人脸支付方案小谈
2019/12/30 9:19:44

大家好,好久不见。小Wa最近在超市碰见支付宝布放的人脸支付终端,看别人体验了下,觉得好奇,回来就研究了下目前市面上人脸支付的方案。这一研究发现,现有的主流方案(主要就2种)差别还挺大。

第一种方案就是小Wa见到的,支付的时候直接在终端摄像头前露个脸,顶多再输入个手机号,即可完成绑定账户的付款。

第二种方案小Wa是在朋友圈看到的介绍,就是目前银联推广的方案。支付的时候同样要在终端摄像头前露个脸,还要额外输入一个密码。小Wa觉得这种方案体验不如第一种好,总觉得是(Tuo)多(Ku)此(Zi)一(Fang)举(Pi)。

当然,小Wa也找人了解了下银联这个方案的设计思路。于是便有高人指点小Wa去研读下央行发布的一个试行标准,即《人脸识别线下支付安全应用技术规范》。

首先注意这个规范的名字,人脸识别+线下支付+安全应用,这里的线下支付有点意思,小Wa开始觉得为什么不直接叫人脸识别支付,在看完这个规范后,基本有了答案。

央行认可的人脸识别线下支付的技术架构如下图所示。

看到这个架构图,小Wa觉得似曾相识。这不就是在传统的银行卡支付系统架构上新增了一个东西嘛。都是商户、收单机构、转接清算机构和发卡机构构成的四方模式。那么多出来的这个“人脸路由网关”是何方神圣呢?

先看看规范里是怎么定义的,以下引用规范原文。

受理终端:支持用户采用人脸识别方式实现支付交易的终端。

收单系统:由收单机构建设,为商户提供终端管理、资金结算等服务的业务系统。

人脸路由网关:由银行卡清算机构建设,用于接收发卡银行业务系统同步的人脸数据、路由索引码等路由信息,负责人脸识别交易寻址路由。

转接清算系统:由银行卡清算机构建设,在金融支付服务中提供交易转接清算功能的系统。

发卡银行业务系统:发卡银行为用户提供账户和资金管理的系统。

怎么样,看懂了吗?说实话,小Wa看了几遍也没明白什么意思。于是小Wa又向高人请教了一番,方才搞懂。

别急,咱们先来了解下传统的银行卡支付流程是什么样的,看下图。

银行卡支付的前提是你得有张银行卡。小Wa就办过很多家银行的卡。对于商户的终端而言,它无法判断你的银行卡是哪个银行的,这是由转接清算机构判断的。而密码则是对验证持卡人身份的手段。当然,有些场景是不用输密码的。

类比银行卡交易,若想增加人脸识别方式,人脸识别在交易过程中可以起到什么作用呢?

相信有的小伙伴会说替代密码。嗯,根据认证三要素(你知道的,你拥有的,你的特征)来看,密码属于你知道的,而人脸则属于你的特征,通过人脸识别替代密码好像真的可行。

如果使用人脸识别替代密码,那么上图中的步骤1还是要刷银行卡,商户终端在采集到我们的人脸后,首先会生成人脸照片,然后步骤2要向收单机构传什么数据呢?直接传人脸照片的话,则需要对原有收单机构、转接清算机构和发卡机构的交易系统接口进行改造,似乎工作量过大。如果在终端侧从人脸照片中提取人脸特征进行传输,则对于终端的软件能力有一定要求,而且也避免不了后续交易系统接口的改造。可见,保持刷卡的情况下,使用人脸识别替代密码,体验没好多少,却增加系统改造的成本。

那如果省掉银行卡,即通过人脸识别替代银行卡+密码,这种方式用户体验应该是最佳的,虽然还是要改造交易系统。支付宝应该属于这种方式。但这种方式有个问题,原来的双因素(你拥有的——银行卡,你知道的——密码)验证降级为单因素(你的特征——人脸)验证。一旦你的人脸被人仿造,那么你的钱也就装进了别人口袋。最近网上爆出的几宗通过3D打印头模欺骗人脸识别系统,就是这种风险最好的诠释。当然,采用这种方案的机构会声称自己的人脸识别技术很NB,能检查人脸是不是来自于活人。然而没有完美的技术,技术总会存在缺陷。

这么看,省掉银行卡后,为了保证双因素验证,使用人脸识别的时候要再增加一种验证要素。央行的这个规范选择了人脸支付密码作为新增的验证要素。为什么还是要输密码?小Wa觉得是为了最大化的利用已经布放的POS等受理终端。这些终端在银行卡交易场景下本来就支持密码,那在人脸识别交易场景下仍然支持密码未尝不可。

再回到上图,步骤1便是刷脸+输密码,步骤2中终端向收单机构上送人脸信息和密码,收单机构再转发至转接清算机构,可是转接清算机构怎么知道发给哪家银行呢。这就是图中人脸识别路由的职能。人脸识别路由根据收到的人脸信息,进行1比N的人脸比对,确定用户身份,进而确定银行。银行在收到交易请求后,验证用户的人脸支付密码,验证成功则进行扣款。这样对于原有的交易系统同样提出了不低的改造要求。

不过据小Wa认识的高人说,目前的人脸支付方案中人脸识别路由在确认用户身份后,并不是直接与发卡机构通信,而是返回了用户的银行卡信息给收单机构,收单机构再转发至商户终端,商户终端收到银行卡信息后,沿用原有的银行卡交易流程发起交易请求,这种实现方案能够最大化地利用现有的交易系统。

以上就是目前市面上的几种人脸支付方案,小伙伴觉得哪种方案好呢?你是选择用户体验,还是选择用户安全呢?

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消