用于 CVC3 生成的 EMV 芯片中存储的应用程序事务计数器是不是有最大值？如果是，该值是不是会随时重置？

Posted 2023-02-22

【中文标题】用于 CVC3 生成的 EMV 芯片中存储的应用程序事务计数器是不是有最大值？如果是，该值是不是会随时重置？

【英文标题】：Is there a maximum value to Application Transaction Counter stored in EMV Chip for CVC3 generation? If yes, does this value resets at any point?用于 CVC3 生成的 EMV 芯片中存储的应用程序事务计数器是否有最大值？如果是，该值是否会随时重置？

【发布时间】：2019-07-28 21:12:59

【问题描述】：

作为发行人，需要进行哪些额外配置才能在每笔交易中继续接收 ATC 值而不会达到上限？为有效交易维护所有先前 ATC 的列表有什么好处？

【参考方案1】：

安全控制通常与特定的卡应用规范及其风险管理功能绑定，因此您需要使问题更加具体。

实施并达到 ATC 限制后，通常会使卡对 GPO 命令做出错误响应，因此不会生成任何动态密码。

ATC 是单调递增的，因此您可以将其用作安全功能，前提是您知道交易出现的顺序可能与生成的顺序不同（由于离线处理）。任何具有重复 ATC 的交易都可能是可疑的（除非您正在为 PSD2 实施单击 SCA，但这些很容易区分）。

【讨论】：

感谢对 sca 和 psd2 的引用。有趣，我需要阅读更多内容

【参考方案2】：

ATC 是一个两字节字段，每次您发出 GPO 时都会对其进行检查和递增，因此在技术上适用于所有交易。它不旋转，两个字节的最大数字是 65535。

收单方主机将记录所有 EMV 数据以显示在清算中，但发行方主机是可选的。大多数发行者主机都会为卡和序列号保留最后使用的 ATC，以便它可以检查重放授权。任何使用与上次使用的 ATC 相同或低于 ATC 的交易都将有资格进行重放。