管不一致，但基本原理一致的，如下图。

实现原理都是先进行指纹的采集、保存，然后匹配。其中保存的模板指纹数据是经过加密存储在手机的安全区域的，只可写入和删除，无法读取和修改，比对指纹过程中通过操作系统暴露验证接口来验证指纹的一致性（类似密码的验密过程，密文先保存，客户输入密码的时候做加密然后验证）。各手机厂家的区别更多在于指纹模板存储的安全性、指纹采集的方式、成功率和验证效率方面。

拿转账举例，结合指纹识别的原理来看看在手机银行的实现过程。这里有两个步骤，首先要先设置指纹，如下图

问题，具体实施上可能需要厂商介入。

3.安全

从技术上有讲有两个方面的问题：

（1）手机厂商指纹采集和认证机制的安全问题。

指纹采集是否会造成指纹信息泄露？指纹认证是否能够识别真实的手指而

非仿冒？这些都没有有效的第三方权威机构评测。特别是Android设备，由于其开源特性在这方面的安全问题更为严峻。

（2）应用在手机银行，其必须在手机端保留token，这个目前没有相关技术标准，只能我们自己设计加密算法对其进行加解密。

4.趋势及建议应用场景

随着技术的不断发展，可以预见的是生物识别的应用未来是个大趋势，刷脸、刷指纹、刷眼的应用会越来越广泛。建议可以借鉴民生银行做法，先在手机银行的特定的交易下尝试，比如限额修改和未来的缴费，紧跟趋势。另外建议目前只支持ios设备，主要是android设备的接口不统一及更为糟糕的安全问题，并且ios设备有行业应用先例。

5.目前支持指纹识别的部分手机概览