CN105447689B

CN105447689B - 基于不邻近相关联的CE设备而限制e卡交易

Info

Publication number: CN105447689B
Application number: CN201510589751.6A
Authority: CN
Inventors: B·坎德洛尔; S·M·瑞驰曼; F·J·祖斯塔克
Original assignee: Sony Corp
Current assignee: Sony Corp
Priority date: 2014-09-23
Filing date: 2015-09-16
Publication date: 2020-02-18
Anticipated expiration: 2035-09-16
Also published as: US9953323B2; EP3001372A1; US20160086181A1; CN105447689A

Abstract

本申请公开了基于不邻近相关联的CE设备而限制e卡交易。银行客户的CE设备被用于授权利用客户的电子借记卡或信用卡(“e卡”)进行交易。如果确定CE设备不在e卡附近，那么交易受到限制。

Description

基于不邻近相关联的CE设备而限制e卡交易

技术领域

本发明一般涉及当相关联的消费电子(CE)设备不在电子交易卡(e卡)附近时，限制e卡交易。

背景技术

计算机生态系统或者数字生态系统是一种由其持续性、自组织和可扩展性表征的自适应分布式社会技术系统。受由通过养分循环和能量流相互作用的生物成分和非生物成分组成的环境生态系统启发，整个计算机生态系统由在一些情况下可由一家公司(比如索尼)提供的硬件、软件和服务组成。每个计算机生态系统的目标是向客户提供可能期望的一切，至少部分可经因特网交换的服务和/或软件。此外，生态系统的要素(比如计算云内的应用)之间的互联和共享向客户提供增强的组织和访问数据的能力，并把它自己表现为高效的综合生态系统的未来特性。

存在两种一般类型的计算机生态系统：垂直计算机生态系统和水平计算机生态系统。在垂直方式中，几乎生态系统的所有方面都由一家公司拥有和控制，并被详细设计成彼此无缝互动。另一方面，水平生态系统把由其他实体创建的诸如硬件和软件之类的各个方面整合到一个统一的生态系统中。水平方式允许来自客户和制造商的更加多样的输入，从而增强对于新颖创新和适应变化的需求的能力。

本发明的原理针对计算机生态系统的各个具体方面，具体地针对包括诸如电子借记卡和信用卡的电子银行卡的生态系统。这种卡一般通过利用无线近场通信(NFC)以标识和/或认证数据响应来自银行自助终端的询问，与诸如该自助终端的其它终端通信，以允许货币交易或者用于其它用途，比如进入管制区。

发明内容

正如理解的，黑客或其他未经授权者有可能在电子NFC卡的所有者不知晓的情况下，利用该卡进行交易。情况如此严重，以致客户可能会因能够足够准确地声明黑客利用从电子卡盗取的信息进行的后续购买是“幽灵购买”而否认这些购买。

相应地，一种装置包括至少一个处理器，并且至少一个计算机可读存储介质包括指令，当由处理器执行时，该指令配置处理器，以确定电子交易卡(e卡)被试图用于与销售点(POS)设备进行交易，该交易包括所请求的货币量。响应于确定e卡被试图用于与POS设备进行交易，执行该指令的处理器确定与e卡分离的认证设备是否在e卡附近，并且响应于确定与e卡分离的认证设备在e卡附近，允许按所请求的货币量完成该交易。另一方面，响应于确定与e卡分离的认证设备不在e卡附近，执行该指令的处理器不允许按所请求的货币量完成该交易。

在示例中，该装置是POS设备。或者，该装置可以是认证设备。认证设备可以是与e卡的所有者相关联的消费电子(CE)设备。CE设备可以是移动电话机。

在一些实现方式中，确定认证设备是否在e卡附近包括检测来自e卡和认证设备两者的近场通信(NFC)信号。或者，当CE设备实现该逻辑时，如果CE设备从e卡接收到NFC信号，那么CE设备可进行这种接近性的确定。此外，确定认证设备是否在e卡附近可包括向CE设备查询其位置信息，并且如果CE设备位置与POS设备的位置匹配，那么确定CE设备在e卡附近。

当返回的结果是不能按所请求的货币量完成交易时，该交易可被完全阻止，或者该交易可被准许，但是按比所请求的货币量小的金额进行。

在另一方面，一种方法包括确定与电子交易卡(“e卡”)相关联的人的消费电子(CE)设备是否在e卡附近，并且响应于确定CE设备不在e卡附近，限制该交易。

在另一个方面，一种系统包括用于响应于确定电子交易卡(e卡)被试图在销售点(POS)设备处用于与POS设备进行交易而确定认证设备是否在e卡附近的装置，用于响应于确定认证设备在e卡附近而允许按所请求的货币量完成该交易的装置。另一方面，该系统还包括用于响应于确定认证设备不在e卡附近而不允许按所请求的货币量完成该交易的装置。

附图说明

参考附图，可更好地理解本发明的结构和操作两方面的细节，附图中，相同的附图标记指示相似的部分，附图中：

图1是包括按照本发明的原理的示例的示例系统的框图；

图2是示出用于监视电子银行卡(“e卡”)交易的示例CE设备逻辑的流程图；

图3是与图2的逻辑相关的示例用户界面(UI)的屏幕截图；

图4是示出用于接受或拒绝e卡交易的示例CE设备逻辑的流程图；

图5和6是用于建立认证保护和授权e卡交易的示例CE设备UI的屏幕截图；

图7和8是用于接受关于e卡交易的CE设备授权的银行计算机逻辑的备选示例的流程图；

图9是用于经触摸屏显示器输入生物特征信息的示例CE设备UI的屏幕截图；

图10和11是用于处理缺少适当的双因素认证的示例备选逻辑的流程图；

图12和13是与图10和11相关的示例CE设备UI；

图14和15是用于认证的备选示例逻辑的流程图；

图16是根据地理位置允许e卡交易的示例逻辑的流程图；

图17和17A是用于将询问通知CE设备的示例的备选e卡逻辑的流程图；

图18是与图17和17A相关的示例CE设备UI的屏幕截图；

图19是用于出于监视和报告e卡交易的目的而主动询问e卡的示例CE设备逻辑的流程图；

图20和21是用于根据销售点位置信息而允许e卡交易的示例CE设备逻辑的流程图；

图22和23是与图20和21相关的示例CE设备UI的屏幕截图；以及

图24和25分别是示例CE设备逻辑和银行逻辑的流程图，该CE设备逻辑和银行逻辑协作来比较CE设备交易记录和银行交易记录。

具体实施方式

本公开一般地涉及计算机生态系统，并具体涉及把电子卡用于货币交易、访问控制等的计算机生态系统。本文中的系统可包括通过网络相连以便可以在客户端和服务器部件之间交换数据的服务器和客户端部件，不过一些系统可不包括服务器。系统设备可包括一个或多个计算设备，包括便携式电视机(例如，智能TV，支持因特网的TV)、诸如膝上型计算机和平板计算机的便携式计算机以及包括智能电话的其它移动设备和下面讨论的附加示例。这些设备可以采用各种操作环境进行操作。例如，一些设备可以采用作为示例的来自Microsoft的操作系统或者Unix操作系统或者由Apple Computer或Google生产的操作系统。

不管如何被实现，计算设备都可包括执行指令的一个或多个处理器，该指令配置该设备来通过诸如无线网络的网络接收和传送数据。诸如服务器的设备可通过诸如SonyPlaystation(注册商标)的游戏控制台、个人计算机等来实例化。

可通过网络在网络设备之间交换信息。为此并且考虑到安全性，设备可包括防火墙、负载均衡器、临时存储装置和代理以及用于可靠性和安全性的其它网络基础结构。一个或多个设备可形成实现向网络成员提供诸如在线社交网站的安全社区的方法的装置。

这里使用的指令指的是用于处理在系统中的信息的计算机实现的步骤。指令可用软件、固件或硬件实现，并且包括由系统的各个部件进行的任何类型的程序化步骤。

处理器可以是能够借助诸如地址线、数据线和控制线的各种线路以及寄存器和移位寄存器来执行逻辑的任何常规的通用单芯片或多芯片处理器。

这里通过流程图和用户界面说明的软件模块可包括各种子例程、进程等。在不限制本公开的情况下，被申明为由特定模块执行的逻辑可被重新分发给其它软件模块和/或在单个模块中被组合在一起和/或成为在可共享的库中可用。

这里说明的本发明的原理可被实现成硬件、软件、固件或其组合；从而，说明性的部件、块、模块、电路和步骤被依据其功能进行阐述。

对于以上略为提及的内容，更进一步地，以下描述的逻辑块、模块和电路可以用下列手段实现或执行：通用处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)或者诸如专用集成电路(ASIC)的其它可编程逻辑设备、分立门或晶体管逻辑、分立硬件部件、或者被设计为执行本文所述的功能的以上手段的任何组合。处理器可以由控制器、状态机或计算设备的组合来实现。

以下讨论的功能和方法，当以软件实现时，能够以诸如但不限于C#或C++的适当的语言进行编写，并且能够被存储在计算机可读存储介质上或者通过计算机可读存储介质被传送，该计算机可读存储介质比如随机访问存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、紧致盘只读存储器(CD-ROM)或诸如数字通用盘(DVD)的其它光盘存储装置、磁盘存储装置或包括可移除U盘驱动的其它磁存储设备等。连接可以建立计算机可读介质。这种连接可以包括作为示例包含光纤、同轴线、数字用户线(DSL)和双绞线的硬连线线缆。这种连接可以包括包含红外和无线电的无线通信连接。注意，非瞬时计算机可读存储介质明确包括当失去电力时会丢失数据的诸如闪存的硬件。

包括在一个实施例中的部件能够以任何适当的组合用于其它实施例。例如，这里描述或附图所示的各种部件中的任何一些可以被组合、互换或排除在其它实施例中之外。

“具有A、B和C中至少一个的系统”(同样地，“具有A、B或C中至少一个的系统”以及“具有A、B、C中至少一个的系统”)包括具有单独的A、单独的B、单独的C、A和B一起、A和C一起、B和C一起和/或A、B和C一起等的系统。

现在详细参照图1，示出了示例生态系统10，该示例生态系统10可包括以上提及并根据本原理以下进一步描述的示例设备中的一个或多个。

每个计算设备通常与诸如媒体访问控制(MAC)地址的唯一标识相关联，并且该MAC地址可在设备内(例如，在制造时，或者由用户在与特定部件相关联时)或者在从设备接收信息的网络服务器内，与MAC地址与之相关联的部件的标识相关。

图1表示可提供的示例消费电子(CE)设备12。尽管如这里所述，可以使用其它设备，不过CE设备12优选是诸如智能电话的移动计算设备。当被实现成智能电话时，CE设备12包括一个或多个无线电话收发器14，该收发器14可遵守诸如(但不限于)Mobitex无线网络、DataTAC、GSM(全球移动通信系统)、GPRS(通用分组无线系统)、TDMA(时分多址接入)、CDMA(码分多址接入)、CDPD(蜂窝数字分组数据)、iDEN(综合数字增强网络)、EvDO(演进数据最优化)CDMA2000、EDGE(增强数据速率GSM演进)、UMTS(通用移动电信系统)、HSDPA(高速下行链路分组接入)、IEEE 802.16e(也称为微波接入全球互通或“WiMAX”)、正交频分多路复用(OFDM)的标准。

示例CE设备12可以(但不是必须)包括一个或多个显示器15，显示器15可用高清晰度或超高清晰度“4K”或者更高的平板屏幕实现，并可以是支持触摸的，以便经由显示器上的触摸接收用户输入信号。CE设备12可包括用于按照本发明的原理输出音频的一个或多个扬声器16，以及诸如例如音频接收器/麦克风的、用于例如向CE设备12输入可听得见的命令以控制CE设备12的至少一个附加的输入设备18。示例CE设备12还可以包括用于在一个或多个处理器24的控制下在至少一个网络上进行通信的一个或多个网络接口20。因此，不带限制地，接口20可以是Wi-Fi收发器，该收发器是无线计算机网络接口的示例。要理解的是，处理器24控制CE设备12执行本原理，包括这里说明的CE设备12的其他元件，比如例如控制显示器15以在其上呈现图像以及从其中接收输入。此外，注意网络接口20可以是例如有线或无线调制器或路由器、或者其它适当的接口，比如例如无线电话收发器或者如以上提及的Wi-Fi收发器等。

除了前述内容之外，CE设备12还可以包括一个或多个输入端口26，诸如例如高分辨率多媒体接口(HDMI)端口或USB端口以(例如使用有线连接)物理地连接到另一个CE设备，和/或耳机端口以将耳机连接到CE设备12用于通过耳机向用户呈现来自CE设备12的音频。例如，输入端口26可以经由线或者无线地连接到音频视频内容的线缆或卫星源。因此，该源可以是例如机顶盒，或卫星接收器，或者游戏控制台或盘播放器。

CE设备12还可以包括一个或多个有形的计算机可读存储介质28，比如基于盘的或固态存储装置。在某些实施例中，CE设备12还可以包括一个或多个位置或地点接收器，比如(但不限于)手机接收器、GPS接收器和/或高度计30，该位置或地点接收器被配置为例如从至少一个卫星或手机塔接收地理位置信息，并向处理器24提供该信息，和/或结合处理器24一起确定CE设备12被放置的高度。但是，要理解的是，按照本原理，除手机接收器、GPS接收器和/或高度计之外，别的合适的位置接收器也可以用于例如确定CE设备12在例如所有三个维度上的位置。

继续CE设备12的描述，按照本原理，在某些实施例中，CE设备12可以包括一个或多个相机32，该相机32可以是例如热成像相机、诸如网络摄像头的数字相机和/或被集成到CE设备12中并可由处理器24控制以收集图片/图像和/或视频的相机。另外，在CE设备12上的还可包括蓝牙(包括低能量蓝牙)收发器34和其他近场通信(NFC)元件36，它们用于分别使用蓝牙和/或NFC技术与其他设备进行通信。示例NFC元件可以是射频识别(RFID)元件。

更进一步地，CE设备12可以包括向处理器24提供输入的一个或多个辅助传感器38(例如，诸如加速度计、陀螺仪、记转器的运动传感器、磁传感器、红外(IR)传感器、光学传感器、速度和/或步调传感器、手势传感器(例如用于感测手势命令)，其它类型的接近传感器，比如执行图像识别以确定特定对象接近的相机等)。除了前述内容之外，注意CE设备12还可以包括红外(IR)发送器和/或IR接收器和/或IR收发器40，比如IR数据协会(IRDA)设备。可以提供电池(未示出)用于对CE设备12供电。

CE设备12还可包括向处理器24提供输入的其它传感器，比如例如一个或多个气候传感器42(例如气压计、湿度传感器、风传感器、光传感器、温度传感器等)和/或一个或多个生物特征传感器44。例如，生物特征传感器可包括心率传感器、体温传感器、血压传感器、血糖传感器、汗水传感器等。

另外，示例CE设备12也可在CE设备的外壳上包括指纹读取器(FPR)46，和可由处理器24控制以产生诸如振动或轻敲的触觉信号的振动设备或振动器48。在某些示例中，不必设置单独的FPR。为了下面公开的目的，FPR扫描硬件和软件可改为耦接到触摸屏显示器15。

CE设备12的部件可经由有线和/或无线相互通信。

以上方法可以被实现成由处理器执行的软件指令、合适配置的ASIC或FPGA模块或者本领域的技术人员会意识到的任何其它便利方式。在采用软件指令的情况下，软件指令可在诸如CD Rom或闪存驱动的非瞬时设备中被实施。可替代地，可经由通过因特网的下载来实施该软件代码指令。

本原理想象CE设备12的所有者通过将电子银行卡50例如用于与银行自助终端(ATM)52进行货币交易，或者用于通过因特网56与一个或多个服务器54实现远程交易来使自己受益。注意，这里“银行”一般用于指经由电子信用卡或借记卡提供金融服务的任何机构。

在某些实施例中，银行卡50包括第一电子电路，该第一电子电路被配置成通过利用来自自助终端52的询问信号即刻向电路58供电或激发电路58，以从诸如RFID标签的NFC元件60发射短程NFC信号，来响应该询问信号。如果需要，银行卡50可在一个或多个处理器62的控制下工作，从而访问一个或多个计算机可读存储介质64，比如基于盘的存储器或固态存储器。在某些示例中，银行卡50可包括蓝牙(包括低能量蓝牙)收发器66和第二电路68，第二电路68可包括电源，比如电池，或者借助在第一电路58中传导的询问信号获得其电荷的电容器。

这些询问信号可以从诸如自助终端52中的NFC读取器的NFC元件70被发送。自助终端52可在一个或多个处理器72的控制下工作，从而访问一个或多个计算机可读存储介质74，比如基于盘的存储器或固态存储器。给处理器72的输入可提供自诸如键盘或数字小键盘的输入设备76，并且可经由触摸屏显示器78提供输入和输出。

因特网服务器一般在一个或多个处理器80的控制下工作，从而访问一个或多个计算机可读存储介质82，比如基于盘的存储器或固态存储器。

本原理理解到，询问信号可从未经授权的源，比如在银行卡50的持有人附近的盗窃黑客所掌握的NFC读取器，向银行卡50发送。

图2表示允许e卡所有者的移动设备(例如，属于e卡50所有者的CE设备12)被动窃听所有e卡交易的示例逻辑。始于方框90，CE设备12可从银行服务器54下载监视应用。该监视应用可通过其它手段获得。无论如何，监视应用允许银行和所有者按照以下方式使所有者的e卡的标识与所有者的CE设备相关：使CE设备12能够从e卡接收包含e卡的识别数据的信号，并比较这些标识与通常存储在CE设备12中(或者如上所述，存储在银行服务器54中)的e卡标识的数据库。例如，当银行把e卡发给客户时，银行可用e卡的识别数据填充待下载到客户的CE设备的应用。或者该应用可提示客户把e卡的识别数据输入CE设备12中。该应用可使得CE设备把其网络地址和/或设备标识发送回到银行服务器。上述讨论适用于下面说明的附加逻辑，其中CE设备中可获得应用来执行该逻辑。不带限制地，可以利用e卡的智能卡号或序列号或媒体访问控制(MAC)地址，建立e卡ID。

无论如何，在方框92处执行该应用，并且该CE设备被动监视来自所有者的e卡的信号。为此，监控守护进程可不断或周期地在CE设备处理器的后台进程中运行，以监视例如从CE设备的NFC元件36接收的NFC信号。守护进程依据用户命令被启动，或者简单地依据该应用的初始化被启动。

在方框94处，接收包含在由CE设备感测到的附近的NFC传输中的任何e卡标识(ID)。转到方框96，比较检测到的e卡ID和存储在CE设备12中的e卡ID。可替代地，在检测到携带ID的NFC信号时，CE设备12可自动或者依据用户提示连接到银行服务器54，并把检测到的ID发送给该服务器，以便由服务器而不是CE设备相对于属于CE设备12的所有者的e卡ID的数据库进行比较。

无论该比较在哪里进行，如果在判定框98处未找到匹配，则在方框100处，CE设备继续监视NFC信号。另一方面，响应于在判定框98处找到匹配，指示CE设备12的所有者的e卡有可能已通过经由图1中所示的第一电路58发出答复而响应了询问信号，从而在方框102处，在CE设备12上生成报警。该报警可以是通过扬声器16生成的可听报警、通过振动器48生成的触觉报警、呈现在显示器上的视觉报警或者上述中的任意一些的组合。

另外，当图2的逻辑完全由CE设备12执行时，在方框104处，CE设备12可自动向银行服务器54传送其e卡已被询问的通知。该通知可以是包含关于e卡的ID、交易金额以及(如果已知的话)发起询问的设备的ID的信息的无线消息。

图3表示响应于在图2中的判定框98处的肯定检验，可呈现在CE设备12的显示器15上的示例UI 106。如图所示，可呈现消息108，该消息108指示所有者的e卡已被询问，或者已发出识别信息。另外，如果需要，则可以呈现消息110，该消息110指示由CE设备12感测到的交易金额。这样，借助e卡的所有者的CE设备，就潜在的欺诈交易警告e卡的所有者。

图4表示可用于经由所有者的CE设备警告所有者关于所有者的e卡的潜在欺诈使用的附加逻辑。始于方框112，CE设备从银行服务器54/银行自助终端52接收按照上述原理与CE设备所有者相关联的e卡已与关联于银行的e卡读取器(比如自助终端)通信的消息。例如，如果某人把e卡呈递给自助终端52，或者如果该人试图通过因特网与银行服务器54或其它服务器进行交易，则银行将把关于该事实的消息发送给CE设备，在方框112处，该消息被接收。

在一个示例中，该消息是文本消息，比如(但不限于)短消息服务(SMS)消息。或者，可以通过照片建立该消息，或者该消息可以包括照片，该照片比如可能由在自助终端52处的相机拍摄到的该人试图利用e卡。在方框114处，该消息被显示在CE设备上，并且可请求用户接受或拒绝所报告的尝试交易。从而，在方框116处，用户对接受或拒绝的选择被CE设备接收，并在方框118处，该选择被发送给银行服务器或计算机，银行相应地允许或不允许该交易。

图5和6示出以上逻辑的实现方式。首先，可向用户呈现具有提示122的UI 120(图5)，以选择用于认证后续e卡交易的所需认证保护级别。在该示例中，用户可选择“无”选择器124、“仅密码”选择器126以及“密码加生物特征”选择器128，选择选择器124允许未来利用CE设备的认证不需要密码，选择选择器126要求未来利用CE设备的认证必须包括正确密码的录入，选择选择器128要求未来利用CE设备的认证必须包括正确密码的录入和正确生物特征输入的录入。

当随后的UI 130被自动呈现在CE设备12上以告知132用户关于特定e卡已被试图用于交易，连同如图所示的交易的美元金额时，用户可选择接受/允许选择器134，以授权继续进行该交易，或者选择拒绝/不允许选择器136，以阻止交易被完成。在图6中所示的示例中，未提示密码或生物特征输入，意味用户先前选择了图5的“无”选择器124。在用户选择了“仅密码”选择器126的情况下，在呈现可选择的选择器134、136之前(选择器134、136会呈现为灰色并且不可选，直到录入正确密码为止)，会首先要求正确地输入密码。类似地，在用户选择了“密码加生物特征”选择器128的情况下，在呈现可选择的选择器134、136之前，会首先要求正确输入密码加上正确的生物特征输入。示例的生物特征输入在下面进行讨论，不过一般而言识别用户的物理特性。

在一些实施例中，如果银行未及时收到来自CE设备的接受或拒绝交易的消息，那么交易可被1)终止，或者2)可被限于不大于预定的美元值，或者e卡的总限额可被降低。图7和8示出了这些情况。

始于方框140，银行计算机或服务器54或自助终端52例如利用NFC与e卡50建立通信。根据来自e卡的识别信息，在方框142处，银行计算机/自助终端查找如前所述已与e卡相关联的CE设备12的网络地址或其它识别信息。随后，在方框144处，如果需要的话，银行向CE设备12发送关于预期交易和金额的事实的消息。

如果在判定框146处，银行从CE设备回收到接受信号，那么在方框148处，银行完成该交易。如果未收到接受信号，并且在判定框150处银行计算机/自助终端确定已超时，那么在方框152处，拒绝该交易。同样地，如果在超时时间段期满之前，在判定框154处，银行收到来自CE设备的拒绝信号，那么在方框156处，拒绝该交易。

图8的逻辑与图7的逻辑不同之处如下。始于方框140，银行计算机或服务器54或自助终端52例如利用NFC与e卡50建立通信。根据来自e卡的识别信息，在方框142处，银行计算机/自助终端查找如前所述已与e卡相关联的CE设备12的网络地址或其它识别信息。随后，如果需要的话，在方框144处，银行向CE设备12发送关于预期交易和金额的事实的消息。

如果在判定框168处，银行从CE设备回收到接受信号，那么在方框170处，银行完成该交易。如果未收到接受信号，并且在判定框172处银行计算机/自助终端确定已超时，那么在方框174处，允许该交易，但如果全额超过阈值的话则不是全额允许。例如，如果阈值为10美元，而尝试的交易(比如说从ATM提取现金)请求20美元，那么ATM只返回10美元，并且可向用户的UE设备发送关于该事实的消息。不过，在该假设的阈值10美元之下，尝试的交易(比如说从ATM提取现金)请求5美元，那么ATM提供全部5美元，因为它低于阈值。

另一方面，如果在超时时间段期满之前，在判定框176处，银行收到来自CE设备的拒绝信号，那么在方框178处，拒绝该交易。

在某些实施例中，银行发送给CE设备的消息(它可以是文本消息)可包含为了完成交易CE设备的用户必须输入到e卡所呈现给的自助终端52或其它销售点(POS)终端中的代码。或者，可按照来自银行的消息，要求CE设备向e卡发送授权信号，以触发e卡完成该交易。

因此，作为一种防欺诈措施，当银行卡(无论它是磁条e卡还是基于NFC的e卡)被使用时，关于用户的循环是闭环的。如果卡与(带着CE设备的)用户分离，则卡不能被使用。

图9和10示出另外的安全特征。图9表示在上述应用被执行时会导致呈现在CE设备上的UI 180。如图所示，UI 180包括提示用户把他或她的拇指或其它识别部分放在显示器15上的提示182，在这个实施例中，如前所述，FPR传感器可位于显示器15之下。当该应用已成功读取指纹时，可呈现消息184通知用户关于该事实。用户的拇指的图像或指纹随后被存储以供作为模板在图10中被使用。注意，如本文中在其它地方所阐述的，生物特征模板可以是除指纹之外的其他事物。

始于方框186，建立生物特征模板，供在丢失CE设备12的密码的情况下使用。为了分别在图7和图8中的状态146和168下解锁发送交易接受信号的能力，可要求把该密码输入CE设备12中。模板可以通过用户把诸如以下描述的那些生物特征信号中的任意之一的生物特征信号输入适当的输入设备中来建立，例如把手指放在指纹读取设备上以建立指纹模板，对着CE设备的麦克风讲话以建立声纹，使面部图像被CE设备的相机拍摄以建立面部识别模板等。

转到方框188，根据CE设备的输入元件的用户操作，CE设备12接收密码作为输入。如指出的那样，可以响应于输入密码以授权由银行借助例如上述文本消息报告的卡交易的提示，来输入密码。

如果在判定框190处，确定密码正确，那么CE设备被解锁，以向银行发送接受信号，从而在方框192处允许交易。但是，如果密码不正确，那么在判定框194处确定输入密码的尝试次数是否超过阈值。如果未超过阈值，则逻辑循环回到方框188，以提示用户重试。

另一方面，如果在判定框194处，输入密码的尝试次数超过阈值，那么逻辑移动到方框196，以提示用户输入生物特征输入，比如例如把用户的拇指放在显示器15上。在判定框198处，CE设备处理器通过确定生物特征输入是否与在方框186处建立的模板匹配，来确定生物特征输入是否正确。如果生物特征输入不匹配模板，那么按照上述原理通过例如CE设备12向银行发送拒绝信号，在方框200处该交易被拒绝。相反，如果生物特征输入匹配该模板，那么通过例如CE设备12向银行发送批准或授权信号，在方框202处该交易被允许。

图11表示在以下方面不同于和图10中的逻辑的逻辑。始于方框204，建立生物特征模板，供在丢失CE设备12的基于第一生物特征的密码的情况下使用。这种丢失可能通过例如以下事实引起：第一生物特征密码是声纹，而CE设备12的麦克风18之后不能工作，从而使随后的输入声音信号的尝试无效。

为了分别在图7和8中的状态146和168下解锁发送交易接受信号的能力，要求把基于(第一)生物特征的密码输入到CE设备12。这种基于生物特征的密码(可被称为第一生物特征)可以通过在沿着以上讨论的步骤流程的设置中建立模板来被建立，正如在第一生物特征信号不可用的情况下要被使用的第二生物特征信号也可以在设置中被建立一样。

移动到方框206，用以匹配模板的生物特征信号被CE设备12接收作为输入。如指出的那样，可以响应于输入以授权由银行借助例如上述文本消息报告的卡交易的提示，来输入该生物特征信号。

如果在判定框208处，确定生物特征信号匹配该模板，那么CE设备被解锁，以向银行发送接受信号，从而在方框210处允许交易。但是，如果输入不匹配该模板，那么在判定框212处，确定输入生物特征信号的尝试次数是否超过阈值。如果未超过阈值，那么逻辑循环回到方框206，以提示用户重试。

另一方面，如果在判定框212处，输入信号的尝试次数超过阈值，那么逻辑移动到方框214，以提示用户输入第二生物特征输入，该第二生物特征输入具有与按照上述原理建立的模板匹配的模板。例如，第二生物特征可以是优选由与接收第一生物特征信号所需的输入设备不同的输入设备感测的指纹、面部图像等。

在判定框216处，CE设备处理器通过确定第二生物特征输入是否匹配在方框204建立的模板，确定第二特征输入是否正确。如果第二生物特征输入不匹配该模板，那么通过例如按照上述原理CE设备12向银行发送拒绝信号，在方框218处交易被拒绝。相反，如果该生物特征输入匹配该模板，那么通过例如CE设备12向银行发送批准或授权信号，在方框220处交易被允许。

在一些实现方式中，当录入尝试次数超过阈值时，CE设备可锁定它自己，从而实质上禁止出于任何目的的进一步使用。在一些情况下，CE设备可通过从CE设备擦除所有数据来“清空它自己”。如果CE设备上的数据被加密，那么这可通过擦除用于解密数据的密钥来实现。

图12和13表示按照图10的逻辑可被呈现在CE设备12上的示例UI，应理解，适当修改的类似UI也可支持图11的逻辑。UI 222可包括输入为使CE设备能够响应来自银行的文本消息以准许卡交易所需的密码的提示224。如果输入的密码不正确，那么可向用户提示226该事实，并促使用户再次尝试输入密码。

想起可以建立密码录入尝试的最大次数。如果建立了该最大次数，并且最大阈值被超过，那么可以呈现图13的UI 228，提示230输入密码，并且随后如果密码不正确，并且最大阈值被超过，那么向用户呈现转到生物特征输入屏幕的提示234，如果被选择，那么该提示234调用指导用户关于相对于图10所讨论的生物特征信号的录入的屏幕。

生物特征信号可包括利用面部识别软件分析的面部图像、虹膜成像、签名或其它笔迹、声纹、掌纹和指纹。

比较生物特征信号和模板的逻辑可由CE设备处理器执行，或者生物特征输入可从CE设备被发送给银行服务器54或自助终端52，以便在那里分析，如果存在匹配，那么银行计算机随后允许(或不允许)该交易。

另外注意，除了表示人的独特物理特征的生物特征数据本身之外，生物特征输入还可包括诸如输入的日期和时间、在接收生物特征信号时CE设备的位置等的元数据。除生物特征数据之外，该元数据也可用于确定是允许还是不允许该交易。例如，如果接收面部图像的位置超出试图进行交易所位于的银行自助终端的预定半径，那么基于用户的照片已被窃贼盗取并正在用于欺骗系统的推断，即使生物特征输入匹配该模板，也不允许交易。

图14-16示出根据诸如CE设备12的认证设备不在试图进行交易的e卡本地和/或根据缺少双认证因素之一，限制交易金额。

始于图14中的方框240，接收认证用第一因素。第一因素可以是密码，或者它可以是生物特征信号。一般，双因素认证中的两个因素要求试图访问的人知道某些事物(例如，密码)，以及拥有某些事物(例如，fob、生物特征特性)。

在判定框242处，CE设备12确定在方框240处接收的第一因素是否正确。如果第一因素是密码，那么CE设备检查密码模板，以确定输入的密码是否匹配该模板。如果第一因素是生物特征信号，那么CE设备检查生物特征模板，以确定生物特征输入是否匹配该模板。

如果第一因素不正确，那么在方框244处，交易被拒绝。但是，如果第一因素正确，那么CE设备提示用户输入第二因素信号(如果还未输入的话)，并在判定框246处，确定第二因素是否正确。如果输入的第二因素未能匹配对应模板，那么在方框248处，在交易金额受限于不大于预定货币值的事先说明下，允许交易。随后通过例如在CE设备12的显示器15上的消息，将该限制通知给用户，并且如果要求的金额低于预定货币值，那么授权该交易，而如果要求的金额高于预定货币值，那么按预定货币值授权该交易。在判定框246处的第二因素的成功输入导致即使高于预定货币值，在方框250处也允许整个交易。

始于图15的方框252，接收认证用第一因素。该第一因素可以是密码，或者它可以是生物特征信号。一般来说，双因素认证中的两个因素要求试图访问的人知道某些事物(例如，密码)，以及拥有某些事物(例如，fob、生物特征特性)。

在判定框254处，CE设备12确定在方框252处接收的第一因素是否正确。如果第一因素是密码，那么CE设备检查密码模板，以确定输入的密码是否匹配该模板。如果第一因素是生物特征信号，那么CE设备检查生物特征模板，以确定生物特征输入是否匹配该模板。

如果第一因素不正确，那么逻辑前进到方框256。在方框256处，在交易额受限于不大于预定货币值的事先说明下，允许交易。随后通过例如在CE设备12的显示器15上的消息，将该限制通知给用户，并且如果要求的金额低于预定货币值，那么授权该交易，而如果要求的金额高于预定货币值，那么按预定货币值授权该交易。

不过，如果第一因素正确，那么CE设备提示用户输入第二因素信号(如果还未输入的话)，并在判定框258处，判定第二因素是否正确。如果输入的第二因素未能匹配对应模板，那么逻辑移动到方框256，以如上描述地工作。在判定框258处的第二因素的成功输入导致即使高于预定货币值，在方框260处，也允许整个交易。因此，与图14的其中如果第一因素失败则拒绝交易的逻辑形成对照的是，在图15中，即使未成功收到认证，也总是允许交易，不过交易限额被降低。另外或者可替代地，在缺少一个或多个正确的认证因素的情况下，可以降低e卡的总信用。

图16开始于判定框260，在该处确定诸如CE设备12的认证设备是否在试图与例如自助终端52进行交易的e卡50附近。这可通过自动终端检测到响应于例如从自动终端发出的询问信号而来自于e卡和CE设备12两者的NFC信号，从而指示CE设备在本地来实现。或者，这可通过自助终端向CE设备查询例如从其GPS接收器30得到的CE设备的位置信息来实现，并且如果CE设备的位置和自助终端的位置相符，那么确定CE设备在本地。或者，CE设备可通过从自助终端接收指示试图进行的交易以及请求授权的消息，进行接近性的确定，并且如果CE设备未检测到来自e卡的NFC信号，那么CE设备向自助终端发送认证失败的消息。响应于确定CE设备在本地，在方框262处允许或授权交易；否则(认证失败)，在方框264处，交易被拒绝(或者按照上面讨论的原理，受限于预定货币值)。

图17、17A和18示出e卡利用例如NFC通信、低能量蓝牙通信或其它通信协议主动与诸如CE设备12的认证设备通信。始于图17的方框266，e卡50从例如自助终端52接收诸如NFC询问信号的询问。e卡进而在方框268处向CE设备12发送它已被询问的通知。在图17的逻辑中，逻辑终止于状态268处，在该处e卡在没有来自CE设备的命令的情况下响应询问，从而仅仅把该询问通知给CE设备。

e卡50可具备向发射器供电的电池，e卡50使用该发射器来以信号通知CE设备12。或者，它可采用其第二电路68，第二电路68可包括当第一电路58被来自自助终端52的询问信号激发时被充电的电容器。可使该电容器放电，以向发射器供电，从而以信号通知CE设备12。

在图17A，始于方框270，e卡50从例如自助终端52接收诸如NFC询问信号的询问。在方框272处，e卡进而向CE设备12发送它已被询问的通知。在该逻辑中，e卡不立即响应来自自助终端的询问信号。取而代之的是，e卡在判定框274处确定它是否从CE设备12接收到用于该交易的授权信号。如果已接收到，那么在方框278处，e卡50响应自助终端询问。但是，在不存在响应于在方框272处发送的通知而来自CE设备的授权的情况下，逻辑从判定框274转到方框280，在方框280中，e卡忽略来自自助终端的询问信号。

图18表示响应于来自e卡50的上述询问通知，可呈现在CE设备12的显示器15上的UI 280。呈现字母数字通知282，该通知282告知用户e卡已被询问，在所示的示例中已被询问其标识，并且如果需要的话被询问交易的货币量。提示284用户通过选择“是”选择器286(导致向e卡发送信号以执行方框278的逻辑)，或者通过选择“否”(导致向e卡发送信号以执行方框280的逻辑)，指示e卡是否应响应该询问。

图19示出其中CE设备12定期侦测e卡50以发现是否发生交易的逻辑。这样，通过警示用户发生了交易，可以检测到利用e卡的欺诈交易。

始于方框290，CE设备12按照前述原理接收用户的e卡的ID/地址。移动到方框292，CE设备12例如定期或者基于事件驱动准则联系e卡50。该联系可通过例如NFC或低能量蓝牙或其它协议进行。该联系可以是来自CE设备12上的诸如RFID读取器的NFC元件询问，以命令e卡把交易历史信息发送给CE设备。优选按类型、货币量和交易伙伴ID报告的交易由CE设备从e卡接收，并在方框294处被记录在CE设备12上。在方框296处，CE设备可把e卡的交易历史传送给例如银行服务器54，在一些情况下，该传送是自动的，而不需要用户输入。

图20-23示出在确定在区域中不存在合法POS终端时拒绝交易的技术。执行前述应用的CE设备12可经由因特网向银行发送有关信息。位置信息可被用于本地批准或不批准交易，或者CE设备可把位置信息中继给银行服务器，以批准或不批准交易。

相应地，始于图20的方框300，CE设备通过例如低能量蓝牙或NFC从相关联的e卡接收交易请求。一般，该请求可由e卡响应于被诸如自动终端52的POS终端询问信息来进行。

响应来自卡的该请求，在方框302处，可在CE设备12的显示器15上呈现请求消息和/或POS终端地图。如果CE设备确定CE设备不在POS终端的阈值距离内，那么在方框304处，CE设备自动指示e卡不执行该交易，而不需要用户输入指示这样做。

为此，CE设备可访问存储的POS终端位置的地图。随后CE设备可比较由例如GPS接收器30指示的其位置和地图上的一个或多个位置，并随后确定最近的POS终端和CE设备的GPS位置之间的距离。如果该距离超过阈值，那么执行方框304的逻辑。注意，CE设备12也可向银行服务器54发送消息，从而报告拒绝该交易连同上面描述的交易细节。

图21表示仅按照用户输入而拒绝来自e卡的请求的替代方案。始于图21的方框306，CE设备通过例如低能量蓝牙或NFC从相关联的e卡接收交易请求。一般而言，该请求可由e卡响应于被诸如自动终端52的POS终端询问信息而进行。

响应来自卡的该请求，在方框308处，可在CE设备12的显示器15上呈现请求消息和/或POS终端地图。用户可查看所呈现的信息，并在方框310处决定是接受还是拒绝交易，同时CE设备12按照用户输入以信号通知e卡50是否完成该交易。下面说明用于进行这种操作的示例UI。注意，CE设备12也可向银行服务器54发送消息，从而报告拒绝交易连同上面描述的交易细节。

图22表示可呈现在CE设备12的显示器15上的UI 312。消息314根据在图20中的方框300处接收的来自e卡的报告，指示用户的e卡已经被询问。另外，呈现公告316，从而告知用户因为没有POS终端位于临近区域中所以交易被拒绝。公告316还可指示用户的银行已被自动通知。

图23表示按照图21的逻辑可呈现在CE设备12的显示器15上的UI 318。如图所示，该UI可包括根据在图21中的方框306处接收的来自e卡的报告，指示用户的e卡已被询问的消息320。另外，可以呈现基于图形或照片的地图322，在324处指示从例如GPS接收器30获得的CE设备12的当前位置，并且另外在326处指示最近的POS终端的位置。用户可查看该信息，并随后选择使e卡完成交易的选择器328，或者选择使e卡拒绝交易的“不同意”选择器330，从而执行图21中的方框310的逻辑。

图24和25示出通过快速比较向相关联的CE设备12报告的e卡交易细节和银行交易记录来减少欺诈的逻辑。在方框322处，CE设备12按照上面说明的原理，监视e卡和POS终端之间的交易。在方框334处，CE设备定期或者事件驱动地把该信息发送给银行服务器54。

在图25的方框336处，银行服务器54接收来自CE设备的交易报告，并在方框338处，比较POS终端的交易记录(例如，当自助终端52是POS终端时，银行服务器54可以得到该交易记录)和来自CE设备12的交易报告。如果在判定框340处CE设备报告匹配银行记录，那么逻辑终止于状态342。另一方面，如果在判定框340处CE设备报告未能匹配银行记录，那么逻辑移动到方框344以返回“可能欺诈”。如果需要，可在方框346处，把报告这种可能性的消息发送给CE设备。

因此，通过向诸如银行服务器54的中央位置报告事故，黑客的尝试行为可被记录。银行服务器54可整合来自CE设备的不正常交易报告，以根据与POS终端的位置不匹配的所报告的交易的位置、时间、星期几等，分析模式。这种模式可用于帮助识别黑客的可能居住区域和习性。例如，如果聚合体中的N个不正常交易报告自M个CE设备(N和M是大于1的整数)，是在不存在POS终端的特定位置的距离P之内进行的，那么可以推断黑客常去该位置的附近地区。此外，如果不正常交易主要发生在工作目的中午，那么可以推断黑客无工作。以同样的方式，如果不正常交易主要发生在正常工作日之后的时间，那么可以推断黑客有工作，或者黑客的作案手法是坑害由于下班后去该区域中的娱乐设施游玩而变得可能有点易受攻击的受害者。

将会理解到，尽管已经关于一个或多个示例实施例，充分说明了基于不邻近相关联的CE设备而限制e卡交易，不过，这些示例实施例并不是限制性的，并且可以利用各种备选布置来实现本文所要求保护的主题。

Claims

1.一种销售点POS设备，包括：

至少一个处理器；和

至少一个计算机可读存储介质，所述至少一个计算机可读存储介质包括指令，当由所述处理器执行时，所述指令配置所述处理器进行以下操作：

至少部分地基于检测到来自电子交易卡e卡的近场通信NFC信号，确定e卡被试图用于与POS设备进行交易，所述交易包括所请求的货币量；

响应于确定所述e卡被试图用于与所述POS设备进行交易，至少部分地基于接收到来自所述e卡和与所述e卡分离的认证设备两者的相应的NFC信号来确定所述认证设备是否在所述e卡附近；

响应于确定与所述e卡分离的认证设备在所述e卡附近，允许按所请求的货币量完成所述交易，

其中所述认证设备从所述e卡接收包括所述e卡的标识的NFC信号，并且将所接收的e卡标识与在所述认证设备中存储的e卡标识数据库进行比较，以在所述比较期间找到匹配的情况下指示所述e卡与所述认证设备属于同一所有者并且将所述e卡的标识与所述认证设备进行关联；以及

响应于至少部分地基于未接收到来自所述e卡和与所述e卡分离的认证设备中的至少一个的NFC信号来确定所述认证设备不在所述e卡附近，不允许按所请求的货币量完成所述交易。

2.按照权利要求1所述的POS设备，其中所述认证设备是与所述e卡的所有者相关联的消费电子CE设备。

3.按照权利要求2所述的POS设备，其中所述CE设备是移动电话。

4.按照权利要求1所述的POS设备，其中确定与所述e卡分离的认证设备是否在所述e卡附近包括：

向所述认证设备查询其位置信息，如果所述认证设备的位置与所述POS设备的位置匹配，那么确定所述认证设备在所述e卡附近。

5.按照权利要求1所述的POS设备，其中不允许按所请求的货币量完成交易包括阻止所述e卡和所述POS设备之间的交易。

6.按照权利要求1所述的POS设备，其中不允许按所请求的货币量完成交易包括允许所述e卡和所述POS设备之间按比所请求的货币量低的金额进行交易。

7.一种由销售点POS设备实施的方法，包括：

由POS设备至少部分地基于检测到来自电子交易卡e卡的近场通信NFC信号来确定e卡被试图用于与POS设备进行交易；

响应于确定所述e卡被试图用于与POS设备进行交易，由POS设备至少部分地基于接收到来自所述e卡和与e卡相关联的人的消费电子CE设备两者的相应的NFC信号来确定所述CE设备是否在所述e卡附近；

响应于确定所述CE设备在所述e卡附近，不限制交易，

其中所述CE设备从所述e卡接收包括所述e卡的标识的NFC信号，并且将所接收的e卡标识与在所述CE设备中存储的e卡标识数据库进行比较，以在所述比较期间找到匹配的情况下指示所述e卡与所述CE设备属于同一所有者并且将所述e卡的标识与所述CE设备进行关联；以及

响应于至少部分地基于未接收到来自所述e卡和与所述CE设备中的至少一个的NFC信号来确定所述CE设备不在所述e卡附近，限制交易。

8.按照权利要求7所述的方法，其中限制交易包括拒绝整个交易。

9.按照权利要求7所述的方法，其中限制交易不包括拒绝整个交易。

10.按照权利要求7所述的方法，其中确定所述CE设备是否在所述e卡附近包括向所述CE设备查询其位置信息，并且如果所述CE设备的位置与POS设备的位置匹配，那么确定所述CE设备在所述e卡附近。

11.一种在销售点POS设备中实施的系统，包括：

用于响应于至少部分地基于检测到来自电子交易卡e卡的近场通信NFC信号来确定e卡被试图在POS设备处用于与所述POS设备进行交易，而至少部分地基于接收到来自所述e卡和认证设备两者的相应的NFC信号来确定所述认证设备是否在所述e卡附近的装置；

用于响应于确定所述认证设备在所述e卡附近而允许按请求的货币量完成所述交易的装置，

用于响应于至少部分地基于未接收到来自所述e卡和所述认证设备中的至少一个的NFC信号确定所述认证设备不在所述e卡附近而不允许按所请求的货币量完成所述交易的装置。

12.按照权利要求11所述的系统，其中所述认证设备是与所述e卡的所有者相关联的消费电子CE设备。

13.按照权利要求11所述的系统，其中用于不允许按所请求的货币量完成所述交易的装置包括用于允许所述e卡和所述POS设备之间按比所请求的货币量低的金额进行交易的装置。