Apple Pay之Payment Token技术浅析

一、Token体系简介

Apple Pay引入的Token体系中,除了传统电子支付参与方外,新增了2个参与方,如下图所示:

Token的应用原理:Token SP根据Token Requestor提供的PAN(主帐号)生成Token后,将Token作为PAN的替代值流转在支付的各个环节,使得在支付流程中,独一无二的PAN只在Token SP、转接方、发卡方间传递,由于三者专线连接且彼此互信,且当Token被检测到风险或到期时,将再次生成新Token替代,从而大幅降低支付过程中PAN泄漏的可能性,极大地提高了PAN的安全性。

在Token体系中,流转的核心数据如下图所示:

Token在NFC终端近场支付的应用,可以浓缩为以下2幅流程图:

二、Token申请流程

Token申请流程图详解:

1、 NFC终端传递PAN至Token Requestor;

2、 Token Requestor向Token SP发起Token申请,发送PAN;

3、 Token SP根据PAN,生成对应的Token并返回至Token Requestor,同时建立PAN至Token的映射并存储在Token库中,与发卡方共享此Token库;

4、 Token Requestor将返回的Token传递至NFC终端。

三、Token应用流程

Token应用流程图详解:

1、 Token从NFC终端开始,依次传递至POS、收单方、转接方;

2、 转接方通过与Token SP的接口,发送Token至Token SP;

3、 Token SP对Token执行去令牌化操作,并将PAN传递至转接方;

4、 转接方将Token&PAN传递至发卡方,发卡方用Token库进行验证,验证通过后,再将PAN传递至转接方;

5、 验证后的Token从转接方开始,依次传递至收单方和POS,之后Token作为PAN的替代值继续后续的交易流程。

以上是Token的技术实现方案,可以看到,在交易过程中,PAN传递且仅传递在Token SP、发卡方和转接方三者之间。

  四、Q&A(干货分享)

这段时间和业内同行交流过程中,收集了一些有关Apple Pay系统中 Payment Token体系的各种疑惑,并对此作了些简略的解答,汇总如下:

1、 Q:Token的用途和目的?

A: 作为PAN的替代值,大幅度降低了在交易流程中PAN泄漏的安全隐患。

2、 Q: Token替代PAN,安全性如何得到提升?

A:Token替代PAN,使得PAN只在Token SP、转接方、发卡方间传递,而这三者理论上是互信的,且是专线连接,从而大幅度降低了在交易流程中PAN泄漏的安全隐患。

3、 Q:Token作为PAN的替代值,如何解决在传统交易流程中,也存在的与PAN类似的泄漏隐患?

A:当Token被检测到风险或到期时,再次生成新Token替代。

4、 Q:Token生成和验证完成后,后续的传统交易流程是否改变?

A: 仅就Apply Pay目前披露的信息而言,完成Token生成和验证后,Token将作为PAN的替代值被使用,不改变后续的传统交易流程。

5、 Q:Token体系中,谁能承担新引入的Token Requestor和Token SP角色?

A:可以是新玩家,也可以是传统交易流程中的老玩家,规范并没有强制定义谁去承担这两个角色,所以不同的应用场景,可能这两个角色的承担者不同。

a) 能获得用户PAN的实体是天然的Token Requestor,如支付宝钱包、各银行手银等;

b) 能得到发卡方授权,建立PAN至Token的映射的实体是Token SP,如转接方或发卡方等,其中转接方是Token SP最可能的承担者。

c) Token SP控制PAN至Token的映射这一核心数据,在Token系统中十分关键,而Token Requestor相对不重要。

6、 Q:Token在iPhone6中的存储位置?

A:规范中并未强制规定Token的存储位置,可选的有远程存储、SE、TEE等多种存储方式,仅就Apply Pay披露的信息而言,合理怀疑Token存储在iPhone6的eSE中。

7、 Q:Token体系在国内技术实现的难点在何处?

A:首先要建立Token Requestor和Token SP系统;其次,Token传递路径上的所有参与方(POS、收单方、转接方、发卡方)均需要按照规范进行相应的系统升级,以保证良好的互操作性和一致性。

8、 Q:Apple Pay方案中运营商似乎被边缘化了?

A:只要是eSE模式,运营商都可能被边缘和管道化。SE控制权的博弈过程中,移动终端厂商一步步积累了愈来愈深厚的技术和业务实力,运营商的优势将越来越小,合理预期运营商被边缘和管道化是大势所趋。

9、 Q:Apply Pay方案在国内是否能成功复制?

A:Apply Pay在NFC原有的产业链上又新增了Token Requestor和Token SP,成功复制Apply Pay需要两个前提,或者拥有庞大的NFC手机用户体量(掌控eSE),或者成为数量稀缺的Token SP(掌控PAN至Token的映射核心数据)。原先看好小米,可惜米4不带NFC。

最后,还有一段私货如鲠在喉,不吐不快。EMV Payment Tokenisation Specification的发布日期是2014/4,版本为V1.0,而9月发布的iPhone6在Apple Pay应用中为移动支付率先引入Token体系,从规范发布到体系应用的时间差如此短,合理怀疑苹果是此规范幕后的推动人之一;16日苹果加入GP组织,步步为营的策略,再次对苹果硬件+软件+服务的全系统整合能力深表敬畏。

孙子兵法云:善攻者动于九天之上;善战者无赫赫之功。诚如斯言!

参考资料:EMVCo_Payment_Tokenisation_Specification_Technica1_Framework_v1.0.pdf

链接:http://www.emvco.com/specifications.aspx?id=263

本文系移动支付从业者谢勇原创,如需转载,请注明出处,谢谢。

时间: 2024-11-05 13:39:02

Apple Pay之Payment Token技术浅析的相关文章

Apple Pay、支付宝、微信上演“三国杀”

亲爱的小伙伴们,你们好吗? 想必最近这几天大家都被朋友圈的"ApplePay"给刷爆了吧?一场"三国杀"马上上演,到底是马云财大气粗,还是微信深入人心,也有可能是Apple Pay装逼成功?等等等等一系列五花八门的问题.今天我们就来和大家扒一扒快捷支付背后的种种八卦话题吧. 1.捋清楚Apple Pay与银联云闪付的关系 Apple Pay+银联云闪付=?,假设银联云闪付是主公刘备的话,Apple Pay.SamsungPay为旗下大将赵云.马超.当然!马上国产机也

Apple Pay发展与安全

这个是无线网络安全最后留的一份作业了.去知网弄了点论文,又百度了点资料,总结出来的一份文档. 年初,也就是二月份刚上线的时候,苹果支付那叫一个火啊,现在也不怎么听人说了.但是三星和华为还有小米最近倒是都在弄自己的pay,希望以后能选择的越来越多也同时希望越来越安全吧. 再分享一个Apple Pay的笑话,今天我去楼下便利店买东西,问店员能不能使用Apple Pay.店员说,啥?你说啥?可能店员听不懂英语,那就问,能不能苹果支付.店员说,苹果支付你个大西瓜,我还拿猕猴桃支付呢. 以下是正文 一. 

开发apple pay碰到的问题总结

本来想简单总结一下Apple Pay 开发过程中的几个问题, 结果被下面这篇文章全碰上了, 干脆全文转载, 作者对相关资源整理得比较详细, 比较有参考价值 总的来说, 我们做过 APNs 推送的话, 申请 商户ID 并关联到 apple id, 申请证书, 生成provisioning profile等步骤都差不多 然后我真机调试有两个地方没通过, 下文也总结了, 我拎出来单独说一下: 1, Payment request is invalid: check your entitlements.

Apple Pay编程指导

1.About Apple PayApple Pay是一种移动支付技术,让使用者把它们对真实的物品和服务的支付信息以一种方便和安全的方式给你. 对于在app中给出的数字物品和服务,可查看In-App Purchase Programming Guide. Working with Apple Pay使用Apple Pay功能的Apps需要在Xcode 中开启Apple Pay capabilities.也需要注册一个商家标识并设置密钥(用来加密发送支付数据给服务器). 初始化支付时,app创建一

iOS开发 Apple Pay

一.什么是Apple Pay? 1. 概念 Apple Pay,简单来说, 就是一种移动支付方式.通过Touch ID/ Passcode,用户可使用存储在iPhone 6, 6p等设备上的信用卡和借记卡支付证书来授权支付: 它是苹果公司在2014苹果秋季新品发布会上发布的一种基于NFC的手机支付功能,于2014年10月20日在美国正式上线,2016年2月18日凌晨5:00, Apple Pay 业务在中国上线. 2. 使用前提 (1). 支持设备 Apple Pay支持的硬件设备 (表1) 线

什么是Apple Pay?

1. 概念 Apple Pay,简单来说, 就是一种移动支付方式.通过Touch ID/ Passcode,用户可使用存储在iPhone 6, 6p等设备上的信用卡和借记卡支付证书来授权支付: 它是苹果公司在2014苹果秋季新品发布会上发布的一种基于NFC的手机支付功能,于2014年10月20日在美国正式上线,2016年2月18日凌晨5:00, Apple Pay 业务在中国上线. 2. 使用前提 (1). 支持设备 Apple Pay支持的硬件设备 (表1) 线上 线下 线上&线下 iPad

Apple Pay(转)

Apple Pay 是在 iOS 8 中第一次被介绍,它可以为你的应用中的实体商品和服务,提供简单.安全.私密的支付方式.它使得用户支付起来非常简便,只需按一下指纹就可以授权进行交易. Apple Pay 只能在特定的设备上使用,目前为止,这些设备包括 iPhone 6, iPhone 6+, iPad Air 2, iPad mini 3. 这是因为 Apple Pay 需要特定的硬件芯片来支持,这个硬件叫做 Secure Element (简称SE,安全元件),他可以用来存储和加解密信息.

移动支付大战在即,Apple Pay在中国却步履维艰

移动互联网的全面兴起也带动了国内互联网金融的爆发式增长,其中以第三方移动支付与P2P金融的发展最为迅猛.根据Analysys易观智库近期发布的<中国第三方支付市场季度监测报告2015年第3季度>数据显示,2015年第3季度中国第三方支付市场互联网收单交易规模为36475亿元人民币,环比增长10.91%. 国内移动支付市场发展速度如此迅猛,主要受以下几大原因的影响 1.智能手机的全面普及.来自Nielsen的调查报告显示,2014年第四季度,在中国一线城市16到59岁的人群中智能手机普及率达到9

apple pay,--&gt;牛逼,

转:http://www.mpaypass.com.cn/news/201410/29134818.html 关于Apple Pay的详细流程和利害解析 来源:爱范儿    作者:康上明学 2014-10-29 13:31:10 编者按:本文作者康上明学为“小米生活”产品经理,在苹果Apple Pay发布后,他对该产品做了深入研究,带来这篇文章.本文首发康上明学博客“明学的白板”,独家授权爱范儿发布. 对于 Apple Pay ,我有几个疑问: 线下支付是一个庞大复杂的流程,当中涉及到银行,银联