專利名稱:加密切換處理的制作方法
加密切換處理相關(guān)申請的交叉引用本申請是要求2010年11月4日提交的題為“Encryption Switch Processing(加密切換處理)”的美國專利申請No. 12/939,675的PCT申請,并且要求其優(yōu)先權(quán)。該美國專利申請No. 12/939,675要求2009年11月5日提交的題為“Encryption Switchingfor Increased Merchant Value (用于改善的商家價值的加密切換)”的美國臨時申請No. 61/258,500�����,的優(yōu)先權(quán)�����,其中這些申請的全部內(nèi)容作為參考結(jié)合在此用于各種目的���。
背景技術(shù):
對諸如信用卡和借記卡之類的交易卡的使用已經(jīng)無處不在�。消費者已經(jīng)逐漸依賴于使用交易卡來購買商品和服務(wù)�����。在許多情況下����,消費者更愿意使用交易卡,而不是替代的 支付方式����,如現(xiàn)金和支票。交易卡向消費者提供更多便利��,因為消費者不再需要攜帶現(xiàn)金或支票?����,F(xiàn)金或支票會丟失或被盜�����,而且會被不恰當?shù)赜糜趶氖虏槐幌M者認可的交易���。交易卡(也可稱為支付卡或支付工具)的普及導致了其他問題���。通常,交易卡關(guān)聯(lián)于賬戶標識符(如賬號)�����,其進一步關(guān)聯(lián)于附屬現(xiàn)金賬戶或信用額度��,這可稱為交易賬戶或賬戶��。如果欺詐用戶能夠獲得該賬戶標識符��,則欺詐用戶可能從事不被交易卡的合法持有人所授權(quán)的交易��。消費者可以采取一些步驟以確保不會發(fā)生這種情況����。例如,消費者可以始終小心地把交易卡放在安全的地方�,例如錢包或皮夾中。消費者也可以在交易卡丟失或被盜時通知交易卡的發(fā)行方��,這樣卡會被禁用��,不能再被用來進行交易����。無論消費者在處理交易卡時多么小心��,賬戶標識符都可能會完全處于消費者控制之外而面臨危險�。消費者可能從事與商家的合法交易����,作為交易的一個環(huán)節(jié),向商家提供與交易卡相關(guān)聯(lián)的賬戶標識符���。商家可能按照傳統(tǒng)方式來處理交易�。然而��,因為商家以及任何下游處理人員(諸如商家的收單方(acquirer))可以訪問賬戶標識符���,則消費者只能受制于商家或下游處理人員所進行的安全程序���。例如�,商家的不良雇員可能訪問商家的交易處理系統(tǒng)以竊取賬戶標識符。被盜的賬戶標識符可被不良雇員或他人用于從事欺詐交易�。由疏忽的處理或?qū)捤傻陌踩绦蛟斐傻馁~戶標識符暴露可被稱為數(shù)據(jù)或安全外泄。為了減少數(shù)據(jù)外泄的可能性�,商家�、收單方和作為正常交易處理的一部分需要合法擁有賬戶標識符的任何其他實體須執(zhí)行支付卡行業(yè)(“PCI”)安全審計程序�����,以確保遵守支付卡交易的PCI數(shù)據(jù)安全標準(“DSS”)要求����。PCI審計程序的目的是要確保商家,收單方和其他擁有賬戶標識符的實體在他們的系統(tǒng)內(nèi)有足夠的安全措施來保護消費者的賬戶標識符��。例如����,PCI DSS標準會要求存儲在商家系統(tǒng)內(nèi)的任何賬戶標識符必須以加密格式存儲,這些系統(tǒng)必須通過使用防火墻而與任何通用計算機網(wǎng)絡(luò)相隔離����。雖然PCI DSS的審計對消費者提供了某種程度的保護,但在流程上還有許多不足之處�。例如,審計通常是在離散時間點進行的�。商家可能在進行審計時完全符合PCI DSS,但商家的系統(tǒng)可能在審計后的某點上會發(fā)生改變。為了緩解這種憂慮���,商家可能會被定期審計��,如每季度一次���。但是應(yīng)該清楚�,仍有可能商家在審計間隙不符合PCI DSS0此外�����,維持商家���、收單方���、以及任何其他受PCI DSS審計的實體遵守PCI DSS具有較高成本。除了審計本身的成本�����,還有用以確保支付處理過程中所做的任何改變?nèi)匀蛔駨腜CI DSS的持續(xù)成本�����。本文揭示的技術(shù)的多個實施例單獨地或共同地解決了這些和其他問題�。
發(fā)明內(nèi)容
提供了用于免除商家和收單方執(zhí)行支付卡行業(yè)(“PCI”)安全審計程序的技術(shù)���。商家和收單方能免除與進行審計來確保遵守PCI數(shù)據(jù)安全標準(“DSS”)相關(guān)的操作費用�,同時確保持卡方的數(shù)據(jù)依然安全,由此保護持卡方免受欺詐交易�����。通過每次交易審計的使用�,進一步增強了系統(tǒng)安全,其中審計的范圍直接在銷售點(POS)終端和支付處理網(wǎng)絡(luò)之間���。由此�����,相比于僅僅定期確保商家或者收單方的合規(guī)性�,能在單次交易的基礎(chǔ)上確保支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)的合規(guī)性�����。確保了單次交易遵從支付卡行業(yè)數(shù)據(jù)安全標準(PCIDSS)�����,同時消除了商家或收單方執(zhí)行合規(guī)性審計的必要性。本發(fā)明的一個實施例涉及一系統(tǒng)��,包括密鑰數(shù)據(jù)庫以及耦合到該密鑰數(shù)據(jù)庫的交易處理服務(wù)器計算機�����。密鑰數(shù)據(jù)庫存儲密鑰��。交易處理服務(wù)器計算機包括處理器以及耦合到該處理器的非臨時性計算機可讀介質(zhì)����。非臨時性計算機可讀介質(zhì)包含由處理器執(zhí)行以實現(xiàn)一方法的編碼,該方法包括從終端接收和交易相關(guān)的包裹��,其中包裹包括未加密交易細節(jié)����、從與終端相關(guān)聯(lián)的密鑰和賬戶標識符中導出的令牌、以及交易細節(jié)的至少第一部分����;從密鑰數(shù)據(jù)庫檢索與終端相關(guān)聯(lián)的密鑰;用密鑰把令牌轉(zhuǎn)換成賬戶標識符����;驗證賬戶標識符與有效賬戶相關(guān)聯(lián)����;對交易進行審計�����,審計確保了包裹在終端和交易處理服務(wù)器之間沒有被修改�����。另一個實施例涉及一方法���,包括在服務(wù)器計算機處從終端接收與交易相關(guān)聯(lián)的包裹,其中該包裹包括未加密交易細節(jié)���、從與終端相關(guān)聯(lián)的密鑰和賬戶標識符中導出的令牌�、以及交易細節(jié)的至少第一部分��;把令牌轉(zhuǎn)換成賬戶標識符��;驗證賬戶標識符與有效賬戶相關(guān)聯(lián)�;對交易進行審計,審計確保了包裹在終端和服務(wù)器計算機之間沒有被修改細節(jié)�����。另外一個實施例涉及一方法,包括在服務(wù)器計算機處接收交易授權(quán)請求���,該交易授權(quán)請求包括包裹���,包裹包括加密格式和未加密格式的交易細節(jié)至少一部分細節(jié);轉(zhuǎn)發(fā)授權(quán)請求以獲取對交易的授權(quán)�。本發(fā)明的這些和其它的實施例在以下進行詳述。附圖描述圖I示出利用了本公開的多個實施例的系統(tǒng)圖�����。圖2示出包括在包裹里的示例性數(shù)據(jù)��。圖3示出支付終端角度上的簡化流程圖��。圖4示出商家系統(tǒng)角度上的簡化流程圖�。圖5示出收單方角度上的簡化流程圖。圖6示出支付處理網(wǎng)絡(luò)角度上的簡化流程圖�����。圖7示出發(fā)行方角度上的簡化流程圖���。圖8示出可被用于實現(xiàn)本系統(tǒng)組成部分的計算機系統(tǒng)的高層框圖��。
圖9-12示出示例性支付工具的高層框圖�。
具體實施方式
提供了用于免除商家和收單方執(zhí)行支付卡行業(yè)(“PCI”)安全審計程序的技術(shù)。在此揭示的系統(tǒng)和方法使通過支付處理網(wǎng)絡(luò)處理的交易自動PCI合規(guī)��,由此使得商家�����、收單方以及受PCI審計過程的任何其他實體免去PCI審計過程�����。此外���,本技術(shù)向商家、收單方以及受PCI審計過程的任何其他實體提供其他優(yōu)勢���。諸如���,減少了內(nèi)部欺詐防范成本,因為不再需要執(zhí)行PCI合規(guī)性審計或不再需要確保系統(tǒng)是PCI合規(guī)的���。此外��,本技術(shù)不需要在商家��、收單方�、或發(fā)行方的主機安全模塊(HSM)上進行加密/解密,即便仍然可以提供這種加密和解密以便與既有系統(tǒng)兼容���。此外����,不同于在離散時間點上進行PCT合規(guī)性審計的現(xiàn)有系統(tǒng)����,本公開的多個實施例允許對每個單獨交易進行審計以確保PCI合規(guī)性。為了提供對本公開的更好理解�����,將對目前存在的交易處理進行簡要的回顧����。為了方便討論,描述在實體商店中進行的交易,但應(yīng)該理解�,類似的步驟可以發(fā)生在任意類型的交易中,包括在線交易����。在典型的交易中,消 費者選擇要購買的商品或服務(wù)����。消費者隨后通過向商家出示交易卡(諸如,借記卡���,或信用卡)來為該商品或服務(wù)進行支付�����。商家可在銷售點(POS)終端上刷該交易卡以從該交易卡讀取賬號。POS終端可隨后將賬號發(fā)送給商家系統(tǒng)��,在此可添加其他的與交易有關(guān)的信息�����,諸如購買數(shù)量�。應(yīng)該注意,在一些情況下,POS終端和商家系統(tǒng)是單個設(shè)備�,其中讀取賬號,并由商家鍵入購買數(shù)量���。諸如賬號和購買數(shù)量之類的交易細節(jié)隨后從商家系統(tǒng)被發(fā)送到收單方系統(tǒng)以請求交易授權(quán)��。收單方通常是持有商家賬戶的銀行�����,交易所產(chǎn)生的資金將最終存入該商家賬戶中����。收單方系統(tǒng)隨后接收交易細節(jié)�����,并確定支付處理網(wǎng)絡(luò)將處理該交易��。收單方將交易路由至合適的支付處理網(wǎng)絡(luò)�,該支付處理網(wǎng)絡(luò)接著確定交易卡的發(fā)行方。如上所述��,發(fā)行方可向消費者提供用于存放現(xiàn)金或信用額度的賬戶����。支付處理網(wǎng)絡(luò)隨后將交易路由至正確的發(fā)行方�����,以進行交易授權(quán)判定����。如果消費者在賬戶內(nèi)有足夠的資金或有足夠的可用信用�����,則發(fā)行方授權(quán)該交易�����。授權(quán)響應(yīng)經(jīng)過支付處理網(wǎng)絡(luò)����、收單方以及商家系統(tǒng)被發(fā)回給商家���。消費者隨后完成對商品或服務(wù)的購買�����。在稍候的時間點上���,將進行結(jié)算和清算過程����,其中資金真正從消費者的賬戶(或從信用額度中抽取)轉(zhuǎn)移入商家在收單方的賬戶��。使用賬號來進行該結(jié)算和清算處理�����,其中對資金的請求可以與先前授權(quán)相比較�����,如果授權(quán)存在�,則資金被轉(zhuǎn)移。當需要個人識別號(PIN)時���,交易將變得更為復(fù)雜����。例如��,在一些借記卡交易中,需要由消費者輸入PIN���。PIN通常由消費者以明文方式輸入POS終端�����。隨后使用POS終端中的PIN加密密鑰(PEK)對PIN進行加密��,并將PIN發(fā)送到商家系統(tǒng)����,商家系統(tǒng)也知曉該PEK�。商家系統(tǒng)隨后使用PEK對PIN進行解密,并使用收單方工作密鑰(AWK)再次對其進行加密����,收單方工作密鑰是商家和收單方所共知的密鑰。收單方隨后使用AWK對PIN進行解密�����,并使用支付處理器密鑰再次對其進行加密��。支付處理器接下來對PIN進行解密����,并使用發(fā)行方工作密鑰對其進行加密。發(fā)行方隨后對PIN進行解密�����,并確定該PIN是否正確�����。雖然PCI規(guī)范要求上述的所有加密/解密都在主機安全模塊(HSM)中進行(這應(yīng)該不會將PIN暴露為明文格式)���,仍然存在與維持多個HSM相關(guān)聯(lián)的開銷���。此外,每個HSM將需要被審計���,以確保其操作符合PCI標準�����,這因而增加了 PCI DSS合規(guī)性的額外成本����。從上文的描述中應(yīng)該清楚,存在威脅消費者賬戶信息的許多機會��。商家和收單方的數(shù)據(jù)外泄已經(jīng)變得普遍�。雖然PCI DSS審計過程嘗試減少這種數(shù)據(jù)外泄的可能性,但數(shù)據(jù)外泄仍舊發(fā)生�。本公開的多個實施例無需商家和收單方執(zhí)行PCI DSS合規(guī)性審計,因此減少了操作成本���。此外����,交易均是自動PCI DSS合規(guī)的�����,因此確保了消費者的交易賬戶信息
保持安全���。圖I示出使用本公開實施例的系統(tǒng)100的示意圖�����。圖I的系統(tǒng)包括多種類型的交易卡110�、P0S終端120���、商家系統(tǒng)130�、收單方系統(tǒng)140����、支付處理網(wǎng)絡(luò)150、以及發(fā)行方系統(tǒng)160�����。雖然每個上述的組件僅僅被示出一個����,但這是為了描述簡單。在實際的操作系統(tǒng)中����,可以存在任意數(shù)量的圖I所描述的組件。交易卡110可以采用許多不同形式和形狀因子�。一個簡單的示例是標準交易卡110(a)。這樣的卡可包括被壓印在卡正面的賬戶標識符����,諸如賬戶號。該 卡進一步可包括在背面的磁條�����,磁條包含POS終端120易于讀取的賬戶信息,諸如賬戶標識符�����。通常�,標準交易卡是被動元件,并且由主動元件(諸如�,POS終端120)所讀取。下文中參考圖9詳述標準交易卡��。交易卡110也可包括非接觸卡110(b)����。通常,非接觸卡類似于標準卡��,但額外具有非接觸元件���,該非接觸元件允許在不將卡與POS終端120物理接觸的情況下從卡上讀取賬戶信息�����。例如����,非接觸卡110(b)可包括RFID元件,RFID元件在由POS終端120供能時使得非接觸卡110(b)將賬戶信息從該非接觸卡無線地發(fā)送至POS終端120�。下文中參考
圖10詳述非接觸卡。還有一種類型的交易卡110是智能卡110(c)��。不同于標準卡110(a),智能卡110(c)可以是主動元件���。智能卡110(c)可包括處理器和存儲器,并執(zhí)行處理任務(wù)���,在標準卡110(a)的情況下這些處理任務(wù)通常是由POS終端120完成的����。此外��,智能卡110(c)可工作在接觸式和非接觸式模式下��。在接觸式模式下�����,智能卡110(c)被插入POS終端120,POS終端120向智能卡110(c)上的處理器和存儲器供電�。工作在非接觸式模式下類似于工作在接觸式模式下,只是不被插入POS終端120��,智能卡110 (c)由POS終端120供能���,并與POS終端120進行無線通信��。參考附圖11給出智能卡110(c)的進一步描述�����。還有一種類型的交易卡其實并不是真正的卡片�����。移動設(shè)備110(d)可被配置為包括上述的卡llO(a-c)的任意一種的所有功能�。下文中參考附圖12詳述移動設(shè)備110(d)����。雖然已經(jīng)描述了幾種示例類型的交易卡,但是這是出于說明目的而并非是限制��。不論形狀因子如何���,任意的交易卡都可以用于本公開的實施例�����。在一些情況中��,賬戶可不與物理卡片或設(shè)備相關(guān)聯(lián)���,而是僅僅由賬戶標識符識別���。本發(fā)明的實施例可用于能夠?qū)~戶進行識別的任意類型的賬戶標識符����。系統(tǒng)100也可包括POS終端120。POS終端120也可被簡單地稱為終端���,并可以包括處理器120 (a)以及耦合到處理器的存儲器120 (b)����。存儲器可包括計算機指令�����,當由處理器120(a)執(zhí)行該計算機指令時,使處理器執(zhí)行下述的功能��。此外�����,存儲器120(b)也可包含有一個或多個密鑰�����,諸如加密密鑰���。這些密鑰可允許POS終端120對數(shù)據(jù)進行加密�,使得數(shù)據(jù)僅僅能由持有對應(yīng)密鑰的實體進行解密���。例如�����,該密鑰可以是對稱或非對稱密鑰對的一部分���。對應(yīng)密鑰可被存儲114在支付處理網(wǎng)絡(luò)150的密鑰數(shù)據(jù)庫150(a)中,這將在下文進行詳述�。因此��,由POS終端120加密的數(shù)據(jù)僅僅能由支付處理網(wǎng)絡(luò)150來解密����。在POS終端120處接收到的交易數(shù)據(jù)可使用任意數(shù)量的加密標準(諸如����,DES、具有捆綁密鑰的TDES���、AES-128����、AES-256�����,等等)來加密�����。此外����,加密/解密可由POS終端120使用對稱密鑰或非對稱密鑰來完成。在一個實施例中�,非對稱密鑰是具有可選私鑰的公鑰����。此外,可使用任意數(shù)量的加密算法(諸如����,RSA、ECC�,等等)。在一個實施例中���,加密控制信號(ECS)可被用于調(diào)節(jié)密鑰簽名大小��??梢岳斫?���,用于確保由第一組件加密的數(shù)據(jù)僅能由第二組件使用關(guān)聯(lián)密鑰進行解密的任何形式的加密技術(shù)都適用于本公開的實施例。存儲在POS終端120中的加密密鑰可以是對終端而言唯一的���。每個POS終端120可具有與其相關(guān)聯(lián)的標識符�����,以及與該終端標識符相關(guān)聯(lián)的特定密鑰���。因此�����,當由POS終端120加密的數(shù)據(jù)被支付處理網(wǎng)絡(luò)150所接收時����,支付處理網(wǎng)絡(luò)使用終端標識符來確定與該特定POS終端相關(guān)聯(lián)的密鑰�。可隨后從密鑰數(shù)據(jù)庫150(a)中檢索正確的密鑰��,并且可對加密數(shù)據(jù)進行解密���。POS終端120也可包括讀取器120(c)。讀取器可以采用任何適當?shù)男问?���,諸如從標準卡110(a)讀取數(shù)據(jù)的磁條讀取器、對非接觸卡110 (b-d)進行供能并從中讀取數(shù)據(jù)的非接觸讀取器用于��、或?qū)χ悄芸?10(c)進行供能并從中讀取數(shù)據(jù)的接觸讀取器。讀取器120(c)可以采用任何適當?shù)男问?���,以便從任何合適的交易卡110讀取賬戶標識信息。POS終端120也可包括PIN/PAN輸入設(shè)備120(d)��。對于需要使用PIN的交易���,消費者可將其PIN 鍵入該PIN/PAN輸入設(shè)備120 (d)����。在一些情況中(諸如使用損壞的交易卡)�����,需要手動輸入賬戶標識符(被稱為主賬戶標識符PAN)���。PIN/PAN輸入設(shè)備120(d)可被用于該目的����。在操作中���,消費者可按照常規(guī)方式向POS終端120出示112其交易卡110����。例如,在標準卡110(a)的情況中���,消費者可將其交易卡110交與商家的雇員�����,由該雇員在POS終端讀取器120(c)上刷該交易卡��。POS終端中的處理器120(a)從交易卡讀取賬戶標識符115�����。處理器隨后生成令牌125(a)�����,該令牌125(a)基于賬號以及與該終端相關(guān)聯(lián)的密鑰�����。應(yīng)該理解,由于令牌125(a)是基于與該終端相關(guān)聯(lián)的密鑰而生成的�,則也可訪問該密鑰的支付處理網(wǎng)絡(luò)150可將令牌轉(zhuǎn)換回賬戶標識符��。令牌125 (a)可包括格式與消費者的真正賬戶標識符相類似的賬戶標志符���。例如,如果賬戶標識符包括十九位數(shù)字���,則令牌也可包括十九位數(shù)字�。在一些實施例中��,令牌可以是任意長度或類型的���,只要令牌類似于賬戶標識符(諸如�����,信用卡號碼�����、借記卡號碼���、禮品卡號碼,等等)的格式。例如�����,當賬戶標識符是十九位數(shù)字長時�,令牌可類似于二十一位數(shù)字長的禮品卡號碼。令牌也可使用諸如偽造�、贗品、詐騙���、替換等等的術(shù)語來描述���。在一些實施例中,POS終端120不生成令牌���,而是由交易卡110來生成令牌125(a)�。例如�����,在智能卡110(c)的情況中�����,POS終端120可將密鑰以安全方式提供給智能卡。智能卡上的處理器可生成令牌���,并將該令牌交與POS終端120。同樣���,應(yīng)該理解����,在處理交易之前生成令牌���,該令牌類似于賬戶標識符�。令牌125 (a)可僅由持有用于生成該令牌的密鑰的實體來轉(zhuǎn)換回賬戶標識符�����。因此��,如所述的�����,僅支付處理網(wǎng)絡(luò)150才能將令牌轉(zhuǎn)換回賬戶標識符115�。POS終端120也可獲取與交易有關(guān)的細節(jié)��,諸如���,交易數(shù)量和交易日期。雖然在此提及了兩個特定的數(shù)據(jù)��,但應(yīng)該理解��,這是為了解釋目的��,而并非限制����。交易細節(jié)的第一部分可隨后使用與POS終端120相關(guān)聯(lián)的密鑰進行加密。對于需要PIN的交易��,PIN可從消費者處經(jīng)由PIN/PAN輸入設(shè)備120 (d)來接收��,并通過與POS終端120相關(guān)聯(lián)的密鑰進行加密�����。PIN和交易數(shù)據(jù)可僅由也持有與POS終端120相關(guān)聯(lián)的密鑰的實體來恢復(fù)�。如圖I所示的,PIN和交易數(shù)據(jù)可僅由支付處理網(wǎng)絡(luò)150來恢復(fù)����。
令牌和加密交易數(shù)據(jù)隨后可被遞送117到商家系統(tǒng)130�。此外�,與POS終端120相關(guān)聯(lián)的標識符也被提供給商家系統(tǒng)130。商家系統(tǒng)130可構(gòu)成包裹125����,包裹125包括令牌125 (a)�����、終端標識符���、以及終端加密數(shù)據(jù)125 (b)��。商家系統(tǒng)130也可附加另外的信息��,諸如交易數(shù)量和交易日期125(b)����。雖然包括這些交易細節(jié)的重復(fù)集合看起來是冗余的�,但其目的在下文中對單次交易審計的描述中將變得更加清晰。下文參考附圖2給出對包裹125的進一步描述��。此時,商家系統(tǒng)130可使用令牌來處理交易�。因為令牌采用類似于賬戶標識符的格式,商家無需對上述的常規(guī)處理進行任何的改動�����。商家系統(tǒng)130可將包裹125發(fā)送119至收單方系統(tǒng)140�。收單方系統(tǒng)隨后處理令牌125,就如同它是賬戶標識符那樣�����。收單方基于令牌來確定用于處理該交易的適當交易處理網(wǎng)絡(luò)150�����。應(yīng)該理解���,商家系統(tǒng)130和收單方140使用令牌125 (a)而并非真正的賬戶標識符 來操作��。所有通常由商家130和收單方140進行的處理如同正常操作一樣繼續(xù)進行����,除了使用令牌來代替真正的賬戶標識符�����。因為令牌類似于賬戶標識符,商家130和收單方都能有利地免于對他們的系統(tǒng)作出任何修改以支持本公開的實施例���。而且�,通過使用令牌125(a)���,免除商家130和收卡行收單方140對PCIDSS合規(guī)性的要求�。如上所述��,持有將令牌轉(zhuǎn)換成真正的賬戶標識符所必須的密鑰的實體只有POS終端120和支付處理網(wǎng)絡(luò)150����。令牌125 (a)基本上毫無價值�����,直到它被轉(zhuǎn)換成真正的賬戶標識符�����。因此���,即使商家130或收單方140的系統(tǒng)被外泄���,且令牌被獲得���,令牌本身也不能被用于交易,因為它們都不是真正的賬戶標識符���。由于商家130和收單方140系統(tǒng)不可能再包含真正的賬戶標識符�����,因此不再需要PCI DSS合規(guī)性審計���,進而有利地降低了商戶和收單方與這些審計相關(guān)的成本。即使在需要PIN交易的情況下��,仍然無需對商家130和發(fā)行方140進行PCI DSS合規(guī)性審計�����。如上所述�,PIN是使用與POS終端120相關(guān)聯(lián)的密鑰來加密的。這樣,只有支付處理網(wǎng)絡(luò)150才能夠恢復(fù)PIN的明文形式�。由于上述的傳統(tǒng)多重PIN加密/解密步驟可被免除,就無需為了正確的PIN處理而對商家130或發(fā)行方140進行審計����,因為這些實體從未持有PIN的明文形式。雖然上文描述的交易開始于POS終端120�����,之后通過商家130和收單方140��,但是本發(fā)明的實施例不限于此�����。在一些實施例中����,POS終端120可直接連接到支付處理網(wǎng)絡(luò)150����。可以采用所披露技術(shù)的終端示例是來自Visa 的商家直接交換(“MDEX”)終端���。該終端創(chuàng)建與支付處理網(wǎng)絡(luò)150的直接連接���,因此可以繞過收單方140��。由商家/收單方接收到的包裹125隨后可被發(fā)送121到支付處理網(wǎng)絡(luò)150���。所接收到的包裹145再次包含令牌145 (a)以及交易細節(jié)145 (b)。支付處理系統(tǒng)可通過包裹145中所包含的終端標識符來識別正在執(zhí)行交易的POS終端120�。支付處理系統(tǒng)150可隨后在密鑰數(shù)據(jù)庫150 (a)中查找該終端標識符,以檢索與POS終端120相關(guān)聯(lián)的密鑰��。使用此密鑰����,支付處理網(wǎng)絡(luò)可將令牌轉(zhuǎn)換回真正的賬戶標識符。支付處理網(wǎng)絡(luò)150可包括一個或多個交易處理服務(wù)器計算機來處理交易�。參考圖8詳細描述合適的服務(wù)器計算機。支付處理網(wǎng)絡(luò)150可隨后遵循傳統(tǒng)的交易處理程序����。交易的細節(jié)第二部分,諸如賬戶標識符165����,以及交易數(shù)量和其他從包裹145提取的相關(guān)數(shù)據(jù),可被發(fā)送123至賬戶標識符的發(fā)行方160。發(fā)行方160隨后基于常規(guī)因素來確定交易是否被授權(quán)�,常規(guī)因素諸如相關(guān)賬戶內(nèi)的數(shù)額或信用額度的可用信用額。授權(quán)決定隨后經(jīng)由支付處理網(wǎng)絡(luò)150和收單方140而返回到商家130�。所描述的本公開實施例從而極為有利地免除了商家和收單方執(zhí)行PCI DSS合規(guī)性審計的需要。由于由商家和收單方執(zhí)行審計不再必要����,本公開的實施例有利地允許商家和收單方降低他們的操作成本。此外�����,因為不可能在商家或收單方處存在暴露真正賬戶標識符的數(shù)據(jù)外泄�,商家和收單方有利地減輕了與這些外泄相關(guān)的責任。此外�,本公開的實施例采用新的審計形式,即單次交易審計�。如上所述的,在即時公開之前��,PCI DSS合規(guī)性審計是離散的事件��。例如���,商家可能會在某一天結(jié)束合規(guī)性審計,而在后一天的對商家系統(tǒng)的改動可能使得商家不再符合PCI DSS。例如���,保護商家系統(tǒng)的防火墻可能會失效��。這種失敗在下一次審計之前不會被發(fā)現(xiàn)�����。本公開的實施例提供了進行單次交易審計的能力����。如上所述����,由POS終端120用密鑰創(chuàng)建令牌。令牌只能使用關(guān)聯(lián)的密鑰來轉(zhuǎn)換回真正的賬戶標識符�。因此,如果令牌被支付處理網(wǎng)絡(luò)150接收到并能夠使用與POS終端120關(guān)聯(lián)的密鑰轉(zhuǎn)換成真正的賬戶標識符�, 則可確信POS終端120正在按照本公開的實施例進行操作。因此�,真正的賬戶標識符并未被發(fā)送給商家或收單方,這意味著�����,對于特定的交易,真正的賬戶標識符從未暴露��。因此����,單獨交易符合PCI DSS標準,因為真正的賬戶標識符從未在POS終端120之外暴露�。此外,如上所述��,密鑰114在POS終端120和支付處理網(wǎng)絡(luò)50之間共享���。由POS終端120使用密鑰加密的數(shù)據(jù)僅能由支付處理網(wǎng)絡(luò)150來解密���。POS終端120已被描述為在包裹125中包括交易相關(guān)的信息,這些交易相關(guān)信息用與終端相關(guān)聯(lián)的密鑰進行加密�。相同的數(shù)據(jù)可以由商家系統(tǒng)130以未加密形式包含在包裹中。在支付處理網(wǎng)絡(luò)處��,加密數(shù)據(jù)可以被解密����,并與包裹中的未加密數(shù)據(jù)進行比較。如果數(shù)據(jù)匹配�����,這表明商家或收單方并未對由POS終端120加密的至少該部分數(shù)據(jù)進行修改��。例如�,POS終端120可接收交易數(shù)量和交易日期。POS終端120可隨后使用與POS終端120相關(guān)聯(lián)的密鑰對這些數(shù)據(jù)進行加密���。商家系統(tǒng)也可將這些信息包括在包裹145中�,包裹145被發(fā)送至支付處理網(wǎng)絡(luò)����。被包括在支付處理網(wǎng)絡(luò)150中的單次交易審計系統(tǒng)150(c)可接收加密的和未加密的交易細節(jié)。通過單次交易審計系統(tǒng)150 (C)�����,支付處理網(wǎng)絡(luò)150可對加密的交易數(shù)量和日期進行解密���,并將這些數(shù)據(jù)與從包裹中找到的未加密的交易數(shù)量和日期進行比較���。如果數(shù)據(jù)不匹配,這意味著包裹在POS終端120和支付處理網(wǎng)絡(luò)150之間的某處被修改了�����。這樣的修改可能是對支付處理網(wǎng)絡(luò)150的操作規(guī)范的違例。因此�����,如果比較失敗���,則交易處于支付處理網(wǎng)絡(luò)的操作歷程的違例狀態(tài)�����,且單次交易審計失敗��。在一個實施例中��,單次交易審計系統(tǒng)150(c)可將單次交易審計的結(jié)果存儲在交易數(shù)據(jù)庫150(b)中��。交易數(shù)據(jù)庫150(b)可簡單地存儲每次交易的單次交易審計通過/失敗狀態(tài)���。在更復(fù)雜的實施例中,交易數(shù)據(jù)庫150(b)可存儲與交易有關(guān)的所有數(shù)據(jù)�,這樣可以保存單次交易審計失敗的準確原因。商家可定期接收對每次交易所執(zhí)行的審計的通過/失敗狀態(tài)報告��。如果與一商家相關(guān)聯(lián)的失敗單次交易審計數(shù)目超過由支付處理網(wǎng)絡(luò)所設(shè)置的閾值,則將采取校正行為���。該閾值可以低至一次單次交易審計失敗����、特定數(shù)量的失敗����、特定比例的失敗�����、或由支付處理網(wǎng)絡(luò)150所指定的任何其他標準�����。在一些情況中�����,校正行為可以小至要求商家/收單方校正審計失敗的源頭��。例如����,如果商家系統(tǒng)130具有不正確的日期設(shè)置�����,則單次交易審計將失敗��,因為根據(jù)POS終端120的日期將永遠與商家130的日期不匹配���。可簡單地指令商家改正其設(shè)備上的日期���。在更為嚴格的情況下���,超過支付處理網(wǎng)絡(luò)150所定義閾值的單次交易審計失敗可能會暫停商家使用支付處理網(wǎng)絡(luò)的能力。例如����,如果包裹145中的交易數(shù)量與POS終端120 所指定的未加密交易數(shù)量不匹配,則這表示極大的問題�。商家或收單方的系統(tǒng)在修改交易數(shù)量使其不同于由POS終端所指定的交易數(shù)量,這可能表示欺詐行為����。這樣的指示可能將導致商家交易被暫停�,直到該單次交易審計失敗的源頭被發(fā)現(xiàn)并被糾正���。雖然上述的單次交易審計是關(guān)于周期性執(zhí)行的審計����,諸如每月一次���,但本公開的實施例不限于此。在一些實施例中�,單次交易審計系統(tǒng)150(c)結(jié)合從發(fā)行方獲得對交易的授權(quán),實時地操作��。例如��,在向發(fā)行方請求對交易的授權(quán)之前�����,可執(zhí)行單次交易審計��。如果單次交易審計失敗�,則支付處理網(wǎng)絡(luò)可確定該交易是欺詐的,并由此自動拒絕該交易而不詢問發(fā)行方。 在其他實施例中����,單次交易審計失敗可不導致交易被自動拒絕。支付處理網(wǎng)絡(luò)通常向商家就處理交易收取費用���。在一些實施例中����,支付處理網(wǎng)絡(luò)150可向商家就通過單次交易審計的交易提供折扣����。因此,確保所有交易都通過單次交易審計就成為了商家的自身意愿�����。打折后的單次交易定價也可被用于激勵商家從傳統(tǒng)卡處理向即時公開的卡處理方式轉(zhuǎn)移��。商家有利地減少了商業(yè)活動的成本����,不單單是通過免予執(zhí)行PCI DSS合規(guī)性審計,還經(jīng)由成功單次交易審計相關(guān)的打折交易費用��。雖然描述了打折費用,也應(yīng)該理解��,對支付處理網(wǎng)絡(luò)留有特定的支付結(jié)構(gòu)����。例如,不是對通過單次交易審計的交易給予折扣����,而是對單次交易審計失敗的交易收取增加的費用。如上所述���,PCI DSS合規(guī)性審計的免除以及單次交易審計均依賴于由POS終端120 所生成的令牌僅能由支付處理網(wǎng)絡(luò)150轉(zhuǎn)換為賬戶標識符�。類似地�����,由POS終端120加密的數(shù)據(jù)僅能由支付處理網(wǎng)絡(luò)150解密��。為了確保如此��,支付處理網(wǎng)絡(luò)可周期性地對POS終端的制造商進行審計��,以確保終端如上所述地操作�����。例如����,可對POS終端制造商進行審計以確保生成令牌所使用的軟件是安全的,并且不將真正的賬戶標識符泄露于POS終端自身之夕卜���。此外����,可對POS終端制造商進行審計以確保在交易細節(jié)上執(zhí)行的加密使得數(shù)據(jù)在POS 終端之外是不可獲得的�����。只要對POS終端制造商進行審計以確保POS終端如上所述地進行操作�,就不需要對商家和收單方的PCI DSS審計。此外�����,對POS終端的制造商的審計有利地使支付處理網(wǎng)絡(luò)免于對每個單獨的POS終端進行審計��。如果制造商審計為生產(chǎn)合規(guī)的終端����,則無需對所部署的每個POS終端進行單獨的審計���,因為終端的合規(guī)性已經(jīng)被驗證了��。此外�,因為終端的制造商無法訪問賬戶標識符�,就不存在制造商系統(tǒng)處的數(shù)據(jù)外泄導致賬戶標識符信息暴露的可能性�。周期性地,通常在每天結(jié)束時��,進行結(jié)算和清算過程。在結(jié)算和清算過程中�����,商家 130將所有的授權(quán)交易遞交給支付處理網(wǎng)絡(luò)150用于支付���。支付處理網(wǎng)絡(luò)150便于將資金從消費者賬戶經(jīng)由發(fā)行方轉(zhuǎn)移到商家賬戶���。結(jié)算和清算過程通常在實施本公開的實施例時不發(fā)生改變�。主要的區(qū)別是不使用賬戶標識符來識別交易�����,而是使用令牌���。支付處理網(wǎng)絡(luò)能夠如上所述地在開始與發(fā)行方的結(jié)算和清算過程之前將令牌轉(zhuǎn)換為真正的賬戶標志符。圖2示出了包裹中所包括的示例性數(shù)據(jù)��。圖2的包裹200中包括的數(shù)據(jù)僅僅是示例性的,并且不旨在進行任何的限制�����。商家或POS終端可獲得的其他額外數(shù)據(jù)也可被包括在包裹200中�。包裹200可包括由POS終端生成或接收的令牌210。如上所述��,令牌與真正的賬戶標識符相關(guān)聯(lián)。令牌可從與終端相關(guān)聯(lián)的密鑰以及從賬戶標識符中導出��。令牌可采用與真正的賬戶標識符相類似的格式。因此��,任何系統(tǒng)(諸如商家和收單方系統(tǒng))可處理令牌,就如同它是賬戶標識符那樣�����,這有利地允許商家和收單方系統(tǒng)在實施本公開的實施例時保持不變�����。此外��,包裹可包括終端標識符220。終端標識符可被支付處理網(wǎng)絡(luò)用于確定生成包裹200的特定POS終端�?��;谠摯_定����,可從密鑰數(shù)據(jù)庫中檢索與終端相關(guān)聯(lián)的密鑰����,以對包裹中所包含的任何加密信息進行解密�����。包裹也可包括未加密的交易細節(jié)�����,諸如交易日期230和交易數(shù)量240���。如上所述���, 該數(shù)據(jù)可以采用未加密形式發(fā)送,并可被終端或商戶插入包裹200中�。未加密數(shù)據(jù)可包括在沒有本公開的實施例的情況下被處理的交易授權(quán)請求中所包括的信息。下文中進一步描述未加密數(shù)據(jù)的使用���。包裹也包括終端加密PIN 250���。如上所述,標準化交易處理要求對PIN的多次迭代的加密和解密。在現(xiàn)有技術(shù)中���,因為PIN是明文格式的(至少在HSM中是這樣)����,這就要求對商家和收單方進行針對PCI合規(guī)性的審計����。本發(fā)明的實施例可包括采用由終端使用與支付處理網(wǎng)絡(luò)共享的密鑰進行加密的格式的PIN。如上所述�,PIN可隨后在發(fā)送到收單方之前, 被商家系統(tǒng)使用AWK再次加密。收單方可對AWK加密的PIN進行解密�����,并使用支付處理器密鑰對PIN再次加密�����。支付處理網(wǎng)絡(luò)可隨后執(zhí)行兩層解密����。第一����,使用支付處理器密鑰對PIN進行解密。 這結(jié)果是仍然被終端密鑰加密的PIN��。因為支付處理網(wǎng)絡(luò)知道生成該交易的終端以及與該終端相關(guān)聯(lián)的密鑰�,所以支付處理網(wǎng)絡(luò)可隨后再次對密鑰進行解密,產(chǎn)生明文格式的PIN�����。 應(yīng)該理解 �,因為PIN是由終端使用商家或收單方所不知道的密鑰進行加密的,商家或收單方無法對PIN進行解密。因此��,商家或收單方無法獲取明文格式的PIN�。此外,因為終端加密的PIN可以采用與明文PIN相同的格式(諸如��,相同的數(shù)量的數(shù)字)���,商家�����、收單方����、以及支付處理網(wǎng)絡(luò)可按照常規(guī)的方式對終端加密的PIN進行加密和解密���。因此���,商家和收單方系統(tǒng)有利地不需要被修改以操作在本公開的實施例中。這些系統(tǒng)一如既往地繼續(xù)處理終端加密的PIN����,而不考慮正在被操作的PIN不是真正的PIN����。有利地�����, 僅僅支付處理網(wǎng)絡(luò)能訪問與終端相關(guān)聯(lián)的密鑰���,因此支付處理網(wǎng)絡(luò)是唯一可以將PIN恢復(fù)到明文格式的實體。包裹200也包括終端加密的數(shù)據(jù)260���。終端加密的數(shù)據(jù)可包括交易細節(jié)的至少第一部分�。例如��,交易日期270和交易數(shù)量280可被終端所接收����,并可選地使用與終端相關(guān)聯(lián)的密鑰被加密。因此�����,包裹可包括未加密形式的交易細節(jié)����,以及加密形式的這些交易細節(jié)的至少第一部分����。在支付處理網(wǎng)絡(luò)處�,交易日期270和交易數(shù)量280可被解密,因為支付處理網(wǎng)絡(luò)知道與終端相關(guān)聯(lián)的密鑰��。交易日期270可與未加密交易日期230進行比較�,而交易數(shù)量280可與未加密交易數(shù)量240進行比較。如果這些項目不相等����,這意味著包裹中的未加密數(shù)據(jù)已在某點上被修改過。這可提供對欺詐行為的提示��,或至少提示商家或收單方?jīng)]有遵守支付處理網(wǎng)絡(luò)的操作規(guī)范�����。因此��,如果加密元素和未加密元素不匹配�,則單次交易審計失敗。雖然描述了兩個特定數(shù)據(jù)��,交易日期230、270以及交易數(shù)量240���、280���,但這是出于解釋的目的而并非是限制。包括在常規(guī)交易消息中的任何數(shù)據(jù)都可被使用����。此外,本公開的實施例不限于對單獨數(shù)據(jù)元素進行加密��。例如�����,POS終端可獲取包裹200中的所有數(shù)據(jù)��, 并創(chuàng)建散列值��,諸如�����,使用與終端相關(guān)聯(lián)的密鑰的散列消息驗證代碼(HMAC)�,并將該代碼包括在包裹中。支付處理網(wǎng)絡(luò)隨后可執(zhí)行相同的計算���,因為它知曉與終端相關(guān)聯(lián)的密鑰��。如果由支付處理網(wǎng)絡(luò)所計算出的HMAC與包裹中所包括的HMAC不匹配�����,這意味著包裹已被修改�����。再次�,這樣的修改可導致單次交易審計的失敗。雖然描述了諸如HMAC之類的散列值���,本發(fā)明的實施例不限于HMAC�����。已經(jīng)可以構(gòu)想到任何適當?shù)纳⒘泻瘮?shù)��,諸如加密散列函數(shù)����。通常,適當?shù)纳⒘泻瘮?shù)是獲取任意數(shù)據(jù)塊并返回固定或可變大小值的判定性例程����。對數(shù)據(jù)塊的任何無意或有意改動會改變散列值。因此����,散列值可被用于確定數(shù)據(jù)塊在初始散列值被計算后是否已被修改。一些示例性散列函數(shù)包括安全散列算法(SHA-O���、SHA-1��、等等)的算法族�����、消息摘要(MD2、MD4�����、MD5�、等等)算法族、以及任何其他合適的算法����。通常�����,符合下述4個原則的任何算法都已被構(gòu)想到�����。第一該算法應(yīng)該是相對易于由終端和支付處理網(wǎng)絡(luò)來計算����。第二 它應(yīng)該在給定散列值下無法重構(gòu)出任意數(shù)據(jù)塊��。第三它應(yīng)該在不改變散列值的情況下無法修改任意數(shù)據(jù)塊�����。最后它應(yīng)該無法通過相同的散列值找到兩個不同的消息��。應(yīng)該理解�����,雖然一些散列函數(shù)可能依賴于在終端和支付處理網(wǎng)絡(luò)之間共享的密鑰���,但是其他散列函數(shù)卻不需要這樣的密鑰����。因此,散列值可用作任意數(shù)據(jù)塊的數(shù)字水印����。該水印可以被包括在包裹中,并且如果由支付處理網(wǎng)絡(luò)所計算的水印與包裹中所包括的水印不匹配�,這意味著包裹可能已被修改。這樣的修改可能導致單次交易審計的失敗���。如上所述的���,該水印可以在任何的任意數(shù)據(jù)塊上計算。因此�,本發(fā)明的實施例不限于如上所述的在整個包裹上,或是在包裹中的特定字段上計算水印��。任何的數(shù)據(jù)任意選擇�����, 只要被終端和支付處理網(wǎng)絡(luò)都知曉�����,就能被用于計算水印��。例如��,在低水平下���,包裹將包括表示包裹中數(shù)據(jù)元素的一系列字節(jié)�。終端和支出處理網(wǎng)絡(luò)可確定將被用于計算水印的數(shù)據(jù)��。例如�����,這些字節(jié)的前一半��、這些字節(jié)的后一半���、每隔一個字節(jié)�����、每隔三個字節(jié)等等����,可被用于計算水印。終端和支付處理網(wǎng)絡(luò)隨后各自使用所商定的包裹內(nèi)容來計算水印�。如果水印不匹配,這指示包裹被修改�。在一些實施例中,可能并不關(guān)心包裹的哪部分被修改�����,因為對包裹的任何修改都可以導致單次交易審計的失敗����。此外,本發(fā)明的實施例不限于單個水印����,并且實際上可構(gòu)想到任意數(shù)量的水印。在一些情況中�����,包裹中的特定元素(諸如����,交易數(shù)量)可被認為是比其他元素(諸如,交易日期) 更為重要���。終端可使用更為重要的數(shù)據(jù)來計算第一水印����,同時使用次重要的數(shù)據(jù)來計算第二水印��。這些水印都被包括在包裹中�。支付處理網(wǎng)絡(luò)可隨后使用包裹中所確定的數(shù)據(jù)部分來計算水印。如果針對更為重要的數(shù)據(jù)的第一水印與包裹中所包括的水印不匹配����,這可被用來指示更為重要的失敗。更為重要的失敗可能將導致單次交易審計的失敗���,這會導致交易被拒絕��。如果第二水印不匹配�,這可指示次重要的失敗����。交易可被允許執(zhí)行���,但支付處理網(wǎng)絡(luò)會將單次交易審計注釋為未完全成功。圖3示出支付終端角度上的簡化流程圖����。過程300從步驟310開始,其中由用戶向POS終端提供支付工具��。如參考附圖I所解釋的��,支付工具可以采用多種形式���,包括標準卡����、非接觸卡��、接觸和非接觸式智能卡�����、移動設(shè)備��,等等��。該過程隨后在步驟320繼續(xù),其��、中接收到或生成令牌����。如上所解釋的�����,在一些實施例中支付工具是被動設(shè)備���?��?蓪①~戶標識符提供給終端,終端使用相關(guān)聯(lián)的密鑰生成令牌���。在其他實施例中�����,諸如當支付工具是智能卡的時候�����, 支付工具自身可生成令牌����,令牌可與終端和與終端相關(guān)聯(lián)的密鑰一起操作。在任何情況下��, 步驟320的結(jié)果是產(chǎn)生與支付工具相關(guān)聯(lián)的令牌�����。在步驟330�����,由終端接收交易細節(jié)的至少部分���。例如����,如參考附圖2所描述的���,終端可接收交易數(shù)據(jù)�,諸如����,交易數(shù)量��。在步驟340����,交易數(shù)據(jù)的至少一部分可被終端使用與終端相關(guān)聯(lián)的密鑰進行加密�。這會導致交易數(shù)據(jù)被加密���,并且僅能由支付處理網(wǎng)絡(luò)解密��。在步驟350��,確定交易是否需要PIN�����。如果需要��,則該過程前進到步驟355���,其中從用戶請求PIN,并接收明文形式的PIN�?����?墒褂门c終端相關(guān)聯(lián)的密鑰對PIN進行加密����。無論終端是否需要PIN���,則該過程前進到步驟360�����,其中令牌�、加密的PIN (如果需要的話)�、交易細節(jié)、以及加密的交易細節(jié)被發(fā)送到商家系統(tǒng)���,以請求對交易進行授權(quán)�����。如上所述的����,在 一些實施例中,終端直接連接到支付處理網(wǎng)絡(luò)����,由此交易信息直接被發(fā)送到支付處理網(wǎng)絡(luò),而不是被發(fā)送到商家或收單方��。在步驟370���,接收授權(quán)響應(yīng)��,指示交易是被批準或被拒絕。在批準的情況下���,響應(yīng)可包括授權(quán)碼����,授權(quán)碼之后將被商家用于結(jié)算和清算過程���。在拒絕的情況下���,響應(yīng)可包括拒絕理由,諸如單次交易審計失敗。圖4示出商家系統(tǒng)角度上的簡化流程圖�����。如上所述的,本公開的實施例有利地不需要商家對商家系統(tǒng)進行修改��。因此�,商家處理大部分是常規(guī)的。過程400可在步驟410 開始��,其中從終端接收包含令牌的包裹�。在步驟420,令牌由商家系統(tǒng)處理����,就如同它是真正的賬戶標識符那樣。因此�,商家處理與本公開的實施例的實施無關(guān)。在步驟430�,包裹可被發(fā)送到收單方。在步驟440����,從收單方接收到響應(yīng),指示交易是被批準或被拒絕�����。如上所述,如果交易被批準�����,響應(yīng)可包括授權(quán)碼���,如果交易沒被授權(quán)���,響應(yīng)可包括拒絕理由。例如���,該交易可能由于單次交易審計失敗而被拒絕����。在步驟450��,商家可進行結(jié)算和清算過程����,以接收與交易相關(guān)聯(lián)的資金����。為此���,商家可簡單地使用令牌而不是真正的賬戶標識符。如上所解釋的��,使用令牌對商家是透明的��,因為對商家而言�����,令牌看起來和真正的賬戶標識符相同��。如圖4和圖5所述,商家和收單方處理有利地不受本發(fā)明的實施例的影響���。商家和收單方都不需要修改它們的系統(tǒng)來實施本發(fā)明的實施例��,因此使與實施本發(fā)明的實施例相關(guān)聯(lián)的成本得到最小化���。商家或收單方簡單地處理包括包裹的交易授權(quán)請求。包裹可包括加密和未加密格式的至少一部分交易細節(jié)��。商家或收單方可簡單地照常操作���,使用未加密的交易細節(jié)部分���,而忽略加密的部分�。商家或收單方系統(tǒng)可轉(zhuǎn)發(fā)授權(quán)請求�����,以獲取對該交易的授權(quán)���,而對商家或收單方系統(tǒng)的影響很小甚至沒有����。圖5示出收單方角度上的簡化流程圖�����。再次����,本公開的實施例有利地不要求收單方對收單方系統(tǒng)做出任何修改���。因此����,收單方處理大部分是常規(guī)的。過程500在步驟510開始��,其中收單方接收包含令牌的包裹��。在步驟520�,令牌被處理,就如同它是真正的支付賬戶標識符那樣�。在步驟530,包括令牌的包裹被發(fā)送至支付處理網(wǎng)絡(luò)�。在步驟540,接收指示交易是否被批準的響應(yīng)�����。再次�����,該響應(yīng)可包括拒絕理由�����。在步驟550����,收單方可按常規(guī)方式來對交易進行結(jié)算和清算�����,唯一的不同是使用令牌來代替真正的賬戶標識符��。如上所述的�,對收單方系統(tǒng)不需要有修改�,因為令牌對于收單方而言看起來就像是普通的支付賬戶標識符。圖6示出支付處理網(wǎng)絡(luò)角度上的簡化流程圖���。過程600可從步驟610開始��,其中接收包含令牌的包裹���。在步驟620,檢索產(chǎn)生該令牌的與終端相關(guān)聯(lián)的密鑰���。如上所解釋的����,包裹可包含終端標識符����。該標識符可被用于確定與終端相關(guān)聯(lián)的密鑰。在步驟630����,將令牌轉(zhuǎn)換回真正的賬戶標識符。在步驟640���,確定該賬戶標識符是否有效�。在一些情況中��,無效的賬戶標識符可指示欺詐行為的可能性�����。例如�����,如果被用在先前交易中的令牌被泄露�����,而后來的用戶試圖在相同終端或不同終端上再次使用該令牌�����,則該令牌將不能正確地被轉(zhuǎn)換回真正的賬戶標識符。這是因為如果令牌例如被手動輸入到終端中����,則終端將基于所輸入的令牌而創(chuàng)建新的令牌。當在支付處理網(wǎng)絡(luò)處完成反向轉(zhuǎn)換時����,結(jié)果將是原始的被泄露的令牌。然而�����,如上所解釋的�����,令牌不是真正的賬戶標識符�����。因此���,被泄露的令牌將無法與真正的賬戶相關(guān)聯(lián)��。該過程隨后進行到步驟645�,該交易被拒絕。如果賬戶標識符是有效的�����,則該過程進行到步驟650�����,其中交易細節(jié)的加密部分使用與始發(fā)終端相關(guān)聯(lián)的密鑰進行解密�����。在步驟660�,將現(xiàn)在被解密的交易細節(jié)與包裹的未加密部分進行比較����,以對該交易進行審計。在步驟670����,如果審計失敗導致交易拒絕,則該過程進行到步驟645,在此該交易被拒絕�����。在步驟680����,審計的結(jié)果被存儲以用于向商家進行報告。此外���,審計的結(jié)果也可被用于確定單次交易定價��,基于審計的結(jié)果向商家收取該單次交易費用���。在步驟690,支付賬戶標識符以及交易細節(jié)被發(fā)送至發(fā)行方�����,以確定該交易是被收取還是被拒絕�。隨后將響應(yīng)以 常規(guī)方式發(fā)回給商家。圖7示出發(fā)行方角度上的簡化流程圖����。再次����,本公開的實施例有利地不要求發(fā)行方對發(fā)行方系統(tǒng)進行任何的修改����。過程700在步驟710開始,其中從支付處理網(wǎng)絡(luò)接收支付賬戶標識符以及交易細節(jié)���。在步驟720�����,發(fā)行方確定是否授權(quán)該交易。在步驟730��,授權(quán)響應(yīng)被發(fā)送至支付處理網(wǎng)絡(luò)��,支付處理網(wǎng)絡(luò)將該響應(yīng)發(fā)回商家����,如上所述的。圖8是可被用于實現(xiàn)上述的實體或組件(諸如��,商家系統(tǒng)130�、P0S終端120、收單方系統(tǒng)140、支付處理網(wǎng)絡(luò)150�、單次交易審計系統(tǒng)150(c)、發(fā)行方系統(tǒng)160�����,等等)中任一個的計算機系統(tǒng)的高層框圖�。圖8中示出的子系統(tǒng)經(jīng)由系統(tǒng)總線845而互連。諸如打印機844���、 鍵盤848�����、固定盤849�����、監(jiān)視器846 (耦合到顯示適配器882)之類的額外子系統(tǒng)被示出��。外圍設(shè)備和輸入/輸出(I/O)設(shè)備(耦合到I/O控制器841)可由本領(lǐng)域已知的任何數(shù)量的裝置(諸如�,串行端口 884)被連接到計算機系統(tǒng)��。例如��,串行端口 884或外部接口 881可被用于將計算機設(shè)備連接到諸如因特網(wǎng)之類的廣域網(wǎng)、連接到鼠標輸入設(shè)備����、或連接到掃描儀。 經(jīng)由系統(tǒng)總線845的互連允許中央處理器843與每個子系統(tǒng)進行通信����,并控制來自系統(tǒng)存儲器842或固定盤849的指令的執(zhí)行,以及控制子系統(tǒng)之間的信息交換�。系統(tǒng)存儲器842 和/或固定盤849可被實現(xiàn)為非臨時性計算機可讀介質(zhì),其可包含使得處理器執(zhí)行本文所述的方法的指令����。也已經(jīng)構(gòu)想到了本發(fā)明的額外實施例�。一個示例性方法可涉及終端,并在下文中描述�����。使用終端的方法包括在終端處接收賬戶標識符��;使用與該終端相關(guān)聯(lián)的密鑰來生成與該賬戶標識符相關(guān)聯(lián)的令牌����,其中該密鑰可由交易處理服務(wù)器計算機訪問����;接收交易細節(jié)的至少一部分�����;使用該密鑰對交易細節(jié)的該至少一部分進行加密�;并將令牌和加密的交易細節(jié)至少一部分發(fā)送至交易處理服務(wù)器計算機,其中交易處理服務(wù)器執(zhí)行對交易的審計�。下面描述示例性終端。終端包括處理器�;耦合到處理器的存儲器,該存儲器上存儲有指令�����,當處理器執(zhí)行該指令時使得該處理器執(zhí)行在終端處接收賬戶標識符��;使用與該終端相關(guān)聯(lián)的密鑰來生成與該賬戶標識符相關(guān)聯(lián)的令牌�����,其中該密鑰可由交易處理服務(wù)器計算機訪問��;接收交易細節(jié)的至少一部分���;使用該密鑰對交易細節(jié)的該至少一部分進行加密����;并將令牌和加密的交易細節(jié)至少一部分發(fā)送至交易處理服務(wù)器計算機,其中交易處理服務(wù)器執(zhí)行對交易的審計���。另一個實施例涉及交易卡持有方���,并在下文描述。用于執(zhí)行交易的方法包括向終端提供賬戶標識符����,其中該終端使用與該終端相關(guān)聯(lián)的密鑰來生成與該賬戶標識符相關(guān)聯(lián)的令牌,其中該密鑰可由交易處理服務(wù)器計算機訪問�,其中該終端使用密鑰將該賬戶標識符轉(zhuǎn)換為令牌,其中該終端接收交易細節(jié)的至少一部分����,并使用該密鑰對交易細節(jié)該至少一部分進行加密�,其中該終端將該令牌和加密的交易細節(jié)至少一部分發(fā)送至交易處理服務(wù)器計算機,其中交易處理服務(wù)器計算機使用該密鑰將令牌轉(zhuǎn)換回賬戶標識符��,其中交易處理服務(wù)器計算機對加密的交易細節(jié)至少一部分進行解密�,其中交易處理服務(wù)器計算機執(zhí)行交易的審計����。圖9 一 12示出示例性支付工具的高層框圖����。圖9示出標準支付卡900。支付卡可以是塑料卡片的形式�����。支付卡900可包括在支付卡正面壓印或印刷的賬戶標識符910��。支付卡900也可包括磁條920��,磁條920包含與賬戶標識符和賬戶持有方有關(guān)的細節(jié)���。例如�����, 磁條920可包括由POS終端可讀形式的支付賬戶標識符�����。圖10示出非接觸卡�。在參考附圖9所示出的標準卡中所包含的相同組件也可以包含在非接觸卡1000中。此外����,非接觸卡1000可包括RF組件1040。當RF組件1040被置于由POS終端所生成的電場中時�����,RF組件可使得與非接觸卡1000相關(guān)聯(lián)的數(shù)據(jù)被發(fā)送至 POS終端�。例如,賬戶標識符1010可被發(fā)送至POS終端�����。圖11給出本發(fā)明的一個實施例中的智能卡的圖示�。在該實施例中,智能卡可以是支付卡的形式���,諸如信用卡�。該卡片可包括接觸接口 1110(a)�,諸如磁條和/或其他接觸裝置,諸如接觸芯片板1110(h)��,接觸芯片板1110(h)能夠讀取存儲在卡片的存儲器1110(g) 或磁條中的數(shù)據(jù)����,并向卡片的存儲器1110(g)或磁條中寫入數(shù)據(jù)。此外�,卡片可包括非接觸接口,非接觸接口可包括耦合到集成電路芯片llio(i)的天線1110(d)�����,用于無線地發(fā)送并接收卡片上存儲的數(shù)據(jù)�����。圖11的智能卡可包括與賬戶相關(guān)聯(lián)的賬戶標識符�����。圖12示出采用蜂窩設(shè)備形式的便攜式設(shè)備1220�����,具有顯示器1220(d)����、鍵盤接口 1220(e)、存儲器1220(b)、處理器1220(c)以及至少一個天線1220 (a)���。此外�,蜂窩設(shè)備可包括雙接口��,雙接口包括接觸式(沒有示出)和非接觸式接口 1220 (g)����,用于通過直接接觸或通過集成芯片(其可耦合到第二天線)來傳輸信息。此外�,便攜式設(shè)備能夠通過蜂窩網(wǎng)絡(luò)(諸如GSM)經(jīng)由天線1220(a)進行通信。因此�����,便攜式設(shè)備能夠通過短距離射頻(RF)和蜂窩連接來無線地發(fā)送和接收信息����。附圖12的設(shè)備可包括與賬戶相關(guān)聯(lián)的賬戶標識符。 在本申請中所描述的軟件組件或功能中的任一個可使用任意合適的計算機語言被實現(xiàn)為由處理器執(zhí)行的軟件代碼�����,合適的計算機語言諸如���,例如����,使用例如常規(guī)或面向?qū)ο蠹夹g(shù)的Java��、C++或Perl�。軟件代碼可被存儲為計算機可讀介質(zhì)上的一系列指令或命令, 計算機可讀介質(zhì)諸如隨機存取存儲器(RAM)�����、只讀存儲器(ROM)�����、諸如硬驅(qū)動器或磁盤之類的磁介質(zhì)�、或諸如CD-ROM之類的光學介質(zhì)。任何這種計算機可讀介質(zhì)可位于單個計算設(shè)備之上或之中�,并可存在于系統(tǒng)或網(wǎng)絡(luò)內(nèi)的不同計算設(shè)備之上或之中。以上描述是示例性的且非限制性的�。本領(lǐng)域技術(shù)人員在閱讀了以上公開的基礎(chǔ)上可理解本發(fā)明的多種變形。本發(fā)明的范圍因此不應(yīng)參考上述描述確定�����,而是應(yīng)該參考待批的權(quán)利要求及其完全范圍或等效方案來確定。來自任何實施例的一個或多個特征可與任何其他實施例的一個或多個特征相組合�����,而不背離本發(fā)明的范圍�����。限定詞“一”���、“一個”或“該”旨在表示“一個或多個”����,除非另行指出�。 應(yīng)該理解,上述的本發(fā)明可使用計算機軟件�����、以模塊化或集成方式�、采用控制邏輯的形式實現(xiàn)?��;诒疚闹兴峁┑墓_和教導�,本領(lǐng)域普通技術(shù)人員會獲知并意識到使用硬件以及硬件和軟件的組合來實現(xiàn)本發(fā)明的其它方式和/或方法。
權(quán)利要求
1.一種系統(tǒng)����,包括 密鑰數(shù)據(jù)庫;以及 交易處理服務(wù)器計算機��,耦合到所述密鑰數(shù)據(jù)庫�,其中所述交易處理服務(wù)器計算機包括處理器和耦合到所述處理器的非臨時性計算機可讀介質(zhì)��,所述非臨時性計算機可讀介質(zhì)包括由所述處理器執(zhí)行以實現(xiàn)一方法的代碼��,所述方法包括 從終端接收與交易相關(guān)聯(lián)的包裹���,其中所述包裹包括未加密的交易細節(jié)�、從與終端相關(guān)聯(lián)的密鑰以及賬戶標識符導出的令牌���、以及交易細節(jié)的至少第一部分����; 從所述密鑰數(shù)據(jù)庫檢索與所述終端相關(guān)聯(lián)的密鑰�����; 使用所述密鑰,將所述令牌轉(zhuǎn)換為所述賬戶標識符�����; 驗證所述賬戶標識符與有效賬戶相關(guān)聯(lián)����;以及 對所述交易執(zhí)行審計,所述審計確保所述包裹在所述終端和所述交易處理服務(wù)器計算機之間沒有被修改��。
2.如權(quán)利要求I所述的系統(tǒng)���,其特征在于���,所述審計被執(zhí)行為交易授權(quán)的一部分,如果所述審計沒有通過�,則所述交易授權(quán)導致拒絕交易。
3.如權(quán)利要求I所述的系統(tǒng)���,其特征在于��,所述交易細節(jié)的至少第一部分是使用與所述終端相關(guān)聯(lián)的密鑰加密的����。
4.如權(quán)利要求3所述的系統(tǒng),其特征在干�,所述審計包括對所述交易細節(jié)的至少第一部分進行解密,并且將所解密的交易細節(jié)的至少第一部分與所述與交易相關(guān)聯(lián)的包裹中的未加密交易細節(jié)進行比較���。
5.如權(quán)利要求I所述的系統(tǒng)���,其特征在于,所述包裹包括使用所述密鑰以及所述交易細節(jié)的至少第一部分計算的散列消息認證代碼����。
6.如權(quán)利要求5所述的系統(tǒng)���,其特征在于����,所述審計還包括 使用所述密鑰以及未加密的交易細節(jié)的至少一部分來重新計算所述散列消息認證代碼��;以及 將重新計算的散列消息認證代碼與所述包裹中接收到的散列消息認證代碼進行比較�����,其中如果代碼不匹配���,則審計失敗����。
7.如權(quán)利要求I所述的系統(tǒng),其特征在干����,由所述處理器執(zhí)行的方法進ー步包括 將所述賬戶標識符和交易細節(jié)的至少第二部分發(fā)送至發(fā)行方,以確定所述交易是否被授權(quán)�����。
8.如權(quán)利要求7所述的系統(tǒng)����,其特征在干,所述交易細節(jié)的至少第一部分和至少第二部分是相同的�。
9.如權(quán)利要求I所述的系統(tǒng),其特征在干��,由所述交易處理服務(wù)器計算機所收取的用于處理所述交易的費用取決于所述審計的通過/失敗狀態(tài)�。
10.如權(quán)利要求I所述的系統(tǒng),其特征在于����,所述包裹包括與所述賬戶標識符相關(guān)聯(lián)的個人識別碼���,其中所述個人識別碼由所述終端使用與所述終端相關(guān)聯(lián)的密鑰進行加密,并且由所述交易處理服務(wù)器計算機進行解密�����。
11.ー種方法�,包括 在服務(wù)器計算機處從終端接收與交易相關(guān)聯(lián)的包裹,其中所述包裹包括未加密的交易細節(jié)�、從與終端相關(guān)聯(lián)的密鑰以及賬戶標識符導出的令牌、以及交易細節(jié)的至少第一部分���; 將所述令牌轉(zhuǎn)換為所述賬戶標識符�; 驗證所述賬戶標識符與有效賬戶相關(guān)聯(lián)�����;以及 對所述交易執(zhí)行審計�,所述審計確保所述包裹在所述終端和服務(wù)器計算機之間沒有被修改�。
12.如權(quán)利要求11所述的方法,其特征在于�,所述審計被執(zhí)行為交易授權(quán)的一部分,如果所述審計沒有通過���,則所述交易授權(quán)導致拒絕交易��。
13.如權(quán)利要求11所述的方法��,其特征在于�����,使用與所述終端相關(guān)聯(lián)的密鑰對所述交易細節(jié)的至少第一部分進行加密�����。
14.如權(quán)利要求13所述的方法�����,其特征在于�����,所述審計包括對所述交易細節(jié)的至少第一部分進行解密���,并且將所解密的交易細節(jié)的至少第一部分與所述與交易相關(guān)聯(lián)的包裹中的未加密的交易細節(jié)進行比較�����。
15.如權(quán)利要求11所述的方法���,其特征在于��,所述審計的失敗不導致所述交易被拒絕�����。
16.如權(quán)利要求11所述的方法�����,其特征在干���,進ー步包括 將所述賬戶標識符和交易細節(jié)的至少第二部分發(fā)送至發(fā)行方,以確定所述交易是否被授權(quán)����。
17.如權(quán)利要求16所述的方法���,其特征在于����,所述交易細節(jié)的至少第一部分和至少第二部分是相同的。
18.如權(quán)利要求11所述的方法�,其特征在于,所述包裹包括與所述賬戶標識符相關(guān)聯(lián)的個人識別碼�,其中所述個人識別碼由所述終端使用與所述終端相關(guān)聯(lián)的密鑰進行加密,并且由所述服務(wù)器計算機進行解密�����。
19.如權(quán)利要求11所述的方法���,其特征在干�,由所述服務(wù)器計算機所收取的用于處理所述交易的費用取決于所述審計的通過/失敗狀態(tài)��。
20.如權(quán)利要求16所述的方法��,其特征在于�,結(jié)算、清算以及拒付過程使用所述令牌�,所述令牌在被發(fā)送至發(fā)行方之前被轉(zhuǎn)換為所述賬戶標識符。
21.—種方法,包括 在服務(wù)器計算機處接收交易授權(quán)請求���,所述交易授權(quán)請求包括包裏�,所述包裹包括加密格式的以及未加密格式的至少一部分交易細節(jié);以及 轉(zhuǎn)發(fā)所述授權(quán)請求����,以獲得對所述交易的授權(quán)。
全文摘要
提供了用于免除商家和收單方執(zhí)行支付卡行業(yè)(PCI)安全審計流程的必要性的技術(shù)����。商家和收單方能免除與執(zhí)行審計以確保符合PCI數(shù)據(jù)安全標準(DSS)相關(guān)的操作費用,同時確保持卡方的數(shù)據(jù)仍然安全����,因此保護持卡方免于欺詐交易。通過使用單次交易審計來進一步的增強系統(tǒng)安全性���,審計的范圍是直接在銷售點(POS)終端和支付處理網(wǎng)絡(luò)之間����。由此���,在單次交易上確保PCI DSS合規(guī)性�����,而不是通常僅僅對商家或收單方周期性確保合規(guī)性����。確保了單次交易PCI DSS合規(guī)性�,同時免除了商家或收單方執(zhí)行合規(guī)性審計的必要性。
文檔編號G06Q20/34GK102696047SQ201080060357
公開日2012年9月26日 申請日期2010年11月5日 優(yōu)先權(quán)日2009年11月5日
發(fā)明者B·魯伊斯, J·里德, P·費斯 申請人:維薩國際服務(wù)協(xié)會