关于在银行卡产业推广支付标记化方案的思考

　　标记化(Tokenization)算不上一个新鲜词汇，2010年VISA、PCI相继发布账户数据标记化的最佳实践指南，由于其封闭性在业界的应用可以说“不愠不火”，但随着创新支付的快速发展，标记化再次成为业界焦点，EMVCo于2014年3月发布了支付标记(Payment Tokenization)框架，旨在通过制定全球通用的标准推动支付标记的应用和推广。本文将从支付标记所解决的问题、基础框架以及应用场景入手，通过对相关内容的浅析与读者分享。

　　一、概述

　　兼顾安全可信和用户便利是支付行业独有的特点，在创新的同时不能舍弃安全。“Tokenization”能得到快速的发展和应用，正是因为它在解决敏感信息保护问题的同时，对用户完全透明的操作让用户更加容易接受和使用。为避免混淆，结合规范的实际应用和工作机制，将“Tokenization”定义为标记化。采用传统的加密形式来实现数据保护有两个潜在弱点：加密结果的可逆性和密钥管理的复杂性。与加密方案有所不同，标记化是用数据替代的形式实现敏感信息的保护，不仅攻击者不能通过可逆的方法来获取原始数据，而且替代值的格式和结构可以同原有的数据完全一样，以减少对业务和应用产生影响。

　　二、现有加密方式的潜在弱点

　　确保一笔交易的合法性需要完成三个层次的认证步骤，一是持卡人的认证(确保为持卡人本人)，二是卡片认证(防止伪卡)，三是交易的合法凭证(防止交易抵赖)。但不论何种类型的交易，以卡号为基础的支付体系，卡号的传递和存储仍然给交易欺诈提供了生存的空间：

　　(一) 面对面有卡交易

　　由于磁条卡易被复制、无法认证的特点，诸如交易欺诈、卡片侧录等风险事件严重影响了银行卡的正常使用。EMV标准通过制定芯片卡和终端的全球通用安全框架实现了卡片和终端的动态认证，确保了受理环节的安全;但在认证之后，后续的交易环节仍未对账户敏感信息做到有效保护，比如：

　　· 授权中，请求数据由终端送至收单机构或发卡行的环节

　　· 授权后，授权数据被送回收单机构或商户系统环节

　　(二) 线上无卡交易

　　以互联网生态为基础的创新支付为用户带来了快捷和便利，但大部分创新支付基本是通过卡号和对应的敏感信息(有效期、CV2)来完成交易认证，其风险主要表现在：

　　· 如何确保用户连接到合法的商户

　　· 如何验证合法授权的用户

　　· 如何通过安全的通道将卡片数据送至商户

　　· 如何确保数据在网络设备之间的安全传输

　　· 如何确保合法交易的不可抵赖性

　　(三) 交易数据留存

　　商户或收单机构为了满足营销、数据分析等增值服务的需要，往往在交易授权完成之后，会将交易数据，甚至是部分敏感数据进行存储。权威机构的统计数据显示，92%的数据泄露是由于应用层和系统层的漏洞导致，因此这些关键环节的保护同样需要关注。

　　三、支付标记化技术的发展和应用

　　如何解决上述问题，在消除敏感数据，实现交易认证的同时，尽可能的确保与现有的支付体系兼容是标记化方案设计的出发点和核心思路。标记化的发展主要分为两个阶段：

　　第一个阶段是VISA和PCI提出的非支付标记(替代PAN的一组数值，可采用加密技术)，如FirstData和Cybersource为商户提供的标记化收单解决方案;但由于该方案面向某一封闭环境，在通用性和互操作性上的欠缺限制了该方案的推广。

　　第二个阶段是EMV提出的支付标记;该方案最大的特点是用Token参与整个授权交易流程，并尽可能确保通用性，从而解决了以卡号为认证基础的风险问题。

　　(一) EMV标记化框架简析

　　EMV标记化框架定义了系统架构(如下图所示)

　　该框架描述了现有支付产业中主要角色及关系，并新增了标记请求方(TR)与标记服务提供方(TSP)两个角色，共同为持卡人和商户提供标记服务。