apple pay安全机制分析——兼论对我国移动支付产业发展的政策启迪

《apple pay安全机制分析——兼论对我国移动支付产业发展的政策启迪》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ApplePay安全机制分析——兼论对我国移动支付产业发展的政策启迪??一viewgi古

2、栏目编辑:王伟ApplePay安全机制给忻一一兼论对我国移动支付产业发展的政策启迪文9><>1<>1金融信息化研究所所长李晓权Li王东丰色，.移动支付领域.关于安全性与易用性的孰E孰轻为提升用户休验，ApplePay有效整合了TOl<>1chID与安全芯片技术，可使用指纹对交易进行授权。同时，用4主附仑…安全性与剧性是否是鱼和卜4斗熊掌'不nJ兼得;呢?户可以在设置助理的引导下设E并加载银行账号至IJPass??book，实现付款操作。Passbook中的敏感数据(如用户输

3、^D!llePay自20<>14年<>10月20日正式登陆美国市场，上钱仅3天信用卡激洞址就突破<>100万。ApplePay在设入的信用卡号等)会通过SecureEnclave加密发送到服务计上来顾了易用性、安全性和私密性，突出体现了苹果最然端进行验证，用户还可以通过Passhook的客户端实现州长的软硬件整合能力，这不仅在于苹果将NFCH技术、管理银行卡的相关记录、通过ADDlePay实剧收款和付款指纹i只川TOllCIllD及PasslJook虚拟卡集合功能挫含在一躁作，以及查看银行卡信息、街关发卡银行信息(如隐私起，设计恩怨、更是E!.t穿于毯个软哽{牛平台的设计

4、中。政策等)、近期交易。为实现交易的私乎有性，在<>1刊<>10ne的安全芯片中承载了两类Java卡应用程序。一类是ApplePay应用程序，ApplePay的体系架构主要由ApplePay服务器来管理。另一类是支付应用程为了实现交易的安全性，ApplyPay不仅在平台上采序，由锢行或支付网络公司管理。两类应用各司其职，从用可信800<>1.Cl<>1ain架构.确保正确的问件和软件加载在技术层面上看，两类应用分别属于两个不同的安全域，符经过验证的硬件上，并继原了符合金融行业标准认ìIE体系ffGlohalPlatforrn安全芯片技术规范。的安全芯片架构。同时支持基于N

5、FC的模拟卡支付模式和ApplePay服务器在ApplePay的安全体系架构中内基于应用的线上支付榄式。关于800LCllain架构，、{乍展有E要位置，与目前一些支付系统不同的是，ApplePay开。本文重点讨论ApplePay的用户验证和交易流程，挖服务器不直接存储用户的银行账号和交易信息，取而代之掘安全性与易用性设计制结合的设计理念。的是在iPhone安全芯片上存储与用户银行赔号相时应的芮先，在对现有支付体系的生态环境尊重与兼容的终端账号(DAN)oDAN是加密的，与iOS隔离，Apple前提下，奇主主提公司不失时机地将安全芯片、Nrc控制器、PRy服务器不可以访问

6、DAN。实际上，DAN是支付中使Passhook、Toucl<>1ID相ApplePay服务器等技术关键点用的Token数据，完全由支付网络运营商或银行管理。整合边来(如罔<>1所示)。ApplePay服务器主要功能如下:与安全芯片加密通信，实现对Passbook中银行卡的状态管理相对终端胀号的管理，与银行或支付网络的支付服务器通信，完成对银App.ePayIiJJB行卡的验证;对基于应用的线上交易支付凭证重新加密。支付匾;.在ApplePay申添加银行卡当用户添加信用卡和借记卡肘，ApplePayPasshook将用户输入的相关信息加密，并经由Applepay服务器发可

7、一送给付服务器，支付服务器在收到用户账户信息、移动>>国<>1ApplePay的体系架构简圄终端信息和用户同意添加银行卡的协议后，筒先执行账户24<>120<>14年<>12月