用于验证支付设备的用户的系统的制作方法

本发明涉及用于提高支付设备(特别是使用近场通信(nfc)的非接触式支付设备)的安全性的系统和方法。

背景技术：

如今许多支付是以电子方式进行的。为了授权支付交易，用户需要给出真实有效的设备(通常是借记卡或信用卡)，以及某种用户验证(诸如个人识别码或pin)。这允许信用卡或借记卡的发行方(issuer)验证用户的身份，使得可以处理交易。

最近，信用卡和借记卡已经提供有非接触式技术，当卡被呈现给非接触式读取器时，该技术允许支付被授权。通常，允许这些没有任何用户验证的非接触式支付达最大价值，诸如30英镑。这为用户快速支付物品提供了方便的机制。

非接触式支付卡提供商面临的一个挑战是，如果丢失或被盗，那么它们容易被滥用。这通过在销售点终端中存在无需用户验证的情况下的交易的最大支付金额来减轻。但是，只要每笔交易的金额低于这个最大值，丢失或被盗的卡就仍可用于不受限数量的无需任何用户验证的交易。为了解决这个问题，一些非接触式支付卡和设备包括内部计数器，该计数器维护利用该设备发生的未经验证的交易的累计数量和/或金额。当发起新的未经验证的交易时，支付设备检查添加新交易是否会使未经验证的交易的累积数量和/或货币金额超过发行方设定的预定阈值。如果是这种情况，那么可以提示用户将他们的卡插入销售点终端并验证他们的身份(例如，通过输入有效的pin)。在成功验证用户的身份后，发行方可以向仍然存在于销售点终端中的支付设备发送命令，从而重置其内部计数器。随后，用户可以再次使用该设备进行一定数量和/或金额的未经验证的交易。

最近支付方面的发展试图使可用于支付的设备的数量和类型多样化。特别地，期望能够使用诸如手表和手环之类的可穿戴设备来进行非接触式支付。这些支付设备只能发起非接触式支付，并且它们可能缺乏可用于用户验证的任何用户界面。因此，如上所述的减轻非法使用丢失和被盗设备的风险的方法可能是不可行的，因为它涉及允许发行方发送命令以重置针对未经验证的交易的内部计数器的联系事务(contacttransaction)。本发明的一个目的是克服和减轻这些问题中的一些。

技术实现要素：

根据本发明的一方面，提供了一种验证与支付设备相关联的用户的方法，包括以下步骤：从支付设备接收第一支付请求；与发行方通信，以请求对第一支付请求的授权；从发行方接收对拒绝第一支付请求的指示；存储关于与被拒绝的交易相关联的所述支付设备的信息；从所述支付设备接收第二支付请求；如果确定第二支付请求由针对其存储了信息的所述支付设备发起，那么请求来自用户的验证；从用户接收验证信息；基于接收到的验证信息验证用户的身份；以及基于用户的成功验证，与发行方通信，以请求对第二支付请求的授权。

以这种方式，发行方可以拒绝第一支付请求。拒绝第一支付请求的一个原因可以是确定支付设备的用户需要验证。如果用户在第二支付请求中再次尝试支付，那么这可以在销售点设备处基于所存储的与被拒绝的交易相关的信息而被检测到。通过获得真实用户知道的东西(例如，pin)或真实用户的固有特征(例如，指纹或虹膜扫描)，可以发生对用户的验证。这个信息与第二支付请求一起被发送给发行方，从而允许发行方在授权和处理支付之前验证用户。以这种方式，发行方可以在其授权主机系统上维护未经验证的交易的数量和/或金额的记录，并通过基于这些记录要求进行用户验证来减轻由丢失或被盗设备进行的非法交易的风险。这也可以消除在支付设备本身中存在计数器以管理这种风险的需要。

优选地，第一和第二支付请求是非接触式支付请求。非接触式支付设备的目标之一是使用户能够快速完成支付交易，而无需输入pin码或提供其它类型的标识以供验证。但是，这也使得非接触式设备在丢失或被盗时易受攻击。当应用于仅可用于非接触式支付并且缺乏直接验证用户的能力的支付设备时，该方法可以是特别有用的。这样的非接触式支付设备被设想用在许多可穿戴设备中，包括手表和手环。

当确定需要验证用户时，发行方优选地提供对第一支付请求的拒绝。发行方可以出于各种原因而确定需要验证用户。例如，可以基于存储在发行方处的与支付设备相关的数据与阈值的比较来确定需要验证用户。发行方处存储的与支付设备相关的数据可以包括未经验证的交易的数量或未经验证的交易的值。因此，如果支付设备已经被使用超过预定数量的交易，那么可以要求验证用户。如果支付设备丢失或被盗，那么新的承载者(bearer)可以只能使用该设备进行支付直到达到发行方的授权主机系统中的阈值为止。在一个示例中，发行方阈值可以是十个未经验证的交易。

作为替代，发行方的授权主机系统中的阈值可以涉及交易的累积价值，而不是它们的数量。例如，发行方可以允许未经验证的交易达到预定值，诸如100欧元。

发行方还可以基于其它行为确定需要验证用户。例如，支付率的突然增加可以提示发行方请求验证。在另一个示例中，支付请求的地理位置或模式的改变可以提示发行方请求验证。

发行方可以维护未经验证的交易的数量或未验证交易的值的计数，以与阈值进行比较。这可以与在支付设备中维护计数的其它方法形成对比。有利地，这可以提高缺乏维护内部计数器的能力或者缺乏与发行方通信的能力的设备的安全性，使得一旦超过阈值就可以重置内部计数器。这些包括仅可以用于非接触式支付的设备，因为它们的使用方法防止发行方重置内部计数器。

优选地，基于对用户的成功验证来重置发行方处所存储的数据。当发生成功验证并且该成功验证由销售点设备传送给发行方时，发行方处的关于未经验证的交易的数量和/或未经验证的交易的累计值的计数器可以被设置为零。

优选地，该方法在销售点设备中执行，并且关于与被拒绝的交易相关联的所述支付设备的信息存储在销售点设备中的存储单元中。以这种方式，可以使用经修改的销售点设备来提示对用户的验证。在典型的场景中，用户将把他们的支付设备呈现给销售点设备，并且如果满足某些标准，那么发行方可以拒绝交易。然后，用户将再次将他们的支付设备呈现给销售点设备，以便重新尝试支付(在第二支付请求中)。销售点设备将基于存储单元中的信息来确定支付设备与被拒绝交易相关，并且这可以被用于提示对进行用户。

该方法可以涉及在销售点设备上显示与对第一支付请求的拒绝相关的信息。以这种方式，可以使用户和商家意识到对第一支付请求的拒绝。该方法还可以包括显示拒绝的原因。在一个示例中，销售点设备可以显示因为用户最近未被验证所以第一支付请求已被拒绝的指示。这可以提示用户再次将支付设备呈现给支付设备读取器，其提示经由用户验证单元对用户进行验证。

在拒绝第一支付请求之后，用户可能不会尝试第二支付请求。在这些情况下，用户可以稍后使用不同的销售点设备尝试支付。在这些情况下，支付请求也将被拒绝。但是，用户可以继续使用不同的销售点设备来完成验证。在这些情况下，第一销售点设备将继续存储与支付设备和被拒绝交的易相关的信息。有许多方式可以处理这个问题。首先，关于被拒绝的交易的信息可以继续被存储在第一销售点设备中。因此，如果用户尝试再次使用第一支付设备，那么将请求验证，即使发行方处的计数器不要求用户被验证。可替代地，第一支付设备处存储的信息可以仅存在预定时间段或者针对预定数量的被拒绝的交易存在。因此，如果用户没有立即做出第二次支付请求，那么销售点设备可以假设他们已经移到其它地方，并且将再次将第一支付请求传递给发行方以供接受/拒绝。这种替代布置可以是优选的，因为它将减少对用户的不必要的验证。

根据本发明的另一方面，提供了一种销售点设备，包括：支付设备读取器；处理器；用户验证单元；通信模块，被配置为与发行方通信；以及存储单元；其中支付设备读取器被配置为从支付设备接收第一支付请求；其中通信模块被配置为与发行方通信，以请求对第一支付请求的授权；其中通信模块被配置为从发行方接收对拒绝第一支付请求的指示；其中处理器被配置为在存储单元中存储关于与被拒绝的交易相关联的所述支付设备的信息；其中支付设备读取器被配置为从所述支付设备接收第二支付请求；其中处理器被配置为通过确定第二支付请求来自在存储单元中针对其存储了信息的所述支付设备，来请求来自用户的验证；其中用户验证单元被配置为从用户接收验证信息并验证用户；以及其中通信模块被配置为基于对用户的成功验证，与发行者通信以请求对第二支付请求的授权。

销售点设备可以作为集成单元提供，或者各种部件可以分布在多个分开的设备中。特别地，存储单元可以在集成单元内提供，或者可以在别处提供并通过网络访问。

优选地，支付设备读取器是非接触式支付设备读取器。非接触式支付设备读取器和支付设备可以使用近场通信(nfc)技术，诸如射频识别(rfid)之类。

根据本发明的又一方面，提供了一种支付系统，包括：如先前定义的销售点设备；以及发行方，被配置为与销售点设备通信。

支付系统还可以包括支付设备。优选地，支付设备仅被配置为用于非接触式支付并且缺乏用于用户验证的能力。例如，支付设备可以是缺乏常规用户识别手段(诸如用户界面或指纹读取器之类)的手表或其它可穿戴设备。

用户验证单元可以是用户可以用来输入pin的用户界面。可替代地，用户验证单元可以是指纹读取器或某种其它生物计量读取器。

根据本发明的又一方面，提供了一种包括计算机可执行指令的计算机可读介质，当所述计算机可执行指令在计算机上执行时，使处理器执行以下步骤，包括：从支付设备接收第一支付请求；与发行方通信，以请求对第一支付请求的授权；从发行方接收对拒绝第一支付请求的指示；存储关于与被拒绝的交易相关联的所述支付设备的信息；从所述支付设备接收第二支付请求；如果确定第二支付请求来自针对其存储了信息的所述支付设备，那么请求来自用户的验证；从用户接收验证信息；以及基于对用户的成功验证，与发行方通信以请求对第二支付请求的授权。

可以在下载服务器处提供计算机可读介质，并且可以将计算机可执行指令下载到销售点设备。以这种方式，可以向销售点设备提供软件升级以启用上述步骤的操作。

附图说明

现在参考附图通过示例描述本发明的实施例，其中：

图1是本发明实施例中的支付系统的示意图；

图2是图示在本发明实施例中可以在支付系统中发生的操作的流程图；以及

图3是图示在本发明另一个实施例中可以在支付系统中发生的操作的另一个流程图。

具体实施方式

图1是支付系统的示意图，包括非接触式支付设备2、销售点设备4和发行方6。销售点设备包括处理器8和通信单元10。销售点设备4被配置为通过网络22与发行方6通信。销售点设备4还包括显示屏16。

销售点设备4包括非接触式读取器14，其被设计为使用近场通信(nfc)与非接触式支付设备2交互，如本领域中已知的。销售点设备4还包括存储单元12和用户验证单元14。用户验证单元14可以被实施为用户可以输入pin的小键盘。可替代地，用户验证单元14可以被实施为指纹读取器或某种其它生物计量读取器。

支付系统还包括下载服务器20。下载服务器20被配置为通过网络22与销售点设备4和/或发行方6通信。下载服务器20可以向销售点设备4提供软件升级。

图2是示出本发明实施例中的支付系统的操作的流程图。在步骤100处，销售点设备4从用户接收(第一)支付请求。这是在用户将他们的支付设备2呈现给非接触式读取器14时实现的。在步骤102处，销售点设备4中的处理器8检查与支付设备相关的与被拒绝的支付相关的任何细节是否存储在存储单元12中。如果没有找到细节，那么在步骤104处，通信单元10通过网络22向发行方6发送支付请求。

在步骤105处，发行方6确定在销售点设备4处是否发生了用户验证。对于典型的非接触式支付请求，将不存在用户验证。

在步骤106处，发行方6确定是否可以允许从通信单元10接收的支付请求。在步骤106中，发行方6确定它为与那个支付设备相关的未经验证的交易的数量维持的计数器是否超过阈值。如果未经验证的交易的计数大于阈值，那么在步骤108处，发行方6将向销售点设备4发送指示第一支付请求被拒绝的消息。

销售点设备4从发行方6接收对被拒绝的支付请求的指示，然后，在步骤110处，在显示屏16上显示指示交易已被拒绝的消息。所显示的消息可以指示已超过未经验证的交易的数量并且需要用户验证。在步骤112处，销售点设备4在存储单元12中存储与被拒绝的交易相关联的支付设备2的细节。在一个示例中，可以存储支付设备2的主帐号(pan)。

当在步骤100处接收到另一个支付请求(第二支付请求)时，图2中所示的处理可以再次开始。这是在用户将他们的支付设备2呈现给非接触式读取器14时实现的。在一些实施例中，用户实际上可以通过显示屏16上显示的消息被提示再次将他们的支付设备2呈现给非接触式读取器14。可替代地，用户可以简单地响应于第一交易的拒绝而尝试第二支付。

在步骤102处，销售点设备4中的处理器8检查与支付设备相关的与被拒绝的支付相关的任何细节是否存储在存储单元12中。在这种情况下，处理器8将在存储单元12中找到与先前的支付请求相关的支付设备2的细节。在步骤114处，处理器8请求来自用户的验证。可以在显示屏16上向用户显示验证请求。

在步骤116处，用户验证单元14从用户接收验证信息。在示例实施例中，验证信息可以是指纹或pin，其经由数字小键盘输入。用户身份的验证可以通过进行以下比较来实现：接收到的验证信息与存储在支付设备2中的验证信息，或者更可能是在非接触式交易的情况下，与在授权(第二)支付请求之前通过网络22从发行方6处的服务器检索的验证信息的比较。

在步骤104处，销售点设备4与发行方6通信，包括用户的验证信息，以请求(第二)支付请求的授权。在步骤105处，发行方6确定所提交的用户验证信息是否与从其内部存储器检索出的用户验证信息匹配。如果确认匹配，那么销售点设备4向发行方6发送指示用户已成功完成验证检查的消息。因此，在步骤107处，发行方6重置它为与那个支付设备相关的未经验证的交易的数量而维护的计数器。

在步骤106处，发行方6确定它为与那个支付设备相关的未经验证的交易的数量或累积金额维护的计数器是否超过阈值。由于在步骤107处计数器已被重置为零，因此计数器将小于阈值。因此，在步骤114处，发行方6处理交易，条件是资金可用并且满足其它反欺诈检查。在步骤116处，销售点设备4可以在显示屏16上显示指示交易已经成功的消息。

图3是指示可以在本发明实施例中执行的步骤以及指示在销售点设备4(pos终端)处执行的那些步骤以及在发行方6(发行方主机)处执行的那些步骤的另一个流程图。在这个示例中，当用户设备2被呈现给非接触式读取器14时，交易在步骤200处开始。在步骤204处，处理器8确定是否需要用户验证(cvm)。在这个示例中，将需要对传统的非接触式支付设备进行用户验证，所述传统的非接触式支付设备维护关于未经验证的交易的数量的内部计数器，并且其中确定计数器超过阈值。对于缺乏内部计数器的非接触式支付设备，通常不需要用户验证。

如果需要用户验证，那么在步骤206处使用用户验证单元14请求用户验证并且用户提供验证信息。在步骤208处，从通信单元10向发行方6发送授权请求。在步骤208处发送的授权请求包括对已发生用户验证(cvm)的指示。发行方6还维护每个支付设备的未经验证的交易的数量的计数。在步骤210处，由发行方6维护的计数器被重置为零。在步骤212处，发行方6基于资金的可用性和其它反欺诈检查来确定是否允许支付授权请求。如果在步骤214批准了请求，那么在步骤216处将消息递送到销售点设备。然后在步骤218处结束交易。

如果在步骤204处不需要用户验证，那么在步骤220处，销售点设备4检查与支付设备相关的信息是否存储在存储单元12中。如果主帐号(pan)没有存储在存储单元中，那么在步骤222处，通信单元10向发行方6发送授权请求。在步骤222处发送的授权请求包括对没有发生用户验证的指示(无cvm)。在步骤224处，发行方6确定它为与该支付设备相关的未经验证的交易的数量或累积金额维护的计数器是否超过阈值。如果在步骤226处没有超过阈值，那么在步骤228处更新计数器，以反映已经发生进一步未经验证的交易的事实。然后，发行方6在步骤212处继续决定是否批准交易。如果在步骤226处确定超过阈值，那么在步骤230处将指示交易被拒绝的消息传送到销售点设备4。在这些情况下，销售点设备4在步骤232处在存储单元12中存储与被拒绝的交易相关的pan的细节。然后，交易在步骤218处结束。

如果在步骤204处发生不需要用户验证的交易，但是在步骤220处在存储单元12中存储了匹配支付设备2的pan，那么在步骤206处请求用户验证。因此，如果第一支付请求已被拒绝并且在步骤232处pan被存储在存储单元12中，那么将在接收到涉及相同支付设备2的第二支付请求时将请求用户验证。