Apple Pay 移動電子支付的創新之處體現在哪?
剛寫了篇文章,直接貼到這兒吧
Apple pay的推出,可以說給業界樹立了標杆,從此以後,移動支付到底應該什麼樣子大家應該心裡有數了。
安全,快捷,可靠是移動支付的基本要求。採用NFC技術可以解決快捷的問題,之前已經有公司推出過NFC方案,但因為應用環境不成熟始終沒有成氣候。比如說HTCOne,比如說米3.知乎上有個評價小米NFC功能的帖子說「雷軍這招,也就騙騙口袋裡只有飯卡的學生」,有點過於刻薄,不過那時候NFC功能的確應用場景不多,使用過程繁瑣,對廣大用戶來說比較雞肋,所以米4裡面,NFC又被拿掉了。
其他的手機支付方案,支付寶的二維碼支付也滿足了便捷的要求,但簡單密碼的方式的確不夠安全。如果有嗅探程序記錄下支付寶密碼,要實現轉賬是很容易的事情。其他的聲紋支付等,噱頭效果很足,但對大眾來說,聲紋支付可靠性如何始終存疑。
蘋果這次推出的Apple pay,並不是簡單的一種技術打天下,而是集合了NFC近場通訊技術,TouchID身份驗證技術,以及傳輸加密技術,實現了從銀行卡到支付終端機的安全信息傳輸通道。通過指紋授權,生成相應的支付請求,然後將加密數據通過NFC傳送到支付終端,實現了端到端的安全。
在這裡蘋果宣稱,Apple Pay並沒有存儲任何的銀行卡信息,也就是說,蘋果是完全的第三方,只是提供一整套技術實現了信息傳輸。結算,還是商家和用戶之間的事情。用戶可以自己決定是否把銀行卡與手機綁定。而相應的數據不會存儲在蘋果的伺服器上(最近的艷照門事件想來也讓人們對雲端的安全性有了新的認識),而只是通過加密方式保存在手機里。即使手機丟失,因為獲得手機的人並沒有相應的指紋信息,也一樣無法盜刷銀行卡里的錢財。用戶只需通過findmy iphone遠程解除綁定即可消除可能的安全隱患。
這一切,離不開Secure Enclave技術的支持。Secure Enclave是蘋果自己開發的技術。據福布斯網站上的這篇文章(What Is Apple"s New Secure Enclave And Why Is It Important? ),Secure Enclave和ARM的trustZone技術有些淵源。有關SecureEnclave的資料有限,這裡基於TrustZone技術做介紹。
它包括硬體和軟體兩個部分。
硬體部分,晶元里分安全區和普通區。安全區其實是晶元里的一塊飛地,與晶元的其他部分是隔離的,通常的操作系統無法對其訪問,以保障敏感信息的安全。軟體上,當我們需要在支付的時候用到這一塊存儲的信息的時候,通過手指按壓可以確認是否本人操作。如果是,可以獲得一個授權,如果不是,將直接拒絕。
這就像一棟樓有10層,來到這個樓的人通過電梯也好,樓梯也好,都能看到這10層。但是這棟樓有一層地下室是完全不可見的,也沒有電梯或者樓梯到達這一層。你只能通過一個特殊的窗戶與這層樓交換信息,而且這種信息交換是單向的,你給這個窗口一個查詢指令,這個窗口返回給你一個結果。能給這個窗口髮指令的鑰匙不在這棟樓里。這個鑰匙也與這棟樓里的其他鑰匙完全不同。對iPhone來說,這個鑰匙就是指紋。通過指紋,可以發出詢問請求。如果請求通過,窗口返給你另一把鑰匙。然後用這把鑰匙去完成剩餘的支付過程。如果請求沒有通過,返回一個拒絕。如果手機丟了,這整棟樓都在別人控制之下了,但這個地下室是無法打開的。軟體層面的任何嗅探都是無法獲取有效信息的。
或許有人要問,如果有人暴力打開這個窗戶呢?首先這有巨大的成本,然後,如果真有人不計成本暴力打開這個窗戶,拿到的也不是一把完整的鑰匙,而只是一個半成品,而且這個半成品在用戶通過findmy iphone遠程擦除以後一點用處沒有。蘋果通過指紋和SecureEnclave的結合實現了信息安全,不得不說是一個非常天才的設計。
這一整條路徑的建立,基本上是現有技術的整合。蘋果踐行了其一貫的以科技改變生活的理念,兼顧了大眾使用方便以及技術保障的安全,可以說是典型的蘋果式的創新。這一切,是與蘋果軟硬體一體化的優勢以及在業內巨大的影響力分不開的。
說完了蘋果,回頭再看看Android陣營。毫無疑問,Google也在移動支付領域發力。早在2011年,Google就推出了GoogleWallet。但事實證明,GoogleWallet發展並不好。主要問題在於,Google只側重了NFC技術的應用,而沒有照顧到生態鏈上的其他企業,其解決方案過於簡單粗暴,不能解決廣大用戶對安全的擔憂。如今,蘋果推出了ApplePay,Google也必須要跟上。
或許有人會問,蘋果有軟硬體一體化的解決方案,能把指紋信息存儲在SecureEnclave 區域里,Google只提供操作系統,硬體由眾多OEM公司來實現,能做到和蘋果一樣的安全么?
這個問題其實不用擔心。
蘋果的iPhone也好,Google陣營的Android手機也好,都是基於ARM的處理器開發的。而ARM好幾年前就已經實現了TrustZone技術,現在幾乎所有智能手機都支持TrustZone技術,也就是說,每一個手機晶元里其實都有TrustZone專區。只是之前因為生態環境不夠成熟,軟體支持還不到位,這一塊區域一直沒有被利用上。隨著iPhone5S的推出,越來越多的公司看到了TrustZone的價值,也在努力開發這方面的應用。Google作為Android社區的老大,在這一塊必須要做出表率,也只有Google能把TrustZone技術和Android完美結合,最大程度的節省其他廠商的開發成本。我們可以相信,Google很快會推出全套的移動支付方案,以求在這個市場不會落後。
說完Google,再來看國內廠商。事實上,華為前些時候剛剛和支付寶聯合推出了支付寶錢包,在其最新發布的產品AscendMate7上可以實現指紋支付。華為的這套方案就是基於trustzone+指紋識別的。可見在這一塊國內廠商的步伐也並不慢。隨著指紋識別技術的大規模應用,其他廠商也會積極跟進。不過如果沒有Google老大哥的統一號令,各家的用戶體驗可能各不相同,又會有分裂的問題。讓我們拭目以待。
昨天的發布會還有一個細節。蘋果宣稱與Visa/Master/美國運通等信用卡公司合作,並與美國運通,摩根大通,花旗銀行,美國銀行等銀行談合作內容,用戶只需要把自己的銀行卡信息輸入到手機里,蘋果自身並不存儲信用卡卡號,在支付過程中全程加密,也不向商家提供信用卡卡號,這一套邏輯可以說完全旁路掉了PayPal等第三方支付平台。而是讓銀行卡直接與商家的支付系統對接,省去了一個中間環節,也減少了泄密的風險。對銀聯來說構成利好,而對支付寶構成利空,因為支付寶並沒有自己的發卡系統和收單系統,而銀聯與線下商家與銀行合作多年,是可以訂立一整套標準的。不過從商業邏輯上來說,ApplePay是對的。人們不需要中間有多個渠道商,有一種方便快捷的方式直達商家即可。PC互聯網時代因為傳統廠商的後知後覺,線上支付市場讓支付寶等佔了先機,到了移動移動互聯網時代,PC上傳過來的支付方式有些落後了,如今也面臨被顛覆的風險。不知道正在進行IPO路演的馬雲,對此有何感想和對策。
感謝蘋果,再一次通過創新讓業內找到了方向,也將極大的方便我們的生活。科技改變生活,我們都是受益者。
sir liao問:
按文中華為推出類似解決方案,為啥是apple指出了方向?
答:華為沒有NFC,這是與線下支付系統打通很重要的一塊,而且要求線下商家改造現有的系統以支持NFC,這是華為做不到的,它沒有足夠的影響力。目前華為的這套方案能支持支付寶也是因為線上支付沒有這個問題。
我的理解,本質上apple pay就是將傳統的銀行卡+密碼的形式改成了手機(帶NFC)+touch id。在便捷的前提下不失安全。但對於公交卡而言,touch id其實沒有太大意義,本質上公交卡就是一個基於離線的電子錢包,本來就是不掛失的,其唯一訴求就是快捷。雖然目前還不知道蘋果對於電子錢包類的離線應用如何考慮,但想來應該和之前基於全終端NFC的通卡解決方案不會有太大差別。
apple pay只是拉開序幕的那個人,你想想華為pay,小米pay,各種pay出來之後是怎樣的景象,當手機支付成為標配時,微信和支付寶苦心經營的支付生態會受到怎樣的衝擊,apple pay不管成功與否,都引爆了下一輪的支付大戰,這次參戰的除了微信支付寶那些傳統的支付平台還有各路銀行,apple pay帶給我們一種新的思路,一種以小搏大的思路,通過優秀的技術和用戶體驗,找到各方的痛點,把各方的利益捏合在一起,組成利益共同體,銀行和銀聯已經壓抑很久了。apple pay的可敬之處是傳播了一種模式,一種思想,各種企業都可以拿去用,而不像微信支付寶只是一心想建立自己的壟斷生態環境,apple pay的理念是值得我們學習的,不管怎樣,未來幾年必然繽彩紛呈,我們拭目以待!
Apple Pay與微信支付、支付寶的對比:
一、兼容性
Apple Pay依賴於指紋識別,NFC等硬體,還需要iOS系統支持;所以不但對用戶終端有限制,商戶的終端也必須在硬體上兼容才可以支持;
而微信支付、支付寶主體上是純軟體的解決方案,基本兼容所有主流智能手機,而且更換設備也無需重新配置,優勢可謂相當明顯;
二、功能
目前來看,Apple Pay還只是局限於單純的支付動作,從用戶角度來看,只是將掏銀行卡的動作,換成了掏手機(或手錶),將輸密碼簽字換成了按指紋;(逼格高了很多!)
而微信支付、支付寶不但具備這些基礎的支付能力,而且還發展出強大的社交功能,比如紅包、轉帳、AA收款、面對面收錢、找零...;
就使用場景來講,個人認為Apple Pay只是支付領域迭代式的創新,而微信支付、支付寶可稱作是革命性的創新;
三、安全
Apple Pay在安全方面通過硬體來加固,確切的講是在授權時使用硬體級別的指紋識別技術;但支付的鏈路非常長,除用戶授權外,OS本身還是需要相當多的軟體模塊來支持的,同時也離不開和Apple以及銀行的網路通信;所以也不存在絕對安全的說法;
微信支付、支付寶通常使用傳統的密碼來授權(當然也都支持指紋識別),安全係數還和用戶的使用習慣有關,泄露密碼的風險還是存在;
在這方面,Apple Pay看上去更安全一些,但也沒有證據證明微信支付、支付寶在設計上是不安全的;
四、便捷
從各種使用反饋來看,豪無疑問,在線下支付場景,Apple Pay的便捷性和易用性明顯優於微信支付、支付寶;
所以從總體來看,當前各有優劣,微信支付、支付寶有擴展的功能、完整的生態、強大的兼容性,如果在安全保障的前提下,產品設計在便捷性方面趕上Apple Pay的話,我個人覺得Apple Pay的機會不大;
其實我認為Apple pay並沒有技術創新,只是apple的號召力可以讓這東西快速普及而已
可以看我的知乎專欄文章:Apple Pay 究竟是什麼? - 明學的白板 - 知乎專欄。
—— Apple Pay 的本質是將銀行卡信息注入到手機專門晶元中,然後用蘋果手機替代銀行卡,並通過NFC的近場感應技術辨別交易內容,加上指紋密碼來實現安全支付。蘋果公司不介入任何交易實質,只收取交易傭金,同時也確保了交易信息的保密性。符合便利、安全和保護隱私的特點。
—— 支付寶的本質是一個虛擬的銀行卡號,並通過對一維碼/二維碼掃描來識別交易內容,加上輸入密碼的方式來實現安全支付。支付寶是需要將用戶的錢從銀行賬號先轉入支付寶賬號中,然後再支付給商家,全程介入交易過程,主要不依靠手續費,而依靠交易流水中的資金儲存量獲利,交易信息被支付寶全部掌握。相比Apple Pay其便利性、安全性和保護隱私的特點都顯得不足。
(當然,只要阿里巴巴能與蘋果談的攏,Apple Pay也支持支付寶賬號在蘋果手機中進行支付的,與其他銀行卡賬號沒有任何區別。)
——Google錢包的技術本質與Apple Pay是相同的,只不過前者是基於安卓(開源)系統,而後者是基於蘋果(封閉)系統。但Google錢包做的卻是跟支付寶一樣的事情,有自己的虛擬銀行卡號,收益模式也是靠交易流水儲存量獲利。三種模式,各有優缺點,至少目前尚無法判斷誰將最終笑到最後。
給那些沒法在 Apple Pay 里綁定銀行卡但又想嘗試的人支個招,不用謝
在於有實力跟金融巨頭們談條件談合作。
創新在對NFC功能限制獨家使用。若能開放,其他三方支付體驗也並不差。
蘋果再一次證明了,它的霸道。傳統POS支付,需要你的卡號和密碼,就是PAN和PIN
最早的時候,用信用卡付錢是拿著卡號凸起的卡片(現在很多卡也這麼做起來,搞得好像很高端,完全沒必要),在複寫紙上用力按一下,然後讓持卡人核對下支付信息,簽個名,商戶就拿這個單子去銀行兌錢了,這特么太好造假了,要不怎麼說外國人單純。
後來技術先進了點,推出了磁條卡,把卡信息PAN按規則寫到磁條里(國內慢慢停用了),POS雞讀磁條信息讀出PAN付錢,但這完全難不倒別有用心的人嘛,萬惡的資本主義就是這樣,磁條卡後期已經很好偽造。
然後技術又先進了點,推出了晶元卡,就是IC IP IQ卡里的一種,是哪種你自己看著選,這個就不太好偽造了,晶元卡自己有運算能力,會動態給PAN加密,銀行那邊也對稱解密,就知道是你的卡了,雖然好像還是不怎麼給力,這麼些年外國人刷信用卡可都是不用密碼的,隨便輸個卡號就扣錢,甚至連CVV都不校驗,要不怎麼說外國人單純。中國多雞汁啊,引進信用卡之初就把密碼設成默認開通,這密碼驗證,在國外可是很高大上的貨,叫做3D驗證服務3-Domain Secure,屌不屌?支付成功率從90%直接降到30%,其實就是讓你多輸個密碼。
好了,技術不意外的又要先進一下了,就先說說ApplePay
ApplePay綁卡的時候,把你的PAN和PIN拿去爸爸發卡行那裡做個校驗,然後讓哥哥卡組織伺服器(Token SP)給你做一張附屬卡(Token)放在你的手機里(SE安全元件),你要付錢的時候,就驗證一下TouchID證明是你在拿鑰匙,然後SE就把原來做好的副卡(Token)拿出來給POS去付錢。
對你手上的手機(Apple、Google、Hackersssss)和收單行(就是做POS雞的)來說,是不知道你拿的卡到底是哪張的,免得被隔壁老王拿去泡長腿嫩模,只有卡組織哥哥和發卡行爸爸知道,因為要看這卡是你的還是老王的。這就比較安全了。
Token技術雖然不新鮮,但實際上用在支付這塊很可能就是Apple支持EMVCo機構搞的。早在2008年,蘋果就提出了類似Tokenization的專利申請,並且於2011年正式通過。這些幕後消息無從驗證,但在ApplePay發布的當天Visa等6家機構就同時推出了將Token與PAN相互翻譯的Token Service服務,說Apple蓄謀已久不過分
Apple pay的創新之處就是在一個多年前的技術上做了一個漂亮的營銷。
請看這個圖
在門上貼了這樣一個標誌。實際Apple pay只是一個銀聯的入口而已,但為什麼要貼一個單獨的標誌呢?按照蘋果這種做法,其實每個銀行都該貼個標誌在支持刷卡的上商鋪的門口,當然包括移動手機錢包,銀聯自己的銀聯隨行等,這樣的話商鋪多加幾扇門都不夠貼的。當然作為安卓用戶,我看到這個標誌就十分開心,因為我知道我安卓里一系列的nfc支付在這家店是可以用的。
實際對於Apple pay來說只需要POS機支持雲閃付就可以了,而Apple pay的技術在安卓上也是三年前就已經實現並應用了(詳見中國移動手機錢包)。但由於安卓陣營的標準不統一以及銀聯的無能,這個技術一直都有,但處於不瘟不火的狀態。
蘋果的參與必將把銀聯的雲閃付的推廣做出非常積極的意義,但是真正最大的受益者可能是銀聯可能是安卓陣營。因為蘋果的參與,帶來了他們最需要的線下設備安裝以及用戶的關注。現有的銀聯的nfc支付也挺好挺方便的,關鍵是沒人出力推廣啊。我用建行的信用卡,app叫隨芯用,在麥當勞閃付,打開nfc刷手機,驚得服務員一愣一愣的。
簡而言之,便捷(NFC近場通訊,不需要像微信等的聯網掃碼……),安全(touch id支付)。但本質上的創新還是「資源」+「公關」,蘋果用戶的生態圈和影響力使各大銀行(具體查看apple pay支持的銀行卡 )以及商屆(小米也曾想做NFC支付,但受限於應用場景太少)跪舔。蘋果自帶的光環和公關能力也導致各媒體圈、社交圈一片嘩然。如果apple pay的用戶體驗不錯,估計其安全便捷的特點,加上蘋果本身較大影響力,其前景還是挺光明的。在移動支付上,apple pay還有很長的路要走,從和銀行的合作,到應用場景的構築,再到用戶的動員和支付生態圈的構築……相信apple pay 不僅僅想在支付上分一杯羹,應該還有其他大動作,支付寶的成長之路(支付、廣告、社交等電子商務閉環……)有一定的借鑒意義。總之,讓我們靜觀其變,看看apple pay的成長與蛻變之路。
只是把實體卡虛擬化了
把卡的信息植入硬體晶元,這個或者不是蘋果發明的新技術,但是由他大膽引入,還是在手機支付的一種新招吧。就像把飛機輪胎材質引入鞋工業,不是技術創新,也是一種工藝創新啦。。。
推薦閱讀: