銀行卡密碼校驗技術

商業銀行在其使用的銀行卡號編碼規則和磁條數據格式中加入自定義加密算法的卡片加密驗證碼(CVN),該項密碼校驗技術被簡稱為CVV。

一、CVV密碼校驗

該項技術與銀行卡基本技術標準,如ISO7813識別卡標準(金融交易卡)、GB/T15120(記錄技術)等兼容。CVV信息被存儲在磁條銀行卡的第二磁軌中,根據銀行卡號、第二磁軌主帳號(PAN)、發卡銀行標識代碼、發卡機構標識代碼、發卡網點標識代碼、起始標記、結束標記、分隔設定(SF)等信息,通過各銀行自定義的特殊加密算法進行計算,每步計算都採用CVKA技術加密後,得到銀行卡加密驗證碼(CVN)。各行加密算法和機密技術各不相同,因此犯罪分子利用獲得的銀行卡信息製作假卡後,在發卡行解密時能夠被識別而無法使用。

二、SSL安全協定

SSL安全協定,又稱為“安全套接層”(Secure Sockets Layer)協定,是Netscape Communication公司1996年設計開發的,主要用於提高應用程式之間的數據安全係數。SSL安全協定主要提供三方面的服務:一是用戶和伺服器的合法性認證,二是加密數據以隱蔽被傳送的數據,三是保護數據的完整性。SSL協定涉及所有TCP/IP應用程式,是一個保證任何安裝了安全套接層的客戶和伺服器之間安全的協定。但是隨著電子商務參與的場上迅速增加,對廠商認證的問題越來越突出,因此SSL安全協定逐漸被SET協定所取代。

三、SET協定

SET協定,又稱為安全電子交易規範,是MasterCard和VISA公司在1996年推出的基於信用卡進行電子交易的安全措施的規則,是一種能廣泛套用於網際網路的安全電子付款協定。其認證過程使用RSA和DES算法,形成在網際網路上安全使用銀行卡進行購物的標準。但是SET協定的認證過程非常繁瑣,每筆交易需要驗證電子證書9次,驗證數字簽名6次,傳遞證書7次,進行5次簽名、4次對稱加密和4次非對稱加密,完成一個含有SET協定交易的過程需要花費很長的時間,因此目前這種協定並沒有被推廣使用。

四、維薩3-D認證

信用卡持卡人的身份驗證一般採用核對持卡人簽名的方式,但在POS交易和網上交易中,商戶無法確認消費者是否為真實的持卡人。為解決這一問題,VISA制定了3-D驗證標準,通過銀行卡用戶名和密碼進行發卡機構、持卡人、商戶和收單機構的互動驗證。

在驗證模型中,發卡機構負責建立用戶可訪問的系統,該系統還能夠和3-D Secure中的商戶外掛程式和VISA目錄伺服器進行互動,採用多種方法對持卡人進行驗證;收單機構負責建立支付網關,保證信息流的安全,同時安裝一個3-D Secure Merchant外掛程式,與VISA目錄伺服器和發卡機構系統進行互動;中間域提供參與3-D驗證的發卡機構名錄,方便多方對交易進行認證。

由於該技術是開放性的,VISA允許美國運通和日本JCB使用,因此磁條信用卡在進行交易時因能夠得到多方驗證而保障安全。

五、萬事達網上支付標準(Master SecureCode)

萬事達卡通過一個隱藏域UCAF(Universal Cardholder Authentication Field)來收集、傳遞、顯示持卡人的認證信息,支持包括PC認證、智慧卡認證和基於3-D安全技術的認證等多種認證方式。其採用的技術和VISA 3-D不一樣,但銀行卡信息驗證程式基本一樣。

六、日本JCB的J/Secure

日本JCB於2004年宣布推出信用卡網際網路驗證服務J/Secure。J/Secure基本與維薩3-D認證架構相同,JCB的服務也是在發卡行對交易授權之前加入持卡人密碼驗證步驟。由於JCB與維薩、萬事達的全面合作,J/Secure架構允許收單和發卡機構選擇不同的技術方案,JCB均可以提供支持。

七、銀聯CPUSecure(China UnionPay Secure)

銀聯於2005年推出CPUSecure,採用統一持卡人、發卡機構、收單機構和商戶四方操作流程、服務流程和結算流程的方式,為國內網際網路消費者提供相關服務。

八、EMV遷移技術

EMV遷移技術由銀行公會與國際組織EMV(VISA、Master、Europay)推出,主要用於保障晶片卡的安全使用。

1、晶片借記卡

傳統的磁條借記卡,在持卡人輸入密碼後,系統以PIN Block傳送至發卡銀行主機作檢核;而晶片借記卡則是以晶片卡本身產生的交易驗證碼作為發卡銀行檢核的依據。因此若磁條卡遭側錄,且密碼泄漏,卡片就容易在短時間內被複製,進而發生持卡人存款被盜領、卡片額度被盜用的事件。晶片借記卡具有CPU、記憶體及I/O,幾乎具備一部計算機的最基本功能,因此晶片借記卡本身可安全存放發卡銀行的邏輯運算與基碼,而卡片產生的驗證碼只有發卡銀行知道。也就是說,使用晶片卡交易時,持卡人密碼不需送至發卡銀行查核,而是由晶片金融卡直接進行密碼正確性的驗證,驗證通過後才產生交易驗證碼供核查。由於不法分子無法自行複製晶片卡的邏輯運算,可有效解決密碼被側錄的風險。

2、晶片信用卡

傳統的磁條信用卡,由刷卡機讀取第二磁軌的資料,再經通訊網路送至發卡行,發卡行通過CVV驗證磁條卡的真實性後發出授權碼。而晶片信用卡自帶3DES Key程式,可利用其內部存放的EMV參數產生ARQC (Authorisation Request Cryptogram)進行驗證。第二磁軌信息被泄露而複製出的偽卡,因不能複製晶片卡內部的Key,因此無法產生ARQC送往發卡機構授權,降低了發卡行的偽卡風險。

相關詞條

熱門詞條

聯絡我們