对于非专业人士来说，以下答案只是猜测：

用户使用支付宝会员姓名、手机号码、电子邮箱地址对应的支付宝数字账户申请支付宝线下支付服务。

在这一步中：

*用户使用手机将上述信息发送至支付宝专用服务器（ ）；

* 支付宝专用服务器将支付宝账户信息发送给令牌服务提供商（SP），即支付宝自己的令牌服务系统；

* SP将账户信息以及该账户预先生成的虚拟卡号（ , ）发送至支付宝账户中心进行验证；

* 支付宝账户中心审核通过，对SP进行授权，建立支付宝数字账户与数据库中支付宝数字账户的唯一对应关系，并将支付宝数字账户与账户进行关联；

* SP已授权，将被发送回支付宝专用服务器；

* 支付宝专用服务器首先对设备（和）进行唯一标识和绑定，然后发回并进行硬件加密保护。

----------通俗地说，这个过程就是--------------------

* 用户在手机支付宝上输入支付宝会员姓名、手机号码、邮箱地址对应的支付宝数字账户。

发送至支付宝专用服务器。

* 支付宝专用服务器将这四条信息发送给支付宝的SP。

* SP启动算法生成虚拟卡号

，并把 (,,,

,

）发送至支付宝账户中心。

* 支付宝账户中心看到会员姓名、手机号码、电子邮箱、数字账号正确后，就偷偷将该账户录入自己的系统。

和

虚拟卡被关联并告诉SP：“信件已收到，内容正确，您的请求已被批准。”

* SP收到回复后，

发送回支付宝专用服务器。

* 支付宝专用服务器

存储在 和 内部。

4、用户使用支付宝线下支付在商户进行交易。

在这一步中：

* 使用加密算法生成二维码，并将交易的有效开始时间和有效结束时间发送到POS；

* POS向支付宝交易中心发送二维码等交易信息；

* 支付宝交易中心将二维码等交易信息发送至支付宝交易传输服务器；

* 支付宝交易传输服务器通过算法对交易进行解密，并将交易的有效开始时间和有效结束时间发送给SP；

*SP对应于

，将要

返回支付宝交易传输服务器；

* 支付宝交易传输服务器将，

等交易信息发送至支付宝账户；

*支付宝账户进行交易授权并会

将授权信息发送回支付宝交易传输服务器；

* 支付宝交易传输服务器将授权信息发送回支付宝交易中心；

* 支付宝交易中心将授权信息发送回POS；

* POS提示交易成功，下单。

从上述流程来看，商户、支付宝交易中心和交易传输服务器均采用卡的识别方法，并利用有效时间来控制有效时间。

仅在交易传输服务器、SP和支付宝交易中心之间传输。

5. 如果发生风险

当您的手机丢失时：

* 用户登录支付宝网站，在用户手机上登录并停用支付宝线下支付服务；

* 支付宝专用服务器会立即向SP发送请求，根据其中存储的设备对应的列表一一申请撤销这些设备；

* 拿起电话的人尝试支付（假设他拥有强大的能力并伪造了用户的指纹并通过了身份验证）；

* 当交易到达“通过对应导出SP”这一步时，交易因已被撤销而无法继续；

* 如果用户发现或购买了新设备，请重复申请支付宝离线支付的过程，即可获得全新设备。

当存在交易风险时：

* 支付宝交易中心将取消授权并通知SP；

* SP会将无效信息发送回支付宝专用服务器；

* 支付宝专用服务器向该卡发送指令并将其标记为不可用。

* 用户重复申请支付宝线下支付的流程。

横向比较传统支付和支付宝线下支付，后者实际上比前者多了两个参与者，即代币申请者和代币服务商SP。 这两方的存在保证了用户账户的安全，降低了账户泄露的概率。