用于网络绑定代理重新加密和PIN转换的方法、系统和计算机程序产品技术方案

一种方法、系统和计算机程序产品，其：由支付网络生成第一值(a)和第二值(ga)，所述第二值(ga)基于所述第一值(a)和生成器值(g)；由所述支付网络生成相应多个商家银行的多个随机商家号(mi)；由所述支付网络基于所述多个随机商家号(mi)的乘积而确定商家乘积(M)；由所述支付网络基于所述第二值(ga)、所述商家乘积(M)和所述随机商家号(mi)生成公钥(pki)且基于所述商家乘积(M)和每个相应商家银行的所述随机商家号(mi)生成随机密钥(rki)；以及由所述支付网络将所述公钥(pki)和所述随机密钥(rki)传送到至少一个相应商家银行。(rki)传送到至少一个相应商家银行。(rki)传送到至少一个相应商家银行。

【技术实现步骤摘要】
用于网络绑定代理重新加密和PIN转换的方法、系统和计算机程序产品
[0001]本申请是申请日为2020年1月9日，申请号为202080008563.9，专利技术名称为“用于网络绑定代理重新加密和PIN转换的方法、系统和计算机程序产品”的专利技术申请的分案申请。
[0002]相关申请交叉引用
[0003]本申请与2019年1月9日申请的第62/790,163号和2019年11月1日申请的第62/929,344号美国临时专利申请有关，所述临时专利申请的公开内容以全文引用的方式并入本文中。


[0004]本文公开的主题一般涉及用于传送PIN和其它敏感数据的方法、系统和产品，且在一些具体实施例或方面，涉及用于安全发送PIN和其它敏感数据的方法、系统和计算机程序产品。

技术介绍

[0005]信用卡和借记卡支付交易由大量各方处理，包括销售点(POS)终端、支付网关、商家银行、支付网络和消费者银行。为减少欺诈性交易，支付生态系统通常部署基于个人标识号(PIN)的认证，其中消费者将PIN输入到终端，所述PIN将以被加密形式随同例如主账号(PAN)等其它敏感数据一起通过整个网络发送到消费者的银行，所述银行在授权交易之前验证PIN。不足为奇，支付卡行业(PCI)法规规定PIN绝不会向任何一方公开。目前的部署通过在将PIN转发到下一方之前在每个中介机构使用硬件安全模块(HSM)对PIN进行解密然后加密来实现合规性。
[0006]因此，从支付网关开始，HSM在所有中介机构中大量存在。这将产生巨大的成本，部分原因是购买和维护这些HSM，且部分原因是观察和管理PCI合规性的负担。此外，HSM成为性能瓶颈，因为任何一方的支付交易的最大吞吐量取决于该方可用HSM的数量，这在偶尔的流量高峰期间(例如节假日期间)会产生更多问题。例如，一些支付网络平均每秒处理5,000个交易，且被设计成每秒最高处理60,000个交易；因此，必须部署大量的HSM以确保足够的硬件并行性来处理这种吞吐量。

技术实现思路

[0007]因此，本公开主题的一个目的是提供用于安全发送个人标识号(PIN)和其它敏感数据的方法、系统和计算机程序产品。
[0008]根据一些非限制性实施例或方面，提供一种方法、系统和计算机程序产品，其：由销售点(POS)终端生成与交易相关联的第一密文，所述第一密文包括：(i)与随机选择密钥(r)相关联的第一密文值，所述第一密文值基于所述随机选择密钥(r)和生成器值(g)加密；以及(ii)与包括第一公钥(pk1)和第一秘密密钥(sk1)的第一对密钥中的第一公钥(pk1)相关联的第二密文值，所述第一公钥(pk1)基于所述第一秘密密钥(sk1)和所述生成器值(g)生
成，所述第二密文值基于与所述交易相关联的交易数据加密，并且对称密钥(K)基于所述第一公钥(pk1)和所述随机选择密钥(r)生成；由所述POS终端将所述第一密文传送到至少一个支付网关；由所述至少一个支付网关利用第一重新加密密钥对所述第一密文值重新加密，以将根据所述第一公钥(pk1)加密的所述第一密文值转化为根据与所述至少一个支付网关相关联的第二公钥(pk2)加密的被重新加密第一密文值；由所述至少一个支付网关将所述被重新加密第一密文值和所述第二密文值传送到至少一个商家银行；由所述至少一个商家银行对用第二重新加密密钥加密的所述被重新加密第一密文值重新加密，以将根据所述至少一个支付网关的所述第二公钥(pk2)加密的所述被重新加密第一密文值转化为根据所述至少一个商家银行的第三公钥(pk3)的第二被重新加密第一密文值；由所述至少一个商家银行将所述第二被重新加密第一密文值和所述第二密文值传送到支付网络；由所述支付网络对用第三重新加密密钥加密的所述第二被重新加密第一密文值重新加密，以将根据所述至少一个商家银行的所述第三公钥(pk3)加密的所述第二被重新加密第一密文值转化为根据所述支付网络的第四公钥(pk4)的第三被重新加密第一密文值；由所述支付网络将所述第三被重新加密第一密文值和所述第二密文值传送到至少一个消费者银行；由所述至少一个消费者银行基于所述第三被重新加密第一密文值和所述消费者银行的秘密密钥确定所述对称密钥(K)；以及由所述至少一个消费者银行基于所述对称密钥(K)对所述第二密文值解密以获得所述交易数据。
[0009]根据一些非限制性实施例或方面，提供一种方法、系统和计算机程序产品，其：在支付网关处接收对应于商家银行私钥的商家银行公钥，所述商家银行公钥和所述商家银行私钥与商家银行系统相关联；将所述商家银行公钥从所述支付网关传送到销售点系统；从所述销售点系统接收至少一个重新加密密钥，所述至少一个重新加密密钥基于与所述销售点系统相关联的私钥以及所述商家银行公钥；从所述销售点系统接收交易的被加密交易数据，所述被加密交易数据包括：(i)包括用会话密钥加密的认证码的被加密代码，以及(ii)被加密会话密钥，所述被加密会话密钥包括用与所述销售点系统相关联的公钥加密的所述会话密钥且对应于与所述销售点系统相关联的所述私钥；由所述支付网关基于所述被加密交易数据确定所述至少一个重新加密密钥中的重新加密密钥；由所述支付网关用所述重新加密密钥对所述被加密会话密钥重新加密；以及由所述支付网关将被重新加密的被加密会话密钥传送到商家银行系统。
[0010]根据一些非限制性实施例或方面，提供一种方法、系统和计算机程序产品，其：由销售点系统生成与所述销售点系统相关联的公钥和私钥；在所述销售点系统处接收对应于商家银行私钥的商家银行公钥，所述商家银行公钥和所述商家银行私钥与商家银行系统相关联；由销售点系统基于与所述销售点系统相关联的所述私钥生成至少一个重新加密密钥；将所述至少一个重新加密密钥从所述销售点系统传送到支付网关；由所述销售点系统生成交易的被加密交易数据，所述被加密交易数据包括：(i)包括用会话密钥加密的认证码的被加密代码，以及(ii)包括用与所述销售点系统相关联的所述公钥加密的所述会话密钥的被加密会话密钥；以及将所述被加密交易数据从所述销售点系统传送到所述支付网关。
[0011]根据一些非限制性实施例或方面，提供一种方法、系统和计算机程序产品，其：由商家银行系统生成与所述商家银行系统相关联的公钥和私钥；由所述商家银行系统将与所述商家银行系统相关联的所述公钥传送到支付网关；由所述商家银行系统从所述支付网关
接收被加密交易数据，所述被加密交易数据包括：(i)包括用会话密钥加密的认证码的被加密代码，以及(ii)包括用重新加密密钥加密的被加密会话密钥的被重新加密的被加密会话密钥，所述被加密会话密钥包括用与所述销售点系统相关联的公钥加密的所述会话密钥；以及由所述商家银行系统基于与所述商家银行系统相关联的所述私钥对所述被重新加密的被加密会话密钥解密。
[0012]根据一些非限制性实施例或方面，提供一种方法、系统和计算机程序产品，其：由交易处理系统接收或生成包括发行方公钥和对应发行方私钥的发行方密钥对，所述发行方密钥对与发行方系统相关联；由所述交易处理系统接收或生成包括商家银行公钥和对应商家银本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算机实现的方法，包括：由至少一个销售点POS终端生成与交易相关联的交易消息(m)的随机数(r)；由所述至少一个POS终端生成与所述交易相关联的第一密文，所述第一密文包括：(i)与所述交易消息(m)相关联的第一密文值，所述第一密文值基于所述随机数(r)、生成器值(g)和所述交易消息(m)被加密；以及ii)与所述随机数(r)相关联的第二密文值，所述第二密文值基于所述随机数(r)和终端公钥被加密；以及由所述POS终端将所述第一密文传送到至少一个支付网关；由所述至少一个支付网关基于终端随机密钥对所述第二密文值重新加密，以将所述第二密文值转化为基于第二值(g
a
)、商家乘积(M)和所述随机数(r)的被重新加密第二密文值；以及由所述至少一个支付网关将所述被重新加密第二密文值和所述第一密文值传送到至少一个商家银行。2.根据权利要求1所述的计算机实现的方法，还包括：由支付网络生成第一值(a)和所述第二值(g
a
)，所述第二值(g
a
)基于所述第一值(a)和所述生成器值(g)生成；由所述支付网络生成相应多个商家银行的多个随机商家号(m
i
)；由所述支付网络基于所述相应多个商家银行的所述多个随机商家号(m
i
)的乘积而确定所述商家乘积(M)；由所述支付网络基于所述第二值(g
a
)、所述商家乘积(M)和所述随机商家号(m
i
)生成公钥(pk
i
)且基于所述商家乘积(M)和所述多个商家银行中的每个相应商家银行的所述随机商家号(m
i
)生成随机密钥(rk
i
)；以及由所述支付网络将所述公钥(pk
i
)和所述随机密钥(rk
i
)传送到所述至少一个相应商家银行。3.根据权利要求2所述的计算机实现的方法，还包括：由所述商家银行生成相应多个支付网关的多个随机支付网关号(p
i
)；以及由所述商家银行基于所述第二值(g
a
)、所述商家乘积(M)和所述随机支付网关号(p
i
)生成支付网关公钥且基于所述多个支付网关中的每个相应支付网关的所述随机支付网关号(p
i
)生成支付网关随机密钥。4.根据权利要求3所述的计算机实现的方法，还包括：由所述商家银行生成相应多个POS终端的多个终端号(t
i
)；以及由所述商家银行基于所述第二值(g
a
)、所述商家乘积(M)、所述随机支付网关号(p
i
)和所述终端号(t
i
)生成所述终端公钥并且基于所述随机支付网关号(p
i
)和所述多个POS终端中的每个相应POS终端的所述终端号(t
i
)生成所述终端随机密钥。5.根据权利要求4所述的计算机实现的方法，还包括：由所述商家银行将所述终端公钥和所述终端随机密钥传送到所述至少一个支付网关；以及由所述到至少一个支付网关将所述终端公钥传送到所述至少一个POS终端。6.根据权利要求1所述的计算机实现的方法，还包括：
由所述至少一个商家银行基于随机密钥(rk
i
)对所述被重新加密第二密文值重新加密，以将所述被重新加密第二密文值转化为基于所述第二值(g
a
)、所述商家乘积(M)、随机商家号(m
i
)和所述随机数(r)的第二被重新加密第二密文值；以及由所述至少一个商家银行将所述第二被重新加密第二密文值和所述第一密文值传送到支付网络。7.根据权利要求6所述的计算机实现的方法，还包括：由所述支付网络基于所述第二被重新加密第二密文值、所述商家乘积(M)、所述随机商家号(m
i
)和所述第一密文值对所述第一密文值解密。8.一种系统，包括：包括一个或多个处理器的至少一个销售点POS终端，其中所述至少一个POS终端被编程和/或配置成：生成与交易相关联的交易消息(m)的随机数(r)；生成与所述交易相关联的第一密文，所述第一密文包括：(i)与所述交易消息(m)相关联的第一密文值，所述第一密文值基于所述随机数(r)、生成器值(g)和所述交易消息(m)被加密；以及ii)与所述随机数(r)相关联的第二密文值，所述第二密文值基于所述随机数(r)和终端公钥被加密；以及将所述第一密文传送到至少一个支付网关；以及包括一个或多个处理器的所述至少一个支付网关，其中所述至少一个支付网关还被编程和/或配置成：基于终端随机密钥对所述第二密文值重新加密，以将所述第二密文值转化为基于第二值(g
a
)、商家乘积(M)和所述随机数(r)的被重新加密第二密文值；以及将所述被重新加密第二密文值和所述第一密文值传送到至少一个商家银行。9.根据权利要求8所述的系统，还包括：包括一个或多个处理器的支付网络，其中所述支付网络被编程和/或配置成：生成第一值(a)和所述第二值(g
a
)，所述第二值(g
a
)基于所述第一值(a)和所述生成器值(g)生成；生成相应多个商家银行的多个随机商家号(m
i
)；基于所述相应多个商家银行的所述多个随机商家号(m
i
)的乘积而确定所述商家乘积(M)；基于所述第二值(g
a
)、所述商家乘积(M)和所述随机商家号(m
i
)生成公钥(pk
i
)且基于所述商家乘积(M)和所述多个商家银行中的每个相应商家银行的所述随机商家号(m
i
)生成随机密钥(rk
i
)；以及将所述公钥(pk
i
)和所述随机密钥(rk
i
)传送到所述至少一个相应商家银行。10.根据权利要求9所述的系统，其中所述商家银行包括一个或多个处理器，并且其中所述商家银行被编程和/或配置成：生成相应多个支付网关的多个随机支付网关号(p
i
)；以及基于所述第二值(g
a
)、所...

【专利技术属性】
技术研发人员：西瓦纳拉亚纳，
申请(专利权)人：维萨国际服务协会，
类型：发明
国别省市：