CN116830139A - 用于支付卡的基于url的认证 - Google Patents

Abstract

用于认证支付卡的系统、方法、制品。服务器可以在数据库中将预期的卡标识符分配给非接触式卡，该非接触式卡与账户相关联。服务器可以从客户端设备接收包括统一资源定位符(URL)的请求，URL的参数包括卡标识符，其中，URL由非接触式卡发送到客户端设备。服务器可以从URL中提取卡标识符，并将所提取的卡标识符与数据库中预期的卡标识符进行比较。基于该比较，服务器可以确定所提取的卡标识符与预期的卡标识符匹配。服务器可以基于所提取的卡标识符与预期的卡标识符匹配而认证请求，并且向客户端设备发送指定该请求已被认证的指示。

Description

用于支付卡的基于URL的认证

相关申请的交叉引用

本申请要求于2021年2月3日提交的题为“URL-BASED AUTHENTICATION FORPAYMENT CARDS”的美国专利申请序列号17/166,622的优先权。上述专利申请的内容通过引用整体并入本文。

技术领域

本文的实施例总体上涉及计算平台，并且更具体地，涉及将支付卡轻拍到计算设备以进行基于统一资源定位符(URL)的认证。

背景技术

检测欺诈和其他恶意活动是与支付卡相关的常见安全问题。随着卡数量的增加，这些问题更加严重，一些金融机构发行了数百万张或更多的支付卡。先前的认证解决方案缺乏充分解决欺诈和安全问题所需的灵活性和可扩展性。

发明内容

本文公开的实施例提供了用于支付卡的基于URL的认证的系统、方法、制品和计算机可读介质。根据一个示例，一种方法包括由服务器在数据库中将预期的卡标识符分配给非接触式卡，该非接触式卡与账户相关联，该服务器包括存储器和处理器电路。该方法还可以包括由服务器从客户端设备接收包括统一资源定位符(URL)的请求，该URL的参数包括卡标识符，其中，URL由非接触式卡发送到客户端设备，并且由服务器从URL提取卡标识符。该方法还可以包括由服务器将所提取的卡标识符与数据库中的预期的卡标识符进行比较，并且由服务器基于该比较来确定所提取的卡标识符与预期的卡标识符匹配。该方法还可以包括由服务器基于所提取的卡标识符与预期的卡标识符匹配而认证该请求，以及由服务器向客户端设备发送指定了该请求已被认证的指示。描述并要求保护其它实施例。

附图说明

图1A-1C示出了用于支付卡的基于URL的认证的系统的实施例。

图2A-2B示出了用于支付卡的基于URL的认证的系统的实施例。

图3A-3C示出了支付卡的基于URL的认证的实施例。

图4A-4B示出了支付卡的基于URL的认证的实施例。

图5示出了第一逻辑流程的实施例。

图6示出了第二逻辑流程的实施例。

图7A-7B示出了示例非接触式卡。

图8示出了计算架构的一个实施例。

具体实施方式

本文公开的实施例提供了至少部分基于一个或多个统一资源定位符(URL)来认证支付卡的安全技术。URL可以包括分配给支付卡(并由其存储)的静态URL和/或由支付卡生成的动态URL。通常，URL可以包括由认证服务器用作认证过程的一部分的数据。例如，在静态URL上下文中，当支付卡被制造时，URL(和/或URL的一部分)可以被分配作为支付卡的卡标识符。URL(和/或URL的一部分)可以在数据库记录中被分配给支付卡，并存储在支付卡的存储器中以供以后使用。例如，URL可能是“http://www.example.com/auth？p＝cardidentifier”。在这样的示例中，整个URL可以是分配给卡的卡标识符。此外和/或可替选地，URL的“cardidentifier”参数可以是分配给卡的卡标识符，其中“cardidentifier”对应于字符串，诸如64或128个字母数字字符的字符串。此外，URL的至少一部分，诸如“http://www.example.com“部分，可以被指向认证服务器和/或应用。

在静态URL示例中，支付卡可以被轻拍到计算设备，诸如移动电话。这样做可以使支付卡生成包括URL的数据有效载荷，并使用无线通信(例如，近场通信(NFC)、蓝牙等)将包括URL的有效载荷发送到计算设备。一旦接收到，该URL就可以使设备的操作系统(OS)打开访问该URL的应用。该应用可以是网络浏览器或其他应用，诸如由卡的发行者提供的允许用户执行账户相关活动的账户应用。一旦打开，应用就可以使用请求来访问URL，例如，包括URL的超文本传输协议(HTTP)请求。认证服务器然后可以尝试认证URL(和/或对应于卡的URL的部分)。例如，认证服务器可以确定URL是否与存储在数据库中的URL匹配。如果存在匹配，则认证服务器可以认证该请求，并向设备发送认证成功的指示。在一些实施例中，该请求与诸如查看账户余额的操作相关联。在这样的实施例中，所请求操作的指示可以由卡和/或账户应用指定为URL的附加参数。在这样的实施例中，认证服务器可以识别所请求的操作参数，并向设备提供账户相关数据，诸如所请求的账户余额。该设备然后可以输出该指示和/或接收到的数据。该设备还可以基于成功的认证来允许执行一个或多个所请求的操作。然而，如果数据库中不存在URL的匹配，则认证服务器可以确定认证尝试已经失败。认证服务器然后可以向设备发送认证失败的指示，这可以限制任何所请求的操作。

在动态URL示例中，卡可以动态生成包括动态卡标识符的URL。例如，卡的小应用程序可以使用函数和/或算法(例如，散列函数、密码函数、随机数生成器等)来生成字母数字动态卡标识符作为URL的参数。卡可以将动态生成的URL发送到计算设备，计算设备继而启动使用请求访问URL的应用(例如，网络浏览器、帐户应用等)。在一些实施例中，对应于所请求的账户操作的附加参数可以由卡和/或账户应用添加到URL。服务器可以接收该请求并提取动态卡标识符。服务器还可以使用非接触式卡所使用的相同函数和/或算法来计算预期的动态卡标识符。如果由服务器生成的预期动态卡标识符与从URL提取的动态卡标识符匹配，则服务器可以认证该请求。否则，服务器可能以确定认证已经失败。服务器可以再次向设备发送认证结果的指示。如果认证成功，则服务器可以进一步向设备发送所请求的数据，诸如账户信息、余额等。在这样的示例中，可以基于指定所请求的账户操作的URL的附加参数来发送所请求的数据。

有利地，本文公开的实施例提高了所有设备和相关数据的安全性。例如，一些操作系统可以限制对存储在支付卡中的数据和/或存储在支付卡中的特定类型数据的访问。因此，传统的认证技术不能正常工作。然而，有利地，本文公开的实施例允许支付卡生成用于认证的URL。由于URL太复杂而不能被恶意实体复制，因此本文公开的实施例提高了支付卡和与支付卡相关联的计算服务的安全性。

总体上参考本文所使用的符号和术语，以下详细描述的一个或多个部分可以在计算机或计算机网络上执行的程序过程方面呈现。这些过程描述和表示被本领域技术人员用来将其工作的实质最有效地传达给本领域其他技术人员。过程在此处并且通常地被认为是导致所期结果的自洽操作序列。这些操作是需要物理量的物理操纵的操作。通常，尽管不是必须的，这些量采取能够被存储、转移、组合、比较和以其他方式操纵的电、磁或光信号的形式。主要出于通用的原因，有时将这些信号称为位、值、元件、符号、字符、项、数字或诸如此类被证明是方便的。但是，应注意，所有这些和类似术语均应与适当的物理量相关联，并且仅是应用于这些量的方便标签。

此外，这些操纵通常被称为诸如添加或比较之类的术语，其通常与人类操作员执行的智力操作相关联。但是，在构成一个或多个实施例的一部分的本文所描述的任何操作中，在大多数情况下人类操作员的这种能力是不需要的或不期望的。而是，这些操作是机器操作。用于执行各种实施例的操作的有用机器包括由存储在其中的根据本文的教导编写的计算机程序选择性地激活或配置的数字计算机，和/或包括为所需目的而特别构造的装置或数字计算机。各种实施例还涉及用于执行这些操作的装置或系统。这些装置可以为所需目的特别构造。从给出的描述中，各种这些机器所需的结构将是显而易见的。

现在参考附图，其中相似的附图标记始终用于指代相似的元件。在下面的描述中，出于解释的目的，阐述了许多具体细节以便提供对其的透彻理解。然而，很明显，没有这些具体细节也可以实践新颖实施例。在其他实例中，以框图形式示出了公知的结构和设备，以便促进其描述。目的是覆盖权利要求范围内的所有修改、等同物和替代物。

图1A描绘了与所公开的一致的示例性系统100的示意图。如示出的，系统100包括一个或多个非接触式卡101、一个或多个移动设备110和认证服务器120。非接触式卡101表示任何类型的支付卡，诸如信用卡、借记卡、ATM卡、礼品卡和诸如此类。非接触式卡101可以包括一个或多个通信接口150，诸如射频识别(RFID)芯片，其被配置为经由NFC、Europay、MasterCard和Visa()标准或无线通信中的其他短程协议与移动设备110通信。尽管NFC被用作示例通信协议，但是本公开同样适用于其他类型的无线通信，诸如EMV标准、蓝牙和/或Wi-Fi。移动设备110表示任何类型的网络使能的计算设备，诸如智能电话、平板计算机、可穿戴设备、手提电脑、便携式游戏设备和诸如此类。服务器120表示任何类型的计算设备，诸如服务器、工作站、计算机集群、云计算平台、虚拟化计算系统和诸如此类。

如图所示，移动设备110的存储器111包括操作系统(OS)112的实例。示例操作系统112包括和/>操作系统。如图所示，OS112包括账户应用113、一个或多个其他应用114和网络浏览器115。账户应用113允许用户执行各种与账户相关操作，诸如查看账户余额、购买物品和/或处理支付。在一些实施例中，用户必须使用认证凭证进行认证以访问帐户应用113。例如，认证凭证可以包括用户名和密码、生物识别凭证等。在一些实施例中，认证服务器120可以提供如下更详细描述的所需认证。网络浏览器115是允许移动设备110经由网络130(例如，经由互联网)访问信息的应用。例如，用户可以使用网络浏览器115从商家的网站进行购买。网络浏览器115是用于经由网络130访问信息(例如，进行购买、访问账户信息等)的应用的一个示例。其他应用114代表用于经由网络130访问信息的任何其他类型的应用，诸如由允许用户进行购买的商家提供的应用，或其他应用商店应用。

如图所示，服务器120包括认证应用123、分配给每个非接触式卡101的私有密钥104的实例、账户数据124、URL 126。账户数据124可以至少包括私有密钥104、客户ID 107、关联非接触式卡101、卡标识符、账户持有人姓名、账户账单地址、一个或多个收货地址、一个或多个虚拟卡号以及每个账户的传记信息。URL 126可以包括分配给非接触式卡的一个或多个URL和/或卡ID以及关联客户账户的指示(例如，关联客户ID)。

有利地，系统100被配置为使用由非接触式卡101存储和/或生成的一个或多个URL来提供基于URL的认证。如图所示，非接触式卡101包括存储用于由处理器执行(图1中未画出)的小应用程序103的存储器102。存储器102还存储私有密钥104的实例和一个或多个URL106的数据存储。URL 106可以反映在制造非接触式卡101时可以分配给非接触式卡101的一个或多个静态URL。此外，如参考图2A-2B所讨论的，非接触式卡101的小应用程序103可以生成一个或多个动态URL。

在静态URL上下文中，分配给非接触式卡101的一个或多个静态URL可以由服务器120存储，诸如在制造卡时存储在URL 126和/或账户数据124中。这样做反映了URL与非接触式卡101相关联。URL 126可以存储多个URL以及与每个URL相关联的账户和/或非接触式卡101的指示。通常，静态URL 106可以包括资源定位符部分，诸如“http://www.example.com”，其可以标识资源的位置，诸如服务器120、认证应用123和/或帐户应用113。此外，静态URL 106可以包括卡标识符(ID)部分。例如，第一URL 106-1可以是“http://www.example.com/？cardid＝123ABC456”。在这样的示例中，“cardid”部分标识URL的卡ID参数，并且“123ABC456”是卡ID的简化示例。在其他示例中，卡ID可以是更长的(例如，64位、128位、256位等)字母数字字符串。在一个示例中，卡ID是EMV标准中定义的支付账户参考(PAR)值。PAR值可以唯一地与给定的非接触式卡101(和/或非接触式卡的主帐号(PAN))和与非接触式卡101相关联的任何支付令牌相关联。因此，在这样的示例中，每个非接触式卡101可以存储唯一的PAR值。更一般地，卡ID可以采用任何合适的格式和/或长度。在一些示例中，整个URL 106-1包括卡ID。在一些示例，URL可以是打开本地资源(例如，帐户应用113的页面、其他应用114之一等)的通用链接URL。

因此，在非接触式卡101的制造期间，非接触式卡101可以与一个或多个卡标识符相关联。例如，存储在存储器中的第二URL 106-2可以是“http://www.example.com/？cardid＝789XYZ012”，其中“789XYZ012”是示例卡ID参数。通常，可以使用任何合适的算法来生成分配给非接触式卡101的被包括作为URL 106的参数的卡ID和/或静态URL 106。例如，散列函数、加密算法、随机数生成器或任何其他类型的算法中的一个或多个可以用于为非接触式卡101生成一个或多个卡ID和/或静态URL 106。在一些实施例中，可以使用非接触式卡101的私有密钥104对卡ID进行加密。例如，可以使用非接触式卡101的私有密钥104对PAR值进行加密，从而生成经加密的PAR值以用作URL 106的卡ID参数。作为另一示例，散列函数可以用于计算散列值，并且加密函数可以对散列值进行加密，从而生成经加密的散列值以用作URL 106的卡ID参数。通常，认证应用123可以为多个非接触式卡101生成静态卡ID和/或URL 106，并且将卡ID和/或URL 106存储在与对应账户相关联的一个或多个记录中(例如，在账户数据124和/或URL126中)。

在静态URL示例中，非接触式卡101可以使用偏移值或一些其他选择模式，用于从多个静态URL 106的列表中选择一个静态URL。例如，如果非接触式卡101包括100个不同的静态URL 106，则小应用程序103可以对最近使用的URL 106(或者在第一选择实例中的初始URL 106)应用偏移，例如，选择每第二、第三、第四、第五等URL 106，以提供额外的安全措施。这样做允许认证应用123确定对应的偏移，并选择100个静态URL中的一个作为期望的URL进行比较。

静态URL 106(和/或由小应用程序103动态生成的任何URL)可以在各种上下文中使用，以提供基于URL的认证，该认证是通过非接触式卡101对设备110的轻拍(或其他类似手势)发起的。例如，当卡101被轻拍到设备110时，设备110可以显示OS112的主屏幕。在一些这样的实施例中，设备110可以不包括帐户应用113的实例，并且从卡101接收的URL可以使得OS112针对接收到的URL启动网络浏览器115。作为另一个示例，网络浏览器115可以在OS的前台中运行。作为又一示例，帐户应用113可以在OS的前台中运行。此外，每个应用113、114、115可以处于任何状态以提供基于URL的认证。例如，账户应用113可以位于登录页面、接收到认证凭证后的账户详细信息页面、转账余额页面等。类似地，商家应用114可以位于用于处理订单的结账页面。实施例不限于这些上下文。

更一般地，为了利用基于URL的认证，用户可以将非接触式卡101轻拍到移动设备110，从而使非接触式卡101充分靠近移动设备110的读卡器118(例如，通信接口)，以使得能够在非接触式卡101的通信接口150和移动设备110的读卡器118之间进行NFC数据传输。在一些实施例中，移动设备110可以经由应用程序接口(API)调用来触发读卡器118。在一个示例中，响应于用户轻拍或以其他方式选择用户界面的元素(例如表单字段)，移动设备110经由API调用来触发读卡器。此外和/或可替选地，移动设备110可以基于周期性地轮询读卡器118来触发读卡器118。更一般地，移动设备110可以使用任何可行的方法触发读卡器118参与通信。在移动设备110和非接触式卡101之间建立了通信之后，非接触式卡101生成消息认证码(MAC)密码。在一些示例中，当账户应用113和/或OS112读取非接触式卡101时，这可能发生。特别地，这可能发生在近场数据交换(NDEF)标签的读取(诸如NFC读取)时，该标签可以根据NFC数据交换格式创建。密码可以包括用于基于URL认证的静态URL 106和/或动态URL。

在一个这样的例子中，非接触式卡101的小应用程序103生成数据包(例如，NDEF文件)，并经由通信接口150将其发送到移动设备110。在一些实施例中，由非接触式卡101生成的数据包可以包括从静态URL 106中选择的静态URL 106-1。如参考图2A-2B更详细地讨论的，小应用程序可以附加地和/或可替选地生成动态URL。如上所述，URL 106还可以包括由认证服务器120用来验证由非接触式卡101生成的数据的参数(例如，卡ID)。此外，在一些实施例中，URL 106可以包括用于指定所请求的操作的附加参数。例如，账户应用113的用户可能希望查看账户余额。在这样的示例中，账户应用113可以指示小应用程序103向URL 106添加附加参数，该附加参数指示URL 106与所请求的账户余额操作相关联。

图1B描绘了其中非接触式卡101的小应用程序103已经选择了示例URL 106-1的实施例。如图所示，小应用程序103可以将所选择的静态URL 106-1发送到移动设备110。如上所述，设备110可以处于任何活动状态以利用基于URL的认证。因此，例如，OS112可以基于接收到的URL 106-1来启动应用。例如，OS112可以启动网络浏览器115，其可以跟随或以其他方式访问或加载URL106-1。在另一个实施例中，OS112可以打开帐户应用113，其可以访问URL 106-1。在又一个实施例中，OS112可以打开与URL 106-1相关联的其他应用114中的一个。在一些实施例中，账户应用113可以将附加数据添加到URL，诸如对应于所请求的操作(例如，查看账户余额、生成虚拟账号等)的附加参数。此外，账户应用113和/或其他应用114可以将URL 106-1发送到认证应用123的适当服务器和/或实例(例如，由商家A提供的应用114可以向与商家A相关联的服务器发送URL 106-1)。

在图1B所示的示例中，URL 106-1的至少一部分可以被指向认证应用123和/或认证服务器120。在一些示例中，网络浏览器115和/或账户应用113可以生成请求，诸如包括URL 106-1的超文本传输协议(HTTP)请求131。在一些实施例中，URL 106-1使得账户应用113被OS112打开，并且账户应用113继而向认证应用123生成至少包括卡ID参数和/或URL106-1的请求131。然而，如上所述，在一些实施例中，帐户应用113的实例没有安装在设备110上。因此，在这样的实施例中，URL 106-1可以由OS112接收。响应于接收到URL 106-1，OS112然后可以打开网络浏览器115，并使网络浏览器115生成指向URL 106-1的HTTP请求131。

认证应用123通常可以接收请求131并尝试认证卡ID。例如，如果URL包括经加密的卡ID(例如，经加密的PAR值、经加密的客户ID等)，则认证应用123可以使用存储在服务器120的存储器122中的私有密钥104的副本解密密码有效载荷。私有密钥104可以与存储在非接触式卡101的存储器102中的私有密钥104相同，其中每个非接触式卡101被制造为包括唯一私有密钥104(并且服务器120存储每个唯一私有密钥104的对应副本)。因此，认证应用123可以成功地解密经加密的卡ID。在卡ID未被加密的实施例中，认证应用123通常可以从URL 106-1中提取卡ID参数。然而，如上所述，在一些实施例中，URL 106-1以其整体包括卡ID。然而，为了清楚起见，讨论将继续使用卡ID参数，而不是URL 106-1以其整体作为卡ID。

一旦解密和/或提取，认证应用123就可以将卡ID与一个或多个已知或预期的卡ID进行比较，以尝试找到匹配。在一些实施例中，由于每个卡ID和/或URL是唯一的，并且太复杂而不能被恶意行为者成功复制，所以认证应用123可以将卡ID与URL 126和/或账户数据124进行比较以找到任何匹配的卡ID。如果匹配存在(例如，卡ID与一个或多个URL 126的参数和/或在账户数据124中指定的卡ID匹配)，则认证应用123可以认证该请求(和/或卡ID和/或URL 106-1)。例如，如果卡ID是PAR值，认证应用123可以确定经解密的PAR值是否匹配一个或多个URL 126的参数和/或帐户数据124中分配给卡101的PAR值。在其他实施例中，认证应用123可以接收允许认证应用123对预期的卡ID进行更集中的搜索的信息。例如，如果请求131是由账户应用113生成的，则用户可能已经使用认证凭证(例如，生物识别凭证、登录/密码等)登录到他们的帐户。在这样的示例中，帐户应用113可以在URL 106-1中包括帐户ID参数。这样做允许认证应用123在账户数据124的一个或多个记录中和/或与账户ID参数相关联的URL 126中识别与非接触式卡101相关联的一个或多个卡ID。此外，如上所述，小应用程序103可以使用偏移或其他选择模式来选择多个URL 106中的一个作为URL 106-1。在这样的示例中，认证应用123可以应用相同的偏移来选择用于比较的URL 106(例如，分配给非接触式卡101的URL列表中的第四个URL)。这样做允许认证应用123在有效URL被接收到但没有基于偏移被正确选择的情况下(例如，接收到存储在非接触式卡101中的第二个URL106，但基于偏移或其他选择逻辑预期第四个URL)致使认证失败。

如果存在匹配，则认证应用123可以对请求(和/或卡ID和/或URL 106-1)进行认证。在一些实施例中，认证应用123可以从设备110接收位置数据(例如，全球定位系统(GPS)坐标、用于确定位置的IP地址等)。在这样的实施例中，认证应用123可以确定位置数据是否指示设备110在与帐户相关联的一个或多个已知位置(例如，家庭地址、工作地址等)的阈值距离内。如果设备不在已知位置的阈值距离内，则认证应用123可以确定认证失败。

在一些实施例中，基于成功的认证，认证应用123可以向设备110提供数据，诸如账户余额、虚拟卡号、对账单数据等。在一些这样的实施例中，认证应用123基于指定所请求的操作的URL 106-1的附加参数(例如，指定查看账户余额、返回虚拟账号等的参数)来选择数据。例如，在由于设备110不包括帐户应用113的实例而由网络浏览器115生成请求131的实施例中，认证应用123可以向网络浏览器115发送指令，该指令使得网络浏览器115和/或OS112下载并在设备110上安装帐户应用113的实例。

更一般地，如果没有找到卡ID和/或URL 106-1的匹配，则认证应用123可以确定认证失败。在这样的示例中，认证应用123可以向设备110发送响应。作为响应，请求应用(例如，网络浏览器115和/或帐户应用113)可以向用户输出指定认证失败的指示。这样做增强了非接触式卡101和/或底层账户的安全性，因为在没有来自认证应用123的批准的情况下，非接触式卡101不能用于执行操作。

图1C描绘了一个实施例，其中认证应用123成功地认证了请求131中指定的卡ID和/或URL 106-1，例如，通过确定URL 126和/或帐户数据124中存在卡ID和/或URL 106-1的匹配。如图所示，认证应用123发送指示认证成功的认证结果140。认证结果140向移动设备110指示认证是成功还是不成功。在所描绘的实施例中，因为认证成功，所以认证应用123进一步向设备110发送账户数据124-1。账户数据124-1可以用于与非接触式卡101相关联的账户。在一些实施例中，认证应用123基于与基于URL的认证相关联的默认数据(例如，账户持有人姓名、账户余额等)来选择账户数据124-1。在其他实施例中。认证应用123基于请求131中的参数来选择账户数据124-1。例如，URL 106-1的参数可以指定返回帐户账单地址。在这样的示例中，认证应用123可以从账户数据124中选择账户账单地址作为账户数据124-1。

更一般地，可以基于URL 106-1和/或卡ID的成功认证来执行任何数量和类型的操作。例如，认证应用123可以指示帐户应用113、其他应用114和/或网络浏览器115捕获帐户的认证凭证(例如，生物识别数据、用户名/密码等)。所捕获的凭证然后可以被发送到认证应用123用于验证和/或由帐户应用113本地验证。作为另一个示例，认证应用123可以使得为该账户生成一次性使用虚拟账号(VAN)。VAN和相关联的到期日期和卡验证值(CVV)然后可以被发送到设备110。在一些实施例中，接收到的VAN、到期日期和/或CVV可以被自动填充到一个或多个表单。在一些实施例中，VAN、到期日期和/或CVV可以由账户应用113、其他应用114和/或网络浏览器115复制到OS112的剪贴板。实施例不限于这些上下文。作为另一个示例，可以基于接收到的反映成功认证的认证结果140来执行一个或多个操作。例如，如果账户应用113可以允许为该账户提交支付。作为附加示例，账户应用113可以允许余额转移、地址更改或任何其他类型的账户相关操作。作为另一个示例，认证应用123可以向网络浏览器115发送指令，该指令使得网络浏览器115和/或OS112下载并在设备110上安装账户应用113的实例。

图2A示出了根据一个实施例的用于非接触式卡101的基于URL的认证的系统200。如图所示，系统200包括非接触式卡101、设备110和图1A-1C的服务器120。通常，图2A-2C反映了非接触式卡101生成用于由服务器120认证的“动态”URL的实施例。通常，在这样的实施例中，对于每个非接触式卡101，URL 126和/或账户数据124可以包括用于促进动态URL认证的一些数据。例如，URL 126和/或账户数据124可以包括与非接触式卡相关联的客户的客户ID 107、分配给非接触式卡101的一个或多个卡ID、由小应用程序103用于生成数据的算法等。

如图所示，卡101可以被轻拍到设备110，这可以使小应用程序103生成用于认证的动态URL 241。小应用程序103可以使用任何合适的逻辑来生成动态URL和/或URL的动态参数(例如，动态卡ID)。例如，小应用程序103可以使用散列函数、加密函数、随机数生成器或任何其他逻辑来产生适当长度的字母数字串(例如，256位、128位等)作为动态卡ID。在一些实施例中，小应用程序103选择包括URL的基本部分(例如，http://www.example.com”)的URL 106-1，并生成作为参数添加到URL的基本部分的卡ID(例如，“cardid＝ABC123”)。在其他实施例中，小应用程序103被编程为生成整个URL，包括基本部分和卡ID部分。

例如，非接触式卡101的小应用程序103可以使用密码算法来至少部分基于存储在非接触式卡101的存储器102中的私有密钥104和客户ID 107来生成密码卡ID。例如，小应用程序103可以使用私有密钥104和密码算法对客户ID 107进行加密。一般来说，小应用程序103可以使用任何类型的密码算法和/或系统来生成密码卡ID，并且使用特定密码算法作为本文的示例不应被认为是对本公开的限制。密码算法可以包括加密算法、基于散列的消息认证码(HMAC)算法、基于密码的消息认证码(CMAC)算法等。密码算法的非限制性示例可以包括对称加密算法，诸如3DES或AES128；对称HMAC算法，诸如HMAC-SHA-256；以及诸如AES-CMAC的对称CMAC算法。在一些实施例中，小应用程序103可以使用密钥多样化技术来执行加密，以生成密码有效载荷。2018年11月29日提交的美国专利申请16/205,119中描述了密钥多样化技术的示例。上述专利申请通过引用整体并入本文。

在密钥多样化示例中，非接触式卡101和服务器120可以保持计数器值。通常，计数器值包括在给定的非接触式卡101和服务器120之间同步的值。计数器值可以包括每次在非接触式卡101和服务器120(和/或非接触式卡101和移动设备110)之间交换数据时改变的数字。当准备发送数据(例如，到服务器120和/或移动设备110)时，非接触式卡101的小应用程序103可以递增计数器值。非接触式卡101然后可以将私有密钥104和计数器值作为给密码算法的输入，该密码算法产生多样化密钥作为输出。非接触式卡101然后可以使用多样化密钥和数据作为给密码算法的输入来加密数据(例如，客户ID 107和/或任何其他数据)。例如，用多样化密钥加密客户ID 107可以产生经加密的客户ID。当接收到经加密的数据(例如，经加密的客户ID 107)时，服务器可以递增计数器值。

尽管客户ID 107被用作可以被加密以形成密码卡ID的数据的示例，但是其他数据元素也可以被加密。例如，可以对静态URL、卡ID、PAR或帐户持有人的任何其他属性进行加密，以生成密码卡ID。实施例不限于此上下文。

通常，一旦计算，非接触式卡101的小应用程序103可以包括密码卡ID作为URL的参数，其在图2A中被显示为动态URL 241。在一些实施例中，账户应用113指示小应用程序103包括与所请求的用户操作(例如，查看账户余额)相关联的参数作为动态URL 241的参数。小应用程序103然后可以将该参数包括在动态URL 241中。此外和/或可替选地，小应用程序103可以包括用于生成卡ID的算法的指示，作为动态URL 241的参数。这样做可以帮助认证应用123认证动态URL 241。作为另一个示例，小应用程序103可以包括卡ID是PAR值的指示，作为URL 241的参数。在一些实施例中，动态URL 241可以被指向认证应用123和/或认证服务器120，并且至少包括卡ID作为参数。然而，如上所述，如果帐户应用113没有安装在设备110上，则OS112可以指示小应用程序103生成URL。小应用程序103的逻辑然后可以确定要生成动态URL 241。在一个实施例中，小应用程序103可以存储PAR值。在另一个实施例中，卡101包括多个小应用程序，并且小应用程序103可以从另一个小应用程序(例如，EMV小应用程序)接收PAR值。

然后，小应用程序103可以向移动设备110发送动态URL 241。在一些实施例中，设备110的OS112启动适当的应用(例如，帐户应用113、其他应用114和/或网络浏览器115)，并向启动的应用提供URL 241。在账户应用113被启动(或者已经在OS112的前台执行)的实施例中，OS112可以向账户应用113提供URL 241，账户应用113可以提供附加数据作为URL 241的参数。例如，账户应用113可以插入GPS坐标作为URL 241的参数，插入一个或多个所请求的操作的指示作为参数等。无论OS112启动、打开或以其他方式调用的应用如何，请求231都可以包括动态URL 241，其通常可以将动态URL 241发送到认证服务器120。与静态URL一样，所启动的应用还可以将动态URL 241发送到相关联的服务器(例如，商家应用114可以将动态URL241发送到商家服务器以进行认证)。在账户应用113没有安装在设备110上的实施例中，URL 241可以使OS112启动网络浏览器115，并使网络浏览器115访问URL 241(例如，通过生成请求231)。

然后，认证应用123可以尝试对URL 241进行认证。例如，如果URL 241包括经加密的卡ID作为密码卡ID，则认证应用123可以使用存储在服务器120的存储器122中的私有密钥104的副本来解密密码卡ID。私有密钥104可以与存储在非接触式卡101的存储器102中的私有密钥104相同，其中每个非接触式卡101被制造为包括唯一私有密钥104(并且服务器120存储每个唯一私有密钥104的对应副本)。因此，如果认证应用123成功地解密了密码卡ID，则认证应用123可以确定经解密的卡ID是否与账户数据124和/或URL 126中的预期卡ID匹配。如果存在匹配，则认证应用123验证或认证卡ID。作为另一个示例，如果经加密的PAR被用作卡ID，则认证应用123可以解密PAR，并确定PAR是否匹配帐户数据124和/或URL 126中的预期PAR。如果存在匹配，则认证应用123验证或认证PAR。

作为另一个示例，如果URL 241包括经加密的客户ID 107作为密码卡ID，则认证应用123可以使用存储在服务器120的存储器122中的私有密钥104的副本来对经加密的客户ID 107进行解密。因此，如果认证应用123成功地对加密的客户ID 107进行解密，则认证应用123可以确定经解密的客户ID 107是否与账户数据124和/或URL 126中的客户ID 107匹配。如果存在匹配，则认证应用123验证或认证动态URL 241。

作为另一个示例，如果使用密钥多样化对客户ID 107和/或PAR进行加密，则认证应用123可以增加与非接触式卡相关联的计数器值。认证应用123然后可以将私有密钥104和计数器值作为给密码算法的输入，密码算法产生多样化的密钥作为输出。由此产生的多样化密钥可以对应于由非接触式卡101生成的多样化密钥，其可用于解密经加密的客户ID107和/或PAR。因此，认证应用123可以对加密数据成功地解密，从而验证加密数据。

作为另一个示例，如果小应用程序103使用客户ID 107的散列(或其他数据段，诸如PAR)来生成卡ID，则认证应用123可以使用由小应用程序103所使用的相同散列函数计算客户ID 107的散列。这样做会产生预期的卡标识符，其应该与由小应用程序使用散列函数生成的卡ID匹配。如果接收到的卡标识符与预期的卡标识符匹配，则认证应用123认证卡ID。

如上所述，在一些实施例中，认证应用123可以接收请求231中的位置数据。如果接收到位置数据，则认证应用123确定位置数据是否反映出设备110和/或卡101在与账户相关联的一个或多个已知位置(例如，账单地址、家庭地址、收货地址等)的阈值距离内。

图2B描绘了一个实施例，其中认证应用123成功地认证了指定为请求231的动态URL 241的参数的卡ID，例如，通过确定卡ID与由认证应用123生成的预期的卡ID的匹配，或者确定卡ID与账户数据124和/或URL 126中的一个或多个卡ID的匹配。如图所示，认证应用123发送指示认证成功的认证结果242。在所描绘的实施例中，因为认证成功，所以认证应用123进一步向设备110发送账户数据124-2。账户数据124-1可以用于与非接触式卡101相关联的账户。在一些实施例中，认证应用123基于与基于URL的认证相关联的默认数据类型(例如，账户持有人姓名、账户余额等)来选择账户数据124-2。在其他实施例中，认证应用123基于请求231中的参数来选择账户数据124-2。例如，动态URL 241的参数可以指定返回帐户余额。在这样的示例中，认证应用123可以从账户数据124中选择账户余额作为账户数据124-2。

与静态URL一样，可以基于动态URL 241和/或关联的卡ID的成功认证来执行任何数量和类型的操作。例如，认证应用123可以指示帐户应用113、其他应用114和/或网络浏览器115，以捕获账户的认证凭证(例如，生物识别数据、用户名/密码等)。所捕获的凭证然后可以被发送到认证应用123，用于认证和/或由帐户应用113本地验证。作为另一个示例，认证应用123可以使得为账户生成一次性使用虚拟账号(VAN)。VAN和关联的到期日期和卡验证值(CVV)然后可以被发送到设备110。在一些实施例中，接收到的VAN、到期日期和/或CVV可以被自动填充到一个或多个表单。在一些实施例中，VAN、到期日期和/或CVV可以由账户应用113、其他应用114和/或网络浏览器115复制到OS112的剪贴板。实施例不限于这些上下文。作为另一个示例，可以基于接收到的反映成功认证的认证结果242来执行一个或多个操作。例如，账户应用113可以允许为账户提交支付。作为附加示例，账户应用113可以允许余额转移、地址更改或任何其他类型的账户相关操作。如上所述，在其他示例中，认证应用123可以向网络浏览器115发送指令，该指令使得网络浏览器115和/或OS112下载并在设备110上安装账户应用113的实例。

如前所述，在一些实施例中，小应用程序103可以对动态URL和/或静态URL的卡ID进行加密。在这样的实施例中，小应用程序103可以包括卡ID被加密作为URL的参数的指示，从而允许认证应用123确定卡ID被加密。此外，在这样的实施例中，小应用程序103在包括经加密的卡ID作为对应URL的参数之前，根据与URL兼容的编码格式对加密数据进行编码。例如，经加密的卡ID可以是二进制数据串(例如，0和1)，其可能与URL不兼容。因此，小应用程序103可以将经加密的卡ID编码为美国信息交换标准码(ASCII)base64编码格式。这样做是通过将经二进制加密的卡ID转换为radix-64表示(例如，前面的示例中的“ABC123”)，而以ASCII字符串格式表示该卡ID。认证应用123然后可以在执行任何解密之前将ASCII字符串解码为二进制。

图3A为示意图300，描绘了轻拍非接触式卡101进行基于URL的认证的示例实施例。如图所示，设备110的账户应用113显示指定要轻拍非接触式卡101以查看账户余额的页面。如上所述，一旦非接触式卡101被轻拍到移动设备110，账户应用113就经由读卡器118(例如，经由NFC、蓝牙、RFID和/或EMV协议等)向非接触式卡101发送指示。该指示可以指定要提供用于认证的URL。URL可以是动态生成的URL和/或从URL 106中选择的静态URL。然而，在一些实施例中，非接触式卡101使得小应用程序103在不需要从移动设备110接收的指令的情况下提供URL。不管URL是否是动态生成的和/或从静态URL 106中选择的，URL都包括至少一个卡ID作为参数。如上所述，小应用程序103可以进一步在URL中提供附加参数。

图3B是示出账户应用113从非接触式卡接收URL的实施例的示意图310。如上所述，账户应用113可以可选地向接收到的URL添加附加参数。账户应用113然后可以将接收到的URL发送到认证服务器120。认证应用123然后可以尝试验证或认证接收到的URL。例如，认证应用123可以确定接收到的URL是否与预期的URL匹配。预期的URL可以是URL 126和/或账户数据124中的任何URL。作为另一个示例，认证应用123可以从接收到的URL提取卡ID，并确定所提取的卡ID是否与在URL 126和/或账户数据124中指定的任何卡ID匹配。在动态URL示例中，认证应用123可以尝试使用与小应用程序103相同的算法来重新创建动态URL的卡ID，并确定动态URL的卡ID是否与由认证应用123重新创建的卡ID匹配。如上所述，在一些实施例中，如果被加密，则认证应用123可以解密卡ID。

图3C是描绘认证应用123成功认证从帐户应用113接收的URL的实施例的示意图320。如图所示，账户应用113响应于URL的成功认证而显示从认证应用123接收的信息。例如，账户应用113显示账户持有人的姓名和账户的余额，其可以从认证应用123接收。

图4A为示意图400，示出了其中当非接触式卡101被轻拍到设备110时，设备110输出OS112的主页的实施例。如上所述，当卡101被轻拍到设备110时，小应用程序103可以向设备110提供静态URL和/或动态URL。例如，如上所述，小应用程序103可以生成具有使用非接触式卡101的私有密钥104(和/或多样化密钥)加密的卡ID的动态URL。小应用程序103然后可以将URL发送到移动设备110。一旦接收到，OS112就可以执行动作，例如，启动向OS112注册的帐户应用113、其他应用114和/或网络浏览器115以打开URL。有利地，这样做提供了用于基于URL的认证的解决方案，其不需要在OS112的前台运行的活动应用(例如，帐户应用113、其他应用114和/或网络浏览器115)。有利地，这种解决方案不需要设备110包括要安装在设备上的帐户应用113的实例。此外，在这样的实施例中，基于URL的认证可以促进账户应用113的实例在设备110上的下载和安装。

图4B为示意图410，其描绘了其中OS112响应于从非接触式卡101接收动态URL而打开网络浏览器115的实施例。如上所述，在一些实施例中，设备110不包括账户应用113的实例。在这样的实施例中，动态URL使得OS112打开网络浏览器。网络浏览器115的地址字段401反映出从非接触式卡接收的URL。在图4B所示的示例中，小应用程序103可以使用私有密钥104和客户ID 107(和/或PAR值)生成示例经加密的字符串“ABCD123XYZ”。小应用程序103然后可以生成指向认证应用123的URL，其中URL包括经加密的字符串作为URL的卡ID参数。在图4B描绘的示例中，URL可以是“https:///www.example.com/auth.html？ABCD123XYZ”。网络浏览器115然后可以访问URL，这使得认证应用123从URL中提取卡ID参数以进行验证。

通常，认证应用123可以使用分配给非接触式卡101的私有密钥104对卡ID进行解密，以验证经解密的卡ID。如上所述，认证应用123可以在解密之前对经加密的卡ID进行解码。认证应用123然后可以确定经解密的卡ID是否与已知的卡ID(例如，在URL 126和/或账户数据124中指定的多个卡ID和/或URL中的一个)匹配。图4B反映了一个实施例，其中认证应用123确定经解密的卡ID与已知的卡ID匹配。因此，认证应用123向网络浏览器115发送成功的指示。此外，如图所示，认证应用123已经生成了虚拟账号、到期日期和CVV，其被输出以在网络浏览器115中显示。如图4B所示，网络浏览器115包括基于URL的认证成功的指示、虚拟账号、到期日期和CVV。

可以参考以下附图进一步描述所公开的实施例的操作。一些附图可以包括逻辑流程。尽管这里呈现的这些附图可以包括特定的逻辑流程，但是可以理解，该逻辑流程仅仅提供了可以如何实施这里描述的一般功能的示例。此外，除非另有说明，给定的逻辑流不一定必须按照所呈现的顺序执行。此外，在一些实施方式中，并非逻辑流中所示的所有动作都是必需的。此外，给定的逻辑流程可以由硬件元件、由处理器执行的软件元件或其任意组合来实施。实施例不限于此上下文。

图5示出了逻辑流程500的实施例。逻辑流程500可以代表由本文描述的一个或多个实施例执行的一些或全部操作。例如，逻辑流程500可以包括使用静态URL为支付卡提供基于URL的认证的一些或全部操作。实施例不限于此上下文。

如图所示，逻辑流程500开始于框501，其中当支付卡被制造时，一个或多个URL被分配给非接触式支付卡。例如，一个或多个唯一URL 106可以被分配给多个不同的支付卡，诸如非接触式卡101。通常，每个URL包括至少一个卡ID作为参数。卡ID是唯一标识每个非接触式卡的任何字母数字字符串，并且可以使用任何合适的函数生成。因此，当卡被制造时，所生成的URL可以被编程为非接触式卡101的存储器102中的URL 106。此外，所生成的URL可以被存储在服务器120的URL 126中，其中URL 126中的每个条目包括URL和关联的卡(和/或与卡相关联的账户)。如上所述，卡ID可以是任何值，诸如客户ID、PAR值或任何其他数据。

在框505处，用户将非接触式卡101轻拍到设备110，以使非接触式卡101提供URL。设备110可以处于任何活动状态。例如，设备110可以显示OS112的主屏幕。作为另一个示例，设备110可以在OS112的前台中显示帐户应用113。在框510处，非接触式卡的小应用程序103从存储在非接触式卡中的URL 106中选择静态URL 106-1。所选URL 106-1包括卡标识符作为URL的参数。如上所述，小应用程序103可以使用选择逻辑、偏移或任何其他选择技术从多个URL 106中进行选择。URL可以是通用链接URL，其至少部分地使得账户应用113和/或另一应用114的预定义页面在被跟随时被打开。在框515处，小应用程序103可以将包括卡标识符的所选URL 106-1发送到移动设备110。在框520处，设备的OS112响应于接收到URL 106-1而启动与URL 106-1相关联的客户端应用。例如，OS112可以响应于接收到URL 106-1而打开账户应用113、其他应用114之一和/或网络浏览器115。在一个示例中，URL 106-1是注册到诸如帐户应用113和/或其他应用114之一的应用的深度链接URL。

在框525处，在框520处启动的应用生成包括从卡101接收的URL 106-1的请求。例如，账户应用113可以生成被指向指定了URL 106-1的认证应用123的请求，其中该请求指定要认证URL 106-1。作为另一个示例，网络浏览器115可以生成指定URL 106-1的HTTP请求，该HTTP请求被指向认证应用123并使得认证应用123认证URL 106-1。在一些实施例中，可以将附加数据添加到URL 106-1，诸如描述了设备110的位置的位置数据、所请求的操作(例如，查看帐户余额、虚拟帐号生成等)以及任何其他参数，以便于由认证应用123执行的认证操作。

在框530处，认证应用123接收包括在框540处生成的URL 106-1的请求。在框535处，认证应用123从URL 106-1中提取卡ID参数。在卡ID被加密的一些实施例中，认证应用123使用私有密钥104解密卡ID。在框540处，认证应用123将卡ID与一个或多个预期的卡ID值进行比较。例如，认证应用123可以查询URL 126和/或账户数据124以返回与卡ID值匹配的结果。在一些实施例中，搜索整个URL 106-1，而不是卡ID部分，用于寻找URL 126和/或账户数据124中的匹配。如果没有找到匹配，则认证应用123确定认证失败。在框545处，认证应用123确定卡ID(和/或URL 106-1)与URL 126和/或账户数据124中的一个或多个卡ID(或URL)之间存在至少一个匹配。因此，在框550处，认证应用123可以认证URL 106-1并确定认证成功。

在框555处，认证应用123可以向设备110上的请求应用发送成功认证的指示。此外，认证应用123可以可选地向设备110发送附加数据。例如，如果URL 106-1的参数指定要提供帐户余额，则认证应用123可以向设备110提供当前帐户余额。在框560处，设备110接收由认证应用123提供的成功指示和可选数据。在框565处，设备110输出成功认证的指示和接收到的任何数据。设备110还可以允许附加操作，诸如将数据复制到OS112的剪贴板、在设备110上安装应用、查看账户余额、转移资金等。

图6示出了逻辑流程600的实施例。逻辑流程600可以代表由本文描述的一个或多个实施例执行的一些或全部操作。例如，逻辑流程600可以包括使用动态URL为支付卡提供基于URL的认证的一些或全部操作。实施例不限于此上下文。

如图所示，逻辑流程600开始于框605，在框605中，用户将非接触式卡101轻拍到设备110，以致使非接触式卡101提供URL。设备110可以处于任何活动状态。例如，设备110可以显示OS112的主屏幕。作为另一个示例，设备110可以在OS112的前台中显示帐户应用113、其他应用之一和/或网络浏览器115。在框610处，非接触式卡101的小应用程序103使用函数生成经加密的动态卡ID。该函数可以是散列函数、加密函数、随机数生成器或任何其他合适的函数。在一些实施例中，对经加密的动态卡ID的生成包括：使用私有密钥104加密非接触式卡101的客户ID 107。在一些实施例中，对经加密的动态卡ID的生成包括：散列函数(或一些其他函数)计算输出(例如，基于客户ID 107)并使用私有密钥104对输出进行加密。

在框615处，小应用程序103生成包括在框610处生成的经加密的卡ID的URL。例如，小应用程序103可以将经加密的卡ID作为参数添加到指向认证应用123的URL。小应用程序103还可以将其他参数添加到URL，诸如所请求的操作、用于计算经加密的卡ID的函数等。在一些实施例中，小应用程序103可以将生成的URL存储在URL 106的数据库中。在框620处，小应用程序103将在框615处生成的URL发送到设备110。在框625处，OS112可以响应于接收到URL而打开客户端应用。例如，OS112可以打开账户应用113、其他应用114之一和/或网络浏览器115。在框630处，由OS112在框625处打开的应用生成包括从非接触式卡101接收的URL的请求。该请求可以是任何类型的请求，诸如包括URL的HTTP请求。

在框635处，认证应用123接收来自设备110的请求。在框640处，认证应用123例如使用由服务器120存储的私有密钥104的实例来解密URL中的经加密的卡ID。在框645处，认证应用123生成预期的动态卡标识符。例如，认证应用123可以使用散列函数来计算预期的散列值(例如，通过对客户ID 107进行散列)。在框650处，认证应用123将经解密的卡ID与预期的动态卡ID进行比较。在框655中，认证应用123基于经解密的卡ID与预期的动态卡ID匹配而认证请求。

在框660处，认证应用123可以向设备110上的请求应用发送成功认证的指示。此外，认证应用123可以向设备110发送附加数据。例如，如果由小应用程序103生成(和/或由设备110修改)的URL的参数指定要提供虚拟账号，则认证应用123可以生成虚拟账号并将虚拟账号、到期日期和CVV提供给设备110。在框665处，设备110接收由认证应用123提供的成功指示和数据。设备110上的请求应用可以输出接收到的成功认证的指示和任何接收到的数据。设备110还可以允许附加操作，诸如将虚拟账号复制到OS112的剪贴板、在设备110上安装应用、查看账户余额、转移资金等。

图7A示出了非接触式卡101，其可以包括支付卡，诸如信用卡、借记卡和/或礼品卡。如示出的，非接触式卡101可以由显示在卡101正面或背面的服务提供商702发行。在一些示例中，非接触式卡101与支付卡无关，并且可以包括但不限于身份证。在一些示例中，支付卡可以包括双界面非接触式支付卡。非接触式卡101可以包括基板710，其可以包括由塑料、金属和其他材料构成的单层或一个或多个层压层。示例性基板材料包括聚氯乙烯、聚氯乙烯醋酸酯、丙烯腈丁二烯苯乙烯、聚碳酸酯、聚酯、阳极氧化钛、钯、金、碳、纸和可生物降解材料。在一些示例中，非接触式卡101可以具有符合ISO/IEC 7810标准的ID-1格式的物理特性，并且非接触式卡可以另外符合ISO/IEC 14443标准。然而，应当理解，根据本公开的非接触式卡101可以具有不同的特性，并且本公开不要求在支付卡中实施非接触式卡。

非接触式卡101还可以包括显示在卡的正面和/或背面上的识别信息715，以及接触垫720。接触垫720可以被配置为与另一个通信设备建立接触，诸如移动设备110、用户设备、智能电话、手提电脑、台式计算机或平板计算机。非接触式卡101还可以包括处理电路、天线和图7A中未示出的其他组件。这些组件可以位于接触垫720的后面或基板710上的其他地方。非接触式卡101还可以包括磁条或磁带，其可以位于卡的背面(图7A中未示出)。

如图7B中示出的，非接触式卡101的接触垫720可以包括用于存储和处理信息的处理电路725，包括微处理器730和存储器102。应当理解，处理电路725可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，如执行此处描述的功能所必需的。

存储器102可以是只读存储器、一次写入多次读取存储器或读/写存储器，例如RAM、ROM和EEPROM，并且非接触式卡101可以包括这些存储器中的一个或多个。只读存储器可以在工厂可编程为只读或一次性可编程。一次性可编程性提供了一次写入然后多次读取的机会。可以在存储芯片出厂后的某个时间点对一次写入/多次读取的存储器进行编程。一旦存储器被编程，它就可能不会被重写，但它可能被多次读取。读/写存储器在出厂后可以多次编程和重新编程。读/写存储器在出厂后也可能被多次读取。

存储器102可以配置为存储一个或多个小应用程序103、私有密钥104、加密数据105、一个或多个URL 106、一个或多个客户ID 107和PAR值731。一个或多个小应用程序103可以包括一个或多个软件应用，其被配置为在一个或多个非接触式卡上执行，诸如Card小应用程序。然而，应当理解，小应用程序103不限于Java Card小应用程序，而是可以是可在非接触式卡或具有有限存储器的其他设备上操作的任何软件应用。客户ID 107可以包括分配给非接触式卡101的用户的唯一字母数字标识符，并且该标识符可以将非接触式卡的用户与其他非接触式卡用户区分开来。在一些示例中，客户ID 107可以识别客户和分配给该客户的账户，并且可以进一步识别与该客户的帐户相关联的非接触式卡。在一些实施例中，小应用程序103可以使用客户ID 107作为给具有密钥104的密码算法的输入来加密客户ID 107。类似地，小应用程序103可以生成动态卡ID并构建包括动态卡ID作为参数的动态URL。

如上所述，PAR值731对于非接触式卡101和卡101生成的任何支付令牌是唯一的。PAR 731包括分配给非接触式卡101的唯一字母数字标识符，该标识符将非接触式卡与其他非接触式卡区分开来。在至少一个实施例中，PAR包括29个字母数字字符。在这样的实施例中，4个字符可以表示BIN控制器标识符，而其余25个字符可以表示对应于非接触式卡101的主账号(PAN)的唯一标识符。在一些实施例中，小应用程序103包括PAR 731作为一个或多个URL的卡ID参数。在一些实施例中，小应用程序103可以加密PAR 731，例如使用密钥104和/或多样化密钥。类似地，小应用程序103可以构建包括经加密的PAR 731作为参数的动态URL。如上所述，服务器120可以使用PAR 731对请求进行认证。在一些实施例中，设备110可以使用EMV读取来直接读取PAR 731。

上述示例性实施例的处理器和存储器元件是参照接触垫描述的，但本公开不限于此。应当理解，这些元件可以在垫720的外部实施或与其完全分离，或者作为除了位于接触垫720内的处理器730和存储器102元件之外的另外的元件。

在一些示例中，非接触式卡101可以包括一个或多个天线755。一个或多个天线755可以放置在非接触式卡101内和接触垫720的处理电路725周围。例如，一个或多个天线755可以与处理电路725集成在一起，并且一个或多个天线755可以与外部增强线圈一起使用。作为另一示例，一个或多个天线755可以在接触垫720和处理电路725的外部。

在实施例中，非接触式卡101的线圈可以充当空气心变压器的次级。终端可以通过切断功率或幅度调制与非接触式卡101进行通信。非接触式卡101可以使用非接触式卡的功率连接中的间隙来推断从终端发送的数据，其可以通过一个或多个电容器在功能上保持。非接触式卡101可以通过切换非接触式卡的线圈上的负载或负载调制而向回通信。可以通过干扰在终端的线圈中检测到负载调制。更一般地，使用天线755、处理电路725和/或存储器102，非接触式卡101提供通信接口以经由NFC、蓝牙和/或Wi-Fi通信进行通信。

如上面说明的，非接触式卡101可以构建在在智能卡或具有有限存储器的其他设备(诸如JavaCard)上可操作的软件平台上，并且可以安全地执行一个或多个或多个应用或小应用程序。小应用程序可以添加到非接触式卡中，以在各种基于移动应用的用例中为多因素认证(MFA)提供一次性密码(OTP)。小应用程序可以被配置为响应来自诸如移动NFC阅读器(例如，设备110的读卡器118)的读取器的一个或多个请求，诸如近场数据交换请求，并且产生包括被编码为NDEF文本标签的加密安全OTP(例如，加密的客户ID)的NDEF消息。

图8示出了包括计算系统802的示例性计算架构800的实施例，该计算系统802可以适合于实施如前面描述的各种实施例。在各种实施例中，计算架构800可以包括或被实施为电子设备的一部分。在一些实施例中，计算架构800可以表示例如实施系统100的一个或多个组件的系统。在一些实施例中，计算系统802可以表示例如系统100的移动设备110和/或认证服务器120。实施例不限于此上下文。更一般地，计算架构800被配置为实施文本参考图1-图7B描述的所有逻辑、应用、系统、方法、装置和功能。

如本申请中所使用的，术语“系统”和“组件”以及“模块”旨在指代计算机相关实体：硬件、硬件和软件的组合、软件或执行中的软件，其示例由示例性计算架构800提供。例如，组件可以是但不限于在计算机处理器上运行的进程、计算机处理器、硬盘驱动器、(光学和/或磁存储介质的)多个存储驱动器、对象、可执行文件、执行线程、程序和/或计算机。借由说明，在服务器上运行的应用和服务器都可以是组件。一个或多个组件可以驻留在进程和/或执行线程中，并且组件可以位于一台计算机上和/或分布在两台或多台计算机之间。此外，组件可以通过各种类型的通信介质彼此通信地耦合以协调操作。协调可以涉及信息的单向或双向交换。例如，组件可以以通过通信介质传送的信号的形式来传送信息。该信息可以被实施为分配给各种信号线的信号。在这样的分配中，每个消息都是信号。然而，进一步的实施例可以可替选地采用数据消息。这样的数据消息可以跨各种连接发送。示例性连接包括并行接口、串行接口和总线接口。

计算系统802包括各种常见的计算元件，诸如一个或多个处理器、多核处理器、协同处理器、存储器单元、芯片组、控制器、外围设备、接口、振荡器、计时设备、视频卡、音频卡、多媒体输入/输出(I/O)组件、电源等。然而，实施例不限于由计算系统802来实施。

如图8中示出的，计算系统802包括处理器804、系统存储器806和系统总线808。处理器804可以是各种市售计算机处理器中的任何一种，包括但不限于：和/>处理器；/>应用、嵌入式和安全处理器；和/>和/>处理器；IBM和/>Cell处理器；和处理器；和类似的处理器。双微处理器、多核处理器和其他多处理器架构也可以用作处理器804。

系统总线808提供用于系统组件的接口，该系统组件包括但不限于到处理器804的系统存储器806。系统总线808可以是几种类型的总线结构中的任何一种，这些总线结构可以使用各种市售总线架构中的任何一种进一步互连到存储器总线(具有或不具有存储器控制器)、外围总线和本地总线。接口适配器可以经由插槽架构连接到系统总线808。示例插槽架构可以包括但不限于加速图形端口(AGP)、卡总线、(扩展的)行业标准架构((E)ISA)、微通道架构(MCA)、NuBus、外围组件互连(扩展的)(PCI(X))、PCI Express、个人计算机存储器卡国际协会(PCMCIA)和诸如此类。

系统存储器806可以包括以一个或多个较高速度的存储器单元形式的各种类型的计算机可读存储介质，诸如只读存储器(ROM)、随机存取存储器(RAM)、动态RAM(DRAM)、双数据速率DRAM(DDRAM)、同步DRAM(SDRAM)、静态RAM(SRAM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪速存储器(例如，一个或多个闪速阵列)、聚合物存储器(诸如铁电聚合物存储器)、双向存储器、相变或铁电存储器、硅-氧化硅-氮化硅-氧化硅-硅(SONOS)存储器、磁卡或光卡、设备的阵列(诸如独立磁盘冗余阵列(RAID)驱动器)、固态存储器设备(例如USB存储器)、固态驱动器(SSD)和适合存储信息的任何其他类型的存储介质。在图8中示出的实施例中，系统存储器806可以包括非易失性存储器810和/或易失性存储器812。基本输入/输出系统(BIOS)可以存储在非易失性存储器810中。

计算系统802可以包括以一个或多个较低速度的存储器单元形式的各种类型的计算机可读存储介质，包括内部(或外部)硬盘驱动器(HDD)814、用于从可移动磁盘818读取或写入可移动磁盘818的磁软盘驱动器(FDD)816、以及从可移动光盘822读取或写入可移动光盘822(例如，CD-ROM或DVD)的光盘驱动器820。HDD 814、FDD 816和光盘驱动器820可以分别通过HDD接口824、FDD接口826和光盘驱动器接口828连接到系统总线808。用于外部驱动器实施方式的HDD接口824可以包括通用串行总线(USB)和IEEE 1394接口技术中的至少一项或两者。计算系统802通常被配置为实施本文参考图1-图7B描述的所有逻辑、系统、方法、装置和功能。

驱动器和相关联的计算机可读介质提供数据、数据结构、计算机可执行指令等的易失性和/或非易失性存储。例如，多个程序模块可以存储在驱动器和存储器单元810、812中，包括操作系统830、一个或多个应用程序832、其他程序模块834和程序数据836。在一个实施例中，一个或多个应用程序832、其他程序模块834和程序数据836可以包括例如系统100的各种应用和/或组件，例如小应用程序103、私有密钥104、加密数据105、URL 106、客户ID 107、操作系统112、账户应用113、其他应用114、网络浏览器115，和/或认证应用123。

用户可以通过一个或多个有线/无线输入设备(例如键盘838和诸如鼠标840的指点设备)将命令和信息输入到计算系统802中。其他输入设备可以包括麦克风、红外(IR)遥控器、射频(RF)遥控器、游戏垫、触笔、读卡器、加密狗、指纹读取器、手套、绘图板、操纵杆、键盘、视网膜读取器、触摸屏(例如，电容式、电阻式等)、轨迹球、触控板、传感器、手写笔和诸如此类。这些和其他输入设备通常通过耦合到系统总线808的输入设备接口842连接到处理器804，但是可以通过其他接口连接，诸如并行端口、IEEE 1394串行端口、游戏端口、USB端口、IR接口等。

监视器844或其他类型的显示设备也经由诸如视频适配器846之类的接口连接到系统总线808。监视器844可以在计算系统802的内部或外部。除了监视器844之外，计算机典型地还包括其他外围输出设备，诸如扬声器、打印机等。

计算系统802可以使用经由有线和/或无线通信到一台或多台远程计算机(诸如远程计算机848)的逻辑连接在网络环境中操作。远程计算机848可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐设备、对等设备或其他公共网络节点，并且典型地包括相对于计算系统802描述的许多或所有元素，尽管为简洁起见，仅示出了存储器/存储设备850。所描绘的逻辑连接包括到局域网(LAN)852和/或更大的网络(例如，广域网(WAN)854)的有线/无线连接。这样的LAN和WAN联网环境在办公室和公司中是司空见惯的，并且促进企业范围的计算机网络(诸如Intranet)，所有这些都可以连接到全球通信网络(例如Internet)。在实施例中，图1的网络130是LAN 852和WAN 854中的一个或多个。

当在LAN联网环境中使用时，计算系统802通过有线和/或无线通信网络接口或适配器856连接到LAN 852。适配器856可以促进到LAN 852的有线和/或无线通信，这还可以包括布置在其上的无线接入点，用于与适配器856的无线功能进行通信。

当在WAN联网环境中使用时，计算系统802可以包括调制解调器858，或者连接到WAN 854上的通信服务器，或者具有用于在WAN 854上建立通信的其他手段，诸如借由互联网。调制解调器858可以是内部或外部的，并且可以是有线和/或无线设备，其经由输入设备接口842连接到系统总线808。在网络环境中，相对于计算系统802描绘的程序模块或其部分可以存储在远程存储器/存储设备850中。应当理解，所示出的网络连接是示例性的，并且可以使用在计算机之间建立通信链路的其他手段。

计算系统802可操作以使用IEEE 802系列标准与有线和无线设备或实体进行通信，诸如可操作地布置在无线通信中的无线设备(例如，IEEE 802.16空中调制技术)。这至少包括Wi-Fi(或Wireless Fidelity)、WiMax和Bluetooth^TM无线技术及其它。因此，该通信可以是与常规网络一样的预定义结构，或者仅仅是至少两个设备之间的自组织通信。Wi-Fi网络使用称为IEEE 802.11x(a、b、g、n等)的无线电技术来提供安全、可靠、快速的无线连接。Wi-Fi网络可用于将计算机彼此连接、连接到互连网和有线网络(其使用与IEEE 802.3相关的媒体和功能)。

可以使用硬件元件、软件元件或两者的组合来实施各种实施例。硬件元件的示例可以包括处理器、微处理器、电路、电路元件(例如，晶体管、电阻器、电容器、电感器等)、集成电路、专用集成电路(ASIC)、可编程逻辑设备(PLD)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、逻辑门、寄存器、半导体设备、芯片、微芯片、芯片组等。软件的示例可以包括软件组件、程序、应用、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例程、子例程、功能、方法、过程、软件接口、应用程序接口(API)、指令集、计算代码、计算机代码、代码段、计算机代码段、字、值、符号或其任意组合。确定是否使用硬件元件和/或软件元件来实施实施例可以根据许多因素而变化，诸如期望的计算速率、功率水平、热容忍度、处理周期预算、输入数据速率、输出数据速率、存储器资源、数据总线速度和其他设计或性能限制。

至少一个实施例的一个或多个方面可以通过存储在表示处理器内的各种逻辑的机器可读介质上的代表性指令来实施，当机器读取该代表性指令时致使机器制造逻辑以执行本文描述的技术。可以将这种表示(称为“IP核”)存储在有形的机器可读介质上，并提供给各种客户或制造设施，以加载到制造逻辑或处理器的制造机器中。例如，一些实施例可以使用机器可读介质或物品来实施，该机器可读介质或物品可以存储指令或指令集，如果该指令或指令集由机器执行，则其可以致使机器执行根据实施例的方法和/或操作。这样的机器可以包括例如任何合适的处理平台、计算平台、计算设备、处理设备、计算系统、处理系统、计算机、处理器或诸如此类，并且可以使用硬件和/或软件的任何合适的组合来实施。机器可读介质或物品可以包括例如任何合适类型的存储器单元、存储器设备、存储器物品、存储器介质、存储设备、存储物品、存储介质和/或存储单元，例如存储器、可移动或不可移动介质、可擦除或不可擦除介质、可写或可重写介质、数字或模拟介质、硬盘、软盘、光盘只读存储器(CD-ROM)、可记录光盘(CD-R)、可重写光盘(CD-RW)、光盘、磁介质、磁光介质、可移动存储卡或磁盘、各种类型的数字多功能磁盘(DVD)、磁带、盒式磁带或诸如此类。指令可以包括任何适当类型的代码，诸如源代码、编译代码、解释代码、可执行代码、静态代码、动态代码、加密代码和诸如此类，这些代码使用任何适当的高级、低级、面向对象、可视化、编译和/或解释的编程语言实施。

为了说明和描述的目的，已经呈现了示例实施例的前述描述。并不旨在穷举本公开或将本公开限制为所公开的精确形式。根据本公开，许多修改和变化是可能的。意图是，本公开的范围不由该详细描述限制，而是由在此所附权利要求限制。要求本申请的优先权的未来提交的申请可以以不同的方式要求公开的主题，并且通常可以包括如本文以各种方式公开或以其他方式证明的一个或多个限制的任何集合。

Claims (20)

1.一种方法，包括：

由服务器在数据库中将预期的卡标识符分配给非接触式卡，所述非接触式卡与账户相关联，所述服务器包括存储器和处理器电路；

由所述服务器从客户端设备接收包括统一资源定位符(URL)的请求，所述URL的参数包括卡标识符，其中，所述URL由所述非接触式卡发送到所述客户端设备；

由所述服务器从所述URL中提取所述卡标识符；

由所述服务器将所提取的卡标识符与所述数据库中的预期的卡标识符进行比较；

由所述服务器基于所述比较来确定所提取的卡标识符与所述预期的卡标识符匹配；

由所述服务器基于所提取的卡标识符与所述预期的卡标识符匹配而认证所述请求；以及

由所述服务器向所述客户端设备发送指定了所述请求已被认证的指示。

2.根据权利要求1所述的方法，其中，所述非接触式卡是多个非接触式卡中的一个，其中，所述服务器向每个非接触式卡分配相应的预期的卡标识符，所述方法还包括：

由所述服务器确定所提取的卡标识符被加密；以及

由所述服务器在执行所述比较之前使用加密密钥来解密所提取的卡标识符。

3.根据权利要求1所述的方法，其中，响应于接收到所述URL而从所述客户端设备的客户端应用接收所述请求，所述方法还包括：

由所述客户端应用确定与所述请求相关联的操作；

由所述客户端应用添加所述操作的指示作为所述URL的第二参数；

由所述服务器识别所述URL的所述第二参数中的所述操作的指示；以及

响应于与所述请求相关联的所述操作，由所述服务器基于对所述请求的认证向所述客户端应用发送与所述账户相关联的账户数据。

4.根据权利要求3所述的方法，其中，所述卡标识符是从存储在所述非接触式卡的存储器中的多个卡标识符中选择的，其中，所述多个卡标识符包括分配给所述非接触式卡的支付账户参考(PAR)，其中，所述非接触式卡的小应用程序基于与所述非接触式卡相关联的偏移来选择所述卡标识符，所述方法还包括：

向所述客户端应用发送指定要接收所述账户的认证凭证的指示，其中，所述认证凭证包括生物识别数据或登录和密码中的一个或多个；

由所述服务器从所述客户端应用接收由所述客户端设备的用户提供的认证凭证；以及

由所述服务器认证接收到的由所述客户端设备的用户提供的认证凭证。

5.根据权利要求4所述的方法，还包括：

由所述服务器在所述数据库中向所述非接触式卡分配多个预期的卡标识符；

由所述服务器确定与所述非接触式卡相关联的偏移；以及

由所述服务器基于所述偏移选择所述多个预期的卡标识符中的一个作为预期的卡标识符。

6.根据权利要求1所述的方法，还包括：

由所述服务器接收来自所述客户端设备的第二请求，所述第二请求包括第二URL，所述第二URL的参数包括由所述非接触式卡使用函数生成的动态卡标识符；

由所述服务器使用所述函数的实例生成预期的动态卡标识符；

由所述服务器将所述动态卡标识符与预期的动态卡标识符进行比较；

由所述服务器基于所述比较来确定所述动态卡标识符与预期的动态卡标识符匹配；

由所述服务器基于所述动态卡标识符与预期的动态卡标识符匹配而认证由所述服务器进行的第二请求；以及

由所述服务器向所述客户端设备发送指定了所述第二请求被认证的指示。

7.根据权利要求1所述的方法，还包括：

由所述服务器基于所述请求来确定所述客户端设备的位置数据；以及

由所述服务器基于所述位置数据确定所述客户端设备处于与所述客户端设备相关联的一个或多个已知位置的阈值距离内。

8.根据权利要求1所述的方法，其中，所述非接触式卡响应于处于所述客户端设备的通信范围内而生成所述URL，其中，所述客户端设备响应于接收到所述URL而打开网络浏览器或客户端应用中的一个，所述方法还包括：

由所述客户端设备基于接收到所述请求已被认证的指示来执行与所述账户相关联的所请求的操作。

9.一种系统，包括：

处理器电路；以及

存储指令的存储器，所述指令当由所述处理器电路执行时致使所述处理器电路执行以下操作：

从客户端设备接收包括统一资源定位符(URL)的请求，所述URL的参数包括分配给非接触式卡的卡标识符；

从所述URL中提取所述卡标识符；

将所提取的卡标识符与存储在数据库中并分配给所述非接触式卡的预期的卡标识符进行比较；

基于所述比较，确定所提取的卡标识符与所述预期的卡标识符匹配；

基于所提取的卡标识符与所述预期的卡标识符匹配而认证所述请求；以及

向所述客户端设备发送指定了所述请求已被认证的指示。

10.根据权利要求9所述的系统，所述存储器存储指令，所述指令当由所述处理器电路执行时致使所述处理器电路执行以下操作：

确定所提取的卡标识符被加密；以及

在执行所述比较之前，使用加密密钥来解密所提取的卡标识符。

11.根据权利要求10所述的系统，所述存储器存储指令，所述指令当由所述处理器电路执行时致使所述处理器电路在解密所提取的卡标识符之前执行以下操作：

确定经加密的卡标识符是根据编码格式被编码的；

将经加密的卡标识符解码为未编码格式；以及

对被解码的经加密的卡标识符进行解密。

12.根据权利要求9所述的系统，所述存储器存储指令，所述指令当由所述处理器电路执行时致使所述处理器电路执行以下操作：

基于所述请求来确定所述客户端设备的位置数据；以及

基于所述位置数据，确定所述客户端设备处于与所述客户端设备相关联的一个或多个已知位置的阈值距离内。

13.根据权利要求9所述的系统，所述存储器存储指令，所述指令当由所述处理器电路执行时致使所述处理器电路执行以下操作：

识别所述数据库中分配给所述非接触式卡的多个预期的卡标识符；

确定与所述非接触式卡相关联的偏移；以及

基于所述偏移，选择所述多个预期的卡标识符中的一个作为所述预期的卡标识符。

14.根据权利要求9所述的系统，所述存储器存储指令，所述指令当被所述处理器电路执行时致使所述处理器电路执行以下操作：

从所述客户端设备接收第二请求，所述第二请求包括第二URL，所述第二URL的参数包括由所述非接触式卡生成的动态卡标识符；

由用于生成所述动态卡标识符的函数的实例生成预期的动态卡标识符；

将所述动态卡标识符与所述预期的动态卡标识符进行比较；

基于所述比较，确定所述动态卡标识符与所述预期的动态卡标识符匹配；

基于所述动态卡标识符与所述预期的动态卡标识符匹配而认证所述第二请求；以及

向所述客户端设备发送指定了所述第二请求已被认证的指示。

15.一种非暂时性计算机可读存储介质，具有包含在其中的计算机可读程序代码，所述计算机可读程序代码由处理器电路执行以致使所述处理器电路执行以下操作：

从客户端设备接收包括统一资源定位符(URL)的请求，所述URL的参数包括分配给非接触式卡的卡标识符；

从所述URL中提取所述卡标识符；

将所提取的卡标识符与存储在数据库中并分配给所述非接触式卡的预期的卡标识符进行比较；

基于所述比较，确定所提取的卡标识符与所述预期的卡标识符匹配；

基于所提取的卡标识符与所述预期的卡标识符匹配而认证所述请求；以及

向所述客户端设备发送指定了所述请求已被认证的指示。

16.根据权利要求15所述的非暂时性计算机可读存储介质，还包括计算机可读程序代码，其由所述处理器电路执行以致使所述处理器电路执行以下操作：

确定所提取的卡标识符被加密；以及

在执行所述比较之前，使用加密密钥来解密所提取的卡标识符。

17.根据权利要求16所述的非暂时性计算机可读存储介质，还包括计算机可读程序代码，其由所述处理器电路执行以致使所述处理器电路执行以下操作：

确定经加密的卡标识符是根据编码格式被编码的；

将经加密的卡标识符解码为未编码格式；以及

对被解码的经加密的卡标识符进行解密。

18.根据权利要求15所述的非暂时性计算机可读存储介质，还包括计算机可读程序代码，其由所述处理器电路执行以致使所述处理器电路执行以下操作：

基于所述请求来确定所述客户端设备的位置数据；以及

基于所述位置数据，确定所述客户端设备处于与所述客户端设备相关联的一个或多个已知位置的阈值距离内。

19.根据权利要求15所述的非暂时性计算机可读存储介质，还包括计算机可读程序代码，其由所述处理器电路执行以致使所述处理器电路执行以下操作：

识别所述数据库中分配给所述非接触式卡的多个预期的卡标识符；

确定与所述非接触式卡相关联的偏移；以及

基于所述偏移，选择所述多个预期的卡标识符中的一个作为所述预期的卡标识符。

20.根据权利要求15所述的非暂时性计算机可读存储介质，还包括计算机可读程序代码，其由所述处理器电路执行以致使所述处理器电路执行以下操作：

从所述客户端设备接收第二请求，所述第二请求包括第二URL，所述第二URL的参数包括由所述非接触式卡生成的动态卡标识符；

由用于生成所述动态卡标识符的函数的实例生成预期的动态卡标识符；

将所述动态卡标识符与所述预期的动态卡标识符进行比较；

基于所述比较，确定所述动态卡标识符与所述预期的动态卡标识符匹配；

基于所述动态卡标识符与所述预期的动态卡标识符匹配而认证所述第二请求；以及

向所述客户端设备发送指定了所述第二请求已被认证的指示。