CN109074582A

CN109074582A - 用于利用主令牌生成子令牌的系统和方法

Info

Publication number: CN109074582A
Application number: CN201780029156.4A
Authority: CN
Inventors: E·王
Original assignee: Visa International Service Association
Current assignee: Visa International Service Association
Priority date: 2016-05-19
Filing date: 2017-05-18
Publication date: 2018-12-21
Anticipated expiration: 2037-05-18
Also published as: CA3015854A1; WO2017201301A1; CN109074582B; US20220129885A1; AU2017267715A1; US20170337549A1; US11250424B2

Abstract

根据本发明的一个实施方案，生成对应于主令牌的子令牌。主令牌对应于凭证。凭证可以是例如对应于支付账户的主账号(PAN)。子令牌可以是基于与凭证相关联的主令牌的临时一次性使用的子令牌，允许用户从其账户执行交易，同时仍然为用户的敏感数据提供安全。子令牌可以包含头部和模糊部分。子令牌的头部将子令牌路由到发出子令牌的实体，以转换成主令牌。模糊部分充当指向主令牌和与主令牌相关联的数据的指针。子令牌、主令牌和凭证中可以包括相同的校验位，以便确保交易不被不适当地拒绝。

Description

用于利用主令牌生成子令牌的系统和方法

相关申请的交叉引用

无。

背景技术

在有些情况下用户可能希望在进行交易时掩蔽其凭证。例如，消费者可能希望在实践上可能的情况下尽可能保护其敏感账户信息以防止欺诈，欺诈可能会给消费者、商家和银行造成时间和金钱的大量损失。未经授权的个人可以通过在未经凭证持有人许可的情况下获得凭证并使用那些凭证执行交易或提款，从而进行欺诈。于是，需要以安全且有效率的方式对交易凭证进行掩蔽的安全方法和系统。

可以使用令牌系统，通过在进行交易时不暴露凭证来保护凭证。在这样的系统中，可以使用令牌替代真正的凭证以进行交易。如果未经授权的人获得令牌，但未获得凭证，由此保护了与凭证相关联的底层账户。在这样的令牌系统中，令牌验证密码可以被用于令牌，并可以提供要以特定方式(例如，仅用于电子商务交易)使用令牌的证据。可以由远程服务器验证令牌验证密码，由此授权为给定交易使用令牌。

尽管这样的令牌系统是有效的，但在一些情况下可能无法使用令牌和令牌验证密码。例如，令牌可能有19位长，令牌验证密码可能有5-10位长。例如，对于一维条形码而言，不可能在一维条形码中包括令牌交易所需的所有信息。

此外，可能仅有有限数量的令牌，从而单个凭证不可能具有多个相关联的令牌，尤其是如果每个令牌仅能够使用有限次数以确保安全时。例如，令牌常常必须要有对应于底层凭证的头部(例如，标识发行银行的多位BIN数字)以及有效校验位，以确保现有凭证处理系统能够正确地处理令牌。于是，剩余空间中仅有有限数目的数位(以及数字组合)可由令牌和凭证两者使用。

本发明的实施方案单独地和共同地解决了这个和其他问题。

发明内容

根据本发明的一些实施方案，第一令牌(例如，子令牌)由第一服务器计算机接收。第一令牌包括第一头部和模糊部分。第一头部将第一令牌路由到第一服务器计算机。第一服务器计算机使用第一令牌的模糊部分产生第二令牌(例如，主令牌)和与第二令牌相关联的数据。第二令牌包括第二头部和中间部分。第二头部与授权实体相关联。

根据本发明的一个实施方案，第一服务器然后检索与第二令牌相关联的凭证。凭证包括第二头部和中心部分。凭证的中心部分与第二令牌的中间部分不同。凭证接下来被用于授权交易。

根据本发明的另一实施方案，第一服务器转而向第二服务器计算机发送第二令牌。第二服务器计算机检索与第二令牌相关联的凭证。凭证包括第二头部和中心部分。凭证的中心部分与第二令牌的中间部分不同。凭证接下来被用于授权交易。

根据本发明的一些实施方案，服务器计算机从通信设备接收对第一令牌的请求。请求包括第二令牌和与第二令牌相关联的数据。第二令牌包括第二头部和中间部分。第二头部与授权实体相关联。服务器计算机使用第二令牌和与第二令牌相关联的数据生成模糊部分。服务器计算机生成包括第一头部和模糊部分的第一令牌。第一头部与服务器计算机相关联。服务器计算机向移动设备发送第一令牌。

本发明实施方案进一步涉及包括处理器和存储元件的服务器计算机。存储元件可以包括可由处理器执行的代码，用于实施上文所述的方法。

本发明的这些和其他实施方案将在下文更详细地描述。

附图说明

图1示出了根据本发明实施方案的系统的框图。

图2示出了根据本发明一些实施方案的通信设备的框图。

图3示出了根据本发明的一些实施方案的应用提供商计算机的框图。

图4示出了根据本发明的实施方案的交易处理计算机的框图。

图5示出了根据本发明实施方案，生成子令牌的方法的流程图。

图6示出了根据本发明实施方案，利用子令牌处理交易的方法的流程图。

图7示出了根据本发明实施方案的建筑物访问系统的框图。

具体实施方式

在讨论具体的实施方案和示例之前，以下提供对本文使用的术语的一些描述。

“应用提供商”可以是可以提供服务或应用的实体。应用提供商的示例是数字钱包提供商。

“授权请求消息”可以是请求对交易授权的消息。根据一些实施方案的授权请求消息可以符合(国际标准组织)ISO 8583，ISO 8583是用于交换与消费者使用支付设备或支付账户进行的支付相关联的电子交易信息的系统标准。授权请求消息可以包括可以与支付设备或支付账户相关联的发行方账户标识符。授权请求消息还可以包括对应于“标识信息”的附加数据元素，包括(只作为例子)：服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、有效日期、PIN号等。授权请求消息还可以包括“交易信息”，例如与当前交易相关联的任何信息，诸如交易数额、商家标识符、商家位置等，以及可以用于确定是否标识和/或授权交易的任何其他信息。

“授权响应消息”可以是对授权请求消息的消息回复。授权响应消息可以包括(只作为示例)以下状态指示符中的一个或多个：批准-交易被批准；拒绝-交易不被批准；或呼叫中心-响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或者通过支付处理网络)返回商家的访问设备(例如POS设备)的指示交易被批准的代码。代码可以用作授权的证据。如上所述，在一些实施方案中，支付处理网络可以向商家生成或转发授权响应消息。

“授权实体”可以是授权请求的实体。授权实体的实例可以是发行方、政府机构、文档库、访问管理员等。

“条形码”可以是数据的光学机器可读表示。条形码可以通过改变线的宽度和间距来代表数据，并可以是线性或一维的。条形码可以由称为条形码读出器的光学扫描仪扫描。在一个实施方案中，条形码读出器可以由通信设备(例如，智能电话)构成。

“校验位”可以是用于标识码(例如，凭证、令牌等)中的错误检测的位。校验位可以由单个位或超过一个位构成，并可以使用应用于标识码中其他位的算法来计算。校验位可以在标识码之内的任何地方。在一个实施方案中，校验位是标识码中的最后一位。

“通信设备”可以包括用户可以操作的任何合适的电子设备，该设备还可以提供与网络的远程通信能力。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如，3G、4G或类似网络)、Wi-Fi、Wi-Max或可以提供诸如互联网或专用网络之类的网络访问的任何其他通信介质。通信设备的示例包括移动电话(例如，蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用读取器、手表、健身手环、脚镯、戒指、耳环等，以及具有远程通信能力的汽车。通信设备可以包括用于执行此类功能的任何合适的硬件和软件，并且还可以包括多个设备或部件(例如，当设备通过系固到另一个设备而远程访问网络时(即，使用另一设备作为调制解调器)，一起使用的两个设备可以被认为是单个通信设备)。

“凭证”可以包括权力、权利或享有特权的任何证据。例如，访问凭证可以包括访问诸如建筑物或文件的某些有形或无形资产的许可。在另一个示例中，“支付凭证”可以包括与账户(例如，支付账户和/或与账户相关联的支付设备)相关联和/或标识账户的任何适当信息。这样的信息可以与所述账户直接相关，或者可以从与所述账户相关的信息中导出。账户信息的示例可以包括“账户标识符”，诸如PAN(主账号或“账号”)、令牌、子令牌、礼品卡号或代码、预付卡号或代码、用户名、到期日期、CVV(卡验证值)、dCVV(动态卡验证值)、CVV2(卡验证值2)、CVC3卡验证值等。PAN的示例是16位数字，诸如“4147 0900 0000 1234”。在一些实施例中，凭证可以被认为是敏感信息。

“数字钱包”可以包括允许个人进行电子商务交易的电子应用或设备。电子钱包可以存储用户配置文件信息、支付凭证、银行账户信息、一个或多个数字钱包标识符等，并且可以用在各种交易中，这些交易诸如但不限于电子商务、社交网络、转账/个人支付、移动商务、接近支付、博彩等等，用于零售购买、数字商品购买、公用事业支付、在博彩网站或系统购买博彩或博彩点券、用户间转移资金等。数字钱包可以被设计来简化购买和支付过程。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上，以便进行支付而无需输入账号或出示物理卡。数字钱包还可以存储交易记录(例如，电子收据)。

“头部”可以是标识码(例如，凭证、令牌等)的开始部分或第一部分。头部可以包括任意数量的字母、数字和/或符号。例如，支付凭证的头部可以高达账号的前9位。支付凭证的头部可以用于向特定实体(例如，交易处理计算机、授权实体计算机等)路由授权请求消息。

“发行方”通常可以指维持用户账户的商业实体(例如，银行)。发行方还可以发布存储在通信设备上的支付凭证。

“主令牌”可以包括用于凭证或账户标识符的替代标识符。换言之，主令牌可以具有与诸如PAN的凭证的直接相关或关联，并可以被视为高值令牌。

“供应”可以包括提供数据以供使用的过程。例如，供应可以包括在通信设备上提供、递交或者启用令牌。可以由交易系统内或者交易系统外的实体完成供应。例如，在一些实施方案中，可以由发行方或者交易处理网络将令牌供应到移动设备上。所供应的令牌可以具有存储并保持在令牌库或者令牌注册档内的对应令牌数据。在一些实施方案中，令牌库或者令牌注册档可以生成之后可以被供应或者递交给设备的令牌。在一些实施方案中，发行方可以指定令牌范围，令牌生成和供应可以从该令牌范围发生。此外，在一些实施方案中，发行方可以生成令牌值并将其通知给令牌库，并提供令牌记录信息(例如，令牌属性)以供存储到所述令牌库当中。

“资源提供商”可以是可以提供诸如商品、服务、信息和/或访问的资源的实体。资源提供商的示例包括商家、访问设备、安全数据访问点等。“商家”通常可以是参与交易并且可以出售商品或服务，或提供对商品或服务的访问的实体。

“服务器计算机”可以包括功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、小型计算机集群或像单元一样工作一组服务器。在一个实例中，服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可以包括一个或多个计算装置并且可以使用各种计算结构、布置和编译中的任何计算结构、布置和编译来服务于来自一个或多个客户端计算机的请求。

“子令牌”可以包括作为主令牌或另一子令牌的替代标识符的令牌。它可能具有与其产生的令牌或子令牌相同或不同的形式。例如，子令牌可以与其相关联的令牌有相同数量的位，也像与令牌相关联的实际账号那样。子令牌可以至少经由主令牌链接到凭证。因为子令牌可能不直接链接到凭证，所以可以将其视为低值令牌。

“令牌”可以包括某一信息的替代标识符。例如，访问令牌可以是访问凭证的替代或从属标识符。在另一个示例中，支付令牌可以包括支付账户的标识符，其是账户标识符的替代，诸如主账号(PAN)。例如，令牌可以包括可以用作原始账户标识符的替代的一连串字母数字字符。例如，令牌“4900 0000 0000 0001”可以代替PAN“4147 0900 0000 1234”使用。在一些实施方案中，令牌可以是“保留格式的”，可以有与现有的支付处理网络中使用的账户标识符一致的数字格式(例如，ISO 8583金融交易消息格式)。在一些实施方案中，令牌可以代替PAN使用，以发起、授权、结算或完成支付交易。在通常提供原始证书的其他系统中，令牌还可以用来表示原始证书。在一些实施方案中，可以将令牌值生成为使得不可以通过计算方式由所述令牌值恢复原始PAN或者其他账户标识符。另外，在一些实施方案中，令牌格式可以被配置成使接收令牌的实体将其标识为令牌，并识别发行令牌的实体。令牌可以包括主令牌或子令牌。

“令牌验证密码”可以是可用于验证令牌使用的密码。在一些情况下，令牌验证密码可以由加密密钥，例如有限次使用密钥生成。在一些实施方案中，可以基于围绕交易的数据生成令牌验证密码，包括交易时间、用于进行交易的令牌和/或呈现模式。在一些情况下，令牌验证密码可以取决于交易发起方法和用于发起交易的应用类型。令牌验证密码可以用于确保令牌用于指定交易信道中。例如，仅限于NFC交易的令牌可以与NFC令牌验证密码算法相关联，如果接收到的令牌验证密码未利用NFC交易应用进行验证，可以拒绝交易。因此，令牌验证密码允许进一步交易验证并控制和提供若干安全益处。

I.系统

图1示出根据本发明的实施例的系统100的框图。系统100包括通信设备110、应用提供商计算机120、资源提供商计算机130、传输计算机140、交易处理计算机150和授权实体计算机160。这些系统和计算机中的每一个可以彼此进行操作性通信。通信设备110可以被用户(未示出)操作。

为了简化说明，在图1中示出了特定数量的部件。然而，应当理解，对于每种部件，本发明的实施方案可以包括不止一个。此外，本发明的一些实施方案可以包括比图1所示的所有部件更少或更多的部件。此外，图1的部件可以通过任何适当通信介质(包括互联网)使用任何适当的通信协议来进行通信。

用户可以操作通信设备110以基于与凭证相关联的主令牌请求子令牌。一旦生成，子令牌就可以由通信设备110的用户在进行交易时用作主令牌的替代。

通信设备110可以是适于执行金融交易或任何其他附加相关动作的任何设备。通信设备110可以包括可以存储移动钱包应用或支付应用的存储器。可以为应用提供账户信息以便使得每个移动装置能够进行交易。通信设备110还可以包括能够实现于硬件和/或软件中的安全元件，安全元件可以存储敏感账户或个人信息。通信设备110可以通过通信网络与一个或多个实体通信，一个或多个实体包括应用提供商计算机120和资源提供商计算机130。

应用提供商计算机120可以由应用提供商操作或与应用提供商相关联。应用提供商可以是向移动装置提供应用以供用户使用的实体。在一些实施例中，应用提供商可以是向移动装置提供数字钱包或支付应用的数字钱包提供商。应用提供商计算机120可以为每个用户维护一个或多个数字钱包，并且每个数字钱包可以与针对一个或多个支付账户的支付数据相关联。数字钱包的示例可能包括Visa Checkout^TM或Google^TMWallet等。

应用提供商计算机120可以包括服务器计算机以方便供应过程。服务器计算机可以包括处理器和耦接至处理器的计算机可读介质，计算机可读介质包括可由处理器执行的代码。服务器计算机可以向存储在通信设备110上的数字钱包应用发送和接收空中(OTA)消息。

资源提供商计算机130可以被配置成从访问设备接收交易数据。资源提供商计算机130可以使得诸如商家的资源提供商从事交易、销售商品或服务，或者向消费者提供对商品或服务的访问。资源提供商计算机130可以接受多种形式的支付，并且可以使用多种工具来进行不同类型的交易。例如，资源提供商计算机130可以与访问设备通信、包括访问设备、或可以是访问设备，访问设备位于由商家操作的物理商店处，以用于个人间交易。资源提供商计算机130还可以使商家能够经由网站销售商品和/或服务，并且可以通过因特网来接受支付。

传输计算机140通常是用于与特定资源提供商(例如，商家)或其他实体有商业关系的实体(例如银行)的系统。传输计算机140可以经由交易处理计算机150向授权实体计算机160路由交易的授权请求。传输计算机140可以包括服务器计算机。服务器计算机可以包括处理器和耦接至处理器的计算机可读介质，计算机可读介质包括可由处理器执行的代码。

交易处理计算机150可以与一个或多个支付服务提供商相关联。交易处理计算机150可以包括提供供应或个性化服务的任何实体。例如，交易处理计算机150可以维护具有用户信息的个性化数据库，交易处理计算机150可以被配置成与一个或多个授权实体计算机160通信以为用户确定个性化支付数据。交易处理计算机150可以经由供应服务模块向应用提供商计算机120提供供应服务，其中应用提供商计算机120可以利用应用编程接口(API)与交易处理计算机150通信。

交易处理计算机150可以包括服务器计算机。服务器计算机可以包括处理器和耦接至处理器的计算机可读介质，计算机可读介质包括可由处理器执行的代码。

授权实体计算机160通常由商业实体(例如，银行)运行，商业实体可能已经发行用于交易的支付(信用/借记)卡、账号或支付令牌。一些系统可以执行授权实体计算机160和传输计算机140两者的功能。当交易涉及与授权实体计算机160相关联的支付账户时，授权实体计算机160可以验证账户，并且利用授权响应消息对传输计算机140做出响应，授权响应消息可以被转发到对应的访问设备和消费者设备(如果适用的话)。

授权实体计算机160可以包括服务器计算机。服务器计算机可以包括处理器和耦接至处理器的计算机可读介质，计算机可读介质包括可由处理器执行的代码。在一些实施方案中，授权实体计算机160可以与交易处理计算机150通信以便进行交易。

在稍后时间(例如，在一天结束时)，清算和结算过程可以在传输计算机140、交易处理计算机150和授权实体计算机160之间进行。

图2示出根据本发明的实施例的通信装置200的框图。例如，通信设备200可以用于实现图1的通信设备110。通信设备200可以包括耦合到存储器202的设备硬件204。设备硬件204可以包括处理器205、通信子系统209和用户接口206。在一些实施方案中，设备硬件204可以包括显示器207(其可以是用户接口206的一部分)。例如，在通信设备200是便携式通信设备的一些实施方案中，设备硬件204还可以包括非接触式接口208。处理器205可以被实现为一个或多个集成电路(例如，一个或多个单核或多核微处理器和/或微控制器)，并且被用于控制通信设备200的操作。处理器205可以响应于存储在存储器202中的程序代码或计算机可读代码执行各种程序，并且可以维护多个同时执行的程序或进程。通信子系统209可以包括一个或多个RF收发器和/或连接器，其可由便携式通信设备200使用以便其他设备进行通信和/或与外部网络连接。用户接口206可以包括输入元件和输出元件的任何组合，以便允许用户与通信设备200交互并且调用该通信设备的功能。在一些实施方案中，用户接口206可以包括可用于输入功能和输出功能的部件(诸如显示器207)。

非接触式接口208可以包括一个或多个专用RF收发器(例如，近场通信(NFC)收发器)，以便与访问设备的非接触式读取器交互以进行交易(例如，支付交易、接入交易、信息交换等)。在基于安全元件的实现方式中，只有安全元件(未示出)可以访问非接触式接口208。在一些实施方案中，移动OS 220可以使用专用卡仿真API 222来访问非接触式接口208，而不需要使用安全元件。在一些实施方案中，显示器207也可以是非接触式接口208的部分并被用于例如使用条形码、QR码等执行交易。

存储器202可以使用任何数量的非易失性存储器(例如，闪速存储器)和易失性存储器(例如，DRAM、SRAM)的任何组合、或任何其他非暂时性存储介质、或其组合介质来实现。存储器202可以存储操作系统(OS)220、以及一个或多个应用(包括处理器205要执行的应用212)驻留在其中的应用环境210。在一些实施方案中，OF 220可以实现一组卡仿真API 222，其可由应用212调用以便访问非接触式接口208来与访问设备交互。

应用212可以包括使用、访问和/或存储敏感信息或令牌的应用。例如，应用212可以包括使用令牌和/或支付凭证经由通信设备200进行交易的数字钱包或支付应用。在一些实施方案中，用户对应用212的访问可以由用户认证数据(诸如口令、密码、PIN等)保护。例如，当用户尝试启动或执行应用212时，可以在用户可访问应用212之前请求用户输入有效的用户认证数据。应用212可以包括下载管理器218、密文模块214、令牌数据储存器216和条形码生成模块217。在一些实施方案中，这些部件中的一个或多个可以由不是应用212的一部分的另一个应用或部件提供。

下载管理器218可以被编程以便提供以下功能：和与应用212关联的应用提供商通信以便通过应用提供商下载信息。下载管理器218与处理器205协作可以请求或者以其他方式管理凭证和/或令牌的获取和/或存储。例如，下载管理器218与处理器205协作，可以经由与应用212相关联的应用提供商请求并获得凭证和/或令牌，并在凭据数据存储库216中存储凭证和/或令牌。在一些实施方案中，可能以加密形式接收由应用提供商提供的凭证和/或令牌。例如，可以利用服务器计算机生成的会话秘钥对凭证和/或令牌加密。下载管理器218与处理器205协作还可以从应用提供商接收加密形式的会话密钥，并将经加密的会话密钥存储在令牌数据存储库216中。

密文模块214与处理器205协作可以为应用212提供密文功能。例如，密文模块214可以使用加密算法(诸如DES、AES、TDES)和/或散列函数(诸如SHA)等对应用212实现和执行加密/解密操作。例如，在应用212访问令牌数据存储库216以检索并使用存储于其内的凭证和/或令牌(例如，以执行交易)时，应用212可以调用密文模块214，从而对用于对所存储的凭证和/或令牌加密的会话秘钥解密，之后使用解密后的会话秘钥对底层信息解密。之后，解密后的凭证和/或令牌可以被应用212使用。

条形码生成模块217与处理器205协作可以生成凭证或令牌的条形码以在通信设备200的显示器207上显示。条形码可以由资源提供商处的访问设备扫描，以利用凭证或令牌进行交易，如本文进一步所述。

图3示出了根据本发明实施方案的应用提供商计算机300的框图。应用提供商计算机300可以被实现为例如图1的应用提供商计算机120。应用提供商计算机300可以与应用提供商相关联。例如，应用提供商计算机300可以提供与通信设备的应用相关联的软件应用或服务。应用提供商计算机300可以包括耦合到网络接口302和计算机可读介质306的处理器301。在一些实施方案中，应用提供商计算机300还可以包括硬件安全模块(HSM)320。应用提供商计算机300还可以包括用户数据库303或以其他方式访问该用户数据库，该用户数据库可以在应用提供商计算机300的内部或外部。

处理器301可以包括一个或多个微处理器，以运行用于执行应用提供商计算机300的令牌请求功能330的程序部件。网络接口302可以被配置成连接到一个或多个通信网络，以便允许应用提供商计算机300与其他实体(诸如由用户操作的通信设备、交易处理计算机等)进行通信。计算机可读介质306可以包括与图2的存储器202相同或不同的部件。计算机可读介质306可以存储可由处理器301执行以用于实施应用提供商计算机300的令牌请求功能330中的一些或全部功能的代码。例如，计算机可读介质306可以包括实施注册模块310和令牌请求模块308的代码。在一些实施方案中，应用提供商计算机300还可以包括用以实施密文引擎322的硬件安全模块(HSM)320。

注册模块310可以与处理器301协作以便向应用提供商计算机300注册用户。例如，可以通过向注册模块310提供以下信息而向应用提供商注册用户：用于识别用户的用户标识信息；设备信息，例如，与用户的通信设备(其上安装有与应用提供商关联的应用)关联的设备标识符；账户或令牌信息，例如，与用户的账户关联的账户标识符等。在一些实施例中，用户可以使用注册模块310和处理器301来设置用户认证数据(例如，口令、密码、PIN等)。当用户通信设备上的应用与应用提供商计算机300通信时，应用提供商计算机300可以使用用户认证数据来认证用户。注册模块310可以与处理器301一起工作以便允许用户改变或更新用户认证数据。注册信息可以存储在用户数据库303中。在一些实施方案中，当用户首次下载用于安装在用户的通信设备上的应用时，或者当用户首次启动并执行应用时，可以执行注册过程。

令牌请求模块308被编程控制以处理接收自安装在用户的通信设备上的应用的对令牌的请求。在一些实施方案中，在接收到来自用户通信设备上的应用的请求时，令牌请求模块308与处理器301协作，可以通过对照存储在用户数据库303中的先前注册信息对用户认证数据和通信设备的设备标识符进行验证来认证用户和/或通信设备。然后，令牌请求模块308可以与处理器301协作以从服务器计算机(例如，令牌服务器或交易处理计算机)请求令牌以用于通信设备上。在令牌请求模块308接收到来自服务器计算机的令牌时，令牌请求模块308可以与处理器301协作将令牌发送至在通信设备上执行的应用。在一些实施方案中，令牌请求模块308还可以与处理器301协作跟踪哪一令牌被提供给了特定通信设备，其方式是将这种信息存储在数据库303中。因此，用户数据库303可以包括通信设备和供应给该通信设备的令牌之间的映射。

密文引擎322(可以与HSM 320中的独立数据处理器协作)为应用提供商计算机300提供密文功能。在一些实施方案中，密文引擎322可以在HSM 320中实现，HSM是用于执行密码操作和管理密钥的专用硬件部件。密文引擎322可以被编程控制以使用加密算法(诸如AES、DES、TDES或使用任何长度(例如，56比特、128比特、169比特、192比特、256比特等)的密文秘钥的其他合适加密算法)来实施和执行应用提供商计算机300的加密/解密操作。在一些实施方案中，密文引擎322还可以被编程以便使用诸如安全散列算法(SHA)等的散列函数来执行散列计算。例如，当应用提供商计算机300接收到用于对来自服务器计算机的凭证加密的会话秘钥时，应用提供商计算机300可以调用密文引擎322对所述会话秘钥加密，从而使得所述会话秘钥能够被以加密形式提供给通信设备上的应用。在一些实施方案中，可以使用散列值来加密会话密钥，通过与请求凭证的用户关联的用户认证数据计算散列值。

图4示出了根据本发明实施方案的交易处理计算机400的框图。交易处理计算机400可以用于实现例如图1的交易处理计算机150，并可以是令牌服务器计算机或包括令牌服务器计算机。交易处理计算机400可以包括耦合到网络接口402和计算机可读介质406的处理器401。在一些实施方案中，服务器计算机400还可以包括硬件安全模块(HSM)420。交易处理计算机400还可以包括可以处于交易处理计算机400内部或外部的令牌注册表。

处理器401可以包括一个或多个微处理器，以执行用于执行交易处理计算机400的令牌管理功能430的程序部件。网络接口402可以被配置成连接到一个或多个通信网络，以允许交易处理计算机400与其他实体通信，例如由用户操作的通信设备、应用提供商计算机或令牌请求计算机、资源提供商计算机(例如，商家计算机)、传输计算机(例如，收单方计算机)、授权实体计算机(例如，发行方计算机)等。计算机可读介质406可以如结合图3的计算机可读介质306所述。计算机可读介质406可以存储可由处理器401执行以用于实施文中描述的交易处理计算机400的令牌管理功能430中的一些或全部功能的代码。例如，计算机可读介质406可以包括：请求者注册模块408、用户注册模块410、令牌生成模块412、验证和认证模块414、令牌交换和路由模块416、以及令牌寿命周期管理模块418。

请求者注册模块408可以与处理器401协作向数据库403注册令牌请求者实体(例如，应用提供商)，并且为经注册的实体生成令牌请求者标识符(ID)。每个经注册的实体可以使用其相应的令牌请求者ID作为令牌服务请求的一部分以促进所述实体的识别和确认。在一些实施方案中，令牌请求者实体可以向请求者注册模块408提供令牌请求者信息，诸如实体名称、联系信息、实体类型(例如，商家、钱包提供商、支付服务提供商、发行方、支付使能方、收单方等)。在令牌与交易有关的一些实施方案中，令牌请求者信息还可以包括令牌呈现模式(例如，扫描、非接触式、电子商务等)、令牌类型(例如，主令牌、子令牌、支付标识符、静态/动态、支付/非支付)、集成和连接性参数以及所订购服务(例如，令牌请求、认证和验证、寿命周期管理等)以及用于板载过程的任何其他相关信息。

用户注册模块410可以与处理器401一起执行用户和用户账户的注册。在一些实施方案中，交易处理计算机400可允许经授权的实体代表用户向网络令牌系统注册消费者账户(例如，支付或金融账户)。例如，已注册令牌请求者可以提供：令牌请求者ID(例如，在注册时从请求者注册模块408接收的)、令牌可以替代的账户标识符或其他敏感信息或敏感信息标识符、消费者姓名和联系信息、消费者通信设备的设备标识符、令牌类型、以及个人账户注册或批量账户注册的任何其他相关信息。在一些实施方案中，用户注册模块410可以与处理器401协作将账户细节和敏感信息存储在数据库403中以用于所有成功的激活和注册请求。在一些实施方案中，经授权的实体还可以通过向交易处理计算机400提供必要信息来注销用户和账户。

令牌生成模块412可以被编程控制以生成和/或提供与敏感数据相关联的令牌(例如，账户信息或主令牌)。例如，令牌生成模块412可以生成可用作实际账户标识符(例如，账户的主账号(PAN))的替代品的主令牌，并且维持主令牌和PAN之间的所存储关联(例如，映射)，使得令牌交换模块416能够将主令牌“转换”回原始PAN。在一些实施方案中，从原始PAN通过数学方式导出主令牌。在其他实施方案中，相对于原始PAN随机生成主令牌，并且在数据表中支付令牌简单地链接到原始PAN。不论主令牌是如何从PAN生成或反之，在交易期间使用主令牌替代真实账户标识符能够提供增强的安全。在一些实施方案中，主令牌和/或有关主令牌的信息可以存储在令牌保险库中。

在一些实施方案中，令牌生成模块412还可以生成基于主令牌的子令牌。子令牌可以与和主令牌相同的用户相关联。子令牌可以被用作主令牌的替代。此外，令牌生成模块412可以在子令牌和主令牌之间维持存储的关联(例如，映射)，使得令牌交换模块416能够将子令牌“转换”回主令牌，在一些实施方案中，将主令牌转换回原始凭证。在一些实施方案中，从主令牌通过数学方式导出子令牌。在其他实施方案中，相对于主令牌随机生成子令牌，并且在数据表中支付令牌简单地链接到它。子令牌例如可以是一次性使用或有限次使用的令牌。在交易期间使用子令牌取代主令牌能够提供增强的安全性，因为子令牌不直接与凭证相关联。在一些实施方案中，子令牌和/或有关子令牌的信息可以存储在令牌保险库中。

在一些实施方案中，令牌生成模块412可以被编程控制以接收令牌请求者ID和账户标识符或敏感信息标识符。在一些实施方案中，令牌生成模块412还可以被编程控制以接收任选信息，诸如用户姓名、用户地址和邮政编码、所请求的令牌或敏感信息类型(例如，主令牌、子令牌、静态、动态、非支付等)、设备标识符和/或合适的信息。在一些实施方案中，令牌生成模块412可以被编程控制以生成具有所请求的令牌或所请求的敏感信息、与令牌关联的令牌有效日期和/或与令牌关联的令牌确保等级的响应。在一些实施方案中，令牌生成模块412可以被编程以验证令牌请求者ID并保有令牌、敏感信息、主令牌或被令牌替代的账户标识符以及关联的令牌请求者之间的相关性。在一些实施方案中，令牌生成模块412可以被编程以在生成新的令牌之前判断在令牌数据库403中是否已经存在了针对某一令牌请求的令牌。在一些实施方案中，如果不能供应令牌，那么令牌响应可以包括对应的原因代码。在一些实施方案中，令牌生成模块412还可以被编程以为令牌请求者提供提交批量令牌请求文件的界面。

在一些实施方案中，可以使用API调用即时生成令牌。例如，在接收到对账户标识符或主令牌进行令牌化的请求时，令牌生成模块412可以确定用以分配所述令牌的令牌范围。可以基于发行方是否正在供应令牌(例如，发行方分配的令牌范围)或交易处理网络是否正在代表发行方供应令牌(例如，交易处理网络分配的令牌范围)来分配令牌范围。作为示例，如果交易处理网络分配的令牌范围包括“442400000-442400250”，那么可以分配“4424000000005382”作为令牌值。

验证和认证模块414可以与处理器401协作，执行消费者验证和认证过程，并且基于验证和认证过程的结果来确定令牌确保等级。例如，与处理器401一起工作的验证和认证模块414可以通过配置的认证方案来执行消费者认证和验证。在一些实施方案中，认证方案可以包括基于存储在与交易处理网络关联的数据库中的客户信息来验证账户标识符、验证值、到期日和/或输送信道标识符。在一些实施方案中，认证方案可以包括发行方使用其在线银行系统的消费者令牌来直接验证消费者。

在一些实施方案中，可以执行用户注册、令牌生成以及验证和认证，以作为单个令牌请求过程的处理的一部分。在一些实施方案中，对于批量请求，可以通过处理来自令牌请求者的批量文件来执行用户注册和令牌生成。在此类实施方案中，可以在单独的步骤中执行消费者验证和认证。在一些实施方案中，令牌请求者可以请求针对特定账户独立地多次执行认证和验证过程，以便反映令牌的确保等级随时间推移的任何改变。

令牌交换和路由模块416可以与处理器401协作处理对与既定令牌关联的任何底层敏感信息(例如，账号或主令牌号码)的请求。例如，交易处理网络、收单方，发行方等可以在交易处理期间发出对令牌交换的请求。令牌交换和路由模块416可以与处理器401协作验证请求实体有权发出对令牌交换的请求。在一些实施方案中，令牌交换和路由模块416可以与处理器401协作，基于交易时间戳和令牌到期时间戳来验证账户标识符(或者其他敏感信息)到令牌的映射以及呈现模式。令牌交换和路由模块416可以与处理器401协作从令牌注册档404中检索账户标识符或主令牌(或者其他敏感信息)，并将其连同确保等级一起提供至请求实体。在一些实施方案中，如果所述账户标识符(或者其他敏感信息)到令牌的映射对于所述交易时间戳和呈现模式而言是无效的，那么可以提供错误消息。

令牌寿命周期管理模块418可以与处理器401协作对由交易处理计算机400管理的令牌执行寿命周期操作。寿命周期操作可以包括取消令牌、对令牌激活或去激活、更新令牌属性、用新的有效日期更新令牌等。在一些实施方案中，令牌请求者实体可以向交易处理计算机400提供令牌请求者ID、令牌号码、寿命周期操作标识符以及一个或多个令牌属性，以对既定令牌执行所请求的寿命周期操作。令牌寿命周期管理模块418可以基于数据库403内的信息验证令牌请求者ID和令牌关联。令牌寿命周期管理模块418可以与处理器401协作对既定令牌执行所请求的寿命周期操作并更新数据库403内的对应关联。寿命周期操作的示例可以包括用以激活不活动、暂停或暂时锁定的令牌及其关联的令牌激活操作；用以暂时锁定或暂停令牌的令牌去激活操作；用以将凭证及其关联永久地标记为已删除，以防止任何未来的交易的取消令牌操作等。在一些实施方案中，如果使用相同的令牌来提交对应的原始交易，则可以在返回/退款期间使用已删除的凭证。

根据一些实施方案，交易处理计算机400可以包括HSM 420以执行安全功能，例如，加密和解密操作以及用于加密和解密操作的密文密钥的生成。HSM 420可以类似于图3的HSM 320，并可以包括密文引擎422(可以类似于图3的密文引擎322)和会话密钥生成器424。例如，对于交易处理计算机400接收和处理的每个请求，会话密钥生成器424可以生成对于从特定令牌请求者接收到的每个请求而言唯一的会话密钥，或对于与特定用户或账户关联的每个请求而言唯一的会话密钥。在一些实施方案中，会话密钥可以与用于在令牌请求者和交易处理计算机400之间建立安全通信信道(例如，TLS、SSL等)的加密密钥相同或不同。令牌生成模块412可以结合处理器401生成或以其它方式检索令牌以履行请求。密文引擎422和处理器401可以使用会话秘钥，利用加密算法对该令牌加密，并且加密后的令牌可以被提供给令牌请求者。在一些实施方案中，所生成的会话密钥也将与加密后的令牌一起被提供给令牌请求者。

尽管交易处理计算机400和应用提供商计算机300是在HSM仅实施其功能中的一些的情况下描述的，但是应当理解，各计算机的其他功能(例如，令牌生成)也可以在HSM内实施。此外，各HSM功能中的一些或全部也可以在HSM外部实现。

II.方法

可以结合图5描述根据本发明实施方案的方法，图5示出了流程图，示出了根据本发明的实施方案，生成子令牌的方法。图5包括通信设备110、应用提供商计算机120和交易处理计算机150。可以参考图1描述图5。

在步骤S502，通信设备110请求基于主令牌生成子令牌，任选地，向应用提供商计算机120执行登记过程。请求包括主令牌的标识和与主令牌相关联的任何相关数据(例如，有限次使用密钥、推导数据、令牌验证密码等)。令牌可以包括头部、中间部分和校验位。头部可以与发出令牌和/或发出主令牌底层的凭证的授权实体相关联。在一个实施方案中，头部高达9位，中间部分为9位或更多位，校验位为1位，获得19位的令牌。

通信设备110可以通过通信网络与应用提供商计算机120通信。登记过程可以在通信设备110请求(例如，交易或访问请求)之前进行。请求和/或登记过程可以使得能够在通信设备110上供应子令牌。在步骤S504，应用提供商计算机120向交易处理计算机150转发对子令牌的请求。

在步骤S506，交易处理计算机150使用主令牌和与主令牌相关联的数据生成模糊部分。模糊部分例如可以是随机或通过数学方式推导的值，所述值被加密或与主令牌和数据相关联地存储在查找表中。模糊部分可以充当指向查找表中令牌和数据的指针，或者可以被解密以获得令牌和数据。在一个实施方案中，模糊部分包括九个或更多字符(例如，数位)。

对于特定头部而言，交易处理计算机150可以确保生成的模糊部分将不会是可能已经生成但尚未失效的任何其他模糊部分的副本。换言之，对于一次使用子令牌而言，交易处理计算机150可以确保不会已经有了尚未用于交易的具有相同头部和模糊部分的另一子令牌。

在步骤S508，交易处理计算机150生成与主令牌相关联的子令牌。子令牌包括头部、模糊部分和与令牌相同的校验位。头部可以与交易处理计算机150相关联，从而在使用子令牌进行交易时，将子令牌路由到适当的交易处理计算机150，以转换成主令牌和/或凭证。在一个实施方案中，头部高达9位，模糊部分为9位或更多位，校验位为1位，获得19位的子令牌。

在一个实施方案中，子令牌与主令牌长度相同。子令牌可以在其使用方面具有关联的限制或条件。例如，子令牌可以被指定为有限次使用或一次使用子令牌。其他限制或条件可以涉及交易量、可以使用子令牌的资源提供商类型等。

在步骤S510，交易处理计算机150向应用提供商计算机120发送子令牌。在步骤S512，应用提供商计算机120向通信设备110提供子令牌(例如，在通信设备110上供应子令牌)。

在步骤S514，通信设备110任选地使用子令牌生成条形码。条形码是可以由例如资源提供商或访问设备扫描的子令牌的表示，并可以用于发起交易，如本文进一步所述。尽管相对于条形码加以描述，但构思的是可以使用令牌生成任何其他可扫描或可解释代码(例如，QR码)。

在本示例中，条形码可以仅包含子令牌，没有额外的关联数据。它可以没有额外的信息，例如独立的本来可以用于帮助验证子令牌的令牌验证密码。条形码，尤其是一维条形码，不能承载大量信息。从本文的描述将会明了，本发明的实施方案能够实现安全令牌化系统的益处，即使一开始用于进行交易的条形码不能承载典型令牌交易中可能需要的所有数据。

图6示出了根据本发明实施方案，利用子令牌处理交易的方法的流程图。图6包括通信设备110、资源提供商计算机130、传输计算机140、交易处理计算机150和授权实体计算机160。可以参考图1描述图6，并可以在图5中所示流程图之后的某个点执行图6。

在步骤S620，在一个实施方案中，通信设备110显示表示子令牌的条形码，以发起与资源提供商计算机130的支付交易。条形码例如可以由驻留在通信设备110上的应用显示。在其他实施方案中，其他可扫描和/或可解释代码可以由通信设备110提供(例如，QR码)。在其他实施方案中，可以经由非接触式接口向资源提供商计算机130提供子令牌。在步骤S622，资源提供商计算机130使用条形码扫描仪扫描通信设备110上显示的条形码并通过解释条形码从条形码提取子令牌。子令牌可以包括头部、模糊部分和校验位。

在步骤S624，资源提供商计算机130从条形码和其他交易信息(例如，支付金额、资源提供商ID等)生成具有子令牌的授权请求消息。在步骤S626中，资源提供商计算机130向传送计算机140发送授权请求消息。传输计算机140在步骤S628执行例行处理检查并向交易处理计算机150传递授权请求消息。在一个实施方案中，可以由子令牌的头部向交易处理计算机150路由授权请求消息(即，子令牌的头部可以是指向交易处理计算机150的指针)。

在步骤S630，在交易处理计算机150接收到授权请求消息之后，交易处理计算机150可以评估子令牌以判断其是否正在任何先前确立的限制或条件下被使用。例如，如果子令牌是一次性使用的，交易处理计算机150验证这是第一次且唯一一次将该子令牌用于交易。还可以对照可以由交易处理计算机150存储的使用条件评估授权请求消息中的其他数据，例如资源提供商ID(例如，商家ID)和/或交易金额。作为例示，子令牌可以仅在特定类型商家(例如，杂货店)处使用和/或可以具有交易限制，例如，与其相关联的$500。如果不满足这些条件，那么可以由交易处理计算机150拒绝交易。交易处理计算机150然后可以生成授权响应消息并向资源提供商计算机130发回授权响应消息，资源提供商计算机130最终通知通信设备110的用户交易被拒绝。

如果子令牌满足所有使用条件，那么交易处理计算机150能够使用子令牌的模糊部分产生底层主令牌和与主令牌相关联的数据。在一些实施方案中，模糊部分可以被用作指向查找表中的主令牌和数据的指针。在其他实施方案中，可以对模糊部分进行解密或以其它方式进行数学操控以获得主令牌和与主令牌相关联的数据。与主令牌相关联的数据可以包括，例如，有限次使用密钥和其他导出数据。主令牌包括头部、中间部分和与子令牌相同的校验位。主令牌的头部可以与授权实体相关联。

在一些情况下，有限次使用密钥可以用于生成令牌验证密码，并可以在进行交易时正常地伴随主令牌。可以在交易处理计算机150处周期性地(例如，每五天、每五次交易或在设定的累积交易量之后)改变有限次使用密钥，使得从其生成的任何令牌验证密码也是有限次使用的。这样改善了交易的安全性，因为如果令牌验证密码和主令牌被未经授权的人获得，那人将仅能够在短时间之内使用令牌验证密码和主令牌。

从这个过程流显然看出，即使从通信设备110向资源提供商计算机130提供数据的初始方式仅能够承载有限的数据(例如，通过使用一维条形码)，交易处理计算机150也能够生成本来执行基于令牌的交易必需的数据(例如，独立的令牌验证密码)。

需注意，主令牌、有限次使用密钥和令牌验证密码也可以存储于通信设备110或由用户操作的另一个设备上。如本文所述，在有充分机制在通信设备110和资源提供商计算机130之间传输数据的状况下，可以由通信设备110发送主令牌和令牌验证密码。例如，如果通信设备110和资源提供商计算机130能够经由NFC、蓝牙、Wi-Fi或多维码(例如，多维条形码)通信，那么可以在通信设备110上使用从有限次使用密钥生成的主令牌和令牌验证密码而不是子令牌。

在步骤S632，交易处理计算机150通过查找表检索与令牌相关联的凭证。凭证包括头部、中心部分和与令牌和子令牌相同的校验位。在凭证、令牌和子令牌之间使用相同的校验位以便防止交易处理计算机150或交易的其他方，例如收单方或发行方立即做出错误检测。凭证的头部也可以与授权实体相关联，并可以与令牌是相同的头部。至少凭证的中心部分与令牌的中间部分不同，从而不会为凭证和令牌两者使用相同的值。

在步骤S634，交易处理计算机利用凭证更新授权请求消息。在步骤S636，交易处理计算机向授权实体自计算机160发送带有凭证的授权请求消息。在步骤S638，授权实体计算机160使用凭证做出授权决定并生成授权响应消息。例如，授权实体计算机160可以判断与授权请求消息中的凭证相关联的账户是否具有充分的资金或信用，还可以判断交易是否超过预定的欺诈阈值。在步骤S640，授权实体计算机160向交易处理计算机150发送带有凭证的授权响应消息。

在步骤S642，交易处理计算机150检索与凭证相关联的主令牌。在步骤S644，交易处理计算机150检索与主令牌相关联的子令牌。在步骤S646，交易处理计算机150更新授权响应消息以包括子令牌。此时，如果交易已经被授权，交易处理计算机150可以使子令牌失效(如果为一次使用子令牌)。

在步骤S648，交易处理计算机150向传输计算机140发送包括子令牌的授权响应消息。在步骤S650，传输计算机140向资源提供商计算机130发送包括子令牌的授权响应消息。资源提供商计算机130随后将在其记录中存储子令牌而不是凭证或主令牌。在上述过程中未向资源提供商计算机130暴露与通信设备110的用户相关联的任何敏感数据。在步骤S652，资源提供商计算机130为通信设备110(或通信设备110的用户)提供交易被授权还是拒绝的指示。

在稍晚时间点，清算和结算过程可以在传输计算机140、交易处理计算机150和授权实体计算机160之间进行。资源提供商计算机130可以首先向传送计算机140提供带有子令牌的文件和关联的交易数据。传输计算机140然后可以使用子令牌向交易处理计算机150发送任何清算和结算消息。然后可以如上文在授权过程中所述将子令牌转换成凭证，以方便传输计算机140和授权实体计算机160之间的消息交换和资金转移。

尽管结合图6描述为由单个交易处理计算机150执行，但构想的是，可以由交易处理计算机150外部的独立令牌服务器执行步骤S630-S646的一个或多个。例如，令牌服务器可以在步骤S630从子令牌获得主令牌；在步骤S632从主令牌获得凭证；在步骤S642从凭证获得主令牌；和/或在步骤S644从主令牌获得子令牌。

此外或替代地，构想的是可以由授权实体计算机160而不是交易处理计算机150执行步骤S630-S646的一个或多个。例如，授权实体计算机160可以转而在步骤S636从交易处理计算机150接收包含主令牌的授权请求消息，之后可以检索与主令牌自身相关联的凭证。可以在授权实体计算机160而非例如交易处理计算机150发出主令牌的情况下，实现本实施例。

尽管以上示例描述了从主令牌生成的子令牌，但实施方案不限于此。例如，通信设备110的用户可以直接从与其账户相关联的凭证生成一次使用令牌。在购买期间，用户会使用一次使用令牌。

而且，尽管以上示例描述了由通信设备110向资源提供商计算机130呈现子令牌，但在其他实施方案中，子令牌可以呈现为一维条形码的形式或仅仅是20位或更小的数字，例如，可以打印于一张纸卡上。

本发明的实施例可提供若干优点。本发明使用户能够容易地获得子令牌，例如用于每次交易的一次使用子令牌，使得底层账户的安全性最大化。整个交易系统中有权访问凭证或高值令牌(即，与凭证直接相关的令牌)的实体数量被最小化。这样可以确保交易的安全性，因为没有敏感数据被暴露于可能发起欺诈的资源提供商或商家。此外，因为子令牌可以用于一次使用，所以用于每次交易的子令牌数量可能变化。于是，如果在交易期间一旦不正当地获得子令牌数量，就决不能在底层账户上再次用于进行交易。

本发明的实施方案的另一个优点在于，在没有传输更大量数据的能力的状况下，可以使用子令牌，而没有额外的令牌验证密码。尽管在一开始从用户传输数据时未使用诸如令牌验证密码的额外数据，但本发明的实施方案仍然能够受益于基于令牌的处理系统的交易安全性和便利性。

生成与可能分发给被授权实体的原始令牌关联的子令牌也可以应用于金融交易上下文之外。例如，本发明的实施方案可以用于向可以提供子令牌的个人指定特定访问特权以授予访问权。

图7示出了根据本发明实施方案的建筑物访问系统的框图。用户706操作具有令牌的通信设备710。用户706可以请求子令牌以为令牌和底层凭证提供进一步的安全。之后，通信设备710可以与访问设备715交互，并向访问设备720传递子令牌。访问设备715可以对子令牌进行本地分析以判断是否应该准许对建筑物770的访问，或者访问设备715可以与处于远程位置的服务器计算机(未示出)进行通信。处于远程位置的服务器计算机可以对安全通知数据进行分析，以判断是否应当准许对建筑物770的访问，并且可以将指示这一结果的信号传回访问设备715。之后，访问设备715可以根据子令牌进行对用户706访问建筑物770的允许或拒绝。

计算机系统可以用于实现上述任何实体或部件。计算机系统的子系统可以通过系统总线互连。可使用另外的子系统，诸如打印机、键盘、固定磁盘(或包括计算机可读介质的其他存储器)、耦合到显示适配器的监视器及其他。耦合到I/O控制器(可以是处理器或任何合适的控制器)的外设和输入/输出(I/O)设备可以通过任何本领域已知的手段(诸如串行端口)连接到计算机系统。例如，可以使用串行端口或外部接口将计算机装置连接到如互联网的广域网、鼠标输入设备或扫描仪。经由系统总线的互连允许中央处理器能够与每个子系统通信，并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。在一些实施方案中，监视器可以是触敏显示屏。

计算机系统可以包括例如通过外部接口或内部接口连接在一起的多个相同的部件或子系统。在一些实施方案中，计算机系统、子系统或装置可以通过网络进行通信。在这种情况下，一台计算机可以被认为是客户端，另一台计算机为服务器，其中每台计算机都可以是同一计算机系统的一部分。客户端和服务器可以分别包括多个系统、子系统或部件。

应当理解，本发明的任何实施方案可以使用硬件(例如专用集成电路或现场可编程门阵列)和/或使用计算机软件以控制逻辑的形式借助通用可编程处理器以模块化或集成方式实现。如本文所使用的，处理器包括单核处理器，同一集成芯片上的多核处理器或单个电路板上的多个处理单元或网络。基于本文中提供的公开和教导，本领域普通技术人员会知道并意识到使用硬件及硬件和软件的组合实现本发明的实施方案的其他方式和/或方法。

本申请中描述的任何软件组件或功能中可以实现为使用任何适当计算机语言(诸如，例如Java、C、C++、C#、Objective-C、Swift)或脚本语言(诸如Perl或Python)使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以作为一系列指令或命令存储在用于存储和/或传输的计算机可读介质上，合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、诸如硬盘驱动器或软盘的磁介质或诸如光盘(CD)或DVD(数字通用盘)的光学介质、闪存等。计算机可读介质可以是这些存储或传输设备的任何组合。

也可以使用适于通过符合各种协议(包括互联网)的有线、光学、和/或无线网络传输的载波信号来编码和传输这样的程序。因此，根据本发明的实施方案的计算机可读介质可以使用用这种程序编码的数据信号来创建。利用程序代码编码的计算机可读介质可以利用兼容的设备来封装，或与其他设备可分开地提供(例如通过互联网下载)。任何这样的计算机可读介质都可以驻留在单个计算机产品(例如硬盘驱动器，CD或整个计算机系统)上或内部，并且可以存在于系统或网络内的不同计算机产品上或内部。计算机系统可包括监视器、打印机，或用于向用户提供本文所提及的任何结果的其他合适的显示器。

以上描述是示意性的不是限制性的。在本领域技术人员阅读了本公开之后，本发明的许多变体对于他们会变得显而易见。因此，本发明的范围不应该参考上面的描述来确定，而是应该参考待决的权利要求及其完整范围或等同物来确定。例如，尽管已经相对于图6中的交易处理计算机150描述了特定功能和方法，但如本文所述，这样的功能可以由诸如授权实体计算机160的其他计算机执行。

在不偏离本发明的范围的情况下，任何实施方案的一个或多个特征可以与任何其他实施方案的一个或多个特征组合。

除非明确指示有相反的意思，否则“一个”、“一种”或“该/所述”的叙述旨在表示“一个/种或多个/种”。

上文提到的所有专利、专利申请、公开和描述出于所有目的以其全文引用的方式并入本文中。不承认它们为现有技术。

Claims

1.一种方法，包括：

由第一服务器计算机接收包括第一头部和模糊部分的第一令牌，其中所述第一头部将所述第一令牌路由到所述第一服务器计算机；

由所述第一服务器计算机使用所述第一令牌的模糊部分产生第二令牌和与所述第二令牌相关联的数据，所述第二令牌包括第二头部和中间部分，其中所述第二头部与授权实体相关联；以及

(i)由所述第一服务器计算机检索与所述第二令牌相关联的凭证，所述凭证包括所述第二头部和中心部分，其中所述凭证的中心部分与所述第二令牌的中间部分不同，且其中所述凭证接下来被用于授权交易；或者

(ii)由所述第一服务器计算机向第二服务器计算机发送所述第二令牌，其中所述第二服务器计算机检索与所述第二令牌相关联的凭证，所述凭证包括所述第二头部和中心部分，其中所述凭证的中心部分与所述第二令牌的中间部分不同，且其中所述凭证接下来被用于授权所述交易。

2.根据权利要求1所述的方法，其中与所述第二令牌相关联的数据包括有限次使用密钥，其中所述有限次使用密钥接下来被所述第一服务器计算机用于生成令牌验证密码，且其中所述第二令牌和所述令牌验证密码被用于检索凭证。

3.根据权利要求1所述的方法，其中所述第一令牌是从资源提供商计算机接收的，且其中所述资源提供商计算机从一维条形码提取所述第一令牌。

4.根据权利要求3所述的方法，其中，所述第一令牌是通过没有令牌验证密码的传输计算机从所述资源提供商计算机接收的。

5.根据权利要求1所述的方法，其中所述第一令牌是在授权请求消息中接收的。

6.根据权利要求5所述的方法，还包括：

更新所述授权请求消息以利用所述凭证替换所述第一令牌，

其中所述凭证在更新的授权请求消息中被发送到授权实体。

7.根据权利要求1所述的方法，其中使用所述第一令牌的所述模糊部分包括：

在数据库中定位所述第二令牌和与所述第二令牌相关联的数据，其中所述第二令牌和与所述第二令牌相关联的数据与所述模糊部分相关联地存储于所述数据库中。

8.根据权利要求1所述的方法，还包括：

使所述第一令牌失效。

9.根据权利要求1所述的方法，其中所述方法包括(i)，且其中所述凭证被发送到授权实体。

10.根据权利要求1所述的方法，其中，所述第一令牌，所述第二令牌和所述凭证包括相同的校验位。

11.一种第一服务器计算机，包括：

处理器；以及

包括代码的存储元件，所述代码能由所述处理器执行，用于实施一种方法，所述方法包括：

接收包括第一头部和模糊部分的第一令牌，其中所述第一头部将所述第一令牌路由到所述第一服务器计算机；

使用所述第一令牌的模糊部分产生第二令牌和与所述第二令牌相关联的数据，所述第二令牌包括第二头部和中间部分，其中所述第二头部与授权实体相关联；以及

(i)检索与所述第二令牌相关联的凭证，所述凭证包括所述第二头部和中心部分，其中所述凭证的中心部分与所述第二令牌的中间部分不同，且其中所述凭证接下来被用于授权交易；或者

(ii)向第二服务器计算机发送所述第二令牌，其中所述第二服务器计算机检索与所述第二令牌相关联的凭证，所述凭证包括所述第二头部和中心部分，其中所述凭证的中心部分与所述第二令牌的中间部分不同，且其中所述凭证接下来被用于授权所述交易。

12.根据权利要求11所述的第一服务器计算机，其中与所述第二令牌相关联的数据包括有限次使用密钥，其中所述有限次使用密钥接下来被所述第一服务器计算机用于生成令牌验证密码，且其中所述第二令牌和所述令牌验证密码被用于检索凭证。

13.根据权利要求11所述的第一服务器计算机，其中所述第一令牌是从资源提供商计算机接收的，且其中所述资源提供商计算机从一维条形码提取所述第一令牌。

14.根据权利要求13所述的第一服务器计算机，其中，所述第一令牌是通过没有令牌验证密码的传输计算机从所述资源提供商计算机接收的。

15.根据权利要求11所述的第一服务器计算机，其中所述第一令牌是在授权请求消息中接收的。

16.根据权利要求15所述的第一服务器计算机，其中，所述方法进一步包括：

更新所述授权请求消息以利用所述凭证替换所述第一令牌，

其中所述凭证在更新的授权请求消息中被发送到授权实体。

17.根据权利要求11所述的第一服务器计算机，其中使用所述第一令牌的所述模糊部分包括：

18.根据权利要求11所述的第一服务器计算机，其中，所述方法进一步包括：

使所述第一令牌失效。

19.根据权利要求11所述的第一服务器计算机，其中所述方法包括(i)，且其中所述凭证被发送到授权实体。

20.根据权利要求11所述的第一服务器计算机，其中，所述第一令牌，所述第二令牌和所述凭证包括相同的校验位。

21.一种方法，包括：

由服务器计算机从通信设备接收对第一令牌的请求，所述请求包括第二令牌和与所述第二令牌相关联的数据，其中所述第二令牌包括第二头部和中间部分，且其中所述第二头部与授权实体相关联；

由所述服务器计算机使用所述第二令牌和与所述第二令牌相关联的数据生成模糊部分；

由所述服务器计算机生成包括第一头部和所述模糊部分的第一令牌，其中所述第一头部与所述服务器计算机相关联；以及

由所述服务器计算机向移动设备发送所述第一令牌。