公开了用加密来保护与交易相关联的数据的系统和方法。在访问设备处,可用从该访问设备的初始密钥导出的第一密钥加密与支付账户相关联的PIN,并且可用从该初始密钥导出的第二密钥加密与该支付账户相关联的敏感数据。在与主机服务器相关联的安全模块处,可解密授权请求消息的经加密的敏感数据。与该主机服务器相关联的该安全模块可使用与支付处理网络相关联的区域加密密钥来重新加密该敏感数据。包括该经重新加密的敏感数据的经转换的授权请求消息可被商户服务器传输到该支付处理网络。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】公开了用加密来保护与交易相关联的数据的系统和方法。在访问设备处,可用从该访问设备的初始密钥导出的第一密钥加密与支付账户相关联的PIN,并且可用从该初始密钥导出的第二密钥加密与该支付账户相关联的敏感数据。在与主机服务器相关联的安全模块处,可解密授权请求消息的经加密的敏感数据。与该主机服务器相关联的该安全模块可使用与支付处理网络相关联的区域加密密钥来重新加密该敏感数据。包括该经重新加密的敏感数据的经转换的授权请求消息可被商户服务器传输到该支付处理网络。【专利说明】用转换进行数据保护 相关申请的交叉引用 本申请涉及2012年1月5日提交的美国临时申请号61/583,550(代理人案号: 79900-819288),其全部内容通过引用以全部目的结合于此。本申请还涉及2012年3月6日 提交的美国临时申请号61/607, 546 (代理人案号:79900-829470),其全部内容通过引用以 全部目的结合于此。本申请还涉及2012年9月21日提交的美国临时申请号61/704, 428 (代 理人案号:79900-851259),其全部内容通过引用以全部目的结合于此。 专利技术背景 可通过多项措施诸如数据加密在具有基于硬件的安全控件的设备内保护金融账 户数据不受未授权访问影响。然而,现有的安全措施诸如加密个人标识号(PIN)可使得敏 感数据诸如主账号(PAN)曝光。现有的用于保护敏感数据的解决方案可要求应用不同于那 些用于加密PIN数据的密钥管理方案,增加了为金融数据提供安全的商户的负担。 商户可通过将所有交易路由到用于支付处理的单个目的地来保护金融账户数据。 然而,当路由对交易的授权请求时,商户可能够在多个可用的支付处理网络之间选择支付 处理网络。上述可能需要提供基于授权请求消息的路由目的地对授权请求消息中的信息进 行解密并且对信息进行重新加密。某些支付处理网络可缺少对敏感数据的加密解决方案。 商户可希望使用由第一支付处理网络提供的加密措施同时继续能够将授权请求路由到可 替代的支付处理网络。 在此描述的实施例解决了这些和其他问题。 专利技术简要概述 多种技术提供当在包括多个支付处理网络选项的环境中路由对交易的授权请求 时保护敏感数据。 在一个实施例中,描述了一种方法。该方法包括由访问设备加密个人标识号 (PIN)。PIN加密使用基于初始密钥的第一加密密钥变体。该访问设备使用基于该初始密钥 的第二加密密钥变体对敏感数据进行加密。包括经加密的PIN和经加密的敏感数据的授权 请求消息被传输到主机服务器。 在另一个示例中,一种方法包括在主机服务器接收授权请求消息。通信地连接到 主机服务器的安全模块解密该经加密敏感数据。该安全模块使用与该第一支付处理网络相 关联的第一敏感数据区域加密密钥重新加密该经解密敏感数据。包括该经重新加密的敏感 数据的第一经转换授权请求消息可由主机服务器传输到该第一支付处理网络。在另一个实 施例中,在该主机服务器接收的该授权请求消息包括PIN。该安全模块解密该经加密的PIN 并且用与该第一支付处理网络相关联的第一 PIN区域加密密钥重新加密该经解密的PIN。 该第一经转换授权请求消息包括该经重新加密的PIN。在附加实施例中,该安全模块被配置 成用于将第二经转换授权请求消息传输到第二支付处理网络。第二PIN区域加密密钥用于 为该第二经转换授权请求消息重新加密PIN并且第二敏感数据区域加密密钥用于为该第 二授权请求消息重新加密敏感数据。 本技术的另一个实施例涉及一种系统。该系统包括处理器以及耦合到该处理器的 计算机可读介质。该计算机可读介质包括代码,该代码可由该处理器执行以实现包括由访 问设备加密个人标识号(PIN)的方法。PIN加密使用基于初始密钥的第一加密密钥变体。该 访问设备使用基于该初始密钥的第二加密密钥变体对敏感数据进行加密。包括经加密PIN 和经加密敏感数据的授权请求消息被传输到主机服务器。 本技术的另一个实施例涉及一种系统。该系统包括处理器以及耦合到该处理器的 计算机可读介质。该计算机可读介质包括代码,该代码可由该处理器执行以实现包括在主 机服务器接收授权请求消息的方法。该授权请求消息包括经加密的敏感数据。通信地连接 到主机服务器的安全模块解密该经加密敏感数据。该安全模块使用与该第一支付处理网络 相关联的第一敏感数据区域加密密钥重新加密该经解密敏感数据。包括该经重新加密的敏 感数据的第一经转换授权请求消息可由主机服务器传输到该第一支付处理网络。 在另一个实施例中,一种方法包括接收与个人账户标识符(PAI)相关联的数据。 访问设备可加密该PAI。该经加密的PAI可具有与PAI相同的格式。该经加密的PAI被写 入授权请求消息的字段。该授权请求消息的该字段是被指定为接收PAI的字段。将授权请 求消息数据元素用作信号以便标识在该授权请求消息中存在该经加密的PAI。该访问设备 传输该授权请求消息。 以下更详细描述这些以及其他实施例。 附图简要说明 图1示出可在其中实现本技术的实施例的示例性系统。 图2示出在访问设备和商户主机加密PIN和敏感数据的说明性流程图。 图3是在主机转换敏感数据的说明性流程图。 图4是在主机转换PIN和敏感数据的说明性流程图。 图5是表格,示出支付设备的轨迹I的结构和内容的说明性规范。 图6是表格,示出支付设备的轨迹II的结构和内容的说明性规范。 图7是流程图,示出根据实施例的格式保留加密的实现方式。 图8是流程图,示出解释数据从而确定是否已经应用格式保留加密。 图9描绘计算机系统的说明性高级框图。 专利技术详细描述 在此公开的实施例涉及用于保护授权请求消息中的金融数据的技术。可参照以下 提供的说明理解用于描述此处的实施例的术语。 "授权请求消息"可以是对交易进行授权的请求。授权请求消息可被发送给支付账 户的发布者以便请求授权用该支付账户进行的交易。商户可生成授权请求消息。授权请求 消息可经由捕获器被传输给发布者。 授权请求消息可具有定义格式以便促进金融网络内的点之间的请求和响应。例 如,授权请求消息可以是标准交换消息,诸如符合国际标准化组织(ISO)8583的消息,其是 用于交换电子交易的系统的标准。IS08583消息可包括消息类型指示符、指示该消息内存 在的数据元素的一个或多个位图、以及该消息的数据元素。包括在授权请求消息内的数据 可包括从支付设备获得的数据以及与交易、支付账户持有人、以及商户相关的其他数据。例 如,授权请求消息可包括个人标识号(PIN)、以及敏感数据,诸如主账号(PAN)、持卡人姓 名、以及自由选择数据。附加地,授权请求消息可包括支付设备有效期、货币代码、交易量、 商户交易戳、接受者城市、接受者国籍/国家、银行代码、终端标识、网络标识等等。可使用 加密来保护授权请求消息,以便防止数据受损。 授权请求消息可包括支付账户标识符。授权请求消息可与便携式消费者设备相关 联,诸如信用卡或借记卡。例如,支付账户标识符可以是主账号(PAN)。PAN可以是唯一支 付卡号,诸如与信用卡相关联的信用卡账号或者与借记卡相关联的借记账号。PAN可识别发 布者以及持卡人账户。当在此使用术语PAN时,将理解到可使用任何支付账户标识符。 个人标识号(PIN)可以是在本文档来自技高网...
【技术保护点】
一种方法,包括:由访问设备接收个人标识号(PIN)和敏感数据;由所述访问设备对所述PIN进行加密,其中,PIN加密使用基于初始密钥的第一加密密钥变体;由所述访问设备对所述敏感数据进行加密,其中,敏感数据加密使用基于所述初始密钥的第二加密密钥变体;以及向主机服务器传输包括经加密的PIN和经加密的敏感数据的授权请求消息。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:G·鲍威尔,J·F·希茨,P·泰特,K·R·瓦格纳,K·P·考甘蒂,M·珀尔,H·罗德里格斯,S·兹洛斯,
申请(专利权)人:维萨国际服务协会,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。