我對身份驗(yàn)證和支付行業(yè)的令牌化技術(shù)概念感到困惑，請問作為一次性密碼的令牌與Apple Pay使用的令牌有什么區(qū)別?同時(shí)，PCI DSS等合規(guī)機(jī)構(gòu)如何看待令牌化技術(shù)?

[[157683]]

Mike Chapple：令牌化技術(shù)是我最喜歡的安全技術(shù)之一，特別是因?yàn)樗蓭椭鷾p少PCI DSS合規(guī)范圍。在深入研究該技術(shù)的工作原理之前，讓我來解釋一下讓大家困惑的一個(gè)問題。在安全領(lǐng)域，“令牌”被用在兩個(gè)概念中。大家熟悉的令牌可以是指人們攜帶的物理實(shí)體(通常在鑰匙鏈上)，它可以生成一次性密碼，用在多因素身份驗(yàn)證系統(tǒng)中。但這并不是我們在令牌化技術(shù)中談到的令牌。

令牌化技術(shù)中使用的令牌是指用于取代敏感數(shù)據(jù)的字母數(shù)字代碼，令牌化技術(shù)(例如Apple Pay和很多較新的POS系統(tǒng)中使用的技術(shù))使用這些代碼來代替零售商記錄中的信用卡號碼。在正確部署的情況下，這種技術(shù)可以確保信用卡號碼不會接觸零售商的系統(tǒng)，幫助其減少PCI DSS合規(guī)范圍。

例如，客戶可能會在商店的收銀臺使用令牌化技術(shù)，他/她可通過自助服務(wù)讀卡器刷信用卡，這張卡使用了只有銀行知道的加密密鑰，在這位客戶刷卡時(shí)，該讀卡器可能會使用點(diǎn)對點(diǎn)加密技術(shù)來加密敏感信用卡信息。隨后，加密的信用卡號碼會通過零售商系統(tǒng)發(fā)送到銀行進(jìn)行處理。與此同時(shí)，POS系統(tǒng)會在其記錄中記錄令牌值，銀行可使用這個(gè)數(shù)值綁定到特定信用卡交易。POS系統(tǒng)永遠(yuǎn)不會看到未加密的信用卡號碼，所以它并不在PCI DSS合規(guī)范圍內(nèi)。

支付卡行業(yè)安全標(biāo)準(zhǔn)委員會已經(jīng)認(rèn)識到令牌化技術(shù)的價(jià)值，并支持大家使用該技術(shù)來提高安全性以及減少合規(guī)工作范圍。