CN116471017A - 使用验证值进行域验证 - Google Patents
使用验证值进行域验证 Download PDFInfo
- Publication number
- CN116471017A CN116471017A CN202310072536.3A CN202310072536A CN116471017A CN 116471017 A CN116471017 A CN 116471017A CN 202310072536 A CN202310072536 A CN 202310072536A CN 116471017 A CN116471017 A CN 116471017A
- Authority
- CN
- China
- Prior art keywords
- token
- resource provider
- processing system
- data
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 55
- 238000013475 authorization Methods 0.000 claims abstract description 86
- 230000002085 persistent effect Effects 0.000 claims abstract description 60
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000004044 response Effects 0.000 claims abstract description 44
- 238000010200 validation analysis Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 95
- 238000004891 communication Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 18
- 230000015654 memory Effects 0.000 description 17
- 230000003993 interaction Effects 0.000 description 15
- 238000012546 transfer Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000004913 activation Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- FMFKNGWZEQOWNK-UHFFFAOYSA-N 1-butoxypropan-2-yl 2-(2,4,5-trichlorophenoxy)propanoate Chemical compound CCCCOCC(C)OC(=O)C(C)OC1=CC(Cl)=C(Cl)C=C1Cl FMFKNGWZEQOWNK-UHFFFAOYSA-N 0.000 description 1
- 238000010923 batch production Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Abstract
公开了一种方法,所述方法包括从令牌请求者接收包括初始资源提供商标识符的令牌数据请求消息,以及使用所述初始资源提供商标识符确定永久性资源提供商标识符。所述方法还包括确定验证值,以及将所述永久性资源提供商标识符与令牌、所述验证值和域控制相关联。所述方法还包括:向令牌请求者提供包括验证值的令牌数据响应消息;接收包括令牌、验证值和多个数据字段中的一个或多个数据元素的授权请求消息;使用所述多个数据字段中的一个或多个数据元素确定永久性资源提供商标识符;以及确定授权请求消息中的验证值与提供给令牌请求者的验证值匹配,并且交易满足域控制。
Description
相关申请的交叉引用
无。
背景技术
访问交易,例如访问安全位置的交易、支付交易和获取安全数据的交易,可以利用令牌来保护诸如凭证的敏感信息。此类凭证可包括支付凭证、安全访问凭证等。
当使用令牌时,它可以包括在授权请求消息中,所述授权请求消息可以请求授权访问由资源提供商提供的特定资源。密码可以伴随令牌,并且密码可以对关于令牌的使用的信息进行编码。例如,密码可以对关于令牌的使用可能是有效的特定时间段、令牌可以用于的特定资源提供商等的信息进行编码。因为密码可以对此类信息进行编码,所以它们可以是长的和/或具有不同的长度。因此,很难在特定长度的标准化数据字段中使用现有密码。因此,现有令牌及其相关联密码可能不适合在网站或应用程序的用户界面上的标准化数据字段中使用。
常规系统存在的另一问题是,它们必须经过专门编程,以便使用上述长密码或专用密码。因此,只有选定数量或类型的资源提供商可以使用长密码或专用密码,并获得其益处。
本公开的实施例单独地和共同地解决了此问题和其它问题。
发明内容
本发明的一个实施例包括一种方法。所述方法包括:在包括令牌服务计算机的处理系统处,从令牌请求者接收令牌数据请求消息,所述令牌数据请求消息包括与操作资源提供商计算机的资源提供商相关联的初始资源提供商标识符;由所述处理系统使用所述初始资源提供商标识符来确定永久性资源提供商标识符;响应于确定所述永久性资源提供商标识符,由所述处理系统确定验证值;由所述处理系统将所述永久性资源提供商标识符与令牌、所述验证值和与所述令牌相关联的域控制相关联;由所述处理系统向所述令牌请求者提供包括验证值的令牌数据响应消息;由所述处理系统接收用于交易的授权请求消息,所述授权请求消息包括所述令牌、所述验证值和多个数据字段中的一个或多个数据元素;由所述处理系统使用所述多个数据字段中的一个或多个数据元素确定所述永久性资源提供商标识符;由所述处理系统确定所述授权请求消息中的验证值与提供给所述令牌请求者的验证值匹配,并且所述交易满足所述域控制;以及由所述处理系统向所述资源提供商计算机传输授权响应消息。
本发明的另一实施例包括一种处理系统,包括:一个或多个处理器;和一个或多个非瞬态计算机可读介质,所述一个或多个非瞬态计算机可读介质包括代码,所述代码可由所述一个或多个处理器执行以实施包括以下各项的方法:从令牌请求者接收包括与资源提供商相关联的初始资源提供商标识符的令牌数据请求消息;使用所述初始资源提供商标识符确定永久性资源提供商标识符;响应于确定所述永久性资源提供商标识符,确定验证值;将所述永久性资源提供商标识符与令牌、所述验证值和与所述令牌相关联的域控制相关联;向所述令牌请求者提供包括验证值的令牌数据响应消息;接收用于交易的授权请求消息,所述授权请求消息包括所述令牌、所述验证值和多个数据字段中的一个或多个数据元素;使用所述多个数据字段中的一个或多个数据元素确定所述永久性资源提供商标识符;确定所述授权请求消息中的验证值与提供给所述令牌请求者的验证值匹配,并且所述交易满足所述域控制;以及向所述令牌请求者传输授权响应消息。
本发明的另一实施例包括一种方法。所述方法包括:由令牌请求者向包括令牌服务计算机的处理系统提供包括与资源提供商相关联的初始资源提供商标识符的令牌数据请求消息,其中,所述处理系统使用所述初始资源提供商标识符和验证值确定永久性资源提供商标识符,并将所述永久性资源提供商标识符与令牌、所述验证值和与所述令牌相关联的域控制相关联;由所述令牌请求者从所述处理系统接收到所述令牌请求者的包括所述验证值的令牌数据响应消息;以及由所述处理系统将所述令牌和所述验证值提供到与所述初始资源提供商标识符相关联的资源提供商计算机,其中,所述资源提供商计算机向所述处理系统传输用于交易的授权请求消息,所述授权请求消息包括所述令牌、所述验证值和多个数据字段中的一个或多个数据元素,其中,所述处理系统使用所述多个数据字段中的一个或多个数据元素确定所述永久性资源提供商标识符,确定所述授权请求消息中的验证值与提供给所述令牌请求者的验证值匹配,并且所述交易满足所述域控制。
下文进一步详细描述本发明的这些和其它实施例。
附图说明
图1示出根据实施例的系统的框图,其中流程图示出了正由令牌服务计2299031USCN
算机预配令牌。
图2示出根据实施例的系统的框图,其中流程图示出了令牌正与用户装置绑定。
图3示出根据实施例的系统的框图,以及提供交易中的验证值的处理流程。
图4示出示例性用户装置的框图。
图5示出示例性令牌服务计算机的框图。
图6示出示例性处理计算机的框图。
图7、8A、8B、9A和9B示出可用于本发明的实施例中的用户界面的示例性截屏。
具体实施方式
在论述本公开的实施例之前,可进一步详细描述一些术语。
“用户”可以包括个人。在一些实施例中,用户可以是持卡人、账户持有人或消费者。
“用户装置”可以是由用户操作的装置。用户装置的实例可以包括移动电话、智能手机、卡、个人数字助理(PDA)、膝上型计算机、台式计算机、服务器计算机、车辆(例如汽车)、精简客户端装置、平板式PC,等等。此外,用户装置可以是任何类型的可穿戴技术装置,例如手表、耳机、眼镜等。用户装置可包括能够处理用户输入的一个或多个处理器。用户装置还可包括用于接收用户输入的一个或多个输入传感器。如本领域中已知的,存在能够检测用户输入的多种输入传感器,例如加速度计、相机、麦克风等。由输入传感器获得的用户输入可以来自多种数据输入类型,包括但不限于音频数据、视觉数据或生物特征数据。用户装置可以包括用户可以操作的任何电子装置,所述电子装置还可以提供与网络的远程通信能力。远程通信能力的实例包括使用移动电话(无线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi-Fi、Wi-Max,或者可以提供对网络(例如互联网或专用网络)的访问的任何其它通信介质。
“交互”可以包括互惠作用或影响。“交互”可以包括各方、各装置和/或各实体之间的通信、联系或交换。示例交互包括两方之间的交易和两个装置之间的数据交换。在一些实施例中,交互可以包括用户请求访问安全数据、安全网页、安全位置等。在其它实施例中,交互可以包括支付交易,在所述支付交易中,两个装置可以交互以促进支付。交互可以包括交易交互、数据传输交互、访问交互等。
“交互数据”可以包括与交互相关的数据和/或在交互期间记录的数据。交互数据可以包括金额、日期、时间、资源标识符、资源提供商标识符、用户标识符、凭证和/或与用户和资源提供商之间的交互有关的额外数据。
“资源提供商”可以是可以提供例如商品、服务、信息和/或访问等资源的实体。资源提供商的实例包括商家、数据提供商、交通部门、政府实体、场地和住宅运营商等。“商家”通常可以是参与交易并可以出售商品或服务或提供对商品或服务的访问的实体。
“数字钱包”可以包括允许个人进行电子商务交易的电子装置。数字钱包可存储用户配置文件信息、支付凭证、银行账户信息、一个或多个数字钱包标识符等,并且可用在各种交易中,例如但不限于电子商务、社交网络、转账/个人支付、移动商务、近距离支付、游戏等,以用于零售购买、数字商品购买、公用事业支付、从游戏网站购买游戏或游戏点券、用户之间转移资金等。数字钱包可设计来简化购买和支付过程。数字钱包可以允许用户将一个或多个支付卡加载到数字钱包上,以便进行支付而无需输入账号或出示实体卡。数字钱包可以是转账应用程序。
“凭证”可以是充当价值、所有权、身份或权限的可靠证据的任何合适的信息。凭证可以是一串数字、字母或任何其它合适的字符,以及可充当确认的任何对象或文件。凭证的实例包括价值凭证、标识卡、认证文件、通行卡、密码和其它登录信息等。
“支付凭证”可包括与账户相关联的任何合适的信息(例如,与账户相关联的支付账户和/或支付装置)。此类信息可以与账户直接相关,或可以源自与账户相关的信息。账户信息的实例可包括PAN(主账号或“账号”)、用户名、到期日期以及验证值,例如CVV、dCVV、CVV2、dCVV2和CVC3值。
“令牌”可以是凭证的替代值。令牌可以是一串数字、字母或任何其它合适的字符。令牌的实例包括支付令牌、访问令牌、个人标识令牌等。
“支付令牌”可包括支付账户的标识符,它是主账号(PAN)等账户标识符的替代物。例如,支付令牌可包括可用作原始账户标识符的替代物的一系列字母数字字符。例如,令牌“4900 0000 0000 0001”可以用于代替PAN“4147 0900 0000 1234”。在一些实施例中,支付令牌可以是“保留格式的”,并且可以具有符合在现有交易处理网络中使用的账户标识符的数字格式(例如,ISO 8583金融交易消息格式)。在一些实施例中,支付令牌可以代替PAN用来发起、授权、结算或解决支付交易,或者表示在通常会提供原始凭证的其它系统中的原始凭证。在一些实施例中,可以生成支付令牌,使得原始PAN或其它账户标识符从令牌值的恢复可以不通过计算方式导出。另外,在一些实施例中,令牌格式可以被配置为允许接收令牌的实体将其标识为令牌并且识别发行令牌的实体。
“令牌参考标识符”可以包括可识别令牌但不是实际令牌本身的标识符。令牌参考标识符可用于识别特定令牌。例如,诸如4000 8198 8298 1132的令牌可以由诸如XP28278978的令牌参考标识符来表示。在本发明的实施例中,令牌参考标识符不能用于进行交易,但可以用作安全机制,以允许不同实体在不使用实际令牌的情况下针对账户采取动作。
“令牌化”是用替代数据替换数据的过程。例如,可以通过利用可以与支付账户标识符(例如,主要账户号码(PAN))相关联的替代号码(例如,令牌)替换主要账户标识符,来对该支付账户标识符进行令牌化。另外,令牌化可以应用于可以用替代值(即,令牌)替换的任何其它信息。令牌化提高了交易的效率和安全性。
“令牌请求者”可以是请求令牌或与令牌相关联的数据的任何合适的实体。令牌请求者可以是浏览器、操作资源提供商计算机的资源提供商、用户装置、操作浏览器的用户装置等。
“密码”可以包括一段隐晦的文本,例如加密的文本。密码可以通过用加密密钥(例如对称加密密钥)对输入数据进行加密来形成。在一些实施例中,密码可以是可逆的,使得可以使用相同的对称密钥来获得用于形成密码的输入以执行解密过程。在一些实施例中,如果输入数据是使用公钥/私钥对的私钥加密的,则密码也可以是数字签名。可以用公钥/私钥对的公钥来验证数字签名。在一些实施例中,密码可以包括动态卡验证值(dCVV)。
“授权请求消息”可以是请求对交易授权的消息。根据一些实施例,授权请求消息可以符合(国际标准组织)ISO 8583,这是用于交换与消费者使用支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以包括可与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括对应于“识别信息”的额外数据元素,包含(仅作为实例):服务代码、卡验证值(CVV)、动态卡验证值(dCVV)、到期日期、PIN号等等。授权请求消息还可以包括“交易信息”,例如与当前交易相关联的任何信息(例如,交易金额、商家标识符、商家位置等),以及可用于确定是否标识和/或授权交易的任何其它信息。
“授权响应消息”可以是对授权请求消息的消息应答。仅举例来说,授权响应消息可以包括以下状态指示符中的一个或多个:批准-交易被批准;拒绝-交易未被批准;或呼叫中心-响应未决的更多信息,商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码,其可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或通过支付处理网络)返回给商家的访问装置(例如,POS设备)的指示交易被批准的代码。代码可以用作授权的证据。如上所述,在一些实施例中,支付处理网络可向商家生成或转发授权响应消息。
“授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文件存储库、访问管理员等。
“预配”可以包括提供数据以供使用的过程。例如,预配可以包括在通信装置上提供、递交或者启用令牌。可以由交易系统内或者交易系统外的实体完成预配。例如,在一些实施例中,可以由发行方或者交易处理网络将令牌预配到移动装置上。预配的令牌可以具有存储并保持在令牌库或者令牌注册档内的对应令牌数据。在一些实施例中,令牌库或者令牌注册档可以生成之后可以被预配或者递交给装置的令牌。在一些实施例中,发行方可以指定令牌范围,令牌生成和预配可以从所述令牌范围发生。此外,在一些实施例中,发行方可以生成令牌值并将其通知给令牌库,并提供令牌记录信息(例如,令牌属性)以供存储到所述令牌库当中。
术语“验证”及其派生词可以指利用信息来确定潜在的主体在一组给定的情况下是否有效的过程。验证可包括任何信息比较以确保某些数据或信息是正确的、有效的、准确的、合法的和/或信誉良好的。
“验证值”可以是可用于验证某物的值。在一些实施例中,验证值可以呈密码的形式。在其它实施例中,验证值可以是不是加密值的随机或预分配值。在一些实施例中,验证值具有比常规TAVV(令牌认证验证值)更少的数字,并且可以仅具有三位数字。
“处理器”可以包括处理某事的装置。在一些实施例中,处理器可以包括任何合适的一个或多个数据计算装置。处理器可以包括一起工作以实现期望的功能的一个或多个微处理器。处理器可以包括CPU,所述CPU包括至少一个高速数据处理器,所述高速数据处理器足以执行用于执行用户和/或系统生成的请求的程序成分。CPU可以是微处理器,例如AMD的Athlon、Duron和/或Opteron;IBM和/或Motorola的PowerPC;IBM和Sony的Cell处理器;Intel的Celeron、Itanium、Pentium、Xeon和/或XScale;和/或类似的处理器。
“存储器”可以是可存储电子数据的任何合适的装置。合适的存储器可包括非瞬态计算机可读介质,其存储可由处理器执行以实施所要方法的指令。存储器的示例可以包括一个或多个存储器芯片、磁盘驱动器等。此类存储器可以使用任何合适的电、光和/或磁操作模式来操作。
“服务器计算机”可以包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群,或者像单元一样工作的一组服务器。在一个示例中,服务器计算机可以是耦合到Web服务器的数据库服务器。服务器计算机可以包括一个或多个计算设备,并且可以使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。
图1示出根据本发明的实施例的系统以及令牌预配过程。所述系统包括与令牌服务计算机106通信的令牌请求者104。令牌请求者104可以是存在于用户装置(未示出)上的浏览器。令牌服务计算机106可以与授权实体计算机108通信。授权实体计算机108可以由诸如发行方的授权实体操作。用户102可以与令牌请求者104交互。
为了简化说明,在图1(以及图2-3)中示出了一定数量的部件。然而,应当理解,本发明的实施例可以包括多于一个每种部件。此外,本发明的一些实施例可以包括比图1(以及图2-3)中所示的所有部件更少或更多的部件。
至少图1(以及图2-3)中的系统的装置之间的消息可以使用安全通信协议来发送,所述安全通信协议例如但不限于:文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、SSL、ISO(例如,ISO 8583)等。通信网络可以包括以下中的任一个和/或组合:直接互连;互联网;局域网(LAN);城域网(MAN);作为互联网上节点的运行任务(OMNI);安全定制连接;广域网(WAN);无线网络(例如,采用例如但不限于无线应用协议(WAP)、I-模式等等的协议);等等。通信网络可以使用任何合适的通信协议以生成一个或多个安全通信信道。在一些实例中,通信信道可以包括安全通信信道,安全通信信道可以任何已知方式建立,例如通过使用相互认证和会话密钥,以及建立安全套接层(SSL)会话。
在步骤S110中,用户102可以将凭证(例如,主账号)添加到令牌请求者104,如上所述,所述令牌请求者可以是由用户102操作的用户装置上的浏览器。令牌请求者104可以在用户向其添加凭证之后保存凭证。当用户102正在与由诸如商家的资源提供商操作的资源提供商计算机(未示出)上的主机站点(例如,网站)(未示出)进行交易时,可以执行该动作。令牌请求者104可以是浏览器,其在用户已选择在网站上购买多个商品之后,在商家网站上显示结账页面。
在步骤S112中,在保存凭证之后,令牌请求者104将令牌预配请求发送至令牌服务计算机106。令牌预配请求请求将令牌提供至令牌请求者104。令牌预配请求可包括保存到令牌请求者104的凭证。令牌预配请求可以由与令牌请求者104相关联的后端服务器在批处理过程中或单独地发送。
在步骤S114中,在接收到令牌预配请求之后,令牌服务计算机106将令牌激活请求发送至授权实体计算机108。授权实体计算机108可以使用任何合适的标准来确定是否预配令牌。例如,授权实体计算机108可以确定凭证是否与信誉良好和/或在其他方面没有潜在欺诈活动的账户相关联。
在步骤S116中,在验证成功时,授权实体计算机108向令牌服务计算机106发送令牌激活响应。令牌激活响应可以包括指示授权实体批准或不批准预配请求的指示器。
在从授权实体计算机108接收到令牌激活响应之后,令牌服务计算机106可以确定令牌。可以通过基于预定数据输入(例如,凭证、动态数据,例如计数器、授权实体加密密钥等)生成令牌来确定令牌。在其它实施例中,令牌可以从令牌服务计算机106或授权实体计算机108先前创建的预先存在的令牌池获得。
在一些实施例中,令牌服务计算机106可以结合所确定的令牌创建令牌参考标识符。令牌可以由令牌服务计算机106存储以用于稍后检索。然后可以将令牌参考标识符而不是实际令牌发送到令牌请求者104。尽管令牌参考标识符被发送至令牌请求者104,但此过程仍可被称为“将令牌预配”到令牌请求者104。这是因为令牌请求者104可以使用令牌进行未来交互,即使其通过使用令牌参考标识符进行交互。
在步骤S118中,令牌服务计算机106在有效的令牌激活响应时,将令牌(或令牌参考标识符)预配到令牌请求者104,然后该令牌请求者可以存储令牌(或令牌参考标识符)。
在步骤S120中,将正在预配令牌的通知发送至授权实体计算机108。
图2示出用于将用户装置与特定令牌或令牌参考标识符绑定的系统和方法。类似于图1,图2中的系统示出用户102、令牌请求者104、令牌服务计算机106和授权实体计算机108。在此实例中,令牌请求者104可再次为由用户102操作的用户装置上的浏览器。
在步骤S210中,用户102可以向令牌请求者104提供用户102同意将先前预配的令牌与用户102当前正在使用的特定用户装置绑定的确认。在一些实施例中,可以隐含对将令牌与用户装置绑定的确认,并且当令牌请求者104在上文关于图1描述的过程中接收到令牌或令牌参考标识符时,可以发生所述确认。
在步骤S212中,在从用户102接收到将令牌与用户装置绑定的确认之后,令牌请求者104向令牌服务计算机106发送绑定请求。如果用户装置尚未在令牌服务计算机106中注册,则令牌请求者104可以向令牌服务计算机106发送注册用户装置的请求。注册请求可包括与用户装置相关联的诸如用户装置标识符(例如,电话号码、IMEI号码等)的装置数据,以及先前描述的令牌参考标识符或令牌。令牌服务计算机106可以通过将与关联令牌请求者104的用户装置相关联的接收到的装置数据(例如,装置ID)以及令牌参考标识符、令牌和与令牌和令牌参考标识符相关联的凭证一起存储在数据库中来注册用户装置。
在步骤S214中,在从令牌请求者104接收到绑定请求之后,令牌服务计算机106接着将绑定请求发送至授权实体计算机108。
在步骤S216中,在接收到绑定请求时,授权实体计算机108发送绑定响应,所述绑定响应具有将执行升级认证过程的指示。
在步骤S218中,在从授权实体计算机108接收到升级认证请求之后,令牌服务计算机106请求可由授权实体计算机108执行的认证方法的列表。此类认证方法可包括经由PIN(个人识别码)、口令、生物特征等进行认证。
在步骤S220中,在接收到对认证方法的列表的请求之后,授权实体计算机108将认证方法的列表发送至令牌服务提供商计算机106。
在步骤S222中,令牌服务计算机106将认证方法的列表发送至令牌请求者104。此列表接着被呈现给操作用户装置的用户102。
在步骤S226、S228和S230中,用户102选择认证方法,并且通过令牌请求者104和令牌服务计算机106将所选的认证方法提供给授权实体计算机108。
在步骤S232中,在接收到所选的认证方法之后,授权实体计算机108根据所选的认证方法认证用户102。
在步骤S234中,在成功地认证用户102之后,令牌服务计算机106将令牌和/或令牌参考标识符与用户装置绑定。
在步骤S236中,一旦将令牌和/或令牌参考标识符与用户装置绑定,就将成功绑定的通知发送至授权实体计算机108。
在步骤S238和S240中,成功绑定的通知从令牌系统计算机106发送至令牌请求者104,并且提供给用户102。
图3示出包括与令牌请求者104交互的用户102的系统。令牌请求者104可以是在用户装置上操作的浏览器。在一些实施例中,用户102可以使用浏览器访问由资源提供商计算机120(例如,商家计算机)操作的主机站点(例如,网站)。令牌请求者104可以与处理系统112通信,所述处理系统可以包括令牌服务计算机106和处理计算机110。处理系统112可以与授权实体计算机108以及传输计算机114通信。令牌请求者104可以与资源提供商计算机120通信,该资源提供商计算机又与传输计算机114通信。
处理计算机110可以执行诸如授权处理和结算处理的处理。处理计算机110可包括用以支持和递送授权服务、异常文件服务以及清算和结算服务的数据处理子系统、网络和操作。例如,处理计算机110可包括(例如,通过外部通信接口)耦合到网络接口的服务器,以及信息数据库。处理计算机110可表示交易处理网络。示例性交易处理网络可以包括VisaNetTM。例如VisaNetTM等交易处理网络能够处理信用卡交易、借记卡交易和其它类型的商业交易。具体地,VisaNetTM包括处理授权请求的VIP系统(Visa集成式支付系统),和执行清算和结算服务的Base II系统。处理计算机110可使用任何合适的有线或无线网络,包括互联网。
在步骤S312中,用户102可以与操作资源提供商计算机120的资源提供商的主机站点进行交易(例如,支付交易)。代替将凭证或令牌手动输入到令牌请求者104上的数据字段,用户102可以选择令牌请求者104上的自动表格填充特征。自动表格填充特征可以使用已由令牌请求者104保存或检索的数据自动地填充令牌请求者104上的数据字段。例如,令牌请求者104可以是浏览器,其可显示商家网站的结账页面。浏览器可以自动检测账号、到期日期和CVV2代码的支付信息数据字段,并且可以使用先前存储的数据自动填充这些支付信息数据字段中的一个或多个。
在一些实施例中,在使用保存的数据自动填充令牌请求者104中的数据字段之前,可能需要用户102向令牌请求者104认证自己。例如,如果令牌请求者102是浏览器,那么令牌请求者可能具有先前用浏览器存储的诸如PIN、口令或生物特征的认证数据。在使用存储的支付数据(例如,账号、令牌等)自动填充任何支付信息数据字段之前,可能需要用户102向浏览器提供正确的认证数据。
在步骤S314中,一旦令牌请求者104已经认证用户102,在一些实施例中,令牌请求者104向处理系统112中的令牌服务计算机106发送令牌数据请求消息,所述令牌数据请求消息包括初始资源提供商标识符,并且还包括令牌参考标识符或令牌以及任选地用户装置数据。初始资源提供商标识符可以与操作资源提供商计算机的资源提供商相关联。在一些实施例中,初始资源提供商标识符可以是商家URL,并且可以用来识别永久性资源提供商标识符。在此实例中,永久性资源提供商标识符可以是唯一地表示资源提供商的字符串。例如,永久性资源提供商标识符可以是商家标识符,例如“Macys12345”。令牌数据请求消息可以是对令牌数据的请求,以用令牌数据填充令牌请求者104中的数据字段。此类令牌数据可以包括验证值和令牌(如果令牌参考标识符是在令牌数据请求消息中发送的)并且可能包括令牌到期日期。
在令牌服务计算机106从令牌请求者104接收到令牌数据请求消息之后,令牌服务计算机106可以解析令牌数据请求消息中的数据。然后,令牌服务计算机106可以检查令牌数据请求消息中用于用户装置的装置数据(例如,用户装置标识符),以确定其是否与在先前用户装置绑定过程中获得的任何先前存储的装置数据匹配。如果用于执行交易的用户装置已被验证,则令牌服务计算机106可以确定对应于令牌数据请求消息中的令牌参考标识符的令牌(如果令牌参考标识符是在令牌数据请求消息中发送的)。
然后,令牌服务计算机106可以根据初始资源提供商标识符确定永久性资源提供商标识符。在一些实施例中,初始资源提供商标识符与永久性资源提供商标识符相同。在此实例中,令牌数据请求消息可以包含初始资源提供商标识符,例如“Macys1234”。在接收到令牌数据请求消息之后,令牌服务计算机106可以确定初始资源提供商标识符“Macys1234”与永久性资源提供商标识符相同。在其它实施例中,初始资源提供商标识符可以是诸如Macy’sTM的资源提供商的URL。URL可以链接到永久性资源提供商标识符,例如“Macys1234”。在又一实例中,初始资源提供商标识符可以是URL,例如“www.macys.com”。然而,此资源提供商可能先前未注册到令牌服务计算机106中。在这种情况下,令牌服务计算机106可以在其确定这是其首次从“www.macys.com”接收到交易之后生成永久性资源提供商标识符,例如“Macys1234”。
在一些实施例中,处理系统112可具有用数据填充的全球资源提供商库(例如,全球商家库),其可以将永久性资源提供商标识符(例如,永久性商家标识符)与诸如资源提供商URL(商家URL)的其它数据相关联。全球资源提供商库可以呈数据库的形式。在此实施例中,初始资源提供商标识符可以是商家URL,并且处理系统112可以使用全球商家库来定位对应于资源提供商URL的永久性资源提供商标识符。
令牌服务计算机106可以检查初始或永久性资源提供商标识符是否已链接到令牌,或者是否需要建立临时链接。在前一种情况下,令牌服务计算机可能由于先前与由永久性资源提供商标识符识别的资源提供商进行了交易而先前已链接了令牌、令牌参考标识符和永久性资源提供商标识符。在后一种情况下,令牌服务计算机106在初始或永久性资源提供商标识符与令牌之间没有任何链接。在此情况下,令牌服务计算机106在数据库中在令牌、令牌参考标识符和资源提供商标识符之间创建临时或永久链接。如果该链接是临时的,则其有效期可能长达24、48或72小时,并且在该时间段之后,可能会移除该临时链接。
令牌服务计算机106还可以生成令牌的验证值。验证值可针对当前交易生成,或者可从存储装置检索。验证值只能是三位数字,使得其可以适于结账页面上的常规CVV2值的预先存在的数据字段内。
附加数据可以被存储并与验证值相关联。例如,令牌服务计算机106可以将令牌的域限制存储在数据库中。例如,域限制可以是令牌可以仅与特定令牌请求者和/或与用户当前正在交互的特定资源提供商一起使用。如上所述,在常规系统中,此类数据可以嵌入密码中。然而,此类密码可以明显长于三位数字,因此本发明的实施例允许使用具有用于只能包含少数字符或数字的常规数据字段的数据字段的域限制验证值。
令牌服务计算机106可以在数据库中将永久性资源提供商标识符与令牌、令牌到期日期、与令牌相关联的凭证、验证值和与令牌相关联的域控制相关联。用于令牌的数据还可以包括其它信息,例如关于令牌和验证值的创建时间以及哪个实体提供域控制的时间和日期戳。
在步骤S316中,在令牌服务计算机106确定令牌和验证值之后,令牌服务计算机106可以生成包括至少验证值的令牌数据响应消息并将其传输到令牌请求者104。如果令牌参考标识符而不是令牌先前存储在令牌请求者处,令牌和令牌到期日期也可以包括在令牌数据响应消息中。在接收到令牌数据响应消息之后,令牌请求者104自动将验证值、令牌和令牌到期日期表格填充到上文关于步骤S312所述的数据字段中。
在用令牌和验证值填充令牌请求者104中的数据字段之后,在接收到令牌数据响应消息时,用户102可以确认用户希望继续交易。例如,用户102可以通过在资源提供商网站的结账页面上选择“提交”按钮来提供确认。
在步骤S318中,令牌请求者104可以将表格填充的主机站点页面传输至资源提供商计算机120。
在步骤S319中,资源提供商计算机120可以生成当前交易的授权请求消息,并且可以将其传输至传输计算机114。授权请求消息可以包括至少令牌、验证值、到期日期和/或一个或多个数据元素。如果该授权请求消息用于支付交易,则其还可包括交易金额。
一个或多个数据元素可用于识别操作资源提供商计算机120的资源提供商的永久性资源提供商标识符。例如,一个或多个数据元素可以包括初始资源提供商标识符、永久性资源提供商标识符,或可用于确定永久性资源提供商标识符的数据。例如,一个或多个数据元素可包括以下各项的任何单个元素或组合:商家ID、商家名称、商店ID、商店名称、商家街道地址、商家城市、商家州、商家邮政编码、商家国家代码、商家URL、经营(DBA)名称、商业法定名称、支付服务商名称、企业名称、商家类别代码和商家类别代码描述。在一个实例中,商家名称以及商家的城市和州可以在授权请求消息中。该信息可用于确定特定的永久性商家标识符。在另一实例中,一个或多个数据元素可以是在授权请求消息中的商家URL。此商家URL本身可以是资源提供商标识符的实例。
在步骤S319和S320中,授权请求消息由资源提供商计算机120向传输计算机114传输,并从传输计算机114向处理系统112的处理计算机110传输并由处理计算机接收。
在接收到授权请求消息时,处理计算机110与令牌服务计算机106通信,并在步骤S316中验证授权请求消息中的令牌与提供给或分配给令牌请求者104的令牌相同。在这方面,令牌服务计算机106和处理计算机110可以按交易、定期或按批交换数据。
一旦验证了授权请求消息中的令牌,处理计算机110或令牌服务计算机106还使用授权请求消息中的一个或多个数据元素确定或得出永久性资源提供商标识符。
在一些实施例中,由处理计算机110或令牌服务计算机106得出的永久性资源提供商标识符与令牌服务计算机106先前存储的永久性资源提供商标识符进行比较。如果匹配,则令牌服务计算机106可以执行下文所述的额外处理。
一旦令牌服务计算机106确定资源提供商标识符,令牌服务计算机106就可以确定授权请求信息中的验证值是否与令牌被发放给令牌请求者104时创建的验证值匹配。
令牌服务计算机106还可以确定是否存在与令牌相关联的任何域限制,并且可以针对这些限制评估交易特性。例如,与令牌和验证值相关联的域限制可以是只能与永久性资源提供商标识符先前识别的资源提供商一起使用的令牌。如果授权请求消息是从与先前识别的资源提供商不同的资源提供商发送的,那么处理计算机110可以拒绝该授权请求消息。
令牌服务计算机106还将令牌交换为与令牌相关联的真实凭证(例如,PAN)。然后,处理计算机110可以将授权请求消息修改为包括真实凭证而不是令牌。
在步骤S322中,在处理计算机110和令牌服务计算机106执行上述验证和校验过程之后,将具有真实凭证和可选地指示验证和校验过程的结果的数据的授权请求消息从处理系统112发送到授权实体计算机108。在接收到授权请求消息时,授权实体计算机108可批准或拒绝授权请求消息。接着,授权实体计算机108可以生成授权响应消息。
在步骤S324中,授权响应消息被发送回处理系统112。
在步骤S325中,在接收到授权响应消息时,处理计算机110确定是否在资源提供商与令牌之间建立永久链接。只有在永久链接尚不存在,验证值存在且有效并且来自授权实体计算机108的授权响应消息被批准的情况下,才能形成永久链接。如果满足以下所有条件,则在处理计算机110中的资源提供商标识符与令牌之间形成永久链接。源自该资源提供商的任何未来交易将由包括令牌服务计算机106和处理计算机110的处理系统112识别。
处理计算机110还可以与令牌服务计算机106通信以获得用于凭证的令牌。授权响应消息接着可被修改为包括令牌而不是凭证。
在步骤S326和步骤S327中,授权响应消息从处理系统112发送到传输计算机114,并从传输计算机114发送到资源提供商计算机120。在步骤S328中,资源提供商计算机120将交易结果提供至令牌请求者104。
在步骤S330中,将支付结果或授权响应消息的结果显示给用户102。
在稍晚日期或时间,可在由与资源提供商相关联的收单方操作的传输计算机114、网络处理计算机110和授权实体计算机108之间进行清算和结算过程。
图4示出根据实施例的用户装置400。用户装置400可包括耦合到系统存储器402的装置硬件404。用户装置400可以是移动装置、平板电脑、笔记本电脑,或具有装置硬件404以及系统存储器402的特征的任何电子装置。
装置硬件404可包括处理器406、天线416、输入元件410、用户接口408和输出元件412(所述输出元件可以是用户接口408的部分)。输入元件的实例可包括麦克风、小键盘、触摸屏、传感器等。输出元件的实例可包括扬声器、显示屏和触感装置。
天线416可包括可由用户装置400用以与其它装置通信和/或与诸如远程蜂窝或数据网络的外部网络连接的一个或多个RF收发器和/或连接器。所述天线还可被配置成通过短程通信介质(例如,使用蓝牙、Wi-Fi、红外、NFC等)与外部实体通信。用户接口408可包括输入和输出元件的任何组合,以允许用户与用户装置400交互并调用所述用户装置的功能。
系统存储器402可使用任何数目的非易失性存储器(例如,快闪存储器)和易失性存储器(例如,DRAM、SRAM)的任何组合,或任何其它非瞬态存储介质或其介质组合来实施。系统存储器402可存储可由处理器406执行以执行本文中所述的任何功能的计算机代码。例如,存储器402可以存储代码,所述代码可由处理器406执行以执行包括以下各项的方法,所述方法包括:由令牌请求者将包括与资源提供商相关联的初始资源提供商标识符的令牌数据请求消息提供至包括令牌服务计算机的处理系统,其中,处理系统使用初始资源提供商标识符和验证值确定永久性资源提供商标识符,并将永久性资源提供商标识符与令牌、验证值和与令牌相关联的域控制相关联;由令牌请求者从处理系统接收到令牌请求者的包括验证值的令牌数据响应消息;以及由处理系统将令牌和验证值提供至与初始资源提供商标识符相关联的资源提供商计算机,其中,资源提供商计算机向处理系统传输用于交易的授权请求消息,授权请求消息包括令牌、验证值和多个数据字段中的一个或多个数据元素,其中,处理系统使用多个数据字段中的一个或多个数据元素确定永久性资源提供商标识符,确定授权请求消息中的验证值与提供至令牌请求者的验证值匹配,并且交易满足域控制。
系统存储器402还可以存储交易发起模块402A、认证模块402B、数字钱包402C、浏览器402D和操作系统402E。交易发起模块402A可包括指令或代码,所述指令或代码发起和进行与诸如访问装置或资源提供商计算机的外部装置的交易。认证模块402B可包括可由处理器406执行以认证用户的代码。这可以使用用户机密(例如,口令、密码、图案)或用户生物特征(例如,面部识别、指纹)来执行。
系统存储器402还可在数字钱包402C中存储凭证和/或令牌。例如,数字钱包402C可以包含令牌或令牌参考标识符403以从诸如令牌服务计算机500的外部计算机获取真实令牌。
图5示出令牌服务计算机500。令牌服务计算机500包括处理器502以及耦合到处理器502的计算机可读介质504、数据库506和网络接口508。
计算机可读介质504可以包括令牌交换模块504A、验证模块504B、资源提供商标识符模块504C和验证值确定模块504D。
令牌交换模块504A可包括使处理器502预配并访问令牌的代码。例如,令牌交换模块504A可包含使处理器502预配支付令牌和/或使支付令牌与一组支付凭证相关联的逻辑。令牌记录可接着存储在令牌记录数据库中,从而指示支付令牌与某一组支付凭证相关联。
验证模块504B可包括使处理器502在提供支付令牌之前验证令牌请求的代码。例如,验证模块504B可包含使处理器502通过确认支付凭证是真实的并且与请求装置相关联,并且通过评估与请求相关联的风险来确认令牌数据请求消息是真实的。如果支付凭证,例如商家信息,未被令牌服务计算机识别并被视为有风险,则验证模块504B可以拒绝令牌请求。
资源提供商标识符模块504C可包括使用初始资源提供商标识符查找资源提供商标识符的代码。在一些实施例中,资源提供商标识符模块504C和处理器502搜索数据库506(其可具有全球商家存储库),以确定永久性资源提供商标识符。在其它实施例中,资源提供商标识符模块504C和处理器502可以在接收到初始资源提供商标识符之后生成永久性资源提供商标识符。在又一些其它实施例中,资源提供商标识符模块504C和处理器502可以确定初始资源提供商标识符是永久性资源提供商标识符。
验证值确定模块504D结合处理器502可以确定验证值。验证值可以是随机数或密码或派生数。在一些实施例中,可以生成验证值,并且在其它实施例中,验证值可以从验证值池中选择。
数据库506可存储令牌和其相关联凭证。数据库506还可以存储初始和永久性资源提供商标识符、域限制、时间戳、用户装置数据以及与令牌相关联的其它信息。
图6示出根据实施例的处理计算机600的框图。处理计算机600可包括处理器602,所述处理器可耦合到计算机可读介质604、数据存储装置606和网络接口608。
计算机可读介质604可包括若干个软件模块,包括授权处理模块604A、结算模块604B和通信模块604C。
授权处理模块604A可包括代码,所述代码可使处理器602评估用于交易的授权请求消息并且确定交易是否应被授权。授权处理模块604A还可包括代码,所述代码用于在授权请求和响应消息在诸如授权实体计算机(例如,发行方计算机)和传输计算机(例如,收单方计算机)的各方之间通过时路由或修改授权请求和响应消息。
结算模块604B可包括使处理器602清算和结算各个实体之间的交易的代码。
通信模块604C可包括使处理器602生成消息、转发消息、重新格式化消息和/或以其它方式与其它实体(例如,与令牌服务计算机)进行通信的代码。
图7示出结账页面700,其中用户或浏览器已经将联系信息和配送信息输入到结账页面700中。在点击支付方法部分702的数据字段中的一个后,用户装置能够自动提供若干账户的列表。
在选择账户704时,向用户呈现如图8A中所示的用户界面。图8A示出具有CVV2数据字段803的页面。代替将CVV2值手动输入到CVV2数据字段803中,可以向用户显示图8B中的页面,其中可以请求用户提供认证数据,例如指纹。
图9A示出通知用户正在使用虚拟号码而不是真实账号进行交易的页面。在点击继续按钮902后,向用户呈现如图9B中所示的填充的结账页面。在结账页面中,用令牌详细信息填充卡号、到期日期和安全代码。卡号906被令牌号替换,到期日期908被令牌到期日期替换,安全代码910被验证值(如上文所描述)替换。
在点击结账页面的继续按钮912后,交易继续,并且如上所述,可以由2299031USCN
资源提供商计算机生成授权请求消息。
本发明的实施例具有许多优点。本发明的实施例可以对令牌执行域限制,即便资源提供商先前可能未向令牌服务提供商注册过。此外,资源提供商不需要以特殊方式对其资源提供商计算机进行编程以获得域限制的益处。资源提供商主机站点可以使用常规数据字段来接收数据,同时仍获得域限制和令牌安全的益处。再者,本发明的实施例可以允许许多不同的商家链接到同一凭证或令牌,因此不需要为每个资源提供商发布资源提供商特定的令牌。
本申请中描述的任何软件部件或功能可实施为软件代码,该软件代码由处理器使用诸如Java、C、C++、C#、Objective-C、Swift的任何合适的计算机语言或诸如Perl或Python的脚本语言,使用例如常规的或面向对象的技术执行。所述软件代码可以作为一系列指令或命令存储在计算机可读介质上以供存储和/或发送,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、磁性介质(例如硬盘驱动器或软盘),或者光学介质(例如光盘(CD)或数字通用光盘(DVD))、闪存存储器,等等。计算机可读介质可以是此类存储装置或发送装置的任何组合。
此类程序还可以使用适合于经由包括互联网的符合多种协议的有线网络、光学网络和/或无线网络进行传输的载波信号来编码和传输。因此,根据本发明的一个实施例的计算机可读介质可以使用以此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可以与兼容装置一起封装或者与其它装置分开提供(例如,经由互联网下载)。任何此类计算机可读介质可以驻存在单个计算机产品(例如,硬盘驱动器,CD或整个计算机系统)之上或其内部,并且可以存在于系统或网络内的不同计算机产品上或其内部。计算机系统可以包括监视器、打印机,或者用于向用户提供本文所提及的任何结果的其它合适的显示器。
以上描述是说明性的而不是限制性的。在阅读了本公开之后,本发明的许多变型形式对于本领域的技术人员将变得显而易见。因此,本发明的范围不应当参考上面的描述来确定,而是应当参考未决的权利要求连同其完整范围或等同物来确定。
在不脱离本发明的范围的情况下,来自任何实施例的一个或多个特征可与任何其它实施例的一个或多个特征组合。
如本文所使用,除非明确指示为相反情况,否则“一(a)”、“一(an)”或“所述”的使用意图表示“至少一个”。
Claims (20)
1.一种方法,包括:
在包括令牌服务计算机的处理系统处从令牌请求者接收令牌数据请求消息,所述令牌数据请求消息包括与操作资源提供商计算机的资源提供商相关联的初始资源提供商标识符;
由所述处理系统使用所述初始资源提供商标识符来确定永久性资源提供商标识符;
响应于确定所述永久性资源提供商标识符,由所述处理系统确定验证值;
由所述处理系统将所述永久性资源提供商标识符与令牌、所述验证值和与所述令牌相关联的域控制相关联;
由所述处理系统向所述令牌请求者提供包括所述验证值的令牌数据响应消息;
由所述处理系统接收用于交易的授权请求消息,所述授权请求消息包括所述令牌、所述验证值和多个数据字段中的一个或多个数据元素;
由所述处理系统使用所述多个数据字段中的一个或多个数据元素确定所述永久性资源提供商标识符;
由所述处理系统确定所述授权请求消息中的验证值与提供给所述令牌请求者的验证值匹配,以及所述交易满足所述域控制;以及
由所述处理系统向所述资源提供商计算机传输授权响应消息。
2.根据权利要求1所述的方法,其中所述初始资源提供商标识符是资源提供商URL。
3.根据权利要求1所述的方法,其中所述初始资源提供商标识符也是所述永久性资源提供商标识符。
4.根据权利要求1所述的方法,其中所述令牌请求者是用户装置上的浏览器。
5.根据权利要求1所述的方法,其中所述令牌数据请求消息还包括所述令牌。
6.根据权利要求1所述的方法,其中所述验证值恰好是三位数字。
7.根据权利要求1所述的方法,还包括:
在由所述处理系统接收到所述授权请求消息之前,由所述处理系统临时链接所述永久性资源提供商标识符、所述初始资源提供商标识符和所述令牌;以及
在所述授权响应消息被传输之后,由所述处理系统永久地链接所述永久性资源提供商标识符、所述初始资源提供商标识符和所述令牌。
8.根据权利要求1所述的方法,其中所述令牌数据请求消息包括与所述令牌相关联的令牌参考标识符,并且所述令牌数据响应消息包括所述令牌。
9.根据权利要求1所述的方法,包括:
将所述授权请求消息传输到授权实体计算机以进行授权。
10.根据权利要求9所述的方法,其中所述授权实体计算机在接收到所述授权请求消息之后生成所述授权响应消息,并且其中所述方法还包括:
由所述处理系统从所述授权实体计算机接收所述授权响应消息;以及
由所述处理系统将所述授权响应消息传输到所述令牌请求者。
11.根据权利要求1所述的方法,其中所述令牌请求者是与由所述资源提供商操作的资源提供商计算机上的主机站点交互的浏览器。
12.根据权利要求11所述的方法,其中所述浏览器显示多个固定大小的数据字段,并且其中所述验证值被自动填充到所述数据字段中的一个中。
13.根据权利要求1所述的方法,其中所述令牌请求者是用户装置上的浏览器,并且其中所述令牌数据请求消息还包括用于所述用户装置的用户装置标识符,并且其中所述处理系统在提供所述验证值之前验证所述用户装置标识符。
14.根据权利要求1所述的方法,其中所述验证值仅对一次交易有效。
15.一种处理系统,包括:
一个或多个处理器;以及
一个或多个非瞬态计算机可读介质,所述一个或多个非瞬态计算机可读介质包括代码,所述代码能由所述一个或多个处理器执行以实施包括以下各项的方法:
从令牌请求者接收包括与资源提供商相关联的初始资源提供商标识符的令牌数据请求消息;
使用所述初始资源提供商标识符确定永久性资源提供商标识符;
响应于确定所述永久性资源提供商标识符,确定验证值;
将所述永久性资源提供商标识符与令牌、所述验证值和与所述令牌相关联的域控制相关联;
向所述令牌请求者提供包括验证值的令牌数据响应消息;
接收用于交易的授权请求消息,所述授权请求消息包括所述令牌、所述验证值和多个数据字段中的一个或多个数据元素;
使用所述多个数据字段中的一个或多个数据元素确定所述永久性资源提供商标识符;
确定所述授权请求消息中的验证值与提供给所述令牌请求者的验证值匹配,以及所述交易满足所述域控制;以及
向所述令牌请求者传输授权响应消息。
16.根据权利要求15所述的处理系统,其中所述处理系统包括令牌服务计算机和处理计算机。
17.根据权利要求16所述的处理系统,其中所述初始资源提供商标识符是URL,并且所述一个或多个数据元素包括所述URL。
18.一种方法,包括:
由令牌请求者向包括令牌服务计算机的处理系统提供包括与资源提供商相关联的初始资源提供商标识符的令牌数据请求消息,其中,所述处理系统使用所述初始资源提供商标识符和验证值确定永久性资源提供商标识符,并且将所述永久性资源提供商标识符与令牌、所述验证值和与所述令牌相关联的域控制相关联;
由所述令牌请求者从所述处理系统接收至所述令牌请求者的包括所述验证值的令牌数据响应消息;以及
由所述处理系统将所述令牌和所述验证值提供到与所述初始资源提供商标识符相关联的资源提供商计算机,其中,所述资源提供商计算机向所述处理系统传输用于交易的授权请求消息,所述授权请求消息包括所述令牌、所述验证值和多个数据字段中的一个或多个数据元素,其中,所述处理系统使用所述多个数据字段中的一个或多个数据元素确定所述永久性资源提供商标识符,确定所述授权请求消息中的验证值与提供给所述令牌请求者的验证值匹配,以及所述交易满足所述域控制。
19.根据权利要求18所述的方法,其中所述令牌请求者是用户装置上的浏览器。
20.根据权利要求19所述的方法,其中所述用户装置是移动电话。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/580,563 US11973871B2 (en) | 2022-01-20 | Domain validations using verification values | |
| US17/580,563 | 2022-01-20 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116471017A true CN116471017A (zh) | 2023-07-21 |
Family
ID=87161312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310072536.3A Pending CN116471017A (zh) | 2022-01-20 | 2023-01-17 | 使用验证值进行域验证 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116471017A (zh) |
-
2023
- 2023-01-17 CN CN202310072536.3A patent/CN116471017A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230231717A1 (en) | 2023-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11398910B2 (en) | Token provisioning utilizing a secure authentication system | |
| CN109328445B (zh) | 唯一令牌认证验证值 | |
| US11256789B2 (en) | Recurring token transactions | |
| CN110036386B (zh) | 供应到应用程序的访问标识符 | |
| US20190356489A1 (en) | Method and system for access token processing | |
| CN112740207A (zh) | 用于令牌预配和处理的方法和系统 | |
| AU2022202138A1 (en) | Authenticating transactions using risk scores derived from detailed device information | |
| US10489565B2 (en) | Compromise alert and reissuance | |
| CN113015992B (zh) | 多个令牌的云令牌预配 | |
| EP4210274A1 (en) | Efficient token provisioning system and method | |
| CN110574032A (zh) | 生成访问凭证的系统和方法 | |
| US20240073022A1 (en) | Virtual access credential interaction system and method | |
| EP4191942A1 (en) | Token processing system and method | |
| US20240078304A1 (en) | Mobile user authentication system and method | |
| US20230298009A1 (en) | Rapid cryptocurrency transaction processing | |
| US11973871B2 (en) | Domain validations using verification values | |
| US20230231717A1 (en) | Domain validations using verification values | |
| US20210035107A1 (en) | Secure authentication system and method | |
| CN115280721A (zh) | 令牌换令牌预配 | |
| WO2023224735A1 (en) | Efficient and secure token provisioning | |
| CN114928448A (zh) | 交互账户令牌化系统和方法 | |
| CN114600142A (zh) | 组合令牌和值测评处理 | |
| CN117501263A (zh) | 用于集成身份提供商的方法和系统 | |
| CN114556866A (zh) | 使用机器可读码和安全远程交互的处理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |