用于安全消息收发的密钥对基础架构的制作方法

本申请是2016年12月14日提交的第15/379,227号美国专利申请的国际申请，该申请的全部内容以引用方式并入本文以用于所有目的。

背景技术：

按照惯例，从不受信任的客户端通过不受信任的网络发送的消息可以很容易地被中间人窃听。这些消息可能包含敏感信息，这些信息可能会被恶意方拦截而受到损坏。恶意方可以使用敏感信息来获得对资源的未授权访问。例如，密码可能被恶意方拦截，并用于访问个人信息。

通常，通过不受信任的网络发送消息，原因是这些网络已经完善且易于使用。例如，用户可以通过电子邮件、社交网络或其他流行渠道发送个人信息。此类用户可能并没有意识到，许多基于网络的通信对窃听和拦截都提供很少的保护。由于使用安全方法有困难，一些确实认识到与基于网络的通信相关联的风险的用户仍然选择使用这种不安全的通信。换言之，一些用户认为使用更安全的方法所需的成本、努力和/或技术专业知识超过了确定信息不受损坏的好处。

因此，在通过网络传输期间未经授权访问消息会产生重大担忧。已尝试通过各种安全传输技术解决这些担忧。例如，安全套接层(SSL)是一种安全技术，可在Web服务器和浏览器之间建立加密链路，确保在网络服务器和浏览器之间传递的数据保持私有。另一示例中，超文本传输协议安全(HTTPS)是通过网络在由SSL加密的连接内的安全通信的协议。HTTPS通过使用SSL提供网站及其关联的Web服务器的认证，以及网络服务器和浏览器之间的双向加密通信。

但是，这些技术都不会针对恶意中间人提供足够的保护。传统的浏览器系统可以明确地信任多个证书机构，这些机构可被合法中间人(例如，内容交付网络、无数据预防系统、加速器等)和恶意中间人(例如，假冒WiFi热点、DNS中毒系统等)利用。按照惯例这些中间人无需检测就可以访问SSL连接内的有效载荷。因此，恶意中间人可能会获得显然安全的消息。此外，合法中间人本身可能会成为恶意攻击的目标，然后再次损坏显然安全的原始消息。

技术实现要素：

因此，需要新的增强的加密消息的系统和方法，以减少底层的可能敏感数据损坏的可能性。需要易于由所有各方使用和部署的加密系统和方法，并且对最终用户而言是相对透明的，不会注入大量延迟。本发明的实施例可个别地和共同地解决这些和其它问题。

本发明的实施例涉及密钥对基础架构，以用于在不受信任的装置上安全地加密消息。因为密钥不与其他方共享，所以只有消息接收者能够解密消息。

本发明的一个实施例涉及一种方法，其包括通过第一网络从访问装置接收对公钥的请求。所述访问装置响应于与客户端装置的交互发送所述请求。所述方法还包括生成所述公钥、对应于所述公钥的私钥以及与所述私钥相关联的密钥标识符。所述公钥和所述私钥是限制使用密钥。所述方法还包括将所述公钥和所述密钥标识符传输到所述访问装置。所述访问装置将所述公钥和所述密钥标识符传输到所述客户端装置。所述方法还包括通过第二网络从所述客户端装置接收消息和所述密钥标识符。所述消息是使用所述公钥加密的。所述方法还包括检索与所述密钥标识符相关联的私钥，并使用所述私钥解密所述消息。

本发明的另一实施例涉及一种验证服务器，其包括处理器和耦合到所述处理器的存储器。所述存储器存储指令，所述指令在由所述处理器执行时使所述验证服务器执行操作，所述操作包括上述方法的步骤。

本发明的一个实施例涉及一种方法，所述方法包括从客户端装置接收发送消息的请求。所述方法还包括响应于所述交互，从验证服务器请求公钥。所述验证服务器生成所述公钥、对应于所述公钥的私钥和与所述私钥相关联的密钥标识符。所述公钥和所述私钥是限制使用密钥。所述方法还包括从所述验证服务器接收所述公钥和密钥标识符。所述方法还包括将所述公钥和所述密钥标识符传输到所述客户端装置。所述客户端装置使用所述公钥加密消息，并将所述消息和所述密钥标识符传输到所述验证服务器。所述验证服务器使用所述密钥标识符检索所述私钥，并使用所述私钥解密所述消息。

本发明的另一实施例涉及一种访问装置，其包括处理器和耦合到所述处理器的存储器。所述存储器存储指令，所述指令在由所述处理器执行时使所述访问装置执行操作，所述操作包括上述方法的步骤。

下文进一步详细描述本发明的这些和其它实施例。

附图说明

图1示出了根据本发明的实施例描绘用于通过网络发送消息和接收消息的系统的框图。

图2示出了根据本发明的实施例描绘用于第三方消息收发的系统的框图。

图3示出了根据本发明的实施例描绘使用共享秘密的安全消息收发的系统的框图。

图4示出了根据本发明的实施例描绘使用和重复使用密钥对基础架构的安全消息收发的系统的框图。

图5示出了根据本发明的实施例描绘使用密钥对基础架构的安全消息收发的方法的流程图。

图6示出了根据本发明的实施例描绘从验证服务器的观点使用密钥对基础架构的安全消息收发的方法的流程图。

图7示出了根据本发明的实施例描绘从访问装置的观点使用密钥对基础架构的安全消息收发的方法的流程图。

图8示出了根据本发明的实施例描绘使用密钥对基础架构的安全消息收发的验证服务器的框图。

图9示出了根据本发明的实施例描绘交易处理系统的框图，其中可使用密钥对基础架构的安全消息收发。

图10示出了根据本发明的实施例描绘使用密钥对基础架构在交易处理系统中进行安全消息收发的方法的流程图。

术语

在论述本发明的特定实施例之前，可详细地描述一些术语。

“访问装置”可以是用于与服务器计算机通信并用于与客户端装置交互的任何合适的装置。访问装置一般可以位于任何适当位置，例如，位于资源提供商的位置，并且可以提供对资源的访问。访问装置可以呈任何合适的形式。访问装置的一些示例包括POS装置、蜂窝电话、PDA、个人计算机(PC)、平板PC、手持式专用读取器、机顶盒、电子现金出纳机(ECR)、自动柜员机(ATM)、虚拟现金出纳机(VCR)、营业亭、安全系统、访问系统(例如，小键盘、终端等)以及网站等。访问装置可使用任何适当的接触或非接触操作模式，以向客户端装置发送或从其接收数据或者与客户端装置相关联。在访问装置可包括POS终端的一些实施例中，可以使用任何合适的POS终端，并且任何合适的POS终端可包含读取器、处理器和计算机可读介质。读取器可包含任何合适的接触式或非接触式操作模式。例如，示例性读卡器可以包括与客户端装置交互的射频(RF)天线、光学扫描器、条形码读取器或磁条读取器。

“客户端装置”可以是包括可通过消息收发与另一装置通信的一个或多个电子组件(例如，集成芯片)的任何装置。例如，客户端装置可以是包括耦合到存储器的至少一个处理器的计算装置，所述存储器存储由处理器执行的指令或代码。客户端装置可以提供与网络的远程通信能力。客户端装置可以被配置成将数据或通信传输到其他装置和从其他装置接收数据或通信。客户端装置可以采用计算机、移动装置的形式，诸如，移动电话(例如，智能电话、蜂窝电话等)、平板电脑、便携式媒体播放器、个人数字助理装置(PDA)、可穿戴计算装置(例如，手表)、健康监测装置、电子阅读器装置(例如，读卡机装置)、物联网(IoT)装置等或者采用卡(例如，智能卡)或钥匙链的形式等。客户端装置的实例还可以包括便携式计算装置(例如，膝上型电脑、上网本、超级本等)。客户端装置还可以采用车辆(例如，汽车)的形式，或者可以整合为车辆的一部分(例如，车辆的信息系统)。

“密钥”可以指代用在密码算法中以将输入数据变换成另一表示的一条信息。密码算法可以是将原始数据变换成替代表示的加密算法，或将加密信息变换回原始数据的解密算法。密码算法的实例可包含三重数据加密标准(TDES)、数据加密标准(DES)、高级加密标准(AES)等。

“密钥标识符”可以指用于唯一识别至少一个密钥的字母、数字和/或符号的任何组合。密钥标识符可以随机地分配、连续地或根据任何模式或算法分配。在一些实施例中，密钥标识符源自密钥。

“限制使用密钥”可以指使用受到限制的密钥。当满足基础条件时，可超出或耗尽限制使用密钥。例如，限制使用密钥可以包括指示密钥为有效的时间量的存活时间，且一旦该时间量已经逝去，便超出或耗尽限制使用密钥，且该密钥可变成无效而且不可再被使用。作为另一实例，限制使用密钥可以包括密钥可被使用的次数，且一旦密钥已经用了所述次数，便超出或耗尽限制使用密钥，且该密钥可变成无效而且不可再被使用。

“消息”可包括从一方或一个实体到另一方或另一实例的任何通信。通信可包括例如以任何适合形式的信息或数据。此外，消息可通过任何适合方法例如通过网络传输。

“网络”可以是任何类型的网络，包含私用网络或公用网络。私用网络可用在大型场所，大型场所例如公司办公室、大学校园、医院、政府办公室或类似实体。网络还可用在小型场所，例如在私人住宅中。公用网络可包含因特网。网络可以包括第三方电信线路，例如电话线、广播同轴电缆、光缆、卫星通信、蜂窝通信等等。

“公/私钥对”可以指代由实体生成的一对关联的加密密钥。公钥可以用于公共功能，诸如加密要发送给实体的消息，或用于对应该由实体做出的数字签名进行验证。另一方面，私钥可以用于私用功能，诸如对接收到的消息解密或应用数字签名。在一些实施例中，公钥可以由被称为证书机构(CA)的主体进行授权，证书机构将公钥存储在数据库中并将其分配给请求它的任何其他实体。在一些实施例中，公钥可以由另一实体生成。私钥一般会被保持在安全存储介质中并且通常只有实体知道。然而，本文中描述的密码系统可以以用于恢复丢失的密钥并避免数据丢失的密钥恢复机制为特征。公钥和私钥可以是任何适当格式，包括基于Rivest-Shamir-Adleman(RSA)或椭圆曲线密码学(ECC)的格式。

“资源”可以指可以被使用或消耗的资产。例如，资源可以是电子资源(例如存储的数据、接收的数据、计算机账户、基于网络的账户、电子邮件收件箱等)、物理资源(例如有形对象、建筑物、保险箱或物理位置等)、计算机之间的电子通信(例如与用于执行交易的账户对应的通信信号)等等。可以由资源安全系统(包括资源计算机)控制对资源的访问。资源计算机可控制对物理资源或电子资源的访问，物理资源例如建筑物或锁箱，电子资源例如本地计算机账户、数字文件或文档、网络数据库、电子邮件收件箱、支付账户或网站登录。在一些实施例中，资源计算机可以是网络服务器、电子邮件服务器或账户发行方的服务器。资源计算机可以通过用户装置从用户接收访问请求。资源计算机还可以通过与访问装置耦合的请求计算机从用户接收访问请求。在一些实施例中，请求计算机可以是与资源提供商不同的服务提供商。为了访问资源，用户可以将账号、个人识别号和密码中的一个或多个输入访问装置中，并且请求计算机可以生成访问请求并将访问请求发送到资源计算机以请求访问资源。在另一实例中，用户可以操作用户装置，以请求资源计算机提供对由资源计算机托管的电子资源的访问。在另一示例中，用户装置可以向资源计算机(例如，电子邮件服务器)发送访问请求(例如，电子邮件)，以便给电子资源提供数据(例如，将电子邮件传送到收件箱)。在另一示例中，用户可以将账号和/或个人识别号提供至访问装置，以便请求访问资源(例如，支付账户)，用于进行交易。

“敏感信息”可以指期望防止未授权使用的信息，或期望保护隐私的信息。例如，敏感信息可以指代机密信息，或者可以指代可以由未授权实体使用来进行欺诈诸如欺诈性交易或身份盗用的信息。敏感信息的实例可以包括商业秘密、公司机密信息、机密法律文件、受政府保护的数据等。敏感信息的实例还可以包括个人信息，诸如，健康数据、社会保险号、联系人信息、位置信息和/或诸如账户标识符、奖励信息、忠诚计划信息等的金融信息。敏感信息还可以包括可以用来对信息进行加密或解密的密码密钥。

“服务器计算机”可包含功能强大的计算机或计算机集群。举例来说，服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中，服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可耦合到数据库，且可包含用于服务来自一个或多个客户端计算机的请求的任何硬件、软件、其它逻辑或前述内容的组合。服务器计算机可包括一个或多个计算设备，且可使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。

“签名”可以指基于公/私钥对应用算法的结果，这允许签名方证明并且允许验证方验证文件的真实性和完整性。签名方借助于私钥起作用，验证方借助于公钥起作用。这个过程证明发送方的真实性、已签名文档的完整性和所称的不可否认性原则，所述原则不允许否认已经签名的内容。包括签名方的数字签名的消息被称为是由签名方“签名的”。

“令牌”可以包含某种信息的替代标识符。举例来说，支付令牌可包含支付账户的标识符，所述标识符是账户标识符的替代，例如主账号(PAN)。举例来说，令牌可包含可用作原始账户标识符的替代的一系列字母数字字符。举例来说，令牌“4900 0000 0000 0001”可以用于代替PAN“4147 0900 0000 1234”。在一些实施例中，令牌可以是“保留格式的”，并且可以具有与现有付款处理网络中使用的帐户标识符一致的数字格式(例如，ISO 8583金融交易消息格式)。在一些实施例中，令牌可用于代替PAN，以发起、授权、结算或解决支付交易。在通常提供原始凭证的其它系统中，令牌还可用于表示原始凭证。在一些实施例中，可产生令牌值，使得可以不通过计算方式从令牌值导出原始PAN或其它账户识别符的恢复。另外，在一些实施例中，令牌格式可被配置成允许接收令牌的实体将其识别为令牌，并辨识发行令牌的实体。

“验证服务器”可以是执行验证服务的服务器计算机。术语“验证”和其派生词可以指利用信息来确定基础主题在一组给定的情况下是否有效的过程。验证可以包含任何信息比较以确保某些数据或信息是正确的、有效的、准确的、合法的和/或信誉良好的。

具体实施方式

本发明的实施例使用限制使用公/私钥对来加密和解密通过中介机构发送的消息。消息可以包含敏感信息，并且可以通过一个或多个网络在实体之间传输。在一些实施例中，实体和/或网络可以是不受信任的。但是，消息的内容可能由于限制使用密钥对基础架构而仍然受到保护。

本发明的实施例提供了许多优点。可防止请求消息的实体暴露(且负责)任何敏感信息，因为消息是通过中介机构发送的。中介机构可以代表请求实体对消息采取行动，或者可以向请求实体提供令牌，该令牌代表与发送实体交易中使用的敏感信息。由于中介机构以不可解释的加密形式接收和存储来自发送实体的消息，所以信息在网络上和在中介机构处保持安全。因此，实体和网络的安全性得以改善。

使用限制使用公/私钥对也提供了若干优点。由于公/私钥对是不对称的，因此恶意方拦截公钥不会影响消息。例如，如果恶意方要拦截从中介机构发送到发送实体的公钥，并且再次拦截从发送实体发送到中间机构的消息，则不能使用公钥解密消息。只能使用私钥解密消息，该私钥只能在中介机构处安全存储，并且不会通过网络传输到任何其他实体。此外，由于公/私钥对是限制使用的(即，有效寿命短或限于特定的使用次数)，因此在密钥对有效的短时间内，任何攻击尝试都是不可行的。即使可以发现私钥，恶意方只能访问单个或有限数量的消息。

I.消息收发

消息收发是从发送者将任何类型的数据传送到接收者的过程。数据可以包含需要传送到接收者的任何信息。消息收发可以通过例如网络进行，以将数据传输到远程方。

图1图示根据本发明的实施例的用于发送和接收消息的系统的框图。图1图示通过网络115与接收方装置120通信的发送方装置105。发送方装置105可以通过网络115向接收方装置120发送消息110并从接收方装置120接收消息110。

消息110可以是通过网络115发送的任何类型的消息。例如，消息110可以使用纯文本、超文本传输协议(HTTP)、传输控制协议(TCP)等。在某些系统中，发送方装置105和/或网络115可以是不受信任的。例如，发送方装置105可以是浏览器、读卡器、物联网(IoT)装置等。网络115可以是传输层安全(TLS)连接，不过该连接可以通过中间人来打破真正端到端连接，例如网络加速器、数据丢失防护系统、内容交付网络、代理服务器、负载平衡器等。换句话说，发送方装置105和接收方装置120之间的连接可能不安全。因此，很难安全地发送和接收包含敏感信息的消息110。

此外，在某些情况下，发送方装置105可能不希望接收方装置120能够访问其敏感信息，和/或接收方装置120可能不希望在可以避免的情况下从发送方装置105访问敏感信息。例如，当接收方装置120不受信任或易受损坏时，当接收方装置120未经认证处理敏感信息时，或者当接收方装置120不希望对敏感信息承担责任时，这种情况就会产生。在这些情况下，第三方消息收发系统可用于保护接收方装置120不受敏感信息的影响。

图2是根据本发明的实施例描绘用于第三方消息收发的系统的框图。在图2中，客户端装置205(例如，图1的发送方装置105)希望与访问装置215(例如，图1的接收方装置120)共享敏感信息，例如访问资源。但是，例如，访问装置215可能不希望对敏感信息承担责任。在另一示例中，客户端装置205可以不相信客户端装置205与访问装置215之间(即，通过网络210)的连接。

根据第三方消息收发系统，客户端装置205将敏感信息通过网络220发送到验证服务器225。这可能是有利的，例如，由于网络220可能比网络210更安全，和/或因为验证服务器225可能比访问装置215更安全。验证服务器225然后可以使用由访问装置215指定的敏感信息进行任何操作。例如，在敏感信息包含密码的情况下，验证服务器225可以确认密码，并且将密码被确认通过网络230传送到访问装置215。访问装置215然后可以基于确认结果给客户端装置205提供对资源的访问权限，而不必知道敏感信息。

因此，第三方消息收发系统可以保护敏感信息不暴露到访问装置215。然而，需要进一步的技术来保护通过网络220的敏感信息，例如通过使用加密技术。

II.用于加密的密钥对基础架构

本发明的实施例使用公/私钥对来加密和解密可包含敏感信息的消息。因此，可以通过不受信任的网络安全地从不受信任的客户端装置发送消息，降低损坏的可能性。

A.使用第三方的消息收发

回到图2，密钥对基础架构可以用来加密在客户端装置205、访问装置215和/或验证服务器225之间发送的消息。例如，访问装置215可能需要客户端装置205向验证服务器225发送消息。消息可以是短消息(例如，PAN、密码、PIN、代码、付款详细信息等)，其具有应该保护不被访问装置215知道的敏感数据。因此，访问装置215可以从验证服务器225请求公钥。

在一些实施例中，在从访问装置215接收请求时，验证服务器225可以生成公/私钥对和密钥标识符。在其他实施例中，在从访问装置215接收请求时，验证服务器225检索存储和队列中的预生成的公/私钥对，以便快速分配从而最小化等待时间。公/私钥对可以是仅对短时间段(诸如短持续时间)或用于有限的使用次数有效的限制使用密钥。

验证服务器225将公钥和密钥标识符发送到访问装置215。访问装置215接收公钥和密钥标识符，并将其转发到客户端装置205。然而，可以设想的是，在一些实施例中，验证服务器225可以直接将公钥和密钥标识符发送到客户端装置205。

客户端装置205生成消息并使用公钥对消息进行加密。客户端装置205然后将加密的消息和密钥标识符发送到验证服务器225。验证服务器225使用密钥标识符来从公/私钥对检索私钥，并尝试使用私钥解密加密的消息。如果消息未被成功解密，则可以将消息丢弃，因为公钥、私钥和/或消息可能已经被篡改。如果消息被成功解密，则可以接受消息，并且可以生成接收确认并将其发送到访问装置215。验证服务器225然后可以使用解密的消息来执行访问装置215所需的任何功能。

B.共享秘密的使用

在一些实施例中可以使用共享秘密来进一步确认交换的数据的真实性。例如，图3示出了根据本发明的实施例描绘使用共享秘密的安全消息收发的系统的框图。根据图3，访问装置215可以通过网络230与验证服务器225共享共享秘密340A。共享秘密可以是只为访问装置215和验证服务器225知道的任何数据段。例如，共享秘密340A可以是构成例如密码或密码短语的字母、数字和/或符号的任何随机或有意组合。在一些实施例中，在启动通信交换之前(例如，当首次建立访问装置215和验证服务器225之间的关系时)，共享秘密340A在访问装置215和验证服务器225之间共享。在一些实施例中，共享秘密340A在通信交换开始时在访问装置215和验证服务器225之间共享。虽然示出并描述为从访问装置215发送到验证服务器225，但可以设想共享秘密340A可以替代地由验证服务器225建立并发送到访问装置215。

在共享了共享秘密340A之后，验证服务器225可以使用共享秘密340A和一些附带数据(例如，公钥)生成签名340B，以标记附带数据的真实性。例如，验证服务器225可以将签名340B发送到访问装置215。在收到签名340B后，访问装置215可以通过用共享秘密340A确认签名340B来验证公钥未被篡改。

C.重新使用密钥对

本发明的一些实施例可以针对特定验证过程不只一次重复使用相同的密钥对。例如，图4示出了根据本发明的实施例描绘使用和重复使用密钥对基础架构的安全消息收发的系统的框图。根据图4，验证服务器225可以将公钥440和密钥标识符445发送到访问装置215。访问装置215然后可以将公钥440和密钥标识符转发到客户端装置205。客户端装置205可以生成消息450，使用公钥440加密消息，然后将消息450和密钥标识符445发送到验证服务器225。验证服务器225然后可以使用与公钥440对应的私钥，解密消息450。此过程代表公/私钥对的第一次使用。

一旦消息450被解密，验证服务器225可以基于消息450的内容需要对访问装置215进行某种操作。验证服务器225可以使用与公钥440相对应的私钥来再次加密或对此类操作签名。例如，验证服务器可能需要通知访问装置215消息450被安全地接收和正确解密和/或消息450未被正确解密。在该示例中，验证服务器225可以生成收据460，并且将其连同使用私钥生成的收据460的签名465发送到访问装置215。访问装置215可以使用公钥440验证签名465，以确保收据460未被篡改。在此示例中，此过程代表公/私钥对的第二次使用。

在另一示例中，验证服务器可能需要给访问装置215提供消息450的内容的表示以用于记录目的。在该示例中，验证服务器225可以生成令牌(未示出)，并且将其连同使用私钥生成的令牌的签名465发送到访问装置215。在收到后，访问装置215可以使用公钥440验证签名465以确保令牌未被篡改。在此示例中，此过程代表公/私钥对的第二次使用。

然而，可以设想多个实例可以被合并，使得收据、令牌和/或任何其他数据在单个消息或可以各自或共同包括签名的多个消息中被提供回访问装置215。访问装置215可以单独或共同使用公钥440来验证签名。因此，在一些实施例中，在给定的验证过程中，公/私钥对可以使用超过两次。在这些实施例中，公/私钥对在仅被指定为预期使用一定次数的意义上可以是被限制使用的(例如，三次使用：一次用来加密/解密消息450、一次验证附带收据460的签名，一次验证附带令牌的签名)。虽然本示例中描述了三次使用，但设想了公/私钥对可以限于任何使用次数。

III.方法

客户端装置205、访问装置215和验证服务器225可以使用各种方法来实现上述本发明的实施例。

A.序列图

例如，图5示出了根据本发明的实施例描绘使用密钥对基础架构的安全消息收发的方法的流程图。在步骤S505处，客户端装置205启动与访问装置215的交互。例如，客户端装置205可以与访问装置215交互，因为它希望与访问装置215共享信息。然而，访问装置215可能宁愿或要求客户端装置205在消息中向第三方提供信息，而不是直接向访问装置215提供信息(例如，如果信息对于访问装置215太敏感而无法处理)。因此，在步骤S510处，访问装置215将对加密消息的公钥的请求发送到验证服务器225。

在一些实施例中，在步骤S515处，验证服务器225生成公/私钥对和密钥标识符。在其他实施例中，在步骤S515处，验证服务器225检索预生成的公/私钥对和密钥标识符。公/私钥对可以包括限制使用密钥。在步骤S520处，验证服务器225使用先前在验证服务器225和访问装置215之间建立的共享秘密生成公钥的签名。在步骤S525处，验证服务器225将来自公/私钥对的公钥、密钥标识符和签名发送至访问装置215。

在步骤S530处，访问装置215使用共享秘密确认签名，验证公钥未被篡改。在步骤S535处，访问装置215将公钥和密钥标识符推送到客户端装置205。

在步骤S540处，客户端装置205生成消息并使用公钥对消息进行加密。在步骤S545处，客户端装置205将加密的消息和密钥标识符发送到验证服务器225。

在步骤S550处，验证服务器225使用密钥标识符从公/私钥对检索私钥，并解密消息。在步骤S555处，验证服务器225生成对访问装置215的响应(例如，收据、令牌等)。在步骤S560处，验证服务器225将响应发送至访问装置215。

B.验证服务器

图6示出了根据本发明的实施例描绘从验证服务器的观点使用密钥对基础架构的安全消息收发的方法的流程图。在步骤605处，从访问装置接收对公钥的请求。请求可以通过第一网络接收。访问装置可以响应于与客户端装置的交互来发送请求。

在步骤610处，生成公钥、与公钥对应的私钥和与私钥相关联的密钥标识符。公钥和私钥可以是限制使用密钥。例如，公钥和私钥可以限于特定的有效期限(例如15分钟)或特定的使用次数(例如，2次使用)。在一些实施例中，公/私钥对是不对称的。一旦生成，私钥和密钥标识符可以存储在数据库中的表中以供稍后参考，如本文所述。

在步骤615处，将公钥和密钥标识符传输到访问装置。公钥可以与使用共享秘密生成的签名一起传输到访问装置。访问装置然后将公钥和密钥标识符传输到客户端装置。

在步骤620，从客户端装置接收消息和密钥标识符。消息和密钥标识符可以通过第二网络接收，第二网络可以与第一网络相同或不同。消息可以由客户端装置用公钥加密，其中公钥从访问装置获得。

在步骤625处，使用密钥标识符检索私钥。例如，私钥可以存储在与如上文相对于步骤610所述的密钥标识符关联地存储在表中。当从客户端装置接收密钥标识符时，可以搜索表寻找密钥标识符并且可以提取相关联的私钥。可以由密钥标识符对表格进行索引(例如，按顺序排序)，以加快搜索密钥标识符。在一些实施例中，仅在确定其尚未到期之后检索私钥。在一些实施例中，检索私钥，然后确定其是否已过期。

在步骤630处，如果私钥尚未过期，则使用私钥解密消息。在一些实施例中，在消息被解密之后，生成与消息对应的令牌或收据，并将其传输到访问装置。在一些实施例中，也可以生成私钥的签名，并将其传输到访问装置。访问装置然后可以使用公钥确认签名。

一旦重新使用，公/私钥对就可以被无效为已过期。在一些实施例中，可以通过从数据库中存储的表中移除私钥和密钥标识符来无效公/私钥对。因此，如果接收到已经使用公钥加密并且具有附带密钥标识符的消息，则私钥和密钥标识符不再存储，这样消息就不可以被解密。在一些实施例中，可以通过将字段添加到数据库中的存储表中以表示其已过期，来无效公/私钥对。因此，如果接收到已经使用公钥加密并且具有附带密钥标识符的消息，则私钥和密钥标识符可以被标记为无效，且不再用来解密消息。

C.访问装置

如本文所述，访问装置可以请求客户端装置通过验证服务器路由信息，而不是直接将其发送到访问装置。例如，在敏感信息的情况下，客户端装置可以将敏感信息发送到验证敏感信息的验证服务器，并且将验证的指示提供回访问装置。因此，保护访问装置不暴露敏感信息。

图7示出了根据本发明的实施例描绘从访问装置的观点使用密钥对基础架构的安全消息收发的方法的流程图。在步骤705处，访问装置与客户端装置交互。交互可以是例如与访问装置共享信息的请求。客户端装置和/或访问装置可能希望此信息与第三方共享，并且例如在与访问装置共享之前以某种方式受第三方保护。

响应于该交互，在步骤710处，从验证服务器请求公钥。验证服务器可以生成或检索公钥、对应于公钥的私钥和与私钥相关联的密钥标识符。公钥和私钥可以是限制使用密钥。在一些实施例中，验证服务器还使用共享秘密生成公钥的签名。共享秘密可能之前在验证服务器和访问装置之间共享。

在步骤715处，从验证服务器接收公钥和密钥标识符。在验证服务器也生成签名的一些实施例中，还从验证服务器接收签名。访问装置然后使用共享秘密确认签名，以确保公钥未被篡改。

在步骤720，将公钥和密钥标识符传输到客户端装置。客户端装置使用公钥对具有信息的消息加密，并将消息和密钥标识符传输到验证服务器。所述验证服务器使用所述密钥标识符检索所述私钥，并使用所述私钥解密所述消息。

IV.实例系统

各种系统可用于实施上文所描述的方法。现在描述示例性验证服务器。

图8示出了根据本发明的实施例的验证服务器800的框图。验证服务器800可以用来实施图2的验证服务器225，例如，在验证服务器800提供令牌的实施例中可以是令牌服务器计算机或包括令牌服务器计算机。验证服务器800可以包括耦合到网络接口802和计算机可读介质806的处理器801。在一些实施例中，验证服务器800还可以包括硬件安全模块(HSM)820。验证服务器800还可以包括可以在验证服务器800内部或外部的令牌注册。

处理器801可以包括一个或多个微处理器，以运行用于执行计算机可读介质806的功能(例如，令牌管理功能830)的程序部件。网络接口802可以被配置成连接到一个或多个通信网络，以允许验证服务器800与其他实体通信，所述其他实体例如由用户操作的客户端装置、由资源提供商操作的访问装置、应用提供商计算机或令牌请求计算机、资源提供商计算机(例如，商家计算机)、传输计算机(例如，收单方计算机)、授权实体计算机(例如，发行方计算机)等。计算机可读介质806可以存储可由处理器801执行以用于实施文中描述的验证服务器800的令牌管理功能830中的一些或全部功能的代码。例如，计算机可读介质806可以包括：请求者注册模块808、用户注册模块810、令牌生成模块812、验证和认证模块814、令牌交换和路由模块816、以及令牌生命周期管理模块818。除了令牌管理功能830，计算机可读介质806还可以包括密钥生成模块826、签名生成模块827和消息解密模块828。

请求者注册模块808可以与处理器801协作向数据库803注册令牌请求者实体(例如，访问装置)，并且为经注册的实体生成令牌请求者标识符(ID)。每个经注册的实体可以使用其相应的令牌请求者ID作为令牌服务请求的一部分以促进所述实体的识别和确认。在一些实施例中，令牌请求者实体可以向请求者注册模块808提供令牌请求者信息，诸如实体名称、联系信息、实体类型(例如，商家、钱包提供商、支付服务提供商、发行方、支付使能方、收单方等)。在令牌与交易有关的一些实施例中，令牌请求者信息还可以包括令牌呈现模式(例如，扫描、非接触式、电子商务等)、令牌类型(例如，主令牌、子令牌、支付标识符、静态/动态、支付/非支付)、集成和连接性参数以及所订购服务(例如，令牌请求、认证和验证、寿命周期管理等)以及用于板载过程的任何其他相关信息。

用户注册模块810可以与处理器801协作执行用户和用户账户的注册。在一些实施例中，验证服务器800可允许经授权的实体代表用户向网络令牌系统注册消费者账户(例如，支付或金融账户)。例如，已注册令牌请求者可以提供：令牌请求者ID(例如，在注册时从请求者注册模块808接收的)、令牌可以替代的账户标识符或其他敏感信息或敏感信息标识符、消费者姓名和联系信息、消费者通信装置的装置标识符、令牌类型、以及个人账户注册或批量账户注册的任何其他相关信息。在一些实施例中，用户注册模块810可以与处理器801协作将账户细节和敏感信息存储在数据库803中以用于所有成功的激活和注册请求。在一些实施例中，被授权实体还可以通过向验证服务器800提供必要信息来注销用户和账户。

令牌生成模块812可以被编程以生成和/或提供与敏感数据(例如，账户信息)相关联的令牌。例如，令牌生成模块812可以生成可用作实际账户标识符(例如，账户的主账号(PAN))的替代品的主令牌，并且维护主令牌和PAN之间的所存储关联(例如，映射)，使得令牌交换和路由模块816能够将主令牌“转换”回原始PAN。在一些实施例中，从原始PAN通过数学方式导出主令牌。在其他实施例中，相对于原始PAN随机生成主令牌，并且在数据表中支付令牌简单地链接到原始PAN。不论主令牌是如何从PAN生成或反之，在交易期间使用主令牌替代真实账户标识符能够提供增强的安全。在一些实施例中，主令牌和/或有关主令牌的信息可以存储在令牌保险库中。

在一些实施例中，令牌生成模块812可以被编程以接收令牌请求者ID和账户标识符或敏感信息标识符。在一些实施例中，令牌生成模块812还可以被编程以接收任选信息，诸如用户姓名、用户地址和邮政编码、所请求的令牌或敏感信息类型(例如，主令牌、子令牌、静态、动态、非支付等)、装置标识符和/或合适的信息。在一些实施例中，令牌生成模块812可以被编程以生成响应，该响应具有所请求的令牌或所请求的敏感信息、与令牌相关联的令牌到期日期和/或与令牌相关联的令牌确保等级。在一些实施例中，令牌生成模块812可以被编程以确认令牌请求者ID并维护令牌、敏感信息、或由令牌替代的账户标识符和相关联的令牌请求者之间的相关性。在一些实施例中，令牌生成模块812可以被编程以在生成新的令牌之前判断在数据库803中是否已经存在针对某一令牌请求的令牌。在一些实施例中，如果不能供应令牌，那么令牌响应可以包括对应的原因代码。在一些实施例中，令牌生成模块812还可以被编程以为令牌请求者提供提交批量令牌请求文件的界面。

在一些实施例中，可以使用API调用即时生成令牌。例如，在接收到对账户标识符进行令牌化的请求时，令牌生成模块812可以确定用以分配所述令牌的令牌范围。可以基于发行方是否正在供应令牌(例如，发行方分配的令牌范围)或交易处理网络是否正在代表发行方供应令牌(例如，交易处理网络分配的令牌范围)来分配令牌范围。作为示例，如果交易处理网络分配的令牌范围包括“442400000-442400250”，那么可以分配“4424000000005382”作为令牌值。

验证和认证模块814可以与处理器801协作，执行消费者验证和认证过程，并且基于验证和认证过程的结果来确定令牌确保等级。例如，与处理器801协作的验证和认证模块814可以通过配置的认证方案来执行消费者认证和验证。在一些实施例中，认证方案可以包括基于存储在与交易处理网络相关联的数据库中的客户信息来验证账户标识符、验证值、到期日和/或输送信道标识符。在一些实施例中，认证方案可以包括发行方使用其在线银行系统的消费者令牌来直接验证消费者。

在一些实施例中，可以执行用户注册、令牌生成以及验证和认证，以作为单个令牌请求过程的处理的一部分。在一些实施例中，对于批量请求，可以通过处理来自令牌请求者的批量文件来执行用户注册和令牌生成。在此类实施例中，可以在单独的步骤中执行消费者验证和认证。在一些实施例中，令牌请求者可以请求针对特定账户多次执行认证和验证过程，以便反映令牌的确保等级随时间推移的任何改变。

令牌交换和路由模块816可以与处理器801协作处理对与既定令牌相关联的任何底层敏感信息(例如，账号)的请求。例如，交易处理网络、收单方，发行方等可以在交易处理期间发出对令牌交换的请求。令牌交换和路由模块816可以与处理器801协作确认请求实体有权发出对令牌交换的请求。在一些实施例中，令牌交换和路由模块816可以与处理器801协作，基于交易时间戳和令牌到期时间戳来确认账户标识符(或者其他敏感信息)到令牌的映射以及呈现模式。令牌交换和路由模块816可以与处理器801协作从数据库803中检索账户标识符(或者其他敏感信息)，并将其连同确保等级一起提供到请求实体。在一些实施例中，如果所述账户标识符(或者其他敏感信息)到令牌的映射对于所述交易时间戳和呈现模式而言是无效的，那么可以提供错误消息。

令牌生命周期管理模块818可以与处理器801协作对由验证服务器800管理的令牌执行生命周期操作。生命周期操作可以包括取消令牌、对令牌激活或去激活、更新令牌属性、用新的有效日期更新令牌等。在一些实施例中，令牌请求者实体可以向验证服务器800提供令牌请求者ID、令牌号码、生命周期操作标识符以及一个或多个令牌属性，以对既定令牌执行所请求的生命周期操作。令牌生命周期管理模块818可以基于数据库803内的信息验证令牌请求者ID和令牌关联。令牌生命周期管理模块818可以与处理器801协作对既定令牌执行所请求的生命周期操作并更新数据库803内的对应关联。生命周期操作的示例可以包括用以激活不活动、暂停或暂时锁定的令牌及其关联的令牌激活操作；用以暂时锁定或暂停令牌的令牌去激活操作；用以将凭证及其关联永久地标记为已删除，以防止任何未来的交易的取消令牌操作等。在一些实施例中，如果使用相同的令牌来提交对应的原始交易，则可以在返回/退款期间使用已删除的令牌。

密钥生成模块826可以与处理器801协作生成公/私钥对以及与私钥相关联的密钥标识符。在一些实施例中，公/私钥对可以是限制使用密钥，而公/私钥对的使用和到期可以由密钥生成模块826跟踪。一旦生成，公/私钥对可以与数据库803中的密钥标识符相关联地存储。在一些实施例中，密钥生成模块826可以与处理器801协作在接收密钥请求后在“运行中(on the fly)”生成公/私钥对。

在一些实施例中，甚至在接收密钥请求之前，密钥生成模块826可以与处理器801协作预生成公/私钥对，对他们排队以便快速分配从而最小化等待时间。例如，密钥生成模块826可以预生成多个公/私钥对以及对应的密钥标识符。密钥生成模块826然后可以将每个公/私钥对与其相关联的密钥标识符一起存储在数据库803中。当收到密钥要求时，密钥生成模块826可以根据任何标准从数据库803选择公/私钥对。例如，密钥生成模块826可以从生成的公/私钥对列表中按顺序分配公/私钥对(即，遵循先进先出流程)。在另一示例中，密钥生成模块826可以从生成的公/私钥对列表中随机分配公/私钥对。在另一示例中，密钥生成模块826可以为某些请求者指定某些公/私钥对，并且在从请求者接收请求时从为该请求者指定的公/私钥对选择公/私钥对。选择公/私钥对后，可以由密钥生成模块826从数据库803检索。

签名生成模块827可与处理器801协作生成可用于验证数据真实性的数据的签名。例如，签名生成模块827可与处理器801协作使用验证服务器800和请求公钥的访问装置之间的共享秘密生成公钥的签名。当访问装置接收公钥时，访问装置可以通过用共享秘密确认签名来验证公钥未被篡改。在另一示例中，签名生成模块827可与处理器801协作使用私钥生成令牌的签名。当访问装置接收令牌时，访问装置可以通过用公钥确认签名来验证令牌未被篡改。

根据一些实施例，验证服务器800可以包括HSM 820以执行安全功能，例如，加密和解密操作，在一些实施例中是用于一些加密和解密操作的会话密钥的生成。HSM 820可以包括密码引擎822和会话密钥发生器824。例如，对于验证服务器800接收和处理的每个请求，会话密钥发生器824可以生成对于从特定令牌请求者接收的每个请求唯一的会话密钥，或对于与特定用户或账户相关联的每个请求唯一的会话密钥。在一些实施例中，会话密钥可以与用于在令牌请求者和验证服务器800之间建立安全通信信道(例如，TLS、SSL等)的加密密钥相同或不同。令牌生成模块812可以与处理器801协作生成或以其它方式检索令牌以履行请求。密码引擎822和处理器801可以使用会话秘钥，利用加密算法对该令牌加密，并且加密后的令牌可以被提供给令牌请求者。在一些实施例中，所生成的会话密钥也将与加密后的令牌一起被提供给令牌请求者。

在一些实施例中，密码引擎822可以与处理器801协作基于与私钥相关联的接收的密钥标识符从数据库803检索存储的私钥。密码引擎822然后可以与处理器801协作使用私钥解密加密的消息。

尽管验证服务器800是在HSM仅实现其功能中的一些的情况下描述的，但是应当理解，相应计算机的其他功能(例如，令牌生成)也可以在HSM内实现。此外，各HSM功能中的一些或全部也可以在HSM外部实现。

V.实例

A.交易处理

本发明的实施例可以用在对于交易处理的消息收发。可以根据本发明的一些实施例实施消息收发的示例性交易包括支付交易、访问交易(例如，物理访问、数据访问、资源访问等)等。

图9示出了根据本发明的实施例描绘支付交易处理系统的框图，在该系统中可使用借助密钥对基础架构的安全消息收发。图9包括客户端装置910、验证服务器920、资源提供商计算机930、传输计算机940、交易处理计算机950和授权实体计算机960。例如，客户端装置910可以实现为图2的客户端装置205。例如，验证服务器920可以实现为图2的验证服务器225。例如，资源提供商计算机930可以实现为图2的访问装置215。

客户端装置910可以由希望在与资源提供商计算机930相关联的资源提供商处购买的消费者操作。但是，由于安全原因，消费者可能不想与资源提供商计算机930共享他的PAN。在另一示例中，资源提供商可能希望降低其风险暴露和支付卡行业(PCI)数据安全标准(DSS)责任。因此，资源提供商计算机930可能希望客户端装置910将PAN发送到验证服务器920。验证服务器920然后可以使用令牌替换PAN，令牌只可以由资源提供商计算机930用于后续支付交易。

虽然客户端装置910和验证服务器920之间的连接似乎受到保护，但不保证连接是端对端的。例如，客户端装置910和验证服务器920之间可能存在各种中间人，诸如企业代理服务器、数据丢失防护系统、受损网络或热点、应用程序加速器、内容交付网络、负载平衡器、病毒或恶意软件扫描器和/或其他安全包检查应用程序。这些中间人可能是希望获得客户端装置910和验证服务器920之间交换的PAN信息的恶意方的目标。

本发明的实施例可以用于通过此连接安全传输PAN。响应于与客户端装置910的交互(例如，在与资源提供商计算机930相关联的网站上的结账请求)，资源提供商计算机930可以从验证服务器920获得公钥和密钥标识符。资源提供商计算机930可以将公钥和密钥标识符例如在网站上的结账表单上推送到客户端装置910。客户端装置910可以通过使用专用应用程序或内置iOS/Android支持，使用公钥来对PAN加密，以用于公钥密码。

加密的PAN和密钥标识符可发送到验证服务器920，其中PAN被解密和令牌化，如本文关于图8进一步描述的。令牌直接或通过客户端装置910返回到资源提供商计算机930。在一些实施例中，验证服务器920使用PAN，通过可选的传输计算机940、交易处理计算机950和授权实体计算机960来启动与消费者的交易的处理。在其他实施例中，资源提供商计算机930使用令牌发起与消费者的交易处理(即，以生成通过可选传输计算机940、交易处理计算机950和授权实体计算机960传递的授权请求消息)。

图10示出了根据本发明的实施例描绘使用密钥对基础架构在交易处理系统中进行安全消息收发的方法的流程图。在步骤S1003处，客户端装置910与资源提供商计算机930交互，以启动交易。例如，客户端装置910可以在与资源提供商计算机930相关联的网站上购物，将商品放入购物车中，并请求结账。出于本文所讨论的原因，资源提供商计算机930可能不希望直接从客户端装置910访问敏感信息，例如PAN。因此，在步骤S1005处，资源提供商计算机930向验证服务器920发送公钥请求。客户端装置910可以使用公钥来加密PAN以进行安全通信。

在步骤S1007处，验证服务器920生成公钥、与公钥对应的私钥以及与私钥相关联的密钥标识符。如本文进一步描述的，公钥和私钥可以是限制使用密钥。在步骤S1010处，验证服务器920将公钥和密钥标识符传输到资源提供商计算机930。验证服务器920还可以传输带公钥的签名，所述公钥使用先前在验证服务器920和资源提供商计算机930之间建立的共享秘密生成。验证服务器920将私钥和密钥标识符的副本存储在数据库以供稍后使用。

在步骤S1013处，资源提供商计算机930可以选择使用共享秘密来确认签名，以确保公钥未被篡改。一旦签名经过确认，在步骤S1015处，资源提供商计算机930将公钥和密钥标识符传送到客户端装置910。

在步骤S1017处，客户端装置910生成包含PAN的消息，并使用公钥对消息进行加密。在步骤S1020处，客户端装置910将加密的消息和密钥标识符发送到验证服务器920。在步骤S1023处，验证服务器920检索与密钥标识符相关联的私钥，并解密加密的消息，恢复原始PAN。

在步骤S1025处，验证服务器920生成与PAN对应的令牌。在一些实施例中，验证服务器920还使用私钥生成令牌的签名。在步骤S1027处，验证服务器920将令牌(以及任选的签名)发送到资源提供商计算机930。在一些实施例中，资源提供商计算机930在收到时通过确认带公钥的签名，验证令牌未被篡改。然后，公/私钥对可以被无效为已过期。

然后，可以使用令牌完成与消费者的交易处理。例如，在步骤S1030处，资源提供商计算机930可以使用令牌生成针对交易的授权请求消息。在步骤S1033处，资源提供商计算机930可以将包括令牌的授权请求消息转发至传输计算机940。在步骤S1035处，传输计算机940可以将包括令牌的授权请求消息转发至交易处理计算机950。

在步骤S1037处，交易处理计算机950确定令牌代替PAN使用，确定令牌的发行方(即，验证服务器920)，并将令牌发送到验证服务器920以用于交易。在步骤S1040处，验证服务器920确定对应于令牌的PAN，并且将PAN发送到交易处理计算机950。在步骤S1043处，交易处理计算机950用授权请求消息中的PAN代替令牌。

在步骤S1045处，交易处理计算机950将包括PAN的更新的授权请求消息发送到授权实体计算机960。在步骤S1047处，授权实体计算机960基于诸如账户中的可用资金的许多事实中的任一个对交易进行授权决定(即，授权或拒绝)，并生成授权响应消息。在步骤S1050处，授权实体计算机960将包括PAN的授权响应消息发送到交易处理计算机950。

在步骤S1053处，交易处理计算机950用令牌代替授权响应消息中的PAN。在步骤S1055处，交易处理计算机950将具有令牌的更新的授权响应消息发送至传输计算机940。在步骤S1057处，传输计算机940将具有令牌的更新的授权响应消息发送至资源提供商计算机930。因此，资源提供商计算机930从未访问或接触PAN。资源提供商计算机930然后可以向客户端装置910提供收据。在稍后时间，例如在一天结束时，清算和结算可以在传输计算机940和授权实体计算机960之间进行。

虽然图10中示出和描述为资源提供商计算机930使用令牌发起交易处理，但可以设想可使用其他启动交易处理的方法。例如，在步骤S1027处，验证服务器920可以给资源提供商计算机930提供令牌以仅用于记录目的，并处理与客户端装置910的未来交易。然而，与客户端装置910的当前交易的处理可以由验证服务器920启动。例如，验证服务器920可以使用由资源提供商计算机930提供的交易信息以及由客户端装置910提供的PAN来生成交易的授权请求消息。然后，可以按照上述方式处理交易，但是使用PAN。具有PAN的授权响应消息可以返回到验证服务器920，验证服务器920可以在将授权响应消息返回到资源提供商计算机930之前用令牌替代PAN。

此外，尽管对于图10中的授权流展示和描述，但可以设想本文中描述的消息收发也可以用于其他交易处理背景中。例如，资源提供商计算机930可以使用本文所述的消息收发来获取和存储代表用于忠诚计划目的的PAN的令牌。因此，在本发明的一些实施例中不需要使用令牌进行授权。

B.附加实施例

本发明的实施例可以另外或替代性地用来将任何消息通过网络加密到任何方。除了支付详细信息之外，本发明的一些实施例还可用于保护密码、PIN和/或代码。例如，客户端装置可能希望访问由访问装置托管的网站。但是，客户端装置可能不希望向访问装置提供密码，因为它可能具有高度敏感性(例如，跨多个网站使用的相同密码，以访问个人信息，例如医疗记录、财务记录等)。因此，客户端装置可以使用本发明的实施例向安全的第三方提供加密密码，安全的第三方可以验证密码，并向访问装置提供应当允许客户端装置访问网站的指示。

VI.实例计算机系统

本文所描述的各种参与者和元件可操作一个或多个计算机设备以促进本文所描述的功能。上文所描述的图中的任何要素，包含任何服务器或数据库，都可以使用任何合适数目的子系统来促进本文中所描述的功能。

此类子系统或组件经由系统总线而互连。子系统可包含打印机、键盘、固定磁盘(或包括计算机可读介质的其它存储器)、耦合到显示适配器的监视器，以及其它装置。耦合到I/O控制器(其可以是处理器或其它合适控制器)的外围设备和输入/输出(I/O)装置可以通过所属领域中已知的任何数目的构件连接到计算机系统。举例来说，外部接口可以用于将计算机设备连接到例如因特网的广域网、鼠标输入装置或扫描仪。经由系统总线的互连允许中央处理器与每个子系统通信，且控制来自系统存储器或固定磁盘的指令的执行，以及子系统之间的信息交换。系统存储器和/或固定磁盘可体现计算机可读介质。

本申请中描述的任何软件组件或功能可使用任何合适的计算机语言实施为由处理器执行的软件代码，所述计算机语言例如使用常规的或面向对象的技术等的Java、C++或Perl。软件代码可以存储为例如随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如CD-ROM的光学介质的计算机可读介质上的一系列指令或命令。计算机可读介质可以是此类存储或传输装置的任何组合。

此类程序还可以使用适应于经由包含因特网的符合多种协议的有线、光学和/或无线网络进行传输的载波信号来编码和传输。因此，根据本发明的实施例的计算机可读介质可以使用以此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可与兼容装置一起封装或与其它装置分开地提供(例如，经由因特网下载)。任何此类计算机可读介质可以驻留于单个计算机产品(例如，硬盘驱动器、CD或整个计算机系统)上或内，且可存在于系统或网络内的不同计算机产品上或内。计算机系统可以包含用于将本文中所提及的任何结果提供给用户的监视器、打印机或其它合适的显示器。

本文中所描述的任何方法可以完全或部分地用计算机系统来执行，所述计算机系统包含可被配置成执行所述步骤的一个或多个处理器。因此，实施例可以涉及被配置成执行本文中所描述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同组件的计算机系统。尽管以编号的步骤呈现，但是可以同时或以不同的顺序执行本文中的方法的步骤。另外，这些步骤的部分可以与其它方法的其它步骤的部分一起使用。此外，步骤的全部或部分可以是任选的。另外，任何方法的任何步骤都可以用执行这些步骤的模块、单元、电路或其它构件来执行。

以上描述是说明性的而不是限制性的。本发明的许多变化在所属领域的技术人员查阅本公开时可变得显而易见。因此，本发明的范围可以不参考以上描述来确定，而是可参考待决的权利要求以及其完整范围或等同物来确定。

在不脱离本发明的范围的情况下，任何实施例的一个或多个特征可与任何其它实施例的一个或多个特征组合。

除非明确指示有相反的意思，否则“一个/种(a/an)”或“所述”的叙述旨在表示“一个/种或多个/种”。

上文所提及的所有专利、专利申请、公开案和描述都出于所有目的而以其全文引用的方式并入本文中。不承认它们是现有技术。