证云706可以包括认证服务器计算机(例如,认证服务器计算机400)。
[0146] 第一和第二支付处理网络可以具有任何合适的特性。第一和第二支付处理网 络可以由两个不同的支付处理网络和/或组织运营。不同的支付处理组织可以包括 VisaNet?.、万事达卡全球网络(Mastercard Worldwide Network) ?、发现网络(Discover Network) ?,脉冲(Pulse) 等等。它们可以包括不同的欺诈引擎,以及不同的授权和结 算处理模块和/或不同的安全政策。
[0147] 消费者设备702可以类似于消费者设备202。在一种实施例中,消费者设备702可 以被实现为包括参考图3所描述的组件的移动设备300。认证云706可以包括服务器计算 机,例如先前参考图4所描述的认证服务器计算机400。进一步,如参考图1所讨论的,消费 者可以在发起交易之前向钱包提供商704和/或认证云706注册他们的卡(或支付账户) 细节和电话号码。
[0148] 在步骤1,消费者可以在钱包提供商704的环境内选择货物,且消费者可以经由认 证云706输入他们的卡PIN(或个人标识符)。在一种实施例中,消费者可以使用先前所描 述的交易发起通道中的一种发起交易。可以把这种信息从钱包提供商704发送给认证云 706。认证云706可以向消费者设备702发送提供个人标识符的请求。作为响应,消费者可 以经由认证应用模块(例如,认证应用模块214)输入他们的个人标识符(例如,卡PIN),可 以经由SDK把认证应用模块集成到与钱包提供商704相关联的移动应用。
[0149] 在步骤2,认证云706可以创建零美元授权请求并将其发送给商家处理器708。零 美元授权可以提供在经由第一支付处理网络716发送实际交易以供授权之前验证支付账 号和个人标识符的有效方式。然后,商家处理器708可以经由第二支付处理网络714把零 美元授权请求转发给发行机构710 (例如,发行机构计算机)。商家处理器708可以是可选 组件,且可以备选地用收单机构(例如,收单机构208)来代替。然后,如果PIN匹配先前所 存储的PIN,则发行机构710可以认证该PIN。然后,它可以生成带有认证指示符的认证响 应消息并经由第二支付处理网络714将其发送回去给认证云706和商家处理器708。认证 指示符可以包括验证个人标识符的认证结果。认证云706可以把带有个人标识符的认证指 示符转发给钱包提供商704。
[0150] 在步骤3,钱包提供商704可以从认证云706接收带有肯定认证结果的认证指示 符。然后,钱包提供商704可以生成包括认证指示符的正在实施的实际交易的授权请求消 息,并经由第一支付处理网络716将其发送给发行机构710。授权请求消息可以包括交易金 额、账号、交易指示符和任何其他合适的交易数据。在发行机构710接收实际交易的授权请 求消息之后,它可以通过生成授权响应消息进行响应。可以经由收单机构712把授权响应 消息发送给钱包提供商704。如果该交易得到批准,则在某一时刻(例如,例如在当天的结 束),可以发生清算和结算过程。在一种实施例中,如果认证指示符包括否定认证结果,那 么,钱包提供商704可以不生成授权请求消息。认证云706或钱包提供商704可以向消费 者702发送告知失败的认证的消息。在一种实施例中,在首次失败尝试之后,可以提示消费 者再次输入个人标识符。
[0151] 参考图8描述该处理流程的进一步的细节。图8阐释在本发明的一种实施例中使 用不同网络的PIN认证的无卡交易的流程图。
[0152] 在由消费者操作消费者设备702发起交易时,可以从消费者设备702把交易发起 消息720发送给钱包提供商704。如先前所讨论的,可以使用用于消费者或商家的通道例如 移动发起通道、因特网发起通道、物理销售点发起通道等等来发起交易。在一种实施例中, 消费者可以使用与钱包提供商704相关联的移动应用(例如,移动应用模块320)来选择货 物并用与钱包提供商704相关联的消费者别名发起结账过程。
[0153] 钱包提供商704可以在消息722中把交易细节转发给认证云706。交易细节可以 包括消费者的别名、移动电话号码和支付账户细节。
[0154] 在接收到交易细节之后,认证云706可以向消费者设备702发起认证请求消息 724。例如,认证请求消息724可以在消费者的移动设备上显示共享秘密并请求消费者输入 个人标识符。在一种实施例中,可以由请求生成模块416生成认证请求。个人标识符可以 是卡PIN或生物标识符。
[0155] 消费者可以使用消费者设备702来提供个人标识符。例如,消费者可以使用认证 应用模块214来输入个人标识符。消费者设备702可以把个人标识符发送给消息726中的 认证云706。在一种实施例中,可以在发送给认证云706之前加密个人标识符。例如,如参 考图2所讨论的,可以使用第一传输密钥加密个人标识符。
[0156] 认证云206可以把包括个人标识符的零美元授权请求消息728发送给商家处理器 708。在一种实施例中,认证云706可以使用第二传输密钥解密个人标识符并使用第一发行 机构密钥再次加密个人标识符。在一种实施例中,可以由请求生成模块416生成零美元授 权请求消息728。
[0157] 商家处理器708可以把包括个人标识符的零美元授权请求消息730转发给第二支 付处理网络714。
[0158] 第二支付处理网络714可以把包括个人标识符的零美元授权请求消息732转发给 发行机构710。
[0159] 发行机构710可以认证个人标识符并把包括认证指示符的认证响应消息734发送 给第二支付处理网络。例如,发行机构710可以把由消费者提供的个人标识符与所存储的 个人标识符进行比较以提供认证指示符。在一种实施例中,在比较之前,发行机构710可以 使用第二发行机构密钥解密个人标识符。如果个人标识符匹配,则认证指示符可以包括肯 定认证结果,否则,如果个人标识符不匹配,则认证指示符可以包括否定认证结果。
[0160] 第二支付处理网络714可以把包括认证指示符的认证响应消息736转发给商家处 理器708。
[0161] 商家处理器708可以把包括认证指示符的认证响应消息738转发给认证云706。
[0162] 认证云706可以在消息740中把带有肯定认证结果的认证指示符转发给钱包提供 商704。在一种实施例中,请求生成模块416可以生成包括认证指示符的、对使用正常的交 易流程授权交易的请求。在一种实施例中,如果来自发行机构710的认证指示符包括否定 认证结果,则请求生成模块416可以为钱包提供商704生成消息,以使得钱包提供商704可 以向消费者告知否定认证结果。
[0163] 钱包提供商704可以把包括交易细节的授权请求消息742发送给收单机构712。 在一种实施例中,授权请求消息742可以包括交易细节、支付账户细节和肯定认证结果。
[0164] 收单机构712可以在消息744中把授权请求消息转发给第一支付处理网络716。
[0165] 第一支付处理网络716可以在消息746中把授权请求消息转发给发行机构710。
[0166] 发行机构710可以授权交易并把授权响应消息748发送给第一支付处理网络716。 例如,授权响应消息可以指示交易得到批准还是被拒绝(例如,资金不足)。在一些实施例 中,授权响应消息可以包括指示拒绝该交易的原因的授权代码。
[0167] 第一支付处理网络716可以在消息750中把授权响应转发给收单机构712。
[0168] 收单机构712可以在消息752中把授权响应转发给钱包提供商704。
[0169] 钱包提供商704可以在消息754中把授权响应转发给认证云706。
[0170] 认证云706可以在消息756中把确认消息发送给消费者设备702。在一种实施例 中,可以经由认证应用模块214把交易的概要提供给消费者设备702。 使用生物测定学进行认证
[0171] 在一些实施例中,可以使用生物测定学来为交易认证消费者。为了注册生物测定 学以供用于交易,可以首先使用卡PIN或另一个人标识符来认证消费者,如先前参考图1-8 所讨论的。如果卡PIN认证成功,那么,可以由认证云(例如,认证服务器计算机400)请求 消费者注册生物标识符,该生物标识符可以绑定到PIN。生物标识符的一些非限制性示例可 以包括指纹、语音录音和面部特性或表情。一旦消费者已经向认证云注册,就可以使用生物 标识符来认证消费者,用于将来的交易。如果使用生物标识符不能认证该消费者,则认证可 以退回到如先前所讨论的PIN认证。
[0172] 图9示出阐释在本发明的一种实施例中使用生物测定学认证的过程的系统900。
[0173] 系统900可包括移动设备902、认证云904、支付处理网络906、发行机构908、钱包 提供商910、收单机构912、交换机914和数据库916。带圆圈的数字表示在一种实施例中处 理流程的一部分的次序;然而,系统900中可以实现其他处理流程或该流程的其他次序。注 意,认证云904、支付处理网络906、发行机构908、钱包提供商910、收单机构912和交换机 914中的每一个都可以与类似于参考图10所描述的计算机装置(例如,服务器计算机)相 关联。图9中的实体中的每一个都可以利用一个或多个通信通道来发送和/或接收消息。 下面进一步详细描述系统900的一些组件。
[0174] 移动设备902可以类似于移动设备300且可以包括参考图3所描述的组件中的一 些或全部以及未示出的附加组件。移动设备902可以被配置成允许消费者注册一个或多个 生物标识符以供认证。例如,消费者可以使用指纹传感器(例如,使用显示器312的触摸屏 界面)注册他们的指纹、使用话筒314注册语音和/或使用照相机单元324注册消费者的 照片(例如,面部表情)。
[0175] 认证云904可以包括认证服务器计算机(例如,认证服务器计算机400)。认证云 904可以被配置成向消费者设备(例如,移动设备902)发起认证请求消息,以供消费者提 供卡PIN或另一个人标识符。例如,消费者可以使用在移动设备902上执行的安全应用模 块918输入卡PIN。在一种实施例中,安全应用模块918可以与支付处理网络906 (例如, VisaNet? )相关联且可以在商家或钱包提供商的应用(例如,钱包提供商910)中调用。 安全应用模块918可以类似于参考图2-4讨论的认证应用模块214。
[0176] 认证云904也可以被配置成基于与钱包提供商910相关联的消费者别名(例如, 移动电话号码)获得账户标识符(例如,支付账号)。例如,可以使用别名从可以存储消费 者的个人账户信息和个人标识信息的数据库检索账户标识符。在一种实施例中,数据库可 以与COF服务110相关联。在一种实施例中,数据库可以是认证服务器计算机400中的数据 库404。在一种实施例中,数据库可以是也可以存储消费者的生物身份信息的数据库916。
[0177] 认证云904也可被配置成在注册过程期间生成零美元授权请求消息并将其发送 给支付处理网络906。在一种实施例中,零美元授权请求消息可以包括由消费者提供的卡 PIN和诸如名字、地址、电话号码、消费者别名等等之类的消费者信息。在一些实施例中,如 果在移动设备902上加密了卡PIN (例如,使用第一传输密钥),那么,认证云904可以使用 第二传输密钥(例如传输密钥对)解密卡PIN并用第一发行机构密钥再次加密卡PIN。认 证云904也可以被配置成接收认证指示符。如果认证指示符包括成功的或肯定的认证结 果,那么,认证云904可以向移动设备902发起生物标识符注册请求。消费者可以使用移动 设备902来提供一个或多个生物标识符。认证云904可以从移动设备902接收一个或多个 生物标识符并把一个或多个生物标识符与消费者的卡PIN关联起来。在一种实施例中,可 以把与一个或多个生物标识符相关联的信息存储在数据库916中。在一些实施例中,数据 库916也可以存储消费者细节,例如消费者别名、个人账户信息(例如,主账号、截止日期等 等)和个人标识信息(例如,名称、地址、电话号码、出生日期等等)。在一些实施例中,可以 把卡PIN或另一个人标识符链接到存储在数据库916中的一个或多个生物标识符。
[0178] 认证云904也可被配置成在接收卡PIN的肯定认证结果之后生成数字证书。在一 种实施例中,认证云904可以把数字证书和账户细节提供给钱包提供商910,以使得钱包提 供商可以向发行机构908发起授权请求消息。
[0179] 支付处理网络906可以与支付处理网络212相同。支付处理网络906可以被配置 成把安全应用模块918提供给移动设备902,安全应用模块918可以通过API连接到钱包提 供商910的应用。支付处理网络906可以被配置成把零美元授权请求消息转发给发行机构 908 〇
[0180] 发行机构908可以与发行机构210相同且可以与发行机构计算机相关联。发行机 构908可以被配置成针对所存储的与消费者的别名或账户相关联的卡PIN验证在零美元授 权请求消息中接收到的卡PIN。在一种实施例中,在验证PIN之前,发行机构908可以使用 第二发行机构密钥解密卡PIN。可以用生成带有肯定或否定认证结果的认证指示符。在一 种实施例中,认证指示符可以被表示为二进制值(例如," 1"表示肯定认证结果且"0"表示 否定认证结果)。发行机构908可以把认证指示符转发给支付处理网络906。
[0181] 在一种实施例中,支付处理网络906可以验证卡PIN并生成认证指示符,可以把认 证指示符转发给认证云904。
[0182] 钱包提供商910可以类似于钱包提供商204且可以与钱包服务器计算机或商家服 务器计算机相关联。在本发明的一种实施例中,钱包提供商910的交易发起界面(例如,移 动应用、网站)可以允许消费者用他们的移动电话号码发起交易。在一种实施例中,钱包 提供商910也可以提供认证应用模块214,以便允许消费者经由移动设备902上的经认证 的软件开发工具箱(SDK)输入他们的卡PIN或生物测定学。在一种实施例中,钱包提供商 910可以接收表示成功认证消费者的数字证书并生成包括账户标识符和该数字证书的授权 请求消息。钱包提供商910还可以经由收单机构912和交换机914把包括账户标识符和数 字证书的授权请求消息发送给发行机构908。
[0183] 收单机构912可以类似于收单机构208。收单机构912可以被配置成经由交换机 914把对交易的授权请求消息路由到发行机构908。交换机914可以被配置成在借记或信 用网络上把交易路由到发行机构908。
[0184] 现在将参考图9更详细地描述注册消费者的生物测定学和执行随后的交易的过 程。在步骤1,在注册过程期间,消费者可以在移动设备902上把PIN输入到安全应用模块 918 (例如,认证应用模块),以便认证他/她自己。例如,消费者可以起动安全应用模块918 并选择用于生物测定学注册的链接。在请求生物标识符之前,安全应用模块918可以提示 消费者输入PIN以便认证消费者。可以把PIN从移动设备902发送给认证云904。认证云 904可以生成零美元授权请求消息并发送给支付处理网络906。支付处理网络906或发行 机构908可以验证PIN并生成认证指示符,可以把认证指示符发送给认证云904。认证云 904可以接收认证指示符,并且,如果认证指示符包括肯定认证结果,则生成数字证书。
[0185] 在步骤2,在验证PIN之后,可以给予消费使用移动设备902注册一个或多个生物 标识符的选项。例如,消费者可以使用指纹传感器注册一个或多个指纹、使用话筒314注册 所记录的消费者的语音和/或使用照相机单元324注册消费者的照片(例如,面部表情)。 在一种实施例中,认证云904可以把一个或多个生物标识符与消费者的卡PIN链接或关联 起来,并把一个或多个生物标识符存储在数据库916中。此时,已经向系统注册生物标识 符,且其可以用于认证将来的交易。对于将来的交易,认证云904可以为一次交易针对数据 库916中所存储的一个或多个生物标识符验证由消费者提供的生物标识符。
[0186] 在步骤3,可以执行实际交易。可以使用在此描述的任何技术发起交易。一旦发 起交易,就可以起动安全应用模块918,且安全应用模块918可以请求消费者输入一个或多 个生物标识符以便执行该交易。消费者可以以与注册过程类似的方式输入一个或多个生物 标识符(例如,通过在指纹传感器上扫描一个或多个指纹、通过经由话筒314记录消费者的 语音和/或通过使用照相机单元324来