1. 什么是Apple Pay
Apple Pay是Apple公司创新的一种安全支付方式。利用Apple Pay,用户可以在商店或App内进行支付,既简单又安全。你再也不必到处翻找钱包,也不用再浪费时间寻找合适的卡了。只需要在支持Apple Pay的POS机上轻轻一触,并得到你的允许,即可用你的信用卡或借记卡完成支付。
Apple Pay 是一种支付形式,而非钱包。Apple属于完全第三方,提供了一整套技术整合了支付过程的各个环节,连接了用户和商家,让用户的银行卡与商家的支付系统对接。与支付宝和微信支付不同的是,省去了第三方平台(支付宝钱包、微信钱包),减少了风险。支付过程中Apple不会收取任何费用。
Apple Pay易用且安全。它在使用过程中不会泄露你卡片的详细信息,因为这些资料不会储存在你的设备上,也不会上传至iCloud,更不会传递给商家。
如图 1和图2所示,分别是Apple Pay在实体店支付和App内支付,这2种支付场景的流程和原理类似,本文只探讨实体店支付场景。Apple Pay支持iPhone6、iPad Air 2、iPad mini 4、Apple Watch及以上机型,本文只探讨iPhone支付。
图 1 实体店支付
图 2 App内支付
2. 名词解释
先来熟悉几个名词,有助于了解Apple Pay的机制。
3. Apple Pay的体系架构
Apple Pay在平台上采用了可信的Boot Chain架构,确保正确的关键和软件加载在经过验证的硬件上,并继承了符合金融行业标准认证体系的安全芯片架构。
图 3 Apple Pay体系架构简图
在现有支付体系的生态环境尊重与兼容的前提下,Apple不失时机地将Passbook、Touch ID、安全芯片(Secure Element)、NFC控制器、Touch ID和Apple Pay服务器等几个关键技术点整合进来。从下图可以看出,Apple是逐年完善其支付体系,逐步打造支付生态的。
图 4 Apple Pay技术演进
Passbook虚拟钱包
整合了各类服务的票据,如登机牌和会员卡等,自身不提供交易功能,但帮助商户发展了会员,且圈存了大量商户资源。
Touch ID
用与Home键解锁和App Store虚拟商品购买的身份验证,省去了输入密码环节。
安全芯片(Secure Element)
Apple从iPhone5S开始使用ARM公司的A7架构处理器,除了性能的提升外,更重要的是A7支持TrustZone技术。TrustZone技术通过其内部总线的精巧设计使在同一颗ARM处理器上分隔出两个隔离的软件和硬件资源区。该技术符合GlobalPlatform TEE体系架构定义。
Secure Enclave和Secure Element通过串口加密通信,加密通信所使用的共享密钥对(Shared Pairing Key)关联了Secure Enclave的UID和Secure Element的ID,由Secure Enclave生成,并通过iClound的加密机预置在安全芯片中。
当用户身份验证成功,Secure Enclave对交易数据用共享密钥对签名,并附上AR(Authentication Random)然后发送到Secure Element对其进行解密。由此实现这2者之间数据的安全交换。
NFC
打通了线下交易环节。
Apple Pay Server
打通支付网络系统或银行的安全通信。
4. 整合上下游产业链
Apple擅长整合长产业链,从用户、商户,到安全,再到支付,形成完整的生态。
4.1. 上下游环节
用户
App Store、用户信用卡资源
商户
Passbook聚集了大量商户资源
安全
Touch ID,培养用户使用指纹识别,用于解锁和App Store消费
与银行卡产业链的所有角色合作
逐步整合产业链上的角色和资源,打造完整的生态。
4.2. 银行卡产业链
包括:
卡组织,Visa, MasterCard, American Express;
发卡银行;
商户信息系统提供商,Micros, NCR, Opentable;
收银终端制造商,Verifone, Ingenico;
商户;
芯片标准化组织GlobalPlatform。
5. 添加银行卡至Apple Pay
Wallet能存放登机牌、各种票券和积分卡等等,有了Apple Pay,它还能储存信用卡和借记卡。
图 5 添加银行卡至Wallet
用户以键盘或iSight方式输入银行卡信息,这些信息均会被加密传输至Apple Server。Apple Server解码这些数据,并重新将数据以私钥加密,这些数据除了之前认证的信息外,还有Apple用户信息、用户手机号码、姓名、手机型号、地理位置等,然后再将其传输至银行支付系统。银行支付系统以相同的私钥对请求进行解码,根据请求数据判断是否允许该账户添加至Apple Pay。这样可以保证其他非法用户无法窃取到相关信息。
一旦银行卡授权成功,银行支付系统生成一个与PAN唯一关联的经加密后的DAN,并发送至Apple。DAN对于每个设备来说都是唯一,且对应唯一的银行卡号。对于这个DAN,Apple不会做解码,只会将其添加至Secure Element。为了保证安全,DAN与iOS隔离,也不会存储在Apple Server和iCloud上。Apple不会使用或者存储PAN,更不会将其传输给商家。
在Walle添加银行卡的流程图如下图所示。
图 6 添加银行卡的流程图示意图
6. Apple Pay支付
触发Apple Pay有2种状态,
当iPhone处于上电状态靠近读卡器,Apple Pay会被NFC控制器启动,向用户呈现预先设定的银行卡信息。经用户选择确认后,再通过身份验证(Touch ID或Passcode),NFC控制器会启动安全芯片通道,用户再次刷读卡器启动Payment Applet,向商户传递交易信息、终端信息和动态安全码。
先主动使用Touch ID或Passcode验证身份,使iPhone处于“已通过验证”状态,然后再刷一次读卡器完成支付。
图 7 在实体店使用Apple Pay进行支付
每次付款,当你将信用卡或借记卡交到别人手中时,你的卡号和身份信息都暴露无遗,而刷卡时更会触发信息交换。当你使用Apple Pay进行支付时,会使用DAN以及该笔交易特定的动态安全代码来处理付款。因此,Apple不知道你的信用卡或借记卡的实际卡号,更无法将其传输至商家。与直接进行刷卡交易不同的是,每次支付Apple Pay均要求使用Touch ID或密码,在验证Touch ID或输入密码之前,所有的支付要素都不会被发送到收款终端上。因此,只有你本人才能使用它们完成这些支付。
7. 手机丢失怎么办
别急,最有效的不是去银行挂失,你可以使用“查找我的iPhone”迅速将它们设为“丢失模式”,便可停止这些设备上的Apple Pay功能,或者完全抹掉这些设备上的信息。另外,你还可以通过iCloud,停止在设备上使用信用卡和借记卡进行支付,方法很简单,只需登录 iCloud.com 并点击“设置”即可。银行可以禁用用户Apple Pay的银行卡,即使你的手机没有连接运营商网络或者Wi-Fi。当然,你也可以主动联系银行禁用或者取消关联Apple Pay。
8. Apple收集什么信息
Apple宣称(为了中立,就是宣称)不会收集任何交易敏感的信息,也不会对用户做行为分析。有些数据,如位置信息、交易时间可能会被记录下来,但是以匿名的方式,用于改进Apple Pay。
9. Apple Pay的安全性
添加银行卡输入的信息,无论使用键盘输入还是iSight摄像头都会被加密。iSight拍照不会在手机上留下照片记录。
Touch ID在iPhone 5S上推出,经过2年多的检验,其安全性得到了验证,尽管曾经被攻破过,但付出的代价很大,远远超过了破解银行卡密码的难度。
使用Tokenization技术解决用户银行卡被盗带来的问题。
支付时,收银员看不到你的姓名、卡号或安全代码,鉴权方式是设备+指纹,比传统的银行卡+密码方式安全度高,盗用难度更大。
支付过程中的支付信息被存储在一块独立的安全芯片中,全程加密,且不会被传输到任何地方,任何交易方都不能获得相关的敏感信息。
Apple不会存储银行卡号,也不向商家提供银行卡号。
即使iPhone丢失,其保存在安全芯片中的信息也无法被轻易获取,而且通过远程擦除功能可以抹掉iPhone上的支付卡片的所有信息。
Apple只保留了NFC的卡模式功能,而屏蔽了读写器和P2P功能。
依赖iOS操作系统及硬件一贯的高安全性和高性能。
10. 几点认识
Apple Pay不是一种单一的技术;
Apple Pay不是一次铸成,而是有清晰的规划路线;
Apple Pay没有颠覆任何技术、环节或事物,而是整合了一系列支付环节;
Apple Pay不是钱包,而是无卡支付方式;
Apple做支付非常谨慎,未经实践检验的技术绝不使用。
5609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
