Samsung Pay ▪ 讨论求助

Samsung Pay|最安全的刷卡方式

精华 图片

2016-04-14 02:25


 

(4/15更新日志:修改了关于TSM的内容,回答了评论区大部分的提问)

 

本文的标题是《Samsung Pay|最安全的刷卡方式》,经小伙伴提示,根据最新的广告法,标题应该改成可能是 Samsung Pay|当下最安全方便的刷卡方式之一。

 

作为微博上Samsung Pay(三星智付)首席布道师,我觉得这篇文章是我欠大家的。从2015年12月底我就加入了Samsung Pay的中国区内测,到2016年3月29号三星官方在北京798正式发布Samsung Pay三星智付,我在微博写了非常多关于Samsung Pay的内容,包括技术原理、安全机制和使用技巧,但从未将这些内容整合在一起。所以本文应运而生,为了各位优雅的用Samsung Pay刷(zhuang)卡(X)。


正如一个困扰人类的哲学难题所言:

Who am I/Where am I from/Where will I go? 

关于Samsung Pay也有三个问题:

S.P是什么?S.P怎么用?S.P要做什么?下面我要碎碎念了。


Samsung Pay是什么?


Samsung Pay(国内名称:三星智付),一个三星公司推出的安全、便捷的移动支付应用,用户可以基于自己的银行卡(借记卡和信用卡)来申请“电子银行卡”,并在线下用手机上的电子银行卡进行支付,一种相当便捷的刷卡体验。它是基于eSE安全支付方案(友商的水果支付采用相同的方案),同时支持MST(磁信号安全传输)和NFC(近场通信)技术,可以在绝大部分有POS机的地方使用。目前支持GALAXY S7/S7 edge/S6 edge+/Note5等型号,后续还会加入更多的机型。

 

S.P具有三个特性:安全、便捷和广泛。


n   安全方面

经常有粉丝问到这样一个问题:为什么我要用Samsung Pay 三星智付,而不是使用我的塑料银行卡呢?

因为爱情!不,是安全!

 

这是最近的新闻,完全防不胜防 

 

在信用卡犯罪中,以复制/伪造信用卡最为频繁。

三湘都市报2015年10月13日讯,长沙市望城区人民法院审理了一起信用卡*案,长沙思敏打工仔“卧底”KTV、酒吧,复制银行卡偷瞄密码,半年时间作案12次,共盗刷28万。和上文骗子当上超市收银员一个思路。

 

传统银行卡存在的风险:

1.   磁条卡仅存储静态数据资料,容易被不法分子复制;

2.   输入密码容易被窥视导致密码被窃;

3.   无刷卡密码银行卡遗失后被盗刷;

 

相比普通的塑料银行卡,通过指纹验证、支付标记(Token)、KNOX和eSE安全芯片四大天王来保证用户的资金安全。

 

l  指纹/密码验证

在进行samsung pay支付前,需要进行一次指纹识别来激活存储在手机里的电子卡片,相对于持卡即刷的实体卡来说就多了一层安全保护。

而且每一笔交易都需要进行一次指纹识别,这样也避免了犯罪分子利用顾客消费的时候复制卡片的机会。

 

l  KNOX安全保护

什么是KNOX呢?根据官方的说法,所谓的Knox就是一款端对端的手机安全解决方案。从硬件端来保护手机的信息安全,一旦手机被*或者ROOT,就会触发KNOX熔断导致该手机无法使用S.P。

 

l  Token支付标记

这种技术叫做Tokenization(令牌化),是由EMVCo机构在2014年加入EMV规范的。应用这项技术之后,手机绑定银行卡时,银行向SE发送的不再是真实PAN信息(银行卡号),而是一个由银行生成的、价值等同于PAN+PIN的特定数字序列,这个序列就是Token(令牌)。这个序列在银行内部会被翻译成某个银行卡号,但在银行以外的环节中则只是一个无意义的数字。而由于这串序列是银行生成的,银行可以自行决定它的有效性,通过加上一系列限定来增强安全性,比如限定这串序列只在开户行所在城市的POS上有效,只能在大商场的POS机有效,只能用于线下的实体交易,有效期只有一个月过期自动失效等等,相比PAN要灵活得多。(引用瑞记的考证)

 

简而言之,Token技术类似于我们经常用到的动态密码器,在使用Samsung pay进行交易的时候,每次传输的数据并不是固定的银行账号等静态数据,而是每次都不一样的随机动态数据,换句话讲,即便是Samsung pay的信息被犯罪分子窃取,但已经是过期信息,无法用于二次盗刷。


 

正常刷卡,磁条卡的信息容易被读取和复制


而Token就不存在被盗刷的风险

 

l  eSE安全方案

在目前的移动支付领域目前存在着eSE、NFC-SWP和HCE三大主流方案:

 

eSE(embedded Secure Element,嵌入式安全元件)。这种方案把安全元件安装在手机内部,主板上,成本自然由手机制造商承担。Apple Pay、Samsung Pay是这个方案。银行在允许手机的eSE存储PAN信息之前,必须要检测SE的安全性是不是万无一失的,而检测结果只对单一机型有效。像Apple这种一年只一款机型的厂商还好,像星星星支持S.P的型号众多,需要逐一送审,进程相对缓慢。所以New A用户还要耐心等待一下S.P。

NFC-SWP,需要NFC手机与NFC-SIM卡采用机卡协作的方式实现,承载应用的安全芯片封装在NFC-SIM卡中,13.56M射频芯片集成在NFC手机中。三大运营商在推广的手机钱包就是采用这种方案,印着NFC-SIM字样的SIM卡即为内置SE的SIM卡。这种方案理论上支持所有带有NFC的手机,配上一张NFC-SIM卡就可以愉快的刷手机了,当然仅限于带有“QuickPass”字样的POS机。目前比较成功的产品是CMCC推出的和包。

当然,以上两者离不开银联TSM。TSM(Trusted Service Managerment,可信服务提供管理),是基于“一卡多应用”技术建立的一套完整的“空中发卡”和应用管理体系。目前S.P、A.P和和包都是通过这种方案进行空中发卡。

HCE(Host-based Card Emulation,基于主机的卡模拟)。前面两种方案都需要银行以外的厂商参与,普及非常地缓慢和高成本。于是在Android 4.4推出的时候,Google提出了一种名为HCE的技术方案。HCE只需要银行在自己的服务器上进行技术部署,在交易时向手机的银行App下发一次性的交易信息,完全不需要手机制造商以及运营商参与,因此推广的速度和普及的成本都明显优于另外两种方案。

而S.P和A.P都是基于eSE方案的,由于eSE-嵌入式安全芯片的存在,用户的银行卡信息储存其中,和手机的存储空间首先首先进行物理隔离,换句话讲,就是将顾客信息单独放置在一块安全性极高的芯片里面,防止被木马病毒*,保证万无一失。


 

Samsung Pay绑卡和刷卡的示意图

n  便捷与广泛


 


支持单手操作,从息屏、锁屏和任意界面上滑启动S.P,在完成指纹验证之后将手机背面靠近POS机进行支付,一气呵成,非常便捷。


 


在中国大概有1700W台POS机中,只有三成具备了NFC(闪付和云闪付)功能,但每一台POS都具备了磁条卡功能。而MST技术能够让S.P透过POS机的磁条卡刷卡槽实现交易功能。从3月29号三星智付正式上线以来,首批支持的机型包括Galaxy S7Galaxy S7 edge、Galaxy S6 edge+、Galaxy Note5上发布。后续将会有更多的设备支持Samsung Pay 三星智付。

 

Samsung Pay=MST+NFC,决定了S.P使用的广泛性和通用性。

 

有一个有一个关于Samsung Pay、Apple Pay和Alipay的对比:


 

如何优雅的三星智付?


通过你的三星手机,安装好Samsung Pay的app,轻车熟路的绑好银行卡,找了就近的711,选好一盒苏打饼,找到收银台的POS,上滑验证支付,输入密码和签字,挥挥衣袖,带走饼干和她的惊讶。当然,这是最理想的状态。

 


遇上不懂行的她,大家可以学习楼上这位的对白。虽然已经不能称之为优雅了。不管如何,那一刻你的气势不能输。



那么正确的操作是怎样的呢?

1.     告诉店员:【刷我滴卡or我要刷卡】

2.     店员在POS机上操作,进入等待刷卡状态(验证选择银行卡,激活Token

3.     将手机背面靠近刷卡槽完成交易

就小戈目前体验来说,MST成功率非常之高

 

如果店员熟悉NFC闪付操作,那就手机背面靠近NFC感应区域以完成支付。经过多次正确的联系,你也将变得和小戈一样的优雅。

 

~~~~~~~~~~~~~~~~~~~~~~~~~Q/A分割线~~~~~~~~~~~~~~~~~~~~~~~~

基于大家在微博上经常问到问题,汇总如下:


Q:为什么我要用Samsung Pay 三星智付,而不是使用我的塑料银行卡呢?

A:Samsung Pay 三星智付提供了简单、方便的支付体验,比起先从钱包中找出银行卡然后再进行刷卡来说方便了很多。此外,Samsung Pay 三星智付比实体塑料银行卡来说更加安全,例如使用Samsung Pay 三星智付时需要进行指纹或者数字密码验证。

 

Q:哪些银行卡可以在Samsung Pay 三星智付中注册?

A:目前,Samsung Pay 三星智付支持中国工商银行信用卡、中国建设银行信用卡/借记卡、广发银行信用卡、中信银行借记卡/信用卡、中国光大银行信用卡、中国民生银行信用卡、平安银行信用卡、招商银行借记卡、华夏银行信用卡。

 

Q:如何取消使用Samsung Pay 三星智付完成的交易?

A:取消通过Samsung Pay 三星智付完成的交易流程与使用实体塑料卡的方式是一样的。

具体的流程取决于商户的政策。

取消时,商户可能会要求您将手机靠近POS刷卡区域或者NFC阅读区域来完成取消流程。

具体操作流程如下:

1.请在Samsung Pay 三星智付中找到用于该交易的银行卡并进入到该银行卡的详情页面

2.将上面的数字卡号与POS签购单上面的卡号进行对比

3.如果是NFC卡号,则进行指纹或数字密码验证,然后将手机靠近NFC阅读区域

4.如果不是NFC卡号,则进行指纹或数字密码验证,然后将手机靠近刷卡区域

 

 

Q:使用Samsung Pay 三星智付需要网络连接吗?  

A:Samsung Pay 三星智付在银行卡注册和激活环节需要连接网络,但是在线下实体店内进行线下支付时不需要网络连接。

 

还有其他问题,请留言。(欢迎关注本人的公众号:戈蓝说 和微博:戈蓝V

举报帖子

请您选择举报理由
close

举报回复

请您选择举报理由
close

设置帖子

设置帖子
备注
close

操作记录

操作记录
操作者 时间 操作 备注
close

编辑回复

close

VOC帖子推送

VOC帖子推送
标题 Samsung Pay|最安全的刷卡方式
板块 软件交流区>Samsung Pay
备注
close

删除帖子

删除帖子
删除原因
close