银联3DS2.0标准立项并将送审 结合Token、生物识别技术
来源：一卡通世界
核心提示与传统的线上无卡交易相比，如果你想开启使用3DS验证服务来加强交易安全，首先你需要在发卡行完成一次性的注册过程并激活3DS服务。
　　近日，从接近中国银联相关人士获悉，银联正联合产业各方推动银联3DS2.0标准的落地。目前相关的技术规范标准初审稿已经完成，正处于公开征求意见阶段，预计今年6月银联3DS2.0标准送审稿将出炉。据悉银联3DS2.0标准是基于EMVCo 3DS2.0标准，并结合银联原型开发的在线支付身份验证服务;与3DS1.0版本相比，2.0版本不仅增加对移动端应用的支持，并可以与Token、指纹及人脸等生物识别技术相结合。
　　3DS机制与无卡交易及安全
　　3DS即3-Domain Secure，是卡组织与发卡行向持卡人推出的一种在线交易身份验证的报文传输协议，也是目前国际通用、常用的无卡支付安全解决方案之一。电子商务的快速发展导致无卡交易大幅增加，同时基于无卡交易的欺诈活动也日益增长，特别是一些电子商务网站、尤其是境外网站在信用卡支付时，只需提供 “卡号+有效期+CVV2码”即可完成支付，使任何人都可以用这些信息实施盗刷。而3DS支付验证的引入，有助于降低在线借贷记交易的欺诈风险，并防止银行卡在未授权的情况下被他人使用。
　　与传统的线上无卡交易相比，如果你想开启使用3DS验证服务来加强交易安全，首先你需要在发卡行完成一次性的注册过程并激活3DS服务。之后在支持 3DS 验证交易的网上商家交易时，都需要输入这个 3DS 支付密码，发卡行则通过验证 3DS 密码来确认是否为你本人交易。简单来说，开通3DS验证服务就是给信用卡在网上支付时多一层安全认证，这样即使你的信用卡不小心丢失，别人也不能使用“卡号+有效期+CVV2码”在网上交易盗刷。
　　此前Visa、MasterCard和JCB的无卡支付认证都是基于3DS 1.0，而这项技术需要银行额外开发，因此只有农行、工行、建行、招行等少部分银行发行的信用卡支持3DS验证。而银联主流的以及现有的在线支付则采用自主识别模式和辅助识别模式，前者需要输入支付的银行卡卡号、有效期、CVV2码、预留手机号码并填写短信验证码等，安全却麻烦;后者只需卡号+有效期+CVV2码，方便却存在隐患，安全与便捷难以兼顾。
　　当然在无卡交易中，3DS 1.0验证服务也并不是那么完美，由于3DS 1.0仅支持基于浏览器的支付，而不支持APP应用内发起的支付，并且信息处理效率太慢等原因导致支付体验太差，故3DS 1.0在全球的普及率都非常低。数据显示，在欧洲80%以上的商户都已支持3DS 1.0验证，而其交易使用率仅为20%。
　　银联3DS2.0与EMVCo 3DS2.0
　　为进一步提升无卡快捷支付体验，同时确保交易的安全性，去年10月EMVCo正式对外发布适用于各大卡组织的EMVCo 3DS2.0，与现有的3DS1.0对比，EMVCo 3DS2.0具备四大优势：
　　1、支持移动互联网平台。相比3DS1.0，EMVCo 3DS2.0增加对移动端应用的支持，并在商户APP集成SDK，解决页面跳转造成的交易成功率低的问题。不仅增强用户支付体验，而且减少钓鱼网站和木马病毒的攻击机会，降低无卡支付的欺诈率。
　　2、平衡安全性与灵活性。相比3DS1.0和银联现有模式，EMVCo 3DS2.0在确保足够的验证强度的同时，降低用户交互次数，提升用户体验。
　　3、引入交易风险决策机制。给予受理环境、历史交易情况、设备信息及持卡人身份等建立风险决策模型，发卡行根据风险评估结果，动态调整对持卡人的验证策略。若你的支付行为符合你一贯的做法则进入平滑模式;反之你的支付行为发生了异常，与发卡行行为记录不匹配，就会采取挑战模式，进行额外的验证。
挑战模式----KBA
　　4、提升扩展性与兼容性。EMVCo 3DS2.0可与新兴支付技术快速结合，如Token、指纹及人脸等生物识别技术。
　　据悉，银联3DS2.0标准的立项及评审发布是基于EMVCo 3DS2.0标准，并结合银联原型开发经验及后续市场推广及落地需求进行不断的补充和完善，最终形成对境内外市场具备知道意义的标准文档。银联3DS2.0将采用“重验证轻支付模式”提升验证交易的灵活性，主要目标是用于支付场景的身份认证，同时可关联用于非支付场景身份验证。据介绍，该功能对于移动钱包的持卡人识别和验证及确保令牌请求的安全有着特别的作用。
银联3DS2.0规范发布计划
　　不过有一点需要注意的是，3DS2.0和3DS1.0一样，这项技术除了需要银行额外开发，商户/收单域也要加入了3DS服务，持卡人才能享受该验证服务的保护，其市场接受度与推广进度现还难以评估。但可以肯定的是，在移动互联网快速发展的今天，移动支付发展势头强劲，针对移动端的安全正给支付行业带来全新的挑战和机遇。银行作为市场的重要参与者，银联3DS2.0的落地，在为国内金融机构发展移动金融提供更加安全、完整的支付解决方案的同时，亦有利于境内机构发展跨境在线支付业务。
责任编辑：韩希宇一文看懂银行卡的3DS 2.0机制！
电子商务的发展为我们提供了更方便的服务和支付方式，导致无卡（card not present）交易的数量大幅增加。同时，这种增长意味着这一领域的欺诈活动同样也在快速增长。商户不得不为欺诈交易承担最终的责任。发卡行必须花费大量资源来处理退单（chargeback）流程。
界对这些挑战的对应是引入3-D Secure（3DSv1.0）机制。第一版本的3DS是由Visa开发的一套安全标准，其他卡组织也总体上支持这个机制。我们可以通过卡组织定义的品牌名字识别它们：“Verified by Visa”， “MasterCardSecureCode”。
3DS允许发卡行对无卡（cardnot present = CNP）交易发生期间验证（authenticate）其持卡人。在这种情况下交易，对于欺诈转换的责任从商户转移到发卡行，从而减少对商家的退单（chargeback）。要想使用3DS，持卡人需要首先在其发卡行完成一次性的注册过程并激活3DS服务。在交易时，持卡人浏览器接收到一个弹出窗口要求持卡人用例如输入密等信息，以便发卡行对持卡人进行认证。
3DS V1.0面临的挑战
虽然3DS v1.0有助于减少欺诈的数量，并为持卡人和商户提供额外的安全保障层，但它并不能解决所有的问题。首先，3DS在结帐过程中增加了一个额外的步骤，使支付交易过程复杂化。 在结帐期间，持卡人需要在单独的弹出窗口中输入他的密码或者注册3DS服务（如果以前没有这样做的话）。这会中断对客户购买过程，扰乱了客户，并且可能导致转化率（点击/购买）的降低。 此外，3DS v1.0仅支持基于浏览器的支付，而不支持APP内发起的支付。
当实施3DS v1.0时，商户可以受益于对3DS授权交易的欺诈责任从商户到发卡行。另一方面，商户需要投资额外的组件，甚至可能增加其PCI-DSS认证的范围。 此外，由于结账过程的复杂性而降低转换率的风险使一些商户愿意实施3DS。
最后，3DS v1.0可能容易受到网络钓鱼和“中间人”攻击。因为3DS交易过程中会，系统要求重定位到另一个URL。 攻击者可以生成类似的弹出窗口，可以在客户的计算机上窃取个人信息或下载恶意内容。
3-D Secure v2.0简介
为了应对上述讨论的挑战并适应当前和未来的市场需求，3DS规范已经被更新。 此更新的目的是增强安全性，支持基于应用程序内（In-APP）的身份验证，并提升持卡人在结帐过程中的用户体验。 2016年10月，在拉斯维加斯举行的20/20金钱大会期间，EMVCo发布了版本号为2.0（3DSv2.0）的3-D Secure新规范。
与3DS v1.0相比，3DS v2.0增强的主要功能有：
o支持在手机和其他客户设备上的应用内（In-APP）支付。
o允许商户将身份验证过程集成到结算体验中，并适用于基于应用（In-APP）和基于浏览器的实施。
o使发卡行能够对交易授权执行基于风险的决策，从而在客户不需要与发卡行之间做额外身份验证从而实现无摩擦的持卡人身份验证。 启用非付款客户验证，允许他们使用诸如移动钱包的识别和验证（ID＆V）等服务，或令牌请求的安全保证服务。
典型交易：3DSV1.0 VS 3DS V2.0
3DS v1.0和v2.0之间的交易流有很多不同。每个版本的典型交易流程如下图所示。以下是对系统组件，流和消息传递方面的版本之间差异的概述。
图1：3DS v1.0（左）和3DS v2.0（右）中的典型交易。
步骤1-3：开始交易并向发布者发送认证请求。步骤4-5：如果需要，客户由发行者认证。 步骤6：身份验证的结果通过客户（v1.0）或通过DS（v2.0）传达。步骤6-7：完成流程。 在此之后，遵循正常的支付流程（虚线）。
新组件3DS v2.0向3DS生态系统引入了新组件，以支持新的身份验证流程。商业服务器插件（MPI）由3DS服务器替代，并包含在“3DS请求方环境”中。 商户域中组件的集合术语包括3DS客户端，3DS请求器和3DS服务器。
o3DS客户端是与持卡人通信的组件。 这可以通过应用内（3DS SDK）和基于浏览器（3DS方法）完成。 两者都允许与3DS请求者（requestor）集成，以实现流畅的在线购物体验。
o3DS请求者（requestor）启动认证请求（AReq）消息，并且通过移动端应用程序/网站到的通道传递相关的数据到3DS服务器。
o3DS服务器，提供3DS请求器环境和DS之间的接口。
无摩擦的流程是3DS v1.0和3DSv2.0之间的根本区别之一。 在图1中，该流由绿色路径表示（步骤1-4）。 在该流程中，发卡行可以在ACS中执行的基于风险的认证来批准交易，从而避免和持卡人之间的互动与联络。
另一个差异可以以从发行行向商户交互的方式找到。 在3DS v1.0中，这是通过持卡人完成的，而在3DS v2.0中，通过DS进行通信的。 参看图1中的步骤6。以这种方式，可以经由单独的信道向商家通知认证结果，增强了安全性。
3DS v2.0还支持非付款客户认证。 该功能对于移动钱包的持卡人识别和验证（ID＆V）和确保令牌请求的安全有着特别的作用。 非支付客户认证流程：在商户的网站上的购买期间执行类似于3DS v2.0认证流程，而其不包括特定的支付步骤（例如，支付开始，支付确认等）
CRReq/CRRes
PAReq/PARes
VEReq/VERes
表1 ：3DS交易的不同阶段在3DS v1.0和3DS v2.0之间的消息名称差异的概述。
版本2.0引入了组件之间交换的消息的新名称，如上表所示。 新消息类型是结果Result消息（结果请求和结果响应）。 该消息在发卡行（ACS系统）和商户（3DS服务器）之间交换，并且在客户验证之后传递结果。 与v1.0中的XML相比，v2.0消息在JSON中并且添加了新的数据元素以支持系统的新功能。
3DS V2.0的优势
3DS v2.0的引入具有几个优点，增强电子商务交易的安全性，同时优化持卡人的体验。商户将能够通过不同的渠道/设备使他们的结帐过程更平滑和可用，而不会危及安全。 3DS v2.0允许非付款验证流程，使商户可以提供额外的非付款安全服务。此外，3DS v2.0允许进一步开发基于风险的身份验证技术，用于持卡人身份的验证。基于自己的内部规则，发卡行将能够自主验证，例如授权小额交易，无需与持卡人进行额外的交互。
3DS可以在不同的终端而并不一定是商户的网站上认证客户将不仅增强用户体验，而且减少网络钓鱼和“中间人”攻击的机会。 此外，不依赖于静态密码将允许使用新的认证选项，例如通过外部生物特性（OOB）或一次性密码（OTP）进行认证。
3DS v1.0和3DS v2.0之间的另一个显着区别是，3DS v2.0开发标准包括了主要的全球卡品牌，如American Express，Discover，JCB，Mastercard，银联UnionPay和Visa。 3DSv2.0专注于交互性，不仅是跨卡种，而是跨电子商务和移动商务的。 此外，3DS v2.0可以支持Payment Service Directive 2 （PSD2），对于基于应用程序和浏览器的支付交易，它要求使用严格的客户身份验证。 3DS v.2.0允许这两种类型的付款交易，因此3DS v2.0的实现可能对商户和发卡行都带来帮助。
作为结论，3DS v2.0倾向于解决3DSv1.0的多个技术痛点。 例如减少客户混淆，使得结账流程对于基于浏览器和应用内购买更平滑，引入无摩擦认证流，非支付认证流和增强的安全性。 然而，为了确保3DS v2.0的成功，发卡行和商家都需要积极参与到3DS v2.0中。 否则，3DS v2.0可能带来与3DS v1.0类似的技术和业务方面的挑战。
文：百科专栏作者：陈世文
了解更多金融行业相关信息，请关注微信公众号：支付百科
ID:PayPedia
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点