苹果Apple Pay深度解析：它是如何保障交易安全的？2015.03.27 11:21:21来源:爱范儿作者:爱范儿(条评论)

中国工商银行

中国农业银行

中国建设银行

中国交通银行

招商银行

中国民生银行

华夏银行

兴业银行

3DS 验证除了需要银行支持之外，它最大的敌人是木马程序。因为 3DS 支付密码是在用户的电脑上输入的，而当用户输入了这个密码的时候，依据《欺诈责任转移政策》FLS，用户/发卡行无法提出欺诈拒付。而在用户输入密码的过程中，如果电脑上被安装如屏幕监控程序之类的木马，那么密码将很容易丢失。而如果用户丢失密码，这张卡就成为盗卡组织眼中的肥羊。

既然 3DS 验证存在这些问题，但是这是一种国际通用的支付解决方案。让我们把视线回到国内，看看国内如何解决支付安全问题：

短信动态口令

短信动态口令与 3DS 不同，它并不需要用户额外设置支付密码，而是在验证用户的支付要素之外，通过向用户的手机下行一条验证码短信来验证用户目前持有这张银行卡。银行认为：若用户正确输入短信中的验证码，则银行认为用户已授权支付这笔款项。

在国内第三方支付所提供的快捷支付功能中，通过用验证短信动态口令的方式来验证用户身份已经成为一个公认的行业标准。

看到这里，大家会问：为神马不输入银行卡取款密码呢？因为第三方支付机构无权验证用户的支付密码，而银行也不允许第三方支付机构验证支付密码。

因此，没有短信验证支付，就没有快捷支付。没有快捷支付，大家就不能快乐的在手机上买买买了。

但是，在短信验证支付的实际支付流程中，商户/第三方支付机构依然需要留存用户的支付要素以发起支付请求，因此如果商户/第三方支付机构的服务器被黑客攻破，用户的支付要素依然会被丢失。

为了避免第三方支付机构的服务器被黑客攻破后丢失支付要素，国内许多家银行目前都在快捷支付的过程中使用“协议支付”来增强安全性。因此，接下来我们开始聊聊协议支付。

协议支付

协议支付顾名思义，是用户和银行之间签订快捷支付协议，用户在协议签订之后，凭借协议号来进行后续的扣款支付。

比起传统的快捷支付，由于扣款协议是依据商户/第三方支付机构来签订的，其他商户/机构无法使用这 扣款协议；因此即使商户/第三方支付机构的服务器被攻破，即使扣款协议被盗取，用户依然可以正常支付。

在具体实践中，协议支付可以从银行端发起签订（如支付宝卡通），也可以由商户/第三方支付机构发起签订（如部分银行的快捷支付签约）。

但是协议支付并不能取代短信动态口令，因为银行依然认为保存在商户/第三方支付机构的协议是不安全的。银行坚定的认为：通过同时通过验证支付密码/短信验证码的方式来进行风控才是安全滴。