目录 |
CVV,即 Card Verification Value,而Mastercard 称作Card Validation Code (CVC)。VISA CVV和MC CVC都是由卡号、有效期和服务约束代码生成的3位或4位数字,一般写在卡片磁条的2磁道用户自定义数据区里面。CVV和CVC的生成方法是一样的,只是叫法不一样而已。CVV2是打印在 Visa/MasterCard 卡签名区的一个数字.它位于信用卡号后的3位数字。我们通常在信用卡背面看到的后三位数字,其实是CVV2,并非CVV代码。
CVV2和CVC2也是同样算法得出的卡片验证值,只不过是在卡片生成的时候印制在签名条上。
CVV/CVC在联机交易(刷卡)的时候核对,CVV2/CVC2在非现场交易/手工交易(刷不到卡)时核对。
CVV密码校验是指商业银行在其使用的银行卡号编码规则和磁条数据格式中加入自定义加密算法的验证码(CVN),相关银行卡也就被称为CVN银行卡。
CVV信息被存储在磁条银行卡的磁道中,根据卡号、磁道主账号、发卡银行标志代码等信息,通过各银行自定义的特殊加密算法进行加密,每步都采用CVKA技术加密,得到验证码。由于不同银行的加密算法有差异,因此,利用获得的银行卡信息非法制作的部分假卡在发卡行解密时能够被识别而无法使用。
网站收信用卡的流程,基本上是下面三种情况之一:
A:卡号+有效期
这种多是航空公司、酒店预订或者租车预定类型的。
B:卡号+有效期+CVV2码
之所以加一项卡片背面的CVV码,是为了确认卡片确实是在持卡人自己手里的。所以平时在外面刷卡的时候,注意不要轻易让人看到,尤其是记录下那个三位号码,以免人家连同卡号有效期一起窃取以后到网上去盗刷
C:卡号+有效期+CVV2码+“Visa验证”码(Verified by Visa)。
这最后一个码是发卡银行预先与持卡人约定的一个专门用于网上刷卡验证的密码。在支持“Visa验证”码的商户支付时,填完B中的信息后,网站会弹出一个页面(这个页面其实是发卡银行的,细心一点可以发现窗口顶部的蓝色地址栏显示的是发卡银行的网址,而且弹出页面上有发卡银行的LOGO),要求填入“Visa验证”码。这个网页实际上是脱离商户,直接由持卡人与银行完成身份验证,也保证了这个“Visa验证”码不会被商户截获。更好的保护了持卡人安全。
“Visa验证”服务基于名为 “三维安全”的技术平台上,这种技术的规格和通信协议是采用加密安全连接层协议(SSL)技术加密,这种加密技术现为大多数网上商户所采纳。
“Visa验证”服务标志会显示在参与服务的网上商户的网页上,也会在持卡人登记、以及每次网上购物输入个人密码验证时出现。
如果选择的购物网站加入了“Visa验证”的购物网站上,就可以享受Visa验证服务,这样的商户是经过VISA确认的安全购物网站。支付时会弹出一个页面,让你输入Password(就是Visa验证码)。这个网页实际上是调取发卡银行的页面(这一点可以从弹出页面上的发卡银行logo进行判断,因为商户是不可能只通过一串信用卡号而判断出是远在千里之外的某家银行发行的),由持卡人通过预先与银行约定的“Visa验证”密码来完成与发卡银行之间的身份验证。这个页面其实是由于是持卡人在发卡银行网页上直接进行身份验证,因此不会造成密码被商户截取。验证通过后,发卡银行会发送一条信息给商户,对交易进行授权,持卡人因此可以完成与商户的交易。
VISA验证的作用就是,不仅可以验证境外网站的合法性,还可验证持卡人身份,从而降低了境外网上购物被盗用的风险。
2009年2月3日,自己的信用卡消失了6000元,打到客服部门,被告知卡主提供银行卡号和背后的三位数字,核对一下个人信息就可以消费了,不需要实物卡也不需要密码。网友形容此为“惊天支付漏洞”。
有网友表示,自己电话订机票,也是只需输入银行卡号和背后的三位数字,还有信用卡的有效期限就可以了,根本不用密码。昨天中午,携程旅行网客服人员告诉记者,通过信用卡购买机票需要提供的信息是:卡号、信用卡有效期、“后三位”验证码、持卡人身份证号即可。
广州不少市民在接到自称信用卡中心打来的电话时,都会觉得只要不说密码就不危险,但有时会被套去生日、手机号等信息。这些信息对不法分子实施诈骗起到了关键性作用。
1 将以下从第二磁道中抽取出的字符从左至右排列,产生26个字符:
主帐号(PAN) 19位
卡有效期(EXPIRE DATE) 4位
服务代码(SERVICE CODE) 3位
并转换为104 Bits(26x4),转换方法为将每一位数字转换为4位的BCD码,即:
十六进制数字 /BCD码
0 0000
1 0001
2 0010
3 0011
4 0100
5 0101
6 0110
7 0111
8 1000
9 1001
A 1010
B 1011
C 1100
E 1110
F 1111
2 将步骤1得出的结果的最后补上二进制"0",使之成为128 Bits的字段,
将该字段分为两个64 Bits的数据,其中前64 Bits数据为数据块1,后64
Bits数据为数据块2。
3 用CVKA对数据块1加密(ENCRYPTION)。
4 将步骤3得出的结果与数据块2异或(XOR),并用CVKA对结果加密。
5 用CVKB对步骤4得出的结果解密(DECRYPTION)。
6 用CVKA对步骤5得出的结果加密。
7 对步骤6得出的结果从左到右抽取出所有的数字(0~9)。
8 对步骤6得出的结果从左到右抽取出所有的十六进制字符(A~F),并对每一个十六进制字符减十进制10,使之变为数字,例如十六进制B(十进制为11)变为1。
9 将步骤7和8得出的数字从左至右排列,步骤8得出的数字放在步骤7得出的数字之后。
10 步骤9得出结果的前三位数字即为卡的校验值(CVV)。
以下数据可用于编写CVV算法时检查程序是否正确,其中:
CVKA= 0123 4567 89AB CDEF
CVKB= FEDC BA98 7654 3210
13位PAN 失效日期 服务代码 CVV
4123 456 789 012 8701 101 370
4999 988 887 777 9105 111 649
4666 655 554 444 9206 120 821
4333 322 221 111 9307 141 697
16位PAN 失效日期 服务代码 CVV
4123 456 789 012345 8701 101 561
4999 988 887 777000 9105 111 245
4666 655 554 444111 9206 120 664
4333 322 221 111222 9307 141 382
以第一个十六位主帐号为例,计算卡校验值的步骤如下:
主帐号: 4123 4567 8901 2345
失效日期: 8701
服务代码: 101
步骤1: 抽取数据
4123 4567 8901 2345 8701 101
步骤2: 数据块
VISA卡校验值CVV的计算
块1 = 4123 4567 8901 2345
块2 = 8701 1010 0000 0000
步骤3: 用CVKA加密
块1 = 4123 4567 8901 2345
CVKA = 0123 4567 89AB CDEF
结果3 = B76A DDCE 71CC C6BE
步骤4: 用块2异或步骤3的结果,并用CVKA对异或结果加密
结果3 = B76A DDCE 71CC C6BE
块2 = 8701 1010 0000 0000
结果 = 306B CDDE 71CC C6BE
CVKA = 0123 4567 89AB CDEF
结果4 = A510 46A2 59A4 C467
步骤5: 用CVKB对步骤4的结果解密
结果4 = A510 46A2 59A4 C467
CVKB = FEDC BA98 7654 3210
结果5 = 90F6 DB02 A6F7 E621
步骤6: 用CVKA对步骤5的结果加密
结果5 = 90F6 DB02 A6F7 E621
CVKA = 0123 4567 89AB CDEF
结果6 = 5B61 4982 E03C 97DD
步骤7: 对步骤6的结果抽取数字
结果7 = 5614 9820 397
步骤8: 对步骤6的结果抽取十六进制字符,并转换为10进制数字(每位减10)
抽取结果 = BECD D
结果8 = 1423 3
步骤9: 将步骤8的结果排列在步骤7的数字后面
结果9 = 5614 9820 3971 4233
步骤10: 步骤9的结果前3位数字为CVV
VISA卡校验值CVV的计算
结果10 = 561
VISA PIN校验值的计算包括以下要素:
序号 要素 说明
1. PVKA Left part(64 bits) if the PIN Verification Key Pair
2. PVKB Right part(64 bits) if the PIN Verification Key Pair
3. PAN rightmost 11 digits of the PAN exclude the check digit
4. PVK Index 0-F
5. Consumer PIN First 4 digits of the consumer PIN
PIN校验值即PVV的计算方法如下:
1. 由PAN的最右11个数字(不包含校验位)和PVK索引号(一个十六进制数字)及客户个人密码的前4位组成1个16字节的十六进制数字串
2. 将以上16字节的十六进制数字串转换成64比特BCD码,用PVKA作DES加密(Encryption)运算
3. 将以上结果用PVKB作DES解密(Decryption)运算
4. 将以上结果再用PVKA作DES加密(Encryption)运算得结果
5. 对步骤4得出的结果从左到右抽取出所有的数字(0~9).
6. 对步骤5得出的结果从左到右抽取出所有的十六进制字符(A~F),并对每一个十六
进制字符减十进制10,使之变为数字,例如十六进制B(十进制为11)变为1.
7. 将步骤5和6得出的数字从左至右排列,步骤6得出的数字放在步骤5得出的数字之后.
8. 步骤7得出结果的前四位数字即为PIN的校验值(PVV).
(二)测试数据
以下数据可用于编写PVV算法时检查程序是否正确,其中:
PVKA = 0123 4567 89AB CDEF
PVKB = FEDC BA98 7654 3210
13位PAN PVK Index Consumer PINPVV
4123 456 789 012 x 0 123456 3920
4123 456 789 012 x 0 1234 3920
4999 988 887 777 x 1 234561 4045
4999 988 887 777 x 1 2345 4045
4666 655 554 444 x 2 345612 2635
VISA PIN校验值PVV的计算
4666 655 554 444 x 2 3456 2635
4333 322 221 111 x F 456123 3421
4333 322 221 111 x F 4561 3421
16位PAN PVK Index Consumer PINPVV
4123 4567 8901 2345 x 0 123456 0410
4123 4567 8901 2345 x 0 1234 0410
4999 9888 8777 7000 x 1 234561 0105
4999 9888 8777 7000 x 1 2345 0105
4666 6555 5444 4111 x 2 345612 6307
4666 6555 5444 4111 x 2 3456 6307
4333 3222 2111 1222 x F 456123 7112
4333 3222 2111 1222 x F 4561 7112
注:以上表中x为帐号之校验值,不包含在运算中.运算时,帐号只有x左面11位数字有
效. 以第一个十六位主帐号为例,计算卡校验值的步骤如下:
主帐号: 4666 6555 5444 4111 x (注:x为帐号之校验值)
PVK Index: 2
Consumer PIN: 345612
步骤1:抽取数据组成数据块
结果1 = 555 5444 4111 2 3456
步骤2:用PVKA作DES加密(Encryption)运算
结果1 = 555 5444 4111 2 3456
PVKA = 0123 4567 89AB CDEF
结果2 = 6568 2AF5 0304 A6CA
步骤3:用PVKB作DES解密(Decryption)运算
结果2 = 6568 2AF5 0304 A6CA
PVKB = FEDC BA98 7654 3210
结果3 = 5644 6FB7 C183 CCDF
步骤4:再用PVKA作DES加密(Encryption)运算得结果
结果3 = 5644 6FB7 C183 CCDF
PVKA = 0123 4567 89AB CDEF
结果4 = 63C0 DB79 EEB3 FB9D
VISA PIN校验值PVV的计算
步骤5:从左到右抽取出所有的数字(0~9)
结果5 = 6307939
步骤6: 对步骤4的结果抽取十六进制字符,并转换为10进制数字(每位减10)
抽取结果 = CDBE EBFB D
结果6 = 2314 4151 3
步骤7:将步骤6的结果排列在步骤5的数字后面
结果7 = 6307 9392 314 4151 3
步骤8:步骤7的结果前4位数字为PVV
结果8 = 6307
1)不要将信用卡的信息写在电脑里;
2)不要将信用卡轻易交给别人;
3)信用卡丢失后,立刻打银行客服电话进行挂失;
4)信用卡是建立在信用体制上的支付结算工具,所以,请认真对待每月给你的对账单,确认自己的消费,如果发现某些异常消费,只要提出证据,是可以拒付的。
5)如果你认为通过告知信用卡的卡号、有效期等信息有危险,建议大家使用网上支付方式进行付款,因为通过网上支付方式会……信用卡的信息是在银行的网上银行进行输入的,所有信息并不会保留在商户手中。
为防越来越多的窃取信用卡信息犯罪,各大银行都给予卡主具体提示。如某银行在寄给信用卡主的信上强调:信用卡卡号、有效期等信息均是交易的重要凭证。请妥善保管卡号、有效期等个人资料,不要把信用卡相关信息告诉别人。有银行还提醒:提供个人身份证件及相关证明文件的复印件申办信用卡时,可在显著位置注明使用用途,例如“仅供申办××银行信用卡使用,复印无效”,以防资料被作他用。