在移動支付領域，關于安全性與易用性的孰重孰輕的討論從未停止，安全性與易用性是否是“魚和熊掌不可兼得”呢?

　　Apple Pay自2014年10月20日正式登陸美國市場，上線僅3天信用卡激活量就突破100萬。Apple Pay在設計上兼顧了易用性、安全性和私密性，突出體現(xiàn)了蘋果最擅長的軟硬件整合能力，這不僅在于蘋果將NFC支付技術、指紋識別Touch ID及Passbook虛擬卡集合功能整合在一起，其設計思想更是貫穿于整個軟硬件平臺的設計中。

　　一、Apple Pay的體系架構

　　為了實現(xiàn)交易的安全性，Apply Pay不僅在平臺上采用了可信Boot chain架構，確保正確的固件和軟件加載在經過驗證的硬件上，并繼承了符合金融行業(yè)標準認證體系的安全芯片架構。同時支持基于NFC的模擬卡支付模式和基于應用的線上支付模式。關于Boot chain架構，不作展開。本文重點討論Apple Pay的用戶驗證和交易流程，挖掘安全性與易用性設計相結合的設計理念。

　　首先，在對現(xiàn)有支付體系的生態(tài)環(huán)境尊重與兼容的前提下，蘋果公司不失時機地將安全芯片、NFC控制器、Passbook、Touch ID和Apple Pay服務器等技術關鍵點整合進來(如圖1所示)。

　　為提升用戶體驗，Apple Pay有效整合了Touch ID與安全芯片技術，可使用指紋對交易進行授權。同時，用戶可以在設置助理的引導下設置并加載銀行賬號到Passbook，實現(xiàn)付款操作。 Passbook中的敏感數(shù)據(如用戶輸入的信用卡號等)會通過Secure Enclave加密發(fā)送到服務器端進行驗證，用戶還可以通過Passbook的客戶端實現(xiàn)管理銀行卡的相關記錄、通過Apple Pay實現(xiàn)收款和付款操作，以及查看銀行卡信息、有關發(fā)卡銀行信息(如隱私政策等)、近期交易。

　　為實現(xiàn)交易的私密性，在iPhone的安全芯片中承載了兩類Java卡應用程序。一類是Apple Pay應用程序，主要由Apple Pay服務器來管理。另一類是支付應用程序，由銀行或支付網絡公司管理。兩類應用各司其職，從技術層面上看，兩類應用分別屬于兩個不同的安全域，符合 Global Platform安全芯片技術規(guī)范。

　　Apple Pay服務器在Apple Pay的安全體系架構中占有重要位置，與目前一些支付系統(tǒng)不同的是，Apple Pay服務器不直接存儲用戶的銀行賬號和交易信息，取而代之的是在iPhone安全芯片上存儲與用戶銀行賬號相對應的終端賬號(DAN)。DAN是加密的，與IOS隔離，Apple Pay服務器不可以訪問DAN。實際上，DAN是支付中使用的Token數(shù)據，完全由支付網絡運營商或銀行管理。

　　Apple Pay服務器主要功能如下：與安全芯片加密通信，實現(xiàn)對Passbook中銀行卡的狀態(tài)管理和對終端賬號的管理;與銀行或支付網絡的支付服務器通信，完成對銀行卡的驗證;對基于應用的線上交易支付憑證重新加密。

　　二、在Apple Pay中添加銀行卡

　　當用戶添加信用卡和借記卡時，Apple Pay Passbook將用戶輸入的相關信息加密，并經由Apple Pay服務器發(fā)送給支付服務器，支付服務器在收到用戶賬戶信息、移動終端信息和用戶同意添加銀行卡的協(xié)議后，首先執(zhí)行賬戶信息驗證，然后決定是否批準將該銀行卡綁定到Apple Pay。通信內容經SSI協(xié)議加密。

　　在Apple Pay中添加銀行卡的簡要流程解析如圖2所示，當信用卡和借記卡添加完成時，在安全芯片上會安裝與發(fā)卡銀行或支付網絡(Apple Pay已支持Visa、Master—card)對應的Payment Applet。為保證安全性，支付服務器與iPhone安全芯片之間需要建立安全通道，對Payment Applet進行個人化。針對Apple Pay目前主要承載在嵌入式安全芯片上，分析表明，蘋果公司應當持有安全芯片的主密鑰。因此，在安全芯片上安裝Payment Applet可能有多種實現(xiàn)模式，例如可能采用代理模式或授權模式等，因此在圖2中第10步，實際使用的模式要由蘋果公司與支付網絡或發(fā)卡銀行具體協(xié)商。圖2中第11步涉及到DAN的生成與更新，以及在支付服務器側與PAN的映射，具體實施方法可能有多種，取決于銀行的策略。DAN在安全芯片中存儲對 Apple Pay意義深遠。

　　安全芯片上的Payment Applet個人化完成后，Apple Day的終端應用會下載該銀行卡或銀行賬號對應的Pass file，其中包含指向銀行卡的相關應用及狀態(tài)的鏈接。

　　圖2舉例說明在Apple Pay中添加銀行卡的流程解析時，Touch ID等應用承載在Secure Enclave中。有關Secure Enclave的具體說明詳見文章最后的名詞解釋，而Secure Enclave與安全芯片之間的具體交互是保證系統(tǒng)安全性的重要體現(xiàn)，后續(xù)章節(jié)會詳細介紹。

　　三、Apple Pay的用戶身份驗證

　　Apple Pay支持通過Touch ID或通過輸入密碼完成用戶身份驗證。用戶須設定一個解鎖密碼作為在指紋識別器失效時的后備措施。只有在接收到正確的身份驗證信息后，安全芯片才會啟動相應的支付操作。

　　值得一提的是，在iPhone 6上，無論是基于Touch ID還是基于密碼的用戶身份驗證都是在與應用處理器相隔離Secure Enclave中執(zhí)行的。事實上，蘋果公司從iPhone 5s開始使用ARM公司的A7架構的處理器，除了A7架構在性能上比A6架構快兩倍以外，更重要的是A7架構處理器支持TrustZone技術。 TrustZone技術通過其內部總線的精巧設計使在同一顆ARM處理器上分隔出兩個隔離的軟件和硬件資源區(qū)。根據Global Platform TEE體系架構的定義，ARM公司的Trust Zone技術是TEE技術的一種實現(xiàn)方式。

　　在iPhone 6設計中，安全處理單元與安全芯片通過串口加密通信，加密通信所使用的密鑰對由Secure Enclave生成(關聯(lián)安全處理單元UID和安全芯片的標識)，并通過iCloud的加密機在工廠預置在安全芯片中。

　　當用戶身份驗證成功，Secure Enclave對交易數(shù)據用預置密鑰簽名，并附加AR(Authentication Random)然后發(fā)送到安全芯片，安全芯片可使用上述預置密鑰對相關交易數(shù)據進行解密，由此實現(xiàn)安全芯片與Secure Enclave之間的安全數(shù)據交換。

　　四、Apple Pay的NFC支付過程

　　當iPhone 6處于上電狀態(tài)靠近讀卡器并被讀卡器檢測到時，Apple Pay會被NFC控制器啟動，向用戶呈現(xiàn)預先設定的借記卡或信用卡信息。經用戶選擇確認后，再通過身份驗證(使用Touch ID或Passcode)，NFC控制器會啟動安全芯片通道，用戶再次刷讀卡器啟動Payment Applet。向商戶傳遞交易信息、終端信息和動態(tài)安全碼。當然，用戶也可以首先主動使用Touch ID或Passcode驗證身份，使iPhone處于“已通過驗證”的狀態(tài)，然后刷一次讀卡器完成支付。

　　蘋果公司的公開文獻表明，其會收集匿名的交易信息(如交易時間、地點)用于完善Apple Pay系統(tǒng)。大數(shù)據應用的可持續(xù)發(fā)展之路應在用戶隱私得到充分尊重的前提下實現(xiàn)，Apple Pay的做法值得借鑒。

　　五、Apple Pay的線上支付過程

　　Apple Pay支持通過iOS應用支付，當iOS應用請求支付時首先調用PassKit API檢查當前用戶終端設備是否支持Apple Pay，以及是否綁定有效的銀行卡。當用戶提供足夠的信息后，Apple Pay要求用戶進行身份驗證。Touch ID是缺省的驗證方法，密碼驗證作為備選。

　　如圖3所示，身份驗證成功后，iOS應用會向Apple Pay服務器發(fā)出請求，以獲取一個隨機數(shù)。隨機數(shù)和交易數(shù)據會被發(fā)送到安全芯片，在安全芯片加密后與DAN和動態(tài)交易安全碼數(shù)據一起發(fā)送到Apple Pay服務器，Apple Pay服務器解密交易信息，再使用商戶的密碼重新加密，經iOS應用發(fā)送到商戶。

　　六、對中國移動支付產業(yè)政策的啟迪

　　Apple Pay基于安全芯片的軟硬件相結合的有卡支付模式，是實現(xiàn)易用性、安全性與私密性統(tǒng)一的有效途徑，Google公司三年前創(chuàng)新的Google wallet也是有卡支付的模式。我國金融移動支付實施的是有卡支付技術路線，也是兼顧到安全性與易用性的統(tǒng)一。

　　1.產業(yè)鏈整合者

　　蘋果公司為Apple Pay的實現(xiàn)做了充分準備，申請了多項專利，收購了一些關鍵技術廠商，并與芯片商高度合作，集成TrustZcne技術，與商業(yè)銀行和卡組織合作創(chuàng)新了商業(yè)模式。這些產業(yè)生態(tài)鏈上的緊密合作是Apple Pay能夠提出兼具安全性、易用性和私密性解決方案的前提。

　　可喜的是，在可信執(zhí)行環(huán)境(TEE)技術和指紋識別技術方面，目前國內廠家的研發(fā)技術實力也在不斷增強，應用開發(fā)趨于活躍。2014年6月起，中國移動和中國銀聯(lián)先后在國際標準組織Global Platform終端技術委員會和MTF(Mobile Task Force)中提交了TEE技術的相關提案。中國移動研究院正在負責基于UICC配置TEE的技術白皮書。2014年8月，握奇與中國銀聯(lián)聯(lián)合發(fā)布了 WatchTrust。以華為海思為代表的終端和芯片廠家在終端處理器可信執(zhí)行環(huán)境的技術研發(fā)中嶄露頭角。2014年9月支付寶在指紋應用技術上開始與硅谷NokNokLabs(NNL)合作。在FIDO標準制定和實施中，中國公司(如聯(lián)想公司)表現(xiàn)活躍，在可穿戴設備技術方面國內企業(yè)也開始起步。但我國移動支付產業(yè)鏈仍然缺乏有力的整合者，建議在國家政策引導下，加快組建移動支付產業(yè)聯(lián)盟，以安全性、易用性整合者為使命，匯聚產業(yè)實力，構建出健康的產業(yè)生態(tài)鏈，引導創(chuàng)新商業(yè)模式，加強國際合作，做到與發(fā)達國家同水準要求發(fā)展我國的移動支付產業(yè)。

　　2. 關注支付網絡Tokenization技術

　　美國的銀行卡EMV進展較為遲緩。而Apple Pay采用安全芯片與支付服務器相結合的支付網絡Tokenization技術的應用，是創(chuàng)新領先一步的體現(xiàn)。

　　在美國市場上，由于磁條卡還占相當比例，當用戶添加磁條卡到Apple Pay中時，其PAN會被映射成DAN(DAN是一種Token數(shù)據，存儲在安全芯片中，并用于在線和離線交易中)，從而增強了對磁條卡的數(shù)據保護。

　　在交易處理過程中，加密的Token數(shù)據在應用、交易網關、商戶及清算處理實體間交換，對個人隱私數(shù)據保護起到積極的作用。

　　在支付網絡Tokenization體系下，交易處理流程被進一步簡化。尤其是在EMVco標準體系下，加密的Token數(shù)據可穿透互聯(lián)網連結點實體傳遞，理論上可以簡化用戶登錄不同商戶的流程，通過使用存儲在安全芯片中的Token數(shù)據完成交易。

　　支付網絡Tokenization技術對交易數(shù)據處理提出了新的要求，同時在設計上盡量做到現(xiàn)有受理終端可以支持基于Token的交易。

　　3. 關于使用Tokenization數(shù)據保護隱私數(shù)據

　　Tokenization在互聯(lián)網上的實施，能為保護身份證號、護照號、銀行卡號、歷史交易等個人隱私數(shù)據提供較好的保障，使用戶在使用基于互聯(lián)網的支付業(yè)務時，不必輸入各項敏感度極高的隱私數(shù)據，取而代之的是通過使用存儲于安全芯片的Token數(shù)據進行支付。

　　為了有利于互聯(lián)網上更好地保護個人隱私數(shù)據，我國現(xiàn)在應著手考慮建設金融行業(yè)移動支付Tokenization業(yè)務服務中心的計劃與方案。該中心服務于商業(yè)銀行、商戶、銀行卡組織或通信運營商及手機廠商，是獨立、可信的第三方中介服務商。此舉措有利于實現(xiàn)“線上線下、安全傳輸”的Token業(yè)務服務，杜絕客戶敏感信息泄露、網絡交易中間遭截持的安全事件發(fā)生。

　　4.關于Apple Pay準入政策

　　有關研究與發(fā)達國家應用實踐表明，Apple Pay在支付易用性、安全性與私密性方面的設計提升了用戶體驗，當然其實際應用還有待進一步檢驗。我們應對Apple Pay準入持歡迎態(tài)度，并根據中國政策法規(guī)實施有效監(jiān)管。

　　依據我國個人隱私數(shù)據保護的要求，在涉及用戶銀行賬號、交易等敏感信息方面，Apple Pay所使用的Tokenization業(yè)務服務中心是關鍵，應落地在我國境內。須有監(jiān)管授權以便于信息安全監(jiān)管。與此同時，雖然Apple Pay采用匿名收集交易信息，但其儲存的交易數(shù)據涉及民生的各個方面，因此，Apple Pay架構下的服務器也要設在我國境內，以便于在我國法律框架下實施監(jiān)管。作者簡介：金融信息化研究所所長 李曉楓 金融信息化研究所 汪東艷