苹果Apple Pay深度解析：它是如何保障交易安全的？2015.03.27 11:21:21来源:爱范儿作者:爱范儿(条评论)

随着 Apple Watch 的正式发布，Apple Pay 最近在网上也越来越如火如荼的被提起。也多有传闻称：iOS 8.3 发布时，Apple Pay 在国内会同时上线。

而在 Apple Pay 中，用来保护用户隐私的技术中，最为引人注目的技术便是 Tokenization。这项技术是信用卡在介质上进行的一次革命，可谓“为无卡支付而生”。因为在用户的用卡过程中，最担心的是卡的支付信息被盗；而 Tokenization 着重解决的便是用户的信用卡卡号等支付要素被盗的问题。

那么，Tokenization 和现有的线上支付系统有什么区别呢？在讨论这个问题之前，我们不妨先回顾一下历史：

传统无卡交易及安全

我们先来说明一下无卡交易：在信用卡组织的定义中，持卡人不需要将物理卡片出示给商家的交易，就算无卡交易。

在常见的无卡交易发生时，用户需要输入卡号、姓名、有效期和三位验证码（CVV2）。

如果商家记录下您的这些信息，那么就可以通过这些信息去其他的商家进行无卡消费。为了避免这样的惨剧发生，在支付卡安全标准（PCI-DSS）中明确规定，商家不得储存用户的验证码。

从上表中可看出：验证码（CAV2/CVC2/CVV2/CID/CVN2）属于用户敏感数据，商户不可保存。

但是许多商家为了用户下次可以更方便的支付，会悄悄保存用户的验证码。而如果此类商家的服务器被攻破，信用卡信息被窃，盗刷惨剧就从此发生。去年某商旅网站爆出 洞之后，许多银行的客服电话被要求换卡的用户打爆了，这从侧面说明传统无卡交易的安全隐患已如危巢之卵，风险随时可能爆发。

Tokenization 之外的解决方案

正是因为传统无卡支付易于出现持卡人信息泄露的风险，因此各发卡组织为了避免出现大规模盗刷，一直都在努力尝试各种解决方案。

在 Tokenization 出现之前，目前常见的解决方案包括：3-D Secure（Verify By Visa / Master SecureCode 等）、短信动态口令和协议支付。这三种方式都从一定程度上解决了盗刷问题，在这里让我们先回顾一下这些方案：

3-D Secure

3-D Secure（以下简称 3DS）是 Arcot Systems（不是任天堂哟）推出的一套安全解决方案，它通过用户设置的独立支付密码来增强帐户安全。

在 Visa，3DS 还有一个名字：Verify By Visa；而在 MasterCard，3DS 则被称为 Master SecureCode。