【前言】现如今，随着持卡人多元化支付需求的日趋增长，新兴支付技术也在不断涌现。银行卡检测中心作为独立的第三方专业化技术服务机构，一直在持续地跟踪国际、国内最新支付技术。小编作为中心资讯服务平台的一员，也想把中心工程师研究的各项新型技术成果与大家分享，一起探讨。今天，小编邀请了中心工程师为大家简单谈谈“EMV令牌支付技术”。当然，小编作为非专业技术人士，提出的问题可能会比较基础，就当抛砖引玉，希望能为大家解惑一二，以下内容有任何不当之处，请不吝斧正！

在进入正题之前，小编想给大家分享两个支付领域名词：

1、主账号是什么？

主账号：英文为PrimaryAccount Number，简写为PAN，为标识发卡机构和持卡人而分配的号码，该号码由发卡机构识别号和个人账户标识以及附带的校验位共同组成。主账号一般为银行卡号，作为用户身份标识在银行卡或电子支付中经常用到。

2、OTP令牌是什么？

小编从工程师处了解到，在中国支付领域，特别是网上银行交易中，有多年令牌应用经验，其中使用最为广泛的产品就是OTP令牌。那么OTP令牌又是指什么呢？

首先，OTP全称为One-timePassword，也称一次性密码、动态密码，是指根据专门的算法只能使用一次且在一定时限内有效的不可预测的随机数字组合密码。

或许大家会问那一般登录网站时密码下方的校验码又是什么？其实这个校验码一般只起到防止黑客用自动化工具猜测密码的作用，不能用于验证用户身份。而OTP一般指与用户绑定，用于身份认证的密码。

动态密码OTP之所以目前在用户身份验证方面的应用较为广泛，主要是因为相较于用户自己设置的静态密码，动态密码“一次一密”的认证方式不易猜测。并且通常需要通过工具或设备产生，用户在动态密码产生前也不知道将会产生什么密码，将其与用户所记住的静态密码一起使用，可以起到双因素控制的作用，提高用户账户的安全性。

而动态密码令牌，即OTP令牌就是用来生成一次性密码的设备，目前的主流OTP令牌是基于时间同步机制，即根据特定算法每60秒生成一个与时间有关的动态密码，同时还有基于事件机制和挑战应答机制生成动态密码的令牌。

目前常见的OTP令牌形式主要包括三种：软件令牌、硬件令牌和短信密码。

OTP硬件令牌多为基于时间或挑战应答同步的硬件令牌，现被各大银行广泛使用，它们一般是这样：

图1 基于时间或事件的OTP硬件令牌

图2 基于挑战应答的OTP硬件令牌

用户在登网上银行或者进行网上支付时，页面会提示用户输入动态密码，用户只需轻摁OTP令牌上的按钮，即会出现一个随机密码，用户在一分钟内正确输入即可进行后续操作。

OTP软件令牌一般多为安装在手机终端上的基于挑战/应答同步方式的手机客户端软件。它们一般是这样：

图3 OTP软件令牌

用户在该软件上输入服务端（比如商户网页）下发的挑战码，该软件将依此生成一个6位的随机数字，这个口令只能使用一次，且作为一个单机版的动态口令生成软件，在生成口令的过程中，不产生任何通信，从而保证口令不会在网络传输中被截取。

短信密码则是身份认证系统以短信形式发送随机的6/8位密码到用户手机上，用户在登录或者交易认证时候输入此动态口令，从而确保系统身份认证的安全性。它一般为这样：

图4 短信密码

本讲主要向大家介绍了什么是主账号，什么是OTP令牌，下一讲小编将为大家说明什么是EMV令牌支付技术，它与OTP令牌的区别是什么，敬请期待！来源：银行卡检测中心