中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx

中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx

《中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx》由会员分享，可在线阅读，更多相关《中国矿业大学无线网络安全作业移动支付发展技术报告ApplePay的原理与应用Word文档格式.docx（11页珍藏版）》请在冰豆网上搜索。

3.ApplePay的使用

（1）绑定银行卡

打开苹果自带的Wallet（钱包），点击最上方的ApplePay，就可以添加银行卡了，再通过短信验证就可以激活卡片。

如果之前在AppStore里面绑定过银行卡的话，只需要再输入安全码，就可以立即完成绑定。

在支付的时候，用户可以自由选择银行卡，刷手机后验证指纹就可以完成支付了。

（2）具体使用

苹果的移动支付并不需要打开任何APP，而是通过NFC，只要将苹果产品靠近银联POS机，同时验证指纹即可完成支付。

NFC的原理就和刷公交卡、地铁卡是一样的。

具体使用情况可以看图片。

4.ApplePay和其他移动支付产品的区别

目前的移动支付有三大技术形态，分别为NFC支付、刷卡支付和应用支付。

这里列出支付宝和Applepay的主要区别。

支付宝（移动端）

ApplePay

技术

Web

Nfc

支付距离

不限

<

10cm

数据存储

云端

手机内置芯片

数据存储是否加密

位置

加密

数据传输

支付验证

Pin（数字密码）

Touchid（指纹）

ApplePay和支付宝等移动支付产品的区别在于前者不分线上线下，而后者必须联网且配合相应的应用进行实现，除此之外还在于支付技术的不同。

首先我们来看一下传统支付技术和支付宝的支付技术差异。

通过查阅资料我们得知，传统的银行支付体系包含商家、收单方、卡组织、发卡行和顾客五个要素。

这五者中，顾客和商家指买卖双发，发卡行是指办银行卡的银行，卡组织简单来说就是银联，它提供不同银行间的资金清算服务。

比如，从招商银行的atm上取出工商银行的钱，这个钱会先由招商银行先行垫付，再由卡组织向工商银行索取来还给招商银行，这其实就是信用卡的影子。

而收单方，是提供商家和发卡行之间的资金清算服务，商家的POS机基本是由收单方提供的。

而支付宝和微信的支付过程等于踢掉了收单方、卡组织，直接对接银行进行交易，本来在这个过程中，发卡行和收单方可吸纳用户手续费，但支付宝和微信的这种方式将这种方式将原本属于收单方、卡组织的“生意”硬生生地挤掉了，抢了银联的生意。

而ApplePay与支付宝、微信支付不同，用户并不能往ApplePay里充值，所以ApplePay自然不会涉及自有资金的管理和清算，不仅不伤及银联的利益，甚至更加稳固银联的利益。

5.ApplePay的优点

ApplePay最大的优势是，非接触设计速度快，并且使用指纹支付，安全性高，同时使用的时候无需网络支持。

ApplePay的线上支付（类似淘宝网购）：

ApplePay的线下支付：

二、ApplePay的技术原理

从表面来讲，ApplePay并不是简单的一种技术，而是集合了NFC、TouchID身份验证技术和传输加密技术，实现了从银行卡到支付POS机的安全信息传输。

总体上来讲，整个运行过程为：

指纹授权→生成支付请求→将加密数据通过NFC传送到支付终端→返回结果，实现了端到端的安全。

1.ApplePay的运行过程。

我们在这里以招商银行为例解释ApplePay的运行流程。

Ⅰ用户向招商银行申请了一张银联标准信用卡，获得批准。

在这一步，招行：

a.键入用户的申请资料，对用户进行资产和信用调查（征信）；

b.批准用户的申请请求，对用户进行授信（颁发信用额度）；

c.通过申请人档案生成客户档案；

d.在客户档案下新建一个名叫“个人消费账户”的贷记账户并报告给人行以建立信用记录；

（贷记卡不需存款也可使用，以不超过银行给定的信用额度为准，相当于银行给予短期贷款）。

e.在“个人消费账户“下新建一张银联标准信用卡（生成卡号【主账号、PAN】、有效期、CVN2）；

f.通过厂家制作这张卡片，邮寄。

Ⅱ用户开卡使用。

Ⅲ用户用这张招行银联标准信用卡申请ApplePay服务。

在这一步：

a.用户使用手机键入或拍照卡信息（卡号、有效期、CVN2）

b.用户将上述信息发给ApplePay的专用服务器（TokenRequestor）；

c.ApplePay的专用服务器将卡信息发送给令牌服务提供商（TokenServiceProvider、TokenSP），也就是银联云闪付的令牌服务系统；

d.TokenSP将卡信息和针对这个卡预生成的虚拟卡号（PaymentToken、token）发给发卡行验证；

e.发卡行通过验证，向TokenSP授权，并在数据库中建立PAN和token的唯一对应关系，并将这张银联标准信用卡和token做出账务关联；

f.TokenSP获得授权，将token回送给ApplePay的专用服务器；

g.ApplePay的专用服务器先将设备唯一标识和Token进行绑定，然后将Token回送至iPhone的SecureElement进行硬件加密保护。

关于Token：

Token简单地说就是银行卡号的别名，格式跟银行卡号保持一致（如16位数字），替代真实的银行卡进行交易。

使用Token后，用户的真实银行卡号不会被传递，避免了敏感信息的泄露（Token体系将在后面进行详细的介绍）。

关于SecureElement：

存储支付账户相关的敏感信息（Token及密钥）、生成与交易相关的校验数据，传递并加密Token的安全元件（保障NFC的硬件设施）。

通俗来讲，这个过程就是：

①用户在手机上输入了卡号6225750000000000，有效期99/99，CVN2999，手机把这些信息发给ApplePay的专用服务器。

②ApplePay的专用服务器把这三个信息发送给银联的TokenSP。

③TokenSP启动一种算法，针对6225750000000000生成了一个虚拟卡号6211888888888888，并把（6225750000000000，99/99,999,6211888888888888）发送给招商银行信用卡中心。

④招行一看，卡号、有效期、CVN2正确，便在自己的系统里偷偷地将0000卡和8888虚拟卡关联了起来，并告诉TokenSP：

来信收到，内容无误，你的请求已经得到了批准。

”（以上几步在iPhone上显示为“正在与发卡行通信”）

⑤TokenSP收到回信后，将6211888888888888回送给ApplePay专用服务器。

（这步在iPhone上显示为“正在设置用于ApplePay的卡片”）

⑥ApplePay专用服务器将6211888888888888存储在iPhone的SecureElement里面。

（这步在iPhone上显示为“正在将卡片添加到Wallet”）

⑦于是用户的手机上就显示出了主账号622575******0000，设备账户号码621188******8888。

Ⅳ用户使用ApplePay在商户进行交易

a.NFC芯片将Token发送给POS；

b.POS将Token和其他交易信息发送给收单行；

c.收单行将Token和其他交易信息发送给银联交易转接服务器；

d.银联交易转接服务器将Token发给TokenSP；

e.TokenSP通过Token对应出PAN，将PAN回送至银联交易转接服务器；

f.银联交易转接服务器将Token、PAN和其他交易信息发给发卡行；

g.发卡行进行交易授权，并将PAN和授权信息回送至银联交易转接服务器；

银联交易转接服务器将Token和授权信息回送至收单行；

h.收单行将Token和授权信息回送至POS；

i.POS提示交易成功，打单。

从上述过程来看，商户、收单行和交易转接服务器之间采用Token来标识卡片，而PAN在且仅在交易转接服务器、TokenSP和发卡行之间进行传送。

Ⅴ如果发生了风险

①手机丢失时：

a.用户会登陆iCloud网站，登陆并停用用户手机上的ApplePay服务；

b.ApplePay的专属服务器会立即向TokenSP发出请求，按照自己存储的该设备对应的Token列表逐一申请吊销这些Token；

c.捡到手机的人尝试支付（假设TA神通广大，伪造出了用户的指纹并通过了TouchID的验证）；

d.在交易进行到“TokenSP通过Token对应出PAN”这一步时，因为Token已被吊销，所以交易无法继续；

e.用户找回或者购买了新设备，重复申请ApplePay的流程，获取全新的Token。

②在用的Token出现交易风险时：

a.发卡行会对该Token取消授权，并通告TokenSP；

b.TokenSP会向ApplePay专属服务器回送Token失效的信息；

c.ApplePay专属服务器向iPhone发出指令，将这张卡片标记为不可用。

d.用户重复申请ApplePay的流程。

2.Token体系

Token体系简介

Token系统参与方

Apple

传统电子支付参与方

Cardholder

持卡人

iPhone6

Merchant

商户

McDonald’s

Acquirer

收单方

xxBank

PaymentNetwork

支付网络（转接方）

VISA

CardIssuer

发卡方

XxBank

新增参与方

TokenRequestor

令牌请求方

TokenServiceProvider

令牌服务提供方（以下简称

TokenSP）

VISA（maybe）

Token的应用原理：

TokenSP根据TokenRequestor提供的PAN（主账号）生成Token后，将Token作为PAN的替代值流转在支付的各个环节，使得在支付流程中，独一无二的PAN只在TokenSP、转接方、发卡方间传递，由于三者专线连接且彼此互信，且当Token被检测到风险到期时，将再次生成Token替代，从而大幅降低支付过程中PAN泄露地可能性，极大地提高了PAN的安全性。

Token申请流程详解：

1NFC终端传递PAN至TokenRequestor；

（对应Ⅲ中的b）

2TokenRequestor向TokenSP发起Token申请，发送PAN；

（对应Ⅲ中的c）

3TokenSP根据