特約通訊員 周祺

銀行卡密碼校驗技術概述

特約通訊員 周祺

銀行卡已成為大眾生活中不可缺少的支付工具,與現(xiàn)金支付相比,銀行卡支付更加方便、安全。1996年8月中國銀行發(fā)行具有國際標準的以人民幣計價的借記卡——長城電子借記卡，標志著我國銀行業(yè)務開始全面發(fā)展。經(jīng)過16年的發(fā)展，我國銀行卡業(yè)務的擴展速度和擴展程度都是十分驚人的，我國金融市場隨著銀行卡的飛速發(fā)展而不斷改革和完善。截至2013年末，全國累計發(fā)行銀行卡42.14億張，人均擁有銀行卡3.11張。2013年全國銀行卡業(yè)務476億筆，金額423.36萬億元；銀行卡消費金額同比增長52.85%，銀行卡交易額大幅提升。發(fā)展迅猛的銀行卡交易量令有關的安全顧慮更為迫切。

為保障持卡人的合法權益和資金安全，國際上已開始實施多種密碼技術。我國各商業(yè)銀行也在探索、采用部分有效的密碼校驗方法，為持卡人提供安全的金融服務。下面介紹一下現(xiàn)有的銀行卡密碼技術和標準。

一、CVV密碼校驗

CVV，即Card Verification Value，Mastercard稱作Card Validation Code (CVC)，兩者生成方法是一樣的，都是由卡號、有效期和服務約束代碼生成的3位或4位數(shù)字。CVV密碼校驗是指商業(yè)銀行在其使用的銀行卡號編碼規(guī)則和磁條數(shù)據(jù)格式中加入自定義加密算法的驗證碼（CVN）。CVV信息被存儲在磁條銀行卡的第二磁道中，根據(jù)銀行卡號、第二磁道主帳號（PAN）、發(fā)卡銀行標識代碼、發(fā)卡機構(gòu)標識代碼、發(fā)卡網(wǎng)點標識代碼、起始標記、結(jié)束標記、分隔符（SF）等信息，通過各銀行自定義的特殊加密算法進行計算，每步計算都采用CVKA技術加密后，得到銀行卡加密驗證碼（CVN）。由于各行加密算法各不相同，各行加密算法和機密技術各不相同，因此利用獲得的銀行卡信息非法制作的部分假卡在發(fā)卡行解密時能夠被識別而無法使用。

二、SSL安全協(xié)議

SSL安全協(xié)議，即是安全套接層（SecureSocketsLayer）協(xié) 議 ，是Netscape公司于1996年設計開發(fā)的國際上最早應用于電子商務的一種開放性協(xié)議。它主要提供三方面的服務：一是用戶和服務器的合法性認證，二是加密數(shù)據(jù)以隱蔽被傳送的數(shù)據(jù)，三是保護數(shù)據(jù)的完整性。它涉及所有TCP/IP應用程序，是一個保證任何安裝了安全套接層的客戶和服務器之間安全的協(xié)議。

SSL協(xié)議有三方面的功能特性：一是提供兩臺設備之間的安全連接。二是從電子商務特性來看，它并不具備商務性、服務性、協(xié)調(diào)性和集成性。三是SSL協(xié)議只實現(xiàn)雙方的安全通信，不支持三方及以上的安全通信。隨著電子商務活動的迅速增加，對廠商認證的問題越來越突出，因此人們預期SSL安全協(xié)議將逐漸被SET協(xié)議取代。

圖1 SET認證過程簡圖

三、SET協(xié)議

SET 協(xié) 議（Secure Electronic Transaction），又稱安全電子交易規(guī)范，是 由 Master Card和 Visa聯(lián) 合Netscape、Microsoft等公司，于1997年6月1日推出的一種應用于互聯(lián)網(wǎng)的電子支付協(xié)議。SET協(xié)議是B2C上基于信用卡支付模式而設計的，采用公鑰密碼體制和X.509數(shù)字證書標準，主要應用于保障網(wǎng)上購物信息的安全性，它提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性。因此，至2012年，它成為了公認的信用卡的網(wǎng)上交易的國際安全標準。

在SET協(xié)議中，支付環(huán)境的信息保密性是通過公鑰加密法和私鑰加密法相結(jié)合的算法來加密支付信息而獲得的。它采用的公鑰加密算法是RSA的公鑰密碼體制，私鑰加密算法是采用DES數(shù)據(jù)加密標準。這兩種不同加密技術的結(jié)合應用在SET中被形象的成為數(shù)字信封，其認證過程相當繁瑣及復雜。完成一次SET認證中，需驗證電子證書9次，驗證數(shù)字簽名6次，傳遞證書7次，進行簽名5次，4次對稱加密和非對稱加密。通常完成一個SET協(xié)議認證大約要花費2分鐘，甚至更長時間?，F(xiàn)階段，SET協(xié)議仍無法被廣泛應用，因此SET協(xié)議與SSL協(xié)議共存的局面將持續(xù)。

四、VISA3-D認證

VISA 3-D認證是由VISA國際信用卡組織提出的新一代全球通用支付標準。3-D認證通過復雜的加密技術，能保護持卡人機密交易資料的安全傳輸，避免泄露及截取，以減少網(wǎng)絡信用卡欺詐及交易糾紛問題。其功能特性有三方面：一是3D操作平臺能夠透過網(wǎng)絡聯(lián)機，實時確保參與網(wǎng)絡交易的VISA持卡人與網(wǎng)絡特約商店獲得銀行授權，也能保護VISA持卡人進行網(wǎng)絡交易時所輸入的信息不會在網(wǎng)絡傳輸過程外泄或產(chǎn)生任何變動。二是該系統(tǒng)包含了編碼技術、邏輯通行管制、實體數(shù)據(jù)保護及網(wǎng)絡安全，減少網(wǎng)絡偽卡盜刷及交易糾紛問題。三是采用該協(xié)議，持卡人在網(wǎng)絡特約商店進行在線支付時，需要比原來填寫的信息多填一組持卡人自設的安全密碼，大大提高隱私與交易安全。該技術是開放性的，VISA允許美國運通和日本JCB使用。

五、EMV技術

EMV標準由國際三大銀行卡組織：Europay、MasterCard和Visa共同發(fā)起制定，是基于CPU IC卡的金融支付標準，目前已成為公認的框架性標準。其目的是在金融IC卡支付系統(tǒng)中建立卡片和終端接口的統(tǒng)一標準，使得在此體系下所有的卡片和終端能夠互通互用。

1、芯片借記卡

傳統(tǒng)的磁條借記卡，在持卡人輸入密碼后，系統(tǒng)以PINBlock傳送至發(fā)卡銀行主機作檢核；而芯片借記卡則是以芯片卡本身產(chǎn)生的交易驗證碼作為發(fā)卡銀行檢核的依據(jù)。因此若磁條卡遭側(cè)錄，且密碼泄漏，卡片就容易在短時間內(nèi)被復制，進而發(fā)生持卡人存款被盜領、卡片額度被盜用的事件。芯片借記卡具有CPU、內(nèi)存及I/O，幾乎具備一部計算機的最基本功能，因此芯片借記卡本身可安全存放發(fā)卡銀行的邏輯運算與基碼，而卡片產(chǎn)生的驗證碼只有發(fā)卡銀行知道。也就是說，使用芯片卡交易時，持卡人密碼不需送至發(fā)卡銀行查核，而是由芯片金融卡直接進行密碼正確性的驗證，驗證通過后才產(chǎn)生交易驗證碼供核查。由于不法分子無法自行復制芯片卡的邏輯運算，可有效解決密碼被側(cè)錄的風險。

2、芯片信用卡

傳統(tǒng)的磁條信用卡，由刷卡機讀取第二磁道的資料，再經(jīng)通訊網(wǎng)絡送至發(fā)卡行，發(fā)卡行通過CVV驗證磁條卡的真實性后發(fā)出授權碼。而芯片信用卡自帶3DES Key程序，可利用其內(nèi)部存放的EMV參數(shù)產(chǎn)生ARQC(Authorisation Request Cryptogram)進行驗證。第二磁道信息被泄露而復制出的偽卡，因不能復制芯片卡內(nèi)部的Key，因此無法產(chǎn)生ARQC送往發(fā)卡機構(gòu)授權，降低了發(fā)卡行的偽卡風險。

EMV標準是框架性標準，各國際組織根據(jù)自身需要，在EMV標準的基礎上制定了本地化的芯片卡標準，VISA制定了VSDC標準，MasterCard制定了M/Chip標準，JCB制定了J/Smart標準，英國制定了Ukis標準，中國人民銀行也于2005年3月完成了PBOC 2.0規(guī)范的編寫工作。PBOC2.0是我國的芯片卡標準。

國際上，馬來西亞成為EMV遷移最成功的國家之一，早在2009年其POS終端實現(xiàn)了100%的EMV遷移，其ATM機也100%實現(xiàn)了芯片技術更新?lián)Q代，在發(fā)卡、業(yè)務流程、安全控管、受理市場、信息轉(zhuǎn)接等多個環(huán)節(jié)都成功地實現(xiàn)了磁條卡向智能IC卡技術的升級。

中國工商銀行于2007年11月推出國內(nèi)首張PBOC2.0標準信用卡，至此正式拉開了我國各發(fā)卡行開始發(fā)行IC芯片卡的序幕。央行表示，2013年1月1日起，全國性商業(yè)銀行均要開始發(fā)行IC芯片卡，2015年1月1日起在經(jīng)濟發(fā)達地區(qū)和重點合作行業(yè)領域，商業(yè)銀行發(fā)行的、以人民幣為結(jié)算賬戶的銀行卡均應為IC芯片卡?？傊?，近兩年在政策的助推之下，IC芯片卡的發(fā)行數(shù)量大幅超出市場預期。預計2014年IC芯片卡的凈增量達到5億張。

六、生物識別技術

上述的銀行卡防復制技術的最終目的都在于實現(xiàn)雙方身份的驗證，采用生物識別技術的驗證便可“摒棄”現(xiàn)有的銀行卡實物。生物識別技術，就是通過計算機與光學、聲學、生物傳感器和生物統(tǒng)計學原理等高科技手段密切結(jié)合，利用人體固有的生理特性，（如指紋、人臉、紅膜等）和行為特征（如筆跡、聲音、步態(tài)等）來進行個人身份的鑒定及確認。人類的生物特征通常具有唯一性、可以測量或可自動識別和驗證、遺傳性或終身不變等特點，因此生物識別認證技術較傳統(tǒng)認證技術存在較大的優(yōu)勢。

早在2005年，日本東京三菱銀行就發(fā)行具有生物識別技術的銀行卡。這種新型信用卡以掌紋靜脈識別技術為基礎，持卡人在申請辦理時將自己的生物信息輸入系統(tǒng)，然后就可以根據(jù)本人的生物特征信息到銀行的自動柜員機進行金融交易。

根據(jù)人類個體腦電波的細微差別，美國某高校于2013年更研究出一種名為passthoughts新型密碼驗證方式。使用者需要事先錄入一段相對應的腦電波，作為驗證過程中的用戶匹配數(shù)據(jù)。在驗證過程中，使用者需要佩戴一款名為Neurosky設備。該設備自動讀取用戶腦電波信息，再將信息傳至計算機驗證處理，即可完成驗證。但該技術仍處于實驗室研究階段，相信不久后在銀行卡身份驗證領域會有很好的應用。

目前在銀行身份認證系統(tǒng)中，常用的生物識別技術有指紋識別、人臉識別、簽名識別、虹膜識別等，各商業(yè)銀行正在嘗試采用人體生物特征取代我們手中的各種身份認證和密碼。技術成熟且應用廣泛的是指紋識別技術，指紋的識別屬于“模式識別”，實現(xiàn)識別的系統(tǒng)核心是OCR(光學字符識別)技術。一般通過攝像頭采集指紋圖像，再提取指紋總體特征與局部特征，然后通過互聯(lián)網(wǎng)加密傳輸錄入銀行計算機系統(tǒng)，再通過一系列復雜的指紋識別算法，就能在極短的時間內(nèi)完成任何人的身份識別認證。2014年推出個高端智能手機中也在解鎖等功能上應用指紋識別技術，可見指紋驗證技術將可應用于移動支付。

在過去的20年間，銀行卡產(chǎn)業(yè)持續(xù)快速發(fā)展，也為銀行卡欺詐、泄漏等各種犯罪行為提供了溫床，確保安全性是銀行卡技術發(fā)展的第一要務。再嚴密的密碼技術都會有破解的方法，因此技術的發(fā)展沒有終點，它只會在不斷的加密-解密中實現(xiàn)升級換代。