編者註:本文作者吳智寧,是小米支付的產品經理,對信用卡領域有深入研究。在 Apple Pay 與我們漸行漸近之時,也是時候了解一些 Apple Pay 背後的安全機制 Tokenization。在看這篇專業解析之前,也不妨再溫習一下之前「小米生活」產品經理帶來的《關於 Apple Pay,你一定要看這篇文章》。
隨著 Apple Watch 的正式發布,Apple Pay 最近在網上也越來越如火如荼的被提起。也多有傳聞稱:iOS 8.3 發佈時,Apple Pay 在中國會同時上線。
而在 Apple Pay 中,用來保護用戶隱私的技術中,最為引人注目的技術便是 Tokenization。這項技術是信用卡在介質上進行的一次革命,可謂「為無卡支付而生」。因為在用戶的用卡過程中,最擔心的是卡的支付信息被盜;而 Tokenization 著重解決的便是用戶的信用卡卡號等支付要素被盜的問題。
那麼,Tokenization 和現有的線上支付系統有什麼區別呢?在討論這個問題之前,我們不妨先回顧一下歷史:
- 傳統無卡交易及安全
我們先來說明一下無卡交易:在信用卡組織的定義中,持卡人不需要將物理卡片出示給商家的交易,就算無卡交易。
在常見的無卡交易發生時,用戶需要輸入卡號、姓名、有效期和三位驗證碼(CVV2)。
如果商家記錄下您的這些信息,那麼就可以通過這些信息去其他的商家進行無卡消費。為了避免這樣的慘劇發生,在支付卡安全標準(PCI-DSS)中明確規定,商家不得儲存用戶的驗證碼。
從上表中可看出:驗證碼(CAV2/CVC2/CVV2/CID/CVN2)屬於用戶敏感數據,商戶不可保存。
但是許多商家為了用戶下次可以更方便的支付,會悄悄保存用戶的驗證碼。而如果此類商家的服務器被攻破,信用卡信息被竊,盜刷慘劇就從此發生。去年某商旅網站爆出漏洞之後,許多銀行的客服電話被要求換卡的用戶打爆了,這從側面說明傳統無卡交易的安全隱患已如危巢之卵,風險隨時可能爆發。
- Tokenization 之外的解決方案
正是因為傳統無卡支付易於出現持卡人信息洩露的風險,因此各發卡組織為了避免出現大規模盜刷,一直都在努力嘗試各種解決方案。
在 Tokenization 出現之前,目前常見的解決方案包括:3-D Secure(Verify By Visa / Master SecureCode 等)、簡訊動態口令和協議支付。這三種方式都從一定程度上解決了盜刷問題,在這裡讓我們先回顧一下這些方案:
● 3-D Secure
3-D Secure(以下簡稱 3DS)是 Arcot Systems(不是任天堂喲)推出的一套安全解決方案,它通過用戶設置的獨立支付密碼來增強帳戶安全。
在 Visa,3DS 還有一個名字:Verify By Visa;而在 MasterCard,3DS 則被稱為 Master SecureCode。
當用戶開啟 3DS 驗證之前,需要額外設置一個 3DS 支付密碼;而之後在支持 3DS 驗證交易的網上商家交易時,都需要輸入這個 3DS 支付密碼,發卡行通過驗證 3DS 密碼來確認是否為客戶本人交易。
而在驗證密碼的過程中,密碼通過持卡人本人與發卡銀行之間建立的加密通道傳輸,因為網上商戶 / 第三方支付機構無法獲得持卡人的 3DS 密碼,因此銀行相信這樣可以增強用戶網上交易的安全性。
當然,這項技術需要銀行額外開發,因此不是所有銀行都支持 3DS 驗證。
3DS 驗證除了需要銀行支持之外,它最大的敵人是木馬程序。因為 3DS 支付密碼是在用戶的電腦上輸入的,而當用戶輸入了這個密碼的時候,依據《欺詐責任轉移政策》FLS,用戶 / 發卡行無法提出欺詐拒付。而在用戶輸入密碼的過程中,如果電腦上被安裝如屏幕監控程序之類的木馬,那麼密碼將很容易丟失。而如果用戶丟失密碼,這張卡就成為盜卡組織眼中的肥羊。
既然 3DS 驗證存在這些問題,但是這是一種國際通用的支付解決方案。讓我們把視線回到中國,看看中國如何解決支付安全問題:
● 簡訊動態口令
簡訊動態口令與 3DS 不同,它並不需要用戶額外設置支付密碼,而是在驗證用戶的支付要素之外,通過向用戶的手機下行一條驗證碼簡訊來驗證用戶目前持有這張銀行卡。銀行認為:若用戶正確輸入簡訊中的驗證碼,則銀行認為用戶已授權支付這筆款項。
在中國三方支付所提供的快捷支付功能中,通過用驗證簡訊動態口令的方式來驗證用戶身份已經成為一個公認的行業標準。
看到這裡,大家會問:為神馬不輸入銀行卡取款密碼呢?因為第三方支付機構無權驗證用戶的支付密碼,而銀行也不允許第三方支付機構驗證支付密碼。
因此,沒有簡訊驗證支付,就沒有快捷支付。沒有快捷支付,大家就不能快樂的在手機上買買買了。
但是,在簡訊驗證支付的實際支付流程中,商戶 / 第三方支付機構依然需要留存用戶的支付要素以發起支付請求,因此如果商戶 / 第三方支付機構的服務器被黑客攻破,用戶的支付要素依然會被丟失。
為了避免第三方支付機構的服務器被黑客攻破後丟失支付要素,中國許多家銀行目前都在快捷支付的過程中使用「協議支付」來增強安全性。因此,接下來我們開始聊聊協議支付。
● 協議支付
協議支付顧名思義,是用戶和銀行之間簽訂快捷支付協議,用戶在協議簽訂之後,憑藉協議號來進行後續的扣款支付。
比起傳統的快捷支付,由於扣款協議是依據商戶 / 第三方支付機構來簽訂的,其他商戶 / 機構無法使用這封扣款協議;因此即使商戶 / 第三方支付機構的服務器被攻破,即使扣款協議被盜取,用戶依然可以正常支付。
在具體實踐中,協議支付可以從銀行端發起簽訂(如支付寶卡通),也可以由商戶 / 第三方支付機構發起簽訂(如部分銀行的快捷支付簽約)。
但是協議支付並不能取代簡訊動態口令,因為銀行依然認為保存在商戶 / 第三方支付機構的協議是不安全的。銀行堅定的認為:通過同時通過驗證支付密碼 / 簡訊驗證碼的方式來進行風控才是安全滴。
- 將線上支付帶到線下:Tokenization
雖說無卡支付已經有了許多可用的產品,但是這些產品依然無法替代信用卡本身,無卡支付的適用範圍依然僅限於線上。
因為:無論是 3D Secure 新增的在線支付密碼、還是簡訊動態口令的簡訊驗證碼、甚至是協議支付中限定僅供兩方使用的協議,都無法滿足卡組織對線下交易的風控需求。
銀行主要擔心的是:而如果卡片可以隨便被複製,那麼就可能被不法組織利用。
因此,Apple Pay 選擇了一個從技術上「無法複製」的介質來存儲用戶的支付信息,同時通過 Tokenization,將「複製」行為演變為向原有信用卡增加一個關聯帳戶,如此曲線救國,讓卡組織放心接納這項技術。而在 iPhone 5s 之後加入的生物識別技術也已經足夠成熟到銀行和卡組織願意去相信。
於是,Apple Pay 就從線上走到了線下。而在這項技術中用以保護用戶關鍵信息的技術,便是 Tokenization。但是它的使用並不限於 Apple Pay,還可以在其他線上 / 線下使用場景中被使用。
- 在線下支付中使用 Tokenization
在 Apple Pay 的支付流程中,iPhone 的安全模塊中並不存儲用戶的卡號(PAN)及其餘支付信息,取而代之的是蘋果公司稱之為 DAN(設備帳號 / Device Account Number)的支付 Token。用戶輸入卡號、姓名、有效期與驗證碼,銀行驗證信息之後向手機下發 DAN。
DAN 存放於手機上的安全芯片(Security Element)內,僅本機可讀,蘋果公司不會將 DAN 上傳 / 備份至服務器,甚至蘋果公司在雲端都無法訪問到 DAN。
在這個過程中,Tokenization 為用戶的信用卡新增了一個與卡片唯一關聯的設備帳號,而且這個設備帳號僅在這台設備上可用。在用戶關聯了卡之後,可以通過 DAN 與 Touch ID/ 鎖屏密碼來完成支付交易的確認。為了保護用戶支付信息的安全,在用戶驗證 Touch ID/ 輸入支付密碼之前,所有的支付要素都不會被發送到收款終端上。少年們,只要將你的手指從 Home 鍵上移開,你的鈔票就不會隨便離你而去。
為了保護用戶的設備帳戶安全,如果用戶關閉鎖屏密碼 / 註銷帳戶 / 擦除設備上的內容,這台設備中綁定的所有卡片都會被自動刪除。而在你掛失這台設備的時候,蘋果也會主動聯繫卡組織註銷設備中的卡片,這樣即使手機被破解,卡片也無法使用。
- 在無卡支付中使用 Tokenization
Tokenization 的線上使用模式與協議支付類似,區別點在於協議支付存儲的是商家 / 第三方支付機構所生成的協議號;而 Tokenization 方案則存儲由卡組織 / 銀行生成的支付 Token。
由於支付 Token 是專用的,因此即使 Token 失竊,其他商家也無法使用它來支付。而卡組織還可以主動掛失 Token,因而 Token 相比其餘支付方式有著更高的安全性。
下圖是 Tokenization 的流程,它並沒有大幅改變傳統支付流程,而是在必經流程中改造。這也是目前卡組織願意接受它的原因。
- 最後的話
人類手中的交易介質總是不斷的隨著技術的演進而改進,在銀行卡這件事情上,從存摺 / 壓卡機到磁條卡,從磁條卡到芯片卡,從芯片卡到手機支付都是交易介質的一次又一次更迭。
或許它們的出現不像錢幣那麼有跨時代意義,但這些技術都正在一點一點改變我們的生活。
也許,在數年後會有新的技術出現,但是放眼當下,以 Apple Pay 為代表的手機支付無疑正站在浪潮的巔峰。在嘗試了包括 NFC SIM 之內的各種方向之後,手機支付終於找到了一條逐漸變得寬廣的道路。對於手機支付而言,一個更好的時代,也許正在到來。
(本文轉載自合作夥伴《ifanr》;未經授權,不得轉載)
