令牌化

令牌化

令牌化即令牌化技術。使用的令牌是指用於取代敏感數據的字母數字代碼,令牌化技術(例如Apple Pay和很多較新的POS系統中使用的技術)使用這些代碼來代替零售商記錄中的信用卡號碼。在正確部署的情況下,這種技術可以確保信用卡號碼不會接觸零售商的系統,幫助其減少PCI DSS合規範圍。

令牌化技術使用隨機生成的碼本編碼數據,通常對密碼學分析免疫。

基本介紹

  • 中文名:令牌化
  • 外文名:The token is changed
  • 學科:金融
  • 領域:區塊鏈金融
  • 全稱:令牌化技術
  • 特點:對密碼學分析免疫
簡介,隨機生成令牌,避免自製解決方案,保護令牌伺服器,創建加密生態系統,

  

  

簡介


  
令牌化即令牌化技術。使用的令牌是指用於取代敏感數據的字母數字代碼,令牌化技術(例如Apple Pay和很多較新的POS系統中使用的技術)使用這些代碼來代替零售商記錄中的信用卡號碼。在正確部署的情況下,這種技術可以確保信用卡號碼不會接觸零售商的系統,幫助其減少PCI DSS合規範圍。
令牌化技術使用隨機生成的碼本編碼數據,通常對密碼學分析免疫。

  

隨機生成令牌

根據很多安全專家表示,確保這些令牌無法被逆轉的唯一方法在於隨機生成。
“如果輸出結果不是通過套用於輸入信息的數學函式而生成的話,令牌就無法被逆轉為重新生成原始PAN數據,”Securosis公司的分析師Adrian Lane表示,“發現真正令牌的PAN數據的唯一方法是在令牌伺服器資料庫中進行逆向查詢。隨機令牌很容易生成,並且大小和數據類型限制根本不算什麼問題。這應該設定為默認,因為大多數公司既不需要也不想要PAN數據從令牌中重新獲得”。

  

避免自製解決方案

雖然令牌化表面上看起來很簡單,但Protegrity公司的首席技術官Ulf Mattsson警告說,“對於傳統加密的令牌化處理很容易出錯。”
“這有點火箭科學的感覺,因為首先你需要生成令牌,然後以適當的方式管理令牌,以適當的方式保護令牌伺服器,然後最重要的是,你需要一個配備有密鑰管理的合適的加密系統,這個系統要與令牌伺服器保護兼容,”Mattsson表示。
Mattsson已經聽說了關於自製部署令牌化的糟糕故事,由於令牌的可逆轉性和整個系統缺乏安全性,導致令牌化部署很容易被攻破。“有很多自製系統被稱為令牌化解決方案,並且它們並不符合令牌化的安全級別。在很多情況下,他們甚至都不符合加密的基本安全水平”。

  

保護令牌伺服器

Visa標準的開頭並沒有明確網路隔離和保持令牌化系統PCI兼容的重要性,而是明確保護令牌伺服器的重要性。如果企業沒有能夠保護令牌伺服器,這將會讓整個令牌系統的安全置於危險之中,並且如果沒有受到適當保護的話,將會導致企業質疑令牌化投資的可行性。
“在某個角落,你必須有個令牌伺服器能夠用來逆轉令牌化進程,”Mattson表示,“這個伺服器將需要使用傳統密鑰管理和強大的加密技術進行加密。如果它存儲有PCI數據,該伺服器還需要與PCI兼容”。

  

創建加密生態系統

在過去一年多中,安全專家對於企業是否選擇端到端加密還是令牌化頗有爭議。然而,很多在銀行卡處理世界的人們認為企業不應該選擇這兩者中的任一個。每種技術類型都服務於不同的目的:令牌化的優點在於它的不可逆轉性和能夠與資料庫基礎設施相得益彰。與此同時,端到端加密能夠幫助填補持卡人數據和PAN在IT基礎設施的其他部分傳輸時的空缺。
“對於與端到端加密一起使用,我們相信令牌化是一個審慎的戰略,”Heartland支付系統公司首席信息官Steven Elefant表示,該公司預計將向其客戶提供令牌化服務,以此作為該公司推出的加密服務的補充服務。

相關詞條

熱門詞條

聯絡我們