专利名称:使用通用id和生物特征的方法和系统的制作方法
使用通用ID和生物特征的方法和系统相关申请的交叉引用本非临时申请请求在35 U.S.C §120下于2010年9月24日提交的、标题为“使用通用ID和生物特征的方法和系统(Method and System Using Universal ID andBiometrics)”、编号为61/386,432的美国临时专利申请的权益,在此通过引用合并其全文以用于所有目的。
背景技术:
对金融服务的有限访问对于寻求对其居民进行授权的新兴市场提出了一个问题。例如,一些市场无法为居民提供对银行或自动取款机(ATM)的便捷访问以管理他们的财务状况。适应这些市场的常规方法是利用微ATM,这些微ATM支持无网点银行业务并可位于不同的非银行位置。微ATM可具有读取常规信用卡和借记卡以及其他便携式消费电子设备的能力。微ATM可向以其他 方式不能访问金融机构的那些人提供金融服务,但也有一些缺点。缺点之一在于缺乏强健的安全性。在微ATM系统中有很多发生欺诈行为的机会,并且通常没有任何高度可靠的适当的系统以验证微ATM的用户身份。本发明的实施例解决了这些问题和其它问题。发明概述一些地区正在实施识别系统,可提供处理以验证区域居民。这方面的一个例子是可以给予每个居民的通用(universal)识别符(“UID”)。该识别系统可与传统的支付处理网络处理流程合并或被用于结合传统的支付处理网络处理流程中以廉价地且有效地使用现有商业或政府系统来验证用户。识别系统的使用可以降低与电子交易相关的成本和风险。识别系统可利用生物特征(biometric)数据,诸如指纹、视网膜扫描以降低欺诈可能性。公开了一种通用ID和生物特征系统和操作方法。一种方法包括:在支付处理网络中接收来自用户的认证请求消息。所述认证请求消息可以包括第一标识符和第二标识符,其中所述第一标识符例如可以是银行识别号(BIN)且第二标识符可以包括生物特征数据。所述方法进一步包括根据第一标识符确定所述通用识别号(WD)并向识别系统发送生物特征数据和UID以确定生物特征数据和UID是否具有预定的相关性。该方法进一步包括:如果识别系统确定第二和第三标识符具有预定相关性,则接收用户认证的确认。在进一步的实施例中,所述方法包括:如果确认认证则接收认证请求以处理用户事务(例如,借方交易)。下面进一步详细描述这些实施例和其它实施例。附图简述
图1是根据本发明的一个实施例的通用ID和生物特征系统的简化框图。图2A是示出了根据本发明的一个实施例的用于认证用户的方法的简化流程图。图2B是示出了根据本发明的一个实施例的认证和授权用户金融交易的方法的简化流程图。
图3是示出根据本发明的一个实施例用于同时认证和授权用户金融交易的方法300的简化流程图。图4A是示出根据本发明的一个实施例用于认证和授权用户金融交易的方法400的简化流程图。图4B是示出根据本发明的一个实施例用于认证用户的方法480的简化流程图。图5是根据本发明的一个实施例的终端120的简化框图。图6是根据示例性实施例的计算机装置的示意图。发明详述本发明的实施例一般涉及支持通用ID和生物特征数据的系统、系统体系结构和方法。本发明的某些实施例涉及授权和认证用户以完成帐户交易。在某些实施例中,授权处理是指处理用户事务。例如,用户可在终端(例如,自动取款机或ATM)处划刷付款设备以执行金融交易。此外,用户输入可包括其指纹或视网膜扫描的生物特征数据。授权处理的一个方面是确定该用户是否有足够的资金来完成金融交易。认证过程的一个方面是确定用户是他们所声称的人。在某些实施例中,用户在终端处划刷支付设备以从他们的银行帐户存取资金(交易请求)。该终端将提示用户输入他们的支付设备数据(例如,银行识别号码或“BIN”)和生物特征数据(例如,指纹数据)。终端向收单方(例如,与该终端相关联的银行)发送BIN和生物特征数据以及交易请求。收单方接着向支付处理网络(例如,VisaNet )发送BIN、生物特征数据和交易要求。在实施例中,支付处理网络基于BIN来确定用户的WD。然后,支付处理网络向识别系统发送UID和生物特征数据以确定UID和生物特征数据是否匹配数据库中存储的UID和生物特征数据(即,是否用户数据和存储的数据在一定程度的精度内相关)。如果数据相关,认证用户身份并且识别系统将结果发送给支付处理网络。一旦用户通过认证,支付处理网络向发行方(即发行用户支付设备的银行)发送交易请求以处理授权请求。如果用户有足够的资金来完成交易请求,发行方执行交易,并发送消息给终端以向用户提供资金。应当指出:这个特定实施例仅仅是下文进一步详述的认证和授权过程的许多可能性和排列之一。在讨论本发明的具体实施例之前,为了更好地理解本发明实施例可提供某些术语的进一步描述。“支付设备”可包括能够进行支付的任何合适设备。例如,支付设备可以包括卡,卡包括信用卡、借记卡、收费卡、礼品卡或它们的任意组合。“支付处理网络”(如VisaNet )支付处理网络可包括用于支持和传送授权服务、异常文件服务、结算及清算服务的数据处理子系统、网络和操作。示例性的支付处理网络可包括VisaNet 。诸如VisaNet 的支付处理网络能够处理信用卡交易、借记卡交易以及其他类型的商业交易。VisaNet 特别地包括处理授权请求的VIP系统(Visa集成支付系统)和执行结算及清算服务的Base II系统。“授权请求消息”可以包括授权进行电子支付交易的请求。它可以进一步包括发行方账户标识符。发行方账户标识符可以是与支付卡相关联的支付卡账户标识符。授权请求消息可请求支付卡的发行方授权交易。根据本发明实施例,授权请求消息可以符合IS08583,其是卡持有者使用支付卡交换电子交易的系统的标准。“授权响应消息”可以是包括授权代码的消息,并且可以典型地由发行方来生成。在本发明的一些实施例中,“交易响应”可能是授权响应消息。“认证请求消息”可以是包括用户身份识别信息的消息。通常情况下,认证请求消息用于执行安全功能,其中系统可基于用户身份识别信息来确定用户是声称的谁。例如,认证请求消息可以包括通用标识(WD)以及用户的生物特征数据(例如,指纹)。在实施例中,识别系统将接收认证请求消息,并将UID和生物特征数据与第二组生物特征数据进行比较以确定是否存在两组数据之间的匹配(即,预定精度内的相关性)。“认证响应消息”可以是来自识别用户是否被认证的识别系统的消息。通常情况下,从识别系统向支付处理网络、收单方或发行方发送认证响应消息。“服务器计算机”可以是功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型机群集或作为一个单元而工作的一组服务器。在一个示例中,服务器计算机可以是连接到Web服务器的数据库服务器。“终端”(例如,服务点(POS)终端)可以是任何合适的设备,经配置进行支付交易(诸如信用卡或借记卡交易)或电子结算交易,并可能具有光、电或磁阅读器,用于从其他便携式消费电子设备(诸如智能卡、钥匙扣设备、手机、缴费卡、安全卡、门禁卡等)读取数据。“微ATM”终端可以是业务对应方(BC)所使用的设备,用以向用户递送基本银行服务,并提供在线的可互操作的低成本的支付平台以在某些情况下服务非常规地方(例如,农村地区,很少或根本没有商业开发的地区,等等)的人fl]。此外,微ATM可以支持无网点银行业务并位于各种非银行位置。在一些实施例中,微ATM可结合通用ID和生物特征系统。微ATM可具有读取常规信用卡和借记卡上的磁条以及便携式消费电子设备的能力。“商业对应方”或“BC”可具有和金融机构或支付处理网络的合同关系或义务。“收单方”是通常与商家有业务关系并从商家接收部分或全部交易的商业实体(例如,商业银行)。“发行方”是向持卡人发行卡片的商业实体。通常情况下,发行方是金融机构。“生物特征数据”包括可被用于根据一个或多个先天的物理或行为特征来唯一标识个人的数据。例如,生物特征数据可以包括指纹数据和视网膜扫描数据。生物特征数据的另外例子包括数码照片数据(例如,面部识别数据),脱氧核糖核酸(DNA)数据,掌纹数据,手部几何数据和虹膜识别数据。如本文所述,“预定相关性”可以是所接收的输入数据和所存储数据之间的关系。在本发明的上下文中,根据实施例,所接收的输入数据可以是来自用户的银行识别号(BIN)和生物特征数据。例如,所存储数据可以是先前存储的用户的UID或BIN和生物特征数据。该预定相关性可以是预设定的阈值,用于标识或量化所接收的输入数据和预先存储的输入数据应匹配多少。如果所接收的输入数据和先前存储的输入数据根据预定阈值或“相关性”匹配,则该数据被认为是匹配的。例如,指纹中含有一定数量的识别特征。如果指纹的大量识别特征匹配于所存储的指纹,那么,这两个指纹是来自同一个人的概率可能会很高。同样,如果两个指纹之间极少识别特征匹配,则它们来自同一人的概率低。本领域的普通技术人员之一应该懂得设置合适的阈值以确保在可接受的精度水平。预定相关性的一个例子可以是对两个指纹之间的特征匹配的特定数目的要求。作为例证,如果所存储的指纹图像和所接收的指纹图像的特征超过70%匹配,则所接收到的指纹与所存储的指纹可满足预定相关性。如果所存储的指纹图像和所接收的指纹图像的特征数目有小于70%的共同特征,则预定相关性无法得到满足。这个概念可以适用于其他的生物特征数据(例如,视网膜扫描)。在本发明的上下文中,如下面进一步描述的,预定相关性是一组WD和生物特征数据以及第二组WD和生物特征数据之间的匹配标准。图1是根据本发明的一个实施例的通用ID和生物特征系统100的简化框图。该系统100包括支付设备110、终端120、收单方125、支付处理网络140、发行方160和识别系统175。收单方进一步包括收单方计算机130。支付处理网络140包括WD相关数据库156、请求服务器计算机152以及授权和结算服务器154。识别系统175包括标识(“ID”)服务器计算机170和通用标识(“WD”)以及生物特征数据库172。在一些实施例中,支付处理网络140被称为多侧开关。在进一步的实施例中,UID相关数据库156可以在物理上位于支付处理网络140 (未示出)以外。在实施例中,支付设备110与终端120电子通信。支付设备110可以包括信用卡、借记卡、收费卡、礼品卡、电汇汇票、旅行支票、汇票或它们的任意组合。在其它实施例中,支付设备可用于结合货币或点数(例如,在特定软件应用程序中累积的点数)的交易。可替换地,支付设备可以是个人数字助理(“PDA”),移动蜂窝电话或类似物。在进一步的实施例中,支付设备可以是无线设备、非接触式设备、磁设备或本领域普通技术人员之一受益于本公开所知道和理解的其他类型的支付设备。在进一步的实施例中,支付设备110是不需要的。例如,可以通过其他方式(例如,数字钱包)来提供BIN或其他标识信息。终端120经配置以与支付设备110及收单方计算机130进行电子通信。在一个实施例中,终端120是微自动取款机(“ATM”)。微自动取款机通过收集和使用各种形式的标识(包括用户的WD、用户的生物特征数据,或银行识别码(“BIN”))而允许客户执行金融交易。WD、生物特征数据、BIN和其他识别数据可被称为标识符。在一实施例中,终端120具有读取如上所述的常规信用卡/借记卡上的磁条(例如,BIN)或类似便携式消费电子设备(诸如移动电话)的能力。在一些实施例中,“第一标识符”可以是任何合适类型的帐户信息,其可以被用于识别该账户或与该帐户相关的个人。第一标识符的例子可以包括BIN(银行识别码)、CVV(卡验证值)、到期日期、电话号码、地址,等等。此外,在一些实施例中,“第二标识符”可以包括任何合适的生物特征数据。“第三标识符”可以包括UID或通用ID,诸如社会保障号码、驾驶证号码、护照号码,等等。这些通用ID受到政府的普遍认可,他们可以唯一地标识金融部门外的个体。用户的生物特征数据可以包括指纹数据、视网膜扫描数据、数字照片数据(例如,面部识别数据)、DNA数据、掌纹数据、手部的几何数据、虹膜识别数据,或本领域普通技术人员之一受益于本公开所理解的其它类似的生物特征标识符。在实施例中,微ATM由银行直接部署或由银行通过服务提供商部署。在另一个实施例中,微ATM终端120可由个人或业务对应方(“BC”)操作。BC可与支付处理网络140(例如,VisaNet )具有合同关系或义务,或可由银行委任以提供使用微ATM的银行服务,包括(但不限于)接受存款、分配现金提款、处理资金转帐以及余额查询回答。在实施例中,微ATM终端120经配置以向收单方计算机130传送WD、BIN、生物特征数据,等等,用于进一步的处理。根据本发明实施例,收单方计算机130是收单方125 (即,收单方银行)的一个组成部分。收单方125是和BC具有合约关系的实体。收单方125可以起生物特征分析实体的作用。收单方计算机130可经配置以向支付处理网络140传输识别(例如,UID、BIN、生物特征数据,等等)和金融信息。在一些实施例中,收单方125并不需要存在于通用ID和生物特征系统100中以向支付处理网络140传输金融和用户标识数据。在进一步的实施例中,收单方计算机130经配置以直接向ID服务器计算机170传输金融和用户标识数据,正如下面结合图2B进一步讨论的。在一个非限制性的例子中,收单银行125可额外地根据观察各单检查用户的凭据以防止欺诈和洗钱计划,正如本领域的普通技术人员之一所理解的。支付处理网络140的各种组件经配置以将BIN关联于UID号,向ID服务器计算机170传输WD号和生物特征数据(“认证数据”)以对用户进行认证,与发行方160通信以实施或“授权”交易,并将授权和认证结果传递返回給终端120上的用户,这取决于交易类型和定时。在一个实施例中,支付处理网络140是VisaNet ,其中Visa国内处理(VIP)进行本文所述的各种支付处理网络140或多侧开关功能。在一个实施例中,授权和结算服务器(“授权服务器”)154执行支付授权功能,如结合图2B将要讨论的那样。授权服务器154经进一步配置以基于终端120处输入的BIN来确定用户的WD。授权服务器查询UID相关数据库156以返回与用户的BIN相关联的WD。在实施例中,UID相关数据库156经配置以将用户支付设备映射到WD。UID相关数据库156可以位于支付处理网络140内。在另一实施例中,UID相关数据库156位于云服务器(未示出)内。授权服务器154进一步被配置为向发行方160发送和接收授权数据。在一实施例中,请求服务器计算机152经配置以查询ID服务器计算机170以基于用户UID号和生物数据识别数据(认证数据)来认证用户。请求服务器计算机152可以被配置为以各种通信协议来格式化认证请求。例如,请求和响应消息(认证请求)可以是可扩展标记语言(XML)、超文本传输协议安全(HTTPS),或以本领域技术人员已知的其他传输方式。或者,请求服务器计算机152可能是WD网络服务代理计算机。此外,认证数据可以包括人口统计信息或本领域普通技术人员之一所知和理解的其他用户识别信息。该识别系统175的ID服务器计算机170经配置以接收来自支付处理网络140的UID和生物特征数据并将来自支付处理网络140的UID和生物特征数据与UID和生物数据识别数据库172中存储的用户UID和生物特征数据进行比较以确定是否存在匹配。ID服务器计算机170可以由和支付处理网络140分离的独立实体来管理。在一个实施例中,识别系统175由政府实体来管理。政府实体可以在交易之前用识别系统175来登记用户以获取识别信息,诸如生物特征数据。使用独立实体(例如,政府实体)来验证用户身份的一大优势在于向用户和发行方160两者均提供更高的安全性,从而减少欺诈事例。在一些实施例中,ID服务器计算机170可以直接从终端120、收单方125和发行方160接收用户认证数据(UID和生物特征数据)。UID和生物体数据库172位于识别系统175内。在另一实施例中,UID和生物特征数据库172位于云服务器(未示出)内。在某些实施例中,用户的社会保障号(SSN)可以取代UID使用或与WD结合使用。此外,应当理解,本文描述的各种实施例可以被修改以包括用户SSN来作为用户标识符。
在一个实施例中,发行方160经配置以从所述授权服务器154接收授权数据。发行方160从请求服务器计算机152接收认证数据并基于用户是否由识别系统175认证而确定用户是否被授权执行给定的金融交易(例如,现金存款/取款、转账、余额查询)。如果识别系统175认证该用户(S卩,UID和生物特征数据匹配该用户),则发行方160授权金融交易。在其它实施例中,除了确定是否授权该金融交易的认证外,发行方160可考虑其他因素。例如,正如本领域技术人员之一受益于本公开所理解的,也可以使用用户的地理位置、交易量、交易历史或其他计量体系。在另一个实施例中,识别系统175可以考虑确定用户是否被认证的上述各种其他因素(例如,地理位置、交易量、交易历史,等等)。为了说明系统100操作的一个实施例,支付处理网络140可以接收源自用户的认证请求消息,该认证请求消息包括第一标识符(例如,BIN)和生物特征标识符。支付处理网络140可经配置以根据第一标识符来确定第三标识符(例如,UID)。支付处理网络140经配置以向识别系统175的第一服务器计算机170发送第二和第三标识符,以确定第二和第三标识符是否具有预 定相关性。如果识别系统确定第二和第三标识符具有预定相关性,则支付处理网络140经进一步配置以从第一服务器170接收用户被认证的确认。为了说明识别系统175的一个方面,某些实施例可以执行一种方法,包括:在数据库中存储第一标识符和第一组生物特征数据,以及从第一服务器接收认证请求消息,其中认证请求消息包括第二标识符和第二组生物特征数据。该方法进一步包括:根据预定阈值来确定第二标识符和第二组生物特征数据是否匹配于第一标识符和第一组生物特征数据,并生成认证响应消息,认证响应消息指示根据该预定阈值第一和第二组生物特征数据是否匹配。在进一步的实施例中,识别系统175向第一服务器发送认证响应消息。图2A是示出了根据本发明的一个实施例的用于认证用户的方法200的简化流程图。可由包含硬件(电路、专用逻辑电路,等等)、软件(如通用计算系统或专用机器上运行的)、固件(嵌入式软件)或其任意组合的处理逻辑来执行方法200。在一个实施例中,方法200由图1的请求服务器计算机152来执行。在另一实施例中,所述方法200由支付处理网络140和其中的各种组件来执行。参见图2A,方法200包括:请求服务器计算机152通过终端120和收单方计算机130接收来自用户的认证请求消息(s210)。根据实施例,该认证请求消息包含用户的银行卡号(或其他账户标识符)和生物特征数据(例如,指纹数据、视网膜扫描数据,等等)。在其它实施例中,该认证请求消息可以包括人口统计数据、地理数据、或认证用户有关的其他数据,如本领域普通技术人员之一受益于本公开所理解的。在步骤s215处,请求服务器计算机152通过查询WD相关数据库156来确定用户的nD,以返回与用户的银行卡或BIN相关联的nD。一旦用户的UID被确定,该请求服务器计算机152向ID服务器计算机170发送包括该用户的UID和生物特征数据的认证请求消息,以确定WD、生物特征数据和用户之间是否有预定的相关性(s220)。ID服务器计算机170通过比较用户数据(UID和生物特征数据)与UID和生物特征数据库172中的数据而执行相关性。UID和生物特征数据库172典型地具有已经存在的数据库,包括系统100的预期用户的UID和生物特征信息。请求服务器计算机152从识别系统175的ID服务器计算机170接收结果(S卩,认证应答消息)(s225),并且如果WD和生物特征数据(s230)之间存在预定相关性,则对用户进行认证。在一些实施例中,支付处理网络140可以具有向识别系统175发送认证请求的其他服务器计算机和系统。在进一步的实施例中,该请求服务器计算机152可以考虑除了从识别系统175接收到的认证结果以外的其他因素以确定所述用户是否被认证,如上所述。在一些实施例中,BIN或用户信用卡可称为第一标识符,生物特征数据可称为第二标识符,并且UID可称为第三标识符。应当理解的是,图2A中示出的具体步骤提供了根据本发明实施例的在系统100中认证用户的特定方法。根据替代的实施例,也可以执行其他的步骤序列。例如,本发明的可替换实施例可以不同的顺序来执行上面概述的步骤。此外,图2A中示出的单个步骤可包括多个子步骤,可以对单个步骤而言适当的各种序列来执行多个子步骤。此外,可依据特定的应用而添加或移除额外的步骤。本领域的普通技术人员之一将认识到并理解方法200的许多变化、修改和替代。图2B是根据本发明实施例的例示用于认证和授权用户金融交易的方法250的简化流程图。可由包含硬件(电路、专用逻辑电路,等等)、软件(如通用计算系统或专用机上运行的)、固件(嵌入式软件)或其任意组合的处理逻辑来执行方法250。在一个实施例中,所述方法250由图1的请求服务器计算机152来执行。在另一个实施例中,所述方法250由支付处理网络140和其中的各种组件来执行。参见图2B,该方法250包括请求服务器计算机152,请求服务器计算机152通过终端120和收单方计算机130(s260)接收来自用户的认证请求消息和授权请求消息。认证请求消息包含用户的银行卡号码和生物特征数据(例如,指纹数据、视网膜扫描数据,等等)。在其它实施例中,该认证请求消息可包括人口统计数据、地理数据、或认证用户相关的其他数据,如本领域普通技术人员之一受益于本公开所理解的。在替换实施例中,系统100不具有收单方125或收单方计算机130。在步骤s265处,请求服务器计算机152通过查询UID相关数据库156来确定用户的nD,以返回与用户的银行卡或BIN相关联的nD。一旦用户的UID被确定,该请求服务器计算机152就向ID服务器计算机170发送包括用户UID和生物特征数据的认证请求,用以确定WD、生物特征数据和用户之间是否具有预定的相关性(s270)。ID服务器计算机170通过比较用户数据(UID和生物特征数据)与WD和生物特征数据库172中的数据而执行相关性。请求服务器计算机152从识别系统175的ID服务器计算机170接收结果(即,认证响应消息)(s275),并且当UID和生物特征数据之间若存在相关性时认证用户(s280)。在一些实施例中,支付处理网络140可以具有向识别系统175发送认证请求的其他服务器和系统。在进一步的实施例中,该请求服务器计算机152可以考虑除了从识别系统175接收到的认证结果的其他因素以确定所述用户是否被认证,如上所述的。在实施例中,用户BIN、信用卡号、生物特征数据等可以被称为标识符。在一个非限制性的例子中,用户信用卡号是第一标识符,生物特征数据是第二标识符,而WD是第三标识符。在步骤s285处,支付处理网络140请求来自发行方160的对交易的授权。在一些实施例中,授权请求消息可以源自请求服务器计算机152、授权和结算服务器154,或支付处理网络140内的其他的服务器或系统。如上所述,该授权清求消息可以包括金融交易数据。在一个实施例中,认证请求消息是以授权请求消息的形式。换句话说,用户发送包括编码在其中的认证信息的授权请求消息(即,认证数据嵌入到授权请求消息内)。例如,该授权请求消息可以包括交易数据,诸如源自付款设备的信息(例如,账户标识符)、终端数据、交易金额、以及可添加到其中的认证数据。根据一些实施例,认证数据(例如,BIN和生物特征数据)被存储在授权请求消息内的一个或多个阵列或数据字段内。在其它实施例中,认证数据可以被预置或被附加到授权请求消息。此外,可以动态地对认证数据进行加密或可由干预系统(例如,收单方)来增加加密。在某些实施例中,支付处理网络140从授权请求消息中提取认证清求消息,并向ID服务器计算机170发送认证信息(例如,UID和生物特征数据),如上所述。在步骤s290处,支付处理网络140从发行方160接收授权响应。在实施例中,如果发行方160确定所述用户还未被认证,支付处理网络140就接收否定的授权响应,如上关于步骤s270 s275所述的。在一些实施例中,如果用户的UID和生物特征数据是不相关的,用户就不被认证。在其它实施例中,可以考虑除了用户的WD和生物统计数据之外的其他标准以确定用户是否被认证,例如地理信息、帐户余额、帐户历史和本领域技术人员之一受益于本公开所知道和理解的其它参数。在进一步的实施例中,如果用户被认证并被允许进行特定金融交易,支付处理网络140就接收肯定的授权响应。例如,如果用户试图从余额为十美元的帐户取出一百美元,则授权失败但认证有效。在步骤s295处,支付处理网络140向用户发送授权结果。在实施例中,在处理用户发起的交易(例如,金融交易)之前,系统100需要终端120处的授权。在其它实施例中,一旦支付处理网络140接收肯定的认证和授权信息,则系统100可以处理金融交易。在进一步的实施例中,一旦发行方160接收肯定的认证和授权信息,则系统100处理金融交易。应当理解的是,根据本发明实施例,图2B中示出的具体步骤提供了在系统100中认证用户的特定方法。根据替代的实施例,也可以执行其他的步骤序列。例如,本发明的替代实施例可以以不同的顺序来执行上面概述的步骤。此外,图2B中示出单个步骤可包括多个子步骤,可以对单个步骤而言适当的各种序列来执行多个子步骤。此外,可依据特定的应用而添加或删除额外的步骤。本领域的普通技术人员之一将认识到并理解方法250的许多变化、修改和替代。图3是一个简化的流程图,示出了根据本发明实施例的用于同时认证和授权用户金融交易的方法300。方法300可由包含硬件(电路、专用逻辑电路,等等)、软件(如通用计算系统或专用机上运行的)、固件(嵌入式软件)或其任意组合的处理逻辑来执行。在一个实施例中,方法300由图1的请求服务器计算机152来执行。在另一个实施例中,方法300由支付处理网络140和其中的各种组件来执行。参见图3,方法300包括请求服务器计算机152,请求服务器计算机152通过终端120及终端125的收单方计算机130接收来自用户的认证请求消息和授权请求消息(s310)。认证请求消息包含用户银行卡号和生物特征数据(例如,指纹数据、视网膜扫描数据,等等)。在其它实施例中,该认证请求消息可包括人口统计数据、地理数据、或本领域普通技术人员之一受益于本公开所理解的与认证用户相关的其他数据。在替换实施例中,系统100不具有收单方125或收单方计算机130。在步骤s320处,请求服务器计算机152通过查询UID相关数据库156来确定用户的nD,以返回与用户的银行卡或BIN相关联的nD。一旦用户的UID被确定,该清求服务器计算机152就向ID服务器计算机170发送包括用户UID和生物特征数据的认证请求,以确定WD、生物特征数据和用户之间是否具有预定相关性(s330),如上关于图2B所述的。
在步骤S340处,支付处理网络140继续请求交易授权的处理,并向发行方160转发该授权请求消息。在一些实施例中,授权请求可源于终端120,以及请求服务器计算机152、授权和结算服务器154、或支付处理网络140内的其他的服务器或系统。在一个实施例中,授权请求和认证请求消息由支付处理网络140同时发送或提交。为了降低整体交易时间,支付处理网络140可以并行地向识别系统175和发行方160发送这两个请求消息,而不是在向发行方160发送授权请求消息之前等待来自识别系统175的认证响应消息。支付处理网络140可从识别系统175及发行方160接收响应消息。发行方160可以生成单一授权响应消息,该单一授权响应消息经由收单方计算机125被发送到终端120。该授权响应消息可以包括交易是否被授权的指示,并且还可选地含有认证处理的结果。示例性地,在一个实施例中,识别系统175可较之于授权处理而言更缓慢地执行各种认证功能,从而成为整个交易的“瓶颈”。为了帮助减轻与认证过程相关联的较长延迟,在从识别系统175接收到具有认证结果的认证响应消息之前,支付处理网络140向发行方160发送授权请求消息。结果,认证和授权的请求消息被并行处理。换句话说,在UID和生物特征数据被发送到识别系统175进行认证的实质上相同的时间(即,同时)处,支付处理网络140向发行方160发送金融交易数据(即,授权请求)。在一个替换实施例中,在授权请求被发送到发行方160之前,认证请求被发送到识别系统175。在另一个实施例中,在认证请求被发送到识别系统175之前,授权请求被发送到发行方160。在步骤s350处,支付处理网络140从发行方160接收包括授权结果的授权响应消息。在一些实施例中,在从识别系统175接收到具有认证结果的认证响应消息之前,支付处理网络140可以从发行方160接收包括授权结果的授权响应消息(步骤s360)。在其他实施例中,在接收具有认证结果的认证响应消息之后,支付处理网络140可从发行方160接收具有授权结果的授权响应消息。在步骤s370处,如果用户由识别系统175认证且交易由发行方160授权,则支付处理网络140完成金融交易。在替换 实施例中,系统100中的其他组件(即,收单方125、终端120和发行方160)可以向识别系统175而不是向支付处理网络140发送上述认证数据。同样,其他组件可以并行地以及以本文所述的所有各种排列来处理上述的授权和认证请求。应当理解的是,根据本发明实施例,图3中示出的具体步骤提供了一种在系统100中认证用户的特定方法。根据可替代实施例,也可以执行其他的步骤序列。例如,本发明的替代实施例可以以不同的顺序来执行上面概述的步骤。此外,图3中示出单个步骤可以包括多个子步骤,可以对单个步骤而言适当的各种序列来执行多个子步骤。此外,可依据特定的应用而添加或移除额外的步骤。本领域普通技术人员之一将认识到并理解方法300的许多变化、修改和替代。图4A是示出根据本发明实施例的用于认证用户以及授权交易的方法400的简化流程图。方法400可由包含硬件(电路、专用逻辑电路,等等)、软件(如通用计算系统或专用机上运行的)、固件(嵌入式软件)或其任意组合的处理逻辑来执行。在一个实施例中,方法400由图1的终端120来执行。参见图4A,方法400包括用户(S卩,持卡人)在终端120处输入支付设备110数据(例如,银行卡、借记卡,等等)。终端(步骤s410)收集用户识别信息,包括银行卡数据、用户数据,等等。在一些实施例中,终端120可以是Micro-ATM终端、BC (商业对应方),等等,如上关于图1所述的。在步骤s420处,终端120向用户提示需要生物特征数据。用户进行输入生物特征数据,生物特征数据可包括指纹数据、视网膜扫描数据或本领域普通技术人员之一受益于本公开所知道和理解的其他生物特征数据。下面关于图5将进一步详细论述终端120。在步骤s430处,终端120通过支付处理网络140向识别系统175发送支付数据(例如,BIN)和生物特征数据以认证用户。可以在授权请求消息或者替换地在认证请求消息中将支付数据和生物特征数据发送到识别系统175。一旦支付处理网络140接收到支付数据和生物特征数据,支付处理网络140就根据支付数据(S卩,BIN,等等)来确定用户WD,并随后向识别系统175发送UID和生物特征数据,正如上关于图2A所述的。在一些实施例中,识别系统175从支付处理网络140以外的系统100的其他组件接收WD和生物特征数据,其他组件包括(但不限于)终端120、收单方125和发行方160。在步骤s440处,终端120通过支付处理网络140从识别系统175接收包括认证结果的认证响应消息。根据一 些实施例,终端120可以从收单方125、发行方160或直接从识别系统175接收认证结果,如上所述的。在步骤s450处,如果用户(即,支付装置持有人)被认证,终端120就生成交易的授权请求消息。在一个实施例中,该交易是金融交易。在其它实施例中,交易通常涉及数据采集。在步骤s460处,终端120向发行方160发送(例如,传送)授权请求消息,并在相同传送中编码入认证结果。例如,如果认证结果是肯定的,且用户被认证,则诸如“I”的标志可以存在于该授权请求消息中。如果验证结果是否定的,则诸如“0”的标志可表明用户未被认证。在其他实施例中,可以在授权请求消息中提供认证“分数”(例如,1-10的级别,其中I为未经验证,10完全被认证)以指示认证程度。当所接收的生物特征数据稍微匹配于但并不是完全匹配于所存储的生物特征数据时,认证程度可存在。在其它实施例中,认证结果可以早于或晚于授权请求而被发送到发行方160。在步骤470处,交易可在终端120处完成。如果发行方160授权交易,则完成用户发起的交易。如果发行方160不授权该交易,则终端120可以向用户提供拒绝交易的授权响应消息。同样,如果识别系统175不认证用户,具有认证结果的认证响应消息可被发送到终端120,而终端120可以为用户提供认证结果,从而完成交易。其他协议可以被用于响应认证拒绝或授权请求,并且将由本领域普通技术人员所熟知。应当理解的是,根据本发明实施例,图4A例示的具体步骤提供了在系统100中认证用户的特定方法。根据可替代实施例,也可以执行其他的步骤序列。例如,本发明的替代实施例可以以不同的顺序来执行上面概述的步骤。此外,图4A示出的单个步骤可包括多个子步骤,可以对单个步骤而言适当的各种序列来执行多个子步骤。此外,可依据特定的应用而添加或移除额外的步骤。本领域普通技术人员之一将认识到并理解方法400的许多变化、修改和替代。图4B是示出了根据本发明实施例的用于认证用户的方法480的简化流程图。方法480可由包含硬件(电路、专用逻辑电路,等等)、软件(如通用计算系统或专用机上运行的)、固件(嵌入式软件)或其任意组合的处理逻辑来执行。在一个实施例中,所述方法480由图1的终端120来执行。
参见图4B,该方法480包括在识别系统175的UID和生物特征数据库172中存储第一 UID和第一组生物特征数据(步骤s482)。在实施例中,识别系统175由政府实体来管理。在某些实施例中,在接收认证请求消息之前,政府实体可以使用识别系统175来登记用户。在一些实施例中,除了上面讨论的UID和生物特征数据之外,登记过程可进一步包括存储用户的姓名、地址、电话号码或其他地理或人口统计言息。UID和生物特征数据库172可位于识别系统175内。在其它实施例中,UID和生物特征数据库172可以位于识别系统175外部。例如,UID和生物特征数据库175可以位于云服务器(未示出)中。如上所述,第一组生物特征数据可以包括指纹数据、视网膜扫描数据、数字照片数据(例如,面部识别数据)、脱氧核糖核酸(DNA)数据、掌纹数据、手部的几何数据、虹膜识别数据,或由本领域普通技术人员之一已知的其他类型的生物特征数据。在步骤s484处,识别系统175接收包括第二 UID和第二组生物特征数据的认证请求消息。在一些实施例中,认证请求消息由支付处理网络140发送。在一些实施例中,识别系统175从系统100的其他组件接收所述第二 UID和第二组生物统计数据,其他组件包括(但并不限于)终端120、收单方125和发行方160。在步骤s486处,识别系统175确定根据预定的阈值所述第二 UID和所述第二组生物特征数据是否与第一 UID和第一组生物统计数据相匹配。该预定的阈值可以是预先设定的阈值,其识别或量化所接收的输入数据(即,第二 UID和第二组生物特征数据)和先前存储的输入数据(即,第一 UID和第一组生物体数据)应该匹配多少。如果所接收的输入数据和先前存储的输入数据根据预定的阈值是匹配或相关的,则该数据被认为是匹配。识别系统175可以有选择地考虑在认证过程中的次要因素。例如,识别系统175可以考虑用户的姓名、地址、电话号码、地理位置,或可以帮助确定用户是否是他们声称的其他人口统计信息。为了说明起见,如果UID和生物特征数据少量地相关,且用户遥远地位于他们的家庭地址之外或输入不正确的人口统计数据,识别系统175可以考虑此因素以认证该用户。在步骤s488处,识别系统175生成指示用户是否被认证的认证响应消息。例如,如果所述第二 WD和第二组生物特征数据与第一WD和第一组生物特征数据根据预定的阈值是相关的,识别系统175生成指示该用户被认证的认证响应消息。另一方面,如果第一组第二组UID和生物特征数据根据预定阈值不匹配,则识别系统175生成指示该用户未被认证的消息。根据一些实施例,识别系统175报告用户认证的方式可被分级。例如,识别系统175可以生成指示UID和生物特征数据强烈相关(例如90%的匹配)或轻微相关(例如60%的匹配)的认证响应消息。定义什么将会构成强烈相关或轻微相关对于受益于本公开的本领域普通技术人员之一来说是已知的。应当理解的是,根据本发明实施例,图4B中示出的具体步骤提供了在系统100中认证用户的特定方法。根据可替代实施例,也可以执行其他的步骤序列。例如,本发明的替代实施例可以以不同顺序来执行上面概述的步骤。此外,图4B中示出的单个步骤可包括多个子步骤,可以对单个步骤而言适当的各种序列来执行多个子步骤。此外,可依据特定的应用而添加或移除其他步骤。本领域普通技术人员之一将认识到并理解方法480的许多变化、修改和替代。图5是根据本发明实施例的终端500的简化框图。终端500包括用户510、生物特征阅读器520、读卡器530、数据输入540、用户输入560和输入/输出端口( “1/0”)570。在一个实施例中,终端500是经配置由BC操作的微ATM终端。在另一实施例中,终端500是图1的终端120。在实施例中,用户输入560是用户界面,该用户界面经配置以允许用户输入支付设备和/或输入生物特征数据。用户输入560是GUI( “图形用户界面”)。在其它实施例中,BC可收集生物特征信息、卡信息、或其他各种各样的识别数据。支付设备可是银行卡、借记卡、奖励卡,等等。生物特征阅读器520被配置为接收来自用户的生物特征数据,包括指纹数据、视网膜扫描数据或唯一地标识用户的其他生物特征数据。读卡器530被配置为接收来自用户支付设备的数据。在一个实施例中,读卡器530被配置为读取磁条。可选地,读卡器530可以被配置为读取非接触支付设备。在一个非限制性的例子中,读卡器530读出轨道中(例如,从磁条中)的服务代码,并向用户提示需要生物特征数据。其他实施例可选地允许用户或BC手动输入支付设备。数据输入540被配置成接收其他各种用户标识数据,包括用户的人口统计信息、用户位置、用户签名、用户照片、或由本领域普通技术人员之一已知和理解的其他识别信息。I/O端口 570被配置为向终端120发送数据并从终端120接收数据。例如,I/O端口 570可从读卡器530和生物特征阅读器520分别向收单金融机构(例如,收单计算机130)或支付处理网络(未示出)传输用户BIN和生物特征数据,以执行认证和/或授权请求。在一个实施例中,终端500被配置为接收UID数据。图6是根据示例性实施例的计算机装置600的示意图。前述系统图中的不同的参与者和组件(例如,图1-5中的支付处理网络、多侧开关、收单银行、发卡银行、识别系统175,等等)可以在计算机装置中使用任何适当数量的子系统,以便于实现本文所述功能。这种子系统或部件的实施例示于图6中。图6所示的子系统通过系统总线675互连。显示诸如打印机674、键盘678、固定盘679 (或其他包括计算机可读介质的存储器)、耦合到显示适配器682的监视器676的额外子系统及其他。耦合到I/O控制器671的外围设备和输入/输出(I/O)设备(未示出)可以通过本领域中已知的任何数量的装置(诸如串行端口677)连接到计算机系统。例如,串行端口 677或外部接口 681可用于将计算机装置连接到诸如因特网的广域网络、鼠标输入装置或扫描仪。通过系统总线的互连允许中央处理器673与每个子系统进行通信并控制来自系统存储器672或固定盘679的指令的执行以及子系统之间的信息交换。系统存储器672和/或固定盘679可由计算机可读介质具体表现。本申请所述的软件组件或功能可被实施为由一个或多个处理器使用任何合适的计算机语言(例如Java,C++或例如使用传统的或对象面向技术的Perl)来执行的软件代码。该软件代码可以被存储为一系列的计算机可读介质(诸如随机存取存储器(RAM),只读存储器(ROM),诸如硬盘驱动器或软盘的磁介质,或诸如CD-ROM的光学介质)上的指令或命令。任何这样的计算机可读介质还可以驻留在单个计算装置上或其内部,并可以出现在系统或网络内不同的计算装置上或其内部。在一些实施例中,系统100包括多侧开关,该多侧开关被配置为直接或间接地耦合到用户,该多侧开关被配置为接收源自用户的认证请求消息和源自用户的授权请求消息。在某些实施例中,该认证请求消息包括卡识别号码和生物特征数据,其中,所述的多侧开关被配置为根据卡识别号码来确定用户特有的识别号码。另一种实施例针对一种方法,包括:生成认证请求消息,该消息包括第一标识符和第二标识符,所述第二标识符是生物特征标识符。服务器计算机可被配置为发送认证请求消息到支付处理网络。如果识别系统确定生物特征标识符和由支付处理网络所提供的第三标识符具有预定的相关性,服务器计算机就从支付处理网络接收独立识别系统认证用户的确认,其中第三标识符基于所述第一标识符。在一些实施例中,第三标识符是通用识别号,而识别系统是政府实体。在一个实施例中,服务器计算机是终端的一部分。在其他实施例中,服务器计算机可以是收单方的一部分。本发明可以被实现为软件、硬件或两者组合的控制逻辑的形式。该控制逻辑可以被存储在信息存储介质中作为多个适于指示信息处理装置以执行本发明实施例中所公开的一组步骤的指令。基于本文中所提供的公开和教导,本领域普通技术人员将会理解实现本发明的其他方式和/或方法。在实施例中,本文描述的任何实体可以由计算机具体表现,该计算机执行任意或所有的公开功能和步骤。“一”,“一个”或“该”的引用意在表示“一个或多个”,除非特别指明相反。以上描述是说明性的,而不是限制性的。本发明的许多变化对于本领域技术人员浏览本公开来说显而易见。因此,不应参照上述说明来确定本发明的范围,而应参照未决的权利要求及其全部范围或等同物来确定。
权利要求
1.一种服务器计算机,包括: 处理器和耦合到所述处理器的计算机可读存储介质,所述计算机可读存储介质包括可由所述处理器执行的代码,用于执行一种方法,包括: 接收源自用户的授权请求消息,其中,该授权请求消息包括金融交易数据,并且其中授权请求进一步包括编码在其中的认证请求消息,所述认证请求消息包括第一标识符和第二标识符,所述第二标识符是生物特征标识符; 根据所述第一标识符来确定第三标识符; 向识别系统的身份(ID)服务器计算机发送第二和第三标识符,以确定第二和第三标识符是否具有预定相关性;以及 如果识别系统确认第二和第三标识符具有预定相关性,则从识别系统接收用户被认证的确认。
2.如权利要求1所述的服务器计算机,其中生物特征数据是指纹数据或视网膜扫描数据中的一个或多个。
3.如权利要求1所述的服务器计算机,进一步包括:匹配第三标识符和数据库中的第一标识符,其中所述第三标识符是通用标识符(“nD”)。
4.如权利要求1所述的服务器计算机,其中所述认证请求消息进一步包括人口统计数据或地理数据中的一个或多个。
5.如权利要求8所述的服务器计算机,进一步包括:实质上在第二和第三标识符被发送到ID服务器计算机的同时,向发行方发送金融交易数据。
6.一种方法,包括: 接收源自用户的授权请求消息,所述授权请求消息包括金融数据,其中所述授权请求消息还包括编码在其中的认证请求消息,所述认证请求消息包括第一标识符和第二标识符,所述第二标识符是生物特征标识符; 根据所述第一标识符来确定第三标识符; 向识别系统的身份(ID)服务器计算机发送第二和第三标识符,以确定第二和第三标识符是否具有预定相关性;以及 如果识别系统确认第二和第三标识符具有预定相关性,则从识别系统接收用户被认证的确认。
7.如权利要求1所述的服务器计算机,其中所述生物特征数据包括指纹数据或视网膜扫描数据中的一个或多个。
8.如权利要求1所述的服务器计算机,还包括:匹配第三标识符和数据库中的第一标识符,其中所述第三标识符是通用标识符(“nD”)。
9.如权利要求1所述的服务器计算机,其中所述认证请求消息还包括人口统计数据或地理数据中的一个或多个。
10.如权利要求6所述的服务器计算机,还包括:如果接收到第二和第三标识符具有预定相关性的确认,则向发行方发送授权请求消息。
11.一种服务器计算机,包括: 处理器和耦合到所述处理器的计算机可读存储介质,所述计算机可读存储介质包括可由所述处理器执行的代码,用于执行一种方法,包括:在数据库中存储第一标识符和第一组生物特征数据; 接收授权请求消息,其中认证请求消息被编码在所述授权请求消息内; 从所述授权请求消息提取所述认证请求消息,所述认证请求消息包括第二标识符和第二组生物特征数据; 确定第二标识符和第二组生物特征数据根据预定的阈值是否匹配于所述第一标识符和第一组生物特征数据;以及 生成认证响应消息,所述认证响应消息指示第一和第二标识符以及第一和第二组生物特征数据根据所述预定的阈值是否匹配。
12.如权利要求1i所述的服务器计算机,其中所述第一标识符和第二标识符是nD。
13.如权利要求11所述的服务器计算机,其中第一和第二组生物特征数据包括指纹数据或视网膜扫描数据中的一个或多个。
14.如权利要求11 所述的服务器计算机,其中从终端、收单方、支付处理网络或发行方中的一个接收所述认证请求消息。
15.如权利要求11所述的服务器计算机,其中该认证请求消息还包括人口统计数据或地理数据中的一个或多个。
16.—种方法,包括: 在数据库中存储第一标识符和第一组生物特征数据; 接收授权请求消息,其中认证请求消息被编码在授权请求消息内; 从所述授权请求消息提取所述认证请求消息,所述认证请求消息包括第二标识符和第二组生物特征数据; 确定第二标识符和第二组生物特征数据根据预定的阈值是否匹配于第一标识符和第一组生物特征数据;以及 生成认证响应消息,所述认证响应消息指示第一和第二标识符以及第一和第二组生物特征数据根据所述预定的阈值是否匹配。
17.如权利要求16所述的服务器计算机,其中所述第一标识符和第二标识符是WD。
18.如权利要求16的服务器计算机,其中所述第一和第二组生物特征数据包括指纹数据或视网膜扫描数据中的一个或多个。
19.如权利要求16所述的服务器计算机,其中从终端、收单方、支付处理网络或发行方中的一个接收认证请求消息。
20.如权利要求16所述的服务器计算机,其中所述认证请求消息还包括人口统计数据或地理数据中的一个或多个。
全文摘要
公开一种通用ID和生物特征系统和方法。方法包括接收源自用户的认证请求消息。该认证请求消息包括第一标识符和第二标识符,其中第二标识符包括生物特征数据。该方法进一步包括基于第一标识符来确定第三标识符,以及向第一服务器计算机发送第二和第三标识符,以确定第二和第三标识符是否具有预定相关性。该方法进一步包括如果识别系统确定第二和第三标识符具有预定相关性,则接收用户认证的确认。
文档编号G06Q20/20GK103221958SQ201180046225
公开日2013年7月24日 申请日期2011年9月23日 优先权日2010年9月24日
发明者B·E·帕特森 申请人:维萨国际服务协会