EMV小程序(例如万事达卡的M / Chip和Visa的VSDC)与POS终端之间的相互身份验证

时间:2019-03-28 04:41:44

标签: authentication emv mutual-authentication

据我所知,对于EMV卡,在交易发生之前,终端要进行卡身份验证(使用静态数据身份验证或动态数据身份验证),以确保该卡不是伪造的卡。 (相反,似乎无法进行POS终端身份验证)

在Google Play中,有许多应用程序可以读取EMV卡数据。 使用支持NFC的智能手机,我们可以读取卡的敏感信息,包括卡号和有效期。 (与使用智能卡读卡器的接触式EMV卡相同)

我的问题是:

对于EMV卡,是否有任何标准规定了卡与终端之间的“相互认证”协议。 并且卡仅在执行“相互认证”步骤后才将卡数据发送到终端。

谢谢

3 个答案:

答案 0 :(得分:1)

据我所知。我相信是这样,因为业务用例无法证明该要求是合理的。

情况1.如您所说,有些读取器可以读取卡数据。但是,如果有人从卡中拿走所有数据并在终端上重播,由于交易受一次使用的密码保护,并且终端提供了不可预测的数字,因此它将失败。

情况2.伪造卡后的欺诈者可以获得一些商品/服务并离开,但对于终端机,必须将其注册到收单行/银行。不能有僵尸终端。因此,终端机要检查卡的真实性,而不是相反。

您可以从芯片上获取轨道/卡,但是磁条也可以。

答案 1 :(得分:1)

终端和卡之间的 EMV付款交易中没有相互认证

由于每笔交易都基于某些特定于交易的唯一数据和密码,因此无法克隆(这里我不是在谈论SDA卡)。

即使任何读取器都可以读取数据(EMV实际允许),由于这些读取器应用程序未获得EMV的授权,因此它们不能使用VISA / MasterCard服务器进行事务处理。

答案 2 :(得分:0)

(从另一个角度扩展现有答案)

在线交易期间,卡确认终端能够与发卡行进行通信-即终端能够传递卡生成的ARQC strong>给发行人,并获得有效的ARPC

Gaurav Shukla在his answer中指出,伪造的终端无法与相应的付款关联服务器进行通信。