我来说说NFC卡/各种Pay/微信/支付宝支付的原理
看到很多人对各种支付的原理还不是很了解，随便写写。磁条卡本质上就是一个数据储存装置，当你刷卡的时候，POS机读出你的卡号密码，然后发给银行网络验证，如果你的卡没有超支，就通过了。但是磁条卡的问题本身是不安全，你的全部信息都在磁条里，有人魔改了POS机，存下来你的磁条信息，那你的信息就泄露了。为了解决这个问题，芯片卡应运而生，欧美的标准叫EMV，我国的叫PBOC，大体的原理是一样的。芯片卡每次交易产生的数据都是不同的，当一次交易产生的时候，芯片卡把交易金额、信用卡信息、随机产生的验证信息结合在一起，产生一个。POS机拿到这个信息，跟支付网络联系确定这笔交易是成功的。因为POS机只知道这一次交易的验证信息，所以哪怕它保存下来这个信息，也没有用。为了更安全，还可以采用“令牌”，就是为每次交易产生一个唯一的虚拟卡号。这样POS机根本不知道你的卡号，信息就更加安全了。在这个过程中，POS机是需要联网的，然而信用卡并不需要。然而接触式芯片卡终究还要插卡，为了更加方便，带NFC的信用卡应运而生，比如Visa Paywave, Mastercard PayPass，以及国内的闪付。基本上NFC技术就是把芯片卡无限化。为了这个步骤新增了一些比较的加密和安全措施。用NFC卡支付，数额不大不需要签字的话，冲POS机挥一下卡就可以了。通过 NFC 进行支付比使用现金快 60%，比使用借记卡或信用卡快 50%。很多人可能意识不到这个有多快，基本上就跟打公交卡是一样的，嘀，就结束了。NFC卡的流行程度视地区差异而定，新加坡/澳大利亚的无线刷卡已经普及到了几乎哪里都可以用Paywave的程度，拿信用卡可以直接当公交卡用的地步，然而美国人连芯片卡都还没开始用，国内最普及的还是现金。。。然而既然已经把NFC做到了信用卡上， 为什么不干脆把NFC做到手机里呢？这就是Apple/Android Pay了。你把信用卡信息登陆给Google/Apple。然后你只要解锁手机，就可以在支持的POS机上刷手机了。为了保证你的卡片安全，NFC接触支付有几重防护：手机内部有安全元件保护你的信息，你存在手机中的并不是你的真实卡号，而只是一个卡片的代号，一般每次交易也会产生不同的虚拟卡号。可以说，丢了手机所以信用卡就丢了的这种可能性，基本是不存在的。另外，其实nfc也能做到sim卡里，所以在很多地方，想用NFC功能是要换一张sim卡的。在Apple Pay/Google Pay之前，这是最流行的解决方案。三星的技术比较特殊，三星Pay可以“模拟磁条卡的磁场“。所以理论上来说，能刷磁条卡的地方都能刷三星Pay。然而实际上的结果似乎并不那么出色，也会出现刷不出来的情况。这个我没用过，也就不说了。然而NFC的技术实现，需要多方合作：手机要有安全元件，要有NFC芯片，POS机要支持NFC功能，支付网络/银行要能处理通过NFC渠道的支付。所以只有当发卡行，手机、POS机同时支持这个功能的时候，用户才能享受到NFC的体验。二维码支付可以看作是这个方案的妥协：产生一个URL，只要终端有一台联网的扫码机，其他的部分就都无所谓了。代价是安全性没有硬件解决方案高，以及用户体验不如NFC。之所以支付宝和微信至今没有有效的NFC支付(安卓版本的支付宝可以给公交卡充值，也可以当公交卡用，但似乎其他的场景，特别是POS机还没有支持支付宝的)，而选择了二维码支付，我猜和大规模推广NFC的成本有很大的的关系。特别是中国绝大多数的POS机控制在银联手里，而银联和支付宝关系似乎一直不好。支付方式的改变不是一夜之间的。但是我相信就像磁条卡取代现金，芯片卡取代磁条卡一样，更方便的支付方式，终究会慢慢取得胜利。
虽然扫码支付用的还有点小多。不过我国目前主要还是POS机。NFC啥的还没影呢。。。。
然而招行掌上生活早就有闪付了
支付宝要扫码，是不是落后了
学习了。现在主要用支付宝
三桑pay岂不是要一统江湖了？前提是六脉神剑真的能发出来[s:ac:冷]
数额不大… 手机是不是别人拿起来就可以刷了？
对于目前大部分人来说扫码还是可以接受的毕竟整个扫码支付在自己手里完成大家更放心一点在这个路由器有没有辐射都能战起来的情况下nfc支付确实有点超前了当然nfc支付已经是很成熟的技术[del]我是懂行的，不要就这个回复我，我只是说可能的一部分人的看法[/del]
银联要推云闪付
[quote][pid=24772,1]Reply[/pid] [b]Post by [uid=6311907]sgsd124[/uid] ( 15:09):[/b]数额不大… 手机是不是别人拿起来就可以刷了？[/quote]要解锁的呀。而且很多地方小额刷卡消费也不要签字密码的。
[quote]欧美的标准叫EMV，我国的叫PBOC[/quote]我拿到的中国银行信用卡申请单里面都叫EMV。。。
[b]Reply to [pid=24772,1]Reply[/pid] Post by [uid=1312553]ggmail[/uid] ( 15:11)[/b]因为你那个卡就是主打的emv国外刷的呀……国内的绝大多数pos你这个卡是刷不了非接的。
[quote][pid=24772,1]Reply[/pid] [b]Post by [uid=1312553]ggmail[/uid] ( 15:11):[/b]我拿到的中国银行信用卡申请单里面都叫EMV。。。[/quote]中行有VISA EMV卡，主要为了方便出境的人。国内很多POS机可能不能刷这种卡。
北京麦当劳结账可以直接NFC唯一接触过的用到NFC的地了。。。
美帝还没普及芯片卡？……
[quote][pid=24772,1]Reply[/pid] [b]Post by [uid=]咚·咚·锵[/uid] ( 15:03):[/b]然而招行掌上生活早就有闪付了[/quote]你可以把这个看成”招行Pay“ ：).
“然而美国人连芯片卡都还没开始用”这句话怎么来的？臆想的？为何我所有的信用卡银行卡都是带有芯片的
[quote][pid=24772,1]Reply[/pid] [b]Post by [uid=]杀价帮fview[/uid] ( 15:03):[/b]虽然扫码支付用的还有点小多。不过我国目前主要还是POS机。NFC啥的还没影呢。。。。[/quote]其实支持闪付的POS机和自动售货机也慢慢可以看到了。感觉银联要推广的话前景还是挺光明的。
支付宝的盘子，实际上花了很多钱才搞定扫描枪和第三方平台，这些成本工作量都不小如果银联进来或许在设备铺场上，比支付宝有先天优势，但银联传统模式太久，和互联网起家的马云相比，差太远了
[quote][pid=24772,1]Reply[/pid] [b]Post by [uid=]baitao2002[/uid] ( 15:13):[/b]北京麦当劳结账可以直接NFC唯一接触过的用到NFC的地了。。。[/quote]其实只要标了quickpass的机器都可以用，这个很多。详解支付宝交易背后的安全策略 - 动点科技
详解支付宝交易背后的安全策略
作为和钱打交道的工具，最最重要的事儿，就是保障账户资金安全。支付宝最近专门在总部组织了一次媒体沟通会，详细解释了支付宝背后的安全策略。
目前支付宝有 8.5 亿注册账号，每天 3000 万笔交易。支付宝负责安全的团队 400 人，1132 台服务器支持，每天分析超过 2.4 亿账户行为。
据其提供的数据，支付宝支付出现资损的概率是 1/10 万，Paypal 是 0.3%，国际卡在线支付是 1%。
通常在线上支付，风险主要包括以下几种：虚假仿冒网站 64%，账户或密码被盗 19%，木马及病毒 11%，用户自身信息泄露 8%。
而要保障一个支付行为安全，有五道门槛：
1、终端环境保护 ，即本身上网的环境是要安全的。电脑/手机没有中木马，没有钓鱼网站等等，这块需要和银行、安全厂商、浏览器厂商等共同联动，网民自身也要有良好的上网行为习惯。
之前曾出现过因为中木马引发账户资损的事件，支付宝第一时间将该木马提交给安全厂商，提醒网民进行查杀。
2、用户认证 ，通过和公安、银行联网，来进行用户身份的比对，确认账户确实是用户本人开设。
3、隐私保护 ，是指对用户账户和交易等隐私信息的保护。支付宝内部开设信息安全部，负责对用户隐私信息保护，包括信息分级、加密存储等。
4、账户保护 ，包括数字证书、动态口令等措施。
5、交易保护 ，在交易过程中，支付宝有一套实时风险监控系统，对每一笔交易进行过滤，异常行为会被拦截下来，要求用户做二次验证，甚至人工干预。
这套过滤会在 150 毫秒之内完成，如果是正常的交易，不会被用户感知到。
这里是重点，多说两句。什么样的交易会被判断为异常交易？这依赖于支付宝背后积累的用户交易行为数据，包括用户地点、IP、所购买商品、送货地址等等。
举个小例子，比如你的账户在北京登录，10 分钟之后又在上海登录，按照常理，你个人不可能在 10 分钟之内从北京到上海（但也可能你把账户给朋友使用），所以该交易可能存在问题，需要用户再次进行身份验证来排除风险。当遇到高风险的交易时，支付宝也会通过电话等方式与用户直接沟通。
当然这种过滤也不可能做到 100%零风险，也会有漏网之鱼，支付宝给出的最后一道措施是赔付，引入保险公司对有资金账户损失的用户进行全额赔付。
关于实时风险监控，具体可参见下面这张图。
————————
PS：动点科技微信公众账号，请扫描下面的二维码或搜索& 动点科技&、&technode”。我们会每天精选创业文章与大家分享，也欢迎通过微信平台交流。
另，希望获得报道的团队，可邮件 ，介绍你们的产品和团队，并留下联系方式，我们的编辑会尽快跟你们联系。对了，我们的报道不收费。
上一篇下一篇
在动点科技中文版打杂，欢迎可爱的创业者们来找，
TechNode TV
坚果 Pro 2 到底值不值得入手？听听两个老玩家的灵魂辩论
如果你的产品足够锐意创新，欢迎
对于科技和互联网企业来说，技术的艰深并不是主要瓶颈，人才才是。那么，如何更好地挖掘匹配人才呢？
开启微信，扫一扫
输入您的邮箱地址：
开启微信，扫一扫120被浏览18723分享邀请回答），保证不会出错^_^2315 条评论分享收藏感谢收起1添加评论分享收藏感谢收起如果把商户网站使用第三方支付平台(比如支付宝)的原理搞清楚，那编程就变得简单多了。 整个过程大致这样： & 1、商户与支付宝签约。2、在商户网站购买商品，填写数量，确定购买后跳转到结账页面。结账页面可能包括订单号、定单状态(已支付/未支付)、收货人信息、配送方式、定单金额、配送费用、总金额、支付方式、结账按钮，等等。3、当点击"结账"按钮，会重定向到支付宝付款页面。而在后台，实际上是把数据提交到支付宝一个接收支付信息的网关，比如是:6060/AliPay/PayGate.ashx，然后再重定向到支付宝付款页面。4、付款成功后，重定向到商户用来显示支付成功的一个页面，该页面可以显示定单编号、总金额等信息。 其中有几个关键之处： & 1、明确支付宝支付网关所需要的url格式 & 比如类似":6060/AliPay/PayGate.ashx?partner=18&return_url=http%....%"这样的格式，那么，编程的时候应该严格按照这种格式来拼接字符串。 & 2、明确在支付宝支付成功后重定向到商户支付成功页的url中，支付宝给我们反馈的url参数 & 支付宝反馈的格式类似"http://localhost:1746/Shop/PayCallBack.aspx?out_trade_no=222&returncode=ok&total_fee=400&sign=ddddddd+md5值"这样，我们可以使用Request[key]，取出对应的部分，比如定单编号，定单金额，等等。 & 3、在向支付宝网关提交数据的时候，支付宝要求其中一个参数sign必须是MD5值 & 这个MD5值是把商户编号、支付成功显示页面、商户密匙等信息按照固定的顺序进行MD5加密获得。商户密匙一般都可以在支付宝后台设置。 & 4、在支付宝支付成功后重定向到商户支付成功页的url中，有一个sign参数也包含了MD5值 & 这个MD5值是把定单编号、返回地址、总金额、商户密匙等信息按照固定的顺序进行MD5加密获得，编码的时候，我们需要重新根据定单编号、返回地址、总金额、商户密匙等信息按照固定的顺序进行MD5加密获得一个值，两个值比较，如果相等，就说明没有篡改，支付成功。 & 5、明确支付宝支付网关地址 & 这个地址用来接收来自商户的信息，类似这样：:6060/AliPay/PayGate.ashx?partner=18&return_url=http%....% 支付宝接口提供的信息大致如下： & 支付网关地址： & :6060/AliPay/PayGate.ashx & 支付网关参数： & Partner:商户编号return_url:支付成功地址subject:商品名称body:商品描述out_trade_no:订单号，由商户网站生成total_fee:总金额seller_email:卖家邮箱sign:数字签名，总金额、商户编号、订单号、商品名称、商户密匙顺序连接获得的MD5值 & 回调商户地址： & out_trade_no:订单号returncode:返回码，ok或errortotal_fee:支付金额sign:数字签名，订单号、返回码、支付金额、商户密匙顺序连接获得的MD5值 & 搞清了原理，编码变得简单。 & 当点击支付： &string md5Str = SomeCommonHelper.GetMD5("总金额","商户编号","订单号","商品名称","商户密匙");
string url = ":6060/AliPay/PayGate.ashx?partner=商户编号&return_url=" + Server.UrlEncode("http://...商户支付成功显示页面") + "&subject=" + Server.UrlEncode(商品名称) + "&body=" + 商品描述 + "&out_rade_no=" + 商品编号 + "&total_fee=" + 总金额 + "&seller_email=" + 商户邮箱 + "&sign=" + md5S
Response.Redirect(url);
支付成功显示页面：
&string out_trade_no = Request["out_trade_no"];
string returncode = Request["returncode"];
string total_fee = Request["total_fee"];
string sign = Request["sign"];
//自己算MD5值
string myMD5 = SomeCommonHelper.GetMD5(out_trade_no + returncode + total_fee + "商户密匙");
if(sign != myMD5){
Response.Write("支付失败");
Response.Write("支付成功");
阅读(...) 评论()
我的公众号：新语新世界，欢迎关注。相关文章推荐
互联网第三方支付，基本由量大版块构成，第一类入在线转账，比如支付宝、微信支付这一类的，第二类如POS机这种的，如拉卡拉、块钱、汇付天下这种。
第三方支付出现，极大的冲击了商业银行的支付中介地位。举个例...
支付宝的三种支付模式本博客主要讲解以下两点：
支付宝的三种支付流程
RSA加密算法的原理
支付宝的三种支付流程1.所有的支付逻辑处理，全在服务器完成，现在被淘汰了
原理就是电商App吧所有的信息提交...
如何集成支付宝
现在不少app内都集成了支付宝功能
使用支付宝进行一个完整的支付功能，大致有以下步骤：
向支付宝申请, 与支付宝签约，获得商户ID（partner）和账号ID（sel...
微信与支付宝的扫码登录是有一些区别的，微信目前是一个持续27s的长连接请求；而支付宝是持续循环的短连接请求。其实原理是一样的。
首先，前端调用二维码接口，获取图片二维码以及用户唯一表示uid...
支付宝异步通知原理
阿里资深工程师分析手机支付宝热补丁技术—AndFix原理。
最近去超市看到好多商户一个二维码同时支持支付宝、微信、QQ扫描付款，所以回来自己上网研究了一下。整理了一个现成的源码，有需要的朋友可以下载自己研究下。
主要参考了芝麻二维码。无论是支付...
一直觉得工行密码器很神奇
浏览器安全控件是如果支付宝一样结合web程序密码数据安全处理的程序，采用C++语言开发通常的安全控件分为两种，一种是指支持IE内核的浏览器，一种支持所有内核的浏览器，支付宝采用的是支持所有内核的浏览器...
声波传输技术简介
声波传输是利用声音实现文件的快速传输的一套技术解决方案：采用跨平台的技术，实现任何能够发送声波与接收声波的智能设备之间的数据传输。该技术方案需要在联网环境下使用。目前已...
他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)