| 信用卡在线支付安全标准与发展 |
| 2006-02-20 分类:本站文章 |
|
信用卡最初为现实环境POS支付而设计,在应用于互联网之前早已用于远程交易,如邮购与电话购物(MOTO)。这种无卡交易的原理非常简单,消费者只要将信用卡号码与相关信息远程提交给商家便可完成交易,处理流程简单方便使得信用卡很快成为电子商务在线支付的主要方式。然而,通过公开网络传递个人金融信息的问题很快显现,数据传输安全与身份验证是两个主要障碍。卡组织与各方逐步开发多种标准与解决方案,以保证信用卡互联网交易的安全。
1、SSL 1994年出现的SSL协议为信用卡安全交易提供了一种简便的机制,它在消费者与商家之间建立起一种点对点的加密通道,保证了信用卡信息在传输过程中的安全与完整性。商家服务器需要从可信的第三方认证机构申请并安装X.509证书,为消费者浏览器与商家服务器之间以及其他通讯通道建立128位加密的安全层。交易信息到达商家后被解密使用,商家有责任保证信用卡信息存储的安全。 在SSL交易中,消费者必须信任商家能够保护个人信息的安全,也必须认识到其中的风险,买方无法确认商家是否为经过授权的信用卡收单商家。与邮购与电话购物相同,商家也无法验证用户是否真正拥有信用卡,从而承担欺诈交易的风险,这是从事收卡业务应负担的成本。在互联网环境中,软商品(如游戏、软件、数字内容)交易可以通过在线方式完成交割,尤其提升了这种风险。 SSL的关键不足在于消费者的身份难以被验证,导致了大量交易否认、欺诈交易与支付争议,卡组织与银行不得不采取一些附加措施以增强在线交易的安全性。利用信用卡已有的验证码对使用者的身份进行验证是一种解决办法,如Visa的CVV2、万事达的CVC2。在一些具有严格邮政编码体系的市场,卡组织还采取地址验证(AVS)的办法对持卡人的真实性进行检验。另外,对于一些高风险交易与跨国交易,商家还采取人工核实的办法甚至拒绝部分定单。面对电子商务的高速增长,卡组织意识到必须提供更安全、有效、统一的安全解决办法。 2、SET 1996年两大卡组织合作开发SET(Secure Electronic Transaction)协议,这是一套基于证书的系统,使用数字签名代替现实环境中的手写签名。SET保证了交易的安全与完整性,并通过数字证书对持卡人与商家的身份进行验证。SET环境中,商家可确保其消费者不会否认交易,并且自身可被收单机构认证为真实可信的商家,因而,欺诈与扣款责任将转移至发卡机构。 尽管SET是一套完美的解决方案,但在市场推广方面并没有取得成功。主要原因在于系统过于复杂,无论持卡人、发卡与收单方都需要安装软件与管理证书。1998年金融研究机构Tower指出,SET在技术上是成功的,但过高的成本难以给各参与者带来价值。另外,两大卡组织并没有投入资金进行全球推广,也没有制订针对商家和发卡机构的激励措施。SET只在部分欧洲市场取得小范围的成功,在美国市场几乎没有被接纳,至2000年前后,全球范围的SET方案已基本宣告消亡。 3、3D-SET 3D-SET是SET的升级版本。1999年Visa国际董事会通过的“Visa认证计划”中包含了该协议,并于2000年5月发布,该协议也被万事达支持。 3D-SET基于3D模型,即将信用卡交易中各参与方划分为三个责任域,分别为:发卡域(持卡人与发卡机构)、收单域(商家与收单机构)、协作域(卡组织,负责交易中各方的通讯)。3D-SET中,发卡与收单机构可在各自域内选择不同的认证机制。在用户端,持卡人不再需要安装钱包与证书,而是驻留在发卡机构服务器中,也称为服务器钱包,交易发生时持卡人需要向服务器钱包取得认证。同时,商家端的软件与证书也驻留于收单机构服务器中。在协作域,交易流与SET相同。 3D-SET的设计针对SET推广中遇到的障碍,同时又保证早期的SET投资能够充分再利用。在安全方面,仍使用SET协议中的双数字签名,为持卡人与商家提供足够的认证依据,确保交易信息不泄露给商家。方案实施更加简易,但持卡人仍必须在PC中安装软件以使用服务器证书,该软件可通过插件实现,也称为“瘦钱包”方案,插件约100K,远小于SET中4M以上的钱包软件。 服务器钱包的方案使3D-SET协议能够支持多种认证渠道与手段,如芯片卡、移动电话、PDA、机顶盒等,发卡方采用何种认证机制直接决定3D-SET能否达到SET的安全水平。总体上3D-SET是一种过渡方案。 4、3D-Secure 3D-Secure是“Visa认证计划”的第二套协议,后来以VbV(Verified by Visa)为品牌进行推广。协议基于3D模型与SSL安全机制,放弃了严格的SET流程,最初也称为3D-SSL,很快形成了3D-Secure体系。 在发卡域,发卡机构有责任提供认证机制对持卡人进行验证。3D-Secure的最低标准要求消费者通过用户ID/密码进行验证,以确认该用户是信用卡号码的持有者。发卡机构还可采取芯片卡、数字证书等更高安全度的机制实现验证。发卡机构需要提供注册系统并安装访问控制服务器(Access Control Server,ACS),ACS负责与商家以及Visa网络的通讯。 在收单域,收单机构需要提供支付网关系统,商家需要安装商家服务器插件(Merchant Server Plug-in,MPI),MPI负责与Visa网络以及消费者的发卡行进行通讯,并集成至自身购物系统中。 3D-Secure中,Visa更多地参与交易,包括:提供目录服务,以检验卡号码的有效性;向各服务器发行SSL证书并提供许可;提供认证历史服务,记录每笔交易的认证结果。 3D-Secure交易对持卡人的要求降至最低,只需要浏览器即可进行,不需要申请个人证书与安装客户端软件,简单灵活是其最大优势。与SET相比,持卡人并不验证商家的身份,商家需要保存持卡人的交易信息(包括卡号码、有效期等)。交易中包含了大量的消息传递,平均多占用消费者10-15秒的支付处理时间。总体上,3D-Secure在SSL的基础上加入发卡机构对持卡人的验证步骤,从而提供了一种简易的安全支付方案,有效地降低盗用与扣款的发生,其潜在弱点在于不法商家与黑客仍有可能窃取持卡人的用户ID与密码。
3D-Secure交易流程如下:
5、UCAF/SPA UCAF(Universal Cardholder Authentication Field)是万事达建立的一种多用途数据传输机制,利用一个32位字符的字段承载与传输支付授权信息。SPA(Secure Payment Application)是万事达于2001年初建立的一种认证机制,与UCAF结合使用,利用UCAF字段传输发卡行生成的持卡人认证值(Accountholder Authentication Value,AAV),该值使一个持卡人与一笔特定的交易关联起来。AAV(Token,记号或令牌)在交易过程中被不断传递,经由商家与收单机构返回发卡行接受验证。 UCAF/SPA要求持卡人安装瘦钱包(通过Applet实现)。商家一端的影响很小,只需在HTML页面中加入代码以支持新的隐含字段。发卡行必须支持UCAF字段,安装符合SPA的钱包服务器,并与自身的卡系统进行联接,还需要提供注册步骤并为持卡人提供电子钱包插件。可使用多种认证手段验证用户身份,如用户ID/密码、智能卡/密码,甚至生物学方案。另外,发卡行还需要建立产生与验证AAV的系统。 万事达同样在SSL的基础上以一种不同的机制实现对持卡人的认证,放弃PKI体系与证书系统,是一种非常简单的协议。为支持AAV在交易中的传递,万事达升级了网络系统,相比之下,Visa的方案是基于互联网的中央目录服务系统,不需要Visa网络的升级。
SPA交易流程如下:
2002年6月两大卡组织达成合作,万事达接受3D-Secure核心协议,并加入AAV的支持建立自身的实施规范。连同万事达的SPA/UCAF,以及另一套认证方案CAP(芯片认证计划)/UCAF共同以SecureCode为品牌进行推广。两大卡组织同样在SSL的基础上以不同的机制增加了对持卡人的验证措施并实现兼容与集中,为信用卡安全在线支付提供统一的标准,JCB也于2004年3月推出与3D-Secure兼容的认证标准J/Secure。 不仅从技术层面提供安全支付标准,卡组织还通过欺诈责任的转移安排与激励措施推进产业链各方对方案的采纳。如果商家提供了安全支付方式(包括上述的3D-SET、3D-Secure、SecureCode等),发卡行将不能因持卡人否认交易而提出扣款。如果发卡机构提供认证手段,将有责任为持卡人保留交易被验证的证据。经验证的互联网交易等同于现实卡交易,如果缺少对持卡人的验证,发卡方将承担交易被否认的风险。这种责任转移在不同地区先后生效,总体上卡组织将风险更多地转移至发卡机构。同时,发卡与收单机构需要获得卡组织的许可,依据操作规则向持卡人与商家通告并提供相应的服务,技术方案可以从不同的供应商获得,卡组织还以更优惠的交换率吸引各方采纳安全支付标准。 Visa数据显示,至2005年1季度,全球已有400万持卡人注册VbV验证,5.6万商家接受VbV支付,VbV交易占到信用卡在线交易总量的10%。CyberSource的调研也显示,2005年北美商家采用VbV与SecureCode验证的比例已达到29%。 |
 相关文章 |
|
评论
|
|