论文部分内容阅读
随着移动互联网和O2O的快速发展,移动支付行业已经成了目前最具前景的朝阳行业,无数的科技公司、企业机构对其趋之若鹜。通过使用移动支付技术,人们免去了现金交易带来的麻烦,并带来了支付效率的提升。通过和不同产业的结合,还衍生出了诸如智慧城市等概念,给大家日常生活增加了许多的便捷。然而本应和支付行业兴盛相匹配的支付技术却并没有得到相应的重视,行业内更是经常性的发生用户信息泄露事件,对支付安全带来了很大的威胁。为了解决这些安全问题,业内也提出过很多的技术方案。例如,将用户支付信息存储在移动端设备的安全单元SE(Secure Element)中,并配合可信服务管理器TSM(Trusted Service Manager)一起工作,但这种方式得不到大多数服务提供商的支持,因为SE和TSM都被其发行者所掌握,并且SE成本过高。伴随着移动支付行业对解决安全问题的期望越来越强烈,一种被称为主机卡仿真HCE(Host Card Emulation)技术问世了,该技术通过使用云端SE的方式取代了终端上的硬件SE。而为了降低HCE到云端的支付信息的安全风险,EMVCo组织提出了Tokenization相关的概念以及规范。Tokenization技术即将用户的支付敏感信息标记化,用一个Token来代替原有支付流程中的PAN和其他用户敏感信息,使得在支付交易过程中用户的信息不被暴露,而真正的PAN需要等到支付网络结算时通过专线与Tokenization系统进行转化。这样处理以后即是Token被盗也不会对用户的个人敏感信息带来任何的威胁。同时规范还针对Token在使用过程中的注意事项,具体实施过程中涉及到的用户角色以及如何和现有支付网络流程相结合做出了相关的说明和指导。本文正是基于以上提到的相关规范和需求提出了设计和实现一个面向支付的Tokenization系统。本论文主要的工作及贡献如下几点:1.研究了支付行业中针对用户敏感信息安全的技术方案,对比了传统技术和Tokenization技术的优劣点。2.研究了Tokenization技术相关的规范,结合实际支付流程提取出了系统概要设计和需求设计。3.基于以上的研究和设计,实现了各个满足要求的Tokenization系统功能模块,并针对具体实际情况设计了结合各功能模块的业务流程。4.最后实现了一个完整的TSP服务器,提供了完整的Tokenization服务,并针对各功能模块和服务器进行了合理的测试。总结而言,本文研究、设计和实现了一个面向支付的Tokenization系统,提供了完整的功能并进行了合理的测试。