CN114928448A - 交互账户令牌化系统和方法 - Google Patents

交互账户令牌化系统和方法 Download PDF

Info

Publication number
CN114928448A
CN114928448A CN202210127891.1A CN202210127891A CN114928448A CN 114928448 A CN114928448 A CN 114928448A CN 202210127891 A CN202210127891 A CN 202210127891A CN 114928448 A CN114928448 A CN 114928448A
Authority
CN
China
Prior art keywords
tokenization
computer
user
user account
account data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210127891.1A
Other languages
English (en)
Inventor
L·斯波尔
M·凯马内齐斯
S·沃斯基安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visa International Service Association
Original Assignee
Visa International Service Association
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visa International Service Association filed Critical Visa International Service Association
Publication of CN114928448A publication Critical patent/CN114928448A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

本发明所公开的方法包括:在第一用户设备与第二用户设备之间的交互期间,令牌化计算机从处理网络计算机接收令牌化请求消息。该令牌化请求消息包括第一用户账户数据和第二用户账户数据。令牌化计算机能够基于第一用户账户数据和第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项。然后,令牌化计算机能够基于该令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据。令牌化计算机能够生成包括备用的第一用户账户数据和备用的第二用户账户数据的令牌化响应消息。然后,令牌化计算机能够将该令牌化响应消息提供给处理网络计算机。

Description

交互账户令牌化系统和方法
相关申请的交叉引用
无。
背景技术
当一个用户发起与另一个用户的交互以传送数据、共享Wi-Fi连接、转移金额等时,可能发生用户对用户的交互。用户可能彼此认识,也可能彼此不认识。然而,在交互期间,可能将敏感数据(诸如账户名称/号码)提供给另一个用户以便完成交互。每个用户的保密性由于当前用户对用户的交互而受到损害。
另外,这些类型的用户对用户的交互也可能由于向另一个用户提供账户名称/号码而使用户的安全面临风险。恶意用户可能试图欺诈性地利用所接收的账户名称/号码。
交互还可能要求接收者或发送者或两者安全地存储其他用户的账户名称/号码。每个用户都需要具有增强的安全能力(例如,硬件和软件)来安全地存储该敏感数据。这不仅提出了安全性问题,还提出了复杂性问题。
本公开的实施方案单独地以及共同地解决该问题和其他问题。
发明内容
实施方案涉及用于交互账户令牌化处理的方法和系统。
一个实施方案涉及一种方法,其包括:在第一用户设备与第二用户设备之间的交互期间,由令牌化计算机从处理网络计算机接收令牌化请求消息,其中所述令牌化请求消息包括第一用户账户数据和第二用户账户数据;由所述令牌化计算机基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项;由所述令牌化计算机基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据;由所述令牌化计算机生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息;以及由所述令牌化计算机将所述令牌化响应消息提供给所述处理网络计算机。
另一个实施方案涉及一种令牌化计算机,其包括:处理器;以及耦合到所述处理器的计算机可读介质,所述计算机可读介质包括可由所述处理器执行以用于实施以下方法的代码,所述方法包括:在第一用户设备与第二用户设备之间的交互期间,由令牌化计算机从处理网络计算机接收令牌化请求消息,其中所述令牌化请求消息包括第一用户账户数据和第二用户账户数据;由所述令牌化计算机基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项;由所述令牌化计算机基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据;由所述令牌化计算机生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息;以及由所述令牌化计算机将所述令牌化响应消息提供给所述处理网络计算机。
另一个实施方案涉及一种方法,其包括:由授权实体计算机从第一用户设备接收包括金额、第一用户账户数据和第二用户账户数据的交互请求消息;由所述授权实体计算机确定是否对所述交互授权;如果所述交互被授权,则由所述授权实体计算机确定指示是否对所述第一用户账户数据进行令牌化的令牌化标记;由所述授权实体计算机修改所述交互请求消息以包括所述令牌化标记;以及由所述授权实体计算机将所述交互请求消息提供给处理网络计算机,其中所述处理网络计算机将包括所述第一用户账户数据、所述第二用户账户数据和所述令牌化标记的令牌化请求消息提供给令牌化计算机,其中所述令牌化计算机:基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项、基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据、并生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息。
关于本公开的实施方案的另外的细节可以在具体实施方式和附图中找到。
附图说明
图1示出了根据实施方案的令牌化系统的框图。
图2示出了根据实施方案的令牌化计算机的部件的框图。
图3示出了根据实施方案的账户令牌化和交互方法的流程图。
图4示出了根据实施方案的令牌化矩阵。
图5示出了根据实施方案的令牌发起和交互方法的流程图。
具体实施方式
在论述本公开的实施方案之前,可以进一步详细描述一些术语。
“用户”可以包括个人。在一些实施方案中,用户可以与一个或多个个人账户和/或移动设备相关联。在一些实施方案中,用户也可以被称为持卡人、账户持有人或消费者。
“用户设备”可以是由用户操作的设备。用户设备的实例可以包括移动电话、智能电话、卡、个人数字助理(PDA)、膝上型计算机、台式计算机、服务器计算机、车辆(诸如汽车)、精简客户端设备、平板式PC,等等。此外,用户设备可以是任何类型的可穿戴技术设备,诸如手表、耳机、眼镜等。用户设备可以包括能够处理用户输入的一个或多个处理器。用户设备还可以包括用于接收用户输入的一个或多个输入传感器。如本领域中已知的,存在能够检测用户输入的多种输入传感器,诸如加速度计、相机、麦克风等。由输入传感器获得的用户输入可以来自多种数据输入类型,包括但不限于音频数据、视觉数据或生物特征数据。用户设备可以包括用户可以操作的任何电子设备,所述电子设备还可以提供与网络的远程通信能力。远程通信能力的实例包括使用移动电话(无线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi-Fi、Wi-Max,或者可以提供对网络(诸如互联网或专用网络)的访问的任何其他通信介质。
“用户标识符”可以包括任何能够标识用户的数据片。用户标识符可以包括任何合适的字母数字字符串。在一些实施方案中,用户标识符可以从用户标识信息中导出。在一些实施方案中,用户标识符可以包括与用户相关联的账户标识符。
“交互”可以包括相互的作用或影响。交互可以包括各方、各设备和/或各实体之间的通信、联系或交换。示例的交互包括两方之间的交易和两个设备之间的数据交换。在一些实施方案中,交互可以包括用户请求访问安全数据、安全网页、安全位置,等等。在其他实施方案中,交互可以包括支付交易,在所述支付交易中,两个设备可以交互以促进支付。
“用户账户数据”可以包括一条或多条关于记录的信息。用户账户数据可以包括标识为用户维护的账户以及/或者与为用户维护的账户相关联的数据。例如,用户账户数据可以是真实账户号码或令牌。
“备用的用户账户数据”可以包括一条或多条其他的关于记录的信息。备用的用户账户数据可以是用户账户数据。在一些实施方案中,如果用户账户数据是真实账户号码,则备用的用户账户数据可以是令牌。作为另一个实例,如果用户账户数据是令牌,则备用的用户账户数据可以是真实账户号码。然而,应当理解,备用的用户账户数据可以是与基于例如令牌化矩阵中的令牌化标记的用户账户数据相同的数据。
“令牌化标记”可以包括用于指示数据的特定属性(令牌化)的变量。令牌化标记可以指示在交互期间是否要对用户账户数据进行令牌化。在一些实施方案中,令牌化标记可以是指示“真”或“假”的布尔值。
“令牌”可以是凭证的替代值。令牌可以是一串数字、字母或任何其他合适的字符。令牌的实例包括支付令牌、访问令牌、个人标识令牌等。
“支付令牌”可以包括支付账户的标识符,该标识符是账户标识符的替代物,诸如主要账户号码(PAN)。例如,支付令牌可以包括一系列字母数字字符,这些字符可以用作原始账户标识符的替代物。例如,令牌“4900 0000 0000 0001”可以用于代替PAN“4147 09000000 1234”。在一些实施方案中,支付令牌可以是“保留格式的”,并且可以具有符合在现有交易处理网络中使用的账户标识符的数字格式(例如,ISO 8583金融交易消息格式)。在一些实施方案中,支付令牌可以代替PAN用来发起、授权、结算或解决支付交易,或者表示在通常会提供原始凭证的其他系统中的原始凭证。在一些实施方案中,可以生成支付令牌,使得原始PAN或其他账户标识符从令牌值的恢复可以不通过计算方式导出。另外,在一些实施方案中,令牌格式可以被配置为允许接收令牌的实体将其标识为令牌并且识别发行令牌的实体。
“令牌化”是用替代数据替换数据的过程。例如,可以通过利用可以与支付账户标识符(例如,主要账户号码(PAN))相关联的替代号码(例如,令牌)替换主要账户标识符,来对该支付账户标识符进行令牌化。另外,令牌化可以应用于可以用替代值(即,令牌)替换的任何其他信息。令牌化提高了交易的效率和安全性。
“令牌化计算机”可以包括服务于令牌的系统。在一些实施方案中,令牌化计算机可以促进请求、确定(例如,生成)和/或发行令牌,以及在存储库(例如,令牌库(vault))中维持所建立的令牌到主要账户号码(PAN)的映射。在一些实施方案中,令牌化计算机可以为给定的令牌建立令牌保证等级,以指示令牌与PAN绑定的置信等级。令牌化计算机可以包括存储所生成的令牌的令牌库或与该令牌库进行通信。令牌化计算机可以通过对令牌进行去令牌化以获得实际PAN,来支持使用令牌提交的交互(例如,支付交易)的令牌处理。在一些实施方案中,其他令牌化计算机,诸如处理网络计算机。令牌化生态系统的各种实体可以承担令牌化计算机操作者的角色。例如,支付网络和发行方或其代理方可以通过实施根据本发明的实施方案的令牌服务而成为令牌化计算机操作者。
“令牌到期日期”可以指令牌的截止日期/时间。令牌到期日期可以在交易处理期间在令牌化生态系统的实体之间传递,以确保互操作性。令牌到期日期可以是数值(例如,4位数值)。在一些实施方案中,令牌到期日期可以表示为从发行时间开始测量的持续时间。
“令牌化请求消息”可以是用于请求令牌的电子消息。令牌化请求消息可以包括可用于标识账户(诸如支付账户或数字钱包)的信息,和/或用于生成令牌(诸如支付令牌)的信息。例如,令牌化请求消息可以包括第一用户账户数据(例如,第一用户真实账户号码、第一用户令牌等)和第二用户账户数据(例如,第二用户真实账户号码、第二用户令牌等)。作为一个附加实例,令牌化请求消息可以包括支付凭证、移动设备标识信息(例如电话号码或MSISDN)、数字钱包标识符、标识令牌化计算机的信息、密码和/或任何其他合适的信息。可以对包括在令牌化请求消息中的信息进行加密(例如,利用发行方特定的密钥)。
“令牌化响应消息”可以是对令牌请求作出响应的消息。令牌化响应消息可以包括批准或拒绝令牌请求的指示。例如,令牌化请求消息可以包括备用的第一用户账户数据(例如,第一用户真实账户号码、第一用户令牌等)和备用的第二用户账户数据(例如,第二用户真实账户号码、第二用户令牌等)。令牌化响应消息还可以包括令牌、移动设备标识信息(例如,电话号码或MSISDN)、数字钱包标识符、标识令牌化计算机的信息、密码和/或任何其他合适的信息。可以对包括在令牌化响应消息中的信息进行加密(例如,利用发行方特定的密钥)。
“令牌化矩阵”可以包括令牌化数据的阵列。令牌化矩阵可以包括多个行和列,这些行和列包括令牌化数据。令牌化矩阵中的行可以是令牌化选项。令牌化矩阵可以用于确定一个或多个过程,以确定来自用户账户数据的经改变的用户账户数据。令牌化矩阵可以包括与每个令牌化选项相关的任何合适数量的列。令牌化矩阵可以包括与以下各项相关的列:第一用户账户数据、第一令牌化标记、第二用户账户数据、第二令牌化标记、备用的第一用户账户数据(或用于获得备用的第一用户账户数据的过程),以及备用的第二用户账户数据(或用于获得备用的第一用户账户数据的过程)。
“令牌化选项”可以包括可以选择的令牌化过程。令牌化选项可以是令牌化矩阵中的行。令牌化选项可以包括一个或多个令牌化标记。例如,令牌化选项可以包括从第一授权实体计算机接收并由其设置的第一令牌化标记,以及从第二授权实体计算机接收并由其设置的第二令牌化标记。令牌化计算机可以基于所接收的第一用户账户数据和第二用户账户数据,并且在一些实施方案中,基于第一令牌化标记和第二令牌化标记来确定特定的令牌化选项。可以使用令牌化矩阵中的适当令牌化选项来确定备用的用户账户数据。
“处理网络计算机”可以包括用于处理网络数据的服务器计算机。在一些实施方案中,处理网络计算机可以被耦合到数据库,并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑部件或前述项的组合。处理网络计算机可以包括一个或多个计算装置,并且可以使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。在一些实施方案中,该处理网络计算机可以操作多个服务器计算机。在此类实施方案中,每个服务器计算机都可以被配置为处理给定区域的交易或者基于交易数据处理特定类型的交易。
处理网络计算机可以包括用于支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子系统、网络和操作。示例性处理网络计算机可以包括VisaNetTM。包括VisaNetTM在内的网络能够处理信用卡交易、借记卡交易和其他类型的商业交易。VisaNetTM特别地包括处理授权请求的集成式支付系统(Integrated Payments系统),以及执行清算和结算服务的Base II系统。处理网络计算机可以使用任何合适的有线或无线网络,包括互联网。
“凭证”可以包括权限、权利或享有特权的任何证据。例如,访问凭证可以包括对访问某些有形或无形资产(诸如建筑物或文件)的许可。凭证的实例可以包括密码、通行码或秘密消息。在另一个实例中,支付凭证可以包括与账户(例如,支付账户和/或与该账户相关联的支付设备)相关联和/或标识账户的任何合适信息。这种信息可以与账户直接相关,或者可以从与账户相关的信息中导出。账户信息的实例可以包括“账户标识符”,诸如PAN(主要账户号码或“账户号码”)、令牌、子令牌、礼品卡号码或代码、预付卡号码或代码、用户名称、截止日期、CVV(卡验证值)、dCVV(动态卡验证值)、CVV2(卡验证值2)、CVC3卡验证值,等等。PAN的实例是16位数字,诸如“4147 0900 0000 1234”。在一些实施方案中,凭证可以被视为敏感信息。
“密码”可以包括一段隐晦的文本,诸如加密的文本。密码可以通过用加密密钥(诸如对称加密密钥)对输入数据进行加密来形成。在一些实施方案中,密码是可逆的,使得可以使用相同的对称密钥来获得用于形成密码的输入以执行解密过程。在一些实施方案中,如果输入数据是使用公钥/私钥对的私钥加密的,则密码也可以是数字签名。可以用公钥/私钥对的公钥来验证数字签名。在一些实施方案中,密码可以包括dCVV(动态卡验证值)。
术语“验证”及其派生词可以指利用信息来确定潜在的主体在一组给定的情况下是否有效的过程。验证可以包括任何信息比较以确保某些数据或信息是正确的、有效的、准确的、合法的和/或信誉良好的。
“授权实体”可以是对请求授权的实体。授权实体的实例可以是发行方、政府机构、文档存储库、访问管理员,等等。
“发行方”通常可以指维护用户账户的商业实体(例如,银行)。发行方也可以向消费者发行存储在用户设备(诸如蜂窝电话、智能卡、平板电脑或膝上型电脑)上的支付凭证。
“处理器”可以包括处理某事的设备。在一些实施方案中,处理器可以包括任何合适的一个或多个数据计算设备。处理器可以包括一起工作以实现期望的功能的一个或多个微处理器。处理器可以包括CPU,该CPU包括至少一个高速数据处理器,该高速数据处理器足以执行用于执行用户和/或系统生成的请求的程序成分。CPU可以是微处理器,诸如AMD的Athlon、Duron和/或Opteron;IBM和/或Motorola的PowerPC;IBM和Sony的Cell处理器;Intel的Celeron、Itanium、Pentium、Xeon和/或XScale;和/或类似的处理器。
“存储器”可以是能够存储电子数据的任何合适的一个或多个设备。合适的存储器可以包括非瞬态计算机可读介质,其存储可以由处理器执行以实现期望方法的指令。存储器的实例可以包括一个或多个存储器芯片、磁盘驱动器,等等。此类存储器可以使用任何合适的电、光和/或磁操作模式来操作。
“服务器计算机”可以包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群,或者像单元一样工作的一组服务器。在一个实例中,服务器计算机可以是耦合到Web服务器的数据库服务器。服务器计算机可以包括一个或多个计算装置,并且可以使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。
本公开的实施方案允许利用可以包括真实账户号码和/或令牌在内的用户账户数据的用户对用户的交互。各种实施方案允许令牌化,而无需授权实体计算机(例如,各种金融机构)对现有界面作出任何改变,由此创建无摩擦体验。为此,令牌化计算机可以连接到令牌化计算机(例如,经由处理网络计算机)并且基于令牌化矩阵对始发用户(例如,第一用户)数据和接收方用户(例如,第二用户)数据进行令牌化和/或去令牌化。令牌化计算机可以存储包括多个令牌化选项的令牌化矩阵,所述多个令牌化选项可以允许令牌化计算机确定对哪些账户值进行令牌化或者对哪些令牌进行去令牌化。另外,令牌化矩阵可以包括用于发起方用户和接收方用户的令牌化标记,其指示是否执行令牌化和/或去令牌化过程以确定备用的用户账户数据。例如,发起方授权实体计算机(例如,第一授权实体计算机)可以不与令牌化计算机装载在一起。在这种情况下,发起方授权实体计算机可以提供作为真实账户号码的第一用户账户数据,以及令牌化标记,该令牌化标记指示不对真实账户号码进行令牌化(因为将没有可用的令牌)。由于对当前交互将不进行令牌化,因此令牌化计算机然后可以使用令牌化矩阵来确定作为真实账户号码的备用的第一用户账户数据。
图1示出了根据本公开的实施方案的令牌化系统100。令牌化系统100包括第一用户设备102、第一授权实体计算机104、处理网络计算机106、令牌化计算机108、第二授权实体计算机110和第二用户设备112。第一用户设备102可以与第一授权实体计算机104操作性地通信,该第一授权实体计算机可以与处理网络计算机106操作性地通信。处理网络计算机106可以与令牌化计算机108和第二授权实体计算机110操作性地通信,该第二授权实体计算机可以与第二用户设备112操作性地通信。
为了简化说明,图1中示出一定数量的部件。然而,应当理解,本发明的实施方案可以包括多于一个每种部件。此外,本发明的一些实施方案可以包括比图1中所示的所有部件少或多的部件。
至少在图1中的令牌化系统100中的设备之间的消息可以使用安全通信协议来传输,所述安全通信协议诸如但不限于:文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、SSL、ISO(例如,ISO 8583),和/或类似协议。通信网络可以包括以下各项中的任一者和/或以下各项的组合:直接互连;互联网;局域网(LAN);城域网(MAN);作为互联网上节点的运行任务(OMNI);安全定制连接;广域网(WAN);无线网络(例如,采用诸如但不限于无线应用协议(WAP)、I-模式和/或类似协议的协议);和/或类似网络。通信网络可以使用任何合适的通信协议以生成一个或多个安全通信信道。在一些情况下,通信信道可以包括安全通信信道,该安全通信信道可以以任何已知方式建立,诸如通过使用相互认证和会话密钥,以及建立安全套接层(SSL)会话。
第一用户设备102和第二用户设备112可以包括分别由第一用户和第二用户操作的设备。例如,第一用户设备102可以包括智能电话、膝上型电脑等。第一用户设备102可以被配置为发起与第二用户设备112的交互,以获得资源、访问资源、提供资源或者提供对资源的访问。第一用户设备102可以经由安装在第一用户设备102上的网页或应用程序连接到第一授权实体计算机104。
第二用户设备112可以类似于第一用户设备102。在一些实施方案中,第二用户设备112可以发起与第一用户设备102的交互,以获得资源、访问资源、提供资源或者提供对资源的访问。第二用户设备112可以经由安装在第二用户设备112上的网页或应用程序连接到第二授权实体计算机110。
第一授权实体计算机104和第二授权实体计算机110可以包括计算机、服务器计算机、数据库和/或它们的任何组合,以在用户设备(例如,第一用户设备102)与处理网络计算机106之间提供数据。在其他实施方案中,授权实体计算机可以由发行实体和/或授权实体(例如,发行方)操作。发行方可以代表用户维护账户。例如,第一授权实体计算机104可以代表第一用户设备102的第一用户维护第一账户。例如,第二授权实体计算机110可以代表第二用户设备112的第二用户维护第二账户。与第一用户相关联的第一账户可以由第一用户账户数据来标识。第一用户账户数据可以是真实账户号码和/或令牌。同样地,与第二用户相关联的第二账户可以由第二用户账户数据来标识。第二用户账户数据可以是真实账户号码和/或令牌。
在一些实施方案中,第一授权实体计算机104和第二授权实体计算机110可以是相同的授权实体计算机。例如,第一用户设备102的第一用户可以与第一授权实体计算机104维护的第一账户相关联,而第二用户设备112的第二用户可以与第一授权实体计算机104维护的第二账户相关联。
处理网络计算机106可以包括计算机、服务器计算机、数据库和/或它们的任何组合,以协调路由、生成和格式化消息的功能,以便促成实施方案。在其他实施方案中,处理网络计算机106可以处于支付处理网络中。支付处理网络可以包括用于支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子系统、网络和操作。示例性支付处理网络可以包括VisaNetTM。诸如VisaNetTM的支付处理网络能够处理信用卡交易、借记卡交易和其他类型的商业交易。VisaNetTM特别地包括处理授权请求的VIP系统(Visa集成式支付系统),以及执行清算和结算服务的Base II系统。支付处理网络可以使用任何合适的有线或无线网络,包括互联网。
处理网络计算机106可以在第一用户设备102与第二用户设备112之间的交互期间传送请求消息。该请求消息可以包括第一用户账户数据和第二用户账户数据。
在一些实施方案中,处理网络计算机106可以生成令牌化请求消息,或从授权实体计算机(例如,第一授权实体计算机104)接收令牌化请求消息,然后将该令牌化请求消息发送至令牌化计算机108。令牌化请求消息可以从令牌化计算机108请求令牌,并且可以包括其中包括第一用户账户数据和第二用户账户数据的信息。例如,第一用户账户数据可以是将要进行令牌化的账户的PAN。在一些实施方案中,令牌化请求消息可以包括第一令牌化标记和第二令牌化标记,这些令牌化标记指示是否对相关用户账户数据进行令牌化。在其他实施方案中,令牌化请求消息可以包括关于将要在其中使用所请求的备用的用户账户数据(例如,令牌)(例如,在特定的时间段期间)的特定环境/情况的信息。
在从处理网络计算机106接收令牌化请求消息之后,令牌化计算机108可以基于第一用户账户数据和第二用户账户数据在令牌化矩阵中选择多个令牌化选项中的一个令牌化选项。例如,令牌化矩阵可以包括具有第一用户账户数据、第二用户账户数据、第一令牌化标记和第二令牌化标记的不同输入的多个令牌化选项。利用与在令牌化请求消息中接收的数据匹配的令牌化选项可以允许令牌化计算机确定备用的第一用户账户数据和备用的第二用户账户数据。
备用的用户账户数据可以是与用户账户相关联的其他用户账户数据。例如,第一用户账户数据可以是真实账户号码,而备用的第一用户账户数据可以是令牌。作为另一个实例,第二用户账户数据可以是令牌,而备用的第二用户账户数据可以是真实账户号码。在一些实施方案中,可以使用所选择的令牌化选项来确定备用的用户账户数据与该用户账户数据相同。例如,第一用户账户数据可以是真实账户号码,而备用的第一用户账户数据可以是真实账户号码。
令牌化计算机108然后可以生成包括备用的第一用户账户数据和备用的第二用户账户数据的令牌化响应消息,然后将该令牌化响应消息提供给处理网络计算机106。
如果备用的第一用户账户数据和/或备用的第二用户账户数据是令牌,则令牌化计算机108可以以任何合适的方式获得令牌。在一些实施方案中,令牌可以由令牌化计算机108预先生成并存储,直到接收到对令牌的请求。一旦接收到该请求,就可以将真实账户号码连同将与该真实账户号码相关联的令牌一起存储在令牌化计算机108处的数据库中。在其他实施方案中,可以在接收到对令牌的请求之后生成令牌。令牌可以从真实账户号码和/或与用户账户和/或用户设备相关联的任何其他数据以数学方式导出或不以数学方式导出。在任一种情况下,在一些实施方案中,用户账户数据(例如,令牌和真实账户号码)和任何密码(以及与密码相关联的任何限制)可以存储在令牌化计算机108处的数据库中,或者甚至存储在处理网络计算机106处。可以驻留在处理网络计算机106的数据库中的其他信息也可以包括与令牌相关联的余额和/或限制。
图2示出了根据实施方案的令牌化计算机200的框图。示例性令牌化计算机200可以包括处理器204。处理器204可以耦合到存储器202、网络接口206、令牌库210和计算机可读介质208。计算机可读介质208可以包括令牌化矩阵模块208A、令牌交换模块208B和验证模块208C。
存储器202可以用于存储数据和代码。存储器202可以在内部或在外部耦合到处理器204(例如,基于云的数据存储装置),并且可以包括易失性和/或非易失性存储器(诸如RAM、DRAM、ROM、闪存存储器或任何其他合适的存储器设备)的任何组合。例如,存储器202可以存储第一用户账户数据、第二用户账户数据、第一令牌化标记、第二令牌化标记、令牌化矩阵,等等。
令牌库210可以将令牌及其相关联的凭证(例如,真实账户号码)存储在数据库中。数据库还可以包括与令牌相关联的密码,以及对使用此类令牌或与令牌相关联的余额的任何限制。令牌库210可以将数据存储在数据库(诸如OracleTM数据库)中。
令牌化矩阵模块208A可以包括可由处理器204执行以创建和利用令牌化矩阵的代码或软件。令牌化矩阵模块208A结合处理器204可以生成令牌化矩阵,该令牌化矩阵可以基于输入数据来确定指示什么样的输出。输入数据可以包括第一用户账户数据、第一令牌化标记、第二用户账户数据和/或第二令牌化标记。由令牌化矩阵模块208A结合处理器204确定的输出可以包括备用的第一用户账户数据和备用的第二用户账户数据。令牌化矩阵模块208A结合处理器204可以生成任何合适数量的令牌化矩阵。例如,令牌化矩阵模块208A结合处理器204可以为每个用户生成令牌化矩阵。在一些实施方案中,令牌化矩阵模块208A结合处理器204可以为每对用户(例如,为每个发起方/接收方对)生成令牌化矩阵。
令牌化矩阵模块208A结合处理器204可以在将令牌供应给用户时生成令牌化矩阵(例如,如参考图5进一步详细描述的)。作为一个实例,令牌化矩阵模块208A结合处理器204可以生成多个令牌化选项,所述多个令牌化选项包括第一令牌化标记和第二令牌化标记以及每个潜在输入第一用户账户数据和第二用户账户数据的每个变化。例如,令牌化矩阵模块208A结合处理器204可以生成第一令牌化选项,该第一令牌化选项包括:等于真实账户号码的第一用户账户数据、被设置为真的第一令牌化标记、等于真实账户号码的第二用户账户数据,以及被设置为假的第二令牌化标记。在这种情况下,使用第一令牌化选项确定的输出可以包括等于令牌的备用的第一用户账户数据和等于真实账户号码的备用的第二用户账户数据。令牌化矩阵模块208A结合处理器204可以生成如图4中所展示的令牌化矩阵。
令牌化矩阵模块208A结合处理器204可以在接收到包括第一用户账户数据和第二用户账户数据的令牌化请求消息时利用令牌化矩阵。令牌化请求消息可以还包括第一令牌化标记。例如,与第一用户设备相关联的第一授权实体计算机可以提供用于当前交互的第一令牌化标记。在一些实施方案中,令牌化请求消息可以还包括第二令牌化标记。例如,第一授权实体计算机可以代表第二授权实体计算机存储第二令牌化标记,并且可以代表第二授权实体计算机将第二令牌化标记提供给令牌化计算机200。
在其他实施方案中,令牌化矩阵模块208A结合处理器204可以在交互之前从第一授权实体计算机和第二授权实体计算机接收第一令牌化标记和第二令牌化标记。当在令牌化请求消息中没有接收到第一令牌化标记和/或第二令牌化标记时,令牌化矩阵模块208A结合处理器204可以利用这些第一令牌化标记和/或第二令牌化标记。
令牌交换模块208B可以包括可由处理器204执行的代码或软件,以在令牌化矩阵的令牌化选项指示令牌化计算机200将确定与真实账户号码相关联的令牌时,使得令牌化计算机200响应于接收到真实账户号码而提供令牌。另外,当令牌化矩阵的令牌化选项指示令牌化计算机200将确定与令牌相关联的真实账户号码时,令牌交换模块208B结合处理器204可以响应于接收到令牌而提供真实账户号码。例如,令牌交换模块208B可以包含使得处理器204生成令牌以及/或者将令牌与真实账户号码相关联的逻辑部件。然后,可以将令牌记录存储在令牌记录数据库和/或令牌库210中,从而指示令牌与某个用户或某个真实账户号码相关联。
验证模块208C可以包括可由处理器204执行的代码或软件,以在将令牌和/或真实账户号码提供给外部实体之前验证令牌化请求。例如,验证模块208C可以包含使得处理器204通过解密包括在消息中的密码、通过确认令牌化请求消息中的凭证是可信的并且与请求设备相关联,以及通过评估与请求设备相关联的风险来确认令牌化请求消息可信的逻辑部件。
计算机可读介质208可以包括可由处理器204执行以用于执行以下方法的代码,所述方法包括:在第一用户设备与第二用户设备之间的交互期间,由令牌化计算机从处理网络计算机接收令牌化请求消息,其中所述令牌化请求消息包括第一用户账户数据和第二用户账户数据;由所述令牌化计算机基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项;由所述令牌化计算机基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据;由所述令牌化计算机生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息;以及由所述令牌化计算机将所述令牌化响应消息提供给所述处理网络计算机。
在一些实施方案中,令牌化计算机200可以将网络内消息处理错误分类为不同的类型。例如,第一类型的网络内消息处理错误可以包括在令牌化期间可能发生的错误(例如,未知账户)。第二类型的网络内消息处理错误可以包括在去令牌化期间可能发生的错误(例如,未找到令牌)。第三类型的网络内消息处理错误可以包括限制检查失败(例如,交互量超过限值、交互货币代码无效、已达到令牌的使用次数、令牌到期、令牌计数器方检查已失败、无效令牌状态,等等)。
这些消息处理错误可以在交互期间被提供给授权实体计算机。授权实体计算机可以将令牌限制检查失败分类为硬拒绝类别或软拒绝类别。限制检查对于不同的交互类型(例如,信用转账、支付请求、汇款通知等)消息以及对于交互中的不同授权实体计算机角色(例如,发起方或接收方)可以具有不同的拒绝级别。在限制检查执行期间,如果限制由于软拒绝而失败(例如,被分类为软拒绝),则限制检查可以继续执行下一个限制,直到执行了所有限制或者限制由于硬拒绝而失败(例如,被分类为硬拒绝)为止。来自软拒绝和硬拒绝的每个失败原因代码均可以被添加至响应消息的原因代码字段。在一些实施方案中,授权实体计算机可以将限制信息提供给令牌化计算机200,使得令牌化计算机200可以根据由授权实体计算机设置的偏好来确定执行令牌限制检查。
网络接口206可以包括能够允许令牌化计算机200与外部计算机通信的接口。网络接口206可以使令牌化计算机200能够向另一个设备(例如,处理网络计算机、一个或多个授权实体计算机等)以及从该另一个设备传送数据。网络接口206的一些实例可以包括调制解调器、物理网络接口(诸如以太网卡或其他网络接口卡(NIC))、虚拟网络接口、通信端口、个人计算机存储卡国际协会(PCMCIA)插槽和卡,等等。由网络接口206启用的无线协议可以包括Wi-FiTM。经由网络接口206传送的数据可以呈信号的形式,所述信号可以是电信号、电磁信号、光信号,或者能够由外部通信接口接收的任何其他信号(统称为“电子信号”或“电子消息”)。可以包括数据或指令的这些电子消息可以经由通信路径或信道在网络接口206与其他设备之间提供。如上所述,可以使用任何合适的通信路径或信道,诸如电线或电缆、光纤、电话线、蜂窝链路、射频(RF)链路、WAN或LAN网络、互联网,或任何其他合适的介质。
图3示出了根据实施方案的账户令牌化和交互方法的流程图。图3中所展示的方法将在第一用户发起交互以向第二用户转移金额的语境中描述。然而,应当理解,本发明可以适用于其他情况。
在步骤316处,第一用户设备302可以从第一用户接收用户输入,以发起与第二用户设备312的第二用户的交互。例如,第一用户设备302可以接收第一用户请求转移给第二用户的金额。第一用户可以选择第二用户账户数据或者输入与第二用户设备312的第二用户相关联的第二用户账户数据。第二用户账户数据可以包括真实账户号码或令牌。
在一些实施方案中,如果第一用户设备302先前未与第二用户设备312交互过,则第一用户可以输入与第二用户设备312相关联的真实账户号码(例如,第二真实账户号码)。在其他实施方案中,如果第一用户设备302先前未与第二用户设备312交互过,则第一用户可以输入与第二用户设备312相关联的令牌(例如,第二令牌)。第一用户设备302的第一用户能够以任何合适的方式(例如,口头语言、SMS消息、安全数据传输等)从第二用户获得第二真实账户号码或第二令牌。
如果第一用户设备302先前与第二用户设备312交互过,则第一用户设备302可以呈现与第一用户能够与之交互的用户相关联的真实账户号码和/或令牌的列表。例如,第一用户设备302可以将第二真实账户号码或第二令牌呈现给第一用户(例如,在显示器上)以供选择。
在一些实施方案中,第一用户设备302还可以接收对利用哪些第一用户账户数据来进行交互的选择。例如,第一用户可以与由第一授权实体计算机304维护的多个第一用户账户相关联。第一用户可以选择他们请求利用哪个账户进行交互。例如,第一用户设备302可以向第一用户呈现真实账户号码和/或令牌的列表。
在步骤318处,在接收到用于执行交互的用户输入之后,第一用户设备302可以生成包括金额、第一用户账户数据和第二用户账户数据的交互请求消息。在一些实施方案中,第一用户设备302可以从存储器获得第一用户账户数据。
在步骤320处,第一用户设备302可以将交互请求消息传输至第一授权实体计算机304。
在一些实施方案中,在接收到交互请求消息之后,第一授权实体计算机304可以使用第一用户账户数据来确定由第一授权实体计算机304维护的第一用户账户。
在步骤322处,第一授权实体计算机304可以确定是否对交互授权。例如,第一授权实体计算机304可以验证第一用户账户是否包括大于或等于交互请求消息中包括的金额的金额。第一授权实体计算机304可以生成交互是否被授权的指示。例如,如果交互是数据传送,则第一授权实体计算机304可以基于要传送的数据的内容、金额、第一用户设备的数据传送历史和/或第一用户设备302的数据限制来确定是否对数据传送授权。
在一些实施方案中,第一授权实体计算机304可以生成交互是否被授权的指示。例如,如果交互被授权,则第一授权实体计算机304可以在交互请求消息中包括指示交互被授权的指示。
在一些实施方案中,第一授权实体计算机304可以确定要在交互请求消息中包括的第一令牌化标记。第一令牌化标记可以指示令牌化计算机308是否要对第一用户账户数据进行令牌化。第一授权实体计算机304可以基于当前交互确定第一令牌化标记。例如,如果交互是第一用户与第二用户的第一次交互,则第一授权实体计算机304可以确定将第一令牌化标记设置为真(以向令牌化计算机308指示对第一用户账户数据(即第一真实账户号码)进行令牌化),从而增加交互的安全性和保密性。
在其他实施方案中,第一授权实体计算机304可以在当前交互之前将第一令牌化标记提供给令牌化计算机308。在这种情况下,第一令牌化标记可以是默认令牌化标记,如果第一授权实体计算机304没有在交互请求消息中提供令牌化标记,则将利用该默认令牌化标记。
在步骤326处,在对交互授权之后,第一授权实体计算机304可以将交互请求消息传输到处理网络计算机306。
在步骤328处,在接收到交互请求消息之后,处理网络计算机306可以生成包括第一用户数据和第二用户数据的令牌化请求消息。在一些实施方案中,令牌化请求消息可以还包括第一令牌化标记。在其他实施方案中,令牌化请求消息可以还包括第二令牌化标记。
在步骤330处,在生成令牌化请求消息之后,处理网络计算机306可以将令牌化请求消息提供给令牌化计算机308。
在步骤332处,在从处理网络计算机306接收令牌化请求消息之后,令牌化计算机308可以基于第一用户账户数据和第二用户账户数据在令牌化矩阵中选择多个令牌化选项中的一个令牌化选项。令牌化选项可以包括令牌化过程,该令牌化过程可以被选择作为令牌化矩阵中的行。多个令牌化选项中的每个令牌化选项可以是令牌化矩阵中的包括一个或多个令牌化标记的行。第一令牌化选项可以包括从第一授权实体计算机304接收并由其设置的第一令牌化标记,以及从第二授权实体计算机310接收并由其设置的第二令牌化标记。
在步骤334处,在选择令牌化选项之后,令牌化计算机308可以基于令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据。例如,令牌化选项可以指示令牌化计算机308确定特定的备用的第一用户账户数据和特定的备用的第二用户账户数据。令牌化选项可以指示备用的第一用户账户数据应当是第一令牌(与第一用户相关联),而备用的第二用户账户数据应当是第二真实账户号码(与第二用户相关联)。因此,例如,令牌化计算机308可以对第一真实账户号码进行令牌化以获得第一令牌。令牌化计算机308可以确定不对第二真实账户号码进行令牌化,并且应当将备用的第二账户数据设置为第二真实账户号码。
作为一个说明性实例,图4示出了根据一些实施方案的令牌化矩阵。图4中所示的令牌化矩阵包括多个行和列。该令牌化矩阵包括以下的列:令牌化选项号码402、第一用户账户数据404、第一令牌化标记406、第二用户账户数据408、第二令牌化标记410、备用的第一用户账户数据412和备用的第二用户账户数据414。
令牌化选项号码402可以是标识令牌化矩阵的每一行(例如,令牌化选项)的令牌化选项标识符。
第一用户账户数据404、第一令牌化标记406、第二用户账户数据408和第二令牌化标记410可以是选择令牌化选项的输入。例如,令牌化计算机308可以接收令牌化请求消息,该令牌化请求消息包括:第一用户账户数据,该第一用户账户数据为第一真实账户号码;第一令牌化标记,该第一令牌化标记被设置为真(其指示对第一真实账户号码进行令牌化);以及第二用户账户数据,该第二用户账户数据为第二真实账户号码。令牌化计算机308可以确定与来自数据库的第二真实账户号码相关联的第二令牌化标记。例如,第二授权实体计算机310可能先前已向令牌化计算机308提供了第二令牌化标记。作为一个实例,第二令牌化标记可以等于真。
令牌化计算机308可以利用前述数据来确定要选择哪个令牌化选项。在该实例中,令牌化计算机308可以确定选择令牌化选项号码1。
重新参照图4,备用的第一用户账户数据412和备用的第二用户账户数据414可以向令牌化计算机308指示要确定哪些输出。例如,第一令牌化选项指示备用的第一用户账户数据412为第一令牌,并且备用的第二用户账户数据414为第二令牌。令牌化计算机308在选择令牌化选项之后,可以确定备用的第一用户账户数据和备用的第二用户账户数据。
基于第一令牌化选项,令牌化计算机308可以将第一令牌确定为备用的第一用户账户数据。令牌化计算机308能够以任何合适的方式确定和/或生成第一令牌。例如,令牌化计算机308可以从令牌库或存储器检索第一令牌。作为另一个实例,令牌化计算机308可以基于对密码函数的预定输入来生成第一令牌。例如,令牌化计算机308可以基于第一真实账户号码、令牌化计算机标识符、第一用户设备标识符、第一授权实体计算机标识符、计数器、标识符、密码、日期、时间和/或与第一用户相关联的任何其他合适的数据的任何组合来生成第一令牌。
类似地,基于第一令牌化选项,令牌化计算机308可以将第二令牌确定为备用的第二用户账户数据。令牌化计算机308能够以任何合适的方式确定和/或生成第二令牌。令牌化计算机308能够以与第一令牌类似或不同的方式生成第二令牌。
在步骤336处,在确定备用的用户账户数据(例如,备用的第一用户账户数据和备用的第二用户账户数据)之后,令牌化计算机308可以生成包括备用的第一用户账户数据和备用的第二用户账户数据的令牌化响应消息。在一些实施方案中,令牌化响应消息可以还包括金额、交互是否被授权的指示,以及/或者任何其他合适的令牌化相关数据(例如,未发现用户消息、令牌化失败标记,等等)。
在步骤338处,在生成令牌化响应消息之后,令牌化计算机308可以将令牌化响应消息提供给处理网络计算机306。
在步骤340处,在从令牌化计算机308接收令牌化响应消息之后,处理网络计算机306可以修改交互请求消息以包括备用的第一用户账户数据和备用的第二用户账户数据。例如,处理网络计算机306可以用备用的第一用户账户数据替换第一用户账户数据。处理网络计算机306可以另外用备用的第二用户账户数据替换第二用户账户数据。
在步骤342处,在将备用的用户账户数据包括在交互请求消息中之后,处理网络计算机306可以将交互请求消息传输到第二授权实体计算机310,该第二授权实体计算机维护由备用的第二用户账户数据标识的账户。
在步骤344处,在接收到交互请求消息之后,第二授权实体计算机310可以更新与第二用户设备312的第二用户相关联的第二用户账户。第二授权实体计算机310可以用交互请求消息中指示的金额来更新第二用户账户的金额。例如,第二授权实体计算机310可以从交互请求消息获得第二备用账户标识符(例如,真实账户标识符),并且在更新第二用户账户之前使用该信息确定第二用户账户。
在步骤346处,在更新第二用户账户之后,第二授权实体计算机310可以通知第二用户对第二用户账户的更新。例如,第二授权实体计算机310可以将任何合适的消息类型传输到第二用户设备312,所述消息类型至少包括金额,并且在一些实施方案中,包括备用的第一用户账户数据。
在一些实施方案中,第二授权实体计算机310可以将步骤346与步骤344同时执行。在其他实施方案中,第二授权实体计算机310可以先执行步骤346,再执行步骤344。例如,第二授权实体计算机310可以将交互的通知提供给第二用户设备312。在第二用户设备312接收到通知之后,第二用户可以选择接受或拒绝交互。然后,第二用户设备312可以生成指示第二用户是否接受交互的通知响应。一旦第二授权实体计算机310接收到该通知响应,第二授权实体计算机310就可以在第二用户接受交互的情况下在步骤344处更新第二用户账户。
在步骤348和步骤350处,可以发生清算和结算过程。例如,在步骤348处,第一授权实体计算机304和处理网络计算机306可以在计算机之间(例如,在由每个相应设备维护的账户之间)转移资金。例如,第一授权实体计算机304可以将等于交互请求消息的金额的金额和任何费用(如果适用的话)转移到处理网络计算机306。在步骤350处,处理网络计算机306和第二授权实体计算机310可以在计算机之间(例如,在由每个相应设备维护的账户之间)转移资金。例如,处理网络计算机306可以将等于交互请求消息的金额的金额转移到第二授权实体计算机310。在一些实施方案中,在步骤350期间,提供给第二授权实体计算机310的资金可以被提供给与第二用户设备312的第二用户相关联的第二用户账户。
图5示出了根据实施方案的令牌发起和交互方法的流程图。图5中所展示的方法将在第一用户发起数据传送交互以向第二用户传送特定量的数据的语境中描述。第一用户的真实账户号码可能尚未与令牌相关联。在数据传送交互期间,第一用户的真实账户号码可以与新生成的令牌相关联。然而,应当理解,本发明可以适用于其他情况。
在步骤514之前,第一用户设备(未示出)可以发起数据传送,以将一定量的数据传送到第二用户设备(未示出)。第一用户的第一用户账户数据可能尚未与令牌相关联。第一用户设备可以将令牌供应请求消息(例如,用于请求为特定的第一用户账户数据供应令牌)传输到第一授权实体计算机504。令牌供应请求消息可以包括与第一用户相关联的真实账户号码。该真实账户号码可以是将向其分配令牌的真实账户号码。
在步骤514处,在接收到令牌供应请求消息之后,第一授权实体计算机504可以修改令牌供应请求消息以包括令牌化标记。令牌化标记可以指示在交互期间是否要对用户账户数据(例如,真实账户号码)进行令牌化。例如,第一授权实体计算机504可以将令牌化标记插入令牌供应请求消息中。在一些实施方案中,第一授权实体计算机504可以提供指示对任何真实账户号码进行令牌化的令牌化标记。在其他实施方案中,第一授权实体计算机504可以提供指示不对真实账户号码进行令牌化的令牌化标记。
作为一个说明性实例,令牌供应请求消息可以是允许第一用户设备与第二用户设备执行一次数据传送的一次性使用令牌的请求消息。在这种情况下,第一授权实体计算机504可以确定一次性使用令牌应当与指示对真实账户号码进行令牌化的令牌化标记一起使用。从而提高了一次性数据传送的安全性,因为真实账户号码将对于第二用户设备屏蔽。
在步骤516处,第一授权实体计算机504可以将包括真实账户号码和第一令牌化标记的令牌供应请求消息提供给令牌化计算机508。
在步骤518处,在接收到令牌供应请求消息之后,令牌化计算机508可以确定是否生成令牌。例如,令牌化计算机508可以确定先前是否已为真实账户号码创建了令牌。如果先前已为真实账户号码生成了令牌,则令牌化计算机508可以确定不生成令牌。在一些实施方案中,即使已经生成了先前的令牌,令牌化计算机508也可以确定生成令牌。例如,在一些实施方案中,真实账户号码可以与一个或多个令牌相关联。如果令牌化计算机508确定不生成令牌,则令牌化计算机508可以跳过步骤520。如果令牌化计算机508确定生成令牌,则令牌化计算机508可以在步骤520处生成令牌。
在步骤520处,令牌化计算机508可以生成与真实账户号码相关联的令牌。令牌化计算机508能够以任何合适的方式生成该令牌。例如,令牌化计算机508可以生成随机数、值、字符串等作为令牌。在其他实施方案中,该令牌可以是导出值。例如,令牌可以基于真实账户号码、任何其他用户账户数据、用户标识符、授权实体计算机标识符、令牌化计算机标识符、计数器、索引和/或密码值来导出。
在步骤522处,在生成令牌之后,令牌化计算机508可以将令牌存储在令牌库中(如本文所述),或者存储在任何其他安全数据库中。令牌可以与真实账户号码相关联地存储,使得令牌化计算机508可以稍后基于真实账户号码确定令牌或者基于令牌确定真实账户号码。在一些实施方案中,令牌化计算机508可以将所接收的令牌化标记存储为用于用户设备的默认令牌化标记。
在步骤524处,在一些实施方案中,令牌化计算机508能够生成令牌化矩阵。令牌化计算机508可以生成具有任何合适数量的新令牌化选项的令牌化矩阵。令牌化计算机508可以通过遍历第一用户账户数据、第二用户账户数据、第一令牌化选项和第二令牌化选项的每个变化来生成令牌化矩阵。例如,令牌化计算机508可以生成以下两个令牌化选项,所述令牌化选项可以是令牌化矩阵中的前两个令牌化选项(为便于说明而分为输入和输出):
令牌化_选项_1_输入(第一_用户_账户_数据=“第一真实账户号码”,第一_令牌化_标记=真,第二_用户_账户_数据=“第二真实账户号码”,第二_令牌化_标记=真);
令牌化_选项_1_输出(备用的_第一_用户_账户_数据=“第一令牌”,备用的_第二_用户_账户_数据=“第二令牌”);
令牌化_选项_2_输入(第一_用户_账户_数据=“第一真实账户号码”,第一_令牌化_标记=真,第二_用户_账户_数据=“第二真实账户号码”,第二_令牌化_标记=假);
令牌化_选项_2_输出(备用的_第一_用户_账户_数据=“第一令牌”,备用的_第二_用户_账户_数据=“第二真实账户号码”)。
在步骤526处,在生成令牌之后,令牌化计算机508可以生成包括令牌的令牌供应响应消息。在一些实施方案中,该令牌供应响应消息可以包括令牌和真实账户号码。
在步骤528处,在生成令牌供应响应消息之后,令牌化计算机508可以将令牌供应响应消息提供给第一授权实体计算机504。
在步骤530处,在接收到令牌供应响应消息之后,第一授权实体计算机504可以开始处理数据传送,以将数据从第一用户设备传送到第二用户设备。在一些实施方案中,第一授权实体计算机504能够将令牌供应响应消息提供给第一用户设备。在其他实施方案中,第一授权实体计算机504能够将来自令牌供应响应消息的令牌提供给第一用户设备。
在一些实施方案中,在步骤530处,第一授权实体计算机504基于待传送数据的内容、金额、第一用户设备的数据传送历史、第一用户设备的数据限制以及/或者由第一授权实体计算机504存储的任何其他信息和/或数据来确定是否对数据传送授权。
在步骤532处,第一授权实体计算机504、处理网络计算机506、令牌化计算机508和第二授权实体计算机510可以处理如图3中所述的交互(例如,数据传送)。步骤532中包括的步骤类似于参考图3描述的步骤,因此这里将不再赘述。
本公开的实施方案具有许多优点。执行交互的第一用户和第二用户可能彼此认识,也可能彼此不认识。然而,在当前交互期间,需要将敏感数据(诸如真实账户号码)提供给另一个用户以便完成交互,从而损害了每个用户的保密性。实施方案通过维持真实账户号码的保密性而提供了优于先前交互系统的优点。在处理期间,令牌化计算机可以为交互的任一用户或两个用户确定令牌,从而将真实账户号码隐藏起来。
这样做进一步提供了提高安全性的优点。例如,恶意用户可能试图欺诈性地利用所接收的真实账户号码。然而,令牌化计算机可以确定备用的第一用户账户数据,该备用的第一用户账户数据是使用令牌化矩阵的令牌化选项的令牌,其包括当与第二用户交互时指示对第一用户的真实账户号码进行令牌化的令牌化标记。从而防止第二用户接收第一用户的真实账户号码。
本公开的实施方案具有许多额外的优点。例如,特定用户(和/或维护用户账户的授权实体计算机)可能未在令牌化服务中登记,并且可能尚未具有与真实账户号码相关联的令牌。在这种情况下,与用户相关联并由授权实体计算机提供给令牌化计算机的令牌化标记可以指示不为真实账户号码确定令牌。这是有益的,因为系统不可知授权实体计算机登记状态,并且仍然可以允许用户参与对等交互。另外,在令牌服务中登记机构的用户可能很困难,因为这牵涉大量的工作,并且要在特定机构(例如,银行业机构)内登记的用户可能以不可预测的方式加入或离开该机构。
尽管以特定顺序展示或描述了上述流程图和过程流程中的步骤,但是应当理解,本发明的实施方案可以包括具有呈不同顺序的步骤的方法。此外,可以省略或添加步骤,并且它们仍可以在本发明的实施方案中。
本申请中描述的任何软件组件或功能可以被实施为将使用任何合适的计算机语言(诸如Java、C、C++、C#、Objective-C、Swift)或者脚本语言(诸如Perl或Python)使用例如常规的或面向对象的技术由处理器执行的软件代码。该软件代码可以作为一系列指令或命令存储在计算机可读介质上以供存储和/或传输,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、磁性介质(诸如硬盘驱动器或软盘),或者光学介质(诸如光盘(CD)或数字通用光盘(DVD))、闪存存储器,等等。计算机可读介质可以是此类存储设备或传输设备的任何组合。
此类程序还可以使用适合于经由包括互联网在内的符合多种协议的有线网络、光学网络和/或无线网络进行传输的载波信号来编码和传输。因此,根据本发明的一个实施方案的计算机可读介质可以使用以此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可以与兼容设备一起封装或者与其他设备分开提供(例如,经由互联网下载)。任何此类计算机可读介质可以驻存在单个计算机产品(例如,硬盘驱动器,CD或整个计算机系统)之上或其内部,并且可以存在于系统或网络内的不同计算机产品之上或其内部。计算机系统可以包括监视器、打印机,或者用于向用户提供本文所提及的任何结果的其他合适的显示器。
以上描述是说明性的并且不是限制性的。在阅读了本公开之后,本发明的许多变型形式对于本领域的技术人员将变得显而易见。因此,本发明的范围不应当参考上面的描述来确定,而是应当参考未决的权利要求连同其完整范围或等同物来确定。
在不偏离本发明范围的情况下,来自任何实施方案的一个或多个特征可以与任何其他实施方案的一个或多个特征组合。
如本文所用,除非明确指示有相反的意思,否则使用“一个”、“一种”或“该”旨在意指“至少一个/种”。

Claims (20)

1.一种方法,其包括:
在第一用户设备与第二用户设备之间的交互期间,由令牌化计算机从处理网络计算机接收令牌化请求消息,其中所述令牌化请求消息包括第一用户账户数据和第二用户账户数据;
由所述令牌化计算机基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项;
由所述令牌化计算机基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据;
由所述令牌化计算机生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息;以及
由所述令牌化计算机将所述令牌化响应消息提供给所述处理网络计算机。
2.如权利要求1所述的方法,其中所述令牌化请求消息还包括与所述第一用户账户数据相关联的第一令牌化标记,以及与所述第二用户账户数据相关联的第二令牌化标记。
3.如权利要求2所述的方法,其中所述第一用户账户数据是与所述第一用户设备的第一用户相关联的真实账户号码,并且其中所述第一令牌化标记指示不对所述真实账户号码进行令牌化。
4.如权利要求3所述的方法,其中基于所述令牌化选项确定所述备用的第一用户账户数据和所述备用的第二用户账户数据还包括:
由所述令牌化计算机确定将不对所述第一用户账户数据进行令牌化;以及
由所述令牌化计算机确定与所述第一用户账户数据相同的所述备用的第一用户账户数据。
5.如权利要求1所述的方法,其中所述令牌化请求消息是经由所述处理网络计算机从第一授权实体计算机接收的,其中所述第一授权实体计算机与所述第一用户设备相关联并且未用所述令牌化计算机登记在令牌化程序中,其中所述第一用户账户数据是真实账户号码并且不与令牌相关联,并且其中所述令牌化请求消息中的第一令牌化标记指示不对所述真实账户号码进行令牌化。
6.如权利要求1所述的方法,其中所述第一用户账户数据是第一真实账户号码,所述第二用户账户数据是第二真实账户号码,所述备用的第一用户账户数据是第一令牌,并且所述备用的第二用户账户数据是第二令牌。
7.如权利要求1所述的方法,其中所述令牌化请求消息是经由所述处理网络计算机从授权实体计算机接收的,其中所述第一用户账户数据是与所述第一用户设备的第一用户相关联的令牌,其中在所述交互期间接收所述令牌化请求消息之前,所述方法还包括:
由所述令牌化计算机从所述授权实体计算机接收令牌供应请求,所述令牌供应请求包括与所述第一用户相关联的真实账户号码;
由所述令牌化计算机生成与所述真实账户号码相关联的所述令牌;
由所述令牌化计算机生成令牌供应响应消息,所述令牌供应响应消息包括所述令牌和所述真实账户号码;以及
由所述令牌化计算机将所述令牌供应响应消息提供给所述授权实体计算机。
8.如权利要求7所述的方法,其中所述令牌供应请求还包括指示在交互期间是否对所述真实账户号码进行令牌化的第一令牌化标记,其中所述方法还包括:
由所述令牌化计算机基于所述第一令牌化标记生成新的令牌化选项以包括在所述令牌化矩阵中。
9.如权利要求1所述的方法,其中所述令牌化选项包括所述第一用户账户数据、所述第二用户账户数据、第一令牌化标记和第二令牌化标记,其中所述第一令牌化标记是由代表所述第一用户设备的第一用户维护第一用户账户的第一授权实体计算机设置的第一值,其中所述第二令牌化标记是由代表所述第二用户设备的第二用户维护第二用户账户的第二授权实体计算机设置的第二值。
10.一种令牌化计算机,其包括:
处理器;以及
耦合到所述处理器的计算机可读介质,所述计算机可读介质包括可由所述处理器执行以用于实施一种方法的代码,所述方法包括:
在第一用户设备与第二设备之间的交互期间,从处理网络计算机接收令牌化请求消息,其中所述令牌化请求消息包括第一用户账户数据和第二用户账户数据;
基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项;
基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据;
生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息;以及
将所述令牌化响应消息提供给所述处理网络计算机。
11.如权利要求10所述的令牌化计算机,其还包括:
令牌库,其中所述方法还包括:
从所述令牌库获得所述令牌化矩阵。
12.如权利要求10所述的令牌化计算机,其中所述令牌化选项包括所述第一用户账户数据、所述第二用户账户数据、第一令牌化标记和第二令牌化标记,其中所述第一令牌化标记是由代表所述第一用户设备的第一用户维护第一用户账户的第一授权实体计算机设置的第一值,其中所述第二令牌化标记是由代表所述第二用户设备的第二用户维护第二用户账户的第二授权实体计算机设置的第二值。
13.如权利要求10所述的令牌化计算机,其中所述方法还包括:
生成包括所述多个令牌化选项的所述令牌化矩阵,以包括所述第一用户账户数据、所述第二用户账户数据、第一令牌化标记和第二令牌化标记的输入。
14.如权利要求10所述的令牌化计算机,其中所述令牌化请求消息还包括与所述第一用户账户数据相关联的第一令牌化标记和与所述第二用户账户数据相关联的第二令牌化标记,其中所述第一用户账户数据是与所述第一用户设备的第一用户相关联的真实账户号码,并且其中所述第一令牌化标记指示不对所述真实账户号码进行令牌化。
15.如权利要求10所述的令牌化计算机,其中所述多个令牌化选项中的每个令牌化选项是所述令牌化矩阵中的包括一个或多个令牌化标记的行。
16.如权利要求10所述的令牌化计算机,其中所述第一用户账户数据与所述备用的第一用户账户数据相同。
17.一种方法,其包括:
在第一用户与第二用户之间的交互期间,由授权实体计算机从第一用户设备接收包括金额、第一用户账户数据和第二用户账户数据的交互请求消息;
由所述授权实体计算机确定是否对所述交互授权;
如果所述交互被授权,则由所述授权实体计算机确定指示是否对所述第一用户账户数据进行令牌化的令牌化标记;
由所述授权实体计算机修改所述交互请求消息以包括所述令牌化标记;以及
由所述授权实体计算机将所述交互请求消息提供给处理网络计算机,其中所述处理网络计算机将包括所述第一用户账户数据、所述第二用户账户数据和所述令牌化标记的令牌化请求消息提供给令牌化计算机,其中所述令牌化计算机:基于所述第一用户账户数据和所述第二用户账户数据选择令牌化矩阵中的多个令牌化选项中的一个令牌化选项、基于所述令牌化选项确定备用的第一用户账户数据和备用的第二用户账户数据、并生成包括所述备用的第一用户账户数据和所述备用的第二用户账户数据的令牌化响应消息。
18.如权利要求17所述的方法,其中所述交互请求消息包括资金金额,其中所述授权实体计算机是第一授权实体计算机,其中所述处理网络计算机:接收所述令牌化响应消息、用所述备用的第一用户账户数据和所述备用的第二用户账户数据修改所述令牌化响应消息、并将所述令牌化响应消息提供给第二授权实体计算机,其中所述方法还包括:
由所述第一授权实体计算机使用所述备用的第二用户账户数据经由所述处理网络计算机将所述交互请求消息中指示的所述资金金额提供给所述第二授权实体计算机。
19.如权利要求17所述的方法,其中所述第二用户账户数据是由所述第一用户在所述第一用户设备上从账户数据的列表中选择的,其中所述第一用户账户数据是真实账户号码,并且其中第一令牌化标记指示不对所述真实账户号码进行令牌化。
20.如权利要求19所述的方法,其中所述第一用户设备与所述第二用户设备之间的所述交互是所述第一用户设备与所述第二用户设备之间的数据传送,其中所述金额是要传送的数据的量,其中确定是否对所述交互授权还包括:
由所述授权实体计算机基于所述要传送的数据的内容、所述金额、所述第一用户设备的数据传送历史和/或所述第一用户设备的数据限制来确定是否对所述数据传送授权。
CN202210127891.1A 2021-02-12 2022-02-11 交互账户令牌化系统和方法 Pending CN114928448A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/174,738 2021-02-12
US17/174,738 US20220261793A1 (en) 2021-02-12 2021-02-12 Interaction account tokenization system and method

Publications (1)

Publication Number Publication Date
CN114928448A true CN114928448A (zh) 2022-08-19

Family

ID=82801303

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210127891.1A Pending CN114928448A (zh) 2021-02-12 2022-02-11 交互账户令牌化系统和方法

Country Status (2)

Country Link
US (1) US20220261793A1 (zh)
CN (1) CN114928448A (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9342832B2 (en) * 2010-08-12 2016-05-17 Visa International Service Association Securing external systems with account token substitution
US10509779B2 (en) * 2016-09-14 2019-12-17 Visa International Service Association Self-cleaning token vault
US11374754B2 (en) * 2017-09-07 2022-06-28 Visa International Service Association System and method for generating trust tokens
AU2019372344A1 (en) * 2018-11-02 2021-05-27 William Edward Quigley A tokenization platform

Also Published As

Publication number Publication date
US20220261793A1 (en) 2022-08-18

Similar Documents

Publication Publication Date Title
US11928678B2 (en) Variable authentication process and system
CN108370319B (zh) 用于令牌验证的方法及计算机
CN109328445B (zh) 唯一令牌认证验证值
US20180082283A1 (en) Shared card payment system and process
JP6518244B2 (ja) 相互運用可能なネットワーク・トークン処理のシステム及び方法
EP3848874B1 (en) Systems and methods for facilitating a transaction using a virtual card on a mobile device
US11663600B2 (en) Method and system for authorization of multiple transactions using a single authentication process
EP4210274A1 (en) Efficient token provisioning system and method
CN114787845A (zh) 利用密码的计划交互
EP4191942A1 (en) Token processing system and method
CN116195231A (zh) 令牌故障保护系统和方法
US20220261793A1 (en) Interaction account tokenization system and method
US11711217B2 (en) Token processing with selective de-tokenization for proximity based access device interactions
US11973871B2 (en) Domain validations using verification values
US11757861B2 (en) Prevention of token authentication replay attacks system and method
US20240152912A1 (en) Authentication system and method
CA3218986A1 (en) A system and method for facilitating rule-based partially online and offline payment transactions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination