物聯網時代到來信息安全成主要挑戰

　　隨著科技進步，物聯網時代來臨，各行各業正努力發展各種突破性創新科技應用，也正悄悄改變人類生活方式，如智能手機、智能手表、手環的普及，提供人類更便捷的智能使用工具。

　　各種智能云的建置，甚至透過人工智能（AI）分析，人類將可得到更有用、精準的信息，并有效預測未來幾年的可能發展趨勢，將幫助人們更有效的趨吉避兇，做最佳的判斷與選擇。

　　物聯網時代到來信息安全成主要挑戰

　　舉凡現在發展非常熱門的幾個領域，如金融科技（Fintech）、工業自動化、醫療保健、各種聯網智能裝置等，都是因應物聯網時代來臨，大家想要提供的服務、產品及方案。然而，物聯網加上AI時代來臨，還有個重要挑戰須克服，便是信息安全。

　　物物或人物相連將可得到大量信息，有了大量信息將能透過AI分析，提供各種客制化或個人化的信息服務，但試想如果在無人自動駕駛時遭人入侵、行動支付時遭駭、個人資料遭竊取等。甚至，嚴重時還可能危害生命安全，也可能遭受財務損失及隱私權被侵犯。所以在物聯網時代，信息安全將是一個新的挑戰。針對信息安全，本文將會以Boosted NFC安全芯片及FIDO方案為例，說明如何應用在行動支付及使用各種行動智能裝置與云端智能服務間的數據保護及快速身分認證。

　　***「支付塑料卡片」的市場情況

　　根據***中央銀行及金管會數據顯示，***電子支付僅占個人消費的26%，其中信用卡、金融卡等支付工具，消費額達3兆元，信用卡約占7成；信用卡流通卡數計3，855萬卡，每人約有2.11張信用卡；金融卡流通卡數計9，178萬卡，每人約有3.91張金融卡；電子票證流通卡數計7，024萬卡，每人約有2.99張電子票證。

　　事實上，***的NFC行動支付市場規模，未來尚有相當大的成長空間。據金管會預估2018年信用卡流通卡數4，000萬卡，每人持有2卡計算，保守估計2，000萬人持有信用卡。

　　同時，據資策會相關數據推估，2018年智能型手機普及率80%，假設NFC手機占1/3，未來5年期待成長至640萬人可以使用手機信用卡；而據高雄一卡通表示，2018年會推動NFC智能手環，擴大NFC行動支付的應用。

　　不過，想用行動支付，還須先克服操作不熟、場所有限、盜刷、個資外泄等問題，以下文章將介紹使用行動支付原因、行動支付跟一般的支付塑料卡不同之處，以及行動支付將帶來何種創新服務應用。

　　Boosted NFC安全芯片具六大優勢

　　所有交易塑料卡擁有的功能，Boosted NFC安全芯片方案都有，像是一般交易塑料卡可能有信用卡、金融卡、小額交易交通票證卡、健保卡、自然人憑證卡、工商憑證卡、商店會員卡等。

　　不過，Boosted NFC安全芯片方案有的功能，交易塑料卡卻不一定有，像是：

　　．實時查余額及交易紀錄：

　　可以利用行動智能裝置的主芯片跟安全芯片做溝通，將余額或交易紀錄實時的從安全芯片中讀出，顯示在屏幕上，這是一般交易塑料卡做不到的。

　　．利用OTA（Over-the-air）空中下載提供安全服務：

　　如果是Boosted NFC eSE在手環里，可以藉由Bluetooth與手機鏈接，再藉由手機的3G或4G鏈接到因特網；如果是Boosted NFC microSD或Boosted NFC SIM在手機里，則可直接藉由手機的3G或4G連接到因特網，可以藉由OTA的下載服務跟安全芯片做溝通，提供安全芯片所需的服務。

　　例如：空中下載安全應用、芯片個人化、余額加值等，一般交易塑料卡連接不到因特網，所以無法有OTA（Over-the-air）空中下載的功能。

　　．更安全的行動網絡購物：

　　因為智能手機或手環可以跟Boosted NFC安全芯片方案里的安全芯片溝通，所以行動網絡購物支付時就像刷芯片信用卡或芯片小額儲值卡一樣，還可特別加入人工干預的機制，確保事務數據的安全性，相較于一般交易塑料卡輸入卡號及有效年月的方式更加安全及方便。

　　．更安全的行動金融服務：

　　金融科技帶給傳統金融機構相當大的挑戰及機會，金融機構陸續投入相當多的資源在金融創新科技上，例如：AI、流程自動化及機器人和區塊鏈，無不希望提供給客戶更方便、快速、多元的行動金融服務。這些行動金融服務可以跟Boosted NFC安全芯片方案里的安全芯片溝通，作身份認證或交易確認以確保安全無虞，這也是一般交易塑料卡做不到的。

　　．行動2nd Factor網絡安全認證：

　　這功能類似某些在線服務，除要輸入密碼賬號外，還須有自然人憑證或工商憑證卡等做2nd Factor網絡安全認證。 Boosted NFC安全芯片方案就可以將這個功能實現在手機等行動裝置上使用；一般交易塑料卡大部分是藉由卡片閱讀機在計算機及筆電上使用，無法應用于手機等小型的行動裝置上。

　　．行動個人資料安全加密：

　　Boosted NFC安全芯片方案的安全芯片可以存放密鑰，用于個人檔案云端存取加解密、Email傳送接收加解密用，保護行動裝置應用的個人資料安全，這也是一般交易塑料卡做不到的。

　　行動電子支付百家爭鳴

　　根據***金融研訓院的數據，各種行動支付的消費模式整理如下：

　　一、NFC消費模式：以USIM/SD/行動裝置內建芯片/外掛式SE裝置為載具，將信用卡、金融卡、儲值卡加載安全載具中，此模式產業鏈成員最多。 Google提出HCE技術不需要透過存放在手機中的安全組件完成。

　　1.內建天線Boosted NFC安全芯片方案：Garmin iPass VivoSmart HR智能手環、永豐銀NFC microSD信用卡、中國電信NFC SIM學生證全卡。

　　2.手機內建NFC安全芯片：Apple Pay、Samsung Pay

　　3.電信公司SWP（Single-Wireless-Protocol） SIM：中華電信EasyHami、***大哥大Wali、遠傳FriDay電信公司的手機錢包。

　　4.HCE/Token：Android Pay、***行動支付twallet+、玉山wallet、永豐fun錢包。

　　二、QR Code消費模式：信用卡、金融卡刷卡與轉賬功能制作成手機App接口，消費者以掃瞄QR Code方式，即可刷卡及轉賬消費。

　　1.網絡社群業者：GOMAJI（夠麻吉）、街口支付（街口網絡）、Pi支付（PChome）、LINEPay、Yahoo奇摩超好付、微信支付。

　　2.電子支付業者：歐付寶（allPay）、智付寶（Pay2go）、支付連（PChomePay）、橘子支（GAMAPay）、***支付（ezPay）。

　　如果根據行動支付所使用的各種技術方案，就方案的應用范圍、安全等級及手機適用性可整理為以下表格（表1）。

　　 Boosted NFC安全芯片/FIDO方案雙管齊下移動支付認證更穩當

　　交通卡用途是NFC行動支付殺手級應用，如果無法當交通卡使用，效果將大打折扣，而安全等級愈佳，被盜刷的風險越小。手機適用性亦是影響用戶族群的重要因素，最好是所有手機都能適用，如果依應用范圍、安全等級及手機適用性來看，NFC eSE手環會是最佳的技術方案。

　　至于行動支付發展趨勢，則將呈現：

　　1.從消費支付轉向小額資金轉賬，透過社群軟件，發展小額資金轉賬支付。

　　2.謹慎應對國際支付巨擘（Apple Pay、Android Pay等）帶來的沖擊。

　　3.簡化支付步驟，支付步驟及應用程序開啟的時間左右民眾的使用意愿。

　　4.靈活、多面向的電子支付推廣策略（表2）。

　　 Boosted NFC安全芯片/FIDO方案雙管齊下移動支付認證更穩當

　　接下來文章將介紹各種行動智能裝置與云端智能服務間的快速身分認證。

　　FIDO（Fast IDentity Online）聯盟及網絡標準

　　FIDO是成立于2012年7月的行業協會。其宗旨是為解決強制認證設備的交互性和用戶面臨大量復雜的用戶名和密碼，由Google、微軟、三星電子、阿里巴巴、Visa、MasterCard及聯想等逾250家業者組成。

　　FIDO標準內含兩種規格（圖1），分別是通用認證框架（Universal Authentication Framework， UAF）與通用第二因素（Universal 2nd Factor， U2F）。其中，U2F藉由新增一個實際的令牌（Token）來強化密碼認證，而UAF為利用生物辨識或其他方法鏈接用戶與裝置，因此不須使用密碼。

　　 Boosted NFC安全芯片/FIDO方案雙管齊下移動支付認證更穩當

　　圖1 UAF及U2F標準。數據源：FIDO Alliance

　　FIDO標準快速身分認證應用多元

　　FIDO標準適用于各種裝置、服務器，與客戶端軟件，涵蓋瀏覽器、瀏覽器插件，或原生程序等。任何網站或云端應用都可與現有或未來將支持FIDO規格的各個裝置鏈接，包括生物辨識認證裝置與硬件令牌（Token），也已完成整合NFC與藍牙認證能力。

　　FIDO的使命之一是會員不必擔心使用UAF或U2F時，會侵犯到其他會員的專利，會員可以自由營銷FIDD認證解決方案，非會員也可部署這些方案。

　　根據FIDO Alliance數據，FIDO標準的實績應用及成果包含：

　　1.Google已支持FIDO U2F身份認證的「安全鑰匙」（Security key），讓用戶可利用符合FIDO U2F標準的USB安全鑰匙作為登入Google服務的認證技術。

　　2.日本NTT DOCOMO成為第一個部署FIDO認證的電信運營商，為日本的6，500萬用戶實現無密碼的未來。

　　3.微軟宣布，2017年在Windows 10中支持FIDO認證。

　　4.美國，英國，德國和澳大利亞的政府機構已加入FIDO聯盟。

　　5.World Wide Web Consortium（W3C）根據聯盟的FIDO 2.0 Web API規范在Web認證中加入了新的標準，目的在于規范所有網絡瀏覽器和相關網絡平臺基礎設施加入強大身份驗證的功能。

　　全球支付規范組織EMVCo和FIDO也一起努力，支持EMV行動支付使用FIDO認證標準，為行/移動支付提供更簡單、強大的身份驗證，提升消費者體驗并減少盜刷行為。

　　1.Facebook在2017年初宣布也將支持FIDO身份驗證。

　　2.全球有超過30億個用戶帳戶可以使用FIDO身份驗證。

　　3.FIDO可以部署在市場上80%的手機上。

　　4.超過300個FIDO認證產品。

　　TWID身分識別中心服務啟動

　　根據***網絡認證公司報導，2016年5月金管會公布「金融科技發展策略白皮書」，從應用、管理、資源、基礎等4個面向分析，提出11項應優先發展目標。其中一項最為基礎，將直接帶動銀行、證券，以及保險產業創新金融服務等的施政重點，就是建構整合安全的網絡身分識別中心。

　　為了落實金融科技白皮書，在前金管會主委李瑞倉、金融總會理事暨集保董事長林修銘、還有金融各界的代表見證下，***網絡認證公司正式宣布「TWID身分識別中心」服務啟動。

　　金管會、證交所、金融業界齊肯定「TWID身分識別中心」身分識別服務成金融科技關鍵，在金管會大力推動的FinTech計劃中，對于身分識別服務的需求無所不在。

　　像是原本一定要本人臨柜親簽的銀行服務，有部份經由網絡身分識別后能在在線申辦；以往要當面確認本人身分的開戶作業，從去年起就有多家證券商推出線上開戶APP，透過身分識別服務使用手機就可完成開戶申請。

　　又或是過去與保險業務員買保險的模式，經由身分識別服務，也可在網絡投保。未來像是區塊鏈（Blockchain）應用中的實名認證、第三方支付、行動支付等等，都需要身分識別服務。

　　四種FIDO方案實現快速/安全身分認證

　　以下將介紹四種FIDO身分認證解決方案。首先是「免密碼認證FIDO Server平臺」，可讓用戶的指紋及手機或手環變成唯一的數字鑰匙，以保護所有的帳戶；并徹底簡化全球計算機及云端應用登入的方式，提供更安全的保障，讓用戶不必擔心計算機中木馬程序，或云端帳戶被駭。

　　其次是「FIDO ASM（Authenticator-Specific Module）軟件接口」，ASM是在Authenticator之上的軟件接口，可以通過各種接口（SPI、USB、藍牙等）連接到用戶設備。為FIDO Client提供了一種標準化的方式來檢測和溝通Authenticator的功能，并隱藏FIDO Client的內部通訊復雜性。

　　接著是「FIDO Client」。 FIDO Client是FIDO Authenticator與FIDO Relying Party綁定的中間應用程序。 FIDO Client安裝在End-User Device，能查找所有FIDO Authenticator，并通過FIDO ASM API標準化的JSON訊息進行溝通。 FIDO Client和Relying Party之間的訊息溝通是透過標準化的FIDO協議，也可以預安裝在操作系統或Web瀏覽器上。

　　最后則是「FIDO Authenticator」。 FIDO的認證器，可以搭配Boosted NFC eSE安全芯片方案，Boosted NFC eSE可以選擇使用內建或外接式NFC天線皆內含Common Criteria EAL5+安全芯片。

　　Boosted NFC eSE方案適用于智能手環或手表等穿戴式載具使用，有LGA18內建天線及QFN32外接天線兩種封裝規格，只要在智能手環或手表等穿戴式載具的PCB板上結合Boosted NFC eSE方案，智能手環或手表也可以變成具有NFC功能的FIDO Authenticator，設計及生產都十分方便。

　　另也可以選擇Boosted NFC microSD或Boosted NFC SIM卡方案適用于手機外接卡片方式，手機不須有NFC功能，只須插上Boosted NFC microSD或Boosted NFC SIM，即可變成具有NFC功能的FIDO Authenticator。