用于客户支持呼叫的第二因素认证的系统和方法

本申请是申请号为“202080011871.7”，申请日为“2020年3月17日”，题目为“用于客户支持呼叫的第二因素认证的系统和方法”的中国专利申请的分案申请。

相关申请

本申请要求于2019年3月18日提交的题为“用于客户支持呼叫的第二因素认证的系统和方法”的美国专利申请16/357,266的优先权。上述申请的内容通过引用整体并入本文。

背景技术

呼叫中心服务通常由服务提供商提供，使客户能够访问、修改、删除或以其他方式控制其账户。从安全的角度来看，呼叫中心可能是企业中最具风险的领域，因为呼叫中心交易可能会将敏感的客户信息暴露给恶意的第三方。在任何一天，客户呼叫中心接到的电话中，有高达90％的电话是来自欺诈性呼叫者，他们试图以不正当手段进入客户账户。

为了解决这些安全问题，支付卡行业安全标准委员会(PCI SSC)负责管理支付卡行业(PCI)安全标准的不断发展。服务提供商负责强制遵守PCI标准，以保护敏感的客户数据。例如，PCI标准可以规定在允许客户端访问和/或修改客户帐户信息之前要遵循的认证标准。呼叫中心可能需要以交换密码、回答个人问题、生物特征数据等形式进行客户认证。然而，认证技术通常会受到诸如“欺骗”和“网络钓鱼”等问题的不利影响，其中冒名顶替者掩饰或修改来电号码、电子邮件地址、IP地址等，以冒充客户企图窃取信息或资金。黑客为了窃取客户信息而监控服务提供商的通信，特别是呼叫中心的通信，也会带来外部风险。

发明内容

根据一个方面，一种用于认证信息访问请求的设备包括客户服务接口，所述客户服务接口被配置为从客户服务代理接收认证请求，其中所述认证请求可以与所述客户服务代理通过第一通信信道从客户端设备接收的访问请求相关联。所述认证请求可用于确定所述设备是否被授权访问由所述访问请求寻求的信息。所述设备还包括存储设备，所述存储设备被配置为存储客户端数据，所述客户端数据包括用于所述客户端的预验证的联系信息；客户端接口，所述客户端接口被配置为通过使用所述预验证的联系信息建立的第二通信信道向所述客户端推送第二因素认证请求。所述客户端接口还可以被配置为从所述客户端接收认证响应。所述第二通信信道可以不同于所述第一通信信道。所述设备包括认证服务器，所述认证服务器耦合到所述客户服务接口和客户端接口，用于生成所述第二因素认证请求，并且响应于所述认证响应和存储的客户端数据之间的匹配，选择性地解锁对所述访问请求所寻求的信息的访问。

根据另一方面，一种用于对客户服务代理接收的访问请求进行认证的方法包括从所述客户服务代理接收认证请求的步骤，其中所述认证请求与所述客户服务代理通过第一通信信道从客户端设备接收的访问请求相关联。所述认证请求可用于确定所述设备是否可以访问由所述访问请求寻求的信息。所述方法包括以下步骤：从数据存储器检索客户端数据，所述客户端数据包括用于所述客户端的预验证的联系信息，以及使用所述预验证的联系信息通过第二通信信道向所述客户端推送所述认证请求。所述认证请求可以包括来自所述客户端的对第二因素认证的请求。所述方法包括以下步骤：通过所述第二通信信道从所述设备接收第二因素认证响应；将所述第二因素认证响应与所述客户端数据进行比较；以及响应于比较步骤，选择性地认证所述客户端，包括选择性地解锁对所述访问请求所寻求的信息的访问。

根据另一方面，一种用于对客户服务代理接收的信息访问请求进行认证的方法包括从所述客户服务代理接收验证请求的步骤，所述验证请求与所述客户服务代理通过第一通信信道从客户端设备接收的访问请求相关联。所述第一通信信道可包括会话标识符，并且所述认证请求可用于确定是否允许所述设备访问所述客户端访问请求所寻求的信息。所述方法包括以下步骤：从数据存储器检索用于客户端的预验证的客户端联系信息，以及利用使用所述预验证的联系信息建立的第二通信信道向所述设备推送认证请求，其中所述第二通信信道可以不同于所述第一通信信道。所述认证请求可以包括对来自所述客户端的非接触式卡的密码的请求，并且所述方法包括认证所述访问请求的步骤，包括：通过所述第二通信信道从所述客户端设备接收密码；使用与所述客户端相关联的密钥的副本来解密所述密码，以提供解密的计数器信息；将解密的计数器信息与为所述客户端维护的计数器的副本进行比较；以及响应于比较步骤，选择性地认证所述客户端设备，包括选择性地解锁对信息的访问。所述方法还包括使用响应于所述预验证的联系信息而生成的第三通信信道向所述客户端通知访问请求的步骤，其中所述第三通信信道不同于所述第一通信信道和第二通信信道。

在允许访问客户数据之前，使用不同的通信信道交换认证信息会降低泄露敏感客户信息的可能性，因为恶意方将无法中断所有的客户端通信接口。

附图说明

图1A是框图，示出了根据示例性实施例，被配置为对客户请求进行预认证的数据传输系统；

图1B是示意图，示出了根据示例性实施例，用于提供经认证的访问的序列；

图2是可以在图1A的系统中使用的用于存储认证信息的非接触式卡的示例；

图3是详细框图，示出了图2的非接触式卡的示例性组件；

图4是示意图，示出了图1A的非接触式卡和客户端设备之间交换的示例性消息字段；

图5是可用于支持本发明的方面的图1A的系统的组件的详细框图；

图6是数据流图，用于描述根据本发明的方面的在呼叫认证期间可由图4的组件在一个实施例中执行的示例性步骤；

图7是数据流图，用于描述可以在使用图2的非接触式卡的呼叫路由过程的一个实施例期间执行的示例性步骤；

图8是数据流图，用于描述可以在使用图2的非接触式卡的呼叫路由过程的另一个实施例期间执行的示例性步骤；

图9是框图，示出了在接受预认证的服务请求的呼叫服务中心中的示例性呼叫处理管道；

图10是框图，用于说明可以提供给客户端数据的分层安全控制；

图11是流程图，用于描述在一个实施例中可由客户服务代理和授权服务执行的示例性步骤；和

图12A和12B示出了在各种实施例中可以向客户服务代理和客户端显示的示例性图形用户界面(GUI)内容。

具体实施方式

本发明的一些实施例的目的是使用已并入一个或多个非接触式卡中的一个或多个密钥，如Osborn等人于2018年11月29日提交的美国专利申请16/205119所述，标题为“非接触式卡加密认证系统和方法”，其通过引用并入本文(以下称为‘119申请)。非接触式卡可用于执行认证和许多其他功能，这些功能可能要求用户除了非接触式卡之外还携带单独的物理令牌。通过采用非接触式接口，非接触式卡可以具有在用户的设备(例如移动电话)和卡本身之间进行交互和通信的方法。例如，作为许多信用卡交易基础的EMV协议包括一个认证过程，该过程对于

因此，公开了一种利用服务提供商的多因素认证特征和智能呼叫路由来提高客户呼叫中心的安全性和效率的系统和方法。客户支持请求的预认证降低了在呼叫处理期间盗用敏感客户数据的可能性。与客户端唯一相关联的非接触式卡可以提供第二认证因素，以减少恶意第三方冒充客户端的可能性。预认证的客户支持呼叫以智能高效的方式路由，从而减少恶意呼叫干扰和信息窃取的机会。

根据另一方面，认识到在处理客户服务请求期间，客户服务代表进一步认证客户端可能是有益的。这种进一步的认证可以出于各种原因进行，包括在允许修改高度敏感的数据，包括密码和联系信息或允许访问某些服务，如贷款服务等之前。在客户服务代理之间转移或客户服务代理怀疑寻求访问客户信息的客户端的真实性的情况下，也可能需要进一步的认证。

根据一个方面，可以使用不同于用于请求信息访问的通信信道和协议的通信信道和协议来执行认证。在一些实施例中，使用已经由服务提供商预先验证的客户端联系信息来建立通信信道。在一些实施例中，在准许访问之后，可以使用另一种通信方法，如电子邮件或短信，通知客户端这种访问。在认证的各个阶段使用不同的通信信道和协议限制了恶意第三方干扰的可能性，因为这种第三方同时干扰用于认证的每个通信介质将面临困难。

现在将参考附图来描述本发明的这些和其它特征，其中全文使用相同的附图标记来表示相同的元素。

如在本申请中所使用的，术语“系统”、“组件”和“单元”是指与计算机有关的实体，可以是硬件、硬件和软件的组合、软件或执行中的软件，其实例在此描述。例如，组件可以是但不限于在处理器上运行的进程、计算机处理器、硬盘驱动器、多个存储驱动器(光和/或磁存储介质的)、对象、可执行文件、执行线程、程序和/或计算机。举例来说，在服务器上运行的应用程序和服务器都可以是一个组件。一个或多个组件可以驻留在一个进程和/或执行线程中，并且组件可以在一台计算机上本地化和/或分布在两台或多台计算机之间。

此外，组件可以通过各种类型的通信媒体相互通信耦合，以协调操作。该协调可能涉及信息的单向或双向交换。例如，组件可以以通过通信媒体通信的信号形式传递信息。该信息可以作为分配给各种信号线的信号来实现。在这种分配中，每个信息都是一个信号。然而，进一步的实施例可以替代地采用数据信息。这种数据信息可以通过各种连接发送。示例性连接包括并行接口、串行接口和总线接口。

图1A示出了系统100，该系统100包括经由网络115耦合到服务提供商120的一个或多个客户端设备110。根据一个方面，客户端设备110包括启用网络的计算机，并且经由网络115和125与服务提供商120通信以访问服务提供商内容和服务。

如本文所述，启用网络的计算机可以包括但不限于：例如，计算机设备，或通信设备，包括例如服务器、网络设备、个人计算机(PC)、工作站、移动设备、电话、手持PC、个人数字助理(PDA)、瘦客户端设备、胖客户端设备、互联网浏览器，或其他设备。

因此，客户端设备110可以包括处理器和存储器，并且可以理解，处理电路可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，以必要地执行此处描述的功能。客户端设备110还可以包括显示和输入设备。显示器可以是用于呈现视觉信息的任何类型的设备，例如计算机显示器、平板显示器和移动设备屏幕，包括液晶显示器、发光二极管显示器、等离子面板和阴极射线管显示器。输入设备可以包括任何用于向用户设备输入信息的设备，这些设备是用户设备可以使用和支持的，如触摸屏、键盘、鼠标、光标控制设备、触屏、麦克风、数码相机、录像机或摄像机。这些设备可用于输入信息并与本文所述的软件和其他设备交互。

一个或多个客户端设备110还可以是例如移动设备，例如来自

图1A的各种客户端设备110包括蜂窝电话142、膝上型计算机144、平板148和终端146。客户端设备110可以包括专门适于与服务提供商120通信的瘦客户端应用程序。瘦客户端应用程序可以存储在客户端设备的存储器中，并且当由客户端设备执行时可操作以控制客户端设备和服务提供商应用程序之间的接口，从而允许客户端设备处的用户访问服务提供商内容和服务。

在一些示例中，网络115可以是无线网络、有线网络或无线网络和有线网络的任何组合中的一个或多个，并且可以被配置为将客户端设备110连接到服务提供商120。例如，网络115可以包括以下中的一个或多个：光纤网络、无源光网络、电缆网络、因特网网络、卫星网络、无线局域网(LAN)、全球移动通信系统、个人通信服务、个人区域网络、无线应用协议，多媒体消息服务、增强消息服务、短消息服务、基于时分复用的系统、基于码分多址的系统、D-AMPS、Wi-Fi、固定无线数据、IEEE 802.11b、802.15.1、802.11n和802.11g、蓝牙、NFC、射频识别(RFID)、Wi-Fi等。

此外，网络115可包括但不限于电话线、光纤、IEEE以太网902.3、广域网(“WAN”)、无线个人区域网(“WPAN”)、局域网(“LAN”)或全球网络，例如因特网。此外，网络115可支持因特网网络、无线通信网络、蜂窝网络等或其任何组合。网络115还可以包括一个网络或任何数量的上述示例性类型的网络，作为独立网络运行或相互协作。网络115可以利用与其通信耦合的一个或多个网络元件的一个或多个协议。网络115可以转换成其他协议或从其他协议转换成网络设备的一个或多个协议。

应当理解，根据一个或多个示例，网络115可以是多个互连网络的一部分，例如因特网、服务提供商的专用网络125、有线电视网络、公司网络(例如信用卡协会网络)和家庭网络。另外，专用网络125可以实现为分层在网络115上的虚拟专用网络。

在一个实施例中，服务提供商120是通过网络115向客户端提供基于计算机的服务的企业。几乎所有的现代服务提供商都使用因特网为潜在消费者提供服务。服务产品通常以软件应用程序的形式提供，软件应用程序使用服务提供商的专用资源进行操作。向客户端提供特定服务的软件和硬件的组合在本文中被称为“服务器”。服务器可以通过服务提供商的专用网络125进行通信，该专用网络通常被称为公司或企业网络。专用网络125可包括无线网络、有线网络或无线网络和有线网络的任何组合，如上文关于网络115所述。

在图1A的系统中，服务提供商120被示出为包括应用服务器150、认证服务器160和客户关系管理(CRM)服务器140。尽管每个服务器被示为离散设备，但是可以理解的是，应用程序和服务器可以分布在整个企业中，或者在诸如“云”资源的分布式资源的情况下，分布在整个网络115中。应用服务器150可以支持由服务提供商120提供的一个或多个应用服务，例如帐户管理服务。CRM服务器140可用于向服务提供商120的客户端提供客户支持服务，包括从客户端到在工作站132、135处工作的一个或多个呼叫处理代理的来电的处理和转发。

数据库130包括数据存储资源，该数据存储资源可用于例如存储客户帐户、凭证和其他认证信息以供应用服务器150和认证服务器160使用。数据库130可以由耦合的数据资源组成，包括本地存储、分布式数据中心存储或基于云的存储的任何组合。

根据一个方面，非接触式卡105可以与一个或多个客户端设备110进行无线通信，例如近场通信(NFC)。例如，非接触式卡105可以包括一个或多个芯片，例如射频识别芯片，其被配置为经由NFC或其他短距离协议进行通信。在其他实施例中，非接触式卡105可以通过包括但不限于蓝牙、卫星和/或WiFi的其他方式与客户端设备110通信。如119应用中所述，当非接触式卡105在相应客户端设备的范围内时，非接触式卡105可被配置成通过NFC与读卡器终端146、蜂窝电话142、膝上型计算机144和/或平板电脑148之一进行通信。如下面将更详细地描述的，非接触式卡105可以包括密钥和计数器信息，所述密钥和计数器信息可以使用密码算法来转换以生成密码，所述密码可以由服务提供商用来认证客户端设备。

图1B是时序图，示出了根据本公开的一个或多个实施例的用于提供经认证的接入的示例性序列。系统100可以包括非接触式卡105和客户端设备110，客户端设备110可以包括应用程序122和处理器124。图1B可以参考如图1A所示的类似组件。

在步骤102，应用程序122与非接触式卡105通信(例如，在靠近非接触式卡105之后)。应用程序122和非接触式卡105之间的通信可以涉及非接触式卡105足够靠近客户端设备110的读卡器(未示出)，以实现应用程序122和非接触式卡105之间的NFC数据传输。

在步骤104，在客户端设备110和非接触式卡105之间建立通信之后，非接触式卡105生成消息认证码(MAC)密码。在一些实施例中，这可以在应用程序122读取非接触式卡105时发生。具体地，这可在读取(例如NFC读取)可根据NFC数据交换格式创建的近场数据交换(NDEF)标签时发生。例如，诸如应用程序122之类的阅读器可以发送消息，如小程序选择消息，带有NDEF生成小程序的小程序ID。在确认选择时，可以发送跟随有读取文件消息的选择文件消息序列。例如，该序列可以包括“选择功能文件”、“读取功能文件”和“选择NDEF文件”。此时，由非接触式卡105维护的计数器值可被更新或递增，其后可跟随“读取NDEF文件”。此时，可以生成消息，该消息可以包括报头和共享秘密。然后可以生成会话密钥。MAC密码可以从消息中创建，该消息可以包括报头和共享秘密。MAC密码然后可以与一个或多个随机数据块连接，并且MAC密码和随机数(RND)可以用会话密钥加密。此后，可以将密文和标头连接起来，并编码为ASCII十六进制并以NDEF消息格式返回(响应“读取NDEF文件”消息)。

在一些实施例中，MAC密码可以作为NDEF标签传输，并且在其他示例中，MAC密码可以与统一资源指示符(例如，作为格式化字符串)一起被包括。

在一些示例中，应用程序122可被配置为向非接触式卡105发送请求，该请求包括生成MAC密码的指令。

在步骤106，非接触式卡105将MAC密码发送到应用程序122。在一些示例中，MAC密码的传输经由NFC发生，然而，本发明不限于此。在其它示例中，该通信可经由蓝牙、Wi-Fi或其它无线数据通信方式发生。

在步骤108，应用程序122将MAC密码传送给处理器124。

在步骤112，处理器124根据来自应用程序122的指令验证MAC密码。例如，可以验证MAC密码，如下所述。

在一些示例中，验证MAC密码可以由客户端设备110以外的设备执行，例如与客户端设备110进行数据通信的服务提供商120(如图1A所示)。例如，处理器124可以输出MAC密码以传输给服务提供商120，服务提供商120可以验证MAC密码。

在一些示例中，MAC密码可以用作用于验证的数字签名。其他数字签名算法，例如公钥非对称算法，例如数字签名算法和RSA算法，或零知识协议，可用于执行该验证。

更具体地，根据一个方面，在将支持请求转发到CRM服务器140之前，非接触式卡105可与提供给应用服务提供商的第一认证凭证一起使用，以对客户支持请求进行预认证。以这种方式对客户支持请求进行预认证提供了双重优势；由于认证信息不会转发给CRM，因此避免了呼叫中心代理滥用此类信息的机会。此外，将非接触式卡用作第二认证因素使得特定设备/电话号码能够与特定个人(即卡的所有者)相关联，从而消除恶意第三方“欺骗”(即冒充)客户端的能力。根据另一方面，下面描述的预认证通信协议识别或使用用于呼叫处理的特定通信信道，从而减少客户端冒充的机会。

本文所描述的系统和方法的示例性实施例可以被配置为提供多因素安全认证，该认证可用于绕过CRM服务器40的认证，从而减少在呼叫处理期间敏感客户信息被窃取的可能性。

安全因素认证可以包括多个过程。第一认证过程可以包括经由在设备上执行的一个或多个应用程序来登录和验证用户。第二认证过程可以在成功登录和验证之后操作，以使得用户参一个或多个与一个或多个非接触式卡相关联的行为。实际上，安全因素认证过程包括多因素认证过程，该多因素认证过程可以包括安全地证明用户的身份和鼓励用户参与与非接触式卡相关联的一种或多种行为，包括但不限于一种或多种轻触手势。在一些示例中，一个或多个轻触手势可以包括用户用非接触式卡轻触设备。在一些示例中，该设备可以包括移动设备、一体机、终端、平板电脑或配置为处理接收到的轻触手势的任何其他设备。

例如，为了提供第一层认证，客户端可以通过使用在客户端设备上执行的因特网浏览器应用程序链接到服务提供商网页来访问服务提供商的网站。浏览器是软件应用程序，例如

服务提供商提供的某些高风险服务，如呼叫中心支持，可以受益于多因素认证。例如，服务提供商可以将第一级认证信息作为cookie存储在客户端的浏览器中，以在客户端登录期间加速认证过程。浏览器cookie以及相关的密码或其他数据容易被发现和滥用。因此，在允许用户访问或修改高度敏感的信息或个人信息(如在客户支持呼叫期间可能发生的那样)之前，重要的是验证用户是否具有访问权限。

根据一个方面，非接触式卡105可用于为客户端设备的用户提供第二认证。在一个实施例中，并且如下面更详细地描述的，非接触式卡包括密钥、计数器和可用于生成密码的密码处理功能，该密码可用于验证客户端设备的用户。计数器有利地反映了持卡人先前的行为。例如，计数器可以反映用户先前访问服务提供商的特定服务的次数，恶意第三方几乎不可能准确地获取这些信息。

根据一个方面，并且如下面更详细地描述的，密码交换是使用反向信道通信进行的，其中出于本文的目的，“反向信道”是在客户端和认证服务器之间建立的用于交换认证令牌的通信信道。在一些实施例中，用于反向信道认证的通信信道不同于在服务提供商应用服务器和客户端之间建立的应用通信信道。例如，客户端和服务提供商之间通过服务提供商网络接口的通信可以使用直接发送给预验证的客户端联系人的反向信道呼叫、文本或电子邮件来进行认证。在其他实施例中，当建立反向信道通信链路时，通信信道可以利用来自应用通信信道的信息(例如会话信息)。

当客户端寻求访问高风险服务时，在一些实施例中，该服务提供应用程序可提示用户使用非接触式卡105提供第二级认证，例如如上所述，通过轻触或其他方式将卡105通信地耦合到客户端设备110之一。

在第二认证之后，并且如下面将更详细地描述的，服务提供商将数据返回到客户端设备。数据可以包括允许客户端发起与CRM服务器140的通信链路的数据。这些数据可以包括联系信息，如CRM服务提供商应用程序的链接，或呼叫中心的电话号码。在一些实施例中，联系信息可以用CRM或呼叫中心的控制信息来扩充。例如，控制信息可以指示CRM或呼叫中心绕过通常在呼叫中心执行的任何认证或交互式语音响应(IVR)过程，以说明客户端已经通过服务提供商应用程序/非接触式卡多因素认证过程进行了预认证这一事实。

应当注意，尽管在上述描述中，第一认证被描述为使用个人信息、生物特征信息、问题或其他认证信息，但是在一些示例中，应当认识到，在设备上执行的客户端应用程序可以响应非接触式卡的轻触，以最初激活或启动该设备的应用程序。在这样的示例中，第一和第二认证过程都使用下面更详细描述的密钥/计数器非接触式卡认证过程。在一些实施例中，如果客户端应用程序未安装在客户端设备上，则靠近读卡器的非接触式卡的轻触可发起应用程序的下载(例如导航到应用程序的下载页)。在安装之后，非接触式卡的轻触可以激活或启动应用程序，然后例如通过应用程序或其他后端通信来启动非接触式卡的激活。在一些实施例中，一个或多个应用程序可被配置为确定它是通过非接触式卡101的一个或多个轻触手势启动的，使得启动发生在下午3:51，交易是在下午3:56处理或发生的，以验证用户的身份。

在一些示例中，可以在轻触行为时收集数据，作为生物特征/手势认证。例如，一个加密安全且不易被拦截的唯一标识符可被传输到一个或多个后端服务。唯一标识符可以被配置为查找关于个人的二级信息。次要信息可以包括关于用户的个人可识别信息，包括但不限于社会保障信息、查询响应、密码、帐户信息等。在不同的实施例中，二级信息可以存储在非接触式卡中。

图2示出了一个或多个非接触式卡200，其可包括由显示在卡的正面或背面的指定服务提供商205发行的支付卡，例如信用卡、借记卡或礼品卡。在一些实施例中，非接触式卡200与支付卡无关，并且可以包括但不限于身份证。在一些实施例中，支付卡可以包括双界面非接触式支付卡。非接触式卡200可以包括基板210，其可以包括单层，或者由塑料、金属和其他材料构成的一个或多个层压层。示例性基板材料包括聚氯乙烯、聚氯乙烯乙酸酯、丙烯腈丁二烯苯乙烯、聚碳酸酯、聚酯、阳极氧化钛、钯、金、碳、纸和可生物降解材料。在一些实施例中，非接触式卡300可以具有符合ISO/IEC 7810标准的ID-1格式的物理特性，并且非接触式卡可以另外符合ISO/IEC 14443标准。然而，可以理解的是，根据本公开的非接触式卡200可以具有不同的特性，并且本公开不要求在支付卡中实现非接触式卡。

非接触式卡200还可包括显示在卡正面和/或背面的识别信息215和接触垫220。接触垫220可以被配置为与另一个通信设备建立联系，例如用户设备、智能电话、笔记本电脑、台式计算机或平板电脑。非接触式卡200还可以包括处理电路、天线和图2中未示出的其他组件。这些组件可以位于接触垫220后面或基板210上的其他地方。非接触式卡200还可以包括磁条或磁带，其可以位于卡的背面(图2中未示出)。

如图3所示，图3的非接触式卡101的接触垫320可以包括用于存储和处理信息的处理电路325，包括微处理器330和存储器335。应当理解，处理电路325可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，以执行此处描述的功能。

存储器335可以是只读存储器、一次写入多次读取存储器或读/写存储器，例如RAM、ROM和EEPROM，并且非接触式卡300可以包括这些存储器中的一个或多个。只读存储器可以在工厂可编程为只读或一次性可编程的。一次性可编程性提供了一次写入然后多次读取的机会。可以在存储芯片出厂后的某个时间点对一次写入/多次读取的存储器进行编程。一旦存储器被编程，它可能不会被重写，但它可能被多次读取。读/写存储器在出厂后可以多次编程和重新编程。它也可以被多次读取。

存储器335可以被配置为存储一个或多个小应用程序340、一个或多个计数器345和客户标识符350。一个或多个小应用程序340可以包括一个或多个软件应用程序，该软件应用程序被配置为在一个或多个非接触式卡上执行，例如Java Card小程序。然而，应当理解，小程序340不限于

参考接触垫来描述前述示例性实施例的处理器和存储器元件，但是本发明不限于此。应当理解，这些元件可以在接触垫320的外部实现或与其完全分离，或者作为除了位于接触接触垫320内的处理器330和存储器335元件之外的另外的元件。

在一些实施例中，非接触式卡300可以包括一个或多个天线355。一个或多个天线355可以放置在非接触式卡300内和接触垫320的处理电路325周围。例如，一个或多个天线355可以与处理电路325集成在一起，并且一个或多个天线355可以与外部升压线圈一起使用。作为另一示例，一个或多个天线355可以在接触垫320和处理电路325的外部。

在一个实施例中，非接触式卡300的线圈可以充当空心变压器的次级。终端可以通过断电或调幅的方式与非接触式卡300进行通信。非接触式卡300可以使用非接触式卡的电源连接中的间隙来推断从终端发送的数据，该间隙可以通过一个或多个电容器在功能上保持。非接触式卡300可以通过切换非接触式卡的线圈上的负载或负载调制来进行通信。负载调制可通过干扰在终端的线圈中检测出来。

如上所述，非接触式卡300可以建立在可在智能卡或其他具有有限内存的设备上操作的软件平台上，如JavaCard，并且可以安全地执行一个或多个应用程序或小应用程序。小程序可被添加到非接触式卡中，以便在各种基于移动应用的用例中为多因素认证(MFA)提供一次性密码(OTP)。小程序可被配置为响应来自读卡器(例如移动NFC读卡器)的一个或多个请求，例如近场数据交换(NDEF)请求，并产生NDEF消息，该消息包括编码为NDEF文本标签的加密安全OTP。

图4图示了根据示例实施例的示例性NDEF短记录布局(SR＝1)400。NDEF消息为客户端设备110提供与非接触式卡105通信的标准化方法。在一些实施例中，NDEF消息可包括一个或多个记录。NDEF记录400包括报头402，报头402包括定义如何解释记录的其余部分的多个标志，包括消息开始(MB)标志403a、消息结束(ME)标志403b、块标志(CF)403c、短记录(SR)标志403d、ID长度(IL)标志403e和类型名称格式(TNF)字段403f。MB 403a和ME标志403b可被设置为指示消息的相应第一记录和最后记录。CF 403c和IL标志403e提供关于记录的信息，分别包括数据是否是“分块的”(数据分布在消息内的多个记录中)或ID长度408是否相关。当消息仅包括一条记录时，可以设置SR标志403d。

TNF字段403f标识由NFC协议定义的字段包含的内容的类型。这些类型包括空的、众所周知的(由NFC论坛的记录类型定义(RTD)定义的数据)、多用途因特网邮件扩展(MIME)[由RFC 2046定义]、绝对统一资源标识符(URI)[由RFC 3986定义]、外部的(用户定义的)、未知的、未更改的[对于块]和保留的。

NFC记录的其他字段包括类型长度404、有效载荷长度406、ID长度408、类型410、ID412和有效载荷414。包含有效载荷类型的长度，以字节为单位。类型长度字段404指定在有效载荷中找到的数据的精确类型。有效载荷长度406包含有效载荷的长度，以字节为单位。一条记录最多可以包含4294967295字节(或2^32-1字节)的数据。ID长度408包含ID字段的长度，以字节为单位。类型410确定有效载荷包含的数据的类型。ID 412为外部应用程序提供了识别NDEF记录中携带的整个有效载荷的方法。有效载荷414包括消息。

在一些示例中，通过在安全信道协议下实现存储数据(E2)，数据可以最初存储在非接触式卡中。该数据可以包括卡特有的个人用户ID(pUID)，以及初始密钥、包括会话密钥的加密处理数据、数据加密密钥、随机数和将在下面更详细地描述的其他值中的一个或多个。这些值可用于生成消息认证码(MAC)，该消息认证码可用于在客户服务处理之前对客户端进行预认证。

在初始化期间可与非接触式卡105和认证服务器160交换以填充非接触式卡以支持根据各个方面的安全认证的示例性信息示于下表I中。

表1：

初始化之后，非接触式卡和认证服务器都存储用于唯一标识持卡人的信息。这些特征可根据一个方面用于认证客户端对高风险服务的访问，如下所述。

图5示出了一种通信系统，其中非接触式卡510可以存储诸如表1中包括的信息，该信息可以用于在将用户与服务提供商的高风险服务连接之前对用户进行认证。在一个方面，“高风险服务”是一种可以从多因素认证过程中受益的服务，因为该服务有机会暴露敏感的客户或其他信息。如关于图3所述，每个非接触式卡可以包括存储器516，用于存储包括一个或多个唯一标识属性(例如标识符、密钥、随机数等)的客户信息518。在一个方面中，存储器还包括认证小程序517，当由微处理器512执行时可操作，用于控制本文所述的认证过程。另外，每个非接触式卡510可以包括一个或多个应用交易计数器(ATC)514和接口515。如上所述，在一个实施例中，接口操作NFC或其它通信协议。

客户端设备520还包括用于与非接触式卡通信的卡接口525，以及允许客户端设备520使用如上所述的各种通信协议与服务提供商通信的一个或多个其他网络接口(未示出)。客户端设备还可以包括用户界面526，其可以包括键盘或触摸屏显示器中的一个或多个，从而允许服务提供商应用程序和客户端设备520的用户之间的通信。客户端设备520还包括存储器522，该存储器存储控制客户端设备520的操作的信息和程序代码，包括例如客户端应用程序523，该应用程序可以由服务提供商提供给客户端以便于访问和使用服务提供商应用程序。在一个实施例中，客户端应用程序523包括程序代码，该程序代码被配置为将认证信息从非接触式卡510传送到由服务提供商提供的一个或多个服务。客户端应用程序523可以通过在用户界面526上显示的服务提供商(SP)应用程序界面527处收到的输入来控制。例如，用户可以选择作为SP应用接口527的一部分提供的图标、链接或其他机制来启动客户端应用以访问SP应用服务。

如关于图1A所述，客户端设备520可以连接到由服务提供商505提供的各种服务，包括客户关系管理器(CRM)服务器540和认证服务器550。在一个实施例中，CRM服务器540管理接收到的支持呼叫的路由，并将接收到的呼叫转移到呼叫处理管道542。认证服务器550包括客户端信息表552，该客户端信息表552用于存储诸如用于服务提供商的客户端的表1所示的信息。认证服务器554包括用于使用来自客户端计数器值表556的信息为客户端执行各种认证处理的硬件和软件。在一个实施例中，认证服务器进一步示出为包括用于与客户端设备交换认证消息的客户端接口557和用于与CRM服务器540交换认证消息的客户服务接口553。认证服务器还可以包括客户端计数器值表556，其可以如下所述用于结合非接触式卡510执行认证。

图6示出了可由非接触式卡601、客户端设备611和服务提供商621的认证服务执行的各种步骤，其被配置为使用密钥多样化技术作为用于预认证客户端的多因素认证协议的一部分。例如，能够访问客户端设备611的非接触式卡601的持卡人可以从服务提供商621处寻求认证，以便能够访问服务，包括寻求多因素认证以访问高风险服务，如呼叫中心支持。

在步骤610，客户端设备611首先通过与服务提供商交换登录凭证来访问由服务提供商621维护的客户端帐户，其中在一个实施例中，登录凭证可以包括但不限于密码、密钥、生物特征数据、图像数据、查询/响应交换等。在一个实施例中，客户端可以通过经由SP应用接口527启动客户端应用来发起该访问。启动该应用可以包括显示服务提供者的网页，该网页被配置为接受来自用户的第一凭证信息。

在一些实施例中，可以使用下面描述的用于第二级认证的密码交换过程来执行第一级认证。服务提供商应用程序可以通过将非接触式卡601轻触客户端设备611来启动，启动密码交换作为允许访问服务提供商应用程序的前奏。

服务提供者在步骤620接收凭证并将这些凭证与由认证服务器维护的客户端的凭证进行比较。如果在步骤622登录凭证不匹配，则服务提供商进行到步骤631以使用其他方法进行客户端设备的认证。如果在步骤622确定存在匹配，则客户端被认证，并且服务提供商与由客户端设备611维护的客户端应用程序协调，以向客户端显示服务提供商网页以允许访问一个或多个服务。

在步骤614，客户端设备请求访问高风险应用程序，例如客户服务应用程序。客户端可以请求访问，例如，通过选择服务提供商网站上提供的多个超链接中的一个来引导客户访问所选服务。例如，超链接可以包括服务的登录页面的网址。或者，超链接可以包括客户支持系统的电话号码。

在步骤624收到客户服务请求，服务提供商确定所选服务是将受益于第二级认证的高风险服务。例如，在使用非接触式卡提供第二因素认证的实施例中，服务提供商可提示客户端设备使用非接触式卡，以检索用于验证目的的密码。提示可以是向客户指示他们应该使用非接触式卡的任何方式，包括文本提示、视觉提示、声音提示和其他可用的指示机制。

客户端设备611在步骤616接收该请求并使用非接触式卡。在一个方面，客户端设备使用如上所述的NFC通信信道与非接触式卡交换消息。非接触式卡通过对称密钥、对称密码处理和计数器的组合协作以提供第二因素认证。

在步骤602，非接触式卡接收认证请求。在步骤604，非接触式卡内的处理组件递增应用服务交易(AST)计数器，并使用存储在非接触式卡中的主密钥，使用对称密码算法对计数器进行编码以产生多样化密钥。密码算法可以从包括对称加密算法、HMAC算法和CMAC算法中的至少一个的组中选择。在一些示例中，用于处理多样化值的对称算法可以包括根据需要用于生成期望长度的多样化对称密钥的任何对称密码算法。对称算法的非限制性示例可包括对称加密算法，例如3DES(三重数据加密算法)或高级加密标准(AES)128；基于对称哈希的消息认证(HMAC)算法，如HMAC-SHA-256；以及基于对称密码的消息认证码(CMAC)算法，如AES-CMAC。应当理解，如果所选择的对称算法的输出没有生成足够长的密钥，诸如使用不同的输入数据和相同的主密钥处理对称算法的多次迭代等技术可能会产生多个输出，这些输出可以根据需要进行组合以产生足够长的密钥。

非接触式卡的处理组件可以采用选定的加密算法，并使用主对称密钥处理计数器值。例如，非接触式卡601可以选择对称加密算法并使用计数器，该计数器随着非接触式卡处理的每一笔认证交易而递增。非接触式卡601然后可以使用所选择的对称加密算法使用主对称密钥来加密计数器值，以生成多样化的对称密钥。

在一个方面，多样化对称密钥可用于在传输之前处理计数器以用于授权目的。例如，非接触式卡601可以使用对称加密算法和多样化对称密钥来加密计数器值，输出包括加密的MAC密码。非接触式卡601然后可以将密码发送到服务提供商621以进行认证。在一些示例中，计数器值可能未加密。在这些示例中，计数器值可以在框230处在发送设备205和接收设备210之间发送而不加密。

在一个实施例中，用于包括密码的认证消息的模板可以包括第一记录，具有用于提供实际动态认证数据的公知索引。下面的表II是可以在客户端设备611和非接触式卡601之间交换的认证消息的一个示例。

表II：

在一个示例中，如果要添加额外的标记，则第一字节可以改变以指示消息开始，而不是结束，并且可以添加后续记录。由于ID长度为零，因此记录中省略了ID长度字段和ID。下面表III中所示的示例消息可包括：UDK AUT密钥；派生的AUT会话密钥(使用0x1234)；版本1.0；pATC＝0x1234；RND＝76a6627b67a8cfbb；MAC＝<8个计算字节>。第一列可以包括进入NDEF消息数据的地址/索引。

表III：

在步骤618，客户端设备611接收密码并将其转发给服务提供商621。在步骤626，在服务提供商在步骤624请求第二因素认证之后，在一个实施例中，服务提供商621的认证服务器检索与使用客户端设备的客户端的帐户相关联的非接触式卡的持卡人相关联的客户端信息。客户端信息可以包括客户端的主密钥和非接触式卡的应用服务交易的计数器。服务提供商621使用主密钥和密码算法对检索到的计数器值进行编码，该密码算法与非接触式卡使用的密码算法相匹配，以产生多样化密钥的服务提供商副本。

在步骤628，服务提供商使用多样化密钥来解密密码，以暴露由非接触式卡转发的计数器值。在步骤629，服务提供商将暴露的计数器与服务提供商检索的计数器进行比较，这提供了用户的第二认证。如果不存在匹配，则客户端不被授予对服务的访问权，并且在步骤631，服务提供商621可寻求使用其他方法来认证用户。如果在步骤629存在匹配，则服务提供商在630启动与CRM服务器的呼叫处理。在一个方面，如将参照图7和图8描述的，服务提供商可以生成一个或多个消息，用于控制CRM或客户端设备中的一个以利用服务提供商已经执行的预认证。

下次使用非接触式卡进行认证时，可以选择不同的计数器值来产生不同的多样化对称密钥，从而使监控通信的恶意方难以解密通信。服务提供商和非接触式卡都根据双方商定的预先确定的递增模式递增计数器。例如，计数器可以按1递增，或按某种模式递增，例如，第一笔交易按1递增，第二笔按2递增，第三笔按3递增，或每笔按5递增。由于非接触式卡和服务提供商使用公共计数器、公共增量模式、公共主密钥和公共密码算法，即使多样化密钥在每次交易中都会改变，但发送设备和接收设备都会有相同的密钥。

如上所述，在一些示例中，密钥的多样化值可以使用计数器值来实现。密钥多样化值的其他非限制性示例包括：每次需要新的多样化密钥时生成的随机nonce；从发送设备和接收设备发送的计数器值的全值；从发送设备和接收设备发送的计数器值的一部分；由发送设备和接收设备独立维护但不在两者之间发送的计数器；在发送设备和接收设备之间交换的一次性密码；以及计数器的加密散列。在119申请中描述的一些示例中，各方可以使用密钥多样化值的一个或多个部分来创建多个多样化密钥。例如，计数器可用作密钥多样化值。

在另一示例中，计数器的一部分可用作密钥多样化值。如果在各方之间共享多个主密钥值，则可以通过本文描述的系统和过程来获得多个多样化密钥值。可以根据需要经常创建新的多样化值，从而创建新的多样化对称密钥。在最安全的情况下，可以为发送设备和接收设备之间的敏感数据的每次交换创建新的多样化值。实际上，这可能会创建一个一次性使用密钥，例如单个会话密钥。

在‘119申请中描述了替代有关图6描述的各种其他对称加密/解密技术，并通过引用并入本文。

图7和图8各自示出了可在寻求访问呼叫中心服务的客户端的预认证之后执行的示例性交易流程。在一个实施例中，存储在非接触式卡上的客户信息可以包括特定于客户端的呼叫中心信息。例如，呼叫中心信息可以包括号码。该号码可以包括IP地址、电话号码或其他联系地址、随机数或IP地址、电话号码或其他联系地址或随机数的任何部分或组合。图7示出了呼叫路由过程700的组件之间可能发生的示例性消息传递，该呼叫路由过程使用来自非接触式卡701的呼叫中心信息来定义客户端设备702和客户服务代理705之间的通信链路。

在图6所示的多因素预认证过程之后，服务提供商的认证服务器703用客户服务网络内容710填充客户端接口。网络内容可以包括联系信息，该联系信息包括URL、电话号码或用于与CRM服务器通信的其他联系地址。当选择链路时，在客户端设备和CRM服务器之间生成通信链路。根据一个实施例，客户服务网络内容包括提示711，请求与非接触式卡701的连接。

非接触式卡701在接收到提示时，将存储的预认证号码712转发给客户端设备，客户端设备又将其提供给认证服务器703。在一个实施例中，存储的预认证号码712包括与客户端设备的预认证相关联的唯一号码。当生成通信链路时，可以将预认证号码的至少一部分附加到联系信息。例如，网络内容710可以包括到客户服务电话号码1-800-123-4567的链接。非接触式卡可以提供预认证号码7777，客户端设备将该号码附加在电话号码之后。客户端设备通过蜂窝网络向-800-123-4567、、、、7777发起呼叫715。在714，应用服务器用非接触式卡的附加号码向CRM提醒来电。CRM监视那些具有预认证号码的来电，并在客户服务代理管道中拨打716时绕过认证。

尽管图7的过程包括存储在非接触式卡上的预认证号码，但是在一些实施例中，客户端设备可以被配置为生成用于附加到呼叫的预认证号码。预认证号码可以响应于与非接触式卡的通信而生成，例如在如图6所述的与非接触式卡的密码交换之后。在一些实施例中，预认证号码可以针对每个客户支持请求而改变。这样的安排确保客户支持呼叫不被恶意方重定向，因为冒充者客户端设备将不具有预认证号码，并且因此在CRM服务器上不会绕过认证。

在其他实施例中，如图8所示，为了进一步保护呼叫处理免受恶意干扰，呼叫处理由客户服务代理发起。在使用图6的过程进行预认证之后，向客户端设备提供客户支持网络内容810。在一个实施例中，内容包括提示811，以鼓励客户端设备的重新授权。非接触式卡812生成如上所述的密码，该密码经由客户端设备702转发到认证服务器703以进行验证。一旦认证服务器验证密码，在步骤814，认证服务器指示CRM服务器绕过呼叫的授权。在步骤815，呼叫被置于呼叫代理队列中，绕过授权，并且在步骤816，CRM发起反向信道呼叫。这里，反向信道呼叫是通过在服务器(例如CRM服务器)与客户端设备电话号码、IP地址等之间直接建立的通信链路发起的呼叫。

在一些实施例中，重新认证的步骤可以在客户服务代理705在步骤816发起呼叫之后发生，以确保呼叫没有在先前的认证和呼叫处理之间被重定向。下面将更详细地描述可由客户服务代理用于重新认证或进一步授权客户端访问的方法。当在先前的认证和呼叫处理之间存在延迟(例如，客户服务队列中的长时间等待或预定的回呼)时，这样的实施例可能是有益的。

图9示出了CRM服务900的一个实施例的几个示例性组件。CRM服务900示出为包括认证逻辑906和代理分配单元910。来电901被转发到预认证过滤器902。预认证过滤器902可以如上所述存储从认证服务器接收的预认证号码。未经预认证的来电被转发到认证队列904。认证逻辑从认证队列904检索来电，并与认证服务器(未示出)协作以使用上述认证方法的任何组合来验证客户端。一旦认证，呼叫就被转发到队列908。

确定为经过预认证的来电直接从预认证过滤器902转发到队列908。有利地，为了最小化恶意干扰的可能性，一旦以这种方式绕过具有存储的预认证号码的呼叫，则从预认证过滤器902删除预认证号码。

因此，队列908存储经认证的呼叫，这些呼叫被指派给代理920、922、924，以便由代理指派单元910根据资源负载来处理。通过这样的安排，预认证的呼叫可以在客户呼叫中心智能地路由，以最小化处理延迟。

因此，描述了一种利用服务提供商的多因素认证特性和智能呼叫路由来提高客户呼叫中心的安全性和效率的系统和方法。根据另一方面，认识到上述认证过程的优点可由客户服务代理在呼叫处理期间进一步利用。例如，客户服务代理可以请求提高的认证级别，以更精细的粒度控制客户端信息访问，或者验证持续的客户端真实性。尽管图6的多因素认证过程被描述为有利于在允许访问高风险服务之前对客户端进行认证，但可以理解，即使在高风险服务中，也存在对危害客户端帐户具有更大潜力的数据和动作，因此应该限制访问。

例如，披露个人账户密码的风险高于披露个人账户余额的风险。此外，允许个人修改电话号码或电子邮件的风险更大，因为这些联系措施通常在修改密码期间使用，如果恶意用户修改这些数据，则适当的客户端可能会失去对帐户的访问权限。

简要参考图10，根据本发明的方面操作的系统1000的示例性组件的子集的框图可以包括多个客户服务代理(CSA)1032、1034，其使用数据服务器1036访问客户端数据1040。客户端数据1040在概念上被分配成分层数据结构，包括高灵敏度数据1042、中灵敏度数据1044和低灵敏度数据1046。因此，每一层都与不同级别的数据敏感度相关联，并伴随着不同程度的访问控制。在一些实施例中，某些敏感数据可能对未授权方不可用，如阴影数据项(例如数据项1045)所示。

因此，为了防止账户接管欺诈，在一个实施例中，客户服务代理(或在客户服务代理工作站上执行的软件)可以在呼叫期间主动请求进一步的因素认证。例如，客户服务代理可以肯定地选择图形用户界面(GUI)仪表板上的按钮，以生成对认证服务器的请求以执行认证过程。或者，客户服务可以在指示为具有受限访问的屏幕上选择数据元素，并且该选择可以主动导致进一步因素认证的生成。

所生成的进一步因素认证请求可以采取多种形式，该形式优选地验证发起访问请求的设备与客户相关联，并且是由客户(或由客户授权的某人)实际拥有。例如，认证服务器可以向客户端设备发出“推送”消息，推送消息包括提示，该提示要求认证数据对于授权设备是个人的，或者对于授权客户是个人的。

例如，该认证方法可包括但不限于应用内通知(例如

SwiftID-in-application质询通过在注册时捕获客户端手机的图像来认证客户。客户在收到来自认证服务器的推送通知时，会滑动其电话屏幕以确认其活动。SwiftID通过将手机拍摄的图像与它存档的注册图像进行比较来确认真实性，并在图像相关联时验证客户。SMS代码交换涉及将唯一代码推送到客户的预验证联系信息，客户通过在服务提供商应用程序中输入代码来证明拥有该设备。

如参考图6所述，非接触式卡认证方法使用如上所述的NFC通信信道与非接触式卡交换消息。非接触式卡通过对称密钥、对称密码处理和计数器的组合协作以提供第二因素认证。

现在参考图11，现在将描述可在利用本发明的方面的客户服务认证过程1100的一个实施例中执行的示例性步骤。客户服务认证过程可以实现为在客户服务代理的工作站上操作的软件程序，该软件程序响应于来自客户服务代理的输入而操作以执行图11的过程的步骤。出于以下描述的目的，所描述的由客户服务代理执行的操作意味着包括由软件的操作员和软件本身执行的操作。

在步骤1122，客户服务代理1120例如使用关于图1-9描述的过程建立与客户端的通信链路，其中优选地，客户端在呼叫处理之前被预认证。

在步骤1123，客户服务代理1120接收来自客户端的访问请求。在步骤1124，客户服务代理确定客户端是否被授权进行访问。如前所述，应当理解，可以存在与客户端数据相关联的多个授权级别，其中较低风险的数据、服务或功能可以比较高风险的数据、服务或功能更自由地可访问。因此，已经执行的预认证可能足以用于客户服务呼叫处理，或者可能需要附加认证。然而，在某些情况下，例如更改电子邮件地址或电话号码，这种预认证可能是不够的。根据一个方面，每个尝试的访问都与在允许访问之前必须满足的授权级别相关联。

在一些实施例中，认证服务器可以为每个客户端存储该客户端的授权级别。在一个实施例中，授权级别可以表示为数字标度，并且可以为每个客户端存储一个值，作为客户端数据的一部分，客户端数据作为客户端数据存储在数据库130中。

在步骤1124，客户服务代理通过将访问请求的授权级别与请求客户端的授权级别进行比较来确定客户端是否被授权进行所请求的访问。如果客户端被授权，则处理进入步骤1128，其中允许访问。例如，在一些实施例中，对这种访问的批准可以使敏感信息对客户服务代理和客户中的一个或两者可见。在其它实施例中，批准可以解锁数据字段，从而允许修改。

在步骤1129，将通知转发给客户端。在一个实施例中，通知被转发到客户端的预验证联系人地址，例如，发送到预验证电子邮件地址的电子邮件或发送到预验证电话号码的文本消息。优选地，用于转发通知的通信信道不同于客户端用于请求对信息的访问的通信信道。例如，客户端可以使用网络应用程序请求访问，并且可以将通知发送到独立邮件应用程序支持的电子邮件地址。使用不同的通信信道向客户端提供通知有助于减少恶意第三方冒充客户端访问的机会。尽管通知步骤1129被示出在步骤1128的访问之后发生，但是在各种实施例中，这种通知可以在允许访问之前发生，并且具有延迟以允许在客户端未发出此类请求的情况下进行补救。

如果在步骤1124确定初始预授权不足以进行所请求的访问，则在步骤1125，客户服务代理从服务器请求附加认证，并进行到步骤1126以等待认证结果。

在步骤1131，当认证服务器接收到认证请求时，在步骤1132，认证服务器将认证请求推送到客户端。根据一个方面，可以使用预验证的通信信道在认证服务器和客户端设备之间建立反向信道通信链路。例如，认证服务器可以为每个客户端存储一个或多个预验证的联系信息，包括但不限于电话号码、因特网移动设备标识符(IMEI)、因特网协议(IP)地址等。可以使用预验证的联系信息向客户端发送“推送”请求，其中“推送”请求包括对特定形式的认证信息(即SwiftID、SMS代码、密码等)的请求。通过使用与客户端寻求访问不同的信道将认证请求推送到客户端，可以减少冒名顶替者获得敏感信息访问权限的机会。

除了推送到预验证的联系人之外，替代地，在一些实施例中，推送消息和相关联的认证响应可以使用与客户端/客户服务代理通信会话相关联的会话标识符在客户端和认证服务器之间交换。会话ID是网站服务器在客户端访问(会话)期间分配给该客户端的唯一编号。由于这是一个独特的时间有限值，黑客通常很难成功解码和入侵会话通信。会话ID可以作为cookie、表单字段或URL(统一资源定位器)存储在客户服务代理和客户端设备上。许多服务器使用的算法涉及生成会话标识符的更复杂方法，因此使用会话标识符转发通信为客户端/客户服务代理通信添加了进一步的安全层。

在步骤1134，认证服务器1130接收用于认证客户端设备的认证令牌(即，电话图像、SMS代码、密码)。认证服务器1130将令牌与从数据存储器检索到的期望值进行比较，并将认证或拒绝信号之一转发给客户服务代理。

如果在步骤1126，客户服务代理接收到拒绝信号，则客户端未被认证，并且处理进入步骤1127，其中访问请求被拒绝。在这种情况下，客户服务代理可以寻求其他认证方式，可以终止呼叫或转发呼叫以进行欺诈处理。如果在步骤1126客户服务代理接收到认证信号，则在步骤1128允许请求的访问，并且在步骤1129转发电子邮件以向客户端调制访问请求。

在一些实施例中，所请求的修改的实现可能被延迟，等待来自客户端的对电子邮件的响应。例如，电子邮件消息可以包括对来自客户端的肯定指示的请求，该肯定指示表明访问请求被授权。在一些实施例中，电子邮件请求可以请求进一步的认证，例如SwiftID、SMS代码或密码交换。

图12A和图12B示出了客户服务代理(CSA)1232和客户端1234的示例性图形用户界面(GUI)显示，客户服务代理(CSA)1232和客户端1234可以使用上述关于图11的过程进行通信。当客户服务代理接收到处理呼叫时，客户服务屏幕1220可以包括显示关于客户的信息的各种字段，例如用户名1222、密码1224和社会保障号码1226。客户端显示器1250可以类似地包括显示给客户服务代理的一个或多个信息字段的子集，包括用户名1252、密码1254和社会保障号码1256。根据一个方面，如上所述，取决于每个实体的授权级别，CSA 1232和/或客户端中的一个或两个可能看不到某些信息。因此，在图12A中，CSA 1232未被授权查看客户的密码1224或社会保障号码1226。然而，客户端1234被授权查看这些字段。然而，锁定图标1258指示客户端没有被授权在没有进一步认证的情况下修改字段。使用例如图11的步骤进一步认证客户端的过程可以以多种方式发起，包括由客户服务代理选择其显示器上的认证按钮1260，或者由CSA 1232或客户端1234中的一个或两个选择一个锁定图标，例如锁定图标1258。另外，如上所述，在呼叫处理期间的任何时刻，如果CSA 1232怀疑客户端的真实性，则CSA可以选择认证按钮1260来发起认证过程。

因此，已经示出并描述了一种系统和方法，该系统和方法通过使用多个不同的通信信道验证客户端真实性来减少在客户服务交易期间恶意访问客户端信息的机会。这种认证可以在预认证之后执行，或者代替预认证。

一些实施例可以使用表述“一个实施例”或“实施例”连同它们的派生词来描述。这些术语意味着结合该实施方式描述的特定特征，结构或特性包括在本公开的至少一个实施方式中。贯穿本说明书在各个地方出现的短语“在一个实施方式中”不一定都指的是同一实施方式。此外，除非另有说明，否则上述特征被认为可以以任何组合一起使用。因此，单独讨论的任何特征都可以相互组合使用，除非注意到这些特征彼此不兼容。

一般参考这里使用的符号和命名法，这里的详细描述可以根据可以实现为在计算机或计算机网络上执行的程序过程的功能块或单元来呈现。本领域技术人员使用这些过程描述和表示来最有效地将他们工作的实质传达给本领域技术人员。

程序在这里并且通常被认为是导致期望结果的自洽操作序列。这些操作是需要物理量的物理操作。通常，虽然不是必须的，但是这些量的形式是能够被存储，传输，组合，比较和以其它方式操纵的电，磁或光信号。主要出于常用的原因，将这些信号称为比特、值、元素、符号、字符、术语、数字等有时被证明是方便的。然而，应当注意的是，所有这些和类似的术语都与适当的物理量相关联，并且仅仅是应用于这些量的方便标签。

此外，所执行的操作通常以术语来指代，例如添加或比较，这些术语通常与由人类操作者执行的心理操作相关联。在本文所描述的构成一个或多个实施例的一部分的任何操作中，人类操作者的这种能力不是必需的，或者在大多数情况下是可取的。相反，这些操作是机器操作。用于执行各种实施例的操作的有用机器包括通用数字计算机或类似设备。

一些实施例可以使用表述“耦合”和“连接”连同它们的派生词来描述。这些术语不一定是彼此的同义词。例如，可以使用术语“连接”和/或“耦合”来描述一些实施例，以指示两个或更多个元件彼此直接物理或电接触。然而，术语“耦合”也可能意味着两个或多个元件彼此不直接接触，但仍然相互合作或相互作用。

各种实施例还涉及用于执行这些操作的装置或系统。该装置可以为所需目的而专门构造，或者其可以包括由存储在计算机中的计算机程序选择性地激活或重新配置的通用计算机。此处介绍的过程与特定计算机或其他设备没有本质上的关系。各种通用机器可以与根据这里的教导编写的程序一起使用，或者构造更专门的设备来执行所需的方法步骤可以证明是方便的。各种这些机器所需的结构将从给出的描述中显现出来。

需要强调的是，提供本公开的摘要是为了让读者能够快速确定技术公开的性质。它是在理解不会被用来解释或限制权利要求的范围或含义的情况下提交的。此外，在前述详细描述中，各种特征被组合在单个实施例中以简化本公开。这种披露方法不应被解释为反映出一种意图，即所要求的实施例需要比每项权利要求中明确叙述的更多的特征。相反，如以下权利要求所反映的，发明主题在于少于单个公开实施例的所有特征。因此，以下权利要求特此并入详细说明中，每个权利要求独立作为单独的实施例。在所附权利要求中，术语“包括”(including)和“在…中”(in which)分别用作相应术语“包含”(comprising)和“其中”(wherein)的简单英语等价物。此外，术语“第一”、“第二”、“第三”等仅用作标签，并不旨在对其对象强加数字要求。

上面已经描述的包括所公开架构的示例。当然，不可能描述组件和/或方法的每一种可能的组合，但是本领域的普通技术人员可以认识到许多进一步的组合和排列是可能的。因此，新颖的架构旨在包含所有这些落入所附权利要求的精神和范围内的改变、修改和变化。