Apple Pay 付款授權
在具有「安全隔離區」的裝置上,只有在收到來自「安全隔離區」的授權後,系統才會進行付款。在 iPhone 或 iPad 上,此作業則包含確認使用者已透過 Face ID、Touch ID 或裝置密碼進行認證。Face ID 或 Touch ID(若可用)為預設方法;但使用者隨時都可以使用密碼。在三次嘗試比對指紋失敗後,或是兩次嘗試比對面孔失敗後,會自動建議改用密碼;而嘗試失敗五次後,就必須輸入密碼。當使用者未設定 Face ID 或 Touch ID,或是沒有針對 Apple Pay 啟用 Touch ID 或 Face ID 時,也需要輸入密碼。若要在 Apple Watch 上進行付款,必須使用密碼解鎖裝置,且必須按兩下側邊按鈕。
使用共享的密鑰組
「安全隔離區」和 Secure Element 之間的通訊會在序列介面上進行,Secure Element 會連接到 NFC 控制器,接著再連接到「應用程式處理器」。即使未直接連接,「安全隔離區」和 Secure Element 也可以使用共享的密鑰組來安全進行通訊,此密鑰組是在製造過程中所佈建。通訊的加密和認證是基於 AES,兩端的通訊方皆會使用加密編譯隨機數來防止重播攻擊。密鑰組是從「安全隔離區」內的 UID 密鑰和 Secure Element 的唯一識別碼產生。密鑰組接著會安全地從「安全隔離區」傳送至工廠內的硬體安全模組(HSM),其中包含所需的密鑰材料,再將密鑰組植入 Secure Element。
授權安全交易
當使用者授權交易時(其中包括直接傳達給 Secure Enclave 的實際手勢),「安全隔離區」會將認證類型的簽署資料和交易類型的詳細資料(非接觸式或 App 內付款)傳送至 Secure Element,繫結至「授權隨機」(AR)值。當使用者首次佈建信用卡並於 Apple Pay 啟用時保存,便會在「安全隔離區」內產生 AR 值,此值受到「安全隔離區」的加密和反復原機制保護。它會藉由運用密鑰組安全地傳送到 Secure Element。在接收到新的 AR 值時,Secure Element 會將任何先前加入過的卡片標記為已刪除。
使用付款密碼來達成動態安全性
來自付款 Applet 的付款交易包含付款密碼及「裝置帳號號碼」。這組密碼為一次性代碼,是系統使用交易計數器和密鑰運算而出。交易計數器會隨著每筆新交易而遞增。密鑰是在進行個人化期間於付款 Applet 中佈建,且付款網路或發卡機構或此二者皆知道。視付款方案而定,也可能會使用其他資料來進行計算,包含:
Terminal Unpredictable Number(適用於近場通訊(NFC)交易)
Apple Pay 伺服器隨機數(適用於 App 內交易)
這些安全碼會提供給付款網路和發卡機構,供他們驗證每筆交易。這些安全碼的長度會視交易的類型而有所不同。