用模块214接收认证请求消息。在一种实施 例中,认证请求消息可以包含交易细节的概要和共享秘密。消费者可以通过输入消费者的 卡PIN来认证交易。在把VbV? (由Visa验证)服务用于移动应用交易发起的一些实施 例中,通过提供允许消费者输入他们的VbV?^?码的安全方式,可以保护VbV?'密码的使 用。
[0073] 在一种实施例中,可由消费者使用PC或移动因特网发起交易。消费者可以在钱包 提供商的在线网站处选择货物并用与向钱包提供商注册的相同的消费者别名发起结账过 程。如果向钱包提供商注册了多个支付账户,则消费者可以为该交易选择支付账户。消费 者可以经由认证应用模块214接收认证请求消息。认证请求可以包含购买细节的概要和共 享秘密。消费者可以用他们的卡PIN来认证交易。
[0074] 在一种实施例中,可使用商家专用的应用发起交易。商家或消费者可以输入商家 专用的应用、输入支付金额并生成包含交易相关的数据的一次性条形码或QR代码。消费者 可以使用移动应用扫描条形码并发起交易。备选地,商家或消费者可将支付金额和消费者 别名或电话号码输入到商家应用。消费者可以接收认证请求消息经由认证应用模块214或 单机支付应用。认证请求消息可以包含交易细节的概要和共享秘密。消费者可以通过输入 消费者的卡PIN认证交易。
[0075] 在一种实施例中,可以由消费者使用个人计算机或移动因特网执行交易发起。消 费者可以在在线商家网站处选择货物并通过输入他们的电话号码或消费者别名进行结账。 消费者可以在认证应用模块214或其他独立应用内接收到认证请求。认证请求可以包含交 易细节的概要和共享秘密。消费者可以用他们的卡PIN来认证交易。
[0076] 在一种实施例中,可以由消费者呼叫商家发起交易。商家可以把支付金额和消费 者的手机号码输入到具有兼容软件的门户或POS终端(物理或移动)。消费者可以在认证 应用模块214或其他单机应用内接收到认证请求。认证请求可以包含交易细节的概要和共 享秘密。消费者可以用他们的卡PIN来认证交易。
[0077] 在一些实施例中,可以经由IVR、MOTO(邮件下单电话下单)、POS/店内通道或钱 包提供商所支持的任何适用的通道发起交易。本发明的各实施例可以具有支持基于条形码 或QR代码的前端的潜力,以便避免消费者需要把他们的电话号码提供给商家。进一步,本 发明的各实施例可以具有促进在P0S/ATM处的无卡转账(MT)交易发起/接受的潜能。
[0078] 在一种实施例中,与支付处理网络(例如,Visa?啲V. me)相关联的钱包提供商 可以使用本发明的各实施例来提供认证服务,以便在消费者向钱包提供商设立账户时验证 消费者。在一些实施例中,对于低价值和低风险交易,可以使用实时风险评分服务来允许智 能取消消费者PIN。例如,对于低价值和低风险交易(例如,基于低的风险商家类别码),在 消费者的首次成功交易之后,可以不请求消费者提供PIN或另一标识符。在一些实施例中, 钱包提供商需要把商家类别代码和任何其他相关的数据提供给认证云206,以使得认证云 206可以判断是否需要产生认证请求消息。
[0079] 返回参见图2,钱包提供商204可以被配置成经由一个或多个认证API与各种商家 /商家账务系统以及认证云206连接。最终商家可以是钱包提供商或由钱包提供商聚合的 商家。钱包提供商204可以与钱包服务器计算机或商家服务器计算机相关联。在本发明的 各实施例中,钱包提供商204的交易发起界面(例如,移动应用、网站)可以允许消费者用 他们的移动电话号码发起交易。在一种实施例中,钱包提供商204也可以提供认证应用模 块214以便允许经由经认证的软件开发工具箱(SDK)消费者输入他们的卡PIN。钱包提供 商204还可以被配置成促进经由认证API 216把数据(例如,消费者别名/电话号码/诸 如支付账号、截止日期之类的卡数据,等等)传输给认证云206。钱包提供商204也可以被 配置成向发行机构210提交授权请求消息,该授权请求消息可以包含支付账号、经加密的 卡PIN和数字证书。
[0080] 在一种实施例中,钱包提供商204可以把消费者的个人细节和支付细节(例如,消 费者别名、移动电话号码、支付账号等等)发送给认证云206以便开始认证过程。认证云 206可以用钱包提供商204提交交易以供授权所必需的数据(例如,支付账户细节、个人标 识符、移动电话号码等等)来响应。钱包提供商204可以经由现有的收单机构/处理器(例 如,收单机构208)提交交易以供授权。钱包提供商204可以把指示持卡人的交易的状态的 通知消息发送给持卡人。可以电子递送该通知(例如,递送给消费者设备202)且该通知可 以包含交易金额、交易日期和时间、交易类型、截断主账号(PAN)引用、交易引用、交易结果 和商家标识中的任何一种或多种。在一种实施例中,钱包提供商204可以把支付通知或关 联的交易信息存储在日志文件中,以供将来响应于持卡人交易查询而检索。
[0081] 在一种实施例中,钱包提供商204可以经由定义的API且使用数字证书来连接到 认证云206。在一种实施例中,仅当已经成功地测试了钱包提供商204并经过与认证云206 相关联的支付处理网络212的认证,才可以准许该连接。在一种实施例中,与钱包提供商 204相关联的收单机构208可以被配置成支持发起退款和撤销的能力。
[0082] 可以由钱包提供商204个别地或成批地注册支付账户。在一种实施例中,一个消 费者别名可以支持多个支付账户。在一种实施例中,可以针对多个消费者别名注册一个账 号。在一种实施例中,钱包提供商204可以在钱包提供商应用发起时把别名/支付账户信 息提供给认证云206。
[0083] 认证云206可以被配置成接收由消费者202使用与发行机构210相关联的账户实 施的交易的交易细节。认证云206可以被配置成在与发行机构210通信之前向消费者设备 202发起认证请求消息。认证云206还可以被配置成在与发行机构210通信之前从消费者 设备202接收个人标识符。通过在与发行机构114通信之前允许消费者经由消费者设备 202提供个人标识符以供认证并认证该个人标识符,可以提供授权交易的经改善的处理流 程。例如,如果个人标识符未经认证,则在生成未经授权的交易的交易授权请求消息之前可 以停止该未经授权的交易。这可以防止贯穿支付处理系统传播未经授权的交易的交易请求 消息,且可以减少用于处理这样的已授权交易的计算资源和网络流量的浪费。另外,使用经 由消费者设备202输入的卡PIN进行认证可以为钱包提供商提供支付责任转移,这是由于, 在一些情况中,钱包提供商不得不承担未经授权的交易的成本。认证云206可以被配置成 在从消费者设备202接收到个人标识符之后发起授权请求消息的发送,该授权请求消息包 括与发行机构210相关联的支付账号。在一种实施例中,发起授权请求消息的发送可以包 括生成包括账户标识符和个人标识符的授权请求消息以及把该授权请求消息提供给钱包 提供商204。
[0084] 在一种实施例中,认证云206可被配置成把由消费者提供的个人标识符与先前所 存储的消费者的个人标识符进行匹配,且如果存在匹配则可以生成指示肯定认证结果的认 证指示符。在一些实施例中,认证指示符可以是指示认证是否成功的二进制值(例如,可以 采用值1或〇)。如果个人标识符不匹配先前所存储的消费者的个人标识符,那么,认证指示 符可以表示否定认证结果。在一种实施例中,认证云206可以向钱包提供商204提供个人 标识符和/或认证指示符。
[0085] 认证云206可被配置成集中式核系统,它可以经由API连接到各种钱包提供商。认 证云206可以包括认证服务器计算机。在一种实施例中,认证云206可以被配置成促进持 卡人数据的存储、身份联合、密钥管理和数字证书产生,以便给钱包提供商204提供责任转 移。例如,认证云206可以基于移动电话号码把来自和/或去往认证云206的任何第三方 连接的消费者信息联合起来。
[0086] 认证云206也可以被配置成生成传输密钥/传输密钥对且可以存储一个或多个消 费者别名、电话号码、账户标识符(例如,主账号(PAN))以及与消费者相关联的其他细节 (例如,地址)。在一种实施例中,可以由支付处理网络212把传输密钥/传输密钥对提供 给认证云206。在一种实施例中,在把卡PIN发送给发行机构210之前,发行机构密钥对的 发行机构密钥可以被用来加密卡PIN。在一种实施例中,可以由发行机构提供发行机构密 钥/发行机构密钥对(例如,发行机构DUKPT密钥/密钥对)。认证云206可以被配置成用 传输密钥解密PIN或个人标识符并用发行机构210发行的第一金融密钥再次加密。在一种 实施例中,可以生成数字证书,以便给钱包提供商204提供责任转移,并验证认证云206认 证了该消费者。在一种实施例中,可以使用CAVV(持卡人认证验证值)的衍生物来生成数 字证书,可以由一些发行机构把CAVV(持卡人认证验证值)用于诸如VbVS之类的其他 认证过程。认证云206可以被配置成生成用于任何交易的数字证书/CAVV ;然而,在一些实 施例中,仅当具有基于数字证书/CAVV、卡号和卡PIN的肯定授权时,责任转移才是可能的。 认证云206可以被配置成接受以可扩展方式的发行机构CAVV密钥的衍生物。例如,认证云 206可以接受可以从发行机构CAVV密钥导出的发行机构密钥。可以在授权期间经由用于这 样的任务发行机构210或支付处理网络212检查数字证书的有效性。
[0087] 在一种实施例中,认证云206可被配置成提供参考图1讨论的认证通道108和服 务管理器106的功能性。在一种实施例中,COF服务110可以与认证云206或钱包提供商 204相关联以便存储持卡人数据。
[0088] 收单机构208可以类似于收单机构112。收单机构208可配置成经由支付处理网 络212把交易的授权请求消息路由到发行机构210。
[0089] 发行机构210可以与商业实体(例如,银行)相关联已经发行用于使用消费者设 备202来实施的支付交易支付(信用/借记)卡、账号或支付令牌。在一种实施例中,发行 机构210需要给支付处理网络212提供他们的VbV?密钥的衍生物,以使得支付处理网络 212可以生成数字证书并识别交易类型。在一种实施例中,可以经由传统过程提供发行机构 密钥。发行机构210可以被配置成基于授权消息中所携带的新信息例如数字证书、经加密 的卡PIN等等处理该交易。在一些实施例中,与发行机构210相关联的商业实体(银行)也 可以充当收单机构(例如,收单机构208)。发行机构210可以与发行机构计算机相关联。
[0090] 支付处理网络212可以被配置成提供用于支付交易的授权服务以及清算和结算 服务。支付处理网络212可以包括数据处理子系统、有线或无线网络,包括因特网。支付处 理网络212的示例包括由Visa?运营的VisaNet? 在一些实现中,支付处理网络212可以 与在消费者设备202上运行的应用交互。支付处理网络212可以包括服务器计算机。
[0091] 在一种实施例中,认证云206可以存储卡号、截止日期、与钱包提供商相关联的消 费者别名、传输密钥、国际格式手机号码、送货地址、共享秘密、每次交易的授权数据和每次 交易的授权响应数据。另外,可以存储商家类别代码(MCC)、商家标识符(MID)和涉及风险 评分的任何其他信息。
[0092] 在一种实施例中,由认证云206提供的服务可以利用由支付处理网络(例如,支 付处理网络212)提供的具有数据存储能力的现有服务,例如设备指纹数据,以及无需调用 VbV?啲交易认证。
[0093] 对于低价值和低风险交易(例如,来自低风险MCC(商家类别码)),在首次成功交 易之后,认证云206可以忽略消费者必须输入他们的卡PIN的要求。在一些实施例中,这可 以要求钱包提供商向认证云206额外提供MCC值(以及潜在地其他数据)。
[0094] 在一种实施例中,认证云206可以基于移动电话号码把来自和/或去往连接到认 证云206的任何第三方的消费者信息(即,身份联邦)联合起来。在这种情况中,可以在消 费者访问其他第三方时不要求注册消费者。如果消费者尝试档案上没有该消费者的支付账 号的新的钱包提供商或商家发起交易,则可以给予该钱包提供商或商家检查认证云206是 否具有与消费者的手机号码相关联的支付账户数据的选项。如果确定支付账户和电话数 据相互关联,则可以给予消费者用用账号的后四位数字标识的特定支付账户继续支付的选 项。如果支付账户/电话数据不关联,则可以请求消费者输入他们的支付账户细节并以标 准方式注册。
[0095] 在一种实施例中,传输密钥/传输密钥对可以由钱包提供商204和认证应用模块 214用来加密从消费者设备202提供给认证云206的卡PIN。可以由支付处理网络212提 供传输密钥且可以将其存储在消费者设备202、认证云206和/或消费者的移动设备的用户 身份模块(SIM)中。
[0096] 使用图2中的系统200的交易流程可以如下所述:
[0097] 在步骤1,可以由消费者经由在消费者设备202 (移动设备或个人计算机)上的钱 包提供商204的移动应用发起交易。结账过程可以使用在具体的钱包提供商处使用的消费 者的别名(例如,手机号码、字母数字值)。注意,如果钱包提供商204还没有针对支付账户 注册消费者的别名,则可以提示消费者输入他们的支付账户细节。可以给消费者提供经由 钱包提供商204的界面选择支付账户的能力。可以由消费者使用发行机构210所发行的账 户实施交易。
[0098] 在步骤2,钱包提供商204可以把包括消费者的别名、移动电话号码和支付账户细 节中的一种或多种的交易细节发送给认证云206。如果消费者的别名/移动电话号码/支付 账户细节组合是新的,则认证云206可以保存这些细节。在一些实施例中,钱包提供商204 可以在钱包提供商应用发起时以及为每一交易向认证云206提供别名/支付账户信息。 [0099] 在步骤3,如果消费者是新的,则认证云206可以激活消费者的认证应用模块214 且可以把传输密钥对的第一传输密钥安装在消费者设备202上。认证云206可以在与发行 机构210通信之前向消费者设备202发起认证请求消息224。可以在消费者设备202上显示 共享秘密,且可以请求消费者输入他们的卡PIN,可以用第一传输密钥加密他们的卡PIN。 在一种实施例中,可以由支付处理网络212生成和管理共享秘密。
[0100] 在步骤4,可以由认证云206接收卡PIN,认证云206可以使用传输密钥和/或发 行机构密钥来执行卡PIN的额外的加密和/或解密。在一种实施例中,认证云206可以自 动地从由发行机构210提供的第三金融密钥(例如,\〖bV? CAVV密钥)生成数字证书。例 如,卡PIN可以由传输密钥对的第二传输密钥解密,且可以用发行机构密钥对的第一发行 机构密钥再次加密。认证云206可以把消费者别名、支付账户细节、再次加密的PIN和数字 证书转发给钱包提供商204。在一种实施例中,认证云206可以确定个人标识符匹配先前所 存储的消费者的个人标识符,且可以生成指示肯定认证结果的认证指示符。如果个人标识 符不匹配先前所存储的消费者的个人标识符,那么,认证指示符可以指示否定认证结果。可 以在消息230中把认证指示符连同交易细节一起提供给钱包提供商204。对于否定认证结 果,可以向消费者设备202发送告知失败的认证的消息。在一种实施例中,可以要求消费者 再次输入PIN或提供另一个人标识符。
[0101] 在步骤5,对于肯定认证结果,钱包提供商204可以经由收单机构/支付网关提交 交易以供处理。例如,钱包提供商可将包括交易细节、支付账户细节(例如,支付账号、截止 日期等等)、卡PIN和数字证书的授权请求消息232发送给收单机构208。在一种实施例 中,钱包提供商204可将包括账户标识符和个人标识符或认证指示符的授权请求消息发送 给收单机构208。收单机构208可将消息232转发给支付处理网络212,支付处理网络212 可将它转发给发行机构210。如果支付账号、截止日期、卡PIN和数字证书正确,则发行机构 210可以授权该交易。发行机构210可以用发行机构密钥对的第二发行机构密钥解密经加 密的PIN,以便获得未加密PIN。可以把这一 PIN与发行机构210先前所存储的PIN进行比 较。然后,钱包提供商204可以把一致消息转发给消费者并把授权响应数据转发给认证云 206。授权响应数据可以由认证云206用来显示支付账户/电话组合是有效的且可以在其 他地方使用或联合。
[0102] 在以上所描述的方法和在此描述的其他方法中,可以使用任何合适的已知加密算 法/过程来执行