微信送你一把未來的萬能鑰匙

科技發達以後，我們開始了全新的密碼人生。

手機解鎖、帳號登錄、支付結算都要設置密碼，每次輸入十分繁瑣，忘了密碼更是尷尬。於是，生物識別技術應運而生——一枚指紋，一秒鐘，一切解鎖。

可是，指紋解鎖的剎那，到底發生了什麼，能讓機器準確快速地辨認出你呢？

這裡有一個小世界

為了讓每一個有需求的APP都能夠安全快速地使用指紋認證，騰訊特意搭了一座天橋供大家通用——SOTER。

什麼是SOTER?

TENCENT SOTER是微信團隊推出的一套安全、通用、完整的指紋認證方案，Android手機上的微信支付底層指紋能力，採用的就是SOTER指紋認證方案。

SOTER認證的原理是，當用戶使用指紋授權時，手機內部有一個簽名的角色根據指紋對比結果決定是否簽名，一旦簽名成功，對應的手機外部有一個認證簽名的角色。認證完成，設備即可執行相關指令。

於是，我們需要在手機內部和外部分別設立簽名和驗證簽名的場所。這裡涉及到三個場所分別是：

①TEE：簽名場所

TEE位於手機內部，獨立於手機操作系統，出廠時即裝備成功，保持了絕對安全與密閉。

②TAM：驗證簽名場所一

TAM是微信為驗證簽名業務專門提供的伺服器。

③APP伺服器：驗證簽名場所二

APP伺服器是指使用SOTER技術的不同APP的本地伺服器。和TAM相似，也是提供驗證簽名服務的場所，只是針對的是具體APP以及APP的不同功能和場景。

TEE、TAM和APP伺服器里分別住了三對房客，分別是ATTK家族、ASK家族、AuthKey家族。

讓我們用一個例子來說明，他們是如何工作的。

指紋去哪兒？

以微信支付為例。

現在，假設你女朋友說：「親愛的，春天來了，我沒衣服穿啦。」你雖然很想說：「不穿正好。」但是你依然拿出了手機，準備發一個紅包給她。

首先響應的是ATTK家族。

ATTK家族的作用是為每一款APP（如微信）派出一對ASK，ASK是為APP所服務的。

ATTK_pri 和ATTK_pub在設備出廠時自帶，ATTK_pri存儲在TEE中，是負責簽名的筆，ATTK_pub存儲在TAM中，是負責驗證簽名的印章。只要筆簽下的名字，印章經過確認都會打上「合格」。

其次響應的是ASK家族。

ASK家族的作用是為APP的每一項功能（如微信支付、微信公眾平台授權）派出一對AuthKey，Authkey是為APP的每一項細分功能服務的。

ASK家族由ATTK_pri派出，ASK_pri也存在於TEE執行簽字工作，ASK_pub這枚印章則ATTK_pub驗證簽名通過後，輸送到APP伺服器中存儲，負責認證ASK_pri簽名的工作。

最後出場的，也是最一線的AuthKey家族。

AuthKey家族由ASK_pri派出。同理，AuthKey_pri存儲在TEE中，依然扮演簽字筆，AuthKey_pub由這枚印章ASK_pri簽名後送入APP伺服器。ASK_pub一看是ASK_pri送來的，就印上「合格」，將AuthKey_pub存儲在APP伺服器負責驗證簽名。

於是，ATTK家族為APP指定ASK，ASK家族又為不同功能指定AuthKey，AuthKey家族最終決定是否通過一項指令。一層又一層，井然有序。

萬事俱備，終於輪到指紋登場。

當你點下 確認支付 時，手機下一個畫面要求你「驗證已有的指紋，用於支付」。

此時，微信後台會生成隨機串A，隨機串A從信客戶端傳輸至TEE，靜靜地等待你的指紋。

指紋由指紋感測器傳輸進入TEE。在TEE中，指紋對比無誤，主管簽字的AuthKey_pri就會簽下名字，將隨機串A連同簽名一起發送給APP應用伺服器。

APP伺服器中的AuthKey_pub看到AuthKey_pri的簽名，大手一揮說「合格」，只需要留下籤名憑據，就可以通知銀行扣款了。

至此，你的女朋友就收到了你滿滿的春日問候啦。

你的身體就是一串萬能鑰匙

可能你要問了，經過了幾次簽名流程的SOTER是如何保障安全快速的呢？答案是——

1.所有的關鍵步驟都在安全屋TEE中進行。而且，AuthKey_pri的簽名憑證輸出后，如果被篡改，AuthKey_pub是無論如何都不會通過驗證的。

2.由於TEE是獨立於手機操作系統的存在，因此即使手機被Root，SOTER方案依然有效。

3.指紋只需從感測器「行走」至TEE進行授權，無需經過微信客戶端或伺服器，確保了指紋支付的光速進行，不會受到網路等外力的影響。

1.安全：無法複製，不會丟失或被竊取。

2.迅速：解「鎖」速度＜1秒。

3.方便：無需記憶，隨「身」攜帶。

未來，不僅僅是指紋，那些人體獨一無二的生物特徵——指紋、虹膜、聲紋、耳廓、臉型、手型、脈搏、步態等，都會加入到「萬能鑰匙」的隊伍中來。

到那時，恭喜你成為了行走的「鑰匙串」啦。