验证令牌与便携式计算设备的整合相关申请的交叉引用本申请是2010年5月14日提交的题为“VerificationofPortableConsumerDevices(便携式消费者设备的验证)”的美国专利申请No.12/780,657的部分延续,而前一申请是2010年2月24日提交的题为“VerificationofPortableConsumerDevices(便携式消费者设备的验证)”的美国专利申请No.12/712,148的部分延续,其每一个均要求2009年5月15日提交的题为“DynamicDataAuthentication(动态数据认证)”的美国临时专利申请No.61/178,636的优先权。本申请还要求2010年10月22日提交的题为“IntegrationofVerificationTokensWithPortableComputingDevices(验证令牌与便携式计算设备的整合)”的美国临时专利申请No.61/406,071的优先权。所有前面给出的美国申请的内容出于所有目的通过全篇地援引包含于此。背景随着参与金融交易的方法和设备的增加,诸如欺诈和伪造的老问题持续存在。欺诈的主要源头之一是撇取,这在信用卡行业中是普遍的。撇取指的是对卡的磁条数据进行电子复制以便制作伪造卡。撇取主要是折磨基于静态磁条的交易的现象。这是因为置于交易卡背面上并在三个单独的磁道上存储各种数据的磁条是一种被动介质。换言之,磁条的数字内容可被完美地复制,在副本和原件之间没有任何区别。可防止撇取的主要手段之一是使消费者紧密监视其交易卡的行踪。这可允许消费者防止通过不正当的设备刷卡。然而,随着无接触卡的发展,当使用静态数据时,传统的撇取问题也随之而来。实际上,在无线环境中,撇取磁条数据的机会更为普遍。在无线环境中,潜在的撇取者不需要物理地占有要被撇取的卡也不需要访问在基于有线的环境中进行撇取所需的任何物理设备(例如,POS终端、通信线路等)。撇取者可在消费者或商家不知道的情况下拦截无线交易并复制正从卡发送到POS终端的数据。为了解决上述问题,可使用dCVV或动态卡验证值。例如,用于产生dCVV的各种系统和方法记载在2003年8月18日提交的题为“MethodandSystemforGeneratingaDynamicVerificationValue(生成动态验证值的方法和系统)”的美国专利申请No.10/642,878以及2008年1月29日提交的题为“On-LinePaymentTransactions(在线支付交易)”的美国专利申请No.11/764,376中。这两个申请均出于所有目的通过全篇地援引包含于此。除了产生dCVV,dCVV当被消费者安全接收时能更有效地防止欺诈。然而,安全地接收和使用dCVV不会过分地妨碍消费者执行交易的体验。如果接收和使用dCVV的不便性过大,消费者可能不使用dCVV或消费者可能进行较少的交易。本发明的各实施例涉及单独地或共同地解决以上问题和其它问题。概述披露了与便携式消费者设备的验证相关的装置、方法和系统。本发明的一个示例性实施例针对一种用于获得便携式消费者设备的设备验证值的验证令牌。该示例性验证令牌包括:外设接口,适于通信地耦合至计算机的外设接口;读取器,适于从便携式消费者设备读取标识信息;计算机可读介质;数据处理器,其电耦合于验证令牌的外设接口、读取器和计算机可读介质;以及体现在计算机可读介质上的代码,其引导数据处理器执行多种动作。在示例性实施例中,验证令牌位于计算机的机壳或与计算机电耦合的外设设备内。在一示例性实现中,验证令牌包括:引导数据处理器借助验证令牌的外设接口与计算机通信并获得对计算机的联网设施的访问的代码;引导数据处理器接收由读取器从便携式消费者设备读取的标识信息的代码;引导数据处理器借助计算机的联网设施将至少一部分接收的标识信息发送至能提供设备验证值(例如确认实体或网关)的实体的代码;以及在发送所述标识信息之后引导数据处理器借助计算机的联网设施从实体接收设备验证值的代码。验证令牌可以许多形式将标识信息送至计算机,包括:(1)未经改动的形式(“干净形式”);(2)经加密的形式;(3)经散列的形式(例如经编码的);(4)经签名的形式;(5)或者这些形式的任何组合。这些形式可以由便携式消费者设备、验证令牌、计算机或其任何组合来生成。另外,验证令牌和实体(例如确认实体或网关)可以在验证令牌发送标识信息之前执行相互认证过程。如权利要求中使用的,术语“能提供设备验证值的实体”涵盖确认实体、网关或其任意组合。本发明的另一示例性实施例针对一种用于获得便携式消费者设备的设备验证值的验证令牌。该示例性验证令牌包括:外设接口,适于通信地耦合至计算机的外设接口;读取器,适于从便携式消费者设备读取标识信息;计算机可读介质;数据处理器,其电耦合于验证令牌的外设接口、读取器和计算机可读介质;以及体现在计算机可读介质上的代码,其指引数据处理器执行多种动作。在一种示例性实现中,验证令牌包括:引导数据处理器借助验证令牌的外设接口与计算机通信并访问计算机的联网设施的代码;引导数据处理器使用计算机的联网设施与能够提供设备验证值(例如确认实体或与确认实体通信的网关)的实体建立通信的代码;引导数据处理器接收由读取器从便携式消费者设备读取的标识信息的代码;引导数据处理器借助计算机的联网设施将至少一部分接收的标识信息发送至实体(例如确认实体或网关)的代码;以及在发送所述标识信息之后引导数据处理器借助计算机的联网设施从实体接收设备验证值的代码。验证令牌可以前面指出的形式将标识信息发送至计算机。在示例性实施例中,验证令牌位于计算机的机壳或与计算机电耦合的外设设备内。在这些示例性实施例的一些实现中,前面的代码和标识信息是独立于计算机存储的,并是安全的不受在计算机上运行的程序(包括间谍软件和其它恶意程序)影响。在这种实现中,标识信息在信息被提供给计算机以前通过验证令牌置于安全形式(例如经加密、经散列、经签名或其组合)。因此,保护该信息不取决于计算机的安全性。可以将对称或非对称密钥用于加密和签名。用于验证令牌的密钥相对于其它验证令牌而言可以是唯一的。密钥——尤其是对称密钥——可基于为验证令牌唯一地分配的序列号,该令牌与确认实体和/或网关通信。验证令牌和确认实体和/或网关两者都可具有关于如何从序列号中导出密钥(比如通过操纵和/或替换序列号的选定数字)的共享秘密。可以使用相应的共享秘密从唯一的序列号中导出多个密钥。因此,在相互认证过程中使用的提问和回答消息可使用从该序列号中导出的相应密钥来签名。本发明的另一示例性实施例针对一种用于获得便携式消费者设备的设备验证值的设备。该示例性设备包括:机壳;设置在机壳内的第一处理器;设置在机壳内的第一存储单元;耦合于第一处理器的输入-输出控制器;以及设置在机壳内并可通信地耦合至输入-输出控制器的验证令牌。验证令牌包括:与第一处理器分离的第二处理器;与第一存储单元分离的第二存储单元;以及耦合至第二处理器的读卡器。验证令牌借助读卡器从便携式消费者设备接收标识信息,将所接收的标识信息的至少一部分借助第一处理器发送至能提供设备验证值的实体;并借助第一处理器从该实体接收设备验证值。本发明的另一示例性实施例针对一种用于获得便携式消费者设备的设备验证值的计算机外设设备。该示例性计算机外设设备包括:机壳;对监视器、键盘或计算机鼠标中的一者的控制器,该控制器被设置在机壳内;以及设置在机壳内并具有读卡器的验证令牌。验证令牌借助读卡器从便携式消费者设备接收标识信息,将至少一部分接收的标识信息发送至能提供设备的实体,并从该实体接收设备验证值。本发明的另一示例性实施例针对一种获得便携式消费者设备的设备验证值的方法。该示例性方法包括:建立验证令牌和计算机之间的通信链路,该计算机具有联网设施;将标识信息从便携式消费者设备读入验证令牌中;通过计算机的联网设施将读取标识信息从验证令牌发送至能提供设备验证值(例如确认实体和/或网关)的实体;并在发送标识信息之后,借助计算机的联网设施在验证令牌处接收来自实体(例如确认实体和/或网关)的设备验证值。标识信息可以许多形式从验证令牌发送至计算机,包括:(1)未经改动的形式(“干净形式”);(2)经加密的形式;(3)经散列的形式(例如经编码的);(4)经签名的形式;(5)或者这些形式的任何组合。这些形式可以由便携式消费者设备、验证令牌、计算机或其任何组合来生成。另外,该方法可包括:在将标识信息发送至确认实体和/或网关之前,使验证令牌认证确认实体和/或网关,例如通过相互认证过程。本发明的另一示例性实施例针对一种获得便携式消费者设备的设备验证值的方法。该示例性方法包括:建立验证令牌和计算机之间的通信链路,该计算机具有联网设施;使用计算机的联网设施在验证令牌和能提供设备验证值(例如确认实体和/或网关)的实体之间建立通信会话;从便携式消费者设备将标识信息读取到验证令牌中;通过该通信会话将读取的标识信息从验证令牌发送至实体(例如确认实体和/或网关);并在发送标识信息之后,借助该通信会话在验证令牌处接收来自实体(例如确认实体和/或网关)的设备验证值。标识信息可以前述形式中的任一形式从令牌发送至计算机。另外,该方法可包括:在将标识信息发送至确认实体和/或网关之前,使验证令牌证实确认实体和/或网关,例如通过相互证实过程。本发明的另一示例性实施例涉及一种使用验证令牌的方法。该示例性方法包括:使用计算机的外设接口将验证令牌耦合至计算机,该计算机具有联网设施,该验证令牌包括:外设接口,适于可通信地耦合至计算机的外设接口;读取器,适于从便携式消费者设备读取标识信息;计算机可读介质以及数据处理器,该令牌被配置成使用读取器读取便携式消费者设备的标识信息并使用计算机的联网设施从第一实体(例如确认实体和/或网关)获得设备验证值。该方法还包括:将便携式消费者设备呈现给验证令牌的读取器以获得该便携式消费者设备的设备验证值;并将获得的设备验证值提供给第二实体。该第二实体可涉及其本身和验证令牌的用户之间的交易。本发明的另一示例性实施例针对一种将设备验证值提供给验证令牌的确认实体。该示例性确认实体包括:计算机可读介质;电耦合至计算机可读介质的数据处理器;以及体现在计算机可读介质上的代码,它引导数据处理器执行多种动作。该示例性确认实体进一步包括:引导数据处理器接收与用户关联的便携式消费者设备的设备验证值的请求的代码,该请求包括与便携式消费者设备相关的标识信息;引导数据处理器应用与所接收的请求相关的至少一个确认试验的代码;以及如果至少一个确认试验合格则引导数据处理器将设备验证值发送至与用户关联的验证令牌或发送至被配置成将设备验证值转发给令牌的实体的代码。本发明的另一示例性实施例针对一种提供设备验证值的计算机程序产品。该示例性产品包括:引导数据处理器接收与用户关联的便携式消费者设备的设备验证值的请求的代码,该请求包括与便携式消费者设备相关的标识信息;引导数据处理器应用与所接收的请求相关的至少一个确认试验的代码;以及如果至少一个确认试验合格则引导数据器处理将设备验证值发送至与用户关联的验证令牌或发送至被配置成将设备验证值转发给令牌的实体的代码。本发明的另一示例性实施例针对一种将设备验证值提供给验证令牌的确认实体。该示例性确认实体包括:计算机可读介质;电耦合至计算机可读介质的数据处理器;以及体现在计算机可读介质上的代码,它引导数据处理器执行多种动作。该示例性确认实体进一步包括:引导数据处理器在通信网络上与验证令牌通信的代码,计算机设置在验证令牌和通信网络之间,该验证令牌借助计算机的外设接口可通信地耦合至计算机并被配置成访问计算机的联网设施,该验证令牌被配置成为获得标识信息读取便携式消费者设备并使用计算机的联网设施将至少一部分标识信息以加密形式发送至确认实体。该示例性确认实体还包括:引导数据处理器接收由验证令牌发送的经加密标识信息的代码;引导数据处理器对经加密的标识信息进行解密的代码;引导数据处理器对经解密的标识信息应用至少一个确认试验的代码;以及如果至少一个确认试验合格则引导数据处理器将设备验证值发送至验证令牌的代码。又一些实施例可包括将设备验证值发送至支付处理网络。本发明的另一示例性实施例针对一种将设备验证值提供给验证令牌的确认实体。该示例性确认实体包括:计算机可读介质;电耦合至计算机可读介质的数据处理器;以及体现在计算机可读介质上的代码,它引导数据处理器执行多种动作。该示例性确认实体进一步包括:引导数据处理器在通信网络上与验证令牌通信的代码,计算机设置在验证令牌和通信网络之间,该验证令牌借助计算机的外设接口可通信地耦合至计算机并被配置成访问计算机的联网设施,该验证令牌被配置成为获得标识信息读取便携式消费者设备并使用计算机的联网设施将至少一部分标识信息发送至确认实体。验证令牌也被配置成使用计算机的联网设施使序列号和经加密的消息被发送至确认实体。该消息由加密密钥加密,序列号和加密密钥是被唯一分配给验证令牌的。示例性确认实体还包括:引导数据处理器接收经加密的序列号、经加密的消息以及由验证令牌发送的标识信息的代码;引导数据处理器对该序列号和经加密的消息应用一个确认试验的代码;以及如果一个或多个确认试验中选定数量的确认试验合格则引导数据处理器将设备验证值发送至验证令牌的代码。又一些实施例可包括将设备验证值发送至支付处理网络。在前述实施例的每一个中并在后述实施例的每一个中,计算机和确认实体之间的通信可通过设置在计算机和确认实体之间的网关(例如代理服务器、服务器实体等)促成和/或通过它传递。网关可充当在一侧多个验证令牌及其相关计算机和在另一侧多个确认实体之间的中介。该网关可从验证令牌(经由与令牌通信的计算机)接收一个或多个最初通信,并可从这一个或多个最初通信中的信息确定确认实体中适当的一个以用于履行令牌对设备验证值的请求。例如,每个验证令牌可被配置成与由许多不同的发行银行或其它这些实体发行的便携式消费者设备配合工作,并且一个或多个确认实体可被配置成处理来自各发行银行或其它这些实体发行的便携式消费者设备的请求。网关可基于令牌在最初通信中基于从便携式消费者设备读取并送至网关的标识信息确定确认实体中供使用的适当一个实体。在一种实现中,网关将令牌重引导至确定的适当确认实体,进一步的通信直接发生在验证令牌和适当的确认实体之间。在另一实现中,验证令牌和适当确认实体之间的通信可通过网关传递(在网关最初已基于与令牌的一个或多个最初通信确定适当的确认实体的身份后)。该后一种实现可包括通过网关在令牌和适当确认实体之间具有最少处理的相对简单通信传递,或可包括其本身虚拟地存在作为至验证令牌的适当确认实体的网关。该虚拟表示可涉及对来自验证令牌的每个消息解密、与适当确认实体通信以制定对令牌消息的响应以及加密和发送响应消息至验证令牌的网关。网关也可代表适当的确认实体执行一个或多个确认试验,尤其是与确认验证令牌关联的那些试验。在这种情形下,网关不需要将其从令牌接收的与网关处理的确认试验相关的那些通信发送至适当的确认实体。网关可关联于支付处理网络或通过支付处理网络工作。本发明的另一示例性实施例涉及一种提供设备验证值的方法。该示例性方法包括:在服务器接收与用户关联的便携式消费者设备的设备验证值的请求,该请求包括与便携式消费者设备相关的标识信息;应用与所接收的请求相关的至少一个确认试验;以及如果至少一个确认试验合格则将设备验证值发送至与用户关联的验证令牌或发送至被配置成将设备验证值转发给令牌的实体。本发明的另一示例性实施例涉及一种确认被呈现给验证令牌的便携式消费者设备的方法。该示例性方法包括:在通信网络上与验证令牌通信,计算机设置在该验证令牌和通信网络之间,该验证令牌借助计算机的外设接口可通信地耦合至计算机并被配置成访问计算机的联网设施。验证令牌被配置成为获得标识信息而读取便携式消费者设备,并使用计算机的联网设施将该标识信息以加密形式发送至确认实体。该方法还包括对从验证令牌接收的标识信息进行解密,并将一个或多个确试验应用至经解密的标识信息。该方法还包括:如果所选择数量的一个或多个确认试验合格,则将设备验证值发送至令牌。又一些实施例可包括将设备验证值发送至支付处理网络。本发明的另一示例性实施例涉及一种确认被呈现给验证令牌的便携式消费者设备的方法。该示例性方法包括:在通信网络上与验证令牌通信,计算机设置在该验证令牌和通信网络之间,该验证令牌借助计算机的外设接口可通信地耦合至计算机并被配置成访问计算机的联网设施。验证令牌被配置成为获得标识信息而读取便携式消费者设备,并使用计算机的联网设施将该标识信息发送至确认实体。验证令牌也被配置成将序列号和由加密密钥加密的消息发送至确认实体,其中序列号和加密密钥被唯一地分配给验证令牌。该方法还包括从验证令牌接收序列号、经加密的消息以及标识信息,并将一个或多个确认试验应用至序列号和经加密的消息。该方法还包括:如果所选择数量的一个或多个确认试验合格,则将设备验证值发送至令牌。又一些实施例可包括将设备验证值发送至支付处理网络。本发明的另一示例性实施例针对一种方法,包括:从便携式消费者设备将标识信息读取到通过外设接口暂时耦合于计算机的验证令牌中;建立验证令牌和计算机之间的通信,该计算机具有联网设施;以及使用计算机的联网设施建立验证令牌和确认实体之间的通信。验证令牌可分离地耦合至计算机。验证令牌和确认实体之间的通信可包括通信会话。为了重申,前述每个实施例中的计算机和确认实体之间的通信可通过设置在计算机和确认实体之间的服务器传递,如前所述。以下参考附图在详细描述中提供有关本发明的各实施例的进一步细节。附图说明图1示出本发明的一些示例性实施例。图2示出可由验证令牌使用的示例性方法实施例。图3示出可由验证令牌的用户使用的示例性方法实施例。图4示出可由确认实体使用的示例性方法实施例。图5示出可由验证令牌使用的计算机可读存储器的示例性实现。图6示出验证令牌和在外设接口中使用USB连接器的计算机。图7示出可由验证令牌发送并由确认实体使用的示例性标识信息。图8-15示出验证令牌的多个示例性实施例。图16示出本发明的附加示例性实施例。具体实施方式本文披露的实施例涉及便携式消费者设备的验证。便携式消费者设备包括:保持与用户向另一实体保持的账户有关的标识信息的设备,该另一实体通常是保持、延长价值项或将价值项贷记给用户(例如货币资金、信用、债务等等)的实体。便携式消费者设备涵盖信用卡、冲值卡、借记卡、银行卡、预付费卡、赊购卡、安全卡以及通过另一实体标识用户保持的账户的其它卡。卡能够以无源形式(例如具有磁条的卡)和有源形式(例如集成电路卡、智能卡)两者存在,并进一步涵盖整体或部分地发挥这些卡的功能的便携式电子设备。这样的便携式电子设备可包括存储卡、账户令牌、钥匙扣、张贴物、蜂窝电话(包括近场通信电话)、钥匙链设备(比如Exxon-Mobil公司市售的SpeedpassTM)、个人数字助理、其他移动电子设备、应答器、智能介质以及寻呼机。由消费者便携式设备保持(或体现在其上)的标识信息包括至少账号,并优选为下面至少一者:便携式消费者设备的磁条的数字指纹,或每当便携式消费者设备被读取其标识信息(如图7所示)时变化的可变数据。磁条载有至少设备的账号。该账号标识至少一个支付处理网络中的消费者账户,并可包括主账号(PAN);它也可包括字母数字字符。磁条的数字指纹是构成磁条的磁微粒的分布表示,并通过专门的读卡器产生,该读卡器当卡擦过时对磁微粒的分布进行采样。可变数据一般包括数字字符,但也可包括字母数字字符。可变数据的值以便携式消费者设备和授权实体两者皆知的方式变化,所述授权实体可以是发行银行或支付处理网络。可变数据涵盖通过智能卡(接触式和无接触式)产生的动态CVV(dCVV)和CVC3卡验证值以及由许多智能卡产生的密码(例如密码17)。数据值可被预存储在设备的计算机可读介质和授权实体的计算机可读介质中,或可使用对设备和实体已知的私密算法或通过使用私密密钥或私密信息的已知算法根据需要通过设备和实体中的每一个产生(例如“在飞行中产生”)。可变数据可包括或可伴随以一计数器值,该计数器值指示便携式消费者设备产生该可变数据的次数;该计数器值可协助授权实体从实体的计算机可读介质检索该可变数据或从算法产生该可变数据。然而,计数器值不是必需的,并且授权实体可从为设备作出的授权请求的历史推导出设备已产生可变数据的次数,或者可使用不需要计数器的算法。标识信息还可包括账户持有者(例如用户)的名称、卡的失效日期、服务码和任意数据。作为示例,标识信息可包括存储在传统信用卡的磁条轨道(例如轨道1、轨道2和/或轨道3)上的常规“支付数据”。便携式消费者设备的标识信息由读取器来读取,该读取器是可从便携式消费者设备读取标识信息并且将该标识信息提供给另一电组件的电组件。读取器可包括下列各项中的一个或多个:磁条读取器(其可包括指纹采样电路)、接触式读卡器、无接触式读取器,其中后者通常被称为RFID读取器(RFID是射频识别的首字母缩写)。用于读取磁条指纹的读取器可包括安全模块,该安全模块包括专有算法,该专有算法从经采样的指纹数据产生数字指纹并使用加密密钥通过一临时造字对数字指纹加密。读取器主要位于商家的销售点位置。接下去描述在销售点位置使用便携式消费者设备的典型信用卡交易流程。用户的便携式消费者设备通过或代表发行银行被提供给用户。发行银行对用户延长信用,代表信用卡交易中的用户,并为用户作出的购买向商家付费。用户将他或她的便携式消费者设备呈现给销售点位置处的商家以对商品或服务付费。商家使用读取器读取用户的便携式消费者设备,并将从设备读取的标识信息连同商家的信息和交易额一起发送至收单银行。商家也可针对印刷的卡验证值读取便携式消费者设备(例如印刷在许多信用卡的背面上的CVV值),并可将其作为交易信息的一部分送至收单银行。收单银行代表并担保信用卡交易中的商家。收单银行将交易信息转发至支付处理网络,例如VisaNetTM,以授权。支付处理网络一般涵盖一个或多个数据处理服务器计算机、子系统、网络和操作的集合,用于支持和传递下面的一个或多个:授权服务、异常文件服务以及清算和结算服务。支付处理网络涵盖银行处理网络、信用卡处理网络等。示例性支付处理网络可包括VisaNetTM。示例性支付处理网络能够处理下面一个或多个:信用卡交易、借记卡交易以及其它类型的商业交易。支付处理网络可使用任何适当的有线或无线网络(包括因特网)以与收单银行和发行银行通信。在信用卡交易发生前,支付处理网络已与每个发行银行建立了关于如何对银行的交易进行授权的协议。在一些情形下,例如当交易额低于一阈值时,支付处理网络将基于其具有的关于用户账户的信息授权交易而不征询发行银行,并且如果该交易被证明是欺诈则付起这个责任。在其它情形下,例如当交易额高于一阈值时,支付处理网络将该交易信息转发至发行银行以供验证和授权。作为授权过程的一部分,支付网络或发行银行可验证由便携式消费者设备提供的数字指纹或变化数据。数字指纹被存储于发行银行,并可通过发行银行安全地提供给支付处理网络以供存储和接下来的使用。用于产生变化数据的算法被存储于发行银行,并可被安全地提供给支付处理网络以供存储和接下来的使用。也作为授权过程的一部分,支付网络或发行银行可验证印刷的卡验证值(例如CVV),该印刷的卡验证值被存储于发行银行,并可通过发行银行安全地提供至支付处理网络以供存储和接下来的使用。支付处理网络牵涉到消费者便携式设备的验证和交易授权的程度一般是根据发行银行的意愿配置的。一旦交易被授权,支付处理网络将授权指示发送至收单银行,收单银行再将该授权指示发送至商家。为了减少欺诈,不允许商家保存数字指纹、可变数据和印刷的卡验证值(CVV)超过24小时。在信用卡产业内,授权指示采用授权码的形式,它从惯例上说是五个或六个字母数字字符。它作为向商家和持卡人提供发行银行或支付处理网络已授权该交易的证据,并且如果发行银行之后对这笔交易发生纠纷(例如在结算过程中),可由商家或持卡人用作授权的证据。授权代码与卡验证值(或下面描述的Dcvv2值)不同,因为它与卡验证值不具有相同的目的,卡验证值的目的是在交易执行时作为将卡呈现给商家的证据,并无法被输入商家POS终端或商家网站(其仅接受3或4个数字)的CVV空栏。当用户希望在网络上与商家作出在线购买时,用户将信用卡账号、持卡人名、过期日以及印刷的卡验证值输入到商家结账页上的相应空栏。在这种情形下,卡的磁性指纹或卡的可变数据不被用于交易中,并且它们对支付处理网络或发行银行不可用以协助验证该卡在交易过程中实际被呈现。因此,这些在线购买具有较高的欺诈风险。例如,商店职员可在销售点位置在交易期间复制下账户信息和印刷的验证值,并之后使用该复制的信息作出在线购买。又如,骇客可在用户计算机上安装间谍软件以截获账户信息和印刷的验证值,并用其在其它在线商家处作出欺诈购买。也存在其它的潜在欺诈渠道。本发明的实施例旨在减轻这些类型的欺诈活动。图1示出在线购买背景下本发明的一些示例性实施例。将给出附图中示出的实施例和组件的一般概述,之后是对这些组件更详细的说明。附图中示出了用户1、用户便携式消费者设备5、用户通信设备7(例如蜂窝电话)、用户计算机10、商家网站20、以及第一通信网络31的图标,该第一通信网络31使得用户计算机和商家的网站能够彼此通信。第一通信网络31可包括因特网、电信网络(例如无线网络、蜂窝电话网络、电话网络、有线网络、或其任何组合)、广域网(WAN)、局域网(LAN)、耦合至上述网络之一的家庭路由器或网关、或者上述各项的任意组合。图1中还示出了商家的收单银行50、便携式消费者设备5的发行银行60、支付处理网络70以及第二通信网络32,所述第二通信网络32使支付处理网络70能够与银行50和60中的每个银行通信。第二通信网络32可包括因特网(并且因此可以与第一通信网络31重合和共享设施),或者可包括一个或多个专用网络、或者一个或多个专用网络与因特网的组合。专用网络可包括电信网络、广域网(WAN)、局域网(LAN)或其任何组合。在一些实例中,第一和第二通信网络31和32可以是相同的(比如将因特网用作主干的网络)。通信网络通常包括一个或多个通信链路和两个或更多个节点的网络,所述节点将消息从网络的一部分传递至另一部分。每个节点包括一件或多件电机,并且每个链路都可包括下列各项中的一个或多个:光纤、光学链路、无线电链路、电线。迄今为止所述的组件大部分是常规的并且是以常规方式安排的。图1示出根据本发明一个实施例的验证令牌40以及根据本发明另一实施例的确认实体80。这些组件以及它们之间相互作用和图1所示其它组件之间的相互作用是新颖的,并且不构成现有技术的一部分。验证令牌40具有:读取器44,用于读取便携式消费者设备5;以及外设接口46,适于可通信地耦合至计算机10的外设接口16。读取器46可包括下列各项中的一个或多个:磁条读取器(其可包括指纹采样电路和安全模块)、接触式读卡器、无接触式读取器,其中后者通常被称为RFID读取器。验证令牌40被配置成借助计算机10的联网设施14与确认实体80通信。在用户1填写商家网站20上的购物车后,用户可提供商家的结账页以提供用户的支付信息并提交购买。在这一点,用户1可将他或她的便携式消费者设备5呈现给验证令牌40的读卡器44以提供设备的标识信息(其一个示例在图7中示出)验证令牌40从用户的便携式消费者设备5读取标识信息,并将标识信息的至少一部分以安全方式(例如以加密形式)发送至确认实体80以对便携式消费者设备5请求设备验证值。为清楚起见并且不丧失一般性,我们可将通过确认实体80提供的设备验证值称为“dCVV2”值,由此将其与前述的由智能卡产生的动态“CVC3”或“dCVV”值区别开,并与商家结账页上找到的CVV空栏区别开。确认实体80将一个或多个确认试验应用于验证令牌40和/或标识信息以获得便携式消费者设备5实际地被呈现给验证令牌40以请求dCVV2值的置信等级。当一个或多个确认试验合格时,优选地没有试验不合格时,则确认实体80将dCVV2值送至验证令牌40。在用户的便携式消费者设备5产生密码(例如密码17)的情形下,读卡器44为用户设备5提供“伪”交易信息,这对令牌40和确认实体80两者都是已知的。伪交易信息可包括静态交易额和静态商家名,这依赖于拟产生的密码的类型。伪交易信息对于每个令牌40都可以是不同的。用户设备5使用交易信息来产生密码。用户设备一般具有一计数器值,一般被称为应用交易计数器(ATC),它被包含在密码计算中并随着每次交易而递增。计数器降低了欺诈者猜测到密码值的几率。在一些情形下,用户设备5可能需要PIN来激活密码的计算。为此,令牌40可在用户计算机10上显示一弹出窗,该弹出窗请求通过用户的PIN输入,并且令牌40可将pin连同密码的请求一起提供给用户设备5。确认实体80可应用的第一确认试验涉及验证该验证令牌40是真实的。为此,验证令牌40可以将其序列号与由加密密钥加密的消息一起发送给确认实体80,其中消息和加密密钥是令牌40和实体80(但不是公众)已知的,并且该加密密钥还被唯一地被分配给令牌的序列号(唯一地被分配给令牌)。确认实体80具有序列号和对应的唯一分配的加密密钥的数据库,并可确认该验证令牌40已发送对该序列号正确的消息。正确消息的确认用于认证验证令牌40。如果第一确认试验不合格,则确认实体80可记录不合格的令牌40的序列号和不合格令牌40由此在数据库(例如下面描述的数据库86)内作出请求的源IP地址。确认实体80可应用的第二确认试验涉及验证该验证令牌40尚未牵涉到欺诈交易中。为此,确认实体80也可具有追踪已被用于欺诈活动的验证令牌的序列号的数据库,并可对照该数据库检查验证令牌40的序列号。第二确认试验可进一步包括对照存储与已使第一确认试验不合格的请求关联的令牌序列号和IP地址的前述数据库检查令牌序列号和/或从中发起输入dCVV2请求的IP地址(消息的源IP地址)。如果在该数据库中发现令牌序列号或IP地址,则第二确认试验被认为不合格。以这种方式检查令牌序列号和/或IP地址防止了欺诈者的重放攻击。可以理解,使第一确认试验不合格的令牌的序列号的数据库可与牵涉到欺诈活动的令牌的序列号的数据库相结合。该结合的数据库以及两个其它数据库可总括地命名为可疑令牌的序列号的数据库。如果第一和第二确认试验合格(例如经加密的序列号与数据库中的值匹配,以及没有通过令牌的欺诈使用和/或可疑的活动),则确认实体80可将dCVV2值送至验证令牌40,或可在发送dCVV2值前应用额外的确认试验。这种额外的确认试验涉及检查便携式消费者设备5的数字指纹或可变数据。确认实体80可具有便携式消费者设备5的数字指纹或产生设备5的可变数据的算法的存储记录,并可通过将所接收的信息中提供的指纹或可变数据与其从设备5的存储记录获得的指纹或可变数据进行比较而确认所接收的标识信息。如果额外的确认试验合格,确认实体80可将dCVV2值送至验证令牌40。该额外的确认试验可作为前述确认试验的附加或代替前述确认试验而执行。由确认实体80提供的dCVV2值包括可变数据(例如多数字数),并可由用户使用以完成购买交易。验证令牌40可向用户显示dCVV2值以使用户能将该dCVV2值输入商家网站的结账页的CVV空栏,或者验证令牌40可直接将dCVV2值输入到商家结账页的CCV空栏中。在dCVV2值已被输入到CVV空栏后,用户可完成购买。dCVV2值的这种形式使其工作在已有的支付处理系统和流程中。商家的网站20然后在其对购买的授权请求中将该dCVV2值用于CVV。授权请求被送至收单银行50,该收单银行50随后将其转发给支付处理网络70以授权。通过独立的通道,确认实体80可将dCVV2值连同账户信息(例如账号)送至支付处理网络70和/或发行银行60,以使商家的授权请求得以处理。这用以通知支付处理网络70和/或发行银行60:便携式消费者设备5的dCVV2值被请求和提供给商家,并期望商家在账户的授权请求中提供dCVV2值。支付处理网络70可将来自商家的进入授权请求(例如由收单银行转发)与其从确认实体80接收的信息(例如通过查阅账号)作比较,并可使进入的授权请求与通过确认实体80发送的确认信息匹配(例如相关联)。如果发现匹配,则支付处理网络70高度确信该消费者便携式设备5在作出购买交易时被用户1占有。相比于对印刷在信用卡背面的CCV值的依赖,这提供更高的确信度。支付处理网络70和发行银行60则可采取其它动作对交易作出授权,例如检查商家20是否具有良好的名望,并检查用户1的账户限额以确保有足够的资金来偿付交易的购买额。在这种情形下,如果这些动作已由确认实体80完成,则支付处理网络70不需要确认便携式消费者设备5的数字指纹和/或可变数据。(然而,支付处理网络70可对商家销售点交易执行这些确认动作)作为当在一个账号下已分配多个设备5(例如在家庭的一个PAN下的多张卡)时有益的又一特征,令牌40采集并提供给确认实体80的标识信息可包括连同账号的设备标识符。该设备标识符唯一地标识在该账号下分配的多个设备中的一个。确认实体80可进一步使用该设备标识符来获得在该账号下分配的不同设备的不同dCVV2值。作为又一特征,确认实体80可将之前已与设备关联的用户的运输地址信息和/或记账信息送至令牌40,并且令牌40可将该信息填入商家结账页上的相应空栏内。现在将更详细地描述图1所示的实施例和组件。用户计算机10可包括台式计算机、膝上型计算机或者具有联网设施和用于与一个或多个外设设备通信的外设接口的任何便携式电子设备。计算机10具有:一个或多个处理器11;耦合到处理器11的存储用于引导处理器11的指令代码(软件)并存储供处理器11使用的数据的有形计算机可读介质12;以及耦合到处理器11的用户接口13。之前描述的联网设施14和外设接口16还耦合到处理器11,其中联网设备14还被耦合到第一通信网络31。用户接口13包括一个或多个视频输出设备(例如显示器、屏幕)以及一个或多个输入设备(例如键盘、鼠标、跟踪球等)以供用户1从计算机10接收信息并且将输入提供给计算机10。计算机可读介质12可包括半导体存储器和非易失性存储的组合,诸如一个或多个盘驱动器和/或非易失性存储器。计算机可读介质12存储计算机10的操作系统,其使得过程和应用能够被处理器11运行。该操作系统向这些过程和应用提供服务,并且使这些过程和应用访问用户接口13的组件、计算机可读介质12的各部分、联网设施14、外设接口16和计算机10的其他组件。该操作系统可以是复杂和全特征的,比如在台式计算机上找到的,或者是简化的,比如在手机、PDA和许多其他类型的便携式电子设备上找到的。计算机10的联网设施14可包括如下的软件和硬件:它们使运行在计算机10上的过程能够与诸如通信网络31之类的通信网络通信以向耦合到该通信网络的一个或多个实体发送和接收消息、数据等等。设施14的硬件可包括与处理器11分离的专用硬件或者对处理器11的共享使用、或者其组合。设施14的软件可包括存储在计算机可读介质12或另一计算机可读介质中的软件、固件、操作系统的各个部分或者前述项中的任意项的组合。联网设施14优选为非独占性资源,从而允许由计算机10运行的其他过程和应用接入通信网络。计算机10的外设接口16包括一个或多个有线和/或无线连接,所述连接允许外设设备(例如与计算机的CPU和存储器分离但可位于计算机机壳内侧或外侧的设备)与计算机通信。传统的有线连接包括通用串行总线(USB)连接器(“USB端口”)、串行端口、并行端口和PCMCIA端口。传统的无线连接包括构建到计算机10内或者耦合到计算机10的外设接口的红外(IR)基站和BluetoothTM基站。除了读取器44和外设接口46(如前所述),验证令牌40还包括:处理器41;耦合到处理器41的有形计算机可读介质42,所述计算机可读介质42保持引导处理器41的操作的数据和代码;安全模块43,所述安全模块43耦合到处理器41并且适于安全地存储一个或多个加密密钥和对令牌40的数据进行加密和解密;读取器44,所述读取器44耦合到处理器41并适于读取便携式消费者设备5;以及外设接口46,所述外设接口46耦合到处理器41并适于借助外设接口16与计算机10通信。处理器41可包括传统的微处理器,并且计算机可读介质42可包括半导体存储器和诸如非易失性存储器之类的非易失性存储的组合。图5示出计算机可读介质42的示例性实现,它包括若干数据元素(下文中更详细地描述)、引导处理器41的操作的处理器代码的存储以及处理器41可用于执行其任务的处理器存储器。回过来参见图1,安全模块43可包括加密和解密电路(其可包括一个或多个处理器),并可包括存储在安全的存储器中的一个或多个加密密钥。安全模块43还可包括防火墙安全电路,该防火墙安全电路保护验证令牌40免受由侵入者通过外设接口16执行的攻击。读取器44可包括常规读取器,如前所述。外设接口46可包括适于与计算机10的外设接口16通信的有线或无线连接。如前面指出的,常规的有线连接包括通用串行总线连接器(“USB端口”)、串行端口、并行端口和PCMCIA端口。常规的无线连接可包括红外和BluetoothTM远程站。当将常规有线连接与外设接口46一起使用时,验证令牌40在诸如USB端口连接器之类的外设接口16处可分离地耦合至计算机10。图6示出具有USB端口连接器(阳型)作为其外设接口46-1的一部分的示例性验证令牌40-1。图6中也示出:计算机10,其外设接口16-1具有USB端口连接器(阴型),USB连接器46-1被插入到其中;计算机的用户接口13(例如屏幕和键盘);用户的便携式消费者设备5(RFID型卡);用户1以及在用户接口13上的dCVV2值的呈现。令牌40可进一步包括视觉指示器,例如发光二极管(LED),它在准备好读取用户设备5时发光,并可进一步包括听觉指示器,例如压电蜂鸣器,它当令牌40结束读取用户设备5时发出声音。视觉和听觉指示器可由读取器44的电路操作。在其它实现中,这些指示器中的一个或多个可通过I/O命令由处理器41运作。尽管图6将验证令牌40的实施例图示为与USB棒类似的某物,但是令牌也可呈现其他形式。例如,它可以是安装在计算机、消费者设备、或其他设备中的硬件块或其他模块。这些形式的例子在该一般说明之后的下文中予以描述。回来参见图1,验证令牌40进一步包括体现在计算机可读介质42上的多种代码(例如图5所示的处理器代码),这些代码引导数据处理器41执行相应的动作。第一代码引导数据处理器41借助于外设接口46与计算机10通信,以便获得对计算机10的联网设施14的访问。第一代码可包括引导数据处理器41以将设备驱动程序发送给计算机10的代码、以及在计算机操作系统中安装所述设备驱动程序的指令,其中所述设备驱动程序是要由计算机10运行的指令的集合,所述指令的集合使计算机10能够识别验证令牌并且与验证令牌40通信,并且使令牌的数据处理器41能够对计算机的操作系统的各个应用程序接口(API)进行函数调用,比如与联网和访问联网设备14相关的函数调用。所谓的“自安装”驱动程序是现有技术中已知的,并且可以在此使用。它们包括对计算机的操作系统的应用编程接口(API)(例如设备管理器的API)的一个或多个函数调用。第一代码可被配置成与诸如Windows或SymbianOS之类的所选择操作系统配合工作,并且可被配置成与若干操作系统配合工作。在后一种情况下,第一代码可包括用于各种操作系统的若干设备驱动程序、以及向计算机10查询其操作系统类型并选择(和安装)对计算机操作系统最合适的驱动程序的指令。设备驱动程序可以存储在计算机可读介质42的一部分中,如图5的示例所示。作为选择,第一代码可进一步包括引导处理器41以产生I/O信号的指令,该I/O信号使前述视觉指示器响应于处理器41获得对计算机10的联网设施14的访问而点亮。回来参见图1,验证令牌40的第二代码引导数据处理器41接收由读取器44从便携式消费者设备5读取的标识信息。第二代码可包括引导数据处理器41接收由读取器44从便携式消费者设备5读取的确认实体80的统一资源标识符(URID)的代码。第二代码可包括引导处理器41通过I/O命令以周期性间隔联系读取器44以确定读取器是否具有任何用于处理器的数据,并当数据被指示为存在时读取该数据的指令。第二代码可进一步引导处理器41通过I/O命令联系读取器44以在处理器41已读取数据后清除该数据,或者读取器44可被配置成在其已经感测到处理器41已读取数据后或在比由处理器41使用的周期性联系间隔更大的时间周期后清除该数据。在另一实现中,读取器44可被配置成当数据存在时对处理器41产生中断信号,并且第二代码可包括引导处理器41通过从读取器44读取数据并清除该中断而对中断信号作出响应的指令。作为选择,第二代码可进一步包括引导处理器41以产生使前述听觉指示器响应于处理器41从读取器44接收数据而发出声音的I/O信号的指令。前述指令可包括引导与读取器44和指示器通信的常规I/O指令。不同的便携式消费者设备5可存储和提供不同的URID至不同的确认实体80。统一资源标识符(URID)可包括统一资源定位器(URL)、因特网协议地址(IP地址)、或者可以标识通信网络上的实体的任何其他类型标识符。如果便携式消费者设备5不向确认实体80提供URID,则验证令牌40可将URID存储至默认的确认实体80。在一些配置中,一些验证令牌40可与相应的发行银行联名,并仅对与相同发行银行联名的便携式消费者设备工作,并且每个发行银行都可以具有其自己的确认实体80,该确认实体80具有其自己的URID。在这样的配置中,这些验证令牌40可将URID存储到其相应的联名确认实体80。作为该配置替代或附加,一些验证令牌40可与相应的支付处理网络70关联,并且每个这样的网络都可以具有其自己的确认实体80。在这样的配置中,这些验证令牌40可将URID存储到其相应关联的确认实体80。因此,验证令牌40的第二代码还可被配置成引导数据处理器41仅使用由令牌40存储的默认URID,或者在便携式消费者设备5不向实体80提供具有URID的令牌40的情况下使用默认URID。作为又一实现,验证令牌40可包括引导处理器41基于在标识信息中提供或嵌入在账号中的银行号来选择存储在令牌40中的多个URID之一的代码。上面的进一步引导和代码可利用常规I/O指令、存储器存取指令和CPU逻辑和控制指令来实现。确认实体的一个或多个URID可被存储在计算机可读存储器42中,如图5示出的例子中所示那样。回来参见图1,验证令牌40的第三代码引导数据处理器41使用计算机10的联网设施14来建立与确认实体80的通信。计算机10的操作系统包括在此被统称为“网络服务模块”的一个或多个软件模块和应用程序,所述网络服务模块可访问联网设施14并建立至通信网络31上的实体的通信会话。这样的网络服务模块包括微软的Windows通信基础(例如NET3.0、NET4.0等等)、Apple的CFNetwork框架、Unix和Linux操作系统内核的联网部分、Symbian操作系统的OS服务层和基础服务层、因特网浏览器等等。这些网络服务模块中的每一个都是非独占性的(例如能够服务于一个以上处理器和一个以上过程/应用),并提供至函数集合的应用编程接口(API),该函数集合可以由处理器使用相应的函数调用来访问。利用这些API设施,可以容易地构造函数调用的集合以供处理器执行,这使处理器能够与耦合到联网设施14的通信网络上的实体建立通信信道、以及与实体交换消息和数据。验证令牌40的第三代码包括对计算机10的网络服务的API这样的函数调用的集合,包括为确认实体80提供统一资源标识符(URID)以及建立与确认实体的会话的指令的一个或多个函数调用。该会话可以是具有相互证实的安全套接字层(或者安全传输层)会话(例如SSL会话)。在一些实现中作为建立会话的一部分,验证令牌40的第三代码可包括:引导数据处理器41向计算机的网络服务模块和确认实体80提供或使其提供令牌的网络地址。该网络地址可以是静态或动态的,其中后者可通过对计算机的网络服务模块的API函数调用来获得。网络地址可以是IP地址。如果令牌40希望将因特网浏览器用于网络服务模块,则其还可包括对计算机的操作系统的API函数调用以发起浏览器的实例并向其提供浏览器实例的访问。在一些实现中,例如当验证实体40存储确认实体80的URID时,第三代码可引导数据处理器41在用户1向读取器44呈现消费者便携式设备5很久之前和在处理器41从读取器44读取设备数据前建立与确认实体80的通信。验证令牌40和确认实体80可以在设备5被呈现给读取器44之前以及在设备5被呈现给读取器44的时间之间通过间歇地交换“心跳”消息来使通信会话保持为活动的。例如,验证令牌40可周期地、非周期地或者随机地向确认实体80发送确认其存在于会话中的消息,并且确认实体80可以发送确认其存在于会话中的回复消息。第三代码可响应于通过处理器41从读取器44接收的数据而被执行,或在从读取器44接收数据之前被执行。在后一情形,第三代码作为选择可包括引导处理器41将I/O命令发送至读取器44以使其在处理器41已与确认实体80建立通信后具有读取能力的指令。验证令牌40的第四代码引导数据处理器41借助于计算机10的联网设施14将标识信息的至少一部分发送给确认实体80,其中标识信息是以经加密的形式发送的。如果SSL会话已被建立,则第四代码可引导数据处理器41使用对网络服务模块的API的合适函数调用来将标识信息传递给计算机的网络服务模块,并且标识信息可在SSL会话中发送,其中所发送和所接收的数据是通过会话密钥加密的。针对附加的安全层,第四代码还可包括引导处理器41在将标识信息提供给联网设施14以前借助安全模块43使用被存储在令牌40中的加密密钥对标识信息进行加密的代码。这些指令可包括常规I/O指令,该I/O指令引导与安全模块43的通信以将标识信息传递给模块43并且接收回经加密的信息。用于此的加密密钥可被存储在计算机可读介质42或安全模块43中。验证令牌40的第五代码引导数据处理器41在发送所述标识信息之后借助计算机10的联网设施14从确认实体80接收设备验证值(例如dCVV2值)。该代码可包括对计算机网络服务模块的API的函数调用以检索在会话中由实体80发送的数据。dCVV2值可通过确认实体80加密,在这种情形下验证令牌的第五代码可进一步引导数据处理器41例如通过使用安全模块43(具有对模块43的输入-输出指令调用)对经加密的值进行解密。第五代码可包括引导数据处理器41向用户1显示所接收的dCVV2值的代码,例如通过与验证令牌40整合的计算机10的用户接口13或小型LCD屏幕等。在前一种情形下,该代码可包括对计算机10的操作系统的图形用户接口的API应用调用,以打开用户接口13上的显示框从而以字母数字和/或图形形式显示dCVV2值。在后一情形下,该代码可包括对小型LCD屏幕等的I/O指令。在另一实现中,验证令牌40可将接收到的dCVV2值插入到商家购买页的CVV空栏中。在这种情形下,第五代码可进一步包括代码以引导数据处理器41定位计算机上的浏览器会话,该浏览器会话具有设备验证值的表格空栏,并用从确认实体接收的设备验证值填写空栏。这可包括对因特网浏览器的API的函数调用以搜索活动网页或所有打开的网页,从而寻找被标注为CVV的输入空栏,并将dCVV2的值输入到CVV空栏中。与前述授权代码不同,其干净形式(例如未被加密和未被编码)下的dCVV2值优选地被配置成可输入到商家网页(例如结账页)的CVV空栏。在一些实现中,商家页面上的CVV空栏可被配置为用户不可见的隐藏空栏。这样做能降低用户执行交易的难度,并降低由于用户困惑、技术困难或对过多信息的明显需求造成交易失败的概率。在这种情形下,第五代码作为选择可包括指令,该指令用于引导数据处理器41定位计算机上的浏览器会话,该浏览器会话具有用于设备验证值的隐藏空栏(例如商家的结账页),并用从确认实体接收的设备验证值填写该空栏。在这种情形下,设备验证值不需要以视觉形式被呈现给用户。隐藏空栏在许多web编程语言下可容易地由商家和令牌40两者皆知的标签标识符或浏览器变量指示。如果处理器41无法定位隐藏的空栏,则第五代码可进一步引导处理器41将接收的设备验证值呈现给用户。这些指令可包括:对因特网浏览的API的函数调用以搜索活动网页或所有打开的网页而寻找隐藏空栏(由标识符或变量名标记),从而将dCVV2值输入到隐藏字段;以及对LCD屏幕或计算机10的I/O指令以视觉地呈现该dCVV2值(如果隐藏的空栏无法被定位的话);或对因特网浏览器的API的函数调用以在临时浏览器窗内视觉地呈现该dCVV2值(如果隐藏的空栏无法被定位的话)。在一些配置中,确认实体80可连同dCVV2值一起提供动态账号(业内经常被称为“dPAN”)。对于这些配置,第五代码可扩容以接收dPAN连同dCVV2值,并将dPAN值显示给用户1或将该值填写入商家购买页的账户空栏,并包括与前述用于处理dCVV2值的那些相似的指令。具体地说,第五代码可进一步包括引导数据处理器41向用户1显示所接收的dPAN值的代码,例如通过与验证令牌40整合的计算机10的用户接口13或小型LCD屏幕等。在前一种情形下,该代码可包括对计算机10的操作系统的图形用户接口的API函数调用,以打开用户接口13上的显示框从而以字母数字和/或图形形式显示dPAN值。在后一情形下,该代码可包括对小型LCD屏幕等的I/O指令。在另一实现中,验证令牌40可将接收到的dPAN值插入到商家购买页的账户空栏中。在这种情形下,第五代码可进一步包括代码以引导数据处理器41定位计算机上的浏览器会话,该浏览器会话具有账号和设备验证值的表格空栏(例如CVV空栏),并用从确认实体接收的dPAN值填充账户空栏并用从确认实体接收的dCVV2值填充设备验证值空栏。这可包括对因特网浏览器的API的函数调用以搜索活动网页或全部打开的网页,从而寻找被标注为“账号”(或“信用卡号”)和CVV的输入空栏,并将dPAN值输入到“账号”空栏并将dCVV2值输入到CVV空栏。在一些配置中,确认实体80可连同dCVV2值地提供与便携式消费者设备5关联的记账地址和/或运输地址(例如用户的住址和/或营业地址)。地址信息可在之前已通过发行银行或由用户通过用户对设备或令牌的在线管理账户与设备5关联。对于这些配置,第五代码可扩容以使用如前所述用于处理dCVV2值的那些相似的指令接收记账地址和/或运输地址连同dCVV2值,并将该地址填写入商家购买页的相应空栏中。具体地说,第五代码可进一步包括代码,该代码引导数据处理器41从确认实体80接收记账和/或运输地址信息(可通过空栏指示器以特定格式提供),以定位计算机上的浏览器会话,该浏览器会话具有记账和/或运输地址(例如街道地址、城市、州、邮政编码、国家)的表格空栏,并用从确认实体接收到的地址信息来填写这些空栏。这些指令可包括对因特网浏览器的API的函数调用以搜索活动网页或所有打开的网页,从而寻找标注有记账地址和/或运输地址的指示符的输入空栏,以及填写这些空栏的函数调用。对计算机10、其支持的模块、设施和其应用的操作系统10的各个应用编程接口(API)的函数调用的使用是软件领域中已知的,并且本领域的普通技术人员能够鉴于本公开在没有过度试验的情况下构建指令和API函数调用来实现上述代码和任务。图2示出可由验证令牌40使用的方法的示例性实施例140。示例性方法140包括多个动作141-145。动作141包括在验证令牌和计算机之间建立通信链路,其中计算机具有联网设施,如前所述那样。动作142包括使用计算机的联网设施和为此的网络服务模块在验证令牌和确认实体之间建立通信会话。动作143包括使用诸如读取器44的读取器从便携式消费者设备5将标识信息读入验证令牌。在一些实现中,动作143可领先于动作141和142中的一者或两者。动作144包括通过通信会话将读取的标识信息从验证令牌发送至确认实体,该标识信息以加密的形式被发送至确认实体。动作144可包括引导通信会话以加密标识信息,和/或使用存储在令牌中的加密密钥加密标识信息。对于这两种加密可使用基于三重DES的算法。动作145包括:在发送标识信息之后,在验证令牌处借助通信会话从确认实体接收设备验证值。动作145也可包括接收dPAN和/或地址信息,如前所述。图3示出用户使用验证令牌40之类的方法的示例性实施例150。示例性方法150包括多个动作151-153。动作151包括使用计算机的外设接口将诸如令牌40的验证令牌耦合至诸如计算机10的计算机。动作152包括将便携式消费者设备5呈现给验证令牌的读取器以获得该设备的设备验证值。如果设备5具有磁条,则动作152可包括使磁条扫过验证令牌的磁条读取器。如果设备5包括无线通信接口,则动作152可包括在验证令牌读取器附近挥动设备5。动作153包括将获得的设备验证值提供给实体,该验证值与用户和该实体之间的交易有关。动作153可包括在实体的网页上输入该设备验证值,或在电话上将该值传达至实体的代表。如前面指出的,确认实体80可使用第一确认试验来确认验证令牌40。为此,验证令牌40可将其序列号与由加密密钥加密的消息一起发送给确认实体80,其中消息和加密密钥是令牌40和实体80(但不是公众)已知的,并且该加密密钥还被唯一地被分配给令牌的序列号。确认实体80具有序列号和对应的唯一分配的加密密钥(或存储的用于产生所述密钥的算法)的数据库,并可确认该验证令牌40已发送用于该序列号正确的消息。为此,验证令牌40可包括:体现在计算机可读介质内的序列号和唯一加密密钥,该唯一加密密钥对验证令牌40是唯一的(见图5,对于一示例性的实现,“序列号”和“经加密消息的数据”),以及引导数据处理器41将被该唯一加密密钥加密的序列号和消息发送给确认实体80的代码。该消息可以被预先存储在计算机可读介质上(例如存储在图5中的“经加密消息的数据”内),或可以从验证令牌40和确认实体80两者皆知的信息中导出,例如从应用于当前日期的算法、令牌40的序列号和/或令牌40与实体80之间的通信会话的会话密钥中导出的消息。如此,由令牌40发送给确认实体80的消息可由确认实体80使用存储在确认实体处的信息来验证。用于上述任务的计算机可读介质可以位于计算机可读介质42和/或安全模块43中。上面的代码可包括对安全模块43的I/O指令以及对计算机网络服务模块的API的函数调用。作为选择,验证令牌40可以不时地将计算机10的一条或多条机器唯一信息发送给确认实体80,所述确认实体80可对照与已知欺诈者相关的计算机信息的数据库来检查该信息。这种机器唯一的信息可包括计算机10的处理器、盘驱动器和操作系统的序列号。验证令牌40可包括引导数据处理器41从计算机10获得一条或多条机器唯一的信息并将机器特有的信息发送至确认实体80的代码。该代码可包括对计算机操作系统的API的用于获得该信息的函数调用、以及对计算机网络服务模块的API的用于将该信息发送给确认实体80的函数调用。作为另一选择,验证令牌40可被配置成提示用户1输入口令以激活令牌40的一个或多个特征。该口令可以被存储在位于安全模块43内的计算机可读介质上或存储在计算机可读介质42中(图5中给出了后者的示例性实现)。该口令可通过令牌40的提供者或销售者在一张文件上提供给用户1。令牌40可通过邮件由发行银行或代表发行银行发送给用户1,或可由用户1在商店购买。令牌40可被配置为要求每当用户希望呈现便携式消费者设备5时和/或每当令牌40被耦合至计算机10时口令被输入。为此,验证令牌40还可包括体现在计算机可读介质42上的代码,该代码引导数据处理器41提示用户在计算机10的键盘上输入口令、读取由用户输入的口令、并对照体现在计算机可读介质上的存储的口令对所输入的口令进行比较。该代码可包括:对计算机10的操作系统的图形用户界面的API函数调用,用以在用户界面13上打开显示框以从用户1请求和接收口令;I/O指令;存储器存取指令;以及CPU逻辑和控制指令。验证令牌40还可包括下列各项中的一个或多个:(1)体现在计算机可读介质42上的代码,该代码引导数据处理器41响应于与存储的口令匹配的输入口令发起和/或允许与计算机10的前述通信;(2)体现在计算机可读介质42上的代码,该代码引导数据处理器41响应于与所存储的口令匹配的输入口令发起和/或允许与确认实体80的前述通信;(3)体现在计算机可读介质42上的代码,该代码引导数据处理器41响应于与存储的口令匹配的输入口令激活读取器44和/或接受来自读取器44的标识信息;以及(4)体现在计算机可读介质42上的代码,该代码引导数据处理器41响应于与存储的口令匹配的输入口令发起和/或允许标识信息至确认实体80的前述传送。这些代码可通过I/O指令、存储器存取指令和CPU逻辑和控制指令来实现。它们单独地或者结合地防止在所输入的口令与存储的口令不同时将标识信息传送给实体80并且由此包括实现在计算机可读介质上的引导数据处理器这样做的代码。本领域的普通技术人员将能够鉴于本公开构造指令和API函数调用以实现上述代码而没有过度的试验。作为进一步的保护,确认令牌40还可包括体现在计算机可读介质42上的代码,该代码引导数据处理器41通过如下方式为该令牌建立用户名:向用户1呈现对话框以接收指定用户名的输入;以及将该用户名存储在计算机可读介质42中(图5所示的例子)。用于处理口令的前述代码还可被扩容以包括:为令牌请求用户名并将接收的用户名与存储的用户名比较以获得匹配;以及纳入匹配作为在发起或允许拟进行的各个动作的前面四个代码中的每一个中都必须满足的条件。这些代码可通过I/O指令、存储器存取指令和CPU逻辑和控制指令来实现。在又一实现中,作为进一步的保护,确认令牌40可进一步包括体现在计算机可读介质42上用于引导数据处理器41在令牌中建立一个或多个运输地址和/或记账地址的代码,令牌40可使用这些地址来填写到商家页的表格填写位置中。每个运输地址和/或记账地址可与便携式消费者设备关联。该代码可引导处理器41借助计算机用户接口13向用户呈现一系列对话框以接收便携式消费者设备5关联于地址信息的地址信息和账号(或其最后四个数字),并将该地址信息存储在计算机可读介质中,例如介质42(如图5中示出的示例所示)。令牌40可进一步包括体现在计算机可读介质42上的代码,该代码引导数据处理器41响应于被送至确认实体(80)的请求访问地址信息(可基于请求中发送的账号在许多存储的地址中选择地址信息),并将地址信息填写到商家结账页的适当位置中,例如当从确认实体80接收回dCVV2值时。代码可被配置成引导处理器41当商家结账页上的信息位置为空白时并当确认实体80尚未提供地址信息时仅填写地址信息,如前所述。填写代码可进一步配置成引导数据处理器41当运输和/或记账信息不被存储在针对设备5的账号的令牌40时且进一步如果商家结账页上的运输信息的位置为空白并且确认实体80尚未提供地址信息(如前所述),则使用存储在便携式消费者设备5上的运输和/或记账信息。填写代码可包括代码,该代码引导数据处理器41定位计算机上的浏览器会话,该浏览器会话具有地址信息和/或设备验证值的表格空栏,并用所选择的地址信息填写地址空栏。这可包括对因特网浏览器的API的函数调用以搜索活动网页或所有打开的网页,从而寻找被标注为名称、地址、城市、邮政编码、国家和CVV的输入空栏,并将选择的地址信息的数据输入到合适的空栏中。前述代码可通过API函数调用、I/O指令、存储器访问指令和CPU逻辑和控制指令来实现。在本文描述的与验证令牌40有关的每个实施例中,令牌40可将与便携式消费者设备5有关的标识信息以多种形式发送至计算机10,这些形式包括:(1)未经改动的形式(“干净形式”);(2)经加密的形式;(3)经散列的形式(例如经编码的);(4)经签名的形式;(5)或者这些形式的任何组合。这些形式可由便携式消费者设备5、验证令牌40、计算机10或其任何组合来生成。另外,验证令牌40和确认实体80可在验证令牌40发送标识信息之前执行相互认证过程。在本文所述的与验证令牌40有关的每个实施例中,令牌40的前述代码和由令牌40从设备5读取的标识信息可与计算机10无关地被存储,并可被保护以免受到在计算机10上运行的程序(包括间谍软件或其他恶意程序)的损害。在这些实现中,标识信息在信息被提供给计算机10之前被验证令牌40置于安全形式(例如经加密、经散列、经签名或其组合)。因此,对该信息的保护不依赖于计算机10的安全性。可以将对称或非对称密钥用于加密和签名。验证令牌40的密钥相对于其他验证令牌可以是唯一的(也就是说,令牌的密钥对于该令牌可以是唯一的)。令牌的密钥——尤其是对称密钥——可基于为验证令牌唯一地分配的序列号,该序列号可被该令牌在初始通信中传达给确认实体80。验证令牌和确认实体两者都可具有关于如何从令牌的序列号中导出密钥(例如通过操纵和/或替换序列号的选定数字)的共享秘密。可使用相应的共享秘密从唯一的序列号中导出多个密钥。因此,用于在验证令牌与确认实体之间的相互认证过程中的提问和回答消息可以使用从验证令牌的序列号中导出的相应密钥被签名。整合的实施例验证令牌40可物理地纳入到用户计算机10或其组件的机壳内,例如纳入到计算机键盘、计算机监视器或计算机鼠标的机壳内。在这些实现中,验证令牌40仍然适于可通信地耦合至计算机10的外设接口16,如前所述。在验证令牌40物理地位于计算机10的实现中,令牌40借助内部外设接口(例如位于计算机10主板上的内部USB中枢)可通信地耦合至计算机10,由此提供内部USB接口连接。图8示出膝上计算机10-1,该膝上计算机10-1具有图6所示计算机10的组件加上设置在计算机10-1的主板上的USB中枢16b,它位于计算机10-1的机壳内。USB中枢16b电耦合至计算机的输入-输出控制器16a,该输入-输出控制器16a则电耦合至计算机的处理器11。处理器11也电耦合至存储器12以及图1所示的其它组件。输入-输出控制器16a和USB中枢16b是计算机外设接口16的部件。令牌40使用沿小型USB线上的每个方向传输的通信数据分组与USB中枢16b通信,图8另外示出验证令牌40的各种位置实现,它们由附图标记40-1至40-4标识。例如,验证令牌40-1可位于计算机10在显示屏位置之后的监视器内,由此用户1可通过将设备5移动至令牌40-1位置处的计算机显示屏而呈现便携式消费者设备5。如虚线所示的小型USB电缆将令牌40-1连接至USB中枢16b的下游端口。在另一实现中,验证令牌40-2可位于计算机键盘的一个选定键或一组选定键之下,由此用户1可通过将设备5移动至令牌40-2位置处的计算机键盘选定键来呈现便携式消费者设备5。如虚线所示的小型USB电缆将令牌40-2连接至USB中枢16b的下游端口。在另一实现中,验证令牌40-3可位于计算机键盘的鼠标触摸垫之下,由此用户1可通过将设备5移动至令牌40-3位置处的计算机鼠标触摸垫区域而呈现便携式消费者设备5。如虚线所示的小型USB电缆将令牌40-3连接至USB中枢16b的下游端口。在另一实现中,验证令牌40-4可位于计算机键盘的空白区(例如没有键或鼠标垫的区域)之下,由此用户1可通过将设备5移动至令牌40-4位置处的计算机键盘而呈现便携式消费者设备5。如虚线所示的小型USB电缆将令牌40-4连接至USB中枢16b的下游端口。这些实现中的每一个提供令牌40和计算机10之间更稳定电连接的优势,并降低了令牌40损坏或丢失的几率。组件11、12、16a、16b和40中的每一个被设置在计算机10-1的机壳内。在图8所示的每种实现中,令牌40可被设置在计算机10-1的组件之一的基板上,或被设置在其本身的基板上或其本身与计算机机壳附连的封装件上。图9示出令牌40-4被设置在计算机键盘的互连基板上的实现,该互连基板可包括导电迹线和电绝缘材料的薄交替层的柔性基板。令牌读取器44的天线(例如拾取线圈)可实现为形成在导电迹线的一个或多个层中的导电材料的一个或多个盘旋环路。令牌40的剩余组件可被整合到半导体管芯封装件中,该半导体管芯封装件被安装在键盘互连基板上,或被整合到在键盘互连基板上倒装安装的半导体管芯上。令牌40可以上述方式整合到屏幕互连板或计算机主板中的一者之上,而不是键盘互连基板。在这种情形下,将令牌40整合到屏幕的互连板或计算机主板上可采取与图9所示和所述的相同形式(也就是说,图9所示的互连基板也可以是计算机主板)。在附加实现中,令牌40可被分配到计算机10内的两个或更多个部件中。例如,令牌的读卡器44或读卡器44的一部分(例如天线/拾取线圈、天线/拾取线圈和放大器的组合等)可被设置在前面提到的位置40-1至40-4,令牌40的其余部分可被设置在USB中枢附近。这些实现示出于图10,其中令牌读卡器44或其一部分的示例性位置分别通过附图标记40-R1至40-R4表示,它们分别对应于前述的位置40-1至40-4。图10中还以附图标记40-M示出令牌40的其余部分的位置,这也被称为主令牌部分40-M。小型USB线(由虚线表示)将主令牌部分40-M连接至USB中枢的下游端口,并且一个或多个线的一组(由虚线表示)将主令牌部分40-M连接至读取器44或其一部分(位置40-R1至40-R4之一)。这些实现具有与图8所示的实现相同的优势。另外,图10所示的实现配置具有使令牌40具有位于计算机10多个不同位置的多个读取器(如果需要)的优势。它还具有使读取器部分40-R位于低电噪声区域内同时使主令牌部分位于计算机主板的安全区域内的优势。图11示出令牌40-R4被设置在计算机键盘的互连基板上的实现,该互连基板可包括导电迹线和电绝缘材料的薄交替层的柔性基板。令牌读取器44的天线(例如拾取线圈)可实现为形成在导电迹线的一个或多个层中的导电材料的一个或多个盘旋环路。读取器44的剩余组件可被整合到半导体管芯封装件中,该半导体管芯封装件被安装在键盘互连基板上,或被整合到芯片倒装在键盘互连基板上的半导体管芯上。读取器部分40-R4可以上述方式整合到屏幕互连板或计算机主板中的一者之上,而不是键盘互连基板。在这种情形下,将令牌40-R4整合到屏幕的互连板或计算机主板上可采取与图11所示和所述的相同形式(也就是说,图11所示的互连基板也可以是计算机主板)。在上述每种实现中,USB中枢16b可由无线蓝牙中枢(例如收发机)或其它通信中枢(例如收发机)取代,而验证令牌40可包括蓝牙收发机(即无线收发机),它使用通信分组与蓝牙中枢通信(例如发送和接收)。在附加实现中,令牌40可被设置在电耦合至计算机10的组件中,例如电耦合至计算机10的“台式计算机”实现的键盘、监视器和鼠标。图12示出令牌40被设置在键盘组件中的实现。键盘组件具有:设置在组件机壳外的USB连接器;设置在组件机壳内的USB中枢160;将USB连接器电连接至USB中枢160的上游端口的USB电缆。令牌40电耦合至USB中枢160的下游端口之一,而键盘控制器电耦合至中枢160的下游端口中的另一个。USB中枢160是业内公知的组件,它多路复用一方面耦合至USB连接器的计算机与另一方面令牌40和键盘控制器之间的USB通信分组。令牌40可位于图9所示的令牌40-2至40-4的任何位置,例如在位置40-2L中的一个选定键或一组选定键之下,在位置40-3L中的鼠标触摸垫之下,或在位置40-4L中的键盘的空白区之下。另外,令牌40可被分割成两个部分40-M和40-R,如前面结合图10示出和描述的那样。图13示出令牌40被设置在独立计算机监视器中的实现。监视器具有:设置在监视器机壳外的USB连接器;设置在监视器机壳内的USB中枢160;将USB连接器电连接至USB中枢160的上游端口的USB电缆。令牌40电耦合至USB中枢160的下游端口之一,而监视器控制器电耦合至中枢160的下游端口中的另一个。USB中枢160多路复用一方面耦合至USB连接器的计算机与另一方面令牌40和监视器控制器之间的USB通信分组。令牌40可位于监视器外设或监视器屏幕区域的任何位置。另外,令牌40可被分割成两个部分40-M和40-R,如前面结合图10描述的那样。独立计算机监视器具有位于可见屏幕区之后的一个或多个互连基板,并且令牌40可按图9和图11分别所示的任一方式整合到这些互连基板的一个上。图14示出令牌40被设置在独立计算机鼠标中的实现。鼠标具有:设置在鼠标机壳外的USB连接器;设置在鼠标机壳内的USB中枢160;将USB连接器电连接至USB中枢160的上游端口的USB电缆。令牌40电耦合至USB中枢160的下游端口之一,而鼠标控制器电耦合至中枢160的下游端口中的另一个。USB中枢160多路复用一方面耦合至USB连接器的计算机与另一方面令牌40和鼠标控制器之间的USB通信分组。令牌40可位于监视器外设或监视器屏幕区域的任何位置。另外,令牌40可被分割成两个部分40-M和40-R,如前面结合图10描述的那样。这种实现示出于图15。小型USB线(由虚线表示)将主令牌部分40-M连接至USB中枢160的下游端口以及一个或多个线的一组(由虚线表示),这些线将主令牌部分40-M连接至读取器44-R。在上述每种实现中,USB中枢16b可由无线蓝牙中枢或其它通信中枢取代,而验证令牌40可包括蓝牙收发机(即无线收发机),它使用通信分组与蓝牙中枢通信(例如发送和接收)。在另一实现中,验证令牌40可使用其蓝牙接口直接与设置在计算机10(例如计算机10的台式实现)内的蓝牙收发机通信。在这种实现中,USB中枢160可由蓝牙收发机取代作为组件的控制器。通过在计算机10或计算机外设设备中纳入令牌40形成的组合不同于诸如电子售票和贩卖机、商品购买亭、以及销售点(POS)信用卡终端之类的专用机。相反,计算机10——其内部和本身——是多功能计算机,其操作是由用户引导的。相反,前面提到的专用机通过显示在屏幕上的提示的预定图案引导用户的输入而引导用户的动作。如前面指出的,计算机10包括带用户接口的多任务操作系统,其中操作系统使用户选择性地选择和同时执行两个或更多个不同的应用程序,并且用户接口使用户通过键盘和鼠标设备选择性地将输入提供给两个或更多个同时运行的应用程序并引导程序执行的流程。作为与许多传统专用机进一步的区别,令牌40被整合在计算机10的机壳或计算机外设内,其中所述计算机10或计算机外设具有与令牌40的功能不同或分立的主要功能。作为与许多外设读卡器的区别,包括其读卡器和天线的令牌40可被设置在计算机10的机壳内或计算机外设设备的机壳内,并且不可与所述机壳分离。它可附连至机壳、设置在机壳内的主板或互连基板或设置在机壳内的机架,或可按使其相对于机壳的位置是固定和不可分离的方式设置。另外,令牌40可设置成位于计算机机壳或外设设备机壳的难贯穿表面的后面。作为与许多所谓电子钱包的区别,令牌40的所选实施例不永久地存储它们从便携式消费者设备读取的标识信息。典型地,信息不被存储超过10分钟,并一般在10分钟或24小时内被擦除,或在下次令牌读取便携式消费者设备时被擦除。在任一情形下,该动作都与电子钱包不相容,电子钱包往往长时间地存储信用卡数据(几个月)以使钱包能实地地取代用户信用卡的地位。已经描述了验证令牌40的各个实施例和实现,现在描述确认实体的各个实施例和实现。确认实体80包括具有一个或多个服务器的系统,所述服务器耦合到通信网络,所述通信网络可以从验证令牌40接收请求以处理(例如用于确认)该令牌从便携式消费者设备5读取的标识信息,并在标识信息通过了一个或多个确认试验的情况下将设备验证值(dCVV2)提供给令牌和支付处理网络70。实体80的服务器之一示出于图1;该服务器包括一个或多个处理器81,所述处理器电耦合到有形的计算机可读介质82、用户接口83、一个或多个数据库86、以及联网设施84中的每一个,其中联网设施84耦合到第一和第二通信网络31和32。用户接口83包括一个或多个视频输出设备(例如显示器、屏幕)和一个或多个输入设备(例如键盘、鼠标、跟踪球等等),所述设备使实体80的管理员能够从该服务器接收信息并且将输入提供给该服务器。计算机可读介质82可包括半导体存储器和诸如一个或多个盘驱动器和/或非易失性存储器之类的非易失性存储的组合。计算机可读介质82存储服务器的操作系统,该操作系统使得过程和应用被处理器81运行,并使得用于引导处理器81的操作的代码被运行。该操作系统向这些过程和应用提供服务,并且使这些过程和应用能够访问用户接口83的组件、计算机可读介质82的各部分、联网设施84、以及实体80的其他组件。该操作系统可以是全特征的。具体地说,该操作系统提供一个或多个I/O通信模块,所述I/O通信模块使处理器81能够与用户接口83和数据库86通信。每个I/O通信模块都具有应用编程接口(API),所述应用编程接口(API)具有处理器81为访问诸组件可调用的函数的集合。实体80的操作系统还包括一个或多个网络服务模块,所述网络服务模块能访问联网设施84并建立至通信网络31和32上的实体、以及与SMS中继服务器35的通信会话。这样的网络服务模块包括微软的Windows通信基础(例如NET3.0、NET4.0等等)、Apple的CFNetwork框架、Unix和Linux操作系统内核的联网区段、以及Symbian操作系统的OS服务层和基础服务层等等。这些网络服务模块中的每一个都可以是非独占性的(例如能够服务于一个以上的处理器和一个以上的过程/应用),并且每个都提供应用编程接口(API),该应用编程接口具有可被处理器81调用以管理与另一实体的通信的函数集合。利用这些API设施,可以容易地构造API函数调用的集合以供处理器执行,所述函数调用使处理器能够与耦合到联网设施84的通信网络上的实体建立通信信道并与该实体交换消息和数据。上面的操作系统、模块和API全都包括引导处理器81的操作的指令。一个或多个数据库86可被配置成数据库服务器,其中处理器81可经由联网设施84在如图1中虚线所示的专用通信网络87上访问所述数据库服务器。确认实体80传统地具有用于跟踪各个应用的时间和日期的时钟88。时钟88可以是能够被处理器81通过I/O操作读取的秒或其分数简单计数器,或者可包括硬件或固件的更复杂布置,其中所述硬件或固件可提供可由处理器81通过一个或多个I/O操作的执行读取的多种寄存器中的当前日期和时间(年、月、日、小时、分钟和秒)的各个组件。确认实体80可处理从多个不同验证令牌40(例如几百万个令牌)传送的标识信息,并可处理任何数目的由特定令牌40进行的传送。确认实体80将一个或多个确认试验应用于验证令牌40和/或标识信息以获得便携式消费者设备5实际被呈现给验证令牌40以请求dCVV2值的置信等级。当一个或多个确认试验及格时,优选地当没有一个试验不合格时,确认实体80将dCVV2值连同标识中出现的账号一起发送至验证令牌40,并可选择地发送至支付处理网络70。针对这些任务,确认实体80可包括体现在计算机可读介质82上的代码,所述代码引导数据处理器81在通信网络31上使用联网设施84与计算机10和验证令牌40通信。该代码可包括:建立与计算机10的通信会话的指令,其包括基于三重DES算法来建立具有相互证实和加密的SSL会话的选项;以及用于通过通信会话将消息发送给验证令牌40和接收消息的指令。确认实体80还可包括体现在计算机可读介质82上的引导数据处理器81接收由验证令牌40发送的经加密标识信息的代码、以及引导数据处理器81对经加密的标识信息进行解密的代码。该标识信息可由SSL会话的会话密钥或者由存储在验证令牌40中并为确认实体80所知的加密密钥来加密,或可由两种密钥双重地加密。后一密钥可被唯一地分配给令牌。确认实体80可进一步包括体现在计算机可读介质82上的代码,该代码引导数据处理器81如前所述地应用一个或多个确认试验,并如果选定数量的确认试验合格则将dCVV2值发送至令牌40和可选择地将dCVV2值与账号一起送至支付处理网络70。数据处理器81可在执行所述一个或多个确认试验时访问数据库86。因此,下面更详细地描述确认试验和代码。这些代码和下面描述的用于确认实体80的代码可以任何数量的编程语言来实现。此外,鉴于本公开,在没有过度试验的情况下,本领域的普通技术人员能够容易地构造指令来实现这些代码。如前所述,确认实体80可应用的第一确认试验涉及验证该验证令牌40是真实的。为此,验证令牌40可将其序列号连同由加密密钥加密的试验消息一起发送给确认实体80,其中试验消息和加密密钥(或相应的解密密钥)是令牌40和实体80(但不是公众)已知的,并且该加密密钥还被唯一地被分配给令牌的序列号。确认实体80可访问令牌序列号数据库、以及数据库86之一中的相应唯一赋予的加密密钥(或相应的解密密钥),并可确定验证令牌40是否已经发送了针对令牌所提供的序列号的正确试验消息。该试验消息可以是固定或可变的,在后一种情况下,其可以基于令牌40和实体80两者都知道的信息来生成。该试验消息可通过三重DES算法来加密和解密,该算法可通过使用单对称加密密钥的多种公知计算机指令集来实现。试验消息也可在验证令牌40通过非对称加密密钥集的第一密钥加密,并在确认实体80通过非对称加密密钥集的第二密钥(解密密钥)解密,这可通过许多公知的计算机指令集来实现。为了确认由令牌40发送的经加密试验消息,实体80可使用其具有的密钥来对试验消息进行解密,并可将经解密的试验消息与一组可接受的消息进行比较以供匹配。实体80也可以相反方式通过将一组可接受消息加密并将由令牌40发送的经加密试验消息与其一组经加密的可接受消息比较而确认经加密的试验消息。如果发送的试验消息是正确的,则第一确认试验可被视为已合格,否则第一确认试验被认为不合格。为了执行前述确认试验,确认实体80可包括:体现在计算机可读介质82上的代码,该代码引导数据处理器81经由联网设施84从验证令牌40接收一个或多个消息,该联网设施84具有令牌的序列号和经加密的试验消息;引导数据处理器81从数据库86之一获得已被分配给所接收的令牌序列号的密钥以及可作为正确的试验消息接收的一个或多个可接受消息的代码;以及引导数据处理器使用经加密的试验消息、所获得的密钥和所获得的一个或多个可接受消息确认来自令牌的经加密试验消息的代码。后一确认代码可包括:引导数据处理器81使用获得的密钥对经加密的试验消息进行解密的代码;引导数据处理器81将经解密的试验消息与一个或多个可接受消息比较以确定第一确认试验是已合格(在经解密的试验消息和可接受消息之间具有匹配的情形下)还是不合格(在没有这种匹配的情形下)的代码。另外或作为另一方法,前面的确认代码可包括:引导数据处理器81用令牌40的加密密钥(根据令牌的序列号在数据库中找到)对获得的可接受消息进行加密的代码,以将来自令牌40的经加密试验消息与一个或多个经加密的可接受消息比较以确定第一确认试验是已合格(在经加密的试验消息和经加密的可接受消息之间具有匹配的情形下)还是不合格(在没有这种匹配的情形下)。可接受的消息可通过如下方式获得:直接从数据库86之一访问该消息;或从存储在一个或多个数据库86中的信息来生成该消息。作为选择,如果第一确认试验不合格,则确认实体80可记录不合格的令牌40的序列号和不合格令牌40由此在数据库86之一中作出请求的源IP地址。为此,确认实体80可进一步包括代码,该代码引导数据处理器81从请求消息获得源IP地址并将该源IP地址和令牌的序列号作为一个记录或两个独立的记录存储在数据库86之一中,该数据库86可被称为不合格确认数据库86。该信息可作为下文描述的第二确认试验的一部分被访问。上面的代码可以利用常规的I/O指令、对数据库的API函数调用、存储器存取指令、CPU算术和逻辑指令、以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。作为第二确认试验,确认实体80可具有数据库86中的数据库,该数据库跟踪已在欺诈活动中使用的验证令牌(例如可疑令牌)的序列号,并且确认实体80可对照该数据库来检查验证令牌40的序列号。如果该数据库的检查指示验证令牌40尚未牵涉到欺诈活动或不可疑,则第二确认试验可以被认为是已合格。为了协助跟踪欺诈活动回到验证令牌,确认实体80可将令牌40的序列号连同其发送至支付处理网络70的dCVV2值和账号一起发送。如果网络70之后发现通过由令牌40提供的账号处理的交易是欺诈的,它可将那种效果的消息发送至确认实体80,而实体80则将令牌的序列号输入用于欺诈活动的令牌的数据库。为了实现第二确认试验,确认实体80可包括:体现在计算机可读介质82上的引导数据处理器81经由联网设施84从验证令牌40接收消息的代码,该消息具有该令牌的序列号;引导数据处理器81将所接收的序列号与存储在数据库86中的存储用在欺诈交易中的可疑令牌的序列号的数据库中的序列号进行比较的代码,以确定第二确认试验是已经合格(没有欺诈活动)还是不合格(欺诈活动)。该代码可进一步包括引导处理器81从令牌40获得消息的源IP地址并将该源IP地址和令牌40的序列号与不合格的确认数据库86中的IP地址和序列号进行比较以供匹配的指令。如果发现匹配,则第二确认试验可被认为已不合格。以这种方式检查令牌序列号和IP地址防止了欺诈者的重放攻击。上面的代码可以利用常规的I/O指令、对数据库的API函数调用、存储器存取指令、CPU逻辑指令、以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。作为第三确认试验,确认实体80可向验证令牌40发送消息,该消息请求令牌40向其发送关于计算机10的一条或多条计算机专门的信息、比如下列各项中的一个或多个的序列号:计算机的处理器、计算机的盘驱动器中的一个或多个、计算机的操作系统。确认实体80可接收该信息并对照存储已知牵涉到欺诈活动的可疑计算机的计算机专门信息的数据库对信息进行检查。如果该数据库的检查指示验证令牌40所使用的计算机10尚未牵涉到欺诈活动,则第三确认试验可被认为已合格。为了协助跟踪欺诈活动回到计算机10,确认实体80可将令牌40的序列号和计算机专门信息连同其发送至支付处理网络70的dCVV2值和账号一起发送。如果网络70之后发现通过由令牌40提供的账号处理的交易是欺诈的,它可将那种效果的消息发送至确认实体80,而实体80则将令牌的序列号输入欺诈活动中使用的可疑令牌的数据库,并将计算机专门信息输入到已知牵涉到欺诈活动中的可疑计算机的数据库中。为了实现第三确认试验,确认实体80可包括:体现在计算机可读介质82上的引导数据处理器81向验证令牌40发送请求计算机专门的信息的消息(如果验证令牌40还未在没有提示的情况下预先发送这样的信息)的代码;引导数据处理器81通过联网设施从验证令牌40接收一个或多个数据消息的代码,所述数据消息具有该令牌的序列号和该计算机专门信息;以及引导数据处理器81让所接收的计算机专门信息与存储在(数据库86的)存储用在欺诈性交易中的可疑计算机的计算机专门信息的数据库中的计算机特有信息相比较的代码,以确定第三确认测试是已经合格(没有欺诈活动)还是不合格(欺诈活动)。上面的代码可以利用常规的I/O指令、对数据库的API函数调用、存储器存取指令、CPU逻辑指令、以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。通过执行前面三种确认试验中的一种或多种,确认实体80可获得由令牌40发送的标识信息是有效的某种置信度,并在一些实现中向令牌40和支付处理网络70提供dCCV2。在这种情形下,验证令牌40不需要在标识信息中发送便携式消费者设备5的数字指纹或可变数据,并且不需要从设备5获得这些数据。为了增加置信度,确认实体80可执行第四确认试验,第四确认试验将标识信息中接收的数字指纹(如果有的话)与实体80已针对由标识信息规定的账号具有的有效数字指纹的存储副本进行比较。如果该数字指纹与可接受程度匹配(例如两个指纹的相似程度或相互关联程度高于选定的相似性级别),则确认实体80可将第四确认试验视为合格的。两个指纹之间的相似程度可通过将相关函数施加至两个指纹而被评价。这种相关函数是业内公知的。在从令牌接收便携式消费者设备5的标识信息之前,设备的发行银行可向确认实体80提供设备的有效数字磁性指纹,实体80可将该有效数字磁性指纹存储在数据库86的其中一个内。当确认实体80针对特定便携式消费者设备5从验证令牌40接收标识信息时,它访问数据库86以寻找其有效数字指纹的记录,并将接收的指纹与该有效数字指纹比较以评价相似程度,并确定第四确认试验已合格(例如两个指纹之间的相似程度高于一选定级别)或不合格(两个指纹之间的相似程度低于该选定级别)。为了实现第四确认试验,确认实体80可包括:体现在计算机可读介质82上以引导数据处理器81从数据库86之一获得针对该账户存储的有效数字指纹的代码;以及引导数据处理器81以将接收的数字指纹与存储的有效数字指纹进行相似性比较以确定第四试验合格(充分相似)还是不合格(不充分相似)的代码。后一代码可包括引导数据处理器81通过将一个或多个相关函数应用于指纹而产生代表两指纹之间的相似性的值并将该值与选定级别比较的代码。这些相关函数——也称概率模型——是信用卡界公知的。前述代码可通过传统I/O指令、对数据库的API函数调用、存储器存取指令、CPU算法指令、CPU逻辑指令以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。为另行增加置信度至高于由前述第一第三确认试验所提供的置信度,确认实体80可执行第五确认试验,该第五确认试验将作为标识信息的一部分接收的可变数据(例如CVC3、dCVV、密码)(如果有的话)与确认实体80已针对作为标识信息的一部分提供的账号具有的可变数据的一组一个或多个可接受值进行比较。如果值匹配,则确认实体80可将第五确认试验视为合格的。存在许多方式将可变数据配置成随时间改变。作为一些示例,可变数据可被配置成使其值随着便携式消费者设备5的每次使用而变化,并且设备5可在数据中或随数据一起提供计数器值。确认实体80或支付处理网络可使用该计数器值来确定可变数据对于给定计数器值应当具有什么值。这种确定可基于作为计数器值(和/或其它可能的变量)函数的算法来完成,或基于其表目关联于计数器值的查找表(该表可循环地重复)来完成。该算法可包括一个或多个随机数发生器,每个随机数发生器接收一开始“种子”值,该值可被选择以为特定便携式消费者设备5定制算法。查找表的值可基于算法的输出。可变数据也可基于时间、日期或其它对验证令牌40和实体80两者已知的信息,它可使用或者不使用计数器值。产生可变数据值的附加方法记载在2003年8月18日提交的题为“MethodandSystemforGeneratingaDynamicVerificationValue(生成动态验证值的方法和系统)”的美国专利申请No.10/642,878以及2008年1月29日提交的题为“On-LinePaymentTransactions(在线支付交易)”的美国专利申请No.11/764,376中。这两个申请均出于所有目的通过全篇地援引包含于此。在一些实现中,设备5和实体80在产生其相应的数据值时使用的开始信息中存在略微差异,例如其时钟的时间差异,并且实体80可基于开始信息中可能的略微差异产生一组可接受的数据值,并可将从设备5接收的数据值与组中的每个成员比较以确定是否存在匹配。密码——其通常比CVC3值或dCVV值具有更多的字符——可以前述相似方式通过算法产生,除了一段交易信息经常作为输入被包含在算法内。如下文中描述的,如果令牌40从启用密码的设备5寻找密码,则令牌40向设备5提供令牌40和确认实体80两者均已知(但不为公众所知)的伪交易信息。当由实体80从令牌40接收的可变数据包括密码时(这可从设备5的可变数据或账号的字符长度推断出),确认实体80可基于令牌40的序列号寻找数据库86之一中的伪交易信息。确认实体80可基于设备的账号确定设备5的发行银行60的身份,或从发行银行60请求卡的应用交易计数器(ATC)的当前值。实体80随后可基于伪交易信息、ATC和算法中使用的其它信息产生密码,并将产生的密码与从令牌40接收的密码进行比较。如果密码匹配,则确认实体80可将第五确认试验视为合格的。在一些实现中,设备5和实体80用来产生其相应密码的ATC值可能存在略微不同,并且实体80可基于ATC值中的小增量差产生一组可接受的密码,并可将从设备5接收的密码与组的每个成员比较以确定是否存在匹配。如果无法发现匹配,则第五确认试验被认为已不合格。作为另一方法,确认实体80可向发行银行60提交对密码值连同伪交易信息副本的请求。确认实体80则可将从发行银行接收回的密码与从令牌40接收的密码进行比较以确定是否存在匹配。作为又一方法,确认实体80可通过银行确定密码是否有效的请求将从令牌40接收的伪交易信息和密码提交至发行银行60,并将其决定发送至确认实体80。如果银行发送从令牌40接收的密码是有效的指示,则确认实体80确定第五确认试验合格,否则就不合格。在从令牌接收到便携式消费者设备5的标识信息之前,设备的发行银行可向确认实体80提供查找表、算法(包括任何种子值)或设备用来产生设备的可变数据(例如CVC3、dCVV或密码)的其它数据元素,实体80可将它们存储在其数据库86之一内。当确认实体80针对特定便携式消费者设备5从验证令牌40接收标识信息时,确认实体80访问其查找表、算法或其它针对特定设备5的数据元素的记录以确定其针对设备的可变数据的值或一组值,并将针对可变数据(例如CVC3、dCVV或密码)的接收值与其针对可变数据的值或一组可接受值进行比较以确定第五确认试验是已合格(例如发现值的匹配)还是不合格(例如未发现匹配)。为了执行第五确认试验,确认实体80可包括:体现在计算机可读介质82上以引导数据处理器81访问一个或多个存储的数据元素,用以从数据库86之一获得针对账户的可变数据的代码;引导数据处理器81从一个或多个存储的数据元素获得针对可变数据的一个或多个可接受值的代码;以及引导数据处理器81将所接受的可变数据和一个或多个可接受值进行匹配比较从而确定第五试验合格(发现匹配)或不合格(未发现匹配)的代码。引导数据处理器81获得一个或多个可接受值的代码可基于上述查找表方法或任何基于前述算法的方法。代码可包括引导数据处理器81确定所接收的可变数据是否包括密码并且如果这样则基于令牌的序列号从数据库86获得伪交易信息的指令。根据处理密码的实现,代码可进一步包括指令以引导数据处理器81确定发行银行的身份并从该银行获得设备5的ATC值,并使用伪交易信息、ATC值和算法中使用的其它输入产生密码的一个或多个可接受值。另外,代码可进一步包括指令以引导数据处理器81将账户信息和伪交易信息连同针对一个或多个可接受密码值的请求发送至所标识的发行银行。另外,不是引导处理器81获得一个或多个可接受密码值并将该从令牌40接收的密码与可接受密码值进行比较,代码可包括指令,用于引导数据处理器81获得如前所述的伪交易信息以标识如前所述的发行银行,将账户信息、伪交易信息和从令牌40接收的密码连同银行送回密码是否有效的指示的请求发送至所标识的银行,并基于由发行银行送回的指示使第五确认试验合格或不合格。上面的代码可以利用常规的I/O指令、对数据库的API函数调用、存储器存取指令、CPU算术指令、CPU逻辑指令以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。确认实体80可被配置成执行前述确认试验中的一个或多个,并被配置成如果试验中的一个或多个合格则将dCCV2值送至验证令牌和支付处理网络70。确认实体80可包括体现在计算机可读介质82上以引导数据处理器81执行选定的确认试验中的一个或多个并跟踪合格/不合格结果的代码以及如果选定数量的试验已合格则引导数据处理器81产生和发送dCVV2值的代码。由于dCVV2值被送至商家(通过验证令牌40转发)和支付处理网络70(可转发至发行银行)两者,则确认实体80可使用任何方法来产生dCVV2值并且不需要使用由便携式消费者设备5使用的方法来产生可变数据(例如CVC3或dCVV)。确认实体80可使用伪随机数发生器或查找表或时序计数器(例如当在不同的账户上从该计数器分配值时)来产生dCVV2值。dCVV2发生过程可在每次交易的基础上(全动态)完成,或针对一组交易(半动态)完成,后者针对一特定设备5或一组设备5。如果在同一账号下分配两个或更多个设备5,则由令牌40发送的标识信息可包括设备标识符以及账号,并且确认实体80可使用设备标识符在多个设备之间作出区别并为处于共同账号下的设备产生不同的dCVV2值。确认实体80在选定的时间段(例如三天)可针对特定设备5使用特定dCVV2值,并随后在下一选定的时间段针对该特定设备选择另一dCVV2值,依此类推。此外,确认实体80可提前于选定时间段从设备5的发行银行接收dCVV2值以在选定时间段内使用,和存储它们以供将来使用,如通过实体80的时钟确定的那样。这允许确认实体80省去将dCVV2值发送至支付处理网络70的动作。由确认实体80提供的设备验证值可具有与通过已有的智能信用卡输出的CVC3和动态CVV(dCVV)相同的格式(例如3或4个数字的字串)。作为另一方法,确认实体80可将消息发送至便携式消费者设备5的发行银行60以请求一个值作为dCVV2值提供;该请求可包括账号和任何设备标识符。上面的代码和动作可以利用常规的I/O指令、存储器存取指令、CPU算术指令、CPU逻辑指令以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。如前所述,确认实体80可向令牌40发送用户的运输地址信息和/或记账地址信息,这些信息之前已与设备5关联。这种关联可被存储在确认实体80的数据库86中或存储在设备5的发行银行60。确认实体80可进一步包括代码,该代码用于引导数据处理器81或者从数据库86或者从发行银行60获得所接收标识信息中的由账号指示的消费者账户的地址信息,并如前所述如果选定数量的验证试验已合格则将地址信息连同设备验证值一起发送至令牌40。上面的代码和动作可通过常规的I/O指令、数据库函数调用、网络功能调用、存储器存取指令、CPU算术指令、CPU逻辑指令和CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。如前面指出的,确认实体80可被配置成将动态账号(dPAN)连同dCVV2值一起发送至验证令牌40和支付处理网络70。确认实体80可联系设备5的发行银行60以获得该dPAN,或可从由银行60之前发送至实体80或由实体80或网络70创建的dPAN列表中读取它,或可从之前由银行60提供给实体80的算法生成dPAN。确认实体80可包括体现在计算机可读介质82上的代码,该代码引导数据处理器81执行这些动作,如发行银行期望的那样。当支付处理网络接收到dCCV2值、dPAN值和设备5的账号时,它可将所有三种数据提交至发行银行60,以使发行银行可将dPAN关联于设备5的账号。上面的代码和动作可以利用常规的I/O指令、存储器存取指令、CPU算术指令、CPU逻辑指令以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。当下列事件中的一个或多个发生时,确认实体80可进一步包括代码,用以引导处理器81将提醒文本消息发送给用户1的个人通信设备7或将提醒电子邮件消息发送至用户1的电子邮件账户:(1)当验证令牌40与实体80发起通信时,(2)当验证令牌40读取用户1的便携式消费者设备5时,(3)当确认实体80从便携式消费者设备5或与用户1关联的验证令牌40接收标识信息时,(4)当确认实体80确认所述标识信息时,(5)当确认实体80将dCVV2值发送至验证令牌40时,以及(6)当确认实体80拒绝dCVV2值的请求时。由实体80发送的提醒可包括关于触发提醒的事件的信息,例如被牵涉到的一部分账号。提醒文本消息可连同用户通信设备7的电话号码或网络地址一起从联网设施84被送至SMS中继服务器35,该SMS中继服务器35被耦合至通信网络31、32中的一个。SMS中继服务器具有对一个或多个移动通信网络的接口,并可将文本消息转发至由处理器81提供的电话号码或网络地址。确认实体80可包括中继服务器。可从联网设施84直接将电子邮件提醒发送至用户的电子邮件账户。为此,联网设施84可包括传统邮件代理,这是业内公知的。确认实体80可包括用户1可访问的网站,该网站使用户能够:(1)创建与令牌的序列号关联的受口令保护的管理账户,令牌的序列号可在最初与令牌一起送出的一纸文件上提供;(2)关联电子邮件地址以用于前述提醒中的一个或多个,(3)关联用户通信设备5的移动电话号码和/或URID(例如网络地址),以用于前述提醒中的一个或多个,(4)选择前述提醒状态中的一个或多个。网站也可使用户提供并将用户设备5中的一个或多个的账号关联于受口令保护的账户,并进一步根据其账号使用户将提醒的电子邮件和移动电话号码关联于特定设备。网站也可使用户将运输地址和/或记账地址关联于一个或多个特定设备账号,确认实体80可针对由这种特定设备账号作出的每个dCCV2请求将其提供给令牌40。该关联可包括用户可针对特定设备账号选择的选项,该选项引导实体80针对该特定设备账号从发行银行60获得地址信息。网站也可使用户能够将运输地址和/或记账地址关联于令牌本身,确认实体80可针对每个dCCV2请求将其提供给令牌40,其中运输地址和/或记账地址尚未关联于dCCV2请求中包含的设备账号。可以分配数据库86之一以保持用户的前述受口令保护的账户。当确认实体80从验证令牌40接收到确认请求时,实体80中的代码可引导处理器81查询该数据库86以寻找用户受口令保护的账户(例如从标识信息中的令牌序列号和/或账号识别用户),以基于存储在受口令保护的账户中的参数确定什么文本消息提醒和电子邮件被产生和发送,从而识别向其发消息的个人通信设备的移动电话号码或统一资源标识符(例如网络地址)和/或识别被发送消息的邮件地址,并将确定的消息发送至识别出的目的地。与特定dCCV2请求相关的一个或多个提醒可被一起组合到给用户的单个文本消息或电子邮件中。实体80也可具有代码,用以引导数据处理器81通过查找用户已针对dCCV2请求消息中指出的设备账号提供的设定从账户记录确定是否有任何运输地址信息或记账地址信息与dCVV2履行消息一起被发送,并根据所找到的设定将该地址信息发送至令牌40。上面的代码和动作可以利用HTML页代码、XML页代码等(例如网页)、常规的I/O指令、存储器存取指令、数据库API函数调用、CPU算术指令、CPU逻辑指令、以及CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。在确认实体80将dPAN送至验证令牌的情形下,它可将电子邮件提醒和/或文本提醒发送至用户,这为用户提供已与dPAN关联的交易号。该交易号可使用户更容易地退回在交易中购买的商品。交易号不同于dPAN和账号,但使通过dPAN执行的交易能回溯到商家和发行银行。为此,实体80可包括代码以引导数据处理器81基于从令牌40接收的标识信息获得的账号访问用户管理账户以获得与该账号关联的个人通信设备的移动电话号码或统一资源标识符(例如网络地址)、或者与账号关联的该交易号要被送往的电子邮件地址。实体80可进一步包括代码以引导数据处理器81将交易号连同dPAN、日期、时间和dCVV2值发送至个人通信设备的获得的电话号码或统一资源标识符或获得的电子邮件地址。该代码也引导数据处理器81将该信息连同账号发送至支付处理网络70和/或发行银行60,以实现关联目的。该代码也引导数据处理器81将交易号送至令牌40,并且令牌40可具有引导其处理器41将该信息输入到商家结账页的可见或隐藏空栏的代码。为此,令牌40的代码可以与用于输入dCVV2值的代码相同的方式实现。上面的代码和动作可通过数据库函数调用、常规的I/O指令、存储器存取指令、数据库API函数调用、CPU算术指令、CPU逻辑指令和CPU控制指令来实现。鉴于本公开,所述代码可以由本领域的普通技术人员在没有过度试验的情况下实现。图4示出可由确认实体80使用的方法的示例性实施例180。示例性方法180包括多个动作181-186。动作181包括使用确认实体80的联网设施在确认实体80和验证令牌40之间建立一通信链路。动作182包括接收与设备5相关的经加密标识信息和/或由验证令牌40发送的令牌信息(例如序列号和经加密的消息)。动作183包括对经加密的信息(例如经加密的标识信息和/或来自令牌的经加密的消息)进行解密。动作184包括将至少一个确认试验应用于经解密的信息。动作185包括如果选定数量的确认试验合格则将设备验证值发送至验证令牌40并可选择地发送至支付处理网络70。在一些实现中,也可发送dPAN,如前所述。在一些实现中,也可发送运输地址信息和/或记账地址信息,如前所述。动作186包括从标识信息识别用户,并将文本和/或电子邮件提醒根据用户受口令保护的账户中规定的那样发送给用户。描述了进一步的实施例和实现。能够理解,验证令牌40的一些实现可以被配置为与诸如由选定银行发行的设备之类的选定消费者支付设备5一起工作,或者被配置为与选定商家网站20一起工作。在另一些实施方式中,验证令牌40可包含确认实体80的URID,所述确认实体80处理针对若干不同的联名便携式消费者设备5的确认请求。另外,这些联名设备5中的每一个都可以保持联名商家的URID。商家URID由验证令牌40来读取,并且与设备的标识信息一起被提供给确认实体。确认实体80可将经确认的标识信息发送给商家URID。本发明各实施例不限于涉及交易的认证系统。相同的方案可以应用于其他认证系统。例如,实施例可以用于认证使用在线银行应用的用户。持卡人可以将他的用户ID输入到银行网站中。然后,持卡人可以将他或她的便携式消费者设备呈现给验证令牌。银行网站可以通过与确认实体通信来确认该用户ID和令牌凭证。本发明的实施例不限于上述实施例。例如,尽管示出了用于发行方、支付处理系统以及收单方的不同功能块,但一些实体可执行所有这些功能,且可被包括在本发明的实施例中。在本文描述的每个实施例中,计算机10和确认实体80之间的通信可由设置在计算机10和确认实体80之间的网关(例如代理服务器、服务器实体等)促成和/或通过该网关传递。该网关表示在图16中的90处。网关90可充当在一侧的多个验证令牌40-A、40-B……及其相关计算机10-A、10-B……和在另一侧的多个确认实体80-A、80-B……之间的中介。令牌40-A、40-B……可与图1所示的令牌40相同地被构造和配置,并可与相应的计算机10-A、10-B……、相应的用户1-A、1-B……和相应的便携式消费者设备5-A、5-B……相互作用。计算机10-A、10B可与图1所示的计算机10相同,并可被耦合至第一通信网络31,如前所述。第一通信网络31、第二通信网络32、商家网站20、收单银行50、发行银行60和支付处理网络70如前所述地彼此耦合。第一和第二通信网络31、32也被耦合至多个确认实体80-A、80-B、80-C……,其每一个可与图1所示的确认实体80相同地构造和配置。在对图16所示的实施例和实现的下面讨论中,没有后缀-A、-B或-C的附图标记一般指带后缀项中的每一个(例如实体80指80-A、80-B、80-C中的每一个)。网关90可(经由与令牌通信的计算机10-A、10-B……中的一个)从验证令牌40-A、40-B……之一接收一个或多个最初通信,并从最初通信中的信息确定多个确认实体80-A、80-B、80-C……中适当的一个,用以履行令牌对dCVV2值的请求。例如,每个验证令牌40-A、40-B……可被配置成与由许多不同的发行银行60或其它这些实体发行的便携式消费者设备5配合工作,并且一个或多个确认实体80可被配置成处理来自各发行银行60或其它这些实体发行的便携式消费者设备5的请求。网关90可基于令牌在最初通信中从便携式消费者设备读取并送至网关的标识信息确定确认实体80-A、80-B、80-C……中适当的一个实体。例如,标识信息中的账号的一部分可包括被赋予发布便携式消费者设备5的银行60的唯一标识符,标识信息从该便携式消费者设备5读取。在一种实现中,在网关90已针对令牌请求确定一适当的确认实体后,网关可重引导令牌以执行与所确定的适当确认实体进一步的通信,或可引导所确定的确认实体联系令牌以执行进一步的通信。在另一实现中,验证令牌和所确定的适当确认实体之间的所有通信可通过网关90传递(在网关一开始已基于与令牌的一个或多个最初通信确定适当的确认实体的身份之后)。后一种实现可包括通过网关90在令牌和适当确认实体之间具有最少处理的相对简单通信传递,或可包括其本身虚拟地存在作为至验证令牌的适当确认实体的网关。该虚拟表示可涉及对来自验证令牌的每个消息进行解密、与适当确认实体通信以制定对令牌消息的响应以及加密和发送响应消息至验证令牌的网关90。在前述每种实现中和在其它实现中,网关90也可代表适当的确认实体执行一个或多个确认测验,尤其是与确认验证令牌相关的那些测验。在这种情形下,网关不需要将其从令牌接收的与网关处理的确认测验相关的那些通信发送至所确定的适当确认实体。网关90可关联于支付处理网络70或其所有者,或通过它们工作。可以理解,在这些实现的每一个中,网关90充当可将设备验证值(dCVV2值)提供给令牌40的实体,就像确认实体80当通过令牌40直接联系实体80时可将设备验证值提供给令牌40那样。参见图16,网关90包括一系统,该系统具有耦合至通信网络的一个或多个服务器,该系统可从验证令牌40接收请求以如前所述地处理。网关90的服务器之一示出于图16;该服务器包括一个或多个处理器91,这些处理器91电耦合至有形的计算机可读介质92、用户接口93、一个或多个数据库96、以及联网设施94中的每一个,其中联网设施94耦合至第一和第二通信网络31和32。用户接口93包括一个或多个视频输出设备(例如显示器、屏幕)以及一个或多个输入设备(例如键盘、鼠标、跟踪球等),所述设备使网关90的管理员能够从服务器接收信息并将输入提供给服务器。计算机可读介质92可包括半导体存储器和诸如一个或多个盘驱动器和/或非易失性存储器之类的非易失性存储的组合。计算机可读介质92存储服务器的操作系统,该操作系统使得过程和应用被处理器91运行,并使得用于引导处理器91的操作的代码被运行。该操作系统向这些过程和应用提供服务,并且使这些过程和应用能够访问用户接口93的组件、计算机可读介质92的各部分、联网设施94、以及实体90的其他组件。该操作系统可以是全特征的。具体地说,该操作系统提供一个或多个I/O通信模块,所述I/O通信模块使处理器91能够与用户接口93和数据库96通信。每个I/O通信模块都具有应用编程接口(API),所述应用编程接口(API)具有处理器91为访问诸组件可调用的函数的集合。实体90的操作系统还包括一个或多个网络服务模块,所述网络服务模块能访问联网设施94并建立至通信网络31和32上的实体、以及与SMS中继服务器35的通信会话。这样的网络服务模块包括微软的Windows通信基础(例如NET3.0、NET4.0等等)、Apple的CFNetwork框架、Unix和Linux操作系统内核的联网区段、以及Symbian操作系统的OS服务层和基础服务层等等。这些网络服务模块中的每一个都可以是非独占性的(例如能够服务于一个以上的处理器和一个以上的过程/应用),并且每个都提供应用编程接口(API),该应用编程接口具有可被处理器91调用以管理与另一实体的通信的函数集合。利用这些API设施,可容易地构造API函数调用的集合以供处理器执行,所述函数调用使处理器能够与耦合到联网设施94的通信网络上的实体建立通信信道并与该实体交换消息和数据。上面的操作系统、模块和API全都包括引导处理器91的操作的指令。一个或多个数据库96可被配置成数据库服务器,处理器91可经由联网设施94在如图16中虚线所示的专用通信网络97上访问数据库服务器。网关90传统地具有用于跟踪各个应用的时间和日期的时钟98。时钟98可以是能够被处理器91通过I/O操作读取的秒或其分数的简单计数器,或者可包括硬件或固件的更复杂布置,其中所述硬件或固件可提供能由处理器91通过一个或多个I/O操作的执行读取的多种寄存器中的当前日期和时间(年、月、日、小时、分钟和秒)的各个组件。网关90可包括体现在计算机可读介质92上的代码,所述代码引导数据处理器91在通信网络31上使用联网设施94与计算机10和关联的验证令牌40通信。该代码可包括:建立与计算机10的通信会话的指令,其包括基于三重DES算法来建立具有相互验证和加密的SSL会话的选项;以及用于通过通信会话将消息发送给验证令牌40和从中接收消息的指令。网关90还可包括体现在计算机可读介质92上的引导数据处理器91接收由验证令牌40发送的经加密标识信息的代码、以及引导数据处理器91对经加密的标识信息进行解密的代码。该标识信息可由SSL会话的会话密钥或者由存储在验证令牌40中并为网关90所知的加密密钥来加密,或可由两个密钥双重地加密。后一密钥可被唯一地分配给令牌,如前所述。网关90可进一步包括体现在计算机可读介质92上的代码,该代码引导数据处理器91从所接收的标识信息和/或令牌的身份(例如令牌的序列号)确定确认实体80-A、80-B、80-C……中的适当一个,以用于对来自验证令牌40的请求的进一步处理。为此,数据处理器91可访问数据库96中的一个以寻找使标识信息(或其一部分)关联于确认实体80的关联列表和/或寻找使令牌标识符关联于确认实体80的关联列表,并随后将从令牌40接收到的信息与关联列表比较以确定确认实体80中的适当一个。网关90可进一步包括体现在计算机可读介质上的代码,该代码如前所述地引导数据处理器91应用一个或多个确认测验并且如果选定数量的确认测验合格则继续处理来自令牌40的请求。下面在网关90的多种可能实现中描述继续处理的多种方式。前述用于网关90的代码和下文描述的用于网关90的代码可以任何数量的编程语言来实现。此外,鉴于本公开,在没有过度试验的情况下,本领域的普通技术人员能够容易地构造指令来实现这些代码。在一种实现中,网关90可进一步包括体现在计算机可读介质92上的代码,该代码引导数据处理器91将通信发送给令牌40(借助其相关的计算机10),该通信通知令牌联系确定的适当确认实体80以获得dCVV2值。该通信可包括针对确定的适当确认实体的URID。令牌40随后可如前所述地与确定的适当实体80通信,并且不需要对实体80作任何改变。在网关90的这种实现中,代码可进一步引导数据处理器91将通信发送给确定的适当确认实体80,该通信通知来自令牌40的请求(连同由令牌40发出的标识信息的指示)的实体,并通知实体该令牌40将联系它以获得针对标识信息的dCVV2值(通过令牌40送至网关90)。该通过网关90的通信可起到附加安全措施的作用,它向适当的确认实体80确保接下来通过令牌40的联系是合法的。在另一实现中,网关90可进一步包括体现在计算机可读介质92上的代码,该代码引导数据处理器91将具有与从验证令牌40接收的标识信息的指示和对确认实体的请求的通信发送至确定的适当确认实体80,以产生针对标识信息的dCVV2值并将该dCVV2值发送至验证令牌40(借助其关联的计算机10)。这种通信可包括针对验证令牌40的URID。前面描述的确认实体80的代码可被扩容以引导实体处理器81从网关90接收前述通信,并发起与请求令牌40的通信。确认实体80的代码不需要引导实体处理器81从请求令牌(已通过网关90被提供给实体)接收标识信息;然而,作为附加的安全措施,请求令牌40可将标识信息提供给实体80,而实体可包括从令牌接收标识信息的代码。在网关90的这种实现中,网关90的代码可进一步引导数据处理器90将通信发送至验证令牌40(经由关联的计算机10),由此通知令牌所确定的适当确认实体80将与之通信以潜在地发送dCVV2值。在网关90的又一实现中,网关可进一步包括体现在计算机可读介质92上的代码,该代码引导数据处理器91:(1)将来自请求令牌40的最初通信和/或由请求令牌40送出的标识信息的指示送至确定的适当确认实体80以获得dCVV2值;(2)从适当确认实体80接收回dCVV2值;以及(3)将该dCV2值送至验证令牌40。网关90的这种实现允许验证实体80省去用于与由请求验证令牌40使用的计算机建立通信的代码(这项任务可由网关90处理)。实体80引导与令牌40通信的前述这些代码可被修正以引导与网关90通信。网关90的这种实现使来自许多令牌40的请求被编组在一起以供实体80更高效率地处理。另外,由于网关90实质上作为确认实体将自身呈现给验证令牌40,因此网关90可起到因特网防火墙的作用并保护确认实体80-A、80-B……不受恶意的因特网攻击。在又一实现中,网关90处理与令牌40的最初通信以确定适当的确认实体80,并随后将通信信道移交给确定的确认实体80以完成履行令牌的请求。请求令牌40和确定的实体80之间的所有通信可通过网关90传递。如果网关90之前已与请求令牌40建立SSL会话,则网关90可将会话密钥和协议送至确定的实体80,以使实体可接管会话(例如接管用会话密钥和协议对至令牌的通信进行加密)。对于这种实现,网关90可进一步包括体现在计算机可读介质92上的代码,该代码引导数据处理器91:(1)将通信发送至确定的适当确认实体80,该通信具有处理与请求令牌(通过网关90路由)进一步通信的指示和可选的会话信息(它可包括SSL会话密钥和协议);(2)将网关90从请求令牌40接收的进一步通信转发至确定的实体80;以及(3)将网关90从确定的实体80接收的信息转发给请求令牌40。为此,网关90可在存储器或其数据库96的一个中保持一表格,该表格跟踪当前经过网关90的信道,表格中的每个记录具有请求令牌的身份、确定的确认实体以及会话信息。为了执行上面的第二动作,代码可引导处理器91访问信道表格以为请求令牌40定位确定的实体80,并随后将通信分组从请求令牌转发至位于表格中的实体。网关90可封装这些转发的通信分组以保留它们的报头信息,并为了所确定实体80的利益可包括请求令牌40的身份的指示。为了利于前述第三动作,确定的确认实体80可将其针对请求令牌的通信分组40以封装形式发送至网关90,可选择地与标识封装中的请求令牌的标识符一起发送。网关90可包括引导其数据处理器91从封装的分组中提取令牌标识符和拟被送至请求令牌40的分组。如果提取的分组已具有针对耦合至请求令牌40的计算机10的目的地地址,则封装的分组不需要包括请求令牌的身份。如果提取的分组不包括目的地地址,则网关90的代码可引导数据处理器91从提取的令牌标识符和前述信道信息表格确定目的地地址,并在发送至计算机10之前将所确定的目的地地址插入到所提取的分组中。这个动作可提供额外的安全层。另外,由于网关90实质上作为确认实体将自身呈现给验证令牌40,因此网关90可起到因特网防火墙的作用并保护确认实体80-A、80-B……不受恶意的因特网攻击。网关90的前述实现允许确认实体80省去与请求验证令牌40使用的计算机10建立通信的代码(这项任务由网关90处理),并包括引导处理器81从网关90接收处理与请求令牌40(通过网关90路由的)进一步通信的指示和选择地接收供进一步通信的会话信息(它可包括SSL会话密钥和协议)的代码。实体80引导与令牌40通信的前述这些代码可被修正以引导通过网关90的通信。为此,确认实体80可进一步包括体现在计算机可读介质82上的代码,该代码引导数据处理器81在存储器或其数据库86之一中创建和维持一表格,该表格跟踪已从网关90移交的信道;表格中的每个记录可具有请求令牌的身份、网关90的标识信息以及会话信息。实体80的通信代码可被修正以从网关90接收经封装的通信分组,以从这些分组中提取来自令牌40的通信分组,并查询上述表格以寻找令牌40的身份和会话信息,如果它们无法从所提取的通信分组的源地址或经密封分组中由网关90送出的任何令牌身份确定的话。实体80的通信代码也可被修正以将令牌40的通信分组封装在分组中以便可选择地连同标识封装中的请求令牌的标识符一起被送至网关90,并将经封装的通信分组送至网关90。从前面的描述中可以理解,确认实体80和网关90是与计算机10分离的实体,并且是与验证令牌40分离的实体。可以理解,在其若干实施例和实现中,计算机10、确认实体80和网关90被解说为通信网络31上的单独网络节点(例如在通信分组中具有不同的网络地址),并且令牌40通过计算机10的网络节点与实体80和/或网关90通信(例如计算机10构造和解码对于令牌40的网络通信分组)。也可理解,在令牌40的若干实施例和实现中,令牌40可无条件地将读取的标识信息发送至确认实体80和/或网关90而无需令牌和用户之间的确认,例如可通过PIN的输入或生物统计样本(例如指纹)的提供来提供;并且令牌40可将读取的标识信息在相对短的时间量内发送(例如在读取的1分钟内,一般在10秒内)。可以理解,本发明的实施例允许用户获得便携式消费者设备5(例如信用卡)的动态设备验证值,用户可将该验证值提供给商家站点作为支付数据以完成购买交易。动态设备验证值降低了可能欺诈地获得便携式消费者设备的账号的第三方(例如通过撇取)欺诈的可能性。另外,便携式消费者设备与验证令牌40的交互允许令牌有效地通知确认实体80便携式消费者设备5在作出对设备验证值的请求时物理地在令牌的面前,由此为通过便携式消费者设备作出的在线购买提供“卡呈现”状态。本发明的实施例也可利用以高度安全的方式将设备验证值提供给用户,由此提高安全性并降低信用卡的欺诈使用。此外,本发明的实施例为用户提供这些具有非常高的“易于使用”因素的服务和便利。应当理解,如上所述的本发明的各个实施例可采用以模块化或集成方式使用计算机软件的控制逻辑的形式实现。基于本文中所提供的公开和教义,本领域普通技术人员将知道并理解使用硬件以及硬件和软件的组合来实现本发明的贯彻实施例的其它方式和/或方法。本申请中所描述的任何软件组件或功能均可使用任何合适的计算机语言来实现为由处理器执行的软件代码,此类合适的计算机语言例如为使用例如传统或面向对象技术的C、C++、C#、Java、C++或Perl之类。软件代码可作为一系列指令或命令被存储在诸如随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬驱动器或软盘)、或者光学介质(诸如CD-ROM)之类的计算机可读介质上。任何这种计算机可读介质可驻留在单个计算装置上或其内部,并且可存在于系统或网络内的不同计算装置上或其内部。以上描述是解说性的而非限制性的。基于对本公开的查看,本发明的许多变化及其实施例对本领域技术人员将变得显而易见。因此,本发明的范围不应参照以上描述来确定,而是应当参照所附权利要求及其全部范围或等效方案来确定。来自任何实施例的一个或更多个特征可与任何其他实施例的一个或更多个特征结合而不会脱离本发明的范围。对“一”、“一个”或“该”的引用旨在表示“一个或多个”,除非有具体地相反指示。以上提及的所有专利、专利申请、出版物、以及描述通用地通过引用整体纳入于此。没有任何内容被承认为是现有技术。当前第1页1 2 3