Autenticación facial HIDL

Visión general

La autenticación facial permite a los usuarios desbloquear su dispositivo simplemente mirando el frente de su dispositivo. Android 10 agrega soporte para una nueva pila de autenticación facial que puede procesar marcos de cámara de forma segura, preservando la seguridad y la privacidad durante la autenticación facial en hardware compatible. Android 10 también proporciona una forma fácil de implementar implementaciones compatibles con la seguridad para permitir la integración de aplicaciones para transacciones, como la banca en línea u otros servicios.

La pila de autenticación facial de Android es una nueva implementación en Android 10. La nueva implementación presenta las IBiometricsFace.hal , IBiometricsFaceClientCallback.hal y types.hal .

Arquitectura

La API BiometricPrompt incluye toda la autenticación biométrica, incluida la cara, el dedo y el iris. El Face HAL interactúa con los siguientes componentes.

Pila biométrica
Figura 1. Pila biométrica

FaceManager

FaceManager es una interfaz privada que mantiene una conexión con FaceService . Keyguard lo utiliza para acceder a la autenticación facial con una interfaz de usuario personalizada. Las aplicaciones no tienen acceso a FaceManager y deben usar BiometricPrompt en su lugar.

FaceService

Esta es la implementación del marco que administra el acceso al hardware de autenticación facial. Contiene máquinas de estado de inscripción y autenticación básicas, así como varios otros ayudantes (por ejemplo, enumeración). Debido a problemas de estabilidad y seguridad, no se permite la ejecución de ningún código de proveedor en este proceso. Se accede a todo el código del proveedor a través de la interfaz Face 1.0 HIDL .

enfrentado

Este es un ejecutable de Linux que implementa la interfaz Face 1.0 HIDL utilizada por FaceService . Se registra como IBiometricsFace@1.0 para que FaceService pueda encontrarlo.

Implementación

Cara HIDL

Para implementar Face HIDL, debe implementar todos los métodos de IBiometricsFace.hal en una biblioteca específica del proveedor.

Error de mensajes

Los mensajes de error se envían mediante una devolución de llamada y devuelven la máquina de estado al estado inactivo después de enviarlos. La mayoría de los mensajes tienen una cadena orientada al usuario correspondiente para informar al usuario del error, pero no todos los errores tienen esta cadena orientada al usuario. Para obtener más información sobre los mensajes de error, consulte types.hal . Todos los mensajes de error representan un estado terminal, lo que significa que el marco asume que HAL vuelve a un estado inactivo después de enviar un mensaje de error.

Mensajes de adquisición

Los mensajes de adquisición se entregan durante la inscripción o la autenticación y están destinados a guiar al usuario hacia una inscripción o autenticación exitosa. Cada ordinal tiene un mensaje asociado del archivo FaceAuthenticationManager.java . Se pueden agregar mensajes específicos del proveedor siempre que se proporcionen las cadenas de ayuda correspondientes. Los mensajes de adquisición no son estados terminales en sí mismos; se espera que HAL envíe tantos como sea necesario para completar la inscripción o autenticación actual. Si un mensaje de adquisición da como resultado un estado terminal en el que no se puede realizar ningún progreso, entonces el HAL debe seguir los mensajes de adquisición con un mensaje de error, por ejemplo, donde la imagen es demasiado oscura y permanece demasiado oscura para realizar progresos. En este caso, es razonable enviar UNABLE_TO_PROCESS después de varios intentos, pero no se puede avanzar más.

Hardware

Para que los dispositivos cumplan con los estrictos requisitos biométricos de Android 10, deben tener un hardware seguro para garantizar la integridad de los datos faciales y la comparación de autenticación definitiva. El Documento de definición de compatibilidad de Android (CDD) describe el nivel de seguridad requerido y la tasa de aceptación de suplantación de identidad (SAR) aceptable requerida. Se requiere un entorno de ejecución confiable (TEE) para un procesamiento y reconocimiento seguros. Además, se requiere hardware de cámara seguro para evitar ataques de inyección en la autenticación facial. Por ejemplo, las páginas de memoria asociadas para datos de imagen podrían tener privilegios y marcarse como de solo lectura para que solo el hardware de la cámara pueda actualizarlas. Idealmente, ningún proceso debería tener acceso excepto TEE y el hardware.

Debido a que el hardware de autenticación facial varía considerablemente, es necesario desarrollar controladores específicos de hardware para habilitar la autenticación facial, según la arquitectura específica del dispositivo. Como tal, no hay una implementación de referencia para faced .

Métodos

Los siguientes métodos son todos asincrónicos y deben volver inmediatamente al marco. Si no lo hace, se producirá un sistema lento y posibles reinicios de Watchdog. Se recomienda tener una cola de mensajes con varios subprocesos para evitar bloquear a la persona que llama. Todas las solicitudes GET deben almacenar información en caché siempre que sea posible para que la persona que llama se bloquee durante un período de tiempo mínimo.

Método Descripción
setCallback() Llamado por FaceService para conectar todos los mensajes a sí mismo.
setActiveUser() Establece el usuario activo, al que se aplican todas las operaciones HAL posteriores. La autenticación siempre es para este usuario hasta que se vuelva a llamar a este método.
revokeChallenge() Finaliza la transacción segura al invalidar el desafío generado por generateChallenge() .
enroll() Registra la cara de un usuario.
cancel() Cancela la operación actual (por ejemplo, inscribir, autenticar, eliminar o enumerar) y faced al estado inactivo.
enumerate() Enumera todas las plantillas de cara asociadas con el usuario activo.
remove() Elimina una plantilla de cara o todas las plantillas de cara asociadas con el usuario activo.
authenticate() Autentica al usuario activo.
userActivity() Este método solo debe usarse cuando la HAL está en estado de autenticación o de espera. El uso de este método cuando HAL no está en uno de estos estados devuelve OPERATION_NOT_SUPPORTED . Llamar a este método mientras HAL ya se está autenticando puede extender la cantidad de tiempo que el sistema busca una cara.
resetLockout() Cuando se rechazan demasiadas faced , se requiere que la cara entre en un estado de bloqueo ( LOCKOUT o LOCKOUT_PERMANENT ). Cuando lo hace, es necesario enviar el tiempo restante al marco para que pueda mostrarlo al usuario. Al igual que con setFeature() , este método requiere un token de autenticación de hardware (HAT) activo para restablecer de forma segura el estado interno. Restablece el bloqueo solo para el usuario actual.

Los tres métodos restantes son todos sincrónicos y deben bloquearse durante el tiempo mínimo para evitar que el marco se detenga.

Método Descripción
generateChallenge() Genera un token aleatorio único y criptográficamente seguro que se utiliza para indicar el inicio de una transacción segura.
setFeature() Habilita o deshabilita una función para el usuario actual. Por razones de seguridad, esto requiere que un HAT verifique el pin/patrón/contraseña del usuario contra el desafío anterior
getFeature() Recupera el estado de habilitación actual de la función, según lo dictado por defecto o una llamada a setFeature() arriba. Si el ID de la cara no es válido, la implementación debe devolver ILLEGAL_ARGUMENT
getAuthenticatorId() Devuelve un identificador asociado con el conjunto de caras actual. Este identificador debe cambiar cada vez que se agrega una cara

Diagrama de estado

El marco espera que la faced siga el diagrama de estado a continuación.

Diagrama de estado
Figura 2. Flujo de estado de autenticación facial