451被浏览289,827分享邀请回答22695 条评论分享收藏感谢收起github.com/Tencent/soter/ 查看所有接口代码（顺便给个star是最好的哈哈哈，当然非常欢迎使用它，并提issue和PR）。所有谣言不攻自破，可以自己看看微信到底传了指纹图案没！另外，本人主用机已经换成小米六，真的很好用！开头利益相关：微信指纹支付方案(SOTER)技术负责人。更新：1. 对方已经明确承认是传谣，因此去掉挂人内容。希望大家还是不要轻易被谣言蒙蔽。强调一遍：微信不会以任何形式拿到用户的指纹图案。
2. 将之前的回答删掉，全文引用SOTER官方公众号的内容（其实就是将我之前的回答整理了一遍，同事帅哥帮忙整理真的比我之前写的结构棒多了）
3. 依然欢迎大家在评论区讨论，以及提出有建设性的疑问。官方方案说明链接地址：下面是全文引用：指纹识别已经潜移默化地走入我们的生活。微信用户每天都会使用指纹认证进行微信支付，而Android手机微信支付底层的指纹能力，采用的是SOTER指纹认证方案。SOTER指纹认证方案，无需读取用户的指纹信息，而且在Android 6.0的基础上进行了安全加固，每一个终端都有一个独一无二的密钥，保障了指纹认证的安全性，即使手机被root破解，获得了最高管理权限，指纹也无法被劫持，保障了方案的高安全性。▌SOTER方案的原理？SOTER使用的是RSA-2048非对称算法的密钥链进行签名和验签，不要求设备厂商上传用户指纹。对于业内人士来说，可以直接看这篇文章，里面详细介绍了SOTER的原理与实现。对于普通用户，下面我们讲一个生活场景的类比故事，来帮助大家理解SOTER的安全特性。故事开始前，先给大家科普一下故事中涉及到的名词概念和人物关系： 名词概念
签名：在什么场景下你会签名？大到国家文件，小到吃饭刷信用卡——总结一下，签名就是需要你来授权的过程，签名有一个很重要的特点，就是不可伪造，同样的一段字符串ABC，每个人写出来的形状都是不一样的。 ○
私钥：其中，签名者就对应非对称密钥中的『私钥』。○
公钥： 那谁来认证这个签名是不是你签的？——『警察』。只有刑警队里边的专业人员才能看出来这个是不是你本人的签名。这里的『警察』，就对应非对称密钥里边的『公钥』。 ○
验签： 同时，密码世界里边的『警察』和现实中的警察稍有不同，现实中的警察谁的签名都能认证，但是密码世界的『警察』是专人专配的，『警察』只能认证『一个人』的签名。也就是说，一个公钥只能针对特定的那个私钥签出来的字进行认证。这个过程密码学中叫做『验签』。 ○ TEE： 同时还有一个概念叫『TEE』（Trusted Execution Environment），这个你可以类比为现实世界中的『监狱』。不同的是，这个『监狱』里边的人都是无期徒刑，而且没有探亲机制。这个监狱目前没有有效的『劫狱』手段，也就是说TEE中的数据除非主动给出，否则无论如何外部都是拿不到、甚至见不到的。（TEE目前没有有破解手段，即使手机被root，TEE依然安全）。 人物关系
TEE：是『监狱』，『监狱』里边还有一个『妇幼保健院』，可以随时『生』出一对密钥。ATTK家族是大哥，ASK家族是『妇幼保健院』生出的二哥，AuthKey家族是保健院生出的小弟。（ATTK→ASK→AuthKey） ○
pri后缀：『监狱』内的『犯人』。 ○
pub后缀：『公安局』内的『警察』。 故事内容 / 壹 /目前，所有支持SOTER的设备都有这样一个『监狱』，『监狱』里边的人外面谁都看不见 。SOTER设备在出厂之前就有一对ATTK孪生兄弟：ATTK_pri、ATTK_pub。ATTK_pri 要继续在『监狱』里呆着。ATTK_pub 则去了『公安局』当了『警察』。在『监狱』里呆着的那位ATTK_pri就负责给别人签名，他签了名，然后送给ATTK_pub『警察』 验证签名。ATTK_pub一看这个签名来自ATTK_pri，必须信赖，于是就会办他要求的事情。 技术描述：所有支持SOTER的设备都有TEE，设备出厂之前即通过产线工具下给TEE下达命令生成非对称密钥私 ATTK_pri 并保存在RMPB中，保证无人可以读取。同时导出公钥 ATTK_pub ，并通过微信公众平台接口传输到微信TAM服务器/ 贰 /但是每天求 ATTK_pri 签名的人太多了，怎么办？于是他想到一个好办法，他让『监狱』里的『妇幼保健院』再造一对ASK兄弟，ASK_pri 留在『监狱』，ASK_pub 送到『警察局』。『警察』得确认ASK_pub 是从安全的『监狱』过来的，于是ATTK_pri就把它的全名给写在了一张纸条上，给 ASK_pub 说："到了『警察局』，你就把这张纸条交给 ATTK_pub，他看到我的字，就知道你来自这个『监狱』，你就能进『警察局』，后面，你就认证你大哥 ASK_pri 的签名就好了"。于是 ASK_pub 就这么进了『警察局』，同时 ATTK_pri 不负责别的事情，只负责签名送人去『警察局』。技术描述：SOTER方案会针对每一个应用（如微信）生成一对应用密钥（ASK），私钥保存在安全区域，公钥ASK_pub由ATTK_pri进行签名，并将签名串和公钥本身传输到应用服务器。应用服务器通过后台接口请求ATTK_pub认证签名串，认证成功之后应用存储ASK_pub在后台/ 叁 /『监狱』里的ASK_pri也觉得累，虽然只负责微信家的业务，但场景太多，支付、公众号授权等等。于是，他模仿ATTK_pri的做法，让『妇幼保健院』生出一对密钥兄弟AuthKey_pri和AuthKey_pub，并使用相同的办法将AuthKey_pub送到了『警察局』，AuthKey_pri留在『监狱』。所不同的是，这一次验证ASK_pri签名的人变成了自家兄弟ASK_pub。
技术描述：对应用中的每一个业务，SOTER均建议应用生成专门的AuthKey进行业务签名、验签隔离。AuthKey生成之后，私钥AuthKey_pri存储在设备安全区域，AuthKey_pub由ASK_pri签名发送到应用服务器，使用ASK_pub验签通过之后由应用自行存储。
/ 肆 /ATTK兄弟作为大哥，只负责认证ASK，ASK兄弟又负责认证AuthKey兄弟。只要小弟签名了，就代表大哥签名了，也就是这个数据确实是从合法的『监狱』里发出。
以上故事与指纹认证有什么关系呢？原来，AuthKey_pri从出现开始，就有一个特性，除非用户按了指纹，并且这个指纹经过『相关部门』（这个『相关部门』也在『监狱』中，监狱内部不同部门之间的信息也是绝对安全的）认证确实是主人的，否则他绝不签任何名字。而且这个特性是自有的、谁也无法改变。现在这个机制非常清晰了，比如用户想要支付一笔钱，那么银行就发送一个凭据给到『监狱』，用户指纹授权之后，AuthKey_pri才会签这个凭据，并且付上用户授权结果，代表用户确实使用指纹授权了，『警察局』里边的AuthKey_pub验证这个签名是正确的之后，存下这个签名凭据，通过『政府专线』告知『银行』进行扣款。但是这里需要注意的是，『相关部门』不会把指纹图案传出来给到其他人。技术描述：支付流程开始时，应用后台会先下发一个随机串，并由客户端给到TEE等待用户指纹授权签名。用户使用指纹授权并成功之后，将签名串导出，发送到应用后台进行验签，验签通过之后即支付成功。全过程应用方（微信）完全接触不到指纹图案
方案优势 以上为SOTER流程介绍，这个方案的优势在哪呢？
『监狱』的安全性保障了整个流程的安全性（TEE的安全性保证了整个流程的安全性）。所有的关键流程都在『监狱』内部进行。
整个流程安全可信。举个例子，纸条如果出门就被人抢了，改了里边的签名（将指纹认证结果从no改为yes），或者改了需要签名的原串，这样一个纸条给到公安手上就无法验证通过。（关键流程、关键数据均在TEE中体现，且TEE中出来的数据全部都是加上对应密钥签名无法篡改的，即使客户端被root了依然可以保证流程安全）。
不用指纹图案。只需『监狱』里的合法签名就可以了，指纹认证结果是『监狱』内部的事情（指纹图案永远不会以任何形式被外部得知）。
唯一暴露在外的其实是『警察』，但是『警察』在公安局里很安全，另外『警察』逃走了也没有影响，『银行』只认签名，『警察』虽然能认证签名，但是他自己无法签名，这比直接存指纹安全多了（只有公钥会暴露出TEE，且公钥本身存储安全风险不大，即使泄漏，也不会影响到支付流程中任何一步的安全）。 QA 1. SOTER方案是否会存储或传输用户指纹？答：不会，并且指纹图案不会以任何形式出手机设备，甚至设备中的tee。2. 为何还有一些品牌机型未支持SOTER？答：现主流的Android手机都支持SOTER指纹认证方案，其它品牌机型也在陆续接入合作当中。3.如果手机被root了，SOTER指纹认证会不会被破解？答：不会。4.为什么不直接使用Android 6.0提供的指纹接口？答：在Android 6.0的原生指纹方案下，手机被root之后，指纹会被劫持。752315 条评论分享收藏感谢收起[02-03]讨论☆小米哪一款手机支持微信指纹支付？_手机吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：3,485,149贴子：
[02-03]讨论☆小米哪一款手机支持微信指纹支付？收藏
整天说有多少黑科技，但连个微信指纹支付都不支持，买东西在人家面前输密码好尴尬
魅族的全家桶联发科，三星猎狐座处理器信号差，没手机选了吗？ 1千块左右的
登录百度帐号推荐应用小米手机终于要支持微信指纹支付：他们谁妥协了？
2月8日小米科技MIUI系统官方微博爆料：小米和微信正在指纹支付上开展合作，敬请期待！虽然只是短短的20字，但是作为知名科技公司，相信小米官方同腾讯公司已经做了非常多的合作准备，这件事应该说基本上已成定局，就等着近期的正式发布了。网友纷纷预测，小米首款支持微信指纹支付的手机将会是传说中的小米6！
说到指纹支付，其实现在非常多的手机都支持支付宝以及微信的指纹支付，但是为什么作为最棒的国产手机操作系统之一的MIUI，为什么在这一块进展如此缓慢呢？
其实早在去年的7月分，MIUI官方微博就已经爆料要展开支付宝和微信指纹支付的合作活动，后来先开通了支付宝指纹支付；然而到了微信指纹支付这里，就突然打住了，这不免引来众多米粉的吐槽。
其实不然，为什么这么说呢？因为小米的MIUI手机操作系统，非常坚持小米手机指纹应用方面的安全保护，特别是在支付方面，更加慎重：而微信指纹支付，有自己的解决方案，大家都知道，支付的本质就是签名，需要手机内置私钥，支付服务器放置与之对应的公钥。小米同微信最大的分歧就在这里：小米不愿意自己的手机里内置其他公司的密钥，希望用自己的密钥，然后微信只需要来调用获得结果就可以了，而微信则希望完全用自己的密钥和逻辑。所以在这里，双方一直没有谈妥。
春节前，小米跟支付宝的支付合作进一步加强，已经将最新的MIX和Note2开通了支付宝指纹支付，此时估计微信那边也是有点着急了，这也促成了小米跟微信之间关于指纹支付合作的进一步加速。然而这个合作，必定会是有一方让步，我觉得小米应该没有妥协，大家说呢？
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
红米Note4X初音未来版，于2月14日发布，采用骁龙625处理器，5.5寸屏，售价999
骁龙821，1200MP相机IMX378,F2.0光圈，夜间拍照一样清晰
今日搜狐热点27被浏览21,769分享邀请回答54 条评论分享收藏感谢收起当前位置 & &
& MIUI终于支持微信指纹支付！小米6首发独享
MIUI终于支持微信指纹支付！小米6首发独享
15:10:45&&作者：
编辑：上方文Q &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
文章价值打分
当前文章打分0 分，共有0人打分
[05-12][05-12][05-12][05-12][05-12][05-12][05-12][05-11][05-11][05-11]
登录驱动之家
没有帐号？
用合作网站帐户直接登录