BRPI0713399A2 - método para autenticar um dispositivo de consumidor portátel, meio legìvel por computador, computador servidor, sistema para autenticar um dispositivo de consumidor portátil, e , dispositivo de acesso - Google Patents
método para autenticar um dispositivo de consumidor portátel, meio legìvel por computador, computador servidor, sistema para autenticar um dispositivo de consumidor portátil, e , dispositivo de acesso Download PDFInfo
- Publication number
- BRPI0713399A2 BRPI0713399A2 BRPI0713399-5A BRPI0713399A BRPI0713399A2 BR PI0713399 A2 BRPI0713399 A2 BR PI0713399A2 BR PI0713399 A BRPI0713399 A BR PI0713399A BR PI0713399 A2 BRPI0713399 A2 BR PI0713399A2
- Authority
- BR
- Brazil
- Prior art keywords
- portable consumer
- consumer device
- fingerprint
- algorithm
- request message
- Prior art date
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Cash Registers Or Receiving Machines (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
MéTODO PARA AUTENTICAR UM DISPOSITIVO DE CONSUMIDOR PORTáTIL, MEIO LEGìVEL POR COMPUTADOR, COMPUTADOR SERVIDOR, SISTEMA PARA AUTENTICAR UM DISPOSITIVO DE CONSUMIDOR PORTáTIL, E, DISPOSITIVO DE ACESSO. Um método para verificar um dispositivo de consumidor portátil. O método inclui receber uma mensagem de pedido de autorização associada com uma transação conduzida usando um dispositivo de consumidor portátil. O dispositivo de consumidor portátil inclui uma impressão digital de dispositivo de consumidor portátil. A mensagem de pedido de autorização inclui uma impressão digital de dispositivo de consumidor portátil alterada e um identificador de algoritmo. O método também inclui selecionar um algoritmo de entre uma pluralidade de algoritmos usando o identificador de algoritmo, determinar a impressão digital de dispositivo de consumidor portátil usando um algoritmo selecionado e a impressão digital de dispositivo de consumidor portátil alterada, determinar se a impressão digital de dispositivo de consumidor portátil casa com uma impressão digital de dispositivo de consumidor portátil armazenada, e enviar uma mensagem de resposta de autorização depois de determinar se a impressão digital de dispositivo de consumidor portátil casa com a impressão digital de dispositivo de consumidor portátil armazenada.
Description
"MÉTODO PARA AUTENTICAR UM DISPOSITIVO DE CONSUMIDOR PORTÁTIL, MEIO LEGÍVEL POR COMPUTADOR, COMPUTADOR SERVIDOR, SISTEMA PARA AUTENTICAR UM DISPOSITIVO DE CONSUMIDOR PORTÁTIL, E, DISPOSITIVO DE ACESSO"
REFERÊNCIAS CRUZADAS A PEDIDOS RELACIONADOS
Este pedido é um pedido de patente não provisório e reivindica o beneficio das datas de depósito de Pedido de Patente Provisório US No. 60/815.059, depositado em 19 de junho de 2006, Pedido de Patente Provisório US No. 60/815.430, depositado em 20 de junho de 2006, e Pedido de Patente Provisório US No. 60/884,089, depositado em 9 de janeiro de 2007. Todos estes pedidos estão incorporados aqui por referência na sua totalidade para todos os propósitos.
FUNDAMENTO DA INVENÇÃO
Sob certas circunstâncias, ladrões podem "furtar" um cartão, copiando os dados na faixa magnética do cartão. Se os dados na faixa magnética em um cartão de pagamento forem furtados, um usuário não autorizado pode criar um cartão falso com os dados copiados. O cartão falso pode então ser usado de uma maneira fraudulenta.
Vários mecanismos de segurança são oferecidos por várias companhias. Algumas companhias desenvolveram modos nos quais um padrão específico de partículas magnéticas pode ser embutido na faixa magnética de um cartão de crédito. A faixa magnética pode criptografar dados de consumidor tal como um número de conta, e a própria faixa magnética pode ter uma impressão digital única que é definida pelo padrão específico de partículas magnéticas. A impressão digital pode ser usada para identificar e autenticar o cartão que está sendo usado. Quer dizer, até mesmo se o ladrão for capaz de furtar dados de consumidor de um dispositivo de consumidor portátil, o ladrão não será capaz de obter a impressão digital única. Esta tecnologia está comercialmente disponível de Magtek™. Embora o uso desta tecnologia ajudaria a autenticar cartões de crédito e similares, a adoção difundida desta tecnologia não é prática como mudanças de software e hardware seriam necessárias para milhares de terminais de ponto de venda. Na prática, em um sistema de processamento de pagamento, muitos tipos diferentes de tecnologias de autenticação seriam usados e há uma necessidade para prover sistemas que possam usar muitos destes tipos de tecnologias diferentes. Conseqüentemente, há uma necessidade por sistemas e métodos que possam integrar tais tecnologias e usá-las efetivamente.
Concretizações da invenção tratam os problemas anteriores e outros problemas individualmente e coletivamente.
SUMÁRIO DA INVENÇÃO
Concretizações da invenção incluem sistemas e métodos para autenticar dispositivos de consumidor portáteis tais como cartões de pagamento.
Uma concretização da invenção é dirigida a um método para verificar um dispositivo de consumidor portátil. O método inclui receber uma mensagem de pedido de autorização associada com uma transação conduzida usando um dispositivo de consumidor portátil. O dispositivo de consumidor portátil inclui uma impressão digital de dispositivo de consumidor portátil. A mensagem de pedido de autorização inclui uma impressão digital de dispositivo de consumidor portátil alterada e um identificador de algoritmo. O método também inclui selecionar um algoritmo de entre uma pluralidade de algoritmos usando o identificador de algoritmo, determinar a impressão digital de dispositivo de consumidor portátil usando o algoritmo selecionado e a impressão digital de dispositivo de consumidor portátil alterada, determinar se a impressão digital de dispositivo de consumidor portátil casa com uma impressão digital de dispositivo de consumidor portátil armazenada, e enviar uma mensagem de resposta de autorização depois de determinar se a impressão digital de dispositivo de consumidor portátil casa com a impressão digital de dispositivo de consumidor portátil armazenada.
Outra concretização da invenção é dirigida a um método incluindo enviar uma mensagem de pedido de autorização associada com uma transação conduzida usando um dispositivo de consumidor portátil, em que o dispositivo de consumidor portátil inclui uma impressão digital de dispositivo de consumidor portátil, e em que a mensagem de pedido de autorização inclui uma impressão digital de dispositivo de consumidor portátil alterada e um identificador de algoritmo. Um algoritmo é selecionado de entre uma pluralidade de algoritmos usando o identificador de algoritmo, e a impressão digital de dispositivo de consumidor portátil é determinada usando o algoritmo selecionado e a impressão digital de dispositivo de consumidor portátil alterada. Um computador de servidor determina se a impressão digital de dispositivo de consumidor portátil casa com uma impressão digital de dispositivo de consumidor portátil armazenada, e uma mensagem de resposta de autorização é recebida. A mensagem de resposta de autorização indica se ou não a transação está aprovada.
Outra concretização da invenção é dirigida a um método incluindo receber uma mensagem de pedido de autorização, em que a mensagem de pedido de autorização é gerada depois de uma interação entre um dispositivo de consumidor portátil e um dispositivo de acesso. O método também inclui analisar a mensagem de pedido de autorização para uma ou mais características ou do dispositivo de consumidor portátil ou do dispositivo de acesso para determinar se um limiar de confiança é satisfeito ou excedido, e se o limiar de confiança não for excedido, executar processamento de autenticação adicional.
Outras concretizações da invenção são dirigidas a sistemas, meios legíveis por computador, dispositivos de acesso, etc., usados junto com tais métodos. Estas e outras concretizações da invenção são descritas em detalhe adicional abaixo.
BREVE DESCRIÇÃO DOS DESENHOS Figura 1 mostra um diagrama de bloco de um sistema de acordo com uma concretização da invenção.
Figura 2 mostra uma ilustração esquemática de um dispositivo de consumidor portátil na forma de um cartão.
Figura 3 mostra um diagrama de bloco de um dispositivo de acesso.
Figura 4 mostra um diagrama de bloco de alguns módulos de software que podem residir em um computador de servidor.
Figura 5 mostra um diagrama de bloco de componentes exemplares em um aparelho de computador.
Figura 6 mostra um fluxograma ilustrando etapas em um método de acordo com uma concretização da invenção.
Figura 7 mostra um fluxograma de um método de avaliação de confiança de acordo com uma concretização da invenção.
Figura 8 mostra um diagrama de bloco de componentes em um sistema de autenticação.
DESCRIÇÃO DETALHADA
I. Métodos usando identificadores de algoritmo Em concretizações da invenção, uma organização de processamento de pagamento ou outra entidade pode suportar tecnologias de segurança diferentes oferecidas por companhias diferentes. As tecnologias de segurança diferentes podem usar impressões digitais de dispositivo de consumidor portátil. Por exemplo, duas faixas magnéticas em dois cartões de pagamento podem armazenar dados de consumidor idênticos (por exemplo, informação de número de conta), mas as estruturas magnéticas das duas faixas magnéticas podem ser diferentes. Uma estrutura magnética específica pode ser um exemplo de uma impressão digital ou "ADN" que está associada com um cartão de pagamento. Se um ladrão copiasse os dados de consumidor armazenados em uma faixa magnética a um cartão de crédito não autorizado, a faixa magnética do cartão de crédito não autorizado teria uma estrutura magnética diferente ou impressão digital do cartão de crédito autorizado. Um computador de servidor de extremidade traseira recebendo a mensagem de pedido de autorização em resposta ao uso do cartão não autorizado determinaria que o cartão de crédito não autorizado não é real, porque a impressão digital não está presente na mensagem de pedido de autorização. Duas companhias que oferecem este tipo de tecnologia são Magtek™ e Semtek™. Cada companhia usa seu próprio algoritmo de proprietário em um terminal de ponto de venda para alterar (por exemplo, criptografar) sua própria impressão digital antes que seja enviada a um emissor ou outra entidade em um processo de autenticação subseqüente.
Em concretizações da invenção, uma impressão digital de dispositivo de consumidor portátil pode incluir qualquer mecanismo de identificação adequado que permite a alguém identificar o dispositivo de consumidor portátil, independente de dados de consumidor estáticos tais como um número de conta ou data de expiração associada com o dispositivo de consumidor portátil. Tipicamente, diferente de dados de consumidor, dados de impressão digital de dispositivo de consumidor portátil não são conhecidos ao consumidor. Por exemplo, em algumas concretizações, os dados de impressão digital podem se relacionar a características dos materiais dos quais os dispositivos de consumidor portáteis são feitos. Por exemplo, como notado acima, uma impressão digital de dispositivo de consumidor portátil pode ser embutida dentro da estrutura microscópica particular das partículas magnéticas na faixa magnética em um cartão de pagamento. Em alguns casos, nenhuma duas faixas magnéticas terá a mesma impressão digital de dispositivo de consumidor portátil. Impressões digitais de dispositivo de consumidor portátil podem levar outras formas. Por exemplo, outra tecnologia de verificação de cartão vem de uma companhia chamada QSecure™. A tecnologia oferecida por QSecure™ usa um CW dinâmico (valor de verificação de cartão) que pode ser gerado por um chip em um cartão de pagamento (o chip pode estar debaixo de uma faixa magnética e pode escrever o CVY dinâmico ou um número relacionado ao CW dinâmico à faixa magnética). Neste caso, o CW dinâmico pode atuar como uma impressão digital de dispositivo de consumidor portátil identificando o dispositivo de consumidor portátil particular. O CW dinâmico pode ser enviado a um dispositivo de ponto de venda durante uma transação de pagamento. Um algoritmo específico no dispositivo de ponto de venda pode alterar (por exemplo, criptografar) o CW dinâmico antes que seja enviado ao emissor do cartão de pagamento para autorização. O emissor, organização de processamento de pagamento, ou outra entidade, pode receber o CW dinâmico alterado e restaurá-lo a sua forma original. O CW dinâmico pode então ser verificado pelo computador de servidor de extremidade traseira para ver se corresponde a um CW dinâmico derivado independentemente, por esse meio autenticando o dispositivo de consumidor portátil. Neste exemplo, o valor de CW dinâmico poderia ser considerado também uma impressão digital de dispositivo de consumidor portátil, embora seja dinâmico em natureza.
Concretizações da invenção permitem muitos tipos diferentes de sistemas de impressão digital de dispositivo de consumidor portátil serem usados junto em um único sistema de processamento de pagamento. Em concretizações da invenção, um identificador diferente ou ID é nomeado a cada tipo de algoritmo em cada tipo de terminal de POS. Por exemplo, uma entidade de extremidade traseira tal como um emissor ou uma organização de processamento de pagamento poderia usar identificadores de algoritmo como aqueles na Tabela 1 abaixo. <table>table see original document page 8</column></row><table>
Como mostrado na Tabela 1, o ID de algoritmo pode levar qualquer forma adequada. Por exemplo, os IDs de algoritmo podem simplesmente ser números de um, dois ou três dígitos.
Quando o terminal de POS envia uma mensagem de pedido de autorização a um emissor, a mensagem de pedido de autorização pode conter o ID de algoritmo particular associado com o terminal de POS e uma impressão digital de dispositivo de consumidor portátil alterada. Quando a mensagem de pedido de autorização é recebida por um computador de servidor de extremidade traseira, ele pode determinar qual algoritmo foi usado para criptografar a impressão digital de dispositivo de consumidor portátil. O computador de servidor de extremidade traseira pode então descriptografar a impressão digital de dispositivo de consumidor portátil codificada e pode determinar se a impressão digital de dispositivo de consumidor portátil corresponde à impressão digital de dispositivo de consumidor portátil que está armazenada em um banco de dados de extremidade traseira. A impressão digital de dispositivo de consumidor portátil pode ter sido armazenada previamente no banco de dados de extremidade traseira junto com dados de consumidor correspondentes (por exemplo, um número de conta) como parte do processo de emitir o dispositivo de consumidor portátil ao consumidor que o usará.
Usando tais identificadores de algoritmo, concretizações da invenção podem integrar efetivamente tecnologias diferentes em um único sistema de processamento de pagamento. Por exemplo, um consumidor pode passar um cartão de pagamento por um terminal de POS (ponto de venda) para pagar $5,00 por materiais de escritório. O terminal de POS pode conter um algoritmo de criptografia produzido por Companhia A. O algoritmo de criptografia pode criptografar uma impressão digital que está embutida na estrutura magnética da faixa magnética do cartão de pagamento. O terminal de POS pode então enviar uma mensagem de pedido de autorização a um computador de servidor de extremidade traseira. A mensagem de pedido de autorização pode conter informação incluindo a quantia de compra, dados de consumidor tais como o número de conta do consumidor, a impressão digital codificada, e um identificador de algoritmo que está associado especificamente com o algoritmo de criptografia produzido por companhia A.
O computador de servidor de extremidade traseira pode receber a mensagem de pedido de autorização de um terminal de POS (ponto de venda). Pode então determinar qual algoritmo foi usado para criptografar a impressão digital, e pode subseqüentemente descriptografar a impressão digital. Uma vez que a impressão digital seja determinada, o computador de servidor de extremidade traseira pode determinar se a impressão digital recebida corresponde à impressão digital armazenada. Se corresponder, então o cartão de pagamento é autenticado.
Outros detalhes relativos a métodos e sistemas que utilizam identificadores de algoritmo são providos abaixo.
II. Métodos de Avaliação de Confiança
Em algumas concretizações, o processador de extremidade traseira, ou computador de servidor de extremidade traseira, também pode determinar se uma transação satisfaz um limiar de confiança desejado de validade provável antes que determine que um dispositivo de consumidor portátil está autenticado. Se o limiar de confiança não for satisfeito, processos de autenticação adicionais podem ser executados. Tais processos de autenticação adicionais podem incluir o envio de uma ou mais perguntas de intimação e/ou mensagens de notificação ao consumidor. Ilustrativamente, um computador de servidor de extremidade traseira pode receber uma mensagem de pedido de autorização de um terminal de POS depois que um consumidor tenta pagar por materiais de escritório usando um cartão de pagamento. O computador de servidor de extremidade traseira pode determinar qual das três tecnologias de verificação de cartão na Tabela 1 acima está presente, e que não houve que qualquer transação suspeita recente associada ao cartão de pagamento. O computador de servidor de extremidade traseira pode depois disso determinar que a transação é válida (isto é, um limiar de confiança foi satisfeito) e pode proceder se a transação for autorizada caso contrário pelo emissor do cartão de pagamento. Reciprocamente, se um cartão e leitor foram usados para conduzir a transação e nenhuma das três tecnologias de proteção de cartão na Tabela 1 (acima) for usada, e o perfil da transação julgado ser arriscado, então o computador de servidor pode determinar que um limiar de confiança não foi satisfeito, e processos de autenticação adicionais podem ser iniciados pelo computador de servidor. Por exemplo, uma intimação dinâmica (pergunta) pode ser enviada ao consumidor antes de aprovação, e/ou o consumidor pode ser notificado que uma transação está ocorrendo.
Determinações de confiança de transação também podem levar em conta se um algoritmo poderia ser mais seguro do que o outro. O computador de servidor de extremidade traseira pode avaliar o algoritmo que era usado na extremidade dianteira (por exemplo, ao terminal de POS) e pode determinar se ou não a transação deveria proceder. Por exemplo, o computador de servidor de extremidade traseira pode determinar que o algoritmo de companhia A pode ter 90% de confiança e o algoritmo de Companhia B pode ter 50% de confiança.
Há várias razões por que algoritmos diferentes podem ter níveis diferentes de confiança. Por exemplo, dependendo da sensibilidade do terminal, dependendo do modo que o cartão é passado, e dependendo do envelhecimento do cartão, alguns algoritmos podem ser capazes de controlar dados mais precisamente. Neste exemplo, se o computador de servidor receber uma mensagem de pedido de autorização indicando que o algoritmo de Companhia B está presente e houve atividade suspeita recente associada com o cartão de pagamento, então processamento de autenticação adicional pode ser iniciado. Por outro lado, se o computador de servidor receber uma mensagem de pedido de autorização indicando que o algoritmo de Companhia A está presente e houve atividade suspeita recente, então o computador de servidor de extremidade traseira pode não iniciar processamento de autenticação adicional.
Ilustrativamente, Varejista 1 pode ter uma relação com Provedor de Tecnologia A e Varejista 2 pode ter uma relação com Provedor de Tecnologia B. Eles podem usar algoritmos diferentes nos seus dispositivos de ponto de venda. Cada um entrega dois conjuntos de dados usando dois algoritmos diferentes. Quando eles retornam a uma organização de processamento de pagamento tal como Visa, pode identificar dados como se originando de um algoritmo de Provedor de Tecnologia A, e/ou de algoritmo de Provedor de Tecnologia B. Peso pode ser posto nos algoritmos de forma que um nível de confiança possa ser determinado. Processamento de autenticação adicional pode então acontecer se um nível de confiança (ou limiar) não for satisfeito.
III. Sistemas Exemplares
Figura 1 mostra um sistema 20 que pode ser usado em uma concretização da invenção. O sistema 20 inclui uma pluralidade de comerciantes 22(a), 22(b), 22(c) e uma pluralidade de adquirentes 24(a), 24(b), 24(c) associados com os comerciantes 22(a), 22(b), 22(c). Em transações de pagamento típicas, consumidores 30(a), 30(b), 30(c) podem comprar bens ou serviços nos comerciantes 22(a), 22(b), 22(c) usando seus dispositivos de consumidor portáteis 32(a), 32(b), 32(c). Os consumidores 30(a), 30(b), 30(c) podem ser indivíduos, ou organizações tais como empresas. Os adquirentes 24(a), 24(b), 24(c) podem se comunicar com os emissores 28(a), 28(b), 28(c) por uma rede de processamento de pagamento 26. Os emissores 28(a), 28(b), 28(c) podem emitir respectivamente dispositivos de consumidor portáteis 30(a), 30(b), 30(c) para os consumidores 30(a), 30(b), 30(c).
Para propósitos de ilustração, dispositivo de acesso A 32(a) pode ser produzido por Companhia A, que pode estar associado com um algoritmo com um identificador de algoritmo "01". Dispositivo de acesso B 32(b) pode ser produzido por Companhia B e pode estar associado com um algoritmo com um identificador de algoritmo "02". Dispositivo de acesso C 32(c) pode estar associado com Companhia D e pode não ter nenhum algoritmo associado com ele.
Os dispositivos de consumidor portáteis 32(a), 32(b), 32(c) podem estar em qualquer forma adequada. Por exemplo, dispositivos de consumidor portáteis adequados 32(a), 32(b), 32(c) podem ser segurados à mão e compactos de forma que eles possam se ajustar na carteira e/ou bolso de um consumidor (por exemplo, de tamanho de bolso). Eles podem incluir cartões inteligentes, cartões de crédito ou débito ordinários (com uma faixa magnética e sem um microprocessador), dispositivos de chaveiro (tal como o Speedpass™ comercialmente disponível de Exxon-Mobil Corp.), etc. Outros exemplos de dispositivos de consumidor portáteis incluem telefones celulares, assistentes digitais pessoais (PDAs), radiolocalizadores, cartões de pagamento, cartões de segurança, cartões de acesso, mídia inteligente, transponders, e similares. Os dispositivos de consumidor portáteis também podem ser dispositivos de débito (por exemplo, um cartão de débito), dispositivos de crédito (por exemplo, um cartão de crédito), ou dispositivos de valor armazenado (por exemplo, um cartão de valor armazenado).
Figura 2 mostra uma ilustração esquemática de um dispositivo de consumidor portátil 32 na forma de um cartão. O dispositivo de consumidor portátil 32 inclui um elemento sem contato 32(c) incluindo um dispositivo de memória 32(c)-l tal como um chip, e uma antena 32(c)-2 acoplada operativamente ao dispositivo de memória 32(c)-l. Figura 2 também mostra dados de consumidor 32(a) incluindo um número de conta (por exemplo, 1234 5678 1234 5678), um nome de conta (por exemplo, Consumidor Joe), e uma data de expiração (por exemplo, 10/10) associada com o dispositivo de consumidor portátil 32. O dispositivo de consumidor portátil 32 também pode incluir uma faixa magnética 32(b).
Informação no dispositivo de memória 32(c)-l ou trilha 32(b) também pode estar na forma de trilhas de dados que estão associadas tradicionalmente com cartões de crédito. Tais trilhas incluem Trilha 1, Trilha 2 e outro chip ou dados de conta. Trilha 1 ("Associação de Transporte Aéreo Internacional") armazena mais informação do que Trilha 2, e contém o nome do titular de cartão de crédito como também número de conta e outros dados discricionários. Esta trilha é às vezes usada pelas linhas aéreas ao assegurar reservas com um cartão de crédito. Trilha 2 ("Associação Bancária Americana") é atualmente usada mais comumente. Esta é a trilha que é lida pelos bancos 24 horas e verificadores de cartão de crédito. A ABA (Associação Bancária Americana) projetou as especificações desta trilha e todos os bancos mundiais devem cumpri-la. Contém o número de conta do titular de cartão de crédito, dados de PIN codificados, mais outros dados discricionários ou suplementares.
Os comerciantes 22(a), 22(b), 22(c) também pode ter, ou podem receber comunicações de dispositivos de acesso respectivos 34(a), 34(b), 34(c), que podem interagir com os dispositivos de consumidor portáteis 32(a), 32(b), 32(c). Os dispositivos de acesso de acordo com concretizações da invenção podem estar em qualquer forma adequada. Exemplos de dispositivos de acesso incluem dispositivos de ponto de venda (POS), telefones celulares, PDAs, computadores pessoais (PCs), PCs de tablete, leitores especializados segurados à mão, 'set-top boxes', registradores de dinheiro eletrônico (ECRs), bancos 24 horas (ATMs), registradores de dinheiro virtuais (VCRs), quiosques, sistemas de segurança, sistemas de acesso, e similares.
Se o dispositivo de acesso for um terminal de ponto de venda, qualquer terminal de ponto de venda adequado pode ser usado incluindo leitores de cartão. Os leitores de cartão podem incluir qualquer modo de operação por contato ou sem contato adequado. Por exemplo, leitores de cartão exemplares podem incluir antenas de RF (radiofreqüência), leitores de faixa magnética, etc., para interagir com os dispositivos de consumidor portáteis 32(a), 32(b), 32(c).
Figura 3 mostra um diagrama de bloco de um dispositivo de acesso 32 de acordo com uma concretização da invenção. O dispositivo de acesso 32 inclui um processador 32(a)-l acoplado operativamente a um meio legível por computador 32(a)-2 (por exemplo, um ou mais chips de memória, etc.), elementos de entrada 32(a)-3 tais como botões ou similares, um leitor 32(a)-4 (por exemplo, um leitor sem contato, um leitor de faixa magnética, etc.), um dispositivo de saída 32(a)-5 (por exemplo, um monitor, um alto- falante, etc.) e uma interface de rede 32(a)-6.
A rede de processamento de pagamento 26 pode incluir subsistemas de processamento de dados, redes, e operações usadas para suportar e entregar serviços de autorização, roteamento e comutação, serviços de arquivo de exceção, e serviços de compensação e liquidação. Um sistema de processamento de pagamento exemplar pode incluir VisaNet™. Sistemas de processamento de pagamento tal como VisaNet™ são capazes de processar transações de cartão de crédito, transações de cartão de débito e outros tipos de transações comerciais. VisaNet™, em particular, inclui um sistema de VIP (sistema de Pagamentos Integrados Visa) que processa pedidos de autorização e um sistema Base II que executa serviços de compensação e liquidação.
A rede de processamento de pagamento 26 pode incluir um computador de servidor 26(a). Um computador de servidor é tipicamente um computador poderoso ou agrupamento de computadores. Por exemplo, o computador de servidor pode ser um mainframe grande, um agrupamento de minicomputadores, ou um grupo de servidores funcionando como uma unidade. Em um exemplo, o computador de servidor pode ser um servidor de banco de dados acoplado a um servidor da Web. O sistema de processamento de pagamento 26 pode usar qualquer rede por fios ou sem fios adequada, incluindo a Internet. Pode incluir um processador, um meio legível por computador incluindo instruções (descritas aqui) executáveis pelo processador.
O computador de servidor 26(a) pode incluir qualquer número adequado de módulos de software e eles podem ser de qualquer tipo adequado. Como mostrado na Figura 4, o computador de servidor 26(a) pode incluir um módulo de identificação de algoritmo 26(a)-l e um módulo de avaliação de confiança 26(a)-2. Também pode incluir um módulo de descriptografia 26(a)-3, como também um módulo formatador de dados 26(a)- 4.
O módulo de identificação de algoritmo 26(a)-l, junto com o módulo de descriptografia 26(a)-3, pode revisar uma mensagem de pedido de autorização recebida incluindo um ID de algoritmo e uma impressão digital de dispositivo de consumidor portátil alterada. Do ID de algoritmo recebido, pode então determinar qual algoritmo foi usado para alterar (por exemplo, criptografar) a impressão digital de dispositivo de consumidor portátil. Uma tabela de consulta ou similar pode ser usada para identificar correspondência entre o ID de algoritmo, os algoritmos usados para alterar uma impressão digital de dispositivo de consumidor portátil ou restaurar uma impressão digital de dispositivo de consumidor portátil alterada, e dados de consumidor (por exemplo, um número de conta). (Em alguns casos, o algoritmo pode ser uma chave em um processo de criptografia). O computador de servidor 26(a) pode então ser usado para determinar (por exemplo, através de descriptografia) a impressão digital de dispositivo de consumidor portátil da impressão digital de dispositivo de consumidor portátil alterada em uma mensagem de pedido de autorização. Uma vez que a impressão digital de dispositivo de consumidor portátil seja determinada, esta informação pode ser analisada para determinar se corresponde a uma impressão digital armazenada ligada a dados de consumidor (por exemplo, número de conta) associados com o dispositivo de consumidor portátil.
O módulo de avaliação de confiança 26(a)-2 pode gerar uma avaliação de confiança de vários pedaços de informação. Tal informação pode incluir o tipo de dispositivo de consumidor portátil usado (por exemplo, um telefone pode ser mais seguro do que um cartão de pagamento), o tipo de algoritmo usado para criptografar a impressão digital de dispositivo de consumidor portátil (por exemplo, alguns algoritmos de criptografia são mais seguros do que outros), etc. Usando o módulo de confiança 26(a)-2, o computador de servidor 26(a) pode determinar subseqüentemente se processos de autenticação adicionais precisam acontecer. Tais processos de autenticação adicionais podem incluir perguntas de intimação e/ou notificação de consumidor que uma transação está ocorrendo.
O módulo de avaliação de confiança 26(a)-2 pode "avaliar" uma transação baseado em diversas variáveis de transação. Se esta contagem exceder um limiar predeterminado, então a transação pode ser considerada válida e processamento de autenticação adicional não precisa acontecer. Reciprocamente, se a contagem não exceder um limiar predeterminado, então a transação pode ser caracterizada como suspeita e processos de autenticação adicionais podem ser iniciados.
O módulo de formatador de dados 26(a)-4 pode ser usado para formatar dados de forma que possam ser usados pelo módulo de avaliação de confiança 26(a)-2. Em alguns casos, dados que são de terminais de POS diferentes de companhias diferentes podem ser descriptografados pelo módulo de descriptografia 26(a)-3 e podem estar em formatos diferentes. O formatador de dados podem formatar quaisquer dados de forma que possam ser usados pelo módulo de avaliação de confiança 26(a)-2.
Figura 5 mostra componentes típicos ou subsistemas de um aparelho de computador. Tais componentes (ou subsistemas) ou qualquer subconjunto de tais componentes podem estar presentes em vários componentes mostrados na Figura 1, incluindo os dispositivos de acesso, computador de servidor, etc. Os subsistemas mostrados na Figura 5 estão interconectados por um barramento de sistema 775. Subsistemas adicionais tais como uma impressora 774, teclado 778, disco fixo 779, monitor 776, que estão acoplados a adaptador de exibição 782, e a outros são mostrados. Periféricos e dispositivos de entrada/saída (I/O), que acoplam a controlador de I/O 771, podem estar conectados ao sistema de computador por qualquer número de meios conhecidos na arte, tal como porta serial 777. Por exemplo, porta serial 777 ou interface externa 781 pode ser usada para conectar o aparelho de computador a uma rede de área extensa tal como a Internet, um dispositivo de entrada de mouse, ou um escaner. A interconexão por barramento de sistema 775 permite ao processador central 773 se comunicar com cada subsistema e controlar a execução de instruções de memória de sistema 772 ou o disco fixo 779, como também a troca de informação entre subsistemas. A memória de sistema 772 e/ou o disco fixo 779 pode concretizar um meio legível por computador.
Concretizações da invenção não estão limitadas às concretizações acima descritas. Por exemplo, embora blocos funcionais separados sejam mostrados para um emissor, sistema de processamento de pagamento, e adquirente, algumas entidades executam todas estas funções e podem ser incluídas em concretizações de invenção.
IV. Métodos Exemplares
Vários métodos de acordo com concretizações da invenção podem ser descritos com referência às Figuras 1, 6 e 7. Figuras 6-7 incluem fluxogramas.
Algumas ou todas os etapas mostradas na Figura 6 podem ser incluídas em concretizações da invenção. Por exemplo, algumas concretizações da invenção podem usar identificadores de algoritmo para determinar se uma impressão digital de dispositivo de consumidor portátil em uma mensagem de pedido de autorização casa com uma impressão digital de dispositivo de consumidor portátil armazenada em um banco de dados de extremidade traseira, e pode não executar processamento de confiança de transação antes de determinar se a transação está autorizada. Em outras concretizações, um processo de confiança de transação pode ser executado sem usar impressões digitais de dispositivo de consumidor portátil para autenticar dispositivos de consumidor portáteis. Em concretizações preferidas, porém, identificadores de algoritmo, impressões digitais de dispositivo de consumidor portátil, e processamento de confiança de transação são usados para autenticar os dispositivos de consumidor portáteis e transações como um todo.
Também, enquanto os fluxogramas mostrados nas Figuras 6 e 7 mostram etapas específicas sendo executadas em uma ordem específica, concretizações da invenção podem incluir métodos que incluem tais etapas em uma ordem diferente.
Se referindo às Figuras 1 e 6, um consumidor A 30(a) pode usar um dispositivo de consumidor portátil A 32(a) para interagir com um dispositivo de acesso A 34(a) a um comerciante A 22(a) (etapa 202). Por exemplo, o dispositivo de consumidor portátil 32(a) pode ser um cartão de crédito, o dispositivo de acesso A 34(a) pode ser um terminal de ponto de venda, e o comerciante A 22(a) pode ser um posto de gasolina. Consumidor A 30(a) pode querer comprar gasolina de comerciante A 22(a) usando o dispositivo de consumidor portátil A 32(a).
Depois que o dispositivo de consumidor portátil A 32(a) se conecta com o dispositivo de acesso A 34(a) em comerciante A 22(a), o dispositivo de acesso A 34(a) lê dados de consumidor e dados de impressão digital de dispositivo de consumidor portátil tais como dados de impressão digital de faixa magnética do dispositivo de consumidor portátil A 32(a) (etapa 204). Os dados de consumidor podem incluir informação da qual o consumidor está tipicamente ciente. Exemplos de dados de consumidor incluem o número de conta de um consumidor, data de expiração e código de serviço. Como notado acima, dados de impressão digital de dispositivo de consumidor portátil são dados que não são conhecidos tipicamente ao consumidor, mas são usados para autenticar o dispositivo de consumidor portátil. Neste exemplo, os dados de impressão digital de dispositivo de consumidor portátil podem ser dados de impressão digital de faixa magnética. Os dados de impressão digital de faixa magnética também podem incluir dados que estão embutidos na estrutura magnética da faixa magnética e são só legíveis usando um dispositivo de acesso que é fabricado por uma companhia particular.
Uma vez que o dispositivo de acesso A 34(a) obtenha os dados de consumidor do dispositivo de consumidor portátil A 34(a), uma mensagem de pedido de autorização incluindo um identificador de algoritmo é criada (etapa 206). A mensagem de pedido de autorização também pode incluir dados de consumidor (por exemplo, um número de conta), dados relativos à quantia da compra, e dados de impressão digital de dispositivo de consumidor portátil. O dispositivo de acesso A 34(a) pode alterar (por exemplo, criptografar) os dados de impressão digital recebidos usando um algoritmo A que está armazenado em uma memória em dispositivo de acesso A 34(a), antes que sejam incorporados na mensagem de pedido de autorização. Em algumas concretizações, a impressão digital de dispositivo de consumidor portátil e o identificador de algoritmo podem ser armazenados em um campo de dados complementar chamado Campo 55.
Tipos e tamanhos diferentes de impressões digitais podem se originar de dispositivos de consumidor portáteis diferentes oferecidos por fabricantes diferentes. Estas impressões digitais diferentes podem ser inseridas em um campo de dados de tamanho padrão de forma que transmissão pelo sistema de processamento de pagamento seja uniforme indiferente da impressão digital particular sendo transmitida. Por exemplo, em alguns casos, é desejável encher o campo de dados com caracteres tais como zeros para completar o campo de dados. Por exemplo, um campo de dados pode ter um tamanho de 64 bytes. A impressão digital de um tipo de dispositivo de consumidor portátil pode ser 54 bytes, enquanto a impressão digital de outro tipo de dispositivo de consumidor portátil pode ser 56 bytes. Caracteres de enchimento adicionais podem estar presentes no campo de 64 bytes junto com um identificador de algoritmo de dois caracteres. Os caracteres de enchimento podem ser colocados no campo de uma maneira predeterminada. Igualmente, um formato de TLV (Valor de Comprimento de Etiqueta) pode ser usado para entregar os dados de pagamento e autenticação. Esta abordagem provê flexibilidade adicional e uso de campos de mensagem de pagamento e autorização padrão ou novos.
Em concretizações da invenção, o identificador de algoritmo previamente descrito pode identificar não só o algoritmo usado para criptografar uma impressão digital de dispositivo de consumidor portátil; o algoritmo identificado também pode ser usado para restaurar a impressão digital a sua forma original de forma que possa ser avaliada. Por exemplo, o identificador de algoritmo pode ser usado para identificar o algoritmo que pode ser usado para remover quaisquer caracteres de enchimento para restaurara a impressão digital recebida, mas alterada a sua forma original de forma que possa ser avaliada.
A mensagem de pedido de autorização é então enviada de dispositivo de acesso 34(a) para a rede de processamento de pagamento 26 diretamente ou pelo adquirente A 24(a) associado com o comerciante A 22(a) (etapa 208). Em outras concretizações, o dispositivo de acesso 34(a) poderia enviar a mensagem de pedido de autorização à rede de processamento de pagamento diretamente, em vez de pelo adquirente A 24(a).
Depois que a mensagem de pedido de autorização é recebida pela rede de processamento de pagamento 26, o computador de servidor 26(a) na rede de processamento de pagamento 26 analisa a mensagem de pedido de autorização e então seleciona um algoritmo usando um ID de algoritmo que está na mensagem de pedido de autorização (etapa 210). O ID de algoritmo selecionado e o algoritmo selecionado podem ser selecionados do banco de dados de algoritmo 26(c). O banco de dados de algoritmo 26(c) pode conter uma pluralidade de IDs de algoritmo e uma pluralidade de algoritmos que podem ser associados com vários dispositivos de acesso (por exemplo, dispositivo de acesso A 32(a) e dispositivo de acesso B 34(b)).
Depois que o algoritmo é identificado, a impressão digital de dispositivo de consumidor portátil é determinada pelo computador de servidor 26(a) na rede de processamento de pagamento 26 (etapa 212). O algoritmo selecionado é então usado para restaurara (por exemplo, descriptografar) a impressão digital de dispositivo de consumidor portátil alterada presente na mensagem de pedido de autorização.
Então, o computador de servidor 26(a) determina se a impressão digital de dispositivo de consumidor portátil determinada corresponde a uma impressão digital previamente armazenada em um banco de dados (etapa 214). O computador de servidor 26(a) pode primeiro obter dados de consumidor tal como o número de conta do consumidor da mensagem de pedido de autorização e/ou pode obter dados de consumidor adicionais do banco de dados de consumidor 26(b) depois de analisar a mensagem de pedido de autorização. Uma vez que os dados de consumidor sejam determinados, o computador de servidor 26(a) pode obter a impressão digital de dispositivo de consumidor portátil do banco de dados de consumidor 26(b). O computador de servidor 26(a) então determina se a impressão digital de dispositivo de consumidor portátil na mensagem de pedido de autorização e a impressão digital de dispositivo de consumidor portátil no banco de dados de consumidor 26(b) casam.
Se a impressão digital de dispositivo de consumidor portátil obtida do banco de dados de consumidor 26(b) não corresponder à impressão digital de dispositivo de consumidor portátil restaurada previamente obtida da mensagem de pedido de autorização, então processos de autenticação adicionais podem ser executados e/ou uma mensagem de resposta de autorização pode ser enviada de volta ao consumidor A 22(a) indicando que a transação está negada (etapa 222). Processamento de autenticação adicional pode incluir enviar uma mensagem de notificação de transação ao consumidor A 22(a) (por exemplo, para o telefone celular do consumidor ou ao computador do consumidor) notificando o consumidor que uma transação está acontecendo. A mensagem de notificação pode pedir que o consumidor A 22(a) confirme que a transação é autêntica. Alternativamente ou adicionalmente, outros tipos de intimações, tais como perguntas de intimação, podem ser enviadas para consumidor A 22(a). Intimações tais como perguntas de intimação são descritas em detalhe adicional no Pedido de Patente US No. 11/763.240, depositado em 14 de junho de 2007 (Registro de Agente No. 16222U-031600US) que está incorporado aqui por referência em sua totalidade para todos os propósitos.
Em algumas concretizações, se uma impressão digital obtida da mensagem de pedido de autorização e a impressão digital no banco de dados de consumidor 26(b) casarem, o computador de servidor 26(a) também pode opcionalmente determinar se um limiar de confiança de transação está satisfeito (etapa 215). Se o limiar de confiança não estiver satisfeito, então processamento de autorização adicional pode ser executado (etapa 223). Se, porém, o limiar de confiança estiver satisfeito, a autorização pode ser processada em nome do emissor ou uma mensagem de pedido de autorização pode então ser remetida para emissor A 28(a) (etapa 216) para tomada de decisão final.
O limiar de confiança de transação pode levar qualquer número de características de transação para avaliar a transação como sendo autêntica ou potencialmente suspeita. Tais características de transação podem se relacionar ao dispositivo de acesso (por exemplo, se o dispositivo de acesso usa tecnologia nova ou velha, se o dispositivo de acesso usa um algoritmo de criptografia seguro para criptografar dados, etc.), dispositivo de consumidor portátil (por exemplo, se o dispositivo de consumidor portátil é um telefone, um cartão de faixa magnética com tecnologia velha, um cartão de faixa magnética com tecnologia nova, etc.), etc.
Como notado acima, em um sistema de processamento de pagamento, pode haver muitas combinações diferentes de dispositivos de acesso e dispositivos de consumidor portáteis interagindo juntos em qualquer dado momento. Estas combinações diferentes de dispositivos de acesso e dispositivos de consumidor portáteis podem iniciar transações que podem ter níveis diferentes de autenticidade potencial. Por exemplo, se referindo à Figura 1, dispositivo de acesso A 34(a) pode usar um algoritmo de criptografia de companhia A para criptografar dados em uma mensagem de pedido de autorização, dispositivo de acesso B 34(b) pode usar um algoritmo de criptografia de companhia B, e dispositivo de acesso C 34(c) pode não usar qualquer tecnologia de criptografia. Algoritmo de criptografia A pode ser considerado um algoritmo de criptografia mais seguro do que algoritmo de criptografia Β. Conseqüentemente, mensagens de pedido de autorização de dispositivo de acesso A 34(a) podem ter um nível mais alto de autenticidade potencial do que mensagens de pedido de autorização de dispositivo de acesso B 34(b) ou dispositivo de acesso C 34(c). Processamento de autenticação adicional pode ser executado quando transações são executadas em dispositivos de acesso BeC 34(b), 34(c) em lugar de o dispositivo de acesso A 34(a). Em outro exemplo, se dispositivos de consumidor portáteis A, B, e C 32(a), 32(b), 32(c) forem todos dispositivos de consumidor portáteis altamente seguros, então só mensagens de pedido de autorização vindo de dispositivo de acesso C 34(c) podem requerer processamento de autenticação adicional, como só o dispositivo de acesso C 34(c) não contém um algoritmo de criptografia. Como ilustrado por este exemplo, o limiar para determinar se ou não autorização adicional de processamento precisa ser executado pode ser variado e pode ser fixado de acordo com regras predeterminadas.
Depois que a mensagem de pedido de autorização é recebida por emissor A 28(a), emissor A pode então determinar se a transação está autorizada. Se a transação não estiver autorizada (por exemplo, devido a fundos ou créditos insuficientes na conta do consumidor A), então processamento de autorização adicional pode ser executado e/ou uma mensagem de resposta de autorização indicando que a transação está recusada pode ser enviada para consumidor A 30(a) (etapa 224).
Se a transação for aprovada por emissor A 28(a), então uma mensagem de resposta de autorização pode ser enviada de volta para consumidor A 30(a) pela rede de processamento de pagamento 26, adquirente A 24(a), comerciante A 22(a), e dispositivo de acesso A 34(a) (etapa 220).
Ao fim do dia, um processo de compensação e liquidação normal pode ser conduzido pelo sistema de processamento de transação 26. Um processo de compensação é um processo de trocar detalhes financeiros entre um adquirente e um emissor para facilitar postar à conta de um consumidor e reconciliação da posição de liquidação do consumidor. Compensação e liquidação podem ocorrer simultaneamente.
IV. Sistemas de Autenticação
Os processos de autenticação portáteis acima descritos podem fazer parte de um processo de autenticação de transação global maior.
Figura 8 mostra um diagrama de bloco conceituai 100, a autenticação de uma transação de compra pode ter vários aspectos. Tais aspectos incluem autenticação de dispositivo de consumidor portátil 100(a), autenticação de consumidor 100(b), processamento de extremidade traseira incluindo análise de risco em tempo real 100(c), e notificação de consumidor da transação de compra 100(d).
Autenticação de dispositivo de consumidor portátil relaciona- se à autenticação do dispositivo de consumidor portátil. Quer dizer, em um processo de autenticação de dispositivo de consumidor portátil, uma determinação é feita sobre se o dispositivo de consumidor portátil que está sendo usado na transação de compra é o dispositivo de consumidor portátil autêntico ou um dispositivo de consumidor portátil falso. Técnicas exemplares específicas para melhorar a autenticação de um dispositivo de consumidor portátil incluem:
CW dinâmico em dispositivos de consumidor portáteis tais como cartões de faixa magnética;
Características de segurança de cartão (existentes e novas);
Chips sem contato (uso limitado);
Identificação de faixa magnética;
Valores de Verificação de Cartão (CW e CW2);
Chips de EMV de Contato.
Autenticação de consumidor relaciona-se a uma determinação sobre se ou não a pessoa conduzindo a transação é na realidade a dona ou usuário autorizado do dispositivo de consumidor portátil. Processos de autenticação de consumidor convencionais são conduzidos pelos comerciantes. Por exemplo, comerciantes podem pedir para ver a carteira de motorista de um titular de cartão de crédito, antes de conduzir uma transação empresarial com o titular de cartão de crédito. Outros modos para autenticar o consumidor seriam desejáveis, desde que autenticação de consumidor no comerciante não ocorre em todo caso. Exemplos específicos de possíveis modos para melhorar o processo de autenticação de consumidor incluem pelo menos o seguinte:
Intimação-respostas baseadas em conhecimento;
Símbolos de hardware (múltiplas opções de solução);
OTPs (senha de uma vez, uso limitado);
AVSs (não como uma solução independente);
Assinaturas;
Símbolos de software;
PINs (online/offline);
IDs/Senhas de Usuário;
Processos de autenticação de dois canais (por exemplo, por telefone);
Biométrica.
Processamento de extremidade traseira relaciona-se a processamento que pode ocorrer no emissor ou sistema de processamento de pagamento, ou outro local não mercantil. Vários processos podem ser executados na "extremidade traseira" da transação de pagamento para ajudar a assegurar que qualquer transação sendo conduzida seja autêntica. Processamento de extremidade traseira também pode prevenir transações que não deveriam ser autorizadas, e pode permitir transações que deveriam ser autorizadas.
Finalmente, notificação de consumidor é outro aspecto de autenticação de transação. Em alguns casos, um consumidor pode ser notificado que uma transação de compra está ocorrendo ou ocorreu. Se o consumidor for notificado (por exemplo, por telefone celular) que uma transação está ocorrendo usando seu dispositivo de consumidor portátil, e o consumidor não estiver na realidade conduzindo a transação, então etapas apropriadas podem ser levadas para impedir a transação de ocorrer. Exemplos específicos de processos de notificação de consumidor incluem:
Notificação de compra por SMS;
Notificação de compra por e-mail;
Notificação de compra por telefone.
Outros detalhes considerando alguns dos aspectos acima descritos são providos no Pedido de Patente Provisório US No. 60/815.059, depositado em 19 de junho de 2006, Pedido de Patente Provisório US No. 60/815.430, depositado em 20 de junho de 2006, e Pedido de Patente Provisório US No. 60/884.089, depositado em 9 de janeiro de 2007, que estão incorporados aqui por referência na sua totalidade para todos os propósitos.
Os detalhes específicos dos aspectos específicos podem ser combinados de qualquer maneira adequada sem partir do espírito e extensão de concretizações da invenção. Por exemplo, autenticação de dispositivo de consumidor portátil, autenticação de consumidor, processamento de extremidade traseira, e notificação de transação de consumidor pode tudo ser combinado em algumas concretizações da invenção. Porém, outras concretizações da invenção podem ser dirigidas a concretizações específicas relativas a cada aspecto individual, ou combinações específicas destes aspectos individuais.
Deveria ser entendido que a presente invenção como descrita acima pode ser implementada na forma de lógica de controle usando software de computador de uma maneira modular ou integrada. Baseado na exposição e ensinamentos providos aqui, uma pessoa de habilidade ordinária na arte saberá e apreciará outros modos e/ou métodos para implementar a presente invenção usando hardware e uma combinação de hardware e software.
Quaisquer dos componentes de software ou funções descritas nesta aplicação, podem ser implementados como código de software a ser executado por um processador usando qualquer linguagem de computador adequada tais como, por exemplo, Java, C++ ou Perl usando, por exemplo, técnicas convencionais ou orientadas para objeto. O código de software pode ser armazenado como uma série de instruções, ou comandos em um meio legível por computador, tal como uma memória de acesso aleatório (RAM), uma memória só de leitura (ROM), um meio magnético tal como uma unidade de disco rígido ou um disquete, ou um meio óptico tal como um CD- ROM. Qualquer tal meio legível por computador pode residir no ou dentro de um único aparelho computacional, e pode estar presente no ou dentro de aparelhos computacionais diferentes dentro de um sistema ou rede.
A descrição anterior é ilustrativa e não é restritiva. Muitas variações da invenção se tornarão aparentes àqueles qualificados na arte na revisão da exposição. A extensão da invenção, portanto, não deveria ser determinada com referência à descrição anterior, mas ao invés deveria ser determinada com referência às reivindicações pendentes junto com sua extensão completa ou equivalentes. Por exemplo, embora algoritmos para uso em criptografar impressões digitais de dispositivo de consumidor portáteis sejam descritos em detalhes, os algoritmos podem ser usados para qualquer outro uso final adequado em concretizações da invenção.
Uma ou mais características de qualquer concretização podem ser combinadas com uma ou mais características de qualquer outra concretização sem partir da extensão da invenção.
Uma recitação de "um", "uma" ou "o" é pretendido significar "um ou mais", a menos que especificamente indicado caso contrário.
Claims (40)
1. Método para autenticar um dispositivo de consumidor portátil, caracterizado pelo fato de que inclui: receber uma mensagem de pedido de autorização associada com uma transação conduzida usando um dispositivo de consumidor portátil, em que o dispositivo de consumidor portátil inclui uma impressão digital de dispositivo de consumidor portátil, e em que a mensagem de pedido de autorização inclui uma impressão digital de dispositivo de consumidor portátil alterada e um identificador de algoritmo; selecionar um algoritmo de entre uma pluralidade de algoritmos usando o identificador de algoritmo; determinar a impressão digital de dispositivo de consumidor portátil usando o algoritmo selecionado e a impressão digital de dispositivo de consumidor portátil alterada; determinar se a impressão digital de dispositivo de consumidor portátil casa com uma impressão digital de dispositivo de consumidor portátil armazenada; e enviar uma mensagem de resposta de autorização depois de determinar se a impressão digital de dispositivo de consumidor portátil casa com a impressão digital de dispositivo de consumidor portátil armazenada.
2. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a impressão digital de dispositivo de consumidor portátil alterada foi formada a um dispositivo de acesso em um comerciante.
3. Método de acordo com a reivindicação 2, caracterizado pelo fato de que a impressão digital de dispositivo de consumidor portátil armazenada é armazenada em um banco de dados que também armazena um número de conta associado com o dispositivo de consumidor portátil.
4. Método de acordo com a reivindicação 1, caracterizado pelo fato de que o dispositivo de consumidor portátil é um cartão de pagamento incluindo uma faixa magnética, em que a impressão digital de dispositivo de consumidor portátil é uma impressão digital de faixa magnética.
5. Método de acordo com a reivindicação 1, caracterizado pelo fato de que o algoritmo é uma chave usada em um processo de criptografia.
6. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a mensagem de pedido de autorização adicionalmente inclui um número de conta associado com o dispositivo de consumidor portátil e uma quantia de transação associada com a transação.
7. Método de acordo com a reivindicação 1, caracterizado pelo fato de que adicionalmente inclui receber a mensagem de resposta de autorização de um emissor do dispositivo de consumidor portátil antes de enviar a mensagem de resposta de autorização.
8. Meio legível por computador, caracterizado pelo fato de que inclui código para executar o método como definido na reivindicação 1.
9. Meio legível por computador de acordo com a reivindicação 8, caracterizado pelo fato de que o dispositivo de consumidor portátil é um cartão de pagamento incluindo uma faixa magnética, em que a impressão digital de dispositivo de consumidor portátil é uma impressão digital de faixa magnética.
10. Computador servidor, caracterizado pelo fato de que inclui o meio legível por computador como definido na reivindicação 8.
11. Sistema para autenticar um dispositivo de consumidor portátil, caracterizado pelo fato de que inclui: meio para receber uma mensagem de pedido de autorização associada com uma transação conduzida usando um dispositivo de consumidor portátil, em que o dispositivo de consumidor portátil inclui uma impressão digital de dispositivo de consumidor portátil, e em que a mensagem de pedido de autorização inclui uma impressão digital de dispositivo de consumidor portátil alterada e um identificador de algoritmo; meio para selecionar um algoritmo de entre uma pluralidade de algoritmos usando o identificador de algoritmo; meio para determinar a impressão digital de dispositivo de consumidor portátil usando o algoritmo selecionado e a impressão digital de dispositivo de consumidor portátil alterada; meio para determinar se a impressão digital de dispositivo de consumidor portátil casa com uma impressão digital de dispositivo de consumidor portátil armazenada; e meio para enviar uma mensagem de resposta de autorização depois de determinar se a impressão digital de dispositivo de consumidor portátil casa com a impressão digital de dispositivo de consumidor portátil armazenada.
12. Método para autenticar um dispositivo de consumidor portátil, caracterizado pelo fato de que inclui: enviar uma mensagem de pedido de autorização associada com uma transação conduzida usando um dispositivo de consumidor portátil, em que o dispositivo de consumidor portátil inclui uma impressão digital de dispositivo de consumidor portátil, e em que a mensagem de pedido de autorização inclui uma impressão digital de dispositivo de consumidor portátil alterada e um identificador de algoritmo, em que um algoritmo é selecionado de entre uma pluralidade de algoritmos usando o identificador de algoritmo, a impressão digital de dispositivo de consumidor portátil é determinada usando o algoritmo selecionado e a impressão digital de dispositivo de consumidor portátil alterada, e um computador servidor determina se a impressão digital de dispositivo de consumidor portátil casa com uma impressão digital de dispositivo de consumidor portátil armazenada; e receber uma mensagem de resposta de autorização, em que a mensagem de resposta de autorização indica se ou não a transação está aprovada.
13. Método de acordo com a reivindicação 12, caracterizado pelo fato de que a mensagem de pedido de autorização inclui um número de conta.
14. Método de acordo com a reivindicação 12, caracterizado pelo fato de que o dispositivo de consumidor portátil é um telefone.
15. Método de acordo com a reivindicação 12, caracterizado pelo fato de que o dispositivo de consumidor portátil é um cartão de pagamento incluindo uma faixa magnética, em que a impressão digital de dispositivo de consumidor portátil é uma impressão digital de faixa magnética.
16. Método de acordo com a reivindicação 12, caracterizado pelo fato de que o algoritmo é uma chave associada com um processo de criptografia.
17. Método de acordo com a reivindicação 12, caracterizado pelo fato de que a transação é uma transação de pagamento.
18. Meio legível por computador, caracterizado pelo fato de que inclui código para executar o método como definido na reivindicação 12.
19. Dispositivo de acesso, caracterizado pelo fato de que inclui o meio legível por computador como definido na reivindicação 18.
20. Dispositivo de acesso de acordo com a reivindicação 19, caracterizado pelo fato de que o dispositivo de acesso é um terminal de ponto de venda.
21. Método para autenticar um dispositivo de consumidor portátil, caracterizado pelo fato de que inclui: receber uma mensagem de pedido de autorização, em que a mensagem de pedido de autorização é gerada depois de uma interação entre um dispositivo de consumidor portátil e um dispositivo de acesso; analisar a mensagem de pedido de autorização para um ou mais características ou o dispositivo de consumidor portátil ou o dispositivo de acesso para determinar se um limiar de confiança é cumprido ou excedido; e se o limiar de confiança não for excedido, executar o processamento de autenticação adicional.
22. Método de acordo com a reivindicação 21, caracterizado pelo fato de que a uma ou mais características do dispositivo de consumidor portátil incluem um dispositivo de consumidor portátil particular usado.
23. Método de acordo com a reivindicação 21, caracterizado pelo fato de que a uma ou mais características do dispositivo de acesso incluem um algoritmo particular usado para alterar uma impressão digital de dispositivo de consumidor portátil associada com o dispositivo de consumidor portátil.
24. Método de acordo com a reivindicação 23, caracterizado pelo fato de que analisar a mensagem de pedido de autorização inclui analisar pelo menos uma característica do dispositivo de acesso e pelo menos uma característica do dispositivo de consumidor portátil para determinar se o limiar de confiança é cumprido ou excedido.
25. Método de acordo com a reivindicação 24, caracterizado pelo fato de que a uma ou mais características do dispositivo de acesso incluem um algoritmo particular presente no dispositivo de acesso.
26. Método de acordo com a reivindicação 24, caracterizado pelo fato de que o dispositivo de consumidor portátil é um cartão de pagamento.
27. Método de acordo com a reivindicação 24, caracterizado pelo fato de que o dispositivo de consumidor portátil é um telefone.
28. Método de acordo com a reivindicação 24, caracterizado pelo fato de que adicionalmente inclui: enviar uma mensagem de resposta de autorização ao consumidor sem executar processamento de autenticação adicional se o limiar de confiança for cumprido.
29. Método de acordo com a reivindicação 21, caracterizado pelo fato de que o processamento de autenticação adicional inclui enviar ao consumidor uma mensagem para um telefone operado por um consumidor ou a um dispositivo de acesso usado para conduzir a transação, em que a mensagem indica que a transação está ocorrendo.
30. Método de acordo com a reivindicação 29, caracterizado pelo fato de que a transação é uma transação de pagamento.
31. Sistema para autenticar um dispositivo de consumidor portátil, caracterizado pelo fato de que inclui: meio para receber uma mensagem de pedido de autorização, em que a mensagem de pedido de autorização é gerada depois de uma interação entre um dispositivo de consumidor portátil e um dispositivo de acesso; meio para analisar a mensagem de pedido de autorização para uma ou mais características ou o dispositivo de consumidor portátil ou o dispositivo de acesso para determinar se um limiar de confiança é cumprido ou excedido; e meio para executar processamento de autenticação adicional se o limiar de confiança não for excedido.
32. Sistema de acordo com a reivindicação 31, caracterizado pelo fato de que a uma ou mais características do dispositivo de consumidor portátil incluem um dispositivo de consumidor portátil particular.
33. Sistema de acordo com a reivindicação 31, caracterizado pelo fato de que a uma ou mais características do dispositivo de acesso incluem um algoritmo particular no dispositivo de acesso.
34. Sistema de acordo com a reivindicação 31, caracterizado pelo fato de que o meio para analisar a mensagem de pedido de autorização inclui meio para analisar pelo menos uma característica do dispositivo de acesso e pelo menos uma característica do dispositivo de consumidor portátil.
35. Sistema de acordo com a reivindicação 31, caracterizado pelo fato de que o dispositivo de consumidor portátil é um cartão de pagamento.
36. Sistema para autenticar um dispositivo de consumidor portátil, caracterizado pelo fato de que inclui: um computador servidor incluindo um processador; e meio legível por computador incluindo código para receber uma mensagem de pedido de autorização, em que a mensagem de pedido de autorização é gerada depois de uma interação entre um dispositivo de consumidor portátil e um dispositivo de acesso, código para analisar a mensagem de pedido de autenticação para uma ou mais características do dispositivo de consumidor portátil ou o dispositivo de acesso para determinar se um limiar de confiança é cumprido ou excedido, e código para executar processamento de autenticação adicional se o limiar de confiança não for excedido.
37. Sistema de acordo com a reivindicação 36, caracterizado pelo fato de que adicionalmente inclui um dispositivo de acesso em comunicação operativa com o computador servidor.
38. Sistema de acordo com a reivindicação 37, caracterizado pelo fato de que o dispositivo de acesso é um terminal de POS.
39. Sistema de acordo com a reivindicação 36, caracterizado pelo fato de que a uma ou mais características do dispositivo de acesso incluem um algoritmo particular que é usado pelo dispositivo de acesso para criptografar dados do dispositivo de consumidor portátil.
40. Sistema de acordo com a reivindicação 36, caracterizado pelo fato de que a uma ou mais características do dispositivo de consumidor portátil inclui um dispositivo de consumidor portátil particular.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US81505906P | 2006-06-19 | 2006-06-19 | |
| US60/815059 | 2006-06-19 | ||
| US81543006P | 2006-06-20 | 2006-06-20 | |
| US60/815430 | 2006-06-20 | ||
| PCT/US2007/071376 WO2007149785A2 (en) | 2006-06-19 | 2007-06-15 | Portable consumer device verification system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| BRPI0713399A2 true BRPI0713399A2 (pt) | 2012-04-17 |
Family
ID=42697654
Family Applications (5)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0713622-6A BRPI0713622A2 (pt) | 2006-06-19 | 2007-06-14 | métado para seguramente fornecer número de conta primário associado com um dispositivo de consumidor portátil, dispositivo de consumidor portátil, meio legìvel por computador, e, servidor |
| BRPI0713399-5A BRPI0713399A2 (pt) | 2006-06-19 | 2007-06-15 | método para autenticar um dispositivo de consumidor portátel, meio legìvel por computador, computador servidor, sistema para autenticar um dispositivo de consumidor portátil, e , dispositivo de acesso |
| BRPI0713625-0A BRPI0713625A2 (pt) | 2006-06-19 | 2007-06-15 | métado e sistema para autenticar um consumidor, meio legivel por computador, computador servidor, telefone, servidor, e, dispositivo de ponto de venda |
| BRPI0713623-4A BRPI0713623A2 (pt) | 2006-06-19 | 2007-06-18 | métado para dinamicamente verificar ba autenticidade de um serviço de pagamento extensìvel em um dispositivo de consuidor portátil, meio legìvel por computador, e,computador |
| BRPI0713629-3A BRPI0713629A2 (pt) | 2006-06-19 | 2007-06-19 | dispositivo de consumidor portátil, sistema para autenticar um consumidor portátil, e, métados para usar o dispositivo de consumidor portátil e para autenticar uma transação. |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0713622-6A BRPI0713622A2 (pt) | 2006-06-19 | 2007-06-14 | métado para seguramente fornecer número de conta primário associado com um dispositivo de consumidor portátil, dispositivo de consumidor portátil, meio legìvel por computador, e, servidor |
Family Applications After (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0713625-0A BRPI0713625A2 (pt) | 2006-06-19 | 2007-06-15 | métado e sistema para autenticar um consumidor, meio legivel por computador, computador servidor, telefone, servidor, e, dispositivo de ponto de venda |
| BRPI0713623-4A BRPI0713623A2 (pt) | 2006-06-19 | 2007-06-18 | métado para dinamicamente verificar ba autenticidade de um serviço de pagamento extensìvel em um dispositivo de consuidor portátil, meio legìvel por computador, e,computador |
| BRPI0713629-3A BRPI0713629A2 (pt) | 2006-06-19 | 2007-06-19 | dispositivo de consumidor portátil, sistema para autenticar um consumidor portátil, e, métados para usar o dispositivo de consumidor portátil e para autenticar uma transação. |
Country Status (2)
| Country | Link |
|---|---|
| BR (5) | BRPI0713622A2 (pt) |
| RU (2) | RU2461065C2 (pt) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7818264B2 (en) | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
| CN105868983A (zh) | 2016-04-26 | 2016-08-17 | 北京小米移动软件有限公司 | 信息输出控制方法和装置、智能终端 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5539810A (en) * | 1992-01-27 | 1996-07-23 | Highwaymaster Communications, Inc. | Data messaging in a communications network |
| WO1997024825A2 (de) * | 1995-12-29 | 1997-07-10 | Tixi.Com Gmbh Telecommunication Systems | Verfahren und mikrocomputersystem zur automatischen, sicheren und direkten datenübertragung |
| US7216083B2 (en) * | 2001-03-07 | 2007-05-08 | Diebold, Incorporated | Automated transaction machine digital signature system and method |
| US7363055B2 (en) * | 2002-05-09 | 2008-04-22 | Casabyte, Inc. | Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and/or proxy wireless communications devices |
| RU2254611C2 (ru) * | 2003-03-13 | 2005-06-20 | Общество с ограниченной ответственностью "Мобилити" | Способ предоставления пользователям мобильных устройств электронной связи актуальной коммерческой информации на альтернативной основе (варианты) и информационная система для его осуществления (варианты) |
| RU2263347C2 (ru) * | 2003-11-04 | 2005-10-27 | Общество с ограниченной ответственностью "Мобилити" | Способ совершения платежных операций пользователями мобильных устройств электронной связи и компьютерная система безналичного расчета для его осуществления |
-
2007
- 2007-06-14 BR BRPI0713622-6A patent/BRPI0713622A2/pt not_active Application Discontinuation
- 2007-06-15 RU RU2009101310/08A patent/RU2461065C2/ru active
- 2007-06-15 BR BRPI0713399-5A patent/BRPI0713399A2/pt not_active IP Right Cessation
- 2007-06-15 BR BRPI0713625-0A patent/BRPI0713625A2/pt not_active IP Right Cessation
- 2007-06-18 BR BRPI0713623-4A patent/BRPI0713623A2/pt not_active IP Right Cessation
- 2007-06-18 RU RU2009101311/08A patent/RU2480922C2/ru active
- 2007-06-19 BR BRPI0713629-3A patent/BRPI0713629A2/pt not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| RU2461065C2 (ru) | 2012-09-10 |
| RU2480922C2 (ru) | 2013-04-27 |
| BRPI0713625A2 (pt) | 2012-10-16 |
| BRPI0713623A2 (pt) | 2012-10-16 |
| RU2009101310A (ru) | 2010-07-27 |
| BRPI0713622A2 (pt) | 2012-10-16 |
| BRPI0713629A2 (pt) | 2012-10-23 |
| RU2009101311A (ru) | 2010-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2007261082B2 (en) | Portable consumer device verification system | |
| US20200151725A1 (en) | Systems and methods for data desensitization | |
| RU2547621C2 (ru) | Обработка переключения шифрования | |
| CN105612543B (zh) | 用于为移动设备供应支付凭证的方法和系统 | |
| CN110582774B (zh) | 用于软件模块绑定的系统和方法 | |
| US20110010289A1 (en) | Method And System For Controlling Risk Using Static Payment Data And An Intelligent Payment Device | |
| CN101485128A (zh) | 便携式消费者设备验证系统 | |
| JP7411833B2 (ja) | 異種データメッセージの機密データを安全に伝達するための技術 | |
| CN112970234B (zh) | 账户断言 | |
| BRPI0713399A2 (pt) | método para autenticar um dispositivo de consumidor portátel, meio legìvel por computador, computador servidor, sistema para autenticar um dispositivo de consumidor portátil, e , dispositivo de acesso | |
| US20220020002A1 (en) | Post payment processing tokenization in merchant payment processing | |
| US20210326866A1 (en) | Techniques For Securely Communicating Sensitive Data | |
| US20200005297A1 (en) | Decoy billing address |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B08F | Application dismissed because of non-payment of annual fees [chapter 8.6 patent gazette] |
Free format text: REFERENTE A 8A ANUIDADE. |
|
| B08K | Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette] |
Free format text: EM VIRTUDE DO ARQUIVAMENTO PUBLICADO NA RPI 2310 DE 14-04-2015 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDO O ARQUIVAMENTO DO PEDIDO DE PATENTE, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013. |