问题11：Secure Element中的支付Applet是如何个人化的?

　　向Apple Pay中添加信用卡或借记卡的过程其实就是支付Applet个人化的过程，Apple Pay主要使用两个服务器端调用(同银行或卡发行商)来进行个人化的处理：卡片信息检查(Check Card)、连接&预置(Link and Provision)来验证、承认将要添加到Apple Pay的卡信息，并且预置卡信息到Apple Pay设备中。目前用户有两种实施该流程的方法：通过Passbook和通过iTunes。通过iTunes的方式因为有些支付卡或借记卡的信息输入和用 户身份校验可以自动进行，因此较为简单，不过，无论哪一种方式都涉及到卡片信息录入、用户身份校验、Apple Pay许可条款承认以及将卡片信息同Secure Element绑定的过程。

　　Apple Pay的核心组件Secure Element是GP卡规范兼容的Java卡，其中可包含多个对应不同发卡行或支付网络实体的安全域(Security Domain)，这些安全域同对应的管理方共享用于验证管理方身份和安全通信的密钥。来自发卡行或支付网络的个人化数据，使用这些共享密钥进行加密，可以 安全的被分发到对应的安全域中，由此即可完成支付Applet的个人化过程，这和传统支付卡的个人化过程比较类似。

　　对于那些在Secure Element中还不存在的支付Applet是如何进行部署的，目前还没有较为详细的介绍资料，Apple官方文档中对其有过简单的描述，但是由于信息太 少目前还无法进行更进一步的分析，目前只能判断新安装的支付Applet是通过OTA方式部署的。

　　问题12：Apple Pay是否兼容EMVCo Tokenisation规范?

　　我们得承认，虽然几乎所有的国外或国内的分析文章都在有意无意的提到Apple Pay实现了EMVCo的规范，但是到目前为止，没有任何或EMVCo的官方资料提到Apple Pay实现了EMVCo的Tokenisation规范，那么这种论断是否令人信服呢?

　　EMVCo的Tokenisation规范是2014年3月推出的(该技术框架起初由Visa、MasterCard和AmEx推出，后考虑到行业合作的问题遂移交给EMVCo负责)，其特点是：以令牌(令牌的格式基本同现有PAN格式相同，可以在传递PAN的地方使用令牌)来替代 PAN、同现有支付行业的报文格式以及业务流程基本兼容、并引入了新的角色：令牌服务提供商(TSP，Token Service Provider)和令牌请求者(Token Requester)，其中令牌请求者是那些发起请求将用户的PAN映射为令牌的实体，而TSP则是提供此项映射服务的实体。另外，在一些应用场景，例如：通过NFC设备在POS上支付(类似于Apple Pay的非接触式支付)，移动钱包/电子钱包的电子商务支付(类似于Apple Pay的应用内支付)两种场景，EMVCo的规范要求提供Token Cryptogram来保证交易的安全。不难看出，EMVCo的规范目的在于减少欺诈行为、以及降低新技术对现有支付行业生态圈的影响。

　　而添加卡到Apple Pay的过程非常类似于EMVCo的请求令牌的过程，此时扮演了“令牌请求者”的角色(EMVCo的规范明确提到，使得移动支付可以进行的设备 制造商是令牌请求者的主要类别之一)，银行或支付网络扮演了令牌服务提供商的角色。另外，为 Pay交易提供基础安全保障的动态安全码，同EMVCo规范的Token Cryptogram产生方法以及使用方式也是非常相似的。再联想到Visa和MasterCard在Apple Pay推出后纷纷公开自己的令牌化服务，我们有理由相信， Apple Pay实际上是实现了EMVCo的Tokenisation规范，只是什么时候会公布具体细节，目前还不得而知。

　　问题13：Apple Pay如何利用Secure Element盈利?

　　我们知道，传统的卡片支付采用的是6-3-1或7-2-1的分成模式，其中发卡行获得最多的份额，结算机构收取最小的份额，而收单行获取中间大小的份额。 Pay为移动支付提供了一个新的通道，因此里所应当，会从整个蛋糕中分得一小块。从目前公开的信息来看，Apple Pay分得的份额是来自发卡行的那块蛋糕，具体就是对于信用卡交易，每次收取交易金额的0.15%，而对于借记卡交易，收取固定收 益，即每次交易收取0.5美分。

　　可以看到，发卡方将自己的收益的小部分让给了，不过没人愿意将自己的蛋糕轻易分给别人，有消息显示，令牌服务提供商 (TSP，Token Service Provider)发行令牌时，发卡行需要给Visa和MasterCard这样的TSP支付费用，例如：每发行一个令牌，MasterCard收取50 美分，而Visa收取7美分。最近有消息显示，Visa为了促进令牌交易模式的发展，已经准备免除发行令牌的费用了。

　　虽然看起来Apple Pay分得的份额很少，不过移动支付是非常庞大的市场，而且还在快速发展中。根据央行消息，2014年第三季度国内支付业务统计数据显示，第三季度移动支 付业务12.84亿笔，金额6.16万亿元，同比分别增长157.81%和112.70%，发展势头非常好。如果将 Apple Pay的分成模式放在国内市场，可以看到整个智能设备行业将会因此额外获得巨额收益，这会极大的促进移动支付技术的发展。

　　问题14：Apple Pay是否足够安全?

　　Apple Pay主要的支付流程处理是在Secure Element中进行，其安全程度基本等同于现有的基于芯片卡的支付，而用于激活Apple Pay交易的用户身份认证过程是在中进行。

　　一般来说，虽然没有安全，但是对于认证手机用户的身份来说已经足够了，毕竟传统的有卡交易也只是对持卡人进行简单认证(例如检查签名)。如果交易金额较大，Apple Pay也需要用户在商户的专用设备输入PIN(Personal Identification Number)进行认证(这和传统芯片卡交易完全一致)。

　　显然，我们可以很容易得出结论：Apple Pay是非常安全的，否则也不会有这么多金融机构和支付机构为其摇旗呐喊了。

　　问题15：“Android Pay”是否可以做到同Apple Pay一样安全?

　　现在终于到了很多人都关心的问题了： “Android Pay”是否可以做到同Apple Pay一样安全?基于我们先前的分析，这个问题是不难回答的：在整个Apple Pay的支付过程中，主要的支付数据处理全部在内进行，而激活支付流程的处理是在中进行，iOS手机操作系统仅在某些数据传输过程中才参与其中，而且由于经由其传输的数据(指纹数据和认证结果数据)都经过加密，手机操作 系统对传输数据内容一无所知。

　　因此，手机操作系统本身的安全性对整个Apple Pay的安全性很难构成威胁，无论对iOS系统还是Android系统，或是其他系统来说都是如此。因此我们可以得出结论：只要手机操作系统控制范围以外的硬件和软件系统遵循必要的安全原则设计，“Android Pay”可以做到同 Pay一样安全。