Visa 3-D规范安全透析 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

信用卡的使用历史也是一个多方博弈的过程。它的每一步发展都与持卡人、发卡行、交换清算组织、收单行、商户这五方的相互关系、交易规则的制定以及利益分配紧密相关。所以推进信用卡网上支付和推进其他信用卡业务一样，如何考虑和协调这五方的利益关系，就成为问题的核心以及制定规则的依据。
    博弈者心态
    持卡人是五方关系中具有决定意义的一方。他们是坚定的信用卡使用者，因为用卡支付为他们带来了信贷便利和许多支付上的便利。在他们对网上支付接受度比较低的原中，网上传输数据的安全性问题是一个因素，但更重要的是电子商务网上支付的环境尚未成熟，大量的网上安全技术概念和复杂的操作方法反而给人们这样的印象：网上支付的技术支持和业务规则尚未完善。他们并不认为网上支付可以使他们享受与普通商户消费者同样的便利和权益。
    发卡行在信用卡业务中获取了卡费、透支利息等收益，所以他们一直是信用卡支付的推进者。蓬勃发展的电子商务会带来更多的信用卡支付，他们当然十分支持。况且网上业务的成本低廉，规模效益明显，与柜台业务相比自不必说，就是与ATM机、POS机等交易方式相比，其单笔交易的成本也要低一个数量级。但发卡行对于网上支付也有自己的烦恼：欺诈交易比例高，持卡人经常会对网上支付的交易提出拒付和争议，各种试图推广网上交易的方案往往给发卡行带来更大的系统改造压力。
    交换清算组织是中立的，某种程度上是交易规则的制定者和争议的仲裁者。他们乐于见到任何形式的信用卡支付，对于代表未来发展方向的网上支付，他们不会放弃这个扩大信用卡使用范围的机会。但是传统的仲裁者身份在网上交易中遇到了新的问题，电子商务中买卖双方不见面，发卡行对持卡人的身份验证、商户方的购买确认全部是电子数据，如何支持传统授权交易中发卡行对收单行的调单功能,保持权威的仲裁者身份，是交换清算组织制定网上交易规则时必须考虑的问题。
    商户往往更乐于接受现金支付，原因是接收银行卡支付要分一定比例的收入给发卡行、收单行、清算组织，而且要添加设备。但是网上交易十分特殊，随着专门从事网上交易的互联网商户以及将传统业务搬到网上的商户不断增多，商户转而希望推动网上支付，这样货款可以在最快的时间内到账。但是许多商户饱受拒付争议和欺诈交易的困扰，他们渴望有一个更好的基于国际互联网的支付服务。
    收单行作为商户的服务者，有责任帮助商户一起完善网上支付，从为商户提供服务以及增加交易量中获取收益。当然，收单行也和商户、发卡行一样，希望增加有效交易的数量，减少拒付、争议、欺诈等异常交易的数量，而这些交易往往是网上支付中常见的。
    网上支付推进中的误区
    在推进网上支付的过程中有一个误区，认为诞生在互联网时代的网上支付代表着新技术，应该尽量采用最先进的技术设备。在这种指导思想下的推广方案遇到了许多阻力。比如，为了完善验证过程，增加有效交易，发卡行可以采用安全性较高的智能卡，但这样会带来大量的设备投资。持卡人如果使用智能卡进行电子商务，在个人计算机系统中还需要安装相应的读卡器和软件进行支持。这恐怕要经过很长的过程才会被持卡人广泛接受。人们认识到，持卡人乐于尝试网上支付，但他们希望在虚拟世界使用信用卡像在现实世界一样简捷、方便和安全。其他各方也都关注一个同样的问题：如何在推广网上支付时尽量利用现有的技术、设备，减少对新设备的投资。
   综合以上对五方利益的考虑，建立信用卡网上安全支付构架的原则是：
    1． 对于持卡人来说，希望建立一个在网上购物时模拟出示卡的环境，可以通过有效的手段确认进行网上交易的是持卡人本人，减轻在网上购物时对安全的忧虑，从而提高使用率；同时，所有关于持卡人的验证工作应该在发卡行一侧进行，持卡人密码等验证数据也应放在发卡行；
    2． 通过技术和规则手段改善交易的有效性，减少拒付、争议以及欺诈等非正常交易，而这一点符合所有参与者的利益；
    3． 由权威的中立组织参与整个支付过程，传递、记录相关的验证信息，作为未来解决可能出现的拒付、争议等情况的依据；
    4． 给予参与方是否采用新构架的选择权和逐步推广的技术、规则保证。但在业务流程和商业规则上，支持和鼓励符合新构架的支付交易；
    5． 避免整个行业的基础设施重建，在安全控制上可以利用已经被市场广泛接受的标准，如SSL，数字证书等，但要支持多种验证方式（密码、证书、光盘、智能卡）及平台（个人电脑、手机、掌上电脑、机顶盒）。
    基于这些考虑以及大量调查的结果，Visa组织针对网上交易推出了3-D安全规范，它的目标是符合所有参与者的利益，改进（而非重建）和规范信用卡的网上支付体系，特别是在业务流程和规则上，使发卡行在网上购物过程中可以对持卡人进行验证，降低可能的欺诈交易，改善交易有效性，从而提高电子商务中网上支付的比例。
3-D安全规范
    3-D安全规范的基础在于将信用卡交易中的五个实体逻辑地分到三个域（Domain）。其中，发卡行域(Issuer Domain)指发卡行和持卡人；协同运行域(Interoperability Domain)是使发卡行域和收单行域在全球范围内协同运行的系统和功能；收单行域(Acquirer Domain)指收单行和商户。
    1． 发卡行域中包含以下要素：
    （1） 持卡人：持卡人进行联机购物，通过安全的直接或软件方式，例如电子钱包，提供持卡人姓名、卡号、有效期，而后准备完成整个交易过程。在购买验证页面，持卡人提供验证所需信息，例如密码；
    （2） 持卡人浏览器：浏览器的作用在于在商户服务器插件（收单行域）和访问控制服务器（发卡行域）之间发送消息；
    （3） 其他持卡人构件：其他可选的硬件和软件可以加强浏览器的功能。例如智能卡，但需要额外的读卡器和软件；
    （4） 发卡行：决定持卡人是否有参加3-D安全规范的资格；对持卡人进行参加3-D安全规范的注册；定义有资格参加3-D安全规范的卡号范围；向Visa的路径服务器提供这些卡号范围；
    （5） 访问控制服务器(Access Control Server, ACS)：是发卡行域的核心部分，主要功能是：检验某个卡号是否注册了3-D安全规范；针对某个交易验证购物者是否是持卡人。
    2． 收单行域中包含以下要素：
    （1） 商户：利用商户软件处理购物行为，获得卡号，然后触发商户服务器插件进行支付验证。如果支付可以验证，商户向收单行发出授权请求，完成传统的交易授权过程；
    （2） 商户服务器插件(Merchant Server Plug-in, MPI)：处理支付验证的请求，然后将控制交给商户软件。作为处理从发卡行返回的验证反馈消息的一部分，MPI可以验证消息中的数字签名，在某些情况下，也可以由收单行代表多家商户执行这个功能；
    （3） 收单行：决定商户是否有参加3-D安全规范的资格。当然，收单行还要履行其传统职责：从商户接收授权请求；将授权请求发送到授权系统；向商户提供授权反馈；将完成的交易送到清算系统。
    3． 协同运行域中包含以下要素:
    （1） Visa路径服务器：由Visa运行，它可以从商户接收查询某个卡号的请求消息，查询卡号是否在参加3-D安全规范的卡号范围内；将结果直接反馈给商户，或将持卡人验证请求发给适当的访问控制服务器，再将访问控制服务器的反馈信息发给商户；
    （2） 验证历史服务器(Authentication History Server, AHS)：由Visa运行，从ACS接收每一次进行过验证的交易（无论是否已通过验证），保存收到的记录，验证历史服务器保存的数据有副本可以供收单行和发卡行在发生争议时使用；
    （3） VisaNet：在支付验证后，VisaNet执行其传统职责：从收单行接收授权请求，发给发卡行；提供从发卡行送给收单行的反馈；为发卡行和收单行提供清算数据。
    博弈交锋
    在3-D安全规范框架下的网上交易过程如下图所示：
    步骤1：网上购物者浏览商户站点，将商品放入购物车，然后确认购买（这时商户得到相关信息）。
    步骤2: 商户服务器插件将卡号送到Visa路径服务器。
    步骤3：如果卡号在3-D安全规范参与者的卡号范围内，Visa路径服务器根据卡号范围查询相应的发卡行访问控制服务器，以确定该卡是否可以得到验证。
    步骤4：发卡行访问控制服务器将验证结果和自己的网址反馈给Visa路径服务器。
    步骤5：Visa路径服务器将反馈信息送到商户服务器插件。
    步骤6：商户服务器插件将付款人验证请求消息通过购物者的设备提供给发卡行访问控制服务器。
    步骤7：发卡行访问控制服务器收到付款人验证请求。
    步骤8：发卡行访问控制服务器用适当的方法验证购物者，生成付款人验证反馈消息并进行数字签名。
    步骤9：发卡行访问控制服务器通过购物者的设备将付款人验证反馈消息返回给商户，同时将有关信息发给Visa的验证历史服务器。
    步骤10：商户服务器插件收到付款人验证反馈消息。
    步骤11：商户服务器插件检验付款人验证反馈消息中签名的合法性。
    步骤12：商户继续处理，将授权信息发给收单行。
    与传统的信用卡授权过程相比，3-D安全规范框架下的网上交易新增步骤可以归纳为：
    首先，步骤2到步骤5的作用在于验证该卡是否参加了3-D安全规范。如果没有参加，则商户可以接受该交易，直接进行常规的交易授权请求（第12步骤），但要承担持卡人（发卡行）进行拒付的风险。如果参加了3-D，则步骤6到步骤9验证购物者是否是持卡人，发卡行可以通过密码或其他方式完成。步骤9除了将验证结果返回给商户外，还将验证信息存放于Visa的验证历史服务器中，供以后发生争议时使用。
    从以上步骤中可以看出，Visa组织对于乐于尝试电子商务，但对信用卡网上支付仍存顾虑的持卡人，在不增加持卡人成本的情况下，通过便捷的验证过程使“购物者是否是持卡人”这个网上交易关键问题得以解决。持卡人在网上交易时可以获得类似于ATM交易时的密码验证，增加了对网上支付的接受程度。
    在业务流程上，由于增加了是否参加3-D安全规范的验证、购物者是否是持卡人的验证，并且由清算组织保存验证的信息，为日后的争议提供仲裁依据，从而有效地减少了可能的欺诈、拒付和争议。在整个过程中，由行业广泛接受的技术保证数据传输的安全性，持卡人无需增加新的硬件或软件，其他参与方的投资比起网上支付的增长，欺诈拒付交易的减少来说，还是非常合算的。
    修改商业规则
    为了保证3-D规范的顺利推行，也为了鼓励网上交易进行验证，Visa修改了商业规则，从2003年4月1日起，收单行对自己的电子商务商户保证可以提供3-D安全规范的相关服务。在持卡人进行网上支付时，如果商户已经尝试利用3-D安全规范进行持卡人验证，但持卡人未参加3-D规范，或从发卡行得到“无法进行验证”的反馈信息，则发卡行没有对该笔网上支付进行拒付的权利。如果商户未曾尝试进行验证，或从发卡行收到“未通过验证”的反馈信息，则发卡行仍有对交易进行拒付的权利。
    换言之，对于希望推动电子商务的商户来说，只要商户遵循3-D安全规范，并且尝试对持卡人进行验证，而持卡人或发卡行未参加3-D规范，则发卡行丧失对该交易进行拒付的权利。对于发卡行来说，此时仍然有是否参加3-D规范的选择权，但如果不参加，则或者承担不能拒付的风险，或者只能拒绝遵循3-D规范的授权请求。但这样对持卡人进而对发卡行都会产生影响。在参与信用卡业务的五方中，主要的验证工作和系统改造工作要由发卡行完成，所以Visa修改了业务流程和商业规则，通过商户和持卡人来推动发卡行接受3-D规范。
    由于充分考虑了各方的利益，在技术和规则上有了充分的保障，Visa组织的3-D网上安全交易规范得到了广泛的接受，在北美、欧洲、亚太等许多地区的发卡行、收单行以及商户都可以支持3-D网上安全交易规范。面对这一趋势，中国与Visa有关的发卡行、收单行和商户也应该考虑如何改造各自的系统支持3-D规范。同时我们得到的启示是如何制定我们自己的网上交易规范。任何合理的信用卡交易业务流程和商业规则中都要充分考虑五方的相互关系，同时尽量建立在现有的基础设施和技术平台上，减少不必要的新投资。这样才能在推进过程中得到持卡人、发卡行、交换清算组织、收单行以及商户的接受和支持。
不太懂，第4步和第8步有什么区别，功能好象类似，是不是第4步只验证此卡是否支持3D，而第8步才进行实际验证？另外，是不是在ACS进行验证呀，那么需不需要卡主系统向ACS提供卡片的信息？还是ACS只使用授权请求信息就能够进行验证。
回复楼上，使用3-D验证是要先注册的，第4步是验证发卡行和持卡人是否开通了3-D服务
第8步是确定持卡人开通了3-D服务后，到发卡行的ACS系统进行支付验证，确定该笔交易是由他发起的
持卡人的身份验证信息是持卡人在注册3-D服务的时候输入的，保存在ACS系统中，在此之前，需要从发卡系统将持卡人信息导入ACS系统
最初由 EddieDing 发布
[B]回复楼上，使用3-D验证是要先注册的，第4步是验证发卡行和持卡人是否开通了3-D服务
第8步是确定持卡人开通了3-D服务后，到发卡行的ACS系统进行支付验证，确定该笔交易是由他发起的
持卡人的身份验证信息是持卡人在注册3-D服务的时候输入的，保存在ACS系统中，在此之前，需要从发卡系统将持卡人信息导入ACS系统 [/B]
多谢指点，另外，ACS是整个一个系统还是发卡系统里的一个模块呀，好像FAIR ISAAC有一个叫ACS的风险分析软件，是不是一个东西呀？