CN109636593B - 用于认证网络交易中的用户的系统和方法 - Google Patents

用于认证网络交易中的用户的系统和方法 Download PDF

Info

Publication number
CN109636593B
CN109636593B CN201811169342.0A CN201811169342A CN109636593B CN 109636593 B CN109636593 B CN 109636593B CN 201811169342 A CN201811169342 A CN 201811169342A CN 109636593 B CN109636593 B CN 109636593B
Authority
CN
China
Prior art keywords
transaction
aav
dsn
account
merchant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811169342.0A
Other languages
English (en)
Other versions
CN109636593A (zh
Inventor
S·R·拉卡
B·皮埃尔
V·帕隆巴
J·J·梅因
D·A·罗伯茨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mastercard International Inc
Original Assignee
Mastercard International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mastercard International Inc filed Critical Mastercard International Inc
Publication of CN109636593A publication Critical patent/CN109636593A/zh
Application granted granted Critical
Publication of CN109636593B publication Critical patent/CN109636593B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/14Payment architectures specially adapted for billing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

提供了用于将用户认证到与交易相关的支付账户的系统和方法。示例性方法包括由至少一个计算设备接收与支付账户相关联的交易的认证请求,其中认证请求包括与支付账户相关联的令牌和密码,并将令牌映射到支付账户的主账号(PAN)。该方法还包括验证密码,生成用于认证请求的目录服务器随机数(DSN),以及将DSN和账号发送到与支付账户的发行方相关联的访问控制服务器(ACS)。该方法还包括:响应于发行方认证值(IAV),编制包括IAV、DSN和交易金额的账户持有者认证值(AAV),并将AAV发送给商家和服务器之一。

Description

用于认证网络交易中的用户的系统和方法
技术领域
本公开一般涉及用于认证网络交易中的用户的系统和方法,并且具体地涉及用于结合令牌化服务为用户发起的交易提供认证值的系统和方法,其中认证值基于对用户的认证和与交易相关联的密码的验证代码。
背景技术
该部分提供与本公开相关的背景信息,其不一定是现有技术。
支付账户交易通常涉及与消费者相关联的支付账户,其中支付账户用于为一个或多个产品的购买提供资金。与此相关,通常提供各种机制来抑制和/或防止欺诈或未授权的交易。例如,已经采用EMV技术,其中用于执行支付账户交易的支付卡中包括的芯片与销售点(POS)终端合作以生成交易的密码,然后在相应支付账户的发行方(或代表发行方的各方)批准交易之前验证密码。虽然EMV技术通常设计为用于卡片交易,但也适用于在线交易。
除了上述之外,支付网络还经常提供增强的认证技术,通常称为3-DSecureTM协议,其依赖于涉及支付账户交易的商家的商家插件或MPI,并且依赖于与发行方关联的访问控制服务器或ACS。3-D SecureTM协议通常用于在线交易,以允许持卡者在执行交易时当他们没有实际出现在商家时进行自我身份验证。例如,提供MastercardSecureCodeTM服务,该服务基于3-D SecureTM协议。在该服务中,认证值(例如,账户持有者认证值或AAV等)由发卡机构生成并包括认证结果。然后将这些值放入基础交易的授权消息中的特定字段中,称为通用持卡者身份验证字段或UCAF。反过来,这些信息被传送以支持与支付授权请求相关的发行方,并提供发行方完成认证的明确证据。其他支付网络使用类似的认证服务,其通常基于3-D SecureTM协议。并且,这些服务中的每一个通常要求商家的收单方(或银行)将得到的认证值添加到其标准授权消息中。
附图说明
本文描述的附图仅用于所选实施例的说明性目的,而不是所有可能的实施方式,并且不旨在限制本公开的范围:
图1示出了用于基于与交易相关的消费者的认证并基于相关密码的验证码来提供交易的完整账户持有者认证值(AAV)的示例性系统,并且该示例性系统包括本公开的一个或多个方面;以及
图2是可以在图1的系统中使用的示例性计算设备的框图;以及
图3示出了可以通过图1的系统实现的示例性方法,用于基于对消费者的认证提供交易完整的AAV,包括交易的发行方认证值(IAV);以及
图4是可以结合图1的系统和/或图3的方法使用的包括IAV的完整AAV的示例性格式的框图。
在附图的若干视图中,对应的附图标记表示相应的部件。
具体实施方式
现在将参考附图更全面地描述示例性实施例。这里包括的描述和具体示例仅用于说明的目的,并不旨在限制本公开的范围。
消费者广泛使用支付账户来为商家的产品(例如,商品、服务等的交易)提供资金。为了避免与欺诈和/或未授权交易相关的问题,与支付账户相关联的发行方和与处理交易相关联的支付网络通常对发起交易的消费者施加附加的认证和验证技术/服务。但是,传统上,这种认证和验证技术仅用于存在卡的交易中。
有鉴于此,本文的系统和方法独特地允许将所添加的认证和验证技术中的不同的一些认证和验证技术用于电子商务交易,其通常是卡不存在的交易或CNP交易。特别地,当在目录服务器处针对给定交易接收到认证请求时,目录服务器向数字服务服务器或DSS提供如所述请求中包括的令牌和(可选地)密码,所述数字服务服务器或DSS将令牌映射到与交易中使用的相应支付账户相关联的主账号(PAN),并进一步验证密码或将其安全存储以供以后验证并生成验证码。然后,目录服务器将所述请求(带有PAN)传送到访问控制服务器或ACS,其在验证发起交易的消费者之后提供用于交易的发行方认证值(IAV)代码。然后将IAV以及另一密码(例如,消息认证码(MAC)等)编制成用于交易的完整账户持有者认证值或AAV,并且将其提供给商家以在其中的指定位置处包括在用于交易的授权请求中(例如,在授权请求的通用持卡者认证字段或UCAF处;等等)。结合授权请求,支付网络验证AAV中的密码,并且基于这种验证允许或拒绝交易继续进行。以这种方式,通过ACS提供的增强认证和由密码提供的安全性都由目录服务器(例如,作为验证密码所涉及的支付网络的一部分等)施加在给定的交易上。
图1示出了用于实现可以用于与消费者的交易相关地认证和验证消费者的过程的示例性系统100,并且例如与3-D SecureTM协议/规范一致。然而,应当理解,本文没有讨论/>3-D SecureTM协议/规范的所有细节,因为通过参考/>3-D SecureTM协议/规范和/或其讨论可以容易地理解这些信息的完整详细公开。另外,所示系统100包括多个实体,该多个实体通过在安全通信信道上交换多个特定格式的消息(例如,如在3-DSecureTM协议/规范(参见例如https://www.emvco.com/emv-technologies/3d-secure/)等中定义的那样)来彼此交互。因此,并且可以理解,鉴于实体、消息和必然涉及的其他要求的数量和范围,图1中所示的认证是复杂的。
在所示实施例中,系统100包括与支付账户相关联的消费者102,其中支付账户由发行方104发布给消费者102,并且消费者102可使用该支付账户来为与一个或多个商家(例如,商家106等)的购买交易提供资金。消费者102还与计算设备108相关联,计算设备108被配置为访问一个或多个虚拟商家位置。计算设备108可以包括例如平板电脑、智能手机、笔记本电脑、台式机或其他设备,其使得消费者102能够与一个或多个商家进行交互和/或通信(例如,经由网站和/或商家提供的基于网络的应用程序等)。此外,计算设备108包括钱包应用程序(未示出),其被配置为例如结合支付账户交易为消费者的支付账户提供支付账户凭证。在该实施例中,钱包应用程序包括虚拟钱包应用程序,其可以包括但不限于的/>的/>Visa Checkout等。当被安装和/或激活时,钱包应用程序,更一般地,计算设备108被提供有和/或配置有公钥/私钥对或一个或多个对称密钥以供如下所述使用,以生成消费者102使用他/她的支付账户(通过钱包应用程序)执行的每个交易的密码。密钥可以由数字服务服务器(DSS)(例如,DSS 110等)或支付网络(例如,支付网络136等)或其他方式等提供。下面参考图2更全面地描述在此确定的计算设备108和其他计算设备(例如,服务器等)的细节。
在该示例性实施例中,系统100中的商家106包括具有虚拟商家位置的虚拟商家,例如,消费者可经由计算设备108访问的网站、基于网络的应用程序等。商家虚拟位置可以由商家106直接管理和/或提供,或者由代表商家106的其他实体等管理和/或提供。
通常在系统100中,消费者102先前已经在虚拟商家位置处访问商家106和/或与商家106交互,由此商家106包括所述消费者102的简档,其包括消费者支付账户的支付凭证。与此相关,商家106或其他实体被配置为与生成消费者102简档有关地从DSS 110请求令牌(例如,其可以体现在和/或包括令牌服务提供商(TSP)等),例如,以便随后与消费者102在商家106处进行的支付账户交易相关联地使用。在该示例性实施例中,DSS 110包括MastercardTM数字启用服务(MDES)服务器,但是在其它实施例中可以包括一个或多个其它服务器等。在任何情况下,响应于这样的令牌请求,DSS 110生成专用于消费者的支付账户的令牌并将令牌映射到支付账户的主账号(PAN)(例如,在与DSS 110相关联的数据结构中等)。DSS 110还直接或经由计算设备108处的虚拟钱包应用程序将令牌返回给商家106,由此商家106然后将该令牌与消费者的简档相关联地存储以供消费者102在将来与商家106的交易时使用(例如,“存档”等)。对于与消费者102的后续交易,商家106然后可以使用该令牌来识别交易的资金支付账户。
或者,DSS 110可以生成令牌并向计算设备108中的虚拟钱包应用程序提供令牌,该虚拟钱包应用程序又将令牌存储在其中。然后,对于后续交易,虚拟钱包应用程序提供存储在其中的令牌,而不是依赖于商家106处的令牌“存档”。此外,对于后续交易,消费者102或者计算设备108中的虚拟钱包应用程序可以直接提供账号(例如,PAN等)以为进一步的交易提供资金,而不是依赖于商家106处的令牌“存档”或者提供给虚拟钱包应用程序的令牌。
这样,消费者102和商家106之间的交易可以包括由消费者102提供的一个或多个令牌或账号(例如,PAN等)。如下所述处理每种类型的交易,如所指出的,尽管有些不同。
具体地,在系统100中,当消费者102经由计算设备108并且在商家的虚拟位置处浏览商家106处的一个或多个产品(例如,商品、服务等)时,消费者102可以在计算设备108处通过路径112选择购买产品并进一步提供与交易相关的细节和的输入,然后结账。从消费者102接收的结账细节和输入可以包括例如选择对应于已经接收并存储在商家106处的令牌的支付账户。或者,结账细节和输入可以包括提供令牌的消费者102,同一支付账户的账号(已经为其接收了令牌),或不同支付账户的账号,和/或交易的其他详细信息。
响应于结账输入(和/或与其相关联地提供的细节),商家106被配置为与计算设备108交互,由此计算设备108由钱包应用程序(未示出)配置,生成基于公钥-私钥对的密码,或基于对称密钥(例如,由对称算法生成的秘密密钥等)的密码,该密码与消费者的支付账户和钱包应用程序相关联(并且,例如,DSS 110已知或与DSS 110共享)。该密码可以由虚拟钱包应用程序在计算设备108处在本地生成(例如,由钱包生成的数字安全远程支付(DSRP)),或者可以基于与其他系统的一个或多个交互来生成(例如,结合到DSS 110中的数字安全远程支付(DSRP)服务或其他系统等)(例如,通过云服务等)并经由虚拟钱包应用程序提供给商家106。在该示例性实施例中,所述密码是令牌密码,并且具体地,是DSRP密码。然而,应该理解,可以在其他系统实施例中生成和/或采用其他令牌密码。
然后,由钱包应用程序配置的计算设备108将DSRP密码发送到商家106。
此外,钱包应用程序(在计算设备108本地或在一个或多个后端服务器处)维护应用程序交易计数(ATC)并为针对消费者的支付账户生成的每个DSRP密码递增ATC(即,要么是专用于支付账户的令牌,要么不是)。在所示实施例中,ATC专用于所述令牌,由此即使支付账户具有多个令牌,每个令牌也将与特定ATC相关联,由此,例如,来禁止与其相关联的回复攻击。
当在商家106处接收到DSRP密码时,与商家106相关联的商家服务器插件(MPI)114被配置为编制用于交易的认证请求(AReq)。当交易涉及供应给商家106的令牌时,AReq至少包括该令牌和从计算设备108接收的DSRP密码。或者,当交易不包括所述令牌(或其他令牌)时,AReq至少包括消费者支付账户的账号,例如PAN等,以及DSRP密码。MPI 114被配置为然后经由路径116将AReq发送到包括在系统100中的目录服务器118。虽然示例性系统100包括MPI 114,但是应当理解,MPI 114可以是一个或多个其他适合于本文包括的特定增强认证的服务器和/或服务(例如,由此MPI 114可以被称为3DS服务器(用于EMV 3DS规范)等)或其他。
在该示例性实施例中,当AReq包括供应给商家106的令牌时,目录服务器118被配置为接收AReq并且经由路径120将AReq中的令牌和DSRP密码发送到DSS 110。
反过来,DSS 110被配置为将所接收的令牌映射到消费者的支付账户的账号(例如,PAN等)并且生成到目录服务器的随机数(DSN)。DSN可以包括数字,例如,不可预测的数字,用于向AAV提供熵和/或与其相关联的发行方认证值(IAV)。另外,DSS 110被配置为验证所接收的所述交易的DSRP密码(即,执行密码密钥验证)。具体地,DSS 110被配置为由发行方主对称密钥(例如,由DSS 110为发行方104生成的密钥等)将主密钥多样化,然后由该主密钥(例如,基于由DSS 110维护的ATC等)使一个或多个会话密钥多样化。DSS 110被配置为使用该会话密钥来验证从目录服务器118接收的DSRP密码。此外,当密码被验证后,DSS 110被配置为例如通过将ATC值记录为已使用值(从而可能防止其重复使用)等来递增ATC。另外或替代地,当DSRP密码未被验证时,DSS 110被配置为将DSRP数据与ATC和/或DSN相关联地存储在存储器中(由此稍后验证DSRP密码,如下所述)。
DSS 110还被配置为再次经由路径120将账号和DSN返回到目录服务器118。在至少一个实施例中,例如,在AReq既不包括令牌也不包括密码的情况下,目录服务器118可以生成DSN,而不是从DSS 110接收DSN。
此后,当目录服务器118从DSS 110接收账号时,或者当原始AReq包括账号时,目录服务器118可以被配置为压缩与该交易相关联的某些数据。例如,目录服务器118可以被配置为确定交易金额的对数(即,log金额),从而压缩用于表示金额的数据(例如,该金额的六字节值可以以两个字节编码,潜在误差小于+/-0.02%等)。目录服务器118还可以再被配置为确定商家106的商家ID的截断散列,从而压缩用于表示商家ID的数据。据此,应当理解,在其他实施例中,目录服务器118可以被配置为应用一种或多种不同的技术来压缩要在此使用的数据,或者在其它实施例中不应用一种或多种不同的技术来压缩要在此使用的数据。
目录服务器118被配置为然后经由路径122将例如AReq与账号,DSN,log金额和商家ID的截断散列提供给系统100的访问控制服务器(ACS)124。ACS 124是由发行方104操作或代表发行方104操作的服务器,如在该示例性实施例中实现的3-D SecureTM规范所定义的。
以这种方式,ACS 124被配置为评估交易的风险(例如,基于交易金额,涉及的商家类型,消费者102,消费者的设备信息(例如,重复出现的设备,等)等)。如果风险是不可接受的(基于上述分析/认证),则ACS 124可以被配置为进一步提供与传统技术一致的质询问题,以认证消费者102,拒绝交易,或者以其他方式继续,等等。当消费者102通过上述基于风险的评估,或通过附加质询问题或其他方式被认证后,ACS 124被配置为然后基于与发行方104共享的密钥、加密技术(例如,键控散列(HMAC)功能等),以及账号、DSN、log金额和商家ID的截断散列中的一个或多个,或其他数据等生成IAV。以这种方式,例如,所述IAV专用于消费者102、商家106以及所述交易(例如,通过log金额等),从而通常禁止为一个交易生成IAV并在另一交易的授权请求中提交该IAV给相同或不同的商家。
ACS 124被配置为再次经由路径122将IAV作为认证响应(ARes)发送到目录服务器118。
可选地,当基于风险的认证这样建议时,ACS 124可以通过质询问题进一步认证消费者102。特别地,如图1中的虚线路径所示,ACS 124可以被配置为沿着路径126以ARes响应目录服务器118,其中ARes还包括质询指示符(例如,商家106要调用的网络地址等)。在该示例中,目录服务器118可以被配置为然后从ACS 124接收ARes并且经由路径128将ARes(经由MPI 114或3DS服务器等)发送到商家106。反过来,商家106,特别是虚拟商家位置(例如,网站等)可以识别质询指示符并调用或以其他方式引起质询,从而经由路径130在消费者的计算设备108与ACS 124之间提供交互。交互通常包括质询问题的呈现(例如,输入您的个人代码等),于是消费者102通过路径130提供响应。并且,ACS 124被配置为确认消费者102的响应。此后,当确认后,ACS 124被配置为与上述一致,以生成IAV,然后生成包括该IAV的响应,并经由路径126将响应发送到目录服务器118。
在从ACS 124接收到IAV之后,目录服务器118被配置为生成用于完整AAV的消息认证码(MAC)(即,要包括在AAV中的数据(例如,DSN、log金额、商家ID的截断散列、货币代码、密钥ID等),然后编制完整的AAV。完整的AAV包括IAV、DSN、金额和商家信息,以及签名(例如,密钥ID和MAC)等。应当理解,包括在完整AAV中的数据可以基于其特定实现方式而变化,由此完整AAV可以包括更多或更少的数据,但是通常将包括来自ACS 124的IAV。
此后,目录服务器118被配置为再次经由路径116向MPI 114(或3DS服务器)提供完整AAV。
反过来,商家106被配置为编制交易的授权请求,其适当地包括消费者支付账户的令牌或账号,以及完整的AAV。商家106被配置为然后经由路径134将授权请求发送到收单方132。收单方132又被配置为经由路径138将授权请求发送到支付网络136。
在接收到授权请求后,支付网络136可以被配置为经由路径140与DSS 110交互(尽管这不是在所有实施例中(例如,支付网络136知道适当的密钥等情况下)都需要)。具体地,支付网络136可以被配置为验证包括在完整AAV中的MAC和/或完整AAV本身。支付网络136还可以被配置另外验证和/或确认完整的AAV或其部分,例如,基于完整AAV中包括的版本信息。
一旦被验证,支付网络136被配置为向DSS 110提供授权请求或其部分。DSS 110被配置为当DSRP密码先前由DSS 110验证时,基于DSN确认DSRP密码的验证。相反,DSS 110被配置为通过使用DSN(或其中包括的ATC)来定位用于交易的DSRP数据,并验证DSRP数据,如上所述。另外,DSS 110还被配置为将授权请求中包括的令牌(如果有的话)映射到相应的账号(例如,PAN等)。
DSS 110被配置为然后经由路径140将账号和验证结果返回到支付网络136。结合上文,支付网络136和/或DSS 110可以进一步配置为基于支付账户和/或消费者102提供对于交易的附加服务。例如,DSS 110可以被配置为确定是否满足令牌的一个或多个使用要求(例如,允许令牌被用于电子商务等),或者,可选地,检查交易金额、商家名称和货币等。
此后,支付网络136被配置为沿着路径142向发行方104提供授权请求(包括账号和验证结果)。
然后,发行方104被配置为确定交易是否应被批准或拒绝,并且相应地通过支付网络136作出响应。为此,发行方104被配置为基于与ACS 124共享的一个或多个密钥来验证IAV。更具体地,IAV可以以与上面生成的相同的方式进行验证,例如,基于秘密密钥,ACS124使用的相同加密技术,以及账号、DSN、log金额和商家ID的截断散列或其他数据等。另外或替代地,发行方104可以被配置为利用已经验证了AAV(如验证结果所示)的一个或多个网络服务(例如通过支付网络136),以便批准该交易。而且,发行方104可以被配置为基于来自AAV的log金额(或可选地,未压缩的金额)来验证交易金额(即,在授权请求中指示的金额),并且基于基于来自AAV的商家ID的截断散列来验证交易商家(即,在授权请求中指示的商家),等等。一旦做出确定,发行方104被配置为将授权响应(包括消费者的账号)沿着路径142发送回支付网络136。支付网络136又被配置为经由路径138将授权响应(包括令牌或账号)路由回收单方132。收单方132又被配置沿着路径134直接或通过MPI 114将授权响应(包括令牌或账号)提供回商家106。
此时,交易被批准(在该示例中)并且商家106可以指示所选择的产品被递送到消费者102。
应当理解,发行方104、商家106、计算设备108、DSS 110、MPI 114、目录服务器118、ACS 124、收单方132和支付网络136等中的每一个在这里在一个或多个计算设备中实现,例如图2中所示的计算设备200。与此相关,所述一个或多个计算设备各自通过至少一个网络与一个或多个其他实体通信。通常,图1中包括的每个路径都代表网络,在上面的描述中的消息沿每个路径或经由每个路径进行交换。所述网络可以包括但不限于一个或多个局域网(LAN)、广域网(WAN)(例如,因特网等)、移动网络、虚拟网络、如本文所述的其他网络以及/或能够支持两个或更多个所示部分之间的通信的其他合适的公共和/或专用网络,或甚至其组合。在一个示例中,网络包括多个网络,其中多个网络中的不同网络可由图1中所示组件中的不同组件访问。具体地,支付网络136和DSS 110可以经由专用网络连接,并且另外地,商家106和计算设备108可以通过诸如因特网的公共网络连接。
图2示出了示例性计算设备200,其可以包括例如一个或多个服务器、工作站、个人计算机、膝上型计算机、平板电脑、智能电话、其他合适的计算设备等。此外,计算设备200可以包括单个计算设备,或者它可以包括位置非常接近的多个计算设备,或者分布在地理区域上的多个计算设备,只要计算设备被具体配置为如本文所述起作用。在至少一个实施例中,计算设备200被访问(如本文所述使用)为云、雾和/或薄雾型计算设备。据此,系统100不应被视为限于计算设备200,如下所述,因为可以使用不同的计算设备和/或计算设备的布置。另外,不同的组件和/或组件的不同布置可以用在其他计算设备中。
参见图2,示例性计算设备200包括处理器202和耦合到处理器202(并与其通信)的存储器204。处理器202可以包括一个或多个处理单元(例如,在多核配置中等)。例如,处理器202可以包括但不限于中央处理单元(CPU)、微控制器、精简指令集计算机(RISC)处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)、门阵列和/或能够执行本文所述功能的任何其他电路或处理器。
如本文所述,存储器204是允许数据、指令等存储在其中并从中检索的一个或多个设备。存储器204可以包括一个或多个计算机可读存储介质,例如但不限于,动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、固态设备、闪存驱动器、CD-ROM、拇指驱动器、软盘、磁带、硬盘和/或任何其他类型的易失性或非易失性物理或有形计算机可读介质。存储器204可以被配置为存储但不限于IAV、AAV、认证请求、密钥、MAC、DSRP密码、令牌、账号(例如,PAN等)和/或适合于如本文所述使用的其他类型的数据(和/或数据结构)。此外,在各种实施例中,计算机可执行指令可以存储在存储器204中以供处理器202执行以使处理器202执行本文描述的一个或多个功能,使得存储器204是物理的,有形的和非暂时性计算机可读存储介质。这些指令通常提高处理器202和/或配置成执行本文的各种操作中的一个或多个的其他计算机系统组件的效率和/或性能。应当理解,存储器204可以包括各种不同的存储器,每个存储器在本文描述的一个或多个功能或过程中实现。
在示例性实施例中,计算设备200还包括耦合到处理器202(并且与处理器202通信)的输出设备206。输出设备206在相应的计算设备处在视觉上例如向消费者102输出信息,例如购买确认、质询问题等,或向与图1所示的任何实体相关联的其他用户输出其他信息,等等。输出设备206可以包括但不限于液晶显示器(LCD)、发光二极管(LED)显示器、有机LED(OLED)显示器、“电子墨水”显示器、扬声器等。在一些实施例中,输出设备206可以包括多个设备。
另外,计算设备200包括输入设备208,其从消费者102接收来自用户的输入(即,用户输入),例如,对质询问题的响应、结账输入、支付账户凭证等,或从系统中其他用户接收其他信息,等等。输入设备208可以包括单个输入设备或多个输入设备。输入设备208耦合到处理器202(并且与处理器202通信),并且可以包括例如键盘、指示设备、鼠标、触敏板(例如,触摸板或触摸屏等)、另一计算设备和/或音频输入设备中的一个或多个。此外,在各种示例性实施例中,诸如包括在平板电脑、智能电话或类似设备中的触摸屏可以用作输出设备206和输入设备208。
此外,所示计算设备200还包括耦合到处理器202(并且与其通信)的网络接口210和存储器204。网络接口210可以包括但不限于有线网络适配器、无线网络适配器、移动网络适配器或能够与本文中的一个或多个不同网络和/或一个或多个其他计算设备通信的其他设备。
图3示出了用于为消费者提供服务的示例性方法300,该消费者与该消费者在商家处进行的交易相关,并且该方法进一步与消费者的增强认证相结合。示例性方法300(参考图1)被描述为通常在系统100的DSS 110、目录服务器118和支付网络136中并且进一步参考计算设备200实现。然而,应当理解,本文中的方法不应被理解为限于示例性系统100或示例性计算设备200,并且本文中的系统和计算设备不应被理解为限于示例性方法300。
在所示方法300中,对于由消费者102与商家106发起的交易,目录服务器118最初在302处从与商家106相关联的MPI 114(或3DS服务器)接收AReq。在该示例性实施例中,AReq包括用于消费者102的支付账户(如在交易中使用的)的令牌,以及用于交易的DSRP密码(在图3中称为“密码”)。作为响应,目录服务器118在304处将令牌和DSRP密码发送到DSS110。在该示例中,目录服务器118这样做,因为所述令牌在与本文描述的方法相关联的令牌范围内(或PAN的BIN范围内)。
反过来,DSS 110在306处将令牌映射到消费者的支付账户的账号,即该示例中的PAN。并且,DSS 110还(可选地)在308处验证DSRP密码。在该实施例中,对DSRP密码的验证基于对称密钥,该对称密钥在消费者的支付账户和/或配置有支付账户的令牌的钱包应用程序与DSS 110之间共享。更具体地说,DSS 110使主密钥从发行方主对称密钥(例如,由DSS110为发行方104生成等)多样化,然后使一个或多个会话密钥从主密钥多样化(例如,基于由DSS 110维护的ATC等)。然后,DSS 110使用所述会话密钥来验证DSRP密码。
或者,DSS 110可以将DSRP密码存储在存储器(例如,存储器204等)中以用于调用,如下所述(例如,基于DSN等),而不是验证DSRP密码。
当DSRP密码验证失败时,DSS 110用交易失败消息响应目录服务器118,该消息又可以被提供回商家106和/或MPI 114(或3DS服务器)(由此交易可以停止)或者按照发行方104的指示另行处理(例如,发行方104可以允许交易在没有确认的情况下继续进行等)。相反,当DSRP密码验证成功时,DSS 110在310处生成DSN。DSN包括例如相关联的ATC或其一部分(例如,最低有效字节等),以及不可预测的值(例如,随机生成的值,基于该DSS 110的私钥的散列函数,或基于私钥的MAC计算,或其他合适的值等)。虽然DSN可以具有任何合适的长度和/或格式,但是在图3的示例性实施例中,DSN包括四字节格式(即32位)(例如,ATC的最低有效字节和随机生成的值的三个字节等)。尽管如此,可选地,当在方法300中在308处存储DSRP密码而不是验证DSRP密码时,在310处,DSS 110可以生成DSN。
当验证了DSRP密码时,在308,DSS 110进一步将ATC指定为已使用或“在飞行中”,由此可以在稍后的授权请求中用于在方法300中向前移动,如下所述,但不是用于任何其他目的(例如,防止具有相同DSRP密码的另一个AReq等)。然后在方法300中,DSS 110在312处将DSN和与令牌相关联的账号发送到目录服务器118。
在314处,目录服务器118计算交易金额的对数(即,log金额),并且在316处还计算商家ID的截断散列(例如,名称和/或位置等)。虽然计算金额的对数(例如,从而将代表金额的4-6个字节减至log金额中的2字节,等等),但是应当理解,在其他实施例中可以使用其他技术来压缩该金额,或者不使用其他技术来压缩该金额。同样地,可以通过不同于截断和/或散列或者除了截断和/或散列之外的一种或多种技术在其他实施例中压缩商家ID,或者不通过不同于截断和/或散列或者除了截断和/或散列之外的一种或多种技术来压缩商家ID。然而,通常,压缩金额和商家ID(如果有的话)相对于提供未压缩金额和/或商家ID将导致数据(或空间)的减少。
此后,目录服务器118在318处将AReq(包括消费者的支付账户的账号、DSN、计算的log金额和商家ID的截断散列)发送到ACS 124。这样做,目录服务器118基于消费者的账号识别特定ACS 124,并且特别地,基于账号的BIN在特定范围内识别特定ACS 124,或者基于完全或部分地包括在AReq中的其他指示符来识别特定ACS 124。在各种实施例中,AReq还可以包括解除令牌标记,向ACS 124指示AReq包括账号(由DSS 110从令牌转换得到)。
如上所述,ACS 124将依次对交易执行基于风险的财务评估,由此ACS 124将认证或不认证消费者102。可选地,如传统的那样,ACS 124可以使用目录服务器118向消费者102发起质询问题,由此消费者102通过与ACS 124的交互进行认证。然后,一旦消费者102被认证,无论是基于风险的评估、质询问题还是其他而被认证,ACS 124在320处生成用于交易的IAV,其包括例如log金额或未压缩的金额、商家ID的截断散列以及交易的货币代码等。通常,在此在示例性实施例中,IAV将包含4个字节的值,其包括用加密方式生成的HMAC值。也就是说,应当理解,在其他实施例中可以采用其他加密技术来生成IAV。并且,然后在322通过ACS 124将IAV发送到目录服务器118(由此目录服务器118接收IAV)。
相反,如果消费者102的认证失败,则ACS 124将认证失败传送到目录服务器118(或者,可能地,例如如发行方104所规定的那样另做响应),认证失败被传递给MPI 114(或3DS服务器)和商家106(由此商家106可以停止或拒绝交易等)。
接下来,目录服务器118在324处生成MAC并在326处编制用于交易的完整AAV。具体地,在该示例性实施例中,目录服务器118组合IAV(从ACS 124接收)、DSN、log金额、货币代码和商家ID的截断散列(以及可能的其他管理数据),以及然后生成MAC(例如,基于上述数据、对称密钥和加密函数等)等。目录服务器118将上述数据和MAC编制成完整的AAV。图4示出了示例性完整AAV 400的框图,其包括21字节的二进制数据。具体地,IAV包括4个字节,DSN包括4个字节,log金额包括2个字节,商家ID的截断散列包括4个字节,货币代码包括1.5个字节,密钥ID(即,用于生成MAC的共享密钥的标识符)包括0.5个字节,MAC包括3个字节。完整的AAV 400还包括2字节的版本信息,其指示例如IAV的类型被完全认证、商家尝试和格式或者其它等等。有鉴于此,应该理解的是完整的AAV 400在其他实施例中可以以一种或多种不同的格式和/或以一种或多种不同的大小包括相同或不同的数据,但是通常至少包括IAV和DSN以便于进一步的操作(如下所述)。
然后,目录服务器118在328将完整AAV发送到商家106,具体地,发送到MPI 114(或3DS服务器)。
反过来,尽管未在图3中示出,商家106编制并向收单方132发送交易的授权请求,其中包括完整的AAV。在一个特定示例中,完整AAV包括在UCAF中,其在ISO 8583授权请求的数据元素(DE)48处。编制的授权请求通常包括在常规授权请求中存在的其他数据(例如,商家ID、消费者名称、交易金额、支付账户凭证等)。然后,授权请求从收单方132传递,并在330处在支付网络136处接收。
在接收到授权请求时,支付网络136在332处通过具体地验证包括在完整AAV中的MAC来验证完整AAV。具体地,支付网络136基于完整AAV中的密钥ID来定位被目录服务器118用来生成MAC的共享密钥。然后,支付网络136基于共享密钥和包括在完整AAV中的数据生成MAC(与目录服务器118在324处生成MAC所依赖的数据一致)。一旦生成,支付网络136就将该MAC与包括在完整AAV中的MAC匹配,从而验证所述MAC和/或完整AAV。在该实施例中,在允许授权请求传递给发行方104之前,MAC被验证。也就是说,应当理解,在其他实施例中可以包括对完整AAV的进一步验证和/或测试(例如,基于关于完整AAV中的版本信息等)。
一旦被验证,支付网络136在334处将授权请求(包括令牌(或适用的账号)和DSN,或可选地,完整的AAV)发送到DSS 110。在收到时,在336处,DSS 110或者基于DSN(在308处被验证了)确认DSRP密码的验证,或者基于包括在存储器中(例如,在存储器204中等)中并且基于DSN定位的DSRP数据来验证DSRP密码。此外,DSS 110在338处将包括在授权请求中的令牌映射到关联的账号(例如,PAN等)。此后,在340处,DSS 110将账号和验证结果返回到支付网络136。支付网络136又在342处向发行方104发送授权请求,至少包括账号、DSRP密码验证的确认以及来自包括IAV的完整AAV的数据。
作为响应,在344处,发行方104基于发行方104与ACS 124之间的共享密钥(即,用于生成IAV的密钥)来验证IAV,并且可能地,对交易执行一个或多个财务评估。可以在任何常规或其他基础上提供额外的财务评估(例如,基于消费者的支付账户是否信誉良好,支付账户是否包括足够的资金/信用,欺诈评分等)。一旦交易被验证和/或批准,发行方104就编制该交易的授权响应,并在346将授权响应发送回支付网络136。支付网络136然后在348处将授权响应通过收单方132发送给商家106。相反,如果交易的验证失败,则发行方104可以决定承担风险并通过适当的授权响应继续进行交易,或者拒绝交易,同样是通过如上所述发送回商家106的授权响应。
虽然参考在交易中使用令牌来描述方法300,但是应当理解,方法300也适用于其中授权请求包括代替令牌的PAN或其他账号的交易,由此,可以省略方法300中与具体处理令牌和/或将令牌映射到账户有关的某些步骤。而且,当令牌对于目录服务器118和/或DSS110是未知的或未注册到目录服务器118和/或DSS 110,从而排除令牌账号映射时,发行方104和/或ACS 124可以改为处理该令牌。在该变型中,虽然通常与上面的描述一致,但是一旦提供了密码,ACS 124将与与给定令牌(未示出)相关联的另一DSS进行通信,以执行密码验证和其他令牌服务。另外,ACS 124可以生成DSN(而不是依赖于目录服务器118),然后将DSN与IAV一起返回到目录服务器118,以便如本文所述使用。
鉴于以上所述,本文的系统和方法通过完整AAV在两个不同域中提供验证。具体地,例如,AAV被划分为在ACS/发行方域中生成并验证的IAV,并且被划分为在支付网络域中生成和验证的其他数据。通过以这种方式划分AAV,这里的系统和方法允许发行方104和ACS124通过IAV禁止欺诈性交易,这与为了生成和验证与AAV相关联的其他数据而执行的操作无关。这样,通常可以改变支付网络136、目录服务器118和/或DSS 110以改变和/或改进本文的安全性和/或功能,而不会影响发行方104和ACS 124的操作和/或交互(例如,使IAV与格式变化或UCAF的其他细节等隔离)。而且,如上所述,支付网络136能够提供交易的验证,并且将这种验证作为与交易的批准或拒绝相关联的进一步数据提供给发行方104。
应当理解,以上是与传统AAV的不同之处,其中ACS 124生成完整AAV,然后可以仅由发行方104验证(因为ACS使用发行方密钥进行这种生成)。而且,从以上描述显而易见,用于生成和验证IAV的共享密钥(即,发行方和ACS密钥)不需要与目录服务器118(或支付网络136)共享,相反,目录服务器118和/或支付网络136用来生成和验证MAC的密钥不需要与ACS124和/或发行方104共享。这样,本文的系统和方法中的密钥管理被流线化和简化。
再次,并且如前所述,应当理解,在一些实施例中,本文描述的功能可以在存储在计算机可读介质上的计算机可执行指令中描述,并且可由一个或多个处理器执行。计算机可读介质是非暂时性计算机可读存储介质。作为示例而非限制,这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备,或者可以用于以指令或数据结构的形式携带或存储所需的程序代码并且可以由计算机访问的任何其他介质。上述的组合也应包括在计算机可读介质的范围内。
还应当理解,当被配置为执行本文描述的功能、方法和/或过程时,本公开的一个或多个方面将通用计算设备变换为专用计算设备。
基于前述说明书将理解,本公开的上述实施例可以使用计算机编程或工程技术来实现,包括计算机软件、固件、硬件或其任何组合或子集,其中技术效果可以是通过执行以下操作中的至少一个来实现:(a)由至少一个计算设备接收与支付账户相关联的交易的认证请求,该认证请求包括与支付账户相关联的令牌和密码;以及(b)由至少一个计算设备将令牌映射到支付账户的主账号(PAN);(c)由至少一个计算设备验证密码;以及(d)由至少一个计算设备生成用于认证请求的目录服务器随机数(DSN);(e)由至少一个计算设备将DSN和账号发送到与支付账户的发行方相关联的访问控制服务器(ACS);(f)响应于发行方认证值(IAV),由至少一个计算设备编制账户持有者认证值(AAV),AAV包括IAV、DSN和交易金额;(g)将AAV发送给商家和服务器之一,从而允许商家编制和发送包括AAV的交易的授权请求,并允许发行方在批准交易之前验证IAV;(h)压缩交易金额和与商家相关联的商家ID中的至少一个;(i)由所述至少一个计算设备生成消息认证码(MAC),所述AAV包括MAC;(j)根据包括AAV在内的授权请求来验证MAC;(k)在验证MAC之后将令牌映射到PAN,并将授权请求与PAN和验证结果一起发送给支付账户的发行方;(l)由ACS基于密钥和至少PAN和DSN产生IAV;以及(m)由发行方计算设备根据共享密钥和至少PAN和DSN验证IAV。
提供示例性实施例使得本公开将是彻底的,并且将向本领域技术人员充分传达范围。阐述了许多具体细节,例如特定组件、设备和方法的示例,以提供对本公开的实施例的透彻理解。对于本领域技术人员显而易见的是,不需要采用特定细节,示例实施例可以以许多不同形式实施,并且两者都不应被解释为限制本公开的范围。在一些示例实施例中,未详细描述众所周知的过程、众所周知的设备结构和众所周知的技术。
这里使用的术语仅用于描述特定示例性实施例的目的,而不是限制性的。如这里所使用的,单数形式“一”、“一个”和“该”也可以包括复数形式,除非上下文另有明确说明。术语“包括”、“包括有”、“包括”和“具有”是包含性,因此指定所声明的特征、整数、步骤、操作、元素和/或组件的存在,但不排除存在或添加一个或多个其他特征、整数、步骤、操作、元素、组件和/或其组。除非特别标识为执行顺序,否则这里描述的方法步骤、过程和操作不应被解释为必须要求它们以所讨论或说明的特定顺序执行。还应理解,可以采用另外的或替代的步骤。
当一个特征被称为“在另一特征之上”、“接合到另一特征”、“连接到另一特征”、“耦合到另一特征”、“关联于另一特征”,“包含有另一特征”或“与另一个特征通信”时,它可以直接在另一特征之上、接合到另一特征、连接到另一特征、耦合到另一特征、关联于另一特征,包含有另一特征或与另一个特征通信,或者可以存在中间特征。如这里所使用的,术语“和/或”包括一个或多个相关所列项目的任何和所有组合。
尽管这里可以使用术语第一、第二、第三等来描述各种特征,但是这些特征不应受这些术语的限制。这些术语可能仅用于区分一个特征与另一个特征。除非上下文明确指出,否则本文使用的诸如“第一”、“第二”和其他数字术语的术语不暗示上下文明确指示的顺序或次序。因此,在不脱离示例实施例的教导的情况下,这里讨论的第一特征可以被称为第二特征。
已经出于说明和描述的目的提供了示例性实施例的前述描述。其并非旨在穷举或限制本公开。特定实施例的各个元件或特征通常不限于该特定实施例,而是在适用的情况下是可互换的并且可以在所选实施例中使用,即使没有具体示出或描述。同样也可以以多种方式变化。不应将这些变化视为脱离本公开,并且所有这些修改旨在包括在本公开的范围内。

Claims (20)

1.一种用于将用户认证到与网络交易有关的账户的系统,该系统包括:
目录服务器;以及
数字服务服务器DSS,与所述目录服务器通信耦合;
其中所述目录服务器配置为:
接收与支付账户相关联的交易的认证请求,该支付账户与账号相关联,所述认证请求包括与所述支付账户相关联的令牌和所述账号中的至少一个;以及
将所述令牌和所述账号中的所述至少一个发送给所述DSS;
其中所述DSS配置为:
为所述认证请求生成目录服务器随机数DSN;以及
将所述DSN和所述账户的所述账号发送到所述目录服务器;
其中所述目录服务器配置为:
将所述DSN和所述账号发送到与所述支付账户的发行方相关联的访问控制器服务器ACS;
从所述发行方接收发行方认证值IAV,并且响应于发行方认证值IAV,编制账户持有者认证值AAV,所述AAV包括所述IAV、所述DSN和交易金额;以及
将所述AAV发送到与所述交易中涉及的代表商家的实体相关联的服务器,由此允许该实体将该AAV包括在授权请求中,并且允许发行方在批准所述交易之前验证所述IAV。
2.如权利要求1所述的系统,其中所述认证请求包括所述账户的令牌;以及
其中,所述DSS还被配置为在将所述账号发送到所述目录服务器之前将所述令牌映射到所述账户的所述账号。
3.如权利要求1所述的系统,其中所述认证请求包括密码;以及
其中所述DSS被配置为在将所述DSN发送到所述目录服务器之前验证所述密码。
4.如权利要求1所述的系统,其中所述认证请求包括密码;以及
其中所述DSS配置为:
在将DSN发送到所述目录服务器之前将所述密码存储在存储器中;以及
根据所述DSN在所述存储器中定位所述密码;以及
响应于包括完整AAV的授权请求来验证所述密码。
5.如权利要求1所述的系统,其中所述交易金额包括所述交易的对数金额;以及
其中所述AAV还包括商家ID。
6.如权利要求1所述的系统,其中,所述目录服务器还被配置为至少基于所述DSN生成消息认证码MAC,所述AAV包括所述MAC;以及
其中,该系统还包括支付网络,所述支付网络被配置用于:
接收包括所述AAV的授权请求;
根据与所述目录服务器共享的密钥来验证所述MAC;以及
将所述授权请求或其一部分发送到所述DSS。
7.如权利要求6所述的系统,其中,所述DSS还被配置为验证包括在所述认证请求中的数字安全远程支付密码,即,DSRP密码,并将所述DSRP密码的验证结果提供给所述支付网络;以及
其中,所述支付网络被配置为将包括验证结果的所述授权请求发送到所述支付账户的发行方。
8.如权利要求1所述的系统,其中所述DSN至少包括应用程序交易计数ATC和随机生成的值。
9.如权利要求1所述的系统,其中所述交易金额包括所述交易的对数金额;以及
其中,所述AAV包括所述IAV、所述DSN、所述对数金额、所述实体的商家ID的截断散列、货币代码、共享密钥的密钥ID和由所述共享密钥生成的消息认证码MAC。
10.一种用于将用户认证到与交易相关的支付账户的计算机实现的方法,该方法包括:
由目录服务器接收与支付账户相关联的交易的认证请求,该认证请求包括与所述支付账户相关联的令牌和密码,所述目录服务器由至少一个计算设备构成;
由数字服务服务器DSS将所述令牌映射到所述支付账户的主账号PAN,所述数字服务服务器DSS由至少一个计算设备构成;
由所述数字服务服务器DSS验证所述密码;
由所述数字服务服务器DSS生成用于所述认证请求的目录服务器随机数DSN;
由所述目录服务器将所述DSN和所述账号发送给与所述支付账户的发行方相关联的访问控制服务器ACS;
由所述目录服务器从所述发行方接收发行方认证值IAV,并响应于发行方认证值IAV,由所述目录服务器编制账户持有者认证值AAV,所述AAV包括所述IAV、所述DSN和交易金额;以及
将所述AAV发送到商家和服务器中的一个,从而允许商家编制和发送包括所述AAV的所述交易的授权请求,并允许发行方在批准所述交易之前验证所述IAV。
11.如权利要求10所述的计算机实现的方法,其中,所述DSN至少包括应用程序交易计数ATC和随机生成的值。
12.如权利要求10所述的计算机实现的方法,还包括压缩交易金额和与所述商家相关联的商家ID中的至少一个;以及
其中,所述AAV包括金额和商家ID中的被压缩的所述至少一个。
13.如权利要求10所述的计算机实现的方法,还包括由所述目录服务器生成消息认证码MAC,所述AAV包括所述MAC;以及
响应于包括所述AAV的授权请求来验证所述MAC。
14.如权利要求13所述的计算机实现的方法,还包括在验证所述MAC之后将所述令牌映射到所述PAN,以及将带有所述PAN的所述授权请求和验证结果发送到所述支付账户的所述发行方。
15.如权利要求14所述的计算机实现的方法,其中,所述AAV包括所述IAV、所述DSN、所述交易金额的对数值、所述商家的商家ID的截断散列、货币代码、用于生成所述MAC的共享密钥的密钥ID和所述MAC。
16.如权利要求15所述的计算机实现的方法,还包括:
由所述ACS基于密钥和至少所述PAN和所述DSN生成所述IAV;以及
由发行方计算设备基于所述共享密钥和至少所述PAN和所述DSN来验证所述IAV。
17.一种用于将用户认证到与网络交易有关的账户的系统,该系统包括:
目录服务器,被配置为:
接收与支付账户相关联的交易的认证请求,所述支付账户由主账号PAN标识,所述认证请求包括密码,以及令牌和所述PAN中的至少一个;
将所述PAN、用于所述交易的DSN和交易金额发送到与所述账户的发行方相关联的访问控制器服务器ACS;
从与所述发行方相关联的所述ACS接收发行方认证值IAV;
编制账户持有者认证值AAV,所述AAV包括所述IAV、所述DSN和所述交易金额;以及
将所述AAV发送到与所述交易中涉及的商家相关联的服务器和/或发送到所述商家,由此在批准所述交易之前允许发行方在接收到包括用于所述交易的所述AAV的授权请求时基于共享密钥来验证所述IAV。
18.如权利要求17所述的系统,其中所述目录服务器被配置为在将账户持有DSN发送到账户持有ACS之前从数字服务服务器DSS接收所述DSN。
19.如权利要求18所述的系统,其中,所述目录服务器被配置为至少基于所述DSN生成用于所述交易的消息认证码MAC,并将所述MAC编制到所述AAV中;并且
其中,所述系统还包括服务器,所述服务器被配置为在允许将所述授权请求传递给所述发行方之前,在所述交易的编译授权请求中接收到所述AAV时验证所述MAC。
20.如权利要求19所述的系统,其中,所述目录服务器还被配置为确定所述交易金额的对数值并确定所述商家的商家ID的截断散列;
其中所述交易金额包括对数值;以及
其中,所述AAV包括所述对数值和所述商家ID的所述截断散列。
CN201811169342.0A 2017-10-05 2018-10-08 用于认证网络交易中的用户的系统和方法 Active CN109636593B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/725,893 US11080697B2 (en) 2017-10-05 2017-10-05 Systems and methods for use in authenticating users in connection with network transactions
US15/725,893 2017-10-05

Publications (2)

Publication Number Publication Date
CN109636593A CN109636593A (zh) 2019-04-16
CN109636593B true CN109636593B (zh) 2023-07-18

Family

ID=63762309

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811169342.0A Active CN109636593B (zh) 2017-10-05 2018-10-08 用于认证网络交易中的用户的系统和方法

Country Status (10)

Country Link
US (3) US11080697B2 (zh)
EP (1) EP3471037A1 (zh)
JP (1) JP6615297B2 (zh)
CN (1) CN109636593B (zh)
AU (2) AU2018241186A1 (zh)
BR (1) BR102018070400A2 (zh)
CA (1) CA3019776C (zh)
MX (1) MX2018012075A (zh)
RU (1) RU2699409C1 (zh)
SG (1) SG10201808702UA (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11080697B2 (en) 2017-10-05 2021-08-03 Mastercard International Incorporated Systems and methods for use in authenticating users in connection with network transactions
US11483308B2 (en) * 2018-06-26 2022-10-25 Visa International Service Association System, method, and apparatus for aggregated authentication
EP3871366A4 (en) * 2018-10-23 2021-12-15 Visa International Service Association ACCOUNT VERIFICATION VALIDATION SERVICE
EP3809352A1 (en) 2019-10-18 2021-04-21 Mastercard International Incorporated Authentication for secure transactions in a multi-server environment
EP3809350A1 (en) * 2019-10-18 2021-04-21 Mastercard International Incorporated Enchanced security in sensitive data transfer over a network
US11283621B1 (en) * 2019-11-13 2022-03-22 Worldpay, Llc Methods and systems for enhanced endpoint identity validation in electronic transactions
US11075905B2 (en) * 2019-12-09 2021-07-27 Google Llc Requesting and transmitting data for related accounts
US11631070B2 (en) * 2020-01-24 2023-04-18 Visa International Service Association System, method, and computer program product for processing a transaction as a push payment transaction
US11823187B2 (en) * 2020-05-29 2023-11-21 Mastercard International Incorporated Systems and methods for linking authentications in connection with network interactions

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002071176A2 (en) * 2001-03-08 2002-09-12 Cyota Inc. Transaction system
CN105612543A (zh) * 2013-08-08 2016-05-25 维萨国际服务协会 用于为移动设备供应支付凭证的方法和系统
CN105745678A (zh) * 2013-09-20 2016-07-06 维萨国际服务协会 包括消费者认证的安全远程支付交易处理
CN105874495A (zh) * 2013-07-24 2016-08-17 维萨国际服务协会 使用令牌确保数据传送风险的系统和方法

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5809144A (en) * 1995-08-24 1998-09-15 Carnegie Mellon University Method and apparatus for purchasing and delivering digital goods over a network
US20010047335A1 (en) * 2000-04-28 2001-11-29 Martin Arndt Secure payment method and apparatus
US7499889B2 (en) * 2000-10-23 2009-03-03 Cyota Inc. Transaction system
GB2372367A (en) 2001-02-17 2002-08-21 Ericsson Telefon Ab L M Electronic coupons
US6898568B2 (en) * 2001-07-13 2005-05-24 Innomedia Pte Ltd Speaker verification utilizing compressed audio formants
CA2528451A1 (en) 2003-06-04 2005-01-06 Mastercard International Incorporated Customer authentication in e-commerce transactions
SI1636680T1 (sl) 2003-06-10 2016-08-31 Mastercard International, Inc. Sistemi in postopki za vodenje transakcij varnega plačevanja z uporabo formatirane podatkovne strukture
US20110208659A1 (en) * 2006-08-15 2011-08-25 Last Mile Technologies, Llc Method and apparatus for making secure transactions using an internet accessible device and application
US9105027B2 (en) * 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US10089683B2 (en) * 2010-02-08 2018-10-02 Visa International Service Association Fraud reduction system for transactions
US10255601B2 (en) * 2010-02-25 2019-04-09 Visa International Service Association Multifactor authentication using a directory server
US8682798B2 (en) 2010-09-24 2014-03-25 Visa International Service Association Method and system using universal ID and biometrics
US10360561B2 (en) * 2010-12-14 2019-07-23 Lime Light RM, Inc. System and method for secured communications between a mobile device and a server
US20120284187A1 (en) * 2011-03-15 2012-11-08 Ayman Hammad System and method for processing payment transactions
RU114800U1 (ru) 2011-06-03 2012-04-10 Виктор Никифорович Сараев Система аутентификации пользователей в бесконтактных сервисных системах
WO2013019519A1 (en) 2011-08-02 2013-02-07 Rights Over Ip, Llc Rights-based system
GB2508776A (en) 2011-09-28 2014-06-11 Lionel Wolovitz Methods and apparatus for brokering a transaction
WO2014063937A1 (en) * 2012-10-11 2014-05-01 Bull Sas E-payment architecture preserving privacy
KR101316489B1 (ko) * 2012-11-23 2013-10-10 신한카드 주식회사 다이나믹 ραn 이용한 트랜잭션 처리방법
US9076167B2 (en) * 2013-06-27 2015-07-07 Sparo Corporation Method and system for automated online merchant charity donations
CN103489104A (zh) * 2013-09-18 2014-01-01 俞强华 安全支付方法及系统
RU2587423C2 (ru) 2013-09-26 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обеспечения безопасности онлайн-транзакций
US10515358B2 (en) 2013-10-18 2019-12-24 Visa International Service Association Contextual transaction token methods and systems
US20150161602A1 (en) * 2013-12-06 2015-06-11 Mastercard International Incorporated Method and system for split-hashed payment account processing
US11823190B2 (en) * 2013-12-09 2023-11-21 Mastercard International Incorporated Systems, apparatus and methods for improved authentication
JP2015194796A (ja) 2014-03-31 2015-11-05 ウェブペイ株式会社 電子決済システム、電子決済方法、電子決済端末、及びプログラム
US20150317630A1 (en) 2014-04-30 2015-11-05 MasterCard Incorporated International Method and system for authentication token generation
US10891622B2 (en) 2014-11-13 2021-01-12 Mastercard International Incorporated Providing online cardholder authentication services on-behalf-of issuers
US10977657B2 (en) * 2015-02-09 2021-04-13 Visa International Service Association Token processing utilizing multiple authorizations
CN107438992B (zh) * 2015-04-10 2020-12-01 维萨国际服务协会 浏览器与密码的集成
US10552834B2 (en) 2015-04-30 2020-02-04 Visa International Service Association Tokenization capable authentication framework
US20170069003A1 (en) * 2015-09-08 2017-03-09 Mastercard International Incorporated Systems and Methods for Permitting Merchants to Manage Fraud Prevention Rules
US20170083914A1 (en) 2015-09-17 2017-03-23 Mastercard International Incorporated Method and system for managing authentication services customer data
US11232453B2 (en) * 2015-09-30 2022-01-25 Mastercard International Incorporated Method and system for authentication data collection and reporting
US20170109752A1 (en) * 2015-10-15 2017-04-20 Mastercard International Incorporated Utilizing enhanced cardholder authentication token
US10673839B2 (en) * 2015-11-16 2020-06-02 Mastercard International Incorporated Systems and methods for authenticating network messages
US10592907B2 (en) * 2016-05-16 2020-03-17 Mastercard International Incorporated System and method for authenticating a transaction
CN109328445B (zh) * 2016-06-24 2022-07-05 维萨国际服务协会 唯一令牌认证验证值
US10607220B2 (en) * 2016-08-25 2020-03-31 Mastercard International Incorporated Systems and methods for consolidated message processing
US11080697B2 (en) 2017-10-05 2021-08-03 Mastercard International Incorporated Systems and methods for use in authenticating users in connection with network transactions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002071176A2 (en) * 2001-03-08 2002-09-12 Cyota Inc. Transaction system
CN105874495A (zh) * 2013-07-24 2016-08-17 维萨国际服务协会 使用令牌确保数据传送风险的系统和方法
CN105612543A (zh) * 2013-08-08 2016-05-25 维萨国际服务协会 用于为移动设备供应支付凭证的方法和系统
CN105745678A (zh) * 2013-09-20 2016-07-06 维萨国际服务协会 包括消费者认证的安全远程支付交易处理

Also Published As

Publication number Publication date
CA3019776A1 (en) 2019-04-05
US11810107B2 (en) 2023-11-07
AU2020205279A1 (en) 2020-08-06
CN109636593A (zh) 2019-04-16
AU2018241186A1 (en) 2019-05-02
BR102018070400A2 (pt) 2019-04-24
EP3471037A1 (en) 2019-04-17
MX2018012075A (es) 2019-07-04
CA3019776C (en) 2023-08-08
SG10201808702UA (en) 2019-05-30
AU2020205279B2 (en) 2022-01-20
US20210357922A1 (en) 2021-11-18
JP6615297B2 (ja) 2019-12-04
US20240112182A1 (en) 2024-04-04
US11080697B2 (en) 2021-08-03
JP2019071052A (ja) 2019-05-09
RU2699409C1 (ru) 2019-09-05
US20190108515A1 (en) 2019-04-11

Similar Documents

Publication Publication Date Title
CN109636593B (zh) 用于认证网络交易中的用户的系统和方法
US20220231851A1 (en) Unique token authentication verification value
US11687885B2 (en) Transaction signing utilizing asymmetric cryptography
CN105960776B (zh) 使用有限使用证书进行令牌验证
CN106031207B (zh) 用于向不带有安全元件的移动设备安全传送远程通知服务消息的方法及系统
CN106062799B (zh) 用于对用户和不带有安全元件的移动设备进行安全认证的方法及系统
CN106104605B (zh) 用于在不带有安全元件的移动设备中生成高级存储密钥的方法及系统
US20120254041A1 (en) One-time credit card numbers
US20230208632A1 (en) Enhanced security in sensitive data transfer over a network
EP3788535B1 (en) Techniques for performing secure operations
US11734683B2 (en) Authentication for secure transactions in a multi-server environment
US11823187B2 (en) Systems and methods for linking authentications in connection with network interactions
US20240086917A1 (en) Fraud mitigation using pre-authorization authentication and verification
US20240086918A1 (en) Decentralized identity verification for payment transactions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant