用於改進的認證的系統、設備和方法與流程
2023-05-28 20:48:46 3
技術領域
本文中所描述的本發明的實施方案總體上涉及認證技巧。更具體地,實施方案涉及利用在比如支付交易的交易中可用的安全推送認證技術的多因素認證技巧。
背景技術:
越來越多的交易涉及操作移動裝置的用戶。交易的常見實施例是支付交易,但是需要用戶認證的大量其他類型的交易是已知的。在許多類型的交易中,越來越重要的是對涉及這樣的交易的用戶進行認證。通常,使用個人識別號(「PIN」)等來對用戶進行認證。然而,變得越來越重要的是提供附加認證層(在本文中被稱為「多因素」認證)來獲得改進的安全性和改進的認證。
發卡機構和其他金融機構現在提供或者使用標準化的網際網路交易協議來改進在線交易性能和加快電子商務的增長。根據一些標準化協議,發卡機構或者發卡銀行可以對交易進行認證,從而降低歸因於持卡者未被授權交易的欺詐和相關聯的退款的可能性。這樣的標準化協議的一個實施例是3-D安全協議。被認證的交易的存在可以導致,如果儘管在在線購買期間努力對持卡者進行了認證,但是欺詐發生(有時稱為「無卡」或者「CNP」交易),則發行機構為欺詐承擔責任。商家由他們將向其為發行機構認證的交易支付費用的發卡機構或者發卡銀行提供保證。3-D安全協議與發卡機構提供的在遠程交易(比如與網際網路相關聯的那些交易)期間對商家的客戶進行認證的認證程序(例如,Verified by VisaTM和/或SecureCodeTM)是一致的,並且是這些認證程序的基礎。
3-D安全協議利用現有的安全套接字層(SSL)加密功能,並且在在線購物會話期間通過發行機構對持卡者進行認證來提供提高的安全性。將可取的是在這樣的交易中提供多因素認證技術。
附圖說明
參照以下結合附圖進行的詳細描述,一些實施方案的特徵和優點以及實現這些特徵和優點的方式將變得更容易明白,附圖圖示說明示例性實施方案,其中:
圖1是根據本公開的實施方案的交易系統的框圖;
圖2A是依照根據本公開的一些實施方案的用於執行裝置註冊和用戶註冊處理的交易系統的一部分的框圖;
圖2B是圖示根據本公開的一些實施方案的裝置註冊處理的流程圖;
圖3A是依照根據本公開的一些實施方案的用於允許用戶添加實體的交易系統的一部分的框圖;
圖3B是圖示根據本公開的一些實施方案的允許註冊用戶添加實體以與用戶裝置相關聯的處理的流程圖;
圖4A是依照根據本公開的一些實施方案的用於執行交易的交易系統的一部分的框圖;以及
圖4B是圖示根據本公開的一些實施方案的使用安全推送認證技術的多因素認證處理的實施例的流程圖。
具體實施方式
總的來說,並且為了介紹本文中所描述的新穎的實施方案的構思的目的,提供了用於對交易(包括例如金融交易)提供改進的認證系統的系統、設備和方法。
在一些實施方案中,提供了改進的認證技巧和方法,這些認證技巧和方法使得可以具有針對商家和消費者這二者的改進的用戶體驗,尤其是當與涉及移動裝置的交易結合使用時的用戶體驗。
此外,在一些實施方案中,認證技巧可以包括附加的認證級別,所述認證級別可以由比如發卡機構的金融機構和/或由持卡者確定,和/或可以逐個交易地確定。這樣的操作或功能使得給定交易所需的認證在一些情況下可以得到增強。例如,如果支付交易大於預定閾值(該閾值可以由例如發行銀行或者持卡者預設),則需要附加的認證級別。附加的認證級別可以涉及提示持卡者在他或她的移動裝置的能力內提供生物計量數據。另外,本文中所描述的實施方案便利這樣的認證方案的採用以及減少被拒絕的交易,所述被拒絕的交易是合法的「無卡」(CNP)交易。
依照一些實施方案,用戶的連接的移動無線裝置(比如智慧型電話、平板計算機、數位音樂播放器、膝上型計算機、智能手錶、個人數字助理(PDA)等)可以被利用來對在線交易中的認證提供附加因素。實施方案通過移動裝置利用安全推送認證技術和/或技巧來遞送最佳的用戶體驗以及遞送分層的認證因素。例如,認證技術,比如指紋生物計量、面部識別應用、語音生物計量應用以及其他認證技術,可以與本文中所描述的架構一起使用。實施方案利用認證平臺(在本文中將作進一步的描述)來使得可以識別在關於特定用戶的特定交易中將使用的適當的認證處理(一個或者更多個)。具體地說,認證平臺可以與若干種不同類型的交易處理結合用來提供適當的認證。為方便起見,在本文中描述了支付交易和/或金融交易,然而,本領域技術人員在閱讀本公開後將意識到,所描述的認證技巧可以在需要用戶認證的其他類型的交易中以可期望的結果被使用。
現在將參照圖1來描述一些實施方案的特徵,圖1是圖示依照一些實施方案的交易系統的一部分的部件的框圖100。依照一些實施方案的交易系統涉及相互交互進行交易的若干個裝置和實體。例如,用戶可以操作移動裝置102來與根據本文中所描述的新穎方面的保障服務平臺104進行交互。應理解,雖然在圖1中僅示出了單個移動裝置102和單個保障服務平臺104,但是在實踐中,在根據本文中所公開的新穎方面的系統中可以涉及大量這樣的裝置。
如圖1所示,移動裝置102包括提供根據移動裝置的類型的特性的功能和/或操作的硬體和/或軟體部件103。例如,如果移動裝置是智慧型電話,則除了被配置為提供智慧型電話功能的軟體之外,它還可以包括比如以下的硬體部件:觸控螢幕顯示器、麥克風、揚聲器、控制器電路、天線、存儲器或存儲裝置以及相機(未示出)。本文中所描述的裝置和/或系統部件中所用的存儲裝置可以由任何類型的非暫時性存儲裝置構成,或者可以是任何類型的非暫時性存儲裝置,所述任何類型的非暫時性存儲裝置可以存儲用於使這樣的電子裝置的一個或者更多個處理器根據本文中所公開的新穎方面運行的指令和/或軟體。
圖1的移動裝置102還可以包括若干個邏輯和/或功能部件(除了見於移動裝置中的普通部件之外)。例如,如圖1所示,這些附加的邏輯和/或功能部件中的一些包括但不限於生物計量保障應用106(或提供該功能的其他軟體和/或中間件部件)以及硬體抽象層108,硬體抽象層108允許與若干個硬體部件或者認證器110進行交互。認證器110可以執行各種不同類型的認證,並且可以包括指紋讀取器112、語音讀取器114和/或數字相機116中的一個或者更多個。例如,數字相機116可以在一些情況下被用來捕捉用戶的面部的照片以在交易期間執行面部識別處理等。應理解,一些移動裝置102可以按照不同的組合包括這樣的認證器110中的兩個或者更多個(例如,智慧型電話可以包括語音讀取器114和相機116,但是不包括指紋讀取器112,而其他類型的移動裝置可以包括所有這三個裝置)。而且,一些類型的移動裝置可以僅包括一種類型的認證器,例如麥克風。
依照一些實施方案,移動裝置102的認證部件中的一些可以基於或者使用標準來進行配置,所述標準比如快速身份在線聯盟公布的所謂的「FIDO」標準(可在www.fidoaaliance.org上獲得,並且出於所有目的整個地通過引用併入本文)。快速身份在線聯盟是被形成來解決強認證裝置之間互操作性的缺乏以及用戶創建並記住多個用戶名和密碼所面對的問題的行業協會。然而,應理解,其他標準或者實現也可以根據本文中所描述的新穎處理以期望的結果被使用。
再次參照圖1,移動裝置102可以與保障平臺104進行通信。如所示,保障平臺104包括若干個部件,所述部件允許保障平臺104與移動裝置102進行交互以執行依照本文中所描述的新穎方面的認證處理。保障平臺104還包括可以用來註冊與移動裝置和其他系統參與者相關聯的信息(比如,舉例來說,來自希望利用本文中所描述的新穎系統和/或處理的特徵來進行認證處理的金融機構或者其他實體的信息)的部件。具體地說,保障平臺104可以包括包含接口120的部件,接口120可以實現為使用簡單對象訪問協議(SOAP)和/或表述性狀態轉移(REST)或其他技巧的Web服務(該Web服務是通過網絡在兩個電子裝置之間進行通信的方法),該Web服務允許在移動裝置102與其他實體之間進行通信。因此,接口120可以是SOAP/REST接口。
圖1還圖示了可以提供若干個操作、功能和/或服務122(並且這些可以使用Web服務接口120訪問)的保障平臺104。這樣的功能和服務可以包括例如生物計量註冊部件124、生物計量保障部件126、生物計量認證部件128以及鑑證服務部件130。保障平臺104還可以包括用於對不同認證協議和/或技巧提供支持的協議支持部件132。例如,協議支持部件132可以包括快速身份在線(FIDO)協議134和/或安全聲明標記語言(SAML)協議136等。另外,不同認證器類型的框架140可以被提供用來對不同認證器類型提供支持。例如,框架可以被提供用來對與用戶認證相關聯的數據進行處理,所述用戶認證包括但不限於指紋142、語音144、面部146、脈搏148和/或其他類型的生物計量認證技巧。裝置框架150也可以針對不同類型的裝置(比如行動電話、平板計算機、膝上型計算機、數位音樂播放器、智能手錶和/或可穿戴裝置等)提供。裝置框架150可以包括關於例如不同品牌和型號的這樣的移動裝置的信息和/或數據和/或類似數據,以及關於與這樣的裝置相關聯的不同類型的硬體和/或軟體部件的數據。認證器類型框架140還可以包括認證硬體、軟體和/或生物計量引擎元數據152(該元數據是描述和/或給予關於其他數據的信息的數據,該數據可以使得找到特定數據實例和/或與特定數據實例一起工作更加容易)。
保障平臺104還可以提供與不同保障框架160相關聯的數據和/或部件。保障框架160可以包括但不限於政策管理器162、分析164、評分166以及保障令牌數據儲存器168。另外,可以提供與保障平臺104的其他內部系統的接口170。如本文中將更詳細地描述的,這些框架和/或部件使得廣泛多樣的裝置以及廣泛多樣的認證用戶可以以對廣泛多樣的不同交易類型提供高認證級別的這樣的方式進行交互。
現在參照圖2A,在圖2A中示出了交易圖200,交易圖200描繪了不同裝置的可以參與裝置註冊和用戶認證登記處理的部分。如所示,用戶操作的移動裝置202與被作為服務平臺204操作的保障平臺進行交互,服務平臺204可以與生物計量資料庫206進行通信。在圖2A所示的實施方案中,交易利用FIDO協議;然而,本領域技術人員將認識到可以使用其他協議。
參照圖2A,在說明性的裝置註冊和生物計量登記處理中,第一交易步驟208可以包括移動裝置202使請求發起註冊的消息被發送到服務平臺204。可以基於註冊裝置的用戶請求來創建消息208(例如,通過與已經被加載到移動裝置202上的生物計量認證應用進行交互)。在一些實施方案中,用戶可以從由第三方運營的應用商店、從發行金融機構、從商家網站和/或從另一個第三方等獲得生物計量認證應用。請求消息208被服務平臺204中的web服務層212接收,服務平臺204將請求208路由到FIDO伺服器214以發起裝置的註冊。註冊請求質詢消息由FIDO伺服器創建,並且然後被發送216到移動裝置202,移動裝置202提示(或者質詢)用戶提供用於認證的生物計量數據。例如,如果將被利用的生物計量數據是指紋數據,則用戶可以被提示將他或她的大拇指放置在與他或她的移動裝置201相關聯的指紋讀取器(未示出)上來捕捉生物計量數據。移動裝置202處的處理還可以包括登記用戶並且產生指紋認證的交易和與服務平臺204的交互中所用的密鑰對的步驟218。如所示,在一些實施方案中,FIDO客戶端模塊220產生用於認證方法的密鑰對,並且將該密鑰對存儲在移動裝置202的安全存儲裝置222中。FIDO客戶端模塊220然後使得用戶公鑰被發送224到服務平臺204的FIDO伺服器214以供用於與用戶數據(在一些實施方案中,包括與生物計量數據相關聯的信息)相關聯地存儲。在一些實施方案中,裝置ID和移動目錄號碼(「MDN」)也被從移動裝置202發送到服務平臺204。在一些實現中,生物計量數據、裝置ID和MDN被存儲在生物計量資料庫206中,並且與來自服務平臺204的信息相關聯,以使得該數據可以根據需要被檢索以按照根據本文中所描述的處理的服務來執行認證。另外,SOAP/REST應用程式接口可以實現為存儲生物計量數據、裝置ID和MDN。服務平臺204還可以通過例如將代表(OBO)服務標誌設置為「真」來存儲生物計量數據是可用的和/或是針對特定裝置ID和/或MDN存儲的指示。
用戶可以按照上面關於圖2A描述的一般處理來註冊若干個生物計量數據項。例如,用戶可以產生或者創建指紋生物計量數據、聲紋數據、面部數據和/或其他數據(比如脈搏數據(該數據可以基於用戶的心跳)等)。另外,用戶可以依照本文中所描述的方法來註冊若干個不同的和/或附加的移動裝置(未示出)。此外,一旦用戶已經註冊了裝置和生物計量數據集,該註冊數據就可以被用來對關於不同交易的並且涉及不同交易方法的用戶進行認證。
圖2B是圖示根據一些實施方案的裝置註冊處理的流程圖250。作為服務平臺進行操作的保障平臺從用戶操作的移動裝置接收252認證註冊請求消息。例如,用戶可以與他或她的移動裝置進行交互來初始化生物計量認證應用,並且被呈現顯示在顯示部件或者他或她的移動裝置上的生物計量認證用戶界面。用戶將信息輸入到和/或以其他方式提供到生物計量認證用戶界面中以產生認證註冊請求消息。生物計量認證用戶界面可以與已經被用戶(例如,從應用商店,比如iTunesTM或者Google PlayTM)下載到移動裝置的生物計量認證應用相關聯。從移動裝置發送的認證註冊請求消息可以包括可以通過裝置的品牌、型號和/或序列號識別裝置的類型的移動裝置數據,並且這樣的信息可以被服務平臺用來識別在用戶移動裝置(比如相機、揚聲器、麥克風等)上可用的認證硬體部件(認證器)的類型(一種或者更多種)。認證註冊請求消息還可以包括用戶數據,比如用戶標識符、行動電話號碼、居住地址、帳單地址等。
再次參照圖2B,保障服務平臺然後對認證註冊請求消息中的數據進行處理254,該處理可以包括將註冊請求消息路由到FIDO伺服器以發起用戶移動裝置的註冊。在這種情況下,FIDO伺服器產生註冊請求質詢消息,該註冊請求質詢消息被發送256到用戶移動裝置202,並且提示用戶提供用於認證的生物計量數據。例如,根據用戶移動裝置的能力,用戶可以被提示拍攝他或她的面部(為了面部識別的目的)和/或將他或她的大拇指放置在與用戶移動裝置相關聯的指紋讀取器上來捕獲指紋(生物計量)數據。另外,用戶移動裝置還可以產生生物計量認證的交易以及與保障服務平臺的交互中所用的密鑰對,並且可以將公鑰連同移動裝置ID和移動目錄號碼(「MDN」)一起發送到保障服務平臺。因此,在這個實施例中,保障服務平臺的FIDO伺服器從用戶移動裝置接收258公鑰,並且將該公鑰與用戶數據(在一些實施方案中,用戶數據包括與生物計量數據相關聯的信息)相關聯地存儲260。如上所述,裝置ID和移動目錄號碼(「MDN」)還可以被從用戶移動裝置發送到作為服務平臺進行操作的保障平臺。在這樣的情況下,作為服務平臺進行操作的保障平臺可以將生物計量數據、裝置ID和MDN存儲262在生物計量資料庫中,並且將該數據與來自保障平臺的信息相關聯以使得該數據可以根據需要被檢索以按照根據本文中所描述的處理的服務來執行認證。SOAP/REST應用程式接口可以實現為存儲生物計量數據、裝置ID和MDN。另外,保障服務平臺264將代表(OBO)服務標誌設置264為「真」,以向第三方裝置(比如發行金融機構伺服器計算機和/或商家計算機)指示生物計量數據是可用的和/或可以用於認證目的的這樣的生物計量數據是針對特定裝置ID和/或MDN存儲的。
因此,保障服務平臺將生物計量數據與用戶數據和移動裝置數據相關聯地存儲在生物計量資料庫中以供未來當交易發生時用於對用戶和/或用戶移動裝置進行認證。因此,在一些實施方案中,用戶生物計量數據、裝置ID和MDN全都被存儲在生物計量資料庫中,並且與來自保障平臺的信息相關聯以使得該數據可以根據需要被檢索以按照根據本文中所描述的處理的服務來執行認證。在一些實施方案中,保障平臺可以利用SOAP/REST應用程式接口來存儲生物計量數據、裝置ID和MDN,並且可以從用戶接收這樣的數據來註冊關於用戶移動裝置中的一個或者更多個的若干個生物計量數據項(比如指紋生物計量數據、聲紋數據、面部數據和/或其他數據)。註冊數據然後可以被保障平臺用來對與可以涉及不同多因素認證方法的不同類型的交易相關聯的用戶和/或用戶移動裝置進行認證。
圖3A是用於允許註冊用戶添加可以使用認證方法的一個或者更多個實體的交易系統的一部分的框圖300。具體地說,註冊用戶可以向服務平臺304添加與本文中所描述的認證處理一起使用的實體。例如,如果用戶希望通過利用該用戶的支付卡帳戶之一來利用他或她的移動裝置304進行支付交易,則用戶將發送添加向用戶發行信用卡的發行金融機構(比如信用卡發行銀行)的請求。因此,如圖3A所示,添加處理可以涉及用戶裝置302、服務平臺304、「發行機構A」web伺服器306A和數據儲存器308之間的交互。多個發行機構web伺服器(被表示為發行機構A web伺服器306A、發行機構B web伺服器306B等等一直到發行機構N web伺服器306N)被示出,因為在一些情況下,特定用戶可以具有例如多個支付帳戶,並且他或她可能希望利用不同的支付帳戶來進行不同的購買交易,並且因此添加用於與本文中所描述的認證方法一起使用的多於一個的實體(即,一個或者更多個發行銀行)。
再次參照圖3A,用戶可以與駐留在他或她的移動裝置302上的可以包括「添加發行機構窗口小部件」311程序的生物計量認證應用310進行交互來初始化添加用來與本文中所描述的多因素認證方法一起使用的發行金融機構或者其他實體的請求。在所述處理的實施方案中,請求消息312被用戶移動裝置302發送到發行機構web伺服器306A(或者代表不同發行機構的web服務)。請求消息312可以利用簡單對象訪問協議(SOAP)消息傳送協議或者表述性狀態轉移(REST)協議來產生,並且為了安全的目的,可以被用戶移動裝置302經由安全套接字層(SSL)協議或者傳輸層安全(TLS)協議發送。請求消息312使發行機構web伺服器306A和服務平臺304之間進行交互314(例如,交互314可以是添加用戶或者用戶移動裝置302與發行機構A之間的關聯的請求)。服務平臺304檢索關於註冊用戶和用戶移動裝置302的信息,並且然後使認證請求消息316被發送到移動裝置302(認證請求消息316可以包括對用戶進行認證的隨機質詢)。移動裝置302的生物計量認證應用310接收認證請求316,並且使得與移動裝置302上的FIDO客戶端318進行交互以提示用戶經由指紋認證器319提供他或她的指紋,如果用戶的指紋被成功認證,則FIDO客戶端318然後使私鑰被解鎖以供使用。用戶移動裝置302然後產生用用戶的私鑰籤名的認證響應,並且將該認證響應發送到服務平臺304。服務平臺304處的FIDO伺服器322接收籤名的認證響應,並且對該響應進行驗證(通過使用存儲的與註冊用戶相關聯的公鑰)。一旦用戶和用戶移動裝置302被認證,響應324就從服務平臺304發給發行機構A web伺服器306A,響應324可以包括用服務平臺304的證書籤名的唯一發行機構ID。然後可以在數據儲存器308處創建並存儲將發行機構ID與用戶相關聯的記錄。以這種方式,用生物計量認證器密鑰操作移動裝置302的用戶可以與發行機構A(或者需要對用戶的交易進行認證的其他提供商)相關聯,以使得涉及用戶、移動裝置302和發行機構A(並且由此發行機構A web伺服器306A)的交易可以在交易期間使用認證服務平臺304進行認證。
圖3B是圖示註冊用戶添加可以根據本文中所描述的多因素認證技巧對其使用認證方法的實體的處理350的流程圖。在一些實施方案中,作為服務平臺進行操作的保障平臺從實體裝置(比如發行金融機構web伺服器)接收352添加實體請求消息以在該實體和註冊用戶和/或註冊用戶的移動裝置之間添加關聯性以使得利用安全推送認證技術的多因素認證技巧可以與涉及該實體和註冊用戶的交易相關聯地被使用。在接收到添加實體請求消息之後,服務平臺檢索354註冊用戶和該用戶的移動裝置的信息和/或數據,並且然後將認證請求消息(該消息可以包括對用戶進行認證的隨機質詢)發送356到用戶移動裝置(例如,通過利用用戶的行動電話的行動電話號碼)。
在一些情況下,駐留在用戶移動裝置上的生物計量認證應用接收認證請求,並且提示用戶執行生物計量認證處理。如果用戶被移動裝置認證,則與移動裝置上的FIDO客戶端發生交互,該交互使私鑰被解鎖以供使用。用戶移動裝置然後通過將用用戶的私鑰籤名的認證響應發送到服務平臺來對認證請求消息做出響應。
再次參照圖3B,服務平臺的FIDO伺服器從用戶移動裝置接收358用用戶的私鑰籤名的認證響應。保障平臺FIDO伺服器對籤名的認證響應進行驗證360(通過使用存儲的與註冊用戶相關聯的公鑰)。一旦註冊用戶和該用戶的移動裝置被認證,保障服務平臺將確認實體的添加的響應連同用保障服務平臺的證書籤名的唯一實體標識符(ID)一起發送362到實體。例如,參照圖3A,服務平臺在對註冊用戶和/或該用戶的移動裝置進行認證之後發送確認消息,該確認消息向發行機構A web伺服器306A通知發行機構A已經被添加,並且包括用服務平臺304的證書籤名的唯一發行機構ID。接著,保障服務平臺在數據儲存器中創建並存儲364將唯一實體ID與註冊用戶相關聯的記錄。以這種方式,保障服務平臺通過將註冊用戶和該用戶的移動裝置與附加實體相關聯來添加實體,以使得當涉及註冊用戶、該用戶的移動裝置和添加的實體的交易發生時,本文中所描述的利用安全推送認證技術的多因素認證技巧可以被用於交易。
圖4A是根據一些實施方案的用於執行交易的交易系統400的一部分的框圖。該實施例例示說明用戶(消費者)與商家之間的一般遵循3D安全處理的金融交易。在一些實施方案中,若干個不同的實體和/或裝置可以涉及特定的金融交易,比如商家裝置402、生物計量資料庫404、目錄服務伺服器406、訪問控制伺服器(ACS)408、作為服務平臺410的認證裝置以及用戶移動裝置412。因此,在一些實現中,SOAP/REST應用控制程序可以被用於商家裝置402、生物計量資料庫404、目錄服務伺服器406和訪問控制伺服器(ACS)408之間的通信。另外,FIDO協議可以被用來便利ACS 408、服務平臺410和用戶移動裝置412之間的通信。此外,安全聲明標記語言(SAML)協議可以被用於服務平臺310和ACS 408之間的通信。在本文中將不提供支付交易的全部細節,然而,在支付交易期間(其中用戶正在從商家購買貨物(商品)或者服務),用戶可能需要被認證。根據本文中所描述的方法,可以基於用戶標識符或者消費者標識符來確定金融交易所需的認證的性質。用戶標識符或者消費者標識符的實施例包括但不限於用戶的行動電話號碼和/或用戶的主帳戶號碼(可以對應於信用卡帳戶或者其他金融帳戶的「PAN」)或者與用戶相關聯的支付令牌。
因此,參照圖4A,在實現中,商家裝置402將用戶的PAN發送403到生物計量資料庫404,生物計量資料庫404確定存在可用的用戶生物計量數據,該數據可以被用來對用戶或者消費者和/或用戶的移動裝置412進行認證。生物計量資料庫404然後可以將用戶的PAN發送405到目錄服務伺服器406,目錄服務伺服器406將PAN與發行用戶的支付帳號的發行金融機構(FI)匹配。目錄服務伺服器406接著將與用戶的發行FI相關聯的發行機構標識符(發行機構ID)發送407到訪問控制伺服器(ACS)408,ACS 408利用web服務409將信息(比如交易數據和用戶認證請求)發送411到服務平臺410的web服務層413。認證請求包括識別將被執行的認證的性質的信息(該性質可以例如在一個或者更多個經營政策中指定,所述經營政策是由用戶的正被用戶用於該特定支付交易的支付卡帳戶的發行FI指定的)。
在一些實施方案中,服務平臺410的web服務層413從ACS 408的web服務409接收411發行機構ID以及與該發行FI相關聯的一個或者更多個經營政策。經營政策可以指定例如用戶識別信息何時可以被充分信任、何時需要保障、和/或用戶識別信息何時不被信任。因此,在一些實現中,認證級別(比如多因素認證)也可以根據發行機構的一個或者更多個經營政策來指定。例如,如果用戶的在線購買交易涉及的金額大於五百美元($500),則與發行FI相關聯的經營規則可以通過除了商家從用戶收集CVC碼之外還要求指紋驗證和/或聲紋驗證來要求有效用戶的進一步保障。在另一個實施例中,如果特定用戶的在線購買交易的金額小於或等於二十五美元($50),則只需要CVC碼,而無需另外的保障。
再次參照圖4A,一旦從ACS 409接收到用戶認證請求,服務平臺410就使FIDO伺服器415產生適當的認證請求消息,並且將該認證請求發送416到移動裝置412(例如,識別將被執行的認證的性質)。移動裝置412的生物計量認證應用414接收認證請求消息,並且然後提示用戶(其在生物計量認證應用414的控制下與移動裝置412進行交互)發起認證處理(例如,生物計量認證應用414提示用戶通過與移動裝置的麥克風進行交互來提供聲紋,和/或提示用戶通過與移動裝置的相機進行交互來提供用戶的面部的照片)。該用戶認證數據然後被從移動裝置412發送420到服務平臺410的FIDO伺服器415以發起認證。服務平臺然後發送移動裝置412的FIDO客戶端418接收的認證請求422。一旦用戶已經被移動裝置412驗證,FIDO客戶端418就獲得相關的私鑰,然後產生認證響應並且用用戶的私鑰對該認證響應進行籤名。籤名的認證響應然後被發送到服務平臺410進行進一步處理。因此,響應於用戶認證請求的什麼生物計量數據要從用戶收集的確定可以基於發行FI的經營政策,然後被提供給服務平臺410。
依照一些實施方案,用戶移動裝置的生物計量保障應用414可以被配置為提供某個收集的認證數據的本地存儲(未示出)。例如,生物計量保障應用414可以被配置為對收集的認證數據(生物計量數據)進行驗證,以使得移動裝置412和服務平臺410之間的交互涉及成功或失敗消息連同與認證數據相關聯的信息一起的發送。然而,在一些實施方案中,生物計量保障應用414將收集的認證數據(生物計量數據)傳遞到服務平臺410進行驗證和/或認證處理。
一旦用戶已經被認證,可以以SAML令牌的形式產生的認證確認消息就被從保障服務平臺410的web服務層413發送到ACS 408以使得支付交易可以完成。在一些實施方案中,SAML令牌還被作為支付交易處理正在繼續進行的指示發送432到移動裝置412。應理解,實施方案使得這樣的生物計量認證處理可以與廣泛多樣的不同類型的交易結合使用。此外,經營規則可以限定什麼類型和/或級別的認證將被用於使用給定裝置的給定交易。結果是提供具有廣泛多樣的認證技巧的多因素認證的系統和方法。
圖4B是圖示根據本公開的一些實施方案的使用安全推送認證技術的多因素認證處理450的實施例的流程圖。具體地說,作為認證服務平臺進行操作的保障平臺的web服務層從訪問控制伺服器(ACS)接收452用戶認證請求連同交易信息。交易信息識別將被執行的認證的性質(該信息可以例如在一個或者更多個經營政策中指定,所述經營政策是由用戶的正被用戶用於該特定支付交易的支付卡帳戶的發行FI指定的)。因此,在一些實施方案中,服務平臺的web服務層從ACS接收發行機構ID以及與該發行機構FI相關聯的一個或者更多個經營政策。經營政策可以包括例如指定用戶識別信息何時可以被充分信任的規則、和/或指定何時需要保障的規則、和/或指定用戶識別信息何時不被信任的規則。在一些實現中,多因素認證可以根據實體(比如用戶的支付卡帳戶的發行機構)的一個或者更多個經營政策來指定。
再次參照圖4B,在從ACS接收到用戶認證請求之後,服務平臺的FIDO伺服器產生454指示將被執行的認證的性質的用戶驗證請求消息。該用戶驗證請求消息然後被發送456到用戶的移動裝置。用戶然後與他或她的移動裝置進行交互,並且提供生物計量數據(經由與一個或者更多個認證器的交互)。如果有效的生物計量數據被提供給用戶的移動裝置的一個或者更多個認證器,則作為服務平臺進行操作的保障平臺的FIDO伺服器從移動裝置接收458用戶認證數據以發起認證。當作為服務平臺進行操作的保障平臺對用戶進行認證(例如,通過將接收的生物計量數據與存儲在生物計量資料庫中的註冊用戶的數據進行比較並且確定接收的數據與存儲的數據匹配)時,保障平臺接著將認證請求發送460到移動裝置的FIDO客戶端。保障平臺的FIDO客戶端然後獲得用於給認證響應籤名的相關的私鑰。接著,作為服務平臺進行操作的保障平臺從用戶的移動裝置接收462針對認證請求的籤名的認證響應,並且當對籤名的認證響應進行驗證時,保障平臺將認證確認消息(該消息可以是SAML令牌的形式)發送464到ACS。ACS然後對用戶和實體(例如,商家)之間的交互進行進一步處理。在一些實施方案中,服務平臺還將認證確認消息(該消息也可以是SAML令牌的形式)作為支付交易處理正在繼續進行的指示發送466到用戶的移動裝置。
上面對本文中的處理的描述和圖示不應被認為是暗示執行處理步驟的順序是固定的。相反,處理步驟可以按可實行的任何順序執行,包括同時執行至少一些步驟。
儘管已經結合特定示例性實施方案描述了本發明,但是應理解,在不脫離所附權利要求中所述的本發明的精神和範圍的情況下,可以對所公開的實施方案進行本領域技術人員明晰的各種改變、替換和變更。