为了减少个人主账号PAN在持卡人移动设备和商户等危险环节中的传播和存储过程,支付卡工业数据安全标准委员会提出了面向支付领域的Tokenization系统的概念,指出利用Token令牌来代替PAN进行交易。Token是一种不包含原始PAN任何信息的一种数据,当Token暴露后,攻击者无法从Token中还原PAN的值。用户在交易之前首先利用PAN向TSP申请Token,而在交易的过程中,由支付网络利用Token向TSP换回用户的PAN。这种方式虽然减少了在支付流程中,PAN在持卡人移动设备和商户的环境中暴露的可能性,但是在支付Tokenization系统内部仍然涉及到了PAN的传输和存储,从而使得其面临被攻击的威胁。一旦Tokenization系统自身被攻陷,便意味着整个支付系统的妥协。为了解决支付Tokenization系统中的安全问题,使得用户的PAN在Token的申请过程和Token的使用过程实现安全传输和安全存储,本文研究的主要内容以及贡献包括以下几个方面:1.研究了支付Tokenization系统中的生态链并且分析该生态链中面临的安全威胁,然后给出了支付Tokenization系统的安全框架,使得用户的PAN在该安全框架中能够实现安全传输和安全存储,该框架包含了支付Tokenization系统中的所有角色。2.研究了TSP外部角色之间的通信问题,然后基于SSL协议设计了一个TSP和外部角色之间的通信模型,使得敏感数据在TSP外部能够安全传输。3.研究了TSP内部组件和Vault之间的通信问题,然后基于挑战应答设计了一个TSP内部组件和Vault之间的通信模型,使敏感得数据在TSP内部能够安全传输。4.研究了数据在Vault中的存储问题,基于对称密钥技术设计了一个数据的透明存储模型,使得敏感数据在Vault上能够安全存储。5.研究了TSP上的日志记录问题,基于AOP技术设计了一个日志记录模型,使得TSP能够监控外界对TSP内部各个组件的访问信息。6.设计和实现了支付Tokenization系统的安全服务组件,用来给系统中的各个角色提供安全服务。安全服务组件包括一个证书管理系统,一个密钥管理系统、一套日志记录系统以及可供各个角色使用的API接口。最后利用上述安全服务组件实现了支付Tokenization系统中的安全。