EMV L2内核:接触式与非接式支付的安全
在金融支付安全领域,EMV L2(Level 2)指的是运行在终端(POS机、ATM、mPOS)上的内核软件层(Kernel)。它的核心职责是解析芯片卡或手机 NFC 提交的 APDU 指令、管理交易流程、执行风险管理、处理加密算法(如 RSA、ECC)并最终决定交易是拒绝、脱机批准还是联机(Online)送银行。
虽然它们都叫 L2,但接触式 EMV L2(Contact)与非接触式 EMV L2(Contactless)在底层底层规范、架构设计、时间约束以及安全策略上有着本质的区别。
一、 接触式 EMV L2 与 非接 EMV L2 的核心区别
如果用一句话概括它们的区别:接触式追求的是“流程的绝对严密性(安全性第一)”,而非接追求的是“极致的交易速度(体验第一)”。
1. 物理层与链路层协议不同
接触式 L2:基于ISO/IEC 7816规范。通过 POS 机的 IC 卡触点与卡片供电并通信,波特率通常较低(如 9600 bps 到 115200 bps),传输协议主要为 $T=0$ 或 $T=1$。
非接式 L2:基于ISO/IEC 14443规范(Proximity Cards/NFC)。通过 $13.56\,\text{MHz}$ 的射频场进行无线通信,支持 Type A 和 Type B 调制,波特率通常从 106 kbps 起步,通信协议为 ISO-DEP($T=\text{CL}$)。
2. 规范体系的统一性 vs. 碎片化(内核架构)
接触式 L2:拥有全球统一的规范。即 EMVCo 发布的标准EMV Book 1-4(尤其是 Book 3 Application Specification)。全球各家卡组织(Visa, Mastercard, 银联等)在接触式交易上都共用这一个标准的 L2 内核流程。
非接式 L2:处于高度碎片化状态。由于各家卡组织对非接快捷支付(如闪付、Paywave、Paypass)的高速射频优化逻辑不同,EMVCo 最终妥协,引入了Multi-Kernel(多内核)架构(即 EMV Book C-1 到 C-7)。每家卡组织都有自己独立的非接 L2 内核规范。
3. 时间约束与流程裁剪
接触式 L2:卡片一直插在槽内,没有严苛的时间限制(通常 1~3 秒完成)。因此流程极其繁琐:应用选择 ->初始化(GPO) -> 读应用数据(Read Record) -> 脱机数据认证(SDA/DDA/CDA)-> 处理限制 ->终端风险管理(检查随机选择、流水限额) -> 持卡人验证(脱机 PIN 等)-> 终端行为分析-> 卡片行为分析(生成第一个密码波 AC)。
非接式 L2:用户挥卡(Tap)动作极快,EMVCo 规定射频场内通信时间必须控制在 500ms 以内。为了这 500ms,非接 L2 对标准 EMV 流程进行了无情的裁剪:
合并指令:某些内核将 GPO 和 Read Record 合并,甚至卡片直接返回所有数据。
裁剪风险管理:不执行终端风险管理中的脱机频率检查、随机选择。
异步/推迟认证:大部分非接内核将脱机数据认证(ODA)推迟到卡片离开射频场后(终端在后台慢慢算 RSA/ECC),或者直接放弃脱机认证,全部走快速联机(Online-Only)。
4. 持卡人验证(CVM)的演进
接触式 L2:重度依赖脱机联机明文/密文 PIN(Offline/Online PIN)或签名。
非接式 L2:为了快,小额交易通常免密免签(No CVM)。对于手机 Pay 等移动设备,引入了CDCVM(Consumer Device Cardholder Verification Method,消费者设备持卡人验证)。即用户在手机上刷脸(FaceID)或指纹成功后,L2 内核直接信任设备的认证结果,无需在 POS 机上再次输密。
二、 它们的交易内核(Kernels)分别有哪些?
在 L2 的代码实现中,“内核(Kernel)”是指负责执行特定标准应用协议的软件模块。
1. 接触式 EMV L2 内核
接触式 L2 在系统架构上非常清爽,通常只有一个标准的 EMV Kernel:
EMV Co. Unified Kernel:该内核完美实现 EMV Book 3 规范。通过判断卡片 AID(应用标识符),如 Visa 的
A0000000031010、Mastercard 的A0000000041010或银联的A000000333010101,无缝路由到同一个核心状态机中运行。
2. 非接触式 EMV L2 内核(重点与难点)
非接 L2 根据 EMVCo Book C(Contactless Specifications)的定义,目前全球通用的主要有7 大主流内核(Kernel 1 ~ Kernel 7):
| 内核编号 (Kernel) | 代表的卡组织 / 规范名称 | 关键技术特质与应用 |
| Kernel 1 | EMVCo / Visa(早期 VCPS) | 较为基础的非接内核,最初由 Visa 提交给 EMVCo 作为非接框架参考。 |
| Kernel 2 | Mastercard(PayPass / M/Chip) | 全球最复杂的非接内核之一。支持PayPass机制,包含大量的加密组合(如自有的确定性/撕裂交易处理、数据存储寄存器等),代码量极大。 |
| Kernel 3 | Visa(VCPS - Visa Contactless Payment Specification) | 全球应用最广。支持qVSDC(快速 Visa 借记/贷记)和MSD(磁条模式仿真),流程极度优化,重度依赖联机和 CDCVM。 |
| Kernel 4 | American Express(ExpressPay) | 美国运通非接规范。 |
| Kernel 5 | JCB(J/Speedy) | 日本 JCB 卡组织的非接规范。 |
| Kernel 6 | Discover(Zip) | 美国 Discover / Target 网络的非接规范。 |
| Kernel 7 | UnionPay(QuickPass / 银联闪付) | 包含中国银联的qPBOC非接规范。其核心特点是不仅支持快速联机,还支持纯脱机电子现金(Electronic Cash)扣款流程,对国密算法(SM2/SM3/SM4)有原生硬性要求。 |
三、 Android 系统工程师视角下的 L2 落地
在 Android 环境下,出于金融合规(PCI / EMV 认证)要求,通常不会直接在 Android App 侧跑 L2 内核。
- 方案 A(安全微内核隔离):L2 内核打包运行在 SoC 的TEE(Trusted Execution Environment)内部,或者运行在独立的SE(Secure Element)安全芯片中。Android 侧只通过 Binder / HAL 传递脱敏后的 APDU 数据。
- 方案 B(SP 芯片隔离):金融 POS 采用双芯片架构。MTK 芯片只跑 Android 系统负责 UI 和网络交互(主控);另有一颗专用的安全单片机(SP,如商用加密芯片)跑实时 OS,EMV L2 内核全权运行在 SP 芯片内,与 Android 物理隔离。