`
yangzb
  • 浏览: 3507432 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

银行卡密码校验技术

阅读更多

为保障持卡人的合法权益和资金安全,国际上已开始实施多种密码技术。我国各商业银行也在探索、采用部分有效的密码校验方法,为持卡人提供安全的金融服务。

一、国际上通行的银行卡密码校验技术和标准

1.CVV密码校验

CVV 密码校验是指商业银行在其使用的银行卡号编码规则和磁条数据格式中加入自定义加密算法的验证码(CVN)。CVV信息被存储在磁条银行卡的磁道中,根据卡 号、磁道主账号、发卡银行标识代码等信息,通过各银行自定义的特殊加密算法进行加密,每步都采用CVKA技术加密,得到验证码。由于各行加密算法各不相 同,因此,利用获得的银行卡信息非法制作的部分假卡在发卡行解密时能够被识别而无法使用。

2.SSL安全协议

SSL安全协议 又称安全套接层(Secure Sockets Layer)协议,是Netscape Communication公司于1996年设计开发的。该协议主要用于提高应用程序之间的数据安全。SSL安全协议主要提供三方面的服务:一是用户和服 务器的合法性认证;二是加密数据;三是保护数据完整性。SSL协议涉及所有TCP/IP应用程序,目的在于保证安装了安全套接层的服务器之间数据传输的安 全性。但随着电子商务活动的迅速增加,对厂商认证的问题越来越突出,因此人们预期SSL安全协议将逐渐被SET协议取代。

3.SET协议

SET 协议(安全电子交易规范)是万事达卡和VISA公司于1996年推出的基于信用卡进行电子交易的安全措施的规则,是一种广泛应用于互联网的安全电子支付协 议。其认证过程使用RSA和DES算法,形成在互联网上安全使用银行卡进行购物的标准。但SET协议的认证过程非常繁琐,每笔交易需要验证电子证书9次, 验证数字签名6次,传递证书7次,签名5次,对称加密4次和非对称加密4次,完成一个含SET协议的交易需要很长时间。因此,目前这种协议并未被广泛推广 使用。

4.VISA 3-D认证

信用卡持卡人的身份验证一般采用核对持卡人签名的方式,但在POS交易和网上交易中,商户无法确认消费者是否为真实的持卡人。为解决这一问题,VISA制定了3-D验证标准,进行发卡机构、持卡人、商户和收单机构的互动验证。

在 验证模型中,发卡机构负责建立用户可访问的系统,该系统能够和3-D Secure中的商户插件和VISA目录服务器交互,采用多种方法对持卡人进行验证;收单机构负责建立支付网关,保证信息流安全,同时安装一个3-D Secure 商户插件,与VISA目录服务器和发卡机构系统交互;中间域提供参与3-D验证的发卡机构名录,方便多方对交易进行认证。该技术是开放性的,VISA允许 美国运通和日本JCB使用,以确保磁条信用卡在进行交易时能够得到多方验证从而保障安全。

5.万事达卡网上支付标准

万事达卡网上支付标准(Master Secure Code)通过一个隐藏域UCAF收集、传递、显示持卡人认证信息,支持包括PC认证、智能卡认证和基于3-D安全技术的认证等多种认证方式。其采用的技术和VISA 3-D不一样,但银行卡信息验证程序基本一样。

6.JCB J/Secure

JCB 于2004年推出信用卡互联网验证服务J/Secure。J/Secure基本与VISA 3-D认证架构相同,也是发卡行在交易授权之前增加持卡人密码验证步骤。由于JCB与VISA、万事达卡的全面合作,J/Secure架构允许收单和发卡 机构选择不同的技术方案,JCB均可提供支持。

7.银联CUP Secure

银联于2005年推出CUP Secure(China UnionPay Secure),采用统一持卡人、发卡机构、收单机构和商户四方操作流程、服务流程和结算流程的方式,为国内互联网消费者提供相关服务。

8.EMV迁移技术

EMV迁移技术由银行公会与国际组织EMV推出,主要用于保障芯片卡的安全使用。
(1)芯片借记卡

传 统的磁条借记卡在持卡人输入密码后,系统以PIN Block传送至发卡行核查;若磁条卡遭侧录且密码泄漏,卡片就容易在短时间内被复制,发生存款被盗取、卡片额度被盗用的问题。而芯片借记卡具有CPU、 内存及I/O,几乎具备计算机最基本的功能,因此本身可安全存放发卡行的逻辑运算与基码。使用芯片卡交易时,芯片借记卡直接进行密码验证,验证通过后才产 生交易验证码并传送给发卡行核查。由于不法分子无法自行复制芯片卡的逻辑运算,可有效解决密码被侧录的风险。

(2)芯片信用卡

传统的磁条信用卡由刷卡机读取某一磁道的资料,经通信网络发送至发卡行,发卡行通过CVV验证磁条卡的真实性后发出授权码。芯片信 用卡自带3DES Key程序,可利用其内部存放的EMV参数产生ARQC (Authorization ReQuest Cryptogram,授权请求密码电文)进行验证。某一磁道信息被泄露而复制出的伪卡,因不能复制芯片卡内部的Key,无法产生ARQC发往发卡行授 权,降低了发卡行的伪卡风险。


二、部分商业银行

确保银行卡密码安全的一些做法在使用通行银行卡密码技术的同时,部分商业银行还采用了其他密码处理办法以确保银行卡的使用安全。

1.英国巴克莱银行的多因素密码校验方法

该方法要求使用网上银行服务的用户在交易前必须输入姓氏、12位会员号码、5位数密码及两个字节的其他密码。

2.苏格兰皇家银行的多因素密码校验方法

该方法与英国巴克莱银行多因素密码校验方法略有不同,要求客户在输入生日和个人识别码(PIN)后,必须回答几个随机问题(已在银行卡资料库中预留的答案)。只有所有的号码均正确、问题答案与预留答案均一致,才能使用网上银行服务。

3.荷兰Rabobank Group和比利时富通集团采取随机编码方法形成的动态密码

荷兰Rabobank Group和比利时富通集团两家企业均为客户配备了可产生随机代码的微型装置,客户登录网上银行时必须输入装置产生的随机代码,同时要求客户输入姓氏、12位会员号码、5位数密码和其他预留密码(两个字节)。

4.德国部分银行的批处理密码

德国部分商业银行可为持卡人的一张借记卡提供密码单,密码单一般记录50或100个银行卡密码,所有密码的有效期为1~2个月,每个密码使用一次后随即作废。持卡人每次使用前可记下几个密码,使用借记卡交易时,即使银行卡和密码被盗,也不用担心银行卡被他人冒用。

5.美国花旗银行的动态账号

花旗银行于2006年推出一种新的安全技术,使其信用卡号不再通过互联网传送。客户下载专用软件至电脑后,即会自动启动安全功能。 在线购物时,每次提供用户名和密码,都会自动产生随机号码代替信用卡号码,形成"虚拟账号"(花旗银行信用卡用户免费使用)。零售商可像处理任何信用卡号 码一样处理这种替代号码,不会延迟购物时间,虚拟账号在每次购物之后便失效,不得重复使用。

6.我国内地的双重密码保护机制和动态密码验证

由于网上银行系非接触式金融交易,所以,国内商业银行在网上银行操作中设置了多重安全保障,如采用查询密码和交易密码双重密码保护 机制,采用动态密码验证、浏览器证书、移动证书等多种安全认证方式,提供数字软键盘密码输入方式等。除上述安全措施外,部分商业银行还及时借助短信发出用 卡情况通知,使客户在第一时间了解账户变动信息。

工商银行、招商银行等还于几年前推出可保存在硬盘或USB存储器上的移动证书,客户可以随身携带这种电子证书。在进行部分网上银行交易前,客户必须使用密码、CVV码和电子证书进行三重校验,确认身份后才能开始交易,以防资金被盗用。

7.我国香港地区的银行卡密码和电子证书双重认证

香港地区银行业于2005年6月推出双重认证。客户在交易时必须同时使用密码和电子证书确认身份。由于香港的智能身份证已含有内置的安全证书,这种双重认证方法可有效确认客户身份,但智能身份证中的安全证书必须使用特殊设备读取,在使用时尚有一定程度的不便。

8.我国香港地区的银行卡密码和手机短信密码双重认证

香港地区部分银行已就网上银行交易推出双重认证,客户在发出交易需求后,银行用手机短信向客户发出一次性密码,只有在输入银行卡密码和一次性密码后,整个交易才能被确认并完成。

9.我国香港地区的银行卡密码和保安编码器双重认证

香港恒生、汇丰银行通过向客户发放保安编码器的方式保障银行卡交易安全。保安编码器仅有拇指大小,有一个液晶屏、一个按钮和一个钥 匙环。每个编码器都有独特编号,可与银行卡号挂接。编码器有内置时钟,每次按下按钮,会根据编码器编号和交易时间生成6位数密码。客户必须同时输入银行卡 密码和编码器密码,才能获得身份认证。由于编码器密码与交易时间挂钩,所以每次生成的密码都不一样,而且每个密码在很短时间内就会失效,即使被他人偷看或 记录下银行卡号、银行卡密码和保安密码,几分钟后保安密码就无法使用了。

汇丰银行与恒生银行在如何使用保安编码器上采用了不同的选择。恒生银行将保安编码器作为高风险银行服务的保障手段,仅在客户需要向 未登记账户转账或支付时才用到保安密码,因此客户必须去银行主动申请并被确认曾使用过高风险银行服务,才能免费得到保安编码器。汇丰相对更谨慎一些,不但 为每个用户都免费发放保安编码器,而且要求例如登录网上银行查看账户等最基本的操作,都必须使用保安编码器,因此操作安全性比恒生银行更高,但程序相对更 为复杂。


三、几点思考

目前,我国各商业银行采取的磁条银行卡密码技术基本与国际接轨。前述的8项国际通行银行卡密码校验技术,除SET和EMV外,有6 项已被我国商业银行普遍采用。但必须看到,国内已发生的各类银行卡泄密案件中,与银行卡密码密切相关的风险主要在于:一是部分商业银行没有真正履行好风险 防范义务,在系统维护过程中未严格控制操作流程,导致密码技术管理存在疏漏而泄密;二是日常业务中未明确提示持卡人仔细阅读领用合约或有关协议,持卡人因 缺乏安全保护意识或防护措施不全,将账号和密码泄漏给第三人,从而产生风险;三是社会上一些不法分子将犯罪目标锁定在银行卡上。因此,不能单纯通过提高密 码技术防范风险。

1.在密码技术和校验方法上双管齐下,构筑银行卡的安全保障

在银行卡产业持续快速发展、基于银行卡的交易量逐年上升、银行卡适用范围不断扩大的形势下,各商业银行还应进一步加强银行卡安全技 术的研究和应用,除使用国际通行的免费技术和标准外,应研究和借鉴国外部分银行的有效做法,形成自身独特的密码设置和校验方法,进一步从技术和操作两方面 有效防范风险。

2.业务操作和宣传教育双管齐下,防范银行卡密码风险

一是商业银行要加强对银行卡业务操作风险的控制,完善操作制度和业务流程,提高银行卡业务的电子化、自动化、封闭化运行程度;二是 要将有关银行卡的公共教育宣传工作落实到银行卡业务的各个环节中去,切实增强银行卡使用者的风险防范意识,使持卡人清楚认识到因不正确用卡而带来的风险将 由自己承担,掌握并认真执行基本风险防范方法,进而对商业银行风险防范工作进行社会监督。

3.技术性研究和应用性研究双管齐下,逐步推行EMV迁移技术

芯片卡相对于磁条卡而言更加安全。由于我国各商业银行发行的芯片卡数量很少,而且每张多功能芯片卡的制作成本远远高于空白磁条卡的 成本,其后台系统的升级成本更高,因此,目前我国芯片卡大部分用于封闭领域,如相对独立的校园、连锁加油站、公交、地铁等,尚未在开放市场上通用。随着计 算机技术的突飞猛进,芯片产品的平均价格大约每年下降20%~30%,可以预期,我国的银行卡技术将随着信息技术的飞速发展逐步实现升级换代

 

来源  

http://blog.csdn.net/ylcz/archive/2008/08/02/2756948.aspx

分享到:
评论

相关推荐

    【重磅】最新发布执行的商用密码标准汇总(161份).zip

    银行卡信息系统密码应用技术要求 银行核心信息系统密码应用技术要求 密码随机数生成模块设计指南 可信计算平台直接匿名证明规范 SM9密码算法使用规范 SM9密码算法加密签名消息语法规范 可信密码模块保护轮廓 密码...

    关于密码算法及等保相关的密码.docx

    SM3算法已广泛应用于智能电网和金融系统,如智能电表和银行密码芯片卡,确保数据的完整性和安全性。 在网络安全等级保护(GB/T 22239-2019)中,密码技术是核心要求之一。包括: 1. 真实性:通过密码技术验证通信...

    腾讯优图-图片扫描,获取卡号和密码工具类

    正则表达式是一种强大的文本模式匹配工具,可以用来校验字符串是否符合特定格式,比如银行卡号通常遵循特定的规则,如16位数字,而密码可能有长度限制和特殊字符的要求。通过匹配,我们可以确保提取到的信息是有效的...

    第三方支付身份认证和银行卡鉴权接口文档

    ### 第三方支付身份认证和银行卡鉴权接口文档 #### 知识点概览 本文档主要涉及第三方支付系统中的身份认证及银行卡鉴权接口的设计与实现。这些接口用于确保交易安全,防止欺诈行为,并保障用户的资金安全。主要...

    智能卡与RFID技术 课前调查:公交一卡通应用.pdf

    网络系统信息安全通过MAC校验技术来保护信息。黑名单管理则是通过联机下传保持黑名单的更新,防止黑名单卡的使用。 系统平台的特点包括开放式平台设计,支持多种业务功能的积木化配置,兼容多种机型和操作系统,...

    银行网络安全系统技术方案

    ### 银行网络安全系统技术方案 #### 一、设计原则与系统组成 **设计原则:** 1. **硬件安全保障**:所有安全措施和服务均由硬件设备执行,避免软件层面的安全隐患,确保敏感信息(如密钥)不会在运行或存储过程中...

    生物识别技术在商业银行应用发展分析.pdf

    在商业银行中,对于各种电子文件和交易记录,都可以通过校验技术来检测其是否被篡改,从而保障银行操作的合法性及安全性。 渗透测试则是银行为了检查自身的安全防御体系是否存在漏洞而进行的一种安全测试方法。通过...

    SJJ1212金融数据密码机用户手册_v1.1.pdf

    - **IC卡密钥管理**: 提供对IC卡密钥的管理和支持发卡系统的功能。 - **密钥管理**: 具备全面的密钥管理系统,包括密钥的产生、发放、备份、更新等功能。 ##### 2. 扩展功能 - **高性能真随机数生成**: 支持全硬件...

    网络数据加密技术.doc

    随着密码学的发展,许多密码产品被广泛应用,如USB Key、PIN Entry Device、RFID卡和银行卡等。这些产品通常包含密码芯片,由系统控制模块、密码服务模块、存储器控制模块、功能辅助模块和通信模块等关键部件构成,...

    模拟银行ATM机

    在ATM系统中,用户的银行卡信息应被安全存储,通常加密处理。XML文件结构清晰,方便数据解析,但因其明文特性,需要严格的访问控制和加密保护,防止未授权访问。 用户认证过程是ATM机的关键步骤。用户输入的卡号和...

    磁条卡读卡器读取软件

    磁条卡读卡器是一种设备,用于读取带有磁条的卡片上的信息,如银行卡、会员卡等。这种设备通常通过USB接口与计算机连接,使得数据传输方便快捷。本文将详细探讨磁条卡读卡器的工作原理、相关软件以及如何读取第二...

    delphi-card.rar_delphi 写磁卡_keyboard delphi_magnetic card reader_

    在IT行业中,磁卡读写器和密码键盘是常见的安全认证设备,特别是在门禁系统、银行自助服务终端以及各种会员管理系统中。本文将详细探讨如何使用Delphi编程语言与磁卡读写器和密码键盘进行交互,实现磁卡的读写操作。...

    IC卡读写仿真.zip

    这种技术广泛应用于银行卡、公交卡、身份证、门禁系统等多个领域。 在IC卡读写仿真的过程中,我们需要理解以下几个关键知识点: 1. **IC卡类型**:IC卡主要分为存储卡、逻辑加密卡、CPU卡和智能卡。存储卡主要用于...

    IC卡 的读取 源程序

    2. 电子支付:POS机读取银行卡,完成消费交易。 3. 公共交通:公共交通系统读取乘客的交通卡,扣费并记录行程。 综上所述,IC卡读取源程序涉及硬件接口、通信协议、应用逻辑等多个层面,开发者需要对这些方面有深入...

    银行储蓄系统 银行储蓄系统 银行系统

    补卡功能是本项目的一大亮点,允许用户将多张银行卡互相绑定,以备不时之需。当主卡丢失或损坏时,用户可以方便地切换到备用卡继续使用,减少了因卡片问题带来的不便。这一功能的实现需要在数据库中增加关联关系,并...

    智能卡的结构·功能·应用

    3. **身份验证**:通过独特的标识符和密码验证用户身份,常用于门禁系统、银行卡和个人身份证明。 4. **交易处理**:在金融交易中,智能卡能处理转账、消费、积分等操作,并进行安全校验。 5. **安全控制**:智能...

Global site tag (gtag.js) - Google Analytics