我對身份驗證和支付行業(yè)的令牌化技術概念感到困惑，請問作為一次性密碼的令牌與Apple Pay使用的令牌有什么區(qū)別?同時，PCI DSS等合規(guī)機構如何看待令牌化技術?

[[157683]]

Mike Chapple：令牌化技術是我最喜歡的安全技術之一，特別是因為它可幫助減少PCI DSS合規(guī)范圍。在深入研究該技術的工作原理之前，讓我來解釋一下讓大家困惑的一個問題。在安全領域，“令牌”被用在兩個概念中。大家熟悉的令牌可以是指人們攜帶的物理實體(通常在鑰匙鏈上)，它可以生成一次性密碼，用在多因素身份驗證系統(tǒng)中。但這并不是我們在令牌化技術中談到的令牌。

令牌化技術中使用的令牌是指用于取代敏感數據的字母數字代碼，令牌化技術(例如Apple Pay和很多較新的POS系統(tǒng)中使用的技術)使用這些代碼來代替零售商記錄中的信用卡號碼。在正確部署的情況下，這種技術可以確保信用卡號碼不會接觸零售商的系統(tǒng)，幫助其減少PCI DSS合規(guī)范圍。

例如，客戶可能會在商店的收銀臺使用令牌化技術，他/她可通過自助服務讀卡器刷信用卡，這張卡使用了只有銀行知道的加密密鑰，在這位客戶刷卡時，該讀卡器可能會使用點對點加密技術來加密敏感信用卡信息。隨后，加密的信用卡號碼會通過零售商系統(tǒng)發(fā)送到銀行進行處理。與此同時，POS系統(tǒng)會在其記錄中記錄令牌值，銀行可使用這個數值綁定到特定信用卡交易。POS系統(tǒng)永遠不會看到未加密的信用卡號碼，所以它并不在PCI DSS合規(guī)范圍內。

支付卡行業(yè)安全標準委員會已經認識到令牌化技術的價值，并支持大家使用該技術來提高安全性以及減少合規(guī)工作范圍。