CN116648711A

CN116648711A - 非接触式卡的基于web的激活

Info

Publication number: CN116648711A
Application number: CN202180087514.3A
Authority: CN
Inventors: 杰弗里·鲁尔; 韦恩·卢茨
Original assignee: Capital One Services LLC
Current assignee: Capital One Services LLC
Priority date: 2020-11-03
Filing date: 2021-10-18
Publication date: 2023-08-25
Also published as: WO2022098494A1; US20220284416A1; CA3197109A1; US20240177140A1; US20220284417A1; US11880823B2; US20220138726A1; MX2023004894A; US11373169B2; JP2023548369A; US20240095716A1; EP4241221A1; US11875338B2; AU2021373566A1; KR20230098815A

Abstract

公开了***、方法、制品和计算机可读介质。计算设备可以从处于未激活的支付状态的非接触式卡无线地接收用于资源的网络地址。在该计算设备上执行的web浏览器可以访问网络地址处的资源。该web浏览器中的资源可以操作计算设备的卡读取器以从非接触式卡接收密码。该web浏览器中的资源可以向服务器传送密码。该web浏览器中的资源可以从服务器接收指定非接触式卡已经从非激活的支付状态转换到激活的支付状态的响应。

Description

非接触式卡的基于WEB的激活

相关申请

本申请要求2020年11月3日提交的题为“WEB-BASED ACTIVATION OF CONTACTLESSCARDS(非接触式卡的基于WEB的激活)”的美国专利申请序列号17/088,399的优先权。前述申请的内容通过引用整体纳入本文。

技术领域

本文中公开的实施例总体上涉及计算平台，并且更具体地涉及用于非接触式卡的安全的基于web的激活的计算平台。

背景技术

支付卡时常以未激活(或不活动)的支付状态邮寄给客户，使得该支付卡不能用于处理支付(和/或执行一些其他操作)直到被激活为止。常规的激活解决方案包括要求客户使用电话呼叫、专用应用和其他技术以激活非接触式卡。然而，这些常规的解决方案可能会导致安全漏洞、用户错误或其他负面后果。此外，要求专用应用(例如，由支付卡的发行方提供的应用)并不随着卡和客户数量的增长而充分地扩展。

发明内容

本文中公开的实施例提供了用于非接触式卡的安全的基于web的激活的***、方法、制品和计算机可读介质。在一个示例中，计算设备可以从处于未激活的支付状态的非接触式卡接收用于资源的网络地址。在该计算设备上执行的web浏览器可以访问网络地址处的资源。该web浏览器中的资源可以操作计算设备的卡读取器以从非接触式卡接收密码。该web浏览器中的资源可以向服务器传送密码。该web浏览器中的资源可以从服务器接收响应，该响应指定非接触式卡已经从未激活的支付状态转换到激活的支付状态。

附图说明

图1A-图1D示出了***的实施例。

图2A-图2D示出了***的实施例。

图3A-图3B示出了示例非接触式卡。

图4示出了根据一个实施例的数据结构。

图5示出了第一逻辑流程。

图6示出了第二逻辑流程。

图7示出了第三逻辑流程。

图8示出了根据一个实施例的计算机架构。

具体实施方式

本文中公开的实施例提供了用于使用计算设备上的web浏览器的支付卡的安全激活的技术。该计算设备可能没有安装促进对支付卡的激活的专用应用。例如，银行或其他金融机构可以提供可用于激活支付卡的专用应用。然而，用户可能没有在他们的任何计算设备上安装这样的应用。然而，有利地，本文中公开的实施例可以利用web浏览器中的web页面，以经由近场通信(near-field communications，NFC)安全地读取来自非接触式卡的数据。如本文中更详细地描述，经由NFC读取的数据可用于激活支付卡。

在一个实施例中，用户可以接收处于未激活的支付状态的非接触式卡，使得该卡必须被激活才能用于处理支付。用户可以将卡轻拍到计算设备。这样做使得该卡生成指向服务器的网络地址，诸如统一资源定位符(uniform resource locator，URL)。该URL通常可以指向与服务器相关联的一个或多个卡激活web页面。计算设备的操作***可以响应于接收到URL而启动web浏览器。该web浏览器在被启动时可以访问从非接触式卡接收到的URL。

web浏览器可以接收并呈现URL处的web页面。web页面可以包括用于例如经由NFC与非接触式卡通信的功能。web页面可以指示用户将非接触式卡轻拍到设备。作为响应，用户可以将非接触式卡轻拍到设备，并且web页面和/或web浏览器可以操作设备的卡读取器。这样做可以使得或指示非接触式卡生成密码，该密码可以被包括作为数据包的一部分，诸如NFC论坛数据交换格式(NFC Forum Data Exchange Format，NDEF)文件。数据包还可以包括未加密的客户标识符(identifier，ID)或任何其他唯一标识符。web页面和/或web浏览器可以经由NFC读取数据包并向服务器传送数据包进行解密。服务器可以尝试使用接收到的数据包来解密密码。如果服务器能够解密密码，则服务器可以激活非接触式卡，例如，通过更新数据库记录以反映出该卡已经从未激活的支付状态转换到激活的支付状态。然后，服务器可以向web浏览器发送响应，反映出该卡已被激活并且可用于处理支付(和/或执行其他操作)。

有利地，本文中公开的实施例提供了安全地激活支付卡的技术。通过利用由非接触式卡生成的密码，本公开的实施例可以用最小的欺诈活动风险安全地验证请求激活的用户的身份。此外，通过使用web浏览器，不需要专用的客户端应用来激活该卡和/或参与与非接触式卡的数据通信。使用web浏览器可以在不需要专用应用的情况下，有利地将本文中描述的功能扩展到不同的实体和任意数量的用户。此外，通过提供简化的激活过程，更多的激活请求可以由服务器处理，从而提高***性能。

总体参照本文中使用的符号和命名，以下详细描述的一个或多个部分可以在计算机或计算机网络上执行的程序过程方面呈现。这些过程性描述和表示由本领域技术人员使用以将他们工作的实质最有效地传达给本领域其他技术人员。这里的过程总体上被构思为导致所需结果的自洽序列的操作。这些操作是那些需要对物理量进行物理操控的操作。通常，虽然不是必须的，但是这些物理量采取能够进行存储、传输、组合、比较和以其他方式操控的电、磁或光信号的形式。主要是出于习惯用语的原因，有时将这些信号称作比特、值、元素、符号、字符、项、数字等经证明是方便的。然而，应该注意，所有的这些和相似术语都要与适当的物理量相关联，并且仅仅是应用于那些量的方便标记。

此外，这些操控时常以诸如添加或比较的术语指代，这通常与人工操作员执行的脑力操作相关联。然而，在构成一个或多个示例的一部分的本文所描述的任何操作中，人类操作员的这种能力不是必需的，或者在大多数情况下是不可取的。相反，这些操作是机器操作。用于执行各种实施例的操作的有用机器包括由存储在其中的计算机程序选择性地激活或配置的数字计算机，该计算机程序根据本文的教导来编写，和/或包括为所需目的而特别构造的装置或数字计算机。各种实施例还涉及用于执行这些操作的装置或***。这些装置可以为期望的目的而特别构造。从给出的描述中，各种这些机器期望的结构将是显而易见的。

现在参照附图，其中相同的附图标记始终用于指代相同的元件。在下面的描述中，出于解释的目的，阐述了许多具体细节以便提供对其的透彻理解。然而，明显的是，可以在没有这些具体细节的情况下实践新颖的实施例。在其他实例中，以框图形式显示了公知的结构和设备以便促进对其进行描述。旨在覆盖权利要求范围内的所有修改、等同物和替代物。

图1A描绘了与所公开的实施例一致的示例性***100。虽然图1A-图1D所示的***100在特定拓扑结构中具有有限数量的元件，但可以理解的是，按照给定的实施方式所需，***100可以在替代拓扑结构中包括更多或更少的元件。

如图所示，***100包括一个或多个非接触式卡101、一个或多个计算设备110以及一个或多个服务器120。非接触式卡101代表任何类型的支付卡，诸如***、借记卡、ATM卡、礼品卡等。非接触式卡101可以包括一个或多个通信接口109，诸如射频识别(radiofrequency identification，RFID)芯片，其被配置为经由NFC、EMV标准或无线通信中的其他短程协议与计算设备110的通信接口118(本文中也被称为“卡读取器(card reader)”、“无线卡读取器(wireless card reader)”和/或“无线通信接口(wirelesscommunications interface)”)通信。虽然NFC在本文中被用作示例通信协议，但是本公开同样适用于其他类型的无线通信，诸如EMV标准、蓝牙和/或Wi-Fi。

计算设备110代表任何数量和类型的计算设备，诸如智能手机、平板计算机、可穿戴设备、膝上型电脑、便携式游戏设备、虚拟化计算***、商家终端、销售点***、服务器、桌上型计算机等。服务器120代表任何类型的计算设备，诸如服务器、工作站、计算集群、云计算平台、虚拟化计算***等。虽然出于清楚起见没有描绘，但是计算设备110、非接触式卡101和服务器120各自包括一个或多个处理器电路以执行程序、代码和/或指令。

如图所示，非接触式卡101的存储器102包括小应用程序103、计数器104、主密钥105、多样化密钥106以及唯一客户标识符(ID)107。小应用程序103是被配置为执行本文中描述的操作的可执行代码。计数器104、主密钥105、多样化密钥106以及客户ID 107被用于在***100中提供安全性，如下面更详细地描述。

如图所示，移动设备110的存储器111包括操作***(operating system，OS)112的实例。示例操作***112包括和/>操作***。如图所示，OS 112包括web浏览器115。该web浏览器115是允许设备110经由网络130(例如，经由互联网)访问信息的应用。

如图所示，服务器120的存储器122包括认证应用123和web服务器127。虽然被描绘为服务器120的单独部件，但是在一些实施例中，认证应用123和web服务器127可以被集成到单个部件中，例如，包括本文中描述的所有相关联功能的单个应用。类似地，虽然被描绘为服务器120的一部分，但是在一些实施例中，认证应用123和web服务器127可以在单独的服务器中实施。此外，认证应用123和/或web服务器127可以在硬件、软件、和/或硬件与软件的组合中实施。

如本文中更详细地描述，认证应用123被配置为：在不需要设备110包括专用应用以激活非接触式卡以进行处理支付(和/或其他类型操作)的情况下，经由web浏览器115促进一个或多个非接触式卡101的激活。web服务器127通常被配置为：处理用于来自web浏览器115的web页面134的客户端请求。在至少一个实施例中，web服务器127和浏览器115经由超文本传输协议(hypertext transfer protocol，HTTP)进行通信。

如上所述，给定的非接触式卡101可以在未激活的支付状态下被邮寄给客户，这通常意味着客户必须激活卡101以处理支付(例如，通过在销售点(point of sale，POS)设备处使用卡101支付购买，使用卡101支付在线购买等)。然而，为了维护非接触式卡101和/或账户数据124中的相关联账户的安全性，***100可以实施不同的技术以使用web浏览器115安全地激活非接触式卡101。

在图1A所描绘的实施例中，用户可以将非接触式卡101轻拍到设备110(或者以其他方式将非接触式卡101带入设备110的卡读取器118的通信范围内)。然后，非接触式卡101的小应用程序103可以生成URL 108-1，该URL 108-1指向资源，诸如服务器120、一个或多个卡激活web页面134等。更一般地，URL 108(以及本文中公开的任何其他URL)可以指向服务器120的任何部件和/或与服务器120相关联的任何资源。在一些实施例中，小应用程序103根据一个或多个规则构建URL 108。在一些实施例中，非接触式卡101存储多个URL 108，并且小应用程序103基于一个或多个规则从多个URL 108中选择URL 108-1。在一些实施例中，小应用程序103可以通过选择多个URL 108中的一个并添加动态数据作为URL的一个或多个参数来生成URL 108-1。

一般地，web页面134可以包括超文本标记语言(hypertext markup language，HTML)页面、页面和/或可由web浏览器115呈现的任何其他类型的页面。在一些实施例中，web页面134和/或URL 108可以指向认证应用123。在一些实施例中，web页面134可以提供界面以使用web浏览器115中的web页面134激活非接触式卡101。此外，在一些实施例中，web页面134可以指向由认证应用123揭示的基于web的前端。

一旦被生成，OS 112可以读取URL 108-1。OS 112可以处于任何状态，诸如在OS112的主屏幕上，显示一个或多个其他应用和/或显示web浏览器115。无论OS 112的状态如何，读取URL 108-1都使得OS 112启动web浏览器115和/或将web浏览器115带到OS 112的前台。

图1B描绘了其中OS 112启动web浏览器115并将URL 108作为参数提供给web浏览器115的实施例。这样做使得web浏览器115生成指定URL 108的请求133。该请求133可以是向web服务器127传送的HTTP请求。作为响应，服务器120的web服务器127可以向web浏览器115传送web页面134-1，该web服务器115可以加载、呈现或以其他方式访问web页面134-1。

图1C描绘了其中web浏览器115已经加载了web页面134-1的实施例。有利地，web页面134-1包括无线读取由非接触式卡101生成的数据和/或将数据无线写入到非接触式卡101的存储器102的功能。更一般地，给定的web页面134和/或web浏览器115可以包括以下功能：控制通信接口118和与卡101通信，而不需要专用的操作***应用(例如，应用商店应用)来执行这些功能。在至少一个实施例中，该功能是经由一个或多个应用编程接口(application programming interface，API)提供的。这些API可以由Web NFC草案社区组报告定义。因此，web页面134-1(以及任何其他web页面134)可以控制通信接口118的NFC能力，而不需要专用的应用。

在一些实施例中，web浏览器115中的web页面134-1可以输出指示，其请求或指示用户将非接触式卡101轻拍到设备110以激活非接触式卡101。一般地，一旦非接触式卡101被带入设备110的通信接口118的通信范围内，非接触式卡101的小应用程序103就可以生成密码。该密码可以基于非接触式卡101的客户ID 107。该密码可以基于任何合适的密码技术来生成。在一些实施例中，小应用程序103可以将密码和未加密的客户ID 107(和/或任何其他唯一标识符)包括在数据包117中。在至少一个实施例中，包括密码和未加密的客户ID107的数据包117是NDEF文件。

如上所述，***100被配置为实施密钥多样化以保护数据，这在本文中可以被称为密钥多样化技术。一般地，服务器120(或另一计算设备)和非接触式卡101可以被配备有相同的主密钥105(也被称为主对称密钥)。更具体地，每个非接触式卡101被编程有不同的主密钥105，该主密钥105在服务器120中具有相应的配对。例如，当制造非接触式卡101时，唯一的主密钥105可以被编程到非接触式卡101的存储器102中。类似地，唯一的主密钥105可以被存储在服务器120的账户数据124中与非接触式卡101相关联的客户的记录中(和/或被存储在不同的安全位置中，诸如硬件安全模块(hardware security module，HSM)125)。主密钥105可以对除了非接触式卡101和服务器120以外的各方保密，由此增强***100的安全性。在一些实施例中，非接触式卡101的小应用程序103可以使用主密钥105和数据作为密码算法的输入来加密和/或解密该数据(例如，客户ID 107)。例如，用主密钥105对客户ID 107进行加密可能产生密码。类似地，服务器120可以使用相应的主密钥105对与非接触式卡101相关联的数据进行加密和/或解密。

在其他实施例中，非接触式卡101和服务器120的主密钥105可以与计数器104结合使用，以使用密钥多样化来增强安全性。计数器104包括在非接触式卡101与服务器120之间同步的值。计数器值104可以包括每次在非接触式卡101与服务器120(和/或非接触式卡101与设备110)之间交换数据时改变的数字。当准备(例如，向服务器120和/或设备110)发送数据时，非接触式卡101的小应用程序103可以递增计数器值104。然后，非接触式卡101的小应用程序103可以提供主密钥105和计数器值104作为密码算法的输入，该密码算法产生多样化密钥106作为输出。密码算法可以包括加密算法、基于散列的消息认证码(hash-basedmessage authentication code，HMAC)算法、基于密文的消息认证码(cipher-basedmessage authentication code，CMAC)算法等。密码算法的非限制性示例可以包括对称加密算法，诸如3DES或AES107；对称HMAC算法，诸如HMAC-SHA-256算法；以及对称CMAC算法，诸如AES-CMAC。密钥多样化技术的示例在2018年11月29日提交的美国专利申请16/205,119中更详细地描述。前述专利申请通过引用整体纳入本文。

继续密钥多样化示例，非接触式卡101然后可以使用多样化密钥106和数据作为密码算法的输入来加密数据(例如，客户ID 107和/或任何其他数据)。例如，用多样化密钥106对客户ID 107进行加密可能导致已加密的客户ID(例如，密码)被包括在数据包117中。web浏览器115和/或web页面134然后可以经由通信接口118读取包括密码和未加密的客户ID107的数据包117。

无论使用的加密技术如何，web页面134和/或web浏览器115然后可以经由网络130向服务器120传送包括密码和未加密的客户ID 107的数据包117。web页面和/或web浏览器115还可以向服务器120指示出包括密码和未加密的客户ID 107的数据包117是经由设备110的卡读取器118从非接触式卡101读取的。一旦被接收到，认证应用123和/或web服务器127就可以尝试认证该密码。例如，认证应用123可以尝试使用由服务器120存储的主密钥105的副本来解密该密码。在一些实施例中，认证应用123可以使用数据包117中包括的未加密的客户ID 107来识别主密钥105和计数器值104。在一些示例中，认证应用123可以提供主密钥105和计数器值104作为密码算法的输入，该密码算法产生多样化密钥106作为输出。产生的多样化密钥106可以对应于非接触式卡101的多样化密钥106，其可用于解密数据包117中的密码。

无论使用的解密技术如何，认证应用123可以成功地解密密码，从而验证或认证数据包117中的密码(例如，经由将通过解密该密码产生的客户ID 107与存储在账户数据124中的已知客户ID进行比较，和/或基于使用密钥105和/或106的解密成功了的指示)。虽然密钥105、106被描绘为存储在存储器122中，但是密钥105、106可以存储在别处，诸如在安全元件和/或HSM 125中。在这样的实施例中，安全元件和/或HSM 125可以使用密钥105和/或106以及密码函数来解密密码。类似地，安全元件和/或HSM 125可以基于主密钥105和计数器值104来生成多样化密钥106，如上面所描述的那样。如果解密成功，则认证应用123可以激活非接触式卡，例如，通过更新对应于非接触式卡101的账户数据124中的记录。该记录可以被更新以反映出非接触式卡101已经从未激活的支付状态转换到激活的支付状态。在一些实施例中，认证应用123可以向web浏览器115和/或web页面134-1传送解密结果，其指示解密是成功还是不成功。然后，web页面134-1可以基于该解密结果是否指示密码被解密和/或未被解密来执行一个或多个操作。

然而，如果认证应用123不能解密该密码以产生预期的结果(例如，与非接触式卡101相关联的账户的客户ID 107)，则认证应用123不验证数据包117的密码。在这样的示例中，认证应用123确定要避免激活非接触式卡。认证应用123和/或web服务器127可以向web浏览器115传送解密失败的指示。web页面134-1然后可以经由web服务器向用户显示解密失败以及因此卡激活不成功的指示。

图1D示出了实施例，其中认证应用123已经成功地解密了数据包117的密码，从而验证(或认证)了该密码。作为响应，认证应用123可以将激活记录140存储在账户数据124中，其中该激活记录140反映出非接触式卡101已被激活并且可用于处理支付。此外，如图所示，认证应用123和/或web服务器127向设备110传送确认139，其中该确认139指示出认证应用123成功地解密了数据包117的密码以及非接触式卡101已被激活。web页面134-1可以被更新以反映确认139。在另一个实施例中，确认139是web页面134，并且web浏览器115可以显示该确认139的web页面134。

在一些实施例中，web页面134-1可以指示用户将非接触式卡101轻拍到设备110。作为响应，web页面134-1可以控制卡读取器118，并且使得卡读取器118在非接触式卡101的存储器102中存储反映出卡101已被激活的指示。这样做可以允许该卡101中的小应用程序103的一部分、支付小应用程序和/或其他逻辑被激活或以其他方式被启用以供使用。

一旦被激活，客户可以使用非接触式卡101以处理支付。例如，客户可以使用web浏览器115来访问商家的web页面，并且提供卡101的***、到期日期和卡验证值(cardverification value，CVV)作为支付信息以支付web页面上的购买。然后，商家的web页面可以向服务器120提交请求以处理所请求的支付。服务器120可以至少部分地基于激活记录140来批准该请求。

有利地，非接触式卡101被安全地激活，而不需要设备110执行由与非接触式卡101相关联的实体提供的专用客户端应用(例如，由与非接触式卡101相关联的金融机构提供的应用)。此外，卡101的安全性通过使用由非接触式卡101生成的密码作为激活的条件来增强。

图2A是描绘与所公开的实施例一致的示例计算设备110的示意图200。更具体地，图2A描绘了实施例，其中设备110输出OS 112的主屏幕或页面，并且非接触式卡101被轻拍到设备110。虽然描绘了主屏幕，但是当非接触式卡101被轻拍到设备110时，OS 112和/或设备110可以处于任何接通状态。如上所述，当卡101被轻拍到设备110时，小应用程序103可以将URL提供给设备110。例如，如上所述，小应用程序103可以生成指向web页面134的URL，以激活非接触式卡。因此，当卡101被轻拍到图2A的设备时，卡101处于未激活的支付状态，并且无法用于处理支付。然后，小应用程序103可以将该URL传送到移动设备110。一旦被接收到，OS 112可以执行动作，例如，启动向OS 112注册以打开URL的web浏览器115。有利地，这样做提供了用于基于URL的认证的解决方案，其不要求活动的应用在OS 112的前台运行。

图2B是示出实施例的示意图210，其中设备110的web浏览器115响应于从图2A中的非接触式卡接收到URL 108-2而被启动。一般地，OS 112可以启动web浏览器115，并且将URL108-2作为输入提供给web浏览器115。这样做可以使得web浏览器生成HTTP请求以访问指定的URL 108-2处的资源。一般地，URL 108-2可以指向服务器120、认证应用123、和/或web页面134之一。

图2C是反映实施例的示意图220，其中web浏览器已经加载并呈现了从非接触式卡101接收到的URL 108-2处的web页面134-2。web页面134-2可以响应于来自web浏览器115的指定URL 108-2的HTTP请求而从web服务器127被接收到。web页面134-2可以包括与web页面134-1相似的能力，包括与非接触式卡101通信的能力，例如，通过读取由非接触式卡101生成的数据和/或将数据写入非接触式卡101的存储器。更一般地，web页面134-2和/或web浏览器115因此可以通常能够控制通信接口118的NFC能力，以经由NFC与非接触式卡101通信。

如图所示，web页面134-2指示用户将非接触式卡101轻拍到计算设备110以激活卡101。当卡101进入卡读取器118的通信范围内时，web页面134-2控制卡读取器118，并且使得卡读取器118指示非接触式卡101的小应用程序103生成如上面所描述的多样化密钥106，并且使用所生成的多样化密钥106来生成密码(例如，已加密的客户ID 107)。小应用程序103还可以生成包括密码和未加密的标识符(例如，未加密的客户ID 107)的NDEF文件或其他数据包。

然后，web浏览器115和/或web页面134-2可以例如经由NFC读取数据包或NDEF文件。一旦被读取，web浏览器115和/或web页面134-2就可以向服务器120传送数据包以进行处理。web页面134-2可以可选地处理数据包，例如格式化数据包等。web页面134-2和/或web浏览器115还可以向服务器120指示出该密码是经由设备110的卡读取器118从非接触式卡101读取的。

一旦被接收到，认证应用123就可以尝试验证数据包中的密码。在至少一个实施例中，由小应用程序103提供的未加密的客户ID 107可以由认证应用123使用以识别账户数据124中的相关账户、计数器值104和/或主密钥105。认证应用123可以通过提供主密钥105和递增的计数器值104作为密码算法的输入来尝试解密密码，该密码算法产生多样化密钥106作为输出。产生的多样化密钥106可以对应于由非接触式卡101生成以创建密码的多样化密钥106的实例，其可用于解密密码。一般地，认证应用123可以向web浏览器115和/或web页面134-2传送解密结果，其指示解密是成功还是不成功。如果解密成功，则认证应用123可以将非接触式卡101从不活动的支付状态转换到活动的支付状态，例如，通过更新账户数据124中的一个或多个记录。

图2D是示出实施例的示意图230，其中服务器120解密了由非接触式卡101生成并由web页面134-2读取的密码。如上所述，服务器120可以基于对由非接触式卡101生成的密码的解密来激活非接触式卡101以进行支付。服务器120可以将解密的结果传递给web页面134-2。如图所示，web页面134-2被更新以反映出解密成功了以及非接触式卡101已被激活以处理支付。

图3A是示出非接触式卡101的示例配置的示意图300，该非接触式卡101可以包括由作为服务提供商标记302在非接触式卡101的正面或背面显示的服务提供商发行的支付卡，诸如***、借记卡或礼品卡。在一些示例中，非接触式卡101与支付卡无关，并且可以包括但不限于身份证。在一些示例中，非接触式卡可以包括双界面非接触式支付卡、奖励卡等。非接触式卡101可以包括基板310，该基板310可以包括由塑料、金属和其他材料构成的单层或者一个或多个叠层。示例性基板材料包括聚氯乙烯、聚氯乙烯醋酸酯、丙烯腈丁二烯苯乙烯、聚碳酸酯、聚酯、阳极氧化钛、钯、金、碳、纸和可生物降解材料。在一些示例中，非接触式卡101可以具有符合ISO/IEC 7810标准的ID-1格式的物理特性，并且非接触式卡可以另外符合ISO/IEC 14443标准。然而，可以理解的是根据本公开的非接触式卡101可以具有不同的特性，并且本公开并不要求在支付卡中实施非接触式卡。

非接触式卡101还可以包括显示在该卡的正面和/或背面的识别信息315，以及接触垫320。该接触垫320可以包括一个或多个垫，并且被配置为经由非接触式卡与另一个客户端设备(诸如ATM、用户设备、智能手机、膝上型电脑、桌上型电脑或平板电脑)建立接触。接触垫可以根据一个或多个标准诸如ISO/IEC 7816标准来设计，并且使能根据EMV协议进行通信。非接触式卡101还可以包括处理电路、天线和其他部件，这将在图3B中进一步讨论。这些部件可以位于接触垫320的后面或基板310上的其他地方，例如，基板310的不同层内，并且可与接触垫320电耦合和物理耦合。非接触式卡101还可以包括磁条或磁带，其可以位于卡的背面(图3A中未显示)。非接触式卡101还可以包括与能够经由NFC协议进行通信的天线耦合的近场通信(NFC)设备。实施例不限于这种方式。

如图所示，非接触式卡101的接触垫320可以包括用于存储、处理和传递信息的处理电路325，该处理电路325包括处理器330、存储器102和一个或多个通信接口109。可以理解，处理电路325可以包含附加部件，包括处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件，如执行本文中描述的功能所必需的。

存储器102可以是只读存储器、一次写入多次读取存储器或读/写存储器，例如，RAM、ROM和EEPROM，并且非接触式卡101可以包括这些存储器中的一个或多个。只读存储器可以被厂商可编程为只读或一次性可编程的。一次性可编程性提供了一次写入然后多次读取的机会。一次写入/多次读取存储器可以在存储器芯片已经出厂后的某个时间点进行编程。一旦存储器被编程，它就可能不会被重写，但是它可以被多次读取。读/写存储器可以在出厂后被多次编程和重新编程。读/写存储器也可以在出厂后被多次读取。在一些实例中，存储器102可以是利用由处理器330执行的加密算法以加密数据的加密的存储器。

存储器102可以被配置为存储一个或多个小应用程序103、一个或多个计数器104、主密钥105、多样化密钥106、客户ID 107、以及一个或多个URL 108。一个或多个小应用程序103可以包括被配置为在一个或多个非接触式卡上执行的一个或多个软件应用程序，诸如卡小应用程序。然而，可以理解，小应用程序103不限于Java卡小应用程序，而是可以是可在非接触式卡或具有有限存储器的其他设备上操作的任何软件应用。一个或多个计数器104可以包括足以存储整数的数字计数器。客户ID 107可以包括分配给非接触式卡101的用户的唯一字母数字式标识符，并且该标识符可以将非接触式卡的用户与其他非接触式卡的用户区分开。在一些示例中，客户ID 107可以同时识别客户和分配给该客户的账户两者，并且可以进一步识别与客户账户相关联的非接触式卡101。

前述示例性实施例的处理器330和存储器元件参照接触垫320来描述，但是本公开不限于此。可以理解，这些元件可以被实施在接触垫320之外或与其完全分离，或者作为除了位于接触垫320内的处理器330和存储器102元件以外的其他元件。

在一些示例中，非接触式卡101可以包括一个或多个天线355。一个或多个天线355可以被放置在非接触式卡101内并且在接触垫320的处理电路325周围。例如，一个或多个天线355可以与处理电路325构成一体，并且一个或多个天线355可以与外部升压线圈一起使用。作为另一个示例，一个或多个天线355可以在接触垫320和处理电路325的外部。

在实施例中，非接触式卡101的线圈可以充当空芯变压器的次级。终端可以通过切断功率或幅度调制来与非接触式卡101通信。非接触式卡101可以使用非接触式卡101的功率连接中的间隙来推断从终端传送的数据，这可以通过一个或多个电容器在功能上维持。非接触式卡101可以通过切换线圈上的负载或负载调制来向回通信。负载调制可以通过干扰在终端的线圈中检测到。更一般地，使用天线355、处理器330和/或存储器102，非接触式卡101提供通信接口以经由NFC、蓝牙和/或Wi-Fi通信进行通信。

如上面所解释的，非接触式卡101可以构建在可在智能卡或具有有限存储器的其他设备(诸如JavaCard)上操作的软件平台上，并且一个或多个应用或小应用程序可以被安全地执行。小应用程序103可以被添加到非接触式卡，以在各种基于移动应用的用例中为多因素认证(multifactor authentication，MFA)提供一次性密码(one-time password，OTP)。小应用程序103可以被配置为：响应来自诸如(例如，移动设备或销售点终端的)移动NFC读取器的读取器的一个或多个请求诸如近场数据交换请求，并且产生包括被编码为NDEF文本标签的密码安全OTP的NDEF消息。

NDEF OTP的一个示例是NDEF短记录布局(SR＝1)。在这样的示例中，一个或多个小应用程序103可以被配置为将OTP编码为NDEF第4类公知类型文本标签。在一些示例中，NDEF消息可以包括一个或多个记录，诸如密码和未加密的客户ID 107(或者用于卡101和/或相关联账户的其他未加密的唯一标识符)。小应用程序103可以被配置为除了OTP记录以外还添加一个或多个静态标签记录。

在一些示例中，一个或多个小应用程序103可以被配置为仿真RFID标签。RFID标签可以包括一个或多个多态标签。在一些示例中，每次读取标签时，呈现不同的密码数据，其可以指示非接触式卡101的真实性。基于一个或多个小应用程序103，该标签的NFC读取可以被处理，数据可以被传送到服务器，诸如银行***的服务器，并且该数据可以在服务器处被验证。

在一些示例中，非接触式卡101和服务器120可以包括特定数据，使得该卡可以被正确地识别。非接触式卡101可以包括一个或多个唯一标识符(未图示)。每次发生读取操作时，计数器104可以被配置为递增。在一些示例中，每次(例如，由计算设备110)读取来自非接触式卡101的数据时，计数器104被传送到服务器进行验证，并且确定计数器104是否等于(作为验证的一部分)服务器的计数器104。

一个或多个计数器104可以被配置为防止重放攻击。例如，如果密码已经被获得并重放，则该密码立即被拒绝，如果计数器104已经被读取或使用或以其他方式忽略了的话。如果计数器104尚未被使用，则它可以被重放。在一些示例中，该卡上被递增的计数器不同于针对交易被递增的计数器。非接触式卡101不能确定应用交易计数器104，这是因为在非接触式卡101上的小应用程序103之间没有通信。在一些示例中，非接触式卡101可以包括第一小应用程序103-1和第二小应用程序103-2，该第一小应用程序103-1可以是交易小应用程序，该第二小应用程序103-2可以是用于认证呼叫的认证小应用程序，如本文中公开的那样。每个小应用程序103-1和103-2可以包括相应的计数器104。

在一些示例中，计数器104可能不同步。在一些示例中，为了解释发起交易的意外读取，诸如以某个角度读取，计数器104可以递增，但是应用不处理计数器104。在一些示例中，当设备110被唤醒时，NFC可能被启用，并且设备110可能被配置为读取可用标签，但是不响应于读取而采取动作。

为了保持计数器104同步，可以执行应用诸如后台应用，该应用将被配置为检测设备110何时唤醒，并且与银行***的服务器同步，指示出由于检测而发生的读取，以然后将计数器104向前移动。在其他示例中，可以利用散列的一次性密码，使得可以接受不同步的窗口。例如，如果在10的阈值以内，计数器104可以被配置为向前移动。但是如果在不同的阈值数量以内，例如在10或1000以内，则可以处理用于执行重同步的请求，该请求经由一个或多个应用请求用户经由用户的设备轻拍、打手势或以其他方式指示一次或多次。如果计数器104以适当的顺序增加，那么就有可能获知用户已经这样做了。

本文中参照计数器104、主密钥和多样化密钥描述的密钥多样化技术是加密和/或解密密钥多样化技术的一个示例。这种示例密钥多样化技术不应该被视为对本公开的限制，因为本公开同样适用于其他类型的密钥多样化技术。

在非接触式卡101的创建过程期间，两个密码密钥可以被唯一地分配给每张卡。该密码密钥可以包括对称密钥，其可以用于数据的加密和解密两者。三重DES(Triple DES，3DES)算法可以由EMV使用，并且它由非接触式卡101中的硬件实施。通过使用密钥多样化过程，一个或多个密钥可以基于用于需要密钥的每个实体的唯一可识别信息从主密钥中导出。

在一些示例中，为了克服可能易受漏洞影响的3DES算法的缺陷，会话密钥可以被导出(诸如每个会话的唯一密钥)，但不是使用主密钥，可以使用唯一卡导出的密钥和计数器作为多样化数据。例如，每次非接触式卡101在操作中使用时，不同的密钥可用于创建消息认证码(message authentication code，MAC)和执行加密。这导致三层密码。会话密钥可以由一个或多个小应用程序生成，并且通过使用具有一个或多个算法的应用交易计数器来导出(如EMV 3.3Book2A1.3.1公共会话密钥导出中定义的)。

此外，用于每张卡的增量可以是唯一的，并且通过个性化分配，或者通过某些识别信息在算法上分配。例如，奇数卡可以递增2，偶数卡可以递增5。在一些示例中，该增量也可以在顺序读取方面变化，使得一张卡可以按1、3、5、2、2……重复的顺序递增。特定的序列或算法序列可以在个性化时定义，或者从唯一标识符导出的一个或多个过程中定义。这可以使重放攻击者更难从少量的卡实例中归纳。

认证消息可以作为十六进制ASCII格式的文本NDEF记录的内容递送。在另一个示例中，NDEF记录可以以十六进制格式编码。

图4示出了根据示例实施例的NDEF短记录布局(SR＝1)数据结构400。一个或多个小应用程序可以被配置为将OTP编码为NDEF第4类公知类型文本标签。在一些示例中，NDEF消息可以包括一个或多个记录。小应用程序可以被配置为除了OTP记录以外还添加一个或多个静态标签记录。示例性标签包括但不限于以下，标签类型：公知类型、文本、编码英语(encoding English，en)；小应用程序ID：D2760000850104；能力：只读访问；编码：认证消息可以被编码为ASCII十六进制；类型-长度-值(type-length-value，TLV)数据可以作为可被用于生成NDEF消息的个性化参数提供。在实施例中，认证模板可以包括第一记录，具有用于提供实际动态认证数据的公知索引。在各种实施例中，数据结构400的有效载荷可以存储密码(例如，已加密的客户ID 107)和任何其他相关数据，诸如未加密的客户ID 107，和/或一些其他未加密的值，该值唯一地识别卡101和/或与卡101相关联的账户。

用于所公开的实施例的操作可以参照以下图进一步描述。有些图可以包括逻辑流程。虽然本文中呈现的这些图可以包括特定的逻辑流程，但可以理解的是的是，该逻辑流程仅仅提供了可以如何实施本文所描述的通用功能的示例。此外，除非另有说明，否则给定的逻辑流程不一定必须按照呈现的顺序执行。此外，在其他实施例中，并非逻辑流程中示出的所有动作都可能是必需的。另外，给定的逻辑流程可以由硬件元件、由处理器执行的软件元件或其任何组合来实施。实施例不限于该上下文。

图5示出了逻辑流程500的实施例。逻辑流程500可以代表由本文中描述的一个或多个实施例执行的一些或所有操作。例如，逻辑流程500可以包括使用web浏览器115来激活非接触式卡101的一些或所有操作。实施例不限于该上下文。

在框505中，非接触式卡101被轻拍到计算设备110，诸如智能手机。在框510处，在非接触式卡101上执行的小应用程序103生成(或选择)指向资源诸如服务器120和/或其部件的URL 108。在框515处，计算设备110例如经由NFC从非接触式卡101接收URL 108。在框520处，计算设备110的OS 112启动web浏览器115，并将URL 108提供给web浏览器115。这样做可以使得web浏览器115例如经由HTTP请求从服务器120的web服务器127请求位于URL108处的资源。在框525处，web浏览器115基于用于URL 108处的资源的请求从web服务器127接收web页面134。web浏览器115可以呈现、加载或以其他方式处理接收到的web页面134，并在显示设备上显示web页面134。web页面134通常可以包括这样的指令，其允许web页面134控制该设备110的通信接口118，从而允许web页面134和/或web浏览器115控制或以其他方式参与与非接触式卡101的NFC通信。

在框530处，web页面134输出将非接触式卡101轻拍到计算设备110的指令。作为响应，用户可以将非接触式卡101轻拍到计算设备110(例如，第二个轻拍实例)。响应于检测到非接触式卡101进入设备110的通信范围内，web页面134可以指示小应用程序103生成包括密码和未加密的客户ID 107(或任何其他唯一标识符)的数据包(例如，NDEF文件)。在框535处，web页面134和/或web浏览器115可以通过控制通信接口118来读取由非接触式卡101生成的数据包(例如，NDEF文件)。在一些实施例中，web页面134可以处理数据包，例如以格式化，提取值，修改该包，包括该数据包是用于激活卡101的请求的一部分的指示等。在框540处，web页面134和/或web浏览器115可以将接收到的数据包传送到服务器120和/或其任何部件。

在框545处，服务器120尝试解密或以其他方式验证接收到的数据包中的密码。如果解密和/或验证不成功，则服务器120可以拒绝激活非接触式卡101的请求。否则，服务器可以基于密码的成功解密和/或验证来批准激活非接触式卡101的请求。在框550处，服务器120基于解密和/或验证来激活非接触式卡101。例如，服务器120可以更新账户数据124以反映非接触式卡101的激活，从而允许非接触式卡101被用于处理支付和/或执行需要非接触式卡101处于激活状态(或激活的支付状态)的其他功能。

在框555处，服务器120可以向web浏览器115传送响应，该响应包括成功解密的解密结果并指示非接触式卡101已被激活。在框560处，服务器120接收使用已激活的非接触式卡101处理支付的请求。在框565处，服务器120(例如，认证应用123)可以至少部分地基于在框550处非接触式卡101的激活来批准在框560处接收到的请求。

图6示出了逻辑流程600的实施例。逻辑流程600可以代表由本文中描述的一个或多个实施例执行的一些或所有操作。例如，逻辑流程600可以包括使用web浏览器115来激活非接触式卡101的一些或所有操作。更具体地，逻辑流程600可以包括由***100执行的一些或所有操作以使用web浏览器115来激活非接触式卡101。实施例不限于该上下文。

如图所示，在框605处，非接触式卡101的小应用程序103可以响应于来自web页面134的指令而递增计数器104，以生成用以激活卡101的密码。web页面134可以通过控制设备110的通信接口118将该指令提供给卡101。在框610处，小应用程序103使用密码函数对主密钥105和递增的计数器值104进行加密。这样做可以产生多样化密钥106。在框615处，小应用程序103使用多样化密钥106加密一些数据(例如，客户ID 107或另一个唯一标识符)以生成密码。在框620处，小应用程序103生成数据包(例如，NDEF文件)，该数据包包括在框615处生成的密码和未加密的标识符(例如，未加密的客户ID 107)。在框625处，设备110接收在框620处生成的数据包。一般地，web页面134可以指示通信接口11从非接触式卡101读取数据包。

在框630处，设备110可以向服务器120传送数据包。在框635处，服务器120和/或其任何部件可以确定数据包中的未加密的客户ID 107。这样做可以允许服务器120在框640处识别账户数据124中用于卡101的计数器值104和/或主密钥105。在框645处，服务器120可以递增在框640处识别出的计数器值104。在框650处，服务器120可以利用密码函数对在框640处识别出的主密钥105和在框645处被递增的计数器值104进行加密，以生成多样化密钥106的实例。在框655处，服务器120可以使用多样化密钥106解密密码。服务器120可以基于解密和/或一个或多个附加操作来验证密码。例如，服务器120可以将框655处的解密的结果与账户数据124中存储的客户ID 107进行比较。如果比较结果匹配，则服务器120可以验证密码。在这样的示例中，服务器120可以激活非接触式卡101，例如，通过在账户数据124中更新反映该激活的记录。否则，服务器120可以抑制激活非接触式卡101，使得非接触式卡101保持处于未激活的支付状态。

图7示出了逻辑流程700的实施例。逻辑流程700可以代表由本文中描述的一个或多个实施例执行的一些或所有操作。例如，逻辑流程700可以包括使用web浏览器115来激活非接触式卡101的一些或所有操作。实施例不限于该上下文。

如图所示，在框705处，服务器120和/或其任何部件从设备110的web浏览器115接收要访问卡激活web页面134的请求。在框710处，服务器120向请求的web浏览器115传送激活web页面134-1。在框715处，服务器120接收由非接触式卡101生成的数据包。该数据包可以通过web浏览器115控制通信接口118的NFC能力而从非接触式卡101被读取。该数据包可以包括密码和未加密的客户标识符。在框720处，服务器120例如基于账户数据124确定该非接触式卡101处于未激活的支付状态。

在框730处，服务器120基于在框715处接收到的数据包中的未加密的客户标识符来识别账户数据124中用于卡101的计数器值104和/或主密钥105。在框735处，服务器120可以递增在框730处识别出的计数器值104。在框740处，服务器120可以利用密码函数对在框730处识别出的主密钥105和在框735处被递增的计数器值104进行加密，以生成多样化密钥106的实例。在框745处，服务器120可以使用在框740处生成的多样化密钥106来解密和/或以其他方式验证密码。在框750处，服务器120可以通过在账户数据124中更新反映非接触式卡101已经从未激活的支付状态转换到激活的支付状态的记录来激活非接触式卡101。

在框755处，服务器120可以向web浏览器115中的web页面134-1传送指示，该指示反映出解密和/或验证成功，以及非接触式卡101已经转换到激活的支付状态。在框760处，服务器120接收使用非接触式卡101执行操作的请求。例如，web浏览器115可以生成使用非接触式卡101处理购买的请求。在框765处，服务器120可以至少部分地基于在框750处的非接触式卡的激活来授权该请求。

图8示出了包括计算***802的示例性计算机架构800的实施例，该计算***802可以适合于实施如先前所描述的各种实施例。在一个实施例中，计算机架构800可以包括或作为计算***100的一部分实施。在一些实施例中，计算***802可以代表例如***100的非接触式卡101、计算设备110和服务器120。实施例不限于该上下文。更一般地，计算架构800被配置为实施本文中参照图1A至图7描述的所有逻辑、应用、***、方法、装置和功能。

如本申请所用，术语“***(system)”和“部件(component)”旨在是指计算机相关的实体，是硬件、硬件与软件的组合、软件或执行中的软件，其中的示例由示例性计算计算机架构800提供。例如，部件可以是但不限于在处理器上运行的进程、处理器、硬盘驱动器、多个(光和/或磁存储介质的)存储驱动器、对象、可执行文件、执行线程、程序和/或计算机。举例来说，在服务器运行上的应用和服务器两者都可以是部件。一个或多个部件可以驻留在进程和/或执行线程内，并且部件可以定位在一台计算机上和/或分布在两台或更多台计算机之间。此外，部件可以由各种类型的通信介质彼此通信地耦合，以协调操作。该协调可以涉及信息的单向或双向交换。例如，部件可以以通过通信介质传递的信号的形式传递信息。该信息可以作为分配给各种信号线的信号实施。在这样的分配中，每条消息都是信号。然而，进一步的实施例可以可替选地采用数据消息。这样的数据消息可以跨各种连接被发送。示例性连接包括并行接口、串行接口和总线接口。

计算架构800包括各种常见的计算元件，诸如一个或多个处理器、多核处理器、协同处理器、存储器单元、芯片组、控制器、***设备、接口、振荡器、定时设备、视频卡、音频卡、多媒体输入/输出(input/output，I/O)部件、电源等。然而，实施例不限于由计算架构800实施。

如图8所示，计算架构800包括处理器804、***存储器806和***总线808。处理器804可以是各种可商购获得的处理器中的任何一种。

***总线808提供用于***部件的接口，包括但不限于***存储器806至处理器804。***总线808可以是数种类型的总线结构中的任何一种，其可以进一步使用各种可商购获得的总线架构中的任何一种与存储器总线(具有或不具有存储器控制器)、***总线和本地总线互连。接口适配器可以经由插槽架构连接至***总线808。示例插槽架构可以包括但不限于加速图形端口(AGP)、卡总线、(扩展)工业标准架构((E)ISA)、微通道架构(MCA)、网络用户总线(NuBus)、***部件互联(扩展)(PCI(X))、PCI高速(PCI Express)、个人计算机存储卡国际协会(PCMCIA)等。

计算架构800可以包括或实施各种制品。制品可以包括用以存储逻辑的计算机可读存储介质。计算机可读存储介质的示例可以包括能够存储电子数据的任何有形介质，包括易失性存储器或非易失性存储器、可移动或不可移动存储器、可擦除或不可擦除存储器、可写或可重写存储器等。逻辑的示例可以包括使用任何合适类型的代码实施的可执行计算机程序指令，诸如源代码、编译代码、解释代码、可执行代码、静态代码、动态代码、面向对象的代码、可视代码等。实施例还可以至少部分地被实施为包含在非暂时性计算机可读介质中或其上的指令，这些指令可以由一个或多个处理器读取和执行，以使能执行本文中描述的操作。

***存储器806可以包括以一个或多个较高速度的存储器单元形式的各种类型的计算机可读存储介质，诸如只读存储器(read-only memory，ROM)、随机存取存储器(random-access memory，RAM)、动态RAM(DRAM)、双倍数据速率DRAM(Double-Data-RateDRAM，DDRAM)、同步DRAM(SDRAM)、静态RAM(SRAM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪存、聚合物存储器诸如铁电聚合物存储器、双向存储器、相变或铁电存储器、硅-氧化硅-氮化硅-氧化硅-硅(SONOS)存储器、磁卡或光卡、诸如独立磁盘冗余阵列(RAID)驱动器的设备阵列、固态存储器设备(例如，USB存储器、固态驱动器(SSD))以及适合于存储信息的任何其他类型的存储介质。在图8所示的说明实施例中，***存储器806可以包括非易失性存储器810和/或易失性存储器812。基本输入/输出***(basic input/output system，BIOS)可以存储在非易失性存储器810中。

计算机802可以包括以一个或多个较低速度的存储器单元形式的各种类型的计算机可读存储介质，包括内部(或外部)硬盘驱动器830、从可移动磁盘820读取或向其写入的磁盘驱动器816、以及从可移动光盘832(例如CD-ROM或DVD)读取或向其写入的光盘驱动器828。硬盘驱动器830、磁盘驱动器816和光盘驱动器828可以分别通过HDD接口814、FDD接口818和光盘驱动器接口834被连接至***总线808。用于外部驱动器实施方式的HDD接口814可以包括通用串行总线(Universal Serial Bus，USB)和IEEE 1394接口技术中的至少一种或两种。

驱动器和相关联的计算机可读介质提供了数据、数据结构、计算机可执行指令等的易失性和/或非易失性存储。例如，多个程序模块可以存储在驱动器以及非易失性存储器810和易失性存储器812中，包括操作***822、一个或多个应用842、其他程序模块824、以及程序数据826。在一个实施例中，一个或多个应用842、其他程序模块824、以及程序数据826可以例如包括***100的各种应用和/或部件，诸如小应用程序103、计数器104、主密钥105、多样化密钥106、客户ID 107、URLs 108、web浏览器115、数据包117、密码、认证应用123、账户数据124、web服务器127、和web页面134。

用户可以通过一个或多个有线/无线输入设备(例如，键盘850和诸如鼠标852的定点设备)将命令和信息键入到计算机802。其他输入设备可以包括麦克风、红外(infra-red，IR)遥控器、射频(RF)遥控器、游戏垫、触笔、卡读取器、加密狗(dongle)、指纹读取器、手套、图形输入板、操纵杆、键盘、视网膜读取器、触摸屏(例如，电容式、电阻式等)、轨迹球、触控板、传感器、手写笔和诸如此类。这些及其他输入设备时常通过被耦合至***总线808的输入设备接口836而被连接至处理器804，但是也可以由其他接口诸如并行端口、IEEE 1394串行端口、游戏端口、USB端口、IR接口等连接。

监视器844或其他类型的显示设备也经由接口诸如视频适配器846而被连接至***总线808。监视器844可以在计算机802的内部或外部。除了监视器844以外，计算机典型地包括其他***输出设备，诸如扬声器、打印机等。

计算机802可以使用经由有线和/或无线通信与一台或多台远程计算机诸如远程计算机848的逻辑连接而在网络化环境中操作。远程计算机848可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐家电、对等设备(peerdevice)或其他公共网络节点，并且典型地包括相对于计算机802描述的许多或所有元素，尽管出于简洁的目的，仅示出了存储器和/或存储设备858。所描绘的逻辑连接包括与局域网856和/或更大的网络例如广域网854的有线/无线连接。这样的LAN和WAN联网环境在办公室和公司中是司空见惯的，并且促进企业范围的计算机网络诸如内部网，所有这些都可以连接至全球通信网络，例如，互联网。

当在局域网856联网环境中使用时，计算机802通过有线和/或无线通信网络接口或者网络适配器838被连接至局域网856。网络适配器838可以促进与局域网856的有线和/或无线通信，该局域网856还可以包括在其上设置的无线接入点，以与网络适配器838的无线功能进行通信。

当在广域网854联网环境中使用时，计算机802可以包括调制解调器840，或者被连接至广域网854上的通信服务器，或者具有用于诸如通过互联网的方式在广域网854上建立通信的其他装置。调制解调器840可以是内置或外置的有线和/或无线设备，它经由输入设备接口836连接至***总线808。在网络化环境中，相对于计算机802描绘的程序模块或其部分可以存储在远程存储器/存储设备858中。将理解，所显示的网络连接是示例性的，并且可以使用在计算机之间建立通信链路的其他装置。

计算***802可操作为与使用IEEE 802标准族的有线和无线的设备或实体(诸如，可操作地设置在无线通信(例如，IEEE 802.16空中调制技术)中的无线设备)通信。这除了别的以外至少包括Wi-Fi(或无线保真度)、WiMax和Bluetooth^TM无线技术。因此，该通信可以是与常规网络那样的预定义结构，或者只是至少两个设备之间的自组织(ad hoc)通信。Wi-Fi网络使用称作IEEE 802.11x(a、b、g、n等)的无线电技术以提供安全、可靠、快速的无线连接。Wi-Fi网络可以用于将计算机彼此连接、连接至互联网以及连接至有线网络(其使用IEEE 802.3相关的介质和功能)。

如先前参照图1A至图8描述的设备的各种元素可以包括各种硬件元素、软件元素或两者的组合。硬件元素的示例可以包括设备、逻辑设备、部件、处理器、微处理器、电路、处理器、电路元件(例如，晶体管、电阻器、电容器、电感器等)、集成电路、专用集成电路(application specific integrated circuits，ASIC)、可编程逻辑设备(programmablelogic devices，PLD)、数字信号处理器(digital signal processors，DSP)、现场可编程门阵列(field programmable gate array，FPGA)、存储器单元、逻辑门、寄存器、半导体器件、芯片、微芯片、芯片组等。软件元素的示例可以包括软件部件、程序、应用、计算机程序、应用程序、***程序、软件开发程序、机器程序、操作***软件、中间件、固件、软件模块、例程、子例程、功能、方法、过程、软件接口、应用程序接口(API)、指令集、计算代码、计算机代码、代码段、计算机代码段、字、值、符号或其任意组合。然而，确定实施例是否使用硬件元素和/或软件元素来实现可以根据许多因素而变化，诸如按照给定实施方式所需的期望计算速率、功率水平、耐热性、处理周期预算、输入数据速率、输出数据速率、存储器资源、数据总线速度和其他设计或性能约束。

至少一个实施例的一个或多个方面可以由存储在机器可读介质上的代表性指令实施，该指令表示处理器内的各种逻辑，当由机器读取时致使机器制造逻辑以执行本文中描述的技术。这种被称为“IP核(IP cores)”的表示可以被存储在有形的机器可读介质上，并且被供应给各种客户或制造设施，以加载到制造逻辑或处理器的制造机器中。一些实施例可以例如使用机器可读介质或物品来实施，该机器可读介质或物品可以存储指令或指令集，如果由机器执行则可以致使机器执行根据实施例的方法和/或操作。这样的机器可以包括例如任何合适的处理平台、计算平台、计算设备、处理设备、计算***、处理***、计算机、处理器等，并且可以使用硬件和/或软件的任何合适的组合来实施。机器可读介质或物品可以包括例如任何合适类型的存储器单元、存储器设备、存储器物品、存储器介质、存储设备、存储物品、存储介质和/或存储单元，例如，存储器、可移动或不可移动介质、可擦除或不可擦除介质、可写或可重写介质、数字或模拟介质、硬盘、软盘、光盘只读存储器(CD-ROM)、可记录光盘(CD-R)、可重写光盘(CD-RW)、光盘、磁介质、磁光介质、可移动存储卡或盘、各种类型的数字通用盘(Digital Versatile Disk，DVD)、磁带、盒式磁带等。指令可以包括任何合适类型的代码，诸如源代码、编译代码、解释代码、可执行代码、静态代码、动态代码、加密代码等，使用任何合适的高级、低级、面向对象、可视化、编译和/或解释的编程语言来实施。

出于示出和描述的目的，已经呈现了示例实施例的前述描述。它并不旨在是穷举的或将本公开限制于所公开的精确形式。鉴于本公开，许多修改和变化是可能的。意图是本公开的范围不受本详细描述的限制，而是受所附权利要求的限制。要求本申请的优先权的未来提交的申请可以用不同的方式要求所公开的主题，并且通常可以包括如本文中公开的或以其他方式证明的一个或多个限制的任何集合。

Claims

1.一种装置，包括：

处理器；和

存储器，所述存储器包括指令，所述指令在由所述处理器执行时致使所述处理器：

经由无线卡读取器从非接触式卡接收用于资源的网络地址，其中所述非接触式卡处于未激活的支付状态；

用web浏览器访问经由所述卡读取器从所述非接触式卡接收到的所述网络地址处的资源；

由所述web浏览器中的资源操作所述卡读取器以从所述非接触式卡接收密码；

由所述web浏览器中的资源向服务器传送所述密码；以及

由所述web浏览器中的资源从所述服务器接收指定所述非接触式卡已经从未激活的支付状态转换到激活的支付状态的响应。

2.根据权利要求1所述的装置，所述存储器包括指令，所述指令在由所述处理器执行时致使所述处理器：

由所述web浏览器中的资源从所述服务器接收解密结果；以及

由所述web浏览器中的资源确定所述服务器解密了所述密码。

3.根据权利要求1所述的装置，所述存储器包括指令，所述指令在由所述处理器执行时致使所述处理器：

响应于接收到所述网络地址，由在所述处理器上执行的操作***启动所述web浏览器以访问所述资源；以及

由所述web浏览器中的资源显示指定所述非接触式卡已经从未激活的支付状态转换到激活的支付状态的响应。

4.根据权利要求1所述的装置，其中，所述网络地址包括由所述非接触式卡生成的统一资源定位符(URL)。

5.根据权利要求1所述的装置，其中，所述卡读取器利用近场通信(NFC)以从所述非接触式卡接收用于所述资源的网络地址。

6.根据权利要求1所述的装置，其中，所述卡读取器的操作包括：指示在所述非接触式卡上执行的小应用程序生成所述网络地址和所述密码。

7.根据权利要求1所述的装置，所述存储器包括指令，所述指令在由所述处理器执行时致使所述处理器：

由所述web浏览器中的资源接收未加密的客户标识符与所述密码；以及

由所述web浏览器中的资源将所述未加密的客户标识符与所述密码一起传送到所述服务器。

8.一种非暂时性计算机可读介质，包括指令集合，所述指令集合响应于由处理器电路执行而致使所述处理器电路：

由所述web浏览器中的资源向服务器传送所述密码；以及

9.根据权利要求8所述的非暂时性计算机可读介质，包括指令，所述指令响应于由所述处理器电路执行而致使所述处理器电路：

由所述web浏览器中的资源从所述服务器接收解密结果；以及

由所述web浏览器中的资源确定所述服务器解密了所述密码。

10.根据权利要求8所述的非暂时性计算机可读介质，包括指令，所述指令响应于由所述处理器电路执行而致使所述处理器电路：

响应于接收到所述网络地址，由在所述处理器电路上执行的操作***启动所述web浏览器以访问所述资源；以及

11.根据权利要求8所述的非暂时性计算机可读介质，其中，所述网络地址包括由所述非接触式卡生成的统一资源定位符(URL)。

12.根据权利要求8所述的非暂时性计算机可读介质，其中，所述卡读取器利用近场通信(NFC)以从所述非接触式卡接收用于所述资源的网络地址，其中，所述卡读取器的操作包括：指示在所述非接触式卡上执行的小应用程序生成所述网络地址和所述密码。

13.根据权利要求8所述的非暂时性计算机可读介质，包括指令，所述指令响应于由所述处理器电路执行而致使所述处理器电路：

14.一种方法，包括：

由计算设备经由所述计算设备的无线卡读取器从非接触式卡接收用于资源的网络地址，其中所述非接触式卡处于未激活的支付状态；

用在所述计算设备上执行的web浏览器访问经由所述卡读取器从所述非接触式卡接收到的所述网络地址处的资源；

由所述web浏览器中的资源向服务器传送所述密码；以及

15.根据权利要求14所述的方法，还包括：

由所述web浏览器中的资源从所述服务器接收解密结果；以及

由所述web浏览器中的资源确定所述服务器解密了所述密码。

16.根据权利要求14所述的方法，还包括：

响应于接收到所述网络地址，由所述设备的操作***启动所述web浏览器以访问所述资源；以及

17.根据权利要求14所述的方法，其中，所述网络地址包括由所述非接触式卡生成的统一资源定位符(URL)。

18.根据权利要求14所述的方法，其中，所述卡读取器利用近场通信(NFC)以从所述非接触式卡接收用于所述资源的网络地址，其中，所述卡读取器的操作包括：指示在所述非接触式卡上执行的小应用程序生成所述网络地址和所述密码。

19.根据权利要求14所述的方法，还包括：

20.根据权利要求19所述的方法，还包括：

由所述服务器基于所述未加密的客户标识符识别与所述非接触式卡相关联的计数器值和加密密钥；

由所述服务器递增识别出的与所述非接触式卡相关联的计数器值；

由所述服务器加密递增的计数器值和所述加密密钥，以生成与所述非接触式卡相关联的多样化密钥；

由所述服务器使用所述多样化密钥解密所述密码；

由所述服务器基于对所述密码的解密来存储所述非接触式卡已被激活的指由所述服务器接收使用所述非接触式卡处理支付的请求；以及

由所述服务器至少部分地基于对所述非接触式卡的激活来授权所述请求。