JP2004524605A - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP2004524605A JP2004524605A JP2002550493A JP2002550493A JP2004524605A JP 2004524605 A JP2004524605 A JP 2004524605A JP 2002550493 A JP2002550493 A JP 2002550493A JP 2002550493 A JP2002550493 A JP 2002550493A JP 2004524605 A JP2004524605 A JP 2004524605A
- Authority
- JP
- Japan
- Prior art keywords
- consumer
- payment
- authentication
- code
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0873—Details of the card reader
- G07F7/088—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
- G07F7/0886—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Finance (AREA)
- Computing Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Software Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】本発明によれば、クライアントは、信頼された認証サービスプロバイダを用いて消費者を認証することが可能となる。本システムは、消費者およびビジネス組織の問題に等しく対処する。目的は、認証サービスのクライアントに、消費者の真の識別を保証することである。
【解決手段】リモート認証サービスプロバイダは、消費者名および固有の消費者コードに基づく消費者の高速認証を容易にするために、消費者データを管理する。好ましいシステムでは、固有の消費者コードは、消費者により保有されるハードウェアトークンによって生成されるワンタイムパスワード(OTP)である。リモート認証サービスプロバイダは、トークンにより生成されたパスワードが正当であることを確かめる。
【選択図】図1
【解決手段】リモート認証サービスプロバイダは、消費者名および固有の消費者コードに基づく消費者の高速認証を容易にするために、消費者データを管理する。好ましいシステムでは、固有の消費者コードは、消費者により保有されるハードウェアトークンによって生成されるワンタイムパスワード(OTP)である。リモート認証サービスプロバイダは、トークンにより生成されたパスワードが正当であることを確かめる。
【選択図】図1
Description
【技術分野】
【0001】
本発明は、取引を行う目的で、またはサービスもしくはリソースにアクセスするために、ユーザをエンティティに対して認証するシステムに関する。
【背景技術】
【0002】
認証は、要求されたリソースへのアクセスを許可する前に、ユーザまたは他のエンティティ(例えばプロセスまたは外部システム)の識別を確認するプロセスである。これは通常、ユーザ名およびパスワードに基づいている。静的パスワードは最も広く使用される認証メカニズムであり続けているが、セキュリティハザードとして認識されている。特に、静的パスワードは、記録、共有、「スニッフィング」(パスワードが伝送中に捕捉される)、および「ショルダーサーフィング」(ユーザがパスワードを使用中に監視される)に対して脆弱である。静的パスワードはまた、「リプレイ」攻撃を受けやすい。この問題点に対する比較的新しい手法は、ワンタイムパスワード(OTP)の使用である。これは、ユーザ名とともに使用される点で従来の静的パスワードと類似しているが、ハードウェアトークンを用いて動的に生成される点で異なる。
【0003】
金融取引は、非常に多くの方法で実行され得る。例えば、現金を用いて商品およびサービスに対する決済をすることができるのはもちろん、クレジットカードおよびデビットカード決済も可能である。これに加えて、決済をするために銀行口座間の直接振替を手配することが可能である。
【0004】
これらの取引が履行され得るための技法は、取引が実行される状況に応じて異なる。例えば、商店では通常、顧客は自己の決済カードを店員に提示する。すると店員は、その細目を店頭(POS)デバイスに入力し、POSデバイスはその細目を獲得者(商人から取引に関係する金融データを獲得しそのデータを交換システムに伝える金融機関、またはその代行業者)に転送し、獲得者はその決済カードが所望の取引を実行するために使用され得るかどうかを確かめる。店員は、その決済カードが認可されたユーザによって提示されたことを、顧客の署名をカードの裏側の署名と対照してチェックすることにより確かめる。これらの段階のそれぞれが首尾よく進行したとすれば、取引は承認される。この場合、獲得者または発行者(決済カードブランドのために固有の主口座番号(PAN)をカード保有者に発行する金融機関、またはその代行業者)が、購買された商品に対する商店の請求額をまかない、後日にカード所有者から引き落とされる。
【0005】
しかし、この形態のシステムは、決済カードが店員にとって利用可能とされなければならないという重大な欠点を有する。このことは、第三者がカード細目を取得し、これらの細目を用いて不正に取引を実行する機会を提供する。特に、これは偽造決済カードを製造することによって、あるいは単にカード細目を用いて直接「カード保有者不立会」の購買を行うことによって遂行され得る。
【0006】
最近では、消費者が品物をウェブサイトから購入することを可能にするインターネットショッピングの導入によって、状況は悪化している。この例では、ウェブサイト所有者が取引を検証することを可能にするために、ユーザの決済カード細目が通常、インターネットを通じてウェブサイトに転送されなければならない。これもまたもちろん、顧客のカード細目が公衆に利用可能となることにより不正な取引がこれらの細目を用いて実行されるリスクがあることを意味する。さらに、カード保有者が立ち会わないため、この取引にはいかなる形態の認証もない。
【0007】
従来の銀行および支店のない金融機関は、インターネットを通じて配信される大量のサービスによって、ホームバンキングおよびビジネスバンキングの市場に波のように押し寄せている。会社はインターネットバンキングを、コストを減少させ効率を向上させる手段として評価している。銀行は高度なインターネットバンキングサービスを提供し始めている。そのようなサービスとしては、口座および資金情報へのアクセス、勘定決済、同一金融機関での口座間の振替、住宅ローン情報、ならびに選択された口座に関する最近の取引およびその他の履歴情報へのアクセスがある。インターネットバンキングは、株式売買、商品取引の契約、または任意の金額を任意の金融機関の任意の口座への電子振替のような、ますます高度な取引サービスを銀行が提供することができるための新しいチャネルを提供する。しかし、機密金融情報をさらす不安が、オンラインバンキングの広範な実施および使用の主要な障害であり続けている。銀行は、口座にオンラインでアクセスしている顧客が申告通りの者であることを確かめること、すなわち顧客を認証することを必要とする。さらに、顧客は、個人情報、口座番号および資金が安全であることを知りたいと思っている。現在のシステムは依然として静的パスワードに基づく認証システムに頼る傾向があり、それゆえ本質的に攻撃を受けやすい。これは、インターネットバンキングが消費者の信頼を確保する前に対処する必要のある主要な問題であり続けている。
【発明の開示】
【課題を解決するための手段】
【0008】
本発明の第1の態様によると、複数の異なるクライアントからの認証要求に応答するように適応したリモート認証サービスプロバイダを用いて消費者をクライアントに対して認証する認証サービスであって、該認証サービスプロバイダは、
消費者名および固有の消費者コードを含む認証要求を受信するステップと、
消費者名に関連する消費者データを含む少なくとも1つの認証データ記憶部にアクセスするステップと、
消費者データによって固有の消費者コードの正当性を判定するステップと、
消費者が認証されたかどうかを確認する認証応答をクライアントに送信するステップと
を実行する認証サービス。
【0009】
本発明の第2の態様によると、コンピュータプログラム製品は、本発明の第1の態様の方法を実行するためのコンピュータ実行可能コードを含む。
【0010】
本明細書において、「消費者」という用語は、取引を行う目的で、またはサービスもしくはリソースにアクセスするために、自己を認証することを要求しているエンドユーザを指す。「クライアント」という用語は、リモート認証サービスに加入している組織を指す。これらは、サービスまたはリソースへの制御されたアクセスを提供する小売店(商人)、インターネットバンク、またはいかなるビジネス組織をも含み得る。
【0011】
本発明の第3の態様によると、クライアントにより提供される取引を履行する前またはサービスもしくはアプリケーションへのアクセスを許可する前に消費者の認証を要求する複数の異なるクライアントに対してリモート認証サービスを提供する認証エンジンであって、
消費者名および固有の消費者コードを含む認証要求をクライアントから受け入れる通信インタフェースと、
消費者名に関連する消費者データを含む少なくとも1つの認証データ記憶部と、
少なくとも1つの認証データ記憶部にアクセスし、消費者データによって固有の個人コードの正当性を判定し、および消費者が認証されたかどうかを確認するクライアントへの認証応答を生成するように適応した処理システムと
を備える認証エンジン。
【0012】
本発明の第4の態様によると、消費者がクライアントにより提供される取引またはサービスもしくはリソースへのアクセスを要求する認証方法であって、クライアントは、
消費者から消費者名および固有の消費者コードを取得するステップと、
消費者名および固有の消費者コードを含む認証要求を、いくつかの異なるクライアントによりアクセス可能なリモート認証サービスプロバイダに送信するステップと、
消費者が認証されたかどうかを確認する認証応答をリモート認証サービスプロバイダから受信するステップと、
消費者が認証されている場合、取引を続行するか、または消費者により要求されたアクセスまたはサービスを提供するステップと
を実行する方法。
【0013】
本発明によれば、クライアントは、信頼された認証サービスプロバイダを用いて消費者を認証することが可能となる。本システムは、消費者およびビジネス組織の問題を等しく対処する。目的は、認証サービスのクライアントに、消費者の真の識別を保証することである。リモート認証サービスプロバイダは、消費者名および固有の消費者コードに基づく消費者の高速認証を容易にするために、消費者データを管理する。
【0014】
好ましいシステムでは、固有の消費者コードは、消費者により保有されるハードウェアトークンによって生成されるワンタイムパスワード(OTP)である。リモート認証サービスプロバイダは、トークンにより生成されたパスワードが正当であることを確かめる。消費者名は、消費者の実名である必要はないが、リモート認証サービスプロバイダにより記憶されている消費者名に一致しなければならない。したがって、所望であれば、消費者は自己の匿名性を維持することができる。さらに、認証応答は、消費者がそう呼びかけられたいと思う好みの「愛称名」を含み得る。
【0015】
本システムは、企業が特定のサービスまたはアプリケーションへのアクセスを許可する前にエンドユーザを認証することを必要とするようなインターネットアプリケーションに特に適している。特に、本システムは、銀行がウェブサイトへのアクセスを許可する前に顧客の認証を要求するようなインターネットバンキングアプリケーションにおいて使用可能である。本発明では、銀行は、顧客のブラウザにより表示されるログオンページを提供し、そのページは、顧客はユーザIDと、自己の個人用トークンにより生成されたパスワードとをタイプ入力することができるウィンドウを有する。すると銀行はこの情報を安全な方式で認証要求の形態でリモート認証サービスプロバイダに送信する。リモート認証サービスプロバイダは、単純な合否結果の形態で認証応答を生成する。顧客が認証された場合、ウェブサイトへのアクセスが通常の方式で許可される。
【0016】
消費者は、相異なる銀行にいくつかのインターネットバンク口座を有し得る。それらの銀行がリモート認証サービスプロバイダのクライアントである場合には、ユーザはパスワードを生成するための単一のハードウェアトークンを保持するだけでよい。
【0017】
本発明の第5の態様によると、クライアントが消費者取引に関する決済承認要求を、いくつかの異なるクライアントからの決済承認要求に応答するように適応したリモートサービスプロバイダに送信する決済承認サービスであって、リモートサービスプロバイダは、
消費者名および固有の消費者コードを含む決済承認要求をクライアントから受信するステップと、
消費者名に関連する消費者データを含む少なくとも1つのデータ記憶部にアクセスし、消費者データによって固有の消費者コードの正当性を判定することにより、消費者を認証するステップと、
決済プロセスを実行するステップであって、それにより決済承認要求を満たし、承認された取引を履行する、実行するステップと
を実行する決済承認サービス。
【0018】
本発明の第6の態様によると、コンピュータプログラム製品は、本発明の第5の態様の方法を実行するためのコンピュータ実行可能コードを含む。
【0019】
本発明の第7の態様によると、消費者と取引する複数の異なるクライアントに対して、ホストされたリモート決済承認サービスを提供する決済承認エンジンであって、
消費者名および固有の消費者コードを含む決済承認要求をクライアントから受信する通信インタフェースと、
消費者決済カードの細目を含む消費者データを含むいくつかのデータ記憶部と、
所定のプロトコルに従って、承認された決済を可能にするいくつかの決済モジュールを有する処理システムであって、消費者名に関連する消費者データを含む少なくとも1つのデータ記憶部にアクセスし、固有の個人コードの正当性を判定することにより、消費者を認証し、選択された決済モジュールを使用して決済プロセスを実行して決済承認要求を満たすことにより、承認された取引を履行するように適応した処理システムと
を備える決済承認エンジン。
【0020】
本発明はまた、リモート認証サービスプロバイダが消費者の決済カードの細目を含むデータベースも管理するようなリモート認証サービスの拡張も提供する。本システムは、ローカル(POSデバイスにおいて)であるか、電話を通じてであるか、インターネットを通じてウェブサイトに対するものであるかにかかわらず、カードまたはカード細目を商人に提示する必要性をなくすことにより、クレジットまたはデビット決済を使用する消費者による安全な商取引を容易にし可能にするように設計される。
【0021】
決済承認が取得される方式は、獲得者および/または発行者により規定される決済プロトコルによって決まる。したがって、本発明は、いくつかの異なる決済モジュールを通じて多くの異なる決済プロトコルをサポートする。アーキテクチャのモジュール性により、個別に新しい決済サービスの追加が可能である。
【0022】
決済モジュールの一例は、ホストされた商人POSである。この例では、決済承認要求は消費者名、固有の消費者コード、取引額および選択された決済方法を含む。サービスプロバイダは、決済承認要求を、選択された決済方法に関連する獲得者に送信して取引識別子を取得した後、承認応答をクライアントに送信する。承認応答は、獲得者により提供された取引識別子を含む。
【0023】
好ましいシステムでは、サービスプロバイダは、消費者が認証されることを可能にするために、それぞれの消費者名に関連するデータを含む「ボールト」を管理する。サービスプロバイダはまた、消費者に関連するクレジットおよびデビットカード細目を含む「レジストリ」も管理する。サービスプロバイダのクライアントが、承認された決済を要求すると、サービスプロバイダはまず、クライアントにより転送された消費者名およびOTPを用いて消費者を認証した後、獲得者へ送信するための承認要求を生成する。承認要求は通常、消費者名、選択された決済方法に関連する主口座番号(PAN)、取引額、および商人識別子を含む。獲得者は、取引識別子と、取引の否認防止を保証する取引承認コードとを返す。こうして、サービスプロバイダはリモートPOSをホストするように効果的に機能する。場合によっては、獲得者は適切な承認を取得するためにカード発行者と通信しなければならない可能性がある。
【0024】
SET(Secure Electronic Transaction)プロトコルは、本発明を通じて提供され得るもう1つの決済サービスである。このプロトコルでは、システムは、消費者に代わってSET交換に関与する消費者SETウォレット決済モジュールをホストする。提案されるソリューションは、レジストリのデータベースおよびSET決済モジュール内のすべての必要なSETソフトウェアおよび暗号データ(デジタル証明書、暗号鍵)をホストする。この手法は、SETソフトウェアおよびデジタル証明書を搬送し導入することを必要とせずに、消費者が任意のチャネル(例えばインターネット、WAP、電話)を通じて購買を行うことを可能にすることにより、消費者が自己のコンピューティングプラットフォームにSETクライアントソフトウェアを導入することを不要にするとともに、移動性の大幅な向上を可能にする。この場合も、好ましいシステムは、消費者名およびOTPを用いたSETウォレットへのアクセスを安全にする。
【0025】
以下、本発明の実施例について、添付図面を参照して詳細に説明する。
【発明を実施するための最良の形態】
【0026】
上記のように、本明細書において、「消費者」という用語は、取引を行う目的で、またはサービスもしくはリソースにアクセスするために、自己を認証することを要求しているエンドユーザを指す。「クライアント」という用語は、リモート認証サービスプロバイダ(ASP)と加入している組織を指す。これらは、サービスまたはリソースへの制御されたアクセスを提供する小売店(商人)、インターネットバンク、またはいかなるビジネス組織をも含み得る。
【0027】
図1は、本発明によるトークンに基づく認証システムの例を示す。本システムは、ワンタイムパスワード(OTP)を生成するために当技術分野で一般に知られているタイプの消費者ハードウェアトークン10を含む。パスワードは、消費者11がPINまたはその他の形態の秘密コードをキー入力するたびにトークンによって生成される。消費者は、消費者名と、トークンにより生成されたパスワードを、リモート認証サービスプロバイダ13(ASP)のいくつかのクライアント12のうちの1つに提示する。いくつかの通信チャネル14が考えられる。例えば、消費者が単に認証データをじかにクライアント12に提供してもよく、また認証データは、消費者のブラウザにより表示されるウィンドウとして提示されるフォームに記入することによって、インターネットを通じて提供されてもよい。
【0028】
クライアント12は、安全な通信チャネル15、例えばインターネットVPN、暗号化された専用線、SSL(Secure Socket Layer)コネクションまたはその他の任意の暗号化されたチャネルを通じて、消費者により提供される認証データを含む認証要求の送信と、ASP13により生成される認証応答の受信のために、ASP13と通信する。ASPは、クライアント12により提供される認証データに基づく消費者の高速な認証を容易にするために、それぞれの消費者名に関連する消費者データを含むいくつかのデータ記憶部を管理する1つまたは複数の認証サーバ16を運営する。消費者により使用される消費者名はその人の実名である必要はなく、そのため消費者は所望であれば自己の匿名性を維持することができる。ASP13は、消費者11により提供されるパスワードが正当であるかどうかを、同一であるべきパスワードを独立に計算することによって確認する。成功した場合、ASP13は認証応答を生成し、これをクライアント12に送信することにより、消費者をクライアントに対して認証する。
【0029】
本システムは、クライアントが企業であり、その企業が特定のサービスまたはアプリケーションへのアクセスを許可する前にエンドユーザを認証することを必要とするようなインターネットアプリケーションに特に適している。特に、本システムは、銀行がウェブサイトへのアクセスを許可する前に顧客の認証を要求するようなインターネットバンキングアプリケーションにおいて使用可能である。本発明では、銀行は、顧客のブラウザにより表示されるログオンページを提供し、そのページは、顧客はユーザIDと、自己の個人用トークンにより生成されたパスワードとをタイプ入力することができるウィンドウを有する。すると銀行はこの情報を安全な方式で認証要求の形態でASPに送信する。ASPは、単純な合否結果の形態で認証応答を生成する。顧客が認証された場合、ウェブサイトへのアクセスが通常の方式で許可される。
【0030】
消費者は、相異なる銀行にいくつかのインターネットバンク口座を有し得る。それらの銀行がリモート認証サービスプロバイダのクライアントである場合には、ユーザはパスワードを生成するための単一のハードウェアトークンを保持するだけでよい。
【0031】
図2は、消費者トークン10の例を概略的に示す。
【0032】
上記の認証プロセスは、消費者トークン10および認証サーバ16が同一の変数(クロックカウンタ20およびイベントカウンタ21)を用いて一連のタスクを実行する同期認証モードに依拠する。それらの変数はその後、6桁のチャレンジを生成するために共有秘密22を用いて暗号化される。トークン上および認証サーバで提供されるクロックは時間とともにドリフトするのが普通である。この現象を補償し信頼できるサービスを保証するため、トークンにより生成され認証サーバに送られるパスワードは、チャレンジに前置される2桁の数字を含む。これらの数字は、トークンのクロックカウンタおよびイベントカウンタのそれぞれからの最下位ビット23および24であり、認証サーバ16によって自己をトークンに同期させるために使用される。
【0033】
顧客トークン10は以下のステップを実行する。
1.トークンは、2個の変数、すなわちトークンクロックカウンタ値20およびトークンイベントカウンタ値21を用いて、内部チャレンジを(認証サーバとは独立に)形成する
2.トークンは、第3の変数を用いて56ビットDESアルゴリズム25によりこの内部チャレンジを暗号化する。この第3の変数は、その特定トークンに固有の導出された秘密鍵であり、OTPを作成するためにその特定の暗号化セッションに対してだけ使用される
3.トークンは、2個の最下位ビット(イベントカウンタおよびクロックカウンタからそれぞれ1個ずつ)を選択し、それらを暗号化結果に前置する。この結果26が、認証要求プロセス中に認証サーバ16に送られる
4.トークンは自己のイベントカウンタ21を1だけインクリメントする
5.トークンは新しい秘密鍵22を導出し、これは前の暗号化セッションで使用された秘密を上書きする。その鍵導出プロセスはANSI X9.24標準に基づく。それは、イベントカウンタおよび前の秘密鍵を用いて次のセッションのための新しい鍵を生成する。
【0034】
上記のように、その次の一連のタスクは認証サーバ16によって実行され、認証サーバ16はパスワード照合に基づいて消費者を認証する。認証サーバは、セッションの最後に有意味な結果を比較するためには同じ3個の変数で厳密に同じ計算を実行しなければならないため、サーバ変数はすべての時点でクライアント変数と同期していなければならない。上記のように、これは、56ビットDES暗号化プロセスにより生成される値に前置された2桁の特別の数字を使用して達成される。認証サーバ16は、その2桁の数字を比較し、トークンの数字がサーバに記憶されているものと一致するかどうかを判定する。必要であれば、認証サーバは自己のイベントおよびクロックカウンタを、トークンのものに(規定されたセキュリティパラメータ内で)一致するように再同期させた後、トークンにより使用されている鍵に対応する必要な鍵を導出するまで鍵導出プロセスを繰り返す。サーバは、自己の数字が再同期したと判定すると、自己のクロックおよびイベントカウンタ値を用いて自己の内部チャレンジを形成し、適当な鍵および56ビットDESアルゴリズムを用いてそのチャレンジを暗号化し、消費者とサーバの暗号化されたチャレンジ同士を比較して、認証が成功したかどうかを判定する。一致が成功したときにのみ、サーバは自己のイベントカウンタを1だけインクリメントし、その消費者に対する新しい秘密鍵を導出する。その新しい秘密鍵は、安全データブロック(SDB)の一部としてデータベース内に記憶される。
【0035】
認証サーバ16は、トークンと同じアルゴリズムおよび値を用いて必要な検証を実行する。各トークン10は、そのトークンの初期化段階に設定される固有の初期化値を有する。これらの初期値は、認証サーバ16により使用されるデータファイル(図示せず)に暗号化されて記憶され、初期56ビットDES秘密鍵、32ビットランダムイベントカウンタ、トークンシリアル番号、およびトークンのプロファイルからなる。各エントリはSDBとして記憶される。SDBの復号は、そのSDBに対する56ビットDES秘密鍵が供給されるコンピュータプログラムにより処理される。
【0036】
本発明はまた、ASPが消費者の決済カードの細目を含むデータベースを管理するような上記のリモート認証サービスの拡張も提供する。以下で説明するように、本システムは、ローカル(POSデバイスにおいて)であるか、インターネットを通じてウェブサイトに対するものであるかにかかわらず、カードまたはカード細目を商人に提示する必要性をなくすことにより、クレジットまたはデビット決済を使用する消費者による安全な商取引を容易にし可能にするように設計される。
【0037】
図3に示すように、ASP30は、「ボールト」31、すなわち、消費者が上で詳細に説明した方式で認証されることを可能にする認証サーバを管理する。サービスプロバイダはまた、認可された決済を容易にするための「レジストリ」32も管理する。
【0038】
高いレベルでは、当事者間の通信は以下のように要約することができる。サービスプロバイダ30のクライアント33、例えば商人が、承認された決済を要求すると、サービスプロバイダ30はまず、商人33により転送された消費者名およびOTPに基づきボールト31を用いて消費者34を認証した後、獲得(acquiring)銀行35に送信するための承認要求を生成する。承認要求は通常、消費者名、選択された決済方法に関連する主口座番号(PAN)、取引額、および商人識別子を含む。獲得者35は、取引識別子と、取引の否認防止を保証する承認コードとを返す。こうして、サービスプロバイダ30はリモートPOSをホストするように効果的に機能する。場合によっては、獲得者は適切な承認を取得するためにカード発行者36と通信しなければならない可能性がある。
【0039】
ASP30が取引承認を取得する方式は、獲得者および/または発行者により規定される決済プロトコルに依存する。したがって、本発明は多くの異なる決済プロトコルをサポートする。
【0040】
図3に示すサーバアーキテクチャは、次の4つの主要コンポーネントおよびそれらの相互作用に分解することができる。
1.認証システム31(ボールト)
2.決済システム32(レジストリ)
3.消費者プロファイルのデータベース(図示せず)、ならびに、
4.監査およびデータロギングコンポーネント(図示せず)。
【0041】
この例では、サービスをホストする主なプラットフォームはHewlett-PackardのHP9000LおよびN class HP−UXサーバである。アプリケーションとしては、Oracleデータベース、iPlanetウェブサーバ、ステートレス認証カーネル、およびコンポーネントを連結するための特注ソフトウェアがある。周辺防御37は、ファイアウォール技術、侵入検出システムおよびHP Virtual Vault上のサーバのホスティングを含む。
【0042】
図3のアーキテクチャで実施される認証システムは、図1および図2を参照して上で説明した通りである。しかし、システムはデジタル証明書38を含むさまざまな認証メカニズムをサポートすることができるが、上記のOTPハードウェアトークンメカニズム39が好ましい。さらに、静的パスワード40は、一時的フォールバック認証として使用され得る。
【0043】
決済システム32は、それぞれ既存の決済プロトコル41〜44を使用して取引を行うことが可能ないくつかの決済サービスモジュールからなる。これらは、SET取引41、POS取引42またはその他の任意の許容可能な決済プロトコルでもあり得る。このモジュール設計は、必要に応じて新しい決済モジュールを追加することを可能にする。
【0044】
決済システム32は、消費者の加入および初期化段階(その際にトークンもまた消費者に発送される)中にアウトオブバンドで取得されレジストリデータベース内に格納される消費者のプロファイルおよび関連する決済カード細目を用いて、商人に代わって決済取引を効果的に代行する。クレジットカードの場合、システムは、獲得銀行と直接取引することにより個人の決済カード細目を商人に送信する必要性をなくすことによって、セキュリティおよびある程度の匿名性を消費者に提供する。
【0045】
決済取引中の対話は、ASP30、商人33および獲得銀行35に制限される。これは、商人が、ASP決済オプションを有するウェブサイトを正当にする必要がある。いったん正当にされると、商人のウェブサイトは、以下の細目を含む購買要求を送信する。
1.消費者名
2.OTP
3.取引額
4.商人ID
5.獲得銀行のID
6.PAN、および
7.決済方法。
【0046】
ASPボールト31内での認証が成功した後、消費者の細目および供給された商人細目を用いてASPレジストリ32との決済取引が行われる。レジストリ32は、決済モジュール41〜44のうちの1つに関連する適当な決済および通信プロトコルを用いて獲得銀行と通信する。クレジットカード取引の結果、レジストリ32は、取引コードを、購買額および商人IDならびに決済を履行するのに必要なその他のデータとともに供給することになる。成功した場合、レジストリ32は、承認コードを記録のために商人33に返す。
【0047】
システムは、3つのデータベース(図示せず)に依拠する。すなわち、トークンの細目および鍵のための認証サーバ用のデータベース(SDB)、レジストリが決済取引について消費者細目をホストするためのデータベース、そして顧客関係管理のための第3のデータベースである。これらのデータベースは、必要に応じて増減可能な大量の記憶容量およびパフォーマンスを提供する。
【0048】
あらゆる消費者は、システム内で初期化され、ユーザプロファイル内に規定される。これらのプロファイルは、認証を行い、続いて認証された消費者に代わって決済取引を履行するための必要なデータを含む。トークン初期化データおよびトークンシリアル番号、ユーザ名ならびにその他の認証データが、ボールトによりアクセスされる1つのデータベースに格納される。
【0049】
クレジットカード細目のような消費者細目は、消費者に関連する最も明らかなデータである。しかし、SETに基づく決済のためのSET証明書や、供給業者または商人が商品を消費者に発送するための必要な細目を自動的に供給することにより購買を容易にするための発送先住所のような追加細目を格納することが必要になることもあり得る。この情報は、レジストリによりアクセスされるデータベースに格納される。
【0050】
否認防止の重要性および執行は、高度のセキュリティ、監査およびロギング能力を必要とする。この目的のため、アーキテクチャは、周辺防御37、すなわち、広範な監視およびロギングサービスを構成し可能にする論理的および物理的アクセス制御およびプランとともに設計されている。あらゆる認証および取引要求はその結果とともに、ログエントリの記録後にデータが変更できないことを保証するために、追記型(WORM)媒体(図示せず)にロギングされる。
【0051】
監査データの種類には、消費者、商人および獲得銀行の要求、応答およびタイムスタンプが含まれる。
【0052】
SET(Secure Electronic Transaction)プロトコルは、提供され得る1つの決済サービスである。このプロトコルでは、システムは、消費者に代わってSET交換に関与することになる消費者SETウォレット決済モジュールをホストする。システムは、レジストリのデータベースおよびSET決済モジュール内のすべての必要なSETソフトウェアおよび暗号データ(デジタル証明書、暗号鍵)をホストする。この手法は、SETソフトウェアおよびデジタル証明書を搬送し導入することを必要とせずに、消費者が任意のチャネル(例えばインターネット、WAP、電話)を通じて購買を行うことを可能にすることにより、消費者が自己のコンピューティングプラットフォームにSETクライアントソフトウェアを導入することを不要にするとともに、移動性の大幅な向上を提供する。
【0053】
図4は、本アーキテクチャがSET取引においてどのように動作するかを概略的に示す。ステップは以下の通りである。
(A)消費者40は、追加ソフトウェアがなく、かつスマートカードリーダなしの標準的なブラウザを用いて、商人のサイト41を閲覧する。消費者は、ショッピングバスケットに記入し、決済ページに進む。このページで消費者は、ASPオプションを用いて決済することを選択する。消費者は、自己の消費者名およびパスコードの入力を促される。
(B)消費者名およびパスワードが、商人41によってリモートASP43のボールト42に転送され、ボールト42は消費者を上記のように認証し、その結果(ステータス)が商人に返送される。
(C)消費者40の成功した認証の一部として、商人41は、ASPレジストリ46にある消費者のホストされているSETウォレットとのSET取引を開始し、必要な注文情報(OI)を供給する。
(D)購買初期化要求および応答が、商人と、消費者のSETウォレットをホストしているリモートASP43との間でやりとりされる。
(E)購買要求がASP43(消費者に代わって)から商人41に送られる。
(F)ここで商人は、自己の獲得者44に対して承認を要求する。この随意選択的な交換は、商人41とその獲得者44の間で、通常のクレジットカード取引に従い、商人−獲得者交換についてSETCoにより規定されている標準的なSETプロトコル交換を用いて行われる。
(G)獲得者は、承認を取得するためにカード発行者45に照会する選択の自由を有する。この随意選択的なやりとりは、獲得者44とカード発行者45の間で、通常のクレジットカード取引に従い、商人−獲得者のやりとりについてSETCoにより規定されている標準的なSETプロトコルのやりとりを用いて行われる。
(H)商人41は、ASP43においてホストされているSETウォレットに購買応答を返す。
(I)商人41は、決済の確認を消費者40に返す。
【0054】
図4において、商人41は、取引承認を取得するために、ASPレジストリ46を使用する代わりに獲得者44に直接接続する。これは、商人を、通常のSETにできるだけ近く保つためである。所望であれば、商人は、ASP43にその機能性のPOS部分をホストさせることも可能であり、その場合ASP43が承認のために決済ゲートウェイに接続することになる。
【0055】
顧客40から商人41を介してボールト42に至り商人に戻る認証ステップは、他のいかなるカード取引とも厳密に同一である。以下で、図4および図5を参照して、カード保有者が正しく認証されたことを確認する肯定応答が商人41に返された後で何が起こるかについて詳細に説明する。
【0056】
カード保有者から商人への開始メッセージ(PInitReq)および商人からカード保有者への開始応答(PInitRes)の目的は、カード保有者についての証明書およびCRLを取得することである。このメッセージ対がない場合、この情報は他の何らかの手段(CDROMのような)を通じて取得されなければならない。
【0057】
開始要求メッセージは以下のものを含む:
・RRPID、複数のセッションの場合にカード保有者がこのメッセージをその応答にリンクすることを可能にする識別子
・Language、カード保有者の選択言語
・LID_CおよびLID_M、カード保有者および商人が割り当てたローカルID
・Chall_C、商人のリプレイ応答を防ぐためにカード保有者により生成されるチャレンジ
・BrandID、カード保有者の選択した決済カードブランド
・BIN、銀行識別番号(カード保有者の口座番号の最初の6桁)
・Thumbs、カード保有者がすでに有しており、したがって送信される必要のない証明書、CRLおよびBrandCRLIdentifierのサムプリントのリスト。
【0058】
開始応答メッセージは、商人により署名され、以下のものを含む:
・TransIDs、取引ID
・RRPIS、(上記と同様)
・Chall−C、カード保有者からのチャレンジ
・Chall−M、カード保有者の応答の正当期限が確認され得ることを保証するために商人により生成されるチャレンジ
・BrandCRLIdentifier、ブランドCAの下にあるすべてのCAに対する現在のCRLのリスト
・PEThumbs、決済ゲートウェイ鍵交換証明書のサムプリント
・Thumbs、PInitReqからコピーされる。
【0059】
SETプロトコルは、このメッセージ対が非インタラクティブな環境で省略されることを許容するが、その場合データは、オフラインメカニズム(CDROMのような)によりこれらのメッセージで提供され、チャレンジは省略され、メッセージの正当期限の保証は低くなる。
【0060】
本発明では、システムは、商人およびその他のSET証明書に対する取消情報を取得する別の手段を有する。上記のメッセージ対の重要なコンポーネントで、この実施態様に反映されるものは次の通りである:
・取引ID
・次のメッセージの正当期限
・決済ブランドの識別
【0061】
商人のシステムが、一度に複数のセッションをセットアップする消費者を扱い得ることは、商人の責任である。したがって、消費者により生成される取引IDはもはやSETの問題ではない。決済ブランドの識別は、商人サイトにおいてユーザがASP決済オプションを選択したことによってすでに行われている。また、カード保有者のブラウザと商人のウェブサイトの間のリンク上の十分な機密性およびインテグリティを保証することも商人の責任である。
【0062】
本発明では、(PInitReq,PInitRes)メッセージ対は、ASPにおいてホストされているSETウォレットのフロントエンドへの商人の「ウェイクアップ」メッセージによって置き換えられる。「ウェイクアップ」メッセージは、カード保有者の肯定的認証によりトリガされ、以下のものを含む署名されたメッセージである:
・商人およびカード保有者の識別
・応答の正当期限がチェックされ得ることを保証するためのチャレンジ(上記のChall−M)
・次のメッセージPResを完成するために必要な注文情報
・リプレイまたはメッセージ重複により多重購買となることを防ぐための、この商人の(ASPにおける)カウンタ。ASPは、カウンタがこの商人に対する最終カウンタに1を加えたものであることをチェックし、そうでない場合には取引を拒否する。
【0063】
「ウェイクアップ」呼出しにより、ホストされているSETウォレットは、購買要求(PReq)メッセージを商人へ発行する。
【0064】
PReqは2つの部分、すなわち、注文情報であるOIと、決済情報であるPIとからなる。商人がOIのみを復号することができ、獲得者がPIのみを見ることができるが、両者ともメッセージ全体のインテグリティを確認することができるような方法で、両方の部分とも暗号化され署名される。
【0065】
通常のSETでは、カード保有者が証明書を有しないことが許容される。このようなカード保有者からのメッセージは署名されていない。本発明では、すべてのカード保有者は証明書(ASPにおいてリモートで保有される)を有し、通常の認証メカニズムによって証明書へのアクセスを確保する。
【0066】
ホストされているSETウォレットモジュールは、PReqメッセージ(PreqDualSigneddata)をまとめて新しいチャレンジChall−Cを生成する。というのは、(PInitReq,PInitRes)メッセージが交換されていないからである。決済情報データは、商人からの「ウェイクアップ」メッセージ内のカード保有者情報に基づいて、ASPにあるレジストリから来ることになる。
【0067】
PReqメッセージを受信した商人は、この時点で、(IPアドレスに関して)ASPに位置するカード保有者を扱うのと全く同様に、通常のSETステップを実行する。続いて商人は、その決済ゲートウェイを通じて取引についての決済承認を取得しようと試みる。商人のポリシーに応じて、成功した場合か、または回答が戻ってくる前に、商人はPResメッセージを生成し、それをカード保有者に送る。このメッセージは、そのステータスに応じて、履行コード、承認コード、捕捉コードおよびクレジットコードを含む。
【0068】
SETウォレットモジュールは、そのメッセージを受信しチェックして、カード保有者に渡す情報を有する非SETメッセージを商人に送る。別法として、データの一部を捕捉し、他の手段によりそれをカード保有者に送信してもよい(例えば月別計算書)。
【0069】
商人ウェブサイトにおける購買がハードウェアトークンを用いて消費者を認証することによりトリガされる上記の決済方法を使用することに加えて、本発明によれば、トークン保有者が、すでにクレジットカードをオンラインで受け付けている任意の商人のところで、自己の既存のクレジットカードの直接の置き換えとして本システムを使用することが可能となる。これは以下のように行われる。
【0070】
1.消費者は、ハードウェアトークンの発行者に直接クレジットファシリティ(credit facility、信用枠)を申し込む。消費者が信用を承認されたと仮定すると、消費者には、ハードウェアトークンが与えられるか、または消費者の現在のトークンがクレジットカードとしての使用のために今や正当化されたことが通知される。消費者には以下の情報が与えられる。
(i)トークンを用いたすべてのクレジットカード購買に使用される標準的な8桁のプレフィクス、および
(ii)満了日。
【0071】
2.その後、消費者は、以前にいずれかの他の従来型クレジットカードを使用することができたところではどこでも、以下のステップを実行することにより、そのクレジットファシリティを使用することができる。
(i)消費者は、クレジットカード細目のために使用される16桁のボックスの最初の8桁に標準的な8桁のプレフィクスを記入する
(ii)消費者は、トークンをロック解除し、トークンにより生成されたワンタイムパスワードを残りの桁に記入する
(iii)消費者は、与えられた満了日を書き入れる、および
(iv)消費者は、通常はカード保有者名を書き込むところに自己のユーザ名を記入する。
【0072】
3.次に商人は、通常のようにして取引を獲得者に渡す。
【0073】
4.獲得者は、番号(最初の8桁)を認識し、通常の取引と同様にトークン発行者に取引を渡す。
【0074】
5.次に発行者は、次の8桁(ワンタイムパスワード)およびユーザ名を認証のためにボールトに渡す。するとボールトはユーザおよびOTPを特定の顧客および口座に変換し、これを発行者に返す。
【0075】
6.発行者は、口座が依然として正当であり、かつ十分な資金が利用可能であることを確認した後、それに従って取引を承認または拒否し、商人に通知し、適宜、承認コードを与える。
【0076】
上記の使用法に加えて、カードは、いくつかの異なるクレジットカードの代用として使用可能である。ユーザ名および満了日は不変なままであり、変化するのは8桁のプレフィクスのみである。例えば、1つのハードウェアトークンで、顧客は複数の8桁プレフィクスを有することが可能であり、それぞれのプレフィクスがそれぞれのクレジットカード口座にリンクする。
【図面の簡単な説明】
【0077】
【図1】本発明によるトークンに基づく認証システムの例である。
【図2】消費者トークンの単純化した概略図である。
【図3】本発明によるトークンに基づく認証および決済システムの例である。
【図4】図3に示されるシステムを用いたSET取引を示す。
【図5】SET取引におけるイベントの順序を示す。
【0001】
本発明は、取引を行う目的で、またはサービスもしくはリソースにアクセスするために、ユーザをエンティティに対して認証するシステムに関する。
【背景技術】
【0002】
認証は、要求されたリソースへのアクセスを許可する前に、ユーザまたは他のエンティティ(例えばプロセスまたは外部システム)の識別を確認するプロセスである。これは通常、ユーザ名およびパスワードに基づいている。静的パスワードは最も広く使用される認証メカニズムであり続けているが、セキュリティハザードとして認識されている。特に、静的パスワードは、記録、共有、「スニッフィング」(パスワードが伝送中に捕捉される)、および「ショルダーサーフィング」(ユーザがパスワードを使用中に監視される)に対して脆弱である。静的パスワードはまた、「リプレイ」攻撃を受けやすい。この問題点に対する比較的新しい手法は、ワンタイムパスワード(OTP)の使用である。これは、ユーザ名とともに使用される点で従来の静的パスワードと類似しているが、ハードウェアトークンを用いて動的に生成される点で異なる。
【0003】
金融取引は、非常に多くの方法で実行され得る。例えば、現金を用いて商品およびサービスに対する決済をすることができるのはもちろん、クレジットカードおよびデビットカード決済も可能である。これに加えて、決済をするために銀行口座間の直接振替を手配することが可能である。
【0004】
これらの取引が履行され得るための技法は、取引が実行される状況に応じて異なる。例えば、商店では通常、顧客は自己の決済カードを店員に提示する。すると店員は、その細目を店頭(POS)デバイスに入力し、POSデバイスはその細目を獲得者(商人から取引に関係する金融データを獲得しそのデータを交換システムに伝える金融機関、またはその代行業者)に転送し、獲得者はその決済カードが所望の取引を実行するために使用され得るかどうかを確かめる。店員は、その決済カードが認可されたユーザによって提示されたことを、顧客の署名をカードの裏側の署名と対照してチェックすることにより確かめる。これらの段階のそれぞれが首尾よく進行したとすれば、取引は承認される。この場合、獲得者または発行者(決済カードブランドのために固有の主口座番号(PAN)をカード保有者に発行する金融機関、またはその代行業者)が、購買された商品に対する商店の請求額をまかない、後日にカード所有者から引き落とされる。
【0005】
しかし、この形態のシステムは、決済カードが店員にとって利用可能とされなければならないという重大な欠点を有する。このことは、第三者がカード細目を取得し、これらの細目を用いて不正に取引を実行する機会を提供する。特に、これは偽造決済カードを製造することによって、あるいは単にカード細目を用いて直接「カード保有者不立会」の購買を行うことによって遂行され得る。
【0006】
最近では、消費者が品物をウェブサイトから購入することを可能にするインターネットショッピングの導入によって、状況は悪化している。この例では、ウェブサイト所有者が取引を検証することを可能にするために、ユーザの決済カード細目が通常、インターネットを通じてウェブサイトに転送されなければならない。これもまたもちろん、顧客のカード細目が公衆に利用可能となることにより不正な取引がこれらの細目を用いて実行されるリスクがあることを意味する。さらに、カード保有者が立ち会わないため、この取引にはいかなる形態の認証もない。
【0007】
従来の銀行および支店のない金融機関は、インターネットを通じて配信される大量のサービスによって、ホームバンキングおよびビジネスバンキングの市場に波のように押し寄せている。会社はインターネットバンキングを、コストを減少させ効率を向上させる手段として評価している。銀行は高度なインターネットバンキングサービスを提供し始めている。そのようなサービスとしては、口座および資金情報へのアクセス、勘定決済、同一金融機関での口座間の振替、住宅ローン情報、ならびに選択された口座に関する最近の取引およびその他の履歴情報へのアクセスがある。インターネットバンキングは、株式売買、商品取引の契約、または任意の金額を任意の金融機関の任意の口座への電子振替のような、ますます高度な取引サービスを銀行が提供することができるための新しいチャネルを提供する。しかし、機密金融情報をさらす不安が、オンラインバンキングの広範な実施および使用の主要な障害であり続けている。銀行は、口座にオンラインでアクセスしている顧客が申告通りの者であることを確かめること、すなわち顧客を認証することを必要とする。さらに、顧客は、個人情報、口座番号および資金が安全であることを知りたいと思っている。現在のシステムは依然として静的パスワードに基づく認証システムに頼る傾向があり、それゆえ本質的に攻撃を受けやすい。これは、インターネットバンキングが消費者の信頼を確保する前に対処する必要のある主要な問題であり続けている。
【発明の開示】
【課題を解決するための手段】
【0008】
本発明の第1の態様によると、複数の異なるクライアントからの認証要求に応答するように適応したリモート認証サービスプロバイダを用いて消費者をクライアントに対して認証する認証サービスであって、該認証サービスプロバイダは、
消費者名および固有の消費者コードを含む認証要求を受信するステップと、
消費者名に関連する消費者データを含む少なくとも1つの認証データ記憶部にアクセスするステップと、
消費者データによって固有の消費者コードの正当性を判定するステップと、
消費者が認証されたかどうかを確認する認証応答をクライアントに送信するステップと
を実行する認証サービス。
【0009】
本発明の第2の態様によると、コンピュータプログラム製品は、本発明の第1の態様の方法を実行するためのコンピュータ実行可能コードを含む。
【0010】
本明細書において、「消費者」という用語は、取引を行う目的で、またはサービスもしくはリソースにアクセスするために、自己を認証することを要求しているエンドユーザを指す。「クライアント」という用語は、リモート認証サービスに加入している組織を指す。これらは、サービスまたはリソースへの制御されたアクセスを提供する小売店(商人)、インターネットバンク、またはいかなるビジネス組織をも含み得る。
【0011】
本発明の第3の態様によると、クライアントにより提供される取引を履行する前またはサービスもしくはアプリケーションへのアクセスを許可する前に消費者の認証を要求する複数の異なるクライアントに対してリモート認証サービスを提供する認証エンジンであって、
消費者名および固有の消費者コードを含む認証要求をクライアントから受け入れる通信インタフェースと、
消費者名に関連する消費者データを含む少なくとも1つの認証データ記憶部と、
少なくとも1つの認証データ記憶部にアクセスし、消費者データによって固有の個人コードの正当性を判定し、および消費者が認証されたかどうかを確認するクライアントへの認証応答を生成するように適応した処理システムと
を備える認証エンジン。
【0012】
本発明の第4の態様によると、消費者がクライアントにより提供される取引またはサービスもしくはリソースへのアクセスを要求する認証方法であって、クライアントは、
消費者から消費者名および固有の消費者コードを取得するステップと、
消費者名および固有の消費者コードを含む認証要求を、いくつかの異なるクライアントによりアクセス可能なリモート認証サービスプロバイダに送信するステップと、
消費者が認証されたかどうかを確認する認証応答をリモート認証サービスプロバイダから受信するステップと、
消費者が認証されている場合、取引を続行するか、または消費者により要求されたアクセスまたはサービスを提供するステップと
を実行する方法。
【0013】
本発明によれば、クライアントは、信頼された認証サービスプロバイダを用いて消費者を認証することが可能となる。本システムは、消費者およびビジネス組織の問題を等しく対処する。目的は、認証サービスのクライアントに、消費者の真の識別を保証することである。リモート認証サービスプロバイダは、消費者名および固有の消費者コードに基づく消費者の高速認証を容易にするために、消費者データを管理する。
【0014】
好ましいシステムでは、固有の消費者コードは、消費者により保有されるハードウェアトークンによって生成されるワンタイムパスワード(OTP)である。リモート認証サービスプロバイダは、トークンにより生成されたパスワードが正当であることを確かめる。消費者名は、消費者の実名である必要はないが、リモート認証サービスプロバイダにより記憶されている消費者名に一致しなければならない。したがって、所望であれば、消費者は自己の匿名性を維持することができる。さらに、認証応答は、消費者がそう呼びかけられたいと思う好みの「愛称名」を含み得る。
【0015】
本システムは、企業が特定のサービスまたはアプリケーションへのアクセスを許可する前にエンドユーザを認証することを必要とするようなインターネットアプリケーションに特に適している。特に、本システムは、銀行がウェブサイトへのアクセスを許可する前に顧客の認証を要求するようなインターネットバンキングアプリケーションにおいて使用可能である。本発明では、銀行は、顧客のブラウザにより表示されるログオンページを提供し、そのページは、顧客はユーザIDと、自己の個人用トークンにより生成されたパスワードとをタイプ入力することができるウィンドウを有する。すると銀行はこの情報を安全な方式で認証要求の形態でリモート認証サービスプロバイダに送信する。リモート認証サービスプロバイダは、単純な合否結果の形態で認証応答を生成する。顧客が認証された場合、ウェブサイトへのアクセスが通常の方式で許可される。
【0016】
消費者は、相異なる銀行にいくつかのインターネットバンク口座を有し得る。それらの銀行がリモート認証サービスプロバイダのクライアントである場合には、ユーザはパスワードを生成するための単一のハードウェアトークンを保持するだけでよい。
【0017】
本発明の第5の態様によると、クライアントが消費者取引に関する決済承認要求を、いくつかの異なるクライアントからの決済承認要求に応答するように適応したリモートサービスプロバイダに送信する決済承認サービスであって、リモートサービスプロバイダは、
消費者名および固有の消費者コードを含む決済承認要求をクライアントから受信するステップと、
消費者名に関連する消費者データを含む少なくとも1つのデータ記憶部にアクセスし、消費者データによって固有の消費者コードの正当性を判定することにより、消費者を認証するステップと、
決済プロセスを実行するステップであって、それにより決済承認要求を満たし、承認された取引を履行する、実行するステップと
を実行する決済承認サービス。
【0018】
本発明の第6の態様によると、コンピュータプログラム製品は、本発明の第5の態様の方法を実行するためのコンピュータ実行可能コードを含む。
【0019】
本発明の第7の態様によると、消費者と取引する複数の異なるクライアントに対して、ホストされたリモート決済承認サービスを提供する決済承認エンジンであって、
消費者名および固有の消費者コードを含む決済承認要求をクライアントから受信する通信インタフェースと、
消費者決済カードの細目を含む消費者データを含むいくつかのデータ記憶部と、
所定のプロトコルに従って、承認された決済を可能にするいくつかの決済モジュールを有する処理システムであって、消費者名に関連する消費者データを含む少なくとも1つのデータ記憶部にアクセスし、固有の個人コードの正当性を判定することにより、消費者を認証し、選択された決済モジュールを使用して決済プロセスを実行して決済承認要求を満たすことにより、承認された取引を履行するように適応した処理システムと
を備える決済承認エンジン。
【0020】
本発明はまた、リモート認証サービスプロバイダが消費者の決済カードの細目を含むデータベースも管理するようなリモート認証サービスの拡張も提供する。本システムは、ローカル(POSデバイスにおいて)であるか、電話を通じてであるか、インターネットを通じてウェブサイトに対するものであるかにかかわらず、カードまたはカード細目を商人に提示する必要性をなくすことにより、クレジットまたはデビット決済を使用する消費者による安全な商取引を容易にし可能にするように設計される。
【0021】
決済承認が取得される方式は、獲得者および/または発行者により規定される決済プロトコルによって決まる。したがって、本発明は、いくつかの異なる決済モジュールを通じて多くの異なる決済プロトコルをサポートする。アーキテクチャのモジュール性により、個別に新しい決済サービスの追加が可能である。
【0022】
決済モジュールの一例は、ホストされた商人POSである。この例では、決済承認要求は消費者名、固有の消費者コード、取引額および選択された決済方法を含む。サービスプロバイダは、決済承認要求を、選択された決済方法に関連する獲得者に送信して取引識別子を取得した後、承認応答をクライアントに送信する。承認応答は、獲得者により提供された取引識別子を含む。
【0023】
好ましいシステムでは、サービスプロバイダは、消費者が認証されることを可能にするために、それぞれの消費者名に関連するデータを含む「ボールト」を管理する。サービスプロバイダはまた、消費者に関連するクレジットおよびデビットカード細目を含む「レジストリ」も管理する。サービスプロバイダのクライアントが、承認された決済を要求すると、サービスプロバイダはまず、クライアントにより転送された消費者名およびOTPを用いて消費者を認証した後、獲得者へ送信するための承認要求を生成する。承認要求は通常、消費者名、選択された決済方法に関連する主口座番号(PAN)、取引額、および商人識別子を含む。獲得者は、取引識別子と、取引の否認防止を保証する取引承認コードとを返す。こうして、サービスプロバイダはリモートPOSをホストするように効果的に機能する。場合によっては、獲得者は適切な承認を取得するためにカード発行者と通信しなければならない可能性がある。
【0024】
SET(Secure Electronic Transaction)プロトコルは、本発明を通じて提供され得るもう1つの決済サービスである。このプロトコルでは、システムは、消費者に代わってSET交換に関与する消費者SETウォレット決済モジュールをホストする。提案されるソリューションは、レジストリのデータベースおよびSET決済モジュール内のすべての必要なSETソフトウェアおよび暗号データ(デジタル証明書、暗号鍵)をホストする。この手法は、SETソフトウェアおよびデジタル証明書を搬送し導入することを必要とせずに、消費者が任意のチャネル(例えばインターネット、WAP、電話)を通じて購買を行うことを可能にすることにより、消費者が自己のコンピューティングプラットフォームにSETクライアントソフトウェアを導入することを不要にするとともに、移動性の大幅な向上を可能にする。この場合も、好ましいシステムは、消費者名およびOTPを用いたSETウォレットへのアクセスを安全にする。
【0025】
以下、本発明の実施例について、添付図面を参照して詳細に説明する。
【発明を実施するための最良の形態】
【0026】
上記のように、本明細書において、「消費者」という用語は、取引を行う目的で、またはサービスもしくはリソースにアクセスするために、自己を認証することを要求しているエンドユーザを指す。「クライアント」という用語は、リモート認証サービスプロバイダ(ASP)と加入している組織を指す。これらは、サービスまたはリソースへの制御されたアクセスを提供する小売店(商人)、インターネットバンク、またはいかなるビジネス組織をも含み得る。
【0027】
図1は、本発明によるトークンに基づく認証システムの例を示す。本システムは、ワンタイムパスワード(OTP)を生成するために当技術分野で一般に知られているタイプの消費者ハードウェアトークン10を含む。パスワードは、消費者11がPINまたはその他の形態の秘密コードをキー入力するたびにトークンによって生成される。消費者は、消費者名と、トークンにより生成されたパスワードを、リモート認証サービスプロバイダ13(ASP)のいくつかのクライアント12のうちの1つに提示する。いくつかの通信チャネル14が考えられる。例えば、消費者が単に認証データをじかにクライアント12に提供してもよく、また認証データは、消費者のブラウザにより表示されるウィンドウとして提示されるフォームに記入することによって、インターネットを通じて提供されてもよい。
【0028】
クライアント12は、安全な通信チャネル15、例えばインターネットVPN、暗号化された専用線、SSL(Secure Socket Layer)コネクションまたはその他の任意の暗号化されたチャネルを通じて、消費者により提供される認証データを含む認証要求の送信と、ASP13により生成される認証応答の受信のために、ASP13と通信する。ASPは、クライアント12により提供される認証データに基づく消費者の高速な認証を容易にするために、それぞれの消費者名に関連する消費者データを含むいくつかのデータ記憶部を管理する1つまたは複数の認証サーバ16を運営する。消費者により使用される消費者名はその人の実名である必要はなく、そのため消費者は所望であれば自己の匿名性を維持することができる。ASP13は、消費者11により提供されるパスワードが正当であるかどうかを、同一であるべきパスワードを独立に計算することによって確認する。成功した場合、ASP13は認証応答を生成し、これをクライアント12に送信することにより、消費者をクライアントに対して認証する。
【0029】
本システムは、クライアントが企業であり、その企業が特定のサービスまたはアプリケーションへのアクセスを許可する前にエンドユーザを認証することを必要とするようなインターネットアプリケーションに特に適している。特に、本システムは、銀行がウェブサイトへのアクセスを許可する前に顧客の認証を要求するようなインターネットバンキングアプリケーションにおいて使用可能である。本発明では、銀行は、顧客のブラウザにより表示されるログオンページを提供し、そのページは、顧客はユーザIDと、自己の個人用トークンにより生成されたパスワードとをタイプ入力することができるウィンドウを有する。すると銀行はこの情報を安全な方式で認証要求の形態でASPに送信する。ASPは、単純な合否結果の形態で認証応答を生成する。顧客が認証された場合、ウェブサイトへのアクセスが通常の方式で許可される。
【0030】
消費者は、相異なる銀行にいくつかのインターネットバンク口座を有し得る。それらの銀行がリモート認証サービスプロバイダのクライアントである場合には、ユーザはパスワードを生成するための単一のハードウェアトークンを保持するだけでよい。
【0031】
図2は、消費者トークン10の例を概略的に示す。
【0032】
上記の認証プロセスは、消費者トークン10および認証サーバ16が同一の変数(クロックカウンタ20およびイベントカウンタ21)を用いて一連のタスクを実行する同期認証モードに依拠する。それらの変数はその後、6桁のチャレンジを生成するために共有秘密22を用いて暗号化される。トークン上および認証サーバで提供されるクロックは時間とともにドリフトするのが普通である。この現象を補償し信頼できるサービスを保証するため、トークンにより生成され認証サーバに送られるパスワードは、チャレンジに前置される2桁の数字を含む。これらの数字は、トークンのクロックカウンタおよびイベントカウンタのそれぞれからの最下位ビット23および24であり、認証サーバ16によって自己をトークンに同期させるために使用される。
【0033】
顧客トークン10は以下のステップを実行する。
1.トークンは、2個の変数、すなわちトークンクロックカウンタ値20およびトークンイベントカウンタ値21を用いて、内部チャレンジを(認証サーバとは独立に)形成する
2.トークンは、第3の変数を用いて56ビットDESアルゴリズム25によりこの内部チャレンジを暗号化する。この第3の変数は、その特定トークンに固有の導出された秘密鍵であり、OTPを作成するためにその特定の暗号化セッションに対してだけ使用される
3.トークンは、2個の最下位ビット(イベントカウンタおよびクロックカウンタからそれぞれ1個ずつ)を選択し、それらを暗号化結果に前置する。この結果26が、認証要求プロセス中に認証サーバ16に送られる
4.トークンは自己のイベントカウンタ21を1だけインクリメントする
5.トークンは新しい秘密鍵22を導出し、これは前の暗号化セッションで使用された秘密を上書きする。その鍵導出プロセスはANSI X9.24標準に基づく。それは、イベントカウンタおよび前の秘密鍵を用いて次のセッションのための新しい鍵を生成する。
【0034】
上記のように、その次の一連のタスクは認証サーバ16によって実行され、認証サーバ16はパスワード照合に基づいて消費者を認証する。認証サーバは、セッションの最後に有意味な結果を比較するためには同じ3個の変数で厳密に同じ計算を実行しなければならないため、サーバ変数はすべての時点でクライアント変数と同期していなければならない。上記のように、これは、56ビットDES暗号化プロセスにより生成される値に前置された2桁の特別の数字を使用して達成される。認証サーバ16は、その2桁の数字を比較し、トークンの数字がサーバに記憶されているものと一致するかどうかを判定する。必要であれば、認証サーバは自己のイベントおよびクロックカウンタを、トークンのものに(規定されたセキュリティパラメータ内で)一致するように再同期させた後、トークンにより使用されている鍵に対応する必要な鍵を導出するまで鍵導出プロセスを繰り返す。サーバは、自己の数字が再同期したと判定すると、自己のクロックおよびイベントカウンタ値を用いて自己の内部チャレンジを形成し、適当な鍵および56ビットDESアルゴリズムを用いてそのチャレンジを暗号化し、消費者とサーバの暗号化されたチャレンジ同士を比較して、認証が成功したかどうかを判定する。一致が成功したときにのみ、サーバは自己のイベントカウンタを1だけインクリメントし、その消費者に対する新しい秘密鍵を導出する。その新しい秘密鍵は、安全データブロック(SDB)の一部としてデータベース内に記憶される。
【0035】
認証サーバ16は、トークンと同じアルゴリズムおよび値を用いて必要な検証を実行する。各トークン10は、そのトークンの初期化段階に設定される固有の初期化値を有する。これらの初期値は、認証サーバ16により使用されるデータファイル(図示せず)に暗号化されて記憶され、初期56ビットDES秘密鍵、32ビットランダムイベントカウンタ、トークンシリアル番号、およびトークンのプロファイルからなる。各エントリはSDBとして記憶される。SDBの復号は、そのSDBに対する56ビットDES秘密鍵が供給されるコンピュータプログラムにより処理される。
【0036】
本発明はまた、ASPが消費者の決済カードの細目を含むデータベースを管理するような上記のリモート認証サービスの拡張も提供する。以下で説明するように、本システムは、ローカル(POSデバイスにおいて)であるか、インターネットを通じてウェブサイトに対するものであるかにかかわらず、カードまたはカード細目を商人に提示する必要性をなくすことにより、クレジットまたはデビット決済を使用する消費者による安全な商取引を容易にし可能にするように設計される。
【0037】
図3に示すように、ASP30は、「ボールト」31、すなわち、消費者が上で詳細に説明した方式で認証されることを可能にする認証サーバを管理する。サービスプロバイダはまた、認可された決済を容易にするための「レジストリ」32も管理する。
【0038】
高いレベルでは、当事者間の通信は以下のように要約することができる。サービスプロバイダ30のクライアント33、例えば商人が、承認された決済を要求すると、サービスプロバイダ30はまず、商人33により転送された消費者名およびOTPに基づきボールト31を用いて消費者34を認証した後、獲得(acquiring)銀行35に送信するための承認要求を生成する。承認要求は通常、消費者名、選択された決済方法に関連する主口座番号(PAN)、取引額、および商人識別子を含む。獲得者35は、取引識別子と、取引の否認防止を保証する承認コードとを返す。こうして、サービスプロバイダ30はリモートPOSをホストするように効果的に機能する。場合によっては、獲得者は適切な承認を取得するためにカード発行者36と通信しなければならない可能性がある。
【0039】
ASP30が取引承認を取得する方式は、獲得者および/または発行者により規定される決済プロトコルに依存する。したがって、本発明は多くの異なる決済プロトコルをサポートする。
【0040】
図3に示すサーバアーキテクチャは、次の4つの主要コンポーネントおよびそれらの相互作用に分解することができる。
1.認証システム31(ボールト)
2.決済システム32(レジストリ)
3.消費者プロファイルのデータベース(図示せず)、ならびに、
4.監査およびデータロギングコンポーネント(図示せず)。
【0041】
この例では、サービスをホストする主なプラットフォームはHewlett-PackardのHP9000LおよびN class HP−UXサーバである。アプリケーションとしては、Oracleデータベース、iPlanetウェブサーバ、ステートレス認証カーネル、およびコンポーネントを連結するための特注ソフトウェアがある。周辺防御37は、ファイアウォール技術、侵入検出システムおよびHP Virtual Vault上のサーバのホスティングを含む。
【0042】
図3のアーキテクチャで実施される認証システムは、図1および図2を参照して上で説明した通りである。しかし、システムはデジタル証明書38を含むさまざまな認証メカニズムをサポートすることができるが、上記のOTPハードウェアトークンメカニズム39が好ましい。さらに、静的パスワード40は、一時的フォールバック認証として使用され得る。
【0043】
決済システム32は、それぞれ既存の決済プロトコル41〜44を使用して取引を行うことが可能ないくつかの決済サービスモジュールからなる。これらは、SET取引41、POS取引42またはその他の任意の許容可能な決済プロトコルでもあり得る。このモジュール設計は、必要に応じて新しい決済モジュールを追加することを可能にする。
【0044】
決済システム32は、消費者の加入および初期化段階(その際にトークンもまた消費者に発送される)中にアウトオブバンドで取得されレジストリデータベース内に格納される消費者のプロファイルおよび関連する決済カード細目を用いて、商人に代わって決済取引を効果的に代行する。クレジットカードの場合、システムは、獲得銀行と直接取引することにより個人の決済カード細目を商人に送信する必要性をなくすことによって、セキュリティおよびある程度の匿名性を消費者に提供する。
【0045】
決済取引中の対話は、ASP30、商人33および獲得銀行35に制限される。これは、商人が、ASP決済オプションを有するウェブサイトを正当にする必要がある。いったん正当にされると、商人のウェブサイトは、以下の細目を含む購買要求を送信する。
1.消費者名
2.OTP
3.取引額
4.商人ID
5.獲得銀行のID
6.PAN、および
7.決済方法。
【0046】
ASPボールト31内での認証が成功した後、消費者の細目および供給された商人細目を用いてASPレジストリ32との決済取引が行われる。レジストリ32は、決済モジュール41〜44のうちの1つに関連する適当な決済および通信プロトコルを用いて獲得銀行と通信する。クレジットカード取引の結果、レジストリ32は、取引コードを、購買額および商人IDならびに決済を履行するのに必要なその他のデータとともに供給することになる。成功した場合、レジストリ32は、承認コードを記録のために商人33に返す。
【0047】
システムは、3つのデータベース(図示せず)に依拠する。すなわち、トークンの細目および鍵のための認証サーバ用のデータベース(SDB)、レジストリが決済取引について消費者細目をホストするためのデータベース、そして顧客関係管理のための第3のデータベースである。これらのデータベースは、必要に応じて増減可能な大量の記憶容量およびパフォーマンスを提供する。
【0048】
あらゆる消費者は、システム内で初期化され、ユーザプロファイル内に規定される。これらのプロファイルは、認証を行い、続いて認証された消費者に代わって決済取引を履行するための必要なデータを含む。トークン初期化データおよびトークンシリアル番号、ユーザ名ならびにその他の認証データが、ボールトによりアクセスされる1つのデータベースに格納される。
【0049】
クレジットカード細目のような消費者細目は、消費者に関連する最も明らかなデータである。しかし、SETに基づく決済のためのSET証明書や、供給業者または商人が商品を消費者に発送するための必要な細目を自動的に供給することにより購買を容易にするための発送先住所のような追加細目を格納することが必要になることもあり得る。この情報は、レジストリによりアクセスされるデータベースに格納される。
【0050】
否認防止の重要性および執行は、高度のセキュリティ、監査およびロギング能力を必要とする。この目的のため、アーキテクチャは、周辺防御37、すなわち、広範な監視およびロギングサービスを構成し可能にする論理的および物理的アクセス制御およびプランとともに設計されている。あらゆる認証および取引要求はその結果とともに、ログエントリの記録後にデータが変更できないことを保証するために、追記型(WORM)媒体(図示せず)にロギングされる。
【0051】
監査データの種類には、消費者、商人および獲得銀行の要求、応答およびタイムスタンプが含まれる。
【0052】
SET(Secure Electronic Transaction)プロトコルは、提供され得る1つの決済サービスである。このプロトコルでは、システムは、消費者に代わってSET交換に関与することになる消費者SETウォレット決済モジュールをホストする。システムは、レジストリのデータベースおよびSET決済モジュール内のすべての必要なSETソフトウェアおよび暗号データ(デジタル証明書、暗号鍵)をホストする。この手法は、SETソフトウェアおよびデジタル証明書を搬送し導入することを必要とせずに、消費者が任意のチャネル(例えばインターネット、WAP、電話)を通じて購買を行うことを可能にすることにより、消費者が自己のコンピューティングプラットフォームにSETクライアントソフトウェアを導入することを不要にするとともに、移動性の大幅な向上を提供する。
【0053】
図4は、本アーキテクチャがSET取引においてどのように動作するかを概略的に示す。ステップは以下の通りである。
(A)消費者40は、追加ソフトウェアがなく、かつスマートカードリーダなしの標準的なブラウザを用いて、商人のサイト41を閲覧する。消費者は、ショッピングバスケットに記入し、決済ページに進む。このページで消費者は、ASPオプションを用いて決済することを選択する。消費者は、自己の消費者名およびパスコードの入力を促される。
(B)消費者名およびパスワードが、商人41によってリモートASP43のボールト42に転送され、ボールト42は消費者を上記のように認証し、その結果(ステータス)が商人に返送される。
(C)消費者40の成功した認証の一部として、商人41は、ASPレジストリ46にある消費者のホストされているSETウォレットとのSET取引を開始し、必要な注文情報(OI)を供給する。
(D)購買初期化要求および応答が、商人と、消費者のSETウォレットをホストしているリモートASP43との間でやりとりされる。
(E)購買要求がASP43(消費者に代わって)から商人41に送られる。
(F)ここで商人は、自己の獲得者44に対して承認を要求する。この随意選択的な交換は、商人41とその獲得者44の間で、通常のクレジットカード取引に従い、商人−獲得者交換についてSETCoにより規定されている標準的なSETプロトコル交換を用いて行われる。
(G)獲得者は、承認を取得するためにカード発行者45に照会する選択の自由を有する。この随意選択的なやりとりは、獲得者44とカード発行者45の間で、通常のクレジットカード取引に従い、商人−獲得者のやりとりについてSETCoにより規定されている標準的なSETプロトコルのやりとりを用いて行われる。
(H)商人41は、ASP43においてホストされているSETウォレットに購買応答を返す。
(I)商人41は、決済の確認を消費者40に返す。
【0054】
図4において、商人41は、取引承認を取得するために、ASPレジストリ46を使用する代わりに獲得者44に直接接続する。これは、商人を、通常のSETにできるだけ近く保つためである。所望であれば、商人は、ASP43にその機能性のPOS部分をホストさせることも可能であり、その場合ASP43が承認のために決済ゲートウェイに接続することになる。
【0055】
顧客40から商人41を介してボールト42に至り商人に戻る認証ステップは、他のいかなるカード取引とも厳密に同一である。以下で、図4および図5を参照して、カード保有者が正しく認証されたことを確認する肯定応答が商人41に返された後で何が起こるかについて詳細に説明する。
【0056】
カード保有者から商人への開始メッセージ(PInitReq)および商人からカード保有者への開始応答(PInitRes)の目的は、カード保有者についての証明書およびCRLを取得することである。このメッセージ対がない場合、この情報は他の何らかの手段(CDROMのような)を通じて取得されなければならない。
【0057】
開始要求メッセージは以下のものを含む:
・RRPID、複数のセッションの場合にカード保有者がこのメッセージをその応答にリンクすることを可能にする識別子
・Language、カード保有者の選択言語
・LID_CおよびLID_M、カード保有者および商人が割り当てたローカルID
・Chall_C、商人のリプレイ応答を防ぐためにカード保有者により生成されるチャレンジ
・BrandID、カード保有者の選択した決済カードブランド
・BIN、銀行識別番号(カード保有者の口座番号の最初の6桁)
・Thumbs、カード保有者がすでに有しており、したがって送信される必要のない証明書、CRLおよびBrandCRLIdentifierのサムプリントのリスト。
【0058】
開始応答メッセージは、商人により署名され、以下のものを含む:
・TransIDs、取引ID
・RRPIS、(上記と同様)
・Chall−C、カード保有者からのチャレンジ
・Chall−M、カード保有者の応答の正当期限が確認され得ることを保証するために商人により生成されるチャレンジ
・BrandCRLIdentifier、ブランドCAの下にあるすべてのCAに対する現在のCRLのリスト
・PEThumbs、決済ゲートウェイ鍵交換証明書のサムプリント
・Thumbs、PInitReqからコピーされる。
【0059】
SETプロトコルは、このメッセージ対が非インタラクティブな環境で省略されることを許容するが、その場合データは、オフラインメカニズム(CDROMのような)によりこれらのメッセージで提供され、チャレンジは省略され、メッセージの正当期限の保証は低くなる。
【0060】
本発明では、システムは、商人およびその他のSET証明書に対する取消情報を取得する別の手段を有する。上記のメッセージ対の重要なコンポーネントで、この実施態様に反映されるものは次の通りである:
・取引ID
・次のメッセージの正当期限
・決済ブランドの識別
【0061】
商人のシステムが、一度に複数のセッションをセットアップする消費者を扱い得ることは、商人の責任である。したがって、消費者により生成される取引IDはもはやSETの問題ではない。決済ブランドの識別は、商人サイトにおいてユーザがASP決済オプションを選択したことによってすでに行われている。また、カード保有者のブラウザと商人のウェブサイトの間のリンク上の十分な機密性およびインテグリティを保証することも商人の責任である。
【0062】
本発明では、(PInitReq,PInitRes)メッセージ対は、ASPにおいてホストされているSETウォレットのフロントエンドへの商人の「ウェイクアップ」メッセージによって置き換えられる。「ウェイクアップ」メッセージは、カード保有者の肯定的認証によりトリガされ、以下のものを含む署名されたメッセージである:
・商人およびカード保有者の識別
・応答の正当期限がチェックされ得ることを保証するためのチャレンジ(上記のChall−M)
・次のメッセージPResを完成するために必要な注文情報
・リプレイまたはメッセージ重複により多重購買となることを防ぐための、この商人の(ASPにおける)カウンタ。ASPは、カウンタがこの商人に対する最終カウンタに1を加えたものであることをチェックし、そうでない場合には取引を拒否する。
【0063】
「ウェイクアップ」呼出しにより、ホストされているSETウォレットは、購買要求(PReq)メッセージを商人へ発行する。
【0064】
PReqは2つの部分、すなわち、注文情報であるOIと、決済情報であるPIとからなる。商人がOIのみを復号することができ、獲得者がPIのみを見ることができるが、両者ともメッセージ全体のインテグリティを確認することができるような方法で、両方の部分とも暗号化され署名される。
【0065】
通常のSETでは、カード保有者が証明書を有しないことが許容される。このようなカード保有者からのメッセージは署名されていない。本発明では、すべてのカード保有者は証明書(ASPにおいてリモートで保有される)を有し、通常の認証メカニズムによって証明書へのアクセスを確保する。
【0066】
ホストされているSETウォレットモジュールは、PReqメッセージ(PreqDualSigneddata)をまとめて新しいチャレンジChall−Cを生成する。というのは、(PInitReq,PInitRes)メッセージが交換されていないからである。決済情報データは、商人からの「ウェイクアップ」メッセージ内のカード保有者情報に基づいて、ASPにあるレジストリから来ることになる。
【0067】
PReqメッセージを受信した商人は、この時点で、(IPアドレスに関して)ASPに位置するカード保有者を扱うのと全く同様に、通常のSETステップを実行する。続いて商人は、その決済ゲートウェイを通じて取引についての決済承認を取得しようと試みる。商人のポリシーに応じて、成功した場合か、または回答が戻ってくる前に、商人はPResメッセージを生成し、それをカード保有者に送る。このメッセージは、そのステータスに応じて、履行コード、承認コード、捕捉コードおよびクレジットコードを含む。
【0068】
SETウォレットモジュールは、そのメッセージを受信しチェックして、カード保有者に渡す情報を有する非SETメッセージを商人に送る。別法として、データの一部を捕捉し、他の手段によりそれをカード保有者に送信してもよい(例えば月別計算書)。
【0069】
商人ウェブサイトにおける購買がハードウェアトークンを用いて消費者を認証することによりトリガされる上記の決済方法を使用することに加えて、本発明によれば、トークン保有者が、すでにクレジットカードをオンラインで受け付けている任意の商人のところで、自己の既存のクレジットカードの直接の置き換えとして本システムを使用することが可能となる。これは以下のように行われる。
【0070】
1.消費者は、ハードウェアトークンの発行者に直接クレジットファシリティ(credit facility、信用枠)を申し込む。消費者が信用を承認されたと仮定すると、消費者には、ハードウェアトークンが与えられるか、または消費者の現在のトークンがクレジットカードとしての使用のために今や正当化されたことが通知される。消費者には以下の情報が与えられる。
(i)トークンを用いたすべてのクレジットカード購買に使用される標準的な8桁のプレフィクス、および
(ii)満了日。
【0071】
2.その後、消費者は、以前にいずれかの他の従来型クレジットカードを使用することができたところではどこでも、以下のステップを実行することにより、そのクレジットファシリティを使用することができる。
(i)消費者は、クレジットカード細目のために使用される16桁のボックスの最初の8桁に標準的な8桁のプレフィクスを記入する
(ii)消費者は、トークンをロック解除し、トークンにより生成されたワンタイムパスワードを残りの桁に記入する
(iii)消費者は、与えられた満了日を書き入れる、および
(iv)消費者は、通常はカード保有者名を書き込むところに自己のユーザ名を記入する。
【0072】
3.次に商人は、通常のようにして取引を獲得者に渡す。
【0073】
4.獲得者は、番号(最初の8桁)を認識し、通常の取引と同様にトークン発行者に取引を渡す。
【0074】
5.次に発行者は、次の8桁(ワンタイムパスワード)およびユーザ名を認証のためにボールトに渡す。するとボールトはユーザおよびOTPを特定の顧客および口座に変換し、これを発行者に返す。
【0075】
6.発行者は、口座が依然として正当であり、かつ十分な資金が利用可能であることを確認した後、それに従って取引を承認または拒否し、商人に通知し、適宜、承認コードを与える。
【0076】
上記の使用法に加えて、カードは、いくつかの異なるクレジットカードの代用として使用可能である。ユーザ名および満了日は不変なままであり、変化するのは8桁のプレフィクスのみである。例えば、1つのハードウェアトークンで、顧客は複数の8桁プレフィクスを有することが可能であり、それぞれのプレフィクスがそれぞれのクレジットカード口座にリンクする。
【図面の簡単な説明】
【0077】
【図1】本発明によるトークンに基づく認証システムの例である。
【図2】消費者トークンの単純化した概略図である。
【図3】本発明によるトークンに基づく認証および決済システムの例である。
【図4】図3に示されるシステムを用いたSET取引を示す。
【図5】SET取引におけるイベントの順序を示す。
Claims (20)
- 複数の異なるクライアントからの認証要求に応答するように適応したリモート認証サービスプロバイダを用いて消費者をクライアントに対して認証する認証サービスであって、該認証サービスプロバイダは、
消費者名および固有の消費者コードを含む認証要求を受信するステップと、
前記消費者名に関連する消費者データを含む少なくとも1つの認証データ記憶部にアクセスするステップと、
前記消費者データによって前記固有の消費者コードの正当性を判定するステップと、
前記消費者が認証されたかどうかを確認する認証応答を前記クライアントに送信するステップと
を実行する認証サービス。 - 前記固有の消費者コードは、ハードウェアトークンにより生成されるワンタイムパスワードである請求項1に記載の認証サービス。
- 請求項1または2に記載の方法を実行するためのコンピュータ実行可能コードを含むコンピュータプログラム製品。
- クライアントにより提供される取引を履行する前またはサービスもしくはアプリケーションへのアクセスを許可する前に消費者の認証を要求する複数の異なるクライアントに対してリモート認証サービスを提供する認証エンジンであって、
消費者名および固有の消費者コードを含む認証要求をクライアントから受け入れる通信インタフェースと、
前記消費者名に関連する消費者データを含む少なくとも1つの認証データ記憶部と、
前記少なくとも1つの認証データ記憶部にアクセスし、前記消費者データによって前記固有の個人コードの正当性を判定し、および前記消費者が認証されたかどうかを確認する前記クライアントへの認証応答を生成するように適応した処理システムと
を備える認証エンジン。 - 前記固有の消費者コードは、ハードウェアトークンにより生成されるワンタイムパスワードである請求項4に記載の認証サービス。
- 消費者がクライアントにより提供される取引またはサービスもしくはリソースへのアクセスを要求する認証方法であって、前記クライアントは、
前記消費者から消費者名および固有の消費者コードを取得するステップと、
前記消費者名および前記固有の消費者コードを含む認証要求を、いくつかの異なるクライアントによりアクセス可能なリモート認証サービスプロバイダに送信するステップと、
前記消費者が認証されたかどうかを確認する認証応答を前記リモート認証サービスプロバイダから受信するステップと、
前記消費者が認証されている場合、前記取引を続行するか、または前記消費者により要求された前記アクセスまたはサービスを提供するステップと
を実行する方法。 - 前記固有の消費者コードは、ハードウェアトークンにより生成されるワンタイムパスワードである請求項6に記載の方法。
- クライアントが消費者取引に関する決済承認要求を、いくつかの異なるクライアントからの決済承認要求に応答するように適応したリモートサービスプロバイダに送信する決済承認サービスであって、前記リモートサービスプロバイダは、
消費者名および固有の消費者コードを含む決済承認要求をクライアントから受信するステップと、
前記消費者名に関連する消費者データを含む少なくとも1つのデータ記憶部にアクセスし、前記消費者データによって前記固有の消費者コードの正当性を判定することにより、前記消費者を認証するステップと、
決済プロセスを実行するステップであって、それにより前記決済承認要求を満たし、承認された取引を履行する、実行するステップと
を実行する決済承認サービス。 - 前記固有の消費者コードは、ハードウェアトークンにより生成されるワンタイムパスワードである請求項8に記載の決済承認サービス。
- 決済承認が取得される方式は、獲得者および/または発行者により規定される決済プロトコルによって決まる請求項8または9に記載の決済承認サービス。
- いくつかの異なる決済モジュールを通じて複数の異なる決済プロトコルをサポートする請求項8ないし10のいずれかに記載の決済承認サービス。
- 商人のPOS決済モジュールをホストする請求項11に記載の決済承認サービス。
- 請求項8ないし12のいずれかに記載の方法を実行するためのコンピュータ実行可能コードを含むコンピュータプログラム製品。
- 消費者と取引する複数の異なるクライアントに対して、ホストされたリモート決済承認サービスを提供する決済承認エンジンであって、
消費者名および固有の消費者コードを含む決済承認要求をクライアントから受信する通信インタフェースと、
消費者決済カードの細目を含む消費者データを含むいくつかのデータ記憶部と、
所定のプロトコルに従って、承認された決済を可能にするいくつかの決済モジュールを有する処理システムであって、前記消費者名に関連する消費者データを含む少なくとも1つのデータ記憶部にアクセスし、前記固有の個人コードの正当性を判定することにより、前記消費者を認証し、選択された決済モジュールを使用して決済プロセスを実行して前記決済承認要求を満たすことにより、承認された取引を履行するように適応した処理システムと
を備える決済承認エンジン。 - 前記固有の消費者コードは、ハードウェアトークンにより生成されるワンタイムパスワードである請求項14に記載の決済承認エンジン。
- 決済承認が取得される方式は、獲得者および/または発行者により規定される決済プロトコルによって決まる請求項14または15に記載の決済承認エンジン。
- いくつかの異なる決済モジュールを通じて複数の異なる決済プロトコルをサポートする請求項14ないし16のいずれかに記載の決済承認エンジン。
- 商人のPOS決済モジュールをホストする請求項17に記載の決済承認エンジン。
- それぞれの消費者名に関連するデータを含み、消費者が認証されることを可能にする第1データベースをさらに備える請求項14ないし18のいずれかに記載の決済承認エンジン。
- それぞれの消費者に関連するクレジットおよび/またはデビットカード細目を含む第2データベースをさらに備える請求項14ないし19のいずれかに記載の決済承認エンジン。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0030542A GB0030542D0 (en) | 2000-12-14 | 2000-12-14 | An authentication system |
| GB0105728A GB0105728D0 (en) | 2001-03-08 | 2001-03-08 | An authentication system |
| PCT/GB2001/005507 WO2002048846A2 (en) | 2000-12-14 | 2001-12-13 | An authentication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004524605A true JP2004524605A (ja) | 2004-08-12 |
Family
ID=26245433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002550493A Pending JP2004524605A (ja) | 2000-12-14 | 2001-12-13 | 認証システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20040059952A1 (ja) |
| EP (1) | EP1342216A2 (ja) |
| JP (1) | JP2004524605A (ja) |
| AU (1) | AU2002222194A1 (ja) |
| WO (1) | WO2002048846A2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008517384A (ja) * | 2004-10-15 | 2008-05-22 | ベリサイン・インコーポレイテッド | ワンタイムパスワード |
| JP2008262299A (ja) * | 2007-04-10 | 2008-10-30 | Dainippon Printing Co Ltd | 認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラム |
| JP2008541242A (ja) * | 2005-05-06 | 2008-11-20 | ベリサイン・インコーポレイテッド | トークン共有システムおよび方法 |
| US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
| US11379818B2 (en) * | 2012-07-31 | 2022-07-05 | Worldpay, Llc | Systems and methods for payment management for supporting mobile payments |
Families Citing this family (145)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7809642B1 (en) | 1998-06-22 | 2010-10-05 | Jpmorgan Chase Bank, N.A. | Debit purchasing of stored value card for use by and/or delivery to others |
| US6615189B1 (en) | 1998-06-22 | 2003-09-02 | Bank One, Delaware, National Association | Debit purchasing of stored value card for use by and/or delivery to others |
| US6032136A (en) * | 1998-11-17 | 2000-02-29 | First Usa Bank, N.A. | Customer activated multi-value (CAM) card |
| US7660763B1 (en) | 1998-11-17 | 2010-02-09 | Jpmorgan Chase Bank, N.A. | Customer activated multi-value (CAM) card |
| US8793160B2 (en) | 1999-12-07 | 2014-07-29 | Steve Sorem | System and method for processing transactions |
| US20100299258A1 (en) * | 1999-12-10 | 2010-11-25 | Terri Page | System and method for verifying the authenticity of a check and authorizing payment thereof |
| US6983381B2 (en) * | 2001-01-17 | 2006-01-03 | Arcot Systems, Inc. | Methods for pre-authentication of users using one-time passwords |
| US6816058B2 (en) * | 2001-04-26 | 2004-11-09 | Mcgregor Christopher M | Bio-metric smart card, bio-metric smart card reader and method of use |
| US7313546B2 (en) | 2001-05-23 | 2007-12-25 | Jp Morgan Chase Bank, N.A. | System and method for currency selectable stored value instrument |
| WO2003010701A1 (en) | 2001-07-24 | 2003-02-06 | First Usa Bank, N.A. | Multiple account card and transaction routing |
| US8020754B2 (en) | 2001-08-13 | 2011-09-20 | Jpmorgan Chase Bank, N.A. | System and method for funding a collective account by use of an electronic tag |
| US7311244B1 (en) | 2001-08-13 | 2007-12-25 | Jpmorgan Chase Bank, N.A. | System and method for funding a collective account by use of an electronic tag |
| US8800857B1 (en) | 2001-08-13 | 2014-08-12 | Jpmorgan Chase Bank, N.A. | System and method for crediting loyalty program points and providing loyalty rewards by use of an electronic tag |
| US7756896B1 (en) | 2002-03-11 | 2010-07-13 | Jp Morgan Chase Bank | System and method for multi-dimensional risk analysis |
| US7899753B1 (en) * | 2002-03-25 | 2011-03-01 | Jpmorgan Chase Bank, N.A | Systems and methods for time variable financial authentication |
| AU2003230751A1 (en) | 2002-03-29 | 2003-10-13 | Bank One, Delaware, N.A. | System and process for performing purchase transaction using tokens |
| US20040210498A1 (en) | 2002-03-29 | 2004-10-21 | Bank One, National Association | Method and system for performing purchase and other transactions using tokens with multiple chips |
| GB0210692D0 (en) * | 2002-05-10 | 2002-06-19 | Assendon Ltd | Smart card token for remote authentication |
| US8239304B1 (en) | 2002-07-29 | 2012-08-07 | Jpmorgan Chase Bank, N.A. | Method and system for providing pre-approved targeted products |
| US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
| US7809595B2 (en) | 2002-09-17 | 2010-10-05 | Jpmorgan Chase Bank, Na | System and method for managing risks associated with outside service providers |
| US20040078324A1 (en) * | 2002-10-16 | 2004-04-22 | Carl Lonnberg | Systems and methods for authenticating a financial account at activation |
| AU2003273207A1 (en) * | 2002-11-15 | 2004-06-15 | Innocreate Systems Pte Ltd | System for customer loyalty program implementation and system for member authentification |
| CZ307160B6 (cs) * | 2003-01-08 | 2018-02-14 | Monet+,A.S. | Způsob a systém pro vzdálené ověření identity klíče |
| DE10310351A1 (de) | 2003-03-10 | 2004-09-23 | Giesecke & Devrient Gmbh | Laden von Mediendaten in einen tragbaren Datenträger |
| US8306907B2 (en) | 2003-05-30 | 2012-11-06 | Jpmorgan Chase Bank N.A. | System and method for offering risk-based interest rates in a credit instrument |
| US7953663B1 (en) | 2003-09-04 | 2011-05-31 | Jpmorgan Chase Bank, N.A. | System and method for financial instrument pre-qualification and offering |
| CN100432889C (zh) * | 2003-09-12 | 2008-11-12 | Rsa安全公司 | 提供断开鉴别的系统和方法 |
| US8190893B2 (en) * | 2003-10-27 | 2012-05-29 | Jp Morgan Chase Bank | Portable security transaction protocol |
| EP1550929A1 (de) * | 2003-12-19 | 2005-07-06 | IICS AG Integrated Information & Communication Systems | Verfahren zur Einrichtung und Durchführung gesicherter Transaktionen |
| US7548620B2 (en) * | 2004-02-23 | 2009-06-16 | Verisign, Inc. | Token provisioning |
| US8527755B2 (en) * | 2004-03-04 | 2013-09-03 | Sony Corporation | Methods and systems for effecting transmitter and receiver synchronization between a transmitter and a receiver of a transmitter/receiver network |
| EP2131309A3 (en) | 2004-03-12 | 2011-02-09 | Ingenia Technology Limited | Authenticity signatures |
| AU2005220383B2 (en) | 2004-03-12 | 2010-05-06 | Ingenia Holdings Limited | Methods and apparatuses for creating authenticatable printed articles and subsequently verifying them |
| US7171511B2 (en) * | 2004-03-24 | 2007-01-30 | Hitachi, Ltd. | WORM proving storage system |
| US20170046679A1 (en) * | 2004-04-09 | 2017-02-16 | Blackhawk Network, Inc. | Systems and methods for mimicking post-paid user experience with stored-value card accounts |
| US20050279827A1 (en) * | 2004-04-28 | 2005-12-22 | First Data Corporation | Methods and systems for providing guaranteed merchant transactions |
| US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
| US7392222B1 (en) | 2004-08-03 | 2008-06-24 | Jpmorgan Chase Bank, N.A. | System and method for providing promotional pricing |
| GB2417592B (en) * | 2004-08-13 | 2006-07-26 | Ingenia Technology Ltd | Authenticity verification of articles |
| EP1828920B1 (en) * | 2004-12-20 | 2012-06-13 | EMC Corporation | Consumer internet authentication service |
| US8321686B2 (en) | 2005-02-07 | 2012-11-27 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
| US8423788B2 (en) | 2005-02-07 | 2013-04-16 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
| US8108691B2 (en) | 2005-02-07 | 2012-01-31 | Sandisk Technologies Inc. | Methods used in a secure memory card with life cycle phases |
| US8266441B2 (en) * | 2005-04-22 | 2012-09-11 | Bank Of America Corporation | One-time password credit/debit card |
| US7401731B1 (en) | 2005-05-27 | 2008-07-22 | Jpmorgan Chase Bank, Na | Method and system for implementing a card product with multiple customized relationships |
| US7707626B2 (en) * | 2005-06-01 | 2010-04-27 | At&T Corp. | Authentication management platform for managed security service providers |
| US8028329B2 (en) * | 2005-06-13 | 2011-09-27 | Iamsecureonline, Inc. | Proxy authentication network |
| US7748031B2 (en) | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
| KR100752393B1 (ko) | 2005-07-22 | 2007-08-28 | 주식회사 엘립시스 | 개인용 인증토큰 및 인증방법 |
| JP5123181B2 (ja) * | 2005-07-27 | 2013-01-16 | インジェニア・テクノロジー・(ユーケイ)・リミテッド | 真正性の検証 |
| WO2007012815A1 (en) * | 2005-07-27 | 2007-02-01 | Ingenia Technology Limited | Authenticity verification |
| JP2009503976A (ja) * | 2005-07-27 | 2009-01-29 | インゲニア・テクノロジー・リミテッド | 物品の表面からのコヒーレントな光放射の散乱から得られた信号から作成された物品のシグネチャの検証 |
| GB2429096B (en) * | 2005-07-27 | 2008-11-05 | Ingenia Technology Ltd | Authenticity verification |
| RU2008107340A (ru) * | 2005-07-27 | 2009-09-10 | Инджениа Текнолоджи Лимитед (Gb) | Аутентификация рецепта с использованием спекл-структур |
| US8181232B2 (en) * | 2005-07-29 | 2012-05-15 | Citicorp Development Center, Inc. | Methods and systems for secure user authentication |
| GB2429950B (en) * | 2005-09-08 | 2007-08-22 | Ingenia Holdings | Copying |
| US8966284B2 (en) | 2005-09-14 | 2015-02-24 | Sandisk Technologies Inc. | Hardware driver integrity check of memory card controller firmware |
| US7934049B2 (en) | 2005-09-14 | 2011-04-26 | Sandisk Corporation | Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory |
| US7904946B1 (en) | 2005-12-09 | 2011-03-08 | Citicorp Development Center, Inc. | Methods and systems for secure user authentication |
| US9768963B2 (en) | 2005-12-09 | 2017-09-19 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US9002750B1 (en) | 2005-12-09 | 2015-04-07 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| JP2009521039A (ja) * | 2005-12-23 | 2009-05-28 | インジェニア・ホールディングス・(ユー・ケイ)・リミテッド | 光学的認証 |
| US8408455B1 (en) | 2006-02-08 | 2013-04-02 | Jpmorgan Chase Bank, N.A. | System and method for granting promotional rewards to both customers and non-customers |
| US7784682B2 (en) | 2006-02-08 | 2010-08-31 | Jpmorgan Chase Bank, N.A. | System and method for granting promotional rewards to both customers and non-customers |
| JP4693171B2 (ja) * | 2006-03-17 | 2011-06-01 | 株式会社日立ソリューションズ | 認証システム |
| US7753259B1 (en) | 2006-04-13 | 2010-07-13 | Jpmorgan Chase Bank, N.A. | System and method for granting promotional rewards to both customers and non-customers |
| GB2440386A (en) * | 2006-06-12 | 2008-01-30 | Ingenia Technology Ltd | Scanner authentication |
| US9251637B2 (en) | 2006-11-15 | 2016-02-02 | Bank Of America Corporation | Method and apparatus for using at least a portion of a one-time password as a dynamic card verification value |
| US8423794B2 (en) | 2006-12-28 | 2013-04-16 | Sandisk Technologies Inc. | Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications |
| US8615662B2 (en) * | 2007-01-31 | 2013-12-24 | Microsoft Corporation | Password authentication via a one-time keyboard map |
| AU2012213956B2 (en) * | 2007-02-12 | 2015-11-26 | Visa U.S.A. Inc. | Mobile payment services |
| AU2016201213B2 (en) * | 2007-02-12 | 2017-10-12 | Visa U.S.A. Inc. | Mobile payment services |
| US8002193B2 (en) | 2007-03-12 | 2011-08-23 | Visa U.S.A. Inc. | Payment card dynamically receiving power from external source |
| GB2450131B (en) * | 2007-06-13 | 2009-05-06 | Ingenia Holdings | Fuzzy Keys |
| US8676642B1 (en) | 2007-07-05 | 2014-03-18 | Jpmorgan Chase Bank, N.A. | System and method for granting promotional rewards to financial account holders |
| US20090119155A1 (en) * | 2007-09-12 | 2009-05-07 | Regions Asset Company | Client relationship manager |
| US8417601B1 (en) | 2007-10-18 | 2013-04-09 | Jpmorgan Chase Bank, N.A. | Variable rate payment card |
| WO2009092105A2 (en) * | 2008-01-18 | 2009-07-23 | Tekelec | Systems, methods and computer readable media for application-level authentication of messages in a telecommunications network |
| US8725611B1 (en) | 2008-02-21 | 2014-05-13 | Jpmorgan Chase Bank, N.A. | System and method for providing borrowing schemes |
| GB2460625B (en) * | 2008-05-14 | 2010-05-26 | Ingenia Holdings | Two tier authentication |
| US20090289107A1 (en) * | 2008-05-26 | 2009-11-26 | Wayne Douglas Prentice | Multi-use durable goods card and system |
| US8032932B2 (en) | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
| AU2015202677B2 (en) * | 2008-11-04 | 2016-06-16 | Securekey Technologies Inc | System and methods for online authentication |
| EP2369811B1 (en) | 2008-11-04 | 2016-03-23 | SecureKey Technologies Inc. | System and methods for online authentication |
| EP2200253A1 (en) * | 2008-12-19 | 2010-06-23 | Gemalto SA | Method of managing sensitive data in an electronic token |
| GB2466311B (en) * | 2008-12-19 | 2010-11-03 | Ingenia Holdings | Self-calibration of a matching algorithm for determining authenticity |
| GB2466465B (en) * | 2008-12-19 | 2011-02-16 | Ingenia Holdings | Authentication |
| JP5802137B2 (ja) | 2009-02-05 | 2015-10-28 | ダブリューダブリューパス コーポレイションWwpass Corporation | 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法 |
| AU2010215040B2 (en) * | 2009-02-19 | 2015-02-19 | Securekey Technologies Inc. | System and methods for online authentication |
| AU2015202661B2 (en) * | 2009-02-19 | 2016-02-25 | Securekey Technologies Inc. | System and methods for online authentication |
| US20120131655A1 (en) * | 2009-05-11 | 2012-05-24 | Emue Holdings Pty Ltd. | User Authentication Device and Method |
| US8904519B2 (en) * | 2009-06-18 | 2014-12-02 | Verisign, Inc. | Shared registration system multi-factor authentication |
| US8572394B2 (en) | 2009-09-04 | 2013-10-29 | Computer Associates Think, Inc. | OTP generation using a camouflaged key |
| US9262392B2 (en) * | 2009-09-29 | 2016-02-16 | Paypal, Inc. | User information population |
| GB2476226B (en) | 2009-11-10 | 2012-03-28 | Ingenia Holdings Ltd | Optimisation |
| US8843757B2 (en) * | 2009-11-12 | 2014-09-23 | Ca, Inc. | One time PIN generation |
| US8613065B2 (en) * | 2010-02-15 | 2013-12-17 | Ca, Inc. | Method and system for multiple passcode generation |
| WO2011123940A1 (en) * | 2010-04-08 | 2011-10-13 | Securekey Technologies Inc. | Credential provision and proof system |
| US20120072323A1 (en) * | 2010-09-17 | 2012-03-22 | Bank Of America Corporation | Maintaining online functionality during an outage |
| GB201016084D0 (en) * | 2010-09-24 | 2010-11-10 | Pixelmags Inc | Authorization method |
| CN102624680A (zh) * | 2011-02-01 | 2012-08-01 | 福建新大陆电脑股份有限公司 | 一种采用组合密码的移动支付系统及移动支付方法 |
| US11514451B2 (en) | 2011-03-15 | 2022-11-29 | Capital One Services, Llc | Systems and methods for performing financial transactions using active authentication |
| US8943574B2 (en) | 2011-05-27 | 2015-01-27 | Vantiv, Llc | Tokenizing sensitive data |
| US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
| EP3848872A1 (en) * | 2012-06-27 | 2021-07-14 | Moneris Solutions Corporation | Secure payment system |
| US11210648B2 (en) | 2012-10-17 | 2021-12-28 | Royal Bank Of Canada | Systems, methods, and devices for secure generation and processing of data sets representing pre-funded payments |
| US11080701B2 (en) | 2015-07-02 | 2021-08-03 | Royal Bank Of Canada | Secure processing of electronic payments |
| US9082119B2 (en) | 2012-10-17 | 2015-07-14 | Royal Bank of Canada. | Virtualization and secure processing of data |
| US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
| US9787672B1 (en) | 2013-03-15 | 2017-10-10 | Symantec Corporation | Method and system for smartcard emulation |
| US9912555B2 (en) | 2013-03-15 | 2018-03-06 | A10 Networks, Inc. | System and method of updating modules for application or content identification |
| US9838425B2 (en) * | 2013-04-25 | 2017-12-05 | A10 Networks, Inc. | Systems and methods for network access control |
| US9363261B2 (en) * | 2013-05-02 | 2016-06-07 | Sync-N-Scale, Llc | Synchronous timestamp computer authentication system and method |
| WO2015005910A1 (en) * | 2013-07-09 | 2015-01-15 | Empire Technology Development Llc | Shared secret techniques for ubiquitous computing devices |
| US9294503B2 (en) | 2013-08-26 | 2016-03-22 | A10 Networks, Inc. | Health monitor based distributed denial of service attack mitigation |
| US9619669B2 (en) | 2013-11-01 | 2017-04-11 | Anonos Inc. | Systems and methods for anonosizing data |
| US10572684B2 (en) | 2013-11-01 | 2020-02-25 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
| CA2929269C (en) * | 2013-11-01 | 2019-06-04 | Anonos Inc. | Dynamic de-identification and anonymity |
| US9361481B2 (en) | 2013-11-01 | 2016-06-07 | Anonos Inc. | Systems and methods for contextualized data protection |
| US11030341B2 (en) | 2013-11-01 | 2021-06-08 | Anonos Inc. | Systems and methods for enforcing privacy-respectful, trusted communications |
| US10043035B2 (en) | 2013-11-01 | 2018-08-07 | Anonos Inc. | Systems and methods for enhancing data protection by anonosizing structured and unstructured data and incorporating machine learning and artificial intelligence in classical and quantum computing environments |
| US9129133B2 (en) | 2013-11-01 | 2015-09-08 | Anonos, Inc. | Dynamic de-identification and anonymity |
| US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
| US9756071B1 (en) | 2014-09-16 | 2017-09-05 | A10 Networks, Inc. | DNS denial of service attack protection |
| CN107004190A (zh) | 2014-10-10 | 2017-08-01 | 加拿大皇家银行 | 用于处理电子交易的系统 |
| US9537886B1 (en) | 2014-10-23 | 2017-01-03 | A10 Networks, Inc. | Flagging security threats in web service requests |
| US9621575B1 (en) | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9900343B1 (en) | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
| US11354651B2 (en) | 2015-01-19 | 2022-06-07 | Royal Bank Of Canada | System and method for location-based token transaction processing |
| WO2016115620A1 (en) | 2015-01-19 | 2016-07-28 | Royal Bank Of Canada | Secure processing of electronic payments |
| US9848013B1 (en) | 2015-02-05 | 2017-12-19 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack detection |
| US10063591B1 (en) | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
| US11599879B2 (en) | 2015-07-02 | 2023-03-07 | Royal Bank Of Canada | Processing of electronic transactions |
| US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
| US10469594B2 (en) | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
| US10812348B2 (en) | 2016-07-15 | 2020-10-20 | A10 Networks, Inc. | Automatic capture of network data for a detected anomaly |
| US10341118B2 (en) | 2016-08-01 | 2019-07-02 | A10 Networks, Inc. | SSL gateway with integrated hardware security module |
| US10382562B2 (en) | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| US10250475B2 (en) | 2016-12-08 | 2019-04-02 | A10 Networks, Inc. | Measurement of application response delay time |
| US10397270B2 (en) | 2017-01-04 | 2019-08-27 | A10 Networks, Inc. | Dynamic session rate limiter |
| US10187377B2 (en) | 2017-02-08 | 2019-01-22 | A10 Networks, Inc. | Caching network generated security certificates |
| US10574650B2 (en) | 2017-05-17 | 2020-02-25 | Bank Of America Corporation | System for electronic authentication with live user determination |
| US10387632B2 (en) | 2017-05-17 | 2019-08-20 | Bank Of America Corporation | System for provisioning and allowing secure access to a virtual credential |
| US11159514B2 (en) * | 2020-02-27 | 2021-10-26 | Bank Of America Corporation | System for authenticating process operations on a network using context locked progressive session tokens |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3764742A (en) * | 1971-12-23 | 1973-10-09 | Ibm | Cryptographic identification system |
| US4605820A (en) * | 1983-11-10 | 1986-08-12 | Visa U.S.A. Inc. | Key management system for on-line communication |
| JPH0670818B2 (ja) * | 1984-09-07 | 1994-09-07 | カシオ計算機株式会社 | 照合カード及びその認証方法 |
| US4800590A (en) * | 1985-01-14 | 1989-01-24 | Willis E. Higgins | Computer key and computer lock system |
| US5060263A (en) * | 1988-03-09 | 1991-10-22 | Enigma Logic, Inc. | Computer access control system and method |
| US5657388A (en) * | 1993-05-25 | 1997-08-12 | Security Dynamics Technologies, Inc. | Method and apparatus for utilizing a token for resource access |
| US5200999A (en) * | 1991-09-27 | 1993-04-06 | International Business Machines Corporation | Public key cryptosystem key management based on control vectors |
| ATE207642T1 (de) * | 1992-03-30 | 2001-11-15 | Telstra Corp Ltd | Geheimübertragungsverfahren und -system |
| US5317636A (en) * | 1992-12-09 | 1994-05-31 | Arris, Inc. | Method and apparatus for securing credit card transactions |
| US5586260A (en) * | 1993-02-12 | 1996-12-17 | Digital Equipment Corporation | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms |
| JP3053527B2 (ja) * | 1993-07-30 | 2000-06-19 | インターナショナル・ビジネス・マシーンズ・コーポレイション | パスワードを有効化する方法及び装置、パスワードを生成し且つ予備的に有効化する方法及び装置、認証コードを使用して資源のアクセスを制御する方法及び装置 |
| US5343529A (en) * | 1993-09-28 | 1994-08-30 | Milton Goldfine | Transaction authentication using a centrally generated transaction identifier |
| US5732400A (en) * | 1995-01-04 | 1998-03-24 | Citibank N.A. | System and method for a risk-based purchase of goods |
| US5638444A (en) * | 1995-06-02 | 1997-06-10 | Software Security, Inc. | Secure computer communication method and system |
| AR003524A1 (es) * | 1995-09-08 | 1998-08-05 | Cyber Sign Japan Inc | Un servidor de verificacion para ser utilizado en la autenticacion de redes de computadoras. |
| US5699528A (en) * | 1995-10-31 | 1997-12-16 | Mastercard International, Inc. | System and method for bill delivery and payment over a communications network |
| US5963915A (en) * | 1996-02-21 | 1999-10-05 | Infoseek Corporation | Secure, convenient and efficient system and method of performing trans-internet purchase transactions |
| US5937068A (en) * | 1996-03-22 | 1999-08-10 | Activcard | System and method for user authentication employing dynamic encryption variables |
| US5737421A (en) * | 1996-03-22 | 1998-04-07 | Activcard | System for controlling access to a function having clock synchronization |
| US5802176A (en) * | 1996-03-22 | 1998-09-01 | Activcard | System for controlling access to a function, using a plurality of dynamic encryption variables |
| US5887065A (en) * | 1996-03-22 | 1999-03-23 | Activcard | System and method for user authentication having clock synchronization |
| US6377994B1 (en) * | 1996-04-15 | 2002-04-23 | International Business Machines Corporation | Method and apparatus for controlling server access to a resource in a client/server system |
| US5913203A (en) * | 1996-10-03 | 1999-06-15 | Jaesent Inc. | System and method for pseudo cash transactions |
| KR100213188B1 (ko) * | 1996-10-05 | 1999-08-02 | 윤종용 | 사용자 인증 장치 및 방법 |
| US5903721A (en) * | 1997-03-13 | 1999-05-11 | cha|Technologies Services, Inc. | Method and system for secure online transaction processing |
| CA2286707C (en) * | 1997-05-09 | 2006-06-06 | Neomedia Technologies, Inc. | Method and system for accessing electronic resources via machine-readable data on intelligent documents |
| JP3595109B2 (ja) * | 1997-05-28 | 2004-12-02 | 日本ユニシス株式会社 | 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体 |
| US6163771A (en) * | 1997-08-28 | 2000-12-19 | Walker Digital, Llc | Method and device for generating a single-use financial account number |
| US6000832A (en) * | 1997-09-24 | 1999-12-14 | Microsoft Corporation | Electronic online commerce card with customer generated transaction proxy number for online transactions |
| US20020002678A1 (en) * | 1998-08-14 | 2002-01-03 | Stanley T. Chow | Internet authentication technology |
| US6168077B1 (en) * | 1998-10-21 | 2001-01-02 | Litronic, Inc. | Apparatus and method of providing a dual mode card and reader |
| EP1121780A4 (en) * | 1998-10-23 | 2003-08-13 | L 3 Comm Corp | DEVICE AND METHOD FOR KEY MANAGEMENT IN HETEROGENEOUS CRYPTODATA STRUCTURES |
| EP1028401A3 (en) * | 1999-02-12 | 2003-06-25 | Citibank, N.A. | Method and system for performing a bankcard transaction |
| WO2000062214A1 (en) * | 1999-04-08 | 2000-10-19 | Cleartogo.Com | Credit card security technique |
| US7742967B1 (en) * | 1999-10-01 | 2010-06-22 | Cardinalcommerce Corporation | Secure and efficient payment processing system |
| US6194991B1 (en) * | 1999-10-29 | 2001-02-27 | Lear Corporation | Remote keyless entry rolling code storage method |
| WO2001061620A1 (en) * | 2000-02-18 | 2001-08-23 | Vasco Data Security, Inc. | Field programmable smart card terminal and token device |
| CN1142653C (zh) * | 2000-04-28 | 2004-03-17 | 杨宏伟 | 动态口令认证系统及方法 |
| US20010047335A1 (en) * | 2000-04-28 | 2001-11-29 | Martin Arndt | Secure payment method and apparatus |
| US7080078B1 (en) * | 2000-05-09 | 2006-07-18 | Sun Microsystems, Inc. | Mechanism and apparatus for URI-addressable repositories of service advertisements and other content in a distributed computing environment |
| US7007050B2 (en) * | 2001-05-17 | 2006-02-28 | Nokia Corporation | Method and apparatus for improved pseudo-random number generation |
| US20030112972A1 (en) * | 2001-12-18 | 2003-06-19 | Hattick John B. | Data carrier for the secure transmission of information and method thereof |
-
2001
- 2001-12-13 WO PCT/GB2001/005507 patent/WO2002048846A2/en active Application Filing
- 2001-12-13 JP JP2002550493A patent/JP2004524605A/ja active Pending
- 2001-12-13 EP EP01270203A patent/EP1342216A2/en not_active Ceased
- 2001-12-13 AU AU2002222194A patent/AU2002222194A1/en not_active Abandoned
- 2001-12-13 US US10/450,755 patent/US20040059952A1/en not_active Abandoned
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008517384A (ja) * | 2004-10-15 | 2008-05-22 | ベリサイン・インコーポレイテッド | ワンタイムパスワード |
| JP2008541242A (ja) * | 2005-05-06 | 2008-11-20 | ベリサイン・インコーポレイテッド | トークン共有システムおよび方法 |
| US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
| JP2008262299A (ja) * | 2007-04-10 | 2008-10-30 | Dainippon Printing Co Ltd | 認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラム |
| US11379818B2 (en) * | 2012-07-31 | 2022-07-05 | Worldpay, Llc | Systems and methods for payment management for supporting mobile payments |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2002048846A3 (en) | 2003-03-13 |
| US20040059952A1 (en) | 2004-03-25 |
| AU2002222194A1 (en) | 2002-06-24 |
| EP1342216A2 (en) | 2003-09-10 |
| WO2002048846A2 (en) | 2002-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2004524605A (ja) | 認証システム | |
| US7983987B2 (en) | System and method for conducting secure payment transaction | |
| EP1922686B1 (en) | Method and system for performing two factor mutual authentication | |
| USRE40444E1 (en) | Four-party credit/debit payment protocol | |
| CN103370688B (zh) | 一种由简单用户密码生成多因素个性化服务器强密钥的系统及其方法 | |
| US6915279B2 (en) | System and method for conducting secure payment transactions | |
| US7778934B2 (en) | Authenticated payment | |
| JP4846154B2 (ja) | コンピュータネットワークにおけるセキュア認証決済のための方法およびシステム | |
| US6908030B2 (en) | One-time credit card number generator and single round-trip authentication | |
| AU2019355834B2 (en) | Systems and methods for cryptographic authentication of contactless cards | |
| US20020046092A1 (en) | Method for preventing fraudulent use of credit cards and credit card information, and for preventing unauthorized access to restricted physical and virtual sites | |
| JP2018522353A (ja) | サーバベースド支払のための認証システム及び方法 | |
| WO2002019234A1 (en) | Method and apparatus for secure electronic payments | |
| KR20100072104A (ko) | 신원 인증 방법 | |
| KR20170114905A (ko) | Id 기반 공개 키 암호화를 이용한 전자 지불 방법 및 전자 디바이스 | |
| US20120254041A1 (en) | One-time credit card numbers | |
| US11341232B2 (en) | Smart card as a security token | |
| US20240202722A1 (en) | Secure authentication and transaction system and method | |
| WO2005072492A2 (en) | Nonredirected authentication | |
| AU2002254513B2 (en) | System and method for conducting secure payment transactions | |
| AU2002254513A1 (en) | System and method for conducting secure payment transactions | |
| WO2001046922A2 (en) | Method and apparatus for securely conducting financial transactions over an insecure network | |
| Islam et al. | A PKI Enabled Authentication Protocol for Secure E-Payment Framework | |
| ZA200307558B (en) | System and method for conducting secure payment transactions. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050531 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20051025 |