動的検証値を生成するための方法とシステム
【解決手段】 取引用に検証値を動的に生成し、そのような値を使って支払サービスアプリケーションの信頼性を検証するための方法とシステム。動的に生成される検証値は、ICクレジットカードやスマートカードなどの支払デバイス上で生成され、支払データに埋め込まれ、POS端末装置に送信される。あるいは、支払データは支払デバイスによりPOS端末装置に送信され、そこで検証値が生成された後、前記支払データ中に埋め込まれる。前記埋め込まれた検証値はサービスプロバイダによって使用され、前記取引の信頼性が検証される。前記方法とシステムは、非接触(無線)環境及び非無線環境で使用されてもよい。
【発明の詳細な説明】
【背景技術】
【0001】
金融取引に係わる方法およびデバイスが増加し、新しい展開を広げる中、旧来の詐欺や偽造等の問題が依然存在する。事実、クレジットまたはデビットベースの取引をもっと魅力的にし、現金の代わりとしてすぐに利用できるアプリケーション及びデバイスが開発されるにつれて、それに比例して詐欺や偽造活動の増加が見られる。
【0002】
取引カードの不正使用から金融機関、消費者および商業者を保護するために、業界はホログラム、特殊オーバーレイヤ、及びすかし模様等の詐欺や偽造を減らすための多くの機能を開発してきた。しかしながら、無線環境における金融取引が増加するに従って、それらの機能の多くは効果が薄れてきていると見られている。同様に、金融手段として、物理的なプラスチックカードの代わりに電子デバイスがますます使用されるに従って、取引の当事者を確認するための、顧客の署名やホログラムのような方法を使用する能力が有効でなくなってきている。
【0003】
クレジットカード業界においてよく見られる詐欺の主要源の1つは、スキミングである。これは、カードを偽造するために、カードの磁気ストライプデータを電子的にコピーすることを指す。初期のスキミングは隠蔽が困難な、面倒な機器を必要とした。クレジットカード技術がより精巧になるにつれて、スキミングに使われる技術も向上してきている。
【0004】
更に、スキミングの新たな方法も出現している。たとえば、ある例では、小型の窃盗器が端末内に埋め込まれ、集めたカードデータの回収のために取り出されるまで、数週間の間、放置されて、その間何百ものカード番号が集められる。また、もっと悪質なスキミングの方法の1つでは、通話の盗聴を伴い、前記端末とクレジットカード発行人の間の通話回線が盗聴され、通信文字列からカードデータが盗聴される。通話盗聴のもっとも精妙な例の1つでは、スキミング犯が発行者の地域データセンタの隣にオフィスを借り、発行者のコンピュータへ行く回線が盗聴された。盗聴された回線は、スキミング犯のサイトのコンピュータにリダイレクトされた。さらに悪いことに、スキミング犯は遠隔地からクレジットカード番号を回収できるように、それらのコンピュータに遠隔アクセスをすることができた。ある推定によると、スキミングは毎年金融機関に何百、何億ドルもの負担をかけている。更に、1部の業界アナリストによると、スキミングされた各カードは詐欺が発覚する前に少なくとも2,000ドルの取引に使用されると推定している。
【0005】
スキミングは、主に磁気ストライプ・ベースの取引を蝕んでいる現象である。これは、取引カードの裏に付けられ、3つの別々のトラックに様々なデータを保存する磁気ストライプが受身の媒体であるためである。つまり、コピーおよび原物間でまったく相違なしに、磁気ストライプのデジタル内容を完全にコピーすることができる。主に、これは磁気ストライプ取引が正当であることに依存するものであるのは、POS端末装置が前記磁気ストライプ上にあるデータを単に読込むことしか要されていないためである。
【0006】
スキミングを防止可能にする主な手段の1つは、消費者が取引カードの所在をしっかりと把握することである。これによって、消費者は、カードが不当なデバイスを通されるのを防止することができる。しかし、磁気ストライプの非接触カードが発達し、現在の支払環境に迅速な取引の期待をもたらすにつれて、従来のスキミング問題もそれに付随してきている。実際、無線環境において、磁気ストライプデータをスキミングする機会は、より広がっている。無線環境において、仮想スキミング犯は、有線ベースの環境のスキミングで必要となる、スキミングするカードを物理的に所有する必要も、物理装置(例えばPOS端末装置、通信回線、その他)のいずれにもアクセスする必要がない。スキミング犯は、消費者または小売商に気づかれずに、無線取引を傍受し、カードからPOS端末装置へ転送されるデータをコピーすることができる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
それでもなお、処理能力を有するICカードまたは類似したデバイスに磁気ストライプデータおよび磁気ストライプ支払アプリケーションを使用することは増加している。したがって、ここで必要となるのは、動的に取引を承認するために使用可能な検証値を生成することである。この検証値は、各々の取引で異なるため、このような支払サービスの承認方法は、スキミングの機会を大幅に減少させる。したがって、ある取引において使用されたデータがスキミングされたとしても、スキミングされた検証値は次の取引では無効なので、続いて取引をする際にデータは役に立たなくなる。
【課題を解決するための手段】
【0008】
本発明は、ICクレジットカード等の支払デバイス上に行われる支払サービスの信頼性を確認するための検証値をその支払サービスが取引に使用される度に動的に生成するためのシステムと方法を記載するものである。各々の取引において、検証値は、前記支払サービスに特有のデータから支払デバイス上で動的に生成される。前記支払デバイスからクレジットカード端末などのPOS端末装置へ送信される支払データに、前記検証値は埋め込まれる。POS端末装置は、前記支払データを前記埋め込まれた検証データと一緒に、支払ネットワーク(前記支払データをサービスプロバイダのコンピュータに送信する)に送信するが、前記検証データは、磁気ストライプのクレジットカードトラック1及び/またはトラック2データの形でもよい。前記サービスプロバイザのコンピュータは、独立して検証値を生成する。前記サービスプロバイダ生成の検証値が前記支払デバイス生成の検証値と一致しない場合、取引は認可されない。
【0009】
代替の実施例において、前記支払デバイス上で各取引ごとに生成される支払データは、前記支払データが生成された前記支払デバイスからクレジットカード端末のようなPOS端末装置に送信される。検証値は、前記支払データと前記POS端末装置内に含まれる情報を使用して、前記POS端末装置によって生成される。前記POS端末装置は、前記支払データを前記埋め込まれた検証データと一緒に、支払ネットワーク(前記支払データをサービスプロバイダのコンピュータに送信する)に送信するが、前記検証データは、磁気ストライプのクレジットカードトラック1及び/またはトラック2のデータの形でもよい。前記サービスプロバイダのコンピュータは、個別に検証値を生成する。前記サービスプロバイダ生成の検証値が前記支払デバイス生成の検証値と一致しない場合、取引は認可されない。
【0010】
本発明は、磁気ストライプトラック1および/またはトラック2のデータが任意のインターフェース(接触ベースのインタフェース及び無線インタフェースを含む)を通じて交換される任意の取引に使用可能である。
【発明を実施するための最良の形態】
【0011】
本発明の実施形態の側面、特徴、利点、および長所は、以下の説明、添付の請求の範囲および添付の図面によって明確にされる。
【0012】
本発明の説明の前に、本発明は本明細書で記載される特定の方法、デバイスまたはプロトコールは変化するので、これらに限定されないことは理解されるべきである。説明において使用される用語は、特定のバージョンまたは実施形態を記載するためのものであって、本発明の範囲は添付の請求の範囲を限定するためのものではない。本発明の範囲は添付の請求の範囲によってのみ限定される。特に、本発明は金融取引と関連して記載されるが、本発明はいかなる電子データ交換においても使用可能であることは言うまでもない。
【0013】
また、本明細書中、及び、添付の請求の範囲で用いられる単数形のもの、「ある」、「1」、「前記」等が付くものは複数のものが含まれると理解されるべきである(そうでないことが文脈から明示されない限り)。このように、たとえば、「鍵」に対する参照は、1若しくはそれ以上の鍵及びそれの相等物に対する参照であることは当業者等には理解される。そうでないと定義されていない限り、本明細書で使用される技術及び科学用語は当業者によって一般に理解される意味と同じである。本明細書で記載されるものに類似または相当する任意の方法及びデバイスが、本発明の実施形態の実際の使用及びテストで使用可能であるが、下記には好ましい方法とデバイスについて説明する。本明細書において言及される全ての公報は引用により本明細書に組み込まれる。ここで、従来の発明によるそのような開示に対して本発明が先行しないものであると自認すると解釈されるべきではない。
【0014】
通常、本発明は各取引ごとにカード検証値を動的に生成し、そのような値を使って前記支払サービスが確実なものであり、スキミングされていないことを確認するための方法とシステムを提供する。動的に生成されたカード検証値(本明細書において「dCVV」と称される)は、支払デバイスで生成されて、支払データに埋め込まれて、POS端末装置に送られる。代替の実施形態において、支払データは支払デバイスから受け取られ、検証値はPOS端末装置によって生成され、前記検証値は前記支払データに埋め込まれる。
【0015】
1実施形態において、前記POS端末装置が受け取るデータは、前記POS端末装置によって単に支払データ(例えば、埋め込まれたdCVVのない標準の磁気ストライプトラック1および/またはトラック2データ)と解釈される。前記受信データは、前記POS端末装置から支払ネットワークに送信され、次に前記サービスプロバイダに送られる。前記サービスプロバイダが、前記取引はdCVVが必要であると決定すると、サービスプロバイダは個別に検証値を生成する。前記サービスプロバイダによって生成された検証値が前記支払デバイスから受け取られるdCVVと一致しない場合、前記取引は、潜在的に不正として認識され許可されない。
【0016】
代替の実施形態において、データは前記POS端末装置によって受信されて、検証値を生成するために前記POS端末装置によって使われる。前記受信データは、前記POS端末装置から支払ネットワークに送信され、次に前記サービスプロバイダに渡される。前記サービスプロバイダは、個別に検証値を生成する。前記サービスプロバイダによって生成される検証値が前記支払デバイスから受け取られるdCVVと一致しない場合、前記取引は、潜在的に不正として認識され許可されない。
【0017】
本出願において、用語「支払デバイス」は、本明細書において記載される取引またはデータ交換において使用可能な、マイクロプロセッサを有する任意のデバイスを意味する。前述の一般性を限定することなしに、「支払デバイス」は、ICカード(スマートカードとも一般に公知の)、メモリーカード、携帯電話、パーソナル携帯情報機器(PDA)、携帯電子デバイスまたはコンピュータを含むものとする。
【0018】
本出願において、「非接触」または「無線」は、2つのデバイス間のデータ交換において、前記デバイスが物理的に接続する必要なしにデータ交換が可能な、いかなる通信方法またはプロトコール(独自開発のプロトコールを含む)を意味する。前述の一般性を制限することなしに、「非接触」または「無線」は、レーザー、無線周波、赤外線通信、Bluetoothまたは無線LANによるデータ転送を含むものとする。
【0019】
本出願において、用語「支払サービス」は、支払デバイスおよび他の任意のデバイス間またはロケーション間でのデータ交換を生じさせる支払デバイスで使用される任意のアプリケーションを意味する。当然のことながら、「支払サービス」は金融アプリケーションに限定されるものではない。
【0020】
本出願において、金融アプリケーションに関連する「支払データ」は、取引を実行するために前記支払サービスによって使用されるデータ要素を意味し、金融取引以外の場合は、本発明に独特の任意の必要データ要素を意味する。たとえば、前記支払サービスが磁気ストライプのクレジットカード取引である場合、「支払データ」はトラック1及び/またはトラック2データを有し、主アカウント番号、失効日、サービスコードおよび任意データ等であることは当業者には明らかである。「支払データ」は、また一意のカードID番号またはサービスプロバイダ用の一意の識別番号を含んでもよい。
【0021】
1実施形態において、前記支払データは、支払デバイスにあるメモリに存在する。前記支払デバイスは、また、アプリケーション取引カウンタ(ATC)を維持する。前記ATCは最初、サービスプロバイダによって予め定められた値にセットされる。その後で、前記ATCは各取引毎にインクリメントされる。あるいは、前記ATCは各取引毎に、初期の所定値からデクリメントされてもよい。前記ATCは、任意の長さの値が可能である。さらに、前記支払サービスを使用するサービスプロバイダは、前記サービスプロバイダのコンピュータにアクセス可能な対応するATCを維持する。下記にさらに詳細に説明するように、この対応するATCは、スキミングされた可能性がある支払サービスを認識するために使用される。代替の実施形態において、暗号、デジタル署名、または取引データに基づくハッシュ値が、ATCの代わりにまたは一緒に使用される。
【0022】
前記支払サービスが起動される度に、認証目的のためにdCVVが支払デバイスで生成される。図1は、本発明による、各々の取引用にdCVVの生成方法が示される。まず最初に、予め定められた長さの数字列が作られる。この数字列は、前記支払サービスの前記アカウント番号またはPAN104の対応する左端の桁上にATC102をオーバーレイして(101)作成する。この数字列は、右側で支払サービス用の失効日と支払コードが連結されて、前記連結値106が生成される。必要であれば、埋め込み文字108が連結値106の右側に連結されて(110)、予め定められた固定長の数字列112を形成する。好適な実施形態において、この数字列112は、128ビットの長さである(但し、任意の長さの数字列が使用可能である)。前記埋め込み文字108は、前記支払サービスとサービスプロバイダーの両方で認識されている、一連の0、1、または任意の他の数値からなる。前記数字列112は、同等の長さの2つのブロック、ブロックA116およびブロックB118に二分される。ブロックA116は、次に最初の暗号鍵120によって暗号化される(121)。前記暗号化ステップ121の結果は、ブロックA116に等しい長さのブロックC122である。ブロックC122は、次にブロックB118によって排他的論理和演算(XOR)されて(123)、ブロックD124が生成される。ブロックD124は次に第2の暗号鍵126によって暗号化され(125)、ブロックE128が生成される。ブロックE128は次に復号鍵130を使用して復号され(129)、ブロックF132が生成される。ブロックF132は次に第4の暗号鍵134を使用して暗号化され(133)、ブロックG136が生成される。
【0023】
前記第1の暗号鍵120、前記第2の暗号鍵126、前記第3の暗号鍵130および前記第4の暗号鍵134が任意の予め選択された値を取る事が可能であることは、当業者には明らかである。本発明の実施形態において、前記第1の暗号鍵120、前記第2の暗号鍵126および前記第4の暗号鍵134は、同等であって、前記第3の暗号化とは異なる値である。図1の方法において利用される暗号鍵値の他の代替は、本発明の範囲内である。
【0024】
好適な実施形態において、前記第1の暗号鍵120、前記第2の暗号鍵126、前記第3の暗号鍵130および前記第4の暗号鍵134は、前記支払デバイスにあるデータから派生する一意の鍵の値を取る。使用される際、各支払サービスは、マスタ派生鍵を使ってサービスプロバイダによって個別化される。前記マスタ派生鍵は支払サービスと一緒に、バッチで(すなわち、複数のサービスが同じマスタ派生鍵を受け取る)、または個別に使用される。各々の支払デバイスは、支払サービスに対して一意の鍵を派生する機能によって個別化される。図2は、好適な実施形態において使用される2つの一意の鍵を引き出すための方法である。アカウント番号201、アカウント・シーケンス番号202、アカウント番号の逆数203およびアカウント・シーケンス番号の逆数204は、一緒に連結されて連結値210が生成される。必要であるならば、予め定められた固定長の文字列を作るために、連結値210は、0または他の値を埋め込んでもよい(211)。好適な実施形態において、前記連結値210は128ビットの長さであるが、前記連結値はこの長さに限定されるものではない。前記連結値210は、次に各々の暗号化段階の暗号鍵として前記マスタ派生鍵221を使用して暗号化される(220)。使用される暗号化は、暗号化方法の任意のタイプを含むことができる。たとえば、この暗号化ステップは、トリプルDES暗号化を利用することができる。前記暗号化ステップ220から生じる値は、アカウント番号によって識別される、アプリケーション用の一意の派生鍵またはUDK230である。2つの追加鍵、UDKA240およびUDKB241は、前記UDKから派生する。前記UDK230からのUDKA240およびUDKB241の派生は、任意の形式でよく、前記UDK230の左端半分の値をUDKA240に割り当てること、また前記UDK230の右端半分の値をUDKB241に割り当てることを含む。あるいは、前記UDKA240は、前記UDK230から代替、または別に予め定められたビットシーケンスを選ぶことによって派生させ、残りのビットは前記UDKB241に割り当ててもよい。さらに、UDKA240およびUDKB241は同等の長さの中である必要性はない。
【0025】
図1で提示される方法の結果に戻る。図3は、dCVVを生成するために必要となる更なる処理を記載する。ブロックG136に格納された値の各々のニブル(4ビットグループ)は、2つの別々の繰り返し過程にかけられて、各々のニブルの値が評価される。図3に示すように、ブロックG136の最も重要な桁(例えば左端)から開始し、各順次ニブルを調べて、もしニブルが0から9(を含む)の範囲の値を含む場合、その値は抽出され(301)、以前に抽出された値がある場合はその右に連結することにより新たな数字列(本明細書中で保持列として言及される)中に入れられる(305)。その結果、保持文字列が0から9(その数を含む)までの範囲の一連の値を含むことになり、ブロックG136において現れるのと同じ順序で保持列の左から右に現れる。
【0026】
次に第2の評価が再度実行されるが、ブロックG136の最も重要な桁から開始され、各順次ニブルが調べられる。前記ニブルが10(A)から15(F)(その数を含む)の範囲の16進数の値を含む場合、その値は抽出される(310)。前記抽出された値は、次に前記16進値Aを前記抽出値から引くことにより十進制にされ、0から5までの範囲の十進数の値になる(315)。この十進法にされた値は、次に前記保持列の右端の値の右側に連結される(320)。
【0027】
ブロックGの全ニブルが上記のように2度調べられると、前記保持列の3つの最も重要なニブル(例、左端)が抽出される(325)。この3桁の値が、前記取引用のdCVVである。他のビット数を前記二回調べられたニブル列から抽出して、取引用のdCVVを生成してもよい。さらに、異なるニブル、例えば最も右のニブルを、取引用のdCVVとして使用してもよい。ただし、前記左端の3つのニブルは、好適な実施形態を示す。
【0028】
一度生成されると、前記dCVVは前記支払デバイスからPOS端末装置に転送される支払データに埋め込まれる。前記POS端末装置によって受信されるデータは、標準の支払データとして前記POS端末装置に現れる。つまり、前記POS端末装置はdCVVが埋め込まれているかどうか、そのようなdCVVがどこに位置するかを判定することはできない。前記POS端末装置に対して、前記支払デバイスから受け取られたデータにdCVVが埋め込まれていることを示すものはない。
【0029】
図4は、前記支払デバイスから前記POS端末装置へ送信される、dCVVが埋め込まれた支払データの典型的なレコード形式を表す。図4のレコード形式は、前記支払サービスのために、失効日402およびサービスコード403を、主アカウント番号401に連結することによって作られる。好適な実施形態において、前記主アカウント番号401は16桁の長さで、前記失効日402は4桁の長さ、及び前記サービスコード403は、3桁の長さである。しかし、前記主アカウント番号401、前記失効日402および前記サービスコード403は、これらの長さに限定されない。次に他の使用のために通常確保されるフィールドにおいて、dCVVがこのレコードに埋め込まれたことを示す数値がインジケータ405として配置される。このインジケータの値は、前記支払デバイス上で前記アプリケーションを使用したサービスプロバイダによって把握される。次に、PIN検証データのために一般に確保されるフィールドに前記ATC410が配置される。最後に、前記dCVV415はレコードの右に連結される。レコードの残りは、追加の選択的データを含んでもよい。
【0030】
代替として、図5において、前記支払デバイスから前記POS端末装置に転送される、dCVVが埋め込まれた支払情報の第2の典型的な形式が示される。図5の形式は、前記支払サービス用の主アカウント番号501に、失効日502、サービスコード503、PVKI504およびPIN検証データ505のためのフィールドを、連結することによって作られる。好適な実施形態において、前記主アカウント番号501は16桁の長さ、前記失効日502は4桁の長さ、前記サービスコード503は3桁の長さ、そして、前記PVKI504は1桁の長さ、前記PIN検証データ505は4桁の長さである。しかし、前記主アカウント番号501、前記失効日502、前記サービスコード503、前記PVKI504および前記PIN検証データ505は、これらの長さに限定されるものではない。次に、単一のデータフィールド510においてそれぞれ動的に生成された前記CVV、前記ATC、および動的CVVが埋め込まれたことを識別するためにサービスプロバイダによって使用されるインジケータが順番に格納される。前記レコードの残りは、追加の選択的データを有してもよい。
【0031】
本発明の重要な観点は、動的に作られたCVVを利用するシステムによって、使用される支払サービスの信頼性を前記サービスプロバイダが判定できるようになることである。この承認ステップは、販売業者、個々のPOS端末装置、あるいは他の第三者またはデバイスに任されない。図6は、支払アプリケーションがスキミングされているかどうかの判定を行うために、前記支払デバイスで利用される支払アプリケーションの信頼性をサービスプロバイダが評価できるように、どのようにdCVVが非接触の環境において使用されるかを示す。図6では非接触の環境の実施形態で示されるが、本発明がこの種の環境に限定されるものではなく、磁気ストライプトラック1および/またはトラック2のデータがそのようなデータを送信するための任意の方法または手段を使用して交換される場合のどの取引でも使用可能である。図6に示されるように、前記支払デバイスは、好ましくは上述の方法を使用して前記dCVV601を生成する。前記dCVVは、前記支払データ605に埋め込まれる。これに関しては、図4または図5に示される典型的なレコード形式が利用されてもよい。埋め込まれたdCVVを有する支払データは、前記POS端末装置610にデータ通信によって伝送される。前記POS端末装置は、前記の受信データを支払データの標準形式で認識し、前記サービスプロバイダのコンピュータ615に通常支払ネットワーク(図示せず)を通じて前記データストリームを転送する。前記サービスプロバイダのコンピュータは、埋め込まれたdCVVを有する支払データを受信し(620)、適切なインジケータを調べて、前記取引が非接触の取引であるかどうかの判定をする(625)。前記サービスプロバイダのコンピュータが、前記取引は非接触の取引でなかったと決定した場合、前記取引はその通常の方法において処理される(630)。前記サービスプロバイダのコンピュータが、前記取引は非接触だったと決定した場合、前記サービスプロバイダのコンピュータは支払デバイスから受信したATCを前記サービスプロバイダのコンピュータに格納された対応するATCと比べ、前記受信されたATCが予期されていた次のATCであるかどうかを判定する(635)。前記支払デバイスから受信されたATCが予期される次のATCでない場合、前記支払デバイスで使用された支払サービスはスキミングされている可能性を有する(640)。予期される次のATCが受信された場合、前記サービスプロバイダのコンピュータは、上述と同じプロセスを使用して当該取引用にdCVVを個別に再生成する(645)。前記のサービスプロバイダ生成のdCVVが前記支払デバイスから受け取ったdCVVに一致する(650)場合、前記サービスプロバイダは前記の支払アプリケーションは信頼できるとみなす(655)。前記サービスプロバイダのコンピュータは、次の認証のために、前記支払デバイス660から受け取ったATCをこれまで前記サービスプロバイダのコンピュータ中に格納されていたATCと入れ替える。前記サービスプロバイダ生成のdCVVが前記支払デバイスから受信されたdCVVと一致しない場合、前記取引は不正の可能性を持つので、終了される(665)。
【0032】
図6の方法は、非接触の取引と関連して説明されたが、それに限定されるものではない。たとえば、前記方法は、特定の閾値より上の取引に関連して使用されてもよい。そのような場合、前記サービスプロバイダは、前記アプリケーションを使用する際、上記閾値より上の取引用にdCVVを生成するように前記アプリケーションを構成する。次に、ステップ625において問い合わせられるインジケータは、上記閾値より上の取引のために設定される。同様に、前記方法は他の任意の取引条件に関連して使用可能で、これには地理的位置、使用パターンまたは他の任意の条件が含まれるが、これらに限定されるものではない。
【0033】
代替の実施形態において、前記支払デバイスは、支払データをクレジットカード端末装置のようなPOS端末装置に送信する(701)。前記POS端末装置は、前記データを受信して、前記取引用に検証値を計算する(705)。前記検証値は、様々な方法で計算可能であるが、これには、前記POS端末装置によって提供される一意の取引番号、タイムスタンプ、またはタイムスタンプに追加される取引金額が含まれるが、これらに限定されるものではない。前記POS端末装置は、次に前記支払データに検証値および追加データを埋め込みおよび/または追加する(710)。前記追加データは、前記取引を検証するためにサービスプロバイダのコンピュータで必要とされる。前記POS端末装置は、次に前記サービスプロバイダのコンピュータに(おそらく支払ネットワーク(図示せず)を通じて)データストームを渡す(715)。前記サービスプロバイダのコンピュータは、前記検証値を有する支払データを受信する(720)。前記サービスプロバイダのコンピュータは、任意で、前記POS端末装置によって埋め込みまたは付随された追加データの少なくとも一部を、前記サービスプロバイダのコンピュータに保存されている対応するデータと比較し、前記の受信データが正しいかどうかを判定する(725)。前記POS端末装置からの受信データが不適当な場合、前記取引データはスキミングされた可能性がある(730)。正しいデータが受信される場合、前記サービスプロバイダのコンピュータは個別に前記POS端末装置が使用するのと、同じプロセスを利用して、該当取引のための検証値を再生成する(735)。前記サービスプロバイダ生成の検証値が前記POS端末装置から受け取った検証値と一致する場合(740)、前記サービスプロバイダは前記支払アプリケーションは信頼性があるとみなす(745)。前記サービスプロバイダのコンピュータは次に、任意で、前記サービスプロバイダのコンピュータ内に今まで保存されていた追加データを次に続く認証のために前記支払デバイスから受け取った追加データによって更新する(750)。前記サービスプロバイダ生成の検証値が前記POS端末装置から受け取った検証値と一致しない場合、前記取引は不正である可能性があるので、終了される(755)。
【0034】
前記説明は、発明の原理を図示するためだけのものであるとみなされる。更に、多くの修正と変更が当業者において容易に行われるので、本発明を図及び説明にある通りの構成に限定されるべきではない。したがって、すべての適切な修正および同等物が必要とされる場合、これらは本発明の範囲内にあるとみなされる。
【図面の簡単な説明】
【0035】
【図1】図1は、本発明で使用される暗号化データブロックを生成する方法を示す。
【図2】図2は、支払デバイスに存在するデータから、一意の派生鍵を生成する方法を示す。
【図3】図3は、本発明によるカード検証値を動的に生成するために暗号化データブロックの一部を抽出するための方法を表す。
【図4】図4は、本発明の実施形態で使用される典型的なレコード形式を表す。
【図5】図5は、本発明の実施形態で使用される他の典型的な形式を表す。
【図6】図6は、取引を認証するために動的に生成された検証値を使用した好適な方法のフローチャートである。
【図7】図7は、取引を認証するために動的に生成された検証値を使用した代替方法のフローチャートである。
【背景技術】
【0001】
金融取引に係わる方法およびデバイスが増加し、新しい展開を広げる中、旧来の詐欺や偽造等の問題が依然存在する。事実、クレジットまたはデビットベースの取引をもっと魅力的にし、現金の代わりとしてすぐに利用できるアプリケーション及びデバイスが開発されるにつれて、それに比例して詐欺や偽造活動の増加が見られる。
【0002】
取引カードの不正使用から金融機関、消費者および商業者を保護するために、業界はホログラム、特殊オーバーレイヤ、及びすかし模様等の詐欺や偽造を減らすための多くの機能を開発してきた。しかしながら、無線環境における金融取引が増加するに従って、それらの機能の多くは効果が薄れてきていると見られている。同様に、金融手段として、物理的なプラスチックカードの代わりに電子デバイスがますます使用されるに従って、取引の当事者を確認するための、顧客の署名やホログラムのような方法を使用する能力が有効でなくなってきている。
【0003】
クレジットカード業界においてよく見られる詐欺の主要源の1つは、スキミングである。これは、カードを偽造するために、カードの磁気ストライプデータを電子的にコピーすることを指す。初期のスキミングは隠蔽が困難な、面倒な機器を必要とした。クレジットカード技術がより精巧になるにつれて、スキミングに使われる技術も向上してきている。
【0004】
更に、スキミングの新たな方法も出現している。たとえば、ある例では、小型の窃盗器が端末内に埋め込まれ、集めたカードデータの回収のために取り出されるまで、数週間の間、放置されて、その間何百ものカード番号が集められる。また、もっと悪質なスキミングの方法の1つでは、通話の盗聴を伴い、前記端末とクレジットカード発行人の間の通話回線が盗聴され、通信文字列からカードデータが盗聴される。通話盗聴のもっとも精妙な例の1つでは、スキミング犯が発行者の地域データセンタの隣にオフィスを借り、発行者のコンピュータへ行く回線が盗聴された。盗聴された回線は、スキミング犯のサイトのコンピュータにリダイレクトされた。さらに悪いことに、スキミング犯は遠隔地からクレジットカード番号を回収できるように、それらのコンピュータに遠隔アクセスをすることができた。ある推定によると、スキミングは毎年金融機関に何百、何億ドルもの負担をかけている。更に、1部の業界アナリストによると、スキミングされた各カードは詐欺が発覚する前に少なくとも2,000ドルの取引に使用されると推定している。
【0005】
スキミングは、主に磁気ストライプ・ベースの取引を蝕んでいる現象である。これは、取引カードの裏に付けられ、3つの別々のトラックに様々なデータを保存する磁気ストライプが受身の媒体であるためである。つまり、コピーおよび原物間でまったく相違なしに、磁気ストライプのデジタル内容を完全にコピーすることができる。主に、これは磁気ストライプ取引が正当であることに依存するものであるのは、POS端末装置が前記磁気ストライプ上にあるデータを単に読込むことしか要されていないためである。
【0006】
スキミングを防止可能にする主な手段の1つは、消費者が取引カードの所在をしっかりと把握することである。これによって、消費者は、カードが不当なデバイスを通されるのを防止することができる。しかし、磁気ストライプの非接触カードが発達し、現在の支払環境に迅速な取引の期待をもたらすにつれて、従来のスキミング問題もそれに付随してきている。実際、無線環境において、磁気ストライプデータをスキミングする機会は、より広がっている。無線環境において、仮想スキミング犯は、有線ベースの環境のスキミングで必要となる、スキミングするカードを物理的に所有する必要も、物理装置(例えばPOS端末装置、通信回線、その他)のいずれにもアクセスする必要がない。スキミング犯は、消費者または小売商に気づかれずに、無線取引を傍受し、カードからPOS端末装置へ転送されるデータをコピーすることができる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
それでもなお、処理能力を有するICカードまたは類似したデバイスに磁気ストライプデータおよび磁気ストライプ支払アプリケーションを使用することは増加している。したがって、ここで必要となるのは、動的に取引を承認するために使用可能な検証値を生成することである。この検証値は、各々の取引で異なるため、このような支払サービスの承認方法は、スキミングの機会を大幅に減少させる。したがって、ある取引において使用されたデータがスキミングされたとしても、スキミングされた検証値は次の取引では無効なので、続いて取引をする際にデータは役に立たなくなる。
【課題を解決するための手段】
【0008】
本発明は、ICクレジットカード等の支払デバイス上に行われる支払サービスの信頼性を確認するための検証値をその支払サービスが取引に使用される度に動的に生成するためのシステムと方法を記載するものである。各々の取引において、検証値は、前記支払サービスに特有のデータから支払デバイス上で動的に生成される。前記支払デバイスからクレジットカード端末などのPOS端末装置へ送信される支払データに、前記検証値は埋め込まれる。POS端末装置は、前記支払データを前記埋め込まれた検証データと一緒に、支払ネットワーク(前記支払データをサービスプロバイダのコンピュータに送信する)に送信するが、前記検証データは、磁気ストライプのクレジットカードトラック1及び/またはトラック2データの形でもよい。前記サービスプロバイザのコンピュータは、独立して検証値を生成する。前記サービスプロバイダ生成の検証値が前記支払デバイス生成の検証値と一致しない場合、取引は認可されない。
【0009】
代替の実施例において、前記支払デバイス上で各取引ごとに生成される支払データは、前記支払データが生成された前記支払デバイスからクレジットカード端末のようなPOS端末装置に送信される。検証値は、前記支払データと前記POS端末装置内に含まれる情報を使用して、前記POS端末装置によって生成される。前記POS端末装置は、前記支払データを前記埋め込まれた検証データと一緒に、支払ネットワーク(前記支払データをサービスプロバイダのコンピュータに送信する)に送信するが、前記検証データは、磁気ストライプのクレジットカードトラック1及び/またはトラック2のデータの形でもよい。前記サービスプロバイダのコンピュータは、個別に検証値を生成する。前記サービスプロバイダ生成の検証値が前記支払デバイス生成の検証値と一致しない場合、取引は認可されない。
【0010】
本発明は、磁気ストライプトラック1および/またはトラック2のデータが任意のインターフェース(接触ベースのインタフェース及び無線インタフェースを含む)を通じて交換される任意の取引に使用可能である。
【発明を実施するための最良の形態】
【0011】
本発明の実施形態の側面、特徴、利点、および長所は、以下の説明、添付の請求の範囲および添付の図面によって明確にされる。
【0012】
本発明の説明の前に、本発明は本明細書で記載される特定の方法、デバイスまたはプロトコールは変化するので、これらに限定されないことは理解されるべきである。説明において使用される用語は、特定のバージョンまたは実施形態を記載するためのものであって、本発明の範囲は添付の請求の範囲を限定するためのものではない。本発明の範囲は添付の請求の範囲によってのみ限定される。特に、本発明は金融取引と関連して記載されるが、本発明はいかなる電子データ交換においても使用可能であることは言うまでもない。
【0013】
また、本明細書中、及び、添付の請求の範囲で用いられる単数形のもの、「ある」、「1」、「前記」等が付くものは複数のものが含まれると理解されるべきである(そうでないことが文脈から明示されない限り)。このように、たとえば、「鍵」に対する参照は、1若しくはそれ以上の鍵及びそれの相等物に対する参照であることは当業者等には理解される。そうでないと定義されていない限り、本明細書で使用される技術及び科学用語は当業者によって一般に理解される意味と同じである。本明細書で記載されるものに類似または相当する任意の方法及びデバイスが、本発明の実施形態の実際の使用及びテストで使用可能であるが、下記には好ましい方法とデバイスについて説明する。本明細書において言及される全ての公報は引用により本明細書に組み込まれる。ここで、従来の発明によるそのような開示に対して本発明が先行しないものであると自認すると解釈されるべきではない。
【0014】
通常、本発明は各取引ごとにカード検証値を動的に生成し、そのような値を使って前記支払サービスが確実なものであり、スキミングされていないことを確認するための方法とシステムを提供する。動的に生成されたカード検証値(本明細書において「dCVV」と称される)は、支払デバイスで生成されて、支払データに埋め込まれて、POS端末装置に送られる。代替の実施形態において、支払データは支払デバイスから受け取られ、検証値はPOS端末装置によって生成され、前記検証値は前記支払データに埋め込まれる。
【0015】
1実施形態において、前記POS端末装置が受け取るデータは、前記POS端末装置によって単に支払データ(例えば、埋め込まれたdCVVのない標準の磁気ストライプトラック1および/またはトラック2データ)と解釈される。前記受信データは、前記POS端末装置から支払ネットワークに送信され、次に前記サービスプロバイダに送られる。前記サービスプロバイダが、前記取引はdCVVが必要であると決定すると、サービスプロバイダは個別に検証値を生成する。前記サービスプロバイダによって生成された検証値が前記支払デバイスから受け取られるdCVVと一致しない場合、前記取引は、潜在的に不正として認識され許可されない。
【0016】
代替の実施形態において、データは前記POS端末装置によって受信されて、検証値を生成するために前記POS端末装置によって使われる。前記受信データは、前記POS端末装置から支払ネットワークに送信され、次に前記サービスプロバイダに渡される。前記サービスプロバイダは、個別に検証値を生成する。前記サービスプロバイダによって生成される検証値が前記支払デバイスから受け取られるdCVVと一致しない場合、前記取引は、潜在的に不正として認識され許可されない。
【0017】
本出願において、用語「支払デバイス」は、本明細書において記載される取引またはデータ交換において使用可能な、マイクロプロセッサを有する任意のデバイスを意味する。前述の一般性を限定することなしに、「支払デバイス」は、ICカード(スマートカードとも一般に公知の)、メモリーカード、携帯電話、パーソナル携帯情報機器(PDA)、携帯電子デバイスまたはコンピュータを含むものとする。
【0018】
本出願において、「非接触」または「無線」は、2つのデバイス間のデータ交換において、前記デバイスが物理的に接続する必要なしにデータ交換が可能な、いかなる通信方法またはプロトコール(独自開発のプロトコールを含む)を意味する。前述の一般性を制限することなしに、「非接触」または「無線」は、レーザー、無線周波、赤外線通信、Bluetoothまたは無線LANによるデータ転送を含むものとする。
【0019】
本出願において、用語「支払サービス」は、支払デバイスおよび他の任意のデバイス間またはロケーション間でのデータ交換を生じさせる支払デバイスで使用される任意のアプリケーションを意味する。当然のことながら、「支払サービス」は金融アプリケーションに限定されるものではない。
【0020】
本出願において、金融アプリケーションに関連する「支払データ」は、取引を実行するために前記支払サービスによって使用されるデータ要素を意味し、金融取引以外の場合は、本発明に独特の任意の必要データ要素を意味する。たとえば、前記支払サービスが磁気ストライプのクレジットカード取引である場合、「支払データ」はトラック1及び/またはトラック2データを有し、主アカウント番号、失効日、サービスコードおよび任意データ等であることは当業者には明らかである。「支払データ」は、また一意のカードID番号またはサービスプロバイダ用の一意の識別番号を含んでもよい。
【0021】
1実施形態において、前記支払データは、支払デバイスにあるメモリに存在する。前記支払デバイスは、また、アプリケーション取引カウンタ(ATC)を維持する。前記ATCは最初、サービスプロバイダによって予め定められた値にセットされる。その後で、前記ATCは各取引毎にインクリメントされる。あるいは、前記ATCは各取引毎に、初期の所定値からデクリメントされてもよい。前記ATCは、任意の長さの値が可能である。さらに、前記支払サービスを使用するサービスプロバイダは、前記サービスプロバイダのコンピュータにアクセス可能な対応するATCを維持する。下記にさらに詳細に説明するように、この対応するATCは、スキミングされた可能性がある支払サービスを認識するために使用される。代替の実施形態において、暗号、デジタル署名、または取引データに基づくハッシュ値が、ATCの代わりにまたは一緒に使用される。
【0022】
前記支払サービスが起動される度に、認証目的のためにdCVVが支払デバイスで生成される。図1は、本発明による、各々の取引用にdCVVの生成方法が示される。まず最初に、予め定められた長さの数字列が作られる。この数字列は、前記支払サービスの前記アカウント番号またはPAN104の対応する左端の桁上にATC102をオーバーレイして(101)作成する。この数字列は、右側で支払サービス用の失効日と支払コードが連結されて、前記連結値106が生成される。必要であれば、埋め込み文字108が連結値106の右側に連結されて(110)、予め定められた固定長の数字列112を形成する。好適な実施形態において、この数字列112は、128ビットの長さである(但し、任意の長さの数字列が使用可能である)。前記埋め込み文字108は、前記支払サービスとサービスプロバイダーの両方で認識されている、一連の0、1、または任意の他の数値からなる。前記数字列112は、同等の長さの2つのブロック、ブロックA116およびブロックB118に二分される。ブロックA116は、次に最初の暗号鍵120によって暗号化される(121)。前記暗号化ステップ121の結果は、ブロックA116に等しい長さのブロックC122である。ブロックC122は、次にブロックB118によって排他的論理和演算(XOR)されて(123)、ブロックD124が生成される。ブロックD124は次に第2の暗号鍵126によって暗号化され(125)、ブロックE128が生成される。ブロックE128は次に復号鍵130を使用して復号され(129)、ブロックF132が生成される。ブロックF132は次に第4の暗号鍵134を使用して暗号化され(133)、ブロックG136が生成される。
【0023】
前記第1の暗号鍵120、前記第2の暗号鍵126、前記第3の暗号鍵130および前記第4の暗号鍵134が任意の予め選択された値を取る事が可能であることは、当業者には明らかである。本発明の実施形態において、前記第1の暗号鍵120、前記第2の暗号鍵126および前記第4の暗号鍵134は、同等であって、前記第3の暗号化とは異なる値である。図1の方法において利用される暗号鍵値の他の代替は、本発明の範囲内である。
【0024】
好適な実施形態において、前記第1の暗号鍵120、前記第2の暗号鍵126、前記第3の暗号鍵130および前記第4の暗号鍵134は、前記支払デバイスにあるデータから派生する一意の鍵の値を取る。使用される際、各支払サービスは、マスタ派生鍵を使ってサービスプロバイダによって個別化される。前記マスタ派生鍵は支払サービスと一緒に、バッチで(すなわち、複数のサービスが同じマスタ派生鍵を受け取る)、または個別に使用される。各々の支払デバイスは、支払サービスに対して一意の鍵を派生する機能によって個別化される。図2は、好適な実施形態において使用される2つの一意の鍵を引き出すための方法である。アカウント番号201、アカウント・シーケンス番号202、アカウント番号の逆数203およびアカウント・シーケンス番号の逆数204は、一緒に連結されて連結値210が生成される。必要であるならば、予め定められた固定長の文字列を作るために、連結値210は、0または他の値を埋め込んでもよい(211)。好適な実施形態において、前記連結値210は128ビットの長さであるが、前記連結値はこの長さに限定されるものではない。前記連結値210は、次に各々の暗号化段階の暗号鍵として前記マスタ派生鍵221を使用して暗号化される(220)。使用される暗号化は、暗号化方法の任意のタイプを含むことができる。たとえば、この暗号化ステップは、トリプルDES暗号化を利用することができる。前記暗号化ステップ220から生じる値は、アカウント番号によって識別される、アプリケーション用の一意の派生鍵またはUDK230である。2つの追加鍵、UDKA240およびUDKB241は、前記UDKから派生する。前記UDK230からのUDKA240およびUDKB241の派生は、任意の形式でよく、前記UDK230の左端半分の値をUDKA240に割り当てること、また前記UDK230の右端半分の値をUDKB241に割り当てることを含む。あるいは、前記UDKA240は、前記UDK230から代替、または別に予め定められたビットシーケンスを選ぶことによって派生させ、残りのビットは前記UDKB241に割り当ててもよい。さらに、UDKA240およびUDKB241は同等の長さの中である必要性はない。
【0025】
図1で提示される方法の結果に戻る。図3は、dCVVを生成するために必要となる更なる処理を記載する。ブロックG136に格納された値の各々のニブル(4ビットグループ)は、2つの別々の繰り返し過程にかけられて、各々のニブルの値が評価される。図3に示すように、ブロックG136の最も重要な桁(例えば左端)から開始し、各順次ニブルを調べて、もしニブルが0から9(を含む)の範囲の値を含む場合、その値は抽出され(301)、以前に抽出された値がある場合はその右に連結することにより新たな数字列(本明細書中で保持列として言及される)中に入れられる(305)。その結果、保持文字列が0から9(その数を含む)までの範囲の一連の値を含むことになり、ブロックG136において現れるのと同じ順序で保持列の左から右に現れる。
【0026】
次に第2の評価が再度実行されるが、ブロックG136の最も重要な桁から開始され、各順次ニブルが調べられる。前記ニブルが10(A)から15(F)(その数を含む)の範囲の16進数の値を含む場合、その値は抽出される(310)。前記抽出された値は、次に前記16進値Aを前記抽出値から引くことにより十進制にされ、0から5までの範囲の十進数の値になる(315)。この十進法にされた値は、次に前記保持列の右端の値の右側に連結される(320)。
【0027】
ブロックGの全ニブルが上記のように2度調べられると、前記保持列の3つの最も重要なニブル(例、左端)が抽出される(325)。この3桁の値が、前記取引用のdCVVである。他のビット数を前記二回調べられたニブル列から抽出して、取引用のdCVVを生成してもよい。さらに、異なるニブル、例えば最も右のニブルを、取引用のdCVVとして使用してもよい。ただし、前記左端の3つのニブルは、好適な実施形態を示す。
【0028】
一度生成されると、前記dCVVは前記支払デバイスからPOS端末装置に転送される支払データに埋め込まれる。前記POS端末装置によって受信されるデータは、標準の支払データとして前記POS端末装置に現れる。つまり、前記POS端末装置はdCVVが埋め込まれているかどうか、そのようなdCVVがどこに位置するかを判定することはできない。前記POS端末装置に対して、前記支払デバイスから受け取られたデータにdCVVが埋め込まれていることを示すものはない。
【0029】
図4は、前記支払デバイスから前記POS端末装置へ送信される、dCVVが埋め込まれた支払データの典型的なレコード形式を表す。図4のレコード形式は、前記支払サービスのために、失効日402およびサービスコード403を、主アカウント番号401に連結することによって作られる。好適な実施形態において、前記主アカウント番号401は16桁の長さで、前記失効日402は4桁の長さ、及び前記サービスコード403は、3桁の長さである。しかし、前記主アカウント番号401、前記失効日402および前記サービスコード403は、これらの長さに限定されない。次に他の使用のために通常確保されるフィールドにおいて、dCVVがこのレコードに埋め込まれたことを示す数値がインジケータ405として配置される。このインジケータの値は、前記支払デバイス上で前記アプリケーションを使用したサービスプロバイダによって把握される。次に、PIN検証データのために一般に確保されるフィールドに前記ATC410が配置される。最後に、前記dCVV415はレコードの右に連結される。レコードの残りは、追加の選択的データを含んでもよい。
【0030】
代替として、図5において、前記支払デバイスから前記POS端末装置に転送される、dCVVが埋め込まれた支払情報の第2の典型的な形式が示される。図5の形式は、前記支払サービス用の主アカウント番号501に、失効日502、サービスコード503、PVKI504およびPIN検証データ505のためのフィールドを、連結することによって作られる。好適な実施形態において、前記主アカウント番号501は16桁の長さ、前記失効日502は4桁の長さ、前記サービスコード503は3桁の長さ、そして、前記PVKI504は1桁の長さ、前記PIN検証データ505は4桁の長さである。しかし、前記主アカウント番号501、前記失効日502、前記サービスコード503、前記PVKI504および前記PIN検証データ505は、これらの長さに限定されるものではない。次に、単一のデータフィールド510においてそれぞれ動的に生成された前記CVV、前記ATC、および動的CVVが埋め込まれたことを識別するためにサービスプロバイダによって使用されるインジケータが順番に格納される。前記レコードの残りは、追加の選択的データを有してもよい。
【0031】
本発明の重要な観点は、動的に作られたCVVを利用するシステムによって、使用される支払サービスの信頼性を前記サービスプロバイダが判定できるようになることである。この承認ステップは、販売業者、個々のPOS端末装置、あるいは他の第三者またはデバイスに任されない。図6は、支払アプリケーションがスキミングされているかどうかの判定を行うために、前記支払デバイスで利用される支払アプリケーションの信頼性をサービスプロバイダが評価できるように、どのようにdCVVが非接触の環境において使用されるかを示す。図6では非接触の環境の実施形態で示されるが、本発明がこの種の環境に限定されるものではなく、磁気ストライプトラック1および/またはトラック2のデータがそのようなデータを送信するための任意の方法または手段を使用して交換される場合のどの取引でも使用可能である。図6に示されるように、前記支払デバイスは、好ましくは上述の方法を使用して前記dCVV601を生成する。前記dCVVは、前記支払データ605に埋め込まれる。これに関しては、図4または図5に示される典型的なレコード形式が利用されてもよい。埋め込まれたdCVVを有する支払データは、前記POS端末装置610にデータ通信によって伝送される。前記POS端末装置は、前記の受信データを支払データの標準形式で認識し、前記サービスプロバイダのコンピュータ615に通常支払ネットワーク(図示せず)を通じて前記データストリームを転送する。前記サービスプロバイダのコンピュータは、埋め込まれたdCVVを有する支払データを受信し(620)、適切なインジケータを調べて、前記取引が非接触の取引であるかどうかの判定をする(625)。前記サービスプロバイダのコンピュータが、前記取引は非接触の取引でなかったと決定した場合、前記取引はその通常の方法において処理される(630)。前記サービスプロバイダのコンピュータが、前記取引は非接触だったと決定した場合、前記サービスプロバイダのコンピュータは支払デバイスから受信したATCを前記サービスプロバイダのコンピュータに格納された対応するATCと比べ、前記受信されたATCが予期されていた次のATCであるかどうかを判定する(635)。前記支払デバイスから受信されたATCが予期される次のATCでない場合、前記支払デバイスで使用された支払サービスはスキミングされている可能性を有する(640)。予期される次のATCが受信された場合、前記サービスプロバイダのコンピュータは、上述と同じプロセスを使用して当該取引用にdCVVを個別に再生成する(645)。前記のサービスプロバイダ生成のdCVVが前記支払デバイスから受け取ったdCVVに一致する(650)場合、前記サービスプロバイダは前記の支払アプリケーションは信頼できるとみなす(655)。前記サービスプロバイダのコンピュータは、次の認証のために、前記支払デバイス660から受け取ったATCをこれまで前記サービスプロバイダのコンピュータ中に格納されていたATCと入れ替える。前記サービスプロバイダ生成のdCVVが前記支払デバイスから受信されたdCVVと一致しない場合、前記取引は不正の可能性を持つので、終了される(665)。
【0032】
図6の方法は、非接触の取引と関連して説明されたが、それに限定されるものではない。たとえば、前記方法は、特定の閾値より上の取引に関連して使用されてもよい。そのような場合、前記サービスプロバイダは、前記アプリケーションを使用する際、上記閾値より上の取引用にdCVVを生成するように前記アプリケーションを構成する。次に、ステップ625において問い合わせられるインジケータは、上記閾値より上の取引のために設定される。同様に、前記方法は他の任意の取引条件に関連して使用可能で、これには地理的位置、使用パターンまたは他の任意の条件が含まれるが、これらに限定されるものではない。
【0033】
代替の実施形態において、前記支払デバイスは、支払データをクレジットカード端末装置のようなPOS端末装置に送信する(701)。前記POS端末装置は、前記データを受信して、前記取引用に検証値を計算する(705)。前記検証値は、様々な方法で計算可能であるが、これには、前記POS端末装置によって提供される一意の取引番号、タイムスタンプ、またはタイムスタンプに追加される取引金額が含まれるが、これらに限定されるものではない。前記POS端末装置は、次に前記支払データに検証値および追加データを埋め込みおよび/または追加する(710)。前記追加データは、前記取引を検証するためにサービスプロバイダのコンピュータで必要とされる。前記POS端末装置は、次に前記サービスプロバイダのコンピュータに(おそらく支払ネットワーク(図示せず)を通じて)データストームを渡す(715)。前記サービスプロバイダのコンピュータは、前記検証値を有する支払データを受信する(720)。前記サービスプロバイダのコンピュータは、任意で、前記POS端末装置によって埋め込みまたは付随された追加データの少なくとも一部を、前記サービスプロバイダのコンピュータに保存されている対応するデータと比較し、前記の受信データが正しいかどうかを判定する(725)。前記POS端末装置からの受信データが不適当な場合、前記取引データはスキミングされた可能性がある(730)。正しいデータが受信される場合、前記サービスプロバイダのコンピュータは個別に前記POS端末装置が使用するのと、同じプロセスを利用して、該当取引のための検証値を再生成する(735)。前記サービスプロバイダ生成の検証値が前記POS端末装置から受け取った検証値と一致する場合(740)、前記サービスプロバイダは前記支払アプリケーションは信頼性があるとみなす(745)。前記サービスプロバイダのコンピュータは次に、任意で、前記サービスプロバイダのコンピュータ内に今まで保存されていた追加データを次に続く認証のために前記支払デバイスから受け取った追加データによって更新する(750)。前記サービスプロバイダ生成の検証値が前記POS端末装置から受け取った検証値と一致しない場合、前記取引は不正である可能性があるので、終了される(755)。
【0034】
前記説明は、発明の原理を図示するためだけのものであるとみなされる。更に、多くの修正と変更が当業者において容易に行われるので、本発明を図及び説明にある通りの構成に限定されるべきではない。したがって、すべての適切な修正および同等物が必要とされる場合、これらは本発明の範囲内にあるとみなされる。
【図面の簡単な説明】
【0035】
【図1】図1は、本発明で使用される暗号化データブロックを生成する方法を示す。
【図2】図2は、支払デバイスに存在するデータから、一意の派生鍵を生成する方法を示す。
【図3】図3は、本発明によるカード検証値を動的に生成するために暗号化データブロックの一部を抽出するための方法を表す。
【図4】図4は、本発明の実施形態で使用される典型的なレコード形式を表す。
【図5】図5は、本発明の実施形態で使用される他の典型的な形式を表す。
【図6】図6は、取引を認証するために動的に生成された検証値を使用した好適な方法のフローチャートである。
【図7】図7は、取引を認証するために動的に生成された検証値を使用した代替方法のフローチャートである。
【特許請求の範囲】
【請求項1】
取引で使用された支払サービスを承認するための方法であって、
前記取引に対して一意の第1の検証値を支払デバイス上で生成する工程であって、前記第1の検証値は第1のデータ値と第2のデータ値とを含むデータから派生されるものである、第1の検証値を生成する工程と、
前記第1の検証値と支払データを有する支払レコードを前記支払デバイスからPOS端末装置へ送信する工程と、
前記支払レコードを前記POS端末装置からサービスプロバイダのコンピュータに送信する工程と、
前記サービスプロバイダのコンピュータ上で第2の検証値を生成する工程であって、前記第2の検証値は前記サービスプロバイダのコンピュータ中に存在するデータからのみ生成されるものである、第2の検証値を生成する工程と、
前記第1の検証値が前記第2の検証値に一致しない場合は前記取引を不許可とする工程と、
を有することを特徴とする方法。
【請求項2】
請求項1記載の方法において、前記第1のデータ値は、前記支払サービス用の主アカウント番号を有することを特徴とする方法。
【請求項3】
請求項1記載の方法において、前記第1のデータ値は、前記支払デバイス用の一意の認識番号を有することを特徴とする方法。
【請求項4】
請求項1記載の方法において、前記第1のデータ値は、前記支払プロバイダ用の一意の認識番号を有することを特徴とする方法。
【請求項5】
請求項1記載の方法において、前記第2のデータ値は、アプリケーション取引カウンタを有することを特徴とする方法。
【請求項6】
請求項1記載の方法において、前記第2のデータ値は、暗号文を有することを特徴とする方法。
【請求項7】
請求項1記載の方法において、前記第2のデータ値は、デジタル署名を有することを特徴とする方法。
【請求項8】
請求項1記載の方法において、前記第2のデータ値は、前記支払データから派生した値を有することを特徴とする方法。
【請求項9】
請求項1記載の方法において、前記第1の検証値は、前記支払サービスを認識するためのサービスコードと前記支払サービスの失効日とを更に含むデータから派生されることを特徴とする方法。
【請求項10】
請求項1記載の方法において、前記アプリケーション取引カウンタは、各実行取引毎に任意の非0値によってインクリメントされる。
【請求項11】
請求項1記載の方法において、前記支払レコードは更にアプリケーション取引カウンタを有することを特徴とする方法。
【請求項12】
請求項11記載の方法において、前記アプリケーション取引カウンタを前記サービスプロバイダのコンピュータがアクセス可能なメモリに保存する工程を更に有することを特徴とする方法。
【請求項13】
請求項1記載の方法において、前記支払デバイスは前記支払レコードを無線通信を通じて、前記POS端末装置に送信することを特徴とする方法。
【請求項14】
取引用に検証値を動的に生成する方法であって、
前記取引で使用される支払サービス用に第1のデータ値と第2のデータ値を有するベースレコードを生成する工程と、
前記ベースレコードを第1のフィールドと第2のフィールドに分割する工程と、
第1の暗号鍵を使用して前記第1のフィールドを暗号化する工程と、
前記暗号化された第1のフィールドと前記第2のフィールドに排他的論理和演算(XOR)を実行して、第1の結果を生成する工程と、
第2の暗号鍵を使って前記第1の結果を暗号化して、第2の結果を生成する工程と、
復号鍵を使って前記第2の結果を復号化し、第3の結果を生成する工程と、
第3の暗号鍵を使って前記第3の結果を暗号化して、第4の結果を生成する工程と
前記第4の結果の最も重要な桁から最も重要でない桁まで、0から9の各値を順次抽出して、第5の結果を生成する工程と、
前記第4の結果の最も重要な桁から最も重要でない桁まで、16進法のAからFまでの各値を順次抽出し、16進法のAを差し引いて、第6の結果を生成する工程と、
前記第5の結果と前記第6の結果を連結し、第7の結果を生成する工程と、
前記第7の結果から1若しくはそれ以上の値を前記カード検証値として選択する工程と、を有することを特徴とする方法。
【請求項15】
請求項14記載の方法において、前記第1の暗号鍵、前記第2の暗号鍵、前記第3の暗号鍵は同じであることを特徴とする方法。
【請求項16】
請求項14記載の方法において、前記復号鍵は前記第1の暗号鍵と異なることを特徴とする方法。
【請求項17】
請求項14記載の方法において、前記復号鍵は前記第1の暗号鍵、前記第2の暗号鍵、及び前記第3の暗号鍵と異なることを特徴とする方法。
【請求項18】
請求項14記載の方法において、前記ベースレコードは128ビットの長さであることを特徴とする方法。
【請求項19】
請求項14記載の方法において、前記第1のデータ値は、前記支払サービス用の主アカウント番号を有することを特徴とする方法。
【請求項20】
請求項14記載の方法において、前記第1のデータ値は、前記支払デバイス用の一意の認識番号を有することを特徴とする方法。
【請求項21】
請求項14記載の方法において、前記第1のデータ値は、前記支払プロバイダ用の一意の認識番号を有することを特徴とする方法。
【請求項22】
請求項14記載の方法において、前記第2のデータ値は、アプリケーション取引カウンタを有することを特徴とする方法。
【請求項23】
請求項14記載の方法において、前記第2のデータ値は、暗号を有することを特徴とする方法。
【請求項24】
請求項14記載の方法において、前記第2のデータ値は、デジタル署名を有することを特徴とする方法。
【請求項25】
請求項14記載の方法において、前記第2のデータ値は、前記支払データから派生した値を有することを特徴とする方法。
【請求項26】
請求項14記載の方法において、前記第1の検証値は、前記支払サービスを認識するサービスコードと、前記支払サービスの失効日とを更に含むデータから派生されることを特徴とする方法。
【請求項27】
請求項14記載の方法において、前記ベースレコードは更に埋め込み文字を有し、前記ベースレコードを予め設定された長さに拡張することを特徴とする方法。
【請求項28】
請求項14記載の方法において、前記第1の暗号鍵と前記第2の暗号鍵と、前記の復号鍵と、前記第3の暗号鍵は、前記支払デバイス上に存在するデータから派生されることを特徴とする方法。
【請求項29】
取引を検証するためのシステムであって、
その中で使用される支払サービスを有する第1の電子デバイスと、
前記第1の電子デバイスと通信する第2の電子デバイスであって、この第2の電子デバイスは前記第1の電子デバイスから支払レコードを受け取り、前記支払レコードは前記支払サービス用のアカウント番号と前記第1の電子デバイス上で生成された第1の検証値とを有する、第2の電子デバイスと、
前記第2の電子デバイスと通信するサービスプロバイダシステムであって、このサービスプロバイダシステムは独立して第2の検証値を生成し、前記第1の検証値と前記第2の検証値が同一でない場合は前記取引を不許可にする、サービスプロバイダシステムと
を有することを特徴とするシステム。
【請求項30】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、ICカードであることを特徴とするシステム。
【請求項31】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、パーソナル・デジタル・アシスタントであることを特徴とするシステム。
【請求項32】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、携帯電話であることを特徴とするシステム。
【請求項33】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、
マイクロプロセッサと、
前記第2の電子デバイスとの通信手段と
を有することを特徴とするシステム。
【請求項34】
請求項29記載のシステムにおいて、前記第1の電子デバイスは高周波を通じて前記第2の電子デバイスと通信することを特徴とするシステム。
【請求項35】
請求項29記載のシステムにおいて、前記電子デバイスは赤外周波を通じて前記第2の電子デバイスと通信することを特徴とするシステム。
【請求項36】
請求項29記載のシステムにおいて、前記電子デバイスはレーザー通信を通じて前記第2の電子デバイスと通信することを特徴とするシステム。
【請求項37】
請求項29記載のシステムにおいて、前記第2の電子デバイスは
前記第1の電子デバイスとの通信手段と、
端末と、
を有することを特徴とするシステム。
【請求項38】
請求項37記載のシステムにおいて、前記第2の電子デバイスは更にハードウエア・セキュリティ鍵を有することを特徴とするシステム。
【請求項1】
取引で使用された支払サービスを承認するための方法であって、
前記取引に対して一意の第1の検証値を支払デバイス上で生成する工程であって、前記第1の検証値は第1のデータ値と第2のデータ値とを含むデータから派生されるものである、第1の検証値を生成する工程と、
前記第1の検証値と支払データを有する支払レコードを前記支払デバイスからPOS端末装置へ送信する工程と、
前記支払レコードを前記POS端末装置からサービスプロバイダのコンピュータに送信する工程と、
前記サービスプロバイダのコンピュータ上で第2の検証値を生成する工程であって、前記第2の検証値は前記サービスプロバイダのコンピュータ中に存在するデータからのみ生成されるものである、第2の検証値を生成する工程と、
前記第1の検証値が前記第2の検証値に一致しない場合は前記取引を不許可とする工程と、
を有することを特徴とする方法。
【請求項2】
請求項1記載の方法において、前記第1のデータ値は、前記支払サービス用の主アカウント番号を有することを特徴とする方法。
【請求項3】
請求項1記載の方法において、前記第1のデータ値は、前記支払デバイス用の一意の認識番号を有することを特徴とする方法。
【請求項4】
請求項1記載の方法において、前記第1のデータ値は、前記支払プロバイダ用の一意の認識番号を有することを特徴とする方法。
【請求項5】
請求項1記載の方法において、前記第2のデータ値は、アプリケーション取引カウンタを有することを特徴とする方法。
【請求項6】
請求項1記載の方法において、前記第2のデータ値は、暗号文を有することを特徴とする方法。
【請求項7】
請求項1記載の方法において、前記第2のデータ値は、デジタル署名を有することを特徴とする方法。
【請求項8】
請求項1記載の方法において、前記第2のデータ値は、前記支払データから派生した値を有することを特徴とする方法。
【請求項9】
請求項1記載の方法において、前記第1の検証値は、前記支払サービスを認識するためのサービスコードと前記支払サービスの失効日とを更に含むデータから派生されることを特徴とする方法。
【請求項10】
請求項1記載の方法において、前記アプリケーション取引カウンタは、各実行取引毎に任意の非0値によってインクリメントされる。
【請求項11】
請求項1記載の方法において、前記支払レコードは更にアプリケーション取引カウンタを有することを特徴とする方法。
【請求項12】
請求項11記載の方法において、前記アプリケーション取引カウンタを前記サービスプロバイダのコンピュータがアクセス可能なメモリに保存する工程を更に有することを特徴とする方法。
【請求項13】
請求項1記載の方法において、前記支払デバイスは前記支払レコードを無線通信を通じて、前記POS端末装置に送信することを特徴とする方法。
【請求項14】
取引用に検証値を動的に生成する方法であって、
前記取引で使用される支払サービス用に第1のデータ値と第2のデータ値を有するベースレコードを生成する工程と、
前記ベースレコードを第1のフィールドと第2のフィールドに分割する工程と、
第1の暗号鍵を使用して前記第1のフィールドを暗号化する工程と、
前記暗号化された第1のフィールドと前記第2のフィールドに排他的論理和演算(XOR)を実行して、第1の結果を生成する工程と、
第2の暗号鍵を使って前記第1の結果を暗号化して、第2の結果を生成する工程と、
復号鍵を使って前記第2の結果を復号化し、第3の結果を生成する工程と、
第3の暗号鍵を使って前記第3の結果を暗号化して、第4の結果を生成する工程と
前記第4の結果の最も重要な桁から最も重要でない桁まで、0から9の各値を順次抽出して、第5の結果を生成する工程と、
前記第4の結果の最も重要な桁から最も重要でない桁まで、16進法のAからFまでの各値を順次抽出し、16進法のAを差し引いて、第6の結果を生成する工程と、
前記第5の結果と前記第6の結果を連結し、第7の結果を生成する工程と、
前記第7の結果から1若しくはそれ以上の値を前記カード検証値として選択する工程と、を有することを特徴とする方法。
【請求項15】
請求項14記載の方法において、前記第1の暗号鍵、前記第2の暗号鍵、前記第3の暗号鍵は同じであることを特徴とする方法。
【請求項16】
請求項14記載の方法において、前記復号鍵は前記第1の暗号鍵と異なることを特徴とする方法。
【請求項17】
請求項14記載の方法において、前記復号鍵は前記第1の暗号鍵、前記第2の暗号鍵、及び前記第3の暗号鍵と異なることを特徴とする方法。
【請求項18】
請求項14記載の方法において、前記ベースレコードは128ビットの長さであることを特徴とする方法。
【請求項19】
請求項14記載の方法において、前記第1のデータ値は、前記支払サービス用の主アカウント番号を有することを特徴とする方法。
【請求項20】
請求項14記載の方法において、前記第1のデータ値は、前記支払デバイス用の一意の認識番号を有することを特徴とする方法。
【請求項21】
請求項14記載の方法において、前記第1のデータ値は、前記支払プロバイダ用の一意の認識番号を有することを特徴とする方法。
【請求項22】
請求項14記載の方法において、前記第2のデータ値は、アプリケーション取引カウンタを有することを特徴とする方法。
【請求項23】
請求項14記載の方法において、前記第2のデータ値は、暗号を有することを特徴とする方法。
【請求項24】
請求項14記載の方法において、前記第2のデータ値は、デジタル署名を有することを特徴とする方法。
【請求項25】
請求項14記載の方法において、前記第2のデータ値は、前記支払データから派生した値を有することを特徴とする方法。
【請求項26】
請求項14記載の方法において、前記第1の検証値は、前記支払サービスを認識するサービスコードと、前記支払サービスの失効日とを更に含むデータから派生されることを特徴とする方法。
【請求項27】
請求項14記載の方法において、前記ベースレコードは更に埋め込み文字を有し、前記ベースレコードを予め設定された長さに拡張することを特徴とする方法。
【請求項28】
請求項14記載の方法において、前記第1の暗号鍵と前記第2の暗号鍵と、前記の復号鍵と、前記第3の暗号鍵は、前記支払デバイス上に存在するデータから派生されることを特徴とする方法。
【請求項29】
取引を検証するためのシステムであって、
その中で使用される支払サービスを有する第1の電子デバイスと、
前記第1の電子デバイスと通信する第2の電子デバイスであって、この第2の電子デバイスは前記第1の電子デバイスから支払レコードを受け取り、前記支払レコードは前記支払サービス用のアカウント番号と前記第1の電子デバイス上で生成された第1の検証値とを有する、第2の電子デバイスと、
前記第2の電子デバイスと通信するサービスプロバイダシステムであって、このサービスプロバイダシステムは独立して第2の検証値を生成し、前記第1の検証値と前記第2の検証値が同一でない場合は前記取引を不許可にする、サービスプロバイダシステムと
を有することを特徴とするシステム。
【請求項30】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、ICカードであることを特徴とするシステム。
【請求項31】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、パーソナル・デジタル・アシスタントであることを特徴とするシステム。
【請求項32】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、携帯電話であることを特徴とするシステム。
【請求項33】
請求項29記載のシステムにおいて、前記第1の電子デバイスは、
マイクロプロセッサと、
前記第2の電子デバイスとの通信手段と
を有することを特徴とするシステム。
【請求項34】
請求項29記載のシステムにおいて、前記第1の電子デバイスは高周波を通じて前記第2の電子デバイスと通信することを特徴とするシステム。
【請求項35】
請求項29記載のシステムにおいて、前記電子デバイスは赤外周波を通じて前記第2の電子デバイスと通信することを特徴とするシステム。
【請求項36】
請求項29記載のシステムにおいて、前記電子デバイスはレーザー通信を通じて前記第2の電子デバイスと通信することを特徴とするシステム。
【請求項37】
請求項29記載のシステムにおいて、前記第2の電子デバイスは
前記第1の電子デバイスとの通信手段と、
端末と、
を有することを特徴とするシステム。
【請求項38】
請求項37記載のシステムにおいて、前記第2の電子デバイスは更にハードウエア・セキュリティ鍵を有することを特徴とするシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2007−513529(P2007−513529A)
【公表日】平成19年5月24日(2007.5.24)
【国際特許分類】
【出願番号】特願2006−524010(P2006−524010)
【出願日】平成16年8月18日(2004.8.18)
【国際出願番号】PCT/US2004/026813
【国際公開番号】WO2005/020012
【国際公開日】平成17年3月3日(2005.3.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(505468864)ビザ インターナショナル サービス アソシエーション (2)
【Fターム(参考)】
【公表日】平成19年5月24日(2007.5.24)
【国際特許分類】
【出願日】平成16年8月18日(2004.8.18)
【国際出願番号】PCT/US2004/026813
【国際公開番号】WO2005/020012
【国際公開日】平成17年3月3日(2005.3.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(505468864)ビザ インターナショナル サービス アソシエーション (2)
【Fターム(参考)】
[ Back to top ]