Apple Pay 付款授權
在具有「安全隔離區」的裝置上,只有在收到來自「安全隔離區」的授權後,系統才會進行付款。在 iPhone、iPad 或配備 Touch ID(或與配備 Touch ID 的巧控鍵盤配對)的 Mac 上,需確認使用者已透過生物辨識認證機制或裝置密碼進行認證。生物辨識認證(如果可用)是預設方式,但是隨時都能使用密碼,且在嘗試比對指紋三次或比對面孔兩次(適用於 iPhone 和 iPad)失敗後,系統會自動建議改用密碼;嘗試失敗五次後,就必須使用密碼。未設定生物辨識認證或沒有為 Apple Pay 開啟此功能時,也須輸入密碼。若要在 Apple Watch 上進行付款,必須使用密碼解鎖裝置,且必須按兩下側邊按鈕。
使用共享密鑰組
「安全隔離區」和 Secure Element 之間的通訊會在序列介面上進行,過程使用以 AES 為基礎的加密和認證機制,並運用加密編譯反重放值來抵禦重放攻擊。雖然兩端沒有直接相連,但它們使用製造期間佈建的共享密鑰組以安全的方式通訊。在此過程中,「安全隔離區」會從其 UID 密鑰和 Secure Element 的獨有識別碼產生密鑰組。接著會在出廠時安全地將密鑰組傳輸至硬體安全模組(HSM)。然後 HSM 會將密鑰組插入 Secure Element 中。
授權安全交易
當使用者授權交易時(其中包括直接傳達給 Secure Enclave 的實際手勢),「安全隔離區」會將認證類型的簽署資料和交易類型的詳細資料(非接觸式或 App 內付款)傳送至 Secure Element,繫結至「授權隨機」(AR)值。當使用者首次佈建信用卡並於 Apple Pay 啟用時保存,便會在「安全隔離區」內產生 AR 值,此值受到「安全隔離區」的加密和反復原機制保護。它會藉由運用密鑰組安全地傳送到 Secure Element。在接收到新的 AR 值時,Secure Element 會將任何先前加入過的卡片標記為已終止。
使用付款密碼來達成動態安全性
來自付款 Applet 的付款交易包含付款密碼及「裝置帳號號碼」。這組密碼為一次性代碼,是系統使用交易計數器和密鑰運算而出。交易計數器會隨著每筆新交易而遞增。密鑰是在進行個人化期間於付款 Applet 中佈建,且付款網路或發卡機構或此二者皆知道。視付款方案而定,也可能會使用其他資料來進行計算,包含:
Terminal Unpredictable Number(適用於近場通訊(NFC)交易)
Apple Pay 伺服器反重放值(適用於 App 內交易)
使用者驗證結果,例如持卡人驗證方式(CVM)資訊
這些安全碼會提供給付款網路和發卡機構,供他們驗證每筆交易。這些安全碼的長度會視交易的類型而有所不同。