最近iphone 7的上市引起了媒體和大眾的關注，關于蘋果，不論你是否為“果粉”的一員，該公司有很多革新和嘗試都在推動著整個行業的發展和人們生活習慣的改變。其中，蘋果公司在2014年年底發布的Apple Pay就是眾多嘗試中的一個。Apple Pay作為NFC支付的其中一個代表，本文以Apple Pay為例，淺析一下基于信用卡的NFC支付安全性。

　　本文作為上篇，主要從Apple Pay的架構體系以及添加信用卡機制兩方面進行分析。關于身份安全和支付行為安全則在下篇進行分析。

　　一、架構體系

　　為了實現交易的安全性，Apply Pay 不僅在平臺上采用了可信 Boot Chain 架構，同時支持基于 NFC 的模擬卡支付模式和基于應用的線上支付模式。簡而言之，就是將信用卡的安全芯片、NFC 控制器、Passbook、Touch ID 和 Apple Pay 服務器等技術關鍵點有機地整合起來。Apple Pay的體系簡圖如下圖所示：

　　原理實際上并不復雜，關鍵是科學地整合，在這點上Apple Pay還是發揮了蘋果公司的研發優勢，總體來說運行起來十分流暢。在交易的私密性方面，iphone的安全芯片在其中也發揮了作用，一方面通過Apple Pay服務器進行統一管理應用程序，另一方面銀行管理支付應用程序。兩者的各司其職提升了這套支付體系的安全性。

　　在這個體系中，不難看出，支付服務器占據十分重要的地位，與很多支付系統(包括支付寶在內)更安全的是，Apply Pay服務器不存儲用戶的賬戶信息，通過手機固有的安全芯片存儲與賬戶信息的終端賬號進行配對，這個終端賬號既是加密的，又與手機系統隔離。終端賬號在支付中使用的信息，則由銀行進行管理。

　　此外，Apple Pay服務器則實現了passbook中對信用卡狀態以及終端賬號的管理，同時也與銀行的支付服務器通信完成驗證。還有對交易憑證重新加密的功能。可見，安全性的設計上做得還是比較嚴密。

　　二、添加銀行卡

　　添加銀行卡也是安全方面的重要一環，關于Apple Pay的添加銀行卡流程，見下圖所示：

　　結合上圖，當信用卡添加完成時，在安全芯片上會安裝與發卡銀行或支付網絡對應的 Payment Applet。為保證安全性，支付服務器與 iPhone安全芯片之間需要建立安全通道。針對Apple Pay 目前主要承載在嵌入式安全芯片上。在安全芯片上安裝 Pay-ment Applet (蘋果公司安全芯片上安裝的應用，由蘋果公司設計管理)，一般是采用授權模式。可見在第十步中，實際使用要由蘋果公司與支付網絡或發卡銀行具體協商。而第十一步涉及到終端賬戶的生成與更新，以及在支付服務器側與PAN 的映射，具體實施方法主要取決于信用卡發卡銀行的標準。總之，終端賬戶在安全芯片中存儲對安全性有十分關鍵的作用。

　　三、小結

　　本文主要從Apple Pay的架構體系以及添加信用卡機制兩方面對NFC支付實際應用安全性進行了一定的分析。不難看出，該模式下的體系的嚴密性和安全性是其他在線支付形式不具備的，對于信用卡安全在這兩方面具有一定的保障性。而關于身份安全和支付行為安全則在下一篇的文章中繼續進行分析。