Apple Pay 背景
起因
传统基于磁条卡片(包括信用卡、银行卡)的支付流程是不安全且繁琐的,磁条接口、暴露在外的卡片号码、支付密码/安全码等都存在安全隐患,磁卡支付流程过长,用户体验差
Apple Pay的目标
“Your wallet. Without the wallet.”替代钱包的移动支付服务,兼具支付安全隐私和极致用户支付体验
Apple Pay的发展历程
2009年开始布局NFC和移动支付专利,到2014年共有23个相关专利;
2012年7月以3.56亿美元收购移动安全Startup公司AuthenTec;
2013年1月启动和美国运通、万事达卡、VISA合作,基于EMV Token规范开发支付安全系统;
2013年中开始和美国大型银行合作,对接支付安全系统;
2014年9月10日苹果发布会上,苹果CEO库克发布了ApplePay移动支付服务;
2014年10月20日,ApplePay在美国正式上线,3天信用卡**量突破100万,11月底占移动支付市场份额1.7%;
截至2015年3月,美国有超过2500家银行已支持Apple Pay,覆盖全美90%信用卡,接受Apple Pay的商店多达70余万处;
2015年ApplePay计划在英国、加拿大、中国等地区上线服务。
Apple Pay的关键竞争力
极致体验:支持应用内支付和线下支付,无需打开应用,凭借指纹实现一键完成,支付响应<3秒;
安全隐私:交易时向商家发送的是加密的Token信息而不是信用卡号,苹果公司不会收集用户支付的数据,保护用户隐私;
核心技术 —— Tokenization
Tokenization技术是基于EMVCo(全球三大卡组织Europay、MasterCard、VISA联合成立)于2014/4发布的Payment Token技术规范实现的,Apple是Payment Token规范的推动者之一。2013年银联加入EMVCo组织。
Token技术目标:推动信用卡安全支付,通过Token替代PAN(Primary Account Number,银行卡主帐号
),大幅减少在交易流程中信用卡信息泄露的问题。
Token技术原理:
- 除传统支付参与方外,额外引入Token Requestor和Token SP;Apple 支付服务器作为Token Requestor, Token SP由支付网络商提供
- Token SP根据Token Requestor提供的PAN(主帐号)生成Token后,将Token作为PAN的替代值流转在支付的各个环节。
- 在支付流程中,用户的PAN只在Token SP、支付网络、发卡行之间传递,由于三者专线连接且彼此互信,大幅降低支付过程中PAN泄漏的可能性,极大地提高了PAN的安全性;
- 当Token被检测到风险或到期时,将再次生成新Token替代;
Apple Pay典型场景 —— 绑定银行卡
下图中的Passbook, 在现在的ios系统中叫做wallet(钱包),绑定卡的时候,iphone是需要和Apple Pay服务器连接的。
手机和Apple Pay服务器上不保存完整信用卡号,只在SE中保存唯一的Device Account Number(*DAN 苹果手机设备信息与Token一同加密生成的支付凭证可有效防止信用卡信息泄露。
SE (Secure Element)技术是基于GlobalPlatform组织发布的Secure Element技术规范实现的。 GlobalPlatform组织是制定安全芯片技术标准的国际标准组织,重要成员包括ARM、AMD、AT&T、中国移动、VISA、苹果、三星、华为等。
Apple Pay典型场景 —— 线下支付
线下支付的场景下,iphone是做为nfc终端来使用的,不需要联网,由nfc pos机发送token和支付信息(用户通过touch id认证的情况下),因此iphone就算是没信号无法联网,也可以做为apple pay的支付终端。
Apple Pay典型场景 —— 线上支付
线上支付变成是ios系统与SE芯片的交互,由ios发送信息(包含token)给支付网关做支付,对于用户来说,感知是差不多的,就是展示金额后,通过touch id确认支付。显然这个时候iphone是需要联网的。