基于Tokenization技術(shù)的移動支付安全架構(gòu)模型研究

歐志亮

(福州黎明職業(yè)技術(shù)學(xué)院，福建 福州 350001)

隨著云計算、大數(shù)據(jù)、人工智能、5G等新一代信息技術(shù)的飛速發(fā)展，移動支付已經(jīng)全面滲透人們的日常生活，根據(jù)Worldpay發(fā)布的《2021全球支付報告》數(shù)據(jù)顯示[1]，移動支付已成為我國消費者當(dāng)前主要的支付方式，所占比例高達(dá)50%.消費者在感受移動支付所帶來的快捷支付與便利的同時，也要面臨一系列諸如賬戶非法使用、交易信息泄露、欺詐交易等安全性問題，其主要原因是傳統(tǒng)的移動支付需要支付賬號在移動設(shè)備中或商戶POS機中流通，無形中加大了敏感信息暴露的風(fēng)險.個人信息能否得到有效保護(hù)關(guān)系到用戶的切身利益，面對嚴(yán)峻的支付安全形勢，基于Payment Tokenization(支付標(biāo)記化)技術(shù)的誕生，為用戶提供了支付信息安全保護(hù)方案，從源頭上解決信息被盜或泄露，應(yīng)用于線下、線上多種交易場景中，引領(lǐng)著支付技術(shù)的變革.

1 Payment Tokenization

1.1 什么是Payment Tokenization

它是由國際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年正式發(fā)布的一項最新技術(shù)，使用支付標(biāo)記(Token)替換銀行賬號并以此作為支付憑證處理支付的過程即Tokenization.標(biāo)記化的過程是將敏感數(shù)據(jù)替換為非敏感數(shù)據(jù)，使用的Token號是一個特殊的數(shù)據(jù)串，與銀行賬號類似，展現(xiàn)形式?jīng)]有變化，仍是13-19位.Token號前6位為卡銀行組織分配的BIN，它具備銀行卡品牌的同時，其內(nèi)在屬性并未發(fā)生改變，交易過程遵循相同的校驗規(guī)則，同樣區(qū)別借貸記，同樣擁有有效期[2].Tokenization技術(shù)僅替代原有敏感賬號而已，可在不損害其安全性的情況下保留有關(guān)數(shù)據(jù)的所有相關(guān)信息，本質(zhì)并未真的改變銀行卡生態(tài)系統(tǒng)，卻能繼承銀行卡體系的全部基因.

1.2 Tokenization技術(shù)相關(guān)安全性

1.2.1 多元化支付場景的應(yīng)用

Tokenization技術(shù)可應(yīng)用于線下支付與線上支付的多種場景，比較典型的如：二維碼支付、在線商戶、NFC支付、數(shù)字錢包等.除以上限定的場景外，Tokenization技術(shù)已經(jīng)展現(xiàn)了其強大的生命力，因為可以繼承銀行卡體系的全部基因，只要是有用到銀行卡的支付場合，都可以使用Token技術(shù)來實現(xiàn).

1.2.2 防止信息被盜或泄露

常見支付場景如果使用傳統(tǒng)的支付方式，存在如下弊端，如表1所示.

表1 多元化支付場景弊端

使用Tokenization技術(shù)后，交易中無需使用銀行賬號信息，依靠的是Token，即使被盜也只是Token.收單機構(gòu)與商戶存儲的都是Token,用Token替換銀行賬號作為交易路由判斷，這在很大程度上保護(hù)了銀行卡號，防止銀行賬號被盜或者泄露.申請注冊一次Token可以在多個地方使用，無需重復(fù)申請，減少了注冊冗余問題.即使發(fā)生信息泄露或被盜，也只是Token信息，非銀行賬號信息，用戶可直接解除Token與銀行賬號的綁定，非法用戶拿到Token也無法使用.

1.2.3 限定特定支付設(shè)備與場合

銀行賬號被替換成Token后，把支付標(biāo)記與成對的安全認(rèn)證信息寫入移動支付設(shè)備[3]，實際支付時，只需讀取Token信息發(fā)起支付申請，不再用到銀行賬號信息.存儲在該移動設(shè)備上的Token信息，僅允許限定在該移動設(shè)備使用，非法用戶盜竊到Token信息后放在其他設(shè)備上無法使用.同樣，Token信息可以限制在特定的電子商務(wù)系統(tǒng)上使用，將Token信息存儲在指定的商戶服務(wù)器上，當(dāng)用戶登錄該商戶系統(tǒng)，即可發(fā)起支付交易行為，同樣無需用到銀行賬號信息.被盜竊的Token,無法在指定外的商務(wù)系統(tǒng)使用.Tokenization技術(shù)限定了支付設(shè)備與支付場景的使用范圍，即使遭受攻擊，泄露后的Token信息對于攻擊者而言，沒有使用的意義.

1.2.4 交易風(fēng)險控制措施

Token的使用類似銀行卡，使用者需要向Token服務(wù)提供方申請，Token服務(wù)提供方通過不同的驗證手段與可信程度對申請人進(jìn)行身份驗證，對驗證結(jié)果分層次等級：高等級安全、中等級安全、低等級安全和無身份驗證，等級劃分可用數(shù)字精確表示.在交易支付過程中，交易雙方根據(jù)驗證層次等級的數(shù)值對交易風(fēng)險提前監(jiān)控，為交易的后期決策做參考.

2 Tokenization技術(shù)相關(guān)概念

2.1 什么是TSP

TSP(Token Service Provider)即標(biāo)記服務(wù)提供方，負(fù)責(zé)Token系統(tǒng)的建設(shè)、管理及運營，它承擔(dān)Token生成、管理、去標(biāo)記化等職能，向TR提供注冊與管理.TSP對支付賬號發(fā)行方信息進(jìn)行管理維護(hù)，確保其發(fā)行信息的真實性與有效性，TR及業(yè)務(wù)需求方的數(shù)據(jù)接口也要TSP來提供，是Tokenization技術(shù)架構(gòu)的核心角色.承擔(dān)TSP的組織可以是商業(yè)銀行、非銀行支付組織、支付轉(zhuǎn)接清算機構(gòu)等.

2.2 什么是TR

TR(Token Requestor)即標(biāo)記服務(wù)請求方，向TSP發(fā)起支付標(biāo)記相關(guān)操作申請的機構(gòu).TR可以是商戶、收單機構(gòu)、非銀行支付機構(gòu)等.被標(biāo)記后的標(biāo)記服務(wù)請求方在Token系統(tǒng)里是唯一的.

2.3 什么是ID&V

ID&V即用戶身份驗證與識別，在Tokenization技術(shù)架構(gòu)體系中，Token和原始賬號PAN之間的可信度是通過擔(dān)保級別來鑒定的.而ID&V的方法和結(jié)果成了Token擔(dān)保級別鑒定的核心步驟.在Token申請伊始，TSP根據(jù)前端采集的信息、TR注冊時錄入的信息以及持卡人ID&V的結(jié)果，在擔(dān)保級別評分模型基礎(chǔ)上給予綜合判定等級，它的使用始終貫穿后期的交易過程[4].一方面支付場景的多元化需要使用不同的ID&V方法，另一方面不同的ID&V方法將確定擔(dān)保級別的等級，換句而言，高安全級別的ID&V方法可以在很大程度上防范欺詐交易的發(fā)生.

2.4 什么是標(biāo)記的域控

使用場景的限定是通過標(biāo)記的域控來表示的,用戶要限定何種交易類型、Token使用次數(shù)、支付方式、特定的商家名稱、數(shù)字錢包服務(wù)提供方等場景或者多種場景的任意組合都可以用標(biāo)記的域控來表示[5].域控的作用是為了保護(hù)Token被攻擊或泄露，攻擊者無法在其他非法支付交易場景中使用.

3 Tokenization技術(shù)生態(tài)鏈實現(xiàn)過程

3.1 Token注冊流程

圖1 TR注冊流程

TR在申請Token之前先要向TSP提出注冊申請，注冊應(yīng)當(dāng)遵循TSP所制定的管轄標(biāo)準(zhǔn)、技術(shù)規(guī)范，熟悉入網(wǎng)申請流程(見圖1).TR注冊需要提交TR自身身份信息、標(biāo)記的域控信息、請求的擔(dān)保等級信息.TSP對所收集的信息進(jìn)行驗證，根據(jù)驗證結(jié)果給出是否準(zhǔn)許注冊.注冊成功后，TSP分配給TR一個唯一的ID，ID共11位，前3位是TSP的自身身份代碼，后8位則由TSP提供.該ID包含支付標(biāo)記域控和其他交易控制信息，ID信息同步存儲在TSP所建立的系統(tǒng)中，后期的交易驗證需要用到它.

3.2 Token申請流程

用戶申請Token，實際上是將用戶自己的賬號(一般為銀行卡號或互聯(lián)網(wǎng)支付賬號)與Token進(jìn)行綁定的過程(圖2).

1)用戶在TR頁面提交卡號信息；

2)TR采集賬號信息后向TSP發(fā)起Token申請；

3)TSP收到申請后，與支付賬號發(fā)行方(PA)共同驗證賬號的身份信息和其他附加信息；

4)信息驗證成功后，TSP將生成的Token(去標(biāo)記化)發(fā)給TR；

5)TR再將Token返回給用戶.

圖2 Token申請流程

3.3 Token交易流程

Token交易處理流程與傳統(tǒng)的PA交易處理流程沒有太大差異，唯獨不同之處在于處理流程多了去標(biāo)記化操作，即TSP驗證Token交易數(shù)據(jù)和還原支付賬號操作[6]，Token的交易路由與PA交易相同，交易操作流程見圖3.

圖3 Token交易流程

1)用戶發(fā)起交易，以非接觸或掃描等方式向TR出示Token；

2)TR將交易電子憑證信息(需與該次交易使用的Token相一致)發(fā)給PA發(fā)行方；

3)PA發(fā)行方向TSP發(fā)起去標(biāo)記化操作；

4)TSP系統(tǒng)完成Token與卡號(支付賬號)的轉(zhuǎn)換，將Token返回給PA發(fā)行方；

5)PA發(fā)行方完成交易.

在交易處理過程中，如果Token信息有以下幾種不一致情形，交易拒絕(終止).

a)Token有效期、標(biāo)記狀態(tài)等不一致；

b)TRID與TSP系統(tǒng)中存儲的TRID不一致；

c)標(biāo)記的域控不匹配；

d)交易類型數(shù)據(jù)驗證不一致.

4 Tokenization技術(shù)的核心安全模型架構(gòu)

Tokenization系統(tǒng)的安全性關(guān)系到系統(tǒng)能否抵抗數(shù)據(jù)通信竊聽、釣魚攻擊、中間人攻擊等黑客攻擊.其核心關(guān)鍵在于Token，一是Token的加密，二是TSP、TR之間的數(shù)據(jù)通信.為了解決Tokenization系統(tǒng)的安全問題，這里提出了Tokenization系統(tǒng)的安全模型架構(gòu)(見圖4).

圖4 Tokenization系統(tǒng)安全架構(gòu)模型

4.1 TSP核心模塊功能

4.1.1 日志監(jiān)控

Tokenization系統(tǒng)中應(yīng)設(shè)置日志監(jiān)控模塊，所有對TSP的訪問操作都必須進(jìn)行監(jiān)控、跟蹤記錄.無論是TSP外部訪問還是TSP內(nèi)部訪問，只要發(fā)生諸如：非法Token申請、未授權(quán)其他Token操作等異?；蚩梢尚袨榫勺R別到位，并做出預(yù)警.

4.1.2 Tokenization

Tokenization模塊主要實現(xiàn)將PAN生成對應(yīng)的Token功能，生成的Token信息中包括：TR合法身份驗證識別、PAN附加敏感信息識別認(rèn)證、Token擔(dān)保等級判定、支付Token信息等，其中Token信息保存在Vault中，實現(xiàn)用戶信息、TR、TSP、Token以及PAN之間的聯(lián)系.

4.1.3 De-Tokenization

De-Tokenization模塊主要是實現(xiàn)PAN到支付Token的映射功能，即去Token化，是Tokenization逆向轉(zhuǎn)化過程.De-Tokenization的過程需要接收PA發(fā)行方發(fā)送的數(shù)據(jù)，需要用到標(biāo)記的域控，以此驗證Token的有效期、設(shè)備信息、商戶ID以及持卡人的合法身份，驗證通過后返回對應(yīng)的PAN信息.

4.1.4 生命周期管理

生命周期管理模塊主要是實現(xiàn)對Token生命周期的管理功能，該模塊包含了生成Token后的相關(guān)查詢、修改、刪除等功能操作，同時完成Token的激活、掛失、綁定以及Token有效截止日期查詢等操作.PAN及PAN有效期的改變也會引起支付Token信息的改變，因此PAN到Token的映射(非法PAN將斷開映射)也是由生命周期模塊完成的，以達(dá)到支付Token信息的日常管理與更新.

4.1.5 Vault

Vault模塊主要功能是單獨保存用戶的敏感信息，如PAN與Token之間的映射存儲、管理控制存儲、用戶個人資料信息等，Vault的安全與否影響著Tokenization系統(tǒng)的安全.Vault如果受到攻擊，意味著Tokenization系統(tǒng)的崩潰，因此Vault中的數(shù)據(jù)采用非對稱加密算法加密后存儲，以確保其安全性.

4.2 模型中的數(shù)據(jù)安全通信若干建議

TSP作為系統(tǒng)模型的核心角色，用戶、TR以及PA發(fā)行方等可設(shè)定為外圍角色.核心角色與外圍角色之間的數(shù)據(jù)通信涉及敏感數(shù)據(jù)傳輸，因此需要提供安全通信機制來確保傳輸通道的安全.安全通信涉及以下兩方面內(nèi)容[7]：

1) 核心角色與外圍角色之間的身份識別與認(rèn)證.無論是Token申請還是Token交易使用過程中敏感信息始終會在系統(tǒng)之外的網(wǎng)絡(luò)中傳播，存在傳輸?shù)椒欠ǖ谌降目赡?，因此需要確保彼此身份的合法性.只有經(jīng)過TSP認(rèn)證合法的用戶才能訪問Tokenization系統(tǒng)，享受其服務(wù).再者，身份識別與認(rèn)證也可以防止TR非法訪問其他未經(jīng)授權(quán)的TSP服務(wù)器，從而發(fā)生敏感信息泄露問題.

2) 確保網(wǎng)絡(luò)中傳輸?shù)拿舾行畔踩?身份識別與認(rèn)證僅能解決傳輸目的地的合法性，并不能保證在網(wǎng)絡(luò)中傳輸?shù)陌踩?，在網(wǎng)絡(luò)傳輸過程中存在黑客攻擊的可能.TSP與各角色之間可以通過SSL協(xié)議(安全套接字協(xié)議)建立安全通道傳輸敏感數(shù)據(jù).SSL協(xié)議具備數(shù)據(jù)封裝、壓縮、加密等功能優(yōu)勢，可以確保網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?

5 結(jié)束語

在移動交易支付過程中，基于Tokenization技術(shù)的移動支付安全架構(gòu)模型以及支付生態(tài)鏈的實現(xiàn)使得用戶的支付賬號、有效期、交易次數(shù)、交易渠道等各方面支付信息得到安全可靠的保障，有效防范信息泄露被盜的風(fēng)險.Tokenization技術(shù)提供支付便捷性的同時兼顧了支付的安全性，為用戶和商戶帶來了高安全等級的交易支付體驗，對轉(zhuǎn)接清算方和PA發(fā)行方增強風(fēng)險管控、提升個性化支付服務(wù)提供了一道堅固的安全護(hù)盾，對于移動支付各方參與者而言都是共贏的局面.