沒有 Touch ID 的參與，Apple Watch 如何完成支付的二次驗證？

01-12

通過心率來驗證身份嗎？
來自 Flint Center 現場 demo 環節蘋果員工的補充：

Thanks to sensors on the Apple Watch』s back, the device can tell when it』s being worn and when it has been taken off. When you first put the watch on, you must enter a code. When the watch is removed from your wrist, the watch locks itself and can』t be used for payments unless the code is entered again.

Read more at Clever trick will safeguard Apple Watch from thieves

在Macrumor看到一篇報道：Apple Watch Will Use Skin Contact for Apple Pay Security

意思是說，首次使用Apple watch支付要輸入Pin碼，之後只要一直戴在手上就不用再需要Pin碼。Apple watch背後的感測器會探測是否貼著皮膚，檢測到手錶被取下後或者換了使用者，在支付的時候就必須重新輸入Pin碼授權。

除了首次配對，其他任何刷手錶刷到一半還要去掏手機的支付方式都是無意義的，就像拆後蓋不能換電池、脫褲子放屁這種事一樣

根據Apple Watch的設計（有NFC、wifi藍牙，但是沒有3G連接，Watch本身系統安全性以及物理安全性較高這樣的情況來看）

所以根據目前掌握的情況來看，可能是這樣的

初始配對，iPhone通過Apple ID綁定信用卡或者直接拍卡自動識別的方式添加信用卡，建立手機和銀行的信任關係，這個過程會有銀行和手機直接生成配對數據存入Secure Element，然後Secure Element為了做到安全，應該還要和Touch ID系統或者Apple Watch系統建立獨立的安全配對。一切支付請求必須由兩者之一授權，不然無效

支付設備生成支付請求，建立NFC加密通訊，通過NFC發至手錶，通過藍牙、wifi之類的近距離通訊手段與手機連接，把支付請求中繼到手機上，

由Secure Element負責和銀行生成支付session，然後請求授權。Touch ID授權好理解，必須刷指紋才能向Secure Element發送授權完成支付，並向支付設備返回支付成功的憑證。別人偷了手機無法完成支付，因為手指頭偷不走。

而Watch必須做到直接刷手錶就能完成支付，而且仍然要保證安全，那麼其實把手錶理解成為和Touch ID有同等權力的授權模塊即可。手錶只管授權，不管支付session

萬一別人偷了手錶（誰這麼傻B手錶被偷還不知道），其一小偷不能走遠，不然連不上手機無法完成支付流程，其二機主發現了可以直接在手機上吊銷這個手錶的許可許可權，小偷就無法支付了

最後萬一還有猥瑣的小偷拿移動POS機去偷蹭手錶，其一可以要求機主把手錶鎖屏阻止支付，其二可以提供觸感反饋，讓機主馬上發覺

可能以後還有僅靠Apple Watch離線支付的形式，這樣的話手錶內部也要有個SE，流程也要改

我覺得有個很簡單的邏輯就可以避免手錶失竊的身份認證問題。

既然手錶有脈搏檢測，那麼帶上手錶之後通過touch-ID檢測直到脈搏中斷（摘下）之前的時間都可以判定手錶在機主手腕上吧？

猜測 watch和iPhone第一次匹配時候如果要用pay就要touchID驗證,之後只要不重啟驗證一直有效

然後pay it

至於驗證有效期什麼的就不討論了..純猜的

Apple watch在首次匹配時會建議用戶給手錶設置密碼，但手錶檢測到手錶離開手臂時會自動鎖上，此時想進入手錶內容需要輸入密碼。

而當它識別到手錶已戴上時，鎖定狀態會持續，直到所匹配的手機，在連接狀態下解鎖（解鎖手機），此時手錶才會理解為手錶戴在主人手上並解除鎖定狀態。

所以我猜測，用手錶進行支付的時候，也是通過這一套識別邏輯，確認使用者為手錶所有者。

可能這樣講有些模糊，大致對比一下手機pay和手錶pay的確認邏輯：

手機：

雙擊home呼出虛擬卡或靠近NFC自動呼出—識別指紋以確認使用者身份—完成支付動作。

手錶：

識別手錶是否配戴—雙擊側鍵呼出虛擬卡—通過所連接的手機硬體識別使用者身份—完成支付。

明天找台pos機驗證一下這種情況下手錶是否可以使用Apple pay，即可驗證這個邏輯：

手錶處於解鎖狀態，關掉手機藍牙（模擬手機沒電，失聯）嘗試支付。

實踐表明：我想得太複雜了。

實際上，Apple watch只要通過匹配的手機解鎖或輸入密碼後解鎖都認定在主人手上（但是解鎖完沒檢測到皮膚的話每一次亮屏都要重新解鎖）。而只要處於解鎖的狀態，就可以直接使用支付。

推測有三種情況。

第一種情況：Apple Watch 和有 TouchID 的手機。

用戶刷 Apple Watch，之後確認支付可能是

1.TouchID

2.輸入 PIN 碼（在手機上或者在Apple Watch上，同時 PIN碼也可能是動態的）

3.商家機器上確認（輸入密碼或者簽名）

第二種情況：Apple Watch 和沒有 TouchID 的手機。

1.輸入 PIN 碼

2.商家機器上確認

第三種情況（現在Apple Watch 還是需要配合iPhone）：

如果在未來不需要配合 iPhone 呢？會是怎樣的支付流程？

從這個問題過來的：用 Apple Watch進行支付具體流程是怎麼樣的？（比如是如何進行二次驗證等）