Apple Pay 付款授權
在具有「安全隔離區」的裝置上,只有在收到來自「安全隔離區」的授權後,才能進行付款。在 iPhone、iPad 或配備 Touch ID(或與配備 Touch ID 的精妙鍵盤配對)的 Mac 上,需確認用户已透過生物識別認證或裝置密碼進行認證。生物識別認證(如適用)為預設方式,但是隨時都能使用密碼,且在三次嘗試比對指紋失敗(適用於 iPhone 和 iPad)或兩次比對面孔失敗後,系統會自動建議改用密碼;五次嘗試失敗後,就必須使用密碼。未設定生物識別認證或未有為 Apple Pay 開啟此功能時,也需要輸入密碼。如要在 Apple Watch 上進行付款,必須使用密碼解鎖裝置,且必須按兩下側邊按鈕。
使用共享的配對密鑰
「安全隔離區」和 Secure Element 之間的通訊會在序列介面上進行,使用以 AES 為基礎的加密和認證機制,並運用加密編譯反重播值來抵禦重播攻擊。雖然兩端不會直接連接,但它們會使用在製造期間配置的共享配對密鑰來以安全的方式通訊。在該過程中,「安全隔離區」會利用其 UID 密鑰和 Secure Element 的獨有識別碼產生密鑰組。接着會在出廠時安全地將配對密鑰傳輸至硬件安全模組(HSM)。然後 HSM 會將配對密鑰插入 Secure Element 中。
授權安全交易
當用户授權交易時(包括直接與「安全隔離區」通訊的物理動作),「安全隔離區」會將認證類型的簽署資料和交易類型的詳細資料(非接觸式或 App 內付款)傳送至 Secure Element,繫結至「授權隨機」(AR)值。當用户首次配置信用卡並於 Apple Pay 啟用時保存,便會在「安全隔離區」內產生 AR 值,此值受到「安全隔離區」的加密和反回滾機制保護。它會藉由運用配對密鑰安全地傳送到 Secure Element。在接收到新的 AR 值時,Secure Element 會將任何先前加入過的卡標記為已終止。
使用付款密碼來達成動態保安
來自付款 Applet 的付款交易包含付款密碼及「裝置帳户號碼」。這組密碼是一次性安全碼,計算方式是使用交易計數器和密鑰。交易計數器會隨每筆交易遞增。該密鑰是在進行個人化期間於付款 Applet 中配置,且付款網絡或發卡機構或此二者皆知道該密鑰。視付款方案而定,也可能會使用其他資料來進行計算,包括:
Terminal Unpredictable Number(適用於近場通訊(NFC)交易)
Apple Pay 伺服器反重播值(適用於 App 內交易)
用户驗證結果,例如持卡人驗證方式(CVM)資料
這些安全碼會提供給付款網絡和發卡機構,供發卡機構驗證每筆交易。這些安全碼的長度會視交易的類型而有所不同。