本讲小编将为大家说明什么是EMV令牌支付技术，它与OTP令牌的区别是什么。【小编】既然已经存在安全性相对较高的OTP令牌，为何EMV还要推出电子令牌Token以及相关的令牌化Tokenization项目呢？【工程师】是这样的，支付过程中持卡人身份鉴别需要两个要素：用户身份标识和身份验证方式。主账号属于用户身份标识，唯一定位持卡人；PIN、OTP令牌和短信验证码等属于身份验证方式。OTP令牌用于保护身份验证方式的安全性；而EMV令牌支付技术用于保护用户身份标识（主账号）的安全性。因为主账号配合OTP令牌是发卡机构鉴别用户身份的一种方式，但不是唯一的方式。例如，很多发卡机构还支持主账号+卡有效期+卡验证码（CVN2）来鉴别用户身份。因此如果主账号泄露，存在绕开OTP令牌使用其他的发卡机构认可的身份验证方式进行非法交易的风险。所以OTP令牌并没有解决主账号等敏感信息在本地留存的问题也就是说，在基于OTP令牌的无卡支付交易中，大多情况下持卡人还需在进行交易前输入个人主账号信息，这些信息可能会被商户或者第三方服务商储存，如果商户、第三方服务商没有妥善保存就有可能被非法获取，导致用户信息被泄露。所以，为解决主账号等敏感信息留存的问题，EMVCo于2014年3月推出了令牌支付技术框架，英文为EMV Payment Tokenization Technical Framework，旨在用一组根据加密算法随机生成的数字作为令牌(Token)替代主账号（PAN），流转于支付的各个环节，从而降低了主账号在支付流程中泄漏的可能性，提高了主账号的信息安全性。【小编】那么您能解释一下令牌替代主账号这一点是如何做到的吗？【工程师】解释这个问题，首先要向大家介绍一下在令牌支付体系下，除商户、收单机构、转接组织和发卡机构这些传统参与者外，新定义了两个参与方，一个是令牌服务提供方，英文为Token Service Provider，简称TSP；另一个叫令牌申请方，英文为Token Requestor，简称TR。其中令牌服务提供方是令牌支付体系的核心，负责令牌的生成、颁发、安全控制、生命周期管理，负责令牌库建立和配置以及负责令牌申请方的注册和管理等职责。而令牌申请方则向令牌服务提供方发起主账号令牌化请求并获取令牌，同时同步管理使用令牌的应用实体，比如银联钱包等。【小编】那么，新引入的令牌服务提供方和令牌申请方，在实际支付环境中可以是哪些机构担当呢？【工程师】在EMV令牌支付技术框架中给出的范围，令牌服务提供方和令牌申请方作为令牌体系中的功能角色，可能由任何有实力和信誉的机构担当。比如令牌服务提供方可以是银联、有实力的银行或者其他第三方支付机构来扮演；令牌申请方也是，可以是发卡机构、收单机构、电子钱包提供商等担当，商户也可以扮演令牌申请方角色。列个表会更清晰一些：EMV令牌支付体系下的参与方实际应用场景传统参与机构持卡人银行卡号、手机号等主账户信息商户电商收单机构XX银行转接组织中国银联、VISA等发卡机构XX银行新增参与方令牌服务提供商（Token Service Provider =令牌服务提供方）XX银行、中国银联、VISA等令牌请求方（Token Requestor=TR）XX银行等【小编】等等，您说商户也可以担当令牌申请方的角色，但您前面也提到了商户储存主账号后若未妥善保护会有泄露的风险，这个如何解释？【工程师】首先在令牌支付体系中，商户是可以担当令牌申请方角色的，比如京东或亚马逊。但是需要具备一定的实力，且在他们担当令牌申请方角色时，需要到令牌服务提供方进行注册和审核，在一定程度上确保了他们有相应防护措施不会轻易泄露主账号，并且在他们担当令牌申请方时是不允许在其数据库中保存主账号等敏感信息的，可以保存的只有令牌。【小编】清楚了。那主账号令牌化的过程是怎样的呢？【工程师】清楚了令牌支付体系下新增机构的作用，就可以给大家简要说明一下主账号令牌化的配置过程了，大家可以参看下面的配置过程图，会更好理解一些。1、商户或电子钱包等支付应用实体获得持卡人主账号；2、支付应用实体向令牌申请方传送主账号；3、令牌申请方向令牌服务提供方为主账号申请令牌；4、令牌服务提供方将收到主账号交由发卡机构进行持卡人验证和主账号状态验证；5、发卡行对主账号进行验证后将结果回复令牌服务提供方；6、令牌服务提供方再依据一定规则为主账号生成对应的令牌后返给令牌申请方，同时把主账号和令牌备份在其令牌库中；7、令牌申请方收到令牌之后把令牌同步到使用令牌的支付应用中。这一讲小编与中心工程师主要向大家介绍了EMV令牌支付技术是什么以及它与OTP令牌的区别，下一讲小编将就EMV令牌在预设支付场景的应用做出说明，敬请期待！来源：银行卡检测中心