管理敏感信息的通信的制作方法

1.本技术涉及管理联网系统的通信，并且更具体地说，涉及一种服务器计算机和一种用于管理此系统内多个实体之间的敏感信息传输的方法。


背景技术：

2.随着技术的进步，正在进行的无现金交易的数量不断增加，这使得在通常包括几个不同实体的支付网络之间传输的与此类交易相关联的数据量不断增加。作为此类支付网络一部分的典型交易系统允许用户通过从卡或装置获得信息并且将交易详情和获得的信息传送到系统内的例如支付服务提供商之类的实体以进行进一步处理，来使用支付卡或计算装置进行支付。
3.某些交易系统包括第三方，用户在所述第三方具有账户并且与所述第三方交换关于交易的通信，以便基于交易的详情更新用户账户的状态。
4.对交换与交易有关的多个通信的交易系统进行改进将是有利的。此外，在交易系统内增加发送给第三方的通信的安全性将是有利的。


技术实现要素：

5.根据本公开的第一方面，提供了一种计算机实施的方法。所述方法包括：由第一服务器从第二服务器接收与在所述第二服务器具有账户的用户有关的第一敏感信息；由所述第一服务器从用户装置经由由所述第一服务器托管的数据输入页面接收第二敏感信息，其中所述数据输入页面被配置成接收与所述用户相关联的第二敏感数据，并且所述第二敏感信息与所述第一敏感信息不同；以及由所述第一服务器使所述第一敏感信息与所述第二敏感信息相关联。所述第一服务器和所述第二服务器经由第一通信信道进行通信，并且所述第一服务器和所述用户装置经由第二不同的通信信道进行通信。
6.根据本公开的第二方面，提供了一种服务器计算机，其包括：处理器；以及计算机可读介质，其被配置成存储可执行指令，其中所述服务器计算机被配置成与用户装置和第二服务器计算机进行通信，并且所述处理器被配置成执行被存储的可执行指令以：经由第一通信信道从所述第二服务器计算机接收与在所述第二服务器具有账户的用户有关的第一敏感信息；从所述用户装置接收与所述用户相关联的第二敏感数据，其中第二敏感信息与所述第一敏感信息不同；经由第二不同的通信信道从所述用户装置经由所述数据输入页面接收第二敏感信息；以及使所述第一敏感信息与所述第二敏感信息相关联。
7.根据本公开的第三方面，提供了一种系统，其包括客户端计算机、第一服务器和第二服务器，其中所述第一服务器被配置成：经由相应数据传输信道与所述第二服务器和所述客户端计算机交互；经由所述相应数据传输信道从所述第二服务器接收与在所述第二服务器具有账户并且与所述客户端计算机相关联的用户有关的第一敏感信息；提供可由所述客户端计算机访问的数据输入页面；经由所述相应数据传输信道从所述客户端计算机接收经由所述数据输入页面与所述用户相关联的第二敏感信息，其中所述第二敏感信息与所述
第一敏感信息不同；并且使所述第一敏感信息与所述第二敏感信息链接；其中所述客户端计算机被配置成：访问所述数据输入页面以允许所述用户将所述第二敏感信息输入到所述数据输入页面中；并且经由所述相应数据传输信道将所述第二敏感信息提供到所述第一服务器；其中所述第二服务器被配置成：标识所述用户的所述账户；使用被标识的账户检取与所述用户有关的所述第一敏感信息；并且经由所述相应数据传输信道将所述第一敏感信息发送到所述第一服务器。
附图说明
8.从以下结合附图的详细描述中可以明显看出本公开的各种特征，结合附图一起示出了本公开的特征，并且其中：
9.图1是根据实例的交易系统的示意图。
10.图2是根据实例的第一服务器计算机的示意图。
11.图3是根据实例的图1的交易系统的示意图。
12.图4是根据实例的图1的交易系统的示意图。
13.图5是根据实例的用户装置的示意图。
14.图6是根据实例的交易系统的示意图。
15.图7是根据实例的由第一服务器计算机存储的数据库的示意性表示。
具体实施方式
16.图1示出交易系统100，本文所描述的实施例对其具有特定应用。
17.交易系统100包括第一服务器计算机110、第二服务器计算机120和用户装置130。第一服务器计算机110和第二服务器计算机120经由第一通信信道210进行通信。第一服务器计算机110和用户装置130经由第二通信信道220进行通信。在一个实例中，第一服务器计算机110和第二服务器计算机120可以接收、处理并且维护与用户装置130的用户有关的信息以及使用所述信息进行的任何交易。第一通信信道210和第二通信信道220可以是跨例如互联网或专用网络之类的网络的通信信道。
18.用户装置130可以是与用户相关联的客户端计算机、便携式电子装置，例如智能手机、智能手表、可穿戴装置或平板电脑。用户装置130可以执行例如电子移动钱包应用程序之类的软件应用程序，所述软件应用程序存储与用户有关的支付数据，所述支付数据使得用户能够使用装置进行交易。
19.图2示出第一服务器计算机110，本文所描述的实施例对其具有特定应用。第一服务器计算机110包括通信接口111、存储器112和处理器130。通信接口111经由第一通信信道210和第二通信信道220(图1)接收和发送通信，从而与第二服务器计算机120和用户装置130交互。通信接口111耦合到存储器112和处理器113，并且经由内部总线(未示出)将任何接收到的通信转发到处理器113。存储器112耦合到处理器113并且存储可由处理器113执行以使第一服务器计算机110执行一个或多个过程的计算机可读指令114。例如，处理器113可以执行一个或多个软件应用程序的计算机可读指令。
20.链接数据
21.在一个实例中，与用户装置130相关联的用户可以在第二服务器计算机120具有账
户。例如，第二服务器计算机130可以将服务提供给用户并且维护用户的记录，其中所述记录包含与用户有关的敏感信息。在一个实例中，敏感信息可以是用户的姓名、地址、出生日期、账户标识符和历史交易数据。另外，与用户装置130相关联的用户可以在第一服务器计算机110具有一个或多个其它账户。例如，第一服务器计算机110可以托管可由用户装置130访问的服务，并且为用户维护每个服务的记录，其中所述记录包含与用户有关的敏感信息。在一个实例中，敏感信息可以是包括支付卡详情(例如，主账号(pan)、卡标识符、来自卡号的数字和卡安全代码)、用户的支付账户详情(例如，银行名称和账号)和用户的历史支付数据的支付信息。
22.在一个实例中，系统100可以使用第一通信信道210和第二通信信道220为用户执行数据链接过程，下文将参考图3更详细地描述。作为此数据链接过程的结果，可以在用户的来自不同来源的不同敏感信息之间定义关联，所述关联可以被其它过程使用，将参考图6更详细地描述。
23.图3示出根据实例的图1的系统100和作为数据链接过程的一部分在系统100的组件部分之间交换的通信流。
24.在步骤s301处，第一服务器计算机110从第二服务器计算机120接收包含第一敏感信息的第一消息m1。第一敏感信息涉及在第二服务器计算机120具有账户的用户。
25.在步骤s302处，第一服务器计算机110从用户装置130接收包含第二敏感信息的第二消息m2。第二敏感信息经由由第一服务器计算机110托管的数据输入页面接收，并且被传送到第一服务器计算机110。数据输入页面被配置成接收与用户相关联的第二敏感数据。第二敏感信息与第一敏感信息不同。在一个实例中，在接收到第二敏感信息之后，第一服务器计算机110可以在第二敏感信息与第一敏感信息相关联之前验证第二敏感信息。
26.在一些实例中，步骤s301由用户装置130访问由第二服务器计算机120托管的网页触发，例如，由于用户与用户装置130交互而访问用户账户并且使用装置130上的网络浏览器导航到其账户。在一些情况下，步骤s130可以在没有用户参与的情况下被触发，例如，由连接到与第二服务器计算机120相关联的例如wi-fi网络之类的网络的用户装置130触发。
27.在302之后，第一服务器计算机110使第一服务器计算机110维护的数据库(图7)内的第一敏感信息与第二敏感信息相关联。例如，第一敏感信息和第二敏感信息的关联可以是将第一信息和第二信息与相同的用户标识符一起存储，将第一信息和第二信息存储在由第一服务器计算机110维护并且与用户相关联的单个记录中，以及将第一敏感信息和第二敏感信息存储在包括指向彼此的指针的单独记录中。在每个实例中，指定共同用户标识符或将第一敏感信息和第二敏感信息中的一个标识到所述记录或每个记录的任何未来访问请求，例如读取请求可能使得检取或至少标识第一敏感信息和第二敏感信息。
28.在一个实例中，在接收到第二敏感信息之后，第一服务器计算机110可以在第二敏感信息与第一敏感信息相关联之前验证第二敏感信息。
29.在一个实例中，可以重复参考图3描述的过程，以便以多对一关系使其它敏感信息与第一敏感信息链接。
30.使用不同通信信道发送相应敏感信息使得能够在单个位置，即第一服务器计算机110处从不同来源安全地接收不同敏感信息：在此实例中，不同来源为第二服务器计算机120和用户装置130。具体地说，因为(i)第一敏感信息从第二服务器计算机120直接传送到
第一服务器计算机110，并且不与用户装置130共享，以及(ii)第二敏感信息从用户装置130直接传送到第一服务器计算机110，并且不与第二服务器计算机120共享。因此，与在信息源与信息目标之间没有两个不同的直接通信信道的系统进行比较，包含敏感信息的单独通信的数目减少了。这增加了系统100的安全性和效率。
31.此外，减少了每次通信的敏感信息量，从而提高了安全性，因为如果任何一个通信被未经授权的第三方拦截，则只会泄露一条敏感信息。
32.此外，第一敏感信息与第二敏感信息之间的关联以及第一服务器计算机110与第二服务器计算机120之间的直接通信增加了由第二服务器计算机120使用第一敏感信息执行的过程的效率，因为所述过程由第一服务器计算机110使用第二敏感信息执行的另一过程自动发起，反之亦然。此外，所述关联意味着无需将第一敏感信息或第二敏感信息提供到第一服务器计算机110，以便使用相应信息发起任何后续过程，因为第一服务器已经存储了所述关联以及第一敏感信息和第二敏感信息。
33.此外，第二服务器计算机120与第一服务器计算机110之间的直接通信210具有以下作用：用户装置130不参与生成第一敏感信息或将第一敏感信息提供到第一服务器计算机110。以此方式，用户装置不涉及第一敏感信息，所述第一敏感信息：(i)消除了在用户装置130处错误输入信息的风险(从而增加信息的可靠性)；以及(ii)避免了将第一敏感信息存储在用户装置130上，例如在用户装置130上操作的浏览器可以将此类敏感信息存储在浏览器历史记录或网络日志中，这被认为是不安全的。此外，包含第一敏感信息的通信的数量减少，从而降低了第一敏感信息被拦截的风险。
34.图4示出根据实例的图1的系统100和系统100的组件部分之间的通信流。图4提供了图3的实例的其它详情。
35.对于步骤s301，在步骤s401处，第一服务器计算机110从第二服务器计算机120接收包括第一敏感信息的第一消息m11，其中第一敏感信息涉及在第二服务器计算机120具有账户的用户。在一个实例中，第二服务器计算机120维护包括与多个用户有关的信息的数据库。每个用户可以在第二服务器计算机120具有例如在线账户之类的账户，由此用户先前已向第二服务器计算机120提供了特定信息并且获得了服务，其中被提供的信息存储在对应于其账户的数据库记录中。第二服务器计算机120可以在数据库的对应记录中存储与每个用户有关的信息，以促进访问用户的账户以获得第一敏感信息。在一个实例中，第二服务器计算机120可以使用与用户相关联的标识符对其数据库进行搜索，以便找到对应账户信息。用户装置130可以将标识符提供到第二服务器计算机120。在一些实例中，消息m11还包含由第二服务器计算机120生成的重定向url，并且在稍后的时间点将所述重定向url转发到用户装置(步骤s406)。
36.在步骤s402处，第一服务器计算机110生成包括会话标识符的第二消息m12并且将所述第二消息发送到第二服务器计算机120。在一些实例中，第二消息m12可以嵌入第一令牌内。第一令牌可以用作会话标识符的替换物或替代物。
37.在步骤s403处，第二服务器计算机120生成第三消息m13，所述第三消息将会话标识符和与会话标识符相关联的数据输入页面的url转发到用户装置130。所述url由第二服务器计算机120生成，并且特定于用户装置130的用户，以允许第二服务器计算机120标识哪个用户是发送到url的任何通信的对象。第二服务器计算机120可以使用第一令牌将会话标
识符提供到用户装置130。例如，会话标识符可以嵌入第一令牌内或附加到第一令牌。所述url和会话标识符使用户装置能够访问由第一服务器计算机110托管的对应数据输入页面，并且经由数据输入页面将第二敏感信息提供到第一服务器计算机110。
38.在步骤s404处，响应于使用url和会话标识符从用户装置130接收到请求，第一服务器计算机110可以将例如网络数据输入页面提供到用户装置130上的浏览器，这包括在第四消息m14中。在一些实例中，数据输入页面在浏览器内作为iframe打开。在一些实例中，第一服务器计算机110使用数据输入页面发送第二令牌，其中第一令牌与第二令牌不同。第二令牌可用于将数据提交到数据输入页面中。
39.使用第一令牌和第二令牌提供了对接收到的数据的完整性进行验证的另一方式，并且因此使得在令牌已被修改的情况下能够更容易地标识被拦截的通信。在一个实例中，第一令牌和第二令牌可以是作为一次性使用令牌并且被锁定到特定资源的json网络令牌(jwt)，在图4的实例中，所述特定资源是第一令牌的会话标识符，并且是第二令牌的提交数据。所述jwt可存在于系统100的相应实体之间的http请求的标头中，并且用于验证jwt随附的数据或消息的来源。在一个实例中，使用例如rsa256算法之类的不对称算法生成jwt。
40.在步骤s405处，第一服务器计算机110经由数据输入页面从用户装置130接收包括第二令牌的第五消息m15，所述第二令牌包括会话标识符和第二敏感信息。会话标识符为用户装置130提供向第一服务器计算机110标识由用户装置130发送的第二敏感信息的方式。在一些实例中，第一服务器计算机110通过将第二敏感信息转发到账户验证实体来验证第二敏感信息。
41.在验证第二信息之后，第一服务器计算机110使第二敏感信息与第一敏感信息相关联。
42.在步骤s406处，第一服务器计算机110在第七消息m17中将重定向url提供到用户装置130。重定向url使得用户装置130的浏览器自动访问与第二服务器计算机120相关联并且由重定向url标识的网页。
43.在一个实例中，参考图4所描述的过程可以使用与第一服务器计算机110直接通信的其它服务器计算机重复，使得第一服务器计算机110将从相应其它服务器接收的其它敏感信息与第二敏感信息链接。因此，第二敏感信息可以与由多个来源提供的信息链接，因此呈多对一关系。因此，提交到第一服务器计算机110的数据库的对第二敏感信息的访问请求可以返回先前由第一服务器计算机110使之与第二敏感信息相关联的一些或所有敏感信息。
44.图5示出用户装置130。用户装置130可能正在运行网络浏览器132，其访问由第二服务器计算机120托管的网页以在图4的步骤s401处发起数据链接过程。网络浏览器132还可以在图4的步骤s404处访问由第一服务器计算机110托管的数据输入页面134。网络浏览器132通过将会话标识符提供到第一服务器计算机110来访问数据输入页面134，其中会话标识符在图4的步骤s403处经由第二服务器计算机120从第一服务器计算机110接收。网络浏览器132可以随后访问与在图4的步骤s406处提供到用户装置130的重定向url相关联的网页。
45.使用案例-链接数据
46.在一些实例中，由第一服务器计算机110维护的链接或相关联敏感信息可以是不
同来源之间的关联，例如在用户装置上执行的电子钱包应用程序与忠诚方案提供商的忠诚方案账户之间的关联，并且用于处理涉及用户装置的交易。
47.图6示出根据实例的图1的系统100和作为使用链接数据的过程的一部分的在系统100的组件部分之间传输的通信流。
48.在此实例中，系统100以通信方式耦合到商家销售点(pos)装置150。pos装置150与基于交易向用户提供商品和/或服务或对其进行访问的商家相关联。
49.为了发起此交易，在步骤s601处，执行电子钱包应用程序的例如手机之类的用户装置130将敏感信息提供到pos装置150。在一个实例中，敏感信息包括支付卡详情或支付账户的详情。在步骤s602处，pos装置150将敏感信息和对应交易数据传送到第一服务器计算机110。在一个实例中，对应交易数据包括交易金额。在一个实例中，pos装置150另一计算实体通信，所述另一计算实体在将支付和/或交易数据转发到第一服务器计算机110之前对支付和/或交易数据进行处理。
50.第一服务器计算机110维护数据库700(图7)，所述数据库包含各自在第一服务器计算机110具有账户的多个用户的敏感信息。
51.在图7的实例中，数据库700具有五列：记录id；姓氏；忠诚卡id；支付卡id；以及账号，并且维护多个记录730，每个记录对应于相应用户。忠诚卡id列包含先前由第二服务器计算机120提供到第一服务器计算机110的第一敏感信息710，作为数据链接过程的一部分(参考图1-图5描述)。支付卡id列和账号列包含先前由用户装置130提供到第一服务器计算机110的第二敏感信息720，作为数据链接过程的一部分(参考图1-图5描述)。
52.基于在步骤s601处接收到的敏感信息，例如支付卡详情或支付账户的详情，第一服务器计算机110标识数据库700中的多个记录中与用户装置130相关联的记录。在此实例中，敏感信息包括支付卡标识符“3003”。因此，标识符“3003”用作数据库700内搜索的基础。基于“3003”的搜索将在数据库700中标识带有记录id“3”的记录。第一服务器计算机110继续从被标识的记录“3”检取先前与数据链接过程中接收到的敏感信息“3003”相关联的其它敏感信息，例如忠诚卡id号“67832”，其中根据上文所描述的步骤301和401，其它敏感信息中的至少一些先前由第二服务器计算机120提供。
53.返回到图6，在步骤s603处，第一服务器计算机110将交易数据和至少包括被标识的记录“3”内的忠诚卡id“67832”的至少一些敏感信息传送到第二服务器计算机120，用户装置130的用户在所述第二服务器计算机具有账户。第二服务器计算机120使用忠诚卡id“67832”标识用户的账户，并且基于交易数据更新用户的账户。
54.在一些实例中，在步骤s603之后，第二服务器计算机120将通信发送到用户装置130，以向用户通知其在第二服务器计算机120的账户已经基于交易进行更新了。
55.在其它实例中，例如可由第二服务器计算机120查询第一服务器计算机110，以检取由第二服务器计算机120维护的账户与由第一服务器计算机110维护的一个或多个账户之间的关联的详情。
56.实施方案实例
57.参考图1-图7描述的系统100可能在交易系统中具有特定应用，其中第一服务器计算机110是支付处理服务器，并且第二服务器计算机120是忠诚方案服务器。支付处理服务器110可包括交易服务提供商和/或发行方服务器，或者可与其进行通信，以处理交易和支
付数据以使用户与商家之间的交易能够得到授权并完成。忠诚方案服务器120维护多个用户的忠诚账户，并且基于和响应于相应用户在商家位置，例如在商家的pos装置处进行的交易来更新每个账户的状态，所述商家位置可以位于商店中或作为商家网站上的软件实施。因此，忠诚方案服务器120和支付处理服务器130在用户交易中具有共同的利益。
58.如上文所描述，与用户有关并且从不同来源接收的不同敏感信息可以彼此链接或相关联。在前述交易系统实例中，支付处理服务器110从忠诚方案服务器120接收与用户有关的敏感信息(例如，忠诚方案标识符)并从用户装置130接收与用户有关的敏感信息(例如，支付卡详情)，并且定义所述忠诚标识符与所述支付卡详情之间的关联，并且因此对于用户的忠诚账户，用户可以拥有实体或电子忠诚账户卡，以及对于用户的支付账户，用户可以拥有实体或电子支付卡。因此，用户的忠诚账户与用户的支付账户之间的关联应理解为用户的忠诚账户卡与用户的支付账户卡之间的关联。在一个实例中，用户可以通过重复参考图3和图4所描述的方法将多个支付卡链接到单个忠诚账户卡。在此情境中，在图7的实例中，数据库将包含单个“忠诚卡id”列和多个“支付卡id”列，例如“第1支付卡id”、“第2支付卡id”等。
59.如参考图6和图7所描述的，基于与单个用户有关的不同敏感信息之间的关联，可以监测交易数据并且将其直接从支付处理服务器110传递到忠诚方案服务器120，使得在支付处理服务器110正在处理交易时，无需用户干预或与用户装置130的进一步通信即可更新由忠诚方案服务器120维护的用户账户。例如，用户不需要使用其忠诚账户卡和其支付账户卡分别与商家的pos装置150交互。实际上，pos装置150与用户的支付账户卡之间的单次交互有助于更新用户的忠诚账户，这简化了交易系统100及其交互，如上文所描述。
60.交易数据可以与由忠诚方案服务器120先前接收到的敏感信息(例如，忠诚账户标识符或对应忠诚卡号)一起发送到忠诚方案提供商120，以使忠诚方案提供商120能够标识相关的用户账户。交易数据可以包括以下各项中的一个或多个：唯一支付账户或卡标识符；验证码；交易标识符；交易金额；交易货币；交易日期和时间；商家描述符名称；以及商家标识符。
61.忠诚方案服务器120分析交易数据以确定要对对应用户账户进行的任何更新。此分析可包括将交易数据与由忠诚方案服务器120存储或由商家的pos装置150提供的与商家有关的数据进行比较，以确定交易数据是否有资格作为对用户的忠诚账户进行更新的基础。
62.在一个实例中，忠诚方案提供商可以通过基于接收到的交易数据增加计数器值来更新用户账户。例如，可以基于交易的货币值将若干积分奖励到用户的忠诚账户。
63.在交易系统100内使用的通信较少，并且因此在系统内传送的敏感信息较少，这意味着忠诚方案服务器120和交易系统100作为一个整体以更加高效且安全的方式操作。此外，在一些实例中，忠诚方案服务器120可能不符合支付卡行业数据安全标准(pci dss)，并且因此可能被称为超出“pci范围”。因此，交易系统100使忠诚方案服务器120能够从支付处理服务器110接收关于交易的详情，而不需要变为pci兼容的。
64.在前述描述中，出于解释的目的，阐述了某些实例的许多具体详情。说明书中对“实例”或类似语言的提及意指结合实例描述的特定特征、结构或特征包括在至少一个实例中，但不一定包括在其它实例中。
65.尽管本文参考附图描述的实施例的至少一些方面包括在处理系统或处理器中执行的计算机过程，但本发明还延伸到适于将本发明付诸实践的计算机程序，具体地说是在载体上或载体中的计算机程序。程序可以呈非瞬态源代码、目标代码、中间源代码以及例如呈部分编译形式或呈适合于在实施根据本发明的过程的任何其它非瞬态形式的目标代码的形式。载体可以是能够携带程序的任何实体或装置。例如，载体可以包括存储介质，例如固态驱动器(ssd)或其它基于半导体的ram；rom，例如cd rom或半导体rom；磁记录介质，例如软盘或硬盘；一般光学存储器装置；等。
66.以上实例应被理解为说明性的。应理解，关于任何一个实例所描述的任何特征可单独使用，或与所描述的其它特征结合使用，并且还可与任何其它实例的一个或多个特征结合使用，或与任何其它实例的任何组合结合使用。此外，还可以采用上文未描述的等同物和修改。