CN113906422A - 可信客户身份系统及方法 - Google Patents
可信客户身份系统及方法 Download PDFInfo
- Publication number
- CN113906422A CN113906422A CN202080037811.2A CN202080037811A CN113906422A CN 113906422 A CN113906422 A CN 113906422A CN 202080037811 A CN202080037811 A CN 202080037811A CN 113906422 A CN113906422 A CN 113906422A
- Authority
- CN
- China
- Prior art keywords
- token
- computer
- authentication
- receiving computer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/16—Payments settled via telecommunication systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/305—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wired telephone networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
本发明的可信客户身份系统及方法提供了安全的电子支付交易,更具体地利用交叉引用的多个数据源整合客户身份验证来保护电子支付。本发明的可信客户支付系统及方法扩展了双密钥加密技术且允许使用密码,并且提供了改进的计算机体系结构和技术来审查通信和交易以确保安全性,同时最大限度地减少用户干预以避免摩擦。
Description
相关申请的交叉引用
本申请基于申请号为62/838,490、申请日为2019年04月25日的美国临时专利申请提出,并要求该美国临时专利申请的优先权。该美国临时专利申请的全部内容通过引入并入本申请。
技术领域
本技术总体上涉及安全电子支付交易,更具体地涉及利用交叉引用的多个数据源合并客户身份验证的安全电子支付。
背景技术
电子支付是不使用支票或硬通货等纸质票据的金融交易。电子支付包括借记卡、信用卡、智能卡、电子钱包、电子现金、电子支票及其他电子支付设备。电子支付系统在世界范围内的接受程度各不相同,一些电子支付方法的应用程度高且广受欢迎,而另一些尚未获得广泛接受。
身份盗用是电子支付、互联网通信及其他电子交易中面临的一项危险。随着电子支付系统取代绝大多数现金支付,支付欺诈已成为一项日益沉重的负担。商业正在从实体店的纸质交易转向互联网的电子交易。在实体店电子支付中,通过在信用卡中引入EMV芯片大大减少了的欺诈行为。EMV芯片通过为每笔信用卡交易提供唯一代码来确定销售时芯片处于的零售商实际位置。无卡就无法获得交易许可。
互联网销售无法利用EMV芯片技术,因为消费者很少亲自到处理销售的零售商处,因而无法向卖家出示实物,如带EMV芯片的信用卡。
现有系统已尝试了多种不同的方法来保障互联网通信和互联网访问的安全。密码可能是最广为人知的。另一个安全范例是双密钥加密。
以前有一种用于尝试提供安全交易的技术,该技术包括使用协议生成证书,该证书随后已存储在移动设备上。拥有授权证书即可证明该设备,以允许其访问服务网络。这种技术中存在三方实体,包括移动设备、账户授权机构和服务网络(与账户授权机构相关联)。这些实体信任账户授权机构。在这种情况下,移动设备生成密钥对并将公钥发送到账户授权机构,其中,账户授权机构的作用类似于注册处。移动设备还会发送一个硬件标识符(ID)。账户授权机构对密钥和ID加密、并对其签名,并根据签名和加密的硬件ID生成证书。然后账户授权机构将证书发回移动设备,将证书存储在移动设备上。对于连续使用和访问服务网络的移动请求,服务网络将请求重新定向到账户授权机构。账户授权机构向移动设备索取证书,移动设备将证书连同硬件(设备)ID一起发送到账户授权机构以供验证(即其作为网关)。账户授权机构生成安全令牌并将其发送到移动设备,移动设备将该令牌发送到服务网络(未解密)。该过程类似于一次性令牌。
类似系统增加了密钥对签名的使用来识别设备,但这并未完全解决现有系统的缺点。密钥对签名系统发送质询,设备发送由密钥对函数签名的质询响应。该质询需要主动响应。这种技术与其他账户授权机构系统的不同之处在于,这种质询并不具体,不像上面那样会发出“给我证书”的询问。但是,这些类型的系统无法许可请求(交易)。这类系统只能许可访问其服务网络。其询问语类似于“我们有一项服务,您是成员吗?”系统确认ID以准许访问类似于登陆交易的服务。虽然这些系统增加了双密钥加密的使用(由对质询的响应来证明),但却未能提供必要的安全性、不可否认性和交易访问权限。
其他现有系统(包括基于所有者的设备身份识别和授权的网络接入系统)基于其他架构和技术授予网络访问权限。例如,这些系统无法许可个人通信或交易。其中一些系统将设备密钥(在注册时存储一种身份验证服务器上)与用户凭证(ID)相结合。用户请求网络访问,如果设备密钥与用户ID匹配,则授予请求用户访问权限。在这些情况下,网络访问是基于所有者的,而不是基于设备的。也就是说,系统会针对所有者的每台计算机设备存储一个设备ID。系统还针对每个所有者存储用户ID。身份验证服务器保留每个所有者和注册到该所有者的设备的公钥的记录。设备发出网络请求。网络运营商可传递该请求,设备会收到质询(设备必须拥有私钥)。然后所有者接收该质询(所有者必须拥有私钥)。跟踪验证设备与所有者的身份。如果匹配,则授予访问权限。
已尝试使用其他方法将访问支付网络的权限局限在特定的硬件设备上。使用这类方法通过互联网转移资金的实体包括,协调电子支付和自动资金转移的SWIFT(全球银行间金融电讯协会)讯息网和ACH(自动清算所)网络。例如,SWIFT网络为用户提供了一个硬件(安全元件)以供其网络专用,而不能用于其他任何目的。SWIFT网络使用SWIFT成员的指定代码的双密钥加密和RMA(关系管理应用程序),以签署未签名的消息。然后,管理员可将签名信息读取到网络中,以验证硬件用户的身份并允许访问该网络。该硬件设备方法打开网络路径,然后在该路径上批处理所有后续通信。SWIFT网络使用集中式存储转发机制,SWIFT消息实际上会在添加加密密钥时随着流经硬件而改变。
ACH系统使用的带外身份验证与上述两方身份验证类似。带外身份验证是一种双因素身份验证,需要通过单独的通信通道与典型ID和密码一起进行二次验证。也就是说,ACH系统将带有代码的消息从系统发送到用户预先验证的联系位置,如电话号码或电子邮件地址。用户读取代码,然后用户必须将代码输入或粘贴到系统通信路径的字段中,以接收代码。然后,系统可对照发出的代码检查该代码,以验证用户是否有权限访问预授权的电话号码、电子邮件地址等。
另一个示例是Apple Pay移动支付和数字钱包服务,其向用户提供设备帐号(DAN),该设备帐号(DAN)存储在iPhone的安全元件中。这要求电话的功能与SWIFT网络所用的安全元件非常相似。Apple的DAN仅可用于实际发生在包含该DAN的硬件(例如,iPhone)的交易中。从DAN设备外部开始的通信(或交易)路径无法访问需要验证的用户的DAN设备,也不能利用DAN进行验证。此外,DAN专门用于代表DAN设备的用户转移资金的银行或发卡机构。DAN实际由银行或支付实体创建、加密并发送至DAN设备进行储存。单个设备上可能存储了多个DAN。DAN实质上是存储在安全元件中的加密密码。此外,DAN加密方法是对称的。生成和加密DAN的一方知道密码,接收方也知道DAN密码。因此,密码存储在两个不同的地方,而这会带来额外的安全风险。
如上所述,信用卡读卡器处的芯片卡将芯片识别为在该时刻物理存在于卖家的读卡器中。这种支付方式不用通过互联网进行,支付不会流经卡的芯片。以这种方式限制对支付网络的访问具有安全优势,但在计算设备紧凑、移动且无处不在的情况下具有明显的局限性。
将高安全性和便利性与现有支付生态系统集成在一起,以提供无缝、无摩擦的基于互联网的客户交易体验的尝试未能取得完全成功。
发明内容
本发明的可信客户支付系统及方法提供了支付速度、简单性和安全性。本发明的计算机体系结构提供了极快授权,而不影响欺诈检测和许可过程。该可信客户发明与现有网站完美集成,为客户和商家两者都提供了端到端的易用性。
本发明的可信客户支付系统及方法扩展了双密钥加密技术且允许使用密码,并且通过提供改进的计算机架构和技术来审查通信和交易以确保安全性,同时最大限度地减少用户干预以避免摩擦,从而超越了现有系统。
本发明的可信客户系统和方法通过通信网络验证和路由(route)安全数字文件或“令牌”。预先注册的接收方接收其拥有唯一访问权限的安全令牌,并可控制对添加或附加到令牌中的唯一数据的拥有权。交易前,用接收方的唯一识别特征将接收方注册为网络成员。网络中的其他各方并未拥有该唯一数据的副本,但其他各方可基于接收方的注册特征获知接收令牌的时间,其中,只有接收方才能将唯一数据添加到数字令牌中。网络上的其他各方可以相信接收方是向网络注册该帐户的同一方。
本发明的系统及方法在可信客户网络上采用了两个不同的机构,即验证机构服务器和注册服务器。这种架构可提供比现有系统更具可扩展性的系统,同时可提供比现有系统更强的安全措施。入侵本发明的可信客户网络需要两个机构之间合作。此外,本发明沿网络路径测试交易或通信以进行许可。本发明许可或不许可每个(单个)通信,而不像现有系统那样通过简单授予一组网络服务访问权限,然后退出来。本发明的这些方法是有效的,因为用户在被授予访问权限后不必再进一步与网络交互。在本发明的系统及方法中,批准被授予至通信,使得系统可完成通信动作,用户不需要做进一步动作或交互。除身份验证(授予服务访问权限)外,本发明的系统及方法通过将动作绑定回在可信客户过程中识别出的用户来提供了不可否认功能。
本发明的可信客户系统不限于为提供网络接入的特定目的而构建的特定硬件,如在目前已知和上文中描述的Apple系统中使用的DAN。相反,大多数支持互联网的设备都可用于促成网络接入。新可信客户的计算机可以执行注册过程,该过程不需要特殊的硬件配置或编码。本发明的可信客户系统不仅验证了网络的访问权限,而且还提供了通过该网络验证和许可每个个人通信的附加步骤(提供不可否认性)。
可信客户系统解决了现有系统的缺点,并通过通信网络上已验证的节点提供了优于先前系统的优势。已验证的节点是其用户注册的计算机,该用户对该计算机的单一访问权限进行了验证。在通信网络上注册计算机是基于互联网的交易的许可条件。这样,接收方计算机(买方或付款方)就用作了解锁买方与卖方之间通信网络和交易路径的“钥匙”。因此,当接收计算机解锁时,通信网络有证据(例如,修改后的令牌)证明该特定的接收方计算设备在交易中使用,其用作收据。可信客户方法消除了作为实施支付欺诈的方法的身份盗用,因为即使获得用户身份、密码和账户信息,使用本发明的可信客户系统的电子交易仍然无法获准进行,除非是经过与验证的用户相关联的特定计算机进行交易。本发明的系统及方法还阻止了“友善欺诈”,在“友善欺诈”中,用户可以交易,然后再报告该交易为欺诈,因为有证据证明交易路径经过了需要验证的用户的计算机。在身份验证很重要的情况下,也可在其他通信和消息中使用该身份验证方法。例如,这在许多领域中都很有价值,包括消除网络钓鱼攻击、验证个人身份是否符合HIPAA,甚至作为一种减少垃圾邮件的方法,也即通过要求发件人是网络信任的已知实体来减少垃圾邮件。
本发明中的可信客户系统及方法使用了基于令牌的身份验证系统,该系统通过使用多种技术手段克服了以前计算机系统的局限性,包括非对称密钥对、硬件唯一ID、硬件嵌入密码以及其他系统组件。这些组件存储在用户实际独占拥有的设备上,作为验证该用户身份的代理。令牌必须遍历通信网络的唯一网络路径,以证明该用户就是他们所声称的身份。令牌在遍历预定义的网络路径时会拾取记录身份验证过程的信息,并基于用户访问待验证用户使用的网络节点的唯一物理访问权限来验证该用户,以及验证用户读取和操作在其网络节点传播的令牌的独有技术能力。
本发明的基于网络路径的识别方案从根本上不同于当前基于知识的身份验证方案,例如密码、母亲婚前姓名等,因为本发明的系统不需要两方之间共享信息。同样地,本发明的系统不同于当前的多因素身份验证架构和方案,例如,发送一次性代码短信,因为两方之间不需要一次性共享信息。此外,本发明的可信客户系统及方法对每次交易使用单独的令牌,使得每个令牌包括建立交易许可的唯一标识符(例如,交易ID)。
与现有账户授权系统和基于公钥和私钥远程验证移动设备合法性的系统不同的是,本发明的系统及方法包括多个授权机构(包括注册服务器和验证机构服务器),其提供了一个更具可扩展性的系统,因为不同的验证机构服务器可用于不同的交易,同时提供了一个更抗欺诈的系统,因为非法使用网络会使多个单一实体妥协。
此外,本发明中的可信客户系统在一个综合进程中授权单一通信或交易,其中,交易可在单用户交互的步骤完成。现有账户授权系统需要两步的过程,因为现有账户授权系统是网关,仅可提供服务网络访问权限。这些账户授权系统不会执行或许可服务本身。
虽然账户授权系统和要求保护的发明两者都提示用户验证(在账户授权中称为“质询”),但所用的设备和技术明显不同。在要求保护的发明中,用户设备(接收计算机)将数据添加到验证提示(令牌)中作为通信过程的一部分。可信客户网络发明添加了交易专用数据,该交易专用数据对发起方(在其方法中称为服务网络)可见。在账户授权系统中,未对令牌解密或重新加密,而是简单地传递令牌。在本发明中,令牌传递至用户设备(接收计算机),然后用私钥解密(证明可信客户网络拥有私钥,因此必定是网络成员)并发送至发起计算机,发起计算机随后解密令牌。这些系统容易受到私钥复制人员的攻击。在可信客户系统及方法中,本发明使用密钥加许可窗口,并且可添加UDID。账户授权系统是单因素身份验证系统,而可信客户系统允许基于计算机体系结构和方法的多因素身份验证。
账户授权系统不会公开或建议验证每个令牌(“质询”),而可信客户发明通过在验证机构检查令牌来确定每个令牌是否没有欺诈性。除提供对服务网络的访问权限外,账户授权系统不能许可请求。账户授权系统不包括任何可操作的信息,仅提供基于应对质询的访问权限。可信客户发明的结构和技术可提供不可否认性并且可许可每次交易或通信。可信客户发明基于网络成员根据网络建立的规则修改令牌(“质询”)的能力予以许可。
同样地,可信客户发明的系统及方法使用令牌,并且用户向令牌添加信息。其他账户授权系统使用质询,但本发明的系统及方法却是在唯一通信或交易背景下确认身份。本发明中的“质询”是指解密、重新加密并转发令牌。本发明的令牌的质询涉及网络配置。从验证机构服务器获取令牌,然后解密、更新、重新加密并将令牌发送到发起方,则在该网络使用令牌质询成功。在许多账户授权系统中,质询即为解密一段加密的文本并返回带有签名的文本。这些系统不会重新加密令牌。这些系统不会更新任何内容或向令牌添加任何内容,这就是为什么这些系统不需要重新加密令牌。相反,本发明的系统及方法正在回答质询,但是这些系统及方法还必须在预设网络内接受质询,并且必须按照网络所建立的通信顺序进行响应。
如上所述,账户授权系统拥有单一权限,集中对单独一方进行许可。可信客户发明包括具有两个授权方(例如,注册服务器和验证机构服务器)的系统及方法,这两个授权方是进行每笔交易所需的。这种架构提供了更具可扩展性的系统,同时还提供了重要的安全功能。为了破坏可信客户系统,破坏者必须入侵并破坏注册服务器和验证服务器。两个不同的参与者之间需合谋。交易权限划分是一种结构性差异,可提供具体的计算机系统性能优势。
如上所述,其他现有系统(包括基于所有者的设备身份识别和授权的网络接入系统)基于其他架构和技术授予网络访问权限。例如,这些系统无法许可个人通信或交易。与现有系统基于所有者的访问权限不同,可信客户系统基于设备的实际拥有权许可每次通信或交易。这些现有系统中的一些将设备密钥与所有者的每台计算机设备的用户凭证(ID)结合起来。如果设备密钥与用户ID匹配,则授予请求用户访问权限。这是基于所有者的访问授权。可信客户发明依赖于设备的实际拥有权,这可通过附加或修改令牌来证明。
通过让"接收方"在网络上注册时公开其计算机硬件的唯一识别特征(如智能电话的设备唯一标识符(UDID)可在本发明系统中添加额外的标识层。UDID是单台设备的唯一标识符,当用户尝试激活设备时从智能电话供应商的服务器中获取该标识符。然后,接收方可通过软件应用程序将其唯一识别特征共享给网络,由网络对“接收方”在通信或交易中使用的物理硬件进行验证。本发明的可信客户系统及方法不依赖于固定的识别特征,例如,IP地址、密码、主机名、加密、安全元件或网络连接状态。不存在需要遍历通信网络(支付)路径的机密密码或个人帐户信息。相反,本发明的可信客户系统对需要验证的用户计算设备的单一访问权限进行了验证。这是本发明的可信客户识别系统及方法与其他系统之间的根本区别所在。对可信客户系统路径的访问并不限于单个硬件或硬件特性,因其不是基于安全元件的安全方案。本发明的可信客户系统是独立于设备的。可运行可信客户软件应用程序并且可提供配置证明其可对单一用户(实体)可用的任何联网设备都符合条件。可信客户系统也不似许多互联网支付系统那样依赖于固定的交易路径。因此,可信客户系统非常适用于经常更改IP地址和转换网络地址(NAT)的移动消费者进行消费支付,即使是在单一会话期间。可信客户系统依赖于在特定硬件设备上运行的软件应用程序来确保安全。应用程序和硬件设备自动运行(一旦设置),因此消费者无需导航或键入任何内容以进行验证和访问,尽管可信客户系统可根据需要使用其他验证层。
一些银行应用程序要求用户向银行注册电话号码,以允许银行向用户发送含代码的短信文本,然后将代码输入银行应用程序以授予用户访问权限,其中的代码必须由用户通过短信接收。虽然这也是一种安全方法且可通过电话工作,但其与本发明的可信客户系统的所有相似之处也仅限于此。这种发送短信文本的方法不会通过访问需要验证的用户计算机节点来提供身份,而仅会通过电话号码来提供访问权限文本。电话号码可能会被盗用和伪造,而访问需要验证的用户计算机节点则无法以任何可识别的方式伪造。此外,在这种发短信的方法,用户必须输入其接收到的代码,而使用本发明的可信客户系统,用户可以不用做任何动作,因为无需输入密钥代码。验证由在需要验证的用户计算设备上运行的应用程序通过消息自动完成。
虽然可信客户系统执行的某些步骤(如预验证和非对称密钥加密)与过去的安全技术相似,但可信客户系统的通信路径和步骤不同,因其使用单个通信路径来路由交易和身份验证,并强制通信路径通过需要验证的预验证用户的计算设备。这样,可信客户系统不仅允许用户在预验证的联系人位置(如向其电话号码发送的短信)接收消息,而且还可确保用户能够访问通信必须经过的预验证计算机。鉴于存在单一通信路径,用户无需粘贴或输入任何代码,也无需采取任何措施来确保验证。通过在需要验证的用户计算设备上运行应用程序进行通信的事实来证明用户“在场”进行交易。
本发明的一个示例性实施例包括一种用于建立用户的可信客户网络的身份验证方法。该方法包括将身份验证软件应用程序下载到接收计算机上;创建非对称加密密钥对,包括公钥和私钥;将私钥存储在接收计算机上;通过通信网络将帐户信息、接收计算机识别信息和公钥从接收计算机发送到注册服务器;将电子请求从接收计算机发送到发起计算机,以审查接收计算机是否包含在用户的可信客户网络中;以及在接收计算机处接收来自验证机构服务器的加密注册安全令牌。
在本发明的一个示例实施例中,通过在发起计算机处打开来自接收计算机的电子请求来创建加密注册安全令牌;对该电子请求进行双密钥加密;将双密钥加密电子请求从发起计算机发送至注册服务器;对注册服务器接收到的双密钥加密的电子请求进行解密;检查成员注册表以确认接收计算机和发起计算机是用户的可信客户网络的成员,并在确认后,加密该电子请求并将其转发至验证服务器;对验证服务器接收到的加密电子请求进行解密;创建安全令牌;在令牌注册数据库中注册安全令牌;以及对注册的安全令牌进行加密。
在本发明的一个示例性实施例中,该方法还包括使用接收计算机对从验证服务器接收到的加密注册安全令牌进行解密;使用许可信息更新注册安全令牌,该许可信息确认接收计算机希望进行交易;对更新的注册安全令牌进行加密;以及将加密的更新令牌转发至发起计算机以供验证服务器验证。
在本发明的一个示例性实施例中,验证包括对加密的更新安全令牌进行解密;读取解密的安全令牌以确认接收计算机的身份验证信息;对读取到的安全令牌进行加密;将经加密的读取到的安全令牌转发至验证机构服务器;通过验证机构服务器对转发的经加密的读取到的安全令牌进行解密;以及对照令牌注册表检查令牌ID信息。
在本发明的一个示例性实施例中,当令牌ID信息与令牌注册表匹配时,系统停止使用该令牌,并向发起计算机发送指示接受令牌的加密消息。当令牌ID信息与令牌注册表不匹配时,系统停止使用该令牌,并向发起计算机发送指示拒绝令牌的加密消息。
附图说明
图1是根据本发明的用于进行电子交易的示例可信客户计算机系统的示图;
图2是根据本发明进行电子交易的示例系统及方法的示图;
图3是根据本发明的使用非接触式硬件自动识别过程签发和兑换数字令牌的系统及方法的另一示例实施例的示图,其中,待审查用户在该过程中不采取任何物理操作;和
图4是根据要求保护的本发明的示例电子交易计算机服务器的示图。
具体实施方式
本发明的可信客户系统及方法提供了通过通信网络路由安全数字令牌的身份验证。预先注册的接收方对令牌拥有唯一访问权限,并可控制对添加或附加到令牌中的唯一数据的实际拥有权。"实际拥有权"是对计算设备的唯一访问权限。例如,具有密码的智能电话、视网膜扫描或其他提供可用于单个人的唯一安全访问权。网络中的其他各方并未拥有唯一数据的副本,但知道只有受审查方(接收方)才可将其添加到令牌,并且能够验证接收方的身份。
图1示出了根据本发明的示例可信客户计算机系统。在该示例实施例中,系统100包括发起方140、接收方130、注册服务器110和验证机构服务器120。可信客户软件应用程序供应商服务器150是可信客户软件应用程序的传送源,并且可包括应用程序商店或其他允许用户浏览和下载软件应用程序的数字分发平台。例如,计算机和服务器110、120、130、140、150通过互联网、WiFi、局域网等通信网络199相互(以及与网络外的其他方)通信。可使用对等(p2p)网络。为了清楚和简洁起见,在图2和图3中的过程流程图中,未明确示出计算机和服务器110、120、130、140、150之间的通信网络199。
在本发明的一个实施例中,接收方计算设备130是待审查用户(即接收方)在通信中使用的设备。在下面的描述中,各方的身份体现在各方所使用的计算设备中。也就是说,接收方使用接收方计算机130,发起方使用发起计算机140。计算机或计算机设备可以是台式计算机、笔记本电脑、便携式计算机、平板电脑、个人数字助理、智能电话、工作站、服务器和其他计算设备。为了简洁和简单起见,在本说明书中,术语"计算机"用于表示这些设备中的任何一个,并且与这些计算设备的关联方名称一起使用。交易各方在可信客户通信网络中对其他各方进行身份验证,包括发起方计算机140、跟踪可信客户通信网络成员资格的注册服务器110、签发和验证安全数字令牌的验证机构服务器120以及与发起方计算机140进行待审查通信的接收方计算机130。
在图1和图2所示的本发明的一个示例实施例中,接收方通过将可信客户软件应用程序下载到接收(方)计算机130上并通过在流程块203中发送身份验证消息,以在流程块201中在注册服务器110上注册来加入可信客户计算机网络。接收计算机130可能创建和包含密码、用户ID、硬件ID以及其他可用于证明接收方身份的唯一识别信息(例如,母亲的婚前姓氏、购买的第一辆车等)。接收方可将接收计算机130硬件的物理特性记录到可信客户网络中,以在随后的通信中用作识别信息。如果发起方尚未安装可信客户软件应用程序,则发起计算机140还分别在流程块202和204中下载该应用程序并向注册服务器110发送身份验证消息。在流程块205中,注册服务器检查注册表文件,并在文件尚未在注册表的情况下注册各方。在流程块208和209中,接收计算机130和发起计算机140创建加密密钥对并将公钥发送到注册服务器110。密钥对由发起方和接收方创建,然后发起方和接收方与注册服务器共享公钥。注册服务器110存储对应于每个私钥的公钥。
一旦成为可信客户网络的成员,接收计算机130通过在其计算机上运行的应用程序发起通信,并且在流程块212中向在发起方计算机140上运行的可信客户应用程序发送唯一识别信息(例如,姓名、交易ID、电话号码、账户或成员ID,以及其他识别信息)。在流程块213中,发起计算机140从接收计算机130获得识别信息。唯一识别信息也可在交易前从接收计算机130发送至发起计算机140。
一旦发起计算机140接收到请求,则发起计算机140对请求进行加密以在发送该请求时进一步提供安全性。在流程块214中,发起计算机140将从接收计算机130接收到的(加密的)唯一信息(例如,姓名、交易ID、电话号码等)发送至注册服务器110。该流程块用于发起计算机140审查接收计算机130,以确保接收计算机130是可信客户网络的成员。
注册服务器110对从发起计算机140中接收到的双密钥加密的电子请求进行解密,并在流程块216中检查用户注册表数据库,以验证并确认接收计算机130是可信客户网络的成员。验证可包括检查注册表数据库文件的名称、电话号码、密码、用户ID、硬件ID以及接收计算机130的其他唯一识别信息。例如,将来自发起计算机的电子请求发送至注册服务器可包括发送接收方的识别图像以对照接收方在注册表中的注册图像进行检查。
接收计算机130的唯一信息(例如,姓名和电话号码)已经存在并在注册服务器110中找到时,在下面的流程块230中继续该过程。然而,当在注册服务器110中并未找到接收计算机130的唯一信息(例如,姓名和电话号码)时,则在流程块220中,向接收方130的电话号码发送安装短信。在流程块224中,接收计算机130接收安装短信并点击短信中的链接以安装可信客户软件应用程序。在流程块226中,接收方将可信客户软件应用程序安装到其计算机130上。安装过程完成时,接收计算机130在流程块228中向注册服务器110发送完成消息。注册计算机130验证接收计算机130为可信客户网络的成员。
如上所述,当注册服务器110将接收计算机130验证为可信客户网络的成员时,注册服务器110在流程块230中创建、加密并转发身份请求消息到验证机构服务器120。请求消息包括用于请求向验证机构120发出签发安全令牌的请求。在流程块232中,验证机构120解密和处理该请求,并在流程块233中创建安全令牌。验证机构120通过唯一识别符创建安全令牌,仅验证机构服务器120知道该唯一识别符。该安全令牌可具有与其相关联的值,或者此时也可不具有指定值。然后,验证机构服务器120在流程块234中将安全令牌注册到令牌注册表文件中,并使用接收计算机130的公钥对注册的安全令牌进行双密钥加密。验证机构120随后在流程块236中向接收计算机130签发加密注册安全令牌。
在流程块238中,接收计算机130接收该加密注册安全令牌。接收计算机130解密并可选地在流程块242中启动许可窗口,许可窗口提供发起(方)计算机140的相关信息、安全令牌值(若有)并向接收方显示“接收”和“拒绝”两个按钮。各方(例如,接收计算机130、发起计算机140、注册服务器110和验证机构服务器120)可通过在令牌中添加或附加面包屑(breadcrumb)来更新令牌。在令牌中添加或附加面包屑可用于创建通信活动日志。面包屑记录的通信活动的一个示例性日志条目可以指示接收计算机上的身份识别软件应用程序以识别信息更新了令牌。
如果接收方130拒绝安全令牌,则在流程块246中将拒绝消息发送到验证机构服务器120,然后撤销交易。在流程块248中,使令牌停止使用。在流程块250中,联系注册服务器110并记录拒绝,在流程块252中,注册服务器110通知发起计算机140无法验证接收计算机130并且加密安全令牌停止使用。
如果接收方130在流程块243中接受加密注册的安全令牌,或者如果不需要许可窗口,则接收计算机准许向发起计算机140发布其身份验证。在流程块256中,接收计算机130向注册服务器110请求发起计算机的公钥。在流程块258中,注册服务器110处理密钥请求并将发起计算机的公钥发送至接收计算机130。接收计算机130接收来自注册服务器110的发起计算机公钥,然后在流程块260中使用发起计算机140公钥通过双密钥加密对更新的安全令牌进行加密。在流程块262中,接收计算机130将加密的安全令牌发送到发起计算机140。
在流程块264中,发起计算机140接收加密的安全令牌并对其解密。发起计算机140检查接收计算机130是否已授予接收计算机的身份验证权限。在本发明的示例性实施例中,发起计算机140添加待与电子请求一起路由发送的交易ID,以将电子请求和随后生成的令牌链接到个人通信和/或交易。在流程块266中,发起计算机140向注册服务器110请求验证机构服务器120的公钥。在流程块268中,发起计算机140接收该公钥并使用验证机构服务器120的公钥通过双密钥加密对安全令牌进行加密。在流程块270中,发起计算机140将加密的令牌发送到验证机构服务器120。
在流程块272中,验证机构服务器120接收加密令牌,并通过解密和读取令牌的唯一标识符处理令牌,以对照令牌注册表文件(来自流程块234)检查令牌。在流程块274中验证令牌时(例如,在令牌注册表文件中找到唯一标识符),验证机构120将令牌标记为已使用并在流程块248中使令牌停止使用(retire),且在下面的流程块288中继续该过程。
然而,如果在流程块274中未验证令牌(例如,未找到唯一标识符,或者发现该唯一标识符之前已被使用),则验证机构服务器120在流程块278中向注册服务器110请求发起方计算机140的公钥。在流程块280中,注册服务器110接收请求并将发起计算机140的公钥发送到验证机构服务器120。在流程块282中,验证机构服务器120接收发起计算机140的公钥并对其加密。在流程块284中,验证机构向发起计算机140发送令牌无效的消息,且发起计算机140可联系接收计算机130以解决令牌的问题。
在流程块274中验证令牌时,验证机构服务器120在流程块288中向注册服务器110请求发起方计算机140的公钥。在流程块290中,注册服务器110接收请求并将发起计算机140的公钥发送到验证机构服务器120。在流程块292中,验证机构服务器120接收发起计算机140的公钥并对其加密。在流程块294中,验证机构向发起计算机140发送令牌有效的消息。
本发明的计算机实现的方法实施了安全数字令牌通过已知的网络成员的传递,该网络成员对其网络私钥拥有唯一访问权限,这提供了接收(计算机)方的识别信息,而无需加密密钥、密码或识别信息与令牌一起传播。只有通过对接收计算机的唯一识别信息(例如,其密钥)有访问权限的可信客户软件应用程序进行的通信才会获得许可。计算机实现的本发明提供了由非瞬态计算机可读指令执行的方法,该指令通过可信客户网络在接收计算机处理器上运行,其提供了解锁可信客户网络通信路径的“密钥”。
在图3所示的本发明的第二示例实施例中,验证机构服务器120在流程块232中创建安全令牌并在流程块333中向注册服务器110发送请求以注册该令牌。同时,验证机构服务器120在流程块334中向接收(方)计算机130上的可信客户应用程序发送请求以查询接收计算机130的计算机硬件或操作系统,用以向安全令牌附加唯一数据(例如,自拍照片、智能电话UDID以及接收方和接收方计算机130其他唯一数据)。在流程块335中,接收计算机130将该附加信息添加到令牌中并将更新后的令牌发送到注册服务器110。如果注册服务器110在流程块337中许可并发送更新令牌到验证机构服务器120,则验证机构服务器120在流程块338中处理该更新令牌并在流程块248中停止使用该令牌,以及在流程块365中将令牌有效性状态发送到发起计算机140。如果注册服务器110在流程块337中未许可该更新令牌,则在流程块248中该停止使用更新令牌失效,并且验证服务器120在流程块365中向发起方发送指示该更新令牌未获许可的令牌有效性状态消息。在本发明的第二示例实施例中,硬件识别特征用作了更安全的验证设备(例如,密码),该硬件识别特征由自动化过程提供;在该自动化过程中,可信客户应用程序与接收方130的计算机操作系统以“无接触”方式相接,这意味着待审查用户(即接收计算机130)在该过程中无需采取任何物理操作。
在本发明的一些示例实施例中,对象征性“密钥”(即,在接收计算机130上运行的可信客户软件应用程序)的访问可由安全协议控制,该安全协议要求授权才能使用“密钥”,例如,用于验证接收计算机130的密码。此外,访问密钥还可能包括要求建立对接收计算机上的可信客户软件应用程序的物理占有。这可能还包括其他生物特征验证方法,如视网膜扫描、面部识别、指纹以及其他的生物特征验证符号。使用可信客户应用程序本身也可能需要身份验证,身份验证可能包括用户ID、密码和设备信息。当可信客户应用程序启动并在移动电话上运行时,系统获知移动电话用户已被认证至该电话(例如,通过生物识别)以及可信客户用户已经过认证至注册服务器110。
安全性可通过将蜂窝连接作为通信路径的一部分以向移动电话供应商预先注册接收方计算机130的蜂窝账户来进一步加强。账户上的姓名(以及其他识别特征)可与系统试图验证的人名进行测试,以查看是否匹配。这可进一步建立接收方的身份和可信度。当移动电话用户在移动电话服务供应商拥有与可信客户帐户使用的名称和地址相同的帐户时,接收计算机不太可能不属于该用户。匹配可信客户身份信息与移动电话服务供应商信息为设备拥有权的验证以及可信客户网络的验证提供了额外的方法。例如,当验证机构120在流程块236中向接收计算机130签发和发送注册的加密安全令牌时,系统可通过蜂窝通信路径发送该令牌,该蜂窝通信路径的账户具有与接收计算机130的特征相匹配的识别特征。此外,可要求蜂窝连接是仅用于可信客户验证的专用电话号码。
可通过要求由系统识别的接收计算机130已经由系统所寻求验证的人的帐户名购买,或者通过其他方法验证该人(建立该帐户的人)对硬件的物理(或法律)拥有权来额外地增强安全性。
可信客户系统和方法是独特的,因其不会提供访问支付网络的权限。相反,将访问权限授予了包含一个且仅有一个注册用户实体的单一互联网通信路径,该注册用户实体拥有对系统的与其账户匹配的预注册计算机的独占访问权。
示例计算机服务器
如图4中进一步所示,本发明的电子可信客户身份验证网络计算设备示出为示例“服务器”810,该计算设备包括发起方计算机、接收方计算机、可信客户软件应用程序的供应商服务器、注册服务器和验证机构服务器。计算机或服务器810是包括一个或多个系统处理器820、系统存储器822、一个或多个系统I/O接口824和网络接口控制器826的示例计算设备,其通过总线830或其他数量和类型的链路连接在一起,尽管可信客户身份验证网络计算设备810可包括其他配置中的其他组件和元件,并且可包括服务器和客户端计算机。尽管电子计算设备810也可作为如刀片式设备在刀片式机箱中实现,在该示例中,电子计算设备810作为独立设备实现但。
系统处理器820包括一个或多个微处理器,其中的微处理器配置为执行存储在系统存储器822中的计算机或机器可读和可执行指令,以在客户端服务器网络系统(如系统100)上实现可信客户身份验证系统。当由至少一个处理器执行时,存储在系统存储器822中的指令使处理器820生成、传输、验证和兑换(redeem)令牌并进行电子交易。计算机可读介质(包括系统存储器822)上的指令还进一步使处理器820执行包括身份验证方法的步骤,以建立包括买方和卖方的用户的可信客户网络。
系统处理器820配置为执行存储在系统存储器822中的计算机或机器可读和可执行指令,以实现过程(例如,结合图1至图4在上文中描述以及在下文中进一步描述的过程)中的一个或多个部分,但处理器820也可包括其他类型和/或组合的处理器,如根据结合图1至图4描述和图示的教导的编程或配置的数字信号处理器、微控制器、开关芯片、总线控制器、专用集成电路(“ASIC”)、可编程逻辑器件(“PLD”)、现场可编程逻辑器件(“FPLD”)、现场可编程门阵列(“FPGA”)等。
系统存储器822包括计算机可读介质,即计算机可读或处理器可读存储介质,其为机器可读存储介质的示例。计算机可读或机器可读存储介质可包括通过任何用于存储信息的方法或技术实现的易失性、非易失性、可移除和非可移除介质,例如,计算机可读或机器可执行指令、数据结构、程序模块或可由一个或多个处理器(如系统处理器820)获取和/或执行以实施操作的其他数据,其中的操作包括实现用于控制计算设备810的总体操作的操作系统,以生成、传输、验证和兑换令牌,并另外地根据例如结合图1至图4所描述的上述过程进行电子交易。
计算机可读存储介质的示例包括RAM、BIOS、ROM、EEPROM、闪存存储器或固件存储器或其他存储技术、CD-ROM、数字通用光盘(DVD)或其他光学存储器、磁带盒、磁带、磁盘存储器或其他磁性存储设备,或者可用于存储所需信息的任何其他介质,这些其他介质包括数据和/或计算机可执行指令或其他机器可执行指令,并且可由计算或专门编程设备(如可信客户身份验证网络计算设备810)访问。当系统存储器822中存储的指令由系统处理器820运行时,除客户端-服务器管理的各种相关功能外,这些功能包括冗余功能、版本控制、服务器负载平衡功能、设备配置功能(例如,定义网络安全策略)、VPN托管、网络流量管理、丢失控制及其他功能,可信客户身份验证网络计算设备810还执行下面进一步描述的过程的至少一部分,以进行与图1至图4相关的有价值资产的交易。
系统I/O接口824包括一个或多个用户输入和输出设备接口机构,如计算机键盘、鼠标、显示设备以及相应的物理端口和底层支持硬件和软件,以使可信客户身份验证网络计算设备810能够与外部环境通信以接受用户数据输入并提供用户输出,但是也可以使用其他类型和数量的用户输入和输出设备。可替代地或附加地,如下文中结合网络接口控制器826所描述的,可信客户身份验证网络计算设备810可例如通过网络管理端口,与外部环境通信以进行某些类型的操作(例如,配置)。
网络接口控制器826提供对网络介质的物理访问并提供低级寻址系统,使得可信客户身份验证网络计算设备810能够通过网络系统555(如图1所示)加入TCP/IP通信,购买令牌、签发令牌、验证令牌、兑换令牌以及以其他方式在买卖双方间进行电子价值(货币)交易(在计算机设备上实例化)并维护应用程序服务,但该网络接口控制器826还可构建为与其他通信协议和其他类型的网络一起使用,并且可包括其他组件以及执行其他功能。网络接口控制器826有时被称为收发器、收发设备或网络接口卡(NIC),可向一个或多个网络(例如,本示例中的系统555)发送和接收网络数据包。当可信客户身份验证网络计算设备810包括一个以上系统处理器820(或处理器820具有一个以上内核)时,每个处理器820和/或内核可以使用相同的单个网络接口控制器826或多个网络接口控制器826。此外,网络接口控制器826可包括一个或多个物理端口(如以太网端口),以将可信客户身份验证网络计算设备810与其他网络设备耦接,如服务器和其他站点。另外,网络接口控制器826可包括专门用于接收和/或传输某些类型的网络数据的某些物理端口,例如,用于配置可信客户身份验证网络计算设备810的设备管理相关数据。
接收计算机、发起计算机、注册服务器和验证机构服务器可使用多种通信协议进行通信。一些示例性通信协议包括安全套接字层(SSL)协议、数据分发服务(DDS)协议、传输层安全(TLS)协议、近场通信(NFC)协议和蓝牙传输协议。
在一个示例中,网络接口控制器826是现场可编程门阵列(FPGA),FPGA可包括本地存储器,并且配置有逻辑,以实现技术的一个或多个方面,包括(仅为示例)购买令牌、签发令牌、验证令牌、兑换令牌以及以其他方式进行电子交易,但该网络接口控制器826还可包括其他类型的可配置硬件,例如根据结合图1至图4所描述和图示的教导的编程或配置的数字信号处理器、微控制器、ASIC、PLD、FPLD等、由系统处理器820执行的软件及其组合,以及以其他方式配置的可实现该技术的一个或多个方面的其他组件和元件。在该示例中,使用专用硬件使得网络接口控制器826可快速处理网络数据包。
计算设备810的一些示例性实施例还可包括近场通信(NFC)接口864。NFC接口864允许以相对较低的数据速率(例如,424kb/s)进行极近距离的通信,并且符合ISO/IEC18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443和(或)ISO 15693等标准。NFC接口864的范围约在2-4cm之间。NFC接口864的近距离通信可通过磁场感应进行,这使得NFC接口864可与其他NFC接口864通信,或者从具有射频识别(RFID)电路的标签中并通过其他配备NFC的计算设备810获取信息。NFC接口864可发起和/或促使从一台计算设备810向另一台计算设备810传输文档数据及其他数据,包括如图1所示的系统555中买家100与卖家之间的令牌和支付。
总线830包括至少一个内部设备组件通信总线、链路、网桥和支持组件,例如,总线控制器和/或仲裁器。这些设备使可信客户身份验证网络计算设备810的各种组件(如系统处理器820、系统存储器822、系统I/O接口824和网络接口控制器826)能够进行通信,但总线830也可使可信客户身份验证网络计算设备810的一个或多个组件与其他设备中的组件进行通信。仅举例来说,示例性总线包括HypertTransport、PCI、PCI Express、InfiniBand、USB、FireWire、串行ATA(SATA)、SCSI、IDE和AGP总线,但也可以使用其他类型和数量的总线,总线的特定类型和布置取决于可信客户身份验证网络计算设备810的特定配置。
虽然每台计算机都可以包括通过总线830耦接在一起的处理器820、存储器822、网络接口控制器826和I/O接口824,但也可使用两个或多个计算机系统或设备来替代系统555中的任何一台设备。因此,也可根据需要实现分布式处理的原则和优点,如冗余、重复等,以提高系统555的设备和系统的稳健性及性能。系统555也可在使用任何合适的接口机制和通信技术扩展到任何网络环境中的计算机系统或系统上实现,例如,该接口机制和通信技术包括任何适合形式的电信通信(例如,语音、调制解调器等)、公用交换电话网络(PSTN)、数据包网络(PDN)、互联网、WiFi、局域网、内联网或网络的组合。可使用对等(p2p)网络。
如上所述,客户端计算机、站点和服务器中的每一个都可包括由总线或其他链路耦接在一起的中央处理单元(CPU)、控制器或处理器、存储器以及接口,但也可使用每个组件的其他数量和类型以及组件的其他配置和位置。计算设备中的处理器可执行本文中描述的方法和系统的一个或多个方面的存储指令程序,但该处理器也可执行其他类型的程序指令。存储器可存储本文中描述的方法和系统的一个或多个方面的程序指令,但这些程序指令中的一些或全部也可存储在其他位置和/或在其他位置执行。各种不同类型的存储器存储设备都可用于存储器,例如,系统中的随机存取存储器(RAM)或只读存储器(ROM)、软盘、硬盘、CD-ROM、DVD-ROM或其他计算机可读介质,其中的计算机可读介质由耦接到处理器的磁性、光学或其他读取和/或写入系统读取和或写入。用户输入设备可包括计算机键盘和计算机鼠标,但也可以使用其他类型和数量的用户输入设备。显示器可包括计算机显示屏,如CRT或LCD屏(仅为举例),但也可以使用其他类型和数量的显示器。
虽然结合图4描述和图示了可信客户身份验证网络计算设备810的示例,但系统555的每个计算机和计算设备都可在任何合适的计算机系统或计算设备上实现。应当理解,系统555的示例设备和系统是出于示例性目的,因为特定硬件和软件的许多变体也可用于实现系统555,相关领域的技术人员对此应当理解。
此外,计算机、软件和网络领域的技术人员应当理解,系统555的每个设备都可以使用根据本文中描述和图示的教导进行编程的一个或多个通用计算机系统、微处理器、数字信号处理器、微控制器、专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程逻辑器件(FPLD)、现场可编程门阵列(FPGA)等方便地实现。
用于提供购买令牌、签发令牌、验证令牌、兑换令牌以及以其他方式执行图1至图4所示的电子价值交易的系统及方法的示例过程的操作,可在可信客户身份验证网络系统100上运行。图1至图4中所示的流程图是实现进行电子交易的过程的机器可读指令的代表性示例。上文描述的步骤是用于实现根据本公开所描述的示例的方法的示例机器可读指令。在一个示例中,机器可读指令包括由(a)处理器、(b)控制器和/或(c)一个或多个其他合适的处理设备执行的算法。该算法可在存储于有形介质上的软件中实例化,例如,闪存存储器、只读光盘驱动器(CD-ROM)、软盘、硬盘驱动器、数字视频(多功能)光盘(DVD)或其他存储设备,但是本领域普通技术人员应该容易理解整个算法和/或其部分也可替代地由处理器以外的设备执行和/或以已知方式在固件或专用硬件中体现。例如,该算法可通过专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程逻辑器件(FPLD)、现场可编程门阵列(FPGA)、离散逻辑等来实现。例如,可信客户身份验证网络系统的任何或所有组件都可由软件、硬件和/或固件来实现。并且,本文中描述或图示的一些或所有机器可读指令可手动实现。此外,尽管本文中描述和图示了本发明的示例,但是本领域普通技术人员应当容易理解也可用其他替代方法来实现示例机器可读指令。例如,可更改执行顺序和/或更改、剔除或组合所描述的一些步骤。
如果买方希望将一项价值交换为另一项价值,则可通过使用上文所描述的方法执行可信客户身份验证的方法来完成匿名和安全交易。
虽然以此方式描述了本发明的基本概念,但对本领域技术人员来说显而易见的是上述详细公开内容仅旨在作为示例而非限制。尽管本文中未明确说明,但可进行各种变型、改进和修改并且旨在由本领域技术人员进行各种变更、改进和修改。这些变型、改进和修改旨在由本文提出,并且落入本发明的精神和范围内。此外,所列举的处理元件或序列的顺序,或者所使用的数字、字母或其他名称并非旨在将要求保护的过程限制在任何顺序,除非权利要求中有规定。因此,本发明仅由以下权利要求及其等同物的限定。
Claims (20)
1.一种用于建立用户的可信客户网络的身份验证方法,包括:
a、将身份验证软件应用程序下载到接收计算机上;
b、创建非对称加密密钥对,包括公钥和私钥;
c、将所述私钥存储在所述接收计算机上;
d、通过通信网络将帐户信息、接收计算机识别信息和所述公钥从所述接收计算机发送到注册服务器;
e、将电子请求从所述接收计算机发送到发起计算机,以审查所述接收计算机是否包含在用户的所述可信客户网络中;
f、在所述接收计算机处接收来自验证机构服务器的加密注册安全令牌,所述加密注册安全令牌通过以下方式创建:
1)在所述发起计算机上打开来自所述接收计算机的电子请求;
2)对所述电子请求进行双密钥加密;
3)将双密钥加密的所述电子请求从所述发起计算机发送至所述注册服务器;
4)对所述注册服务器接收到的双密钥加密的所述电子请求进行解密;以及
5)检查成员注册表以确认所述接收计算机和所述发起计算机是否是用户的所述可信客户网络的成员,并在确认后,
6)加密所述电子请求并将所述电子请求转发至验证服务器;
7)对所述验证服务器接收到的加密的所述电子请求进行解密;
8)创建安全令牌;
9)将所述安全令牌注册至令牌注册数据库中;以及
10)对经注册的所述安全令牌进行加密;
g、使用所述接收计算机对从所述验证服务器接收到的加密的经注册的安全令牌进行解密;
h、使用许可信息更新经注册的安全令牌,所述许可信息确认所述接收计算机希望进行交易;
i、对更新的所述经注册的安全令牌进行加密;以及
j、将经加密的更新的令牌转发至所述发起计算机以供所述验证服务器验证,所述验证包括:
1)对加密的更新的安全令牌进行解密;
2)读取解密的安全令牌以确认所述接收计算机的身份验证信息;
3)对所述读取到的安全令牌进行加密;以及
4)将读取到的加密的安全令牌转发至所述验证机构服务器;
5)通过所述验证机构服务器对转发的加密的读取到的安全令牌进行解密;
6)对照所述令牌注册表检查令牌ID信息,
(a)当所述令牌ID信息与所述令牌注册表匹配时,停止使用令牌,并向所述发起计算机发送指示接受令牌的加密消息;以及
(b)当所述令牌ID信息与所述令牌注册表不匹配时,停止使用令牌,并向所述发起计算机发送指示拒绝令牌的加密消息。
2.一种用于建立用户的可信客户网络的非接触式密码验证方法,包括:
将非接触式密码验证软件应用程序下载至接收计算机上;
创建对称密码;
使用所述非接触式密码验证软件应用程序将所述对称密码存储在所述接收计算机上;
通过通信网络将帐户信息和接收计算机识别信息发送到注册服务器;
将电子请求从所述接收计算机发送到发起计算机,以审查所述接收计算机是否包含在用户的所述可信客户网络中;
接收来自验证机构服务器的注册安全令牌,所述注册安全令牌通过以下方式创建:
在所述发起计算机处打开来自所述接收计算机的电子请求;
将来自所述发起计算机的打开的所述电子请求发送到所述注册服务器;
检查成员注册表以确认所述接收计算机和所述发起计算机是否是用户的所述可信客户网络的成员,并在确认后,
将所述电子请求转发至验证服务器;
创建安全令牌;
将所述安全令牌注册在令牌注册数据库中;和
将注册的所述安全令牌转发至所述接收计算机;
使用所述对称密码更新所述令牌,确认所述接收计算机希望进行交易;
将更新的所述令牌转发至所述注册服务器进行授权,所述授权包括:
读取所述对称密码以确认所述接收计算机的授权,以继续处理;
将所述对称密码添加到更新的令牌中;和
将对称密码更新的令牌转发至所述验证机构服务器;
打开所述对称密码更新的令牌;
对照所述令牌注册表检查令牌ID信息;
当所述令牌ID信息与所述令牌注册表匹配时,停止使用令牌,并向所述发起计算机发送指示接受令牌的消息;以及
当所述令牌ID信息与所述令牌注册表不匹配时,停止使用令牌,并向所述发起计算机发送指示拒绝令牌的消息。
3.根据权利要求1所述的方法,其中,审查所述接收计算机包括确认所述接收计算机的唯一识别特征,其中,所述接收计算机的唯一识别特征包括唯一设备标识符(UDID)。
4.根据权利要求1所述的方法,其中,使用许可信息更新令牌,所述许可信息确认所述接收计算机希望进行交易包括:
使用所述接收计算机启动并显示许可窗口,所述许可窗口包括发起计算机信息和安全令牌值;以及
生成接受选项并将所述接受选项向所述接收计算机的用户显示,以继续交易。
5.根据权利要求1所述的方法,其中,所述接收计算机使用蜂窝网络上预先注册的移动号码向所述发起计算机、所述注册服务器和所述验证机构服务器所组成的群组中的至少一个进行收发。
6.根据权利要求1所述的方法,其中,所述接收计算机、所述注册服务器和所述验证机构服务器所组成的群组中的至少一个向通信添加面包屑信息以创建通信活动的日志,所述日志指示所述接收计算机上的身份验证软件应用程序已使用附加身份信息更新所述令牌。
7.根据权利要求1所述的方法,其中,将所述双密钥加密的电子请求从所述发起计算机发送至所述注册服务器包括,将验证请求转发至代理发起方计算机,然后由所述代理发起方计算机替代所述发起计算机并代表所述发起计算机完成所述身份验证方法。
8.根据权利要求1所述的方法,其中,发送身份验证消息包括发送密码、用户ID、硬件ID和生物识别特征所组成的群组中的至少一个。
9.根据权利要求1所述的方法,其中,验证和令牌验收用于许可支付交易和电子邮件传输所组成的群组中的至少一个。
10.根据权利要求1所述的方法,其中,由所述接收计算机、所述发起计算机、所述注册服务器和所述验证机构服务器所组成的群组中的至少一个进行的数字令牌发送或接收使用互联网、Wi-Fi、局域网和对等(p2p)网络所组成的群组中的至少一个来执行。
11.根据权利要求1所述的方法,其中,将来自所述发起计算机的电子请求发送至所述注册服务器包括:
添加与所述电子请求一起路由的交易ID;和
将所述电子请求和随后生成的令牌链接到个人通信。
12.根据权利要求1所述的方法,其中,将来自所述发起计算机的电子请求发送至所述注册服务器包括:
在发送电子请求时设置计时器;和
当所述注册服务器在预定时间内未收到所述电子请求时,拒收验证。
13.根据权利要求1所述的方法,其中,创建安全令牌包括创建具有货币价值的安全令牌。
14.根据权利要求1所述的方法,其中,将来自所述发起计算机的电子请求发送至所述注册服务器包括,发送接收方的识别图像以对照所述接收方在所述注册表中的注册图像进行检查。
15.根据权利要求1所述的方法,其中,所述接收计算机是接收方实物地拥有的智能电话。
16.根据权利要求1所述的方法,其中,所述接收计算机上的身份验证软件应用程序与所述接收计算机上的操作系统对接,以请求识别所述操作系统和唯一设备标识符(UDID)所组成的群组中的至少一个的数据特征。
17.根据权利要求1所述的方法,还包括:
检查所述成员注册表以确认所述验证机构服务器是用户的所述可信客户网络的成员,并且
其中,检查所述成员注册表以确认所述接收计算、所述发起计算机和所述验证机构服务器是用户的所述可信客户网络的成员包括:使用所述注册服务器的统一资源定位符(URL)的数字签名和硬编码中的至少一个来识别所述接收计算机、所述发起计算机和所述验证机构服务器所组成的群组中的至少一个,以确认网络成员资格。
18.根据权利要求1所述的方法,其中,往来所述接收计算机的通信路径是通过以接收方名义的帐户寻求身份验证的蜂窝通信网络,并且其中,所述蜂窝通信通过使用仅用于可信客户身份验证的专用电话号码建立的连接进行接入。
19.根据权利要求1所述的方法,还包括:
从寻求身份验证的接收方接收实物地拥有所述接收方计算机的证据。
20.根据权利要求19所述的方法,其中,实物地拥有接收方计算机的所述证据包括以所述接收方的帐户名购买所述接收计算机的证据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962838490P | 2019-04-25 | 2019-04-25 | |
| US62/838,490 | 2019-04-25 | ||
| PCT/US2020/029824 WO2020219887A1 (en) | 2019-04-25 | 2020-04-24 | Trusted customer identity systems and methods |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113906422A true CN113906422A (zh) | 2022-01-07 |
Family
ID=72917152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080037811.2A Pending CN113906422A (zh) | 2019-04-25 | 2020-04-24 | 可信客户身份系统及方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20200342459A1 (zh) |
| EP (1) | EP3959628A4 (zh) |
| JP (1) | JP2022529694A (zh) |
| KR (1) | KR20220005526A (zh) |
| CN (1) | CN113906422A (zh) |
| AU (1) | AU2020261068A1 (zh) |
| CA (1) | CA3137288A1 (zh) |
| IL (1) | IL287540A (zh) |
| WO (1) | WO2020219887A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI725443B (zh) * | 2019-06-03 | 2021-04-21 | 銓鴻資訊有限公司 | 用於第三方認證的身分的註冊與存取控制方法 |
| CN113722726B (zh) * | 2021-02-09 | 2024-04-05 | 京东科技控股股份有限公司 | 基于软硬件协同的加解密方法及系统 |
| DE102022104834A1 (de) * | 2021-03-03 | 2022-09-08 | Micron Technology, Inc. | Onboarding von cloud-diensten ohne vorherige anpassung der endgeräte |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7380280B2 (en) | 2002-09-13 | 2008-05-27 | Sun Microsystems, Inc. | Rights locker for digital content access control |
| US7275685B2 (en) * | 2004-04-12 | 2007-10-02 | Rearden Capital Corporation | Method for electronic payment |
| JP2006020154A (ja) * | 2004-07-02 | 2006-01-19 | Toshiba Corp | コンテンツ管理方法及びコンテンツ管理用プログラム、並びに電子機器 |
| US8355982B2 (en) * | 2007-08-16 | 2013-01-15 | Verifone, Inc. | Metrics systems and methods for token transactions |
| US8051455B2 (en) * | 2007-12-12 | 2011-11-01 | Backchannelmedia Inc. | Systems and methods for providing a token registry and encoder |
| US9805213B1 (en) * | 2009-06-03 | 2017-10-31 | James F. Kragh | Identity validation and verification system and associated methods |
| US8380177B2 (en) * | 2010-04-09 | 2013-02-19 | Paydiant, Inc. | Mobile phone payment processing methods and systems |
| US10134031B2 (en) * | 2010-04-09 | 2018-11-20 | Paypal, Inc. | Transaction token issuing authorities |
| US10200325B2 (en) * | 2010-04-30 | 2019-02-05 | Shazzle Llc | System and method of delivering confidential electronic files |
| US9342832B2 (en) * | 2010-08-12 | 2016-05-17 | Visa International Service Association | Securing external systems with account token substitution |
| WO2012027385A1 (en) * | 2010-08-23 | 2012-03-01 | Princeton Payment Solutions | Tokenized payment processing schemes |
| US8447983B1 (en) * | 2011-02-01 | 2013-05-21 | Target Brands, Inc. | Token exchange |
| US9760871B1 (en) * | 2011-04-01 | 2017-09-12 | Visa International Service Association | Event-triggered business-to-business electronic payment processing apparatuses, methods and systems |
| US8904175B2 (en) * | 2011-05-19 | 2014-12-02 | Rodney Johnson | System and method for secure distribution and/or storage of data files with long term file integrity verification |
| US20130254117A1 (en) * | 2011-12-30 | 2013-09-26 | Clay W. von Mueller | Secured transaction system and method |
| US10878422B2 (en) * | 2013-06-17 | 2020-12-29 | Visa International Service Association | System and method using merchant token |
| US9710808B2 (en) * | 2013-09-16 | 2017-07-18 | Igor V. SLEPININ | Direct digital cash system and method |
| WO2015042548A1 (en) * | 2013-09-20 | 2015-03-26 | Visa International Service Association | Secure remote payment transaction processing including consumer authentication |
| US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
| US10643266B2 (en) * | 2014-03-31 | 2020-05-05 | Monticello Enterprises LLC | System and method for in-app payments |
| CA2945703C (en) * | 2014-04-14 | 2019-09-10 | Mastercard International Incorporated | Systems, apparatus and methods for improved authentication |
| WO2016076934A2 (en) * | 2014-08-22 | 2016-05-19 | Thomas John K | Verification system for secure transmission in a distributed processing network |
| US10187363B2 (en) * | 2014-12-31 | 2019-01-22 | Visa International Service Association | Hybrid integration of software development kit with secure execution environment |
| US11699152B2 (en) * | 2015-01-19 | 2023-07-11 | Royal Bank Of Canada | Secure processing of electronic payments |
| US11429975B1 (en) * | 2015-03-27 | 2022-08-30 | Wells Fargo Bank, N.A. | Token management system |
| US10277569B1 (en) * | 2015-12-03 | 2019-04-30 | Amazon Technologies, Inc. | Cross-region cache of regional sessions |
| US9894067B1 (en) * | 2015-12-03 | 2018-02-13 | Amazon Technologies, Inc. | Cross-region roles |
| US20170200147A1 (en) * | 2016-01-08 | 2017-07-13 | Akbar Ali Ansari | System and the computer methods of issuing, transferring and manipulating value or gift cards using blockchain technology |
| US11042878B2 (en) * | 2016-01-19 | 2021-06-22 | Priv8Pay, Inc. | Network node authentication |
| US20170213210A1 (en) * | 2016-01-22 | 2017-07-27 | International Business Machines Corporation | Asset transfers using a multi-tenant transaction database |
| AU2017214412A1 (en) * | 2016-02-01 | 2018-06-28 | Visa International Service Association | Systems and methods for code display and use |
| US10375078B2 (en) * | 2016-10-10 | 2019-08-06 | Visa International Service Association | Rule management user interface |
| US11429960B2 (en) * | 2017-05-24 | 2022-08-30 | Nxm Labs, Inc. | Network configuration management for networked client devices using a distributed ledger service |
| EP3506571B1 (en) * | 2017-12-27 | 2022-02-02 | Multicerta S.r.l. | System and method for registering an electronic mobile device to a server and automatic process of digital mail room |
| US20210319436A1 (en) * | 2018-04-24 | 2021-10-14 | Duvon Corporation | Autonomous exchange via entrusted ledger wallet administration tool |
| US11695735B2 (en) * | 2018-05-10 | 2023-07-04 | Nxm Labs, Inc. | Security management for net worked client devices using a distributed ledger service |
| US10341485B1 (en) * | 2018-05-16 | 2019-07-02 | Fmr Llc | Caller identity and authentication service |
| EP3588397A1 (en) * | 2018-06-29 | 2020-01-01 | Social CRM Squad Ltd | Apparatus and methods for retrieving lost property |
| US10878402B1 (en) * | 2018-08-31 | 2020-12-29 | Square, Inc. | Temporarily provisioning payment functionality to alternate payment instrument |
| US11227252B1 (en) * | 2018-09-28 | 2022-01-18 | The Descartes Systems Group Inc. | Token-based transport rules |
| US20200136824A1 (en) * | 2018-10-25 | 2020-04-30 | Mastercard International Incorporated | Asymmetric encryption scheme for secure data transmission |
| CN113297563B (zh) * | 2021-06-18 | 2023-01-24 | 海光信息技术股份有限公司 | 访问片上系统特权资源的方法、装置及片上系统 |
-
2020
- 2020-04-24 CN CN202080037811.2A patent/CN113906422A/zh active Pending
- 2020-04-24 EP EP20795066.8A patent/EP3959628A4/en active Pending
- 2020-04-24 KR KR1020217038435A patent/KR20220005526A/ko active Search and Examination
- 2020-04-24 WO PCT/US2020/029824 patent/WO2020219887A1/en unknown
- 2020-04-24 AU AU2020261068A patent/AU2020261068A1/en not_active Abandoned
- 2020-04-24 US US16/858,052 patent/US20200342459A1/en active Pending
- 2020-04-24 CA CA3137288A patent/CA3137288A1/en active Pending
- 2020-04-24 JP JP2021562030A patent/JP2022529694A/ja active Pending
-
2021
- 2021-10-24 IL IL287540A patent/IL287540A/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| IL287540A (en) | 2021-12-01 |
| EP3959628A1 (en) | 2022-03-02 |
| JP2022529694A (ja) | 2022-06-23 |
| KR20220005526A (ko) | 2022-01-13 |
| AU2020261068A1 (en) | 2021-11-04 |
| US20200342459A1 (en) | 2020-10-29 |
| WO2020219887A1 (en) | 2020-10-29 |
| CA3137288A1 (en) | 2020-10-29 |
| EP3959628A4 (en) | 2023-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10592872B2 (en) | Secure registration and authentication of a user using a mobile device | |
| US11729150B2 (en) | Key pair infrastructure for secure messaging | |
| CN110692214B (zh) | 用于使用区块链的所有权验证的方法和系统 | |
| US9521548B2 (en) | Secure registration of a mobile device for use with a session | |
| US20200336315A1 (en) | Validation cryptogram for transaction | |
| US9642005B2 (en) | Secure authentication of a user using a mobile device | |
| RU2663476C2 (ru) | Защищенная обработка удаленных платежных транзакций, включающая в себя аутентификацию потребителей | |
| US10135614B2 (en) | Integrated contactless MPOS implementation | |
| EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
| US20150302409A1 (en) | System and method for location-based financial transaction authentication | |
| US10366250B1 (en) | Systems and methods for protecting personally identifiable information during electronic data exchanges | |
| US20120239928A1 (en) | Online Security Systems and Methods | |
| CN113545000B (zh) | 交付时交互的分散式处理 | |
| US20200342459A1 (en) | Trusted customer identity systems and methods | |
| EP2747363A1 (en) | Transaction validation method using a communications device | |
| CN112074835A (zh) | 执行安全操作的技术 | |
| KR101936941B1 (ko) | 생체인증을 이용한 전자결재 시스템, 방법 및 프로그램 | |
| US12003495B2 (en) | Decentralized processing of interactions on delivery | |
| CA3218986A1 (en) | A system and method for facilitating rule-based partially online and offline payment transactions | |
| CN117396866A (zh) | 授权交易托管服务 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |