支付常识

最新推荐文章于 2024-06-28 18:16:02 发布

岳山

最新推荐文章于 2024-06-28 18:16:02 发布

阅读量1.2w

点赞数 6

分类专栏：互联网金融银行业务

本文链接：https://blog.csdn.net/starryheavens/article/details/50590485

版权

名词解释

SE：Secure Element，安全元件。手机中的一块独立芯片，被硬件级别的加密保护着，其中的信息无法被破解或非法读取。
NFC：Near Field Communication，近场通讯。非接触式连接技术的一种。
PAN：Primary Account Number，主账号。一般指银行卡号。
PIN：Personal Identification Number，个人身份识别码，一般指密码。
CVM：Cardholder Verification Method，持卡人身份验证手段，签名、密码、指纹等都是属于CVM。
POS：Points Of Sales，零售店电子转账终端，就是商家的刷卡机啦。每台刷卡机对应着商家在某个银行的一个账户。实际上每一笔刷卡交易银行都会收取一定比例的手续费，这也是一些商品购买时如果刷卡要多付几个百分点的原因。
Token：令牌，用于代表用户已通过身份验证的东西。

比如乘火车时，乘务员会要求你出示火车票（相当于用户名）和身份证（相当于密码），确认无误会换给你一个卧铺的铁牌。持有此铁牌，就意味着乘务员已经验证过车票和身份证了。Token技术其实在互联网领域很常见，比如你用浏览器登录邮箱、微博之类的网页勾选了“记住密码”，那么服务器在验证了你的账号和密码之后会生成一个字符串存在你的浏览器里，这个字符串就是Token。不管你刷新网页、重启浏览器甚至重启电脑，只要浏览器出示这个字符串给服务器，服务器就会认为你已经通过了账号和密码验证，允许你进行登录后的各种操作。

MST： Magnetic SecureTransmission，安全磁力传输。

是一种磁道模拟技术，三星前段时间在S6手机上加了这个功能，这个功能需要硬件的支持，手机在靠近POS机的时候会发现磁模拟信号，POS机上的磁条刷卡器会感应到，整个过程就像是刷一张磁条卡。

CBP：cloud basedpayments，云端SE。

传统的CPU卡都是基于安全芯片的，这个芯片就是一个SE。HCE要模拟卡片，手机上硬件理论上也应该有这么一个SE，但是因为安卓手机的操作系统是开源的，容易被ROOT，很难在本地建立这样的安全环境。于是有人提出了基于token技术的云端SE概念，也就是把保密的数据放在云服务器端，每次交易时都去获取，这样的一个云服务器端就是一个CBP。

A.在电子世界，钱的本质只是数据库中的一个数字

在一开始，让我们假设这样一个平行宇宙，在这个宇宙中的地球上只有一家银行。在这种情况下，所有消费者的信用卡、储蓄卡和所有商家的POS机都属于这家银行。而这种情况下，每个人的账户实际上是这家银行数据库中的一行，而某个账户内的余额/剩余额度则是这一行中其中一项。在这种情况下，交易的进行非常简单，当某个消费者在某个商家处买了10元钱的东西并刷卡付款时，银行只需要将该消费者账户上的数字减10，然后把这个10加到商家的账户数字上就可以了，数据库的数值之和保持不变。

而我们身处的宇宙显然复杂得多，地球上存在着数不清的银行，每家银行都有自己独立的数据库。这时，持有A银行信用卡的消费者要在某商家消费，而该商家的POS机对应商家在B银行的账户，那么A银行就必须和B银行沟通，A银行从自己的数据库中扣掉相应的数字，然后B银行在自己的数据库中增加相应的数字，然后两家定期结算（比如一天一次），真实的钱才会在银行间转移。而地球上那么多银行，让银行彼此之间点对点地沟通显然是不科学的，于是信用卡组织这个机构充当了银行之间的交流桥梁，A银行只需要和信用卡组织沟通，然后让卡组织传达给对应的银行就可以了。常见的信用卡组织有Visa（维萨）、MasterCard（万事达）、AE（AmericanExpress，美国运通）、Diners Card（大莱）、JCB（JapanCredit Bureau，日本信用卡株式会社）和中国的银联（UnionPay）等。

缩写说明中说的刷卡手续费，实际上会在消费者的发卡行（A银行）、商家的POS机收单行（B银行）和卡组织之间按照一定的比例瓜分。比如刷卡手续费是0.1%，消费者刷卡1000元，商家实际上只能从银行拿到999元，剩下的一元手续费中7毛归发卡行，2毛归收单行，1毛归银联。

B.卡片的本质是虎符

银行发出的卡数量巨大，如何确定某笔交易要记在哪个人的账上呢？这就需要PAN来发挥作用，也就是你的卡号；而如何验证要求把这笔交易记在你账上的人是你本人呢？这就需要只有你知道的信息——PIN，也就是密码来验证了。这两个概念类似于QQ号和密码，在互联网时代很容易理解了。

假设不存在银行卡这种实体，那么你在消费时就要输入冗长的银行账号外加密码，不仅十分不便，更是十分不安全；银行账号作为一串信息可以很轻易地被别有用心的人记录和复制，从而发生盗用的情况。而银行卡的意义就在于此：卡片作为实物，被盗取和复制的难度要远大于记住一串数字。制作一张银行卡，上面印有你的独一无二的PAN，那么这张卡片就成为你的账户所有人身份的实体证明。

在最开始，银行卡的使用并不是刷卡的。没有磁条的时代，银行卡只是一个塑料片，上面有凸起的卡号。消费时，商家把卡片放在自带复写性的账单下用力压过，卡片上突起的卡号就会拓印在账单上，经由持卡人签名后账单就生效了，商家拿带有签名的账单去银行就可以换成钱了。这也是为什么现在大部分银行卡都用印刷卡号取代了凸起的卡号，因为手工压单的记账方式已经被淘汰啦。

既然银行卡代表了账户所有权，那么保证这张卡片的唯一性和不可复制性就变得非常重要了。实体的塑料片虽然不那么容易复制，但也并不是完全不可能的（只要做出对应的模具就可以了），而卡号信息就明明白白的在卡上呢。于是紧接着，磁条卡取代了这种银行卡。

就像磁带一样，磁条用磁迹代表信息，比如某个位点上有磁性是1，没有磁性是0，那么一连串10组成的二进制字符就可以用来存储信息了，上面就是我国磁条卡存储信息的格式，其中的主账号就是最重要的PAN啦。银行卡的磁条需要对应的刷卡机才能读取，因此大大增加了卡片的复制难度。但道高一尺魔高一丈，市面上又出现了磁条复制器，它同样可以读取磁条信息，将读取的信息按照相同的规则写到空白磁条中，一张复制卡就被制造出来了。现在ATM机的插卡口都装有一个奇怪的嘴巴，就是为了避免坏人在上面安装磁条复制器盗取消费者的银行卡信息。

技术继续进步，半导体技术的发展使得集成电路越做越小，小到可以做成一张小小的金属芯片贴在卡片上，这就是IC卡（IntegratedCircuit Card，集成电路卡），上面的金属片实际上是一个微型计算单元，可以像计算机一样进行一些简单的运算。IC卡的应用相当广泛，最典型的比如SIM卡就是其中一种。IC卡这种形式也很快造福了银行业，Visa、MasterCard等卡组织联合起来制定了新的银行卡标准，名为EMV（EMV是当初参与制定标准的三家卡组织首字母缩写：Europay、MasterCard、Visa）。在国内，银联也推出了类似的自主标准，名称为PBOC（中文名叫《中国金融集成电路（IC）卡规范》，大概是The People's Bank of China 中国人民银行的缩写？），这种IC银行卡在国内被称为「芯片卡」。

由于芯片是计算单元，因此可以在内部定制一些算法，在每次交易的时候生成一个一次性的随机数，当作加密PAN的密钥。这种算法由于是固化在芯片上的电子线路，每张卡片都不同，并且只有发卡的银行才知道。进行交易的时候，加密后的PAN传输到银行，银行会用相同的算法生成密钥，把加密信息解码转换成真实的卡号。得益于加密和动态随机数，EMV芯片卡几乎无法被破解、复制，达到了相当安全的程度。

既然芯片上是一个拥有计算功能的单元，那么就可以用它实现更多的功能，就像智能手机可以装很多App一样。在EMV和PBOC中都规定了芯片卡的更多用法，比如芯片中可以同时存储多个账号，除了银行卡PAN之外还可以记录社保账号、医保账号等，甚至可以用作门禁卡等等。银联在最开始推出的「挥卡闪付」，实际上就是在芯片中设立一个单独的子账户，银行允许POS在读写这个子账户的时候不必与银联进行通讯验证（即离线交易），因此这个子账户没有密码，也因此有额度限制（子账户上最多可以放1000块）。钱从银行账户转到这个子账户上需要通过ATM圈存，就像你把银行卡里的钱圈存进校园卡或者公交卡一样，圈存的时候需要在ATM