具体实施方式

本发明的实施方案提供增强认证技术来认证通信装置。在一些实施方案中，用户可以操作通信装置来执行安全敏感功能。通过提供更强大的认证方案来认证通信装置，可以增加通过通信装置执行安全敏感功能的用户是通信装置的授权用户的置信度。在一些实施方案中，本文所述的增强认证技术利用通信装置与可以与通信装置通信的其他装置之间的交互。例如，可以将通信装置与其他装置之间的最新交互与历史交互活动模式进行比较，以提供关于通信装置是否以符合用户的典型行为的方式被使用的风险评估。在一些实施方案中，通信装置还可以利用与其他装置的交互来安全地存储账户凭证和/或利用其他装置的能力来执行加密操作以认证通信装置。

在讨论本发明的一些实施方案的细节之前，对一些术语的描述可有助于理解各种实施方案。

“通信装置”可以是包括可与另一装置通信的一个或多个电子部件(例如，集成芯片)的装置。例如，通信装置可以是包括耦合到存储器的至少一个处理器的计算装置，所述存储器存储由处理器执行的指令或代码。通信装置的示例可以包括访问点、路由器、网关、联网集线器、台式计算机、智能家电(例如，机顶盒、智能TV、智能烤箱、智能恒温器、智能冰箱、智能加热器、家庭检测系统等)等。通信装置的其他示例可以包括便携式通信装置或便携式通信装置的附件(例如，头戴式耳机、听筒、扬声器等)。

“便携式通信装置”可以是可由用户运输和操作并且可以包括一个或多个电子部件(例如，集成芯片)的通信装置。便携式通信装置可以将远程通信能力提供给网络。便携式通信装置可以被配置成将数据或通信发射到其他装置和从其他装置接收数据或通信。便携式通信装置可以呈诸如以下各者的移动装置的形式：移动电话(例如，智能电话、蜂窝电话等)、平板电脑、便携式媒体播放器、个人数字助理装置(PDA)、可穿戴装置(例如，手表、诸如健身手环的健康监测装置等)、电子阅读器装置等，或者呈卡(例如，智能卡)或挂件等形式。便携式通信装置的示例还可以包括便携式计算装置(例如，膝上型电脑、上网本、超级本等)。便携式通信装置还可以呈车辆(例如，汽车)的形式，或者集成作为车辆的一部分(例如，车辆的信息系统)。

“装置标识符”可以指代通信装置的唯一标识符。装置标识符(ID)可以是例如，序列号、装置别名、互联网协议(IP)地址、媒体访问控制(MAC)地址、移动用户综合业务数字网(MSISDN)号码或与通信装置相关联的其他通信号码、国际移动用户标识(IMSI)号码、国际移动站设备标识(IMEI)号码或其他可变或非可变装置标识字符。在一些实施方案中，装置标识符还可以是向授权服务器标识通信装置的请求者标识符(例如，令牌请求者标识符)。请求者标识符可以由授权服务器生成，并且由授权服务器分配给通信装置。

“服务器计算机”可以包括功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦接至网络服务器的数据库服务器。服务器计算机可以耦接到数据库并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑、或前述内容的组合。服务器计算机可以包括一个或多个计算装置并且可以使用各种计算结构、排列和编译中的任何一种来服务于来自一个或多个客户端计算机的请求。

“发行方”通常可以指代保留与便携式通信装置相关联的用户的账户的商业实体(例如，银行)，所述账户为诸如在安装于便携式通信装置上的移动应用程序中注册的账户。发行方还可以将与账户相关联的账户参数发给便携式通信装置。发行方可以与主机系统相关联，所述主机系统代表发行方来执行发行方的一些或全部职能。在一些实施方案中，发行方可以指代软件应用程序的提供方。

“商家”通常可以是参与交易并且能够出售商品或服务或提供对商品或服务的访问的实体。

“收单方”通常可以是与特定商家或其他实体有商业关系的商业实体(例如商业银行)。一些实体能够执行发行方和收单方功能。一些实施方案可以包括这种单实体发行方-收单方。

“访问装置”可以是用于与通信装置交互并用于与授权服务器进行通信的任何合适的装置。在一些实施方案中，访问装置可以经由商家计算机或交易处理网络与授权服务器进行通信。访问装置通常可以位于任何适当位置，诸如在商家所在的位置。访问装置可以是任何适当形式。访问装置的一些示例包括POS装置、蜂窝电话、PDA、个人计算机(PC)、平板PC、手持专用阅读器、机顶盒、电子现金出纳机(ECR)、自动柜员机(ATM)、虚拟现金出纳机(VCR)、信息亭、安全系统、访问系统、网站或网络服务器等等。访问装置可以使用任何合适的接触式或非接触式、有线或无线操作模式，以发送或接收来自通信装置或与通信装置相关联的数据。在访问装置可以包括POS终端的一些实施方案中，任何适当的POS终端可以被使用，并且其可以包括阅读器、处理器和计算机可读介质。阅读器可以包括任何适当的接触或非接触操作模式。例如，示例性读卡器可以包括用于与便携式通信装置交互的射频(RF)天线、光学扫描器、条形码阅读器或磁条阅读器。

“授权请求消息”可以是发送来请求授权交易的电子消息。授权请求消息可以发送到交易处理网络和/或交易卡(例如，支付卡)的发行方。根据一些实施方案的授权请求消息可以符合ISO 8583，ISO 8583是用于交换与由用户使用交易装置或交易账户所做的交易相关联的电子交易信息的系统的标准。授权请求消息可以包括可用来识别账户的信息。授权请求消息还可以包括额外数据元素，诸如服务代码、截止日期等中的一个或多个。授权请求消息还可以包括交易信息(诸如与当前交易相关联的任何信息，诸如交易金额、商家标识符、商家位置等)，以及可以用来确定是否识别和/或授权交易的任何其他信息。授权请求消息还可以包括其他信息，诸如识别生成授权请求消息的访问装置的信息，关于访问装置的位置的信息等。

“授权响应消息”可以是对授权请求消息的电子消息回复。授权响应消息可以由发行金融机构或交易处理网络生成。授权响应消息可以包括(只作为示例)以下状态指示符中的一个或多个：批准-交易被批准；拒绝-交易不被批准；或呼叫中心-响应未决的更多信息，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，所述授权代码可以是信用卡发卡银行响应于电子消息中的授权请求消息(直接地或者通过交易处理网络)返回给商家计算机的指示批准交易的代码。代码可以用作授权的证据。如上文所述，在一些实施方案中，交易处理网络可以生成授权响应消息或向商家转发授权响应消息。

“令牌”可以包括某一信息的替代标识符。例如，交易令牌可以包括交易账户的标识符，所述标识符是账户标识符(诸如，主账号(PAN))的替代物。例如，令牌可以包括可以用作原始账户标识符的替代的一连串字母数字字符。例如，令牌“4900 0000 0000 0001”可以代替PAN“4147 0900 0000 1234”使用。在一些实施方案中，令牌可以是保留格式的，并且可以具有与现有交易处理网络中使用的账户标识符相符的数字格式(例如，ISO 8583金融交易消息格式)。在一些实施方案中，可以使用令牌以代替PAN来发起、授权、结算或解决交易。在通常提供原始证书的其他系统中，令牌还可以用来表示原始证书。在一些实施方案中，可以生成令牌值，使得由令牌值恢复原始PAN或其他账户标识符不可以由计算得到。进一步地，在一些实施方案中，令牌格式可以被配置成使接收令牌的实体将其标识为令牌，并标识发行令牌的实体。

“实账户标识符”可以包括与账户相关联的原始账户标识符。例如，实账户标识符可以是由发行方针对卡账户(例如，信用卡、借记卡等)发行的主账号(PAN)。例如，在一些实施方案中，实账户标识符可以包括十六位数值，诸如“4147 0900 0000 1234”。实账户标识符的前六位(例如，“414709”)可以表示可以识别与实账户标识符相关联的发行方的实际发行方标识符(BIN)。

“账户参数”可以指代与账户相关的可以用来对该账户进行交易的信息。账户参数的示例可以包括可以用来识别用户的账户的信息(例如，实账户标识符、备选账户标识符、令牌等)、与账户的状态相关的数据或信息、用来生成密码信息的一个或多个密钥、与一个或多个密钥相关的数据或信息等。账户参数可以是半静态或动态的。动态账户参数可以是具有有限寿命的账户参数，且一旦过期，便不再可以用来进行交易，直到所述账户参数被补充、刷新或更新为止。动态账户参数可以在账户的使用期限期间被频繁地补充。半静态账户参数可以是具有比动态账户参数长的延长寿命的账户参数，并且被补充的频率可以小于动态账户参数被补充的频率，或者在账户的使用期期间根本不补充。

“密钥”可以指代用在密码算法中以将输入数据变换成另一表示的一条信息。密码算法可以是将原始数据变换成备选表示的加密算法，或者是将加密信息变换回到原始数据的解密算法。密码算法的示例可以包括三重数据加密标准(TDES)、数据加密标准(DES)、高级加密标准(AES)等。

“有限使用密钥”或“LUK”可以指代只可以在有限的时间内使用或用于有限数目的交易的密钥，并且在耗尽有限的使用时可需要加以更新或补充。LUK可以与限制LUK的使用的一个或多个有限使用阈值的集合相关联，其中一旦LUK的使用被耗尽或超出一个或多个有限使用阈值的集合，便将拒绝使用所述LUK进行的进一步交易，即使基础账户仍然信誉良好。一个或多个有限使用阈值的集合可以包括下列项中的至少一个：可以使用LUK的交易的数目；指示LUK有效的持续时间的存活时间；和/或指示对LUK有效的一个或多个交易合计的总交易金额的累计交易金额；或其任何组合。

“有限使用阈值”可以指代限制一条信息的使用的条件。当满足基础条件时，可以超出或耗尽有限使用阈值。例如，有限使用阈值可以包括指示一条信息有效的时间量的存活时间，并且一旦已经经过所述时间量，便超出或耗尽所述有限使用阈值，并且这条信息可以变得无效而且不再可以被使用。作为另一示例，有限使用阈值可以包括一条信息可以使用的次数，并且一旦这条信息已经用了所述次数，便超出或耗尽有限使用阈值，并且这条信息可以变得无效而且不再可以被使用。

“交易处理网络”可以包括可以处理并路由交易请求消息的网络。示例性交易处理网络可以包括数据处理子系统、网络和用来支持并递送授权服务、异常文件服务、交易评分服务以及清算与结算服务的操作。示例性交易处理网络可以包括VisaNet^TM。诸如VisaNet^TM的交易处理网络能够处理信用卡交易、借记卡交易以及其他类型的商业交易。VisaNet^TM具体可以包括处理授权请求的VIP系统(账户集成支付系统)和执行清算与结算服务的BaseII系统。

现在将描述本发明的一些实施方案的细节。

I.交互活动模式

通信装置的用户将典型地开发操作通信装置并使用通信装置来与其他通信装置交互的行为模式。例如，用户可以开发使用智能电话以在用户醒来的每天早晨检查用户的日程表的模式。用户还可以开发将智能电话连接到无线扬声器以便每个晚上大约在晚餐时间播放音乐的模式。可以随时间推移追踪通信装置被如何操作以及通信装置如何与其他装置交互的这种行为模式以建立通信装置的交互活动模式。

图1示出根据一些实施方案的在一天中彼此交互的通信装置的示例的概念图。从用户在一整天中随身携带的移动装置101(例如，智能电话)的角度来说明图1所示的示例。在该示例中，移动装置101可以充当与各种其他装置交互的通信集线器。移动装置101可以在不同的时间与不同的通信装置交互，和/或一次同时与多于一个通信装置同时交互。

参考图1，在用户在家醒来的清晨，用户可以操作移动装置101来连接到无线访问点113以使用家庭的WiFi数据连接性，例如以使移动装置101上的日历与远程服务器同步并检查用户当天的日程表。用户还可以戴上健身手环112，并开启健身手环112。健身手环112可以建立与移动装置101的通信信道，以使得用户可以使用移动装置101作为用户接口来选择配置在健身手环112上的锻炼程序，并且使得健身手环112能够传送诸如用户心率的健康监测数据到移动装置101。

之后，在用户已完成早晨锻炼后的早晨，用户可以离开用户的家并通勤上班。当用户离开家并进入用户的车辆114时，移动装置101可以断开与家庭的无线访问点113的连接并建立与车辆114的新连接，例如以允许用户在用户正在驾驶时从车辆114发起呼叫或者将音乐从移动装置101流式传输到车辆114的音频系统。如果用户在一整天中佩戴健身手环112，则移动装置101还可以周期地或连续地建立与健身手环112的连接性以获得健康监测数据。

当用户到达办公室时，移动装置101可以与车辆114断开连接。在用户在办公室中的中午，移动装置101可以连接到办公室膝上型计算机115，以使移动装置101与膝上型计算机115同步。移动装置101还可以连接到办公室头戴式耳机116，以允许用户在办公室中进行免提呼叫。同时，移动装置101可以周期性地或连续地建立与健康手环112的连接性，以获得用户的健康监测数据。在用户离开办公室回家的下午，移动装置101可以断开与膝上型计算机115和头戴式耳机116的连接。移动装置101可以在用户驾驶回家时重新建立与车辆114的连接性。

当用户到家时，移动装置101可以断开与车辆114的连接。当用户取下健身手环112时，移动装置101也可以断开与健身手环112的连接。在用户在家的晚上，移动装置101可以重新建立与访问点113的连接以使用家庭的互联网数据连接性。移动装置101还可以连接到无线扬声器119以将音乐流式传输到扬声器119，并且连接到TV 117以在TV 117上播放视频。移动装置101还可以连接到诸如智能恒温器的智能家电118，以调节家中的温度。

图2示出根据一些实施方案的在一天中彼此交互的通信装置的另一个示例的概念图。从安装在用户家处的访问点201(例如，互联网网关或路由器)的角度来说明图2所示的示例。在该示例中，访问点201可以充当用于与各种其他装置交互的通信集线器。访问点101可以在不同的时间与不同的通信装置交互，和/或一次同时与多于一个通信装置同时交互。

在用户在家醒来的清晨，用户可以操作移动装置211来连接到无线访问点201，类似于图1的示例。之后，在用户离开去工作的早晨，访问点201可以断开与移动装置211的连接并建立与家庭监测系统212的连接，以允许用户远程检测家里。在中午时并且在仍与家庭监测系统212连接时，访问点201可以与DVR 213连接以在用户不在家时开始记录节目。在下午，访问点201可以在已完成记录节目之后断开与DVR 213的连接，并且与诸如智能恒温器的智能家电214连接，以在用户下班到家之前对家里进行预热。在用户回家的晚上，访问点201可以断开与家庭监测系统212的连接。用户还可以将访问点212连接到使用访问点201进行数据连接的各种装置，诸如用户的移动装置211、平板电脑216和TV 215。

如这些示例所示，无论通信装置是诸如移动装置101的便携式通信装置还是诸如访问点201的网络连接的通信装置，充当一次装置的通信装置都可以在一天中与任何数量的其他装置交互。由于用户的日常生活每天预计不会变化很大，所以可以收集一整天的用户的通信装置之间的交互，以建立表示用户和/或用户的通信装置的典型行为的交互活动模式。这个交互活动模式可以随时间推移被学习，并且可以用作数字角色来认证用户和用户的通信装置，如下面进一步讨论的。

图3示出根据一些实施方案的用户的通信装置之间的交互的交互活动模式300的示例。图3所示的交互活动模式300的示例基于图1所示的装置交互，其中用户的移动装置用作通信集线器。交互活动模式300可以提供在一天的各个时间段(例如，清晨、早晨、中午、下午、晚上等)与在特定时间段期间与彼此交互的通信装置相关联的装置数据之间的相关性。尽管图3所示的当日时间310被划分为五个不同的时间段，但是应当理解，在一些实施方案中，可以使用较精细的时间段粒度(例如，表示时间段的一天中的每个小时)或较粗的时间段粒度(例如，早晨、白天和晚上)。

在最基本的形式中，交互活动模式300可以包括当日时间310与在一天的不同时间段期间与用户的移动装置交互的通信装置的装置标识符(ID)320之间的相关性。例如，在清晨，用户的移动装置可以与用户的家庭访问点和健身手环交互。这样，交互活动模式300可以使移动装置、访问点和健身手环的装置ID与清晨时间段相关联。类似地，在晚上，用户的移动装置可以与用户的家庭访问点、无线扬声器、TV和智能家电交互。这样，交互活动模式300可以使移动装置、访问点、无线扬声器、TV和智能家电的装置ID与晚上时间段相关。

在一些实施方案中，除了关联装置ID之外，交互活动模式300可以包括当日时间310与可从通信装置获得的附加装置数据之间的相关性。例如，交互活动模式300可以包括当日时间310与可从通信装置中的任一个获得的上下文数据340之间的相关性。在一些实施方案中，上下文数据340可以包括传感器数据，诸如由装置的一个或多个传感器提供的环境数据和/或性能或状态数据。另外或替代地，上下文数据340可以包括表示用户在每个时间段期间如何与通信装置交互的用户数据。例如，用户数据可以包括在特定时间段期间由装置所接收的用户输入(例如，由用户按下的按钮、用户的键盘或小键盘输入等)。用户数据还可以包括在特定时间段期间由用户调用的装置功能(例如，由用户调用的应用程序、由用户进行的操作改变和/或配置改变、由使用装置的用户执行的活动等)。

参考图3，用户的移动装置可以提供上下文数据，诸如移动装置的位置、由用户使用的移动装置上的应用程序、电话呼叫日志和/或文本消息日志。在当日时间310中的每个时间段期间的移动装置的上下文数据可以与交互活动模式300中的对应时间段关联。关于其他通信装置，在清晨时间段，移动装置与健身手环和访问点进行交互。健身手环可以提供上下文数据，诸如速度/加速度数据和心率数据，以及由用户选择的锻炼程序。访问点可以提供上下文数据，诸如位置和网络速度数据。来自健身手环和访问点的这些上下文数据可以与清晨时间段关联，作为交互活动模式300的一部分。

作为另一个示例，在中午时间段期间，办公室中的用户的膝上型计算机可以提供为由用户使用的膝上型计算机上的应用程序的形式的上下文数据，以及网络浏览器历史。用户的头戴式耳机可以提供为由用户设置的呼叫日志和音量设置的形式的上下文数据。来自膝上型计算机和头戴式耳机的这些上下文数据可以与中午时间段关联，作为交互活动模式300的一部分。类似地，在晚上时间段中，上下文数据(诸如无线扬声器的播放列表和音量设置、TV的观看频道和音量设置、以及由智能家电恒温器检测到的温度、湿度和照度水平)可以与晚上时间段关联，作为交互活动模式300的一部分。

根据一些实施方案，可以将通信装置的装置数据(例如，装置ID、诸如传感器数据和/或用户数据的上下文数据，等等)发送到授权服务器，以在授权服务器处建立交互活动模式。在一天中，诸如移动装置、访问点等的通信集线器装置(可以称为“一次装置”)可以周期性地将装置数据发送到授权服务器。一次装置可以具有密码能力，以使用端对端加密与授权服务器进行通信。在一些实施方案中，可以使用诸如不透明度的协议来实现端对端加密，该协议不需要一次装置与授权服务器之间的握手信号来建立安全通信信道。

此外，在一次装置与其他通信装置(可以称为“二次装置”)交互并且建立与每个二次装置的通信信道的一天中，一次装置可以接收二次装置的装置ID。可以接收装置ID作为协议的一部分，以建立与二次装置的通信信道，或者响应于从二次装置请求装置ID的一次装置建立通信信道。一次装置可以将其自己的装置ID、所接收的二次装置的装置ID和指示一次装置何时与二次装置交互的时间戳发送到授权服务器(例如，使用端对端加密)来建立交互活动模式。在一些实施方案中，如果一次装置在接收它们(例如，基本上实时地)时发送二次装置的装置ID，则可以省略时间戳，因为授权服务器可以本身关于一次装置何时与二次装置交互(例如，基于授权服务器何时接收装置ID)进行确定。

在其中交互活动模式包括上下文数据(诸如二次装置的传感器数据和/或用户数据)的实施方案中，一次装置可以从二次装置接收传感器数据和/或用户数据作为与二次装置的正常交互的一部分。在一些实施方案中，一次装置可以从二次装置请求传感器数据和/或用户数据。一次装置可以将其自己的上下文数据以及来自二次装置的传感器数据和/或用户数据以类似于上述装置ID的方式发送到授权服务器。在一些实施方案中，一次装置可以周期性地为与二次装置相关联的装置数据(例如，装置ID、传感器数据和/或用户数据)轮询每个二次装置，并且根据预先确定的日程表将装置数据发送到授权服务器。在一些实施方案中，如果二次装置具有其自己的密码能力以使用端对端加密与授权服务器进行通信，则二次装置本身可以将其装置数据发送到授权服务器。

在一些实施方案中，从一次装置和二次装置提供的位置数据也可以由授权服务器使用，以导出表示一整天的用户位置周围的地理围栏的地理周边。例如，可以通过使用由装置报告的位置来外推由用户采取的路线并将周边的边界设置在外推路线周围的预先确定的距离处来导出地理周边。这个地理周边可以提供用户在一天的每个时间段期间可能在哪里的指示，并且可以包括地理周边信息作为与用户的通信装置相关联的交互活动模式的一部分。

尽管用户的日常工作将每天通常保持不变，但也可能不时存在可以引起用户偏离他或她的常规日常工作的异常现象和情况。这样，授权服务器可以随时间推移分析一次装置和二次装置的装置数据，并在建立交互活动模式时过滤掉偏离用户的典型行为的任何差异。例如，可以将来自每天的原始装置数据与前几天的进行比较，并且只有公用装置数据或已经一致达阈值天数的装置数据可以用作交互活动模式。在一些实施方案中，授权服务器可以为一周的每天维持单独的交互活动模式，以说明用户在每天之间或在工作日与周末之间的行为的差异。一旦基于用户的通信装置之间的交互的交互活动模式已由授权服务器学习，授权服务器就可以利用交互活动模式来为用户和他/她的通信装置提供增强认证。在一些实施方案中，授权服务器还可以分析装置数据与不同时间段之间的相关性的趋势以说明用户行为随时间推移的变化，并且相应地调整或更新交互活动模式。

II.基于交互活动模式的认证

图4A至图4C示出其中交互活动模式可以用来为用户和他/她的通信装置提供增强认证服务的不同场景。

参考图4A，用户可以操作一次装置401来与访问装置460进行通信以执行安全敏感操作，诸如请求授权使用与一次装置401的用户相关联的账户。在这种场景中，一次装置401充当具有与访问装置460交互的能力的请求者装置，以请求授权使用与用户相关联的账户。例如，一次装置401可以具有兼容的应用程序和兼容的通信硬件以与访问装置460交互。访问装置460可以是例如远程网络服务器或邻近一次装置401的POS终端。为了请求授权使用与用户相关联的账户，一次装置401可以向访问装置460提供令牌或账户标识符。如果令牌或账户标识符对于一次装置401来说不是唯一的(例如，相同的令牌或账户标识符被提供给其他装置)，则一次装置401还可以向访问装置460提供装置ID，以使得可以标识一次装置401。访问装置460可将令牌或账户标识符(和装置ID(如果提供的话))转发给授权服务器480。授权服务器480可以基于一次装置401的令牌或账户标识符、装置ID(例如，如由访问装置460所转发，或从令牌或账户标识符(如果对于一次装置401来说是唯一的话)确定的)，并且检索与一次装置401相关联的交互活动模式。

在其中一次装置401将装置数据发送到授权服务器480的实施方案中，授权服务器480可以将从一次装置401所接收的最新装置数据与交互活动模式进行比较，以评估一次装置401是否由其授权用户操作的风险。例如，如果从一次装置401所接收的最新装置数据(例如，装置ID和/或上下文数据)类似于当日时间内的历史交互活动模式，则一次装置401由其授权用户操作的置信度将很高，并且授权服务器480可以授权使用用户的账户。

在其中一次装置通常不将装置数据直接发送到授权服务器480的实施方案中，授权服务器480可以将一次装置401的装置ID与历史交互活动模式进行比较，以确定用户在一天的这个时间内是否通常与一次装置401交互或使用一次装置401，并且/或者确定一次装置401是否在用户在一天的这个时间预期的地方的地理周边内的位置处使用。如果一次装置401的使用与交互活动模式一致，则授权服务器480可以授权使用用户的账户。在一些实施方案中，一次装置401还可以向访问装置460提供上下文数据(例如，一次装置401的传感器数据和/或用户数据)，并且访问装置460可以将上下文数据转发给授权服务器480。当授权服务器480评估一次装置401是否由其授权用户操作的风险时，还可以考虑一次装置401的上下文数据。

如果授权服务器480确定从一次装置401所接收的最新装置数据与交互活动模式不一致，或者一次装置401以偏离交互活动模式的方式被使用，则授权服务器480可以拒绝授权请求。在一些实施方案中，代替拒绝授权请求，如果附加数据可用来增加使用请求者装置401的用户是授权用户的置信度，则仍可允许授权。

图4B示出根据一些实施方案的其中附加通信装置(可以称为“二次装置”)用来增加使用一次装置401的用户是授权用户的置信度的场景。在图4B中，用户可以在先前已向授权服务器480注册的附加通信装置的存在下操作一次装置401。附加通信装置可以是充当向一次装置401提供凭证数据的凭证装置的二次装置412。在一些实施方案中，如果二次装置412是具有可用来建立用户的连续存在的生物计量或活动传感器(例如，心率监测器)的可穿戴装置，则提供给一次装置401的附加凭证数据可以是活动或生物计量模式流(例如，心率数据)。来自先前注册的二次装置412的活动或生物计量模式流可以增加用户是授权用户的置信度，因为活动或生物计量模式流可用来建立用户的身份并且/或者一次装置401的用户拥有与账户持有者相关联的两个装置。

图4C示出根据一些实施方案的其中附加通信装置用来增加使用一次装置401的用户是授权用户的置信度的另一个场景。图4C中的场景类似于图4B，不同的是先前向授权服务器480注册的第三通信装置(可以称为“三级装置”)充当用于控制或指示一次装置401的用户接口装置。在图4C中，用户正在发起来自三级装置413而不是一次装置401的对授权使用与用户相关联的账户的请求。当用户在三级装置413上发起请求时，三级装置413建立与一次装置401的连接(如果尚未建立)，并且指示一次装置401向访问装置460发送授权请求。当用户与三级装置412物理交互更方便时，或者如果一次装置401不具有其自己的用户接口，则三级装置413可用来例如提供一次装置401上可用的替代用户接口。因为用户拥有与账户持有者相关联的三个装置，所以第三通信装置的存在进一步增加了用户是授权用户的置信度。

如图4C中的示例所示出的，请求授权使用账户的角色和功能可以分布在与用户相关联的多个通信装置中。在一些实施方案中，根据通信装置的能力，通信装置可以在不同的时间执行多个功能并担任不同的角色。例如，在一种场景中，智能手机可以用作一次请求者装置，其中健身手环用作二次凭证装置。在另一种场景中，智能手表可以用作一次请求者装置，其中智能手机用作二次凭证装置，反之亦然。在另一种场景中，智能手表可以用作控制充当一次请求者装置的智能手机的三级用户接口装置，其中用户的车辆用作二次凭证装置。因此，应当理解，尽管特定的通信装置可以称为一次装置、二次装置或三级装置，但是相同的通信装置可以在不同的时间担任不同的角色。换句话说，特定的通信装置可以充当一个或多个一次装置、二次装置或三级装置的任何组合，并且可以提供一个或多个请求者、凭证或用户接口功能的任何组合。

III.使用二次装置辅助凭证存储的增强认证

在以上图4B和图4C所示的场景中，二次装置用于提供用户存在的指示，以增加使用账户的请求来自授权用户的置信度。在一些实施方案中，二次装置可以通过有助于一次装置的安全账户凭证存储来提供增强认证。例如，二次装置的装置数据可用于加密账户凭证。加密的账户凭证可以在一次装置上或在二次装置上存储加密，或者被分割并在一次装置和二次装置两者上存储。当一次装置与访问装置进行通信以请求授权使用账户时，一次装置可以获得二次装置的装置数据(和存储在二次装置上的任何账户凭证)。一次装置可以随后使用二次装置的装置数据来解密账户凭证，并使用解密的账户凭证来与访问装置交互以请求授权使用账户。

图5示出根据一些实施方案的用于将账户凭证提供给与二次装置交互的一次装置以便进行辅助安全存储认证的提供过程的通信流程图。一次装置501可以建立与二次装置512的通信信道，以与二次装置512进行通信。如果二次装置512具有密码能力，则通信信道可以使用端对端加密来保护在装置之间交换的信息。如果二次装置512缺乏密码能力，则一次装置501与二次装置512之间的通信信道可以采用混淆技术来保护在装置之间交换的信息。在一些实施方案中，一次装置与二次装置之间的通信可以由对应的装置进行数字签名。一次装置501与认证服务器580之间的通信信道可以采用例如使用诸如不透明度的协议的端对端加密，所述协议不需要一次装置与授权服务器之间握手信号的来建立安全的通信信道。

在步骤532处，二次装置512可以将诸如装置ID的二次装置512的装置数据发送到一次装置501。可以接收装置数据作为过程的一部分，以建立一次装置501与二次装置512之间的通信信道，或者响应于从辅装置512请求装置数据的一次装置501建立通信信道。在步骤534处，一次装置501可以将提供请求发送到授权服务器580，以请求用于用户的账户的账户凭证。在一些实施方案中，授权服务器580可以是管理令牌并向通信装置提供令牌的令牌服务器。提供请求可以包括一次装置501的装置ID、用于标识正在请求账户凭证的账户的账户标识符、以及装置数据，诸如二次装置512的装置ID。

当认证服务器580接收提供请求时，认证服务器580可以验证账户具有良好声誉。如果账户具有良好声誉，则认证服务器580可以生成用于一次装置501的共享密钥和用于该账户的账户凭证。在一些实施方案中，可以使用诸如椭圆曲线Diffie-Hellman的协议来生成共享密钥。账户凭证可以包括可用作账户标识符的替代物的令牌和/或可以在请求授权使用该账户时由一次装置使用来生成密码的密码密钥。在一些实施方案中，密码密钥可以是与一个或多个有限使用阈值的集合相关联的有限使用密钥。当有限使用密钥的使用超过其一个或多个有限使用阈值时，有限使用密钥和用有限使用密钥生成的密码将不再有效，并且应该从认证服务器580补充新的有限使用密钥。

一旦生成共享密钥和账户凭证，认证服务器580然后就可以从共享密钥和二次装置512的装置数据生成密钥加密密钥。例如，可以通过使用共享密钥加密二次装置512的装置数据(例如，装置ID)来生成密钥加密密钥。认证服务器580可以随后使用密钥加密密钥来加密所生成的账户凭证(例如，令牌和/或密码密钥)。

在步骤536处，认证服务器580将与一次装置501相关联的加密的账户凭证和共享密钥发送到一次装置501。在步骤538处，一次装置501将共享密钥存储在一次装置501上。在一些实施方案中，一次装置501还可以将加密的账户凭证或加密的账户凭证的一部分(例如，仅加密的令牌、仅加密的密码密钥、加密的令牌的一部分、加密的密码密钥的一部分、或两者的部分)存储在一次装置501上。在步骤540处，将未存储在一次装置501上的加密的账户凭证的任何部分发送到二次装置512。在步骤542处，二次装置512将从一次装置501所接收的加密的账户凭证(例如，全部或部分)存储在二次装置512上。在提供过程完成之后，一次装置501从一次装置501的存储器除去二次装置512的装置数据(例如，装置ID)。在一些实施方案中，如果二次装置512可以直接与认证服务器580进行通信，而不是使用一次装置501将待存储在二次装置512上的账户凭证的一部分(如果有的话)转发到二次装置512，则认证服务器580可以将待存储在二次装置512上的账户凭证的该部分直接发送到二次装置512，并且可以省略将账户凭证的该部分发送到一次装置501。

在一些实施方案中，二次装置512可以与一次装置501异步提供。换句话说，二次装置512可以在与提供一次装置501的时间不同的时间提供。例如，一次装置501可以存储从二次装置512所接收的装置数据，并且在一次装置701不再通信地连接到二次装置712的稍后时间将提供请求发送到授权服务器580。一次装置501还可以存储从授权服务器580所接收的账户凭证，该等账户凭证旨在存储在二次装置512上直到一次装置501在稍后的时间重新建立与二次装置512的连接性。在一些实施方案中，授权服务器580可以独立地并与一次装置501分开地提供二次装置512。因此，在一些实施方案中，当一次装置501将提供请求发送到授权服务器580时，二次装置512可被提供而不需要到一次装置501的主动连接。

图6示出根据一些实施方案的请求授权使用账户的通信流程图，其中二次装置向一次装置提供辅助凭证存储。一次装置601可以与访问装置660交互以请求授权使用账户。访问装置660可以是远程网络服务器或邻近一次装置601的POS终端。在一些实施方案中，作为用于验证一次装置601的认证过程的一部分，访问装置660可以在步骤632处向一次装置601提供与对授权使用与用户相关联的账户的请求相关的动态数据。动态数据可以包括来自访问装置660的信息，所述信息用作用于由一次装置601生成密码的输入数据。例如，动态数据可以包括来自访问装置660的不可预测的数字。在其中对授权使用账户的请求涉及交易的实施方案中，动态数据可以包括来自访问装置660的交易信息，诸如交易量。

在步骤634处，一次装置601可以将对二次装置612的凭证数据的请求发送到二次装置612。所请求的二次装置612的凭证数据可以包括用于生成密钥加密密钥(诸如二次装置612的装置ID)的二次装置612的装置数据。在步骤636处，二次装置将所请求的凭证数据发送到一次装置601。如上所述，二次装置612的凭证数据可以包括装置数据，诸如二次装置612的装置ID。在其中加密的账户凭证中的一些或所有(例如，令牌和/或密码密钥)存储在二次装置612上的实施方案中，还可以将存储在二次装置612上的任何加密的账户凭证提供给一次装置601，作为二次装置612的凭证数据的一部分。

在步骤638处，在一次装置601接收二次装置612的凭证数据之后，一次装置601可以导出密钥加密密钥并且解密存储在一次装置601上和/或从次装置612所接收的加密的账户凭证。例如，一次装置601可以使用先前提供给一次装置601的共享密钥来加密二次装置612的装置数据(例如，装置ID)，以导出密钥加密密钥。一次装置601可以随后使用密钥加密密钥来解密存储在一次装置601上的任何加密的账户凭证(例如，令牌和/或密码密钥)和从二次装置612所接收的任何加密的账户凭证，以获得未加密的令牌和/或未加密的密码密钥。

在步骤640处，一次装置601可以生成由授权服务器用来验证一次装置601的密码。在其中访问装置660在步骤632处提供与授权请求有关的动态数据的实施方案中，一次装置601可以使用密码密钥来加密从访问装置660所接收的动态数据的一些或全部。在一些实施方案中，输入到密码生成函数的数据还可以包括计数由一次装置601发起的使用账户请求的数量的计数值。在其中对授权使用账户的请求不需要一次装置601加密来自访问装置660的动态数据的实施方案中，一次装置601可以使用密码密钥来加密预先确定的静态字符串以生成密码。

在步骤642处，一次装置601将令牌和生成的密码传送到访问装置660，以请求授权使用与令牌相关联的账户。访问装置660可以随后生成授权请求消息，所述授权请求消息包括令牌、密码以及与在步骤632处访问装置660先前提供给一次装置601的请求有关的任何动态数据。访问装置660随后将授权请求消息发送到授权服务器，以获得对一次装置601使用账户的授权。

当授权服务器接收授权请求消息时，授权服务器可以将令牌转换回由令牌替换的账户标识符，确定与提供给一次装置601的令牌相关联的密码密钥，并使用密码密钥重新生成密码(例如，通过加密与请求有关的动态数据，或者如果在密码生成中未使用来自访问装置660的动态数据的话，则通过加密预先确定的字符串)。如果重新生成的密码符合从一次装置601所接收的密码，则授权服务器可以授权使用账户。

在一些实施方案中，二次装置可能是不可用的，并且在一次装置与访问装置交互时可能是不存在的。例如，如果二次装置是用户的车辆，则当用户离开车辆并且使用用户的智能电话作为一次装置进行与商业商店内的访问装置的交易时，车辆在移动装置与访问装置交互以请求授权使用用户的账户时将不在智能手机的面前。在二次装置可能不在一次装置的面前的此类情况下，当一次装置仍通信地耦接到二次装置时，一次装置可以请求并临时地存储来自二次装置的凭证数据。二次装置的凭证数据可以存储预先确定的时间段(例如，10分钟、15分钟、30分钟等)，之后从一次装置自动地删除二次装置的凭证数据。以这种方式，一次装置可以与访问装置交互以请求授权使用用户的账户，而不需要二次装置与一次装置一起存在，只要与访问装置的交互在一次装置获得二次装置的凭证数据的预先确定的时间段内执行即可。

在一些实施方案中，二次装置的凭证数据可以提供给用于备份的安全云存储器(例如，远程服务器)。在一次装置与访问装置之间进行交互以请求授权使用用户的账户时，如果一次装置确定二次装置不在一次装置的面前或不可用，则一次装置可以将对二次装置的凭证数据的请求发送到安全云存储器。安全云存储器可以将二次装置的凭证数据发送到一次装置，以使得一次装置能够解密一次装置可能需要的账户凭证。在一些实施方案中，安全云存储器可能需要加强的认证方案，诸如在向一次装置提供凭证数据之前请求用户在一次装置上输入PIN、密码或口令。

上述的二次装置辅助凭证存储技术不需要被限制于仅使用一个二次装置，并且还可以扩展到多个二次装置。在一些实施方案中，一次装置可以针对在向授权服务器注册的一组二次装置中的每个二次装置提供有不同组的账户凭证(例如，令牌和/或密码密钥)。例如，不同的令牌和/或不同的密码密钥可以由授权服务器针对每个二次装置生成。在其中账户凭证的一些或全部存储在一次装置上的实施方案中，为特定二次装置提供的账户凭证可以与二次装置的装置ID的散列一起存储在一次装置上。装置ID的散列可以用作索引，以允许一次装置正确地检索与特定二次装置相关联的账户凭证。以这种方式，当一次装置在与访问装置交互时请求来自特定二次装置的凭证数据时，一次装置可以获得二次装置的装置ID、生成装置ID的散列，并使用散列来查看与存储在一次装置上的特定二次装置相关联的适当的账户凭证组。

在一些实施方案中，也可以使用从多个二次装置的装置数据导出的密钥加密密钥来加密单组账户凭证(例如，令牌和/或密码密钥)。例如，第一二次装置的装置数据可以与第二二次装置的装置数据组合(例如，使用诸如加法等的一个或多个数学运算和/或诸如XOR等的一个或多个逻辑运算，或者级联在一起)，并且密钥加密密钥可以通过用共享密钥加密多个二次装置的组合装置数据生成。当一次装置与访问装置交互以请求授权使用账户时，一次装置可以请求来自其装置数据在密钥加密密钥的推导中使用的每个二次装置的装置数据。

在一些实施方案中，也可以将单组账户凭证分成多个部分，并且也可以使用从不同的二次装置的装置数据导出的不同的密钥加密密钥来加密每个部分。例如，可以使用从第一二次装置的装置数据导出的第一密钥加密密钥来加密令牌，并且可以使用从第二二次装置的装置数据导出的第二密钥加密密钥来加密密码密钥。作为另一个示例，可以将令牌分成两部分，并且可以使用从第一二次装置的装置数据导出的第一密钥加密密钥来加密第一令牌部分，并且可以使用从第二二次装置的装置数据导出的第二密钥加密密钥来加密第二令牌部分。

在一些实施方案中，也可以随机化在一组二次装置上的账户凭证的不同部分的存储，并且一次装置可以维持哪个部分存储在哪个二次装置上的映射，以使得一次装置可以适当地恢复账户凭证。例如，使用从第一二次装置的装置数据导出的第一密钥加密密钥加密的账户凭证的第一部分可以存储在第二二次装置上，以及使用从第二二次装置的装置数据导出的第二密钥加密密钥加密的账户凭证的第二部分可以存储在第一二次装置上。当一次装置从两个二次装置请求凭证数据时，第一二次装置可以向第一装置提供账户凭证的第二部分和第一二次装置的装置数据，并且第二二次装置可以向第一装置提供账户凭证的第一部分和第二二次装置的装置数据。具有账户凭证的哪部分存储在哪个二次装置上的映射的知识的一次装置可以随后使用从第一二次装置所接收的装置数据来解密从第二二次装置所接收的账户凭证的部分，以及使用从第二二次装置所接收的装置数据来解密从第一二次装置所接收的账户凭证的部分。

IV.使用二次装置辅助加密的增强认证

在一些实施方案中，如果二次装置具有密码能力，则二次装置还可以通过代表一次装置辅助密码生成来提供增强认证。例如，在密码生成期间，一次装置可以生成第一中间密码，并将第一中间密码发送到二次装置。二次装置可以随后从第一中间密码生成第二中间密码，并将第二中间密码发送回到一次装置。随后，一次装置从第二中间密码生成最终密码，并将最终密码发送到访问装置，以请求授权使用用户的账户。

图7示出根据一些实施方案的用于将账户凭证提供给与二次装置交互的一次装置以便进行辅助加密认证的提供过程的通信流程图。一次装置701可以建立与二次装置712的通信信道，以与二次装置712进行通信。通信信道可以采用端对端加密来保护在装置之间交换的信息，或者可以采用混淆技术来保护在装置之间交换的信息。在一些实施方案中，一次装置与二次装置之间的通信可以由对应的装置进行数字签名。一次装置701与认证服务器780之间的通信信道可以采用例如使用诸如不透明度的协议的端对端加密，所述协议不需要一次装置与授权服务器之间握手信号的来建立安全的通信信道。

在步骤732处，二次装置712可以将诸如装置ID的二次装置712的装置数据发送到一次装置701。可以接收装置数据作为过程的一部分，以建立一次装置701与二次装置712之间的通信信道，或者响应于从辅装置712请求装置数据的一次装置701建立通信信道。在步骤734处，一次装置701可以将提供请求发送到授权服务器780，以请求用于用户的账户的账户凭证。在一些实施方案中，授权服务器780可以是管理令牌并向通信装置提供令牌的令牌服务器。提供请求可以包括一次装置701的装置ID、用于标识正在请求账户凭证的账户的账户标识符、以及装置数据，诸如二次装置712的装置ID。

当认证服务器780接收提供请求时，认证服务器780可以验证账户具有良好声誉。如果账户具有良好声誉，认证服务器780可以生成用于账户的账户凭证。账户凭证可以包括密码密钥，所述密码密钥可以在请求授权使用账户时由一次装置使用来生成密码。密码密钥可以包括多个部分。例如，密码密钥可以由两个部分密码密钥组成。账户凭证还可以包括可用作账户标识符的替代物的令牌。在一些实施方案中，密码密钥可以是与一个或多个有限使用阈值的集合相关联的有限使用密钥。当有限使用密钥的使用超过其一个或多个有限使用阈值时，有限使用密钥和用有限使用密钥生成的密码将不再有效，并且应该从认证服务器780补充新的有限使用密钥。

在步骤736处，认证服务器780将包括部分密码密钥的账户凭证发送到一次装置501。在步骤738处，一次装置701将密码密钥的第一部分存储在一次装置701上。在步骤740处，一次装置701可以将密码密钥的第二部分发送到二次装置712。在步骤742处，二次装置712将密码密钥的第二部分存储在二次装置512上。在其中账户凭证包括令牌的实施方案中，令牌可以存储在一次装置701或二次装置712上，或者可以被分割并存储在这两个装置上。在一些实施方案中，如果二次装置712可以直接与认证服务器780进行通信，而不是使用一次装置701将待存储在二次装置712上的账户凭证的一部分转发到二次装置712，则认证服务器780可以将待存储在二次装置712上的账户凭证的一部分直接发送到二次装置712，并且可以省略将账户凭证的该部分发送到一次装置701。

在一些实施方案中，二次装置712可以与一次装置701异步提供。换句话说，二次装置712可以在与一次装置701提供有密码密钥的第一部分的时间不同的时间提供有密码密钥的第二部分。例如，一次装置701可以存储从二次装置712所接收的装置数据，并且在一次装置701不再通信地连接到二次装置712的稍后时间将提供请求发送到授权服务器780。一次装置701还可以存储从授权服务器780所接收的密码密钥的第二部分，该密码密钥的第二部分旨在存储在二次装置712上，直到一次装置701在稍后的时间重新建立与二次装置712的连接性。在一些实施方案中，授权服务器780可以独立地并与一次装置701分开地提供二次装置712。因此，在一些实施方案中，当一次装置701将提供请求发送到授权服务器780时，二次装置712可被提供而不需要到一次装置701的主动连接。

图8示出根据一些实施方案的请求授权使用账户的通信流程图，其中二次装置向一次装置提供辅助加密。一次装置801可以与访问装置860交互以请求授权使用账户。访问装置860可以是远程网络服务器或邻近一次装置801的POS终端。在一些实施方案中，作为用于验证一次装置801的认证过程的一部分，在步骤832处，访问装置860可以向一次装置801提供与对授权使用账户的请求相关的动态数据。动态数据可以包括来自访问装置860的信息，所述信息用作用于由一次装置801生成密码的输入数据。例如，动态数据可以包括来自访问装置860的不可预测的数字。在其中对授权使用账户的请求涉及交易的实施方案中，动态数据可以包括来自访问装置860的交易信息，诸如交易量。

在步骤834处，一次装置801可以使用存储在一次装置801上的密码密钥的第一部分生成第一中间密码。例如，一次装置801可以使用存储在一次装置801上的密码密钥的第一部分对从访问装置860所接收的动态数据中的一些或全部执行一个或多个密码操作(例如，加密/解密)。在一些实施方案中，输入到密码函数的数据还可以包括计数已由一次装置801发起的使用账户请求的数量的计数值。在其中对授权使用用户的账户的请求不需要一次装置801基于从访问装置860所接收的动态数据生成密码的实施方案中，一次装置801可以使用存储在一次装置801上的密码密钥的第一部分来对预先确定的静态字符串执行一个或多个密码操作，以生成第一中间密码。

在步骤836处，一次装置801将第一中间密码836发送到二次装置812。在步骤838处，二次装置812可以使用存储在二次装置812上的密码密钥的第二部分从第一中间密码生成第二中间密码。例如，二次装置812可以使用密码密钥的第二部分对第一中间密码执行一个或多个密码操作，以生成第二中间密码。在步骤840处，二次装置812将第二中间密码发送到一次装置801。

在步骤842处，一次装置801可以使用存储在一次装置801上的密码密钥的第一部分从第二中间密码生成最终密码。例如，一次装置801可以使用密码密钥的第一部分对第二中间密码执行一个或多个密码操作，以生成最终密码。在步骤844处，一次装置844将最终密码和所需要的任何附加账户凭证(例如，令牌)发送到访问装置860以请求授权使用用户的账户。访问装置860可以随后根据本文描述的技术生成发送到授权服务器以获得使用用户账户的授权的授权请求消息。

图9示出根据一些实施方案的用于由与二次装置协作的一次装置生成密码的示例性技术的概念图。用于加密和解密操作的加密协议可以是例如DES(数据加密标准)、AES(高级加密标准)或其他合适的加密/解密算法。

可以将从授权服务器提供的密码密钥分成第一部分K1和第二部分K2。例如，如果密码密钥为16字节，则K1可以是密码密钥的前8个字节，并且K2可以是密码密钥的后8个字节。可以将密码密钥K1的第一部分提供给一次装置901，并且可以将密码密钥K2的第二部分提供给二次装置912。在一些实施方案中，也可以将第一中间密钥K3和第二中间密钥K4提供给一次装置901和二次装置912两者。

一次装置901可以通过获得对密码函数的输入数据(例如，从访问装置所接收的动态数据、来自存储器的预先确定的静态字符串等)来开始密码生成过程。可以通过用密码密钥K1的第一部分加密输入数据，用第一中间密钥K3解密该第一结果，并且随后用第二中间密钥K4再次加密该第二结果来生成第一中间密码C1。随后将第一中间密码C1提供给二次装置912。

二次装置912随后根据从一次装置901所接收的第一中间密码C1生成第二中间密码C2。在一些实施方案中，可以通过用第二中间密钥K4解密C1，用第一中间密钥K3加密此第一结果，并且随后用密码密钥K2的第二部分解密此第二结果来生成第二中间密码C2。第二中间密码C2随后被提供给一次装置901，并且一次装置901可以通过用密码密钥K1的第一部分加密C2来生成发送到访问装置的最终密码C。

在一些实施方案中，为了更强大的传输保护，可以通过用第二中间密钥K4解密C1，用第一中间密钥K3加密此第一结果，用密码密钥K2的第二部分解密该第二结果，用第二中间密钥K4重新加密此第三结果，并且随后用第一中间密钥K3再次解密此第四结果来生成第二中间密码C2。在此类实施方案中，一次装置901可以通过用第一中间密钥K3加密C2，用第二中间密钥K4解密此第一结果，并且随后用密码密钥K1的第一部分再次加密此第二结果来生成发送到访问装置的最终密码C。

V.示例性过程

图10示出根据一些实施方案的用于建立与一次装置相关联的交互活动模式的过程1000的流程图。可以针对与一次装置交互的每个通信装置(例如，二次装置或三级装置)重复过程1000。在框1002处，在一次装置和与一次装置交互的通信装置之间建立通信信道。在框1004处，一次装置可以从通信装置接收装置数据，包括通信装置的装置ID、由通信装置感测的传感器数据或由通信装置捕获的用户数据中的至少一个。在框1006处，将从通信装置所接收的装置数据发送到服务器，以在服务器处建立交互活动模式。也可以将一次装置的装置数据(例如，一次装置的装置ID、由一次装置感测的传感器数据或由一次装置捕获的用户数据)发送到服务器以建立交互活动模式。

在一些实施方案中，时间戳可以与装置数据一起发送，以允许服务器使一次装置与通信装置之间的交互与一天的时间段相关联。因此，可以基于一次装置与各个通信装置交互的当日时间进一步建立交互活动模式。在一些实施方案中，装置数据可以包括通信装置和/或一次装置的位置数据，并且位置数据可以用于导出表示用户通常访问的位置周围的地理围栏的地理周边。包括导出的地理周边的交互活动模式可以用于提供关于尝试请求授权使用账户的一次装置是否以与用户的典型行为一致的方式操作的风险评估。

图11示出根据一些实施方案的用于请求授权使用一次装置的用户的账户的过程1100的流程图。在框1102处，一次装置可以接收二次装置的凭证数据。凭证数据可以是例如装置数据，诸如二次装置的装置标识符或由二次装置生成的中间密码。在一些实施方案中，凭证数据可以包括与存储在二次装置上的用户的账户相关联的账户凭证(例如，完整或部分令牌，和/或完整或部分密码密钥)。在框1104处，一次装置使用二次装置的凭证数据生成密码。

在框1106处，一次装置将密码传送到访问装置，以请求授权使用与一次装置的用户相关联的账户。对授权使用账户的请求可以是例如对访问有关该账户的信息的请求、对使用该账户访问服务或产品的请求、对使用该账户进行交易的请求等。在一些实施方案中，访问装置可以是远程网络服务器，并且密码可以通过诸如互联网的计算机网络传送到访问装置。在一些实施方案中，访问装置可以是诸如位于一次装置附近的POS终端的访问终端，并且可以使用短或中型非接触式通信技术(例如，NFC、蓝牙、BLE等)或通过向访问终端的光学阅读器呈现表示密码的图像(例如，QR码、条形码等)来将密码传送到访问终端的非接触式阅读器。

在一些实施方案中，访问装置可以将密码转发到授权服务器。可以基于密码的验证和一次装置与包括二次装置的一组通信装置之间的交互的交互活动模式来授权使用账户。例如，授权服务器可以将一次装置与通信装置中的一个或多个之间的最新交互与交互活动模式进行比较，以确定一次装置是否以与用户的典型行为一致的方式被使用和/或在与用户的典型活动的位置一致的位置处使用。在一些实施方案中，如果密码被验证并且一次装置以与交互活动模式一致的方式被使用，则一次装置的用户很可能是授权用户，并且可以无限制地授予使用账户的授权。在一些实施方案中，如果密码被验证并且一次装置似乎正以偏离交互活动模式的方式被使用，则仍可以授予使用账户的授权，但是可以以对可以如何使用账户的限制授予该授权。例如，可以在这种场景下施加对交易量的限制。

图12示出根据一些实施方案的用于由二次装置进行辅助凭证存储以增强一次装置的认证的过程1200的流程图。在框1202处，为了注册与一次装置交互的二次装置并请求一次装置和二次装置的提供，一次装置可以将装置数据(诸如二次装置的装置ID)发送到授权服务器。在框1204处，响应于注册二次装置，一次装置可以从授权服务器接收共享密钥和加密的密码密钥。在一些实施方案中，一次装置还可以接收加密的令牌。加密的密码密钥和/或加密的令牌可以由授权服务器使用从共享密钥和二次装置的装置数据导出的密钥加密密钥来加密。

在框1206处，一次装置将共享密钥存储在一次装置上。在一些实施方案中，加密的密码密钥和/或加密的令牌也可以存储在一次装置上。在一些实施方案中，一次装置可以将加密的密码密钥和/或加密的令牌转发到二次装置以便存储在二次装置上。在一些实施方案中，加密的密码密钥的一部分和/或加密的令牌的一部分可以存储在一次装置上，并且加密的密码密钥的剩余部分和/或加密的令牌的剩余部分可以存储在二次装置上。

一旦已提供一次装置和二次装置，一次装置就可以与访问装置交互，以请求授权使用与一次装置的用户相关联的账户。在框1208处，一次装置可以接收二次装置的凭证数据。凭证数据可以包括用于导出密钥加密密钥(诸如二次装置的装置ID)的二次装置的装置数据。如果加密的密码密钥和/或加密的令牌的任何部分存储在二次装置上，则一次装置还可以从二次装置接收加密的密码密钥和/或加密的令牌，作为二次装置的凭证数据的一部分。

在框1210处，一次装置可以随后使用二次装置的装置标识符和存储在一次装置上的共享密钥来导出密钥加密密钥。在框1212处，一次装置使用导出的密钥加密密钥来解密加密的密码密钥和/或加密的令牌。在框1214处，一次装置通过使用解密的密码密钥加密与授权请求相关的数据来生成密码。在一些实施方案中，与授权请求相关的数据可以包括从访问装置所接收的动态数据。在一些实施方案中，与授权请求相关的数据可以包括预先确定的静态字符串。在框1216处，一次装置将密码传送到访问装置，以请求授权使用用户的账户。

在一些实施方案中，当一次装置与访问装置交互时，可能不需要二次装置的存在。例如，在一次装置与访问装置交互以请求授权之前，可以预先由一次装置从二次装置接收凭证数据，诸如二次装置的装置ID。诸如二次装置的装置ID的凭证数据可以临时地在一次装置上存储一段预先确定的时间。如果一次装置在二次装置的凭证数据由一次装置接收的预先确定的时间段内与访问装置交互，则这将允许一次装置与访问装置交互以请求授权而无需二次装置的存在。当从接收到凭证数据起已过去预先确定的时间段时，可以从一次装置自动地删除凭证数据，以防止凭证数据在一次装置上的持续存储。在一些实施方案中，如果一次装置确定二次装置不可用，则一次装置还可以将对二次装置的凭证数据的请求发送到远程服务器，并且二次装置的凭证数据可以由一次装置从远程服务器接收。

图13示出根据一些实施方案的用于由二次装置进行辅助加密以增强一次装置的认证的过程1300的流程图。在框1302处，为了注册与一次装置交互的二次装置并请求一次装置和二次装置的提供，一次装置可以将装置数据(诸如二次装置的装置ID)发送到授权服务器。在框1304处，响应于注册二次装置，一次装置可以从授权服务器接收密码密钥。可将密码密钥划分成第一部分和第二部分。在一些实施方案中，一次装置还可以接收令牌。在框1306处，一次装置将密码密钥的第一部分存储在一次装置上。在框1308处，一次装置将密码密钥的第二部分发送到二次装置以便存储在二次装置上。一次装置和二次装置还可以提供有第一中间密钥和第二中间密钥。

一旦已提供一次装置和二次装置，一次装置就可以与访问装置交互，以请求授权使用与一次装置的用户相关联的账户。在框1310处，为了请求授权使用账户，一次装置可以使用存储在一次装置上的密码密钥的第一部分来生成第一中间密码。可以通过使用密码密钥的第一部分加密与授权请求相关的数据，使用第一中间密钥解密加密的数据，以及使用第二中间密钥再次加密解密的数据来生成第一中间密码。在框1312处，一次装置将第一中间密码传送到二次装置。

在框1314处，一次装置接收由二次装置使用第一中间密码和存储在二次装置上的密码密钥的第二部分来生成的第二中间密码。第二中间密码可以由一次装置接收，作为二次装置的凭证数据。在一些实施方案中，二次装置可以通过使用第二中间密钥解密第一中间密码，使用第一中间密钥再次加密解密的第一中间密码，使用密码密钥的第二部分解密再次加密的第一中间密码来生成第二中间密码。为了更强大的传输保护，可以通过进一步加密使用第二中间密钥解密再次加密的第一中间密码的结果，以及使用第一中间密钥解密加密的结果来生成第二中间密码。

在框1316处，一次装置使用第二中间密码和存储在一次装置上的密码密钥的第一部分来生成发送到访问装置的密码。在一些实施方案中，可以通过使用第一中间密钥加密第二中间密码，使用第二中间密钥解密加密的第二中间密码，以及使用密码密钥的第一部分再次加密解密的第二中间密码来生成密码。在框1318处，一次装置将密码传送到访问装置，以请求授权使用用户的账户。

VI.示例性装置和系统

图14示出便携式通信装置1401的框图，其中可以实施本文中所述的过程的一些实施方案。便携式通信装置1401可以用作与访问装置(例如，经由非接触式接口或经由网络)交互的一次装置，作为与不同通信装置进行通信的通信集线器，作为协助另一个通信装置进行增强认证的二次装置，和/或作为用作用户接口来控制一次装置或与一次装置进行通信的三级装置。

便携式通信装置1401可以包括耦接到存储器1402的装置硬件1404。装置硬件1404可以包括处理器1405、通信子系统1409、用户接口1406、显示屏1407(其可以是用户接口1406的一部分)以及非接触式接口1408。处理器1405可以被实施为一个或多个集成电路(例如，一个或多个单核或多核微处理器和/或微控制器)，并且被用来控制便携式通信装置1401的操作。处理器1405可以响应于存储在存储器1402中的程序代码或计算机可读代码执行各种程序，并且可以维护多个同时执行的程序或过程。通信子系统1406可以包括一个或多个RF收发器和/或连接器，其可由便携式通信装置1401使用以便与其他装置进行通信和/或与外部网络连接。用户接口1406可以包括输入元件和输出元件的任何组合，以便允许用户与便携式通信装置1401交互并且调用其功能性。在一些实施方案中，显示屏1407可以是用户接口1406的一部分。

非接触式接口1408可以包括一个或多个RF收发器，以便与访问装置的非接触式阅读器交互以进行交易(例如，支付交易、访问交易、信息交换等)。在一些实施方案中，可以由移动OS 1414使用卡模拟API 1416来访问非接触式接口1408，而不需要使用安全元件。在一些实施方案中，显示器1407也可以是非接触式接口1408的一部分，并且例如用于使用QR码、条形码等来执行交易。

存储器1402可以使用任何数量的非易失性存储器(例如，闪速存储器)和易失性存储器(例如，DRAM、SRAM)的任何组合、或任何其他非暂时性存储介质、或其组合介质来实现。存储器1402可以存储移动OS 1414和其中驻留一个或多个移动应用程序的移动应用程序环境1410，包括将由处理器1405执行的交易应用程序1412(例如，移动钱包应用程序、移动银行应用程序、移动支付应用程序、商家应用程序、网络浏览器等)。在一些实施方案中，移动OS 1414可以实现一组卡模拟API 1416，其可以由交易应用程序1412调用以便访问非接触式接口1408来与访问装置交互。

根据一些实施方案，交易应用程序1412可以实施安全敏感函数，诸如令牌请求函数1434、账户参数补充函数1436、密码生成函数1438等。可以调用令牌请求函数1434来从远程服务器(例如，诸如基于云的交易服务器、令牌服务器、发行方或主机处理系统等的授权服务器)请求令牌。令牌可以用作实账户标识符的替代物，以进行交易(例如，通过将令牌发送到访问装置)。使用令牌而不是实账户标识符可以更安全，因为在进行交易时并不发射实账户标识符。令牌请求函数1434可以在(例如)注册时间被调用以请求初始令牌，或者在当前令牌的寿命过期时被调用。

账户参数补充函数1436可以被调用以补充或更新账户参数，诸如来自远程服务器(例如，诸如基于云的交易服务器、令牌服务器、发行方或主机处理系统等的授权服务器)的有限使用密钥。在交易时，有限使用密钥用来生成密码，所述密码被提供给访问装置以进行交易。有限使用密钥可以与一组或者一个或多个有限使用阈值相关联(例如，在预定时间段内、针对预定数目的交易和/或针对预定累计交易金额有效)，以限制LUK的使用。当LUK的有限使用阈值中的一个或多个已过期或快要过期时，账户参数补充函数1436可以被调用以请求新的LUK。

密码生成函数1438可以在交易时间被调用以生成密码，所述密码被提供给访问装置以进行交易。可以通过从访问装置接收动态交易数据(例如，交易金额、交易日期、不可预知的数目等)并利用LUK对动态交易数据进行加密来生成密码。在一些实施方案中，可以通过利用LUK对静态字符串进行加密(例如，如果访问装置不支持将动态数据发射到便携式通信装置)来生成密码。

在一些实施方案中，如果根据1401的交互活动模式使用便携式通信装置1401，并且/或者如果二次装置可以提供便携式通信装置1401正在被授权用户使用的附加保证，则交易应用程序1412可以被自动地激活并准备好与访问装置进行交易。例如，如果便携式通信装置1401正在与和便携式通信装置1401在一天的特定时间内通常交互的二次装置交互，并且/或者如果便携式通信装置1401位于用户在一天的特定时间内通常所在的位置的地理周边内的位置处，则可以激活交易应用程序1412。在一些实施方案中，如果二次装置可以提供上下文数据(例如，心率或其他生物计量数据)来用便携式通信装置1401指示用户的存在，则可以激活交易应用程序1412。在一些实施方案中，如果二次装置的凭证数据可用于便携式通信装置1401(例如，如果二次装置在便携式通信装置1401的面前，或者如果便携式通信装置1401最近已获得并临时地存储二次装置进行交易的必要凭证数据)，则可以激活交易应用程序1412。

图15示出网络连接的通信装置1501的框图，其中可以实现本文中所述的过程的一些实施方案。网络连接的通信装置1501可以用作与访问装置(例如，经由网络)交互的一次装置，作为与不同通信装置进行通信的通信集线器，作为协助另一个通信装置进行增强认证的二次装置，和/或作为用作用户接口来控制一次装置或与一次装置进行通信的三级装置。在一些实施方案中，网络连接的通信装置1501可以是访问点装置、路由器装置、网关装置、网络连接的智能家电装置(诸如机顶盒、智能TV、智能冰箱)等。

网络连接的通信装置1501可以包括处理子系统1520、一个或多个网络接口1509和交易应用程序1512。处理子系统1520可以被实现为一个或多个集成电路，例如一个或多个处理器和/或控制器1505和/或一个或多个处理子系统存储器1502。在操作中，处理系统1520可以控制网络连接的通信装置1501的操作。在一些实施方案中，处理子系统1520可以响应于程序代码或指令执行各种程序和/或过程，并且可以维持多个同时执行的程序或过程。在任何给定时间，待由一个或多个处理器/控制器1505执行的程序代码或指令中的一些或所有可以驻留在处理子系统1520中，例如在处理子系统存储器1502中。每个处理器/控制器1505可以被实现为微处理器、数字信号处理器、专用集成电路、现场可编程门阵列、模拟电路、数字电路和/或它们的组合。

网络接口1509可以包括一个或多个内部网络接口和/或一个或多个外部网络接口，以有助于在内部网络(例如，局域网等)、外部网络内和/或在内部网络与外部网络之间的通信交换。在一些实施方案中，网络连接的通信装置1501可以经由网络接口1509在不同时间与不同的通信装置交互，或者可以同时与多个通信装置同时交互。

交易应用程序1512可以被实现为具有与参考交易应用程序1412所描述的那些功能类似的功能，并且因此不需要重复其详细描述。交易应用程序512可以使得网络连接的通信装置1501能够作为一次装置来操作以与访问装置进行交易。在一些实施方案中，交易应用程序1512可以存储在处理子系统存储器1502中或在网络连接的通信装置1501的通用存储器中。

图16示出通信装置1601的框图，其中可以实施本文中所述的过程的一些实施方案。在一些实施方案中，通信装置1601可能缺少交易应用程序，并且因此可能无法直接与访问装置进行交易。然而，在一些实施方案中，通信装置1601可以用作与不同通信装置进行通信的通信集线器，作为协助另一个通信装置进行增强认证的二次装置，和/或作为用作用户接口来控制一次装置或与一次装置进行通信的三级装置。在一些实施方案中，通信装置1601可以是可穿戴通信装置、智能家电装置、车辆等。

通信装置1601可以包括控制器或处理器1605、用于存储可由控制器或处理器1605执行的指令的存储器1602、以及用于与其他通信装置交互的通信子系统1609。通信装置1601还可以包括可以用于控制通信装置1601或可通信地耦接到通信装置1601的另一个装置的用户接口1606。用户接口可以包括用户可以使其参与调用通信装置1601和/或可通信地耦接到通信装置1601的另一个装置的功能的显示器(例如，触摸屏)和/或任何数量的按钮或输入装置，诸如键盘、小键盘等。

通信装置1601还可以包括传感器子系统1603。传感器子系统1603可以包括任何数量的环境传感器，诸如提供与通信装置1601周围的外部条件相关的信息的各种电子、机械、机电、光学或其他装置。在一些实施方案中，传感器子系统1603可以例如在流媒体基础上或者响应于根据需要由控制器或处理器1605进行的轮询来向控制器或处理器1605提供数字信号。环境传感器的示例可以包括加速度计、磁力计、高度计、陀螺仪、卫星定位接收器(例如，GPS接收器)等。在一些实施方案中，传感器子系统1603还可以包括声音传感器、光传感器、照相机、麦克风等。在一些实施方案中，传感器子系统还可以包括生物计量传感器，诸如心率传感器、指纹传感器等。

图17示出根据一些实施方案的示例性系统1700的框图，其中可以使用本文中所述的增强认证技术。系统1700可以是(例如)用于进行基于云的交易的基于云的交易系统。应理解，本文中所述的增强认证技术可以应用于可与或可不与交易处理相关的其他类型的系统。

系统1700包括便携式通信装置1710(例如，移动装置)、基于云的交易平台(CBP)1780以及移动应用程序平台(MAP)1770。CBP 1780可以使用一个或多个计算装置来实现，并且可以与发行方、交易处理器和/或其他合适的实体相关联或者由其操作。CBP 1780实现包括账户管理和账户参数生成以及补充在内的功能性的集合，以使得能够经由便携式通信装置1710来进行基于云的交易。

MAP 1770用来促进CBP 1780与便携式通信装置1710中的移动应用程序1714(例如，交易应用程序)之间的通信。MAP 1770可以使用一个或多个计算装置来实现，并且可以与移动应用程序1714(例如，移动软件应用程序)的服务提供方(诸如发行方、移动钱包提供方、商家和/或其他合适的实体)相关联或者由其操作。在一些实施方案中，MAP 1770可以与和CBP 1780相同的实体相关联或由其操作，或者它们可以分开。MAP 1770用来对移动应用程序1714与CBP 1780之间的请求起媒介作用，并且确保一旦(例如)经由通信网络1782(例如，互联网、移动或蜂窝网络等)建立到便携式通信装置1710的连接性便履行由任一方发起的请求和响应。应理解，在一些实施方案中，CBP 1780、MAP 1770和/或发行方或主处理系统1772的一个或多个功能性可以集成到相同的计算系统或不同的计算系统中。在一些实施方案中，CBP 1780，MAP 1770和/或发行方或主机处理系统1772中的任何一个或多个可以充当授权服务器。

便携式通信装置1710可以用来进行由CBP 1780和/或MAP 1770促成的基于云的交易(例如，支付交易)。便携式通信装置1710包括装置硬件1732、移动操作系统(OS)1722以及应用程序环境1712。装置硬件1732包括可以将信息非接触地传达或以其他方式呈现给另一个装置(诸如，访问装置1760的非接触式阅读器1062)的非接触式接口1734。非接触式接口1734的示例可以包括近场通信(NFC)接口，其可以使用射频或者诸如蓝牙、蓝牙低功耗(BLE)、Wi-Fi等其他无线通信协议来发送和接收通信。非接触式接口1734的示例也可以包括光接口，诸如用于呈现信息(诸如，快速响应(QR)码、条形码等)的显示器。

便携式通信装置1710的应用程序环境1712可以包括移动应用程序1714，诸如由服务提供方(例如，发行方)提供的交易应用程序。例如，如果移动应用程序1714的服务提供方是发行方，那么移动应用程序1714可以是移动银行应用程序或移动支付应用程序。如果服务提供方是移动钱包提供方(诸如，支持多个发行方的移动网络运营商或第三方钱包提供方)，那么移动应用程序1714可以是移动钱包应用程序。至于商家，移动应用程序1714可以是消费者可以从中进行电子商务或销售点交易的商家自己的交易应用程序，或者是支持多个商家的移动钱包应用程序。

在一些实施方案中，移动应用程序1714可以包括集成到移动应用程序1714中以支持基于云的交易的装置上基于云的交易逻辑。装置上基于云的交易逻辑执行函数以有助于基于云的交易，诸如，获得被提供来用在支付交易中的账户参数并将它们递送到移动操作系统1722，以便通过非接触式接口1734进行传输。例如，装置上基于云的交易逻辑可以使用从CBP 1780提供的密码密钥(例如，有限使用密钥)，以生成通过非接触式接口发射到访问装置1760的交易密码，以便进行支付交易。交易密码可以发送到交易处理网络1784，以获取支付交易的授权。装置上基于云的交易逻辑也管理在已经提供账户之后提供的初始服务配置文件参数，以确保发起对账户参数补充和其他账户参数管理活动的请求。

为了提供便携式通信装置1710以用于基于云的支付交易，CBP 1780可以用来配置与发行方相关联的账户资产组合(portfolio)并且向便携式通信装置1710提供账户参数，以便在进行基于云的交易时使用。由CBP 1780建立的账户资产组合可以包括诸如风险参数(例如，速度控制)的特性，其管理所提供的装置上的账户参数将何时需要针对每个资产组合中的账户进行刷新的触发因素。为了确保一致的性能和可用性，可以由CBP 1780实施可在服务配置文件中配置的最小参数的集合。为了确保根据账户资产组合的服务配置文件中指定的规则来处理基于云的支付交易，CBP 1780在已经启用的账户的使用期限期间执行各种核心功能。这些功能可以包括提供、活动账户管理、支付的确认、交易处理、生命周期管理以及后付制。

在账户被提供作为基于云的交易账户之前，CBP 1780可以创建资产组合的服务配置文件。提供可以包括获得注册账户、创建账户信息(诸如，备选账户标识符(例如，备选主账号(PAN))，或者充当可以代替实账户标识符(例如，实际PAN)用来进行交易的账户标识符替代物的令牌)，并且已经为资产组合建立继承服务配置文件。一旦提供账户，相关服务配置文件细节便与交易处理和装置上基于云的交易逻辑两者共享，以确保可以在交易处理时和在用户使用移动应用程序期间完成决策。

一旦提供账户，便可以由CBP 1780执行活动账户管理。活动账户管理可以从交易处理活动或者从移动应用程序活动发起。在已经提供账户之后，活动账户管理能力生成将部署到便携式通信装置1710的账户参数的初始集合。账户参数可以包括在提供期间生成的账户信息(例如，备选账户标识符或令牌)以及动态信息，以确保账户参数的集合一旦递送到装置便只具有有限的用途或有限的寿命。取决于支持哪种类型的交易，动态信息可以包括有限使用密码密钥或动态数据。例如，动态信息可以包括用于计算密码的有限使用密钥(LUK)以及用于支持旧有的动态卡验证值或基于代码的实施方式的有限使用动态数据。

在交易处理期间，如果由CBP 1780为特定账户保留的服务配置文件参数表明便携式通信装置1710上的账户参数需要替换，那么CBP 1080的活动账户管理能力可以经由MAP1770连接到便携式通信装置1710，以补充账户参数。同样地，如果存储在便携式通信装置1710上的装置上服务配置文件参数表明需要或快需要账户参数补充(即，通过监测账户参数阈值)，那么移动应用程序1714可以向CBP 1780请求账户参数补充。

一旦已经提供便携式通信装置1710以进行基于云的交易，便可以经由便携式通信装置1710通过与(例如，商家位置处的)访问装置1760的非接触式阅读器1762交互来进行交易。访问装置1760的部件可以包括销售点(POS)终端1764和/或电子现金出纳机1766。在一些实施方案中，访问装置1760可以是与商家相关联的网络服务器，并且便携式通信装置1710可以经由计算机网络与访问装置1760进行通信。访问装置1760可以耦接到收单方1774(例如，经由未示出的商家计算机)。收单方1774可以经由交易处理网络1784连接到发行方或主处理系统1772。交易处理网络1784可以包括一个或多个服务器计算机。服务器计算机通常是功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦接至网络服务器的数据库服务器。交易处理网络1084可以使用任何合适的有线或无线网络(包括互联网)。

交易处理网络1784可以包括数据处理子系统、网络和用来支持和递送授权服务、异常文件服务、交易评分服务以及清算与结算服务的操作。示例性交易处理网络可以包括VisaNet^TM。诸如VisaNet^TM的交易处理网络能够处理信用卡交易、借记卡交易以及其他类型的商业交易。VisaNet^TM具体包括处理授权请求的VIP系统(Visa集成支付系统)和执行清算和结算服务的Base II系统。

每个实体(例如，收单方1774、交易处理网络1784、发行方或主处理系统1772)可以包括一个或多个计算机，以实现通信或执行本文中所述的功能中的一个或多个功能。

为了进行基于云的交易，便携式通信装置1710的用户可以使便携式通信装置1710轻击访问装置1760的非接触式阅读器1762(例如，经由NFC)，或在便携式通信装置1710的屏幕上显示可以由访问装置1760的非接触式阅读器1762(例如，光学扫描器或阅读器)扫描的图像(诸如，条形码或QR码)。在一些实施方案中，便携式通信装置1710可以向访问装置1760提供账户标识符(例如，备选账户标识符、令牌等)和附加信息(诸如，有限使用账户参数或从有限使用账户参数中导出的信息)。例如，账户标识符或令牌和/或附加信息(例如，交易密码)可以用由访问装置1760扫描的条形码或QR码进行编码；或者账户标识符或令牌和/或附加信息可以经由NFC发射到访问装置1760。在一些实施方案中，有限使用账户参数可以包括交易密码

访问装置1760或耦接到访问装置1760的商家计算机可以生成包括账户标识符和附加信息(例如，有限使用账户参数或者从有限使用账户参数中导出的信息)在内的授权请求消息，并且将授权请求消息转发到收单方1774。授权请求消息然后被发送到交易处理网络1784。交易处理网络1784然后将授权请求消息转发到与账户(与便携式通信装置1710相关联)的发行方相关联的对应发行方或主处理系统1772。

在发行方或主处理系统1772接收到授权请求消息之后，可以剖析授权请求消息，并且授权请求消息中的信息可以发送到CBP 1780以进行验证。授权响应消息然后被发回到交易处理网络1784，以指示当前交易是否被授权(或未被授权)。交易处理网络1784然后将授权响应消息转发回到收单方1774。在一些实施方案中，即便发行方或主处理系统1772已经授权交易，交易处理网络1084仍可以拒绝交易，例如，取决于欺诈风险分数的值或者取决于有限使用账户参数是否由CBP 1780验证。收单方1774然后将授权响应消息发送到商家计算机和/或访问装置1760。授权响应结果可以由访问装置1760显示，或者可以在物理收条上打印出来。替代性地，如果交易是在线交易，则商家可以提供网页或授权响应消息的其他指示，作为虚拟收条。收条可以包括交易的交易数据。

在一天结束时，可以由交易处理网络1784进行常规的清算与结算过程。清算过程是在收单方和发行方之间交换财务细节的过程，以利于发布到顾客的支付账户，并核对用户的结算位置。

本文中所述的计算装置、通信装置、计算机、服务器等中的任一者可以使用耦合到存储器的一个或多个处理器来实施，所述存储器存储代码或指令，所述代码或指令在由一个或多个处理器执行时导致装置执行本文中所述的方法和过程中的一个或多个。本文中所述的用于包含代码或代码部分的存储器、存储介质和计算机可读介质可以包括本领域中已知的或使用的任何适当介质，包括存储介质和通信介质，诸如但不限于在用于存储和/或发射信息(诸如，计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质，包括RAM、ROM、EEPROM、快闪存储器或其他存储器技术、CD-ROM、数字通用光盘(DVD)或其他光存储器、磁带盒、磁带、磁盘存储或其他磁存储装置、数据信号、数据发射或可以用来存储或发射期望信息并且可以由计算机访问的任何其他介质。

本文中所述的方法和过程本质上是示例性的，并且根据一些实施方案的方法和过程可以按与本文所述的次序不同的次序执行一个或多个步骤、包括没有具体描述的一个或多个额外步骤、省略一个或多个步骤、将一个或多个步骤组合成单个步骤、将一个或多个步骤分割成多个步骤，和/或其任何组合。

本申请中描述的任何软件组件或功能可以实现为使用任何适当计算机语言(比方说例如Java,C++或Perl)，使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为计算机可读介质(诸如随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬盘或软盘)或光介质(诸如CD-ROM))上的一系列指令或命令。任何这种计算机可读介质还可以驻存在单个运算装置上或驻存在单个运算装置内，并且可以位于系统或网络中的不同运算装置或在系统或网络中的不同运算装置上。

在不偏离本发明的范围下，任何实施方案的一个或多个特征可以与任何其他实施方案的一个或多个特征组合。

除非明确指示有相反的意思，“一个/种”、“该/所述”的叙述旨在表示“一个或多个”。