用于令牌预配和处理的方法和系统

相关申请交叉引用

此国际申请要求2018年8月22日提交的第62/721,128号美国专利申请的优先权，所述美国专利申请的公开内容出于所有目的以全文引用的方式并入本文中。

背景技术

实体通常为用户维护账户，由此用户可利用与实体(例如，银行、政府组织、云服务提供商等)相关联的账户访问资源。在银行业务示例中，银行可作为账户发行方向用户发放支付卡(例如，借记卡)，所述支付卡允许用户利用与账户相关联的支付凭证(例如，主账号(PAN)、CVV2等)获得商品。在一些情况下，用户可使用支付卡进行跨境交易。例如，用户可从其居住国家(例如，加拿大)中的银行获得卡片，然后前往另一国家(例如，美国(U.S.))执行支付交易。

另外，已创建现代系统来为通信装置(例如，移动电话)预配访问数据(例如令牌)，所述访问数据与随后用于进行交易的用户账户相关联。例如，继续银行业务示例，移动电话可预配有与用户的银行账户相关联的访问数据(例如PAN、支付令牌等)，其可允许移动电话访问账户以获得商品。在移动电话预配有访问数据后，用户可例如使用移动电话来利用支付账户进行电子商务交易。在另一示例中，用户可前往商家商店，并使移动电话轻触访问装置(例如，销售点(POS)终端)以进行交易。在非银行业务示例中，云服务提供商实体可针对特定用户发放允许用户访问云中的远程文件共享上与其账户相关联的文件的凭证。云服务提供商可结合所述云服务提供商为用户的移动电话预配对应于用户凭证的访问数据(例如令牌)，这使得移动电话能够通过移动电话访问云中的远程文件共享上的文件。

然而，交易通常可涉及在交易处理流水线的各个阶段处理交易相关数据的多个实体。在这些情况下，交易流水线中的实体之间的互操作性是一项重大挑战。例如，特定国家的银行可能会发放与根据该特定国家的银行业务标准而格式化的用户账户信息(例如，账号)相对应的支付卡。然而，另一国家的商家商店和/或网站可能具有被配置成进行不同格式的账号交易的现有基础设施(例如POS终端、网络服务器)，这可能会阻碍交易的进行。在另一示例中，用户的移动电话上的软件应用程序(例如数字钱包)可被配置成促进基于接收到特定格式的用户账号而为移动电话预配访问数据，所述特定格式可不同于由发行方发放的账户凭证的格式。

本发明的实施例涉及提高交易中涉及的发行方与其它实体之间的互操作性的方法和系统。本发明的实施例单独地以及共同地解决这些问题和其它问题。

发明内容

本发明的实施例涉及安全令牌处理系统和方法。

本发明的一个实施例涉及一种方法，包括：由令牌提供商计算机从令牌请求者计算机接收令牌请求消息，所述令牌请求消息包括初始访问标识符；由所述令牌提供商计算机将所述初始访问标识符传送到第一授权计算机；由所述令牌提供商计算机接收中间访问标识符；由所述令牌提供商计算机至少部分地基于所述中间访问标识符将令牌激活请求消息传送到第二授权计算机；由所述令牌提供商计算机从所述第二授权计算机接收来自所述第二授权计算机的令牌激活响应消息；以及由所述令牌提供商计算机将令牌提供给所述令牌请求者。

本发明的另一实施例可涉及一种被配置成执行上述方法的令牌提供商计算机。

本发明的另一实施例涉及一种方法，包括：由第一授权计算机从令牌提供商计算机接收初始访问标识符。所述方法接着包括：由所述第一授权计算机至少部分地基于所述初始访问标识符而获得中间访问标识符；以及由所述第一授权计算机将所述中间访问标识符传送到所述令牌提供商计算机，其中所述令牌提供商计算机至少部分地基于所述中间访问标识符而将令牌激活请求消息传送到第二授权计算机以授权要预配给令牌请求者计算机的令牌。

本发明的另一实施例可涉及一种被配置成执行上述方法的第一授权计算机。

本发明的另一实施例涉及一种方法，包括：由处理计算机接收包括令牌的授权请求消息；由所述处理计算机在交易中将所述令牌提供给令牌提供商计算机；由所述处理计算机接收与所述令牌相关联的中间访问标识符；由所述处理计算机修改所述授权请求消息以包括所述中间访问标识符；以及由所述处理计算机将包括所述中间访问标识符的所述授权请求消息传送到第一授权计算机，其中所述第一授权计算机修改所述授权请求消息以包括与所述中间访问标识符相关联的初始访问标识符，并且将带有所述初始访问标识符的所述授权请求消息传送到第二授权计算机以授权所述交易。

本发明的其它实施例可涉及一种被配置成执行上述方法的处理计算机。

在下文参考附图和具体实施方式进一步详细描述本发明的这些和其它实施例。

附图说明

图1示出根据本发明的实施例的系统的框图。

图2示出根据本发明的实施例的系统的令牌请求者计算机的框图。

图3示出根据本发明的实施例的系统的令牌提供商计算机的框图。

图4示出根据本发明的实施例的系统的第一授权计算机的框图。

图5示出根据本发明的实施例的系统的处理计算机的框图。

图6示出根据本发明的实施例的系统和流程序列的框图，示出使用推送预配的第一预配过程。

图7示出根据本发明的实施例的系统和流程序列的框图，示出使用手动预配的第二预配过程。

图8示出根据本发明的实施例的系统和流程序列的框图，示出令牌的使用。

图9示出根据本发明的实施例的系统的框图，示出令牌的使用。

具体实施方式

本发明的实施例提供用于促进为令牌请求者计算机(例如移动电话等通信装置)进行安全令牌预配以便后续交易使用的机制。在一个实施例中，高级预配过程流可如下进行。首先，令牌请求者计算机可通过将初始访问标识符(例如，从发行方银行获得的国际银行账号(IBAN))以及用户标识符(例如，用户名、电子邮件地址等)传送到令牌提供商计算机来发起预配过程。其次，令牌提供商计算机随后基于所述初始访问标识符和用户标识符与第一授权计算机(例如，作为发行方的受信任第三方代理的中间方)交互以获得中间访问标识符(例如虚拟PAN)。第一授权计算机可存储初始访问标识符与中间访问标识符之间的映射以在未来用于处理交易。第三，基于从第一授权计算机接收到中间访问标识符，令牌提供商计算机与第二授权计算机(例如发行方)交互以获得令牌激活批准。第四，令牌提供商计算机接着将已激活令牌提供给令牌请求者计算机，所述已激活令牌可被存储以供未来使用。令牌提供商计算机可存储中间访问标识符与令牌之间的映射以在未来用于处理交易。

在一些实施例中，令牌可通过发行方应用程序(例如银行应用程序)“推送”预配到令牌请求者计算机，所述发行方应用程序通过向在令牌请求者计算机上执行的应用程序(例如数字钱包)“推送”包括用户凭证的有效负载而发起预配请求。在此情况下，用户可仅使用发行方应用程序来选择要预配令牌的数字钱包，并且无需用户手动输入凭证。令牌请求者计算机随后可通过令牌提供商计算机发起预配过程，如上文所描述。

在其它实施例中，令牌可“手动地”预配给令牌请求者计算机，由此在令牌请求者计算机上执行的令牌请求者应用程序从用户(例如通过键盘输入)直接接收例如包括用户标识符和初始访问标识符的输入。令牌请求者计算机随后可通过令牌提供商计算机发起预配过程，如上文所描述。

在一些实施例中，在令牌请求者计算机预配有令牌之后，令牌请求者计算机可使用令牌进行交易。在一个实施例中，并且使用支付交易作为非限制性示例，高级交易过程流可如下进行。首先，通信装置(例如可以是先前预配有令牌的相同令牌请求者计算机)可通过将预配的令牌传送到访问装置来与访问装置交互(例如使电话轻触商家POS终端)。其次，访问装置可将包括令牌的授权请求消息传送到传输计算机(例如与商家访问装置关联的收单方计算机)。第三，传输计算机可将包括令牌的授权请求消息传送到处理计算机(例如，VisaNet

本发明的实施例提供数个技术优势。在一个非限制性示例中，一些初始访问标识符，例如IBAN，可能与现有令牌预配系统(例如其可能需要PAN格式)不兼容。因此，使用常规技术，用户可能无法基于发放的IBAN而用支付令牌预配其通信装置(例如移动电话)。相比之下，本发明的实施例在现有令牌预配系统内利用中间访问标识符提供发行方与其它实体(例如令牌提供商服务)之间的互操作性。以此方式，用户可用使用IBAN的支付令牌预配其移动电话。因此，例如，用户能够用其预配了令牌的移动电话轻触商家访问装置以进行交易。另外，用户可前往另一国家(例如具有不同支付处理系统)并且仍能够用其预配了令牌的移动电话轻触商家访问装置以进行交易。在又一示例中，用户可基于与原本不兼容的IBAN相关联的令牌而使用其移动电话上的数字钱包来进行远程电子商务交易。本发明的实施例还在授权过程期间提供更大的数据安全性。例如，即使中间访问标识符可能在中间人攻击中被破解，但在一些实施例中，所述中间访问标识符将几乎毫无价值，因为其不可用于进行交易。

应理解，本发明的技术优势不仅适用于基于支付的令牌预配系统。在另一非限制性示例中，云服务提供商可发放用于访问文件的凭证，由此所述凭证可根据与用户相关联的特定地理区域和/或组织而具有特定格式。令牌预配系统可被配置成仅在接收到不同格式的凭证后才预配用于访问文件的令牌。类似于上文所描述，本发明的实施例可利用中间访问标识符来提供云服务提供商发行方与令牌预配系统之间的互操作性，使得例如具有原本不兼容格式的发放凭证的用户仍然能够为其通信装置预配令牌，因此所述用户可访问云中的文件。这还可减少特定发行方(例如银行、云服务提供商等)为了与多个令牌预配系统可互操作而需要的基础设施更新数目，并且因此为更广泛的各种用户实现更高效的令牌预配。

在论述本发明的实施例之前，对一些术语进行一些描述可能有用。

“通信装置”可包括可由用户操作的任何合适的电子装置，所述电子装置还可提供与网络的远程通信能力。例如，通信装置可以是个人计算机(PC)。“移动通信装置”可以是可容易转移的“通信装置”的示例。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如3G、4G或类似网络)、Wi-Fi、Wi-Max或可提供对例如互联网或专用网络之类的网络的访问的任何其它通信介质。移动通信装置的示例包括移动电话(例如，蜂窝电话)、PDA、平板计算机、上网本、笔记本电脑、个人音乐播放器、手持式专用读取器等。移动通信装置的其它示例包括可穿戴式装置，例如智能手表、健身手环、踝环、戒指、耳环等，以及具有远程通信能力的汽车。在一些实施例中，移动通信装置可充当支付装置(例如，移动通信装置可存储并且能够传送用于交易的支付凭证)。

“支付装置”可包括可用于进行例如向商家提供支付凭证的金融交易的任何合适的装置。支付装置可以是软件对象、硬件对象或物理对象。作为物理对象的示例，支付装置可包括基板(例如纸卡或塑料卡)，以及在对象的表面处或附近印刷、压花、编码或以其它方式包括的信息。硬件对象可涉及电路系统(例如，永久电压值)，而软件对象可涉及存储在装置上的非永久性数据(例如支付账户的标识符)。支付装置可与例如货币值、折扣或商店信用的值相关联，并且支付装置可以与例如银行、商家、支付处理网络或个人的实体相关联。合适的支付装置可以是手持式并且紧凑的，使得它们能够放到用户的钱包和/或口袋中(例如，口袋大小的)。示例支付装置可包括智能卡、磁条卡、钥匙链装置(例如可购自Exxon-Mobil公司的SpeedpassTM)等。支付装置的其它示例包括支付卡、智能媒介、应答器等。如果支付装置呈借记卡、信用卡或智能卡的形式，则支付装置还可任选地具有例如磁条的特征。此类装置可在接触或非接触模式下操作。

“凭证”可以是充当价值、所有权、身份或权限的可靠证据的任何合适的信息。凭证可以是一串数字、字母或任何其它合适的字符，以及可用作确认的任何对象或文件。凭证的示例包括价值凭证、标识卡、认证文件、通行卡、口令和其它登录信息等。

“支付凭证”可包括与账户(例如，支付账户和/或与账户相关联的支付装置)相关联的任何合适的信息。此类信息可与账户直接相关，或可源自与账户相关的信息。账户信息的示例可包括PAN(主账号或“账号”)、用户名、到期日期以及验证值，例如CVV、dCVV、CVV2、dCVV2和CVC3值。

“应用程序”可以是用于特定目的的计算机程序。应用程序的示例可包括银行业务应用程序、数字钱包应用程序、云服务应用程序、票务应用程序等。

“数字钱包”可包括允许个人进行电子商务交易的电子装置和/或应用程序。数字钱包可存储用户简档信息、支付凭证、银行账户信息、访问数据、令牌、一个或多个数字钱包标识符和/或其类似者，并且可用在各种交易中，例如但不限于电子商务、社交网络、转账/个人支付、移动商务、近距离支付、游戏和/或其类似者，以用于零售购买、数字商品购买、公用事业支付、从游戏网站购买游戏或游戏积分、用户之间转移资金、访问安全数据和/或其类似者。数字钱包可设计来简化购买和支付过程。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上，以便进行支付而无需输入账号或出示实体卡。

“访问数据”可包括任何合适的数据，所述数据可用于访问资源或创建可访问资源的数据。在一些实施例中，访问数据可以是支付账户的账户信息。账户信息可包括PAN、IBAN、支付令牌、到期日期、验证值(例如，CVV、CVV2、dCVV、dCVV2)等。在其它实施例中，访问数据可以是可用于激活账户数据的数据。例如，在一些情况下，账户信息可以存储在移动装置上，但是可以直到移动装置接收到特定信息才被激活。在其它实施例中，访问数据可以包括可用于访问位置的数据。此类访问数据可以是赛事的票证信息、用于访问建筑物的数据、运输票证信息等。在其它实施例中，访问数据可包括用于获得对敏感数据的访问权的数据。访问数据的示例可包括服务器计算机准予访问敏感数据所需要的代码或其它数据。

“初始访问标识符”可包括用户最初使用的标识符。初始访问标识符可以是由发行方发放的原始凭证。初始访问标识符可呈任何合适的格式，例如字母数字字符、字母字符、数值、基于文本等。在一些情况下，初始访问标识符可与单个用户的账户相关联。在其它情况下，初始访问标识符可与例如可能共享账户的多个用户相关联。初始访问标识符的示例可包括原始主账号或IBAN标识符。IBAN标识符(也称为“IBAN”)可包括字母数字字符，而不仅仅是数字。其它示例可包括云服务账号、公共交通账号、建筑物访问标识符等。初始访问标识符还可包括字段的组合，例如包括IBAN标识符和电子邮件地址或另一用户标识符。

“中间访问标识符”可包括可用作过程中的中间方的标识符。中间访问标识符可呈任何合适的格式，例如字母数字字符、字母字符、数值、基于文本等。在一些情况下，中间访问标识符可与单个用户或与例如可能共享账户的多个用户相关联。另外，在一些情况下，中间访问标识符能够用于进行交易。在其它情况下，中间访问标识符可能无法用于进行交易。例如，中间访问标识符可包括映射到IBAN初始访问标识符的虚拟PAN。虚拟PAN可随后映射到令牌。在一些情况下，中间访问标识符长为16、18、或19位并且可类似真的PAN(主账号)，但可能不用于进行交易。

“令牌”可以是凭证的取代值。令牌可以是一串数字、字母或任何其它合适的字符。令牌的示例包括支付令牌、访问令牌、个人标识令牌等。

“支付令牌”可包括取代PAN或IBAN等账户标识符的支付账户标识符。例如，支付令牌可包括可用作原始账户标识符的取代的一系列字母数字字符。例如，令牌“4900 00000000 0001”可用于代替PAN“4147 0900 0000 1234”。在一些实施例中，支付令牌可以是“保留格式的”，并且可具有与现有交易处理网络中使用的账户标识符一致的数值格式(例如，ISO 8583金融交易消息格式)。在一些实施例中，支付令牌可代替PAN用来发起、授权、结算或解决支付交易，或在通常会提供原始凭证的其它系统中表示原始凭证。在一些实施例中，可生成支付令牌，使得可能无法以计算方式从令牌值得出原始PAN或其它账户标识符的恢复。此外，在一些实施例中，令牌格式可被配置成允许接收令牌的实体将其标识为令牌并辨识发放令牌的实体。

“令牌化”是用取代数据替换数据的过程。例如，可通过利用可与支付账户标识符相关联的取代编号(例如，令牌)替换主账户标识符来将支付账户标识符(例如，主账号(PAN))令牌化。此外，令牌化可应用于可用取代值(即，令牌)替换的任何其它信息。令牌化会提高交易效率和安全性。

“令牌发行方”、“令牌提供商”或“令牌服务系统”可包括服务令牌的系统。在一些实施例中，令牌服务系统可促进请求、确定(例如，生成)和/或发放令牌，以及在存储库(例如，令牌库)中维护建立的令牌到凭证(例如主账号(PAN))的映射。在一些实施例中，令牌服务系统可针对给定令牌建立令牌保障级别，以指示令牌与PAN绑定的置信度级别。令牌服务系统可包括令牌库或与令牌库通信，所述令牌库中存储生成的令牌。通过使令牌去令牌化以获得实际凭证(例如PAN)，令牌服务系统可支持对使用令牌提交的支付交易进行的令牌处理。在一些实施例中，令牌服务系统可仅包括令牌化计算机，或包括与交易处理网络计算机等其它计算机组合的令牌化计算机。令牌化生态系统的各种实体可承担令牌服务提供商的角色。例如，支付网络和发行方或其代理方可通过实施根据本发明的实施例的令牌服务而成为令牌服务提供商。

“令牌域”可指示可使用令牌的区域和/或环境。令牌域的示例可包括但不限于各支付渠道(例如，电子商务、实体销售点等)、POS输入模式(例如，非接触式、磁条等)和唯一地标识令牌可用之处的商家标识符。可由令牌服务提供商建立一组参数(即，令牌域限制控制)作为令牌发放的部分，所述参数可允许在支付交易中强制令牌的适当使用。例如，令牌域限制控制可限制以特定呈现模式——例如，非接触式或电子商务呈现模式——使用令牌。在一些实施例中，令牌域限制控制可限制在可以唯一地标识出的特定商家处使用令牌。一些示例性令牌域限制控制可能需要验证对于给定交易唯一的令牌密码的存在。在一些实施例中，令牌域可与令牌请求者相关联。

“令牌到期日期”可指令牌的到期日期/时间。令牌到期日期可在交易处理期间在令牌化生态系统的实体之间传递，以确保互操作性。令牌到期日期可以是数值(例如，4位数值)。在一些实施例中，令牌到期日期可以表示为如从发行时间开始测量的持续时间。

“令牌请求消息”可以是用于请求令牌的电子消息。令牌请求消息可包括可用于标识账户(例如支付账户)或数字钱包的信息和/或用于生成令牌的信息。例如，令牌请求消息可包括支付凭证、移动装置标识信息(例如电话号码或MSISDN)、数字钱包标识符、标识令牌化服务提供商的信息、商家标识符、账户访问标识符、用户标识符、密码和/或任何其它合适的信息。令牌请求消息中包括的信息可(例如，使用发行方特定密钥)进行加密。

“令牌响应消息”可以是对令牌请求作出响应的消息。令牌响应消息可包括令牌请求被批准或是被拒绝的指示。令牌响应消息还可包括支付令牌、移动装置标识信息(例如，电话号码或MSISDN)、数字钱包标识符、标识令牌化服务提供商的信息、商家标识符、密码和/或任何其它合适的信息。令牌响应消息中包括的信息可(例如，使用发行方特定密钥)进行加密。

“令牌请求者标识符”可包括与网络令牌系统关联的实体有关联的任何字符、数字或其它标识符。例如，令牌请求者标识符可与在网络令牌系统注册的实体相关联。在一些实施例中，可针对与同一令牌请求者相关联的令牌请求的每个域分配唯一令牌请求者标识符。例如，令牌请求者标识符可标识令牌请求者(例如，移动装置、移动钱包提供商等)与令牌域(例如，电子商务、非接触式等)的配对。令牌请求者标识符可包括任何格式或类型的信息。例如，在一个实施例中，令牌请求者标识符可包括例如十位数字或十一位数字(例如，4678012345)的数值。

“用户”可包括个人。在一些实施例中，用户可与一个或多个个人账户和/或移动装置相关联。在一些实施例中，用户也可被称为持卡人、账户持有人或消费者。

“用户标识符”可包括与网络令牌系统所关联的用户相关联的任何字符、数字或其它标识符。例如，用户标识符可与在网络令牌系统注册的实体相关联。例如，在一个实施例中，用户标识符可以是与银行维护的银行账户的授权用户相关联的客户ID或电子邮件地址。

“资源提供商”可以是可提供例如商品、服务、信息和/或访问等资源的实体。资源提供商的示例包括商家、数据提供商、运输代理、政府实体、场地和住宅运营商等。

“商家”通常可以是参与交易并且可出售商品或服务或提供对商品或服务的访问的实体。

“收单方”通常可以是与特定商家或其它实体具有商业关系的商业实体(例如，商业银行)。一些实体可执行发行方和收单方两者的功能。一些实施例可涵盖此类单个实体发行方-收单方。收单方可操作收单方计算机，其一般也可被称为“传输计算机”。

“授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文件存储库、访问管理员等。

“发行方”通常可指维护用户账户的商业实体(例如，银行、云服务提供商)。发行方还可向消费者发放存储在蜂窝电话、智能卡、平板电脑或笔记本电脑等用户装置上的凭证(例如支付凭证)。

“访问装置”可以是提供对远程系统的访问的任何合适的装置。访问装置还可用于与商家计算机、交易处理计算机、认证计算机或任何其它合适的系统通信。访问装置通常可位于任何合适的位置处，例如位于商家所在位置处。访问装置可以采用任何合适形式。访问装置的一些示例包括POS或销售点装置(例如POS终端)、蜂窝电话、PDA、个人计算机(PC)、服务器计算机、平板电脑、手持式专用读取器、机顶盒、电子收款机(ECR)、自动取款机(ATM)、虚拟收款机(VCR)、查询一体机、安全系统、访问系统等。访问装置可使用任何合适的接触或非接触操作模式，以发送或接收来自移动通信装置或者支付装置的数据或与移动通信装置或者支付装置相关联的数据。在访问装置可包括POS终端的一些实施例中，可使用任何合适的POS终端且其可包括读取器、处理器和计算机可读介质。读取器可包括任何合适的接触或非接触操作模式。举例来说，示例性读卡器可包括射频(RF)天线、光学扫描仪、条形码读取器或磁条读取器，以与支付装置和/或移动装置交互。在一些实施例中，用作POS终端的蜂窝电话、平板电脑或其它专用无线装置可被称为移动销售点或“mPOS”终端。

“授权请求消息”可以是请求对交易的授权的电子消息。在一些实施例中，授权请求消息被发送给交易处理计算机和/或支付卡的发行方，以请求对交易授权。根据一些实施例的授权请求消息可符合ISO8583，这是针对交换与用户使用支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以包括可与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可包括对应于“标识信息”的额外数据元素，仅举例来说，包括：服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、PAN(主账号或“账号”)、支付令牌、用户标识符、初始访问标识符、中间访问标识符、到期日期等。授权请求消息还可包括“交易信息”，例如与当前交易相关联的任何信息，例如在支付交易情况下的交易金额、商家标识符、商家位置、收单方银行标识号(BIN)、卡接受器ID、标识所购买的项目的信息等，以及可用以确定是否标识和/或授权交易的任何其它信息。

“授权响应消息”可以是响应于授权请求的消息。在一些情况下，授权响应消息可以是由发行金融机构或交易处理计算机生成的对授权请求消息的电子消息应答。仅借助于示例，授权响应消息可以包括以下状态指示符中的一个或多个：批准--交易被批准；拒绝--交易未被批准；或呼叫中心--响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可包括授权代码，所述授权代码可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或通过交易处理计算机)返回到商家的访问装置(例如，POS设备)的指示交易被批准的代码。所述代码可充当授权的证明。授权响应消息还可包括类似于上文所描述的对应于“标识信息”的额外数据元素，所述额外数据元素可用于将消息路由回到请求者。

“令牌呈现模式”可指示用以提交令牌以进行交易的方法。令牌呈现模式的一些非限制性示例可包括机器可读代码(例如QR

“服务器计算机”可包括功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、小型计算机群集或像单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可包括一个或多个计算设备，并且可使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。

“标识和验证(ID&V)方法”可用来确保支付令牌将替换令牌请求者正当使用过的PAN。ID&V方法的示例可包括但不限于账户验证消息、基于对主账号(PAN)的评估的风险分数以及发行方或其代理使用一次性密码来验证账户持有人。示例性ID&V方法可以使用以下信息来执行：诸如用户签名、密码、离线或在线个人标识号码(PIN)、离线或在线加密PIN、离线PIN和签名的组合、离线加密PIN和签名的组合、用户生物特征(例如语音识别、指纹匹配等)、模式、字形、基于知识的质询响应、硬件令牌(多种解决方案选项)、有限使用的一次性密码(OTP)、软件令牌、双通道认证过程(例如，通过电话)等。使用ID&V，可建立关于令牌与PAN绑定的置信度级别。

“令牌保障级别”可指允许令牌服务提供商指示令牌与PAN绑定的置信度级别的指示符或值。令牌保障级别可由令牌服务提供商基于执行的标识和验证(ID&V)类型以及执行ID&V的实体而确定。可在发放令牌时设置令牌保障级别。如果执行额外ID&V，则可更新令牌保障级别。

“请求的令牌保障级别”可指由令牌请求者向令牌服务提供商请求的令牌保障级别。可在由请求者针对令牌的生成/发放而发送到令牌服务提供商的令牌请求消息的字段中包括请求的令牌保障级别。

“分配的令牌保障级别”可指由令牌化生态系统内的实体执行的标识和验证(ID&V)过程所产生的由令牌服务提供商分配给令牌的实际(即，生成的)值。可响应于令牌请求消息而将分配的令牌保障级别提供回到令牌请求者。分配的令牌保障级别可不同于令牌请求消息中包括的请求的令牌保障级别。

“令牌属性”可包括关于令牌的任何特征或信息。例如，令牌属性可包括可确定可如何使用、递送、发放令牌或者可如何在交易系统内操控数据的信息。例如，令牌属性可包括令牌类型、使用频率、令牌到期日期和/或到期时间、相关联令牌数目、交易期限到期日期，以及可能与令牌化生态系统内的任何实体相关的任何额外信息。例如，令牌属性可包括与令牌相关联的钱包标识符、额外账户别名或另一用户账户标识符(例如电子邮件地址、用户名等)、装置标识符、发票编号等。在一些实施例中，令牌请求者可在请求生成令牌时提供令牌属性。在一些实施例中，网络令牌系统、与网络令牌系统相关联的支付网络、发行方或与令牌相关联的任何其它实体可确定和/或提供与特定令牌相关联的令牌属性。

令牌属性可标识指示可如何使用令牌的令牌类型。支付令牌可包括高值令牌，所述高值令牌可代替真实账户标识符(例如，PAN)用于生成消费者账户和/或卡的原始和/或后续交易。另一令牌类型可以是分别针对静态和动态令牌的“静态”或“动态”令牌类型。

“令牌请求者”可指试图根据本发明的实施例实施令牌化的实体。在一些实施例中，令牌请求者可通过向令牌服务提供商提交令牌请求消息而发起将主账号(PAN)或初始访问标识符令牌化的请求。根据本文所论述的各种实施例，令牌请求者在请求者接收到响应于令牌请求消息的令牌后可不再需要存储与令牌相关联的PAN。请求者可以是被配置成执行与令牌相关联的动作的应用程序、装置、过程或系统。例如，请求者可请求注册网络令牌系统、请求令牌生成、令牌激活、令牌去激活、令牌交换、其它令牌期限管理相关过程和/或任何其它令牌相关过程。请求者可通过任何合适的通信网络和/或协议(例如使用HTTPS、SOAP和/或XML接口等等)与网络令牌系统介接。令牌请求者的一些非限制性示例可包括例如已授权账户持有人的通信装置、卡存档(card-on-file)商家、收单方、收单方处理器、代表商家操作的支付网关、支付使能者(enabler)(例如，原始设备制造商、移动网络运营商等)、数字钱包提供商、发行方、第三方钱包提供商和/或支付处理网络。在一些实施例中，令牌请求者可针对多个域和/或渠道请求令牌。令牌请求者可通过令牌化生态系统内的令牌服务提供商唯一地注册和标识。在令牌请求者注册期间，令牌服务提供商可正式处理令牌请求者参与令牌服务系统的申请。令牌服务提供商可收集关于请求者的性质和令牌的相关使用的信息，以验证并正式批准令牌请求者并且建立合适的域限制控制。可向成功注册的令牌请求者分配令牌请求者标识符，所述令牌请求者标识符还可被输入令牌库内并予以维护。令牌请求者可被撤销或分配新的令牌请求者标识符。此信息可由令牌服务提供商进行报告和审计。

“令牌请求指示符”可指代指示符，用于指示含有所述指示符的消息涉及令牌请求。令牌请求指示符可视需要作为标识和验证(ID&V)方法的部分传递到发行方，以通知发行方执行账户状态检查的原因。

“支付网络”可指用于接受、传送或处理由支付装置针对资金、商品或服务进行的交易的电子支付系统。支付网络可在发行方、收单方、商家和支付装置用户之间传输信息和资金。

图1示出根据本发明的实施例的用于预配令牌的系统100的框图。系统100包括可与用户101相关联的令牌请求者计算机102、令牌提供商计算机104、第一授权计算机106和第二授权计算机108。

令牌请求者计算机102、令牌提供商104计算机、第一授权计算机106和第二授权计算机108可全都通过任何合适的通信信道或通信网络与彼此进行操作性通信。合适的通信网络可以是下列中的任一个和/或组合：直接互连、互联网、局域网(LAN)、城域网(MAN)、作为互联网节点的运行任务(OMNI)、安全定制连接、广域网(WAN)、无线网络(例如，采用协议诸如但不限于无线应用协议(WAP)、I-模式等)，等等。计算机、网络与装置之间的消息可以使用安全通信协议来传送，这些安全通信协议诸如，但不限于，文件传送协议(FTP)；超文本传送协议(HTTP)；安全超文本传送协议(HTTPS)、安全套接层(SSL)、ISO(例如，ISO 8583)等。

令牌请求者计算机102可被配置成从用户101接收输入，所述输入指示令牌请求者计算机102通过令牌提供商计算机104发起令牌预配过程以预配令牌。在一些实施例中，令牌请求者计算机102可以是用户101的通信装置(例如移动电话、PC等)，其从用户101接收指令以为通信装置预配令牌。在一些实施例中，并且如下文实施例中所描述，令牌请求者计算机102和要预配的通信装置可以是同一装置。然而，应理解，在其它实施例中，它们可以是不同装置。例如，令牌请求者计算机102可代表另一通信装置请求令牌，然后在接收到令牌后将令牌传送给所述另一通信装置以进行存储。

在一些实施例中，令牌请求者计算机102可执行令牌请求者应用程序，例如数字钱包，其可负责请求、存储和/或管理由令牌提供商计算机104接收到的一个或多个令牌。在一些实施例中，令牌请求者计算机102还可执行发行方应用程序，例如移动银行业务应用程序、云服务应用程序、公共交通账户应用程序等。发行方应用程序可负责将令牌请求消息发送给令牌请求者应用程序以通过令牌提供商计算机104发起预配过程。然而，在其它实施例中，令牌请求者计算机102可不包括发行方应用程序。

令牌提供商计算机104可以是与令牌提供商关联的计算机。令牌提供商计算机104可促进请求、确定(例如生成)和/或发放令牌。例如，令牌提供商计算机104可从令牌请求者计算机102接收令牌请求消息，继而促进与第一授权计算机106和第二授权计算机108的一系列消息交换，之后令牌提供商计算机104将已激活令牌提供给令牌请求者计算机102。在一些实施例中，令牌提供商计算机104还可在存储库(例如令牌库)中维护令牌到标识符的映射。例如，令牌提供商计算机104可维护从令牌到中间访问标识符、初始访问标识符等的映射。令牌提供商计算机104可包括令牌库或与令牌库通信，所述令牌库中存储生成的令牌。令牌提供商计算机104可通过使令牌去令牌化以获得相关联标识符(例如中间访问标识符)、然后将相关联标识符传送给第一授权计算机106以供进一步处理来支持对使用令牌提交的交易的令牌处理。

第一授权计算机106可以是在令牌提供商计算机104与第二授权计算机108之间充当中间方的服务器计算机。在一些实施例中，第一授权计算机106可与充当发行方实体(例如银行)的受信任代理的第三方实体(例如发行方处理器)关联。在其它实施例中，第一授权计算机106可与发行方实体直接关联。在一些实施例中，第一授权计算机106和令牌提供商计算机104都由令牌提供商操作，和/或各自的功能可由同一服务器计算机执行。在令牌预配过程期间，第一授权计算机106可负责根据初始访问标识符获得(例如生成)中间访问标识符以及维护初始访问标识符与中间访问标识符之间的映射。在交易处理阶段期间，第一授权计算机106可从令牌提供商计算机104接收中间访问标识符，使用所述映射检取初始访问标识符，然后将初始访问标识符传送给第二授权计算机108以进行交易授权。

第二授权计算机108可以是与发行方关联的服务器计算机。在令牌预配阶段期间，第二授权计算机108可负责批准或拒绝从代表令牌请求者计算机102的令牌提供商计算机104接收到的令牌激活请求。在交易处理阶段期间，第二授权计算机108可负责授权或拒绝从代表令牌请求者计算机102的令牌提供商计算机104接收到的授权请求。

图2示出根据本发明的实施例的系统的令牌请求者计算机102的框图。在一些实施例中，令牌请求者计算机102可以是可用于进行支付的通信装置(例如移动电话)或可允许用户获得对某一位置的访问权的装置。示例性令牌请求者计算机102可包括可存在于令牌请求者计算机102的主体102-J内的计算机可读介质102-B和存储器102-C。主体102-J可呈塑料衬底、壳体或其它结构的形式。在一些情况下，存储器102-C可以是安全元件，和/或还可存储例如访问数据的信息，例如令牌、PAN、票证等。存储器102-C中的信息可由令牌请求者计算机102使用天线102-D或非接触式元件102-I传送到另一装置。

计算机可读介质102-B可包括代码，所述代码可由处理器执行以用于实施根据实施例的方法。计算机可读介质102-B可含有发行方应用程序110和令牌请求者应用程序120。发行方应用程序110可用于通过传送令牌请求消息到令牌请求者应用程序120来为令牌请求者计算机102“推送”预配令牌。发行方应用程序还可提供发行方提供的功能，并且可允许令牌请求者计算机120与发行方计算机(例如，第二授权计算机108)通信。发行方应用程序的示例可包括银行业务应用程序、支付应用程序、商家应用程序、运输应用程序、访问安全数据的应用程序等。令牌请求者应用程序120可允许令牌请求者计算机102与令牌提供商计算机104通信。令牌请求者应用程序的示例可包括各种类型的数字钱包应用程序(例如用于转账/个人支付、移动商务、访问安全数据等)。令牌请求者应用程序120可用于促进登记过程以将令牌预配到令牌请求者计算机102上。所述令牌请求者应用程序还可随后用于通过令牌进行交易而无需用户101输入账号或呈现物理卡。

在一些实施例中，令牌请求者计算机102还可包括非接触式元件102-I，其通常实施成具有天线等相关联无线传输(例如，数据传送)元件的半导体芯片(或其它数据存储元件)的形式。通过蜂窝网络传送的数据或控制指令可借助非接触式元件接口(未示出)而应用于非接触式元件102-I。非接触式元件102-I能够使用短程无线通信能力传输和接收数据。因此，令牌请求者计算机102能够通过蜂窝网络(或任何其它合适的无线网络，例如，互联网或其它数据网络)和短程通信来传送和传输数据或控制指令。

令牌请求者计算机102还可包括用于处理令牌请求者计算机102的功能的处理器102-A(例如微处理器)和允许用户查看信息的显示器102-G。令牌请求者计算机102还可包括输入元件102-E(例如触摸屏、键盘、触摸垫、例如生物识别传感器的传感器等)、扬声器102-H和麦克风102-F。令牌请求者计算机102还可包括用于无线数据传输的天线102-D。

图3示出根据本发明的实施例的系统的令牌提供商计算机104的框图。图3示出令牌提供商计算机104和耦合到令牌提供商计算机104的令牌库130。

令牌库130可将令牌和其相关联凭证存储在数据库中。令牌库130可将数据存储在OracleTM数据库等令牌记录数据库中。在一些实施例中，令牌库130可在数据库中存储令牌与一个或多个相关联凭证(例如中间访问标识符和/或初始访问标识符)之间的映射。

令牌提供商计算机104可包括处理器104-A，其可耦合到系统存储器104-B和外部通信接口104-C。计算机可读介质104-D也可以可操作地耦合到处理器104-A。

计算机可读介质104-D可包括数个软件模块，所述软件模块包括通信模块104-D1、加密模块104-D2、令牌预配模块104-D3、验证模块104-D4以及登记促进模块104-D5。

通信模块104-D1可包括使处理器104-A生成消息、转发消息、重新格式化消息和/或以其它方式与其它实体通信的代码。

在本发明的实施例中，加密模块104-D2可包括代码，所述代码包括用于加密数据的任何合适的加密算法。合适的数据加密算法可包括DES、三重DES、AES等。其还可以存储加密密钥，这些加密密钥可以与此类加密算法一起使用。加密模块104-D2可利用对称或非对称加密技术来加密和/或验证数据。

令牌预配模块104-D3可包括使处理器104-A提供令牌的代码。例如，令牌预配模块104-D3可含有使处理器104-A生成支付令牌和/或使支付令牌与一组支付凭证(例如中间访问标识符)相关联的逻辑。令牌记录可随后存储在令牌库130的令牌记录数据库中，以指示支付令牌与某一用户或某组支付凭证相关联(即，映射到所述用户或支付凭证)。

验证模块104-D4可包括使处理器104-A在提供令牌之前验证令牌请求的代码。例如，验证模块104-D4可含有使处理器104-A通过解密消息中包括的密码、通过确认支付凭证真实且与请求装置(例如令牌请求者计算机102)相关联和/或通过评估与请求装置相关联的风险来确认令牌请求消息真实的逻辑。

登记促进模块104-D5可包括使处理器104-A传送消息到一个或多个实体以促进令牌预配过程的代码。例如，登记促进模块104-D5可含有使处理器104-D5将含有从令牌请求者计算机102接收到的初始访问标识符的消息传送到第一授权计算机106的逻辑。登记促进模块104-D5还可从第一授权计算机106接收回中间访问标识符。在一些实施例中，登记促进模块104-D5可随后与令牌请求者计算机102交换消息以从用户101接收输入来继续登记过程(例如同意条款)。在一些实施例中，基于从第一授权计算机106接收到中间访问标识符和/或从用户101接收到指示同意条款的输入，登记促进模块104-D5可随后向第二授权计算机108发送令牌激活请求消息，并且接收回指示激活请求的批准或拒绝的令牌激活响应消息。登记促进模块104-D5随后可将此指示转送回到令牌请求者计算机102。假设第二授权计算机108批准激活请求，则登记促进模块104-D5可将令牌提供给令牌请求者计算机102并将令牌到一个或多个凭证(例如中间访问标识符)的映射存储在令牌库130中。

图4示出根据本发明的实施例的系统的第一授权计算机106的框图。第一授权计算机106可耦合到记录数据库(未示出)，由此第一授权计算机106存储标识符之间的映射。例如，数据库可存储初始访问标识符与中间访问标识符之间的映射。在一些实施例中，映射还可包括其它关联，例如初始访问标识符与对应于用户101的用户标识符之间的映射。在一些实施例中，例如，如果第一授权计算机106和令牌提供商计算机104作为一个实体操作，则第一授权计算机106的记录数据库和令牌库130的令牌记录数据库可对应于同一数据库。在这种情况下，令牌库130可存储令牌、初始访问标识符、中间访问标识符和/或用户标识符之间的映射。

第一授权计算机106可包括处理器106-A，所述处理器可耦合到系统存储器106-B和外部通信接口106-C。计算机可读介质106-D也可以可操作地耦合到处理器106-A。

计算机可读介质106-D可包括数个软件模块，所述软件模块包括通信模块106-D1、加密模块106-D2、标识符转换模块106-D3、验证模块106-D4和授权请求转变模块106-D5。

通信模块106-D1可包括使处理器106-A生成消息、转发消息、重新格式化消息和/或以其它方式与其它实体通信的代码。

在本发明的实施例中，加密模块106-D2可包括代码，所述代码包括用于加密数据的任何合适的加密算法。合适的数据加密算法可包括DES、三重DES、AES等。其还可以存储加密密钥，这些加密密钥可以与此类加密算法一起使用。加密模块106-D2可利用对称或非对称加密技术来加密和/或验证数据。

标识符转换模块106-D3可包括使处理器106-A基于接收到初始访问标识符而获得(例如生成或从记录数据库中的现有池检取)中间访问标识符的代码。在一些实施例中，例如在从现有池检取的情况下，标识符转换模块106-D3可维护映射到活动(例如未到期或未解除激活的)初始访问标识符以及非活动初始访问标识符的中间访问标识符的记录。例如，第一授权计算机106可从令牌提供商计算机104接收关于哪些初始访问标识符处于活动状态的更新。如果在基于接收到初始访问标识符而接收到中间访问标识符请求后，标识符转换模块106-D3确定现有中间访问标识符当前映射到非活动初始访问标识符，标识符转换模块106-D3可提供现有中间访问标识符并将所述中间访问标识符重新映射到作为输入接收到的初始访问标识符。在其它实施例中，在接收到请求后，标识符转换模块106-D3可生成新的中间访问标识符并将其映射到作为输入接收到的初始访问标识符。在一些实施例中，生成或更新的中间访问标识符和对应的映射可存储在记录数据库中。

验证模块106-D4可包括使处理器106-A在提供标识符(例如中间访问标识符)之前验证标识符请求的代码。例如，验证模块106-D4可含有使处理器106-A通过解密消息中包括的密码、通过确认凭证(例如初始访问标识符、用户标识符等)真实且与请求装置(例如令牌请求者计算机102、令牌提供商计算机104)相关联和/或通过评估与请求装置相关联的风险来确认请求消息真实的逻辑。如上文所描述，第一授权计算机106可以是受信任第三方代理或以其它方式与初始访问标识符的发行方相关联。因此，第一授权计算机106还可从发行方(例如第二授权计算机108)接收预定义规则，所述预定义规则对应于特定初始访问标识符是否满足中间访问标识符发放条件。例如，规则可确定仅某一范围的值内的初始访问标识符(例如IBAN)可符合条件而被映射到中间访问标识符(例如虚拟PAN)。

授权请求转变模块106-D5可包括使处理器106-A基于在交易处理阶段期间接收到另一标识符而检取一个标识符的代码。例如，授权请求转变模块106-D5可接收含有(例如先前在标识符转换模块106-D3进行的令牌预配阶段期间生成的)中间访问标识符的授权请求消息。基于中间访问标识符，授权请求转变模块106-D5可从记录数据库检取相关联的初始访问标识符。授权请求转变模块106-D5随后可修改授权请求消息以包括所述初始访问标识符，然后将修改后的消息传送到另一实体(例如第二授权计算机108)以进行交易授权。

应理解，如本文所描述，存储的映射可以是双向的。例如，令牌与初始访问标识符之间存储在令牌库130中的映射可操作以使得初始访问标识符可用于检取令牌，反之亦然。在另一示例中，初始访问标识符与中间访问标识符之间的映射可操作，使得中间访问标识符可用于检取初始访问标识符，反之亦然。因此，例如，如果第一授权计算机106从第二授权计算机108接收含有初始访问标识符的授权响应消息，则第一授权计算机106可使用所述初始访问标识符检取相关联的中间访问标识符并将所述中间访问标识符传送到另一实体(例如交易处理计算机)以供进一步处理。以此方式，消息可在两个方向上正确地路由。

图5示出根据本发明的实施例的系统的处理计算机150的框图。图5示出处理计算机150和耦合到处理计算机150的令牌库130。应理解，在一些实施例中，处理计算机150和令牌提供商计算机104可容纳于单元内和/或与同一令牌预配系统关联。

处理计算机150可包括可耦合到系统存储器150-B和外部通信接口150-C的处理器150-A。计算机可读介质150-D也可以可操作地耦合到处理器150-A。

计算机可读介质150-D可包括数个软件模块，所述软件模块包括通信模块150-D1、加密模块150-D2、令牌交换模块150-D3、验证模块150-D4。

通信模块150-D1可包括使处理器150-A生成消息、转发消息、重新格式化消息和/或以其它方式与其它实体通信的代码。

在本发明的实施例中，加密模块150-D2可包括代码，所述代码包括用于加密数据的任何合适的加密算法。合适的数据加密算法可包括DES、三重DES、AES等。其还可以存储加密密钥，这些加密密钥可以与此类加密算法一起使用。加密模块150-D2可利用对称或非对称加密技术来加密和/或验证数据。

令牌交换模块150-D3可包括使处理器150-A基于接收到令牌而检取标识符(或反之亦然)的代码。例如，在一些实施例中，在(例如从令牌请求者计算机102)接收到授权请求消息内的令牌后，令牌交换模块150-D3可从令牌库130检取中间访问标识符。中间访问标识符可能先前在令牌预配过程期间已由令牌提供商计算机104存储于令牌库130中，由此令牌映射到中间访问标识符。在检取标识符后，令牌交换模块150-D3可将标识符传送给另一实体。例如，令牌交换模块150-D3可修改授权请求消息以包括中间访问标识符，然后将修改后的消息传送到另一实体(例如第一授权计算机106)以供进一步处理。

验证模块150-D4可包括使处理器150-A基于作为输入接收到的令牌而验证授权请求消息以继续进行交易的代码。例如，验证模块150-D4可含有使处理器104-A通过解密消息中包括的密码、确认消息内包括的令牌真实(例如，与请求装置相关联)和/或通过评估与请求装置相关联的风险来验证授权请求消息的逻辑。验证模块150-D4还可验证令牌属性(例如用户标识符、令牌请求者标识符、令牌到期日期、使用频率等)符合一组预定规则。所述预定规则可由与处理计算机150具有受信任关系的实体(例如发行方银行)确定。

图6和7分别示出根据本发明的实施例的系统和流程序列的框图，示出为装置预配令牌的不同选项：第一“推送”预配过程，以及第二“手动”预配过程。在图6的“推送”预配过程中，发行方应用程序110(例如银行业务应用程序)可向令牌请求者应用程序120(“令牌请求者”)(例如数字钱包)提供用户ID(例如客户ID)和初始访问标识符(例如IBAN)。令牌请求者120随后可通过令牌提供商计算机104发起预配过程。在图7的“手动”预配过程中，用户可直接向令牌请求者120提供用户ID和初始访问标识符。令牌请求者120随后可通过令牌提供商计算机104发起预配过程。

转到图6，更详细地，示出系统和流程序列的框图600，示出“推送”预配过程。图6示出可向令牌提供商计算机104请求令牌的令牌请求者计算机102。在一些实施例中，令牌请求者计算机102可以是移动通信装置(例如移动电话)。另外，尽管图6将发行方应用程序110和令牌请求者应用程序120描绘为处于同一装置上，但本发明的实施例不应解释为受限于此。在任何情况下，在“推送”预配方法下，发行方应用程序110可与令牌请求者120通信。令牌提供商计算机104可与令牌库130相关联(例如含有所述令牌库或与所述令牌库通信)。令牌库130可以是存储令牌以及其相关联的真实凭证或中间访问标识符的数据库。令牌提供商计算机104可与第一授权计算机106和第二授权计算机108通信。

在所示流中，在步骤S601，用户通过移动通信装置102可登录发行方应用程序110。在一些实施例中，发行方应用程序110可对应于由银行发行的银行业务账户。银行可向用户提供一个或多个支付凭证，所述一个或多个支付凭证可与银行业务账户相关联并且可由发行方应用程序110存储在移动通信装置102上。在一些实施例中，支付凭证可包括多个元素，例如用户标识符(例如用户名、用户电子邮件地址、用户电话号码等)、账号(例如PAN)、到期日期、CVV2值等。然而，在一些实施例中，支付凭证可包括较少元素。例如，提供给用户和/或发行方应用程序的支付凭证可仅包括账号和用户标识符。在其它实施例中，例如在其中账户可能由多个用户共享的情况下，支付凭证可仅包括账号。在此情况下，当用户101登录发行方应用程序(例如通过输入账号和密码)时，可由银行向用户101动态地提供用户标识符。在一些实施例中，账号可以是IBAN，其可具有与PAN不同的格式。例如，IBAN可含有字母数字串字符(例如“DE89 3704 0044 0532 0130 00”)，而PAN可仅为数值字符(例如“1234 56788765 4321”)。在一些实施例中，银行还可发行支付卡(例如借记卡)，所述支付卡可与账户相关联并且在卡上可打印有一个或多个支付凭证(例如用户名、账号等)。

在下文参考图6论述的流程序列中，由发行方应用程序110存储在移动通信装置上的支付凭证可包括作为IBAN的账号，其可对应于初始访问标识符。支付凭证还可包括用户标识符，所述用户标识符在用户101登录之前或在用户登录时生成。尽管如下文所论述，用户标识符是与初始访问标识符分开的数据元素，但本发明的实施例不应解释为受限于此。例如，在一些实施例中，初始访问标识符可包括多个字段，包括用户标识符。应注意，在图6的示例中，存储在移动通信装置102上(和/或打印在发放给用户101的支付卡上)的支付凭证可不包括某些字段，例如CVV2值。

继续步骤S601，发行方应用程序110可提示用户101选择要预配令牌的特定应用程序。用户101随后可选择令牌请求者应用程序120，所述令牌请求者应用程序在此示例中可以是数字钱包。在选择令牌请求者120后，发行方应用程序110可加密含有初始访问标识符和用户标识符的有效负载并将所述有效负载传送给令牌请求者120。

在步骤S602，令牌请求者120可传送将由令牌提供商计算机104接收的令牌请求消息。所述令牌请求消息可含有初始访问标识符和用户标识符以向令牌提供商计算机104登记初始访问标识符。在一些实施例中，令牌请求者120可首先解密来自发行方应用程序110的有效负载以获得初始访问标识符和用户标识符。在一些实施例中，令牌请求者120可在令牌请求消息内包括其它信息，包括例如令牌请求者标识符(例如移动装置102标识符、数字钱包提供商标识符、令牌域等)。在一些实施例中，令牌请求消息可被加密。

在步骤S604，令牌提供商计算机104随后可例如通过调用登记促进模块104-D5将用户标识符和初始访问标识符传送到第一授权计算机106。在传送用户标识符和初始访问标识符之前，令牌提供商计算机104可首先解密和/或验证由令牌请求者120接收的令牌请求消息。例如，令牌提供商计算机104可调用验证模块104-D4以验证来自令牌请求者120的密码，以认证令牌请求者120并评估请求的风险等级。在一些实施例中，如果验证模块104-D4确定初始访问标识符和/或装置102不符合条件，则令牌提供商计算机104可返回错误到令牌请求者120。

在接收用户标识符和初始访问标识符后，第一授权计算机106随后可例如通过调用标识符转换模块106-D3来获得(例如生成或从现有池检取)中间账户标识符。在一些实施例中，第一授权计算机106可首先调用验证模块104-D4以验证初始访问标识符符合条件，并且如果不符合条件，则可返回错误到令牌提供商计算机104。在一些实施例中，假设验证成功，则获得的中间账户标识符可对应于与初始访问标识符(例如虚拟PAN)格式不同(例如字段和/或字段格式不同)的账户标识符。更具体地说，中间账户标识符可以是虚拟借记卡号，并且其可具有到期日期和与其相关联的CVV2值(例如对比初始访问标识符，其可以是不具有相关联CVV2值的IBAN)。在一些实施例中，中间账户标识符可与到期日期相关联，所述到期日期独立于初始访问标识符的到期日期。在其它实施例中，所述到期日期可以是与初始访问标识符相同的到期日期(或使用任何合适的方法从初始访问标识符的到期日期导出)。在生成中间账户标识符后，第一授权计算机106还可调用标识符转换模块106-D3以将初始访问标识符(和相关联字段，例如用户标识符)与中间访问标识符(和相关联字段，例如到期日期)的映射存储在记录数据库中。

在一些实施例中，中间账户标识符可能无法用于直接进行访问事务，但可以是用于将令牌预配到通信装置102以及促进基于令牌的交易的渠道。例如，在一些实施例中，中间账户标识符可能无法由某人用于进行支付交易。然而，在其它实施例中并如下文所论述，中间账户标识符能够用于例如在电子商务网站处进行交易。

在步骤S606，第一授权计算机106可将中间访问标识符传送到令牌提供商计算机104。在一些实施例中，第一授权计算机106还可将与中间访问标识符相关联的到期日期传送给令牌提供商计算机104。

在一些实施例中，在从第一授权计算机106接收到中间访问标识符和到期日期后，令牌提供商计算机104可视需要与令牌请求者120(图6中未示出，但已在图7步骤S708和S710中描绘)进行消息交换过程。如图6中所描绘，令牌提供商计算机104不向令牌请求者应用程序120发送登记确认消息，而是自动继续进行登记过程，如下文所描述。

在步骤S608，至少部分地基于在步骤S606接收到中间访问标识符，令牌提供商计算机104可向第二授权计算机108传送令牌激活请求消息。在一些实施例中，令牌激活请求消息可至少包括初始访问标识符。在一些实施例中，可在所述消息中包括使第二授权计算机108能够验证令牌激活请求消息的任何合适的信息，包括但不限于初始访问标识符和/或用户标识符。在一些实施例中，第二授权计算机108可利用初始访问标识符来查询令牌请求者计算机102的用户101并在必要时使用ID&V过程(例如通过一次性密码或OTP)认证用户。

在步骤S610，第二授权计算机108可用令牌激活响应消息进行响应，所述令牌激活响应消息由令牌提供商计算机104接收。令牌激活响应消息可指示令牌激活请求是被批准(例如被授权)还是被拒绝。

在步骤S612和S614，假设第二授权计算机108同意向令牌请求者120提供令牌，则令牌提供商计算机104可从令牌库130检取可能先前由令牌预配模块104-D3存储的令牌。如上文所描述，令牌与中间访问标识符之间的映射也可连同相关联令牌一起存储在令牌库130中。

在步骤S616，令牌提供商计算机104可将令牌激活通知提供(例如传送)给第二授权计算机108。

在步骤S618，令牌提供商计算机104可将令牌提供(预配)给令牌请求者120。令牌请求者120可将令牌存储在存储器中，所述存储器例如令牌请求者计算机102的安全存储器120C。令牌可以是永久的、半永久的或动态的。

图7示出根据本发明的实施例的系统和流程序列的框图700，示出使用手动预配的第二预配过程。类似于图6中所描绘，图7示出可向令牌提供商计算机104请求令牌的令牌请求者计算机102。在一些实施例中，令牌请求者计算机102可以是移动通信装置(例如移动电话)。然而，相比于图6，令牌提供商计算机104上的令牌请求者应用程序120(“令牌请求者”)(例如数字钱包)可被配置成直接从用户101接收输入以发起预配过程，而非具有向令牌请求者推送发起请求和有效负载的发行方应用程序。类似于图6，令牌请求者120可与令牌提供商计算机104通信。令牌提供商计算机104可与令牌库130相关联(例如含有所述令牌库或与所述令牌库通信)。令牌库130可以是存储令牌以及其相关联的真实凭证或中间访问标识符的数据库。令牌提供商计算机104可与第一授权计算机106和第二授权计算机108通信。

在所示流中，在步骤S701，令牌请求者120可从用户101接收输入以发起预配过程。例如，用户101可通过输入元件102-E(例如键盘)输入凭证，例如IBAN和用户标识符(例如电子邮件地址、用户名等)。令牌请求者120可使用任何合适方法接收凭证。输入的凭证可类似于图6中从发行方应用程序110传送到令牌请求者120的有效负载内加密的凭证。

步骤S702-S706可分别与图6的步骤S602-S606基本相同。其描述在此并入，无需进行重复。

在步骤S708，如早先参考图6作为任选步骤所描述，令牌提供商计算机104可将登记确认消息发送给令牌请求者120。在一些实施例中，在接收登记确认消息后，令牌请求者120可提示用户101同意令牌预配条款。在一些实施例中，发送给令牌请求者120的登记确认消息可含有可存储在令牌请求者计算机102上且可呈现给用户101的中间访问标识符和到期日期。这可例如在其中发行方使用户101能够直接通过中间访问标识符进行交易的情况下完成。然而，在其它实施例中，中间访问标识符对于用户101完全隐藏(例如在令牌提供商计算机104与第一授权计算机之间管理)。在一些实施例中，登记确认消息还可含有与令牌登记会话相关联的参考号，令牌请求者120可将所述参考号返回到令牌提供商计算机104以继续进行登记过程，如下文在步骤S710中所论述。

在步骤S710，在用户101同意条款和/或选择令牌请求者120呈现的其它预配选项后，令牌请求者120可向令牌提供商计算机104传送含有参考号和其它合适信息的登记确认应答消息，指示用户101将继续预配过程。在从令牌请求者计算机102接收回参考号后，令牌提供商计算机104可使用参考号从令牌库查找和检取信息以继续进行登记过程(例如初始访问标识符、用户标识符等)。

步骤S712-S722可分别与图6的步骤S608-S618基本相同。其描述在此并入，无需进行重复。

图8示出根据本发明的实施例的系统和流程序列的框图800，示出在用户通信装置已预配令牌之后对令牌的使用。图8示出系统，包括全都彼此通信的用户101的通信装置102、访问装置820(例如POS终端)、传输计算机840(例如收单方计算机)、处理计算机150(例如在例如VisaNet的支付处理网络中)、第一授权计算机106和第二授权计算机108。令牌库130可与处理计算机150通信。

在步骤S802之前，通信装置102可预配有令牌，如上文参考图6和7所描述。在步骤S802，通信装置102可根据任何合适的令牌呈现模式(例如NFC通信)与访问装置820交互。在其它实施例中，例如电子商务交易，通信装置102可通过互联网将令牌提交给与访问装置820相关联的网站。在此过程中，访问装置820可接收与令牌信息相关联的其它内容(例如令牌到期日期、其它令牌属性)。

在步骤S804，包括令牌的授权请求消息可由访问装置820生成，然后被传送给传输计算机840。

在步骤S806，传输计算机840可传送将由处理计算机150接收的包括令牌的授权请求消息。处理服务器计算机150可在支付处理网络中。支付处理网络可以包括用以支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子系统、网络和操作。示例性支付处理网络可以包括VisaNet

在步骤S808，处理计算机150可通过执行验证模块150-D4来验证授权请求消息。在成功验证后，处理计算机150可调用令牌交换模块150-D3，所述令牌交换模块可将令牌(例如通过令牌提供商计算机104)提供给令牌库130。

在步骤S810，令牌交换模块150-D3继而可从令牌库130检取(例如，接收)与令牌相关联的中间访问标识符。

在步骤S812，处理计算机150可向第一授权计算机106提供(例如，传送)中间访问标识符。在一些实施例中，令牌交换模块150-D3可修改授权请求消息以包括中间访问标识符，然后将修改后的授权请求消息传送给第一授权计算机106以供进一步处理。

在步骤S814，第一授权计算机106可基于从处理计算机150接收的中间访问标识符来检取初始访问标识符。在一些实施例中，第一授权计算机106可执行授权请求转变模块106-D5以在修改后的授权请求消息中将中间访问标识符转变为(例如替代或另外包括)初始访问标识符。第一授权计算机106随后可将修改后的包括初始访问标识符的消息传送给第二授权计算机108以用于授权交易。

如果批准(例如授权)，则第二授权计算机108可通过传输计算机840、处理计算机150和第一授权计算机106将授权响应消息传送回到访问装置820(图8中未示出步骤序列)。在一些实施例中，授权响应消息可基于初始访问标识符、中间访问标识符和/或令牌路由回到访问装置820。例如，在第一授权计算机106接收到含有初始访问标识符的授权响应消息后，第一授权计算机240可将初始访问标识符切换成中间访问标识符，然后将修改后的授权响应消息传送到处理计算机150。处理计算机150可继而在授权响应消息中将中间访问标识符切换成令牌(例如基于存储在令牌库130内的映射而从令牌库130检取令牌)。处理计算机150随后可基于最初在步骤S806中接收到的授权请求消息中的令牌属性和其它合适的信息而将授权响应消息传送给传输计算机840。授权响应消息可类似地从传输计算机840路由到访问装置820和/或移动装置102。

在一些实施例中，第二授权计算机108、第一授权计算机106、处理计算机150和传输计算机840可执行结算过程以对交易进行结算。

图9示出根据本发明的实施例的系统的框图900，示出令牌的使用。图9示出包括用户101的通信装置102、访问装置920(例如网关服务器)和云服务文件服务器930的系统。访问装置920可进一步与访问装置920与文件服务器930(未示出)之间的其它中间方计算机通信，类似于图8中所描绘(例如处理计算机150、第一授权计算机106、第二授权计算机150、令牌库130)。

在图9中，移动装置102可预配有令牌，如上文参考图6和7所描述。移动装置102可根据任何合适的令牌呈现模式(例如通过互联网)与访问装置920交互。在此过程中，访问装置920可接收令牌和其它信息(例如，到期日期)。访问装置920随后可继续进行一系列步骤，以代表用户101请求授权以访问文件服务器920上的远程文件。在一些实施例中，所述步骤可基本上类似于图8的步骤S804-S814。

本申请中描述的任何软件部件或功能可以使用例如常规的或面向对象的技术并使用任何合适的计算机语言(例如Java、C++或Perl)实施为由处理器执行的软件代码。软件代码可以存储为例如随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如CD-ROM的光学介质的计算机可读介质上的一系列指令或命令。任何此类计算机可读介质可以驻存在单个计算设备上或单个计算设备内，并且可存在于系统或网络内的不同计算设备上或不同计算设备内。

以上描述是说明性的而非限制性的。本发明的许多变化在所属领域的技术人员查阅本公开后可变得显而易见。因此，本发明的范围可不参考以上描述来确定，而是可参考待决的权利要求以及其完整范围或等同物来确定。

在不脱离本发明的范围的情况下，任何实施例的一个或多个特征可与任何其它实施例的一个或多个特征组合。

除非明确指示有相反的意思，否则“一”或“所述”的叙述旨在表示“一个或多个”。

上文提及的所有专利、专利申请、公开案和描述都出于所有目的以全文引用的方式并入。并非承认它们是现有技术。