CN110574032A - 生成访问凭证的***和方法 - Google Patents
生成访问凭证的***和方法 Download PDFInfo
- Publication number
- CN110574032A CN110574032A CN201880027652.0A CN201880027652A CN110574032A CN 110574032 A CN110574032 A CN 110574032A CN 201880027652 A CN201880027652 A CN 201880027652A CN 110574032 A CN110574032 A CN 110574032A
- Authority
- CN
- China
- Prior art keywords
- computer
- user
- resource provider
- authorizing entity
- provider computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
公开了一种方法。所述方法包括:由资源提供商操作的资源提供商计算机从由用户操作的通信装置接收获得用以访问资源的受限访问凭证的请求,且接着由所述资源提供商计算机生成与所述资源提供商计算机与所述通信装置之间的过去交互相关的交互历史数据。所述方法还包括由所述资源提供商计算机向授权实体计算机传输与所述过去交互相关的所述交互历史数据,所述授权实体计算机响应于接收到所述交互历史数据而确定受限访问凭证。所述方法还包括由所述资源提供商计算机从所述授权实体计算机接收所述受限访问凭证。所述受限访问凭证允许所述通信装置的用户获得所述资源。
Description
相关申请的交叉引用
本申请要求2017年4月27日提交的第15/498,963号美国专利申请的提交日的权益,所述申请以全文引用的方式并入本文中。
背景技术
发行可能在例如护照、支付卡和访问徽章的装置上体现或由所述装置体现的访问凭证是费时的。例如,在发行此类访问凭证之前,需要进行广泛的验证过程。作为说明,试图获得驾驶执照的用户需要提供大量信息和文档,之后才可以发行驾驶执照。授权实体审查信息的过程会花费大量时间,且在审查完成前不会发行驾驶执照。获得访问凭证的常规过程也是不便的,这是由于用户可能需要前往特定位置以提供信息来获得凭证。
本发明的实施例个别地以及共同地解决这些问题和其它问题。
发明内容
本发明的实施例涉及生成访问凭证的更有效且高效方式。
本发明的一个实施例涉及一种方法。所述方法包括由资源提供商计算机从由用户操作的通信装置接收获得用以访问资源的受限访问凭证的请求。所述方法还包括生成与资源提供商计算机与通信装置的用户之间的过去交互相关的交互历史数据,并向授权实体计算机传输与过去交互相关的交互历史数据。授权实体计算机响应于接收到交互历史数据而确定受限访问凭证。所述方法还包括由资源提供商计算机从授权实体计算机接收受限访问凭证。受限访问凭证允许通信装置的用户获得资源。
本发明的另一实施例涉及一种被编程以执行上述方法的计算机。
本发明的另一实施例涉及一种方法,其包括由授权实体计算机从资源提供商计算机接收交互历史数据。交互历史数据与资源提供商计算机与通信装置之间的过去交互相关。所述方法还包括由授权实体计算机响应于接收到交互历史数据而确定受限访问凭证,并向资源提供商计算机传输受限访问凭证。
本发明的另一实施例涉及一种被编程以执行上述方法的计算机。
关于本发明的实施例的其它细节可见于具体实施方式和附图。
附图说明
图1示出根据本发明的实施例的***的框图。***可以用于访问例如来自资源提供商的商品和服务的资源。
图2示出根据本发明的实施例的示例性通信装置的框图。
图3示出根据本发明的实施例的示例性资源提供商计算机的框图。
图4示出根据本发明的实施例的授权实体计算机的框图。
图5示出说明根据本发明的实施例的方法的流程图。
图6A-6E示出在本发明的实施例中可能出现在通信装置上的用户接口。
图7示出说明用于访问例如受限数据的资源的***的框图。
具体实施方式
本发明的实施例涉及实时提供访问凭证的方法和***。通过使用本发明的实施例,用户可以无延迟地访问特定资源。
在论述本发明的特定实施例之前,可以详细地描述一些术语。
“通信装置”可包括可能具有远程通信能力的任何合适的电子装置。远程通信能力的实例包括使用移动电话(无线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi-Fi、Wi-Max或可以提供对网络(例如,因特网或专用网络)的访问的任何其它通信介质。通信装置的实例包括移动电话(例如,蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用阅读器等。通信装置的其它实例包括可穿戴装置,例如智能手表、健身手环、脚链、戒指、耳环等,以及具有远程通信能力的汽车。通信装置可包括用于执行此类功能的任何合适的硬件和软件,并且还可包括多个装置或组件(例如,当装置通过系固到另一装置而远程访问网络时,即,使用其它装置作为调制解调器,一起使用的两个装置可以被认为是单个移动装置)。
“支付装置”可以是可以用于进行金融交易(例如向商家提供支付凭证)的任何合适的装置。支付装置可以是软件对象、硬件对象或物理对象。作为物理对象的实例,支付装置可包括例如纸卡或塑料卡的衬底,以及在对象的表面处或附近印刷、压花、编码或以其它方式包括的信息。支付装置可以用于进行支付交易。合适的支付装置可以是手持式且紧凑的,使得它们能够放到用户的钱包和/或口袋中(例如,可为口袋大小的)。实例支付装置可包括智能卡、磁条卡、密钥链装置(例如可从Exxon-Mobil公司购买的SpeedpassTM)等。支付装置的其它实例包括寻呼机、支付卡、安全卡、访问卡、智能介质、应答器等。如果支付装置呈借记卡、***或智能卡的形式,则支付装置还可任选地具有例如磁条的特征。此类装置可以以接触式或非接触式模式操作。在一些实施例中,移动通信装置可以用作支付装置(例如,移动通信装置可以存储并且能够传输用于交易的支付凭证)。
“凭证”可以是充当价值、拥有权、身份或授权的可靠证据的任何合适的信息。凭证可以是一串数字、字母或任何其它合适的字符,以及可以充当所讨论事实的确认的任何对象或文档。凭证的实例包括价值凭证、身份证、认证文档、通行卡、密码和其它登录信息等。
“受限访问凭证”可以是可能具有某些使用条件的凭证。受限访问凭证可能具有有限的持续时间并具有有限的权限。例如,受限访问凭证可能仅用于访问某些类型的资源(例如,某些类型的数据)、至多使用某一价值金额、仅用于某些资源提供商、限于特定数目个交易(例如,一个交易)等。其它限制可能涉及可以使用的时间周期。受限访问凭证还可包括在使用上具有一些限制的支付凭证。受限账户凭证的实例可包括支付凭证、支付令牌、例如电子邮件地址的账户标识符、中转账号、医疗记录账号、公用密钥、用户名等。
“支付凭证”可包括与账户相关联的任何合适信息(例如,与账户相关联的支付账户和/或支付装置)。此类信息可以与账户直接相关,或可以源自与账户相关的信息。账户信息的实例可包括PAN(主账号或“账号”)、支付令牌、用户名、到期日期、CVV(卡验证值)、dCVV(动态卡验证值)、CVV2(卡验证值2)、CVC3卡验证值等。
“令牌”可以是凭证的替代值。令牌可以是一串数字、字母或任何其它合适的字符。令牌的实例包括支付令牌、访问令牌、个人识别令牌等。
“支付令牌”可包括支付账户的标识符,它是账户标识符的替代,例如主账号(PAN)。例如,支付令牌可包括可以用作原始账户标识符的替代的一连串字母数字字符。例如,令牌“4900 0000 0000 0001”可以用于代替PAN“4147 0900 0000 1234”。在一些实施例中,支付令牌可以是“保留格式的”,并且可以具有与现有交易处理网络中使用的账户标识符一致的数字格式(例如,ISO 8583金融交易消息格式)。在一些实施例中,支付令牌可以代替PAN用来发起、授权、结算或解决支付交易,或在通常会提供原始凭证的其它***中表示原始凭证。在一些实施例中,可以生成支付令牌,使得不可以通过计算方式导出从令牌值恢复原始PAN或其它账户标识符。此外,在一些实施例中,令牌格式可以配置成允许接收令牌的实体将其识别为令牌,并辨识发行令牌的实体。
“令牌化”是用替代数据代替数据的过程。例如,可以通过用可能与支付账户标识符(例如,主账号(PAN))相关联的替代号(例如,令牌)代替主账户标识符来使支付账户标识符令牌化。此外,令牌化可以应用于可以用替代值(即,令牌)代替的任何其它信息。令牌化提高交易效率和安全性。
“令牌发行方”、“令牌提供商”或“令牌服务***”可包括服务令牌的***。在一些实施例中,令牌服务***可以促进请求、确定(例如,生成)和/或发行令牌,以及在存储库(例如,令牌库)中维持所建立的令牌到主账号(PAN)的映射。在一些实施例中,令牌服务***可以为给定令牌建立令牌保证级别,以指示令牌与PAN绑定的信任级别。令牌服务***可包括存储所生成的令牌的令牌库或与所述令牌库通信。令牌服务***可以通过使令牌去令牌化以获得实际PAN来支持对使用令牌提交的支付交易进行令牌处理。在一些实施例中,令牌服务***可仅包括令牌化计算机,或还包括例如交易处理网络计算机的其它计算机。令牌化生态***的各种实体可以承担令牌服务提供商的角色。例如,支付网络和发行方或其代理方可以通过根据本发明的实施例实施令牌服务而成为令牌服务提供商。
“应用程序”可以是计算机代码或存储在计算机可读介质(例如,存储器元件或安全元件)上的其它数据,所述计算机代码或其它数据可以由处理器执行以完成任务。
“用户”可包括个人。在一些实施例中,用户可以与一个或多个个人账户和/或移动装置相关联。用户还可以被称为持卡人、账户持有者或消费者。
“资源提供商”可以是可以提供例如商品、服务、信息和/或访问的资源的实体。资源提供商的实例包括商家、数据提供商,政府部门、交通部门等。“商家”通常可以是参与交易并且可以出售商品或服务或提供对商品或服务的访问的实体。
“收单方”通常可以是与特定商家或其它实体具有业务关系的业务实体(例如,商业银行)。一些实体可以执行发行方和收单方两者的功能。一些实施例可以涵盖此类单实体发行方-收单方。收单方可以操作收单方计算机,其也可以被统称为“传输计算机”。
“授权实体”可以是授权请求的实体。授权实体的实例可包括发行方、政府机构、文档存储库、访问管理员等。“发行方”通常可指维持用户的账户的业务实体(例如,银行)。发行方也可以向消费者发行存储在例如蜂窝电话、智能卡、平板电脑或笔记本电脑的用户装置上的支付凭证。
“授权请求消息”可以是请求对交易的授权的电子消息。在一些实施例中,授权请求消息被发送给交易处理计算机和/或支付卡的发行方,以请求交易授权。根据一些实施例的授权请求消息可以符合ISO 8583,ISO 8583是用于交换与用户使用支付装置或支付账户进行的支付相关联的电子交易信息的***的标准。授权请求消息可包括可以与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括与“识别信息”对应的额外数据元素,包括(只作为实例):服务代码、CVV(卡验证值)、dCVV(动态卡验证值)、PAN(主账号或“账号”)、支付令牌、用户名、到期日期等。授权请求消息还可以包括“交易信息”,例如与当前交易相关联的任何信息,例如交易金额、商家标识符、商家位置、收单方银行识别号(BIN)、卡接受器ID、识别正购买项目的信息等,以及可以用于确定是否识别和/或授权交易的任何其它信息。
“授权响应消息”可以是响应于授权请求的消息。在一些情况下,授权响应消息可以是由发行金融机构或交易处理计算机生成的对授权请求消息的电子消息应答。授权响应消息可包括(仅作为实例)以下状态指示符中的一个或多个状态指示符:批准—交易被批准;拒绝—交易未被批准;或呼叫中心—挂起更多信息的响应,商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码,其可以是***发行银行响应于电子消息中的授权请求消息(直接地或通过交易处理计算机)返回给商家的访问装置(例如POS设备)的指示交易被批准的代码。所述代码可以充当授权的证据。
“服务器计算机”可包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可以耦合到数据库,且可包括用于服务来自一个或多个客户端计算机的请求的任何硬件、软件、其它逻辑或前述内容的组合。服务器计算机可包括一个或多个计算设备,且可以使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。
图1示出包括数个组件的***100。***100包括可以与用户110相关联的通信装置120。通信装置120可以经由通信网络180与资源提供商计算机130通信。合适的通信网络可以是下列中的任一个和/或组合:直接互连;因特网;局域网(LAN);城域网(MAN);作为因特网上节点的运行任务(OMNI);安全定制连接;广域网(WAN);无线网络(例如,采用例如但不限于无线应用协议(WAP)、I-模式等等的协议)等等。可以使用安全通信协议,例如但不限于:文件传输协议(FTP)、超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、安全套接层(SSL)、ISO(例如,ISO 8583)等等来传输计算机、网络与装置之间的消息。
通信装置120、资源提供商计算机130、传输计算机140、交易处理计算机150和授权实体计算机160可以全部通过任何合适的通信信道或通信网络而彼此可操作地通信。
用户110可以使用通信装置120来与资源提供商进行交易,所述资源提供商与资源提供商计算机130相关联。由资源提供商计算机130提交的对那些交易的授权请求消息可以发送到传输计算机140(其可以是与收单方相关联的收单方计算机)。传输计算机140可以与资源提供商计算机130相关联,且可以代表与资源提供商计算机130相关联的资源提供商来管理授权请求并管理账户。
如图1中所示,交易处理计算机150可以安置在传输计算机140与授权实体计算机160之间。交易处理计算机150可包括用来支持和传送授权服务、异常文件服务以及清算与结算服务的数据处理子***、网络和操作。例如,交易处理计算机150可包括(例如,通过外部通信接口)耦合到网络接口的服务器和信息数据库。交易处理计算机150可以表示交易处理网络。示例***易处理网络可包括VisaNetTM。例如VisaNetTM的交易处理网络能够处理***交易、借记卡交易以及其它类型的商业交易。具体地说,VisaNetTM包括处理授权请求的VIP***(Visa集成支付***)以及执行清算与结算服务的Base II***。交易处理计算机150可以使用任何合适的有线或无线网络,包括因特网。
图1还示出交易处理计算机150可访问的令牌服务***152。令牌服务***152可以存储支付令牌和对应于支付令牌的实际账号。
授权实体计算机160可以发行并管理用户110的账户。账户可以绑定到受限访问凭证。授权实体计算机160可以对涉及支付账户的交易进行授权。在授权交易之前,授权实体计算机160可以认证并处理授权请求消息中接收到的凭证,并进行检查以查看与受限访问凭证相关联的账户中是否存在可用的信用或资金。授权实体计算机160还可以接收和/或确定与交易相关联的风险水平,并且可以在决定是否授权交易时权衡风险。如果授权实体计算机160接收到包括支付令牌的授权请求,则授权实体计算机160可以有能力对支付令牌进行去令牌化,以便获得相关联的支付凭证。在一些实施例中,受限访问凭证可以是令牌,例如支付令牌。
图2中示出呈移动装置形式的通信装置120的实例。通信装置120可包括用于实现某些装置功能(例如电话)的电路。负责实现这些功能的功能元件可包括处理器120A,所述处理器可以执行实施装置的功能和操作的指令。处理器120A可以访问存储器120E(或另一合适的数据存储区或元件),以检索指令或用以执行指令的数据。例如相机、键盘或触摸屏的数据输入/输出元件120C可以用于使得用户能够操作通信装置120并且输入数据(例如,用户认证数据)。数据输入/输出元件还可以被配置成(例如,经由扬声器)输出数据。显示器120B也可以用于将数据输出到用户。通信元件120D可以用于实现通信装置120与有线或无线网络之间的数据传输(例如,经由天线120H),以帮助连接到因特网或其它网络,并且实现数据传输功能。通信装置120还可以包括非接触式元件接口120F,以实现装置的非接触式元件120G与其它元件之间的数据传输,其中非接触式元件120G可包括安全存储器和近场通信数据传输元件(或另一种形式的短距离通信技术)。
存储器120E可包括资源提供商应用程序120J和凭证模块120L,以及任何其它合适的模块或数据。
资源提供商应用程序120J可包括代码,所述代码可由处理器120A执行以提供用户接口,以供用户110使用通信装置120提供输入并起始、促进和管理交易。资源提供商应用程序120J可以有能力存储和/或访问支付令牌和/或支付凭证。资源提供商应用程序120J还可以使用处理器120A存储发行方专用密钥或任何其它合适的加密手段。资源提供商应用程序120J结合处理器120A可以有能力使通信装置120以任何合适方式(例如,NFC、QR码等)传输支付令牌和/或支付凭证。
凭证模块120L可包括可由处理器120A执行以请求受限访问凭证和/或存储受限访问凭证的代码。此类受限访问凭证可以用于物理定点服务(例如,物理销售点、物理访问点等)交易。
图3中示出资源提供商计算机170的实例。资源提供商计算机170包括耦合到网络接口170B的数据处理器170A、用户数据库170C和计算机可读介质170D。计算机可读介质170D可包括凭证请求模块170E、交易处理模块170F和交互历史模块170G。
凭证请求模块170E可包括可由处理器170A执行以从授权实体计算机请求受限访问凭证的代码。
交易处理模块170F可包括可由处理器170A执行以处理支付或其它类型的交易的代码。所述模块还可包括可由处理器170A执行以生成授权请求消息,并接收且输出从授权实体计算机接收到的授权响应消息的代码。
交互历史模块170E可包括可由处理器170A执行以创建各种用户的交互历史数据,并将所述数据存储在用户数据库170C中的代码。交互历史数据可包括与用户与资源提供商之间的交互历史相关的合适数据。例如,交互历史数据可包括与用户已与特定资源提供商交互的次数、与特定资源提供商进行交易的值和/或资源提供商与用户之间的交互频率相关的数据。在一些实施例中,交互历史数据还可包括由资源提供商计算机170提供的汇总报告。例如,汇总报告可以汇总资源提供商与用户110之间的任何交互。所述报告可包括例如用户110请求的索赔和拖欠收费数目、可以指示用户110可信或不可信的任何欺诈评分等信息。
图4中示出根据本发明的一些实施例的授权实体计算机160的实例。交易处理计算机160包括处理器160A、网络接口160B、凭证数据库160C和计算机可读介质160D。
计算机可读介质160D可包括交易处理模块160E、凭证确定模块160F和任何其它合适的软件模块。
交易处理模块160E可包括使处理器160A处理交易的代码。例如,交易处理模块160E可含有使处理器160A分析交易风险,并确定是应批准还是拒绝交易的逻辑。
凭证确定模块160F可包括使处理器160A确定适当凭证的代码。可以通过生成凭证,或从预先存在的凭证池选择凭证来确定适当凭证。如果凭证是生成的,则可以使用任何合适的算法来生成凭证。
凭证确定模块160F也可包括可由处理器160A执行以评估交互历史数据和/或从资源提供商计算机170接收到的用户数据,以确定是否应发行凭证和/或是否应在凭证上放置任何限制的代码。可以对照当地黑名单检查例如生物特征识别数据、地址信息等用户数据,以确定是否可以向用户发行受限使用凭证。
在一些实施例中,可以取决于资源提供商计算机170与用户110之间的交互的级别或质量来变化放置在受限访问凭证上的限制。例如,如果用户110频繁地与资源提供商计算机170交互,则相比可以提供到与资源提供商计算机170较不频繁交互的另一用户的类似受限访问凭证,所述受限访问凭证可以具有较少限制。说明性地,如果用户110通过每周购买两次商品与资源提供商计算机170交互且每次交互花费超过100美元,并且资源提供商在那些交易中未遇到任何问题,则受限访问凭证的有效期可以为一年且可以具有2000美元的交易限额。另一方面,如果另一用户在过去仅与资源提供商计算机170进行过一次价值为50美元的交易交互,则发行给所述用户的受限访问凭证可以具有100美元的限额且有效期可以仅为一周。
可以将任何合适类型的限制放置在由凭证确定模块160F提供的受限访问凭证上。限制的实例可包括(但不限于)资源提供商的类型、可以使用受限访问凭证的时间周期、受限访问凭证的价值限额、对可以使用受限访问凭证令牌的人的限制、使用受限访问凭证的频率。
可以参考图1到6描述根据本发明的实施例的方法。
最初,用户110可以拥有通信装置120。用户110可以使用通信装置120与资源提供商计算机170通信。在一些实施例中,移动通信装置可以经由资源提供商应用程序120J或经由通信装置120上的浏览器与资源提供商计算机170通信。
在选择想获得的资源(例如,由资源提供商提供的商品或服务)之前或之后,用户110可以请求受限访问凭证,使得用户可以与资源提供商进行交易。在步骤502中,通信装置102可以向资源提供商计算机170传输请求。提供API(应用程序编程接口)的虚拟卡可以用于在资源提供商计算机170/资源提供商应用程序120J与授权实体计算机160之间提供接口。
如图6A中所说明,通信装置120可以显示使用银行转账、货到付款、现有***或借记卡或新发行的***来支付由操作资源提供商计算机170的资源提供商提供的资源的选项。新发行的***可以是受限访问凭证的实例。在此实例中,用户接着可以选择使用新发行的***支付交易的选项,且可以示出如图6B中示出的接口的用户接口。
一旦选择了新发行的***选项,可以由通信装置120来收集用户数据。如图6B中所示,用户110可以输入其姓名、移动电话号码、在不同装置上接收到的一次性密码(OTP),和/或例如国民ID、社会保障号码、驾驶执照编号等的另一用户标识符。如图6C中所示,可以由通信装置120获得额外文档。可以使用通信装置120中的相机来捕获物理认证令牌,例如护照的照片。用户还可能需要提供其它类型的文档以证明用户是可靠的用户。接着,如图6D中所示,可以使用通信装置120来拍摄用户110的照片或视频。可以显示用户要遵循的指令。另外,可能要求用户提供其它类型的生物特征识别样本,例如静态照片、指纹、视网膜扫描、语音样本等。所有此类信息或较多或较少此类信息可以从通信装置120传输到资源提供商计算机170。例如,额外信息还可包括与操作资源提供商计算机170的资源提供商相关联的用户ID(例如,电子邮件地址或用户名)。
一旦资源提供商计算机170接收到此请求,资源提供商计算机170可以确定进行交易的特定用户110的交互历史数据。交互历史数据可包括与用户与资源提供商之间的交互历史相关的合适数据。例如,交互历史数据可包括与用户已与特定资源提供商交互的次数、与特定资源提供商进行交易的值和/或资源提供商与用户之间的交互频率相关的数据。
在步骤504处,通信装置120可以将交互历史数据和用户数据传输到授权实体计算机160。在步骤506中,授权实体计算机160可以分析用户数据和交互历史数据,并大体上实时地(例如,低于5分钟或低于1分钟)确定是否可以向通信装置102发行受限访问凭证。应注意,在一些实施例中,通信装置102的用户和通信装置102自身可能先前未曾与授权实体计算机160联系或通信。
在一些实施例中,将表示用户的生物特征识别样本的数据和表示认证用户的物理认证令牌的数据从通信装置120传输到资源提供商计算机170。资源提供商计算机170随后向授权实体计算机160传输表示用户110的生物特征识别样本的数据,和表示认证用户110的物理认证令牌的数据连同交互历史数据。
在步骤510中,如果授权实体计算机160确定可以发行受限访问凭证,则授权实体计算机160可以确定受限访问凭证。授权实体计算机160可以通过生成受限访问凭证,或从预先存在的受限访问凭证池选择受限访问凭证来确定受限访问凭证。受限访问凭证可包括例如识别与授权实体计算机160相关联的授权实体的BIN(银行识别号)的第一部分,和识别特定账户的剩余部分。可以***地或随机地生成剩余部分。在一些实施例中,受限访问凭证可以类似于具有16、18或19个数字的主账号。受限访问凭证的前六个数字可包括与授权实体计算机160相关联的BIN或银行标识符编号。
在一些实施例中,一旦确定了受限访问凭证,可以将凭证存储在卡支付管理***或核心银行***/第三方存储库中。在卡支付管理***中,受限访问凭证可以按列存储在表格中。表格可能具有其它列,包括用户ID的用户ID列和用户姓名的姓名列。也可能存在其它列。此类列可包括从通信装置120或资源提供商计算机170接收到的用户数据或交互历史数据中的任一个的列。在核心银行***中,受限访问凭证可以存储在一列中,其中其它列包括客户ID和余额列。
在步骤512中,可以将受限访问凭证传输到资源提供商计算机170。在一些实施例中,可以在将受限访问凭证传输到资源提供商计算机170之前用加密密钥对其进行加密。资源提供商计算机170可以存储对应的解密密钥,以解密经过加密的受限访问凭证。
此时,资源提供商计算机170可以将接收到的受限访问凭证存储在用户数据库170C中,且可以将其链接到所述资源提供商的用户的用户标识符。如步骤514中所示,可以通知用户110已经批准且生成受限访问凭证,如图6E中所示。接着可以使用受限访问凭证来进行用户110与资源提供商计算机170之间的当前和/或未来交易。替代地或另外,可以将受限访问凭证传输到通信装置120以存储于其中。也可以在通信装置120上向用户显示受限访问凭证上的任何限制。
在一些实施例中,操作资源提供商计算机170的资源提供商可能不仅在因特网上存在,还可能具有可以使用受限访问凭证的物理交互点(例如,物理商店)。在此类实施例中,也可以将受限访问凭证存储在通信装置120上。
用户110可以与通信装置120交互以确认用户110想要使用受限访问凭证进行交易。在步骤516中,接着可以将确认消息从通信装置102发送到资源提供商计算机170。在资源提供商计算机170接收到消息之后,资源提供商计算机可以生成包括受限访问凭证的授权请求消息。
在步骤518中,可以将授权请求消息传输到传输计算机140。在传输计算机140接收到授权请求消息之后,在步骤520中,将授权请求消息传输到交易处理计算机。在交易处理计算机150接收到授权请求消息之后,交易处理计算机150可以确定所述消息待路由到的适当授权实体计算机160,且可以在步骤522中将授权请求消息路由到所述授权实体计算机160。
在步骤524中,授权实体计算机160接着可以确定是否应授权交易。受限访问凭证可能具有与其相关联的某些条件,且授权实体计算机160可以进行检查以查看是否已满足那些条件。例如,生成的受限访问凭证可能不能用于超过例如200美元的交易限额。授权实体计算机160接着可以进行检查以查看授权请求消息中的交易金额是否超过200美元。如果是,则交易可能被拒绝。如果不是,则交易可以被批准,但要遵守例如可接受的欺诈评分的其它限制。
在步骤526处,授权实体计算机160向交易处理计算机160传输授权响应消息。在接收到授权响应消息之后,在步骤528中,交易处理计算机150将授权响应消息转发回到传输计算机140。在步骤530中,在传输计算机140接收到授权响应消息之后,其可以将授权响应消息转发到资源提供商计算机170。
在一些实施例中,受限访问凭证可以是支付令牌。如果是这种情况,则在交易处理计算机150接收到授权请求消息之后,交易处理计算机150可以从令牌服务***152检索真实凭证(例如,真实PAN)。交易处理计算机150接着可以修改从传输计算机140接收到的授权请求消息以包括真实凭证而非支付令牌。接着,它可以将授权请求消息传输到授权实体计算机160,且授权实体计算机160可以确定是否授权交易。如上所述,授权实体计算机160可以生成具有真实凭证的授权响应消息并向交易处理计算机150进行传输。交易处理计算机170接着可以用支付令牌代替真实凭证,且可以经由传输计算机140将经过修改的授权响应消息转发到资源提供商计算机170。资源提供商计算机170接着可以存储支付令牌以供未来使用或进一步处理(例如,退款或拖欠收费)。
如果交易被批准,则稍后,可以在传输计算机140、交易处理计算机150与授权实体计算机160之间进行清算和结算过程。授权实体计算机160也可以为通信装置的用户110开具交易***。
图7示出根据本发明的实施例的另一***900。在此***900中,用户910、通信装置920、资源提供商计算机970、授权实体计算机960和通信网络980可以类似于先前描述的实体。然而,在此实施例中,用户910在访问不受限数据数据库981中的数据之后,可能希望访问受限数据数据库982中的受限数据。受限数据数据库982可能存储例如医疗记录、金融记录或个人数据等敏感信息。不受限数据数据库981可能存储相比受限数据数据库982中的受限数据不太敏感的数据。例如,不受限数据数据库981中的不受限数据可包括关于餐馆的公众评论的一般信息,而受限数据数据库982可包括由著名餐馆评论员提供的餐馆评论,以及例如餐馆的等待时间和餐馆菜单的其它数据。如上文关于图1到6所描述的用于发行受限访问凭证的上文所描述过程可以用于访问受限数据数据库982内的访问数据。因此,不同于关于图1描述的特定实施例,关于图7描述的实施例并不涉及使用货币。
作为说明,用户910可以使用通信装置920访问受限数据数据库982中的受限数据。为了进行访问,用户910可能需要受限访问凭证。资源提供商计算机970可以从通信装置920获得用户数据(如上文所描述),且可以收集用户910/通信装置920与资源提供商计算机970之间的交互历史数据。交互历史数据可以是基于用户对不受限数据数据库981中的数据的使用和访问。资源提供商计算机970可以将用户数据和交互历史数据传输到授权实体计算机960。如在上文实例中,授权实体计算机960可以确定是否可以向用户910提供受限访问凭证。如果是,则可以向资源提供商计算机970和/或通信装置920提供受限访问凭证。
用户910接着可以使用受限访问凭证来获得受限数据数据库982中的数据。稍后,用户910可以用用户名和/或密码登录资源提供商计算机970。用户可以使用受限访问凭证来访问受限数据数据库982中的特定类型的数据。具有受限访问凭证和所请求数据的授权请求消息被发送到授权实体960,且如果满足与受限访问凭证相关联的条件,则可以允许用户访问受限数据数据库982中的数据。
本发明的实施例具有数个优点。如上所述,本发明的实施例可以用于实时地发行受限访问凭证,即使授权实体或与授权实体相关联的授权实体计算机与请求受限访问凭证的用户先前没有关系仍是如此。并且,因为受限访问凭证仅可以在有限的情形或条件下使用,所以即使授权实体用有限的信息决定发行受限访问凭证,授权实体的风险也是有限的。
如所描述,本发明的服务可以涉及实施一个或多个功能、过程、操作或方法步骤。在一些实施例中,由于通过适当编程的计算装置、微处理器、数据处理器等执行指令集或软件代码,可以实施功能、过程、操作或方法步骤。指令集或软件代码可以存储在由计算装置、微处理器等访问的存储器或其它形式的数据存储元件中。在其它实施例中,功能、过程、操作或方法步骤可以由固件或专用处理器、集成电路等实施。
本申请中描述的任何软件组件或功能可以实施为使用任何合适的计算机语言(例如,Java、C++或Perl)、使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以作为一系列指令或命令存储在计算机可读介质上,例如随机访问存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器的磁性介质或软盘、或例如CD-ROM的光学介质。任何此类计算机可读介质可以驻存在单个计算设备上或内部,且可以存在于***或网络内的不同计算设备上或内部。
虽然已经详细描述且在附图中示出某些示例性实施例,但应理解,此类实施例仅仅是对本发明的说明而非限制,且本发明不限于所示出和描述的特定布置和构造,因为本领域的普通技术人员可以想到各种其它修改。
如本文所使用,除非明确指示有相反的意思,否则使用“一个”、“一种”或“所述”旨在指示“至少一个”。
Claims (20)
1.一种方法,包括:
由资源提供商操作的资源提供商计算机从由用户操作的通信装置接收获得用以访问资源的受限访问凭证的请求;
由所述资源提供商计算机生成与所述资源提供商计算机与所述通信装置之间的过去交互相关的交互历史数据;
由所述资源提供商计算机向授权实体计算机传输与所述过去交互相关的所述交互历史数据,所述授权实体计算机响应于接收到所述交互历史而确定受限访问凭证;以及
由所述资源提供商计算机从所述授权实体计算机接收所述受限访问凭证,其中所述受限访问凭证允许所述通信装置的所述用户获得所述资源。
2.根据权利要求1所述的方法,其中所述受限访问凭证具有有限的持续时间并具有有限的权限。
3.根据权利要求1所述的方法,其中所述资源包括线上数据。
4.根据权利要求1所述的方法,其中所述交互历史数据包括所述用户已与所述资源提供商计算机交互的次数。
5.根据权利要求4所述的方法,其中所述交互历史数据包括与所述用户已与所述资源提供商计算机交互的所述次数相关联的值。
6.根据权利要求1所述的方法,其中所述请求包括表示所述用户的生物特征识别样本的数据和表示认证所述用户的物理认证令牌的数据,且其中所述资源提供商计算机向所述授权实体计算机传输表示所述用户的所述生物特征识别样本的所述数据,和表示认证所述用户的所述物理认证令牌的数据连同所述交互历史数据。
7.根据权利要求1所述的方法,还包括:
由所述资源提供商计算机生成包括所述受限访问凭证的授权请求消息;
由所述资源提供商计算机向所述授权实体计算机传输所述授权请求消息;以及
从所述授权实体计算机接收授权响应消息。
8.一种计算机,包括:
处理器;以及
计算机可读介质,所述计算机可读介质包括能由所述处理器执行以实施一种方法的代码,所述方法包括:
从由用户操作的通信装置接收获得用以访问资源的受限访问凭证的请求;
生成与由资源提供商操作的资源提供商计算机与所述通信装置的所述用户之间的过去交互相关的交互历史数据;
向授权实体计算机传输与所述过去交互相关的所述交互历史数据,所述授权实体计算机响应于接收到所述交互历史数据而确定受限访问凭证;以及
从所述授权实体计算机接收所述受限访问凭证,其中所述受限访问凭证允许所述通信装置的所述用户获得所述资源。
9.根据权利要求8所述的计算机,其中所述受限访问凭证具有有限的持续时间并具有有限的权限。
10.根据权利要求8所述的计算机,其中所述资源包括线上数据。
11.根据权利要求8所述的计算机,其中所述交互历史数据包括所述用户已与所述资源提供商计算机交互的次数。
12.根据权利要求11所述的计算机,其中所述交互历史数据包括与所述用户已与所述资源提供商计算机交互的所述次数相关联的值。
13.根据权利要求8所述的计算机,其中所述请求包括表示所述用户的生物特征识别样本的数据,和表示认证所述用户的物理认证令牌的数据。
14.根据权利要求8所述的计算机,其中所述方法还包括:
由所述资源提供商计算机生成包括所述受限访问凭证的授权请求消息;
由所述资源提供商计算机向所述授权实体计算机传输所述授权请求消息;以及
从所述授权实体计算机接收授权响应消息。
15.一种方法,包括:
由授权实体计算机从资源提供商计算机接收交互历史数据,所述交互历史数据与所述资源提供商计算机与操作通信装置的用户之间的过去交互相关;
由所述授权实体计算机响应于接收到所述交互历史数据而确定受限访问凭证;以及
由所述授权实体计算机向所述资源提供商计算机传输所述受限访问凭证。
16.根据权利要求15所述的方法,其中所述授权实体计算机存储能通过所述受限访问凭证访问的线上数据资源。
17.根据权利要求15所述的方法,其中所述交互历史数据包括所述用户已与所述资源提供商计算机交互的次数。
18.根据权利要求15所述的方法,其中所述交互历史数据包括与所述用户已与所述资源提供商计算机交互的次数相关联的值。
19.根据权利要求15所述的方法,其中所述方法还包括:
从所述资源提供商计算机接收包括所述受限访问凭证的授权请求消息;以及
向所述资源提供商计算机传输授权响应消息。
20.根据权利要求15所述的方法,其中接收还包括接收表示所述用户的生物特征识别样本的数据,和表示认证所述用户的物理认证令牌的数据。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/498,963 US20180316687A1 (en) | 2017-04-27 | 2017-04-27 | System and method for generating access credentials |
US15/498,963 | 2017-04-27 | ||
PCT/US2018/029608 WO2018200842A1 (en) | 2017-04-27 | 2018-04-26 | System and method for generating access credentials |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110574032A true CN110574032A (zh) | 2019-12-13 |
Family
ID=63917625
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880027652.0A Pending CN110574032A (zh) | 2017-04-27 | 2018-04-26 | 生成访问凭证的***和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20180316687A1 (zh) |
EP (1) | EP3616111B1 (zh) |
CN (1) | CN110574032A (zh) |
RU (1) | RU2019137588A (zh) |
WO (1) | WO2018200842A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10489565B2 (en) | 2016-06-03 | 2019-11-26 | Visa International Service Association | Compromise alert and reissuance |
US10694040B1 (en) | 2018-02-26 | 2020-06-23 | Wells Fargo Bank, N.A. | Centralized event log generation and analysis for contact centers |
US10313511B1 (en) * | 2018-06-05 | 2019-06-04 | Wells Fargo Bank, N.A. | Customer self-help control system for contact centers |
US11126707B2 (en) | 2019-01-15 | 2021-09-21 | Visa International Service Association | Digital instant issuance with instant processing |
EP4020267A1 (en) * | 2020-12-22 | 2022-06-29 | Banco Bilbao Vizcaya Argentaria, S.A. | Anti-fraud method for authorizing operations |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7953671B2 (en) * | 1999-08-31 | 2011-05-31 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
US7574734B2 (en) * | 2002-08-15 | 2009-08-11 | Dominique Louis Joseph Fedronic | System and method for sequentially processing a biometric sample |
US8260721B2 (en) * | 2007-09-24 | 2012-09-04 | Cheng Holdings, Llc | Network resource access control methods and systems using transactional artifacts |
US8707387B2 (en) * | 2008-10-22 | 2014-04-22 | Personal Capital Technology Corporation | Secure network computing |
EP2540051B1 (en) * | 2010-02-24 | 2015-04-08 | Telefonaktiebolaget L M Ericsson (Publ) | Method for managing access to protected resources and delegating authority in a computer network |
US20150095240A1 (en) * | 2013-09-30 | 2015-04-02 | Fiserv, Inc. | Card account identifiers associated with conditions for temporary use |
US10021108B2 (en) * | 2014-10-16 | 2018-07-10 | Ca, Inc. | Anomaly detection for access control events |
US9691109B2 (en) * | 2014-11-11 | 2017-06-27 | Visa International Service Association | Mechanism for reputation feedback based on real time interaction |
-
2017
- 2017-04-27 US US15/498,963 patent/US20180316687A1/en not_active Abandoned
-
2018
- 2018-04-26 CN CN201880027652.0A patent/CN110574032A/zh active Pending
- 2018-04-26 RU RU2019137588A patent/RU2019137588A/ru unknown
- 2018-04-26 EP EP18792273.7A patent/EP3616111B1/en active Active
- 2018-04-26 WO PCT/US2018/029608 patent/WO2018200842A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
EP3616111A1 (en) | 2020-03-04 |
US20180316687A1 (en) | 2018-11-01 |
WO2018200842A1 (en) | 2018-11-01 |
EP3616111B1 (en) | 2022-06-08 |
EP3616111A4 (en) | 2020-05-27 |
RU2019137588A (ru) | 2021-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11398910B2 (en) | Token provisioning utilizing a secure authentication system | |
CN110612546B (zh) | 用于数字资产账户管理的方法和装置 | |
CN109328445B (zh) | 唯一令牌认证验证值 | |
JP6294398B2 (ja) | エイリアスを使用したモバイル・ペイメントのシステム及び方法 | |
CN107438992B (zh) | 浏览器与密码的集成 | |
EP3616111B1 (en) | System and method for generating access credentials | |
US11074585B2 (en) | Authenticating transactions using risk scores derived from detailed device information | |
US20230196377A1 (en) | Digital Access Code | |
US10489565B2 (en) | Compromise alert and reissuance | |
CN116711267A (zh) | 移动用户认证***和方法 | |
CN114207578A (zh) | 移动应用程序集成 | |
US11973871B2 (en) | Domain validations using verification values | |
CN111937023A (zh) | 安全认证***和方法 | |
US20240235838A1 (en) | Validations using verification values | |
CN112136302B (zh) | 移动网络运营商认证协议 | |
John | METHOD AND SYSTEM FOR SECURE CREDENTIAL GENERATION | |
WO2023224735A1 (en) | Efficient and secure token provisioning | |
CN115280721A (zh) | 令牌换令牌预配 | |
CN114556866A (zh) | 使用机器可读码和安全远程交互的处理 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191213 |
|
WD01 | Invention patent application deemed withdrawn after publication |