交易的委托的制作方法

本申请要求2015年12月11日提交的欧洲专利申请序列号15199664.2的申请日的优先权和权益，该欧洲专利申请特此通过其整体引用而并入。

本发明一般涉及对于交易的用户识别和认证。实施例涉及对支付设备进行用户的认证，其中特定的实施例涉及第二用户的认证。

背景技术：

支付卡(诸如信用卡和借记卡)非常广泛地用于所有形式的金融交易。近年来，这些支付卡的使用随着技术的发展已显著地演变。许多支付在零售地点进行，通常其中物理支付卡与销售点(pos)终端进行交互以支持交易授权。这些支付卡可以通过刷过磁条读取器来与pos进行交互，或者对于“芯片卡”或“智能卡”而言，通过与智能卡读取器直接接触(根据标准iso/iec7816)或者通过经由局部短程无线通信的非接触交互(根据标准iso/iec14443)来与pos进行交互。为了确保账户持有者请求支付，持卡者验证的使用被使用，其中，通常通过输入到pos或移动支付设备中的个人标识号(pin)来对用户进行认证。签名是早期的认证范式，现在一般仅在pin不可用时才被使用。出于其它的目的，若干其它的认证范式被使用：指纹、面部识别、语音识别和手势都被一定程度地使用，其它生物计量和其它标识符也是一样。这些认证方法中的几个认证方法可以用于通过用户移动电话来进行认证。

用户行为的更好的理解和更佳的测量已允许在支付设备交易中进行更复杂的欺诈检测。进一步的发展已是使用户确定他们自己允许的或预测的行为，由此对由可能不是持卡者的账单支付者担保的一组卡或单个卡的使用设置界限，并且当活动已在用户设置的界限之外时允许特定的使用约束和更强的欺诈检测。这可以例如利用“incontrol”解决方案的所有人的使用来实现—卡发行者使用“incontrol”提供网站或移动app，其使得被授权用户能够在那个用户的控制下对卡设置各种不同的限制和许可(permission)。

目前，存在将期望持卡者将他们的卡或其它支付设备的使用委托给另一个人的情形，但是这当前产生了法律和实用困难。将期望的是使得能够实现可用于支持被委托的交易的各种用户交互可能性。

技术实现要素：

在第一方面，本发明提供了一种使用支付凭证执行交易的方法，其中，支付凭证包含在被配置为代表交易中的用户的设备中，支付凭证的发行者和用户已为被委托的用户确立了许可的使用和认证选项；该方法包括：被委托的用户使用支付凭证来与支付网络基础设施的终端执行交易，其中，被委托的用户所使用的认证选项和交易通过支付网络基础设施提供给发行者；由此发行者的发行者认证模块被配置为如果交易落在许可的使用内并且认证选项对于被委托的用户是有效的，则允许交易。

该方法允许将进行交易的能力从用户有效地委托给使用用户的账户、但是在用户的有效控制下的受托人(delegate)。如下面所讨论的，该方法是极其通用的，并且可以在若干使用模型中采用。

在一种类型的实施例中，支付凭证是计算设备，其中，该计算设备被编程为充当支付凭证并且充当适于与发行者确立许可的使用的管理设备。该计算设备可以例如是蜂窝无线电信手机。

在另一类型的实施例中，支付凭证与适于充当与发行者确立许可的使用的管理设备的任何计算设备是分离的。这样的支付凭证可以是支付卡，但是可以是被交易处理系统的终端识别为适于发起交易的任何元件。

在实施例中，支付凭证适于使用emv协议发起交易，并且其中，在发行者应用数据中传送选择的认证选项。可以在pin尝试计数器内传送选择的认证选项。

在发行者是在线的实施例中，如果许可的使用和认证选项对于被委托的用户不是都有效的，则交易可能不被执行。

在发行者是离线的实施例中，交易可以在支付设备处有效认证之后完成。

认证选项可以包括生物计量标识符。

在第二方面，本发明包括一种适于在前述任一项权利要求的方法中使用的支付凭证。

在第三方面，本发明提供一种适于用作管理设备的计算设备，该管理设备用于在上述适当方法中使用。

附图说明

现在将通过示例的方式、参照附图来描述本发明的实施例，其中：

图1示出其中可以使用本发明的实施例的示例性交易系统；

图2a和图2b分别示出用于在本发明的实施例中使用的移动设备和发行银行应用服务器的元件；

图3示出根据本发明的方面的对移动设备进行认证的方法；

图4例示本发明的实施例中所使用的被委托的交易的使用模型；

图5例示根据本发明的实施例的实现图4的使用模型的过程流程；以及

图6例示图4的使用模型的替代物。

具体实施方式

下面将参照附图来描述本发明的具体实施例。

图1示出其中可以使用本发明的实施例的示例性交易系统。

用户(未示出)被提供支付设备—这可以是例如支付卡1a。如稍后将讨论的，在本发明的实施例中，支付设备可以是可用于允许用户访问交易基础设施以进行支付的任何元件。

用户还被提供支付管理设备以允许用户管理他们的账户上的支付。这里，这是蜂窝无线电信终端1(但是它可以是任何其它的移动计算设备—在实施例中，这甚至不需要是移动装置，并且可以是桌面计算机)。在实施例中，支付管理设备1还可以是支付设备—当支付管理设备1包括如在具有nfc非接触功能的移动电话上所发现的支付能力时，它可以充当支付卡1a的代理。支付设备的另一可能选项可以是便携式消费者设备，诸如智能手表、腕带、环、车钥匙坠或本领域有经验的人员将其分类为可穿戴1a的其它设备—这样的设备还可以充当支付管理设备1以允许用户管理他们的账户上的支付。

这里，主用户11与受托人12一起示出。如下面将讨论的，本发明的实施例涉及主用户11可以以许可的方式允许受托人12使用支付设备1a来执行交易的方式。

支付管理设备和支付设备通常具有处理器和存储器，这些存储器用于存储信息，该信息包括由相应的处理器运行的固件和应用。支付设备通常将配备有与支付基础设施的其它元件通信的手段。这些通信手段可以包括使得能够借助于iso/iec7816芯片接口进行通信的天线以及相关联的硬件和软件，或者可以包括非接触卡协议，诸如根据iso/iec14443和emvcobookd定义的那些，或者它们可以包括允许使用802.11协议的局部无线联网的天线以及相关联的硬件和软件，或者上面的任何组合。

传统基础设施中的其它计算机装备通常是固定的，但是在感兴趣交互点(poi)终端2的情况下，也可以是便携式的。所示的示例是与用户交互的商家使用的移动销售点(mpos)终端。这样的装备通常以安全的方式(要么通过专用信道，要么通过公共信道或不安全信道上的安全通信机制—这里连接被示为经过公共因特网8)连接到或可连接到收单银行6或其它系统。还示出了允许支付管理设备1和与用户相关联的卡发行银行5或系统之间的连接的机制。银行业务基础设施7还将连接卡发行者5和收单银行6，从而允许交易在它们之间进行。

发行银行应用服务器3被明确地示为发行银行5的一部分。虽然在这里被指示为单个计算系统(其包括处理器、存储器、通信以及这样的系统的任何其它相关元件)，但是发行银行应用服务器3可以作为普通计算系统的元件与发行银行的其它元件一起提供，可以包括物理上或逻辑上分开的元件，或者甚至可以整个地或部分地实现为由可信第三方提供商(诸如银行业务基础设施的提供商)提供的服务。发行银行5通过发行银行应用服务器3提供的两个功能元件被更详细地示出。这些是发行者认证模块9和发行者客户服务器10。发行者认证模块9被示为直接连接到支付管理设备1(在一些使用情景下可能如此)，但是在许多情况下，将通过银行业务基础设施7来访问发行者认证模块以对用户进行认证、从而证实交易。发行者客户服务器10也被示为连接到支付管理设备1，但是用户可以使用任何合适的计算设备连接到发行者客户服务器10。在实施例中，用户使用发行者客户服务器10来设置与用户账户的使用相关的许可。

图2a和2b示意性地例示用户支付管理设备1和发行者系统的相关功能，发行者系统包括发行者认证模块9和发行者客户服务器10。

图2a示出支付管理设备1，可以是移动手机，但是应注意，在本发明的实施例中，任何其它的便携式计算装置(诸如膝上型电脑、笔记本或平板计算机、或者甚至固定装置(诸如桌面计算机))可以用作计算装置。支付管理设备包括处理器201和存储器202，使得存储器存储应用并且处理器随后将运行这些应用(一般被示为驻留在应用空间203中)，这些应用诸如是支付管理应用203a、指纹扫描应用203b和语音识别应用203c—指纹扫描应用203b和语音识别203c是可以用于用户的认证以补充或代替其它认证机制(诸如应用内的密码)的示例性生物计量应用，其中其它生物计量替代物(诸如面部和手势识别)也可供使用。支付管理设备具有用户接口，用户接口包括显示器204和触摸屏205(或其它输入设备)以及相关联的驱动程序以允许用户将数据输入到应用203中并且从应用203查看信息。支付管理设备1还具有通信能力，诸如共同提供连接到蜂窝通信网络的能力的订户信息模块206和无线通信元件207，另外地或替代地，支付管理设备1可以包括wifi或有线网络接入。支付管理设备可能需要执行加密操作以便与银行应用服务器3安全地交互。

图2c描述支付卡1a的元件可能需要执行加密操作以便与pos终端安全地交互或支持特定的认证方法—这可以通过诸如防篡改元件中的安全处理环境209的加密能力来实现—该安全处理环境(其可以包括加密处理器和存储器的安全区域)还可以保存用于由主应用空间203中的应用使用的秘密，或者这些应用的部分可以在安全处理环境209内运行。在实施例中，支付管理设备1和支付卡1a可以是同一设备。图2b描述发行银行应用服务器3的元件。这被示为包括具有处理器221和存储器222的处理环境220和相关联的通信功能223。通信功能可以包括允许与支付网络基础设施7通信的联网能力，将存在允许将受安全保护的、与支付管理设备1通过公共网络的通信的电信能力。处理器221是处理能力的表示，并且在实践中可以由几个处理器提供。其它特征(诸如用户数据库)在这里没有明确地示出，因为它们可以通过传统手段来实现，并且不需要进一步被讨论来解释本公开的元件。发行者认证模块9被示为处理环境220内的元件，其中相关联的用户认证数据229存储在存储器222中。发行者客户服务器10也被示为处理环境220内的元件。处理环境220内示出的元件使用处理器221和存储器222来交付功能—在发行者认证模块9的情况下，这是使发行者5向银行业务基础设施7、最终向收单银行6提供合法持卡者涉及交易的确认，而在发行者客户服务器的情况下，这是针对发行银行5的持卡客户。在实施例中，加密处理器231可以用于使得能够在发行银行应用服务器3和支付管理设备1之间安全通信。

图3概括地示出根据本发明的方面的在计算设备处的认证的方法。首先，使多个认证选项对设备的用户可用310—如上面所讨论的，这些可以包括提供密码、生物计量标识符(诸如指纹、语音或面部识别)、或任何其它合适的机制—并且在选择时，执行320适当的认证协议。在大多数实施例中，计算设备是移动设备，特别是移动电话或平板计算机，但是其它实施例适用于更广范围的便携式消费者设备。在成功认证时，将成功认证和选择的认证选项这二者的指示发送330给相关方—在移动设备正被用作支付设备的交易的情况下，这可以是发行银行5或其发行者认证模块9。

该方法与传统认证中所使用的方法的不同尤其是在于，在传统认证中，在移动设备处，认证类型不被记录，并且最特别地，不与确认的认证一起发送给任何远程方。以这种方式保存和发送认证类型允许远程方在做出决定时不仅评估340认证，而且还评估340选择的认证选项。如下面将讨论的，这与至少两种场景相关：对于支付设备的使用向受托人提供许可；以及改进的欺诈检测和预防。

现在将参照图4、图5和图6来考虑被委托的交易。图4例示本发明的实施例中所使用的被委托的交易的使用模型—在这种情况下，支付设备也是可以用作支付管理设备的移动设备。用户11通过移动设备1(或其它计算设备41)与发行者客户服务器10进行交互。用户11已标识了一个或多个受托人12，这些受托人12被许可利用特定的认证方法(诸如受托人生物计量或受托人特定的密码)、通过支付设备(在这种情况下，移动设备1)访问用户账户。这是通过使用支付设备许可软件43在用户11和发行者客户服务器10之间、连同对使用的任何限制或控制一起确立的—支付设备许可软件43可以例如是所有人的incontrol软件的修改版本。在通过使用受托人特定的认证方法受托人12将移动设备1用作支付设备(这里被示为与终端2的交互)时，交易细节通过银行业务基础设施传递回发行银行5(为方便起见，发行银行5与发行者客户服务器10分开地示出，但是其与发行者客户服务器10进行交互)，交易细节不仅包括移动设备1处的认证的指示，而且还包括认证方法的指示(这足以将认证识别为受托人认证)。发行银行5使用通过支付设备许可软件确定的许可，可以不仅确立受托人12的使用是否是合法的，而且还确立它是否落在由用户11确立的许可的使用内。

图5例示根据本发明的实施例的实现图4的用户模型的过程流程。首先，用户和发行者为受托人确立510许可的使用和认证选项。受托人使用520支付设备来执行交易，其中，受托人所使用的认证选项和交易信息被提供530给发行者。如果交易落在许可的使用内并且认证选项对于受托人是有效的，则发行者允许540交易—在一些情况下，该步骤可以在交易已完成之后发生，在这种情况下，其它动作(诸如账户暂停，直到发行者和用户之间直接通信)可以代替地发生。

现在将更详细地描述图5中阐述的每个步骤。

用户和发行者可以首先通过使用由发行者客户服务器10托管的适当的支付设备许可软件43(其中用户通过他们的移动设备1或其它计算设备41上的客户端进行交互)来确立谁是合法的受托人、该受托人的许可的使用是什么以及该受托人的认证选项。该支付设备许可软件43可以在本申请人的incontrol软件的功能上进行扩展，尽管对于本发明的实施例采用incontrol的现有功能不是必须的。incontrol软件类似地托管在发行者客户服务器10上，或者以其它方式代表发行者。它当前允许用户对他们自己的超出发行者允许的信用限制的使用行为设置限制，并且可以例如被用来控制家庭中或工作组中的持卡者的使用行为—在这些情况下，卡“所有者”可以不同于卡“用户”，并且它通常是设置这些许可的、最终负责为支付设备的使用付账的所有者。

功能的扩展允许用户确立能够使用支付设备(该支付设备一般将是支付卡的代理，并且在该情景下，在以下讨论中为方便起见称为“卡”)的受托人。这不同于现有的布置，在现有的布置中，卡所有者可以负责多个支付设备，但是这些具有它们自己的单独的持卡者—卡所有者目前不具有为卡所有者也是持卡者的卡确立受托人的机制。当前，这将被认为是有问题的，主要是由于对认证的担心(其在本发明的实施例中被解决)。新功能允许受托人被确立并且该受托人的认证选项也被确立—受托人许可可以针对受托人以与incontrol中相同的方式确立，从而允许货币和时间使用限制、地理限制、或者甚至对于与特定商家一起使用或对于特定交易类型的限制被确立。

受托人的确立应以用户和受托人这二者认为足够安全的方式来实现。受托人身份将需要在用户会话中确立—一个可能性于是将是使受托人也存在于会话中并且在会话期间完成受托人细节和受托人认证选项，此时，用户具有该过程的合理的可见性。这可以是适当的选项，如果受托人意图使用物理支付设备—诸如移动设备1—其也被用于与支付设备许可软件的相关的会话。移动设备1可以被简单地交给受托人以输入受托人细节并且确立受托人认证选项。这可以是受托人个人的密码，或者可以是生物计量，诸如受托人指纹。这还将意味着，与受托人认证选项相关联的安全数据可能不需要被发送到移动设备本身以外，并且可以被保存在该设备的安全区域中。

确立受托人细节的另一选项将是使用户为受托人提供足够的细节以允许受托人建立他或她自己与发行者客户服务器10的会话。这可以例如涉及用户利用分开的通信路径—诸如电子邮件地址和移动电话号码—提供两个受托人凭证以允许在确立受托人认证选项的受托人会话中进行双重交互。该方法为用户、受托人和发行者提供合理等级的安全。

受托人对支付设备的使用本质上与用户的使用是相同的—受托人以相同的方式参与交易，并且当被要求提供认证时，提供受托人认证选项。从商家和收单银行的角度来讲，现有过程没有改变。然而，交易细节被以仅与发行银行和银行业务基础设施相关的方式修改。紧接着下面讨论这样做的一种合适的方式。

对于支付设备，可能存在多于一种的持卡者验证方法(cvm)可用。对于与芯片和pin终端交互的物理卡，标准cvm是在线pin(个人标识号)，在在线pin中，pin信息被输入并且被发送给卡发行者，而对于离线pin交易，不存在与发行者的在线通信，而是支付设备自己进行pin检查。主要的支付设备标准是行业通过emvco开发的那些，emvco在https://www.emvco.com/specificatoins.aspx上提供了规范。在实践中，生物计量、手势和其它认证方法可以在支付设备处被用作用户认证协议的一部分，但是这些在任何记录的交易信息中没有被区别(它们通常将根据是否存在与发行者的直接接触而被当作在线pin或离线pin)。然而，存在根据emvco协议提供给发行者的、来自交易的特定信息—这被称为发行者应用数据(iad)。iad消息可以被扩展以承载表示cvm类型的附加的一个或两个字节的数据—值可以被选择为不仅指示所使用的cvm的类型，而且还指示pin(或等同物)是与用户有关、还是与受托人有关。将不改变现有消息大小的替代方法将是超载(overload)相关字段，诸如跟踪已进行的认证尝试的次数的pin尝试计数器—这可以不需要整个字节，特别是当大多数安全协议将要求任何认证方法在整个字节的认证尝试已进行之前中止时。这可以例如通过pin尝试计数器的低效半字节(值0…7)保留它们的原始功能、但是高效半字节(值8…f)承载cvm类型(指纹、密码、pin、手势、受托人标识符……)来进行。这允许交易细节被商家、收单银行以及银行业务基础设施的大多数部分以通常的方式处理，同时允许cvm类型信息被发行者、银行业务基础设施或代表发行者行动的另一方使用，或者在一些方法中，被银行业务基础设施独立于发行者使用。

当交易细节到达发行者(具体地发行者认证模块9)时，可以使用cvm类型信息来确定cvm是与持卡者有关、还是与受托人有关(如下面进一步所讨论的，在记录cvm类型时，存在除此之外的其它益处)。发行者然后将确定交易是否落在由用户/持卡者和发行者对受托人确立的许可的活动内。如果是这样，则交易可以被相应地授权或拒绝(对于在线交易)，或者被适当地标记(如果交易是离线的并且完成)，从而防止相关持卡者账户的进一步使用，直到该情形已被合法化。

图4示出支付设备1，它也是支付管理设备。如在上面的讨论中所指示的，支付设备和支付管理设备可以是分开的，并且任何一个都不需要是蜂窝移动电信手机。这样的布置在图6中示出。

图6的大多数元件如图4所示。如前面那样，用户11通过计算设备—在这种情况下，个人计算机41—与发行者客户服务器10进行交互。用户11确立受托人12进行的交易的许可以及受托人的凭证—通常这现在将是在线pin。

要被受托人使用的支付设备可以是若干不同类型的对象中的一个，其中共同特征是每个均可以用作使用用户的账户发起交易的机构。如上面所讨论的，这可以是移动电话，并且可以是可穿戴设备—在可穿戴设备的情况下，支付设备可以由配对的可穿戴和计算设备(诸如移动电话)提供。在一些情况下，这可能是因为支付设备能够积极地行动来发起交易(如图4情况中那样)，而在其它情况下，支付设备可以是包含足够的存储的账户细节以允许终端发起交易的支付凭证(如对于传统支付卡的磁条那样)—这在下面被称为令牌。

该使用模型对于用户/受托人交互可能更有吸引力，特别是在受托人是用户的照顾者的情况下—在这种情况下，图4模型可能不是适当的，因为移动电话41可能是用户的可能需要总是为用户占有的关键物品。另一令牌(诸如支付卡1a)可能更容易让用户放下。该支付卡1a可以是传统的信用或借记卡或另一卡类型—诸如存储卡—其中附加信息存储在卡上或其它地方以允许访问必要的账户细节。这个的替代物是提供其上存储有账户信息(例如，其中存储器通过rfid机制访问)的诸如笔62的令牌，该账户信息还可以用于启用使用该账户的交易的入口。支付卡1a或其它令牌然后将与终端2交互以以适当的方式建立交易，该交易然后将如上面参照图4和图5描述的那样继续进行。

在一些情况下，令牌可以与交易的目的直接相关。所示的一个可能的令牌是汽车61—用户账户信息可以被编程在车里使得它可以被向终端传送，或者汽车可以被编程为充当用户的账户的支付设备。用户11可能已确立受托人12被许可出于给汽车61加燃料的目的使用用户的账户。在这种情况下，受托人可能仅能够将汽车61开到相关加油站，通信可以在汽车和加油站终端之间建立，并且受托人的凭证(诸如在线pin)的输入将足以允许补给燃料交易发生。

虽然上面详细描述的实施例主要涉及支付设备，但是可以在其它情景下提供本发明的实施例。物品的被委托使用在其它情景下可能是期望的，诸如旅行或活动票券的使用。如果票券发行者许可委托给另一标识方，则上述方法可以用于在用户同意的情况下并且在票券发行者同意和控制的情况下允许票券的委托以供另一方使用。本发明的范围由权利要求的精神和范围限定，而不是由这里描述的实施例限制。