如何解决AuthToken如何在android生物指纹认证流程中验证?
我正在寻找信息,如果 android 身份验证结果(指纹匹配成功或失败)被验证为真正来自安全区域和指纹守护程序,当它被回调到用户域时。 (安卓)
这里的文档:https://source.android.com/security/authentication,它描述了身份验证流程并分为 4 个步骤。 AuthToken 在流程中被提及:
“密钥库服务将 AuthTokens 传递给 Keymaster,并使用与 Gatekeeper 共享的密钥和支持的生物识别 TEE 组件来验证它们。Keymaster 信任令牌中的时间戳作为最后一次身份验证时间,并根据密钥发布决定(允许应用在时间戳上使用密钥)(身份验证流程的第 4 步)"
正如它所提到的,AuthToken 应该在密钥库中进行验证。
但是当我查看 android 源代码时,确实将 AuthToken 添加到 AuthenticationClient.onAuthenticated 中的密钥库中,但没有明确执行进一步的验证。
那么AuthToken究竟是如何被验证或用来证明匹配结果的真实性的呢?
总而言之,我的问题如下:
- 我假设身份验证令牌可用于验证身份验证结果是否真实(不是来自重放攻击或中间人)。正确吗?
- 如果 1 是正确的,它实际上在身份验证流程中执行验证的位置?
- 或者如果1不正确,它如何验证结果是真实的?更一般地说,手机上的指纹绑定支付应用程序如何保证指纹结果的真实性?
有人可以分享有关它的任何见解吗?
谢谢
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
