中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx
《中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx》由会员分享,可在线阅读,更多相关《中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
3.ApplePay的使用
(1)绑定银行卡
打开苹果自带的Wallet(钱包),点击最上方的ApplePay,就可以添加银行卡了,再通过短信验证就可以激活卡片。
如果之前在AppStore里面绑定过银行卡的话,只需要再输入安全码,就可以立即完成绑定。
在支付的时候,用户可以自由选择银行卡,刷手机后验证指纹就可以完成支付了。
(2)具体使用
苹果的移动支付并不需要打开任何APP,而是通过NFC,只要将苹果产品靠近银联POS机,同时验证指纹即可完成支付。
NFC的原理就和刷公交卡、地铁卡是一样的。
具体使用情况可以看图片。
4.ApplePay和其他移动支付产品的区别
目前的移动支付有三大技术形态,分别为NFC支付、刷卡支付和应用支付。
这里列出支付宝和Applepay的主要区别。
支付宝(移动端)
ApplePay
技术
Web
Nfc
支付距离
不限
<
10cm
数据存储
云端
手机内置芯片
数据存储是否加密
位置
加密
数据传输
支付验证
Pin(数字密码)
Touchid(指纹)
ApplePay和支付宝等移动支付产品的区别在于前者不分线上线下,而后者必须联网且配合相应的应用进行实现,除此之外还在于支付技术的不同。
首先我们来看一下传统支付技术和支付宝的支付技术差异。
通过查阅资料我们得知,传统的银行支付体系包含商家、收单方、卡组织、发卡行和顾客五个要素。
这五者中,顾客和商家指买卖双发,发卡行是指办银行卡的银行,卡组织简单来说就是银联,它提供不同银行间的资金清算服务。
比如,从招商银行的atm上取出工商银行的钱,这个钱会先由招商银行先行垫付,再由卡组织向工商银行索取来还给招商银行,这其实就是信用卡的影子。
而收单方,是提供商家和发卡行之间的资金清算服务,商家的POS机基本是由收单方提供的。
而支付宝和微信的支付过程等于踢掉了收单方、卡组织,直接对接银行进行交易,本来在这个过程中,发卡行和收单方可吸纳用户手续费,但支付宝和微信的这种方式将这种方式将原本属于收单方、卡组织的“生意”硬生生地挤掉了,抢了银联的生意。
而ApplePay与支付宝、微信支付不同,用户并不能往ApplePay里充值,所以ApplePay自然不会涉及自有资金的管理和清算,不仅不伤及银联的利益,甚至更加稳固银联的利益。
5.ApplePay的优点
ApplePay最大的优势是,非接触设计速度快,并且使用指纹支付,安全性高,同时使用的时候无需网络支持。
ApplePay的线上支付(类似淘宝网购):
ApplePay的线下支付:
二、ApplePay的技术原理
从表面来讲,ApplePay并不是简单的一种技术,而是集合了NFC、TouchID身份验证技术和传输加密技术,实现了从银行卡到支付POS机的安全信息传输。
总体上来讲,整个运行过程为:
指纹授权→生成支付请求→将加密数据通过NFC传送到支付终端→返回结果,实现了端到端的安全。
1.ApplePay的运行过程。
我们在这里以招商银行为例解释ApplePay的运行流程。
Ⅰ用户向招商银行申请了一张银联标准信用卡,获得批准。
在这一步,招行:
a.键入用户的申请资料,对用户进行资产和信用调查(征信);
b.批准用户的申请请求,对用户进行授信(颁发信用额度);
c.通过申请人档案生成客户档案;
d.在客户档案下新建一个名叫“个人消费账户”的贷记账户并报告给人行以建立信用记录;
(贷记卡不需存款也可使用,以不超过银行给定的信用额度为准,相当于银行给予短期贷款)。
e.在“个人消费账户“下新建一张银联标准信用卡(生成卡号【主账号、PAN】、有效期、CVN2);
f.通过厂家制作这张卡片,邮寄。
Ⅱ用户开卡使用。
Ⅲ用户用这张招行银联标准信用卡申请ApplePay服务。
在这一步:
a.用户使用手机键入或拍照卡信息(卡号、有效期、CVN2)
b.用户将上述信息发给ApplePay的专用服务器(TokenRequestor);
c.ApplePay的专用服务器将卡信息发送给令牌服务提供商(TokenServiceProvider、TokenSP),也就是银联云闪付的令牌服务系统;
d.TokenSP将卡信息和针对这个卡预生成的虚拟卡号(PaymentToken、token)发给发卡行验证;
e.发卡行通过验证,向TokenSP授权,并在数据库中建立PAN和token的唯一对应关系,并将这张银联标准信用卡和token做出账务关联;
f.TokenSP获得授权,将token回送给ApplePay的专用服务器;
g.ApplePay的专用服务器先将设备唯一标识和Token进行绑定,然后将Token回送至iPhone的SecureElement进行硬件加密保护。
关于Token:
Token简单地说就是银行卡号的别名,格式跟银行卡号保持一致(如16位数字),替代真实的银行卡进行交易。
使用Token后,用户的真实银行卡号不会被传递,避免了敏感信息的泄露(Token体系将在后面进行详细的介绍)。
关于SecureElement:
存储支付账户相关的敏感信息(Token及密钥)、生成与交易相关的校验数据,传递并加密Token的安全元件(保障NFC的硬件设施)。
通俗来讲,这个过程就是:
①用户在手机上输入了卡号6225750000000000,有效期99/99,CVN2999,手机把这些信息发给ApplePay的专用服务器。
②ApplePay的专用服务器把这三个信息发送给银联的TokenSP。
③TokenSP启动一种算法,针对6225750000000000生成了一个虚拟卡号6211888888888888,并把(6225750000000000,99/99,999,6211888888888888)发送给招商银行信用卡中心。
④招行一看,卡号、有效期、CVN2正确,便在自己的系统里偷偷地将0000卡和8888虚拟卡关联了起来,并告诉TokenSP:
来信收到,内容无误,你的请求已经得到了批准。
”(以上几步在iPhone上显示为“正在与发卡行通信”)
⑤TokenSP收到回信后,将6211888888888888回送给ApplePay专用服务器。
(这步在iPhone上显示为“正在设置用于ApplePay的卡片”)
⑥ApplePay专用服务器将6211888888888888存储在iPhone的SecureElement里面。
(这步在iPhone上显示为“正在将卡片添加到Wallet”)
⑦于是用户的手机上就显示出了主账号622575******0000,设备账户号码621188******8888。
Ⅳ用户使用ApplePay在商户进行交易
a.NFC芯片将Token发送给POS;
b.POS将Token和其他交易信息发送给收单行;
c.收单行将Token和其他交易信息发送给银联交易转接服务器;
d.银联交易转接服务器将Token发给TokenSP;
e.TokenSP通过Token对应出PAN,将PAN回送至银联交易转接服务器;
f.银联交易转接服务器将Token、PAN和其他交易信息发给发卡行;
g.发卡行进行交易授权,并将PAN和授权信息回送至银联交易转接服务器;
银联交易转接服务器将Token和授权信息回送至收单行;
h.收单行将Token和授权信息回送至POS;
i.POS提示交易成功,打单。
从上述过程来看,商户、收单行和交易转接服务器之间采用Token来标识卡片,而PAN在且仅在交易转接服务器、TokenSP和发卡行之间进行传送。
Ⅴ如果发生了风险
①手机丢失时:
a.用户会登陆iCloud网站,登陆并停用用户手机上的ApplePay服务;
b.ApplePay的专属服务器会立即向TokenSP发出请求,按照自己存储的该设备对应的Token列表逐一申请吊销这些Token;
c.捡到手机的人尝试支付(假设TA神通广大,伪造出了用户的指纹并通过了TouchID的验证);
d.在交易进行到“TokenSP通过Token对应出PAN”这一步时,因为Token已被吊销,所以交易无法继续;
e.用户找回或者购买了新设备,重复申请ApplePay的流程,获取全新的Token。
②在用的Token出现交易风险时:
a.发卡行会对该Token取消授权,并通告TokenSP;
b.TokenSP会向ApplePay专属服务器回送Token失效的信息;
c.ApplePay专属服务器向iPhone发出指令,将这张卡片标记为不可用。
d.用户重复申请ApplePay的流程。
2.Token体系
Token体系简介
Token系统参与方
Apple
传统电子支付参与方
Cardholder
持卡人
iPhone6
Merchant
商户
McDonald’s
Acquirer
收单方
xxBank
PaymentNetwork
支付网络(转接方)
VISA
CardIssuer
发卡方
XxBank
新增参与方
TokenRequestor
令牌请求方
TokenServiceProvider
令牌服务提供方(以下简称
TokenSP)
VISA(maybe)
Token的应用原理:
TokenSP根据TokenRequestor提供的PAN(主账号)生成Token后,将Token作为PAN的替代值流转在支付的各个环节,使得在支付流程中,独一无二的PAN只在TokenSP、转接方、发卡方间传递,由于三者专线连接且彼此互信,且当Token被检测到风险到期时,将再次生成Token替代,从而大幅降低支付过程中PAN泄露地可能性,极大地提高了PAN的安全性。
Token申请流程详解:
1NFC终端传递PAN至TokenRequestor;
(对应Ⅲ中的b)
2TokenRequestor向TokenSP发起Token申请,发送PAN;
(对应Ⅲ中的c)
3TokenSP根据