Samsung Pay/Apple Pay/Android Pay支付技术大比拼

在MWC大会上，三星发布了Samsung Pay，Google也宣布在研发支付框架Android Pay，再加上苹果的移动支付Apple Pay，让人傻傻分不清。那么它们在实现上到底有什么区别呢？请看以下EDN整理的内容。 Apple Pay不是革命 首先要知道的是，Apple Pay与支付宝、微信不同，它并不是独立的第三方支付服务，没有自己的账户，也不参与资金的流动，Apple Pay只是将原有的实体银行 卡变成手机上虚拟的银行 卡”。

Apple Pay
2vDednc

在国内Apple Pay是与中国银联合作的，所以，基本上所有国内的主流银行的发行的银联卡都可以支持Apple Pay，商户只需升级到支持银联闪付功能的POS机即可使用Apple Pay付款。 在国内，Apple Pay是将银行 卡通过银联的协议与手机绑定，用户在绑定银行 卡时，输入卡号和相应的验证码，然后上传到银联的系统进行验证，通过后，银联会向你的iPhone发送一个“虚拟的银行 卡”。iPhone不会存储原有银行 卡的信息。 也就是说，Apple Pay只是银行 卡的另一种形式，并不是一个新的支付系统。Apple Pay支付过程中的所有环节与普通的刷卡消费一样，只是用手机代替了银行 卡，指纹代替了密码，对于消费者来说，更加方便快捷。 Apple Pay安全吗？ 世界上没有100%的安全，只能说针对目前能想到的问题，苹果做好了安全措施。 卡片信息不存储在iPhone里，取而代之的是一个可变的token code，每次买东西发给银行的动态安全码也不一样，而这一切的钥匙是手机上的Touch ID指纹装置，它已经经过了几代iPhone的验证。

Apple Pay技术流程
2vDednc

对黑客来说，Apple Pay的薄弱环节又有哪些？ （本节内容系某安全公司资深安全人士所写） 2月20日凌晨，Apple Pay正式登陆中国，笔者马上就绑了自己的银行 卡，虽然中途的绑定验证颇为曲折，但明眼人一看就明白，这和苹果没多大关系，关键的认证步骤是银联的服务器撑不太住。到了中午，笔者去麦当劳体验了把Apple Pay，第一次用有点生涩，不过感觉用户习惯了后的体验肯定是秒杀各种支付应用的。于是晚上，各路人士肯定是要对Apple Pay品评一番的，到这里咱也不能免俗，来说两句。

2vDednc

首先，很多人拿Apple Pay和微信、支付宝等支付应用去对标，什么微信支付宝向左，银联Apple Pay向右 ，这么对标显然是愚蠢的，两个东西完全不在一个维度。简单来说，Apple Pay可以不用联网进行支付，从这一点出发，咱就不要把Apple Pay当成一个支付应用，因为它有其他支付应用没有的能力，它其实就是一张高科技银行 卡。 从银行 卡这个思路我们去分析安全会更容易理解，早期传统的银行 卡是磁条卡，磁条卡并没有太多的安全认证，导致读取到磁条中的数据就可以复制成一张新的银行 卡，于是我们经常可以看见盗刷复制银行 卡的新闻，不法分子一般都是通过非法磁条卡读写设备复制银行 卡。 于是银行开始推更安全的芯片卡，芯片可以存储密钥、数字证书、指纹等信息。笔者对这个领域并不熟悉，不过还是加劲解释下，芯片卡能通过非对称加密的方式，和POS机进行双向公私钥验证，通俗说就是银行 卡认设备了，非法设备已经无法复制银行 卡了。 回到Apple Pay上，Apple Pay能够做到离线支付，那是不是银行 卡被复制到了苹果手机中呢？并没有，Apple Pay的绑定银行 卡过程，不是把银行 卡芯片中的密钥和数据直接复制到手机上，实际上是把卡号和相关的密码或者信用卡的CVV输入到手机应用里，然后Apple Pay和银联的服务器做一次设备认证绑定。这个设备认证的过程Apple Pay会生成一个唯一的设备账号与之对应，设备认证绑定后，以后要和POS机进行安全认证的数据Token等存储在iphone安全芯片中。 目前这类安全支付的安全攻防的落点都在硬件安全体系上，苹果是以Secure Boot Chain、Secure Element、Secure Enclave、Touch ID、NFC Controller为支柱的硬件安全体系，安卓阵营则是以ARM的TrustZone技术为安全标准，这些安全标准一般人都太难以理解，这里我们不深入解释，笔者在这个领域不太熟悉，凭自己的经验和认识来来谈谈Apple Pay和安全相关多个攻击面： 第一个攻击面，Apple Pay的NFC近场通信是否有安全隐患，比如说通信协议的重放，咱是不是可以脱离手机设备无限制地重复支付同一个交易，这个肯定想都不用想，在架构设计上苹果肯定会杜绝这种低级错误。 不过NFC攻击可是千变万化，比如2013年DEFCON-20上曾有一个“NFC Hacking: The Easy Way”的议题，提到了NFC跳板攻击，议题放出过一个概念性的攻击例子，利用两个NFC手机做跳板，钓鱼欺骗你的银行 卡支付远端的一个POS机，其中的攻击原理把这张银行 卡换成Apple Pay手机，应该也一样能攻击成功，不过笔者觉得在小额度支付的场景，实施这样的钓鱼攻击成本太高，黑客始终还是无法无限制地盗刷支付。

2vDednc

第二个攻击面，来自Apple Pay业务层次的安全，现在苹果手机已经变成银行 卡了，而这个银行 卡的密码不再是银行密码了，而是你的锁屏密码和指纹。 所以如果手机丢失了，你来不及锁定注销Apple Pay，那不法分子使用你的锁屏密码或指纹可能刷爆你的卡。这里的锁屏密码也能支付估计很多人都没体验到，只需要使用错误的指纹几次就会进入锁屏密码支付流程。当然这也是一个伪命题，前几天FBI还在求助库克给iPhone的锁屏密码开个后门，因为苹果的Touch ID与密码中有一项安全选项，连续输入10次错误密码就抹掉手机的所有数据！当然这一功能明显不适用于普通消费者，如果你的手机落在亲戚小孩手上，情况可想而知。 第三个，Apple Pay软硬件层次的攻防。 这部分乌云的文章：《Apple Pay 来了，但是它安全么？》已经做了很详细的科普，现在黑客攻防的落点是挑战硬件安全体系，去年已经有黑客攻破了部分安卓手机厂商的TrustZone安全支付方案，苹果的Apple Pay至今还没有人攻破。试想黑客如果能够做到破 解苹果安全芯片的加密数据，将Apple Pay的设备克隆，在世界的另外一个角落盗刷你的银行 卡，我觉得这会是本年度最轰动的安全事件。 【分页导航】 {pagination} Apple Pay只是服务，Android Pay才是大平台？ 在今年的巴塞罗那MWC大会上，Google公司Android业务副总裁Sundar Pichai宣布公司正在研发名为Android Pay的移动支付框架，旨在打造企业级用户接入实体店或应用程序app运行安全支付的“API接口”。

2vDednc

Pichai表示：“我们搭建Android Pay框架的目的，是为了让任何人都能在Android平台上开发自己的支付服务。” 虽然说Pichai并没有透漏Android Pay的具体细节，但是他表说这项服务将会从NFC通信方向着手做起，最终来实现类似生物识别传感的智能支付服务。所以大胆推测，Android Pay也极有可能支持指纹识别，就像三星即将发布的搭载了Samsung Pay的旗舰机那样。 Pichai还确认，即便Google Wallet的服务是依托于Android Pay的框架，但是它将继续作为一项独立的业务而存在。另外，Pichai本人避而不谈对于Android合作伙伴们（例如三星）也纷纷试水移动支付的问题。他仅仅表示，Google和三星的支付系统在推出的时间点上少有不同，并且将会在日后联盟合作。 关于Android Pay如何同时为开发者群体和个人用户同时提供服务的方面，仍然存在不少疑问。但清晰的事实是，Google希望做到简化线上线下的整个移动支付流程。可以预测，今后借助于Android Pay，广大的Android手机用户们也能够实现“手指触碰”便能够简单完成安全交易。 其实早在2011年Google Wallet诞生之时，Google公司便一直致力于移动支付业务的开发。或许去年老对头苹果发布了Apple Pay，更加敦促了Google要快马加鞭的加快脚步。 现在看来，Apple Pay已经成为了许多用户心中出色的移动支付服务，但是对于Google而言，它要做的并不是推出服务，而是打造一个“人人能接入”的Android生态圈的支付平台。Google能否成功，我们还是拭目以待吧。 Android Pay又有什么特点？ 如果你对于Android Pay的工作方式和安全程度非常好奇，或者想要知道Google Wallet未来将何去何从，科技网站Mashable日前就撰文对谷歌的这个支付服务进行了详细介绍。 工作方式 和Apple Pay一样，Android Pay同样依赖于NFC，因此用户可以使用手机接触受支持的POS机来进行购物支付。“使用Android Pay时，你可以如往常一样解锁手机，然后将其放置在商家的非接触式终端附近，这样就行了。Android Pay会负责所有繁重的工作，”谷歌产品管理经理Pali Bhat在一篇博文当中介绍道，“你在手机上就能看到支付确认和交易明细的信息。” Android Pay还支持会员卡和优惠券。在现场展示当中，自动售货机可自动识别Android Pay当中的奖励积分，并消耗它们来供应一杯免费的饮品。 安全 对于金融类服务来说，安全永远都是重中之重。为了保证Android Pay的安全性，谷歌与所有主要信用卡公司展开了合作，以采纳一种名为Tokenization的安全标准。苹果的Apple Pay及其他许多支付平台使用的也是这套系统。 “Tokenization确保我们不会将你的信用卡号码存储在手机上，而是将其交给网络，并获得一个可安全存储在手机上的虚拟账号。”谷歌支付产品管理副总裁Ariel Bardin在Android Pay的开发者座谈会当中这样介绍道。 换句话说，当你进行支付时，你的信用卡号码和其他信息都不会真的和支付终端进行交换。不同于Apple Pay，Android Pay并不依赖于指纹认证，好让那些没有指纹扫描功能的设备也能使用这项服务。但谷歌表示，Android M正式发布之后将会有更多的厂商在产品当中加入该功能。 第三方应用 Android Pay并不仅限于在实体店内使用。和Apple Pay一样，Android Pay同样可允许开发者通过自己的平台开启应用内支付。受支持的应用会带有“使用Android Pay购买”按键，点击之后便可实现一触式支付——开发者可以通过Android Pay的API利用到该功能。 Google Wallet转型 你或许已经忘记了，NFC支付的先驱者实际上是谷歌，他们早在2011年就已发布了Google Wallet。虽然未能发展壮大，但Google Wallet依然拥有一群核心用户。而随着Android Pay的发布，外界对于Google Wallet的未来随即产生了疑问，特别是考虑到两者之间存在如此多的重复功能。 因此，谷歌打算对Google Wallet进行重新定位。新版Google Wallet将在数月之后发布，其功能将更加侧重于p2p支付，NFC支付和应用内购则会被移除。 后续计划 虽然我们并不知道Android Pay的确切发布时间，不过谷歌表示，当该服务在今年晚些时候问世之时，全美将有超过70万商家提供支持。由于和AT&T、Verizon和T-Mobile达成了合作关系，市面上销售的新手机都将预装Android Pay。此外，现有Android 4.4或以上并具备NFC功能的手机也可支持该功能。 谷歌在本届大会上还展示了一款让人好奇的实验性支付应用，名叫Hands Free。这款应用目前尚处于非常早期的开发阶段，其功能是让用户无需触碰手机或POS机便可进行交易。如果成功问世，Hands Free将会成为Android Pay区别于其他支付平台的一大特色。 【分页导航】 {pagination} Samsung Pay的可行性最高？ 三星也加入到了这场战争，推出属于自己的移动支付系统—Samsung Pay。 Samsung Pay负责经理Thomas Ko表示，从2016年开始将覆盖美国的在线支付物业。Thomas Ko在接受《路透社》采访时并未透露在美国市场在线支付业务启动的具体时间，不过目前一切都已经准备就绪，看来三星已经绝对追赶Apple Pay的脚步。

2vDednc

支持设备 目前Samsung Pay仅支持Galaxy S6、S6 Edge、Edge Plus和Galaxy Note 5，相信即将发布的Galaxy S7和Galaxy S7 Edge一定也在支持范围内。 非旗舰机型的兼容性 三星移动支付部门曾经表示，Samsung Pay有助于提高设备的销量，因此希望不仅仅只有旗舰机型才支持这项服务。虽然三星并未透露具体未来Samsung Pay的支持机型列表，不过未来将会有更多非旗舰机型设备支持。 《韩国先驱报》的消息称，Samsung Pay有可能在2016年上半年开始陆续兼容中低端设备，此外业内人士表示，三星未来计划在入门级设备上加入指纹识别功能，而这也是Samsung Pay的拓展计划范围之内。 另外，Samsung Pay的支付不仅仅局限于Android系统智能手机，，同时《韩国先驱报》也表示，三星自家的Tizen系统智能手机未来也将支持，不过考虑到目前Tizen的销量，目前这样的支持性并没有太大的影响力。 同时，三星还确认了Gear系列智能手机对于Samsung Pay的支持。目前，Gear S2对于Samsung Pay的支持力度非常有限，虽然它具备NFC中端功能，但是兼容性并不一致。因此，三星计划对Gear智能手表也加入类似智能手机的特性，在无需NFC上也可以进行支付。 未来，Samsung Pay还将兼容其它厂商的智能手机。三星表示，自己曾在内部讨论过增加合作伙伴的可能性，进一步推广自己的服务范围。虽然这样可能回合谷歌的Android Pay有所冲突，但是这是扩大自己在移动支付市场的好方法之一。因此，三星目前正在加速Samsung Pay在全球的扩展速度，因此未来我们或将看到其他品牌的智能手机支持Samsung Pay服务。 或将支持智能电视 三星将Samsung Pay作为一个服务平台，而并不仅仅是非接触式支付。因此三星未来将对Samsung Pay加入对智能电视的支持。 三星希望表示能够与PayPal合作，将用户购买的信用卡及其他个人信息绑定，因此在登记后，用户可以直接在智能电视中通过Samsung Pay来购买付费节目，方便快捷。 三星支付为何比Apple Pay晚一步入华？ 赛跑数年，最终苹果的Apple Pay还是领先三星的Sumsung Pay进入中国市场，包括在其他地区的扩张。虽说Apple Pay比Android Pay、Sumsung Pay等友商早推出了几个月，但由于多方面优势，三星移动支付呼声都较高。此前有报道称，三星Sumsung Pay将比Apple Pay早一步登陆中国，于去年九月份首发后入华。但是为什么没有呢？

2vDednc

杀手锏：支持传统的磁条信用卡读取终端 据介绍，由于三星在去年初收购了初创公司LoopPay的磁场技术，Samsung Pay不仅能够支持NFC近场通信支付终端，同时还支持传统的磁条信用卡读取终端——MST（磁力安全传输技术）。这使得Samsung Pay几乎能够在所有支持刷卡或是NFC的零售商处使用Samsung Pay。也就是说，与Apple Pay相比，Samsung Pay对于商家来说无需升级支付终端就能兼容近场通信技术。以上这些特色是Samsung Pay对外宣传的主要几个卖点，因为终端商户们所需要付出的成本几乎为零。在这一方面，Samsung Pay比仅支持NFC技术的Apple Pay似乎更受商家欢迎。 不抽取银行方面利润 针对每笔通过Apple Pay系统完成的交易，苹果将收取一定比例提成，具体佣金比率高达0.15%。与Apple Pay不同的是，三星不会从向参与合作的银行那里提取营收分成或任何费用。相反，三星将创建一个生态系统，通过这一生态系统，商家能够给他们的客户提供优惠和积分计划。 苹果一直想让Apple Pay尽快进入中国，但因未与银联方面谈判成功，导致Apple Pay一度进展缓慢，三星则未闻有这方面的难题。虽然Samsung Pay推出时间比Apple Pay晚，但进入中国的步伐却快一步。那么最后阻碍三星的又是什么呢？ 增长速度更快 2014年十月Apple Pay第一次问世之时，覆盖用户为12%，一年后这个数字上升至47%。去年， iPhone 6s的销售让这一数字升至另一高度。该公司新推出的升级奖励的承诺，最大限度地提高Apple Pay在6系列中的使用比重。但是，即便Apple Pay自从正式上线以来，每月正以两位数的速度增长，根据Aite Group研究员调查显示，上线一年后，目前在美国市场Apple Pay所占的交易数量比重只有1%。另外，虽然Apple Pay的用户满意率为98%，但是大多数苹果用户其实根本就没有使用过这项服务。 与此同时，三星前段时间在一份报告中表示，其在韩国推出Samsung Pay两个月后，使用者已经增长到了100万人。据该公司介绍，平均每日使用Samsung Pay进行支付的人数超过10万人。此外，Samsung Pay也于9月28日在美国上市，当地媒体给予了一致好评。《财富》杂志评论称：“Samsung Pay比Apple Pay和Android pay好用。”这种局面是否让三星掉以轻心了？ 局限 即便具有磁力安全传输技术这个杀手锏，也许对三星来说，用户群覆盖是硬伤。根据IHS Technology的数据榜单，2015年中国智能机市场销量达到4.17亿台，其中苹果在全球的整体销量虽然放缓，但国内市场仍然以5230万台的销量位列第三，而三星经已跌出前五。 目前支持三星支付的三星手机型号包括GALAXY Note 5、Galaxy S6 Edge Plus。也许正因为用户群的原因，三星才决定将其支付平台安装到更多的设备上。三星支付全球联席总经理Thomas Ko在接受外媒采访时表示，从今年开始，一些价格更便宜的三星手机也将会支付三星支付（Sumsung Pay），并且三星正在考虑开放其支付系统给第三方合作伙伴，并且不再只局限于三星手机上使用。 三星这一举措对广大用户来说是好事，而且对即将与Apple Pay厮杀的Sumsung Pay来说，此举也许是巨大的帮助。 Samsung Pay安全吗？ Samsung Pay拥有三种安全保护机制，包括指纹认证或PIN码（数字密码）、支付标记（Token）以及KNOX。指纹认证或PIN码（数字密码）就像是第一道安全保障，在保护手机不被随意解锁使用的同时也保障了Samsung Pay的安全。支付标记（Token）则是第二道安全保障，在你使用Samsung Pay支付时，不断变化的动态口令让你的银行 卡信息不会随着与POS机的数据交换而被随意窃取和使用，同时也保证了支付安全。而KNOX则是第三道安全保障，在平时不使用手机时，它开辟一个安全的区域以保护Samsung Pay。若手机不慎丢失，机主可以通过Find My Mobile（FMM）功能，远程删除手机中的资料和信息，保证隐私安全。 【分页导航】 {pagination} Android Pay与Samsung Pay又有何区别？ 为了进军移动支付领域，谷歌和三星都分别推出了各自的支付服务。因此，美国地区出售的三星手机将同时拥有Android Pay和Samsung Pay两个支付功能。虽然两者的目的都是一样的，但它们其实毫不相干。为了消除我们的疑惑，科技网站Android Central日前就撰文介绍了Android Pay和Samsung Pay之间的区别。

2vDednc

Android Pay Android Pay是谷歌在移动支付领域的第二次尝试，用以替代之前的Google Wallet系统。不过和后者一样，Android Pay也是通过NFC在手机和支付终端之间传输支付信息的。在将银行 卡添加至应用之后，你就可以在购物时通过Android Pay进行支付。 为了提供足够的安全性，Android Pay会要求用户为手机设置锁屏密码。而在进行支付时，你还需要通过单独的PIN码进行身份验证。 除了银行 卡之外，Android Pay还可支持会员卡和礼品卡。在使用时，Android Pay会在屏幕当中显示一个条形码以供商家进行扫描。值得注意的是，你只能从可被Android Pay识别的程序当中添加会员卡和礼品卡，而不能像过去使用Google Wallet一样手动输入卡号。 Android Pay需要设备运行Android 4.4或以上版本系统，并支持NFC和HCE。对于这项服务来说，它最大的问题是寻找可支持NFC支付的商店。虽然麦当劳、梅西百货和沃尔格林等连锁品牌都已经可支持NFC支付，但它依然远未得到真正的普及。 Samsung Pay 三星的Samsung Pay亮相距今虽然已经有相当长一段时间了，但我们直到Galaxy Note 5发布之时才对它有了一个较为全面的了解。和Android Pay一样，它也拥有一款独立的应用，可供用户添加银行 卡、礼品卡和会员卡。 Samsung Pay可支持NFC支付，但它真正的亮点是名为MST的功能。后者可让你的手机模拟出物理磁卡的刷卡信息，使其可以在任何POS机终端上使用。你只需激活Samsung Pay，进行身份验证（指纹或密码），然后把手机靠近POS机平时刷卡的位置，便可完成支付。 和Android Pay一样，Samsung Pay的支付也是通过虚拟卡号和一次性授权令牌进行的，因此安全性十分有保障，不会泄露你的支付信息。 MST并不需要商家对支付终端进行任何升级，只要它们支持银行 卡，便可兼容MST。但例外同样存在：在面对那些需要将卡片插入然后再拔出的读卡器时，比如ATM和停车收费表，MST是无法工作的。 Samsung Pay所面临的最大问题恐怕是兼容性了。目前，只有Galaxy S6、S6 Edge、S6 Edge+和Note 5四部手机可支持该服务，这也给它的推广带来了不小障碍。 【分页导航】

2vDednc