［李慶艷 張文安］

Tokenization技術(shù)剖析和展望

［李慶艷 張文安］

從大熱的Apple Pay、SAMSUNG Pay及銀聯(lián)云閃付背后的令牌談起，自令牌的來(lái)源說(shuō)起，分析令牌化搶占移動(dòng)支付的緣由，分析令牌化的主要特征，并對(duì)其未來(lái)進(jìn)行展望。

令牌 令牌化 Token Tokenization PAN

李慶艷

中國(guó)電信股份有限公司廣州研究院終端研發(fā)中心。

張文安

中國(guó)電信股份有限公司廣州研究院，中國(guó)電信股份有限公司廣東研究院終端研發(fā)中心。

1　前言

近日，隨著互聯(lián)網(wǎng)及移動(dòng)支付的迅速發(fā)展，國(guó)內(nèi)中國(guó)銀聯(lián)率領(lǐng)各大銀行聯(lián)合推出銀聯(lián)云閃付，國(guó)際在蘋(píng)果三星競(jìng)逐移動(dòng)支付火熱之時(shí)，谷歌對(duì)外宣告谷歌的手機(jī)支付工具從谷歌錢(qián)包全面轉(zhuǎn)型為安卓支付。安卓支付、蘋(píng)果支付、PayPal、三星支付，加上華為、小米、LG推出的各種pay，讓進(jìn)展緩慢的NFC有了新突破可能，在銀聯(lián)及Apple的強(qiáng)勢(shì)號(hào)召下，使NFC有了一躍成為與支付寶、微信支付及百度錢(qián)包相抗衡的移動(dòng)支付第三極。

但大家都忽略了一點(diǎn)，各種Pay之所以迅速普及并勝利，與其說(shuō)是NFC和蘋(píng)果等廠商的勝利，不如說(shuō)是各種Pay后面的核心——令牌化（Tokenization）的力量。

本文將從令牌的來(lái)源講起，分析令牌化之所以能夠在電子支付乃致移動(dòng)支付中占有不可或缺之地的源由，對(duì)令牌化的主要特征進(jìn)行分析，并對(duì)令牌化的未來(lái)進(jìn)行展望。

2　令牌的歷史

2.1令牌并非新鮮事

目前支付網(wǎng)絡(luò)（Visa，萬(wàn)事達(dá)，Amex等）已建立起十分繁忙的令牌化連接了。令牌其實(shí)并非新鮮事物 ，傳統(tǒng)令牌多工作于網(wǎng)關(guān)端或交易平臺(tái)端。但將令牌用于網(wǎng)絡(luò)級(jí)確是一個(gè)新的嘗試，這要?dú)w功于EMVCo提出的支付令牌技術(shù)框架。

圖1和圖2分別展示了用于網(wǎng)關(guān)級(jí)的傳統(tǒng)令牌和用于網(wǎng)絡(luò)級(jí)的支付令牌在工作流程上的差異。

網(wǎng)關(guān)級(jí)的傳統(tǒng)令牌工作模式是根據(jù)用戶(hù)編碼信息返回一個(gè)令牌用于身份認(rèn)證。這些密鑰信息通常來(lái)源于電商支付網(wǎng)關(guān)，同時(shí)也用于進(jìn)行用戶(hù)（主要是信用卡用戶(hù)）信息歸檔。這種令牌的特征是只作用于單一商戶(hù)，好處是當(dāng)就一個(gè)信用卡記錄進(jìn)行歸檔時(shí)無(wú)須進(jìn)行大負(fù)荷的用戶(hù)信息安全檢閱。

而網(wǎng)絡(luò)級(jí)令牌與網(wǎng)關(guān)級(jí)令牌完全不同，它相當(dāng)于用戶(hù)編碼別名，在進(jìn)行網(wǎng)絡(luò)認(rèn)證的時(shí)候進(jìn)行互換。

2.2令牌結(jié)緣電子支付

令牌化之所以與電子支付結(jié)緣，進(jìn)而演進(jìn)成電子支付的安全解決方案，主要有三方面的因素：

非接觸式支付方式的出現(xiàn)，使長(zhǎng)久以來(lái)將卡片插入卡片終端設(shè)備進(jìn)行物理支付的方式更多被直接使用卡片或手機(jī)支付的方式所取代。

互聯(lián)網(wǎng)和電子商務(wù)的普及，對(duì)虛擬支付（無(wú)卡）系統(tǒng)的呼聲越來(lái)越高。然而只需要主賬號(hào)（PAN）和有效期即可交易使得系統(tǒng)有嚴(yán)重的安全風(fēng)險(xiǎn)。

虛擬交易數(shù)量劇增，諸如NFC、藍(lán)牙、二維碼和HCE的新技術(shù)也要應(yīng)對(duì)大量尤其是安全方面的挑戰(zhàn)。

令牌化無(wú)疑是支付尤其是電子支付系統(tǒng)發(fā)展中不可或缺的一部分。它采用替代數(shù)據(jù)代替敏感數(shù)據(jù)，使電子交易更加安全。最具代表性的無(wú)疑是Apple Pay。蘋(píng)果公司率先在其支付產(chǎn)品中使用令牌來(lái)代替銀行卡號(hào)（或者說(shuō)主賬號(hào)PAN），這無(wú)疑可以保證在安全系統(tǒng)被入侵且付款細(xì)節(jié)被泄漏的最?lèi)毫忧闆r下使受到的損害最小。

圖1　網(wǎng)關(guān)端令牌

圖2　網(wǎng)絡(luò)級(jí)支付令牌

3　令牌化的特征剖析

令牌化的最大特點(diǎn)在于不以任何方式與它們所取代的數(shù)據(jù)相關(guān)，黑客無(wú)法讀取任何被取代的數(shù)據(jù)。這一特點(diǎn)使得在發(fā)生數(shù)據(jù)盜竊或盜用的情況下，減少使用敏感數(shù)據(jù)的風(fēng)險(xiǎn)。不難看出，令牌化其本質(zhì)是一種針對(duì)交易的安全 解決方案，這在無(wú)卡交易風(fēng)行的年代是非常重要的保障。下面就來(lái)看下令牌化是如何在跨渠道交易中增加交易的安全性的。

首先，令牌可以自動(dòng)防黑客。

令牌由隨機(jī)數(shù)字和字符組成，不以任何方式與它們所取代的數(shù)據(jù)相關(guān)，但又代替了敏感數(shù)據(jù)，這無(wú)疑是令牌的最大特點(diǎn)。這一特點(diǎn)使得黑客即使盜取了它也無(wú)法獲取任何被替代的敏感數(shù)據(jù)。

其次，令牌化在跨渠道的無(wú)卡交易中重要性暫無(wú)法替代。

目前無(wú)卡交易中的欺詐行為正日益增多。以跨渠道交易為例，當(dāng)用戶(hù)在商店內(nèi)交易或在線交易，完全可以通過(guò)出故障的支付終端以欺詐方式獲得的卡片數(shù)據(jù)，進(jìn)而用于在互聯(lián)網(wǎng)上進(jìn)行無(wú)卡交易。

盡管確保交易安全的措施不勝枚舉，但是防止欺詐的最佳方式是擁有私密的PAN。

這就是令牌發(fā)揮關(guān)鍵作用的領(lǐng)域，令牌化可以在安全性方面提供最佳特性。當(dāng)然還必須實(shí)施其他的安全措施，例如讀取器或終端，因?yàn)閮H憑令牌化無(wú)法完全保證安全性。

第三，令牌化已成為各種Pay的基石。

2014年9月發(fā)布的蘋(píng)果支付（Apple Pay）已對(duì)移動(dòng)支付生態(tài)系統(tǒng)產(chǎn)生了強(qiáng)烈影響，其方案具有3大主要特征：

NFC作為移動(dòng)終端（手機(jī)）與支付終端（POS機(jī)具）的通信協(xié)議；

使用安全元件（Secure Element）作為安全平臺(tái)；

使用令牌保護(hù)卡號(hào)。

令牌化赫然列于其中，使得大家在很長(zhǎng)一段時(shí)間內(nèi)一提到令牌或令牌化，就將其與apple pay畫(huà)上等號(hào)。但從圖3這張Token服務(wù)的示意圖不難看出，其實(shí)Token服務(wù)是一種將代碼與卡號(hào)互轉(zhuǎn)的能力，因此它不僅可以用于Apple Pay，還可以用于SAMSUNG Pay、Android Pay等各種領(lǐng)域。

圖3　Visa Token服務(wù)示意圖

4　令牌化的未來(lái)

移動(dòng)支付互聯(lián)網(wǎng)支付領(lǐng)域，一直是運(yùn)營(yíng)商、金融機(jī)構(gòu)及各BAT公司爭(zhēng)奪的焦點(diǎn)，同時(shí)也是安全的重災(zāi)區(qū)。令牌的出現(xiàn)，無(wú)疑給這些公司帶來(lái)了新的挖掘點(diǎn)。

目前以蘋(píng)果、三星、LG為代表的設(shè)備銷(xiāo)售商都紛紛利用令牌技術(shù)推出了 Apple Pay、 SAMSUNG Pay、LG Pay，操作系統(tǒng)大戶(hù)Google也推出了Android Pay，國(guó)內(nèi)銀聯(lián)及各大商業(yè)銀行也同樣推出了基于令牌技術(shù)的各種“云閃付”品牌；作為國(guó)際信用卡組織，無(wú)論是Visa、MasterCard 、American Express 、銀聯(lián)這些信用卡組織，還是國(guó)際芯片卡組織商（EMVCo）都極力在推進(jìn)也樂(lè)于見(jiàn)到令牌技術(shù)的普及；由于令牌技術(shù)的出現(xiàn)極大地規(guī)避了風(fēng)險(xiǎn)，并能推進(jìn)運(yùn)營(yíng)商倡導(dǎo)的基于SE的NFC支付，國(guó)際運(yùn)營(yíng)商組織GSMA也樂(lè)于共同推進(jìn)其發(fā)展。

在移動(dòng)支付占比越來(lái)越高的未來(lái)，令牌化還是面臨著兩大挑戰(zhàn)：

首先，技術(shù)上還需要磨礪

令牌化聽(tīng)著很簡(jiǎn)單，但生成令牌→以適當(dāng)?shù)姆绞焦芾砹钆啤赃m當(dāng)?shù)姆绞奖Ｗo(hù)令牌服務(wù)器，這一系列過(guò)程都不簡(jiǎn)單。當(dāng)然最重要的是還需要一個(gè)配備有密鑰管理的合適的加密系統(tǒng)。令牌服務(wù)器如果不能得到保護(hù)，會(huì)將整個(gè)令牌系統(tǒng)安全置于危險(xiǎn)之中。

其次，要全球開(kāi)花還有很長(zhǎng)的路

由于移動(dòng)支付令牌涉及的本質(zhì)上是金融領(lǐng)域，各國(guó)對(duì)于金融領(lǐng)域乃至信用卡這種領(lǐng)域的落地推廣有著諸多要求，比如歐洲就要求平臺(tái)服務(wù)器一定要放置在波蘭，進(jìn)入中國(guó)則一定要獲得當(dāng)?shù)乜ńM織（銀聯(lián)）乃至政府（央行）的允許等等，這一切都使得令牌化真正做到全面開(kāi)花需要一定的時(shí)間。

盡管如此，但由于上文所剖析的令牌的優(yōu)點(diǎn)，以及移動(dòng)支付產(chǎn)業(yè)鏈上金融機(jī)構(gòu)、運(yùn)營(yíng)商、商戶(hù)及用戶(hù)的青睞，未來(lái)的移動(dòng)支付市場(chǎng)上令牌化將占有不可或缺的一隅之地。

1 NFC日?qǐng)?bào)： Visa臺(tái)灣區(qū)總經(jīng)理麻少華詳解Token服務(wù)及流程

2 中華網(wǎng) http：//tech.china.com/news/aci/11157258/20150619/19875470_ all.html

3 NFC技術(shù)網(wǎng) http：//www.nfc.cc

10.3969/j.issn.1006-6403.2016.06.005

（2016-05-10）