2015年3月6日 星期五

生物特徵辨識裝置是電子支付系統的核心

今天看到新聞報導,HTC的王雪紅在MWC 2015接受專訪,談到其旗艦機種M8/M9都沒有搭載其他手機廠商必備的指紋辨識裝置時,她說現在的指紋辨識裝置只是被用來讓解鎖變得方便而已,沒有那麼必要,所以HTC並未考慮在其最新發表的M9旗艦機,加上此指紋辨識裝置云云,...(請參此報導:十問 HTC,王雪紅告訴你什麼叫經典設計http://buzzorange.com/techorange/2015/03/04/htc-2015-mwc/)。另外,我個人是覺得HTC與王雪紅可能對於什麼叫「經典設計」有所誤解。外媒已經稱呼外型看不出來差別的M7/M8/M9為地表美得最令人失望的手機!讓其舊用戶找不到必須升級M9的理由。)

沒錯,現在的使用者,大部分的人只使用它在讓解鎖手機變得「既安全又方便」上,但我覺得王雪紅與HTC其他高管,都可能低估也看低了指紋辨識這種生物辨識裝置,若被裝置在手機這種現代人必備的電子產品時,所產生的其他巨大應用可能性,也就是行動商務(Mobile Commerce),當然包括電子支付(e-Payment),那實在太可惜了。(有興趣的朋友,可以參看這篇報導,中國頂級風險投資公司在投資什麼?http://technews.tw/2015/03/04/china-venture-capital-for-what/,就可以知道行動商務與電子支付有多火紅了

比起HTC來,不論Apple,Googe,Microsoft,Samsung,華為,小米,Line,...等行動運算相關廠商,大家統統看到了一個電子商務普及的大趨勢,就是如果手機(例如Apple iPhone 5/6或Samsung S5/S6)或穿戴式裝置(例如Apple Watch)上,有裝上這種生物辨識裝置,可以用來認證(Authenticate)用戶的身分時,就能讓電子支付(E-Payment)這個電子商務的最核心功能,同樣變得「既安全又方便」。例如,Apple的iPhone 6與Samsung的 Galaxy S6,都有裝上指紋辨識裝置,也可以用來付費,如底下的幾篇文章與報導所示:
  1. 從專利看Apple在行動商務的佈局(上)http://www.naipo.com/Portals/1/web_tw/Knowledge_Center/Research_Development/publish-25.htm
  2. 從專利看Apple在行動商務上的佈局(下) iPhone5s 導入指紋辨識機制 強攻行動商務應用http://www.naipo.com/Portals/1/web_tw/Knowledge_Center/Research_Development/publish-27.htm),
 
圖一、美國專利公開號US20130181949之圖式     資料來源:USPTO

  
圖二、美國專利公開號US20130231046之圖式     資料來源:USPTO


其實把信用卡與手機結合起來的電子支付工具,Square才是先鋒,如底下文章所述:
  1. 電子商務行動支付之攻防 - Square的故事http://www.naipo.com/Portals/1/web_tw/Knowledge_Center/Research_Development/publish-17.htm

圖三 Square,Inc.Square(https://squareup.com/news

只是Apple Pay把它弄得比Square更炫,更方便,才會造成只推出一個月後,就有高達1%的美國電子支付是用它來進行的。至於為什麼我會認為Apple Pay安全又方便,例如,在這次iPhone 5S的推出,Apple就為其配置了64bit的A7中央處理器(Central Processing Unit,簡稱CPU)與iOS7,不僅讓指紋認證處理速度夠快,而且在iOS7的「Find My iPhone」中增加了新功能 - 「Activation Lock」,這個新功能會將你的Touch ID和你的iPhone永遠捆綁在一起,即使重新刷機,還是無法將已設定的Touch ID抹除。因此,即使通過指紋認證,若無法提供正確的Touch ID,還是無法在iTune等購物消費的。這些功能,當然在iPhone 6的A8與iPad Air 3的A8X,Touch ID,與iOS8都繼續沿用。

這樣一層層的疊加安全機制,卻不增加操作的複雜度;一步步的拓展使用體驗,卻不犧牲安全防護等級,這是Apple一貫的系統性思考,是KISS(Keep It Simple, Stupid!)策略的落實,也是其獨具的競爭優勢,關於Apple的設計兼顧安全性與便利性之詳細評論內容,請繼續閱讀引用文章:
  1. 繼Line Pay與Samsung Pay之後,Google也要推出Google Pay了 (http://vincentchen123.blogspot.tw/2015/03/line-paysamsung-paygooglegoogle-pay.html),
  2.  Apply Pay一定會大紅 (http://vincentchen123.blogspot.tw/2014/10/apple-pay.html),以及
  3. Apple:New is easy. Right is hard. - 從iPhone 5S指紋認證的得與失說起http://www.naipo.com/Portals/1/web_tw/Knowledge_Center/Research_Development/publish-31.htm

又例如,使用者的指紋資料並非儲存在iTune或Apple的伺服器(server)上,也不會傳給銷售方,而是加密後存放在一個新增的、指紋認證專用的「安全的獨立領地」(Secure Enclave))內(如圖四),同時這個專用的IC領地,已經被整合到你的iPhone 的A7/A8處理器內。因此,您無需擔心iTune server被駭客入侵盜取指紋資料,或銷售方有機會能取得你的指紋資料,來進行使用者不同意甚至是不知情的存取,因爲他們根本沒有機會這麽做。 


圖四、(資料來源:http://www.apple.com/iphone-5s/videos/#video-touch



Touch ID怎麼用起來那麼方便?

重點是Apple怎麼會想到,而且能做到在Home按鈕上整合指紋掃描器的。

我們是不知道它怎麼會想到這主意,但是Apple的專利說明書就會告訴你他是如何做到的。

而且,Apple真正厲害的地方,是把如何使用用戶的指紋開鎖/開機/認證這件事,用專利鎖死,不管你是碰觸位於螢幕下的指紋辨識器,還是把手指放在Home鍵上,Apple都申請了專利。

所以,其他廠牌手機的指紋辨識器,都只能放在手機的背面或側邊,那種使用起來十分不方便的地方。這樣,如此的專利佈局,就達到了Apple的目的,別的廠牌手機,使用起來就是沒有那麼直覺,那麼方便。



Apple Pay 安全嗎?

那麼像Apple Pay這樣的電子支付工具是很方便沒錯,但它真的安全嗎?關於這點,我建議那些關心線上交易是否安全,以及想知道資訊安全技術內涵的人,可以看我在二十年前寫的線上交易安全系列文章,我把它們重新放在這裡,我推薦有興趣的人花點時間看一下:
  1. 線上交易安全嗎?http://vincentchen123.blogspot.tw/2015/03/blog-post_4.html
  2. 資料保密的方法http://vincentchen123.blogspot.tw/2015/03/blog-post_17.html
  3. 線上交易的安全性http://vincentchen123.blogspot.tw/2015/03/blog-post_38.html
  4. 電腦網路的安全規劃管理http://vincentchen123.blogspot.tw/2015/03/blog-post_25.html

總之,照前述線上交易安全系列文章所述,我們認證個人身分的方式,若是在以下三種認證方式類別中採取兩種以上的組合,就會被認為是安全的(這結論並不是我說的,而是Visa國際信用卡組織的多年研究成果):
  1. 人類的記憶力(Memory):密碼,身分證字號,帳號,...
  2. 實質的物體憑證(Token):信用卡,身分證,識別證,...
  3. 與生俱來的生物特徵(Biometrics):外貌,指紋,聲紋,簽名,... 
舉例來說,我們現在到網路商場去瀏覽商品,然後填入信用卡卡號與姓名等,就可以使用信用卡經由網際網路來購買我們所要的商品,就是使用了其中的卡片上的資訊(記憶力)與卡片的憑證碼(物理憑證的一種轉換)/傳真的簽名(生物特徵),所以信用卡組織認可並實現此種線上交易方式,讓參與的消費者/商店/銀行可以藉此進行交易。

但上述這樣的電子商務交易的缺點是,(1)商家無法辨識消費者是否是卡片的真正持有人,也無法辨識其親筆簽名等,同時(2)商家本身的可靠性消費者也無法確認,交易金額易被竄改,而且這些個人信用資料,在整個交易過程中很容易被他人竊取、冒用與散佈,例如被販賣給偽卡集團用來製卡盜刷等等。

所以我們在電腦或手機上加入各種生物辨識裝置(Biometrics Recognition Device),例如掌形辨識機,頭形辨識機,面貌辨識機,指紋辨識機,虹膜辨識機,聲紋辨識機等,以一舉突破利用網際網路來購物的安全性,並加強其使用上的便利性。

如 Apply Pay一定會大紅 (http://vincentchen123.blogspot.tw/2014/10/apple-pay.html)所述,以Apple的Apple Pay與Touch ID為例,由於信用卡與指紋辨識的資訊都是以加密的方式,存在A7與A8CPU的特殊加密空間內,且用指紋為密碼來存取,每次與他方進行傳輸作業,都會先產生一組亂碼,當作Session Key,然後再以這個只用一次的密碼,透過Apple Pay的加密傳輸管道,送到收單銀行端,進行卡片與信用額度的驗證,所以商家無從取得消費者的信用卡資訊,而他人沒有通過個人的指紋辨識與手機解鎖密碼,也無從取用手機所存的虛擬信用卡資訊,因此Apply Pay遠比現用的簽名與實體卡片認證方式,更為安全。

下面我們用幾個常見的與手機結合的生物辨識技術,來為各位做一簡要介紹。因為生物辨識裝置是電子支付系統的核心要件,電子商務的方便性與安全性全靠它來達成,所以在這個技術領域上面的研發與專利申請,是各國創新技術團隊的必爭之地,不知有多少人為它廢寢忘食,也請台灣有志之士,千萬不要錯過。

---
電容式指紋辨識:

.主動式:

iPhone從5S開始配置的就是主動式的電容式指紋辨識裝置,從Apple與Authentec的相關專利(例如,其中的US20130181949、US20130231046)說明書中,我們可以看到,該指紋感測器會傳送微量電流到使用者的手指,讓指紋感測器能讀到回饋的指紋所引起的電容值變化訊息,這會利用到活體表皮下(sub-epidermal)組織的導電性。因此,非活體或不具導電性的物體或物質,將無法通過此裝置的認證,汗水也會影響其電容值,所以辨識時通常需要保持手指乾淨。

 
圖六、美國專利公開號 US20130231046 的請求項2(資料來源:USPTO)


圖七、Touch ID的爆炸圖(圖片來源:http://www.apple.com/iphone-5s/videos/#video-touch



.被動式:

因為Apple公司買下Authentec後,繼續把主動式的電容指紋辨識技術都申請專利了,非蘋部門若要裝指紋辨識裝置,只能找同屬主動式電容但不侵害蘋果專利的Validity(滑擦式,用於Galaxy S5與HTC One Max),或被動式的電容指紋辨識技術(例如Synaptics旗下的Fingerprint Card,神盾科技等),或者甚至找其他種類的指紋辨識技術,例如光學式(國內聯發科旗下的金佶與創智能都在做這個),或另找射頻式/壓力式的指紋辨識技術裝置來配置。

其中例如,Samsung這次推出的Galaxy S6上面所裝的,據說就是改採用被動式的電容式指紋辨識裝置,是採取跟iPhone 5S/6一樣的按壓式使用方式,而不是繼續沿用S5的滑擦式使用方式。

[比較]iPhone 6 Plus與三星S6旗艦實拍對決

[比較]iPhone 6 Plus與三星S6旗艦實拍對決

SAMSUNG GALAXY S6(上)、Apple iPhone 6 Plus(下)的實體 HOME 鍵都支援指紋辨識功能。 
圖八、iPhone 6 與 Galaxy S6的比較圖

---
光學指紋辨識:

其他非蘋手機,當然也可能採取比較傳統的,光學的紅外線指紋辨識裝置,這個發展很久了,手機廠可以找到許多廠商來配合,例如聯發科旗下的金佶、創智能、匯頂、星友等,當然也有許多大陸廠商在做這個,但是其錯誤接受率(FAR, False Acceptance Rate)與錯誤拒絕率(FRR, False Rejection Rate),一般來說就沒有電容式的好,所以需要相關廠商在軟體研發與調校上多努力。另外,防止油汙影響辨識率,以及如何分辨活體,也是光學指紋辨識技術廠商的技術一較高下的地方。

---
射頻式或壓力式指紋辨識:

至於射頻式或壓力式的指紋辨識技術/裝置,因為比較耗電,或者FAR/FRR比較差,在手機應用上,除非相關業者有所突破,我就不多作介紹了。


---
超音波指紋辨識:

Qualcomm公司近期也推出Snapdragon Sense指紋傳感器,他是用超音波來掃描指紋,這有許多好處,最重要的是絕不侵害電容式指紋掃瞄專利,屬於新種類的指紋辨識技術,值得期待。

Qualcomm has also announced Snapdragon Sense, a fingerprint sensor solution that relies on ultrasonic (sound wave-based) fingerprint recognition rather than (like existing mobile solutions) capacitive touch-based recognition. Qualcomm notes ultrasonic recognition allows a sensor to "scan through a smartphone cover that is made of glass, aluminum, stainless steel, sapphire and plastics," and to "scan through various contaminants that might be present on the finger, such as sweat, hand lotion and condensation."


高通(Qualcomm)於 MWC 2015 世界通訊展中發表「Snapdragon Sense ID」3D 超音波指紋辨識技術。Snapdragon Sense ID 技術與目前市面上常見的電容觸摸式指紋辨識技術不同,主要是透過超音波技術進行指紋掃描,技術原理是利用聲波直接穿透皮膚的外層,檢測手指 3D 細節和包括指紋脊和汗毛孔等獨特的指紋特徵,建立難以模仿的指紋認證資訊。

高通方面表示,Snapdragon Sense ID 技術能使用在玻璃、鋁、不銹鋼、藍寶石和塑膠材質的機身上,並且不會因為手上的髒污、汗水或清潔劑等干擾影響掃描結果(我認為這個特性蠻好的!)。首款搭載「Snapdragon Sense ID」指紋辨識技術的終端產品將在今年內就會亮相。

超音波辨指紋!高通發表Snapdragon Sense ID技術【MWC 2015】
圖九、Snapdragon Sense ID 指紋掃描技術運行 Qualcomm SecureMSM 技術和 FIDO(Fast IDentity Online)聯盟的通用認證架構,並能與支援 FIDO 規範的裝置搭配驗證、傳遞訊息;該項技術已開始應用在 Snapdragon 810、425 兩款處理器上,也將相容於 Snapdragon 400、600 和 800 系列的處理器。

參見:超音波辨指紋!高通發表Snapdragon Sense ID技術【MWC 2015】http://www.sogi.com.tw/mobile/articles/6239129-%E8%B6%85%E9%9F%B3%E6%B3%A2%E8%BE%A8%E6%8C%87%E7%B4%8B%EF%BC%81%E9%AB%98%E9%80%9A%E7%99%BC%E8%A1%A8Snapdragon+Sense+ID%E6%8A%80%E8%A1%93%E3%80%90MWC+2015%E3%80%91


---
按壓式的指紋辨識,應是未來發展重點:

自從Apple iPhone 5S使用了按壓式的指紋辨識技術,比起Samsung S5與HTC One Max用的滑擦式指紋辨識技術,很明顯的,按壓式的指紋辨識方式,更合乎人體工學與消費者的習慣,所以遠受消費者歡迎,自此以後,大家都往按壓式的指紋辨識技術去發展。

===
虹膜辨識:

虹膜手機解鎖與辨識系統也來了!日本富士通公司用紅外線LED及紅外線攝影機鏡頭,可在夜間使用,這種方式另外有辨識活體的效果。所以電影裡演的,把死人的眼球挖出來,湊到這種鏡頭前,也是不能解鎖的(當然,這破解的過程,實在有點血腥與恐怖說)。


自蘋果搭載指紋辨識系統「Touch ID」的iPhone...
http://ow.ly/JOwy0
bnext.com.tw

---
眼球血管紋辨識

中國中興公司,讓你不用指紋而用白眼球的血管紋來解鎖手機!

另外,因為攝像頭對活體的反應與照片不同,用戶應該不能只是拿張他人眼球的照片,就可以解鎖手機。但是戴上繪有他人血管紋的全罩式隱形眼鏡片,我認為應該是可以瞞得過這辨識系統。(問題是誰會為了解鎖他人手機,而大費周章地這樣做?)







眼球解鎖科技成真!中國智慧機廠商中興(ZTE)在西班牙全球通訊大會(MWC)發佈搭載眼球辨識技術的智慧機「ZTE Grand...
Flipboard

===


其實,還有
多式可以用在行動商務的生物特徵辨識(Biometrics)技術,例如使用手機自拍攝像頭的臉形辨識技術,手機主攝像頭的手背/手指血管紋與掌紋辨識技術,手機麥克風的聲紋辨識技術,...等我以後有空再跟大家介紹。

例如,關於使用生物特徵識別技術來認證或識別客戶,Apple其實在更早時,便已提出其他的專利申請 – 例如使用臉孔識別技術來解鎖手機(如圖十二)(參Apple:New is easy. Right is hard. - 從iPhone 5S指紋認證的得與失說起http://www.naipo.com/Portals/1/web_tw/Knowledge_Center/Research_Development/publish-31.htm)):

圖十二、美國專利公開號 US20130235790(資料來源:USPTO)

在這項專利技術中,包含有位置、方向或是移動感測器 (position, orientation, or movement,POM),以偵測手機的當前狀態。根據此狀態,有兩種使用模式:
  1. 如果手機是在解鎖狀態(如圖十三A):當偵測到手機已經靜止超過預設的時間,抓取並分析圖像,如果圖像內「沒有」預存的能解鎖的臉孔,則手機自動上鎖;
  2. 如果手機是在上鎖的狀態(如圖十三B):當偵測到手機已經移動,抓取圖像看看手機是否移動到使用位置;若是,則抓取並分析後續圖像,如果圖像內「有」預存的能解鎖的臉孔,則手機自動解鎖。

圖十三A、美國專利公開號 US20130235790
 (資料來源:USPTO)
圖十三B、美國專利公開號 US20130235790