Apple 钱包中的证件
在运行 iOS 15.4 或更高版本的 iPhone 8 或后续机型以及运行 watchOS 8.4 或更高版本的 Apple Watch Series 4 或后续机型中,用户可将其州证件或驾照添加到 Apple 钱包,然后轻触 iPhone 或 Apple Watch 即可向支持的地点无缝、安全地出示证件。
【注】此功能仅在美国支持的州中可用。
Apple 钱包中的证件使用了内建于用户设备软硬件中的安全性功能,有助于保护用户身份及其个人信息安全。
将驾照或州证件添加到 Apple 钱包
在 iPhone 上,用户只需在 Apple 钱包中轻点屏幕顶部的“添加”(+) 按钮,即可开始添加其驾照或证件。如果用户在设置时配对了 Apple Watch,还会收到将驾照或证件添加到 Apple Watch 上 Apple 钱包的提示。
首先系统会要求用户使用 iPhone 扫描实体驾照或州证件的正面和背面。iPhone 会评估图像的质量和类型,以帮助确保所提供的图像可被州发证机构接受。此类身份证件图像会在设备端加密为州发证机构的密钥,然后发送给州发证机构。
接着,系统会要求用户完成一系列面部及头部动作。用户设备和 Apple 会评估此类动作,以帮助减少他人通过照片、视频或面罩来试图将非本人证件添加到 Apple 钱包的风险。然后,针对此类动作的分析结果会发送至州发证机构,而动作本身的视频不会发送。
为了帮助确保 Apple 钱包中身份证件的添加者与身份证件持有人为同一人,系统会要求用户自拍一张照片。在用户照片提交至州发证机构前,Apple 服务器和用户设备会将照片与面部及头部系列动作执行者的肖像进行对比,并帮助确保已提交照片上的人是真人,且与证件上的人肖像一致。该对比完成后,照片立即在设备端进行加密,并随后发送至州发证机构以根据证件文件上的图像进行对比。
最后,系统会要求用户执行面容 ID 或触控 ID 认证。用户设备将此唯一匹配的面容 ID 或触控 ID 生物识别信息与州证件相绑定,以帮助确保只有将该证件添加到此 iPhone 的人才能出示它;其他注册的生物识别信息则无法用于授权出示该证件。此过程会严格在设备端上执行,且不会发送至州发证机构。
州发证机构将收到用于设置数字身份的必要信息。其中包括用户证件的正反两面图像,从 PDF417 条形码中读取的数据,以及用户在身份验证流程中自拍的照片。发证州还将收到用于防止欺诈行为的一位数值,其基于用户的设备使用模式、设置数据以及个人 Apple ID 的相关信息。最后,证件是否批准添加到 Apple 钱包将取决于发证州的决定。
在州发证机构授权将州证件或驾照添加到 Apple 钱包后,iPhone 会在安全元件中生成密钥对,以将用户证件锚定到该特定设备。如果是添加到 Apple Watch,则 Apple Watch 会在安全元件中生成密钥对。
iPhone 上有证件后,Apple 钱包中的用户证件上所反映的信息会以由安全隔区保护的加密格式进行储存。
搭配证件读卡器使用 Apple 钱包中的驾照或州证件
若要使用 Apple 钱包中的证件,用户需要先使用与 Apple 钱包中该证件关联的面容 ID 或触控 ID 设备进行认证,然后 iPhone 才会将信息出示给证件读卡器。
若要在 Apple Watch 上使用 Apple 钱包中的证件,用户需要在每次佩戴 Apple Watch 时都使用关联的面容 ID 外貌或触控 ID 指纹解锁 iPhone。然后,用户无需认证即可使用 Apple 钱包中的证件,直到其再次摘下 Apple Watch。此功能利用了 watchOS 系统安全性中所详述的“自动解锁”基础功能。
用户在将 iPhone 或 Apple Watch 靠近证件读卡器,或者在 App 内共享证件时,会在设备上看到提示,显示谁正在请求哪些特定信息及其是否打算进行储存。使用关联的面容 ID 或触控 ID 进行授权后,设备会发放所请求的身份信息。
【重要事项】用户无需解锁、展示或传递设备即可出示其证件。
如果用户未启用面容 ID 或触控 ID,而是启用了诸如“语音控制”、“切换控制”或“辅助触控”的辅助功能,则可以使用密码访问并出示其信息。
身份数据到证件读卡器的传输遵循 ISO/IEC 18013-5 标准,其中提供了多种可用的安全性机制,可检测、阻止和减少安全性风险。此类机制涵盖了身份数据完整性和防伪性、设备绑定、知情同意,以及通过无线电线路传输的用户数据保密性。
搭配 iOS App 使用 Apple 钱包中的驾照或州证件
用户也可搭配 iOS App 共享其在 Apple 钱包中的驾照或州证件信息。用户与 App 共享其证件时,“钱包”将抓取并验证通过 App 开发者注册的加密证书。
此证书将用于加密用户已同意共享的信息。该信息由“钱包”使用 HPKE 加密,Apple 永远无法获取。“钱包”定期向 Apple 服务器进行查询以验证证件是否仍有效。如果最近未执行检查,则可能会在用户与 App 共享其证件时进行检查。