Apple Pay的实现原理是什么?

理由
举报 取消

Apple Pay绑定了银行卡之后,在支付时POS上显示的卡号并非实体卡片本身的号码,此处的原理是向银行申请了另外一个虚拟账户吗?那么如果绑定了多家银行的卡片,是不是相当于在这些银行又申请了一张用于网络支付的虚拟卡片?如果并非使了如上所述的方式,那么如何理解工商银行所说的有效期五年和挂失免费?

2017年8月4日 8 条回复 1601 次浏览

发起人:旺财 初入职场

回复 ( 8 )

  1. 侯翔宇
    理由
    举报 取消

    感谢邀请!

    答主非支付行业。

    一、Apple Pay的运行

    以下以招商银行信用卡为例来描述Apple Pay的运行机制:

    1、用户向招商银行申请了一张银联标准信用卡,并获得批准。

    在这一步,招行会

    • 键入用户的申请资料,对用户进行资产和信用调查(征信);
    • 批准用户的申请请求,对用户进行授信(颁发信用额度);
    • 通过申请人档案生成客户档案;
    • 在客户档案下新建一个名叫“个人消费账户”的贷记账户并报告给人行以建立信用记录;
    • 在“个人消费账户”下新建一张银联标准信用卡(生成卡号【主账号、PAN】、有效期、CVN2);
    • 通知厂家制作这张卡片,邮寄。

    2、用户开卡使用。

    3、用户用这张招行银联标准信用卡申请Apple Pay服务。

    在这一步:

    • 用户使用手机键入或拍照卡信息(卡号、有效期、CVN2);
    • 手机将上述信息发给Apple Pay的专用服务器(Token Requestor);
    • Apple Pay的专用服务器将卡信息发送给令牌服务提供商(Token Service Provider、Token SP),就是银联云闪付的令牌服务系统;
    • Token SP将卡信息和针对这个卡预生成的虚拟卡号(Payment Token、token)发给发卡行验证;
    • 发卡行通过验证,向Token SP授权,并在数据库中建立PAN和token的唯一对应关系,并将这张银联标准信用卡和token做出账务关联;
    • Token SP获得授权,将token回送给Apple Pay的专用服务器;
    • Apple Pay的专用服务器先将设备唯一标识和Token进行绑定,然后将token回送至iPhone的Secure Element进行硬件加密保护。

    ——————-通俗来讲,这个过程就是——————–

    • 用户在手机上输入了卡号6225 7500 0000 0000,有效期99/99,CVN2 999,手机把这些信息发给Apple Pay的专用服务器。
    • Apple Pay的专用服务器把这三个信息发送给银联的Token SP。
    • Token SP启动一种算法,针对6225 7500 0000 0000生成了一个虚拟卡号6211 8888 8888 8888,并把(6225 7500 0000 0000,99/99,999,6211 8888 8888 8888)发送给招商银行信用卡中心。
    • 招行一看,卡号、有效期、CVN2正确,便在自己的系统里偷偷地将0000卡和8888虚拟卡关联了起来,并告诉Token SP:“来信收到,内容无误,你的请求已经得到了批准。”(以上几步在iPhone上显示为“正在与发卡行通信”)
    • Token SP收到回信后,将6211 8888 8888 8888回送给Apple Pay专用服务器。(这步在iPhone上显示为“正在设置用于Apple Pay的卡片”)
    • Apple Pay专用服务器将6211 8888 8888 8888存储在iPhone的Secure Element里面。(这步在iPhone上显示为“正在将卡片添加到Wallet”)

    于是用户的手机上就显示出了主账号6225 75** **** 0000,设备账户号码6211 88** **** 8888。

    4、用户使用Apple Pay在商户进行交易。

    在这一步:

    • NFC芯片将Token发送给POS
    • POS将Token和其他交易信息发送给收单行
    • 收单行将Token和其他交易信息发送给银联交易转接服务器
    • 银联交易转接服务器将Token发给Token SP
    • Token SP通过Token对应出PAN,将PAN回送至银联交易转接服务器;
    • 银联交易转接服务器将Token、PAN和其他交易信息发给发卡行
    • 发卡行进行交易授权,并将PAN和授权信息回送至银联交易转接服务器;
    • 银联交易转接服务器将Token和授权信息回送至收单行;
    • 收单行将Token和授权信息回送至POS;
    • POS提示交易成功,打单。

    从上述过程来看,商户、收单行和交易转接服务器之间采用Token来标识卡片,而PAN在且仅在交易转接服务器、Token SP和发卡行之间进行传送。

    5、如果发生了风险

    手机丢失时:

    • 用户会登陆iCloud网站,登陆并停用用户手机上的Apple Pay服务;
    • Apple Pay的专属服务器会立即向Token SP发出请求,按照自己存储的该设备对应的Token列表逐一申请吊销这些Token;
    • 捡到手机的人尝试支付(假设TA神通广大,伪造出了用户的指纹并通过了Touch ID的验证);
    • 在交易进行到“Token SP通过Token对应出PAN”这一步时,因为Token已被吊销,所以交易无法继续;
    • 用户找回或者购买了新设备,重复申请Apple Pay的流程,获取全新的Token。

    在用的Token出现交易风险时:

    • 发卡行会对该Token取消授权,并通告Token SP;
    • Token SP会向Apple Pay专属服务器回送Token失效的信息;
    • Apple Pay专属服务器向iPhone发出指令,将这张卡片标记为不可用。
    • 用户重复申请Apple Pay的流程。

    横向比较传统支付和Apple Pay,实际上后者比前者多了两个参与方,就是令牌申请方Token Requestor令牌服务提供商Token SP,这两方的存在保障了用户PAN的安全,降低了PAN泄露的概率。

    二、Apple Pay绑定了银行卡之后,在支付时POS上显示的卡号并非实体卡片本身的号码,此处的原理是向银行申请了另外一个虚拟账户吗?

    不是。此处仍以上述提到的招商银行信用卡为例:

    一般的,一个客户在招行信用卡中心最多可能有以下四个账户:“个人消费账户”“白金分期账户”“个人偿债公务卡账户”“公司偿债公务卡账户”,而绝大多数客户只有第一个账户,但是这个客户名下可能有四五张招行的信用卡。

    实际上,这些卡片都是共享额度的,也就是说在同一个账户下。

    所以卡片仅仅作为账户的一个交易工具而已,Apple Pay也只是一个交易工具,最终支付的,是你的账户内的资金或者债务。

    上文已经解释过,POS显示的卡号就是你的Token,这个Token相当于PAN的一个附属卡,就像工行的闪酷卡和主卡那样的关系。

    所以,申请Apple Pay并没有新增账户,而只是在原来卡的PAN上加挂了一个附属的Token

    三、那么如果绑定了多家银行的卡片,是不是相当于在这些银行又申请了一张用于网络支付的虚拟卡片?

    把Token理解为一个虚拟的卡片是可以的,这个Token就像信用卡的一个看不见摸不着的替身,它藏在你的Secure Element里,仅在需要使用的时候才现身(被POS读取)。

    四、如果并非使了如上所述的方式,那么如何理解工商银行所说的有效期五年和挂失免费?

    刚才说过了,Token只是一个替身,作为一个合格的替身,Token显然不能只有一个卡号就完事,它还有属于自己的有效期(可能还有属于自己的CVN1吧,待大神求证),所以,你在签账单上看到的所有信用卡信息,都是Token SP包装出来的“假”信息。生成这些“假”信息的目的,就是为了保障你的“真”信息的安全。

  2. 舒十七
    理由
    举报 取消

    谢邀。题主说的没错,apple pay添加工行卡后,工行会生成一个虚拟账户用于支付。

  3. harrix
    理由
    举报 取消

    是的,apple pay使用了EMV新提出的token体系,将真实的银行卡号用虚拟的token号代替,在手机端和受理机具中只能看到虚拟的token号码,到金融系统后端才将token翻译成银行卡号做交易。是相当于申请了一张银行卡的虚拟卡。token可以灵活的作废,重发,不影响原银行卡的使用。

  4. zz zz
    理由
    举报 取消

    跟OAuth协议神似

  5. 汪威
    理由
    举报 取消

    问个问题,apple pay对于苹果来说如何盈利呢?

  6. 金兆泽
    理由
    举报 取消

    谢邀。 是的,一旦添加卡片就会建立一个虚拟的账号。 在apple wallet中删除后,虚拟账号会被注销

  7. 匿名用户
    理由
    举报 取消

    是的 至少我了解的工行是这样的

    工行开通apple pay的时候会有一条开通激活新信用卡的短信,相当于在原信用卡下面挂了一张虚拟卡,类似工行“3136”(不懂工行3136的可以自行百度),同时网银上会提示你“有一张未注册的信用卡”。如果柜员敢做的话也可以给Apple pay这个虚拟卡号发一张实体卡片(零星换卡,当然这是违规的不允许的)

  8. 卢衡
    理由
    举报 取消

    抱歉,可不可以顺着这个问题加问一句。如果iphone6plus的nfc模块消磁了(就是手机贴近pos机但感应不到任何支付请求)但是apple pay的其他软件功能正常,如何处理整修?拿到苹果的genius bar,他们的专家给出的解决方案是整机更换,要付将近2400元甚至更多的费用。这大大超出了我的承担能力,还不如再买一个便宜的apple watch。

我来回答

Captcha 点击图片更换验证码