CN116128497A - 促进用户帐户之间的资金转移 - Google Patents
促进用户帐户之间的资金转移 Download PDFInfo
- Publication number
- CN116128497A CN116128497A CN202310254776.5A CN202310254776A CN116128497A CN 116128497 A CN116128497 A CN 116128497A CN 202310254776 A CN202310254776 A CN 202310254776A CN 116128497 A CN116128497 A CN 116128497A
- Authority
- CN
- China
- Prior art keywords
- credential
- subsystem
- user
- identifier
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/102—Bill distribution or payments
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3226—Use of secure elements separate from M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3227—Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Finance (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本公开总体上涉及促进用户帐户之间的资金转移。提供了用于促进用户账户之间的资金转移的系统、方法和计算机可读介质。
Description
本申请是国际申请号为PCT/US2018/032931,国际申请日为2018年5月16日,进入中国国家阶段日期为2019年11月20日,国家申请号为201880033494.X,发明名称为“促进用户帐户之间的资金转移”的申请的分案申请。
相关申请的交叉引用
本专利申请要求于2017年5月16日提交的先前提交的美国临时专利申请No.62/507,026的权益,该临时专利申请据此全文以引用方式并入本文。
技术领域
本公开涉及促进用户账户之间的资金转移,包括利用匿名接收令牌来促进用户账户之间的资金转移。
背景技术
便携式电子设备(例如,蜂窝电话和膝上型计算机)可提供有用于使得能够与另一实体进行安全交易通信的安全元件。通常,这些通信与商业交易或其他安全数据交易相关联,这些交易要求电子设备经由商家终端或商家网站生成、访问和/或传送本机支付凭据,诸如信用卡凭据,以从安全元件发送给商家。然而,电子设备在其他类型的通信(例如,两个用户帐户之间的转账)中使用此类本机支付凭据通常效率低下。
发明内容
本文档描述了用于促进用户账户之间的资金转移的系统、方法和计算机可读介质。
例如,提供了一种方法,该方法使用第一最终用户主机电子设备和第二最终用户主机电子设备以及管理实体子系统来促进在凭据发行方子系统的第一资金账户与凭据发行方子系统的第二资金账户之间转移资金,其中第一资金帐户在凭据发行方子系统处链接到第一发送令牌和第一接收令牌,其中第二资金帐户在凭据发行方子系统处链接到第二发送令牌和第二接收令牌,其中第一最终用户主机电子设备在管理实体子系统处与第一社交令牌相关联,并且其中第二最终用户主机电子设备在管理实体子系统处与第二社交令牌相关联。该方法可包括,当请求与第一资金帐户相关联的第一用户交易凭据在第一最终用户主机电子设备上使用时,由管理实体子系统将第一接收令牌链接到第一社交令牌,并且由管理实体子系统促进将第一发送令牌供应到第一最终用户主机电子设备上。该方法还可包括,当请求与第二资金帐户相关联的第二用户交易凭据在第二最终用户主机电子设备上使用时,由管理实体子系统将第二接收令牌链接到第二社交令牌,并且由管理实体子系统促进将第二发送令牌供应到第二最终用户主机电子设备上。该方法还可包括,当请求转移资金时,由管理实体子系统从第一最终用户主机电子设备处接收设备转移资金请求数据,该设备转移资金请求数据包括设备支付凭据数据,该设备支付凭据数据包括第一发送令牌和第二社交令牌;由管理实体子系统将第二接收令牌识别为链接到接收到的设备转移资金请求数据的第二社交令牌;以及由管理实体子系统向凭据发行方子系统传送管理实体转移资金请求数据,该管理实体转移资金请求数据包括识别的第二接收令牌和接收到的设备转移资金请求数据的第一发送令牌。
又如,提供了一种方法,该方法用于促进使用第一最终用户主机电子设备和第二最终用户主机电子设备和管理实体子系统在凭据发行方子系统的第一资金账户与凭据发行方子系统的第二资金账户之间转移资金。该方法可包括,当请求与第一资金帐户相关联的第一用户交易凭据在第一最终用户主机电子设备上使用时,由凭据发行方子系统将第一接收令牌和第一发送令牌链接到与第一资金账户唯一相关联的第一账户令牌,由凭据发行方子系统向管理实体子系统传送第一接收令牌,以及由凭据发行方子系统向第一最终用户主机电子设备供应第一发送令牌。该方法还可包括,当请求与第二资金帐户相关联的第二用户交易凭据在第二最终用户主机电子设备上使用时,由凭据发行方子系统将第二接收令牌和第二发送令牌链接到与第二资金账户唯一相关联的第二账户令牌,由凭据发行方子系统向管理实体子系统传送第二接收令牌,以及由凭据发行方子系统向第二最终用户主机电子设备供应第二发送令牌。该方法还可包括,当请求转移资金时,由凭据发行方子系统从管理实体子系统处接收管理实体转移资金请求,该管理实体转移资金请求包括设备支付凭据数据,该设备支付凭据数据包括第一发送令牌、资金金额和第二接收令牌;由凭据发行方子系统验证管理实体转移资金请求的设备支付凭据数据的第一发送令牌;以及响应于该验证,由凭据发行方子系统将资金的资金金额从链接到验证的第一发送令牌的第一资金帐户传送到链接到管理实体转移资金请求的第二接收令牌的第二资金帐户。
再如,提供了一种方法,该方法使用第一最终用户主机电子设备和第二最终用户主机电子设备以及管理实体子系统来促进在凭据发行方子系统的第一资金账户与凭据发行方子系统的第二资金账户之间转移资金,其中第一资金帐户在凭据发行方子系统处链接到第一发送令牌和第一接收令牌,其中第二资金帐户在凭据发行方子系统处链接到第二发送令牌和第二接收令牌,其中第一最终用户主机电子设备在管理实体子系统处与第一社交令牌相关联,其中第二最终用户主机电子设备在管理实体子系统处与第二社交令牌相关联,其中第一最终用户主机电子设备包括第一用户标识符和第一发送令牌,并且其中第二最终用户主机电子设备包括第二用户标识符和第二发送令牌。该方法可包括,由管理实体子系统从第一最终用户主机电子设备处接收设备转移资金请求,该设备转移资金请求包括设备支付凭据数据,该设备支付凭据数据包括第一发送令牌、资金金额、第二社交令牌和任务授权(mandate)密钥,该任务授权密钥包括第一用户标识符的散列和第二社交令牌的散列。该方法还可包括由管理实体子系统来确定任务标识符,该任务授权标识符包括任务授权密钥的散列和第一用户标识符的散列和第二用户标识符的散列。该方法还可包括由管理实体子系统使用确定的任务授权标识符来计算设备转移资金请求的欺诈风险。
再如,提供了一种方法,该方法使用第一电子设备和第二电子设备以及管理实体(“AE”)子系统来促进在第一凭据发行子系统的第一资金账户与第二凭据发行子系统的第二资金账户之间转移资金,其中第一资金帐户在第一凭据发行子系统处链接到第一发送令牌和第一接收令牌,其中第二资金帐户在第二凭据发行子系统处链接到第二发送令牌和第二接收令牌,其中第一电子设备与第一社交令牌相关联,并且其中第二电子设备与第二社交令牌相关联。该方法可包括,当在第一电子设备上请求供应与第一资金账户相关联的第一设备凭据时,使用AE子系统以在AE子系统处针对第一社交令牌存储第一接收令牌以及在第一电子设备上供应包括第一发送令牌的第一设备凭据数据;当在第二电子设备上请求供应与第二资金账户相关联的第二设备凭据时,使用AE子系统以在AE子系统处针对第二社交令牌存储第二接收令牌以及在第二电子设备上供应包括第二发送令牌的第二设备凭据数据;以及当由第一电子设备发起资金的转移时,使用AE子系统在来自第一电子设备的AE子系统处接收设备转移资金请求数据,该设备转移资金请求数据包括设备支付凭据数据,该设备支付凭据数据包括第一发送令牌和第二社交令牌;在AE子系统处使用设备转移资金请求数据的第二社交令牌来识别第二接收令牌;以及从AE子系统向第一凭据发行子系统传送AE转移资金请求数据,该AE转移资金请求数据包括识别的第二接收令牌和包括第一发送令牌的接收的设备支付凭据数据。
提供本发明内容仅是为了呈现一些示例实施方案,以便提供对本文所述主题的一些方面的基本了解。因此,应当理解,本发明内容中所述的特征仅为示例,而不应理解为以任何方式缩小本文所述主题的范围或实质。除非另有说明,否则在一个示例的上下文中所描述的特征可与在一个或多个其他示例的上下文中所描述的特征组合或一起使用。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
下文论述参考以下附图,其中在全文中类似的附图标记是指类似的部件,并且其中:
图1是用于促进用户账户之间的资金转移的例示性系统的示意图;
图2是图1的系统的电子设备之一的示例的更详细的示意图;
图2A是图1和图2的电子设备的另一个更详细的示意图;
图2B是图1的系统的电子设备的另一个的示例的更详细的示意图;
图3是图1、图2和图2A的电子设备的前视图;
图4是图1的系统的示例管理实体子系统的更详细的示意图;
图4A-4H是图1的系统的各种示例数据结构的示意图;并且
图5是用于促进资金转移的例示性过程的流程图。
具体实施方式
凭据发行方子系统的第一用户资金账户的第一用户凭据(例如,支付凭据或任何其他合适的交易凭据)可被供应在第一电子设备的安全元件上以供已认证的用户使用,而凭据发行方子系统的第二用户资金账户的第二用户凭据可被供应在同一第一电子设备上或第二电子设备上以供已认证的用户使用。可以是用户匿名和/或基金帐户匿名的唯一数据可以在凭据发行方子系统处链接到特定的用户资金帐户,然后与管理实体子系统共享,以促进在凭据发行方子系统的不同用户帐户之间安全地进行资金转移。此类管理实体子系统可由管理实体操作,用于提供安全层和/或为此类用户凭据的使用提供更方便的用户体验。此类管理实体子系统的设备保护子系统可操作以提供用于保护电子设备的一个或多个设备保护服务(例如,如果待报告的设备丢失或被盗和/或用于屏蔽设备与向设备注册的特定用户的身份之间的相关联)和/或用于启用某些设备到设备的通信,而此类管理实体子系统的凭据保护子系统可操作以管理从凭据发行方子系统在电子设备上供应的用户凭据,并且促进安全地使用在发送方设备上供应的用户凭据,以在凭据发行方子系统中为从发送方用户帐户到接收方用户帐户的转帐提供资金。管理实体子系统可操作以使得发送方用户能够利用在发送发用户设备上供应的凭据以及与接收方用户相关联的接收方社交令牌(例如,电子邮件地址或电话号码)(例如,可能在发送方用户设备的联系人应用程序中识别的),以发起从与供应的凭据相关联的凭据发行方子系统处的发送方资金帐户到与接收方社交令牌相关联的凭据发行方子系统处的接收方资金帐户的资金转移。然而,在此类实施方案中,为了限制隐私和/或安全漏洞的可能性,管理实体子系统可操作以防止其任何特定子系统(例如,设备保护子系统和/或凭据保护子系统和/或任何交易保护子系统)存储可能将两个或多个特定用户特定链接到特定资金转移的任何信息(例如,发送方设备的身份和指示接收方帐户的数据)。相反,本公开的系统可以使用用户匿名和/或资金账户匿名接收令牌,每个令牌可以与凭据发行方子系统处的特定接收方资金帐户相关联,并且可以与凭据保护子系统处的电子设备的特定用户(例如,特定接收方社交令牌)相关联,而不与设备保护子系统处的特定用户相关联,使得管理实体子系统的子系统都无法访问可用于识别关于特定交易的两个或多个特定用户的数据。
图1的描述
图1是例示性系统1的示意图,该系统可以允许促进用户账户之间的资金转移。例如,如图1所示,系统1可以包括第一最终用户主机电子设备100(例如,膝上型计算机(参见例如,图1)或智能手机(参加例如,图3)或可穿戴式设备等),其上供应有第一用户U1的至少一个第一用户凭据(例如,在第一电子设备100的安全元件上)。此外,也如图1所示,系统1可以包括第二最终用户主机电子设备200(例如,智能电话(参见例如,图1)或膝上型计算机或可穿戴式设备等),其上供应有第二用户U2的至少一个第二用户凭据(例如,在第二电子设备200的安全元件上)。附加地或另选地,除了在其上供应的第一用户U1的至少一个第一用户凭据之外,第一最终用户主机电子设备100还可以具有在其上供应的第二用户U2的至少一个第二用户凭据。系统1还可以包括管理(或商业或可信)实体子系统400,以及凭据发行方(或金融机构)子系统300。电子设备100、电子设备200、管理实体(“AE”)子系统400、凭据发行方(“CI”)子系统300和/或系统1的任何其他实体(例如,服务提供商(例如,商家)子系统)中的任两个之间的任何合适数据的通信可经由任何合适的通信设置9实现,该通信设置可包括使用任何合适的一种或多种通信协议和/或任何合适的网络和/或一种或多种云架构的任何合适的有线通信路径、任何合适的无线通信路径或者两种或更多种有线和/或无线通信路径的任何合适的组合。使用通信设置9的系统1的任何两个设备或子系统之间的每个通信路径可由一个或多个可信的服务管理器(“TSM”)至少部分地管理。可使用可操作以用于创建通信网络的任何合适的电路、设备、系统或这些的组合(例如,可包括一个或多个通信塔、电信服务器等的无线通信基础结构)来提供这种通信路径中的一者或多者,这些路径能够使用任何合适的有线通信协议或无线通信协议来提供通信。例如,这种通信路径中的一者或多者可支持Wi-Fi(例如,802.11协议)、ZigBee(例如,802.15.4协议)、WiDiTM、以太网、蓝牙TM、BLE、高频系统(例如,900MHz通信系统、2.4GHz通信系统和5.6GHz通信系统)、红外、TCP/IP、SCTP、DHCP、HTTP、BitTorrentTM、FTP、RTP、RTSP、RTCP、RAOP、RDTP、UDP、SSH、WDS桥接、可由无线电话和蜂窝电话和个人电子邮件设备(例如,GSM、GSM plus EDGE、CDMA、OFDMA、HSPA、多频带等)使用的任何通信协议、可以由低功率无线个人局域网(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议或它们的任意组合。在一些具体实施中,附加地或另选地,此类通信路径中的一者或多者可支持任何有线通信。
交易凭据(例如,支付凭据或任何其他合适的交易凭据)可从任何合适的凭据发行方子系统300(例如,发行银行子系统或金融机构子系统)、直接从CI子系统300或经由AE子系统400在第一电子设备100上(例如,在第一电子设备100的安全元件或其他存储部件上)提供,其可操作以将凭据数据安全地传送到第一设备100上并且管理此类凭据数据。例如,CI子系统300可包括第一发行子系统(“IS”)391,该第一发行子系统可在具有或不具有用于在第一设备100上(例如,直接地或经由AE子系统400(例如,经由AE子系统400的凭据保护子系统491))提供用于第一用户U1的至少一个第一用户交易凭据的第一支付网络机构(例如,第一支付网络,诸如New York的MasterCard of Purchase)的情况下,由至少一个第一凭据发行机构(例如,第一发行银行,诸如San Francisco,California的Wells Fargo)操作。CI子系统300可包括第二发行子系统392,该第二发行子系统可在具有或不具有用于在第一设备100和/或第二设备200上(例如,直接地或经由AE子系统400(例如,经由AE子系统400的凭据保护子系统491))提供用于第二用户U2的至少一个第二用户交易凭据的第二支付网络机构(例如,第二支付网络,诸如Foster City,California的Visa)的情况下,由至少一个第二凭据发行机构(例如,第二发行银行,诸如Sioux Falls,South Dakota的Citibank)操作。然而,应当理解,第一发行子系统391可操作以在第一设备100上为第一用户U1提供一个或多个第一用户交易凭据以及在第一设备100和/或第二设备200上为第二用户U2提供一个或多个第二用户交易凭据,其中没有发行子系统可仅用于为特定用户提供交易凭据。此外,每个发行子系统可操作以管理一个或多个用户资金账户(例如,银行账户),该用户资金账户可以具有与其相关联的资金以用于为交易提供资金,或者可操作以接收由另一账户提供资金的交易中的资金,其中每个用户资金帐户可以与一个或多个可以在系统1的用户电子设备上供应的交易凭据相关联。一旦在电子设备上供应了交易凭据,该设备就可以使用交易凭据来安全地提供资金或以其他方式与在电子设备上供应的与该交易凭据相关联的子系统300的发行子系统的第一或发送方用户资金帐户(例如,第一或发送方电子设备100)与子系统300的发行子系统的任何合适的第二或接收方用户资金帐户之间(例如,接收方用户资金账户,该账户可以与在另一设备(例如,第二或接收方电子设备200)上提供的凭据相关联)进行交易(例如,商业或金融交易或任何其他合适的凭据交易)。例如,虽然还用第一设备100识别了(例如,使用第一设备100的任何合适的用户界面(例如,联系人应用程序、电子通讯录或电话簿等的用户界面))可以与子系统300的发行子系统的至少一个接收方用户账户(例如,识别第二设备200的社交标识符,可以在该第二设备上供应与接收方用户帐户相关联的凭据)相关联的任何合适的接收方标识符(例如,任何合适的社交接收方标识符),但是第一设备100还可识别在第一设备100上供应的特定交易凭据,该特定交易凭据将用于(例如,由CI子系统300使用)标识与所供应的交易凭据相关联的发送方用户帐户,用于为可能与所识别的接收方标识符相关联的接收方用户帐户提供资金或以其他方式进一步促进交易。
AE子系统400可以包括凭据保护子系统491,该凭据保护子系统可操作以向第一设备100上的凭据的供应和/或第一设备100上供应的凭据数据的利用提供附加的安全性和/或效率层,以为子系统的发行子系统300的接收方用户帐户提供资金(例如,可以与在另一设备(例如,第二或接收方电子设备200)上供应的凭据相关联的接收方用户帐户)。例如,凭据保护子系统491可用于在启用从发行子系统到设备100上的凭据供应之前验证代表设备100的CI子系统300的一个或多个发行子系统的可信度,并且/或者凭据保护子系统491可用于加密、编码或以其他方式保护交易凭据信息从发行子系统到设备100的通信,以确保设备100上的安全凭据供应。附加地或另选地,在使来自设备100的交易凭据数据(例如,发送方交易凭据数据或发送方设备支付凭据数据)能够被共享以用于为该接收方用户账户提供资金之前,凭据保护子系统491可以用于验证由设备100识别的接收方用户账户的可信度。附加地或另选地,凭据保护子系统491可操作以加密、编码或以其他方式保护从设备100到CI子系统300的交易凭据数据的通信,以确保安全的交易凭据数据共享,同时促进设备100与发行方子系统300的接收方用户帐户之间的交易。附加地或另选地,凭据保护子系统491可操作以促进通过维持可操作以使AE子系统400的特定注册用户的标识符与至少一个特定用户匿名相关联的数据的用户帐户和/或可以在CI子系统300处链接到特定的用户资金账户的资金账户匿名接收令牌之间安全的资金转移。
此外,AE子系统400可包括设备保护子系统471,该子系统可用于向系统设备提供附加的安全层(例如,如果设备100将丢失或被盗)。设备保护子系统471可以使设备100的用户能够向AE子系统400注册设备100,以接收设备保护子系统471的一个或多个支持服务。设备保护子系统471的一项或多项服务可用于跟踪注册设备100的位置和/或远程控制注册设备100的一项或多项功能,诸如打开警报和/或擦除或暂停或以其他方式终止某些设备内容的有用性,诸如,暂停设备100的安全元件生成交易凭据数据的能力,用于与接收方用户帐户或服务提供商的进一步交易。当设备100可能丢失或被盗时,此类服务对设备所有者可能是有用的,使得设备可被恢复并且/或者使得设备上的敏感数据可能不被访问。附加地或另选地,设备保护子系统471可操作以将某些社交令牌(例如,电子邮件地址、电话号码等)与某些注册设备相关联和/或启用注册设备之间的某些安全通信和/或将某些注册设备与AE子系统400的某个AE用户帐户相关联。此外,AE子系统400可以包括交易保护子系统481,该交易保护子系统可操作以提供附加的安全层,用于确定与由AE子系统400促进的建议交易相关联的风险,并且/或者存储与由AE子系统400促进的特定交易相关联的某些用户匿名和/或账户匿名数据。
然而,如上所述,为了限制潜在的隐私和/或安全漏洞,AE子系统400可操作以防止其任何特定子系统(例如,设备保护子系统471、凭据保护子系统481和/或交易保护子系统481)存储(例如,在存储器中保留和/或相关联)可能将两个或多个特定用户特定链接到特定资金转移的任何信息(例如,发送方设备的身份以及指示接收方帐户的数据)。相反,系统1可操作以使用匿名用户和/或资金帐户匿名接收令牌,每个令牌都可以与CI子系统300处的特定接收方资金帐户相关联,以及与凭据保护子系统491处的特定用户和/或设备相关联(例如,与可以注册到电子设备的特定设备标识符和/或用户标识符和/或接收方社交令牌相关联),但是不与设备保护子系统471处的特定用户相关联,使得AE子系统400的任何子系统都无法访问(例如,AE子系统400的任何子系统的任何表的任何条目都不得包括)可用于识别关于特定交易的两个或多个特定用户的数据,并且/或者使得发送方设备可以不需要处理接收方资金账户识别信息,该发送方设备将发送方设备支付凭据数据传送给接收方资金账户,以用于为转移交易提供资金。
图2、图2A和图3的描述
图2示出了系统1的示例用户电子设备100的更详细视图。如图2所示,例如,设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信部件120。设备100还可包括总线118,该总线可提供一条或多条有线或无线通信链路或路径以用于向设备100的各种其他部件传输数据和/或功率、从该设备的各种其他部件传输数据和/或功率或者在该设备的各种其他部件之间传输数据和/或功率。设备100还可设置有外壳101,该外壳可至少部分地包封设备100的部件中的一个或多个部件,以保护其免受设备100外部的杂物和其他降解力的损害。在一些实施方案中,可对设备100的一个或多个部件进行合并或省略。此外,设备100可包括未被合并或包括在图2中的其他部件。例如,设备100可包括任何其他适当的部件或图2所示的部件的若干个实例。为了简单起见,图2中仅示出了每种部件中的一个部件。电子设备100可以是任何便携式、移动、可穿戴、可植入或手持式电子设备,该设备被配置为存储一个或多个交易凭据以用于与接收方用户帐户进行进一步的交易。另选地,电子设备100在使用期间可能不是便携式的,相反可以一般是固定的。电子设备100可包括但不限于,媒体播放器、视频播放器、静态图像播放器、游戏机、其他媒体播放器、音乐记录器、电影或视频相机或记录器、静态相机、其他媒体记录器、无线电部件、医疗设备、家用电器、交通工具仪表、乐器、计算器、蜂窝电话(例如,可购自Apple Inc.的iPhoneTM)、其他无线通信设备、个人数字助理、遥控器、寻呼机、计算机(例如,台式机、膝上型电脑、平板电脑、服务器等)、监视器、电视机、音响设备、机上盒、机顶盒、可穿戴设备(例如,可购自Apple Inc.的Apple WatchTM)、小音响、调制解调器、路由器、打印机以及它们的任意组合。
存储器104可包括一个或多个存储介质,例如包括硬盘驱动器、闪存存储器、永久性存储器诸如只读存储器(“ROM”)、半永久性存储器诸如随机存取存储器(“RAM”)、任何其他合适类型的存储部件,或它们的任意组合。存储器104可包括高速缓存存储器,该高速缓存存储器可为用于暂时存储电子设备应用程序的数据的一个或多个不同类型的存储器。存储器104可存储媒体数据(例如,音乐文件和图像文件)、软件(例如,用于实现设备100上的功能的应用程序)、固件、偏好信息(例如,媒体回放偏好)、生活方式信息(例如,饮食偏好)、运动信息(例如,由运动监测设备所获取的信息)、交易信息、无线连接信息(例如,可使设备100能够建立无线连接的信息)、订阅信息(例如,用于跟踪用户订阅的播客或电视节目或其他媒体的信息)、联系人信息(例如,电话号码和电子邮件地址)、日历信息、任何其他合适的数据或它们的任何组合。通信部件106可操作以使设备100能够使用任何合适的通信协议(例如,经由通信设置9的有线和/或无线协议)与一个或多个其他电子设备(例如,设备200)或服务器或子系统(例如,子系统300和400中的一个或多个)进行通信。电源108可向设备100的一个或多个部件提供电力。在一些实施方案中,电源108可被耦接至电网(当设备100正在充电或不是便携式设备诸如台式计算机时)。在一些实施方案中,电源108可包括一个或多个电池以用于提供电力(例如,当设备100为便携式设备诸如蜂窝电话时)。又如,电源108可被配置为从天然来源(例如,使用太阳能电池的太阳能)生成电力。可提供一个或多个输入部件110以允许用户或周围环境或远程数据源与设备100进行交互或连接,并且/或者可提供一个或多个输出部件112以向设备100的用户呈现信息(例如,图形信息、可听信息和/或触觉信息)。应当指出的是,一个或多个输入部件和一个或多个输出部件在本文中有时可统称为输入/输出(“I/O”)部件或I/O接口114(例如,将输入部件110和输出部件112统称为I/O部件或I/O接口114)。例如,输入部件110和输出部件112有时可为单个I/O部件114诸如触摸屏,该单个I/O部件可通过用户触摸显示屏来接收输入信息并且还可经由同一显示屏向用户提供视觉信息。
设备100的处理器102可包括可操作以控制设备100的一个或多个部件的操作和性能的任何处理电路。例如,处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。主机设备100的处理器102可包括可操作以控制主机设备100的一个或多个部件的操作和性能的任何合适的处理电路。如图2所示,处理器102可用于运行一个或多个应用程序(例如,应用程序103和/或应用程序113),所述一个或多个应用程序可至少部分地规定可由设备100接收、生成和/或传送数据的方式。作为一个示例,应用程序103可以是操作系统应用程序,而应用程序113可以是第三方应用程序或任何其他合适的在线资源(例如,联系人或通讯录应用程序、保护应用程序和/或设备到设备通信应用程序(例如,与AE子系统400的设备保护子系统471相关联的通信应用程序)、凭据发行方应用程序(例如,与CI子系统300的凭据发行子系统相关联的凭据发行方应用程序)、与服务提供商(“SP”)子系统的商家相关联的应用程序(未示出)等)。此外,如图所示,处理器102可以访问任何合适的设备标识信息119,设备100和/或AE子系统400和/或发行方子系统300和/或任何SP子系统的用户可以使用该信息来提供设备100的任何合适的标识。仅作为一个示例,设备标识信息119可以是任何合适的社交令牌(例如,与设备100相关联的电话号码或电子邮件地址),或者可能与设备100或其部件相关联的任何合适的唯一标识符(例如,设备100的唯一设备标识符或设备100的安全元件的唯一安全元件标识符等)。
近场通信(“NFC”)部件120可被配置为传送交易凭据数据(例如,发送方交易凭据数据或发送方设备支付凭据数据)和/或任何其他合适的数据作为基于邻近性的无接触式通信(例如,近场通信)与商家或SP子系统(未示出)通信(例如,利用SP子系统的SP NFC终端,其可位于实体店或设备100的用户可使用凭据经由基于邻近性的无接触式通信与位于附近的SP终端进行交易的任何物理位置)。NFC部件120可允许以相对较低数据速率(例如,424kbps)的近距离通信,并且可遵守任何合适标准诸如ISO/IEC 7816、ISO/IEC 18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443和/或ISO 15693。NFC部件120可允许以较高数据速率(例如,370Mbps)进行近程通信,并可与任何适当的标准诸如TransferJetTM协议兼容。NFC部件120与SP子系统的NFC部件或系统1的任何其他合适实体之间的通信可发生在NFC部件与其他实体之间的任何合适的近距范围内,诸如大约2至4厘米的范围,并且可在任何合适的频率(例如,13.56MHz)下操作。例如,NFC部件的此类近距离通信可经由磁场感应发生,该磁场感应可允许NFC部件与其他NFC设备进行通信和/或从具有射频标识(“RFID”)电路的标签检索信息。虽然已相对于近场通信描述了NFC部件120,但是应当理解,部件120可被配置为在设备100与另一实体诸如SP子系统的终端之间提供任何适当的基于邻近性的无接触式移动支付或任何其他适当类型的基于邻近性的无接触式通信。例如,NFC部件120可被配置为提供任何合适的短程通信诸如涉及电磁耦合技术/静电耦合技术的短程通信。
NFC部件120可包括用于在设备100与此类远程终端(例如,SP终端)之间实现基于邻近性的无接触式通信的任何适当的模块。例如如图2所示,NFC部件120可包括NFC设备模块130、NFC控制器模块140和/或NFC存储器模块150。NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或以其他方式提供可作为基于接近性的非接触式通信或NFC通信的一部分由NFC部件120传输至远程终端的任何合适的数据。NFC数据模块132可被配置为包含、路由或以其他方式接收可由NFC部件120从远程终端接收的作为基于邻近性的无接触式通信的一部分的任何适当的数据。NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC设备模块130工作以启用、激活、允许和/或以其他方式控制NFC部件120,以用于在设备100与远程终端之间传送NFC通信。NFC控制器模块140可包括可用于运行一个或多个应用程序的至少一个NFC处理器模块142,该一个或多个应用程序诸如可帮助指示NFC部件120的功能的NFC低功率模式或钱包应用程序143。NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作以允许设备100与远程终端之间的NFC通信。NFC存储器模块150可防篡改并可提供设备100的安全元件145的至少一部分。例如,安全元件145可被配置为提供防篡改平台(例如,作为单芯片或多芯片安全微控制器),其可以能够根据可由一组公认的可信管理机构(例如,CI子系统和/或金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)所提出的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如,小应用程序153和密钥155)。
如图所示,例如,NFC存储器模块150可包括可由NFC规范标准(例如,GlobalPlatform)定义和管理的发行方安全域(“ISD”)152、一个或多个补充安全域(“SSD”)154a-154c(例如,服务提供商安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)、凭据SSD、访问SSD等)中的一者或多者。例如,ISD 152可为NFC存储器模块150的一部分,其中可信服务管理器(“TSM”)或发行金融机构(例如,发行方子系统300)可将用于创建或以其他方式提供一个或多个凭据(例如,与各种信用卡、银行卡、礼品卡、门禁卡、通行证、数字货币(例如,比特币和相关联的支付网络)等相关联的凭据)的一个或多个密钥(例如,ISD密钥156k)和/或其他合适的信息存储在设备100上(例如,经由通信部件106),以用于凭据内容管理和/或安全域管理。凭据可以包括凭据数据(例如,凭据信息161a),其可以被分配给用户/消费者(例如,通过发行子系统),并且可以安全地存储在电子设备100上和/或在电子设备100上唯一地生成。例如,此类凭据数据(例如,凭据信息161a)可以包括设备主帐号(“DPAN”)或发送令牌(例如16至19个字符的令牌,该令牌可能类似于可能与各种卡网络兼容的信用卡/借记卡卡号,或者设备帐户参考(“DAR”)(例如,格式明确的字符串,其中可能包含全局唯一标识符(“GUID”),或者通用唯一标识符(“UUID”)(例如,可用于识别一个或多个资源的128位整数),并且/或者可以识别特定来源(例如,发行子系统)的代码(例如,银行代码)))、DPAN到期日期、CVV和/或等(例如,作为令牌或其他方式)。NFC存储器模块150可包括至少三个SSD 154(例如,第一凭据SSD 154a、第二凭据SSD 154b和访问SSD 154c)。例如,第一凭据SSD 154a和第二凭据SSD 154b中的每一个可与可向电子设备100提供特定特权或支付权限的任何合适类型的相应特定凭据(例如,由发行方子系统300提供的特定信用卡凭据或特定存储值帐户凭据或特定公共交通卡凭据)相关联,而访问SSD 154c可与商业或管理实体(例如,AE子系统400的实体,其可为设备100的控制实体)相关联,该商业或管理实体可控制设备100对另一SSD(例如,第一SSD 154a或第二SSD 154b)的特定凭据的访问,例如以向电子设备100提供特定特权或支付权限。每个SSD 154可包括至少一个小应用程序153和/或与其相关联(例如,具有小应用程序153a的SSD 154a和具有小应用程序153b的SSD154b)。例如,SSD 154的小应用程序153可以是可运行于NFC部件120的安全元件上的应用程序(例如,在GlobalPlatform环境中)。凭据小应用程序153可包括凭据信息161(例如,小应用程序153a的信息161a和/或小应用程序153b的信息161b)或与其相关联。每个SSD 154和/或小应用程序153还可包括至少一个其自身的密钥155(例如,具有至少一个访问密钥155a和至少一个访问密钥155a'的小应用程序153a,以及具有至少一个访问密钥155b和至少一个访问密钥155b'的小应用程序153b)和/或与其相关联。
SSD 154的密钥155可以是能确定加密算法或密码的函数输出的一条信息。例如,在加密时,密钥可指定加密期间明文到密文的特定转化或反之亦然。也可在其他加密算法中使用密钥诸如数字签名方案和消息认证代码。SSD的密钥可提供与另一实体的任何适当的共享密钥。每个密钥和小应用程序可以由TSM或授权代理加载到设备100的安全元件上,也可以在安全元件首次提供给设备100之前预先加载到安全元件上。作为一个示例,虽然凭据SSD 154a可以与特定的信用卡凭据相关联,但是当凭据SSD 154a的小应用程序153a已被启用或以其他方式激活或解锁以用于此类使用时,该特定凭据只能用于将交易凭据数据通信从设备100的安全元件145传送到远程实体以进行金融交易(例如,用于为接收方用户帐户提供资金)。一些密钥可以在设备100的安全元件或其他合适的部分上生成。
可以提供安全特征以使得能够使用NFC部件120,当将凭据信息(例如,机密的支付信息,诸如凭据的信用卡信息或银行帐户信息)从电子设备100传输到远程实体(例如,用于为CI子系统300的接收方用户帐户提供资金(例如,经由AE子系统400))和/或从发行方子系统300传输到电子设备100(例如,用于在设备100的安全元件上进行配置(例如,经由AE子系统400))时,该NFC部件可能特别有用。此类安全特征还可包括可具有受限访问权限的安全存储区域。例如,可需要提供经由个人标识号(“PIN”)输入或经由与生物特征传感器进行的用户交互的用户认证来访问安全存储区域。例如,访问SSD 154c可利用或以其他方式使用小应用程序153c以在允许使用其他SSD 154(例如,凭据SSD 154a或凭据SSD 154b)传送其凭据信息161之前确定是否已发生此类认证。在某些实施方案中,一些或全部安全特征可存储在NFC存储器模块150内。此外,可以将用于与远程实体通信商务凭据数据的安全信息,诸如认证密钥,存储在电子设备100的NFC存储模块150内。在某些实施方案中,NFC存储器模块150可包括嵌入电子设备100内的微控制器。仅作为一个示例,访问SSD 154c的小应用程序153c可被配置为确定设备100的用户的意图和本地认证(例如,经由一个或多个输入部件110诸如生物测定输入部件),并且响应于此类确定,其可被配置为使得另一个特定SSD能够进行支付交易(例如,利用凭据SSD 154a的凭据)。
如图2A所示,例如NFC部件120的安全元件145可包括SSD 154a和SSD 154b,其中SSD 154a可包括小应用程序153a、凭据信息161a、访问密钥155a和/或凭据密钥155a'或与其相关联,SSD 154b可包括小应用程序153b、凭据信息161b、访问密钥155b和/或凭据密钥155b'或与其相关联。在一些实施方案中,SSD 154a和154b中的每一个可与特定TSM和至少一个特定商务凭据(例如,特定信用卡凭据或特定存储值账户凭据或特定公共交通卡凭据)相关联,其可向电子设备100提供特定特权或支付权限(例如,SSD 154a可与从发行方子系统300的第一发行子系统391为用户U1提供的第一交易凭据相关联,并且SSD 154b可与从发行方子系统300的第一发行子系统391为用户U1提供的第二交易凭据相关联)。每个SSD 154可具有其自身的管理器密钥155(例如,密钥155ak和155bk中的相应一个密钥),其可能需要被激活以启用该SSD 154的功能以供NFC设备模块130使用。每个SSD 154可包括其自身的凭据应用程序或与特定商务凭据相关联的凭据小应用程序(例如,Java卡小应用程序实例)中的至少一者和/或与其相关联(例如,SSD 154a的凭据小应用程序153a可与第一商务凭据相关联,并且/或者SSD 154b的凭据小应用程序153b可与第二商务凭据相关联),其中凭据小应用程序可具有其自身的访问密钥(例如,用于凭据小应用程序153a的访问密钥155a和/或用于凭据小应用程序153b的访问密钥155b)和/或其自身的凭据密钥(例如,用于凭据小应用程序153a的凭据密钥155a'和用于凭据小应用程序153b的凭据密钥155b'),并且其中可能需要激活凭据小应用程序,使其相关联的商务凭据能够由NFC设备模块130用作NFC通信(例如,与远程终端)和/或用作设备100与远程实体之间的基于在线的通信(例如,在设备100与CI子系统300之间(例如,经由AE子系统400))。
凭据小应用程序的凭据密钥可由CI子系统300生成,该CI子系统可负责这种凭据,并且可由该发行方子系统300访问,以便能够在安全元件145和发行方子系统300之间安全地传输该小应用程序的该凭据信息。凭据小应用程序的凭据密钥可由AE子系统400生成并且可由AE子系统400访问,以便能够在安全元件145和AE子系统400之间安全地传输该小应用程序的该凭据信息。如图所示,每个小应用程序可包括其自身唯一的应用程序标识符(“AID”),诸如小应用程序153a的AID 155aa和/或小应用程序153b的AID 155ba。例如,AID可识别特定的卡方案和产品、程序或网络(例如,MasterCard Cirrus、Visa PLUS、Interac等),其中AID不仅可包括注册的应用程序提供商标识符(“RID”),该标识符用于识别与AID相关联的凭据的支付系统(例如,卡方案)或网络(例如,MasterCard、Visa、Interac等),AID还包括可用于区分提供商提供的产品、程序或应用程序或与AID相关联的凭据的支付系统的专有应用程序标识符扩展程序(“PIX”)。可操作以管理安全元件145的固件的任何合适的规格(例如,Java卡片规格)可操作以确保或以其他方式强制安全元件145上的每个AID的唯一性(例如,安全元件145上的每个凭据实例可与其自身唯一的AID相关联)。
如图2A所示,安全元件145可包括ISD 152,该ISD 152可包括也可被与该安全域相关联的可信服务管理器(例如,AE子系统400)知道的ISD密钥156k。可类似于和/或替代访问密钥155a和/或访问密钥155b,由AE子系统400和设备100利用或以其他方式使用ISD密钥156k,以实现AE子系统400和安全元件145之间的安全传输。此外,如图2A所示,可在处理器102与安全元件145之间传送各种数据。例如,设备100的处理器102可被配置为运行设备应用程序103,该设备应用程序可与处理器102的应用程序113以及安全元件145、I/O界面部件114a(例如,用于接收I/O输入数据115i和/或用于传输I/O输出数据115o)和/或通信部件106传送信息。此外,如图所示,处理器102可具有访问设备标识信息119的权限,其可以用于在设备100与一个或多个远程实体之间实现安全通信。
如图2A所示,安全元件145可包括控制权限安全域(“CASD”)158,其可被配置为生成和/或以其他方式包括CASD访问套件158k(例如,CASD密钥、证书和/或签名模块)。例如,在向设备100的另一个部分(例如,用于和系统1的其他子系统共享的通信部件106)提供此类数据之前,CASD 158可被配置为(例如,使用CASD访问套件158k)标记安全元件145上的特定数据。安全元件145可包括非接触式注册服务(“CRS”)小应用程序或应用程序151,其可被配置为向电子设备100提供本地功能以修改某些安全域元素的生命周期状态(例如,激活、停用、暂停、锁定等)并与设备100的用户(例如,经由用户I/O界面114a)在某些生命周期状态中共享关于某些安全域元素的某些输出信息115o,并且可包括可以维护每个安全域元素在安全元件145上的当前生命周期状态的列表的CRS列表151t,并且可被配置为与设备100的应用程序共享一个或多个安全域元素的生命周期状态(例如,使用任何合适的应用程序类型,诸如守护进程,诸如卡管理守护进程(“CMD”)应用程序113a,其可作为操作系统应用程序103和/或卡管理应用程序113b(例如,Apple Inc.的PassbookTM或WalletTM应用程序)和/或设备保护(“DP”)应用程序113c(例如,可与AE子系统400的设备保护子系统471相关联的应用程序和/或守护进程)和/或身份服务(“IDS”)应用程序113d,这继而又可经由I/O界面114a和用户界面(“UI”)应用程序向设备100的用户提供某些生命周期状态信息作为输出信息115o(例如,卡管理应用程序113b的UI),其可使用户能够改变安全域元素的生命周期状态。CRS 151可包括CRS访问密钥151k,其也可以是与CRS 151相关联的可信服务管理器(例如,AE子系统400)已知的,并且可由AE子系统400和设备100类似地和/或代替访问密钥155a和/或访问密钥155b来利用或以其他方式使用,以用于实现AE子系统400和安全元件145之间的安全传输。
DP应用程序113c可以是任何合适的应用程序类型,诸如守护进程,其可作为操作系统应用程序103和/或卡管理应用程序113b内的后台进程运行,并且/或者可由CMD应用程序113a提供,或者可以是由任何合适的实体(例如,负责设备保护子系统471的实体)提供的应用程序,并且可操作以使得任何合适的设备保护服务能够稍后由设备保护子系统471激活,以便以一种或多种方式保护设备100。例如,DP应用程序113c可以是“查找我的设备”应用程序(例如,Apple Inc.的“查找我的iPhone”或“查找我的Mac”应用程序),其可结合设备保护子系统471的服务(例如,Apple Inc.的iCloud服务)用于跟踪设备100的位置和/或远程控制设备100的一个或多个功能,诸如打开警报和/或擦除或暂停或以其他方式终止某些设备内容的有用性,诸如暂停设备100的安全元件生成和/或传送交易凭据数据以用于与远程实体进行进一步交易的能力。当设备100可能丢失或被盗时,这样的服务对设备所有者可能是有用的,使得设备可被恢复并且/或者使得设备上的敏感数据可能不被访问。IDS应用程序113d可为任何适当的应用程序类型,诸如可作为后台进程在操作系统应用程序103内运行的守护进程、和/或卡管理应用程序113b和/或可由CMD应用程序113a提供的应用程序,并且可用作IDS管理器,以监听和响应可通过任何合适的IDS服务(例如AE子系统400的IDS子系统471的IDS服务)发送到设备100和/或从该设备发送的IDS消息,该IDS服务可类似于任何适当的消息传送服务,诸如Apple Inc.的iMessageTM等(例如,Apple Inc.的FaceTimeTM或ContinuityTM),并且/或者其能够实现设备100的IDS应用程序113d与另一个设备的类似IDS应用程序(例如,设备200的IDS应用程序213d)之间的消息的唯一的端对端加密。可以使用通信设备中的一个或两个的唯一标识符(例如,设备100的设备唯一标识符119和/或设备200的设备唯一标识符219)和/或通信设备中一个或两个的特定用户的唯一社交令牌(例如,电话号码等)来对此类消息进行加密。此类消息可以作为本地链路或真实的设备到设备(例如,对等)通信进行通信,或者可以经由AE子系统400进行通信(例如,经由AE子系统400的IDS子系统(例如,使用身份管理系统部件))。此类消息传送可作为低延迟解决方案来实现,该解决方案能够使数据在结构化格式(例如,协议缓冲区)和/或非结构化格式之间交换。
如图3所示,电子设备100的一个具体示例可以是手持式电子设备诸如iPhoneTM,其中外壳101可允许访问各种输入部件110a-110i、各种输出部件112a-112c和各种I/O部件114a-114d,通过这些部件设备100和用户和/或周围环境可彼此连接。例如,触摸屏I/O部件114a可包括显示输出部件112a和相关联的触摸输入部件110f,其中显示输出部件112a可用于显示可允许用户(例如,第一用户UI)与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180。GUI 180可包括当前运行的应用程序(例如,应用程序103和/或应用程序113和/或应用程序143)的各种层、窗口、屏幕、模板、元素、菜单和/或其他组分,它们可被显示在显示输出部件112a的全部区域或一些区域中。例如,如图3所示,GUI 180可被配置为显示具有GUI 180的一个或多个图形元素或图标182的第一屏幕190。当特定图标182被选择时,设备100可被配置为打开与该图标182相关联的新应用程序并显示GUI 180的与该应用程序相关联的对应屏幕。例如,在标记有“商家应用”文本指示符181的特定图标182(即,特定图标183)被设备100的用户选择时,设备100可启动或以其他方式访问特定第三方商家或SP应用程序,并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征的特定用户界面的屏幕。又如,当选择了标记有“消息传送”文本指示符181的特定图标182(即特定图标184)时,设备100可以启动或以其他方式访问特定的设备应用程序(例如,消息传递应用程序),该设备应用程序可以提供特定于管理实体的(或其他特定于实体的)通信服务(例如,Apple Inc.的iMessageTM),其中此类服务可操作以提供设备100与另一设备(例如,第二用户设备200)之间的端到端加密通信(例如,经由AE子系统400的身份服务(“IDS”)子系统),并且此类服务可能需要每个设备进行注册(例如,主动注册),然后才能实现设备检测和/或可以使用该服务在设备之间发送消息(例如,在每个参与设备上使用IDS应用程序(例如,设备100的IDS应用程序113d))。因此,在一些实施方案中,可以由并通过AE子系统400的IDS子系统来促进设备100与设备200之间的某些通信,以实现设备之间的安全和/或有效的通信路径。又如,当选择标记有“钱包”文本指示符181(即,特定图标185)的特定图标182时,设备100可启动或以其他方式访问特定设备应用程序(例如,用于管理安全元件145上的各种凭据的图2A的卡管理应用113b(例如,作为“钱包”或“卡券簿”应用程序)),并且可显示可包括用于以特定方式与设备100交互的一个或多个工具或特征的特定用户界面的屏幕。又如,当选择标记为“保护”文本指示符181(即,特定图标186)的特定图标182时,设备100可启动或以其他方式访问特定设备应用程序(例如,图2A的设备保护应用程序113c(例如,“查找我的设备”应用程序)),以使某些设备保护服务能够(例如,通过设备保护子系统471)被激活来保护设备100(例如,如果丢失、被盗等)。
虽然图2、图2A和图3可相对于第一设备100进行描述,但是应当理解,图2、图2A和图3的任一者或多者的设备100的部件的一个、一些或全部可类似地由第二设备200提供。例如,如图2B所示,第二设备200可以包括与第一设备100相同的元件的一个、一些或每个,其中,除非另有说明,否则图2B的设备200的每个元件2XX可以类似于图2A的设备100的相应元件1XX。然而,在一些实施方案中,第二设备200可能不供应第一设备100的一个或多个部件(例如,第二设备200可能不包括上文提供了一个或多个凭据的安全元件,而第二设备200仍可以使用在第一设备100和接收方用户帐户上供应的交易凭据来帮助促进金融交易)。例如,第二用户U2的第二设备200可能不包括安全元件或任何发送令牌,但是仍然可以被AE子系统400联系以接受支付和/或选择接收方账户等(例如,在AE子系统400可以自动为每个用户创建存储值帐户的实施方案中(可以链接到与AE子系统400存档的信用卡的存储值帐户(例如,用于iTunes或由AE子系统400管理的任何合适的媒体商店等),但是不与第二用户U2的第二设备200的任何安全元件上或以其他方式的凭据相关联))。对于任何适用的应用程序,屏幕可以显示在用户电子设备的显示输出部件(例如,设备100的显示输出部件112a)上,并且可以包括各种用户界面元素。对于每个应用程序,可以经由各种其他设备输出部件(例如,除了显示输出部件112a之外的设备100的各种其他设备输出部件112)向用户提供各种其他类型的非可视信息。在一些实施方案中,设备100和200中的一个或每个可不包括用于提供GUI的用户界面部件,但是相反可被视为自动化程度更高的设备。例如,设备100和200中的一个或每个可能不包括可操作以提供GUI的用户界面部件,但是可以包括一个或多个用户界面部件,这些用户界面部件可操作以向用户提供音频和/或触觉输出,并且/或者提供机械或其他合适的用户输入部件,用于选择和认证用于为交易提供资金的支付凭据。
如上所述,CI子系统300可包括至少一个发行子系统(例如,至少一个发行银行子系统),诸如第一发行子系统391和第二发行子系统392。另外,在一些实施方案中,发行方子系统300可包括至少一个网络子系统(例如,至少一个支付网络子系统(例如,支付卡协会或信用卡协会)),诸如第一网络子系统和第二网络子系统。例如,每个发行子系统可以是金融机构,该金融机构可以承担相关联用户偿还他们在使用特定支付卡及其在用户设备上的相关联小应用程序时可能产生的债务的能力的主要责任。设备100的一个或多个特定凭据小应用程序可以与特定的支付卡或资金卡相关联,该特定的支付卡或资金卡可以电子链接到由CI子系统300的特定发行子系统管理的特定用户或一组用户的一个或多个基金帐户(例如,两个或两个以上家庭成员的共同账户)。各种类型的支付卡可为合适的,包括信用卡、借记卡、签账卡、储值卡或储值账户、汽油特惠卡、礼品卡等。特定支付卡的凭据可以由发行方子系统300的特定发行子系统在设备100上供应(例如,作为NFC部件120的凭据补充安全域(“SSD”)的交易凭据)(例如,直接或经由AE子系统400),并且该供应的凭据随后可以被设备100用于生成交易凭据数据(例如,发送方设备支付凭据数据),该交易凭据数据可以用作交易凭据数据通信的一部分,该交易凭据数据通信可以从设备100进行通信,以发起可以由CI子系统300的相同或另一个特定发行子系统管理的接收方用户资金帐户的资金(例如,接收方用户资金帐户,该帐户可能与第二设备200上供应的特定付款卡的凭据相关联),其中此类资金可以由发送方用户资金账户提供,该发送方用户资金账户可以与产生交易凭据数据的设备100上的供应凭据相关联,该交易凭据数据可以用于识别接收方用户资金账户。每个凭据可以是可由发行方子系统300的网络子系统进行品牌标注的特定品牌的支付卡。发行方子系统300的每个网络子系统可以是可处理对特定品牌的支付卡(例如,商务凭据)的使用的发行方子系统300的各发行子系统和/或各收单银行的网络。网络子系统和发行方子系统300的发行子系统可以是单个实体,也可以是分开的实体。例如,相比之下,AmericanExpress可能既是网络子系统又是发行子系统。Visa和MasterCard可以是支付子系统,并且可与发行子系统诸如Citibank、Wells Fargo、Bank of America等合作。虽然未示出,但是CI子系统300还可包括或访问处理器部件、通信部件、I/O界面、总线、存储器部件和/或电源部件,其可与设备100的此类部件相同或相似,其中的一个、一些或全部可至少部分地由CI子系统300的第一发行子系统391和第二发行子系统392中的一个、一些或每一个提供。
为了在系统1内发生至少某种类型的交易(例如,可以由系统1在设备100(例如,发送方设备)与由CI子系统300管理的接收方用户帐户之间执行的交易(例如,可以与第二设备200上供应的特定支付卡的凭据相关联的接收方用户帐户),以使用来自设备100上供应的凭据的交易凭据数据为该接收方用户帐户提供资金),应在第一(发送方)设备100上安全地供应至少一个交易凭据(例如,直接来自发行方子系统300或经由AE子系统400(例如,经由凭据保护子系统491))和/或应在第二(接收方)设备200上安全地供应至少一个交易凭据(例如,直接来自发行方子系统300或经由AE子系统400(例如,经由凭据保护子系统491))。例如,可以从CI子系统300(例如,来自第一发行子系统391)向第一用户U1将第一用户凭据数据(例如,图5的数据516d)供应给设备100的安全元件145,作为NFC部件120(例如,SSD154a)的凭据补充安全域的至少一部分或全部,并且可以包括具有凭据信息和/或凭据密钥的凭据小应用程序,诸如具有凭据信息161a和凭据密钥155a'的支付应用程序或凭据小应用程序153a。另外,在一些实施方案中,可以从CI子系统300(例如,来自第二发行子系统392)向第二用户U2将第二用户凭据数据(例如,图5的数据532d)供应给设备200的安全元件245,作为该安全元件(例如,SSD 254a)的凭据补充安全域的至少一部分或全部,并且可以包括具有凭据信息和/或凭据密钥的凭据小应用程序,诸如具有凭据信息261a和凭据密钥255a'的支付应用程序或凭据小应用程序253a。发行方子系统300(例如,第一发行子系统391)还可访问凭据密钥155a'(例如,用于解密由设备100使用凭据密钥155a'加密的数据),并且发行方子系统300(例如,第二发行子系统392)还可访问凭据密钥255a′(例如,用于解密由设备200使用凭据密钥255a′加密的数据)。发行方子系统300可负责管理凭据密钥155a′至255b′,这可包括此类密钥的生成、交换、存储、使用和替换。发行方子系统300可在发行方子系统300的一个或多个适当的安全元件中存储其版本的每个凭据密钥。应当理解,设备100和发行方子系统300的凭据密钥155a′和155b′中的每一个可为可用于电子设备100的安全元件和发行方子系统300两者或相应的一个上的任何适当的共享密钥(例如,密码、密码短语、随机选择的字节阵列、一个或多个对称密钥、相应的公私密钥(例如,非对称密钥)等),其可用于实现任何适当的加密数据(例如,密文)或任何其他适当的数据由电子设备100和发行方子系统300独立地生成(例如,用于验证金融交易的支付数据),诸如通过使用任何适当的加密算法或密码,其功能输出可至少部分地由共享密钥决定,其中可以由发行方子系统300在设备100上供应此类共享秘密,并且/或者允许对在设备100与子系统300之间传送的数据进行安全的加密和解密。共享秘密可预先在发行方子系统300与设备100之间共享(例如,在由发行方子系统300在设备100上提供凭据期间),在这种情况下,此类共享秘密可被称为预共享密钥,或者共享秘密可在用于特定的金融交易之前通过使用密钥协议来创建(例如,使用公开密钥加密协议诸如Diffie-Hellman,或使用对称密钥加密协议诸如Kerberos)。共享秘密以及功能输出可至少部分地由共享秘密决定的任何适当的加密算法或密码能够被设备100的安全元件访问。类似地,应当理解,设备200和发行方子系统300的证书密钥255a′和255b′中的每一个可以是可用于电子设备200和发行方子系统300的安全元件的任何合适的共享秘密。
可供应AE子系统400(例如,凭据保护子系统491)作为发行方子系统300与设备100和设备200中的一个或两个之间的中介,AE子系统400可以配置为当在设备100或设备200上供应凭据时,并且/或者当将此类供应的凭据用作来自设备100或设备200的交易凭据数据通信的一部分以在发行方子系统300上为接收方用户帐户提供资金时,提供新的安全层和/或提供更无缝的用户体验。AE子系统400可以由任何合适的管理和/或商业实体提供,这些实体可以经由到该管理实体的用户特定登录信息到用户特定帐户向用户设备(例如,设备100和/或设备200)的用户提供各种服务(例如,经由用户特定的标识和密码组合)。仅作为一个示例,AE子系统400可由Apple Inc.(Cupertino,CA)提供,其也可以是向设备100和/或设备200的用户提供各种管理和/或其他服务的提供商(例如,用于出售/租赁待由一个或每个设备播放的媒体的iTunesTM商店、用于出售/租赁在设备100上使用的应用程序的AppleApp StoreTM(例如,用于将应用程序安全地传送到一个或每个设备的商店420)、用于存储来自一个或每个设备的数据和/或将用户与设备相关联和/或提供设备保护服务(例如,在设备100上使用DP应用程序113c)的Apple iCloudTM服务(例如,设备保护子系统471的服务)、用于在线购买各种Apple产品的Apple在线商店、用于在设备之间传送媒体消息的AppleiMessageTM服务、用于在一个或每个设备上保护和管理凭据供应和/或安全地使用来自设备的交易凭据数据以促进与接收方用户账户的进一步交易的Apple PayTM服务(例如,凭据保护子系统491的服务等),并且其也可以是设备100本身和/或设备200本身的提供商、制造商和/或开发者(例如,当设备100和/或设备200是iPodTM、iPadTM、iPhoneTM、MacBookTM、iMacTM、Apple WatchTM等时)和/或一个或每个设备的操作系统(例如,设备100的设备应用程序103和/或设备200的设备应用程序203)和/或一个或每个设备的任何其他应用程序(例如,设备100的一个或多个应用程序113a-113d和/或设备200的一个或多个应用程序213a-213d)。可提供AE子系统400的管理或商业实体(例如,Apple Inc.)可不同于并独立于发行方子系统300的任何凭据发行和/或金融实体。例如,可以提供AE子系统400的管理或商业实体与可提供和/或管理与任何支付卡相关联或与在用户设备100和/或用户设备200上待供应的任何交易凭据相关联的任何用户账户的任何支付网络子系统或发行银行子系统可以不同和/或独立。可提供AE子系统400的实体(例如,Apple Inc.)可不同于和独立于任何商家或SP子系统(例如,可为NFC通信提供SP终端的任何SP实体,用于在线通信的第三方应用程序和/或SP子系统的任何其他方面)。此类管理实体可利用或以其他方式使用其潜在能力来配置或控制设备100和/或设备200的各种部件(例如,设备的软件部件和/或硬件部件,诸如当该实体可至少部分地产生或管理设备100和/或设备200时),以便在其希望在设备100上提供由发行方子系统300提供的凭据时并且/或者在此类供应凭据被用作来自设备100的交易凭据数据通信的一部分以用于为可能与设备200上的发行方子系统300所供应的凭据相关联的接收方用户帐户提供资金时并且/或者在设备100可具有(例如,经由DP应用程序113c)启用的任何设备保护服务以便通过设备保护子系统471促进任何合适的设备保护服务时,为设备100的用户提供更无缝的用户体验。例如,在一些实施方案中,设备100可被配置为与AE子系统400无缝地且对于设备100的用户透明地通信,以用于共享和/或接收可实现更高等级安全性的特定数据(例如,在设备100与发行方子系统300之间的基于在线的交易凭据数据通信期间和/或当设备100已被报告为丢失或被盗时)。虽然未示出,但是AE子系统400还可包括或访问处理器部件、通信部件、I/O界面、总线、存储器部件和/或电源部件,其可与设备100的此类部件相同或相似,其中的一个、一些或全部可至少部分地由AE子系统400的设备保护子系统471和凭据保护子系统491和交易保护子系统481中的一个、一些或每一个提供。
除了在第一设备100上供应至少一个交易凭据(例如,作为第一凭据SSD 154a的一部分并且具有凭据密钥155a′和凭据信息161a的第一用户凭据)之外,至少一个具有访问密钥155c的访问SSD 154c也可以被供应在设备100上,以便更安全地使设备100能够使用所供应的证书来与远程实体进行金融或其他安全交易。例如,访问数据可作为访问SSD 154c的至少一部分直接从AE子系统400提供在设备100上,并且可包括具有访问密钥155c的访问小应用程序153c。AE子系统400(例如,凭据保护子系统491)还可具有对访问密钥155c的访问权限(例如,以用于对由设备100使用访问密钥155c来加密的数据进行解密)。AE子系统400可负责管理访问密钥155c,这可包括此类密钥的生成、交换、存储、使用和替换。AE子系统400可在AE子系统400的安全元件中存储其版本的访问密钥155c。具有访问密钥155c的访问SSD 154c可被配置为确定设备100的用户的意图和本地认证(例如,经由设备100的一个或多个输入部件110,诸如生物测定输入部件),并且响应于此类确定,其可被配置为实现另一个特定SSD进行支付交易(例如,利用凭据SSD 154a或SSD 154b的用户凭据)。通过在设备100的安全元件145内存储此类访问SSD可提高其可靠地确定安全数据交易的用户意图和认证的能力。此外,可利用访问密钥155c来向可能在设备100的安全元件外部传送的任何交易凭据数据提供增强的加密。访问数据可包括安全元件145的ISD 152的发行方安全域(“ISD”)密钥156k,该安全元件也可被AE子系统400保持,并且可作为访问密钥155c的补充或替代使用(或设备100的访问密钥155a、155b、151k和158k中的一个或多个其他密钥)。类似地除了在第二设备200上供应至少一个交易凭据(例如,作为第一凭据SSD 254a的一部分并且具有凭据密钥255a′和凭据信息261a的第二用户凭据)之外,至少一个具有访问密钥255c的访问SSD 254c也可以被供应在设备200上,以便更安全地使设备200能够使用所供应的证书来与远程实体进行金融或其他安全交易。例如,访问数据可作为访问SSD 254c的至少一部分直接从AE子系统400提供在设备200上,并且可包括具有访问密钥255c的访问小应用程序253c。AE子系统400(例如,凭据保护子系统491)还可具有对访问密钥255c的访问权限(例如,以用于对由设备200使用访问密钥255c来加密的数据进行解密)。AE子系统400可负责管理访问密钥255c,这可包括此类密钥的生成、交换、存储、使用和替换。AE子系统400可在AE子系统400的安全元件中存储其版本的访问密钥255c。具有访问密钥255c的访问SSD254c可被配置为确定设备200的用户的意图和本地认证(例如,经由设备200的一个或多个输入部件,诸如生物测定输入部件),并且响应于此类确定,其可被配置为实现另一个特定SSD进行支付交易(例如,利用凭据SSD 254a或SSD 254b的用户凭据)。通过在设备200的安全元件245内存储此类访问SSD可提高其可靠地确定安全数据交易的用户意图和认证的能力。此外,可利用访问密钥255c来向可能在设备200的安全元件外部传送的任何交易凭据数据提供增强的加密。访问数据可包括安全元件245的ISD 252的发行方安全域(“ISD”)密钥256k,该安全元件也可被AE子系统400保持,并且可作为访问密钥255c的补充或替代使用(或设备200的访问密钥255a、255b、251k和258k中的一个或多个其他密钥)。应当理解,AR子系统400与设备100或设备200之一之间的任何共享密钥中的每一个可以是电子设备和AE子系统400的安全元件中的两个或相应一个可用的任何合适的共享秘密(例如,密码、密码短语、随机选择的字节阵列、一个或多个对称密钥、相应的公私密钥(例如,非对称密钥)等),这些共享秘密可操作以为了任何适当的安全目的,使任何合适的加密数据(例如,密码)或任何其他合适的数据能够由电子设备和AE子系统400独立地生成。
图4的描述
图4示出了相对于系统1的AE子系统400的各种实施方案的进一步细节。如图4所示,AE子系统400可以是安全平台系统,并可包括服务器410、在线商店420、安全移动平台(“SMP”)代理部件440、SMP可信服务管理器(“TSM”)部件450、SMP加密服务部件460、身份管理系统(“IDMS”)部件470、欺诈系统部件480和/或硬件安全模块(“HSM”)部件490。在一些实施方案中,可对AE子系统400的一个或多个部件进行合并或省略。此外,AE子系统400可包括未被合并或包括在图4中的其他部件。例如,AE子系统400可包括任何其他适当的部件或图4所示的部件的若干个实例。为了简单起见,图4中仅示出了每种部件中的一个部件。AE子系统400的一个部件、一些部件或所有部件可使用一个或多个处理器部件、一个或多个存储器部件和/或一个或多个通信部件来实现,其中这些处理器部件可与设备100的处理器部件102相同或类似,这些存储器部件可与设备100的存储器部件104相同或类似,这些通信部件可与设备100的通信部件106相同或类似。AE子系统400的一个部件、一些部件或所有部件可由可不同于并独立于发行方子系统300的单个管理或商业实体(例如,Apple Inc.)管理、由该单个管理或商业实体拥有、至少部分地由该单个管理或商业实体控制和/或以其他方式由该单个管理或商业实体提供。AE子系统400的部件可彼此交互,并且一起与发行方子系统300和/或电子设备100和/或电子设备200进行交互,以提供新的安全层和/或提供更无缝的用户体验。在一些实施方案中,设备保护子系统471、凭据保护子系统491和交易保护子系统481中的一个、一些或每个可包括其自身的处理部件、存储器部件、通信部件、商店420、SMP代理部件440、SMP TSM部件450、SMP加密服务部件460、IDMS部件470、欺诈系统部件480和/或HSM部件490。例如,设备保护子系统471、凭据保护子系统491和交易保护子系统481中的每一个可能是离散的子系统,它具有自己的处理部件,自己的存储部件(例如,自己的安全元件)以及自己的通信部件。
AE子系统400的SMP代理部件440可被配置为利用管理或商业实体用户账户来管理用户认证。SMP代理人部件440还可被配置为管理凭据在设备100和/或设备200上的生命周期和供应。SMP代理人部件440可为能够控制设备100和/或设备200上的用户界面元件(例如,GUI 180的元件)的主要端点。最终用户设备的操作系统或其他应用程序(例如,设备100的应用程序103、应用程序113和/或应用程序143,并且/或者设备200的应用程序203、应用程序213和/或NFC应用程序)可被配置为调用特定应用编程接口(“API”),并且SMP代理440可被配置为处理那些API的请求并利用可导出设备100和/或设备200的用户界面的数据作出响应和/或利用可与设备100的安全元件145和/或设备200的安全元件245进行通信的应用协议数据单元(“APDU”)作出响应。可由AE子系统400经由系统1的TSM(例如,AE子系统400和发行方子系统300之间的通信路径的TSM)从发行方子系统300接收此类APDU。AE子系统400的SMP TSM部件450可被配置为提供基于GlobalPlatform的服务或任何其他适当的服务,这些服务可用于从发行方子系统300在设备100和/或设备200上执行凭据供应操作。GlobalPlatform或任何其他适当的安全信道协议可使得SMP TSM部件450能够在设备100的安全元件145(或者设备200的安全元件245)与TSM之间适当地传送和/或供应敏感账户数据,以便在AE子系统400和发行方子系统300之间进行安全数据通信。
SMP TSM部件450可以被配置为使用HSM部件490来保护其密钥并生成新密钥(例如,密钥151k、155a-155c、156k、158k、251k、255a-255c、256k、258k等)。AE子系统400的SMP加密服务部件460可被配置为提供密钥管理和加密操作,这些操作可提供用于用户认证和/或系统1的各部件之间的保密数据传输。SMP加密服务部件460可利用HSM部件490以用于安全密钥存储和/或不透明加密操作。SMP加密服务部件460的支付加密服务可被配置为与IDMS部件470进行交互,以检索与文件上信用卡相关联的信息或与管理实体的用户账户相关联的其他类型的商业凭据。IDMS部件470或AE子系统400的任何其他合适的部件或子系统(例如,身份服务(“IDS”)子系统)可被配置为启用和/或管理设备100与一个或多个其他设备(例如,第二用户电子设备200)之间的任何合适的设备检测和/或通信,诸如身份服务(“IDS”)传输(例如,使用特定于管理实体的服务(或其他特定于实体的服务)(例如,AppleInc.的iMessageTM))。例如,某些设备可自动或手动注册此类服务(例如,AE子系统400的生态系统中的所有用户设备可自动注册该服务),例如,使用设备的唯一社交令牌(例如,与该设备相关联的电话号码)。此类服务可以提供端对端加密机制,该机制在实现设备检测之前和/或在可以使用该服务发送消息之前可能需要主动注册(例如,使用每个参与设备上的IDS应用程序(例如,IDS应用程序113d和213d),诸如标记有图3设备100GUI 180屏幕190的“消息传送”文本指示符181的图标184的消息传送应用程序)。此类IDS部件或子系统和/或AE子系统400的任何其他适当的服务器或部分可操作以识别或以其他方式查找在与给定用户账户等相关联的任何电子设备上提供的任何凭据的状态,使得AE子系统400可操作以高效且有效地识别一个或多个支付凭据,该一个或多个支付凭据可用于与特定用户账户相关联的特定设备(例如,家庭账户的多个主机设备与AE子系统400)。AE子系统400的欺诈系统部件480可被配置为基于管理实体已知的关于交易凭据和/或发送方用户和/或发送方用户设备和/或接收方用户和/或相关联的发送方用户设备的数据(例如,基于利用管理实体的与用户账户相关联的数据(例如,交易凭据信息)和/或可能在管理实体的控制下的任何其他合适的数据和/或可不在发行方子系统300的控制下的任何其他合适的数据)来对交易凭据进行管理实体欺诈检查。欺诈系统部件480可被配置为基于各种因素或阈值来确定针对凭据的管理实体欺诈评分。AE子系统400可包括商店420,其也可以是对设备100和/或设备200的用户的各种服务的提供商(例如,用于销售/租赁要由设备播放的媒体的iTunesTMStore、用于销售/租赁用于在设备上使用的应用程序的Apple App StoreTM等)。仅作为一个示例,商店420可被配置为管理应用程序113并且向设备100提供该应用程序,其中应用程序113可为任何合适的应用程序,诸如银行应用程序、SP应用程序、电子邮件应用程序、文本消息应用程序、互联网应用程序、卡管理应用程序、设备保护应用程序或任何其他适当的通信应用程序。服务器410可用于存储和/或处理任何合适的数据。例如,设备保护子系统471的服务器可以访问和处理任何合适的表或目录或数据结构473的任何合适的数据,而凭据保护子系统491的服务器可以访问和处理任何合适的表或目录或数据结构493的任何合适的数据,和/或交易保护子系统481的服务器可以访问和处理任何合适的表或目录或数据结构483的任何合适的数据。AE子系统400的通信设置495可使用任何合适的通信协议或通信协议的组合,以在AE子系统400的各部件之间传送数据并且/或者在AE子系统400和系统1的其他部件(例如,发行方子系统300和/或设备100和/或设备200(例如,经由通信设置9))之间传送数据。
图5的描述
图5是用于促进在用户账务之间资金转移的例示性过程500的流程图。过程500示出由第一设备100(例如,UI的和/或具有存储装置173(例如,存储器104和/或安全元件145)的发送方的设备100)、第二设备200(例如,U2的和/或具有存储装置273(例如,存储器204和/或安全元件245)的接收方的设备200)、CI子系统300(例如,具有目录或表或数据结构393的第一发行子系统(“第1IS”)391,具有目录或表或数据结构394的第二发行子系统(“第2IS”)392和网络目录或表或数据结构395)和AE子系统400(例如,具有DPS表473的设备保护子系统(“DPS”)471、具有TPS表483的交易保护子系统(“TPS”)481和具有CPS表493的凭据保护子系统(“CPS”)491)实施。然而,应当理解,过程500可使用任何其他合适的部件或子系统来实现。过程500可以提供无缝的用户体验,用于使用AE子系统400的设备保护子系统471和凭据保护子系统491安全且有效地促进与发送方设备100相关联的发送方资金帐户以及与社交标识符相关联的接收方后备帐户之间的后备转帐,同时通过防止AE子系统400在AE子系统400上存储可能将两个或多个特定用户或帐户具体地链接到特定转移的信息来限制隐私和/或安全漏洞的可能性。为了促进以下关于根据图5的过程500的用于促进用户账户之间的资金转移的系统1的操作的以下讨论,参考图1、图2、图2A、图2B和图4的示意图的系统1的各个部件,以及参考图4A-4H的各个系统表或目录或数据结构的内容。可利用多种图形元素和视觉方案来实现所述操作。因此,所描述的实施方案不旨在限于本文采用的特定用户界面约定。相反,实施方案可以包括多种用户界面样式,包括用于用户设备的至少部分或全部非可视用户界面样式。
在过程500的操作502中,可以在设备100与AE子系统400(例如,设备保护子系统471(如图所示)和/或凭据保护子系统491)之间交换任何合适的第一用户设备数据502d,用于以任何合适的方式向AE子系统400初始化、注册和/或验证设备100。如上所述,AE子系统400可以由任何合适的管理和/或商业实体提供,这些实体可以诸如经由到该管理实体的用户特定登录信息到用户特定帐户向任何用户设备(例如,设备100的用户U1和/或设备200的用户U2)的用户提供各种服务(例如,经由用户特定的标识和密码组合)。因此,在操作502中,设备100可以以任何合适的方式与AE子系统400处的用户U1的特定账户相关联。例如,设备100的用户U1可以在AE子系统400上登录其帐户(例如,使用设备100上的在线资源),其中用户U1可以输入第一用户标识符U1-ID,该第一用户标识符可以是可以唯一地识别到AE子系统400的第一用户U1的任何合适的数据和/或与其相关联的任何合适的第一用户密码数据U1-PW(例如,特定于用户的登录信息到该管理实体的特定于用户的帐户(例如,经由特定于用户的标识和密码组合等)),并且将该用户帐户数据与任何合适的设备注册标识符或任何合适的设备注册数据一起提供给AE子系统400,诸如设备100的唯一电子设备标识符ED1-ID(例如,分配给设备100的任何唯一标识符(例如,由AE子系统400分配),诸如在设备制造时)和/或与用于用户1的设备100相关联的至少一个社交标识符或社交令牌LT-1(例如,至少一个电话号码和/或电子邮件地址)(例如,任何合适的设备标识信息119),使得设备100的设备注册数据可以与AE子系统400(例如,设备保护子系统471)上用户U1的已验证特定用户帐户相关联。例如,如图4A所示,设备100的存储装置173可以包括第一用户标识符U1-ID和唯一电子设备标识符ED1-ID和社交令牌LT-1(例如,在存储装置173的一部分或条目173a中),并且如图4C所示,设备保护子系统471的DPS表473可以在操作502中通过针对用户U1的已验证用户账户数据存储设备100的唯一电子设备标识符ED1-ID和/或社交令牌LT-1(例如,第一用户标识符U1-ID和/或第一用户密码数据U1-PW)来更新,例如,通过将此类数据与DPS表473的第一链接数据条目473a中的任何合适的数据链路进行链接。应当理解,当将任何第一数据描述为针对任何第二数据进行存储时,可以与此类第二数据相关联地存储此类第一数据,使得在两个数据实例之间可能存在某种关系(例如,使得一个可以针对另一个解决和/或使得一个可以使用另一个来识别)。AE子系统400可操作以在设备保护子系统471处将该设备注册数据与已验证的用户帐户链接之前,以任何合适的方式验证该设备100的任何或所有设备注册数据(例如,唯一的电子设备标识符ED1-ID和/或社交令牌LT-1)。
在过程500的一些实施方案中,除了针对AE子系统400的经验证的用户账户(例如,在设备保护子系统471处)存储设备100的设备注册数据之外,访问数据可以由AE子系统400(例如,由凭据保护子系统491)供应在设备100的安全元件145上(例如,在操作502中),以便更安全地使设备100能够进行资金转移。此类访问数据可以作为访问SSD 154c的至少一部分或全部在设备100的安全元件145上供应,并且可以包括访问小程序153c和/或访问密钥155c、用于ISD 152的ISD密钥156k和/或CRS 151的CRS 151k和/或CASD 158的CASD 158k和/或用于SSD 154a的访问密钥155a和/或用于SSD 155b的访问密钥155b,用于实现AE子系统400与设备100之间的安全传输(例如,用作AE子系统400与主机设备100之间的任何合适的商业实体密钥或共享秘密)。在一些具体实施中,可以在初始配置设备100时(例如,在将设备100出售给用户(例如,用户U1)之前,通过AE子系统400)执行此类访问数据。另选地,可以响应于设备100的用户最初设置NFC部件120的安全元件145而至少部分地执行此类访问数据。
在操作504中,设备100可提示或以其他方式使用户(例如,经由任何合适的用户界面)能够向安全元件145添加支付凭据。可以基于任何合适的事件在任何合适的时间以任何合适的方式(例如,经由设备100的任何合适的用户界面)提供此类提示。例如,当用户U1启动卡管理应用程序113b(例如“钱包”或“卡券簿”应用程序)时,该应用程序可以向用户提供提示数据,该提示数据可操作以询问用户是否要在设备100上提供新的凭据。另选地或附加地,当将新的应用程序(例如,新的操作系统应用程序(例如,应用程序103))加载到设备100上时,该应用程序可操作以提示用户注册该应用程序的新资金转移功能,这可能需要或建议向设备100添加至少一个凭据,或者以其他方式将凭据与设备100相关联(例如,与设备100的社交凭据)。又如,如果资金转移请求是由另一个设备(例如,设备200)发起的,该尝试指示试图将资金转移到由与设备100相关联的社会令牌(例如,社交令牌LT-1)标识的接收方,则AE子系统400可以指示设备100提示设备100的用户将凭据与设备100和/或至少与该社交令牌相关联,以便于资金的尝试转移(例如,如关于将凭据添加到设备200所更详细地描述的(例如,在操作543中))。
在操作506中,可以在设备100处生成第一用户凭据请求数据506d,并将其发送到AE子系统400(例如,到凭据保护子系统491),其中此类第一用户凭据请求数据506d可操作以请求在设备100上为第一用户U1供应一个或多个第一用户凭据。例如,当设备100的第一用户U1选择要在设备100上供应(例如,通过以任何合适的方式与设备100进行交互)的(例如,第一发行子系统391的)CI子系统300的特定第一用户凭据时,操作506可至少部分地进行。第一用户凭据请求数据506d可以包括待供应的第一用户凭据的任何合适的标识(例如,相关联实体或其他现有凭据(例如,实体信用卡等)的主要帐号(“PAN”)、PAN到期日、CVV等的至少一部分)和/或根据由AE子系统400启用的新的资金转移特征来接受待添加的默认凭据的新类型(例如,待为设备100创建的新存储值凭据),第一用户标识符U1-ID可以是可以唯一地标识AE子系统400的第一用户U1、设备100的唯一电子设备标识符ED1-ID等的任何合适的数据。
在操作508中,AE子系统400(例如,凭据保护子系统491)可以接收第一用户凭据请求数据506d并对其进行处理,以便生成第一用户凭据请求数据508d并将其发送到凭据发行方子系统300的适当的发行子系统,用于进一步将所请求的凭据供应到设备100上的过程。在一些实施方案中,除了第一用户凭据请求数据506d中的可以识别待供应的凭据的任何数据之外,第一用户凭据请求数据508d可以包括任何合适的数据。例如,凭据保护子系统491可操作以确定(例如,生成和/或获得(例如,从凭据发行方子系统300或从设备100))唯一的用户凭据标识符(例如,唯一的用户凭据标识符PID-1a),该唯一的用户凭据标识符可以向AE子系统400唯一地识别在设备100上供应的用户凭据,但是仅此一项可能无法使该唯一用户凭据标识符的持有人能够利用该用户凭据为交易提供资金。此类唯一的用户凭据标识符可以是任何合适大小的任何合适的数据元,诸如8或9个字符的字母数字字符串,可以由AE子系统400或以其他方式(例如,由设备100或CI子系统300)随机或唯一地生成,以与指示第一用户U1(例如,第一用户标识符U1-ID)的任何合适数据相关联,并且/或者是指示可以与用户凭据请求数据506d的新凭据供应请求相关联的设备100的任何合适的数据(例如,唯一的电子设备标识符ED1-ID)。例如,如图4D所示,凭据保护子系统491的CPS表493可以在操作508中通过针对被请求在设备100上供应的凭据的唯一用户凭据标识符PID-1a存储具有或不具有唯一电子设备标识符ED1-ID的第一用户标识符U1-ID而被更新,例如,通过将此类数据与CPS表493的第一链接数据条目493a中的任何合适的数据链路进行链接。在一些实施方案中,与设备100相关联的经验证的社交令牌(例如,LT-1)可以由CPS 491针对请求在设备100上供应的凭据的唯一用户凭据标识符PID-1a和/或针对具有或不具有唯一电子设备标识符ED1-ID的第一用户标识符U1-ID(例如,在操作508中的CPS表493的第一链接数据条目493a中)存储。在此类实施方案中,经验证的社交令牌可以包括在用户凭据请求数据506d中,或者CPS 491可以独立地从DPS 471(例如,使用数据506d的U1-ID和/或ED1-ID从表473中)获取经验证的社交令牌。另选地,此类经验证的社交令牌可以仅由AE子系统400的DPS471存储(例如,在操作502中的DPS表473的数据条目473a中)。可以从AE子系统400传送到CI子系统300的第一用户凭据请求数据508d可以包括来自AE子系统400的指示第一设备100的任何合适的数据,诸如U1-ID、ED1-ID和/或LT-1(例如,与待在其上供应新凭据的设备100关相联的已验证社交令牌)。已验证的社交令牌(例如,LT-1)可能会或可能不会由CPS 491存储(例如,在数据条目473a中)。另选地,可以从AE子系统400(例如,CPS 491)传送到CI子系统300的第一用户凭据请求数据508d可以不包括与待在其上供应新凭据的设备100(例如,LT-1)相关联的已验证的社交令牌。在这样的实施例中,CI子系统300(例如,在表393的条目393a中和/或在网络表395的条目395a中)可以通过独立于CPS 491的任何合适的技术可以或可以不获得或存储此类经经验证的社交令牌(例如,LT-1)(例如,通过直接与设备100或设备100的用户1通信(例如,可以由第一用户凭据请求数据508d的任何合适的信息(例如,U1-ID、ED1-ID、PID-1a等)和/或CI子系统30已经可以访问的任何其他信息识别(例如,由于将资金帐户与用户相关联(例如,与由数据506d识别的PAN相关联的帐户))))。在操作508中,AE子系统400可以确定CI子系统300的目标发行子系统将接收第一用户凭据请求数据508d(例如,基于从设备100处接收到的第一用户凭据请求数据506d的任何合适的目标发行子系统信息和/或基于AE子系统400使用的任何其他合适的信息,诸如AE子系统400可以选择CI子系统300的适当目标发行子系统,AE子系统400可以选择该目标发行子系统来代表设备100的用户生成资金帐户(例如,将为用户创建新的存储值帐户)),然后可以向CI子系统300的目标发行子系统发送第一用户凭据请求数据508d。
在操作510中,第一用户凭据请求数据508d可以由CI子系统300接收并由其处理(例如,由目标发行子系统391),以便在设备100上供应所请求的用户凭据,同时还将用户凭据与CI子系统300的特定资金帐户相关联,并且同时还与AE子系统400共享指示资金帐户的唯一信息。例如,从AE子系统400传送到CI子系统300的第一用户凭据请求数据508d可操作以指示CI子系统300(例如,适当的发行子系统):(i)识别现有的资金帐户或使用将与待在设备100上供应的用户凭据相关联的唯一帐户令牌(“AT”)建立新的资金帐户,(ii)获得可以在设备100上供应并且与CI子系统300上的帐户及其唯一帐户令牌相关联的唯一发送令牌(“AT”),以及(iii)获得可以与AE子系统400共享并且与CI子系统300上的帐户及其唯一帐户令牌相关联的唯一的接收令牌(“RT”)。发送令牌ST可以是任何合适大小的任何合适数据元,其可以由CI子系统300随机或唯一地生成或以其他方式由其获得,以与基金账户的账户令牌AT相关联。例如,发送令牌ST可以是DPAN或可以包含DPAN(例如16至19个字符的令牌,该令牌可能类似于可能与各种卡网络兼容的信用卡/借记卡卡号)和/或设备帐户参考(“DAR”)(例如,格式明确的字符串,其中可能包含全局唯一标识符(“GUID”),或者通用唯一标识符(“UUID”)(例如,可用于识别一个或多个资源的128位整数),并且/或者可以识别特定来源(例如,发行子系统)的代码(例如,银行代码))。发送令牌可以用于在CI子系统300的发送方发行子系统处识别和认证发送方(例如,来自在发送方用户设备上供应的凭据的凭据数据),用于发起从发送方资金账户到另一资金账户的资金转移,其中发送令牌可以是特定于设备的令牌,其可以唯一地识别发送方设备与资金账户的关系。接收令牌RT可以是任何合适大小的任何合适数据元,其可以由CI子系统300随机或唯一地生成或以其他方式由其获得,以与基金账户的账户令牌AT相关联。例如,接收令牌RT可以是或可以包括接收方主要帐号(“RPAN”)(例如,16至19个字符的令牌,该令牌可能类似于可能与各种卡网络兼容的信用卡/借记卡卡号)和/或DAR,其中接收令牌信息本身可以是用户匿名的和/或帐户匿名的,使得接收令牌可能无法单独识别特定用户或特定资金帐户。接收令牌可以在将相关联的发送令牌供应到发送方设备上时生成。
第一用户凭据请求数据508d可操作以使第一发行子系统391能够识别由发行子系统391维护的现有资金帐户(例如,与用户U1在操作506中识别的信用卡凭据相关联的资金帐户)或生成新的资金帐户(例如,新的存储值帐户或其他方式),其中该资金帐户可操作以存储和/或传输和/或接收资金,并且可以至少部分地由任何合适的唯一帐户令牌AT-1a(例如,任何合适的资金主要帐号(“F-PAN”))定义。在操作510中,CI子系统300可以生成和/或获得唯一的发送令牌ST-1a和唯一的接收令牌RT-1a,用于与资金帐户的帐户令牌AT-1a相关联,该账户令牌与被请求在设备100上供应的用户凭据相关联,然而其中唯一接收令牌RT-1a和唯一发送令牌ST-1a中的每一个都可能不与子系统391的另一个帐户令牌相关联。例如,如图4F所示,第一发行子系统391的CI表393可以在操作510中通过针对唯一账户令牌AT-1a存储唯一发送令牌ST-1a和接收令牌RT-1a来更新,例如,通过将此类数据与CI表393的第一链接数据条目393a中的任何合适的数据链路进行链接。在一些实施方案中,在操作510中,也可以针对AT-1a、ST-1a和/或RT-1a存储来自第一用户凭据请求数据508d的任何合适的信息,诸如请求在设备100上供应的凭据的唯一用户凭据标识符PID-1a、第一用户标识符U1-ID、唯一电子设备标识符ED1-ID和/或任何合适的社交令牌,这些令牌可能与凭据的所有者或已验证的用户相关联,该凭据与由帐户令牌AT-1a识别的资金帐户相关联(例如,可由AE子系统400提供的设备100的社交令牌LT-1(例如,在数据508d中)和/或可由CI子系统300验证的、独立于AE子系统400的任何社交令牌),例如,通过将此类数据与CI表393的第一链接数据条目393a中的任何合适的数据链路进行链接。在一些实施方案中,不是由AE子系统400生成并且与CI子系统300共享(例如,在操作508中),而是可以由CI子系统300(例如,在操作510处)生成请求在设备100上供应的凭据的唯一用户凭据标识符PID-1a,然后与AE子系统400共享(例如,在操作512中作为数据512d的一部分)。
在操作512中,可以将第一用户凭据响应数据512d从CI子系统300(例如,第一发行子系统391)发送到AE子系统400(例如,凭据保护子系统491),其中第一用户凭据响应数据512d可以至少包括唯一的接收令牌RT-1a,以便与AE子系统400共享链接到资金账户的唯一信息。接收令牌RT-1a对于AE子系统400可能是唯一的,并且可以由AE子系统400针对任何合适的其他数据进行存储,以供AE子系统400稍后使用,以促进用户账户之间资金的安全且有效转移(例如,数据512d的接收令牌RT-1a可以这样存储在AE子系统400中:AE子系统400可操作以使用特定社交令牌LT-1来识别接收令牌RT-1a,该社交令牌也与凭据请求中涉及的用户设备100相关联(例如,数据512d的接收令牌RT-1a可以直接针对社交令牌LT-1存储在AE子系统400的任何合适表中,并且/或者接收令牌RT-1a可以直接针对与用户设备100相关联的任何合适的第一用户设备数据存储在AE子系统400的第一表中(例如,在CPS 491表493的条目493a中)(例如,第一用户标识符U1-ID和/或唯一电子设备标识符ED1-ID和/或用户凭据标识符PID-1a),并且社交令牌LT-1可以直接针对相同的第一用户设备数据存储在AE子系统400的第二个表中(例如,在DPS 471的表473的条目473a中)(例如,第一用户标识符U1-ID和/或唯一电子设备标识符ED1-ID和/或用户凭据标识符PID-1a))),以便此类第一用户设备数据随后被AE子系统400用来识别社交令牌LT-1的接收令牌RT-1a(例如,在操作538和543中)。例如,在操作514中,AE子系统400(例如,凭据保护子系统491)可以针对在设备100上供应的凭据的唯一用户凭据标识符PID-1a和/或针对第一用户标识符U1-ID和/或在设备100的唯一电子设备标识符ED1-ID来存储接收令牌RT-1a。如上所述,在一些实施方案中,唯一用户凭据标识符PID-1a可以由CI子系统300生成,并且可以包括为在操作512中被传送给AE子系统400的第一用户凭据响应数据512d的一部分。例如,如图4D所示,凭据保护子系统491的CPS表493可以在操作514中通过针对在设备100上供应的凭据的唯一用户凭据标识符PID-1a以及具有或不具有唯一电子设备标识符ED1-ID的第一用户标识符U1-ID存储第一用户凭据响应数据512d的接收令牌RT-1a而被更新,例如,通过将此类数据与CPS表493的第一链接数据条目493a中的任何合适的数据链路进行链接。因此,CPS表493可以包括指示设备100的已验证用户的信息(即第一用户标识符U1-ID)与链接到但不是独立地指示CI子系统300上的资金帐户(即帐户令牌AT-1a)的唯一信息(即接收令牌RT-1a)之间的链路(例如,在第一链接数据条目493a中),它也与在设备100上供应的用户凭据(例如,发送令牌ST-1a)以及与该接收令牌相关联但并非独立地指示该接收令牌的其他唯一信息(即,唯一用户凭据标识符PID-1a)相关联,其中该链路可随后由过程500(例如,在操作543、544、545和546的一个或多个中)使用,以安全且有效地促进资金从一个用户帐户向另一用户帐户的转移。
作为操作512的附加或另选方案,在操作513中,可以将另选的第一用户凭据响应数据513d从第一发行子系统391发送到网络表395(例如,CI子系统300的表,或者系统1中的其他方式),其中另选的第一用户凭据响应数据513d可以至少包括唯一的接收令牌RT-1a,以便与网络表395共享指示资金帐户的唯一信息。接收令牌RT-1a对于网络表395可能是唯一的,并且可以针对任何合适的其他数据存储在网络表395中,以供网络表395以后使用,以促进用户帐户之间资金的安全和有效转移。例如,在操作513中,网络表395(例如,CI子系统300的一部分可能与CI子系统300的每个发行子系统不同,或者可能是CI子系统300的特定发行子系统的一部分或系统1的任何其他合适子系统(未示出))可以针对与账户令牌AT-1a的资金账户相关联的一个或多个社交令牌(例如,如由发行子系统391所验证的),诸如社交令牌LT-1,并且针对可以在网络表395上唯一识别第一发行子系统391(例如,接收令牌RT-1a的源)的唯一发行子系统标识符BID-1来存储接收令牌RT-1a。例如,如图4H所示,网络表395可以在操作513中通过针对第一发行子系统391的唯一发行子系统标识符BID-1和由第一发行子系统391提供的至少一个社交令牌LT-1和/或相关联的PID-1a来存储另选的第一用户凭据响应数据513d的接收令牌RT-1a而被更新,例如,通过将此类数据与网络表395的第一链接数据条目395a中的任何合适的数据链路进行链接。因此,网络表395可以包括指示设备100的已验证社交令牌的信息(即社交令牌LT-1)与链接到但不是独立地指示CI子系统300上的资金帐户(即帐户令牌AT-1a)的唯一信息(即接收令牌RT-1a)之间的链路(例如,在第一链接数据条目395a中),它也链接到在设备100上供应的用户凭据(即,发送令牌ST-1a)和其他指示该资金帐户的源发行子系统的唯一信息(即,第一发行子系统391的唯一发行子系统标识符BID-1),其中该链路可随后由过程500(例如,在操作547中)使用,以安全且有效地促进资金从一个用户帐户向另一用户帐户的转移。网络表395的网络目录可以使用任何适当的社交令牌(例如,电子邮件地址、移动电话号码等)使得能够在相同或不同金融机构的客户与支付服务提供商之间方便地进行资金转移。发行子系统可以向该发行子系统的特定资金帐户的特定帐户令牌注册用户的一个或多个社交令牌,并且可以用作网络目录中的配置文件标识。
在操作516中,在一些实施方案中,经由AE子系统400(例如,经由CPS 491),可以通过CI子系统300的第一发行子系统391在设备100上供应第一用户凭据数据516d。例如,可以直接从第一发行子系统391至少部分地在设备100的安全元件145上供应此类第一用户凭据数据516d。此类第一用户凭据数据516d可以至少部分地作为第一凭据SSD 154a的至少一部分或全部供应在安全元件145上,并且可以包括具有凭据信息161a和/或凭据密钥155a′和/或密钥155ak的凭据小应用程序153a。在一些实施方案中,第一用户凭据数据516d还可包括访问密钥155a,该访问密钥可从AE子系统400向发行方子系统300初始提供和/或可由AE子系统400添加。此类第一用户凭据数据516d可以包括发送令牌ST-1a(例如,与CI子系统300上的资金帐户的帐户令牌AT-1a(例如,F-PAN)相关联的唯一标识符,并且可以具体用于在特定用户设备上供应支付凭据)作为被供应的支付凭据的凭据信息的至少一部分(例如,小应用程序153a的凭据信息161a)、AID(例如,在SSD 154a上供应支付凭据数据的小应用程序153a的AID 155aa)、SSD标识符和/或SSD计数器。此外,在一些实施方案中,此类第一用户凭据数据516d可以包括与但不指示与发送令牌ST-1a相关联的接收令牌(即,唯一用户凭据标识符PID-1a)相关联的其他唯一信息,该信息可以最初从设备100提供给AE子系统400(例如,在操作506中)和/或最初从AE子系统400提供给发行方子系统300(例如,在操作508中)和/或可以由AE子系统400添加(例如,在操作516中)。例如,如图4A所示,设备100的存储装置173可以被更新为包括与唯一的用户凭据标识符PID-1a链接或针对该唯一的用户凭据标识符存储的发送令牌ST-1a(例如,在存储装置173的一部分或条目173b中,其可以跨越设备100的安全元件145和存储器104),其中该链路可稍后由处理500使用(例如,在操作544中,如相对于设备200的存储装置273的类似条目273a所述),以安全且有效地促进资金从一个用户帐户到另一用户帐户的转移。应当理解,发送令牌ST-1a在本文中可以被认为或以其他方式称为“虚拟”凭据或虚拟PAN或设备PAN(“D-PAN”)或可以在设备100上供应的发送设备PAN(“SD-PAN”),而不是用户的“实际”凭据或实际PAN或资金PAN(“F-PAN”)(例如,帐户令牌AT-1a)。例如,一旦确定待将凭据供应在设备100上,便可请求(例如,由发行方子系统300、由AE子系统400和/或由设备100的用户)生成虚拟凭据(而非实际凭据)、链接到实际凭据并被供应在设备100上,以便以后在资金交易中使用。类似地,应当理解,接收令牌RT-1a在本文中可以被认为或以其他方式称为“虚拟”凭据或虚拟PAN或者可以由CI子系统300与AE子系统400和/或与网络表395共享的接收PAN(“R-PAN”),而不是用户的“实际”凭据或实际PAN或资金PAN(“F-PAN”)(例如帐户令牌AT-1a)。例如,一旦确定待将凭据提供在设备100上,便可请求(例如,由发行方子系统300、由AE子系统400和/或由设备100的用户)生成虚拟接收凭据(而非实际凭据)、链接到实际凭据并与AE子系统400和/或表395共享,以便以后在资金交易中使用。一个或多个虚拟凭据与实际凭据的此类创建和链接可以由发行方子系统300的任何合适的部件执行。例如,发行方子系统300的网络子系统(例如,可能与实际凭据的品牌相关联的特定支付网络子系统)可以定义该链接并将其存储在表393中,该链接可以在实际凭据与至少一个虚拟凭据之间创建相关联,使得任何时候只要使用虚拟凭据(例如,发送令牌和/或接收令牌)为交易提供资金,支付网络子系统就可以接收授权或验证请求,或者以其他方式尝试验证任何接收到的指示该虚拟凭据的数据(例如,在操作548至552中的一项或多项中)并且可以按照由表393确定的与虚拟凭据相关联的实际凭据对该验证尝试请求进行分析。另选地,此类表可以被适当的发行子系统(例如,发行子系统391或392)或CI子系统300可访问的任何其他适当的子系统访问和/或类似地利用或以其他方式使用。通过在设备100和/或AE子系统400上供应虚拟凭据而非实际凭据,CI子系统300可被配置为限制在未授权用户拦截虚拟凭据时可能导致的欺诈活动,因为支付网络子系统或发行子系统可仅被配置为在特定交易期间利用表393来将虚拟凭据链接到实际凭据,诸如当CI子系统300从AE子系统400处接收到虚拟凭据时。
可以类似地(例如,经由AE子系统400)从第一发行子系统391和/或从第二发行子系统392在设备100上供应一个或多个附加凭据。虽然可以相对于从第一发行子系统391(例如,经由AE子系统400)在设备100的SSD 154a上供应第一支付凭据来描述操作504至516,该第一支付凭据可能包括生成和/或存储在存储装置173的条目173b、表493的条目493a、表393的条目393a和表395的条目395a中的一个或多个中的AT-1a、ST-1a、RT-1a、PID-1a、U1-ID、ED1-ID、LT-1、BID-1等中的各种,但是应当理解,可以在设备100上供应两个或更多个支付凭据。例如,尽管未在图5中示出,但是过程500可以包括类似于操作504至516的操作的至少一个另外的迭代,这些操作可以在设备100上供应至少一个另外的支付凭据。仅作为一个特定示例,可以从第一发行子系统391(例如,经由AE子系统400)在设备100的SSD 154b上供应第二凭据,该第二凭据可以包括生成和/或存储在存储装置173的条目173c、表493的条目493b、表393的条目393b和表395的条目395b中的一个或多个中的AT-1b、ST-1b、RT-1b、PID-1b、U1-ID、ED1-ID、LT-1、BID-1等的各种,其中第二帐户令牌AT-1b可以与第一帐户令牌AT-1a类似地使用,但具有不同的值,第二发送令牌ST-1b可以与第一发送令牌ST-1a类似地使用,但具有不同的值,第二接收令牌RT-1b可以与第一接收令牌RT-1a类似地使用,但具有不同的值,并且第二唯一用户凭据标识符PID-1b可以与第一唯一用户凭据标识符PID-1a类似地使用,但具有不同的值。
可以类似地(例如,经由AE子系统400)从第一发行子系统391和/或从第二发行子系统392在设备200上供应一个或多个凭据。虽然可以相对于向AE子系统400注册第一用户U1和设备100,然后从第一发行子系统391(例如,经由AE子系统400)在设备100的SSD 154a上供应第一支付凭据来描述操作502至516,该第一支付凭据可能包括生成和/或存储在存储装置173的条目173a和173b、表473和条目473a、表493的条目493a、表393的条目393a和表395的条目395a中的一个或多个中的AT-1a、ST-1a、RT-1a、PID-1a、U1-ID、U1-PW、ED1-ID、LT-1、BID-1等中的各种,但是应当理解,第二用户U2和设备200可以向AE子系统400注册,并且可以在设备200上类似地供应一个或多个支付凭据。例如,如操作518至532所示,这些操作可能类似于操作502至516,设备200和用户U2可以向AE子系统400注册(例如,使用U2-ID、U2-PW、ED2-ID和/或LT-2)并且可以从第二发行子系统392(例如,经由AE子系统400)在设备200的SSD 254a上提供支付凭据,该支付凭据可以包括生成和传送的数据518d、522d、524d、528d、529d和/或532d中的各种以及生成和/或存储在设备200的存储装置273的条目273a和273b、表473的条目473b、表493的条目493c、第二发行子系统392的表394的条目394a和表395的条目395c中的一个或多个中的AT-2a、ST-2a、RT-2a、PID-2a、U2-ID、U2-PW、ED2-ID、LT-2、BID-2等中的各种,其中用户U2的第二用户标识符U2-ID可以与用户U1的第一用户标识符U1-ID类似地使用,但具有不同的值,用户U2的第二用户密码数据U2-PW可以与用户U1的第一用户密码数据Ui-PW类似地使用,但具有不同的值,设备200的第二唯一电子设备标识符ED2-ID可以与设备100的第一唯一电子设备标识符ED1-ID类似地使用,但具有不同的值,并且设备200的第二社交令牌LT-2可以与设备100的第一社交令牌LT-1类似地使用,但具有不同的值。
可以类似地(例如,经由AE子系统400)从第一发行子系统391和/或从第二发行子系统392在设备200上供应一个或多个附加凭据。虽然可以相对于从第二发行子系统392(例如,经由AE子系统400)在设备200的SSD 254a上供应第一支付凭据来描述操作520至532,该第一支付凭据可能包括生成和/或存储在存储装置273的条目273b、表493的条目493c、表394的条目394a和表395的条目395c中的一个或多个中的AT-2a、ST-2a、RT-2a、PID-2a、U2-ID、ED2-ID、LT-2、BID-2等中的各种,但是应当理解,可以在设备200上供应两个或更多个支付凭据。例如,尽管未在图5中示出,但是过程500可以包括类似于操作520至532的操作的至少一个另外的迭代,这些操作可以在设备200上供应至少一个另外的支付凭据。仅作为一个特定示例,可以从第一发行子系统391(例如,经由AE子系统400)在设备200的SSD 254b上供应另一个凭据,该第二凭据可以包括生成和/或存储在存储装置273的条目273c、表493的条目493d、表393的条目393c和表395的条目395d中的一个或多个中的AT-2b、ST-2b、RT-2b、PID-2b、U2-ID、ED2-ID、LT-2、BID-1等的各种,其中帐户令牌AT-2b可以与帐户令牌AT-2a类似地使用,但具有不同的值,发送令牌ST-2b可以与发送令牌ST-2a类似地使用,但具有不同的值,接收令牌RT-2b可以与接收令牌RT-2a类似地使用,但具有不同的值,并且唯一用户凭据标识符PID-2b可以与唯一用户凭据标识符PID-2a类似地使用,但具有不同的值。
因此,向AE子系统400注册的系统1的每个用户设备可以具有包括由CI子系统300的发行子系统在用户设备上供应的唯一发送令牌的支付凭据。每个发送令牌可以被链接到在CI子系统300处与唯一账户令牌和唯一接收令牌相关联的资金账户(例如,唯一资金账户)。在该发送设备上供应的发送令牌可以被该设备用来在CI子系统300上识别唯一链接的资金帐户,该帐户将用于为转移到另一个资金帐户的资金提供资金。每个资金账户的接收令牌可以在AE子系统400处链接到在AE子系统400处注册的一个或多个用户设备的一个或多个社交令牌。当在AE子系统400处识别社交令牌以用于帐户到帐户转移时,AE子系统400可以识别链接到该社交令牌的适当的接收令牌,然后可以与CI子系统300共享该接收令牌,使得CI子系统300可以使用接收令牌在CI子系统300处识别唯一链接的资金帐户,该帐户将用于接收帐户到帐户的转移中的资金。
可以通过用户设备的用户选择在该用户设备上供应的支付凭据、从与所选择的支付凭据相关联的资金账户中挑选待转移的资金金额、并且识别可以与另一个用于接收资金转移的资金账户相关联的接收方的社交令牌而发起资金转移。例如,在过程500的操作534中,第一或发送方设备100可以提示或以其他方式使用户U1(例如,经由任何合适的用户界面)能够选择在设备100上供应的支付凭据(例如,在SSD 154a上供应的第一付款凭据中的一个,该凭据可以包括发送令牌ST-1a(例如,在设备100的存储装置173的条目173b中),它可以在第一发行子系统391(例如,在子系统391的表393的表条目393a中)处链接到特定帐户的帐户令牌AT-1a的密钥,以及在SSD154b上供应的第二支付凭据,该凭据可以包括发送令牌ST-1b(例如,在设备100的存储装置173的条目173c中),它可以在第一发行子系统391(例如,在子系统391的表393的表条目393b中)处链接到另一个特定帐户的帐户令牌AT-1b)以及从与所选支付凭据相关联的帐户中挑选待转移的资金金额以及识别可以与另一个帐户相关联的接收方的社交令牌,以接收待转移的资金。可以基于任何合适的事件或在用户的判断下,在任何合适的时间以任何合适的方式(例如,经由设备100的任何合适的用户界面)提供此类提示。例如,当用户U1启动卡管理应用程序113b时(例如,“钱包”或“卡券簿””应用程序(例如,当选择了由图3的特定图标185指示的“钱包”应用程序时)),该应用程序可能会向用户提供提示数据,该提示数据可操作以询问用户是否要使用预供应的凭据来向特定用户转移资金,例如,在其中,连同选择特定的预供应支付凭据(例如,发送令牌ST-1a或发送令牌ST-1b)一起,用户可以输入或以其他方式选择特定金额的资金(例如,50美元),并且用户可以输入或以其他方式选择(例如,从联系人应用程序或设备100可用的其他合适数据源的下拉列表或UI中)至少特定社交令牌或与特定社交令牌相关联的接收方标识符。另选地或附加地,当用户U1在设备100上正在使用IDS应用程序113d(例如,“消息传送”或其他合适的通信应用程序(例如,在由图3的特定图标184指示的“消息传送”应用程序之后))来从设备100向由特定社交令牌(例如,特定电话号码或电子邮件地址等)识别的特定其他用户进行通信,该特定社交令牌可以由消息传送应用程序使用以定位其他用户(例如,接收方用户)(例如,经由与社交令牌LT-2相关联的识别200上的IDS应用程式213d),设备100的消息传送应用程序可以向用户(例如,发送方用户)提供提示数据,该提示数据可操作以询问用户是否要使用预供应的凭据将资金转移到当前正在经由该消息传送应用程序与之通信的特定用户(例如,接收方用户),例如,在其中,连通识别要向与该消息传送应用程序当前所针对的社交令牌相关联的帐户发送资金,用户可以输入或以其他方式选择特定金额的资金(例如,50美元),并且用户可以选择(例如,来自钱包应用程序或设备100可用的其他合适数据源的下拉列表或UI)设备100的特定供应支付凭据,该凭据将用于为资金转移提供资金(例如,发送令牌ST-1a或发送令牌ST-1b)。另选地或附加地,可以经由任何合适的用户界面场景,诸如在电子邮件或任何其他合适的通信介质中,以任何其他合适的方式来识别将由设备100发起的资金转移的详情。
在过程500的剩余操作的大部分描述中可以使用的过程500的一个特定示例中,可以在设备100中在第一发行子系统391处由账户令牌AT-1a所识别的资金账户(例如,参见图4F的表393的条目393a)与在第二发行子系统392由账户令牌AT-2a所识别的资金账户(例如,参见图4G的表394的条目394a)之间发起50美元的资金转移。例如,设备100的用户U1(例如,在操作534中)可以识别应该从与在发送方设备100的SSD 154a上供应的所识别的第一支付凭据相关联的发送方资金帐户(例如,在包括发送令牌ST-1a的设备100上供应的支付凭据(参见例如,图4A的设备100的存储装置173的条目173b))转移到与所识别的社交令牌LT-2相关联的接收方帐户的金额50美元(例如,可能与用户U1已知的联系人相关联并且可以在AE子系统400处注册给用户2和设备200的电话号码(例如,参见图4B的存储装置273的条目273a和/或图4C的表473的条目473b))
一旦识别出在设备100上供应的支付凭据用于在操作534中为资金转移以及将要转移的资金金额以及可操作以识别与用于接收待转移的资金的账户相关联的社交令牌的任何合适的接收方信息提供资金,在操作536中,可以生成任何合适的第一用户设备转移资金请求数据536d并将其从设备100传输(例如,发送至AE子系统400),以执行转移。继续上文提到的用于在第一发行子系统391处从由账户令牌AT-1a识别的资金账户(例如,参见图4F的表393的条目393a)和在第二发行子系统392处从由账户令牌AT-2a识别的资金账户(例如,参见图4G的表394的条目394a)中转移50美元的特定示例,这是由于设备100的用户U1识别了待从发送方资金帐户转移的50美元,该发送方资金账户与在发送方设备100的SSD154a上供应的支付凭据相关联,包括将令牌ST-1a发送到与所识别的社交令牌LT-2相关联的接收方帐户,特定的第一用户设备转移资金请求数据536d可以在指示此类转移请求的设备100处生成并从该设备传输。即,例如,设备转移资金请求数据536d可以包括指示所选的50美元价值的任何合适的资金金额数据、指示所选的社交令牌LT-2的任何合适的接收方标识数据、以及指示包括指示包括SSD 154a的发送令牌ST-1a的设备100上的所选的供应支付凭据的任何合适的发送方设备支付凭据数据。例如,由设备100生成的设备转移资金请求数据536d的此类发送方设备支付凭据数据可以包括可操作以安全地证明对设备100的特定安全元件凭据(例如,设备100的安全元件145的SSD 154a的凭据)的正确所有权以及用该凭据进行支付所必需的任何合适的数据,包括但不限于:(i)令牌数据(例如,发送令牌ST-1a(例如,虚拟DPAN),带有或不带有SSD 154a的任何其他合适数据,诸如PAN到期日期、卡安全码(例如,卡验证码(“CVV”))和/或与SSD 154a的凭据信息161a的凭据相关联的名称和/或地址);以及(ii)加密数据(例如,可以由安全元件145使用SSD 154a和发行方子系统300的共享秘密(例如,第一发行方子系统391的凭据密钥155a′)生成的密码)和任何其他合适的信息(例如,令牌数据中的一些或全部、信息识别设备100(例如,ED1-ID)、识别所选的转移金额的信息(例如,50美元)、任何合适的计数器值、随机数等),可能对设备100可用,也可能对发行方子系统300可用,以使用共享秘密独立生成加密数据(例如,以验证来自设备100的发送方设备支付凭据数据(例如,在操作548中)))。
如果用户U1愿意并且能够选择或确认设备100的特定支付凭据以用于为潜在交易提供资金,则操作536可以接收设备100的用户U1的意图和认证,以通过与设备100进行任何适当的用户交互来使用所选的支付凭据。访问SSD 154c可以利用或以其他方式使用设备100的小应用程序153c来确定是否已经进行了此类认证,然后才允许其他SSD 154(例如,凭据SSD 154a)用于在设备转移资金请求数据通信中启用其凭据信息。仅作为一个示例,访问SSD 154c的小应用程序153c可被配置为确定设备100的用户的意图和本地认证(例如,经由一个或多个输入部件110诸如可与设备100的任何应用程序(例如,设备100的卡管理应用程序113b)进行用户交互所使用的图3的生物测定输入部件110i),并且响应于此类确定,其可被配置为使得另一个特定SSD能够进行支付交易(例如,利用凭据SSD 154a的支付凭据)。接下来,一旦已经接收到针对特定支付凭据的意图和认证,则操作536可以包括设备100生成、加密和传输设备转移资金请求数据536d,以供AE子系统400使用。一旦已选择、认证和/或启用设备100的安全元件145上的特定支付凭据SSD 154a以在交易中使用,设备100的安全元件145(例如,NFC部件120的处理器模块142)便可生成并且加密所选择的支付凭据的特定凭据数据以供AE子系统400使用。例如,如上所述,设备转移资金请求数据536d的发送方设备支付凭据数据可以由所选的SSD 154a生成,以包括指示发送令牌ST-1a的任何合适的令牌数据和可以用凭据密钥155a′生成和/或至少部分加密的加密数据,使得此类加密的发送方设备支付凭据数据只能由有权访问该证书密钥155a′(例如,发行方子系统300的第一发行子系统391)的实体解密,以访问发送方设备支付凭据数据。在一些实施方案中,一旦在操作536中已经使用凭据密钥155a′将凭据SSD 154a的该发送方设备支付凭据数据中的一些或全部加密为CI加密的发送方设备支付凭据数据(例如,指示所选的50美元价值的任何合适资金金额数据、指示所选社交令牌LT-2的任何合适的接收方标识数据、指示ED1-ID和/或U1-ID的任何合适的发送方设备数据、任何适当的任务授权密钥(例如,设备100的任何适当的唯一标识符(例如,设备转移唯一标识符FX1-ID)和所选社交令牌LT-2的任何适当的散列),可以为当前交易的发送方设备100和接收方社交令牌LT-2的特定组合提供唯一密钥等),则在操作536中,可以通过访问信息(例如,通过SSD 154a的访问密钥155a、访问SSD154c的访问密钥155c、ISD密钥156k和/或CRS 151k和/或由CASD 158k签名)将CI加密的发送方设备支付凭据数据单独或与任何其他适当的传输数据一起加密为AE加密的发送方设备付款凭据数据。例如,设备100的安全元件145(例如,NFC部件120的处理器模块142)可以使用访问信息不仅要加密将要转移的50美元资金和接收方社交令牌LT-2和/或ED1-ID和/或U1-ID和/或转移任务授权密钥的标识,而且还将SSD 154a的CI加密的发送方设备支付凭据数据转移为AE加密的发送方设备支付凭据数据。然后可以将所选SSD 154a的任何适当的发送方设备支付凭据数据(例如,令牌和加密数据)(例如,CI加密的发送方设备支付凭据数据(例如,由凭据密钥155a′加密),然后是否加密为AE加密的发送方设备支付凭据数据(例如,由访问密钥加密))与任何附加信息一起进行通信,诸如,待转移的50美元资金的标识和/或接收方社交令牌LT-2和/或ED1-ID和/或U1-ID的标识和/或转移的任务授权密钥的标识,如在操作536中,设备转移资金请求数据536d从设备100到AE子系统400。
因此,设备转移资金请求数据536d的至少一部分(例如,AE加密的发送方设备付款凭据数据)只能由有权访问用于AE加密的访问信息的实体解密(例如,访问密钥155a、访问密钥155c、ISD密钥156k、CRS 151k和/或CASD 158k),该访问信息生成了设备转移资金请求数据536d的任何AE加密的发送方设备支付凭据数据的AE加密(例如,AE子系统400),并且/或者设备支付资金请求数据536d的至少部分(例如,CI加密的发送方设备支付凭据数据)只能由有权访问用于CI加密的凭据密钥信息(例如凭据密钥155a′)的实体解密,该CI加密生成了设备转移资金请求数据536d的任何CI加密的发送方设备支付凭据数据的令牌(例如,CI子系统300)。此类设备转移资金请求数据536d可以在操作536中生成,然后被发送到AE子系统400,以确保任何此类设备转移资金请求数据536d首先已被加密,使得它不能被设备100的另一部分(例如,由处理器102)解密。即,至少可以将设备转移资金请求数据536d的发送方设备付款凭据数据加密为具有凭据密钥155a′的CI加密的发送方设备支付凭据数据,该访问密钥可能不会暴露于设备100的安全元件之外的任何部分或由其访问。此外,设备转移资金请求数据536d的至少一部分可以利用访问密钥被加密为AE加密的数据(例如,访问密钥155b、155c、156k、151k和/或158k(例如,在本文中称为“访问信息”)),该访问密钥可能不会暴露于设备100的安全元件之外的任何部分或由其访问。在一些实施方案中,可以通过潜在的接收方向发送方设备发送对资金的请求(例如,经由文本消息、电子邮件等)来发起转移,并且发送该请求的接收方的社交令牌和/或接收方的请求中识别的资金金额可以自动用于定义可以响应于该请求而发送的任何设备转移资金请求数据536d的一部分。在一些实施方案中,如上所述,设备转移资金请求数据536d可以至少部分地由设备100的用户可以与之交互的消息传送应用程序定义或使用消息传送应用程序进行通信。此类设备转移资金请求数据536d的至少一部分可以包括由用户选择用于通信的任何合适的消息传送数据(例如,字符、表情符号或图片数据),作为与资金一起被发送到接收方设备的消息的一部分。
设备转移资金请求数据536d可以由设备保护子系统471接收和处理,以便在操作538中生成所更新的设备转移资金请求数据538d并将其传输到凭据保护子系统491。此类操作538可以包括设备保护子系统471,该设备保护子系统从设备转移资金请求数据536d中识别出所选的接收方社交令牌,并且使用所识别的接收方社交令牌来识别与所识别的接收方社交令牌相关联的接收方用户标识符(例如,从设备转移资金请求数据536d中识别接收方社交令牌LT-2,然后将接收方用户标识符U2-ID识别为与设备保护子系统471(例如,在图4C的表473的条目473b中)处的该接收方社交令牌LT-2相关联(例如,针对其存储))。当将设备转移资金请求数据536d更新为更新的设备转移资金请求数据538d时,可以将所识别的设备转移资金请求数据536d的接收方社交令牌替换为所识别的接收方用户标识符,使得凭据保护子系统491可能不会接收到设备转移资金请求数据536d的接收方社交令牌(例如,使得接收令牌可能不会在凭据保护子系统491上链接到接收方社交令牌,但是相反,接收令牌可以在凭据保护子系统491处链接到AE子系统400的接收方用户标识符,它可能不会像接收方社交令牌那样单独显示接收方用户的身份(例如,为了防止AE子系统400的任何特定子系统将指示特定用户的信息链接到指示特定资金帐户的信息))。在一些实施方案中,在将所更新的设备转移资金请求数据538d传送给凭据保护子系统491之前,可以在操作538中使用设备保护子系统471可用的适当访问信息来解密设备转移资金请求数据536d的至少一部分(例如,数据536d的任何部分的至少一部分由设备100的任何访问信息加密)。附加地或另选地,在一些实施方案中,一旦接收到所更新的设备转移资金请求数据538d,就可以在操作538中使用可用于凭据保护子系统491的适当的访问信息来解密至少一部分所更新的设备转移资金请求数据538d(例如,数据536d的任何部分的至少一部分已由设备100的任何访问信息加密)。在操作536中与AE子系统400通信之前,使用访问信息在设备100处对至少一部分设备转移资金请求数据536d进行任何此类加密,作为AE加密的发送方设备支付凭据数据(例如,SSD 154a的访问密钥155a、访问SSD 154c的访问密钥155c、ISD密钥156k、CRS 151k和/或CASD 158k),随后在AE子系统400处用对方访问信息对此类信息进行任何此类解密,可以使设备100与AE子系统400之间的设备转移资金请求数据536d的至少一部分能够安全通信。
在操作543中,凭据保护子系统491可以处理所更新的设备转移资金请求数据538d的接收方用户标识符,以识别可以与凭据保护子系统491上所识别的接收方用户标识符相关联的至少一个接收令牌。例如,继续上文介绍的主要示例,其中所更新的设备转移资金请求数据538d的接收方用户标识符可以是接收方用户标识符U2-ID(例如,可以由设备保护子系统471识别为与设备转移资金请求数据536d的接收方社交令牌LT-2相关联的接收方用户标识符(例如,在表473的条目473b中)),然后,凭据保护子系统491可以在操作543中操作,以识别表493的条目493c中的接收令牌RT-2a和条目493d中的接收令牌RT-2b中的每一个都链接到所更新的设备转移资金请求数据538d的接收方用户标识符U2-ID。在此类实例中,当在凭据保护子系统491处识别出一个以上的接收令牌将与设备转帐资金请求数据的接收方用户标识符U2-ID相关联时,然后AE子系统400可以在操作544中可操作以与至少一个可以与该接收方用户标识符U2-ID相关联(例如,在AE子系统400处注册)的用户设备进行通信,以便确定(例如,提示此类设备的用户选择)与识别出的接收令牌相关联的接收方资金账户中的哪个接收方资金账户应当用于接收被转移的资金。例如,使用接收方用户标识符U2-ID和/或唯一电子设备标识符ED2-ID和/或唯一用户凭据标识符PID-2a和/或任何其他与条目493c的接收令牌RT-2a相关联的合适数据(例如,在表473和/或表493中),以及使用接收方用户标识符U2-ID和/或唯一电子设备标识符ED2-ID和/或唯一用户凭据标识符PID-2b和/或任何其他与条目493d的接收令牌RT-2b相关联的合适数据(例如,在表473和/或表493中),AE子系统400可以与设备200通信,以确定应使用设备200上供应的且与此类唯一用户凭据标识符PID-2a和PID-2相关联的支付凭据中的哪一个(例如,带有ST-2a的SSD 254a上的支付凭据和带有ST-2b的SSD 254b上的支付凭据之一)来确定将接收待转移资金的资金账户。可以通过经由设备200的任何合适的用户界面向设备200的用户提供任何合适的提示来实现此类确定(例如,经由推送通知或其他方式到卡管理应用程序213b等),该提示可以使设备200的用户能够选择性地选择那些所供应的支付凭据中的特定一个,以便将其相关联的资金帐户识别为接收待转移资金的帐户。设备200的此类选择可以将特定的唯一用户凭据标识符(例如,唯一用户凭据标识符PID-2a和PID-2b中的所选定的一个)返回给AE子系统400,然后凭据保护子系统491最终可以识别适当的接收令牌以用于进行资金交易(例如,如果设备200选择了与唯一用户凭据标识符PID-2a相关联的供应支付凭据,则在操作544中,可以将唯一的用户凭据标识符PID-2a传送回AE子系统400,并且设备保护子系统491可以利用与所选的唯一用户凭据标识符PID-2a相关联的接收令牌RT-2a(例如,来自条目493c)来继续进行资金交易,或者,另选地,如果设备200选择与唯一用户凭据标识符PID-2b相关联的供应支付凭据,则在操作544中,可以将唯一的用户凭据标识符PID-2b发送回AE子系统400,并且设备保护子系统491可以利用与所选的唯一用户凭据标识符PID-2b相关联的接收令牌RT-2b(例如,来自条目493d)继续进行资金交易)。在一些实施方案中,操作544的此类提示还可以使设备200的用户能够选择待在设备200上供应的新证书(例如,类似于操作520),并且然后设备200可以选择该新凭据的唯一用户凭据标识符,以传送给AE子系统400,用于识别与该新凭据的唯一用户凭据标识符相关联的接收令牌。另选地,如果操作543在设备200上已经供应任何凭据之前发生,使得在操作543中凭据保护子系统491(例如,表493中)不会识别任何接收令牌与所更新的设备转移资金请求数据538d的接收方用户标识符相关联,则操作544类似于操作520,使得可以提示与所更新的设备转移资金请求数据538d的接收方用户标识符相关联的一个或多个合适的用户设备(例如,设备200)在其上供应凭据,并且,在一些实施方案中,AE子系统400可以同时通知发送方设备100关于设备转帐资金请求数据536d的接收方社交令牌尚未与用于接收资金的账户相关联,并且系统1正在研究解决方案。在其他实施方案中,不是在操作544中与一个或多个接收方设备进行通信以确定应该使用多个所识别的接收令牌(例如,从表493中识别出的)中的哪一个来进行资金交易,AE子系统400可操作以应用一个或多个规则或设置以自动选择所识别的接收令牌之一以供使用(例如,使用预定义的默认和/或用户定制的和/或AE定制的设置)。例如,与多个接收令牌或AE子系统400相关联的用户可操作以定义一个或多个规则,以使用任何合适的因素自动选择多个接收令牌中的一个,这些因素诸如与发送方(例如,发送方用户或发送方发行子系统)相关联的任何标识符、转移金额、一天中的当前时间、星期几、一年中的某月份或其他任何转移特征。
一旦凭据保护子系统491识别出单个特定的接收令牌,该令牌与所更新的设备转移资金请求数据538d的接收方用户标识符相关联(例如,在操作543中,具有或不具有操作544),则在操作546中凭据保护子系统491可以将该特定接收令牌与所更新的设备转移资金请求数据538d的至少一部分一起作为AE转移资金请求数据546d传达给适当的目标发行子系统。例如,继续下文的示例,在该示例中,凭据保护子系统491可以将接收令牌RT-2a(例如,表条目493c的令牌)识别为待用于进一步转移的特定接收令牌,然后,在操作546中,可以将接收令牌RT-2a与来自所更新的设备转移资金请求数据538d的任何合适的数据一起作为数据546d传送到特定的发行子系统。凭据保护子系统491可以在操作546中通过分析来自数据538d的任何合适的信息来识别接收此类数据546d的目标发行子系统,该凭据保护子系统可以指示负责与设备100上的已供应的支付凭据相关联的帐户的发行子系统,该帐户由数据536d识别为用于获取转移资金的帐户(例如,第一发行子系统391,其可以与数据536d的发送方设备的支付凭据数据的发送令牌ST-1a相关联)。AE转移资金请求数据546d可以包括在操作543/544中识别的特定接收令牌(例如RT-2a)以及任何合适的数据536d,诸如指示所选50美元价值的资金金额数据,以及指示设备100上所选的供应支付凭据的任何合适的发送方设备支付凭据数据,包括SSD 154a的发送令牌ST-1a(例如,CI加密的发送方设备支付凭据数据(例如,ST-1a令牌数据和加密数据))。在一些实施方案中,在操作546将数据546d传送到目标发行子系统391之前,在操作545中凭据保护子系统491可以使用凭据保护子系统491和目标发行子系统391的任何合适的共享秘密(例如,可以在任何适当的先前操作(例如,在操作508和/或512或其他情况下)建立的任何共享秘密)来加密此类AE转移资金请求数据546d的至少一部分(例如,任何发送方设备支付凭据数据和/或接收令牌和/或金额的至少一部分),之后,在步骤546中目标发行子系统391可以解密接收数据546d的加密部分。在将数据546d传送到CI子系统300之前,使用AE-CI共享秘密对AE设备转移资金请求数据546d的至少一部分进行任何此类加密,随后在CI子系统300处使用适当的AE-CI共享秘密对此类数据进行任何此类解密,可以实现AE子系统400与CI子系统300之间的设备转移资金请求数据546d的至少那部分的安全和可信通信。例如,可以首先在子系统300与400之间使用任何合适的AE-CI共享秘密来加密在AE子系统400与CI子系统300之间通信的任何接收令牌(例如,RT-2a)(例如,作为操作546处的数据546d的一部分),CI子系统300可以被配置为使用任何合适的AE-CI共享秘密来解密此类加密的接收令牌,使得CI子系统300(例如,IS391和/或IS 392)可以被配置为仅使用接收令牌,该令牌是来自AE子系统400的已验证通信的一部分,而不使用其他源。在操作546中传送到发行子系统391的数据546d可以包括在操作543/544中由凭据保护子系统391识别的接收令牌(例如,接收令牌RT-2a,如使用表493中的一个或多个链路所识别的)。另选地,可以将由AE子系统400在操作538中识别的接收方社交令牌和/或与可以由AE子系统400在操作543和/或544中识别的与该接收方社交令牌相关联的唯一用户凭据标识符PID(例如,而不是接收令牌(例如,通过在表493中识别可能与用户标识符相关联的PID,该用户标识符与接收方社交令牌相关联))传送给发行子系统391(例如,作为数据546d的一部分或其他形式),并且发行子系统391可以使用该接收方社交令牌(例如,LT-2)和/或唯一用户凭据标识符(例如,PID-2a或PID-2b)以在操作547中在网络表395上识别至少一个与该接收方社交令牌相关联的接收令牌(例如,在条目395c中的接收令牌RT-2a和发行子系统标识符BID-2和/或在条目395d中的接收令牌RT-2b和发行子系统标识符BID-1)。因此,表395可以由发送方发行子系统(例如,第一IS 391)用来识别正确的接收令牌(例如,接收令牌RT-2a),而不是由AE子系统400用来识别正确的接收令牌(例如,接收令牌RT-2a),例如,使得AE子系统400可以不在AE子系统400处存储任何接收令牌数据。
在操作548中,发行子系统391可以处理转移资金请求数据546d的任何合适部分,以潜在地验证来自可以由此类数据546d识别的发行子系统391的账户的资金转移。例如,如上所述,数据546d可以包括CI加密的发送方设备支付凭据数据,该数据使用来自设备100的SSD 154a上供应的支付凭据的ST-1a数据生成,可以单独或与任何其他适当的转移数据(例如,指示所选的50美元价值的任何合适的资金金额数据,指示ED1-ID和/或U1-ID的任何适当的发送方设备数据等)一起通过发行子系统391以任何合适的方式进行处理,例如,通过解密(例如,在发行子系统391处使用凭据密钥155a′)并进行分析来确定与发送方设备支付凭据数据相关联的帐户(例如,与子系统391上的发送令牌ST-1a相关联的帐户)是否具有足够的信用额度或以其他方式覆盖待转移的金额。例如,发行子系统391可以在操作548中可操作以尝试以任何合适的方式来验证转移资金请求数据546d的发送方设备支付凭据数据,以便确定是否使用由转移资金请求数据546d的发送方设备的支付凭据数据所识别的帐户来为转移提供资金。仅作为一个示例,发行子系统391可以在操作548中操作以基于转移资金请求数据546d的发送方设备支付凭据数据的令牌数据独立地生成加密数据(例如,使用SSD 154a和发布子系统391的共享秘密),将所生成的加密数据与转移资金请求数据546d的发送方设备支付凭据数据的加密数据进行比较,并基于该比较来确认或拒绝转移资金。如果在操作548中未验证发送方帐户,则可以在操作556中使用状态数据556d从CI子系统300向AE子系统400传送拒绝转移通知,并且此类状态可以由AE子系统400与一个或多个用户设备共享(例如,在操作558中与设备100作为状态数据558d,并且/或者在设备560与设备200作为状态数据560d),这些用户设备与该转移相关联。
如果在操作548中验证了发送方帐户并且在已验证的发送方帐户中识别了足够的资金以满足来自请求数据546d的特定资金金额(例如,50美元),则可以在操作550中,在负责将已验证的发送方帐户用于为转移提供资金的发行子系统391(如操作548所验证,由与数据546d的发送令牌ST-1相关联的帐户令牌AT-1a识别的帐户)以及与用于转移的接收令牌相关联的发行子系统(例如,发行子系统392)(例如,在操作546或操作547中接收由子系统391识别的令牌RT-2a)之间,通过在它们之间传送转移数据550d,以执行账户到账户的转移。接收令牌(例如,接收令牌RT-2a)可以被配置为识别(例如,到发行子系统391)特定的接收方目标发行子系统,其负责与该接收令牌关联的帐户,并用于接收转移资金(例如,接收令牌可以是可操作以识别发送方发行子系统可以对其进行帐户到帐户转移的特定接收方目标发行子系统的PAN或DAR)。转移数据550d可以包括任何合适的资金数据,该资金数据可操作以在操作550中将适当的资金(例如,50美元)从发行子系统391中的发送方帐户(在操作548中由请求数据536d/538d/546d的已验证发送令牌ST-1A识别并与之相关联)转移到接收方目标发行子系统392(可以由转移的接收令牌(例如,接收令牌RT-2a)识别)中,而且转移数据550d也可以包括转移本身的接收令牌的至少一部分(例如,接收令牌RT-2a)。在操作552中,接收方目标发行子系统392可操作以接收并处理转移数据550d,以便使用数据550d的接收令牌(例如,接收令牌RT-2a)来识别与数据550d的接收令牌相关联的接收方目标发行子系统392处的特定接收方帐户(例如,与帐户令牌AT-2a相关联的帐户已链接为在表394的条目394a中接收令牌RT-2a),然后使用数据550d的资金数据将适当的资金(例如,50美元)添加到所识别的接收方帐户。因此,接收方目标发行子系统392可操作以将数据550d的接收令牌转换成表394的条目的特定接收方帐户令牌,以便识别待接收转移资金的帐户。如果在操作550和552中成功进行了此类帐户到帐户的转移,则可以在操作554中使用状态数据554d将转移接受通知从子系统392传送到子系统391,并且然后在操作556中CI子系统300与AE子系统400使用状态数据556d共享此类状态,并且此类状态可以由AE子系统400与一个或多个用户设备共享(例如,在操作558中与设备100作为状态数据558d,并且/或者在设备560与设备200作为状态数据560d),这些用户设备与该转移相关联。发送方发行子系统(例如,子系统391)可能仅需要知道用于转移的接收令牌(例如,接收令牌RT-2a),发送方发行子系统就可以使用它来识别操作550中的适当目标接收方发行子系统,其中接收令牌可以是可通过任何CI子系统300的任何合适的现有网络路由的任何合适的格式。发送方发行子系统可操作以维护其将什么资金发送到什么接收令牌的记录(例如,为了保持合规性目的的任何合适记录),但是接收令牌可以保护接收方资金帐户的安全和/或隐私(例如,接收方帐户的帐户令牌的身份和/或与该帐户相关联的任何用户的身份)。
因此,当CI子系统300在可以向AE子系统400注册的用户电子设备上供应包括与特定资金账户相关联的发送令牌ST的支付凭据时,CI子系统300可以维护该特定资金帐户的发送令牌ST与接收令牌RT与帐户令牌AT之间的链接,其中接收令牌RT可以由CI子系统300与AE子系统400共享,以用于促进安全帐户到帐户的资金到该特定资金帐户的转移。AE子系统400可以将接收令牌RT链接到任何合适的AE设备注册标识符或AE设备注册数据(例如,用户标识符U-ID和/或电子设备标识符ED-ID和/或社交令牌LT),该标识符或AE设备注册数据可以与在其上供应了支付凭据(例如,链接的发送令牌)的用户设备相关联,使得当AE子系统400接收到将资金转移到由任何合适的AE设备注册数据(例如,接收方的社交令牌LT)识别的接收方的请求时,AE子系统400可操作以确定与所识别的接收方相关联的特定接收令牌RT,然后与CI子系统300共享该特定接收令牌RT,使得CI子系统300可以使用接收令牌RT来向CI子系统300识别适当的资金账户以接收所请求的资金转移的资金。CI子系统300(例如,IS 392)仅能与AE子系统400(和/或网络表)共享此类接收令牌RT,并且CI子系统300(例如,IS 392)可以被配置为仅接受来自AE子系统400或可能来自网络表395的接收令牌RT,以促进资金转移,使得各个用户设备可能无需识别或以其他方式获得用于执行向接收方帐户转移资金的接收令牌RT。此类虚拟接收令牌可能不单独包括可用于从与接收令牌相关联的账户访问资金和/或可用于识别特定资金账户和/或特定用户的任何数据。在一些实施方案中,AE子系统400可以维护两个或更多个不同的子系统,诸如设备保护子系统471和凭据保护子系统491,它们中的每一个可以维护不同类型的数据之间的链接,以进一步限制可以通过在那些子系统中的特定一个上对数据进行分析来确定的信息的类型。例如,如上所述,设备保护子系统471可操作以维护两种或多种类型的AE注册数据之间的链接,但是不维护任何数据与任何接收令牌RT之间的链接(例如,设备保护子系统471的表473的条目可以在AE子系统400处维护社交令牌LT与用户标识符U-ID和/或电子设备标识符ED-ID和/或任何其他合适的AE注册数据中的一个或多个之间的链接,该链接可能与在AE子系统400中注册的用户设备相关联,但是表473的此类条目可能不会维护此类数据与任何接收令牌RT之间的任何链接),而凭据保护子系统491可操作以维护接收令牌RT与某些类型的AE注册数据之间的链接,但是不维护接收令牌RT与任何社交令牌LT之间的链接(例如,凭据保护子系统491的表493的条目可以在AE子系统400处维护接收令牌RT与用户标识符U-ID和/或电子设备标识符ED-ID和/或任何其他合适的AE注册数据中的一个或多个之间的链接,该链接可能与在AE子系统400中注册的用户设备相关联,但是表493的此类条目可能不会维护此类数据与任何社交令牌LT之间的任何链接,这些链接本身可以识别特定用户(例如,电子邮件地址))。这可以使凭据保护子系统491的表493能够将接收令牌RT与可能不具体识别特定用户的社交令牌的数据链接,同时使AE子系统400可以使用凭据保护子系统491的表493和设备保护子系统471的表473的通用数据类型(例如,用户标识符U-ID和/或电子设备标识符ED-ID)以在资金转移过程期间识别特定社交令牌LT的特定接收令牌RT。另选地,凭据保护子系统491的表493和/或设备保护子系统471的表473可用于维护接收令牌RT与社交令牌LT之间的链接。例如,表493的表条目493c可以包括RT-2a、U2-ID、ED2-ID、PID-2a与LT-2之间的链接,并且/或者表473的表条目473b可以包括ED2-ID、LT-2、U2-ID、U2-PW与RT-2a之间的链接。CI子系统300可操作以仅使用从AE子系统400(或者在一些实施方案中,从网络表395)传送来的接收令牌,以用于识别将在资金转移中接收资金的资金账户。接收令牌不需要供系统1的用户设备使用或以其他方式使用。相反,发送方设备可能仅需要通过识别接收方社交令牌来识别接收方资金帐户,并且AE子系统400可操作以安全地识别和使用与该接收方社交令牌相关联的接收令牌,以便于将资金从发送方帐户转移到接收方帐户。
可以采取进一步的步骤来探知与特定账户相关联的欺诈风险,以在不维护链接两个特定用户和/或特定转移的用户账户数据的敏感数据的情况下进行资金转移。例如,发送转移请求时,发送方设备(例如,在使用具有SSD154a的社交令牌ST-1a的支付凭据的示例中的设备100,用于将50美元从帐户令牌AT-1a的帐户转移到与社交令牌LT-2相关的帐户)可操作以与AE子系统400生成并共享某些信息(例如,任务授权密钥),其中此类共享信息可能对于该发送方设备和该发送方设备已识别用于接收转移资金的社交令牌LT的组合是唯一的,并且其中AE子系统400(例如,交易保护子系统481)可以使用此类共享信息来探知与转移相关联的欺诈风险和/或存储与转移相关联的历史数据,同时无法将具体的发送方链接到AE子系统400的具体接收方。如上所述,从发送方设备100传送到AE子系统400的转移资金请求数据536d可以包括该转移请求的任务授权密钥,其中该任务授权密钥对于发送方设备100和转移资金请求数据536d中识别的接收方社交令牌(例如,LT-2)的组合可能是唯一的。例如,可以由发送方设备100生成并且可以被包括作为转移资金请求数据536d的一部分的任务授权密钥可以是以下任何合适的散列值:(i)设备100的任何合适的唯一标识符,以及(ii)请求的接收方社交令牌,其中唯一标识符可以是电子设备标识符ED1-ID、用户标识符U1-ID或任何其他合适的通用唯一标识符(“UUID”),该唯一通用标识符可以是唯一的一次性设备生成的UUID(例如,设备转移唯一标识符FX1-ID,其可以存储在设备100的存储装置173的条目173a中)。此类设备转移唯一标识符FX1-ID可以与所有与特定用户帐户相关联的设备共享并由其使用,使得当每个设备尝试将资金转移到同一接收方社交令牌时,第一用户的蜂窝电话和同一第一用户的台式计算机都可以生成相同的任务授权密钥。由发送方设备100生成(例如,使用任何合适的散列函数)并且在针对特定资金转移的特定接收方社交令牌的转移资金请求数据536d中从发送方设备100传送的任务授权密钥可以或可以不存储在发送方设备100上。
可以在凭据保护子系统491中从设备保护子系统471处接收针对特定转移的任务授权密钥(例如,作为转移资金请求数据538d的第一部分,其最初可以从设备100以数据536d中提供给设备保护子系统471),以及发送方的AE帐户用户标识符(例如,作为转移资金请求数据538d的第二部分的用户标识符U1-ID,其可以最初从设备100以数据536d提供给设备保护子系统471,或者在操作538中由设备保护子系统471确定)以及接收方的AE帐户用户标识符(例如,作为转移资金请求数据538d的第三部分的用户标识符U2-ID,其可以在操作538中由设备保护子系统471确定并从其提供(例如,基于来自设备100的数据536d的接收方社交令牌LT-2))。凭据保护子系统491可以在操作539中处理由凭据保护子系统491为特定转移而接收的数据538d的此类任务授权密钥、发送方用户标识符和接收方用户标识符,以确定用于转移的任务授权标识符。此类任务授权标识符可以是用于该特别转移的任何合适的散列:(i)任务授权密钥和(ii)发送方用户标识符和(iii)数据538d的用户标识符。通过基于任务密钥以及发送方用户标识符和/或接收方用户标识符来生成任务授权标识符可以允许分别生成不同的任务授权标识符,用于在注册到第一用户的第一设备以及与第二用户相关联的接收方社交令牌之间的第一转移,以及在注册到不同于第一用户的用户的第一设备以及与第二用户不同的用户相关联的接收方社交令牌之间的第二转移(例如,如果曾经与第一注册用户相关联的电话号码后来被注册到不同于第一用户的用户)。然后,在操作539中,可以将由凭据保护子系统491(例如,使用任何适当的散列函数)生成的任务授权标识符(“MANDATE-ID”)在操作540中作为欺诈请求数据540d的一部分从凭据保护子系统491传送到交易保护子系统481。除MANDATE-ID之外,欺诈请求数据540d还可包括任何合适的转移信息,包括但不仅限于:资金转移的金额(例如,50美元,可能会由数据538d指示);与转移的发送方帐户相关联的发行子系统的识别(例如,第一发行子系统391,可以从数据538d中识别出);与转移的接收方帐户相关联的发行子系统的识别(例如,第二发行子系统392,可以在操作543/544中识别出,可以由适当的用于转移的接收令牌所指示(例如,RT-2a),该操作可以在操作540之前发生);操作540和/或正在处理的转移的任何其他合适操作的日期/时间;操作536时发送方设备100的位置(例如,可能包含在数据536d中);发送方设备的类型;发送方设备的设备标识符等。可以在操作539中导出的任务授权标识符可以或可以不被存储在凭据保护子系统491中(例如,在表493中)。另选地,在一些实施方案中,可以在交易保护子系统481处导出当前转移的任务授权标识符,其中代替数据540d中包括任务授权标识符,数据540d可以包括以下内容:任务授权密钥和(ii)发送方用户标识符和(iii)接收方用户标识符,并且该信息可以由交易保护子系统491使用(例如,使用任何合适的散列函数)以导出任务授权标识符(“MANDATE-ID”)。
在操作541中,可以将在交易保护子系统481处接收到的任务授权标识符和欺诈请求数据540d的任何合适的数据作为新的链接数据(例如,任何合适的转移信息,包括转移金额、发送方发行子系统的身份、接收方发行子系统的身份、在子系统481处接收到的此类数据的日期/时间、发送方设备的位置、发送方设备的类型等)彼此相对地存储在交易保护子系统481处(例如,在图4E的表483的条目483a中)。而且,在操作541中,交易保护子系统481可操作以结合当前处理的转移的任何先前存储的欺诈请求数据来运行对当前转移的该欺诈请求数据的任何适当的分析。例如,交易保护子系统481可以尝试识别当前转移的任务授权标识符的多少其他实例可以被存储在交易保护子系统491处(例如,在表483中(未示出)),以确定与当前传输相同的发送方设备和接收方社交令牌组合还处理了多少其他转移,并且/或者将当前转移的欺诈风险数据与一个或多个可以共享相同任务授权标识符(即,MANDATE-ID)的较早转移的欺诈风险数据进行比较。交易保护子系统481可以在操作541中执行任何合适的处理,以至少基于当前转移的任务标识符和交易保护子系统481先前为一个或多个较早转移所获得的任何其他合适的数据,来确定当前转移的一个或多个欺诈风险指标或欺诈评分。任务授权标识符(和/或任务授权密钥)可以由AE子系统400使用,以唯一地表示转移的发送方/接收方的组合,而无需AE子系统400存储任何识别或可以用来识别发送方和接收方身份的数据,例如,以保护系统1的最终用户的隐私。因此,AE子系统400可以维护发送方与接收放之间的信任,同时还保留了某些交易数据,以基于针对标识符(例如,任务授权标识符和/或任务授权密钥)存储的每个转移交易的某些交易历史数据来促进实时欺诈评分和检测,该标识符本身可能无法识别发送方或接收方,但可以唯一地代表特定的发送方/接收方社交令牌组合。来自操作541的任何合适的欺诈检测结果可以从交易保护子系统481提供给凭据保护子系统491,作为在操作542中的欺诈风险结果数据542d的至少一部分,然后可以由凭据保护子系统491利用它确定是否继续处理当前转移(例如,欺诈检测结果是否满足可行性的任何适当阈值,或者欺诈检测结果是否指示应将转移视为风险太大而应予以拒绝)。如果此类欺诈风险结果数据542d不会导致拒绝当前转移,则可以将此类欺诈风险结果数据542d的至少一部分作为操作546的AE转移资金请求数据546d的一部分传送给发送方发行子系统,然后可以在操作548中由发送方发行子系统使用(例如,如果发送方发行子系统可以执行任何其他欺诈检测)。
在操作550和552中,无论从帐户到帐户的转移是否成功、被接受、被拒绝还是被驳回,在操作556中,CI子系统300可以与AE子系统400共享指示转移状态的转移状态数据556d,并且AE子系统400可以使用该状态数据来发送针对特定转移的所更新的欺诈风险数据540d,交易保护子系统481可以使用该状态数据来更新其欺诈数据以进行转移(例如,更新针对条目483a处的MANDATE-ID存储的欺诈数据(例如,指示该转移最终被批准还是被拒绝等),然后当分析可能与同一MANDATE-ID相关联的稍后转移的欺诈风险时,可以在操作541的另一迭代中使用该欺诈数据)。附加地或另选地,可以将此类转移状态数据的至少一部分和/或指示转移的任何特征的任何其他数据的至少一部分存储在交易保护子系统481处,以用于以一种或多种合适的方式来纪念转移。例如,凭据保护子系统491可操作以生成唯一的转移标识符(例如,任何合适的UUID),该唯一的转移标识符对于由AE子系统400处理的转移可以是唯一的(例如,此类转移标识符可以由AE子系统400在转移过程期间的开始时或任何其他时刻唯一地生成(例如,在操作538、539和/或在处理特定转移期间的任何其他适当时刻)),然后,在操作561中可以使用此类转移标识符(“TRANSFER-ID”)来生成两个新的不同的交易标识符(即,发送交易标识符和接收交易标识符)。发送交易标识符(“SENDX-ID”)和接收交易标识符(“RECVX-ID”)中的每一个都可以以任何合适的方式针对特定的转移生成。例如,发送交易标识符可以是以下各项的任何合适的散列(例如,使用任何合适的散列函数):(i)当前转移的转移标识符和(ii)发送交易盐(例如,随机数据),而接收交易标识符可以是以下内容的任何合适的散列值(例如,使用任何合适的散列函数):(i)当前转移的转移标识符和(ii)接收交易盐(例如,随机数据),其中发送交易盐和接收交易盐可以相同或不同方式生成,而发送交易盐和接收交易盐可能彼此不同,以使特定交易的发送方侧交易信息与接收方侧交易信息解耦。尽管相同的发送交易盐可以用于所有用户的所有交易和/或相同的接收交易盐可以用于所有用户的所有交易,但是发送交易盐可能与接收交易盐不同,使得可以针对特定交易将发送方侧交易信息与接收方侧交易信息解耦,这可以为发送方和接收方实现单独的交易评分。然后,在操作562中,可以将当前转移的任何合适的发送交易数据(例如,数据562d-s)与当前转移的SENDX-ID相关联的作为交易欺诈数据562d的至少一部分传送到交易保护子系统481,然后可以在操作563(例如,在表483的条目483b中)中将其彼此相对存储在交易保护子系统481上,而在操作562中,可以将当前转移的任何合适的接收交易数据(例如,数据562d-r)与当前转移的RECVX-ID相关联的作为交易欺诈数据562d的至少一部分传送到交易保护子系统481,然后可以在操作563(例如,在表483的条目483c中)中将其彼此相对存储在交易保护子系统481上。此类发送交易数据562d-s可以是与当前转移相关联的任何合适的数据,包括但不仅限于:任何合适的发送方标识符(例如,U1-ID、ED1-ID等);任何合适的发送方PII(例如,交易期间的发送方设备的位置、与发送方设备相关联的国家/地区等);任何合适的发送方功能;任何合适的接收方功能;任何合适的接收方集合;转移的金额(例如,50美元);转移的日期/时间戳(例如,操作562的时间戳);任何银行响应数据;发送方发行子系统的任何标识符;发送方资金帐户的任何合适的标识符;接收方发行子系统的任何标识符以及合适的欺诈风险结果数据542d等。此类接收交易数据562d-r可以是与当前转移相关联的任何合适的数据,包括但不限于:任何合适的接收方标识符(例如,社交令牌LT-2);任何合适的接收方PII(例如,交易期间接收方设备的位置、与接收方设备相关联的国家/地区、接收方设备的标识符等);任何合适的接收方功能;任何合适的发送方功能;任何合适的发送方集合;转移金额(例如50美元);转移日期/时间戳(例如操作562的时间戳);任何银行响应数据;发送方发行子系统的任何标识符;接收方发行子系统的任何标识符;接收方资金帐户的任何合适的标识符以及合适的欺诈风险结果数据542d等。当前交易的转移标识符可以或可以不由凭据保护子系统491和/或由AE子系统400的任何其他部分存储或维护。在操作541中或其他情况下,还可以针对任务授权标识符和/或欺诈请求数据(例如,在条目483a中)存储用于转移的转移标识符。另选地,交易保护子系统481可以不保留转移标识符,以便防止将发送方的身份链接到接收方的身份的任何数据特别是对于交易保护子系统481和/或更一般地对于AE子系统400是不可用的。
因此,虽然AE子系统400(例如,交易保护子系统481)可操作以存储关于特定转移交易的某些数据,但是没有存储的关于交易的数据可操作以将特定发送方链接到特定接收方。例如,用于特定转移的表483的条目483a的任务授权标识符MANDATE-ID或欺诈请求数据540d都可以不包括可操作以将特定发送方的身份链接到转移的特定接收方的数据。又如,用于特定转移的表483的条目483b的发送交易标识符SENDX-ID或发送交易欺诈数据562d-s都可以不包括可操作以将特定发送方的身份链接到转移的特定接收方的数据。又如,用于特定转移的表483的条目483c的接收交易标识符RECVX-ID或接收交易欺诈数据562d-r都可以不包括可操作以将特定发送方的身份链接到转移的特定接收方的数据。然而,可以保留此类存储的转移交易数据,以用于为将来的转移交易做出任何合适的欺诈风险确定(例如,在操作541的后续迭代时),并且/或者用于做出任何其他合适的确定,包括但不仅限于:维护图表以捕获和关闭欺诈圈,而不会侵犯用户的隐私;确定在任何合适的时间段期间通过网络转移了多少钱;确定促进转移的交易方的独特集合数等,而不允许事务保护子系统481可用的任何数据(例如,表483中的任何数据)用于回答有关具体用户的具体问题(例如,AE子系统400的具体用户和/或具体设备和/或CI子系统300的具体帐户)。因此,针对特定交易,发送方侧交易信息可以与接收方侧交易信息解耦或不耦合,这可以为发送方和接收方实现单独的交易评分。
虽然特定发行子系统的具体资金帐户仅能与单个具体帐户令牌和单个具体接收令牌相关联,但是此类资金帐户可以与两个或多个唯一的发送令牌相关联,使得具体的资金帐户可以由两个或更多不同的用户设备使用,其中每个用户设备可能已在其上预供应了与该资金帐户相关联的唯一发送令牌中的相应一个。例如,尽管未在图1和/或图5中示出,但是系统1可以包括第三用户设备,该第三用户设备可以在用户U1的控制下,类似于第一设备100(例如,第一设备100可以是用户U1的个人便携式设备,而第三设备可以是用户U1的台式设备),并且用户U1可以在该第三台设备上供应一个或多个支付凭据,其中该第三设备可以与用户U1和在AE子系统400中注册的任何合适的注册数据相关联(例如,可以与设备100的第一唯一电子设备标识符ED1-ID类似地使用但具有不同值的第三唯一电子设备标识符ED3-ID,可与设备100的第一社交令牌LT-1类似地使用但具有不同值的第三社交令牌LT-3),该数据可以在表473的表条目473c中与AE子系统400中的用户U1的帐户链接,并且该第三设备可以接收并存储与第一设备100相同的设备转移标识符FX1-ID(例如,设备转移标识符FX-ID可以在AE子系统400上向同一用户标识符U-ID注册的多个设备之间共享),或者第三设备可以生成并存储其自己的唯一设备转移标识符(例如,设备转移标识符FX3-ID)。在一些实施方案中,在第三设备上供应的凭据可以与同一资金账户相关联,该资金账户与在设备100上供应的支付凭据相关联(例如,用户U1希望具有与在第一设备100和第三设备中的每个设备上供应的具体信用卡帐户相关联的凭据)。作为特定示例,用户U1还可以供应与第三设备上的账户令牌AT-1a的资金账户相关联的支付凭据(例如,如在操作504-518中关于在第一设备100上供应发送令牌ST-1所述的那样)。例如,虽然未在图5中示出,但是过程500可以包括类似于操作504至516的操作的迭代,这些操作可以在此类第三设备上提供此类支付凭据,并且可以包括生成和/或存储在第三设备的存储装置条目、表493的条目493e、表393的条目393d和表395的条目395e中的一个或多个中的AT-1a、ST-3a、RT-1a、PID-3a、U1-ID、ED3-ID、LT-3、BID-1等的各种,其中发送令牌ST-3a可以与第一发送令牌ST-1a类似地使用,但具有不同的值,唯一用户证书标识符PID-3a可以与第一唯一用户证书标识符PID-1a类似地使用,但具有不同的值。因此,如图4C、图4D、图4F和图4H所示,特定资金账户的第一账户令牌AT-1a可以在发行子系统391(例如,在表393处)处链接到仅一个唯一的接收令牌RT-1a,但是此类第一帐户令牌AT-1a和/或此类唯一接收令牌RT-1a可以在发行子系统391(例如,在表393处)处链接到唯一发送令牌ST-1(例如,如可能在第一设备100上供应的)和唯一发送令牌ST-3(例如,可能在第三设备上供应的)中的每一个,同时此类唯一接收令牌RT-1a可以在网络表395处链接到设备100的唯一社交令牌ST-1和第三设备的社交令牌ST-3中的每一个,同时此类唯一接收令牌RT-1a可以在凭据保护子系统493(例如,在表493处)处链接到U1-ID以及ED1-ID、ED3-ID、PID-1a和PID-3a中的每一个,并且同时U1-ID可以在设备保护子系统471(例如,在表473处)处链接到LT-1和LT-3中的每一个。因此,可以类似于第一设备100使用第三设备,以发起资金从与帐户令牌AT-1a相关联的资金帐户到另一资金帐户的转移,并且/或者与帐户令牌AT-1a相关联的该资金帐户可用于在被识别为与设备100的社交令牌LT-1和/或与第三设备的社交令牌LT-3相关联的接收方接收的资金转移期间,从另一个资金账户接收资金。
应当理解,图5的过程500中所示的操作仅仅是例示性的,可修改或省略现有操作、可添加附加操作,并可改变某些操作的顺序。此外,在一些具体实施中,两个或更多个操作可以并行或以与所描述的顺序不同的顺序发生。应当理解,出于清楚而非限制的原因,可以引用第一用户U1和第二用户U2。例如,在一些实施方案中,用户U1和用户U2可以是使用第一设备100和第二设备200两者的同一用户(例如,将该用户的一个帐户与设备100相关联,并且与设备100生成交易凭据数据,以用于为该用户的与设备200上的凭据相关联的另一个帐户提供资金)。附加地或另选地,应当理解,出于清楚而非限制的原因,可以引用第一设备100和第二设备200。例如,在一些实施方案中,第一设备100和第二设备200可以是同一设备(例如,与第一帐户关联的第一凭据可以在该设备上供应,并且可以用于与设备100生成交易凭据数据,以用于为与第二凭据相关联的另一个账户提供资金,该另一个账户也在同一设备上供应)。由CI子系统300与资金帐户的特定帐户令牌AT相关联的唯一接收令牌RT只能为CI子系统300和AE子系统400已知(例如,在其中可用),而不是任何用户设备(诸如设备100和设备200)已知。接收令牌不需要被任何用户已知或被任何用户设备使用以执行交易。相反,社交令牌可以由发送方用户使用,并且此类社交令牌可以由AE子系统400和/或CI子系统300使用以识别适当的接收令牌,然后CI子系统300可以使用该令牌来识别用于为相关联的资金帐户提供资金的适当的帐户令牌。CI子系统300可以被配置为响应于仅从AE子系统400或者在一些实施方案中从CI子系统300的网络表395而不是从其他实体(诸如用户设备)接收到接收令牌来执行交易(例如,如使用CI子系统300和AE子系统400的共享秘密加密或以其他方式认证的)。因此,接收令牌只能由CI子系统300用来识别适当的资金帐户以接收资金,使得接收令牌可能对任何其他实体(例如,攻击者或欺骗者或其他潜在的不良行为者)无用。可以在发送方用户设备(例如,设备100)处使发送方用户能够仅识别接收方的社交令牌而没有注册甚至没有意识到它可能正在使用具体的资金便利服务来从与发送方用户相关联的账户向与接收方用户相关联的账户处发送资金。相反,作为一个示例,发送方用户可以仅通过选择待与之通信(例如,通过选择适当的接收方社交令牌,诸如电话号码或电子邮件地址)的特定接收方用户并且通过输入待传送给该特定用户接收方的任何适当的通信消息(例如文字和/或表情符合等)以及任何适当的资金数额(例如,50美元)来与发送方用户设备(例如,即时消息传送软件应用程序,诸如Apple Inc.的Messages)上的消息传送通信应用程序进行交互。发送方用户的设备可以使用默认的发送令牌(例如,响应于某些用户认证事件),并与来自发送方用户的设备的合适的通信消息进行通信,以使特定的接收方受益,该特定接收方由所选的接收方社交令牌识别。发送方用户无需知道任何接收令牌或任何接收方银行信息,因为消息传送通信应用程序和AE子系统400和CI子系统300可以处理资金转移的便利和通信消息到接收方用户的通信,这对发送方用户是透明的。
图1至图5的进一步描述
相对于图1至图5所述过程中的一个过程、一些过程或所有过程均可由软件来实现,但也可由硬件、固件或软件、硬件和固件的任意组合来实现。用于执行这些过程的指令也可实现为记录在机器可读介质或计算机可读介质上的机器可读代码或计算机可读代码。在一些实施方案中,计算机可读介质可以是非暂态计算机可读介质。此类非暂态计算机可读介质的示例包括但不限于只读存储器、随机存取存储器、闪存存储器、CD-ROM、DVD、磁带、可移除存储器卡和数据存储设备(例如,图2的存储器104和/或存储器模块150)。在其他实施方案中,计算机可读介质可以是暂态计算机可读介质。在此类实施方案中,暂态计算机可读介质可分布在网络耦接的计算机系统上,使得计算机可读代码以分布式方式来存储和执行。例如,可使用任何适当的通信协议来从一个电子设备或子系统向另一个电子设备或子系统传送此类暂态计算机可读介质(例如,可经由通信部件106向电子设备100传送计算机可读介质(例如,作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。此类暂态计算机可读介质可实现为计算机可读代码、指令、数据结构、程序模块或经调制的数据信号形式的其他数据,诸如载波或其他传输机构,并且可包括任何信息递送介质。被调制数据信号可以是其一个或多个特性被设置或改变以将信息编码在信号中的信号。
应当理解,可将系统1的任何、每个或至少一个模块或部件或子系统提供作为软件构造、固件构造、一个或多个硬件部件或它们的组合。例如,可在可由一个或多个计算机或其他设备执行的计算机可执行指令诸如程序模块的一般性上下文中描述系统1的任何、每个或至少一个模块或部件或子系统。一般来讲,程序模块可包括可执行一个或多个特定任务或可实现一个或多个特定抽象数据类型的一个或多个例程、程序、对象、部件和/或数据结构。还应当理解,系统1的模块和部件和子系统的数量、配置、功能和互连仅是示例性的,并且可修改或省略现有模块、部件和/或子系统的数量、配置、功能和互连,可添加附加模块、部件和/或子系统,并且可改变特定模块、部件和/或子系统的互连。
系统1的模块或部件或子系统中的一者或多者的至少一部分可通过任何适当的方式被存储在系统1的实体中或能以任何其他方式被其访问(例如,设备100的存储器104中(例如,作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。例如,NFC部件120的任何模块或每个模块可使用任何合适的技术来实现(例如,作为一个或多个集成电路器件),并且不同模块可在结构、能力和操作上相同或不同。系统1的任何模块或所有模块或者其他部件可安装在扩展卡上、直接安装在系统母板上,或集成到系统芯片组部件中(例如,集成到“北桥”芯片中)。
系统1的任何或每个模块或部件(例如,NFC部件120的任何模块或每个模块和/或设备200的NFC部件的任何模块或每个模块)可为使用适于各种总线标准的一个或多个扩展卡来实现的专用系统。例如,所有模块可被安装在不同的互连扩展卡上或者所有模块可被安装在一个扩展卡上。相对于NFC部件120,仅以示例的方式,NFC部件120的模块可通过扩展槽(例如,外围部件互连(“PCI”)槽或PCI express槽)与设备100的母板或处理器102进行交互。另选地,NFC部件120无需为可移除的,但可包括一个或多个专用模块,该一个或多个专用模块可包括专用于模块使用的存储器(例如,RAM)。在其他实施方案中,NFC部件120可集成到设备100中。例如,NFC部件120的模块可利用设备100的设备存储器104的一部分。系统1的任何模块或部件或每个模块或部件(例如,NFC部件120的任何模块或每个模块)可包括其自身的处理电路和/或存储器。另选地,系统1的任何模块或部件或每个模块或部件(例如,NFC部件120的任何模块或每个模块)可与设备100的NFC部件120和/或处理器102和/或存储器104的任何其他模块共享处理电路和/或存储器。
本公开认识到,在本技术中使用此类个人信息数据,诸如设备100和/或设备200的当前位置,可用于使用户受益。例如,个人信息数据可用于为正在进行的金融交易提供更好的安全性和风险评估。因此,使用此类个人信息数据能够计算出金融交易的安全性。此外,本公开还预期个人信息数据有益于用户的其他用途。
本公开还设想负责此类个人信息数据的收集、分析、公开、传输、存储或其他用途的实体将遵守已确立的隐私政策和/或隐私做法。具体地,此类实体应当实行并坚持使用被公认为满足或超出对维护个人信息数据的隐私性和安全性的行业或政府要求的隐私政策和实践。例如,来自用户的个人信息应当被收集用于实体的合法且合理的用途,并且不在这些合法用途之外共享或出售。另外,此类收集应当仅在用户知情同意之后进行。另外,此类实体应采取任何所需的步骤或进行某些操作,以保障和保护对此类个人信息数据的访问,并且确保能够访问个人信息数据的其他人遵守他们的隐私政策和程序。另外,这种实体可使其本身经受第三方评估以证明其遵守广泛接受的隐私政策和实践。
不管前述情况如何,本公开还预期用户选择性地阻止使用或访问个人信息数据的实施方案。即本公开预期可提供硬件元件和/或软件元件,以防止或阻止对此类个人信息数据的访问。例如,就金融交易服务而言,本发明的技术可被配置为在注册此类服务期间允许用户选择“加入”或“退出”参与对个人信息数据的收集。又如,用户可选择不向金融交易服务提供位置信息。再如,用户可选择不提供精确的位置信息,但准许传输位置区域信息。
因此,虽然本公开广泛地覆盖了使用个人信息数据来实现一个或多个各种所公开的实施方案,但本公开还预期各种实施方案也可在无需访问此类个人信息数据的情况下被实现。即,本发明技术的各种实施方案不会由于缺少此类个人信息数据的全部或一部分而无法正常进行。例如,可通过基于非个人信息数据或绝对最低限度量的个人信息(诸如,与用户相关联的设备所进行的金融交易、对金融交易服务可用的其他非个人信息、或可公开获得的信息)推断偏好或情况来提供金融交易服务。
所述概念的进一步应用
虽然已描述了用于促进用户帐户之间的资金转移的系统、方法和计算机可读介质,但是应当理解,可在不脱离本文所述的主题的实质和范围的情况下以任何方式在其中作出许多改变。无论是现在已知的还是以后想到的,被本领域的普通技术人员视为要求保护的主题的非实质变更均被明确地考虑为等同地处于权利要求的范围内。因此,本领域的普通技术人员现在或以后所知的明显置换被定义为在所定义的元素的范围内。
因此,本领域的技术人员将认识到,可以通过除所述实施方案之外的方式来实践本发明,所述实施方案是为了例示而非限制而提供的。
Claims (20)
1.一种服务器设备,所述服务器设备包括:
存储器;和
至少一个处理器,所述至少一个处理器被配置为:
结合第一凭据发行系统,促进在第一电子设备上提供第一账户主凭据,所述第一账户主凭据与所述第一凭据发行系统处的第一资金账户相对应;以及
结合所述提供,在所述第一凭据发行系统处接收与所述第一资金账户相对应的第一账户辅凭据;
将所述第一账户辅凭据与和所述第一电子设备的第一用户相对应的第一用户账户标识符、以及和所述第一电子设备的所述第一用户相对应的第一用户通信标识符相关联地存储;
从与第二用户账户标识符相对应的第二电子设备接收使用在所述第二电子设备上提供的第二账户主凭据向所述第一用户通信标识符发送资金金额的请求,其中所述请求包括与所述第二电子设备的设备标识符和所述第一用户通信标识符相对应的客户混淆转移标识符;
使用所述第一用户通信标识符来检索所述第一用户账户标识符和所述第一账户辅凭据;
至少部分地基于所述客户混淆转移标识符、所述第一用户账户标识符和所述第二用户账户标识符来生成服务器混淆转移标识符;
至少部分地基于所述服务器混淆转移标识符,确定与发送所述资金金额的所述请求相关联的欺诈风险,所述欺诈风险特定于所述第二电子设备、所述第一用户通信标识符、所述第一用户账户标识符和所述第二用户账户标识符;
当所确定的欺诈风险满足预定阈值时:
向与所述第二账户主凭据相对应的第二凭据发行系统提供转移所述资金金额的请求,所述请求包括所述第一账户辅凭据、所述第二账户主凭据和所述资金金额的指示;
从所述第二凭据发行系统接收所述转移是否完成的指示;以及
将所述转移是否完成的所述指示与所述服务器混淆转移标识符相关联地存储;以及
当所确定的欺诈风险未能满足所述预定阈值时,将所确定的诈骗风险与所述服务器混淆转移标识符相关联地存储。
2.根据权利要求1所述的服务器设备,其中所述至少一个处理器还被配置为:
从所述第一电子设备接收提供所述第一电子设备上的所述第一账户主凭据的请求,所述请求包括所述第一用户账户标识符和所述第一用户通信标识符。
3.根据权利要求1所述的服务器设备,其中所述至少一个处理器还被配置为:
从所述第二电子设备接收提供所述第二电子设备上的所述第二账户主凭据的请求,所述请求包括与所述第二电子设备的第二用户相对应的所述第二账户标识符以及与所述第二电子设备的所述第二用户相对应的第二用户通信标识符;
结合所述第二凭据发行系统,促进提供所述第二电子设备上的所述第二账户主凭据,所述第二账户主凭据与所述第二凭据发行系统处的第二资金账户相对应;
从所述第二凭据发行系统并结合所述提供来接收与所述第二凭据发行系统处的所述第二资金账户相对应的第二账户辅凭据;以及
将所述第二账户辅凭据与所述第二用户账户标识符和所述第二用户通信标识符相关联地存储。
4.根据权利要求3所述的服务器设备,其中所述第一电子设备在所述服务器设备处被注册到所述第一用户账户标识符,并且所述第二电子设备在所述服务器设备处被注册到所二用户账户标识符。
5.根据权利要求1所述的服务器设备,其中所述第一用户通信标识符包括电子邮件地址或电话号码中的至少一个。
6.根据权利要求1所述的服务器设备,其中所述至少一个处理器还被配置为通过以下方式,至少部分地基于所述服务器混淆转移标识符来确定与发送所述资金金额的所述请求相关联的所述欺诈风险:
向另一服务器设备发送欺诈风险请求,所述欺诈风险请求包括所述混淆服务器转移标识符和转移信息;以及
从所述另一服务器设备接收与发送所述资金金额的所述请求相关联的所述欺诈风险的指示。
7.根据权利要求6所述的服务器设备,其中所述第二电子设备的所述设备标识符、所述第一用户通信标识符、所述第一用户账户标识符和所述第二用户账户标识符不被提供给所述另一服务器设备,并且能够由所述另一服务器设备访问。
8.根据权利要求6所述的服务器设备,其中所述转移信息包括以下中的至少一项:所述资金金额、与所述第二账户主凭据相对应的第二凭据发行系统的标识符、所述第一凭据发行系统的标识符、所述第二电子设备的位置或所述第二电子设备的类型。
9.根据权利要求6所述的服务器设备,其中所述至少一个处理器被配置为通过以下方式,将所确定的欺诈风险与所述服务器混淆转移标识符相关联地存储:
向所述另一服务器设备发送所确定的欺诈风险和所述服务器混淆转移标识符以供存储。
10.根据权利要求6所述的服务器设备,其中所述服务器设备、所述另一服务器设备、所述第一电子设备、所述第二电子设备、所述第一凭据发行系统和第二凭据发行系统是分开的设备。
11.根据权利要求1所述的服务器设备,其中所述至少一个处理器被配置为结合所述转移请求,向所述第二凭据发行系统提供所述第一凭据发行系统的标识符。
12.一种方法,所述方法包括:
在管理实体系统中:
结合第一凭据发行系统,促进在第一电子设备上提供第一账户主凭据,所述第一账户主凭据与所述第一凭据发行系统处的第一资金账户相对应;以及
结合所述提供,在所述第一凭据发行系统处接收与所述第一资金账户相对应的第一账户辅凭据;
将所述第一账户辅凭据与和所述第一电子设备的第一用户相对应的第一用户账户标识符、以及和所述第一电子设备的所述第一用户相对应的第一用户通信标识符相关联地存储;
从与第二用户账户标识符相对应的第二电子设备接收使用在所述第二电子设备上提供的第二账户主凭据向所述第一用户通信标识符发送资金金额的请求;
使用所述第一用户通信标识符检索所述第一账户辅凭据;
向与所述第二账户主凭据相对应的第二凭据发行系统提供转移所述资金数额的请求,所述请求包括所述第一账户辅凭据、所述第二账户主凭据、所述资金金额的指示和所述第一凭据发行系统的标识符;以及
从所述第二凭据发行系统接收所述转移是否完成的指示。
13.根据权利要求12所述的方法,其中发送所述资金金额的所述请求还包括与所述第二电子设备的设备标识符和所述第一用户通信标识符相对应的客户混淆转移标识符,并且所述方法还包括:
至少部分地基于所述客户混淆转移标识符、所述第一用户账户标识符和所述第二用户账户标识符来生成服务器混淆转移标识符;以及
至少部分地基于所述服务器混淆转移标识符,确定与发送所述资金金额的所述请求相关联的欺诈风险,所述欺诈风险特定于所述第二电子设备、所述第一用户通信标识符、所述第一用户账户标识符和所述第二用户账户标识符。
14.根据权利要求13所述的方法,其中向与所述第二账户主凭据相对应的所述第二凭据发行系统提供转移所述资金金额的所述请求包括:
当所确定的欺诈风险满足预定阈值时:
向与所述第二账户主凭据相对应的所述第二凭据发行系统提供转移所述资金金额的所述请求;以及
将所述转移是否完成的所述指示与所述服务器混淆转移标识符相关联地存储。
15.根据权利要求13所述的方法,其中所述第一电子设备在所述管理实体系统处被注册到所述第一用户账户标识符,并且所述第二电子设备在所述管理实体系统处被注册到所二用户账户标识符。
16.根据权利要求13所述的方法,其中所述第一用户通信标识符包括电子邮件地址或电话号码中的至少一个。
17.一种系统,所述系统包括:
存储器,所述存储器被配置为存储与和第一电子设备的第一用户相对应的第一用户账户标识符相关联的第一账户辅凭据,以及存储与所述第一电子设备的所述第一用户相对应的第一用户通信标识符,其中所述第一账户辅凭据与第一凭据发行系统处的第一资金账户相对应;和
至少一个处理器,所述至少一个处理器被配置为:
从与第二用户账户标识符相对应的第二电子设备接收使用在所述第二电子设备上提供的第二账户主凭据向所述第一用户通信标识符发送资金金额的请求,其中所述请求包括客户混淆转移标识符和加密辅账户主凭据数据;
使用所述第一用户通信标识符来检索所述第一账户辅凭据;
至少部分地基于所述客户混淆转移标识符,确定与发送所述资金金额的所述请求相关联的欺诈风险,所述欺诈风险特定于所述第二电子设备、所述第一用户通信标识符、所述第一用户账户标识符和所述第二用户账户标识符;以及
当所确定的欺诈风险满足预定阈值时:
向与所述第二账户主凭据相对应的第二凭据发行系统提供转移所述资金金额的请求,所述请求包括与所述第一用户通信标识符相关联的所述第一账户辅凭据、所述加密的第二账户主凭据数据和所述资金金额的指示;
从所述第二凭据发行系统接收所述转移是否完成的指示;以及
将所述转移是否完成的所述指示与所述客户混淆转移标识符相关联地存储。
18.根据权利要求17所述的系统,其中所述客户混淆转移标识符与所述第二电子设备的设备标识符和所述第一用户通信标识符相对应。
19.根据权利要求18所述的系统,其中所述至少一个处理器还被配置为:
至少部分地基于所述客户混淆转移标识符、所述第一用户账户标识符和所述第二用户账户标识符来生成服务器混淆转移标识符,其中所述转移是否完成的所述指示还与所述服务器混淆转移标识符相关联地存储。
20.根据权利要求19所述的系统,其中所述加密的第二账户主凭据数据使用所述第二凭据发行系统能够访问且所述系统不能访问的密钥来加密。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762507026P | 2017-05-16 | 2017-05-16 | |
US62/507,026 | 2017-05-16 | ||
PCT/US2018/032931 WO2018213419A1 (en) | 2017-05-16 | 2018-05-16 | Facilitating a fund transfer between user accounts |
CN201880033494.XA CN110663055A (zh) | 2017-05-16 | 2018-05-16 | 促进用户帐户之间的资金转移 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880033494.XA Division CN110663055A (zh) | 2017-05-16 | 2018-05-16 | 促进用户帐户之间的资金转移 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116128497A true CN116128497A (zh) | 2023-05-16 |
Family
ID=62567798
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310254776.5A Pending CN116128497A (zh) | 2017-05-16 | 2018-05-16 | 促进用户帐户之间的资金转移 |
CN201880033494.XA Pending CN110663055A (zh) | 2017-05-16 | 2018-05-16 | 促进用户帐户之间的资金转移 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880033494.XA Pending CN110663055A (zh) | 2017-05-16 | 2018-05-16 | 促进用户帐户之间的资金转移 |
Country Status (4)
Country | Link |
---|---|
US (2) | US20180336553A1 (zh) |
KR (1) | KR102323382B1 (zh) |
CN (2) | CN116128497A (zh) |
WO (1) | WO2018213419A1 (zh) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10846984B2 (en) * | 2016-02-24 | 2020-11-24 | Uplay1 | Casino crypto currency systems and methods |
SG10201606177UA (en) * | 2016-07-26 | 2018-02-27 | Mastercard International Inc | Method And System For Transferring Funds From A Sender Account To A Receiver Account |
US11687929B2 (en) * | 2018-03-23 | 2023-06-27 | American Express Travel Related Services Co., Inc. | Authenticated secure online and offline transactions |
US11416863B2 (en) * | 2018-04-11 | 2022-08-16 | Wells Fargo Bank, N.A. | System and methods for assessing risk of fraud in an electronic transaction |
FR3080934B1 (fr) * | 2018-05-02 | 2021-06-11 | Marbeuf Conseil Et Rech | Procede et systeme pour effectuer un echange de donnees securise |
US10698743B2 (en) | 2018-06-21 | 2020-06-30 | Paypal, Inc. | Shared application interface data through a device-to-device communication session |
US11129014B2 (en) * | 2019-03-08 | 2021-09-21 | Apple Inc. | Methods and apparatus to manage inactive electronic subscriber identity modules |
US20210004454A1 (en) * | 2019-07-07 | 2021-01-07 | Apple Inc. | Proof of affinity to a secure event for frictionless credential management |
US11354634B2 (en) | 2020-01-02 | 2022-06-07 | Bank Of America Corporation | System for layered digital resource distribution in an electronic network environment |
AU2021282595A1 (en) * | 2020-06-05 | 2022-12-15 | Liveperson Inc. | Request processing via rich messaging systems |
US20220084036A1 (en) * | 2020-09-17 | 2022-03-17 | Early Warning Services, Llc | Systems and methods for determining the health of social tokens |
US11843702B2 (en) * | 2020-11-20 | 2023-12-12 | The Toronto-Dominion Bank | System and method for secure distribution of resource transfer request data |
US20220166616A1 (en) * | 2020-11-24 | 2022-05-26 | International Business Machines Corporation | Key reclamation in blockchain network via oprf |
US11985241B2 (en) * | 2020-12-29 | 2024-05-14 | Visa International Service Association | Method and system for token transfer |
WO2022182389A1 (en) * | 2021-02-25 | 2022-09-01 | Visa International Service Association | Digital tag including request for interaction |
US20240242206A1 (en) * | 2021-05-27 | 2024-07-18 | Visa International Service Association | User verification with digital tag |
CN113489763B (zh) * | 2021-06-18 | 2023-11-21 | 深圳软牛科技有限公司 | 关闭查找我的手机功能的方法、装置、设备及存储介质 |
US12086792B2 (en) * | 2022-01-20 | 2024-09-10 | VocaLink Limited | Tokenized control of personal data |
US11907936B2 (en) * | 2022-04-12 | 2024-02-20 | DefiQ, Inc. | Non-custodial, recoverable wallet that stores private key amongst multiple secure storage mechanisms |
US11810123B1 (en) * | 2022-05-10 | 2023-11-07 | Capital One Services, Llc | System and method for card present account provisioning |
US12086220B1 (en) * | 2024-02-22 | 2024-09-10 | Stanley Kevin Miles | Systems and methods for remote server authentication of physical access tokens |
Family Cites Families (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7123608B1 (en) * | 1999-09-10 | 2006-10-17 | Array Telecom Corporation | Method, system, and computer program product for managing database servers and service |
US7216163B2 (en) * | 2002-05-15 | 2007-05-08 | Oracle International Corporation | Method and apparatus for provisioning tasks using a provisioning bridge server |
US8100332B2 (en) * | 2004-02-26 | 2012-01-24 | Ifuel, Llc | Payments using pre-paid accounts |
US20120271762A1 (en) | 2004-08-02 | 2012-10-25 | Ebay Inc. | Method and system to facilitate a transfer of funds between parties using a telephone-enabled device |
WO2007044500A2 (en) * | 2005-10-06 | 2007-04-19 | C-Sam, Inc. | Transactional services |
US8290433B2 (en) * | 2007-11-14 | 2012-10-16 | Blaze Mobile, Inc. | Method and system for securing transactions made through a mobile communication device |
US8352323B2 (en) * | 2007-11-30 | 2013-01-08 | Blaze Mobile, Inc. | Conducting an online payment transaction using an NFC enabled mobile communication device |
BRPI0710021A2 (pt) * | 2006-03-30 | 2011-08-02 | Obopay Inc | sistema de pagamento individualizado móvel |
US20070294224A1 (en) * | 2006-06-16 | 2007-12-20 | Jean-Jacques Heler | Tracking discrete elements of distributed transactions |
CN101324950A (zh) * | 2008-07-23 | 2008-12-17 | 中国建设银行股份有限公司 | 一种通过手机实现转帐的方法和系统 |
US9021601B2 (en) * | 2009-10-23 | 2015-04-28 | Vasco Data Security, Inc. | Strong authentication token usable with a plurality of independent application providers |
US8522335B2 (en) * | 2009-12-01 | 2013-08-27 | International Business Machines Corporation | Token mediation service in a data management system |
US20110313921A1 (en) * | 2009-12-14 | 2011-12-22 | Sanjeev Dheer | Internetworking Between P2P Networks |
KR101170055B1 (ko) * | 2010-10-15 | 2012-07-31 | 단국대학교 산학협력단 | 토큰을 이용한 전자 금융 거래 방법 및 시스템 |
US20120215810A1 (en) * | 2011-02-11 | 2012-08-23 | Prometheus Research, LLC | Database query mechanism using links as an aggregate base |
US8856043B2 (en) | 2011-02-18 | 2014-10-07 | Visa International Service Association | Method and system for managing data and enabling payment transactions between multiple entities |
US20120284187A1 (en) | 2011-03-15 | 2012-11-08 | Ayman Hammad | System and method for processing payment transactions |
WO2012151251A2 (en) * | 2011-05-03 | 2012-11-08 | Panther Payments, LLC | Method and system for facilitating person-to person payments |
US8955037B2 (en) * | 2011-05-11 | 2015-02-10 | Oracle International Corporation | Access management architecture |
US9465933B2 (en) | 2012-11-30 | 2016-10-11 | Intel Corporation | Virtualizing a hardware monotonic counter |
US9516018B1 (en) * | 2013-03-15 | 2016-12-06 | Microstrategy Incorporated | Credential technology |
AU2014265291B2 (en) * | 2013-05-15 | 2019-05-16 | Visa International Service Association | Mobile tokenization hub |
US9560519B1 (en) * | 2013-06-06 | 2017-01-31 | Sprint Communications Company L.P. | Mobile communication device profound identity brokering framework |
US20150058191A1 (en) * | 2013-08-26 | 2015-02-26 | Apple Inc. | Secure provisioning of credentials on an electronic device |
US10769262B1 (en) * | 2014-01-17 | 2020-09-08 | Microstrategy Incorporated | Enabling use of credentials |
SG2014011779A (en) * | 2014-02-11 | 2015-09-29 | Smart Communications Inc | Remittance system and method |
US9210154B2 (en) * | 2014-02-28 | 2015-12-08 | Edgecast Networks, Inc. | Providing localized content delivery with remote token authentication |
US10706380B2 (en) * | 2014-05-08 | 2020-07-07 | Visa International Service Association | Split shipment processing |
CN105321068A (zh) * | 2014-06-17 | 2016-02-10 | 中国电信股份有限公司 | 具有nfc功能的智能终端间划转的方法与系统 |
US20170132633A1 (en) * | 2014-06-27 | 2017-05-11 | Psi Systems, Inc. | Systems and methods providing payment transactions |
US9866393B1 (en) | 2014-12-22 | 2018-01-09 | Amazon Technologies, Inc. | Device for creating reliable trusted signatures |
US9674162B1 (en) * | 2015-03-13 | 2017-06-06 | Amazon Technologies, Inc. | Updating encrypted cryptographic key pair |
US10346848B2 (en) * | 2015-06-07 | 2019-07-09 | Apple Inc. | Provisioning multiple secure credentials on an electronic device |
CN105139200A (zh) | 2015-07-31 | 2015-12-09 | 腾讯科技(深圳)有限公司 | 一种电子资源处理方法、装置及服务器 |
CA2944306C (en) * | 2015-10-30 | 2023-11-14 | The Toronto-Dominion Bank | Validating encrypted data from a multi-layer token |
US10963870B2 (en) * | 2015-11-10 | 2021-03-30 | Vaposun Inc. | Method and system for network communication |
US10182460B2 (en) * | 2016-03-14 | 2019-01-15 | Zynga Inc. | Multitenancy gaming services platform |
US10742419B2 (en) * | 2016-03-15 | 2020-08-11 | Visa International Service Association | Validation cryptogram for transaction |
CN106022743A (zh) * | 2016-06-01 | 2016-10-12 | 中国银联股份有限公司 | 点对点转账系统和方法 |
CN109997141B (zh) * | 2016-10-24 | 2023-10-17 | 乐威指南公司 | 用于使用双因素认证来控制对媒体资产访问的系统和方法 |
US10599480B2 (en) * | 2017-05-05 | 2020-03-24 | Red Hat, Inc. | Cascading job scheduling in guests |
-
2018
- 2018-05-16 CN CN202310254776.5A patent/CN116128497A/zh active Pending
- 2018-05-16 US US15/981,200 patent/US20180336553A1/en not_active Abandoned
- 2018-05-16 WO PCT/US2018/032931 patent/WO2018213419A1/en active Application Filing
- 2018-05-16 KR KR1020197034828A patent/KR102323382B1/ko active IP Right Grant
- 2018-05-16 CN CN201880033494.XA patent/CN110663055A/zh active Pending
-
2022
- 2022-06-17 US US17/843,924 patent/US11687920B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20220327528A1 (en) | 2022-10-13 |
KR20200004832A (ko) | 2020-01-14 |
US20180336553A1 (en) | 2018-11-22 |
US11687920B2 (en) | 2023-06-27 |
WO2018213419A1 (en) | 2018-11-22 |
KR102323382B1 (ko) | 2021-11-08 |
CN110663055A (zh) | 2020-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11687920B2 (en) | Facilitating a fund transfer between user accounts | |
CN109417574B (zh) | 管理电子设备上的多个用户的凭据 | |
US20210004454A1 (en) | Proof of affinity to a secure event for frictionless credential management | |
CN107067251B (zh) | 使用具有地理上受限的非本地凭据的电子设备进行交易 | |
US12039525B2 (en) | Validating online access to secure device functionality | |
CN110599342B (zh) | 基于区块链的身份信息的授权方法及装置 | |
US20140143147A1 (en) | Transaction fee negotiation for currency remittance | |
WO2024197277A1 (en) | Contactless card based authentication of social media post |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |