CN114846495A - 具有受限虚拟号码的卡发行 - Google Patents

Abstract

各种实施例涉及经由非接触式卡认证对虚拟卡号应用一个或多个限制并生成该卡号以供接收者使用。一个或多个限制可以针对接收者专门个性化并且可以包括例如商家限制、金额限制、时间段限制或位置限制。所生成的虚拟卡号连同所应用的一个或多个限制可以通过各种方式使用，例如将号码写入空白卡、将号码直接发送到接收者的计算设备等，所有这些都经由近场通信进行。

Description

具有受限虚拟号码的卡发行

相关申请

本申请要求于2019年12月23日提交的题为“具有受限虚拟号码的卡发行”的美国专利申请16/726,210的优先权。上述申请的内容通过引用整体并入本文。

背景技术

虚拟信用卡是通常用于在线购物和一次性交易的虚拟信用卡号。虚拟卡号可以是与实际信用卡相关联的随机生成的号码。根据发卡机构的不同，还可以设置虚拟号码的最高收费，在某些情况下，可以设置自创建虚拟号码起最长一年的有效期。对于在线商家来说，虚拟卡号看起来与任何其他信用卡没有什么不同。

尽管发卡机构可以设置与虚拟卡号相关联的基本限制，例如最大收费金额和有效期，但是需要由发行用户以安全的方式设置针对接收者专门个性化的限制。

发明内容

各种实施例涉及经由非接触式卡认证对虚拟卡号应用一个或多个限制并生成所述卡号以供接收者使用。所述一个或多个限制可以针对所述接收者专门个性化并且可以包括例如商家限制、金额限制、时间段限制或位置限制。所生成的虚拟卡号连同所应用的一个或多个限制可以通过各种方式使用，例如将所述号码写入空白卡、将所述号码直接发送到所述接收者的计算设备等，所有这些都经由近场通信进行。

附图说明

图1A示出了根据一个或多个实施例的示例数据传输系统。

图1B示出了根据一个或多个实施例的用于提供认证的访问的序列图。

图2示出了根据一个或多个实施例的使用非接触式卡的示例系统。

图3A示出了根据一个或多个实施例的示例非接触式卡。

图3B示出了根据一个或多个实施例的非接触式卡的示例接触垫。

图4示出了根据一个或多个实施例的生成虚拟卡号和相关联的限制的示例流程。

图5示出了根据一个或多个实施例的一触式认证的示例流程。

图6示出了根据一个或多个实施例的经由用户计算设备将虚拟卡号写入空白卡以及经由接收者计算设备使用卡的示例流程。

图7示出了根据一个或多个实施例的在两个计算设备之间传输虚拟卡号的示例过程。

图8示出了根据一个或多个实施例的示例卡小程序和小程序通信。

图9示出了根据一个或多个实施例的示例流程图。

具体实施方式

各种实施例一般地涉及以个性化和安全的方式生成虚拟卡号并对卡号应用一个或多个限制。在示例中，发行用户可以设置针对虚拟卡号的接收者个性化的限制，例如商家限制、金额限制、时间段限制、位置限制等。例如，用户(例如，父母)可能想留给保姆30美元作为晚餐费用，但30美元必须花在特定的披萨餐厅上。在另一情况下，用户(例如，企业主)可能希望给员工5,000美元以购买用品，但支付限制为两个小时，并且必须在特定供应商处购买。

为了创建具有一个或多个限制的虚拟卡号，用户可以打开软件应用程序(例如，银行应用程序)并选择用于生成虚拟卡号的图标。根据实施例，用户可以使用软件应用程序选择一个或多个限制以应用于卡号。用户然后可以经由属于用户的非接触式卡执行一触式认证(其在本文中可以也称为“一触式非接触式卡认证”)以最终确定和应用所选择的限制并生成虚拟卡号。

在示例中，在生成虚拟卡号时，号码(具有选定的一个或多个应用限制)可以经由软件应用程序被写入空白的解锁卡上并被激活以在任何销售点系统处使用。根据进一步的实施例，虚拟卡号可以从第一计算设备发送到第二计算设备，例如，从用户计算设备发送到接收者计算设备。第一和第二计算设备可以是支持近场通信(NFC)的设备，并且虚拟卡号可以经由NFC发送。

如以下将进一步描述的，一触式非接触式卡认证可以是验证用户身份的高度安全的方式，以确保例如限制实际上是由用户而不是欺诈者设置的。此外，由于非接触式卡可能经常是用于“注资”虚拟卡号或为虚拟卡号充值的支付工具，因此一触式认证可确保用户实际上是授权创建虚拟卡号并为虚拟卡号充值的人。

根据实施例，一触式非接触式卡认证可以涉及用户将非接触式卡放置在用户计算设备(例如，智能手机)的指定区域附近、对着该指定区域轻触非接触式卡或使非接触式卡靠近该指定区域。用户计算设备可以经由近场通信(NFC)检测非接触式卡并且从非接触式卡接收一个或多个密码。可以识别非接触式卡的真正所有者的密码中包含的信息可以与登录到银行应用程序的用户的相关认证信息进行比较或匹配。如果它们匹配，则可以确认成功的用户身份验证。

如上所述，在先前的解决方案中，对虚拟卡号施加的限制是不灵活的和非个人的。本文描述的实施例和示例克服了先前的解决方案的缺点并且优于先前的解决方案，因为用户可以基于号码的接收者容易且方便地个性化和定制对虚拟卡号的一个或多个限制。此外，用户能够经由用户的计算设备将虚拟卡号写入空白解锁卡上，并激活该卡以供接收者在各种销售点系统处使用。此外，用户能够经由近场通信将虚拟卡号从用户的计算设备有利地传输到接收者的计算设备。总的来说，一个或多个限制的应用和虚拟卡号的生成可以经由一触式非接触式卡认证以高度安全和可靠的方式执行。

现在参考附图，其中相同的参考标号自始至终用于指代相同的元件。在以下描述中，出于解释的目的，阐述了许多具体细节以便提供对其的透彻理解。然而，很明显，可以在没有这些具体细节的情况下实践新颖的实施例。在其他情况下，以框图形式示出众所周知的结构和设备以便于对其进行描述。其意图是覆盖权利要求范围内的所有修改、等同物和替代物。

图1A示出了根据一个或多个实施例的示例数据传输系统。如下文进一步讨论的，系统100可以包括非接触式卡105、客户端设备110、网络115和服务器120。尽管图1A示出了组件的单个实例，但系统100可以包括任意数量的组件。

系统100可以包括一个或多个非接触式卡105，下面将参考图3A和图3B对其进行进一步解释。在一些实施例中，非接触式卡105可以在示例中利用NFC与客户端设备110进行无线通信。

系统100可以包括客户端设备110，其可以是启用网络的计算机。如本文所提及的，启用网络的计算机可以包括但不限于计算机设备或通信设备，包括例如服务器、网络设备、个人计算机、工作站、电话、智能手机、手持PC、个人数字助理、瘦客户端、胖客户端、互联网浏览器，或其他设备。客户端设备110也可以是移动计算设备，例如来自

的iPhone、iPod、iPad或运行Apple的

操作系统的任何其他合适的设备、运行Microsoft的

Mobile操作系统的任何设备、运行Google的

操作系统的任何设备和/或任何其他合适的移动计算设备，例如智能手机、平板电脑或类似的可穿戴移动设备。

客户端设备110可以包括处理器和存储器，并且可以理解，处理电路可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，以必要地执行此处描述的功能。客户端设备110还可以包括显示和输入设备。显示器可以是用于呈现视觉信息的任何类型的设备，例如计算机显示器、平板显示器和移动设备屏幕，包括液晶显示器、发光二极管显示器、等离子面板和阴极射线管显示器。输入设备可以包括任何用于向用户设备输入信息的设备，这些设备是用户设备可以使用和支持的，如触摸屏、键盘、鼠标、光标控制设备、触屏、麦克风、数码相机、录像机或摄像机。这些设备可用于输入信息并与本文所述的软件和其他设备交互。

在一些示例中，系统100的客户端设备110可以执行一个或多个应用程序，例如软件应用程序，其例如能够与系统100的一个或多个组件进行网络通信并发送和/或接收数据。

客户端设备110可以经由一个或多个网络115与一个或多个服务器120通信，并且可以与服务器120构成相应的前端到后端对来执行操作。客户端设备110可以例如通过在客户端设备110上执行的移动设备应用程序向服务器120发出一个或多个请求。一个或多个请求可以与从服务器120检索数据相关联。服务器120可以从客户端设备110接收一个或多个请求。基于来自客户端设备110的一个或多个请求时，服务器120可以被配置为从一个或多个数据库(未示出)检索所请求的数据。基于从一个或多个数据库接收到所请求的数据，服务器12可以被配置为将所接收到的数据发送到客户端设备110，所接收到的数据响应于一个或多个请求。

系统100可以包括一个或多个网络115。在一些示例中，网络115可以是无线网络、有线网络或无线网络和有线网络的任何组合中的一个或多个，并且可以被配置为将客户端设备110连接到服务器120。例如，网络115可以包括以下中的一个或多个：光纤网络、无源光网络、电缆网络、因特网网络、卫星网络、无线局域网(LAN)、全球移动通信系统、个人通信服务、个人区域网络、无线应用协议，多媒体消息服务、增强消息服务、短消息服务、基于时分复用的系统、基于码分多址的系统、D-AMPS、Wi-Fi、固定无线数据、IEEE 802.11b、802.15.1、802.11n和802.11g、蓝牙、NFC、射频识别(RFID)、Wi-Fi等。

此外，网络115可包括但不限于电话线、光纤、IEEE以太网802.3、广域网、无线个人区域网、LAN或全球网络，例如因特网。此外，网络115可支持因特网网络、无线通信网络、蜂窝网络等或其任何组合。网络115还可以包括一个网络或任何数量的上述示例性类型的网络，作为独立网络运行或相互协作。网络115可以利用与其通信耦合的一个或多个网络元件的一个或多个协议。网络115可以转换成其他协议或从其他协议转换成网络设备的一个或多个协议。尽管网络115被示出为单个网络，但是应当理解，根据一个或多个示例，网络115可以是多个互连网络，例如因特网、服务提供商的网络、有线电视网络、公司网络(例如信用卡协会网络)和家庭网络。

系统100可以包括一个或多个服务器120。在一些示例中，服务器120可以包括耦合到存储器的一个或多个处理器。服务器120可以被配置为中央系统、服务器或平台以在不同时间控制和调用各种数据以执行多个工作流程动作。服务器120可以被配置为连接到一个或多个数据库。服务器120可以连接到至少一个客户端设备110。

图1B示出了根据一个或多个实施例的用于提供认证的访问的示例时序图。该图可以包括非接触式卡105和客户端设备110，客户端设备110可以包括应用程序122和处理器124。图1B可以参考如图1A所示的类似组件。

在步骤102，应用程序122与非接触式卡105通信(例如，在靠近非接触式卡105之后)。应用程序122和非接触式卡105之间的通信可以涉及非接触式卡105足够靠近客户端设备110的读卡器(未示出)，以实现应用程序122和非接触式卡105之间的NFC数据传输。

在步骤104，在客户端设备110和非接触式卡105之间建立通信之后，非接触式卡105生成消息认证码(MAC)密码。在一些实施例中，这可以在应用程序122读取非接触式卡105时发生。具体地，这可在读取(例如NFC读取)可根据NFC数据交换格式创建的近场数据交换(NDEF)标签时发生。

例如，诸如应用程序122之类的阅读器可以发送消息，如小程序选择消息，带有NDEF生成小程序的小程序ID。在确认选择时，可以发送跟随有读取文件消息的选择文件消息序列。例如，该序列可以包括“选择功能文件”、“读取功能文件”和“选择NDEF文件”。此时，由非接触式卡105维护的计数器值可被更新或递增，其后可跟随“读取NDEF文件”。此时，可以生成消息，该消息可以包括报头和共享秘密。然后可以生成会话密钥。MAC密码可以从消息中创建，该消息可以包括报头和共享秘密。MAC密码然后可以与一个或多个随机数据块连接，并且MAC密码和随机数(RND)可以用会话密钥加密。此后，可以将密文和标头连接起来，并编码为ASCII十六进制并以NDEF消息格式返回(响应“读取NDEF文件”消息)。

在一些实施例中，MAC密码可以作为NDEF标签传输，并且在其他示例中，MAC密码可以与统一资源指示符(例如，作为格式化字符串)一起被包括。

在一些示例中，应用程序122可被配置为向非接触式卡105发送请求，该请求包括生成MAC密码的指令。

在步骤106，非接触式卡105将MAC密码发送到应用程序122。在一些示例中，MAC密码的传输经由NFC发生，然而，本发明不限于此。在其它示例中，该通信可经由蓝牙、Wi-Fi或其它无线数据通信方式发生。

在步骤108，应用程序122将MAC密码传送给处理器124。在步骤112，处理器124根据来自应用程序122的指令验证MAC密码。例如，可以验证MAC密码，如下所述。

在一些示例中，验证MAC密码可以由客户端设备110以外的设备执行，例如与客户端设备110进行数据通信的服务器120(如图1A所示)。例如，处理器124可以输出MAC密码以传输给服务器120，服务器120可以验证MAC密码。

在一些示例中，MAC密码可以用作用于验证的数字签名。其他数字签名算法，例如公钥非对称算法，例如数字签名算法和RSA算法，或零知识协议，可用于执行该验证。

将理解，在一些示例中，非接触式卡105可以在非接触式卡靠近客户端设备110之后发起通信。举例来说，非接触式卡105可以向客户端设备110发送消息，例如指示非接触式卡已建立通信。此后，客户端设备110的应用程序122可以在步骤102继续与非接触式卡通信，如上所述。

图2示出了使用非接触式卡的示例系统200。系统200可以包括非接触式卡205、一个或多个客户端设备210、网络215、服务器220、225、一个或多个硬件安全模块230和数据库235。尽管图2示出了组件的单个实例，但系统200可以包括任意数量的组件。

系统200可以包括一个或多个非接触式卡205，其在下文关于图3A和图3B进一步解释。在一些示例中，非接触式卡205可以与客户端设备210进行无线通信，例如NFC通信。例如，非接触式卡205可以包括一个或多个芯片，例如射频识别芯片，其被配置为经由NFC或其他短距离协议通信。在其他实施例中，非接触式卡205可以通过其他方式与客户端设备210通信，包括但不限于蓝牙、卫星、Wi-Fi、有线通信和/或无线和有线连接的任何组合。根据一些实施例，非接触式卡205可以被配置为当非接触式卡205在读卡器213的范围内时，通过NFC与客户端设备210的读卡器213(其在本文中也称为NFC读取器、NFC读卡器或读取器)进行通信。在其他示例中，与非接触式卡205的通信可以通过物理接口来完成，例如，通用串行总线接口或刷卡接口。

系统200可以包括客户端设备210，其可以是启用网络的计算机。如本文所提及的，启用网络的计算机可以包括但不限于：例如计算机设备或通信设备，包括例如服务器、网络设备、个人计算机、工作站、移动设备、电话、手持PC、个人数字助理、瘦客户端、胖客户端、互联网浏览器，或其他设备。一个或多个客户端设备210也可以是移动计算设备；例如，移动设备可以包括来自

的iPhone、iPod、iPad或运行Apple的

操作系统的任何其他移动设备、运行Microsoft的

Mobile操作系统的任何设备、运行Google的

操作系统的任何设备和/或任何其他智能手机或类似的可穿戴移动设备。在一些示例中，客户端设备210可以与参考图1A或图1B描述的客户端设备110相同或相似。

客户端设备210可以经由一个或多个网络215与一个或多个服务器220和225通信。客户端设备210可以例如通过在客户端设备210上执行的应用程序211向一个或多个服务器220和225发送一个或多个请求。一个或多个请求可以与从一个或多个服务器220和225检索数据相关联。服务器220和225可以从客户端设备210接收一个或多个请求。基于来自客户端设备210的一个或多个请求，一个或多个服务器220和225可以被配置为从一个或多个数据库235检索所请求的数据。基于从一个或多个数据库235接收到的请求数据，一个或多个服务器220和225可以被配置为将所接收到的数据发送到客户端设备210，所接收到的数据响应于一个或多个请求。

系统200可以包括一个或多个硬件安全模块(HSM)230。例如，一个或多个HSM 230可以被配置为执行如本文所公开的一个或多个密码操作。在一些示例中，一个或多个HSM230可以被配置为专用安全设备，这些设备被配置为执行一个或多个密码操作。HSM 230可以被配置为使得密钥永远不会在HSM 230以外泄露，而是被维护在HSM 230内。例如，一个或多个HSM 230可以被配置为执行密钥导出、解密和MAC中的至少一项操作。一个或多个HSM230可以包含在服务器220和225内，或者可以与服务器220和225进行数据通信。

系统200可以包括一个或多个网络215。在一些示例中，网络215可以是无线网络、有线网络或无线网络和有线网络的任何组合中的一个或多个，并且可以被配置为将客户端设备210连接到服务器220和/或225。例如，网络215可以包括以下中的一个或多个：光纤网络、无源光网络、电缆网络、蜂窝网络、因特网网络、卫星网络、无线LAN、全球移动通信系统、个人通信服务、个人区域网、无线应用协议，多媒体消息服务、增强消息服务、短消息服务、基于时分复用的系统、基于码分多址的系统、D-AMPS、Wi-Fi、固定无线数据、IEEE 802.11b、802.15.1、802.11n和802.11g、蓝牙、NFC、RFID、Wi-Fi和/或其任何网络组合。作为非限制性示例，来自非接触式卡205和客户端设备210的通信可以包括NFC通信、客户端设备210和运营商之间的蜂窝网络，以及运营商和后端之间的互联网。

此外，网络215可包括但不限于电话线、光纤、IEEE以太网802.3、广域网、无线个人区域网、局域网或全球网络，例如因特网。此外，网络215可支持因特网网络、无线通信网络、蜂窝网络等或其任何组合。网络215还可以包括一个网络或任何数量的上述示例性类型的网络，作为独立网络运行或相互协作。网络215可以利用与其通信耦合的一个或多个网络元件的一个或多个协议。网络215可以转换成其他协议或从其他协议转换成网络设备的一个或多个协议。尽管网络215被示出为单个网络，但是应当理解，根据一个或多个示例，网络215可以包括多个互连网络，例如因特网、服务提供商的网络、有线电视网络、公司网络(例如信用卡协会网络)和家庭网络。

在根据本公开的各种示例中，系统200的客户端设备210可以执行一个或多个应用程序211，并且包括一个或多个处理器212和一个或多个读卡器213。例如，一个或多个应用程序211，例如软件应用程序，可以被配置为例如能够实现与系统200的一个或多个组件的网络通信以及发送和/或接收数据。应当理解，尽管图2中仅示出了客户端设备210的组件的单个实例，但是可以使用任意数量的设备210。读卡器213可以被配置为从非接触式卡205进行读取和/或与之通信。结合一个或多个应用程序211，读卡器213可以与非接触式卡205通信。在示例中，读卡器213可以包括电路或电路组件，例如NFC读取器线圈，其产生磁场以允许客户端设备210和非接触式卡205之间的通信。

任何客户端设备210的应用程序211可以使用短距离无线通信(例如，NFC)与非接触式卡205通信。应用程序211可以被配置为与被配置为与非接触式卡205通信的客户端设备210的读卡器213接口。应该注意，本领域技术人员将理解，小于20厘米的距离与NFC一致范围。

在一些实施例中，应用程序211通过相关联的读取器(例如，读卡器213)与非接触式卡205通信。

在一些实施例中，卡激活可以在没有用户认证的情况下发生。例如，非接触式卡205可以通过客户端设备210的读卡器213经由NFC与应用程序211通信。该通信(例如，靠近客户端设备210的读卡器213轻触卡)允许应用程序211读取与卡相关联的数据并执行激活。在一些情况下，轻触可以激活或启动应用程序211，然后启动一个或多个动作或与帐户服务器225的通信来激活卡以供后续使用。在一些情况下，如果应用程序211未安装在客户端设备210上，则对着读卡器213轻触卡可以发起应用程序211的下载(例如，导航到应用程序下载页)。在安装之后，卡的轻触可以激活或启动应用程序211，然后启动(例如，经由应用程序或其他后端通信)卡的激活。激活后，该卡可用于包括商业交易在内的各种交易。

根据一些实施例，非接触式卡205可以包括虚拟支付卡。在那些实施例中，应用程序211可以通过访问在客户端设备210上实现的数字钱包来检索与非接触式卡205相关联的信息，其中数字钱包包括虚拟支付卡。在一些示例中，虚拟支付卡数据可以包括一个或多个静态或动态生成的虚拟卡号。

服务器220可以包括与数据库235通信的Web服务器。服务器225可以包括帐户服务器。在一些示例中，服务器220可以被配置为通过与数据库235中的一个或多个凭证比较来验证来自非接触式卡205和/或客户端设备210的一个或多个凭证。服务器225可以被配置为授权来自非接触式卡205和/或客户端设备210的一个或多个请求，例如支付和交易。

图3A示出了一个或多个非接触式卡300，其可包括由显示在卡300的正面或背面的服务提供商305发行的支付卡，例如信用卡、借记卡或礼品卡。在一些实施例中，非接触式卡300与支付卡无关，并且可以包括但不限于身份证。在一些实施例中，支付卡可以包括双界面非接触式支付卡。非接触式卡300可以包括基板310，其可以包括单层，或者由塑料、金属和其他材料构成的一个或多个层压层。示例性基板材料包括聚氯乙烯、聚氯乙烯乙酸酯、丙烯腈丁二烯苯乙烯、聚碳酸酯、聚酯、阳极氧化钛、钯、金、碳、纸和可生物降解材料。在一些实施例中，非接触式卡300可以具有符合ISO/IEC 7810标准的ID-1格式的物理特性，并且非接触式卡可以另外符合ISO/IEC 14443标准。然而，可以理解的是，根据本公开的非接触式卡300可以具有不同的特性，并且本公开不要求在支付卡中实现非接触式卡。

非接触式卡300还可包括显示在卡正面和/或背面的识别信息315和接触垫320。接触垫320可以被配置为与另一个通信设备建立联系，例如用户设备、智能手机、笔记本电脑、台式计算机或平板电脑。非接触式卡300还可以包括处理电路、天线和图3A中未示出的其他组件。这些组件可以位于接触垫320后面或基板310上的其他地方。非接触式卡300还可以包括磁条或磁带，其可以位于卡的背面(图3A中未示出)。

如图3B所示，图3A接触垫320可以包括用于存储和处理信息的处理电路325，包括微处理器330和存储器335。应当理解，处理电路325可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，以执行执行此处描述的功能。

存储器335可以是只读存储器、一次写入多次读取存储器或读/写存储器，例如RAM、ROM和EEPROM，并且非接触式卡300可以包括这些存储器中的一个或多个。只读存储器可以在工厂可编程为只读或一次性可编程的。一次性可编程性提供了一次写入然后多次读取的机会。可以在存储芯片出厂后的某个时间点对一次写入/多次读取的存储器进行编程。一旦存储器被编程，它可能不会被重写，但它可能被多次读取。读/写存储器在出厂后可以多次编程和重新编程。它也可以被多次读取。

存储器335可以被配置为存储一个或多个小程序340、一个或多个计数器345、一个或多个多样化密钥347和客户标识符350。一个或多个小程序340可以包括一个或多个软件应用程序，该软件应用程序被配置为在一个或多个非接触式卡上执行，例如Java Card小程序。然而，应当理解，小程序340不限于

Card小程序，而是可以是可在非接触式卡或具有有限存储器的其他设备上操作的任何软件应用程序。一个或多个计数器345可以包括足以存储整数的数字计数器。如下面进一步描述的，一个或多个多样化密钥347可用于加密各种信息，诸如有关用户或客户的信息(例如，客户标识符450)，以生成密码，这些密码可被发送到例如移动设备以实现至少一个认证目的。客户标识符350可以包括分配给非接触式卡300的用户的唯一字母数字标识符，并且该标识符可以将非接触式卡的用户与其他非接触式卡用户区分开来。在一些实施例中，客户标识符350可以识别客户和分配给该客户的帐户，并且可以进一步识别与客户的帐户相关联的非接触式卡。

参考接触垫来描述前述示例性实施例的处理器和存储器元件，但是本发明不限于此。应当理解，这些元件可以在接触垫320的外部实现或与其完全分离，或者作为除了位于接触垫320内的处理器330和存储器335元件之外的另外的元件。

在一些实施例中，非接触式卡300可以包括一个或多个天线355。一个或多个天线355可以放置在非接触式卡300内和接触垫320的处理电路325周围。例如，一个或多个天线355可以与处理电路325集成在一起，并且一个或多个天线355可以与外部升压线圈一起使用。作为另一示例，一个或多个天线355可以在接触垫320和处理电路325的外部。

在一个实施例中，非接触式卡300的线圈可以充当空芯变压器的次级。终端可以通过切断电源或调幅与非接触式卡300通信。非接触式卡300可以使用非接触式卡的电源连接中的间隙来推断从终端传输的数据，该间隙可以通过一个或多个电容器在功能上保持。非接触式卡300可以通过切换非接触式卡的线圈上的负载或负载调制进行回通信。负载调制会通过干扰在终端线圈中检测到。

如上所述，非接触式卡300可以建立在可在智能卡或其他具有有限内存的设备上操作的软件平台上，如JavaCard，并且一个或多个应用程序或小程序可以安全第一执行。小程序可被添加到非接触式卡中，以便在各种基于移动应用的用例中为多因素认证(MFA)提供一次性密码(OTP)。小程序可被配置为响应来自读卡器(例如NFC读卡器)的一个或多个请求，例如近场数据交换请求并产生NDEF消息，该消息包括编码为NDEF文本标签的加密安全OTP。

在示例中，当准备发送数据(例如，发送到移动设备、发送到服务器等)时，非接触式卡300可以增加一个或多个计数器345中的计数器的计数器值。非接触式卡300然后可以提供主密钥(其可以是存储在卡300上的独特密钥)，以及计数器值作为密码算法的输入，该密码算法产生作为输出的多样化密钥，其可以是多样化密钥347之一。应当理解，主密钥和计数器值也存储在从非接触式卡300接收数据的设备或组件的存储器中，以便使用卡用于加密传输数据的多样化密钥对数据进行解密。密码算法可以包括加密算法、基于散列的消息认证码(HMAC)算法、基于密码的消息认证码(CMAC)算法等。密码算法的非限制性示例可以包括对称加密算法，例如3DES或AES128；对称HMAC算法，例如HMAC-SHA-256；以及对称CMAC算法，例如AES-CMAC。非接触式卡300然后可以使用多样化密钥来加密数据(例如，客户标识符350和任何其他数据)，多样化密钥采取可以发送到移动设备的一个或多个密码的形式，例如作为NFC数据交换格式(NDEF)消息。非接触式卡300然后可以将加密数据(例如，密码)发送到移动设备，移动设备然后可以使用多样化密钥(例如，由移动设备使用存储在其存储器中的计数器值和主密钥生成的多样化密钥)来解密密码。

图4示出了根据一个或多个实施例的生成虚拟卡号和相关联的限制的示例流程400。用户可以使用移动计算设备打开银行应用程序402(其在本文中也可以称为“银行应用程序”)。如图所示，银行应用程序402可以至少显示欢迎屏幕和用于登录的图标406。用户可以通过输入用户名和密码登录到用户的帐户，或者可以以任何其他合适的方式获取帐户访问权限，例如在移动计算设备上轻触用户的非接触式卡。将理解，可以轻触用户的非接触式卡进行登录并且此操作可以以与一触式认证过程类似的方式进行，这将在下面进一步描述。还将理解，银行应用程序可以是任何软件应用程序，例如基于移动的应用程序、本地应用程序、Web应用程序或网络浏览器。

在登录到用户的帐户后，银行应用程序402可以显示并允许用户选择各种与帐户相关的任务，例如检查帐户余额、在帐户之间转移资金、支付账单以及生成虚拟卡号，如图标408所示。用户可以选择图标408，如突出显示的框所示，以生成虚拟卡号和与其相关联的一个或多个限制。在一些示例中，如果接收者也是银行客户，则用户还可以输入并识别虚拟卡号的接收者。将理解，虚拟卡号可以被充值、注资或链接到用户帐户，该用户帐户可以与用户的非接触式卡相关联。在示例中，用户帐户可以是货币帐户、支票帐户、信用卡帐户、借记卡帐户、数字钱包帐户、加密货币帐户等。

如进一步所示，银行应用程序402可以显示可能的限制选项410。例如，用户可以选择“时间”图标来设置针对虚拟卡号的各种类型的时间相关限制，例如有效期、虚拟卡号可以使用的时间段、该号码将被激活的特定日期范围等。用户还可以选择“商家”图标，该图标可用于设置任何类型的商家相关限制，例如将虚拟卡号的使用限制在特定的商店、餐厅、供应商等。此外，用户可以选择“位置”图标，这将虚拟卡号的使用限制在某个地理位置，例如特定的邮政编码、城市、城镇、州等。此外，如最底部的图标所示，可以选择“金额”图标来设置金额相关限制，例如将货币金额降至精确的美元和美分(或任何其他货币)值。将理解，当用户选择任何显示的限制选项410时，用户可以手动输入限制和/或选择预先选定的或预先选取的限制。有利地，以这种方式，用户可以设置的一个或多个限制更加个性化、灵活和特定于接收者，这为用户提供了对虚拟卡号的更多控制。

在一些示例中，银行应用程序402可以基于与用户相关的数据以及在适应适用的情况下基于与接收者相关的数据为用户做出限制建议。例如，如果用户帐户中只有一定数量的钱，并且用户希望用这些钱来为虚拟卡号充值或注资虚拟卡号，则可以建议不超过用户帐户中的可用金额的金额限制。在另一实例中，如果接收者也是银行客户，则可以分析与接收者相关联的财务数据以确定例如接收者喜欢哪种食物或用户经常光顾的餐馆以建议商家或位置限制。

在一个限制示例中，用户可以为女儿生成虚拟卡号，以供女儿外出与她的朋友在Main Street餐厅用餐。用户可以对虚拟卡号设置各种限制：至少将商家限制设置为MainStreet餐厅，将金额限制设置为40，以及将时间限制设置为三小时使用期限。如虚线框所示，银行应用程序402可以显示所有选定的限制并且请求用户确认信息是正确的。如果有必要进行更改，则用户可以修改限制。在确认限制是正确的后，用户可以选择图标412来执行一触式非接触式卡认证以生成虚拟卡号。在一些示例中，一触式认证过程可以在用户确认限制后自动开始。

图5示出了根据一个或多个实施例的一触式非接触式卡认证的示例流程500。如上所述，示例一触式认证流程600可以例如在用户选择或按下用于生成具有图4所示的选定限制的虚拟卡号的图标412时开始。

如图所示，银行应用程序502(其可以与银行应用程序402类似或相同)可以显示一触式介绍屏幕512和相关背景信息以使用户执行一触式认证。例如，背景信息表明用户的非接触式卡具有可用于采取需要提高安全性的操作的技术，并进一步表明该卡可以平放在计算设备的屏幕上以继续进行认证过程。用户可以选择或按下“好，明白”图标继续。

在示例中，当用户选择或按下“好，明白”图标时，银行应用程序502然后可以显示由虚线框勾勒的指定区域，用户可以在其中放置或轻触非接触式卡。将理解，非接触式卡可以与上述非接触式卡300相似或相同。如上所述，还将理解，用户用于一触式认证的非接触式卡可以是用于“充值”或“注资”虚拟卡号的金融工具。

此外，可以显示一触式认证指令514，或者替代地，可以提供图标或到一触式指令514的链接。指令514至少可以包括用于执行一触式认证的分步指导。例如，可以指示用户选择或按下“读取我的卡”图标，然后在“将卡放在此处”框的引导虚线内放置并轻触非接触式卡。当按下“读取我的卡”图标时，银行应用程序502可以进一步显示用户的非接触式卡准备好扫描的指示。在一些示例中，如果计算设备不能经由NFC读取非接触式卡，则银行应用502可以指示用户重试卡扫描。将理解，非接触式卡可以放置在用户计算设备上的任何地方，例如背面或任何靠近NFC读取器的地方，而不仅仅是设备的正面。

根据实施例，当用户的计算设备经由NFC检测到非接触式卡时，计算设备可以从非接触式卡接收一个或多个密码。将理解，密码可以广泛地指代任何加密的文本、数据或信息。还将理解，一个或多个密码可以作为NFC数据交换格式(NDEF)消息来接收。

在示例中，一个或多个接收到的密码可以包含至少识别用户的信息或指示卡属于特定用户的其他相关信息。例如，卡用户信息可以是将非接触式卡与用户相关联的任何类型的数据或信息(例如，ID号、客户号等)，其可以在为用户创建非接触式卡时创建或建立和/或在用户注册或应用于非接触式时在后端系统处创建或建立。之后，可以将包含在一个或多个接收到的密码中的信息与用户的相关认证信息进行匹配或比较，以验证用户的身份。认证信息是识别登录到银行应用程序的用户的任何类型的数据或信息(例如，ID号、客户号等)。

在一个示例中，银行应用程序502可以被配置为使用至少一个密钥(例如，私钥、解密密钥、对应于特定加密-解密方案的密钥)来解密从非接触式卡接收到的一个或多个密码。银行应用程序502可以从一个或多个远程计算设备(例如，后端服务器)安全地访问或接收与用户相关的认证信息。认证信息可以至少包含一个标识符或任何指示登录到银行应用程序502的用户身份的信息。银行应用程序502然后可以确定接收到的认证信息和从非接触式卡接收到的解密密码信息是否匹配以验证非接触式卡实际属于用户和/或验证用户实际上是用户所声称的。

在另一示例中，银行应用程序502可以从非接触式卡接收一个或多个密码，并将密码发送到一个或多个远程计算设备，该设备可以是安全后端服务器，以执行密码的解密并确定一个或多个密码中包含的信息是否与用户的相关认证信息匹配。然后，一个或多个远程计算设备可以向银行应用程序502发送用户身份验证的指示或确认。至少在此方面，大部分(如果不是全部)身份验证过程可以在一个或多个安全的远程计算设备处执行，这在某些应用或用例中可能是有利的。

在用户身份成功验证和认证之后，银行应用程序502可以显示有关非接触式卡已被读取并且用户的身份已被成功验证的指示。用户然后可以选择或按下“继续”图标，这允许银行应用程序502生成具有一个或多个以上限定的限制的虚拟卡号。

在一些示例中，如果例如虚拟卡号被发送到第三方钱包(例如，接收者的第三方钱包)，则银行应用程序502可以请求用户允许其与第三方服务(例如第三方钱包)共享用户相关数据。用户相关数据可以包括用户的名字、中间名、姓氏、账单地址、电子邮件地址、电话号码、卡号、卡有效期信息等。此外，在附加示例中，会提示用户接受与将虚拟卡号转发到第三方钱包相关的一项或多项条款和/或条件。如图所示，用户可以选择或按下“接受”图标以继续。此后，银行应用程序502可以生成具有一个或多个应用限制的虚拟卡号并且可以准备好供接收者使用。

虽然图4和图5示出了在用户选择了要应用于虚拟卡号的一个或多个限制之后执行的一触式非接触式卡认证，但是在进一步的实施例中，一触式认证过程可以在用户选择限制之前执行。例如，用户可以打开银行应用程序并选择一个图标来生成虚拟卡号。此时，在选择限制和生成虚拟卡号之前，可能会提示用户执行一触式认证。

图6示出了根据一个或多个实施例的经由用户计算设备601将虚拟卡号写入空白卡以及经由接收者计算设备611使用卡的示例流程600。将理解，用户计算设备601和接收者计算设备611可以是任何类型的支持NFC的或兼容NFC的设备。在用户计算设备601根据上述流程和/或过程生成具有一个或多个限制的虚拟卡号之后，用户可以将虚拟卡号(连同相关联的限制)写入支持NFC的空白解锁卡。

如图所示，银行应用程序602(其也可以与上述银行应用程序402和502相似或相同)可以显示介绍屏幕和有关写入过程的指令或信息。例如，应用程序602可以指示通过将空白卡放置在下一屏幕上的引导虚线内来将所生成的虚拟卡号写入空白卡。将理解，空白卡可以是支持NFC的空白解锁卡，其允许经由近场通信从用户计算设备601安全地接收虚拟卡号和相关联的限制的相关信息。

如进一步所示，银行应用程序602可以显示引导虚线，使得用户可以将空白卡放置在屏幕附近或屏幕上(或靠近用户计算设备601的NFC读取器的任何地方，例如设备的背面、侧面)并按下或选择图标606以写入虚拟卡号。当图标606被按下或选择时，计算设备601可以经由NFC读取器和相关联的NFC电路检测空白卡，并且可以将虚拟卡号作为NFC数据交换格式(NDEF)标签写入空白卡。在将虚拟卡号写入空白卡之后，可以激活该卡以在任何销售点系统处或任何支持NFC的设备上使用，其细节将在下面至少参考图8进一步描述将理解，激活的卡可以称为“活动”卡。

如图所示，在接收者计算设备611处，接收者可以打开银行应用622并轻触活动卡以接收、处理和使用或消费虚拟卡号。例如，在轻触活动卡之后接收到虚拟卡号后，接收者计算设备611可以在任何基于网络的应用程序或网站(例如商家网站642)上复制并粘贴、填充或自动填充与虚拟卡号相关联的相关支付信息。将理解，在网站642上进行的任何购买或交易仍然受到上述由用户设置的限制的约束。在另一示例中，可以添加虚拟卡号并将其提供给第三方数字钱包。在又一些示例中，用户可以在许多销售点系统处和支持NFC的设备(例如实体店)上物理地使用有源卡。

图7示出了根据一个或多个实施例的将虚拟卡号从用户计算设备702传送到接收者计算设备704的示例过程700。用户和接收者计算设备702和704可以是支持NFC或兼容NFC的设备。如图所示，用户设备702可以对着接收者设备704轻触(或反之亦然)以经由近场通信将虚拟卡号从用户设备702传送到接收者设备704。类似于将虚拟卡号写入空白卡的过程，虚拟卡号可以经由相应的银行应用程序在至少两个设备之间传输。

在传送虚拟卡号后，接收者设备704可以以各种方式消费该号码。例如，如图所示，接收者可以使用银行应用程序722来处理虚拟卡号，并根据由用户设置的限制复制并粘贴或填充商家基于网络的应用或网站的字符字段。在其他示例中，如进一步所示，接收者可以使用第三方钱包应用程序742将虚拟卡号提供给第三方虚拟钱包。

根据示例，虚拟卡号可以在将号码发送到接收者设备704之前用个人识别号(PIN)加密。因此，接收者可能需要输入PIN以便在银行应用程序722场景、第三方钱包应用程序742场景或任何其他场景中使用虚拟卡号。

图8示出了根据一个或多个实施例的存储在非接触式卡的存储器802中的示例卡小程序以及它们之间的通信。非接触式卡可以是上述支持NFC的空白解锁卡，其通过从用户计算设备发送的NDEF标签接收虚拟卡号。除了存储器802之外，非接触式卡还可以包括一个或多个处理器或处理电路(未示出)，类似于图3A和3B中所示的非接触式卡300及其接触垫。

如图所示，卡的存储器802可以包括安全域804。在安全域804内，可以存在至少两个独立的小程序810和812，它们可以彼此不同并且都驻留在同一安全域804中。在示例中，非接触式卡可以从用户计算设备接收NDEF标签并且第一小程序810可以使用或处理NDEF标签。小程序810可以提取、导出或以其他方式获得虚拟卡号和其他相关信息，例如有效期信息、由用户设置的一个或多个限制、卡校验值(CVV)。小程序810然后可以将虚拟卡号和相关信息转发到小程序812，使得非接触式卡变为活动的以在销售点系统处或其他支持NFC的设备上使用。在示例中，可以在两个小程序810和812之间形成安全通信隧道以转发或交换虚拟卡号，虚拟卡号与新的有效期、CVV、一个或多个密钥等一起将成为非接触式卡的主帐号，以便它可以用于在商店购物。将理解，小程序810可以是银行小程序，而小程序812可以是支付小程序。

在进一步的示例中，虚拟卡号可以用PIN加密，使得接收者需要输入或使用PIN来经由非接触式卡用虚拟卡号进行任何交易。

图9示出了根据一个或多个实施例的示例流程图900。流程图900涉及针对接收者个性化与虚拟卡号相关联的一个或多个限制并生成虚拟卡号。将理解，流程图900的框和其中描述的特征不需要以任何特定顺序执行。此外，将理解，流程图900和其中描述的特征可以由一个或多个处理器执行或支持。

在框902，银行应用程序例如可以接收来自用户的指令或选择以生成虚拟卡号。在框904，可以确定一个或多个限制是否与虚拟卡号相关联。如上所述，一个或多个限制可以由用户以针对接收者个性化的方式来选择和设置，这可以包括商家限制、金额限制、时间或时间段限制和/或位置限制。在一些示例中，用户不对虚拟卡号设置任何限制。

为了应用任何限制并生成虚拟卡号，可以执行一触式非接触式卡认证。有利地，这确保了实际生成卡号并向其应用限制的是用户。在框906，银行应用可以提示用户执行一触式认证。在示例中，经由用户的非接触式卡(可能是用于为虚拟卡号注资或充值的支付工具)执行认证，并且基于成功的认证，可以验证用户的身份。

如上所述，用户计算设备的NFC读取器可以检测用户的非接触式卡并从其接收一个或多个密码，这些密码可用于确定非接触式卡是否实际属于用户或与用户相关联。密码可以由用户计算设备使用银行应用程序，经由多样化密钥(根据存储在存储器中的至少一个计数器值和主密钥导出的多样化密钥)进行解密并与用户的相关认证信息进行匹配，所述认证信息可以从一个或多个安全的远程计算设备(例如，服务器计算机)接收。在另一示例中，可以将密码发送到一个或多个安全的远程计算设备，其中可以在远程计算设备处执行密码的解密以及将密码中包含的信息与用户认证信息进行匹配。基于该确定，可以确认用户身份的验证。

在经由一触式认证成功验证用户的身份后，在框908，由用户选择和设置的一个或多个限制(如果有)可以应用于虚拟卡号。然后，银行应用程序可以生成虚拟卡号，该卡号可以以上述不同方式消耗，例如写入物理非接触式卡、发送到接收者的计算设备等。此外，如上所述，一触式认证可以在号码生成过程中的任何时候执行，例如在用户选择和设置一个或多个限制之前。

虽然上述实施例和示例涉及在移动计算设备中实现的读取器线圈，但是将理解，可以动态调整安装在任何类型的设备中的任何NFC读取器的功率以改进NFC通信。此外，上述NDEF消息和相应的有效载荷可以包括与非接触式卡的各种用例相关的消息内容或数据，例如非接触式卡激活、用户验证、用户认证、各种交易、销售、购买等。

上述设备的组件和特征可以使用分立电路、专用集成电路(ASIC)、逻辑门和/或单芯片架构的任何组合来实现。此外，设备的特征可以使用微控制器、可编程逻辑阵列和/或微处理器或在适当合适的情况下使用前述的任何组合来实现。注意，硬件、固件和/或软件元件在本文中可以统称为“逻辑”或“电路”。

至少一个计算机可读存储介质可以包括指令，当被执行时，这些指令使系统执行本文描述的任何计算机实现的方法。

一些实施例可以使用表述“一个实施例”或“实施例”连同它们的派生词来描述。这些术语意味着结合该实施方式描述的特定特征，结构或特性包括在本公开的至少一个实施方式中。贯穿本说明书在各个地方出现的短语“在一个实施方式中”不一定都指的是同一实施方式。此外，除非另有说明，否则上述特征被认为可以以任何组合一起使用。因此，单独讨论的任何特征都可以相互组合使用，除非注意到这些特征彼此不兼容。

一般参考这里使用的符号和命名法，这里的详细描述可以根据在计算机或计算机网络上执行的程序过程来呈现。本领域技术人员使用这些过程描述和表示来最有效地将他们工作的实质传达给本领域技术人员。

程序在这里并且通常被认为是导致期望结果的自洽操作序列。这些操作是需要物理量的物理操作。通常，虽然不是必须的，但是这些量的形式是能够被存储，传输，组合，比较和以其它方式操纵的电，磁或光信号。主要出于常用的原因，将这些信号称为比特、值、元素、符号、字符、术语、数字等有时被证明是方便的。然而，应当注意的是，所有这些和类似的术语都与适当的物理量相关联，并且仅仅是应用于这些量的方便标签。

此外，所执行的操作通常以术语来指代，例如添加或比较，这些术语通常与由人类操作者执行的心理操作相关联。在本文所描述的构成一个或多个实施例的一部分的任何操作中，人类操作者的这种能力不是必需的，或者在大多数情况下是可取的。相反，这些操作是机器操作。

一些实施例可以使用表述“耦合”和“连接”连同它们的派生词来描述。这些术语不一定是彼此的同义词。例如，可以使用术语“连接”和/或“耦合”来描述一些实施例，以指示两个或更多个元件彼此直接物理或电接触。然而，术语“耦合”也可能意味着两个或多个元件彼此不直接接触，但仍然相互合作或相互作用。

各种实施例还涉及用于执行这些操作的装置或系统。该装置可以为所需目的而专门构造，并且可以由存储在计算机中的计算机程序选择性地激活或重新配置。此处介绍的过程与特定计算机或其他设备没有本质上的关系。各种这些机器所需的结构将从给出的描述中显现出来。

需要强调的是，提供本公开的摘要是为了让读者能够快速确定技术公开的性质。它是在理解不会被用来解释或限制权利要求的范围或含义的情况下提交的。此外，在前述详细描述中，可以看出，各种特征被组合在单个实施例中以简化本公开。这种披露方法不应被解释为反映出一种意图，即所要求的实施例需要比每项权利要求中明确叙述的更多的特征。相反，如以下权利要求所反映的，发明主题在于少于单个公开实施例的所有特征。因此，以下权利要求特此并入详细说明中，每个权利要求独立作为单独的实施例。在所附权利要求中，术语“包括”(including)和“其中”(in which)分别用作相应术语“包括”(comprising)和“其中”(wherein)的简单英语等价物。此外，术语“第一”、“第二”、“第三”等仅用作标签，并不旨在对其对象强加数字要求。

上面已经描述的包括所公开架构的示例。当然，不可能描述组件和/或方法的每一种可能的组合，但是本领域的普通技术人员可以认识到许多进一步的组合和排列是可能的。因此，新颖的架构旨在包含所有这些落入所附权利要求的精神和范围内的改变、修改和变化。

Claims (20)

1.一种装置，包括：

用于经由近场通信(NFC)接收和发送数据的近场通信电路；

用于存储指令的存储器；以及

与所述存储器耦合并且可操作地执行所述指令的一个或多个处理器，所述指令在被执行时使所述一个或多个处理器：

接收来自用户的用于访问软件应用程序的登录信息，并基于所述登录信息授予所述用户对所述软件应用程序的访问权限；

经由所述软件应用程序接收来自所述用户的指令或选择以从用户帐户生成虚拟卡号；

确定一个或多个限制是否与所述虚拟卡号的生成相关联，其中所述一个或多个限制是由所述用户输入、设置或指定的；

通过经由NFC从属于所述用户的第一非接触式卡接收一个或多个密码并使用多样化密钥解密所述一个或多个密码来认证所述用户，所述多样化密钥基于存储在所述存储器中的主密钥和计数器值生成；以及

基于所述用户的身份的所述认证和验证成功，对所述虚拟卡号应用所述一个或多个限制并生成所述虚拟卡号。

2.根据权利要求1所述的装置，其中所述一个或多个限制包括商家限制、金额限制、时间段限制和/或位置限制。

3.根据权利要求1所述的装置，其中进一步使所述一个或多个处理器：

经由所述NFC电路检测第二非接触式卡；以及

将所述虚拟卡号写入所述第二非接触式卡，作为所述装置和所述第二非接触式卡之间的NFC数据交换格式(NDEF)标签。

4.根据权利要求3所述的装置，其中所述第二非接触式卡至少包括第一小程序和不同于所述第一小程序的第二小程序，所述第一小程序和第二小程序驻留在相同的安全域中。

5.根据权利要求4所述的装置，其中所述第一小程序消耗或处理所述NDEF标签并将所述虚拟卡号转发到所述第二小程序，使得所述第二非接触式卡变为活动的以在销售点系统处使用，所述虚拟卡号使用个人识别号(PIN)加密，使得需要所述PIN才能使用所述虚拟号码。

6.根据权利要求1所述的装置，其中进一步使所述一个或多个处理器：

经由所述NFC电路检测NFC兼容设备；以及

将所述虚拟卡号发送到所述NFC兼容设备，以及

其中所述虚拟卡号使用个人识别号(PIN)加密，使得需要所述PIN才能使用所述虚拟号码。

7.根据权利要求5所述的装置，其中所述第二非接触式卡被对着所述NFC兼容设备轻触，并且所述NFC兼容设备至少读取所述虚拟卡号，以便根据由所述用户设置的所述一个或多个限制将所述虚拟卡号复制并粘贴到或填充到网站或基于web的应用程序的一个或多个字段中。

8.根据权利要求6所述的装置，其中进一步使所述一个或多个处理器将所述虚拟卡号发送到和提供给第三方数字钱包。

9.根据权利要求3所述的装置，其中进一步使所述一个或多个处理器经由NFC安全地将有效期和卡校验值(CVV)信息发送到所述第二非接触式卡。

10.根据权利要求1所述的装置，其中进一步使所述一个或多个处理器：

提示所述用户确认或修改在所述认证之前由所述用户输入、设置或指定的一个或多个限制，并接收确认或修改选择；以及

基于所述修改选择，允许所述用户修改所述一个或多个限制。

11.根据权利要求1所述的装置，其中所述第一非接触式卡包括存储器和处理电路，所述处理电路用于执行存储在所述存储器中的指令以将所述一个或多个密码作为一个或多个NFC数据交换格式(NDEF)消息发送到用于执行所述用户的身份的所述认证和验证的装置。

12.根据权利要求4所述的装置，其中所述第二非接触式卡包括存储器和处理电路，所述处理电路用于执行存储在所述存储器中的指令以处理和执行驻留在所述相同的安全域中的所述第一小程序和第二小程序。

13.根据权利要求3所述的装置，其中所述第二非接触式卡是空白解锁卡并且属于所生成的虚拟卡号的接收者。

14.一种用于生成虚拟卡号的方法，所述方法包括：

经由计算设备接收来自用户的用于访问软件应用程序的登录信息；

经由所述软件应用程序接收来自所述用户的指令或选择以从用户帐户生成虚拟卡号；

经由所述计算设备，通过经由近场通信(NFC)从属于所述用户的第一非接触式卡接收一个或多个密码并使用多样化密钥解密所述一个或多个密码来认证所述用户，所述多样化密钥基于存储在所述存储器中的主密钥和计数器值生成；

经由所述计算设备，确定一个或多个限制是否与所述虚拟卡号的生成相关联，其中所述一个或多个限制是由所述用户输入、设置或指定的；

基于所述确定，对所述虚拟卡号应用所述一个或多个限制并经由所述计算设备生成所述虚拟卡号；以及

(i)经由NFC检测第二非接触式卡并将所述虚拟卡号写入所述第二非接触式卡和/或(ii)将所述虚拟卡号发送到与所述计算设备不同的NFC兼容设备。

15.根据权利要求14所述的方法，其中所述认证的执行进一步包括：

经由NFC检测所述非接触式卡并从所述非接触式卡接收一个或多个密码，所述一个或多个密码至少包括卡用户信息；以及

确定所接收到的一个或多个密码中的所述卡用户信息是否与所述用户匹配或对应，并基于确定所述卡用户信息与所述用户匹配或对应，确认所述用户的身份的所述验证。

16.根据权利要求14所述的方法，其中所述一个或多个限制包括商家限制、金额限制、时间段限制和/或位置限制。

17.根据权利要求14所述的方法，其中所述第二非接触式卡是空白解锁卡并且属于所生成的虚拟卡号的接收者。

18.一种非暂时性计算机可读存储介质，其存储计算机可读程序代码，所述计算机可读程序代码可由处理器执行以：

接收来自用户的指令或选择以从用户帐户生成虚拟卡号；

接收与所述虚拟卡号的生成相关联的一个或多个限制；

通过经由近场通信(NFC)从属于所述用户的第一非接触式卡接收一个或多个密码并使用多样化密钥解密所述一个或多个密码来认证所述用户，所述多样化密钥基于存储在所述存储器中的主密钥和计数器值生成；

基于所述认证验证所述用户的身份并对所述虚拟卡号应用所述一个或多个限制；以及

生成所述虚拟卡号。

19.根据权利要求17所述的非暂时性计算机可读存储介质，其中所述一个或多个限制包括商家限制、金额限制、时间段限制和/或位置限制。

20.根据权利要求17所述的非暂时性计算机可读存储介质，其中所述用户帐户是货币帐户、支票帐户、信用卡帐户、借记卡帐户、数字钱包帐户或加密货币帐户。

Images