用于经由访问装置的令牌化请求的方法和设备与流程

用于经由访问装置的令牌化请求的方法和设备
1.本发明申请是国际申请号为pct/us2015/062716，国际申请日为2015年11月25日，进入中国国家阶段的申请号为201580064121.5，名称为“用于经由访问装置的令牌化请求的方法和设备”的发明专利申请的分案申请。
2.相关申请交叉引用
3.本技术要求于2014年11月26日提交的美国临时专利申请号62/084,738的申请日的优先权，出于所有目的其通过引用被全部并入本文中。


背景技术：

4.可以使用令牌保护敏感信息，诸如账号。例如，令牌可以只在某些情况下是有效的，这样即使令牌泄密，也不会造成安全威胁。
5.然而，用于获得令牌的目前的机制是有限的。例如，移动装置可能需要无线通信连接以便通过无线电(over the air)获得针对特定交易的令牌。因此，如果移动装置处于没有无线通信覆盖的区域中，则移动装置可能不能够获得令牌。如果移动装置不能够获得令牌，则预期的交易可能不能完成。或者，移动装置可能会借助于使用敏感信息来执行交易，这是不期望的。
6.本发明的实施例单独地或者共同地解决了这些和其它问题。


技术实现要素：

7.本发明的实施例涉及通过替代性通信信道获得用于交易的令牌。
8.本发明的一个实施例涉及一种方法。所述方法包括在第一计算机处接收来自用户的凭证；以及向第二计算机发送包括所述凭证的令牌请求消息。所述令牌请求消息与用来对交易进行授权的授权请求消息为相同格式。所述方法还包括从所述第二计算机接收与所述凭证关联的令牌；生成所述授权请求消息；以及向授权计算机提交包括所述令牌的授权请求消息以用于所述交易。
9.本发明的另一实施例涉及被配置成执行上述方法的第一计算机。
10.本发明的另一实施例涉及一种方法，所述方法包括在第二计算机处从第一计算机接收包括凭证的令牌请求消息。所述令牌请求消息具有与用来对交易进行授权的授权请求消息相同的格式。所述方法还包括验证所述令牌请求消息，给所述凭证分配令牌，以及生成包括所述令牌的令牌响应消息。所述令牌响应消息具有与授权响应消息相同的格式。所述方法还包括向所述第一计算机传送所述令牌响应消息。
11.本发明的另一实施例涉及被配置成执行上述方法的第二计算机。
12.关于本发明的实施例的另外的细节可以在具体实施方式部分和附图中找到。
附图说明
13.图1示出根据本发明的实施例用于获得支付装置的支付令牌的系统的框图。
14.图2示出根据本发明的实施例的示例性支付装置的框图。
15.图3示出根据本发明的实施例的资源提供者计算机的框图。
16.图4示出根据本发明的实施例的交易处理计算机的框图。
17.图5示出根据本发明的实施例的令牌化计算机的框图。
18.图6示出根据本发明的实施例图解说明用于获得支付装置的支付令牌的方法的流程图。
19.图7示出根据本发明的实施例用于获得支付装置的支付令牌的系统的框图。
20.图8示出根据本发明的实施例的示例性移动装置的框图。
21.图9示出根据本发明的实施例的钱包提供者计算机的框图。
22.图10示出根据本发明的实施例图解说明用于获得移动装置的支付令牌的方法的流程图。
23.图11示出根据本发明的实施例的计算机设备的框图。
具体实施方式
24.本发明的实施例涉及经由商家访问装置请求支付令牌。用户可以在交易期间在访问装置处出示支付装置。支付装置然后可以将支付凭证传送至访问装置。支付凭证然后可以由访问装置在形式为授权请求消息的令牌请求消息中发送至令牌化计算机(tokenization computer)。令牌化计算机可以用令牌响应消息做出响应，令牌响应消息包括与支付凭证关联的支付令牌。令牌响应消息可以是授权响应消息的形式。在访问装置接收支付令牌之后，可以使用支付令牌来代替支付凭证执行交易。
25.本发明的一些实施例可以有利地允许标准磁条或芯片类型的支付卡请求支付令牌。
26.本发明的一些实施例允许移动装置经由访问装置获得支付令牌。可以以与上文描述的相同方式检索移动装置的支付令牌(例如，从移动装置将支付凭证传送至访问装置，访问装置将令牌请求发送至令牌化计算机)。替代性地，移动装置可以生成令牌请求消息并将该消息传送至访问装置，然后访问装置能够将令牌请求消息转发至令牌化计算机。因此，即便移动装置不通过无线电与令牌化计算机直接通信，移动装置也能够获得支付令牌。
27.在支付装置或移动装置上存储支付令牌可能引起安全漏洞，原因是如果装置被盗或被攻击，支付令牌可能泄密。代替存储支付令牌，本发明的一些实施例允许只在需要时(例如在交易期间)检索令牌。而且，支付令牌可以具有短的生命周期，原因是支付令牌可能是被立即使用的。因此，支付令牌泄密的风险得以降低，被盗或丢失的任何支付令牌可能不会构成安全威胁(例如因为支付令牌不再是有效的)。而且，可以提高请求和提供支付令牌的安全性，原因是能够利用安全的授权相关的加密技术和安全通信。
28.主要把如本文中讨论的本发明的实施例描述为属于金融交易和支付系统。不过，本发明的实施例还可以用在其它系统中。存在应用的几个示例，其中使用接入点的连接而不是无线电连接来获得令牌可能是有利的。
29.在一个示例中，代替经由访问装置获得用于支付交易的支付令牌，经由接入点获得访问令牌可能是有用的，以用于获得在接入点处的访问。对于物理进入安全区或者对于数字访问安全数据(例如电子邮件收件箱、安全数据库、受限制网页等)可以使用访问令牌。例如，用户可以具有访问卡(例如可读徽章或移动装置)，访问卡包括用于进入受限区的访
问凭证。可能希望通过替代地利用代表访问凭证的访问令牌，保护用户的访问凭证。
30.一些实施例允许当用户在接入点处出示访问卡(例如可以控制对受限制区的访问的访问装置)时检索访问令牌。接入点可以从访问卡接收访问凭证，发送带访问凭证的令牌请求消息并获得与访问凭证关联的访问令牌。接入点然后可以使用访问令牌确定是否允许用户访问和/或接入点可以在记录已经进入安全区的人员的数据库中存储访问令牌(例如代替访问凭证)。在一些实施例中，用户的访问卡或其它访问装置可能能够存储访问令牌。因此，可以存储访问令牌以在稍后时间使用。因此，本发明的实施例通过允许请求并获得适当类型的令牌，允许保护任何适当类型的敏感信息。
31.在讨论本发明的特定实施例之前，可以详细地描述一些术语。
[0032]“移动装置”可以包括可以由用户携带和操作还可以提供针对网络的远程通信能力的任何适当的电子装置。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如3g、4g或类似网络)、wi
‑
fi、wi
‑
max或可以提供针对网络诸如互联网或专用网络的访问的任何其它通信介质。移动装置的示例包括移动电话(例如蜂窝电话)、pda、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持专用阅读器等。移动装置的另外的示例包括可穿戴装置，诸如智能手表、健身手环、脚链、戒指、耳环等以及具有远程通信能力的汽车。移动装置可以包括用于执行这些功能的任何适当的硬件和软件，还可以包括多个装置或部件(例如当一个装置通过共享至另一装置而具有针对网络的远程访问时
‑
即使用另一装置作为调制解调器
‑
两个装置合起来可以认为是单个移动装置)。
[0033]“支付装置”可以包括可以用来执行金融交易诸如将支付凭证提供至商家的任何适当装置。支付装置可以是软件对象、硬件对象或物理对象。作为物理对象的示例，支付装置可以包括基底(诸如纸或塑料卡)和被打印、压印、编码或以其它方式包括在对象的表面处或与其靠近的信息。硬件对象可以与电路(例如永久性电压值)相关，软件对象可以与装置上存储的非永久性数据相关。支付装置可以与价值(诸如货币值、折扣或商店信用)关联，支付装置可以与诸如银行、商家、支付处理网络或个人的实体关联。可以使用支付装置来进行支付交易。适当的支付装置可以是手持的紧凑的，使得其能够适合用户的钱包和/或口袋(例如口袋大小的)。示例性支付装置可以包括智能卡、磁条卡、钥匙链装置(诸如从exxon
‑
mobil公司可商业获得的speedpass
tm
)等。支付装置的其它示例包括寻呼机、支付卡、保障卡、访问卡、智能媒介、应答器等等。如果支付装置为借记、信用或智能卡的形式，则支付装置还可以可选地具有诸如磁条这样的特征。这些装置能够以接触或非接触模式操作。在一些实施例中，移动装置可以用作支付装置(例如，移动装置可以存储并且能够传送用于交易的支付凭证)。
[0034]“凭证”可以是用作价值、所有权、身份或授权的可靠证据的任何适当的信息。凭证可以是数字、字母或可以存在或包含于能够用作确认的任何对象或文档中的任何其它适当的字符的字符串。
[0035]“价值凭证”可以是与价值关联的信息。价值凭证的示例包括支付凭证、优惠券标识符、获得促销所需的信息等。
[0036]“支付凭证”可以包括与账户(例如支付账户和/或与账户关联的支付装置)关联的任何适当信息。这些信息可以直接与账户相关或者可以从与账户有关的信息中导出。账户信息的示例可以包括pan(主账号或“账号”)、用户名、到期日期、cvv(卡验证值)、dcvv(动态
卡验证值)、cvv2(卡验证值2)、cvc3卡验证值等等。cvv2通常理解为与支付装置关联的静态验证值。cvv2值通常对用户(例如消费者)可见，而cvv和dcvv值通常嵌入存储器或授权请求消息中，并且不容易为用户所知(不过其为发行方和支付处理器所知)。支付凭证可以是标识或与支付账户关联的任何信息。可以提供支付凭证以便由支付账户进行支付。支付凭证还可以包括用户名、到期日期、礼物卡号或代码和任何其它适当的信息。
[0037]“应用”可以是存储在计算机可读介质(例如存储器元件或安全元件)上的可由处理器执行以完成任务的计算机代码或其它数据。
[0038]“数字钱包”可以包括允许个人执行电子商务交易的电子装置。数字钱包能够存储用户资料信息、支付凭证、银行账户信息、一个或多个数字钱包标识符等等，并且可以用在各种交易中，这些交易诸如但不限于电子商务、社交网络、转账/个人支付、移动商务、接近支付、博彩等等，用于零售购买、数字商品购买、公用事业支付、在博彩网站下注或购买博彩点券，用户间转账等等。数字钱包可以设计成以流线型处理购物和支付过程。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上，以便在不必输入账号或出示物理卡的情况下进行支付。
[0039]“数字钱包提供者”可以包括诸如发行银行或第三方服务提供者的实体，其将数字钱包发行至用户，使得用户能够执行金融交易。数字钱包提供者可以提供单独的面向用户的软件应用，其存储代表持卡人(或其它用户)的账号或账号的代表(例如支付令牌)，以促进在超过一个不相关商家处的支付，执行个人之间的支付或将财务价值加载到数字钱包中。数字钱包提供者可以使用户经由个人计算机、移动装置或访问装置访问其账户。另外，数字钱包提供者还可以提供以下功能的一个或多个：存储代表用户的多个支付卡和其它支付产品，存储包括账单地址、发货地址和交易历史的其它信息，通过一个或多个方法发起交易，诸如提供用户名和密码、nfc或物理令牌，并且可以促进传递(pass
‑
through)或两步骤交易。
[0040]“令牌”可以是凭证的替代值。令牌可以是数字、字母或任何其它适当的字符的字符串。令牌的示例包括支付令牌、访问令牌、个人标识令牌等。
[0041]“支付令牌”可以包括支付账户的标识符，其是账户标识符(诸如主账号(pan))的替代。例如，令牌可以包括可以用作原始账户标识符的替代的一连串字母数字字符。例如，令牌“4900 0000 0000 0001”可以代替pan“4147 0900 0000 1234”使用。在一些实施例中，令牌可以是“保留格式的”，可以有与现有的交易处理网络中使用的账户标识符一致的数字格式(例如，iso 8583金融交易消息格式)。在一些实施例中，令牌可以代替pan使用，以发起、授权、结算或完成支付交易，或者在通常提供原始凭证的其它系统中代表原始凭证。在一些实施例中，可以生成令牌值，使得由令牌值恢复原始pan或其它账户标识符不可以由计算得到。而且，在一些实施例中，令牌格式可以被配置成使接收令牌的实体将其识别为令牌，并识别发行令牌的实体。
[0042]“令牌化(tokenization)”是一个过程，通过该过程数据用替代数据代替。例如，可以通过用可以与支付账户标识符关联的替代数字(例如令牌)代替主账户标识符，来令牌化支付账户标识符(例如主账号(pan))。而且，令牌化可以应用于可以用替代值(即令牌)代替的任何其它信息。可以使用令牌化提高交易效率，提高交易安全性，提高服务透明度或者提供用于第三方实现的方法。
[0043]“令牌提供者”或“令牌服务系统”可以包括对支付令牌提供服务的系统。在一些实施例中，令牌服务系统能够促进请求、确定(例如生成)和/或发行令牌以及维护数据仓库(例如令牌库)中令牌与主账号(pan)的建立的映射。在一些实施例中，令牌服务系统可以针对特定令牌建立令牌保证水平，以指示令牌与pan绑定的置信水平。令牌服务系统可以包括或者可以与存储生成的令牌的令牌库通信。令牌服务系统可以通过对令牌去令牌化(detokenize)以获得真实的pan，从而支持使用令牌提交的支付交易的令牌处理。在一些实施例中，令牌服务系统可以包括单独的或与其它计算机(诸如交易处理网络计算机)结合的令牌化计算机。令牌化生态系统的各个实体可以继续扮演令牌服务提供者的角色。例如，支付网络和发行方或其代理可以通过实现根据本发明的实施例的令牌服务变成令牌服务提供者。
[0044]“令牌域”可以指示能够使用令牌的地区和/或情况。令牌域的示例可以包括但不限于支付信道(例如电子商务、物理销售点等)、pos输入模式(例如非接触、磁条等)和唯一地标识能够使用令牌的地方的商家标识符。可以建立一组参数(即令牌域限制控制)作为由令牌服务提供者执行的令牌发行的一部分，其可以允许强制令牌在支付交易中的适当使用。例如，令牌域限制控制可以限制具有特定的呈现模式(诸如非接触或电子商务呈现模式)的令牌的使用。在一些实施例中，令牌域限制控制可以限制令牌在能够被唯一地标识的特定商家的使用。一些示例性令牌域限制控制可能要求验证对特定交易是唯一的令牌密码的存在。在一些实施例中，令牌域可以与令牌请求者关联。
[0045]“令牌到期日期”可以指令牌的到期日期/时间。令牌到期日期可以在交易处理期间在令牌化生态系统的实体之间传递以确保互操作性。令牌到期日期可以是数字值(例如4位数字值)。在一些实施例中，令牌到期日期可以表示为从发行的时间起测量的时间段。
[0046]“令牌请求消息”可以是用于请求令牌的电子消息。令牌请求消息可以包括可用于识别支付账户或数字钱包的信息和/或用于生成支付令牌的信息。例如，令牌请求消息可以包括支付凭证、移动装置标识信息(例如电话号码或msisdn)、数字钱包标识符、标识令牌化服务提供者的信息、商家标识符、密码和/或任何其它适当的信息。令牌请求消息中包括的信息可以是(例如用发行方特定的密钥)加密的。在一些实施例中，令牌请求消息可以被格式化为授权请求消息(例如iso 8583消息格式)。在一些实施例中，令牌请求消息可以在授权金额字段具有零美元金额。举另一示例，令牌请求消息可以包括指定消息是令牌请求消息的标志或其它指示符。
[0047]“令牌响应消息”可以是针对令牌请求做出响应的消息。令牌响应消息可以包括令牌请求被批准或被拒绝的指示。令牌响应消息还可以包括支付令牌、移动装置标识信息(例如电话号码或msisdn)、数字钱包标识符、标识令牌化服务提供者的信息、商家标识符、密码和/或任何其它适当的信息。令牌响应消息中包括的信息可以是(例如用发行方特定的密钥)加密的。在一些实施例中，令牌响应消息可以被格式化为授权响应消息(例如iso 8583消息格式)。在一些实施例中，令牌响应消息可以在授权金额字段具有零美元金额。举另一示例，令牌响应消息可以包括指定消息是令牌响应消息的标志或其它指示符。
[0048]“用户”可以包括个人。在一些实施例中，用户可以与一个或多个个人账户和/或移动装置关联。用户还可以称作持卡人、账户持有人或消费者。
[0049]“资源提供者”可以是能够提供资源，诸如商品、服务、信息和/或访问的实体。资源
提供者的示例包括商家、访问装置、安全数据接入点等。“商家”通常可以是参与交易并且能够出售商品或服务或提供对商品或服务的访问的实体。
[0050]“收单方”通常可以是与特定商家或其它实体有商业关系的商业实体(例如商业银行)。一些实体能够执行发行方功能和收单方功能。一些实施例可以包括这种单实体的发行方
‑
收单方。收单方可以操作收单方计算机，收单方计算机通常也称作“传输计算机”。
[0051]“授权实体”可以是对请求授权的实体。授权实体的示例可以是发行方、政府机关、文档仓库、访问管理员等。“发行方”通常可以指维护用户的账户的商业实体(例如银行)。发行方还可以向消费者发行存储在用户装置(诸如蜂窝电话、智能卡、平板电脑或膝上型计算机)上的支付凭证。
[0052]“访问装置”可以是提供针对远程系统的访问的任何适当的装置。访问装置还可以用于与商家计算机、交易处理计算机、认证计算机或任何其它适当的系统通信。访问装置通常可以位于任何适当的位置，诸如在商家所在的位置。访问装置可以是任何适当形式。访问装置的一些示例包括pos或销售点装置(例如pos终端)、蜂窝电话、pda、个人计算机(pc)、平板pc、手持专用阅读器、机顶盒、电子现金出纳机(ecr)、自动柜员机(atm)、虚拟现金出纳机(vcr)、营业厅、安全系统、访问系统等等。访问装置可以使用任何适当的接触或非接触操作模式向用户移动装置发送或从其接收数据或与用户移动装置关联。在一些实施例中，访问装置可以包括pos终端，可以使用任何适当的pos终端，并且可以包括阅读器、处理器和计算机可读介质。阅读器可以包括任何适当的接触或非接触操作模式。例如，示例性读卡器可以包括与支付装置和/或移动装置交互的射频(rf)天线、光学扫描器、条形码阅读器或磁条阅读器。在一些实施例中，被用作pos终端的蜂窝电话、平板电脑或其它专用无线装置可以称作移动销售点或“mpos”终端。
[0053]“授权请求消息”可以是请求对交易授权的电子消息。在一些实施例中，授权请求消息被发送至交易处理计算机和/或支付卡的发行方以请求对交易的授权。根据一些实施例的授权请求消息可以符合iso 8583，iso 8583是用于交换与用户使用支付装置或支付账户进行的支付关联的电子交易信息的系统标准。授权请求消息可以包括可以与支付装置或支付账户关联的发行方账户标识符。授权请求消息还可以包括针对“标识信息”的对应的附加数据元素，包括(只作为示例)：服务代码、cvv(卡验证值)、dcvv(动态卡验证值)、pan(主账号或“账号”)、支付令牌、用户名、到期日期等。授权请求消息还可以包括“交易信息”，诸如与当前交易关联的任何信息，诸如交易金额、商家标识符、商家位置、收单方银行标识号(bin)、卡接受者id、标识被购买的物品的信息等，以及可以用来确定是否识别和/或授权交易的任何其它信息。
[0054]“授权响应消息”可以是对授权请求做出响应的消息。在一些情况下，授权响应消息可以是针对由发行金融机构或交易处理计算机生成的授权请求消息的电子消息应答。授权响应消息可以包括(只作为示例)以下状态指示符的一个或多个：批准
‑
交易被批准；拒绝
‑
交易不被批准；或呼叫中心
‑
响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或者通过交易处理计算机)返回商家的访问装置(例如pos设备)的指示交易被批准的代码。代码可以用作授权的证据。如上文指出的，在一些实施例中，交易处理计算机可以生成授权响应消息或将授权响应消息转发至商家。
[0055]“服务器计算机”可以包括功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、微型计算机集群或象一个单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦连至网络服务器的数据库服务器。服务器计算机可以耦连至数据库，并且可以包括用于服务来自一个或多个客户端计算机的请求的任何硬件、软件、其它逻辑或前述的组合。服务器计算机可以包括一个或多个运算设备，并且可以使用各种各样的计算结构、排列和编译中的任何一个以服务来自一个或多个客户端计算机的请求。
[0056]
图1示出包括许多部件的系统100。系统100包括支付装置115，支付装置115可以与用户110关联并且能够将支付凭证提供至访问装置125。访问装置125可以与资源提供者计算机130关联并与其通信。而且，资源提供者计算机130、传输计算机140、交易处理计算机150、发行方计算机160和/或令牌化计算机170可以通过任何适当的通信信道或通信网络相互之间全部可操作通信。适当的通信网络可以是以下的任何一个和/或组合：直接互连；互联网；局域网(lan)、城域网(man)、operating missions as nodes on the internet，omni(互联网上节点操作任务)、安全定制连接、广域网(wan)、无线网络(例如采用诸如但不限于无线应用协议(wap)、i
‑
模式等的协议)等。
[0057]
可以使用安全通信协议，诸如但不限于文件传输协议(ftp)、超文本传输协议(http)、安全超文本传输协议(https)、安全套接层(ssl)、iso(例如iso8583)等等，在计算机、网络和装置之间传送消息。
[0058]
用户110能够使用支付装置115执行针对和资源提供者计算机130关联的资源提供者的交易。支付装置115可以存储与用户110和/或支付账户关联的信息。例如，支付装置115可以存储支付凭证以及个人信息，诸如名字、地址、电子邮件地址、电话号码或任何其它适当的用户110的标识信息。支付装置115可以在交易期间将此信息提供至访问装置125。
[0059]
图2示出形式为卡的支付装置115的示例。如所示的，支付装置115包括塑料基底115(s)。在一些实施例中，用于与访问装置相接的非接触元件115(u)可以存在于塑料115(s)上或者嵌入其中。磁条115(t)也可以或者替代性地在塑料基底115(s)上。用户信息115(v)，诸如账号、到期日期和/或用户名可以印刷或压印在卡上。在一些实施例中，支付装置115可以包括微处理器和/或用户数据存储于其中的存储器芯片。
[0060]
返回图1，资源提供者计算机130可以与资源提供者关联。资源提供者可以参与交易、出售商品或服务或者将针对商品或服务的访问提供至用户110。资源提供者可以接受多种形式的支付(例如支付装置115)，并且可以使用多种工具执行不同类型的交易。例如，资源提供者可以运营实体商店，使用访问装置125用于当面交易。资源提供者还可以通过网站出售商品和/或服务，并且可以通过互联网接受支付。在一些实施例中，资源提供者计算机130还能够请求与用户的支付凭证关联的支付令牌。
[0061]
根据本发明的一些实施例的资源提供者计算机130的一个示例示于图3中。资源提供者计算机130包括处理器130a、网络接口130b、交易数据库130c和计算机可读介质130d。
[0062]
计算机可读介质130d可以包括交易处理模块130e、令牌请求模块130f和任何其它适当的软件模块。计算机可读介质130d还可以包括可由处理器130a执行的用于实现一种方法的代码，所述方法包括由第一计算机接收来自用户的凭证；向第二计算机发送包括所述凭证的令牌请求消息，所述令牌请求消息与用来对交易进行授权的授权请求消息为相同格式；从第二计算机接收与凭证关联的令牌；生成授权请求消息；以及向授权计算机提交包括
所述令牌的授权请求消息以用于交易。
[0063]
交易处理模块130e可以包括使处理器130a处理交易的代码。例如，交易处理模块130e可以包含使处理器130a从用户110接收(例如经由访问装置125和支付装置115)支付凭证以用于交易的逻辑。交易处理模块130e能够发起交易授权过程，并且还能够结束交易，使得商品和/或服务能够被释放。在一些实施例中，不是在收到时提交授权请求中的支付凭证，交易处理模块130e可以首先命令令牌请求模块130f获得支付令牌，然后交易处理模块130e可以在授权请求消息中包括支付令牌。交易处理模块130e还能够生成交易收条，并在交易数据库130c中存储交易记录(例如包括交易数据、用户信息、支付令牌等)。在一些实施例中，在交易记录中存储支付令牌来代替用户的支付凭证可能是有益的，原因是因此可以降低支付凭证泄密的可能性。
[0064]
令牌请求模块130f可以包括使处理器130a请求并接收支付令牌的代码。例如，令牌请求模块130f可以包含使处理器130a将令牌请求消息发送至令牌提供者的逻辑。令牌请求消息可以包括用户的支付凭证、资源提供者的标识信息和任何其它适当的信息。令牌请求消息可以被格式化为授权请求消息，并且可以沿与授权请求消息相同的通信路径传送(例如其一开始可以被发送至传输计算机140)。
[0065]
返回图1，在一些实施例中，访问装置125可以替代性地被配置成发起支付凭证的令牌化。例如，访问装置125能够生成令牌请求消息并将令牌请求消息发送至适当的令牌化实体。
[0066]
由资源提供者计算机130或访问装置125提交的授权请求可以发送至传输计算机140(其可以是收单方计算机)。传输计算机140可以与资源提供者计算机130关联，并且可以代表资源提供者计算机130管理授权请求。传输计算机140还可以代表资源提供者计算机130处理令牌请求消息。例如，在一些实施例中，传输计算机140可以接收并以与授权请求消息相同的方式转发令牌请求消息。
[0067]
如图1中所示，交易处理计算机150可以设置在传输计算机140和授权实体计算机160之间。交易处理计算机150可以包括用来支持和传送授权服务、异常文件服务以及结算和清算服务的数据处理子系统、网络和操作。例如，交易处理计算机150可以包括耦连至网络接口(例如通过外部通信接口)的服务器和信息数据库。交易处理计算机150可以代表交易处理网络。示例性交易处理网络可以包括visanet
tm
。诸如visanet
tm
的交易处理网络能够处理信用卡交易、借记卡交易和其它类型的商业交易。visanet
tm
具体包括处理授权请求的vip系统(visa集成支付系统)和执行清算和结算服务的base ii系统。交易处理计算机150可以使用任何适当的有线或无线网络，包括互联网。
[0068]
根据本发明的一些实施例的交易处理计算机150的示例示于图4中。交易处理计算机150包括处理器150a、网络接口150b、交易数据库150c计算机可读介质150d。
[0069]
计算机可读介质150d可以包括交易处理模块150e、令牌请求模块150f和任何其它适当的软件模块。计算机可读介质150d还可以包括可由处理器150a执行以实现一种方法的代码，所述方法包括由交易处理计算机从第一计算机接收包括凭证(例如价值凭证)的令牌请求消息，其中，令牌请求消息与用来对交易进行授权的授权请求消息为相同格式；将令牌请求消息传送至第二计算机；从第二计算机接收包括与凭证关联的令牌的令牌响应消息，其中，令牌响应消息与授权响应消息为相同格式；向第一计算机传送令牌响应消息；从第一
计算机接收用于交易的授权请求消息，授权请求消息包括所述令牌；向授权计算机传送授权请求消息；从授权计算机接收授权响应消息，授权响应消息指示交易被授权；以及向第一计算机传送授权响应消息。
[0070]
交易处理模块150e可以包括使处理器150a处理交易的代码。例如，交易处理模块150e可以包含使处理器150a分析交易风险并转发、授权或拒绝用于支付交易的授权请求消息的逻辑。交易处理模块150e还能够在交易数据库150c中存储交易记录。例如，交易数据库150c可以包括每个已完成交易的记录，包括交易细节(例如购买的物品、金额、时间戳)、资源提供者信息、用户110的信息(例如姓名、电话号码和/或其它联系信息、支付令牌、到期日期等)和/或任何其它适当的信息。
[0071]
令牌请求模块150f可以包括使处理器150a处理令牌请求的代码。例如，令牌请求模块150f可以包含使处理器150a接收并转发令牌请求消息和令牌响应消息的逻辑。在一些实施例中，令牌请求模块150f可以与授权请求消息类似地处理令牌请求消息。例如，令牌请求模块150f可以从传输计算机140接收令牌请求消息，识别消息中的一组支付凭证，识别与支付凭证关联的授权实体，然后将令牌请求消息转发至授权实体计算机160。因此，令牌请求消息可以沿与授权请求消息相同的通信信道被转发至授权实体计算机160或另一相关的令牌化实体。
[0072]
返回图1，交易处理计算机150、传输计算机140和授权实体计算机160可以操作适当的路由表以使用支付凭证、支付令牌和/或其它适当的标识符路由授权请求消息和/或令牌请求消息。
[0073]
授权实体计算机160可以发行并管理支付账户和用户110的关联的支付装置115。授权实体计算机160能够授权涉及支付账户的交易。在对交易授权之前，授权实体计算机160可以对在授权请求中接收的支付凭证认证，检查关联的支付账户中是否有可用的信用或资金。授权实体计算机160还可以接收和/或确定与交易关联的风险等级，并且可以在决定是否授权交易时权衡风险。如果授权实体计算机160接收包括支付令牌的授权请求，则授权实体计算机160能够去令牌化支付令牌，以便获得关联的支付凭证。
[0074]
令牌化计算机170(其也可以称作“令牌提供者计算机”)能够提供支付令牌。例如，令牌请求消息可以被发送至令牌化计算机170，令牌化计算机170然后可以生成和/或将支付令牌与令牌请求消息中的支付凭证关联。在实施例中，令牌化服务可以由授权实体计算机160、交易处理计算机150、传输计算机140、第三方服务提供者或任何其它适当的实体提供。因此，令牌化计算机170可以被并入作为系统100中的另一实体的一部分。在一些实施例中，如图1中所示，令牌化计算机170可以是单独的实体。
[0075]
根据本发明的一些实施例的令牌化计算机170的示例示于图5中。令牌化计算机170包括处理器170a、网络接口170b、令牌记录数据库170c以及计算机可读介质170d。
[0076]
计算机可读介质170d可以包括令牌化模块(tokenization module)170e、去令牌化模块(detokenization module)170f、安全模块170g以及任何其它适当的软件模块。计算机可读介质170d还可以包括可由处理器170a执行以实现一种方法的代码，所述方法包括在第二计算机处从第一计算机接收包括凭证的令牌请求消息，令牌请求消息与用来授权交易的授权请求消息为相同格式；验证令牌请求消息；给凭证分配令牌；生成包括令牌的令牌响应消息，令牌响应消息与授权响应消息为相同格式；以及向第一计算机传送令牌响应消息。
[0077]
令牌化模块170e可以包括使处理器170a提供支付令牌的代码。例如，令牌化模块170e可以包含使处理器170a生成支付令牌和/或将支付令牌与一组支付凭证相关联的逻辑。然后可以在令牌记录数据库170c中存储令牌记录，其指示支付令牌与某个用户110或某组支付凭证关联。令牌化模块170e能够沿通常用于授权响应消息的通信轨道发送包括支付令牌的令牌响应消息。
[0078]
去令牌化模块170f可以包括使处理器170a对支付令牌去令牌化的代码。例如，去令牌化模块170f可以包含使处理器170a识别与令牌记录数据库170c中的支付令牌关联的令牌记录的逻辑。然后可以识别与支付令牌关联的一组支付凭证(如令牌记录中指示的)。在一些实施例中，去令牌化模块170f可以响应于去令牌化请求消息(例如从授权实体计算机160、交易处理计算机150或任何其它适当实体接收的)对支付令牌去令牌化。
[0079]
安全模块170g可以包括使处理器170a在提供支付令牌之前验证令牌请求的代码。例如，安全模块170g可以包含使处理器170a通过解密消息中包括的密码、通过确认支付凭证是真实的并与请求用户110关联，通过评估与请求资源提供者计算机130关联的风险，或者通过使用任何其它适当的信息确认令牌请求消息是真实的逻辑。如果支付凭证被加密，则安全模块170g能够解密加密的支付凭证(例如经由发行方特定的密钥)。
[0080]
如图1所示的并参照其描述的，系统100允许通过替代性通信信道诸如授权轨道请求令牌。在一些实施例中，发送令牌请求消息的实体可以称作“第一计算机”。因此，资源提供者计算机130和/或访问装置125可以认为是第一计算机的示例。在一些实施例中，提供令牌的实体可以称作“第二计算机”。因此，令牌化计算机170可以认为是第二计算机的示例。
[0081]
可以参照图6描述根据本发明的实施例的方法600。在图6图示的方法中，可以将凭证从支付装置615传送至访问装置625，以发起令牌请求过程和支付交易过程。图6中的方法有利地允许支付装置诸如磁条卡用在令牌化过程中，即便这些支付装置具有有限的功能。在本发明的实施例中，方法600中示出的步骤可以顺序地或者以任何适当的次序执行。在一些实施例中，一个或多个步骤可以是可选的。
[0082]
用户可能希望从资源提供者购买商品或服务。在步骤s602，为了进行购物，用户可以将支付凭证(例如经由支付装置615)提供至访问装置625。例如，在一些实施例中，用户可以在访问装置625处刷磁条卡，或者用户可以将具有非接触通信能力(例如nfc、蓝牙、rf等)的智能卡出示给访问装置625。支付装置615可以提供pan、安全代码、到期日期、姓名、地址、电话号码和/或任何其它适当的支付凭证。
[0083]
在步骤s604，资源提供者计算机630可以接收(例如经由访问装置625或在线网页)支付凭证。在一些实施例中，资源提供者计算机630然后可以加密支付凭证。例如，资源提供者计算机630可以用发行方特定的密钥加密支付凭证。替代性地，在一些实施例中，资源提供者计算机630可以加密已经加密的支付凭证。例如，支付装置615可以使用发行方特定的密钥来加密支付凭证，并且可以将加密的支付凭证传送至访问装置625。因此，资源提供者计算机630可以不访问敏感的未加密的支付凭证。
[0084]
在步骤s606，资源提供者计算机630可以确定可以针对支付凭证请求的支付令牌。例如，在一些实施例中，资源提供者计算机630可以识别支付凭证包括pan不包括支付令牌。pan的前六位可以包括bin，所以如果有效的bin出现在支付凭证中，则可以确定支付凭证包括pan。在一些实施例中，可以请求某些类型的支付装置615(诸如与某个授权实体计算机
660或交易处理计算机650关联的支付装置615)的支付令牌。
[0085]
在步骤s608，资源提供者计算机630可以将令牌请求消息发送至传输计算机640。令牌请求消息可以包括支付凭证，该支付凭证可以被加密。令牌请求消息还可以包括交易信息、商家id、密码、数字证书(例如其可以由资源提供者计算机630保持的密钥签名)和/或任何其它适当的信息。在一些实施例中，令牌请求消息可以具有令牌请求消息由资源提供者计算机630代表用户发送的指示，并且可以包括任何适当的用户信息。
[0086]
令牌请求消息可以通过通常用于授权请求消息的信道传送，和/或令牌请求消息可以与授权请求消息类似地被格式化。例如，令牌请求消息可以具有iso 8583消息格式。同样，令牌请求消息可以是零美元或没有金额的授权请求消息。与能够转发授权请求消息的方式类似，在步骤s610，传输计算机640可以将令牌请求消息转发至交易处理计算机650。而且，在步骤s612，交易处理计算机650可以将令牌请求消息转发至与支付凭证关联的授权实体计算机660。在一些实施例中，交易处理计算机650还可以在转发令牌请求消息之前分析与请求关联的风险和/或执行任何其它适当的检查和处理。
[0087]
在步骤s614，授权实体计算机660可以将令牌请求消息转发至令牌化计算机670。授权实体计算机660可以在(例如基于接收的消息是令牌请求的指示符，基于缺少交易相关的信息，诸如交易金额)确定接收的消息是令牌请求消息不是授权请求消息之后再转发消息。
[0088]
在步骤s616，令牌化计算机670可以验证令牌请求消息(例如基于密码、交易信息、商家信息、支付凭证或令牌请求消息中的任何其它适当的信息)。在一些实施例中，令牌化计算机670可以使用加密密钥来验证令牌请求消息中包括的数字证书。如果支付凭证被加密，则令牌化计算机670能够(例如经由发行方特定的密钥)解密加密的支付凭证。在一些实施例中，授权实体计算机660可以在将令牌请求消息转发至令牌化计算机670之前解密支付凭证。
[0089]
在步骤s618，令牌化计算机670可以生成支付令牌和/或创建支付令牌和支付凭证之间的关联。在一些实施例中，令牌化计算机670则可以识别已经与支付凭证关联的现有的支付令牌。
[0090]
在步骤s620，令牌化计算机670可以将令牌响应消息发送至授权实体计算机660。令牌响应消息可以包括支付令牌以及交易信息、商家id、密码和/或任何其它适当的信息。
[0091]
与上文描述的令牌请求消息相似，令牌响应消息可以通过通常用于授权响应消息的信道传送，和/或令牌响应消息可以与授权响应消息类似地被格式化。例如，与能够转发授权响应的方式类似，在步骤s622，授权实体计算机660可以将令牌响应消息转发至交易处理计算机650。同样，在步骤s624，交易处理计算机650可以将令牌响应消息转发至传输计算机640。而且，在步骤s626，传输计算机640可以将令牌响应消息转发至资源提供者计算机630。
[0092]
在步骤s628，资源提供者计算机630(或访问装置625)可以接收包括支付令牌的令牌响应消息。在一些实施例中，在此时，资源提供者计算机630可以擦除支付凭证的任何记录，使得不在资源提供者计算机630处存储支付凭证。然后，支付令牌可以代替支付凭证使用(例如用于交易授权和保存记录目的)。
[0093]
尽管上文的示例描述了生成令牌请求消息并接收令牌响应消息的资源提供者计
算机630，但在其它实施例中，访问装置625可以替代性地执行由资源提供者计算机630执行的上述功能。
[0094]
因此，可以由资源提供者计算机630或访问装置625代表用户发送对与支付装置615关联的支付令牌的请求，允许支付卡可用在令牌化系统中。在一些实施例中，已经获得支付令牌后，可以使用支付令牌代替支付凭证继续完成交易。
[0095]
在步骤s630，资源提供者计算机630(或访问装置625)可以将用于交易的授权请求消息发送至传输计算机640。在一些实施例中，授权请求消息可以包括支付令牌而不是支付凭证。授权请求消息还可以包括交易信息(例如购买的物品、金额等)、商家信息(例如商家名称、位置等)和任何其它适当的信息。
[0096]
在步骤s632，传输计算机640可以将授权请求消息转发至交易处理计算机650。在步骤s634，交易处理计算机650可以将授权请求消息转发至授权实体计算机660。
[0097]
在步骤s636，授权实体计算机660可以去令牌化支付令牌并且获得支付凭证。例如，授权实体计算机660可以从令牌化计算机670或者从本地令牌记录数据库获得支付凭证。在一些实施例中，任何其它适当的实体可以代替对支付令牌去令牌化。例如，交易处理计算机650可以在将授权请求消息转发至授权实体计算机660之前对支付令牌去令牌化。
[0098]
在步骤s638，授权实体计算机660可以基于支付凭证授权或拒绝交易。例如，授权实体计算机660可以识别与支付凭证和/或支付令牌关联的支付账户，并且可以确定是否有充足的资金。
[0099]
在步骤s640，授权实体计算机660可以将指示是否授权交易的授权响应发送至交易处理计算机650。授权响应消息可以包括支付令牌、交易细节、商家信息和任何其它适当的信息。在一些实施例中，为了通过限制暴露保护支付凭证，授权响应消息可以不包括支付凭证。
[0100]
在步骤s642，交易处理计算机650可以将授权响应消息转发至传输计算机640。在步骤s644，传输计算机640可以将授权响应消息转发至资源提供者计算机630。
[0101]
在步骤s646，资源提供者计算机630可以基于授权响应消息将购买的商品和/或服务释放给用户。而且，资源提供者计算机630可以存储包括支付令牌、用户信息、交易细节和任何其它适当的信息的交易记录。在一些实施例中，资源提供者计算机630可以擦除任何敏感信息，诸如加密的或未加密的支付凭证，但资源提供者计算机630可以存储剩余信息，诸如支付令牌。
[0102]
本发明的实施例允许对方法600的各方面有许多替代方式。例如，在一些实施例中，步骤s606和其它令牌请求步骤可以由访问装置625执行。例如，访问装置625可以包括用于令牌化的指令，或者访问装置625能够与资源提供者系统相接，资源提供者系统能够确定是否请求支付令牌。而且，尽管图6中的授权实体计算机660从令牌化计算机670获得令牌，并与其通信以对令牌去令牌化，但在其它实施例中，这些功能可以由传输计算机640和/或交易处理计算机650执行(如在图1中图示的)。
[0103]
如上文描述的，方法600有利地允许经由通常用于授权请求消息的信道发送令牌请求消息，允许高效地传输和利用现有的通道。令牌请求消息可以经由许多实体路由至令牌化计算机670。例如，如上文描述的，可以经由传输计算机640、交易处理计算机650和/或授权实体计算机660转发令牌请求消息。
[0104]
在一些实施例中，令牌请求消息可以被直接转发至令牌化计算机670。例如，如图1中所示，令牌请求消息可以在到达传输计算机640、交易处理计算机650、授权实体计算机660或任何其它适当的实体之后，被直接发送至令牌化计算机670。在一些实施例中，一旦令牌请求消息被(例如传输计算机640)识别为令牌请求而不是授权请求，令牌请求可以被直接发送至令牌化计算机670。而且，如上文描述的，在一些实施例中，令牌化计算机670可以体现为另一实体(诸如传输计算机640、交易处理计算机650、授权实体计算机660)的一部分。因此，一旦令牌请求消息到达正提供令牌化服务的无论哪个实体，令牌请求消息可能已经到达其目的地。
[0105]
类似地，可以经由通常用于授权响应消息的信道发送令牌响应消息，允许高效的传输和利用现有的通道。令牌请求消息可以经由许多实体被路由至资源提供者计算机630。在一些实施例中，如图1中所示，令牌化计算机670可以将令牌响应消息直接发送至传输计算机140、交易处理计算机650和/或任何其它适当的实体。
[0106]
在一些实施例中，可以在方法600中提供的支付令牌上设置限制。例如，令牌域和/或令牌到期日期可以被配置成使得支付令牌只可以用在某个区域(例如基于地理位置数据)，在资源提供者计算机630处(例如基于商家id)针对当前交易的金额和/或针对某个时间段。同样，支付令牌可以是一次性使用令牌，并且其只可以对当前交易适用。在一些实施例中，支付令牌可以在被请求之后立即被用于购物，因此，可以给其分配短的生命周期(例如其可以具有在不久的将来的到期时间)。例如，支付令牌可以只对于1小时、10分钟、5分钟、1分钟、30秒或任何其它适当的时间量有效。在一些实施例中，可以在令牌请求消息中请求支付令牌参数规范，或者可以有对于与授权实体计算机660或任何其它适当的实体关联的令牌的特定规则。
[0107]
在一些实施例中，代替磁条卡或智能卡，用户可以使用不同的支付模式，诸如移动装置。以下描述涉及这样的实施例，其中，在交易期间，使用具有提高的功能的移动装置或任何其它适当的装置以用于提供支付。
[0108]
图7示出根据本发明的实施例包括许多部件的系统700。系统700可以与系统100相似，但一些部件可以不同。例如，代替支付装置115，系统700可以包括移动装置720。同样，代替令牌化计算机170，系统700可以包括钱包提供者计算机780。与系统100相似，在系统700中，访问装置725可以与资源提供者计算机730关联并与其通信。而且，资源提供者计算机730、传输计算机740、交易处理计算机750、授权实体计算机760和/或钱包提供者计算机780可以通过任何适当的通信信道或通信网络相互之间全部可操作通信。
[0109]
用户710能够使用移动装置720执行针对与资源提供者计算机730关联的资源提供者的交易。移动装置720可以存储与用户710和/或支付账户关联的信息。例如，移动装置720可以存储(例如在安全元件中)支付凭证以及个人信息或具有针对支付凭证以及个人信息的访问，个人信息诸如姓名、地址、电子邮件地址、电话号码或任何其它适当的用户710的标识信息(例如经由数字钱包应用)。移动装置720能够在交易期间(例如经由蓝牙、nfc、rf或任何其它适当类型的短距离通信)将此信息提供至访问装置725。而且，移动装置720能够有更复杂的功能，诸如生成请求消息，并从各实体(诸如访问装置725和/或钱包提供者计算机780)接收通信。
[0110]
根据本发明的一些实施例的移动装置720的示例示于图8中。移动装置720可以包
括用来实现某些装置功能(诸如通话)的电路。负责实现这些功能的功能元件可以包括处理器720a，其能够执行实现装置的功能和操作的指令。处理器720a可以访问存储器720e(或另一适当的数据存储区或元件)以检索指令或执行指令时使用的数据，诸如储备脚本和移动应用。可以使用数据输入/输出元件720c(诸如键盘或触摸屏)使用户能够操作移动装置720并输入数据(例如用户认证数据)。数据输入/输出元件还可以被配置成输出数据(例如经由扬声器)。还可以使用显示器720b将数据输出至用户。可以使用通信元件720d以实现在移动装置720和有线或无线网络(例如经由天线720h)之间的数据传输，以帮助连接至互联网或其它网络，并实现数据传输功能。移动装置720还可以包括非接触元件接口720f，以实现在装置的非接触元件720g和其它元件之间的数据传输，其中，非接触元件720g可以包括安全存储器和近场通信数据传输元件(或另一种形式的短距离通信技术)。正如提到的，蜂窝电话或相似装置是可以根据本发明的实施例使用的移动装置720的示例。不过，在不偏离本发明的基本构思下，可以使用其它形式或类型的装置。例如，移动装置720可以替代性地是支付卡、钥匙坠、平板计算机、可穿戴装置、车辆(诸如汽车)等的形式。
[0111]
存储器720e可以包括数字钱包应用720j、令牌化模块720l和任何其它适当的模块或数据。移动装置720可以具有安装或存储在存储器720e上的任何个数的移动应用，并不局限于图7中所示的。存储器720e还可以包括可由处理器720a执行的以实现一种方法的代码，所述方法包括由移动装置生成包括凭证的令牌请求消息，令牌请求消息与用来授权交易的授权请求消息为相同格式；向第一计算机发送令牌请求消息，其中，第一计算机向第二计算机发送令牌请求消息，并且其中，第一计算机从第二计算机接收包括与凭证关联的令牌的令牌响应消息；从第一计算机接收令牌响应消息；以及向第一计算机提供令牌作为交易的支付，其中，第一计算机向授权计算机提交包括令牌的授权请求消息以用于交易。
[0112]
数字钱包应用720j可以提供针对用户710的用户接口以使用移动装置720提供输入，并发起、促进和管理交易。数字钱包应用720j能够存储和/或访问支付令牌和/或支付凭证。数字钱包应用720j还可以存储发行方特定的密钥或者任何其它适当的加密手段。数字钱包应用720j能够使移动装置720以任何适当方式(例如nfc、or代码等)传送支付令牌和/或支付凭证。在一些实施例中，为了提高安全性，支付令牌和/或支付凭证可以不存储在移动装置720处。实际上，当正在执行交易时，可以从钱包提供者应用780暂时检索支付令牌和/或支付凭证。
[0113]
数字钱包应用720j可以与钱包提供者计算机780、授权实体计算机760、发行方可信的第三方、交易处理计算机750、传输计算机740、资源提供者计算机730或任何其它适当的实体关联和/或由上述这些装置提供。
[0114]
令牌化模块720l可以是数字钱包应用720j的一个模块或者移动装置120上的单独的应用。令牌化模块720l可以包括使处理器720a获得支付令牌的代码。例如，令牌化模块720l可以包含使处理器720a从钱包提供者计算机780或任何其它适当的令牌化服务提供者(例如授权实体计算机760或交易处理计算机750)请求令牌。在一些实施例中，移动装置120能够通过无线电与钱包提供者计算机780通信，因此令牌化模块720l能够将直接请求发送至钱包提供者计算机780。在一些实施例中，令牌化模块720l能够将令牌请求消息经由通常用于授权消息的通信信道发送至钱包提供者计算机780。例如，令牌化模块720l可以使移动装置720将令牌请求消息发送至访问装置725，请求可以通过授权轨道被转发至钱包提供者
计算机780。
[0115]
正如提到的，可以由钱包提供者计算机780、授权实体计算机760、交易处理计算机750、传输计算机740或任何其它适当的实体提供令牌化服务。钱包提供者计算机780另外能够提供其它数字钱包相关的服务。例如，钱包提供者计算机780可以提供数字钱包应用，存储支付凭证，存储交易记录，并执行任何其它适当的交易相关的服务。钱包提供者计算机780可以与以下的一个或多个关联和/或通信：资源提供者计算机730、传输计算机740、交易处理计算机750和授权实体计算机760。
[0116]
根据本发明的一些实施例的钱包提供者计算机780的示例示于图9中。钱包提供者计算机780包括处理器780a、网络接口780b、用户数据库780c和计算机可读介质780d。
[0117]
计算机可读介质780d可以包括令牌化模块780e、去令牌化模块780f、安全模块780g和任何其它适当的软件模块。计算机可读介质780d还可以包括可由处理器780a执行以实现一种方法的代码，所述方法包括在第二计算机处从第一计算机接收包括凭证的令牌请求消息，令牌请求消息与用来授权交易的授权请求消息为相同格式；验证令牌请求消息；给凭证分配令牌；生成包括令牌的令牌响应消息；令牌响应消息与授权响应消息为相同格式；以及向第一计算机传送令牌响应消息。
[0118]
令牌化模块780e可以包括使处理器780a提供支付令牌的代码。例如，令牌化模块780e可以包含使处理器780a生成支付令牌和/或将支付令牌与一组支付凭证关联的逻辑。令牌记录然后可以存储在用户数据库780c中，指示支付令牌与某个用户710、某组支付凭证或某个数字钱包关联。令牌化模块780e能够沿通常用于授权响应消息的通信轨道发送包括支付令牌的令牌响应消息。
[0119]
去令牌化模块780f可以包括使处理器780a对支付令牌去令牌化的代码。例如，去令牌化模块780f可以包含使处理器780a识别与用户数据库780c中的支付令牌关联的令牌记录的逻辑。然后能够识别与支付令牌关联的一组支付凭证(如在令牌记录或数字钱包中指示的)。在一些实施例中，去令牌化模块780f可以响应于去令牌化请求消息(例如从授权实体计算机760、交易处理计算机750或任何其它适当的实体接收的)对支付令牌去令牌化。
[0120]
安全模块780g可以包括使处理器780a在提供支付令牌之前验证令牌请求的代码。例如，安全模块780g可以包含使处理器780a通过解密消息中包括的密码、通过确认支付凭证是真实的并与请求用户710关联、通过检查针对关联的数字钱包批准支付令牌的使用、通过评估与请求资源提供者计算机730关联的风险、或者通过使用任何其它适当的信息来确认令牌请求消息是真实的逻辑。如果支付凭证被加密，则安全模块780g能够解密加密的支付凭证(例如经由发行方特定的密钥)。
[0121]
与图1相似，图7中的各个实体可称作第一计算机或第二计算机。例如，资源提供者计算机730和/或访问装置725可认为是第一计算机的示例，钱包提供者计算机780可认为是第二计算机的示例。
[0122]
可以参照图10描述根据本发明的实施例的方法1000。在图10中图示的方法1000中，移动装置1020可以使用授权通信信道获得并在其上加载令牌。一旦移动装置1020包含令牌，则可以在任何适当的资源提供者(例如任何适当的商家)处使用该令牌，不只是在曾用来获得针对移动装置1020的令牌的资源提供者处使用。还引用在其它图中的一些元件。在本发明的实施例中，可以顺序地或者以任何适当次序执行方法1000中所示的步骤。在一
些实施例中，一个或多个步骤可以是可选的。
[0123]
用户可能希望从资源提供者购买商品或服务。用户可能希望使用移动装置1020用于提供支付。在一些实施例中，为了避免支付信息的泄密，移动装置1020可以不存储支付凭证和/或支付令牌。而是，在移动装置1020从钱包提供者计算机1080检索支付令牌之前，移动装置1020可以等待，直到交易将要发生。然而，并不总是有充足的通过无线电的连接(例如蜂窝或wi
‑
fi)供移动装置1020与钱包提供者计算机1080通信。因此，移动装置1020反而可以利用资源提供者经由常规的授权信道与钱包提供者计算机1080通信的能力。
[0124]
在步骤s1002，移动装置1020可以激活数字钱包应用和/或支付功能。例如，用户可以选择支付功能以便为交易进行支付。
[0125]
在步骤s1004，移动装置1020可以生成令牌请求消息(例如响应于被激活的支付功能)。令牌请求消息可以包括支付信息(例如pan、安全代码、到期日期、姓名、地址和/或电话号码)、识别钱包提供者计算机1080的信息和任何其它适当的信息。替代性地，在一些实施例中，令牌请求消息可以不包括支付凭证，以便保护敏感数据。实际上，令牌请求消息可以包括数字钱包标识符、移动装置标识符或可以用来识别用户的数字钱包或支付账户的任何其它适当的信息。
[0126]
在一些实施例中，可以用发行方特定的密钥加密令牌请求消息中包括的一些或所有信息。而且，令牌请求消息可以包括密码、数字证书(例如其可以由移动装置1020保持的密钥签名)和/或任何其它安全相关的信息。
[0127]
在步骤s1006，移动装置1020可以将令牌请求消息传送至访问装置1025(例如经由nfc、蓝牙、rf等)。例如，用户可以保持使移动装置1020足够接近访问装置1025，使得其能够无线通信。
[0128]
在步骤s1008，资源提供者计算机1030可以(例如经由访问装置1025)接收令牌请求消息。在一些实施例中，令牌请求消息可以包括加密的支付凭证或不包括任何支付凭证，因此资源提供者计算机1030可以不具有针对敏感的未加密支付凭证的访问。
[0129]
在步骤s1010，资源提供者计算机1030可以确定令牌请求消息应当发送至钱包提供者计算机1080。例如，令牌请求消息可以被格式化为授权请求消息(例如iso 8583消息格式)，使得资源提供者计算机1030能够确定应当沿授权请求消息转发消息。资源提供者计算机1030还可以检测令牌请求消息中指定令牌请求消息应当被转发的标志或指示符。另外，资源提供者计算机1030可以可选地将交易信息、商家id、密码、数字证书(例如其可以由资源提供者计算机1030保持的密钥签名)和/或任何其它适当的信息增加到令牌请求消息。
[0130]
在步骤s1012、s1014、s1016和s1018，可以将令牌请求消息转发至传输计算机1040，转发至交易处理计算机1050、授权实体计算机1060然后是钱包提供者计算机1080。因此，可以通过通常用于授权请求消息的信道传送令牌请求消息。
[0131]
在一些实施例中，交易处理计算机1050和/或授权实体计算机1060还可以在转发令牌请求消息之前，分析与请求关联的风险，和/或执行任何其它适当的检查和处理。而且，授权实体计算机1060可以在确定接收的消息是令牌请求消息之后将消息转发至钱包提供者计算机1080。例如，授权实体计算机1060可以确定令牌请求消息包括令牌请求指示符，令牌请求消息缺少交易相关的信息，诸如交易金额(或者其包括零或没有美元的金额)或者令牌请求消息缺少支付凭证。
[0132]
在步骤s1020，钱包提供者计算机1080可以认证令牌请求消息和/或请求数字钱包应用。例如，可以基于密码、商家信息、支付凭证、交易信息或令牌请求消息中的任何其它适当的信息，验证令牌请求消息。在一些实施例中，钱包提供者计算机1080可以使用加密密钥来验证令牌请求消息中包括的数字证书。在一些实施例中，钱包提供者计算机1080可以打开钱包提供者计算机1080和移动装置1020之间的安全和私有信道。这可以使移动安全检查(例如由安全模块780g)和令牌储备功能发生。这些功能可能涉及在移动装置320和钱包提供者计算机380之间发送的多个通信/消息。
[0133]
在步骤s1022，钱包提供者计算机1080可以识别正请求令牌的支付账户和/或支付凭证。例如，如果支付凭证包括在令牌请求消息中，钱包提供者计算机1080可以定位消息中的支付凭证。如果支付凭证被加密，则钱包提供者计算机1080能够解密支付凭证(例如经由发行方特定的密钥)。在一些实施例中，授权实体计算机1060可以在将令牌请求消息转发至钱包提供者计算机1080之前，解密支付凭证。
[0134]
替代性地，在一些实施例中，钱包提供者计算机1080可以基于令牌请求消息中的其它信息，诸如数字钱包标识符、移动装置标识符或任何其它适当的信息，识别用户的记录或用户的数字钱包(例如在用户数据库780c中)。然后，可以从识别的数字钱包获得一组支付凭证。
[0135]
在步骤s1024，钱包提供者计算机1080可以生成支付令牌和/或创建支付令牌和支付凭证之间的关联。在一些实施例中，钱包提供者计算机1080反而可以识别已经与支付凭证关联的现有的支付令牌。在一些实施例中，如在上文针对方法600已经描述的，可以在令牌域和/或支付令牌的令牌到期日期中设置限制。
[0136]
在步骤s1026，钱包提供者计算机1080可以生成并将令牌响应消息发送至授权实体计算机1060。令牌响应消息可以包括支付令牌以及交易信息，商家id、密码、数字钱包应用标识符、移动装置标识符和/或任何其它适当的信息。可以用发行方特定的密钥加密令牌响应消息中包括的一些或所有信息。令牌响应消息可以具有iso 8583消息格式，和/或令牌响应消息可以被格式化为零或没有美元的授权响应消息。
[0137]
在步骤s1028、s1030、s1032和s1034，令牌响应消息可以被转发至交易处理计算机1050，转发至传输计算机1040，转发至资源提供者计算机1030，然后转发至访问装置1025。因此，可以通过通常用于授权响应消息的信道传送令牌响应消息。
[0138]
在一些实施例中，令牌响应消息可以以不同方式被路由至访问装置1025。例如，如图7中所示，钱包提供者计算机1080可以将令牌响应消息直接发送至传输计算机1040、交易处理计算机1050和/或任何其它适当的实体。
[0139]
在步骤s1036，访问装置1025可以将令牌响应消息发送至移动装置1020。例如，用户仍可以保持使移动装置1020在访问装置1025的通信接近度内，或者可以提示用户再次伸出移动装置1020。
[0140]
在步骤s1038，移动装置1020可以将支付令牌与数字钱包应用或某组支付凭证关联。支付令牌可以存储在移动装置1020处，或者其可以在被用于交易之后被删除。
[0141]
因此，移动装置1020可以成功地利用访问装置1025的连接，以从钱包提供者计算机1080经由授权通信信道获得支付令牌。因此，移动装置1020能够在交易期间实时地获得支付令牌，移动装置1020能够甚至在其它无线通信服务(例如3g、lte、wi
‑
fi)不可用时获得
支付令牌。在接收支付令牌之后，移动装置1020上的数字钱包应用则能够使用支付令牌用于当前的交易。
[0142]
在步骤s1040，移动装置1020可以将支付令牌传送至访问装置1025作为用于交易的支付。例如，用户可以继续保持使移动装置1020靠近访问装置1025，使得通信(例如nfc、蓝牙、rf等)是可行的。替代性地，访问装置1025可以提示用户在完成令牌请求过程之后提供支付信息(例如再次举起移动装置1020)。注意，由于移动装置1020现在加载有支付令牌，所以移动装置1020可以在任何其它适当的访问装置处在任何其它适当的资源提供者处而不只是在访问装置1025处使用该支付令牌。
[0143]
在步骤s1042，访问装置1025可以将支付令牌转发至资源提供者计算机1030用于处理。访问装置1025还可以提供交易细节和任何其它适当的信息。
[0144]
在步骤s1044，资源提供者计算机1030(或访问装置1025)可以将用于交易的授权请求消息发送至传输计算机1040。在一些实施例中，授权请求消息可以包括支付令牌而不是支付凭证。授权请求消息还可以包括交易信息(例如购买的物品、金额等)、商家信息(例如商家姓名、位置等)和任何其它适当的信息。
[0145]
在步骤s1046，传输计算机1040可以将授权请求消息转发至交易处理计算机1050。在步骤s1048，交易处理计算机1050可以将授权请求消息转发至授权实体计算机1060。
[0146]
在步骤s1050，授权实体计算机1060可以以支付令牌去令牌化，并获得支付凭证。例如，授权实体计算机1060可以从钱包提供者计算机1080、从本地令牌记录数据库或者从任何其它适当的令牌提供者获得支付凭证。在一些实施例中，任何其它适当的实体可以代替对支付令牌去令牌化。例如，交易处理计算机1050可以在将授权请求消息转发至授权实体计算机1060之前对支付令牌去令牌化。
[0147]
在步骤s1052，授权实体计算机1060可以基于支付凭证授权或拒绝交易。例如，授权实体计算机1060可以识别与支付凭证和/或支付令牌关联的支付账户，并且可以确定是否有充足的资金。
[0148]
在步骤s1054，授权实体计算机1060可以将指示是否授权交易的授权响应发送至交易处理计算机1050。授权响应消息可以包括支付令牌、交易细节、商家信息和任何其它适当的信息。在一些实施例中，为了通过限制暴露保护支付凭证，授权响应消息可以不包括支付凭证。
[0149]
在步骤s1056，交易处理计算机1050可以将授权响应消息转发至传输计算机1040。在步骤s1058，传输计算机1040可以将授权响应消息转发至资源提供者计算机1030。
[0150]
在步骤s1060，资源提供者计算机1030可以基于授权响应消息将购买的商品和/或服务释放给用户。而且，资源提供者计算机1030可以存储包括支付令牌、用户信息、交易细节和任何其它适当的信息的交易记录。在一些实施例中，资源提供者计算机1030可以擦除任何敏感信息，诸如加密的或未加密的支付凭证，但资源提供者计算机1030可以存储剩余信息，诸如支付令牌。
[0151]
本发明的实施例允许针对方法1000的各方面有许多替代方式。例如，在一些实施例中，可以由访问装置1025执行步骤s1010和其它令牌请求步骤。
[0152]
另外，在一些实施例中，令牌请求消息可以被更直接地转发至钱包提供者计算机1080。例如，如图7中所示，令牌请求消息可以在到达传输计算机1040、交易处理计算机
1050、授权实体计算机1060或任何其它适当的实体之后被直接地发送至钱包提供者计算机1080。在一些实施例中，一旦令牌请求消息被(例如传输计算机1040)识别为令牌请求而不是授权请求，则令牌请求可以被直接发送至钱包提供者计算机1080。
[0153]
而且，如上文描述的，在一些实施例中，钱包提供者计算机1080可以体现为另一实体(诸如传输计算机1040、交易处理计算机1050、授权实体计算机1060)的一部分。因此，令牌请求消息一旦到达正在提供令牌服务的无论哪个实体，令牌请求消息可能已经到达其目的地。令牌请求消息可以包括接受者标识符(例如钱包提供者id或发行方id)，使得消息能够被引导至适当的接受者。
[0154]
如上文在方法1000中描述的，可以在移动装置1020和访问装置1025之间发生一个或多个通信。在一些实施例中，移动装置1020和访问装置1025之间的通信(例如发送令牌请求、接收令牌响应、提供支付和/或接收交易收条)所需的总时间可以是30秒、10秒、5秒、3秒、1秒或任何其它适当的时间量。时间可以随交易的不同而变化。用户可以在通信正在进行的同时保持使移动装置1020在访问装置1025处或接近访问装置1025，并且可以在通信结束时移开移动装置1020。
[0155]
在一些实施例中，可以通知用户通信进程和/或何时取走移动装置1020是可接受的。例如，访问装置1025和/或移动装置1020可以提供何时完成通信的指示，诸如可听声音、振动、电脉冲和/或显示的消息。
[0156]
本发明的实施例具有许多优点。例如，在本发明的实施例中，支付装置(诸如信用卡)可以被集成并用在涉及令牌化的支付系统中。因此，没有移动装置或者习惯某种类型的支付装置(例如磁条信用卡)的用户可以加入令牌化系统。因此，提供从之前没有令牌化的支付系统到具有令牌化的新支付系统的过渡。同样，针对用诸如信用卡的支付装置进行的购买可以提高安全性，原因是令牌可以代替敏感的支付信息(例如pan)被提供和存储。
[0157]
另一优点是用户可以容易地获得令牌。用户可以只是在访问装置处出示支付卡或移动装置，令牌可以被检索然后用于购物。因此，令牌请求过程可以是无缝的，或者对用户不可察觉。
[0158]
另外，移动装置能够在移动装置不具有任何连接(例如蜂窝服务、wi
‑
fi等)时获得令牌。商家访问装置能够基本上充当连接点(是安全、可靠的)，通过此连接点移动装置能够请求并接收令牌。
[0159]
而且，令牌可以只在短时间段内是有效的，原因是令牌可以在被接收之后立即用于购物。因此，可以提高安全性，原因是如果令牌泄密，则其不可以用于稍后时间的欺诈交易。同样，可以检索并提前存储令牌的装置(例如移动装置、智能卡等)可以不再需要存储令牌，原因是可以在交易期间获得令牌。存储在装置上的令牌可能是易受攻击的，原因是小装置容易丢失，令牌通常只由软件保护。因此，降低在被使用之前令牌在装置上存在的时间量能够降低令牌被盗或泄密的风险。
[0160]
图11是可以用来实现上文描述的任何实体或部件的计算机系统的高级框图12。图11中所示的子系统经由系统总线75互连。附加的子系统包括打印机74、键盘78、存储装置79和监视器76，监视器76耦连至显示适配器82。耦连至i/o控制器71的外围设备和输入/输出(i/o)装置可以由本领域已知的任何数目的手段(诸如串行端口)连接至计算机系统。例如，可以使用i/o端口77或外部接口81将计算机设备连接至广域网(诸如互联网)、鼠标输入装
置或扫描器。经由系统总线75的互连允许中央处理器73与每个子系统通信，并控制来自系统存储器72或存储装置79的指令的执行以及信息在子系统之间的交换。系统存储器72和/或存储装置可以体现计算机可读介质。
[0161]
本发明的其它实施例也被考虑。
[0162]
本发明的一个实施例涉及一种方法，包括：在第二计算机处从第一计算机接收包括凭证的令牌请求消息，令牌请求消息与用来授权交易的授权请求消息为相同格式；由第二计算机验证令牌请求消息；由第二计算机给凭证分配令牌；由第二计算机生成包括令牌的令牌响应消息，令牌响应消息与授权响应消息为相同格式；以及由第二计算机向第一计算机传送令牌响应消息。
[0163]
本发明的另一实施例涉及被配置成执行上述的方法的第二计算机。在一些实施例中，第二计算机可以是令牌化计算机和/或钱包提供者计算机。
[0164]
本发明的另一实施例涉及一种方法，包括：由移动装置生成包括凭证的令牌请求消息，令牌请求消息与用来授权交易的授权请求消息为相同格式；由移动装置向第一计算机发送授权请求消息，其中，第一计算机向第二计算机发送令牌请求消息，并且其中，第一计算机从第二计算机接收包括与凭证关联的令牌的令牌响应消息；由移动装置从第一计算机接收令牌响应消息；以及由移动装置向第一计算机提供令牌作为用于交易的支付，其中，第一计算机向授权计算机提交包括令牌的授权请求消息以用于交易。
[0165]
本发明的另一实施例涉及被配置成执行上述的方法的移动装置。
[0166]
本发明的另一实施例涉及一种方法，包括：由中间计算机从第一计算机接收包括凭证的令牌请求消息，令牌请求消息与用来授权交易的授权请求消息为相同格式；由中间计算机向第二计算机传送令牌请求消息；由中间计算机从第二计算机接收包括与凭证关联的令牌的令牌响应消息，令牌响应消息与授权响应消息为相同格式；由中间计算机向第一计算机传送授权响应消息；由中间计算机从第一计算机接收授权请求消息以用于交易，授权请求消息包括令牌；由中间计算机向授权计算机传送授权请求消息；由中间计算机从授权计算机接收授权响应消息，授权响应消息指示交易被授权；以及由中间计算机向第一计算机传送授权响应消息。
[0167]
本发明的另一实施例涉及被配置成执行上述方法的中间计算机。在一些实施例中，中间计算机可以是传输计算机或者交易处理计算机。
[0168]
正如描述的，本发明的服务可以涉及实现一个或多个功能、过程、操作或方法步骤。在一些实施例中，可以由适当编程的计算装置、微处理器、数据处理器等执行指令集或软件代码的结果实现功能、过程、操作或方法步骤。指令集或软件代码可以存储在存储器或者由计算装置、微处理器等访问的其它形式的数据存储元件中。在其它实施例中，可以由固件或专用处理器、集成电路等实现功能、过程、操作或方法步骤。
[0169]
本技术中描述的任何软件组件或功能可以实现为使用任何适当计算机语言(比方说例如java,c 或perl)，使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为计算机可读介质(诸如随机存取存储器(ram)、只读存储器(rom)、磁介质(诸如硬盘或软盘)或光介质(诸如cd
‑
rom))上的一系列指令或命令。任何这种计算机可读介质还可以驻存在单个运算设备上或驻存在单个运算设备内，可以位于系统或网络中的不同运算设备或在系统或网络中的不同运算设备内。
[0170]
尽管已经详细地描述并在附图中示出了某些示例性实施例，但要理解这些实施例只是示意性的不旨在限制宽范围的本发明，既然各种其它修改对本领域技术人员是容易想到的，因此本发明不局限于所示和所描述的特定布置和构造。
[0171]
对“一(a)”、“一(an)”或“所述(the)”的叙述旨在表示“一个或多个”，除非明确指示为相反。