CN102129743A - 一种防止银行卡被盗用的系统 - Google Patents
一种防止银行卡被盗用的系统 Download PDFInfo
- Publication number
- CN102129743A CN102129743A CN2010100229154A CN201010022915A CN102129743A CN 102129743 A CN102129743 A CN 102129743A CN 2010100229154 A CN2010100229154 A CN 2010100229154A CN 201010022915 A CN201010022915 A CN 201010022915A CN 102129743 A CN102129743 A CN 102129743A
- Authority
- CN
- China
- Prior art keywords
- card
- bank
- password
- bank card
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提出一种利用动态密码技术防止银行卡被盗用的系统。该系统在每次银行卡交易后主动生成新的交易密码用于下次交易验证,新交易密码的生成是基于一个均匀分布的伪随机序列,该伪随机序列的初始值是该银行卡初始交易密码。同时,本发明系统还在交易后向用户发送提示或警示信息。本发明实施成本低,基本不用改变现有银行卡系统的配置和工作流程,用户使用简便,可有效防范通过复制银行卡进行盗用的犯罪活动。
Description
技术领域
本发明涉及金融安全防范领域,尤其涉及银行卡账户安全防范系统。
背景技术
由于银行卡便于携带、使用方便,为消费者提供了便捷的支付方式,越来越多的消费者已经习惯于用银行卡在ATM上提取现金、在消费时使用银行卡支付。但是,近年来犯罪分子常常利用银行卡在安全上的弱点窃取他人的银行卡信息和消费密码,然后复制他人的银行卡进行盗用,给受害者造成巨大经济损失。目前国内银行卡采用磁条方式记录银行卡信息,在用户刷卡使用时由POS机或ATM机读取磁条内存储的数据并发送到银行服务器完成鉴权认证工作。磁条记录方式存在较大的安全隐患,主要在于磁条记录的数据保密性差,可被任何磁条读取设备读取出来,极易被犯罪分子窃取并用写卡器写入一张空白卡内“克隆”出一张银行卡。近年来已发生多起犯罪分子复制用户银行卡大肆取现、消费的案件,他们采用在自助银行门控刷卡处或ATM机插卡口安装微型读卡装置窃取用户银行卡账户数据,在ATM输入键盘上方安装微型摄像机窃取用户银行卡密码,然后利用窃取的用户账户数据复制银行卡进行消费或提取现金,往往在窃取信息后很短时间内就使用户蒙受巨大经济损失。要改善银行卡这种安全隐患,一种办法是全面升级银行卡系统,采用IC芯片代替磁条来记录银行卡数据,这样大大提高了犯罪分子窃取银行卡数据的技术门槛和实施难度。但是这种方法既要全部替换用户手中的银行卡,也要全部升级改造ATM、POS机的读卡设备,高昂的升级成本使得该方法可行性较低。
中国专利200510110598.0提出一种防止银行卡被盗用的方法和系统,采用在银行卡中加入卡主或授权用户人脸信息的办法来保证使用者是合法用户。这种方法虽然在原理上能够极大地提高银行卡的安全性,但是同样需要升级银行卡系统,包括用户手中的银行卡、商户的POS机和ATM,需要付出高昂的成本才能达到目的。中国专利200710125086.0提出另一种防止银行卡被盗用的方法和系统,该方法利用手机定位技术,在用户使用银行卡时先定位用户手机位置和发生交易的POS机或ATM机位置,判断两者是否在同一位置,如果是则允许交易完成,否则拒绝交易。这种方法虽然能够在一定程度上改善银行卡的安全性,但也给用户带来一些使用上的不便,即使用银行卡时必须同时随身携带手机,更重要的缺陷在于,由于手机定位和POS机、ATM机定位的精度都非常有限,该方法很容易引起误判,从而给真正用户使用带来不必要的麻烦或者给犯罪分子留下可乘之机。
由此可见,消费者和银行都需要一种简单易行、成本可控的防止银行卡被盗用的系统,用以保护信用卡的消费安全以及自己的合法权益。
发明内容
本发明提出一种利用动态密码技术防止银行卡被盗用的系统,包括银行卡系统和卡主手机。该系统将用户设置或修改的交易密码作为初始密码,用于随后的第一次交易时的密码验证,并在每次交易完成密码验证后自动更新交易密码,作为下次交易的验证密码,所述卡主手机是指卡主在申请开通银行卡时登记的与银行卡绑定的手机。所述新的交易密码的生成是基于一个均匀分布的伪随机序列,该伪随机序列的初始值是初始交易密码。
运用本发明的方法和系统,不用改变现有银行卡系统的构成和业务流程,实施成本低廉,用户使用方便,可以有效防止犯罪分子复制并盗用他人银行卡,避免给持卡人和银行造成经济损失。
附图说明
图1是现行银行卡安全防范系统及交易流程;
图2是本发明实施步骤示意图;
图3是本发明中生成新交易密码的一个实施例;
图4是本发明系统一个实施例的示意图;
图5是本发明系统动态改变银行卡交易密码的流程图;
图6是本发明的一个实施例中采用的一种新密码通知方式示意图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式:
现行的银行卡安全防范系统如图1所示,其中包括用户的银行卡、设置在各特约商户的POS机、银行ATM机、收单银行、发卡银行、支付网关等实体功能单元。具体步骤如下:
1)用户在商户POS机或银行ATM机上刷卡交易,POS机或ATM实时读取存储在磁条上的银行卡卡号以及用户现场输入的密码;
2)POS机或ATM机向收单银行发送交易授权申请,其中包括用户的刷卡资料;
3)收单银行核对用户的刷卡资料,如果发现此银行卡非本行发行,则通过支付网关将刷卡资料和相应商户的收款账户资料发送到发卡银行请求支付,否则收单行即为发卡行,发卡银行对刷卡资料中的银行卡卡号、用户密码等信息进行鉴权认证,通过后向POS机或ATM发送授权指令;
4)发卡行对该用户账户进行扣款操作;
5)POS机或ATM接收到发卡行的授权指令后完成后续的交易操作。
上述银行卡包括各商业银行发行的信用卡、借记卡、借贷卡等;所述刷卡资料包括银行卡账户资料、POS机或ATM机身份识别资料、交易类型、交易金额等;所述支付网关是指为各商业银行提供银行卡跨行信息交换和清算服务的银行卡业务受理网络,包括中国银联卡网络、VISA网络、美国运通卡网络、万事达卡网络等。
从上述银行卡交易过程可见,银行卡安全主要靠预先设置的银行卡消费密码保证,而银行卡密码直到用户下一次通过ATM、网上银行、电话银行等方式完成修改操作之前都是固定不变的,犯罪分子一旦窃取了他人信用卡卡号和密码信息就可以很轻易地利用伪造卡骗过发卡行的鉴权认证环节。而真正的卡主却毫不知情,直到收到下次银行帐单才能发现银行卡被盗用。目前有些银行开通可短信通知服务,但即使是这样也只能防止用户更大的经济损失,因为短信通知时盗用行为已经完成了。本发明利用动态密码技术可以较好地改善这一薄弱环节,其基本思想如图2所示,即改变目前用户银行卡卡号的交易密码固定不变的做法,银行卡系统在每次交易完成后都主动更新交易密码并通知用户。
具体步骤如下:
第一步,设置银行卡的初始交易密码;
第二步,银行卡系统自动选择初始密码作为用户设置密码后第一次交易的验证密码;
第三步,每次银行卡交易完成后,银行卡系统以初始交易密码作为种子,采用随机算法计算出下一次交易的验证密码,并通过通信网络即时通知卡主。在银行卡使用过程中其交易验证密码仍可随时通过现有银行卡系统中修改密码的途径修改,即通过银行ATM、电话银行、网上银行、银行营业厅业务终端先输入当前有效验证密码,经过银行后台系统认证通过后即可设置新密码作为随后的初始交易密码。银行卡系统自动在每次交易后产生新交易验证密码的随机算法可采用最常用的伪随机序列生成方法-线性同余法,该方法由一个初始值(也称种子)经下面的递推公式产生一个均匀分布的伪随机序列:
Xi+1=(a*Xi+b)mod M,(i=1,2,3,......,n) (1)
式中,M>0,2<=a<M,0<b<M,0<=X1<m
选取M=999999,X1为初始交易密码,任意选取2-M之间的一个整数作为a,0-M之间的一个整数作为b,就可以通过公式(1)得到一个0-999999之间均匀分布的序列,银行卡系统可以用Xi作为第i次交易的验证密码,如果Xi不够6位可以在其高位补零构成6位密码。此方法还可通过如图3所示的途径进一步改善安全性:
1)设定M=899999,选择初始密码作为种子X1,任意选取2-M之间的一个整数作为a,0-M之间的一个整数作为b;
2)每次交易后,根据步骤1)选定的参数计算Xi;
3)判断Xi+100000是否不宜作为密码,如888888等各位数字均相同的数字,如果是则舍弃之并重新计算Xi+1直到满足要求;
4)最后将经过步骤3)判定合格的Xj+100000作为新的交易验证密码。
对于不同的银行卡账户上述方法中的参数a和b应选择不同数值以便增强安全性,也可以同样通过随机算法获得a和b的数值。
随机产生新的交易验证密码后银行卡系统可将新密码通过短信发送给卡主手机,即卡主申请开通此银行卡时登记的绑定手机。
上述各步骤中的银行卡交易流程完全按照前述现有银行卡交易流程进行,避免改变用户已经熟悉的使用习惯,同时也避免了对现有银行卡系统进行大规模的改造,大大降低实施难度和成本。对用户而言,只需在使用银行卡前后留意来自银行系统的手机提示短信,及时获取下次交易的验证密码并注意保密就可以达到很好的安全防范效果。即使犯罪在卡主使用银行卡交易时通过某种手段窃取了用户银行卡的卡号和交易密码信息,通过通信网络即时传送给同伙快速复制出一张伪银行卡,犯罪分子也无法利用这张伪银行卡窃取他人钱财,这是因为此时原密码已经暂时失效,银行卡系统已经自动更新此卡的交易密码,而新密码只发送给卡主本人手机。
为了进一步增强安全防范功能,可以在每次银行卡交易后发送短信通知卡主下次交易验证密码的同时通告本次交易情况,包括交易类型、交易额、交易地点等信息。当银行卡系统发现某张卡在交易时使用的是上一个有效交易密码时,可以发送提醒短信给卡主手机,提醒卡主本卡交易密码已经自动变更,且已于某月某日通过短信发送至该手机。若发现有人多次重复尝试上一个有效交易密码,则给卡主手机发送警示信息,通告多次不成功尝试的交易时间和地点。上述卡主手机是指用户在申请开通此银行卡时登记的绑定手机。
银行卡系统在密码验证失败后自动发出的提示或警示信息会马上让卡主意识到是否有人在盗用他的银行卡,卡主可以据此马上采取措施防止经济损失,如向银行挂失、马上修改密码、向公安部门报案等等。
本发明提出的银行卡安全防范方法可以通过图4所示的系统实现。该系统包括:
POS机、银行ATM、网上银行客户端、银行营业厅业务终端等向卡主提供刷卡交易服务;
用户银行卡和手机,用户使用银行卡在上述银行卡交易终端刷卡完成交易过程,通过手机接收银行卡系统发送的新密码通知和异常交易提醒通知;
银行卡后台处理子系统,包括由交易鉴权认证单元、数据库单元、银行卡管理单元、网上银行单元、电话银行单元组成的原有银行卡后台处理子系统和一个新增的用户密码服务单元。该密码服务单元专门负责在每次交易后自动根据随机算法生成新的交易密码并通知卡主手机,它和原有银行后台处理子系统通过银行内网相连,通过通信网络连接移动网络短信网关;
通信网络,为银行后台处理子系统和POS机、银行ATM、网上银行客户端、银行营业厅业务以及用户手机之间的通信提供安全传输通道。
图5进一步说明了上述系统的工作流程:
1)当发生银行卡交易时,银行卡交易终端(如商户POS机、银行ATM等)向原有银行卡后台处理子系统发送交易资料,请求交易授权,其交易资料包括交易终端身份信息、卡号、交易类型、交易金额、验证密码等;
2)原有银行卡后台处理子系统鉴权认证单元通过核对数据库单元中的用户和银行卡交易终端身份记录,向银行卡交易终端返回认证结果,在确认交易的合法性后返回交易授权信息,若认证失败则返回拒绝交易的信息;
3)原有银行卡后台处理子系统完成用户账户扣款、转帐等相应操作,银行卡交易终端输出交易单据完成交易;
4)原有银行卡后台处理子系统向密码服务单元通报交易信息,包括帐号、交易类型、交易金额、交易地点、交易是否成功、交易失败原因等信息;
5)密码服务单元启动密码更新流程,采用随机数生成算法产生新的交易密码并更新原有银行卡后台处理子系统中的用户账户记录,以便鉴权认证单元在该银行卡下次交易时采用新密码进行认证;
6)密码服务单元通过短信网关向卡主手机发送短信通知,通告用户下次交易密码,若本次交易为失败交易,还同时发送提醒内容。
以上实施例中银行卡后台处理子系统中的密码服务单元在自动更新用户交易密码后通过短信通知卡主手机,本行业技术人员应该理解,基于同样的构思,密码服务单元还可以采用其它方式利用公共通信网络发送此通知,如通过多媒体彩信等。为了进一步地增强密码通知环节的安全性,可以向卡主手机中预先下载安装一个密码服务客户端程序PWA,它和银行卡后台处理子系统中的密码服务单元之间通过通信网络连接,在应用层采用私有协议通信。卡主手机中的密码客户端程序PWA在收到密码服务单元发来的消息后按照预先定义的私有协议解析出其中的内容呈现给用户,包括新的交易密码、交易失败提醒信息等。还可以采用加密技术对卡主手机中的密码客户端程序PWA和银行卡后台处理子系统中的密码服务单元之间交互的消息进行加密,密钥可在安装密码服务客户端程序时就内嵌在程序中。图6给出了上述方法的示意图。
以上结合实例介绍了本发明提供的系统和方法,不脱离本发明的范围和构思,上述防止他人盗用银行卡的系统和方法可以做出多种改变和变形。如每次交易后新密码也可以由用户手机内的密码服务客户端程序PWA采用随机算法生成并通知银行卡后台处理子系统中的密码服务单元。本发明的范围由所附权利要求书确定。
Claims (11)
1.一种防止银行卡被盗用的系统,包括银行卡系统和卡主手机,其特征在于所述系统将用户设置或修改的交易密码作为初始密码,用于随后的第一次交易时的密码验证,并在每次交易完成密码验证后自动更新交易密码,作为下次交易的验证密码,所述卡主手机是指卡主在申请开通银行卡时登记的与银行卡绑定的手机。
2.根据权利要求1所述的系统,其特征进一步在于,所述新的交易密码的生成是基于一个均匀分布的伪随机序列,该伪随机序列的初始值是步骤(1)中设置的初始交易密码。
3.根据权利要求1或2任一项中所述的系统,其特征进一步在于,所述交易密码的更新由银行卡系统完成并通知卡主手机。
4.根据权利要求1或2任一项中所述的系统,其特征进一步在于,所述交易密码的更新由卡主手机中的密码服务客户端程序完成并通知银行卡系统。
5.根据权利要求3或4任一项中所述的系统,其特征进一步在于,所述更新后的密码通知方式包括:
(1)通过短信通知;或者,
(2)通过多媒体彩信通知;或者,
(3)通过预先定义的私有协议消息通知,该私有协议是承载于TCP/IP或短信之上的应用层协议。
6.根据权利要求1-5任一项中所述的系统,其特征进一步在于,所述银行卡系统包括用户的银行卡、设置在商户的POS机、银行ATM机、银行营业厅业务终端、网上银行终端、收单银行后台子系统、发卡银行后台子系统和支付网关,其中支付网关是指为各商业银行提供银行卡跨行信息交换和清算服务的银行卡业务受理网络,包括中国银联卡网络、VISA网络、美国运通卡网络和万事达卡网络,银行后台子系统由多个功能单元组成,包括数据库单元、管理单元、交易鉴权认证单元、密码服务单元、电话银行单元和网上银行单元。
7.根据权利要求1-6任一项中所述的系统,其特征进一步在于,所述初始交易密码设置和修改通过银行ATM、银行营业厅业务终端、电话银行或网上银行操作完成。
8.根据权利要求1-7任一项中所述的系统,其特征进一步在于,所述银行卡包括银行发行的借记卡、贷记卡和准贷记卡。
9.根据权利要求1-8任一项中所述的系统,其特征进一步在于,所述银行卡交易包括银行卡在ATM上的账户操作、银行卡通过POS机进行的账户操作、银行卡通过电话银行进行的账户操作、银行卡通过银行营业厅业务终端进行的账户操作以及银行卡通过网上银行进行的账户操作,所述账户操作包括账户查询、存取款、转帐、支付、销户和修改密码操作。
10.根据权利要求1-9任一项中所述的系统,其特征进一步在于,银行卡系统在完成每次交易时密码验证失败后自动向卡主手机发出提醒或警示信息。
11.根据权利要求1-10任一项中所述的系统,其特征进一步在于,所述银行卡系统在每次交易时密码验证失败后自动向卡主手机发出提醒或警示信息的操作包括以下步骤:
(a)当银行卡系统发现某张卡在交易时使用的是上一个有效交易密码时,向卡主手机发送提醒短信,提醒卡主本卡交易密码已经自动变更;
(b)当银行卡系统发现多次不成功交易均是由于使用了上一个有效交易密码时,向卡主手机发送警示信息,通告多次不成功交易的时间和地点信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100229154A CN102129743A (zh) | 2010-01-18 | 2010-01-18 | 一种防止银行卡被盗用的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100229154A CN102129743A (zh) | 2010-01-18 | 2010-01-18 | 一种防止银行卡被盗用的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102129743A true CN102129743A (zh) | 2011-07-20 |
Family
ID=44267814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100229154A Pending CN102129743A (zh) | 2010-01-18 | 2010-01-18 | 一种防止银行卡被盗用的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102129743A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542672A (zh) * | 2010-12-13 | 2012-07-04 | 周锡卫 | 一种主动有效防止信息卡被盗用的系统与方法 |
| CN104240387A (zh) * | 2013-06-21 | 2014-12-24 | 北京数码视讯科技股份有限公司 | 银行卡交易处理方法及系统 |
| CN105894277A (zh) * | 2015-01-25 | 2016-08-24 | 汪风珍 | 动态密码 |
| CN107222306A (zh) * | 2017-01-22 | 2017-09-29 | 天地融科技股份有限公司 | 一种密钥更新方法、装置及系统 |
| TWI745070B (zh) * | 2020-09-03 | 2021-11-01 | 中國信託商業銀行股份有限公司 | 非正常交易判斷方法及系統 |
-
2010
- 2010-01-18 CN CN2010100229154A patent/CN102129743A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542672A (zh) * | 2010-12-13 | 2012-07-04 | 周锡卫 | 一种主动有效防止信息卡被盗用的系统与方法 |
| CN104240387A (zh) * | 2013-06-21 | 2014-12-24 | 北京数码视讯科技股份有限公司 | 银行卡交易处理方法及系统 |
| CN105894277A (zh) * | 2015-01-25 | 2016-08-24 | 汪风珍 | 动态密码 |
| CN107222306A (zh) * | 2017-01-22 | 2017-09-29 | 天地融科技股份有限公司 | 一种密钥更新方法、装置及系统 |
| TWI745070B (zh) * | 2020-09-03 | 2021-11-01 | 中國信託商業銀行股份有限公司 | 非正常交易判斷方法及系統 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2004252925B2 (en) | Transaction verification system | |
| JP3802074B2 (ja) | 携帯可能な身分証明要素でのトランザクション方法 | |
| JP3329432B2 (ja) | 階層型電子現金実施方法およびこれに用いられる装置 | |
| US20180322602A1 (en) | Private online transaction system | |
| AU2010204732B2 (en) | Secure remote authentication through an untrusted network | |
| JP5713516B1 (ja) | カード決済端末及びカード決済システム | |
| US20060123465A1 (en) | Method and system of authentication on an open network | |
| WO2003044710A1 (en) | Apparatus, method and system for payment using a mobile device | |
| TW200306483A (en) | System and method for secure credit and debit card transactions | |
| CN102129740A (zh) | 一种防止银行卡被盗用的方法 | |
| CN101599192B (zh) | 实现银行卡安全保护的方法 | |
| CN100583734C (zh) | 通过采集人体特征实现易失性密钥及分离式验证模块的方法 | |
| US6954740B2 (en) | Action verification system using central verification authority | |
| CN102129743A (zh) | 一种防止银行卡被盗用的系统 | |
| CN101178822A (zh) | 一种支持用户核验银行刷卡终端设备合法性的方法 | |
| KR100598573B1 (ko) | 스마트카드를 이용한 일회용 카드정보 생성 및 인증방법그리고 이를 위한 시스템 | |
| CN106327183A (zh) | 一种用于现场事务处理的数据交换系统及数据交换方法 | |
| CN102129742A (zh) | 一种银行卡防盗用的方法 | |
| US20060186191A1 (en) | Methods and apparatus for providing a security value for a payment device | |
| WO2007006084A1 (en) | Card processing apparatus and method | |
| CN102129741A (zh) | 一种银行卡防盗用的系统 | |
| JP2002015254A (ja) | 電子マネー・システム及び電子マネー管理方法、並びに、記憶媒体 | |
| KR100542595B1 (ko) | 신용카드와 현금카드의 보안시스템 | |
| EP1299848A2 (en) | Secure system for conducting electronic transactions and method for use thereof | |
| JP2004021940A (ja) | Icカード発行システム、方法、プログラム及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110720 |