ISDN) 和国际移动站设备标识符(IMEI)。
[0135] 在610,发卡机构可以经由安全连接(例如,SSL)访问在移动令牌化枢纽处的注册 web服务。可以在经加密的有效载荷中传送信息。在一些实施例中,可以使用双重因素认证 (two factor authentication)来向连接提供额外的安全。例如,双重因素可以包括用户名 /密码和公钥/私钥互换。在614,移动令牌化枢纽可以与CTC模块通信以便激活静态令牌 并把该静态令牌与PAN关联起来。
[0136] 在一些实施例中,由发卡机构可以把在606捕捉的设备信息提供给移动令牌化枢 纽608。该设备信息可以被映射到与该设备相关联的令牌。在使用令牌启动交易时,这可以 用来提供附加的验证检查。如果从不同的设备启动交易,则可以拒绝该交易,或者可以要求 来自消费者的附加信息,然后才能完成交易。在步骤5,移动令牌化枢纽可以与支付处理网 络处的凭证数据库通信。可以传输所捕捉的消费者信息和/或映射信息并将其存储在凭证 数据库中。
[0137] 图7示出根据本发明的一种实施例的令牌激活的序列图。在步骤1,消费者使用 他们的移动设备700发起账户注册。消费者通过移动设备700上的支付应用702启动账户 注册。在一些实施例中,支付应用702可以是发卡机构应用、支付处理网络应用或移动钱包 应用。应用可以从移动设备的安全元件访问和检索静态令牌。然后,可以给用户呈现消费 者可以从中选择以便注册的、与该应用相关联的一个或多个账户。在一种实施例中,用户可 以输入卡信息以便向钱包提供商或发卡机构应用注册。对于每一新卡,该应用可以产生新 的标识符,例如PAN序列号(PSN),以便区分关联到相同的令牌的多个PAN。在注册期间,支 付应用702可以捕捉移动设备700的移动设备细节。这可以包括静态令牌或各种设备标识 符,包括移动站国际订户目录号(MSISDN)和国际移动站设备标识符(ΠΙΕΙ)。
[0138] 在步骤2,支付应用702向移动令牌化枢纽704发送注册请求。在一些实施例中, 发卡机构应用通过API把包括令牌、PAN、PSN和设备信息的注册请求发送给移动令牌化枢 纽704。在步骤3,移动令牌化枢纽704基于设备信息确定该设备包括预先预设的令牌并在 CTC 706中发起令牌激活。移动令牌化枢纽704可以向CTC 706发送激活静态令牌并把PAN 与令牌以及PSN关联起来的请求。
[0139] 在步骤4, CTC 706激活令牌并把令牌与PAN以及PSN关联起来。CTC706可以验 证静态令牌并存储PAN、令牌和PSN的关联。CTC可以把PAN、发卡机构BIN和产品信息存储 在CTC模块内用将来处理。在步骤5,移动令牌化枢纽可以留存先前在步骤1捕捉的设备信 息。移动令牌化枢纽可以把该设备信息留存在支付处理网络中的凭证数据库中。
[0140] 在步骤6,在已经存储了设备信息且已经激活了令牌之后,可以把状态响应发送给 支付应用702。在步骤7,把响应消息返回给用户的移动设备,确认已经用活动令牌激活了 该设备,且准备好通过支付应用702执行交易。如果激活不成功,则可以返回错误。
[0141] 图8示出根据本发明的一种实施例的安全元件(SE)和静态令牌激活流。在图8 中所示出的示例中,移动设备800包括安全元件,但没有给安全元件预先预设令牌。可以在 设备购买之后产生令牌并将其预设给该设备。消费者可以把支付应用下载到移动设备800 以便注册移动设备并接收令牌。支付应用可以基于由用户提供的登录凭证认证用户。
[0142] 在802,消费者可以通过因特网808从在线零售商(例如与移动设备或消费者的移 动网络运营商相关联的在线应用商店)下载支付应用。在804,消费者可以通过支付应用发 起注册。在图8中所示出的示例中,支付应用是移动钱包应用且消费者启动向关联钱包提 供商注册。然而,在备选的实施例中,支付应用可以与发卡机构或支付处理网络相关联。
[0143] 在810,可以由钱包提供商812捕捉关于用户设备的信息。该信息可以包括各种 设备标识符,例如MSISDN、载体或頂EI。在814,钱包提供商可以经由安全连接(SSL)访问 在支付处理网络816上的移动令牌化枢纽处的注册web服务。尽管移动令牌化枢纽被示出 为与支付处理网络集成,但在一些实施例中,可以分离地实现移动令牌化枢纽。可以在经加 密的有效载荷中传送信息。在一些实施例中,可以使用双重因素认证来向连接提供额外的 安全。例如,双重因素可以包括用户名/密码和公钥/私钥互换。在818,移动令牌化枢纽 可以向CTC模块发送令牌产生请求。在820,移动令牌化枢纽可以把在804中提供的消费 者信息和在810中捕捉的设备信息存储在凭证数据库中。可以把消费者和设备信息可以映 射到新近产生的令牌,并在启动交易时将其用作附加的验证检查。如果在交易期间使用令 牌提供的消费者或设备信息不匹配在注册期间存储的消费者或设备信息,则可以拒绝该交 易或者要求来自消费者的附加的信息。一旦已经产生了令牌且存储了消费者和设备信息, 可以把令牌从CTC模块发送给移动令牌化枢纽。在822,令牌化枢纽可以通过诸如TSM 824 之类的移动预设服务打开到移动设备的安全连接800,且可以把新近产生的静态令牌写入 到设备SE。
[0144] 图9示出根据本发明的一种实施例的令牌产生的序列图。在步骤1,消费者通过支 付应用902在移动设备900上启动账户注册。在一些实施例中,支付应用可以是移动钱包 应用、发卡机构品牌的应用或支付处理网络参考应用。在一些实施例中,可以在相同的设备 上注册多个账户,且用户可以从支付应用选择账户以便注册。
[0145] 在步骤2,支付应用可以向移动令牌化枢纽906发送注册请求。支付应用可以通过 API向移动令牌化枢纽发送PAN和设备信息。在步骤3,移动令牌化枢纽906可以基于设备 信息确定该移动设备包括安全元件并在CTC模块908中启动令牌产生。移动令牌化枢纽可 以向CTC模块发送产生存储在移动设备的安全元件中的静态令牌的请求,并注册该令牌的 PAN。可以为一个设备产生多个令牌,每一个均用于向该设备注册的每一账户。在一些实施 例中,向设备注册的多个账户可以与相同的令牌相关联,且可以使用PSN来区分账户。
[0146] 在步骤4, CTC模块908可以产生新的令牌并把该令牌映射到PAN和设备信息。在 一些实施例中,CTC模块908可以把PAN、发卡机构BIN和/或产品信息存储在CTC模块内 以供将来处理。在步骤5,移动令牌化枢纽906可以把该设备信息留存在支付处理网络中的 凭证数据库中。该设备信息可以被映射到令牌和/或为该设备注册的账户,且用作附加的 验证机制,如上所述。
[0147] 在步骤6,移动令牌化枢纽可以向预设服务904发起预设该设备中的令牌信息的 请求。在步骤7,预设服务可以打开到移动设备900的安全连接并预设移动设备的安全元件 中的令牌。在步骤8,在已经预设了该设备中的令牌之后,可以把成功/状态响应从移动令 牌化枢纽906发送给支付应用902。在步骤9,可以向移动设备发送确认消息,向消费者指 出已经用准备好参加交易的活动令牌激活了移动设备。然后,移动设备通过支付应用使用 静态令牌准备好做出交易。
[0148] 图10示出根据本发明的一种实施例的令牌更新的序列图。移动设备1000可以具 有向其预设令牌信息的安全元件。如果令牌受到危害,或者消费者添加账户,或者以另外方 式启动令牌更新过程,则可以把新的令牌预设给消费者的移动设备1000。在步骤1,消费者 可以通过支付应用1002启动更新。支付应用可以是移动钱包应用、发卡机构品牌的应用或 支付处理网络应用。在步骤2,支付应用1002通过API向移动令牌化枢纽1006发送包括一 个或多个新的PAN和设备信息的更新请求。
[0149] 在步骤3,对于每一 PAN更新请求,移动令牌化枢纽1006可以从CTC模块1008请 求新的静态令牌。在一种实施例中,移动令牌化枢纽可以把更新请求看作是新的静态令牌 产生请求。移动令牌化枢纽可以向CTC模块发送对每一新的PAN的请求,以便产生令牌并 把新的PAN与新的令牌关联起来。在步骤4, CTC模块1008可以产生新的令牌并存储与新 的PAN的关联。在步骤5,移动令牌化枢纽可以把设备信息留存在凭证数据库中。
[0150] 在步骤6,移动令牌化枢纽1006可以向预设服务1004发起把每一新的令牌信息预 设给该设备的请求。在步骤7,预设服务可以在移动设备的安全元件中预设每一新的令牌。 在步骤8,在已经在该设备中预设令牌之后,移动令牌化枢纽可以向支付应用发送成功或状 态响应。在一些实施例中,在把多个令牌预设给相同的设备的场合,移动令牌化枢纽可以在 已经预设了每一令牌之后发送状态更新,或者可以在已经预设了所有令牌之后发送反映每 一令牌的状态的单个更新。在步骤9,可以把确认消息发送给移动设备1000,指示移动设备 已经加载了一个或多个新的静态令牌,准备好通过支付应用进行交易。
[0151] 图11示出根据本发明的一种实施例的非安全元件(非SE)和动态令牌用户/账 户注册流。因为移动设备1100不包括安全元件,可以把具有有限生命周期的动态令牌提供 给该设备以便完成交易。移动设备可以包括诸如钱包应用、发卡机构支付应用或PPN应用 之类的支付应用。支付应用可以基于由用户提供的登录凭证认证用户。
[0152] 如图11中所示出,在1102,消费者可以从在线应用商店下载支付应用。在1104,消 费者可以向诸如钱包提供商1108、支付处理网络或发卡机构之类的应用提供商注册移动设 备。在1106,可以捕捉关于移动设备的信息,这种信息可以包括设备标识符(例如,MSISDN、 载体、頂EI)。在1110,钱包提供商可以与移动令牌化枢纽通信。移动令牌化枢纽可以被定 位为用于云注册的云格式。钱包提供商可以经由安全连接(SSL)访问注册web服务。可以 在经加密的有效载荷中传送该信息。移动令牌化枢纽可以把移动设备和消费者信息存储在 凭证存储中。在1114,在已经存储了移动设备和消费者信息之后,可以在移动令牌化枢纽和 推送通知云816之间传输共享秘密注册。共享秘密注册信息可以包括由移动令牌化枢纽提 供的代码,或者可以包括由移动令牌化枢纽提供的问题以及由消费者提供的回答。
[0153] 在一些实施例中,可以通过API提供共享秘密设置接口,以便允许支付应用提供 商(发卡机构、钱包提供商、支付处理网络等等)把共享秘密(例如,一组N个问题)设置 为在交易期间请求动态令牌时的附加的安全措施。例如,每一令牌请求可以用已配置共享 秘密询问用户并验证响应。该请求可以起源于非SE设备发卡机构支付应用或钱包应用。
[0154] 图12示出根据本发明的一种实施例的用户/账户注册流的序列图。在步骤1,消 费者通过诸如钱包应用1200之类的支付应用启动账户注册。支付应用可以替代地包括发 卡机构支付应用或PPN参考应用。应用可以基于由用户提供的登录凭证认证用户。用户可 以从该应用选择账户以便注册。
[0155] 在步骤2,应用提供商1202可以通过API向移动令牌化枢纽1204发送PAN和设备 信息。在步骤3,移动令牌化枢纽1204可以基于该设备信息判断移动设备是否与账户相关 联。如果还没有注册移动设备,则移动令牌化枢纽可以向支付应用推送设置共享秘密的通 知。例如,该设置可以包括通过钱包应用1200发送给消费者的一组3个问题。在步骤4,消 费者可以输入例如步骤3中提供的一组问题的共享秘密答案。支付应用可以加密答案并通 过API向移动令牌化枢纽发送响应。
[0156] 在步骤5,移动令牌化枢纽1204可以把设备或平台信息留存在凭证存储1206。在 步骤6, 一旦已经更新了凭证,则可以向应用提供商发送确认注册的激活响应。在步骤7,应 用提供商可以通过支付应用向用户发送确认。一旦经确认,该设备就得到激活并准备好通 过支付应用使用动态令牌进行交易。
[0157] 图13示出根据本发明的一种实施例的非安全元件(非SE)和动态令牌产生和交 易流。如上面参考图12所述的,具有不包括安全元件的移动设备的消费者可以下载和安装 支付应用1300,例如钱包应用、发卡机构支付应用或支付处理网络应用。该应用可以基于用 户提供的登录凭证认证用户。该设备可以在移动令牌化枢纽中注册了有效账户。因为移动 设备不包括安全元件,它不与静态令牌相关联。相反,移动设备需要请求动态令牌以便完成 交易。
[0158] 在一些实施例中,可以与动态令牌一起使用不包括安全元件(非SE)的移动设备。 移动设备可以是包括支付应用的个人计算机(PC)。支付应用可以包括允许消费者执行无卡 (例如,在线)交易的发卡机构支付应用、钱包提供商应用和/或PPN参考应用。在启动交 易时,交易数据可以包括PAN、到期日期和/或卡验证值(CVV)。
[0159] 在一些实施例中,可与动态令牌一起使用非SE移动设备。移动设备可以包括支付 应用,例如发卡机构支付应用、钱包提供商应用和/或PPN参考应用。非SE移动设备可以 使用动态令牌来执行芯片交易。用于芯片交易的交易数据可以包括轨道2数据、dCVV、应用 密文、支付应用数据和ATC。在一些实施例中,移动设备处的支付应用可以产生包括动态令 牌的QR码(例如,快速响应码、条形码)。交易数据类型可以包括芯片交易,它可以包括轨 道2数据、dCVV、应用密文、发卡机构应用数据和ATC。
[0160] 在1302,消费者从移动令牌化枢纽1310请求令牌。使用在注册期间创建的共享秘 密信息,在1304,移动令牌化枢纽通过推送通知云向消费者应用发送询问请求。在1306,消 费者向令牌化枢纽输入在账户注册期间创建的秘密响应。在1308,如果在1306返回的秘密 响应是正确的,则令牌化枢纽向消费者应用发送动态令牌。
[0161] 在1312,消费者可以使用令牌启动与商家1314的交易。例如,令牌可以被封装到 QR码中且显示在移动设备上。然后,消费者可以在商家销售点终端上扫描所显示的代码。 替代地,可以使用NFC或其他射频通信把令牌从用户设备传输给商家P0S。也可以从支付应 用在线执行交易,而不要求与商家P0S进行任何交互。在1316,商家1314可以把带有动态 令牌的交易提交给商家的受让方1318。因为动态令牌被格式化为匹配预期账户标识符,所 以不要求商家或受让方系统不需要进行修改就可以使用该令牌。在1320,受让方1318把带 有该令牌的交易提交给支付处理网络(PPN) 1322。
[0162] 在1324,PPN把动态令牌识别为PAN替代品。例如,该令牌的一部分可以包括指示 该令牌是令牌的代码。PPN向CTC模块发送对与该令牌相关联的PAN的请求。该请求可以 包括经由商家和受让方从移动设备接收的交易数据(例如消费者和设备信息)。CTC模块 可以通过把该设备信息和与令牌相关联的设备信息进行比较来验证交易请求。如果CTC验 证该交易,则它可以查找与令牌相关联的PAN,并把该PAN返回给PPN。在1326, PPN可以与 发卡机构1328 -起使用从CTC检索的PAN处理交易。PPN可以向受让方和商家提供指示是 否批准该交易的响应。
[0163] 图14示出根据本发明的一种实施例的非安全元件(非SE)和动态令牌产生流。在 步骤1,消费者例如通过在钱包应用、发卡机构支付应用、支付处理应用或消费者的移动设 备1400上的其他数字钱包中选择账户别名来发起交易。在步骤2,支付应用1402通过移动 令牌化枢纽API向移动令牌化枢纽1406发送对动态令牌的请求。支付应用可以在新的令 牌请求中包括PAN别名、设备信息和购买额度(amount)。
[0164] 在步骤3,移动令牌化枢纽1406可以从凭证存储1408检索该设备的共享秘密细 节。共享秘密细节可以由消费者在设备注册期间提供,如上所述。在步骤4,移动令牌化枢 纽可以选择共享秘密问题中的至少一个并将其发送给支付应用。在步骤5,支付应用可以 在移动设备1400上向用户显示秘密问题。在步骤6,支付应用接收消费者对秘密问题的响 应,且在步骤7,加密该响应并将该响应发送给移动令牌化枢纽1406。
[0165] 在步骤8,移动令牌化枢纽1406可以验证对由消费者提供的共享秘密的响应。如 果该响应正确,则移动令牌化枢纽可以基于该设备信息确定为该设备产生的令牌的类型, 且随后,可以向CTC模块1410发送产生该类型的新令牌并为该令牌注册PAN的请求。在这 一示例中,移动令牌化枢纽可以确定该设备不包括安全元件,且可以向CTC发送为该设备 产生动态令牌的请求。在步骤9, CTC模块可以产生新的令牌并存储新的令牌与PAN的关 联。CTC可以把真实PAN、发卡机构BIN或产品信息存储在CTC内以供将来处理。
[0166] 在步骤10,移动令牌化枢纽1406可以向支付控制模块1410发送为该令牌创建支 付控制的请求。支付控制可以基于交易的额度。在步骤11,移动令牌化枢纽可以向支付应 用1402发送动态令牌。在步骤12,支付应用1402可以把带有从移动令牌化枢纽1406接收 的动态令牌的交易提交给应用提供商1404。然后,如上面参考图13描述的,可以处理该交 易。
[0167] 图15示出根据本发明的一种实施例的备选的非安全元件(非SE)和动态令牌产 生流。在图15中所示出的实施例中,可以产生动态令牌并将其发送给消费者的移动设备 1500而无需首先使用先前供应的秘密答案来确认消费者的身份。类似于图14,在步骤1,消 费者通过在诸如钱包应用、发卡机构支付应用或其他数字钱包之类的支付应用1502中选 择对应于支付账户的别名账户来发起支付过程。在步骤2,支付应用可以向诸如钱包提供商 或发卡机构系统之类的应用提供商1504发送令牌请求。该令牌请求可以包括PAN别名、设 备信息和购买额度。在步骤3,应用提供商1504通过移动令牌化枢纽令牌请求API向移动 令牌化枢纽1506发送令牌请求和设备信息。在步骤4,移动令牌化枢纽1506可以基于设备 信息确定为该设备产生的令牌的类型且可以从凭证存储1508检索PAN细节。例如,凭证存 储可以包括把账户别名映射到账户标识符的数据结构。
[0168] 在步骤5,移动令牌化枢纽可以向CTC模块1510发送产生具有在步骤4中确定的 类型的新令牌并为该令牌注册PAN的请求。在一些实施例中,在向CTC模块发送该请求之 前,移动令牌化枢纽可以把随令牌请求提供的设备信息和在消费者首次注册账户时提供的 设备信息进行比较。如果该设备信息匹配,则把令牌请求发送给CTC模块1510。如果该设备 信息不匹配,则可以执行附加的认证方法以便确认消费者的身份。在步骤6, CTC模块1510 可以产生新的令牌并存储与PAN的关联。在步骤7,移动令牌化枢纽可以向支付控制模块发 送例如基于交易数据中所包括的购买额度为给定PAN创建支付控制的请求。
[0169] 在步骤8,移动令牌化枢纽可以把所产生的动态令牌递送给支付应用提供商。在步 骤9,支付应用提供商可以把令牌发送给支付应用。在步骤10,支付应用可以提交带有从移 动令牌化枢纽接收的动态令牌的交易。然后,如上面参考图13描述的,可以处理该交易。 V.批量请求
[0170] 在一些实施例中,可以以批量格式接收令牌请求。例如,设备生产商可以发送对令 牌的批量令牌请求以便在递送给消费者之前预先预设给多个不同的移动设备。在一些实施 例中,钱包提供商、发卡机构和/或PPN参考应用可以向移动令牌化枢纽发送批量令牌注册 请求,以便在移动令牌化枢纽中注册所有现有的消费者的设备/卡信息。批