在不要求发卡机构做基础设施改变的前提下,将用户的已有的静态支付卡数据转换成可以由发卡机构由诸如支付网络或处理机构的替代的服务提供者验证的动态卡数据的装置、系统和方法。动态数据可以直接从发卡机构或使用刷卡类型装置配置给磁安全传送装置。还公开了由发卡机构将动态卡安全配置给MST的装置、系统和方法。该动态卡可以用于将修改的一次性使用卡磁道数据使用动态CVV方法从MST传送给销售点,以在交易期间提供更高水平的安全性。
【技术实现步骤摘要】
【专利说明】用于安全配置、传送和验证支付数据的方法、装置和系统 本申请是申请日为2015年2月13日、申请号为201580000178.9的专利技术专利申请(申请号为PCT/US2015/015855的PCT国际申请的中国国家阶段)的分案申请。相关申请的交叉引用本申请要求提交于2014年4月3日的美国临时专利申请序列号第61/974696号的权益,该申请通过引用全部并入于此。
本公开涉及磁条数据存储及其安全传送。
技术介绍
磁条的传送主要是通过在磁条读取器(MSR)中刷磁条卡进行,以便进行支付、识别身份(ID)和访问控制功能。智能电话和平板电脑中移动钱包应用程序与现有的商家销售点(POS)装置或其它具有MSR的装置交互作用有困难。非接触读取器使得POS终端(例如,通常使用IS0-14443标准)并非普遍接受非接触或近场通讯(NFC)支付。替换上千万的仅接受磁条卡的商家POS装置(或门锁)以与NFC电话或类似于条码的其它传送装置交互作用既昂贵又费时费力。此外,金融支付卡包含卡号,其被称为主账号或PAN,目的是识别进行支付的账号。卡还带有到期日期,其指示卡到期的时间。大多数卡磁条数据中还带有加密生成的卡校验值(也称为CVVl ),其防止根据其PAN和到期日期信息制造有效卡。通常2-3年后替换卡,因为磁条磨损且发卡机构不愿意卡无限期地有效。今天,PAN不仅用来识别账号,还用来在无卡(CNP)交易(针对有卡(CP)交易,在有卡交易中,在POS终端物理刷卡)中对付款进行验证,绝大多数是网上交易,但是也包括电话订单和邮寄订单。简单地知道卡上的PAN、到期日期和姓名就足以对CNP购买从账号扣款。现有技术中,CVV-2是印刷在卡或签名条上的3位或4位值(但不编码在磁条中)以校验顾客持有卡。虽然大部分电子商务点都要求CVV-2进行交易,但是许多不要求。PAN和到期日期很难保密:其被印刷在卡的正面且包含在卡的磁条数据或芯片数据中。在POS交易期间,磁条或芯片由终端读取,其数据(包括PAN、到期日期、和CVV2)通过零售商的系统传送至收单机构,然后传送至发卡机构。PAN(较少地,到期日期)被零售系统用于许多功能,不能减轻其重要性。磁条或芯片卡数据(在传送中或存储中)是数据盗窃的目标。磁条数据是静止的,易于截取和复制,易于遭受多种攻击。被盗数据(能轻易从中提取PAN和到期日期)可用于欺诈性的CNP交易。可以通过以下而快速读取物理卡:读取卡中的磁条数据,或将读取装置靠近零售POS终端以捕获包括在卡中的PAN、到期日期和姓名的磁条磁道数据。可以使用偷窥装置来在零售地点从没有防范的顾客的钱包和腰包中从非接触卡拾取磁道数据。零售POS系统中的恶意软件还可以被用来捕获正被传送给支付处理机构的卡数据。这些盗取的数据可以在磁条和智能卡(例如,Europay、万事达卡、VISA(EMV)卡)交易中包含PAN和到期日期,能用于CNP欺诈。此外,被捕获的磁条数据还包括CVVl,而被捕获的在线卡数据可以包括CVV2XVV1和CVV2的致命弱点是其是静态的:一旦被得知,其可以用于欺诈交易。
技术实现思路
本公开是关于:涉及磁条存储和传送装置(也被成为MST(磁条传送)装置)的装置、系统和方法,所述磁条存储和传送装置与移动钱包应用程序和平台结合使用来将磁条卡数据捕获、存储和传送给商家的传统销售点(POS)终端和其它具有磁条读取器(MSR)的装置或在线结账系统(真实环境和虚拟环境中)。本公开还涉及将静态卡数据(例如,CVVl和CVV2)转换为动态密文的装置、系统和方法,所述密文仅能使用一次,不能被欺诈者重放,使移动装置将包括密文的支付信息回送给卡持有者用于验证,不改变现有商家接收的基础设施(经由POS的物理支付或经由在线结账的远程支付)。该装置、系统和方法是用户能将静态卡数据自动转换成动态一次性使用的卡数据,所述动态卡数据能由支付网络或处理机构代表成千上万的发卡机构验证,不需要每个发卡机构改变或整合基础设施。在一方面,可被称作动态CVV(dCVV)的动态密文用于获得卡支付。当卡被用于无卡(CNP)和有卡(CP)交易时,使用密钥加主账号(PAN)、到期日期(EXP)、时间戳和计数器最新生成dCVV。加密生成的dCVV不能在不知道卡数据和个人密钥的情况下生成。此外,dCVV仅短期有效。这防止上述重放攻击,因为对之前监测的交易的dCVV的再使用会导致验证错误。另一方面,发卡机构或替代服务提供者可以区分使用dCVV技术的CP交易,因为使用的校验算法对dCVV而言不同于普通磁条CP交易。可以通过将卡数据的EXP替换成等同于遥远的未来日期(发卡机构或服务提供者认可)的数字来识别dCVV交易。这使得支付交易中的EXP变得不重要,同时为发卡机构提供了识别卡是否处于dCVV模式的方便旗帜。可以使用其它旗帜来指示卡处于dCVV模式中,例如,用于指示dCVV模式的磁道数据中的任意域的旗帜。PAN还可以作为dCVV卡注册在发卡机构或服务提供者的数据库中。MST领域中的dCVV的概念自然还适用于CNP交易。在CNP交易中,从移动钱包应用程序中获得的动态生成的3位码(或者,在美国运通卡的情形,位码)在请求时动态计算,被输入结账网站或应用。还从移动钱包应用程序取得掩饰的EXP,使用遥远未来的日期指示这是dCVV CNP交易。以这种方式,最初的CVV-2和EXP在攻击者监测的交易中被隐藏。而且,截取特定的CNP交易不导致攻击者在另一交易中使用该信息,因为CVV码是在CNP交易中实时计算和改变,并被盖上时间戳使得其短时间后过期。为将现有的静态卡数据为移动用户转换成动态卡数据而不要求各发卡机构改变其配置基础设施,所述装置、系统和方法有效地允许卡持有者使用移动装置将现有的磁条卡数据转换成动态令牌化的卡数据而不要求发卡机构设立单独的远程移动配置系统。发卡机构、发卡机构的处理机构或发卡机构的支付网络可以支持配置和验证服务器以对打包在MST交易或在线交易中的dCVV进行验证,为发卡机构校验动态支付数据是经过验证的,或校验并返回最初磁道数据(在支付网络的情形下)或最初CVV2给发卡机构或其处理机构,使得支付网络能代表发卡机构进行验证服务(或者令牌化服务)。这能将从域中的静态卡数据转换至动态的令牌化的卡数据极大地加速,以增加CP和CNP交易的安全性。【附图说明】装置、系统和方法的实施例示出在附图中,附图意在是示例性的而非限制性的,其中,相同的标号旨在指示相同的部件,其中:图1是根据本公开的一方面的系统的总览的功能图;图2是根据本公开的一方面的初始化MST的操作的方法的流程图;图3是根据本公开的一方面的基于用户刷卡配置静态卡的方法的流程图;图4是根据本公开的一方面的配置来自发卡机构的静态卡的方法的流程图;图5是根据本公开的一方面的动态配置卡的方法的流程图;图6是根据本公开的一方面的配置卡的方法的流程图;图7是根据本公开的一方面的配置动态卡的方法的流程图;图8是根据本公开的一方面的进行动态CVV(dCVV)的方法的流程图;图9是根据本公开的一方面的进行动态CVV的另一方法的流程图;图10是根据本公开的一方面的修改卡数据的过期日期的方法的流程图;图11是根据本公开的一方面的为电子商务交易进行本文档来自技高网...
【技术保护点】
一种装置,包括:磁传送器,其包括驱动器和感应器,所述驱动器和感应器用于传送磁脉冲,所述磁脉冲由POS终端非接触地识别;和处理机构,其执行钱包应用程序,所述钱包应用程序被配置为:从一个或多个服务器接收与支付卡相关的令牌和密钥,基于所述密钥生成密文数据,对与磁条传输相关的信息进行计数,使用密文数据和令牌生成支付信息,所述支付信息与磁卡磁道数据格式一致,以及经由磁传送器将与生成的信息相对应的磁脉冲传送到POS终端。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:黄恩洋,威廉姆·W·格雷林,乔治·沃尔纳,
申请(专利权)人:三星支付有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。