数字请求的对等转发授权的制作方法

相关申请交叉引用

本申请要求2015年2月13日提交的美国临时专利申请号62/116,276的优先权，并且全文以引用方式并入本文。

背景技术：

存在这样的实例：其中发起方可能希望向从属方提供凭证，从而使得从属方能够执行交易。例如，父母用户可能希望准许他们的孩子在父母不在场的情况下自己进行支付。在另一示例中，父母可能希望给予他们的孩子访问某一位置的权利。当将凭证从父母传递给孩子以进行交易时，存在未授权人可能获得那些凭证的风险。该未授权人然后可进行交易。需要允许所使用的凭证以安全且可靠的方式从属用户的可靠方法和系统。

本发明的实施例单独地或共同地解决了这个和其他问题。

技术实现要素：

根据本发明的一个实施例，生成对应于第一用户的第一数据元素的第一凭证。生成对应于第二用户的第二数据元素的第二凭证。第一用户可以是父母并且第二用户可以是孩子。第二凭证与第一凭证关联。通过输送信道，诸如测试消息输送信道，将第二凭证发送给第二用户。随后，利用第二用户的请求接收第二凭证和与第二用户关联的输送信道标识符。根据第二数据元素满足请求。

本发明的一些实施例涉及用于生成和利用来自授予用户的令牌的子令牌的系统和方法，从而可允许接收方利用来自用户的账户的多组金额，同时仍提供用户的敏感数据的安全性。这些系统和方法可允许用户对支付池中的特定个体进行授权。因此，接收方可以在购买时通过提供适当的认证凭证来利用子令牌。

根据本发明的一个实施例，生成对应于用户的第一金额的第一令牌。然后生成对应于第二金额的第二令牌，其中第二令牌可与第一令牌关联。可通过输送信道将第二令牌发送给接收方。随后，在由接收方进行的交易期间可接收第二令牌和与接收方关联的输送信道标识符。在第二金额从用户账户扣除之后，交易可完成。

根据本发明的一个实施例，生成对应于用户的第一金额的第一账户标识符。然后生成对应于第二金额的第二账户标识符，其中第二账户标识符可与第一账户标识符关联。可通过输送信道将第二账户标识符发送给接收方。随后，在由接收方进行的交易期间可接收第二账户标识符和与接收方关联的输送信道标识符。在第二金额从用户账户扣除之后，交易可完成。根据本发明的一个实施例，第二账户标识符可以是预付卡号。

本发明实施例进一步涉及包括处理器和存储器元件的服务器计算机。存储器元件可包括可由处理器执行的代码，用于实现上述方法。

本发明的这些和其他实施例将在下文更详细地描述。

附图说明

图1示出根据本发明实施例的系统的框图。

图2示出根据本发明实施例的通信装置的框图。

图3示出根据本发明实施例的服务提供商计算机的框图。

图4示出根据本发明实施例的服务器计算机的框图。

图5示出根据本发明实施例的用于利用对等转发凭证处理请求的方法的流程图。

图6示出根据本发明实施例的用于利用对等转发子令牌处理交易的方法的流程图。

图7示出根据本发明实施例的建筑物访问系统的框图。

具体实施方式

本发明实施例涉及方法，这些方法可包括从来自主用户(诸如父母)的第一凭证生成用于从属用户的第二凭证。第二凭证可与第一凭证关联。例如，第一凭证可包括由父母使用来进行购买的主账号，而第二凭证可以是由孩子使用来进行购买的次账号。次账号可与主账号关联，因为次账号可来源于和/或链接到主账号。一旦创建了第二凭证，第二凭证就可以通过许多潜在的输送信道(例如，语音、电子邮件、文本消息、即时消息等)之一输送。为了使用第二凭证，除了第二凭证之外，接收方还需要提供有关输送信道的信息，以便使用第二凭证来进行交易。

本发明的具体实施例涉及用于生成和利用对等转发子令牌的系统和方法，这些子令牌允许支付池中的被授权接收方与用户账户进行特定金额的交易。子令牌可以是从授予用户的令牌生成的令牌类型，并且可与用户账户关联。关于用户的敏感信息不会被透露给与利用子令牌进行的交易关联的接收方和商家。在从用户的已登记令牌生成子令牌之后，可以通过输送信道(例如，通过电子邮件)将子令牌发送给接收方。接收方可以在购买时通过提供适当的认证凭证(例如，电子邮件地址)来利用子令牌。

在讨论具体实施例和示例之前，下面提供了本文使用的术语的一些描述。

“访问装置”可以是提供对远程系统的访问的任何合适的装置。访问装置还可以用于与商家计算机、交易处理计算机、认证计算机或任何其他合适的系统通信。访问装置通常可以位于任何适当位置，诸如在商家所在的位置。访问装置可以是任何适当形式。访问装置的一些示例包括pos或销售点装置(例如，pos终端)、蜂窝电话、pda、个人计算机(pc)、平板pc、手持式专用阅读器、机顶盒、电子现金出纳机(ecr)、自动柜员机(atm)、虚拟现金出纳机(vcr)、营业亭、安全系统、访问系统等。访问装置可以使用任何合适的接触或非接触操作模式以向用户移动装置发送或从其接收数据或与用户移动装置关联。在访问装置可以包括pos终端的一些实施例中，任何适当的pos终端可以被使用，并且其可以包括阅读器、处理器和计算机可读介质。阅读器可以包括任何适当的接触或非接触操作模式。例如，示例性读卡器可以包括射频(rf)天线、光学扫描器、条形码阅读器或磁条阅读器以与支付装置和/或移动装置交互。此外，如果访问装置由资源提供商操作，则“访问装置”可以是“资源提供商计算机”的示例或一部分。

“账户标识符”可以是账户的标识符。账户标识符可以包括令牌(包括原始令牌或子令牌)或真实账户标识符(例如，真实的pan)。

“收单方(acquirer)”通常可以是与特定商家或其他实体有商业关系的商业实体(例如商业银行)。一些实体能够执行发行方和收单方功能。一些实施例可以包括这种单实体发行方-收单方。收单方可以操作收单方计算机，其也可以被统称为“传输计算机”。

“授权请求消息”可以是发送给支付处理网络和/或支付卡的发行方以请求交易授权的电子消息。根据一些实施例的授权请求消息可以符合(国际标准组织)iso8583，iso8583是用于交换与消费者使用支付装置或支付账户进行的支付关联的电子交易信息的系统标准。授权请求消息可以包括可以与支付装置或支付账户关联的发行方账户标识符。授权请求消息还可以包括与“识别信息”对应的附加数据元素，只作为示例包括：服务代码、cvv(卡验证值)、dcvv(动态卡验证值)、到期日期等。授权请求消息还可以包括“交易信息”，诸如与当前交易关联的任何信息，诸如交易金额、商家标识符、商家位置等，以及可以用来确定是否识别和/或授权交易的任何其他信息。

“授权响应消息”可以是针对通过发行金融机构或支付处理网络生成的授权请求消息的电子消息应答。授权响应消息可以包括(只作为示例)以下状态指示符中的一个或多个：批准-交易被批准；拒绝-交易不被批准；或呼叫中心-响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或者通过支付处理网络)返回商家的访问装置(例如pos设备)的指示交易被批准的代码。代码可以用作授权的证据。如上文指出的，在一些实施例中，支付处理网络可以生成或向商家转发授权响应消息。

“授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文档库、访问管理员等。

“通信装置”可以包括用户可以操作的任何合适的电子装置，该装置还可以提供与网络的远程通信能力。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如，3g、4g或类似网络)、wi-fi、wi-max或可以提供诸如互联网或专用网络之类的网络访问的任何其他通信介质。通信装置的示例包括移动电话(例如，蜂窝电话)、pda、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用阅读器、手表、健身手环、脚镯、戒指、耳环等，以及具有远程通信能力的汽车。通信装置可以包括用于执行此类功能的任何合适的硬件和软件，并且还可以包括多个装置或部件(例如，当装置通过系固到另一个装置而远程访问网络-即，使用其他设备作为调制解调器-一起使用的两个装置可以被认为是单个通信装置)。

“凭证”可以包括权力、权利或享有特权的任何证据。例如，访问凭证可以包括访问诸如建筑物或文件的某些有形或无形资产的许可。在另一示例中，支付凭证可以包括与账户关联和/或识别账户的任何合适的信息(例如，与账户关联的支付账户和/或支付装置)。这些信息可以与账户直接相关，或者可以从与账户相关的信息中推导出来。账户信息的示例可以包括“账户标识符”，诸如pan(主账号或“账号”)、令牌、子令牌、礼品卡号或代码、预付卡号或代码、用户名、到期日期、cvv(卡验证值)、dcvv(动态卡验证值)、cvv2(卡验证值2)、cvc3卡验证值等。pan的示例是16位数字，诸如“4147090000001234”。在一些实施例中，凭证可以被认为是敏感信息。

“数据元素”可以包括任何数据单元或信息。例如，在交易上下文中，数据元素可以包括货币金额、交易类型、特定商家、商家类型等。在访问上下文中，数据元素可以包括访问级别或许可。

“输送信道”可以包括用于传输有形或无形资产的任何可识别的手段。输送信道的示例包括电子邮件、文件传输协议(ftp)、超文本传输协议(http)、电话、邮件、快递、文本消息(例如sms)等。输送信道标识符的示例包括电子邮件地址、网站地址、ip地址、通信装置标识符、电话号码、物理地址等。

“数字钱包”可以包括允许个人进行电子商务交易的电子应用或装置。电子钱包可以存储用户配置文件信息、支付凭证、银行账户信息、一个或多个数字钱包标识符等，并且可以用在各种交易中，这些交易诸如但不限于电子商务、社交网络、转账/个人支付、移动商务、接近支付、博彩等等，用于零售购买、数字商品购买、公用事业支付、在博彩网站或系统购买博彩或博彩点券、用户间转移资金等。数字钱包可以被设计来简化购买和支付过程。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上，以便进行支付而无需输入账号或呈现物理卡。数字钱包还可以存储交易记录(例如，电子收据)。

“发行方”通常可以指维持用户账户的商业实体(例如，银行)。发行方还可以发布存储在通信装置上的支付凭证。

“资源提供商”可以是可以提供诸如商品、服务、信息和/或访问的资源的实体。资源提供商的示例包括商家、访问装置、安全数据访问点等。“商家(merchant)”通常可以是参与交易并且能够出售商品或服务或提供对商品或服务的访问的实体。

“服务器计算机”可以包括功能强大的计算机或计算机集群。例如，服务器计算机可以是大的主机、小型计算机集群或像一个单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦连至网络服务器的数据库服务器。服务器计算机可以耦连到数据库并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑、或前述内容的组合。服务器计算机可以包括一个或多个计算设备并且可以使用各种计算结构、排列和编译中的任何一种来服务于来自一个或多个客户端计算机的请求。

“服务提供商”可以是可以提供服务或应用的实体。服务提供商的示例是数字钱包提供商。

“令牌”可以包括某一信息的替代标识符。例如，支付令牌可以包括支付账户的标识符，其是账户标识符的替代，诸如主账号(pan)。例如，令牌可以包括可以用作原始账户标识符的替代的一连串字母数字字符。例如，令牌“4900000000000001”可以代替pan“4147090000001234”使用。在一些实施例中，令牌可以是“保留格式的”，可以有与现有的支付处理网络中使用的账户标识符一致的数字格式(例如，iso8583金融交易消息格式)。在一些实施例中，令牌可以代替pan使用，以发起、授权、结算或完成支付交易。在通常提供原始证书的其他系统中，令牌还可以用来表示原始证书。在一些实施例中，可以生成令牌值，使得由令牌值恢复原始pan或其他账户标识符不可以由计算得到。进一步地，在一些实施例中，令牌格式可以被配置成使接收令牌的实体将其识别为令牌，并识别发行令牌的实体。

“子令牌”可以包括令牌或另一个子令牌的替代标识符。它可能具有与其产生的令牌或子令牌相同或不同的形式。例如，子令牌可以是类似于与它关联的令牌长达16位数字，并且也类似于与令牌关联的真实账号。在一些实施例中，子令牌可以不具有其自己的底层账户，但是可以从基于中间令牌的真实账户推导出子令牌值。

i.系统

图1示出根据本发明的实施例的系统100的框图。系统100包括：第一通信装置101a、第二通信装置101b、服务提供商计算机110、交易处理计算机120、授权实体计算机140、资源提供商计算机150和传输计算机160。这些系统和计算机中的每一个可以彼此操作地通信。在一些实施例中，第一通信装置101a可以由用户102a操作，并且第二通信装置101b可以由接收方102b操作。

为了便于示出，在图1中示出特定数量的部件。不过要理解，对于每种组件本发明的实施例可以包括多于一个。此外，本发明的一些实施例可以包括比图1所示的所有部件更少或更多的部件。此外，图1的部件可以通过任何适当通信介质(包括互联网)使用任何适当的通信协议来进行通信。

用户102a可以操作第一通信装置101a，并且可以授权操作第二通信装置101b的接收方102b利用与用户102a的账户关联的子令牌。通常，用户102a可以将接收方102b授权为其支付池的成员(例如，家庭成员、朋友等)。在一个实施例中，在通过与用户102a关联的子令牌进行购买时，接收方102b可以利用输送信道标识符(例如，其电子邮件地址、通信装置标识符、电话号码等)作为授权码或签名。

通信装置101a和101b中的每一个可以是适于执行金融交易或任何其他附加相关动作的任何装置。通信装置101a和101b中的每一个可以包括可存储移动钱包应用或支付应用的存储器。可以为应用提供账户信息以便使得每个移动装置能够进行交易。通信装置101a和101b中的每一个还可以包括可能以硬件或软件实现的安全元件，其可以存储敏感账户或个人信息。通信装置101a和101b可以通过通信网络与包括交易处理计算机120的一个或多个实体进行通信。

服务提供商计算机110可以包括用于促进供应过程的服务器计算机110a。服务器计算机110a可以包括处理器和耦合到处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的代码。

服务提供商计算机110可以与应用提供商一起操作或关联。应用提供商可以是向移动装置提供应用以供用户使用的实体。在一些实施例中，应用提供商可以是向移动装置提供数字钱包或支付应用的数字钱包提供商。服务提供商计算机110可以为每个用户维持一个或多个数字钱包，并且每个数字钱包可以与一个或多个支付账户的支付数据关联。数字钱包的实例可能包括visacheckout^tm或google^tmwallet等。服务器计算机110a可以向存储在通信装置101a或101b上的数字钱包应用发送和接收空中(ota)消息。服务提供商服务器计算机110a可以包括处理器和耦合到处理器的计算机可读介质，该计算机可读介质包括可由处理器执行以用于执行以下进一步详细描述的功能的代码。

资源提供商计算机150可以被配置成从访问装置接收交易数据。资源提供商计算机150可以使得诸如商家的资源提供商从事交易、销售商品或服务，或者向消费者提供对商品或服务的访问。资源提供商计算机150可以接受多种形式的支付，并且可以使用多种工具来进行不同类型的交易。例如，资源提供商计算机150可以与访问装置通信、包括访问装置、或可以是访问装置，该访问装置位于由商家操作的物理商店处以用于个人间交易。资源提供商计算机150还可以使得商家能够通过网站销售商品和/或服务，并且可以通过互联网接受支付。

交易处理计算机120可以包括服务器计算机130。服务器计算机130可以包括处理器和耦合到处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的代码。

交易处理计算机120可以与一个或多个支付服务提供商关联。交易处理计算机120可以包括提供供应服务或个性化服务的任何实体。例如，交易处理计算机120可以通过用户信息维持个性化数据库，并且交易处理计算机120可以被配置成与一个或多个授权实体计算机140通信以便为用户确定个性化支付数据。交易处理计算机120通过供应服务模块可以向服务提供商计算机110提供供应服务，其中服务提供商计算机110可利用应用编程接口(api)与交易处理计算机服务器计算机130进行通信。

在一些实施例中，交易处理计算机120可以包括提供附加服务的模块，包括但不限于可以生成和/或提供与敏感数据(例如，账户信息)关联的“支付令牌”的令牌生成器模块。例如，令牌生成器模块可以生成可用作实际账户标识符(例如，账户的主账号(pan))的替代品的支付令牌，并且维持支付令牌和pan之间的存储关联(例如，映射)，使得令牌交换模块能够将支付令牌“转换”回原始pan。在一些实施例中，从原始pan数学地导出支付令牌。在其他实施例中，相对于原始pan随机生成支付令牌，并且在数据表中支付令牌简单地链接到原始pan。不管如何从pan生成支付令牌以及反之亦然，在交易期间使用支付令牌而不是实际账户标识符可以提供增强的安全性。在一些实施例中，支付令牌和/或有关支付令牌的信息可以存储在令牌保险库中。

在一些实施例中，令牌生成器模块可以基于现有令牌生成子令牌。子令牌和其父令牌可能与相同的用户关联。原始用户可以通过指定子令牌的数量和接受者电子邮件地址来请求生成子令牌。该信息可以被发送到交易处理计算机120，该交易处理计算机可以在其令牌生成器模块处生成子令牌。在一些实现方式中，用户还可以设置用于使用子令牌来进行购买的时间段，使得子令牌将根据在子令牌上设置的初始时间戳而过期。在一些实施例中，从原始令牌数学地导出子令牌。在其他实施例中，相对于原始令牌随机生成子令牌，并且在数据表中子令牌简单地链接到原始令牌。

传输计算机160可以包括服务器计算机160a。服务器计算机160a可以包括处理器和耦合到处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的代码。传输计算机160通常是与特定商家或其他实体具有业务关系的实体(例如，银行)的系统。传输计算机160可以通过交易处理计算机120将交易的授权请求路由到授权实体计算机140。

授权实体计算机140可以包括服务器计算机140a。服务器计算机140a可以包括处理器和耦合到处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的代码。在一些实施例中，授权实体计算机140可以与交易处理计算机120通信以便进行交易。

授权实体计算机140通常由商业实体(例如，银行)运行，该商业实体可能已经发行用于交易的支付(信用/借记)卡、账号或支付令牌。一些系统可以执行授权实体计算机140和传输计算机160的功能。当交易涉及与授权实体计算机140关联的支付账户时，授权实体计算机140可以验证账户，并且通过授权响应消息来响应于传输计算机160，该授权响应消息可以被转发到对应的访问装置和消费者装置(如果适用的话)。

在稍后时间(例如，在一天结束时)，清算和结算过程可以在传输计算机160、交易处理网络120和授权实体计算机140之间进行。

图2示出根据本发明的实施例的通信装置200的框图。例如，通信装置200可以用于实现图1的第一通信装置101a和/或第二通信装置101b。通信装置200可以包括耦合到存储器202的装置硬件204。装置硬件204可以包括处理器205、通信子系统209和用户接口206。在一些实施例中，装置硬件204可以包括显示器207(其可以是用户接口206的一部分)。例如，在通信装置200是便携式通信装置的一些实施例中，装置硬件204还可以包括非接触式接口208。处理器205可以被实现为一个或多个集成电路(例如，一个或多个单核或多核微处理器和/或微控制器)，并且被用于控制通信装置200的操作。处理器205可以响应于存储在存储器202中的程序代码或计算机可读代码执行各种程序，并且可以维护多个同时执行的程序或进程。通信子系统209可以包括一个或多个rf收发器和/或连接器，其可由便携式通信装置200使用以便其他装置进行通信和/或与外部网络连接。用户接口206可以包括输入元件和输出元件的任何组合，以便允许用户与通信装置200交互并且调用该通信装置的功能。在一些实施例中，用户接口206可以包括可用于输入功能和输出功能的部件(诸如显示器207)。

非接触式接口208可以包括一个或多个专用rf收发器(例如，近场通信(nfc)收发器)，以便与访问装置的非接触式读取器交互以进行交易(例如，支付交易、接入交易、信息交换等)。在基于安全元件的实现方式中，只有安全元件(未示出)可以访问非接触式接口208。在一些实施例中，移动os220可以使用专用卡仿真api222来访问非接触式接口208，而不需要使用安全元件。在一些实施例中，显示器207也可以是非接触式接口208的一部分，并且例如用于使用qr码、条形码等来执行交易。

存储器202可以使用任何数量的非易失性存储器(例如，闪速存储器)和易失性存储器(例如，dram、sram)的任何组合、或任何其他非暂时性存储介质、或其组合介质来实现。存储器202可以存储操作系统(os)220、以及一个或多个应用(包括处理器205要执行的应用212)驻留在其中的应用环境210。在一些实施例中，of220可以实现一组卡仿真api222，其可由应用212调用以便访问非接触式接口208来与访问装置交互。

应用212可以包括使用、访问和/或存储敏感信息、令牌或子令牌的应用。例如，应用212可以包括数字钱包或支付应用，其使用凭证(例如，令牌、子令牌和/或支付凭证)以便通过通信装置200进行交易。在一些实施例中，用户对应用212的访问可以由用户认证数据(诸如口令、密码、pin等)保护。例如，当用户尝试启动或执行应用212时，可以在用户可访问应用212之前请求用户输入有效的用户认证数据。应用212可以包括下载管理器218、密码模块214和凭证(例如，令牌、子令牌和/或支付凭证)数据存储216。在一些实施例中，这些部件中的一个或多个可以由不是应用212的一部分的另一个应用或部件提供。

下载管理器218可以被编程以便提供以下功能：和与应用212关联的应用提供商通信以便通过应用提供商下载信息。与处理器205一起工作的下载管理器218可以请求或以其他方式管理凭证的获取和/或存储。例如，与处理器205一起工作的下载管理器218可以通过与应用212关联的应用提供商来请求和获取凭证，并且将凭据存储在凭据数据存储216中。在一些实施例中，可能以加密形式接收由应用提供商提供的凭证。例如，可以通过由服务器计算机生成的会话密钥来加密凭证。与处理器205一起工作的下载管理器218还可以从应用提供商接收以加密形式的会话密钥，并将加密会话密钥存储在凭据数据存储216中。

与处理器205一起工作的密码模块214可以为应用212提供密码功能。例如，密码模块214可以使用加密算法(诸如des、aes、tdes)和/或散列函数(诸如sha)等对应用212实现和执行加密/解密操作。例如，当应用212访问凭证数据存储器216以便检索和使用存储在其中的凭证(例如，以便进行交易)时，应用212可以调用密码模块214来解密用于加密存储凭证的会话密钥，并且然后使用解密的会话密钥来解密凭据。解密的凭证然后可以由应用212使用。

图3示出根据本发明的实施例的服务提供商计算机300的框图。例如，服务提供商计算机可以被实现为图1的服务提供商计算机110。根据一些实施例，服务提供商计算机300可以与应用提供商关联。例如，服务提供商计算机300可以提供与通信装置的应用关联的软件应用或服务。服务提供商计算机300可以包括耦合到网络接口302和计算机可读介质306的处理器301。在一些实施例中，服务提供商计算机300还可以包括硬件安全模块(hsm)320。服务提供商计算机300还可以包括用户数据库303或以其他方式访问该用户数据库，该用户数据库可以在服务提供商计算机300的内部或外部。

处理器301可以包括一个或多个微处理器，以便执行用于执行服务提供商计算机300的凭证请求功能330的程序部件。网络接口302可以被配置成连接到一个或多个通信网络，以便允许服务提供商计算机300与其他实体(诸如由用户操作的通信装置、服务器计算机等)进行通信。计算机可读介质306可以包括一个或多个易失性和/或非易失性存储器的任何组合，例如ram、dram、sram、rom、闪存或任何其他合适的存储器部件。计算机可读介质306可以存储可由处理器301执行以用于实现服务提供商计算机300的凭证请求功能330中的一些或全部的代码。例如，计算机可读介质306可以包括实现注册模块310和凭证请求模块308的代码。在一些实施例中，服务提供商计算机300还可以包括用于实现密码引擎322的硬件安全模块(hsm)320。

注册模块310可以与处理器301一起工作以便向服务提供商计算机300注册用户。例如，可以通过向注册模块310提供以下信息而向应用提供商注册用户：用于识别用户的识别信息；装置信息，诸如与用户通信装置(其上安装有与应用提供商关联的应用)关联的装置标识符；账户信息，诸如与用户账户关联的账户标识符等。在一些实施例中，用户可以使用注册模块310和处理器301来设置用户认证数据(例如，口令、密码、pin等)。当用户通信装置上的应用与服务提供商计算机300通信时，服务提供商计算机300可以使用用户认证数据来认证用户。注册模块310可以与处理器301一起工作以便允许用户改变或更新用户认证数据。注册信息可以存储在用户数据库303中。在一些实施例中，当用户首次下载用于安装在用户的通信装置上的应用时，或者当用户首次启动并执行应用时，可以执行注册过程。

凭证请求模块308被编程以便处理从安装在用户通信装置上的应用接收的凭证(例如，支付凭证、令牌、子令牌等)的请求。在一些实施例中，在接收到来自用户通信装置上的应用的请求时，凭证请求模块308与处理器301一起可以通过针对存储在用户数据库303中的先前注册信息验证用户认证数据和装置的装置标识符来认证用户和/或通信装置。然后，与处理器301一起工作的凭证请求模块308可以从服务器计算机(例如，凭证服务器)请求凭证以用于在通信装置上使用。当凭证请求模块308从服务器计算机接收到凭证时，与处理器301一起工作的凭证请求模块308可以向在通信装置上执行的应用发送凭证。在一些实施例中，与处理器301一起工作的凭证请求模块308还可以通过将该信息存储在用户数据库303中来跟踪哪个凭证被提供给特定通信装置。因此，用户数据库303可以包括通信装置和供应给该通信装置的凭证之间的映射。

密码引擎322(其可以与hsm320中的单独数据处理器一起工作)可以为服务提供商计算机300提供密码功能。在一些实施例中，密码引擎322可以在hsm320中实现，该hsm是用于执行密码操作和管理密钥的专用硬件部件。密码引擎322可以被编程以便使用加密算法(诸如aes、des、tdes、或使用任何长度(例如，56比特、128比特、169比特、192比特、256比特等)的密钥的其他合适加密算法)来实现和执行服务提供商计算机300的加密/解密操作。在一些实施例中，密码引擎322还可以被编程以便使用诸如安全散列算法(sha)等的散列函数来执行散列计算。例如，当服务提供商计算机300从服务器计算机接收用于加密凭证的会话密钥时，服务提供商计算机300可以调用密码引擎322来加密会话密钥，使得可能以加密形式将会话密钥提供给通信装置上的应用。在一些实施例中，可以使用散列值来加密会话密钥，通过与请求凭证的用户关联的用户认证数据计算散列值。

图4示出根据本发明的实施例的服务器计算机400的框图。例如，服务器计算机400可以用于实现图1的服务器计算机130，并且可以是凭证服务器计算机(例如，令牌服务器计算机)。服务器计算机400可以包括耦合到网络接口402和计算机可读介质406的处理器401。在一些实施例中，服务器计算机400还可以包括硬件安全模块(hsm)420。服务器计算机400还可以包括可以在服务器计算机400内部或外部的凭证注册表。

处理器401可以包括一个或多个微处理器，以便执行用于执行服务器计算机400的凭证管理功能430的程序部件。网络接口402可以被配置成连接到一个或多个通信网络以便允许服务器计算机400与其他实体通信，这些其他实体诸如由用户操作的通信装置、服务提供商计算机或凭证请求计算机、资源提供商计算机(例如，商家计算机)、传输计算机(例如，收买方计算机)、交易处理计算机、授权实体计算机(例如，发行方计算机)等。计算机可读介质406可以包括一个或多个易失性和/或非易失性存储器的任何组合，例如ram、dram、sram、rom、闪存或任何其他合适的存储器部件。计算机可读介质406可以存储可由处理器401执行以用于实现本文所述的服务器计算机400的一些或所有凭证管理功能430的代码。例如，计算机可读介质406可以包括：请求者注册模块408、用户注册模块410、凭证生成模块412、验证和认证模块414、凭证交换和路由模块416、以及凭证生命周期管理模块418。

请求者注册模块408可以与处理器401一起向凭证注册表404注册凭证请求者实体(例如，应用提供商)，并且为注册实体生成凭证请求者标识符(id)。每个注册实体可以使用其相应的凭证请求者id作为令牌服务请求的一部分以便于实体的识别和验证。在一些实施例中，凭证请求者实体可以向请求者注册模块408提供令牌请求者信息，诸如实体名称、联系人信息、实体类型(例如，商家、钱包提供商、支付服务提供商、发行方、支付使能者、收买方等)。在凭证是交易相关的一些实施例中，凭证请求者信息还可以包括凭证呈现模式(例如，扫描、非接触式、电子商务等)、凭证类型(例如，令牌、子令牌、支付标识符、静态/动态、支付/不支付)、集成和连接性参数、和订阅的服务(例如，凭证请求、认证和验证、生命周期管理等)、以及用于车载过程的任何其他相关信息。

用户注册模块410可以与处理器401一起执行用户和用户账户的注册。在一些实施例中，服务器计算机400可允许授权实体代表用户向网络凭证系统注册消费者账户(例如，支付账户)或财务账户)。例如，已注册凭证请求者可以提供：凭证请求者id(例如，在注册时从请求者注册模块408接收的)、凭证可以替代的账户标识符或其他敏感信息或敏感信息标识符、消费者姓名和联系信息、消费者通信装置的装置标识符、凭证类型、以及个人账户注册或大型账户注册的任何其他相关信息。在一些实施例中，与处理器401一起工作的用户注册模块410可以将账户细节和敏感信息存储在凭证注册表404中以用于所有成功的激活请求和注册请求。在一些实施例中，授权实体还可以通过向服务器计算机400提供必要信息来注销用户和账户。

凭证生成模块412可以被编程以便响应于处理来自凭证请求者(例如，应用提供商)的凭证或敏感信息的请求而生成凭证或检索敏感信息。在一些实施例中，凭证生成模块412可以被编程以便接收凭证请求者id和账户标识符或敏感信息标识符。在一些实施例中，凭证生成模块412还可以被编程以便接收任选信息，诸如用户名、用户地址和邮政编码、所请求的凭证或敏感信息类型(例如，静态、动态、不支付等)、装置标识符和/或合适的信息。在一些实施例中，凭证生成模块412可以被编程以便通过所请求的凭证或所请求的敏感信息、与凭证关联的凭证到期日、和/或与凭证关联的凭证确保等级来生成响应。在一些实施例中，凭证生成模块412可以被编程以便验证凭证请求者id，并且维持凭证、被凭证替代的敏感信息或账户标识符、以及关联的凭证请求者之间的相关性。在一些实施例中，可以对凭证生成模块412进行编程，以便确定在生成新凭证之前凭证请求的凭证注册表中是否已经存在凭证。在一些实施例中，如果不能供应凭证，则凭证响应可以包括对应的原因码。在一些实施例中，凭证生成模块412还可以被编程以便向凭证请求者提供接口以提交批量凭证请求文件。

在一些实施例中，可以使用api调用在操作中生成凭证。例如，当接收到请求以便对账户标识符或其他敏感信息进行令牌化时，凭证生成模块412可以确定凭证范围以便分配凭证。可以基于发行方是否正在供应凭证(例如，发行方分配的凭证范围)或交易处理网络是否正在代表发行方供应凭证(例如，交易处理网络分配的凭证范围)来分配凭证范围。作为举例，如果交易处理网络分配的凭证范围包括“442400000-442400250”，则可以分配“4424000000005382”作为凭证值。数据库403可以存储凭证范围与账户标识符的关系，并且可以记录凭证添加记录。在一些实施例中，凭证生成模块412可以在分配凭证之前考虑与账户标识符范围关联的凭证范围列表。

验证和认证模块414可以与处理器401一起执行消费者验证和认证过程，并且基于验证和认证过程的结果来确定凭证确保等级。例如，与处理器401一起工作的验证和认证模块414可以通过配置的认证方案来执行消费者认证和验证。在一些实施例中，认证方案可以包括基于存储在与交易处理网络关联的数据库中的客户信息来验证账户标识符、验证值、到期日和/或输送信道标识符。在一些实施例中，认证方案可以包括发行方使用其在线银行系统的消费者凭证来直接验证消费者。

在一些实施例中，可以执行用户注册、凭证生成、以及验证和认证，作为处理单个凭证请求过程的一部分。在一些实施例中，对于批量请求，可以通过处理来自凭证请求者的批量文件来执行用户注册和凭证生成。在此类实施例中，可以在单独的步骤中执行消费者验证和认证。在一些实施例中，凭证请求者可以请求单独为特定账户多次执行认证和验证过程，以便反映令牌的确保等级随时间推移的任何改变。

凭证交换和路由模块416可以结合处理器401处理对与给定凭证关联的任何基础敏感信息(例如，账号)的请求。例如，交易处理网络、收单方，发行方等可以在交易处理期间发出凭证交换的请求。凭证交换和路由模块416可以结合处理器401验证请求实体有权对凭证交换进行请求。在一些实施例中，凭证交换和路由模块416可以结合处理器401，基于交易时间戳和凭证到期时间戳来验证凭证映射和呈现模式的账户标识符(或其他敏感信息)。凭证交换和路由模块416可以结合处理器401从凭证登记表404检索账户标识符(或其他敏感信息)，并将其与保证级别一起提供给请求实体。在一些实施例中，如果凭证映射的账户标识符(或其他敏感信息)对交易时间戳和呈现模式无效，则可以提供错误消息。

凭证生命周期管理模块418可以结合处理器401对由服务器计算机400管理的凭证执行生命周期操作。生命周期操作可以包括取消凭证、激活或去激活凭证、更新凭证属性、用新的到期日更新凭证等。在一些实施例中，凭证请求者实体可以向服务器计算机400提供凭证请求者id、凭证号码、生命周期操作标识符和一个或多个凭证属性，以对给定凭证执行所请求的生命周期操作。凭证生命周期管理模块418可以基于数据库403中的信息来验证凭证请求者id和凭证关联。凭证生命周期管理模块418可以结合处理器401对给定凭证执行所请求的生命周期操作，并更新数据库403中的相应关联。生命周期操作的示例可以包括用于激活不活动、暂停或暂时锁定的凭证及其关联的凭证激活操作；用于暂时锁定或暂停凭证的凭证去激活操作；用于将凭证及其关联永久地标记为已删除，以防止任何未来的交易的取消凭证操作等。在一些实施例中，如果使用相同的凭证来提交相应的原始交易，则可以在返回/退款期间使用已删除的凭证。

根据一些实施例，服务器计算机400可以包括hsm420以执行安全功能，诸如加密和解密操作以及生成用于加密和解密操作的密码密钥。例如，hsm420可以包括密码引擎422，以使用任何长度的密码密钥(例如，56位、128位、169位、192位、256位等)来执行加密算法，诸如aes、des、tdes或其他合适的加密算法位。hsm420还可以实现会话密钥生成器424，以生成服务器计算机400处理的每个凭证请求的会话密钥。所生成的会话密钥可以用于对针对请求生成或检索的凭证进行加密，并且凭证可以按照加密形式提供给凭证请求者。例如，对于服务器计算机400接收和处理的每个请求，会话密钥生成器424可以生成对于从特定凭证请求者接收到的每个请求唯一的会话密钥，或对于与特定用户或账户关联的每个请求唯一的会话密钥。在一些实施例中，会话密钥可以与用于在凭证请求者和服务器计算机400之间建立安全通信信道(例如，tls、ssl等)的加密密钥相同或不同。凭证生成模块412可以结合处理器401生成或以其他方式检索凭证以满足请求。密码引擎422和处理器401可以使用会话密钥来使用加密算法对该凭证进行加密，并且可以将加密的凭证提供给凭证请求者。在一些实施例中，所生成的会话密钥也被提供给具有加密的凭证的凭证请求者。

尽管服务器计算机400和服务提供商计算机300已经用仅实现其功能中的一些的hsm来描述，但是应当理解，也可以在hsm内部实现相应计算机的其他功能(例如，凭证生成)。此外，相应hsm功能中的一些或全部也可以在hsm外部实现。

ii.方法

根据本发明实施例的方法可以参考图5来描述，该图示出根据本发明实施例的用于利用对等转发凭证处理请求的方法的流程图500。图5包括第一通信装置515a、服务器计算机530和第二通信装置515b。在一些实施例中，第一通信装置515a可对应于图1的第一通信装置101a；服务器计算机530可以对应于图1的服务器计算机130；和/或第二通信装置515b可以对应于第二通信装置101b。

在步骤s501处，第一通信装置515a与服务提供商计算机进行登记处理。服务提供商计算机可以通过通信网络与服务器计算机530进行通信。登记过程可以在接收方的请求(例如，交易或访问请求)之前进行。登记过程可以使得能够根据第一数据元素(例如，金额、访问级别等)在第一通信装置515a上提供凭证。

在步骤s502处，服务器计算机530利用登记信息生成原始凭证。在步骤s503处，服务器计算机530将所生成的原始凭证发送到第一通信装置515a。凭证可用于进行购买，用于访问建筑物或数据等。

另外，实施例可以使得第一通信装置515a能够请求生成与原始凭证关联的第二凭证。授权的用户池的成员可以利用第二凭证。为了请求生成与原始凭证关联的第二凭证，可以使用第一通信装置515a输入围绕第二凭证的信息。

围绕第二凭证的信息可以涉及第二凭证的使用程度、谁可以使用第二凭证和/或如何将第二凭证输送给其接收方。例如，如果第二凭证是与第一支付令牌关联的第二支付令牌，则可以由与第一支付令牌关联的用户设置界限，诸如支出限额、到期日期和/或时间、第二支付令牌可使用的具体商家位置等。用户还可以指定第二支付令牌的接收方以及特定输送信道，该特定输送信道将用于将第二支付令牌输送给接收方。如果第二凭证是与第一访问令牌关联的第二访问令牌，则可以指定诸如使用地点、特定地点的访问级别以及访问持续时间的界限。用户还可以指定第二访问令牌的接收方以及特定输送信道，该特定输送信道将用于将第二访问令牌输送给接收方。

在步骤s504处，可以将与接收方关联的第二数据元素(例如，金额、访问级别等)和输送信道标识符(例如，电子邮件地址)以及围绕第二凭证的任何其他信息输入到第一通信装置515a中。可以通过第一通信装置515a上的用户接口输入信息。当输入输送信道标识符时，接收方可以被验证为授权的用户池的成员。在一些实施例中，也可以输入第二凭证可以是有效的时间段。如果在该时间段内没有使用第二凭证，则第二凭证可能无效。

在步骤s505处，确认输入的信息，并且从第一通信装置515a发送请求以生成第二凭证。请求可以包括原始凭证、与要生成的任何凭证的使用有关的数据、以及与要用于向接收方发送第二凭证的输送信道相关的数据。

在步骤s506处，服务器计算机530接收请求并生成第二凭证。第二凭证可以与先前输入的第二数据元素(例如，金额、访问级别等)和输送信道标识符(例如，电子邮件地址)关联。在一些实施例中，第二凭证可以是时间敏感的。例如，在第二凭证可能保持有效的时间段由第一通信装置515a的用户指定或由服务器计算机530分配的实施例中，第二凭证可以存储初始时间戳并且可能不能在初始时间戳过后的时间段之后由接收方使用。随后，不能满足使用第二凭证的请求。在一些情况下，第二凭证可以与其对应的输送信道数据、以及从其导出第二凭证的原始凭证一起存储。

在步骤s507处，服务器计算机530通过与先前输入的输送信道标识符(例如，电子邮件地址)关联的输送信道(例如，电子邮件)向接收方发送第二凭证。输送信道可以是任何合适的信道，其可以将第二凭证安全地输送给接收方，而不向其他实体显露第二凭证。输送信道标识符可以是链接到接收方并与输送信道关联的唯一标识符。

在步骤s508处，操作第二通信装置515b的接收方接收第二凭证。接收方可以通过输送信道接收第二凭证，并且可以通过访问与先前在第一通信装置515a上输入的输送信道标识符关联的账户来访问第二凭证。例如，接收方可以通过打开与在第一通信装置515a上输入的接收方电子邮件地址关联的电子邮件账户来访问第二凭证。在一些实施例中，第二通信装置515b可以接收通知以通知接收方他们已经接收到第二凭证。

在步骤s509处，与第二通信装置515b关联的接收方在请求(例如，交易、访问、购买等)的同时提供所接收的第二凭证和输送信道标识符。接收方还可以在交易期间提供其输送信道标识符作为验证其真实性的签名。在一些实施例中，接收方102b可能能够在特定的指定时间段期间利用第二凭证。如果接收方102b在经过该时间段之后试图利用第二凭证进行请求，则错误可能会阻止该请求得到满足。

在以上示例中，输送信道标识符可以是明文。在其他实施例中，输送信道信息可以被加密、散列或以其他方式混淆。在其他实施例中，输送信道标识符或派生物可用于签署交易或访问数据。在这些情况下，服务器计算机530将具有确定输送信道信息所需的手段。

在步骤s510处，使用第二凭证并根据第二数据元素来满足请求(例如，交易被处理或访问被许可)。在步骤s511a和s511b处，在已经满足请求之后，可以向第一通信装置515a和第二通信装置515b发送确认消息。确认消息可以由用于发送第二凭证的输送信道或任何其他合适的通信信道发送。

图6示出根据本发明实施例的用于利用对等转发子令牌处理交易的方法的流程图。图6包括由用户102a操作的第一通信装置101a、由接收方102b操作的第二通信装置101b、服务提供商计算机110、资源提供商计算机150、传输计算机160、交易处理计算机120和授权实体计算机140。可以参考图1描述图6。

在步骤s602处，用户102a在第一通信装置101a上进行对服务提供商计算机110(例如，数字钱包应用提供商)的登记过程，以登记账户并请求与该账户关联的令牌以用于交易。登记过程可以在接收方102b进行交易之前进行。用户102a可以输入敏感信息(例如，诸如pan的账户信息、到期日期、cvv、cvv2等)，以便能够使用第一通信装置101a进行交易。用户102a可以进一步指定被授权来利用从与用户102a的账户关联的令牌生成的子令牌执行交易的支付池(例如，家庭成员、朋友等)。在一些实施例中，支付池的成员可以由输送信道标识符来标识。

在步骤s604处，服务提供商计算机110将对与用户102a的账户关联的第一令牌的请求发送到交易处理计算机120。

在步骤s606处，交易处理计算机120利用由用户102a提供的登记信息来生成令牌。交易处理计算机120的凭证生成模块可以生成可以用作真实账户标识符(例如，pan)的替代物的支付令牌，并且维持支付令牌和pan之间存储的关联。凭证交换模块可能能够将支付令牌“翻译”回原始的pan，以便在交易期间使用。令牌可以具有关联的数据元素(例如，授权用户102a使用的金额)。

在步骤s608处，交易处理计算机120将所生成的令牌发送到第一通信装置101a。操作第一通信装置101a的用户102a可以利用令牌来进行购买。

在步骤s610处，用户102a通过第一通信装置101a从服务提供商计算机110请求生成与令牌关联的子令牌。子令牌可以由用户102a管理的授权支付池(例如，接收方102b)的成员使用。为了请求生成与令牌关联的子令牌，用户102a可以提供令牌，并且可以使用第一通信装置101a输入围绕子令牌的信息。例如，用户102a可以将与接收方102b关联的数据元素(例如，金额)和输送信道标识符(例如，电子邮件地址)输入到第一通信装置101a中。可以通过用户接口输入信息，该用户接口可以与第一通信装置101a上的数字钱包应用关联。当输入输送信道标识符时，用户102a可以验证接收方是支付池的被授权成员。输入的数据元素可以是用户102a允许接收方102b在交易期间从用户102a的账户利用的金额或值。在一些实施例中，用户102a还可以输入子令牌可能有效的时间段。如果在该时间段内没有使用子令牌，则子令牌可能无效。在一个示例中，用户102a可以通过激活数字钱包应用中的软件按钮来确认输入的信息。在一些实施例中，按钮可以用硬件来实现，或者可以通过其他手段(例如面部、语音、生物信息等)激活。

在一些实施例中，所生成的子令牌可以具有与从其生成的令牌相同的形式。例如，令牌可以是16位，并且子令牌也可以是16位。在其他实施例中，令牌可以包括16位数字和序号(例如，1)。子令牌可以是具有不同序号(例如2)的相同的16位数字。

在步骤s612处，服务提供商计算机110将对子令牌的请求发送到交易处理计算机120。

在步骤s614处，交易处理计算机120接收请求并生成子令牌。子令牌可以与用户102a输入的数据元素(例如，金额)和输送信道标识符(例如，电子邮件地址)关联。在一些实施例中，子令牌可以是时间敏感的。例如，如果用户102a指定子令牌可以保持有效的时间段，则子令牌可以存储初始时间戳，并且在初始时间戳已经过去之后的时间段之后可能不能被接收方102b利用。随后，不能进行利用子令牌的交易，所以对用户102a的账户不收取任何值。在一些实施例中，诸如交易处理计算机120的另一个实体可以确定时间段。在一些情况下，子令牌可以与其对应的输送信道数据、以及从其导出子令牌的令牌一起存储。

在步骤s616处，交易处理计算机120通过与由用户102a输入的输送信道标识符(例如，电子邮件地址)关联的指定输送信道(例如，电子邮件)向第二通信装置101b发送子令牌。输送信道可以是任何合适的信道，其可以安全地将子令牌输送到接收方102b而不向其他实体显露子令牌。输送信道标识符可以是链接到接收方102b并与输送信道关联的唯一标识符。接收方102b可以通过访问与由用户102a输入的输送信道标识符关联的账户来访问子令牌。例如，接收方102b可以通过打开与用户102a输入的接收方电子邮件地址关联的电子邮件账户来访问子令牌。在一些实施例中，第二通信装置101b可以接收通知以通知接收方102b它们已经接收到用户102a所请求的子令牌。

在步骤s618处，在稍后的时间，第二通信装置101b在交易或购买时向资源提供商计算机150提供子令牌和输送信道标识符。例如，接收方102b可以在资源提供商计算机150的pos终端处进行交易。由接收方102b操作的第二通信装置101b可以通过任何合适的方法(例如，nfc、可扫描图像等)与与资源提供商计算机150通信的访问装置进行无线通信，以发送子令牌。接收方102b还可以在交易期间提供其输送信道标识符作为验证其真实性的签名。输送信道标识符可以由接收方102b输入到访问装置中。在一些实施例中，接收方102b可以口头传达输送信道标识符，或向pos终端处的收银员展示显示输送信道标识符的第二通信装置101b的显示屏。在一个实施例中，接收方102b可能能够在由用户102a指定的特定时间段期间利用子令牌。如果接收方102b在时间段过去之后试图利用子令牌进行购买，则错误可能妨碍交易持续。

接收方102b也可以在其他交易环境中使用子令牌。例如，接收方102b可以通过电子商务网页进行在线交易，并且在支付期间利用从令牌生成的子令牌。输送信道标识符可以用作授权代码，以确保子令牌被接收并被授权以供接收方102b使用。在一些实施例中，接收方102b可以用第二通信装置101b上的数字钱包应用来支付，接收方102b可以通过该数字钱包应用提供子令牌和输送信道标识符。

在步骤s620-s626处，使用子令牌处理交易。

在步骤s620处，资源提供商计算机150可以生成包括子令牌和交易金额的授权请求消息。一旦生成，授权请求消息可以被传送到传输计算机160。

在步骤s622处，传输计算机将授权请求消息转发到交易处理计算机120。

在步骤s623处，在交易处理计算机120接收到授权请求消息之后，交易处理计算机120可以评估子令牌以确定是否在与原始支付令牌关联的用户先前建立的条件下使用它。例如，用户可能已经通知交易处理计算机120，子令牌的交易限额为100美元，并且应该仅在杂货店使用。如果授权请求中的数据指示这些条件不满足，则交易处理计算机120可能会拒绝该交易。交易处理计算机120然后可以生成授权响应消息并将其发送回资源提供商计算机150，从而通知子令牌的接收方交易被拒绝。如果子令牌满足与原始支付令牌关联的用户提出的所有使用条件，则交易处理计算机120然后可以使用子令牌来确定原始支付令牌，并且可以确定与原始支付令牌关联的真实pan(主账号)。

在步骤s624处，交易处理计算机可以将授权请求消息与真实pan传送到授权实体计算机140。

在步骤s625处，授权实体计算机然后确定是否可以对交易进行授权。授权实体计算机可以确定授权请求消息中与pan关联的账户是否具有足够的资金或信用，并且还可以确定交易是否超过预定的资金阈值。

在步骤s626处，在授权实体计算机140进行授权决定之后，它可以生成批准或拒绝交易的授权响应消息并将其发送回交易处理计算机120。

在步骤s627处，交易处理计算机120可以从pan确定令牌，并且还可以从令牌确定子令牌。然后可以将子令牌插入授权响应消息中以替换pan。

在步骤s628和s629处，交易处理计算机120可以通过传输计算机160将授权响应消息转发回资源提供商计算机150。资源提供商计算机150然后将子令牌存储在其记录中代替真实pan。在上述过程中，与用户102a关联的敏感数据不会暴露给接收方102b和资源提供商计算机150。

在交易完成之后，可以在步骤s630处将确认消息从交易处理计算机120发送到第二通信装置101b，并在步骤s632处发送到第一通信装置101a。确认消息可以由用于发送子令牌的输送信道或任何其他合适的通信信道发送。

在稍后的时间点上，可以在传输计算机160、交易处理计算机120和授权实体计算机140之间进行清算和结算过程。资源提供商计算机150可以首先向传输计算机160提供具有子令牌和关联的交易数据的文件。运输计算机160然后可以使用子令牌将任何清算和结算消息传送到交易处理计算机120。然后，在授权过程中，如上所述将子令牌转换成真实pan，以便于在传输计算机160和授权实体计算机140之间交换消息和转移资金。

为了提供图6的示例性流程的具体示例，假定父母(例如，用户102a)想要基于父母拥有的令牌来将子令牌分发给他们的孩子(例如，接收方102b)。父母可能希望为他们的孩子提供子令牌，以便在当天晚些时候在父母不在场的情况下电影院使用子令牌。父母可以将他们的孩子加入他们的支付池，从而使得孩子能够被授权使用子令牌。在他们的通信装置上利用移动应用，父母可以输入对应于孩子可以利用的子令牌的金额，诸如$20。父母也可以输入孩子的电子邮件地址，子令牌可以通过该电子邮件地址输送给孩子。此外，父母可以指定子令牌有效直到一天结束为止。

父母可以通过他们的通信装置上的移动应用来确认信息，并将其发送到交易处理计算机，该交易处理计算机可以生成子令牌并将子令牌发送给孩子的电子邮件地址以供使用。当孩子在电影院时，他可以从他的移动装置打开包含子令牌的电子邮件，并将其呈现在pos终端。在提供他的电子邮件地址之后，通过该电子邮件地址将子令牌作为他的签名发送，子令牌可以被授权以供使用。孩子可以购买$20的价值，向父母的账户收取。在交易完成之后，可以向孩子和父母发送电子邮件确认。

在一些实施例中，用户102a可以输入与多个接收方对应的信息，以便分发与原始凭证关联的多个凭证。每个凭证可以包括不同金额和接收方输送信道标识符。例如，用户102a可以将价值$20的第一子令牌发送给接收方a，将价值$40的第二子令牌发送给接收方b，并且将价值$80的第三子令牌发送给接收方c，其中所有三个接收方都是由用户102a授权的支付池的成员。

虽然以上示例描述了从原始令牌生成的子令牌，但是实施例不限于此，因为本发明可以在任何对等支付上下文中使用。例如，用户102a可能从与其账户关联的真实pan创建次账号。次账号可以被发送到接收方102b的电子邮件地址(或通过另一个输送信道)。在购买期间，接收方102b可以提供他们的电子邮件地址(或输送信道标识符)和次账号。在一些实施例中，次账号可以是预付账号。预付账号可以在购买期间由接收方以与现金相似的方式使用。在一些实施例中，次账号可以与第二账户关联，其中由用户102a指定的某一金额可以存入第二账户。

另外，在一些实施例中，发送方的财务账户信息对接收方屏蔽，所以接收方从不接收或不能访问发送方的财务账户信息。

生成与可能分发给被授权实体的原始令牌关联的子令牌也可以应用于金融交易上下文之外。例如，本发明实施例可以被用于指定被授权的个人池的某些访问权限，该被授权池可以提供子令牌和装置信道标识符，并且子令牌从该装置信道标识符接收以便被授权访问。例如，图7示出根据本发明实施例的建筑物访问系统的框图。用户706a操作具有指定第一数据元素(例如，第一组访问权利)的第一凭证的第一通信装置710a。用户706a可以通过第二通信装置710b请求指定将第二数据元素(例如，第二组访问权利)提供给用户706b的第二凭证。该请求可以包括与用户706b关联的输送信道标识符。用户706b可以通过输送信道接收第二凭证并将其提供给第二通信装置710b。此后，第一通信装置710a和第二通信装置710b可以与访问装置720交互并将其各自的凭证(以及在第二通信装置710b的情况下的输送信道标识符)传递到访问装置720。访问装置720可以在本地分析凭证以确定是否应该授予对建筑物730的访问，或者它可以与远程定位的服务器计算机(未示出)进行通信。远程定位的服务器计算机可以分析安全通知数据以确定是否应该授予对建筑物730的访问，并且可以将指示该信息的信号传送回访问装置720。然后，访问装置720可以根据相应的数据元素继续允许或拒绝由用户706a和/或706b访问建筑物730。

本发明实施例可以提供许多优点。本发明使得用户能够授权将来可以被授权的接收方使用的特定金额或特定的访问级别。这是有效的，因为请求用户不必在场或在接收方的请求期间提供任何输入。此外，在交易上下文中，交易可以仅通过子令牌连接到用户的账户。这可以确保交易的安全性，因为与用户关联的敏感数据不会暴露给接收方和商家。本发明实施例也是方便的，因为原始用户可以容易地分发和控制第二凭证(例如，子令牌)的使用，而不会为这些第二凭证的接收方打开新账户。

计算机系统可以用于实现上述任何实体或部件。计算机系统的子系统可以通过系统总线互连。可使用另外的子系统，诸如打印机、键盘、固定磁盘(或包括计算机可读介质的其他存储器)、耦合到显示适配器的监视器及其他。耦合到i/o控制器(可以是处理器或任何合适的控制器)的外设和输入/输出(i/o)装置可以通过任何本领域已知的手段(诸如串行端口)连接到计算机系统。例如，串行端口或外部接口能够用来将计算机设备连接到广域网(诸如互联网)、鼠标输入装置或扫描器。通过系统总线的互连使中央处理器能够与每个子系统通信，并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。在一些实施例中，监视器可以是触敏显示屏。

计算机系统可以包括例如通过外部接口或内部接口连接在一起的多个相同的部件或子系统。在一些实施例中，计算机系统、子系统或设备可以通过网络进行通信。在这种情况下，一台计算机可以被认为是客户端，另一台计算机可以被认为是服务器，其中每台计算机可以是同一计算机系统的一部分。客户端和服务器可以各自包括多个系统、子系统或部件。

应当理解，本发明的任何实施例可以使用硬件(例如专用集成电路或现场可编程门阵列)和/或使用计算机软件以控制逻辑的形式借助通用可编程处理器以模块化或集成方式实现。如本文中描述的，处理器包括同一集成芯片上的单核处理器、多核处理器或单个电路板上的或联网的多个处理单元。基于本文中提供的公开和教导，本领域技术人员会知道并意识到使用硬件及硬件和软件的组合实现本发明的实施例的其他方式和/或方法。

本申请中描述的任何软件组件或功能可以实现为使用任何适当计算机语言(比方说例如java、c、c++、c#、objective-c、swift)或脚本语言(诸如perl或python)，使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以作为一系列指令或命令存储在用于存储和/或传输的计算机可读介质上，合适的介质包括随机存取存储器(ram)、只读存储器(rom)、诸如硬盘驱动器或软盘的磁介质、或诸如光盘(cd)或dvd(数字通用盘)的光学介质、闪存等。计算机可读介质可以是这些存储或传输装置的任何组合。

还可以使用载波信号编码和传输这些程序，载波信号适于经由符合各种协议(包括互联网)的有线、光和/或无线网络传输。因此，根据本发明的实施例的计算机可读介质可以使用用这些程序编码的数据信号创建。用程序代码编码的计算机可读介质可以与可兼容装置一起打包或从其他装置单独地提供(例如通过互联网下载)。任何这种计算机可读介质可以驻存在单个计算机产品(例如硬盘、cd或整个计算机系统)之上或之内，并且可以出现在系统或网络内的不同计算机产品之上或之内。计算机系统可以包括监视器、打印机或用于向用户提供本文中提到的任何结果的其他适当显示器。

以上描述是示意性的不是限制性的。本领域技术人员在查看本公开后，会明白本发明的许多变形。因此，本发明的范围应当不参照上文描述确定，而是应当参照所附权利要求连同其全部范围或等同物确定。例如，虽然已经针对图6中的交易处理计算机120描述了具体的功能和方法，但是此类功能可以由诸如授权实体计算机140的其他计算机执行。

在不偏离本发明的范围下，任何实施例的一个或多个特征可以与任何其他实施例的一个或多个特征组合。

除非明确指示有相反的意思，“一个/种”、“该/所述”的叙述旨在表示“一个或多个”。

上文提到的所有专利、专利申请、公开和描述出于所有目的通过引用被并入本文中。不承认它们为现有技术。