V)、密码数据 和近场通信(NFO/P0S数据。
[0060] 另外,令牌可以是静态的或动态的,其中每一种都可以用于支付交易或与支付交 易相关联。例如,如果令牌被存储在移动设备上,则在支付交易期间可以激活并从移动设备 发送令牌以便发起交易。静态令牌可以具有长寿命,且可以被存储在移动设备的安全元件 (或其他安全存储器)中。在另一实施例中,静态令牌可以从不到期。动态令牌可以具有直 到已配置时间轴的结束都有效的较短的寿命。一旦到期,不可以再次使用和再次发布该令 牌。可以在非安全元件(非SE)设备(即,不使用安全元件来发起或存储交易的设备)中 留存(即,存储)动态令牌。
[0061] 在一些实施例中,可以把令牌格式化为使得可以将其从设备传送给商家的P0S 终端,而无需在终端做出改变,也不要求改变终端所支持的消息格式。终端可以基于从设 备接收到的信息创建授权请求,包括令牌。令牌可以提供用于打印收据(receipt)、退货 (reutn)、退款(chargeback)和其他商家要求的信息。
[0062] 令牌可以遵循与提交通道和设备能力无关的标准格式。一些通道和设备能力的示 例可以包括近场通信(NFC)和经由QR码传输数据。
[0063] 如上所述,可以由令牌化枢纽管理令牌的生命周期。在一种实施例中,令牌生命周 期可以由包括用于创建、再次发行或到期的过程的CTC模块管理。
[0064] 令牌可以遵循其他实体的要求。例如,令牌可以遵循来自银行(例如,受让方或发 卡机构)、第三方、国际标准(例如,EMV全球标准)或数字钱包的要求。令牌可以包括众多 标识符,包括发卡机构银行标识号(BIN)、钱包标识符或用户账户标识符。
[0065] 令牌可以支持商家/受让方结账并满足在交易之前、在交易期间或在交易之后 帮助确定向何处发送信息(例如,国际、国内)的交易路由判决。令牌可以遵循受让方级 (acquirer level)的到期日期检查、欺诈检查和受让方分析报告。
[0066] 可以映射令牌。例如,令牌可以对应于或映射到设备、钱包、账户、卡或消费者。在 一种实施例中,多个钱包、多个设备和多个消费者可以对应于一个或多个令牌。另外,多个 设备可以映射到相同的令牌。在各实施例中,可以得到一个设备对多个令牌的映射或多个 设备对一个令牌的映射。例如,令牌可以是通道专用的,以使得令牌可以取决于令牌的请求 通道、为交易返回令牌的响应通道、使用令牌来启动交易的交易通道等等而改变。因此,令 牌可以取决于所使用的通道而改变,且基于用于令牌的通道可以从相同的底层数据产生多 个不同的令牌。
[0067] 在一些实施例中,多个主账号(PAN)可以被映射到单个静态令牌。移动令牌化枢 纽可以允许包括发卡机构、钱包提供商或参考应用的已注册实体使用PAN序列号(PSN)为 相同的静态令牌注册多个PAN。在一些实施例中,可以在设备制造期间在消费者的设备中预 先预设静态令牌。移动令牌化枢纽可以把PAN细节发送给CTC模块并捕捉由CTC为该PAN 产生的PAN。可以通过发卡机构、钱包提供商或其他参考应用把信息发送给消费者。
[0068] 多个设备可以支持单个PAN。该系统可以支持为相同的消费者和账号注册多于一 个的设备,以便促进来自这些设备中的任何的交易。
[0069] 令牌可以是数字、字母数字、十六进制、二进制,或包括字符、标识符或可以用来传 递信息的信息的任何其他组合。例如,令牌可以是数字和字符的19位字母数字序列。在另 一示例中,令牌可以是已知的消费者元素,例如个人识别号(PIN)或密码。
[0070] 本发明的各实施例提供若干优点。例如,在传统的交易中,个人的账号(PAN)信息 暴露于交易生命周期中所涉及的各种元素,例如钱包提供商(支付处理网络、发卡机构和 第三方)、商家、网关和处理器。引入代替实际PAN的令牌可以减少暴露且可以使得对商家 和钱包提供商的安全牵涉最小。这是有益的,因为如果令牌受到危害,则PAN和/或底层金 融工具可以保持不打折扣。
[0071] III.通用体系结构
[0072] 本发明的各实施例涉及用于借助于可以在各种上下文中为各种实体提供令牌化 的公共令牌化能力(CTC)模块实现移动令牌化枢纽的系统和方法。例如,CTC模块可以提 供和存储用于移动支付交易、转账交易、数字钱包应用、商家销售点(P0S)应用、个性化服 务等等的令牌。
[0073] 图1阐释根据本发明的一种实施例的系统100。如图1中所示出,移动令牌化枢纽 102可以充当用于各种实体的多种令牌相关服务例如102a-102g的中央提供者。例如,移动 令牌化枢纽可以包括用于账户注册、令牌注册、令牌预设、去令牌化、令牌移除、审查/报告 和令牌生命周期管理的模块。如上所述,令牌可以用来代替账户信息以便更安全地实施交 易(例如移动支付交易、转账交易等等)并使得商家系统和钱包提供商免受PCI兼容性问 题。然而,使得令牌广泛可用且消费者容易使用要求协调从发卡银行和支付处理网络到移 动设备生产商和移动网络运营商的多种不同的实体,这些实体中的每一种都潜在地具有它 们自己的数据格式、通信和安全要求。如在此描述的,移动令牌化枢纽102可以与这些各种 实体连接以便管理和协调令牌和令牌服务。
[0074] 为了使用由移动令牌化枢纽提供的服务,各实体(例如,消费者、钱包提供商、发 卡机构等等)可以向移动令牌化枢纽注册。例如,参与者注册模块l〇2a可以提供接口,各 实体可以通过这些接口提供注册信息和与移动令牌化枢纽102集成的其他配置要求。
[0075] 在一些实施例中,可以实现管理用户接口,以便为每一参与者执行注册和配置功 能。例如,该接口可以帮助把参与者系统(例如,发卡机构、钱包提供商系统)登记为使用 移动令牌化枢纽。该接口也可以帮助管理终端系统公钥以便在移动设备或合作方应用和移 动令牌化枢纽之间交换信息。该接口也可以帮助定义配置参数,配置参数可以全局定义或 逐个参与者地定义,例如令牌的生存时间(TTL)、诸如令牌预设之类的所订阅的服务、账户 持有人注册、凭证存储、通道和其他服务。
[0076] 在一些实施例中,在实体向移动令牌化枢纽注册时,可以给它们指派唯一标识号。 参与实体可以包括发起金融机构、PPN品牌的钱包、第三方钱包提供商、第三方支付应用提 供商、商家或提供交通应用的交通机构。
[0077] 可以由参与者注册模块102a捕捉参与者注册信息以便向移动令牌化枢纽注册实 体。该信息可以包括客户机企业标识符(BID)、合作方平台标识符(例如产生、获得)、合作 方平台名称、合作方平台类型(例如钱包应用、web应用)、集成类型、集成信息(例如web 服务连接器(WSC)或联合)、订阅的服务(例如令牌预设、账户持有人注册登记、凭证存储、 令牌生命周期管理)和登记的通道(例如NFC、在线等等)。
[0078] 在一些实施例中,参与者注册模块102a也可以接收和存储令牌交易配置信息。该 系统可以存储用于令牌产生和预设的配置参数,例如令牌到期时间、向与给定日期组合的 给定账户持有人或设备提供的最大令牌量、在单次请求中向给定账户持有人或设备提供的 最大令牌量、以及所允许的单个令牌的最大交易额度。每一参与者可以提供不同的交易配 置信息。
[0079] 在一些实施例中,消费者和/或发卡机构和钱包提供商可以通过由账户/卡注册 模块l〇2b提供的一个或多个接口注册它们的账户和移动设备。账户/卡注册模块102b可 以实现由移动令牌化枢纽、CTC模块、支付处理网络或其他参与者指定的注册和登记要求。 这些要求可以包括在注册和登记期间收集设备信息和消费者信息。
[0080] 在一些实施例中,账户/卡注册模块可以提供服务注册接口和/或客户机应用程 序接口(API),它们可以允许发卡机构应用、钱包应用或PPN参考应用注册消费者设备和账 户、请求新的令牌、停用令牌、注销消费者设备、请求令牌到PAN的映射或请求PAN到令牌的 映射。API可以接收每一消费者的信息。该信息可以包括合作方平台标识符(在令牌化云服 务内注册的、被注册为使用这样的服务的唯一标识符)、应用标识符(在合作方平台内的启 动应用或服务识别的唯一标识符)、版本号、应用名称、MSISDN、PAN、CVV2、到期日期和PAN 绰号(别名)。其他信息可以包括UUID、頂EI、頂SI或其他移动应用标识符(例如、MAID)、 0S类型/版本(例如iOS/安卓等等)、静态令牌(例如用于把静态令牌存储在安全元件的 设备)、消费者凭证(例如,用于消费者账户验证的SSN/D0B的最后4位数字)、消费者的名 字、姓氏、消费者地址、邮政编码和设备注册标识符(在安装支付应用的同时产生)。如果移 动设备具有安全元件且把静态令牌存储在设备中,则可以接收静态令牌。
[0081] 在一些实施例中,账户/卡注册模块102b可以提供用于接收用来唯一地标识向移 动令牌化枢纽注册的每一移动设备的设备信息的接口。在参与实体是发卡机构时,可以使 用发卡机构提供的或PPN提供的钱包应用。该系统可以在注册期间捕捉设备信息并将其与 在随后交易期间捕捉的设备信息进行比较,以便确认请求是来自有效的源或合法的移动设 备所有者。如果激活请求是来自具有适当的用户名和密码的任何第三方钱包提供商,那么, 该请求可以被看作是合法的请求。
[0082] 可以实现验证过程以便确定判断设备唯一性。该系统可以通过验证设备标识符来 验证注册请求。如果存在设备标识符,则可以把账户关联到活动令牌。如果设备/账户/ 令牌组合对于系统中的相同的钱包提供商/发卡机构/参考应用来说是活动的,那么,该系 统可以拒绝该请求。该请求可以是激活或注册请求。该系统可以向请求应用发送适当的消 息,例如"设备已经注册且是活动的"。
[0083] 在一些实施例中,账户/卡注册模块102b可以提供允许发卡机构/钱包提供商注 销消费者设备的设备注销接口。可以通过提供包括合作方平台标识符、应用标识符、版本和 MSISDN的信息来注销该设备。也可以提供其他信息,包括UUID、頂EI、頂SI和移动应用标 识符(MAID)。
[0084] 在一些实施例中,账户/卡注册模块102b还可以包括在注册期间从参与实体接 收账户持有人信息并验证账户持有人的接口。在一些实施例中,通过输入到支付处理网络 (PPN)的数据或使用由发卡机构公布的web服务消息,通过对照账户中由发卡机构提供的 文件细节的方面来检查用户凭证,移动令牌化枢纽可以验证账户持有人细节。在一些实施 例中,参与实体可以执行账户持有人验证,包括发卡机构、PPN品牌的钱包和标记白色的第 三方钱包提供商。移动令牌化枢纽可以支持一种或多种验证方法以便获得合格参与实体。 一种方法可以包括基于由参与实体通过文件提供给PPN的数据的账号、CVV2、到期日期的 验证。另一种方法可以是去往参与实体的实时web服务集成消息,以便验证包括账户持有 人名字、姓氏、和社会安全号码(SSN)或生日数据(D0B)的最后4位数字在内的账户持有人 信息。另一方法可以是借助于在线银行业务系统通过带有账户持有人凭证发起金融机构直 接验证账户持有人。
[0085] 在注册期间,可由账户/卡注册模块102b提供账户持有人凭证持久性。通过与凭 证数据库注册API通信,该系统可以存储消费者的账户和设备细节,包括通过注册过程在 凭证数据库ll〇a中接收的用户凭证,以便得到成功的激活或注册请求。账户持有人凭证信 息可以包括合作方平台标识符、131301?六10^2、到期日期、?41^绰号(别名)、而10、^^1、 頂SI、MAID、消费者凭证(例如,用于账户验证的SSN/D0B的最后4位数字)、消费者名字、 姓氏、消费者地址或邮政编码。
[0086] 在一些实施例中,在注册期间可以指定默认账户。例如,消费者可以在他们的支付 应用中把账户的别名指定为默认账户,以便用于其中没有选择了账户或账户别名的交易。 在一些实施例中,消费者的默认账户或对应于该账户的别名可以被存储在凭证数据库ll〇a 中。在消费者启动交易时而无需选择别名,支付应用(例如,钱包应用、发卡机构应用或支 付处理网络参考应用)可以从移动令牌化枢纽请求与默认账户相关联的令牌。移动令牌化 枢纽可以查询凭证数据库ll〇a以便得到默认账户,并且,如果指定了默认账户,则返回对 应的令牌或请求新的令牌。
[0087] 如图1中所示出,移动令牌化枢纽102也可以包括令牌预设模块102c,令牌预设模 块102c可以允许移动令牌化枢纽102与诸如移动预设系统(VMPS)、可信服务管理器(TSM) 和/或移动网关之类的预设服务集成,以便把令牌信息安全地写在消费者的移动设备的安 全元件上。
[0088] 在一些实施例中,令牌预设模块102c可以被配置为一旦CTC模块104已经接收和 登记令牌,就把由诸如发卡机构或钱包提供商系统之类的外部实体产生的令牌预设到安全 元件。移动令牌化枢纽可以通过与移动网关API通信来预设消费者设备的安全元件中的令 牌信息。
[0089] 在一些实施例中,移动令牌化枢纽102也可以包括审查/报告模块102f,审查/报 告模块l〇2f可以提供数据审查能力、报告、性能、业务分析和用于移动令牌化枢纽102、CTC 模块104和/或支付处理网络110的其他相关服务。移动令牌化枢纽可以提供审查结果以 便结束令牌请求和响应活动。在一些实施例中,移动令牌化枢纽也可以提供交易登录API。 发卡机构和/或钱包提供商可以使用API来向移动令牌化枢纽提供由移动设备做出的交易 的细节。交易数据可以用于忠诚计划。该信息可以包括合作方平台标识符、应用标识符、 MSISDN、交易标识符、交易额度、交易日期/时间、商家标识符、商家名称、商家城市、商家街 道、商家国别、商家邮政编码、UUID、頂EI或商家地址。
[0090] 在一些实施例中,移动令牌化枢纽可以提供周期性报告以便列出产生和指派给各 设备且还没有被使用和/或到期的动态令牌。可以把这种报告提供给CTC模块,且用来根 据需要回收令牌。例如,在到期之后,未经使用的令牌可以在将来被再次分派给不同的应用 /PAN。信息可以包括合作方平台标识符、应用标识符、PAN和令牌。
[0091] 另外,在一些实施例中,移动令牌化枢纽102可以公布供外部系统(例如,钱包提 供商、发卡机构支付、参考应用)与移动令牌化枢纽集成的规范文档和API。在一种实施例 中,通过使用由移动令牌化枢纽102公布的客户机软件开发工具箱(SDK)来做出到移动令 牌化枢纽的安全连接并使用移动令牌化枢纽服务,发卡机构和/或钱包提供商可以增强其 支付应用。类似地,通过使用客户机SDK来连接到移动令牌化枢纽并在启动交易的同时请 求新的令牌,发卡机构和/或钱包提供商也可以增强客户机支付应用(例如,移动钱包应 用)。在一些实施例中,通过具有双重因素认证(例如,用户名/密码和X509认证)的web 服务集成(WSI)基础设施而发生在移动令牌化枢纽和发卡机构或钱包提供商系统之间的 集成。
[0092] 如图1中所示出,移动令牌化枢纽102可以与CTC模块104通信,CTC模块104可 以产生、激活、存储和/或去令牌化令牌。在一些实施例中,可以在支付处理网络内的服务 器计算机上实现CTC模块104。CTC模块104可以包括多个服务模块,例如用于令牌激活 104a、令牌产生104b、卡/账户注册104c和去令牌化104d的模块。CTC模块可以控制逻辑 背后如何产生令牌。在一些实施例中,CTC模块可以响应于来自移动令牌化枢纽102的请求 而产生令牌,且用令牌回应移动令牌化枢纽,移动令牌化枢纽又可以把令牌传送给例如与 消费者、钱包提供商、发卡机构系统、或其他已连接系统或服务相关联的请求移动设备。在 一些实施例中,CTC模块104可以存储由诸如发卡机构系统之类的第三方产生的令牌。
[0093] 在一些实施例中,移动令牌化枢纽可以充当业务流程层或网关,其他系统和服务 可以通过其请求令牌、发送令牌、用令牌建立控制、调整与令牌相关联的控制和请求其他服 务和/或访问其他系统。如图1中所示出,移动令牌化枢纽102可以与移动设备106和移 动设备制造商108、支付处理网络110和多个第三方系统112连接。
[0094] 移动设备106可以包括带有安全元件的设备以及不带有安全元件的设备。带有安 全元件的设备可以在安全元件内安全地存储静态和/或动态令牌。动态令牌可以被存储在 不包括安全元件的设备上。取决于如何存储动态令牌,可以把不同的支付控制和生命周期 控制到动态令牌。例如,如果动态令牌被存储在移动0S存储器内,则可以产生具有较短的 寿命且对低价值交易有效的令牌。在一些实施例中,可以基于作为登记的一部分的合作方 配置来请求多个令牌并将其留存在移动设备中。令牌生命周期管理可以决定合适到期或请 求一组新的令牌。
[0095] 在一些实施例中,移动令牌化枢纽可以从移动设备生产商108接收到在发货之前 把多个令牌预先预设给移动设备的请求。如下面进一步描述的,一旦消费者用预先预设的 令牌支付移动设备,则消费者可以通过移动设备向移动令牌化枢纽102发送激活令牌和并 用该令牌注册卡账户的请求。在一些实施例中,支付处理网络110可以包括凭证数据库 ll〇a、预设服务/移动网关110b和支付控制服务110c,凭证数据库110a存储每一消费者的 设备信息,预设服务/移动网关110b可以把令牌安全地传输给移动设备,且支付控制服务 110c可以给令牌提供生命周期或其他控制数据。在一些实施例中,移动设备可以不包括预 先预设的令牌,且消费者可以直接地通过诸如网络运营商112a、发卡机构系统112b(例如 发卡机构专用的移动应用)和/或来自移动钱包提供商112c的移动钱包应用之类的第三 方合作方向令牌化枢纽发送请求。
[0096] 在一些实施例中,支付控制模块110c可以向移动令牌化枢纽102提供用于令牌的 支付控件。支付控制模块ll〇c可以定义支付控件,例如设置额度规则以便接受准确的交易 额度、商家类别代码(MCC)规则或时间规则。移动令牌化枢纽102可以在令牌生命周期管 理模块102g中维护支付控制规则并把支付控制规则传送给CTC模块104。支付控制规则可 以包括合作方平台标识符、应用标识符、令牌、支付控制类型、值或操作(例如添加、删除、 更新)中的一种或多种。在一些实施例中,移动令牌化枢纽102可以把支付控件与令牌关 联起来,持续特定量的时间。支付控制可以在令牌到期时到期。
[0097] 在一些实施例中,凭证存储可以提供API以便允许应用注册或添加消费者设备/ 账户细节、编辑消费者设备/账户细节、删除消费者设备/账户细节或检索消费者设备/账 户细节。API可以允许应用存储消费者设备、账户和凭证细节。API可以接收每一消费者 的信息。该信息可以包括应用标识符、应用名称、合作方平台标识符、MSISDN、UUID、頂EI、 頂SI、静态令牌/动态令牌、PAN、CVV、消费者名字、姓氏、消费者地址、邮政编码或消费者凭 证。凭证数据库可以是PCI兼容的,且实现安全标准。
[0098] API也可以允许应用通过提供应用标识符、頂El、MSISDN或PAN来编辑/更新消费 者账户/设备细节。一种应用可以通过提供应用标识符、頂EI、MSISDN或PAN来删除消费 者账户/设备细节。该应用也可以通过提供应用标识符、頂EI、MSISDN或PAN来检索消费 者账户/设备细节。
[0099] 在一些实施例中,可以在云服务器或云环境中的多个服务器上实现移动令牌化枢 纽。可以通过安全连接(例如,安全套接字层(SSL)、传输安全层(TS