態(tài)CVV(dCVV)模式傳送對應(yīng)于該卡的磁道數(shù)據(jù)(track data)(例如,卡磁道數(shù)據(jù))。類似地,當(dāng)執(zhí)行CNP交易時,用戶可以察看動態(tài)計算的有效期限(EXP)和CVV-2,并使用其填寫結(jié)賬網(wǎng)站表格以便進(jìn)行dCVV CNP交易。
[0036]用戶還可以使用連接至網(wǎng)絡(luò)114的計算機通過訪問用戶賬號門戶網(wǎng)站(webportal)來設(shè)立用戶賬號118。為設(shè)立用戶賬號118,用戶可以指定用戶名、密鑰、和個人PIN。可以使用密鑰登錄移動通信裝置104中的錢包應(yīng)用程序。用戶一旦登錄,則可使用個人PIN進(jìn)入錢包應(yīng)用程序的支付卡部分,并將錢包應(yīng)用程序解鎖。
[0037]用戶可以可選擇地通過指定MST 102的全局唯一標(biāo)識(⑶ID)(在此也被稱為IDmst)將MST 1 2添加到用戶賬號118。使用PIN (僅用戶知道)對MST 1 2進(jìn)行驗證,以對任何儲存在MST 102中的卡數(shù)據(jù)進(jìn)行操作。PIN的拷貝也可以儲存在錢包服務(wù)器106中,并以以下所述的方式使用。使用基于PIN的驗證對MST 102的操作可以在具有或不具有經(jīng)由網(wǎng)絡(luò)114連接至錢包服務(wù)器106的移動通信裝置104的情況下進(jìn)行。這使得,即使沒有網(wǎng)絡(luò)連接,也能操作MST 102以便利用存儲在MST 102中的卡數(shù)據(jù)。
[0038]MST 102可以通過以下方式存儲磁條卡數(shù)據(jù):在制造時進(jìn)行初始加載、在設(shè)立用戶賬號118后通過無線通信網(wǎng)絡(luò)加載、和/或由用戶使用移動錢包應(yīng)用程序提示的加密MSR將其自己的卡數(shù)據(jù)直接加載到MST 102 JST 102可以以靜態(tài)(其中,MST傳送不加修改的初始數(shù)據(jù))和dCVV模式(其中,在每次傳送期間,部分?jǐn)?shù)據(jù)被動態(tài)計算)傳送磁條卡數(shù)據(jù)??傮w上,用戶是例如經(jīng)由云計算基礎(chǔ)設(shè)施(例如經(jīng)由網(wǎng)絡(luò)114)在錢包服務(wù)器106中設(shè)立用戶賬號的個人,并已經(jīng)對其移動通信裝置104中的錢包應(yīng)用程序進(jìn)行了初始化。
[0039]參照圖2描述根據(jù)示例性實施例針對用戶賬號118初始化MST102(具有唯一裝置ID)的方法200。通過將MST插入或連接至移動通信裝置(如方塊202所示)將MST初始化或首次向用戶賬號注冊。當(dāng)將MST連接至移動通信裝置時,錢包應(yīng)用程序識別出MST并將MST向用戶的用戶賬號注冊,如方塊204所示。當(dāng)MST已經(jīng)被注冊并連接至適當(dāng)?shù)挠脩糍~號時,MST和用戶賬號可以進(jìn)行握手(計算機),如206所示,并發(fā)送和接收命令,如方塊208所示。
[0040]一旦將MST向用戶賬號注冊,則用戶可以使用錢包應(yīng)用程序通過在MST的內(nèi)置MSR或可以連接至MST的單獨的MSR或移動通信裝置上刷卡加載他或她的卡??梢詫⒖〝?shù)據(jù)數(shù)字化并加密,并存儲在MST中供將來使用。例如,如圖1中所示,卡可以由MST 102使用并被發(fā)送至銷售點(POS) 120以完成一項交易。就此而言,POS可以經(jīng)由網(wǎng)絡(luò)114與一個或多個錢包服務(wù)器106、配置和驗證服務(wù)器108、發(fā)卡機構(gòu)服務(wù)器110、和/或收單機構(gòu)服務(wù)器112通信。
[0041]參照圖3描述根據(jù)示例性實施例基于用戶刷卡安全配置靜態(tài)卡的方法300。在此,“靜態(tài)”指的是,在使用時,向POS傳送相同的卡數(shù)據(jù)。在該實施例中,用戶可以使用一體化至MST中或聯(lián)接至MST的刷卡裝置將卡加載至用戶的MST。
[0042]用戶在MST中的刷卡器或聯(lián)接至MST的單獨的刷卡器附加裝置刷卡(例如,支付卡或其它類型的包括磁條卡數(shù)據(jù)的卡)(302)。這向MST提供包括卡磁道數(shù)據(jù)(即,對應(yīng)于卡的數(shù)據(jù))(TRACK)的卡數(shù)據(jù)。MST然后使用密鑰(Kwcirking)對TRACK進(jìn)行加密(304),并將加密的TRACK和密鑰序列號(KSN)(例如,10位KSN)發(fā)送給移動通信裝置(306)。在一方面,KSN包含單調(diào)遞增的計數(shù)器;因而將同一卡刷兩次應(yīng)該獲得兩段完全不同的密鑰文本。MST還可以發(fā)送一些輔助信息(A*),所述輔助信息在錢包服務(wù)器隨后進(jìn)行簽名校驗時可能會使用,如下所述。在一個實施例中,MST將以下發(fā)送給移動通信裝置:{TRACK}Kirorking、KSN、A*,其中,括號表示加密功能。
[0043]移動通信裝置向MST詢問其標(biāo)識(IDmst)和臨時會話(sess1n nonce)RMST(308)。MST回應(yīng)該詢問,將IDmst和Rmst發(fā)送給移動通信裝置(310)。移動通信裝置將該信息(例如,IDmst、Rmst、{TRACK} Kworking、KSN、A*)發(fā)送給錢包服務(wù)器,再加上用戶輸入的認(rèn)證信息(例如,用戶名和密鑰)供錢包服務(wù)器驗證(312)。
[0044]錢包服務(wù)器對使用所述用戶名和密鑰的用戶進(jìn)行驗證,還檢查IDmst是否正連接至用戶的錢包賬號(314)。錢包服務(wù)器還可以校驗KSN的有效性和單調(diào)性并獨立計算Kirorking(316)。如果一切都得到校驗,則錢包服務(wù)器對加密的磁道數(shù)據(jù)進(jìn)行解密并獲得TRACK(318)。錢包服務(wù)器還可以進(jìn)行檢查以確保所接收的數(shù)據(jù)是有效的(320)。例如,錢包服務(wù)器可以檢查TRACK是否包含有效的IS0-7812字符串。對金融卡,應(yīng)具磁道I數(shù)據(jù)和磁道2數(shù)據(jù)。對于非金融卡(例如,禮品卡),應(yīng)具有至少一個磁道數(shù)據(jù)。錢包服務(wù)器還可以進(jìn)行縱向冗余校驗(LRC)以檢查數(shù)據(jù)是否正確。對于金融卡,來自磁道I數(shù)據(jù)的卡持有者姓名應(yīng)當(dāng)與文件中的用戶的錢包賬號的用戶名相一致,卡的到期日應(yīng)當(dāng)合法(即,卡不應(yīng)當(dāng)過期)。
[0045]如果通過了錢包服務(wù)器的校驗,則錢包服務(wù)器使用MST(Kmst)已知的密鑰對TRACK進(jìn)行再加密(322),并在SSL/TLS會話將“添加卡”(AC)的令牌(token)往回發(fā)送給移動通信裝置(324) AC令牌可以包括Rmst、服務(wù)器生成的時間戳(Rs)、TRACK、和使用Kmst加密的A*(例如,{ Rmst、Rs、TRACK、A*} Kmst )。
[0046]移動通信裝置將AC令牌轉(zhuǎn)發(fā)給MST(326),不對其進(jìn)行解釋。MST使用Kmst對AC令牌解密,并校驗Rmst( 328)的關(guān)聯(lián)性。如果一切都得到校驗,則MST儲存TRACK,完成添加卡的操作(330)。使用點對點加密和隨機數(shù)(random nonce)有效地滿足了保密、可靠和實時(freshness)的要求。
[0047]參照圖4描述根據(jù)示例性實施例的安全配置來自發(fā)卡機構(gòu)的靜態(tài)卡的方法400ο在該實施例中,發(fā)卡機構(gòu)可以無線或經(jīng)由網(wǎng)絡(luò)將卡數(shù)據(jù)推送至MST。該方法類似于以上描述的靜態(tài)配置方法,不同點在于,卡數(shù)據(jù)(包括TRACK)源自于發(fā)卡機構(gòu)服務(wù)器,并被從發(fā)卡機構(gòu)服務(wù)器發(fā)送至錢包服務(wù)器,然后被安全推送至MST。用戶通過指定發(fā)卡機構(gòu)服務(wù)器(向其發(fā)送卡請求)而啟動該過程。初始設(shè)定后,發(fā)卡機構(gòu)可以通知用戶新卡可供下載的時間。用戶然后可以向發(fā)卡機構(gòu)服務(wù)器進(jìn)行驗證并下載實際的卡數(shù)據(jù)。
[0048]接到用戶請求時,移動通信裝置向MST詢問IDmst和臨時會話Rmst(402),MST將IDmst和Rmst發(fā)送給移動通信裝置(404)。用戶輸入后,移動通信裝置將該信息轉(zhuǎn)送給錢包服務(wù)器,再加上用戶的認(rèn)證信息(例如,IDmst、Rmst、用戶名、密鑰)(406)。用戶還可以輸入信息(B*)用于向發(fā)卡機構(gòu)服務(wù)器驗證用戶(例如,發(fā)卡機構(gòu)身份和用戶的在線銀行認(rèn)證)。錢包服務(wù)器將B*發(fā)送給發(fā)卡機構(gòu)服務(wù)器以獲得卡數(shù)據(jù)(包括TRACK) (408)。然后,錢包服務(wù)器從發(fā)卡機構(gòu)服務(wù)器接收TRACK(410)。錢包服務(wù)器可以直接或通過配置和驗證服務(wù)器與發(fā)卡機構(gòu)服務(wù)器交互。
[0049]錢包服務(wù)器使用Kmst加密TRACK,生成AC令牌(例如{ Rmst、Rs、TRACK、A*} Kmst )(如上所述),并將AC令牌發(fā)送給移動通信裝置(412)。移動通信裝置將AC令牌轉(zhuǎn)發(fā)給MST(414)。如上所述,MST使用Kmst對AC令牌解密,校驗Rmst(328)的關(guān)聯(lián)性,如果一切都得到校驗,則MST儲存TRACK,完成添加卡的操作(416)。
[0050]另一方面,動態(tài)卡(支持dCVV)可以配置在MST中并被傳送至P0S。就該方面而言,可以生成dCVV秘鑰(KdGW)并通過發(fā)卡機構(gòu)服務(wù)器將其發(fā)送至MST或從MST發(fā)送至發(fā)卡機構(gòu)服務(wù)器,以協(xié)助動態(tài)配置。參照圖5描述根據(jù)示例性實施例的動態(tài)配置卡的方法500。類似于上述方法,用戶可以刷卡輸入卡數(shù)據(jù)(包括TRACK),或者,TRACK可以由發(fā)卡機構(gòu)服務(wù)器推送至MST0
[0051]—方面,用戶在MST中的刷卡器或聯(lián)接至MST的單獨的刷卡器附加裝置刷卡(例如,支付卡或其它類型的包括磁條卡數(shù)據(jù)的卡)(502)。這向MST提供卡數(shù)據(jù)(包括TRACK) JST或單獨的MSR使用密鑰(Kirorking)對TRACK數(shù)據(jù)進(jìn)行加密,并將加密的TRACK和發(fā)送給移動通信裝置(504),所述移動通信裝置將加密的TRACK發(fā)送給錢包服務(wù)器(506) JST還可以發(fā)送TRACK的附加信息,例如,MST可以與加密的TRACK—起發(fā)送IDmst、Rmst、用戶名、密鑰、KSN、和A*(S卩,輔助信息,錢包服務(wù)器用其進(jìn)行簽名校驗,發(fā)卡機構(gòu)服務(wù)器用其進(jìn)行用戶/卡持有人驗證)。
[0052]以與如上所述類似的方式,錢包服務(wù)器對使用所述用戶名和密鑰的用戶進(jìn)行驗證,還檢查IDmst是否正連接至用戶的錢包賬號。錢包服務(wù)器還可以校驗KSN的有效性和單調(diào)性。錢包服務(wù)器還可以進(jìn)行檢查以確保所接收的數(shù)據(jù)是有效的。例如,錢包服務(wù)器可以檢查TRACK是否包含有效的IS0-7812字符。對金融卡,應(yīng)具有磁道I數(shù)據(jù)和磁道2數(shù)據(jù)。對于非金融卡(例如,禮品卡),應(yīng)具有至少一個磁道數(shù)據(jù)。錢包服務(wù)器還可以進(jìn)行縱向冗余校驗(LRC)以檢查所傳送的數(shù)據(jù)是否正確。對于金融卡,來自磁道I數(shù)據(jù)的卡持有者姓名應(yīng)當(dāng)與文件中的用戶的錢包賬號的賬號相一致,卡的到期日應(yīng)當(dāng)合法(即,卡不應(yīng)當(dāng)過期)。
[0053]在一些例子中,錢包服務(wù)器可以通過基于BIN(銀行標(biāo)識代碼,PAN的前6位)檢查卡的主賬號PAN)是否來參與發(fā)卡機構(gòu)。如果不是參與發(fā)卡機構(gòu),則可能發(fā)生上述靜態(tài)配置。假定卡有dCVV的資格,則錢包服務(wù)器向配置請求給配置和驗證服務(wù)器發(fā)送請求(508)。該請求可以包括PAN和輔助信息,用于發(fā)卡機構(gòu)/發(fā)卡機構(gòu)服務(wù)器驗證用戶,例如CVV-2、姓名、出生日期、挑戰(zhàn)問題的答案、和/或其它信息。
[0054]應(yīng)注意,上述步驟僅是為發(fā)卡機構(gòu)和配置和驗證服務(wù)器識別適于dCVV的用戶和卡的一種方法??梢詫嵤┢渌椒?。例如,沒有刷卡裝置的用戶可以通過提供在線銀行認(rèn)證信息與發(fā)卡機構(gòu)服務(wù)器連接,并請求從發(fā)卡機構(gòu)服務(wù)器下載dCVV。發(fā)卡機構(gòu)服務(wù)器可以通知錢包服務(wù)器其做好了準(zhǔn)備。
[0055]配置和驗證服務(wù)器可以識別來自步驟508的請求是發(fā)自錢包服務(wù)器,且錢包服務(wù)器值得信賴。在一方面,配置和驗證服務(wù)器相信錢包服務(wù)器已經(jīng)以其名義驗證MST。另一方面,配置和驗證服務(wù)器可以使用A*向發(fā)卡機構(gòu)服務(wù)器進(jìn)行額外的校驗(510)。發(fā)卡機構(gòu)服務(wù)器可以可選地在校驗結(jié)果之外返回一些輔助信息B*,例如PAN別名、浮雕藝術(shù)(embossingart)等(512)。
[0056]配置和驗證服務(wù)器為卡生成隨機秘鑰(KdGW) (514),并將{PAN,KdGw,T stamp } 且插入在其數(shù)據(jù)庫中,其中,Tstamp是通用協(xié)調(diào)時間(UTC)中的或相對于固定時間參考的當(dāng)前時間的時間戳。時間戳還可以包含對每個MST