1. 背景

随着信息化、移动化的快速发展，用户更倾向于利用碎片时间在移动中、跨屏幕、跨设备访问互联网。在金融服务方面，移动金融凭借其灵活、便捷、快速等特点，近年来发展迅速。据悉，2017年全球移动支付市场规模将达到900亿美元。移动支付在给用户带来便利的同时，也给支付行业带来了新的挑战和机遇。越来越多的不法分子将支付卡信息作为攻击目标，如美国某零售巨头被曝直接获取大量账户信息，国内某旅游商户被曝明文存储账户信息。接连发生的持卡人账户信息泄露事件，导致卡组织和发卡机构收到大量持卡人的投诉，遭遇泄密的商户面临巨大的经济风险，在部分地区甚至面临法律诉讼。

为保护用户敏感信息，提高支付安全性，防止信息泄露及欺诈交易，()以银行卡号替代交易验证方式，并限制了标记的适用范围。与传统银行卡验证功能相比，支付标记还集成了个人身份及设备信息验证、支付信息附加验证、风险等级评估等功能，用于识别交易合法性、控制风险，最大程度保障用户的交易安全。

2. 业务场景

下图是支付代币化的基本架构，描述了支付代币化的业务场景，支付代币化在场景中的主要角色及关系，标签请求方（TR）和标签服务提供商（TSP）两个新增角色与现有的传统支付流程的关系以及数据交互接口。

其中，TSP是通证化框架的核心角色，提供PA标签的应用、生成、管理、去通证化等功能，也承担TR的注册和管理职责。根据标签的不同业务场景、受理渠道、应用领域控制，TSP应制定匹配的个性化参数和管控措施，最终实现标签交易管控与风险监控。TR作为标签申请主体，向TSP申请PA标签，TR必须向TSP注册，TSP为TR分配唯一的TR ID。一般来说，承担TR角色的主体有转账清算机构、发卡机构、商户、非银行支付机构、电信运营商、移动终端厂商或者互联网移动支付终端设备厂商。

3. 支付标记化流程

支付代币化流程按照代币化过程分为支付代币应用流程和交易流程。

1.支付代币申请流程

步骤1：支付数据化流程为用户化PA，用户需要提交账户信息，TR应将页面跳转到TSP输入PA及有效期，TSP应采用信息输入安全保护、数据及时加密等安全控制措施，确保输入信息的安全；

第二步：TR（商户或支付服务提供商）向TSP申请；

步骤3：当TSP收到标签申请后，需要向PA发行方验证用户的身份信息及一些附加信息；

步骤4：PA发卡机构将验证结果返回给TSP；步骤5：完成账户验证后，生成TSP并发送给TR。

2.支付通证交易流程

支付标签交易的处理流程和现有的基于PA的交易处理流程一致，去标记化操作时只需要TSP完成标签验证和PA号码恢复操作即可。用户发起交易，商户将交易信息（包括用于识别本次交易的电子凭证信息，应与本次支付使用的电子凭证一一对应）发送给收单机构，收单机构将交易信息发送给转账清算方，最终由PA发卡机构完成交易。交易过程中，PA发卡机构或转账清算方均可向TSP发起去标记化流程。交易路由与PA交易路由一致，TSP作为标签业务处理系统，与原PA完成转换操作。

交易处理如下：

a) 去化过程中需要验证的有效性（有效期、状态等），若无效则拒绝交易。

b) TRID（ ID）是交易过程中应验证的控制数据元素。如果交易消息中的TRID与TSP令牌库中存储的支付令牌对应的TRID不匹配，则应拒绝交易。

c) 从交易消息中提取领域控制相关数据元素，与TSP标签库中定义的交易领域控制元素进行比较，如果不匹配，则拒绝该交易。

d）TSP需根据交易类型对交易数据进行验证（磁条验证、ARQC授权请求密文验证等），确保交易信息安全可靠。（来源：中国软件评测中心）