用于改进的认证的系统、设备和方法技术方案

描述了使用针对交易的安全推送认证技术的多因素认证技巧。实施方案包括：作为认证服务平台进行操作的保障平台从访问控制服务器(ACS)接收用户认证请求和交易数据；确定认证规则；产生用户验证请求消息；将用户验证请求消息发送到用户移动装置；并且接收用户认证数据。保障平台然后对用户认证数据进行验证，发送装置认证请求，接收用用户的私钥签名的装置认证响应，并且基于装置认证响应和私钥来对用户进行认证。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用：本申请要求2014年4月14日提交的美国临时专利申请No.61/979,301的权益，该申请的内容特此出于所有目的通过引用被并入。
本文中所描述的本专利技术的实施方案总体上涉及认证技巧。更具体地，实施方案涉及利用在比如支付交易的交易中可用的安全推送认证技术的多因素认证技巧。
技术介绍
越来越多的交易涉及操作移动装置的用户。交易的常见实施例是支付交易，但是需要用户认证的大量其他类型的交易是已知的。在许多类型的交易中，越来越重要的是对涉及这样的交易的用户进行认证。通常，使用个人识别号(“PIN”)等来对用户进行认证。然而，变得越来越重要的是提供附加认证层(在本文中被称为“多因素”认证)来获得改进的安全性和改进的认证。发卡机构和其他金融机构现在提供或者使用标准化的互联网交易协议来改进在线交易性能和加快电子商务的增长。根据一些标准化协议，发卡机构或者发卡银行可以对交易进行认证，从而降低归因于持卡者未被授权交易的欺诈和相关联的退款的可能性。这样的标准化协议的一个实施例是3-D安全协议。被认证的交易的存在可以导致，如果尽管在在线购买期间努力对持卡者进行了认证，但是欺诈发生(有时称为“无卡”或者“CNP”交易)，则发行机构为欺诈承担责任。商家由他们将向其为发行机构认证的交易支付费用的发卡机构或者发卡银行提供保证。3-D安全协议与发卡机构提供的在远程交易(比如与互联网相关联的那些交易)期间对商家的客户进行认证的认证程序(例如，VerifiedbyVisaTM和/或SecureCodeTM)是一致的，并且是这些认证程序的基础。3-D安全协议利用现有的安全套接字层(SSL)加密功能，并且在在线购物会话期间通过发行机构对持卡者进行认证来提供提高的安全性。将可取的是在这样的交易中提供多因素认证技术。附图说明参照以下结合附图进行的详细描述，一些实施方案的特征和优点以及实现这些特征和优点的方式将变得更容易明白，附图图示说明示例性实施方案，其中：图1是根据本公开的实施方案的交易系统的框图；图2A是依照根据本公开的一些实施方案的用于执行装置注册和用户注册处理的交易系统的一部分的框图；图2B是图示根据本公开的一些实施方案的装置注册处理的流程图；图3A是依照根据本公开的一些实施方案的用于允许用户添加实体的交易系统的一部分的框图；图3B是图示根据本公开的一些实施方案的允许注册用户添加实体以与用户装置相关联的处理的流程图；图4A是依照根据本公开的一些实施方案的用于执行交易的交易系统的一部分的框图；以及图4B是图示根据本公开的一些实施方案的使用安全推送认证技术的多因素认证处理的实施例的流程图。具体实施方式总的来说，并且为了介绍本文中所描述的新颖的实施方案的构思的目的，提供了用于对交易(包括例如金融交易)提供改进的认证系统的系统、设备和方法。在一些实施方案中，提供了改进的认证技巧和方法，这些认证技巧和方法使得可以具有针对商家和消费者这二者的改进的用户体验，尤其是当与涉及移动装置的交易结合使用时的用户体验。此外，在一些实施方案中，认证技巧可以包括附加的认证级别，所述认证级别可以由比如发卡机构的金融机构和/或由持卡者确定，和/或可以逐个交易地确定。这样的操作或功能使得给定交易所需的认证在一些情况下可以得到增强。例如，如果支付交易大于预定阈值(该阈值可以由例如发行银行或者持卡者预设)，则需要附加的认证级别。附加的认证级别可以涉及提示持卡者在他或她的移动装置的能力内提供生物计量数据。另外，本文中所描述的实施方案便利这样的认证方案的采用以及减少被拒绝的交易，所述被拒绝的交易是合法的“无卡”(CNP)交易。依照一些实施方案，用户的连接的移动无线装置(比如智能电话、平板计算机、数字音乐播放器、膝上型计算机、智能手表、个人数字助理(PDA)等)可以被利用来对在线交易中的认证提供附加因素。实施方案通过移动装置利用安全推送认证技术和/或技巧来递送最佳的用户体验以及递送分层的认证因素。例如，认证技术，比如指纹生物计量、面部识别应用、语音生物计量应用以及其他认证技术，可以与本文中所描述的架构一起使用。实施方案利用认证平台(在本文中将作进一步的描述)来使得可以识别在关于特定用户的特定交易中将使用的适当的认证处理(一个或者更多个)。具体地说，认证平台可以与若干种不同类型的交易处理结合用来提供适当的认证。为方便起见，在本文中描述了支付交易和/或金融交易，然而，本领域技术人员在阅读本公开后将意识到，所描述的认证技巧可以在需要用户认证的其他类型的交易中以可期望的结果被使用。现在将参照图1来描述一些实施方案的特征，图1是图示依照一些实施方案的交易系统的一部分的部件的框图100。依照一些实施方案的交易系统涉及相互交互进行交易的若干个装置和实体。例如，用户可以操作移动装置102来与根据本文中所描述的新颖方面的保障服务平台104进行交互。应理解，虽然在图1中仅示出了单个移动装置102和单个保障服务平台104，但是在实践中，在根据本文中所公开的新颖方面的系统中可以涉及大量这样的装置。如图1所示，移动装置102包括提供根据移动装置的类型的特性的功能和/或操作的硬件和/或软件部件103。例如，如果移动装置是智能电话，则除了被配置为提供智能电话功能的软件之外，它还可以包括比如以下的硬件部件：触摸屏显示器、麦克风、扬声器、控制器电路、天线、存储器或存储装置以及相机(未示出)。本文中所描述的装置和/或系统部件中所用的存储装置可以由任何类型的非暂时性存储装置构成，或者可以是任何类型的非暂时性存储装置，所述任何类型的非暂时性存储装置可以存储用于使这样的电子装置的一个或者更多个处理器根据本文中所公开的新颖方面运行的指令和/或软件。图1的移动装置102还可以包括若干个逻辑和/或功能部件(除了见于移动装置中的普通部件之外)。例如，如图1所示，这些附加的逻辑和/或功能部件中的一些包括但不限于生物计量保障应用106(或提供该功能的其他软件和/或中间件部件)以及硬件抽象层108，硬件抽象层108允许与若干个硬件部件或者认证器110进行交互。认证器110可以执行各种不同类型的认证，并且可以包括指纹读取器112、语音读取器114和/或数字相机116中的一个或者更多个。例如，数字相机116可以在一些情况下被用来捕捉用户的面部的照片以在交易期间执行面部识别处理等。应理解，一些移动装置102可以按照不同的组合包括这样的认证器110中的两个或者更多个(例如，智能电话可以包括语音读取器114和相机116，但是不包括指纹读取器112，而其他类型的移动装置可以包括所有这三个装置)。而且，一些类型的移动装置可以仅包括一种类型的认证器，例如麦克风。依照一些实施方案，移动装置102的认证部件中的一些可以基于或者使用标准来进行配置，所述标准比如快速身份在线联盟公布的所谓的“FIDO”标准(可在www.fidoaaliance.org上获得，并且出于所有目的整个地通过引用并入本文)。快速身份在线联盟是被形成来解决强认证装置之间互操作性的缺乏以及用户创建并记住多个用户名和密码所面对的问题的行业协会。然而，应理解，其他标准或者实现也可以根据本文中所描述的新颖处理以期望的结果被使用。再本文档来自技高网...

【技术保护点】
一种保障平台认证处理，所述保障平台认证处理包括：作为认证服务平台进行操作的保障平台从访问控制服务器(ACS)接收用户认证请求和交易数据；所述保障平台基于所述用户认证请求来确定关于与实体相关联的政策的认证规则；所述保障平台基于所述认证规则来产生用户验证请求消息；所述保障平台将所述用户验证请求消息发送到用户移动装置；所述保障平台从所述用户移动装置接收用户认证数据；所述保障平台对所述用户认证数据进行验证；所述保障平台将装置认证请求发送到所述用户移动装置；所述保障平台从所述用户移动装置接收用所述用户的私钥签名的装置认证响应；以及所述保障平台基于所述装置认证响应和所述私钥来对所述用户进行认证。

【技术特征摘要】
【国外来华专利技术】2014.04.14 US 61/979,3011.一种保障平台认证处理，所述保障平台认证处理包括：作为认证服务平台进行操作的保障平台从访问控制服务器(ACS)接收用户认证请求和交易数据；所述保障平台基于所述用户认证请求来确定关于与实体相关联的政策的认证规则；所述保障平台基于所述认证规则来产生用户验证请求消息；所述保障平台将所述用户验证请求消息发送到用户移动装置；所述保障平台从所述用户移动装置接收用户认证数据；所述保障平台对所述用户认证数据进行验证；所述保障平台将装置认证请求发送到所述用户移动装置；所述保障平台从所述用户移动装置接收用所述用户的私钥签名的装置认证响应；以及所述保障平台基于所述装置认证响应和所述私钥来对所述用户进行认证。2.如权利要求1所述的方法，进一步包括所述保障平台将所述用户对于与所述实体的所述交易的认证的确认消息发送到所述ACS。3.如权利要求1所述的方法，进一步包括所述保障平台将指示进一步交易处理将发生的确认消息发送到所述用户移动装置。4.如权利要求1所述的方法，其中所述认证规则指定所述用户将结合所述用户的移动装置的用于用户认证处理的认证器提供的至少一种类型的生物计量数据。5.如权利要求1所述的方法，其中所述用户验证请求消息指示用户将执行的认证的性质。6.如权利要求1所述的方法，其中所述与实体相关联的政策包括以下规则中的至少一个：关于用户认证信息何时可以被充分信任的规则，关于何时需要保障的规则，以及关于用户认证信息何时不被信任的规则。7.一种交易系统，所述交易系统包括：访问控制服务器(ACS)；保障平台，所述保障平台被配置为作为认证服务平台进行操作，并且被配置为与所述ACS进行通信；以及用户移动装置，所述用户移动装置被配置为与所述保障平台进行通信；其中所述保障平台进一步包括FIDO服务器和Web服务层，并且其中所述FIDO服务器和所述Web服务层包括被配置为使所述保障平台执行以下操作的指令：从所述ACS接收用户认证请求和交易数据；基于所述用户认证请求来确定关于与实体相关联的政策的认证规则；基于所述认证规则来产生用户验证请求消息；将所述用户验证请求消息发送到用户移动装置；从所述用户移动装置接收用户认证数据；对所述用户认证数据进行验证；将装置认证请求发送到所述用户移动装置；从所述用户移动装置接收用所述用户的私钥签名的装置认证响应；以及基于所述装置认证响应和所述私钥对所述用户进行认证。8.如权利要求7所述的系统，其中所述FIDO服务器和所述Web服务包括被配置为使所述保障平台将确认消息发送到所述ACS的进一步指令，所述确认消息指示所述用户对于与所述实体的所述交易的认证。9.如权利要求7所述的系统，其中所述FIDO服务器和所述Web服务包括被配置为使所述保障平台将确认消息发送到所述用户移动装置的进一步指令，所述确认消息指示进一步交易处理将发生。10.如权利要求7所述的系统，其中所述认证规则指定所述用户将结合所述用户的移动装置的用于用户认证处理的认证器提供的至少一种类型的生物计量数据。11.如权利要求7所述的系统，其中所述用户验证请求消息指示用户将执行的认证的性质。12.如权利要求7所述的系统，其中所述与实体相关联的政策包括以下规则中的至少一个：关于用户认证信息何时可以被充分信任的规则，关于何时需要保障的规则，以及关于用户认证信息何时不被信任的规则。13.一种保障平台装置注册处理，所述保障平台装置注册处理包括：作为服务平台进行操作的保障平台从用户移动装置接收包括用户数据的注册请求消息；所述作为服务平台进行操作的保障平台对所述注册请求消息进行处理；所述作为服务平台进行操作的保障平台将质询消息发送到所述用户移动装置；所述作为服务平台进行操作的保障平台从所述用户移动装置接收响应于所述质询消息的公钥；所述作为服务平台进行操作的保障平台将所述公钥与所述用户数据相关联地存储；以及所述作为服务平台进行操作的保障平台将代表(OBO)服务标志设置为“真”，这指示以下中的至少一个：生物计量数据是可用的，以及生...

【专利技术属性】
技术研发人员：A·卡马尔，G·D·威廉姆森，S·哈伯德，B·雷尼，
申请(专利权)人：万事达卡国际股份有限公司，
类型：发明
国别省市：美国;US