银行卡密码校验技术概述

特约通讯员 周祺

银行卡密码校验技术概述

特约通讯员 周祺

银行卡已成为大众生活中不可缺少的支付工具,与现金支付相比,银行卡支付更加方便、安全。1996年8月中国银行发行具有国际标准的以人民币计价的借记卡——长城电子借记卡，标志着我国银行业务开始全面发展。经过16年的发展，我国银行卡业务的扩展速度和扩展程度都是十分惊人的，我国金融市场随着银行卡的飞速发展而不断改革和完善。截至2013年末，全国累计发行银行卡42.14亿张，人均拥有银行卡3.11张。2013年全国银行卡业务476亿笔，金额423.36万亿元；银行卡消费金额同比增长52.85%，银行卡交易额大幅提升。发展迅猛的银行卡交易量令有关的安全顾虑更为迫切。

为保障持卡人的合法权益和资金安全，国际上已开始实施多种密码技术。我国各商业银行也在探索、采用部分有效的密码校验方法，为持卡人提供安全的金融服务。下面介绍一下现有的银行卡密码技术和标准。

一、CVV密码校验

CVV，即Card Verification Value，Mastercard称作Card Validation Code (CVC)，两者生成方法是一样的，都是由卡号、有效期和服务约束代码生成的3位或4位数字。CVV密码校验是指商业银行在其使用的银行卡号编码规则和磁条数据格式中加入自定义加密算法的验证码（CVN）。CVV信息被存储在磁条银行卡的第二磁道中，根据银行卡号、第二磁道主帐号（PAN）、发卡银行标识代码、发卡机构标识代码、发卡网点标识代码、起始标记、结束标记、分隔符（SF）等信息，通过各银行自定义的特殊加密算法进行计算，每步计算都采用CVKA技术加密后，得到银行卡加密验证码（CVN）。由于各行加密算法各不相同，各行加密算法和机密技术各不相同，因此利用获得的银行卡信息非法制作的部分假卡在发卡行解密时能够被识别而无法使用。

二、SSL安全协议

SSL安全协议，即是安全套接层（SecureSocketsLayer）协 议 ，是Netscape公司于1996年设计开发的国际上最早应用于电子商务的一种开放性协议。它主要提供三方面的服务：一是用户和服务器的合法性认证，二是加密数据以隐蔽被传送的数据，三是保护数据的完整性。它涉及所有TCP/IP应用程序，是一个保证任何安装了安全套接层的客户和服务器之间安全的协议。

SSL协议有三方面的功能特性：一是提供两台设备之间的安全连接。二是从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。三是SSL协议只实现双方的安全通信，不支持三方及以上的安全通信。随着电子商务活动的迅速增加，对厂商认证的问题越来越突出，因此人们预期SSL安全协议将逐渐被SET协议取代。

图1 SET认证过程简图

三、SET协议

SET 协 议（Secure Electronic Transaction），又称安全电子交易规范，是 由 Master Card和 Visa联 合Netscape、Microsoft等公司，于1997年6月1日推出的一种应用于互联网的电子支付协议。SET协议是B2C上基于信用卡支付模式而设计的，采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，它提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性。因此，至2012年，它成为了公认的信用卡的网上交易的国际安全标准。

在SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的公钥加密算法是RSA的公钥密码体制，私钥加密算法是采用DES数据加密标准。这两种不同加密技术的结合应用在SET中被形象的成为数字信封，其认证过程相当繁琐及复杂。完成一次SET认证中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个SET协议认证大约要花费2分钟，甚至更长时间。现阶段，SET协议仍无法被广泛应用，因此SET协议与SSL协议共存的局面将持续。

四、VISA3-D认证

VISA 3-D认证是由VISA国际信用卡组织提出的新一代全球通用支付标准。3-D认证通过复杂的加密技术，能保护持卡人机密交易资料的安全传输，避免泄露及截取，以减少网络信用卡欺诈及交易纠纷问题。其功能特性有三方面：一是3D操作平台能够透过网络联机，实时确保参与网络交易的VISA持卡人与网络特约商店获得银行授权，也能保护VISA持卡人进行网络交易时所输入的信息不会在网络传输过程外泄或产生任何变动。二是该系统包含了编码技术、逻辑通行管制、实体数据保护及网络安全，减少网络伪卡盗刷及交易纠纷问题。三是采用该协议，持卡人在网络特约商店进行在线支付时，需要比原来填写的信息多填一组持卡人自设的安全密码，大大提高隐私与交易安全。该技术是开放性的，VISA允许美国运通和日本JCB使用。

五、EMV技术

EMV标准由国际三大银行卡组织：Europay、MasterCard和Visa共同发起制定，是基于CPU IC卡的金融支付标准，目前已成为公认的框架性标准。其目的是在金融IC卡支付系统中建立卡片和终端接口的统一标准，使得在此体系下所有的卡片和终端能够互通互用。

1、芯片借记卡

传统的磁条借记卡，在持卡人输入密码后，系统以PINBlock传送至发卡银行主机作检核；而芯片借记卡则是以芯片卡本身产生的交易验证码作为发卡银行检核的依据。因此若磁条卡遭侧录，且密码泄漏，卡片就容易在短时间内被复制，进而发生持卡人存款被盗领、卡片额度被盗用的事件。芯片借记卡具有CPU、内存及I/O，几乎具备一部计算机的最基本功能，因此芯片借记卡本身可安全存放发卡银行的逻辑运算与基码，而卡片产生的验证码只有发卡银行知道。也就是说，使用芯片卡交易时，持卡人密码不需送至发卡银行查核，而是由芯片金融卡直接进行密码正确性的验证，验证通过后才产生交易验证码供核查。由于不法分子无法自行复制芯片卡的逻辑运算，可有效解决密码被侧录的风险。

2、芯片信用卡

传统的磁条信用卡，由刷卡机读取第二磁道的资料，再经通讯网络送至发卡行，发卡行通过CVV验证磁条卡的真实性后发出授权码。而芯片信用卡自带3DES Key程序，可利用其内部存放的EMV参数产生ARQC(Authorisation Request Cryptogram)进行验证。第二磁道信息被泄露而复制出的伪卡，因不能复制芯片卡内部的Key，因此无法产生ARQC送往发卡机构授权，降低了发卡行的伪卡风险。

EMV标准是框架性标准，各国际组织根据自身需要，在EMV标准的基础上制定了本地化的芯片卡标准，VISA制定了VSDC标准，MasterCard制定了M/Chip标准，JCB制定了J/Smart标准，英国制定了Ukis标准，中国人民银行也于2005年3月完成了PBOC 2.0规范的编写工作。PBOC2.0是我国的芯片卡标准。

国际上，马来西亚成为EMV迁移最成功的国家之一，早在2009年其POS终端实现了100%的EMV迁移，其ATM机也100%实现了芯片技术更新换代，在发卡、业务流程、安全控管、受理市场、信息转接等多个环节都成功地实现了磁条卡向智能IC卡技术的升级。

中国工商银行于2007年11月推出国内首张PBOC2.0标准信用卡，至此正式拉开了我国各发卡行开始发行IC芯片卡的序幕。央行表示，2013年1月1日起，全国性商业银行均要开始发行IC芯片卡，2015年1月1日起在经济发达地区和重点合作行业领域，商业银行发行的、以人民币为结算账户的银行卡均应为IC芯片卡。总之，近两年在政策的助推之下，IC芯片卡的发行数量大幅超出市场预期。预计2014年IC芯片卡的净增量达到5亿张。

六、生物识别技术

上述的银行卡防复制技术的最终目的都在于实现双方身份的验证，采用生物识别技术的验证便可“摒弃”现有的银行卡实物。生物识别技术，就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性，（如指纹、人脸、红膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定及确认。人类的生物特征通常具有唯一性、可以测量或可自动识别和验证、遗传性或终身不变等特点，因此生物识别认证技术较传统认证技术存在较大的优势。

早在2005年，日本东京三菱银行就发行具有生物识别技术的银行卡。这种新型信用卡以掌纹静脉识别技术为基础，持卡人在申请办理时将自己的生物信息输入系统，然后就可以根据本人的生物特征信息到银行的自动柜员机进行金融交易。

根据人类个体脑电波的细微差别，美国某高校于2013年更研究出一种名为passthoughts新型密码验证方式。使用者需要事先录入一段相对应的脑电波，作为验证过程中的用户匹配数据。在验证过程中，使用者需要佩戴一款名为Neurosky设备。该设备自动读取用户脑电波信息，再将信息传至计算机验证处理，即可完成验证。但该技术仍处于实验室研究阶段，相信不久后在银行卡身份验证领域会有很好的应用。

目前在银行身份认证系统中，常用的生物识别技术有指纹识别、人脸识别、签名识别、虹膜识别等，各商业银行正在尝试采用人体生物特征取代我们手中的各种身份认证和密码。技术成熟且应用广泛的是指纹识别技术，指纹的识别属于“模式识别”，实现识别的系统核心是OCR(光学字符识别)技术。一般通过摄像头采集指纹图像，再提取指纹总体特征与局部特征，然后通过互联网加密传输录入银行计算机系统，再通过一系列复杂的指纹识别算法，就能在极短的时间内完成任何人的身份识别认证。2014年推出个高端智能手机中也在解锁等功能上应用指纹识别技术，可见指纹验证技术将可应用于移动支付。

在过去的20年间，银行卡产业持续快速发展，也为银行卡欺诈、泄漏等各种犯罪行为提供了温床，确保安全性是银行卡技术发展的第一要务。再严密的密码技术都会有破解的方法，因此技术的发展没有终点，它只会在不断的加密-解密中实现升级换代。