銀行卡密碼校驗(yàn)技術(shù)概述

特約通訊員 周祺

銀行卡密碼校驗(yàn)技術(shù)概述

特約通訊員 周祺

銀行卡已成為大眾生活中不可缺少的支付工具,與現(xiàn)金支付相比,銀行卡支付更加方便、安全。1996年8月中國(guó)銀行發(fā)行具有國(guó)際標(biāo)準(zhǔn)的以人民幣計(jì)價(jià)的借記卡——長(zhǎng)城電子借記卡，標(biāo)志著我國(guó)銀行業(yè)務(wù)開(kāi)始全面發(fā)展。經(jīng)過(guò)16年的發(fā)展，我國(guó)銀行卡業(yè)務(wù)的擴(kuò)展速度和擴(kuò)展程度都是十分驚人的，我國(guó)金融市場(chǎng)隨著銀行卡的飛速發(fā)展而不斷改革和完善。截至2013年末，全國(guó)累計(jì)發(fā)行銀行卡42.14億張，人均擁有銀行卡3.11張。2013年全國(guó)銀行卡業(yè)務(wù)476億筆，金額423.36萬(wàn)億元；銀行卡消費(fèi)金額同比增長(zhǎng)52.85%，銀行卡交易額大幅提升。發(fā)展迅猛的銀行卡交易量令有關(guān)的安全顧慮更為迫切。

為保障持卡人的合法權(quán)益和資金安全，國(guó)際上已開(kāi)始實(shí)施多種密碼技術(shù)。我國(guó)各商業(yè)銀行也在探索、采用部分有效的密碼校驗(yàn)方法，為持卡人提供安全的金融服務(wù)。下面介紹一下現(xiàn)有的銀行卡密碼技術(shù)和標(biāo)準(zhǔn)。

一、CVV密碼校驗(yàn)

CVV，即Card Verification Value，Mastercard稱(chēng)作Card Validation Code (CVC)，兩者生成方法是一樣的，都是由卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字。CVV密碼校驗(yàn)是指商業(yè)銀行在其使用的銀行卡號(hào)編碼規(guī)則和磁條數(shù)據(jù)格式中加入自定義加密算法的驗(yàn)證碼（CVN）。CVV信息被存儲(chǔ)在磁條銀行卡的第二磁道中，根據(jù)銀行卡號(hào)、第二磁道主帳號(hào)（PAN）、發(fā)卡銀行標(biāo)識(shí)代碼、發(fā)卡機(jī)構(gòu)標(biāo)識(shí)代碼、發(fā)卡網(wǎng)點(diǎn)標(biāo)識(shí)代碼、起始標(biāo)記、結(jié)束標(biāo)記、分隔符（SF）等信息，通過(guò)各銀行自定義的特殊加密算法進(jìn)行計(jì)算，每步計(jì)算都采用CVKA技術(shù)加密后，得到銀行卡加密驗(yàn)證碼（CVN）。由于各行加密算法各不相同，各行加密算法和機(jī)密技術(shù)各不相同，因此利用獲得的銀行卡信息非法制作的部分假卡在發(fā)卡行解密時(shí)能夠被識(shí)別而無(wú)法使用。

二、SSL安全協(xié)議

SSL安全協(xié)議，即是安全套接層（SecureSocketsLayer）協(xié) 議 ，是Netscape公司于1996年設(shè)計(jì)開(kāi)發(fā)的國(guó)際上最早應(yīng)用于電子商務(wù)的一種開(kāi)放性協(xié)議。它主要提供三方面的服務(wù)：一是用戶(hù)和服務(wù)器的合法性認(rèn)證，二是加密數(shù)據(jù)以隱蔽被傳送的數(shù)據(jù)，三是保護(hù)數(shù)據(jù)的完整性。它涉及所有TCP/IP應(yīng)用程序，是一個(gè)保證任何安裝了安全套接層的客戶(hù)和服務(wù)器之間安全的協(xié)議。

SSL協(xié)議有三方面的功能特性：一是提供兩臺(tái)設(shè)備之間的安全連接。二是從電子商務(wù)特性來(lái)看，它并不具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。三是SSL協(xié)議只實(shí)現(xiàn)雙方的安全通信，不支持三方及以上的安全通信。隨著電子商務(wù)活動(dòng)的迅速增加，對(duì)廠(chǎng)商認(rèn)證的問(wèn)題越來(lái)越突出，因此人們預(yù)期SSL安全協(xié)議將逐漸被SET協(xié)議取代。

圖1 SET認(rèn)證過(guò)程簡(jiǎn)圖

三、SET協(xié)議

SET 協(xié) 議（Secure Electronic Transaction），又稱(chēng)安全電子交易規(guī)范，是 由 Master Card和 Visa聯(lián) 合Netscape、Microsoft等公司，于1997年6月1日推出的一種應(yīng)用于互聯(lián)網(wǎng)的電子支付協(xié)議。SET協(xié)議是B2C上基于信用卡支付模式而設(shè)計(jì)的，采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性，它提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性。因此，至2012年，它成為了公認(rèn)的信用卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。

在SET協(xié)議中，支付環(huán)境的信息保密性是通過(guò)公鑰加密法和私鑰加密法相結(jié)合的算法來(lái)加密支付信息而獲得的。它采用的公鑰加密算法是RSA的公鑰密碼體制，私鑰加密算法是采用DES數(shù)據(jù)加密標(biāo)準(zhǔn)。這兩種不同加密技術(shù)的結(jié)合應(yīng)用在SET中被形象的成為數(shù)字信封，其認(rèn)證過(guò)程相當(dāng)繁瑣及復(fù)雜。完成一次SET認(rèn)證中，需驗(yàn)證電子證書(shū)9次，驗(yàn)證數(shù)字簽名6次，傳遞證書(shū)7次，進(jìn)行簽名5次，4次對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。通常完成一個(gè)SET協(xié)議認(rèn)證大約要花費(fèi)2分鐘，甚至更長(zhǎng)時(shí)間。現(xiàn)階段，SET協(xié)議仍無(wú)法被廣泛應(yīng)用，因此SET協(xié)議與SSL協(xié)議共存的局面將持續(xù)。

四、VISA3-D認(rèn)證

VISA 3-D認(rèn)證是由VISA國(guó)際信用卡組織提出的新一代全球通用支付標(biāo)準(zhǔn)。3-D認(rèn)證通過(guò)復(fù)雜的加密技術(shù)，能保護(hù)持卡人機(jī)密交易資料的安全傳輸，避免泄露及截取，以減少網(wǎng)絡(luò)信用卡欺詐及交易糾紛問(wèn)題。其功能特性有三方面：一是3D操作平臺(tái)能夠透過(guò)網(wǎng)絡(luò)聯(lián)機(jī)，實(shí)時(shí)確保參與網(wǎng)絡(luò)交易的VISA持卡人與網(wǎng)絡(luò)特約商店獲得銀行授權(quán)，也能保護(hù)VISA持卡人進(jìn)行網(wǎng)絡(luò)交易時(shí)所輸入的信息不會(huì)在網(wǎng)絡(luò)傳輸過(guò)程外泄或產(chǎn)生任何變動(dòng)。二是該系統(tǒng)包含了編碼技術(shù)、邏輯通行管制、實(shí)體數(shù)據(jù)保護(hù)及網(wǎng)絡(luò)安全，減少網(wǎng)絡(luò)偽卡盜刷及交易糾紛問(wèn)題。三是采用該協(xié)議，持卡人在網(wǎng)絡(luò)特約商店進(jìn)行在線(xiàn)支付時(shí)，需要比原來(lái)填寫(xiě)的信息多填一組持卡人自設(shè)的安全密碼，大大提高隱私與交易安全。該技術(shù)是開(kāi)放性的，VISA允許美國(guó)運(yùn)通和日本JCB使用。

五、EMV技術(shù)

EMV標(biāo)準(zhǔn)由國(guó)際三大銀行卡組織：Europay、MasterCard和Visa共同發(fā)起制定，是基于CPU IC卡的金融支付標(biāo)準(zhǔn)，目前已成為公認(rèn)的框架性標(biāo)準(zhǔn)。其目的是在金融IC卡支付系統(tǒng)中建立卡片和終端接口的統(tǒng)一標(biāo)準(zhǔn)，使得在此體系下所有的卡片和終端能夠互通互用。

1、芯片借記卡

傳統(tǒng)的磁條借記卡，在持卡人輸入密碼后，系統(tǒng)以PINBlock傳送至發(fā)卡銀行主機(jī)作檢核；而芯片借記卡則是以芯片卡本身產(chǎn)生的交易驗(yàn)證碼作為發(fā)卡銀行檢核的依據(jù)。因此若磁條卡遭側(cè)錄，且密碼泄漏，卡片就容易在短時(shí)間內(nèi)被復(fù)制，進(jìn)而發(fā)生持卡人存款被盜領(lǐng)、卡片額度被盜用的事件。芯片借記卡具有CPU、內(nèi)存及I/O，幾乎具備一部計(jì)算機(jī)的最基本功能，因此芯片借記卡本身可安全存放發(fā)卡銀行的邏輯運(yùn)算與基碼，而卡片產(chǎn)生的驗(yàn)證碼只有發(fā)卡銀行知道。也就是說(shuō)，使用芯片卡交易時(shí)，持卡人密碼不需送至發(fā)卡銀行查核，而是由芯片金融卡直接進(jìn)行密碼正確性的驗(yàn)證，驗(yàn)證通過(guò)后才產(chǎn)生交易驗(yàn)證碼供核查。由于不法分子無(wú)法自行復(fù)制芯片卡的邏輯運(yùn)算，可有效解決密碼被側(cè)錄的風(fēng)險(xiǎn)。

2、芯片信用卡

傳統(tǒng)的磁條信用卡，由刷卡機(jī)讀取第二磁道的資料，再經(jīng)通訊網(wǎng)絡(luò)送至發(fā)卡行，發(fā)卡行通過(guò)CVV驗(yàn)證磁條卡的真實(shí)性后發(fā)出授權(quán)碼。而芯片信用卡自帶3DES Key程序，可利用其內(nèi)部存放的EMV參數(shù)產(chǎn)生ARQC(Authorisation Request Cryptogram)進(jìn)行驗(yàn)證。第二磁道信息被泄露而復(fù)制出的偽卡，因不能復(fù)制芯片卡內(nèi)部的Key，因此無(wú)法產(chǎn)生ARQC送往發(fā)卡機(jī)構(gòu)授權(quán)，降低了發(fā)卡行的偽卡風(fēng)險(xiǎn)。

EMV標(biāo)準(zhǔn)是框架性標(biāo)準(zhǔn)，各國(guó)際組織根據(jù)自身需要，在EMV標(biāo)準(zhǔn)的基礎(chǔ)上制定了本地化的芯片卡標(biāo)準(zhǔn)，VISA制定了VSDC標(biāo)準(zhǔn)，MasterCard制定了M/Chip標(biāo)準(zhǔn)，JCB制定了J/Smart標(biāo)準(zhǔn)，英國(guó)制定了Ukis標(biāo)準(zhǔn)，中國(guó)人民銀行也于2005年3月完成了PBOC 2.0規(guī)范的編寫(xiě)工作。PBOC2.0是我國(guó)的芯片卡標(biāo)準(zhǔn)。

國(guó)際上，馬來(lái)西亞成為EMV遷移最成功的國(guó)家之一，早在2009年其POS終端實(shí)現(xiàn)了100%的EMV遷移，其ATM機(jī)也100%實(shí)現(xiàn)了芯片技術(shù)更新?lián)Q代，在發(fā)卡、業(yè)務(wù)流程、安全控管、受理市場(chǎng)、信息轉(zhuǎn)接等多個(gè)環(huán)節(jié)都成功地實(shí)現(xiàn)了磁條卡向智能IC卡技術(shù)的升級(jí)。

中國(guó)工商銀行于2007年11月推出國(guó)內(nèi)首張PBOC2.0標(biāo)準(zhǔn)信用卡，至此正式拉開(kāi)了我國(guó)各發(fā)卡行開(kāi)始發(fā)行IC芯片卡的序幕。央行表示，2013年1月1日起，全國(guó)性商業(yè)銀行均要開(kāi)始發(fā)行IC芯片卡，2015年1月1日起在經(jīng)濟(jì)發(fā)達(dá)地區(qū)和重點(diǎn)合作行業(yè)領(lǐng)域，商業(yè)銀行發(fā)行的、以人民幣為結(jié)算賬戶(hù)的銀行卡均應(yīng)為IC芯片卡?？傊鼉赡暝谡叩闹浦?，IC芯片卡的發(fā)行數(shù)量大幅超出市場(chǎng)預(yù)期。預(yù)計(jì)2014年IC芯片卡的凈增量達(dá)到5億張。

六、生物識(shí)別技術(shù)

上述的銀行卡防復(fù)制技術(shù)的最終目的都在于實(shí)現(xiàn)雙方身份的驗(yàn)證，采用生物識(shí)別技術(shù)的驗(yàn)證便可“摒棄”現(xiàn)有的銀行卡實(shí)物。生物識(shí)別技術(shù)，就是通過(guò)計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特性，（如指紋、人臉、紅膜等）和行為特征（如筆跡、聲音、步態(tài)等）來(lái)進(jìn)行個(gè)人身份的鑒定及確認(rèn)。人類(lèi)的生物特征通常具有唯一性、可以測(cè)量或可自動(dòng)識(shí)別和驗(yàn)證、遺傳性或終身不變等特點(diǎn)，因此生物識(shí)別認(rèn)證技術(shù)較傳統(tǒng)認(rèn)證技術(shù)存在較大的優(yōu)勢(shì)。

早在2005年，日本東京三菱銀行就發(fā)行具有生物識(shí)別技術(shù)的銀行卡。這種新型信用卡以掌紋靜脈識(shí)別技術(shù)為基礎(chǔ)，持卡人在申請(qǐng)辦理時(shí)將自己的生物信息輸入系統(tǒng)，然后就可以根據(jù)本人的生物特征信息到銀行的自動(dòng)柜員機(jī)進(jìn)行金融交易。

根據(jù)人類(lèi)個(gè)體腦電波的細(xì)微差別，美國(guó)某高校于2013年更研究出一種名為passthoughts新型密碼驗(yàn)證方式。使用者需要事先錄入一段相對(duì)應(yīng)的腦電波，作為驗(yàn)證過(guò)程中的用戶(hù)匹配數(shù)據(jù)。在驗(yàn)證過(guò)程中，使用者需要佩戴一款名為Neurosky設(shè)備。該設(shè)備自動(dòng)讀取用戶(hù)腦電波信息，再將信息傳至計(jì)算機(jī)驗(yàn)證處理，即可完成驗(yàn)證。但該技術(shù)仍處于實(shí)驗(yàn)室研究階段，相信不久后在銀行卡身份驗(yàn)證領(lǐng)域會(huì)有很好的應(yīng)用。

目前在銀行身份認(rèn)證系統(tǒng)中，常用的生物識(shí)別技術(shù)有指紋識(shí)別、人臉識(shí)別、簽名識(shí)別、虹膜識(shí)別等，各商業(yè)銀行正在嘗試采用人體生物特征取代我們手中的各種身份認(rèn)證和密碼。技術(shù)成熟且應(yīng)用廣泛的是指紋識(shí)別技術(shù)，指紋的識(shí)別屬于“模式識(shí)別”，實(shí)現(xiàn)識(shí)別的系統(tǒng)核心是OCR(光學(xué)字符識(shí)別)技術(shù)。一般通過(guò)攝像頭采集指紋圖像，再提取指紋總體特征與局部特征，然后通過(guò)互聯(lián)網(wǎng)加密傳輸錄入銀行計(jì)算機(jī)系統(tǒng)，再通過(guò)一系列復(fù)雜的指紋識(shí)別算法，就能在極短的時(shí)間內(nèi)完成任何人的身份識(shí)別認(rèn)證。2014年推出個(gè)高端智能手機(jī)中也在解鎖等功能上應(yīng)用指紋識(shí)別技術(shù)，可見(jiàn)指紋驗(yàn)證技術(shù)將可應(yīng)用于移動(dòng)支付。

在過(guò)去的20年間，銀行卡產(chǎn)業(yè)持續(xù)快速發(fā)展，也為銀行卡欺詐、泄漏等各種犯罪行為提供了溫床，確保安全性是銀行卡技術(shù)發(fā)展的第一要?jiǎng)?wù)。再?lài)?yán)密的密碼技術(shù)都會(huì)有破解的方法，因此技術(shù)的發(fā)展沒(méi)有終點(diǎn)，它只會(huì)在不斷的加密-解密中實(shí)現(xiàn)升級(jí)換代。