Apple Pay终于来了，支付安全性怎样呢?-移动安全-安全频道-至顶网
› ››Apple Pay终于来了，支付安全性怎样呢?
Apple Pay终于来了，支付安全性怎样呢?
扫一扫分享文章到微信
扫一扫关注官方公众号至顶头条
日凌晨5：00，Apple Pay业务在中国大陆正式上线，在中国支持19家银行发行的借记卡和信用卡。将它们与Apple Pay 关联，就能使用新的支付服务。中国成为全球第五个、亚洲第一个上线该服务的国家。
来源：计世网 日
日凌晨5：00，Apple Pay业务在中国大陆正式上线，在中国支持工行、农行、建行、中行、交行、邮储、招行、兴业、中信、民生、平安、光大、华夏、浦发、广发、北京银行、宁波银行、上海银行和广州银行这19家银行发行的借记卡和信用卡。将它们与Apple Pay 关联，就能使用新的支付服务。中国成为全球第五个、亚洲第一个上线该服务的国家。
Apple Pay能够使用指纹识别技术Touch ID安全进入。这项服务能够让用户在苹果设备中储存其信用卡账号，并通过点击手机或者智能手表完成支付。
在&&&&&&中国大陆的春节红包大战硝烟还未散尽之时，Apple Pay此时杀了进来，但与微信钱包和支付宝不同的是：Apple Pay只是苹果搭建的一个支付服务，它链接银行、店面及用户，但又不像微信钱包或者支付宝那样把钱存在自己这。
所以，Apple Pay实现的是认证，收款方的设备是时刻联网的，Apple Pay 逆天的可以在没有网的时候用!对，没错，飞行模式下都可以正常使用!有网友评论说，就这一点秒了支付宝微信，虽然知道账单将接踵而至，但根本停不了&滴&一下就付款的吸引力啊!
另外一方面，在技术层面，Apple Pay是以NFC支付系统为基础，按照苹果自己的说法，&它绝对能提高安全性，防止灾难级的信用卡信息泄密事件再次独占新闻头条。&
乎-康上明学
在当前泄密成风的环境(哪个国家不泄露个几百万信用卡数据，该国黑客都快抬不起头了)中，安全的运用NFC技术有可能让移动支付成为一个&游戏改变者&。但是，这不是产生的唯一结果。随着NFC支付越来越受欢迎，它可能推动新的创新，激发更多更新颖的信用卡支付的技术。苹果至少是进入NFC支付市场排名前三的玩家，而且依照现在的情况来看，磁条信用卡正逐渐的被淘汰，这也意味着给黑客带来更多的挑战。
在去年3月5日，《华尔街日报》报道：有犯罪分子利用苹果移动支付验证系统的漏洞，借用盗取的信用卡信息，用苹果支付服务进行交易诈骗。据报道，苹果支付系统本身并未遭黑客侵入，而是犯罪分子在其自用的苹果支付系统中输入了黑客侵入零售商系统窃取的客户信用卡信息，再用苹果支付服务购物。
那么，NFC支付到底是什么?它又能真的确保万无一失吗?
&&&&NFC支付历史
&&谷歌第一个试吃&禁果&
NFC技术已经在移动支付领域流行了一段时间了。在2011年9月，谷歌通过谷歌钱包(Google Wallet)进正式军移动支付领域。
&&不过，谷歌钱包的推出和普及却遭到了移动运营商的打压(俗称&坑杀&，挖了个坑给埋了)，导致仅有少量的手机能够使用谷歌钱包。被打压的理由是安卓手机使用了一个名为安全单元(Secure Element)的组件，用于NFC支付系统在受保护的内存中存储金融数据。由于安全单元的使用，移动运用商要求禁用谷歌钱包的应用程序。
打压背后的意图是路人皆知的，即帮助运营商赢得时间开发他们自己的支付系统。在2010年末，Verizon、T-Mobile和AT&T携手创建了一家名为ISIS钱包的合资公司，目的是来设计NFC支付系统(该公司近期更名为SoftCard，避免和恐怖组织ISIS扯上关系)。可是，相比于谷歌钱包，ISIS钱包还是慢半拍，一直到2012年中期也只能提供试运行。在Google、运行商以及ISIS暗中较劲时，苹果却另辟蹊径，选择使用iBeacon技术。iBeacon是迈向基于蓝牙4.0的近端付款的第一步，也是苹果在无线POS产品中的首次试水。然而，此项技术作为支付平台并未流行起来。
苹果公司推陈出新：Apple Pay
尽管苹果和谷歌的首次尝试都遇到了阻力，但两公司还是坚定不移地投入到各自产品的改进工作中。谷歌的工程师通过基于主机的卡仿真技术(Host-Based Card Emulation，简称HCE)来解决安全元件的问题，已在&&Android4.4系统提供支持。苹果公司放弃了iBeacon，转向NFC支付技术，即今天的主角Apple Pay。&&&&&&
用户在使用Apple Pay时，可用苹果手机进行免接触支付，免去刷信用卡支付步骤。用户的信用卡、借记卡信息事先存储在手机中，用户将手指放在手机的指纹识别传感器上，将手机靠近读卡器，即完成支付。
国内又是怎样呢?
2010年起，中国三大电信运营商和中国银联相继针对NFC启动了移动支付业务，双方均希望以自身为核心建立起包含整个产业链。此后，两大阵营进行了近3年的标准之争，最终以电信运营商妥协结束。移动支付业务虽然宣传已久，但始终难见成效。
2012年，中国移动与中国银联达成协议，NFC行业标准统一为13.56M频段，标志着NFC在国内大规模普及的最大障碍被扫清。2014年，中国移动计划NFC手机销售目标达到3000万部，而中国电信、联通也纷纷针对NFC手机给出相应的补贴政策。
科普：NFC、iBeacon、安全单元、HCE
【NFC】：一种近距离无线通讯技术。它允许两个设备在数英尺距离内互相传输数据。NFC手机能够与其他支持NFC技术的设备交换数据，也可以读取海报、价钱或其他产品上的智能标签信息。】&&&&
&&&&【iBeacon】：是苹果公司开发的一种通过低功耗蓝牙技术，可实现十分精确的微定位技术。iBeacon基站可以创建一个信号区域，当设备进入该区域时，相应的应用程序便会提示用户是否需要接入这个信号网络。
&&&&【安全单元(Secure Element)】：为NFC设备上专用的微处理芯片，与手机的主操作系统及硬件互相独立。只有像谷歌钱包这样的已认证程&&序才能访问该芯片，并发起交易。该芯片可以与NFC控制器集成在一起。另外也可以集成在NFC设备中的其它智能卡/安全设备中&&。&&
&&&&【基于主机的卡仿真(HCE)】：当采用安全元件提供的NFC卡仿真，被仿真的卡是通过Android应用程序配置到该设备上的SE，如图1。然后，当用户将设备放在一个NFC终端上，在设备安卓设备上的NFC控制器转发所有数据直接从读卡器到安全元件。当使用基于主机的卡仿真模拟的NFC卡，这些数据被&&传输到运行在安卓应用程序上的主机CPU，而不是NFC协议的帧传输到安全元件上，如图2。
图1 基于安全元件的卡仿真
图2 基于主机的卡仿真
Apple Pay安全吗?
世界上没有100%的安全，只能说针对目前能想到的问题，苹果尽可能的做好了安全措施。
首先，信用卡信息不会存储在iPhone里，取而代之的是一个可变的token code，每次买东西发给银行的动态安全码也不一样，而这一切的钥匙是手机上的Touch ID指纹装置，它已经经过了几代iPhone的验证。
其次，苹果也强调了用户隐私：不会记录任何通过Apple Pay产生的交易行为，也不会进行用户购买行为分析。并且特意提了一句：&这是苹果与其它对手的最大的差异&。
手机或手表丢了会被盗刷吗?
Apple Pay绑定信用卡时候必须启用指纹识别，如果你的iPhone或iPad丢了，首先有用Touch ID保护。用户也能在远程通过&查找我的iPhone&应用，或网页将它设为&丢失模式&，Apple Pay便会停止。
手表上用Apple Pay页必须先启动锁机密码，如果Apple Watch丢失，可以登陆iCloud或者在iPhone手机上解除Apple Watch支付授权。只要虚拟银行卡号被解除授权，即便是Apple Watch处于离线状态，也会终止支付功能。
关于安全性，苹果怎么说?
&&从技术上看，后台架构为这次的变革做好了准备。最近几年，包括麦当劳的几个企业已升级了他们的电子销售点(EPOS)系统，通过非接触式NFC读卡器来实现快速支付。
苹果支付的工作流程类似于：首先启动手机上的支付APP，然后手机轻轻贴着NFC读卡器来建立NFC链接。终端设备安全地连接到支付系统，然后选择一个已存储在手机上的信用卡。手机上并不存储信用卡号，而是存储设备账号号码(Device Account Number，简称DCE)。
交易过程中，该设备账号号码与一个交易安全码相结合，然后由iPhone6上的指纹扫描器来授权(在iPhone5需要输入PIN密码)。安全元件的芯片会验证这次交易，并将授权信息转发到NFC调制解调器。
接下来，商家把交易信息转发到为商家提供担保的收单银行。信息再从担保银行发送到支付处理网络。支出处理机构(如维萨-VISA， 万事达-Mastercard等)判定账户信息、使用的信用卡，并确保交易安全码是有效的。
因为支付处理机构正在访问设备数据，所以苹果并没有记录什么信用卡正在被使用，或怎样使用。
科普：DCE(存储设备账号号码)
【存储设备账号号码(Device Account Number，简称DCE)】：信息卡信息都会转换成一个设备账户号码，加密后存储在手机安全元件的芯片上，并且和手机进行绑定。设备账户号码并不会存储在Apple的服务器上。每笔消费也是使用设备账户号码，而不是真正的信用卡信息。
&&苹果支付的安全评估
&&按道理来说，NFC支付应该更安全。不同于传统的信用卡，NFC支付针对每次购买都会产生一串新的数字，而不是发送用户的信用卡信息。安全元件使黑客难以利用盗取的数字串用于其他的目的。在传统模型中，商家必须要接收信用卡信息，即使已加密过。商家必须承担保存和处理信用卡号的责任。
然而，NFC系统让使用现有的黑客技术难以截获信用卡信息。因为交易过程不需要刷卡，分离器没有机会来获取磁条信用卡的数据。此外，这也缓解了来自内存抓取(memory-scraping)恶意软件的威胁，例如BlackPOS 或 Dexter。
可能在未来的某个时刻，一个小型天线放置在NFC读卡器旁边，用于截获NFC读卡器和手机之间的通信。但是，因为黑客只能截获结合了交易码的设备账户号码，把窃听的数据再次用于恶意目的几乎不可能(因为交易码是针对某笔消费产生，具有唯一性和有时效性)。
这个过程也可以阻止黑客从商家搜集信用卡信息，因为商家仅使用基于NFC支付系统来处理设备账户号码和安全交易信息，而不是信用卡号。即使黑客能够访问零售商的网络，交易信息具有仅使用一次的特性，这让黑客的计划泡汤空了。目前，尚不清楚零售商是否会存储这类信息。当然，我们预料到终有一天黑客们会像传统基于磁条的卡片中的数据使用基于NFC支付系统中的数据。
科普：ATM分类器
&&【ATM分类器(ATMSkimmers)】：直译过来为 ATM 分离器，是一种依附在正常自动提款机上的硬件设备，通常覆盖在键盘、银行卡插槽上，伪装成正常的键盘和银行卡插槽，并且与原设备严丝合缝，基本上普通用户很难区别出来假的键盘、银行卡插槽，用来窃取用户输入的密码以及银行卡数据的一种电子硬件设备。
&&未来方向
&&展望未来，移动支付安全会依赖于三个组件：用户身份认证、移动应用程序的验证、第三方支付执行机构(third payment processor)。
第一个是身份认证。苹果支付应用生物特征进行身份认证。然而，iPhone5S仅发布两天后，黑客就成功了绕过了iPhone5S的指纹识别系统Touch ID，由此表明这仍是一项新型的技术。数据的汇聚是关键，也是这种新型金融形式所带来的主要风险。当我们着眼于个人组件、漏洞，以及他们带来的风险，我们必须将这个过程视为一个整体。
第二点，我们必须考虑第三方APP和恶意程序是如何影响Apple Pay。当苹果还没有向第三方APP开放接口时，我们几乎在每个移动环境都观察到了恶意程序。在这种情况下，信用卡号在录入到移动终端时可能存在被盗取的风险。信用卡信息通过对信用卡拍照或手动输入等方式录入到Passbook中。这是数据最脆弱的时候，因为恶意程序可能尝试截获信用卡的照片或手动输入的信用卡信息。
最后，支付的基础设施服务。考虑到要通过这些服务处理大量的资金，这些服务通常拥有比较高的安全性。随着POS系统逐渐转向了NFC支付，商家网络中基于磁条的卡凭证数据会越来越少。黑客们当然不会轻易放弃自己的事业，而是把精力投放到支付流程中下一个最薄弱点。&&
最后的思考
消费欺诈是一个巨大的市场。我们必须想到那些实施网上欺诈的家伙们一定会挖空心思寻找这个新技术的空隙来维持他们的收入来源。随着智能设备上的购物和银行服务不断普及，你可以清楚预见到未来犯罪所关注的焦点，即能否在衍化的新环境中重现传统的欺诈手段或挖掘出新的漏洞或机会。
此刻，尽管看起来苹果支付和其他NFC移动支付系统提供了增强的安全性，防止传统零售业的信用卡泄露事件发生。由于移动支付能够为人们提供极大的便利和效率，随着消费者不断增加对虚拟的钱包、支付以及账户的依赖，信用卡很有可能将会不断演进。随着消费行为的转变，我们预料到罪犯也会紧跟趋势，不断创新，否则就被市场淘汰了。
如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。
北京第二十六维信息技术有限公司（至顶网）版权所有. 京ICP备号-7 京ICP证161336号 京公网安备 00号“云闪付+Pay”来了 移动支付大战谁能笑到最后
3月29日，SamsungPay在华正式上线，成为了继ApplePay以后，又一家与中国银联合作的移动支付服务商。厂商涉足移动支付领域，已成为一种趋势。ApplePay和SamsungPay均采用NFC支付方式，手机无需处于连网环境，用户不用唤醒屏幕和打开APP，只需在带NFC闪付POS机上将手机轻轻一刷，输入指纹，即可完成支付，整个流程只需要2~3秒。 NFC即近距离无线通信，可实现短距离内的数据传输。在应用于移动支付之前，NFC广泛用于公交卡、门禁卡、校园卡等领域，技术已做到相对成熟。说到各类Pay在POS机上的顺利支付，除了NFC技术，还不得不提到中国银联推广的“云闪付”。云闪付采用了HCE技术和Token技术。HCE中文称为主机卡模拟技术，HCE用手机模拟芯片实现了发卡交易，该种技术下交易不需要发放实体卡片。Token中文称为支付标记技术，交易过程中银行卡号会被替换为虚拟卡号以作为支付凭证，手机端也不会显示用户的银行卡信息，实现了对卡号信息的保护。在“NFC+云闪付”的护航下，中国银联和手机厂商合作的各类Pay实现了用户无需网络的环境下的移动支付，并且手机厂商不会与商家共享客户信用卡或借记卡的实际卡号，付款时也不会传输这些信息。 目前，手机厂商在绝大多数中植入了NFC芯片，为加入移动支付大战做足了准备。遗憾的是，多数手机不具备指纹识别功能，影响了Pay的使用。例如，ApplePay和SamsungPay目前都只支持旗下部分高端手机。刚刚与银联签署战略合作协议的HuaweiPay也表示，首批用户需使用华为MateS手机。毫不夸张的说，各类Pay高冷范十足，仅仅是为高端用户提供的小众服务。
“云闪付”——银联和组成的“复仇者联盟” ApplePay和SamsungPay入华，均携手了中国银联的“云闪付”。云闪付作为银联与23家商业银行共同推出的新型支付方式，主打安全快捷。银联大力推广“云闪付”的原因很明显：抢回被支付宝、财付通等机构占据的移动支付市场份额。 根据有关数据显示，2015年中国第三方移动支付交易规模超过10万亿元，支付宝以68.4%的市场占有率位居首位，财付通位紧跟其后，市场份额达20.6%。两大第三方支付平台占有市场近九成的份额。 在过去的几年里，银联和商业银行对移动支付市场投入不够，创新不足，逐渐失去了市场主导地位。银联和商业银行组成的“复仇者联盟”，希望使用“云闪付”所承载的新技术，与外部展开广泛合作，在移动支付市场扳回一局。
第三方支付——移动支付分账制度的“搅局者” 从消费者的角度来说，移动支付为生活提供了便利，选择支付机构时安全、快捷和实惠是重点考虑的因素。然而，对于银联、商业银行和第三方支付机构来说，这里面的差别巨大。 从银联和商业银行方面来说，第三方支付在移动支付领域的兴起，减少了它们的收入。根据2013年1月下发的《国家发展改革委关于优化和调整银行卡刷卡手续费的通知》的规定，每一笔通过银联渠道的刷卡手续费均由发卡行服务费、银行卡清算组织网络服务费和收单服务费组成，发卡机构、银联、收单机构基本按7:1:2的比例进行分账。 支付宝和财付通模式下的移动支付，则改变了这种分账方式。支付宝和财付通等第三方支付机构，通过与商业银行直接开通接口的方式，绕开了银联进行清算。这不仅减少了银联的收入，还削弱了银联银行卡清算组织的功能。 对于商业银行，利益受损更甚。商业银行在手续费减少的基础上，还将为获得存款付出更高的成本。用户在使用第三方支付的过程中，或多或少会在账户内留下一部分沉淀资金。第三方支付将这部分资金以备付金的方式存入商业银行时，大部分资金并未采用活期的方式计息，而是采用单位通知存款、协定存款等方式计息。商业银行对备付金可谓是爱恨交织，备付金是一笔巨大的资金来源，可是却不得不为此付出高昂的成本。要知道，在以前这部分资金是往往是按活期支付利息的。 同样是移动支付，银联和商业银行和支付宝和财付通是竞争关系，ApplePay和SamsungPay却受到银联和商业银行的欢迎。原因在于，ApplePay和SamsungPay不需要建立账号，清算和结算仍走银联渠道，故而成为了“云闪付”天然的盟友。ApplePay在线上之初即支持19家商业银行的借记卡和信用卡，SamsungPay首批便获得15家商业银行的支持，这些商业银行，都是“云闪付”的成员。 以ApplePay为例，用户只用在首次使用时绑定银行卡，不需申请新的账号。支付时设备上不显示实际卡号，只显示动态生成的虚拟卡卡号的后四位，不参与买卖双方交易的任何环节。在分账模式上，ApplePay并没有公布具体信息，可以肯定的是，发卡行、银联和收单机构在整个流程中的地位不会改变，均能分得手续费。 支付，不仅仅是支付 从表面来看，支付业务本身没有太大的利润可言。刷卡手续费仅占商业银行收入中很小的一部分，第三方支付机构能够做到微利已经相当不错，部分甚至可能会出现亏损。免费和补贴，是第三方支付推广过程中的常用手段，这依赖于平台的资金支持。去年双十二时期，支付宝开展了一系列优惠活动，用补贴鼓励用户使用支付宝付款。虽然没有公开数据统计双十二支付宝的支出，根据双十二当天“全场五折”活动力度推断，应该花费不菲。无独有偶，腾讯曾公开表示，由于给微信用户免转账手续费，腾讯每月需支付3个亿，更重要的是，随着用户的增多，这笔费不降反升。 即便如此，移动支付仍然是各方都愿意抢占的市场。深层次的原因在于，支付不仅是一种付款方式，也是记录资金流向的工具，是提供其他增值服务的基础。仅从商业信贷审批中，便可看出支付的重要作用。商业银行在审批贷款的过程中，往往需要审核银行流水，银行流水通过记录申请人的支付信息，客观反映着申请人的资金流向，是银行来判断申请人的信用状况的重要依据。如果，商业银行放弃移动支付市场，那么它将失去用户大量的支付行为数据，这会给其他业务的办理徒增困难。 支付宝、财付通等第三方支付机构，在支付过程中培养了用户的使用习惯，占领了移动支付的市场。与此同时，顺势推出各类理财产品和借贷产品，获得高额利润。不仅如此，它们还利用的支付数据，多角度分析用户的信用状况，并结合其他数据，推出自家的个人产品。 移动支付市场谁主沉浮 用户的使用习惯一旦形成便难以改变。银联和手机厂商期望用“云闪付+Pay”的模式改变移动支付市场现有格局并非易事。“云闪付+Pay”组合以安全快速著称，但其缺陷不可忽视。ApplePay和SamsungPay的绑卡成功率不高，合作银行数量较少，是无法回避的缺点。在使用范围方面，ApplePay和SamsungPay与20余个APP有线上支付合作，在线下支付时要求POS机必须支持NFC技术，消费场景受限。与支付宝和财付通相比，云闪付和各类Pay的优惠少，对商家和消费者的吸引力不足。 与之相反，经过几年的累积，支付宝和财付通在移动支付市场的运营和推广上经验丰富。购物、打车、点餐、抢红包、转账、购票等消费场景早已与移动支付融为一体，再搭配着大力度的优惠政策，支付宝和财付通牢牢抓住了用户的心。 可以想象，在不久的将来，随着HuaweiPay、小米Pay、魅族Pay等各种Pay的纷纷加入，移动支付市场将迎来激烈的竞争，“云闪付+Pay”模式会被更多用户接受。然而，这并不意味着支付宝和财付通的影响力会减小。短期内，移动支付市场仍将是支付宝和财付通两家独大。
【版权提示】中商情报网倡导尊重与保护知识产权。如发现本站文章存在版权问题，烦请联系、4，我们将及时沟通与处理。
【数据平台合作】我们的数据自媒体平台“”、数据交易所“”正式上线了！欢迎各位数据自媒体们合作入驻。免费入驻类型：各行业数据自媒体、数据企业。咨询QQ ：
中商情报网扫一扫、与您一起发现数据的价值
中商产业研究院扫一扫、每天阅读免费高价值报告
中商情报网始终聚焦科技、互联网+、创业、财经、产经大数据等，目前在全国财经网站中排名居前，旗下中商产业研究院专注产业经济细分市场研究，中商可以为用您提供一手的市场数据和高价值的商业资讯，欢迎沟通交流合作！
广告、内容合作请点这里：
askci Corporation, All Rights Reserved
中商情报网版权所有
增值电信业务经营许可证：粤B2-}