月度归档:2016 年十一月

网上Trustech

Cartes改名Trustech了,地点从巴黎换成戛纳。这次我没去,但按照Trustech Sesames的名单分析了一下一些参展商的技术和产品。

  1. AUVERCLOUD SAS(remauth.com)的远程无密码认证:其实是提供了一个手机的app,使用者预先在app上授权登录某些网站或服务。当需要登录时,可以按需要在app上触发一个登录授权页面,使用者确认授权即可。另外,也可以在服务页面上显示二维码,使用者主动通过app去扫描二维码,完成登录确认。一些features包括,可管理网站、服务列表;可检查授权登录记录;可管理该app的安装列表(手机、平板等);可重置app,清空相关授权。
  2. BioSSL(biossl.com)的BioSSL解决方案:提供了指纹、人脸、声纹3种生物识别用于身份认证的解决方案。特点就是指纹和人脸都保存figerprint template和face template,而不是原始数据,且这些template无法进行逆向工程,这些template在后台中通过HSM进行保护。声纹识别是将播放的与预存的进行特征比对,在技术上可以做到防重放攻击和防剪贴攻击。声纹可以跨通道进行使用,比如手机语音或者VoIP。另外声音可以用于进行语言识别及性别识别。另外也提到和blockchain的结合的可能性,blockchain密码遗失带来的问题比较麻烦,可考虑使用生物特征进行对接。
  3. Spire,主要是讲它的mPOS。
  4. 龙杰智能卡的FIDO NFC卡。
  5. Vision Box(vision-box.com)的智能闸机,用于边境、机场等地方自助过境/进出,支持护照机票登机牌身份证等证件。
  6. IMPRIMERIE NATIONALE(imprimerienationale.fr)的 ID-3 Nautilus™聚碳酸脂数据页技术,用于护照页上。
  7. MeReal Biometrics(merealbiometrics.com)的生物卡,有接触式EMV和非接触式卡NFC的功能,使用前要使用指纹在卡面上验证。还有开机按键和声音等输出。在每次非接触式交易中可以空中进行一定量的充电。另外也提供有随身的无线充电设备,可以给该卡充电。使用上略显复杂了。
  8. Famaco(famoco.com),利用NFC实现的粮食救助系统。
  9. TableSafe(tablesafe.com),餐桌付账(Pay at table)RAIL平台:TableSafe CEO Joe Snell demonstrates the company’s Rail payment system. Photos by Rachel Coward看上图,实际上就是在账单夹上嵌入一台带EMV,NFC支付的支付平板,之前的流程均可以在支付平板上进行操作。当然了,一些智能应用也可以在该平板上面实现,比如顾客激励、会员积分计划、问卷调查等等。
  10. KEOLABS的IoTize(iotize.com),虽然宣称会最大化wifi、BT等等连接方式在IoT方面的使用效果,提供的产品是IoT的模块,带NFC/BT/WIFI等连接方式。部署在原先不具备连接能力的场景或装置上。
  11. 华苑的RFID电子标签,带自绑的塑料带。
  12. Smartrac(smartrac.com)的dLoc System:Smartrac自有的COSMOS是用于增加物联网设备连接和管理的云服务(PaaS)。dLoc是基于COSMOS上的BlockChain应用(和Factom合作),可用于管理虚拟文件,比如土地证、出生证、医疗记录等等。dLoc通过加强的NFC Tag/芯片实现对BlockChain数据量的要求。
  13. COMPRION(comprion.com)的COMPRION network bridge,用于测试嵌入式SIM卡(eUICC)的网络桥接工具,无论是wifi/蓝牙/移动网络。可以进一步研究一下是否适用于远程测试异国网络。
  14. COMPRION(comprion.com)TraceCase,用于NFC接口上单步跟踪移动支付交易。
  15. SPS的Heavy Metal Card。
  16. VirtuCrypt(virtucrypt.com)的RKM(远程密钥管理)。
  17. Tas Group(tasgroup.eu)的EasySelf,属于一种低成本低运维需求的mini ATM机,可以灵活部署在商户场景中。
  18. WeTech(wetech.es)的穿戴设备的支付功能化,针对客户要求的珠宝首饰增加支付功能,猜测是在这些穿戴物品上增加BLE或者NFC,充当非接触式交易的载体。看来以后可能是一门生意。

身份识别及归类

无论是O2O还是全渠道支付,都面临着一个问题,如何在不同介质之间无缝定位一个消费者实体?而出于隐私原因,消费者并不会主动把各种的个人识别介质都交给商户。这个时候,就需要卡受理终端POS机,ECR,店内监控,用户浏览器等种种设备进行联合工作了。

下面列举一下一些用于身份识别的技术:

  • 生物识别
    • 指纹(+静脉),由于被广大的公安部国安部FBICIA所采用,因此是比较容易理解的生物识别技术,但是目前支付上用的最普遍的(Apple Pay) iPhone,指纹信息却无法被商户得到其信息(局部的或者HASH值也不行),这个场景中更多的识别实体是iPhone,而不是指纹,指纹只与iPhone产生验证关系。不过指纹有可能用于银行业其他的业务。静脉识别在指纹识别之上又增加了确认某人可靠性,但同时也提升了识别操作的难度。
    • 瞳孔,某些国家把瞳孔识别和指纹识别一起使用,瞳孔识别理论上比指纹识别更强更安全。但是瞳孔识别两个弊端:设备偏贵,用户体验非常差。你想象一下(摘下眼镜,再)把眼睛贴近那个漏斗型的瞳孔仪。
    • 掌纹,2000年的时候参观某个顶级机房,其门口就是一个球状的掌纹仪,扫描过后,铁门才缓缓开启。当时看来有点太做作了。掌纹还是在类似的高端门禁上比较适合,支付场景中交易频繁,按一下,还是多了一个用力的动作。除非能设计出更有趣的场景。
    • 人脸,这是近年来最火的一个生物识别特征了。人脸分为人脸检测和人脸识别,人脸检测可用于统计场景中的人的数量,而人脸识别则用来判断这个人是谁(1:N)/是不是他(1:1)。人脸检测无疑对增强场景中的群体营销有帮助。而人脸识别中,判断是谁,则存在准确率的问题,如果直接用于定位支付实体,在人数超过百万的时候,会产生很多的问题,比如被盗刷脸了。而判断是不是某人,这就安全多了,这个时候,人脸相当于一个PIN,与PAN一起进行交易确认,出错率接近于零。而人脸在支付过程中又可以收集下来给商户进行数据分析,以方便进行进一步营销。
    • 声纹,每个人说话的语音都有其特征,根据此特征进行区分。用于增强营销的消费者身份确认是没问题的,但由于声音的可复制和重放的特点,不适合进行支付的身份确认。
    • 纹身
    • 身体特征,纹身和身体特征,比如耳部什么的,原理还是来源于一个智能的图像识别以及特征提取,使用与否,取决于消费者本身,这个身体特征,是用来作为一个信物用于确认身份。不具备通用性。几年前有个愚人节笑话,说阿里允许以一个信物作为交易的确认,比如要是或者项链。身体特征相对于PIN或者人脸是一个更具开放性的特征,由于足够开放,完全机器化的识别将对机器和算法要求太高,目前是无法工业化的。
    • 心跳,这项技术仍在开发中,原理是通过可穿戴设备收集心跳信号,再将信号传送出来作为识别信息。考虑到可穿戴设备本身已经可以作为身份认证的载体,所以心跳反而就是锦上添花的功能了。
    • 手写签名,目前交易中的签名并不用于即时识别,只是作为一个交易凭据存在。手写签名要做到可识别(1:1),需要手写设备和特征规范都提升到法律级别。
  • 辅助设备
    • 手机,消费者一般都手机不离身了,除了手机内置的app可以提供出认证信息之外,手机的wifi的mac和bt的mac同样可以充当这样的信息源。而mac是可以被修改的,因此,这些信息用于增强营销更合适。
    • 可穿戴设备,成本低廉的产品其作用与手机类似,比如各种低端手环,而高级的设备则安全度高但推广力不足。要暴露出来用于身份认证,也需要手机等介质的支持。考虑到连接上大多数采用bt,因此bt的mac在一定程度上可供使用。
    • 植入芯片,安全性足够,但成本高,推广不利。目前也尚未能让社会接受体内植入芯片。
  • 个人信息
    • 手机号
    • email,这两者在在线浏览时使用较多,一般是用手机号或email来接收安全码,再进行输入。这种方式符合安全要求,可以进行额度较低的交易。
  • 使用习惯
    • 登录习惯
    • 浏览顺序
    • 屏幕操作特征
    • 键入频率,这几种都跟在线浏览有关,但也适宜部分迁移到线下,如果线下提供特定的操作屏幕的话。但此类数据更多用于大数据分析后的营销动作,不适宜直接判断个体。
    • 用户名和密码,这是最传统的一种方式。

用UL的总结来说,未来的身份认证过程,第一个就是要解耦,不要让身份认证过程耦合在用户/消费者交易过程中,最好就是透明化了;其次就是分等级,上述的身份认证各有侧重,安全级别也不尽然,要适当地组合以作覆盖性的方案;第三,身份认证功能需要模块化,以方便集成到不同的系统中去;最后,持续关注新的技术。

易观报告上所说的,用户标识包括各种身份强关联的特征:Cookie、IMEI、DeviceID、强关联标识
另外就是人口属性:用户自描述,这个估计需要额外自愿填写问卷。

每月一卜

今天是问个人的前进还是保守。

结果是上风下水,涣卦。

卦辞给出来的意思也分积极和消极的。

积极的就是既然是涣散的、不看好的,那就凝聚人心,振作,一个思想去战斗。

消极的就是顺风顺水,该散则散,该换则换。

混乱才是这个卦的意向。

要么大前进,突破目前;要么保守。这两者之间的状态反而是信命了。

鬼新娘,纵横四海

看了鬼新娘和纵横四海,有点明白为何钟楚红的作品那么经典,但她却没有跟名字一样红起来。

红姑还是小家碧玉型的,但对于当年港产品横扫广东是有帮助的,然而却不是全球化或者进一步进入内地所需要的。

纵横四海,拍得很自然舒心,不善刀功,钟楚红是适合的,但或许就无法进一步了。

而鬼新娘,也就是前半段有意思,后面就为悲剧而无奈的意思。

周润发那时候则是走扮帅+搞笑路线,其实还是不大适合他的,时代使然,适合大排档观影。

机械师

之前以为是科幻电影,一直都没看,开始看才明白是特工/杀手片。

真正的故事发生在Arthur和Steve之间吧。

除了影评所说心理战之外,Arthur还有一点没有教Steve的,就是死了要见尸。当然,以前有Dean的体系保证这一点,但杀了Dean,脱离组织之后,这一点是需要杀手自己去确认的。

Steve前几次杀人都是在Arthur的教导下,也是在Dean的体系内去做的,所以感觉不到这种组织善后的好处。而这恰恰就是Arthur没教他的,他过于自信,师父终于被自己杀死了。

而Arthur既然想着远离,避世,为何仍要做机关杀了Steve,按照影评所说,这种杀人不成过度自信还小人得志的徒弟,都是自己作死吧,不足可惜。

产品服务及关键词

继续整理金融展的资料。

这是一份支付网关及包装出来的金融服务产品的介绍。说到支付网关,其突出的点是三个:快、限额高、费率低。

摘录如下:“立即到达”,“瞬间到账”,“无时间、区域限制”,“跨行、跨省、跨地区”,“支付限额高”,“费率超低”,“不同的接入模式”

而新业务的表述:“权威认证”,“行业标准”,“数据加密无风险”,“安全传输”,etc。

消除是否发展用户的疑虑:“只要有网银,没有xx账户也能。。”,“直接在xx网关完成支付,无需用户注册网银”。

其他的一些业务,要不就突出快(即时)、要不就是安全(可靠),或者两者兼之。

分期业务,购买“价格较高”的商品。

Computer Vision的应用

今天看到微信上一篇对商汤的评价,说是算法人员过多,工程化人员不足,犯了学院派的较大的问题。

想一想,也确实有这样的问题,目前商业场景中很少见到把相关技术应用的。

于是把上次金融展拿到的sensetime的宣传资料再细读了一下。

在全渠道零售+IoT上,有些还是可以用到的,比如:

  • 行人特征,高矮胖瘦皮肤年龄衣着,识别出来可以作为导购信息;
  • 人群计数,排队人数,人数分布,统计后可以动态分配服务资源,决定快速完成交易还是增强导购服务;
  • 物体检测,顾客已选商品再对应到大数据,可以进一步推荐配套商品;
  • 人群分布,可以增加特定营销手段。

 

区块链

本来已经把《区块链——重塑经济与世界》一书加入待购列表里,那天无意中看到楼下自助图书馆有这本书,于是就借了来。

2010年开始就有听说比特币,然而一直没有学习其中的技术基础。正好借这次机会加强一下认识。

区块链是比特币的基础技术之一,就是把区块串连起来,作为一个虚拟货币或者账本的持久性、分布式存储。新的区块总是带有其父区块的Hash,因此越久的区块修改所消耗的计算越多。

一个区块内的交易以merkle的hash tree保存,可以以log N的运算量去提取/校验一个交易。这可能只是比特币的特性,未知其他区块链应用中是否有使用merkle。

R3 CEV和Hyperledge,这些都是金融巨头或IT巨头所形成的区块链平台,未来不知道会否统一,但跟比特币衍生者众多的形态类似,跟各国货币互相竞争的形态类似,区块链技术在不同领域或者同一领域的不同推动方的场景下,注定又是没有国际标准可言。到头来恐怕还是几十年后才出现一个IMF之类的组织再去统一。

区块链技术在物联网仍然是可以有别于金融领域的作用,后面需要着重分析这一点。可能是车联网,也可能是手机+wifi的场景使用,不一定跟金钱相关,但会有一个痛点。