CN112513842A - 预授权访问请求筛查 - Google Patents
预授权访问请求筛查 Download PDFInfo
- Publication number
- CN112513842A CN112513842A CN201980050736.0A CN201980050736A CN112513842A CN 112513842 A CN112513842 A CN 112513842A CN 201980050736 A CN201980050736 A CN 201980050736A CN 112513842 A CN112513842 A CN 112513842A
- Authority
- CN
- China
- Prior art keywords
- access
- authentication
- computer
- data
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012216 screening Methods 0.000 title abstract description 47
- 238000013475 authorization Methods 0.000 claims abstract description 255
- 238000000034 method Methods 0.000 claims abstract description 84
- 230000004044 response Effects 0.000 claims abstract description 36
- 230000000153 supplemental effect Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 description 34
- 230000015654 memory Effects 0.000 description 18
- 238000012795 verification Methods 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 238000012502 risk assessment Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 239000000047 product Substances 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 101001080808 Homo sapiens PH and SEC7 domain-containing protein 2 Proteins 0.000 description 2
- 102100027455 PH and SEC7 domain-containing protein 2 Human genes 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000013179 statistical model Methods 0.000 description 2
- 235000013334 alcoholic beverage Nutrition 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 208000013407 communication difficulty Diseases 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000003165 hybrid screening Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
描述用于预认证访问请求筛查的***和方法。服务器计算机可接收包括访问数据的资源访问请求。所述服务器计算机可向认证计算机传送包括所述访问数据的至少一子集的认证请求消息,并且接收包括认证数据的认证响应消息。所述服务器计算机可基于所述认证数据确定访问得分。或者,所述服务器计算机可在不使用/接收授权数据的情况下基于所述访问数据来确定所述访问得分。所述服务器计算机可基于所述访问得分生成访问指示符。所述服务器计算机可准备并传送包括所述访问指示符的授权请求消息到授权计算机。所述授权计算机可基于所述访问指示符来批准或拒绝对所述资源的所述访问。
Description
相关申请交叉引用
本申请要求2018年7月31日提交的第62/712,909号美国临时申请的优先权,所述申请的内容以全文引用的方式并入本文中。
背景技术
未经授权的用户可能使用被授权用户的授权信息欺骗性地请求对资源的访问。为防止未经授权的访问,***可使用访问规则来实施欺诈检查,以拒绝具有指示为欺诈性的某些参数的访问请求。
作为提供资源访问的一部分,多个计算机可参与路由以及处理电子通信。例如,可执行认证检查以认证用户,可执行欺诈检查,和/或可执行授权检查(例如,基于支付凭证等数据)。这些检查中的一个或多个可由一个或多个不同实体执行。这些不同计算机之间的协调和通信困难可能会延迟以及阻挠此类提供资源访问的过程。
实施例单独地以及共同地解决了这些和其它问题。
发明内容
实施例包括在授权之前执行欺诈检查和/或认证操作的方法以及***。此类预授权访问请求筛查的结果可传送到授权计算机以用于确定是否准予访问资源。
一个实施例涉及一种方法,包括:由服务器计算机接收对资源的访问的请求,所述请求包括访问数据;由服务器计算机基于所述访问数据来确定访问得分;由服务器计算机基于所述访问得分而生成访问指示符;由服务器计算机准备包括所述访问指示符的授权请求消息;以及由服务器计算机向授权计算机传送包括所述访问指示符的所述授权请求消息;其中所述授权计算机基于所述授权请求消息中包括的所述访问指示符来批准或拒绝对所述资源的访问。
另一实施例涉及一种***,其包括被编程以执行上述方法的计算机。
另一实施例涉及一种计算机产品,其存储多个指令以用于执行上述方法。
另一实施例涉及一种方法,其包括:由服务器计算机接收对资源的访问的请求,所述请求包括访问数据,由服务器计算机向认证计算机传送认证请求消息,所述认证请求消息包括所述访问数据的至少一子集;由服务器计算机从认证计算机接收认证响应消息,所述认证响应消息包括认证数据,其中所述认证计算机基于所述访问数据而生成所述认证数据;以及由服务器计算机基于所述认证数据来确定访问得分。
另一实施例涉及一种***,其包括被编程以执行上述方法的计算机。
附图说明
图1示出根据一些实施例的用于预授权访问请求筛查的***。
图2A示出根据一些实施例的服务器计算机的框图。
图2B示出根据一些实施例的认证计算机的框图。
图3示出根据一些实施例的使用认证码和认证密码的认证和授权的示例操作集。
图4示出根据一些实施例的认证和授权的示例操作集,其中认证码与风险相关。
图5示出根据一些实施例的利用数据字段传递补充数据的认证和授权的示例操作集。
图6示出根据一些实施例的使用访问指示符的认证和授权的示例操作集。
图7示出根据一些实施例的使用提供担保的访问指示符的认证和授权的示例操作集。
图8示出根据一些实施例的使用访问指示符的预授权访问请求筛查的示例操作集。
图9示出根据一些实施例的使用授权数据的预授权访问请求筛查的示例操作集。
图10示出根据一些实施例的使用豁免的预授权访问请求筛查的示例操作集。
图11示出根据一些实施例的无豁免的预授权访问请求筛查的示例操作集。
图12示出根据一些实施例的使用豁免结合混合认证的预授权访问请求筛查的示例操作集。
图13示出根据一些实施例的使用豁免推翻的预授权访问请求筛查的示例操作集。
图14示出根据一些实施例的计算机设备的框图。
术语
在论述各种实施例之前,一些术语的描述可有助于提供更好的理解。
术语“用户”可指个人或实体。用户可以是与用户计算装置(例如,移动电话或平板电脑)交互的个人。用户可以是与账户相关联的消费者或企业,其账户可用于进行交易,包括支付交易。
术语“用户计算装置”可指可用于与另一装置或***通信的装置。其可包括用于进行交易的用户计算装置。所述用户计算装置能够通过网络进行通信。用户计算装置可呈任何合适的形式。例如,合适的用户计算装置可以是手持式并且紧凑的,使得其可放到用户的钱包和/或口袋中(例如,可以是口袋大小的)。用户计算装置可包括处理器,以及可操作地耦合到所述处理器的存储器、输入装置和输出装置。用户计算装置的具体示例包括蜂窝电话或移动电话、平板计算机、台式计算机、个人数字助理(PDA)、寻呼机、便携式计算机、智能卡等。额外用户计算装置可包括可穿戴装置,例如智能手表、眼镜、健身手环、脚链、戒指、耳环等。在一些实施例中,用户计算装置可包括具有远程通信能力的汽车。
术语“用户数据”可包括关于用户的数据。用户数据可包括姓名、邮寄地址、运送地址、电话号码、支付账号、出生日期、婚姻状况、收入、社会保障号码、人口统计数据等。在一些实施例中,用户数据还可包括用户偏好、通知方法和先前的交易历史。
术语“资源”通常是指可使用或消耗的任何资产。例如,资源可以是电子资源(例如存储的数据、接收的数据、计算机账户、联网账户、电子邮件收件箱)、物理资源(例如有形对象、建筑物、保险箱或物理位置)或计算机之间的其它电子通信(例如与用于执行交易的账户对应的通信信号)。
“访问装置”可以是用于获得对资源的访问的任何合适的装置。访问装置通常可位于任何合适位置处,例如位于商家所在位置处。访问装置可呈任何合适的形式。访问装置的一些示例包括销售点(POS)装置、蜂窝电话、个人数字助理(PDA)、个人计算机(PC)、平板电脑、手持式专用读取器、机顶盒、电子收款机(ECR)、自动取款机(ATM)、虚拟收款机(VCR)、查询一体机、安全***、访问***、网站等。访问装置可使用任何合适的接触或非接触式操作模式,以收发来自支付装置和/或便携式装置的数据,或与支付装置和/或便携式装置相关联的数据。
“访问数据”可包括任何合适的数据,所述数据可用于访问资源或创建可访问资源的数据。例如,所述资源可以是位置,并且访问数据可包括可用于访问所述位置的数据,例如赛事的票证信息、访问建筑物的数据、运输票证信息等。作为另一示例,访问数据可包括可用于获得资源的数据。作为另一示例,访问数据可以是支付账户的账户信息。账户信息可包括主账号(PAN)、支付令牌、到期日期、验证值等访问数据还可包括用户数据,如上文所描述。
术语“访问请求”通常指访问资源的请求。例如,可从请求计算机、用户装置或资源计算机接收访问请求。访问请求可包括访问数据,如上文所描述。访问请求还可包括访问数据,例如访问请求标识符、资源标识符、时间戳、日期、装置或计算机标识符、地理位置或任何其它合适的信息。
术语“访问规则”可包括用于基于某些准则确定访问请求的访问规则结果的任何过程或定义。在一些实施例中,规则可包括一个或多个规则条件和关联的规则结果。“规则条件”可指定逻辑表达,其描述据以确定规则的结果的情形。访问规则的条件可涉及访问请求数据元素,基于所述数据元素具有特定值、基于所述值在某一范围内、基于所述值高于还是低于阈值,或其任何组合。
术语“标识符”可指可用于标识信息的任何信息。在一些实施例中,标识符可以是随机生成或根据预定算法、代码或共享秘密生成的特殊值。例如,授权实体标识符可以是与授权实体相关联的值或编号(例如,银行标识号)。在另一示例中,账户标识符可用于唯一地标识账户。在一些实施例中,标识符可以是一个或多个图形、令牌、条形码、快速响应(QR)码,或可用于唯一地标识实体的任何其它信息。
术语“交易”可包括两个实体之间的交换或交互。在一些实施例中,交易可指两个用户(例如,个人或实体)之间的价值转移。交易可涉及两个个人或实体之间的货币资金交换,或货币资金的商品或服务交换。在其它实施例中,交易可以是涉及个人或实体从商家或其它实体购买商品或服务以交换货币资金的购买交易。在其它实施例中,交易可以是非金融交易,例如两个实体之间的数据或信息交换,例如数据传送。非金融交易的示例可包括验证用户年龄或身份(例如,通过政府机构验证身份、验证购买酒精饮料的年龄)以访问计算机***或场所的交易。
术语“消息”可包括可从一个实体传输到另一实体(例如,从一个计算装置到另一计算装置)的任何数据或信息。消息可在计算机或计算***内的装置/部件之间内部传达,或者通过通信网络在装置之间外部传达。另外,消息可被修改、更改或以其它方式改变以包括加密或匿名信息。
“风险等级”可包括风险分析或评估的结果。风险等级可呈数值或字母数字值的形式,例如1-10的数字或A-Z的字母。风险等级可指示例如交易的特定情况下的风险相对程度。在一些情况下,较高风险等级可指示高风险,而较低风险等级可指示低风险。
术语“发起”可包括为了开始某个过程而采取的第一步骤,或为了完成某个过程而进行的步骤。例如,“发起交易的授权过程”可指授权交易所需的实际过程。然而,“发起交易的授权过程”还可指将带有用于执行授权交易所需的过程的指令的消息从一个计算机发送到另一计算机的过程。
术语“授权过程”可包括用于授权对资源的访问的过程。在一些实施例中,授权过程涉及与资源相关联的授权计算机。在一些实施例中,授权过程可涉及生成并发送授权请求消息到授权计算机以授权用户对与所述授权计算机相关联的资源的访问,以及来自发行方计算机的指示对访问请求的授权或拒绝的授权响应消息。
术语“认证过程”可指用于执行认证的过程。所述认证过程可用于认证用户或交易。在一些实施例中,认证过程可以是主动认证,其中用户被提示提供访问数据(例如,密码、令牌)。在其它实施例中,认证过程可以是被动认证,其中不提示用户提供访问数据。在此类实施例中,可从用户计算装置(例如,地理定位数据)检取数据并将所述数据与预期数据进行比较。
术语“认证数据”可指生成和/或处理的与认证相关联的数据。认证数据可指示认证结果(例如,用户是否已被认证)。认证数据可包括指示认证结果的代码(“认证码”)。认证数据还可包括在认证过程中生成的详细信息。例如,认证数据可包括用于得出认证结果的生物特征数据。
具体实施方式
确定是否准予访问资源可涉及多个阶段。首先,可执行安全认证过程以认证用户(例如,基于确认用户是其宣称的人)。随后,可执行授权过程以授权对资源的访问(例如,基于支付凭证等资源访问数据)。另外,可执行一个或多个欺诈检查。这些过程可涉及类似数据集和分析。然而,所述过程可能以不相交方式执行,从而导致重复工作和不必要的数据存储。
在递升认证中,可能提示用户输入密码或令牌等额外信息。然而,资源提供商越来越多地转移到基于风险的认证,这部分是为了减少用户的麻烦。资源提供商可实施基于规则的***,以基于分析访问请求的详细信息来认证用户。这可避免需要质询用户来输入额外信息。基于风险的认证可涉及生成丰富数据集。
可选择性地将访问请求发送到认证计算机以供认证。有时,选用于认证的访问请求可能更“有风险”或更可能是欺诈性的。然而,不一定是仅因为选择了访问请求以供认证而使所述访问请求更可能具有欺诈性。资源提供商因采用基于风险的建模而承受对欺诈性访问负责的压力。在无实际递升的情况下,授权***可能会使认证的访问请求经历的审查增多。审查增多会产生较多误报,即,即使在请求不具欺诈性时也无权访问。
本文公开的***和方法为发行方等授权实体提供访问指示符以用于确定是否准予用户访问资源。可基于接收到的访问数据生成访问指示符。***可确定与访问请求相关联的风险等级。这种风险分析可涉及使用一组预测规则。这些规则可应用于访问数据以得出访问分数,从而量化访问请求的风险等级。
基于访问得分,访问指示符可能会或可能不会传递给授权实体。***可通过将访问得分(即风险等级)与阈值进行比较来确定是否传递访问指示符。例如,***可使用表示访问得分的可接受值的阈值。如果访问得分达到或超过阈值,则***可将访问指示符传递给授权实体。可例如通过在传送给授权实体的授权请求消息的特定字段中包括标志来将访问指示符传递给授权实体。标志的存在可向授权实体表示访问请求已通过风险筛查和/或应被批准。
在一些实施例中,***可利用认证计算机生成的认证数据来确定是否认证用户。作为认证数据的示例,认证计算机可生成认证码(例如,指示用户是否被认证的数值)、认证密码(例如,唯一地标识认证的访问请求的密码)、在基于风险的认证过程中生成的数据(例如,用户过去活动的详细信息)等。此认证数据可用于确定访问得分和/或访问指示符。
有利地,授权计算机可利用在评估访问请求的认证和/或风险筛查过程中已经执行的数据和计算。授权计算机能够减少或甚至消除所需的计算量,从而节省时间和计算资源。这继而可增大置信度并改善授权率。在确信受信任实体已经针对欺诈性筛查了访问请求的情况下,资源提供商可能更倾向对访问请求进行授权。此外,通过利用预先存在的授权请求消息来传递认证和/或风险数据,无需使***担负额外的消息接发操作。
I.预授权访问请求筛查***
A.***概述
图1示出用于预授权访问请求筛查的***概述。***可从用户接收访问资源的请求。***可包括用于确定是否认证用户的认证计算机。***还可包括用于确定是否授权对资源的访问的授权计算机。***还可包括服务器计算机,所述服务器计算机执行风险检查以及向授权计算机传递适用信息,例如访问指示符。
图1中的***100包括用户计算装置102、访问装置108、服务器计算机104、访问规则生成***106、认证计算机116和授权计算机110。这些***和计算机中的每一个都可使用任何合适的通信协议经由任何合适的通信介质(包括互联网)彼此可操作地通信。
为了简化说明,图1中示出一定数量的部件。然而,应理解,实施例可包括多于一个的每种部件。另外,一些实施例可包括比图1中所示的所有部件少或多的部件。
用户计算装置102可呈任何合适的形式。例如,合适的用户计算装置可以是手持式且紧凑的,使得它们能够放到用户的口袋中。用户计算装置102的示例可包括能够访问互联网的任何装置。用户计算装置102的特定示例包括蜂窝电话或无线电话(例如,智能电话)、平板电话、平板计算机、笔记本电脑、台式计算机、个人数字助理(PDA)、寻呼机、便携式计算机、智能卡等。
用户计算装置102可接受来自用户的包括访问数据的输入,所述访问数据与用户尝试访问资源相关联。作为非限制性示例,所述资源可以是物理资源(例如,建筑物或锁箱)或电子资源(例如,本地计算机账户、数字文件或文档、网络数据库、电子邮件收件箱、支付账户或网站登录)。例如,访问数据可包括用户名、账号、令牌、密码、个人标识号、签名和/或数字证书中的一个或多个。用户计算装置102可将访问数据完全或部分地传送到访问装置108。替代地或另外,用户计算装置102可将访问数据传送到服务器计算机104。
访问装置108可包括用于控制对资源的访问的任何合适的计算设备。例如,访问装置108可以是销售点装置、门上的锁箱或安全网站。访问装置108可直接或通过用户计算装置102接收访问数据以用于访问资源。基于访问数据,访问装置108可准备对资源的访问请求。访问装置108可将包括一些或全部接收到的访问数据的资源访问请求传送到服务器计算机104。
访问装置108和/或用户计算装置102可包括用户输入接口,例如小键盘、键盘、指纹读取器、视网膜扫描器、任何其它类型的生物特征读取器、磁条读取器、芯片卡读取器、射频标识读取器,或无线或非接触式通信接口等。
在一个示例中,用户可将账号、个人标识号和/或密码中的一个或多个输入到访问装置108中,以请求访问物理资源(例如,打开上锁的安全门以便进入建筑物)。访问装置108或可操作地连接到访问装置108的单独计算机可生成并发送访问请求到服务器计算机104以请求对资源的访问。
在另一示例中,用户可操作用户计算装置102以请求访问电子资源(例如,网站或文件)。此类请求可从用户计算装置102传送到访问装置108,所述访问装置可将请求转发到服务器计算机104。所述请求可以无线方式传送,并且可加密。所述请求可响应于屏幕处的用户输入或语音命令而发送,或通过手势发起,例如通过点击电话到终端来发起。
访问规则生成***106可基于访问数据来生成用于服务器计算机104的访问规则104H。访问规则生成***可基于有关先前访问请求、统计模型和/或机器学习算法的历史数据来确定访问规则。服务器计算机104可限定和/或提供要由访问规则生成***106评估的规则的指南。生成访问规则的方法详细地描述于美国专利第9,853,993B1号,“用于生成和选择访问规则的***和方法(Systems and Methods for Generation and Selection ofAccess Rules)”,所述美国专利特此以全文引用的方式并入本文中。
认证计算机116可被配置成验证(或认证)用户和/或与用户相关联的账户。下文相对于图2B更详细地描述认证计算机116。
授权计算机110可控制对资源(例如物理或电子资源)的访问。授权计算机110可例如与安全网站相关联,并维护适合准予对所述网站的访问的访问数据数据库。作为另一示例,授权计算机110可与发行方(例如,银行)相关联,所述发行方发放并维护用户的用户账户,并确定用户是否具有足够的资金来完成交易。或者,授权计算机110可以是与资源提供商不同的服务提供商。授权计算机110可包括处理器和耦合到所述处理器的计算机可读介质,所述计算机可读介质包括代码,所述代码可由所述处理器执行以用于执行本文所描述的功能。
授权计算机110可包括接收授权请求消息的功能。随后,基于认证数据和/或从服务器计算机104接收的其它信息,例如访问指示符,授权计算机110可准予或否决对资源的访问,如下文相对于图2A描述。
一些实体可执行授权计算机110和认证计算机116两者功能(例如,控制对一个或多个资源的访问的资源提供商***)。实施例涵盖可执行本文所描述的一个或多个功能的此类单个实体计算机。
B.服务器计算机
在一些实施例中,服务器计算机104可被配置成管理和评估访问请求。如图2A中所描绘的服务器计算机104可包括网络接口104A、处理器104B、存储器104C以及耦合到处理器104B的计算机可读介质104D。计算机可读介质104D可包括代码,所述代码可由处理器104B执行以执行本文所描述的功能。服务器计算机104还可包括或以通信方式耦合到规则数据库104G。
规则数据库104G可以是用于存储数据的存储单元和/或装置(例如,文件***、数据库、表的集合或其它存储机制)。规则数据库104G可包括多个不同存储单元和/或装置。规则数据库104G可存储一个或多个访问规则104H。访问规则104H可指定用于标识欺诈性访问请求的准则。每个访问规则104H可包括对应于访问请求的一个或多个参数的一个或多个条件。
网络接口104A可被配置成连接到一个或多个通信网络,以允许服务器计算机104与例如认证计算机116、授权计算机110、访问规则生成***106等其它实体通信。
处理器104B可实施为一个或多个集成电路(例如,一个或多个单核或多核微处理器和/或微控制器)。处理器104B可用于控制服务器计算机104的操作。处理器104B可响应于存储在存储器104C中的程序代码或计算机可读代码而执行多种程序。处理器104B可包括维护多个同时执行的程序或过程的功能。
可使用任何数目的非易失性存储器(例如,快闪存储器)和易失性存储器(例如,DRAM、SRAM)的任何组合、或任何其它非瞬态存储介质或介质的组合来实施存储器104C。
计算机可读介质104D可包括用于存储和/或传送的一个或多个非瞬态介质。作为示例,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如光盘(CD)或DVD(数字通用磁盘)的光学介质、快闪存储器等。计算机可读介质104D可以是此类存储或传送装置的任何组合。
计算机可读介质104D可包括作为一系列指令或命令存储的软件代码,计算机可读介质104D可包括访问请求分析器模块104E、消息接发模块104F、豁免模块104I以及授权后模块104J。
访问请求分析器模块104E可包括用于基于应用于访问数据、认证数据和/或访问数据的访问规则来确定访问得分的代码。所述访问得分可对应于访问请求是欺诈性的可能性。例如,访问得分可以是数值0(几乎肯定不是欺诈性的)到10(几乎肯定是欺诈性的)。正如先前示例的情况,访问得分可随着访问请求的风险等级成比例地增加。或者,访问得分可随访问请求的风险等级反向改变(例如,访问得分100对应于最受信任访问请求,而访问得分0对应于最有风险访问请求)。如果访问得分指示访问请求很可能是欺诈性的,则服务器计算机104可拒绝所述访问请求和/或建议另一实体(例如,授权计算机110)拒绝所述访问请求。
访问请求分析器模块104E还可被配置成完全或部分地基于访问得分而生成访问指示符。访问指示符可以是要***消息中的标志。访问指示符可指示服务器计算机是否批准访问资源的请求。访问指示符还可指示与服务器计算机104相关联的实体所作出的对访问请求的担保。例如,管理服务器计算机104的商家或建筑物安保公司可担保服务器计算机104作出的决策。所述担保可以是对由欺诈性地获得的访问所引发的任何损失的财务担保和/或赔偿保障。
访问请求分析器模块104E还可被配置成标识对应于访问请求的多个资料档案中的一个资料档案。访问请求分析器模块104E可使用存储的映射来实现这一点。例如,交易金额、位置和/或当日时间等访问数据可映射到资料档案。所述资料档案可与风险相关。例如,具有较高值的支付交易可能与较高风险等级相关联,并且因此需要增加审查。
消息接发模块104F可包括用于准备和传送消息的代码。消息接发模块104F还可被配置成接受并分析消息(例如,认证响应消息)。消息接发模块104F可包括生成认证请求消息和授权请求消息的功能。消息接发模块104F可被配置成准备消息以含有由访问请求分析器模块生成和/或在认证响应消息中接收到的信息,例如认证数据、访问得分、访问指示符等。消息接发模块104F可包括传送认证请求消息和授权请求消息的功能。
豁免模块104I可包括用于确定是否应用豁免的代码。可应用豁免,从而使***跳过认证操作或执行有限认证操作。可基于可配置规则应用豁免。例如,豁免可适用于低于阈值量的交易、白名单、基于风险规则和/或其类似者。
授权后模块104J可包括用于评估授权后的访问请求的代码。在一些情况下,尽管授权计算机已批准对资源的访问,但授权后模块104J可决定拒绝访问请求。例如,授权操作可揭示某些凭证无效,在此情况下,授权后模块104J可在授权后决定应拒绝访问请求。
访问请求分析器模块104E可以通信方式耦合到访问规则生成***106,所述访问规则生成***确定访问规则,如上文所描述。访问请求分析器模块104E可包括用于将规则指南传送到规则生成***的应用程序编程接口(API)。
C.认证计算机
在一些实施例中,认证计算机116可被配置成认证提出访问请求的用户。如图2B中所描绘的认证计算机116可包括网络接口116A、处理器116B、存储器116C以及耦合到处理器116B的计算机可读介质116D。计算机可读介质116D可包括代码,所述代码可由处理器116B执行以执行本文所描述的功能。
网络接口116A可被配置成连接到一个或多个通信网络,以允许认证计算机116与例如服务器计算机104、用户计算装置102、访问装置108等其它实体通信。
处理器116B可基本上类似于上文相对于图2A所描述的处理器104B。存储器116C可基本上类似于上文相对于图2A所描述的存储器104C。
计算机可读介质116D可包括用于存储和/或传送的一个或多个非瞬态介质。作为示例,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如光盘(CD)或DVD(数字通用磁盘)的光学介质、快闪存储器等。计算机可读介质116D可以是此类存储或传送装置的任何组合。
计算机可读介质116D可包括存储为一系列指令或命令的软件代码。计算机可读介质116D可包括登记模块116E、验证模块116F和消息接发模块116G。
登记模块116E可包括用于确定与增强型认证协议相关联的一个或多个服务方的登记状态的代码。所述登记状态可基于授权请求消息中接收的标识符而确定。例如,发行方的登记状态可基于银行标识号(BIN)来确定。登记模块116E可访问BIN与认证***中登记的实体的已存储映射。
验证模块116F可包括认证用户和/或账户的功能。验证模块116F可基于在认证请求消息中接收的数据来认证用户,所述数据例如访问数据。在一些实施例中,访问数据可由用户计算装置102、访问装置108和/或服务器计算机104提供。例如,所述访问数据可包括以下中的一个或多个:接收到访问请求的时间,接收到访问请求的日期,访问请求的来源位置,请求的资源量,请求的资源的标识符,用户、访问装置108和/或用户计算装置102的标识符,用户、访问装置108和/或用户计算装置102的位置,资源的请求的用途的指示,和/或请求的资源的类型、状态、量或形式的指示。替代地或另外,验证模块116F可基于接收到的信息而生成访问数据。例如,验证模块116F可基于从访问装置108检取的一组时间戳来计算新值。验证模块116F可基于存储在认证计算机116和/或服务器计算机104处的信息来验证访问数据。
验证模块116F可生成认证数据。所述认证数据可指示认证结果(例如,用户是否已被认证)。所述认证数据还可包括在认证过程中生成的详细信息,例如认证码、认证密码和/或补充数据,如下文所描述。
认证数据可包括认证码。认证码可以是指示认证结果的数值。例如,在金融交易中,电子商务指示符(ECI)码用于指示用户是否已被认证。作为具体示例,ECI值5可指示用户已经过认证。ECI值01可指示无法完成认证。替代地或另外,ECI码可以是字词或字母(例如,“A”或“Auth”表示已认证;“N”或“拒绝”表示未认证,等)。
认证数据还可包括认证密码。认证密码可以是用于验证访问数据完整性的密码。认证密码可以是用于访问请求的唯一值。作为非限制性示例,认证密码可以是持卡人认证验证值(CAVV)或开户人认证值(AAV)。
认证数据还可包括在认证过程中由认证计算机116生成和/或分析的详细信息(“补充数据”)。例如,补充数据可包括基于令牌的认证数据、生物特征认证数据、对应于先前用户行为(例如,与用户相关联的访问尝试或位置)的数据等。
消息接发模块116G可包括从服务器计算机104接收认证请求消息以及将认证响应消息传送到服务器计算机104的功能。
II.预授权访问请求筛查
图3到7示出预授权访问请求筛查方法的若干变型。在每种情况下,***利用预授权访问请求筛查来将信息传送到授权计算机。授权计算机随后可使用接收到的信息来确定是批准还是拒绝对资源的访问。预授权访问请求筛查可包括产生认证数据的认证操作,如相对于图3到5所描述。替代地或另外,***预授权访问请求筛查可包括用于生成访问指示符的欺诈检查,所述访问指示符提供应批准还是拒绝访问请求的简单指示,如相对于图6到7所描述。
A.使用认证码和认证密码
图3示出使用认证码和认证密码的预授权访问请求筛查的示例操作集300。可由请求访问资源的用户通过用户计算装置和/或访问装置发起操作。所述操作可由服务器计算机310(其可基本上类似于图1到2的服务器计算机104)、认证计算机312(其可基本上类似于图1和3的认证计算机116)和授权计算机314(其可基本上类似于图1的授权计算机110)执行。
在步骤S301,服务器计算机310将认证请求消息传送到认证计算机312。认证请求消息可包括从用户或用户装置接收的访问数据。
在步骤S302,认证计算机312执行认证操作。认证计算机312可基于在认证请求消息中接收的访问数据来执行验证用户的操作。认证计算机可分析访问数据。
认证操作可包括确定与用户和/或访问请求相关联的风险等级。基于风险等级,认证计算机116可确定用户是否应被认证。
认证操作可包括递升认证。对于递升认证,认证计算机312可直接或通过服务器计算机310向用户请求额外数据。例如,认证计算机312可向用户计算装置(例如,图1的用户计算装置102)传送消息,使得用户计算装置向用户呈现用于输入密码的模态。认证计算机312随后可接收密码以用于认证用户。作为另一示例,认证计算机可向服务器计算机310传送递升请求。服务器计算机310随后可将递升请求转发到访问装置(例如,图1的访问装置108),从而使访问装置提示用户输入个人标识号(PIN)。或者,认证计算机312可在不向用户质询额外信息的情况下执行基于风险的认证操作。
认证计算机312可得出认证结果(例如,用户是否已经过认证)。认证计算机312可生成认证数据以在认证响应中传送回到服务器计算机,所述认证数据可包括和/或支持认证结果。
由认证计算机312生成的认证数据可包括认证码。如上文相对于图1所描述,所述认证码可以是指示认证结果的字母数字代码。作为非限制性示例,如果访问请求包括支付请求,则所述认证码可以是ECI码。
由认证计算机312生成的认证数据还可包括认证密码。如上文相对于图1所描述,所述认证密码可以是例如CAVV或AAV的密码。认证密码可以是访问请求的唯一标识符。认证密码可指示此特定访问请求已被认证。
认证计算机312可准备包括认证码和认证密码的认证响应消息。认证计算机312可例如生成用于传送到服务器计算机的可扩展标记语言(XML)消息。
在步骤S303,认证计算机312将认证响应消息传送到服务器计算机310。如所示,认证响应消息包括认证码(例如,ECI)和认证密码(例如,CAVV)。在其它示例中,可能只发送一个。
服务器计算机310可处理认证响应消息中接收的信息,以确定是否继续授权。如果服务器计算机310确定适合继续授权,则操作在步骤S304处继续。
在步骤S304,服务器计算机310将授权请求传送到授权计算机314。所述授权请求可包括认证结果,所述认证结果可包括认证码和/或认证密码(例如,ECI和/或CAVV)。
在步骤S306,授权计算机314执行风险评估的操作。授权计算机314可将风险评估基于授权请求消息中接收的信息。例如,授权计算机314可使用ECI码值确定是批准还是拒绝资源访问请求。
在步骤S308,授权计算机314将授权结果传送到服务器计算机310。授权计算机314可在授权响应消息中传送授权结果。所述授权结果可包括批准或拒绝所述访问请求的指令。
B.将认证码与风险相关
图4示出用于预授权访问请求筛查的示例操作集400,其中认证码与风险相关。所述操作可由服务器计算机410(其可基本上类似于图1到2A的服务器计算机104)、认证计算机412(其可基本上类似于图1和2B的认证计算机116)和授权计算机414(其可基本上类似于图1的授权计算机110)执行。
在步骤S401,服务器计算机410向认证计算机412传送认证请求消息,例如上文相对于图4所述。
在步骤S402,认证计算机412可执行认证操作。所述认证操作可基本上如上文相对于图4所述执行。另外,认证计算机412可重新分配认证码以对应于确定的风险等级。例如,认证计算机412可针对低风险交易将认证码设置成5,并且针对高风险交易将认证码设置成1。认证计算机可生成现有认证码与风险之间的映射。因此,在一些实施例中,认证计算机可确定认证等级。认证计算机可向授权计算机提供映射。
在步骤S403,认证计算机412将包括认证数据的认证响应消息传送到服务器计算机410。对认证响应消息的传送可基本上如上文相对于图4所描述来执行。另外,认证响应消息可包括基于风险等级分配的认证码。
在步骤S404,服务器计算机410将授权请求传送到授权计算机414,如上文相对于图4所描述。另外,授权响应消息可包括基于风险等级而分配的认证码。
在步骤S406,授权计算机414执行操作以确定是否授权访问请求。授权操作可包括授权计算机自己的风险评估。风险评估可包括使用接收到的对应于风险等级的认证码。这可减少在授权计算机414方面完成的风险分析量。
在步骤S408,授权计算机414将授权结果传送到服务器计算机410。所述授权结果可包括批准或拒绝所述访问请求的指令。
C.利用数据字段传递补充数据
除了或代替认证码和/或认证密码,***可向授权计算机传递更详细数据(例如,补充数据,如上文相对于图2B所描述)。补充数据可在授权请求消息的专用数据字段中传递,如下详述。
图5示出用于预授权访问请求筛查的示例操作集500,其中在授权请求消息的特定字段中传递补充数据。所述操作可由服务器计算机510(其可基本上类似于图1到2的服务器计算机104)、认证计算机512(其可基本上类似于图1和3的认证计算机116)和授权计算机514(其可基本上类似于图1的授权计算机110)执行。
在步骤S501,服务器计算机510将认证请求消息传送到认证计算机512,如上文相对于图4所描述。
在步骤S502,认证计算机512可执行认证操作。认证计算机512可执行认证操作,基本上如上文相对于图4和/或5所描述。认证计算机512还可生成补充数据。如上文相对于图1所描述,补充数据可包括由认证计算机生成和/或处理的各种类型的数据,例如基于风险的认证数据、生物特征数据、客户数据、装置数据、订单数据等。
在步骤S503,认证计算机512将包括认证数据的认证响应消息传送到服务器计算机510。对认证响应消息的传送可基本上如上文相对于图2B所描述来执行。另外,认证响应消息包括补充数据(例如,在认证过程中生成的详细信息、生物特征数据等)。补充数据可与认证密码和/或认证码等其它认证数据一起提供。
在步骤S504,服务器计算机510将授权请求消息传送到授权计算机514,如上文相对于图4所描述。所述补充数据可在数据字段中无缝传递。授权请求消息可根据各种标准进行格式化(例如,国际标准组织(ISO)8583和20022通常用于金融消息接发;一些服务提供商使用其自己的格式)。这些格式可将数据字段分配给离散数据元素(例如,对于给定标准,交易ID可能位于字段1中,金额可能位于字段10中,等等)。一些字段是固定长度(例如,固定字符长度)。一些字段具有可变长度(例如,多达某一数目的位)。一些字段可能是与特定数据集或大小无关的“开放数据字段”。例如,取决于处理***,字段34和48等字段可保持开放。通过利用授权请求消息的字段34等开放数据字段,授权请求消息可能会过载新类型的信息。
在步骤S506,授权计算机514执行操作以确定是批准还是拒绝访问请求。授权计算机514可基本上如上文相对于图3和/或4所描述来进行确定。另外,评估可包括利用在授权请求的数据字段中接收的补充数据。例如,授权计算机514可接收指示认证计算机512已验证用户的生物特征数据的补充数据。授权计算机可将生物特征验证排序得比认证计算机执行的其它类型的验证(例如,密码数据)更高。因此,授权计算机514可完全或部分地基于接收到生物特征验证指示而批准访问请求。
在步骤S508,授权计算机110将授权结果传送到服务器计算机104。所述授权结果指定访问请求是被批准还是被拒绝。
III.向数据字段添加访问指示符
图6到7示出预授权访问请求筛查方法的额外变型。类似于上文相对于图3到5所描述的方法,由认证计算机生成的认证数据用于传送信息到授权计算机。如图6到7中所示,***可使用在欺诈检查中生成的数据来生成访问指示符,所述访问指示符提供访问请求应被批准还是被拒绝的简单指示。
A.访问指示符
图6示出用于利用数据字段传递访问指示符的预授权访问请求筛查的示例操作集600。所述操作可由服务器计算机610(其可基本上类似于图1到2A的服务器计算机104)、认证计算机612(其可基本上类似于图1和2B的认证计算机116)和授权计算机614(其可基本上类似于图1的授权计算机110)执行。
在步骤S601,服务器计算机610传送认证请求消息到认证计算机612,如上文相对于图4所描述。
在步骤S602,认证计算机612可执行认证操作。认证计算机可执行认证操作,基本上如上文相对于图3、4和/或5所描述。
在步骤S603,认证计算机116将包括认证数据的认证响应消息传送到服务器计算机610。对认证所述认证响应消息的传送可基本上如上文相对于图3、4和/或5所描述来执行。
服务器计算机610可评估访问请求是欺诈性的可能性。服务器计算机610可利用访问规则生成***(类似于图1的访问规则生成***106)来检取和/或生成访问规则以用于评估访问请求。服务器计算机610还可使用访问数据来评估访问请求。替代地或另外,服务器计算机610可基于认证数据而评估访问请求。服务器计算机610可生成指示与访问请求相关联的风险等级的访问得分。
基于所述访问得分,服务器计算机610可生成访问指示符。所述访问指示符可指示服务器计算机已批准访问请求。访问指示符可以是字母数字值。例如,访问指示符可以是***到授权请求消息中的字母“A”,以指示服务器计算机610已批准访问请求。替代地或另外,服务器计算机610可使用不同访问指示符来进一步限定欺诈筛查结果。例如,服务器计算机可针对批准的访问请求生成“A”访问指示符,并且针对已筛查但需要服务器计算机610额外审核的访问请求生成“R”访问指示符。服务器计算机610可避免针对未被分配适当高的访问得分的访问请求生成访问指示符。访问指示符可表示服务器计算机使用由访问规则生成***生成的访问规则的结果。
在一些实施例中,服务器计算机610能够使用对于授权计算机614不可用的数据元素来准确地评估访问请求的风险等级。服务器计算机610可用但授权计算机614不可用的数据元素可包括:背景数据(例如,装置指纹、IP地址等)、访问装置数据(例如,正面清单(positive list)、库存单位(SKU)等级信息等)和/或计算出的数据(例如,风险得分、速度、关联性等)。可利用这些数据元素向授权计算机614提供适用的访问指示符。
在步骤S604,服务器计算机610将授权请求消息传送到授权计算机614,如相对于图3到5所描述。另外,服务器计算机610将访问指示符包括在出站授权请求消息中。服务器计算机610可将访问指示符添加到授权请求消息(例如,添加在授权请求消息的字段34或其它合适的数据字段中)。
在一些实施例中,授权请求消息还可包括上文相对于图3到5描述的任何额外认证数据,例如认证码、认证密码、补充数据等。或者,服务器计算机610可仅包括访问指示符而无额外风险数据,以简化授权计算机614所需的分析。
在步骤S606,在接收到授权请求消息后,授权计算机614执行上文相对于图3到5所描述的授权操作。替代地或另外,授权计算机614可将授权决策完全或部分地基于接收到的访问指示符。授权计算机614可仅基于访问指示符批准或否决访问请求。授权计算机614可确定其依赖访问指示符生成授权结果的程度。
在步骤S608,授权计算机614将授权结果传送到服务器计算机610。所述授权结果可包括批准或拒绝所述访问请求的指令。
B.为访问请求提供担保
图7示出用于预授权访问请求筛查的示例操作集700,包括对认证的访问请求的担保。所述操作可由服务器计算机710(其可基本上类似于图1到2A的服务器计算机104)、认证计算机712(其可基本上类似于图1和2B的认证计算机116)和授权计算机714(其可基本上类似于图1的授权计算机110)执行。
操作701到704可基本上如上文相对于图6的操作602到604所描述来执行。另外,***可生成访问指示符以表示担保。表示担保的访问指示符可采用与上文相对于图6所描述的表示筛查结果的访问指示符不同的形式。例如,服务器计算机710可为授权的访问请求分配访问指示符“A”,并且为担保的访问请求分配访问指示符“G”。作为另一示例,服务器计算机710可针对担保的交易使用两个访问指示符(例如,可将A和G标志均***到授权请求消息中以表示担保的访问请求)。
服务器计算机710可围绕访问指示符建构担保模型。如果访问指示符存在于授权请求消息中,则所述访问指示符可表示与服务器计算机相关联的实体(例如,安保公司或商家)担保此次访问请求。因此,如果访问请求是欺诈性的,则访问指示符可表示责任转移。表示担保的访问指示符可结合服务器计算机710、认证计算机712和/或授权计算机714之间预先存在的协定来使用。
IV.用于预授权访问请求筛查的方法
图10到13示出执行预授权访问请求筛查并将其结果传递到授权计算机以确定是否准予访问资源的各种方法。
A.使用访问指示符
相对于图8描述用于预授权访问请求筛查的方法。如上文相对于图3到7所描述,服务器计算机可将包括访问指示符和/或认证数据的授权请求消息传送到授权计算机,以确定是批准还是拒绝资源访问请求。图8的流程图示出用于生成和处理此类消息的操作。图8中示出的操作可由图1和2A中示出的服务器计算机104和授权计算机110执行。
在步骤802之前,用户可请求用户装置访问资源。例如,用户可尝试通过将卡(用户装置)标记到访问装置来进入建筑物。作为另一示例,用户可尝试通过移动电话等用户计算装置将支付信息输入到资源提供商网站而在线购买衣物。在任一情况下,用户可将访问数据(例如,员工标识数据、支付数据、用户名称等)提交到访问装置或用户计算装置。然后,访问装置和/或用户计算装置将包括访问数据的资源访问请求传送到服务器计算机。
在步骤802,服务器计算机从请求装置接收用户装置访问资源的请求。所述请求装置可以是用户计算装置或访问装置。所述请求包括访问数据。可例如通过送到服务器计算机开放的API的消息和/或推送来接收请求。
在步骤802之后,服务器计算机可传送和接收认证请求消息,如下文相对于图9所描述。或者,服务器计算机可继续步骤804,而不传送和接收认证请求消息。图10到13示出基于豁免的应用而可执行或可能不执行认证的情境。
在步骤804,服务器计算机基于访问数据来确定访问得分。服务器计算机可使用从访问规则生成***检取的访问规则来确定访问得分。访问规则生成***可基于有关先前访问尝试、统计模型和/或机器学习算法的历史数据来确定访问规则。服务器计算机可微调建模以定制访问规则。服务器计算机还可将访问数据和/或认证数据用于确定访问得分。
服务器计算机可将所选访问规则应用于访问数据、资源访问参数和/或认证数据。例如,规则是“如果国家=巴西,并且金额>$10,000,则拒绝,否则批准。”如果国家为巴西,并且金额为$9,000,则规则结果为批准。如果国家为巴西,并且金额为$11,000,则规则结果为拒绝。如果金额为$16,000并且国家为瑞典,则规则结果为批准。
服务器计算机可基于规则值与访问数据值的比较来生成访问得分。继续上文中规则指定国家和美元金额的示例,美元金额越高,访问得分可能就越高。在巴西的$20,000交易可具有访问得分4,而在巴西的$10,001交易可具有访问得分3。与仅一个因素符合规则的情况相比,如果国家和美元金额均符合规则,则访问得分可递增(例如在巴西的$10,001具有访问得分3,而在巴西的$9,500具有访问得分2)。
在步骤806,服务器计算机将访问得分与阈值进行比较。所述阈值可表示应对应于授权的访问请求的访问得分。替代地或另外,服务器计算机可使用对应于多个相应结果的多个阈值。例如,如果访问得分为95或更高,则服务器计算机能担保交易;如果访问得分介于85与95之间,则服务器计算机授权访问请求;如果访问得分介于75与95之间,则服务器计算机对访问请求进行标记以进行手动审核。
在步骤808,服务器计算机基于访问得分生成访问指示符。服务器计算机可在确定访问得分达到或超过阈值后生成访问指示符。如上文相对于图6到7所描述,访问指示符可采用不同形式来微调传递到授权计算机的信息。所述不同形式可例如对应于若干阈值中的一个阈值。或者,服务器计算机可使用对应于单个阈值的单个标志。
服务器计算机可通过将访问得分与阈值进行比较来生成访问指示符。例如,服务器计算机可确定:如果访问得分达到或超过阈值,则访问请求通过了访问筛查。作为具体示例,服务器计算机针对特定访问请求计算出访问得分80。服务器计算机标识存储的阈值78用于表示通过了访问筛查。基于将访问得分与阈值进行比较,服务器计算机确定所述访问请求已通过筛查并且应当被批准。另一方面,如果值小于阈值(例如77或更小),则服务器计算机可确定所述访问请求未通过访问筛查。
替代地或另外,服务器计算机可通过将访问得分与多个阈值进行比较来生成访问指示符。例如,服务器计算机可使用第一阈值(例如78,用于确定访问请求应被批准)。服务器计算机还可使用第二阈值(例如,49)来用于确定对资源的访问应被拒绝。第二阈值可对应于第二标志、警告消息等等。对于超过第二阈值但不符合超过第一阈值(例如,50到77)的访问请求,服务器计算机可避免生成访问指示符。作为另一示例,服务器计算机可将第一阈值用于极有可能有效的访问请求(例如,访问得分>95)并将第二阈值用于有效可能性符合要求的访问请求(例如,访问得分>75)。
基于访问请求是否通过访问筛查,服务器计算机可生成或可能不生成表示对资源的访问应被准予的访问指示符。因此,访问指示符可用于保证访问请求已通过服务器计算机的访问筛查过程。这可指示服务器计算机已确定访问请求不大可能是欺诈性的。
在一些实施例中,访问指示符可表示担保。访问指示符可指示管理服务器计算机的实体(例如,有助于对资源的访问的商家、安保公司等)担保访问请求。替代地或另外,所述担保可由代表服务器计算机执行欺诈检查的第三方服务提供商作出。如果访问请求结果是欺诈性的,则管理服务提供商的实体或执行欺诈检查的服务提供商将承担与未授权访问相关联的任何责任。
在步骤810,服务器计算机准备包括访问指示符的授权请求消息。服务器计算机可将访问指示符放在授权请求消息的特定字段(例如,字段34)中。替代地或另外,服务器计算机可将访问得分包括在授权请求消息中。服务器计算机将授权响应消息传送到授权计算机。
在步骤812,服务器计算机将包括访问指示符的授权请求消息传送到授权计算机。服务器计算机可例如将XML消息传送到授权计算机,和/或将消息推送到授权计算机开放的API。
在步骤814,授权计算机基于访问指示符批准或拒绝用户装置访问资源。在一些实施例中,授权计算机可充分信任访问指示符/服务器计算机,从而简单地仅基于访问指示符来批准或拒绝访问请求(例如,如果消息中存在访问指示符,则访问请求将被批准,但如果消息中没有访问指示符,则访问请求将被拒绝)。如果访问指示符指示服务器计算机作出的担保,则授权计算机可尤其确信依赖访问指示符。或者,授权计算机可使用访问指示符作为对授权计算机的访问确定过程的补充。例如,授权计算机基于从一到一百的计算得分来批准或拒绝访问请求,而访问指示符的存在使得分增加十个点。
如果服务器计算机在步骤806确定访问得分未达到或超过阈值,则服务器计算机可避免生成访问指示符。
在步骤816,服务器计算机可准备授权请求消息,而不包括访问指示符。在访问得分未达到或超过阈值的情况下,服务器计算机可准备标准授权请求消息。替代地或另外,服务器计算机可包括指示访问请求应被拒绝的信息。
在步骤818,服务器计算机可将授权请求消息传送到授权计算机。服务器计算机可例如将XML消息传送到授权计算机,和/或将消息推送到授权计算机开放的API。
在步骤820,授权计算机可批准或拒绝对资源的访问。授权计算机可在不使用访问指示符的情况下执行自己的风险检查,以批准或拒绝对资源的访问。授权计算机可使用从服务器计算机接收的其它信息(例如,访问得分、认证数据等)来通知其决策。如果授权请求中不存在访问指示符,则授权计算机更有可能拒绝对资源的访问。授权计算机可例如确定:没有访问指示符的授权请求应始终被拒绝。或者,授权计算机可确定:没有访问指示符的授权请求应经受更多审查。
B.使用认证数据
相对于图9描述了使用认证数据的预授权访问请求筛查的方法。图9中示出的操作可由图1到2B中示出的服务器计算机104、认证计算机116和授权计算机110执行。
在步骤902,服务器计算机从请求装置接收用户装置访问资源的请求,所述请求包括访问数据。步骤902可基本上类似于上文相对于图8所描述的步骤802。
在步骤904,服务器计算机生成认证请求消息。服务器计算机可使用认证计算机可接受的合适格式来生成认证请求消息。认证请求消息可完全或部分地包括接收到的访问数据和/或完全或部分地包括访问数据等信息。访问请求还可包括访问请求指示符(例如,标识访问请求的一系列数字和/或字母)。服务器计算机将认证请求消息传送到认证计算机。
在步骤906,认证计算机生成认证响应消息,所述认证响应消息包括对应于用户装置的认证的认证数据。认证计算机可基于从认证请求消息提取的信息(例如,访问数据)来确定是否认证用户。认证计算机可生成包括ECI码等认证码的认证数据。认证数据还可包括例如CAVV的认证密码。有关此类代码和值的其它细节在上文例如相对于图1和3进行了描述。
在一些实施例中,认证计算机可执行基于风险的认证。由认证计算机生成的认证数据可包括与基于风险的认证相关联的补充数据。认证计算机可通过认证码或认证密码进行传送(例如,通过基于确定的风险等级来分配ECI)。
认证计算机将包括认证数据的认证响应消息传送到服务器计算机。认证计算机可例如通过有线或无线通信和/或向API的推送来传送认证响应消息。
在步骤908,服务器计算机从认证计算机接收包括认证数据的认证响应消息。服务器计算机可例如通过消息接发总线或向服务器计算机开放的API的推送来接收响应。
在步骤910,服务器计算机基于认证数据和访问数据的至少一子集来确定访问得分。上文相对于图8详细描述了基于访问数据确定访问得分的方法。服务器计算机还可使用认证数据来确定访问得分。例如,访问规则可将认证数据考虑在内,例如基于风险的认证结果、用户是否已经过认证等。作为具体示例,服务器计算机可从认证计算机接收认证数据,所述认证数据包括与用户关联的历史访问数据。服务器计算机可基于历史交易数据与对应于当前访问请求的访问数据的比较来递增或递减访问得分。
在步骤912,服务器计算机基于访问得分来确定是否向授权计算机传送授权请求消息。服务器计算机可在确定是否向授权计算机传送授权请求消息时将访问得分与一个或多个阈值进行比较。例如,如果访问得分低于第一阈值,则服务器计算机可避免传送授权请求消息,因为对资源的访问不应被准予。如果访问得分高于第一阈值,则服务器计算机可传送包括访问指示符或其它信息的授权请求消息,如上文相对于图3到8所描述。如果访问得分高于第二阈值,则服务器计算机还可为访问请求提供担保。
在步骤912之后,服务器计算机可准备授权请求消息。授权请求消息可包括访问得分和/或相关数据,例如访问指示符、ECI和/或类似数据,如上文相对于图3到8详细描述。
授权计算机可直接或间接基于访问得分来批准或拒绝对资源的访问,如上文相对于图3到8详细描述。
C.应用豁免以跳过认证
相对于图10描述用于使用认证豁免的预授权访问请求筛查的方法。图10中示出的操作可由图1到2B中示出的服务器计算机104、认证计算机116和授权计算机110执行。
在步骤1002,消息接发模块104F对访问请求分析器模块104E进行调用。消息接发模块104F可将例如访问数据的信息传送到访问请求分析器模块104E。
访问请求分析器模块104E可选择访问请求的资料档案。访问请求分析器模块104E可基于访问数据将访问请求分配到预定义的资料档案。例如,超过$10,000的购买可对应于第一资料档案,低于$100的购买可对应于第二资料档案,而在$100与$10,000之间的购买可对应于第三资料档案。周围作为其它示例,资料档案可对应于位置、资源访问请求方的特性、一天中的时间和/或其类似者。
在步骤1004,访问请求分析器模块104E可将关于所选资料档案的信息传送到豁免模块104I。替代地或另外,访问请求分析器模块104E可将访问数据传送到豁免模块104I。豁免模块104I可基于所选资料档案和/或访问数据来确定是否应用豁免。例如,豁免可适用于对应于受信任用户的资料档案或低于$100的购买的资料档案的访问请求。作为另一示例,豁免可适用于对应于支付服务指令2(PSD2)的访问请求。PSD2豁免是对欧盟的所有支付交易应经过高级别认证过程的这一要求的豁免。PSD2豁免包括交易风险分析(TRA),其中:退款次数低于某一等级;列入白名单(WL),其在受信任资源提供商已处于白名单上时适用;涉外(One Leg Out,OLO),其在交易一方未位于EU中时适用;或低值(LV),其中交易金额小于30欧元。豁免模块104I可基于对应于访问请求的资料档案和/或访问数据来确定一个或多个此类豁免适用。
在步骤1006,任选地,***可在选择资料档案之后拒绝访问请求。可在选择资料档案之后,例如在认证或授权之前,基于访问规则和接收到的访问数据来拒绝访问请求。例如,***可针对黑名单上的个人或国家而拒绝访问请求。如果授权请求被拒绝,则***可避免继续处理所述请求。
在步骤1008,***可将授权请求消息传送到授权计算机110。基于应用的豁免,可无需认证操作就发送授权请求消息。授权请求消息可包括指示应用的豁免(例如,TRA/WL/OLO/LV,如图11中所指示)的信息。
在步骤1010,授权计算机110可执行授权操作。授权计算机110可通过利用从服务器计算机310接收的数据来执行授权操作。例如,授权计算机可仅仅基于接收到访问指示符来确定对访问请求授权,如上文相对于图8所描述。替代地或另外,授权计算机110可通过根据其自身的规则集分析接收到的数据来确定是否对访问请求授权。
如果授权计算机110确定不授权访问请求,则在步骤1014,授权计算机110可视需要向消息接发模块104F通知对资源的访问被拒绝。授权计算机可通过授权响应消息传送所述通知。
在步骤1012,授权计算机110可将授权结果传送到授权后模块104J。在支付交易的情况下,授权结果可包括支付账户中是否有充足资金可用的指示。授权结果可包括地址验证服务(AVS)检查结果。可在分析访问请求中提交的一些或全部地址之后执行AVS检查。在确定授权结果时,授权计算机110可将地址数据与同账户相关联的存档地址数据进行比较。例如,持卡人在购买汽油时可能被提示输入其邮编。通过将接收到的邮编与存储的与支付账户相关联的邮编进行比较,授权计算机110可将此邮编用于授权交易。授权结果可包括卡验证号(CVN)检查结果。CVN是与支付账户相关联的三位或四位代码。授权计算机可确定在授权请求消息中接收的CVN是否匹配授权计算机存档的值。作为另一示例,授权结果可包括确认用户具有进入安全位置的有效凭证。
在步骤1016,授权后模块104J可分析从授权计算机110接收的信息。授权后模块104J可自行确定是否应准予对资源的访问。此确定可基于从授权计算机110接收的信息(例如,AVS、CVN或资金可用性信息)。所述确定还可基于服务器计算机可用的额外信息(授权计算机110可能无权访问),例如访问数据、访问规则、访问得分等。因此,在一些情况下,评估后模块可作出与授权计算机110不同的确定。
在步骤1016,授权后模块可将最终结果传送到消息接发模块104F。所述结果可能是允许(接受)对资源的访问。所述结果可能是拒绝对资源的访问。所述结果可能是进一步审核所述请求。
在步骤1016之后,基于从授权计算机110和/或授权后模块104J接收的信息,消息接发模块104F可发起适当动作。如果任一实体已确定拒绝访问请求,则消息接发模块104F可将指令传送到访问装置以拒绝访问。如果实体均确定批准,则消息接发模块104F可向访问装置传送指令以准予访问。如果授权后模块确定应进行审核,则消息接发模块104F可向服务器计算机传送指令以发起手动审核过程。
D.混合筛查,无豁免
相对于图11描述了在无豁免情况下的混合预授权访问请求筛查的方法。图11中示出的操作可由图1到2B中示出的服务器计算机104、认证计算机116和授权计算机110执行。
在步骤1102,消息接发模块104F对访问请求分析器模块104E进行调用,如上文相对于图11的步骤1002所描述。访问请求分析器模块104E随后可在步骤1104选择并传送资料档案到豁免模块104I,如上文相对于图10的步骤1004所描述。
在步骤1106,任选地,***在选择资料档案之后可拒绝授权请求,如上文相对于图10的步骤1006所描述。
在步骤1108,豁免模块可确定没有豁免适用。豁免模块可通过将接收到的资料档案和/或访问数据与豁免规则进行比较来确定无豁免适用。在确定没有豁免适用后,豁免模块可向认证计算机传送认证请求消息,所述消息可显式地或隐式地指定无豁免适用。
在步骤1110,认证计算机的登记模块116E可执行BIN检测操作。登记模块可从认证请求消息中接收到的数据中标识BIN。基于BIN,登记模块可确定如何处理认证。这可包括确定涉及的一个或多个实体的登记状态(例如,用户、发行方或商家是否在安全认证协议中登记)。
在步骤1112,登记模块116E可将指令传送到验证模块116F以执行认证操作。所述指令可包括规定的认证等级(即,基于豁免、登记状态、访问数据和/或其类似者,可调用标准或加强的认证措施)。
在步骤1114,验证模块116F可执行认证操作。验证模块116F可基本上如上文相对于图3到8所描述来执行认证操作。
在步骤1116,验证模块116F可将例如认证结果、CAVV、ECI和/或其类似者的认证数据传送到消息接发模块104F。在步骤1118,消息接发模块104F可将认证数据(例如,ECI/CAVV)转发到访问请求分析器模块104E。
在步骤1120,访问请求分析器模块104E可基于接收到的认证数据来执行风险筛查。访问请求分析器模块104E可基于认证数据来执行风险筛查,如上文相对于图10所描述。
在步骤1124,访问请求分析器模块104E可将授权请求消息传送到授权计算机110。所述授权请求消息可包括从认证计算机116接收的认证数据(例如,CAVV、ECI、认证结果等)。授权请求消息还可包括与请求分析器模块进行的风险筛查有关的信息,例如访问指示符、访问得分、访问数据等。
在步骤1126,授权计算机执行授权操作。授权计算机可基本上如上文相对于图10的步骤1010所描述来执行授权操作。如果授权计算机110确定拒绝,则授权计算机可向消息接发模块104F传送授权响应消息,指示访问应被拒绝。
在步骤1128和1132,授权后模块104J可执行授权后筛查并发送其结果,基本如上文相对于图10的步骤1012和1016所描述。
E.结合豁免的混合筛查
相对于图12描述了结合豁免的混合预授权访问请求筛查的方法。图12中示出的操作可由图1到2B中示出的服务器计算机104、认证计算机116和授权计算机110执行。
在步骤1202,消息接发模块104F对访问请求分析器模块104E进行调用,如上文相对于图10的步骤1002所描述。访问请求分析器模块104E随后可在步骤1204选择并传送资料档案到豁免模块104I,如上文相对于图10的步骤1004所描述。
在步骤1206,任选地,***在选择资料档案之后可拒绝授权请求,如上文相对于图10的步骤1006所描述。
在步骤1208,豁免模块可确定一个或多个豁免适用。豁免模块可通过将接收到的资料档案和/或访问数据与豁免规则进行比较来确定豁免适用。然而,豁免模块104I还可确定应省略豁免。豁免模块104I可使用访问规则确定在某些情形下,豁免应被否决。例如,尽管交易不到100美元,但如果交易源自中国,则不应适用豁免情况。风险规则可配置成使得***认证并使用认证结果进行进一步分析。豁免模块104I随后可向认证计算机传送通知,指示豁免应省略。
步骤1210到1232可如上文相对于图11的步骤1110到1132所描述的基本上类似的方式执行。由于豁免被省略,因此***可继续进行,基本上就如没有豁免适用一样。
F.豁免推翻
相对于图13描述了豁免被认证计算机推翻的混合预授权访问请求筛查的方法。图13中示出的操作可由图1到2B中示出的服务器计算机104、认证计算机116和授权计算机110执行。
在步骤1302,消息接发模块104F对访问请求分析器模块104E进行调用,如上文相对于图10的步骤1002所描述。访问请求分析器模块104E随后可在步骤1304选择并传送资料档案到豁免模块104I,如上文相对于图10的步骤1004所描述。
在步骤1306,任选地,***在选择资料档案之后可拒绝授权请求,如上文相对于图10的步骤1006所描述。
在步骤1308,豁免模块可确定一个或多个豁免适用,如上文相对于图12所描述。因此,***可在未首先执行认证操作的情况下将授权请求消息传送到授权计算机110。授权请求消息可包括已应用豁免和/或尚未执行认证的指示。授权请求消息还可包括访问数据以及有关访问请求的其它信息。
在步骤1310,授权计算机110可分析接收到的数据。授权计算机110可基于授权计算机的规则确定需要认证。
在步骤1312,授权计算机110可将指示需要认证的消息传送到登记模块。基于接收到的消息,认证计算机可在重新提交授权请求消息之前执行认证操作,指示已完成授权。
步骤1314到1332可如上文相对于图12的步骤1110到1132所描述的基本上类似的方式执行。
V.优点
本公开的教示具有许多优点。例如,授权计算机可通过在授权决策中利用访问指示符来增加信心并改善授权率。在确信受信任实体已经针对欺诈性筛查了访问请求的情况下,发行方可能更倾向对访问请求进行授权。通过减少不必要地拒绝对访问的准予,更能激励用户通过相应渠道进行授权请求。此外,访问增多可使收入增多。
另外,通过利用认证数据来进行访问确定,可提高这些确定的准确性。认证数据,尤其是基于风险的认证数据,在用于执行欺诈检查以及授权方侧风险检查的计算中可极为有用。许多这些数据元素通常对于授权计算机来说不可用。将认证详细信息传递到授权计算机还更清晰地区分风险等级,从而使授权计算机能够微调访问确定。此外,将认证和/或访问详细信息添加到授权计算机的专用消息字段中可改善与发行方授权风险引擎的兼容性。
因此,欺诈检查的准确性可极大地增加。本文所描述的方法既可增加截获的欺诈性访问尝试的数目,也可减小对实际并非欺诈性的访问请求的错误拒绝的数目。
本公开的实施例具有许多额外示例。例如,授权计算机可利用授权计算机和/或服务器计算机的数据和计算来评估访问请求。授权计算机能够减少或甚至消除所需的计算量,从而节省时间和计算资源。授权计算机也能够极大地减小所需的数据存储量。此外,通过利用预先存在的授权请求消息来传递所述数据,无需使***担负额外的消息接发操作。
尽管在支付交易的上下文中描述了示例,但本文所描述的方法适用于其它上下文。作为示例,一些实施例可用于确定是否准予访问安全锁箱。作为另一示例,一些实施例可用于确定是否允许用户登录安全网站。
VI.计算机***
图14是可用于实施上文描述的任何实体或部件的计算机***1400的高级框图。
图14中示出的子***通过***总线75互连。示出了额外子***,如打印机74、键盘78、存储装置79、耦合到显示适配器82的监视器76等。***装置和耦合到输入/输出(I/O)控制器71的I/O装置可通过所属领域中已知的任何数目的构件--例如串行端口77--连接到计算机***。例如,串行端口77或外部接口81(例如以太网、Wi-Fi等)可用于将计算机***10连接到例如互联网的广域网、鼠标输入装置或扫描仪。经由***总线75的互连允许中央处理器73与每个子***进行通信,并控制来自***存储器72或存储装置79(例如,如硬盘驱动器或光盘的固定盘)的指令的执行,以及子***之间的信息交换。***存储器72和/或存储装置79可体现计算机可读介质。在本文中提及的任何数据可从一个部件输出到另一部件并且可输出到用户。
应理解,可使用硬件(例如专用集成电路或现场可编程门阵列)和/或以模块化或集成方式通过通常可编程处理器使用计算机软件将任一个实施例实施成控制逻辑的形式。如本文所用,处理器包括同一集成芯片上的多核处理器,或在单个电路板上或网络化的多个处理单元。基于本文中提供的公开内容和教示,所属领域的一般技术人员将知道和了解使用硬件以及硬件与软件的组合实施实施例的其它方式和/或方法。
本申请中描述的任何软件部件或功能可实施为使用例如Java、C、C++、C#的任何合适计算机语言或例如Perl或Python的脚本语言使用例如常规的或面向对象的技术由处理器执行的软件代码。软件代码可作为一系列指令或命令存储于计算机可读介质上以供存储和/或传送,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘等磁性介质或例如光盘(CD)或DVD(数字通用光盘)等光学介质、快闪存储器等。计算机可读介质可以是此类存储或传送装置的任何组合。
此类程序还可使用适合通过符合各种协议的有线、光学和/或无线网络--包括互联网--传送的载波信号来编码和传送。由此,根据实施例的计算机可读介质可使用通过此类程序编码的数据信号产生。通过程序代码编码的计算机可读介质可与可兼容装置一起封装或与其它装置分开提供(例如通过互联网下载)。任何此类计算机可读介质可驻存在单个计算机产品(例如,硬盘驱动器、CD或整个计算机***)之上或之内,并且可存在于***或网络内的不同计算机产品之上或之内。计算机***可包括监视器、打印机,或用于向用户提供本文所提及的任何结果的其它合适的显示器。
本文所描述的任何方法可完全或部分地通过计算机***执行,所述计算机***包括可被配置以执行所述步骤的一个或多个处理器。因此,实施例可涉及被配置成执行本文所述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同部件的计算机***。尽管以编号的步骤呈现,但是本文中的方法步骤也可以同时执行或以不同的次序执行。另外,这些步骤的部分可与来自其它方法的其它步骤的部分一起使用。此外,步骤的全部或部分可以是任选的。另外,任何方法的任何步骤可通过模块、电路或用于执行这些步骤的其它方式来执行。
可在不脱离本公开的实施例的精神和范围的情况下以任何合适方式组合特定实施例的具体细节。然而,其它实施例可涉及与每个个别方面或这些个别方面的特定组合有关的特定实施例。
以上描述是说明性的而不是限制性的。许多变型在所属领域的技术人员查阅本公开后将变得显而易见。因此,范围不应参考以上描述来确定,而是应参考待决的权利要求以及其完整范围或等同物来确定。
除非明确指示有相反的意思,否则“一”或“所述”的叙述旨在表示“一个或多个”。
上文所提及的所有专利、专利申请、公开和描述都出于所有目的以其全文引用的方式并入本文中。并非承认它们是现有技术。
Claims (20)
1.一种方法,包括:
由服务器计算机从请求装置接收用户装置访问资源的请求,所述请求包括访问数据;
由所述服务器计算机基于所述访问数据确定访问得分;
由所述服务器计算机基于所述访问得分生成访问指示符;
由所述服务器计算机准备包括所述访问指示符的授权请求消息;以及
由所述服务器计算机向授权计算机传送包括所述访问指示符的所述授权请求消息,
其中所述授权计算机基于所述授权请求消息中包括的所述访问指示符来批准或拒绝所述用户装置对所述资源的所述访问。
2.根据权利要求1所述的方法,其中所述访问指示符包括指示所述服务器计算机已批准所述访问请求的标志。
3.根据权利要求1所述的方法,还包括:
由所述服务器计算机向认证计算机传送认证请求消息,所述认证请求消息包括所述访问数据的至少一子集;以及
由所述服务器计算机从所述认证计算机接收包括认证数据的认证响应消息,其中所述认证计算机基于所述访问数据的至少一子集来生成所述认证数据。
4.根据权利要求3所述的方法,其中所述服务器计算机还使用所述认证数据的至少一子集来确定所述访问得分。
5.根据权利要求3所述的方法,其中:
所述授权请求消息还包括由所述认证计算机生成的所述认证数据的至少一子集;并且
所述授权计算机还使用所述授权请求消息中接收的所述认证数据来确定是批准还是拒绝对所述资源的所述访问。
6.根据权利要求3所述的方法,其中:
所述认证数据包括指示认证结果的认证码以及认证密码;并且
所述授权请求消息还包括所述认证码和所述认证密码。
7.根据权利要求3所述的方法,其中:
所述认证数据包括补充数据;并且
所述授权请求消息还包括所述补充数据。
8.根据权利要求3所述的方法,还包括:
由所述服务器计算机对照多个豁免分析所述访问数据,其中如果所述多个豁免中的一个或多个适用于所述访问数据,则不需要授权;以及
基于所述访问数据,由所述服务器计算机确定没有豁免适用于所述访问请求。
9.根据权利要求1所述的方法,其中所述访问指示符是在所述授权请求消息的开放数据字段中传送的。
10.根据权利要求1所述的方法,还包括:
标识第一阈值,所述第一阈值对应于应被批准的访问请求;
标识第二阈值,所述第二阈值对应于应被拒绝的访问请求;
将所述访问得分与所述第一阈值以及所述第二阈值进行比较;以及
确定所述访问得分超过所述第一阈值和所述第二阈值。
11.根据权利要求1所述的方法,还包括:
由所述服务器计算机对照多个豁免分析所述访问数据,其中如果所述多个豁免中的一个或多个适用于所述访问数据,则不需要授权;
基于所述访问数据,由所述服务器计算机确定一个或多个豁免适用于所述访问请求;以及
基于所述确定,在不执行授权操作的情况下传送所述授权请求消息。
12.一种方法,包括:
由服务器计算机从请求装置接收用户装置访问资源的请求,所述请求包括访问数据;
由所述服务器计算机向认证计算机传送认证请求消息,所述认证请求消息包括所述访问数据的至少一子集;
由所述服务器计算机从所述认证计算机接收认证响应消息,所述认证响应消息包括对应于所述认证计算机对所述用户装置的认证等级的认证数据,其中所述认证计算机基于所述访问数据生成所述认证数据;
由所述服务器计算机基于所述认证数据和所述访问数据来确定访问得分;以及
由所述服务器计算机基于所述访问得分确定是否将授权请求消息传送到授权计算机。
13.根据权利要求12所述的方法,还包括:
基于所述访问得分生成访问指示符;以及
将所述访问指示符传送到所述授权计算机,
其中所述授权计算机基于所述访问指示符批准或拒绝对所述资源的所述访问。
14.根据权利要求13所述的方法,其中所述访问指示符是在所述授权请求消息的开放数据字段中传送的。
15.根据权利要求13所述的方法,其中所述访问指示符包括指示所述服务器计算机已批准所述访问请求的标志。
16.根据权利要求12所述的方法,还包括:
将所述访问得分传送到所述授权计算机,
其中所述授权计算机基于所述访问得分批准或拒绝对所述资源的所述访问。
17.根据权利要求12所述的方法,还包括:
在传送所述认证请求消息之前:
由所述服务器计算机对照多个豁免分析所述访问数据,其中如果所述多个豁免中的一个或多个适用于所述访问数据,则不需要授权;以及
基于所述访问数据,由所述服务器计算机确定没有豁免适用于所述访问请求。
18.根据权利要求12所述的方法,还包括:
在传送所述认证请求消息之前:
由所述服务器计算机对照多个豁免分析所述访问数据,其中如果所述多个豁免中的一个或多个适用于所述访问数据,则不需要授权;
基于所述访问数据,由所述服务器计算机确定一个或多个豁免适用于所述访问请求;
向所述授权计算机传送授权请求消息,所述授权请求消息包括已应用所述多个豁免中的豁免的指示;以及
从所述授权计算机接收所述豁免已被推翻并且需要认证的指示。
19.一种服务器计算机,包括:
处理器;以及
耦合到所述处理器的非瞬态计算机可读介质,所述非瞬态计算机可读介质包括代码,所述代码能由所述处理器执行以实施根据以上权利要求中任一项所述的方法。
20.一种包括计算机可读介质的计算机产品,所述计算机可读介质存储多个指令以用于控制计算机***执行根据权利要求1至18中任一项所述的操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862712909P | 2018-07-31 | 2018-07-31 | |
| US62/712,909 | 2018-07-31 | ||
| PCT/US2019/012547 WO2020027866A1 (en) | 2018-07-31 | 2019-01-07 | Pre-authorization access request screening |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112513842A true CN112513842A (zh) | 2021-03-16 |
Family
ID=69230861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980050736.0A Pending CN112513842A (zh) | 2018-07-31 | 2019-01-07 | 预授权访问请求筛查 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11916917B2 (zh) |
| EP (1) | EP3830721B1 (zh) |
| CN (1) | CN112513842A (zh) |
| SG (1) | SG11202100775XA (zh) |
| WO (1) | WO2020027866A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11727412B2 (en) * | 2019-12-18 | 2023-08-15 | Mastercard International Incorporated | Systems and methods for optimizing transaction authorization request message to reduce false declines |
| US11823187B2 (en) * | 2020-05-29 | 2023-11-21 | Mastercard International Incorporated | Systems and methods for linking authentications in connection with network interactions |
| CN115804063A (zh) | 2020-07-10 | 2023-03-14 | 维萨国际服务协会 | 用于配置访问请求认证的引擎 |
| US11689538B2 (en) * | 2020-10-28 | 2023-06-27 | Capital One Services, Llc | Methods and systems for authentication for high-risk communications |
| US20240078560A1 (en) * | 2022-09-06 | 2024-03-07 | Capital One Services, Llc | Systems and methods for virtual certification number generation |
| WO2024091682A1 (en) * | 2022-10-28 | 2024-05-02 | Strong Force TX Portfolio 2018, LLC | Techniques for securing, accessing, and interfacing with enterprise resources |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185364B2 (en) | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
| US7809650B2 (en) * | 2003-07-01 | 2010-10-05 | Visa U.S.A. Inc. | Method and system for providing risk information in connection with transaction processing |
| WO2005003907A2 (en) | 2003-06-26 | 2005-01-13 | Ebay Inc. | Method and apparatus to authenticate and authorize user access to a system |
| WO2007041709A1 (en) * | 2005-10-04 | 2007-04-12 | Basepoint Analytics Llc | System and method of detecting fraud |
| US20070271466A1 (en) * | 2006-05-18 | 2007-11-22 | Genevieve Mak | Security or authentication system and method using manual input measurements, such as via user manipulation of a computer mouse |
| US8601531B1 (en) * | 2009-06-29 | 2013-12-03 | Emc Corporation | System authorization based upon content sensitivity |
| US8312157B2 (en) * | 2009-07-16 | 2012-11-13 | Palo Alto Research Center Incorporated | Implicit authentication |
| US10666620B1 (en) * | 2012-11-30 | 2020-05-26 | United Services Automobile Association (Usaa) | Private network request forwarding |
| US9391968B2 (en) | 2013-09-24 | 2016-07-12 | At&T Intellectual Property I, L.P. | Scored factor-based authentication |
| US9996837B2 (en) | 2014-06-06 | 2018-06-12 | Visa International Service Association | Integration of secure protocols into a fraud detection system |
| US9367844B1 (en) | 2015-03-25 | 2016-06-14 | Mastercard International Incorporated | Method and system for online and physical merchant specific fraud detection system |
| US9922475B2 (en) * | 2015-09-11 | 2018-03-20 | Comcast Cable Communications, Llc | Consensus based authentication and authorization process |
| US10949845B2 (en) | 2016-11-11 | 2021-03-16 | Mastercard International Incorporated | Systems and methods for expedited processing of authenticated computer messages |
| US10389731B2 (en) * | 2016-11-22 | 2019-08-20 | Microsoft Technology Licensing, Llc | Multi-factor authentication using positioning data |
| US20180204215A1 (en) * | 2017-01-17 | 2018-07-19 | Hung-Tzaw Hu | Detecting electronic intruders via updatable data structures |
| US11271930B2 (en) * | 2018-07-02 | 2022-03-08 | Mastercard International Incorporated | System architecture and database for context-based authentication |
| US11349829B2 (en) * | 2019-11-11 | 2022-05-31 | Mastercard International Incorporated | Systems and methods for use in verifying network identities |
| US11677547B1 (en) * | 2022-07-22 | 2023-06-13 | HYPR Corp. | Mobile authenticator for performing a role in user authentication |
-
2019
- 2019-01-07 CN CN201980050736.0A patent/CN112513842A/zh active Pending
- 2019-01-07 US US17/263,527 patent/US11916917B2/en active Active
- 2019-01-07 EP EP19843962.2A patent/EP3830721B1/en active Active
- 2019-01-07 WO PCT/US2019/012547 patent/WO2020027866A1/en unknown
- 2019-01-07 SG SG11202100775XA patent/SG11202100775XA/en unknown
-
2024
- 2024-01-11 US US18/411,018 patent/US20240154969A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP3830721B1 (en) | 2024-06-05 |
| SG11202100775XA (en) | 2021-02-25 |
| US11916917B2 (en) | 2024-02-27 |
| EP3830721A1 (en) | 2021-06-09 |
| WO2020027866A1 (en) | 2020-02-06 |
| EP3830721A4 (en) | 2021-08-18 |
| US20210243198A1 (en) | 2021-08-05 |
| US20240154969A1 (en) | 2024-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11574311B2 (en) | Secure mobile device credential provisioning using risk decision non-overrides | |
| US9996837B2 (en) | Integration of secure protocols into a fraud detection system | |
| AU2016255769B2 (en) | Tokenization capable authentication framework | |
| EP3830721B1 (en) | Pre-authorization access request screening | |
| US11714913B2 (en) | System for designing and validating fine grained fraud detection rules | |
| US20140344155A1 (en) | Out of band authentication and authorization processing | |
| US11023895B2 (en) | Automated review system for transactions | |
| US11902252B2 (en) | Access rule management | |
| US11935058B2 (en) | Systems and methods for authenticating a user using private network credentials | |
| US11797650B2 (en) | Data value routing system and method | |
| US20230252116A1 (en) | Engine for configuring authentication of access requests | |
| US12045357B2 (en) | System for designing and validating fine grained fraud detection rules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |