用于认证网络消息的系统和方法技术方案

提供了用于基于客户端和计算设备来认证消息的网络和方法。一个示例性方法通常包括由API网关经由储存库基于将计算设备识别为已识别计算设备中的一个的证书，执行计算设备的验证，并且由API网关基于客户端证书经由与储存库分开的全局访问管理器来执行客户端的验证。示例性方法进一步包括，当计算设备和客户端被验证时使得指示客户端的安全令牌被生成，由此安全令牌指示客户端并且允许来自客户端的消息被递送到一个或多个后端服务。

【技术实现步骤摘要】
【国外来华专利技术】用于认证网络消息的系统和方法相关申请的交叉引用本申请要求于2015年11月16日提交的美国申请序列号14/942,048的申请日的优先权和权益，其通过引用整体并入本文。
本公开总体上涉及用于认证消息(例如，网络消息)的系统和方法，其包括认证来自客户端的消息，并且进一步认证消息传递所通过的计算设备。
技术介绍
本节提供与本公开相关的背景信息，其不一定是现有技术。支付网络被提供用于来自和去往客户端(诸如商家、收单方、发行方和其他实体)的各种不同类型的消息，并且进一步在某些情况下，在客户端之间传递各种不同类型的消息。因为这些消息通常包括敏感和/或机密数据，或寻求访问敏感和/或机密数据，所以已知的支付网络采用各种加密技术来保护数据，并且可以进一步规定用于向和/或从支付网络传递消息的安全条件。此外，已知支付网络采用安全分级结构，由此随着支付网络内不同网络部分或区域之间的消息传递的进展，需要持续认证消息以确保支付网络的安全性。附图说明这里描述的附图仅用于选定实施例而不是全部可能的实现方式的说明性目的，并且不旨在限制本公开的范围。图1是本公开的示例性系统的框图，其包括适于认证发送到支付网络的消息的支付网络；图2是可以在图1所示的示例性支付网络中使用的计算设备的框图；以及图3是可以在图1所示的支付网络中实现的示例性方法，用于认证其中的消息传递。贯穿附图的多个视图，对应的附图标记指示对应的部分。具体实施方式现在将参照附图更全面地描述示例性实施例。这里包括的描述和具体示例仅用于说明的目的，并不意图限制本公开的范围。支付网络提供各种服务，这些服务可能涉及支付账户交易和/或交易数据的使用，这些服务依赖于内部和外部等的一个或多个其他实体(广义地，客户端)对支付网络的访问。通过支付网络从客户端接收消息的形式提供访问。如这里所述，每个消息包括安全证书，该安全证书由支付网络用来认证客户端。此外，这里的网络(例如，支付网络等)和方法在多个级别上认证消息(例如，应用程序编程接口(API)消息等)。特别地，当支付网络处接收到来自客户端的消息时，计算设备将客户端证书作为对象附加到消息，并且在将消息传送到API网关之前进一步附加其自己的证书到消息。接下来，API网关基于API网关内的本地储存库验证计算设备(API网关从该计算设备接收该消息)的证书，并且进一步经由除API网关之外的全局访问管理器验证客户端证书，即附加对象。在多级认证时(例如，在客户端级别和计算设备级别等)，API网关导致产生安全令牌，其表示客户端并且可在支付网络内使用以访问后端服务器和/或由后端服务器提供的服务。以这种方式，增强了安全性，以保持保护支付网络内的交易数据和其他数据免受未经授权的访问。图1示出了其中可以实施本公开的一个或多个方面的示例性系统100。虽然系统100的部分以一种布置呈现，但应该理解的是，其他示例性实施例可以包括例如另外安排的相同或不同的部分，例如，取决于对支付网络的消息传递的验证等。如图1所示，所示系统100通常包括商家102、收单方104、支付网络106和发行方108，每个耦合到网络110。网络110可以包括但不限于有线和/或无线网络、局域网(LAN)、广域网(WAN)(例如因特网等)、移动网络和/或能够支持系统100的所示的两个或更多个部件之间的通信的另一合适的公共和/或专用网络，或其任何组合。在一个示例中，网络110包括多个网络，其中多个网络中的不同网络可由图1中所示的实体中的不同实体访问。在该示例中，网络110可以包括私人支付交易网络，该私人支付交易网络可由支付网络106访问收单方104和发行方108，以及单独地支付网络106和商家102可以借助其通信的网络(例如，通过基于web的应用程序等)。一般来说，在图1中，商家102提供一种或多种产品(例如商品和/或服务等)，以便销售给消费者。为了购买产品，消费者向商家102呈现支付设备(与支付账户相关联)。反过来，商家102、收单方104、支付网络106和发行方108合作，响应于消费者，使用消费者的支付账户完成产品的交易(广义地说，购买交易)。作为购买交易的一部分，商家102读取支付设备并经由网络110经由收单方104(与商家102相关联)向支付网络106传送授权请求以处理交易(例如，使用交换机等)。支付网络106又将授权请求传送给发行方108(与消费者的支付账户相关联)。然后，发行方108向支付网络106提供授权响应(例如，授权或拒绝请求)，该授权响应通过收单方104提供返回商家102。然后商家102与消费者的交易完成或不完成，取决于授权响应。如果交易完成，则购买交易稍后在商家102和收单方104之间由商家102和收单方104(根据结算安排等)清算和结算，以及在收单方104和发行方108之间由收单方104和发行方108(根据另一个结算安排等)清算和结算。以上是对支付网络106的交易的简要描述，其被提供用于说明支付网络与其他实体的交互的目的。应该理解的是，在上述交易中多个消息被引导到支付网络106，并且随着交易受到附加服务的影响，其他消息可以被引导到支付网络106。例如，如果交易所针对的支付账户经受3D安全服务，则可以在授权交易之前将一个或多个附加消息引导至支付网络106(并且特别是其中的目录后端服务)以认证消费者。此外，作为上述交易的一部分以及与之类似的多笔交易，在商家102、收单方104、支付网络106、发行方108和消费者之间生成交易数据。取决于交易，交易数据可以包括但不限于支付账户号码、商家ID、收单方ID、终端ID、分配给商家102(例如，通过支付网络106等)商家类别代码(MCC)、时间戳等。一旦产生，交易数据被存储在系统100的一个或多个不同实体中，具体而言是支付网络106(例如，在数据中心(未示出)或其他)。交易数据还可以通过后端服务器和/或由其提供的服务为支付网络106提供的各种服务提供基础。这样的服务可涉及例如欺诈保护、分析、市场洞察、奖励等。可将服务提供给图1中所示的实体或其复制品或其他部分，例如与图1的一个或多个实体合作的第三方。在3D安全示例中，认证实体可以包括一个或多个第三方，诸如商家插件(MPI)(如被指示为包括在图1中的商家102中和/或与其相关联)和/或访问控制服务器(ACS)(包括在发行方108(未示出)中和/或与发行方108相关联)。每个都可用于实现3D安全协议，将消息发送到支付网络106，并从支付网络106接收消息，以便在购买交易之前认证消费者。应该理解的是，发送到支付网络106并且意图到达支付网络106处的后端服务器/服务的消息可以针对由支付网络106提供的任何不同数量和/或类型的服务提供给图1中示出和未示出的实体。如图1进一步所示，支付网络106包括一个或多个后端服务器112，后端服务器112被提供来托管由支付网络106提供的一种或多种后端服务。在该特定实施例中，(一个或多个)后端服务器112将多个API暴露给外部和/或内部客户端，通过其可以利用一个或多个服务。由支付网络106提供的API可通过API网关114(例如XML网关等)和耦合到API网关114的两个已识别计算设备116和118访问。在该示例性实施例中，计算设备116和118是网络路本文档来自技高网...

【技术保护点】
1.一种用于向网络提供对应用程序编程接口(API)消息的认证的计算机实现的方法，所述方法包括：从客户端接收API消息，所述API消息包括客户端证书；由计算设备将所述客户端证书作为对象附加到所述消息；由所述计算设备将中间证书附加到所述消息，所述中间证书指示所述计算设备；由计算设备将附加消息发送到API网关，所述API网关包括定义已识别计算设备的储存库；由所述API网关经由所述储存库基于将所述计算设备识别为已识别计算设备中的一个的所述中间证书，执行所述计算设备的验证；由所述API网关经由全局访问管理器基于所述客户端证书执行对所述客户端的验证，所述全局访问管理器与所述储存库分开；以及当所述计算设备被验证时，使得指示客户端的安全令牌被生成，由此所述安全令牌指示所述客户端并且允许来自所述客户端的消息被递送到一个或多个后端服务。

【技术特征摘要】
【国外来华专利技术】2015.11.16 US 14/942,0481.一种用于向网络提供对应用程序编程接口(API)消息的认证的计算机实现的方法，所述方法包括：从客户端接收API消息，所述API消息包括客户端证书；由计算设备将所述客户端证书作为对象附加到所述消息；由所述计算设备将中间证书附加到所述消息，所述中间证书指示所述计算设备；由计算设备将附加消息发送到API网关，所述API网关包括定义已识别计算设备的储存库；由所述API网关经由所述储存库基于将所述计算设备识别为已识别计算设备中的一个的所述中间证书，执行所述计算设备的验证；由所述API网关经由全局访问管理器基于所述客户端证书执行对所述客户端的验证，所述全局访问管理器与所述储存库分开；以及当所述计算设备被验证时，使得指示客户端的安全令牌被生成，由此所述安全令牌指示所述客户端并且允许来自所述客户端的消息被递送到一个或多个后端服务。2.如权利要求1所述的方法，其中，执行所述计算设备的验证包括验证中间证书的特异名称与所述已识别计算设备中的所述一个一致；独立于所述全局访问管理器。3.如权利要求1所述的方法，其中，使所述安全令牌被生成包括：当所述计算设备被验证并且所述客户端被验证时，生成内部安全令牌；以及使安全服务计算设备将所述内部安全令牌转换为所述安全令牌；以及将包括所述安全令牌的消息发送到由所述消息指示的所述一个或多个后端服务。4.如权利要求3所述的方法，其中，所述内部安全令牌和所述安全令牌中的至少一个包括SAML令牌。5.如权利要求1所述的方法，还包括在将所述客户端证书作为所述对象附加到所述消息之前，由所述计算设备基于所述客户端证书经由所述全局访问管理器来验证所述客户端。6.如权利要求1所述的方法，其中，所述对象包括X509对象；以及其中，将所述客户端证书附加到所述消息包括将所述X509对象附加到所述API消息的头部。7.如权利要求1所述的方法，其中，所述消息包括HTTP请求；以及其中，将所述客户端证书附加到所述消息包括将所述客户端证书作为X509对象附加到所述HTTP请求的头部。8.如权利要求1所述的方法，其中，所述客户端包括与3D安全协议相关联的商家插件(MPI)；并且其中，所述消息包括认证请求。9.如权利要求1所述的方法，还包括当所述计算设备未被验证时终止所述消息。10.一种用于认证消息的支付网络，所述支付网络包括：中间计算设备；以及XML网关，所述XML网关耦合到中间计算设备并包括已识别计算设备的本地储存库；所述XML网关通过可执行指令被配置为：从计算设备接收消息，所述消息包括中间证书和X509对象；基于所述中间证书和所述本地储存库将所述中间计算设备验证为已识别计算设备中的一个；从所述消息中提取所述X509对象并基于所述X509对象验证客户端；以及当所述中间计算设备被验证时，如所述消息中所指示的，将指示所述客户...

【专利技术属性】
技术研发人员：J·张，J·斯里吉瑞，B·莱夫勒，A·潘西，M·菲利普斯，
申请(专利权)人：万事达卡国际股份有限公司，
类型：发明
国别省市：美国,US