用于验证支付设备的用户的系统技术方案

本发明专利技术涉及用于验证支付设备的用户的系统。公开了一种支付系统，包括销售点设备4和发行方6。支付设备2能够被用于发起与非接触式读取器14d第一支付请求。第一支付请求被发送给发行方6。如果发行方6拒绝支付请求，那么销售点设备4将与该支付设备相关的信息(诸如主帐号之类)存储在存储单元12中。当从支付设备2接收到第二支付请求时，销售点设备4能够检查与该支付设备相关的信息是否与存储在存储单元12中的信息匹配。如果找到匹配，那么销售点设备4能够通过用户验证单元14请求来自用户的验证。

A system for verifying users of payment devices

The present invention relates to a system for verifying a user of a payment device. A payment system is disclosed, including point-of-sale device 4 and issuer 6. Payment device 2 can be used to initiate a 14d first payment request with a contactless reader. The first payment request is sent to issuer 6. If issuer 6 refuses to make a payment request, point-of-sale device 4 stores information related to the payment device (such as the main account number) in storage unit 12. When a second payment request is received from the payment device 2, the point-of-sale device 4 can check whether the information related to the payment device matches the information stored in the storage unit 12. If a match is found, point-of-sale device 4 can request authentication from the user through user authentication unit 14.

【技术实现步骤摘要】
用于验证支付设备的用户的系统
本专利技术涉及用于提高支付设备(特别是使用近场通信(NFC)的非接触式支付设备)的安全性的系统和方法。
技术介绍
如今许多支付是以电子方式进行的。为了授权支付交易，用户需要给出真实有效的设备(通常是借记卡或信用卡)，以及某种用户验证(诸如个人识别码或PIN)。这允许信用卡或借记卡的发行方(issuer)验证用户的身份，使得可以处理交易。最近，信用卡和借记卡已经提供有非接触式技术，当卡被呈现给非接触式读取器时，该技术允许支付被授权。通常，允许这些没有任何用户验证的非接触式支付达最大价值，诸如30英镑。这为用户快速支付物品提供了方便的机制。非接触式支付卡提供商面临的一个挑战是，如果丢失或被盗，那么它们容易被滥用。这通过在销售点终端中存在无需用户验证的情况下的交易的最大支付金额来减轻。但是，只要每笔交易的金额低于这个最大值，丢失或被盗的卡就仍可用于不受限数量的无需任何用户验证的交易。为了解决这个问题，一些非接触式支付卡和设备包括内部计数器，该计数器维护利用该设备发生的未经验证的交易的累计数量和/或金额。当发起新的未经验证的交易时，支付设备检查添加新交易是否会使未经验证的交易的累积数量和/或货币金额超过发行方设定的预定阈值。如果是这种情况，那么可以提示用户将他们的卡插入销售点终端并验证他们的身份(例如，通过输入有效的PIN)。在成功验证用户的身份后，发行方可以向仍然存在于销售点终端中的支付设备发送命令，从而重置其内部计数器。随后，用户可以再次使用该设备进行一定数量和/或金额的未经验证的交易。最近支付方面的发展试图使可用于支付的设备的数量和类型多样化。特别地，期望能够使用诸如手表和手环之类的可穿戴设备来进行非接触式支付。这些支付设备只能发起非接触式支付，并且它们可能缺乏可用于用户验证的任何用户界面。因此，如上所述的减轻非法使用丢失和被盗设备的风险的方法可能是不可行的，因为它涉及允许发行方发送命令以重置针对未经验证的交易的内部计数器的联系事务(contacttransaction)。本专利技术的一个目的是克服和减轻这些问题中的一些。
技术实现思路
根据本专利技术的一方面，提供了一种验证与支付设备相关联的用户的方法，包括以下步骤：从支付设备接收第一支付请求；与发行方通信，以请求对第一支付请求的授权；从发行方接收对拒绝第一支付请求的指示；存储关于与被拒绝的交易相关联的所述支付设备的信息；从所述支付设备接收第二支付请求；如果确定第二支付请求由针对其存储了信息的所述支付设备发起，那么请求来自用户的验证；从用户接收验证信息；基于接收到的验证信息验证用户的身份；以及基于用户的成功验证，与发行方通信，以请求对第二支付请求的授权。以这种方式，发行方可以拒绝第一支付请求。拒绝第一支付请求的一个原因可以是确定支付设备的用户需要验证。如果用户在第二支付请求中再次尝试支付，那么这可以在销售点设备处基于所存储的与被拒绝的交易相关的信息而被检测到。通过获得真实用户知道的东西(例如，PIN)或真实用户的固有特征(例如，指纹或虹膜扫描)，可以发生对用户的验证。这个信息与第二支付请求一起被发送给发行方，从而允许发行方在授权和处理支付之前验证用户。以这种方式，发行方可以在其授权主机系统上维护未经验证的交易的数量和/或金额的记录，并通过基于这些记录要求进行用户验证来减轻由丢失或被盗设备进行的非法交易的风险。这也可以消除在支付设备本身中存在计数器以管理这种风险的需要。优选地，第一和第二支付请求是非接触式支付请求。非接触式支付设备的目标之一是使用户能够快速完成支付交易，而无需输入PIN码或提供其它类型的标识以供验证。但是，这也使得非接触式设备在丢失或被盗时易受攻击。当应用于仅可用于非接触式支付并且缺乏直接验证用户的能力的支付设备时，该方法可以是特别有用的。这样的非接触式支付设备被设想用在许多可穿戴设备中，包括手表和手环。当确定需要验证用户时，发行方优选地提供对第一支付请求的拒绝。发行方可以出于各种原因而确定需要验证用户。例如，可以基于存储在发行方处的与支付设备相关的数据与阈值的比较来确定需要验证用户。发行方处存储的与支付设备相关的数据可以包括未经验证的交易的数量或未经验证的交易的值。因此，如果支付设备已经被使用超过预定数量的交易，那么可以要求验证用户。如果支付设备丢失或被盗，那么新的承载者(bearer)可以只能使用该设备进行支付直到达到发行方的授权主机系统中的阈值为止。在一个示例中，发行方阈值可以是十个未经验证的交易。作为替代，发行方的授权主机系统中的阈值可以涉及交易的累积价值，而不是它们的数量。例如，发行方可以允许未经验证的交易达到预定值，诸如100欧元。发行方还可以基于其它行为确定需要验证用户。例如，支付率的突然增加可以提示发行方请求验证。在另一个示例中，支付请求的地理位置或模式的改变可以提示发行方请求验证。发行方可以维护未经验证的交易的数量或未验证交易的值的计数，以与阈值进行比较。这可以与在支付设备中维护计数的其它方法形成对比。有利地，这可以提高缺乏维护内部计数器的能力或者缺乏与发行方通信的能力的设备的安全性，使得一旦超过阈值就可以重置内部计数器。这些包括仅可以用于非接触式支付的设备，因为它们的使用方法防止发行方重置内部计数器。优选地，基于对用户的成功验证来重置发行方处所存储的数据。当发生成功验证并且该成功验证由销售点设备传送给发行方时，发行方处的关于未经验证的交易的数量和/或未经验证的交易的累计值的计数器可以被设置为零。优选地，该方法在销售点设备中执行，并且关于与被拒绝的交易相关联的所述支付设备的信息存储在销售点设备中的存储单元中。以这种方式，可以使用经修改的销售点设备来提示对用户的验证。在典型的场景中，用户将把他们的支付设备呈现给销售点设备，并且如果满足某些标准，那么发行方可以拒绝交易。然后，用户将再次将他们的支付设备呈现给销售点设备，以便重新尝试支付(在第二支付请求中)。销售点设备将基于存储单元中的信息来确定支付设备与被拒绝交易相关，并且这可以被用于提示对进行用户。该方法可以涉及在销售点设备上显示与对第一支付请求的拒绝相关的信息。以这种方式，可以使用户和商家意识到对第一支付请求的拒绝。该方法还可以包括显示拒绝的原因。在一个示例中，销售点设备可以显示因为用户最近未被验证所以第一支付请求已被拒绝的指示。这可以提示用户再次将支付设备呈现给支付设备读取器，其提示经由用户验证单元对用户进行验证。在拒绝第一支付请求之后，用户可能不会尝试第二支付请求。在这些情况下，用户可以稍后使用不同的销售点设备尝试支付。在这些情况下，支付请求也将被拒绝。但是，用户可以继续使用不同的销售点设备来完成验证。在这些情况下，第一销售点设备将继续存储与支付设备和被拒绝交的易相关的信息。有许多方式可以处理这个问题。首先，关于被拒绝的交易的信息可以继续被存储在第一销售点设备中。因此，如果用户尝试再次使用第一支付设备，那么将请求验证，即使发行方处的计数器不要求用户被验证。可替代地，第一支付设备处存储的信息可以仅存在预定时间段或者针对预定数量的被拒绝的交易存在。因此，如果用户没有立即做出第二次支付请求，那么销售点设备可以假设他们已经移到其它地方，并且将再次将本文档来自技高网...

【技术保护点】
1.一种验证与支付设备相关联的用户的方法，包括以下步骤：从支付设备接收第一支付请求；与发行方通信，以请求对第一支付请求的授权；从发行方接收对拒绝第一支付请求的指示；存储关于与被拒绝的交易相关联的所述支付设备的信息；从所述支付设备接收第二支付请求；如果确定第二支付请求来自针对其存储了信息的所述支付设备，那么请求来自用户的验证；从用户接收验证信息；基于接收到的验证信息验证用户的身份；以及基于用户的成功验证，与发行方通信，以请求对第二支付请求的授权。

【技术特征摘要】
2017.08.29 EP 17188339.01.一种验证与支付设备相关联的用户的方法，包括以下步骤：从支付设备接收第一支付请求；与发行方通信，以请求对第一支付请求的授权；从发行方接收对拒绝第一支付请求的指示；存储关于与被拒绝的交易相关联的所述支付设备的信息；从所述支付设备接收第二支付请求；如果确定第二支付请求来自针对其存储了信息的所述支付设备，那么请求来自用户的验证；从用户接收验证信息；基于接收到的验证信息验证用户的身份；以及基于用户的成功验证，与发行方通信，以请求对第二支付请求的授权。2.如权利要求1所述的方法，其中第一支付请求和第二支付请求是非接触式支付请求。3.如权利要求1或权利要求2所述的方法，其中，当确定需要验证用户时，发行方提供对第一支付请求的拒绝。4.如权利要求3所述的方法，其中发行方基于存储在发行方处的与所述支付设备相关的数据与阈值的比较来确定需要验证用户。5.如权利要求4所述的方法，其中在发行方处存储的与所述支付设备相关的数据包括未经验证的交易的数量或未经验证的交易的值。6.如权利要求5所述的方法，其中基于对用户的成功验证来重置发行方处所存储的数据。7.根据前述权利要求中任一项所述的方法，其中所述方法在销售点设备中执行，并且关于与被拒绝的交易相关联的所述支付设备的信息存储在销售点设备中的存储单元中。8.如前述权利要求中任一项所述的方法，包括在销售点设备上显示与对第一支付请求的拒绝相关的信息的步骤。9.一种...

【专利技术属性】
技术研发人员：B·卡尔布理，
申请(专利权)人：万事达卡国际公司，
类型：发明
国别省市：美国,US