密码学家 » 金融学 » 什么是芯片卡?EMV技术究竟是如何运作的?
芯片卡(EMV)使用嵌入式微芯片和动态密码,比磁条卡更能保障现场支付的安全。
在每次交易过程中,卡片和终端都会运行一个多步骤的 EMV 对话,包括身份验证、风险检查和密码生成。
EMV 技术显著降低了当面刷卡伪造欺诈,但欺诈活动已转移到非当面刷卡渠道,例如在线支付。
全球责任转移和地区性规则推动了EMV技术的广泛应用,使芯片卡成为现代卡片安全的标准。
芯片卡已悄然成为商店、ATM机甚至许多无人值守终端的支付“新常态”。但大多数人只知道现在需要“插入”或“刷卡”,而不是…… 只需滑动一下即可在那小小的金属方块背后,是一套完整的安全架构、全球标准、复杂的认证,以及从旧式磁条发展而来的悠久历史。
了解芯片卡是什么、EMV技术的工作原理以及它的真正优势和局限性至关重要。 如果您想保障资金安全、降低业务中的欺诈风险,或者只是想了解为什么有些终端需要输入密码而有些只需要签名,那么本指南将从头开始讲解芯片卡的概念,并将日常使用与底层技术以及支撑它的全球支付规则联系起来。
什么是芯片卡?
芯片卡是一种标准尺寸的借记卡或信用卡,除了传统的磁条之外,还包含一个小型集成电路(微芯片)。它也被称为智能卡、EMV卡、芯片密码卡或芯片签名卡。芯片安全地存储支付信息。 数据并积极参与 每笔交易都使用磁条,而磁条主要保留是为了向后兼容旧终端。
EMV一词来源于Europay、Mastercard和Visa,这三家公司在20世纪90年代最初定义了全球芯片标准。如今,EMV规范由EMVCo维护,EMVCo是由Visa、万事达卡、美国运通、JCB、Discover和中国银联共同拥有的联盟。EMV的目标是创建一种全球统一、可互操作且更安全的银行卡支付处理方式。
从外观上看,芯片就像卡片正面一个金色或银色的小金属方块。通常位于左侧附近。该模块内部包含一个硅芯片,具备处理能力、安全存储器和加密功能。与磁条上的静态数据相比,该芯片可以生成动态认证数据,这才是真正意义上的安全变革。
EMV卡既有接触式也有非接触式两种形式。接触式卡片必须插入(“浸入”)终端卡槽,使芯片与读卡器物理接触。非接触式EMV卡使用近场通信(NFC),只需将卡片靠近终端即可完成支付。大多数现代卡片将芯片、非接触式和磁条功能集成在一张塑料卡上。
由于EMV是全球标准,因此许多网络的卡产品都采用相同的基本芯片技术。 例如Visa、Mastercard、American Express、JCB、银联、RuPay等。 Verve 和区域计划,例如 Girocard、Dankort 或 Interac。每个网络都有自己的实现方式(例如,美国运通的 AEIPS、Discover 的 D-PAS、JCB 的 J Smart),但它们都基于相同的 EMV 构建模块。
芯片卡的诞生原因及其发展历程
在芯片出现之前,银行卡支付依靠机械压印机,后来又采用磁条结合签名的方式。早期的信用卡交易需要将卡片放入带有复写纸的手动压印机中,手工填写金额,并核对打印出来的被盗卡号列表。后来,磁条读卡器可以将数据以电子方式发送给发卡机构,但验证仍然依赖于持卡人的签名以及收银员的快速目视比对。
磁条技术在20世纪70年代和80年代得到广泛应用,这是一项巨大的进步,但它也存在一个严重的缺陷。磁条上的数据是静态的,以明文形式存储。如果犯罪分子使用读卡器获取了磁条数据,他们就能轻易复制这张卡,并在任何接受磁条卡的地方使用,尤其是在只需要签名验证的地方。
1959年硅集成电路的发明,为将芯片嵌入塑料卡片中打开了大门。到了20世纪60年代末和70年代,智能卡开始出现,最初是作为预付费电话卡,后来发展成为支付卡。法国的Carte Bancaire智能卡和德国的Geldkarte智能卡等早期国家级应用早于统一的EMV规范,并证明芯片可以显著降低国内银行卡欺诈。
第一个EMV标准于1995年发布,并在1996年、1998年和2000年进行了重大修订。逐步将各国方案融合为一个全球互操作框架。随着时间的推移,EMV 在保持接触式芯片处理核心功能的同时,增加了对更强大的加密技术、非接触式交易、移动钱包和安全远程商务的支持。
EMV芯片的普及首先在欧洲和其他地区展开,在美国则进展较慢。法国、英国、加拿大、澳大利亚和许多其他国家早在美利坚合众国之前就已采用芯片密码支付系统,这主要是由于区域责任转移促使商户和发卡机构进行升级。美国于2015年10月正式将EMV芯片卡应用于大多数店内交易,并转移了伪卡欺诈的责任,使得芯片卡备用方案在美国也几乎普及。
芯片卡在支付终端中的实际工作原理
当您将芯片卡插入支付终端时,卡片和读卡器之间会进行一段结构化的通信。其具体定义见EMV规范。该通信使用ISO/IEC 7816协议,由称为应用协议数据单元(APDU)的命令来回传输。
终端首先执行应用程序选择。选择使用卡上的哪个支付应用程序。每个应用程序都由一个应用程序标识符 (AID) 标识,该标识符包含一个注册应用程序提供商标识符 (RID) 和一个专有扩展码 (PIX)。不同的支付方案有不同的 AID(例如,Visa 信用卡、Visa Electron、Mastercard、Maestro、银联、RuPay 等都有各自的 AID),这些 AID 就是您在 EMV 收据上看到的编码内容。
万事达卡推出机器代理付费模式,助力人工智能自主商务发展应用程序选定后,读取器会发送“获取处理选项”命令。该卡之前已共享了所需数据列表,称为处理选项数据对象列表 (PDOL)。作为响应,该卡返回其应用程序交换配置文件 (AIP),其中指示了它支持哪些 EMV 功能(例如: 离线数据认证类型),以及应用程序文件定位器 (AFL),它告诉终端必须读取哪些内部文件和记录。
然后,终端使用“读取记录”命令从卡中读取EMV数据记录。EMV并未明确规定每个数据元素必须存储在哪些物理文件中,因此AFL至关重要。检索到的信息以BER-TLV(标签-长度-值)格式编码,EMV为处理过程中涉及的所有字段(例如应用程序使用控制、生效和失效日期、持卡人验证列表、风险参数等)分配标签。
接下来是处理限制,终端会检查该卡是否允许使用。它会验证应用程序版本,检查卡片是否仅限国内使用或可国际使用,并核实卡片的有效期和到期日。如果验证失败,并不总是意味着交易会被自动拒绝;相反,终端会在终端验证结果 (TVR) 中设置相应的位,这些位将在后续的接受/拒绝决策中使用。
接下来进行离线数据认证,使用公钥加密技术来验证卡的合法性。根据卡片的功能,终端可以执行静态数据认证 (SDA)、动态数据认证 (DDA) 或组合式 DDA/应用加密 (CDA)。SDA 可以防止简单的数据篡改,但无法防止卡片克隆;而 DDA,尤其是 CDA,则能提供更强的防篡改和防卡片复制保护。
真实性是通过一系列EMV证书来建立的。中央EMV证书颁发机构向发卡机构颁发证书;然后,卡片向终端提供发卡机构的公钥证书和签名静态应用数据(SSAD)。终端使用本地存储的CA公钥验证发卡机构证书,然后使用该公钥验证SSAD,从而确认卡片数据确实来自该发卡机构。
持卡人验证是指持卡人证明其已获得授权使用该卡的步骤。EMV 支持多种持卡人验证方法 (CVM):在线 PIN、离线明文或加密 PIN、签名、PIN 和签名的组合、消费者设备验证(例如手机),甚至在小额非接触式支付等低风险场景中“无需 CVM”。
该卡包含一个 CVM 列表,其中定义了它首选的验证方法及其顺序。终端会将该列表与自身功能进行比较。ATM 机几乎都支持在线 PIN 码,而 POS 终端可能支持 PIN 码、签名或两者兼有,具体取决于国家/地区和商户配置。自 2017 年以来,EMVCo 还增加了对生物识别验证方法(如 CVM)的支持。
终端风险管理决定交易是否可以离线处理,还是必须在线提交给发卡机构。终端会将交易金额与离线上限进行比较,应用计数器强制执行偶尔的在线交易,并可在离线环境下查询本地热卡列表。任何触发条件都会再次反映在 TVR 位中。
先前检查结果(TVR 加操作代码)的综合结果将得出最终操作分析。每个收单机构配置终端操作码 (TAC),每个发卡机构设置发卡机构操作码 (IAC)。这些代码分为拒绝、在线和默认三类,用于指定当特定 TVR 位被设置时应如何响应。通过结合 TAC 和 IAC,终端可以做出初步决定,即离线批准、在线授权或离线拒绝交易。
在最终决定做出之前,终端会要求持卡人生成一个申请加密信息。该卡包含一个卡片数据对象列表 (CDOL1),其中指定了它需要查看的交易详情(金额、日期、终端国家/地区、风险标志等)。终端会发送这些值,并请求交易证书 (TC) 以进行离线授权,授权请求密码 (ARQC) 以进行在线请求,或应用程序认证密码 (AAC) 以进行离线拒绝。
该卡可以接受或推翻终端在EMV规则范围内提出的操作方案。例如,即使终端请求的是交易确认函 (TC),银行卡也可能响应自动请求验证函 (ARQC),从而强制交易在线进行。但如果终端请求的是 ARQC,银行卡则不能响应交易确认函。这一步骤使得发卡机构能够通过存储在卡上的参数来严格控制风险。
对于在线交易,ARQC 和其他详细信息将发送给发卡机构或其处理机构。发卡机构验证密文,应用其自身的授权逻辑(余额、风险评分、反欺诈工具),并返回授权响应代码和授权响应密文 (ARPC),以及可能的发卡机构脚本——一系列用于更新卡片设置甚至冻结卡片的命令。
终端收到发卡行的响应后,会使用 CDOL2 执行第二次卡片操作分析。并将额外数据(响应代码、ARPC 和任何脚本)反馈给卡片。卡片随后可以更新其内部计数器、调整离线限额或执行发卡机构脚本,例如更改密钥或禁用应用程序。某些优化功能(例如 Visa Quick Chip 和 Mastercard M/Chip Fast)会在卡片快速从读卡器中取出时跳过 ARPC 和脚本处理。
芯片卡的类型:芯片签名卡、芯片密码卡等等
从用户的角度来看,芯片卡的主要区别在于终端上的身份验证方式。最广为人知的两种模型是芯片签名和芯片 PIN 码,尽管 EMV 还支持非接触式和移动场景的其他选项。
芯片签名卡使用芯片来保护交易数据,但仍然依赖您的手写签名作为验证方式。您插入或轻触银行卡,芯片会协商完成安全交易,然后您在收据上签名。这种模式比纯粹的磁条加签名方式更安全,因为磁条盗刷更难,但签名本身作为身份验证仍然相对薄弱。
芯片密码卡增加了一个个人识别码,作为确认持卡人身份的主要方式。读取芯片后,终端会要求输入4-6位数的PIN码。PIN码的验证方式有两种:一是芯片离线验证(明文或加密形式);二是发卡机构在线验证。在许多国家,例如加拿大、英国、法国以及欧洲和拉丁美洲的大部分地区,芯片加PIN码是借记卡和信用卡的标准支付方式。
Exor否决了Tether对尤文图斯足球俱乐部1.1亿欧元的收购要约,并誓言将俱乐部留在阿涅利家族手中。有些市场会同时采用这两种方法。例如,美国长期以来倾向于使用芯片签名支付方式,尤其是在信用卡方面,而密码(PIN)主要用于借记卡和ATM交易。与此同时,一些无人值守终端(例如加油泵、售票机)即使使用信用卡也可能要求输入密码,跨境旅行者经常会发现不同国家在支付方式上存在差异。
非接触式EMV卡和移动钱包引入了另一层验证:消费者设备验证对于非接触式支付,当交易金额低于特定限额时,CVM 可能显示为“无需 CVM”;当智能手机或可穿戴设备已通过指纹、面部识别或设备 PIN 码验证用户身份时,则显示为“消费者设备 CVM”。在这种情况下,终端会信任该验证结果,不会再次提示持卡人。
芯片卡的安全优势
芯片卡的核心安全优势在于,在授权交易时使用动态密码而非静态数据。每次在支持芯片的终端上使用芯片卡时,都会生成一个唯一的加密代码,该代码无法重复使用。即使犯罪分子截获了该代码,也无法帮助他们日后批准另一笔付款。
这种动态方法使得传统的克隆攻击(对磁条卡非常有效)对芯片交易基本无效。虽然磁条会泄露复制银行卡所需的所有信息,但EMV芯片永远不会暴露其内部密钥,也永远不会发送两次相同的加密信息。结合发卡机构的欺诈监控,在EMV普及的地区,伪卡欺诈已大幅减少。
发卡机构和支付网络利用先进的欺诈监控系统来增强芯片安全性。银行会按地点、商户类别、消费金额和时间追踪信用卡使用情况。如果发现可疑模式——例如突然出现的境外交易或异常的消费激增——银行可以拒绝授权或联系客户。一旦确认是欺诈行为,发卡机构通常会根据相关法规和协议规则退还未经授权的款项。
许多EMV卡和终端也支持离线PIN码验证,即使终端无法连接到发卡机构,该功能也能正常工作。芯片会使用安全地存储在卡上的加密密钥来验证PIN码。虽然离线方法并非完全免疫所有类型的攻击,但在网络连接不稳定的环境中,它们能有效防止因卡片丢失而导致的简单滥用行为。
非接触式EMV支付在轻触支付中内置了相同的加密保护措施。尽管存在一些误解,但EMV非接触式交易与接触式交易具有类似的保护措施,包括动态加密、风险检查以及对无CVM交易的限额。对于高额非接触式消费,许多市场要求输入PIN码或进行设备身份验证。
真实世界数据支持EMV的有效性。例如,万事达卡和维萨卡报告称,在部署了EMV终端的商户中,当面刷卡欺诈案件下降了70%至80%以上。加拿大在移民潮后的几年里,国内借记卡欺诈案件下降了近90%,信用卡欺诈案件下降了超过三分之二。
芯片卡的局限性、漏洞以及无法解决的问题
尽管芯片卡技术有了显著改进,但它并不能完全抵御所有形式的支付欺诈。EMV 主要针对实体终端上的刷卡伪造和盗窃;其他欺诈手段依然存在,而且随着犯罪分子不断调整,有时甚至会愈演愈烈。
EMV推广的一个显著影响是欺诈行为向“非接触式”(CNP)渠道转移。例如在线、电话和邮购购物。在这些情况下,商家无法向顾客出示键盘或芯片读卡器,因此交易依赖于卡号、有效期、安全码以及其他基于网络的身份验证方式。因此,在许多市场,非接触式支付欺诈已成为信用卡欺诈总额中很大一部分,甚至往往占大多数。
攻击者不断探测EMV实现中的漏洞,一些学术团队已经展示了概念验证性的攻击方法。例如,中间人攻击设备会欺骗终端,使其误以为密码已验证;或者持卡人验证方法的配置和验证存在漏洞。此外,还发生过大规模供应链攻击,攻击者在部署前对POS终端进行物理篡改,以窃取卡片数据和密码。
为了缓解这些问题,一些方案引入了诸如“iCVV”(芯片上与磁条上不同的验证值)之类的措施。 这样一来,从EMV交易中窃取的数据就无法被重新用于构建可用的Stripe克隆设备。此外,POS安全、密钥管理和设备生命周期控制方面的标准和最佳实践也变得更加严格,使得在不被察觉的情况下将非法设备植入现场变得更加困难。
近期研究还指出,某些品牌的非接触式PIN码执行存在缺陷。报告展示了老练的攻击者如何通过篡改未受保护的数据字段或造成“品牌混淆”(即终端误以为自己正在与一个网络通信,而实际上卡片属于另一个网络)来绕过PIN码验证。网络运营商和EMVCo会针对此类发现更新规范并加强认证,但关键在于,从安全角度来看,任何系统都永远无法做到万无一失。
重要的是,芯片卡并不能防止商家或支付处理机构发生数据泄露。如果零售商的系统遭到入侵,攻击者仍然可以截获流经其内部网络的交易数据,尽管强大的加密技术和令牌化技术限制了攻击者对这些数据的操作。EMV降低了被盗店内数据用于创建克隆账户的效用,但其本身并不能完全阻止数据泄露的发生。
在现实世界中使用芯片卡
从持卡人的角度来看,只要使用过几次,在商店或ATM机上使用芯片卡就非常简单。在支持芯片的POS终端上,您将卡片芯片朝前插入卡槽,并保持插入状态,直到屏幕提示您取出卡片。终端和芯片会在几秒钟内完成之前描述的所有步骤。
根据商家设置和您的银行卡类型,您可能需要输入密码、签名,或者无需任何操作。在一些国家,传统的信用卡交易仍然接受签名,但许多发卡机构和商家正在转向使用 PIN 码或无签名流程,以简化结账流程,并更多地依赖 EMV 的加密安全性以及后端欺诈检测。
日本银行业巨头联手推出新的日元稳定币如果终端不支持芯片,或者多次尝试后芯片仍然无法读取,则可能会回退到磁条刷卡。保留磁条卡主要是为了支持旧系统和国际旅客,但同时也伴随着更高的风险。因此,卡组织和发卡机构通常会将磁条卡回退视为可疑交易,并可能对这些交易实施更严格的监控或拒绝规则。
ATM机处理芯片卡的方式类似。您插入银行卡,ATM机读取芯片,然后您输入密码。有些ATM机在与芯片通信时可能会短暂地吸回并重新插入银行卡,但一般规则相同:请将银行卡留在机器中,直到屏幕提示您可以取出并取款。 现金或收据.
使用芯片卡进行网上和电话购物与使用旧式磁条卡进行网上和电话购物的方式基本相同。您仍然需要在网站上输入卡号、有效期和安全码,或者在电话中口头提供这些信息。EMV芯片卡并不会改变这一点,尽管同一张卡可能注册了3D安全验证或其他类似的强客户身份验证工具,这些工具会添加一次性验证码或带外确认来降低非接触式支付欺诈的风险。
商户采纳、责任转移和全球差异
推动全球EMV普及的主要杠杆之一是“责任转移”的概念。历史上,发卡机构承担了大部分伪造欺诈造成的损失。根据EMV规则,如果发生欺诈交易,而一方(商户/收单机构或发卡机构)使用EMV技术而另一方未使用,则责任通常会转移到未升级到芯片技术的一方。
这些责任转移因地区、卡品牌和渠道而异,发生日期也各不相同。例如,在欧盟,POS机的许多变革在2000年代中期生效,ATM机的变革则稍晚一些。在拉丁美洲、亚太地区和加拿大,EMV的实施时间表各不相同,但都遵循类似的原则:延迟EMV升级的商户和ATM运营商面临着越来越大的伪钞欺诈损失风险。
美国作为后起之秀,在2015年10月1日经历了POS系统责任认定方面的重大转变。对于大多数网络而言,芯片卡的普及日期会稍晚一些,而ATM机和自助加油机(“自助加油”)的普及日期则会更晚一些。截至目前,绝大多数美国银行卡都已支持芯片,大多数商店也接受芯片卡,尽管有些商店仍然依赖磁条卡,或者采用混合配置,即配备了芯片读卡器但芯片功能尚未完全启用。
加拿大的Interac等区域性银行卡系统以及欧洲、亚洲和非洲的国内系统都有各自的EMV迁移里程碑。一些国家,例如马来西亚,较早地实现了银行卡和终端的全面EMV合规,而其他国家则分阶段逐步推广。尽管时间表各不相同,但趋势一致:EMV广泛推广后,刷卡欺诈显著下降。
对于旅客而言,EMV使用方式的差异可能会造成实际不便。来自磁条卡市场的游客可能会发现,国外的一些自助服务终端、售票机或无人加油机拒绝接受他们的卡,因为这些设备需要芯片加密码(Chip+PIN)才能使用。反之,一些以芯片卡为主的国家的商家可能不愿接受仅支持签名或仅支持磁条的外国卡,他们误以为这会增加他们的责任风险,尽管根据相关规定,如果网络支持,他们通常必须接受该卡。
EMV超越实体卡:远程认证和令牌
随着非接触式刷卡欺诈的日益猖獗,网络运营商和发卡机构将EMV概念扩展到了线上和远程交易领域。一项重要的发展是使用一次性密码和基于设备的身份验证器,这些身份验证器依赖于 EMV 风格的加密技术,例如万事达卡的芯片认证程序 (CAP) 和 Visa 的动态密码认证 (DPA)。
在这些模型中,实体芯片卡或专用的EMV设备会生成有效期很短的代码,用于证明持卡人拥有该卡以进行在线支付。用户通常将卡插入小型读卡器,或使用带有集成键盘和显示屏的卡片获取一次性验证码,然后在商家或银行网站上输入该验证码。即使该验证码被截获,也无法再次使用。
另一个重要的演变是 符号化它将实际卡号替换为替代值。在EMV环境下,代币既可用于实体店也可用于线上:Apple Pay或Google Pay等移动钱包会将EMV代币存储在设备上,每次交易都会生成一个一次性加密信息,发卡机构可以将其映射回真实账户。由于代币的作用范围有限,且无需更换实体卡即可撤销,因此大大降低了被盗数据的价值。
在这些模型中,实体芯片卡或专用的EMV设备会生成有效期很短的代码,用于证明持卡人拥有该卡以进行在线支付。用户通常将卡插入小型读卡器,或使用带有集成键盘和显示屏的卡片获取一次性验证码,然后在商家或银行网站上输入该验证码。即使该验证码被截获,也无法再次使用。
银行和支付处理机构现在将EMV融合在一起。 符号化将3D安全验证、行为分析和强大的客户身份验证规则融入多层防御策略芯片卡是这套系统中的一个支柱:它们在阻止直接克隆和许多销售点攻击方面非常有效,但它们作为更大的控制生态系统的一部分才能发挥最佳作用。
EMV芯片卡、责任转移和现代风险工具已经重塑了全球卡支付的运作方式。减少面对面的假卡欺诈,改变商户和发卡机构的激励机制,并迫使犯罪分子寻找电子商务、社交工程和恶意软件中的薄弱环节。对于持卡人和企业而言,了解芯片的工作原理、其防护范围以及仍然存在的安全漏洞,是支付、接受银行卡或设计支付系统时做出更明智的安全选择的关键。
相关文章:代币化成为焦点:标普指数计划、风险加权资产、货币市场和支付融合