使用交易特定信息的令牌和密码的制作方法

背景技术：

本专利申请是2015年2月17日提交的美国临时申请号62/117,291的非临时申请，并要求其权益，所述申请出于所有目的通过引用整体并入本文中。

背景技术

令牌可用于防止数据外泄。例如，令牌可用于代替个人信息，诸如驾驶执照号码、账户信息和社会安全号码等。令牌化信息可以减少欺诈的风险，因为与真实信息不同，可容易替换受损的令牌，以使得受损的令牌变得无用。虽然令牌最小化风险，但是欺诈者仍然可能在使用时捕获令牌，并可能尝试立即重用令牌。此外，也可能以欺诈的方式窃取并使用设置有令牌的装置(例如，智能电话)。

还存在其他问题。例如，无论令牌是否被使用，在商家交易期间诸如商家的一方可以无意地发起与显示给用户以获得批准的金额不同的金额的交易。

本发明的实施例分别以及一起解决了这些和其他问题。

技术实现要素：

本发明的实施例涉及用于执行交易的基于云的一次性令牌处理系统。

本发明的一个实施例涉及一种方法，包括：由移动通信装置从访问装置接收访问装置数据；由移动通信装置生成包括访问装置数据和通信装置数据的令牌请求；由移动通信装置将令牌请求发送到服务器计算机，其中服务器计算机此后确定令牌并生成密码，其中密码是使用访问装置数据和通信装置数据生成的；由移动通信装置接收令牌和密码；以及由移动通信装置将令牌和密码提供给访问装置，其中访问装置将密码和令牌转发给验证密码并处理令牌的服务器计算机。

处理令牌可以包括涉及令牌的任何合适的活动。例如，处理令牌可以涉及将包括令牌的消息传送到另一个计算机，以使得计算机可以验证或确定与令牌关联的基本标识符。处理令牌可以可替代地包括确定与令牌关联的基本标识符和/或对令牌执行附加认证或欺诈处理。

本发明的另一个实施例涉及被配置成执行上述方法的移动通信装置。

本发明的另一个实施例涉及一种方法，包括由访问装置向移动通信装置提供访问装置数据，其中移动通信装置生成包括访问装置数据和通信装置数据的令牌请求并将令牌请求发送到向移动通信装置返回令牌和令牌密码的服务器计算机；由访问装置从移动通信装置接收令牌和密码；由访问装置生成授权请求消息；以及由访问装置将授权请求消息传送到服务器计算机，其中服务器计算机使用令牌验证密码并处理交易。

本发明的另一个实施例涉及被配置成执行上述方法的访问装置。

关于本发明的实施例的其他细节在附图中参考具体实施方式进行描述。

附图说明

图1示出根据本发明实施例的第一交易系统的框图。图1中示出用户执行支付交易的流程中的步骤。

图2示出根据本发明实施例的移动通信装置的框图。

图3示出根据本发明实施例的访问装置的框图。

图4示出根据本发明实施例的令牌化计算机的框图。

图5示出根据本发明实施例的第二交易系统的框图。图5中示出用户获得对建筑物的访问的流程中的步骤。

具体实施方式

本发明的实施例可以并入用于执行交易的基于云的令牌处理系统和方法。可以使用本发明的实施例的交易的类型包括但不限于访问交易(例如，当用户尝试进入某个位置、地点或建筑物时)、支付交易和数据请求交易。

在本发明的一个实施例中，属于用户的移动通信装置(例如，智能电话)可以捕获显示在商家pos终端上的快速响应(qr)码。qr码可以对交易特定信息、位置信息、商家相关信息(例如，商家标识符)和任何其他相关信息进行编码。在捕获qr码时，移动通信装置可以使用至少编码在qr码中的信息来从远程服务器计算机(其可以是基于云的令牌生成和验证系统)请求令牌和密码。在移动通信装置获得令牌和密码之后，移动通信装置可随后将令牌和密码传递给pos终端。pos终端可随后生成授权请求消息(包括编码在qr码中的信息、令牌和密码中的至少一些)并将该授权请求消息发送到由用于创建令牌的账号的发行者操作的发行者计算机和/或到交易处理计算机。这些计算机中的一个或两个随后接收授权请求消息，并且使用授权请求消息中的信息和共享加密密钥来验证密码。发行者计算机或交易处理计算机可随后通过以下方式来确定交易的风险级别：(i)匹配密码和授权请求消息中的交易数据、(ii)确保装置合理地邻近商家终端(例如，pos终端)、和/或(iii)确定与装置关联的最近的交易计数是否合理。

本发明的实施例相对于常规方法和系统提高了交易安全性。例如，根据本发明的实施例生成的密码将交易限制为具有可以在授权请求消息(例如，交易金额、商家位置、时间、日期、账户标识符、到期日期、cvv等)中传递的对应的交易特定信息以及围绕销售点处的移动装置与访问装置之间的交互的信息的交易。

在详细讨论本发明的实施例之前，将在下面更详细地描述一些术语。

“移动通信装置”或“移动装置”可以包括用户可以运输或操作的任何合适的电子装置，该装置还可以提供与网络的远程通信能力。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如，3g、4g或类似网络)、wi-fi、wi-max或可以提供诸如互联网或专用网络之类的网络访问的任何其他通信介质。移动装置的示例包括移动电话(例如蜂窝电话)、pda、平板计算机、网络书籍、膝上型计算机、个人音乐播放器、手持式专用阅读器等。移动装置的其他示例包括可穿戴装置，诸如智能手表、健身手环、脚链、戒指、耳环等，以及具有远程通信能力的汽车。移动装置可以包括用于执行此类功能的任何合适的硬件和软件，并且还可以包括多个装置或部件(例如，当装置通过系固到另一个装置而远程访问网络-即，使用其他装置作为调制解调器-一起使用的两个装置可以被认为是单个移动装置)。

“支付装置”可以包括可以用来进行金融交易诸如向商家提供支付凭证的任何装置。支付装置可以是软件对象、硬件对象或物理对象适当的支付装置可以是手持的、紧凑的，以使得其能够放到用户的钱包和/或口袋中(例如口袋大小的)。示例支付装置可以包括智能卡、磁条卡、密钥链装置(诸如可从exxon-mobil公司购买的speedpass^tm)等。这些装置可以以接触或非接触模式工作。在一些实施例中，移动装置可以用作支付装置(例如，移动装置可以存储并且能够传送用于交易的支付凭证)。

“通信装置数据”可以包括与通信装置关联的任何合适的数据。此类数据可以存储在通信中，并且在一些情况下，它可以独立于与资源提供商处的访问装置的任何通信而存在。通信装置数据的示例可以包括存储在通信装置上的账户标识符、装置标识符、与由通信装置执行的认证处理相关的认证数据(例如，生物计量模板、诸如密码的存储的秘密等)、由通信装置创建的时间戳等。

“证书”可以是充当价值、所有权、身份或权限的可靠证据的任何合适的信息。凭证可以是一串数字、字母或任何其他合适的字符，以及可以充当确认的任何对象或文档。凭证的示例包括价值凭据、身份证、公证文件、访问卡、密码以及其他登录信息等。

“价值凭证”可以是与价值关联的信息。价值凭证的示例包括支付凭证、优惠券标识符、获得促销优惠所需的信息等。

“支付凭证”可以包括与账户关联的任何合适的信息(例如，与账户关联的支付账户和/或支付装置)。这些信息可以与账户直接相关，或者可以从与账户相关的信息中推导出来。账户信息的示例可以包括pan(主账号或“账号”)、用户姓名、到期日期、cvv(卡验证值)、dcvv(动态卡验证值)、cvv2(卡验证值2)、cvc3卡验证值等。支付凭证可以是识别支付账户或与支付账户关联的任何信息。可以提供支付凭证以便从支付账户进行支付。支付凭证还可以包括用户名、到期日期、礼品卡号或代码以及任何其他合适的信息。

“应用”可以是存储在可以由处理器执行以完成任务的计算机可读介质(例如存储元件或安全元件)上的计算机代码或其他数据。

“数字钱包”可以包括允许个人进行电子商务交易的电子装置。电子钱包可以存储用户配置文件信息、支付凭证、银行账户信息、一个或多个数字钱包标识符等，并且可以用在各种交易中，这些交易诸如但不限于电子商务、社交网络、转账/个人支付、移动商务、接近支付、博彩等等，用于零售购买、数字商品购买、公用事业支付、在博彩网站购买博彩或博彩点券、用户间转移资金等。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上，以便进行支付而无需输入账号或呈现物理卡。

“数字钱包提供商”可以包括向用户发行使得用户能够进行金融交易的数字钱包的实体，诸如开证银行或第三方服务提供商。数字钱包提供商可以代表持卡人(或其他用户)提供存储账号或账号的表示(例如，支付令牌)的独立的面向用户的软件应用，以便于在多于一个不相关的商家处进行支付，执行人对人支付，或将财务价值加载到数字钱包中。数字钱包提供商可以使用户能够通过个人计算机、移动装置或访问装置访问其账户。此外，数字钱包提供商还可以提供以下功能中的一个或多个：代表用户存储多个支付卡和其他支付产品、存储包括账单地址、送货地址和交易历史的其他信息、以及通过一种或多种方法启动交易。

“令牌”可以是凭证的替代值。令牌可以是一串数字、字母或任何其他合适的字符。令牌的示例包括支付令牌、访问令牌、个人识别令牌等。

“支付令牌”可以包括支付账户的标识符，其是账户标识符的替代，诸如主账号(pan)。例如，令牌可以包括可以用作原始账户标识符的替代的一连串字母数字字符。例如，令牌“4900000000000001”可以代替pan“4147090000001234”使用。在一些实施例中，令牌可以是“保留格式的”，并且可以有与现有的支付处理网络中使用的账户标识符一致的数字格式(例如，iso8583金融交易消息格式)。在一些实施例中，令牌可以代替pan使用来启动、授权、处理或解决支付交易，或者在通常将提供原始凭证的其他系统中表示原始凭证。在一些实施例中，可以生成令牌值，使得由令牌值恢复原始pan或其他账户标识符不可以由计算得到。进一步地，在一些实施例中，令牌格式可以被配置成使接收令牌的实体将其识别为令牌，并识别发行令牌的实体。

“令牌化”是用替代数据代替数据的过程。例如，可以通过用可能与支付账户标识符关联的替代号(例如，令牌)代替主账户标识符来令牌化支付账户标识符(例如，主账号(pan))。此外，令牌化可以应用于可以用替代值(即令牌)代替的任何其他信息。令牌化可用于提高交易效率并改善交易安全性。

“令牌化计算机”或“令牌服务系统”可以包括服务支付令牌的系统。在一些实施例中，令牌服务系统可以促进请求、确定(例如，生成)和/或发行令牌，以及在储存库(例如，令牌库)中维持所建立的令牌到主账号(pan)的映射。在一些实施例中，令牌服务系统可以为给定的令牌建立令牌确保等级，以指示令牌对pan绑定的置信级。令牌服务系统可以包括存储生成的令牌的令牌库或与该令牌库进行通信。令牌服务系统可以通过使令牌去令牌化来获得实际pan来支持使用令牌提交的支付交易的令牌处理。在一些实施例中，令牌服务系统可以包括单独的令牌化计算机，或者包括与其他计算机(诸如交易处理网络计算机)组合的令牌化计算机。令牌化生态系统的各种实体可以承担令牌服务提供商的角色。例如，支付网络和发行者或其代理人可以通过实现令牌服务而成为令牌服务提供商。

“令牌域”可以指示令牌可以用在其中的区域和/或环境。令牌域的示例可以包括但不限于支付通道(例如，电子商务、物理销售点等)、pos登录模式(例如，非接触式、磁条等)和用于唯一识别可以使用令牌的地点的商家标识符。可以由令牌服务提供商建立一组参数(即令牌域限制控制)作为令牌发行的一部分，该组参数可以允许在支付交易中强制执行令牌的适当使用。例如，令牌域限制控制可以限制具有特定呈现模式(诸如非接触式或电子商务呈现模式)的令牌的使用。在一些实施例中，令牌域限制控制可以限制在能够唯一识别的特定商家处的令牌的使用。一些示例性令牌域限制控制可能需要验证对于给定交易是唯一的令牌密码的存在。在一些实施例中，令牌域可以与令牌请求者相关联。

“令牌到期日”可以指令牌的到期日期/时间。令牌到期日可以在交易处理期间在令牌化生态系统的实体之间传递，以确保互操作性。令牌过期日期可以是数值(例如4位数值)。

“令牌请求消息”或“令牌请求”可以是用于请求令牌的电子消息。在一些实施例中，令牌请求消息可以包括可用于识别支付账户或数字钱包的信息和/或用于生成令牌的信息。例如，令牌请求消息可以包括支付凭证、移动装置识别信息(例如，电话号码或msisdn)、数字钱包标识符、识别令牌化服务提供商的信息、商家标识符、密码和/或任何其他合适的信息。可以加密包括在令牌请求消息中的信息(例如，使用发行者特定密钥)。在一些实施例中，令牌请求消息可以包括指定消息是令牌请求消息的标记或其他指示符。

“令牌响应消息”或“令牌响应”可以是响应于令牌请求的消息。令牌响应消息可以包括批准或拒绝令牌请求的指示。令牌响应消息还可以包括令牌、移动装置识别信息(例如，电话号码或msisdn)、数字钱包标识符、识别令牌化服务提供商的信息、商家标识符、密码和/或任何其他合适的信息。可以加密包括在令牌响应消息中的信息(例如，使用发行者特定密钥)。在一些实施例中，令牌响应消息可以包括指定消息是令牌响应消息的标记或其他指示符。

“密码”可以包括加密的字符。密码可以是任何合适的长度，并且可以使用任何合适的数据转换过程形成。示例性数据转换过程包括加密，并且可以使用诸如des、三元des、aes和ecc的加密过程。与这种加密过程一起使用的密钥可以是任何适当的长度，并且可以具有任何合适的特性。

“资源提供商”可以是可以提供诸如商品、服务、信息和/或访问的资源的实体。资源提供商的示例包括商家、访问装置、安全数据访问点等。“商家(merchant)”通常可以是参与交易并且能够出售商品或服务或提供对商品或服务的访问的实体。

“收单方(acquirer)”通常可以是与特定商家或其他实体有商业关系的商业实体(例如商业银行)。一些实体能够执行发行方和收单方功能。一些实施例可以包括这种单实体发行方-收单方。收单方可以操作收单方计算机，其也可以被统称为“传输计算机”。

“授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文档库、访问管理员等。“发行方”通常可以指维持用户账户的商业实体(例如，银行)。发行方还可以向消费者发行存储在用户装置(诸如蜂窝电话、智能卡、平板电脑或膝上型计算机)上的支付凭证。授权实体可以操作授权计算机。

“访问装置”可以是提供对远程系统的访问的任何合适的装置。访问装置还可以用于与商家计算机、交易处理计算机、认证计算机或任何其他合适的系统通信。访问装置通常可以位于任何适当位置，诸如在商家所在的位置。访问装置可以是任何适当形式。访问装置的一些示例包括pos或销售点装置(例如，pos终端)、蜂窝电话、pda、个人计算机(pc)、平板pc、手持式专用阅读器、机顶盒、电子现金出纳机(ecr)、自动柜员机(atm)、虚拟现金出纳机(vcr)、营业亭、安全系统、访问系统等。访问装置可以使用任何合适的接触或非接触操作模式以向用户移动装置发送或从其接收数据或与用户移动装置关联。在访问装置可以包括pos终端的一些实施例中，任何适当的pos终端可以被使用，并且其可以包括阅读器、处理器和计算机可读介质。阅读器可以包括任何适当的接触或非接触操作模式。例如，示例性读卡器可以包括射频(rf)天线、光学扫描器、条形码阅读器或磁条阅读器以与支付装置和/或移动装置交互。在一些实施例中，用作pos终端的蜂窝电话、平板电脑或其他专用无线装置可以称为移动销售点或“mpos”终端。

“访问装置数据”可以包括从访问装置获得的任何合适的数据。访问装置数据的示例可以包括商家标识符、交易金额、位置信息(例如，访问装置的gps位置)、交易时间戳、访问装置标识符等。

“授权请求消息”可以是请求对交易的授权的电子消息。在一些实施例中，将授权请求消息发送到交易处理计算机和/或支付卡的发行方以请求对交易的授权。根据一些实施例的授权请求消息可以符合iso8583，iso8583是用于交换与用户使用支付装置或支付账户进行的支付关联的电子交易信息的系统的标准。授权请求消息可以包括可以与支付装置或支付账户关联的发行方账户标识符。授权请求消息还可以包括与“识别信息”对应的附加数据元素，只作为示例包括：服务代码、cvv(卡验证值)、dcvv(动态卡验证值)、pan(主账号或“账号”)、支付令牌、用户姓名、到期日期等等。授权请求消息还可以包括“交易信息”，诸如与当前交易关联的任何信息，诸如交易金额、商家标识符、商家位置、收单银行(acquirerbank)标识号(bin)、卡接受者id、识别购买的物品的信息等，以及可以用来确定是否识别和/或授权交易的任何其他信息。

“授权响应消息”可以是响应于授权请求的消息。在一些情况下，授权响应消息可以是对授权请求消息的电子消息回复。授权响应消息可以由发行金融机构或交易处理计算机生成。授权响应消息可以包括(只作为示例)以下状态指示符中的一个或多个：批准-交易被批准；拒绝-交易不被批准；或呼叫中心-响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或者通过交易处理计算机)返回商家的访问装置(例如pos设备)的指示交易被批准的代码。代码可以用作授权的证据。如上文指出的，在一些实施例中，交易处理计算机可以生成或向商家转发授权响应消息。

“服务器计算机”可以包括功能强大的计算机或计算机集群。例如，服务器计算机可以是大的主机、小型计算机集群或像一个单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦连至网络服务器的数据库服务器。服务器计算机可以耦连到数据库并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑、或前述内容的组合。

“处理器”可以包括中央处理单元(cpu)。处理器可以包括单核处理器、多个单核处理器、多核处理器、多个多核处理器或者被配置成执行计算装置的算术运算、逻辑运算和/或输入/输出操作的任何其他适当的硬件组合。

图1示出根据本发明的实施例的令牌处理系统100的框图和流程图。令牌处理系统100可用于执行支付交易。

令牌处理系统100包括可以与访问装置125交互的移动装置115。访问装置125可以通过资源提供商计算机130、传输计算机140和交易处理计算机150与授权计算机160通信。移动装置115还可以与令牌化计算机170通信。图1所示的计算机和装置中的每一个可以使用任何合适的通信网络进行通信。合适的通信网络可以是下列中的任何一个和/或组合：直接互连、互联网、局域网(lan)、城域网(man)、作为节点操作任务在因特网上(omni)、安全定制连接、广域网(wan)、无线网络(例如使用诸如但不限于无线应用协议(wap)、i-模式等等的协议)和/或其他。

本文描述的计算机、网络和装置之间的消息可以使用诸如但不限于文件传输协议(ftp)、超文本传输协议(http)、安全超文本传输协议(https)、安全套接层(ssl)、iso(例如，iso8583)和/或其他的安全通信协议来传送。

图2示出根据本发明的实施例的移动装置115的详细框图。

移动装置115可以包括用于实现某些装置功能(诸如电话技术)的电路。负责实现这些功能的功能元件可以包括处理器115a，其可以执行实现装置的功能和操作的指令。处理器115a可以访问存储器115e(或另一个合适的数据存储区域或元件)以检索指令或在执行指令中使用的数据，诸如配备脚本和移动应用。

诸如生物计量扫描器(例如，指纹或视网膜扫描器)、键盘或触摸屏的数据输入/输出元件115c可以允许用户操作移动装置115并且输入数据(例如，用户认证数据)。其他数据输入元件可以包括相机，其可以用于捕获在访问装置或其他装置上显示的二维码(例如，qr码)。数据输入/输出元件还可以被配置成输出数据(例如通过扬声器)。输出元件的示例可以包括可以用于向用户输出数据的显示器115b。

通信元件115d可以用于使得移动装置115与有线或无线网络(例如，通过天线115h)之间的数据传输能够帮助连接到因特网或其他网络，并且实现数据传输功能。移动装置115还可以包括非接触元件接口115f，以实现装置的非接触元件115g与其他元件之间的数据传输，其中非接触元件115g可以包括安全存储器和近场通信数据传输元件(或另一种形式的短距离通信技术)。

如上所述，蜂窝电话或类似装置是可以根据本发明的实施例使用的移动装置115的示例。然而，在不脱离本发明的基本概念的情况下，可以使用其他形式或类型的装置。例如，移动装置115可以可替代地是支付卡、密钥卡、平板计算机、可穿戴装置等的形式。

存储器115e可以包括数字钱包应用115e-1、令牌化模块115e-2和认证模块115e-3以及任何其他合适的模块或数据。移动装置115可以具有安装或存储在存储器115e上的任何数量的移动应用，并且不限于图7所示的那个。存储器115e还可以包括可由处理器115a执行的代码，以实现一种方法，该方法包括：从访问装置接收访问装置数据；生成包括访问装置数据和通信装置数据的令牌请求；将令牌请求发送到服务器计算机，其中服务器计算机此后确定与用户关联的令牌并生成密码，其中密码是使用访问装置数据和通信装置数据生成的；接收令牌和密码；以及将令牌和密码提供给访问装置，其中访问装置将密码和令牌转发给验证密码并处理令牌的服务器计算机。在一些实施例中，存储器115e还可以包括安全元件，其可以存储加密密钥、账户标识符和/或令牌和密码。

数字钱包应用115e-1可以为用户110提供用户界面，以使用移动装置115来提供输入并启动、促进和管理交易。数字钱包应用115e-1可以能够存储和/或访问支付令牌和/或支付凭证。数字钱包应用115e-1还可以存储发行方特定密钥或任何其他合适的加密装置。数字钱包应用115e-1可以能够使得移动装置115能够以任何合适的方式(例如，nfc、qr码等)传送支付令牌和/或支付凭证。

数字钱包应用115e-1可以与钱包提供商计算机、授权计算机160、交易处理计算机150、传输计算机140、资源提供商计算机130或任何其他合适的实体关联和/或由它们提供。

令牌化模块115e-2可以是数字钱包应用115e-1的模块或移动装置120上的单独应用。令牌化模块115e-2可以包括致使处理器115a获得支付令牌的代码。例如，令牌化模块115e-2可以包含致使处理器115a从令牌化计算机170或任何其他合适的令牌化服务提供商或系统(例如授权计算机160或交易处理计算机150)请求令牌的逻辑。在一些实施例中，移动装置120可以能够与令牌化计算机170无线通信，并且可以能够将直接请求发送到令牌化计算机170。

认证模块115e-3可以包括致使处理器115a进行认证过程以认证用户110的代码。认证模块115e-3可以包括用户的生物计量信息、用户的秘密等，其可以用于认证用户110。

图3示出根据本发明的实施例的访问装置125的详细框图。访问装置125可以包括可操作地耦连到至少网络接口125b、装置通信接口125c和计算机可读介质125d的处理器125a。计算机可读介质125d包括机器可读代码生成模块125d-1和授权处理模块125d-2。

代码生成模块125d-1可以包括代码，该代码在由处理器125a执行时可以致使访问装置125生成机器可读代码，诸如一维或二维条码。

授权处理模块125d-2可以包括代码，该代码在由处理器125a执行时可以致使访问装置125生成授权请求消息，传送授权请求消息，接收授权响应消息并处理授权响应消息。

计算机可读介质125d还可以包括代码，该代码在由处理器125a执行时可以实现一种方法，该方法包括向移动通信装置提供访问装置数据，其中移动通信装置生成包括访问装置数据和通信装置数据的令牌请求并将令牌请求发送到向移动通信装置返回令牌和令牌密码的服务器计算机；由访问装置从移动通信装置接收令牌和密码；由访问装置生成授权请求消息；以及由访问装置将授权请求消息传送到服务器计算机，其中服务器计算机使用令牌验证密码并处理交易。

图4示出根据本发明的实施例的令牌化计算机170的详细框图。令牌化计算机170包括处理器170a、网络接口170b、令牌记录数据库170c以及计算机可读介质170d。

计算机可读介质170d可以包括令牌化模块170d-1、去令牌化模块170d-2、安全模块170d-3以及任何其他合适的软件模块。

令牌化模块170d-1可以包括致使处理器170a提供支付令牌的代码。例如，令牌化模块170d-1可以包含致使处理器170a生成支付令牌和/或将支付令牌与一组支付凭证关联的逻辑。令牌记录可随后存储在令牌记录数据库170c中，以指示支付令牌与某个用户110或某组支付凭证关联。

去令牌化模块170d-2可以包括致使处理器170a使支付令牌去令牌化的代码。例如，去令牌化模块170d-2可以包含致使处理器170a识别令牌记录数据库170c中的与支付令牌关联的令牌记录。可以随后识别与支付令牌(如令牌记录中所指示的)关联的一组支付凭证。

安全模块170d-3可以包括致使处理器170a在提供支付令牌之前验证令牌请求的代码。例如，安全模块170d-3可以包含致使处理器170a通过以下方式来确认令牌请求消息是真实的逻辑：通过解密包括在消息中的密码、通过确认支付凭证是真实的并且与请求用户110关联、通过估定与请求资源提供商计算机130关联的风险、或通过使用任何其他合适的信息。如果支付凭证被加密，则安全模块170d-3可以能够解密加密的支付凭证(例如，通过发行方特定密钥或商家收单方加密模型)。另外，安全模块170d-3可以包括密钥和算法(例如，des、tdes、aes)，其可以与处理器170a一起用于生成交易特定密码并解密此类密码。安全模块170d-3还可以被编程以致使处理器170a将密钥分发到可以执行此类密码加/解密功能的其他实体。

可以参考图1-4描述用于执行交易的方法。正在被执行的交易可以是在诸如商家的资源提供商处的支付交易。最初，用户110可以在资源提供商处选择要购买的商品或服务。

在步骤s1处，在选择商品或服务之后，访问装置125(例如诸如pos终端的商家终端)可以在显示器上生成并显示唯一的qr码。qr码可以对包括但不限于访问装置数据(诸如商家标识符、交易金额、位置信息(例如，访问装置的gps位置)、交易时间戳等)的交易特定信息进行编码。交易特定信息的其他示例可以包括但不限于过去时间段中的购买次数、商家终端的位置信息、访问装置id、令牌请求时间戳、qr码扫描的模式(例如，语音或手动)等。

在步骤s2处，用户可以使用他/她的移动装置115来扫描显示在访问装置125上的qr码。例如，移动装置115可以是具有摄像机的智能手机。摄像机可以捕获qr码并将qr码的图像存储在装置的存储器内以用于进一步处理。在其他实施例中，可以使用无线连接(诸如wifi、蓝牙或nrc)乃至交互的接触模式将访问数据从访问装置125传输到移动装置115。

在一些实施例中，用户110在从访问装置125获得交易信息(例如，编码在由访问装置显示的qr码中的信息)之前向移动装置115进行认证。可替代地，在一些实施例中，用户110可以使用第二装置(例如，可穿戴装置)，该第二装置可通信地耦连到移动装置115以捕获qr码(例如，连接到智能电话装置的头戴式显示器)。用户可以通过例如发出语音命令来使用任一装置验证用户(例如，语音认证)来对该装置进行认证。在一些情况下，头戴式装置可以捕获在访问装置125处显示的qr码(例如，通过使用连接到头戴式装置的摄像机，诸如googleglass^tm)。头戴式装置将捕获的qr码信息发送到移动装置115。这可以通过由无线数据协议(诸如蓝牙、wi-fi等)支持的安全连接发送。

在一些实施例中，系统可以确定qr码中的交易金额是否大于由操作授权计算机160的授权实体(例如，发行方)和/或用户110设置的阈值交易金额。例如，如果编码在qr码中的交易金额为$500，但是阈值交易金额为$250，则系统(例如，图1中的计算机或装置中的任一个，诸如移动装置115和访问装置125的组合)可以警告操作授权计算机160的授权实体、操作资源提供商计算机130的资源提供商和/或用户110。在这种情况下，可能需要其他步骤来继续交易。例如，如果阈值交易金额小于qr码中的交易金额，则用户110可以由访问装置125通过与移动装置115通信来提示询问pin码。在这种情况下，用户110可以将pin码输入到访问装置125中以继续交易。

返回到图1，在步骤s3处，移动装置115可以将令牌请求消息发送到令牌化计算机170，该令牌化计算机可以在基于云的网络中或者其本身可以是基于云的网络。在发送令牌请求消息之前或与发送令牌请求消息同时，移动装置115可以使用例如用户凭证、移动装置id或任何其他合适的信息来由令牌化计算机170进行认证。

令牌请求消息可以请求令牌并且可以包括上述的交易特定信息。例如，令牌请求可以包括商家id、交易金额、用户110和/或操作资源提供商计算机130的资源提供商的位置信息、令牌请求时间戳以及资源提供商(例如，商家)启动时间戳。在一些实施例中，移动装置115可以将通信装置数据(包括交易信息、gps信息、时间戳、交易计数、商家id以及任何用户认证方法)发送到令牌化计算机170。在一些实施例中，移动装置115可以在将上述信息发送到令牌化计算机170之前加密上述信息。可以以这样的方式加密信息，以使得它只能由令牌化计算机170解密。

在步骤s4处，在从移动装置115接收到令牌请求消息和交易特定信息时，令牌化计算机170可以生成用于移动装置115的令牌、令牌到期日期和交易密码。可以使用适当的加密密钥和已知算法，诸如aes、tdes和des。交易密码可以包括可以从至少交易特定信息(包括商家id、交易金额、用户和商家的位置以及时间戳)导出的认证信息。令牌可以与属于移动装置115的用户110的支付账户的pan关联。

在步骤s5处，令牌化计算机170可以将在令牌响应消息中的生成的令牌和密码传送到移动装置115。在由令牌化计算机170认证移动装置115和用户110时，令牌和密码的生成是有条件的。在一些实施例中，可以使用iso8583字段将令牌和密码发送到移动装置115。

在一些实施例中，令牌化计算机170可以返回为移动装置115提供的令牌和唯一生成的待用于验证和令牌确保的密码。根据并符合iso8583字段，可将以下信息发送到移动装置115并且随后发送到访问装置125：令牌、令牌到期日期和唯一生成的密码(例如，令牌密码)。令牌密码可以包括以下信息：用户(例如，装置的)gps位置信息、过去时间帧(由发行方指定)中的购买次数、商家id、商家终端的gps位置、交易启动时间戳、交易金额、令牌请求时间戳以及qr码扫描启动的模式(例如，语音启动、手动屏幕解锁、手动头戴式显示器启动等)。

在步骤s6处，在移动装置115接收到令牌和密码之后，用户110可以使用他/她的移动装置与访问装置125交互。例如，用户110可以将他/她的移动装置115分接到访问装置125以启动nfc连接。在另一个示例中，用户110可以经由移动装置115选择访问装置125以建立短距离连接，诸如蓝牙^tm连接。在又一个示例中，移动装置115可以生成对从令牌化计算机170接收到的信息进行编码的唯一qr码。qr码可以随后由访问装置125扫描。无论与访问装置125交互的方法如何，在启动与访问装置125连接时，访问装置125可以从移动装置115接收至少令牌、令牌到期日期和交易密码。

在一些实施例中，用户110将令牌和令牌密码呈现给资源提供商处的访问装置125。可以通过例如将移动装置115分接在与访问装置125关联的nfc阅读器上来将令牌和令牌密码呈现给访问装置125。在移动装置115上运行的应用可以将令牌、令牌到期日期和令牌密码传送到访问装置125。

在步骤s7、s8和s9中，访问装置125可以生成授权请求消息并经由传输计算机140和资源提供商计算机130将该授权请求消息发送到交易处理计算机150。授权请求消息还可以包括令牌、令牌到期日期和交易密码。

在步骤s10处，交易处理计算机150可以将授权请求消息发送到令牌化计算机170，或者可以向令牌化计算机170提供令牌和令牌密码。交易处理计算机150可以随后解密密码，并且还可以从令牌确定真实账户标识符。加密密钥和/或查找表可以用于执行这些功能。例如，可以通过查找表从令牌获得真实账户标识符。在另一个示例中，可以从令牌数学上导出真实账户标识符。

令牌化计算机170可以基于包含在交易密码内的交易特定信息来确定令牌确保等级。例如，令牌确保等级可以部分地基于(i)匹配密码和授权请求消息中的交易数据、(ii)保证用户110和访问装置125的合理近区(基于位置信息)和/或(iii)确定最近的交易计数是合理的。如上所述，令牌确保等级可以基于包含在令牌密码内的其他交易特定信息。令牌化计算机170可以将从解密的密码获得的交易特定信息与授权请求消息中的信息进行比较。

令牌确保等级还可以至少部分地基于可以基于用于启动qr码扫描的方法执行的识别和验证评分。例如，如果使用语音和pin条目两者，则可以分配更高的确保值。如果仅使用语音/pin，则可以分配中等确保值。如果既不使用语音也不使用pin，则发行方可以仅基于所使用的移动装置和任何预定的云认证方法来决策确保等级。

在一些实施例中，令牌化计算机170还可以确定令牌是否受到任何域限制。例如，如上文指出的，单一账户可以具有与其关联的许多令牌。每个令牌可以用于不同的域。例如，与账户关联的一个令牌可以用于电子商务交易，而与该账户关联的另一个令牌可以用于与芯片卡的个人交易中。如果接收到的令牌在其预期的域之外，则可以拒绝该交易。

在一些实施例中，令牌化计算机170、交易处理计算机150和/或操作授权计算机160的授权实体(例如，发行方)可以使用授权请求中的交易信息并将该交易信息与密码中的交易信息进行匹配。授权决策可以至少部分地基于从该信息导出的令牌确保等级来进行。作为例证，发行方或交易处理计算机150可以验证授权请求消息中的交易金额和商家id与从令牌密码导出的信息相匹配。另外，发行方或交易处理计算机150可以保证用户(例如，这种)和商家终端的gps位置指示它们在彼此的合理近区之内。此外，发行方或交易处理计算机150可以验证在给定时间帧内与pan关联的购买次数是合理的。发行方或交易处理计算机150可以随后将指示交易是否被批准/拒绝的授权响应消息返回到商家终端。

在步骤s11处，如果令牌化计算机170验证密码，则令牌化计算机170可以将与令牌关联的真实账户标识符返回到交易处理计算机150。如果令牌化计算机170未修改授权请求消息以包括令牌，则交易处理计算机150可以修改授权请求消息以包括令牌。

在步骤s12处，交易处理计算机150可以随后将授权请求消息传送到授权计算机160。在接收到授权请求消息之后，授权计算机160可以随后确定交易是否被授权。它可以通过确定在与授权请求消息中的账户标识符关联的账户中是否存在足够的资金或信用来做这个。它还可以对交易进行任何独立的欺诈筛选。

在步骤s13处，授权计算机160可以将包括账户标识符的授权响应消息传送回到交易处理计算机150。在步骤s14处，交易处理计算机150可以随后将授权响应消息或其中的信息传送到令牌化计算机170。在步骤s15处，令牌化计算机170可以随后返回包括令牌的授权响应消息或令牌本身。

如果交易处理计算机160仅接收令牌，则它可以随后修改授权响应消息以包括令牌，并且可以在步骤s16中将包括令牌的授权响应消息传送到传输计算机140。在步骤s17和s18中，包括令牌的授权响应消息经由资源提供商计算机130传送到访问装置125。资源提供商可以随后存储令牌而不是真实账户标识符。这提高了数据安全性，因为在资源提供商处存储令牌而不是真实账户标识符。如果资源提供商经历数据外泄并且令牌被非法获得，则它是受限的或没有用的。

在一天结束时或在任何其他合适的时间段内，可以在传输计算机140、交易处理计算机150与授权计算机160之间执行如本领域中所公知的清算和结算处理。

尽管图1示出并描述了使支付令牌和交易密码去令牌化并确定令牌确保等级的交易处理计算机150，但是应当理解，这些功能可以可替代地由包括传输计算机140、交易处理计算机150和/或授权计算机160的其他计算机执行。

尽管上述实施例涉及支付，但是本发明的实施例不限于支付。图5示出根据本发明实施例的第二交易系统的框图。图5中示出用户获得对建筑物的访问的流程中的步骤。

在图5中，上文描述了移动装置15、访问装置125、资源提供商计算机130和令牌化计算机170，并且这里不需要重复说明。然而，图5还示出希望进入建筑物180的用户110，其中对建筑物的访问由访问装置125限制。

在步骤s111处，访问装置125可以生成交易信息，诸如访问装置标识符、交易请求时间和访问装置位置。在步骤s112中可以将该信息提供给移动装置115。

在步骤s113处，移动装置115可以将来自访问装置125的信息和来自移动装置115的信息(例如，移动装置115的位置、移动装置标识符、真实账户标识符、请求时间等)传送到令牌化计算机170。

在步骤s114处，令牌化计算机可以随后生成密码并获得用于用户110的令牌，并且可以在步骤s115中将它们传送回到移动装置115。一旦移动装置115获得令牌和密码，则可以在步骤s116中将这些传送到访问装置125。

在步骤s117处，访问装置125可以将令牌和密码传送到令牌化计算机170，并且令牌化计算机170可以确定密码和密码是有效的并且可以向访问装置125提供该指示(步骤s118)。在访问装置125接收到该信息之后，可以允许用户110进入建筑物180，如步骤s120中所示。

计算机系统可以用于实现上述任何实体或部件。这种系统中的子系统可以经由系统总线互连。附加子系统包括打印机、键盘、固定磁盘和监视器，监视器耦连至显示适配器。外围设备和输入/输出(i/o)装置耦连至i/o控制器，并且可以通过本领域已知的许多手段中的任何一种(诸如串行端口)连接到计算机系统。例如，串行端口或外部接口能够用来将计算机设备连接至广域网(诸如互联网)、鼠标输入装置或扫描器。通过系统总线的互连使中央处理器能够与每个子系统通信，并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。

本发明的实施例具有许多优点。例如，通过提供具有包括来自访问装置和通信装置的数据的嵌入式信息的密码，可以验证与该密码一起使用的令牌的真实性。此外，由于使用交易数据创建密码，所以可以验证交易的特性，以保证交易特性未被资源提供商篡改。

如所描述的，本发明的服务可以涉及实现一个或多个功能、过程、操作或方法步骤。在一些实施例中，由于通过适当编程的计算装置、微处理器、数据处理器等执行一组指令或软件代码，可以实现功能、过程、操作或方法步骤。该组指令或软件代码可以存储在由计算装置、微处理器等访问的存储器或其他形式的数据存储元件中。在其他实施例中，功能、过程、操作或方法步骤可以由固件或专用处理器、集成电路等实现。

应当理解，如上文描述的本发明可以用控制逻辑的形式以模块化或集成方式使用计算机软件来实现。基于本文中提供的公开和教导，本领域的普通技术人员将会知道并意识到使用硬件和软件的组合实现本发明的其它方式和/或方法。

本文所述的任何软件组件或功能可以实现为使用任何适当计算机语言(比方说例如java,c++或perl)，使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为计算机可读介质(诸如随机存取存储器(ram)、只读存储器(rom)、磁介质(诸如硬盘或软盘)或光介质(诸如cd-rom))上的一系列指令或命令。任何这种计算机可读介质可以驻存在单个运算设备上或驻存在单个运算设备内，并且可以位于不同运算设备上或不同运算设备内。

虽然已经详细描述了某些示例性实施例并且在附图中示出，但是应当理解，此类实施例仅仅是对广泛的发明的说明而非限制，并且本发明不限于示出和描述的具体布置和结构，因为本领域的普通技术人员可以想到各种其他修改。