在移動支付領(lǐng)域，關(guān)于安全性與易用性的孰重孰輕的討論從未停止，安全性與易用性是否是“魚和熊掌不可兼得”呢?

　　Apple Pay自2014年10月20日正式登陸美國市場，上線僅3天信用卡激活量就突破100萬。Apple Pay在設(shè)計上兼顧了易用性、安全性和私密性，突出體現(xiàn)了蘋果最擅長的軟硬件整合能力，這不僅在于蘋果將NFC支付技術(shù)、指紋識別Touch ID及Passbook虛擬卡集合功能整合在一起，其設(shè)計思想更是貫穿于整個軟硬件平臺的設(shè)計中。

　　一、Apple Pay的體系架構(gòu)

　　為了實現(xiàn)交易的安全性，Apply Pay不僅在平臺上采用了可信Boot chain架構(gòu)，確保正確的固件和軟件加載在經(jīng)過驗證的硬件上，并繼承了符合金融行業(yè)標(biāo)準(zhǔn)認(rèn)證體系的安全芯片架構(gòu)。同時支持基于NFC的模擬卡支付模式和基于應(yīng)用的線上支付模式。關(guān)于Boot chain架構(gòu)，不作展開。本文重點討論Apple Pay的用戶驗證和交易流程，挖掘安全性與易用性設(shè)計相結(jié)合的設(shè)計理念。

　　首先，在對現(xiàn)有支付體系的生態(tài)環(huán)境尊重與兼容的前提下，蘋果公司不失時機(jī)地將安全芯片、NFC控制器、Passbook、Touch ID和Apple Pay服務(wù)器等技術(shù)關(guān)鍵點整合進(jìn)來(如圖1所示)。

　　為提升用戶體驗，Apple Pay有效整合了Touch ID與安全芯片技術(shù)，可使用指紋對交易進(jìn)行授權(quán)。同時，用戶可以在設(shè)置助理的引導(dǎo)下設(shè)置并加載銀行賬號到Passbook，實現(xiàn)付款操作。 Passbook中的敏感數(shù)據(jù)(如用戶輸入的信用卡號等)會通過Secure Enclave加密發(fā)送到服務(wù)器端進(jìn)行驗證，用戶還可以通過Passbook的客戶端實現(xiàn)管理銀行卡的相關(guān)記錄、通過Apple Pay實現(xiàn)收款和付款操作，以及查看銀行卡信息、有關(guān)發(fā)卡銀行信息(如隱私政策等)、近期交易。

　　為實現(xiàn)交易的私密性，在iPhone的安全芯片中承載了兩類Java卡應(yīng)用程序。一類是Apple Pay應(yīng)用程序，主要由Apple Pay服務(wù)器來管理。另一類是支付應(yīng)用程序，由銀行或支付網(wǎng)絡(luò)公司管理。兩類應(yīng)用各司其職，從技術(shù)層面上看，兩類應(yīng)用分別屬于兩個不同的安全域，符合 Global Platform安全芯片技術(shù)規(guī)范。

　　Apple Pay服務(wù)器在Apple Pay的安全體系架構(gòu)中占有重要位置，與目前一些支付系統(tǒng)不同的是，Apple Pay服務(wù)器不直接存儲用戶的銀行賬號和交易信息，取而代之的是在iPhone安全芯片上存儲與用戶銀行賬號相對應(yīng)的終端賬號(DAN)。DAN是加密的，與IOS隔離，Apple Pay服務(wù)器不可以訪問DAN。實際上，DAN是支付中使用的Token數(shù)據(jù)，完全由支付網(wǎng)絡(luò)運營商或銀行管理。

　　Apple Pay服務(wù)器主要功能如下：與安全芯片加密通信，實現(xiàn)對Passbook中銀行卡的狀態(tài)管理和對終端賬號的管理;與銀行或支付網(wǎng)絡(luò)的支付服務(wù)器通信，完成對銀行卡的驗證;對基于應(yīng)用的線上交易支付憑證重新加密。

　　二、在Apple Pay中添加銀行卡

　　當(dāng)用戶添加信用卡和借記卡時，Apple Pay Passbook將用戶輸入的相關(guān)信息加密，并經(jīng)由Apple Pay服務(wù)器發(fā)送給支付服務(wù)器，支付服務(wù)器在收到用戶賬戶信息、移動終端信息和用戶同意添加銀行卡的協(xié)議后，首先執(zhí)行賬戶信息驗證，然后決定是否批準(zhǔn)將該銀行卡綁定到Apple Pay。通信內(nèi)容經(jīng)SSI協(xié)議加密。

　　在Apple Pay中添加銀行卡的簡要流程解析如圖2所示，當(dāng)信用卡和借記卡添加完成時，在安全芯片上會安裝與發(fā)卡銀行或支付網(wǎng)絡(luò)(Apple Pay已支持Visa、Master—card)對應(yīng)的Payment Applet。為保證安全性，支付服務(wù)器與iPhone安全芯片之間需要建立安全通道，對Payment Applet進(jìn)行個人化。針對Apple Pay目前主要承載在嵌入式安全芯片上，分析表明，蘋果公司應(yīng)當(dāng)持有安全芯片的主密鑰。因此，在安全芯片上安裝Payment Applet可能有多種實現(xiàn)模式，例如可能采用代理模式或授權(quán)模式等，因此在圖2中第10步，實際使用的模式要由蘋果公司與支付網(wǎng)絡(luò)或發(fā)卡銀行具體協(xié)商。圖2中第11步涉及到DAN的生成與更新，以及在支付服務(wù)器側(cè)與PAN的映射，具體實施方法可能有多種，取決于銀行的策略。DAN在安全芯片中存儲對 Apple Pay意義深遠(yuǎn)。

　　安全芯片上的Payment Applet個人化完成后，Apple Day的終端應(yīng)用會下載該銀行卡或銀行賬號對應(yīng)的Pass file，其中包含指向銀行卡的相關(guān)應(yīng)用及狀態(tài)的鏈接。

　　圖2舉例說明在Apple Pay中添加銀行卡的流程解析時，Touch ID等應(yīng)用承載在Secure Enclave中。有關(guān)Secure Enclave的具體說明詳見文章最后的名詞解釋，而Secure Enclave與安全芯片之間的具體交互是保證系統(tǒng)安全性的重要體現(xiàn)，后續(xù)章節(jié)會詳細(xì)介紹。

　　三、Apple Pay的用戶身份驗證

　　Apple Pay支持通過Touch ID或通過輸入密碼完成用戶身份驗證。用戶須設(shè)定一個解鎖密碼作為在指紋識別器失效時的后備措施。只有在接收到正確的身份驗證信息后，安全芯片才會啟動相應(yīng)的支付操作。

　　值得一提的是，在iPhone 6上，無論是基于Touch ID還是基于密碼的用戶身份驗證都是在與應(yīng)用處理器相隔離Secure Enclave中執(zhí)行的。事實上，蘋果公司從iPhone 5s開始使用ARM公司的A7架構(gòu)的處理器，除了A7架構(gòu)在性能上比A6架構(gòu)快兩倍以外，更重要的是A7架構(gòu)處理器支持TrustZone技術(shù)。 TrustZone技術(shù)通過其內(nèi)部總線的精巧設(shè)計使在同一顆ARM處理器上分隔出兩個隔離的軟件和硬件資源區(qū)。根據(jù)Global Platform TEE體系架構(gòu)的定義，ARM公司的Trust Zone技術(shù)是TEE技術(shù)的一種實現(xiàn)方式。

　　在iPhone 6設(shè)計中，安全處理單元與安全芯片通過串口加密通信，加密通信所使用的密鑰對由Secure Enclave生成(關(guān)聯(lián)安全處理單元UID和安全芯片的標(biāo)識)，并通過iCloud的加密機(jī)在工廠預(yù)置在安全芯片中。

　　當(dāng)用戶身份驗證成功，Secure Enclave對交易數(shù)據(jù)用預(yù)置密鑰簽名，并附加AR(Authentication Random)然后發(fā)送到安全芯片，安全芯片可使用上述預(yù)置密鑰對相關(guān)交易數(shù)據(jù)進(jìn)行解密，由此實現(xiàn)安全芯片與Secure Enclave之間的安全數(shù)據(jù)交換。

　　四、Apple Pay的NFC支付過程

　　當(dāng)iPhone 6處于上電狀態(tài)靠近讀卡器并被讀卡器檢測到時，Apple Pay會被NFC控制器啟動，向用戶呈現(xiàn)預(yù)先設(shè)定的借記卡或信用卡信息。經(jīng)用戶選擇確認(rèn)后，再通過身份驗證(使用Touch ID或Passcode)，NFC控制器會啟動安全芯片通道，用戶再次刷讀卡器啟動Payment Applet。向商戶傳遞交易信息、終端信息和動態(tài)安全碼。當(dāng)然，用戶也可以首先主動使用Touch ID或Passcode驗證身份，使iPhone處于“已通過驗證”的狀態(tài)，然后刷一次讀卡器完成支付。

　　蘋果公司的公開文獻(xiàn)表明，其會收集匿名的交易信息(如交易時間、地點)用于完善Apple Pay系統(tǒng)。大數(shù)據(jù)應(yīng)用的可持續(xù)發(fā)展之路應(yīng)在用戶隱私得到充分尊重的前提下實現(xiàn)，Apple Pay的做法值得借鑒。

　　五、Apple Pay的線上支付過程

　　Apple Pay支持通過iOS應(yīng)用支付，當(dāng)iOS應(yīng)用請求支付時首先調(diào)用PassKit API檢查當(dāng)前用戶終端設(shè)備是否支持Apple Pay，以及是否綁定有效的銀行卡。當(dāng)用戶提供足夠的信息后，Apple Pay要求用戶進(jìn)行身份驗證。Touch ID是缺省的驗證方法，密碼驗證作為備選。

　　如圖3所示，身份驗證成功后，iOS應(yīng)用會向Apple Pay服務(wù)器發(fā)出請求，以獲取一個隨機(jī)數(shù)。隨機(jī)數(shù)和交易數(shù)據(jù)會被發(fā)送到安全芯片，在安全芯片加密后與DAN和動態(tài)交易安全碼數(shù)據(jù)一起發(fā)送到Apple Pay服務(wù)器，Apple Pay服務(wù)器解密交易信息，再使用商戶的密碼重新加密，經(jīng)iOS應(yīng)用發(fā)送到商戶。

　　六、對中國移動支付產(chǎn)業(yè)政策的啟迪

　　Apple Pay基于安全芯片的軟硬件相結(jié)合的有卡支付模式，是實現(xiàn)易用性、安全性與私密性統(tǒng)一的有效途徑，Google公司三年前創(chuàng)新的Google wallet也是有卡支付的模式。我國金融移動支付實施的是有卡支付技術(shù)路線，也是兼顧到安全性與易用性的統(tǒng)一。

　　1.產(chǎn)業(yè)鏈整合者

　　蘋果公司為Apple Pay的實現(xiàn)做了充分準(zhǔn)備，申請了多項專利，收購了一些關(guān)鍵技術(shù)廠商，并與芯片商高度合作，集成TrustZcne技術(shù)，與商業(yè)銀行和卡組織合作創(chuàng)新了商業(yè)模式。這些產(chǎn)業(yè)生態(tài)鏈上的緊密合作是Apple Pay能夠提出兼具安全性、易用性和私密性解決方案的前提。

　　可喜的是，在可信執(zhí)行環(huán)境(TEE)技術(shù)和指紋識別技術(shù)方面，目前國內(nèi)廠家的研發(fā)技術(shù)實力也在不斷增強(qiáng)，應(yīng)用開發(fā)趨于活躍。2014年6月起，中國移動和中國銀聯(lián)先后在國際標(biāo)準(zhǔn)組織Global Platform終端技術(shù)委員會和MTF(Mobile Task Force)中提交了TEE技術(shù)的相關(guān)提案。中國移動研究院正在負(fù)責(zé)基于UICC配置TEE的技術(shù)白皮書。2014年8月，握奇與中國銀聯(lián)聯(lián)合發(fā)布了 WatchTrust。以華為海思為代表的終端和芯片廠家在終端處理器可信執(zhí)行環(huán)境的技術(shù)研發(fā)中嶄露頭角。2014年9月支付寶在指紋應(yīng)用技術(shù)上開始與硅谷NokNokLabs(NNL)合作。在FIDO標(biāo)準(zhǔn)制定和實施中，中國公司(如聯(lián)想公司)表現(xiàn)活躍，在可穿戴設(shè)備技術(shù)方面國內(nèi)企業(yè)也開始起步。但我國移動支付產(chǎn)業(yè)鏈仍然缺乏有力的整合者，建議在國家政策引導(dǎo)下，加快組建移動支付產(chǎn)業(yè)聯(lián)盟，以安全性、易用性整合者為使命，匯聚產(chǎn)業(yè)實力，構(gòu)建出健康的產(chǎn)業(yè)生態(tài)鏈，引導(dǎo)創(chuàng)新商業(yè)模式，加強(qiáng)國際合作，做到與發(fā)達(dá)國家同水準(zhǔn)要求發(fā)展我國的移動支付產(chǎn)業(yè)。

　　2. 關(guān)注支付網(wǎng)絡(luò)Tokenization技術(shù)

　　美國的銀行卡EMV進(jìn)展較為遲緩。而Apple Pay采用安全芯片與支付服務(wù)器相結(jié)合的支付網(wǎng)絡(luò)Tokenization技術(shù)的應(yīng)用，是創(chuàng)新領(lǐng)先一步的體現(xiàn)。

　　在美國市場上，由于磁條卡還占相當(dāng)比例，當(dāng)用戶添加磁條卡到Apple Pay中時，其PAN會被映射成DAN(DAN是一種Token數(shù)據(jù)，存儲在安全芯片中，并用于在線和離線交易中)，從而增強(qiáng)了對磁條卡的數(shù)據(jù)保護(hù)。

　　在交易處理過程中，加密的Token數(shù)據(jù)在應(yīng)用、交易網(wǎng)關(guān)、商戶及清算處理實體間交換，對個人隱私數(shù)據(jù)保護(hù)起到積極的作用。

　　在支付網(wǎng)絡(luò)Tokenization體系下，交易處理流程被進(jìn)一步簡化。尤其是在EMVco標(biāo)準(zhǔn)體系下，加密的Token數(shù)據(jù)可穿透互聯(lián)網(wǎng)連結(jié)點實體傳遞，理論上可以簡化用戶登錄不同商戶的流程，通過使用存儲在安全芯片中的Token數(shù)據(jù)完成交易。

　　支付網(wǎng)絡(luò)Tokenization技術(shù)對交易數(shù)據(jù)處理提出了新的要求，同時在設(shè)計上盡量做到現(xiàn)有受理終端可以支持基于Token的交易。

　　3. 關(guān)于使用Tokenization數(shù)據(jù)保護(hù)隱私數(shù)據(jù)

　　Tokenization在互聯(lián)網(wǎng)上的實施，能為保護(hù)身份證號、護(hù)照號、銀行卡號、歷史交易等個人隱私數(shù)據(jù)提供較好的保障，使用戶在使用基于互聯(lián)網(wǎng)的支付業(yè)務(wù)時，不必輸入各項敏感度極高的隱私數(shù)據(jù)，取而代之的是通過使用存儲于安全芯片的Token數(shù)據(jù)進(jìn)行支付。

　　為了有利于互聯(lián)網(wǎng)上更好地保護(hù)個人隱私數(shù)據(jù)，我國現(xiàn)在應(yīng)著手考慮建設(shè)金融行業(yè)移動支付Tokenization業(yè)務(wù)服務(wù)中心的計劃與方案。該中心服務(wù)于商業(yè)銀行、商戶、銀行卡組織或通信運營商及手機(jī)廠商，是獨立、可信的第三方中介服務(wù)商。此舉措有利于實現(xiàn)“線上線下、安全傳輸”的Token業(yè)務(wù)服務(wù)，杜絕客戶敏感信息泄露、網(wǎng)絡(luò)交易中間遭截持的安全事件發(fā)生。

　　4.關(guān)于Apple Pay準(zhǔn)入政策

　　有關(guān)研究與發(fā)達(dá)國家應(yīng)用實踐表明，Apple Pay在支付易用性、安全性與私密性方面的設(shè)計提升了用戶體驗，當(dāng)然其實際應(yīng)用還有待進(jìn)一步檢驗。我們應(yīng)對Apple Pay準(zhǔn)入持歡迎態(tài)度，并根據(jù)中國政策法規(guī)實施有效監(jiān)管。

　　依據(jù)我國個人隱私數(shù)據(jù)保護(hù)的要求，在涉及用戶銀行賬號、交易等敏感信息方面，Apple Pay所使用的Tokenization業(yè)務(wù)服務(wù)中心是關(guān)鍵，應(yīng)落地在我國境內(nèi)。須有監(jiān)管授權(quán)以便于信息安全監(jiān)管。與此同時，雖然Apple Pay采用匿名收集交易信息，但其儲存的交易數(shù)據(jù)涉及民生的各個方面，因此，Apple Pay架構(gòu)下的服務(wù)器也要設(shè)在我國境內(nèi)，以便于在我國法律框架下實施監(jiān)管。作者簡介：金融信息化研究所所長 李曉楓 金融信息化研究所 汪東艷