Apple Pay와 결제 승인
Secure Element가 있는 기기에서는 Secure Enclave에서 인증된 경우에만 결제를 허용합니다. 여기에는 사용자가 결제 의도를 확인했고 다음 방법 중 하나로 사용자 본인을 인증했는지 확인하는 것이 포함됩니다.
생체 인증
기기 암호
잠금 해제된 Apple Watch의 측면 버튼 두 번 클릭
가능한 경우 생체 인증이 기본 방식이지만 언제든지 암호를 사용할 수 있으며, 지문 인식 시도가 세 번 실패하거나 얼굴 인식 시도가 두 번 실패하면 자동으로 요청됩니다. 다섯 번 실패한 경우에는 암호를 요구합니다.
또한, 생체 인증을 구성하지 않았거나 Apple Pay에 대해 켜지 않은 경우에도 암호를 요구합니다.
공유 페어링 키 사용
Secure Enclave와 Secure Element는 직렬 인터페이스를 통해 통신합니다. Secure Element는 NFC 컨트롤러에 연결되고 NFC 컨트롤러는 응용 프로그램 프로세서에 연결됩니다. Secure Element와 Secure Enclave는 직접 연결되지 않지만 런타임 시 생성된 비밀을 사용하여 안전하게 통신할 수 있습니다. 제조 과정에서는 모두 서로의 장기 공개 키로 설정됩니다. Secure Enclave의 공개 키는 UID 키와 Secure Element의 식별자에서 제공합니다. 해당 개인 키는 소프트웨어로부터 가려진 하드웨어에 저장됩니다. 런타임 시 장기 공개 키는 ECDH(Elliptic Curve Diffie-Hellman) 키 동의 프로토콜을 사용하여 공유 비밀을 생성합니다. 이 공유 비밀을 통해 안전한 통신을 보장할 수 있습니다.
보안 거래 허용
사용자가 Secure Enclave에 직접 통신하는 물리적 제스처를 포함하여 거래를 승인하는 경우 Secure Enclave는 인증 유형에 대해 서명된 데이터와 거래 유형에 대한 세부 사항(비접촉식 또는 앱 내 결제)을 권한 무작위(AR: Authorization Random) 값과 연관된 Secure Element로 전송합니다. 사용자가 처음으로 신용 카드 권한을 설정할 때 Secure Enclave에서 AR 값을 생성하며, 그 값은 Apple Pay가 활성화되어 있는 동안 유지됩니다. 이는 Secure Enclave의 암호화 및 안티 롤백 메커니즘으로 보호됩니다. 또한, 페어링 키를 활용하여 Secure Element로 안전하게 전송됩니다. 새로운 AR 값을 받게 되는 경우, Secure Element는 이전에 추가한 카드를 제거됨으로 표시합니다.
동적 보안용 결제 암호문 사용
결제 애플릿에서 생성된 결제 거래는 결제 암호문과 기기 계정 번호를 포함합니다. 일회용 코드인 이 암호문은 거래 카운터와 키를 사용해 계산됩니다. 거래 카운터는 새로운 거래마다 증가하는 값입니다. 키는 개인 맞춤화 중에 결제 애플릿에서 권한이 설정되어 결제 네트워크, 카드 발급처 또는 둘 다에서 알고 있는 값입니다. 결제 방법에 따라 다음을 포함하여 다른 데이터도 계산하는 데 사용될 수 있습니다.
NFC 거래용 터미널 예측 불가 번호
앱 내 거래용 Apple Pay 서버 재전송 방지 값
카드 소지자 확인 방법(CVM) 정보 등 사용자 인증 결과
이러한 보안 코드는 결제 네트워크 및 카드 발급처에 제공되어 거래를 확인하는 데 도움을 줍니다. 보안 코드의 길이는 거래 유형에 따라 다를 수 있습니다.