CN117501263A - 用于集成身份提供商的方法和系统 - Google Patents

用于集成身份提供商的方法和系统 Download PDF

Info

Publication number
CN117501263A
CN117501263A CN202280043674.2A CN202280043674A CN117501263A CN 117501263 A CN117501263 A CN 117501263A CN 202280043674 A CN202280043674 A CN 202280043674A CN 117501263 A CN117501263 A CN 117501263A
Authority
CN
China
Prior art keywords
computer
identity data
mobile device
identity
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280043674.2A
Other languages
English (en)
Inventor
J·吉塔丽亚
M·康纳普斯
A·K·古普塔
C·H·W·陈
M·格匹纳塔梅农
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visa International Service Association
Original Assignee
Visa International Service Association
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visa International Service Association filed Critical Visa International Service Association
Publication of CN117501263A publication Critical patent/CN117501263A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种方法包括计算机从移动装置接收对进行交互的请求。所述计算机获得计算机地址并将所述计算机地址提供到所述移动装置。所述移动装置提供对所述计算机地址的访问请求,并且所述访问请求此后被路由到身份提供商计算机。所述身份提供商计算机标识与所述移动装置或所述移动装置的用户相关联的身份数据。所述计算机从所述身份提供商计算机获得所述身份数据或所述身份数据的衍生物。所述计算机确定所述身份数据或所述身份数据的所述衍生物是否与先前存储的身份数据或先前存储的身份数据衍生物匹配。如果确定匹配,则所述计算机将用户装置标识符列表提供到所述移动装置。

Description

用于集成身份提供商的方法和系统
相关申请交叉引用
本申请要求2021年6月22日提交的第63/213,644号美国临时申请的权益,所述美国临时申请出于所有目的以全文引用的方式并入本文中。
背景技术
在用户与资源提供商之间的交互期间,可以向用户呈现可供用于交互的用户装置标识符列表。为了获得用户装置标识符列表,远程计算机可以将小数据文件存储在用户的移动装置的浏览器中。远程计算机可以标识小数据文件,以根据(例如,经由API调用)来自移动装置的请求将用户装置标识符列表提供到移动装置。
然而,通过以这种方式获得用户装置,小数据文件可能被更改或删除,从而使得在一些情况下(例如,在移动装置具有有限连接性的情况下)更难或不可能获得用户装置标识符列表。此外,一些小数据文件可能是从互联网上的恶意方或其它网站获得的,因此隐私和欺诈方面的问题会变大。
另外,需要验证用户,因此需要额外的用户身份验证步骤(例如,生成和确认一次性密码、使用户使用用户名和密码登录等)。
本公开的实施例个别地和共同地解决了此问题和其它问题。
发明内容
一个实施例涉及一种方法,所述方法包括:在计算机处从移动装置接收对进行交互的请求;在接收到对进行所述交互的所述请求之后,由所述计算机获得计算机地址;由所述计算机将所述计算机地址提供到所述移动装置,其中所述移动装置提供对所述计算机地址的访问请求,所述访问请求此后被路由到身份提供商计算机,其中所述身份提供商计算机标识与所述移动装置或所述移动装置的用户相关联的身份数据;由所述计算机从所述身份提供商计算机获得所述身份数据或所述身份数据的衍生物;由所述计算机确定所述身份数据或所述身份数据的所述衍生物是否与先前存储的身份数据或先前存储的身份数据衍生物匹配;以及如果确定匹配,则由所述计算机将与所述身份数据或所述身份数据的所述衍生物相关联地存储的用户装置标识符列表提供到所述移动装置。
另一实施例涉及一种计算机,所述计算机包括:处理器;以及计算机可读介质,所述计算机可读介质耦合到所述处理器,所述计算机可读介质包括可由所述处理器执行以用于实施方法的代码,所述方法包括:从移动装置接收对进行交互的请求;在接收到对进行所述交互的所述请求之后,获得计算机地址;将所述计算机地址提供到所述移动装置,其中所述移动装置提供对所述计算机地址的访问请求,所述访问请求此后被路由到身份提供商计算机,其中所述身份提供商计算机标识与所述移动装置或所述移动装置的用户相关联的身份数据;从所述身份提供商计算机获得所述身份数据或所述身份数据的衍生物;确定所述身份数据或所述身份数据的所述衍生物是否匹配先前存储的身份数据或先前存储的身份数据衍生物;以及如果确定匹配,则将与所述身份数据或所述身份数据的所述衍生物相关联地存储的用户装置标识符列表提供到所述移动装置。
另一实施例涉及一种方法,所述方法包括:由服务提供商计算机在移动装置与资源提供商计算机之间的交互期间从安全远程计算机接收计算机地址请求消息;由所述服务提供商计算机生成计算机地址,其中所述计算机地址在被访问时将访问请求路由到所述服务提供商计算机;由所述服务提供商计算机获得使所述移动装置与所述计算机地址相关联的密钥;由所述服务提供商计算机生成包括所述计算机地址和所述密钥的计算机地址响应消息;以及由所述服务提供商计算机将所述计算机地址响应消息提供到所述安全远程计算机。
另一实施例可以包括被编程来执行上述方法的服务提供商计算机。
关于本公开的实施例的另外的细节可以在具体实施方式和附图中找到。
附图说明
图1示出根据实施例的身份验证系统的框图。
图2示出根据实施例的服务器计算机的组件的框图。
图3示出了示出根据实施例的方法的流程图。
图4示出根据实施例的方法的用户体验线框。
图5示出了示出根据实施例的用户验证方法的流程图。
图6示出根据实施例的用户验证方法的用户体验线框。
具体实施方式
在论述本公开的实施例之前,可以进一步详细地描述一些术语。
“通信装置”可包括可由用户操作的任何合适的电子装置,所述电子装置还可提供与网络的远程通信能力。
“移动装置”可以是能够被容易地运输的“通信装置”的示例。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如3G、4G或类似网络)、Wi-Fi、Wi-Max或可以提供对网络(例如互联网或私有网络)的访问的任何其它通信介质。移动通信装置的示例包括移动电话(例如,蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用读取器等。移动通信装置的其它示例包括可穿戴式装置(例如智能手表、健身手环、踝环、戒指、耳环等)以及具有远程通信能力的汽车。
“用户装置”可以是由用户操作的装置。用户装置的示例可以是支付装置。
“用户”可以包括个人。在一些实施例中,用户可与一个或多个个人账户和/或移动装置相关联。在一些实施例中,用户也可以被称为持卡人、账户持有人或消费者。
“支付装置”可以包括可用于执行例如向商家提供支付凭证的金融交易的任何合适的装置。支付装置可以是软件对象、硬件对象或物理对象。作为物理对象的示例,支付装置可以包括基板(例如纸卡或塑料卡),以及在对象的表面处或附近印刷、压花、编码或以其它方式包括的信息。硬件对象可以涉及电路系统(例如,永久电压值),而软件对象可涉及存储在装置上的非永久性数据。支付装置可与例如货币值、折扣或商店信用的值相关联,并且支付装置可以与例如银行、商家、支付处理网络或个人的实体相关联。合适的支付装置可以是手持式并且紧凑的,使得它们可以放到用户的钱包和/或口袋中(例如,口袋大小的)。示例性支付装置可以包括智能卡、磁条卡、钥匙链装置(例如可购自Exxon-Mobil公司的SpeedpassTM)等。支付装置的其它示例包括支付卡、智能媒介、应答器等。如果支付装置呈借记卡、信用卡或智能卡的形式,则支付装置还可以任选地具有例如磁条之类的特征。此类装置可在接触或非接触模式下操作。
“身份数据”可以包括表示某人或某物是谁或是什么的信息。身份数据可以包括姓名、电话号码、唯一标识符、电子邮件地址、令牌、生物特征数据和/或可用于标识用户或装置的任何其它数据。
“计算机地址”可以包括可由计算机访问的位置。计算机地址可以是网址,例如URL。
“URL”或“统一资源定位符”可以包括互联网上的资源的地址。URL可以标识网页上的资源,例如HTML页面、CSS文档、图像等。URL可以包括一个或多个部分。URL可以包括方案(例如,HTTP)、域名、端口、文件路径、参数和/或锚点。URL可以包括用于将装置引导到网页上的资源(例如,查询、片段等)的任何额外部分。
“凭证”可以是充当价值、所有权、身份或权限的可靠证据的任何合适的信息。凭证可为可被呈现或者含于能够充当确认的任何对象或文档当中的一串数字、字母或任何其它合适的字符。
“价值凭证”可以是与价值相关联的信息。价值凭证的示例包括支付凭证、优惠券标识符、获得促销优惠所需的信息等。
“令牌”可以是凭证的替代值。令牌可以是一串数字、字母或任何其他合适的字符。令牌的示例包括支付令牌、访问令牌、个人标识令牌等。
“支付令牌”可包括支付账户的标识符,其是诸如主账号(PAN)的账户标识符的替代物。例如,支付令牌可包括可用作原始账户标识符的替代物的一系列字母数字字符。例如,令牌“4900 0000 0000 0001”可以用于代替PAN“4147 0900 00001234”。在一些实施例中,支付令牌可以是“保留格式的”,并且可以具有符合在现有交易处理网络中使用的账户标识符的数字格式(例如,ISO 8583金融交易消息格式)。在一些实施例中,支付令牌可以代替PAN用来发起、授权、结算或解决支付交易,或者表示在通常会提供原始凭证的其他系统中的原始凭证。在一些实施例中,可以生成支付令牌,使得原始PAN或其他账户标识符从令牌值的恢复可以不通过计算方式导出。此外,在一些实施例中,令牌格式可被配置成允许接收令牌的实体将其标识为令牌并辨识发行令牌的实体。
“资源提供商”可以是可提供例如商品、服务、信息和/或访问之类的资源的实体。资源提供商的示例包括商家、数据提供商、运输代理、政府实体、场地和住宅运营商等。
“商家”通常可以是参与交易并且可出售商品或服务或提供对商品或服务的访问的实体。
“收单方”通常可以是与特定商家或其它实体具有业务关系的业务实体(例如,商业银行)。一些实体可执行发行方和收单方两者的功能。一些实施例可涵盖此类单个实体发行方-收单方。收单方可以操作收单方计算机,所述收单方计算机也可以被称为“传输计算机”。
“授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文档存储库、访问管理员,等等。
“发行方”通常可以指代维持用户的账户的商业实体(例如,银行)。发行方也可以向消费者发行存储在用户装置(例如蜂窝电话、智能卡、平板电脑或笔记本电脑)上的支付凭证。
“授权请求消息”可以是请求对交易的授权的电子消息。在一些实施例中,授权请求消息被发送给交易处理计算机和/或支付卡的发行方,以请求对交易授权。根据一些实施例的授权请求消息可符合ISO8583,这是针对交换与用户使用支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以包括可以与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括与“标识信息”对应的额外数据元素,仅举例来说,包括:服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、PAN(主账号或“账号”)、支付令牌、用户姓名、到期日期等等。授权请求消息还可包括“交易信息”,例如与当前交易相关联的任何信息,例如交易金额、商家标识符、商家位置、收单方银行标识号(BIN)、卡片接受器ID、标识所购买的项目的信息等,以及可用以确定是否标识和/或授权交易的任何其它信息。
“授权响应消息”可以是响应于授权请求的消息。在一些情况下,授权响应消息可以是由发行金融机构或交易处理计算机生成的对授权请求消息的电子消息应答。仅作为示例,授权响应消息可以包括以下状态指示符中的一个或多个:批准——交易被批准;拒绝——交易未被批准;或呼叫中心——响应未决的更多信息,商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码,所述授权代码可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或通过交易处理计算机)返回到商家的访问装置(例如,POS设备)的指示交易被批准的代码。所述代码可充当授权的证明。
“处理器”可以包括处理某事的装置。在一些实施例中,处理器可以包括任何合适的一个或多个数据计算装置。处理器可以包括一起工作以实现期望的功能的一个或多个微处理器。处理器可以包括CPU,所述CPU包括至少一个高速数据处理器,所述高速数据处理器足以执行用于执行用户和/或系统生成的请求的程序组件。CPU可以是微处理器,例如AMD的Athlon、Duron和/或Opteron;IBM和/或Motorola的PowerPC;IBM和Sony的Cell处理器;Intel的Celeron、Itanium、Pentium、Xeon和/或XScale;和/或类似的处理器。
“存储器”可以是能够存储电子数据的任何合适的一个或多个装置。合适的存储器可以包括非瞬态计算机可读介质,其存储可以由处理器执行以实施期望方法的指令。存储器的示例可以包括一个或多个存储器芯片、磁盘驱动器等。此类存储器可以使用任何合适的电、光和/或磁操作模式进行操作。
“服务器计算机”可以包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群,或者像单元一样工作的一组服务器。在一个示例中,服务器计算机可以是耦合到网页服务器的数据库服务器。服务器计算机可以包括一个或多个计算设备,并且可以使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。
本公开的实施例允许在交互期间基于用户和/或移动装置的身份数据来确定用户装置标识符列表并将其提供到用户操作的移动装置,而不需要使用小数据文件。
图1示出根据本公开的实施例的系统100。系统100包括移动装置102、安全远程计算机104、服务提供商计算机106、身份提供商计算机108、资源提供商计算机112、传输计算机114、网络处理计算机116和授权实体计算机118。
移动装置102可以与安全远程计算机104、服务提供商计算机106和资源提供商计算机112进行操作性通信。安全远程计算机104可以与移动装置102、资源提供商计算机112和服务提供商计算机106进行操作性通信。服务提供商计算机106可以与身份提供商计算机108进行操作性通信。资源提供商计算机112可以与传输计算机114进行操作性通信。传输计算机114可以与网络处理计算机116进行操作性通信,所述网络处理计算机可以与授权实体计算机118进行操作性通信。
为了说明简单起见,图1中展示了特定数目的组件。然而,应当理解,本发明的实施例可以包括多于一个每种组件。此外,本发明的一些实施例可以包括比图1中所示的所有部件更少或更多的组件。
系统100中的装置之间的消息可以使用安全通信协议来发送,所述安全通信协议例如但不限于文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、SSL、ISO(例如,ISO 8583)等。通信网络可以包括以下中的任一者和/或组合:直接互连;互联网;局域网(LAN);城域网(MAN);作为互联网上节点的运行任务(OMNI);安全定制连接;广域网(WAN);无线网络(例如采用例如但不限于无线应用协议(WAP)、I模式等等的协议);等等。通信网络可以使用任何合适的通信协议以生成一个或多个安全通信信道。在一些情况下,通信信道可以包括安全通信信道,安全通信信道可以任何已知方式来建立,例如通过使用相互认证和会话密钥,以及建立安全套接层(SSL)会话。
移动装置102可以包括可由用户四处移动的装置。作为示例,移动装置102可以是手持式且紧凑型的,使得其可以装入消费者的口袋(例如,口袋大小的)、背包、钱包等中。移动装置102可以包括蜂窝电话、钥匙链装置、个人数字助理(PDA)、寻呼机、笔记本、笔记本电脑、记事本、可穿戴式装置(例如,智能手表、健身腕带、珠宝等)、具有远程通信能力的汽车、个人计算机、支付卡(例如,智能卡、磁条卡等)等。移动装置102可以与消费者或用户相关联。在一些实施例中,移动装置102可以包括存储在移动装置102的存储器或安全元件中的移动应用程序(例如,支付应用程序、数字钱包应用程序等)。
安全远程计算机104可以包括远离移动装置102定位的安全计算机。安全远程计算机104可以确定与正在操作移动装置102的用户相关联的一个或多个用户装置。安全远程计算机104可以与服务提供商计算机106一起操作以获得移动装置的身份数据,以便确定一个或多个用户装置。
服务提供商计算机106可以包括提供身份服务的计算机。服务提供商计算机106可以向安全远程计算机104提供身份服务。服务提供商计算机106可以帮助安全远程计算机104从身份提供商计算机108获得身份数据,所述身份提供商计算机可以是多个身份提供商计算机中的一个身份提供商计算机。
在一些实施例中,服务器计算机可以包括安全远程计算机104和服务提供商计算机106作为服务器计算机的组件。
身份提供商计算机108可以包括维护身份的计算机。身份提供商计算机108可以存储与移动装置102的用户有关的身份数据。身份提供商计算机108可以根据请求将身份数据或其衍生物提供到服务提供商计算机106。身份提供商计算机108可以将与移动装置102或移动装置102的用户相关联的例如电话号码、用户地址等身份数据提供到服务提供商计算机106。在一些实施例中,身份提供商计算机108可以是维护移动装置102和多个其它移动装置的无线移动电话连接的无线载波计算机。身份提供商的其它示例包括金融机构、政府机构等。
资源提供商计算机112可以包括提供对一个或多个资源的访问的计算机。资源提供商计算机112可以被配置成接收并处理交互数据。交互数据可以从移动装置102或与移动装置102通信的访问装置(未示出)接收。资源提供商计算机112可以参与交互、售卖商品或服务,或向用户提供对商品或服务的访问。资源提供商计算机112可以接受呈多种形式的交互数据并且可以使用多种工具来进行不同类型的交互。
传输计算机114可以包括用于代表特定资源提供商或其它实体维护数据的实体(例如,银行)的系统。传输计算机114可以经由网络处理计算机116将资源提供商计算机112的授权请求消息路由到授权实体计算机118。在一些情况下,传输计算机114可以被称为收单方计算机。
网络处理计算机116可以包括数据处理子系统、有线或无线网络,包括互联网。网络处理计算机116的示例包括由运营的VisaNetTM。例如VisaNetTM等支付处理网络能够处理信用卡交易、借记卡交易和其它类型的商业交易。VisaNetTM具体包括处理授权请求的Visa集成支付(VIP)系统和执行清算和结算服务的Base II系统。网络处理计算机116可以是服务器计算机。在一些实施方案中,网络处理计算机116可以经由通信信道将从传输计算机114接收的授权请求转发到授权实体计算机118。网络处理计算机116还可以将从授权实体计算机118接收的授权响应消息转发到传输计算机114。
授权实体计算机118可以包括可能已经向移动装置102的用户发行账户和/或用户装置的计算机。授权实体计算机118可以被配置成使用在移动装置102上选择的用户装置授权或不授权移动装置102的用户与资源提供商计算机的资源提供商之间的交互。
图2示出根据实施例的服务器计算机200的框图。示例性服务器计算机200可以包括处理器204。处理器204可耦合到存储器202、网络接口206和计算机可读介质208。计算机可读介质208可以包括计算机地址模块208A和身份数据结果模块208B。
服务器计算机200可以包括安全远程计算机104。在一些实施例中,服务器计算机200可以包括安全远程计算机104和服务提供商计算机106两者。
存储器202可以用于存储数据和代码。存储器202可以在内部或在外部耦合到处理器204(例如基于云的数据存储装置),且可以包括例如RAM、DRAM、ROM、闪存或任何其它合适的存储器装置等易失性和/或非易失性存储器的任何组合。例如,存储器202可以存储密钥、身份数据、身份数据衍生物等。
计算机可读介质208可以包括可由处理器204执行以用于执行方法的代码,所述方法包括:在计算机处从移动装置接收对进行交互的请求;在接收到对进行交互的请求之后,由计算机获得计算机地址;由计算机将计算机地址提供到移动装置,其中移动装置提供对计算机地址的访问请求,其中所述访问请求此后被路由到身份提供商计算机,其中身份提供商计算机标识与移动装置或移动装置的用户相关联的身份数据;由计算机从身份提供商计算机获得身份数据或身份数据的衍生物;由计算机确定身份数据或身份数据的衍生物是否匹配先前存储的身份数据或先前存储的身份数据衍生物;以及如果确定匹配,则由计算机将与身份数据或身份数据的衍生物相关联地存储的用户装置标识符列表提供到移动装置。
计算机地址模块208A可以包括可由处理器204执行以用于获得计算机地址的代码或软件。计算机地址模块208A结合处理器204可以获得用于移动装置的唯一计算机地址。计算机地址可以被构造成将访问方(例如,移动装置)路由到网页上维护的资源。计算机地址模块208A结合处理器204可以生成计算机地址,例如URL。
在一些实施例中,如果安全远程计算机和服务提供商计算机可以包括在单个计算机内,则计算机地址模块208A结合处理器204可以生成或获得计算机地址。例如,计算机地址模块208A结合处理器204可以存储链接到网页上维护的资源的计算机地址。计算机地址模块208A结合处理器204可以确定链接到网页资源的所存储计算机地址,所述网页资源可以将数据路由到特定身份服务提供商。
在其它实施例中,计算机地址模块208A结合处理器204可以生成计算机地址请求消息。服务器计算机200可以是安全远程计算机104,可以将计算机地址请求消息提供到生成计算机地址的服务提供商计算机。计算机地址模块208A结合处理器204可以从服务提供商计算机接收计算机地址以及密钥(例如,关联密钥)。
身份数据结果模块208B可以包括可由处理器204执行以用于获得身份数据和/或其衍生物的代码或软件。身份数据结果模块208B结合处理器204可以生成包括密钥的身份数据结果请求消息。身份数据结果模块208B结合处理器204可以将身份数据结果请求消息提供到服务提供商计算机。身份数据结果模块208B结合处理器204可以接收包括身份数据或身份数据的衍生物的身份数据结果响应消息。
网络接口206可以包括可允许服务器计算机200与外部计算机进行通信的接口。网络接口206可以使得服务器计算机200能够将数据传送到另一装置(例如,移动装置102、服务提供商计算机106、身份提供商计算机108等)和从所述另一装置传送数据。网络接口206的一些示例可以包括调制解调器、物理网络接口(例如以太网卡或其它网络接口卡(NIC))、虚拟网络接口、通信端口、个人计算机存储卡国际协会(PCMCIA)插槽和卡等等。由网络接口206启用的无线协议可以包括Wi-FiTM。经由网络接口206传送的数据可以呈信号的形式,所述信号可以是电信号、电磁信号、光信号,或能够由外部通信接口接收的任何其它信号(统称为“电子信号”或“电子消息”)。可以包括数据或指令的这些电子消息可以经由通信路径或信道提供在网络接口206与其它装置之间。如上所述,可以使用任何合适的通信路径或信道,例如电线或电缆、光纤、电话线、蜂窝链路、射频(RF)链路、WAN或LAN网络、互联网,或任何其它合适的介质。
实施例可以使用本文中所描述的系统和设备来至少验证用户的身份数据。用户的身份数据可用于在交互期间确定与用户相关联的一个或多个用户装置,而不需要依赖于小数据文件。图3-6描述了此类方法的一些示例。
图3示出了示出根据实施例的方法的流程图。图3中所示的方法可以在例如支付交易的交互期间在身份验证系统中注册移动装置的身份数据(例如,电话号码)的上下文中描述。然而,应理解,本发明可以适用于其它情况。
在步骤302,移动装置102可以在移动装置102与资源提供商计算机(未示出)之间的交互期间将身份数据提供到安全远程计算机104。安全远程计算机104可以从移动装置102上的与网站交互的移动浏览器或应用程序接收用户提交的身份数据(例如,电话号码)。作为示例,在浏览器或应用程序中,移动装置102的用户可以选择将用户装置(例如,支付卡)添加到数字钱包的选项。用户将身份数据输入到移动浏览器或应用程序中,或者从移动装置102上的安全元件获得身份数据并将其输入到移动浏览器或应用程序中。
在步骤304,安全远程计算机104可以生成身份数据消息。身份数据消息可以包括从移动装置102获得的身份数据(例如,电话号码)。例如,安全远程计算机可以生成包括电话号码或移动站国际用户目录号码(MSISDN)的身份数据消息。另外,在一些实施例中,会话标识符可以由安全远程计算机104生成,且可以添加到身份数据消息,并且会话标识符可以包括在所有后续消息中,使得网络中的计算机可以使消息与特定交互相关联。
在步骤306,安全远程计算机104可以将身份数据消息发送到服务提供商计算机106。在一些实施例中,安全远程计算机104可以经由服务提供商计算机106的特定URL将身份数据消息发送到服务提供商计算机106。
在一些实施例中,服务提供商计算机106可以是用于来自安全远程计算机104的请求的聚合器,并且可以是通向许多不同身份提供商计算机(例如,其中的一个可以是身份提供商计算机108)的网关。然而,在一些实施例中,安全远程计算机104和服务提供商计算机106的功能可以包括在单个服务器计算机中。
在步骤308,在从安全远程计算机104接收到身份数据(例如,用户的电话号码)之后,服务提供商计算机106可以获得服务提供商计算机106的例如URL的计算机地址以及密钥。所述计算机地址可以是为移动装置102与服务提供商计算机106通信而唯一地生成的计算机地址。在一些实施例中,计算机地址可以利用扩展验证证书。在一些实施例中,所述密钥可以是可由系统中的计算机用于参看移动装置102的关联密钥。
在步骤310,服务提供商计算机106可以生成响应消息并将其提供到安全远程计算机104,所述响应消息包括服务提供商计算机106的计算机地址以及密钥。
在步骤312,在接收到响应消息之后,安全远程计算机104可以存储密钥,所述密钥可以稍后在参看同一移动装置102时用于通信。这些密钥可以与允许安全远程计算机104与移动装置102通信的数据(例如,电话的IP地址、会话ID等)一起存储。
在步骤314,安全远程计算机104可以将服务提供商计算机106的计算机地址提供到移动装置102。在一些实施例中,安全远程计算机104可以从移动装置102上的浏览器或应用程序调用计算机地址。
在步骤316,在接收到服务提供商计算机106的计算机地址之后,移动装置102上的移动浏览器或应用程序可以使用服务提供商计算机106的计算机地址将访问请求提供到服务提供商计算机106。例如,移动装置102可以将HTTPS GET消息发送到服务提供商计算机106的计算机地址以访问服务提供商计算机106。
在步骤318,服务提供商计算机106可以从移动装置102接收访问请求,并且可以确定访问请求应被路由到多个身份提供商计算机中的哪个身份提供商计算机108。在一些实施例中,访问请求可以包括标头数据(例如,HTTP标头中包括的数据)。服务提供商计算机106可以基于标头数据中包括的身份提供商计算机标识符来确定多个身份提供商计算机中的身份提供商计算机。身份提供商计算机标识符可以包括在标头数据中,由于移动装置102可以由身份提供商计算机108维护和/或发行,因此允许安装在移动装置102上的软件将身份提供商计算机108的标头数据插入到计算机地址访问请求中。
在步骤320,服务提供商计算机106可以将访问请求从移动装置102路由到适当的身份提供商计算机108。服务提供商计算机106可以使用标头数据中的身份提供商计算机标识符来标识身份提供商计算机108的计算机地址。在这方面,服务提供商计算机可以具有使身份提供商计算机标识符与身份提供商计算机地址相关的表。
然后,身份提供商计算机108可以确定由身份提供商计算机108存储在数据库中的与移动装置相关联的身份数据。例如,身份提供商计算机108可以访问将移动装置标识符(例如,移动装置公钥、SIM卡号、硬件标识符等)与移动装置身份数据相关联地存储的数据库。身份数据可以包括例如电话号码。在一些实施例中,用于标识身份数据的移动装置标识符可能已经在身份提供商计算机108和移动装置102彼此通信时由所述身份提供商计算机直接从所述移动装置检取。在其它实施例中,移动装置标识符可能已经在上文所描述的标头数据中被接收,或者也可能已经在上文所描述的访问请求中被接收。
一旦身份数据由身份提供商计算机108获得,所述身份提供商计算机就可以将身份数据提供到服务提供商计算机106。
在步骤322,在一些实施例中,在从身份提供商计算机108接收到身份数据之后,服务提供商计算机106可以确定身份数据的衍生物。例如,如果服务提供商计算机106从身份提供商计算机108接收电话号码,则服务提供商计算机106可以对电话号码进行散列(例如,使用散列算法,例如SHA-1)以确定身份数据的衍生物。服务提供商计算机106可以存储身份数据和/或身份数据的衍生物。
在步骤322,在从身份提供商计算机108接收到身份数据之后,在一些实施例中,服务提供商计算机106可以验证从身份提供商计算机108接收的身份数据(或其衍生物)与在步骤302-306期间从移动装置接收的身份数据相同。在一些实施例中,服务提供商计算机106可以存储身份数据或其衍生物。
在步骤324,在等待适当时间量之后或响应于来自服务提供商计算机106的已获得身份数据或其衍生物的通知,安全远程计算机104可以生成并提供包括密钥(例如,关联密钥)的身份数据结果请求消息。通过将密钥包括在身份数据结果请求消息中,安全远程计算机104可以请求在步骤302从其接收初始请求消息的同一移动装置102的身份数据。作为示例,安全远程计算机104可以将身份数据结果请求消息作为API调用提供到服务提供商计算机106。
在步骤326,在接收到身份数据结果请求消息之后,服务提供商计算机106可以确定与密钥相关联地存储在数据库中的身份数据或身份数据的衍生物。例如,安全远程计算机104可以在数据库中查找密钥以确定身份数据或身份数据的衍生物。
在步骤328,服务提供商计算机106可以响应于身份数据结果请求消息而生成身份数据结果响应消息并将其提供到安全远程计算机104,所述身份数据结果响应消息包括身份数据或身份数据的衍生物。
在步骤330,安全远程计算机104可以将注册选项发送到移动装置102。例如,注册选项可以是注册“记住我”服务的选项。然后,移动装置102的用户可以选择注册“记住我”服务的选项。例如,安全远程计算机104可以提示移动装置102的用户在身份数据存储和验证系统中注册。
在步骤332,移动装置102可以将用户对是否注册的选择提供到安全远程计算机104。在一些实施例中,如果用户决定不注册,则移动装置102可以不向安全远程计算机104发送注册响应消息。在这种情况下,安全远程计算机104可以在一段时间过去而没有接收到注册响应消息之后确定用户不打算注册。
在步骤334,在接收到用户对是否注册的选择之后,如果用户想要注册,则安全远程计算机104可以将移动电话身份数据或其衍生物连同标识用户的其它数据(例如,用户标识符)一起存储在用户数据库中(例如,目录中)。用户标识符可以是分配给用户的GUID(全局唯一标识符)。此外,安全远程计算机104可以将用户的用户装置与身份数据或其衍生物和GUID相关联地存储。
在一些实施例中,在步骤330,安全远程计算机104检取与所存储的移动电话号码或其衍生物相关联的用户装置标识符(例如,支付卡标识符)列表,并且此列表经由具有移动浏览器或应用程序的移动装置102呈现给用户。
用户可以通过选择用户装置标识符中的一个来使用移动装置102在资源提供商(例如,商家)处进行交易。交易可以是支付交易(例如,用于购买商品或服务)、访问交易(例如,用于访问交通系统)或任何其它合适的交易。用户可以例如在在线交易中以电子方式向资源提供商指示支付账户信息。
参考图1,为了授权交易,具有选定用户装置标识符的授权请求消息可以由资源提供商计算机112生成,然后被转发到传输计算机114(例如,由收单方操作)。在接收到授权请求消息之后,接着将授权请求消息发送到网络处理计算机116。然后,网络处理计算机116将授权请求消息转发到与用户的支付账户所关联的授权实体相关联的对应授权实体计算机118。
在授权实体计算机118接收到授权请求消息之后,授权实体计算机118将授权响应消息发送回网络处理计算机116以指示当前交易是否被授权(或未被授权)。然后,网络处理计算机116将授权响应消息转发回传输计算机114。在一些实施例中,即使授权实体计算机118已经对交易授权,网络处理计算机116也可以例如取决于欺诈风险得分的值而拒绝交易。然后,传输计算机114将响应消息发送回资源提供商计算机112。
在资源提供商计算机112接收到授权响应消息之后,资源提供商计算机112接着可以将授权响应消息提供到用户。例如,资源提供商计算机可以提供授权响应消息的网页或其它指示作为虚拟收据。收据可包括交易的交易数据。
在一天结束时,可以由网络处理计算机116进行常规的清算和结算过程。清算过程是在收单方与授权实体之间交换财务细节的过程,以便于过账到用户的支付账户,并核对用户的结算位置。
图4示出可以在上文关于图3所描述的方法中的一些步骤中使用的用户体验线框。图4示出线框402-410,其表示在参考图3所示的方法期间呈现给移动装置102的用户的用户体验。
线框402示出当用户选择对由资源提供商计算机维护的网页上的选定资源结账时呈现给用户的初始结账屏幕。向用户呈现以访客身份登录或结账的选项。如果用户选择以访客身份结账,则可以向用户呈现线框404。
线框404示出当移动装置的用户选择“以访客身份结账”或创建账户时呈现给用户的信息输入屏幕。用户可以将例如电子邮件地址、电话号码、名、姓、地址、城市、州、邮政编码等个人信息输入到移动装置中。
线框406示出在用户在线框404中所示的屏幕中输入个人信息之后呈现给用户的交互类型输入屏幕。用户可以选择交互类型(例如,信用交互、借记交互等)。用户还可以在用户装置中输入包括卡号、到期日期、代码验证值(CVV)和/或与用户装置有关的任何其它信息的信息。在选择“继续”后,可以将输入数据提供到安全远程计算机104。例如,安全远程计算机104可以从移动装置102上的移动浏览器或应用程序接收用户提交的身份数据(例如,电话号码),如参考图3中所示的步骤302所描述。
线框408示出注册选项屏幕,包括提供给移动装置的用户以进行注册的选项(例如,“在此装置上记住我……”)。注册选项屏幕可以在如图3中所示的步骤330之后在移动装置102上呈现给用户。用户可以选择用安全远程计算机104在身份数据存储和验证系统中注册。还可以向用户呈现继续交互的选项(例如,经由“下单”按钮)。
线框410示出交互确认屏幕,所述交互确认屏幕向移动装置的用户指示交互已经完成且由授权实体计算机授权。
图5示出了示出根据实施例的用户验证方法的流程图。图5中所示的方法将在交互期间验证移动装置的身份数据(例如,电话号码)的上下文中描述。然而,应理解,本发明可以适用于其它情况。
在步骤502之前,操作移动装置102的用户可以在移动装置102上在数字钱包中、在移动浏览器中或在应用程序中发起交互,以执行与资源提供商计算机的资源提供商的交互。
在步骤502,移动装置可以生成并提供对与与安全远程计算机104通信的资源提供商计算机(未示出)进行交互的请求。与图3中在步骤302处的注册过程期间不同,用户或移动装置102不需要在图5的步骤502中将身份数据提供到安全远程计算机104。
在接收到对进行交互的请求之后,安全远程计算机104或包括安全远程计算机104和服务提供商计算机106的功能的服务器计算机可以获得服务提供商计算机106的计算机地址。在步骤504-510中描述了获得服务提供商计算机106的计算机地址的一些示例步骤。
在步骤504,安全远程计算机104可以生成请求服务提供商计算机106的计算机地址的计算机地址请求消息,所述计算机地址请求消息最终将被提供到移动装置102。另外,在一些实施例中,会话标识符可以由安全远程计算机104生成,且可以添加到身份数据消息,并且会话标识符可以包括在所有后续消息中,使得网络中的计算机可以关联消息。
在步骤506(类似于图3中的步骤306),安全远程计算机104可以将计算机地址请求消息发送到服务提供商计算机106。安全远程计算机104可以经由服务提供商计算机106的特定URL将计算机地址请求消息提供到服务提供商计算机106。
在步骤508(类似于图3中的步骤308),在接收到计算机地址请求消息之后,服务提供商计算机106可以生成或获得用于移动装置102的计算机地址和密钥。计算机地址可以是针对服务提供商计算机106的,并且对于移动装置102是唯一的。在一些实施例中,计算机地址可以利用电子证书验证过程。所述密钥可以是用于参看移动装置102的关联密钥。
在步骤510(类似于图3中的步骤310),在获得计算机地址和密钥之后,服务提供商计算机106可以将计算机地址和密钥发送到安全远程计算机104。
在步骤512(类似于图3中的步骤512),在接收到计算机地址和密钥之后,安全远程计算机104可以将密钥存储在数据库中。安全远程计算机104可以将密钥与标识移动装置102与安全远程计算机104之间的通信信道的信息和/或标识移动装置102自身的信息相关联地存储。
在步骤514(类似于图3中的步骤314),安全远程计算机104可以将服务提供商计算机106的计算机地址提供到移动装置102。在一些实施例中,安全远程计算机104可以从安装在移动装置102上的浏览器和/或应用程序调用服务提供商计算机106的计算机地址。
在步骤516(类似于图3中的步骤316),移动装置102上的移动浏览器或应用程序可以提供对服务提供商计算机106的计算机地址的访问请求。在一些实施例中,访问请求可以是用以访问由计算机地址定位的网页资源的关于计算机地址的HTTP GET消息。计算机地址可以将移动装置102带到由服务提供商计算机106托管在网页上的由计算机地址标识的网页资源。
在步骤518(类似于图3中的步骤318),在从移动装置102接收到对访问计算机地址的访问请求之后,服务提供商计算机106可以从多个身份提供商计算机中确定身份提供商计算机108。服务提供商计算机106可以确定多个身份提供商计算机中的哪个身份提供商计算机维护与移动装置或移动装置的用户相关联的身份数据。
服务提供商计算机106可以从多个身份提供商计算机中确定身份提供商计算机108。如上文在图3中的步骤318中所解释,服务提供商计算机106可以从移动装置102接收访问请求,并且可以确定访问请求应被路由到多个身份提供商计算机中的哪个身份提供商计算机108。在一些实施例中,访问请求可以包括标头数据(例如,HTTP标头中包括的数据)。服务提供商计算机106可以基于标头数据中包括的身份提供商计算机标识符来确定多个身份提供商计算机中的身份提供商计算机。身份提供商计算机标识符可以包括在标头数据中,由于移动装置102可以由身份提供商计算机108维护和/或发行,因此允许安装在移动装置102上的软件将身份提供商计算机108的标头数据插入到计算机地址访问请求中。
在步骤520,服务提供商计算机106可以将访问请求路由到身份提供商计算机108,并且可以与身份提供商计算机108关于与移动装置或移动装置102的用户相关联的身份数据进行通信。例如,身份提供商计算机108可以是移动无线载波计算机。服务提供商计算机106可以将请求路由到移动无线载波计算机。移动无线载波计算机可以返回身份数据(例如,电话号码)或其衍生物(例如,电话号码的散列)。在一些实施例中,如果服务提供商计算机106从移动无线载波计算机接收移动电话号码,则服务提供商计算机106可以对电话号码进行散列。因此,服务提供商计算机106可以从身份数据确定身份数据的衍生物。在一些实施例中,身份数据的衍生物可以是从身份数据生成的身份数据令牌。关于步骤520的其它细节在上文图3中的步骤320中。
在一些实施例中,身份提供商计算机108可以基于用于连接到计算机地址且在访问网页资源时被包括的IP地址来确定身份数据。
在步骤522(类似于上文图3中的步骤322),在从服务提供商计算机106接收到身份数据之后,服务提供商计算机106可以将身份数据或身份数据的衍生物存储在数据库中。服务提供商计算机106可以将身份数据或身份数据的衍生物与密钥相关联地存储在数据库中。
在一些实施例中,将身份数据存储在数据库中可以是临时的,并且可以仅在当前交互的持续时间内存储。这样做有助于限制可能暴露身份数据的任何潜在数据泄露。
在步骤524(类似于上文图3中的步骤324),在将计算机地址提供到移动装置102之后的合适时间点,安全远程计算机104可以生成包括密钥的身份数据结果请求消息并将其提供到服务提供商计算机106。
在步骤526(类似于上文图3中的步骤326),在接收到身份数据结果请求消息之后,服务提供商计算机106可以在数据库中查找密钥,以确定与密钥相关联地存储的身份数据或身份数据的衍生物。
在步骤528(类似于上文图3中的步骤328),在接收到身份数据或身份数据的衍生物之后,服务提供商计算机106可以生成身份数据结果响应消息并将其提供到安全远程计算机。身份数据结果响应消息可以包括身份数据或身份数据的衍生物。
在步骤530(类似于上文图3中的步骤330),在接收到身份数据或身份数据的衍生物之后,安全远程计算机104可以确定身份数据或身份数据的衍生物是否匹配先前存储的身份数据或先前存储的身份数据衍生物(例如,在图3的步骤334在注册期间存储的)。如果确定匹配,则安全远程计算机104可以获得与身份数据或身份数据的衍生物相关联地存储在数据库中的用户装置标识符列表。
在步骤532(类似于上文图3中的步骤332),安全远程计算机检取与所存储移动电话号码或其衍生物相关联的用户装置标识符(例如,支付卡标识符)列表,并且此列表经由具有移动浏览器或应用程序的移动装置102呈现给用户。
参考图1,用户可以通过选择用户装置中的一个来进行交易而使用移动装置102在资源提供商(例如,商家)处进行交易。交易可以是支付交易(例如,用于购买商品或服务)、访问交易(例如,用于访问交通系统)或任何其它合适的交易。用户可以例如在在线交易中以电子方式向资源提供商指示支付账户信息。在一些情况下,移动装置102可以将例如用户装置令牌等账户标识符发送到资源提供商计算机。
为了授权交易,可以由资源提供商计算机112生成授权请求消息,然后将所述授权请求消息转发到(例如,由收单方操作的)传输计算机114。在接收到授权请求消息之后,接着将授权请求消息发送到网络处理计算机116。然后,网络处理计算机116将授权请求消息转发到与用户的支付账户所关联的授权实体相关联的对应授权实体计算机118。
在授权实体计算机118接收到授权请求消息之后,授权实体计算机118将授权响应消息发送回网络处理计算机116以指示当前交易是否被授权(或未被授权)。然后,网络处理计算机116将授权响应消息转发回传输计算机114。在一些实施例中,即使授权实体计算机118已经对交易授权,网络处理计算机116也可以例如取决于欺诈风险得分的值而拒绝交易。然后,传输计算机114将响应消息发送回资源提供商计算机112。
在资源提供商计算机112接收到授权响应消息之后,资源提供商计算机112接着可以将授权响应消息提供到用户。例如,资源提供商计算机可以提供授权响应消息的网页或其它指示作为虚拟收据。收据可包括交易的交易数据。
在一天结束时,可以由网络处理计算机116进行常规的清算和结算过程。清算过程是在收单方与授权实体之间交换财务细节的过程,以便于过账到用户的支付账户,并核对用户的结算位置。
图6示出根据实施例的用户验证方法的用户体验线框。图6示出线框602-608,其表示在参考图5所示的方法期间呈现给移动装置102的用户的用户体验。
线框602示出当用户选择对由资源提供商计算机维护的网页上的选定资源结账时呈现给用户的初始结账屏幕。向用户呈现以访客身份登录或结账的选项。如果用户决定登录,则可以向用户呈现线框604。例如,当用户选择登录时,移动装置可以将对进行交互的请求提供到安全远程计算机,所述安全远程计算机可以允许移动装置接收用户装置标识符列表,如图5中所示的方法所描述。
线框604示出呈现用户装置标识符列表的结账屏幕,移动装置的用户可以从所述用户装置标识符列表中进行选择。用户可以选择用户装置中的任一个,然后选择继续交互。例如,当用户选择用户装置标识符列表中的至少一个用户装置标识符时,移动装置可以继续进行与资源提供商计算机的交互。在选择继续交互的按钮之后,用户可以看到线框606。
线框606示出交互审核屏幕,其可以允许移动装置的用户在提交交互以供用授权实体计算机进行授权之前审核所述交互。当用户选择提交交互(例如,经由下单按钮)时,授权实体计算机可以确定是否授权交互,如本文中所描述。然后,可以根据授权确定的结果向用户呈现线框608。
线框608示出向用户指示交互是否由授权实体计算机授权的确认屏幕。
本发明的实施例具有若干优势。使用本发明的实施例,用户的移动装置确实需要在其上存储小数据文件,以便安全远程计算机记住用户。这是有用的,因为小数据文件可能被删除或更改,从而给用户造成访问问题。因此,实施例提供一种在交互期间实时获得用户身份数据而移动装置不需要存储信息以帮助验证身份数据的动态方法。
实施例提供了增加的隐私性,因为存储用户装置数据的安全远程计算机可以不接收身份数据,而是可以接收身份数据的衍生物。另外,由于移动装置的浏览器中没有存储小数据文件,从而减少了诚实方和恶意方两者对用户的跟踪,因此隐私性得以提高。
尽管以特定顺序示出或描述了上述流程图和过程流程中的步骤,但应理解,本发明的实施例可以包括具有呈不同顺序的步骤的方法。此外,可以省略或添加步骤,并且它们仍可以在本发明的实施例内。
本申请中所描述的任何软件组件或功能可被实施为由处理器使用例如Java、C、C++、C#、Objective-C、Swift的任何合适的计算机语言或例如Perl或Python的脚本语言使用例如常规的或面向对象的技术执行的软件代码。所述软件代码可以作为一系列指令或命令存储在计算机可读介质上以供存储和/或传输,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘等磁性介质,或者例如光盘(CD)或数字通用光盘(DVD)等光学介质、闪存存储器,等等。计算机可读介质可以是此类存储装置或传输装置的任何组合。
此类程序还可以使用适于经由包括互联网在内的符合多种协议的有线网络、光学网络和/或无线网络进行传输的载波信号来编码和发送。因而,根据本发明的实施例的计算机可读介质可以使用用此类程序编码的数据信号来创建。用程序代码编码的计算机可读介质可以与兼容装置一起封装或者与其它装置分开提供(例如经由互联网下载)。任何此类计算机可读介质可以驻留于单个计算机产品(例如硬盘驱动器、CD或整个计算机系统)上或内,且可存在于系统或网络内的不同计算机产品上或内。计算机系统可以包括监视器、打印机,或者用于向用户提供本文中所提及的任何结果的其它合适的显示器。
以上描述是说明性的而不是限制性的。在阅读了本公开之后,本发明的许多变型形式对于本领域的技术人员将变得显而易见。因此,本发明的范围不应参考以上描述来确定,而是应参考未决的权利要求连同其完整范围或等同物来确定。
在不脱离本发明的范围的情况下,任何实施例的一个或多个特征可以与任何其它实施例的一个或多个特征进行组合。
如本中文所使用,除非明确指示有相反的意思,否则使用“一个”、“一种”或“所述”旨在意指“至少一个/种”。

Claims (20)

1.一种方法,所述方法包括:
在计算机处从移动装置接收对进行交互的请求;
在接收到对进行所述交互的所述请求之后,由所述计算机获得计算机地址;
由所述计算机将所述计算机地址提供到所述移动装置,其中所述移动装置提供对所述计算机地址的访问请求,所述访问请求此后被路由到身份提供商计算机,其中所述身份提供商计算机标识与所述移动装置或所述移动装置的用户相关联的身份数据;
由所述计算机从所述身份提供商计算机获得所述身份数据或所述身份数据的衍生物;
由所述计算机确定所述身份数据或所述身份数据的所述衍生物是否与先前存储的身份数据或先前存储的身份数据的衍生物匹配;以及
如果确定匹配,则由所述计算机将与所述身份数据或所述身份数据的所述衍生物相关联地存储的用户装置标识符列表提供到所述移动装置。
2.根据权利要求1所述的方法,其特征在于,所述身份数据的所述衍生物是电话号码的散列,并且所述身份数据包括所述电话号码。
3.根据权利要求1所述的方法,其特征在于,所述计算机是安全远程计算机,其中获得所述计算机地址还包括:
由所述安全远程计算机生成计算机地址请求消息;
由所述安全远程计算机将所述计算机地址请求消息发送到服务提供商计算机,其中所述服务提供商计算机生成所述计算机地址;以及
由所述安全远程计算机接收包括所述计算机地址和密钥的计算机地址响应消息。
4.根据权利要求3所述的方法,其特征在于,获得所述身份数据或所述身份数据的所述衍生物还包括:
由所述安全远程计算机生成包括所述密钥的身份数据结果请求消息;
由所述安全远程计算机将所述身份数据结果请求消息提供到所述服务提供商计算机;以及
由所述安全远程计算机从所述服务提供商计算机接收包括所述身份数据或所述身份数据的所述衍生物的身份数据结果响应消息。
5.根据权利要求1所述的方法,其特征在于,所述交互涉及所述移动装置和资源提供商计算机,并且其中在将所述用户装置标识符列表提供到所述移动装置之后,所述移动装置的所述用户选择所述用户装置标识符列表中的用户装置标识符来进行所述交互,所述交互是交易。
6.根据权利要求1所述的方法,其特征在于,所述计算机是包括安全远程计算机和服务提供商计算机的服务器计算机,并且其中所述计算机地址是针对所述服务提供商计算机的,将所述移动装置路由到所述服务提供商计算机。
7.根据权利要求1所述的方法,其特征在于,所述计算机地址是URL。
8.根据权利要求1所述的方法,其特征在于,所述计算机从所述身份提供商计算机获得所述身份数据的所述衍生物。
9.根据权利要求1所述的方法,其特征在于,所述用户装置标识符列表包括用于与所述移动装置的所述用户相关联的用户装置的令牌。
10.一种计算机,所述计算机包括:
处理器;以及
计算机可读介质,所述计算机可读介质耦合到所述处理器,所述计算机可读介质包括能由所述处理器执行以用于实施方法的代码,所述方法包括:
从移动装置接收对进行交互的请求;
在接收到对进行所述交互的所述请求之后,获得计算机地址;
将所述计算机地址提供到所述移动装置,其中所述移动装置提供对所述计算机地址的访问请求,所述访问请求此后被路由到身份提供商计算机,其中所述身份提供商计算机标识与所述移动装置或所述移动装置的用户相关联的身份数据;
从所述身份提供商计算机获得所述身份数据或所述身份数据的衍生物;
确定所述身份数据或所述身份数据的所述衍生物是否匹配先前存储的身份数据或先前存储的身份数据衍生物;以及
如果确定匹配,则将与所述身份数据或所述身份数据的所述衍生物相关联地存储的用户装置标识符列表提供到所述移动装置。
11.根据权利要求10所述的计算机,其特征在于,所述方法还包括:
获得密钥,其中所述密钥是与所述移动装置相关联的关联密钥。
12.根据权利要求11所述的计算机,其特征在于,获得所述身份数据或所述身份数据的所述衍生物还包括:
使用所述关联密钥获得所述身份数据或所述身份数据的所述衍生物。
13.根据权利要求10所述的计算机,其特征在于,所述身份提供商计算机是多个不同身份提供商计算机中的一个身份提供商计算机。
14.根据权利要求13所述的计算机,其特征在于,所述身份提供商计算机是移动无线载波计算机。
15.根据权利要求10所述的计算机,其特征在于,所述用户装置标识符列表主账号。
16.根据权利要求10所述的方法,其特征在于,所述计算机是安全远程计算机。
17.根据权利要求10所述的方法,其特征在于,所述计算机是包括安全远程计算机和服务提供商计算机的服务器计算机。
18.一种方法,所述方法包括:
由服务提供商计算机在移动装置与资源提供商计算机之间的交互期间从安全远程计算机接收计算机地址请求消息;
由所述服务提供商计算机生成计算机地址,其中所述计算机地址在被访问时会访问请求路由到所述服务提供商计算机;
由所述服务提供商计算机获得使所述移动装置与所述计算机地址相关联的密钥;
由所述服务提供商计算机生成包括所述计算机地址和所述密钥的计算机地址响应消息;以及
由所述服务提供商计算机将所述计算机地址响应消息提供到所述安全远程计算机。
19.根据权利要求18所述的方法,还包括:
由所述服务提供商计算机经由所述计算机地址从所述移动装置接收所述访问请求,其中所述访问请求包括标头数据;
由所述服务提供商计算机基于所述标头数据中包括的身份提供商计算机标识符来确定多个身份提供商计算机中的身份提供商计算机;
由所述服务提供商计算机将所述访问请求从所述移动装置路由到所述身份提供商计算机,其中所述身份提供商计算机确定由所述身份提供商计算机存储在数据库中的与所述移动装置或所述移动装置的用户相关联的身份数据;以及
由所述服务提供商计算机从所述身份提供商计算机接收所述身份数据。
20.根据权利要求18所述的方法,还包括:
由所述服务提供商计算机接收包括所述密钥的身份数据结果请求消息;
由所述服务提供商计算机确定与所述密钥相关联地存储的身份数据;
由所述服务提供商计算机获得所述身份数据的衍生物;以及
由所述服务提供商计算机将包括所述身份数据的所述衍生物的身份数据结果响应消息提供到所述安全远程计算机。
CN202280043674.2A 2021-06-22 2022-06-22 用于集成身份提供商的方法和系统 Pending CN117501263A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202163213644P 2021-06-22 2021-06-22
US63/213,644 2021-06-22
PCT/US2022/034566 WO2022271856A1 (en) 2021-06-22 2022-06-22 Method and system for integrating identity provider

Publications (1)

Publication Number Publication Date
CN117501263A true CN117501263A (zh) 2024-02-02

Family

ID=84544778

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280043674.2A Pending CN117501263A (zh) 2021-06-22 2022-06-22 用于集成身份提供商的方法和系统

Country Status (4)

Country Link
US (1) US20240265087A1 (zh)
EP (1) EP4359971A1 (zh)
CN (1) CN117501263A (zh)
WO (1) WO2022271856A1 (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7014107B2 (en) * 2004-07-20 2006-03-21 Irek Singer Wireless payment processing system
US8996423B2 (en) * 2005-04-19 2015-03-31 Microsoft Corporation Authentication for a commercial transaction using a mobile module
US8201232B2 (en) * 2008-06-26 2012-06-12 Samsung Electronics Co., Ltd. Authentication, identity, and service management for computing and communication systems
US20170278095A1 (en) * 2016-03-28 2017-09-28 Microsoft Technology Licensing, Llc Mobile payment system and method
US10491389B2 (en) * 2017-07-14 2019-11-26 Visa International Service Association Token provisioning utilizing a secure authentication system
US11250414B2 (en) * 2019-08-02 2022-02-15 Omnyway, Inc. Cloud based system for engaging shoppers at or near physical stores

Also Published As

Publication number Publication date
WO2022271856A1 (en) 2022-12-29
US20240265087A1 (en) 2024-08-08
EP4359971A1 (en) 2024-05-01

Similar Documents

Publication Publication Date Title
US11799862B2 (en) Access identifier provisioning to application
CN109328445B (zh) 唯一令牌认证验证值
US11074585B2 (en) Authenticating transactions using risk scores derived from detailed device information
US11849042B2 (en) Virtual access credential interaction system and method
US12003640B2 (en) Efficient token provisioning system and method
US11782896B2 (en) Method and system for creating rapid searchable altered data in a database
US20240104530A1 (en) Data processing utilizing a digital tag
CN112740614A (zh) 用于刷新令牌数据的系统和方法
US20210279734A1 (en) Real time interaction processing system and method
US20230072087A1 (en) Multifunctional user device
US20230298009A1 (en) Rapid cryptocurrency transaction processing
US20240265087A1 (en) Method and system for integrating identity provider
US11973871B2 (en) Domain validations using verification values
US20240187233A1 (en) Nft interaction processing system and method
US20220343314A1 (en) Processing using machine readable codes and secure remote interactions
US20230325520A1 (en) Alias directory

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination