全面应用支付标记技术-人民银行

最新推荐文章于 2020-07-20 01:56:05 发布
最新推荐文章于 2020-07-20 01:56:05 发布
阅读量2.3k 收藏 5
点赞数
分类专栏: 移动app开发

1、什么是Tokenisation?

  将银行卡号替换成Token,以及相关的支付处理过程称为Tokenisation。当前Tokenisation有多种译法,较为普遍是“令牌化”,但是容易造成基本概念的混淆,其描述了银行卡号被替换后如何支付,而“令牌化”容易让人联想到常用身份认证工具“动态令牌”,会误解为只有使用动态令牌才能支付,作者翻译为“标记化”,表明银行卡号被替换为Token(支付标记),以作为支付凭证。

  2、Tokenisation是一项技术或产品吗?

  先来看银行卡号体系是怎么回事。银行卡号体系是ISO国际标准编码管理体系的支付编号,ISO负责分配发行机构识别号(BIN)资源,银行卡组织向ISO申请BIN资源、再分配给成员银行,成员银行向卡组织申请BIN用于发卡。例如ISO将62开头的BIN资源分配给中国银联,中国银联将某个62****BIN分配给银行使用。上述银行卡号管理体系保证了卡号的唯一性,也为日后基于银行卡号的交易处理、资金清算以及差错争议奠定了基础。

  标记化替换了银行卡号,但是没有替换银行卡生态系统。从这个意义上而言,Tokenisation是一个生态系统,而非具体的技术或产品。

  3、为何说标记化继承了银行卡体系的全部基因?

  银行卡体系强调的是四方模式(商户-收单机构-卡组织-发卡机构),即基于卡组织分配的银行卡号、发布的技术标准与规则、提供的转接清算服务,实现银行卡的支付。银行卡支付的关键是安全,卡组织一直致力于为商户、收单机构以及发卡机构提供安全解决方案,并不断完善现有标准与服务。

  替代了银行卡号的Token,外在形式没有变化,仍然是16至19位数字,前6位是卡组织分配的BIN;内在属性也没有减少,同样具备卡品牌,遵循同样的校验位规则,同样区分借贷记,同样拥有失效期。因此商户以及收单机构不需改造系统就可以处理Token。

  4、标记化在哪些方面提升了移动支付的安全性?

  一是交易处理依靠Token、而不是卡号。换句话说,就是卡号信息得以保护,要泄露的也只能是Token。Token和卡号不会同时用于交易路由判读,商户与收单机构仅存有Token,实现了对卡号信息的保护,防范了卡号泄露风险。掌握Token和卡号绑定关系的机构称为TSP(Token服务提供方),比如卡组织,或者发卡银行,它负责Token的发行与验证,为从Token到卡号的还原提供相关的验证服务。

  二是Token被限定在特定的应用场景。Token即使被泄露也往往没有用武之地。Token的发行需要可信的机构向TSP申请,申请方称为TR(Token请求方),可以提交Token的限定场景(比如说苹果公司发起Token申请,希望限定Token在某台iphone使用,再比如某网站发起Token申请,希望限定Token在该网站使用)。这一措施降低了Token泄露后的影响范围。

  三是标记化提出分层次的验证机制。发行Token类似发行银行卡,银行在发卡时会对持卡人开展身份核实与信用风险评估,TSP在发行Token时也要开展身份验证,根据不同的验证手段与可信程度,对验证结果分层描述,可分为高安全、中等安全、低安全以及无身份验证等层级,甚至可以用数值精准地描述。验证结果返回给TR,并出现在交易过程中,供参与交易的各方开展交易风险监控时参考。

  四是标记化兼容现有的技术以及业务模式。比如说应用Token以后,不用担心持卡人无法选择正确的卡支付,因为卡号的后四位仍然会出现在商户网站,用于提示。再比如IC卡的身份认证机制,包括联机认证与脱机认证,这两种认证方式均可以结合Token使用。因此,Token应用无需持卡人感知并做出改变。

  5、标记化可以应用在哪些地方?

  标记化的全球性技术框架由EMVCo于2014年3月发布。EMVCo在规范中仅描述了四种典型场景:在线商户、数字钱包、非接NFC支付、二维码支付,包括了线上支付场景与线下支付场景,但是其生命力远不止于此。如上述分析,标记化生态系统确保替换银行卡号后,支付得以顺利开展,因此只要应用银行卡号的支付场景,都可以实现标记化,相关的安全技术以及业务方式都可以在其中体现。

  6、标记化的控制权归谁所有?

  在EMVCo规范问世以及ApplePay在美国商用以来,受到产业各方广泛关注,焦点之一是谁可以建设并拥有TSP系统,意味着谁可以掌控标记化的世界。由于Token的初衷是要解决卡号信息在商户以及收单机构侧泄露的问题,因此只有发卡行与卡组织建设TSP,才能避免目前由于商户或者收单系统受到恶意攻击,带来的隐私保护问题与信息泄露风险。为了防止黑客对于TSP系统的恶意攻击,TSP系统也需要达到一定的安全要求。

  结束语:随着ApplePay、SamSung Pay、HCE云端支付等重量级移动支付产品在全球范围内的加速推广,Token与Tokenisation注定将频繁出现在业内外更多关于移动支付的文章与论述中,也必将与各类创新支付相结合。这一枚Token为移动支付产业描绘了一个更加美好的明天,也为监管部门以及银行卡组织提出了新的课题。如何建立完善一套开放、统一、公平、合理的技术标准与业务规则,以及认证检测体系,将是下阶段产业各方需合力优化完善的重点。

scnuwilliams
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中国银联支付标记技术指引
10-12
中国银联支付标记技术指引中国银联支付标记技术指引中国银联支付标记技术指引中国银联支付标记技术指引中国银联支付标记技术指引
PISA支付体系分析
01-13
人民银行 PISA 系统指标分析 基于民生、宁波等商业银行业务系统
中国金融移动支付技术标准
05-25
中国金融移动支付技术标准, PDF文件, 2012年, 应用基础, 远程支付应用, 联网联合
Pisas指标详细说明,比较全面,最新的
04-30
人行支付业务统计指标及其释义,最新最详细的,每个指标都有详细的报送要求和含义,需要学习的,请拿走
PISA报文上传客户端
07-26
(1) 支付信息统计分析系统(Payment Information Statistical Analysis,PISAS) (2) 支付信息统计分析系统采集客户端(PISA Data Collection System,PDCS)
Tokenisation
03-19
金融IC卡 未来演进方向。少有的EMVco官方资料。已加入书签
Tokenisation &word segmentation & sentence segmentation
Drchen
07-20 511
David D. Palmer Chapter 2: Tokenisation and SentenceSegmentation.2000 https://scholar.google.com/citations?user=flDouC0AAAAJ&hl=zh-CN word segmentation 和 tokenlization一样,但sentence segmentation不同。 Tokenisation is the process of breaking up the sequen.
PISA(第一版)
qq_40133329的博客
06-10 2394
PISA(第一版) 时间:2019/6/10 今天碰到个银行金融类单词缩写,不知道是和含义,百度了一下,发现绝大部分答非所问,好长时间才找到满意的解释,做个笔记 PISA:人行支付统计报送(People’s bank pays statistic to submit) Payment: n. 付款,支付;报酬,报答;偿还;惩罚,报应 statistic: adj. 统计的,统计学的 n. 统计资...
《中国金融移动支付 支付标记技术规范》-标准版.pdf
08-11
《中国金融移动支付 支付标记技术规范》-标准版.pdf
中国金融移动支付技术标准(正式发布版)下载
06-01
01中国金融移动支付 应用基础 第1部分:术语.pdf 02中国金融移动支付 应用基础 第2部分:机构代码.pdf 03中国金融移动支付 应用基础 第3部分:支付应用标识符.pdf 04中国金融移动支付 应用基础 第4部分:支付账户介质识别码.pdf 05中国金融移动支付 安全单元 第1部分:通用技术要求.pdf 06中国金融移动支付 安全单元 第2部分:多应用管理规范.pdf 07中国金融移动支付 非接触式接口规范.pdf 08中国金融移动支付 受理终端技术要求.pdf 09中国金融移动支付 客户端技术规范.pdf 10中国金融移动支付 远程支付应用 第1部分:数据元.pdf 11中国金融移动支付 远程支付应用 第2部分:交易模型及流程规范.pdf 12中国金融移动支付 远程支付应用 第3部分:报文结构及要素.pdf 13中国金融移动支付 远程支付应用 第4部分:文件数据格式规范.pdf 14中国金融移动支付 远程支付应用 第5部分:短信支付技术规范.pdf 15中国金融移动支付 远程支付应用 第6部分:基于安全单元(SE)的安全服务技术规范.pdf 16中国金融移动支付 近场支付应用 第1部分:数据元.pdf 17中国金融移动支付 近场支付应用 第2部分:交易模型及流程规范.pdf 18中国金融移动支付 近场支付应用 第3部分:报文结构及要素.pdf 19中国金融移动支付 近场支付应用 第4部分:文件数据格式规范.pdf 20中国金融移动支付 应用安全规范.pdf 21中国金融移动支付 联网联合 第1部分:通信接口规范.pdf 22中国金融移动支付 联网联合 第2部分:交易与清算流程规范.pdf 23中国金融移动支付 联网联合 第3部分:报文交换规范.pdf 24中国金融移动支付 联网联合 第4部分:文件数据格式规范.pdf 25中国金融移动支付 联网联合 第5部分:入网管理规范.pdf 26中国金融移动支付 联网联合 第6部分:安全规范.pdf 27中国金融移动支付 可信服务管理技术规范.pdf 28中国金融移动支付 检测规范 第1部分:移动终端非接触式接口.pdf 29中国金融移动支付 检测规范 第2部分:安全芯片.pdf 30中国金融移动支付 检测规范 第3部分:客户端软件.pdf 31中国金融移动支付 检测规范 第4部分:安全单元(SE)应用管理终端.pdf 32中国金融移动支付 检测规范 第5部分:安全单元(SE)嵌入式软件安全.pdf 33中国金融移动支付 检测规范 第6部分:业务系统.pdf 34中国金融移动支付 检测规范 第7部分:可信服务管理系统.pdf 35中国金融移动支付 检测规范 第8部分:个人信息保护.pdf
金融移动支付支付标记技术规范
12-03
金融移动支付支付标记技术规范
中国银联支付标记技术框架
12-06
中国银联支付标记技术框架 , 详细介绍了银联推出的支付标记服务平台架构和实现原理。
中国金融移动支付 可信服务管理技术规范
07-04
中国金融移动支付 可信服务管理技术规范,遵循手机nfc支付
中国金融移动支付技术标准介绍
08-13
目前移动支付业务模式“百花齐放”,产品形态“百家争鸣”,技术路线多元化 2.移动支付技术标准需求
分析RFID标记技术设计与应用
01-19
射频识别技术(Radio Frequency Identification,缩写RFID),射频识别技术是20世纪90年代开始兴起的一种自动识别技术,射频识别技术是一项利用射频信号通过空间耦合(交变磁场或电磁场)实现无接触信息传递并通过所...
emv支付标记技术框架
10-12
而制定的技术规范,此方案将有惠于收购者、商家、发行商、持卡人。 本规范描述了付款标记化的概况,定义了支持付款标记化的必要实体的关键角色定位,确认了这个规范的重要影响,指定了和令牌请求、发行和供应还有...
电力系统数据标记语言-E语言格式规范.pdf
05-28
电力系统数据标记语言-E语言格式规范
mvn 无效的标记: --release
最新发布
09-19
mvn无效的标记"--release"是由于你使用的JDK版本不支持该选项所导致的。你的JDK版本是1.8,而"--release"选项是在JDK 9及以上版本引入的。要解决这个问题,你可以将maven-compiler-plugin插件的版本降低到3.1,这样就不会使用到"--release"选项了。 引用中的解决方法: ``` <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>3.1</version> </plugin> ``` 另外,引用中也提到,这种情况可能是因为在poem文件中事先声明了错误的Java版本。你可以注释掉这一行声明来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值