跳转到主要内容

令牌化

本文约需 2 分钟阅读

令牌化是指将信用卡号、个人识别号等敏感数据替换为无意义的随机字符串 (令牌) 加以保护的技术。原始数据存储在令牌库 (安全的对应表) 中,只有具备权限的系统才能从令牌还原出原始值。它在符合 PCI DSS 的支付系统中被广泛采用,随着 2025 年 PCI DSS v4.0 全面施行,其导入正进一步加速。

现场使用案例

“在电商网站改版中,为实现卡信息的非留存化,我们引入了令牌化。通过支付代理公司的 API 将卡号转换为令牌,自有数据库中仅保存令牌。 PCI DSS 的审计范围大幅缩小,每年的审计成本降低了 40%。”

令牌化流程

用户输入卡号
令牌化服务生成令牌
原始数据被安全地存储在令牌库中
商户数据库中仅保存令牌
支付时从令牌库还原原始数据并处理

与数据脱敏的区别

数据脱敏会不可逆地变换原始数据,因此无法还原;而令牌化的根本不同在于可以通过令牌库恢复原始数据。在支付处理中,购买时将卡号令牌化,实际结算时则从令牌库取回原始号码进行处理。借助这一机制,商户系统中完全不保存卡号,可大幅减轻信息泄露时的损害。支付安全入门书 (Amazon)可供系统性学习。

与加密的取舍

加密用数学算法变换数据,因此一旦密钥泄露,存在全部数据被解密的风险。令牌化的令牌与原始数据之间不存在数学关系,因此即使仅获取令牌也无法推测原始数据。不过,由于令牌库本身会成为单点故障,保护令牌库离不开基于 HSM 的密钥管理和严格的访问控制。

实务中的导入要点

Apple Pay 和 Google Pay 等移动支付是设备令牌化的代表案例。通过使用设备专属的令牌代替真实卡号,即使设备被盗,卡信息也是安全的。电商网站的“保存卡信息”功能,实际上大多也是保存令牌。请用强随机密码保护支付管理界面,防止对令牌库的非法访问。支付系统相关书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena