本發(fā)明涉及支付終端共享,并且例如,涉及配置支付終端以變成可用作由多個(gè)操作員共享的支付終端的方法,被布置為配置支付終端以便以這種方式可用的計(jì)算機(jī)化的控制實(shí)體系統(tǒng),被布置為配置支付終端以便以這種方式可用的計(jì)算機(jī)化的控制實(shí)體系統(tǒng),以及被配置為以這種方式可用的支付終端。
背景技術(shù):
銷(xiāo)售商處的無(wú)現(xiàn)金支付能夠借助于支付卡(例如,信用卡)在支付終端處執(zhí)行。支付終端典型地使得兼容支付卡行業(yè)(PCI)的點(diǎn)對(duì)點(diǎn)交易能夠執(zhí)行。這種支付終端例如也在機(jī)場(chǎng)使用,以用于在售票柜臺(tái)處購(gòu)買(mǎi)機(jī)票,并且也用于例如登機(jī)口處的最后一刻購(gòu)買(mǎi)。
技術(shù)實(shí)現(xiàn)要素:
提供一種將支付終端配置為使用支付終端的不同操作員之間的密碼隔離而變成可用作由多個(gè)操作員共享的支付終端的方法。支付終端被布置為與至少一個(gè)支付提供者通信以執(zhí)行支付交易。支付終端與以操作員可供選擇(operator-selective)的方式控制支付終端的使用的控制實(shí)體相關(guān)聯(lián)。支付終端具有存儲(chǔ)在其中的終端專(zhuān)用訪問(wèn)密鑰以及具有終端識(shí)別號(hào)。該方法包括將由終端專(zhuān)用訪問(wèn)密鑰加密的操作員和終端專(zhuān)用傳送密鑰提供給支付終端。在支付終端處使用所存儲(chǔ)的終端專(zhuān)用訪問(wèn)密鑰對(duì)經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰進(jìn)行解密。由支付提供者使用終端識(shí)別號(hào)或者支付終端的另外的識(shí)別號(hào)從操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰中推導(dǎo)出操作員和終端專(zhuān)用初始加密密鑰。使用操作員和終端專(zhuān)用傳送密鑰對(duì)操作員和終端專(zhuān)用初始加密密鑰進(jìn)行對(duì)稱(chēng)加密。將經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰傳輸?shù)街Ц督K端。在支付終端處使用經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰對(duì)經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰進(jìn)行解密。當(dāng)與支付終端執(zhí)行交易時(shí),在支付提供者和支付終端這兩者處,使用與該交易相關(guān)聯(lián)的交易專(zhuān)用號(hào)從操作員和終端專(zhuān)用初始加密密鑰中推導(dǎo)出操作員和交易專(zhuān)用加密密鑰。
根據(jù)另一方面,提供一種計(jì)算機(jī)化的控制實(shí)體系統(tǒng),該系統(tǒng)被布置為將支付終端配置為使用支付終端的不同操作員之間的密碼隔離而可用作由多個(gè)操作員共享的支付終端。存儲(chǔ)器可以是非易失性存儲(chǔ)器。支付終端具有終端識(shí)別號(hào)。控制實(shí)體系統(tǒng)被布置為通過(guò)使用終端識(shí)別號(hào)從操作員專(zhuān)用主傳送密鑰中推導(dǎo)出操作員和終端專(zhuān)用傳送密鑰。控制實(shí)體系統(tǒng)還被布置為使用終端專(zhuān)用訪問(wèn)密鑰對(duì)操作員和終端專(zhuān)用傳送密鑰進(jìn)行對(duì)稱(chēng)加密,以及將經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰傳輸?shù)街Ц督K端。
根據(jù)另一方面,提供一種計(jì)算機(jī)化的支付提供者系統(tǒng),該系統(tǒng)被布置為將支付終端配置為使用支付終端的不同操作員之間的密碼隔離而可用作由多個(gè)操作員共享的支付終端。存儲(chǔ)器可以是非易失性存儲(chǔ)器。支付終端具有終端識(shí)別號(hào)。支付提供者系統(tǒng)被布置為通過(guò)使用終端識(shí)別號(hào)從操作員專(zhuān)用主傳送密鑰中推導(dǎo)出操作員和終端專(zhuān)用傳送密鑰,以及通過(guò)使用終端識(shí)別號(hào)或者支付終端的另外的識(shí)別號(hào)從操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰中推導(dǎo)出操作員和終端專(zhuān)用初始加密密鑰。支付提供者系統(tǒng)被布置為將操作員專(zhuān)用主傳送密鑰以機(jī)密性保證的方式傳輸?shù)娇刂茖?shí)體,其中支付終端與控制實(shí)體相關(guān)聯(lián),或者可選地,將操作員和終端專(zhuān)用傳送密鑰以機(jī)密性保證的方式傳輸?shù)娇刂茖?shí)體。支付提供者系統(tǒng)還被布置為使用操作員和終端專(zhuān)用傳送密鑰對(duì)操作員和終端專(zhuān)用初始加密密鑰進(jìn)行對(duì)稱(chēng)加密,以及將經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰傳輸?shù)街Ц督K端,以及當(dāng)與支付終端執(zhí)行交易時(shí),使用與該交易相關(guān)聯(lián)的交易專(zhuān)用識(shí)別號(hào)從操作員和終端專(zhuān)用初始加密密鑰中推導(dǎo)出操作員和交易專(zhuān)用加密密鑰。
根據(jù)再另一方面,提供一種支付終端,該支付終端被編程為使用支付終端的不同操作員之間的密碼隔離而可用作由多個(gè)操作員共享的支付終端,并且被布置為與操作員或者至少一個(gè)支付提供者通信以執(zhí)行支付交易,以及被布置為與以操作員可供選擇的方式控制支付終端的使用的控制實(shí)體相關(guān)聯(lián)。支付終端包括至少一個(gè)防篡改安全性模塊,防篡改安全性模塊被布置為存儲(chǔ)終端專(zhuān)用訪問(wèn)密鑰以使得支付終端的使用能夠由控制實(shí)體以操作員可供選擇的方式進(jìn)行控制。
其他特征在公開(kāi)的方法和系統(tǒng)中是固有的,或者將從下面的對(duì)示例的描述及其附隨附圖中變得對(duì)本領(lǐng)域技術(shù)人員清楚。
一般描述,及本發(fā)明可選實(shí)施例的一般描述
所公開(kāi)的方法用于將支付終端(例如信用卡讀取器)配置為使用支付終端的不同操作員之間的密碼隔離而變成可用作由多個(gè)操作員共享的支付終端。這種操作員是例如執(zhí)行航班值機(jī)的航空公司。
密碼隔離允許由使用操作員專(zhuān)用加密密鑰而確保安全的不同操作員(例如,登機(jī)口處的不同航空公司)對(duì)同一支付終端的使用(亦即,傳輸支付交易),由此保證操作員專(zhuān)用隱私,就好像這些操作員中的每一個(gè)都是使用該支付終端的唯一操作員。
支付終端被布置為與至少一個(gè)支付提供者通信以執(zhí)行支付交易。支付提供者例如可以是支付網(wǎng)關(guān)、信用卡公司(信用卡公司也稱(chēng)作“交換機(jī)”)或者收單機(jī)構(gòu)。支付網(wǎng)關(guān)可以將交易與各種信用卡公司捆綁。
支付終端與以操作員可供選擇的方式控制支付終端的使用的控制實(shí)體相關(guān)聯(lián)??刂茖?shí)體是例如委任用于機(jī)場(chǎng)的支付終端的機(jī)場(chǎng)所有者。管理機(jī)場(chǎng)的機(jī)場(chǎng)公司可以從制造商訂購(gòu)支付終端,以將支付終端分發(fā)遍及值機(jī)臺(tái)、登機(jī)口、自助服務(wù)終端(kiosk)等。
控制實(shí)體通過(guò)使用終端專(zhuān)用訪問(wèn)密鑰向不同操作員授予使用,這允許控制實(shí)體管理支付終端的每個(gè)單獨(dú)操作員的訪問(wèn)授權(quán)。也就是說(shuō),由操作員合同約定的支付提供者(亦即,操作員的收單機(jī)構(gòu))的授權(quán)能夠由控制實(shí)體以這種方式進(jìn)行控制。更具體地,通過(guò)向支付終端提供由終端專(zhuān)用訪問(wèn)密鑰加密的操作員和終端專(zhuān)用傳送密鑰,來(lái)建立對(duì)操作員的授權(quán)。
在一些示例中,操作員和終端專(zhuān)用傳送密鑰在由終端專(zhuān)用訪問(wèn)密鑰解密之后,使用密鑰控制值(KCV)進(jìn)行驗(yàn)證,KCV也連同經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰一起傳輸。KCV是例如將“單向函數(shù)”應(yīng)用于待驗(yàn)證的操作員和終端專(zhuān)用傳送密鑰的結(jié)果?!皢蜗蚝瘮?shù)”是實(shí)際上不能夠逆向的函數(shù);即不會(huì)使得應(yīng)該被驗(yàn)證的輸入數(shù)據(jù)能夠從單向函數(shù)應(yīng)用于輸入數(shù)據(jù)的結(jié)果中重構(gòu)的函數(shù)。單向函數(shù)的示例是散列函數(shù)。為了驗(yàn)證操作員和終端專(zhuān)用傳送密鑰,將單向函數(shù)(例如,散列函數(shù))應(yīng)用于經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰,并且將該應(yīng)用的結(jié)果與所傳輸?shù)腒CV進(jìn)行比較。如果結(jié)果與KCV一致(例如,如果它與KCV相同),那么認(rèn)為操作員和終端專(zhuān)用傳送密鑰是有效的操作員和終端專(zhuān)用傳送密鑰。
在其他示例(不使用根據(jù)KCV的驗(yàn)證)中,經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰的有效性在隨后的支付交易期間變得明顯。如果未由正確的終端專(zhuān)用訪問(wèn)密鑰進(jìn)行加密的位序列(亦即,(假定的)操作員和終端專(zhuān)用傳送密鑰)被傳輸?shù)街Ц督K端,那么由使用所存儲(chǔ)的終端專(zhuān)用訪問(wèn)密鑰進(jìn)行解密而產(chǎn)生的經(jīng)解密的位序列(亦即,(假定的)操作員和終端專(zhuān)用傳送密鑰)將不是正確的操作員和終端專(zhuān)用傳送密鑰。因此,從這個(gè)不正確的操作員和終端專(zhuān)用傳送密鑰中推導(dǎo)出的所有密鑰也將是不正確的。因此,在隨后的支付交易中,由支付終端做出的、由那些推導(dǎo)出的不正確的密鑰進(jìn)行加密的通信(例如,用戶或者持卡者授權(quán)請(qǐng)求)將不會(huì)包含任何有用的信息,并且因此將失敗。
支付終端具有終端識(shí)別號(hào)(亦即,給定長(zhǎng)度的字母數(shù)字字符串),并且具有存儲(chǔ)在支付終端中(例如存儲(chǔ)在只讀存儲(chǔ)器(ROM)中)的終端專(zhuān)用訪問(wèn)密鑰。
向支付終端提供由終端專(zhuān)用訪問(wèn)密鑰加密的操作員和終端專(zhuān)用傳送密鑰的過(guò)程可以以各種作為替代的方法執(zhí)行,下面由“A1”、“A2”和“A3”表示。這些替代方案的描述的開(kāi)始和結(jié)束由“(開(kāi)始A1)”、“(結(jié)束A1)”、“(開(kāi)始A2)”等標(biāo)記。
(開(kāi)始A1)在一些實(shí)施例中,操作員專(zhuān)用主傳送密鑰以機(jī)密性保證的方式從至少一個(gè)支付提供者傳輸?shù)娇刂茖?shí)體。
該操作員專(zhuān)用主傳送密鑰是每個(gè)操作員和控制實(shí)體唯一的。它例如在支付提供者的防篡改安全性模塊(TRSM)中安全地生成,并且然后以機(jī)密性保證的方式傳遞至控制實(shí)體??刂茖?shí)體將該操作員專(zhuān)用主傳送密鑰存儲(chǔ)在例如另一個(gè)防篡改安全性模塊(TRSM)中。
在支付提供者端和控制實(shí)體端這二者處(例如,在各自的TRSM中),使用終端識(shí)別號(hào)從操作員專(zhuān)用主傳送密鑰中推導(dǎo)出操作員和終端專(zhuān)用傳送密鑰,終端識(shí)別號(hào)是例如支付終端的序列號(hào)。
使用終端專(zhuān)用訪問(wèn)密鑰對(duì)由控制實(shí)體推導(dǎo)出的操作員和終端專(zhuān)用傳送密鑰進(jìn)行對(duì)稱(chēng)加密,并且然后將經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰傳輸?shù)街Ц督K端。(結(jié)束A1)
(開(kāi)始A2)在作為替代的實(shí)施例中,每個(gè)操作員和控制實(shí)體唯一的操作員專(zhuān)用主傳送密鑰例如在支付提供者的防篡改安全性模塊(TRSM)中安全地生成。
在支付提供者端處(例如,在TRSM中),使用終端識(shí)別號(hào)從操作員專(zhuān)用主傳送密鑰中推導(dǎo)出操作員和終端專(zhuān)用傳送密鑰,并且將操作員和終端專(zhuān)用傳送密鑰以機(jī)密性保證的方式傳輸?shù)娇刂茖?shí)體。
由控制實(shí)體使用終端專(zhuān)用訪問(wèn)密鑰對(duì)操作員和終端專(zhuān)用傳送密鑰進(jìn)行對(duì)稱(chēng)加密,并且然后將經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰傳輸?shù)街Ц督K端。(結(jié)束A2)
(開(kāi)始A3)在其他作為替代的實(shí)施例中,通過(guò)將由終端專(zhuān)用訪問(wèn)密鑰對(duì)稱(chēng)加密的操作員和終端專(zhuān)用傳送密鑰手動(dòng)地輸入到支付終端中,將操作員和終端專(zhuān)用傳送密鑰提供給支付終端。
該手動(dòng)輸入可以是與支付終端的手動(dòng)交互,例如,導(dǎo)航通過(guò)支付終端的引導(dǎo)菜單并且以二進(jìn)制編碼的十進(jìn)制(BCD)格式輸入用終端專(zhuān)用訪問(wèn)密鑰加密的操作員和終端專(zhuān)用傳送密鑰。作為替代,手動(dòng)輸入可以是將可移除存儲(chǔ)設(shè)備(例如,USB閃存驅(qū)動(dòng)器或者存儲(chǔ)卡)插入到支付終端中。(結(jié)束A3)
在所有這些替代方案(A1、A2、A3)中,控制實(shí)體能夠使用操作員和終端專(zhuān)用傳送密鑰以操作員可供選擇的方式控制支付終端的使用,因?yàn)槿绻c該支付提供者相關(guān)聯(lián)的操作員發(fā)起支付交易,那么該密鑰用于支付提供者與支付終端之間的隨后的通信的解密。
在一些實(shí)施例中,控制實(shí)體也能夠通過(guò)撤回或者擦掉操作員和終端專(zhuān)用傳送密鑰來(lái)以操作員可供選擇的方式控制支付終端的使用??刂茖?shí)體可以刪除支付終端中與某個(gè)操作員相關(guān)聯(lián)的操作員和終端專(zhuān)用傳送密鑰以及操作員和終端專(zhuān)用初始加密密鑰。例如,可以通過(guò)對(duì)支付終端的遠(yuǎn)程訪問(wèn)或者通過(guò)與支付終端的手動(dòng)交互來(lái)刪除討論中的操作員的操作員和終端專(zhuān)用傳送密鑰以及操作員和終端專(zhuān)用初始加密密鑰。
在一些實(shí)施例中,在支付終端處,本地不能夠防止例如由控制實(shí)體通過(guò)對(duì)支付終端的遠(yuǎn)程訪問(wèn)擦掉操作員和終端專(zhuān)用傳送密鑰以及操作員和終端專(zhuān)用初始加密密鑰。在這些實(shí)施例中,支付終端以及使用支付終端的操作員不能夠阻止控制實(shí)體遠(yuǎn)程地擦掉操作員和終端專(zhuān)用傳送密鑰以及操作員和終端專(zhuān)用初始加密密鑰,這是因?yàn)榭刂茖?shí)體具有終端專(zhuān)用訪問(wèn)密鑰,終端專(zhuān)用訪問(wèn)密鑰授予控制實(shí)體用管理員權(quán)限訪問(wèn)支付終端。
理論上,在這種密鑰擦掉之后,討論中的使用支付終端的操作員仍然可以與支付提供者交換數(shù)據(jù),但是在沒(méi)有解密形式的正確的操作員和終端專(zhuān)用初始加密密鑰的情況下,與對(duì)應(yīng)支付提供者的通信不能被正確地解密,并且因此將是無(wú)意義的。此外,在沒(méi)有操作員和終端專(zhuān)用傳送密鑰的情況下,即使支付提供者重新發(fā)送了操作員和終端專(zhuān)用初始加密密鑰,支付終端也不能對(duì)操作員和終端專(zhuān)用初始加密密鑰進(jìn)行解密。
因此,在一些實(shí)施例中,控制實(shí)體不僅能夠通過(guò)提供操作員和終端專(zhuān)用傳送密鑰來(lái)以操作員可供選擇的方式積極地控制支付終端的使用,而且能夠通過(guò)從支付終端中撤回討論中的操作員的操作員和終端專(zhuān)用初始加密密鑰以及操作員和終端專(zhuān)用傳送密鑰來(lái)以操作員可供選擇的方式消極地控制支付終端的使用。
作為替代,在一些實(shí)施例中,可以通過(guò)與支付終端物理地交互在本地刪除操作員和終端專(zhuān)用初始加密密鑰以及操作員和終端專(zhuān)用傳送密鑰。例如,密鑰可以由人經(jīng)由支付終端的用戶接口手動(dòng)地刪除。
一方面,因?yàn)椴淮嬖诠芾斫?jīng)驗(yàn)證的公開(kāi)密鑰的分發(fā)所必需的獨(dú)立證書(shū)授權(quán)(CA),所以操作員和終端專(zhuān)用傳送密鑰的對(duì)稱(chēng)加密的使用允許比例如非對(duì)稱(chēng)加密更為簡(jiǎn)單的密鑰管理。另一方面,因?yàn)椤肮蚕淼拿孛堋痹趥鬏數(shù)膬啥颂幫茖?dǎo),并且如上所述,可以使用KCV等進(jìn)行驗(yàn)證,所以從安全性角度,對(duì)稱(chēng)密鑰的傳輸是可接受的。此外,用于傳輸?shù)街Ц督K端的隨后的密鑰的加密和解密的初始密碼密鑰以機(jī)密性保證的方式(例如,在位于終端提供者的制造設(shè)施處的安全房間內(nèi))供給到支付終端中。
上面提及的安全性模塊可以是具有使得成功的篡改困難并且不太可能的物理特性的存儲(chǔ)設(shè)備。篡改可以包括滲透而不使安全參數(shù)歸零、TRSM的內(nèi)部操作的未授權(quán)修改,或者確定、記錄或者修改秘密數(shù)據(jù)的竊聽(tīng)(tapping)機(jī)制或者非介入偷聽(tīng)(eavesdropping)方法的插入。
如上所述,在支付終端處使用所存儲(chǔ)的終端專(zhuān)用訪問(wèn)密鑰對(duì)經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰進(jìn)行解密。
在一些示例中,經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰在接收時(shí)在支付終端處使用終端專(zhuān)用訪問(wèn)密鑰進(jìn)行解密,并且經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰存儲(chǔ)在支付終端的安全存儲(chǔ)裝置(諸如TRSM)中。
在作為替代的示例中,接收到的經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰首先以它的加密形式存儲(chǔ)在支付終端中,并且只“即時(shí)(on thefly)”(亦即,只有當(dāng)需要操作員和終端專(zhuān)用傳送密鑰的經(jīng)解密版本需要用于經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰的解密以與支付終端執(zhí)行例如支付交易的交易時(shí))在支付終端處使用終端專(zhuān)用訪問(wèn)密鑰隨后進(jìn)行解密。
控制實(shí)體可以使用對(duì)應(yīng)的操作員和終端專(zhuān)用傳送密鑰將支付終端的使用授予操作員,這是因?yàn)樵撁荑€用于對(duì)支付終端與支付提供者之間的隨后的通信進(jìn)行解密,其中支付提供者與和該支付終端執(zhí)行交易的操作員相關(guān)聯(lián)。
由支付提供者使用終端識(shí)別號(hào)或者支付終端的另外的識(shí)別號(hào)從操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰中推導(dǎo)出操作員和終端專(zhuān)用初始加密密鑰。
操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰例如可以是每個(gè)操作員和支付提供者唯一的,并且在支付提供者的TRSM中安全地生成,并且在正常的情況下,絕不離開(kāi)該安全環(huán)境。操作員和終端專(zhuān)用初始加密密鑰是每個(gè)支付終端唯一的,并且例如在支付提供者的TRSM中通過(guò)使用基于支付終端的終端識(shí)別號(hào)的推導(dǎo)數(shù)據(jù)從操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰中推導(dǎo)而生成。
使用操作員和終端專(zhuān)用傳送密鑰對(duì)操作員和終端專(zhuān)用初始加密密鑰進(jìn)行對(duì)稱(chēng)加密。將該密鑰的經(jīng)加密版本傳輸?shù)街Ц督K端。使用先前存儲(chǔ)的操作員和終端專(zhuān)用傳送密鑰在支付終端處對(duì)在支付終端處接收到的經(jīng)加密版本進(jìn)行解密。
在一些示例中,操作員和終端專(zhuān)用初始加密密鑰的經(jīng)解密版本存儲(chǔ)在支付終端的安全存儲(chǔ)裝置中,例如支付終端的TRSM中。
在一些示例中,經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰在接收或者輸入時(shí)在支付終端處使用操作員和終端專(zhuān)用傳送密鑰進(jìn)行解密,并且經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰存儲(chǔ)在支付終端的安全存儲(chǔ)裝置(例如TRSM)中。
傳輸經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰、對(duì)經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰進(jìn)行解密、以及將經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰存儲(chǔ)在支付終端中的過(guò)程能夠認(rèn)為是將操作員和終端專(zhuān)用初始加密密鑰供給(或者,形象地說(shuō),“注入”)到支付終端中的過(guò)程。
在作為替代的示例中,接收到的經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰在接收或者輸入時(shí)首先以它的加密形式存儲(chǔ)在支付終端中,并且只有當(dāng)需要經(jīng)解密的終端專(zhuān)用初始加密密鑰用于使用經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰獲得操作員和交易專(zhuān)用加密密鑰以與支付終端執(zhí)行交易(例如支付交易)時(shí),才使用操作員和終端專(zhuān)用傳送密鑰在支付終端處隨后進(jìn)行解密。
在該作為替代的示例中,操作員和終端專(zhuān)用初始加密密鑰仍然以加密形式存儲(chǔ)在支付終端中非安全存儲(chǔ)器(例如,TRSM外部的普通存儲(chǔ)器)中,并且只有當(dāng)需要時(shí)才進(jìn)行解密,亦即,它被“即時(shí)解密”。在該作為替代的示例中,操作員和終端專(zhuān)用初始加密密鑰的安全性由加密來(lái)提供,而不是通過(guò)將它以未加密形式存儲(chǔ)在諸如TRSM這樣的安全存儲(chǔ)器中來(lái)提供。在該作為替代的示例中,操作員和終端專(zhuān)用初始加密密鑰到支付終端中的供給(或者“注入”)過(guò)程可以在經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰到支付終端的傳輸、以及它仍然以加密形式在支付終端中的存儲(chǔ)中被看到。該密鑰的隨后的“即時(shí)”解密可以看作推導(dǎo)操作員和交易專(zhuān)用加密密鑰的隨后活動(dòng)的部分。
當(dāng)與支付終端執(zhí)行交易時(shí),在支付提供者端和支付終端這二者處,使用與該交易相關(guān)聯(lián)的交易專(zhuān)用號(hào)從操作員和終端專(zhuān)用初始加密密鑰中推導(dǎo)出操作員和交易專(zhuān)用加密密鑰。當(dāng)例如借助于插入到支付終端中的支付卡(諸如信用卡)進(jìn)行非現(xiàn)金支付,例如用于機(jī)場(chǎng)的售票柜臺(tái)的機(jī)票購(gòu)買(mǎi)、或者用于例如機(jī)場(chǎng)的登機(jī)口處的最后一刻購(gòu)買(mǎi)時(shí),將執(zhí)行這種交易。
在一些實(shí)施例中,操作員和交易專(zhuān)用加密密鑰是用于對(duì)在與使用不同操作員之間的密碼隔離的支付終端的交易期間傳輸?shù)臄?shù)據(jù)進(jìn)行加密的密鑰。所述的其他密鑰在準(zhǔn)備步驟中使用,以通過(guò)設(shè)置支付終端(亦即,用于配置支付終端,使得支付終端使用不同操作員之間的密碼隔離而變成可用作由多個(gè)操作員共享的支付終端)使得能夠進(jìn)行該被隔離的加密通信。
在其他示例中,操作員和交易專(zhuān)用加密密鑰不直接用于對(duì)交易數(shù)據(jù)進(jìn)行加密,而是用于進(jìn)一步密鑰推導(dǎo)的基礎(chǔ)。從操作員和交易專(zhuān)用加密密鑰中推導(dǎo)出的一個(gè)或多個(gè)密鑰然后用于對(duì)在與使用密碼隔離的支付終端的交易期間傳輸?shù)臄?shù)據(jù)進(jìn)行加密。
在一些實(shí)施例中,支付終端由至少兩個(gè)操作員共享。這至少兩個(gè)操作員中的每一個(gè)具有分配給它的單獨(dú)的操作員和終端專(zhuān)用初始加密密鑰以及單獨(dú)的操作員和終端專(zhuān)用傳送密鑰。這些單獨(dú)的密鑰彼此不同,亦即,該至少兩個(gè)操作員和終端專(zhuān)用初始加密密鑰彼此不同,該至少兩個(gè)操作員和終端專(zhuān)用傳送密鑰也是如此。
在一些實(shí)施例中,分配給至少兩個(gè)操作員的單獨(dú)的操作員和終端專(zhuān)用初始加密密鑰以及單獨(dú)的操作員和終端專(zhuān)用傳送密鑰并行地為每個(gè)操作員存儲(chǔ)在支付終端中,亦即,這些單獨(dú)的密鑰同時(shí)保存在支付終端中,使得支付終端處于它容易地可由至少兩個(gè)操作員中的任一個(gè)操作員以密碼隔離的方式使用的配置狀態(tài)中。支付終端例如具有所有這些不同的操作員和終端專(zhuān)用初始加密密鑰都存儲(chǔ)在其中的TRSM。因此,與當(dāng)前操作支付終端的操作員相關(guān)聯(lián)的正確的操作員和終端專(zhuān)用初始加密密鑰可以從支付終端的TRSM中取回并且可以加載到它的操作系統(tǒng)中。由此,如果交易由當(dāng)前操作支付終端的操作員發(fā)起,那么正確的操作員和終端專(zhuān)用初始加密密鑰容易地可用。
在一些示例中,“至少一個(gè)支付提供者”是單個(gè)支付網(wǎng)關(guān)提供者,它例如證實(shí)航空公司支付、打擊欺詐行為并且能夠進(jìn)行資金收集。支付網(wǎng)關(guān)提供者可以允許航空公司經(jīng)由對(duì)預(yù)訂和/或支付數(shù)據(jù)的各種檢查保護(hù)收入。單個(gè)支付網(wǎng)關(guān)提供者可以提供到多個(gè)信用卡公司、銀行等的接口,并且因此能夠看作支付終端的操作員與各種信用卡公司、銀行等之間的中介者,并且捆綁與各種信用卡公司、銀行等的通信。因此,在支付交易中,支付終端的操作員通過(guò)單個(gè)支付網(wǎng)關(guān)提供者與各種信用卡公司、銀行等僅間接地交易。
在其他示例中,“至少一個(gè)支付提供者”是多個(gè)支付提供者中的一個(gè),例如,結(jié)算與支付終端的操作員的支付的信用卡公司。在這些其他示例中,支付終端的操作員與各種信用卡公司、銀行等直接地交互,而沒(méi)有關(guān)于單個(gè)支付網(wǎng)關(guān)提供者的情況而提及的捆綁效果。
在一些示例中,終端專(zhuān)用訪問(wèn)密鑰、操作員專(zhuān)用主傳送密鑰、操作員和終端專(zhuān)用傳送密鑰、操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰、操作員和終端專(zhuān)用初始加密密鑰以及操作員和交易專(zhuān)用加密密鑰中的至少一個(gè)是對(duì)稱(chēng)加密密鑰。在一些示例中,這些密鑰中的一些或者全部是對(duì)稱(chēng)加密密鑰。
在該上下文中的對(duì)稱(chēng)加密密鑰代表相同的密碼密鑰用于明文的加密和密文的解密這兩者。加密密鑰和解密密鑰可以是相同的或者在它們之間可以存在簡(jiǎn)單的變換,如例如在國(guó)際數(shù)據(jù)加密算法(IDEA)中那樣。實(shí)踐中,密鑰代表兩方或多方之間的、可以用來(lái)維護(hù)私有信息鏈路的共享秘密。
在這些示例中的一些中,對(duì)稱(chēng)加密密鑰的至少一個(gè)、一些或者全部是根據(jù)三重?cái)?shù)據(jù)加密算法(TDEA)的三重密鑰,三重?cái)?shù)據(jù)加密算法對(duì)每個(gè)數(shù)據(jù)塊應(yīng)用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)密文算法三次。
DES是塊密文并且以64位的塊對(duì)數(shù)據(jù)進(jìn)行加密。64位的明文塊輸入到算法中,并且輸出64位的密文塊。DES是對(duì)稱(chēng)的:原則上,相同的算法和密鑰用于加密和解密(除了密鑰編排中的細(xì)微差別)這兩者。更具體地,DES使用密鑰長(zhǎng)度為56位的密鑰。密鑰通常表示為64位的數(shù),但是每八位被用于奇偶校驗(yàn)并且被忽略。在最簡(jiǎn)單的級(jí)別,算法是兩種基礎(chǔ)加密技術(shù)的組合:置亂(confusion)和擴(kuò)散(diffusion)。DES的基本構(gòu)建塊是這些技術(shù)的組合,亦即,在文本上基于密鑰的替換(substitution)緊接著置換(permutation)。這稱(chēng)為回合。DES具有16回合并且因此將技術(shù)的相同組合應(yīng)用到明文塊16次。算法在最多64位的數(shù)上使用標(biāo)準(zhǔn)算術(shù)和邏輯運(yùn)算。
三重DES(3DES)使用包括三個(gè)DES密鑰K1、K2和K3的“密鑰捆綁”,每個(gè)DES密鑰為56位(不包括奇偶位)。過(guò)程如下:使用K1進(jìn)行DES加密,使用K2進(jìn)行DES解密,然后使用K3進(jìn)行DES加密。解密是相反的,亦即,使用K3進(jìn)行解密,使用K2進(jìn)行加密,然后使用K1進(jìn)行解密。每個(gè)三重加密對(duì)數(shù)據(jù)的一個(gè)64位的塊進(jìn)行加密。
3DES標(biāo)準(zhǔn)定義三個(gè)密鑰選項(xiàng):(i)所有三個(gè)密鑰是獨(dú)立的,(ii)K1和K2是獨(dú)立的,并且K3=K1,以及(iii)所有三個(gè)密鑰是相同的,亦即K1=K2=K3。密鑰選項(xiàng)1最強(qiáng),具有3×56=168個(gè)獨(dú)立的密鑰位。每個(gè)DES密鑰名義上作為8個(gè)字節(jié)存儲(chǔ)或者傳輸,每個(gè)進(jìn)行奇校驗(yàn)。所以,對(duì)于密鑰選項(xiàng)(i)、(ii)或者(iii)而言,密鑰捆綁分別需要24、16或者8個(gè)字節(jié)。
在一些示例中,支付終端被布置為提供至少兩種使用模式,直接使用模式和委托使用模式,在直接使用模式中,交易數(shù)據(jù)在支付終端與操作員中的一個(gè)之間進(jìn)行交換,并且在委托使用模式中,交易數(shù)據(jù)在支付終端與至少一個(gè)支付提供者之間進(jìn)行交換。支付終端根據(jù)使用模式到多個(gè)操作員(4)中的操作員的分配而預(yù)先配置。例如,考慮操作員A、B、C、D、E,直接使用模式可以分配給操作員A、B、D,并且委托使用模式可以分配給操作員C和E;并且支付終端根據(jù)該分配而預(yù)先配置。當(dāng)多個(gè)操作員中的操作員中的一個(gè)(例如,操作員A或者操作員C)開(kāi)始使用支付終端(以例如執(zhí)行交易)時(shí),由支付終端自動(dòng)地選擇分配給該操作員的使用模式(亦即,在該示例中分別為直接使用模式和委托使用模式),并且支付終端使用所選擇的使用模式(亦即,在該示例中分別為直接使用模式和委托使用模式)來(lái)執(zhí)行交易。
所述的方法到目前為止從支付終端具有存儲(chǔ)在其中的終端專(zhuān)用訪問(wèn)密鑰的狀態(tài)開(kāi)始。存在如何獲得并且存儲(chǔ)終端專(zhuān)用訪問(wèn)密鑰的各種選項(xiàng)。在一些可選示例中,使用終端識(shí)別號(hào)(例如支付終端序列號(hào))或者支付終端的另外的識(shí)別號(hào)(例如為每個(gè)單獨(dú)的支付終端而生成的隨機(jī)數(shù))從控制實(shí)體專(zhuān)用主訪問(wèn)密鑰中推導(dǎo)出由控制實(shí)體用于對(duì)稱(chēng)加密的終端專(zhuān)用訪問(wèn)密鑰??刂茖?shí)體專(zhuān)用主訪問(wèn)密鑰對(duì)于每個(gè)控制實(shí)體和支付終端制造商可以是唯一的。控制實(shí)體專(zhuān)用主訪問(wèn)密鑰在控制實(shí)體的TRSM中安全地生成,并且可選地以機(jī)密性保證的方式傳輸?shù)街圃焐?亦即終端提供者),并且可選地在那里存儲(chǔ)在另一個(gè)TRSM中。
在一些示例中,終端專(zhuān)用訪問(wèn)密鑰在由終端提供者(例如支付終端的制造商)以機(jī)密性保證的方式傳輸?shù)街Ц督K端之后,存儲(chǔ)在支付終端中。在支付終端被遞送到控制實(shí)體之前,終端專(zhuān)用訪問(wèn)密鑰可以在終端提供者處(亦即在終端提供者的制造設(shè)施處)的安全房間中加載到支付終端中。
在一些示例中,由終端提供者通過(guò)使用終端識(shí)別號(hào)或者支付終端的另外的識(shí)別號(hào)從控制實(shí)體專(zhuān)用主訪問(wèn)密鑰中推導(dǎo)出終端專(zhuān)用訪問(wèn)密鑰。終端提供者例如從控制實(shí)體專(zhuān)用主訪問(wèn)密鑰存儲(chǔ)在其上的TRSM中取回控制實(shí)體專(zhuān)用主訪問(wèn)密鑰。
終端提供者然后可以使用該支付終端的終端識(shí)別號(hào)在控制實(shí)體專(zhuān)用主訪問(wèn)密鑰上執(zhí)行推導(dǎo)操作。例如,可以使用密文塊鏈。在ISO9797-1中描述的密文塊鏈(CBC)算法使用16字節(jié)(雙倍長(zhǎng)度密鑰的長(zhǎng)度)推導(dǎo)數(shù)據(jù)。該推導(dǎo)可以由后八個(gè)字節(jié)(右部)和前八個(gè)字節(jié)(左部)構(gòu)成,后八個(gè)字節(jié)為在左側(cè)使用二進(jìn)制0填充的二進(jìn)制編碼的十進(jìn)制(BCD)的終端識(shí)別號(hào),前八個(gè)字節(jié)為在8字節(jié)上填充的二進(jìn)制編碼的十進(jìn)制(BCD)的終端識(shí)別號(hào)與[FF FF FF FF FF FF FF FF]進(jìn)行XOR運(yùn)算的結(jié)果。在該上下文中,F(xiàn)代表最高十六進(jìn)制值并且XOR代表“異或”,“異或”是無(wú)論何時(shí)兩個(gè)輸入不同則輸出真(亦即,1為真,其他為假)的邏輯運(yùn)算。
例如,123456789的終端識(shí)別號(hào)產(chǎn)生[00 00 00 01 23 45 67 89]的右部和[00 00 00 01 23 45 67 89]XOR[FF FF FF FF FF FF FF FF]=[FF FF FF FE DC BA 98 76]的左部。這產(chǎn)生[FF FF FF FE DC BA 98 76 00 00 00 01 23 45 67 89]的推導(dǎo)數(shù)據(jù)塊,用于控制實(shí)體專(zhuān)用主訪問(wèn)密鑰得出終端專(zhuān)用訪問(wèn)密鑰的推導(dǎo)。
一旦密鑰已經(jīng)供給(或者“注入”)到支付終端中,支付終端就可以被遞送并且安裝到所有者的場(chǎng)所中。
在一些示例中,控制實(shí)體專(zhuān)用主訪問(wèn)密鑰由控制實(shí)體以機(jī)密性保證的方式傳輸?shù)浇K端提供者。控制實(shí)體例如生成控制實(shí)體專(zhuān)用主訪問(wèn)密鑰,該密鑰既用于在控制實(shí)體端處推導(dǎo)出終端專(zhuān)用訪問(wèn)密鑰并且也用于由終端提供者將終端專(zhuān)用訪問(wèn)密鑰植入到支付終端中。
在一些示例中,對(duì)任意數(shù)量的操作員和/或支付提供者的授權(quán)以及由此這些操作員和/或支付提供者對(duì)支付終端的使用可以被動(dòng)態(tài)地添加,而沒(méi)有對(duì)支付終端的物理干預(yù)。換言之,這些操作員和/或支付提供者對(duì)支付終端的使用能夠由控制實(shí)體遠(yuǎn)程地授予,而沒(méi)有與支付終端的物理接觸。
因?yàn)椴僮鲉T和終端專(zhuān)用傳送密鑰由支付提供者例如通過(guò)傳輸從其中推導(dǎo)出單獨(dú)的操作員和終端專(zhuān)用傳送密鑰的主密鑰,或者通過(guò)傳輸操作員和終端專(zhuān)用傳送密鑰本身來(lái)確定,所以不同操作員對(duì)支付終端的使用不局限于預(yù)先定義的最大不同用戶數(shù)量。
僅終端專(zhuān)用訪問(wèn)密鑰預(yù)先安裝在支付終端中,由不同操作員執(zhí)行的支付交易所需要的所有其他密鑰是在隨后的經(jīng)加密的傳輸中提供給支付終端的。這些傳輸使用終端專(zhuān)用訪問(wèn)密鑰進(jìn)行加密或者使用從已經(jīng)接收到的密鑰中推導(dǎo)出的密鑰進(jìn)行加密。
在一些示例中,操作員專(zhuān)用主傳送密鑰從支付提供者傳輸?shù)娇刂茖?shí)體的機(jī)密性保證方式是非對(duì)稱(chēng)加密密鑰算法。通常,正在發(fā)送的通信不應(yīng)當(dāng)在中轉(zhuǎn)期間可讀(保持機(jī)密性)并且該通信不應(yīng)當(dāng)在中轉(zhuǎn)期間可修改(保持通信的完整性)。將公開(kāi)密鑰密碼和包絡(luò)公開(kāi)密鑰加密(EPKE)方法組合,允許經(jīng)由開(kāi)放聯(lián)網(wǎng)環(huán)境的相對(duì)安全的通信。在公開(kāi)密鑰密碼中,使用非對(duì)稱(chēng)密鑰算法,其中用來(lái)對(duì)消息進(jìn)行加密的密鑰與用來(lái)對(duì)消息進(jìn)行解密的密鑰不同。每個(gè)用戶具有一對(duì)密碼密鑰-公開(kāi)加密密鑰和私有解密密鑰。密鑰在數(shù)學(xué)上是有關(guān)的,但是選擇參數(shù)使得從公開(kāi)密鑰中計(jì)算私有密鑰是不可能的或者非常昂貴的。
在一些實(shí)施例中,支付終端與控制實(shí)體之間的通信以及支付終端與支付提供者之間的通信彼此獨(dú)立。在初始設(shè)置階段之后(亦即,在將操作員和終端專(zhuān)用傳送密鑰從控制實(shí)體分發(fā)到支付終端之后),與支付終端進(jìn)行的交易例如在支付終端與支付提供者之間直接處理,由此規(guī)避控制實(shí)體。另一方面,初始設(shè)置階段可以由控制實(shí)體處理,而不包括支付提供者。因此,操作員和終端專(zhuān)用傳送密鑰以及操作員和終端專(zhuān)用初始加密密鑰由支付終端經(jīng)由不同的通信通道接收。當(dāng)操作員和終端專(zhuān)用傳送密鑰經(jīng)由第一通信通道從控制實(shí)體接收而不涉及支付提供者時(shí),操作員和終端專(zhuān)用初始加密密鑰經(jīng)由第二通信通道從支付提供者接收而不涉及控制實(shí)體。
因此,在控制實(shí)體與多個(gè)支付提供者之間也存在密碼隔離。支付提供者在用于特定操作員的操作員和終端專(zhuān)用傳送密鑰到支付終端中的注入中不涉及,并且不需要知道(或者將不會(huì)知道)終端專(zhuān)用訪問(wèn)密鑰,終端專(zhuān)用訪問(wèn)密鑰用來(lái)將操作員和終端專(zhuān)用傳送密鑰注入到支付終端中。另一方面,控制實(shí)體在操作員和終端專(zhuān)用初始加密密鑰從支付提供者到用于特定操作員的支付終端的傳輸中不涉及,而是操作員和終端專(zhuān)用初始加密密鑰可以從支付提供者直接傳輸?shù)街Ц督K端,而不經(jīng)過(guò)控制實(shí)體。因此,控制實(shí)體不需要知道(并且將不會(huì)知道)操作員和終端專(zhuān)用初始加密密鑰。在支付交易中交換的數(shù)據(jù)可以在使用支付終端的操作員與支付提供者之間直接傳輸,而不經(jīng)過(guò)控制實(shí)體。因?yàn)樵谥Ц督灰字性谑褂弥Ц督K端的操作員與支付提供者之間交換的數(shù)據(jù)借助于從操作員和終端專(zhuān)用初始加密密鑰中密碼學(xué)地推導(dǎo)出的密鑰進(jìn)行加密,所以控制實(shí)體不能得到支付交易數(shù)據(jù)的明文(即使它們經(jīng)由控制實(shí)體傳輸)。因此,由于控制實(shí)體與多個(gè)支付提供者之間的密碼隔離,雖然控制實(shí)體能夠控制使用支付終端的操作員是否可以與支付提供者通信,但是在支付交易中交換的通信的內(nèi)容不可由控制實(shí)體訪問(wèn)。
在一些實(shí)施例中,支付終端裝備有(例如,微控制器的形式的)嵌入式計(jì)算機(jī)系統(tǒng)。嵌入式計(jì)算機(jī)系統(tǒng)具有非易失性只讀存儲(chǔ)器。支付終端的支付終端配置功能和支付交易功能由存儲(chǔ)在只讀存儲(chǔ)器中的至少一個(gè)計(jì)算機(jī)程序?qū)崿F(xiàn)并且可由處理器執(zhí)行。存儲(chǔ)在這種嵌入式系統(tǒng)的只讀存儲(chǔ)器中的操作系統(tǒng)和應(yīng)用軟件典型地稱(chēng)作“固件”。在一些實(shí)施例中,存儲(chǔ)所述至少一個(gè)計(jì)算機(jī)程序的只讀存儲(chǔ)器是電可擦除可編程只讀存儲(chǔ)器(EEPROM)。
在一些實(shí)施例中,支付終端的只讀存儲(chǔ)器是閃存EEPROM。閃存EEPROM的擦除電路可以由大塊單元(例如,512×8)共享。在其他實(shí)施例中,支付終端的只讀存儲(chǔ)器是非閃存EEPROM。非閃存EEPROM例如是字節(jié)可編程的EEPROM,它允許單獨(dú)的字節(jié)被擦除和重新編程。
閃存EEPROM例如可以是NAND閃存EEPROM或者NOR閃存EEPROM。名稱(chēng)“NOR”和“NAND”指存儲(chǔ)單元之間互連的結(jié)構(gòu)。在NOR閃存EEPROM中,單元與位線并行連接,允許單元被單獨(dú)地讀取和編程。單元的并行連接類(lèi)似CMOS NOR門(mén)中的晶體管的并行連接。在NAND閃存EEPROM中,單元串行連接,類(lèi)似NAND門(mén)。
在使用EEPROM(閃存或者非閃存EEPROM)的一些實(shí)施例中,EEPROM只可以使用編程電壓和/或擦除電壓(負(fù)和/或正)重新編程,編程和/或擦除電壓具有比只讀存儲(chǔ)器的讀取操作的平常電壓大的絕對(duì)值。在這些實(shí)施例中的一些中,支付終端不提供這種編程或者擦除電壓,使得支付設(shè)備不可由用戶(例如操作員)重新編程。
所公開(kāi)的計(jì)算機(jī)化的控制實(shí)體被布置為將具有終端識(shí)別號(hào)的支付終端配置為使用支付終端的不同操作員之間的密碼隔離而可用作由多個(gè)操作員共享的支付終端。
控制實(shí)體系統(tǒng)可以被布置為通過(guò)使用終端識(shí)別號(hào)從操作員專(zhuān)用主傳送密鑰中推導(dǎo)出操作員和終端專(zhuān)用傳送密鑰。
控制實(shí)體系統(tǒng)可以被布置為使用終端專(zhuān)用訪問(wèn)密鑰對(duì)操作員和終端專(zhuān)用傳送密鑰進(jìn)行對(duì)稱(chēng)加密并且將經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰傳輸?shù)街Ц督K端。
在一些示例中,計(jì)算機(jī)化的控制實(shí)體系統(tǒng)被布置為根據(jù)上面提及的示例的中任何示例或所有示例配置支付終端。
所公開(kāi)的計(jì)算機(jī)化的支付提供者系統(tǒng)被布置為將具有終端識(shí)別號(hào)的支付終端配置為使用支付終端的不同操作員之間的密碼隔離而可用作由多個(gè)操作員共享的支付終端。
支付提供者系統(tǒng)可以通過(guò)使用終端識(shí)別號(hào)從操作員專(zhuān)用主傳送密鑰中推導(dǎo)出操作員和終端專(zhuān)用傳送密鑰,并且可以也通過(guò)使用終端識(shí)別號(hào)或者通過(guò)使用支付終端的另外的識(shí)別號(hào),從操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰中推導(dǎo)出操作員和終端專(zhuān)用初始加密密鑰。
支付提供者系統(tǒng)被布置為將操作員專(zhuān)用主傳送密鑰以機(jī)密性保證的方式傳輸?shù)娇刂茖?shí)體,其中支付終端與控制實(shí)體相關(guān)聯(lián)。作為替代,支付提供者系統(tǒng)被布置為將操作員和終端專(zhuān)用傳送密鑰以機(jī)密性保證的方式傳輸?shù)娇刂茖?shí)體。
支付提供者系統(tǒng)可以使用操作員和終端專(zhuān)用傳送密鑰對(duì)操作員和終端專(zhuān)用初始加密密鑰進(jìn)行對(duì)稱(chēng)加密,并且可以通過(guò)將經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰傳輸?shù)街Ц督K端,將操作員和終端專(zhuān)用初始加密密鑰供給到支付終端中。
當(dāng)與支付終端執(zhí)行交易時(shí),支付提供者系統(tǒng)可以使用與交易相關(guān)聯(lián)的交易專(zhuān)用號(hào)從操作員和終端專(zhuān)用初始加密密鑰中推導(dǎo)出操作員和交易專(zhuān)用加密密鑰。
在一些示例中,計(jì)算機(jī)化的支付提供者系統(tǒng)被布置為根據(jù)上面提及的示例中的任何示例或者全部示例配置支付終端。
所公開(kāi)的支付終端被編程為使用支付終端的不同操作員之間的密碼隔離而可用作由多個(gè)操作員共享的支付終端。支付終端被布置為與至少一個(gè)支付提供者通信以執(zhí)行支付交易,并且被布置為與以操作員可供選擇的方式控制支付終端的使用的控制實(shí)體相關(guān)聯(lián)。
支付終端可以具有用于密鑰管理的至少一個(gè)防篡改安全性模塊(TRSM)。如上面提及的,至少一個(gè)TRSM例如具有使得成功篡改存儲(chǔ)在其中的信息困難并且不太可能的物理特性,例如,如在ANSI X9.24-1-2009(Retail Financial Services Symmetric Key Management Part 1:Using Symmetric Techniques)中定義的那樣。這種物理特性可以包括例如密碼密鑰存儲(chǔ)在其上的存儲(chǔ)器,該存儲(chǔ)器在與空氣接觸時(shí)氧化(亦即,自毀)以使得任何存儲(chǔ)的密碼密鑰不可讀取。
支付終端的防篡改安全性模塊被布置為在TRSM中存儲(chǔ)并且管理一個(gè)或多個(gè)密碼密鑰(即至少終端專(zhuān)用訪問(wèn)密鑰),以使得支付終端的使用能夠由控制實(shí)體以操作員可供選擇的方式進(jìn)行控制。
在一些示例中,至少一個(gè)操作員和終端專(zhuān)用傳送密鑰和/或至少一個(gè)經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰可以在接收或者輸入時(shí)在支付終端處進(jìn)行解密。至少一個(gè)操作員和終端專(zhuān)用傳送密鑰和/或至少一個(gè)操作員和終端專(zhuān)用初始加密密鑰也可以在安全存儲(chǔ)器(例如TRSM)中存儲(chǔ)和管理。安全存儲(chǔ)的經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰和/或安全存儲(chǔ)的經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰然后容易地可用于經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰的解密和/或用于獲得操作員和交易專(zhuān)用加密密鑰。
操作員和交易專(zhuān)用加密密鑰,或者從它推導(dǎo)出的密鑰,然后可以用于例如對(duì)在由操作員與支付終端執(zhí)行的交易期間交換的所有數(shù)據(jù)或者敏感數(shù)據(jù)進(jìn)行加密。
在操作員和終端專(zhuān)用傳送密鑰和/或操作員和終端專(zhuān)用初始加密密鑰的經(jīng)解密版本沒(méi)有存儲(chǔ)在支付終端的安全存儲(chǔ)裝置(例如,支付終端的TRSM)中的其他示例中,經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰和/或經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰能夠存儲(chǔ)在普通(非安全)存儲(chǔ)器中,并且只有當(dāng)需要用于經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰的解密和/或用于獲得操作員和交易專(zhuān)用加密密鑰以與支付終端執(zhí)行交易(例如支付交易)時(shí),才“即時(shí)”進(jìn)行解密。
在一些示例中,根據(jù)上面提及的示例中的任何或者全部示例配置支付終端。
附圖說(shuō)明
現(xiàn)在也參考附隨附圖描述本發(fā)明的示例性實(shí)施例,其中
圖1例示總結(jié)密碼密鑰生成、推導(dǎo)以及在不同支付交易角色之間的交換的圖(劃分成圖1a和1b),
圖2例示生成從基礎(chǔ)密鑰中推導(dǎo)出的新密鑰的示例性密鑰推導(dǎo)算法,
圖3a例示圖1中所示的不同支付交易角色之間的功能關(guān)系,
圖3b在與圖3a類(lèi)似的表示中,例示支付終端由特定操作員的使用的終止,
圖3c例示通過(guò)從支付終端中遠(yuǎn)程擦掉密碼密鑰的使用終止,
圖4例示用于經(jīng)加密的數(shù)據(jù)傳輸?shù)拿荑€交換,
圖5例示用于支付卡的示例性支付終端,
圖6例示圖5中所示的支付終端的防篡改安全性模塊,
圖7例示根據(jù)在這里描述的控制實(shí)體系統(tǒng)和支付提供者系統(tǒng),被配置為配置支付終端的示例性計(jì)算機(jī)系統(tǒng),
圖8例示支付終端中的嵌入式計(jì)算機(jī)系統(tǒng)。
附圖以及附圖的描述是本發(fā)明的示例而不是發(fā)明本身。
具體實(shí)施方式
在由圖1a和1b例示的示例性實(shí)施例中,示出支付提供者2(例如航空公司的收單機(jī)構(gòu))、控制實(shí)體3(例如機(jī)場(chǎng)所有者)、支付終端制造商(亦即終端提供者5)以及支付終端1之間的密鑰交換。
彎曲的箭頭指示通過(guò)使用支付終端1的終端識(shí)別號(hào)44或者正在進(jìn)行的交易26的交易專(zhuān)用號(hào)27進(jìn)行推導(dǎo)?;诮K端識(shí)別號(hào)44的密鑰推導(dǎo)指示為S1、S3、S5、S7和S10?;诮灰讓?zhuān)用號(hào)27的密鑰推導(dǎo)指示為S13和S14。線點(diǎn)箭頭指示對(duì)稱(chēng)加密S8和S11,而點(diǎn)狀箭頭指示例如通過(guò)信使(courier)的安全傳輸S2、S4和S6。圍繞密鑰的線點(diǎn)方框指示所發(fā)送的這些密鑰的副本。
控制實(shí)體3生成控制實(shí)體專(zhuān)用主訪問(wèn)密鑰K1并且將控制實(shí)體專(zhuān)用主訪問(wèn)密鑰K1安全地傳輸S2到制造用于控制實(shí)體3的支付終端1的終端提供者5。終端提供者5存儲(chǔ)該密鑰,如它對(duì)與終端提供者5做生意的所有其他控制實(shí)體的密鑰做的那樣。該控制實(shí)體專(zhuān)用主訪問(wèn)密鑰K1對(duì)于每個(gè)控制實(shí)體到終端提供者關(guān)系(亦即,商業(yè)合同)是唯一的。
終端提供者5基于控制實(shí)體專(zhuān)用主訪問(wèn)密鑰K1以及支付終端1的識(shí)別號(hào)44推導(dǎo)出S3用于每個(gè)支付終端1的終端專(zhuān)用訪問(wèn)密鑰K2。支付終端1的未來(lái)所有者(亦即控制實(shí)體3)可以以相同的方法推導(dǎo)出S1單獨(dú)的終端專(zhuān)用訪問(wèn)密鑰K2,因?yàn)榻K端提供者5和控制實(shí)體3這兩者共享相同的密鑰推導(dǎo)算法(參看圖2)。終端專(zhuān)用訪問(wèn)密鑰K2在終端提供者的生產(chǎn)設(shè)施處的安全房間中植入S4到對(duì)應(yīng)的支付終端1中。
終端專(zhuān)用訪問(wèn)密鑰K2到支付終端1中的植入的上述方法是可選的。用于終端專(zhuān)用訪問(wèn)密鑰植入的各種作為替代的方法也被覆蓋。
支付提供者2生成操作員專(zhuān)用主傳送密鑰K3,并且例如借助于非對(duì)稱(chēng)加密算法或者由經(jīng)認(rèn)證的信使將操作員專(zhuān)用主傳送密鑰K3安全地傳輸S6到控制實(shí)體3。該操作員專(zhuān)用主傳送密鑰K3對(duì)于每個(gè)控制實(shí)體到操作員關(guān)系(亦即商業(yè)合同)是唯一的。
控制實(shí)體3從操作員專(zhuān)用主傳送密鑰K3以及支付終端1的終端識(shí)別號(hào)44中推導(dǎo)出S7操作員和終端專(zhuān)用傳送密鑰K4。支付提供者2可以以相同的方法推導(dǎo)出S5單獨(dú)的操作員和終端專(zhuān)用傳送密鑰K4,因?yàn)橹Ц短峁┱?和控制實(shí)體3這兩者共享相同的密鑰推導(dǎo)算法(參看圖2)。
控制實(shí)體3在將操作員和終端專(zhuān)用傳送密鑰K4傳輸?shù)綄?duì)應(yīng)的支付終端1之前,使用對(duì)應(yīng)的終端專(zhuān)用訪問(wèn)密鑰K2對(duì)單獨(dú)的操作員和終端專(zhuān)用傳送密鑰K4進(jìn)行加密S8。控制實(shí)體3將操作員和終端專(zhuān)用傳送密鑰K4傳輸S9到對(duì)應(yīng)的支付終端1。換言之,每個(gè)操作員和終端專(zhuān)用傳送密鑰K4由與相同終端識(shí)別號(hào)44相對(duì)應(yīng)的單獨(dú)的終端專(zhuān)用訪問(wèn)密鑰K2進(jìn)行加密S8,并且只能在對(duì)應(yīng)的支付終端1中進(jìn)行解密,對(duì)應(yīng)的支付終端1已經(jīng)加載S4有相同的終端專(zhuān)用訪問(wèn)密鑰K2。在一些實(shí)施例中,操作員和終端專(zhuān)用傳送密鑰K4在接收時(shí)在支付終端1處使用對(duì)應(yīng)的終端專(zhuān)用訪問(wèn)密鑰K2進(jìn)行解密,并且經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰K4例如以安全的方式存儲(chǔ)在支付終端1中,例如在防篡改安全性模塊(TRSM)45(圖6,圖8)中。
在作為替代的實(shí)施例中,操作員和終端專(zhuān)用傳送密鑰K4在接收時(shí)不進(jìn)行解密,而是仍然以加密形式存儲(chǔ)在支付終端1中,并且只有當(dāng)需要時(shí)才進(jìn)行解密,亦即,它被“即時(shí)解密”。在該作為替代的實(shí)施例中,操作員和終端專(zhuān)用傳送密鑰K4的安全性通過(guò)將它保持為加密來(lái)提供,而不是通過(guò)將它以未加密形式存儲(chǔ)在諸如TRSM 45這樣的安全存儲(chǔ)裝置中來(lái)提供。因此,在該作為替代的實(shí)施例中,操作員和終端專(zhuān)用傳送密鑰K4可以可選地存儲(chǔ)在非安全存儲(chǔ)器(例如TRSM 45外部的普通存儲(chǔ)器(例如,ROM))中。
支付提供者2生成對(duì)于每個(gè)操作員到支付提供者關(guān)系(亦即商業(yè)合同)是唯一的操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰K5。支付提供者2從操作員專(zhuān)用基礎(chǔ)推導(dǎo)密鑰K5以及支付終端1的終端識(shí)別號(hào)44中推導(dǎo)出S10用于每個(gè)支付終端1的單獨(dú)的操作員和終端專(zhuān)用初始加密密鑰K6。
支付提供者2在將操作員和終端專(zhuān)用初始加密密鑰K6傳輸?shù)綄?duì)應(yīng)的支付終端1之前,使用對(duì)應(yīng)的操作員和終端專(zhuān)用傳送密鑰K4對(duì)單獨(dú)的操作員和終端專(zhuān)用初始加密密鑰K6進(jìn)行加密S11。支付提供者2將經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰K6傳輸S12到對(duì)應(yīng)的支付終端1。換言之,每個(gè)操作員和終端專(zhuān)用初始加密密鑰K6由與相同的終端識(shí)別號(hào)6相對(duì)應(yīng)的單獨(dú)的操作員和終端專(zhuān)用傳送密鑰K4進(jìn)行加密S11,并且只能在對(duì)應(yīng)的支付終端1中進(jìn)行解密,對(duì)應(yīng)的支付終端1已經(jīng)在S9'中被供給有相應(yīng)的操作員和終端專(zhuān)用傳送密鑰K4。在一些實(shí)施例中,操作員和終端專(zhuān)用初始加密密鑰K6在接收時(shí)在支付終端1處使用對(duì)應(yīng)的操作員和終端專(zhuān)用傳送密鑰K4進(jìn)行解密,并且經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰K6例如以安全的方式存儲(chǔ)在支付終端1中,例如在防篡改安全性模塊(TRSM)45(圖6,圖8)中。
在作為替代的實(shí)施例中,操作員和終端專(zhuān)用初始加密密鑰K6在接收時(shí)不進(jìn)行解密,而是仍然以加密形式存儲(chǔ)在支付終端1中,并且只有當(dāng)需要時(shí)才進(jìn)行解密,亦即,它被“即時(shí)解密”。在該作為替代的實(shí)施例中,操作員和終端專(zhuān)用初始加密密鑰K6的安全性通過(guò)將它保持為加密來(lái)提供,而不是通過(guò)將它以未加密形式存儲(chǔ)在諸如TRSM45這樣的安全存儲(chǔ)裝置中來(lái)提供。因此,在該作為替代的實(shí)施例中,操作員和終端專(zhuān)用初始加密密鑰K6可以可選地存儲(chǔ)在非安全存儲(chǔ)器(例如TRSM 45外部的普通存儲(chǔ)器(例如,ROM))中。
支付終端1從操作員和終端專(zhuān)用初始加密密鑰K6以及正在進(jìn)行的交易26的交易專(zhuān)用號(hào)27中推導(dǎo)出S14操作員和交易專(zhuān)用加密密鑰K7。支付提供者2可以以相同的方法推導(dǎo)出S13單獨(dú)的操作員和交易專(zhuān)用加密密鑰K7,因?yàn)橹Ц督K端1和支付提供者2這兩者共享相同的密鑰推導(dǎo)算法(參看圖2)。
操作員和交易專(zhuān)用加密密鑰K7是用于推導(dǎo)出在交易26期間在支付終端1與支付提供者2之間的經(jīng)加密的數(shù)據(jù)的傳輸S17(例如貨幣劃撥操作、授權(quán)請(qǐng)求等)中使用的例如PIN加密密鑰、敏感數(shù)據(jù)加密密鑰以及MAC簽名密鑰的基礎(chǔ)。
作為替代,在其他實(shí)施例中,操作員和交易專(zhuān)用加密密鑰K7可以直接地用于對(duì)在交易26期間在由操作員4使用的支付終端1與支付提供者2之間交換的數(shù)據(jù)進(jìn)行加密。由此,在經(jīng)加密的數(shù)據(jù)在由操作員4使用的支付終端1與支付提供者2之間傳輸S17期間,敏感數(shù)據(jù)由操作員和交易專(zhuān)用加密密鑰K7進(jìn)行加密。
示例性密鑰推導(dǎo)算法即上述密文塊鏈(CBC)算法在圖2中示出。具有n個(gè)基礎(chǔ)密鑰塊10、11、12的基礎(chǔ)密鑰用來(lái)創(chuàng)建新密鑰,新密鑰基于基礎(chǔ)密鑰和推導(dǎo)數(shù)據(jù)15,并且具有n個(gè)推導(dǎo)出的密鑰塊18、19和20。該推導(dǎo)數(shù)據(jù)15可以是基于終端識(shí)別號(hào)44或者交易專(zhuān)用號(hào)27的十六進(jìn)制數(shù),具有對(duì)應(yīng)于基礎(chǔ)密鑰(例如雙倍密鑰長(zhǎng)度)的長(zhǎng)度。
通過(guò)使用塊密文加密16對(duì)所有基礎(chǔ)密鑰塊10、11至12進(jìn)行加密,從基礎(chǔ)密鑰中生成(亦即推導(dǎo)出)新密鑰,塊密文加密16具有給定的密文塊大小。加密是順序的,并且基礎(chǔ)密鑰被填充到密文塊大小的多倍大小。
第一基礎(chǔ)密鑰塊10被與初始化矢量(IV)13進(jìn)行XOR運(yùn)算14,亦即與初始化矢量(IV)13求和模二。在沒(méi)有該初始化矢量13的情況下,相同第一塊的每個(gè)隨后的推導(dǎo)將產(chǎn)生相同的推導(dǎo)出的塊。
因?yàn)樵撍惴ㄓ糜诨诮K端專(zhuān)用號(hào)或者交易專(zhuān)用號(hào)44、27的密鑰推導(dǎo)并且不用于數(shù)據(jù)加密(亦即,用于塊密文加密16的推導(dǎo)數(shù)據(jù)15對(duì)于每個(gè)推導(dǎo)出的密鑰改變),第一基礎(chǔ)密鑰塊10與初始化矢量13的XOR運(yùn)算是可選的。
第二基礎(chǔ)密鑰塊11通過(guò)XOR運(yùn)算14與第一推導(dǎo)出的密鑰塊18組合17。因此,塊密文加密16的輸入取決于前一個(gè)塊密文加密16的輸出。因此,算法稱(chēng)作密文塊鏈(CBC)算法。在使用推導(dǎo)數(shù)據(jù)15的塊密文加密16之后,與第一推導(dǎo)出的密鑰塊18進(jìn)行XOR運(yùn)算的第二基礎(chǔ)密鑰塊11產(chǎn)生第二推導(dǎo)出的密鑰塊19。
重復(fù)該過(guò)程,直到所有n個(gè)基礎(chǔ)密鑰塊都已經(jīng)與前一個(gè)推導(dǎo)出的密鑰塊進(jìn)行XOR運(yùn)算,并且已經(jīng)使用推導(dǎo)數(shù)據(jù)15進(jìn)行加密。這樣,每個(gè)推導(dǎo)出的密鑰塊取決于直到那個(gè)點(diǎn)已經(jīng)處理的所有基礎(chǔ)密鑰塊。作為結(jié)果的推導(dǎo)出的密鑰具有與基礎(chǔ)密鑰相同的長(zhǎng)度。因?yàn)樵撏茖?dǎo)是唯一的映射規(guī)則,所以不同位置的不同實(shí)體使用上述算法可以從相同的基礎(chǔ)密鑰中推導(dǎo)出相同的密鑰。
由不同的支付和交易角色執(zhí)行的、關(guān)于支付交易的活動(dòng)(按照遞增次序的參考符號(hào)21-26)的功能關(guān)系和時(shí)間次序針對(duì)圖3a中所示的示例而例示。
控制實(shí)體3通過(guò)做出商業(yè)合同(亦即通過(guò)向終端提供者5訂購(gòu)21支付終端1)指示終端提供者5(亦即支付終端制造商)生產(chǎn)支付終端1。
當(dāng)支付終端1完成時(shí),終端提供者5基于控制實(shí)體的規(guī)范將支付終端1遞送22到控制實(shí)體3。規(guī)范包括例如從控制實(shí)體專(zhuān)用主訪問(wèn)密鑰K1以及支付終端1的終端識(shí)別號(hào)44中推導(dǎo)出的、已植入的給定訪問(wèn)密鑰(例如,終端專(zhuān)用訪問(wèn)密鑰K2)。
在支付終端1遞送22到控制實(shí)體3之后,操作員4能夠請(qǐng)求23支付終端1的使用。操作員可以例如在商業(yè)合同的持續(xù)時(shí)期內(nèi)從控制實(shí)體3租用支付終端1。
一旦控制實(shí)體3授予操作員4使用支付終端1的權(quán)限(授予標(biāo)注為24),操作員和終端專(zhuān)用傳送密鑰K4就由控制實(shí)體3注入S9'到支付終端1中。操作員和終端專(zhuān)用傳送密鑰K4是為操作員4單獨(dú)選擇的,并且使得操作員4能夠操作支付終端1。
支付終端1然后可以由操作員4使用25,以與一個(gè)或多個(gè)支付提供者2(亦即操作員4的收單機(jī)構(gòu))執(zhí)行交易26。在這些交易26期間,敏感數(shù)據(jù)的經(jīng)加密的傳輸S17在支付終端1與支付提供者2之間交換。
圖3b在與圖3a類(lèi)似的表示中,例示支付終端1由特定操作員4的使用的終止。
在圖3b的示例中,操作員4想要終止25'操作員使用支付終端1的能力,并且因此例如通過(guò)終止消息相應(yīng)地通知23'控制實(shí)體3。當(dāng)接收到來(lái)自操作員4的終止消息時(shí),控制實(shí)體3通過(guò)從支付終端1中刪除與操作員4相關(guān)聯(lián)的對(duì)應(yīng)的密碼密鑰(例如,操作員和終端專(zhuān)用傳送密鑰K4以及操作員和終端專(zhuān)用初始加密密鑰K6)而撤銷(xiāo)24'支付終端1由操作員4的使用。作為替代或者附加地,控制實(shí)體3可以發(fā)起不再應(yīng)當(dāng)能夠使用支付終端1的操作員4的密碼密鑰(例如,操作員和終端專(zhuān)用傳送密鑰K4以及操作員和終端專(zhuān)用初始加密密鑰K6)的刪除。
在密鑰刪除之后,支付終端1不再具有用于討論中的操作員4的操作員和終端專(zhuān)用初始加密密鑰K6,并且即使它從支付提供者2重新接收了由操作員和終端專(zhuān)用傳送密鑰K4解密的密鑰K6,也不再能夠?qū)γ荑€K6進(jìn)行解密。沒(méi)有(經(jīng)解密的)操作員和終端專(zhuān)用初始加密密鑰K6,用于討論中的支付提供者2的有意義的交易數(shù)據(jù)的交換不再是可能的,并且因此對(duì)于討論中的提供者2,支付終端1與支付提供者2之間的交易不再能夠發(fā)生26';然而,因?yàn)槊荑€刪除是針對(duì)操作員的,所以其他操作員的交易26保持不受影響。
在圖3c中例示操作員和終端專(zhuān)用傳送密鑰K4從支付終端1中的示例性密鑰撤銷(xiāo),該密鑰撤銷(xiāo)由控制實(shí)體3遠(yuǎn)程發(fā)起。虛線方框指示待刪除的加密密鑰,點(diǎn)狀箭頭指示對(duì)稱(chēng)加密,并且實(shí)線箭頭指示數(shù)據(jù)傳輸。
如果控制實(shí)體3想要撤銷(xiāo)24'操作員使用支付終端1的能力,那么控制實(shí)體3將操作員專(zhuān)用密鑰刪除命令發(fā)送到支付終端1。當(dāng)支付終端1已經(jīng)接收到密鑰刪除命令時(shí),它執(zhí)行所命令的針對(duì)討論中的操作員4的密鑰刪除。
在圖4中示出在值機(jī)臺(tái)處準(zhǔn)備支付交易26的示例性活動(dòng)。在S15,例如當(dāng)操作員4與控制實(shí)體3的合同關(guān)系時(shí),支付終端1的使用首先由操作員4在23處請(qǐng)求。
如果支付終端1的使用在24處由機(jī)場(chǎng)的控制實(shí)體3授予操作員2,那么操作員和終端專(zhuān)用傳送密鑰K4供給到支付終端中S9'。
使用終端專(zhuān)用訪問(wèn)密鑰K2對(duì)操作員和終端專(zhuān)用傳送密鑰K4進(jìn)行對(duì)稱(chēng)加密S8,其中這兩個(gè)密鑰是使用相同的終端識(shí)別號(hào)44而推導(dǎo)出S1、S7的。在圖4中標(biāo)注為S9'的操作員和終端專(zhuān)用傳送密鑰K4的注入涉及將經(jīng)對(duì)稱(chēng)加密的操作員和終端專(zhuān)用傳送密鑰K4從控制實(shí)體3傳輸S9到支付終端1。在一些實(shí)施例中,密鑰注入S9'也涉及使用終端專(zhuān)用訪問(wèn)密鑰K2對(duì)經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰K4進(jìn)行解密(終端專(zhuān)用訪問(wèn)密鑰K2例如在生產(chǎn)期間預(yù)先存儲(chǔ)在支付終端1中),以及在解密時(shí)例如以安全的方式將操作員和終端專(zhuān)用傳送密鑰K4存儲(chǔ)在支付終端1內(nèi)。在其他實(shí)施例中,操作員和終端專(zhuān)用傳送密鑰K4的解密可以推遲到實(shí)際地需要經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰K4時(shí)。因此,可以以非安全的方式存儲(chǔ)操作員和終端專(zhuān)用傳送密鑰K4。使用支付終端1中所存儲(chǔ)的終端專(zhuān)用訪問(wèn)密鑰K2對(duì)經(jīng)加密的操作員和終端專(zhuān)用傳送密鑰K4“即時(shí)”進(jìn)行解密的活動(dòng)然后將形成下述的經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰K6的解密的初始部分的部分。
顧名思義,操作員和終端專(zhuān)用傳送密鑰K4用于以機(jī)密性保證的方式(亦即,加密)傳送另一個(gè)加密密鑰。操作員和終端專(zhuān)用初始加密密鑰K6供給到支付終端中S12',該密鑰是交易有關(guān)的加密密鑰的基礎(chǔ)。
使用操作員和終端專(zhuān)用傳送密鑰K4對(duì)操作員和終端專(zhuān)用初始加密密鑰K6進(jìn)行對(duì)稱(chēng)加密S11,其中這兩個(gè)密鑰是使用相同的終端識(shí)別號(hào)44而推導(dǎo)出S7、S10的。在圖4中標(biāo)注為S12'的操作員和終端專(zhuān)用初始加密密鑰K6的注入涉及將經(jīng)對(duì)稱(chēng)加密的操作員和終端專(zhuān)用初始加密密鑰K6從支付提供者2傳輸S12到支付終端1。在一些實(shí)施例中,密鑰注入S12'也涉及使用支付終端1中的經(jīng)解密的操作員和終端專(zhuān)用傳送密鑰K4對(duì)經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰K6進(jìn)行解密,以及在解密時(shí)例如以安全的方式將操作員和終端專(zhuān)用初始加密密鑰K6存儲(chǔ)在支付終端1內(nèi)。在其他實(shí)施例中,經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰K6的解密可以推遲到實(shí)際地需要經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰K6時(shí)。因此,可以以非安全的方式存儲(chǔ)經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰K6。使用在支付終端1中解密的操作員和終端專(zhuān)用傳送密鑰K4對(duì)經(jīng)加密的操作員和終端專(zhuān)用初始加密密鑰K6“即時(shí)”進(jìn)行解密的活動(dòng)然后將形成下述的操作員和交易專(zhuān)用加密密鑰K7的推導(dǎo)S14的部分。
在某個(gè)階段,將存在針對(duì)操作員4中的一個(gè)開(kāi)始與支付終端1進(jìn)行一些交易的需求。例如,在機(jī)場(chǎng)的共享的自助服務(wù)終端的情況下,客戶將在自助服務(wù)終端的屏幕上選擇討論中的航空公司(=操作員4);以及在共享的值機(jī)工作站的情況下,航空公司的代理人(=操作員4的代理人)將在支付終端處登錄以開(kāi)始航班的值機(jī)。
作為第一子過(guò)程,取決于與客戶相關(guān)聯(lián)的操作員或者執(zhí)行交易的代理人,選擇與討論中的操作員4(例如,航空公司)相關(guān)聯(lián)的操作員和終端專(zhuān)用初始加密密鑰K6。
在一些可選的實(shí)施例中,支付終端1提供多于一種使用模式,或者多于一種類(lèi)型的“設(shè)備行為”。支付終端1被布置為提供各種類(lèi)型的設(shè)備行為。在這些實(shí)施例中,作為進(jìn)一步的可選子過(guò)程,當(dāng)開(kāi)始使用支付終端2執(zhí)行交易時(shí),自動(dòng)地并且動(dòng)態(tài)地選擇與討論中的操作員相關(guān)聯(lián)的設(shè)備行為。例如,在一些實(shí)施例中,可以提供兩種不同的使用模式:“直接使用模式”和“委托使用模式”。在直接使用模式中,支付終端1被初始化為經(jīng)由到操作員4的串行連接將所有支付數(shù)據(jù)返回到操作員應(yīng)用;然后取決于操作員應(yīng)用將數(shù)據(jù)傳輸?shù)街Ц短峁┱?。在委托使用模式中,支付終端1被初始化為經(jīng)由提供到廣域網(wǎng)(WAN)的訪問(wèn)的網(wǎng)絡(luò)接口建立到支付提供者2的直接連接。在支付終端1提供委托使用模式的實(shí)施例中,支付終端1因此裝備有適當(dāng)?shù)木W(wǎng)絡(luò)接口,并且使用適合于經(jīng)由WAN與支付提供者2直接通信的網(wǎng)絡(luò)參數(shù)(諸如IP、DNS、DHCP、防火墻、VPN、…)預(yù)先配置支付終端1。如果選擇委托使用模式,那么建立到支付提供者的主機(jī)的TCP/IP連接,并且所有進(jìn)一步的配置消息將由支付提供者的主機(jī)使用該連接來(lái)發(fā)起。
下面的示例性XML代碼示出委托模式的初始化的示例。從示例性XML代碼中可以看到,自動(dòng)選擇由名稱(chēng)為“<usageMode>”的變量控制,在該示例中,變量“<usageMode>”可以取值“delegated(委托)”和“direct(直接)”:
作為另一個(gè)子過(guò)程,在支付終端1處已經(jīng)獲得操作員和終端專(zhuān)用初始加密密鑰K6并且對(duì)其進(jìn)行解密(或者提前進(jìn)行解密,或者在交易的初始化階段期間“即時(shí)”進(jìn)行解密)之后,可以使用交易專(zhuān)用號(hào)27從經(jīng)解密的操作員和終端專(zhuān)用初始加密密鑰K6中推導(dǎo)出用于進(jìn)一步交易活動(dòng)的交易密鑰,這在圖4中標(biāo)注為S14。如由標(biāo)注所指示的,由支付終端1使用交易專(zhuān)用號(hào)27從操作員和終端專(zhuān)用初始加密密鑰K6中推導(dǎo)出S14操作員和交易專(zhuān)用加密密鑰K7是這些交易密鑰中的一個(gè)。該推導(dǎo)以類(lèi)似的方式在支付提供者2處執(zhí)行,在那里標(biāo)注為S13。
使用交易專(zhuān)用號(hào)27或者另一個(gè)交易專(zhuān)用號(hào)從操作員和交易專(zhuān)用加密密鑰K7中推導(dǎo)出的進(jìn)一步的交易密鑰(例如,PIN加密密鑰、敏感數(shù)據(jù)加密密鑰以及MAC簽名密鑰)也由圖4中標(biāo)注為S13、S14的活動(dòng)涵蓋。
在一些實(shí)施例中,控制實(shí)體3也可以通過(guò)撤銷(xiāo)操作員和終端專(zhuān)用傳送密鑰K4來(lái)以操作員可供選擇的方式控制支付終端1的使用??刂茖?shí)體3能夠遠(yuǎn)程訪問(wèn)支付終端1的TRSM,并且可以命令支付終端1刪除與具體操作員相關(guān)聯(lián)的密鑰。
下面的示例性XML代碼示出由支付提供者代碼(這里為“P1”)和識(shí)別討論中的操作員4的商戶代碼(這里為“M1”)定義的撤銷(xiāo)操作員和終端專(zhuān)用傳送密鑰K4的示例:
在該示例中,對(duì)支付終端的訪問(wèn)由授權(quán)數(shù)據(jù)授予,這里授權(quán)數(shù)據(jù)由標(biāo)簽“authenticationData”標(biāo)記。當(dāng)肯定驗(yàn)證(positive verification)授權(quán)數(shù)據(jù)時(shí),支付終端1刪除存儲(chǔ)在支付終端1中的、所識(shí)別的操作員4的操作員和終端專(zhuān)用傳送密鑰K4以及操作員和終端專(zhuān)用初始加密密鑰K6,以及可選地刪除存儲(chǔ)在支付終端1中的、與該操作員4相關(guān)聯(lián)的進(jìn)一步數(shù)據(jù),諸如與所識(shí)別的操作員4相關(guān)聯(lián)的交易柜臺(tái)。
在圖4中,在支付終端1具有可選的使用模式功能的實(shí)施例中,標(biāo)注S14也代表依賴于操作員的對(duì)使用模式的選擇(例如,對(duì)直接使用模式或者委托使用模式的選擇)的可選活動(dòng)。
這些進(jìn)一步的交易密鑰用于對(duì)敏感數(shù)據(jù)(例如,將被借記(debited)的賬戶的PIN)進(jìn)行加密S16,以用于在支付終端1與支付提供者2之間傳輸。
因此,可以使用上面提及的交易密鑰執(zhí)行支付交易26的、支付終端1與支付提供者2之間的敏感數(shù)據(jù)的實(shí)際的經(jīng)加密的傳輸S17。
在圖5中例示在其上執(zhí)行圖4中標(biāo)注為S9'和S12'并且結(jié)合圖1和圖4描述的密鑰注入的示例性支付終端1。
圖5中所示的支付終端1具有PIN鍵盤(pán)41以接受持卡者的個(gè)人識(shí)別號(hào)碼(PIN)并且對(duì)PIN進(jìn)行加密。PIN鍵盤(pán)41利用對(duì)支付卡50的訪問(wèn)(在芯片卡的情況下)并且允許安全輸入PIN到支付終端1中的以及支付終端1對(duì)PIN的隨后的加密。
PIN在輸入時(shí)立即加密并且創(chuàng)建經(jīng)加密的PIN塊。該經(jīng)加密的PIN塊一從PIN鍵盤(pán)41發(fā)送到附接的支付終端1和/或芯片卡50就被擦除。使用三重DES算法對(duì)PIN進(jìn)行加密。
支付終端1裝備有顯示器40以向客戶(例如乘客)以及操作員4二者示出相關(guān)數(shù)據(jù),例如支付訂單量或者所輸入的PIN的授權(quán)狀態(tài)。
附加地,支付終端1裝備有支付卡狹縫讀取器(slit reader)42,支付卡50在這里插入到支付終端1中并且卡數(shù)據(jù)在這里從支付卡50中讀取,例如用于客戶身份的驗(yàn)證,亦即,檢查客戶是否可以提供支付卡50的正確的PIN。
在作為替代的實(shí)施例中,除了支付卡狹縫讀取器42之外,或者作為對(duì)支付卡狹縫讀取器42的替代,支付終端1還裝備有支付卡滑動(dòng)讀取器(swipe reader)。在這些作為替代的實(shí)施例中,通過(guò)滑動(dòng)支付卡50到滑動(dòng)讀取器的狹縫,從支付卡50中讀取卡數(shù)據(jù)。
圖6描繪在圖5中例示的示例性支付終端1的另外的特征。支付終端1具有存儲(chǔ)器43和防篡改安全性模塊(TRSM)45。TRSM 45可以是存儲(chǔ)器43的邏輯分區(qū),或者作為替代,TRSM 45可以是單獨(dú)的安全讀取和交換數(shù)據(jù)(SRED)模塊,單獨(dú)的終端專(zhuān)用訪問(wèn)、傳送和加密密鑰K2以及可選地加密密鑰K4和K6存儲(chǔ)在該模塊上。存儲(chǔ)器43包括非易失性存儲(chǔ)器,可執(zhí)行程序代碼(例如經(jīng)編譯的C代碼)和/或可解釋腳本代碼存儲(chǔ)在其中。
支付終端的唯一終端識(shí)別號(hào)44壓花在支付終端1的外殼上。在支付終端1的作為替代的示例中,終端識(shí)別號(hào)44存儲(chǔ)在存儲(chǔ)器43上并且能夠由被授權(quán)方讀出。由此,終端識(shí)別號(hào)44不是對(duì)無(wú)許可的任何人都可見(jiàn)的。
示例性計(jì)算機(jī)系統(tǒng)100的圖示在圖7中示出,該示例性計(jì)算機(jī)系統(tǒng)100被布置為執(zhí)行指令集110以使得計(jì)算機(jī)系統(tǒng)執(zhí)行如在這里描述的、用于針對(duì)支付交易26配置支付終端1的任何方法。計(jì)算機(jī)化的控制實(shí)體系統(tǒng)和計(jì)算機(jī)化的支付提供者系統(tǒng)可以是這種計(jì)算機(jī)系統(tǒng)100。
計(jì)算機(jī)系統(tǒng)100包括處理器102、主存儲(chǔ)器104和網(wǎng)絡(luò)接口108。主存儲(chǔ)器104包括與用戶運(yùn)行的應(yīng)用相關(guān)聯(lián)的用戶空間104'以及為操作系統(tǒng)和硬件相關(guān)聯(lián)的應(yīng)用而保留的內(nèi)核空間104”。計(jì)算機(jī)系統(tǒng)100還包括靜態(tài)存儲(chǔ)器106,例如不可移除閃存和/或固態(tài)驅(qū)動(dòng)器和/或可移除微型或迷你SD卡,靜態(tài)存儲(chǔ)器106永久地存儲(chǔ)使得計(jì)算機(jī)系統(tǒng)100能夠執(zhí)行計(jì)算機(jī)系統(tǒng)100的功能的軟件。此外,計(jì)算機(jī)系統(tǒng)100可以包括視頻顯示器103、用戶接口控制模塊107和/或字母數(shù)字和光標(biāo)輸入設(shè)備105??蛇x地,可以存在諸如讀卡器和USB接口這樣的另外的I/O接口109。計(jì)算機(jī)系統(tǒng)組件102至109通過(guò)數(shù)據(jù)總線101互連。
在一些示例性實(shí)施例中,被編程為執(zhí)行在這里討論的配置支付終端1的方法的軟件存儲(chǔ)在靜態(tài)存儲(chǔ)器106上。在這里討論的配置支付終端1的方法經(jīng)由網(wǎng)絡(luò)接口設(shè)備108執(zhí)行。
實(shí)施上述方法中的任何一個(gè)或者全部方法的可執(zhí)行指令集(亦即,軟件)110完全或者至少部分地永久地駐留在非易失性存儲(chǔ)器106中。當(dāng)執(zhí)行指令110時(shí),過(guò)程數(shù)據(jù)駐留在主存儲(chǔ)器104和/或處理器102中。軟件110還可以作為傳播信號(hào)111通過(guò)網(wǎng)絡(luò)接口設(shè)備108傳輸?shù)骄钟蚓W(wǎng)或因特網(wǎng)內(nèi)的軟件服務(wù)器或者從軟件服務(wù)器接收。
圖8例示支付終端1中的嵌入式計(jì)算機(jī)系統(tǒng)243。支付終端1具有只讀存儲(chǔ)器(ROM)43a、處理器202以及防篡改安全性模塊(TRSM)45。處理器202和只讀存儲(chǔ)器43a一起形成(例如,可編程微控制器形式的)嵌入式計(jì)算機(jī)系統(tǒng)243。只讀存儲(chǔ)器43a可以是EEPROM,例如閃存EEPROM或者非閃存EEPROM。在支付終端1的嵌入式計(jì)算機(jī)系統(tǒng)243對(duì)應(yīng)于圖7的計(jì)算機(jī)系統(tǒng)100的實(shí)施例中,只讀存儲(chǔ)器43a由圖7中的靜態(tài)存儲(chǔ)器106代表。
嵌入式計(jì)算機(jī)系統(tǒng)243的只讀存儲(chǔ)器43a永久地存儲(chǔ)固件,固件包括執(zhí)行嵌入式計(jì)算機(jī)系統(tǒng)243的支付終端專(zhuān)用功能的一個(gè)或多個(gè)計(jì)算機(jī)程序211。存儲(chǔ)在只讀存儲(chǔ)器43a中的計(jì)算機(jī)程序211為處理器202提供指令210,指令210在由處理器202執(zhí)行時(shí),執(zhí)行在這里描述的支付終端1的支付終端配置功能和支付交易功能。
在本說(shuō)明書(shū)中提及的所有公開(kāi)物和現(xiàn)有系統(tǒng)通過(guò)引用合并至此。
雖然已經(jīng)在這里描述了根據(jù)本發(fā)明的教導(dǎo)而構(gòu)造的某些方法和產(chǎn)品,但是本專(zhuān)利的覆蓋范圍不局限于此。相反地,本專(zhuān)利覆蓋本發(fā)明的教導(dǎo)的在字面上或者在等同物的準(zhǔn)則下相當(dāng)?shù)芈湓谒綑?quán)利要求書(shū)的范圍內(nèi)的所有實(shí)施例。