加密的代币交易的制作方法

文档序号：7680675阅读：404来源：国知局

专利名称：加密的代币交易的制作方法
技术领域：
0001本发明的一些实施例涉及安全交易和访问授权。
背景技术：
0002代币系统在当代社会中以多种实施方式被使用，从而提供和控制许多形式的访问。可以由代币控制并且通常由代币控制的访问可以包括对房间、建筑物、区域等的物理访问(进入)；对服务器和数据文件的电子访问；电子账户访问等。由代币控制的另一访问形式是实施交易的能力，所述交易例如为信贷交易、借方交易和其他金融交易。信用卡、签帐卡、借记卡、忠诚卡或会员卡(loyalty card) 和其他与购买相关的代币被用于向消费者提供对资金的有准备的访问。这种交易可以增强购买的便利、扩大对消费者的贷款等。
0003随着当代社会的发展，出现了我们的代币。早期的代币包括物理物体，例如硬币、文件和其他物理物体。简单的物理物体代币的一个示例是由纽约地铁系统制造的著名的地铁代币。这种简单的代币类似硬币并且能够在售票亭购买并且用于控制进入地铁系统。另一种用于准许访问的简单的物理代币的示例是在19世纪开发的用于英国铁路系统的早期铁路代币。这种代币是例如硬币的物理物体，机车技师被要求在进入铁路的特定区段之前具有该代币。当火车到达所述区段的末端时，司机将该代币留在投币点以便走另一条线路的下一辆火车可以使用该代币。因为一个给定铁路区段只有一个代币，所以代币系统有助于确保在给定时间内只有一辆火车在轨道的所述区段上。
0004铁路代币系统使车头碰撞的可能性最小，但这种简单的代币同样限制了火车沿给定区段相互跟随的能力。这样，系统发展为代币和票签系统。在这种系统中，如果火车到达检票点并且存在代币，则司机被给予票签以通过，而将代币留在原处以防在相同方向上行驶的另一火车到达该区段。设置安全装置以确保票签被正确发出。随着技术的发展，物理代币和票签系统发展为包括电子信号发送以控制对铁路的区段的访问。
0005准许访问的代币的另一个示例是签帐卡、信用卡和借记
卡。一些人将信用卡的"发明"归功于爱德华贝拉密(Edward Bellamy), 他在他19世纪的小说Looking Backward (向后看)中对信用卡加以描述。早期信用卡被报道为在20世纪初的美国由燃料公司和西联汇款 (western union)公司使用。到了 20世纪中期，大莱倶乐部(Diners Club) 制造了用于贸易商购物的签帐卡，此后不久美国运通公司也出现了签帐卡。这些卡，现在在我们的社会中随处可见，它们允许顾客相对容易地进行购物和交易。早期的卡浮雕有顾客账号，该顾客账号经由碳转移处理而人工转换为收据。当代的卡或代币发展为使用存储数据的电子机构，包括例如磁条、RFID标签和智能卡和芯片卡技术。
0006代币的其他示例包括政府发行的身份证(ID)，例如驾驶员执照和护照。这种代币还可以被用于以多种方式控制访问。例如，护照可以被用于控制对国家和区域的访问。护照还可以被用于作为证明持有者的公民身份的文件以具有工作和特许机会。驾驶员执照是另一种形式的代币，其允许具有驾驶特权并且允许进入要求身份、住所或年龄证据的机构。代币的其他示例还可以包括银行汇票、证券、现金和与金融相关的其他代币项目。进一步的代币示例可以包括用于物理访问和安全的代币，例如密钥、卡密、RF或LC卡、RFID代币、收费公路异频雷达收发机等。
0007如这些示例性的示例所述，将代币用于各种访问形式己经在各种商业和工业中获得了欢迎并且被发展为拥有最新开发的技术。代币并不局限于这些示例，而是可以采用各种形式并且使用各种手段并以多种不同方式控制、管理或裁决各种形式的访问。然而，代币访问的一个不利方面是诈骗系统的机会。例如，偷窃或伪造的代币通常被用于获得未授权的访问。事实上，联邦贸易委员会报道信用卡和签帐卡诈骗每年花费持卡人和发卡商数亿美元
发明内容
0008根据本发明的一个或多个实施例，各种特征和功能可以被提供以促成或便于各种形式的代币交易。具体地，根据本发明的一个方面，例如各种形式的加密的数据安全技术可以用代币系统实施以为代币数据提供安全措施。在一个实施例中，来自各种形式的代币的信息可以在代币自身上加密并且还可以在数据被用于从代币读取数据的数据获取装置读取时被加密。
0009例如，在一个应用中，可以包括加密模块以对从代币读取的数据进行加密。优选地，在一个实施例中，数据从代币中读取出来即被加密以提供额外的安全措施。在一个实施例中，为了进一步增强安全性，包括加密算法和密钥的加密模块与数据获取装置(可以包括在终端中)包装在一起并且该包装避免或阻止篡改者(tamperer)对加密算法进行反向工程以获得密钥。安全措施还可以被提供以用于破坏、改变或给予在如果发生试图篡改时不可用的加密信息。
0010例如，在一个实施例中，钾或其他反应材料可以包括在头封装中，从而当头(磁头)被开启时，材料与环境反应，破坏加密
"(曰息。
0011数据获取装置可以被配置为输出包括加密的代币数据的
安全数据流。在一个实施例中，数据获取装置可以被配置为以和传统的未加密系统相同的形式和格式封装加密的代币数据，从而使交易包可以终端期望的形式和格式被发送到终端。以这种方式，在一个实施例中，数据获取装置可以即插即用地兼容终端或其他交易处理装备。这种实施例可以便于升级到交易处理网络以包括数据安全特征而不需要对下游装备进行大量的改进翻新。
0012例如，对于银行卡的情况，替换头可以被提供与读取头包装在一起的包括加密功能的磁条阅读器。加密头可以具有相同形状因子并且可以被配置为输出与传统非加密头相同的信号从而使新的头可以容易地替换现有头以升级数据获取装置或终端而无需大量的修改。当然，在其他实施例中，并不意图具有即插即用兼容性并且数据
获取装置、终端和其他装备可以被设计为适于在给定的应用中以各种格式相互通信。
0013根据本发明可以提供的另一个特征是安全交易模块，该安全交易模块的多个功能中的一个是可以用于解密数据。例如，在一个实施例中，安全交易模块可以提供在交易处理网络中的一个或多个点处以对已经由数据获取装置加密的数据解密或对在代币上加密的数据进行解密。因此，这种解密功能可以用于获得纯文本代币数据以便于交易的完成。安全交易模块可以根据例如网络安全性和在沿网络的点处获得纯文本信息的期望的因素而被置于网络上的适当点处。
0014例如，在一个实施例中，安全交易模块可以包括在例如
网关的网络路由器处以提供己经被加密的一些或全部代币数据的解密，从而便于交易路由和处理。所述安全交易模块还可以被配置为在发送到处理网络中另一个实体前对数据进行再次加密。例如，网关处的安全交易模块可以被包括以解密足够数量的代币数据从而便于进一步的路由并将被加密的其余数据留下，之后由交易处理器进行解密。作为另一个示例，网关可以解密全部代币数据以作为对交易处理器的服务并且向交易处理器提供纯文本数据以便于交易处理。在这种实施例中，网关处的安全交易模块可以用于管理多个交易位置和多个交易处理器的解密服务。因此，网关可以被配置为解密可能适合于给定交易处理网络和给定交易的一些或全部代币数据。网关还可以被配置为在转发信息到交易处理器之前再次加密这种数据的一些或全部。
0015在一个实施例中，不同的密钥可以用于在交易中加密代币数据的不同部分或者再次加密代币数据。使用多个密钥执行特定数据块的加密可以被用于管理这些数据块的安全并且在网络中的期望位置处提供对纯数据(未加密)的选择性访问。
0016在另一个实施例中，特征和功能可以被提供以帮助检测复制的交易。例如，交易可以被混编以生成独特的散列代码，该代码用于验证后续交易不是之前交易的重放。额外地，序列号、签名检测和其他技术可以被用于验证代币和给定交易的真实性。
0017根据另一个实施例，代币签名可以被用于鉴别代币的真实性以及进一步确认交易。例如，在一个实施例中，数据获取装置可以被配置为加密代币数据以及确定代币签名。代币签名可以同样被加密地确定并包括在被发送用于处理代币交易的数据中。可以使用任意数量的签名技术，包括例如可从加州的圣地亚哥的SemTek InnovativeSolution, Inc获得的SECURESTRIPE⑧检测技术。
0018在一个实施例中，签名信息和代币数据可以以和下游装备兼容的格式封装，并且在另一个实施例中，签名信息和代币数据可以以和传统装备兼容的格式封装以便于数据获取装置与传统装备的即插即用兼容性。包括在交易数据中的签名信息可以用于鉴定代币。在一个实施例中，签名可以使用和代币数据不同的密钥加密，从而允许鉴定与清除代币数据独立地发生。在另一个实施例中，签名可以被用作密钥以加密代币数据。在这样的实施例中，可以在处理端使用签名以解密代币数据。如果卡是不可信的，则加密的数据可能不可以由可在处理服务器处得到的密钥集合解密。因此，使用签名来加密数据可以提供另一个安全措施。
0019如前所述，任意数量的密钥可以用于提供一些或全部代币数据的加密。例如，基于如终端ID、贸易商ID、装备序列号、检査站标识或其他独特的标识符等信息的特定密钥可以用于提供数据中的安全性措施。额外地，时戳信息、位置信息和其他辅助信息还可以被提供以便于诈骗交易的检测。使用独特的密钥或其他辅助信息可以用于检测诈骗交易源并且首先检测诈骗交易的发生。
0020例如，考虑加密的代币数据被接收并且指定的密钥不能恰当地解密代币数据的情况。在这种情况下，被接收的信息可以使用交易处理器可获得的多个密钥来解密直至有效的数据集被译解。一旦有效的数据集被译解，则密钥可以被用于跟踪回到诈骗数据源。类似地，以时间和位置数据标记信息可以用于执行检查，例如检查复制的交易并且检查以验证所述数据起源的位置是给定终端的指定位置。
0021根据另一个实施例，额外的安全措施可以通过加密额外的信息例如PIN代码或其他辅助信息提供。例如，PIN代码、密码、签名、生物测定或可以被提供以鉴定使用者的其他信息也可以被加密以提供在该信息中的安全措施。因此，在一个实施例中，加密模块可以用于加密这种辅助信息。安全交易模块可以类似地用于解密个人身份号码(pin)或解密用于适当的数据处理的其他辅助信息。注意在一个传统应用中，传统技术使用纯文本代币数据对银行卡交易中的个人身份号码加密。然而，在一个实施例中，加密的代币信息而不是纯文本代币信息被用作密钥以加密个人身份号码数据。这样，为了提供传统网络中期望个人身份号码与纯文本信息一起加密的功能，特征可以被提供以使用加密的代币信息解密个人身份号码、解密代币信息、使用纯文本代币信息再次加密个人身份号码并且转送代币信息和个人身份号码到交易处理器。额外地，代币信息可以被再次加密以确保数据安全。
0022在本发明的另一个实施例中，特征和功能可以被提供以执行代币交易的批处理。这样，在一个实施例中，安全交易模块可以被实施为包括处理来自多个源并且为多个交易处理实体处理批交易的功能。在一个实施例中，批结算文件可以被提供到安全交易模块，该文件包括用于被结算的每个交易的数据记录。这些交易的一些或全部可以包括加密的数据，例如由此处说明的处理加密的数据。在一个实施例中，当接收到批结算文件时，数据记录可以被解析和检査以确定是否任意或全部这些记录被加密。信息可以包括在批结算文件中以识别文件源，其在一个实施例中可以被用于识别同样可以识别适当的加密密钥的数据源。安全交易模块可以被配置为获得正确密钥、解密被加密的记录并返回用于结算处理的纯文本信息。纯文本交易可以之后被处理以用于适当的结算。在一个实施例中，结算文件可以包括多个实体的交易并且因此可以要求转送适当的交易记录到适当的结算实体。在这种实施例中，当转送交易记录到适当的实体时，进一步的加密可以用于提供安全措施。
0023根据另一个实施例，命令代币可以被提供以更新交易处
理。例如，命令代币可以用于起动加密信息的更新，所述加密信息包
括例如加密密钥、加密算法、随机数生成器、序列号、终端ID和可以用于加密过程中的其他信息。在一个实施例中，命令代币可以用于更新本地数据获取装备以及在交易处理器处的装备以确保更新的连贯。在一个实施例中，命令代币可以包括格式与非命令代币类似的数据和以与由交易处理装备操作常规代币交易相同的方式操作的信息。命令代码或其他信息可以用于识别作为可以适合于不同应用的命令代币的代币。例如，在银行交易的情况下，特定的BIN或BIN范围可以用于将卡识别为命令卡。BIN或BIN范围的检测可以使处理装备能够将新数据识别为命令数据并因此响应所述命令数据。
0024本发明的其他特征和方面将从以下结合附图的详细说明变得明显，所述附图通过举例的方式说明了根据本发明的实施例的特征。发明内容不意图限制本发明的范围，本发明的范围仅由所附权利要求限定。

0025根据一个或多个不同实施例的本发明参考以下附图被详细说明。所述附图被提供以仅用于说明目的并且仅描述本发明的典型的或示例性的实施例。这些附图被提供以便于读者对本发明的理解并且不应被视为对本发明的宽度、范围或应用性的限制。应该注意，为了清楚和简单地说明，这些附图不一定按比例绘制。
0026图1是说明可以实施本发明的交易网络的一个示例的图
不；
0027图2是说明根据本发明的一个实施例可以与本发明关联的特征的实施方式的图示；
0028图3是说明根据本发明的一个实施例能够进行安全代币交易的过程的操作流程0029图4是说明根据本发明的一个实施例其中可以使用用于路由的网关，交易被处理的示例的图示；
0030图5是说明根据本发明的一个实施例使用多个加密密钥操作交易的示例性过程的操作流程0031图6是说明为每个组件使用独立密钥的代币数据的多个组件的加密和解密的一个示例性实施方式的框0032图7是说明根据本发明的一个实施例用于例如数据获取装置113的数据获取装置的示例性配置的框0033图8是说明根据本发明的一个实施例在获取装置的数据加密的示例性流程的图示；
0034图9是说明根据本发明的另一个实施例的数据加密的另一个示例的图示；
0035图10和11是说明根据本发明的一个实施例的数据加密和代币签名特征的一个示例性应用的图示；
0036图12是说明根据本发明的一个实施例用于操作在代币上
加密的代币数据的示例性过程的操作流程0037图13是说明根据本发明的一个实施例用于检测可疑诈骗交易的源的示例性过程的操作流程0038图14是说明根据本发明的一个实施例用于使用时戳信息
检测潜在诈骗活动的过程的操作流程0039图15是说明根据本发明的一个实施例用于加密例如PIN 数据的额外数据的一些或全部的示例性过程的操作流程0040图16是说明根据本发明的一个实施例用于解密例如PIN 数据的额外信息的示例性过程的操作流程0041图17是说明根据本发明的一个实施例用于PIN加密的示例性应用的框0042图18是一般地说明根据本发明的一个实施例的批结算处理的图示；
0043图19是说明根据本发明的一个实施例的一个可行的加密技术的图示；
0044图20是说明根据本发明的一个实施例用于处理一些或全部账户数据已经被加密的批结算的过程的操作流程0045图21是说明根据本发明的一个实施例的用于数据加密的示例性过程的图示；
0046图22是说明根据本发明的这个实施例用于执行这种加密的过程的图示；
0047图23是说明根据本发明的一个实施例用于加密账号的一部分的过程的操作流程0048图24包括图24A、 24B和24C，图24是说明根据本发明的一个实施例使用替换表格产生密码并转化PAN (主账号)的示例的图示；
0049图25是说明根据本发明的一个实施例的PAN的加密的图
不；
0050图26是说明根据本发明的一个实施例用于加密自由选择数据的示例性过程的操作流程0051图27包括图27a和27b，是说明根据本发明的一个实施例使用替换表格产生密码和转化PAN的示例的图示；
0052图28是说明根据本发明的一个实施例的自由选择数据的加密的图示；
0053图29是说明根据本发明的一个实施例用于起动更新模式或其他命令模式的过程的操作流程0054图30是说明根据本发明的一个实施例用于加密一些或全部代币数据的示例性过程的操作流程0055图31是说明根据本发明的一个实施例使用校验字符确定代币是否是命令代币的示例性过程的操作流程0056图32是说明根据本发明的一个实施例用于操作命令代币的示例性过程的图示；
0057图33是说明根据本发明的一个实施例的示例性过程的操作流程图，其中网关或其他下游实体接收命令交易并返回命令信息；
0058图34是说明在交易处理服务器处接收这个命令信息的示例性过程的操作流程0059图35是说明可以执行软件组件的示例性计算系统的图示。
0060所述附图不意图穷举或将本发明限制到所公开的严格的形式。应该理解本发明可以在实践中进行修改和变化，并且本发明仅由权利要求及其等价物限定。
具体实施例方式
0061本发明指向一种系统和方法，所述方法用于提供便于各种形式的代币访问的系统。在一个实施例中，所述系统提供用于跨通信介质的安全代币访问的多个系统和多个方法。
0062在详细描述本发明之前，对可以实施本发明的示例性环境进行描述是有益的。一个这种示例是交易卡网络，其包括用于便于购买或其他交易的代币。图1是说明可以实施本发明的交易网络的一个示例的图示。现在参考图1，交易网络的一个示例是可以用于授权和结算各种商品和服务的购买的代币网络。这种交易网络的实施方式的说明性示例是用于方便贸易商和其他商行、银行和其他金融机构和个人进行的以及其之间的购买交易和银行交易的签帐卡、信用卡和借记卡交易网络。一般来说，在这种交易网络中，顾客使用签帐卡、信用卡、借记卡或其他代币作为他或她身份的象征，或者作为他或她将为所述交易付款的账户的标识。代币通常由贸易商接受，账户信息被读取并且用于贷记所述交易。贸易商可能要求驾驶员执照或其他形式的标识以结合发行的代币验证购买者的身份。
0063之后，代币数据被发送到适当的一个金融机构或多个金融机构或其他实体以进行处理。在一个或多个步骤中，处理可以包括账户的授权、核准和结算。图1中的示例说明了代币101可以由顾客使用以便于交易。如所述的，在这种示例性的环境中，代币101的示例可以包括签帐卡、借记卡、信用卡、忠诚卡或可以用于对诸如顾客、顾客的账户和其他相关信息等项目进行识别的其他代币。作为进一步的示例，例如信用卡或借记卡的卡可以包括存储数据的各种形式的技术，例如磁条技术、处理器或智能卡技术、条码技术或用于在代币上编码账号或其他标识或信息的其他技术。这样，恰当编码的代币可以包括关于购买者的各种形式的信息，例如购买者的身份、与购买者账户相关的信息、发行银行或其他金融机构、期满日等。
0064仅作为代币110的一个示例，可以使用一侧上包括传统磁条的信用卡。传统磁条可以包括三条轨迹的数据。进一步对本示例，银行使用的ISO/正C标准7811规定轨迹1是每英寸210个比特(bpi，每英寸比特数)，并且保存79个6位加奇偶位只读字符；轨迹2是75 bpi，并且保存40个4位加奇偶位字符；并且轨迹3是210 bpi，并且保存107个4位加奇偶位字符。最传统的信用卡使用轨迹1和2用于金融交易。轨迹3是读/写轨迹(包括加密的PIN、国家代码、货币单位、授权的数量)，但是轨迹3的使用在各银行之间未被标准化。
0065在传统的信用卡代币中，轨迹1上的信息包含在两种格式中。格式A，被保留为卡发行商的专有使用。格式B，包括以下内容起始标记l个字符
格式代码一'B": l个字符(仅为字母) 主账号上限至19个字符分隔符l个字符国家代码3个字符姓名2-26个字符分隔符l个字符
期满日或分隔符4个字符或1个字符
自由选择数据足够多的字符以填充最大记录长度(总共79个字
符)
末尾标记l个字符
纵向冗余校验(LRC)，一种形式的计算的校验字符1个字符
0066用于轨迹2的格式可以实施为以下内容: 起始标记l个字符主账号上限至19个字符分隔符l个字符国家代码3个字符
期满日或分隔符4个字符或1个字符
自由选择数据足够多的字符以填充最大记录长度(总共40个字
符)
LRC: 1个字符
0067虽然具有磁条数据的信用卡仅是可以用于这种和其他环境中的代币的一个示例，但是为了清楚和容易讨论，这种示例性环境在本文中通常被描述为信用卡的实施方式。
0068进入一个交易时，贸易商可能要求顾客出示他或她的付款形式，这在本示例中是信用卡。顾客向贸易商出示在交易终端104中使用的代币101 (例如信用卡)。在一个实施例中，信用卡可以由磁条阅读器刷取或放置为由数据获取装置103读取。在使用磁条的信用卡是代币101的当前示例中，数据获取装置103可以包括多种形式的用以从信用卡中提取数据的磁条阅读器的任意一种。在其他实施例或实施方式中，其他形式的数据获取装置103或阅读器可以用于从代币101 获得信息。例如，条码扫描仪、智能卡阅读器、RFID阅读器、近场装置和其他机构可以用于获得与代币101相关联并用于交易的一些或全部数据。0069数据获取装置与终端104通信联系，终端104可以包括多种终端中的任意一种，包括例如售卖点终端、访问点终端、授权站、自动柜员机、计算机终端、个人计算机、工作站、移动电话、PDA、手持计算装置和其他数据输入装置。虽然在许多应用中，数据获取装置103与终端104是物理分离的，但与终端104处于通信联系，在其他环境中，这些物品可以位于相同外壳中或在集成的外壳中。例如，那些可从例如安智(Ingenico)公司、Verifone公司、Apriva公司、 Linkpoint公司、Hypercom公司和其他公司获得的终端。
0070继续信用卡的示例，顾客或收银员可以使用刷卡装置刷取顾客的信用卡，所述刷卡装置读取卡数据并且转送所述数据到收银员的收银机或其他终端104。在一个实施例中，磁条阅读器或其他数据获取装置103与终端104物理分离，但是和终端104通信联系。在其他环境中，这些物品可以位于相同外壳中或位于集成的外壳中。例如，在零售中心的当前实施方式中，磁条阅读器可以放置在靠近顾客的柜台上，并且电子耦合到收银机终端。收银机终端还可以具有销售人员使用的磁条阅读器。
0071顾客可能被要求出示一种形式的ID以验证印制在代币101 上的他或她的身份。对于其他交易，例如借记卡交易，使用者可能被要求键入PIN或其他鉴定条目。
0072继续当前的信用卡示例，终端104可以被配置为打印出收据(或可以在显示屏幕上显示签名页)并且顾客可以被要求为他或她的购买签名，因此提供购买的另一级别的鉴定。在一些环境中，终端 104可以被配置为存储用于保持记录和报告目的的交易记录。而且，在一些环境中，交易记录可以被保持以用于稍后的账户结算。
0073通常，在交易被核准之前，终端104从交易处理网络123 中的一个或多个实体寻找授权。例如，贸易商可以从收单银行、发行银行、票据交换所或可以用于核准这种交易的其他实体寻找核准。因此，取决于代币类型、涉及的机构和其他因素，交易处理网络123可以是单个实体或机构或者其可以是多个实体或机构。作为进一步的示例，在一个实施例中，交易处理网络可以包括一个或多个处理器或票据交换所，以便代表发行银行和收单银行清理交易。交易处理网络还包括这些发行银行和收单银行。例如，如Global Payments、 Visa、美国运通(AmericanExpress)公司等的一个或多个实体可以是交易处理网络的一部分。这些实体中的每一个均可以具有一个或多个处理服务器以操作交易。
0074在一些情况下，核准还可以组成交易的最终结算，所述结算导致适当的资金被过户以完成交易。然而，在其他实施例中，授权可以简单地仅为授权并且实际账户结算可以在后续交易中发生。例如，授权可以验证特定信息的有效性，例如账号、期满日、顾客姓名和信用限额，从而确定是否核准该交易。当一连串的一个或多个被核准的交易被发送到用于过户资金或其他账户结算的(多个)适当机构时，结算可以完成。
0075如图1所示，可以包括网关120以便于到交易处理网络 123内适当的一个实体或多个实体以及来自该一个实体或多个实体的交易、授权和结算的路由。例如，在贸易商从众多不同机构接受信用卡的情况下，网关可以使用从代币101获得并传递到网关120的BIN
(银行识别号)以将交易路由到与给定BIN相关联的(多个)机构。如流程箭头122所示，不是全部交易均必须经过网关120被路由。交易可以采用其他路径到达交易处理网络123中适当的一个实体或多个实体。此外，此处使用的术语网关不限制为传统网关应用，而是宽泛到足够涵盖配置为执行所述功能的任意或全部功能的任意服务器或计算系统。仅为方便而使用术语网关。
0076虽然仅使用图1的示例性框图环境中的一个框说明交易处理网络123，但这个框可以表示交易被路由到以授权或结算的单个实体或者可能涉及授权和结算的多个实体的网络。在示例性环境中的各个组件间的通信可以使用可能被认为适合给定环境的多种通信技术格式和协议被有线或无线地传输。作为一个示例，当前可用的信用卡处理网络和协议结构可以被用作可以实施本发明的实施例的环境。实际上，在本发明的一个实施例中，本发明的各种特征和功能可以在当前或遗留的交易处理网络内实施以提供增强的特征，同时减小网络基础构造所需要的改变或升级级别。
0077由此描述了示例性的环境，本发明在本文中时常以这个示例性环境进行描述。提供依据这种环境的描述以允许本发明的各种特征和实施例在示例性应用的上下文中被描述。在阅读本说明书后，本领域的一个普通技术人员将清楚如何能够在不同的且可替代的环境中实施本发明。
0078本发明针对便于代币访问的系统和方法，并且在一个实施例中，提供用于代币访问的增强的安全措施。具体地，就示例和相关环境来说，一个实施例为金融交易提供安全措施。本示例性应用中的一个实施例在一些或全部代币数据(信用卡、签帐卡、借记卡或其他代币)被传输到金融网络用于授权或结算之前提供所述代币数据的加密。解密可以在沿交易路径的一个或多个适当点处执行以复原一些或全部原始数据，从而使金融机构能够确定是否授权交易或结束结算处理。
0079图2和3是说明依据示例性环境与本发明的实施例相关联的特征和功能的示例性实施方式的图示。图2是说明根据本发明的一个实施例可以与本发明相关联的特征的实施方式的图示。图3是说明根据本发明的一个实施例用于促成安全代币交易的过程的操作流程图。现在参考图2和3，在步骤86中，来自代币111的数据由数据获取装置113读取。如上所述，代币111可以采用众多不同形式中的任意一个，包括上述参考图1中的代币101讨论的示例。
0080此外，在一个实施例中，代币111中编码的数据可以在代币111制造或产生期间或在将数据写到代币111上时被加密。虽然代币数据被称为"在代币上"以表示"在代币中"，或编码到例如代币 111的代币上或编码在代币中，但是这些术语不意味着暗示或要求特定物理结构用于以数据编码代币。
0081在步骤88中，可以包括一个或多个加密算法的加密模块 132被用于加密一些或全部代币数据。虽然根据本发明的加密可以发生在沿数据流的多个不同点处，但为了安全目的而使加密尽快发生或在数据读取周期中实现是优选。因此，在本发明的一个实施例中，加密模块在数据路径中紧随数据获取。优选地，之后，所述数据可以在其被读取后被尽快加密以增强系统的安全性。
0082为了进一步增强安全性并且提供防止复制、浏览或其他篡改的保护，加密模块132可以与数据获取部件装入同一外壳中。进一步地，加密模块可以被装入环氧树脂和钢铁或其他篡改安全组件中以提供对防止篡改的保护。因此，在一个实施例中，整个数据获取装置可以包装在抗篡改封装中。作为这种情况的特定示例，考虑便于安全信用卡交易的本发明的示例性应用。在这种示例性应用中，数据获取装置113可以实施为磁条阅读器，该磁条阅读器具有用于从代币111 提取数据的磁性读取头或读取/写入头。在本实施例中，可以使用环氧
树脂或其他灌封或密封材料以及钢铁或强管材将加密模块132与磁头包装在一起以提供对单元的防止篡改的保护。例如，加密模块132和读取头可以被包装为使得可能的篡改者难以或不能分解所述单元而接近纯文本数据流或对加密算法进行反向工程或盗取加密密钥，而不需要破坏所述单元或留下篡改标记。作为进一步的示例，加密模块132 可以实施在单个衬底上或在单个芯片中并且与读取头封装。此外，数据检测电路和放大器(或其他数据读取电子器件)可以类似地包括在相同的芯片封装中。加密模块可以进一步被实施以使其不存储或传递纯文本账户信息以进一步帮助保护所述信息。
0083在另一个实施例中，引脚或其他触点可以在封装中的预定位置处提供。环氧树脂、树脂或其他灌封材料可以是导电材料，从而在两个或多个引脚之间产生电流路径。头中的控制逻辑(例如，处理器)可以测量跨各引脚对之间的各个路径的电阻。因此，如果试图开启装置或探测电路以获得密钥、算法或其他加密信息，则一个或多个触点对之间的电阻将被改变。这样，可以检测入侵。在一个实施例中，电阻值被处理器用作密钥以生成加密密钥或其他信息。因此，如果灌封材料被损害，则电阻改变，这又改变密钥，由此影响处理器最终生成的密钥。这样，加密模块将不再生成有效加密数据。此外，因为加密密钥通过使用基于电阻值的密钥由控制逻辑生成，所以加密密钥自身在生成前不可获得。在使用中，加密密钥可以实时生成从而使有效密钥不存储在头中。不存储密钥增加了另一个安全措施。各种可替代的触点配置可以被提供。例如，改变长度的引脚可以提供在容纳控制逻辑的电路板的外围周围。在一个实施例中，从大约l/2mm至lmm 的范围内的引脚被提供在阵列中或围绕所述外围并且接触灌封材料。在一个实施例中，处理器的A/D (模拟/数字)端口可以用于测量处理器的电阻值。在另一个实施例中，所述触点同样可以延伸到头侧中。在这种应用中，如果一个人试图切断头以获得密钥，则引脚将被切断，改变了其间的路径的电阻。
0084在一个实施例中，灌封材料以非均匀的方式或不易于复制
的方式产生或使用。因此，例如，如果材料特性在制造过程或不同的应用中变化，则所述材料不能被容易地去除和替换，同时保留产生正确密钥的功能。例如，无定形或不同类的材料可以被使用以使得所述材料的传导性质可以在其容积上或不同的应用之间变化，由此使得所述材料难以以相同特性去除和替换。作为另一个示例，导电屏蔽或图案可以被使用并嵌入在所述材料中以提供独特的性质。例如，可以使用碳纤维屏蔽、具有导电轨迹的聚脂薄膜模板、纳管和其他导电元件和图案。
0085这样，这些封装和包装技术可以用于保护数据流和加密算法以及密钥的完整性。此外，在本信用卡应用的示例和其他应用中，头或其他数据读取部件通常以特定程度的精度制造以能够进行准确的读取和写入操作。这样，去除或篡改适当封装的装置可以给可能的篡改者以获得适当读取/写入能力所必须的准确和精确级别分解装置时带来困难。这样，本示例说明了加密模块132如何可以与数据获取装置 113—起集成、包装或实施以提供防止篡改的特定的安全措施。
0086如上所述，加密模块132可以被实现以加密与代币111 相关联的一些或全部数据。因此，由具有激活的加密模块的数据获取装置输出的数据可以包括整体加密的数据流、或具有加密数据和纯文本数据的组合的数据流。换句话说，在一个实施例中，加密模块可以被实现为仅选择性地加密代币数据的特定数据项。此外，在一个实施例中，本发明可以被实施以禁用加密模块132或绕开加密模块132以提供对于给定应用可能是必须的或期望的纯文本数据流。
0087为了更好地说明选择性地加密一些或全部代币数据的过程，再次考虑示例信用卡交易。在这种交易中，可能期望加密卡账号 (或所述卡账号的至少一部分)，同时以纯文本保留特定的其他代币信息。作为进一步的示例，考虑当前信用卡交易，其中顾客通过磁条阅读器刷他或她的信用卡并且信息被发送到终端114，例如售卖点终端，从而起动所述交易。在这些交易中，售卖点终端转送数据到交易处理网络123用于授权，并且在许多情况下，打印用于顾客签名的收据以及用于顾客记录的收据。
0088因为在这个和其他应用中可能期望使用特定代币信息授权
交易以及在各种收据上提供这种信息的特定部分，所以在这些应用中，期望将代币信息的特定部分保留为纯文本以便于这些操作。因此，在一个实施例中，加密模块132可以被实现以提供代币数据的特定部分的选择性加密，同时将代币数据的其他部分保留为纯文本或未加密的状态。与以上示例一致，在一个实施例中，加密模块132被实现以加密部分账号从而提供对账户信息的特定的安全措施。在一个实施例中，虽然可以使用其他加密技术，但加密可以使用三重DES加密完成。
0089本示例性实施方式中的加密模块132可以按需要配置为将银行识别号和账号的最后几位数字保留为纯文本。在一些应用中可能期望这样，因为使银行识别号处于纯文本使系统中的终端、网关或其他路由组件能够使用该纯文本银行识别号来适当地路由交易用于核准和结算。此外，如本示例所述，将账号的最后四位数字保留为纯文本可以允许这些信息被打印在收据上以及由收银员或能够进行物理检验和比较的其他人员检査。作为进一步的示例，顾客的姓名可以保留为纯文本以允许他或她的姓名被打印在收据上或在终端上由收银员査看以便识别。作为另一个示例，在一个实施例中，加密模块将银行识别号的第一个数字保留为纯文本以通过终端辨识为表示有效范围。如这些示例说明的，如给定应用可能期望或要求的，本发明可以被实施以选择被加密的代币数据字段的任意或全部(或这些数据字段的一部分)。虽然本文件中有时使用术语银行识别号或BIN，但这个术语可以指使用在银行卡上的传统BIN，或者更一般地指用于识别代币源或路由交易的任意路由字符、串或其他信息。类似地，术语银行卡可以用于指代币，例如信用卡、借记卡、忠诚卡、支付卡等，而无论其由银行还是其他实体(例如美国运通、MasterCard、 VISA公司等)或机构发行，并且无论其是磁条卡还是其他形式。
0090在步骤94中，由数据获取装置113获取并由加密模块132加密的数据被转送到终端114以促进交易。在根据示例性环境的应用中，终端114可以包括例如收银机或其他售卖站或售卖点终端。在其他环境中，终端114可以适当地实施为包括例如多个检查点终端、海关站终端、访问点终端、售卖点终端或适合于给定应用的其他终端。
0091在售卖点终端的应用中，在一个实施例中，终端114可以是刷卡终端，例如由VERIFONE， INGENICO以及其他机构提供的那些便携或工作台终端。其他的售卖点终端可以包括例如气泵、ATM机、自动贩卖机、远程付款终端等。作为另一个示例，终端可以包括与个人计算机通信联系的代币阅读器或用于购物(例如因特网购物或在线银行交易)的其他计算装置。作为进一步的示例，在一个实施例中，终端可以包括磁条阅读器(包括一个或多个读取头)、键盘(例如，用于PIN输入或其他用户输入)和显示器。因此，在本实施例中，终端114被集成到与数据获取装置113的同一封装或外壳中。所述终端还可以与收银机或其他售卖点或访问点站集成或通信联系。
0092在一个实施例中，转送到终端114的数据优选以终端114 可能期望的方式封装。因此，众多封装格式中的任意一个均可以被交易链中的这个和其他通信信道所采用。然而，在一个实施例中，数据获取装置113可以被实施从而以和终端114兼容的方式封装或格式化数据，所述终端114可能已与不包括加密功能的之前己存在的数据获取装置一起使用。作为这种考虑的一个具体的示例，再一次涉及信用卡交易的示例性应用。在这种示例性环境中，当前存在大量磁条阅读器，其向现有终端提供终端期望的特定格式的纯文本代币数据。因此，数据获取装置可以被配置为加密数据，将加密的串置于其替换的纯文本数据的原始位置中，重新算校验和，包括任意标记或LRC并转送到所述终端。之后，所述终端可以将交易操作为常规交易(例如未加密交易)。在一个实施例中，所述终端可以校验所述校验数据(例如以奇偶、LRC和模10校验)，当所述校验数据由使用插入的加密串的加密模块再次生成时，该校验数据应该是正确的。如果代币故障，则可以输出不良的读取状态。
0093因此，仅仅在数据获取装置处(例如在磁条阅读器)提供数据加密可以导致数据与终端不兼容并且在一些应用中与网络的其余部分不兼容。这样，本实施例以和不然被呈现给终端114的数据相同的封装格式将数据的加密部分和数据的纯文本部分一起封装。这样，交易(在本示例中为信用卡交易)可以其通常的方式完成而不需要终端升级。作为对此的进一步的示例，考虑上述示例，但现在假设信用卡的个人账号被加密如下前六位数字或银行识别号被保留为纯文本，接下来的六位数字被加密，并且账号的后四位数字被保留为纯文本。因此，在本示例中，加密可以被实施以使得被加密的账号的原始六位数字由等量的(即六位)加密数字替换，并且这六位加密数字被置于与数据流的账号中出现的六位纯文本数字相同的位置上。结果，轨迹数据的原始封装格式未受影响，并且具有加密特征的数据获取装置(无论是新装置还是翻新装置)可以集成到网络中并且与期望来自非加密磁条阅读器的数据的终端兼容。
0094在另一个实施例中，加密的数据可以与常规终端期望的信号格式相同的信号格式输出。例如，在示例性环境中，常规磁条阅读器包括读取头，该读取头读取磁性转换并且输出数据作为表示轨迹数据的转换串。在这种环境中，终端114被期望从所述头接收具有给定信号格式(处于指定信号水平或范围)的转换串。因此，在本实施例
中，加密模块132可以进一步被配置为将加密的数据流转换为处于终
端期望的信号水平的一系列转换。这样，在本示例中，本实施例允许
数据获取装置113与常规终端装备通信而不需要改变或升级终端。
0095继续本示例，在一个实施例中，所述头被配置为读取磁性编码的数据并且输出一系列数据变换。所述变换可以由加密模块132 转换为表示轨迹数据的一系列字符。如果在应用中适用，则加密模块 132可以进一步被配置为生成LRC和校验和。因此，加密模块132产生轨迹数据字符串。加密模块132进一步被配置为解析这个轨迹数据以选择这个数据的适当部分用于加密。例如，加密模块132可以选择部分账户信息用于加密，同时掩盖其他数据，例如BIN和期满日。在一个实施例中，加密模块132可以被配置为重新封装数据从而使其处于与未加密数据相同的格式包中。之后，加密模块132可以被配置为将这种数据转换为不然在没有加密技术的情况下被读取头输出的变换。因此，在本示例中，数据流135以来自常规头的终端114期望的方式被格式化(从布局和信号的角度)。
0096在加密模块与头或其他数据获取装置封装(或集成或包含) 的实施例中，头单元可以用于将现有的非加密头替换为加密头，所述加密头包括加密模块并且以与非加密头相同的格式输出数据。因此，在一个实施例中，现有终端或其他交易处理装备可以被容易地升级为
PCI兼容或通过将非加密头替换为被配置为输出兼容数据格式的加密
头而包括加密功能。因为在本实施例中输出是兼容的，因此所述头可
以被替换而不会影响终端1"。
0097在一个实施例中，如所述的，加密技术可以和头技术一起封装到智能卡模块封装中。加密头模块可以被密封以阻止篡改。头模块可以包括例如被密封的电子器件以提供加密、电力管理功能和用于任意终端/POS环境的智能接口。加密头可以例如替换常规POS装置中的现有读取头；经由RS232或USB端口或其他连接在外部有线或无线地连接到POS装置；或使用例如I2C或SPI方法集成到所述装置中。一旦加密头安装到终端中，则其新的功能可以被配置为仍然透明的 ("隐藏的")。如以下进一步的讨论，所述功能可以在经由命令代币被激活之前始终处于休眠状态。
0098加密头可以被配置为基于BIN号码和POS/系统要求等选择性地加密轨迹2卡数据。所述数据可以用奇偶、LRC和模IO校验测试准确度。如果卡未能通过奇偶或LRC校验，则输出"不良读取"状态。如果卡通过了其他校验并且通过了模10校验，则卡BIN号码用于访问加密参数和密钥。在一个实施例中，终端头每次成功地解码和加密卡数据，计数器均可以被增值。在一个实施例中，可以建立不同计数器并且为特定的BIN或BIN范围更新计数器。在一个实施例中，六数字计数器足以允许每次交易中足够的"独特性"。在一个实施例中，两个最右边的数字和卡数据(例如，在PVV (引脚验证值)字段或其他字段中) 一起输出，由解密模块使用。
0099图2中所示的是安全数据流135，其中一些或全部数据在传输到终端114之前已经由加密模块132加密。在步骤94中，安全数据流135被转送到终端114以促进交易。这样，终端114可以适当地使用或转送数据流135的一些或全部元素以实施交易。继续信用卡售卖的示例，例如售卖点终端或刷卡终端的终端114可以使用这种交易数据以为交易获得授权、获得使用者输入(例如按下"是"以核准售卖)以及打印收据(或与收银机或其他装置通信以打印收据)或完成交易。
0100在步骤96中，终端114将数据路由到交易处理网络123 以适当地为来自一个或多个实体的交易获得授权或核准。由终端114 路由的数据流137可以包括在安全数据流135中提供的一些或全部数据，并且可以被增大以提供可能适合交易环境或类型的额外数据。在一个实施例中，交易数据流137是与安全数据流135相同的数据并且与其具有相同格式。在一个实施例中，交易数据流137可以由终端114 格式化为与现有交易处理装备兼容的格式或格式化为给定应用或网络可能期望或适合的其他格式。例如，在一个实施例中，安全数据流135 可以遵循常规终端标准被封装并发送到常规终端114，并且由终端114 根据其常规标准处理和输出。作为另一个示例，数据流135可以由终端114接收并且终端114可以被配置为提供用于与下游装备兼容的封装和信号调节。在另一个实施例中，为了和遗留的交易处理装备一起起作用，具有兼容的数据获取装置113 (集成的或其他方式)的替换终端可以被提供以与交易处理网络即插即用兼容。
0101在一些环境中，终端114和交易处理器之间的链接相对安全。这样，在一个实施例中，终端114可以在用于交易处理的传输之前解密数据。虽然未说明，但终端114可以由此包括用于在传输之前解密数据的解密算法和密钥。被解密的数据可以被保持或格式化为与交易处理器期望的格式相同的格式。此外，终端114可以包括加密模块以加密由终端114输出的一些或全部数据。因此，所述数据可以在传输之前在终端处被加密或再次加密。在一个实施例中，终端处理器、 ASIC或用于解密或加密数据的其他控制逻辑以及相关联的密钥可以以安全方式封装从而如果其被篡改，则密钥或其他加密信息被自动擦除或毁坏。在另一个实施例中，数据获取装置连同终端组件可以以安全方式封装。
0102图2中提供的示例中说明的是网关120，该网关120同样
可以用于路由数据流。如上参考图1所述，网关120可以包含或不包含在交易路由中，这取决于应用或交易和网络配置及参与者以及其他参数，例如网络的复杂性和可用的路由选项。例如，在多个终端114 可以用于执行来自多个发行权威机构的信用卡的交易的情况下，网关功能可以有用地在终端和交易处理网络的元件之间路由交易数据。
0103同样如以上参考图1所述的，如本文所使用的，术语"网关"广泛地用于说明交易流中的实体，例如服务器或其他处理系统，所述实体可以被包括以执行例如路由、接口连接、格式或协议转换、存储、缓冲等功能。例如，在一个实施例中，网关可以被装配以将各
种终端114和交易处理网络123或交易处理网络123中的各个实体连接。进一步地，在一个实施例中，网关可以被包括以提供包含在交易中的各个实体之间的接口。就示例性环境来说，一方面，网关可以提供多个贸易商及其终端114之间的公共接口，另一方面，网关可以提供各个银行、机构或其他实体之间的公共接口。可以包括在网关120 中的功能可以是例如M转化、数据格式化、阻抗匹配、速率转换、故障隔离、信号转化、缓冲和存储、路由或提供交易参与者之间的协同工作或通信所必须或有用的其他功能。
0104网关可以使用硬件、软件或其组合实现。在一个实施例中，网关120被实现为配置为运行用于网关功能的软件应用的一个或多个处理装置。在本文件中所述的一个或多个实施例中，例如加密、解密、密钥存储和其他相关功能的功能经常被说明为在网关处执行或由网关执行。这个说明书包括多个实施方式，其中多个功能使用分离模块或由网关调用或访问的设备执行。例如，在一个或多个实施例中，这些功能被描述为由可以作为网关一部分或由网关访问的安全交易模块执行。在阅读本说明书后本领域的普通技术人员将清楚，这种讨论可以表示执行网关功能的相同装置还可以包括用于执行这些加密、解密或其他功能的硬件或软件模块。
0105替代地，分离模块可以与网关通信联系并且所述分离模块的功能由网关调用、访问或使用以执行加密、解密或其他相关功能。实际上，在一个实施例中，一个或多个分开的设备被提供以执行各种解密、加密、密钥存储和更新和其他功能，并且适当的交易数据路由到适当的设备以用于处理。这种设备自身可以使用硬件软件或其组合实现，并且可以被耦合以和网关通信联系。如本文所述，这种设备(有时也称作安全交易模块)可以与除网关以外的多个实体相关联，包括发行银行、收单银行、票据交换所、贸易商和可以与交易处理网络123 相关联的其他实体。
0106在步骤98中，加密的信息被解密以处理所述交易。在图 2中说明的示例中，交易数据流或其他适当的交易数据被路由到将执行授权或其他核准的一个或多个交易处理网络123实体。在所说明的本示例中，解密发生在这个网络中或这个机构处以使纯文本信息可以被复原以便于交易处理。本发明可以被实施以在交易过程中任意点处提供可能适合于指定安全目的或指定安全目的所期望的解密功能。例如，一旦交易数据到达安全处理网络，则可能适合于在该网络内解密数据并且将数据操作为纯文本，因为所述网络是安全的。作为另一个示例，一旦交易到达票据交换所，安全交易模块可以在票据交换所处解密信息或为票据交换所解密信息，并且所述交易被转送到发行银行以完成。作为另一个示例，所述交易可以在其到达发行银行之前始终保持加密并且可以在发行银行处被解密以用于处理。在信息到达其最终目的地之前被解密以用于操作或其他处理(或用于其他目的)的情况，所述信息可以被再次加密以用于后续传输。
0107作为另一个示例，网关120和交易处理网络123之间的连接自身可以是安全连接。在这种情况下，可能期望在交易数据流被路由到交易处理网络123之前在网关120处将其一部分或全部解密。在这个示例更进一步，考虑一种信用卡交易，其中整个账户信息被加密。在这种情况中可能期望的是使网关解密账户信息以获得银行识别号从而便于路由。通过安全连接，被解密的信息可以保留为纯文本以传递到交易处理网络123。在另一个实施例中，网关可以被配置为在路由之前再次加密被解密的信息的一些或全部。
0108作为另一个示例，即使在路由数据是纯文本的情况，也可能期望在网关处具有可用的安全交易模块以解密由该网关路由的所述交易。这样，集中的(或在多个网关的情况下相当集中的)解密过程可以被实施以在一个位置(或在预定的多个位置)为多个贸易商和多个发行商的多个交易操作解密。在这种应用中，集中的解密可以被实施以提供集中的密钥管理或集中的其他加密算法或信息。
0109因此，为了说明两个可行的解密布置的情况，一个解密模
块被说明为与交易处理网络123相关联的解密模块122A和与网关120 相关联的解密模块122B。由于这些示例用于说明，所以一些或全部信息的解密可以在沿网络的可能适合于给定交易的一个或多个点处执行。如以下同样进一步详细讨论的，使用一个或多个密钥用于数据的多个部分的各种级别的加密和解密可以被包括，从而以安全的方式便于交易的路由和操作。
0110例如，网关可以被配置为解密交易数据流，确定路由或其他特定网关信息(例如读取用于路由的银行识别号)，并且在将数据转送到交易处理网络123之前再次加密所述数据。此外，在如上所述的另一个实施例中，银行识别号或该银行识别号的一部分可以保留为纯文本，所述网关或其他网络组件可以被实施以基于纯文本银行识别号路由所述交易从而使中间解密和再次加密不用于确定这种路由。
0111在另一个实施例中，安全交易模块被配置为解密账户信息，所述安全交易模块可以被配置以便为了安全目的不存储纯文本账户信息。因此，在本实施例中，设备可以被配置为接收加密的信息，执行解密并且转送纯文本信息而不存储纯文本信息的本地副本。然而，在一个实施例中，账户信息或其他代币数据的散列可以被保持在安全交易模块处以使所述模块能够检查复制的交易。在另一个实施例中，安全交易模块可以被配置为提供数据以用于报告或记录保持目的。例如，安全交易模块可以提供散列、交易账户、贸易商ID、终端ID、交易日期等用于报告交易信息或其他数据。
0112在一个实施例中，由于每个加密的刷卡均为独特的，因此来自交易商的被"打乱"的每个加密的交易会生成独特的散列代码。存储在安全交易模块中的散列可以用于验证后续的加密交易不是"重演"早前的交易。这个原理会成立，然而，在"贸易商A"和"贸易商B"不使用同一网关的实施方式中，由于散列不存储在分离的网关中，所以复制的H-TDES交易不会被捕获。因此，在一个实施例中，在不同网关(或在处理网络中)处的安全交易模块可以被配置为共享用于比较目的的已生成的散列代码(例如，相互共享信息或将信息提供到中央贮藏室)以检测诈骗交易。当实施签名检测时，相同的情况存在。在一个实施例中，签名检测生成独特的标识符或数据流以表示原始卡。为了检测被刷的卡或其他诈骗活动，签名数据可以在安全交易模块之间共享。
0113在一个实施例中，银行识别号或其他处理信息可以以第一密钥加密并且账户或其他信息以第二密钥加密。在本实施例中，网关或其他指定的实体可以被提供第一密钥从而使其能够解密银行识别号或可以用于在交易中提供其服务的其他交易处理信息。例如，在银行识别号被加密并且网关保存该密钥(例如使用安全交易模块)的情况下，交易被路由到网关以译解银行识别号并确定路由。在一个实施例中，交易的路由可以基于保持密钥的实体而确定。此外，因为账号或其他信息以第二密钥加密，所以这种信息不由网关解密而是以加密形式通过以便于交易。通过这种实施例，可以实施为使得第二密钥不存储在网关处或不保存在网关处，因此使得账户信息更难以在网关处被危及安全。这样，在一个实施例中，所述系统可以实施为使得第二加密密钥仅存储在交易处理网络处以提供对账户信息的增强的安全措施。作为另一个示例，BIN的除第一数字以外的全部数字均可以被加
密。将BIN的第一位数字保留为纯文本可以被用于便于终端或其他处
理装置的路由。
0114作为另一个示例，在一个实施例中，可以存在多个密钥以管理不同的加密功能。此外，在一个实施例中，本发明可以被实施为使得由加密模块执行的加密级别和类型通过不同密钥管理，并且在一些情况下，通过命令代币(以下进一步讨论)管理。因此，在一个实施例中，分级密钥管理可以被建立以包括主密钥、OEM (原始设备制造商)密钥、贸易商密钥和终端密钥。在一个实施例中，主密钥可以在制造加密模块期间使用以管理序列号，并且用于生成并激活OEM密钥和命令卡。OEM密钥可以用于生成用于不同加密级别(例如用于不同BIN范围)的命令卡；并且还可以用于生成并激活贸易商密钥和命令卡。例如，贸易商可以被配置为对贸易商的全部终端使用相同的密钥和命令卡，使终端能够加密主账号。贸易商密钥还可以用于生成并激活终端密钥和命令卡。终端密钥可以结合相应的命令卡使用以描述每个轨迹中要加密的自由选择数据。
0115在一个实施例中，密钥可以被自动管理并且由可以用作服务或设备的密钥管理模块维护。作为服务，密钥可以由贸易商远程管理。每个贸易商的终端或终端组可以被分配用于解密被加密的卡数据的独特密钥。
0116由于这些示例被用于说明，所以多个不同加密和解密情况可以被提供，可以以适于给定应用或适于一些或全部数据中安全性或私密性的期望水平的方式，用不同密钥加密数据的不同部分以及提供适当的解密或再次加密。
0117在步骤99中，从交易处理网络123提供表示授权状态的授权响应。例如，在交易被核准处，这种授权被传递到终端114并且可以存储在所述终端或存储在与终端相关联的存储装置中，用于记录保持目的或进一步的交易。例如，再次考虑在信用卡交易中的应用，当执行初始交易时，终端114通常从交易处理网络123寻找授权并且一旦被授权，则在数据文件或其他数据库中存储交易信息以用于之后的交易结算。因此，在本示例中，终端114可以存储与被授权的交易相关联的信息以用于步骤100说明的之后结算。
0118在一个实施例中，可以提供管理工具箱以用于终端和服务的远程管理。各种访问机构可以被提供，包括例如为实体提供接口的 XML API (应用程序接口)以从安全交易模块和密钥管理模块提取关键报告信息以及在使用或不使用命令卡的情况下提供远程管理终端状态的能力。通过API可获得的报告数据可以包括以下信息用于多个终端的重要统计、多个终端的安全集成、每个终端的刷卡次数、被拒绝的信用卡的数量以及各种其他的密钥度量。
0119图4是说明根据本发明的一个实施例，其中使用网关用于路由，交易被处理的示例的图示。如上所述，交易数据流137被路由到交易处理网络123用于交易处理，解密122可以发生在交易处理网络中的适当点处以确保交易数据的安全。适当的授权响应139之后可以被发送回终端以促进所述交易。
0120如上所述，各种情况可以被实施以提供使用一个或多个密钥的一些或全部代币数据的加密，并且在交易处理链中的适当点处解密以便于交易的安全操作。为了进一步地说明本特征，现在描述另一个示例性实施例。为了提供本示例性实施例的进一步的说明，以示例性环境并且更具体地以信用卡交易讨论。图5是说明根据本发明的一个实施例使用多个加密密钥来操作交易的示例性过程的操作流程图。
现在参考图5，在步骤40中，代币被读取。特别是就本示例来说，在步骤40中读取的代币是信用卡，并且更具体地，轨迹1和2数据可以由磁条阅读器或其他数据获取装置103从信用卡中读取。
0121在步骤42中，信用卡数据的一部分由第一密钥加密。具体地，在本示例中，从代币读取的主账号(在一些应用中称作PAN) 以第一密钥加密。如上所述，在一个实施例中，仅账号或PAN的一部分被加密，同时其他部分被保留为未加密。可以用于加密账号(或其一部分)的第一密钥可以由许多技术中的任意一个选择并且恰当地分配到适当的解密装置以便于数据操作。在一个实施例中，终端ID被用于第一加密密钥。也就是，终端ID本身是第一密钥或终端ID可以用于生成或识别用于加密账号的这个部分的第一密钥。例如，终端ID可以与随机数生成器、替换表格或其他算法共同用于生成密钥。作为另一个示例，终端ID可以用作存储在表格或数据库中的适当密钥的地址或其他标识符。使用终端ID作为加密密钥或作为识别加密密钥的手段可以提供灵活性和以下进一步说明的特征。
0122在步骤44中，在本实施例中，发生另一种加密。具体地，在本实施例中，账号的不同部分以第二密钥加密。例如，银行识别号或其一部分使用第二密钥加密。在一些应用中，银行识别号(有时称为BIN)是账号的一部分。例如，在一些信用卡中，BIN是账号的前六位数字。
0123在一个实施例中，第二密钥可以是基于贸易商ID的密钥，或者其可以是某个可能被适当选择和分配的其他密钥。基于贸易商ID 的密钥可以是贸易商ID本身或从贸易商ID生成的密钥或由贸易商ID 识别的密钥(如以上关于终端ID所讨论的)。这样，作为步骤42和 44的结果，代币数据被加密以使得账号的一部分以第一密钥(例如来自终端ID)加密并且银行识别号以第二密钥(例如来自贸易商ID)加密。0124在步骤46中，恰当编码的数据被路由用于授权。这种数据可以被封装以与各种数据格式兼容，包括常规银行卡交易格式。此
外，在一个实施例中，所述数据可以在终端114期望的信号水平上输出。这种数据可以或不可以由例如终端114的终端改变，这取决于所述交易。
0125在本示例中，网关120用于便于交易的路由。这样，在本示例中，所述数据被路由到网关120以用于进一步的操作。因为本示例中的加密发生在数据获取装置113处，所以在一个实施例中，由于账户信息的一些或全部己经以一个或多个密钥加密，所以自售卖点、授权点或其他终端114的路由经由不安全的网络完成。
0126虽然本示例和其他示例中的交易处理中使用的路由设备被描述为网关，但是可以被认为适合于给定应用或环境的众多数量的路由设备、模块或机构的任一个均可以被实施或利用以便于交易路由或操作。因此，术语网关被用于一般地描述这种设备或模块。
0127在步骤48中，网关120接收交易数据并且继续为交易确定适当的路由从而使交易可以被处理。在这种示例中，因为银行识别号被加密，并且该号被用于确定路由，所以网关首先解密银行识别号以使真正的银行识别号可以被确定以用于路由。例如，网关可以通过将信息发送到用于解密的安全交易模块执行解密。如步骤50所述，一旦被解密，网关120将所述交易路由到适当的机构。在一个实施例中，网关可以使用相同的或不同的密钥再次加密银行识别号。
0128注意，在上述一个实施例中，银行识别号以基于贸易商ID 的密钥加密。因此，网关可以使用包括在交易数据中的关于贸易商的信息来适当地执行银行识别号的解密。例如，网关可以被提供由贸易商ID 号索引的加密密钥的数据库。这样，网关可以使用适当的贸易商ID从所述表格中检索适当的解密密钥，从而执行银行识别号解密。在贸易商ID 被用于产生加密密钥的另一个示例中，类似的算法可以在网关处提供以基于贸易商ID生成正确的解密密钥，从而执行BIN解密。
0129在将所述交易路由到适当的机构之前，网关120可以如可能适合于交易或如交易期望地再次加密BIN或将其保留为纯文本。注意，在一个实施例中，优选的是网关处的安全交易模块不访问用于加密账户信息的其余部分的第一密钥。这样，安全措施可以被提供以禁止或阻止网关120处的敏感账户信息的解密。换种方式说，使用分离的多个密钥来加密信息的相应部分使得能够使用和分配密钥，所述密钥可以在交易网络中的不同点处提供控制信息的选择性解密的能力。
0130在步骤52中，适当的机构接收由网关路由的交易并且以第一密钥解密账号的第一部分。跟随以上第一密钥是基于终端ID的示例，所述机构可以使用关于终端ID的信息再次产生密钥并提供适当的解密。一旦被解密，所述机构可以确定是否授权所述交易并且提供适当的响应，如步骤54中说明的。因此，在一个实施例中，终端ID(可以指数据获取装置的ID或终端114的ID)或其他标识符附属到数据流以启用解密设备(在本示例中的授权机构处)，从而识别终端ID并且由此获得用于解密的正确密钥。
0131在步骤56中，所述终端可以存储交易用于之后的结算。例如，就示例性的信用卡交易来说，授权可以被存储以用于批结算目的。在这种情况下，因为所述终端仅访问由数据获取装置加密的信息，所以存储在结算文件中用于之后结算的信息保持加密。因此，所述系统可以被实施以在后续批结算或其他结算操作期间维持或增强数据安全性。
0132图6是说明使用用于每个组件的分离的多个密钥对代币数据的多个组分进行加密和解密的一个示例性实施方式的框图。现在参考图6，并且和关于图5说明的以上示例一致，加密模块132访问并利用至少两个密钥，密钥11和密钥12。在给定的应用中，基于实际的实施方式可以存在加密模块132可用的更多密钥。然而，为了符合上述示例，其中账号的一部分以第一密钥加密，并且银行标识以第二密钥加密，所以两个密钥，密钥11和密钥12被说明并使用。
0133仍跟随以上示例，加密模块132使用密钥11加密账号的一部分(例如PAN的一部分)以提供账号中的安全措施。加密模块132 使用密钥12加密银行识别号(例如PAN的另一部分)以给代币数据提供额外的安全。在许多应用中，银行识别号或其他类似的号码是账号的一部分，这种加密同样为账号提供额外的安全。所述数据被封装并作为安全交易数据被发送到所述终端以促进所述交易。0134在本实施例或其他实施例中，在数据获取装置113处不需要执行任一个或两个加密步骤，并且可以替换为由终端114或者在沿
通信信道的另一点处执行。然而，如上所述，在优选实施例中，尽可能或尽量靠近数据的源来执行加密以更好地保护所述信息。
0135继续以上示例，终端114路由由适当的一个机构或多个机构处理的交易数据。与示例性环境一致，路由可以通过网关120或其他手段完成并且到达交易处理网络123上，所述交易处理网络123可以包括一个或多个实体以执行授权或结算功能。如以上参考图5所述，网关120利用适当密钥解密包含银行识别号(或其他实施例中的其他路由数据)的数据的一部分。因此，解密模块128B和适当的密钥12 被说明为网关120的一部分或与网关120相关联。解密模块122B访问适当的密钥12以执行适当的解密。
0136虽然仅说明了网关120可访问的一个密钥，但是其他实施例可以包括在交易服务中可以由网关120访问的额外密钥。例如，给定网关120可以服务于多于一个贸易商并且每个贸易商可以具有他或她自身的密钥集合。进一步实施本示例，每个贸易商可以具有多个终端114和多个数据获取装置113。进一步地，在终端ID和贸易商ID可以被分别用作给定终端和贸易商的独特密钥的实施例中，操作这些交易的网关120可以被提供多个密钥以能够解密和路由来自多个源的不同交易数据。
0137如本示例的说明，无论所实施的特定加密和解密情况，可以存在多个实施例，其中网关120、交易处理网络123和加密模块132 中的每一个可以访问可能适合于给定配置的多个密钥。
0138继续以上参考图5所述的示例，确定了适当的路由，网关 120现在将交易数据路由到交易处理网络123，用于适当动作。因为以第一密钥加密的账号的部分不由网关解密，所以这种数据保留为加密文本，并且因此关于这种数据的安全措施被维持。此外，在一个实施例中，网关120可以再次加密银行识别号(或在网关120处可能已经被解密的其他数据)以在与交易处理网络123通信期间提供额外的安全。这种再次加密可以使用相同或不同的密钥执行。
0139在交易处理网络123处，解密模块122A可以检索适当的密钥，在本示例中是密钥ll，以解密账号的剩余部分，从而进一步处理所述交易。此外，在网关120可以再次加密银行识别号并且需要该数据以解决所述交易的实施例中，交易处理网络123还可以解密这部分数据以
完成所述交易。在这种情况下，交易处理网络123可以使用用于这种解密的适当的密钥，例如在本实施例中使用分开的密钥。
0140如以上参考网关120所述，交易处理网络123可以具有用于这些情况的多个密钥，所述情况例如交易处理网络123处理多个贸易商、终端、数据获取装置等的交易。如上所述，交易处理网络123可以由单个实体组成以处理一个交易或由其间具有某个互连水平的多个实体组成。因此，在交易处理网络123包括多个实体时，交易数据可以从交易处理网络123内的一个实体发送到另一个实体以适当地处理所述交易。这样，交易处理网络123内的解密可以置于可能适合给定网络、配置或情况的这些实体中的任意实体。例如，在交易处理网络123包括其间具有安全通信的多个实体的一个实施例中，可能期望在信息进入所述网络时解密信息，因为所述网络为安全网络并且纯文本通信可以在适当的多个实体间自由共享。替代地，解密和再次加密可以适当地发生以在给定实体处利用数据，并且在通过通信信道传递到另一个实体之前再次保护数据。
0141在一个实施例中，所述系统可以被配置为从终端114直接路由交易到指定的处理实体。例如，所述系统可以被配置使得终端114 可以将指定交易路由到付款处理器、发行银行、收单银行或其他指定实体。所述路由可以通过网关或其他中间服务器执行，但是路由路径至少在一定程度上可以被预定。例如，使用BIN范围或其他数据标识符，可以指定用于代币或代币组的路由路径。作为进一步的示例，发行人可以指定其发行的特定卡的交易绕开付款处理票据交换服务而被直接路由到发行银行。
0142安全交易模块可以以多种方式实施以完成本文所述的期望特征和功能。在一个实施例中，安全交易模块被配置为从网关接收以下信息以进行交易
网关标识符/密钥
主机标识符(ID) 贸易商ID 终端号轨迹I 轨迹II 轨迹III
0143这些元素在一个实施例中被进一步说明。网关密钥元素可以是预定义的密钥，它由网关传递到安全交易模块以确保所述服务不在网关位置以外的地方执行。主机标识符可以是主机(网关)提供的内部交易ID，它和响应消息一起返回。例如，它可以用于网关的保护性措施响应消息是针对之前登记到安全交易模块的交易。贸易商ID 和终端ID可以由终端提供或由网关生成(例如在网关从终端/POS装置接收所述交易之后)。在一个实施例中，纯文本轨迹数据被返回，并且加密数据按指定被解密并且返回。
0144在一个实施例中，安全交易模块可以被配置为将数据发送到交易监视模块。交易监视模块可以被配置为用于安全交易的主数据库。在一个实施例中，所述数据库不包含可以用于识别偷窃或诈骗交易的个人信息或信用卡数据。例如，在一个实施例中，安全交易模块提供如下信息给交易监视模块
*交易日期/时间
.创始人ID (什么网关、处理器等产生源数据) ，贸易商ID (或要被确定的贸易商ID等的散列) ，终端ID (或要被确定的终端ID等的散列)
Auth#
Re併
加密的轨迹数据的散列加密的PAN的散列解密的PAN的散列，交易量
交易类型(信用售卖、借贷、无效、退款、命令卡等)
*加密的交易标记
0145注意在一个实施例中，每个交易均被路由通过安全交易模块。在一些应用中，这是被期望或要求的，因为网关不能确定交易是否是加密交易或是纯文本交易并且安全交易模块进行这种确定。因此，在这种实施例中，安全交易模块还可以获取"纯文本交易"以确定哪些贸易商正在使用加密。对于正在使用加密的贸易商，安全交易模块可以确定他们是否正在使用其他未使用加密的终端。安全交易模块还可以被配置为确定被启用的终端是否使其加密"关闭"并且现在不再加密。
0146如贯穿本文所讨论的，本发明的各种实施例试图靠近数据检测处或在数据检测点处提供数据加密功能以提供额外的安全性。如关于磁条代币环境所述，这种实施例可以被实施以在数据检测电路处或用于探知由读取头检测的来自磁场模式的数据的其他控制逻辑处提供数据加密。图7是说明根据本发明的一个实施例用于例如数据获取装置113的数据获取装置的示例性配置的框图。现在参考图7，说明性示例中的数据获取装置包括用于检测来自代币111的数据的数据检测控制逻辑152。优选地，在一个实施例中，数据检测控制逻辑152被配置为读取或检测来自代币111的数据，并且如果适当，则将所述数据转换为可用形式。
0147这样，数据检测控制逻辑152的一个实施例包括传感器控制逻辑154和数据转换控制逻辑156。在这种实施例中，传感器控制逻辑154可以被配置为感测、检测或读取来自代币111的数据，并且传递表示这种数据的电子信号到转换控制逻辑156。转换控制逻辑156可以被配置为将所述数据转换、重新格式化或改变从而使其与下游组件兼容。例如，再次考虑示例性代币包括其上具有编码的数据的磁条的情况。在这种实施例中，传感器控制逻辑154可以利用例如磁性换能器技术来实现以读取编码在所述磁条中的磁性信息。因为磁性换能器的输出可以是模拟信号，或者可以具有使其与数据操作控制逻辑不兼容的特性或性质，所以一个实施例还可以包括转换控制逻辑156以适当地格式化或转换数据。例如，转换控制逻辑156可以包括模数转换器以将检测到的数据转换为与数字逻辑电路兼容的数字数据流。
0148在以上示例中，传感器控制逻辑154包括磁性换能器以读取磁条数据。如本示例说明的，在其他应用中，其他控制逻辑可以被利用以基于代币111处的数据的类型或格式而扫描、读取或提取来自代币 111的数据。例如，传感器控制逻辑154可以包括光学传感器以读取光学
数据元件(包括例如条形码)、RFID异频雷达收发机、近场通信装置或用于读取感应元件的其他类似的异频雷达收发机以及其他装置。在一个实施例中，使用与传统银行卡轨迹数据不同的格式的来自代币111的数据可以由数据获取装置或终端转换为轨迹数据。例如，配置为接收不接触的代币(例如RFID代币)的数据获取装置可以接受数据并将其加密，并将所述数据在发送到终端114之前格式化为轨迹数据。在另一个实施例中，终端114可以接受处于除轨迹数据的格式以外的格式的数据并且将所述数据恰当地封装以用于下游的处理装备。
0149无论实施例是否包括传感器控制逻辑154和转换控制逻辑 156，优选的是数据检测控制逻辑152输出具有与例如数据加密控制逻辑160等下游电路兼容的格式的数据。如本文关于不同实施例所讨论的，数据获取装置113可以被实施以包括加密从代币111检测到的一些或全部数据的特征。这样，数据加密控制逻辑160可以被包括以加密指定的数据项，从而提供数据安全措施。多种加密算法中任意一个均可以用于对一些或全部数据项执行数据加密。此外，存储器或其他数据存储器164可以被提供以保存可以用在加密过程中的一个或多个加密密钥或根据需要存储其他数据或信息。
0150在一个实施例中，密钥可以在数据获取装置113处本地生成。在另一个实施例中，密钥可以被下载或提供到数据获取装置113 以包括在存储器164中。因此，在一个实施例中，密钥生成控制逻辑 166可以被包括以提供生成用在加密过程中的密钥的功能。例如，如以下更详细的讨论，命令卡和其他技术可以用于促使系统生成新的密钥。这样，密钥生成控制逻辑166可以响应地生成密钥并且将该密钥提供到密钥存储器164，由数据加密控制逻辑160使用。
0151如上所述，在一个实施例中，数据加密控制逻辑与数据检测控制逻辑152充分包装以提供针对篡改装置的安全措施。此外，密钥存储器164和密钥生成算法控制逻辑166可以被类似地包装在同一模块中以提供针对多个偷窃密钥或密钥生成算法的安全措施。实际上，在一个实施例中，参考图7所述的任意或全部功能可以与所述头包装在一起。虽然未在图7中说明，但电力管理功能还可以被包括并包装。
0152图7的示例配置中还说明了采用加密的数据以及纯文本数据(如果存在的话)的数据封装控制逻辑170，并且其将所述数据以下游
组件部分可接受的格式封装。例如，在上述一个实施例中，数据封装控
制逻辑170可以将用于信用卡、签帐卡、借记卡和其他类似代币的加密的以及纯文本数据再次格式化为和不具有加密电路的常规磁条阅读器的输出格式相同的格式。这样，在这种实施例中，电子数据获取装置113 可以输出格式可由常规售卖点终端、访问点终端、收银机和工业中使用的其他终端辨识的交易数据。
0153图7中还说明了数据输出控制逻辑174，该数据输出控制逻辑174可以被包括以恰当地格式化传输到终端114或其他下游设备的数据。例如，数据输出控制逻辑174可以提供适当的信号调节，以将所述数据格式化为由终端114处的接收器接受的恰当的信号水平。作为数据获取装置113位于与终端114远离的位置的进一步的示例，数据输出控制逻辑174可以提供适当的线路驱动器(或作为另一个示例，在无线环境中提供无线电发射机)以穿过选择的通信信道将数据发送到终端114。作为另一个示例，数据输出控制逻辑174还可以被配置为提供格式与由常规或无源磁头输出的格式相同的加密的输出数据。
0154图7中还说明了签名检测控制逻辑168，该签名检测控制逻辑168可以被包括以通过检测与所述代币的数据相关联的签名而提供代币111的鉴定措施。各种签名检测算法、电路或技术可以被用于确定代币数据的签名，该签名可以与给定代币的已知签名相比较以确定所述代币是否是可信的。作为一个示例，在一个实施例中，签名检测使用可从加州的圣地亚哥的Semteck Innovative Solutions公司获得的 SECURESTRIPE⑧鉴定技术来执行。其他鉴定技术可以用于替代实施例中。
0155签名检测和鉴定可以在电子数据获取装置113内本地执行并且在其他实施例中可以远程进行。在另一个实施例中，当数据被检测并且签名鉴定在下游设备处执行时，签名检测发生在数据获取装置 113中，其中在下游设备处维护数据库或其他基础设施以支持大量签名的鉴定可能是更实用的。用于各种类型代币的签名检测技术对本领域的技术人员是公知的。作为这些技术的一个示例，Mos等人的美国专
利号5,770,846的专利提供了确定代币签名的示例。
0156如图7所示，由签名检测控制逻辑168检测的签名可以转送到数据封装控制逻辑170，用于包括在数据流中。在一个实施例中，所述签名可以封装在数据流中。例如，在一个实施例中，签名被封装在轨迹1的若不是由于该签名而被屏蔽的数据字段中以维持与常规交易处理装备兼容的格式。尽管如此，加密方法和数据放置仍可以被改变以适合特定的应用。
0157在可替代的实施例中，签名数据可以绕过数据封装控制逻辑170并以单独的封装或来自代币数据流的其他封装被发送到终端114 或其他下游设备。作为进一步的实施例，作为签名检测控制逻辑168 的结果而产生的签名数据还可以使用一个或多个加密密钥被加密并且作为加密数据被转送以用于进一步的处理。在一个实施例中，签名数据可以使用与代币数据相同的密钥被加密。然而，在可替代的实施例中，不同的密钥用于解密签名数据和代币数据。在另一个实施例中，签名可以被用作密钥以加密代币数据中的一些或全部。
0158虽然图7中的体系机构被说明为具有一些公共总线结构，但其他体系机构和配置是可预期的。实际上，在阅读本说明书后，本领域的普通技术人员将清楚如何使用这种或可替代的体系机构来实施这些不同的实施例中说明的特征和功能。
0159图8是说明根据本发明的一个实施例的用于在获取装置处进行数据加密的示例性流程的图示。具体地，图8中说明的示例提供从代币111选择的数据的加密并且将纯文本数据和加密数据重新封装，用于传输到终端114。现在参考图8，数据在读取数据框212中从代币 111读取。例如，依据参考图7所述的体系机构，数据检测控制逻辑 152或其他类似的机构可以从代币111读取数据。
0160在框214中，来自收集的数据的适当数据项被选择用于加密。未被选择用于加密的数据可以被传递以用于封装，如流程箭头216 说明的。在功能框218中，加密模块从存储器或其他存储装置检索一个或多个密钥并且在框220中使用这些密钥加密选择的数据。在框222 中，加密的数据与纯文本数据一起封装以传输到终端114。图9是说明根据本发明的另一个实施例的数据加密的另一个示例的图示。与图8 中说明的示例相反，图9中的示例说明了封装数据流中包括终端ID和
贸易商ID。在所说明的实施例中，终端ID 224和贸易商ID 226可以在数据获取装置113处被本地存储并且当适合于给定数据格式时，其被选择包括在被传输的数据中。虽然图9中未说明，但终端ID 224或贸易商ID 226还可以在传输用于交易处理前被加密。这些项目的加密可以通过两个项目的公共密钥或与加密代币数据所使用的密钥相同的密钥完成。此外，分开的密钥可以用于加密这些项目中的任一或全部。
0161如这些示例所说明的，不同密钥和数据项(例如终端ID 224 和贸易商ID 226)可以包括在加密模块132中。或者否则提供在数据获取装置113中。在一个实施例中，这些数据项中的任一或全部可以在数据获取装置113被分配到其使用的目的地前在制造过程中的某个点处存储到与加密技术相关联的存储器中。这样，这些项目还可以被嵌入并恰当地装入以避免或阻止这些项目的篡改和检测。
0162如本文件别处所述，特定实施例可以使用终端ID 224或贸易商ID 226作为加密密钥或作为确定加密密钥的手段。如这些示例说明的，作为对终端ID224或贸易商ID226的替换，其他数据项可以用于这种目的。
0163如以上参考图7所述，在本发明的实施例中，与代币相关联的"指纹"或签名可以被用于鉴定代币。例如，对于磁条数据，磁性数据中的通量极性或密度的磁性变换或改变通常以某个不确定度被置于介质上。例如，在一些情况下，数据的定时可以包括变化或波动。换句话说，变换之间的间隔可以在各变换之间和各卡之间变化。此外，因为通量模式的这些变化和特性，所以难以准确地从原始代币重新产生或复制足以维持相同特性的磁条数据到新代币。这样，这些变换特性在磁条数据中产生独特性水平。
0164其他特性或代币数据、卡数据或其他特性的变化也可以用于识别给定代币的指纹或签名。例如，由圣路易斯的华盛顿大学开发的剩余的[w'a]噪声技术可以是用于识别代币签名的另一种技术。包括光学数据存储、生物测定、RFID标签等的其他代币数据系统可以类似地使用签名技术鉴定所述代币。0165因此，在一个实施例中，使用签名的代币鉴定可以和全部
代币数据的一些的加密联合以为代币交易提供增强的安全措施。例如，除了加密一些或全部代币数据以针对可能的泄露保护其整体性，所述代币签名还可以对照所述代币的己知或被验证的签名被检测和校验以确定所述代币是否是可信的代币或所述代币是否可能是诈骗代币，例
如原始代币的副本。图10和11是说明根据本发明的一个实施例的本特征的一个示例性应用的图示。现在参考图10和11，在步骤240中，从代币111接收代币数据。例如，在一个实施例中，如以上图7中说明的数据检测控制逻辑152可以用于从代币111获得、检测或读取数据。作为代币是磁条卡的进一步的示例，磁性读取头和数据转换逻辑可以用于读取和提供代币数据的表示。
0166在步骤242中，特定的代币数据被选择用于加密。如已经讨论的，一些或全部代币数据可以基于多个因素被选择用于加密，这些因素包括例如所要求的安全级别、具有纯文本的特定数据以用于报告、鉴定、路由等的期望度，或允许符合交易处理网络。
0167在步骤244中，数据被加密。如关于各种其他实施例所述的，在本步骤中，加密密钥被获得并且使用所选择的密钥加密数据。同样如所述的，多个密钥可以被用于加密多个数据块。加密的数据可以被提供封装以传输到终端114。
0168在步骤246中，代币签名被确定。如以上所述，多种不同的技术可以用于签名确定。在所说明的实施例中，这个签名再次使用加密密钥在步骤248中被加密。在一个实施例中，用于加密签名的密钥可以与用于加密代币数据的密钥不同。在步骤252中，加密的代币数据与加密的签名封装以允许这些项目被提供用于交易处理。
0169在步骤254中，封装的数据被发送用于处理。例如，就示例性环境来说，封装的数据可以被发送到交易处理网络以授权当前交易。进一步根据本示例，封装的数据可以被路由通过终端114以促进完成所述交易。
0170在步骤256中，封装的数据由可以在步骤258中解密签名的适当的交易处理实体接收，在步骤260中校验签名的真实性并且在步骤262中基于签名的真实性对代币111是否有效做出判断。如果有效，则交易可以基于代币数据本身被转送用于进一步的处理，如步骤
264所述。另一方面，如果签名无效，则交易可以被否决，如步骤266 所述。
0171注意，签名数据与代币数据封装以在单个数据封装中传输到不同处理实体是不必要的。在替代的实施例中，签名数据可以分开地传输以用于鉴定并且鉴定状态的表示可以被提供给适当的交易处理实体用于最终的授权。此外，如流程线250所述，不加密的纯文本代币数据还可以被封装用于与交易数据一起传输。如同样关于其他实施例所述，例如终端ID、贸易商ID等的其他数据可以与交易数据封装或分离地被发送以便于交易处理。
0172在一个实施例中，签名解密和鉴定可以发生在同一实体中并且甚至是在用于授权交易的同一设备中。可替代地，签名解密和鉴定可以在分开的设备中发生并且甚至在离授权实体的网络中的分离点处发生。同样注意在一个实施例中，签名的鉴定可以是明确的或是/否鉴定。可替代地，签名的鉴定可以作为权重因数、优值系数或可以用于提供签名的鉴定等级的其他评分被提供。这些实施例在例如签名是基于磁条数据被确定的应用中有用，其中检测中的绝对精度和通量传输的时刻可能难以获得。这样，对于给定的卡，其本身的签名可能在一次读取操作到下一次读取操作之间在一定程度内变化。因此，鉴定评分可以用于显示鉴定签名的置信度水平。阈值或其他技术可以用于识别例如切断范围，在该范围以下，签名将被确定为未被鉴定。
0173在一个实施例中，签名解密设备或模块可以例如与网关120 一起定位从而允许在将交易路由到交易处理网络用于授权之前在网关处进行签名鉴定。这种实施例可以避免交易处理网络123的不必要的路由和操作。此外，在网关被配置为解密被加密的代币数据的一些或全部的情况下，这种功能可以被分开保持或与签名鉴定功能捆绑。如果签名不被核准或等级低于特定阈值，则通知可以返回到终端114以否决交易，而不需要进一步的处理。在这些实施例中，再次刷卡可以在错误读取装备或不良刷卡导致的鉴定失败的情况下被允许。在另一个实施例中，签名数据可以在起动用于授权的账户数据的传输前在单独的交易中被发送。0174因为签名验证可以在具有签名数据库的单个或分开的位置
中完成，所以签名鉴定可以在多个机构之间共享，同时提供账户信息中的数据安全水平，因为共享的设施不可以使用用于加密账户信息的加密密钥。
0175在一个实施例中，网关120可以被配置为接收来自应用加密模块的多个装置的交易请求。交易数据可以被配置为包括一个或多个组成部分。在一个实施例中，交易数据包括两个组成部分代币数据和控制数据。在一个实施例中，这些组成部分可以使用不同密钥加密。这样，在本实施例中，网关可以被配置为不具有除用于解密代币数据的密钥以外的控制数据密钥，因此提供所述数据中的安全措施。然而给网关提供解密控制块的密钥以检测包含在其中的信息可能对特定应用和交易有用。例如，在一个实施例中，卡签名或其他代币签名可以包括在可以由网关解密的控制块中。
0176在一个实施例中，签名鉴定的结果连同其他控制信息可以以交易被发送到且请求被转送到的交易处理服务器的私人密钥加密。这样，网关可以执行签名验证并且交易处理服务器可以基于所述签名或签名等级连同交易处理服务器可以访问的任何其他信息确定是否接受交易。
0177此外，签名可以连同加密的或散列的账户数据被发送到签名验证模块。所述系统可以被配置为使用加密或散列的PAN (或其他代币数据项)以将签名编索引以用于比较。这样，在一个实施例中，签名数据库可以被配置为保存加密的数据而不是敏感的纯文本信息。在一个实施例中，通过安全数据库，数据库可以可访问多个实体，允许票据交换场所进行鉴定，同时维持代币数据中的安全措施。因此，签名模块(例如作为安全交易模块的一部分或者其他)可以被配置为执行签名鉴定，并且交易被路由到签名模块用于鉴定。可以为多个实体维持签名数据库并且从多个源更新签名数据库。
0178在一个实施例中，具有一个或多个设备或模块以解密(并且在一些实施例中为重新加密)路由信息、签名信息、代币数据或其他信息的网关可以被用于提供与多个交易处理实体的标准化接口。网关还可以被配置为提供与终端114的标准化接口。此外，网关可以被配置为提供多个接口到终端114以用于交易处理实体123，这可能适于促进这些实体之间通信的灵活性。因此，网关不仅可以被用于提供中间解密、重新加密和路由，还可以提供使网络中不同实体之间接口一致的方式。
0179在一个实施例中，本发明可以被配置为使用以纯文本或加密形式呈现数据的代币的操作。例如，在一个实施例中，代币可以包括在代币本身上加密的数据。作为进一步的示例，代币数据或其部分可以在数据被嵌入到代币上之前被加密。这样，安全级别可以被提供用于底层的代币数据，即使代币被丢失、盗窃、复制或损害。例如，在代币上提供加密数据(在制造处或者其他处)可以提供的优点是防止有些人使用卡阅读器浏览数据或读取和存储数据以用于不正当目的。
0180考虑另一个示例，再次考虑代币111是具有磁条的银行卡的情况。丢失了卡的银行顾客可能具有敏感信息，例如他或她的姓名或危及的账号。此外，在一些情况下，诈骗犯使用磁条阅读器来从卡复制数据以用于诈骗目的。在写入磁条之前加密所述数据的一些或全部允许所述数据中的特定的安全措施。
0181在这些实施例中，可能有用或期望的是涉及交易处理的包括付款机构的一个或多个实体具有解密这个初始被加密的数据的能力。这种解密能力将允许交易处理实体复原原始信息(例如账户信息) 以完成交易。此外，在一些实施例中，终端113或其他本地装置可以具有解密至少部分所述数据(例如、期满日、账号的最后四位数字或使用者姓名)的能力以为操作者提供本地鉴定的能力。在其他实施例中，这些数据项可以在卡上保留为纯文本(并且不由加密模块加密) 以允许这种鉴定。
0182在加密模块用于数据获取装置或用于交易链中其他地方的实施例中，这种加密的数据可以由加密模块132再次加密。这样，在一些应用中，可能期望提供两层解密，从而不仅解密由加密模块132提供的数据，还解密在代币上加密的原始数据。这种原始代币加密可以例如通过在将数据写入代币之前或经由嵌入代币的加密技术加密所述数据而完成。例如，智能卡或芯片卡代币可以被提供，其包括在使数据获取装置可获得所述数据之前执行加密的功能。
0183在一个实施例中，充足的信息可以保留为代币111上的纯文本以允许常规的售卖点、访问点或其他终端装备的操作。在替代的实施例中，代币上的全部信息是加密数据。
0184在一个实施例中，当原始代币数据被加密时，加密密钥可
以被存储并提供给适当的处理实体从而使原始数据可以被解密。此外，可以生成散列代码。散列代码可以被用于从数据产生数字指纹或签名。散列代码可以使用移位替代法以及其他技术来产生签名，签名通常被称为散列值。因此，在一个实施例中，散列代码可以被用作用于加密原始数据的加密密钥。此外，散列代码可以被用作指纹以鉴定原始数据从而基于后续解密，散列代码可以用在处理实体处以确认复原的数据。因此，在这种实施例中，散列函数可以被提供给处理实体从而使处理实体可以将解密的数据再次散列以获得正确的散列代码。在优选的实施例中，散列代码或散列函数是将自称电脑黑客能够计算产生期望的散列值的特定的数据输入的可能性最小化的单向操作。在这种实施例中，由此会非常难于伪造散列值。
0185图12是说明根据本发明的一个实施例用于操作在代币上加密的代币数据的示例性过程的操作流程图。现在参考图12，在歩骤 442中，从代币中读取加密数据。也就是，在一个实施例中，例如数据获取装置113的数据获取装置可以被用于从代币读取数据。这个示例性实施例将数据加密应用到在步骤442中读取的一些或全部代币数据，尽管实际上一些或全部这种数据可能已经自身加密。因此，在步骤444 中，包括加密的代币数据的一些或全部代币数据被加密。这可以例如使用加密模块132或其他类似的装置来实现。如参考其他实施例所述，来自数据获取装置的数据输出可以被封装为适合于处理网络(包括常规终端)的多种格式并且在步骤446中，封装的数据被发送用于处理。
0186在步骤448中，加密的数据被解密。例如，在本步骤中，由加密模块132加密的数据被解密以再次获得在步骤442中读取的原始加密的代币数据(连同可能在代币上并在步骤442中读取的任意纯文本数据)。具有原始加密的代币数据，这个原始数据现在可以被解密以获得实际账号或具有纯文本形式的其他实际代币数据。因此，在一个实施例中，用于原始地加密代币数据的密钥现在用于解密这个数据以获得原始信息。如上所述，在一个实施例中，用于这种加密的密钥被分配或提供到适当的交易处理器从而使在该位置处可以发生解密。在散列代码从加密的数据生成的多个实施例中，在步骤450中，散列代码可以使用相同的散列函数被再次生成。之后，所生成的散列
代码可以在步骤452中使用以查询用于在步骤454中解密数据的解密密钥。
0187在如前所述的一个或多个实施例中，终端ID、贸易商ID 或其他标识串可以被用于加密数据的一些或全部，该数据为交易而加密。如简单提及的，使用识别串或加密密钥可以便于可疑诈骗交易的源的识别。图13是说明根据本发明的一个实施例用于检测可疑的诈骗交易源的示例性过程的操作流程图。为了便于本示例性过程的说明，依据使用终端ID作为加密密钥的加密来说明。然而，在阅读本说明书后，本领域的普通技术人员将清楚如何使用加密密钥的可替换形式来实施本实施例和其他实施例。
0188现在参考图13，在步骤60中，已经被加密(例如由数据获取装置113中的加密模块132加密)的代币数据由交易处理实体接收。例如，所述代币数据可以由网关120、交易处理网络123中的指定实体或其他交易处理器接收。这是被指定以执行解密从而复原卡数据的实体。记住，在本示例的情况中，诈骗活动是可疑的。可以基于例如指定密钥未能恰当地解密数据而产生怀疑。因此，为了定位可疑的诈骗数据的源，在步骤64中从数据库中检索加密密钥，在步骤66中解密数据，并且在步骤68中校验数据有效性。有效性校验可以用于确定例如有效账号是否被解密，解密的信息是否匹配其他记录，并且是否匹配可以被使用的其他有效性校验。
0189如果检索到的密钥不引起有效解密，则另一个密钥被检索并且过程继续。这种过程被重复直至有效解密在步骤68处被检测到。一旦检测到有效解密，则在步骤70中，引起正确检测的密钥在步骤70 中被识别并且该密钥被用于在步骤72中定位数据源。例如，因为数据以终端ID加密，所以正确密钥的位置可以被用于指向返回读取数据并执行加密的终端。0190在本发明的另一个实施例中，例如时刻信息或位置信息等辅助信息可以包括在交易数据中以用日期、时间或位置信息来标记交
易数据。这种信息可以由例如终端113或可以嵌入或包括在数据获取装置113中的其他控制逻辑检索或获得。例如，实时时钟可以包括在交易处理装备中以适当地以日期和时间信息标记交易数据。
0191类似地，全球定位系统(GPS)或其他位置确定技术可以被用于识别位置并使位置代码嵌入数据流中。此外，位置信息可以被加入到加密掩码生成的过程中，因为在一个实施例中，解密服务知道终端的位置。因此，如果终端被偷窃或售卖并移动到另一个位置，则位置信息将是无效的，使得所述终端不可用。类似地，定位信息可以被硬编码或嵌入装置中以使其能够与交易数据封装在一起。这在例如移动电话、PDA、智能电话或其他便携终端的便携装置被用于进行交易的情况下可能是有用的。便携终端的额外示例可以包括用在租车机构的便携结帐装置、大型零售市场中的便携收银机、例如由UPS驱动器使用的DIAD的便携封装运输和跟踪装置，仅举出一些示例。实际上，在阅读本说明书后，本领域的普通技术人员将清楚这些和任意数量的其他终端如何可以被用于本实施例和其他实施例中。
0192位置信息在例如售卖点、访问点或其他终端是可移动终端的多个实施例中可以是有用的。在这种实施例中，这个信息可以被利用以验证交易的发生地点。此外，时戳信息可以在交易发生时被类似地用于验证。作为进一步的实施例，时戳还可以被用于跨多个交易比较数据以确定是否正在发生潜在的诈骗活动。例如，在代币数据己经被复制并且用于进行多个交易的情况，这些具有相同时戳信息或者甚至是相同的位置信息的多个交易的发生可以识别潜在的诈骗活动。此外，交易中的时戳信息可以与交易处理服务器中的当前日期和时间信息相比较并且过期交易被拒绝或提出其他质询。在这种情况下，可以要求新的刷卡。
0193图14是说明根据本发明的一个实施例、使用时戳信息检测潜在诈骗活动的过程的操作流程图。现在参考图14，在步骤462中，时刻信息从例如时钟或其他数据源获得。在步骤468中，数据被标记时期信息并且发送到要被处理的交易。在一个实施例中，时戳数据还可以被加密。0194在交易处理网络中的指定点处，交易数据被接收以用于处理，如步骤312说明的。在步骤314中，时期信息被校验以确定其是否是有效时戳。例如，信息可以针对之前的交易被校验以检测给定时戳的重现。此外，信息可以针对实时时钟被校验以确定交易是否与处理系统中的同时期时钟顺利地比较。例如，进行校验以了解在考虑网络延迟的情况下交易数据是否在其时戳的合理时间帧内到达。如果无效，则在步骤316中，可以要求再次刷卡并且再次执行校验。如果有效，则交易可以被转送进行进一步处理，如步骤318的说明。
0195在无效时戳校验的情况下，交易可以在步骤320中被否决并且在步骤322中触发诈骗警告。虽然未说明，但指定的重新刷卡次数(包括零次)可以在最终否决或诈骗警告触发之前被允许。
0196在一个实施例中，如果重新刷卡导致有一定延迟量的时戳，延迟量等于两次刷卡之间的持续时间，则这可以表示时戳时钟或服务器时钟的同步问题或异常的网络延迟。这可以提供度量以确定是否允许所述交易并且还可以触发对同步问题或延迟的源的调查。
0197除了时戳或位置信息，计数器可以被保持以跟踪处理链中装备的使用数量，例如电子数据获取装置113和终端114。因此，交易期间的计数值可以和基于之前交易的预期的计数值相比较以校验潜在的诈骗活动。这可以帮助测试之前被诈骗性地记录的再用的交易数据。也就是，在一个实施例中，实时计数信息可以由数据获取装置或终端 (或用于两者的计数值)嵌入在数据流中以及本交易的计数值中用以验证以确保恰当的增值计数。
0198计数器还可以被用于更新或改变被用于加密信息的加密密钥。也就是，转动加密密钥或其他类似的改变可以基于日期和时间信息、位置信息或计数器而进行。例如，以每个交易使计数器增值可以使得加密密钥产生预定或可确定的改变，并且在交易处理服务器处，类似的改变基于计数器进行以获得适当的解密密钥。这种滚动或更新密钥的实施方式可以提供额外的安全措施。例如，密钥将改变并且因此更难以复制并且数据获取装置的输出将在每次输入代币数据时改变。因此，在银行卡的示例中，多次刷银行卡将导致同一卡的每次后续刷卡的不同数据输出，因为加密密钥每次都改变。结果，如果数据在终端或其他服务器处被偷窃并试图被再次使用以实施诈骗或复制交易，则这将便于诈骗检测。在其他实施例中，密钥可以被指定为在登录给定次数后或在预定的时间段后改变。
0199如以上示例中参考图5和6所述，本发明可以被实施为包
括数据获取装置或终端的序列号或其他标识符，以及交易数据以允许
正确的密钥被检索用于后续解密。因此，在使用终端ID加密全部数据中的一些数据的情况下，所述终端ID (或允许确定终端ID的代码)被包括在数据流中以便于适当的解密密钥的识别，或被发送到解密实体。在一个实施例中，终端识别号可以是序列号或与数据获取装置相关联的其他识别串。具体地，在一个实施例中，这个识别号可以对给定的数据获取装置是独特的从而可提供如下所述的额外功能。例如，如将进一步讨论的，序列号或独特的标识符可以被用于跟踪电子数据获取装置的移动和使用。例如，如果电子数据获取装置被偷窃、误用或以诈骗方式使用，则终端ID、序列号或包括在交易数据中的其他信息可以用于检测未授权的使用。作为另一个示例，接收到的加密数据可以针对一些密钥而解密以寻找正确解密所述数据的密钥。当该密钥被识别时，终端ID (在本示例中其是所述密钥或被用于获取所述密钥)可以被确定。现在，通过由解密产生的己知的终端ID，可疑诈骗活动的源可以被确定。
0200在一个实施例中，终端ID可以是序列号或对电子数据获取装置独特的其他串。在另一个实施例中，终端ID可以对电子数据获取装置连接的或和电子数据获取装置集成的售卖点、访问点或其他终端是独特的。在终端可以与多个数据获取装置通信联系的情况下，用以唯一地独立识别每个数据获取装置、数据获取装置的子集或仅仅与一个或多个数据获取装置相关联的终端的一个终端ID或多个ID的分配可以基于期望的实施目标被选择。
0201以上讨论的是代币数据可以整体或部分地，使用一个或多个密钥被加密以为各种代币交易提供安全措施的各种实施例。上述示例包括代币lll是例如信用卡、签帐卡或借记卡的银行卡的应用。通过诸如这些的交易并且特别是在借记卡或ATM卡的情况下，个人身份号码或PIN通常被用于鉴定所述交易(或验证持卡人是被授权的持卡人)。
0202为了为使用PIN身份代码、其他使用者输入的或使用者提供的数据或一般地其他额外的数据的交易提供额外的安全措施，可能期望这些辅助信息同样被加密。这样，根据本发明的一个实施例，这种额外的数据(例如PIN数据的一些或全部)被加密。现在依据示例性应用说明一个这样的实施例，其中代币111是ATM卡或借记卡，并且要被加密的额外数据是使用者的PIN代码。一般而言，根据本发明的一个实施例，PIN代码可以由PIN键盘或其他类似的数据输入装置接收，PIN代码被加密并且包括(被封装或其他)在交易数据中。
0203图15是说明根据本发明的一个实施例、用于加密例如PIN 数据的额外数据的一些或全部的示例性过程的操作流程图。图16是说明根据本发明的一个实施例、用于解密例如PIN数据的额外信息的示例性过程的操作流程图。图17是说明根据本发明的一个实施例、用于 PIN加密的示例性应用的框图。现在参考图15、 16和17，在步骤180 中，代币数据被读取。例如，依据其中代币111是借记卡的示例性应用，例如磁条阅读器的数据获取装置113可以被用于从借记卡读取磁条数据。在一个实施例中，数据获取装置113可以包括加密模块132 以提供对一些或全部代币数据的加密。这种加密可以例如根据本文件中讨论的各种实施例来执行。加密代币数据的步骤由图15中的步骤182 说明。
0204对于借记卡交易的示例，在进行交易时，持卡人输入他或她的PIN 141。这通常使用PIN密码键盘140或允许使用者输入额外信息(在此情况下为PIN)的其他装置来完成。因此，在步骤184 中，输入的PIN由PIN密码键盘140接受。
0205在步骤186中，输入的PIN的一部分或全部使用加密技术加密。在一个实施例中，例如加密模块132的模块提供有PIN密码键盘140以执行PIN加密。在一个实施例中，加密可以使用存储在存储器中或基于任意数量的参数生成的加密密钥执行，参数例如为以上关于代币数据加密讨论的参数。在另一个实施例中，PIN数据可以使用从代币111读取的代币数据的一些或全部来加密。例如，在一个实施例中，账号、用户名或其他来自代币111的一个或多个数据字段可以被传递至加密模块132B以执行PIN数据加密，如流程箭头143说明的。然而，注意，穿过通信信道提供纯文本账户或其他代币信息到 PIN密码键盘140可能提供这种信息被损害的机会。这样，在优选的实施例中，所述信息被加密并且说明性的实施例使用加密的PAN来加密PIN。
0206因此，在优选的实施例中，加密的代币信息被传递至加密模块132B以用作密钥，从而加密PIN数据。更具体地在一个实施例中，代币111的加密部分被用作加密模块132B的加密密钥。这样，本示例性实施例中的PIN数据使用PAN的加密部分加密。为了便于讨论，对PIN加密的其余说明依据本示例性实施例讨论，其中PIN使用加密的PAN (或部分加密的PAN)作为加密密钥被加密。
0207加密的PIN数据可以被传回到加密模块132以封装到安全数据流135中，或传递至终端114以用于后续传送进行交易处理。这些替换的选择由流程箭头141说明。虽然在图17中说明为分离的块，但数据获取装置113和PIN键盘140可以集成为一个装置或在一个外壳中。然而，在一些实施例中，并且在可以实施这种技术的众多常规的现有应用中，PIN键盘140可以和数据获取装置113物理地分离。这样，从数据获取装置经由流程线143传递加密的数据到PIN键盘140 提供了安全措施，如果用纯文本账户代码或其他信息加密PIN数据，该安全措施就不存在。此外，如上所述，尽可能或尽量靠近源地加密代币数据提供额外的安全措施并且不使用纯文本PAN可以有助于保护PAN免受损害。
0208在步骤188中，交易被发送以用于处理。在例如售卖点或访问点终端的终端114被包括的应用中，交易可以被路由经过终端并发送到交易处理网络123，如流程箭头137所示。如上所述，在不使用PIN键盘140的代币加密实施例中，加密的代币数据和PIN数据可以被再次封装为可以与下游处理装置兼容的期望格式。例如，在一个实施例中，加密的代币和PIN数据被再次封装为由常规的售卖点或访问点装备使用的相同格式以提供与常规处理网络的兼容。
0209继续参考图16和17，在一些实施例中，可以包括网关 120以便于从贸易商或其他售卖点或访问点路由交易到交易处理网络123中的一个或多个适当的实体。这样，图16中所示的示例包括网关 120以提供这种路由功能。此外，在图17中所示的示例中，各种解密操作被说明为发生在网关120处或网关120内(例如在网关数据中心) 的。如以上在其他实施例中所述，这种解密不需要发生在网关120处 (实际上特定的应用可能甚至不包括网关120)，而是解密可以发生在适当的交易处理实体处或沿信道在可能适合给定安全考虑的其他地方发生。在一个实施例中，网关120处的解密可以允许网关译解代币数据(并且在一些情况下，译解PIN数据)以用于路由和其他目的。事实上，网关处的解密可以用于将加密的数据返回到纯文本形式以由网络123处理，从而提供获得与常规处理服务器的兼容性的另一个机制。
0210与当前示例一致，在步骤24中，网关120接收交易数据 137用于处理。在一个实施例中，网关120可以被用于解密或布置PIN 的解密以便于交易处理。在本实施例中，在一个应用中，网关120可以将PIN路由到安全交易模块145以解密。在替代的应用中，安全交易模块145的功能可以包括在网关120内或作为网关120的一部分。
0211在一个实施例中，安全交易模块145可以包括解密模块 144以解密包括例如PIN、PAN或可能已经被加密的其他数据的部分或全部的数据项。安全交易模块145还可以被实施为包括加密(或再次加密)数据的功能。这样，加密模块146可以被包括以提供用于到交易处理网络123的后续路由的额外数据安全。虽然未说明，但安全交易模块145可以包括访问用于密钥存储等的存储装置。
0212继续图16，在步骤26中，解密模块144A被用于解密PAN 或其由数据获取装置113加密的部分。在步骤28中，加密的PAN(由在数据获取装置113处的加密模块132A加密)被用于解密加密的PIN。该步骤可以包括在如上所述在加密的PAN用于将PIN加密的实施例中。
0213在期望将具有加密形式的PIN传递到交易处理网络123 的实施例中，网关120 (或在说明性的示例中，更具体地，安全交易模块145)在步骤30中再次加密PIN。这种再次加密可以用由步骤26中的解密获得的纯文本PAN执行。
0214因此，现在网关具有加密的PAN，其由加密模块132A加密，以及用纯文本PAN加密的再次加密的PIN。在步骤32中，加密的PAN和再次加密的PIN被路由到交易处理网络123以用于最终的处理。交易处理网络123中的处理实体解密PAN并且之后使用解密的 PAN将PIN解密以执行最终的授权。一授权，交易的确认就可以被路由返回到终端114。
0215在上述示例中，PIN数据使用加密的PAN信息加密。然而，因为在这种示例性应用中，交易处理模块123期望接收到的PIN 信息由纯文本PAN加密，所以图16中说明的示例使用加密的PAN执行加密的PIN的解密以获得纯文本PIN，之后以纯文本PAN再次加密纯文本PIN从而使纯文本PIN以交易处理网络123期望的密钥加密。然而，为了获得用于解密PIN的纯文本PAN，加密的PAN同样在网关处被解密并且之后被再次加密用于传输。这些额外的步骤可以被包括以允许加密的PAN被用于PIN加密，从而在PIN加密过程期间为PAN 数据提供额外的安全措施。如本示例说明的，其他数据可以被用于加密PIN并且PAN加密的PIN也在网关处重生。
0216如上所述，这些解密和再次加密步骤可以在沿通信信道的其他点处执行。如本领域的普通技术人员在阅读了本说明书后所清楚的，各种解密/加密步骤可以在沿网络的适合给定应用的多个点处执行。同样注意，在另一个实施例中，再次加密不需要由网关120执行。这种可替换的选择可以是有用的，例如在网关120和交易处理网络123 之间的通信穿过安全通信信道的应用中。换句话说，在一些应用中，网关120可以是安全通信网络的一部分，或者甚至被包括为交易处理网络123的一部分。
0217在一个实施例中，网站入口同样可以被提供以用于管理终端、数据获取装置(可以包括在终端中)、网关、安全交易模块和安全交易处理链中的其他实体。所述入口还可用于向授权的使用者提供在一个或多个终端处进行加密或解除加密、改变密钥、更新加密信息等能力。所述入口还可用于显示数据和关于终端、交易、卡和卡的使用等的其他统计数据。例如，在一个实施例中，网站入口被提供以允许贸易商控制其终端成为命令代币的替代。
0218仪表板显示器可以被包括在入口，从而给予贸易商对其终端的状态或统计数据的纵览，包括例如安全性、完整性、加密状态、刷卡次数、卡被拒绝的次数等。作为另一个示例，发行银行的入口可以被提供以给予发行银行查看其卡上的统计数据或其他信息以及以其卡进行的交易的能力，或者提供给贸易商以促成或禁止对其卡加密(从而要求贸易商这么做，或发送命令到一个或多个终端以启动或解除加密)。终端还可以被实施为通过每个使用者的安全权允许每个账户的
多次登录；仪表板显示器可视地显示带有身份信息的每个终端；提供
实时关闭终端的能力，这在一个实施例中可以通过拒绝源自序列号的
任何交易实现；以及通过终端/序列号、地理区域等设置例如分析等级的阈值的能力。
0219在另一个实施例中，网站入口可以被用于允许使用者生成命令代币或更新命令代币。例如，在一个实施例中，命令卡可以使用入口被命令并载运到贸易商或其他使用者。在另一个示例中，打印机或其他代币写入装置可以被提供以允许贸易商或其他使用者在此产生他或她自己的代币。此外，多种技术可以被提供以允许使用网站入口更新现有的命令卡。
0220在一个实施例中，交易的返回信息，例如返回的授权可以指示交易的完成。在另一个实施例中，授权可以仅仅是交易的核准并且后续交易被用于实际地完成交易，或者完成或结算账户。例如，依据银行卡的示例，接收到的初始通信和授权可以仅仅是交易的核准并且后续结算交易通常发生以使得资金可以被适当地分配给交易。在一些常规的交易处理网络中，批结算文件被保持在终端114或多个交易积累并存储在文件中的其他贸易商位置。例如，一日的交易价值可以保存在批结算文件中。为了结算，批结算文件可以被传输到交易处理网络123用于账户结算。
0221因为贸易商可以接受来自各种不同金融机构的银行卡，所以批结算文件可以包含由多于一个交易处理器处理的交易信息。例如，贸易商可以从多个实体接受卡，例如VISA、 MASTERCARD、 AMERICAN EXPRESS公司等。此外，用于一些或全部代币的代币信息的一些或全部可以在交易发生时已经由电子数据获取装置或其他装置加密。这样，批结算文件中的信息可以包括加密的信息，例如加密的账户信息(全部加密或部分加密)或其他加密的信息。
0222图18是一般地说明根据本发明的一个实施例的批结算过程的图示。如所述，交易被实施190并发送到交易处理网络123以用于授权192。在一个实施例中，代币数据的一些或全部可以在等待来自交易处理器的授权时由终端193存储(例如在批结算文件194中)。当授权从交易处理器返回时，结算文件194可以被更新以包括作为被授权交易的该交易。在预定时间，包括授权交易的文件可以被发送到交易处理器用于批处理192。在批处理中，所述交易可以被处理并且账户因此被结算。
0223在常规处理网络中，这种批结算技术可以以相对直接的方式执行，其中全部信息具有纯文本形式。例如，通过纯文本路由和账户信息，批结算文件中的交易可以相对容易地路由到适当的交易处理器，账户信息被处理并且结算完成。然而，在代币信息的一些或全部被加密的情况下，这可能要求操作结算数据的特定考虑以确保可以发生适当的解密和在具有不同贸易商和不同机构的多个不同的交易之间发生适当的路由。
0224例如，考虑上述PAN或其他数据使用终端ID或贸易商 ID加密的一个或多个实施例。在这种实施例中，用于给定代币的加密的代币信息可以在不同贸易商之间变化或甚至在给定贸易商内的不同柜台之间变化。此外，在实施序列号或其他滚动密钥技术的情况下，代币信息可以在交易之间变化，甚至针对同一终端处使用的同一代币。这样，这在处理来自该代币的数据用于结算时可能面对挑战。因此，在一个实施例中，解密服务可以被包括以为贸易商(或其他交易实体) 和机构或其他交易处理器之间的结算交易提供解密。
0225在描述这种解密技术之前，参考图19说明一种可行的加密技术。图19是说明根据本发明的一个实施例的一个可行的加密技术的图示。现在参考图19，代币数据的PAN部分被说明为具有BIN数据270、账户数据的一部分271和账号的最后四位数字272。在本示例中，账号的六位中间数字271使用密钥275经由加密模块274加密以产生加密的六位账户数字276。如上所述，在一个实施例中，密钥275 可以例如是贸易商ID。加密的账户信息271'可以被再次插入BIN 270和最后四位272以产生包括部分数据为加密形式的新的PAN 279。因此，在本示例中，在不同贸易商处的同一卡的刷卡将提供每个交易的不同交易数据279。类似地，如果使用计数器或其滚动技术，则账户信息甚至可以在同一贸易商处改变。
0226图20是说明根据本发明的一个实施例用于处理一些或全部账户数据均被加密的批结算的过程的操作流程图。图20的示例依据以上图19中说明的示例加以说明，其中PAN的一部分利用贸易商ID 作为密钥275而加密并且再次封装到加密的PAN 279中，其中在本示例中，加密的PAN 279包括纯文本数据和加密数据的串联。现在参考图20，在步骤278中，批数据被接收。在一个实施例中，所述批数据作为可以是文本或其他类似文件的批结算文件被接收并且可以包括用于多个交易的多个记录。
0227如所述的，在一个实施例中，并且实际上在优选实施例中，本文所述的解密可以在网关或其他服务器处执行，并且网关可以之后将适当的信息传送到指定的交易处理器。因此，网关可以包括适当的解密和加密模块或能够访问这种模块(优选为安全访问)。更具体地，在一个实施例中，网关可以将批结算文件发送到安全交易处理器用于处理。
0228在步骤330中，所述过程校验以确定批结算文件中的给定的数据记录是否包含加密的数据。如果不包含，则所述过程完成并且纯文本数据可以被转送到适当的交易处理器用于结算。在一个实施例中，可以在所述记录中设置标志或可以制作一些其他指示以表示数据是否被加密或为纯文本。这在例如中间服务器(例如网关)不需要知道接收到的账号是否为有效号码(明显无效的号码的接收可以表示加密的存在)的应用中可以是有用的。
0229为了通过示例的方式说明，在一个实施例中，为了避免对交易数据流增加额外的字符并且由此便于与常规处理系统的兼容，一种用于标志数据包的加密状态的技术是将期满日增加足够大的数量以明确地表示加密的存在。例如，在一个实施例中，期满日被增大12 年。因此，在这种实施例中，期满日可以用作标志并且可以被校验以确定加密状态。增加12 (或一些其他值)年的一个优点是原始的期满日可以容易地由反向操作而恢复。这种情况适合于当前的银行卡交易，
因为这种卡的期满日通常在未来的2-5年内。因此，当在未来的12年
或更多年的期满日出现时，所述系统可以以限定高的确定性确定所述数据是否被加密。作为另一个示例，在一个实施例中，期满日或其一部分可以被替换为标志串，例如全部为零或全部为九。作为另一个示例，单独的字段可以被增加到所述记录以表示数据的一些或全部是否被加密。
0230因此，对于加密的数据集，在步骤332中，适当的密钥自数据存储器中被调用。例如，在图19所示的示例性实施例中，贸易商ID或与该贸易商ID相关联的密钥被调用以解密所述交易数据。在一个实施例中，批结算文件可以包括发送文件的贸易商的指示以由此通知解密工具要使用的密钥。例如，包括在批结算文件中的标题或其他文件信息可以表示贸易商ID或可能在生成、检索或确定用于解密的适当密钥时有用的其他信息。类似地，每个记录还可以被附加以包括用于生成、检索或确定与特定交易相关联的密钥的信息(例如序列信息)。同样，因为不同的机构可以具有不同的加密标准或要求，所以加密过程可以基于例如BIN范围或其他因素的信息而变化。在这些应用中，解密过程(无论是否用于批结算)可以被类似地修剪以实现适当的解密。因此，在一个实施例中，BIN范围(或其他因素)可以被用于检索被应用以解密适当的数据项的(多个)适当密钥。
0231在步骤334中，使用适当检索的(多个)密钥解密数据并且在步骤336中返回纯文本信息。此外，在期满日已经被改变以表示加密的实施例中，期满日可以被返回到其原始的日期并再次插入到数据中。
0232在这种现金结算解密发生在网关处或其他中间服务器处的实施例中，服务器现在可以转送交易到交易处理器，交易在步骤337 中被处理。在这个步骤发生在交易处理器处的情况下，数据可以在解密后由交易处理器使用。在一个实施例中，交易可以从整个批文件中分离并且独立地发送或在子集中发送到其各自的交易处理器。在另一个实施例中，批文件可以以纯文本信息被重构并发送到例如票据交换所或其他中央处理站点用于处理或发送到另一个路由装置以将交易路由到其适当的处理器。
0233在网关或其他中间服务器被用于执行批结算解密的实施例中，数据的再次加密可以在将该数据发送到交易处理器用于最终结
算之前执行。例如，特定的密钥制度可以在网关120和适当的交易处
理实体之间制定以确保数据可以被加密(例如通过与服务器相关联的
安全交易模块145)以由网关传输并且由交易处理实体适当地解密。作为一个示例，安全交易模块145可以以网关维持一组密钥并且这些密钥可以用于加密要被转送到该给定实体的交易。在阅读本说明书后，本领域的技术人员或普通的技术人员将清楚如何在网关120或其他中间服务器和交易处理实体之间使用其他加密技术。
0234在例如网关120或其他服务器的一个或多个中间实体处执行结算文件解密可以提供的优点是允许中间服务器接受来自多个不同源的数据，并且在加密的数据可以在不同交易间改变的实施例中，优点是允许中间服务器接受来自多个交易的数据。因此，在这种实施例中，服务器可以作为数据格式器从而将多种形式的来自不同源的数据置于给定交易处理器的通用格式。
0235如上所述，多种不同的加密技术可以被利用以提供对代币数据111、个人身份号码数据或其他数据的一些或全部的加密。作为仅仅几个示例，散列函数、替换表格、电子码书加密、模加法可以被用于加密数据。实际上，如本领域的普通技术人员在阅读了本说明书后将清楚的，可以利用多种加密技术中的任意一个。现在描述的是可以用于执行根据本发明的不同实施例的加密的一种或多种技术。
0236图21是说明根据本发明的一个实施例的用于数据加密的示例性过程的图示。现在参考图21，所说明的示例描述了一个实施例，其中接收到的数据流400的一部分被加密。更具体地，在所说明的示例中，账号的一部分(有时称为PAN)被加密。在所说明的示例中，银行识别号404、账号的最后四位数字408和期满日410被保留为纯文本，而账号的中间六位数字406被加密。为了便于讨论，账号的中间六位数字406被称为PAN 406，虽然它们仅构成通常可能被认为是账号串的一部分。
0237参考说明性的示例，被加密的账号部分(PAN406)由数字串345678构成。在说明性示例中的密钥由序列4F3C27以十六进制形式表示。如上所述，密钥411可以来自众多源中的任意一个，例如贸易商ID、终端ID、序列号或可以确定用于给定应用的其他密钥源。在本示例中，账号的中心部分406是和密钥411进行模10加法以获得加密的PAN406'。在说明性的示例中，作为模10加法的结果，加密的 PAN406，产生串798895。
0238作为数据块400'说明的是具有放到原始账号部分406的位置的加密的PAN406，的重构数据串。在一个实施例中，这种数据可以作为交易数据被再次封装和传输，其中一部分账号被重写为加密的 PAN 406'。在另一个实施例中，PAN 406'的加密部分可以被再次加密以产生加密的PAN406"，这在本示例中是串627803。
0239例如，在一个实施例中，账号406的加密部分使用例如贸易商密钥的密钥加密。数据的这部分可以以第二密钥再次加密以增强安全性或提供额外的特征。例如，这部分数据可以以终端ID和滚动计数器被再次加密以确保每个贸易商的数据看起来不同以及甚至在同一终端的每次刷卡的数据看起来不同。虽然在图1中说明的示例中在账号的加密部分406，上执行第二加密，但其他实施例也可以预期对整个数据集或数据集的其他部分执行这个第二加密步骤，这可能被确定为对给定应用是适当的。因此，数据块400'的一些或全部可以以第二密钥加密并重新封装以产生新的数据块。此外，这种操作不限于所显示的数据项(bin、账号的中间部分、账号的最后四位和期满日)而是可以用于银行卡的一个或多个轨迹上的任意或全部数据或可以与给定代币lll相关联的其他数据，而不管代币类型。
0240同样如图21所示的是更新的期满日410，。如上所述，在一些实施例中，标志或其他指示符可以被设置以提供对后续处理装备的指示，而无论交易数据是否包括加密的数据。在本示例中，期满曰被增加12年以表示交易已经根据给定的加密示例被加密。如本领域一个普通技术人员在阅读本讨论后所清楚的，可以使用替换的标志或指示符。通过改变期满日(或其他代币数据项)可能获得的一个优点是指示符可以包括在数据集中而不要求包括额外的字段。通过以预定的方式改变数据可能获得的另一个优点是原始数据可以被复原以用于处理。
0241图21中还说明的是可以在加密过程中进一步使用的替换表格419。例如，替换表格中的条目可以在加密过程中提供额外的安全措施。例如，当使用模10加法执行加密时，诈骗活动的可能罪犯可以对给定的多个加密数据集反向工作以确定加密密钥。因此，使用替换表格来以表格条目替换密钥值是阻碍某些人反向工作以获得密钥信息的能力的一种方式。例如，依据图21中所示的情况，密钥411由串 4F3C27构成并且替换表格419中的第一个条目包括串143792...。为了使用替换表格，所述过程首先确定密钥411中最左边的数字是数字4。因此，该过程将寻找替换表格419的适当条目中的第四个数字，在这个例子中是数字7 (在图中放大以强调)，并且该数字替换密钥的那个数字。该过程可以被实施为以类似方式继续处理密钥的其余数字从而使给定密钥恰当地由替换表格中指定的条目替换。
0242在一个实施例中，替换表格条目本身可以周期性改变或时常改变以提供进一步的数据安全性。通过改变替换表格中的值，可以要求更多的工作来反向跟踪以寻找加密密钥。例如，在一个实施例中，使用随机数生成器或其他算法生成替换表格的条目并且相同的条目可以使用类似的算法在解密端生成以在服务器处复制替换表格。更具体地，在一个实施例中，随机数生成器的种子是贸易商密钥本身。由于本示例用于说明，所以多个不同的配置可以被实施以填充并利用加密过程中的替换表格。这同样用于说明替代替换表格的其他机制可以被实施以进一步使密钥或加密过程隐匿。
0243在一些应用中，代币数据可以包括模10校验字符或其他代码、一个或多个字符以提供对数据的校验。在这些应用中，接收系统将在接收到的数据上执行指定操作以査看校验字符是否匹配所提供的数据。例如，接收到的串的数字可以以模IO加法加在一起以查看其是否获得相同的模10校验和。如果相同，则这是接收到的数据为有效的指示。然而，在上述实施例中，一些或全部代币数据被加密。在所述数据的至少一些部分被用于生成校验字符或校验和的情况下，在接收端处再次计算校验和会(或在统计上应该)导致错误。因此，在本发明的一个实施例中，所述字符或字符串被再次产生并在加密后插入到数据流中，从而使校验可以使用加密的数据发生在接收端处。这种实施例将有用地使被识别的加密技术能够与常规数据处理系统一起使用，例如，已经被配置为用未加密的数据集操作的数据处理系统。作为另一种替代，加密的数据项可以在执行错误校验之前被解密。
0244在以上所述多个实施例中，代币数据111的一些或全部被加密以用于安全传输。例如，与银行卡相关的一个实施例被描述为加密账号的一部分，同时将银行识别号和其他信息保持为纯文本形式。现在描述另一个实施例，其中账号的一部分被加密并且卡上的自由选
择数据也被加密。图22是说明根据本发明的这个实施例用于执行这种加密的过程的图示。现在参考图22，在步骤422中，代币数据被读取。在本示例中，代币数据是来自银行卡或其他类似的卡的轨迹数据。在步骤423中，账号的指定部分被加密。例如，和上述情况的一种一致，第一个六位数字(或BIN)被保持为纯文本，下一个六位数字被加密 (在以上示例中是PAN 406)，并且最后的几位数字仍为纯文本。在步骤425中，自由选择数据被加密并且在步骤427中，加密的数据与其余的轨迹数据一起被再次封装用于交易处理。
0245现在描述根据图22的示例用于执行账户信息和自由选择数据的加密的一个示例情况。在阅读了以下描述后，本领域的普通技术人员将清楚可替换的加密技术如何可以用在本实施例和其他实施例中。图23是说明根据本发明的一个实施例用于加密账号的一部分的过程的操作流程图。图24包括图24A、 24B和24C，图24是说明根据本发明的一个实施例使用替换表格产生密码并转化PAN的示例的图示。图25是说明根据本发明的一个实施例的PAN的加密的图示。
0246现在参考图23、 24和25，在步骤422中，代币数据被读取。例如，在银行卡的情况下，来自轨迹l、 2或3的数据被读取。图 24说明了轨迹数据400或其一部分的示例，它由bin404、账号的一部分406、检验和407、账号的最后两位数字408、期满日410、服务代码412和自由选择数据414组成。在本文件和本示例中，由参考字符 406指定的要被加密的账号中心部分被称作PAN406。应该注意，本示例中的账号包括全部十六位数字404、 406和408并且这有时也被称作 PAN。然而，对于本示例，PAN 406指账号的中心部分，这在本示例中是七位数字串0292011。
0247在步骤423中，产生密码以稍后用于加密。在一个实施例中，通过以密钥加密bin 404、最后的纯数字408和期满日410产生密码。虽然可以使用多个密钥中的任意密钥，但在一个实施例中，使用的密钥是贸易商密钥Km。这在图24B中显示，其中密钥Km用于加密bin、纯数字和期满日(由串418表示)以产生密码420。在本示例中，加密串在加密前由开头的零416填满。
0248作为本操作的结果，产生密码420，其之后可以被用于加密PAN 406。在一个实施例中，因为PAN406是七位数字，所以虽然可以预期其他可替换的选择，但密码420的第一个七位数字被用于加密PAN 406。密钥Km可以是来自多个不同源的密钥并且存储在检测装置中以例如由加密模块132使用。在一个实施例中，虽然其他密钥可以被使用，但密钥Km是贸易商密钥。
0249在步骤425中，替换表格被用于转化pan406以产生已转化的pan 406，。图24C中说明了一个示例，其中替换表格419包括两个条目包括用于奇数位数字的串的一个条目和包括用于偶数位数字的串的第二条目。在本示例中，PAN 406的每个数字通过其各自的奇数或偶数表格条目以找到替换字符，从而放到其适当的位置。因此， pan406的第一个数字将通过奇数条目。由于这个第一个数字是零，因此为9的第一个条目(条目0)从替换表格419中拉出并且置于己转化的pan406，的最左边的数字中。类似地，第二个数字是偶数位上的数字并且在本示例中是数字2。因此，来自替换表格419的偶数条目的第三个条目(对应于位置0的第一条目)被置于已转化的pan406，的第二个数字上。这种操作以类似的方式继续以获得用于己转化的pan406，的串 9202918。
0250在步骤427中，已转化的pan 406，被加密以产生加密的 pan422。用于此的一个示例性过程在图25中说明，其中已转化的pan 406，用密码420加密以产生加密的pan 422。在一个实施例中，已转化的pan 406，是与密码420进行模10加法以产生加密的已转化的pan 422。与当前示例一致，密码420包括这个串4FDCC52并且已转化的 pan包括串9202918。注意，在加密是模10加法的本实施例中，仅使用密码420的第一个七位数字。密码420和己转化的pan 406，模10 相加并且产生加密的己转化pan422，这在本示例中是串3734160。
0251在步骤427B中，原始pan移动一个数字并且在步骤427C 中，和加密的已转化pan 422进行模10相加以产生最终的加密的pan 424。与所显示的示例一致，本加法的结果产生串3753361以用于最终的加密的pan 424。
0252如本领域一个普通技术人员在阅读了本说明书后将清楚的，以上过程可以在交易的处理端反向实施以获得纯文本pan 406。
0253参考回图22，在所描述的示例性实施例中，自由选择数据同样被加密。虽然多种技术可以被用于加密自由选择数据(如本文所述的其他加密过程的情况)，但是现在参考图26、 27和28说明一种加密自由选择数据的示例性技术。图26是说明根据本发明的一个实施例用于加密自由选择数据的示例性过程的操作流程图。图27包括图 27a和27b，是说明根据本发明的一个实施例使用替换表格产生密码和转化PAN的示例的图示。图28是说明根据本发明的一个实施例的自由选择数据的加密的图示。现在参考图26、 27和28，在步骤462中，卡数据被读取以获得自由选择数据。在自由选择数据的加密连同其他数据的加密被执行的实施例中，自由选择数据可以被同时读取。
0254在一个实施例中，终端ID和序列号被用于生成用于自由选择数据的加密密钥。因此，在本实施例中，在步骤464中，系统检索在本过程中使用的终端密钥和序列号。作为一个特别的示例，终端密钥Kt在图27A中说明。在步骤466中，终端密钥被用于加密部分代币数据以获得pan密码480。在图27A中说明的特定示例中，bin号码、期满日号码和序列号482与开头的零填充484以密钥Kt加密以获得密码480。
0255此外，根据可能适当的情况，序列号可以被用于更新服务表格条目或服务代码。例如，在一个实施例中，服务代码可以被替换为预定的开头数字(例如9)并且最右边的两个数字是序列号。例如，在示例性的环境中，常见的是信用卡具有服务代码101。在本示例中，开头的一位可以由9代替，并且其后的两位Ol可以由序列号代替。这样，当在服务代码开头数字中检测到9时，第二位和第三位数字被识别为可以同样被使用的序列号。所述序列号被使用并且服务代码之后可以被再次存储(例如，存储到101)。这可以是识别加密数据的存在的另一种方式。
0256在步骤468中，自由选择数据可以例如使用自由选择数据替换表格来转化。因此，在图27b说明的示例中，原始自由选择数据串0000041800000由已转化的自由选择数据串486， 90909488卯909替换。在一个实施例中，可以使用相同的替换表格(即表格419)从而导致以上获得的替换，或者可以使用不同的替换表格。
0257在步骤470中，自由选择数据被加密。根据说明的示例，在步骤470A中，密码480用于加密已替换的自由选择数据486'以产生加密的已替换的自由选择数据492。在一个实施例中，这种加密可以通过密码480与已转化的自由选择数据486'的模10加法完成。
0258在步骤470B中，如块406"所示，自由选择数据移动一位并且用加密的已转化的自由选择数据492加密以获得加密的自由选择数据494。在一个实施例中，这种加密可以通过加密的已转化的自由选择数据492与已移位的自由选择数据406"的模10相加执行以获得加密的自由选择数据494。
0259再次参考图22，在本示例中注意在PAN和自由选择数据被加密后，在步骤427中可以执行替换以封装用于交易的数据。具体地，根据参考图23-28所述的示例，可以再次封装接下来的串。
0260此外，新的模10字符可以被生成并且新的LRC产生在附录C的第8段所示的串。此外，标志可以被设置为例如期满日加12。因此，在所说明的示例中，具有更新的模10字符和LRC的再次封装的数据可以看起来类似
4500663753361213=19039130779474182100 。
0261为了进一步说明各种加密算法的可行性，现在描述额外的示例性的加密和解密算法。参考加密轨迹2的数据描述本示例，但是其他数据也可以被加密。在一个实施例中，算法可以首先检査数据是否存在命令卡，如下更详细地描述的。之后，在一个实施例中，算法生成一次性CTR (计数器模式)3 DES流密码加密块Ki。在本示例中，这被如下所述地完成(a) 构造KA，即由从左到右连接以下项构成的64位串
(i) 磁条阅读器密钥计数器(MKC)
(ii) 以卡发行商自由选择数据(DD)填充其余区域直至LRC 字符并且包含LRC字符。
(iii) 以'0，填充任意其余区域(0x30)。
(b) 从BIN掩码密钥表格^选择域密钥(DMK)和终端密钥(TMK) 集
(c) 以DMK加密Ka，得到块Kb
(d) 以TMK解密Kb，得到块Kc
(e) 以DMK加密Kc，得到块Kd
(f) 将64位块Kd扩展为20个数字的十进制值，扩展为得到块Ke
(g) 去掉最左边的数字得到19个数字的流密码加密块Ki
0262在下一个步骤中，要被加密的数据，(在这里是轨迹2 的数据)与3DES流密码加密块Ki组合，从左到右为
(h) 使用模10加法，基于BIN掩码密钥表格**和模10校验数字将Ki数字和PAN除第一个1至6位的数字以外的数字相加。从最左边接连地使用Ki数字。
(i) 使用模模12加法，将期满月和下一个Ki数字相加 (j)使用模100加法，将期满年和下一个Ki数字相加
(k)使用模10加法，将下三个Ki数字和三个服务代码数字相加。0263所述算法之后生成用于修改后的数据的新的模IO校验字符，将5加入到新的校验数字(模IO)并且将该相加的结果置于轨迹 2数据中。之后使MKC乘以2并且放置十进制结果到PVV(5数字pin 确认字段)轨迹数据字段中。之后它增加模50,000 (在49,000处过渡) 并存储新的MSC，去掉最左边的数字并且模10数字得到串EPAN。
0264对于根据本示例的解密，在第一步骤中，解密算法首先完成卡数据上的模10校验。如果校验通过，则在不解密的情况下转送轨迹2的数据。如果校验失败，则所述算法可以校验以査看其是否为命令数据。例如，在一个实施例中，所述算法可以从轨迹数据校验数字 (模10)中减去5并且使用这个新的模10-5校验值再次校验。如果校验失败，则其将模10校验错误与轨迹数据一起转送。之后，如果期满年是80，则卡数据是命令。如果这样，则可以使用命令解码算法处理所述命令。
0265为了解密，算法如下所述地生成一次性的CTR (计数器模式)TDES流密码加密块Ki:
(a) 构造KA，即由从左到右连接以下项构成的64位串
(i) 被除以2的来自轨迹数据的PVV，来自阅读器的MKC。
(ii) 以卡发行商自由选择数据(DD)填充其余区域直至LRC 字符并且包含LRC字符。
(iii) 以'0'填充任意其余区域(0x30)。
(b) 检索终端密钥DMK和TMK并且最后检索MSC
(c) 将新的MSC与最后存储的值相比较
(0如果新的MSC大于旧的MSC，则保存新的值
(ii)如果新的MSC不大于旧的MSC，则标志复制交易错误
(d) 以DMK加密Ka，得到块Kb
(e) 以TMK解密Kb，得到块Kc
(f) 以DMK加密Kc，得到块Kd
(g) 将64位块Kd扩展为20个数字的十进制值，扩展为得到块
Ke
(h) 去掉最左边的数字，得到19个数字的流密码加密块Ki0266所述算法之后将轨迹2的数据与Ki从左到右地如下组合
并且提供纯文本数据。
(0使用模10减法，将Ki数字加入到PAN除第一个数字和模
10校验数字以外的数字。从最左边接连地使用Ki数字。 (j)使用模模12减法，将期满月减去下一个Ki数字 (k)使用模100减法，将期满年减去下一个Ki数字 (1)使用模10减法，将下三个Ki数字减去三个服务代码数字。0267基于贸易商密钥、BIN和期满日使用流密码来加密PAN
可以导致揭示用于具有相同BIN和期满日的卡的加密掩码的能力。在
一个实施例中，散列代码被用于加密的PAN数字并且在安全交易模块
处提供散列表以包含可行的散列和原始PAN。
0268在一个实施例中，加密可以被执行以使得数据的加密获得多个字节的加密数据。例如，在一个实施例中，加密PAN的六位数字可以产生二进制数据。字节可以被选择并且放回所述串中。在解密时，密钥可以被用于生成全部可能的结果，并且安全交易模块可以査找生
成所获得的结果的PAN。作为另一个示例，表示BIN或银行识别号的第一个账户数字连同卡的期满日和用于POS使用在卡的确认和收据打印的账号的最后四位一起作为纯文本保留。其余的卡数据的19个数字可以被转换为8字节二进制值。时戳可以被增加并且结果被加密。8字节的加密数据可以被转换为以10为基的20个数字，并且最右边的19 个数字替换所选择的卡数字。最后一个数字0或1被添加到银行字段。新的模IO字符被生成并置于所选择的卡数字中。加密的数据和纯文本数据的组合输出到所述终端。
0269在另一个实施例中，加密块尺寸可以大于要被编码的数字的可用位数。在这种实施例中，可以应用块加密的输出反馈模式或计数器模式。在这些方法中，包括例如序列号的变量和一部分纯文本卡数据的固定数据连同例如以每个块输出而增量的计数器的改变值使用期望的加密算法被加密。来自加密的输出位可以与待加密的数据组合 (例如异或或模10加法)。在待加密的卡数字的范围是0-9的情况下，如一般对于轨迹2数据来说，加密的3个位与从0到7的每个数字异或。数字8和9保留为纯文本。因为块加密的输出反馈模式或计数器模式通常要求更少的步骤，所以它们可能比其他方法更优选。
0270BIN掩码密钥表可以被用于允许选择BIN范围和用于安装的密钥的加密选项。例如，在一个实施例中，密钥基于BIN掩码被分配到BIN范围。每个条目可以包括BIN掩码、域密钥、命令密钥、与掩码相关联的终端密钥和用于BIN掩码的MKC刷卡密钥计数器。 BIN掩码可以包括例如6个字节。在一个实施例中，其被实施以使得包含数字0_9的任意字节位置必须与要被选择的相应的卡数据相匹配；包含OxA或OxB的任意字节位置将与相应卡数据位置中的任意值相匹配；并且包含OxA的字节位置将被加密，而OxB位置在轨迹2数据输
出中将保留为纯文本。
0271在上述一个或多个实施例中，pin键盘、磁条阅读器、RFID
异频雷达收发机、近场阅读器、光学扫描仪和其他数据获取装置可以被配置为或重新配置为包括加密功能以加密一些或全部代币数据以及用于各种类型的代币Ul的任意相关联的额外数据(例如PIN数据) 的一些或全部。可以包括例如加密模块132等加密模块以提供执行期望的加密的功能。此外，如所述，存储器或其他数据存储器可以提供给密钥、算法、相关联的固件或软件、中间和最终处理结果和其他加密信息。在一些实施例中，期望所述功能的一些或全部并且具体地，期望加密功能和数据存储被包装在代币阅读器内以提供数据安全性的措施。
0272在一个时间点处或有时，可能期望升级或更新或修改加密模块的一些或全部以获得例如更新后的密钥、更新后的密钥生成算法、更新后的加密算法和可能有时被期望的其他改变、修改、增加或增强。然而，在这种功能的一些或全部被嵌入数据获取装置的实施例中，这种增强可能难以在字段中以快速、容易且划算的方式实施。这可以通过这样的事实而加剧，即在特定应用中(例如在银行卡应用中)，可能具有数千台数据获取装置要更新和维护。
0273因此，在这个和其他实施例中，技术可以被实施以经由下载或其他类似机制执行这种增强。例如，在一个实施例中，命令代币可以被提供以提供对加密信息的更新，加密信息例如为密钥、操作算法(例如加密算法、密钥生成算法、散列函数等)、所存储的数据元素或其他加密信息。例如，在一个实施例中，命令代币可以以命令信息编码从而当其被电子数据获取装置读取时，可以使得数据获取装置以新的加密信息被更新。例如，特定的字符或串可以包括在命令卡中以指示数据获取装置在读取命令代币后进入更新模式或接受更新。命令代币上的信息或来自外部源的信息可以被下载到数据获取装置以提供必要的更新。在另一个实施例中，电子数据获取装置可以被指示以经由交易通信数据路径或其他数据输入路径检索或接收下载。例如，在进入更新模式后，数据获取装置可以被配置为从终端、网关、交易处理网络实体或其他实体接收和接受信息以执行更新。作为另一个实施例，电子数据获取装置可以被指示以经由串行或并行或其他数据端口检索或接收下载。
0274在另一个实施例中，适当的命令或命令串可以从终端、网关、交易处理网络或其他实体发送以使得电子数据获取装置进入更新模式或接受更新的算法、固件或其他软件以及加密信息项。
0275在现在所述的一个实施例中，命令代币被用于起动更新模式。为了更好地说明本实施例，依据示例性实施方式的情况加以说明，其中电子数据获取装置的应用是配置为读取银行卡的磁条阅读器。在阅读本说明书后，本领域一个普通技术人员将清楚命令代币如何可以在其他情况和应用中实施。
0276图29是说明根据本发明的一个实施例用于起动更新模式或其他命令模式的过程的操作流程图。这个流程依据示例性情况加以说明，其中命令代币是磁条卡。现在参考图29，在步骤612中，命令卡在磁性卡阅读器处被刷卡并且其数据被读取。在步骤614中，命令卡上的数据被校验并且在步骤616中，确定数据是否表示卡是命令卡。例如，在一个实施例中，预定的BIN号或BIN号的范围被指定为与命令卡相关联。这样，在本实施例中，在步骤614中，电子数据获取装置可以被配置为搜索BIN数据库以确定接收的BIN信息是否与数据库中表示被刷的卡是命令卡的BIN信息相匹配。其他字符或数据串可以用于表示给定卡是否是命令卡，然而，本示例依据预定的BIN或BIN 范围进行说明。
0277如果在步骤616中，确定被刷的卡是命令卡，则命令在步骤618中被处理。例如，命令可以被包括以更新算法、密钥、贸易商 ID、终端ID、序列号或其他加密信息。以下讨论用于处理命令卡功能的几个示例性实施例。其他示例可以包括对全部卡或特定卡开启或关闭加密的命令。例如，命令可以被生成以仅影响具有特定BIN或BIN 范围的卡。
0278如果被刷的卡不是命令卡，则常规操作可以随即发生，其中在步骤619中，数据获取装置确定来自代币的数据是否在被发送以用于处理之前要被加密。如果不是，则在步骤620中，数据以纯文本形式输出。另一方面，如果一些或全部代币数据要被加密，则在步骤 622中，数据可以被加密、再次封装并输出为代币数据流，如步骤624 中说明的。
0279图30是说明根据本发明的一个实施例用于加密一些或全部代币数据的示例性过程的操作流程图。如上所述，通过参考一个或多个实施例，校验字符可以包括在代币数据中以表示卡读取错误或数据传输错误。因此，在步骤632中，校验字符被校验以确定其是否正
确。如果正确，则在步骤634中，适当的密钥被生成或检索，适当的数据在步骤636中用密钥加密。同样如上所述，为了使下游组件能够操作，新的校验字符可以基于步骤638中加密的数据而产生并且数据在步骤640中被输出用于交易处理。在一个实施例中，系统可以被实施以使得不正确的校验字符可以表示代币是命令代币(就上述示例性应用而言是命令卡)。
0280图31是说明根据本发明的一个实施例使用校验字符确定代币是否是命令代币的示例性过程的操作流程图。再次，依据银行卡的示例性应用提供本描述。现在参考图31，在步骤652中，校验字符被校验以确定其是否是正确的。这与以上参考图30所述的步骤632相同。如果校验字符是正确的，如判断框654所示，则继续加密如步骤656所示。例如，在一个实施例中，加密可以在常规基础上继续，如以上参考图30所述的。另一方面，如果校验字符的校验揭示了错误或无效条目，则卡可被重新测试。
0281在一个实施例中，校验字符可以被修改使得己知的错误表示命令卡的潜在存在。例如，在一个实施例中，校验数字减去预定值 (例如5)以表示命令卡的存在。因此，在所说明的实施例中，在步骤 658中，值5被加到校验数字并且数据被重新测试。如果测试在步骤 660中失败，则这可以表示数据中的错误。
0282另一方面，如果测试现在以更新后的校验数字通过，则这在一个实施例中可以是表示存在命令卡的足够确认。然而，在另一个实施例中，额外的信息可以被用于确认命令卡或其他命令代币的存在。例如，如上所述，在一个实施例中，BIN或BIN范围用于识别命令卡。在另一个实施例中，特定的期满日值还可以被用于识别命令卡的存在。作为进一步的示例，在一个实施例中，命令卡的期满日字段被设置为某个值(例如80或99)以表示包含这种数据的卡是命令卡。因此，依据这个示例，在步骤662中，期满日被校验以确定其是否被设置为指定值，并且在步骤664中如果是，则其被恰当地识别为命令卡并且命令可以被处理。另一方面，如果期满日不是指定值，或另一个命令参数不匹配，则取决于所述实施例，错误产生，如步骤669所述。
0283图32是说明根据本发明的一个实施例用于操作命令代币的示例性过程的图示。现在参考图32，在步骤704中，数据由数据获取装置读取。例如，在使用具有磁条的命令卡的示例性应用的背景中，磁条数据由磁条阅读器读取。如上所述，一个或多个过程可用于确定正在被读取的卡是否是命令卡，或在其他实施例中是否是命令代币，或其是否是常规或非命令代币。
0284如上所述，在众多实施例中，数据从代币中被读取，即使是加密的，数据也可以被封装以使得其包含适当的字段或至少处于如交易处理网络内的交易处理装备期望的正确格式。同样，如上所述，在一个实施例中，由读取命令代币产生的信息可以被发送到下游装备以用于命令处理。因此，在一个实施例中，在步骤706中，数据获取装置要求使用者的数据输入，就好像常规非命令交易正在发生。因此，例如，依据银行卡的情况，数据获取装置可以要求使用者输入交易账户以使得这种数据可以被插入到数据包用于传输。在可替换的实施例中，填充数据或虚拟数据可以被包括以确保提供完整的数据封装。以此方式，可以完成交易数据以将命令交易传输到服务器或其他处理装备。
0285在步骤708中，数据被封装并且发送到服务器或其他处理装备。如讨论的，在一个实施例中，这种数据可以根据下游处理装备期望的格式封装。此外，在一个实施例中，数据可以被加密以在被传输数据中提供安全性措施。
0286在一个实施例中，命令可以在数据获取装置读取命令代币时在数据获取装置处被触发。因此，加密密钥、加密算法、固件更新和其他命令信息可以直接从命令卡被提供到数据获取装置或终端。例如，命令信息可以包括在磁条卡的轨迹数据中，或额外的信息可以被包括在卡中以提供适当的命令信息。在另一个实施例中，具有存储器或其他数据设施的代币可以被用于向代币阅读器提供命令信息更新。例如，智能卡、芯片卡、ICC等可用于提供命令信息以更新阅读器。
0287在一个实施例中，命令代币可以具有与常规代币相同的形式，并且通过相同机制提供数据。在另一个实施例中，专用的命令代币可以被提供。再次考虑银行卡的示例，取代具有包含命令数据的磁条的命令卡，可以提供另一种形式的代币，其可以被磁条阅读器读取。例如，可以提供包含承载电信号的轨迹的电路卡。轨迹可以沿卡由阅读器读取的区域被隔开。电信号可以沿轨迹发送，从而使磁头感测轨迹的电磁场并且当其读取磁条信息时读取本信息。因此，轨迹和沿轨迹以期望模式提供电信号的控制逻辑的使用可用于提供命令卡。这种命令卡可以是可编程的并且可重复编程，例如通过编程与卡相关联的控制逻辑。在另一个实施例中，磁性异频雷达收发机可以被提供以置于所述头附近并且用于将电磁脉冲发送到所述头以使得其模仿磁卡的刷卡。所述脉冲被编程以将命令数据传递到所述头。签名或其他密钥可以提供给这种替代的代币以确保真实性。此外，PIN或其他验证技术可以用于验证命令代币、使用者和使用位置的真实性。在另一个实施例中，包含触点的卡可以用于与读取头进行直接的电接触以经由物理传导的信号路径传递命令信息。所述触点可以被制造到头结构项目，例如外壳、轨迹之间的绝缘板、核心或其他接触点。此外，可以添加接触点以与命令卡进行电接触，用于数据传递。
0288这个信息还可以被发送到终端或其他下游处理装备(包括
PIN键盘)以更新处理装备。例如，对于对密钥的更新，已更新的密钥
集可以被传递到交易处理服务器或安全交易模块从而使其具有正确的密钥以解密由数据获取装置加密的数据。作为关于密钥更新的进一步的示例，在终端在信息传输之前解密信息的实施例中，密钥可以被提供到终端用于解密目的。
0289这些密钥可以以加密方式被传输以保留其完整性。作为另
一个示例，其中新的随机数生成器或可以用于生成密钥的其他算法被提供作为更新，这种算法可以在数据获取装置处更新并且在一些实施例中以加密形式发送到交易处理服务器以更新其记录。在密钥在数据获取装置或终端处生成的示例中，新的密钥可以在交易中类似于消息地被发送到解密服务(例如到安全交易模块)并且可以包括终端标识符、新的密钥和新的序列起始号(序列号不需要是连续的)。解密服务可以存储与拖尾交易一起使用的历史密钥。0290在一个实施例中，发送到下游装备的更新的信息可以被再
次封装到代币数据中从而使其替代否则在常规代币中提供的数据。例如，在银行卡的情况下，新的信息可以被包括为轨迹数据从而使其可以在认识到交易数据包括命令信息时由网关或其他交易处理实体或服务器提取。
0291在另一个实施例中，命令代币可以被用于触发数据获取装置从终端网关交易处理实体或其他下游交易装备检索命令或其他更新信息。例如，命令卡或其他命令代币可以产生被发送到下游处理装置的交易并且解码时，下游交易装置检索适当的信息(例如，更新的密钥、算法、固件等)并将这些返回到电子数据获取装置用于更新。优选地，在一个实施例中，返回的项目被加密地返回从而提供安全性措施。
0292作为说明可以被包括的可能功能的又一示例，再次考虑用于密钥更新的示例。新的密钥可以被包括在命令卡上或者命令卡可以指示数据获取装置从终端检索密钥。可替换地，命令卡可以起动交易，该交易使得新的密钥从另一个实体例如安全交易模块被发送。作为另一个示例，命令卡可以仅仅使得数据获取装置或终端使用密钥生成算法例如随机数生成器生成新的密钥集。
0293图33是说明根据本发明的一个实施例的示例性过程的操作流程图，其中网关或其他下游实体接收命令交易并返回命令信息。现在参考图33，在步骤712中，交易在处理实体处被接收。例如，在一个实施例中，交易可以在网关120处被接收并且交易被解码并被确定其为命令交易。例如，依据上述实施例，在步骤714中，适当的解密过程可以被调用或者交易被发送到安全交易模块从而使数据可以被解密并且返回到网关或其他交易处理实体用于操作。
0294
一旦被解密，如果不是命令交易，则常规处理可以继续，如步骤718所示。可替换地，如果交易是步骤716中确定的命令交易，
则命令信息可以被检索并被适当地作用。
0295例如，在上述一个实施例中，特定的BIN范围被分配以
表示命令卡和银行卡情况的存在。因此，在这种应用中，网关或其他交易处理实体可以校验BIN以确定其是否应该被路由以用于常规处理或其是否是命令卡并且命令操作是否应该发生。在被发送的BIN范围是纯文本的实施例中，这个信息可以在接收交易时通过网关或其他处
理实体确定。在BIN被加密的实施例中，解密操作(例如步骤714所示)可以发生。检索纯文本BIN从而可以进行适当的判断。在另一个实施例中，仅一部分BIN需要为纯文本以进行判断。这个示例用于说明交易数据中的其他字段如何可以用于识别通过命令代币生成的命令交易的存在。
0296继续参考图33，在本实施例中，命令信息被检索并且返回到数据获取装置用于更新，如步骤720中所述。例如，在一个实施例中，密钥、算法、固件更新或其他命令信息可以适合于命令地进行检索并且返回到数据获取装置以更新装置。虽然图33中未显示，但这种信息可以在传输返回到数据获取装置用于更新之前被加密。
0297在一个实施例中，信息可以被返回到特定的数据获取装置或可替换地如适合给定交易地广播到一个或多个数据获取装置。例如，贸易商可能期望更新来自多个终端的贸易商ID或密钥、或密钥生成算法并且可以生成命令以在服务器处(例如网关处)更新信息并且将这个信息重新广播到该贸易商网络中的全部终端。这样，信息可以被广播到全部终端或可以被适当识别的终端的子集。
0298在步骤722中，网关或其他交易处理实体或服务器处的本地数据也可以被更新以确保适当的密钥、算法或其他信息在适当位置以由交易处理器在操作由更新的终端生成的交易时使用。
0299参考图33说明的过程是命令信息由服务器检索并且发送回数据获取装置的一种过程。在另一个实施例中，命令信息可以基于代币数据获得并且被用于在将信息传递到服务器之前本地更新数据获取装置或终端。因此，在本实施例中，数据获取装置可以被配置为更新其本地记录和信息以包括新的命令信息。这种信息可以被封装以用于步骤708 中到交易处理服务器的传输。如上所述，在银行卡交易的示例性应用中，信息可以被格式化并且在一个实施例中作为轨迹2数据或其他轨迹数据发送。
0300图34是说明用于在交易处理服务器处接收这种命令信息的示例性过程的操作流程图。现在参考图34,在步骤712中，交易由交易处理器接收。例如，交易处理器可以是网关120或其他交易处理实体。
0301在一个实施例中，交易的接收、适当地解密信息和确定交易是否是命令交易可以如参考步骤712至718的讨论而发生。
0302在步骤724中，包括在交易中的命令信息被提取。因为本实施例说明了命令信息从数据获取装置发送到处理服务器的示例，所以该步骤724从交易中提取该命令信息并且用于在步骤726中更新本地信息。
0303在包括以上参考图33和34讨论的内容的一个实施例中，确认交易可以返回到数据获取装置以确认己经发生更新。例如，取代对购买交易返回"授权"或"未授权"响应，服务器可以返回命令响应，其内容为"密钥被更新"或"固件被更新"或"加密被启用"等表示命令信息在服务器处被成功更新的其他适当消息。否则所述信息在数据获取装置或终端处被本地更新。
0304在一个实施例中，加密的命令信息被存储为命令卡上的其中一条轨迹中的数据。可以使用轨迹l、 2或3。注意，在一个环境中，常规银行卡可以具有以75 BPI编码的传统的轨迹2信息。在本环境的一个实施例中，命令数据可以被编码为代替银行卡信息的轨迹2数据。在一个实施例中，这种数据可以以较高密度编码，例如以210 BPI编码。因此，在这种实施例中，不同密度可以被用于检测命令卡的存在。
0305一旦命令卡已经被刷卡，则数据获取装置采取适当动作并且之后将轨迹数据输出到POS装置，所述轨迹数据被特殊格式化以看似和感觉似有效信用卡刷卡。例如，在加密和命令处理被嵌入头中的实施例中，头输出作为轨迹II数据的命令信息到终端。在数据被封装为常规交易数据的一个实施例中，POS装置不能意识到命令卡已经被刷卡并且将轨迹II数据视为常规信用交易。
0306在一个实施例中，系统可以被实施从而为了使用命令卡，使用者会在POS装置上执行处理信用卡交易所要求的标准步骤。例如，使用者会刷命令卡而不是信用卡来起动命令卡交易。一旦命令卡交易被起动，则交易被路由到安全交易模块(例如在网关或交易处理实体处)。安全交易模块解密数据并且识别所述交易是命令卡请求。如上所述，在一个实施例中，这通过校验使用的BIN范围完成。在一个实
施例中，命令卡可以被配置为使用预定的可用BIN或BIN范围。
0307在命令卡通过安全交易模块被处理之后，在一个实施例中，所产生的代码被返回到网关，告知网关命令卡刚被处理。在一个实施例中，网关之后将交易路由返回到具有DECLINE消息(例如上面概括的那些命令响应)的终端。同样，因为由网关接收的所产生的代码表示命令卡，所以在一个实施例中，交易不被路由到处理器用于授权，而是返回到终端。
0308在一个实施例中，虽然其他的单元也是可能的，但以下是可以在成功辨识命令卡时被提供到终端使用者的可能的显示单元的列表。以下示例包括命令是启动加密、停止加密或设置新加密密钥的示
RESULT (结果)
DECLINE-TOGGLE ON (启动)
DECLINE-TOGGLE OFF (停止)
DECLINE- SET NEW KEYS (设置新密钥)
0309在一个实施例中，DELINE消息被用于命令卡的原因是绝大多数常规POS软件应用被安装以进行批结算。因此，DECLINE消息被发送到POS装置从而使POS应用不在日常批文件中存储命令交易。0310为了进一步说明命令代币处理，考虑可以执行三个功能中的之一的命令卡的一个示例性实施方式启动、停止和设置新密钥。进一步考虑一个示例，其中编码在"停止"命令卡的轨迹(例如，轨迹3)上的加密的数据是
+0000110064462346304640551309041215709160782147077081 3324442325529605762952169858225050
0311数据获取装置处理这种命令并且格式化所述数据以模仿信用卡上发现的典型的轨迹II数据。数据获取装置停止加密并且之后生成有效的轨迹II数据到POS装置上。以下是生成的加密轨迹II数据的
示例，其为
;5151111894206706=18109007592857178221 0312在一个实施例中，例如在使用序列号的实施例中，每次数据获取装置生成轨迹II数据，其均是独特的号码。安全交易模块在一个实施例中被配置为存储这种轨迹II数据的单向散列。通过以上轨迹 II示例，轨迹数据被译解为
j5151110302000206=06101015678901234560
0313通过查看轨迹数据的密钥元素，安全交易模块识别这种命令是特定的BIN范围的TOGGLE OFF (停止)并且之后去除用于这个特定的POS装置的密钥。
0314结果被发送回网关并且返回的结果代码告诉网关返回 decline,连同由安全交易模块提供的解密。这种终端之后显示 DECLINE-TOGGLE OFF并且命令卡处理现在完成。
0315考虑另一个示例，其中命令卡被配置为执行命令以设置新的密钥。在这种示例中，命令卡的刷卡生成具有特定BIN号码的独特的轨迹II加密数据。在一个实施例中，SET NEW KEYS命令可以被配置为在每次刷命令卡时生成新的终端密钥。这可以用于消除对具有多张SET NEW KEYS命令卡的需要。继续本示例，使用者将SETNEW KEYS命令卡处理为常规信用卡交易。使用者可以输入交易量以允许交易被发送到网关。再次，由于在本实施例中，decline将由POS装置接收，因此交易量是不相关的。
0316数据获取装置处的加密模块可以被配置为基于多个因素使用不同密钥加密轨迹数据。一个这样的因素是BIN范围。换句话说，不同的BIN范围可以被建立以使用不同的加密密钥。例如，VISA交易 (具有400000-499999范围的bin)可以被建立以使用一个密钥集，而 MASTERCARD交易(具有500000-599999范围的bin)可以被建立以使用完全不同的密钥集。类似地，包括例如更新密钥、修改加密算法、启动加密或停止加密等功能的命令功能可以被执行以用于全部交易或仅用于交易的子集。例如，这里的BIN或BIN范围也可以被使用以建立给定命令的应用。因此，例如，卡发行人可以发布用于其自身的代币设置的命令卡。
0317此外，这种方法可以被配置为给予贸易商、网关或处理器操作多个不同交易类型的灵活性。例如贸易商可以具有忠诚卡、储值卡或被路由到不同网关或内部处理和银行发行卡的不同的商店发行的信用卡。这种功能允许管理选择不同的卡类型如何使用(或其是否使用)数据获取装置应用的加密特征。
0318在一个实施例中，与命令卡(或其他命令代币)相关联的签名可用于在允许命令交易之前验证命令卡。例如，在磁条卡的情况
下，SECURESTRIPE签名可用于鉴别所述卡。除SECURESTRIPE以
外的其他签名技术可用于验证命令卡的真实性和命令卡的恰当使用。其他信息可用于验证真实的命令代币的使用。例如，在卡针对给定贸易商的情况下，签名可以被用于识别属于该贸易商的卡，并且数据流中的贸易商ID用于确保命令卡正在由已识别的贸易商使用。类似地，特定密钥或其他字符串可以被插入到命令代币中以实现类似签名的功能，确保命令卡将仅由指定的贸易商或以指定的方式使用。如具有贸易商ID的本示例所述，其他数据项可以被用于鉴别命令代币的使用，包括头或其他数据获取元件的序列号、顺序号、位置信息、时戳、使用者输入的PIN或其他代码、生物统计数据等。
0319可以实施多个命令算法。现在描述几个示例性算法。在阅读本说明书后，本领域一个普通技术人员将清楚其他算法如何被实施。
0320在一个实施例中，可以提供命令解码算法。在处理器确定命令代币数据集被接收的情况下，处理器可以如下所述生成一次性的 CTR (计数器模式)TDES流密码加密块Ki:
(a) 构造Ka，即由从左到右连接以下项构成的64位串
(i) 除以2的来自轨迹数据的PVV
(ii) 以'O，填充其余区域(0x30)。
(b) 检索用于给定的BIN值的域密钥(DMK)和命令密钥(CMK)。
(c) 以DMK加密Ka，得到块Kb
(d) 以CMK解密Kb，得到块Kc
(e) 以DMK加密Kc，得到块Kd
(f) 将64位块Kd扩展为20个数字的十进制值，得到块Ke
(g) 去掉最左边的数字，得到19个数字的流密码加密块Ki0321所述算法之后可以将轨迹2的数据与Ki如下所述地从左
到右组合
(a)使用模10加法，将Ki数字和PAN除第一个6位数字和模10校验数字以外的数字相加。从最左边接连地使用Ki数字。
(b)使用模10加法，将Ki数字和除PVV以外的紧随期满日的数字相加。从最左边接连地使用Ki数字。
0322命令串可以通过从左到右地连接期满日月份、期满年(用于未来扩展)、卡PAN减去模IO校验字符以及紧随期满日的全部卡数据直至末尾标记而被构造。MSR命令处理算法基于期满月和年被选择。
0323作为另一个示例，可以提供改变终端密钥算法。在本示例中，生成新的密钥。在本示例中，第一步是生成新的随机密钥。这可以如下进行
(a) 构造Ka，即由从左到右连接以下项构成的64位串
(i) 用于被选择的BIN的MSC
(ii) 最后一次刷卡的平均信息量的细微差别
(iii) 系统时钟周期计数器
(b) 以BIN域密钥DMK加密Ka，得到块Kb
(c) 以BIN终端密钥TMK解密Kb，得到块Kc
(d) 以OEM密钥加密Kc，得到块Kd
0324接下来，算法可以将64位块Kd扩展为20个数字的十进制值，得到块Ke。第20个数字(0或1)被加入到当前的MKC+2中并且所产生的结果置于输出卡数据PVV字段中。最左边的数字被去掉，得到19个数字的流密码加密块Ki。从前的64位终端密钥被扩展为20 个数字的十进制值，从而得到块Ke。 MSR数据流被构造以包括
(a) 起始标记
(b) 输入数据6BIN数字
(c) 来自Ke最左边的ll个数字
(d) 输入数据期满日
(e) 来自Ke的接下来的3个数字
(f) 来自以上6数字的5数字PVV
(g) Ke中的其余数字
(h) 全部前述数字的CRC
(i) 末尾标记0325
一次性CTR (计数器模式)TDES流密码加密块Ki被如
下生成
(a) 构造KA，即由从左到右连接以下项构成的64位串
(i) MSR密钥计数器(MKC)
(ii) 以卡发行商自由选择数据(DD)填充其余区域直至来自命令卡数据的LRC字符并且包括该LRC字符。
(iii) 以'0，填充任意其余区域，(0x30)。
(b) 从BIN掩码密钥表格^选择密钥集
(c) 以DMK加密Ka，得到块Kb
(d) 以TMK解密Kb，得到块Kc
(e) 以DMK加密Kc，得到块Kd
(f) 将64位块Kd扩展为20数字的十进制值，得到块Ke
(g) 去掉最左边的数字，得到19个数字的流密码加密块Ki0326Kd被保存为新的终端密钥(TMK)，并且轨迹2数据如
下所述从左到右和Ki结合
(a) 使用模10加法，将Ki数字和除第一个6位数字和模10校验数字以外的PAN相加。自最左边连续使用Ki位数字。
(b) 使用模12加法，将期满月与下一个Ki位数字相加
(c) 使用模100加法，将期满年与下一个Ki位数字相加
(d) 使用模10加法，将之后的三个Ki位数字和三个服务代码数字相加。
0327新的模10校验字符被生成以用于己修改的数据，并且将 5加入到新的校验数字中(模IO)并将其置于轨迹2数据中。新的密钥在刷卡时以旧的密钥加密而输出。
0328示例性处理器命令请求算法现在可以如所述地执行。在卡已经被确定为命令卡的情况下，算法如下地生成一次性的CTR (计数器模式)TDES流密码加密块Ki:
(a) 构造KA，即由从左到右连接以下项构成的64位串
(i) 除以2的来自轨迹数据的PVV，来自阅读器的MKC
(ii) 以，0，填充其余区域(0x30)。
(b) 为给定的BIN值检索域密钥(DMK)和命令密钥(TCK)。(C)将新的MSC与最后存储的值相比较
(i) 如果新的MSC大于旧的MSC的值，则保存该新的值。
(ii) 如果新的MSC不大于旧的MSC标记，则复制交易错误。
(d) 以UDKA加密Ka，得到块Kb
(e) 以TCK解密Kb，得到块Kc
(f) 以UDKA加密Kc，得到块Kd
(g) 将64位块Kd扩展为20个数字的十进制值，得到块Ke
(h) 去掉最左边的数字，得到19个数字的流密码加密块Ki0329轨迹2数据如下地从左到右和Ki结合
(a) 使用模10减法，将Ki位数字加入到除第一个六位数字和模10 校验数字以外的PAN中。最左边连续使用Ki数字。
(b) 使用模10减法，从之后的三个Ki位数字中减去三个服务代码数字。
(c) 使用模10减法，从卡数据输入流中减去全部其余的Ki数字。0330为有效命令请求校验CRC，并且如果存在错误，则错误
被标志并且程序退出。期满日被校验命令类型并且所请求的命令被处理。
0331作为最后的示例，现在说明示例性的密钥改变命令算法。一旦密钥改变命令请求的有效性已经被验证，则该算法将以下20位数字连接成串KIN，从左到右为
(a) 模10校验数字的第七位数字，(8位数字)
(b) 三个服务代码数字
(c) 紧随PVV的九个数字
0332该算法将KIN压縮为块Kn中的8字节的二进制数据，存储为新的终端密钥TMK，并且将完成的交易确认到终端。
0333以上描述了一些示例性命令。在一个实施例中，命令代币被实施为具有与非命令代币类似的数据格式。例如，在银行卡环境中，命令卡可以被实施为具有类似的数据格式。在本示例中的一个实施例中，除了期满日代码年是80以外，命令卡数据格式非常类似于标准卡。在这种实施例中，期满日的月份可以用于表示选择的命令。例如，如果卡的模10-5通过并且命令年和月份表示有效命令，则数据获取装置将执行所请求的操作。
0334以下提供一些示例性的命令代码。命令01/80-05/80可以
由不连接到网络的终端完成。MSR状态LED可以用于表示成功的命令操作。在一个实施例中，命令06/80可以在线完成或用要传输和保存的新密钥的仿真器完成。终端密钥可以具有密钥使用计数器，例如具有 0-49,999的范围。所述密钥可以被配置为使得达到最大计数后，计数器转回。为了保护终端密钥不受损坏，所述终端密钥可以周期性地改变。例如，使用密钥在特定bin范围内每50K次刷卡至少一次。其他考虑可以要求更频繁的密钥更新。
01/80制造商改变/设置OEM域密钥命令以制造商域和终端密钥加密
OEM域和终端密钥均以64位密钥被设置/更新
02/80 OEM改变/设置OEM终端密钥命令以OEM域和终端密钥加密
OEM域密钥被设置/更新
OEM域和终端密钥可以被设置到不同顾客以控制MSR被选择的方面
03/80 OEM改变/设置BIN范围域密钥命令以OEM域和终端密钥加密 "所选择的BIN范围域、终端和命令被设置以输入密钥
OEM通常将使用这种卡为特定顾客初始化MSR
04/80分配改变/设置BIN范围域密钥命令以选择的BIN范围命令和终端密钥加密。
安全分配提供者通常将使用这种卡设置多个终端以接受相同的域密钥。
05/80分配改变/设置BIN范围的命令密钥
命令以选择的BIN范围域密钥和终端密钥加密。
安全分配提供者通常将使用这种卡设置多个终端以接受相同的命令密钥。
06/80改变/设置BIN范围的终端密钥命令以选择的BIN范围的域密钥和命令密钥加密。安全分配提供者或服务技术人员将通常使用这种卡产生终端生成和加密的终端密钥。
0335现在描述一些操作情况以进一步强调上述实施例的特征和优点。本文所述的本发明及其多个实施例不限于在这些情况下讨论的应用。这些情况被包括以提供额外的说明性材料。
0336在数据获取装置的一个实施例中，定制的ASIC被提供以
执行具有集成的精确峰值检测器的头放大器的功能和将输出解码的微控制器以及加密模块的功能。ASIC可以与常规处理器结合，例如Silicon Labs C8051F330处理器，安装到尺寸大致为磁头背部尺寸的印制电路板上。接口电缆可以附连到印制电路板和安装在磁头的壳状物中的组件。所述头之后可以以环氧树脂灌装，从而对环境干扰提供安全屏障。0337例如钾等少量反应材料可以在灌装之前置于模块中，从而如果单元被拆动，则反应材料被曝光并且导致破坏敏感性电路组件的反应。此外，熔断器可以置于印制电路板上以允许对微控制器的编程和调试连接能够在产品的最终装配期间被破坏以避免访问单元的内部操作。
0338微控制器可以被配置为将编码在卡上的F2F数据解码并且使用算法将F2F数据解码为包括ISO 7811、 AAMVA、 JIS、 CDL、原始
数据和其他通用或定制格式的多个标准格式中的任意一种。转换后的轨迹数据可以然后被加密，例如使用之前存储在控制器的闪存中的两个64 位密钥。数据可以被压縮并且以多种格式中的一种输出。
0339数据输出格式可以使用头接口连接器选择引脚通过发送命令经过Rx数据引脚而选择。可以被选择的所述接口格式可以包括例如 1.sup,2C、 SPI、 NRZ、 USB和TTL时钟和数据。可以被支持的额外格式包括输出具有F2F格式的加密数据的格式，所述F2F格式与在和磁头输出兼容的信号水平处编码在卡上的格式相同。这种实施例可以用于允许常规装置使用安全头模块而不改变终端硬件、软件或固件(例如，除了头之外)。此外，安全头模块可以经由接口连接器Rx数据线或通过使用特定格式化的卡接受命令，所述卡被刷卡以执行命令。可以支持另一额外格式，其经由多种标准支持RF通信，例如蓝牙。数据可以被转换为适当格式并且发送到头模块内部的RF收发器或者通过接口连接器电缆连接到头模块。
0340这些技术可以被实施以允许多个应用中的命令操作，包括
例如WAP和Java或口袋PC痩客户机应用。除了所述的卡阅读器功能外，所述单元可以在接口连接器处提供通用目的的数字输入/输出引脚。这些引脚可以由定制应用控制，例如那些通过OEM集成模块在其产品中提供的定制应用。这些引脚连同增加定制应用固件到头模块中的能力允许增加的功能，没有这些选项，增加的功能就要求额外的处理器和电路。一个这种示例在串口 RS232独立的磁条阅读器中。增加的接口引脚可以用于控制状态指示器并且控制RS232输出驱动器。此外，定制固件可以被增加以输出供应者联合的信息并且支持定制格式，例如那些在会议中使用以跟踪出席者的定制固件。
0341在一个实施例中，网关从应用加密模块的多个装置接收交易请求。在银行卡交易的示例的一个实施例中，交易数据可以包括获取装置序列号，其跟随有包含刷卡的轨迹2数据连同时戳或交易号戳的加密数据的三个块。第二可选数据块可以被包括并且可以包含控制信息，用以增强服务器可选应用操作，例如卡真实性验证、发行贸易商和命令请求，例如改变密钥请求。三个可选纯文本字符可以用于表示序列号的开始、可选加密数据块的开始和交易块的末端。各种纯文本字符还可以用于表示各种加密选项，例如多个加密密钥和格式之间的选择。
0342在传输速度相当大的应用(例如在WAP应用)中，交易数据格式可以被调节为长度为三个字符的倍数。包括序列号、加密的数据块和纯文本字段的全部交易数据可以作为二进制数据被发送。这样，四十个数字轨迹2数据块可以在长度上从40字节被压缩为20字节。8数字序列号可以在长度上被压縮为3字节。这种转换的二进制数据可以被转换为与用于所选择的装置的有效键盘仿真兼容的格式。例如，在具有外部键盘支持的能够使用WAP的移动电话中，3字节的二进制数据可以被转换为4个主要的小写ASCII字符。使用这种技术，交易数据可以以38个字符被发送而不是在数据未被压縮时所要求的68 个字符。
0343在银行卡交易的示例中的另一个实施例中，交易数据可以包括终端或数据获取装置序列号，其跟随有包含刷卡的轨迹2数据连同时戳或交易号戳的3 DES加密数据的三个块。第二数据块可以包含刷卡(加密或不加密)的签名连同控制信息(加密或不加密)以增强服务器的可选应用操作，例如卡真实性验证、发行贸易商和命令请求，例如改变密钥请求。三个可选纯文本字符可以用于表示序列号的开始、可选加密数据块的开始和交易块的末端。各种纯文本字符还可以表示各种加密选项，例如多个加密密钥和格式之间的选择。
0344网关可以访问安全数据库，该安全数据库包含用于所有阅读器的被允许访问网关的密钥连同完成交易的信息，例如因特网URL 或由这种阅读器使用的交易处理服务器的电话号码。此外，网关可以访问数据库，该数据库包含有效安全条TM签名和鉴定解密密钥。在一个实施例中，作为交易的一部分以纯文本发送的阅读器序列号被用于访问用于阅读器轨迹签名块的密钥连同完成交易的信息，例如因特网URL或由这种阅读器使用的交易处理服务器的电话号码。所选择的密钥可以用于解码签名数据连同由来自卡数据账号的安全模块生成的散列代码。从卡数据生成的散列值可以用于将安全条数据库编索引以检索卡签名。数据库签名之后与解密的交易签名相比较并且基于该比较，交易被发送到在签名数据库中表示的处理银行或者消息被发送回卡持有人，该卡持有人请求验证卡的真实性，该验证可以是卡被再次刷取或输入额外信息的形式，额外信息例如为在交易被发送到使用标准格式的处理银行或被拒绝的地点的账单邮递区号。
0345在银行卡交易的示例中的另一个优选实施例中，交易数据可以包括其后跟随加密数据块的MSR序列号，该加密数据块包含被刷卡的轨迹信息连同时戳或交易号戳和GPS位置。第二数据块可以包含被刷卡的签名连同控制信息以增强服务器的可选应用操作，例如卡真实性验证、发行贸易商和例如改变密钥请求的命令请求。三个可选纯文本字符可以用于标志序列号的开始、可选加密数据块的开始和交易块的末端。
0346各种纯文本字符还可以表示各种加密选项，例如多个加密密钥和格式之间的选择。这种网关可以访问两个数据库，一个包含安全数据获取装置模块控制块密钥并且第二个包含有效签名(例如SECURESTRIPE签名)。在一个实施例中作为交易的一部分以纯文本发送的阅读器序列号可以用于访问用于阅读器轨迹控制和签名块的密钥。所述签名可以包括两个部分一部分是在刷卡期间生成的签名值并且第二部分是同样在刷卡期间生成的轨迹2卡数据的散列代码。散列值被用于对安全条数据库编索引以检索卡签名。这样，没有卡数据在安全服务器上可用。数据库签名之后与生成卡可靠性索引的解密的交易签名相比较，所述索引被发送到处理银行作为额外信息。
0347银行还接收可以包括交易时间、交易位置和安全模块的独特交易号的加密的卡数据。通过这些额外信息，银行可以在接受或拒绝所请求的交易之前进行更准确的交易真实性确定。
0348如本文所使用的，当指某个项目时的术语"一"或"一个" 不限于要求一个并且仅要求一个参考项目，并且除非上下文明确地规定，否则各种实施例可以包括额外的参考项目(或可替换的项目)。如本文所使用的，术语"模块"和"控制逻辑"用于说明可以根据本发明的一个或多个实施例执行的给定的功能单元。如本文所使用的，模块或控制逻辑可以使用任意形式的硬件、电路、处理系统、软件(包括固件)或其组合实施。在实施时，本文所述的各种控制逻辑块或模块可以被实施为分立组件或者所述的功能和特征可以在一个或多个模块和控制逻辑项目之中的部分或全部中共享。类似地，虽然给定项目可以被描述为模块，但是该项目本身可以包含执行期望功能的各种模块。在阅读本说明书后，本领域一个普通技术人员将清楚本文所述的各种特征和功能可以在任意给定应用中实施，可以实施在一个或多个分离或共享模块或逻辑中，以不同组合和排列。
0349在本发明的特征全部或部分地使用软件实施的情况下，在一个实施例中，这些元件可以使用计算系统实施，所述计算系统能够实现关于本文所述的功能。一种这样的示例性计算系统显示在图35中。各种实施例依据这种示例性计算系统900而描述。在阅读本说明书后，相关领域中的技术人员将清楚如何使用其他计算系统或架构实施本发明。
0350现在参考图35，计算系统900可以呈现为例如桌上型计算机、膝上型计算机和笔记本计算机、手持计算装置(PDA、移动电话、掌上型电脑等)、大型机、超型计算机、或服务器、或可能给定应用或环境期望或适合的任意其他类型的专用或通用目的的计算装
置。计算系统900可以包括一个或多个处理器，例如处理器904。处理器904可以使用通用或专用目的的处理引擎来实施，例如微处理器、控制器或其他控制逻辑。在图18中所示的示例中，处理器904被连接到总线902或其他通信介质。
0351计算系统900还可以包括主存储器908，优选为随机存取存储器(RAM)或其他动态存储器以存储待由处理器904执行的信息和指令。主存储器908还可以用于存储在执行由处理器904执行的指令期间的临时变量或其他中间信息。计算系统900可以类似地包括只读存储器("ROM")或耦合到总线902用于为处理器904存储静态信息和指令的其他静态存储装置。
0352计算系统900还可以包括信息存储机构910，其可以包括例如介质驱动器912和可移除的存储器接口 920。介质驱动器912可以包括驱动器或支撑固定或可移除的存储器介质的其他机构。例如，硬盘驱动器、软盘驱动器、磁带驱动器、光盘驱动器、CD或DVD驱动器(R或RW)、或其他可移除的或固定的介质驱动器。存储器介质 918可以包括例如硬盘、软盘、磁带、光盘、CD或DVD或由介质驱动器914读取或写入的其他固定或可移除介质。如这些示例所述，存储介质918可以包括具有存储于其中的特定计算机软件或数据的计算机可用的存储介质。
0353在替换的实施例中，信息存储机构910可以包括其他类似设施以允许计算机程序或其他指令或数据被加载到计算系统900中。这种设施可以包括例如可移除的存储单元922和接口 920。这种示例可以包括程序盒和盒接口、可移除的存储器(例如闪存或其他可移除的存储器模块)和存储器槽，以及其他可移除的存储单元922和允许软件和数据从可移除的存储单元918传递到计算系统900的接口 920。
0354计算系统900还可以包括通信接口 924。通信接口 924可以用于允许软件和数据在计算系统900和外部装置之间传递。通信接口 924的示例可以包括调制解调器、网络接口 (例如以太网或其他NIC 卡)、通信端口 (例如USB端口) 、 PCMCIA槽和卡等。经由通信端口 924传递的软件和数据具有信号的形式，该信号可以是电子、电磁、光学或其他能够由通信接口 924接收的信号。这些信号经由信道928 提供到通信接口 924。该信道928可以承载信号并且可以使用无线介质、电线或电缆、光纤或其他通信介质实施。信道的一些示例可以包括电话线、便携式电话链接、RF链接、网络接口、局域网或广域网以及其他通信信道。
0355在本文件中，术语"计算机程序介质"和"计算机可用介质"用于一般地指例如存储器908、存储装置918、安装在硬盘驱动器 912中的硬盘和信道928上的信号等介质。计算机可用介质的这些和其他各种形式可以被涉及承载一个或多个指令的一个或多个序列到处理器904以便执行。这种指令，一般称为"计算机程序代码"(其可以被分组为计算机程序形式或其他分组)，当被执行时，其使得计算机系统900能够执行本文所述的本发明的特征或功能。
0356在元件使用软件实施的实施例中，软件可以被存储在计算机程序介质中并且使用可移除的存储驱动器914、硬驱动器912或通信接口 924加载到计算机系统900中。当计算机程序逻辑(在本示例中，软件指令或计算机程序代码)由处理器904执行时，其使得处理器904 执行本文所述的本发明的功能。
0357虽然以上说明了本发明的各种实施例，但应该理解其仅通
过示例的方式被呈现，并且不作为限制。类似地，各种图示可以描述用于本发明的示例性架构配置或其他配置，制作这些附图用以帮助理解可以包括在本发明中的特征和功能。本发明不限制为所说明的示例性架构或配置，而是期望的特征可以使用多种替换的架构和配置实施。实际上，本领域技术人员将清楚如何可以实施替换的功能、逻辑或物理分割和配置以实现本发明期望的特征。同样，除本文描述的这些名称以外的多个不同的组成模块名称可以被提供到不同的分割物。此外，关于流程图，操作说明和方法权利要求、本文中呈现的步骤的次序，除非上下文指出，否则不应该要求各种实施例实施为以相同次序执行所述的功能。
0358虽然本发明以上依据各种示例性实施例和实施方式进行说明，但应该理解在一个或多个独立的实施例中说明的各种特征、方面和功能不限制为应用到被说明的特定实施例中，而是可以独立地或以一些组合应用到本发明的一个或多个其他实施例，无论这些实施例是否被说明并且无论这些特征是否被呈现为所述实施例的一部分。因此，本发明的宽度和范围不应该由任意上述示例性实施例限制。
0359除非特别说明，否则本文件中使用的术语和词汇及其变化应该被解释为开放性的而不是限制性的。如前述示例中术语"包括" 应该被读作意为"包括，不限于"或类似含义；术语"示例"用于提供讨论的项目的示例性例子，而不是其专有或限制性列表；并且形容词例
如"常规的"、"传统的"、"通常的"、"标准的"、"已知的"和类似含义的术语不应该解释为将所述项目限制为给定时期中或给定时间可用的项目，而是应该被读作涵盖现在或未来的任意时间可获得或已知的常规的、传统的、通常的或标准的技术。类似地，在本文件涉及本领域一个普通技术人员清楚或已知的技术的地方，这种技术涵盖现在或未来的任意时间技术人员清楚或己知的技术。
0360除非特别声明，否则以连词"和"连接的一组项目不应该被读作要求这些项目中的每一个均呈现在组中，而是应该被读作"和/ 或"。类似地，除非特别声明，否则以连词"或"连接的一组项目不应该被读作要求组中的相互排斥，而是同样应该被读作"和/或"。此外，虽然本发明的项目、元件或组件可以被说明或要求为单个，但它们之中的多个也被预期在本发明的范围内，除非明确声明限制为单个。
0361在一些例子中的例如"一个或多个"、"至少"、"但不限制为"或其他类似的词汇等宽泛词语和词汇的存在不应该被读作意为在不存在这些宽泛词汇的情况下，意图或要求更窄的情况。术语"模块"和"装置"等术语的使用或图示中的框的描述不暗示作为该项目一部分的所述或所要求的组件或功能全配置在共同的封装中。实际上，项目的任一或全部的各种组件，无论是控制逻辑还是其他组件，均可以被组合在单个封装中或被分开地保持并且可以进一步横跨多个位置分布。类似地，多个项目可以被组合到单个封装或位置中。
0362此外，本文提出的各种实施例依据示例性框图、流程图和其他说明而描述。在阅读本文件后，本领域一个普通技术人员将清楚示例性实施例及其各种可替换的实施例可以在不被限制到示例性示例的情况下被实施。例如，框图及其所附说明不应该被解释为要求特定的架构或配置。
权利要求
1.一种卡条读取头，包括外壳；检测器，该检测器的至少一部分包装在所述外壳内，所述检测器被配置为检测磁卡数据并且生成代表所述卡数据的信号；以及加密引擎，其置于所述外壳的外部并且与所述检测器通信联系，所述加密引擎被配置为加密所述卡数据中的至少一部分并且生成包括加密的卡数据的信号。
2. 根据权利要求l所述的卡条读取头，其中生成的所述信号模拟常规读取头的输出。
3. 根据权利要求l所述的卡条读取头，其中所述加密引擎被配置为将加密的信号转换为遗留的售卖点装备可读取的格式。
4. 根据权利要求l所述的卡条读取头，其中生成的所述信号包含序列号和所述卡数据。
5. 根据权利要求l所述的卡条读取头，其中生成的所述信号包括状态数据。
6. 根据权利要求1所述的卡条读取头，其中所述加密引擎基于对称的加密密钥加密所述卡数据。
7. 根据权利要求l所述的卡条读取头，其中所述加密引擎使用公共密钥加密格式应付用于加密所述卡数据的对称的私有密钥。
8. 根据权利要求1所述的卡条读取头，其中生成的所述信号被格式化以包括常规卡轨迹格式的纯文本数据和加密的数据。
9. 根据权利要求1所述的卡条读取头，其中所述卡数据包括控制数据。
10. 根据权利要求1所述的卡条读取头，其中被配置为检测磁卡数据的所述检测器置于遗留的终端软件内。
11. 一种用于保护由终端处的代币阅读器读取的代币数据的方法，该方法包括在所述终端中通过代币阅读器检测代币数据；在所述代币阅读器的外壳内生成代表变换的信号；以及在所述终端内且在所述读取头外部加密代表所述变换的所述信号的至少一部分。
12. 根据权利要求11所述的保护代币数据的方法，其中加密的信号被格式化以由遗留的售卖点装备读取。
13. 根据权利要求11所述的保护代币数据的方法，其中加密的信号模拟常规代币阅读器的输出。
14. 一种读取用于金融交易中代币的终端，该终端包括检测器，该检测器的至少一部分包装在所述终端内的外壳内，所述检测器被配置为从所述代币读取代币数据并且生成代表所述卡数据的信号；以及加密引擎，其通信地耦合到所述检测器并且置于所述外壳的外部，所述加密引擎被配置为加密所述信号中的所述代币数据的至少一部分并且生成包括加密的代币数据的第二信号。
15. 根据权利要求14所述的终端，该终端进一步包括与所述加密引擎通信地耦合并且置于所述外壳内的通信模块，所述通信模块被配置为将所述第二信号传输到交易处理网络，用于金融交易。
16. 根据权利要求14所述的终端，其中所述加密引擎被配置为生成加密的信号，该加密的信号处于遗留装备可读的格式。
17. 根据权利要求14所述的终端，其中所述加密引擎被配置为将所述第二信号提供为遗留的售卖点装备可辨识的格式。
18. 根据权利要求14所述的终端，其中所述检测器和所述加密引擎均由环氧树脂包裹。
19. 根据权利要求14所述的终端，其中所述检测器包括卡条阅读器、光学检测器或RFID检测器。
20. 根据权利要求14所述的终端，其中生成的所述第二信号包括序列号，该序列号包括在加密的代币数据中。
21. 根据权利要求14所述的终端，其中所述加密引擎基于对称的加密密钥加密所述卡数据。
22. 根据权利要求14所述的终端，其中所述加密引擎使用公共密钥加密格式应付用于加密所述卡数据的对称的私有密钥。
23. 根据权利要求14所述的卡条读取设备，其中生成的信号被格式化以包括常规卡轨迹格式的纯文本数据和加密的数据。
全文摘要
提供用于执行代币访问交易的结算的系统和方法。在一个实施例中，本发明规定处理银行卡和其他代币交易，包括接收用于多个交易的交易记录，其中至少一些所述交易记录包括加密的代币信息；确定所述记录是否包含加密的代币信息；解密交易记录的加密的代币信息，所述交易记录被确定具有加密的代币信息；并且提供通过解密交易记录的加密的代币信息而获得的纯文本代币信息，用于交易结算。
文档编号H04K1/00GK101563870SQ200780046602
公开日2009年10月21日申请日期2007年10月17日优先权日2006年10月17日
发明者C·W·沃穆勒, P·K·哈泽尔, P·凯提拉, S·R·耶鲁申请人:塞姆泰克创新解决方案公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：C.W.沃穆勒;S.R.耶鲁;P.K.哈泽尔;P.凯提拉
技术所有人：塞姆泰克创新解决方案公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。