正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2014-09-10 18:45

技术贴:为什么可以说Apple Pay是“业界良心,行业标杆”

移动支付这个市场,已经到了爆发的前夜。而昨晚Apple pay的推出,可以说给业界树立了标杆,从此以后,移动支付到底应该什么样子大家应该心里有数了。

安全,快捷,可靠是移动支付的基本要求。采用NFC技术可以解决快捷的问题,之前已经有公司推出过NFC方案,但因为应用环境不成熟始终没有成气候。比如说HTCOne,比如说米3.知乎上有个评价小米NFC功能的帖子说“雷军这招,也就骗骗口袋里只有饭卡的学生”,有点过于刻薄,不过那时候NFC功能的确应用场景不多,使用过程繁琐,对广大用户来说比较鸡肋,所以米4里面,NFC又被拿掉了。

其他的手机支付方案,支付宝的二维码支付也满足了便捷的要求,但简单密码的方式的确不够安全。如果有嗅探程序记录下支付宝密码,要实现转账是很容易的事情。其他的声纹支付等,噱头效果很足,但对大众来说,声纹支付可靠性如何始终存疑。

苹果这次推出的Apple pay,并不是简单的一种技术打天下,而是集合了NFC近场通讯技术,TouchID身份验证技术,以及传输加密技术,实现了从银行卡到支付终端机的安全信息传输通道。通过指纹授权,生成相应的支付请求,然后将加密数据通过NFC传送到支付终端,实现了端到端的安全。

在这里苹果宣称,Apple Pay并没有存储任何的银行卡信息,也就是说,苹果是完全的第三方,只是提供一整套技术实现了信息传输。结算,还是商家和用户之间的事情。用户可以自己决定是否把银行卡与手机绑定。而相应的数据不会存储在苹果的服务器上(最近的艳照门事件想来也让人们对云端的安全性有了新的认识),而只是通过加密方式保存在手机里。即使手机丢失,因为获得手机的人并没有相应的指纹信息,也一样无法盗刷银行卡里的钱财。用户只需通过findmy iphone远程解除绑定即可消除可能的安全隐患。

这一切,离不开Secure Enclave技术的支持。Secure Enclave是苹果自己开发的技术。据福布斯网站上的这篇文章(What Is Apple's New Secure Enclave And Why Is It Important? ),Secure Enclave和ARM的trustZone技术有些渊源。有关SecureEnclave的资料有限,这里基于TrustZone技术做介绍。

它包括硬件和软件两个部分。

硬件部分,芯片里分安全区和非安全区。安全区其实是芯片里的一块飞地,与芯片的其他部分是隔离的,通常的操作系统无法对其访问,以保障敏感信息的安全。软件上,当我们需要在支付的时候用到这一块存储的信息的时候,通过手指按压可以确认是否本人操作。如果是,可以获得一个授权,如果不是,将直接拒绝。

这就像一栋楼有9层,来到这个楼的人通过电梯也好,楼梯也好,都能看到这9层。但是这栋楼有一层地下室是完全不可见的,也没有电梯或者楼梯到达这一层。你只能通过一个特殊的窗户与这层楼交换信息,而且这种信息交换是单向的,你给这个窗口一个查询指令,这个窗口返回给你一个结果。能给这个窗口发指令的钥匙不在这栋楼里。这个钥匙也与这栋楼里的其他钥匙完全不同。对iPhone来说,这个钥匙就是指纹。通过指纹,可以发出询问请求。如果请求通过,窗口返给你另一把钥匙。然后用这把钥匙去完成剩余的支付过程。如果请求没有通过,返回一个拒绝。如果手机丢了,这整栋楼都在别人控制之下了,但这个地下室是无法打开的。或许有人要问,如果有人暴力打开这个窗户呢?如果真有人不计成本暴力打开这个窗户,拿到的也不是一把完整的钥匙,而只是一个半成品,而且这个半成品在用户通过findmy iphone远程擦除以后一点用处没有。苹果通过指纹和SecureEnclave的结合实现了信息安全,不得不说是一个非常天才的设计。

这一整条路径的建立,基本上是现有技术的整合。苹果践行了其一贯的以科技改变生活的理念,兼顾了大众使用方便以及技术保障的安全,可以说是典型的苹果式的创新。这一切,是与苹果软硬件一体化的优势以及在业内巨大的影响力分不开的。

说完了苹果,回头再看看Android阵营。毫无疑问,Google也在移动支付领域发力。早在2011年,Google就推出了GoogleWallet。但事实证明,GoogleWallet发展并不好。主要问题在于,Google只侧重了NFC技术的应用,而没有照顾到生态链上的其他企业,其解决方案过于简单粗暴,不能解决广大用户对安全的担忧。如今,苹果推出了ApplePay,Google也必须要跟上。

或许有人会问,苹果有软硬件一体化的解决方案,能把指纹信息存储在SecureEnclave 区域里,Google只提供操作系统,硬件由众多OEM公司来实现,能做到和苹果一样的安全么?

这个问题其实不用担心。

苹果的iPhone也好,Google阵营的Android手机也好,都是基于ARM的处理器开发的。而ARM好几年前就已经实现了TrustZone技术,现在几乎所有智能手机都支持TrustZone技术,也就是说,每一个手机芯片里其实都有TrustZone专区。只是之前因为生态环境不够成熟,软件支持还不到位,这一块区域一直没有被利用上。随着iPhone5S的推出,越来越多的公司看到了TrustZone的价值,也在努力开发这方面的应用。Google作为Android社区的老大,在这一块必须要做出表率,也只有Google能把TrustZone技术和Android完美结合,最大程度的节省其他厂商的开发成本。我们可以相信,Google很快会推出全套的移动支付方案,以求在这个市场不会落后。

说完Google,再来看国内厂商。事实上,华为前些时候刚刚和支付宝联合推出了支付宝钱包,在其最新发布的产品AscendMate7上可以实现指纹支付,华为的这个方案就是基于trustzone的。可见在这一块国内厂商的步伐也并不慢。随着指纹识别技术的大规模应用,其他厂商也会积极跟进。不过如果没有Google老大哥的统一号令,各家的用户体验可能各不相同,又会有分裂的问题。让我们拭目以待。

昨天的发布会还有一个细节。苹果宣称与Visa/Master/美国运通等信用卡公司合作,并与美国运通,摩根大通,花旗银行,美国银行等银行谈合作内容,用户只需要把自己的银行卡信息输入到手机里,苹果自身并不存储信用卡卡号,在支付过程中全程加密,也不向商家提供信用卡卡号,这一套逻辑可以说完全旁路掉了PayPal等第三方支付平台。而是让银行卡直接与商家的支付系统对接,省去了一个中间环节,也减少了泄密的风险。对银联来说构成利好,而对支付宝构成利空,因为支付宝并没有自己的发卡系统和收单系统,而银联与线下商家与银行合作多年,是可以订立一整套标准的。不过从商业逻辑上来说,ApplePay是对的。人们不需要中间有多个渠道商,有一种方便快捷的方式直达商家即可。PC互联网时代因为传统厂商的后知后觉,线上支付市场让支付宝等占了先机,到了移动移动互联网时代,PC上传过来的支付方式有些落后了,如今也面临被颠覆的风险。不知道正在进行IPO路演的马云,对此有何感想和对策。

感谢苹果,再一次通过创新让业内找到了方向,也将极大的方便我们的生活。科技改变生活,我们都是受益者。

(免责申明:本人仅代表个人观点,与所在公司无关,笔误或偏颇之处敬请原谅) 
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: