CN108369619A - 对于交易的用户认证 - Google Patents
对于交易的用户认证 Download PDFInfo
- Publication number
- CN108369619A CN108369619A CN201680072368.6A CN201680072368A CN108369619A CN 108369619 A CN108369619 A CN 108369619A CN 201680072368 A CN201680072368 A CN 201680072368A CN 108369619 A CN108369619 A CN 108369619A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- option
- computing device
- publisher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000001514 detection method Methods 0.000 claims abstract description 6
- 238000012790 confirmation Methods 0.000 claims abstract description 5
- 230000015654 memory Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000003993 interaction Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种适合于交易或远程服务的使用的在计算设备(1)处对用户进行认证的方法。在计算设备(1)处向用户提供多个认证选项。在用户进行认证选项的选择时,对选择的认证选项执行认证协议。在认证协议成功执行时,计算设备与远程服务通信以利用多个认证选项中的哪个被用户选择的标识来对远程服务提供成功认证的确认。该方法可以用于使得被委托的用户能够进行交易,并且用在欺诈检测和预防中。还描述了合适的计算设备和服务提供。
Description
相关申请的交叉引用
本申请要求2015年12月11日提交的欧洲专利申请序列号15199658.4的申请日的优先权和权益,该欧洲专利申请特此通过其整体引用而并入。
技术领域
本发明一般涉及对于交易的用户识别。实施例涉及对支付设备进行用户的认证,其中特定的实施例涉及使用用户认证信息来进行欺诈预防。
背景技术
支付卡(诸如信用卡和借记卡)非常广泛地用于所有形式的金融交易。近年来,支付卡的使用随着技术的发展已显著地演变。许多支付在零售地点进行,通常其中物理支付卡与销售点(POS)终端进行交互以支持交易授权。这些支付卡可以通过刷过磁条读取器来与POS进行交互,或者对于“芯片卡”或“智能卡”而言,通过与智能卡读取器直接接触(根据标准ISO/IEC 7816)或者通过经由局部短程无线通信的非接触交互(根据标准ISO/IEC14443)来与POS进行交互。为了确保账户持有者请求支付,持卡者验证的使用被使用,其中,通常通过输入到POS或移动支付设备中的个人标识号(PIN)来对用户进行认证。签名是早期的认证范式,现在一般仅在PIN不可用时才被使用。出于其它的目的,若干其它的认证范式被使用:指纹、面部识别、语音识别和手势都被一定程度地使用,其它生物计量和其它标识符也是一样。这些认证方法中的几个认证方法可以用于通过用户计算设备(诸如用户移动电话)来进行认证。
考虑到用户认证选项的多样性,将期望的是更丰富地利用用户认证数据,特别是对于在用户移动设备处的用户认证。
发明内容
在第一方面,本发明提供了一种对于远程服务在计算设备处对用户进行认证的方法,包括在计算设备处:向用户提供多个认证选项;在用户进行了认证选项的选择时,对选择的认证选项执行认证协议;以及在认证协议成功执行时,与远程服务通信以利用多个认证选项中的哪个被用户选择的标识来对远程服务提供成功认证的确认。
在实施例中,计算设备是无线电信手机。
认证选项可以包括至少一个生物计量标识符。认证选项可以包括用于被委托的用户的至少一个认证选项。
计算设备可以是支付设备。在这种情况下,远程服务可以包括对于支付设备的发行者认证服务。这样的支付设备可以使用EMV协议,在这种情况下,可以在发行者应用数据中传送选择的认证选项。在这样的实施例中,可以在PIN尝试计数器内超载(overload)选择的认证选项,从而保持现有的数据元素和大小的连续性,或者将该信息作为发行者应用数据的子元素添加到卡验证结果数据元素。
在第二方面,本发明提供了一种计算设备,该计算设备具有处理器和存储器,被编程为执行上述方法,并且具有提供一个或多个认证选项的用于用户的用户接口。
在第三方面,本发明提供了一种欺诈检测的方法,包括:对设备或服务的用户提供多个认证选项;跟踪该用户的单独(separate)的认证选项的使用以确立该用户的认证模式;以及如果认证选项的使用与认证模式不匹配,则将该使用识别为可能是欺诈的。
附图说明
现在将通过示例的方式、参照附图来描述本发明的实施例,其中:
图1示出其中可以使用本发明的实施例的示例性交易系统;
图2a和图2b分别示出用于在本发明的实施例中使用的移动设备和发行银行应用服务器的元件;
图3示出根据本发明的方面的对移动设备进行认证的方法;
图4例示本发明的实施例中所使用的被委托的交易的使用模型;
图5例示根据本发明的实施例的实现图4的使用模型的过程流程;以及
图6例示根据本发明的实施例的使用提供的用户认证类型信息的欺诈检测过程的过程流程。
具体实施方式
下面将参照附图来描述本发明的具体实施例。
图1示出其中可以使用本发明的实施例的示例性交易系统。
用户(未示出)被提供支付设备—这可以是用户计算设备,诸如移动电话1或笔记本计算机或平板。这可以充当支付卡或便携式消费者设备(诸如智能手表、腕带、环、车钥匙坠或本领域有经验的人员将其分类为可穿戴1a的其它设备)的代理,并且还可以充当支付管理设备1以允许用户管理他们的账户上的支付。
这些设备通常具有处理器和存储器,这些存储器用于存储信息,该信息包括由相应的处理器运行的固件和应用。支付设备通常将配备有与支付基础设施的其它元件通信的手段。这些通信手段可以包括使得能够借助于ISO/IEC7816芯片接口进行通信的天线以及相关联的硬件和软件,或者可以包括非接触卡协议,诸如根据ISO/IEC 14443和EMVCo BookD定义的那些,或者它们可以包括允许使用802.11协议的局部无线联网的天线以及相关联的硬件和软件,或者上面的任何组合。
传统基础设施中的其它计算机装备通常是固定的,但是在感兴趣交互点(POI)终端2的情况下,也可以是便携式的。所示的示例是与用户交互的商家使用的移动销售点(MPOS)终端。这样的装备通常以安全的方式(要么通过专用信道,要么通过公共信道或不安全信道上的安全通信机制—这里连接被示为经过公共因特网8)连接到或可连接到收单银行6或其它系统。还示出了允许支付管理设备1和与用户相关联的卡发行银行5或系统之间的连接的机制。银行业务基础设施7还将连接卡发行者5和收单银行6,从而允许交易在它们之间进行。
发行银行应用服务器3被明确地示为发行银行5的一部分。虽然在这里被指示为单个计算系统(其包括处理器、存储器、通信以及这样的系统的任何其它相关元件),但是发行银行应用服务器3可以作为普通计算系统的元件与发行银行的其它元件一起提供,可以包括物理上或逻辑上分开的元件,或者甚至可以整个地或部分地实现为由可信第三方提供商(诸如银行业务基础设施的提供商)提供的服务。发行银行5通过发行银行应用服务器3提供的两个功能元件被更详细地示出。这些是发行者认证模块9和发行者客户服务器10。发行者认证模块9被示为直接连接到支付管理设备1(在一些使用情景下可能如此),但是在许多情况下,将通过银行业务基础设施7来访问发行者认证模块以对用户进行认证、从而证实交易。发行者客户服务器10也被示为连接到支付管理设备1,但是用户可以使用任何合适的计算设备连接到发行者客户服务器10。在实施例中,用户使用发行者客户服务器10来设置与用户账户的使用相关的许可。
图2a和2b示意性地例示用户支付管理设备1和发行者系统的相关功能,发行者系统包括发行者认证模块9和发行者客户服务器10。
图2a示出支付管理设备1,可以是移动手机,但是应注意,在本发明的实施例中,任何其它的便携式计算装置(诸如膝上型电脑、笔记本或平板计算机、或者甚至固定装置(诸如桌面计算机))可以用作计算装置。支付管理设备包括处理器201和存储器202,使得存储器存储应用并且处理器随后将运行这些应用(一般被示为驻留在应用空间203中),这些应用诸如是支付管理应用203a、指纹扫描应用203b和语音识别应用203c—指纹扫描应用203b和语音识别203c是可以用于用户的认证以补充或代替其它认证机制(诸如应用内的密码)的示例性生物计量应用,其中其它生物计量替代物(诸如面部和手势识别)也可供使用。支付管理设备具有用户接口,用户接口包括显示器204和触摸屏205(或其它输入设备)以及相关联的驱动程序以允许用户将数据输入到应用203中并且从应用203查看信息。支付管理设备1还具有通信能力,诸如共同提供连接到蜂窝通信网络的能力的订户信息模块206和无线通信元件207,另外地或替代地,支付管理设备1可以包括wifi或有线网络接入。支付管理设备1可能需要执行加密操作以便与银行应用服务器3安全地交互。
图2c描述支付卡1a的元件可能需要执行加密操作以便与POS终端安全地交互或支持特定的认证方法—这可以通过诸如篡改保护元件中的安全处理环境209的加密能力来实现—该安全处理环境(其可以包括加密处理器和存储器的安全区域)还可以保存用于由主应用空间203中的应用使用的秘密,或者这些应用的部分可以在安全处理环境209内运行。
图2b描述发行银行应用服务器3的元件。这被示为包括具有处理器221和存储器222的处理环境220和相关联的通信功能223。通信功能可以包括允许与支付网络基础设施7通信的联网能力,将存在允许将受安全保护的、与支付管理设备1通过公共网络的通信的电信能力。处理器221是处理能力的表示,并且在实践中可以由几个处理器提供。其它特征(诸如用户数据库)在这里没有明确地示出,因为它们可以通过传统手段来实现,并且不需要进一步被讨论来解释本公开的元件。发行者认证模块9被示为处理环境220内的元件,其中相关联的用户认证数据229存储在存储器222中。发行者客户服务器10也被示为处理环境220内的元件。处理环境220内示出的元件使用处理器221和存储器222来交付功能—在发行者认证模块9的情况下,这是使发行者5向银行业务基础设施7、最终向收单银行6提供合法持卡者涉及交易的确认,而在发行者客户服务器的情况下,这是针对发行银行5的持卡客户。在实施例中,加密处理器231可以用于使得能够在发行银行应用服务器3和支付管理设备1之间安全通信。
图3概括地示出根据本发明的方面的在计算设备处的认证的方法。首先,使支付设备1或1a所支持的多个认证选项对设备的用户可用310—如上面所讨论的,这些可以包括提供密码、生物计量标识符(诸如指纹、语音或面部识别)、或任何其它合适的机制—并且在选择时,执行320适当的认证协议。在大多数实施例中,计算设备是移动设备,特别是移动电话或平板计算机,但是其它实施例适用于更广范围的便携式消费者设备,包括通过代理适用于支付卡1a。在成功认证时,将成功认证和选择的认证选项这二者的指示发送330给相关方—在移动设备正被用作支付设备的交易的情况下,这可以是发行银行5或其发行者认证模块9。
该方法与传统认证中所使用的方法的不同尤其是在于,在传统认证中,在移动设备处,认证类型不被记录,并且最特别地,不与确认的认证一起发送给任何远程方。以这种方式保存和发送认证类型允许远程方在做出决定时不仅评估340认证,而且还评估340选择的认证选项。如下面将讨论的,这与至少两种场景相关:对于支付设备的使用向受托人(delegate)提供许可;以及改进的欺诈检测和预防。
现在将参照图4和图5来考虑被委托的交易。图4例示本发明的实施例中所使用的被委托的交易的使用模型。用户40通过移动设备1或其它计算设备41与发行者客户服务器10进行交互。用户40已标识了一个或多个受托人42,这些受托人42被许可利用特定的认证方法(诸如受托人生物计量或受托人特定的密码)、通过支付设备(在这种情况下,移动设备1)访问与支付卡1a相关联的用户账户。这是通过使用支付设备许可软件43在用户40和发行者客户服务器10之间、连同对使用的任何限制或控制一起确立的—支付设备许可软件43可以例如是所有人的In Control软件的修改版本。在通过使用受托人特定的认证方法受托人42将移动设备1用作支付设备(这里被示为与终端2的交互)时,交易细节通过银行业务基础设施传递回发行银行5(为方便起见,发行银行5与发行者客户服务器10分开地示出,但是其与发行者客户服务器10进行交互),交易细节不仅包括移动设备1处的认证的指示,而且还包括认证方法的指示(这足以将认证识别为受托人认证)。发行银行5使用通过支付设备许可软件确定的许可,可以不仅确立受托人42的使用是否是合法的,而且还确立它是否落在由用户40确立的许可的使用内。
图5例示根据本发明的实施例的实现图4的用户模型的过程流程。首先,用户和发行者为受托人确立510许可的使用和认证选项。受托人使用520支付设备来执行交易,其中,受托人所使用的认证选项和交易信息被提供530给发行者。如果交易落在许可的使用内并且认证选项对于受托人是有效的,则发行者允许540交易—在一些情况下,该步骤可以在交易已完成之后发生,在这种情况下,其它动作(诸如账户暂停,直到发行者和用户之间直接通信)可以代替地发生。
现在将更详细地描述图5中阐述的每个步骤。
用户和发行者可以首先通过使用由发行者客户服务器10托管的适当的支付设备许可软件43(其中用户通过他们的移动设备1或其它计算设备41上的客户端进行交互)来确立谁是合法的受托人、该受托人的许可的使用是什么以及该受托人的认证选项。该支付设备许可软件43可以在本申请人的In Control软件的功能上进行扩展,尽管对于本发明的实施例采用In Control的现有功能不是必须的。In Control软件类似地托管在发行者客户服务器10上,或者以其它方式代表发行者。它当前允许用户对他们自己的超出发行者允许的信用限制的使用行为设置限制,并且可以例如被用来控制家庭中或工作组中的持卡者的使用行为—在这些情况下,卡“所有者”可以不同于卡“用户”,并且它通常是设置这些许可的、最终负责为支付设备的使用付账的所有者。
功能的扩展允许用户确立能够使用支付设备(在以下讨论中为方便起见称为“卡”)的受托人。这不同于现有的布置,在现有的布置中,卡所有者可以负责多个支付设备,但是这些具有它们自己的单独的持卡者—卡所有者目前不具有为卡所有者也是持卡者的卡确立受托人的机制。当前,这将被认为是有问题的,主要是由于对认证的担心(其在本发明的实施例中被解决)。新功能允许受托人被确立并且该受托人的认证选项也被确立—受托人许可可以针对受托人以与In Control中相同的方式确立,从而允许货币和时间使用限制、地理限制、或者甚至对于与特定商家一起使用或对于特定交易类型的限制被确立。
受托人的确立应以用户和受托人这二者认为足够安全的方式来实现。受托人身份将需要在用户会话中确立—一个可能性于是将是使受托人也存在于会话中并且在会话期间完成受托人细节和受托人认证选项,此时,用户具有该过程的合理的可见性。这可以是适当的选项,如果受托人意图使用物理支付设备—诸如移动设备1—其也被用于与支付设备许可软件的相关的会话。移动设备1可以被简单地交给受托人以输入受托人细节并且确立受托人认证选项。这可以是受托人个人的密码,或者可以是生物计量,诸如受托人指纹。这还将意味着,与受托人认证选项相关联的安全数据可能不需要被发送到移动设备本身以外,并且可以被保存在该设备的安全区域中。
确立受托人细节的另一选项将是使用户为受托人提供足够的细节以允许受托人建立他或她自己与发行者客户服务器10的会话。这可以例如涉及用户利用分开的通信路径—诸如电子邮件地址和移动电话号码—提供两个受托人凭证以允许在确立受托人认证选项的受托人会话中进行双重交互。该方法为用户、受托人和发行者提供合理等级的安全。
确立受托人认证的进一步的方式将是使用户代表受托人加载受托人的认证密码或PIN代码,并且将该代码直接传送给受托人。在实施例中,受托人在设备可用于支付之前可以被强迫在支付管理设备1代码上改变该认证凭证。
在支付设备是支付卡1a的实施例中,支付管理设备1在认证的确立330期间将把受托人认证数据传送给支付卡1a。
受托人对支付设备的使用本质上与用户的使用是相同的—受托人以相同的方式参与交易,并且当被要求提供认证时,提供受托人认证选项。从商家和收单银行的角度来讲,现有过程没有改变。然而,交易细节被以仅与发行银行和银行业务基础设施相关的方式修改。紧接着下面讨论这样做的一种合适的方式。
对于支付设备,可能存在多于一种的持卡者验证方法(CVM)可用。对于与芯片和pin终端交互的物理卡,标准CVM是在线PIN(个人标识号),在在线PIN中,PIN信息被输入并且被发送给卡发行者,而对于离线PIN交易,不存在与发行者的在线通信,而是支付设备自己进行PIN检查。主要的支付设备标准是行业通过EMVCo开发的那些,EMVCo在https:// www.emvco.com/specificatoins.aspx上提供了规范。在实践中,生物计量、手势和其它认证方法可以在支付设备处被用作用户认证协议的一部分,但是这些在任何记录的交易信息中没有被区别(它们通常将根据是否存在与发行者的直接接触而被当作在线PIN、离线PIN或消费者设备持卡者验证(CD-CVM))。然而,存在根据EMVCo协议提供给发行者的、来自交易的特定信息—这被称为发行者应用数据(IAD)。IAD消息可以被扩展以承载表示CVM类型的附加的一个或两个字节的数据—值可以被选择为不仅指示所使用的CVM的类型,而且还指示PIN(或等同物)是与用户有关、还是与受托人有关。将不改变现有消息大小的替代方法将是超载相关字段,诸如跟踪已进行的认证尝试的次数的PIN尝试计数器—这可以不需要整个字节,特别是当大多数安全协议将要求任何认证方法在整个字节的认证尝试已进行之前中止时。这可以例如通过PIN尝试计数器的低效半字节(值x0…xF)保留它们的原始功能、但是高效半字节(值0x…Fx)承载CVM类型(指纹、密码、PIN、手势、受托人标识符……)来进行。这允许交易细节被商家、收单银行以及银行业务基础设施的大多数部分以通常的方式处理,同时允许CVM类型信息被发行者、银行业务基础设施或代表发行者行动(act)的另一方使用,或者在一些方法中,被银行业务基础设施独立于发行者使用。
当交易细节到达发行者(具体地发行者认证模块9)时,可以使用CVM类型信息来确定CVM是与持卡者有关、还是与受托人有关(如下面进一步所讨论的,在记录CVM类型时,存在除此之外的其它益处)。发行者然后将确定交易是否落在由用户/持卡者和发行者对受托人确立的许可的活动内。如果是这样,则交易可以被相应地授权或拒绝(对于在线交易),或者被适当地标记(如果交易是离线的并且完成),从而防止相关持卡者账户的进一步使用,直到该情形已被合法化。
虽然受托人的使用是图3所示的用于认证选项的方法的一个益处,但是存在来自于该附加认证信息的可用性的其它益处,特别是在欺诈预防上。图6例示根据本发明的实施例的使用提供的用户认证类型信息的欺诈检测过程的过程流程。
当根据本发明的实施例使用支付设备执行610交易时,使用来自多个可用的认证选项的一个认证选项,并且包括选择的认证选项的交易信息被发送620到支付基础设施中并且提供给代表发行者行动的系统(在实施例中,发行者认证模块9)以确立支付设备的使用是否有效。发行者(或代理发行者的或除了发行者之外的银行业务基础设施)然后将尝试从交易细节(包括选择的认证选项)确定630交易是否与用户的支付设备的现有使用模式如此不一致以至于可能是欺诈的(例如,通过将风险分数分配给交易的特征并且确立交易的总风险分数),如果是这样,则采取将交易标识为可能是欺诈的动作640。因为所使用的认证形式是—已被发行者确立并批准的认证形式—即使在意料之外,所以交易的拒绝可能不是适当的—替代物可以是给持卡者打电话以确认使用是合法用户。
选择的认证选项的标识提供的附加信息可以显著地影响任何风险分数。例如,对于利用他或她的移动电话的交易,用户可能习惯上使用方便的生物计量,诸如指纹—另一授权选项(诸如密码)可以是可用的,但是通常从不用于该支付设备上的交易。在移动电话上使用密码来进行用户认证将使使用是欺诈的风险显著增加,因为它明显不同于用户的支付设备的通常使用模式。
虽然上面详细描述的实施例主要涉及支付设备,但是可以在其它情景下提供本发明的实施例。本发明的范围由权利要求的精神和范围限定,而不是由这里描述的实施例限制。
Claims (10)
1.一种对于远程服务在计算设备处对用户进行认证的方法,包括在计算设备处:
向用户提供多个认证选项;
在所述用户进行认证选项的选择时,对选择的认证选项执行认证协议;以及
在所述认证协议成功执行时,与远程服务通信以利用所述多个认证选项中的哪个被所述用户选择的标识来对所述远程服务提供成功认证的确认。
2.根据权利要求1所述的方法,其中,所述计算设备是无线电信手机。
3.根据权利要求1或权利要求2所述的方法,其中,所述认证选项包括至少一个生物计量标识符。
4.根据前述任一项权利要求所述的方法,其中,所述认证选项包括用于被委托的用户的至少一个认证选项。
5.根据前述任一项权利要求所述的方法,其中,所述计算设备是支付设备。
6.根据权利要求5所述的方法,其中,所述远程服务包括对于所述支付设备的发行者认证服务。
7.根据权利要求6所述的方法,其中,所述支付设备使用EMV协议,并且其中,在发行者应用数据中传送选择的认证选项。
8.根据权利要求7所述的方法,其中,在PIN尝试计数器内传送选择的认证选项。
9.一种计算设备,所述计算设备具有处理器和存储器,被编程为执行前述任一项权利要求的所述方法,并且具有提供一个或多个认证选项的用于用户的用户接口。
10.一种欺诈检测的方法,包括:
对设备或服务的用户提供多个认证选项;
跟踪该用户的单独的认证选项的使用以确立该用户的认证模式;以及
如果认证选项的使用与所述认证模式不匹配,则将所述使用标识为可能是欺诈的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15199658.4 | 2015-12-11 | ||
| EP15199658.4A EP3179431A1 (en) | 2015-12-11 | 2015-12-11 | User authentication for transactions |
| PCT/US2016/065540 WO2017100411A1 (en) | 2015-12-11 | 2016-12-08 | User authentication for transactions |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108369619A true CN108369619A (zh) | 2018-08-03 |
Family
ID=54849563
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680072368.6A Pending CN108369619A (zh) | 2015-12-11 | 2016-12-08 | 对于交易的用户认证 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20170169434A1 (zh) |
| EP (1) | EP3179431A1 (zh) |
| JP (1) | JP2018538625A (zh) |
| CN (1) | CN108369619A (zh) |
| BR (1) | BR112018009368A8 (zh) |
| CA (1) | CA3008130A1 (zh) |
| WO (1) | WO2017100411A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240211574A1 (en) * | 2021-06-30 | 2024-06-27 | Rakuten Group, Inc. | Learning model creating system, learning model creating method, and program |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3061586A1 (fr) * | 2016-12-30 | 2018-07-06 | Idemia France | Procede de controle d'habitudes d'utilisation et dispositif electronique apte a mettre en œuvre un tel procede |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| CN108038694B (zh) * | 2017-12-11 | 2019-03-29 | 飞天诚信科技股份有限公司 | 一种具有指纹验证功能的金融卡及其工作方法 |
| US11855971B2 (en) * | 2018-01-11 | 2023-12-26 | Visa International Service Association | Offline authorization of interactions and controlled tasks |
| CN111695109B (zh) * | 2020-06-02 | 2024-04-26 | 中国工商银行股份有限公司 | 收单程序访问控制方法、收单终端及服务器 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009075180A1 (ja) * | 2007-12-11 | 2009-06-18 | Nec Corporation | 認証装置、認証システム、認証方法及びプログラム |
| US20130267204A1 (en) * | 2012-02-28 | 2013-10-10 | Verizon Patent And Licensing Inc. | Method and system for multi-factor biometric authentication based on different device capture modalities |
| EP2722803A1 (en) * | 2012-10-18 | 2014-04-23 | Gemalto SA | System and method for remotely unlocking security devices |
| US20140331286A1 (en) * | 2011-07-12 | 2014-11-06 | Assa Abloy Ab | Event driven second factor credential authentication |
| CN104838399A (zh) * | 2012-12-10 | 2015-08-12 | 维萨国际服务协会 | 使用移动设备认证远程交易 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3994363B2 (ja) * | 1999-08-26 | 2007-10-17 | 株式会社日立製作所 | Atmにおける指紋照合システムおよびその方法 |
| JP2003050783A (ja) * | 2001-05-30 | 2003-02-21 | Fujitsu Ltd | 複合認証システム |
| US9514458B2 (en) * | 2003-06-04 | 2016-12-06 | Mastercard International Incorporated | Customer authentication in E-commerce transactions |
| US7676432B2 (en) * | 2003-07-08 | 2010-03-09 | Paybyclick Corporation | Methods and apparatus for transacting electronic commerce using account hierarchy and locking of accounts |
| JP2005065035A (ja) * | 2003-08-18 | 2005-03-10 | Fujitsu Ltd | Icカードを利用した代理者認証システム |
| JP4156605B2 (ja) * | 2005-03-25 | 2008-09-24 | 富士通株式会社 | 個人認証端末、個人認証方法及びコンピュータプログラム |
| US7912762B2 (en) * | 2006-03-31 | 2011-03-22 | Amazon Technologies, Inc. | Customizable sign-on service |
| US8078515B2 (en) * | 2007-05-04 | 2011-12-13 | Michael Sasha John | Systems and methods for facilitating electronic transactions and deterring fraud |
| AU2009311303B2 (en) * | 2008-11-06 | 2015-09-10 | Visa International Service Association | Online challenge-response |
| JP5166330B2 (ja) * | 2009-03-16 | 2013-03-21 | 株式会社東芝 | 認証装置、認証方法および認証プログラム |
| WO2012106757A1 (en) * | 2011-02-07 | 2012-08-16 | David Ball | A smart card with verification means |
| WO2012150525A1 (en) * | 2011-05-05 | 2012-11-08 | Yona Flink | A method and a system for securing anonymous electronic financial transactions using biometrics and other secure means |
| JP5957524B2 (ja) * | 2011-06-27 | 2016-07-27 | アマゾン テクノロジーズ インコーポレイテッド | モバイルデバイスによる支払い選択および承認 |
| US9396320B2 (en) * | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
| CN104281940B (zh) * | 2013-07-12 | 2019-12-10 | 阿里巴巴集团控股有限公司 | 用于通过通信网络提供数据处理方式列表的方法及装置 |
| US10515367B2 (en) * | 2014-03-31 | 2019-12-24 | Ncr Corporation | Fraud detection in self-service terminal |
| US9762590B2 (en) * | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
-
2015
- 2015-12-11 EP EP15199658.4A patent/EP3179431A1/en not_active Withdrawn
-
2016
- 2016-12-08 JP JP2018530068A patent/JP2018538625A/ja active Pending
- 2016-12-08 BR BR112018009368A patent/BR112018009368A8/pt not_active Application Discontinuation
- 2016-12-08 WO PCT/US2016/065540 patent/WO2017100411A1/en active Application Filing
- 2016-12-08 CA CA3008130A patent/CA3008130A1/en not_active Abandoned
- 2016-12-08 CN CN201680072368.6A patent/CN108369619A/zh active Pending
- 2016-12-12 US US15/375,576 patent/US20170169434A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009075180A1 (ja) * | 2007-12-11 | 2009-06-18 | Nec Corporation | 認証装置、認証システム、認証方法及びプログラム |
| US20140331286A1 (en) * | 2011-07-12 | 2014-11-06 | Assa Abloy Ab | Event driven second factor credential authentication |
| US20130267204A1 (en) * | 2012-02-28 | 2013-10-10 | Verizon Patent And Licensing Inc. | Method and system for multi-factor biometric authentication based on different device capture modalities |
| EP2722803A1 (en) * | 2012-10-18 | 2014-04-23 | Gemalto SA | System and method for remotely unlocking security devices |
| CN104838399A (zh) * | 2012-12-10 | 2015-08-12 | 维萨国际服务协会 | 使用移动设备认证远程交易 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240211574A1 (en) * | 2021-06-30 | 2024-06-27 | Rakuten Group, Inc. | Learning model creating system, learning model creating method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| CA3008130A1 (en) | 2017-06-15 |
| BR112018009368A2 (pt) | 2018-11-13 |
| BR112018009368A8 (pt) | 2019-02-26 |
| US20170169434A1 (en) | 2017-06-15 |
| EP3179431A1 (en) | 2017-06-14 |
| JP2018538625A (ja) | 2018-12-27 |
| WO2017100411A1 (en) | 2017-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2538330C2 (ru) | Мобильное платежное устройство, способ предотвращения несанкционированного доступа к платежному приложению и элемент памяти данных | |
| CN108369619A (zh) | 对于交易的用户认证 | |
| JP5713516B1 (ja) | カード決済端末及びカード決済システム | |
| US20110103586A1 (en) | System, Method and Device To Authenticate Relationships By Electronic Means | |
| US20090181644A1 (en) | System and method for activating telephone-based payment instrument | |
| CN107466409B (zh) | 使用电子电信装置的绑定过程 | |
| CN108431848A (zh) | 交易的委托 | |
| UA125037C2 (uk) | Спосіб здійснення фінансових платежів і платіжна система, що використовують мобільний пристрій | |
| JP2016511864A (ja) | 認証デバイス及びそれに関連する方法 | |
| US11392957B2 (en) | User verification for credential device | |
| US20110178903A1 (en) | Personal identification number changing system and method | |
| EP3761248A1 (en) | Transaction device management | |
| US20200013043A1 (en) | Contactless interaction system, apparatus and method | |
| JP2016076262A (ja) | インターネット接続及び対応の端末を介した商業サイトにおける製品又はサービスの決済方法 | |
| Yu et al. | Security issues of in-store mobile payment | |
| JP2002288427A (ja) | 取引実行方法 | |
| KR101725214B1 (ko) | 결제 서비스 제공 시스템 및 방법 | |
| EP4020360A1 (en) | Secure contactless credential exchange | |
| ِAlqassab et al. | EMV Electronic Payment System and its Attacks: A Review | |
| TWM603166U (zh) | 具非接觸式認證的金融交易裝置與系統 | |
| KR102177106B1 (ko) | 결제 금액 설정이 가능한 카드 결제 시스템, 서버 및 방법 | |
| RU2589847C2 (ru) | Способ оплаты товаров и услуг с использованием биометрических параметров клиента и устройство для его осуществления | |
| TW202201309A (zh) | 具非接觸式認證的金融交易裝置、方法與系統 | |
| KR20130098731A (ko) | 유·무선 네트워크 기반 환경에서 개인 보안성을 고려한 카드결제시스템 및 카드결제방법 | |
| CN116057556A (zh) | 经由短距离收发器进行用户验证的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180803 |