JP5093957B2 - コンピュータネットワーク上で安全な支払いを行うための向上した方法及びシステム - Google Patents
コンピュータネットワーク上で安全な支払いを行うための向上した方法及びシステム Download PDFInfo
- Publication number
- JP5093957B2 JP5093957B2 JP2002503837A JP2002503837A JP5093957B2 JP 5093957 B2 JP5093957 B2 JP 5093957B2 JP 2002503837 A JP2002503837 A JP 2002503837A JP 2002503837 A JP2002503837 A JP 2002503837A JP 5093957 B2 JP5093957 B2 JP 5093957B2
- Authority
- JP
- Japan
- Prior art keywords
- account number
- spa
- pseudo
- transaction
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/14—Payment architectures specially adapted for billing systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/22—Payment schemes or models
- G06Q20/24—Credit schemes, i.e. "pay after"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/12—Card verification
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/12—Card verification
- G07F7/122—Online card verification
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
【0001】
優先権申請
本申請書は、2000年8月18日登録、名称「コンピュータネットワーク上で確実なマスターカード支払いを実行するための方法および装置」なる、米国暫定出願第60/226,227号、および、2000年6月21日登録、名称「コンピュータネットワーク上で確実な支払いを実行するための改良法およびシステム」なる、米国暫定出願第60/213,063号に対する優先権を主張するものである。ここに、両暫定申請を引用することにより本申請書に含めることにする。本申請書はさらに、それ自体、2000年4月11日登録、名称「コンピュータネットワーク上で確実な支払いを実行するための方法およびシステム」なる米国特許出願連番60/195,963号、および、2001年3月15日登録、名称「コンピュータネットワークにおける確実な支払いのための方法およびシステム」なる、米国特許出願連番第09/809,367号にたいして優先権を主張する、2001年4月11日登録、名称「コンピュータネットワーク上で確実な支払いを実行する改良法およびシステム」なる、米国特許出願連番第09/833,049号にたいする優先権を主張する。この最後の特許出願を、引用することによって本申請書に含める。
【0002】
(発明の背景)
本発明は、通信ネットワーク上で確実な金銭取引を実行するための方法およびシステム、さらに詳細には、インターネットのようなコンピュータネットワーク上で確実に支払いを伝送し、かつ、公共通信チャンネル上で、微妙な機密情報を確実に伝送するための方法およびシステムに関わる。
【0003】
自明の通り、過去数年において、オンライン商売は巨大な成長を経験してきたが、そのように成長してもなお、消費者は依然として、個人の財政情報を使用すること、および、そのような情報、例えば、クレジットカード番号や個人特定番号を、インターネットのような、公共通信ネットワークを通じて伝送することで患わされたり、そうした伝送を不安に思っている。そのため、過去数年、企業は、コンピュータネットワーク上で行われる支払いの安全性を保証し、かつ、財政情報の剽窃や不正使用の危険を下げるための方法を、しかも、最善の方法を求めてあがいている。
【0004】
例えば、「オンライン取引用、取引仲介番号付き、電子オンライン商業カード」なる名称で、マイクロソフト社に交付された米国特許第5,883,810号は、各取引毎に一時的取引番号を供給し、かつ、それを、恒久口座番号に関連させるシステムに向けられる。取引番号は、一見真のクレジットカード番号のようであり、顧客は、この取引番号を使い、それを、商人にたいして、顧客の口座番号の代用として渡す。このようにすると、顧客は、公共ネットワークを上で彼または彼女の真のクレジットカード番号を伝送する必要がなくなる。
【0005】
前記―810号特許では、商人が取引番号を発行施設に渡すと、次に同施設はこの取引番号をインデックスとして使用し、顧客の真の口座番号にアクセスし、承認作業を処理し、前記取引番号の下に、商人に承認応答を返送する。その結果、顧客はただ取引番号を伝送するだけだからというばかりでなく、その代理番号は単一の買い物にたいしてのみ有効であるために、リスクは意図的に極小にされる。窃盗は「ただ一回の盗みではあまり儲からない。なぜなら、それ(番号)は、他の買い物や取引にたいして繰り返し使用することができないからである」とある。第2カラム、60−61行。
【0006】
従来のシステムにたいする改善には要求がある。特に、各取引において、恒久的口座番号の伝送に代わって、一意の、繰り返し生成される取引番号の創成・伝送の必要を回避する、インターネット上の確実な金銭取引の実行を可能とする方法およびシステムにたいしては要求がある。
【0007】
2001年3月15日登録の、同時係属中の出願第09/809,367号―引用することによって本申請書に含める―によれば、「偽似」口座番号が顧客に割り当てられ、かつ、これは暗号的にその消費者の支払い口座番号にリンクされる。支払い口座番号は、財政施設またはその他の機関によって発行される口座番号で、消費者は、それを用いて、品物および/またはサービスにたいする支払いを実行することが可能になるものである。例えば、支払い口座番号は、クレジットカードまたはデビットカードのような支払いカード、あるいは、消費者のコンピュータに保存される電子キャッシュアプリケーションのような支払いアプリケーションに付属する口座番号であってもよい。この偽似口座番号は、商人にとっては、実際の支払い口座番号のように見える。すなわち、この偽似口座番号は、正当な支払い口座番号と同じ長さを持ち、かつ、正当な特定番号(例えば、MasterCard International Incorporated(「マスターカード」)の場合には”5”)で始まる。この偽似口座番号は、顧客により、彼または彼女のオンライン金銭取引の全てにおいて本当の口座番号の代わりに使用される。
【0008】
同時係属中の出願第09/809,367号の発明によれば、偽似口座番号に基づく全ての取引は、好ましくは、各口座番号に一意な秘密キーを用いて、暗号的にその真実性が証明される。この認証は、公開キーペアにおける私的キーに基づくものであってもよいし(「公開キー認証」)、あるいは、私的キー以外の秘密キー(「秘密キー認証」)に基づくものであってもよい。従って、無資格者が何かの偽似口座番号を確認することがあったとしても、それらを用いて不正な取引をすることはできない
【0009】
さらに、同時係属中の出願第09/833,049号の発明によれば、支払いネットワークを用いて取引を実行する方法が供給される。この方法では、サービスプロバイダーに入手者コードが割り当てられる。さらに具体的に言うと、サービスプロバイダーは、第一支払い口座番号による取引承認を求める、第一承認請求を受け取り、ここに、
(i)前記第一支払い口座番号は、サービスプロバイダーに関連するBINコードを持ち、かつ、前記第二番号の発行者と関連するBINコードを持つ、第二支払い口座番号と関連し、
(ii)第一承認請求は、入手者と関連する入手者コードを含み、および、
(iii)第一承認請求は、第一支払口座番号のBINコードに基づいて、サービスプロバイダーにたいして導通が可能である、ことを特徴とする。
【0010】
この方法においてはさらに、サービスプロバイダーは、第一承認請求にたいし、第二支払い口座番号による取引の承認を求める第二承認請求を伝送することによって応答することを含み、ここに、第二承認請求は、サービスプロバイダーと関連する入手者コードを含み、かつ、発行者のBINコード(すなわち、第二支払い口座番号のBINコード)に基づいて、支払いネットワークを通じて、発行者にたいして導通が可能である。
【0011】
さらに、第二承認請求にたいする応答は、発行者からサービスプロバイダーによって受容され、ここに、同応答は、サービスプロバイダーと関連する入手者コードを含み、そのコードに基づいて支払いネットワークを通じて導通が可能である。次に、第一承認請求にたいする応答は、第二承認請求にたいする応答に基づいて、サービスプロバイダーによって入手者に伝送され、かつ、第一承認請求にたいする応答は好ましくは、入手者と関連する入手者コードを含み、そのコードに基づいて支払いネットワークを介して導通が可能である。
【0012】
同時係属中の出願第09/833,049号の、別の好ましい実施態様では、第二支払い口座番号と関連する第一支払い講座番号を用いて、商人と取引を実行する方法が供給される。ここに、同法は、(a)1個以上の取引明細に基づくメッセージ認証コードを生成し;(b)商人にたいして、少なくとも第一支払い口座番号とメッセージ認証コードを伝送し;(c)商人の側から、第一支払い口座番号を用いて取引支払いにたいする承認を請求し、ここに、請求は、あたかもその支払いが、従来の磁気ストライプ支払いカードによる売り場端末で処理されるようにフォーマットされており、メッセージ認証コードは、従来の支払いカードの磁気ストライプに使用される型のトラックに含まれる、自由選択データフィールドに収められて伝送され;(d)第一支払い口座番号に関する承認請求にたいして、関連する第二支払い口座番号を用いてその取引の支払いにたいする承認を請求することによって応答し、かつ、(e)第二支払い口座番号とメッセージ認証コードにたいする承認請求にたいする応答に基づいて、第一支払い口座番号にたいする承認応答を受容するか、または、断るかすることを含む。
【0013】
このシステムはさらに改善が可能であり、かつ、公共通信ライン上で行われる金銭取引の際に、または、それと関連して伝達されるメッセージや情報を保護するためにさらに安全性・効率を強化することも可能である。
【0014】
(発明の概要)
従って、本発明によれば、公共通信ネットワーク上にて、偽似期限切れ日付を使って口座番号による電子取引を実行する方法が供給される。好ましい方法は、
口座番号と関連するPer−Card Keyを生成すること;
Per−Card Keyを用いてメッセージ認証コードを生成すること;
メッセージ認証コードを偽似期限切れ日付に変換すること;
取引にたいする承認請求を生成することであって、ここに、前記請求は偽似期限切れ日付を含む期限切れ日付フィールドを持ち;および、
前記期限切れ日付に基づいてメッセージ認証コードを検証すること、を含む。
【0015】
この好ましい方法はさらに、真実の期限切れ日付を有する口座番号の発行者を含む支払いネットワークを含み、ここに、前記真実の期限切れ日付を含む第二承認請求が生成され、かつ、前記第二請求は、取引の承認を求めて発行者に進められることを特徴とする。
【0016】
本発明の、一つのさらに詳細な実施態様は、関連偽似口座番号を持つ、支払い口座番号を含み、かつ、下記の行程を含む。すなわち、
(a)支払い口座番号と偽似口座番号とを用いて、偽似口座番号と関連するPer−Card Keyをサービスプロバイダーが生成すること;
(b)前記Per−Card Keyを含む、取引に使用される安全支払いアプリケーションを創成すること;
(c)Per−Card Keyを用いてメッセージ認証コード(”MAC”)を生成すること;
(d)偽似口座番号とMACを含む安全支払いアプリケーションによってMAC検証要求を生成すること;
(e)MACの検証をすること;
(f)前記検証に基づいて、MACにたいして、予想取引順序番号(ETSN)を創成すること;
(g)参照データ付き安全支払いアプリケーションを供給すること;
(h)前記予想取引順序番号とPer−Card Keyを用いて、第二メッセージ認証コードを創成すること;
(i)第二メッセージ認証コードを、参照データを用いて、偽似期限切れ日付に変換すること;
(j)前記偽似期限切れ日付を含む期限切れ日付フィールドを持つ承認請求を生成すること;および、
(k)前記承認請求に応答し、かつ、偽似期限切れ日付に基づいて第二メッセージ認証コードを検証すること、である。
【0017】
本発明の別の実施態様によれば、公共通信ネットワーク上で電子取引を実行する方法であって、支払い口座番号が関連偽似口座番号を持つことを特徴とする方法が供給され、前記方法は、下記を含む。すなわち、
(a)認証キー生成のために使用される、単数または複数のキー生成行程を示すコントロールフィールドを持つ偽似口座番号を供給すること;
(b)前記偽似口座番号のコントロールフィールドに示される、複数のキー生成行程の内の一つを用いて、前記偽似口座番号と関連する認証キーを生成すること;
(c)前記認証キーを用いて、取引にたいして特異的なメッセージ認証コードを生成すること;
(d)メッセージ認証コードと偽似口座番号とを含む承認請求メッセージを生成すること;および、
(e)前記示されたキー生成行程と認証キーとを用いて、メッセージ認証コードを検証すること、である。
【0018】
本発明のさらにもう一つの実施態様によれば、口座番号によって通信ネットワーク上で電子取引を実行する方法であって、
口座番号と関連するPer−Card Keyを生成すること;
前記Per−Card Keyを用いてメッセージ認証コードを生成すること;
前記メッセージ認証コードを、異なるフィールドを持つ承認請求によって、異なるやり方で進めるために、少なくとも二つの異なる動作モード供給すること、を含み、ここに、動作モードの少なくとも一つは、メッセージ認証コードを、期限切れ日付フィールドに進めるものであり、かつ、動作モードの少なくとも一つは、メッセージ認証コードを、メッセージ認証コードフィールドに進めるものである。好ましくは、前記メッセージ認証コードは、メッセージ認証コードフィールドが存在する場合には、自動的にそのメッセージ認証コードフィールドに輸送される。
【0019】
(発明の詳細な説明)
本発明は、インターネットのようなコンピュータネットワーク上において、確実な支払いを実行するための方法およびシステムに向けられる。本発明は、同時係属中の出願連番第09/809,367号に開示される「真実」口座番号(すなわち、発行施設によって発行される、実際のカード支払い口座番号)の代わりに、「偽似」口座番号を利用する。
【0020】
本発明はその利点として、インターネットにおける支払い口座番号の使用について強化された安全性を供給する。本発明によれば、偽似口座番号が盗まれても、それら盗まれた偽似口座番号は、多くの状況下において、インターネット上で不正取り引きを実行するのに使用することはできない。なぜなら、偽似口座番号に基づく取引は、各口座番号について一意な秘密キーを用いて暗号的に認証がされるからである。この秘密キーは、ただ、カード保持者の安全支払いアプリケーション(”SPA”)内部、および、サービスプロバイダー施設の、本申請書を通じてただ例示のために取り上げるのであるが、MasterCard International Incorporated(「マスターカード」)施設の高度に安全な装置の内部のみにあるからである。さらに、偽似口座番号は、カード保持者の真実の口座番号を開示しないので、通常の売り場端末では拒否される可能性が高い。
【0021】
本発明の例示の実施態様を示す、いくつかの図面が付属する。この付属の図面と下記の説明において、マスターカードが、偽似口座番号を供給し、処理する実体を示すために使用される。本申請書に使用される、関連略号は下記の通りである。
BIN―銀行特定番号
DEA―データ暗号化アルゴリスム
PC―消費者のパソコン装置
MAC―メッセージ認証コード
MCI―マスターカードインターナショナルまたはマスターカード
MCWS―マスターカード・ウェブサイト
PIN―個人特定番号
POS―売り場
SPA―安全支払いアプリケーション
SSL―安全ソケット層(インターネット安全用)
TSN―取引連続番号
【0022】
本発明の好ましい実施態様によれば、サービスプロバイダーは、本発明の技法に従って実行される安全支払いシステムの安全支払いアプリケーション(”SPA”)を含む、いくつかの成分を発行し、維持し、および/または、処理する。
【0023】
SPAシステムの成分
好ましくは、SPAシステムは、既存の支払い処理操作(例えばマスターカード)にたいして透明であり、かつ、既存の商人、入手者および発行者の各操作にたいして透明であることが可能である。このシステムは好ましくは、3種のスタンドアローン型成分を利用する。
1.1個以上のSPAウェブサイト
2.カード保持者のPC(またはその他のインターネットアクセス装置)用SPAウォーレット
3.SPA承認/解除システム
【0024】
簡単に言うと、SPAウェブサイトは、新規カード保持者を「登録する」のに用いられ、さらに、モード1(下記に定義される)において、適当なSPA承認/解除システムにたいして、承認請求メッセージを処理する前にそれが受領していなければならないデータを供給するのにも用いられる。
【0025】
SPAウォーレットは、SPA取引で使用するために、PC(またはそれと類似のもの)にダウンロードされるソフトウェアである。これは、カード保持者がアイコン上をクリックすることによって起動される。一旦起動されると、これは、ソフトウェアと、ある任意のカードに特注されたデータとの結合体を用いて、安全にインターネット支払いを実行する。
【0026】
SPA承認/解除システムは、SPA取引を処理し、それを従来の取引に変換する(かつ、ある場合には従来取引から変換する)、物理的コンピュータ装置であり、このような一つの装置が一人以上の発行者のサービスに与る。
【0027】
SPAウェブサイトおよび/またはSPA承認解除システムはまた本申請書ではサービスプロバイダーと呼ばれ、および/または、一人以上のサービスプロバイダーと関連する。
【0028】
SPAモード
4種のSPA操作モードが本システムによってサポートされる。そのモードとは、
モード0:認証なし
モード1:期限切れ日付フィールドによる認証
モード2および3:SPA専用の新規フィールドによる認証
【0029】
モード0および1の利点としては、既存の商人または入手者操作にたいして変更を要求しない。モード2および3は、商人が、その支払い画面に新規フィールドを加え(好ましくは、カード保持者にたいしては表示されない秘密のフィールドで、カード保持者PCのSPAソフトウェアには見分けが可能なフィールド)、かつ、このフィールドがPCによって満たされた場合、商人はこのフィールド(未変更)を入手者に渡し、今度は入手者が、それを(未変更)承認を求めて支払いシステムに渡すことを要求する。これは、他のシステムでは、ICC関連データを輸送するのに用いられるのと同じフィールドである。
【0030】
モード2はまた、商人がカード保持者との1回の取引の結果として第二承認請求を一度でも送っている場合には、この第二の(およびその後の)承認請求メッセージは、期限切れ日付フィールドを持たないことを要求する。このような、それ以後の承認請求メッセージは、メール注文・電話注文として考慮されて、保証はされない。
【0031】
モード3は、モード3が、商人は、期限切れ日付を持つ、その後の承認請求メッセージを送ってはならないという上記要求を課さないという点を除いては、モード2と同じである。モード3では、このようなその後の承認請求メッセージが期限切れ日付を持っているか、いないかは関係がない。
【0032】
モード2は、モード3が行わない制限を課するのであるから、モード2用「秘密フィールド」の特定子は、(1)SPA MACフィールドとして使用可能な秘密フィールドが存在すること、および、(2)商人は決して期限切れ日付付き、後続承認請求メッセージを送ってはいないこと、という事実を搬送しなければならない。モード3で使用可能な「秘密フィールド」はこの第二の制限を持たないがために、別の特定子を持つ。
【0033】
モード3に好適なフィールドは、電子商取引用(例えば、電子商売で使用されるICC用)の全ての支払いシステムによって受容される「汎用」フィールドであってもよい。一方、モード2はこのような「汎用」フィールドを使用することはできない。なぜなら、このモードは、商人が後続承認請求メッセージには決して期限切れ期日を含めないということを「保証」した場合にのみ使用されるからである。従って、モード2は、SPA取引を受容するに当って特別な準備を行った商人についてのみ使用が可能であるのにたいし、モード3では、全ての支払いシステムによって使用が可能となるよう、電子商取引に追加フィールドを備える商人であればいずれの商人においても使用が可能である。
【0034】
モード2または3は、モード0または1に比べて、前者がより効果的な認証を与えるという点で好ましい。SPAは好ましくは、商人の支払い画面中に示される「秘密フィールド」の存在によって、商人がモード2または3をサポートする意図を見て取った場合を除いては、モード0または1で作動する。カード保持者のPC中のSPAは、モード2または3においては常に、商人がこのモードをサポートする場合に作動する。
【0035】
好ましくは、カード保持者のPCは、三つの状態、「状態A」、「状態B」または「状態C」の内の一つにおいて作動する。「状態A」では、PCはモード1か2で作動するが(商人の能力に依存して)、モード0またはモード3では決して作動しない。「状態B」では、PCは、モード1、モード2、または、モード3で作動するが(この場合も商人の能力に依存して)、モード0で作動することは決してない。「状態C」では、PCはモード0、モード2またはモード3(商人の能力に依存して)で作動するが、モード1で作動することは決してない。PCは、SPAウェブサイトからの指令の下に、好ましくはこれらの状態間で切り換えが可能である。
【0036】
「状態A」は、全ての取引がある程度の真実証明を持つという利点を有する。「状態B」は、モード1の提供する真実証明をある程度低下させるが、「汎用」追加フィールドを受容する全ての商人との取引について、実質的により高度の真実証明が得られるという利点を有する。「状態C」は、大手の多くの商人が「汎用」追加フィールドを備えた場合の将来の使用を意図したもので、SPA承認システムに課される保存要求を相当に下げるが、この「汎用」追加フィールドを準備しない商人にたいしては真実証明なしというコストを伴う。従って、次第に多くの商人が「汎用」追加フィールドの受容を可能とはするが、SPA独特のモード2追加フイールドを受容できない場合、発行者は、そのSPAウォーレット用として、「状態A」から「状態B」へ、さらに最終的に「状態C」への移行を実行する。一つの状態から別の状態への移行は好ましくは発行者の選択であり、従って、異なる発行者からのウォーレットは、異なる状態にあることが可能である。
【0037】
SPA特徴
前述のように、SPAは、カード保持者のカード上に見える「真実」口座番号ではなく、偽似口座番号の使用に基づく。偽似口座番号と、対応する「真実」口座番号との間には1対1対応がある。全てのモードにおいてSPAによって同じ偽似番号が用いられる。偽似口座番号のBINは、どのMasterCardカードにも刻印されていない「偽似BIN」である。カード発行者当り一つの偽似BINがあるので、ある偽似口座番号の発行者は特定が可能である。偽似BINの使用は、ある任意の取引の口座番号を、一つの偽似口座番号として特定する。商人や入手者は全て、カード保持者を、偽似口座番号によって知っているが、発行者は、カード保持者を「真実の」口座番号によって知っている。従って、SPAシステムの機能の一つは、同時係属中の出願書にも記述される通り、二つの数字の間を「移動する」ことである。
【0038】
本発明によれば、SPAシステムのもう一つの機能は、SPAモード1、モード2、または、モード3承認請求のそれぞれに随伴する、メッセージ認証コード(”MAC”)を検証することである。モード1の場合、本発明では、MACは、偽似期限切れ日付の形を取り、真実証明される日付は、好ましくは、各モード1取引毎に、SPAウェブサイトを介して搬送される。モード2または3の場合は、MACは、「MACフィールド」、すなわち、全てのモード2/3取引にたいして添加される、新規SPAフィールドの一部となる。真実証明される日付も、このMACフィールドに含まれる。
【0039】
同じSPAが、異なるPC上においてコピーを持つことができる。どのPCでも、いくつかの異なるカードにたいしてSPAウォーレットを持つことが可能である。その場合、そのウォーレットは、異なるカード保持者による制御・使用が可能である。
【0040】
SPAウェブサイト操作―カード登録
PCにおいてカード保持者が、SPAにたいしてある任意のカードを登録したいと思う場合には、彼/彼女は、PCブラウザーを用いてSPAウェブサイトに接触する。(PCではないウェブアクセス・デバイスも、本申請書に記載されるのと同じやり方で作動する。)PCとSPAウェブサイト間で伝達される全てのデータについてSSL暗号化が使用される。ウェブサイトは、自分が、既にロードされたSPAアプリケーションではなく、ブラウザーによってアクセスされたことを感じ取ると、好ましくは下記のように作動する。
【0041】
ウェブサイトは、PCにたいして初発画面を送る。この画面は、「真実」口座番号か、または、そのカード保持者が既にそのカードを何かの(他の)PCに登録しているのであれば、偽似口座番号のいずれかを尋ねる。SPAウェブサイトがその情報を一旦受容すると、そのBINを調べる。ウェブサイトは、発行された全ての偽似BINのリストを保持しているので、先ず、その与えられた口座番号のBINが、そのリストに載っているかどうかを確定する。載っている場合には、それは偽似口座番号であるし、そうでなければ、「真実」口座番号である。
【0042】
BINが「真実の」BINを表わしている場合、SPAウェブサイトは、発行者がSPAに参加しているかどうかを確定する。ウェブサイトは、この作業を、「真実」BINを偽似BINに関連づける第二テーブルを保持することによって行い、かつ、このテーブル中に、問題の「真実」BINに対応する記載を見出したならば、この発行者がSPAに参加していることを承知する。この二つの状況の内のいずれにおいても、SPAウェブサイトは、SPAウォーレットをこのカードにたいして支給が可能であることを承知する。発行者がSPAに参加していない場合は、SPAウェブサイトは好ましくは、メッセージをカード保持者に送り、彼/彼女に、今回はSPAウォーレットは利用できない旨の通知をする。
【0043】
SPAウェブサイトが、カード発行者がSPAをサポートしていることを確定した場合、SPAウェブサイトは第二画面を送る。この画面は好ましくは下記を請求する。
1.カード期限切れ日付
2.カード保持者名、住所および電話番号
3.カード保持者が、その所有/コントロールするPCの前にいるかどうか
4.偽似口座番号ではなく、「真実」口座番号が、第一行程で供給された場合、そのカード保持者が以前にSPA用にそのカードを登録したかどうか、
5.カードが以前にSPAにたいして登録されたことがある場合(前項にたいして「イエス」によって、または、偽似口座番号の使用によって、示された場合)、カード保持者が、その登録時に選択されたパスワードを記憶しているかどうか、
6.カードが以前にSPAにたいして登録されたことがあり、かつ、カード保持者がそのパスワードを覚えている場合(カード保持者が、質問第4を尋ねられ、「イエス」と返答した場合)、その既に選択されたパスワード。
【0044】
質問第5は、カード保持者が第一画面に偽似口座番号を入力した場合は必ず含まれるが、質問第4は尋ねられない。その他の場合は質問第4は尋ねられ、その質問に対してカード保持者が「イエス」と返答した場合は、質問第5が加えられる。質問第5が尋ねられ、「イエス」と返答された場合は、項目第6が加えられる。
【0045】
これがこの口座番号にとって最初の登録である場合、または、カード保持者が、前の登録時のパスワードを覚えていない場合には、SPAウェブサイトは、発行者一意の真実証明用質問を搭載する第三画面をPCに送り、下記のような情報を請求する。(1)カード保持者がメールで受け取った「SPA登録コード」、(2)カードの背に印刷されるCVC2、(3)カード保持者の社会保険番号(または、その数字の一部)、(4)カード保持者の母親の結婚前の姓名。この第三画面の内容は、好ましくは、発行者によって確定され、この発行者が選択した真実証明情報にたいする請求を呈示する。この第三画面はまた、カード保持者がパスワードを入力しなければならない場所を供給する。これは、カード保持者が将来、SPAを活性化する際に、または将来、現在請求中のSPAウォーレットの発行が、カード発行者によって承認されると仮定して、別のPC用にSPAのコピーを請求する際に使用しなければならないからである。注意しなければならないことは、この口座番号に関してSPAが既に存在する場合には、新規のSPAコピーを始めるためには、このパスワードが、以前のパスワードに取って代わらなければならないことである。さらに注意すべきことは、例えば、夫婦が同じ口座番号を共同使用する場合には、その夫婦は同じ偽似口座番号を共有し、従って、別のPCに新規SPAコピーを起動するためには同じパスワードを使用しなければならないことである。(しかしながら、夫/妻がこのパスワードを知らない場合には、真実証明質問に回答することによって、別のPCに新規SPAコピーを起動してもよい。)
【0046】
カード保持者からこの情報を受け取ると、SPAウェブサイトは、呈示された口座番号のBINから、この偽似BINにたいする承認請求を処理するSPA承認システムのアドレスを確定する。これを実行するために、SPAウェブサイトは、偽似BINによってアクセスされるアドレス表を保持し、対応するSPA承認システムのアドレス(単数または複数)を供給する。この決定を行ってから、SPAウェブサイトは、カード保持者から入手した情報を、安全手段(例えば、SSL暗号化の下に)によって、このSPA承認システムに伝送する。ウェブサイトはこのデータのコピーを保持する必要はない。なぜなら、データは、SPA承認システムからウェブサイトに戻されるからである。
【0047】
SPAウェブサイトとSPA承認システムとの間の通信方法は好ましくは、ダイアルアップテレフォン背景の下に、インターネットを介するものである。この場合、アドレス表によって供給されるアドレスは、SPA承認システムのインターネットアドレス、およびまたその電話番号である。別の可能性は、マスターカード・バンクネットのような支払いネットワークを介するもので、この場合は、「アドレス」は単に偽似BINそのものである。
【0048】
一旦SPA承認システムが登録要求を受容すると、それが、示されたBINにとって適正な施設であることを確認する。そうでない場合は、その登録請求を拒絶し、そのようにSPAウェブサイトに通知する。ウェブサイトがその応答を受け取ると、ウェブサイト・オペレーターにメッセージを送り、カード保持者のPCに「お待ち下さい」のメッセージを送る。オペレータが、問題を速やかに(例えば5分)解決できない場合には、SPAウェブサイトは、PCにたいして、只今このカードにたいしてSPAウォーレットを供給することができない旨通知する。
【0049】
SPA承認システムが成功裡に登録を完了した場合には、安全手段によって、好ましくは下記から成るメッセージをSPAウェブサイトに送る。すなわち、
1.カード保持者の名前、住所および電話番号
2.偽似口座番号
3.カード期限切れ日
4.「真実」口座番号の下4桁数字
5.非可逆的に変形されたパスワード
6.カードキー用暗号化パスワード
7.SPAコピー数または単一セッション数
8.SPAバージョン数
9.SPA単一セッションインディケーター
10.SPA状態
11.偽似BINキーインディケーター
12.カード製品名(例えば、「マスターカード」、「マエストロ」、「マスターカード・キャッシュ」
13.「真実」口座番号
14.第1回SPAフラグ(1=たった今確定されたばかりの新規偽似口座番号)
【0050】
SPA承認システムはさらに、回答をカード保持者PCに経路導通させるために、SPAウェブサイトが要求する情報はそれが何であれ全て戻す。
【0051】
このメッセージを受け取ると、SPAウェブサイトは、そのSPAバージョン数に相当するソフトウェアと共に、上記の項目1から12までをSPAウォーレットに収める。このウォーレットにはさらに、モード1およびモード2/3取引連続番号、および、パスワード失敗カウンター用にゼロの初期値が含まれる。次に、SPAウェブサイトは、このSPAデータをカード保持者PCに伝送し、PCにデータは保存される。
【0052】
SPAは、SPAを搭載したそのPCにて使用が可能なカードのメニューを供給する。SPAは好ましくは、PC画面の一列において、各カードに関して下記の情報を供給する。
1.カードの偽似口座番号
2.SPAコピー数(これが単一セッションSPAでない場合)
3.カードの「真実」口座番号の下4桁数字
4.カードの期限切れ日付
5.カード保持者の名前
6.カード製品名(例えば、「マスターカード」、「マエストロ」、「マスターカード・キャッシュ」
【0053】
新規SPAウォーレットがPCのSPAに加えられる度毎に、その新規のカードがこのメニューリストに加えられなければならない。カードは、SPAにたいして登録された順番に、第一登録が第一順位として、列挙される。このリストは、カード保持者によって、現在取引用のカードを選択するのに使用される。前述したように、各カードには、ある特定のソフトウェアセットが関連する(ただし、同じバージョン数を持つ2枚のカードは、同一ソフトウェアを使用する)。注意すべきことは、多くの場合、別のSPAがこのPCにインストールされることは決してなく、従って、このリストには単一のカードしかないことである。
【0054】
これでカード保持者はSPA取引を実行できることになる。
【0055】
SPA承認/解除システム
上に簡単に述べたように、SPAに参加するカード発行者は全て、1個の「一次」SPA承認/解除システムによるサービスを受ける。この場合、要すれば、このシステムは、複数の発行者にサービスを提供することが可能である。フル稼働のSPAシステムの場合、少なくとも1個の「バックアップ」SPA承認/解除システムがあって、このシステムが、一次システムが利用できない場合(例えば、故障)はいつでも使用されるようになっていてもよい。「バックアップ」SPA承認/解除システムを使用すると、SPA取引は完了されるが、(一過性に)安全性の質が低下する。
【0056】
複数の発行者にサービスを提供するSPA承認/解除システムはそれぞれ好ましくは、1個以上の専用サーバーを介してMasterCard’s Banknetのような支払いシステムに接続される。このシステムは、Banknetを通じて承認請求メッセージや解除メッセージを受容し、また、Banknetを通じて発行者と接触する。このようなシステムが好ましくは、そのサポートする発行者にたいして完全に透明なやり方で作動する。
【0057】
SPA承認/解除システムの、単一発行者バージョンも利用が可能である。そのようなバージョンは、直接、発行者の処理システムに接触する。このバージョンは、発行者の側に若干のプログラム再修正を要求する。その修正プログラムは、SPA取引をその偽似BIN(単数または複数)によって認識し、かつ、それらの取引をSPA承認/解除システム(例えば、サービスプロバイダー)に通じて、それによって、偽似口座番号から「真実」口座番号への変換、および、MAC真実証明(承認請求メッセージのみ)を実行させるようになっていなければならない。
【0058】
単一発行者SPA承認/解除システムのもう一つのバージョンは、発行者のMIPとユーザーの処理装置の間にインストールされてもよい。このシステムは、発行者にたいして透明であることは可能であるが、MIPに出入りする全てのトラフィックは、このSPAシステムを通過しなければならない。
【0059】
最後に、ある発行者にたいする承認機能と解除機能は、同じ物理的なボックスによって実行される必要はない。発行者は、その承認請求メッセージを、その発行者にたいしBanknetを介して接触するSPA承認システムに処理させ、一方、その解除メッセージの方は、会員の処理システムに直接接続する、単一発行者SPA解除システムによって処理させてもよい。
【0060】
最初は、比較的小数のSPA承認/解除システムしか無いかも知れない。次第にたくさんの発行者が、または、発行者グループが、自分達のSPA承認/解除システムを持つことを選択するにつれて、元のシステム(たくさんの発行者にサービスを提供する)から適当なデータを、新規のシステム(一人だけの、または、少なくとも元のよりは数少ない発行者にサービスを提供している)へ転送する備えを用意しなければならない。偽似口座番号はそれがいずれのものであれ、好ましくは、ただ一つのSPA承認システムからのサービスだけを受ける。従って、この転送は、転送の時点で進行中のいずれの取引にたいしても、それにたいする障害を最小としながら実行可能となっていなければならない。
【0061】
偽似口座番号
一つの「真実」支払い口座番号にたいして、それと関連する偽似口座番号は、好ましくは長さが16桁数字である。この16桁偽似口座番号は、この口座番号専用の、6桁BINから始まる。BINは、任意の銀行、または、サービスプロバイダー連合の任意の会員にたいして一意であってもよく、また、会員内部の、任意の製品(例えば、ゴールドカードや、組合カード等)にたいして一意であってもよい。
【0062】
BINの直後の2個の数字(または要すれば1個の数字)は、「コントロールフィールド」として予約されていてもよい。このフィールドは、この偽似口座番号と共に使用されるアルゴリスム等を示すものである。
【0063】
チェック桁は偽似口座番号に適正であるから、これにより、約7桁、または要すれば8桁が残されることとなり、従って、各BINは、各コントロールフィールド値について、最大1千万(または1億)の口座番号を表わすことが可能になる。
【0064】
この偽似口座番号構造により、発行者をBINによって一意に特定することが可能となるから、発行者は、(1)「手前共の」取引を特定し、かつ、(2)自分と双方向合意のある他の発行者を特定することが可能となる。後述するように、プログラム修正や、適当な安全モヂュールを入手することに積極的な発行者は、自分達自身の真実証明を実行することが可能となるから、「手前共の」取引も、ある種の他施設の取引も一緒に、その施設自身で実行することが可能になる。このため、その取引をサービスプロバイダー(またはマスターカードSPA施設)に送る必要が無くなる。
【0065】
好ましくは、偽似口座番号のチェック数字を除く右側7(または8)桁数字は、左側6桁数字によって特定される施設内部の、特定の口座を特定する示数である。最初は(コントロールフィールド値によってそう指示されるなら)、この示数は、全施設に共通であってもよい。BIN当り、多数の7桁数字(または8桁数字)組の示数値が、コントロールフィールドにおいて異なる数字を用いることにより利用可能になる。これらの口座番号示数値は好ましくは、サービスプロバイダー、この場合は、MasterCardによって割り当てられる。その数値は、順番に(各施設毎に)または、ランダムに割り当てられてもよい。別法として、順番に割り当て、次に暗号化して(ランダム性を持つ7または8桁十進数字にする)、偽似口座番号として含めてもよい。
【0066】
口座番号示数値をランダムに割り当てる、または、それら順番に割り当ててから、暗号化して偽似口座番号に含めることの利点は、敵(例えば、不正行為をたくらむ人々)が、正当な偽似口座番号を「推量」するのをより困難にすることである。もしも口座番号示数を順番に割り当てられたとすると、敵にとって、使用可能な偽似口座番号を、すなわち、自らに割り当てられた偽似口座番号よりも少ない偽似口座番号を、または、少し大きいものを「推量」することがごく簡単になるからである。ある施設にとって可能な数値の内比較的少数(例えば<10%)しか割り当てられていない時期に、ランダムに割り当てられた、または、暗号化された口座番号示数を用いることによって、敵が、正当な口座番号示数値を「推量」することのできるチャンスは、僅かに10の内約1に過ぎなくなる。これは、敵が、不正に使用することを可能にする偽似口座番号を発見することをより難しくする。
【0067】
発行者が、偽似口座番号付き取引について自身の処理を実行したいと思う場合には、サービスプロバイダーにより、数字順に配した全ての偽似口座番号で、各「真実」口座番号に対応するもののリストを与えられてもよい。この偽似口座番号が実際の示数を含む場合には、サービスプロバイダーは、発行者に、表示順に配した「真実」口座番号のみを与える必要がある。偽似口座番号が暗号化口座番号示数値を含む場合には、サービスプロバイダーは要すれば、発行者に(発行者に一意な)複合化キーを与え、次に、「真実」口座番号を表示順に与えることも可能である。恐らく、サービスプロバイダーは発行者に、逆行テーブル(発行者が、偽似から「真実」への口座番号翻訳を実行する各取引毎に、偽似口座番号を保存する際に要するものと同様の)を与える必要はない。しかしながら、発行者に逆行テーブルを与える必要のある場合には、そのテーブルは、発行された偽似口座番号にたいする各「真実」口座番号と、それに続けて対応偽似口座番号を数値順にリストすることになる。
【0068】
いずれにしろ、サービスプロバイダー施設は、偽似口座番号を「真実」口座番号へ変換し、かつ、「真実」口座番号を偽似口座番号へ変換する能力を付与するテーブルを維持する。
【0069】
カードの認証キーの演算
カードに一意な認証キーは、偽似口座番号と、対応する「真実」口座番号の暗号化処理に基く。そこにおいて中間BIN一意のキーが生成される行程が望ましい。なぜなら、国立SPA施設によって、また、自身SPA取引の証明を実行したいと思っているカード発行者によって利用される場合に備えられるからである。このようにして、全国規模の施設でも、偽似口座番号BIN当りただ一つのキーを与えられるだけでよく、自身認証を実行する発行者も、(例えば)一千万の偽似口座番号当り1個のキーを貰うだけですむ。仮に一つの国立SPA施設のキーが危機に瀕したとしても、他の国々の安全が脅かされることはない。一つの発行者のキーが危機に頻したとしても、他の発行者の安全は脅かされない。
【0070】
任意の偽似口座番号と共に使用されるキー生成行程は、その偽似口座番号のコントロールフィールドによって示されてもよい。前記目的を実行するために可能なキー生成行程は下記のようなものである。すなわち、中央SPA施設のみが、「認証キー誘導キー」と呼ばれる、極秘の3倍長DEAキーを保持する。ある任意の偽似口座番号にたいするPer−Card Keyを創成するために、この中央SPA施設(例えば、マスターカードSPA施設)の安全モヂュールによって実行される好ましい行程は下記の通りである。
1.64ビットフィールドにおいて、各4ビットの、6個の二進コード十進数字と考えられる偽似口座(BIN)の内、左側6桁数字を左に揃え、かつ、右側にゼロを並べよ。24バイトの認証キー誘導キーの左側8バイトを暗号化キーとして用いて、これら64ビットをDEA暗号化せよ。
2.前記24バイト認証キー誘導キーの中央8バイトを復号化キーとして用いて、行程1の結果をDEA復号化せよ。
3.前記24バイト認証キー誘導キーの右側8バイトを暗号化キーとして用いて、行程2の結果をDEA暗号化せよ。
4.行程3の結果を、一意な16バイト対BINキーの左側8バイトとして使用せよ。
5.64ビットフィールドにおいて、各4ビットの、6個の二進コード十進数字と考えられる偽似口座番号(BIN)の内、左側6桁数字を左に揃え、かつ、右側に二進の1を並べよ。24バイトの認証キー誘導キーの左側8バイトを暗号化キーとして用いて、これら64ビットをDEA暗号化せよ。
6.前記24バイト認証キー誘導キーの中央8バイトを復号化キーとして用いて、行程5の結果をDEA復号化せよ。
7.前記24バイト認証キー誘導キーの右側8バイトを暗号化キーとして用いて、行程2の結果をDEA暗号化せよ。
8.行程7の結果を、一意な16バイト対BINキーの右側8バイトとして使用せよ。
9.16桁「真実」(偽似ではない)口座番号(二進コードの十進数字で、右揃えされ、かつ、16桁よりも少ない場合には左に二進のゼロを並べたものと考えられる)を、DEA暗号化キーとして行程4の結果(対BINキーの左側8バイト)を用いて暗号化せよ。
10.行程8の結果(対BINキーの右側8バイト)をキーとして用いて行程9の結果を復号化せよ。
11.行程4の結果(対BINキーの左側8バイト)をDEAキーとして用いて行程10の結果を暗号化せよ。
12.行程11の結果をPer−Card Keyの左側8バイトとして使用せよ。
13.「真実」口座番号の右側16桁(二進コードの十進数字で、右揃えされ、かつ、16桁よりも少ない場合には左に二進のゼロを並べたものと考えられる)に二進パターン0101010...を並べ、次に、DEAキーとして行程4の結果(対BINキーの左側8バイト)を用いて暗号化せよ。
14.行程8の結果(対BINキーの右側8バイト)をDEAキーとして用いて行程13の結果を復号化せよ。
15.行程4の結果(対BINキーの左側8バイト)をDEAキーとして用いて行程14の結果を暗号化せよ。
16.行程15の結果をPer−Card Keyの右側8バイトとして使用せよ。
【0071】
中央SPA施設が、あるカード保持者のPC用にSPAを創成する際、そのアプリケーションの中にPer−Card Key(行程12と16から)を、そのアプリケーションの通常操作時には開示されないやり方で含ませる。
【0072】
メッセージ認証コード付き取引において偽似口座番号を受け取ると、SPA施設はその「真実」口座番号を確定し、次に、MACを検証するために必要なキーを創成するために、前記16個の行程を実行する。
【0073】
SPA施設が、国立SPA施設または発行者の安全モヂュールの中に保持されるべきキーを創成する必要のある場合には、その国にたいして一意な各BINについて、または、その発行者のBINについて、前記行程1から8までを実行する。次に、これらのキーは、国立SPA施設の、または、発行者の安全モヂュールに確実に配送され、こうしてその各キーは、それを創成するために使用された偽似口座番号BIN(およびコントロールフィールド)に関連付けられる。次に、この安全モヂュールは、それが、偽似口座番号、「真実」口座番号、MAC、および、指定コントロールフィールド付きで受け取った各取引毎に、先ず、偽似口座番号BINによって指示されるキーを選択し、次にこのキーを対BINキーとして用いて前記行程9から16までを実行して、MACを証明するためのキーを創成する。
【0074】
SPA起動
次に、図を参照しながら特異的SPA起動を説明する。図1は先ず、金銭取引カードを所持するカード保持者が、本発明の実施態様に従って、インターネット上で、SPAウェブサイトまたはサービスプロバイダーから、安全支払いアプリケーションを入手する様子を描く。最初に、本発明の利点を利用・享受するためには、物理的カードは必要ではなく、ユーザーまたは参加者を特定し、彼/彼女を、金銭取引実行のために口座に結びつける口座番号のみが、保持者(この場合はカード保持者)にたいして発行されることを理解しなければならない。カード保持者は、コンピュータ、携帯電話または電子秘書(PDA)のような、インターネット上で通信が可能な適当な装置を使って、サービスプロバイダーと関連するウェブサイトに接触してもよい。下記の議論では簡単のために、カード保持者は、インターネット上で通信するためにコンピュータを使用するものと仮定する。
【0075】
図1に示す様に、サービスプロバイダー、例えばMasterCard International Incorporated(すなわち、マスターカードの代理店)は、1個以上の物理的に安全なモヂュール12を支配下に置いており、これらモヂュールは、モヂュール内に保存された情報にたいする物理的保護を提供する。これら安全モヂュールは各々1個以上の「誘導キー」を含むが、このキーは、後述するように、安全支払いアプリケーションの内部に供給される、口座一意的秘密暗号キー(Per−Card Key)を創成・再創成するのに使用される。
【0076】
先ず、本発明の好ましい実施態様によれば、カード保持者は、サービスプロバイダーからSPAを入手しなければならない。安全支払いアプリケーション(SPA)をダウンロードして起動するための好ましい行程としては、
1.カード保持者は、インターネットを介してサービスプロバイダーのウェブサイトに接触する(直接に、または、別のウェブサイト、例えば、発行者のウェブサイトからハイパーリンクを通じてそのウェブサイトへ)。
2.カード保持者は、当事者には一般に既知のSSL暗号化の下に、(a)支払いカード口座番号、(b)カード期限切れ日付、および、(c)カード認証情報を供給する。カード認証情報は、例えば、前述したように、カードのCVC値、すなわち、ある種のカードの署名パネルの隣にプリントされる3から4個の数値を含んでいてもよい。この数値は、秘密の暗号化キーを用いて、発行銀行によって生成されるが、その同じキーを用いて検証することが可能である。
3.サービスプロバイダーは、カード口座番号とカード期限切れ日付の合法性を、カード保持者の支払いカードの発行者からゼロ額承認を入手することによって確認してもよい。例えば、マスターカードは、Banknet通信ネットワークを介してこのような承認を入手することが可能である。
4.サービスプロバイダーは、カード保持者の支払いカードの発行者が、そのサービスプロバイダーに、CVC2数値を検証するための暗号キー(単数または複数)を支給してくれた場合、そのCVC2値を証明してもよい。
5.サービスプロバイダーは、他のカード証明情報を、その情報を、証明のために、発行者に送ることによって証明してもよい。このことをやり易くするために、サービスプロバイダーのウェブサイト、または、例えばMCWSは、SPA用登録時に、消費者に尋ねる項目のリストを維持していてもよい。そのような項目のリストとしては、
項目番号 項目説明
01 CVC2
02 PIN
03 母親の結婚前の姓名
04 この口座における最終請求額
05 請求書の宛名の市街名
06 社会保険番号の下4桁数字
【0077】
発行者は、消費者が、発行者によって発行される口座番号を、サービスプロバイダーに登録する際に、サービスプロバイダーにどのデータを供給してもらいたいかを指定することが可能である。発行者は、あるBIN(製品)とは異なる別のBINを取り扱いたい場合には、BIN毎に別々のデータ項目を指定してもよい。サービスプロバイダーのウェブサイトは質問を選び、消費者に返答を促す。結果は、ゼロ額承認請求の一部として発行者に供給される。
【0078】
6.サービスプロバイダー(”SP”)は、カード保持者の供給したデータの合法性を確認した後、偽似口座番号と秘密キーとを創成または選択し、これらのデータ要素を、安全支払いソフトウェアアプリケーション中に組み込む。このアプリケーションは、インターネットにおいて、好ましくはSSL暗号化の下に、カード保持者により、彼/彼女のPCにダウンロード用に利用可能とされる。
【0079】
偽似口座番号は、そのBINとして、偽似口座番号用に予約された、特別BINを有する。偽似口座番号の残りは、サービスプロバイダーによって、テーブル参照行程を経て、「真実」口座番号および、それと関連する期限切れ日付に翻訳されることが可能な数値である。チェック数字は、偽似口座番号において適正である。
【0080】
好ましくは、割り当てられる特別サービスプロバイダーBINは、たくさんのそのような特別BINから成る一組から選ばれたものであってもよく、その組において、各BINは、ある特定の銀行または特定の国または地域、あるいは、ある国または地域内部の特定の製品に対応するものであってもよい。
【0081】
サービスプロバイーダーがSPAに埋め込むことが好ましい、秘密のPer−Card Keyは、各カード口座番号にたいして一意であり、好ましくは、カード口座番号と誘導キーを用いて安全モヂュール内部で導出される。(この行程は下記でさらに詳述する)。導出キーそのものも、さらに高いレベルの導出キーを用いて、同じまたは別の安全モヂュールから導出されてもよい。
【0082】
カード保持者は、安全支払いアプリケーションをダウンロードする前に、パスワードをサービスプロバイダーに供給してもよいし、あるいは、安全支払いアプリケーションがカード保持者のコンピュータにイントールされる際にパスワードを選んでもよい。パスワードが供給または選択されると、カード保持者は、彼または彼女のPC上で安全支払いアプリケーションを起動するためには、そのパスワードを入力することを要求される。
【0083】
当業者ならば認識されるように、サービスプロバイダーは定期的にSPAを更新し、かつ、そのSPAを、ディジタルウォーレット・アプリケーションの一部としてダウンロード可能としてもよい。SPAに加えて、ディジタルウォーレットも下記の内の1個以上を保存してもよい。すなわち、カード保持者の個人情報;パース(手持ち額)アプリケーション;デット(負債)アプリケーション;消費者対消費者アプリケーション;および、その他のアプリケーションであって、これらは全てSPAの下に安全保証される。
【0084】
SPAウォーレット操作―初回セッション起動
PC中のSPAは、カード保持者が、彼/彼女のPC画面上に表示されるSPAアイコンをクリックすると起動される。始めて起動された場合(初回インストール後、または、前に閉じられて後)、SPAによって実行される最初の作業は、カード保持者にたいして、SPAカード(以前にそれにたいしてSPAウォーレットが入手されているカード)の全リストを表示し、カード保持者に、当面の取引に彼/彼女が使いたいと思うカードの選択を促すことである。
【0085】
複数のカード保持者が一つの共通のPCを共有してもよいことに注意しなければならない。このため、カード保持者名は、各SPAカードに関する表示情報の一部となり、また、各カードは、それ自身の、カード保持者選択のSPAパスワードを有する。
【0086】
カード保持者が、この共通リストから一枚のカードを選択したならば、SPAは、好ましくは、このカードに関するパスワード失敗カウンターを検査する。このカウンターが、SPA内部閾値を越えた場合は、このSPAカードでは、不成功に終わったパスワード入力試行が過度の数行われており、再登録しなければならないことをカード保持者に通知する。次に、SPAは二つの選択肢、「再登録」または「キャンセル」を表示する。カード保持者が前者を選択した場合、SPAはSPAウェブサイトに接触し、中断してブラウザーと交代する。カード保持者が後者を選んだ場合、SPAは単純に中断する。
【0087】
SPAが、選択されたカードにたいするパスワード失敗カウンターが指定の閾値を越えていないと判断した場合、カード保持者は、そのカードにたいするパスワードを入力するよう督促される。これは、SPAがこのカードにたいして始めて適用された際に彼/彼女が選択したパスワードである。カード保持者がパスワード入力を完了すると、SPAはこのパスワードを非可逆的に変形して、それを、SPA保存数値と比較する。厳密な照合が見られない場合、SPAは、このカードにたいするパスワード失敗カウンターを進め(これはSPAによってセーブされており、従って、SPAが起動される際に非ゼロ値を持っていてもよい)、パスワードの再入力を促す。この行程が、パスワードが適正に入力されるまで、または、パスワード失敗カウンターが指定の値に達するまで、繰り返される。この後の場合、SPAは、パスワード失敗カウンターの現在数値をセーブし、カード保持者に、前述の「再登録」または「キャンセル」選択肢を与えた後で中断する。カード保持者が、適正なパスワードを入力することに成功せずSPAを非活性化した場合、SPAも、パスワード失敗カウンターの現在数値をセーブする。
【0088】
非可逆的変換された、カード保持者入力のパスワードと、SPA内部に保存される数値との間に厳密な適合が起これば、SPAはパスワード失敗カウンターをリセットし、好ましくはこの証明されたばかりのパスワードを暗号キーとして用いてPer−Card Keyを復号化する。次に、SPAはカード保持者の住所と電話番号を表示し、「あなたの住所と電話番号は変わりましたか?」と尋ね、「イエス」と「ノー」ボタンを供給する。「イエス」をクリックすると、カード保持者に、住所および/または電話番号の訂正を可能とするウィンドーが表示される。
【0089】
SPA次に今選択されたばかりのカードの期限切れ期日を調べ、カードが既に期限切れか(PCのクロックに基づいて)、または、次の30日以内に期限切れになるかを確定する。そうだとすると、SPAは、カード保持者に、彼/彼女はこのカードの新規コピーを受け取っているかどうかを尋ね、もしそうなら、新規カードの期限切れ期日をキーで入力して下さいと頼む。(カード保持者は、「ノー」と言う選択肢を持つ。)これでSPAは、この選択されたばかりのカードについて取引を処理する態勢を整えた。
【0090】
SPA動作
前述したように、安全支払いアプリケーション(”SPA”)は、支払い取引について、下記を含む、異なる動作モードを有していてよい。すなわち、
1.期限切れ日付フィールドのみを用いる認証
2.追加フィールドを用いる認証
【0091】
モード2は、商人が取引において追加フィールドを受容可能な場合に使用されるもので、本申請書では「MACフィールド」と呼ばれる。これは、モード1よりも高度の真実証明を与えるので、実行可能な場合は何時でも使用される。商人は、PC中のSPAにたいして、PCによって記入されてもよいデータフィールド中にMACフィールドを含めることによって、SPAがモード2適合性であることを示さなければならない。(これは、秘密フィールドであってもよく、その場合、カード保持者に表示されない。)PCがSPA実行可能の場合は必ず、上記商人は全て、このMACフィールドを入手者に渡し、従って、そのフィールドを供給することが可能となっていなければならない。
【0092】
PCが商人画面にMACフィールドを見つけることができない場合は、PCはモード1に従って動作する。
【0093】
下記の説明は、実施例によって、この二つのモードにおけるSPAの好ましい動作状態を記述する。
【0094】
カード保持者のPC(またはその他の装置)がそれを通じてSPAを入手する登録行程は下記の通りである。カード保持者のPCによって受容されるSPAソフトウェアは両動作モードをサポートする。各モードにたいして、別々の取引連番が使用される。すなわち、モード1にたいしては一方が、モード2にたいして他方が使われる。両方とも”0”に初期化され、各モード1およびモード2の取引毎に別々に進む。
【0095】
モード1―期限切れ日付フィールドのみを使用する真実証明
モード1では、承認請求メッセージの期限切れ日付フィールドが、ある形式のMACを搬送するのに使用される。この「偽似」期限切れ日付は、全ての期限切れ日付同様、MMYYにフォーマットされる。好ましくは、今日の市場における多くの、または、全ての商人の現時処理システムと共に動作するよう、その偽似期限切れ日付は、次の48ヶ月以内に入るものでなければならない。
【0096】
モード1取引連番は、20個の二進ビットから成り、各モード1取引毎に進められる。従って、220=1百万回のモード1取引が起こるまでは、全部が1から全部がゼロへとサイクルしない。このフィールドの左に、4ビットから成る「バージョン数」がある。これは、ある任意の口座番号用SPAが滞在する各PCにたいして一意の数字である。
【0097】
前述のように、SPAウォーレットは現在表示の画面を調べ、それがMACフィールドを置くことのできる「秘密フィールド」を探す。そのようなフィールドを見つけると、後述のようにモード2またはモード3に進む。
【0098】
SPAがそのフィールドを見つけられない場合、前の取引のために使用したのと同じ言語を用いて、それが「理解」できるフィールド、すなわち、「名前」、「住所」、「電話番号」、「カード番号」および「カード期限切れ日付」を探す。これらのフィールドの多くが見つからない場合、SPAは、カード保持者に画面の言語を選択するように請求する。カード保持者によって選択された言語が、SPAが前に使用していたものと違っている場合は、SPAは試行を繰り返す。SPAが全然または僅かしかフィールドを特定できない場合、カード保持者に、商人支払い画面が本当に存在しているかどうか確認するように尋ねる。(カード保持者のSPAの起動が速すぎることがあり得るからである。)カード保持者が「ノー」を示した場合は(商人支払い画面が表示されていない)、SPAは中断し、制御を以前に走っていたプログラムに戻す(恐らくはブラウザー)。
【0099】
カード保持者が「イエス」を示した場合(支払い画面が表示されている)、または、SPAが、商人支払いフィールドの多くまたは全てを特定可能な場合は、SPAは自動的に、その特定可能なフィールド(いくらかでもあればその全てを)を埋める。次にSPAは、SPAウェブサイトに送るべきメッセージを準備する。PCとSPAウェブサイト間の通信は全て(いずれの方向でも)、SSL暗号化を用いて保護されていなければならない。このメッセージは下記のものから成っていてもよい。すなわち、
1.偽似口座番号(16個の十進数字として)
2.偽似BINキーインディケーター(8ビット)
3.SPA状態インディケーター(1ビット:0=「状態A」、1=「状態B」{「状態C」にはモード1取引は無い})
4.SPAバージョン番号(15ビットとして)。このフィールドは、SPAタイプ(クレジット、デビット、プリペイド)、および、このタイプの改訂番号を示す。クレジットカードSPAの場合、改訂0、SPAバージョン番号は十六進数0000である。
5.単一セッションSPAインディケーター(1ビット:0=正常SPA、1=単一セッションSPA)
6.SPAコピー数または単一セッション数(10ビットとして)
7.最後に使用したモード1取引順序数(20ビットとして)
8.カードの期限切れ日付(4個の二進コード十進数、または、16ビット)
9.MACであり、好ましくは16から32個の二進ビットから成り、好ましくはデータ要素3番から8番まで(好ましくはこの順序で)に載せられ、Per−Card Keyを用いて生成されるMAC。
【0100】
次に、SPAウォーレットが、インタネットを介してSPAウェブサイトに接触し、前記データ要素を伝送する。次にウォーレットは応答を待つ(SPAウェブサイトが、適当なSPA承認システムへ接触している間)。数秒後、SPAウォーレットは、カード保持者にたいして「お待ち下さい」を表示する。次に他のテキストが表示され、カード保持者にたいして、SPAが所望の取引の準備のためにマスターカードに接触中であること、かつ、このため少し時間がかかることを記述する。ディスプレーは好ましくは、数秒に1回変化し、それによって、カード保持者が「何かが現在起こっている」ことが知れるようになっている。
【0101】
過度の時間が経った場合は、SPAウォーレットは再びSPAウェブサイトに接触して、請求を繰り返す。SPAが、通常は接触できるSPAウェブサイトに接触できない場合には、バックアップSPAウェブサイトに接触する。このような試行の指定の時間と回数の後に、SPAが、SPAウェブサイトから応答を得られなかった場合には、SPAは、カード保持者に、「今回は取引を完了することができませんでした」という旨を通知して、中断する。今度はカード保持者は、別のSPAカードを、別の支払い手段(例えば、手動でマスターカード口座番号を入力する)を、または、後に改めて再試行しなければならない。
【0102】
SPAが最終的にSPAウェブサイトから受容する応答は、「進めることができません」表示、「進めることができます」表示、または、「状態を変更してください」表示である。
【0103】
応答が「進めることができません」表示である場合、SPAはさらに「理由」コードを与える。好ましくは、三つの理由がある。
1.このSPAコピー数はもはや有効ではない(なぜなら、比較的最近のSPAコピーが、最後に同じ”n”ビットを持っている)。(同じ偽似口座番号にたいして、有限数のSPAコピー、例えば16、が同時使用される可能性がある)。
2.これは、期限切れとなった、単一セッションSPAである。
3.MACは真実証明されなかった、取引連番が有効でない、または、「...まで無効」―インディケーターが、未来の日付を保持している、あるいは、「無効コピー」フラグが設定されている。
【0104】
「進めることができません」表示が第一理由のためである場合、カード保持者には、好ましくは、下記が通知される。すなわち、
MC−Internet.comに接触して、このPCにたいしてこのカードを再登録しなければなりません。あなたが最初このカードをこのPCに登録してから、この同じカードを、他のPC上で、合計少なくとも16(または別の数)回登録しました。そのため、このPCにおけるあなたの元の登録は無効となりました。
【0105】
「手続不能」表示が第2の理由に対する場合、カードホルダに以下の情報が提供される。
このPC上のこのカードは、4時間(又は他の時間中)だけ使用可能でした。この時間は満了しました。継続のためには、MC-internet.comにコンタクトし、このPCに対してこのカードを再登録する必要があります。
【0106】
上記状況のいずれの場合でも、カードホルダに2個のボタンが提示され、その一方は「再登録」と称され、他方は「取消」と称される。第1のものを起動することによって、PCのSPAが、SPAウェブサイトにコンタクトし、その後中断する。第2のものを起動することによって、PCのSPAが直ぐに中断する。
【0107】
「手続不能」表示が第3の理由に対する場合、試みは、考えられる不正であり、カードホルダに以下の情報が提供される。
手続不能。発行人にコンタクトして下さい。
このメッセージの表示後、SPAは中断します。
【0108】
応答が「変更状態」表示の場合、新たな状態の同一性(identity)が応答に含まれる。PCのSPAは、状態を変更し、この新たな状態に対してこの擬似的なアカウント番号を格納する。これによって他のMode−1を開始してもしなくてもよい。
【0109】
応答が「手続可能」を表す場合、この応答は、(カードホルダに表示されない)以下のデータによって行われる。
1.後に説明する基準日(2進化10進数としての2バイトのフォーマット化されたYYMM。)
2.月数インディケータ(4桁の2進化10進数としての2バイト。)
【0110】
この場合、SPAは、好適には以下のように進行する。
1.Mode−1取引順序番号を増分する。
2.この取引順序番号及びPer−Card Keyを使用して、64ビット2進MACを形成する。
3.この64ビット2進MACを、SPAウェブサイトからの受取直後に基準日及び月数インディケータを用いて擬似満了日に変換する。
4.この擬似満了日を、SPAが示すことができる場合には顧客の支払いスクリーンの「満了日」領域に配置する。
5.擬似アカウント番号を、SPAが示すことができる場合には顧客の支払いスクリーンの「アカウント番号」領域に配置する。
6.SPAが示すことも占有することもできない顧客の支払いスクリーンに任意のアイテムが存在する場合、まだ占有されていない(残りの)アイテムをリストする「ドラッグアンドドロップ」メニューを表示する。
7.顧客に対する基本データが設けられたカードホルダにメッセージを表示し、その後中断する(SPAが未知であり、カードホルダによって手動で入力する必要があるこの顧客を有するカードホルダ顧客番号のような一部のデータが存在することができる。これによって、PCのブラウザは、この充填スクリーンを顧客に送出する。)。
【0111】
「ドラッグアンドドロップ」メニュー中のデータは、SPAが顧客の支払いスクリーンに示すことができなかった以下のアイテムのうちの任意のものを有する。
1.実際の名前(John R.Jones)として表示されるカードホルダ名。
2.実際のアドレス(111 First Street,Ely.NV99999)として表示されるカードホルダのアドレス。
3.実際の電話番号(650−111−2222)として表示されるカードホルダの電話番号。
4.(カードホルダが擬似的なアカウント番号を未知であり又は認識していないので、)単語「カードアカウント番号」として表示されるカードアカウント番号。
5.(擬似的な満了日であり、カードホルダに対して無意味であるので、)単語「カード満了日」として表示されるカード満了日。
スクリーンがこれらアイテムの全てを必要としない場合の「取消」ボタンも存在する。擬似的なアカウント番号及び擬似的な満了日が顧客の支払いスクリーンに示される前に「取消ボタン」に当たった場合、好適には、カードホルダに対して以下のメッセージを表示する。
取消を所望しますか?取消によって支払いを許容することができません。「はい、取り消します」ボタン及び「いいえ、継続します」ボタンが続く。
【0112】
「はい」のボタンを選択する場合、SPAは中断され、(どのプログラムが以前に実行されたとしても)制御はブラウザに戻る。「いいえ」を選択する場合、「取消」ウィンドウが取り除かれ、SPAは「ドラッグアンドドロップ」手順を継続する。
【0113】
SPAが首尾よく完了し、その結果中断すると、制御がブラウザに戻り、かつ、現在充填されている顧客の支払いスクリーンを顧客に送信のためにカードホルダがブラウザを使用すると仮定される。カードホルダが他の購買の準備を行うまで、SPAを再び起動する必要がない。
【0114】
Mode−1 SPA要求の特定の処理
好適には、Mode−1 SPAは、各取引の間、SPAに基づく支払いを実行する前に開始される。図2に示すように、SPAは、ウェブサイト又はサーバ(好適には、マスターカードのサービスプロバイダ)に対して、(例えば)16桁の擬似アカウント番号からなる要求と、実際のアカウント数の4桁の10進日付と、4ビットSPAバージョン数と、20ビットMode−1取引シーケンス番号(TSN)の現在の値と、その後ろ3桁の値に基づく16ビットMACとを送り出す。好適には、MACは、SPA固有の16バイトのカードごとのキーを用いたトリプルDEA暗号化と、20ビットのMode−1取引シーケンス番号に連結した4ビットのSPAバージョン数に(左から右に)連結した(2進10進数としての)16ビットの満了日と、64ビットの領域の左側への桁そろえ及び2進数の1を用いた正当であるか否かのパディングと、結果的に得られる暗号文字の最も左側の16ビットの選択とによって形成される。
【0115】
図3は、Mode1におけるSPA開始及び取引支払い準備に含まれるステップのシーケンスを示す。既に説明したように、SPAは、先ず、ステップ20において、開始要求をサービスプロバイダに送り出す。マスターカードのウェブサイトがこの情報を受け取ると、ステップ22において好適には、特別なセキュリティモジュール装備のSPAシステムを用いて、満了日、SPAバージョン数及び取引シーケンス番号に基づいて、MACを確認する。MACが正当である場合、このシステムは、ステップ24において、取引シーケンス番号を増分して「予測される取引シーケンス番号」を形成するとともに、表示された擬似アカウント番号のBINに対するSPA許可要求を処理するSPA許可システムに対する関連の擬似アカウント番号及びSPAバージョン数に対する「予測される取引シーケンス番号」の更新を行う。しかしながら、ステップ26において、このSPA許可システムは、この擬似アカウント番号及びSPAバージョン数に対して以前受信した最高数の「予測される取引シーケンス番号」以下の「予測される取引シーケンス番号」の場合、直前に受信した「予測される取引シーケンス番号」を拒絶する。このSPA許可システムは、ステップ28において、直前に受信した満了日が付与され、現在記録されている満了日以降の場合には、この擬似アカウント番号に関連した満了日を更新する。
【0116】
この特別なSPAシステムは、以下の二つの基準データ値:1)(実際には本月又は次の月の)フォーマットMMYYを有する4桁の10進数と、2)(10進数)256未満の最大値を有する8ビット2進数の「月数インディケータ」と称されるデータ値を、マスタカードウェブサイトに送信し、その後、ステップ30において、カードホルダのPCのSPAに送信する。このデータは、適切なSPA許可システムに送信される情報に含まれる。
【0117】
擬似満了日の発生
先ず、実際のMode−1取引に対して、Mode−1取引シーケンス数が増分される。その後、左側に4ビットのSPAバージョン数を有する結果的に得られる20ビット数に対して、8バイト領域で左側に桁合わせされ、2進数ゼロを用いた正当であるか否かのパディング及び倍長SPAのカードごとのキーを用いたトリプルDEA暗号化を行う。その結果は、64ビットの2進MACとなる。
【0118】
ステップ32において、取引の擬似満了日領域が、以下のようにして64ビットの2進MACから取得される。
1.「月数インディケータ」(2進数)の最も左にある“1”のビットを選択するとともに、このビット位置から最も右にあるビットまでのビット位置の個数を(最も左にある“1”のビットのビット位置を含めて)計数する。この個数を“N”と称する。例えば、「月数インディケータ」が01010100(10進数で84)の場合、値“N”は7となる。“N”を決定したので、“N”ビットの各々の群として64ビットの2進MACを考察すると、最も右にあるビットを超える左のものを無視する。最も左の群から開始すると、「月数インディケータ」以下で出くわした最初の群を選択する。そのような群が見つからない場合、この群から2Nを減算したものから最も左の群を選択し、(>0かつ<月数インディケータである)この結果を選択値として使用する。
2.ステップ1の結果を2進数1100(10進数で12)で除算して、商及び余りを生成する。これら商及び余りを10進数に変換する。(00から11の範囲の値を有する)10進数の余りを、10進数の「基準日」の最も左の2桁(MM)に加算する。結果が12より大きい場合、結果から12を減算し、結果が12より大きいか否かに関係なく、現在の取引に対する擬似の満了日の最も左の2桁のMMの結果となる。12の減算が要求される結果を取得する場合、商(に1)を増分する。
3.mod−100、ステップ2でも示したように増分する場合もあるステップ2からの2桁の10進数の商に、「基準日」の最も右の2桁(YY)を加算する。現在の取引に対する擬似の満了日の最も右の2桁YYを、結果として使用する。
【0119】
カードホルダと顧客との間の通信
一度、SPAがカードホルダのコンピュータにインストールされると、カードホルダは、好適にはインターネットの支払いに対してSPAを使用し、SPAは、全てのインターネット取引に対してカードホルダの擬似的なアカウント数を提供する。SPA Mode 1において、これがSPA取引であることは、顧客に対して明白である。アカウント番号が実際には擬似のアカウント番号であり、満了日が実際にはMACの表示であるとしても、顧客は、受信する他の任意のインターネットSSLとこの取引が異なることに気付かない。
【0120】
許可要求の取得者の処理
図4は、本発明の実施の形態による、取得者34、サービスプロバイダ(マスターカード)20、発行者36及び購買者38の間の通信を示す。
【0121】
取得者34がインターネットの顧客38から許可要求メッセージを受信すると、BINテーブルの発行者BINをルックアップする。擬似アカウント番号の取引の場合、「発行者」は、サービスプロバイダ又はマスターカードが許可した処理ファシリティに対応する。
【0122】
本発明の一実施の形態において、一部の国が、自国の取引を処理する特別な安全モジュール装備のファシリティを有することができる。そのようなファシリティの各々は、中央のサービスプロバイダの承認のみでセットアップし、取引において処理を行う国用の暗号化キー及びアカウント数変換データのみを保持する。そのような自国のSPAファシリティを有する国において、全ての取引がこのファシリティに送り出され、その結果、同一国の取引が当該国を除外する必要がない。これを、所望の場合には国内の個別の銀行に対して行うこともできる。
【0123】
自国の取引を処理するための国内のSPAファシリティは、全ての取引を中央処理ファシリティに行わせる場合に比べて有用である。
【0124】
許可要求のサービスプロバイダ処理
先ず、アカウント番号が実際には擬似的なアカウント番号であるか否かを発行者BINから決定し、擬似的なアカウント番号である場合、処理のために取引を特定のシステムに送り出す。このシステムは、擬似的なアカウント番号を対応する「実際の」アカウント番号に変換するのに必要なテーブルを格納する。このシステムは、SPAバージョン数及び擬似的なアカウント数に対して、受信した20ビットの最大数の「予測される取引シーケンス番号」の記録も格納し、それは、MACがこの取引シーケンス番号に対して確認されたか否かの表示も伴う。さらに、システムは、MACがまだ確認されていない過去48時間以内に受信した任意の「予測される取引シーケンス番号」を格納する。そのような予測される取引シーケンス番号の各々に関連して、システムは、予測される取引シーケンス番号の各々に適用する「基準日」及び「月数インディケータ」の表示も格納する。
【0125】
「基準日」は、許可要求メッセージ内で許容し得る最新の満了日を表す日付の値である。バックグランドから、一部の顧客が直ちに許可を要求せず、バッチ許可要求を要求する。したがって、この日付は、典型的には取引開始日の1又は2日前となる。
【0126】
「月数インディケータ」は、支払いカードが許容される最終満了日に対応する現在の日付を超える月数を表す。典型的には、この数を48ヶ月とする。
このシステムは、登録が発生する際にカードホルダのPCのSPAに配置された独自かつ秘密の16バイトの暗号化キーを決定する機能を有する安全モジュールも有する。このシステムによって実行される処理は、以下の通りである。
1.格納した上記変換テーブルを用いて、擬似的なアカウント番号から「実際の」アカウント番号を決定する。
2.安全モジュールを用いて、(既に説明したような)擬似的なアカウント番号及び「実際の」アカウント番号を用いたこのSPAに特有の暗号化キーを決定する。
3.MACが未だ確認されていない過去48時間以内に最初に受け取った20ビットの「予測される取引シーケンス番号」を選択する。この20ビットの取引シーケンス番号及びPCのSPAに対して既に規定したような関連のSPAバージョン数を算出する。関連の「予測される取引シーケンス番号」に対する「基準日」及び「月数インディケータ」を用いて、PCに対するSPAに対して既に規定した方法を用いた満了日をこのMACから決定する。この満了日が現在の満了日に等しい場合、MACが検証される。MACの検証となるこの「予測される取引シーケンス番号」に対するエントリは、関連のSPAバージョン番号に対する最高数の「予測される取引シーケンス番号」である場合には「検証されたMAC」としてマークされ、関連のSPAバージョン番号に対する最高数の「予測される取引シーケンス番号」でない場合には削除される。「検証されたMAC」としてマークされるとともに同一のSPAバージョン数に関連した任意の低い番号を付した「予測される取引シーケンス番号」に対するエントリは、削除される。
4.MACがステップ3(又はステップ5)で検証されると、この取引の顧客がこの同一の取引に対する第2の許可要求メッセージを決して送信しないことを既知でない場合、この擬似的なアカウント番号に対する「ヒストリデータ」にエントリを形成する(一部の顧客は、取引後の所定の時間内に商品の全てを搬送することができない場合には同一の取引に対して二度以上の許可要求メッセージを送信するおそれがある。)。このヒストリデータは、既に説明したデータの全てに加えて、顧客及び取得者の同一性と、このエントリに対する「満了日」とを有する。このエントリ満了日を、将来の特定の時間(例えば6ヶ月)とする。
5.MACがステップ3で検証を行わない場合、既に検証したMACに関連しない過去48時間中に受信した最も古いものから最も新しいものまでの他の全ての「予測される取引シーケンス番号」に対して、ステップ3で規定した手順を繰り返す。これらの試みのうちの任意のものに対して、結果的に得られるデータが現在の取引中のものに整合する場合、MACは、検証されたものと考えられる。MACの検証となる20桁の「予測される取引シーケンス番号」は、当該関連したSPAバージョン数に対して最高の「予測された取引シーケンス数」である場合には、「検証されたMAC」としてマークされ、当該関連したSPAバージョン数に対して最高の「予測された取引シーケンス数」でない場合には、削除される。MACがこのステップで検証された場合、ステップ4も実行する。
6.ステップ3又はステップ5でMACが検証を行わない場合、当該擬似的なアカウント数に対する「ヒストリーデータ」がアクセスされる。同一の満了日MACを発生する同一顧客及び取得者に対するこのデータにエントリが存在し、このエントリが満了しなかった場合、MACを許容する(これは、既に認証された取引に対する他の認証要求メッセージであると仮定される。)。このエントリのためにMACが許容される場合、エントリ満了日を、2ヶ月未満の場合には将来に対して約2ヶ月とする必要がある。その理由は、これが「再支払い」となるおそれがあり、他の月におけるこれと同一の取引に対する他の認証要求メッセージとなるおそれがあるからである。
7.MACがステップ3、ステップ5又はステップ6で検証を行わない場合、取引が拒否される。この場合、「断り」応答が取得者に送り出される。
MACが検証されると、マスターカードは、発行者に対する許可要求メッセージをフォーマット化する。許可要求メッセージは、(擬似的なアカウント番号ではなく)「正しい」アカウント番号と、(MACではなく)「正しい」満了日とを有する。しかしながら、マスターカードSPA許可システムは、発行者からの許可応答の受信の予測の際に所得者から受信されるようなアカウント番号領域及び満了日領域の記録を保持する必要がある。
【0127】
発行者に送信される許可応答メッセージにおいて、許可応答が、取得者BINに基づく支払いネットワークを通じて送り出される場合、マスターカードは、取引メッセージの取得者BINを、「擬似的な」取得者BINとしての役割を果たすマスターカードの特定のBINのうちの一つに置換する。取得者BINは、発行者が取得者の代わりにマスターカードに応答するように置換される。許可要求メッセージが来る場所と許可応答メッセージを戻す場所が同一であるという記録を支払いネットワークが保持する場合、このステップを実行する必要はない。
【0128】
取得者及び発行者に対して交換料金を正確に算出するために擬似的な取得者BINが用いられる場合、擬似的な取得者BINは、取得者が配置された国又は結果として同一の交換料金を付与する他の国若しくは領域に対応する必要がある。各国が、それに関連した特定のBINを有する場合、マスターカードは、取得者BINを、取得者の国に関連した特定のBINに置換する。取得者の国が、それに関連した特定のBINを有しない場合、他の国に関連した特定のBINを、同一の交換料金となるものに選択することができる。
【0129】
擬似的な取得者BINを使用する場合、マスターカードは、所得者からの許可要求で受信した取得者参照データ(以後、「オリジナル取得者参照データ」と称する。)をデータベースに格納する。発行者に対して許可メッセージをフォーマット化するに際しに、マスターカードは、オリジナル取得者参照データを、擬似的な取得者BIN、適切な取引タイプのインディケータ及びオリジナル取得者基準データを見つけるためにマスターカードが使用するインデックス値を有する「擬似的な」取得者参照データに置換する。
【0130】
国内的な(national)SPAファシリティが擬似的なアカウント番号の取引を処理する場合、そのファシリティは、以下の様に動作する。しかしながら、この国内的なSPAファシリティは、国内の発行者に対する取引のみ処理し、したがって、その国に適用する暗号化キー及びアカウント番号変換テーブルエントリしか必要としない。
【0131】
SPA許可システムでは、実際の許可要求を受信するまで待機するのに比べて、新たな「予測される取引シーケンス番号」を受信する際にMAC表示の満了日を計算し及び格納するのが有効である。この場合、許可要求を受信すると、許可要求メッセージ中の満了日と、以前の任意の許可要求メッセージ中の満了日に未だ整合しない過去48時間以内に予め計算され及び格納された満了日とを比較する必要がある。
【0132】
許可要求の発行者ハンドリング
図5は、発行者が例えばマスターカード又は許可された国内のSPAファシリティから受信した後の発行者36、マスターカード(サービスプロバイダ)10、取得者34及び本発明の一実施の形態による顧客38の間の通信を示す。
【0133】
発行者は、他の任意の取引のように取引を許可する。許可応答の戻りは、「擬似的な」取得者、すなわち、擬似的なアカウント番号を「正しい」アカウント番号に変換するとともにMAC表示の満了日を検証した同一のマスターカードSPA許可システムに戻される。
【0134】
既に説明したように、このシステムは、取引の(一時的な)記録を維持し、すなわち、アカウント番号の領域及び満了日の領域を、取得者から受け取った値に戻すことができる。取得者から受け取った値に置換されたこれらの領域を有する許可応答は、通常のマスターカードの取引の場合のように、取得者に送出され、取得者から顧客に送出される。
【0135】
SPA許可システムが実際には国内のSPAファシリティである場合、このファシリティは、以前の説明で示した機能を実行する。
【0136】
クリアリング及び清算 (Settlement)
取得者は、通常の方法で取引の清算を行う。取得者は、マスターカードのINET(クリアリング及び清算)システムに行き、そのシステムは、擬似的なアカウント番号を「正しい」アカウント番号に変換する(そのような交換メッセージに満了日の領域は存在しない。)。
【0137】
一度、INETが取引を「正しい」アカウント番号に変換すると、その番号は、他の任意の取引と同様に、発行者に送り出され、クリアリング及び清算される。
【0138】
例外処理
将来の料金返還(chargeback)、コピー要求、又は発行者によって開始されるこの取引に関連する他の任意の例外処理がある場合、それをINET(又はSPA例外処理システム)に送り出す必要があり、この場合、変換は、「正しい」アカウント番号から擬似的なアカウント番号まで行われる。このファシリティが個別の取引の記録を保持する必要がないので、この変換はテーブルに基づくことができる。取引中のデータによって、それが発行者から適切なマスターカードファシリティに送出される。
【0139】
同様に、顧客及び取得者から発行者までの任意の応答は、適切なマスターカードファシリティに送出され、この場合、「正しい」アカウント番号を応答に関連させる。
【0140】
Mode 1に対する他の例
図6は、Mode 1に対する他の例を示す。図6の各“X”は桁を表す。本例では、MACを、取引シーケンスに基づいて発生し、MACは、既に説明した擬似的な満了日となる。さらに、(40,42によって表される)MACを発生するのに使用される取引シーケンス番号の1以上の下方の桁は、擬似的なアカウント番号44で置換される。その桁は、図示したようにカードホルダ番号とチェック桁との間で置換される。
【0141】
本例では、SPAは、取引中にマスターカードウェブサイト又はサーバと通信するのに必要とされない。SPAファシリティは、登録されたSPAの各々に対する取引シーケンス番号のカウンタを維持する。SPAファシリティは、許可要求を受け取ると、擬似的なアカウント番号の取引シーケンス番号の下の桁とともに維持する取引シーケンス番号カウントの上の桁に基づいてMACを発生する。その後、SPAファシリティは、このMACを擬似的な満了日に変換し、この満了日を、許可要求メッセージ中の満了日と比較する。また、SPAファシリティは、取引シーケンス番号が以前の取引からの数の繰り返しでないことを検証する。
【0142】
Mode 2及び3:他の領域を用いた認証
SPAウォレット(wallet)は、(カードホルダが適切な方向に従った場合には)顧客の支払いスクリーンがPC上に表示されるまで有効にならないようにする必要がある。したがって、SPAは、取引の処理の準備を行うと、現在表示されているスクリーンを検査し、見えるものを理解することを試みる。先ず、SPAは、SPA MAC領域である「隠し」領域を探す。
【0143】
Mode−2取引に対して、この領域の識別子を、特定の値とする必要がある。Mode−3取引に対して、この領域の識別子を、互いに相違する値とする必要がある。SPAが、一方がMode−2識別子を有するとともに他方がMode−3識別子を有する二つの隠し領域を見つけた場合、SPAは常に、Mode−2領域を選択し、これをMode−2取引と考える。
【0144】
SPAがこの「隠し」領域を見つけることができる場合、これは、“Mode−2”又は“Mode−3”取引となる。そのような取引の場合、SPAは、「カード番号」領域、「満了日」領域、並びにカードホルダの名前、アドレス及び電話番号を特定する領域も見付けることができる。その理由は、SPAに従う顧客の場合、規格化された方法によってこれらの領域の全てが識別されるからである。この場合、SPAは、支払いスクリーン全体を占有する。
【0145】
Mode−2又はMode−3取引のイベントにおいて、SPAは、以下のような処理を行う。
1.カードホルダの名前、カードホルダのアドレス及びカードホルダの電話番号に対する顧客の支払いスクリーンのエントリを占有する。
2.顧客の支払いスクリーンの「アカウント番号」領域を擬似のアカウント番号で占有する。
3.顧客の支払いスクリーンの「満了日」領域を、(カードホルダが相互に更新された)このカードに対してSPAに記憶された満了日で占有する。
4.Mode−2取引シーケンス番号を増分(し及び永久的に格納)する。
5.MACを形成する。
6.以下に規定するような(上記のようにして発生したMACを有する)MAC領域を形成する。
7.顧客支払いスクリーンの「隠し」領域にMAC領域を配置する。
8.顧客の支払いスクリーンが占有されるとともにそれを送信できるという情報をカードホルダに提供する。
9.サスペンドし、その結果、制御がPCのブラウザに戻される。
カードホルダは、適切な領域を互いに占有するように、SPAが占有したスクリーンを送信する通常のブラウザ機能を用いることが予測される。
【0146】
Mode−2/3 MAC領域は、好適には以下のデータ要素からなる。
1.(8ビットの)擬似BINキーインディケータ
2.(1ビット:0=Mode−2,1=Mode−3の)SPAモードインディケータ
3.(15ビットの)SPAバージョン数。この領域は、SPAタイプ(貸方、借方、前払い)及びこのタイプに対するバージョン数を表す。クレジットカードSPA、リビジョン0及びSPAバージョンに対して、数は全てゼロとなる。
4.(1ビット:0=通常のSPA,1=単一セッションのSPAの)単一セッションSPAインディケータ。
5.(10ビットの)SPAコピー数及び単一セッション数
6.(20ビットの)直前に増分したMode−2/3取引シーケンス番号
7.(4桁の2進化10進数すなわち16ビットの)カードの満了日
8.カードごとのキーを用いて順に発生したデータ要素#2−#7の2進化32ビットのMAC
【0147】
Mode−2及びMode−3は、同一セットの取引シーケンス番号を使用する。したがって、同一の擬似的なアカウント番号に対する同一のPCの同一のカードホルダのSPAからは、Mode−3取引と同一の取引シーケンス番号を有するMode−2取引は決して存在しない。
【0148】
SPAが再び有効になる(非中断状態になる)と、全てのSPAカードのリストを表示し、そのうちの一つを選択するようカードホルダに問い合わせる。しかしながら、SPAが中断されるが閉じられない場合、及び直前に使用されたカードをカードホルダが選択する場合、SPAは、アドレス、電話番号又はカード満了日が変更されたか否かをカードホルダに(再び)問い合わせない。また、SPAは、パスワードを再入力することを要求しない。その代わりに、SPAは、(別の状況ではキーとしてパスワードを用いることによって暗号化される)クリアテキストのカード後とのキーを保持する。このクリアテキストキーは、SPAが閉じられるとき又は他のカードが選択されるときに消去される。
【0149】
Mode 2要求の特定の処理
このモードにおいて、(例えば)13桁の10進数の個別のMAC領域は、SPA固有の領域として取引に含まれる。これら13桁は以下の通りである。
1.“SPA”インディケータ:1桁。この領域は、通常、値1を有する。しかしながら、カードホルダが、(例えばデスクトップコンピュータ又はラップトップコンピュータ上で)同一の「正しい」アカウント番号に対してSPAのコピーを1個より多く有する場合、SPAの他のバージョンは、SPAインディケータフィールドに互いに相違する数を有する(SPA取引シーケンス番号は、SPAのそのようなバージョンの各々に対して独自のものである。)。
2.SPAのこのバージョンに対するSPA取引シーケンス番号:6桁。このフィールドは、この特別のコンピュータで開始したSPA取引に対して増分する(各コンピュータは、SPAのそれ自体のバージョンを有し、したがって、それ自体のセットのシーケンス番号を有するようになる。)。
3.MACそれ自体:6桁。後に説明するように、実際のMACは、上記の二つの領域で算出される。
【0150】
提案されるMAC−発生プロセスは、以下の通りである。
1.SPAバージョン数の7桁を(左に)表示するとともに(このコンピュータに対する)SPA取引シーケンス番号を2進化10進数で表示して、28ビットを生成する。64ビット領域でこれら28ビットを左に桁合わせするとともに、ゼロのビットを用いた正当であるか否かのパディングを行う。
2.暗号化キーとしてカードごとのキーの最も左の8バイトを用いたステップ1の結果のDEA暗号化。
3.暗号化キーとしてカードごとのキーの最も左の8バイトを用いたステップ2の結果のDEA暗号化。
4.暗号化キーとしてカードごとのキーの最も左の8バイトを用いたステップ3の結果のDEA暗号化。
5.ステップ4の結果的に得られる64ビットを、各々が4ビットの16進数と考える。その16進数を(左から右に)走査し、16進数で9未満の値を有する最初の6桁を選択する。そのような6桁が見つからない場合、桁を再走査するとともに16進数で9より大きい桁のみを選択し、かつ、その各々から16進数Aを減算することによって、必要な残りの桁を見つける。
6.この取引に対する6桁の2進MACとしてステップ5の結果を用いる。
MACは、カードホルダのPCのSPAによって発生し、適切なマスターカードSPAファシリティによって検証される。発生の際には、ステップ6に起因する6桁の10進数は、実際のMACとしてMACフィールドに挿入される。検証の際には、SPAファシリティは、MACフィールドの最も左の7桁を用いて上記6ステップを実行し、その後、受信したMACフィールドの最も右の6桁に対して、ステップ6に起因する6桁と比較する。正確な整合は、認証された取引を表す。非整合は、拒否する必要がある取引を表す。
【0151】
カードホルダと顧客との間の通信
MACフィールドが顧客によってサポートされるときには常に、SPAは、取引に関連するMACを形成するために、嵌め込まれた秘密キーを使用し、このMAC及びそれに基づくデータを、取引の一部となるMAC領域に配置する。
【0152】
カードホルダの取引メッセージの受信に応答して、顧客は、取得者に対する通常の認証要求をフォーマット化する。この認証要求は、消費者のPCから提供されるようなMAC領域を有する。
【0153】
顧客が、カードホルダ取引に対して複数の認証/クリアリング取引を開始する場合、これらの取引のうちの最初のもののみがMAC領域及び満了日を有する。次の取引は、擬似的なアカウント番号のみを有し、顧客が発生したメールオーダ及び電話注文取引と考えられる。これは、再び発生する全ての支払い及び複数の複数のクリアリングを伴う部分的な支払いにも当てはまる。
【0154】
認証要求のサービスプロバイダハンドリング
サービスプロバイダは、取引を受け取ると、アカウント番号が擬似的なアカウント番号であるか否かを発行者BINから決定し、擬似的なアカウント番号である場合、処理のために取引を特定のSPA認証システムに送信する。このシステムを、既に説明したよう国内のSPAファシリティとすることができる。このシステムは、MACフィールドの存在から、それがMode−2取引であることを自動的に記す。アカウント番号を擬似的なアカウント番号から対応する「正しい」アカウント番号に変換した後、システムは、MACを形成するためにPCで用いられる実質的には同一の手順を用いて、(既に説明したように)カードごとのキーを決定し、かつ、MACを検証するようこのキーを使用する。システムは、取引シーケンス番号もチェックし、そのために、システムが処理する擬似的なアカウント番号の各々のバージョン数に対して取引シーケンス番号情報を維持する。
【0155】
1.取引シーケンス番号が、少なくとも48時間前に受信したこのSPAのこのバージョンに対する最大の取引シーケンス番号より小さい(又は等しい)場合、又は
2.取引シーケンス番号が、このSPAのこのバージョンに対する既に受信した任意の取引シーケンス番号に整合する場合(これは、過去48時間内に受信した取引シーケンス番号に制約される。)、
システムは取引を拒否する。
【0156】
MAC又は取引シーケンス番号が検証をし損なうと、このファシリティによって、取引が断られる。MACと取引シーケンス番号の両方が検証を行う場合、このファシリティによって、「正しい」アカウント番号(及びカードホルダのPCによって取引に挿入された「正しい」満了日)を有する取引を、発行者に送出する。
【0157】
認証要求の発行者ハンドリング
発行者は、他の任意の取引のように取引を認証する。認証応答は、擬似的なアカウント番号を「正しい」アカウント番号に変換するとともにMACを認証した同一のSPA認証システムに戻す。認証応答を送出する支払いネットワークが応答メッセージ中の取得者BINに基づく場合、擬似的な取得者BINを、既に説明したようにして使用することができる。
【0158】
このシステムは、「正しい」アカウント番号を擬似的なアカウント番号に戻し、元の取引中にあったデータを復元する(Mode 2の場合、開始から取引に保持された満了データは、「正しい」満了データとなり、その結果、この領域を復元する必要はない。)。結果的に得られるメッセージは、取引を通常のように処理するとともに通常の方法で認証応答を顧客に送信する「正しい」取得者に送信される。顧客は、他の任意の取引に対する場合のように認証応答に応答する。
【0159】
取引が国内のSPAファシリティに送出されると、このファシリティは、上記説明で示した機能を実行する。
【0160】
クリアリング及び清算
SPAクリアリングメッセージは、全てのクリアリングメッセージのようにマスターカードINET(クリアリング及び清算)に送出される。SPA取引が認識可能なBINを有するので、INETは、擬似的なアカウント番号を「正しい」アカウント番号に置換する。この取引に対する任意の例外処理が次にある場合、「正しい」アカウント番号を擬似的なアカウント番号に変換できるSPAファシリティに例外処理メッセージが送出されるように、メッセージに対して他の変更が行われる。そのような変化を有するクリアリングメッセージは、通常の方法で取引を処理するカード発行者に送信される。取得者が発行者にもなる場合、マスターカードは、クリアされた取引を、表示された変更及び適切な料金計算を行う取得者/発行者に戻す。
【0161】
例外処理
取引についてのメッセージを発行者から取得者又は顧客に戻す必要がある場合、メッセージは、任意の取引メッセージを処理する場合のように発行者によって処理される。取引記録中のデータによって、マスターカードファシリティにメッセージを送出し、マスターカードファシリティは、「正しい」アカウント番号を擬似的なアカウント番号に戻す。その後、例外処理メッセージは、そのような他の任意のメッセージのようにそれを処理する取得者に送出される。
【0162】
また、取得者と発行者との間で送信が行われる取引についての任意のドキュメンテーションをMCIによって変更し、取得者が擬似的なアカウント番号を受信するとともに、発行者が「正しい」アカウント番号を受信するようにする。そのようなデータが電子的であり、かつ、識別可能である場合、データは内的に変更される。そのようなドキュメンテーションが全体的に電子的でない場合、正しいアカウント番号及び擬似的なアカウント番号を反映する他の形態を形成することができる。そのようなドキュメンテーションを直接取得者に送出する発行者に対して、両方の番号を提供するよう要求することができる。
【0163】
識別用のプラスチックカードの発行
一部の状況において、カードホルダは、インターネットを通じてチケットを購入し、チケットが入場を許容するイベントの出現の際に、取引に使用されるカードを発生してチケットの合法な処理を認証することを要求する。
【0164】
SPAプログラムの開始時に、カードホルダは、「識別目的のみ」であることを明確に表すカードのように擬似的なアカウント番号を示す実際のプラスチックカードを発行する。
【0165】
次いで、擬似的なアカウント番号を用いてカードホルダを合法的に認証する必要がある顧客は、(マスターカードに適切な識別及び認証情報を提供することによって)マスターカードに登録し、顧客は、秘密キーが設けられるとともに、登録の暗号プルーフとして認証を行う。その後、そのような顧客は、「正しい」アカウント番号を取得するために取引データと顧客の権利の両方を認証する暗号化認証の下で擬似的なアカウント番号取引の詳細のコピーを提供することによって、マスターカードファシリティから「正しい」アカウント番号を取得することができる。マスターカードは、暗号化された形態の「正しい」アカウント番号を顧客に送り出し、その結果、カードホルダは、「正しい」アカウント番号に対応するカードを用いて識別される。
【0166】
SPAウォレット動作:Mode−0取引処理
Mode−0は、「状態C」の擬似的なアカウント番号に対するウォレットとともにのみ使用される。それは、Mode−1を「状態A」又は「状態B」で使用する状況の下で使用される(SPAは、SPA MAC領域として使用可能な「隠し」領域に対する識別子を見つけることができない。)。Mode−0で動作する際に、PCのSPAは、単に顧客の支払いスクリーンの「支払い番号」領域の擬似的なアカウント番号及びこのスクリーンの「満了日」領域の実際の満了日の置換を行う。それは、Mode−1に対して説明したように顧客の支払いスクリーンの他の銀行に充填を行う。
本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。
【図面の簡単な説明】
【図1】 本発明の一つの実施態様による取引法に含まれる、いくつかの処理成分のブロックダイアグラムである。
【図2】 本発明の一つの実施態様において、安全支払いアプリケーション初回請求内部に供給される情報の表示である。
【図3】 本発明の一つの実施態様に従って、期限切れ日付フィールド値を入手するために実行される行程を描いたフローダイアグラムである。
【図4】 本発明の一つの実施態様に従って、商人、入手者、サービスプロバイダーおよび発行者の間での通信のフローを描いたフローダイアグラムである。
【図5】 本発明の一つの実施態様に従って、発行者、サービスプロバイダー、入手者および商人の間での情報のフローを描いたフローダイアグラムである。
【図6】 本発明の一つの実施態様に従ってメッセージを送る別法を表わす図である。
優先権申請
本申請書は、2000年8月18日登録、名称「コンピュータネットワーク上で確実なマスターカード支払いを実行するための方法および装置」なる、米国暫定出願第60/226,227号、および、2000年6月21日登録、名称「コンピュータネットワーク上で確実な支払いを実行するための改良法およびシステム」なる、米国暫定出願第60/213,063号に対する優先権を主張するものである。ここに、両暫定申請を引用することにより本申請書に含めることにする。本申請書はさらに、それ自体、2000年4月11日登録、名称「コンピュータネットワーク上で確実な支払いを実行するための方法およびシステム」なる米国特許出願連番60/195,963号、および、2001年3月15日登録、名称「コンピュータネットワークにおける確実な支払いのための方法およびシステム」なる、米国特許出願連番第09/809,367号にたいして優先権を主張する、2001年4月11日登録、名称「コンピュータネットワーク上で確実な支払いを実行する改良法およびシステム」なる、米国特許出願連番第09/833,049号にたいする優先権を主張する。この最後の特許出願を、引用することによって本申請書に含める。
【0002】
(発明の背景)
本発明は、通信ネットワーク上で確実な金銭取引を実行するための方法およびシステム、さらに詳細には、インターネットのようなコンピュータネットワーク上で確実に支払いを伝送し、かつ、公共通信チャンネル上で、微妙な機密情報を確実に伝送するための方法およびシステムに関わる。
【0003】
自明の通り、過去数年において、オンライン商売は巨大な成長を経験してきたが、そのように成長してもなお、消費者は依然として、個人の財政情報を使用すること、および、そのような情報、例えば、クレジットカード番号や個人特定番号を、インターネットのような、公共通信ネットワークを通じて伝送することで患わされたり、そうした伝送を不安に思っている。そのため、過去数年、企業は、コンピュータネットワーク上で行われる支払いの安全性を保証し、かつ、財政情報の剽窃や不正使用の危険を下げるための方法を、しかも、最善の方法を求めてあがいている。
【0004】
例えば、「オンライン取引用、取引仲介番号付き、電子オンライン商業カード」なる名称で、マイクロソフト社に交付された米国特許第5,883,810号は、各取引毎に一時的取引番号を供給し、かつ、それを、恒久口座番号に関連させるシステムに向けられる。取引番号は、一見真のクレジットカード番号のようであり、顧客は、この取引番号を使い、それを、商人にたいして、顧客の口座番号の代用として渡す。このようにすると、顧客は、公共ネットワークを上で彼または彼女の真のクレジットカード番号を伝送する必要がなくなる。
【0005】
前記―810号特許では、商人が取引番号を発行施設に渡すと、次に同施設はこの取引番号をインデックスとして使用し、顧客の真の口座番号にアクセスし、承認作業を処理し、前記取引番号の下に、商人に承認応答を返送する。その結果、顧客はただ取引番号を伝送するだけだからというばかりでなく、その代理番号は単一の買い物にたいしてのみ有効であるために、リスクは意図的に極小にされる。窃盗は「ただ一回の盗みではあまり儲からない。なぜなら、それ(番号)は、他の買い物や取引にたいして繰り返し使用することができないからである」とある。第2カラム、60−61行。
【0006】
従来のシステムにたいする改善には要求がある。特に、各取引において、恒久的口座番号の伝送に代わって、一意の、繰り返し生成される取引番号の創成・伝送の必要を回避する、インターネット上の確実な金銭取引の実行を可能とする方法およびシステムにたいしては要求がある。
【0007】
2001年3月15日登録の、同時係属中の出願第09/809,367号―引用することによって本申請書に含める―によれば、「偽似」口座番号が顧客に割り当てられ、かつ、これは暗号的にその消費者の支払い口座番号にリンクされる。支払い口座番号は、財政施設またはその他の機関によって発行される口座番号で、消費者は、それを用いて、品物および/またはサービスにたいする支払いを実行することが可能になるものである。例えば、支払い口座番号は、クレジットカードまたはデビットカードのような支払いカード、あるいは、消費者のコンピュータに保存される電子キャッシュアプリケーションのような支払いアプリケーションに付属する口座番号であってもよい。この偽似口座番号は、商人にとっては、実際の支払い口座番号のように見える。すなわち、この偽似口座番号は、正当な支払い口座番号と同じ長さを持ち、かつ、正当な特定番号(例えば、MasterCard International Incorporated(「マスターカード」)の場合には”5”)で始まる。この偽似口座番号は、顧客により、彼または彼女のオンライン金銭取引の全てにおいて本当の口座番号の代わりに使用される。
【0008】
同時係属中の出願第09/809,367号の発明によれば、偽似口座番号に基づく全ての取引は、好ましくは、各口座番号に一意な秘密キーを用いて、暗号的にその真実性が証明される。この認証は、公開キーペアにおける私的キーに基づくものであってもよいし(「公開キー認証」)、あるいは、私的キー以外の秘密キー(「秘密キー認証」)に基づくものであってもよい。従って、無資格者が何かの偽似口座番号を確認することがあったとしても、それらを用いて不正な取引をすることはできない
【0009】
さらに、同時係属中の出願第09/833,049号の発明によれば、支払いネットワークを用いて取引を実行する方法が供給される。この方法では、サービスプロバイダーに入手者コードが割り当てられる。さらに具体的に言うと、サービスプロバイダーは、第一支払い口座番号による取引承認を求める、第一承認請求を受け取り、ここに、
(i)前記第一支払い口座番号は、サービスプロバイダーに関連するBINコードを持ち、かつ、前記第二番号の発行者と関連するBINコードを持つ、第二支払い口座番号と関連し、
(ii)第一承認請求は、入手者と関連する入手者コードを含み、および、
(iii)第一承認請求は、第一支払口座番号のBINコードに基づいて、サービスプロバイダーにたいして導通が可能である、ことを特徴とする。
【0010】
この方法においてはさらに、サービスプロバイダーは、第一承認請求にたいし、第二支払い口座番号による取引の承認を求める第二承認請求を伝送することによって応答することを含み、ここに、第二承認請求は、サービスプロバイダーと関連する入手者コードを含み、かつ、発行者のBINコード(すなわち、第二支払い口座番号のBINコード)に基づいて、支払いネットワークを通じて、発行者にたいして導通が可能である。
【0011】
さらに、第二承認請求にたいする応答は、発行者からサービスプロバイダーによって受容され、ここに、同応答は、サービスプロバイダーと関連する入手者コードを含み、そのコードに基づいて支払いネットワークを通じて導通が可能である。次に、第一承認請求にたいする応答は、第二承認請求にたいする応答に基づいて、サービスプロバイダーによって入手者に伝送され、かつ、第一承認請求にたいする応答は好ましくは、入手者と関連する入手者コードを含み、そのコードに基づいて支払いネットワークを介して導通が可能である。
【0012】
同時係属中の出願第09/833,049号の、別の好ましい実施態様では、第二支払い口座番号と関連する第一支払い講座番号を用いて、商人と取引を実行する方法が供給される。ここに、同法は、(a)1個以上の取引明細に基づくメッセージ認証コードを生成し;(b)商人にたいして、少なくとも第一支払い口座番号とメッセージ認証コードを伝送し;(c)商人の側から、第一支払い口座番号を用いて取引支払いにたいする承認を請求し、ここに、請求は、あたかもその支払いが、従来の磁気ストライプ支払いカードによる売り場端末で処理されるようにフォーマットされており、メッセージ認証コードは、従来の支払いカードの磁気ストライプに使用される型のトラックに含まれる、自由選択データフィールドに収められて伝送され;(d)第一支払い口座番号に関する承認請求にたいして、関連する第二支払い口座番号を用いてその取引の支払いにたいする承認を請求することによって応答し、かつ、(e)第二支払い口座番号とメッセージ認証コードにたいする承認請求にたいする応答に基づいて、第一支払い口座番号にたいする承認応答を受容するか、または、断るかすることを含む。
【0013】
このシステムはさらに改善が可能であり、かつ、公共通信ライン上で行われる金銭取引の際に、または、それと関連して伝達されるメッセージや情報を保護するためにさらに安全性・効率を強化することも可能である。
【0014】
(発明の概要)
従って、本発明によれば、公共通信ネットワーク上にて、偽似期限切れ日付を使って口座番号による電子取引を実行する方法が供給される。好ましい方法は、
口座番号と関連するPer−Card Keyを生成すること;
Per−Card Keyを用いてメッセージ認証コードを生成すること;
メッセージ認証コードを偽似期限切れ日付に変換すること;
取引にたいする承認請求を生成することであって、ここに、前記請求は偽似期限切れ日付を含む期限切れ日付フィールドを持ち;および、
前記期限切れ日付に基づいてメッセージ認証コードを検証すること、を含む。
【0015】
この好ましい方法はさらに、真実の期限切れ日付を有する口座番号の発行者を含む支払いネットワークを含み、ここに、前記真実の期限切れ日付を含む第二承認請求が生成され、かつ、前記第二請求は、取引の承認を求めて発行者に進められることを特徴とする。
【0016】
本発明の、一つのさらに詳細な実施態様は、関連偽似口座番号を持つ、支払い口座番号を含み、かつ、下記の行程を含む。すなわち、
(a)支払い口座番号と偽似口座番号とを用いて、偽似口座番号と関連するPer−Card Keyをサービスプロバイダーが生成すること;
(b)前記Per−Card Keyを含む、取引に使用される安全支払いアプリケーションを創成すること;
(c)Per−Card Keyを用いてメッセージ認証コード(”MAC”)を生成すること;
(d)偽似口座番号とMACを含む安全支払いアプリケーションによってMAC検証要求を生成すること;
(e)MACの検証をすること;
(f)前記検証に基づいて、MACにたいして、予想取引順序番号(ETSN)を創成すること;
(g)参照データ付き安全支払いアプリケーションを供給すること;
(h)前記予想取引順序番号とPer−Card Keyを用いて、第二メッセージ認証コードを創成すること;
(i)第二メッセージ認証コードを、参照データを用いて、偽似期限切れ日付に変換すること;
(j)前記偽似期限切れ日付を含む期限切れ日付フィールドを持つ承認請求を生成すること;および、
(k)前記承認請求に応答し、かつ、偽似期限切れ日付に基づいて第二メッセージ認証コードを検証すること、である。
【0017】
本発明の別の実施態様によれば、公共通信ネットワーク上で電子取引を実行する方法であって、支払い口座番号が関連偽似口座番号を持つことを特徴とする方法が供給され、前記方法は、下記を含む。すなわち、
(a)認証キー生成のために使用される、単数または複数のキー生成行程を示すコントロールフィールドを持つ偽似口座番号を供給すること;
(b)前記偽似口座番号のコントロールフィールドに示される、複数のキー生成行程の内の一つを用いて、前記偽似口座番号と関連する認証キーを生成すること;
(c)前記認証キーを用いて、取引にたいして特異的なメッセージ認証コードを生成すること;
(d)メッセージ認証コードと偽似口座番号とを含む承認請求メッセージを生成すること;および、
(e)前記示されたキー生成行程と認証キーとを用いて、メッセージ認証コードを検証すること、である。
【0018】
本発明のさらにもう一つの実施態様によれば、口座番号によって通信ネットワーク上で電子取引を実行する方法であって、
口座番号と関連するPer−Card Keyを生成すること;
前記Per−Card Keyを用いてメッセージ認証コードを生成すること;
前記メッセージ認証コードを、異なるフィールドを持つ承認請求によって、異なるやり方で進めるために、少なくとも二つの異なる動作モード供給すること、を含み、ここに、動作モードの少なくとも一つは、メッセージ認証コードを、期限切れ日付フィールドに進めるものであり、かつ、動作モードの少なくとも一つは、メッセージ認証コードを、メッセージ認証コードフィールドに進めるものである。好ましくは、前記メッセージ認証コードは、メッセージ認証コードフィールドが存在する場合には、自動的にそのメッセージ認証コードフィールドに輸送される。
【0019】
(発明の詳細な説明)
本発明は、インターネットのようなコンピュータネットワーク上において、確実な支払いを実行するための方法およびシステムに向けられる。本発明は、同時係属中の出願連番第09/809,367号に開示される「真実」口座番号(すなわち、発行施設によって発行される、実際のカード支払い口座番号)の代わりに、「偽似」口座番号を利用する。
【0020】
本発明はその利点として、インターネットにおける支払い口座番号の使用について強化された安全性を供給する。本発明によれば、偽似口座番号が盗まれても、それら盗まれた偽似口座番号は、多くの状況下において、インターネット上で不正取り引きを実行するのに使用することはできない。なぜなら、偽似口座番号に基づく取引は、各口座番号について一意な秘密キーを用いて暗号的に認証がされるからである。この秘密キーは、ただ、カード保持者の安全支払いアプリケーション(”SPA”)内部、および、サービスプロバイダー施設の、本申請書を通じてただ例示のために取り上げるのであるが、MasterCard International Incorporated(「マスターカード」)施設の高度に安全な装置の内部のみにあるからである。さらに、偽似口座番号は、カード保持者の真実の口座番号を開示しないので、通常の売り場端末では拒否される可能性が高い。
【0021】
本発明の例示の実施態様を示す、いくつかの図面が付属する。この付属の図面と下記の説明において、マスターカードが、偽似口座番号を供給し、処理する実体を示すために使用される。本申請書に使用される、関連略号は下記の通りである。
BIN―銀行特定番号
DEA―データ暗号化アルゴリスム
PC―消費者のパソコン装置
MAC―メッセージ認証コード
MCI―マスターカードインターナショナルまたはマスターカード
MCWS―マスターカード・ウェブサイト
PIN―個人特定番号
POS―売り場
SPA―安全支払いアプリケーション
SSL―安全ソケット層(インターネット安全用)
TSN―取引連続番号
【0022】
本発明の好ましい実施態様によれば、サービスプロバイダーは、本発明の技法に従って実行される安全支払いシステムの安全支払いアプリケーション(”SPA”)を含む、いくつかの成分を発行し、維持し、および/または、処理する。
【0023】
SPAシステムの成分
好ましくは、SPAシステムは、既存の支払い処理操作(例えばマスターカード)にたいして透明であり、かつ、既存の商人、入手者および発行者の各操作にたいして透明であることが可能である。このシステムは好ましくは、3種のスタンドアローン型成分を利用する。
1.1個以上のSPAウェブサイト
2.カード保持者のPC(またはその他のインターネットアクセス装置)用SPAウォーレット
3.SPA承認/解除システム
【0024】
簡単に言うと、SPAウェブサイトは、新規カード保持者を「登録する」のに用いられ、さらに、モード1(下記に定義される)において、適当なSPA承認/解除システムにたいして、承認請求メッセージを処理する前にそれが受領していなければならないデータを供給するのにも用いられる。
【0025】
SPAウォーレットは、SPA取引で使用するために、PC(またはそれと類似のもの)にダウンロードされるソフトウェアである。これは、カード保持者がアイコン上をクリックすることによって起動される。一旦起動されると、これは、ソフトウェアと、ある任意のカードに特注されたデータとの結合体を用いて、安全にインターネット支払いを実行する。
【0026】
SPA承認/解除システムは、SPA取引を処理し、それを従来の取引に変換する(かつ、ある場合には従来取引から変換する)、物理的コンピュータ装置であり、このような一つの装置が一人以上の発行者のサービスに与る。
【0027】
SPAウェブサイトおよび/またはSPA承認解除システムはまた本申請書ではサービスプロバイダーと呼ばれ、および/または、一人以上のサービスプロバイダーと関連する。
【0028】
SPAモード
4種のSPA操作モードが本システムによってサポートされる。そのモードとは、
モード0:認証なし
モード1:期限切れ日付フィールドによる認証
モード2および3:SPA専用の新規フィールドによる認証
【0029】
モード0および1の利点としては、既存の商人または入手者操作にたいして変更を要求しない。モード2および3は、商人が、その支払い画面に新規フィールドを加え(好ましくは、カード保持者にたいしては表示されない秘密のフィールドで、カード保持者PCのSPAソフトウェアには見分けが可能なフィールド)、かつ、このフィールドがPCによって満たされた場合、商人はこのフィールド(未変更)を入手者に渡し、今度は入手者が、それを(未変更)承認を求めて支払いシステムに渡すことを要求する。これは、他のシステムでは、ICC関連データを輸送するのに用いられるのと同じフィールドである。
【0030】
モード2はまた、商人がカード保持者との1回の取引の結果として第二承認請求を一度でも送っている場合には、この第二の(およびその後の)承認請求メッセージは、期限切れ日付フィールドを持たないことを要求する。このような、それ以後の承認請求メッセージは、メール注文・電話注文として考慮されて、保証はされない。
【0031】
モード3は、モード3が、商人は、期限切れ日付を持つ、その後の承認請求メッセージを送ってはならないという上記要求を課さないという点を除いては、モード2と同じである。モード3では、このようなその後の承認請求メッセージが期限切れ日付を持っているか、いないかは関係がない。
【0032】
モード2は、モード3が行わない制限を課するのであるから、モード2用「秘密フィールド」の特定子は、(1)SPA MACフィールドとして使用可能な秘密フィールドが存在すること、および、(2)商人は決して期限切れ日付付き、後続承認請求メッセージを送ってはいないこと、という事実を搬送しなければならない。モード3で使用可能な「秘密フィールド」はこの第二の制限を持たないがために、別の特定子を持つ。
【0033】
モード3に好適なフィールドは、電子商取引用(例えば、電子商売で使用されるICC用)の全ての支払いシステムによって受容される「汎用」フィールドであってもよい。一方、モード2はこのような「汎用」フィールドを使用することはできない。なぜなら、このモードは、商人が後続承認請求メッセージには決して期限切れ期日を含めないということを「保証」した場合にのみ使用されるからである。従って、モード2は、SPA取引を受容するに当って特別な準備を行った商人についてのみ使用が可能であるのにたいし、モード3では、全ての支払いシステムによって使用が可能となるよう、電子商取引に追加フィールドを備える商人であればいずれの商人においても使用が可能である。
【0034】
モード2または3は、モード0または1に比べて、前者がより効果的な認証を与えるという点で好ましい。SPAは好ましくは、商人の支払い画面中に示される「秘密フィールド」の存在によって、商人がモード2または3をサポートする意図を見て取った場合を除いては、モード0または1で作動する。カード保持者のPC中のSPAは、モード2または3においては常に、商人がこのモードをサポートする場合に作動する。
【0035】
好ましくは、カード保持者のPCは、三つの状態、「状態A」、「状態B」または「状態C」の内の一つにおいて作動する。「状態A」では、PCはモード1か2で作動するが(商人の能力に依存して)、モード0またはモード3では決して作動しない。「状態B」では、PCは、モード1、モード2、または、モード3で作動するが(この場合も商人の能力に依存して)、モード0で作動することは決してない。「状態C」では、PCはモード0、モード2またはモード3(商人の能力に依存して)で作動するが、モード1で作動することは決してない。PCは、SPAウェブサイトからの指令の下に、好ましくはこれらの状態間で切り換えが可能である。
【0036】
「状態A」は、全ての取引がある程度の真実証明を持つという利点を有する。「状態B」は、モード1の提供する真実証明をある程度低下させるが、「汎用」追加フィールドを受容する全ての商人との取引について、実質的により高度の真実証明が得られるという利点を有する。「状態C」は、大手の多くの商人が「汎用」追加フィールドを備えた場合の将来の使用を意図したもので、SPA承認システムに課される保存要求を相当に下げるが、この「汎用」追加フィールドを準備しない商人にたいしては真実証明なしというコストを伴う。従って、次第に多くの商人が「汎用」追加フィールドの受容を可能とはするが、SPA独特のモード2追加フイールドを受容できない場合、発行者は、そのSPAウォーレット用として、「状態A」から「状態B」へ、さらに最終的に「状態C」への移行を実行する。一つの状態から別の状態への移行は好ましくは発行者の選択であり、従って、異なる発行者からのウォーレットは、異なる状態にあることが可能である。
【0037】
SPA特徴
前述のように、SPAは、カード保持者のカード上に見える「真実」口座番号ではなく、偽似口座番号の使用に基づく。偽似口座番号と、対応する「真実」口座番号との間には1対1対応がある。全てのモードにおいてSPAによって同じ偽似番号が用いられる。偽似口座番号のBINは、どのMasterCardカードにも刻印されていない「偽似BIN」である。カード発行者当り一つの偽似BINがあるので、ある偽似口座番号の発行者は特定が可能である。偽似BINの使用は、ある任意の取引の口座番号を、一つの偽似口座番号として特定する。商人や入手者は全て、カード保持者を、偽似口座番号によって知っているが、発行者は、カード保持者を「真実の」口座番号によって知っている。従って、SPAシステムの機能の一つは、同時係属中の出願書にも記述される通り、二つの数字の間を「移動する」ことである。
【0038】
本発明によれば、SPAシステムのもう一つの機能は、SPAモード1、モード2、または、モード3承認請求のそれぞれに随伴する、メッセージ認証コード(”MAC”)を検証することである。モード1の場合、本発明では、MACは、偽似期限切れ日付の形を取り、真実証明される日付は、好ましくは、各モード1取引毎に、SPAウェブサイトを介して搬送される。モード2または3の場合は、MACは、「MACフィールド」、すなわち、全てのモード2/3取引にたいして添加される、新規SPAフィールドの一部となる。真実証明される日付も、このMACフィールドに含まれる。
【0039】
同じSPAが、異なるPC上においてコピーを持つことができる。どのPCでも、いくつかの異なるカードにたいしてSPAウォーレットを持つことが可能である。その場合、そのウォーレットは、異なるカード保持者による制御・使用が可能である。
【0040】
SPAウェブサイト操作―カード登録
PCにおいてカード保持者が、SPAにたいしてある任意のカードを登録したいと思う場合には、彼/彼女は、PCブラウザーを用いてSPAウェブサイトに接触する。(PCではないウェブアクセス・デバイスも、本申請書に記載されるのと同じやり方で作動する。)PCとSPAウェブサイト間で伝達される全てのデータについてSSL暗号化が使用される。ウェブサイトは、自分が、既にロードされたSPAアプリケーションではなく、ブラウザーによってアクセスされたことを感じ取ると、好ましくは下記のように作動する。
【0041】
ウェブサイトは、PCにたいして初発画面を送る。この画面は、「真実」口座番号か、または、そのカード保持者が既にそのカードを何かの(他の)PCに登録しているのであれば、偽似口座番号のいずれかを尋ねる。SPAウェブサイトがその情報を一旦受容すると、そのBINを調べる。ウェブサイトは、発行された全ての偽似BINのリストを保持しているので、先ず、その与えられた口座番号のBINが、そのリストに載っているかどうかを確定する。載っている場合には、それは偽似口座番号であるし、そうでなければ、「真実」口座番号である。
【0042】
BINが「真実の」BINを表わしている場合、SPAウェブサイトは、発行者がSPAに参加しているかどうかを確定する。ウェブサイトは、この作業を、「真実」BINを偽似BINに関連づける第二テーブルを保持することによって行い、かつ、このテーブル中に、問題の「真実」BINに対応する記載を見出したならば、この発行者がSPAに参加していることを承知する。この二つの状況の内のいずれにおいても、SPAウェブサイトは、SPAウォーレットをこのカードにたいして支給が可能であることを承知する。発行者がSPAに参加していない場合は、SPAウェブサイトは好ましくは、メッセージをカード保持者に送り、彼/彼女に、今回はSPAウォーレットは利用できない旨の通知をする。
【0043】
SPAウェブサイトが、カード発行者がSPAをサポートしていることを確定した場合、SPAウェブサイトは第二画面を送る。この画面は好ましくは下記を請求する。
1.カード期限切れ日付
2.カード保持者名、住所および電話番号
3.カード保持者が、その所有/コントロールするPCの前にいるかどうか
4.偽似口座番号ではなく、「真実」口座番号が、第一行程で供給された場合、そのカード保持者が以前にSPA用にそのカードを登録したかどうか、
5.カードが以前にSPAにたいして登録されたことがある場合(前項にたいして「イエス」によって、または、偽似口座番号の使用によって、示された場合)、カード保持者が、その登録時に選択されたパスワードを記憶しているかどうか、
6.カードが以前にSPAにたいして登録されたことがあり、かつ、カード保持者がそのパスワードを覚えている場合(カード保持者が、質問第4を尋ねられ、「イエス」と返答した場合)、その既に選択されたパスワード。
【0044】
質問第5は、カード保持者が第一画面に偽似口座番号を入力した場合は必ず含まれるが、質問第4は尋ねられない。その他の場合は質問第4は尋ねられ、その質問に対してカード保持者が「イエス」と返答した場合は、質問第5が加えられる。質問第5が尋ねられ、「イエス」と返答された場合は、項目第6が加えられる。
【0045】
これがこの口座番号にとって最初の登録である場合、または、カード保持者が、前の登録時のパスワードを覚えていない場合には、SPAウェブサイトは、発行者一意の真実証明用質問を搭載する第三画面をPCに送り、下記のような情報を請求する。(1)カード保持者がメールで受け取った「SPA登録コード」、(2)カードの背に印刷されるCVC2、(3)カード保持者の社会保険番号(または、その数字の一部)、(4)カード保持者の母親の結婚前の姓名。この第三画面の内容は、好ましくは、発行者によって確定され、この発行者が選択した真実証明情報にたいする請求を呈示する。この第三画面はまた、カード保持者がパスワードを入力しなければならない場所を供給する。これは、カード保持者が将来、SPAを活性化する際に、または将来、現在請求中のSPAウォーレットの発行が、カード発行者によって承認されると仮定して、別のPC用にSPAのコピーを請求する際に使用しなければならないからである。注意しなければならないことは、この口座番号に関してSPAが既に存在する場合には、新規のSPAコピーを始めるためには、このパスワードが、以前のパスワードに取って代わらなければならないことである。さらに注意すべきことは、例えば、夫婦が同じ口座番号を共同使用する場合には、その夫婦は同じ偽似口座番号を共有し、従って、別のPCに新規SPAコピーを起動するためには同じパスワードを使用しなければならないことである。(しかしながら、夫/妻がこのパスワードを知らない場合には、真実証明質問に回答することによって、別のPCに新規SPAコピーを起動してもよい。)
【0046】
カード保持者からこの情報を受け取ると、SPAウェブサイトは、呈示された口座番号のBINから、この偽似BINにたいする承認請求を処理するSPA承認システムのアドレスを確定する。これを実行するために、SPAウェブサイトは、偽似BINによってアクセスされるアドレス表を保持し、対応するSPA承認システムのアドレス(単数または複数)を供給する。この決定を行ってから、SPAウェブサイトは、カード保持者から入手した情報を、安全手段(例えば、SSL暗号化の下に)によって、このSPA承認システムに伝送する。ウェブサイトはこのデータのコピーを保持する必要はない。なぜなら、データは、SPA承認システムからウェブサイトに戻されるからである。
【0047】
SPAウェブサイトとSPA承認システムとの間の通信方法は好ましくは、ダイアルアップテレフォン背景の下に、インターネットを介するものである。この場合、アドレス表によって供給されるアドレスは、SPA承認システムのインターネットアドレス、およびまたその電話番号である。別の可能性は、マスターカード・バンクネットのような支払いネットワークを介するもので、この場合は、「アドレス」は単に偽似BINそのものである。
【0048】
一旦SPA承認システムが登録要求を受容すると、それが、示されたBINにとって適正な施設であることを確認する。そうでない場合は、その登録請求を拒絶し、そのようにSPAウェブサイトに通知する。ウェブサイトがその応答を受け取ると、ウェブサイト・オペレーターにメッセージを送り、カード保持者のPCに「お待ち下さい」のメッセージを送る。オペレータが、問題を速やかに(例えば5分)解決できない場合には、SPAウェブサイトは、PCにたいして、只今このカードにたいしてSPAウォーレットを供給することができない旨通知する。
【0049】
SPA承認システムが成功裡に登録を完了した場合には、安全手段によって、好ましくは下記から成るメッセージをSPAウェブサイトに送る。すなわち、
1.カード保持者の名前、住所および電話番号
2.偽似口座番号
3.カード期限切れ日
4.「真実」口座番号の下4桁数字
5.非可逆的に変形されたパスワード
6.カードキー用暗号化パスワード
7.SPAコピー数または単一セッション数
8.SPAバージョン数
9.SPA単一セッションインディケーター
10.SPA状態
11.偽似BINキーインディケーター
12.カード製品名(例えば、「マスターカード」、「マエストロ」、「マスターカード・キャッシュ」
13.「真実」口座番号
14.第1回SPAフラグ(1=たった今確定されたばかりの新規偽似口座番号)
【0050】
SPA承認システムはさらに、回答をカード保持者PCに経路導通させるために、SPAウェブサイトが要求する情報はそれが何であれ全て戻す。
【0051】
このメッセージを受け取ると、SPAウェブサイトは、そのSPAバージョン数に相当するソフトウェアと共に、上記の項目1から12までをSPAウォーレットに収める。このウォーレットにはさらに、モード1およびモード2/3取引連続番号、および、パスワード失敗カウンター用にゼロの初期値が含まれる。次に、SPAウェブサイトは、このSPAデータをカード保持者PCに伝送し、PCにデータは保存される。
【0052】
SPAは、SPAを搭載したそのPCにて使用が可能なカードのメニューを供給する。SPAは好ましくは、PC画面の一列において、各カードに関して下記の情報を供給する。
1.カードの偽似口座番号
2.SPAコピー数(これが単一セッションSPAでない場合)
3.カードの「真実」口座番号の下4桁数字
4.カードの期限切れ日付
5.カード保持者の名前
6.カード製品名(例えば、「マスターカード」、「マエストロ」、「マスターカード・キャッシュ」
【0053】
新規SPAウォーレットがPCのSPAに加えられる度毎に、その新規のカードがこのメニューリストに加えられなければならない。カードは、SPAにたいして登録された順番に、第一登録が第一順位として、列挙される。このリストは、カード保持者によって、現在取引用のカードを選択するのに使用される。前述したように、各カードには、ある特定のソフトウェアセットが関連する(ただし、同じバージョン数を持つ2枚のカードは、同一ソフトウェアを使用する)。注意すべきことは、多くの場合、別のSPAがこのPCにインストールされることは決してなく、従って、このリストには単一のカードしかないことである。
【0054】
これでカード保持者はSPA取引を実行できることになる。
【0055】
SPA承認/解除システム
上に簡単に述べたように、SPAに参加するカード発行者は全て、1個の「一次」SPA承認/解除システムによるサービスを受ける。この場合、要すれば、このシステムは、複数の発行者にサービスを提供することが可能である。フル稼働のSPAシステムの場合、少なくとも1個の「バックアップ」SPA承認/解除システムがあって、このシステムが、一次システムが利用できない場合(例えば、故障)はいつでも使用されるようになっていてもよい。「バックアップ」SPA承認/解除システムを使用すると、SPA取引は完了されるが、(一過性に)安全性の質が低下する。
【0056】
複数の発行者にサービスを提供するSPA承認/解除システムはそれぞれ好ましくは、1個以上の専用サーバーを介してMasterCard’s Banknetのような支払いシステムに接続される。このシステムは、Banknetを通じて承認請求メッセージや解除メッセージを受容し、また、Banknetを通じて発行者と接触する。このようなシステムが好ましくは、そのサポートする発行者にたいして完全に透明なやり方で作動する。
【0057】
SPA承認/解除システムの、単一発行者バージョンも利用が可能である。そのようなバージョンは、直接、発行者の処理システムに接触する。このバージョンは、発行者の側に若干のプログラム再修正を要求する。その修正プログラムは、SPA取引をその偽似BIN(単数または複数)によって認識し、かつ、それらの取引をSPA承認/解除システム(例えば、サービスプロバイダー)に通じて、それによって、偽似口座番号から「真実」口座番号への変換、および、MAC真実証明(承認請求メッセージのみ)を実行させるようになっていなければならない。
【0058】
単一発行者SPA承認/解除システムのもう一つのバージョンは、発行者のMIPとユーザーの処理装置の間にインストールされてもよい。このシステムは、発行者にたいして透明であることは可能であるが、MIPに出入りする全てのトラフィックは、このSPAシステムを通過しなければならない。
【0059】
最後に、ある発行者にたいする承認機能と解除機能は、同じ物理的なボックスによって実行される必要はない。発行者は、その承認請求メッセージを、その発行者にたいしBanknetを介して接触するSPA承認システムに処理させ、一方、その解除メッセージの方は、会員の処理システムに直接接続する、単一発行者SPA解除システムによって処理させてもよい。
【0060】
最初は、比較的小数のSPA承認/解除システムしか無いかも知れない。次第にたくさんの発行者が、または、発行者グループが、自分達のSPA承認/解除システムを持つことを選択するにつれて、元のシステム(たくさんの発行者にサービスを提供する)から適当なデータを、新規のシステム(一人だけの、または、少なくとも元のよりは数少ない発行者にサービスを提供している)へ転送する備えを用意しなければならない。偽似口座番号はそれがいずれのものであれ、好ましくは、ただ一つのSPA承認システムからのサービスだけを受ける。従って、この転送は、転送の時点で進行中のいずれの取引にたいしても、それにたいする障害を最小としながら実行可能となっていなければならない。
【0061】
偽似口座番号
一つの「真実」支払い口座番号にたいして、それと関連する偽似口座番号は、好ましくは長さが16桁数字である。この16桁偽似口座番号は、この口座番号専用の、6桁BINから始まる。BINは、任意の銀行、または、サービスプロバイダー連合の任意の会員にたいして一意であってもよく、また、会員内部の、任意の製品(例えば、ゴールドカードや、組合カード等)にたいして一意であってもよい。
【0062】
BINの直後の2個の数字(または要すれば1個の数字)は、「コントロールフィールド」として予約されていてもよい。このフィールドは、この偽似口座番号と共に使用されるアルゴリスム等を示すものである。
【0063】
チェック桁は偽似口座番号に適正であるから、これにより、約7桁、または要すれば8桁が残されることとなり、従って、各BINは、各コントロールフィールド値について、最大1千万(または1億)の口座番号を表わすことが可能になる。
【0064】
この偽似口座番号構造により、発行者をBINによって一意に特定することが可能となるから、発行者は、(1)「手前共の」取引を特定し、かつ、(2)自分と双方向合意のある他の発行者を特定することが可能となる。後述するように、プログラム修正や、適当な安全モヂュールを入手することに積極的な発行者は、自分達自身の真実証明を実行することが可能となるから、「手前共の」取引も、ある種の他施設の取引も一緒に、その施設自身で実行することが可能になる。このため、その取引をサービスプロバイダー(またはマスターカードSPA施設)に送る必要が無くなる。
【0065】
好ましくは、偽似口座番号のチェック数字を除く右側7(または8)桁数字は、左側6桁数字によって特定される施設内部の、特定の口座を特定する示数である。最初は(コントロールフィールド値によってそう指示されるなら)、この示数は、全施設に共通であってもよい。BIN当り、多数の7桁数字(または8桁数字)組の示数値が、コントロールフィールドにおいて異なる数字を用いることにより利用可能になる。これらの口座番号示数値は好ましくは、サービスプロバイダー、この場合は、MasterCardによって割り当てられる。その数値は、順番に(各施設毎に)または、ランダムに割り当てられてもよい。別法として、順番に割り当て、次に暗号化して(ランダム性を持つ7または8桁十進数字にする)、偽似口座番号として含めてもよい。
【0066】
口座番号示数値をランダムに割り当てる、または、それら順番に割り当ててから、暗号化して偽似口座番号に含めることの利点は、敵(例えば、不正行為をたくらむ人々)が、正当な偽似口座番号を「推量」するのをより困難にすることである。もしも口座番号示数を順番に割り当てられたとすると、敵にとって、使用可能な偽似口座番号を、すなわち、自らに割り当てられた偽似口座番号よりも少ない偽似口座番号を、または、少し大きいものを「推量」することがごく簡単になるからである。ある施設にとって可能な数値の内比較的少数(例えば<10%)しか割り当てられていない時期に、ランダムに割り当てられた、または、暗号化された口座番号示数を用いることによって、敵が、正当な口座番号示数値を「推量」することのできるチャンスは、僅かに10の内約1に過ぎなくなる。これは、敵が、不正に使用することを可能にする偽似口座番号を発見することをより難しくする。
【0067】
発行者が、偽似口座番号付き取引について自身の処理を実行したいと思う場合には、サービスプロバイダーにより、数字順に配した全ての偽似口座番号で、各「真実」口座番号に対応するもののリストを与えられてもよい。この偽似口座番号が実際の示数を含む場合には、サービスプロバイダーは、発行者に、表示順に配した「真実」口座番号のみを与える必要がある。偽似口座番号が暗号化口座番号示数値を含む場合には、サービスプロバイダーは要すれば、発行者に(発行者に一意な)複合化キーを与え、次に、「真実」口座番号を表示順に与えることも可能である。恐らく、サービスプロバイダーは発行者に、逆行テーブル(発行者が、偽似から「真実」への口座番号翻訳を実行する各取引毎に、偽似口座番号を保存する際に要するものと同様の)を与える必要はない。しかしながら、発行者に逆行テーブルを与える必要のある場合には、そのテーブルは、発行された偽似口座番号にたいする各「真実」口座番号と、それに続けて対応偽似口座番号を数値順にリストすることになる。
【0068】
いずれにしろ、サービスプロバイダー施設は、偽似口座番号を「真実」口座番号へ変換し、かつ、「真実」口座番号を偽似口座番号へ変換する能力を付与するテーブルを維持する。
【0069】
カードの認証キーの演算
カードに一意な認証キーは、偽似口座番号と、対応する「真実」口座番号の暗号化処理に基く。そこにおいて中間BIN一意のキーが生成される行程が望ましい。なぜなら、国立SPA施設によって、また、自身SPA取引の証明を実行したいと思っているカード発行者によって利用される場合に備えられるからである。このようにして、全国規模の施設でも、偽似口座番号BIN当りただ一つのキーを与えられるだけでよく、自身認証を実行する発行者も、(例えば)一千万の偽似口座番号当り1個のキーを貰うだけですむ。仮に一つの国立SPA施設のキーが危機に瀕したとしても、他の国々の安全が脅かされることはない。一つの発行者のキーが危機に頻したとしても、他の発行者の安全は脅かされない。
【0070】
任意の偽似口座番号と共に使用されるキー生成行程は、その偽似口座番号のコントロールフィールドによって示されてもよい。前記目的を実行するために可能なキー生成行程は下記のようなものである。すなわち、中央SPA施設のみが、「認証キー誘導キー」と呼ばれる、極秘の3倍長DEAキーを保持する。ある任意の偽似口座番号にたいするPer−Card Keyを創成するために、この中央SPA施設(例えば、マスターカードSPA施設)の安全モヂュールによって実行される好ましい行程は下記の通りである。
1.64ビットフィールドにおいて、各4ビットの、6個の二進コード十進数字と考えられる偽似口座(BIN)の内、左側6桁数字を左に揃え、かつ、右側にゼロを並べよ。24バイトの認証キー誘導キーの左側8バイトを暗号化キーとして用いて、これら64ビットをDEA暗号化せよ。
2.前記24バイト認証キー誘導キーの中央8バイトを復号化キーとして用いて、行程1の結果をDEA復号化せよ。
3.前記24バイト認証キー誘導キーの右側8バイトを暗号化キーとして用いて、行程2の結果をDEA暗号化せよ。
4.行程3の結果を、一意な16バイト対BINキーの左側8バイトとして使用せよ。
5.64ビットフィールドにおいて、各4ビットの、6個の二進コード十進数字と考えられる偽似口座番号(BIN)の内、左側6桁数字を左に揃え、かつ、右側に二進の1を並べよ。24バイトの認証キー誘導キーの左側8バイトを暗号化キーとして用いて、これら64ビットをDEA暗号化せよ。
6.前記24バイト認証キー誘導キーの中央8バイトを復号化キーとして用いて、行程5の結果をDEA復号化せよ。
7.前記24バイト認証キー誘導キーの右側8バイトを暗号化キーとして用いて、行程2の結果をDEA暗号化せよ。
8.行程7の結果を、一意な16バイト対BINキーの右側8バイトとして使用せよ。
9.16桁「真実」(偽似ではない)口座番号(二進コードの十進数字で、右揃えされ、かつ、16桁よりも少ない場合には左に二進のゼロを並べたものと考えられる)を、DEA暗号化キーとして行程4の結果(対BINキーの左側8バイト)を用いて暗号化せよ。
10.行程8の結果(対BINキーの右側8バイト)をキーとして用いて行程9の結果を復号化せよ。
11.行程4の結果(対BINキーの左側8バイト)をDEAキーとして用いて行程10の結果を暗号化せよ。
12.行程11の結果をPer−Card Keyの左側8バイトとして使用せよ。
13.「真実」口座番号の右側16桁(二進コードの十進数字で、右揃えされ、かつ、16桁よりも少ない場合には左に二進のゼロを並べたものと考えられる)に二進パターン0101010...を並べ、次に、DEAキーとして行程4の結果(対BINキーの左側8バイト)を用いて暗号化せよ。
14.行程8の結果(対BINキーの右側8バイト)をDEAキーとして用いて行程13の結果を復号化せよ。
15.行程4の結果(対BINキーの左側8バイト)をDEAキーとして用いて行程14の結果を暗号化せよ。
16.行程15の結果をPer−Card Keyの右側8バイトとして使用せよ。
【0071】
中央SPA施設が、あるカード保持者のPC用にSPAを創成する際、そのアプリケーションの中にPer−Card Key(行程12と16から)を、そのアプリケーションの通常操作時には開示されないやり方で含ませる。
【0072】
メッセージ認証コード付き取引において偽似口座番号を受け取ると、SPA施設はその「真実」口座番号を確定し、次に、MACを検証するために必要なキーを創成するために、前記16個の行程を実行する。
【0073】
SPA施設が、国立SPA施設または発行者の安全モヂュールの中に保持されるべきキーを創成する必要のある場合には、その国にたいして一意な各BINについて、または、その発行者のBINについて、前記行程1から8までを実行する。次に、これらのキーは、国立SPA施設の、または、発行者の安全モヂュールに確実に配送され、こうしてその各キーは、それを創成するために使用された偽似口座番号BIN(およびコントロールフィールド)に関連付けられる。次に、この安全モヂュールは、それが、偽似口座番号、「真実」口座番号、MAC、および、指定コントロールフィールド付きで受け取った各取引毎に、先ず、偽似口座番号BINによって指示されるキーを選択し、次にこのキーを対BINキーとして用いて前記行程9から16までを実行して、MACを証明するためのキーを創成する。
【0074】
SPA起動
次に、図を参照しながら特異的SPA起動を説明する。図1は先ず、金銭取引カードを所持するカード保持者が、本発明の実施態様に従って、インターネット上で、SPAウェブサイトまたはサービスプロバイダーから、安全支払いアプリケーションを入手する様子を描く。最初に、本発明の利点を利用・享受するためには、物理的カードは必要ではなく、ユーザーまたは参加者を特定し、彼/彼女を、金銭取引実行のために口座に結びつける口座番号のみが、保持者(この場合はカード保持者)にたいして発行されることを理解しなければならない。カード保持者は、コンピュータ、携帯電話または電子秘書(PDA)のような、インターネット上で通信が可能な適当な装置を使って、サービスプロバイダーと関連するウェブサイトに接触してもよい。下記の議論では簡単のために、カード保持者は、インターネット上で通信するためにコンピュータを使用するものと仮定する。
【0075】
図1に示す様に、サービスプロバイダー、例えばMasterCard International Incorporated(すなわち、マスターカードの代理店)は、1個以上の物理的に安全なモヂュール12を支配下に置いており、これらモヂュールは、モヂュール内に保存された情報にたいする物理的保護を提供する。これら安全モヂュールは各々1個以上の「誘導キー」を含むが、このキーは、後述するように、安全支払いアプリケーションの内部に供給される、口座一意的秘密暗号キー(Per−Card Key)を創成・再創成するのに使用される。
【0076】
先ず、本発明の好ましい実施態様によれば、カード保持者は、サービスプロバイダーからSPAを入手しなければならない。安全支払いアプリケーション(SPA)をダウンロードして起動するための好ましい行程としては、
1.カード保持者は、インターネットを介してサービスプロバイダーのウェブサイトに接触する(直接に、または、別のウェブサイト、例えば、発行者のウェブサイトからハイパーリンクを通じてそのウェブサイトへ)。
2.カード保持者は、当事者には一般に既知のSSL暗号化の下に、(a)支払いカード口座番号、(b)カード期限切れ日付、および、(c)カード認証情報を供給する。カード認証情報は、例えば、前述したように、カードのCVC値、すなわち、ある種のカードの署名パネルの隣にプリントされる3から4個の数値を含んでいてもよい。この数値は、秘密の暗号化キーを用いて、発行銀行によって生成されるが、その同じキーを用いて検証することが可能である。
3.サービスプロバイダーは、カード口座番号とカード期限切れ日付の合法性を、カード保持者の支払いカードの発行者からゼロ額承認を入手することによって確認してもよい。例えば、マスターカードは、Banknet通信ネットワークを介してこのような承認を入手することが可能である。
4.サービスプロバイダーは、カード保持者の支払いカードの発行者が、そのサービスプロバイダーに、CVC2数値を検証するための暗号キー(単数または複数)を支給してくれた場合、そのCVC2値を証明してもよい。
5.サービスプロバイダーは、他のカード証明情報を、その情報を、証明のために、発行者に送ることによって証明してもよい。このことをやり易くするために、サービスプロバイダーのウェブサイト、または、例えばMCWSは、SPA用登録時に、消費者に尋ねる項目のリストを維持していてもよい。そのような項目のリストとしては、
項目番号 項目説明
01 CVC2
02 PIN
03 母親の結婚前の姓名
04 この口座における最終請求額
05 請求書の宛名の市街名
06 社会保険番号の下4桁数字
【0077】
発行者は、消費者が、発行者によって発行される口座番号を、サービスプロバイダーに登録する際に、サービスプロバイダーにどのデータを供給してもらいたいかを指定することが可能である。発行者は、あるBIN(製品)とは異なる別のBINを取り扱いたい場合には、BIN毎に別々のデータ項目を指定してもよい。サービスプロバイダーのウェブサイトは質問を選び、消費者に返答を促す。結果は、ゼロ額承認請求の一部として発行者に供給される。
【0078】
6.サービスプロバイダー(”SP”)は、カード保持者の供給したデータの合法性を確認した後、偽似口座番号と秘密キーとを創成または選択し、これらのデータ要素を、安全支払いソフトウェアアプリケーション中に組み込む。このアプリケーションは、インターネットにおいて、好ましくはSSL暗号化の下に、カード保持者により、彼/彼女のPCにダウンロード用に利用可能とされる。
【0079】
偽似口座番号は、そのBINとして、偽似口座番号用に予約された、特別BINを有する。偽似口座番号の残りは、サービスプロバイダーによって、テーブル参照行程を経て、「真実」口座番号および、それと関連する期限切れ日付に翻訳されることが可能な数値である。チェック数字は、偽似口座番号において適正である。
【0080】
好ましくは、割り当てられる特別サービスプロバイダーBINは、たくさんのそのような特別BINから成る一組から選ばれたものであってもよく、その組において、各BINは、ある特定の銀行または特定の国または地域、あるいは、ある国または地域内部の特定の製品に対応するものであってもよい。
【0081】
サービスプロバイーダーがSPAに埋め込むことが好ましい、秘密のPer−Card Keyは、各カード口座番号にたいして一意であり、好ましくは、カード口座番号と誘導キーを用いて安全モヂュール内部で導出される。(この行程は下記でさらに詳述する)。導出キーそのものも、さらに高いレベルの導出キーを用いて、同じまたは別の安全モヂュールから導出されてもよい。
【0082】
カード保持者は、安全支払いアプリケーションをダウンロードする前に、パスワードをサービスプロバイダーに供給してもよいし、あるいは、安全支払いアプリケーションがカード保持者のコンピュータにイントールされる際にパスワードを選んでもよい。パスワードが供給または選択されると、カード保持者は、彼または彼女のPC上で安全支払いアプリケーションを起動するためには、そのパスワードを入力することを要求される。
【0083】
当業者ならば認識されるように、サービスプロバイダーは定期的にSPAを更新し、かつ、そのSPAを、ディジタルウォーレット・アプリケーションの一部としてダウンロード可能としてもよい。SPAに加えて、ディジタルウォーレットも下記の内の1個以上を保存してもよい。すなわち、カード保持者の個人情報;パース(手持ち額)アプリケーション;デット(負債)アプリケーション;消費者対消費者アプリケーション;および、その他のアプリケーションであって、これらは全てSPAの下に安全保証される。
【0084】
SPAウォーレット操作―初回セッション起動
PC中のSPAは、カード保持者が、彼/彼女のPC画面上に表示されるSPAアイコンをクリックすると起動される。始めて起動された場合(初回インストール後、または、前に閉じられて後)、SPAによって実行される最初の作業は、カード保持者にたいして、SPAカード(以前にそれにたいしてSPAウォーレットが入手されているカード)の全リストを表示し、カード保持者に、当面の取引に彼/彼女が使いたいと思うカードの選択を促すことである。
【0085】
複数のカード保持者が一つの共通のPCを共有してもよいことに注意しなければならない。このため、カード保持者名は、各SPAカードに関する表示情報の一部となり、また、各カードは、それ自身の、カード保持者選択のSPAパスワードを有する。
【0086】
カード保持者が、この共通リストから一枚のカードを選択したならば、SPAは、好ましくは、このカードに関するパスワード失敗カウンターを検査する。このカウンターが、SPA内部閾値を越えた場合は、このSPAカードでは、不成功に終わったパスワード入力試行が過度の数行われており、再登録しなければならないことをカード保持者に通知する。次に、SPAは二つの選択肢、「再登録」または「キャンセル」を表示する。カード保持者が前者を選択した場合、SPAはSPAウェブサイトに接触し、中断してブラウザーと交代する。カード保持者が後者を選んだ場合、SPAは単純に中断する。
【0087】
SPAが、選択されたカードにたいするパスワード失敗カウンターが指定の閾値を越えていないと判断した場合、カード保持者は、そのカードにたいするパスワードを入力するよう督促される。これは、SPAがこのカードにたいして始めて適用された際に彼/彼女が選択したパスワードである。カード保持者がパスワード入力を完了すると、SPAはこのパスワードを非可逆的に変形して、それを、SPA保存数値と比較する。厳密な照合が見られない場合、SPAは、このカードにたいするパスワード失敗カウンターを進め(これはSPAによってセーブされており、従って、SPAが起動される際に非ゼロ値を持っていてもよい)、パスワードの再入力を促す。この行程が、パスワードが適正に入力されるまで、または、パスワード失敗カウンターが指定の値に達するまで、繰り返される。この後の場合、SPAは、パスワード失敗カウンターの現在数値をセーブし、カード保持者に、前述の「再登録」または「キャンセル」選択肢を与えた後で中断する。カード保持者が、適正なパスワードを入力することに成功せずSPAを非活性化した場合、SPAも、パスワード失敗カウンターの現在数値をセーブする。
【0088】
非可逆的変換された、カード保持者入力のパスワードと、SPA内部に保存される数値との間に厳密な適合が起これば、SPAはパスワード失敗カウンターをリセットし、好ましくはこの証明されたばかりのパスワードを暗号キーとして用いてPer−Card Keyを復号化する。次に、SPAはカード保持者の住所と電話番号を表示し、「あなたの住所と電話番号は変わりましたか?」と尋ね、「イエス」と「ノー」ボタンを供給する。「イエス」をクリックすると、カード保持者に、住所および/または電話番号の訂正を可能とするウィンドーが表示される。
【0089】
SPA次に今選択されたばかりのカードの期限切れ期日を調べ、カードが既に期限切れか(PCのクロックに基づいて)、または、次の30日以内に期限切れになるかを確定する。そうだとすると、SPAは、カード保持者に、彼/彼女はこのカードの新規コピーを受け取っているかどうかを尋ね、もしそうなら、新規カードの期限切れ期日をキーで入力して下さいと頼む。(カード保持者は、「ノー」と言う選択肢を持つ。)これでSPAは、この選択されたばかりのカードについて取引を処理する態勢を整えた。
【0090】
SPA動作
前述したように、安全支払いアプリケーション(”SPA”)は、支払い取引について、下記を含む、異なる動作モードを有していてよい。すなわち、
1.期限切れ日付フィールドのみを用いる認証
2.追加フィールドを用いる認証
【0091】
モード2は、商人が取引において追加フィールドを受容可能な場合に使用されるもので、本申請書では「MACフィールド」と呼ばれる。これは、モード1よりも高度の真実証明を与えるので、実行可能な場合は何時でも使用される。商人は、PC中のSPAにたいして、PCによって記入されてもよいデータフィールド中にMACフィールドを含めることによって、SPAがモード2適合性であることを示さなければならない。(これは、秘密フィールドであってもよく、その場合、カード保持者に表示されない。)PCがSPA実行可能の場合は必ず、上記商人は全て、このMACフィールドを入手者に渡し、従って、そのフィールドを供給することが可能となっていなければならない。
【0092】
PCが商人画面にMACフィールドを見つけることができない場合は、PCはモード1に従って動作する。
【0093】
下記の説明は、実施例によって、この二つのモードにおけるSPAの好ましい動作状態を記述する。
【0094】
カード保持者のPC(またはその他の装置)がそれを通じてSPAを入手する登録行程は下記の通りである。カード保持者のPCによって受容されるSPAソフトウェアは両動作モードをサポートする。各モードにたいして、別々の取引連番が使用される。すなわち、モード1にたいしては一方が、モード2にたいして他方が使われる。両方とも”0”に初期化され、各モード1およびモード2の取引毎に別々に進む。
【0095】
モード1―期限切れ日付フィールドのみを使用する真実証明
モード1では、承認請求メッセージの期限切れ日付フィールドが、ある形式のMACを搬送するのに使用される。この「偽似」期限切れ日付は、全ての期限切れ日付同様、MMYYにフォーマットされる。好ましくは、今日の市場における多くの、または、全ての商人の現時処理システムと共に動作するよう、その偽似期限切れ日付は、次の48ヶ月以内に入るものでなければならない。
【0096】
モード1取引連番は、20個の二進ビットから成り、各モード1取引毎に進められる。従って、220=1百万回のモード1取引が起こるまでは、全部が1から全部がゼロへとサイクルしない。このフィールドの左に、4ビットから成る「バージョン数」がある。これは、ある任意の口座番号用SPAが滞在する各PCにたいして一意の数字である。
【0097】
前述のように、SPAウォーレットは現在表示の画面を調べ、それがMACフィールドを置くことのできる「秘密フィールド」を探す。そのようなフィールドを見つけると、後述のようにモード2またはモード3に進む。
【0098】
SPAがそのフィールドを見つけられない場合、前の取引のために使用したのと同じ言語を用いて、それが「理解」できるフィールド、すなわち、「名前」、「住所」、「電話番号」、「カード番号」および「カード期限切れ日付」を探す。これらのフィールドの多くが見つからない場合、SPAは、カード保持者に画面の言語を選択するように請求する。カード保持者によって選択された言語が、SPAが前に使用していたものと違っている場合は、SPAは試行を繰り返す。SPAが全然または僅かしかフィールドを特定できない場合、カード保持者に、商人支払い画面が本当に存在しているかどうか確認するように尋ねる。(カード保持者のSPAの起動が速すぎることがあり得るからである。)カード保持者が「ノー」を示した場合は(商人支払い画面が表示されていない)、SPAは中断し、制御を以前に走っていたプログラムに戻す(恐らくはブラウザー)。
【0099】
カード保持者が「イエス」を示した場合(支払い画面が表示されている)、または、SPAが、商人支払いフィールドの多くまたは全てを特定可能な場合は、SPAは自動的に、その特定可能なフィールド(いくらかでもあればその全てを)を埋める。次にSPAは、SPAウェブサイトに送るべきメッセージを準備する。PCとSPAウェブサイト間の通信は全て(いずれの方向でも)、SSL暗号化を用いて保護されていなければならない。このメッセージは下記のものから成っていてもよい。すなわち、
1.偽似口座番号(16個の十進数字として)
2.偽似BINキーインディケーター(8ビット)
3.SPA状態インディケーター(1ビット:0=「状態A」、1=「状態B」{「状態C」にはモード1取引は無い})
4.SPAバージョン番号(15ビットとして)。このフィールドは、SPAタイプ(クレジット、デビット、プリペイド)、および、このタイプの改訂番号を示す。クレジットカードSPAの場合、改訂0、SPAバージョン番号は十六進数0000である。
5.単一セッションSPAインディケーター(1ビット:0=正常SPA、1=単一セッションSPA)
6.SPAコピー数または単一セッション数(10ビットとして)
7.最後に使用したモード1取引順序数(20ビットとして)
8.カードの期限切れ日付(4個の二進コード十進数、または、16ビット)
9.MACであり、好ましくは16から32個の二進ビットから成り、好ましくはデータ要素3番から8番まで(好ましくはこの順序で)に載せられ、Per−Card Keyを用いて生成されるMAC。
【0100】
次に、SPAウォーレットが、インタネットを介してSPAウェブサイトに接触し、前記データ要素を伝送する。次にウォーレットは応答を待つ(SPAウェブサイトが、適当なSPA承認システムへ接触している間)。数秒後、SPAウォーレットは、カード保持者にたいして「お待ち下さい」を表示する。次に他のテキストが表示され、カード保持者にたいして、SPAが所望の取引の準備のためにマスターカードに接触中であること、かつ、このため少し時間がかかることを記述する。ディスプレーは好ましくは、数秒に1回変化し、それによって、カード保持者が「何かが現在起こっている」ことが知れるようになっている。
【0101】
過度の時間が経った場合は、SPAウォーレットは再びSPAウェブサイトに接触して、請求を繰り返す。SPAが、通常は接触できるSPAウェブサイトに接触できない場合には、バックアップSPAウェブサイトに接触する。このような試行の指定の時間と回数の後に、SPAが、SPAウェブサイトから応答を得られなかった場合には、SPAは、カード保持者に、「今回は取引を完了することができませんでした」という旨を通知して、中断する。今度はカード保持者は、別のSPAカードを、別の支払い手段(例えば、手動でマスターカード口座番号を入力する)を、または、後に改めて再試行しなければならない。
【0102】
SPAが最終的にSPAウェブサイトから受容する応答は、「進めることができません」表示、「進めることができます」表示、または、「状態を変更してください」表示である。
【0103】
応答が「進めることができません」表示である場合、SPAはさらに「理由」コードを与える。好ましくは、三つの理由がある。
1.このSPAコピー数はもはや有効ではない(なぜなら、比較的最近のSPAコピーが、最後に同じ”n”ビットを持っている)。(同じ偽似口座番号にたいして、有限数のSPAコピー、例えば16、が同時使用される可能性がある)。
2.これは、期限切れとなった、単一セッションSPAである。
3.MACは真実証明されなかった、取引連番が有効でない、または、「...まで無効」―インディケーターが、未来の日付を保持している、あるいは、「無効コピー」フラグが設定されている。
【0104】
「進めることができません」表示が第一理由のためである場合、カード保持者には、好ましくは、下記が通知される。すなわち、
MC−Internet.comに接触して、このPCにたいしてこのカードを再登録しなければなりません。あなたが最初このカードをこのPCに登録してから、この同じカードを、他のPC上で、合計少なくとも16(または別の数)回登録しました。そのため、このPCにおけるあなたの元の登録は無効となりました。
【0105】
「手続不能」表示が第2の理由に対する場合、カードホルダに以下の情報が提供される。
このPC上のこのカードは、4時間(又は他の時間中)だけ使用可能でした。この時間は満了しました。継続のためには、MC-internet.comにコンタクトし、このPCに対してこのカードを再登録する必要があります。
【0106】
上記状況のいずれの場合でも、カードホルダに2個のボタンが提示され、その一方は「再登録」と称され、他方は「取消」と称される。第1のものを起動することによって、PCのSPAが、SPAウェブサイトにコンタクトし、その後中断する。第2のものを起動することによって、PCのSPAが直ぐに中断する。
【0107】
「手続不能」表示が第3の理由に対する場合、試みは、考えられる不正であり、カードホルダに以下の情報が提供される。
手続不能。発行人にコンタクトして下さい。
このメッセージの表示後、SPAは中断します。
【0108】
応答が「変更状態」表示の場合、新たな状態の同一性(identity)が応答に含まれる。PCのSPAは、状態を変更し、この新たな状態に対してこの擬似的なアカウント番号を格納する。これによって他のMode−1を開始してもしなくてもよい。
【0109】
応答が「手続可能」を表す場合、この応答は、(カードホルダに表示されない)以下のデータによって行われる。
1.後に説明する基準日(2進化10進数としての2バイトのフォーマット化されたYYMM。)
2.月数インディケータ(4桁の2進化10進数としての2バイト。)
【0110】
この場合、SPAは、好適には以下のように進行する。
1.Mode−1取引順序番号を増分する。
2.この取引順序番号及びPer−Card Keyを使用して、64ビット2進MACを形成する。
3.この64ビット2進MACを、SPAウェブサイトからの受取直後に基準日及び月数インディケータを用いて擬似満了日に変換する。
4.この擬似満了日を、SPAが示すことができる場合には顧客の支払いスクリーンの「満了日」領域に配置する。
5.擬似アカウント番号を、SPAが示すことができる場合には顧客の支払いスクリーンの「アカウント番号」領域に配置する。
6.SPAが示すことも占有することもできない顧客の支払いスクリーンに任意のアイテムが存在する場合、まだ占有されていない(残りの)アイテムをリストする「ドラッグアンドドロップ」メニューを表示する。
7.顧客に対する基本データが設けられたカードホルダにメッセージを表示し、その後中断する(SPAが未知であり、カードホルダによって手動で入力する必要があるこの顧客を有するカードホルダ顧客番号のような一部のデータが存在することができる。これによって、PCのブラウザは、この充填スクリーンを顧客に送出する。)。
【0111】
「ドラッグアンドドロップ」メニュー中のデータは、SPAが顧客の支払いスクリーンに示すことができなかった以下のアイテムのうちの任意のものを有する。
1.実際の名前(John R.Jones)として表示されるカードホルダ名。
2.実際のアドレス(111 First Street,Ely.NV99999)として表示されるカードホルダのアドレス。
3.実際の電話番号(650−111−2222)として表示されるカードホルダの電話番号。
4.(カードホルダが擬似的なアカウント番号を未知であり又は認識していないので、)単語「カードアカウント番号」として表示されるカードアカウント番号。
5.(擬似的な満了日であり、カードホルダに対して無意味であるので、)単語「カード満了日」として表示されるカード満了日。
スクリーンがこれらアイテムの全てを必要としない場合の「取消」ボタンも存在する。擬似的なアカウント番号及び擬似的な満了日が顧客の支払いスクリーンに示される前に「取消ボタン」に当たった場合、好適には、カードホルダに対して以下のメッセージを表示する。
取消を所望しますか?取消によって支払いを許容することができません。「はい、取り消します」ボタン及び「いいえ、継続します」ボタンが続く。
【0112】
「はい」のボタンを選択する場合、SPAは中断され、(どのプログラムが以前に実行されたとしても)制御はブラウザに戻る。「いいえ」を選択する場合、「取消」ウィンドウが取り除かれ、SPAは「ドラッグアンドドロップ」手順を継続する。
【0113】
SPAが首尾よく完了し、その結果中断すると、制御がブラウザに戻り、かつ、現在充填されている顧客の支払いスクリーンを顧客に送信のためにカードホルダがブラウザを使用すると仮定される。カードホルダが他の購買の準備を行うまで、SPAを再び起動する必要がない。
【0114】
Mode−1 SPA要求の特定の処理
好適には、Mode−1 SPAは、各取引の間、SPAに基づく支払いを実行する前に開始される。図2に示すように、SPAは、ウェブサイト又はサーバ(好適には、マスターカードのサービスプロバイダ)に対して、(例えば)16桁の擬似アカウント番号からなる要求と、実際のアカウント数の4桁の10進日付と、4ビットSPAバージョン数と、20ビットMode−1取引シーケンス番号(TSN)の現在の値と、その後ろ3桁の値に基づく16ビットMACとを送り出す。好適には、MACは、SPA固有の16バイトのカードごとのキーを用いたトリプルDEA暗号化と、20ビットのMode−1取引シーケンス番号に連結した4ビットのSPAバージョン数に(左から右に)連結した(2進10進数としての)16ビットの満了日と、64ビットの領域の左側への桁そろえ及び2進数の1を用いた正当であるか否かのパディングと、結果的に得られる暗号文字の最も左側の16ビットの選択とによって形成される。
【0115】
図3は、Mode1におけるSPA開始及び取引支払い準備に含まれるステップのシーケンスを示す。既に説明したように、SPAは、先ず、ステップ20において、開始要求をサービスプロバイダに送り出す。マスターカードのウェブサイトがこの情報を受け取ると、ステップ22において好適には、特別なセキュリティモジュール装備のSPAシステムを用いて、満了日、SPAバージョン数及び取引シーケンス番号に基づいて、MACを確認する。MACが正当である場合、このシステムは、ステップ24において、取引シーケンス番号を増分して「予測される取引シーケンス番号」を形成するとともに、表示された擬似アカウント番号のBINに対するSPA許可要求を処理するSPA許可システムに対する関連の擬似アカウント番号及びSPAバージョン数に対する「予測される取引シーケンス番号」の更新を行う。しかしながら、ステップ26において、このSPA許可システムは、この擬似アカウント番号及びSPAバージョン数に対して以前受信した最高数の「予測される取引シーケンス番号」以下の「予測される取引シーケンス番号」の場合、直前に受信した「予測される取引シーケンス番号」を拒絶する。このSPA許可システムは、ステップ28において、直前に受信した満了日が付与され、現在記録されている満了日以降の場合には、この擬似アカウント番号に関連した満了日を更新する。
【0116】
この特別なSPAシステムは、以下の二つの基準データ値:1)(実際には本月又は次の月の)フォーマットMMYYを有する4桁の10進数と、2)(10進数)256未満の最大値を有する8ビット2進数の「月数インディケータ」と称されるデータ値を、マスタカードウェブサイトに送信し、その後、ステップ30において、カードホルダのPCのSPAに送信する。このデータは、適切なSPA許可システムに送信される情報に含まれる。
【0117】
擬似満了日の発生
先ず、実際のMode−1取引に対して、Mode−1取引シーケンス数が増分される。その後、左側に4ビットのSPAバージョン数を有する結果的に得られる20ビット数に対して、8バイト領域で左側に桁合わせされ、2進数ゼロを用いた正当であるか否かのパディング及び倍長SPAのカードごとのキーを用いたトリプルDEA暗号化を行う。その結果は、64ビットの2進MACとなる。
【0118】
ステップ32において、取引の擬似満了日領域が、以下のようにして64ビットの2進MACから取得される。
1.「月数インディケータ」(2進数)の最も左にある“1”のビットを選択するとともに、このビット位置から最も右にあるビットまでのビット位置の個数を(最も左にある“1”のビットのビット位置を含めて)計数する。この個数を“N”と称する。例えば、「月数インディケータ」が01010100(10進数で84)の場合、値“N”は7となる。“N”を決定したので、“N”ビットの各々の群として64ビットの2進MACを考察すると、最も右にあるビットを超える左のものを無視する。最も左の群から開始すると、「月数インディケータ」以下で出くわした最初の群を選択する。そのような群が見つからない場合、この群から2Nを減算したものから最も左の群を選択し、(>0かつ<月数インディケータである)この結果を選択値として使用する。
2.ステップ1の結果を2進数1100(10進数で12)で除算して、商及び余りを生成する。これら商及び余りを10進数に変換する。(00から11の範囲の値を有する)10進数の余りを、10進数の「基準日」の最も左の2桁(MM)に加算する。結果が12より大きい場合、結果から12を減算し、結果が12より大きいか否かに関係なく、現在の取引に対する擬似の満了日の最も左の2桁のMMの結果となる。12の減算が要求される結果を取得する場合、商(に1)を増分する。
3.mod−100、ステップ2でも示したように増分する場合もあるステップ2からの2桁の10進数の商に、「基準日」の最も右の2桁(YY)を加算する。現在の取引に対する擬似の満了日の最も右の2桁YYを、結果として使用する。
【0119】
カードホルダと顧客との間の通信
一度、SPAがカードホルダのコンピュータにインストールされると、カードホルダは、好適にはインターネットの支払いに対してSPAを使用し、SPAは、全てのインターネット取引に対してカードホルダの擬似的なアカウント数を提供する。SPA Mode 1において、これがSPA取引であることは、顧客に対して明白である。アカウント番号が実際には擬似のアカウント番号であり、満了日が実際にはMACの表示であるとしても、顧客は、受信する他の任意のインターネットSSLとこの取引が異なることに気付かない。
【0120】
許可要求の取得者の処理
図4は、本発明の実施の形態による、取得者34、サービスプロバイダ(マスターカード)20、発行者36及び購買者38の間の通信を示す。
【0121】
取得者34がインターネットの顧客38から許可要求メッセージを受信すると、BINテーブルの発行者BINをルックアップする。擬似アカウント番号の取引の場合、「発行者」は、サービスプロバイダ又はマスターカードが許可した処理ファシリティに対応する。
【0122】
本発明の一実施の形態において、一部の国が、自国の取引を処理する特別な安全モジュール装備のファシリティを有することができる。そのようなファシリティの各々は、中央のサービスプロバイダの承認のみでセットアップし、取引において処理を行う国用の暗号化キー及びアカウント数変換データのみを保持する。そのような自国のSPAファシリティを有する国において、全ての取引がこのファシリティに送り出され、その結果、同一国の取引が当該国を除外する必要がない。これを、所望の場合には国内の個別の銀行に対して行うこともできる。
【0123】
自国の取引を処理するための国内のSPAファシリティは、全ての取引を中央処理ファシリティに行わせる場合に比べて有用である。
【0124】
許可要求のサービスプロバイダ処理
先ず、アカウント番号が実際には擬似的なアカウント番号であるか否かを発行者BINから決定し、擬似的なアカウント番号である場合、処理のために取引を特定のシステムに送り出す。このシステムは、擬似的なアカウント番号を対応する「実際の」アカウント番号に変換するのに必要なテーブルを格納する。このシステムは、SPAバージョン数及び擬似的なアカウント数に対して、受信した20ビットの最大数の「予測される取引シーケンス番号」の記録も格納し、それは、MACがこの取引シーケンス番号に対して確認されたか否かの表示も伴う。さらに、システムは、MACがまだ確認されていない過去48時間以内に受信した任意の「予測される取引シーケンス番号」を格納する。そのような予測される取引シーケンス番号の各々に関連して、システムは、予測される取引シーケンス番号の各々に適用する「基準日」及び「月数インディケータ」の表示も格納する。
【0125】
「基準日」は、許可要求メッセージ内で許容し得る最新の満了日を表す日付の値である。バックグランドから、一部の顧客が直ちに許可を要求せず、バッチ許可要求を要求する。したがって、この日付は、典型的には取引開始日の1又は2日前となる。
【0126】
「月数インディケータ」は、支払いカードが許容される最終満了日に対応する現在の日付を超える月数を表す。典型的には、この数を48ヶ月とする。
このシステムは、登録が発生する際にカードホルダのPCのSPAに配置された独自かつ秘密の16バイトの暗号化キーを決定する機能を有する安全モジュールも有する。このシステムによって実行される処理は、以下の通りである。
1.格納した上記変換テーブルを用いて、擬似的なアカウント番号から「実際の」アカウント番号を決定する。
2.安全モジュールを用いて、(既に説明したような)擬似的なアカウント番号及び「実際の」アカウント番号を用いたこのSPAに特有の暗号化キーを決定する。
3.MACが未だ確認されていない過去48時間以内に最初に受け取った20ビットの「予測される取引シーケンス番号」を選択する。この20ビットの取引シーケンス番号及びPCのSPAに対して既に規定したような関連のSPAバージョン数を算出する。関連の「予測される取引シーケンス番号」に対する「基準日」及び「月数インディケータ」を用いて、PCに対するSPAに対して既に規定した方法を用いた満了日をこのMACから決定する。この満了日が現在の満了日に等しい場合、MACが検証される。MACの検証となるこの「予測される取引シーケンス番号」に対するエントリは、関連のSPAバージョン番号に対する最高数の「予測される取引シーケンス番号」である場合には「検証されたMAC」としてマークされ、関連のSPAバージョン番号に対する最高数の「予測される取引シーケンス番号」でない場合には削除される。「検証されたMAC」としてマークされるとともに同一のSPAバージョン数に関連した任意の低い番号を付した「予測される取引シーケンス番号」に対するエントリは、削除される。
4.MACがステップ3(又はステップ5)で検証されると、この取引の顧客がこの同一の取引に対する第2の許可要求メッセージを決して送信しないことを既知でない場合、この擬似的なアカウント番号に対する「ヒストリデータ」にエントリを形成する(一部の顧客は、取引後の所定の時間内に商品の全てを搬送することができない場合には同一の取引に対して二度以上の許可要求メッセージを送信するおそれがある。)。このヒストリデータは、既に説明したデータの全てに加えて、顧客及び取得者の同一性と、このエントリに対する「満了日」とを有する。このエントリ満了日を、将来の特定の時間(例えば6ヶ月)とする。
5.MACがステップ3で検証を行わない場合、既に検証したMACに関連しない過去48時間中に受信した最も古いものから最も新しいものまでの他の全ての「予測される取引シーケンス番号」に対して、ステップ3で規定した手順を繰り返す。これらの試みのうちの任意のものに対して、結果的に得られるデータが現在の取引中のものに整合する場合、MACは、検証されたものと考えられる。MACの検証となる20桁の「予測される取引シーケンス番号」は、当該関連したSPAバージョン数に対して最高の「予測された取引シーケンス数」である場合には、「検証されたMAC」としてマークされ、当該関連したSPAバージョン数に対して最高の「予測された取引シーケンス数」でない場合には、削除される。MACがこのステップで検証された場合、ステップ4も実行する。
6.ステップ3又はステップ5でMACが検証を行わない場合、当該擬似的なアカウント数に対する「ヒストリーデータ」がアクセスされる。同一の満了日MACを発生する同一顧客及び取得者に対するこのデータにエントリが存在し、このエントリが満了しなかった場合、MACを許容する(これは、既に認証された取引に対する他の認証要求メッセージであると仮定される。)。このエントリのためにMACが許容される場合、エントリ満了日を、2ヶ月未満の場合には将来に対して約2ヶ月とする必要がある。その理由は、これが「再支払い」となるおそれがあり、他の月におけるこれと同一の取引に対する他の認証要求メッセージとなるおそれがあるからである。
7.MACがステップ3、ステップ5又はステップ6で検証を行わない場合、取引が拒否される。この場合、「断り」応答が取得者に送り出される。
MACが検証されると、マスターカードは、発行者に対する許可要求メッセージをフォーマット化する。許可要求メッセージは、(擬似的なアカウント番号ではなく)「正しい」アカウント番号と、(MACではなく)「正しい」満了日とを有する。しかしながら、マスターカードSPA許可システムは、発行者からの許可応答の受信の予測の際に所得者から受信されるようなアカウント番号領域及び満了日領域の記録を保持する必要がある。
【0127】
発行者に送信される許可応答メッセージにおいて、許可応答が、取得者BINに基づく支払いネットワークを通じて送り出される場合、マスターカードは、取引メッセージの取得者BINを、「擬似的な」取得者BINとしての役割を果たすマスターカードの特定のBINのうちの一つに置換する。取得者BINは、発行者が取得者の代わりにマスターカードに応答するように置換される。許可要求メッセージが来る場所と許可応答メッセージを戻す場所が同一であるという記録を支払いネットワークが保持する場合、このステップを実行する必要はない。
【0128】
取得者及び発行者に対して交換料金を正確に算出するために擬似的な取得者BINが用いられる場合、擬似的な取得者BINは、取得者が配置された国又は結果として同一の交換料金を付与する他の国若しくは領域に対応する必要がある。各国が、それに関連した特定のBINを有する場合、マスターカードは、取得者BINを、取得者の国に関連した特定のBINに置換する。取得者の国が、それに関連した特定のBINを有しない場合、他の国に関連した特定のBINを、同一の交換料金となるものに選択することができる。
【0129】
擬似的な取得者BINを使用する場合、マスターカードは、所得者からの許可要求で受信した取得者参照データ(以後、「オリジナル取得者参照データ」と称する。)をデータベースに格納する。発行者に対して許可メッセージをフォーマット化するに際しに、マスターカードは、オリジナル取得者参照データを、擬似的な取得者BIN、適切な取引タイプのインディケータ及びオリジナル取得者基準データを見つけるためにマスターカードが使用するインデックス値を有する「擬似的な」取得者参照データに置換する。
【0130】
国内的な(national)SPAファシリティが擬似的なアカウント番号の取引を処理する場合、そのファシリティは、以下の様に動作する。しかしながら、この国内的なSPAファシリティは、国内の発行者に対する取引のみ処理し、したがって、その国に適用する暗号化キー及びアカウント番号変換テーブルエントリしか必要としない。
【0131】
SPA許可システムでは、実際の許可要求を受信するまで待機するのに比べて、新たな「予測される取引シーケンス番号」を受信する際にMAC表示の満了日を計算し及び格納するのが有効である。この場合、許可要求を受信すると、許可要求メッセージ中の満了日と、以前の任意の許可要求メッセージ中の満了日に未だ整合しない過去48時間以内に予め計算され及び格納された満了日とを比較する必要がある。
【0132】
許可要求の発行者ハンドリング
図5は、発行者が例えばマスターカード又は許可された国内のSPAファシリティから受信した後の発行者36、マスターカード(サービスプロバイダ)10、取得者34及び本発明の一実施の形態による顧客38の間の通信を示す。
【0133】
発行者は、他の任意の取引のように取引を許可する。許可応答の戻りは、「擬似的な」取得者、すなわち、擬似的なアカウント番号を「正しい」アカウント番号に変換するとともにMAC表示の満了日を検証した同一のマスターカードSPA許可システムに戻される。
【0134】
既に説明したように、このシステムは、取引の(一時的な)記録を維持し、すなわち、アカウント番号の領域及び満了日の領域を、取得者から受け取った値に戻すことができる。取得者から受け取った値に置換されたこれらの領域を有する許可応答は、通常のマスターカードの取引の場合のように、取得者に送出され、取得者から顧客に送出される。
【0135】
SPA許可システムが実際には国内のSPAファシリティである場合、このファシリティは、以前の説明で示した機能を実行する。
【0136】
クリアリング及び清算 (Settlement)
取得者は、通常の方法で取引の清算を行う。取得者は、マスターカードのINET(クリアリング及び清算)システムに行き、そのシステムは、擬似的なアカウント番号を「正しい」アカウント番号に変換する(そのような交換メッセージに満了日の領域は存在しない。)。
【0137】
一度、INETが取引を「正しい」アカウント番号に変換すると、その番号は、他の任意の取引と同様に、発行者に送り出され、クリアリング及び清算される。
【0138】
例外処理
将来の料金返還(chargeback)、コピー要求、又は発行者によって開始されるこの取引に関連する他の任意の例外処理がある場合、それをINET(又はSPA例外処理システム)に送り出す必要があり、この場合、変換は、「正しい」アカウント番号から擬似的なアカウント番号まで行われる。このファシリティが個別の取引の記録を保持する必要がないので、この変換はテーブルに基づくことができる。取引中のデータによって、それが発行者から適切なマスターカードファシリティに送出される。
【0139】
同様に、顧客及び取得者から発行者までの任意の応答は、適切なマスターカードファシリティに送出され、この場合、「正しい」アカウント番号を応答に関連させる。
【0140】
Mode 1に対する他の例
図6は、Mode 1に対する他の例を示す。図6の各“X”は桁を表す。本例では、MACを、取引シーケンスに基づいて発生し、MACは、既に説明した擬似的な満了日となる。さらに、(40,42によって表される)MACを発生するのに使用される取引シーケンス番号の1以上の下方の桁は、擬似的なアカウント番号44で置換される。その桁は、図示したようにカードホルダ番号とチェック桁との間で置換される。
【0141】
本例では、SPAは、取引中にマスターカードウェブサイト又はサーバと通信するのに必要とされない。SPAファシリティは、登録されたSPAの各々に対する取引シーケンス番号のカウンタを維持する。SPAファシリティは、許可要求を受け取ると、擬似的なアカウント番号の取引シーケンス番号の下の桁とともに維持する取引シーケンス番号カウントの上の桁に基づいてMACを発生する。その後、SPAファシリティは、このMACを擬似的な満了日に変換し、この満了日を、許可要求メッセージ中の満了日と比較する。また、SPAファシリティは、取引シーケンス番号が以前の取引からの数の繰り返しでないことを検証する。
【0142】
Mode 2及び3:他の領域を用いた認証
SPAウォレット(wallet)は、(カードホルダが適切な方向に従った場合には)顧客の支払いスクリーンがPC上に表示されるまで有効にならないようにする必要がある。したがって、SPAは、取引の処理の準備を行うと、現在表示されているスクリーンを検査し、見えるものを理解することを試みる。先ず、SPAは、SPA MAC領域である「隠し」領域を探す。
【0143】
Mode−2取引に対して、この領域の識別子を、特定の値とする必要がある。Mode−3取引に対して、この領域の識別子を、互いに相違する値とする必要がある。SPAが、一方がMode−2識別子を有するとともに他方がMode−3識別子を有する二つの隠し領域を見つけた場合、SPAは常に、Mode−2領域を選択し、これをMode−2取引と考える。
【0144】
SPAがこの「隠し」領域を見つけることができる場合、これは、“Mode−2”又は“Mode−3”取引となる。そのような取引の場合、SPAは、「カード番号」領域、「満了日」領域、並びにカードホルダの名前、アドレス及び電話番号を特定する領域も見付けることができる。その理由は、SPAに従う顧客の場合、規格化された方法によってこれらの領域の全てが識別されるからである。この場合、SPAは、支払いスクリーン全体を占有する。
【0145】
Mode−2又はMode−3取引のイベントにおいて、SPAは、以下のような処理を行う。
1.カードホルダの名前、カードホルダのアドレス及びカードホルダの電話番号に対する顧客の支払いスクリーンのエントリを占有する。
2.顧客の支払いスクリーンの「アカウント番号」領域を擬似のアカウント番号で占有する。
3.顧客の支払いスクリーンの「満了日」領域を、(カードホルダが相互に更新された)このカードに対してSPAに記憶された満了日で占有する。
4.Mode−2取引シーケンス番号を増分(し及び永久的に格納)する。
5.MACを形成する。
6.以下に規定するような(上記のようにして発生したMACを有する)MAC領域を形成する。
7.顧客支払いスクリーンの「隠し」領域にMAC領域を配置する。
8.顧客の支払いスクリーンが占有されるとともにそれを送信できるという情報をカードホルダに提供する。
9.サスペンドし、その結果、制御がPCのブラウザに戻される。
カードホルダは、適切な領域を互いに占有するように、SPAが占有したスクリーンを送信する通常のブラウザ機能を用いることが予測される。
【0146】
Mode−2/3 MAC領域は、好適には以下のデータ要素からなる。
1.(8ビットの)擬似BINキーインディケータ
2.(1ビット:0=Mode−2,1=Mode−3の)SPAモードインディケータ
3.(15ビットの)SPAバージョン数。この領域は、SPAタイプ(貸方、借方、前払い)及びこのタイプに対するバージョン数を表す。クレジットカードSPA、リビジョン0及びSPAバージョンに対して、数は全てゼロとなる。
4.(1ビット:0=通常のSPA,1=単一セッションのSPAの)単一セッションSPAインディケータ。
5.(10ビットの)SPAコピー数及び単一セッション数
6.(20ビットの)直前に増分したMode−2/3取引シーケンス番号
7.(4桁の2進化10進数すなわち16ビットの)カードの満了日
8.カードごとのキーを用いて順に発生したデータ要素#2−#7の2進化32ビットのMAC
【0147】
Mode−2及びMode−3は、同一セットの取引シーケンス番号を使用する。したがって、同一の擬似的なアカウント番号に対する同一のPCの同一のカードホルダのSPAからは、Mode−3取引と同一の取引シーケンス番号を有するMode−2取引は決して存在しない。
【0148】
SPAが再び有効になる(非中断状態になる)と、全てのSPAカードのリストを表示し、そのうちの一つを選択するようカードホルダに問い合わせる。しかしながら、SPAが中断されるが閉じられない場合、及び直前に使用されたカードをカードホルダが選択する場合、SPAは、アドレス、電話番号又はカード満了日が変更されたか否かをカードホルダに(再び)問い合わせない。また、SPAは、パスワードを再入力することを要求しない。その代わりに、SPAは、(別の状況ではキーとしてパスワードを用いることによって暗号化される)クリアテキストのカード後とのキーを保持する。このクリアテキストキーは、SPAが閉じられるとき又は他のカードが選択されるときに消去される。
【0149】
Mode 2要求の特定の処理
このモードにおいて、(例えば)13桁の10進数の個別のMAC領域は、SPA固有の領域として取引に含まれる。これら13桁は以下の通りである。
1.“SPA”インディケータ:1桁。この領域は、通常、値1を有する。しかしながら、カードホルダが、(例えばデスクトップコンピュータ又はラップトップコンピュータ上で)同一の「正しい」アカウント番号に対してSPAのコピーを1個より多く有する場合、SPAの他のバージョンは、SPAインディケータフィールドに互いに相違する数を有する(SPA取引シーケンス番号は、SPAのそのようなバージョンの各々に対して独自のものである。)。
2.SPAのこのバージョンに対するSPA取引シーケンス番号:6桁。このフィールドは、この特別のコンピュータで開始したSPA取引に対して増分する(各コンピュータは、SPAのそれ自体のバージョンを有し、したがって、それ自体のセットのシーケンス番号を有するようになる。)。
3.MACそれ自体:6桁。後に説明するように、実際のMACは、上記の二つの領域で算出される。
【0150】
提案されるMAC−発生プロセスは、以下の通りである。
1.SPAバージョン数の7桁を(左に)表示するとともに(このコンピュータに対する)SPA取引シーケンス番号を2進化10進数で表示して、28ビットを生成する。64ビット領域でこれら28ビットを左に桁合わせするとともに、ゼロのビットを用いた正当であるか否かのパディングを行う。
2.暗号化キーとしてカードごとのキーの最も左の8バイトを用いたステップ1の結果のDEA暗号化。
3.暗号化キーとしてカードごとのキーの最も左の8バイトを用いたステップ2の結果のDEA暗号化。
4.暗号化キーとしてカードごとのキーの最も左の8バイトを用いたステップ3の結果のDEA暗号化。
5.ステップ4の結果的に得られる64ビットを、各々が4ビットの16進数と考える。その16進数を(左から右に)走査し、16進数で9未満の値を有する最初の6桁を選択する。そのような6桁が見つからない場合、桁を再走査するとともに16進数で9より大きい桁のみを選択し、かつ、その各々から16進数Aを減算することによって、必要な残りの桁を見つける。
6.この取引に対する6桁の2進MACとしてステップ5の結果を用いる。
MACは、カードホルダのPCのSPAによって発生し、適切なマスターカードSPAファシリティによって検証される。発生の際には、ステップ6に起因する6桁の10進数は、実際のMACとしてMACフィールドに挿入される。検証の際には、SPAファシリティは、MACフィールドの最も左の7桁を用いて上記6ステップを実行し、その後、受信したMACフィールドの最も右の6桁に対して、ステップ6に起因する6桁と比較する。正確な整合は、認証された取引を表す。非整合は、拒否する必要がある取引を表す。
【0151】
カードホルダと顧客との間の通信
MACフィールドが顧客によってサポートされるときには常に、SPAは、取引に関連するMACを形成するために、嵌め込まれた秘密キーを使用し、このMAC及びそれに基づくデータを、取引の一部となるMAC領域に配置する。
【0152】
カードホルダの取引メッセージの受信に応答して、顧客は、取得者に対する通常の認証要求をフォーマット化する。この認証要求は、消費者のPCから提供されるようなMAC領域を有する。
【0153】
顧客が、カードホルダ取引に対して複数の認証/クリアリング取引を開始する場合、これらの取引のうちの最初のもののみがMAC領域及び満了日を有する。次の取引は、擬似的なアカウント番号のみを有し、顧客が発生したメールオーダ及び電話注文取引と考えられる。これは、再び発生する全ての支払い及び複数の複数のクリアリングを伴う部分的な支払いにも当てはまる。
【0154】
認証要求のサービスプロバイダハンドリング
サービスプロバイダは、取引を受け取ると、アカウント番号が擬似的なアカウント番号であるか否かを発行者BINから決定し、擬似的なアカウント番号である場合、処理のために取引を特定のSPA認証システムに送信する。このシステムを、既に説明したよう国内のSPAファシリティとすることができる。このシステムは、MACフィールドの存在から、それがMode−2取引であることを自動的に記す。アカウント番号を擬似的なアカウント番号から対応する「正しい」アカウント番号に変換した後、システムは、MACを形成するためにPCで用いられる実質的には同一の手順を用いて、(既に説明したように)カードごとのキーを決定し、かつ、MACを検証するようこのキーを使用する。システムは、取引シーケンス番号もチェックし、そのために、システムが処理する擬似的なアカウント番号の各々のバージョン数に対して取引シーケンス番号情報を維持する。
【0155】
1.取引シーケンス番号が、少なくとも48時間前に受信したこのSPAのこのバージョンに対する最大の取引シーケンス番号より小さい(又は等しい)場合、又は
2.取引シーケンス番号が、このSPAのこのバージョンに対する既に受信した任意の取引シーケンス番号に整合する場合(これは、過去48時間内に受信した取引シーケンス番号に制約される。)、
システムは取引を拒否する。
【0156】
MAC又は取引シーケンス番号が検証をし損なうと、このファシリティによって、取引が断られる。MACと取引シーケンス番号の両方が検証を行う場合、このファシリティによって、「正しい」アカウント番号(及びカードホルダのPCによって取引に挿入された「正しい」満了日)を有する取引を、発行者に送出する。
【0157】
認証要求の発行者ハンドリング
発行者は、他の任意の取引のように取引を認証する。認証応答は、擬似的なアカウント番号を「正しい」アカウント番号に変換するとともにMACを認証した同一のSPA認証システムに戻す。認証応答を送出する支払いネットワークが応答メッセージ中の取得者BINに基づく場合、擬似的な取得者BINを、既に説明したようにして使用することができる。
【0158】
このシステムは、「正しい」アカウント番号を擬似的なアカウント番号に戻し、元の取引中にあったデータを復元する(Mode 2の場合、開始から取引に保持された満了データは、「正しい」満了データとなり、その結果、この領域を復元する必要はない。)。結果的に得られるメッセージは、取引を通常のように処理するとともに通常の方法で認証応答を顧客に送信する「正しい」取得者に送信される。顧客は、他の任意の取引に対する場合のように認証応答に応答する。
【0159】
取引が国内のSPAファシリティに送出されると、このファシリティは、上記説明で示した機能を実行する。
【0160】
クリアリング及び清算
SPAクリアリングメッセージは、全てのクリアリングメッセージのようにマスターカードINET(クリアリング及び清算)に送出される。SPA取引が認識可能なBINを有するので、INETは、擬似的なアカウント番号を「正しい」アカウント番号に置換する。この取引に対する任意の例外処理が次にある場合、「正しい」アカウント番号を擬似的なアカウント番号に変換できるSPAファシリティに例外処理メッセージが送出されるように、メッセージに対して他の変更が行われる。そのような変化を有するクリアリングメッセージは、通常の方法で取引を処理するカード発行者に送信される。取得者が発行者にもなる場合、マスターカードは、クリアされた取引を、表示された変更及び適切な料金計算を行う取得者/発行者に戻す。
【0161】
例外処理
取引についてのメッセージを発行者から取得者又は顧客に戻す必要がある場合、メッセージは、任意の取引メッセージを処理する場合のように発行者によって処理される。取引記録中のデータによって、マスターカードファシリティにメッセージを送出し、マスターカードファシリティは、「正しい」アカウント番号を擬似的なアカウント番号に戻す。その後、例外処理メッセージは、そのような他の任意のメッセージのようにそれを処理する取得者に送出される。
【0162】
また、取得者と発行者との間で送信が行われる取引についての任意のドキュメンテーションをMCIによって変更し、取得者が擬似的なアカウント番号を受信するとともに、発行者が「正しい」アカウント番号を受信するようにする。そのようなデータが電子的であり、かつ、識別可能である場合、データは内的に変更される。そのようなドキュメンテーションが全体的に電子的でない場合、正しいアカウント番号及び擬似的なアカウント番号を反映する他の形態を形成することができる。そのようなドキュメンテーションを直接取得者に送出する発行者に対して、両方の番号を提供するよう要求することができる。
【0163】
識別用のプラスチックカードの発行
一部の状況において、カードホルダは、インターネットを通じてチケットを購入し、チケットが入場を許容するイベントの出現の際に、取引に使用されるカードを発生してチケットの合法な処理を認証することを要求する。
【0164】
SPAプログラムの開始時に、カードホルダは、「識別目的のみ」であることを明確に表すカードのように擬似的なアカウント番号を示す実際のプラスチックカードを発行する。
【0165】
次いで、擬似的なアカウント番号を用いてカードホルダを合法的に認証する必要がある顧客は、(マスターカードに適切な識別及び認証情報を提供することによって)マスターカードに登録し、顧客は、秘密キーが設けられるとともに、登録の暗号プルーフとして認証を行う。その後、そのような顧客は、「正しい」アカウント番号を取得するために取引データと顧客の権利の両方を認証する暗号化認証の下で擬似的なアカウント番号取引の詳細のコピーを提供することによって、マスターカードファシリティから「正しい」アカウント番号を取得することができる。マスターカードは、暗号化された形態の「正しい」アカウント番号を顧客に送り出し、その結果、カードホルダは、「正しい」アカウント番号に対応するカードを用いて識別される。
【0166】
SPAウォレット動作:Mode−0取引処理
Mode−0は、「状態C」の擬似的なアカウント番号に対するウォレットとともにのみ使用される。それは、Mode−1を「状態A」又は「状態B」で使用する状況の下で使用される(SPAは、SPA MAC領域として使用可能な「隠し」領域に対する識別子を見つけることができない。)。Mode−0で動作する際に、PCのSPAは、単に顧客の支払いスクリーンの「支払い番号」領域の擬似的なアカウント番号及びこのスクリーンの「満了日」領域の実際の満了日の置換を行う。それは、Mode−1に対して説明したように顧客の支払いスクリーンの他の銀行に充填を行う。
本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。
【図面の簡単な説明】
【図1】 本発明の一つの実施態様による取引法に含まれる、いくつかの処理成分のブロックダイアグラムである。
【図2】 本発明の一つの実施態様において、安全支払いアプリケーション初回請求内部に供給される情報の表示である。
【図3】 本発明の一つの実施態様に従って、期限切れ日付フィールド値を入手するために実行される行程を描いたフローダイアグラムである。
【図4】 本発明の一つの実施態様に従って、商人、入手者、サービスプロバイダーおよび発行者の間での通信のフローを描いたフローダイアグラムである。
【図5】 本発明の一つの実施態様に従って、発行者、サービスプロバイダー、入手者および商人の間での情報のフローを描いたフローダイアグラムである。
【図6】 本発明の一つの実施態様に従ってメッセージを送る別法を表わす図である。
Claims (14)
- アカウント番号を用いて公衆通信網上で電子的な取引を行う方法であって、
カード保持者のコンピュータ装置が、カード保持者からのアカウント番号の入力を受け付けるステップと、
サービスプロバイダーのサーバが、前記アカウント番号に関連してPer−Card Keyを生成するステップと、
前記装置が、前記Per−Card Keyを保存するステップと、
電子的な取引を行うに当たり、前記装置が、前記保存したPer−Card Keyを用いて、メッセージ認証コードを発生するステップと、
前記装置が、基準日及び月数インディケータを用いて、前記メッセージ認証コードを擬似的な満了日に変換するステップと、
前記装置が、前記取引に対する認証要求を発生し、その要求が、前記擬似的な満了日を格納する満了日領域を有するステップと、
前記サーバが、前記擬似的な満了日、SPAバージョン数又は取引シーケンス番号に基づいて前記メッセージ認証コードを検証するステップとを具えることを特徴とする方法。 - 前記装置が、前記電子的な取引を、公衆網と、前記アカウント番号の発行者を有する支払いネットワーク上で行い、前記アカウント番号が正しい満了日を有し、前記正しい満了日を有する第2の認証要求を発生するステップと、前記装置が、前記取引の承認に対して前記発行者の前記第2の要求を送り出すステップとを更に具えることを特徴とする請求項1記載の方法。
- 関連の擬似的なアカウント番号を有する支払いアカウント番号を用いて、公衆網上で電子的な取引を行う方法であって、
(a)カード保持者のコンピュータ装置が、カード保持者からの支払いアカウント番号の入力を受け付けるステップと、
(b)サービスプロバイダーのサーバが、前記支払いアカウント番号に関連して擬似的なアカウント番号及びPer−Card Keyを生成するステップと、
(c)前記装置が、前記擬似的なアカウント番号及び前記Per−Card Keyを保存するステップと、
(d)電子的な取引を行うに当たり、前記装置が、前記保存したPer−Card Keyを用いて、メッセージ認証コード(“MAC”)を発生するステップと、
(e)前記装置が、安全な支払いアプリケーションによって、前記擬似的なアカウント番号及び前記MACを有するMAC検証要求を発生するステップと、
(f)前記サーバが、前記擬似的なアカウント番号を用いて前記MACを検証するステップと、
(g)前記サーバが、前記検証に基づいて、前記MACに対する予測される取引シーケンス番号(ETSN)を形成するステップと、
(h)前記装置が、前記安全な支払いアプリケーションに参照データを設けるステップと、
(i)前記装置が、前記予測される取引シーケンス番号及び前記Per−Card Keyを用いて、第2のメッセージ認証コードを形成するステップと、
(j)前記装置が、前記参照データを用いて、前記第2のメッセージ認証コードを擬似的な満了日に変換するステップと、
(k)前記装置が、前記擬似的な満了日を有する満了日領域を有する認証要求を発生するステップと、
(l)前記サーバが、前記認証要求に応答し、前記擬似的な満了日に基づいて、前記第2のメッセージ認証コードを検証するステップとを具えることを特徴とする方法。 - 前記Per−Card Keyを、BINごとのキーを用いて発生することを特徴とする請求項3記載の方法。
- 前記MAC検証要求が、前記支払いアカウント番号の満了日、バージョン数及び取引シーケンス番号の値を更に有し、前記MACを検証するステップが、前記満了日、前記バージョン数及び前記取引シーケンス番号の値に基づくことを特徴とする請求項3記載の方法。
- 前記第2のメッセージ認証コードを形成するステップが、前記バージョン数を使用することを特徴とする請求項5記載の方法。
- 前記参照データが基準日及び月数インディケータを有することを特徴とする請求項3記載の方法。
- 前記第2のメッセージ認証コードを検証するステップが、
前記擬似的なアカウント番号及び格納された変換テーブルを用いて、前記支払いアカウント番号を決定するステップと、
前記支払いアカウント番号及び前記擬似的なアカウント番号を用いて、前記擬似的なアカウント番号に関連したPer−Card Keyを決定するステップと、
関連のメッセージ認証コードが検証されなかった第2の予測される取引シーケンス番号を選択するステップと、
前記第2の予測される取引シーケンス番号に対して特定した第2の参照データを用いて、前記第2のメッセージ認証コードを第2の擬似的な満了日に変換するステップと、
前記第2の擬似的な満了日及び前記擬似的な満了日を比較するステップと、
前記比較に基づいて、前記第2のメッセージ認証コードを検証するステップ
とを具えることを特徴とする請求項3記載の方法。 - 前記第2の擬似的な満了日が前記擬似的な満了日に整合する場合、前記第2のメッセージ認証コードを検証することを特徴とする請求項8記載の方法。
- 関連の擬似的なアカウント番号を有する支払いアカウント番号を用いて、公衆通信網上で電子的な取引を行う方法であって、
(a)サービスプロバイダーのサーバが、認証キーを発生するために使用される複数の認証キー発生プロセスのうちの一つを表す制御領域を、前記擬似的なアカウント番号に設けるステップと、
(b)カード保持者のコンピュータ装置が、前記擬似的なアカウント番号の前記制御領域に表された前記複数の認証キーを発生するプロセスのうちの一つを用いて、前記擬似的なアカウント番号に関連した認証キーを発生するステップと、
(c)前記装置が、前記認証キーを用いて、前記取引に特有のメッセージ認証コードを発生するステップと、
(d)前記装置が、前記メッセージ認証コード及び前記擬似的なアカウント番号を有する認証要求メッセージを発生するステップと、
(e)前記サーバが、表された前記認証キー発生プロセス及び前記認証キーを、前記擬似的なアカウント番号に対して用いて、メッセージ認証コードを検証するステップとを具えることを特徴とする方法。 - 前記認証キーを、前記擬似的なアカウント番号上の認証キー誘導キーをも用いて発生させることを特徴とする請求項10記載の方法。
- 前記認証キーを、BINごとのキーをも用いて発生させることを特徴とする請求項11記載の方法。
- アカウント番号を用いて通信網上で電子的な取引を行う方法であって、
サービスプロバイダーのサーバが、前記アカウント番号に関連したPer−Card Keyを発生するステップと、
カード保持者のコンピュータ装置が、前記Per−Card Keyを用いてメッセージ認証コードを発生するステップと、
前記装置が、互いに相違する領域を有する認証要求を有する前記メッセージ認証コードを互いに相違する方法で送出する少なくとも二つの互いに相違する動作モードを提供し、前記動作モードのうちの少なくとも一つが満了日領域に前記メッセージ認証コードを送出するモードであり、前記動作モードのうちの少なくとも一つがメッセージ認証コード領域に前記メッセージ認証コードを送出するモードであるステップとを具えることを特徴とする方法。 - 前記メッセージ認証コードが存在する場合には、前記メッセージ認証コードを、前記メッセージ認証コード領域で自動的に搬送することを特徴とする請求項13記載の方法。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US21306300P | 2000-06-21 | 2000-06-21 | |
| US60/213,063 | 2000-06-21 | ||
| US22622700P | 2000-08-18 | 2000-08-18 | |
| US60/226,227 | 2000-08-18 | ||
| US09/809,367 | 2001-03-15 | ||
| US09/809,367 US9672515B2 (en) | 2000-03-15 | 2001-03-15 | Method and system for secure payments over a computer network |
| US09/833,049 US7379919B2 (en) | 2000-04-11 | 2001-04-11 | Method and system for conducting secure payments over a computer network |
| US09/833,049 | 2001-04-11 | ||
| PCT/US2001/019753 WO2001099070A2 (en) | 2000-06-21 | 2001-06-21 | An improved method and system for conducting secure payments over a computer network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003536180A JP2003536180A (ja) | 2003-12-02 |
| JP5093957B2 true JP5093957B2 (ja) | 2012-12-12 |
Family
ID=27498921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002503837A Expired - Fee Related JP5093957B2 (ja) | 2000-06-21 | 2001-06-21 | コンピュータネットワーク上で安全な支払いを行うための向上した方法及びシステム |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1320839A2 (ja) |
| JP (1) | JP5093957B2 (ja) |
| AU (1) | AU781671B2 (ja) |
| CA (1) | CA2382696A1 (ja) |
| WO (1) | WO2001099070A2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE455337T1 (de) | 2002-01-31 | 2010-01-15 | Servicios Para Medios De Pago | Reversibles verfahren zur erzeugung mutierter bezahlungskarten unter verwendung eines mathematischen algorithmus |
| EP1783708A1 (de) * | 2005-10-06 | 2007-05-09 | First Data Corporation | Transaktionsverfahren und -system |
| BRPI0716738A2 (pt) * | 2006-09-15 | 2013-09-17 | Visa Int Service Ass | mÉtodo e sistema para prover um ou mais serviÇos de cartço de transaÇço a um detentor de um cartço de transaÇço |
| FR2914763B1 (fr) * | 2007-04-06 | 2013-02-15 | Grp Des Cartes Bancaires | Cryptogramme dynamique |
| EP2026267A1 (en) * | 2007-07-31 | 2009-02-18 | Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO | Issuing electronic vouchers |
| US8181861B2 (en) | 2008-10-13 | 2012-05-22 | Miri Systems, Llc | Electronic transaction security system and method |
| WO2010099352A1 (en) * | 2009-02-25 | 2010-09-02 | Miri Systems, Llc | Payment system and method |
| WO2011044161A1 (en) | 2009-10-05 | 2011-04-14 | Miri Systems, Llc | Electronic transaction security system and method |
| US8762284B2 (en) * | 2010-12-16 | 2014-06-24 | Democracyontheweb, Llc | Systems and methods for facilitating secure transactions |
| WO2018004679A1 (en) * | 2016-07-01 | 2018-01-04 | American Express Travel Related Services Company, Inc. | Systems and methods for validating transmissions over communication channels |
| KR102184807B1 (ko) * | 2018-05-23 | 2020-11-30 | 신한카드 주식회사 | Ars 기반의 사용자 인증을 처리하는 결제 장치 및 방법 |
| US20190385160A1 (en) * | 2018-06-19 | 2019-12-19 | Mastercard International Incorporated | System and process for on-the-fly cardholder verification method selection |
| EP3767569A1 (en) * | 2019-07-18 | 2021-01-20 | Mastercard International Incorporated | An electronic transaction method and device using a flexible transaction identifier |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2708083B2 (ja) * | 1991-12-27 | 1998-02-04 | 国際電信電話株式会社 | クレジットカード課金簡易ダイヤル操作サービス装置 |
| JP3367675B2 (ja) * | 1993-12-16 | 2003-01-14 | オープン マーケット インコーポレイテッド | オープンネットワーク販売システム及び取引トランザクションのリアルタイムでの承認を行う方法 |
| JPH07231367A (ja) * | 1994-02-17 | 1995-08-29 | Fujitsu Ltd | パーソナル通信用クレジットカード課金サービス装置 |
| US5826245A (en) * | 1995-03-20 | 1998-10-20 | Sandberg-Diment; Erik | Providing verification information for a transaction |
| NL1001863C2 (nl) * | 1995-12-08 | 1997-06-10 | Nederland Ptt | Werkwijze voor het beveiligd afwaarderen van een elektronisch betaalmid- del, alsmede betaalmiddel voor het ten uitvoer leggen van de werkwijze. |
| US5913203A (en) * | 1996-10-03 | 1999-06-15 | Jaesent Inc. | System and method for pseudo cash transactions |
| US5953710A (en) * | 1996-10-09 | 1999-09-14 | Fleming; Stephen S. | Children's credit or debit card system |
| JPH1139401A (ja) * | 1997-07-16 | 1999-02-12 | Nippon Shinpan Kk | クレジットカードシステムおよびネットワークにおけるクレジットカードの利用方法 |
| US6000832A (en) * | 1997-09-24 | 1999-12-14 | Microsoft Corporation | Electronic online commerce card with customer generated transaction proxy number for online transactions |
| US5883810A (en) | 1997-09-24 | 1999-03-16 | Microsoft Corporation | Electronic online commerce card with transactionproxy number for online transactions |
| GB2345775A (en) * | 1998-10-21 | 2000-07-19 | Ordertrust Llc | Analyzing transaction information |
| US6327578B1 (en) * | 1998-12-29 | 2001-12-04 | International Business Machines Corporation | Four-party credit/debit payment protocol |
| EP1028401A3 (en) * | 1999-02-12 | 2003-06-25 | Citibank, N.A. | Method and system for performing a bankcard transaction |
| US6847953B2 (en) * | 2000-02-04 | 2005-01-25 | Kuo James Shaw-Han | Process and method for secure online transactions with calculated risk and against fraud |
-
2001
- 2001-06-21 CA CA002382696A patent/CA2382696A1/en not_active Abandoned
- 2001-06-21 WO PCT/US2001/019753 patent/WO2001099070A2/en not_active Application Discontinuation
- 2001-06-21 EP EP01948538A patent/EP1320839A2/en not_active Withdrawn
- 2001-06-21 JP JP2002503837A patent/JP5093957B2/ja not_active Expired - Fee Related
- 2001-06-21 AU AU70011/01A patent/AU781671B2/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003536180A (ja) | 2003-12-02 |
| WO2001099070A2 (en) | 2001-12-27 |
| CA2382696A1 (en) | 2001-12-27 |
| AU781671B2 (en) | 2005-06-02 |
| EP1320839A2 (en) | 2003-06-25 |
| AU7001101A (en) | 2002-01-02 |
| WO2001099070A3 (en) | 2003-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6990470B2 (en) | Method and system for conducting secure payments over a computer network | |
| AU2001257280B2 (en) | Online payer authentication service | |
| AU2007203383B2 (en) | Online payer authentication service | |
| RU2438172C2 (ru) | Способ и система для осуществления двухфакторной аутентификации при транзакциях, связанных с заказами по почте и телефону | |
| US7379919B2 (en) | Method and system for conducting secure payments over a computer network | |
| AU2001257280A1 (en) | Online payer authentication service | |
| JP5093957B2 (ja) | コンピュータネットワーク上で安全な支払いを行うための向上した方法及びシステム | |
| AU2001257019B2 (en) | An improved method and system for conducting secure payments over a computer network | |
| WO2001035570A1 (en) | Payment method and system for online commerce | |
| JP4903346B2 (ja) | 擬似或いは代理口座番号なしでコンピュータネットワークを越えて安全な支払いを処理するための改善された方法およびシステム | |
| JP2004535619A (ja) | 安全な決済取引を行うシステムと方法 | |
| GB2428126A (en) | System for processing transactions | |
| WO2001046922A2 (en) | Method and apparatus for securely conducting financial transactions over an insecure network | |
| AU2007216920B2 (en) | An improved method and system for conducting secure payments over a computer network | |
| ZA200201382B (en) | An improved method and system for conducting secure payments over a computer network. | |
| EP1921579A2 (en) | An improved method and system for conducting secure payments over a computer network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080523 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20080523 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101207 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110307 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110314 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110407 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110607 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110907 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111213 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120313 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120321 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120612 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120821 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120918 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150928 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |