鴻蒙OS 生物特征識別概述

提供生物特征識別認證能力，即基于人體固有的生理特征和行為特征來識別用戶身份，供第三方應用調(diào)用，可應用于設備解鎖、支付、應用登錄等身份認證場景。

當前生物特征識別能力提供 2D 人臉識別、3D 人臉識別兩種人臉識別能力，設備具備哪種識別能力，取決于設備的硬件能力和技術實現(xiàn)。3D 人臉識別技術識別率、防偽能力都優(yōu)于 2D 人臉識別技術，但具有 3D 人臉能力（比如 3D 結(jié)構光、3D TOF 等）的設備才可以使用 3D 人臉識別技術。

基本概念

生物特征識別（又叫生物認證）：通過計算機與光學、聲學、生物傳感器和生物統(tǒng)計學原理等高科技手段密切結(jié)合，利用人體固有的生理特性（如指紋、面容、虹膜等）和行為特征（如筆跡、聲音、步態(tài)等）來進行個人身份的鑒定。

人臉識別：基于人的臉部特征信息進行身份識別的一種生物特征識別技術，用攝像機或攝像頭采集含有人臉的圖像或視頻流，并自動在圖像中檢測和跟蹤人臉，進而對檢測到的人臉進行臉部識別，通常也叫做人像識別、面部識別、人臉認證。

運作機制

人臉識別會在攝像頭和 TEE（Trusted Execution Environment）之間建立安全通道，人臉圖像信息通過安全通道傳遞到 TEE 中，由于人臉圖像信息從 REE（Rich Execution Environment）側(cè)無法獲取，從而避免了惡意軟件從 REE 側(cè)進行攻擊。對人臉圖像采集、特征提取、活體檢測、特征比對等處理完全在 TEE 中，基于 TrustZone 進行安全隔離，外部的人臉框架只負責人臉的認證發(fā)起和處理認證結(jié)果等數(shù)據(jù)，不涉及人臉數(shù)據(jù)本身。

人臉特征數(shù)據(jù)通過 TEE 的安全存儲區(qū)進行存儲，采用高強度的密碼算法對人臉特征數(shù)據(jù)進行加密和完整性保護，外部無法獲取到加密人臉特征數(shù)據(jù)的密鑰，保證用戶的人臉特征數(shù)據(jù)不會泄露。本能力采集和存儲的人臉特征數(shù)據(jù)不會在用戶未授權的情況下被傳出TEE，這意味著，用戶未授權時，無論是系統(tǒng)應用還是三方應用都無法獲得人臉特征數(shù)據(jù)，也無法將人臉特征數(shù)據(jù)傳送或備份到任何外部存儲介質(zhì)。

約束與限制

• 當前版本提供的生物特征識別能力只包含人臉識別，且只支持本地認證，不提供認證界面。
• 要求設備上具備攝像器件，且人臉圖像像素大于100*100。
• 要求設備上具有 TEE 安全環(huán)境，人臉特征信息高強度加密保存在 TEE 中。
• 對于面部特征相似的人（比如雙胞胎、兄弟姐妹等）、面部特征不斷發(fā)育的兒童，人臉特征匹配率有所不同。如果對此擔憂，可考慮其他認證方式。