NFC 与 SE 平台安全性
NFC 与 SE 平台是由 Apple 开发的安全解决方案,让获得授权的开发者可在其 iOS App 内提供功能。在运行 iOS 18.1 或更高版本的设备上,开发者可将凭证储存在安全元件中。此类凭证支持支付、门禁、公共交通、会员计划和门票。开发者必须保护用户隐私和数据,包括卡片详细信息。该平台提供来自 iPhone 硬件、软件和 Apple 服务器的安全功能。开发者可使用安全元件、生物识别传感器、安全隔区和 Apple 服务器,在以下使用阶段保护凭证:
【注】开发者必须获得授权才能使用 NFC 与 SE 平台。这有助于确保仅致力于维护隐私和安全性标准的已授权开发者才能使用 NFC 与 SE 平台。
NFC 与 SE 平台组件安全性
NFC 与 SE 平台提供了硬件和软件功能的访问许可,让开发者可为 iPhone 用户提供安全交易。
安全元件
安全元件是一种运行 Java Card 平台的行业标准集成电路。它由 EMVCo 和通用标准认证,支持标准 Java Card 小程序,包括获准使用 NFC 与 SE 平台的小程序。它还包含一个特殊小程序,用于管理 NFC 与 SE 平台小程序的授权和激活。凭证数据可使用唯一密钥加密并发送到这些小程序。此数据储存在小程序内,并由安全元件的安全功能进行保护。交易期间,终端通过近距离无线通信 (NFC) 控制器直接与安全元件进行通信。
NFC 控制器
NFC 控制器处理 NFC 协议,并发送应用程序处理器和安全元件之间以及安全元件和销售点终端之间的通信。NFC 控制器可帮助确保免接触式交易通过处于设备近距离范围内的终端进行。NFC 控制器只会将来自场内终端的请求标记为免接触式交易。
用户使用面容 ID、触控 ID 或手机密码授权交易进行后,NFC 控制器会将安全元件内 NFC 与 SE 平台小程序准备的免接触式响应专门发送给 NFC 场。因此,免接触式交易详细信息会包含在本地 NFC 场中,不会透露给应用程序处理器。
安全隔区
安全隔区管理设备上的用户认证和安全意图处理,以允许授权交易继续进行。安全隔区和安全元件之间的通信通过串行接口进行,其中安全元件连接到 NFC 控制器,NFC 控制器随后又连接到应用程序处理器。虽非直接连接,但安全隔区和安全元件可使用运行时生成的共享密钥安全通信,该密钥可用于按需在通信链接中提供保密性和完整性。
Apple 服务器
Apple 服务器存放 NFC 与 SE 平台合作伙伴的获准小程序软件包。服务器还管理安全元件中安全域和小程序的设置与创建,包括 NFC 与 SE 平台所用的安全域和小程序。
小程序和配置
若要使用 NFC 与 SE 平台,开发者必须有获准小程序捆绑包和产品配置,以支持其凭证。发送给 Apple 以安全安装在安全元件上之前,所有小程序必须由有资质的第三方安全评估实验室进行安全审查。发送给 Apple 后,小程序捆绑包和关联产品配置会接受审查,且必须获得批准后才能配合 NFC 与 SE 平台使用。批准后,小程序软件包会被签名并存放在 Apple 服务器上。
基于使用场景和运营计划,开发者还将独立负责为其小程序获得任何其他必要认证或资质认定,如满足法律、法规或支付网络运营商的要求。
凭证预置
NFC 与 SE 平台开发者有责任保护用户预置新凭证过程的安全。其中可能包括各种步骤,如在其 iOS App 中认证用户,保护和验证用户输入的敏感数据,与服务器通信,批准添加凭证,发起凭证预置,以及处理个性化数据。开发者还有责任确保其解决方案满足与凭证预置和使用安全性相关的任何适用法规和行业标准。
iOS App 请求创建新凭证时,NFC 与 SE 平台会将请求发送给 Apple 服务器。如果与所请求产品配置关联的小程序尚未下载到安全元件,Apple 服务器会开始将已签名软件包下载到安全元件。之后,新小程序实例会安装到安全元件中准备用于储存新凭证的独立安全域内。安装后,开发者选择的可信服务管理平台 (TSM) 可使用任何必要凭证数据(如密钥和账号)以私密方式对小程序实例进行个性化。
安全储存和访问
安全元件的硬件和软件安全功能可用于在保存和使用期间保护 NFC 与 SE 平台凭证。开发者确保其安全元件小程序以安全方式实施,遵循安全性指南,以及充分利用平台提供的可用安全功能,以合理保护凭证数据。
NFC 与 SE 平台将产品配置和小程序实例的访问许可限制在其关联 iOS App。因此,未授权 App 无法与其交互以进行修改或使用。仅关联 iOS App 可:
请求创建小程序实例
个性化、更新小程序实例和向其发送命令
发起交易
请求删除小程序实例
交易授权
App 必须为所有交易获得用户授权;NFC 与 SE 平台为 App 开发者提供了确保实现这一条件的方式。用户通过生物识别或密码以及提供给安全隔区的物理手势授权交易。批准后,安全隔区会将认证数据发送到安全元件。之后,安全元件会验证该数据并通知小程序激活 NFC 接口。NFC 与 SE 平台开发者必须根据 Apple 提供的规范实施其 iOS App 和安全元件小程序,以安全利用交易授权机制及进行交易。
若要发起交易,iOS App 必须在前台运行,且 iPhone 必须解锁。如果 iOS App 在“设置”中设为默认免接触式 App,它会在用户连按两下侧边按钮(对于面容 ID 设备)或主屏幕按钮(对于触控 ID)且进行用户认证(如果 iPhone 已锁定)后自动启动。
另外,开发者的 NFC 与 SE 平台 iOS App 有责任清楚告知用户交易所用凭证,并显示任何相关的交易详细信息。
生命周期管理
通过 NFC 与 SE 平台 API,开发者可更新凭证数据或删除凭证,然后从其 iOS App 向其小程序发送适当命令。开发者还可添加暂停或取消关联其凭证的功能,但此功能将独立于 NFC 与 SE 平台。
所有安全元件凭证会在以下情况下安全抹掉:
用户退出登录 iCloud
移除其设备密码
使用“抹掉所有内容和设置”抹掉其设备,或通过“查找”远程抹掉
从 Apple 数据和隐私页面请求删除其 Apple 账户
用户还可通过删除关联 iOS App 从其 iPhone 移除特定凭证。