Tokenization技術剖析和展望

［李慶艷 張文安］

Tokenization技術剖析和展望

［李慶艷 張文安］

從大熱的Apple Pay、SAMSUNG Pay及銀聯(lián)云閃付背后的令牌談起，自令牌的來源說起，分析令牌化搶占移動支付的緣由，分析令牌化的主要特征，并對其未來進行展望。

令牌 令牌化 Token Tokenization PAN

李慶艷

中國電信股份有限公司廣州研究院終端研發(fā)中心。

張文安

中國電信股份有限公司廣州研究院，中國電信股份有限公司廣東研究院終端研發(fā)中心。

1　前言

近日，隨著互聯(lián)網(wǎng)及移動支付的迅速發(fā)展，國內(nèi)中國銀聯(lián)率領各大銀行聯(lián)合推出銀聯(lián)云閃付，國際在蘋果三星競逐移動支付火熱之時，谷歌對外宣告谷歌的手機支付工具從谷歌錢包全面轉型為安卓支付。安卓支付、蘋果支付、PayPal、三星支付，加上華為、小米、LG推出的各種pay，讓進展緩慢的NFC有了新突破可能，在銀聯(lián)及Apple的強勢號召下，使NFC有了一躍成為與支付寶、微信支付及百度錢包相抗衡的移動支付第三極。

但大家都忽略了一點，各種Pay之所以迅速普及并勝利，與其說是NFC和蘋果等廠商的勝利，不如說是各種Pay后面的核心——令牌化（Tokenization）的力量。

本文將從令牌的來源講起，分析令牌化之所以能夠在電子支付乃致移動支付中占有不可或缺之地的源由，對令牌化的主要特征進行分析，并對令牌化的未來進行展望。

2　令牌的歷史

2.1令牌并非新鮮事

目前支付網(wǎng)絡（Visa，萬事達，Amex等）已建立起十分繁忙的令牌化連接了。令牌其實并非新鮮事物 ，傳統(tǒng)令牌多工作于網(wǎng)關端或交易平臺端。但將令牌用于網(wǎng)絡級確是一個新的嘗試，這要歸功于EMVCo提出的支付令牌技術框架。

圖1和圖2分別展示了用于網(wǎng)關級的傳統(tǒng)令牌和用于網(wǎng)絡級的支付令牌在工作流程上的差異。

網(wǎng)關級的傳統(tǒng)令牌工作模式是根據(jù)用戶編碼信息返回一個令牌用于身份認證。這些密鑰信息通常來源于電商支付網(wǎng)關，同時也用于進行用戶（主要是信用卡用戶）信息歸檔。這種令牌的特征是只作用于單一商戶，好處是當就一個信用卡記錄進行歸檔時無須進行大負荷的用戶信息安全檢閱。

而網(wǎng)絡級令牌與網(wǎng)關級令牌完全不同，它相當于用戶編碼別名，在進行網(wǎng)絡認證的時候進行互換。

2.2令牌結緣電子支付

令牌化之所以與電子支付結緣，進而演進成電子支付的安全解決方案，主要有三方面的因素：

非接觸式支付方式的出現(xiàn)，使長久以來將卡片插入卡片終端設備進行物理支付的方式更多被直接使用卡片或手機支付的方式所取代。

互聯(lián)網(wǎng)和電子商務的普及，對虛擬支付（無卡）系統(tǒng)的呼聲越來越高。然而只需要主賬號（PAN）和有效期即可交易使得系統(tǒng)有嚴重的安全風險。

虛擬交易數(shù)量劇增，諸如NFC、藍牙、二維碼和HCE的新技術也要應對大量尤其是安全方面的挑戰(zhàn)。

令牌化無疑是支付尤其是電子支付系統(tǒng)發(fā)展中不可或缺的一部分。它采用替代數(shù)據(jù)代替敏感數(shù)據(jù)，使電子交易更加安全。最具代表性的無疑是Apple Pay。蘋果公司率先在其支付產(chǎn)品中使用令牌來代替銀行卡號（或者說主賬號PAN），這無疑可以保證在安全系統(tǒng)被入侵且付款細節(jié)被泄漏的最惡劣情況下使受到的損害最小。

圖1　網(wǎng)關端令牌

圖2　網(wǎng)絡級支付令牌

3　令牌化的特征剖析

令牌化的最大特點在于不以任何方式與它們所取代的數(shù)據(jù)相關，黑客無法讀取任何被取代的數(shù)據(jù)。這一特點使得在發(fā)生數(shù)據(jù)盜竊或盜用的情況下，減少使用敏感數(shù)據(jù)的風險。不難看出，令牌化其本質(zhì)是一種針對交易的安全 解決方案，這在無卡交易風行的年代是非常重要的保障。下面就來看下令牌化是如何在跨渠道交易中增加交易的安全性的。

首先，令牌可以自動防黑客。

令牌由隨機數(shù)字和字符組成，不以任何方式與它們所取代的數(shù)據(jù)相關，但又代替了敏感數(shù)據(jù)，這無疑是令牌的最大特點。這一特點使得黑客即使盜取了它也無法獲取任何被替代的敏感數(shù)據(jù)。

其次，令牌化在跨渠道的無卡交易中重要性暫無法替代。

目前無卡交易中的欺詐行為正日益增多。以跨渠道交易為例，當用戶在商店內(nèi)交易或在線交易，完全可以通過出故障的支付終端以欺詐方式獲得的卡片數(shù)據(jù)，進而用于在互聯(lián)網(wǎng)上進行無卡交易。

盡管確保交易安全的措施不勝枚舉，但是防止欺詐的最佳方式是擁有私密的PAN。

這就是令牌發(fā)揮關鍵作用的領域，令牌化可以在安全性方面提供最佳特性。當然還必須實施其他的安全措施，例如讀取器或終端，因為僅憑令牌化無法完全保證安全性。

第三，令牌化已成為各種Pay的基石。

2014年9月發(fā)布的蘋果支付（Apple Pay）已對移動支付生態(tài)系統(tǒng)產(chǎn)生了強烈影響，其方案具有3大主要特征：

NFC作為移動終端（手機）與支付終端（POS機具）的通信協(xié)議；

使用安全元件（Secure Element）作為安全平臺；

使用令牌保護卡號。

令牌化赫然列于其中，使得大家在很長一段時間內(nèi)一提到令牌或令牌化，就將其與apple pay畫上等號。但從圖3這張Token服務的示意圖不難看出，其實Token服務是一種將代碼與卡號互轉的能力，因此它不僅可以用于Apple Pay，還可以用于SAMSUNG Pay、Android Pay等各種領域。

圖3　Visa Token服務示意圖

4　令牌化的未來

移動支付互聯(lián)網(wǎng)支付領域，一直是運營商、金融機構及各BAT公司爭奪的焦點，同時也是安全的重災區(qū)。令牌的出現(xiàn)，無疑給這些公司帶來了新的挖掘點。

目前以蘋果、三星、LG為代表的設備銷售商都紛紛利用令牌技術推出了 Apple Pay、 SAMSUNG Pay、LG Pay，操作系統(tǒng)大戶Google也推出了Android Pay，國內(nèi)銀聯(lián)及各大商業(yè)銀行也同樣推出了基于令牌技術的各種“云閃付”品牌；作為國際信用卡組織，無論是Visa、MasterCard 、American Express 、銀聯(lián)這些信用卡組織，還是國際芯片卡組織商（EMVCo）都極力在推進也樂于見到令牌技術的普及；由于令牌技術的出現(xiàn)極大地規(guī)避了風險，并能推進運營商倡導的基于SE的NFC支付，國際運營商組織GSMA也樂于共同推進其發(fā)展。

在移動支付占比越來越高的未來，令牌化還是面臨著兩大挑戰(zhàn)：

首先，技術上還需要磨礪

令牌化聽著很簡單，但生成令牌→以適當?shù)姆绞焦芾砹钆啤赃m當?shù)姆绞奖Ｗo令牌服務器，這一系列過程都不簡單。當然最重要的是還需要一個配備有密鑰管理的合適的加密系統(tǒng)。令牌服務器如果不能得到保護，會將整個令牌系統(tǒng)安全置于危險之中。

其次，要全球開花還有很長的路

由于移動支付令牌涉及的本質(zhì)上是金融領域，各國對于金融領域乃至信用卡這種領域的落地推廣有著諸多要求，比如歐洲就要求平臺服務器一定要放置在波蘭，進入中國則一定要獲得當?shù)乜ńM織（銀聯(lián)）乃至政府（央行）的允許等等，這一切都使得令牌化真正做到全面開花需要一定的時間。

盡管如此，但由于上文所剖析的令牌的優(yōu)點，以及移動支付產(chǎn)業(yè)鏈上金融機構、運營商、商戶及用戶的青睞，未來的移動支付市場上令牌化將占有不可或缺的一隅之地。

1 NFC日報： Visa臺灣區(qū)總經(jīng)理麻少華詳解Token服務及流程

2 中華網(wǎng) http：//tech.china.com/news/aci/11157258/20150619/19875470_ all.html

3 NFC技術網(wǎng) http：//www.nfc.cc

10.3969/j.issn.1006-6403.2016.06.005

（2016-05-10）