具体实施方式

本发明的一些实施例的目的是使用已并入一个或多个非接触式卡中的一个或多个密钥，如Osborn等人于2018年11月29日提交的美国专利申请16/205119所述，标题为“非接触式卡加密认证系统和方法”，其通过引用并入本文(以下称为‘119申请)。非接触式卡可用于执行认证和许多其他功能，这些功能可能要求用户除了非接触式卡之外还携带单独的物理令牌。非接触式卡可用于执行认证和许多其他功能，这些功能可能要求用户除了非接触式卡之外还携带单独的物理令牌。通过采用非接触式接口，非接触式卡可以具有在用户的设备(例如移动电话)和卡本身之间进行交互和通信的方法。例如，作为许多信用卡交易基础的EMV协议包括一个认证过程，该过程对于操作系统来说已经足够了，但是对于来说则是挑战，因为对近场通信(NFC)的使用限制更多，因为它只能以只读方式使用。与RFID不同，RFID可用于读取远距离运动中的设备。‘119申请中描述的非接触式卡的示例性实施例可以利用NFC技术。

公开了一种利用服务提供商的多因素认证特征和智能呼叫路由来提高客户呼叫中心的安全性和效率的系统和方法。客户支持请求的预认证降低了在呼叫处理期间盗用敏感客户数据的可能性。与客户端唯一相关联的非接触式卡可以提供第二认证因素，以减少恶意第三方冒充客户端的可能性。预认证的客户支持呼叫以智能高效的方式路由，从而减少恶意呼叫干扰和信息窃取的机会。

现在将参考附图来描述本发明的这些和其它特征，其中全文使用相同的附图标记来表示相同的元素。

如在本申请中所使用的，术语“系统”、“组件”和“单元”是指与计算机有关的实体，可以是硬件、硬件和软件的组合、软件或执行中的软件，其实例在此描述。例如，组件可以是但不限于在处理器上运行的进程、计算机处理器、硬盘驱动器、多个存储驱动器(光和/或磁存储介质的)、对象、可执行文件、执行线程、程序和/或计算机。举例来说，在服务器上运行的应用程序和服务器都可以是一个组件。一个或多个组件可以驻留在一个进程和/或执行线程中，并且组件可以在一台计算机上本地化和/或分布在两台或多台计算机之间。

此外，组件可以通过各种类型的通信媒体相互通信耦合，以协调操作。该协调可能涉及信息的单向或双向交换。例如，组件可以以通过通信媒体通信的信号形式传递信息。该信息可以作为分配给各种信号线的信号来实现。在这种分配中，每个信息都是一个信号。然而，进一步的实施例可以替代地采用数据信息。这种数据信息可以通过各种连接发送。示例性连接包括并行接口、串行接口和总线接口。

图1A示出了系统100，该系统100包括经由网络115耦合到服务提供商120的一个或多个客户端设备110。根据一个方面，客户端设备110包括启用网络的计算机，并且经由网络115和125与服务提供商120通信以访问服务提供商内容和服务。

如本文所述，启用网络的计算机可以包括但不限于：例如，计算机设备，或通信设备，包括例如服务器、网络设备、个人计算机(PC)、工作站、移动设备、电话、手持PC、个人数字助理(PDA)、瘦客户端设备、胖客户端设备、互联网浏览器，或其他设备。

因此，客户端设备110可以包括处理器和存储器，并且可以理解，处理电路可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，以必要地执行此处描述的功能。客户端设备110还可以包括显示和输入设备。显示器可以是用于呈现视觉信息的任何类型的设备，例如计算机显示器、平板显示器和移动设备屏幕，包括液晶显示器、发光二极管显示器、等离子面板和阴极射线管显示器。输入设备可以包括任何用于向用户设备输入信息的设备，这些设备是用户设备可以使用和支持的，如触摸屏、键盘、鼠标、光标控制设备、触屏、麦克风、数码相机、录像机或摄像机。这些设备可用于输入信息并与本文所述的软件和其他设备交互。

一个或多个客户端设备110还可以是例如移动设备，例如来自的iPhone、iPod、iPad或运行Apple的iOS操作系统的任何其他移动设备、运行Microsoft的移动操作系统的任何设备和/或任何其他智能手机或类似的可穿戴移动设备。

图1A的各种客户端设备110包括蜂窝电话142、膝上型计算机144、平板148和终端146。客户端设备110可以包括专门适于与服务提供商120通信的瘦客户端应用程序。瘦客户端应用程序可以存储在客户端设备的存储器中，并且当由客户端设备执行时可操作以控制客户端设备和服务提供商应用程序之间的接口，从而允许客户端设备处的用户访问服务提供商内容和服务。

在一些示例中，网络115可以是无线网络、有线网络或无线网络和有线网络的任何组合中的一个或多个，并且可以被配置为将客户端设备110连接到服务提供商120。例如，网络115可以包括以下中的一个或多个：光纤网络、无源光网络、电缆网络、因特网网络、卫星网络、无线局域网(LAN)、全球移动通信系统、个人通信服务、个人区域网络、无线应用协议，多媒体消息服务、增强消息服务、短消息服务、基于时分复用的系统、基于码分多址的系统、D-AMPS、Wi-Fi、固定无线数据、IEEE 802.11b、802.15.1、802.11n和802.11g、蓝牙、NFC、射频识别(RFID)、Wi-Fi等。

此外，网络115可包括但不限于电话线、光纤、IEEE以太网902.3、广域网(“WAN”)、无线个人区域网(“WPAN”)、局域网(“LAN”)或全球网络，例如因特网。此外，网络115可支持因特网网络、无线通信网络、蜂窝网络等或其任何组合。网络115还可以包括一个网络或任何数量的上述示例性类型的网络，作为独立网络运行或相互协作。网络115可以利用与其通信耦合的一个或多个网络元件的一个或多个协议。网络115可以转换成其他协议或从其他协议转换成网络设备的一个或多个协议。

应当理解，根据一个或多个示例，网络115可以是多个互连网络的一部分，例如因特网、服务提供商的专用网络125、有线电视网络、公司网络(例如信用卡协会网络)和家庭网络。另外，专用网络125可以实现为分层在网络115上的虚拟专用网络。

在一个实施例中，服务提供商120是通过网络115向客户端提供基于计算机的服务的企业。几乎所有的现代服务提供商都使用因特网为潜在消费者提供服务。服务产品通常以软件应用程序的形式提供，软件应用程序使用服务提供商的专用资源进行操作。向客户端提供特定服务的软件和硬件的组合在本文中被称为“服务器”。服务器可以通过服务提供商的专用网络125进行通信，该专用网络通常被称为公司或企业网络。专用网络125可包括无线网络、有线网络或无线网络和有线网络的任何组合，如上文关于网络115所述。

在图1A的系统中，服务提供商120被示出为包括应用服务器150、认证服务器160和客户关系管理(CRM)服务器140。尽管每个服务器被示为离散设备，但是可以理解的是，应用程序和服务器可以分布在整个企业中，或者在诸如“云”资源的分布式资源的情况下，分布在整个网络115中。应用服务器150可以支持由服务提供商120提供的一个或多个应用服务，例如帐户管理服务。CRM服务器140可用于向服务提供商120的客户端提供客户支持服务，包括从客户端到在工作站132、135处工作的一个或多个呼叫处理代理的来电的处理和转发。

数据库130包括数据存储资源，该数据存储资源可用于例如存储客户帐户、凭证和其他认证信息以供应用服务器150和认证服务器160使用。数据库130可以由耦合的数据资源组成，包括本地存储、分布式数据中心存储或基于云的存储的任何组合。

根据一个方面，非接触式卡105可以与一个或多个客户端设备110进行无线通信，例如近场通信(NFC)。例如，非接触式卡105可以包括一个或多个芯片，例如射频识别芯片，其被配置为经由NFC或其他短距离协议进行通信。在其他实施例中，非接触式卡105可以通过包括但不限于蓝牙、卫星和/或WiFi的其他方式与客户端设备110通信。如119应用中所述，当非接触式卡105在相应客户端设备的范围内时，非接触式卡105可被配置成通过NFC与读卡器终端146、蜂窝电话142、膝上型计算机144和/或平板电脑148之一进行通信。如下面将更详细地描述的，非接触式卡105可以包括密钥和计数器信息，所述密钥和计数器信息可以使用密码算法来转换以生成密码，所述密码可以由服务提供商用来认证客户端设备。

图1B是时序图，示出了根据本公开的一个或多个实施例的用于提供经认证的接入的示例性序列。系统100可以包括非接触式卡105和客户端设备110，客户端设备110可以包括应用程序122和处理器124。图1B可以参考如图1A所示的类似组件。

在步骤102，应用程序122与非接触式卡105通信(例如，在靠近非接触式卡105之后)。应用程序122和非接触式卡105之间的通信可以涉及非接触式卡105足够靠近客户端设备110的读卡器(未示出)，以实现应用程序122和非接触式卡105之间的NFC数据传输。

在步骤104，在客户端设备110和非接触式卡105之间建立通信之后，非接触式卡105生成消息认证码(MAC)密码。在一些实施例中，这可以在应用程序122读取非接触式卡105时发生。具体地，这可在读取(例如NFC读取)可根据NFC数据交换格式创建的近场数据交换(NDEF)标签时发生。例如，诸如应用程序122之类的阅读器可以发送消息，如小程序选择消息，带有NDEF生成小程序的小程序ID。在确认选择时，可以发送跟随有读取文件消息的选择文件消息序列。例如，该序列可以包括“选择功能文件”、“读取功能文件”和“选择NDEF文件”。此时，由非接触式卡105维护的计数器值可被更新或递增，其后可跟随“读取NDEF文件”。此时，可以生成消息，该消息可以包括报头和共享秘密。然后可以生成会话密钥。MAC密码可以从消息中创建，该消息可以包括报头和共享秘密。MAC密码然后可以与一个或多个随机数据块连接，并且MAC密码和随机数(RND)可以用会话密钥加密。此后，可以将密文和标头连接起来，并编码为ASCII十六进制并以NDEF消息格式返回(响应“读取NDEF文件”消息)。

在一些实施例中，MAC密码可以作为NDEF标签传输，并且在其他示例中，MAC密码可以与统一资源指示符(例如，作为格式化字符串)一起被包括。

在一些示例中，应用程序122可被配置为向非接触式卡105发送请求，该请求包括生成MAC密码的指令。

在步骤106，非接触式卡105将MAC密码发送到应用程序122。在一些示例中，MAC密码的传输经由NFC发生，然而，本发明不限于此。在其它示例中，该通信可经由蓝牙、Wi-Fi或其它无线数据通信方式发生。

在步骤108，应用程序122将MAC密码传送给处理器124。

在步骤112，处理器124根据来自应用程序122的指令验证MAC密码。例如，可以验证MAC密码，如下所述。

在一些示例中，验证MAC密码可以由客户端设备110以外的设备执行，例如与客户端设备110进行数据通信的服务提供商120(如图1A所示)。例如，处理器124可以输出MAC密码以传输给服务提供商120，服务提供商120可以验证MAC密码。

在一些示例中，MAC密码可以用作用于验证的数字签名。其他数字签名算法，例如公钥非对称算法，例如数字签名算法和RSA算法，或零知识协议，可用于执行该验证。

更具体地，根据一个方面，在将支持请求转发到CRM服务器140之前，非接触式卡105可与提供给应用服务提供商的第一认证凭证一起使用，以对客户支持请求进行预认证。以这种方式对客户支持请求进行预认证提供了双重优势；由于认证信息不会转发到CRM，因此避免了呼叫中心代理滥用此类信息的机会。此外，将非接触式卡用作第二认证因素使得特定设备/电话号码能够与特定个人(即卡的所有者)相关联，从而消除恶意第三方“欺骗”(即冒充)客户端的能力。根据另一方面，下面描述的预认证通信协议识别或使用用于呼叫处理的特定通信信道，从而减少客户端冒充的机会。

本文所描述的系统和方法的示例性实施例可以被配置为提供多因素安全认证，该认证可用于绕过CRM服务器40的认证，从而减少在呼叫处理期间敏感客户端信息被窃取的可能性。

安全因素认证可以包括多个过程。第一认证过程可以包括经由在设备上执行的一个或多个应用程序来登录和验证用户。第二认证过程可以在成功登录和验证之后操作，以使得用户参一个或多个与一个或多个非接触式卡相关联的行为。实际上，安全因素认证过程包括多因素认证过程，该多因素认证过程可以包括安全地证明用户的身份和鼓励用户参与与非接触式卡相关联的一种或多种行为，包括但不限于一种或多种轻触手势。在一些示例中，一个或多个轻触手势可以包括用户用非接触式卡轻触设备。在一些示例中，该设备可以包括移动设备、一体机、终端、平板电脑或配置为处理接收到的轻触手势的任何其他设备。

例如，为了提供第一层认证，客户端可以通过使用在客户端设备上执行的因特网浏览器应用程序链接到服务提供商网页来访问服务提供商的网站。浏览器是软件应用程序，例如Internet等，并且包括用于将服务提供商应用程序的超文本标记语言(HTML)网页翻译成适合操作客户端设备的客户端的格式的编程代码。作为访问服务提供商网站的一部分，服务提供商可请求第一授权信息，包括密码信息、对预存储查询的回答、生物特征信息、图像或其他验证客户端设备的用户是否有权访问内容和服务(包括帐户)的机制，由服务提供商管理。

服务提供商提供的某些高风险服务，如呼叫中心支持，可以受益于多因素认证。例如，服务提供商可以将第一级认证信息作为cookie存储在客户端的浏览器中，以在客户端登录期间加速认证过程。浏览器cookie以及相关的密码或其他数据容易被发现和滥用。因此，在允许用户访问或修改高度敏感的信息或个人信息(如在客户支持呼叫期间可能发生的那样)之前，重要的是验证用户是否具有访问权限。

根据一个方面，非接触式卡105可用于为客户端设备的用户提供第二认证。在一个实施例中，并且如下面更详细地描述的，非接触式卡包括密钥、计数器和可用于生成密码的密码处理功能，该密码可用于验证客户端设备的用户。计数器有利地反映了持卡人先前的行为。例如，计数器可以反映用户先前访问服务提供商的特定服务的次数，恶意第三方几乎不可能准确地获取这些信息。

当客户端寻求访问高风险服务时，在一些实施例中，该服务提供应用程序可提示用户使用非接触式卡105提供第二级认证，例如如上所述，通过轻触或其他方式将卡105通信地耦合到客户端设备110之一。

在第二认证之后，并且如下面将更详细地描述的，服务提供商将数据返回到客户端设备。数据可以包括允许客户端发起与CRM服务器140的通信链路的数据。这些数据可以包括联系信息，如CRM服务提供商应用程序的链接，或呼叫中心的电话号码。在一些实施例中，联系信息可以用CRM或呼叫中心的控制信息来扩充。例如，控制信息可以指示CRM或呼叫中心绕过通常在呼叫中心执行的任何认证或交互式语音响应(IVR)过程，以说明客户端已经通过服务提供商应用程序/非接触式卡多因素认证过程进行了预认证这一事实。

应当注意，尽管在上述描述中，第一认证被描述为使用个人信息、生物特征信息、问题或其他认证信息，但是在一些示例中，应当认识到，在设备上执行的客户端应用程序可以响应非接触式卡的轻触，以最初激活或启动该设备的应用程序。在这样的示例中，第一和第二认证过程都使用下面更详细描述的密钥/计数器非接触式卡认证过程。在一些实施例中，如果客户端应用程序未安装在客户端设备上，则靠近读卡器的非接触式卡的轻触可发起应用程序的下载(例如导航到应用程序的下载页)。在安装之后，非接触式卡的轻触可以激活或启动应用程序，然后例如通过应用程序或其他后端通信来启动非接触式卡的激活。在一些实施例中，一个或多个应用程序可被配置为确定它是通过非接触式卡101的一个或多个轻触手势启动的，使得启动发生在下午3:51，交易是在下午3:56处理或发生的，以验证用户的身份。

在一些示例中，可以在轻触行为时收集数据，作为生物特征/手势认证。例如，一个加密安全且不易被拦截的唯一标识符可被传输到一个或多个后端服务。唯一标识符可以被配置为查找关于个人的次要信息。次要信息可以包括关于用户的个人可识别信息。在一些实施例中，次要信息可以存储在非接触式卡中。

图2示出了一个或多个非接触式卡200，其可包括由显示在卡200的正面或背面的服务提供商205发行的支付卡，例如信用卡、借记卡或礼品卡。在一些实施例中，非接触式卡200与支付卡无关，并且可以包括但不限于身份证。在一些实施例中，支付卡可以包括双界面非接触式支付卡。非接触式卡200可以包括基板210，其可以包括单层，或者由塑料、金属和其他材料构成的一个或多个层压层。示例性基板材料包括聚氯乙烯、聚氯乙烯乙酸酯、丙烯腈丁二烯苯乙烯、聚碳酸酯、聚酯、阳极氧化钛、钯、金、碳、纸和可生物降解材料。在一些实施例中，非接触式卡200可以具有符合ISO/IEC 7810标准的ID-1格式的物理特性，并且非接触式卡可以另外符合ISO/IEC 14443标准。然而，可以理解的是，根据本公开的非接触式卡200可以具有不同的特性，并且本公开不要求在支付卡中实现非接触式卡。

非接触式卡200还可包括显示在卡正面和/或背面的识别信息212和接触垫220。接触垫220可以被配置为与另一个通信设备建立联系，例如用户设备、智能电话、笔记本电脑、台式计算机或平板电脑。非接触式卡200还可以包括处理电路、天线和图2中未示出的其他组件。这些组件可以位于接触垫220后面或基板210上的其他地方。非接触式卡200还可以包括磁条或磁带，其可以位于卡的背面(图2中未示出)。

如图3所示，接触垫220可以包括用于存储和处理信息的处理电路，包括微处理器330和存储器335。应当理解，处理电路可以包含附加组件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，以执行执行此处描述的功能。

存储器335可以是只读存储器、一次写入多次读取存储器或读/写存储器，例如RAM、ROM和EEPROM，并且非接触式卡300可以包括这些存储器中的一个或多个。只读存储器可以在工厂可编程为只读或一次性可编程的。一次性可编程性提供了一次写入然后多次读取的机会。可以在存储芯片出厂后的某个时间点对一次写入/多次读取的存储器进行编程。一旦存储器被编程，它可能不会被重写，但它可能被多次读取。读/写存储器在出厂后可以多次编程和重新编程。它也可以被多次读取。

存储器335可以被配置为存储一个或多个小应用程序340、一个或多个计数器345和客户信息350。一个或多个小应用程序340可以包括一个或多个软件应用程序，该软件应用程序被配置为在一个或多个非接触式卡上执行，例如Java Card小程序。然而，应当理解，小程序340不限于Card小程序，而是可以是可在非接触式卡或具有有限存储器的其他设备上操作的任何软件应用程序。一个或多个计数器345可以包括足以存储整数的数字计数器。客户信息350可以包括分配给非接触式卡200的用户的唯一字母数字标识符，并且一个或多个一起的密钥可以将非接触式卡的用户与其他非接触式卡用户区分开来。在一些实施例中，客户信息350可以包括识别客户和分配给该客户的帐户的信息，并且可以进一步识别与客户的帐户相关联的非接触式卡。

参考接触垫来描述前述示例性实施例的处理器和存储器元件，但是本发明不限于此。应当理解，这些元件可以在接触垫220的外部实现或与其完全分离，或者作为除了位于接触垫220内的微处理器330和存储器335元件之外的另外的元件。

在一些实施例中，非接触式卡200可以包括一个或多个天线(未示出)。一个或多个天线可以放置在非接触式卡200内和接触垫220的处理电路周围。例如，一个或多个天线可以与处理电路集成在一起，并且一个或多个天线可以与外部升压线圈一起使用。作为另一示例，一个或多个天线可以在接触垫220和处理电路的外部。

如上所述，非接触式卡200可以建立在可在智能卡或其他包括程序代码、处理功能和存储器的设备上操作的软件平台上，如JavaCard。小程序可被添加到非接触式卡中，以便在各种基于移动应用的用例中为多因素认证(MFA)生成一次性密码(OTP)。小程序可被配置为响应来自读卡器(例如移动近场通信(NFC)读卡器)的一个或多个请求，例如近场数据交换(NDEF)请求并产生NDEF消息，该消息包括编码为NDEF文本标签的加密安全OTP。因此，非接触式卡的功能适于提供唯一的一次性密码作为上述近场数据交换通信的一部分。

图4图示了根据示例实施例的示例性NDEF短记录布局(SR＝1)400。NDEF消息为客户端设备110提供与非接触式卡105通信的标准化方法。在一些实施例中，NDEF消息可包括一个或多个记录。NDEF记录400包括报头402，报头402包括定义如何解释记录的其余部分的多个标志，包括消息开始(MB)标志403a、消息结束(ME)标志403b、块标志(CF)403c、短记录(SR)标志403d、ID长度(IL)标志403e和类型名称格式(TNF)字段403f。MB 403a和ME标志403b可被设置为指示消息的相应第一记录和最后记录。CF 403c和IL标志403e提供关于记录的信息，分别包括数据是否是“分块的”(数据分布在消息内的多个记录中)或ID型长度字段408是否相关。当消息仅包括一条记录时，可以设置SR标志403d。

TNF字段403f标识由NFC协议定义的字段包含的内容的类型。这些类型包括空的、众所周知的(由NFC论坛的记录类型定义(RTD)定义的数据)、多用途因特网邮件扩展(MIME)[由RFC 2046定义]、绝对统一资源标识符(URI)[由RFC 3986定义]、外部的(用户定义的)、未知的、未更改的[对于块]和保留的。

NFC记录的其他字段包括类型长度404、有效载荷长度406、ID长度408、类型410、ID412和有效载荷414。包含有效载荷类型的长度，以字节为单位。类型长度字段404指定在有效载荷中找到的数据的精确类型。有效载荷长度406包含有效载荷的长度，以字节为单位。一条记录最多可以包含4294967295字节(或2^32-1字节)的数据。ID长度408包含ID字段的长度，以字节为单位。类型410确定有效载荷包含的数据的类型。ID字段412为外部应用程序提供了识别NDEF记录中携带的整个有效载荷的方法。有效载荷414包括消息。

在一些示例中，通过在安全信道协议下实现存储数据(E2)，数据可以最初存储在非接触式卡中。该数据可以包括卡特有的个人用户ID(pUID)，以及初始密钥、包括会话密钥的加密处理数据、数据加密密钥、随机数和将在下面更详细地描述的其他值中的一个或多个。这些值可用于生成消息认证码(MAC)，该消息认证码可用于在客户服务处理之前对客户端进行预认证。

在初始化期间可与非接触式卡105和认证服务器160交换以填充非接触式卡以支持根据本发明的一些方面的安全认证的示例性信息示于下表I中。

表1：

初始化之后，非接触式卡和认证服务器都存储用于唯一标识持卡人的信息。这些特征可根据一个方面用于认证客户端对高风险服务的访问，如下所述。

图5示出了一种通信系统，其中非接触式卡510可以存储诸如表1中包括的信息，该信息可以用于在将用户与服务提供商的高风险服务连接之前对用户进行认证。在一个方面，“高风险服务”是一种可以从多因素认证过程中受益的服务，因为该服务有机会暴露敏感的客户或其他信息。如关于图3所述，每个非接触式卡可以包括存储器516，用于存储包括一个或多个唯一标识属性(例如标识符、密钥、随机数等)的客户信息518。在一个方面中，存储器还包括认证小程序517，当由微处理器512执行时可操作，用于控制本文所述的认证过程。另外，每个卡510可以包括一个或多个应用交易计数器(ATC)514和接口515。如上所述，在一个实施例中，接口操作NFC或其它通信协议。

客户端设备520还包括用于与非接触式卡通信的卡接口525，以及允许设备520使用如上所述的各种通信协议与服务提供商通信的一个或多个其他网络接口(未示出)。客户端设备还可以包括用户界面526，其可以包括键盘或触摸屏显示器中的一个或多个，从而允许服务提供商应用程序和客户端设备520的用户之间的通信。客户端设备520还包括存储器522，该存储器存储控制客户端设备520的操作的信息和程序代码，包括例如客户端应用程序523，该应用程序可以由服务提供商提供给客户端以便于访问和使用服务提供商应用程序。在一个实施例中，客户端应用程序523包括程序代码，该程序代码被配置为将认证信息从非接触式卡510传送到由服务提供商提供的一个或多个服务。客户端应用程序523可以通过在用户界面526上显示的服务提供商(SP)应用程序界面527处收到的输入来控制。例如，用户可以选择作为SP应用接口527的一部分提供的图标、链接或其他机制来启动客户端应用以访问SP应用服务。

如关于图1A所述，客户端设备520可以连接到由服务提供商505提供的各种服务，包括客户关系管理器(CRM)服务器540和认证服务器550。在一个实施例中，CRM服务器540管理接收到的支持呼叫的路由，并将接收到的呼叫转移到呼叫处理管道542。认证服务器550包括客户端信息表552，该客户端信息表552用于存储诸如用于服务提供商的客户端的表1所示的信息。认证单元554包括用于使用来自表556的信息为客户端执行各种认证处理的硬件和软件。在一个实施例中，认证服务器还可以包括客户端计数器值表556，其可以如下所述用于结合非接触式卡510执行认证。

图6示出了可由非接触式卡601、客户端设备611和服务提供商621的认证服务执行的各种步骤，其被配置为使用密钥多样化技术作为用于预认证客户端的多因素认证协议的一部分。例如，能够访问客户端设备611的非接触式卡601的持卡人可以从服务提供商621处寻求认证，以便能够访问服务，包括寻求多因素认证以访问高风险服务，如呼叫中心支持。

在步骤610，客户端611首先通过与服务提供商交换登录凭证来访问由服务提供商621维护的客户端帐户，其中在一个实施例中，登录凭证可以包括但不限于密码、密钥、生物特征数据、图像数据、查询/响应交换等。在一个实施例中，客户端可以通过经由SP应用接口527启动客户端应用来发起该访问。启动该应用可以包括显示服务提供商的网页，该网页被配置为接受来自用户的第一凭证信息。

在一些实施例中，可以使用下面描述的用于第二级认证的密码交换过程来执行第一级认证。服务提供商应用程序可以通过将非接触式卡601轻触客户端设备611来启动，发起密码交换。

服务提供商在步骤620接收凭证并将这些凭证与由授权服务器维护的客户端的凭证进行比较。如果在步骤622登录凭证不匹配，则服务提供商进行到步骤631以使用其他方法进行客户端设备的认证。如果在步骤622确定存在匹配，则客户端被认证，并且服务提供商与由客户端设备611维护的客户端应用程序协调，以向客户端显示服务提供商网页以允许访问一个或多个服务。

在步骤614，客户端设备请求访问高风险应用程序，例如客户服务应用程序。客户端可以请求访问，例如，通过选择服务提供商网站上提供的多个超链接中的一个来引导客户访问所选服务。例如，超链接可以包括服务的登录页面的网址。或者，超链接可以包括客户支持系统的电话号码。

在步骤624收到客户服务请求，服务提供商确定所选服务是将受益于第二级认证的高风险服务。例如，在使用非接触式卡提供第二因素认证的实施例中，服务提供商可提示客户端设备使用非接触式卡，以检索用于验证目的的密码。提示可以是向客户指示他们应该使用非接触式卡的任何方式，包括文本提示、视觉提示、声音提示和其他可用的指示机制。

客户端设备611在步骤616接收该请求并使用非接触式卡。在一个方面，客户端设备使用如上所述的NFC通信信道与非接触式卡交换消息。非接触式卡通过对称密钥、对称密码处理和计数器的组合协作以提供第二因素认证。

在步骤602，非接触式卡接收认证请求。在步骤604，非接触式卡内的处理组件递增应用服务交易(AST)计数器，并使用存储在非接触式卡中的主密钥，使用对称密码算法对计数器进行编码以产生多样化密钥。密码算法可以从包括对称加密算法、HMAC算法和CMAC算法中的至少一个的组中选择。在一些示例中，用于处理多样化值的对称算法可以包括根据需要用于生成期望长度的多样化对称密钥的任何对称密码算法。对称算法的非限制性示例可包括对称加密算法，例如3DES(三重数据加密算法)或高级加密标准(AES)128；基于对称哈希的消息认证(HMAC)算法，如HMAC-SHA-256；以及基于对称密码的消息认证码(CMAC)算法，如AES-CMAC。应当理解，如果所选择的对称算法的输出没有生成足够长的密钥，诸如使用不同的输入数据和相同的主密钥处理对称算法的多次迭代等技术可能会产生多个输出，这些输出可以根据需要进行组合以产生足够长的密钥。

非接触式卡的处理组件可以采用选定的加密算法，并使用主对称密钥处理计数器值。例如，非接触式卡601可以选择对称加密算法并使用计数器，该计数器随着非接触式卡处理的每一笔认证交易而递增。非接触式卡601然后可以使用所选择的对称加密算法使用主对称密钥来加密计数器值，以生成多样化的对称密钥。

在一个方面，多样化对称密钥可用于在传输之前处理计数器以用于授权目的。例如，非接触式卡601可以使用对称加密算法和多样化对称密钥来加密计数器值，输出包括加密的MAC密码。非接触式卡601然后可以将密码发送到服务提供商621以进行认证。

在一个实施例中，用于包括密码的认证消息的模板可以包括第一记录，具有用于提供实际动态认证数据的公知索引。下面的表II是可以在客户端设备611和非接触式卡601之间交换的认证消息的一个示例。

表II：

在一个示例中，如果要添加额外的标记，则第一字节可以改变以指示消息开始，而不是结束，并且可以添加后续记录。由于ID长度为零，因此记录中省略了ID长度字段和ID。下面表III中所示的示例消息可包括：UDK AUT密钥；派生的AUT会话密钥(使用0x1234)；版本1.0；pATC＝0x1234；RND＝76a6627b67a8cfbb；MAC＝<8个计算字节>。第一列可以包括进入NDEF消息数据的地址/索引。

表III：

在步骤618，客户端设备611接收密码并将其转发到服务提供商621。在步骤626，在服务提供商在步骤624请求第二因素认证之后，在一个实施例中，服务提供商621的认证服务器检索与使用客户端设备的客户端的帐户相关联的非接触式卡的持卡人相关联的客户端信息。客户端信息可以包括客户端的主密钥和非接触式卡的应用服务交易的计数器。服务提供商621使用主密钥和密码算法对检索到的计数器值进行编码，该密码算法与非接触式卡使用的密码算法相匹配，以产生多样化密钥的服务提供商副本。

在步骤628，服务提供商使用多样化密钥来解密密码，以暴露由非接触式卡转发的计数器值。在步骤629，服务提供商将暴露的计数器与服务提供商检索的计数器进行比较，这提供了用户的第二认证。如果不存在匹配，则客户端不被授予对服务的访问权，并且在步骤631，服务提供商621可寻求使用其他方法来认证用户。如果在步骤629存在匹配，则服务提供商在630启动与CRM服务器的呼叫处理。在一个方面，如将参照图7和图8描述的，服务提供商可以生成一个或多个消息，用于控制CRM或客户端设备中的一个以利用服务提供商已经执行的预认证。

下次使用非接触式卡进行认证时，可以选择不同的计数器值来产生不同的多样化对称密钥，从而使监控通信的恶意方难以解密通信。服务提供商和非接触式卡都根据双方商定的预先确定的递增模式递增计数器。例如，计数器可以按1递增，或按某种模式递增，例如，第一笔交易按1递增，第二笔按2递增，第三笔按3递增，或每笔按5递增。由于非接触式卡和服务提供商使用公共计数器、公共增量模式、公共主密钥和公共密码算法，即使多样化密钥在每次交易中都会改变，但发送设备和接收设备都会有相同的密钥。

如上所述，在一些示例中，密钥的多样化值可以使用计数器值来实现。密钥多样化值的其他非限制性示例包括：每次需要新的多样化密钥时生成的随机nonce；从发送设备和接收设备发送的计数器值的全值；从发送设备和接收设备发送的计数器值的一部分；由发送设备和接收设备独立维护但不在两者之间发送的计数器；在发送设备和接收设备之间交换的一次性密码；以及计数器的加密散列。在119申请中描述的一些示例中，各方可以使用密钥多样化值的一个或多个部分来创建多个多样化密钥。例如，计数器可用作密钥多样化值。

在另一示例中，计数器的一部分可用作密钥多样化值。如果在各方之间共享多个主密钥值，则可以通过本文描述的系统和过程来获得多个多样化密钥值。可以根据需要经常创建新的多样化值，从而创建新的多样化对称密钥。在最安全的情况下，可以为发送设备和接收设备之间的敏感数据的每次交换创建新的多样化值。实际上，这可能会创建一个一次性使用密钥，例如单个会话密钥。

在‘119申请中描述了替代有关图6描述的各种其他对称加密/解密技术，并通过引用并入本文。

图7和图8各自示出了可在寻求访问呼叫中心服务的客户端的多因素认证之后执行的示例性交易流程。在一个实施例中，存储在非接触式卡上的客户端信息可以包括特定于客户端的呼叫中心信息。例如，呼叫中心信息可以包括号码。该号码可以包括IP地址、电话号码或其他联系地址、随机数或IP地址、电话号码或其他联系地址或随机数的任何部分或组合。图7示出了呼叫路由过程700的组件之间可能发生的示例性消息传递，该呼叫路由过程使用来自非接触式卡701的呼叫中心信息来定义客户端设备702和客户服务代理705之间的通信链路。

在图6所示的多因素预认证过程之后，服务提供商的应用服务器703用客户服务网络内容710填充客户端接口。网络内容可以包括联系信息，该联系信息包括URL、电话号码或用于与CRM服务器通信的其他联系地址。当选择链路时，在客户端设备和CRM服务器之间生成通信链路。根据一个实施例，客户服务网络内容包括提示711，请求与非接触式卡701的连接。

非接触式卡701在接收到提示时，将存储的预认证号码712转发到客户端设备，客户端设备使其可用于应用服务器703。在一个实施例中，存储的预认证号码712包括与客户端设备的预认证相关联的唯一号码。当生成通信链路时，可以将预认证号码的至少一部分附加到联系信息。例如，网络内容710可以包括到客户服务电话号码1-800-123-4567的链接。非接触式卡可以提供预认证号码7777，客户端设备将该号码附加在电话号码之后。客户端设备通过蜂窝网络向-800-123-4567、、、、7777发起呼叫715。在714，应用服务器用非接触式卡的附加号码向CRM提醒来电。CRM监视那些具有预认证号码的来电，并在客户服务代理管道中拨打716时绕过认证。

尽管图7的过程包括存储在非接触式卡上的预认证号码，但是在一些实施例中，客户端设备可以被配置为生成用于附加到呼叫的预认证号码。预认证号码可以响应于与非接触式卡的通信而生成，例如在如图6所述的与非接触式卡的密码交换之后。在一些实施例中，预认证号码可以针对每个客户支持请求而改变。这样的安排确保客户支持呼叫不被恶意方重定向，因为冒充者客户端设备将不具有预认证号码，并且因此在CRM服务器上不会绕过认证。

在其他实施例中，如图8所示，为了进一步保护呼叫处理免受恶意干扰，呼叫处理由客户服务代理发起。在使用图6的过程进行预认证之后，向客户端设备提供客户支持网络内容810。在一个实施例中，内容包括提示811，以鼓励客户端设备的重新授权。非接触式卡812生成如上所述的密码，该密码经由客户端设备702转发到授权服务器703以进行验证。一旦授权服务器验证密码，授权服务器便指示CRM服务器在步骤815绕过呼叫的授权，并且在步骤814，指示CRM经由后端服务器开始呼叫客户端设备电话号码、IP地址等。在816，CRM发起呼叫。

在一些实施例中，重新认证的步骤可以在客户服务代理705发起呼叫之后发生，以确保呼叫没有在先前的认证和呼叫处理之间被重定向。当在先前的认证和呼叫处理之间存在延迟(例如，客户服务队列中的长时间等待或预定的回呼)时，这样的实施例可能是有益的。

图9示出了CRM服务900的一个实施例的几个示例性组件。CRM服务900示出为包括认证逻辑906和代理分配单元910。来电901被转发到预认证过滤器902。预认证过滤器902可以如上所述存储从授权服务器接收的预认证号码。未经预认证的来电被转发到认证队列904。认证逻辑从队列904检索来电，并与认证服务器(未示出)协作以使用上述认证方法的任何组合来验证客户端。一旦认证，呼叫就被转发到队列908。

确定为经过预认证的来电直接从预认证过滤器902转发到队列908。有利地，为了最小化恶意干扰的可能性，一旦以这种方式绕过具有存储的预认证号码的呼叫，则从预认证过滤器902删除预认证号码。

因此，队列908存储经认证的呼叫，这些呼叫被指派给代理920、922、924，以便由代理指派单元910根据资源负载来处理。通过这样的安排，预认证的呼叫可以在客户呼叫中心智能地路由，以最小化处理延迟。

因此，描述了一种利用服务提供商的多因素认证特性和智能呼叫路由来提高客户呼叫中心的安全性和效率的系统和方法。一些实施例可以使用表述“一个实施例”或“实施例”连同它们的派生词来描述。这些术语意味着结合该实施方式描述的特定特征，结构或特性包括在本公开的至少一个实施方式中。贯穿本说明书在各个地方出现的短语“在一个实施方式中”不一定都指的是同一实施方式。此外，除非另有说明，否则上述特征被认为可以以任何组合一起使用。因此，单独讨论的任何特征都可以相互组合使用，除非注意到这些特征彼此不兼容。

一般参考这里使用的符号和命名法，这里的详细描述可以根据可以实现为在计算机或计算机网络上执行的程序过程的功能块或单元来呈现。本领域技术人员使用这些过程描述和表示来最有效地将他们工作的实质传达给本领域技术人员。

程序在这里并且通常被认为是导致期望结果的自洽操作序列。这些操作是需要物理量的物理操作。通常，虽然不是必须的，但是这些量的形式是能够被存储，传输，组合，比较和以其它方式操纵的电，磁或光信号。主要出于常用的原因，将这些信号称为比特、值、元素、符号、字符、术语、数字等有时被证明是方便的。然而，应当注意的是，所有这些和类似的术语都与适当的物理量相关联，并且仅仅是应用于这些量的方便标签。

此外，所执行的操作通常以术语来指代，例如添加或比较，这些术语通常与由人类操作者执行的心理操作相关联。在本文所描述的构成一个或多个实施例的一部分的任何操作中，人类操作者的这种能力不是必需的，或者在大多数情况下是可取的。相反，这些操作是机器操作。用于执行各种实施例的操作的有用机器包括通用数字计算机或类似设备。

一些实施例可以使用表述“耦合”和“连接”连同它们的派生词来描述。这些术语不一定是彼此的同义词。例如，可以使用术语“连接”和/或“耦合”来描述一些实施例，以指示两个或更多个元件彼此直接物理或电接触。然而，术语“耦合”也可能意味着两个或多个元件彼此不直接接触，但仍然相互合作或相互作用。

各种实施例还涉及用于执行这些操作的装置或系统。该装置可以为所需目的而专门构造，或者其可以包括由存储在计算机中的计算机程序选择性地激活或重新配置的通用计算机。此处介绍的过程与特定计算机或其他设备没有本质上的关系。各种通用机器可以与根据这里的教导编写的程序一起使用，或者构造更专门的设备来执行所需的方法步骤可以证明是方便的。各种这些机器所需的结构将从给出的描述中显现出来。

需要强调的是，提供本公开的摘要是为了让读者能够快速确定技术公开的性质。它是在理解不会被用来解释或限制权利要求的范围或含义的情况下提交的。此外，在前述详细描述中，各种特征被组合在单个实施例中以简化本公开。这种披露方法不应被解释为反映出一种意图，即所要求的实施例需要比每项权利要求中明确叙述的更多的特征。相反，如以下权利要求所反映的，发明主题在于少于单个公开实施例的所有特征。因此，以下权利要求特此并入详细说明中，每个权利要求独立作为单独的实施例。在所附权利要求中，术语“包括”(including)和“其中”(in which)分别用作相应术语“包括”(comprising)和“其中”(wherein)的简单英语等价物。此外，术语“第一”、“第二”、“第三”等仅用作标签，并不旨在对其对象强加数字要求。

上面已经描述的包括所公开架构的示例。当然，不可能描述组件和/或方法的每一种可能的组合，但是本领域的普通技术人员可以认识到许多进一步的组合和排列是可能的。因此，新颖的架构旨在包含所有这些落入所附权利要求的精神和范围内的改变、修改和变化。