銀行卡密碼校驗技術概述

特約通訊員 周祺

銀行卡密碼校驗技術概述

特約通訊員 周祺

銀行卡已成為大眾生活中不可缺少的支付工具,與現金支付相比,銀行卡支付更加方便、安全。1996年8月中國銀行發行具有國際標準的以人民幣計價的借記卡——長城電子借記卡，標志著我國銀行業務開始全面發展。經過16年的發展，我國銀行卡業務的擴展速度和擴展程度都是十分驚人的，我國金融市場隨著銀行卡的飛速發展而不斷改革和完善。截至2013年末，全國累計發行銀行卡42.14億張，人均擁有銀行卡3.11張。2013年全國銀行卡業務476億筆，金額423.36萬億元；銀行卡消費金額同比增長52.85%，銀行卡交易額大幅提升。發展迅猛的銀行卡交易量令有關的安全顧慮更為迫切。

為保障持卡人的合法權益和資金安全，國際上已開始實施多種密碼技術。我國各商業銀行也在探索、采用部分有效的密碼校驗方法，為持卡人提供安全的金融服務。下面介紹一下現有的銀行卡密碼技術和標準。

一、CVV密碼校驗

CVV，即Card Verification Value，Mastercard稱作Card Validation Code (CVC)，兩者生成方法是一樣的，都是由卡號、有效期和服務約束代碼生成的3位或4位數字。CVV密碼校驗是指商業銀行在其使用的銀行卡號編碼規則和磁條數據格式中加入自定義加密算法的驗證碼（CVN）。CVV信息被存儲在磁條銀行卡的第二磁道中，根據銀行卡號、第二磁道主帳號（PAN）、發卡銀行標識代碼、發卡機構標識代碼、發卡網點標識代碼、起始標記、結束標記、分隔符（SF）等信息，通過各銀行自定義的特殊加密算法進行計算，每步計算都采用CVKA技術加密后，得到銀行卡加密驗證碼（CVN）。由于各行加密算法各不相同，各行加密算法和機密技術各不相同，因此利用獲得的銀行卡信息非法制作的部分假卡在發卡行解密時能夠被識別而無法使用。

二、SSL安全協議

SSL安全協議，即是安全套接層（SecureSocketsLayer）協 議 ，是Netscape公司于1996年設計開發的國際上最早應用于電子商務的一種開放性協議。它主要提供三方面的服務：一是用戶和服務器的合法性認證，二是加密數據以隱蔽被傳送的數據，三是保護數據的完整性。它涉及所有TCP/IP應用程序，是一個保證任何安裝了安全套接層的客戶和服務器之間安全的協議。

SSL協議有三方面的功能特性：一是提供兩臺設備之間的安全連接。二是從電子商務特性來看，它并不具備商務性、服務性、協調性和集成性。三是SSL協議只實現雙方的安全通信，不支持三方及以上的安全通信。隨著電子商務活動的迅速增加，對廠商認證的問題越來越突出，因此人們預期SSL安全協議將逐漸被SET協議取代。

圖1 SET認證過程簡圖

三、SET協議

SET 協 議（Secure Electronic Transaction），又稱安全電子交易規范，是 由 Master Card和 Visa聯 合Netscape、Microsoft等公司，于1997年6月1日推出的一種應用于互聯網的電子支付協議。SET協議是B2C上基于信用卡支付模式而設計的，采用公鑰密碼體制和X.509數字證書標準，主要應用于保障網上購物信息的安全性，它提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性。因此，至2012年，它成為了公認的信用卡的網上交易的國際安全標準。

在SET協議中，支付環境的信息保密性是通過公鑰加密法和私鑰加密法相結合的算法來加密支付信息而獲得的。它采用的公鑰加密算法是RSA的公鑰密碼體制，私鑰加密算法是采用DES數據加密標準。這兩種不同加密技術的結合應用在SET中被形象的成為數字信封，其認證過程相當繁瑣及復雜。完成一次SET認證中，需驗證電子證書9次，驗證數字簽名6次，傳遞證書7次，進行簽名5次，4次對稱加密和非對稱加密。通常完成一個SET協議認證大約要花費2分鐘，甚至更長時間。現階段，SET協議仍無法被廣泛應用，因此SET協議與SSL協議共存的局面將持續。

四、VISA3-D認證

VISA 3-D認證是由VISA國際信用卡組織提出的新一代全球通用支付標準。3-D認證通過復雜的加密技術，能保護持卡人機密交易資料的安全傳輸，避免泄露及截取，以減少網絡信用卡欺詐及交易糾紛問題。其功能特性有三方面：一是3D操作平臺能夠透過網絡聯機，實時確保參與網絡交易的VISA持卡人與網絡特約商店獲得銀行授權，也能保護VISA持卡人進行網絡交易時所輸入的信息不會在網絡傳輸過程外泄或產生任何變動。二是該系統包含了編碼技術、邏輯通行管制、實體數據保護及網絡安全，減少網絡偽卡盜刷及交易糾紛問題。三是采用該協議，持卡人在網絡特約商店進行在線支付時，需要比原來填寫的信息多填一組持卡人自設的安全密碼，大大提高隱私與交易安全。該技術是開放性的，VISA允許美國運通和日本JCB使用。

五、EMV技術

EMV標準由國際三大銀行卡組織：Europay、MasterCard和Visa共同發起制定，是基于CPU IC卡的金融支付標準，目前已成為公認的框架性標準。其目的是在金融IC卡支付系統中建立卡片和終端接口的統一標準，使得在此體系下所有的卡片和終端能夠互通互用。

1、芯片借記卡

傳統的磁條借記卡，在持卡人輸入密碼后，系統以PINBlock傳送至發卡銀行主機作檢核；而芯片借記卡則是以芯片卡本身產生的交易驗證碼作為發卡銀行檢核的依據。因此若磁條卡遭側錄，且密碼泄漏，卡片就容易在短時間內被復制，進而發生持卡人存款被盜領、卡片額度被盜用的事件。芯片借記卡具有CPU、內存及I/O，幾乎具備一部計算機的最基本功能，因此芯片借記卡本身可安全存放發卡銀行的邏輯運算與基碼，而卡片產生的驗證碼只有發卡銀行知道。也就是說，使用芯片卡交易時，持卡人密碼不需送至發卡銀行查核，而是由芯片金融卡直接進行密碼正確性的驗證，驗證通過后才產生交易驗證碼供核查。由于不法分子無法自行復制芯片卡的邏輯運算，可有效解決密碼被側錄的風險。

2、芯片信用卡

傳統的磁條信用卡，由刷卡機讀取第二磁道的資料，再經通訊網絡送至發卡行，發卡行通過CVV驗證磁條卡的真實性后發出授權碼。而芯片信用卡自帶3DES Key程序，可利用其內部存放的EMV參數產生ARQC(Authorisation Request Cryptogram)進行驗證。第二磁道信息被泄露而復制出的偽卡，因不能復制芯片卡內部的Key，因此無法產生ARQC送往發卡機構授權，降低了發卡行的偽卡風險。

EMV標準是框架性標準，各國際組織根據自身需要，在EMV標準的基礎上制定了本地化的芯片卡標準，VISA制定了VSDC標準，MasterCard制定了M/Chip標準，JCB制定了J/Smart標準，英國制定了Ukis標準，中國人民銀行也于2005年3月完成了PBOC 2.0規范的編寫工作。PBOC2.0是我國的芯片卡標準。

國際上，馬來西亞成為EMV遷移最成功的國家之一，早在2009年其POS終端實現了100%的EMV遷移，其ATM機也100%實現了芯片技術更新換代，在發卡、業務流程、安全控管、受理市場、信息轉接等多個環節都成功地實現了磁條卡向智能IC卡技術的升級。

中國工商銀行于2007年11月推出國內首張PBOC2.0標準信用卡，至此正式拉開了我國各發卡行開始發行IC芯片卡的序幕。央行表示，2013年1月1日起，全國性商業銀行均要開始發行IC芯片卡，2015年1月1日起在經濟發達地區和重點合作行業領域，商業銀行發行的、以人民幣為結算賬戶的銀行卡均應為IC芯片卡。總之，近兩年在政策的助推之下，IC芯片卡的發行數量大幅超出市場預期。預計2014年IC芯片卡的凈增量達到5億張。

六、生物識別技術

上述的銀行卡防復制技術的最終目的都在于實現雙方身份的驗證，采用生物識別技術的驗證便可“摒棄”現有的銀行卡實物。生物識別技術，就是通過計算機與光學、聲學、生物傳感器和生物統計學原理等高科技手段密切結合，利用人體固有的生理特性，（如指紋、人臉、紅膜等）和行為特征（如筆跡、聲音、步態等）來進行個人身份的鑒定及確認。人類的生物特征通常具有唯一性、可以測量或可自動識別和驗證、遺傳性或終身不變等特點，因此生物識別認證技術較傳統認證技術存在較大的優勢。

早在2005年，日本東京三菱銀行就發行具有生物識別技術的銀行卡。這種新型信用卡以掌紋靜脈識別技術為基礎，持卡人在申請辦理時將自己的生物信息輸入系統，然后就可以根據本人的生物特征信息到銀行的自動柜員機進行金融交易。

根據人類個體腦電波的細微差別，美國某高校于2013年更研究出一種名為passthoughts新型密碼驗證方式。使用者需要事先錄入一段相對應的腦電波，作為驗證過程中的用戶匹配數據。在驗證過程中，使用者需要佩戴一款名為Neurosky設備。該設備自動讀取用戶腦電波信息，再將信息傳至計算機驗證處理，即可完成驗證。但該技術仍處于實驗室研究階段，相信不久后在銀行卡身份驗證領域會有很好的應用。

目前在銀行身份認證系統中，常用的生物識別技術有指紋識別、人臉識別、簽名識別、虹膜識別等，各商業銀行正在嘗試采用人體生物特征取代我們手中的各種身份認證和密碼。技術成熟且應用廣泛的是指紋識別技術，指紋的識別屬于“模式識別”，實現識別的系統核心是OCR(光學字符識別)技術。一般通過攝像頭采集指紋圖像，再提取指紋總體特征與局部特征，然后通過互聯網加密傳輸錄入銀行計算機系統，再通過一系列復雜的指紋識別算法，就能在極短的時間內完成任何人的身份識別認證。2014年推出個高端智能手機中也在解鎖等功能上應用指紋識別技術，可見指紋驗證技術將可應用于移動支付。

在過去的20年間，銀行卡產業持續快速發展，也為銀行卡欺詐、泄漏等各種犯罪行為提供了溫床，確保安全性是銀行卡技術發展的第一要務。再嚴密的密碼技術都會有破解的方法，因此技術的發展沒有終點，它只會在不斷的加密-解密中實現升級換代。