李曉楓:對(duì)Apple Pay安全機(jī)制分析后的政策啟示
在移動(dòng)支付領(lǐng)域,關(guān)于安全性與易用性的孰重孰輕的討論從未停止,安全性與易用性是否是“魚和熊掌不可兼得”呢?
Apple Pay自2014年10月20日正式登陸美國市場(chǎng),上線僅3天信用卡激活量就突破100萬。Apple Pay在設(shè)計(jì)上兼顧了易用性、安全性和私密性,突出體現(xiàn)了蘋果最擅長(zhǎng)的軟硬件整合能力,這不僅在于蘋果將NFC支付技術(shù)、指紋識(shí)別Touch ID及Passbook虛擬卡集合功能整合在一起,其設(shè)計(jì)思想更是貫穿于整個(gè)軟硬件平臺(tái)的設(shè)計(jì)中。
一、Apple Pay的體系架構(gòu)
為了實(shí)現(xiàn)交易的安全性,Apply Pay不僅在平臺(tái)上采用了可信Boot chain架構(gòu),確保正確的固件和軟件加載在經(jīng)過驗(yàn)證的硬件上,并繼承了符合金融行業(yè)標(biāo)準(zhǔn)認(rèn)證體系的安全芯片架構(gòu)。同時(shí)支持基于NFC的模擬卡支付模式和基于應(yīng)用的線上支付模式。關(guān)于Boot chain架構(gòu),不作展開。本文重點(diǎn)討論Apple Pay的用戶驗(yàn)證和交易流程,挖掘安全性與易用性設(shè)計(jì)相結(jié)合的設(shè)計(jì)理念。
首先,在對(duì)現(xiàn)有支付體系的生態(tài)環(huán)境尊重與兼容的前提下,蘋果公司不失時(shí)機(jī)地將安全芯片、NFC控制器、Passbook、Touch ID和Apple Pay服務(wù)器等技術(shù)關(guān)鍵點(diǎn)整合進(jìn)來(如圖1所示)。
為提升用戶體驗(yàn),Apple Pay有效整合了Touch ID與安全芯片技術(shù),可使用指紋對(duì)交易進(jìn)行授權(quán)。同時(shí),用戶可以在設(shè)置助理的引導(dǎo)下設(shè)置并加載銀行賬號(hào)到Passbook,實(shí)現(xiàn)付款操作。 Passbook中的敏感數(shù)據(jù)(如用戶輸入的信用卡號(hào)等)會(huì)通過Secure Enclave加密發(fā)送到服務(wù)器端進(jìn)行驗(yàn)證,用戶還可以通過Passbook的客戶端實(shí)現(xiàn)管理銀行卡的相關(guān)記錄、通過Apple Pay實(shí)現(xiàn)收款和付款操作,以及查看銀行卡信息、有關(guān)發(fā)卡銀行信息(如隱私政策等)、近期交易。
為實(shí)現(xiàn)交易的私密性,在iPhone的安全芯片中承載了兩類Java卡應(yīng)用程序。一類是Apple Pay應(yīng)用程序,主要由Apple Pay服務(wù)器來管理。另一類是支付應(yīng)用程序,由銀行或支付網(wǎng)絡(luò)公司管理。兩類應(yīng)用各司其職,從技術(shù)層面上看,兩類應(yīng)用分別屬于兩個(gè)不同的安全域,符合 Global Platform安全芯片技術(shù)規(guī)范。
Apple Pay服務(wù)器在Apple Pay的安全體系架構(gòu)中占有重要位置,與目前一些支付系統(tǒng)不同的是,Apple Pay服務(wù)器不直接存儲(chǔ)用戶的銀行賬號(hào)和交易信息,取而代之的是在iPhone安全芯片上存儲(chǔ)與用戶銀行賬號(hào)相對(duì)應(yīng)的終端賬號(hào)(DAN)。DAN是加密的,與IOS隔離,Apple Pay服務(wù)器不可以訪問DAN。實(shí)際上,DAN是支付中使用的Token數(shù)據(jù),完全由支付網(wǎng)絡(luò)運(yùn)營商或銀行管理。
Apple Pay服務(wù)器主要功能如下:與安全芯片加密通信,實(shí)現(xiàn)對(duì)Passbook中銀行卡的狀態(tài)管理和對(duì)終端賬號(hào)的管理;與銀行或支付網(wǎng)絡(luò)的支付服務(wù)器通信,完成對(duì)銀行卡的驗(yàn)證;對(duì)基于應(yīng)用的線上交易支付憑證重新加密。
二、在Apple Pay中添加銀行卡
當(dāng)用戶添加信用卡和借記卡時(shí),Apple Pay Passbook將用戶輸入的相關(guān)信息加密,并經(jīng)由Apple Pay服務(wù)器發(fā)送給支付服務(wù)器,支付服務(wù)器在收到用戶賬戶信息、移動(dòng)終端信息和用戶同意添加銀行卡的協(xié)議后,首先執(zhí)行賬戶信息驗(yàn)證,然后決定是否批準(zhǔn)將該銀行卡綁定到Apple Pay。通信內(nèi)容經(jīng)SSI協(xié)議加密。
在Apple Pay中添加銀行卡的簡(jiǎn)要流程解析如圖2所示,當(dāng)信用卡和借記卡添加完成時(shí),在安全芯片上會(huì)安裝與發(fā)卡銀行或支付網(wǎng)絡(luò)(Apple Pay已支持Visa、Master—card)對(duì)應(yīng)的Payment Applet。為保證安全性,支付服務(wù)器與iPhone安全芯片之間需要建立安全通道,對(duì)Payment Applet進(jìn)行個(gè)人化。針對(duì)Apple Pay目前主要承載在嵌入式安全芯片上,分析表明,蘋果公司應(yīng)當(dāng)持有安全芯片的主密鑰。因此,在安全芯片上安裝Payment Applet可能有多種實(shí)現(xiàn)模式,例如可能采用代理模式或授權(quán)模式等,因此在圖2中第10步,實(shí)際使用的模式要由蘋果公司與支付網(wǎng)絡(luò)或發(fā)卡銀行具體協(xié)商。圖2中第11步涉及到DAN的生成與更新,以及在支付服務(wù)器側(cè)與PAN的映射,具體實(shí)施方法可能有多種,取決于銀行的策略。DAN在安全芯片中存儲(chǔ)對(duì) Apple Pay意義深遠(yuǎn)。
安全芯片上的Payment Applet個(gè)人化完成后,Apple Day的終端應(yīng)用會(huì)下載該銀行卡或銀行賬號(hào)對(duì)應(yīng)的Pass file,其中包含指向銀行卡的相關(guān)應(yīng)用及狀態(tài)的鏈接。
圖2舉例說明在Apple Pay中添加銀行卡的流程解析時(shí),Touch ID等應(yīng)用承載在Secure Enclave中。有關(guān)Secure Enclave的具體說明詳見文章最后的名詞解釋,而Secure Enclave與安全芯片之間的具體交互是保證系統(tǒng)安全性的重要體現(xiàn),后續(xù)章節(jié)會(huì)詳細(xì)介紹。
三、Apple Pay的用戶身份驗(yàn)證
Apple Pay支持通過Touch ID或通過輸入密碼完成用戶身份驗(yàn)證。用戶須設(shè)定一個(gè)解鎖密碼作為在指紋識(shí)別器失效時(shí)的后備措施。只有在接收到正確的身份驗(yàn)證信息后,安全芯片才會(huì)啟動(dòng)相應(yīng)的支付操作。
值得一提的是,在iPhone 6上,無論是基于Touch ID還是基于密碼的用戶身份驗(yàn)證都是在與應(yīng)用處理器相隔離Secure Enclave中執(zhí)行的。事實(shí)上,蘋果公司從iPhone 5s開始使用ARM公司的A7架構(gòu)的處理器,除了A7架構(gòu)在性能上比A6架構(gòu)快兩倍以外,更重要的是A7架構(gòu)處理器支持TrustZone技術(shù)。 TrustZone技術(shù)通過其內(nèi)部總線的精巧設(shè)計(jì)使在同一顆ARM處理器上分隔出兩個(gè)隔離的軟件和硬件資源區(qū)。根據(jù)Global Platform TEE體系架構(gòu)的定義,ARM公司的Trust Zone技術(shù)是TEE技術(shù)的一種實(shí)現(xiàn)方式。
在iPhone 6設(shè)計(jì)中,安全處理單元與安全芯片通過串口加密通信,加密通信所使用的密鑰對(duì)由Secure Enclave生成(關(guān)聯(lián)安全處理單元UID和安全芯片的標(biāo)識(shí)),并通過iCloud的加密機(jī)在工廠預(yù)置在安全芯片中。
當(dāng)用戶身份驗(yàn)證成功,Secure Enclave對(duì)交易數(shù)據(jù)用預(yù)置密鑰簽名,并附加AR(Authentication Random)然后發(fā)送到安全芯片,安全芯片可使用上述預(yù)置密鑰對(duì)相關(guān)交易數(shù)據(jù)進(jìn)行解密,由此實(shí)現(xiàn)安全芯片與Secure Enclave之間的安全數(shù)據(jù)交換。
四、Apple Pay的NFC支付過程
當(dāng)iPhone 6處于上電狀態(tài)靠近讀卡器并被讀卡器檢測(cè)到時(shí),Apple Pay會(huì)被NFC控制器啟動(dòng),向用戶呈現(xiàn)預(yù)先設(shè)定的借記卡或信用卡信息。經(jīng)用戶選擇確認(rèn)后,再通過身份驗(yàn)證(使用Touch ID或Passcode),NFC控制器會(huì)啟動(dòng)安全芯片通道,用戶再次刷讀卡器啟動(dòng)Payment Applet。向商戶傳遞交易信息、終端信息和動(dòng)態(tài)安全碼。當(dāng)然,用戶也可以首先主動(dòng)使用Touch ID或Passcode驗(yàn)證身份,使iPhone處于“已通過驗(yàn)證”的狀態(tài),然后刷一次讀卡器完成支付。
蘋果公司的公開文獻(xiàn)表明,其會(huì)收集匿名的交易信息(如交易時(shí)間、地點(diǎn))用于完善Apple Pay系統(tǒng)。大數(shù)據(jù)應(yīng)用的可持續(xù)發(fā)展之路應(yīng)在用戶隱私得到充分尊重的前提下實(shí)現(xiàn),Apple Pay的做法值得借鑒。
五、Apple Pay的線上支付過程
Apple Pay支持通過iOS應(yīng)用支付,當(dāng)iOS應(yīng)用請(qǐng)求支付時(shí)首先調(diào)用PassKit API檢查當(dāng)前用戶終端設(shè)備是否支持Apple Pay,以及是否綁定有效的銀行卡。當(dāng)用戶提供足夠的信息后,Apple Pay要求用戶進(jìn)行身份驗(yàn)證。Touch ID是缺省的驗(yàn)證方法,密碼驗(yàn)證作為備選。
如圖3所示,身份驗(yàn)證成功后,iOS應(yīng)用會(huì)向Apple Pay服務(wù)器發(fā)出請(qǐng)求,以獲取一個(gè)隨機(jī)數(shù)。隨機(jī)數(shù)和交易數(shù)據(jù)會(huì)被發(fā)送到安全芯片,在安全芯片加密后與DAN和動(dòng)態(tài)交易安全碼數(shù)據(jù)一起發(fā)送到Apple Pay服務(wù)器,Apple Pay服務(wù)器解密交易信息,再使用商戶的密碼重新加密,經(jīng)iOS應(yīng)用發(fā)送到商戶。
六、對(duì)中國移動(dòng)支付產(chǎn)業(yè)政策的啟迪
Apple Pay基于安全芯片的軟硬件相結(jié)合的有卡支付模式,是實(shí)現(xiàn)易用性、安全性與私密性統(tǒng)一的有效途徑,Google公司三年前創(chuàng)新的Google wallet也是有卡支付的模式。我國金融移動(dòng)支付實(shí)施的是有卡支付技術(shù)路線,也是兼顧到安全性與易用性的統(tǒng)一。
1.產(chǎn)業(yè)鏈整合者
蘋果公司為Apple Pay的實(shí)現(xiàn)做了充分準(zhǔn)備,申請(qǐng)了多項(xiàng)專利,收購了一些關(guān)鍵技術(shù)廠商,并與芯片商高度合作,集成TrustZcne技術(shù),與商業(yè)銀行和卡組織合作創(chuàng)新了商業(yè)模式。這些產(chǎn)業(yè)生態(tài)鏈上的緊密合作是Apple Pay能夠提出兼具安全性、易用性和私密性解決方案的前提。
可喜的是,在可信執(zhí)行環(huán)境(TEE)技術(shù)和指紋識(shí)別技術(shù)方面,目前國內(nèi)廠家的研發(fā)技術(shù)實(shí)力也在不斷增強(qiáng),應(yīng)用開發(fā)趨于活躍。2014年6月起,中國移動(dòng)和中國銀聯(lián)先后在國際標(biāo)準(zhǔn)組織Global Platform終端技術(shù)委員會(huì)和MTF(Mobile Task Force)中提交了TEE技術(shù)的相關(guān)提案。中國移動(dòng)研究院正在負(fù)責(zé)基于UICC配置TEE的技術(shù)白皮書。2014年8月,握奇與中國銀聯(lián)聯(lián)合發(fā)布了 WatchTrust。以華為海思為代表的終端和芯片廠家在終端處理器可信執(zhí)行環(huán)境的技術(shù)研發(fā)中嶄露頭角。2014年9月支付寶在指紋應(yīng)用技術(shù)上開始與硅谷NokNokLabs(NNL)合作。在FIDO標(biāo)準(zhǔn)制定和實(shí)施中,中國公司(如聯(lián)想公司)表現(xiàn)活躍,在可穿戴設(shè)備技術(shù)方面國內(nèi)企業(yè)也開始起步。但我國移動(dòng)支付產(chǎn)業(yè)鏈仍然缺乏有力的整合者,建議在國家政策引導(dǎo)下,加快組建移動(dòng)支付產(chǎn)業(yè)聯(lián)盟,以安全性、易用性整合者為使命,匯聚產(chǎn)業(yè)實(shí)力,構(gòu)建出健康的產(chǎn)業(yè)生態(tài)鏈,引導(dǎo)創(chuàng)新商業(yè)模式,加強(qiáng)國際合作,做到與發(fā)達(dá)國家同水準(zhǔn)要求發(fā)展我國的移動(dòng)支付產(chǎn)業(yè)。
2. 關(guān)注支付網(wǎng)絡(luò)Tokenization技術(shù)
美國的銀行卡EMV進(jìn)展較為遲緩。而Apple Pay采用安全芯片與支付服務(wù)器相結(jié)合的支付網(wǎng)絡(luò)Tokenization技術(shù)的應(yīng)用,是創(chuàng)新領(lǐng)先一步的體現(xiàn)。
在美國市場(chǎng)上,由于磁條卡還占相當(dāng)比例,當(dāng)用戶添加磁條卡到Apple Pay中時(shí),其PAN會(huì)被映射成DAN(DAN是一種Token數(shù)據(jù),存儲(chǔ)在安全芯片中,并用于在線和離線交易中),從而增強(qiáng)了對(duì)磁條卡的數(shù)據(jù)保護(hù)。
在交易處理過程中,加密的Token數(shù)據(jù)在應(yīng)用、交易網(wǎng)關(guān)、商戶及清算處理實(shí)體間交換,對(duì)個(gè)人隱私數(shù)據(jù)保護(hù)起到積極的作用。
在支付網(wǎng)絡(luò)Tokenization體系下,交易處理流程被進(jìn)一步簡(jiǎn)化。尤其是在EMVco標(biāo)準(zhǔn)體系下,加密的Token數(shù)據(jù)可穿透互聯(lián)網(wǎng)連結(jié)點(diǎn)實(shí)體傳遞,理論上可以簡(jiǎn)化用戶登錄不同商戶的流程,通過使用存儲(chǔ)在安全芯片中的Token數(shù)據(jù)完成交易。
支付網(wǎng)絡(luò)Tokenization技術(shù)對(duì)交易數(shù)據(jù)處理提出了新的要求,同時(shí)在設(shè)計(jì)上盡量做到現(xiàn)有受理終端可以支持基于Token的交易。
3. 關(guān)于使用Tokenization數(shù)據(jù)保護(hù)隱私數(shù)據(jù)
Tokenization在互聯(lián)網(wǎng)上的實(shí)施,能為保護(hù)身份證號(hào)、護(hù)照號(hào)、銀行卡號(hào)、歷史交易等個(gè)人隱私數(shù)據(jù)提供較好的保障,使用戶在使用基于互聯(lián)網(wǎng)的支付業(yè)務(wù)時(shí),不必輸入各項(xiàng)敏感度極高的隱私數(shù)據(jù),取而代之的是通過使用存儲(chǔ)于安全芯片的Token數(shù)據(jù)進(jìn)行支付。
為了有利于互聯(lián)網(wǎng)上更好地保護(hù)個(gè)人隱私數(shù)據(jù),我國現(xiàn)在應(yīng)著手考慮建設(shè)金融行業(yè)移動(dòng)支付Tokenization業(yè)務(wù)服務(wù)中心的計(jì)劃與方案。該中心服務(wù)于商業(yè)銀行、商戶、銀行卡組織或通信運(yùn)營商及手機(jī)廠商,是獨(dú)立、可信的第三方中介服務(wù)商。此舉措有利于實(shí)現(xiàn)“線上線下、安全傳輸”的Token業(yè)務(wù)服務(wù),杜絕客戶敏感信息泄露、網(wǎng)絡(luò)交易中間遭截持的安全事件發(fā)生。
4.關(guān)于Apple Pay準(zhǔn)入政策
有關(guān)研究與發(fā)達(dá)國家應(yīng)用實(shí)踐表明,Apple Pay在支付易用性、安全性與私密性方面的設(shè)計(jì)提升了用戶體驗(yàn),當(dāng)然其實(shí)際應(yīng)用還有待進(jìn)一步檢驗(yàn)。我們應(yīng)對(duì)Apple Pay準(zhǔn)入持歡迎態(tài)度,并根據(jù)中國政策法規(guī)實(shí)施有效監(jiān)管。
依據(jù)我國個(gè)人隱私數(shù)據(jù)保護(hù)的要求,在涉及用戶銀行賬號(hào)、交易等敏感信息方面,Apple Pay所使用的Tokenization業(yè)務(wù)服務(wù)中心是關(guān)鍵,應(yīng)落地在我國境內(nèi)。須有監(jiān)管授權(quán)以便于信息安全監(jiān)管。與此同時(shí),雖然Apple Pay采用匿名收集交易信息,但其儲(chǔ)存的交易數(shù)據(jù)涉及民生的各個(gè)方面,因此,Apple Pay架構(gòu)下的服務(wù)器也要設(shè)在我國境內(nèi),以便于在我國法律框架下實(shí)施監(jiān)管。作者簡(jiǎn)介:金融信息化研究所所長(zhǎng) 李曉楓 金融信息化研究所 汪東艷