- Passbook


是在Pay产品推出之前就已经存在的服务, Pay推出之后,对其功能进行了扩充,使得其可以为 Pay添加和管理信用卡以及借记卡,当然还可以查看已添加的卡的信息、银行的隐私策略以及最近交易明细等等。对 Pay来说,相当于的管理客户端,中添加和删除信用卡或借记卡信息都可以经由服务进行。


- Touch ID


也就是iPhone的指纹识别服务,其目的在于利用指纹识别使得访问设备更安全、更快速和更容易。不是对设备安全密码的替换,而是让用户可以使用复杂的设备密码,同时不损失便利性。换句话说,用户可以使用复杂的密码来保护设备,同时还可以使用来方便的访问设备。


- Secure Enclave


是iOS设备内部的安全执行环境,可以用来进行一些敏感信息的处理。例如:的指纹成像传感器获取的数据需要传递到来进行实际的指纹识别过程。对于 Pay来说,负责管理认证过程和使得支付交易可以进行。


- Pay Servers


Pay服务器,其用来管理中的信用卡和借记卡的状态,以及存储在中特定于设备的账户信息。 Pay服务器同时同设备以及支付网络(Payment Network)中的服务器进行通信,对于应用内支付来说, Pay服务器还负责使用特定于商户的密钥,对 Pay产生的支付凭据(Payment Credentials)进行加密,然后将其发送到实际的商户服务器进行支付处理。


问题2:是否就是ARM TrustZone?


A7以及后续系列的应用处理器封装在一起的协处理器,它有自己的安全引导过程和个性化的软件更新过程,并且同iOS系统所在的应用处理器分离。 使用加密(使用临时产生的密钥加密)的物理内存(和应用处理器共享的物理内存的一部分空间)进行业务处理,并且有自己的硬件随机数产生器。同应用处理器之间通过中断驱动的mailbox以及共享内存来进行通信,对外提供数据保护密钥管理相关的所有密码学服务。


ARM TrustZone技术本质上是一种虚拟化技术,通过将处理器状态分为安全和非安全状态,并且配合其他总线以及外设上的安全属性来实现遍布整个硬件系统的 安全。同一样,ARM TrustZone也有自己的安全引导过程以及个性化的软件更新过程,也有自己的硬件随机数产生器(以及其他类似的安全外设),并且同应用处理器之间也是 通过中断驱动的Monitor模式以及共享内存来进行通信。可以看出,所提供的安全特性并没有超出ARM TrustZone技术的范围。


不过就的官方信息来说,从未提过就是ARM TrustZone安全扩展技术的实现(虽然根据官方文档中关于几个安全通信通道的描述来看,很可能是ARM TrustZone技术的一种实现),因此我们还是无法断定究竟是独立的协处理器还是应用处理器的一种运行状态(两种架构都可以提供必须的安全特性),这个有待于公布更多的的实现细节,就目前而言,可以得出的结论是:Apple Pay所提供的安全特性,使用ARM TrustZone技术同样可以实现。