银行卡密码校验技术

商业银行在其使用的银行卡号编码规则和磁条数据格式中加入自定义加密算法的卡片加密验证码（CVN），该项密码校验技术被简称为CVV。

一、CVV密码校验

该项技术与银行卡基本技术标准，如ISO7813识别卡标准（金融交易卡）、GB/T15120（记录技术）等兼容。CVV信息被存储在磁条银行卡的第二磁道中，根据银行卡号、第二磁道主帐号（PAN）、发卡银行标识代码、发卡机构标识代码、发卡网点标识代码、起始标记、结束标记、分隔符（SF）等信息，通过各银行自定义的特殊加密算法进行计算，每步计算都采用CVKA技术加密后，得到银行卡加密验证码（CVN）。各行加密算法和机密技术各不相同，因此犯罪分子利用获得的银行卡信息制作假卡后，在发卡行解密时能够被识别而无法使用。

二、SSL安全协议

SSL安全协议，又称为“安全套接层”（Secure Sockets Layer）协议，是Netscape Communication公司1996年设计开发的，主要用于提高应用程序之间的数据安全系数。SSL安全协议主要提供三方面的服务：一是用户和服务器的合法性认证，二是加密数据以隐蔽被传送的数据，三是保护数据的完整性。SSL协议涉及所有TCP/IP应用程序，是一个保证任何安装了安全套接层的客户和服务器之间安全的协议。但是随着电子商务参与的场上迅速增加，对厂商认证的问题越来越突出，因此SSL安全协议逐渐被SET协议所取代。

三、SET协议

SET协议，又称为安全电子交易规范，是MasterCard和VISA公司在1996年推出的基于信用卡进行电子交易的安全措施的规则，是一种能广泛应用于因特网的安全电子付款协议。其认证过程使用RSA和DES算法，形成在因特网上安全使用银行卡进行购物的标准。但是SET协议的认证过程非常繁琐，每笔交易需要验证电子证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密，完成一个含有SET协议交易的过程需要花费很长的时间，因此目前这种协议并没有被推广使用。

四、维萨3-D认证

信用卡持卡人的身份验证一般采用核对持卡人签名的方式，但在POS交易和网上交易中，商户无法确认消费者是否为真实的持卡人。为解决这一问题，VISA制定了3-D验证标准，通过银行卡用户名和密码进行发卡机构、持卡人、商户和收单机构的互动验证。

在验证模型中，发卡机构负责建立用户可访问的系统，该系统还能够和3-D Secure中的商户插件和VISA目录服务器进行交互，采用多种方法对持卡人进行验证；收单机构负责建立支付网关，保证信息流的安全，同时安装一个3-D Secure Merchant插件，与VISA目录服务器和发卡机构系统进行交互；中间域提供参与3-D验证的发卡机构名录，方便多方对交易进行认证。

由于该技术是开放性的，VISA允许美国运通和日本JCB使用，因此磁条信用卡在进行交易时因能够得到多方验证而保障安全。

五、万事达网上支付标准（Master SecureCode）

万事达卡通过一个隐藏域UCAF（Universal Cardholder Authentication Field）来收集、传递、显示持卡人的认证信息，支持包括PC认证、智能卡认证和基于3-D安全技术的认证等多种认证方式。其采用的技术和VISA 3-D不一样，但银行卡信息验证程序基本一样。

六、日本JCB的J/Secure

日本JCB于2004年宣布推出信用卡互联网验证服务J/Secure。J/Secure基本与维萨3-D认证架构相同，JCB的服务也是在发卡行对交易授权之前加入持卡人密码验证步骤。由于JCB与维萨、万事达的全面合作，J/Secure架构允许收单和发卡机构选择不同的技术方案，JCB均可以提供支持。

七、银联CPUSecure(China UnionPay Secure)

银联于2005年推出CPUSecure，采用统一持卡人、发卡机构、收单机构和商户四方操作流程、服务流程和结算流程的方式，为国内互联网消费者提供相关服务。

八、EMV迁移技术

EMV迁移技术由银行公会与国际组织EMV（VISA、Master、Europay）推出，主要用于保障芯片卡的安全使用。

1、芯片借记卡

传统的磁条借记卡，在持卡人输入密码后，系统以PIN Block传送至发卡银行主机作检核；而芯片借记卡则是以芯片卡本身产生的交易验证码作为发卡银行检核的依据。因此若磁条卡遭侧录，且密码泄漏，卡片就容易在短时间内被复制，进而发生持卡人存款被盗领、卡片额度被盗用的事件。芯片借记卡具有CPU、内存及I/O，几乎具备一部计算机的最基本功能，因此芯片借记卡本身可安全存放发卡银行的逻辑运算与基码，而卡片产生的验证码只有发卡银行知道。也就是说，使用芯片卡交易时，持卡人密码不需送至发卡银行查核，而是由芯片金融卡直接进行密码正确性的验证，验证通过后才产生交易验证码供核查。由于不法分子无法自行复制芯片卡的逻辑运算，可有效解决密码被侧录的风险。

2、芯片信用卡

传统的磁条信用卡，由刷卡机读取第二磁道的资料，再经通讯网络送至发卡行，发卡行通过CVV验证磁条卡的真实性后发出授权码。而芯片信用卡自带3DES Key程序，可利用其内部存放的EMV参数产生ARQC (Authorisation Request Cryptogram)进行验证。第二磁道信息被泄露而复制出的伪卡，因不能复制芯片卡内部的Key，因此无法产生ARQC送往发卡机构授权，降低了发卡行的伪卡风险。