主页(http://www.175shouji.com):Apple Pay 分析报告
摘要
Apple Pay(苹果支付)是由苹果公司于2014年推出的一款基于NFC(近场通信)的手机支付软件。用户使用Apple Pay后,只需将手机在支付终端上一“刷”就可以完成支付。
Apple Pay(的信用卡消费需求日益增长,但是信用卡的使用并不便捷,而当时的移动支付方式都不尽如人意。另一方面,在过去,NFC技术长期没有得到很好的发展,支持NFC技术的终端很少,所以在支付领域,主要还是以二维码技术为主。
2014年10月20日,Apple Pay应运而生。次年3月Apple Pay就开始采用NFC技术实现免接触支付。此后,Apple Pay陆续进入英国和澳大利亚、加拿大等市场。2016年2月18日,Apple Pay正式登陆中国。在中国Apple Pay的首批合作的ATM机也开始支持Apple Pay的取款功能。
使用Apple Pay,用户首先要保证自己的设备支持Apple Pay,接下来就可以在苹果设备自带的软件wallet(钱包)里绑定银行卡,具体方法是点击wallet中的“+”号,点击下一步,手工输入银行卡号或者通过手机摄像头拍摄银行卡正面照片,由软件自动识别银行卡号。接下来输入银行卡的用户名、银行卡有效期限、密码以及该银行卡在银行预留的手机号码。填完这些资料,预留的手机号就会收到一条验证码短信,用户将收到的验证码输入到验证码框内就能完成银行卡绑定。一台设备可以绑定多张银行卡,用户可以自由选择默认支付的银行卡。
完成上述步骤之后,就可以开始支付了。用户支付时无须链接网络、无须打开软件,甚至无须唤醒屏幕,只需将设备靠近专门的读卡器,将手指放在苹果设备的HOME键上进行指纹认证,就可以轻松完成支付程序。如果支付金额超过免密支付的额度,就需要用户手动输入密码,密码必须与银行卡密码一致。
因为iPhone 5和iPhone 5s不支持NFC,所以需要连接Apple Watch才可以使用Apple Pay。在这种情况下激活银行卡,需要进入手机上的“Apple Watch”,点击“Wallet与Apple Pay”,然后在Apple Watch上输入密码以解锁Apple Watch,随后在“Wallet与Apple Pay”界面通过点击“添加”按钮添加银行卡。此后的流程与上述银行卡的添加流程类似。在Apple Watch上支付时,连续按二次手表右侧的电源键会出现支付界面,将Apple Watch靠近读卡器,就可以完成“秒付”。
在银行取现金时,需要在银行的ATM机上选择Apple Pay取款,输入取款金额,将苹果设备靠近ATM机的读卡器并将手指放在HOME键上验证指纹,最后输入银行卡密码就可以实现无卡取现。
Apple Pay被视为目前最安全的支付解决方案,其安全性主要靠以下组件实现:
Secure Element(安全元件)
Secure Element是Apple Pay的核心安全技术。Apple Pay将Secure Element嵌入到苹果设备中,起到存储、加密和解密的作用,从而防止了数据的泄露。Apple Pay并不在Secure Element中存储PAN(银行卡主账号),而是利用DAN(设备账号)的支付Token(支付标记)代替PAN,从而提高了银行卡信息的安全性。
NFC controller(近场通信处理器)
NFC controller在收款的读卡器、Secure Element、应用处理器三者之间建立起了桥梁,使得三者之间可以通过非接触的方式进行数据交换。传统的二维码支付方式,需要开启手机的摄像头,并且在二维码上停留一定时间,所以支付时间较长,而且容易被恶意程序截取,造成用户资金损失,而NFC controller取代二维码就可以大大提高安全性。
Touch ID(指纹识别服务)
通过指纹方式进行用户身份认证,减少了密码泄露和银行卡被盗刷的可能性,同时也提高了付款速度。
Apple Pay Servers(Apple Pay服务器)
Apple Pay Servers的作用主要是:
1、管理银行卡以及存储在Secure Element中的账户信息;
2、负责服务器之间的通信;
3、产生、加密并发送支付凭据。
Secure Enclave
苹果设备在Apple A7及以上版本的处理器上还封装了一个协处理器——Secure Enclave.Secure Enclave的主要作用是存储和匹配用户的指纹数据,Secure Enclave还有防止暴力解锁的功能。
在具体支付时,Apple Pay的所有交易都会产生包含Dynamic Security Code(动态安全码)的DAN(设备账号)信息。在交易时,系统会随机产生一个Dynamic Security Code,从而取代银行卡号,每次交易都会重新产生一个一次性的Dynamic Security Code进行授权。这样保证了商家无法知晓消费者的银行卡号,而且DAN存放在苹果设备的芯片上,不会被上传到云端,这一技术提高了用户银行卡的安全性。Dynamic Security Code是由密钥、随机数以及交易信息通过计算生成的,交易信息包括:交易计数器的值、近场支付时销售终端产生的随机数或者应用内支付时由服务器产生的随机数。
交易时的指纹验证实现了身份识别功能。指纹数据要从指纹传感器经由应用处理器传达到Secure Enclave,为了保证在这一过程中指纹信息不被截取,Apple Pay采用密钥对传输的数据进行加密,提高了信息传输的安全性。同样的,Secure Enclave与Secure Element之间的数据传输也通过密钥加密,密钥由AES的密码学算法生成。只有经过指纹验证,支付信息才会被发送到销售终端上,这减少了银行卡密码泄露、被盗刷的风险,也大大缩短了支付时间。
如果用户的设备丢失,可以登陆自己的iCloud账户,停止该设备的所有支付服务。
Apple Pay被视为目前最安全的支付解决方案,其安全性主要靠以下组件实现:
根据调查,Apple Pay的注册率在上升,但是它的实际使用率却不尽如人意。到底是什么导致了Apple Pay的表现不如预期?Infoscout对2014年美国黑色星期五时Apple Pay的使用情况进行了调查[1]。首先,他们对已经安装了Apple Pay,却并没有在黑色星期五使用Apple Pay的消费者进行了访问,31%的被调查者表示他们不知道购买过的店铺可以使用Apple Pay,25%的消费者则表示他们压根没有想起来使用Apple Pay。随后他们又对正在使用iphone6或者更高版本苹果手机却从没有尝试接触Apple Pay的用户进行了调查,32%的用户表示他们对Apple Pay的工作方式并不了解,30%的用户表示他们更习惯于已有的支付方式,19%的用户则表示他们担心Apple Pay的安全性。根据调查,似乎Apple Pay的的用户中很大一部分只是因为新鲜感和猎奇心理而注册了Apple Pay,未来Apple Pay想要提高实际使用率还需要迈过几道“坎”。
适用设备少
从销售终端来说,目前中国支持Apple Pay支付的商店并不多。只有标有“银联云闪付Quick Pass”标志或者Apple Pay支付标志的POS机,才能支持使用Apple Pay,如图1、2.
从支付设备来说,目前支持Apple Pay的设备为:
1、iPhone系列:iPhone 6、iPhone6 Plus、iPhone 6s、iPhone 6s Plus、iPhone SE,iPhone5和iPhone 5s如需使用Apple Pay则需要连接Apple Watch.
2、iPad系列:iPad Air 2、iPad mini 3、iPad mini 4、iPad Pro.
3、Apple Watch.
此外,iOS系统需要升级到9.2及更高版本,Watch OS需要升级到2.1及更高版本。
从ATM机来说,也必须配备NFC硬件设备,目前满足要求的ATM机数量并不多。
从银行卡来说,目前也只有与Apple Pay签约的这几家银行支持Apple Pay的支付功能。
在应用内支付时,也要保证该应用支持Apple Pay支付,首批支持Apple Pay的应用如表1.
从这些使用限制就可以看出,其实有条件使用Apple Pay的用户并不是很多,再剔除一些不愿意使用Apple Pay的用户,就可以明白为什么Apple Pay的实际使用率不高的原因了。
安全问题
