15、店内移动支付安全问题深度剖析

店内移动支付安全问题深度剖析

1. 令牌相关安全机制

在移动支付中，令牌（Token）起着关键作用，与之相关的安全机制主要包括令牌保证、域限制控制和令牌库安全存储。

1.1 令牌保证（Token Assurance）

当令牌服务提供商（TSP）请求发卡机构授权令牌与主账号（PAN）绑定的时候，需要为支付令牌提供一个令牌保证级别。这个级别体现了TSP对支付令牌与PAN绑定的置信程度。TSP要把令牌保证级别和相关数据作为授权请求的一部分发送给发卡机构。发卡机构依据这个级别来衡量交易的风险类别，进而决定是否批准令牌请求。

令牌保证级别由身份验证和验证（ID&V）流程的类型决定。不同的ID&V方法会产生不同的保证级别，根据EMVCo支付令牌化规范，其范围可以从无保证到高保证，具体取决于所采用的ID&V方法的强度。不过，在确定保证级别时，需要在安全性和用户体验之间进行权衡。如果增加ID&V方法来提高保证级别，就会要求持卡人提供更多细节，这可能会带来负面的用户体验，甚至导致竞争优势的丧失。

1.2 域限制控制（Domain Restriction Controls）

TSP负责设计和执行域限制控制，以确保支付令牌的合理使用。在注册过程中，TSP与令牌请求者（TR）共同定义和实施符合TR需求的域限制控制。这些控制可以规定销售点（POS）的输入模式和商户标识符，还能限制令牌价值、交易金额、使用类型、设置过期时间等。

在交易授权过程中，TSP要严格执行域限制控制，以降低支付令牌被盗用带来的欺诈影响。例如，在交易中，移动设备生成的令牌密码和POS输入模式作为域限制控制字段，TSP会