CN107251595B - 用户和移动装置的安全认证 - Google Patents
用户和移动装置的安全认证 Download PDFInfo
- Publication number
- CN107251595B CN107251595B CN201680010553.2A CN201680010553A CN107251595B CN 107251595 B CN107251595 B CN 107251595B CN 201680010553 A CN201680010553 A CN 201680010553A CN 107251595 B CN107251595 B CN 107251595B
- Authority
- CN
- China
- Prior art keywords
- service provider
- mobile device
- user
- password
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 50
- 230000004044 response Effects 0.000 claims abstract description 33
- 238000012795 verification Methods 0.000 claims abstract description 26
- 238000013475 authorization Methods 0.000 description 40
- 238000012545 processing Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 11
- 238000012546 transfer Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 229920001690 polydopamine Polymers 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种认证方法。为了认证用户,移动装置可以向用户请求标识和验证。在接收到所述用户的肯定标识和验证响应后,所述移动装置可以使用下列项来生成密码:与所述用户关联的用户标识(ID)、时间戳、与所述移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID。所述移动装置可将所生成的密码、所述用户ID、所述时间戳、所述装置ID、所述服务提供商应用程序ID和所述服务提供商装置ID传输到与所述服务提供商应用程序关联的服务提供商计算机。所述服务提供商计算机可对所述密码进行解密,并且将所述解密的数据元素与接收到的数据元素进行比较,以验证和认证所述用户。
Description
相关申请的交叉引用
本申请是2015年2月17日提交的第62/117,277号美国临时专利申请的非临时申请并要求其提交日期的权益,该临时专利申请的全部内容以引用的方式并入本文中以用于所有目的。
背景技术
在过去几年里,使用移动装置访问各种服务越来越多。可在移动装置上执行的许多服务提供商应用程序为访问这些不同的服务而存在。然而,这些服务提供商应用程序没有可靠的方式来向后端服务(例如,服务提供商服务)确认:服务提供商应用程序正在从正确的装置进行通信,并且它们正在被正确的用户使用而没有额外的注册步骤。
本发明的实施方案单独地或共同地解决了这些和其他问题。
发明内容
本发明的一个实施方案涉及一种用于认证的方法。该方法包括:通过移动装置来接收访问服务提供商应用程序的用户请求。响应于访问服务提供商应用程序的用户请求,该方法也包括:通过移动装置经由驻留在移动装置内的标识和验证应用程序而请求来自用户的标识和验证。该方法也包括:通过移动装置来接收肯定的标识和验证响应。该方法还包括:通过移动装置使用下列项中的一个或多个来生成密码:与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID。该方法另外包括:通过移动装置将生成的密码以及下列项中的一个或多个传输到与服务提供商应用程序关联的服务提供商计算机:用户ID、时间戳、移动装置ID、服务提供商应用程序ID和服务提供商装置ID。将这些传输到服务提供商计算机可以同时或在不同时间发生。
本发明的另一实施方案涉及包括处理器和计算机可读介质的计算机。计算机可读介质包括代码,以使处理器执行上述方法。
本发明的另一实施方案涉及一种用于认证的方法,其包括:通过与服务提供商应用程序关联的服务提供商计算机来接收生成的密码、用户ID、时间戳、装置ID和服务提供商应用程序ID,其中生成的密码通过移动装置生成并且对用户ID、时间戳、装置ID和服务提供商应用程序ID进行加密。该方法也包括通过服务提供商对所接收的生成密码进行解密。该方法还包括:通过下列方式由服务提供商计算机来验证密码:确定在密码内编码的多个数据元素,随后将所确定的多个数据元素与服务提供商计算机接收的用户ID、时间戳、装置ID、服务提供商应用程序ID和服务提供商装置ID进行比较。
关于本发明的实施方案的更多细节可在具体实施方式和附图中找到。
附图说明
图1示出根据本发明的一些实施方案的移动装置的方框图。
图2示出根据本发明的一些实施方案的用于生成密码的方法的流程图。
图3示出根据本发明的一些实施方案的使用安全认证系统来访问服务提供商服务的流程图。
图4示出根据本发明的一些实施方案的使用安全认证系统的交易的流程图。
图5示出根据本发明的一些实施方案的使用安全认证系统的交易的步骤。
具体实施方式
本发明的实施方案涉及用户和移动装置对服务提供商的安全认证。本发明的实施方案可向服务提供商提供信心,即用户是可信用户,并且正用来访问第三方服务的移动装置是可信的移动装置。
在本发明的实施方案中,用户可以在他/她的移动装置上打开与服务提供商关联的服务提供商应用程序。代替呈现传统登录提示,为了让用户使用他/她的凭证登录到服务提供商应用程序,服务提供商应用程序可以改为从驻留在移动装置内的标识和验证(ID&V)应用程序请求用户的ID&V。在一些实施方案中,ID&V应用程序可能是内置在移动装置的操作系统(OS)内的服务。ID&V应用程序随后可请求用户来认证应用程序,例如,通过提供生物标识(诸如,指纹)进行认证。在得到用户的肯定ID&V后,移动装置可生成包括各种数据元素的密码。这些数据元素可包括,但不限于,与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID以及服务提供商装置ID。这些数据元素和密码可被发送到与服务提供商应用程序关联的服务提供商计算机。在一些实施方案中,密码可被带外(例如,在不同于数据元素的频道上)发送到服务提供商计算机。随后服务提供商计算机可验证所接收的数据元素与在密码内加密的数据元素匹配。在肯定验证后,服务提供商计算机可以相信用户是可信用户,并且正用来访问服务提供商计算机或服务的移动装置也是可信的。
本发明的实施方案提供改进的安全性,因为以密码加密的各种数据元素是从多个来源获得的。例如,装置ID对移动装置是唯一的,服务提供商装置ID对用户和装置的组合是唯一的,并且时间戳是从移动装置的OS获得的并且提供关于ID&V过程的时间的数据。因此,对于诈骗者来说,从多个来源获得这些数据元素以尝试利用服务提供商计算机或服务经由服务提供商应用程序来执行诈骗交易是十分困难的。
如本文中论述,本发明的实施方案将主要被描述为涉及金融交易和支付系统。然而,本发明的实施方案也可用于其他系统中,诸如社交网络、医疗保健系统或要求认证的任意其他服务提供商系统。
在论述本发明的具体实施方案之前,可详细描述一些术语。
“移动装置”可包括用户可以携带和操作的任何合适的电子装置,所述装置还可提供与网络的远程通信能力。远程通信能力的实例包括使用移动电话(无线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi-Fi、Wi-Max或可以提供诸如互联网或专用网络之类的网络访问的任何其他通信介质。移动装置的实例包括移动电话(例如,蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用阅读器等。移动装置的其他实例包括可穿戴装置,诸如智能手表、健身手环、脚链、戒指、耳环等,以及具有远程通信能力的汽车。移动装置可以包括用于执行此类功能的任何合适的硬件和软件,并且还可以包括多个装置或部件(例如,当装置通过系固到另一个装置而远程访问网络时,即,使用其他设备作为调制解调器,一起使用的两个装置可以被认为是单个移动装置)。
“支付装置”可以包括可以用来进行金融交易诸如向商家提供支付凭证的任何合适的装置。支付装置可以是软件对象、硬件对象或物理对象。支付装置可以用来进行支付交易。合适的支付装置可以是手持式且紧凑的,使得它们能够放到用户的钱包和/或口袋中(例如,口袋大小的)。示例性支付装置可以包括智能卡、磁条卡、钥匙链装置(诸如,可从Exxon-Mobil公司购买的SpeedpassTM)等。移动装置的其他实例包括寻呼机、支付卡、安全卡、存取卡、智能媒介、应答器等。如果支付装置的形式是借记卡、信用卡或智能卡,则支付装置还可以可选地具有诸如磁条这样的特征。这些装置可以以接触或非接触模式操作。在一些实施方案中,移动装置可以充当支付装置(例如,移动装置可以存储并且能够传输交易的支付凭证)。
“凭证”可以是充当价值、拥有权、身份或权力的可靠证据的任何合适的信息。“凭证”可以是一串数字、字母或任何其他合适的字符,以及可充当确认的任何对象或文件。凭证的实例包括价值凭证、身份证、公证文件、存取卡、密码和其他登录信息等。
“支付凭证”可以包括与账户关联的任何合适的信息(例如,与账户关联的支付账户和/或支付装置)。这些信息可以与账户直接相关,或者可以从与账户相关的信息中推导出来。账户信息的实例可以包括PAN(主账号或“账号”)、用户姓名、有效日期、CVV(卡验证值)、dCVV(动态卡验证值)、CVV2(卡验证值2)、CVC3卡验证值等。
“应用程序”可以是存储在计算机可读介质(例如,存储器元件或安全元件)上的计算机代码或其他数据,所述计算机代码或其他数据可由处理器执行以完成任务。
“数字钱包”可以包括允许个人进行电子商务交易的电子装置。电子钱包可以存储用户简档信息、支付凭证、银行账户信息、一个或多个数字钱包标识符等,并且可以用在各种交易中,诸如但不限于,电子商务、社交网络、转账/个人支付、移动商务、近距离支付、博彩等等,以用于零售购买、数字商品购买、公用事业支付、从博彩网站购买博彩或博彩点券、用户间转移资金等。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上,以便进行支付而无需输入账号或出示物理卡。
“数字钱包提供商”可以包括向用户发行数字钱包的实体,所述数字钱包使得用户能够进行金融交易。数字钱包提供商可提供独立的面向用户的软件应用程序,其存储账号或账号(例如,支付令牌)的表示、代表持卡人(或其他用户)来促进在不止一位无关的商家处支付、执行个人对个人的支付、或将金融价值加载到数字钱包中。数字钱包提供商可使得用户能够经由个人计算机、移动装置或访问装置来访问其账户。另外,数字钱包提供商也可提供以下功能的一个或多个:代表用户存储多个支付卡和其他支付产品;存储包括账单地址、送货地址和交易历史的其他信息;通过一种或多种方法(诸如提供用户姓名和口令、NFC或物理令牌)开始交易,并且可促进直通或两步交易。
“资源提供商”可以是可以提供诸如商品、服务、信息和/或访问的资源的实体。资源提供商的实例包括商家、访问装置、安全数据访问点等。“商家(merchant)”通常可以是参与交易并且能够出售商品或服务或提供对商品或服务的访问的实体。
“收单方(acquirer)”通常可以是与特定商家或其他实体有商业关系的商业实体(例如商业银行)。一些实体能够执行发行方和收单方功能。一些实施例可以包括这种单实体发行方-收单方。收单方可以操作收单方计算机,其也可以被统称为“传输计算机”。
“授权实体”可以是授权请求的实体。授权实体的实例可以是发行方、政府机构、文档库、访问管理员等。“发行方”通常可以指维持用户账户的商业实体(例如,银行)。发行方也可以向消费者发行存储在用户装置(诸如蜂窝电话、智能卡、平板或膝上型计算机)上的支付凭证。
“访问装置”可以是提供对远程系统的访问的任何合适的装置。访问装置还可以用于与商家计算机、交易处理计算机、认证计算机或任何其他合适的系统通信。访问装置通常可以位于任何适当位置,诸如在商家所在的位置。访问装置可以是任何适当形式。访问装置的一些实例包括POS或销售点装置(例如,POS终端)、蜂窝电话、PDA、个人计算机(PC)、平板PC、手持式专用阅读器、机顶盒、电子现金出纳机(ECR)、自动柜员机(ATM)、虚拟现金出纳机(VCR)、营业亭、安全系统、访问系统等。访问装置可以使用任何合适的接触或非接触操作模式,以向用户移动装置发送或从其接收数据或者与用户移动装置关联。在访问装置可以包括POS终端的一些实施方案中,任何适当的POS终端可以被使用,并且其可以包括阅读器、处理器和计算机可读介质。阅读器可以包括任何适当的接触或非接触操作模式。例如,示例性读卡器可以包括射频(RF)天线、光学扫描器、条形码阅读器或磁条阅读器,以与支付装置和/或移动装置交互。在一些实施方案中,用作POS终端的蜂窝电话、平板或其他专用无线装置可以被称为移动销售点或“mPOS”终端。
“授权请求消息”可以是请求对交易授权的电子消息。在一些实施方案中,授权请求消息被发送给交易处理计算机和/或支付卡的发行方,以请求交易授权。根据一些实施方案的授权请求消息可以符合ISO8583,ISO 8583是用于交换与用户使用支付装置或支付账户进行的支付关联的电子交易信息的系统的标准。授权请求消息可以包括可以与支付装置或支付账户关联的发行方账户标识符。授权请求消息还可以包括与“标识信息”对应的附加数据元素,包括(只作为实例):服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、PAN(主账号或“账号”)、支付令牌、用户姓名、有效日期等等。授权请求消息还可以包括“交易信息”,诸如,与当前交易关联的任何信息,诸如交易金额、商家标识符、商家位置、收单银行标识号(BIN)、卡片接受器ID、标识正购买的物品的信息等,以及可以用来确定是否标识和/或授权交易的任何其他信息。
“授权响应消息”可以是回应授权请求的消息。在一些情况下,授权响应消息可以是由发行金融机构或交易处理计算机生成的对授权请求消息的电子消息应答。授权响应消息可以包括(只作为实例)以下状态指示符中的一个或多个:批准-交易被批准;拒绝-交易不被批准;或呼叫中心-响应未决的更多信息,商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码,其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或者通过交易处理计算机)返回商家的访问装置(例如POS设备)的指示交易被批准的代码。代码可以用作授权的证据。如上文指出的,在一些实施方案中,交易处理计算机可以生成或向商家转发授权响应消息。
“服务器计算机”可以包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大的主机、小型计算机集群或像一个单元一样工作的一组服务器。在一个实例中,服务器计算机可以是联接到网络服务器的数据库服务器。服务器计算机可以联接到数据库并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑、或前述内容的组合。服务器计算机可以包括一个或多个计算设备并且可以使用各种计算结构、排列和编译中的任何一种来服务于来自一个或多个客户端计算机的请求。在一些实施方案中,服务器计算机可以是服务器计算机。
“密码”可以指一些信息的加密表示。密码可以由接收方用来确定密码生成器是否具有正确的密钥,例如,通过利用有效密钥对基础信息进行加密,并且将结果与所接收的密码进行比较。
“服务提供商应用程序”可以是由服务提供商开发或维护的应用程序。服务提供商应用程序可以为供用户提供前端接口,以访问由服务提供商计算机提供的后端服务。服务提供商应用程序可以从移动应用程序商店下载并安装在移动装置上。
“服务提供商计算机”可以是由服务提供商操作的计算机。
“用户ID”可以指可标识用户的任何数据。用户ID对于移动装置的用户可以是唯一的。例如,用户ID可以是字母数字用户姓名、主账号(PAN)、电话号码、社会安全号等。
“装置ID”可以指可标识特定移动装置的任何数据。装置ID可在制造时由装置制造商分配给装置。装置ID可被硬编码在位于移动装置内的芯片上。在一些实施方案中,装置ID可在软件中编码。装置ID对于移动装置可以是唯一的。例如,装置ID可以是与安全元件或可信赖的执行环境芯片关联的ID。
“服务提供商应用程序ID”可以指标识移动装置上的服务提供商应用程序的任何数据。在一些实施方案中,服务提供商应用程序ID可以由在移动装置上运行的OS在服务提供商应用程序时分配给服务提供商。在一些实施方案中,服务提供商应用程序ID可以由服务提供商应用程序本身定义,并且对于跨多个移动装置的服务提供商应用程序而言,服务提供商应用程序ID可以相同。
“服务提供商装置ID”可以指标识移动装置和服务提供商应用程序的特定用户的组合的数据。服务提供商装置ID可以由服务提供商应用程序计算机在用户在他/她的移动装置上安装和注册服务提供商应用程序时生成并分配到服务提供商应用程序。服务提供商计算机可以生成服务提供商装置ID,其唯一地标识在注册时使用的移动装置和注册服务提供商应用程序的用户。服务提供商装置ID随后可本地地存储在服务提供商应用程序内。
包括用户ID、装置ID、服务提供商应用程序ID和服务提供商装置ID在内的上述各种ID,可以具有任意合适的长度并可以包括任意合适数量或类型的字符。
图1示出根据本发明的一些实施方案的移动装置100的实例。移动装置100可以包括用以实现某些装置功能(诸如电话)的电路。负责实现那些功能的功能元件可以包括处理器110,所述处理器可执行实施装置的功能和操作的指令。处理器110可以访问存储器150(或另一个合适的数据存储区或元件),以检索指令或用以执行指令的数据。
数据输入/输出元件130(诸如键盘或触屏)可用以使用户能够操作移动装置100和输入数据(例如,用户认证数据)。其他数据输入元件可以包括生物传感器,包括指纹、声音和视网膜扫描装置。数据输入/输出元件也可被配置为输出数据(例如,经由扬声器)。显示器120也可用以将数据输出给用户。
通信元件140可用以实现移动装置100与有线或无线网络的数据传输(例如,经由天线180),以帮助连接到互联网或其他网络,并实现数据传输功能。移动装置100也可包括通信元件接口140,以实现在标识和验证硬件160与装置的其他元件之间的数据传输,其中标识和验证硬件160可以联接到安全元件170。应注意,蜂窝电话、智能手机或类似装置是可根据本发明的实施方案使用的移动装置100的实例。然而,在不脱离本发明的基本概念的情况下,可以使用其他形式或类型的装置。例如,移动装置100可另外采用支付卡、密钥卡、平板计算机、可穿戴式装置等的形式。
存储器150可以包括服务提供商应用程序150A、密码生成模块150B、标识和验证应用程序150C以及任何其他合适的模块或数据。移动装置100可具有安装或存储在存储器150上的任意数目的移动应用程序,并且不限于在图1中示出的。存储器150也可以包括可由处理器110执行以实施方法的代码,所述方法包括:通过移动装置来接收访问服务提供商应用程序的用户请求;响应访问服务提供商应用程序的用户请求,通过移动装置经由驻留在移动装置内的标识和验证应用程序来请求用户的标识和验证;通过移动装置来接收肯定的标识和验证响应;通过移动装置基于多个数据元素来生成密码,所述多个数据元素包括与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID;以及通过移动装置来将生成的密码、用户ID、时间戳、装置ID、服务提供商应用程序ID和服务提供商装置ID传输到与服务提供商应用程序关联的服务提供商计算机。
服务提供商应用程序150A可以包括代码,所述代码在执行时用户提供用户界面,以使用移动装置100来提供输入并且启动、促进和管理与服务提供商计算机或服务提供商的交互。服务提供商应用程序150A可以与处理器110一起工作,以经由通信元件140访问由服务提供商计算机或服务提供商提供的后端服务。服务提供商应用程序150A可以与处理器110一起工作,以存储服务提供商装置ID,所述ID由服务提供商计算机在服务提供商应用程序150A注册服务提供商计算机时生成。服务提供商应用程序150A可以与处理器110一起工作,以使移动装置100将与服务提供商服务关联的数据以适当方式(例如,在互联网上)传输到服务提供商计算机。
在一个实例中,服务提供商应用程序150A可以与数字钱包提供商计算机关联和/或由数字钱包提供商计算机提供。服务提供商应用程序150A可以由用户用来访问存储在服务提供商应用程序150A(例如,数字钱包应用程序)中的支付凭证,以开始交易。在授权访问存储在服务提供商应用程序150A中的支付凭证之前,服务提供商应用程序150A可以将数据传输到服务提供商计算机和接收来自服务提供商计算机的数据。
密码生成模块150B可以包括代码,所述代码在执行时使处理器110基于与服务提供商应用程序150A和/或移动装置100关联的各种数据元素来生成密码。例如,密码生成模块150B可以包含逻辑,所述逻辑使处理器110使用下列项来生成密码:与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID。在一些实施方案中,移动装置100也许能够与服务提供商计算机进行无线通信,并且因此密码生成模块150B也许能够将生成的密码发送到服务提供商计算机。在一些实施方案中,密码生成模块150B可以与安全元件170连接,以在安全元件170内安全地生成密码。安全元件170可以是防篡改平台(例如,单片安全微控制器),其能够根据很好标识的可信权威组提出的规则和安全要求来安全地托管应用程序及其机密和密码数据(例如,密钥管理)。安全元件170可以存储由密码生成模块150B用来对密码进行加密的唯一派生密钥(UDK)或派生密钥索引(DKI)。一旦密码在安全元件170内生成,密码便可以传递到服务提供商应用程序150A。在一些实施方案中,一旦密码在安全元件170内生成,密码便可以直接传到服务提供商计算机。
标识和验证应用程序150C可以包括代码,所述代码在执行时提供移动装置100上的标识和验证服务。标识和验证应用程序150C也可以提供图形用户界面,以使用户认证ID&V服务。标识和验证应用程序150C可以在移动装置的OS处执行,并且可以整合到OS的核心特征中。标识和验证应用程序150C可以与标识和验证硬件160连接,以从用户获得ID&V。标识和验证硬件160可以包括用于获得关于用户并且用于ID&V的数据的硬件。例如,标识和验证硬件160可以包括生物传感器,诸如,指纹传感器、虹膜传感器、或用于声音数据输入的麦克风。
图2示出根据本发明的一些实施方案的用于生成密码的方法200的流程图。该方法可以是包括移动装置100的安全认证系统的一部分。如前所述,移动装置100可以包括可支持ID&V服务的可信执行环境(TEE)或安全元件(SE)170。移动装置100可以包括标识和验证硬件160,例如,用以促进ID&V服务的指纹阅读器、照相机和/或麦克风。在一些实施方案中,物理接口可位于标识和验证硬件160与TEE/SE170之间,诸如总线。例如,物理接口可减少诈骗性图片或声音文件被用以假装验证标识和验证硬件160的机会。使用TEE或SE 170可以帮助确保可信移动装置100实际上是与服务提供商计算机提供的后端服务通信的实际装置,因为诈骗性活动通常会包括深度访问移动装置100内的安全存储器(诸如,访问TEE或SE170)。
在一些实施方案中,TEE或SE 170可以具有可用以标识移动装置100的唯一硬件ID(例如,装置ID)。在一些实施方案中,移动装置100可以允许在初始设置装置时设置装置的新标识,其将用户ID、唯一派生密钥(UDK)或派生密钥索引(DKI)下载到SE/TEE170。UDK特别有用,因为它们可以使用用户特定信息(诸如用户特定账户信息(例如,PAN、有效日期、服务代码等))来导出。UDK不需要被传输到加密端点并且对于用户而言可以是唯一的。如果UDK未按需要生成,那么派生密钥索引可以是UDK在数据库中的位置。在初始设置装置后,UDK可以与账户标识符(例如,PAN)配对。如果使用错误的PAN或在移动装置100上利用不同的UDK生成密码,则服务提供商计算机可能无法对密码进行解密,因此可怀疑并阻止诈骗性认证尝试。
上述下载的信息可能仅在设置标识时需要。在其他实施方案中,在通过辅助信道(例如,基于发行方或其他服务提供商的ID&V链路)确认ID&V后,与移动装置100上的用户关联的用户ID可以链接到服务提供商ID,诸如,用户的发行方ID或用户的支付处理网络ID。
本文描述的实施方案可允许服务提供商应用程序(例如,银行应用程序、社交网络应用程序、医疗保健应用程序)索取并发送密码,所述密码确认正确的装置正在与服务提供商计算机提供的后端服务进行通信,并且用户最近使用ID&V应用程序150C肯定地标识自己。最初,注册过程可以使用户的移动装置100注册服务提供商计算机(例如,银行、社交网提供商、医疗保健机构)提供的后端服务。在实例中,用户可以通过使用移动装置100和生物ID(例如,拇指指纹)向银行认证自己,并且还使用他/她的用户名和密码登录到服务提供商应用150A以验证自己。银行(例如,服务提供商计算机)可以通过将用户的支付账户链接到与服务提供商应用程序关联的用户ID来关联用户。注册之后,银行端服务(例如,银行)可以允许交易,即使没有用户登录到服务提供商应用程序也是如此,如下所述。
在方框210处,驻留在移动装置100上的服务提供商应用程序150A(与处理器110一起工作)可响应正发起交易(或其他动作要求验证)而开始请求移动装置100生成密码。服务提供商应用程序150A可已经基于由移动装置100上的成功生物ID&V生成的用户ID将用户ID&V与已知服务提供商ID&V系统(例如,发行方,支付处理器等)相关联。换句话说,服务提供商应用程序150A可将TEE/SE装置ID(例如,装置ID)与用户ID链接。类似地,生物用户ID可链接到后端系统中的服务提供商装置ID和服务提供商用户账户ID。
为了促进这个,在方框220处,服务提供商应用程序150A可以请求移动装置100发起来自用户(例如,消费者)的生物ID&V。例如,服务提供商应用程序150A可以向OS发送请求(例如,经由API),以从移动装置100的用户获得指纹。OS可以与在移动装置100上运行的生物标识和验证服务连接,以获得生物ID&V。然后,移动装置100可以提示用户进行生物ID&V。用户可以提供指纹扫描、虹膜扫描、声音样本、或任何其他形式的生物或甚至非生物数据来认证系统。在方框230处,用户进行成功(例如,肯定)的生物ID&V后,移动装置100可以接收有效ID&V回应以及生物ID&V的时间戳和用户ID。这个步骤可在交易时发生。
在方框240处,移动装置100上的服务提供商应用程序150A可以将请求发送到SE/TEE 170以生成密码。生成的密码可以从至少以下信息或其任意子集中创造:用户ID、肯定ID&V的时间戳、ID&V的结果、SE/TEE唯一的装置ID(例如,制造商ID)、服务提供商应用程序ID(可为一个或多个)和服务提供商装置ID。密码可以使用任何唯一的密码生成算法来生成。算法可利用DES、三重DES、AES或任何其他合适的加密算法。在方框250处,用来生成密码的数据元素以及密码本身可以从移动装置100以消息发回到服务提供商计算机提供的后端服务。在一些实施方案中,消息可以被带外发送(例如,不是标准化授权请求消息的一部分)。
由服务提供商计算机(例如,银行)提供的后端服务可以独自或者通过请求另一个实体(例如,支付处理器)来验证密码。银行端服务或其他实体(例如,支付处理器)可以代表移动装置100制造商来提供这些验证服务,并且可以访问可用于生成UDK的主派生密钥(MDK),所述MDK可以用来对密码进行解密,并确认密码包含与在来自移动装置100的消息中接收的数据元素相同的数据元素。这个过程可使用在本领域中已知的密码方法来执行(例如,从数据集中计算UDK在美国公开的专利申请第20050043997号中有描述,所述申请以全文引用的方式并入本文中)。密码可以进行解密,并且从密码中解密出来的数据元素可以与在交易消息中的数据元素进行比较。密码的验证可以取决于密码中的数据元素与交易消息中的数据元素匹配。验证密码后,后端服务和服务提供商应用程序两者都可以确认SE/TEE提供的装置ID是唯一且正确的。服务提供商计算机提供的后端服务可以将装置ID与在移动装置100上生成的装置ID进行比较。后端服务和服务提供商应用程序150A两者也可以确信消费者(例如,用户)被移动装置100安全地验证,并且只要服务提供商应用程序希望在请求重新认证之前信任该验证,则基于时间戳数据来保持验证。另外,服务提供商消费者ID可以映射到与用户的生物数据链接的原始简档设置ID。后端服务和服务提供商应用程序可以确保服务提供商用户ID与用户ID匹配并且通过生物认证来确认。
移动装置100发送的消息所通过的各种其他实体也可以使用相同的密码来确认它们自己对消费者和装置有效性的接受。
上述实施方式可以允许服务提供商应用程序150A基于移动装置100上的用户的肯定ID&V通过将密码ID传递给后端系统而安全地将移动装置100和消费者标识到后端系统,而不需要额外的登录步骤。这种实施方式可以与基于云的支付相结合,以便为银行提供消费者购买的带外确认。当进行高价值POS交易并且要求消费者的身份检查时,除了执行交易之外,服务提供商应用程序150A还可以产生作为交易的一部分的身份验证密码,并且可以将它上传到基于云的支付服务器。如果发生关于消费者是否进行购买的争议,则授权银行(或其他机构)可以执行身份检查并且可以以很高的可信度确定:(a)使用生物标识或另一形式的验证来将他自己标识已知移动装置的消费者,(b)交易的大概时间,以及(c)使用地理位置标记的交易的地理位置。
图3示出根据本发明的一些实施方案的使用安全认证系统来访问服务提供商服务的流程图。图3示出用户305经由第三方计算机350尝试访问来自服务提供商的数据的实例。例如,用户305可希望从医疗保健提供商(例如,服务提供商)拉取/访问他/她的医疗记录。用户可以尝试通过执行移动装置100上的医疗保健移动应用程序(例如,服务提供商应用程序)来这样做。
在服务提供商计算机350发布敏感信息之前,服务提供商(例如,医疗保健提供商)可希望确保用户305是可信的,并且正用来访问信息的移动装置100事实上是与最初在注册时向服务提供商登记的移动装置相同的移动装置100。在当前现有的实施方式中,服务提供商可以向移动装置100上的用户请求登录凭证。然而,这种方法比较繁琐,并且也是诈骗者的诈骗活动的受害者。反之,在本发明的一些实施方案中,服务提供商计算机350可以请求用户305与驻留在移动装置100上的ID&V应用程序150C进行认证。移动装置100可以请求用户305与ID&V应用程序150C进行认证。这请求可以由服务提供商应用程序150A发起,方式是请求移动装置100的OS让ID&V应用程序150C来认证用户305。
ID&V应用程序150C随后可请求来自用户305的ID&V。例如,ID&V应用程序150C可以请求用户305经由移动装置100来提供生物样本(例如,指纹)。用户305随后可以将他的拇指放在ID&V硬件160(例如,指纹扫描器)上。在用户305对ID&V应用程序150C进行肯定的ID&V后,ID&V应用程序150C可以将请求传递给密码生成模块150B,以生成此特定用户305请求的密码,以访问来自服务提供商计算机350的信息。密码生成模块150B随后可以在驻留于移动装置170内的安全元件100上生成密码。也就是说,密码可以由位于移动装置100内的硬件(例如,安全元件170)生成。在硬件内生成密码可以提供比在软件中生成密码高的安全性。
密码可包括与用户305、移动装置100和服务提供商应用程序150A关联的各种数据元素。密码可以包括,但不限于,与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID。服务提供商应用程序ID可被分配到医疗保健应用(例如,服务提供商应用程序150A)的特定服务提供商。服务提供商装置ID可以由服务提供商计算机350分配到用户305和具体的移动装置100的组合。装置ID可以是与安全元件170关联的唯一装置ID,并且可仅对安全元件170本身已知。密码可以由安全元件170基于所描述的这些各种数据元素来计算和生成。实质上,密码是基于实际上只能从移动装置100本身获得的数据元素来计算的,从而使得诈骗者非常难以复制该密码。
在生成密码后,密码生成模块150B可以将密码传回到服务提供商应用程序150A。服务提供商应用程序150A随后可以采用服务提供商应用程序150A使用的标准消息格式将密码传输到服务提供商计算机350。标准消息也可以包含用于生成密码本身的各个数据元素。在一些实施方案中,密码可以在不同于标准消息的单独消息中发送到服务提供商计算机350。
服务提供商计算机350(具有派生密钥)随后可以对密码进行解密,以查看由密码生成模块150B和安全元件170以所述密码加密的数据元素。在一些实施方案中,服务提供商计算机350可以将密码传输到单独的解密计算机360,以对密码进行解密。解密计算机360可能属于与运行服务提供商计算机350的服务提供商分开的服务提供商。在对密码进行解密后,解密计算机360便可以将来自密码的解密数据元素传回到服务提供商计算机350。
在任一情形下,一旦密码被解密(由服务提供商计算机350或解密计算机360解密),服务提供商计算机350便可将解密的数据元素与作为标准消息的一部分从服务提供商应用程序150A接收的数据元素进行比较。如果解密的数据元素与作为标准消息的一部分接收的数据元素相匹配,则服务提供商应用程序可确信是用户305可信的并且移动装置100是可信的移动装置100。另一方面,解密的数据元素不匹配作为标准消息的一部分接收的数据元素,服务提供商计算机350可以怀疑诈骗性活动。
服务提供商计算机350随后可以将请求的消息发布到服务提供商应用程序150A。在这个实例中,医疗保健提供商可以将敏感医疗保健数据发布到医疗保健应用程序,以供用户的305查看。
图4示出根据本发明的一些实施方案的使用安全认证系统400的交易的流程图。系统400包括移动装置100,所述移动装置可与用户305关联,并且可能能够经由服务提供商应用程序150A(例如,数字钱包应用程序)向访问装置310提供支付凭证。访问装置310可以与资源提供商计算机320关联并且通信。另外,资源提供商计算机320、传输计算机330、交易处理计算机340、服务提供商计算机350和/或解密计算机360可以全部通过任何合适的通信信道或通信网络而彼此可操作地通信。合适的通信网络可以是下列中的任一个和/或组合:直接互连、互联网、局域网(LAN)、城域网(MAN)、作为互联网节点的运行任务(OMNI)、安全定制连接、广域网(WAN)、无线网络(例如,使用诸如但不限于无线应用协议(WAP)、I-模式等协议)等等。
计算机、网络与装置之间的消息可以使用安全通信协议来传输,这些安全通信协议诸如,但不限于,文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、安全套接层(SSL)、ISO(例如,ISO 8583)等。
用户305可能能够使用移动装置100来与资源提供商进行交易,所述资源提供商与资源提供商计算机320关联。移动装置100可以存储与用户305和/或支付账户关联的信息。例如,移动装置100可以存储支付凭证以及个人信息,诸如名称、地址、电子邮件地址、电话号码、或数字钱包应用程序(例如,服务提供商应用程序150A)内的任何其他合适用户305标识信息。移动装置100可以在交易期间将该信息提供到访问装置310。
资源提供商计算机320可以与资源提供商关联。资源提供商可参与交易、售卖商品或服务、或向用户305提供对商品或服务的访问。资源提供商可以接受多种支付形式(例如,经由移动装置100上的数字钱包应用程序),并且可以使用多个工具进行不同类型的交易。例如,资源提供商可以操作物理商店并且使用装置310来进行个人间交易。资源提供商还可以通过网站来售卖商品和/或服务,并且可以通过互联网来接受支付。在一些实施方案中,资源提供商计算机320也可能够请求与用户的支付凭证关联的支付令牌。在一些实施方案中,资源提供商可以是商家,并且资源提供商计算机320可以是商家计算机。
由资源提供商计算机320或访问装置310提交的授权请求可以发送到传输计算机330(其可以是收单方计算机)。传输计算机330可与资源提供商计算机320关联,并且可代表资源提供商计算机320来管理授权请求。
交易处理计算机340可以设置在传输计算机330与服务提供商计算机350之间。交易处理计算机340可以包括数据处理子系统、网络和用来支持和传送授权服务、异常文件服务以及清算与结算服务的操作。例如,交易处理计算机340可以包括(例如,通过外部通信接口)联接到网络接口的服务器和信息数据库。交易处理计算机340可以表示交易处理网络。示例性交易处理网络可以包括VisaNetTM。诸如VisaNetTM的交易处理网络能够处理信用卡交易、借记卡交易和其他类型的商业交易。VisaNetTM具体包括处理授权请求的VIP系统(账户集成支付系统)和执行清算与结算服务的Base II系统。交易处理计算机340可以使用任何合适的有线或无线网络,包括互联网。
交易处理计算机340、传输计算机330和服务提供商计算机350可以操作合适的路径表,以使用支付凭证、支付令牌、和/或其他合适标识符来传递授权请求消息和/或令牌请求消息。
服务提供商计算机350可以发行并管理用户305的支付账户(经由数字钱包应用程序)和关联的移动装置100。服务提供商计算机350可能能够授权涉及使用支付账户(经由数字钱包应用程序)的交易。在授权交易之前,服务提供商计算机350可以认证在授权请求中接收的支付凭证,并且检查关联支付账户中是否存在可用信用或资金。另外,服务提供商计算机350也可确定与交易关联的风险水平,并且可以在决定是否授权交易时权衡风险。风险水平可以基于由服务提供商计算机从移动装置100接收的密码的验证来确定,类似于参考图3描述的流程。
在一些实施方案中,服务提供商计算机350可以是发行方计算机或数字钱包提供商计算机。任一实体可能希望确认使用在移动装置100上运行并用于进行交易的服务提供商应用程序150A(例如,发行方应用程序或数字钱包提供商应用程序)的用户305实际上是使用可信移动装置100的可信用户305。
解密计算机360可能能够代表服务提供商计算机350来提供密码解密服务。如果服务提供商计算机350不能对接收到的密码进行解密,那么服务提供商计算机350可以将密码转发到解密计算机360以进行解密,并且随后从解密计算机360接收解密的数据元素。
在以下图的描述中可进一步理解包括参考图4描述的元件的交易的流程。
图5示出根据本发明的一些实施方案的用于使用安全认证系统进行500的方法500的步骤。在本发明的实施方案中,方法500中示出的步骤可以顺序地或以任何合适的顺序执行。
下文针对方法500描述的各种消息可以使用任何合适的通信形式。在一些实施方案中,请求或响应可以是电子消息格式,诸如,电子邮件、短消息服务(SMS)消息、多媒体消息服务(MMS)消息、超文本传送协议(HTTP)请求消息、传输控制协议(TCP)包、网页表单提交。请求或响应可以指向任何合适的位置,诸如,电子邮件地址、电话号码、互联网协议(IP)地址、或统一资源定位符(URL)。在一些实施方案中,请求或响应可以包括不同消息类型的混合,诸如,电子邮件和SMS消息两者。
用户305可希望从资源提供商购买商品或服务。然而,在开始交易之前,在步骤S502处,用户305可在他/她的移动装置上下载并安装服务提供商应用程序150A。服务提供商应用程序可以是数字钱包提供商应用程序或发行方应用程序,并且可以从移动应用程序商店下载到移动装置100上。在下载并安装服务提供商应用程序150A(例如,发行方应用程序或数字钱包提供商应用程序)后,用户305便可以打开服务提供商应用程序150A以开始初始注册过程,其中服务提供商应用程序150A向服务提供商计算机350注册。
在步骤S504处,移动装置上运行的服务提供商应用程序150A可以向服务提供商计算机登记/注册。登记/注册可以包括,但不限于,为用户305创建用户名/口令访问服务提供商计算机350、向服务提供商计算机350注册下载的服务提供商应用程序150A,以及向服务提供商计算机350注册移动装置100。在注册期间,服务提供商计算机350可将服务提供商装置ID分配并传输到服务提供商应用程序150A。服务提供商装置ID可以是对用户305和移动装置100的组合唯一的值。服务提供商应用程序150A可将服务提供商装置ID本地地存储在移动装置100存储器内。
一旦向服务提供商计算机350登记和注册用户305和服务提供商应用程序150A,用户305便可以尝试开始交易以从资源提供商购买商品或服务。在步骤S506处,为了执行购买/交易,用户305可以将支付凭证提供到访问装置310(例如,经由发行方应用程序或数字钱包应用程序)。例如,用户可以在移动装置100上打开服务提供商应用程序150A,以向访问装置310提供支付凭证。支付凭证可以包括PAN、安全代码、有效日期、名称、地址、电话号码、和/或任何其他合适的支付凭证。
在步骤S508处,资源提供商计算机320可以接收(例如,经由访问装置310或在线网页)支付凭证。在一些实施方案中,资源提供商计算机320随后可以对支付凭证进行加密。例如,资源提供商计算机320可以利用发行方专用密钥或利用标准商家收单方加密模型来对支付凭证进行加密。或者,在一些实施方案中,资源提供商计算机320可以接收已经加密的支付凭证。例如,移动装置100可使用发行方专用密钥对支付凭证进行加密,并且可将加密的支付凭证传输到访问装置310。因此,资源提供商计算机320可能无法访问敏感的未加密支付凭证。
在步骤S510处,资源提供商计算机320(或访问装置310)可以将用于交易的授权请求消息发送到传输计算机330。在一些实施方案中,授权请求消息可以包括支付凭证。在一些实施方案中,授权请求消息可以包括支付令牌而不是支付凭证。授权请求消息也可以包括交易信息(例如,购买的商品、金额等)、商家信息(例如,商家名称、位置等)以及任何其他合适的信息。
在步骤S512处,传输计算机330可以将授权请求消息转发到交易处理计算机340。在步骤S514处,交易处理计算机340可以将授权请求消息转发到服务提供商计算机350。如前所述,在这个实例中,服务提供商计算机350可以是发行方计算机或数字钱包提供商计算机。
在步骤S516处,在基于授权响应消息中接收的数据来授权交易之前,服务提供商计算机350也可以希望使用上述方法执行用户305和移动装置100的认证。因此,服务提供商计算机350可以从移动装置100请求密码。
在步骤S518处,移动装置100可以生成密码,类似于参考图3描述的方法。也就是说,密码可以在移动装置100的安全元件170上生成。为了生成密码,移动装置100可以请求ID&V应用程序150C从用户305获得ID&V。ID&V可包括从用户305获得生物ID&V(例如,经由指纹扫描器)。在从用户305获得肯定ID&V后,可基于各数据元素来计算并生成密码,所述各数据元素包括,但不限于,与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID。
在步骤S520处,在生成密码后,移动装置100可以将密码本身和用以生成密码的各数据元素传输到服务提供商计算机350。例如,移动装置100可以将密码和下列项传输到服务提供商计算机350:与用户关联的用户标识(ID)、时间戳、与移动装置关联的装置ID、与服务提供商应用程序关联的服务提供商应用程序ID和服务提供商装置ID。密码和各数据元素可以被带外传输到服务提供商计算机350(例如,与授权请求消息分开)。
在步骤S522处,服务提供商计算机350可以通过对密码进行解密并将解密的数据元素与跟密码分开接收的单独数据元素进行比较来验证接收的密码。如果解密的数据元素与跟密码分开接收的数据元素相匹配,则服务提供商计算机350可确信用户305是可信的用户并且移动装置100是可信的移动装置100。在一些实施方案中,服务提供商计算机350可以请求单独的解密计算机代表它对密码进行解密。服务提供商计算机350可以将接收的密码发送到解密计算机,并且在对密码进行解密,解密计算机可以将解密的数据元素返回到服务提供商计算机350。
在确信用户305是可信的用户并且移动装置100是可信的移动装置100后,服务提供商计算机350可以基于在步骤S514中接收的支付凭证来授权或拒绝交易。例如,服务提供商计算机350可以标识与支付凭证和/或支付令牌关联的支付账户,并且可以确定账户中是否具有充足的资金。
在步骤S524处,服务提供商计算机350可以将指示交易是否被授权的授权响应发送到交易处理计算机340。授权响应消息可包括支付凭证、交易细节、商家信息和任何其他合适的信息。在一些实施方案中,为了通过限制曝光来保护支付凭证,授权响应消息可以不包括支付凭证。
在步骤S526处,交易处理计算机340可以将授权响应消息转发到传输计算机330。在步骤S528处,传输计算机330可以将授权响应消息转发到资源提供商计算机320。
在步骤S530处,资源提供商计算机320可基于授权响应消息来向用户发布商品和/或服务。另外,资源提供商计算机320可以存储交易记录,包括支付凭证、用户信息、交易细节和任意其他适合的信息。在一些实施方案中,资源提供商计算机320可以擦除任何敏感信息,诸如,加密或未加密的支付凭证。
在其他实施方案中,密码生成步骤S518可以在步骤S506之前发生。密码可以随着支付凭证传递或作为支付凭证的一部分传递,所述支付凭证传递到访问装置310并且最终传递到服务提供商计算机350。服务提供商计算机350随后可以在认证交易的同时验证密码。在这种实施方案中,不需要单独的通信步骤,诸如,步骤S520。
本发明的实施方案允许方法500的各方面有许多替换方案。虽然本文描述的实例涉及从医疗保健提供商获得医疗记录并完成用于购买商品的交易,但是安全认证系统可以用于对需要认证的任何类型的服务提供商进行认证。例如,安全认证系统可用以对社交网络、网站、购物网站等进行认证。
计算机设备可以用于实施上述部件。示例性计算机设备中的子系统可经由系统总线互连。附加子系统包括打印机、键盘、存储装置和监视器,该监视器联接到显示器适配器。外围设备和输入/输出(I/O)装置联接至I/O控制器,并且可以通过本领域已知的任意数目的手段(诸如串行端口)连接到计算机系统。例如,I/O端口或外部接口可以用来将计算机设备连接到广域网(诸如,互联网)、鼠标输入装置或扫描器。经由系统总线的互连允许中央处理器与每个子系统通信,并控制来自系统存储器或存储装置的指令的执行以及在子系统之间交换信息。系统存储器和/或存储装置可以体现计算机可读介质。
如上描述,本发明的服务可涉及实施一个或多个功能、过程、操作或方法步骤。在一些实施方案中,功能、过程、操作或方法步骤可以实施为合适编程的计算装置、微处理器、数据处理器等执行指令集或软件代码的结果。指令集或软件代码可以存储在存储器或者由计算装置、微处理器等访问的其他形式的数据存储元件中。在其他实施方案中,功能、过程、操作或方法步骤可以由固件或专用处理器、集成电路等实施。
本申请中描述的任何软件部件或功能可以实施为使用任何适当的计算机语言(诸如,例如Java,C++或Perl),使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为计算机可读介质(诸如随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬盘或软盘)或光介质(诸如CD-ROM))上的一系列指令或命令。任何这种计算机可读介质还可以驻存在单个运算设备上或驻存在单个运算设备内,并且可以位于系统或网络中的不同运算设备或者在系统或网络中的不同运算设备上。
虽然已经详细描述并且在附图中示出一些示例性实施方案,但是应当理解,这些实施方案仅仅是对本发明的说明而不是限制本发明,并且本发明不限于所示出和描述的具体布置和结构,因为本领域普通技术人员可以想到各种其他修改。
如本文所使用,除非明确指示有相反的意思,使用“一个”、“一种”或“该”旨在表示“至少一个”。
Claims (20)
1.一种用于认证的方法,其包括:
通过移动装置来接收访问服务提供商应用程序的用户请求;
响应于访问所述服务提供商应用程序的所述用户请求,通过所述移动装置经由驻存在所述移动装置内的标识和验证应用程序来请求所述用户的标识和验证;
通过所述移动装置来接收肯定的标识和验证响应;
通过所述移动装置中的密码生成模块,至少使用与所述用户关联的用户标识ID和服务提供商装置ID,来生成密码;以及
通过所述移动装置将所生成的密码、所述用户ID和所述服务提供商装置ID传输到与所述服务提供商应用程序关联的服务提供商计算机,
其中所述服务提供商计算机至少使用所述用户ID和所述服务提供商装置ID来验证所述密码。
2.根据权利要求1所述的方法,其中在所述移动装置的安全元件(SE)内生成所述密码。
3.根据权利要求1所述的方法,其中所述服务提供商计算机通过下列方式来验证所述密码:确定在所述密码内编码的多个数据元素,并且随后将所确定的多个数据元素与所述服务提供商计算机接收的至少所述用户ID和所述服务提供商装置ID进行比较。
4.根据权利要求3所述的方法,其中基于所述比较来认证所述用户和所述移动装置。
5.根据权利要求1所述的方法,其中也使用所述肯定的标识和验证响应来生成所述密码。
6.根据权利要求1所述的方法,其中所述标识和验证包括指纹标识和验证、虹膜标识和验证或声音标识和验证中的至少一个。
7.根据权利要求1所述的方法,其中通过互联网将所述密码传输到所述服务提供商计算机。
8.根据权利要求1所述的方法,其中由所述服务提供商计算机将所述密码与交易ID进行匹配。
9.一种移动装置,其包括:
处理器;以及
非暂时性计算机可读介质,所述非暂时性计算机可读介质包括代码,所述代码可由所述处理器执行以用于实施以下方法:
接收访问服务提供商应用程序的用户请求;
响应于访问所述服务提供商应用程序的所述用户请求,经由驻存在所述移动装置内的标识和验证应用程序来请求所述用户的标识和验证;
通过所述移动装置上的所述标识和验证应用程序接收肯定的标识和验证响应;
通过所述移动装置上的密码生成模块至少使用与所述用户关联的用户标识ID和服务提供商装置ID,来生成密码;以及
将所生成的密码、所述用户ID和所述服务提供商装置ID传输到与所述服务提供商应用程序关联的服务提供商计算机,
其中所述服务提供商计算机至少使用所述用户ID和所述服务提供商装置ID来验证所述密码。
10.根据权利要求9所述的移动装置,其中在所述移动装置的安全元件(SE)内生成所述密码。
11.根据权利要求9所述的移动装置,其中所述服务提供商计算机通过下列方式来验证所述密码:确定在所述密码内编码的多个数据元素,并且随后将所确定的多个数据元素与所述服务提供商计算机接收的至少所述用户ID和所述服务提供商装置ID进行比较。
12.根据权利要求11所述的移动装置,其中基于所述比较来认证所述用户和所述移动装置。
13.根据权利要求9所述的移动装置,其中也使用所述肯定的标识和验证响应来生成所述密码。
14.根据权利要求9所述的移动装置,其中所述标识和验证包括指纹标识和验证、虹膜标识和验证或声音标识和验证中的至少一个。
15.根据权利要求9所述的移动装置,其中通过互联网将所述密码传输到所述服务提供商计算机。
16.根据权利要求9所述的移动装置,其中由所述服务提供商计算机将所述密码与交易ID进行匹配。
17.一种用于认证的方法,其包括:
通过与服务提供商应用程序关联的服务提供商计算机来接收生成的密码、用户ID和服务提供商装置ID,其中所述生成的密码由移动装置上的密码生成模块来生成,是通过使用所述移动装置上的所述密码生成模块对至少所述用户ID和所述服务提供商装置ID进行加密;
通过所述服务提供商对所接收的生成的密码进行解密;以及
由所述服务提供商计算机通过下列方式来验证所述密码:确定在所述密码内编码的多个数据元素,并且随后将所确定的多个数据元素与所述服务提供商计算机接收的至少所述用户ID和所述服务提供商装置ID进行比较。
18.根据权利要求17所述的方法,其还包括基于所述验证来认证所述移动装置的用户。
19.根据权利要求17所述的方法,其中响应于接收到肯定的标识和验证响应而由所述移动装置生成所述密码,所述肯定的标识和验证响应是响应于由所述移动装置上的标识和验证服务向所述移动装置的用户发起的标识和验证请求而接收的。
20.根据权利要求19所述的方法,其中所述标识和验证服务进行指纹标识和验证、虹膜标识和验证或声音标识和验证中的至少一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110411774.3A CN113014400B (zh) | 2015-02-17 | 2016-02-17 | 用户和移动装置的安全认证 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562117277P | 2015-02-17 | 2015-02-17 | |
| US62/117,277 | 2015-02-17 | ||
| PCT/US2016/018339 WO2016134065A1 (en) | 2015-02-17 | 2016-02-17 | Secure authentication of user and mobile device |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110411774.3A Division CN113014400B (zh) | 2015-02-17 | 2016-02-17 | 用户和移动装置的安全认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107251595A CN107251595A (zh) | 2017-10-13 |
| CN107251595B true CN107251595B (zh) | 2021-04-20 |
Family
ID=56621439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680010553.2A Active CN107251595B (zh) | 2015-02-17 | 2016-02-17 | 用户和移动装置的安全认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10116447B2 (zh) |
| EP (1) | EP3259877B1 (zh) |
| CN (1) | CN107251595B (zh) |
| AU (1) | AU2016220072B2 (zh) |
| SG (1) | SG11201705800SA (zh) |
| WO (1) | WO2016134065A1 (zh) |
Families Citing this family (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201105765D0 (en) | 2011-04-05 | 2011-05-18 | Visa Europe Ltd | Payment system |
| US9922322B2 (en) * | 2013-12-19 | 2018-03-20 | Visa International Service Association | Cloud-based transactions with magnetic secure transmission |
| KR102293822B1 (ko) | 2013-12-19 | 2021-08-26 | 비자 인터네셔널 서비스 어소시에이션 | 클라우드-기반 트랜잭션 방법 및 시스템 |
| US9265079B2 (en) | 2014-03-13 | 2016-02-16 | Microsoft Technology Licensing, Llc | Authentication and pairing of devices using a machine readable code |
| AU2015264124B2 (en) | 2014-05-21 | 2019-05-09 | Visa International Service Association | Offline authentication |
| US9775029B2 (en) | 2014-08-22 | 2017-09-26 | Visa International Service Association | Embedding cloud-based functionalities in a communication device |
| CN113507377B (zh) * | 2015-02-17 | 2024-04-26 | 维萨国际服务协会 | 用于使用基于交易特定信息的令牌和密码的交易处理的装置和方法 |
| AU2016220072B2 (en) * | 2015-02-17 | 2020-01-02 | Visa International Service Association | Secure authentication of user and mobile device |
| US10178087B2 (en) * | 2015-02-27 | 2019-01-08 | Samsung Electronics Co., Ltd. | Trusted pin management |
| US11037139B1 (en) * | 2015-03-19 | 2021-06-15 | Wells Fargo Bank, N.A. | Systems and methods for smart card mobile device authentication |
| US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
| US11188919B1 (en) | 2015-03-27 | 2021-11-30 | Wells Fargo Bank, N.A. | Systems and methods for contactless smart card authentication |
| CN105488679B (zh) * | 2015-11-23 | 2019-12-03 | 北京小米支付技术有限公司 | 基于生物识别技术的移动支付设备、方法和装置 |
| EP3182315A1 (en) * | 2015-12-16 | 2017-06-21 | Gemalto Sa | Method, device, server and system for authenticating a user |
| US10861019B2 (en) | 2016-03-18 | 2020-12-08 | Visa International Service Association | Location verification during dynamic data transactions |
| US11113688B1 (en) | 2016-04-22 | 2021-09-07 | Wells Fargo Bank, N.A. | Systems and methods for mobile wallet provisioning |
| US10149160B2 (en) * | 2016-05-11 | 2018-12-04 | Bank Of America Corporation | Recognizing and authenticating mobile devices based on unique cross-channel bindings |
| US20180032757A1 (en) * | 2016-08-01 | 2018-02-01 | Azeem Michael | Health Status Matching System and Method |
| ES2912594T3 (es) * | 2016-08-02 | 2022-05-26 | Idemia France | Código de seguridad dinámico para una transacción de tarjeta |
| ES2912188T3 (es) * | 2016-08-02 | 2022-05-24 | Idemia France | Código de seguridad dinámico para una transacción de tarjeta |
| CN107026836B (zh) * | 2016-10-28 | 2020-03-06 | 阿里巴巴集团控股有限公司 | 一种业务实现方法和装置 |
| US10382203B1 (en) * | 2016-11-22 | 2019-08-13 | Amazon Technologies, Inc. | Associating applications with Internet-of-things (IoT) devices using three-way handshake |
| US10140440B1 (en) * | 2016-12-13 | 2018-11-27 | Symantec Corporation | Systems and methods for securing computing devices that are not in users' physical possessions |
| US10740751B1 (en) * | 2016-12-20 | 2020-08-11 | Wells Fargo Bank, N.A. | Secure transactions in social media channels |
| US11038870B2 (en) | 2017-03-09 | 2021-06-15 | Microsoft Technology Licensing, Llc | Quick response (QR) code for secure provisioning |
| WO2018170404A1 (en) * | 2017-03-16 | 2018-09-20 | Jpmorgan Chase Bank, N.A. | Systems and methods for supporting legacy and tokenized e-commerce |
| US11663306B2 (en) | 2017-03-24 | 2023-05-30 | Icrypto, Inc. | System and method for confirming a person's identity |
| US10063699B1 (en) * | 2017-04-18 | 2018-08-28 | EMC IP Holding Company LLC | Method, apparatus and computer program product for verifying caller identification in voice communications |
| US10726412B2 (en) * | 2017-05-15 | 2020-07-28 | Visa International Service Association | Portable device with local verification data |
| US10917402B2 (en) * | 2017-06-29 | 2021-02-09 | Motorola Mobility Llc | Sending verification password responsive to mobile device proximity |
| WO2019046406A1 (en) * | 2017-08-29 | 2019-03-07 | Westerhoff David Michael | RECORDING SYSTEM IN A SECURE NETWORK |
| US10637846B2 (en) * | 2017-08-30 | 2020-04-28 | Capital One Services, Llc | System and method for cloud-based analytics |
| WO2019074882A1 (en) * | 2017-10-10 | 2019-04-18 | Visa International Service Association | SYSTEM, METHOD AND APPARATUS FOR VERIFYING USER IDENTITY |
| US20190311361A1 (en) * | 2018-04-09 | 2019-10-10 | Ca, Inc. | Adding security to a transaction by verifying locations |
| CN109120597B (zh) * | 2018-07-18 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 身份校验、登录方法、装置及计算机设备 |
| US10949520B2 (en) * | 2018-10-02 | 2021-03-16 | Capital One Services, Llc | Systems and methods for cross coupling risk analytics and one-time-passcodes |
| CN110009337B (zh) | 2018-12-21 | 2020-04-21 | 阿里巴巴集团控股有限公司 | 一种基于区块链的数据处理方法和装置 |
| US11182608B2 (en) | 2018-12-21 | 2021-11-23 | Verizon Patent And Licensing Inc. | Biometric based self-sovereign information management |
| US11514177B2 (en) | 2018-12-21 | 2022-11-29 | Verizon Patent And Licensing Inc. | Method and system for self-sovereign information management |
| US11196740B2 (en) * | 2018-12-21 | 2021-12-07 | Verizon Patent And Licensing Inc. | Method and system for secure information validation |
| FR3090934A1 (fr) * | 2018-12-21 | 2020-06-26 | Orange | Procédé et système de sécurisation d’opérations, et poste utilisateur associé |
| US11062006B2 (en) | 2018-12-21 | 2021-07-13 | Verizon Media Inc. | Biometric based self-sovereign information management |
| US11288387B2 (en) | 2018-12-21 | 2022-03-29 | Verizon Patent And Licensing Inc. | Method and system for self-sovereign information management |
| US11281754B2 (en) | 2018-12-21 | 2022-03-22 | Verizon Patent And Licensing Inc. | Biometric based self-sovereign information management |
| US10860874B2 (en) | 2018-12-21 | 2020-12-08 | Oath Inc. | Biometric based self-sovereign information management |
| CN110020543B (zh) | 2018-12-21 | 2020-09-15 | 阿里巴巴集团控股有限公司 | 一种基于区块链的数据处理方法和装置 |
| US11288386B2 (en) | 2018-12-21 | 2022-03-29 | Verizon Patent And Licensing Inc. | Method and system for self-sovereign information management |
| EP3699850A1 (en) * | 2019-02-19 | 2020-08-26 | Mastercard International Incorporated | Secure remote payment mechanism |
| US11488165B1 (en) | 2019-05-01 | 2022-11-01 | United Services Automobile Association (Usaa) | Method and apparatus for digital identity authentication |
| CN110224713B (zh) * | 2019-06-12 | 2020-09-15 | 读书郎教育科技有限公司 | 一种基于高安全性智能儿童手表的安全防护方法及系统 |
| US11296862B2 (en) * | 2019-08-29 | 2022-04-05 | Visa International Service Association | Provisioning method and system with message conversion |
| US11599871B1 (en) | 2019-09-18 | 2023-03-07 | Wells Fargo Bank, N.A. | Systems and methods for a transaction card having a cryptographic key |
| US20210234850A1 (en) * | 2020-01-23 | 2021-07-29 | Logonsafe LLC | System and method for accessing encrypted data remotely |
| US11704660B2 (en) | 2020-03-12 | 2023-07-18 | Mastercard International Incorporated | Systems and methods for token transfer between mobile computing devices |
| US11165586B1 (en) * | 2020-10-30 | 2021-11-02 | Capital One Services, Llc | Call center web-based authentication using a contactless card |
| US11423392B1 (en) | 2020-12-01 | 2022-08-23 | Wells Fargo Bank, N.A. | Systems and methods for information verification using a contactless card |
| US11386194B1 (en) | 2021-07-09 | 2022-07-12 | Oversec, Uab | Generating and validating activation codes without data persistence |
| NL2031049B1 (en) * | 2022-02-23 | 2023-09-06 | Hanscan Holdings Ltd | user identification system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101351027A (zh) * | 2007-07-19 | 2009-01-21 | 中国移动通信集团公司 | 业务鉴权处理方法及系统 |
| CN103248495A (zh) * | 2012-02-10 | 2013-08-14 | 中国移动通信集团公司 | 一种应用内付费的方法、服务器、客户端和系统 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7761374B2 (en) | 2003-08-18 | 2010-07-20 | Visa International Service Association | Method and system for generating a dynamic verification value |
| US20130339232A1 (en) * | 2005-10-06 | 2013-12-19 | C-Sam, Inc. | Widget framework for securing account information for a plurality of accounts in a wallet |
| US20140089120A1 (en) * | 2005-10-06 | 2014-03-27 | C-Sam, Inc. | Aggregating multiple transaction protocols for transacting between a plurality of distinct payment acquiring devices and a transaction acquirer |
| US8327143B2 (en) * | 2008-08-04 | 2012-12-04 | Broadcom Corporation | Techniques to provide access point authentication for wireless network |
| US10354321B2 (en) * | 2009-01-22 | 2019-07-16 | First Data Corporation | Processing transactions with an extended application ID and dynamic cryptograms |
| US9031231B2 (en) * | 2009-04-10 | 2015-05-12 | Koninklijke Philips N.V. | Device and user authentication |
| US8602293B2 (en) | 2009-05-15 | 2013-12-10 | Visa International Service Association | Integration of verification tokens with portable computing devices |
| EP2767110A4 (en) * | 2011-10-12 | 2015-01-28 | C Sam Inc | PLATFORM FOR MULTI-STAGE SECURE MOBILE TRANSACTIONS |
| US10949815B2 (en) * | 2011-12-13 | 2021-03-16 | Visa International Service Association | Integrated mobile trusted service manager |
| GB2506591A (en) * | 2012-09-28 | 2014-04-09 | Bell Identification Bv | Method of providing secure services using a mobile device |
| US20140101434A1 (en) * | 2012-10-04 | 2014-04-10 | Msi Security, Ltd. | Cloud-based file distribution and management using real identity authentication |
| US9286455B2 (en) * | 2012-10-04 | 2016-03-15 | Msi Security, Ltd. | Real identity authentication |
| US20160019536A1 (en) * | 2012-10-17 | 2016-01-21 | Royal Bank Of Canada | Secure processing of data |
| WO2014198745A1 (en) | 2013-06-12 | 2014-12-18 | Telecom Italia S.P.A. | Mobile device authentication in heterogeneous communication networks scenario |
| US9317704B2 (en) | 2013-06-12 | 2016-04-19 | Sequent Software, Inc. | System and method for initially establishing and periodically confirming trust in a software application |
| US10878422B2 (en) * | 2013-06-17 | 2020-12-29 | Visa International Service Association | System and method using merchant token |
| US20150019686A1 (en) * | 2013-07-12 | 2015-01-15 | Seven Networks, Inc. | Distributed caching systems with configurable extended caching optimization |
| CA2918788C (en) | 2013-07-24 | 2020-06-16 | Visa International Service Association | Systems and methods for interoperable network token processing |
| US10366391B2 (en) * | 2013-08-06 | 2019-07-30 | Visa International Services Association | Variable authentication process and system |
| EP2843605A1 (en) * | 2013-08-30 | 2015-03-04 | Gemalto SA | Method for authenticating transactions |
| US10891610B2 (en) | 2013-10-11 | 2021-01-12 | Visa International Service Association | Network token system |
| US10366387B2 (en) * | 2013-10-29 | 2019-07-30 | Visa International Service Association | Digital wallet system and method |
| US8745390B1 (en) * | 2013-11-13 | 2014-06-03 | Google Inc. | Mutual authentication and key exchange for inter-application communication |
| KR102293822B1 (ko) | 2013-12-19 | 2021-08-26 | 비자 인터네셔널 서비스 어소시에이션 | 클라우드-기반 트랜잭션 방법 및 시스템 |
| US10070310B2 (en) * | 2014-05-08 | 2018-09-04 | Visa International Service Association | Method and system for provisioning access data to mobile device |
| WO2015199319A1 (en) * | 2014-06-23 | 2015-12-30 | Samsung Electronics Co., Ltd. | Method and apparatus for optimizing internet communications |
| US10484345B2 (en) * | 2014-07-31 | 2019-11-19 | Visa International Service Association | System and method for identity verification across mobile applications |
| US9775029B2 (en) * | 2014-08-22 | 2017-09-26 | Visa International Service Association | Embedding cloud-based functionalities in a communication device |
| US10257185B2 (en) * | 2014-12-12 | 2019-04-09 | Visa International Service Association | Automated access data provisioning |
| US10187363B2 (en) * | 2014-12-31 | 2019-01-22 | Visa International Service Association | Hybrid integration of software development kit with secure execution environment |
| CN113507377B (zh) * | 2015-02-17 | 2024-04-26 | 维萨国际服务协会 | 用于使用基于交易特定信息的令牌和密码的交易处理的装置和方法 |
| AU2016220072B2 (en) * | 2015-02-17 | 2020-01-02 | Visa International Service Association | Secure authentication of user and mobile device |
| US10949841B2 (en) * | 2015-05-07 | 2021-03-16 | Visa International Service Association | Provisioning of access credentials using device codes |
| US10341862B2 (en) * | 2016-02-05 | 2019-07-02 | Verizon Patent And Licensing Inc. | Authenticating mobile devices |
| US20180211248A1 (en) * | 2017-01-25 | 2018-07-26 | Bank Of America Corporation | Expedited setup of digital wallet using contactless credential |
| WO2019075162A1 (en) * | 2017-10-13 | 2019-04-18 | Walmart Apollo, Llc | SYSTEMS AND METHODS OF OPEN MOBILE PAYMENT |
-
2016
- 2016-02-17 AU AU2016220072A patent/AU2016220072B2/en active Active
- 2016-02-17 WO PCT/US2016/018339 patent/WO2016134065A1/en active Application Filing
- 2016-02-17 EP EP16753007.0A patent/EP3259877B1/en active Active
- 2016-02-17 CN CN201680010553.2A patent/CN107251595B/zh active Active
- 2016-02-17 SG SG11201705800SA patent/SG11201705800SA/en unknown
- 2016-02-17 US US15/046,341 patent/US10116447B2/en active Active
-
2018
- 2018-08-21 US US16/107,866 patent/US10341111B2/en active Active
-
2019
- 2019-05-22 US US16/419,431 patent/US10826702B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101351027A (zh) * | 2007-07-19 | 2009-01-21 | 中国移动通信集团公司 | 业务鉴权处理方法及系统 |
| CN103248495A (zh) * | 2012-02-10 | 2013-08-14 | 中国移动通信集团公司 | 一种应用内付费的方法、服务器、客户端和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160241402A1 (en) | 2016-08-18 |
| CN113014400A (zh) | 2021-06-22 |
| AU2016220072A1 (en) | 2017-08-03 |
| US10116447B2 (en) | 2018-10-30 |
| SG11201705800SA (en) | 2017-08-30 |
| EP3259877A1 (en) | 2017-12-27 |
| AU2016220072B2 (en) | 2020-01-02 |
| CN107251595A (zh) | 2017-10-13 |
| US20180359093A1 (en) | 2018-12-13 |
| EP3259877A4 (en) | 2018-09-19 |
| EP3259877B1 (en) | 2021-06-02 |
| US10826702B2 (en) | 2020-11-03 |
| US20190273615A1 (en) | 2019-09-05 |
| US10341111B2 (en) | 2019-07-02 |
| WO2016134065A1 (en) | 2016-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10826702B2 (en) | Secure authentication of user and mobile device | |
| US11943231B2 (en) | Token and cryptogram using transaction specific information | |
| US11329822B2 (en) | Unique token authentication verification value | |
| US20210142312A1 (en) | Authentication systems and methods using location matching | |
| CA3009659C (en) | Systems and methods for device push provisioning | |
| US11170379B2 (en) | Peer forward authorization of digital requests | |
| US20170221054A1 (en) | Systems and methods for code display and use | |
| CN113014400B (zh) | 用户和移动装置的安全认证 | |
| CN113038471B (zh) | 用于设备推送供应的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |