为推动解决个人敏感信息泄露问题，人民银行发布了《中国人民银行关于进一步加强银行卡风险管理的通知》（银发〔2016〕170号）以及一系列标准规范，要求“全面应用支付标记化技术”“从源头控制信息泄露和欺诈交易风险”，旨在改善支付环境，提升支付安全。

网联清算有限公司首席技术专家 强群力

网联支付标记化服务的产生背景

支付标记化技术是为防止信息泄露而生的一种安全技术，即对金融机构用户敏感信息进行形式转换形成对应标记（Token），在支付时使用Token替代原始敏感信息进行信息交换的一种技术方式。此项技术能有效降低敏感信息泄露风险，防范资金损失，保障消费者合法权益。

近年来，商业银行和非银行支付机构已逐步在支付类等场景中引入支付标记化技术。通过对账户信息的标记化处理，限制标记的使用范围和场景，努力做到从源头遏制信息泄露，最大程度保障支付安全。

实践探索

网联积极响应人民银行金融科技规划号召，结合行业敏感信息保护痛点，以金融科技应用试点模式开展“基于网联金融科技服务平台的支付标记化服务（以下简称TSP）”试点。TSP使用自主可控云计算技术和密码学原理，依托网联云化基础设施，构建服务于各商业银行和非银支付机构的敏感信息保障体系，提升金融机构在支付链路中的敏感信息保护能力，形成了支撑落实央行移动支付敏感信息保护及金融风险防范相关监管政策的SaaS化技术服务平台。

针对当前普遍使用的快捷支付场景，TSP提供如下业务方案：在快捷支付绑卡流程中，银行通过TSP对签约信息进行脱敏处理，生成用于后续支付流程的标记（Token）。在快捷支付过程中，用户将直接使用Token发送支付请求，银行通过TSP将Token还原为账户信息后，再进行后续账户操作。TSP通过域控技术，将Token的使用场景限定在特定范围内，通过风控引擎进行用户行为分析，对欺诈风险进行识别、评估并实现实时控制。

服务模式方面，TSP系统构建在网联金融科技服务平台，通过SaaS化服务的方式，为多家银行和非银支付机构提供金融级隔离的TSP实例，以达到开箱即用、降本增效、安全合规的产品体验。

系统建设方面，TSP依托网联平台的分布式架构和金融级高可用基础设施和组件，通过“多点多活”的部署架构，增强系统容灾容错能力，保障TSP的系统可用性和业务稳定性。通过虚拟化资源，完成路由标识和物理资源解耦，提升系统的资源利用率，增强系统健壮性和安全性。

保障机制方面，参考网联沉淀的业务连续性管理规范，构建业务连续性管理体系。一是实现对业务、应用和基础设施运维保障的全方位监控能力。二是明确日常巡检、事件处理流程，提升事前、事中和事后全流程处置水平。三是针对可能的故障场景，建立运维操作标准流程（SOP）和紧急流程（EOP），并定期演练验证。

目前，TSP业务系统已经完成了各项功能研发，并邀请西安银行共同参与了生产试运行验证，承接了西安银行部分快捷支付场景下的支付标记化能力。

快捷支付流程中，银行通过TSP系统将Token还原为账户信息

特性亮点

TSP平台基于先进的密码技术、云计算技术、移动互联技术、大数据技术，依托于网联云化基础设施，构建服务于各商业银行及非银支付机构的敏感信息保障体系，实现互联网线上交易全面应用支付标记化技术，有利于维护市场公平竞争环境、促进移动支付业务健康可持续发展。TSP的特性亮点如下。

1.基于网联金融科技服务平台，保障信息安全。平台根据金融行业标准《云计算技术金融应用规范技术架构》《云计算技术金融应用规范安全技术要求》《云计算技术金融应用规范容灾》的要求进行构建、运营与维护，形成了高弹性、高扩展、高可用、高安全的技术架构。

在安全方面，对标金融等保四级要求建设平台系统、指导应用研发、组织运维机制，全面实现了平台安全、通信与应用安全、数据安全及运维安全。通过金融级专线对接、“一次一密”交易密钥管理机制、敏感字段二次加密存储等多种特色安全设计，确保基于云计算技术的应用系统能够防范各种应用层攻击。同时，通过安全开发周期管理及安全运维管理体系建设，保障TSP平台全生命周期安全管理落地。

2.基于国产密码技术，自主创新标记化模式。当前，基于Token编码方式，对银行账号、用户账户等敏感信息进行脱敏处理，有两种主流的实现方法。一种是通过序列、随机数等方式生成Token，另一种是通过数据加密、密文截取置换方式生成Token。这两种方法的共同问题是标记过程不可逆，为保证Token的唯一性，需不断对映射表做重复性检索，在高并发场景下容易造成性能瓶颈。

网联长期以来专注对IT架构底层核心技术的应用创新，致力于打造全面自主可控的金融应用系统。针对前述传统Token方案的痛点，网联TSP系统引入了自主可控的国密算法体系，创新性地使用了基于格式保留算法的密码技术。该技术可以确保加密后密文与原文具有相同的数据格式，在密钥相同的情况下，密文与原文是一对一的映射关系而不会重复，完美解决了上述性能瓶颈问题。2016年11月，该创新密码技术通过了国家密码管理局商用密码科研成果审查鉴定。

3.基于SaaS服务模式，降低总体拥有成本。当前，各银行或非银行支付机构大多通过自建方式构建支付标记化服务，需承担本地部署软硬件投资及持续运维成本。同时，本地部署模式导致技术标准、应用规范、管理模式上的较大机构差异，客观上加大了统一监管的技术难度。

TSP服务可以解决上述问题。通过SaaS服务模式提供可信、统一、标准化、按量计费的技术能力，将金融机构自建支付标记化系统并运维管理的资本投入转为费用支出，降低建设成本与监管成本。通过云计算技术和虚拟化技术实现了基于租户级别隔离的资源层共享，提升了资源利用率。通过合理规划的混合部署和动态资源调配，借助集群优势，大幅降低单笔标记化成本，实现信息安全能力的成本可控。同时，作为TSP的客户，商业银行和非银支付机构按实际业务使用情况付费，无需关心底层运维工作，将更加专注于支付业务和场景本身。

构想展望

当前，TSP已经具备了稳定服务能力并试点验证成功，后续将根据试点验证情况，积极探索扩大试点范围，并进行架构升级、产品迭代和性能优化，同时积极探索更为丰富的业务场景形态。

具体举措包括，一是不断提升平台基础能力，包括更加多样化的基础产品能力，更安全的数据保障能力，更合理的分布式架构，以及更完善的自动化运维体系。二是通过试点项目的用户反馈，进一步优化当前TSP系统架构、产品功能和性能指标，例如将提供更加丰富和安全的容灾方案，通过优化业务访问路径，减少机构接入复杂度，减轻改造开发量并降低业务响应时间。三是不断推动产品化进程，做到系统配置化、运维自动化、测试场景化，不断提升系统可用性，产品可运维性和用户体验。四是探索业务创新，扩展支付标记化技术的落地场景，逐步形成一套技术、多个产品、多地开花的“技术-产品-解决方案”模型。五是在统一的标记化数据格式、算法实现、业务逻辑和管理规范下，探索面向监管提供全局监测、管控能力可行性，为机构合规、监管落地提供便利。