Descripción general
La autenticación facial permite a los usuarios desbloquear su dispositivo simplemente mirando la parte frontal de su dispositivo. Android 10 agrega soporte para una nueva pila de autenticación facial que puede procesar de forma segura los fotogramas de la cámara, preservando la seguridad y la privacidad durante la autenticación facial en hardware compatible. Android 10 también proporciona una manera fácil para que las implementaciones compatibles con la seguridad permitan la integración de aplicaciones para transacciones, como la banca en línea u otros servicios.
La pila de autenticación facial de Android es una nueva implementación en Android 10. La nueva implementación presenta las interfaces IBiometricsFace.hal , IBiometricsFaceClientCallback.hal y types.hal .
Arquitectura
La API BiometricPrompt incluye toda la autenticación biométrica, incluida la cara, los dedos y el iris. El Face HAL interactúa con los siguientes componentes.
Administrador de caras
FaceManager es una interfaz privada que mantiene una conexión con FaceService . Keyguard lo utiliza para acceder a la autenticación facial con una interfaz de usuario personalizada. Las aplicaciones no tienen acceso a FaceManager y deben usar BiometricPrompt en su lugar.
Servicio facial
Esta es la implementación del marco que gestiona el acceso al hardware de autenticación facial. Contiene máquinas de estado básicas de inscripción y autenticación, así como varios otros ayudantes (por ejemplo, enumeración). Debido a cuestiones de estabilidad y seguridad, no se permite ejecutar ningún código de proveedor en este proceso. Se accede a todo el código de proveedor a través de la interfaz HIDL Face 1.0 .
enfrentado
Este es un ejecutable de Linux que implementa la interfaz HIDL Face 1.0 utilizada por FaceService . Se registra como IBiometricsFace@1.0 para que FaceService pueda encontrarlo.
Implementación
Cara HIDL
Para implementar Face HIDL, debe implementar todos los métodos de IBiometricsFace.hal en una biblioteca específica del proveedor.
Error de mensajes
Los mensajes de error se envían mediante una devolución de llamada y devuelven la máquina de estado al estado inactivo después de su envío. La mayoría de los mensajes tienen una cadena de acceso al usuario correspondiente para informarle del error, pero no todos los errores tienen esta cadena de acceso al usuario. Para obtener más información sobre los mensajes de error, consulte types.hal . Todos los mensajes de error representan un estado terminal, lo que significa que el marco supone que HAL vuelve a un estado inactivo después de enviar un mensaje de error.
Mensajes de adquisición
Los mensajes de adquisición se entregan durante la inscripción o autenticación y están destinados a guiar al usuario hacia una inscripción o autenticación exitosa. Cada ordinal tiene un mensaje asociado del archivo FaceAuthenticationManager.java . Se pueden agregar mensajes específicos del proveedor siempre que se proporcionen las cadenas de ayuda correspondientes. Los mensajes de adquisición no son estados terminales en sí mismos; Se espera que HAL envíe tantos de estos como sea necesario para completar la inscripción o autenticación actual. Si un mensaje de adquisición da como resultado un estado terminal en el que no se puede realizar ningún progreso, entonces el HAL debe seguir los mensajes de adquisición con un mensaje de error, por ejemplo, donde la imagen es demasiado oscura y permanece demasiado oscura para poder realizar progresos. En este caso, es razonable enviar UNABLE_TO_PROCESS después de haber realizado varios intentos pero no se puede avanzar más.
Hardware
Para que los dispositivos cumplan con los estrictos requisitos biométricos de Android 10, deben tener hardware seguro para garantizar la integridad de los datos faciales y la comparación de autenticación definitiva. El Documento de definición de compatibilidad (CDD) de Android describe el nivel de seguridad requerido y la tasa de aceptación de suplantación de identidad (SAR) aceptable requerida. Se requiere un entorno de ejecución confiable (TEE) para un procesamiento y reconocimiento seguros. Además, se requiere hardware de cámara seguro para evitar ataques de inyección en la autenticación facial. Por ejemplo, las páginas de memoria asociadas para datos de imágenes podrían tener privilegios y marcarse como de solo lectura para que solo el hardware de la cámara pueda actualizarlas. Idealmente, ningún proceso debería tener acceso excepto TEE y el hardware.
Debido a que el hardware de autenticación facial varía considerablemente, es necesario desarrollar controladores específicos de hardware para habilitar la autenticación facial, según la arquitectura específica del dispositivo. Como tal, no existe una implementación de referencia para faced .
Métodos
Los siguientes métodos son todos asincrónicos y deben regresar inmediatamente al marco. De lo contrario, se producirá un sistema lento y posibles reinicios de Watchdog. Se recomienda tener una cola de mensajes con múltiples hilos para evitar bloquear a la persona que llama. Todas las solicitudes GET deben almacenar información en caché siempre que sea posible para que la persona que llama quede bloqueada durante un período de tiempo mínimo.
| Método | Descripción |
|---|---|
setCallback() | Llamado por FaceService para enviar todos los mensajes a sí mismo. |
setActiveUser() | Establece el usuario activo al que se aplican todas las operaciones HAL posteriores. La autenticación es siempre para este usuario hasta que se vuelva a llamar a este método. |
revokeChallenge() | Finaliza la transacción segura invalidando el desafío generado por generateChallenge() . |
enroll() | Inscribe la cara de un usuario. |
cancel() | Cancela la operación actual (por ejemplo, inscribir, autenticar, eliminar o enumerar) y regresa al estado faced . |
enumerate() | Enumera todas las plantillas de rostros asociadas con el usuario activo. |
remove() | Elimina una plantilla de rostro o todas las plantillas de rostro asociadas con el usuario activo. |
authenticate() | Autentica al usuario activo. |
userActivity() | Este método solo debe usarse cuando HAL está en estado de autenticación o de espera. El uso de este método cuando HAL no está en uno de estos estados devuelve OPERATION_NOT_SUPPORTED . Llamar a este método mientras HAL ya se está autenticando puede extender la cantidad de tiempo que el sistema busca una cara. |
resetLockout() | Cuando se rechazan demasiadas caras, se requiere que faced entren en un estado de bloqueo ( LOCKOUT o LOCKOUT_PERMANENT ). Cuando lo hace, es necesario enviar el tiempo restante al marco para que pueda mostrárselo al usuario. Al igual que con setFeature() , este método requiere un token de autenticación de hardware (HAT) activo para restablecer de forma segura el estado interno. Restablece el bloqueo solo para el usuario actual. |
Los tres métodos restantes son todos sincrónicos y deben bloquearse durante el mínimo de tiempo para evitar detener el marco.
| Método | Descripción |
|---|---|
generateChallenge() | Genera un token aleatorio único y criptográficamente seguro que se utiliza para indicar el inicio de una transacción segura. |
setFeature() | Activa o desactiva una función para el usuario actual. Por razones de seguridad, esto requiere que un HAT verifique el pin/patrón/contraseña del usuario con el desafío anterior. |
getFeature() | Recupera el estado de habilitación actual de la función, según lo dictado por el valor predeterminado o una llamada a setFeature() anterior. Si el ID de la cara no es válido, la implementación debe devolver ILLEGAL_ARGUMENT |
getAuthenticatorId() | Devuelve un identificador asociado con el conjunto de caras actual. Este identificador debe cambiar cada vez que se agrega una cara. |
Diagrama de estado
Se faced el marco siga el diagrama de estado a continuación.
