CN105874495A

CN105874495A - 使用令牌确保数据传送风险的系统和方法

Info

Publication number: CN105874495A
Application number: CN201480052347.9A
Authority: CN
Inventors: M·迪尔; P·拉克斯米娜拉亚南; G·鲍威尔; J·F·希茨; A·卡彭特
Original assignee: Visa International Service Association
Current assignee: Visa International Service Association
Priority date: 2013-07-24
Filing date: 2014-07-24
Publication date: 2016-08-17
Anticipated expiration: 2034-07-24
Also published as: RU2681366C2; EP3025293A4; US9996835B2; JP6738731B2; US20150032625A1; RU2669081C2; RU2016105768A3; RU2016105768A; US20150032627A1; EP3025292A4; US20220172199A1; US11093936B2; CN113469670B; SG11201600520QA; CN115567273A; SG11201600427RA; SG10201800629WA; AU2021200807A1; WO2015013548A1; RU2016105772A3

Abstract

提供了使用令牌确保数据传送风险的系统与方法。一种网络令牌系统提供了外部实体(例如，第三方钱包、e商务商家、支付推动方/支付服务提供商等)可利用的平台或需要使用令牌来帮助支付交易的内部支付处理网络系统。授权请求消息可包括令牌确保等级码，指示与所产生的令牌相关联的令牌确保等级。外部或内部实体可使用令牌确保等级来评估与使用令牌的支付交易相关联的风险。

Description

使用令牌确保数据传送风险的系统和方法

相关申请的交叉引用

此申请要求2013年7月24日提交的美国临时申请No.61/858,087、2013年8月8日提交的美国临时申请No.61/863,863、2014年2月3日提交的美国临时申请No.61/935,036的优先权的权益，出于所有目的引用这些申请的整体结合于此。

此申请涉及名为“Systems and Methods for INTEROPERABLENETWORK TOKEN PROCESSING(用于可互操作的网络令牌处理的系统和方法)”的美国非临时专利申请no._(代理人档案No.671US03(79900-910620))和名为“Systems and Methods For Communicating Token Attributes Associatedwith a Token Vault(用于传递与令牌库相关联的令牌属性的系统和方法)”的美国非临时专利申请no._(代理人档案No.671US04(79900-910621))，这些申请与本申请在同一天提交。

背景技术

在传统的电子支付交易中，消费者的PAN(主账号)信息暴露于交易生存周期期间涉及的多种实体。PAN从商家终端传递到收单方系统、支付处理网络、支付网关等。

因为PAN可暴露在交易生存周期中的多个位置处，所以已建议使用支付“令牌”来进行支付交易。令牌用作对于PAN的附加安全性层且实际上变为对于PAN的代理/替代品并且可用来在提交交易时代替PAN。使用支付令牌代替PAN可减小欺骗性行为的风险，因为真实的PAN从不暴露。

尽管使用支付令牌的常规努力是有用的，仍需要解决数个问题。例如，在利用PAN的正常交易期间进行传统认证过程是相对直截了当的，因为可容易地获取对于真实PAN的消费者数据和在先历史数据。因此，支付系统中的欺骗机可在交易期间确定交易是否是欺骗性的和/或别的方式有风险的，从而使得涉及交易的实体可作出适当的判定：是否进行此交易。

然而，因为令牌是模糊化的PAN，所以不可能进行可用正常PAN进行的相同认证过程。即，商家、支付处理器或发行方将接收令牌，但不易将此令牌与特定消费者或支付账户相联系。因此，不能容易地执行一般发生在正常支付交易中的正常认证与验证过程。尽管支付系统中的实体中的一些有可能在从令牌(例如，从令牌库)获取真实PAN之后执行任何欺骗校验或认证，此过程可能太慢或者挫败本来使用令牌的目的，由于诸如商家之类的实体可接收且可拥有真实PAN。

本发明的各实施例分别地并共同地解决这些及其他问题。

发明内容

在本发明的一些实施例中，提供一种网络令牌系统。该网络令牌系统提供一种由使用令牌来帮助支付交易的多种实体可利用的平台，这些实体诸如第三方钱包提供商、商家、收单方、支付处理器等。在网络令牌系统中，令牌注册表库可为多种实体(例如，移动设备、发行方、商家、移动钱包提供商、收单方等)提供接口以请求支付令牌、请求关于支付令牌的信息或以其他方式处理支付令牌。网络令牌系统进一步提供诸如提供令牌确保等级之类的服务。令牌确保等级可以以令牌确保等级码的形式来表现，可被网络令牌系统中的多种实体理解。

本发明的一个实施例涉及一种方法，该方法包括由服务器计算机从令牌请求方接收令牌请求。在接收令牌请求之后，该方法包括由该服务器计算机执行与令牌请求相关联的至少一个认证过程。响应于至少一个认证过程的执行，该方法包括由该服务器计算机产生令牌确保码并且由该服务器计算机向令牌请求方传输令牌。

本发明的另一个实施例涉及一种方法，该方法包括由服务器计算机接收包含支付令牌的授权请求消息，其中该支付令牌与真实账户标识符相关联。该方法进一步包括由该服务器计算机确定与支付令牌相关联的真实账户标识符。该方法还包括由该服务器计算机产生包含真实账户标识符的修改的授权请求消息，其中所修改的授权请求消息包含令牌确保码，指示与支付令牌相关联的可信度的等级。此外，此方法包括由服务器计算机向发行方传输所修改的授权请求消息以用于许可。

本发明的其他实施例涉及服务器计算机与系统，配置为执行上述方法。

在一些实施例中，发行方许可是至少部分地基于令牌确保等级码。

在一些实施例中，与支付令牌相关联的可信度的等级包含支付令牌是被与真实账户标识符相关联的底层支付账户的账户持有者所请求的可信度的等级。

在一些实施例中，令牌确保等级码指示与支付令牌相关联的认证方法。

在一些实施例中，认证方法包括：无认证、网络认证或发行方认证中的至少一个。

在一些实施例中，令牌确保等级码是至少部分地基于与真实账户标识符相关联的交易历史。

在一些实施例中，授权请求消息是由服务器计算机从商家计算机接收。

在一些实施例中，此方法附加地包括：从发行方接收授权响应消息，产生包含支付令牌和令牌确保等级码的修改的授权响应消息，以及向商家计算机传输所修改的授权响应消息。

在一些实施例中，在接收授权请求消息之前，支付令牌是由账户发行方产生并被提供到服务器计算机。

在一些实施例中，在产生支付令牌的时候，在它被产生之前，或者在它被产生之后，产生令牌确保等级码。

本发明的这些和其它实施例在下文中进一步详细地描述。

附图说明

图1示出根据本发明的一些实施例的使用发行方账户的电子支付交易的典型交易处理系统的框图。

图2示出根据本发明的一些实施例的利用网络令牌系统的交易处理系统的框图。

图3示出根据本发明的一些实施例的令牌处理服务器计算机的框图。

图4A-4B示出根据本发明的一些实施例的可用来确定令牌确保等级的示例性认证方法。

图5示出根据本发明的一些实施例的在销售点处的NFC的示例性交易流程的流程图。

图6示出根据本发明的一些实施例的卡存档交易/e商务交易的示例流程的流程图。

图7是根据本发明的一些实施例的用于向发行方或其他实体传输令牌确保等级码的示例性方法的流程图。

图8示出计算机装置的框图。

具体实施方式

实施例涉及使用令牌确保等级传送风险的系统、方法与设备。如上所述，令牌化可涉及原始支付凭证(例如，主账号(PAN))的替换或交换以用于替代数据(例如，非金融标识符或替代PAN)。令牌可被用来发起或管理交易活动。令牌还可改进交易安全性。

然而，即使令牌提供某种等级的改进的交易安全性，仍期望可信度等级或风险评估与令牌相关联，因为这可减小欺骗性交易的风险。可信度等级或风险评估可被称为令牌确保等级。实质上，令牌确保等级提供使用令牌的用户事实上就是真正的持卡者的某种等级的“确保”。

在一些实施例中，令牌确保等级基于：支付交易涉及的支付处理网络、发行方、商家或支付系统中的任何其他如何认证实体持卡者、卡凭证和/或令牌。在一些实施例中，令牌确保等级可指示关于持卡者、卡凭证和/或令牌，没有认证发生。

在一些实施例中，在许可支付交易之前，令牌确保等级可被支付处理网络和/或发行方用于附加风险评估。

在一些实施例中，令牌确保等级可在令牌请求的时候完成。在其他实施例中，令牌确保等级的确定可在响应于令牌请求而产生令牌之后。

在一些实施例中，令牌确保等级可由授权请求消息和/或授权响应消息内的令牌确保等级码表示。

在一些实施例中，用于令牌支付交易的责任与争议处理可与令牌确保等级联系起来。例如，如果令牌确保等级低并且此实体许可了结果是欺骗性交易的交易，那么实体可承受交易的责任。

在本发明的一些实施例中，令牌确保等级可用于使用多种呈现模式(例如，QR^TM码、免接触、远程e商务、近距离e商务等)的多种交易中，这些模式用于提交令牌作为交易的一部分。

在本发明的实施例中，实体(例如，第三方钱包、发行方、支付服务提供商、支付推动方等)可向网络令牌系统登记以请求令牌请求方标识符。网络令牌系统可在令牌库中储存令牌到PAN关系和令牌请求方关系。登记的实体可为其相应的令牌请求方标识符提供一种到网络令牌系统以使用其服务的与令牌请求。例如，令牌请求方可经由API(应用程序接口)消息或批量请求来请求令牌的发行。网络令牌系统可在响应令牌请求之前基于令牌请求方标识符识别并验证请求实体。另外，网络令牌系统可在响应于令牌请求之前确定与令牌相关联的令牌确保等级。

在本发明的实施例中，令牌请求消息可允许令牌请求方请求令牌从而使PAN令牌化。在令牌被令牌请求方接收之后，令牌可被提供到商家以进行支付交易。令牌随后可在授权请求消息和/或清算消息中提供到收单方、支付处理网络、和/或发行方。在一些情况下，在发行方接收授权或清算消息之前，令牌可被真实PAN代替。

本发明的一些实施例可提供交易中的令牌的置信度等级。令牌确保等级可指示令牌与PAN/消费者绑定的信任级别。在一些实施例中，可基于所执行的识别与验证过程的类型以及执行识别与验证过程的实体来确定令牌确保等级。例如，网络令牌系统可基于通过执行一个或多个认证方法进行的消费者、支付账户凭证和令牌的认证来确定令牌确保等级。认证过程可由支付网络来执行并且可以是网络认证的或者可被发行方执行以作为发行方认证的。在发行令牌时可确定令牌确保等级并且如果执行附加的识别与验证过程则可更新令牌确保等级。

使用本发明的实施例，消费者和发行方可受益于新的且更加安全的支付方式以及改进的许可等级。由于令牌确保等级可与令牌相关联，极大地减小了使用令牌的欺骗性交易的风险。通过确定令牌确保等级并产生令牌确保码，可在进行交易之前确定令牌的有效性和/或可靠性的概率，因此免除在支付过程期间执行欺骗和/或验证校验的需要。因为在交易之前已发生令牌和令牌的用户的认证与验证，所以本发明的实施例还具有在交易期间更快的处理的技术优势。这是因为不需要执行附加的认证与验证步骤。

在讨论本发明的各实施例之前，一些术语的描述可以有助于理解本发明的各实施例。

“令牌”可包括用于支付账户的任何标识符，作为账户标识符的替代物。例如，令牌可包括一系列字母数字字符，可用作原始账户标识符的替代物。例如，令牌“4900 0000 0000 0001”可用来代替主账户标识符或主账号(PAN)“4147 0900 0000 1234”。在一些实施例中，令牌可以是“格式保留的”并且可具有符合用于现有支付处理网络(例如，ISO 8583金融交易消息格式)的账户标识符的数字格式。在一些实施例中，令牌可用来代替PAN以发起、授权、结算或解决支付交易或代表其他系统中的原始凭证，其中通常提供了原始凭证。在一些实施例中，可产生令牌值以使得原始PAN或其他账户标识符从令牌值中的恢复不可被计算地导出。此外，在一些实施例中，令牌格式可被配置为允许接收令牌的实体将它识别为令牌并识别发行该令牌的实体。

在一些实施例中，令牌格式可允许支付系统中的实体识别与此令牌相关联的发行方。例如，令牌的格式可包括令牌发行方标识符，允许实体识别发行方。例如，令牌发行方标识符可与底层PAN的发行方的BIN相关联以支持现有支付流。令牌发行方标识符可以是与发行方的BIN不同的数字并且可以是静态的。例如，如果对于一发行方的发行方的BIN是412345，那么令牌发行方标识符可以是528325并且此数字对从此发行方发行的或为此发行方发行的所有令牌可以是静态的。在一些实施例中，令牌发行方标识符范围(例如，发行方BIN范围)可具有与相关联的发行方卡范围相同的属性并且可包含于发行方标识符路由表(例如，BIN路由表)中。发行方标识符路由表可被提供到支付系统中的相关实体(例如，商家和收单方)。

在一些实施例中，令牌发行方标识符范围(例如，令牌BIN范围)可以是唯一的标识符(例如，具有6到12位数字长度)，来源于与发行令牌相关联的一组预先分配的令牌发行方标识符(例如，6位数字令牌BIN)。例如，在一些实施例中，一个或多个令牌BIN范围可被分配到每一个发行方BIN/卡范围，与对于此范围的发行方每卡容量相关联。在一些实施例中，令牌BIN范围和分配可具有支付处理系统中的相关实体所使用的现有BIN路由表的相同格式和限定。在一些实施例中，令牌BIN范围可被用于产生支付令牌并且可不被用于产生非支付令牌。如此，非支付令牌可包含不同的令牌发行方标识符或者可不包含令牌发行方标识符。在一些实施例中，令牌可传递账号的基本验证规则，例如包括LUHN校验或“校验和”验证，可由支付系统的不同实体设定。

“供应”可包括提供数据以便使用的过程。例如，供应可包括在设备上提供、传送或启用令牌。供应可由交易系统内或外的任何实体完成。例如，在一些实施例中，令牌可由发行方或支付处理网络提供到移动设备。供应的令牌可具有在令牌库或令牌注册表中储存并保持的对应令牌数据。在一些实施例中，令牌库或令牌注册表可产生令牌，然后可被提供或递送到设备。在一些实施例中，发行方可规定令牌范围，可根据该令牌范围发生令牌产生和供应。此外，在一些实施例中，发行方可产生并告知令牌的令牌库。

“令牌属性”可包括关于令牌的任何特征或信息。例如，令牌属性可包括任何信息，这些信息可确定可怎样使用、递送、发行令牌，或者可在交易系统中怎样操控数据。例如，令牌属性可确定可怎样使用令牌代替真实账户标识符(例如，PAN)以用于交易。例如，令牌属性可包括令牌的类型、使用频率、令牌有效期和/或有效时间、相关联令牌的数量、交易生存周期有效期以及可与交易处理系统内的任何实体相关的任何附加信息。例如，令牌属性可包括与令牌相关联的钱包标识符、附加的账户别名或其他用户账户标识符(例如，电子邮件地址、用户名等)、设备标识符、账单编号等。在一些实施例中，令牌请求方可在产生令牌的时候提供令牌属性。在一些实施例中，网络令牌系统、与网络令牌系统相关联的支付处理网络、发行方或者与令牌相关联的任何其他实体可确定和/或提供与特定令牌相关联的令牌属性。

令牌的类型可包括可怎样使用令牌的任何信息或指示符。例如，令牌的类型可以是“支付”或“非支付”以将令牌标识为支付令牌或非支付令牌。支付令牌可包括高值令牌，可用来代替真实的账户标识符(例如，PAN)以产生对于消费者账户和/或卡的原始的和/或随后的交易。

另一个令牌类型可以分别是静态令牌和动态令牌的“静态的”或“动态的”令牌类型。例如，静态令牌可包括可由支付处理网络或发行方发行的令牌，该令牌可被发行来代替账户标识符(例如，PAN)并且可被用在底层账户标识符(例如，PAN)的持续时间内。如此，静态令牌可用来提交任意数量的交易并且可不针对每一个交易而变化。静态令牌可被令牌请求方安全地储存在消费者设备上(例如，储存在移动设备的安全存储器或安全元件中)，或者储存在云中并且可安全地递送到移动设备。然而，静态令牌可包括敏感信息，当长时期地使用它们来执行多个交易时可保护这些敏感信息。

可选地，动态令牌可包括在使用上受限或受约束的令牌(例如，受限于时间、金额阈值(合计金额或单次交易金额)或使用次数)。如此，可在每一次交易上或者在所需要的基础上产生动态令牌并将其递送到终端用户以通过登记的且认证的设备和/或信道发起支付交易。例如，可在电子商务(e商务)网站处使用一次性动态令牌，并且如果动态令牌被第三方拦截，那么此动态令牌会是无用的，因为它已经被使用了从而对于将来的交易没有价值。

非支付令牌可包括不作为真实账户标识符(例如，PAN)的替代物的令牌。例如，商家/收单方系统可使用非支付令牌以用于分析、报价、消费者支持、营销等。然而，非支付令牌不可用来产生使用真实账户标识符(例如，PAN)或其他账户标识符的原始交易和后续交易。因此，非支付令牌可包括低值令牌，可用于交易处理系统内的实体进行的非支付交易或交易服务。

令牌的“使用频率“可指出在一交易中可使用令牌多少次。例如，使用频率可指出在支付交易中可成功使用令牌多少次。例如，令牌可包括单次使用或多次使用的使用频率。单次使用令牌可用来生成一个交易。在单次使用令牌的首次使用之后，发起交易的任何后续使用可被视为无效的并且可拒绝后续交易。多次使用令牌可用来发起多个交易。

“真实账户标识符”可包括与支付账户相关联的原始账户标识符。例如，真实账户标识符可以是卡账户(例如，信用卡、借记卡等)的发行方发行的主账号(PAN)。例如，在一些实施例中，真实账户标识符可包括十六位数字，比如“4147 0900 0000 1234”。真实账户标识符的前六位数字(例如，“414709”)可代表真实发行方标识符(BIN)，可标识与真实账户标识符相关联的发行方。

“支付令牌发行方标识符”可包括任意序列的字符、数字或者可用来标识与支付令牌相关联的发行方的其他标识符。例如，支付令牌发行方标识符可包括令牌BIN，标识与使用令牌标识的账户相关联的特定发行方。在一些实施例中，支付令牌发行方标识符可被映射到发行方的真实发行方标识符(例如，BIN)。例如，支付令牌发行方标识符可包括可与发行方相关联的六位数值。例如，包括支付令牌发行方标识符的任意令牌可与特定发行方相关联。如此，可使用与此令牌发行方标识符相关联的对应发行方标识符范围标识此发行方。例如，对应于支付令牌“4900 0000 0000 0001”的支付令牌发行方标识符“490000”可被映射到对应于支付账户标识符“4147 0900 0000 1234”的发行方标识符“414709”。在一些实施例中，支付令牌发行方标识符对于发行方是静态的。例如，支付令牌发行方标识符(例如，“490000”)可对应于第一发行方，另一个支付令牌发行方标识符(例如，“520000”)可对应于第二发行方，没有告知网络令牌处理系统内的所有实体的话，可不改变或修改第一与第二支付令牌发行方标识符。在一些实施例中，支付令牌发行方标识符可对应于发行方标识符。例如，包含从“490000”-“490002”的支付令牌发行方标识符的支付令牌可对应于第一发行方(例如，映射到发行方标识符“414709”)，包含从“520000”到“520002”的支付令牌发行方标识符的支付令牌可对应于第二发行方(例如，映射到真实发行方标识符“417548”)。

“令牌呈现模式”可指出一方法，通过该方法提交令牌用于交易。令牌呈现模式的一些非限制性示例可包括机器可读代码(例如，QR^TM码、条形码等)、移动免接触模式(例如，近场通信(NFC)通信)、e商务远程模式、e商务近距离模式以及要提交令牌的任何其他适当模式。可通过任意数量的不同方法提供令牌。例如，在一个实施例中，令牌可嵌入机器可读代码，机器可读代码可由钱包提供商、移动应用程序或移动设备上的其他应用程序来产生并显示在移动设备的显示器上。可在POS处扫描机器可读代码，令牌通过POS传递到商家。移动免接触模式可包括通过NFC在免接触消息中传递令牌。e商务远程模式可包括由消费者或钱包提供商使用商家应用程序或其他移动应用程序通过线上交易或者作为e商务交易来提交令牌。e商务近距离模式可包括由消费者在商家位置处从移动设备上的钱包应用程序提交令牌。

“令牌化”是用替代数据替换数据的过程。例如，通过用替代数字替换主账号标识符来使支付账户标识符(例如，主账号(PAN))令牌化，该替代数字与支付账户标识符相关联。此外，令牌化可应用到可用替代值(即，令牌)替换的任何其他信息。

“令牌交换”或“去令牌化”是恢复在令牌化期间被替换的数据的过程。例如，令牌交换可包括用相关联的主账号(PAN)替换支付令牌，此主账号在此PAN的令牌化期间与该支付令牌相关联。此外，去令牌化或令牌交换可应用到任何其他的信息。在一些实施例中，可经由交易消息获取令牌交换，诸如ISO消息、应用编程接口(API)或其他类型的网络接口(例如，网络请求)。

“认证”是端点(包括但不限于应用程序、人、设备、进程与系统)的凭证可被验证以确保端点是它们所声称的人的过程。

“原始”交易可包括任何交易，包括发行方提供的授权或代表发行方提供的授权。

“替代(substitute)”交易可以是与原始交易相关联的并且在原始交易之后发生的任何交易，包括重复、退款、撤销或异常(拒付(chargeback)、再请款(re-presentment)等)。

“请求方”可以是配置为执行与令牌相关联的行动的应用程序、设备、进程或系统。例如，请求方可请求向网络令牌系统登记，请求令牌生成、令牌激活，令牌停用、令牌交换、其他令牌生存周期管理相关的过程，和/或任何其他的令牌相关过程。请求方可通过任何适当的通信网络和/或协议(例如，使用HTTP、SOAP和/或XML接口)与网络令牌系统交互。请求方的一些非限制性示例可包括第三方钱包提供商、发行方、收单方、商家和/或支付处理网络。请求方在从网络令牌系统请求新令牌的产生或者请求现有令牌的重新使用时可被称为令牌请求方。在一些实施例中，令牌请求方可请求用于多个域和/或信道的令牌。令牌请求方例如可包括消费者、卡在文件上的商家、收单方、收单方处理器、代表商家行动的支付网关、支付推动方(例如，原始设备制造商、移动网络运营商等)、数字钱包提供商和/或卡发行方。

“令牌请求标识符”可包括与网络令牌系统相关联的实体相关联的任何字符、数字或其他标识符。例如，令牌请求方标识符可与向网络令牌系统登记的实体相关联。在一些实施例中，可针对与同一令牌请求方相关联的令牌请求的每一个域分配唯一的令牌请求方标识符。例如，令牌请求方标识符可标识令牌请求方(例如，移动设备、数字钱包提供商等)与令牌域(例如，e商务、免接触等)的配对。令牌请求方标识符可包括任意格式或类型的信息。例如，在一个实施例中，令牌请求方标识符可包括数值，诸如十位数字或十一位数字(例如，4678012345)。在一些实施例中，令牌请求方标识符可包括诸如网络令牌系统之类的令牌服务提供商的代码(例如，前3位数字)，令牌服务提供商可针对每一个请求实体(例如，移动钱包提供商)与令牌域(例如，免接触、e商务等)分配剩下的数字位。

“终端用户”可包括任何应用程序、设备、消费者或者配置为与令牌化/去令牌化/令牌管理服务的请求方交互的系统。例如，终端用户可包括消费者、商家、移动设备、或者网络令牌系统中的与请求方相关联的任何其他适当实体。

“消费者”可包括与一个或多个个人账户和/或消费者设备相关联的个人或用户。消费者也可被称为持卡者、账户持有者或用户。

“卡存档(COF)”持有者可包括储存账户详细资料(例如，卡详细资料、支付账户标识符、PAN等)以便在交易中使用的任何实体。例如，COF实体可在文件上储存支付信息以用于多种类型的周期性支付，诸如每月的公共事业支付(utility payment)、周期性的购物交易、或者任何其他的周期性或将来交易。因为支付凭证和/或相关联的令牌储存在实体处以用于将来的交易，所以由COF实体发起的交易包括无卡(CNP)交易。另一类型的无卡(CNP)交易包括在远程各方(例如，消费者设备与商家网络服务器计算机)之间发起的e商务或电子商务交易。

“授权请求消息”可以是被发送至支付处理网络和/或支付账户的发行方以请求交易的授权的电子消息。根据一些实施例的授权请求消息可符合ISO8583，该ISO 8583是交换与一支付相关联的电子交易信息的系统的标准，该支付是由利用支付设备或支付账户的消费者作出的。在本发明的一些实施例中，授权请求消息可包括支付令牌、有效期、令牌呈现模式、令牌请求方标识符、应用程序密码以及确保等级数据。支付令牌可包括可代替发行方的真实发行方标识符的支付令牌发行方标识符。例如，真实发行方标识符可以是与发行方相关联的BIN范围的一部分。授权请求消息还可包括对应于标识信息摂的附加数据元素，仅作为示例，包括：服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、有效期等。授权请求消息还可包括“交易信息”，诸如与当前交易相关联的任何信息，诸如交易金额、商家标识符、商家位置等，以及可被用在确定是否标识和/或授权一交易中的任何其它信息。

“授权响应消息”可以是由发行金融机构或支付处理网络生成的对授权请求消息回复的电子消息。授权响应消息可包括授权代码，该授权代码可以是信用卡发行银行响应于授权请求消息在电子消息中向商家的访问设备(例如，POS终端)返回的(直接地或通过支付处理网络)指示交易的批准的代码。该代码可以充当授权的证明。如上文所指出，在一些实施例中，支付处理网络可以生成授权响应消息或将其转发给商家。

“服务器计算机”通常可包括功能强大的计算机或计算机群。例如，服务器计算机可以是大型机，微型计算机集群或充当一个单元的服务器组。服务器计算机可与实体(诸如支付处理网络、钱包提供商、商家、认证云、收单方或发行方)相关联。

I.示例性网络令牌处理系统

图1示出配置为使用真实发行方标识符(例如，银行标识码(BIN))在交易处理期间路由授权请求消息的典型交易处理系统100的框图。例如，为消费者发行的支付凭证可包括真实的发行方标识符(例如，BIN)，可用来识别与正在被使用以发起交易的账户相关联的发行方(和支付处理网络)。

系统100可包括消费者110、消费者设备120、访问设备130、商家计算机140、收单方计算机150、支付处理网络计算机160以及发行方计算机170。在一些实施例中，图1中的不同实体可使用一个或多个通信网络(诸如，互联网、蜂窝网络、TCP/IP网络或任何其他的适当通信网络)彼此通信。注意到系统100中的一个或多个实体可与计算机装置相关联，可使用如参考图11描述的部件中的一些来实现此计算机装置。

消费者110可以是人或个体。消费者110可利用消费者设备120通过与访问设备130(例如，销售点(POS)设备)交互而发起与商家的交易。

消费者设备120可与消费者110的支付账户相关联。在一些实施例中，消费者设备120可以是移动设备，诸如移动电话、平板、PDA、笔记本、钥匙链(key fob)或任何适当的移动设备。例如，消费者设备120可包括可与消费者110的一个或多个支付账户相关联的钱包或支付应用程序。在一些实施例中，消费者设备120可被配置为显示机器可读的代码(例如，QR^TM码、条形码等)。消费者设备120还可包括能够扫描机器可读代码的相机或扫描设备。在一些实施例中，消费者设备120能够使用诸如NFC之类的短距离通信技术与访问设备130通信。例如，消费者110可通过在访问设备130的附近轻触(tap)或挥动消费者设备120来与访问设备130交互。在一些实施例中，消费者设备120可以是支付卡，诸如信用卡、借记卡、预付卡、忠诚卡、礼品卡等。

访问设备130可以是对交易处理系统的访问点，可包括收单方计算机150、支付处理网络计算机160和发行方计算机170。在一些实施例中，访问设备130可与商家计算机140相关联或者由商家计算机140操作。例如，访问设备130可以是销售点设备，可包括免接触读取器、电子现金寄存器、显示器设备等。在一些实施例中，访问设备130可被配置为以可被消费者设备120(例如，移动电话)读取的格式显示交易信息，该格式包括QR^TM码、条形码或者任何其他信息传输机制。在一些实施例中，访问设备130可以是个人计算机，可被消费者110使用以发起与商家计算机140(例如，线上交易)的交易。

商家计算机140可与商家相关联。在一些实施例中，商家计算机140可与卡存档(COF)商家相关联。例如，卡存档商家可储存在文件上储存消费者账户信息以供将来的支付目的，诸如多种类型的周期性支付(例如，每月的公共事业支付)。在一些实施例中，消费者可向一个或多个商家登记以用于卡存档服务。商家计算机140可被配置为使用访问设备130产生对于消费者110所发起的交易的授权请求。

收单方计算机150可代表传统的收单方/收单方处理器。收单方通常是与特定商家、钱包提供商或另一个实体具有商业关系的实体(例如，银行)。收单方计算机150可通信地耦合到商家计算机140和支付处理网络160并且可发行与管理商家的金融账户。收单方计算机150可被配置为将交易的授权请求经由支付处理网络计算机160路由到发行方计算机170并且将经由支付处理网络计算机160接收的授权请求路由到商家计算机140。

支付处理网络计算机160可被配置成提供用于支付交易的授权服务以及清算与结算服务。支付处理网络计算机160可包括数据处理子系统、有线或无线网络，包括因特网。支付处理网络计算机160的示例包括由运营的诸如VisaNet^TM之类的支付处理网络能够处理信用卡交易、借记卡交易和其他类型的商业交易。具体而言，VisaNet^TM包括处理授权请求的“Visa集成的支付”(VIP)系统以及执行清算和结算服务的Base II系统。支付处理网络计算机160可以包括服务器计算机。在一些实施例中，支付处理网络计算机160可将从收单方计算机150接收的授权请求经由通信信道转发到发行方计算机170。支付处理网络计算机160可进一步将从发行方计算机170接收的授权请求消息转发到收单方计算机150。

发行方计算机170可代表账户发行方和/或发行方处理器。通常，发行方计算机170可与商业实体(例如，银行)相关联，该商业实体可发行用于支付交易的账户和/或支付卡(例如，信用账户、借记账户等)。在一些实施例中，与发行方计算机170相关联的商业实体(银行)还可用作收单方(例如，收单方计算机150)。

图2示出根据本发明的一个实施例的利用网络令牌系统的交易处理系统200。

系统200可包括除了图1所示的传统支付系统100的一个或多个部件以外的网络令牌系统202。例如，系统200可包括消费者110、商家计算机140、收单方计算机150、支付处理网络计算机160和发行方计算机170。系统200还可包括与网络令牌系统202相接的令牌接口208-218，包括令牌请求方接口208、商家令牌接口210、收单方令牌接口212、支付处理网络令牌接口214、网络接口216以及发行方令牌接口218。在本发明的一些实施例中，可对系统200的不同实体之间的通信加密。在本发明的一些实施例中，系统200中的不同实体可使用一个或多个通信网络(诸如TCP/IP、蜂窝网络等)彼此通信。在一个实施例中，网络令牌系统202的网络服务环境可提供与网络通信系统的一个或多个通信接口并且可提供与通信相关联的服务，包括实体认证、请求授权、消息安全性等。

消费者110能够使用支付账户标识符发起交易，该支付账户标识符可以是品牌诸如American之类的支付卡。另外，消费者110可利用消费者设备120使用任意适当的交易信道发起交易。交易信道的示例包括移动设备的扫描(例如，使用QR^TM码或条形码)、移动设备向商家访问设备的轻触(例如，近场通信(NFC)交易或其他免接触/近距离交易)、在计算机或移动设备的输入设备(例如，鼠标)上的点击以发起e商务交易(例如，线上交易)，或者通过任何其他适当的信道，其中可发起交易并且可将令牌传递到商家计算机。例如，在一些实施例中，可使用移动设备以利用供应在移动设备的安全元件或其他安全存储器上的令牌从移动设备发起远程交易。

令牌请求方204可包括可从网络令牌系统202请求令牌的应用程序、过程、设备或系统。例如，令牌请求方204可以是发行方、收单方、卡存档商家(也被称为记录的商家(MOR))、移动设备(例如，安装在移动设备上的钱包应用程序或支付应用程序)、支付推动者、支付服务提供商(PSP)、数字钱包提供商(也被称为移动钱包提供商)、操作系统(OS)提供商、远程通信网络提供商、或者可使用第三方令牌或储存第三方令牌的任何其他实体。令牌请求方204可使用令牌请求方接口208与网络令牌系统202交互以用于令牌的产生、使用和管理。

在一个实施例中，每一个令牌请求方204必须经历登陆或登记过程以确保令牌请求方满足集成与安全性标准以使用由网络令牌系统202提供的令牌化服务。例如，网络令牌系统202可对登记的实体提供一些服务，诸如卡注册、令牌生成、令牌发行、令牌认证与激活、令牌交换以及令牌生存周期管理。

作为登陆过程的一部分，令牌请求方204可向网络令牌系统202登记并且可接收网络令牌系统202提供的令牌请求方标识符。令牌请求方204可指定与令牌请求方所请求的令牌相关联的配置偏好或令牌属性，例如包括：令牌类型(例如，静态或动态)、支持的令牌呈现模式(例如，扫描、免接触、e商务等)以及登陆过程期间的任何其他的相关令牌配置信息。此外，令牌请求方204可包括对特定信道(例如，卡存档、免接触等)的限制以便使用请求的令牌。

令牌处理服务器计算机202B可针对每一个登记的令牌请求方产生唯一的令牌请求方标识符。之后，登记的令牌请求方204可向网络令牌系统202提供作为每一个网络令牌服务请求的一部分的令牌请求方标识符，作为识别的一种形式。

网络令牌系统202可对与网络令牌系统交互的每一个实体提供登记。

令牌请求方204可被配置为请求新的令牌或请求现有令牌的生存周期管理行动(例如，改变现有令牌、停用令牌等)。在一些实施例中，令牌请求方204可与新令牌的请求一起提供账户标识符(例如，PAN)和有效期。网络令牌系统202可使用令牌请求标识符在处理使用令牌发起的交易时识别并验证令牌请求方204以及验证基于令牌的交易。

网络令牌系统202可包括令牌注册表数据库202A和令牌处理服务器计算机202B。令牌注册表数据库202A也可被称为“令牌库”。令牌注册表数据库202A可储存并维持发行的或生成的令牌以及任何其他与令牌相关的信息。例如，令牌注册表可针对每一个令牌包括令牌请求方标识符和账户标识符(例如，PAN)。令牌注册表数据库202A和令牌处理计算机202B可被配置为对向网络令牌系统202登记的实体提供与令牌注册表相关联的服务，例如包括：支付账户登记、令牌产生、令牌发行、令牌认证与激活、令牌交换、令牌路由、令牌确保等级生成、令牌生存周期管理、以及令牌处理。在一些实施例中，不同的实体可使用它们的与网络令牌系统202对应的接口与网络令牌系统202通信并获取网络令牌系统202所提供的服务。

令牌注册表数据库202A中的令牌可包括不同的令牌状态，可确定令牌是否可用于交易以及允许令牌在交易中使用所需要的行动。例如，令牌状态可包括活动的、不活动的、暂停的、搁置(on hold)、停用的或者关于令牌在交易中使用的可用性的任何其他指示。例如，在一些实施例中，令牌可由令牌库生成并且可立即有效并可用于交易。此外，发行方可告知支付处理网络计算机160或网络令牌处理服务器计算机令牌是“不活动的”或者当前未在使用。在一些实施例中，令牌处理服务器计算机可以与“未找到”相同的方式处理与不活动的令牌相关联的令牌值。令牌可改变为“暂停的”，包括临时的状态，其中不可利用该令牌执行授权或全部的金融原始交易。“停用的”令牌状态可包括可能永久暂停的并且不可执行授权或全部的金融原始交易的令牌。在一些实施例中，令牌可反映与被令牌化的账户标识符(例如，PAN)相关的某些属性。例如，在一些实施例中，令牌可反映资金来源以及与底层账户标识符相关联的国家。

在一些实施例中，商家计算机140和收单方计算机150可被提供有代替真实账户标识符(例如，PAN)的令牌以供多种交易使用情况。例如，商家计算机140和/或收单方计算机150可在授权请求消息的传统PAN字段中接收令牌并且可将授权请求消息转发到支付处理网络计算机160以供处理。支付处理网络计算机160可用真实账户标识符(例如，PAN)替换令牌并向发行方计算机170发送修改的授权请求消息。在一些实施例中，授权请求消息可进一步具有移动到发行方计算机170要接收的授权消息和/或清算消息中的新字段的令牌，从而使得发行方可在这类消息中接收账户标识符(例如，PAN)和令牌。

因此，在一些实施例中，发行方计算机170可被配置为接收从支付处理网络计算机160接收的授权请求消息和交易清算消息中的真实账户标识符(例如，PAN)和令牌。退款和退款撤销消息也可包含令牌和真实账户标识符(例如，PAN)。在一些实施例中，发行方计算机170可选择使支付处理网络计算机160呼出以使发行方计算机170供应令牌。在一些实施例中，发行方计算机170可经由批文件接口向支付处理网络计算机160提供其当前令牌数据库。

在一些实施例中，令牌请求方204可使用令牌请求方接口208以与网络令牌系统202交互。例如，令牌请求方204可发送对多个行动的请求，包括令牌发行、令牌生存周期管理(例如，激活、停用、账户凭证更新等)以及令牌认证。在一些实施例中，令牌请求方接口208可包括应用程序接口(API)或者可使用的任何其他相关消息格式。例如，令牌请求方204可发送包括账户信息(例如，PAN和任何其他的账户详细信息)和令牌请求方标识符的令牌发行请求。另外，在一些实施例中，令牌请求方204可提供批量令牌请求文件，包括多个账户标识符(例如，PAN)和令牌请求标识符。网络令牌系统202可产生并返回多个令牌，其中每一个令牌与来自批量文件请求的账户标识符(例如，PAN)相关联。在一些实施例中，令牌请求方204可与请求一起选择性地提供一个或多个令牌属性，例如诸如：使用频率(例如，单次使用或多次使用)、令牌的类型(例如，支付或非支付)、令牌有效期和/或时间、请求的令牌的数量、交易生存周期有效期等。在一些实施例中，令牌请求可进一步包括一个或多个MSISDN(移动用户集成服务数字网络号码)、账户昵称(例如，别名)、与账户或消费者相关联的UUID(通用唯一标识符)、IMEI(国际移动站设备识别码)、IMSI(国际移动用户识别码)、移动应用程序标识符、购买金额等。另外，在一些实施例中，商家可使用令牌请求方接口208以请求非支付令牌(例如，在分析、忠诚度、奖励、或者任何其他商业相关的过程中使用)。

此外，令牌请求方204可请求网络令牌系统202将令牌增加到与令牌注册表数据库202A有关系的账户标识符(例如，PAN)。令牌请求方204还可请求网络令牌系统202改变令牌注册表数据库202A中的令牌对于账户标识符(例如，PAN)的关系的属性。例如，由于消费者丢失设备，令牌请求方204可请求网络令牌系统202暂停令牌。令牌请求方204可请求网络令牌系统202停用令牌注册表数据库202A中的令牌。在一些实施例中，令牌注册表数据库202A中的相应记录可被标记为停用的(例如，对于新的购买不再有效)，但可保留可用于限制时期内的例外处理并且然后可被移除。在一些实施例中，网络令牌系统202可基于周期性基础在一时期内清理已过期的或已停用的令牌。令牌请求方还可在周期性的基础上创建令牌请求(例如，增加、删除或停用)的批处理文件并将它们发送到网络令牌系统202。

在一些实施例中，令牌库可包括以下记录。

在本发明的一些实施例中，对于NFC令牌请求，令牌请求方标识符、真实账户标识符(例如，PAN)、令牌有效期和令牌确保等级可储存在令牌库的每一个令牌条目中。

对于卡存档e商务商家请求，令牌请求方接口208可被令牌请求方204使用以与网络令牌系统202交互。例如，令牌请求可包括请求是否是为了新的令牌、为了现有令牌的改变还是令牌的停用。令牌请求方204还可与令牌请求一起提供令牌请求方标识符、PAN、有效期、令牌类型。在一个实施例中，表示身份和验证过程的AVS和CAVV数据可仅用于认证且不储存在令牌库中。

网络令牌系统202可产生具有与PAN相同格式的令牌以最小化支付系统上的中断并且具有不与任何真实PAN或活动令牌冲突的值。在一些实施例中，如果令牌未在计划有效日期/时间内用于授权请求，那么令牌可被网络令牌系统202重新发行。

在一些实施例中，网络令牌系统202可向登记的实体提供令牌生存周期管理服务。生存周期管理在令牌泄露或支付设备丢失时会是有用的。例如，当令牌变为不活动、暂停或临时锁定时，网络令牌系统202可停用令牌及其关联性。网络令牌系统202可通过对特定令牌请求方临时地锁定或暂停令牌而停用令牌。网络令牌系统202也可取消令牌以将令牌永久地标记为删除的从而防止任何将来的交易。可在退还/退款期间使用删除的令牌，如果同一令牌被使用来提交特定令牌请求方的对应原始交易的话。网络令牌系统202还可更新令牌属性，诸如令牌有效性时间范围(例如，延长或减小时间范围)或许可令牌使用频率。令牌有效性时间范围可涉及天、小时、分钟的具体数字，或者具体有效期。

在一些实施例中，网络令牌系统202可允许登记的实体允许消费者更新关于PAN的信息，例如对静态令牌分配不同的PAN。例如，实体可使用其接口向网络令牌系统202提供令牌请求方标识符、旧的PAN和新的PAN。网络令牌系统202可产生新的静态令牌并将其与新的PAN相关联。旧的令牌关联性然后可被停用。

在一些实施例中，网络令牌系统202可支持由其他实体(诸如发行方或钱包提供商系统)产生的令牌。例如，令牌注册表数据库202A可被配置为针对外部令牌储存PAN与令牌映射以及任何其他的属性。实体可使用它们与网络令牌系统202相接的相应接口提供外部令牌。

在一些实施例中，网络令牌系统202可允许登记的实体使用它们的对应接口请求用于令牌的CVV2(卡验证值)值(或者其他类型的验证值、密码等)。网络令牌系统202可使用令牌以确定真实账户标识符(例如，PAN)并且可与支付处理网络计算机160(例如，使用API)以请求与真实账户标识符相关联的CVV2值。这些CVV2值可被提供到请求实体。

在本发明的一些实施例中，网络令牌系统202可允许登记的实体使用它们的对应接口提供使用令牌提交的交易的详细信息。例如，登记的实体可提供令牌请求方标识符、交易标识符、交易金额、交易日期和时间、商家标识符、商家地址、MSISDN、UUID、IMEI等。此数据可储存在令牌注册表数据库202A中。这些详细信息可用于忠诚度或其他类型的计划。例如，交易详细信息可用来对进行交易的消费者标识可能感兴趣的相关报价。

在一些实施例中，网络令牌系统202可允许登记的实体通过提供令牌请求方标识符、令牌或令牌别名和日期范围(例如，起始和结束日期)请求使用令牌作出的交易。网络令牌系统202可提识别的日期范围内供利用令牌或别名进行的交易的列表。

在一些实施例中，网络令牌系统202可允许登记的实体通过提供令牌请求方标识符、PAN、令牌和数据范围针对给定令牌/PAN组合和日期范围请求授权与结算数据。

在一些实施例中，网络令牌系统202可允许登记的实体通过提供令牌请求方标识符、PAN和数据范围请求针对给定PAN和日期范围分配的所有令牌及其属性。

在一些实施例中，网络令牌系统202可允许登记的实体通过提供令牌请求方标识符、PAN和数据范围请求特定令牌与PAN组合的详细信息。

在一些实施例中，网络令牌系统202可提供用于e商务商家的接口以集成到它们的网络应用程序中以在校验过程期间发起卡存档交易的令牌生成请求。例如，e商务商家可使用商家令牌接口210提供e商务网络应用程序所使用的令牌请求方标识符、PAN(卡存档)、CVV2、有效期以及可选地提供消费者用户标识符。网络令牌系统202作为回报可向商家计算机140提供令牌和dCVV。当在支付交易期间在授权请求消息中从商家计算机接收到令牌和dCVV时，支付处理网络计算机160可验证此令牌和dCVV。

在一些实施例中，网络令牌系统202可提供用于e商务商家的接口以为消费者提供一选择：在校验期间请求使用令牌代替PAN。例如，e商务商家可使用商家令牌接口210提供令牌请求方标识符、PAN(卡存档)、CVV2、有效期以及可选地提供消费者的姓名以及账单地址。网络令牌系统202可在生成令牌之前认证消费者/PAN。网络令牌系统202可向商家计算机提供令牌和dCVV。当在支付交易期间在授权请求消息中从商家计算机接收到令牌和dCVV时，支付处理网络计算机160可验证此令牌和dCVV。

在一些实施例中，网络令牌系统202可为消费者110提供用户接口。用户接口可允许消费者执行一些操作，诸如用户登记、支付账户登记、令牌请求生成、令牌停用等。在一些实施例中，网络令牌系统202可在生成并向消费者110提供令牌之前认证消费者110和/或PAN。

在一些实施例中，网络令牌系统202可提供通知书消息以通知参与的发行方或其他实体它们的消费者中的一个已使用网络令牌系统供应服务请求了令牌(例如，请求向他们的电话供应令牌)。通知消息可包括消息原因码(例如，令牌创建、令牌停用、令牌暂停或令牌恢复)、令牌号码、令牌确保等级以及令牌请求方标识符。

在一些实施例中，商家令牌接口210可允许商家计算机140与网络令牌系统202通信以便于令牌化和去令牌化服务，诸如令牌交换、令牌处理和路由等。在一些实施例中，商家令牌接口210可包括API。例如，商家计算机140可使用商家令牌接口210通过提供令牌请求方标识符、令牌值和日期(例如，交易日期或数据范围)从网络令牌系统202请求与给定令牌相关联的PAN信息。在一些实施例中，可在交易的授权与清算过程期间请求令牌的去令牌化。在一些实施例中，可针对批量令牌请求令牌交换。

在一些实施例中，收单方令牌接口212(可以是API的形式)可允许收单方计算机150与网络令牌系统202通信以便于令牌化和去令牌化服务。令牌化和去令牌化服务可包括令牌交换、令牌处理和路由等。例如，使用收单方令牌接口212，收单方可请求网络令牌系统202供应代表他们的令牌。响应于来源于收单方的供应请求消息，商家、收单方或钱包提供商可接收令牌。供应请求消息可支持卡存档供应和NFC供应。例如，供应请求消息可包括PAN、交易金额、交易数据和时间、有效期、商家类型、收单方的地区代码、POS输入模式代码(例如，手动键输入、免接触设备读取等)、收单方的标识符代码、AVS结果代码、CVV2结果代码、CAVV结果代码、CAV数据以及任何其他的相关数据。

在其他实施例中，收单方计算机150可使用收单方令牌接口212从网络令牌系统202请求与给定令牌相关联的PAN信息。这可通过将令牌连同令牌请求方标识符、令牌值和日期(例如，交易日期或日期范围)一起提供到收单方令牌接口212来完成。在一些实施例中，可在交易的授权与清算过程期间经由收单方令牌接口212请求令牌的去令牌化。在一些实施例中，可经由收单方令牌接口212进行批量令牌的令牌交换过程。

在一些实施例中，支付处理网络令牌接口214可允许支付处理网络计算机160与网络令牌系统202通信以供令牌化和去令牌化服务，诸如令牌交换、令牌处理和路由等。例如，支付处理网络计算机160可向网络令牌系统202提供令牌以交换PAN，反之亦然。

在一些实施例中，网络接口216可允许网关或其他网络206(例如，American等)与网络令牌系统202通信以经由支付处理网络计算机160进行令牌化和去令牌化服务，例如令牌交换、令牌路由等。例如，其他网络206可与网络令牌系统202或发行方计算机170交互以用PAN交换令牌以用于使用借记卡账户发起的交易。

在一些实施例中，发行方令牌接口218可允许发行方计算机170与网络令牌系统202通信以供令牌化和去令牌化服务，诸如令牌登记、令牌认证等。在一些实施例中，参与的发行方可请求网络令牌系统202使PAN令牌化并管理现有令牌。例如，发行方计算机170可经由发行方令牌接口218提供请求：网络令牌系统202创建令牌，停用令牌，暂定令牌或恢复令牌。此外，发行方令牌接口可允许发行方执行令牌问询，更新账户标识符(例如PAN)有效期，替换与令牌相关联的账户标识符(例如，PAN)，或者更新卡艺术或者与令牌相关联的其他信息(例如，条款与条件等)。另外，令牌处理服务器计算机202B可通过发行方令牌接口218提供通知和其他信息。例如，通知可包括令牌创建通知、设备供应通知、认证结果以及停用、暂停与恢复令牌通知。

在一些实施例中，发行方可产生令牌并将其提供到网络令牌系统。例如，发行方可将令牌提供到支付处理网络计算机160以储存在代表发行方的令牌库中。例如，发行方计算机170可向令牌处理服务器计算机202B提供一些信息，诸如账户标识符(例如，PAN)、令牌、令牌确保等级、令牌请求方标识符、令牌有效期、令牌类型以及令牌的状态。令牌处理服务器计算机可验证与令牌不存在冲突(即，对于此值已存在令牌)并在令牌注册表数据库202A中产生与提供的令牌信息相关联的令牌条目。

另外，在一些实施例中，发行方计算机170可请求支付处理网络160使用发行方自身的账户范围而不是支付处理网络的令牌范围产生令牌。如果发行方令牌范围不与已在使用中的另一个令牌或账户发行方标识符冲突，那么令牌处理服务器计算机202B可在发行方的令牌账户范围与发行方的真实发行方标识符(例如，BIN)范围之间产生关联或连接。在一些实施例中，发行方令牌接口218可允许发行方提交含有发行方所产生的令牌的批量登记文件。在一些实施例中，如果发行方计算机170在发行方令牌供应的情况下无法响应于令牌请求(对于单独或批量请求)，那么可拒绝令牌请求方204的令牌请求。例如，令牌请求方204可接收告知令牌请求者发生了令牌超时的通知。

图3示出本发明的一个实施例中的令牌处理服务器计算机202B的组件。

令牌处理服务器计算机202B可包括通信地耦合到网络接口302的处理器300、存储器304和计算机可读介质306。

处理器可包括CPU，包括至少一个高速数据处理器，适于执行程序组件，用于执行用户和/或系统产生的请求。CPU可以是微处理器，诸如AMD的Athlon、Duron和/或Opteron；IBM和/或摩托罗拉(Motorola)的PowerPC；IBM的与索尼(Sony)的Cell处理器；英特尔(Intel)的Celeron、Itanium、Pentium、Xeon和/或XScale；和/或类似的处理器。CPU通过经由导电管传递的信号与存储器交互以根据常规数据处理技术执行储存的信号程序代码。

网络接口302可被配置为允许网络令牌系统202使用一个或多个通信网络与其他实体交互，诸如消费者设备120、商家计算机140、收单方计算机150、支付处理网络计算机160、发行方计算机170等。网络接口可与通信网络接纳、通信和/或连接。网络接口可采用连接协议，诸如但不限于：直接连接、以太网(粗缆、细缆双绞对10/100/1000Base T等)、令牌环、诸如IEEE802.11a-x之类的无线连接等。通信网络可以是下列项的任何一个和/或组合：直接互连；因特网；局域网(LAN)；城域网(MAN)；作为因特网上节点的操作任务(OMNI)；保护的自定义连接；广域网(WAN)；无线网络(例如，采用诸如但不限于无线应用协议(WAP)、I-mode和/或类似协议之类的协议)；和/或类似的。

存储器304可用来储存数据。存储器304可在内部或外部(例如，基于云的数据存储)耦合到处理器300并且可包括易失性和/或非易失性存储器的任意组合，例如，RAM、DRAM、ROM、闪存或者任何其他的适当存储器设备。

计算机可读介质306可以是存储器(例如，闪存、ROM等)的形式并且可包括可由处理器300执行来实施本文所述方法的代码。计算机可读介质306可包括请求登记模块308、卡登记模块310、令牌生成模块312、验证与认证模块314、令牌交换与路由模块316、令牌生存周期管理模块318以及报告与管理模块320。计算机可读介质306还可包括可由处理器300执行的代码以实施一方法，该方法包括：从第一实体接收第一令牌请求消息；分析第一令牌请求消息；确定第一令牌请求消息包括对令牌的请求；确定第一令牌；将第一令牌传输到第一实体；从第二实体接收第二令牌请求消息；分析第二令牌请求消息；确定第二令牌请求消息包括与第一令牌相关联的令牌请求；确定与第一令牌相关联的令牌属性；以及将所确定的令牌属性传输到第二实体。计算机可读介质306还可包括可由处理器执行来实施一种方法的代码，该方法包括：从令牌请求方产生令牌请求；执行与令牌请求相关联的至少一个认证过程；响应于至少一个认证过程的执行，产生令牌确保码；以及向令牌请求方传输令牌。

请求方登记模块308可包括代码，此代码可使处理器300向令牌注册表数据库202A登记每一个令牌请求方实体并为登记的实体产生令牌请求方标识符。令牌请求方实体的一些非限制性示例可包括发行方、钱包提供商、支付推动者(例如，商家、钱包提供商或具有卡存档储存库的OEM)、商家、e商务商家、运输局、支付处理网络、收单方、移动设备(例如，钱包应用程序、支付应用程序等)或其子组件和应用程序，以及消费者。每一个登记的实体可使用令牌请求方标识符，作为对网络令牌系统202的每一个令牌服务请求的一部分，可帮助标识和验证实体。在一个实施例中，登记的应用程序可向请求方登记模块308提供令牌请求方信息，诸如实体名字、联系信息、实体类型(例如，商家、钱包提供商、支付服务提供商或PSP、发行方、支付推动方、收单方、收单方处理器等)、令牌呈现模式(例如，扫描、免接触、e商务等)、令牌类型(例如，静态/动态、支付/非支付)、集成与连接性参数和订购的服务(例如，令牌请求、认证与验证、生存周期管理等)以及用于登陆过程的任何其他的相关信息。

回到图2，在一些实施例中，每一个令牌请求方204可使用令牌请求方接口208向令牌注册表数据库202A登记。例如，图形用户界面可用来向网络令牌系统202提供令牌请求方信息。用户界面可以是常规的图形用户界面，如通过、利用以下操作系统和/或操作环境提供，诸如：苹果麦金托什机(AppleMacintosh)OS、例如，Aqua、GNUSTEP、微软视窗(Microsoft Windows)(NT/XP)、Unix X Windows(KDE,Gnome等)、mythTV等等。用户界面可经由文本和/或图形设施实现显示、执行、交互、操控，和/或程序组件和/或系统设施的运行。用户界面提供一种设施，用户可通过该设施影响、交互和/或操作计算机系统。

请求方登记模块308可验证信息，一旦成功验证，就可将令牌请求方详细信息储存在令牌注册表数据库202A中。请求方登记模块308也可在成功的登记之后产生令牌请求方标识符。在一些实施例中，令牌请求方标识符是十位数值。然而，其他格式的令牌请求方标识符是可能的。在一些实施例中，作为登记过程的一部分，令牌注册表数据库202A可储存请求方实体信息，诸如商业标识符、令牌请求方标识符、令牌请求方类型(例如，支付推动方、记录的商家、商家、收单方、发行方等)以及平台类型(例如，支付推动方移动应用程序、线上的支付推动方、商家应用程序、支付服务提供商应用程序、发行方钱包应用程序等)。

卡登记模块310可包括代码，处理器300可使用该代码以执行不同实体进行的卡登记。在一些实施例中，网络令牌系统202可允许登记的实体使用他们的对应接口向网络令牌系统202登记他们的支付卡或账户。例如，登记的实体可提供令牌请求方标识符(例如，在登记的时候从请求方登记模块308接受的)、支付账号、CVV2、有效期、消费者名字和联系信息、令牌类型、OS类型/版本以及用于单个卡登记或批量卡登记的任何其他的相关信息。在一个实施例中，对于所有成功的激活与登记请求，卡登记模块310可在令牌注册表数据库202A中储存所有消费者的账户详细信息的细节。在一个实施例中，令牌注册表数据库202A可储存令牌请求方标识符、MSISDN、支付账号、CVV2、有效期、PAN昵称或别名、消费者邮政编码、UUID、IMEA、IMSI、移动应用程序标识符、消费者姓名等。在一个实施例中，登记的实体可使用他们的对应接口通过向网络令牌系统202提供必要信息将支付账户取消登记。

令牌生成模块312可被配置为响应于来自令牌请求方对令牌的请求而生成令牌。在一个实施例中，令牌生成模块312可接收令牌请求方标识符、账号(例如，PAN)、有效期和CVV2。在一些实施例中，令牌生成模块312还可接收选择的信息，诸如消费者名字、消费者地址和邮编、请求的令牌类型(例如，静态支付、动态支付、非支付等)、卡验证状态(例如，AVS/CVV校验状态)、MSISDN、UUID、IMEI、OS类型/版本以及任何其他的适当信息。在一个实施例中，令牌生成模块312可产生具有令牌号码、令牌有效期和令牌确保等级的令牌响应。在一个实施例中，令牌生成模块312可验证令牌请求方标识符，确定PAN类型以及从相应的令牌BIN范围产生令牌。令牌注册表数据库202A可保持卡与相关联的请求方和令牌之间的相关性。在一个实施例中，令牌生成模块312可在产生新的令牌之前针对令牌请求确定此令牌是否已经存在于令牌注册表数据库202A。在一些实施例中，如果令牌不能被供应，那么令牌响应可包括对应的原因代码。令牌生成模块312也可为令牌请求方提供接口以提供批量令牌请求文件。

在一个实施例中，经由API呼叫可在飞行中生成令牌(例如，使用令牌请求方接口208)。例如，当接收请求以使PAN令牌化时，令牌生成模块312可确定令牌范围以分配令牌。例如，令牌范围可基于是发行方供应令牌(例如，发行方分配的令牌范围)还是支付处理网络代表发行方供应令牌(例如，支付处理网络分配的令牌范围)来分配。作为示例，如果支付处理网络分配的令牌范围包括“442400000-442400250”，那么“4424000000005382”可被分配为令牌值。令牌值可储存令牌范围对于PAN的关系并且可记入令牌添加记录。在一些实施例中，令牌生成模块312可在分配令牌之前考虑与PAN相关联的令牌范围列表。

在一个实施例中，令牌生成模块312可访问令牌范围表，令牌范围表表示支付处理网络计算机160所供应的可用令牌范围并且令牌范围还未与PAN范围相关联。令牌生成模块312可访问包含PAN与相关联的令牌范围的最小账户范围与最大账户范围的另一个表。令牌范围可包括支付处理网络计算机160供应的令牌范围和发行方计算机170供应的令牌范围。

在一个实施例中，商家令牌接口210可允许e商务商家在校验过程期间使用那些卡存档发起卡存档的令牌生成请求。例如，令牌生成模块312可接收令牌请求方标识符、卡存档PAN、CVV2、有效期，并可选地接收消费者标识符，以用于e商务网络应用。令牌生成模块312可提供可由支付处理网络计算机160在授权过程期间验证的令牌和dCVV。例如，令牌和dCVV可被提供到商家计算机，然后可使用令牌和dCVV产生授权请求消息。支付处理网络然后可接收授权请求消息并且可验证令牌和dCVV，或者可能地用真实账号和对应于账号的CVV2值替换令牌和dCVV。

在一个实施例中，商家令牌接口210可允许e商务商家向消费者110提供选择：在校验期间请求令牌代替PAN。在这类实施例中，令牌生成模块312可在产生令牌之前认证消费者和/或PAN。例如，令牌生成模块312可接收令牌请求方标识符、卡存档PAN、CVV2、有效期，并且可选择地接收消费者名字和账单地址，且可向消费者提供令牌处理服务器计算机202B可在传输期间验证的令牌和dCVV。例如，令牌和dCVV可被提供到消费者的计算机，可被提供到商家计算机，然后可使用令牌和dCVV产生授权请求消息。支付处理网络然后可接收授权请求消息并且可验证令牌和dCVV，或者可能地用真实账号和对应于账号的CVV2值替换令牌和dCVV。

验证与认证模块314可被配置为执行消费者验证与认证过程。例如，验证和认证模块314可通过配置的认证方案执行消费者认证和验证。在一个实施例中，认证方案可包括基于消费者信息验证支付账号、CVV2和有效期，该消费者信息储存在与支付处理网络相关联的数据库中。在一个实施例中，认证方案可包括由发行方计算机170利用消费者对于他们的线上银行系统的凭证对消费者进行直接验证。

在一个实施例中，认证方案可包括通过发行方ACS(访问控制服务器)对消费者凭证进行验证。例如，发行方ACS服务可以是诸如的3D安全协议之类的认证协议的一部分。ACS服务器可与发行方计算机170相关联，发行方计算机170可包含登记的消费者账户和访问信息。ACS可给予发行方在线上购买期间认证消费者的能力，由此减少支付账户的欺骗性使用的可能性。例如，ACS可验证消费者是否登记，在交易的时候执行消费者验证并向商家提供数字签名的响应。具有与很多发行方相关联的很多ACS计算机的地址的目录服务器可存在于3D安全类型系统中，且目录服务器可路由信息进出ACS。

在一个实施例中，认证方案可包括使用支付处理网络消费者认证服务(例如，Visa^TM消费者认证服务(VCAS))进行的支付账户的验证。例如，VCAS服务可在授权过程之前代表发行方认证消费者。

在一些实施例中，认证方案可基于OTP(一次性密码)或零美元授权请求消息的使用。例如，支付处理网络计算机160或发行方计算机170可将OTP提供到消费者110。消费者110可利用消费者设备120向网络令牌系统202提供OTP以供认证。在本发明的其他实施例中，零美元授权请求消息可被商家计算机140经由收单方计算机150和支付处理网络计算机160发送到发行方计算机170以验证消费者的身份和/或支付账户的有效性。在一个实施例中，零美元交易(即，具有零美元金额的授权请求消息)可用来验证支付账号、任何个人标识符(例如，PIN)、地址和/或验证值(例如，CVV、CVV2或其他变量等)。

在一些实施例中，供应令牌的请求可将消费者认证请求与令牌请求结合。例如，可使用任何先前讨论的认证方法在令牌化之前执行认证。在认证方法中，其中发行方计算机170执行认证，可在从发行方计算机170接收认证响应之后执行令牌化。

在一些实施例中，账户或卡登记、令牌生成以及验证与认证可被执行为单个令牌请求过程的一部分。在一些实施例中，对于批量请求，可通过处理来自令牌请求方204的批处理文件来执行卡登记和令牌生成。在这类实施例中，消费者验证与认证可在分开的步骤中执行。在一些实施例中，令牌请求方204可请求针对特定卡或账户独立地执行认证与验证过程多次以反映此令牌的确保等级随时间的任何变化。

令牌交换和路由模块316可包括可由处理器执行的代码以使处理器允许登记的应用程序请求给定令牌的支付账号信息。例如，支付处理网络160、收单方计算机150等可在支付交易期间发行对令牌交换的请求。在一个实施例中，登记的实体可提供令牌请求方标识符、令牌号码、令牌有效期、令牌呈现模式、交易标识符、交易时间戳(timestamp)、请求时间戳以及任何其他的相关信息中的至少一个、两个或多个以请求支付账号信息。令牌交换和路由模块316可验证请求实体有资格作出对令牌交换的请求。在一个实施例中，令牌交换和路由模块316可基于请求时间戳和令牌有效时间戳验证PAN/令牌映射和呈现模式。令牌交换和路由模块316可从令牌注册表数据库202A检索支付账号信息并将其与确保等级一起提供到请求方实体。在一个实施例中，如果PAN/令牌映射对于请求的时间戳和呈现模式不是有效的，则可提供错误消息。

令牌生存周期管理模块318可包括代码，该代码可由处理器300执行以执行生存周期操作。生存周期操作可包括取消令牌，激活或停用令牌，更新令牌属性，用新的PAN有效期更新令牌等。在一个实施例中，令牌请求方实体可向网络令牌系统202提供令牌请求方标识符、令牌号码、生存周期操作标识符以及一个或多个令牌属性以在给定令牌上执行请求的生存周期操作。令牌生存周期管理模块318可基于令牌注册表数据库202A验证令牌请求方标识符和令牌关联性。令牌生存周期管理模块318可在给定令牌号码上执行请求的生存周期操作并在令牌注册表数据库202A中更新所有相应的关联性。

令牌请求方204使用接口请求生存周期操作。生存周期操作可与丢失的或被盗的消费者设备、泄露的支付账号或令牌、支付账号的改变、注销卡存档等相关联。在生存周期操作的另一个示例中，令牌激活操作可被请求以激活不活动的、暂停的或临时锁定的令牌及其关联性。令牌停用操作可被请求以临时地锁定或暂停令牌。取消令牌操作可被请求以将令牌及其关联性永久地标记为删除的以防止任何将来的交易。在一些实施例中，可在退还/退款期间使用删除的令牌，如果同一令牌被用于提交对应原始交易的话。令牌更新操作可被请求以更新令牌属性，诸如有效期(例如，延长或减小有效性时间戳)、时间戳、使用频率(基于所提供的令牌详细信息)等。有效性时间戳可以是天数/小时数/分钟数或具体有效期。

在一些实施例中，网络令牌系统202可允许消费者请求更新PAN与静态令牌之间的关联性。例如，消费者110可请求更新他的PAN。此更新可经由令牌请求方接口108发生或者发行方计算机170可请求经由发行方令牌接口218更新PAN。登记的实体可向令牌生存周期管理模块318提供令牌请求方标识符、旧的PAN并选择性地提供新的PAN，可将新的PAN与静态令牌相关联或可针对新的PAN产生新的静态令牌。

报告与管理模块316可允许令牌请求方通过提供令牌请求方标识符、令牌或PAN别名以及交易日期范围(例如，起始与结束日期)请求使用令牌作出的交易细节。在一个实施例中，网络令牌系统202可从支付处理网络160检索所有令牌交易并保持在日期存储中以向请求的登记实体提供交易细节以便处理退还、退款和纠纷并支持分析。报告与管理模块316可提供在给定日期范围之间的使用给定令牌(或与给定PAN别名相关联的令牌)作出交易细节。

在一些实施例中，报告与管理模块316可允许登记的实体从给定令牌/PAN组合与日期范围请求授权与结算数据。在一些实施例中，报告与管理模块316可允许登记的实体针对给定的PAN分配的并且从给定的日期范围请求所有令牌及其属性。

令牌确保模块322可被配置为确定与由令牌产生模块312产生的令牌相关联的令牌确保等级。可基于由验证与认证模块314执行的验证与认证的结果来确定令牌确保等级。令牌确保等级可指示与令牌相关联的确保信息，诸如确保指示符(例如，请求方、网络、发行方、ACS、其他)、执行确保的实体(例如，请求方、网络发行方、其他)、确保被执行的日期、钱包/消费者设备标识、确保等级分(基于所使用的认证方法)以及任何其他相关信息。令牌确保模块322可在令牌请求的时候确定令牌确保等级，或者可在晚些时候确定令牌确保等级。令牌确保等级可被支付处理器网络或发行方用于附加风险评估。

在一些实施例中，令牌确保等级可包括诸如确保指示符的确保信息、执行认证或确保过程的实体(例如，请求方、网络发行方等)、执行确保处理的日期、钱包/消费者设备识别指示符、确保等级分(基于所使用的认证方法)以及任何其他与确保相关的信息。确保指示符与分数是确保码的示例。

令牌确保信息的一些示例包括，但不限于：令牌还未被认证的指示、令牌被网络认证的指示、令牌被发行方认证的指示、或者令牌、持卡者和/或卡凭证如何被认证的任何其他指示。一旦令牌库记录经由验证与认证模块314的认证，令牌处理服务器计算机202B就可记录令牌确保等级。

在一些实施例中，支付处理网络160可基于对令牌绑定的认证与请求跟踪令牌确保等级。这可用来告知发行方已使用附加的认证技术验证了令牌。下面描述关于令牌确保等级的进一步细节。

II.提供令牌确保数据

令牌处理服务器计算机202B中的令牌确保模块322可包括用于实施一种方法的代码以用于产生与令牌确保等级相关联的令牌确保等级或码。此方法可包括从令牌请求方接收令牌请求。此方法还可包括执行与令牌请求相关联的至少一个认证过程，并且响应于至少一个认证过程的执行，由服务器计算机产生令牌确保码。

可执行任何适当的认证过程或认证过程的组合。认证可涉及支付设备的认证和/或将使用令牌的消费者的认证。可单独地或结合地执行的认证过程的示例可包括：诸如CVV或CVV2校验之类的验证值校验、AVS(地址验证服务)校验、PAN和/或有效期校验(利用零美元或无美元授权请求来执行并响应于发行方，或者通过代表发行方的支付处理网络执行)、用户密码认证校验(例如，使用3DS或3D安全类型基础结构)，以及一次性密码(OTP)密码验证。可执行的其他类型的认证过程包括设备验证过程。例如，当请求支付令牌时，移动电话可提供设备特性，诸如安全元件标识符、SIM卡号、电话号码、IMEI(国际移动站设备标识)码、MSISDN码等。诸如生日、家庭地址、就读学校之类的消费者信息也可用来认证使用令牌的个人以及令牌的合法性。验证信息的其他示例可储存在图3中的卡登记模块310中且在上文中描述。

然后令牌可被传输到令牌请求方。令牌确保码可与令牌一起被储存在令牌注册表数据库202A中以便之后检索和使用。例如，令牌确保码可在支付过程期间被直接或间接地传递到令牌请求方、收单方、支付处理网络或发行方。

图4A-4B示出本发明的一个实施例中的确定令牌确保等级的令牌请求认证方法的示例性方法。

令牌确保等级可由支付令牌系统202执行以在令牌请求的时候或之后认证消费者、卡凭证或令牌。返回参考图3，令牌确保等级可由令牌确保模块322确定。令牌确保等级可用于支付处理器网络计算机160或发行方计算机170进行的附加风险评估。例如，确保等级码可在授权请求消息中传递以通知交易中的令牌的确保等级。

在步骤402中，令牌请求方204可向令牌注册表数据库202A发送令牌请求402。令牌请求方402可包括PAN、有效期、CVV2、消费者110的完整地址、邮编以及令牌请求方标识符。例如，令牌请求402可以是对来自消费者设备120(例如，钱包应用程序)的令牌的请求以发起交易。

在步骤404中，网络令牌系统202可基于一个或多个认证方法提供包括令牌确保等级、令牌号码和令牌有效期的令牌响应，这些认证方法诸如，但不限于：CVV2校验、AVS校验、使用零美元授权的认证过程、由代表发行方的支付处理网络(OBO)执行的认证过程、使用3DS(3D安全)扩展发行方ACS(访问控制服务器)或3DS(3D安全)扩展发行方OTP(一次性密码)过程的认证过程，在下面描述。可认识到，网络令牌系统202可在使用一个或多个认证方法认证持卡者之后提供包含令牌确保等级的令牌响应。下面在交易流程1-6中进一步详细描述认证方法中的一个。

交易流程1示出CVV2校验认证方法。在步骤1A中，当令牌请求方204发送令牌请求402时，令牌请求方204也可向令牌库202A发送与支付账户、有效期和CVV2值相关联的PAN，令牌库202A转而将它们发送到支付处理网络计算机160以便CVV2校验。此信息可在令牌请求402之前由用户提供给令牌请求方204。例如，CVV2值可以是与支付卡相关联的安全码(例如，打印在卡上的三位码)。

在步骤1B中，支付处理网络计算机160可执行CVV2校验并向令牌注册表202A发送响应消息以许可或拒绝该用户的授权。例如，支付处理网络计算机160可将消费者120提供的CVV2值与记录上的CVV2值相比较(例如，储存在支付处理网络计算机160的数据库中)。如果CVV2值与储存在数据库中的匹配，支付处理网络计算机160则可授权该用户。当令牌处理服务器计算机202B产生令牌时，令牌处理服务器计算机202B可意识到已使用支付处理网络计算机进行的CVV2校验认证了用户从而可确定令牌确保等级。

交易流程2示出AVS校验认证方法。在步骤2A中，当令牌请求方204发送令牌请求402时，令牌请求方204也可向令牌库202A发送与持卡者相关联的PAN，有效期、完整地址和邮编，令牌库202A转而将它们发送到支付处理网络计算机160。此信息可在令牌请求402之前由持卡者(用户)提供给令牌请求方204。AVS校验能够将消费者110所提供的账单地址和邮编的元素与发行方的记录进行对照比较。

在步骤2B中，支付处理网络计算机160可向发行方计算机170转发PAN、有效期、完整地址和邮编以便于AVS校验。

在步骤2C中，例如通过将消费者110提供的账单地址和邮编与记录上的数据相比较，发行方计算机170可执行AVS校验并且可向支付处理网络计算机160发送响应消息以许可或拒绝用户的授权。例如，如果所提供的账单地址和邮编与记录上的数据匹配，发行方计算机170则可授权用户(例如，持卡者或消费者)。

在步骤2D中，支付处理网络计算机160可向令牌注册表202A转发响应消息。当令牌处理服务器计算机202B产生令牌时，令牌处理服务器计算机202B可意识到已使用支付处理网络计算机进行的AVS校验认证了用户从而可确定令牌确保等级。

交易流程3示出零美元授权认证方法。在步骤3A中，当令牌请求方204发送令牌请求时，令牌请求方204也可在至支付处理网络160的零美元或无美元授权请求消息中将PAN和有效期发送到支付处理网络计算机160。此信息可在令牌请求402之前由用户提供给令牌请求方204。

在步骤3B中，支付处理网络计算机160可在零或无美元授权请求消息中将PAN、有效期和卡存档指示符转发到发行方计算机170。

在步骤3C中，发行方计算机170可评估PAN和有效期以确定它们是否是可靠的或欺骗性的，并且可向支付处理网络计算机160发送响应消息以认证用户。例如，发行方计算机170可执行支付账号、个人标识符、地址验证和卡验证值(CVV、CVV2或其他变量等)的验证，作为零美元授权请求的一部分。

在步骤3D中，支付处理网络计算机160可向令牌注册表202A转发响应消息。当令牌处理服务器计算机202B产生令牌时，令牌处理服务器计算机202B可意识到已通过支付处理网络计算机160利用零美元授权认证了该用户并且可相应地确定令牌确保等级。

交易流程4示出支付处理网络OBO认证方法。在步骤4A中，当令牌请求方204发送令牌请求402时，令牌请求方204也可将PAN和有效期发送到支付处理服务器202B以执行支付处理网络授权OBO。此信息可在令牌请求402之前由用户提供给令牌请求方204。

在步骤4B中，令牌处理服务器计算机202B可代表发行方验证PAN和有效期数据并向令牌注册表202A发送响应消息从而许可或拒绝用户的授权。例如，如果可代表发行方验证了PAN和有效期，那么令牌处理服务器计算机202B可授权用户。当令牌处理服务器计算机202B产生令牌时，令牌处理服务器计算机202B可意识到已使用支付处理网络计算机202B进行的支付处理网络OBO校验认证了用户从而可确定令牌确保等级。

交易流程5示出3D安全扩展发行方ACS认证方法。在步骤5A中，当令牌请求方204发送令牌请求402时，令牌请求方204也可向发行方计算机170直接发送与支付账户相关联的PAN和有效期以便于3DS扩展发行方ACS校验。此信息可在令牌请求402之前由用户提供给令牌请求方204。

在步骤5B中，发行方计算机170可执行ACS校验并向令牌注册表数据库202A发送响应消息以许可或拒绝用户的授权。例如，发行方计算机170可询问适当的ACS以用消费者110在登记的时候提供的数据来认证该数据。ACS可经由直接信道向消费者设备120发送消息并且可请求消费者提供PIN或其他密码来认证他自己。如果可使用ACS认证用户，发行方计算机170则可向令牌处理服务器计算机202B提供此信息。当令牌处理服务器计算机202B产生令牌时，令牌处理服务器计算机202B可意识到已使用支付处理网络计算机160进行的3D安全扩展发行方ACS校验认证了用户从而可确定令牌确保等级。

交易流程6示出3D安全扩展发行方OTP认证方法。在步骤6A中，当令牌请求方204发送令牌请求402时，令牌请求方204也可向发行方计算机170发送PAN、有效期和一次性密码以便于3DS(3D安全)扩展发行方OTP(一次性密码)校验。此信息可在令牌请求402之前已由用户提供给令牌请求方204。

在步骤6B中，发行方计算机170可向消费者设备120提供产生的OTP(一次性密码)。

在步骤6C中，消费者设备120可向令牌请求方204提供OTP(一次性密码)。例如，令牌请求方204可以是移动或钱包应用程序。持卡者可在运行在消费者设备120上的移动或钱包应用程序中输入OTP。

在步骤6D中，令牌请求方204可向令牌注册表数据库202A提供OTP(一次性密码)以用于OTP的验证。

在步骤6E中，令牌注册表数据库202A可验证OTP并发送消息以通知发行方计算机170来许可或拒绝用户的认证。例如，如果所接收的OTP与产生的OTP相匹配，那么发行方计算机170可认证用户。当令牌处理服务器计算机202B产生令牌时，令牌处理服务器计算机202B可意识到已使用支付处理网络计算机160进行的3D安全扩展发行方OTP校验认证了用户从而可确定令牌确保等级。

可认识到上述交易流程1-6可发生在步骤402与步骤404之间，或者甚至在步骤402之前。上述令牌确保等级可以以令牌确保等级字段码的形式来表现，令牌确保等级字段码可以是授权请求消息或授权响应消息的一部分。

“令牌确保码”可以是任何适当的值，表示特定令牌是可靠的和/或可被信任的确保等级。在一些实施例中，令牌确保码可包括基于一些因素产生的分数，这些因素诸如所执行的认证过程的数量或类型、支付信道、认证实体等。例如，在1-10的尺度上，10作为最可信赖的，针对在令牌和与令牌联系的真实PAN相关联的支付设备的用户上执行多次认证校验之后发行的令牌，可分配令牌确保码"8"。可选地，令牌确保码"2"可分配给令牌，该令牌是在令牌发行之前没有执行任何认证处理而发行的令牌。在其他实施例中，令牌确保码可表示关于执行的认证过程的原始信息、支付信道、认证实体等，而不尝试量化与这类因素相关联的信任等级。例如，令牌确保码可仅为数字"2"以指示在执行CVV2校验之后发行了令牌，以及"7"，其中执行了一次性密码认证校验。数字"2"和"7"仅为所执行的认证过程的标签，而不必指示特定的信任等级。下面提供可用于确定令牌确保等级或码的因素的其他示例。

在一些特定实施例中，令牌确保等级码可指示持卡者、卡凭证和令牌已怎样被支付网络认证。例如，令牌确保等级码可在请求并最终生成令牌时指示以上认证方法中的哪一个被用于认证持卡者。这些认证方法包括，但不限于：CVV2校验、AVS校验、零美元授权、支付处理网络OBO、3DS扩展发行方ACS以及3DS扩展发行方OTP。在正常支付交易的过程期间，令牌确保等级码可被发行方170用于附加风险评估并获取使用令牌的用户事实上是真正持卡者的某一可信度等级。

在一些特定实施例中，令牌确保等级可以是指示令牌确保等级的2位数字。例如，令牌确保等级码可在00-99的范围，00为最低令牌确保等级，99为最高令牌确保等级。可认识到，任何其他指示方案可用于令牌确保等级码。

在支付网络内传送风险的令牌确保等级码的使用可具有许多优势。首先，令牌确保等级的使用可增加支付网络内的安全性，尤其对于包含令牌的使用的支付交易。因为发行方170(以及支付网络内的可能的其他实体)能够参考令牌确保等级码以获取令牌被合法产生并且它被真实持卡者使用的特定可信度等级，可极大减小许可欺骗性交易的机会。其次，令牌确保等级码的使用将增加交易期间的支付系统的效率，因为不需要对令牌的认证处理。如果发行方170接收到包含指示相对较高令牌确保等级的令牌确保等级码的授权请求消息，发行方170可简单地授权交易而不需要执行用户和/或令牌的进一步认证。此外，如上所述，因为令牌是模糊化的PAN，非常难以执行当使用真实PAN进行交易时将正常使用的认证过程的类型。可认识到，传送风险的令牌确保等级码的使用可提供贯穿本说明书描述的很多其他优势。

可在下面的示例中进一步说明使用令牌确保等级码在支付网络内传送风险的进一步优势。

图5示出根据本发明的一些实施例的销售点(POS)处的近场通信(NFC)的示例性交易流程。

在使用NFC的POS处进行交易的授权过程1102可包含步骤502A-502G。

授权过程502可在用户希望与商家进行交易时开始。在步骤502A，当消费者设备120在NFC终端处被轻触或挥动时，商家计算机140处的NFC终端可从用户的消费者设备120捕获数据。例如，返回参考图1，NFC终端可以是可通信地耦合到商家计算机140的访问设备130的一部分。在本发明的一个实施例中，在离线过程中，发行方可登记为具有令牌库的令牌请求方并且可在消费者设备120的钱包应用程序中供应令牌(例如，能够NFC的蜂窝电话)。消费者110可使用消费者设备120作出支付。商家计算机140可从消费者设备120捕获令牌、令牌有效期、芯片密码和POS输入模式。在一个实施例中，令牌请求方标识符可隐藏在芯片密码数据中。可使用上文所述的任何方法在当前交易之前产生捕获的令牌。

在步骤502B，商家计算机502B可用捕获的数据产生授权请求消息并将它提供到收单方计算机150。授权请求消息可包括附加的字段，诸如交易数据、商家标识符以及任何其他相关数据。此数据可包括令牌、令牌有效期、芯片密码和POS输入模式。

更具体地，在一些实施例中，授权请求消息可包括以下数据字段：金额数据字段；主账号数据字段(保持令牌的)；有效期字段；令牌呈现模式数据字段；令牌请求方ID数据字段；商家数据数据字段，诸如卡接收方ID数据字段、商家描述符数据字段(商家名称)、MCC或商家类别码数据字段、商家城市数据字段、商家状态数据字段以及商家邮编数据字段；验证值数据字段(例如，dCVV数据字段)；发行方自由支配数据数据字段以及令牌确保等级码数据字段。对应的授权响应消息可包括这些数据字段中的一些或所有。

在502C中，授权请求消息可被收单方计算机150传达到支付处理网络计算机160。此授权请求消息可包括令牌、令牌有效期、芯片密码和POS输入模式。

在步骤502D，支付处理网络计算机160可对包含令牌请求方标识符的CHIP数据的一些部分解密，并且向发行方计算机170发送芯片数据、令牌、令牌有效期、令牌请求方标识符、令牌确保等级、PAN和PAN有效期。例如，支付处理网络计算机160可在授权请求消息提供到发行方计算机170之前从令牌库中用令牌交换PAN并修改授权请求消息以包含PAN代替令牌。修改的授权请求消息还可包括令牌请求方标识符和令牌确保等级。在向发行方计算机170发送修改的授权请求消息之前，之付处理网络计算机160可验证令牌正被适当地使用在正确的域中。在一些实施例中，如果令牌确保等级在阈值确保等级以上，则可回避验证。

在502E中，发行方计算机170可在接收修改的授权请求消息之后作出许可决定并向支付处理网络160发送授权响应消息。许可决定可至少基于授权请求消息中的令牌确保等级码。令牌确保等级可对发行方计算机570指示令牌请求方已怎样认证持卡者、卡凭证和令牌。令牌确保等级可基于数个因素。

一个因素可包括指示支付系统中的哪个实体针对令牌产生认证了用户或账户的确保指示符。例如，令牌请求方、支付处理网络计算机560、发行方570、ACS或其他实体针对令牌产生已验证用户。可认识到，某些实体进行的认证可比其他实体进行的认证较多地或较少地影响令牌确保等级。例如，与如果令牌请求方本身执行授权相比较，如果发行方计算机570执行认证，那么令牌确保等级码可指示更高的令牌确保等级。

其他因素可包括产生令牌的日期。接近当前交易的日期所产生的令牌可比远离当前交易的日期所产生的令牌具有更高的令牌确保等级。可认识到，令牌库和/或令牌处理器可保持与令牌相关联的令牌确保等级的实时记录。可针对与数个变量有关的数个原因在任何时候更新令牌确保等级，其中一个变量可包括多久以前产生令牌。

另一个因素可包括钱包/设备标识。钱包/设备标识可指示令牌是为哪一个数字钱包和/或哪一个设备产生的。为已知更加安全的数字钱包和/或设备产生的令牌可具有更高的令牌确保等级。

另一个因素可包括使用特定令牌已完成的成功(例如，非欺骗性)交易的数量。使用令牌完成的成功交易的较多数量可导致令牌较高的令牌确保等级。在一些实施例中，令牌库和/或令牌处理器可根据每一次成功交易增加令牌的令牌确保等级，反之亦然。

如由令牌确保等级码所指示的令牌确保等级可基于任何上述因素的组合来确定。因素的组合可导致总令牌确保等级的确定。可在任何时候更新令牌确保等级。

发行方可基于令牌确保等级作出许可决定。如果令牌确保等级相对较低且在发行方为许可交易而设定的阈值以下，则可拒绝此交易。如果令牌确保等级相对较高且在发行方为许可交易而设定的阈值以上，则可许可此交易。在一些实施例中，发行方可使其许可/拒绝决定基于与多种其他因素结合的令牌确保等级。例如，即使令牌确保等级低，但如果发行方计算机570经由安全域接收此令牌，那么发行方计算机570仍可许可交易。在一些实施例中，如果令牌确保等级低，那么发行方计算机570可执行进一步认证程序以尝试认证此交易的用户和令牌，而不是简单地拒绝此交易。

在一些实施例中，授权请求消息中接收的令牌确保信息也可由支付处理网络计算机160使用以产生细化的欺骗分。交易欺骗分可基于交易特性来产生，交易特性诸如：进行交易的商家、这天的时间、日期、交易速度、用来进行此交易的计算机的互联网地址等。这类信息用于创建交易欺骗分，令牌确保信息可用来创建更细化的且更准确的欺骗分，此欺骗分可传递到发行方计算机170以帮助发行方决定是否授权此交易。

在一些实施例中，新增的字段(例如，令牌确保等级)可被要求在交易中“保持和返回”。

在502F中，一接收响应，支付处理网络160就可用PAN交换令牌，在授权响应消息中可选地填充PAN的最后四位，并且在修改的授权响应消息中向收单方计算机150返回令牌确保等级。修改的授权响应消息还可包括PAN产品标识符。

在502G中，收单方计算机150可向商家计算机540转发授权响应消息。

清算与例外过程504可包括如下文描述的步骤504A-504D。例如，清算与例外过程可被清算模块执行以核对交易订单。

在步骤504A中，收单方计算机150可将清算草案消息与PAN字段中的令牌一起，连同CHIP数据提交到支付处理网络160。清算草案消息还可包括令牌确保等级。

在步骤504B中，支付处理网络160处的清算过程可在至发行方计算机170的清算草案中识别令牌并用真实PAN替换令牌(例如，从令牌库)。清算过程可将令牌设置在至发行方计算机170的清算草案消息中的新字段中，也填充令牌确保等级。

在步骤504C中，若退款发生，发行方计算机170可保留令牌以及PAN并将他们返回到支付处理网络160。在一些实施例中，退款的责任可根据令牌确保等级落在支付网络中的多种实体上。例如，如果一实体不顾低令牌确保等级而进行交易，那么退款的责任可落在该实体上。

在步骤504D中，清算过程可将令牌移动到PAN字段并将真实PAN从清算草案消息丢到收单方计算机150。

图6示出根据本发明的一个实施例的卡存档交易/e商务交易的示例性流程图。

在步骤602A，消费者110可使用消费者设备120作出购买。作为离线过程，在交易之前，商家(例如，线上商家)可登记令牌请求方标识符。同样作为离线过程，商家可批量请求它们的所有PAN，得到对应的令牌。在此实施方式中，令牌可有关于特定商家。

在步骤602B中，商家计算机140可向收单方计算机150发起授权请求消息。当发起授权时，商家/收单方可提供代替PAN的令牌和令牌有效期。

在步骤602C中，收单方计算机150可向支付处理网络计算机160转发授权请求消息。

在步骤602D中，支付处理网络计算机160可识别令牌是来自启用令牌的商家的令牌，用真实PAN替换令牌(例如，从令牌库)，在修改的授权请求消息中向发行方计算机170发送新字段中的令牌、令牌请求方标识符以及令牌确保等级与PAN。令牌请求方标识符和令牌确保等级对于发行方是可选的。

在602E中，发行方计算机170可作出许可决定并向支付处理网络160发送授权响应消息。新增的字段(例如，令牌确保等级)可被要求在交易中保持和返回摂。

在602F中，一接收响应，支付处理网络160就可用PAN交换令牌，在授权响应消息中可选地填充PAN的最后四位，并且在修改的授权响应消息中向收单方计算机150返回令牌确保等级。修改的授权响应消息还可包括PAN产品标识符。

在602G中，收单方计算机150可向商家计算机602G转发授权响应消息。

清算与例外过程604可包括如下文描述的步骤604A-604D。例如，如参考图5所讨论的，清算与例外过程可被清算模块518执行以核对交易订单。

在步骤604A中，收单方计算机150可将清算草案消息与PAN字段中的令牌一起，连同CHIP数据提交到支付处理网络160。清算草案消息还可包括令牌确保等级。

在步骤604B中，支付处理网络160处的清算过程可在至发行方计算机170的清算草案消息中识别令牌并用真实PAN替换令牌(例如，从令牌库)。清算过程可将令牌设置在至发行方计算机170的清算草案消息中的新字段中，也填充令牌确保等级。

在步骤604C中，若退款发生，发行方计算机170可保留令牌以及PAN并将他们返回到支付处理网络160。

在步骤604D中，清算过程可将令牌移动到PAN字段并将真实PAN从清算草案消息丢到收单方计算机150。

可认识到，图6类似于图5，除了图6示出卡存档交易，而不是基于NFC的交易。关于令牌确保等级描述的过程与方法整体地应用到图6。可认识到，在授权请求消息中传递的数据中的一些不同于图5中的，因为卡存档交易可与基于NFC的交易的不同数据相关联。

图7是根据本发明的一些实施例的用于向发行方或其他实体传输令牌确保等级码的示例性方法700的流程图。在框702中，接收包含支付令牌的授权请求消息。支付令牌可与真实账户标识符相关联。在一些实施例中，授权请求消息由服务器计算机从商家计算机接收。在一些实施例中，在接收授权请求消息之前，支付令牌被发行方产生并提供到服务器计算机。

在框704中，在接收授权请求消息之后，确定与支付令牌相关联的真实账户标识符。

在框706中，在确定与支付令牌相关联的真实账户标识符之后，产生包含真实账户标识符的修改的授权请求消息。修改的授权请求消息可包括真实账户标识符和指示与支付令牌相关联的风险等级的令牌确保等级码。风险等级可指示支付令牌是否由与真实账户标识符相关联的底层支付账户的真实账户持有者请求的。令牌确保等级码还可指示与令牌的产生相关联的认证方法。认证方法可包括，但不限于：无认证、网络认证或发行方认证。另外，令牌确保等级码至少部分地基于与真实账户标识符相关联的交易历史。在一些实施例中，在产生支付令牌的时候产生令牌确保等级码。

在框708中，在产生修改的授权请求消息之后，修改的授权请求消息被传输到发行方以用于许可。发行方许可可至少部分地基于令牌确保等级码。

与不同实施例一起讨论的网络令牌系统提供外部实体(例如，第三方钱包、e商务商家、支付推动方/支付服务提供商等)可利用的平台或者需要使用令牌来帮助支付交易的内部支付处理网络系统。在本发明的实施例中，令牌可支持互操作性并且可由支付系统内的实体接受、处理和路由。本发明的实施例可帮助卡发行方和商家改进卡安全性或通过令牌化实现新支付体验。

参考图1和2中在本文中描述的各个参与者和元件可操作一个或多个计算机装置以促进本文中所描述的功能。图1和2中的任何元件，包括任何服务器或数据库，可使用任何适当数量的子系统来促进本文所描述的功能。

这些子系统或组件的示例在图8中示出。图8中所示的子系统经由系统总线810进行互连。示出了诸如打印机830、键盘818、固定盘820(或者包括计算机可读介质的其他存储器)、耦合到显示适配器812的监视器814及其他之类的附加子系统。耦合到I/O控制器824的外围设备和输入/输出(I/O)设备可通过本领域已知的任何数量的装置(诸如串行端口816)连接到计算机系统。例如，串行端口816或外部接口822可被用于将计算机装置连接到诸如因特网之类的广域网、鼠标输入设备、或者扫描仪。经由系统总线的互连允许中央处理器828与每一子系统通信，并控制来自系统存储器826或固定盘820的指令的执行，以及子系统之间的信息交换。系统存储器826和/或固定盘820可以包括计算机可读介质。

本申请中所描述的软件组件或功能中的任何一个都可以实现为软件代码，处理器使用例如常规的或面向对象的技术，并使用任何合适的计算机语言(诸如例如，Java、C++或Perl)来执行的这些软件代码。软件代码可以作为一系列指令或命令被存储在计算机可读介质上，计算机可读介质诸如，随机存取存储器(RAM)、只读存储器(ROM)、诸如硬驱动器或软盘之类的磁介质，或诸如CD-ROM之类的光介质。任何此类计算机可读介质都可以驻留在单个的计算装置上或单个的计算装置内，并可以存在于系统或网络内的不同的计算装置上或不同的计算装置内。

上文的描述仅是说明性的，而不是限制性的。本发明的许多变体对所属领域的技术人员阅读本发明之后变得显而易见。因此，本发明的范围不是参考上面的描述确定的，而是应该参考待审批的权利要求以及它们的完整范围或等效物来确定。

来自任何实施例的一个或多个特征可以与任何其他实施例的一个或多个特征相结合而不背离本发明的范围。

对“一”(“a”、“an”)或“所述”(“the”)的引用旨在是指“一个或多个”，除非特别指示为相反的情况。

以上提及的所有专利、专利申请、出版物、以及描述出于所有目的通过引用整体纳入于此。没有任何内容被承认为是现有技术。

Claims

1.一种方法，包括：

由服务器计算机从令牌请求方接收令牌请求；

由所述服务器计算机执行与所述令牌请求相关联的至少一个认证过程；

响应于所述至少一个认证过程的执行，由所述服务器计算机产生令牌确保码；以及

由所述服务器计算机将所述令牌传输到所述令牌请求方。

2.如权利要求1所述的方法，进一步包括在令牌注册表数据库中储存所述令牌确保码。

3.如权利要求1所述的方法，其特征在于，所述至少一个认证过程包括从CVV2校验、AVS校验和一次性密码(OTP)验证校验构成的组中选择的认证过程。

4.如权利要求1所述的方法，其特征在于，所述令牌请求包括与信用卡或借记卡相关联的账户标识符。

5.如权利要求1所述的方法，其特征在于，进一步包括：

从所述令牌注册表数据库检索所述令牌确保码；以及

在所述支付处理网络接收到利用所述令牌进行的交易的授权请求消息之后向支付处理网络提供所述令牌确保码。

6.一种服务器计算机，包括处理器和耦合至所述处理器的计算机可读介质，所述计算机可读介质包括可由所述处理器执行以用于实现一种方法的代码，所述方法包括：

从令牌请求方接收令牌请求；

执行与所述令牌请求相关联的至少一个认证过程；

响应于所述至少一个认证过程的执行，产生令牌确保码；以及

向所述令牌请求方传输所述令牌。

7.如权利要求6所述的服务器计算机，其特征在于，所述方法进一步包括：

在令牌注册表数据库中储存所述令牌确保码。

8.如权利要求6所述的服务器计算机，其特征在于，所述至少一个认证过程包括从CVV2校验、AVS校验和一次性密码(OTP)验证校验构成的组中选择的认证过程。

9.如权利要求6所述的服务器计算机，其特征在于，所述令牌请求包括与信用卡或借记卡相关联的账户标识符。

10.如权利要求6所述的服务器计算机，进一步包括：

从所述令牌注册表数据库检索所述令牌确保码；以及

11.一种方法，包括：

由服务器计算机接收包含支付令牌的授权请求消息，其中，所述支付令牌与真实账户标识符相关联；

由所述服务器计算机确定与所述支付令牌相关联的真实账户标识符；

由所述服务器计算机产生包含所述真实账户标识符的修改的授权请求消息，其中所修改的授权请求消息包含令牌确保等级码，指示与所述支付令牌相关联的可信度的等级；以及

由所述服务器计算机向发行方传输所修改的授权请求消息以用于许可。

12.如权利要求11所述的方法，其特征在于，与所述支付令牌相关联的可信度的等级包含所述支付令牌是被与所述真实账户标识符相关联的底层支付账户的账户持有者请求的可信度的等级。

13.如权利要求11所述的方法，其特征在于，所述令牌确保等级码指示与所述支付令牌相关联的认证方法。

14.如权利要求13所述的方法，其特征在于，所述认证方法包括下面至少一个：无认证、网络认证或发行方认证。

15.如权利要求11所述的方法，其特征在于，所述令牌确保等级码是至少部分地基于与所述真实账户标识符相关联的交易历史。

16.一种服务器计算机，包括处理器和计算机可读介质，所述计算机可读介质包含可由所述处理器执行来实施一种方法的代码，所述方法包括：

17.如权利要求16所述的服务器计算机，其特征在于，所述发行方许可是至少部分地基于所述令牌确保等级码。

18.如权利要求16所述的服务器计算机，其特征在于，与所述支付令牌相关联的可信度的等级包含所述支付令牌是被与所述真实账户标识符相关联的底层支付账户的账户持有者请求的可信度的等级。

19.如权利要求16所述的服务器计算机，其特征在于，所述令牌确保等级码指示与所述支付令牌相关联的认证方法。

20.如权利要求19所述的服务器计算机，其特征在于，所述认证方法包括下面至少一个：无认证、网络认证或发行方认证。