トラックデータ暗号化
セカンダリPANを用いる方法が開示されている。本方法は、プライマリPANに対するセカンダリPANを提供するステップを含み、セカンダリPANは、プライマリPANと同一の少なくとも一つの終端部を有するが、プライマリPANとは異なる中間部を有する。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本特許出願は、2006年6月19日出願の米国特許出願番号60/815,059、及び2006年6月20日出願の米国特許出願番号60/815,430並びに2007年1月9日出願の米国特許出願番号60/884,089に対して優先権を主張する非仮出願であり、これらの特許出願は、全ての目的のために、それら全体で参照により本願明細書に引用したものとする。
【背景技術】
【0002】
(発明の背景)
通常の購入取引では、消費者は、携帯型民生機器を用いて、小売商人から品物又はサービスを購入することができる。消費者のPANすなわちプライマリ口座番号は、携帯型民生機器のメモリに格納されている。PANは、小売商人により、POS端末で読み取られ、PAN及び他の情報は、購入量などの他の取引情報とともに、携帯型民生機器の発行者に送信される。発行者が受信すると、次に、発行者は、消費者が、購入取引を行う権限を有しているか否かを判定する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
従来の購入取引では、携帯型民生機器からPOS端末及び発行者にPANが送られる際には、PANは暗号化されていない。PANを暗号化しないことは、現在のネットワークセキュリティと不正検出システムの観点からは、重大な問題ではない。しかし、既存の支払システムには、より強固なセキュリティを与えることが望ましい。例えば、POS端末から発行者へ送られるPANの取引の間に、権限のない人物によって途中でPANが盗み取られた場合、権限のない人物がPANを悪用して、権限のない購入を行うことが可能となってしまう。従って、発行者又は他のエンティティが、セキュリティを確保してPANを送信できる新しい方法が望まれている。
【0004】
本発明の実施例は、これらの問題や他の問題を、個々にあるいはまとめて解決するものである。
【課題を解決するための手段】
【0005】
(発明の概要)
本発明の実施例は、携帯型民生機器のPANを、携帯型民生機器、POS端末あるいは他の位置から、携帯型民生機器の発行者に安全に送達するために用いることができる、方法及びシステム、並びにコンピュータで読取可能な媒体に関するものである。
【0006】
消費者と消費者の携帯型民生機器とに関する実際のPANは、“プライマリPAN”と呼ばれる。本発明の実施例では、プライマリPANは、セカンダリPANに変化することができ、そのセカンダリPANは、プライマリPANとリンクしている。セカンダリPANの少なくとも一部分は、それが発行者に到達する前に、変化し(例えば、暗号化され)、その後、発行者(又は、支払処理ネットワーク等の他のエンティティ)が、受信したセカンダリPANから消費者のプライマリPANを判定することができる。セカンダリPANは消費者に知られていてもいなくてもよく。
【0007】
セカンダリPANは、発行者にプライマリPAN情報を安全に送信するために、効果的に用いることができる。また、セカンダリPANは、特定の取引で用いられている携帯型民生機器を認証するために用いることができる。例えば、発行者によって受信されるセカンダリPANが、正しいセカンダリPANではない場合(例えば、発行者が、Track1又はTrack2で、プライマリPANではなく、セカンダリPANを受信することを期待している場合)、発行者は、用いられている携帯型民生機器が正規のものではないと判定し、それに従って、決算取引を許可しない。
【0008】
本発明の一実施例は、プライマリPANに対するセカンダリPANを提供する方法であって、セカンダリPANは終端部を有し、少なくとも一つの終端部(例えば、BIN又は銀行識別番号の終端部)がプライマリPANと同一であることを特徴とする方法に関するものである。また、セカンダリPANは、プライマリPANとは異なる中間部を有する。セカンダリPANを提供した後、決算取引に対する承認又は不承認を受信する。この方法は、消費者又は小売商人を含む任意の好適なエンティティによって、他のエンティティと共に、あるいは他のエンティティなしに、実行される。
【0009】
本発明の他の実施例は、本体と、本体に接続されコンピュータで読取可能な媒体とからなる携帯型民生機器に関するものである。コンピュータで読取可能な媒体は、プライマリPANに対するセカンダリPANのコードを有している。セカンダリPANは終端部を有し、終端部の少なくとも一つは、プライマリPANと同一である。セカンダリPANの中間部は、プライマリPANとは異なる。
【0010】
本発明の他の実施例は、コンピュータで読取可能な媒体に関するものである。コンピュータで読取可能な媒体は、携帯型民生機器を用いるプライマリPANに対するセカンダリPANを提供するためのコードからなる。セカンダリPANは終端部を有し、少なくとも一つの終端部は、プライマリPANと同一である。また、セカンダリPANは、プライマリPANとは異なる中間部を有する。コンピュータで読取可能な媒体は、セカンダリPANを提供した後、決算取引に対する承認又は不承認を受信するためのコードを含んでいる。
【0011】
本発明の他の実施例は、取引に関する認定要求メッセージを受信するステップを含む方法であって、認定要求メッセージは、プライマリPANに対するセカンダリPANを含むことを特徴とする方法に関するものである。セカンダリPANは、終端部と中間部とを有している。少なくとも一つの終端部は、プライマリPANと同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なる。セカンダリPANを受信すると、セカンダリPANを分析し、更に、セカンダリPANを分析した後、プライマリPANを分析する。プライマリPANとセカンダリPANとを分析した後、認定応答メッセージを送信する。認定応答メッセージは、取引に対する承認又は不承認を表す。本方法は、発行者及び支払処理ネットワーク等を含む一つあるいはそれ以上の数のエンティティによって実行される。
【0012】
本発明の他の実施例は、コンピュータで読取可能な媒体に関するものである。コンピュータで読取可能な媒体は、取引に関する認定要求メッセージを受信するためのコードを含み、認定要求メッセージは、プライマリPANに対するセカンダリPANを含んでいる。セカンダリPANは終端部を有し、少なくとも一つの終端部は、プライマリPANと同一である。セカンダリPANの中間部は、プライマリPANとは異なる。また、コンピュータで読取可能な媒体は、セカンダリPANを分析するためのコードと、プライマリPANを分析するためのコードと、認定応答メッセージを送信するためのコードとを含み、認定応答メッセージは、取引に対する承認又は不承認を表す。
【0013】
本発明の他の実施例は、プライマリPANに対するセカンダリPANを提供するステップを含む方法に関するものであり、セカンダリPANは、位置識別データ要素を有している。位置識別データ要素は、プライマリPANとセカンダリPANにおいて同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なる。また、本方法は、セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップを含んでいる。
【0014】
本発明のこれらの実施例及び他の実施例を、図面を引用して、更に詳細に以下で説明する。
【図面の簡単な説明】
【0015】
【図1】図1は、携帯民生機器でのデータ追跡のデータ要素の概略図である。
【図2】図2は、MSD(磁気ストライプデータ)チップカードから読み出したTrack2データトラックを示す図である。
【図3】図3は、磁気ストライプカードから読み出したTrack2データトラックを示す図である。
【図4】図4は、本発明の一実施例によるシステムを示す図である。
【図5】図5は、本発明の一実施例による方法を示すフローチャートである。
【図6】図6a及び図6bは、図5に示した方法で用いられるプライマリ及びセカンダリPANを示す図である。
【図7】図7は、本発明の他の実施例による方法を示すフローチャートである。
【図8】図8は、セカンダリPANの概略図である。
【発明を実施するための形態】
【0016】
(詳細な説明)
上述したように、従来の購入取引では、消費者のPANは暗号化されない。全体のPANを暗号化することは、セキュリティを強化するものと考えられるが、全体のPANを暗号化することは、全ての状況の下では、必ずしも現実的とはならないこともある。例えば、PANは、BIN又は銀行識別番号を含んでいる。BINは、取引データを発行者に送達するために用いられるが、暗号化されたBINは、取引データを発行者に送達するルーティング及びスイッチングのためのインフラを構成する計算機では認識することができないかもしれない。全体のPANを暗号化すると、BINが変化してしまい、ルーティング上の問題を引き起こす恐れがある。従って、既設の支払インフラに悪い影響を与えることなく、決算取引を行う既存の方法で、PANを暗号化するために用いられる任意の暗号化処理を行うことが好ましい。
【0017】
PANの暗号化に関しては、他にも多くの制約がある。例えば、磁気ストライプを有する支払カードに関しては、磁気ストライプ上の、カード所有者の(カード所有者のPANを含む)口座データは、磁気ストライプの“Track1”及び/又は“Track2”に符号化し記録されている。Track1(“国際航空運送協会”)は、Track2よりも多くの情報を格納し、カード所有者の名前の他に口座番号や他の任意データを含んでいる。このトラックは、航空会社により、クレジットカードによる予約でのセキュリティ確保のために用いられることがある。Track2(“米国銀行協会”)は、現在、最も一般に用いられているものである。このトラックは、ATMとクレジットカード読取機で読み取られるトラックである。ABA(米国銀行協会)は、このトラックの仕様を規定しており、全世界の銀行は、その仕様に従う必要がある。このトラックは、カード所有者の口座及び暗号化されたPIN、更に他の任意データを含んでいる。
【0018】
Track1は、79文字長であり、限定された空間を有している。Track2は、全て数字のフィールドであり、37文字長であり、同様に、限定された空間を有している。これらの制約のため、Track1又はTrack2のデータは、10進形式である。データは、(Track1のカード所有者名を除き)、16進数などの他の形式で表わすことはできない。これにより、Track1又は2のPANを暗号化する能力に制限が与えられる。
【0019】
図1は、携帯型民生機器での一般的なデータトラックを表す、一般的な概略図を示すものである。図示されたデータトラックは、様々なデータフィールドを含んでいる。図1に示すように、データフィールドには、PANフィールド、有効期限フィールド、サービスコードフィールド、PIN、CVV(個人識別番号カード検証値)フィールド及び任意のデータフィールドがある。通常のPANは、概ね13〜19デジット(例えば、13又は16あるいは19デジット)長であり、PANデータフィールドは、対応するサイズのデータを格納するように構成されている。
【0020】
図2は、MSD(磁気ストライプデータ)チップカードにより読取られるTrack2の形式の特定の例を示すものである。図示したように、例示されたTrack2の形式には、PAN390、セパレータ392、有効期限394、PVKI(PIN検証キーインジケータ)、PIN検証データ400、dCVV(動的カード検証値)402、ATC(自動取引カウンタ)404、発行者任意データフィールド又はIDDデータフィールド中の非接触インジケータ406、及びパッド408を含んでいる。
【0021】
図3は、磁気ストライプ又は磁気ストライプカードにより読取られるTrack2のデータトラックの例を示すものである。図3において、開始標識414とセパレータ416がある。BINは、開始標識414とセパレータ416との間にある。更に、終了標識418と、終了標識の右側にチェックサム420とがある。
【0022】
図1及び図2のデータトラックは、互いにわずかに異なっている。POS端末の磁気読取ヘッドは、読取開始と読取終了の時期を知る必要があるため、図3の磁気ストライプのTrack2のデータトラックは、終了標識420を用いている。一方、チップカードのチップは、POS端末に対して適切な量のデータを出力するため、図2に示すチップカードのTrack2のデータトラックでは、終了標識を必要としない。
【0023】
PANの暗号化に対する他の制約としては、PANの長さが、国によって異なる点がある。例えば、PANは、13デジット又は16デジットあるいは19デジットの長さとなっている。PANを暗号化する方法及びシステムは、長さが変化するPANに対応することが好ましい。
【0024】
PANの暗号化に対する他の制約としては、PANの最後のデジットが、チェックデジットとなっている点である。そのデジットは、POS端末で読取られる際に、PANのデータの完全性を確保するために用いられる。チェックデジットは、数字が真正であることを確認するデジットであり、その数字に(その終端または先端に)付加されるデジットである。チェックデジットを生成する単純なアルゴリズムを、数字からなる他のデジットに適用する。このアルゴリズムを実行し、アルゴリズムによって求めた数字と、PANの終端のチェックデジットとを比較することにより、全てのデジットが正しく読取られたことと、それらが有効な組み合わせとなっていることを検証することができる。一般的に用いられ、よく知られているチェックデジット・アルゴリズムは、“mod(モジュロ) 10”アルゴリズムと呼ばれる。
【0025】
上述した制約によらず、本発明の実施例による暗号化処理を用いることができる。本発明の実施例は、消費者のPANを保護し、既存の支払検証機構及びシステムで用いることができる。以下で詳細に示すように、本発明の実施例は、既存の支払インフラにいかなる大きな変更や予想外の変更も必要とせずに、PANを暗号化できる。また、本発明の実施例は、長さが変化するPANに用いることもできる。
【0026】
本発明の実施例は、プライマリPANにリンクしたセカンダリPANを生成することにより、プライマリPANを部分的に“マスク”する。本発明の一実施例において、送信されたPANの一部は、アクセス機器(例えば、POS端末)又は携帯型民生機器あるいは同様の機器により、マスクする、及び/又は変化させる。変化した(例えば、暗号化した)部分は、PANの中間部であることが好ましい。中間部は、任意の好適な長さを有するものであってよいが、その長さは、3デジット長と9デジット長との間であることが好ましい。
【0027】
任意の好適な暗号化処理を用いて、PANの中間部を暗号化することができる。例えば、本発明の実施例は、DES(動的暗号化標準)又はECC(楕円曲線暗号法)あるいはAEC(改良暗号化暗号法)の処理を用いることができる。任意の対称又は非対称暗号化要素を用いることができる。
【0028】
PANの中間部の両側には、2つの(例えば、各々、4乃至6のデジット長の)終端部があり、終端部の少なくとも一方は、取引処理の間は固定されたままである。例えば、PANの少なくとも一つの終端部は、BIN又は銀行識別番号を含み、取引処理の間は固定されたままであり、少なくとも中間部は、変化又は暗号化される。取引処理の間は、PAN及び取引データが、発行者に送達されるよう、BIN(又は、他の位置識別データ要素)は固定されたままとなっている。通常、BINは、PANの初めの6デジットを占有し、PANの第一の終端部に相当するものと考えられる。他の実施例において、BINに代えて、小売商人位置識別子又は金融機関位置識別子、あるいはIPアドレスまでが、PANの終端部に含め、それらを固定したままとすることができる。これらのうち任意のものを、BINに代えて、PANで固定したままとすることができる。
【0029】
BINを含むPANの第一の終端部に加え、PANの他の終端部も、取引処理の間は固定したままとすることが好ましい。固定したままとすることが好ましいプライマリPANの第二の終端部は、プライマリPANの最後の4デジットを含むことが好ましい。すなわち、プライマリPAN及びセカンダリPANの最後の4デジットは、同一である。
【0030】
セカンダリPANの第二の終端部が、プライマリPANと同一となることを保つことに関しては、多くの利点がある。上述したように、プライマリPANの最後の文字は、データの完全性を保証するための、チェックデジット又はモジュロ10計算である。従って、POS端末が、適切なチェックサムによる検証処理を行えるよう、この最後のチェックデジットは変化しないことが望ましい。最後に、消費者は、消費者の購入領収書に印刷されたPANの最後の4デジットを見る習慣もあり、PANの最後の4デジットを変化させることは望ましいことではない。更に、PANの最後の4デジットは、しばしば消費者が捨ててしまう購入領収書に印刷されるため、この最後の4デジットは簡単に他者に発見されてしまう。このように、プライマリPANの最後の4デジットを暗号化する利点はほとんどない。従って、本発明の好適な実施例においては、動的に変化するPANの番号は、通常、マスクされている。消費者が都合よく何も異常なことに気づかないように、消費者が受け取る支払カード領収書では、この最後の4デジットは固定である。
【0031】
図4は、本発明の一実施例において用いることができるシステム20を示したものである。システム20は、小売商人22と、小売商人22に対する取得者24とを含んでいる。通常の支払取引では、消費者30は、携帯型民生機器32を用いて、小売商人22の商品又はサービスを購入する。取得者24は、支払処理ネットワーク26を介して、発行者28と通信することができる。
【0032】
通常、取得者24は、小売商人の口座を有する銀行である。また、発行者28は、銀行であってもよいが、小売店などの事業者であってもよい。いくつかの事業者は、取得者と発行者を兼ねているが、本発明の実施例は、このような事業者を含んでいる。
【0033】
消費者30は、個人、又は、商品又はサービスを購入可能な事業者等の法人である。
【0034】
携帯型民生機器32は、任意の好適な形態であってよい。例えば、好適な携帯型民生機器は、消費者の財布及び/又はポケットに入るように、手のひらサイズで小型の(例えば、ポケットサイズの)ものとすることができる。これらの機器には、スマートカード、(磁気ストライプは有するが、マイクロプロセッサは有しない)通常のクレジット又はキャッシュカード、あるいは(エクソン・モービル社から市販されているSpeedpassTMなどの)キーチェイン装置等が含まれている。携帯型民生機器の他の例には、携帯電話、個人用携帯情報端末(PDA)、ポケベル、支払カード、セキュリティカード、アクセスカード、スマートメディア、トランスポンダ並びに類似のものが含まれている。また、携帯型民生機器は、引出し兼支払用機器(例えば、キャッシュカード)又はクレジット支払機器(例えば、クレジットカード)、あるいはプリペイド機器(例えば、プリペイドカード)であってもよい。
【0035】
携帯型民生機器32は、コンピュータで読取可能な媒体32(a)及び本体32(b)を含んでいる。コンピュータで読取可能な媒体32(a)は、本体に取り付けられており、その本体は、プラスチック製の基盤、外被あるいは他の構造で構成されている。コンピュータで読取可能な媒体32(a)が、カードの形態となっている場合には、プライマリPANが型押しされた型押し部分32(c)を有してもよい。
【0036】
コンピュータで読取可能な媒体32(a)は、データを格納するメモリであってもよく、更に、任意の好適な形態であってよい。コンピュータで読取可能な媒体32(a)の例としては、磁気ストライプ及びメモリチップ等の形態がある。コンピュータで読取可能な媒体32(a)は、暗号化された形式又は暗号化されない形式で、プライマリPAN及び/又はセカンダリPANを電気的に格納するものであってよい。
【0037】
支払処理ネットワーク26は、データ処理サブシステムと、ネットワークと、認定サービス、例外ファイルサービス、清算及び決済サービスの各サービスをサポートし提供するために用いられる処理とを含んでいる。支払処理ネットワークの例としては、VisaNetTMがある。VisaNetTM等の支払処理ネットワークは、クレジットカード取引及びデビットカード取引、更に他の種類の商取引を処理することができる。特に、VisaNetTMは、認定要求を処理するVIPシステム(Visa統合支払システム)と、清算及び決済サービスを行うBase IIシステムとを含んでいる。
【0038】
支払処理ネットワーク26は、サーバコンピュータを含んでいる。サーバコンピュータは、通常、処理能力の高い単一のコンピュータ、又は、複数のコンピュータのクラスタである。例えば、サーバコンピュータは、大型のメインフレーム又はミニコンピュータのクラスタ、あるいは一体として機能するサーバ群とすることができる。一実施例において、サーバコンピュータは、Webサーバに接続したデータベースサーバであってもよい。支払処理ネットワーク26は、インターネットを含む、任意の好適な有線又は無線ネットワークを用いてもよい。
【0039】
小売商人22は、携帯型民生機器32と相互にやりとりすることができるアクセス装置34を有するか、そのアクセス装置からの通信を受信するものであってよい。図4では、アクセス装置34は、小売商人22の元にある。しかし、本発明の他の実施例では、このアクセス装置は、任意の他の好適な位置に設けることができる。
【0040】
本発明の実施例によるアクセス装置は、任意の好適な形態であってよい。アクセス装置の例としては、販売時点情報管理(POS)装置、携帯電話、PDA、パソコン(PC)、タブレットPC、ハンドヘルド専用読取機、セットトップボックス、電子式金銭登録機(ECR)、現金自動支払機(ATM)、仮想金銭登録機(VCR)、キオスク端末、セキュリティシステム、アクセスシステム及びこれらと同類のものを含んでいる。
【0041】
アクセス装置34は、読取機34(a)と、プロセッサ34(b)と、コンピュータで読取可能な媒体34(c)とを含んでいる。読取機34(a)は、任意の好適な接触動作モード又は非接触動作モードを用いる。例えば、カード読取機の例としては、携帯型民生機器32と相互にやりとりするRF(無線)アンテナ、磁気ストライプ読取機等を含んでいる。
【0042】
通常の購入取引では、消費者30は、クレジットカードなどの携帯型民生機器32を用いて、小売商人22から商品又はサービスを購入する。消費者の携帯型民生機器32は、小売商人22のPOS(販売時点情報管理)端末等のアクセス装置34と相互にやりとりすることができる。例えば、消費者30は、クレジットカードを手に取り、POS端末の適切なスロットにカードを通すことができる。それに代えて、POS端末は、非接触読取機であってもよく、また、携帯型民生機器32は、非接触カード等の非接触機器であってもよい。
【0043】
次に、認定要求メッセージが、取得者24に送られる。認定要求メッセージを受信した後、更に、認定要求メッセージは、支払処理ネットワーク26に送られる。更に、支払処理ネットワーク26は、認定要求メッセージを、民生機器32の発行者28、又は、民生機器32の発行者のために働く第三者に送る。
【0044】
発行者28、又は、民生機器32の発行者のために働く第三者が、認定要求メッセージを受信した後、発行者28、又は、民生機器32の発行者のために働く第三者は、現在の取引が認定されたものであるか(認定されていないものであるか)を示す認定応答メッセージを返送する。次に、支払処理ネットワーク26は、認定応答メッセージを取得者24に返送する。更に、取得者24は、応答メッセージを小売商人22に返送する。
【0045】
小売商人22が、認定応答メッセージを受信した後、小売商人22のアクセス装置34は、消費者30に認定応答メッセージを提供する。応答メッセージは、アクセス装置34によって表示されるか、領収書に印刷される。
【0046】
一日の終わりに、支払処理ネットワーク26により、通常の清算及び決済処理を行うことができる。清算処理は、消費者の口座への記帳と、消費者の決算状況の突合せを容易にするため、取得者と発行者との間で財務明細を交換する処理である。
【0047】
本発明の実施例は、上述した支払取引処理において、セカンダリPANを用いることができる。この実施例を、図4から図8を引用し、以下で説明する。
【0048】
本発明の一実施例による暗号化方法を、図4及び図5並びに図6a乃至図6bにより説明する。
【0049】
一実施例において、消費者30は、小売商人22が提供した商品又はサービスに対する支払のために、自分の携帯型民生機器32を用いる。消費者30は、携帯型民生機器32を手に取り、上述したようにアクセス装置34の読取機34(a)とやり取りするために用いる。プライマリPANが、コンピュータで読取可能な媒体32(a)に格納される。
【0050】
次に、アクセス装置34は、携帯型民生機器32からプライマリPANを受信する(ステップ502)。任意の好適な接触動作モード又は非接触動作モードを用いて、携帯型民生機器32からプライマリPANを受信する。
【0051】
アクセス装置34のプロセッサ34(b)がプライマリPANを受信すると、プロセッサは、プライマリPANに対して、その中間部を変換し、一方、少なくとも一つの終端部は固定したままとして、セカンダリPANを生成する(ステップ504)。プライマリPANとセカンダリPANでは、BINを含む終端部とPANの最後の4デジットは、プライマリPANとセカンダリPANでは同一であることが望ましい。例えば、図6aは、“4592341234563337”となっているプライマリPANの一例を示したものである。最初の6デジット“459234”はBINを表し、それは第一終端部であるとともに、取引処理の間は固定したままである(すなわち、最初の6デジットは、プライマリPANとセカンダリPANにおいて同一である)。最後の4デジット“3337”は、第二終端部を構成し、これも、取引処理の間は固定したままである(すなわち、最後の4デジットは、プライマリPANとセカンダリPANにおいて同一である)。本例において、セカンダリPAN(又はプライマリPAN)の第一終端部は、6デジットを含んでおり、一方、第二終端部は4デジットを含んでいる。他の実施例においては、第一終端部及び第二終端部並びに中間部は、これらよりも多くの数の、又は、少ない数のデジットを含むものであってよい。
【0052】
第一終端部及び第二終端部は固定したままであるが、中間部の少なくとも大部分のデジットは変化する。中間部の少なくとも3又は4又あるいは5デジット、又は中間部の全デジット、あるいは中間部の1デジットを除いた残り全てのデジットを、全てが同一となるように変化させることが好ましい。例えば、図6bに示すように、セカンダリPANの中間部の6デジットを“ゼロ”にする。これにより、発行者は、作成されたセカンダリPANは、他の消費者に対するプライマリPANとは同一でないことを確認することができる。発行者がセカンダリPANを受信した後、発行者は、6つのゼロとなっている中間部には口座番号がないことを認識し、(以下で詳細を説明するように)プライマリPANを他の位置に移す。
【0053】
いくつかの実施例において、セカンダリPANの中間部のデジットは、1デジットを除き全て同一となっている。他のデジットとは同一でない1つのデジットを調整し、セカンダリPANに対してチェックサム計算を行う際に、その1デジットが、プライマリPANのチェックサムデジット(すなわち、PANの最後のデジット)の値と一致させることができる。例えば、プライマリPANにするチェックサム計算結果が“7”となる場合、その数“7”をプライマリPANの最後に置く。プライマリPANの中間部の全デジットを“0”に変化させてセカンダリPANを作成した場合には、これとは異なるチェックサム値となる。例えば、プライマリPANの中間部をゼロに置き換えると、チェックサム値は、“7”とは異なる値となる。しかし、アクセス装置22が正しいPANを受信したと判断するように“騙す”ため、PANの中間部の1つのデジットを、ゼロ以外の値に変化させると、チェックサム計算の結果は正しいものとなる。例えば、図6bにおいて、セカンダリPANの中間部を、“000900”に変化させる。このように、中間部に値“9”を付加することにより、変化させなかったプライマリPANに対するチェックサムデジット値(例えば、“7”)と同一のチェックサム計算結果(例えば“7”)をもたらすことができる。
【0054】
セカンダリPANを作成した後、プロセッサ34(b)は、プライマリPANが通常置かれている位置(例えば、Track2)に、セカンダリPANを格納する。次に、プロセッサ34(b)は、プライマリPAN全体、もしくはプライマリPANの一部のみを暗号化する(ステップ508)。更に、暗号化されたプライマリPANを、それが元々あったデータトラック以外の領域に格納する(ステップ510)、もしくは通常格納されている位置以外の位置に格納する。例えば、プライマリPANが、元々、Track2に格納されていた場合、暗号化されたプライマリPANは、Track3又はどこか他の領域に格納する。プロセッサ34(b)は、これらの機能及び他の機能を実行し、これらの機能をプロセッサ34(b)に実行させるコードは、コンピュータで読取可能な媒体34(c)に格納するものであってよい。
【0055】
次に、アクセス装置34は、取得者24及び支払処理ネットワーク26を介して、暗号化されたプライマリPANと、セカンダリPANの両方を、(認定要求メッセージと共に、又は、認定要求メッセージの中に含めて)発行者28に送る。次に、発行者28は、暗号化されたプライマリPANと、セカンダリPANの両方を受信する(ステップ514)。
【0056】
次に、発行者28のサーバコンピュータ21は、セカンダリPANを解析し(ステップ516)、更に、それが、発行者のいずれかの消費者の口座番号と一致するかどうかを検証する。セカンダリPANの中間部には、そのデジット値に同一値を繰り返し用いていたり、有効なPAN構造が存在しないため、発行者28のサーバコンピュータ21は、セカンダリPANが、既存の口座番号と一致しないと認識することになる。その結果、サーバコンピュータ21は、暗号化されたプライマリPANが格納されている領域を頼りにする。次に、サーバコンピュータ21は、暗号化されたプライマリPANの位置を特定し、データベース23に格納された鍵を用いてプライマリPAN518を暗号解読する。プライマリPAN518が暗号解読されたら、それを分析し、その後、携帯型民生機器32を認証する。携帯型民生機器32を認証した後、発行者28は、消費者30が取引を行うことができるよう認定されているか否かを表す認定応答メッセージを、小売商人22に返送する。
【0057】
図4では、一人の発行者28が図示されているが、本発明の実施例では、複数の発行者が存在してもよい。各発行者は、プライマリPANを、それが格納された領域で暗号化したい場合には、プライマリPANを格納すべき領域を決定でき、及び/又は、プライマリPANを暗号化するために用いる鍵を決定できる。プライマリPANを格納し処理するために、異なる発行者毎に、異なるプロトコルを用いたならば、広範囲に及ぶ不正行為の危険性を減らせる。例えば、小売商人22から発行者28に送ろうとしているデータが、権限のない人物によって途中で盗み取られる場合や、権限のない人物が、暗号化されたプライマリPANを格納する領域と、送られたデータを暗号化する方法とを決定できてしまう場合には、他の発行者は、発行者28とは異なるデータ保護プロトコルを用いることにより、権限のない人物が、この情報を用いて、他の発行者に送るPAN情報を途中で盗み取り、暗号解読ができないようになる。
【0058】
上述した例では、セカンダリPANは、アクセス装置34で作成するものとなっている。従って、アクセス装置34と発行者28との間のデータ伝送は、極めてセキュリティの高いものとなっている。しかし、セカンダリPANは、任意の他の好適な位置で生成することもできる。例えば、より高いセキュリティを確保するために、携帯型民生機器32は、プライマリPANとセカンダリPANの両方をアクセス装置34に送り、アクセス装置34は、プライマリPANについてのデータ処理又は暗号化は行わないようにすることができる。セカンダリPANは、携帯型民生機器32のコンピュータで読取可能な媒体32(a)に固定して格納することもできるし、あるいは、携帯型民生機器32がスマートカード又はそれと同類のものである場合には、セカンダリPANを携帯型民生機器32で動的に生成することもできる。そのような実施例において、携帯型民生機器32を認証するために、携帯型民生機器32から発行者28への、セキュリティを確保したプライマリPANの伝送を提供することができる。
【0059】
本発明の他の実施例を、図4及び図7並びに図8を引用して説明する。
【0060】
図7は、本発明の一実施例を図示したフローチャートである。先に説明した実施例にあるように、本実施例において、消費者30は、小売商人22が提供した商品又はサービスに対する支払のために、自分の携帯型民生機器32を用いる。消費者30は、携帯型民生機器32を手に取り、アクセス装置34の読取機34(a)とやり取りするために用いる。プライマリPANが、コンピュータで読取可能な媒体32(a)に格納される。
【0061】
次に、アクセス装置34は、携帯型民生機器32からプライマリPANを受信する(ステップ602)。任意の好適な接触動作モード又は非接触動作モードを用いて、携帯型民生機器32からプライマリPANを受信する。
【0062】
アクセス装置34のプロセッサ34(b)がプライマリPANを受信すると、プロセッサは、プライマリPANに対して、その中間部を変換し、一方、少なくとも一つの終端部は固定したままとして、セカンダリPANを生成する(ステップ604)。例えば、図8は、携帯型民生機器32のコンピュータで読取可能な媒体32(a)(例えば、磁気ストライプ)にある16ビットのPAN380の概略図を示したものである。本例では、PAN380の最初の6デジット(すなわち、第一終端部)“123456”380(a)は、BIN番号に対応している。次の6デジット380(b)は、実際のPANの6デジットから変化したもの、又はそれとは異なるものであり、本例では、“XXXXXX”と表されている。好適な実施例において、中間部の6デジットは、カウンタ又はそれと同類のものを用いて、動的に変化させられる。これにより、任意の権限のない人物が、プライマリPANを決定することは、より困難となる。
【0063】
本例では、最後の4デジット380(c)(すなわち、第二終端部)は、“9999”
であり、同一のままである。BINと最後の4デジットを同一に保つことにより、小売商人と消費者にとって、取引は実際に一つのように見える。
【0064】
本実施例において、中間部は、同一の数値を繰り返したものは、意図的に含んでいないため、発行者28は、セカンダリPANが、他の消費者のプライマリPANと一致又は重なり合わないことを確認するためには、いくつかの処理ステップが必要となる。例えば、発行者は、セカンダリPANのために特に予備しておいた数字の組は無視し、プライマリPANは無視しないこともできる。
【0065】
次に、アクセス装置34は、オプションとして、セカンダリPANを暗号化し(ステップ608)、暗号化されたセカンダリPANを、取得者24及び支払処理ネットワーク26を介して、発行者28に送る(ステップ610)。次に、発行者28は、暗号化されたセカンダリPANを受信し(ステップ614)、それを暗号解読し(ステップ616)、プライマリPANを決定し、更に、それを解析する(ステップ618)。発行者28の適切なアルゴリズム又は(例えば、データベース23に格納された)ルックアップテーブルを用いて、プライマリPANとセカンダリPANとをリンクさせる。発行者28がプライマリPANを決定した後、更に、発行者28は、携帯型民生機器32を認証する(ステップ620)。その後、発行者28は、取引が認定又は承認されているか否かを表す認定応答メッセージを、支払処理ネットワーク26及び取得者24を介して、小売商人22に返送する(ステップ622)。
【0066】
上述した特定の実施例の多くにおいて、セカンダリPAN及び/又はプライマリPANは、アクセス装置34又は携帯型民生機器32あるいはそれらと同類のものにより暗号化される。暗号化されたセカンダリPAN及び/またはプライマリPANは、発行者28により受信され、更に、発行者28は、セカンダリPAN及び/又はプライマリPANを暗号解読して、携帯型民生機器32を認証し、支払取引を処理する。しかし、本発明の他の実施例において、上述したものと同様に、PANが発行者28に届く前に、支払処理ネットワーク26で暗号解読処理を行えることは、理解されるところである。例えば、プライマリPAN及び/又はセカンダリPANが、支払処理ネットワーク26により暗号解読された後、支払処理ネットワーク26が、通常行うように、処理を進めることができる。すなわち、支払処理ネットワーク26は、暗号化されたプライマリPAN及び/又はセカンダリPANを受信し、それらを暗号解読し、携帯型民生機器32が真正なものであることを検証し、更に、暗号化されたプライマリPANが、通常存在する領域に置かれるように、認定要求メッセージを通常の形式に再編成することができる。認定要求メッセージを再編成した後、従来の方法で送るのと同じように、そのメッセージを発行者28に送ることができる。更に、発行者28は、認定要求メッセージを支払処理ネットワーク26に送り、次に、支払処理ネットワーク26は、取得者24と小売商人22を介して、認定要求メッセージをアクセス装置34に返送してもよい。そのような実施例は、従来の支払処理に比べて、セキュリティが強化されるため、更に、発行者28が、従来の支払プロセスで通常見ているものと同一の取引情報を見ることになるため、有利である。
【0067】
また、上述した実施例の多くにおいて、セカンダリPANは、取引処理の間に生成される。これは、全ての場合において、必ずしも必要なものではない。アクセス装置34でセカンダリPANを生成する代わりに、携帯型民生機器のコンピュータで読取可能な媒体にセカンダリPANを格納しておいてもよく、そのセカンダリPANは、プライマリPANの中間部とは異なる中間部を有してもよい。そのような実施例において、セカンダリPANは、進行中の特定の取引の間に生成せずに、あらかじめ生成しておき、携帯型民生機器32に格納しておいてもよい。いくつかの場合、携帯型民生機器32が支払カードの形態となっているならば、携帯型民生機器32にプライマリPANを型押ししてもよく、セカンダリPANは、携帯型民生機器32のコンピュータで読取可能な媒体32(a)に格納してもよい。
【0068】
以上で示したように、いくつかの実施例において、用いられている携帯型民生機器が真正であることを検証するため、プライマリPANとセカンダリPANの両方は、発行者に送られる。権限のない人物が、プライマリPANの使用を試みた場合、その権限のない人物は、セカンダリPANを知ることはなく、セカンダリPANを知ることがないため、購入取引を不正に行うことはできない。それに代えて、権限のない人物が、セカンダリPANを、電子的に途中で盗み取り又は“スキミング”しようとした場合、プライマリPANを知ることがないため、購入取引を行えることはない。
【0069】
更に他の実施例において、上述したように、PANの中間部は、動的に変化させられる。例えば、適切なアルゴリズム又はカウンタを用いて、携帯型民生機器が用いられる毎に、PANの中間部を動的に変化させることができる。このようにして、たとえ、権限のない人物により、プライマリPANが途中で盗み取られ、権限のない人物がプライマリPANを知ったとしても、セカンダリPANは動的に変化しているものとなっている。たとえ、権限のない人物が、プライマリPANを知り得て、セカンダリPANを途中で一度だけ盗み取ったとしても、セカンダリPANは動的に変化するものであるため、盗み取ったセカンダリPANは役に立たないものとなる。この場合、権限のない人物は、プライマリPAN及びセカンダリPAN、更に、暗号化処理又はセカンダリPANを導出する処理に必要な潜在的に任意の鍵に加えて、PANを動的に変化させるために用いるアルゴリズムも知る必要がある。従って、本実施例は、セキュリティを確保した取引を行うために、特に有用なものである。
【0070】
本発明の実施例は、一つ又はそれ以上の数の以下の利点を有する。第一に、端末側に大きな影響を与えない。第二に、伝送の経路はあらかじめ予約され、影響を受けない。第三に、暗号化は、カードによる暗号化、又は端末による暗号化とすることができる。第四に、領収書の印刷、及びカード所有者の使い勝手に影響を与えない。第五に、(プライマリPANが発行者に届く前に、プライマリPANが暗号化されていない場合)発行者が、暗号化されていない可読データを受信した際に、発行者の処理に影響を与えない。第六に、本発明の実施例は、既存のデータ送達のためのフィールド形式と規格、一般に入手可能で実績のある暗号化方法及びアルゴリズム(例えば、対称トリプルDESアルゴリズム)の利点を生かすことができる。第七に、本発明の実施例は、取得者の側に小規模な更新のみを必要とし、現在、明確に定義され公知のデータ形式を用いている。第八に、データは暗号化されているため、偽装攻撃に対して、本発明の実施例を用い、顧客と直接対応する小売商人、メールオーダー、電話又はインターネット環境で取得されたデータの悪用を困難にすることができる。データは暗号化され動的であるため、本発明の実施例は、データを役に立たないものにできるため、小売商人のデータベースに対する不正な攻撃への防護を支援することができる。
【0071】
上述した本発明は、モジュール化又は統合化した方法で、コンピュータソフトウェアを用いる制御論理の形で実装できると理解すべきである。ここで開示、教示されたものに基づけば、当業者であれば、ハードウェア及び、ハードウェアとソフトウェアの組合せを用いて本発明を実装する、他の方法及び/又は手法を知り得るものとなる。
【0072】
本出願で説明したソフトウェア要素又は機能のいずれかは、例えば、Java(登録商標)又はC++あるいはPerlなどの任意の好適なコンピュータ言語を用い、例えば、従来の技法又はオブジェクト指向技法を用いた、プロセッサによって実行されるソフトウェアコードとして実装できる。ソフトウェアコードは、一連の命令又はコマンドとして、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、ハードディスクやフロップディスクなどの磁気媒体、あるいはCD−ROM等の光媒体等のコンピュータで読取可能な媒体上に格納されている。このようなコンピュータで読取可能な媒体は、単一の計算機装置上又は内部に設けることができ、システム又はネットワーク内の異なる計算機装置上又は内部に置くことができる。
【0073】
上述したものは、例示であり、制限を与えるものではない。本発明の多くの変形は、本明細書を吟味すれば、当業者にとって明確なものとなる。従って、本発明の範囲は、上述を引用して決定されるべきではなく、出願中のクレームを引用して、その全範囲又は等価手段と併せて決定されるべきものである。
【0074】
発明の範囲を逸脱することなく、任意の実施例の一つ又はそれ以上の数の特徴を、任意の他の実施例の一つ又はそれ以上の数の特徴と組み合わせることができる。
【0075】
特に異なるものと指定しない限り、“一つ(a)”、“一つ(an)”又は“その(the)”という表記は、“一つ又はそれ以上の数の”を意味するものである。
【技術分野】
【0001】
(関連出願の相互参照)
本特許出願は、2006年6月19日出願の米国特許出願番号60/815,059、及び2006年6月20日出願の米国特許出願番号60/815,430並びに2007年1月9日出願の米国特許出願番号60/884,089に対して優先権を主張する非仮出願であり、これらの特許出願は、全ての目的のために、それら全体で参照により本願明細書に引用したものとする。
【背景技術】
【0002】
(発明の背景)
通常の購入取引では、消費者は、携帯型民生機器を用いて、小売商人から品物又はサービスを購入することができる。消費者のPANすなわちプライマリ口座番号は、携帯型民生機器のメモリに格納されている。PANは、小売商人により、POS端末で読み取られ、PAN及び他の情報は、購入量などの他の取引情報とともに、携帯型民生機器の発行者に送信される。発行者が受信すると、次に、発行者は、消費者が、購入取引を行う権限を有しているか否かを判定する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
従来の購入取引では、携帯型民生機器からPOS端末及び発行者にPANが送られる際には、PANは暗号化されていない。PANを暗号化しないことは、現在のネットワークセキュリティと不正検出システムの観点からは、重大な問題ではない。しかし、既存の支払システムには、より強固なセキュリティを与えることが望ましい。例えば、POS端末から発行者へ送られるPANの取引の間に、権限のない人物によって途中でPANが盗み取られた場合、権限のない人物がPANを悪用して、権限のない購入を行うことが可能となってしまう。従って、発行者又は他のエンティティが、セキュリティを確保してPANを送信できる新しい方法が望まれている。
【0004】
本発明の実施例は、これらの問題や他の問題を、個々にあるいはまとめて解決するものである。
【課題を解決するための手段】
【0005】
(発明の概要)
本発明の実施例は、携帯型民生機器のPANを、携帯型民生機器、POS端末あるいは他の位置から、携帯型民生機器の発行者に安全に送達するために用いることができる、方法及びシステム、並びにコンピュータで読取可能な媒体に関するものである。
【0006】
消費者と消費者の携帯型民生機器とに関する実際のPANは、“プライマリPAN”と呼ばれる。本発明の実施例では、プライマリPANは、セカンダリPANに変化することができ、そのセカンダリPANは、プライマリPANとリンクしている。セカンダリPANの少なくとも一部分は、それが発行者に到達する前に、変化し(例えば、暗号化され)、その後、発行者(又は、支払処理ネットワーク等の他のエンティティ)が、受信したセカンダリPANから消費者のプライマリPANを判定することができる。セカンダリPANは消費者に知られていてもいなくてもよく。
【0007】
セカンダリPANは、発行者にプライマリPAN情報を安全に送信するために、効果的に用いることができる。また、セカンダリPANは、特定の取引で用いられている携帯型民生機器を認証するために用いることができる。例えば、発行者によって受信されるセカンダリPANが、正しいセカンダリPANではない場合(例えば、発行者が、Track1又はTrack2で、プライマリPANではなく、セカンダリPANを受信することを期待している場合)、発行者は、用いられている携帯型民生機器が正規のものではないと判定し、それに従って、決算取引を許可しない。
【0008】
本発明の一実施例は、プライマリPANに対するセカンダリPANを提供する方法であって、セカンダリPANは終端部を有し、少なくとも一つの終端部(例えば、BIN又は銀行識別番号の終端部)がプライマリPANと同一であることを特徴とする方法に関するものである。また、セカンダリPANは、プライマリPANとは異なる中間部を有する。セカンダリPANを提供した後、決算取引に対する承認又は不承認を受信する。この方法は、消費者又は小売商人を含む任意の好適なエンティティによって、他のエンティティと共に、あるいは他のエンティティなしに、実行される。
【0009】
本発明の他の実施例は、本体と、本体に接続されコンピュータで読取可能な媒体とからなる携帯型民生機器に関するものである。コンピュータで読取可能な媒体は、プライマリPANに対するセカンダリPANのコードを有している。セカンダリPANは終端部を有し、終端部の少なくとも一つは、プライマリPANと同一である。セカンダリPANの中間部は、プライマリPANとは異なる。
【0010】
本発明の他の実施例は、コンピュータで読取可能な媒体に関するものである。コンピュータで読取可能な媒体は、携帯型民生機器を用いるプライマリPANに対するセカンダリPANを提供するためのコードからなる。セカンダリPANは終端部を有し、少なくとも一つの終端部は、プライマリPANと同一である。また、セカンダリPANは、プライマリPANとは異なる中間部を有する。コンピュータで読取可能な媒体は、セカンダリPANを提供した後、決算取引に対する承認又は不承認を受信するためのコードを含んでいる。
【0011】
本発明の他の実施例は、取引に関する認定要求メッセージを受信するステップを含む方法であって、認定要求メッセージは、プライマリPANに対するセカンダリPANを含むことを特徴とする方法に関するものである。セカンダリPANは、終端部と中間部とを有している。少なくとも一つの終端部は、プライマリPANと同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なる。セカンダリPANを受信すると、セカンダリPANを分析し、更に、セカンダリPANを分析した後、プライマリPANを分析する。プライマリPANとセカンダリPANとを分析した後、認定応答メッセージを送信する。認定応答メッセージは、取引に対する承認又は不承認を表す。本方法は、発行者及び支払処理ネットワーク等を含む一つあるいはそれ以上の数のエンティティによって実行される。
【0012】
本発明の他の実施例は、コンピュータで読取可能な媒体に関するものである。コンピュータで読取可能な媒体は、取引に関する認定要求メッセージを受信するためのコードを含み、認定要求メッセージは、プライマリPANに対するセカンダリPANを含んでいる。セカンダリPANは終端部を有し、少なくとも一つの終端部は、プライマリPANと同一である。セカンダリPANの中間部は、プライマリPANとは異なる。また、コンピュータで読取可能な媒体は、セカンダリPANを分析するためのコードと、プライマリPANを分析するためのコードと、認定応答メッセージを送信するためのコードとを含み、認定応答メッセージは、取引に対する承認又は不承認を表す。
【0013】
本発明の他の実施例は、プライマリPANに対するセカンダリPANを提供するステップを含む方法に関するものであり、セカンダリPANは、位置識別データ要素を有している。位置識別データ要素は、プライマリPANとセカンダリPANにおいて同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なる。また、本方法は、セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップを含んでいる。
【0014】
本発明のこれらの実施例及び他の実施例を、図面を引用して、更に詳細に以下で説明する。
【図面の簡単な説明】
【0015】
【図1】図1は、携帯民生機器でのデータ追跡のデータ要素の概略図である。
【図2】図2は、MSD(磁気ストライプデータ)チップカードから読み出したTrack2データトラックを示す図である。
【図3】図3は、磁気ストライプカードから読み出したTrack2データトラックを示す図である。
【図4】図4は、本発明の一実施例によるシステムを示す図である。
【図5】図5は、本発明の一実施例による方法を示すフローチャートである。
【図6】図6a及び図6bは、図5に示した方法で用いられるプライマリ及びセカンダリPANを示す図である。
【図7】図7は、本発明の他の実施例による方法を示すフローチャートである。
【図8】図8は、セカンダリPANの概略図である。
【発明を実施するための形態】
【0016】
(詳細な説明)
上述したように、従来の購入取引では、消費者のPANは暗号化されない。全体のPANを暗号化することは、セキュリティを強化するものと考えられるが、全体のPANを暗号化することは、全ての状況の下では、必ずしも現実的とはならないこともある。例えば、PANは、BIN又は銀行識別番号を含んでいる。BINは、取引データを発行者に送達するために用いられるが、暗号化されたBINは、取引データを発行者に送達するルーティング及びスイッチングのためのインフラを構成する計算機では認識することができないかもしれない。全体のPANを暗号化すると、BINが変化してしまい、ルーティング上の問題を引き起こす恐れがある。従って、既設の支払インフラに悪い影響を与えることなく、決算取引を行う既存の方法で、PANを暗号化するために用いられる任意の暗号化処理を行うことが好ましい。
【0017】
PANの暗号化に関しては、他にも多くの制約がある。例えば、磁気ストライプを有する支払カードに関しては、磁気ストライプ上の、カード所有者の(カード所有者のPANを含む)口座データは、磁気ストライプの“Track1”及び/又は“Track2”に符号化し記録されている。Track1(“国際航空運送協会”)は、Track2よりも多くの情報を格納し、カード所有者の名前の他に口座番号や他の任意データを含んでいる。このトラックは、航空会社により、クレジットカードによる予約でのセキュリティ確保のために用いられることがある。Track2(“米国銀行協会”)は、現在、最も一般に用いられているものである。このトラックは、ATMとクレジットカード読取機で読み取られるトラックである。ABA(米国銀行協会)は、このトラックの仕様を規定しており、全世界の銀行は、その仕様に従う必要がある。このトラックは、カード所有者の口座及び暗号化されたPIN、更に他の任意データを含んでいる。
【0018】
Track1は、79文字長であり、限定された空間を有している。Track2は、全て数字のフィールドであり、37文字長であり、同様に、限定された空間を有している。これらの制約のため、Track1又はTrack2のデータは、10進形式である。データは、(Track1のカード所有者名を除き)、16進数などの他の形式で表わすことはできない。これにより、Track1又は2のPANを暗号化する能力に制限が与えられる。
【0019】
図1は、携帯型民生機器での一般的なデータトラックを表す、一般的な概略図を示すものである。図示されたデータトラックは、様々なデータフィールドを含んでいる。図1に示すように、データフィールドには、PANフィールド、有効期限フィールド、サービスコードフィールド、PIN、CVV(個人識別番号カード検証値)フィールド及び任意のデータフィールドがある。通常のPANは、概ね13〜19デジット(例えば、13又は16あるいは19デジット)長であり、PANデータフィールドは、対応するサイズのデータを格納するように構成されている。
【0020】
図2は、MSD(磁気ストライプデータ)チップカードにより読取られるTrack2の形式の特定の例を示すものである。図示したように、例示されたTrack2の形式には、PAN390、セパレータ392、有効期限394、PVKI(PIN検証キーインジケータ)、PIN検証データ400、dCVV(動的カード検証値)402、ATC(自動取引カウンタ)404、発行者任意データフィールド又はIDDデータフィールド中の非接触インジケータ406、及びパッド408を含んでいる。
【0021】
図3は、磁気ストライプ又は磁気ストライプカードにより読取られるTrack2のデータトラックの例を示すものである。図3において、開始標識414とセパレータ416がある。BINは、開始標識414とセパレータ416との間にある。更に、終了標識418と、終了標識の右側にチェックサム420とがある。
【0022】
図1及び図2のデータトラックは、互いにわずかに異なっている。POS端末の磁気読取ヘッドは、読取開始と読取終了の時期を知る必要があるため、図3の磁気ストライプのTrack2のデータトラックは、終了標識420を用いている。一方、チップカードのチップは、POS端末に対して適切な量のデータを出力するため、図2に示すチップカードのTrack2のデータトラックでは、終了標識を必要としない。
【0023】
PANの暗号化に対する他の制約としては、PANの長さが、国によって異なる点がある。例えば、PANは、13デジット又は16デジットあるいは19デジットの長さとなっている。PANを暗号化する方法及びシステムは、長さが変化するPANに対応することが好ましい。
【0024】
PANの暗号化に対する他の制約としては、PANの最後のデジットが、チェックデジットとなっている点である。そのデジットは、POS端末で読取られる際に、PANのデータの完全性を確保するために用いられる。チェックデジットは、数字が真正であることを確認するデジットであり、その数字に(その終端または先端に)付加されるデジットである。チェックデジットを生成する単純なアルゴリズムを、数字からなる他のデジットに適用する。このアルゴリズムを実行し、アルゴリズムによって求めた数字と、PANの終端のチェックデジットとを比較することにより、全てのデジットが正しく読取られたことと、それらが有効な組み合わせとなっていることを検証することができる。一般的に用いられ、よく知られているチェックデジット・アルゴリズムは、“mod(モジュロ) 10”アルゴリズムと呼ばれる。
【0025】
上述した制約によらず、本発明の実施例による暗号化処理を用いることができる。本発明の実施例は、消費者のPANを保護し、既存の支払検証機構及びシステムで用いることができる。以下で詳細に示すように、本発明の実施例は、既存の支払インフラにいかなる大きな変更や予想外の変更も必要とせずに、PANを暗号化できる。また、本発明の実施例は、長さが変化するPANに用いることもできる。
【0026】
本発明の実施例は、プライマリPANにリンクしたセカンダリPANを生成することにより、プライマリPANを部分的に“マスク”する。本発明の一実施例において、送信されたPANの一部は、アクセス機器(例えば、POS端末)又は携帯型民生機器あるいは同様の機器により、マスクする、及び/又は変化させる。変化した(例えば、暗号化した)部分は、PANの中間部であることが好ましい。中間部は、任意の好適な長さを有するものであってよいが、その長さは、3デジット長と9デジット長との間であることが好ましい。
【0027】
任意の好適な暗号化処理を用いて、PANの中間部を暗号化することができる。例えば、本発明の実施例は、DES(動的暗号化標準)又はECC(楕円曲線暗号法)あるいはAEC(改良暗号化暗号法)の処理を用いることができる。任意の対称又は非対称暗号化要素を用いることができる。
【0028】
PANの中間部の両側には、2つの(例えば、各々、4乃至6のデジット長の)終端部があり、終端部の少なくとも一方は、取引処理の間は固定されたままである。例えば、PANの少なくとも一つの終端部は、BIN又は銀行識別番号を含み、取引処理の間は固定されたままであり、少なくとも中間部は、変化又は暗号化される。取引処理の間は、PAN及び取引データが、発行者に送達されるよう、BIN(又は、他の位置識別データ要素)は固定されたままとなっている。通常、BINは、PANの初めの6デジットを占有し、PANの第一の終端部に相当するものと考えられる。他の実施例において、BINに代えて、小売商人位置識別子又は金融機関位置識別子、あるいはIPアドレスまでが、PANの終端部に含め、それらを固定したままとすることができる。これらのうち任意のものを、BINに代えて、PANで固定したままとすることができる。
【0029】
BINを含むPANの第一の終端部に加え、PANの他の終端部も、取引処理の間は固定したままとすることが好ましい。固定したままとすることが好ましいプライマリPANの第二の終端部は、プライマリPANの最後の4デジットを含むことが好ましい。すなわち、プライマリPAN及びセカンダリPANの最後の4デジットは、同一である。
【0030】
セカンダリPANの第二の終端部が、プライマリPANと同一となることを保つことに関しては、多くの利点がある。上述したように、プライマリPANの最後の文字は、データの完全性を保証するための、チェックデジット又はモジュロ10計算である。従って、POS端末が、適切なチェックサムによる検証処理を行えるよう、この最後のチェックデジットは変化しないことが望ましい。最後に、消費者は、消費者の購入領収書に印刷されたPANの最後の4デジットを見る習慣もあり、PANの最後の4デジットを変化させることは望ましいことではない。更に、PANの最後の4デジットは、しばしば消費者が捨ててしまう購入領収書に印刷されるため、この最後の4デジットは簡単に他者に発見されてしまう。このように、プライマリPANの最後の4デジットを暗号化する利点はほとんどない。従って、本発明の好適な実施例においては、動的に変化するPANの番号は、通常、マスクされている。消費者が都合よく何も異常なことに気づかないように、消費者が受け取る支払カード領収書では、この最後の4デジットは固定である。
【0031】
図4は、本発明の一実施例において用いることができるシステム20を示したものである。システム20は、小売商人22と、小売商人22に対する取得者24とを含んでいる。通常の支払取引では、消費者30は、携帯型民生機器32を用いて、小売商人22の商品又はサービスを購入する。取得者24は、支払処理ネットワーク26を介して、発行者28と通信することができる。
【0032】
通常、取得者24は、小売商人の口座を有する銀行である。また、発行者28は、銀行であってもよいが、小売店などの事業者であってもよい。いくつかの事業者は、取得者と発行者を兼ねているが、本発明の実施例は、このような事業者を含んでいる。
【0033】
消費者30は、個人、又は、商品又はサービスを購入可能な事業者等の法人である。
【0034】
携帯型民生機器32は、任意の好適な形態であってよい。例えば、好適な携帯型民生機器は、消費者の財布及び/又はポケットに入るように、手のひらサイズで小型の(例えば、ポケットサイズの)ものとすることができる。これらの機器には、スマートカード、(磁気ストライプは有するが、マイクロプロセッサは有しない)通常のクレジット又はキャッシュカード、あるいは(エクソン・モービル社から市販されているSpeedpassTMなどの)キーチェイン装置等が含まれている。携帯型民生機器の他の例には、携帯電話、個人用携帯情報端末(PDA)、ポケベル、支払カード、セキュリティカード、アクセスカード、スマートメディア、トランスポンダ並びに類似のものが含まれている。また、携帯型民生機器は、引出し兼支払用機器(例えば、キャッシュカード)又はクレジット支払機器(例えば、クレジットカード)、あるいはプリペイド機器(例えば、プリペイドカード)であってもよい。
【0035】
携帯型民生機器32は、コンピュータで読取可能な媒体32(a)及び本体32(b)を含んでいる。コンピュータで読取可能な媒体32(a)は、本体に取り付けられており、その本体は、プラスチック製の基盤、外被あるいは他の構造で構成されている。コンピュータで読取可能な媒体32(a)が、カードの形態となっている場合には、プライマリPANが型押しされた型押し部分32(c)を有してもよい。
【0036】
コンピュータで読取可能な媒体32(a)は、データを格納するメモリであってもよく、更に、任意の好適な形態であってよい。コンピュータで読取可能な媒体32(a)の例としては、磁気ストライプ及びメモリチップ等の形態がある。コンピュータで読取可能な媒体32(a)は、暗号化された形式又は暗号化されない形式で、プライマリPAN及び/又はセカンダリPANを電気的に格納するものであってよい。
【0037】
支払処理ネットワーク26は、データ処理サブシステムと、ネットワークと、認定サービス、例外ファイルサービス、清算及び決済サービスの各サービスをサポートし提供するために用いられる処理とを含んでいる。支払処理ネットワークの例としては、VisaNetTMがある。VisaNetTM等の支払処理ネットワークは、クレジットカード取引及びデビットカード取引、更に他の種類の商取引を処理することができる。特に、VisaNetTMは、認定要求を処理するVIPシステム(Visa統合支払システム)と、清算及び決済サービスを行うBase IIシステムとを含んでいる。
【0038】
支払処理ネットワーク26は、サーバコンピュータを含んでいる。サーバコンピュータは、通常、処理能力の高い単一のコンピュータ、又は、複数のコンピュータのクラスタである。例えば、サーバコンピュータは、大型のメインフレーム又はミニコンピュータのクラスタ、あるいは一体として機能するサーバ群とすることができる。一実施例において、サーバコンピュータは、Webサーバに接続したデータベースサーバであってもよい。支払処理ネットワーク26は、インターネットを含む、任意の好適な有線又は無線ネットワークを用いてもよい。
【0039】
小売商人22は、携帯型民生機器32と相互にやりとりすることができるアクセス装置34を有するか、そのアクセス装置からの通信を受信するものであってよい。図4では、アクセス装置34は、小売商人22の元にある。しかし、本発明の他の実施例では、このアクセス装置は、任意の他の好適な位置に設けることができる。
【0040】
本発明の実施例によるアクセス装置は、任意の好適な形態であってよい。アクセス装置の例としては、販売時点情報管理(POS)装置、携帯電話、PDA、パソコン(PC)、タブレットPC、ハンドヘルド専用読取機、セットトップボックス、電子式金銭登録機(ECR)、現金自動支払機(ATM)、仮想金銭登録機(VCR)、キオスク端末、セキュリティシステム、アクセスシステム及びこれらと同類のものを含んでいる。
【0041】
アクセス装置34は、読取機34(a)と、プロセッサ34(b)と、コンピュータで読取可能な媒体34(c)とを含んでいる。読取機34(a)は、任意の好適な接触動作モード又は非接触動作モードを用いる。例えば、カード読取機の例としては、携帯型民生機器32と相互にやりとりするRF(無線)アンテナ、磁気ストライプ読取機等を含んでいる。
【0042】
通常の購入取引では、消費者30は、クレジットカードなどの携帯型民生機器32を用いて、小売商人22から商品又はサービスを購入する。消費者の携帯型民生機器32は、小売商人22のPOS(販売時点情報管理)端末等のアクセス装置34と相互にやりとりすることができる。例えば、消費者30は、クレジットカードを手に取り、POS端末の適切なスロットにカードを通すことができる。それに代えて、POS端末は、非接触読取機であってもよく、また、携帯型民生機器32は、非接触カード等の非接触機器であってもよい。
【0043】
次に、認定要求メッセージが、取得者24に送られる。認定要求メッセージを受信した後、更に、認定要求メッセージは、支払処理ネットワーク26に送られる。更に、支払処理ネットワーク26は、認定要求メッセージを、民生機器32の発行者28、又は、民生機器32の発行者のために働く第三者に送る。
【0044】
発行者28、又は、民生機器32の発行者のために働く第三者が、認定要求メッセージを受信した後、発行者28、又は、民生機器32の発行者のために働く第三者は、現在の取引が認定されたものであるか(認定されていないものであるか)を示す認定応答メッセージを返送する。次に、支払処理ネットワーク26は、認定応答メッセージを取得者24に返送する。更に、取得者24は、応答メッセージを小売商人22に返送する。
【0045】
小売商人22が、認定応答メッセージを受信した後、小売商人22のアクセス装置34は、消費者30に認定応答メッセージを提供する。応答メッセージは、アクセス装置34によって表示されるか、領収書に印刷される。
【0046】
一日の終わりに、支払処理ネットワーク26により、通常の清算及び決済処理を行うことができる。清算処理は、消費者の口座への記帳と、消費者の決算状況の突合せを容易にするため、取得者と発行者との間で財務明細を交換する処理である。
【0047】
本発明の実施例は、上述した支払取引処理において、セカンダリPANを用いることができる。この実施例を、図4から図8を引用し、以下で説明する。
【0048】
本発明の一実施例による暗号化方法を、図4及び図5並びに図6a乃至図6bにより説明する。
【0049】
一実施例において、消費者30は、小売商人22が提供した商品又はサービスに対する支払のために、自分の携帯型民生機器32を用いる。消費者30は、携帯型民生機器32を手に取り、上述したようにアクセス装置34の読取機34(a)とやり取りするために用いる。プライマリPANが、コンピュータで読取可能な媒体32(a)に格納される。
【0050】
次に、アクセス装置34は、携帯型民生機器32からプライマリPANを受信する(ステップ502)。任意の好適な接触動作モード又は非接触動作モードを用いて、携帯型民生機器32からプライマリPANを受信する。
【0051】
アクセス装置34のプロセッサ34(b)がプライマリPANを受信すると、プロセッサは、プライマリPANに対して、その中間部を変換し、一方、少なくとも一つの終端部は固定したままとして、セカンダリPANを生成する(ステップ504)。プライマリPANとセカンダリPANでは、BINを含む終端部とPANの最後の4デジットは、プライマリPANとセカンダリPANでは同一であることが望ましい。例えば、図6aは、“4592341234563337”となっているプライマリPANの一例を示したものである。最初の6デジット“459234”はBINを表し、それは第一終端部であるとともに、取引処理の間は固定したままである(すなわち、最初の6デジットは、プライマリPANとセカンダリPANにおいて同一である)。最後の4デジット“3337”は、第二終端部を構成し、これも、取引処理の間は固定したままである(すなわち、最後の4デジットは、プライマリPANとセカンダリPANにおいて同一である)。本例において、セカンダリPAN(又はプライマリPAN)の第一終端部は、6デジットを含んでおり、一方、第二終端部は4デジットを含んでいる。他の実施例においては、第一終端部及び第二終端部並びに中間部は、これらよりも多くの数の、又は、少ない数のデジットを含むものであってよい。
【0052】
第一終端部及び第二終端部は固定したままであるが、中間部の少なくとも大部分のデジットは変化する。中間部の少なくとも3又は4又あるいは5デジット、又は中間部の全デジット、あるいは中間部の1デジットを除いた残り全てのデジットを、全てが同一となるように変化させることが好ましい。例えば、図6bに示すように、セカンダリPANの中間部の6デジットを“ゼロ”にする。これにより、発行者は、作成されたセカンダリPANは、他の消費者に対するプライマリPANとは同一でないことを確認することができる。発行者がセカンダリPANを受信した後、発行者は、6つのゼロとなっている中間部には口座番号がないことを認識し、(以下で詳細を説明するように)プライマリPANを他の位置に移す。
【0053】
いくつかの実施例において、セカンダリPANの中間部のデジットは、1デジットを除き全て同一となっている。他のデジットとは同一でない1つのデジットを調整し、セカンダリPANに対してチェックサム計算を行う際に、その1デジットが、プライマリPANのチェックサムデジット(すなわち、PANの最後のデジット)の値と一致させることができる。例えば、プライマリPANにするチェックサム計算結果が“7”となる場合、その数“7”をプライマリPANの最後に置く。プライマリPANの中間部の全デジットを“0”に変化させてセカンダリPANを作成した場合には、これとは異なるチェックサム値となる。例えば、プライマリPANの中間部をゼロに置き換えると、チェックサム値は、“7”とは異なる値となる。しかし、アクセス装置22が正しいPANを受信したと判断するように“騙す”ため、PANの中間部の1つのデジットを、ゼロ以外の値に変化させると、チェックサム計算の結果は正しいものとなる。例えば、図6bにおいて、セカンダリPANの中間部を、“000900”に変化させる。このように、中間部に値“9”を付加することにより、変化させなかったプライマリPANに対するチェックサムデジット値(例えば、“7”)と同一のチェックサム計算結果(例えば“7”)をもたらすことができる。
【0054】
セカンダリPANを作成した後、プロセッサ34(b)は、プライマリPANが通常置かれている位置(例えば、Track2)に、セカンダリPANを格納する。次に、プロセッサ34(b)は、プライマリPAN全体、もしくはプライマリPANの一部のみを暗号化する(ステップ508)。更に、暗号化されたプライマリPANを、それが元々あったデータトラック以外の領域に格納する(ステップ510)、もしくは通常格納されている位置以外の位置に格納する。例えば、プライマリPANが、元々、Track2に格納されていた場合、暗号化されたプライマリPANは、Track3又はどこか他の領域に格納する。プロセッサ34(b)は、これらの機能及び他の機能を実行し、これらの機能をプロセッサ34(b)に実行させるコードは、コンピュータで読取可能な媒体34(c)に格納するものであってよい。
【0055】
次に、アクセス装置34は、取得者24及び支払処理ネットワーク26を介して、暗号化されたプライマリPANと、セカンダリPANの両方を、(認定要求メッセージと共に、又は、認定要求メッセージの中に含めて)発行者28に送る。次に、発行者28は、暗号化されたプライマリPANと、セカンダリPANの両方を受信する(ステップ514)。
【0056】
次に、発行者28のサーバコンピュータ21は、セカンダリPANを解析し(ステップ516)、更に、それが、発行者のいずれかの消費者の口座番号と一致するかどうかを検証する。セカンダリPANの中間部には、そのデジット値に同一値を繰り返し用いていたり、有効なPAN構造が存在しないため、発行者28のサーバコンピュータ21は、セカンダリPANが、既存の口座番号と一致しないと認識することになる。その結果、サーバコンピュータ21は、暗号化されたプライマリPANが格納されている領域を頼りにする。次に、サーバコンピュータ21は、暗号化されたプライマリPANの位置を特定し、データベース23に格納された鍵を用いてプライマリPAN518を暗号解読する。プライマリPAN518が暗号解読されたら、それを分析し、その後、携帯型民生機器32を認証する。携帯型民生機器32を認証した後、発行者28は、消費者30が取引を行うことができるよう認定されているか否かを表す認定応答メッセージを、小売商人22に返送する。
【0057】
図4では、一人の発行者28が図示されているが、本発明の実施例では、複数の発行者が存在してもよい。各発行者は、プライマリPANを、それが格納された領域で暗号化したい場合には、プライマリPANを格納すべき領域を決定でき、及び/又は、プライマリPANを暗号化するために用いる鍵を決定できる。プライマリPANを格納し処理するために、異なる発行者毎に、異なるプロトコルを用いたならば、広範囲に及ぶ不正行為の危険性を減らせる。例えば、小売商人22から発行者28に送ろうとしているデータが、権限のない人物によって途中で盗み取られる場合や、権限のない人物が、暗号化されたプライマリPANを格納する領域と、送られたデータを暗号化する方法とを決定できてしまう場合には、他の発行者は、発行者28とは異なるデータ保護プロトコルを用いることにより、権限のない人物が、この情報を用いて、他の発行者に送るPAN情報を途中で盗み取り、暗号解読ができないようになる。
【0058】
上述した例では、セカンダリPANは、アクセス装置34で作成するものとなっている。従って、アクセス装置34と発行者28との間のデータ伝送は、極めてセキュリティの高いものとなっている。しかし、セカンダリPANは、任意の他の好適な位置で生成することもできる。例えば、より高いセキュリティを確保するために、携帯型民生機器32は、プライマリPANとセカンダリPANの両方をアクセス装置34に送り、アクセス装置34は、プライマリPANについてのデータ処理又は暗号化は行わないようにすることができる。セカンダリPANは、携帯型民生機器32のコンピュータで読取可能な媒体32(a)に固定して格納することもできるし、あるいは、携帯型民生機器32がスマートカード又はそれと同類のものである場合には、セカンダリPANを携帯型民生機器32で動的に生成することもできる。そのような実施例において、携帯型民生機器32を認証するために、携帯型民生機器32から発行者28への、セキュリティを確保したプライマリPANの伝送を提供することができる。
【0059】
本発明の他の実施例を、図4及び図7並びに図8を引用して説明する。
【0060】
図7は、本発明の一実施例を図示したフローチャートである。先に説明した実施例にあるように、本実施例において、消費者30は、小売商人22が提供した商品又はサービスに対する支払のために、自分の携帯型民生機器32を用いる。消費者30は、携帯型民生機器32を手に取り、アクセス装置34の読取機34(a)とやり取りするために用いる。プライマリPANが、コンピュータで読取可能な媒体32(a)に格納される。
【0061】
次に、アクセス装置34は、携帯型民生機器32からプライマリPANを受信する(ステップ602)。任意の好適な接触動作モード又は非接触動作モードを用いて、携帯型民生機器32からプライマリPANを受信する。
【0062】
アクセス装置34のプロセッサ34(b)がプライマリPANを受信すると、プロセッサは、プライマリPANに対して、その中間部を変換し、一方、少なくとも一つの終端部は固定したままとして、セカンダリPANを生成する(ステップ604)。例えば、図8は、携帯型民生機器32のコンピュータで読取可能な媒体32(a)(例えば、磁気ストライプ)にある16ビットのPAN380の概略図を示したものである。本例では、PAN380の最初の6デジット(すなわち、第一終端部)“123456”380(a)は、BIN番号に対応している。次の6デジット380(b)は、実際のPANの6デジットから変化したもの、又はそれとは異なるものであり、本例では、“XXXXXX”と表されている。好適な実施例において、中間部の6デジットは、カウンタ又はそれと同類のものを用いて、動的に変化させられる。これにより、任意の権限のない人物が、プライマリPANを決定することは、より困難となる。
【0063】
本例では、最後の4デジット380(c)(すなわち、第二終端部)は、“9999”
であり、同一のままである。BINと最後の4デジットを同一に保つことにより、小売商人と消費者にとって、取引は実際に一つのように見える。
【0064】
本実施例において、中間部は、同一の数値を繰り返したものは、意図的に含んでいないため、発行者28は、セカンダリPANが、他の消費者のプライマリPANと一致又は重なり合わないことを確認するためには、いくつかの処理ステップが必要となる。例えば、発行者は、セカンダリPANのために特に予備しておいた数字の組は無視し、プライマリPANは無視しないこともできる。
【0065】
次に、アクセス装置34は、オプションとして、セカンダリPANを暗号化し(ステップ608)、暗号化されたセカンダリPANを、取得者24及び支払処理ネットワーク26を介して、発行者28に送る(ステップ610)。次に、発行者28は、暗号化されたセカンダリPANを受信し(ステップ614)、それを暗号解読し(ステップ616)、プライマリPANを決定し、更に、それを解析する(ステップ618)。発行者28の適切なアルゴリズム又は(例えば、データベース23に格納された)ルックアップテーブルを用いて、プライマリPANとセカンダリPANとをリンクさせる。発行者28がプライマリPANを決定した後、更に、発行者28は、携帯型民生機器32を認証する(ステップ620)。その後、発行者28は、取引が認定又は承認されているか否かを表す認定応答メッセージを、支払処理ネットワーク26及び取得者24を介して、小売商人22に返送する(ステップ622)。
【0066】
上述した特定の実施例の多くにおいて、セカンダリPAN及び/又はプライマリPANは、アクセス装置34又は携帯型民生機器32あるいはそれらと同類のものにより暗号化される。暗号化されたセカンダリPAN及び/またはプライマリPANは、発行者28により受信され、更に、発行者28は、セカンダリPAN及び/又はプライマリPANを暗号解読して、携帯型民生機器32を認証し、支払取引を処理する。しかし、本発明の他の実施例において、上述したものと同様に、PANが発行者28に届く前に、支払処理ネットワーク26で暗号解読処理を行えることは、理解されるところである。例えば、プライマリPAN及び/又はセカンダリPANが、支払処理ネットワーク26により暗号解読された後、支払処理ネットワーク26が、通常行うように、処理を進めることができる。すなわち、支払処理ネットワーク26は、暗号化されたプライマリPAN及び/又はセカンダリPANを受信し、それらを暗号解読し、携帯型民生機器32が真正なものであることを検証し、更に、暗号化されたプライマリPANが、通常存在する領域に置かれるように、認定要求メッセージを通常の形式に再編成することができる。認定要求メッセージを再編成した後、従来の方法で送るのと同じように、そのメッセージを発行者28に送ることができる。更に、発行者28は、認定要求メッセージを支払処理ネットワーク26に送り、次に、支払処理ネットワーク26は、取得者24と小売商人22を介して、認定要求メッセージをアクセス装置34に返送してもよい。そのような実施例は、従来の支払処理に比べて、セキュリティが強化されるため、更に、発行者28が、従来の支払プロセスで通常見ているものと同一の取引情報を見ることになるため、有利である。
【0067】
また、上述した実施例の多くにおいて、セカンダリPANは、取引処理の間に生成される。これは、全ての場合において、必ずしも必要なものではない。アクセス装置34でセカンダリPANを生成する代わりに、携帯型民生機器のコンピュータで読取可能な媒体にセカンダリPANを格納しておいてもよく、そのセカンダリPANは、プライマリPANの中間部とは異なる中間部を有してもよい。そのような実施例において、セカンダリPANは、進行中の特定の取引の間に生成せずに、あらかじめ生成しておき、携帯型民生機器32に格納しておいてもよい。いくつかの場合、携帯型民生機器32が支払カードの形態となっているならば、携帯型民生機器32にプライマリPANを型押ししてもよく、セカンダリPANは、携帯型民生機器32のコンピュータで読取可能な媒体32(a)に格納してもよい。
【0068】
以上で示したように、いくつかの実施例において、用いられている携帯型民生機器が真正であることを検証するため、プライマリPANとセカンダリPANの両方は、発行者に送られる。権限のない人物が、プライマリPANの使用を試みた場合、その権限のない人物は、セカンダリPANを知ることはなく、セカンダリPANを知ることがないため、購入取引を不正に行うことはできない。それに代えて、権限のない人物が、セカンダリPANを、電子的に途中で盗み取り又は“スキミング”しようとした場合、プライマリPANを知ることがないため、購入取引を行えることはない。
【0069】
更に他の実施例において、上述したように、PANの中間部は、動的に変化させられる。例えば、適切なアルゴリズム又はカウンタを用いて、携帯型民生機器が用いられる毎に、PANの中間部を動的に変化させることができる。このようにして、たとえ、権限のない人物により、プライマリPANが途中で盗み取られ、権限のない人物がプライマリPANを知ったとしても、セカンダリPANは動的に変化しているものとなっている。たとえ、権限のない人物が、プライマリPANを知り得て、セカンダリPANを途中で一度だけ盗み取ったとしても、セカンダリPANは動的に変化するものであるため、盗み取ったセカンダリPANは役に立たないものとなる。この場合、権限のない人物は、プライマリPAN及びセカンダリPAN、更に、暗号化処理又はセカンダリPANを導出する処理に必要な潜在的に任意の鍵に加えて、PANを動的に変化させるために用いるアルゴリズムも知る必要がある。従って、本実施例は、セキュリティを確保した取引を行うために、特に有用なものである。
【0070】
本発明の実施例は、一つ又はそれ以上の数の以下の利点を有する。第一に、端末側に大きな影響を与えない。第二に、伝送の経路はあらかじめ予約され、影響を受けない。第三に、暗号化は、カードによる暗号化、又は端末による暗号化とすることができる。第四に、領収書の印刷、及びカード所有者の使い勝手に影響を与えない。第五に、(プライマリPANが発行者に届く前に、プライマリPANが暗号化されていない場合)発行者が、暗号化されていない可読データを受信した際に、発行者の処理に影響を与えない。第六に、本発明の実施例は、既存のデータ送達のためのフィールド形式と規格、一般に入手可能で実績のある暗号化方法及びアルゴリズム(例えば、対称トリプルDESアルゴリズム)の利点を生かすことができる。第七に、本発明の実施例は、取得者の側に小規模な更新のみを必要とし、現在、明確に定義され公知のデータ形式を用いている。第八に、データは暗号化されているため、偽装攻撃に対して、本発明の実施例を用い、顧客と直接対応する小売商人、メールオーダー、電話又はインターネット環境で取得されたデータの悪用を困難にすることができる。データは暗号化され動的であるため、本発明の実施例は、データを役に立たないものにできるため、小売商人のデータベースに対する不正な攻撃への防護を支援することができる。
【0071】
上述した本発明は、モジュール化又は統合化した方法で、コンピュータソフトウェアを用いる制御論理の形で実装できると理解すべきである。ここで開示、教示されたものに基づけば、当業者であれば、ハードウェア及び、ハードウェアとソフトウェアの組合せを用いて本発明を実装する、他の方法及び/又は手法を知り得るものとなる。
【0072】
本出願で説明したソフトウェア要素又は機能のいずれかは、例えば、Java(登録商標)又はC++あるいはPerlなどの任意の好適なコンピュータ言語を用い、例えば、従来の技法又はオブジェクト指向技法を用いた、プロセッサによって実行されるソフトウェアコードとして実装できる。ソフトウェアコードは、一連の命令又はコマンドとして、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、ハードディスクやフロップディスクなどの磁気媒体、あるいはCD−ROM等の光媒体等のコンピュータで読取可能な媒体上に格納されている。このようなコンピュータで読取可能な媒体は、単一の計算機装置上又は内部に設けることができ、システム又はネットワーク内の異なる計算機装置上又は内部に置くことができる。
【0073】
上述したものは、例示であり、制限を与えるものではない。本発明の多くの変形は、本明細書を吟味すれば、当業者にとって明確なものとなる。従って、本発明の範囲は、上述を引用して決定されるべきではなく、出願中のクレームを引用して、その全範囲又は等価手段と併せて決定されるべきものである。
【0074】
発明の範囲を逸脱することなく、任意の実施例の一つ又はそれ以上の数の特徴を、任意の他の実施例の一つ又はそれ以上の数の特徴と組み合わせることができる。
【0075】
特に異なるものと指定しない限り、“一つ(a)”、“一つ(an)”又は“その(the)”という表記は、“一つ又はそれ以上の数の”を意味するものである。
【特許請求の範囲】
【請求項1】
プライマリPANに対するセカンダリPANを提供するステップであって、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であり、セカンダリPANの少なくとも中間部はプライマリPANと異なることを特徴とするステップと、
セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップとを含む方法。
【請求項2】
請求項1記載の方法において、終端部は、BIN番号を含む第一終端部と、4デジットを含む第二終端部とを含むことを特徴とする方法。
【請求項3】
請求項1記載の方法において、セカンダリPANは、携帯型民生機器のコンピュータで読取可能な媒体に格納され、プライマリPANは、携帯型民生機器を操作する認証された消費者に通常知られるが、セカンダリPANは、認証された消費者には知られないことを特徴とする方法。
【請求項4】
請求項1記載の方法において、セカンダリPANの中間部は、各購入取引に応じて動的に変化するが、終端部は、各購入取引で同一のままであることを特徴とする方法。
【請求項5】
請求項1記載の方法において、セカンダリPANは暗号化され、プライマリPANに対する携帯型民生機器の発行者に提供されることを特徴とする方法であって、更に、プライマリPANを発行者に提供するステップを含み、プライマリPANは暗号化されることを特徴とする方法。
【請求項6】
請求項5記載の方法において、中間部は、全て同一の少なくとも5デジットを含むことを特徴とする方法。
【請求項7】
請求項1記載の方法において、更に、
セカンダリPANを形成するステップであって、中間部は、全て同一の少なくとも3デジットを含むことを特徴とするステップと、
プライマリPANが通常格納されている位置に、セカンダリPANを格納するステップと、
プライマリPANが通常格納されている領域とは異なる別の場所に、プライマリPANを格納するステップを含むことを特徴とする方法。
【請求項8】
請求項7記載の方法において、更に、
プライマリPANを暗号化するステップと、
セカンダリPANを暗号化するステップとを含むことを特徴とする方法。
【請求項9】
請求項1記載の方法において、該方法は、携帯型民生機器を用いる消費者により実行され、プライマリPANは、携帯型民生機器に対するものであることを特徴とする方法。
【請求項10】
本体と、
コンピュータで読取可能な媒体とを含む携帯型民生機器であって、コンピュータで読取可能な媒体は、プライマリPANに対するセカンダリPANのためのコードを含み、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とする携帯型民生機器。
【請求項11】
請求項10記載の携帯型民生機器において、携帯型民生機器は支払カードであることを特徴とする携帯型民生機器。
【請求項12】
請求項10記載の携帯型民生機器において、終端部は、第一終端部及び第二終端部を含み、第一終端部は、銀行識別番号を含むことを特徴とする携帯型民生機器。
【請求項13】
携帯型民生機器を用いて、プライマリPANに対するセカンダリPANを提供するためのコードであって、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするコードとセカンダリPANを提供後、支払い取引に対する承認、非承認を受信するコードとを含むコンピュータで読取可能な媒体。
【請求項14】
請求項13記載のコンピュータで読取可能な媒体において、セカンダリPANは暗号化され、コンピュータで読取可能な媒体は、更に、
プライマリPANを発行者に提供するためのコードを含み、プライマリPANは暗号化されることを特徴とするコンピュータで読取可能な媒体。
【請求項15】
取引に関する認定要求メッセージを受信するステップであって、認定要求メッセージは、プライマリPANに対するセカンダリPANを含み、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするステップと、
セカンダリPANを解析するステップと、
プライマリPANを解析するステップと、
認定要求メッセージを送信するステップであって、認定要求メッセージは、支払取引に対する承認又は不承認を受信するステップであることを特徴とする方法とを含む方法。
【請求項16】
請求項15記載の方法において、プライマリPANは、携帯型民生機器に対するものであり、該方法は、発行者又は支払処理ネットワークにより実行されることを特徴とする方法。
【請求項17】
請求項15記載の方法において、中間部は、同一の数字を有する少なくとも3デジットを含むことを特徴とする方法。
【請求項18】
請求項15記載の方法において、終端部は、BINを含む第一終端部と、4デジットを含む第二終端部とを含むことを特徴とする方法。
【請求項19】
請求項15記載の方法において、プライマリPANが通常置かれている領域に、セカンダリPANを置き、プライマリPANが通常置かれていない領域に、プライマリPANを置くことを特徴とする方法。
【請求項20】
請求項15記載の方法において、セカンダリPANは、携帯型民生機器から受信され、プライマリPANは、セカンダリPANが受信された後、データベースで特定されることを特徴とする方法。
【請求項21】
取引に関する認定要求メッセージを受信するためのコードであって、認定要求メッセージは、プライマリPANに対するセカンダリPANを含み、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするコードと、
セカンダリPANを解析するためのコードと、
プライマリPANを解析するためのコードと、
認定要求メッセージを送信するためのコードであって、認定要求メッセージは、取引に対する承認又は不承認を表すことを特徴とするコードとを含むコンピュータで読取可能な媒体。
【請求項22】
請求項21記載のコンピュータで読取可能な媒体において、終端部は、BINを含む第一終端部と、4デジットを含む第二終端部とを含むことを特徴とするコンピュータで読取可能な媒体。
【請求項23】
請求項21記載のコンピュータで読取可能な媒体において、中間部は、同一の数字を有する少なくとも3デジットを含むことを特徴とするコンピュータで読取可能な媒体。
【請求項24】
請求項21記載のコンピュータで読取可能な媒体において、プライマリPAN及びセカンダリPANの両方は、13又は16あるいは19デジットを有することを特徴とするコンピュータで読取可能な媒体。
【請求項25】
請求項21記載のコンピュータで読取可能な媒体を含むサーバ。
【請求項26】
プライマリPANに対するセカンダリPANを提供するステップであって、セカンダリPANは、位置識別データ要素を有し、位置識別データ要素は、プライマリPANと同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするステップと、
セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップとを含む方法。
【請求項27】
請求項26記載の方法において、位置識別データ要素は、BINであることを特徴とする方法。
【請求項28】
プライマリPANに対するセカンダリPANを提供するステップであって、セカンダリPANは、位置識別データ要素を有し、位置識別データ要素は、プライマリPANと同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするステップと、
セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップとを含むコンピュータで読取可能な媒体。
【請求項1】
プライマリPANに対するセカンダリPANを提供するステップであって、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であり、セカンダリPANの少なくとも中間部はプライマリPANと異なることを特徴とするステップと、
セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップとを含む方法。
【請求項2】
請求項1記載の方法において、終端部は、BIN番号を含む第一終端部と、4デジットを含む第二終端部とを含むことを特徴とする方法。
【請求項3】
請求項1記載の方法において、セカンダリPANは、携帯型民生機器のコンピュータで読取可能な媒体に格納され、プライマリPANは、携帯型民生機器を操作する認証された消費者に通常知られるが、セカンダリPANは、認証された消費者には知られないことを特徴とする方法。
【請求項4】
請求項1記載の方法において、セカンダリPANの中間部は、各購入取引に応じて動的に変化するが、終端部は、各購入取引で同一のままであることを特徴とする方法。
【請求項5】
請求項1記載の方法において、セカンダリPANは暗号化され、プライマリPANに対する携帯型民生機器の発行者に提供されることを特徴とする方法であって、更に、プライマリPANを発行者に提供するステップを含み、プライマリPANは暗号化されることを特徴とする方法。
【請求項6】
請求項5記載の方法において、中間部は、全て同一の少なくとも5デジットを含むことを特徴とする方法。
【請求項7】
請求項1記載の方法において、更に、
セカンダリPANを形成するステップであって、中間部は、全て同一の少なくとも3デジットを含むことを特徴とするステップと、
プライマリPANが通常格納されている位置に、セカンダリPANを格納するステップと、
プライマリPANが通常格納されている領域とは異なる別の場所に、プライマリPANを格納するステップを含むことを特徴とする方法。
【請求項8】
請求項7記載の方法において、更に、
プライマリPANを暗号化するステップと、
セカンダリPANを暗号化するステップとを含むことを特徴とする方法。
【請求項9】
請求項1記載の方法において、該方法は、携帯型民生機器を用いる消費者により実行され、プライマリPANは、携帯型民生機器に対するものであることを特徴とする方法。
【請求項10】
本体と、
コンピュータで読取可能な媒体とを含む携帯型民生機器であって、コンピュータで読取可能な媒体は、プライマリPANに対するセカンダリPANのためのコードを含み、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とする携帯型民生機器。
【請求項11】
請求項10記載の携帯型民生機器において、携帯型民生機器は支払カードであることを特徴とする携帯型民生機器。
【請求項12】
請求項10記載の携帯型民生機器において、終端部は、第一終端部及び第二終端部を含み、第一終端部は、銀行識別番号を含むことを特徴とする携帯型民生機器。
【請求項13】
携帯型民生機器を用いて、プライマリPANに対するセカンダリPANを提供するためのコードであって、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするコードとセカンダリPANを提供後、支払い取引に対する承認、非承認を受信するコードとを含むコンピュータで読取可能な媒体。
【請求項14】
請求項13記載のコンピュータで読取可能な媒体において、セカンダリPANは暗号化され、コンピュータで読取可能な媒体は、更に、
プライマリPANを発行者に提供するためのコードを含み、プライマリPANは暗号化されることを特徴とするコンピュータで読取可能な媒体。
【請求項15】
取引に関する認定要求メッセージを受信するステップであって、認定要求メッセージは、プライマリPANに対するセカンダリPANを含み、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするステップと、
セカンダリPANを解析するステップと、
プライマリPANを解析するステップと、
認定要求メッセージを送信するステップであって、認定要求メッセージは、支払取引に対する承認又は不承認を受信するステップであることを特徴とする方法とを含む方法。
【請求項16】
請求項15記載の方法において、プライマリPANは、携帯型民生機器に対するものであり、該方法は、発行者又は支払処理ネットワークにより実行されることを特徴とする方法。
【請求項17】
請求項15記載の方法において、中間部は、同一の数字を有する少なくとも3デジットを含むことを特徴とする方法。
【請求項18】
請求項15記載の方法において、終端部は、BINを含む第一終端部と、4デジットを含む第二終端部とを含むことを特徴とする方法。
【請求項19】
請求項15記載の方法において、プライマリPANが通常置かれている領域に、セカンダリPANを置き、プライマリPANが通常置かれていない領域に、プライマリPANを置くことを特徴とする方法。
【請求項20】
請求項15記載の方法において、セカンダリPANは、携帯型民生機器から受信され、プライマリPANは、セカンダリPANが受信された後、データベースで特定されることを特徴とする方法。
【請求項21】
取引に関する認定要求メッセージを受信するためのコードであって、認定要求メッセージは、プライマリPANに対するセカンダリPANを含み、セカンダリPANは終端部を有し、少なくとも一つの終端部はプライマリPANと同一であるが、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするコードと、
セカンダリPANを解析するためのコードと、
プライマリPANを解析するためのコードと、
認定要求メッセージを送信するためのコードであって、認定要求メッセージは、取引に対する承認又は不承認を表すことを特徴とするコードとを含むコンピュータで読取可能な媒体。
【請求項22】
請求項21記載のコンピュータで読取可能な媒体において、終端部は、BINを含む第一終端部と、4デジットを含む第二終端部とを含むことを特徴とするコンピュータで読取可能な媒体。
【請求項23】
請求項21記載のコンピュータで読取可能な媒体において、中間部は、同一の数字を有する少なくとも3デジットを含むことを特徴とするコンピュータで読取可能な媒体。
【請求項24】
請求項21記載のコンピュータで読取可能な媒体において、プライマリPAN及びセカンダリPANの両方は、13又は16あるいは19デジットを有することを特徴とするコンピュータで読取可能な媒体。
【請求項25】
請求項21記載のコンピュータで読取可能な媒体を含むサーバ。
【請求項26】
プライマリPANに対するセカンダリPANを提供するステップであって、セカンダリPANは、位置識別データ要素を有し、位置識別データ要素は、プライマリPANと同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするステップと、
セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップとを含む方法。
【請求項27】
請求項26記載の方法において、位置識別データ要素は、BINであることを特徴とする方法。
【請求項28】
プライマリPANに対するセカンダリPANを提供するステップであって、セカンダリPANは、位置識別データ要素を有し、位置識別データ要素は、プライマリPANと同一であり、セカンダリPANの少なくとも中間部は、プライマリPANとは異なることを特徴とするステップと、
セカンダリPANを提供した後、支払取引に対する承認又は不承認を受信するステップとを含むコンピュータで読取可能な媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6a】
【図6b】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6a】
【図6b】
【図7】
【図8】
【公表番号】特表2009−541857(P2009−541857A)
【公表日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願番号】特願2009−516638(P2009−516638)
【出願日】平成19年6月14日(2007.6.14)
【国際出願番号】PCT/US2007/071200
【国際公開番号】WO2007/149762
【国際公開日】平成19年12月27日(2007.12.27)
【出願人】(508168790)ビザ ユー.エス.エー.インコーポレイテッド (21)
【Fターム(参考)】
【公表日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願日】平成19年6月14日(2007.6.14)
【国際出願番号】PCT/US2007/071200
【国際公開番号】WO2007/149762
【国際公開日】平成19年12月27日(2007.12.27)
【出願人】(508168790)ビザ ユー.エス.エー.インコーポレイテッド (21)
【Fターム(参考)】
[ Back to top ]