从技术角度对比Apple Pay、Android Pay、Samsung Pay
随着安卓支付(Android Pay), 苹果支付(Apple Pay)和三星支付(Samsung Pay)逐步加大部署力度,移动支付又强势重回大众视线,关于几种支付的比较文章连日来也屡见不鲜。而本文主要从技术角度讨论几种支付的实现方式和异同点。
文中常用的一些英文名词解释:
App:手机应用
Online:在线
Pay:支付,大写时泛指安卓支付,苹果支付和三星支付
In-App 支付: 被其他第三方应用调用而进行支付
1.开门见山,支付的总体比较:
2. 线上支付
Apple Pay和Android Pay各自作为一个系统级的支付应用(Apple Pay by iOS,Android Pay by Android),不单单扮演了应用的角色,还拥有上帝视角,作为一种系统特性为其他应用的开发者提供了统一的支付入口。也就是说,其他的购物、服务类应用可以在开发代码里调用Apple Pay或Android Pay的API,完成对消费者扣款,比如购买一张电影票,之前App的做法几乎都是连线VISA或MasterCard的在线支付,让用户填写持卡人姓名,卡号,有效期,代码等安全信息,每次购物都要填一遍(网站不应该也不可以保存),或结合OTP(one-time password)认证,既麻烦又有安全隐患(之前发生过个人电脑的cookies被黑客获取,或一些消费网站保存用户卡信息等做法-比如之前的携程,导致信用卡信息被盗等事件);现在应用开发者可以直接调用Pay,让用户选择自己已经添加的信用卡进行支付,用户无需填表,一键购物,把真正的扣款交给Pay去做。
Apple Pay “In-App”
Android Pay “In-App”
当然此举也将引发新的安全隐患,比如一些没有资质的App,或钓鱼、恶意App(malicious app),把付款方式做的比较隐蔽,以及甚至诱使用户进行大额消费等。以前可以进行VISA或MasterCard online pay的网站要经过这些组织的安全认证,那么今后可以调用Pay的应用在上架时是否还要额外经过iOS,或Android的安全认证呢?- 想必是需要的。Android和Apple Pay的支付API目前都没有公开,Android Save(即基于Android Pay的礼品卡、会员卡系统)需要应用开发者提出申请,来获取使用权限。目前一大波示范性App已经支持in-app pay,比如GroupOn(外国的团购折扣类第一大应用),详见apple pay,android pay网站。
3. 线下支付
相对于线上支付(简单来说即与互联网相连,支付数据通过网络传输),线下支付是物理支付,需要一台终端设备进行扣款,绝大多数情况下,即POS机。为了取代传统的带卡刷卡消费,NFC+Pay的方式使得消费群体可以使用一部手机,而不是各种卡片进行“闪付”消费。Pay只需要POS机支持NFC,无需其他改造,因此线下实体商户对于该支付方式的接受程度完全等同于对MasterCard Pay Pass, Visa Pay Wave, 中国银联闪付Quick Pass等非接银行卡的接受程度,不存在推广障碍,反而还为加快无线POS机的部署加上了一块重重的砝码。
4. Tokenization:
Tokenization即令牌化(支付);EMVCo组织为了适应新的支付科技而设计的一种更安全可控的、无卡化支付(Card Not Present类别)流程规范。在传统的刷卡消费中,卡号、安全码等安全信息被POS机通过无线、读取芯片或者刷磁条的方式获取后,通过POS机拨号传给结算组织的后台服务器;而采用Tokenization规范的支付,不传输真实的PAN(主账号Primary Account Number)信息,而是传输一个有时间限制的虚拟账号(即Token-消费令牌),服务器通过Token找到与之绑定的PAN。这样保证了即使支付在传输过程中被截获(比如截获NFC信号等),黑客拿到的也只是虚拟、无效、甚至是过时的信息。本文涉及到的几种支付,(从公开资料来看)都采用了EMVCo令牌的支付规范。
5. MST
MST即:Magnetic Secure Transaction, 磁条安全传输。我个人认为这是手机支付中非常具有突破性和实用性的技术。Samsung出了自己的Samsung Pay,宣称支持MST。该技术无需POS机支持NFC。只要把手机启动Samsung Pay,靠近传统pos机刷卡处,即可进行扣款消费。Samsung Pay的MST技术购买自LoopPay,请看LoopPay网站上对于MST技术的介绍,让我们一窥这技术的神奇:
MST technology generates changing magnetic fields over a very short period of time. This is accomplished by putting alternating current through an inductive loop, which can then be received by the magnetic read head of the credit card reader. The signal received from the device emulates the same magnetic field change as a mag stripe card when swiped across the same read head. LoopPay works within a 3-inch distance from the read head. The field dissipates rapidly beyond that point, and only exists during a transmission initiated by the user.
翻译:MST技术通过给感应回路接上交流电,可以在极短时间内产生变化的磁场。信用卡读卡器的磁读头可以接收到这一信号。这个信号模拟了一张磁条卡刷过读头的相同的磁场变化。Loop Pay技术可以在离读头3英寸的(约7.6cm)范围内生效。超过此范围,磁场强度大为减弱,且只有用户主动进行的传输才能激活该磁场。
听上去端地高大上。但暂且不去理会该技术的安全性,先看随着EMV日益推动磁条到芯片卡的升级,POS机也在逐步淘汰和升级中。目前的主流趋势已经是插卡式读卡器向无线读卡器升级,而MST还在赌读卡器对磁条卡的兼容;因此MST的应用前景究竟还有多少时日,也是个未知数。
6. 总结:
在技术层面上,Android Pay和Apple Pay可说是一模一样。用户体验也相差仿佛(当然Apple Pay用指纹更迅速,而Android还需要解屏)。Android Pay宣布他们还支持Loyalty points(会员)和gift card(礼品卡),为商户们创造了一个统一的生态系统,但是,暂请不要在意那些细节。Samsung Pay在Android Pay的框架基础上,增加了指纹,和MST,是安卓手机中部署移动支付的领头羊,但作为一个纯粹应用,缺乏对第三方应用提供支付的能力,可谓鸡肋。
既然Android是一个开放性系统,而采用该OS的手机商们往往对Android进行定制,比如小米MIUI;这些手机商会不会一拥而上开发自己的Pay呢(就像Samsung做法)?那么拥有线上支付十分成熟的支付宝,微信支付,以及面临即将进军中国市场的Apple Pay的中国,即将见到一个支付界的乱相。