苹果Apple Pay深度解析：它是如何保障交易安全的？

随着 Apple Watch 的正式发布，Apple Pay 最近在网上也越来越如火如荼的被提起。也多有传闻称：iOS 8.3 发布时，Apple Pay 在国内会同时上线。

而在 Apple Pay 中，用来保护用户隐私的技术中，最为引人注目的技术便是 Tokenization。这项技术是信用卡在介质上进行的一次革命，可谓“为无卡支付而生”。因为在用户的用卡过程中，最担心的是卡的支付信息被盗；而 Tokenization 着重解决的便是用户的信用卡卡号等支付要素被盗的问题。

那么，Tokenization 和现有的线上支付系统有什么区别呢？在讨论这个问题之前，我们不妨先回顾一下历史：

传统无卡交易及安全

我们先来说明一下无卡交易：在信用卡组织的定义中，持卡人不需要将物理卡片出示给商家的交易，就算无卡交易。

在常见的无卡交易发生时，用户需要输入卡号、姓名、有效期和三位验证码（CVV2）。

如果商家记录下您的这些信息，那么就可以通过这些信息去其他的商家进行无卡消费。为了避免这样的惨剧发生，在支付卡安全标准（PCI-DSS）中明确规定，商家不得储存用户的验证码。

从上表中可看出：验证码（CAV2/CVC2/CVV2/CID/CVN2）属于用户敏感数据，商户不可保存。

但是许多商家为了用户下次可以更方便的支付，会悄悄保存用户的验证码。而如果此类商家的服务器被攻破，信用卡信息被窃，盗刷惨剧就从此发生。去年某商旅网站爆出漏洞之后，许多银行的客服电话被要求换卡的用户打爆了，这从侧面说明传统无卡交易的安全隐患已如危巢之卵，风险随时可能爆发。

Tokenization 之外的解决方案

正是因为传统无卡支付易于出现持卡人信息泄露的风险，因此各发卡组织为了避免出现大规模盗刷，一直都在努力尝试各种解决方案。

在 Tokenization 出现之前，目前常见的解决方案包括：3-D Secure（Verify By Visa / Master SecureCode 等）、短信动态口令和协议支付。这三种方式都从一定程度上解决了盗刷问题，在这里让我们先回顾一下这些方案：

3-D Secure

3-D Secure（以下简称 3DS）是 Arcot Systems（不是任天堂哟）推出的一套安全解决方案，它通过用户设置的独立支付密码来增强帐户安全。

在 Visa，3DS 还有一个名字：Verify By Visa；而在 MasterCard，3DS 则被称为 Master SecureCode。

当用户开启 3DS 验证之前，需要额外设置一个 3DS 支付密码；而之后在支持 3DS 验证交易的网上商家交易时，都需要输入这个 3DS 支付密码，发卡行通过验证 3DS 密码来确认是否为客户本人交易。

而在验证密码的过程中，密码通过持卡人本人与发卡银行之间建立的加密通道传输，因为网上商户/第三方支付机构无法获得持卡人的 3DS 密码，因此银行相信这样可以增强用户网上交易的安全性。

当然，这项技术需要银行额外开发，因此不是所有银行都支持 3DS 验证。国内支持银行如下：

中国农业银行

中国工商银行

中银信用卡（国际）有限公司（注：中银国际卡有，中国银行信用卡无此服务）

中国建设银行

招商银行

交通银行

中国民生银行

中信银行

中国光大银行

兴业银行