作者wattswatts (挖哩)
看板MobileComm
标题[讨论] Apple Pay和Google Pay都是哔一下但背後
时间Mon May 19 08:44:41 2025
【图表】Apple Pay和Google Pay都是「哔一下」,但背後交易机制其实完全不一样
2025/01/07
https://www.thenewslens.com/article/246921
我们想让你知道的是
Apple Pay选择将资料存放在手机内的「安全隔离区」也就是所谓的「安全晶片」中,而Goo
gle Pay则是将资料存放在云端的强大伺服器。
就像把重要文件放在家中保险箱,还是存放
在银行保管箱的差别——都很安全,但本质上却不太一样。
https://i.meee.com.tw/7mBgI2R.jpeg
图:梁敏萱|文:丁肇九
在现代,人们手中的手机早已变成了数位钱包,但你是否想过,当我们使用Apple Pay或Goo
gle Pay时,信用卡资讯是如何被保护的呢?让我们一起来了解这两大行动支付系统的安全
设计吧!
本地保护 vs 云端加密
Apple与Google的两种支付,系统采用了截然不同的安全策略。
Apple Pay选择将资料存放在手机内的「安全隔离区」(Secure Element,也就是Apple所说
的「安全晶片」)中,而Google Pay则是将资料存放在云端的Google伺服器。两者之间,有
点像是把重要文件放在家中保险箱,还是存放在银行保管箱的差别。
Apple Pay:在地堡垒
当你在iPhone上设定Apple Pay时,信用卡资讯会被转换成一组称为「装置帐号号码」(Dev
ice Account Number, DAN)的独特代码。
这个代码会被存放在手机的安全晶片中,就像是把真实的信用卡换成一张特制的代用卡。每
次交易时,系统都会使用这个代用卡号,而不是你的实际卡号。
Google Pay:云端防卫
相较於Apple,Google Pay采用了不同的方式,当你授权付款後,它会在Google的云端伺服
器上产生「支付令牌」(Payment Token),付款时,手机会和Google伺服器确认身份,接
着使用这个令牌来完成交易。
这就像是Google帮你保管了信用卡,当你需要支付时,给你一个专属的通行证。
多重安全把关与设计考量
无论是Apple还是Google的系统,交易过程都经过多重加密保护,从商家平台到支付网路(
如Visa、Mastercard),再到发卡银行,每一个环节都有专门的安全机制。
差别在於,Apple选择将资料存在本机,强调「连Apple都不知道卡片资讯」的安全概念,让
使用者的隐私资讯留在手中装置,以达到资料保护效果
反之,Google则采用中心化管理,由其强大云端系统统一把关,藉此也能让规格万万种的An
droid手机,不论是否拥有安全晶片的设计,都能享受到方便安全的支付服务。
因此,也别硬要比Apple和Google谁强谁弱,因为这两种方式各有优点——本地存储可以离
线运作且资料分散存放,云端管理则可以即时更新安全措施,且不受单一设备损坏的影响,
使用者可以安心选择适合自己的支付方式,享受行动支付带来的便利。
备注
三星 knox 安全加密晶片
https://youtu.be/cSBZXC4hel8
[问卦] 有人有Gmail帐号被盗的经验吗?
https://bit.ly/3Sa60GZ
骇客入侵後,短短三分钟内就成功夺取我的Gmail,估计是直接跑脚本:
事後补救:电脑,手机和网路Router全面Factory reset, 密码全部更换并改用KeePass储存
,移除Google绑定的信用卡,
推 ShaoRouRou:
https://i.imgur.com/CDeNW4E.jpeg
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 212.102.51.249 (日本)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1747615484.A.ABF.html
1F:嘘 kimi112136 : 蛤?说的好像apple pay没把你的真实卡号送上去一样05/19 08:49
2F:→ kimi112136 : ?虚拟卡号到国际卡组织怎麽转成真实卡号扣款?想05/19 08:49
3F:→ kimi112136 : 一下就知道了05/19 08:49
※ 编辑: wattswatts (212.102.51.249 日本), 05/19/2025 08:50:04
4F:推 Seckel : 果粉又要高潮了 ,果粉请开始您们的表演05/19 08:52
5F:→ kimi112136 : 我只能说apple pay保护的是虚拟刷卡机跟实体刷卡机05/19 08:52
6F:→ kimi112136 : 到手机之间,手机出去的还是要看apple自己的资安05/19 08:52
7F:→ tomsawyer : 基本上就是有se跟没se的区别 但是google应该会朝着05/19 08:54
8F:→ tomsawyer : apple的方向去05/19 08:54
9F:→ tomsawyer : 不知道TEE能不能当se用05/19 08:54
10F:推 answer012103: 果粉不需要了解这麽多,只要看到Logo是对的就够了05/19 08:54
11F:推 ayuhb : 反正都比直接打卡号安全05/19 08:55
12F:推 jasonbass : G跟A pay感应应该也都比实体卡感应还安全05/19 08:56
※ 编辑: wattswatts (212.102.51.249 日本), 05/19/2025 09:03:03
13F:推 issemn : 这就是用出优越感的最佳案例05/19 09:04
※ 编辑: wattswatts (212.102.51.249 日本), 05/19/2025 09:06:53
14F:推 widec : 一个云端验证 一个事後验证05/19 09:11不
就金块放自家保险箱 天天在家看着 vs 金块放银行保险箱 多年之後要看 却不见了 银行
表示我不知道XD
※ 编辑: wattswatts (37.19.205.146 日本), 05/19/2025 09:28:37
15F:→ ayuhb : 金块也不是我的 我要用时才会变成我的05/19 09:33
16F:→ ayuhb : 有人拿走?又不是我拿的 我那有差 05/19 09:33
17F:推 avans : 推说明,可以理解G的做法,毕竟Android硬体太多种了 05/19 09:39
亲儿子Pixel 手机中的 Google Titan M 安全晶片 其他家安卓 有什麽?
18F:推 cityport : 三星也是local storage吧,那就没什麽好说的 05/19 09:45
19F:推 awin519 : 要也是pixel先用se而已,这麽多厂商不可能跟他们说05/19 09:45
20F:→ awin519 : 没se不准用gp吧 05/19 09:45
21F:推 violetish : 两边都有超爱嘴对手的信徒粉丝 超好笑为信仰而战^^b 05/19 10:02
22F:推 vhygdih : 我认为这个讯息基本上不是很正确,google pay 是可 05/19 10:35
23F:→ vhygdih : 以离线交易的,早期的 token 导致很多感应上小问题 05/19 10:35
24F:→ vhygdih : ,常常因连线失败,现在Google Pay安全主要是而且你 05/19 10:35
25F:→ vhygdih : 手机只要有下载过Apk, 系统就会很有机会直接关掉Goo 05/19 10:35
26F:→ vhygdih : gle Pay功能 ,简单来讲就是跟苹果一样杜绝第三方 05/19 10:35
27F:→ vhygdih : 未认证软体问题,但是卡片基本上就是存在手机上 , 05/19 10:35
28F:推 ryuhuang : Apple Pay使用时手机不需要网路就能刷 05/19 10:47
29F:→ ryuhuang : Google Pay应该需要网路吧?05/19 10:47
30F:推 aotom : google pay可以不用连网05/19 10:51
31F:推 a6268538 : google pay印象中也是存在手机05/19 10:52
32F:推 aalittle : 可以不用连网,应该说GP可以不用每次都连 05/19 10:56
33F:→ Jintsu : Google pay 离线交易太多次或超过金额就要连线验证 05/19 10:57
34F:推 stilu : g pay不用连网,那这篇文就错了吧?05/19 10:58
※ 编辑: wattswatts (212.102.51.63 日本), 05/19/2025 11:07:30
35F:→ manbow77 : GooglePay就HCE方式 在台湾主要是没办法直接存发票 05/19 11:11
36F:→ manbow77 : 直到今年多元支付後台改善了才对应GP信用卡载具 05/19 11:12
37F:→ manbow77 : 另外有自己SE的安卓机其实不少 三星也是有内建05/19 11:13
38F:→ manbow77 : 台湾的NFC-SIM则是SIM卡内建SE05/19 11:14
39F:推 EPIRB406 : 台湾pay也是HCE 05/19 11:19
40F:→ manbow77 : 至於趋势并非向ApplePay方式靠拢而是偏向两者兼用 05/19 11:20
41F:→ manbow77 : HCE的token不用每次都联网下载 悠游付算比较龟毛 05/19 11:21
42F:推 xoy : 这篇讲的应该是十来年前TSM已经上市,HCE跟Apple P 05/19 11:23
43F:→ xoy : ay刚发表的状况,每隔一阵子就会有人考古提一下 05/19 11:23
行动支付HCE的风险与防护方案
https://bit.ly/4j6HDoN
※ 编辑: wattswatts (149.88.103.34 日本), 05/19/2025 12:00:37
44F:嘘 basacola : 这什麽古文 05/19 12:01
45F:嘘 GXIII : 到处洗 05/19 12:04
46F:→ manbow77 : 这2016的广告文早已经跟现在的HCE彻底脱节了 05/19 12:07
47F:→ manbow77 : 以哔乘车来说 伺服器只给你一个效期10分钟的token 05/19 12:13
48F:→ manbow77 : 那个token就只是一张临时给机器感应的票车票 05/19 12:14
49F:→ manbow77 : 基本上现在HCE和SE产出的东西一样只差来源本地云端 05/19 12:22
50F:→ kpg0427 : 所以有人能发一篇2025版的吗? 05/19 12:36
51F:推 MrCool5566 : 哇 apple 好棒 难以置信的软体工艺 05/19 12:53
※ 编辑: wattswatts (37.19.205.209 日本), 05/19/2025 12:57:30
52F:→ manbow77 : 现在电支采用HCE的基本上都是CloudBase方式05/19 12:58
53F:→ manbow77 : 由云端代替内建SE来生成加密token载进手机储存使用05/19 13:00
54F:→ manbow77 : 信用卡感应的只是一组虚拟卡号 真正安全性是在验证05/19 13:02
55F:→ manbow77 : 现在使用手机信用卡几乎都要透过解锁过程来验证05/19 13:03
56F:→ manbow77 : 要讨论安全性绝对是验证方式远大於虚拟卡号的加密05/19 13:05
57F:→ manbow77 : 而受到实体SE恩惠最大的其实是交通票证卡05/19 13:08
58F:→ manbow77 : 交通票证有太多离线环境需求且需要写入储存金额05/19 13:15
60F:→ manbow77 : 加上为了能免解锁/开机等同实体卡的内建SE明显优势 05/19 13:17
61F:推 theevilM : 这张图有点奇怪,Google pay不需要一直联网 05/19 13:35
62F:→ manbow77 : 那张图只是表示GooglePay需要从伺服器下载token05/19 14:06
63F:→ manbow77 : 只是信用卡虚拟卡号不必太常刷新所以能长时间离线05/19 14:07
64F:→ manbow77 : 而像GooglePay里的日本西瓜卡或小米一卡通一样存SE05/19 14:09
Re: [问题] iphone不能用悠游卡责任在谁身上?
https://bit.ly/3ScrDGH
支援googlepay就有SE? 那台湾安卓怎麽没全品牌都能装一卡通 装西瓜卡 嘿嘿
※ 编辑: wattswatts (37.19.205.217 日本), 05/19/2025 14:18:12
※ 编辑: wattswatts (37.19.205.205 日本), 05/19/2025 14:24:45
65F:→ manbow77 : 谁跟你讲支援GooglePay就一定有SE了 05/19 14:27
66F:→ manbow77 : GooglePay是原理上可支援SE 05/19 14:28
67F:→ manbow77 : 而GooglePay的西瓜卡和一卡通现状只依附SE05/19 14:29
小米14和小米14 Ultra搭载了恩智浦的SN220系列晶片,该晶片集成了eSIM功能、安全晶片
和近场通讯等功能,让用户的行动服务都在真正的Android设备上运行,可确保用户安全无
忧。此外,众所周知,FIDO2金钥可以提供更安全、更简单的密码替代方案,能够储存在安
全晶片上,让使用者在使用安全服务时更方便、更安心。
https://bit.ly/3YSxrJc
没支援se手机那开放什麽googlepay
先把自家的帐号安全搞好啦
googlepay真非常安全
68F:→ manbow77 : 而台湾透过nfc-sim的SE也达到大部分品牌能用一卡通05/19 14:31
※ 编辑: wattswatts (37.19.205.203 日本), 05/19/2025 14:35:18
69F:→ manbow77 : GooglePay电支主要是信用卡上面讲过了关键是在验证 05/19 14:40
70F:→ manbow77 : 楼主贴了个Gmail帐号被盗 那跟SE根本毫无关系 05/19 14:46
71F:→ tomsawyer : 支援gp一定有tee05/19 15:00
72F:→ tomsawyer : 不过我有=\=我要开放05/19 15:00
73F:→ manbow77 : Suica就是只开放实体TypeF 没有实体TypeF直接无缘05/19 15:05
74F:→ manbow77 : 而像台版Pixel有TypeF也还有系统限制需要刷机硬开 05/19 15:06
75F:推 xbearboy : 所以拿实体卡感应就不安全了?05/19 15:09
76F:推 ssshleo : 实体卡有机会被侧录05/19 15:45
77F:嘘 rz759 : 发文的心态... 05/19 15:46
一些大厂商 花钱花闲功夫花时间研发 特别使用硬体加密晶片 是在犯傻搂?
79F:推 ntutworm : google pay用的方法叫HCE 05/19 16:12
80F:→ manbow77 : 实体信用卡要注意卡号和安全码的流出 05/19 16:13
※ 编辑: wattswatts (149.40.62.39 美国), 05/19/2025 16:17:57
81F:→ manbow77 : 尤其有部分卡的卡号和安全码印在同一面容易被偷拍05/19 16:18
82F:→ manbow77 : 楼主有个观念需要更新05/19 16:20
83F:→ manbow77 : 内建SE真正安全性强处是针对暗码的保存05/19 16:20
84F:→ manbow77 : 对帐号密码那种容易明码出现在各种地方的效果有限05/19 16:21
85F:→ manbow77 : 所以各种帐号密码才会要求多方验证05/19 16:22
86F:→ manbow77 : 来确保帐密流出了还不见得能第一时间被登入修改 05/19 16:23
※ 编辑: wattswatts (149.40.62.39 美国), 05/19/2025 16:23:29
87F:推 jhjhs33504 : Google很常搭配云端处理包括卫星定位地理资讯等都是 05/19 18:08
88F:推 jhjhs33504 : 不知道iPhone未来有没有办法利用nfc-sim的机会? 05/19 18:12
快淘汰的产品 都快收摊了
89F:嘘 sinclaireche: 一直都是商业问题 05/19 18:31
90F:推 weltschmerz : 贫果好棒棒 估狗好烂烂 哪里领500? 05/19 20:29
用上硬体加密晶片的三星 小米 哪时候出iphone手机了?
91F:嘘 piyopiyolee : 你那还来得及买比特币吗? 05/19 20:56
92F:→ oread168 : 对应信用卡载具的机器超少 05/20 00:56
93F:嘘 Informatik : 史前大火每个版洗文章喔 05/20 01:02
94F:嘘 LoKira : 洗 05/20 03:10
95F:→ manbow77 : 其实不少多元支付机从前几年开始就对应信用卡载具 05/20 07:02
96F:→ manbow77 : 但店员不见得懂操作及尚未对应GooglePay存发票 05/20 07:04
97F:→ manbow77 : 今年初系统後台更新後GooglePay才能完全等同实体卡 05/20 07:06
98F:→ manbow77 : 现在支付选项「多元信用卡」发票选项「多元票证」 05/20 07:22
99F:→ manbow77 : 就能让GooglePay跟实体信用卡一样当发票载具了 05/20 07:24
100F:→ manbow77 : 体感上超商店员比较熟这块直接讲存信用卡大多通用 05/20 07:27
101F:嘘 a123274 : 嗯 05/20 08:16
※ 编辑: wattswatts (138.199.21.197 日本), 05/20/2025 08:21:27
102F:推 horb : 两家的pay都很好用。没什麽好吵的 05/20 11:07
103F:嘘 rz759 : 优越仔硬要踩其他家只会让人越来越反感 05/20 11:25
104F:嘘 markhbad54 : 如果把google伺服器改名"安全代码服务商"...... 05/20 14:08
105F:推 ja9740807 : 讲一堆扯到发票载具 05/20 21:28
106F:→ ja9740807 : 跟原文要讲的安全性有什麽关系吗? 05/20 21:28
107F:嘘 d86123 : 原PO捧一踩一的心态不健康 05/20 21:45
108F:→ oread168 : 超无聊 被盗就刷退就好了 05/20 22:26
109F:→ oread168 : wallet时期就在用 根本没被盗过= = 05/20 22:27
110F:推 xluds24805 : 看起来 apple pay 真危险。拿有不能修复的晶片漏洞 05/23 10:22
111F:→ xluds24805 : 的 iphone 的人,可能很容易就被盗刷了 05/23 10:22
112F:→ xluds24805 : 难怪 apple pay 被盗刷的新闻那麽多 05/23 10:23