JP2006527430A - 商業取引における顧客認証システム及び方法 - Google Patents
商業取引における顧客認証システム及び方法 Download PDFInfo
- Publication number
- JP2006527430A JP2006527430A JP2006515197A JP2006515197A JP2006527430A JP 2006527430 A JP2006527430 A JP 2006527430A JP 2006515197 A JP2006515197 A JP 2006515197A JP 2006515197 A JP2006515197 A JP 2006515197A JP 2006527430 A JP2006527430 A JP 2006527430A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- transaction
- cardholder
- data
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3827—Use of message hashing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
オンライン取引で顧客(180)を認証するための、3−Dセキュア・プロトコルに基づくチップ認証プログラムを提供する。発行者は決済カードの発行者とすることができ、EMV準拠の個人用スマートカード(170)によって識別される個々の顧客(180)による取引を認証するためのアクセス制御兼認証要求サーバー(120)を運用する。取引毎に、やり取りの箇所(POI)において、顧客のスマートカード(170)からの情報、及び発行者によって直接送信された取引特有の情報に基づいて認証トークンが生成され、POIにウェブページが提供される。POIにおいて生成された前記認証トークンは前記認証要求サーバー(120)によって評価され、取引POIにおける個々の顧客及び/またはカードの存在が認証される。この認証値は、指定された3−Dセキュア・プロトコル準拠の汎用カード保有者認証フィールド(UCAF)にオンラインで搬送される。
Description
本願は、米国特許暫定出願第60/475,639号、2003年7月4日出願にもとづいて優先権を主張し、この出願は参考文献として本明細書に含める。
本発明は、インターネットのような開放型(オープン)ネットワーク上で関係者によって行われる認証取引のシステム及び方法に関するものである。特に、本発明は、顧客が支払(決済)をクレジットカードまたはデビットカードで行うインターネット取引の認証に関するものである。
(1) 顧客が、販売者のウェブサイトにおいて、暗号化されたセキュア・ソケッツ・レイヤー(SSL)接続を介して、通常の方法で決済データを記入する。
(2) 次に販売者は、MPIを通してメッセージをディレクトリに送信し、このディレクトリはカード発行者に問い合わせて、顧客が3−Dセキュア・プログラム中に登録されているか否かを見出す。
(3) カード発行者は前記ディレクトリに、カード保有者が登録されているか否かを示すメッセージで応答して、登録されていれば、このカードを発行した銀行にウェブ・アドレスを提供する。そしてこのメッセージを処理して、販売者に応答を返す。
(4) 次に販売者は、カード保有者の装置を通して発行銀行にメッセージを送信して、カード保有者とカード発行者との間の認証セッションを開始し、このセッションでは、取引明細、例えば販売社名及び取引金額を確認のためにカード保有者に提供することもできる。
(5) 次に発行銀行は認証ウィンドウをカード保有者に提供し、この認証ウィンドウは、販売者名及び金額のような取引に関する情報、個人的なセキュリティ・メッセージ、及びカード保有者が認証の詳細を入力可能な応答領域を詳細に示している。
(6) 顧客は、発行銀行がシステムを実現するために選定した方法に応じて、種々の方法のうちの1つで取引を承認する。選択肢は、静的なパスワードまたはPIN(個人識別番号)を入力することから、スマートカード及びパーソナル(個人用)カードリーダ(PCR:Personal Card Reader)を利用して認証トークンを生成することにまで及ぶ。
(7) 認証が有効であれば、発行者は、取引が成功したことを示すメッセージを販売者に送信する。発行者は、認証に失敗したか認証を完了できなかった場合にも販売者に通知する。
本発明によれば、e−コマースにおける顧客取引を認証するための、3−Dセキュア・プロトコルに基づくチップ認証プログラム(CAP:Chip Authentication Program)が提供される。CAPの実現は、既存のe−コマース・インフラストラクチャ及び技術の最上層におくことができ、EMV及び3−Dセキュア技術の両者のシームレスな(継ぎ目のない)統合をもたらし、従来の静的なパスワードの解決法より強力な認証が得られる。CAP実現は、オンライン販売者が、顧客のアイデンティティ(正体)が直ちに検証される物理的な販売時点取引を旧式的な小売り者が享受することの保証と同様の全地球的な支払保証を、決済カードの発行者から受けるメカニズムを提供する。
以下、本発明の実施例について図面を参照しながら詳細に説明する。
AAC(Application Authentication Cryptogram) アプリケーション認証暗号文
AAV(Accountholder Cryptogram) アカウント保有者認証値
AC(Authentication Cryptogram) 認証暗号文
ACS(Access Control Server) アクセス制御サーバー
AFL(Application File Locator) アプリケーション・ファイル・ロケータ:ICC中のどこでどのような記録が利用可能であるかを識別する。
AID(Application Identifier) アプリケーション識別子:ICC中の所定アプリケーションを識別する16進ストリング。
AIP(Application Interchange Profile) アプリケーション交換プロファイル:ICCが特定機能をサポートする能力を識別する。
APDU(Application Processing Data Unit) アプリケーション処理データ・ユニット:ICCと外部アプリケーションとの間で送信されるメッセージ。
ARQC(Authentication Request Cryptogram) 認証要求暗号文
ATC(Application Transaction Counter) アプリケーション取引カウンタ
BCD(Binary Coded Decimal) 2進化10進数
Big-Endian ビッグ・エンディアン:最上位バイトを最初に記憶し、後続バイトが順に続き、最下位バイトを最後に値を記憶する符号化スタイル。
CAP(Chip Authentication Program) チップ認証プログラム
CDOL(Card Risk Management) カード・リスク(危機)管理
CID(Cryptogram Information Data) 暗号文情報データ
CSN(Card Sequence Number) カード・シーケンス(順序)番号
CVC2(Card Verification Code) カード検証コード
CVM(Cardholder Verification Method) カード保有者検証方法:カードに対するカード保有者を検証するために使用する方法。
DAC(Dynamic Authentication Cryptogram) 動的認証暗号文
DOM(Document Object Model) 文書オブジェクト・モデル:ブラウザによってプラグイン(機能追加ソフト)に提供される現在のHTMLページのプログラム的外観。
DS(Directory Server) ディレクトリ・サーバー
HHD(Hand Held Device) ハンドヘルド(手持ち型)装置:例えばカードリーダ
EMV(Europay MasterCard Visa) ユーロペイ(登録商標)、マスターカード(登録商標)、VISA(登録商標)
IA(Interface Application) インタフェース・アプリケーション
IAD(Issuer Application Data) 発行者アプリケーション・データ
IAF(Internet Authentication Flags) インターネット・アプリケーション・フラグ:IIPD(下記)の第1バイト
ICC(Integrated Circuit Card) IC(集積回路)カード
IIPB(Issuer Internet Proprietary Bitmap) 発行者のインターネット専用ビットマップ
IIPD(Issuer Internet Proprietary Data) 発行者のインターネット専用データ
ITV(Interactive Television) 対話型テレビジョン
LATC(Lower (byte of) Application Transaction Counter) アプリケーション取引カウンタ(ATC)の下位バイト
Little-Endian リトル・エンディアン:最下位バイトを最初に記憶し、後続バイトが順に続き、最上位バイトを最後に値を記憶する符号化スタイル。
MAC(Message Application Code) メッセージ・アプリケーション・コード:メッセージ中のデータ項目上で計算され、メッセージの出所を証明すると共にこれらのデータ項目が変更されているか否かの検出を可能にする暗号文署名。
MCD(Main Cardholder Device) 主カード保有者装置:この装置上でブラウジング(閲覧)及び/または順序付け及び/または決済が実行される。
Nibble ニブル:半バイト、即ち4ビット
PI(Parameter 1 of APDU) APDUのパラメータ1:ICCに送信されるコマンドを有効にカスタマイズする。
PAN(Primary Account Number) 主アカウント番号
PC(Personal Computer) パーソナル・コンピュータ
PCR(Personal Card-Reader) パーソナル(個人用)カードリーダ
Cardholder IA カード保有者インタフェース・アプリケーション:MCD上で実行され、認証要求者と、カード保有者と、PCRとのインタフェースとなるインタフェース・アプリケーション
PDA(Personal Digital Assistance) 個人用携帯情報端末
PDOL(Processing Options Data Object List) 処理選択肢データ・オブジェクト・リスト:端末(例えばPCR)にとって利用可能であるか、端末によってサポートされる処理選択肢。
PIN(Personal Identification Number) 個人識別番号
SPA(Secure Payment Application) セキュア(安全)決済アプリケーション
TLV(Tag Length Value) タグ長値
UCAF(Universal Cardholder Authentication Field) 汎用カード保有者認証フィールド
UN (Unpredictable Number) 予測不可能な数
カード保有者−カード保有者は取引を開始し、販売者の決済ウェブページ、カード保有者のインタフェース・アプリケーション、及びパーソナル・カードリーダのすべてにデータを入力する役割をする。
販売者−販売者は、例えばインターネットと通信可能な販売者サーバーから、認証取引を開始するのに必要なデータを提供し、結果的なUCAFデータを受信して、承認のためにアクワイアラ経由でカード発行者に転送する。
カード保有者インタフェース・アプリケーション−カード保有者IAは、販売者によって供給される関係データを検出して、カード保有者と直接及び間接的にやり取りし、カード保有者を通してパーソナル・カードリーダとやり取りする。カード保有者IAはAAV及びUCAFを作成して、販売者のページに適切なデータを置く。
例えば、カード保有者IAは、インターネット上で販売者にアクセスするために使用中の主カード保有者装置(MCD:Main Cardholder Device)上のインターネット・ブラウザの一部として実行することができる。
パーソナル・カードリーダ−PCRは、カード保有者及びICCとやり取りして認証トークンを生成し、この認証トークンは間接的に発行者に渡される。ICC−チップカードは、提供されたPIN検証の使用によってカード保有者を認証し、PCRによって供給されるデータに基づいて適切な暗号文を生成する。
アクワイアラ−アクワイアラはフォーマット(書式)化されたUCAFデータを販売者から、例えばアクワイアラ・サーバーで受け取り、このUCAFデータをUCAFの使用及び存在の識別子と共に、適切な電気通信ネットワーク経由で発行銀行に転送する。
例えば、マスターカード社(登録商標)がアクワイアラである。
発行者−カード発行者は、チップUCAF方式に署名契約(サインアップ)したカード保有者にPCRを配付する。発行者は、発行者サーバー・プラットフォームをインターネットと通信可能な状態に維持する。本発明によれば、発行者サーバーはUCAFに符号化され、アクワイアラによる認証要求において送信された前記認証トークンの有効性を、当該発行者の規則に従って確認する。
・個人アカウント番号(PAN:Personal Account Number)−認証プロセスにおいて使用されるカードのPAN。
・カード保有者の個人保証メッセージ(PAM:Personal Assurance Message)−CAPプログラム中に登録されたカード保有者は、随意的な個人保証メッセージを提供することを要求されることがありこのメッセージは認証を求められた際に表示される。
・取引明細−認証を要求されている取引の明細は、ウェブサイトからの商品の決済でも銀行口座にアクセスするためでも、カード保有者に対して表示されなければならない。
1. カード保有者は自分のカードを挿入することを要求される。カード保有者は、発行者による認証を可能にする自分のカード(ICC)をパーソナル・カードリーダに挿入する。
Insert Card (カード挿入)
非接続のリーダでは、カードを挿入する行為がPCRの電源をオンにするか、あるいは、カード保有者がボタンを押して電源をオンにすることができる。
2. カード保有者は、必要なPCRの機能を選択するよう要求される。
[S]ignまたは [I]d (署名またはID)
3. カード保有者はPCRの機能の選択を、特定機能のキーまたはメニューシステムによって行う。
4. PCRは、要求された機能に適した選択リストを用いて、適切なセキュアコードの生成に使用するアプリケーションを探索し選択する。
5. PCRは、IIPB及びIAFを含む選択されたデータ要素をICCから読み取る。
カード保有者が「署名」の動作を選択した場合には、
6. PCRは、カード保有者にチャレンジを入力するよう促す。
チャレンジの生成は発行者にとって独占的であり、チャレンジは、EMV取引処理における予測不可能な数(UN)用に用いられる。
Challenge> (チャレンジ)
7. カード保有者は、PCRのキーパッド上でこのチャレンジを入力し、[Proceed](「進む」)キーを押してチャレンジ入力の完了を示さなければならない。
5
58
581
5811
58113
581139
5811396
58113967 [Proceed]
認証要求サーバーがチャレンジを要求しない場合には、カード保有者はチャレンジの数字を何ら入力せずに、単に[Proceed]ボタンを押せばよい。PCRは、後のGENERATE AC(AC生成)コマンドに応答するUN用にヌル(0)値を用いる。
8. 金額及び通貨を暗号文に含めるべきことをICCが示す場合には、PCRは、カード保有者に選択させるための標準的な通貨のリストを表示する。
1. EUR (ユーロ)
2. USD (米ドル)
3. GBP (英ポンド)
4. その他
> 1 [Proceed] (「1」を選択して「進む」)
9. そしてカード保有者は、金額を入力するよう促される。
> ????????.?? EUR
カード保有者は金額を入力して[Proceed]を押す。
金額及び通貨を暗号文に含めることを要求する発行者は、IAFの設定においてこの要求を示すことができる。金額及び通貨は、カード保有者認証ページ上でカード保有者に対して表示される。
10. PCRは、カード保有者に自分のPINを入力することを求めるプロンプトを表示する:
enter PIN (PINを入力)
11. カード保有者は自分のPINの数字を入力し、[Proceed]キーを押してPIN入力の完了を示し、このことを下記の4ディジット(数字)のPINの例で示す:
*
**
***
**** [Proceed]
12. PCRはPINをICCに提供して検証させる。
エラーチェック: ICCが無効なPIN入力を報告した場合には、PCRはPIN入力の試行の残り回数をカード保有者に通知する:
Bad PIN, 2 left (無効なPIN、(再試行が)残り2回)
そしてカード保有者は正しいPINを入力して[Proceed]キーを押し、PCRは有効なPIN入力を報告する。
***** [Proceed]
PIN OK! (PINが適正)
・ カード保有者−カード保有者は取引を開始し、販売者の決済ウェブページ、パーソナル・カードリーダ、及びカード保有者認証ページにデータを入力する責任を負う。カード保有者は、PCRがセキュアコード認証アプリケーション(SCAA)を用いてセキュアコードを生成するために、自分のPINをPCRに入力しなければならない。
・ 販売者−販売者は、認証取引を開始するために必要なデータを供給し、結果的な認証データを受信して、検証のためにアクワイアラ経由で発行者に転送する。販売者は通常の3−Dセキュア・プロセスを動作させる。
・ カード保有者認証ページ−カード保有者認証ページは、ACS(アクセス制御サーバー)が提供するウェブページである。このページは、ACSが提供する関連データ及び指示を提供して、カード保有者とやり取りする。カード保有者認証ページはACSによってカード保有者に戻され、インターネット・ブラウザの一部(即ち、「ポップアップ」ウィンドウ)として実行される。このページは、3−Dセキュアのマスターカード社の実現用の標準的な表示情報に加えて、発行者が要求すればチャレンジも含むことができる。
・ パーソナル・カードリーダ−パーソナル・カードリーダはカード保有者及びICCとやり取りしてセキュアコードを生成し、このセキュアコードはACSを通して間接的に発行者に渡される。リーダの種類及び取引の種類次第では、カード保有者は、要求されたPINを入力する前に、発行者が生成した認証ポップアップ・ウィンドウ上に表示されるチャレンジ、及び場合によっては金額/通貨を入力することが必要になり得る。カード保有者は、(非接続のPCR上に表示される)セキュアコードを、ウェブページのカード保有者認証ページ上に入力しなければならない。(PIN入力以外のデータ入力、及び場合によっては金額/通貨の確認は、接続されたリーダでは不要である。)
・ ICC−EMV準拠のスマートカードは、PIN検証によってカード保有者を認証して、パーソナル・カードリーダによって提供されるデータに基づいて適切な暗号文を生成する。
・ アクワイアラ−アクワイアラは販売者から取引データを受信して、このデータを適切なネットワーク経由で発行者に転送する。アクワイアラは、標準的な、あるいは互いに合意したプロセスに従って、発行者から認可を得る。
・発行者−発行者は、例えば3−Dセキュア用のマスターカード・チップ認証プログラムについて署名契約したカード保有者にパーソナル・カードリーダを配付する。発行者が随意的に、アクワイアラから送信される認証要求内のDCAFフィールド中の認証データ(AAV)の有効性を確認することができることが重要である。
・ アクセス制御サーバー−発行者は、3−Dセキュア仕様のアクセス制御サーバーを運用し、このアクセス制御サーバーは、カード保有者認証ページを提供し、セキュアコードをPCRから(即ち、カード保有者から直接的または間接的に)受信する追加的な能力を有する。ACSは、下記の認証要求サービスを用いることによって、このセキュアコードの有効性を検証する:
(認証要求サービスの動作)
○ 前記チップしか知らないデータ(ATC及び暗号文の種類の指標)を前記セキュアコードから抽出する。
○ 暗号文を再生成する。
○ 結果を、前記セキュアコード中の部分的な暗号文と比較する。
・ 登録サーバー−登録サーバー及び登録プロセスは、通常の3−Dセキュア・プロセスと同じである。PANがスマートカードに属し、チップを用いて静的なパスワードの代わりにセキュアコードが作成されることをカード保有者が示したい要求が存在し得る。このことは、カード保有者の決定、発行者の決定、あるいは恐らくは構成上の選択肢とすることができる。発行者は、セキュアコードのフォーマット、及びカード保有者がPCRに入力すべきチャレンジが表示されるか否かを示さなければならない。これらの決定の大半が、発行者が選択可能な構成上の選択肢であることが理想的である。
・ ディレクトリ・サーバー−ディレクトリ・サーバーは通常の3−Dセキュアモードにおいて運用される。
1. 支払明細:カード保有者から販売者へ(HTPPS/POST化したフォーム(書式))
ブラウザで品目を選択したカード保有者は「チェックアウト」し、これにより、決済カードの詳細−この場合に得に関係するものとして−即ち刻印(エンボス)されたカード番号(PAN)を含む個人の詳細情報を販売者に提供する。
2. VEReq(Verify Enrollment Request:検証登録要求):販売者からディレクトリ・サーバー(DS)へ(HTTPS/POST)
販売者の3−Dセキュア処理ソフトウェアが、VEReqを適切な銘柄ディレクトリ・サーバーに送信して、前記PANが発行者の3−Dセキュア・プログラム中に登録されているか否かを判定する。
販売者がディレクトリ・サーバーのローカルキャッシュを日毎のベースで保守して、決済毎にディレクトリ・サーバーを参照することを回避するよう、販売者に仕向けることができる。このキャッシュは、前記プログラムに参加し、利用され得るすべての銘柄のカード範囲を含むことができる。キャッシュのオプションの使用は、カード保有者のPANが前記プログラムに参加する資格のない際に、前記ディレクトリにこれらの要求を行うことを防止する。
3. VEReq:ディレクトリ・サーバーからアクセス制御サーバー(ACS)へ(HTTPS/POST)
カード範囲に基づき、ディレクトリ・サーバーはVEReqを適切なACS上に渡す。ACSは、当該カード(カード保有者のPAN)が3−Dセキュアに登録されているか否かを判定する。
4. VERes(Verify Enrollment Response:検証登録応答):ACSからDSへ(HTTPS/POSTへの応答)
ACSは、特定のPANがシステムに登録されているか否かの指標を返し、登録されていれば、認証を実行するためのカード保有者のブラウザをACSに転向させる(閲覧するサイトをACSに切り換えさせる)ために使用するURL(Uniform Resource Locator:ウェブサイトを指定する記述子)を返す。
ACSは一意的なアカウント識別子を返し、この識別子は、カード保有者がPAReqと接触した際に、ACSが当該決済カードを識別するために使用するPANであってはならない。このアカウント識別子は、キーを正しく生成してセキュアコードを検証することができるためには、1対1ベースで使用される実際のカードのPANと一致しなければならない。
5. VERes:DSから販売者へ(HTTPS/POSTに対する応答)
DSはこの応答を販売者に返す。
6. PAReq(Payer Authentication Request:支払(決済)者認証要求):販売者からカード保有者へ(HTMLページ)
販売者の3−Dセキュア処理ソフトウェアがPAReqを構成して、これをベース64符号化してHTMLフォームのフィールド中に置く(PAReq)。カード保有者のブラウザが認証後に転向(閲覧サイト切り換え)しなければならない販売者のURLは、HTMLフォームのフィールド中に置かれ(TermUrl)、TermUrlを介して接触した際にカード保有者が必要とし得る販売者のデータもHTMLフォームのフィールド中に置かれる(MD)。そして、カード保有者の支払明細の提示に対する応答として、HTMLページがカード保有者に戻される。このフォーム用のPOST(ポスト)アドレスは、VEResによればACSのURLである。
7. PAReq:カード保有者からACSへ(HIT/POST)
販売者が返すページは一般に、追加的な小さい「ポップアップ」ウィンドウを開くことができ、そしてこのウィンドウは、販売者が記入したフォーム(書式、申込書)データをACSに提示する。
ACSはカード保有者の詳細を調べて、この特定の決済カードに対して使用する認証メカニズムを決定し、そしてチップ認証の場合には、認証に必要なチャレンジを決定する。
8. カード保有者認証:ACSからカード保有者へ、そしてカード保有者からACSへ(MTMLページにHTPPS/POSTが続く)
ステップ8は、特定の発行者及び/またはカード保有者に適した方法で実行することができる。CAPの実現では、認証プロセスは、図1及び2を参照して説明し、付録Aに説明する認証要求サーバーを用いて実行することができる。ACS510は、2種類以上のカード保有者認証をサポートすることができるが、1つのカード当たり1つの方法のみが可能である。ACS510は、カード/カード保有者について記憶している情報から、このカードについて可能な方法を決定することができる。ACSは、カード保有者とのインタフェースを制御して、PCRの使用をカード保有者に指示する。ACS内の構成パラメータに基づいて、発行者は、「1回使用パスコード」セキュアコードを実現するか、あるいは「取引受諾」セキュアコードを実現することができる。後者の違いは、カード保有者は特定取引を受諾するために、非接続のPCR上で自分のPINを入力する前にチャレンジを入力しなければならないことにある。1回使用パスコードではこのステップは不要である。
9. CAVYの生成:ACSが行う
採用した認証メカニズムによって有効性が確認されると、ACSは、実現した3Dセキュア・アーキテクチャをセキュア(安全)決済アプリケーションに準拠した(SPA)AAVを構成する。この値は、PAResのCAVVサブフィールド中に置かれて販売者に返される。
10. PARes(Payer Authentication Response:支払者認証応答):ACSからカード保有者へ(HTMLページ)
ACSは、AAV及びメッセージ署名を含むPAResを構成して、これをベース64符号化してHTMLフォームのフィールド中に置く(PARes)。PAReqにおいて受信した販売者のデータも、HTML書式フィールド中で販売者に戻される(MD)。このページ中のフォーム用のPOST(ポスト)アドレスは、PAReqのTermUrlフィールドによれば販売者のURLである。
11. PARes:カード保有者から販売者へ(HTTPS/POST)
そして、ACSによって返されるページは、ACSが記入したフォームデータを販売者に提示し、販売者の3−Dセキュア処理ソフトウェアはACSによって生成されたメッセージ署名を検証することができる。
12. 認証要求:販売者からアクワイアラへ(専用通信)
販売者は、PAResにおいて受信したAAVを、標準的な認証要求データと共に、自分のアクワイアラに送信する認証要求に含める。
13. MT0100/200:アクワイアラから発行者へ(BankNet:銀行ネットワーク)
アクワイアラは認証データを抽出し、認証メッセージ内のUCAFフィールド中に入れて、例えば適切なマスターカード認証ネットワークに送信する。
14. SPA AAVの検証:発行者が行う
発行者は、前記認証メッセージのUCAFフィールドに含まれるAAV値を検証して、与えられたカードによってカード保有者の認証が行われたことを保証する。
15. MT0110/0210:発行者からアクワイアラへ(BankNet)
標準的な認証処理が実行され、アクワイアラに応答が返される。
16. 認証応答:アクワイアラから販売者へ(専用通信)
販売者は、自分のアクワイアラから認証応答を受信する。
17. 応答/受信:販売者からカード保有者へ(HTML)
販売者は、カード保有者の支払が受領されたか否かについての指標をカード保有者に返す。
Claims (30)
- 電子ネットワーク上の顧客取引を認証するシステムにおいて、
前記電子ネットワークにアクセスするための顧客用アクセス装置と;
顧客に対して発行され、顧客識別データを含む集積回路チップと;
前記顧客用アクセス装置にリンク可能であり、かつ前記チップと通信可能なリーダと;
前記電子ネットワークにリンクされ、前記取引の認証を要求中の関係者と通信可能な、アクセス制御サーバー(ACS)と一体の認証要求サーバー(ARS)とを具え、
前記ACSが、前記顧客用アクセス装置と直接通信して前記取引の認証を行って、前記要求中の関係者から前記顧客用アクセス装置への認証ソフトウェアのダウンロードの必要性を回避すべく構成され、
前記ARSが、前記要求中の関係者から取引情報を受信し、取引データを前記顧客用アクセス装置経由で前記リーダに伝達すべく構成され、
前記リーダが、前記取引データを受信して、前記取引データに基づく値を前記チップに伝達すべく構成され、
前記チップが、前記取引データの少なくとも一部分、及び前記チップ上の前記顧客識別データの少なくとも一部分に基づく暗号文を生成すべく構成され、
前記リーダがさらに、前記暗号文に基づく認証トークンを前記ARSに伝達すべく構成され、
前記ARSがさらに、前記認証トークンからの前記顧客識別データを評価して、前記認証トークンの有効性を確認して前記顧客取引を認証すべく構成されている
ことを特徴とする顧客取引認証システム。 - 前記リーダに伝達される前記取引データが、前記取引情報に基づくチャレンジを含むことを特徴とする請求項1に記載のシステム。
- 前記認証トークンが、3−Dセキュア(登録商標)プロトコルのメッセージ・フォーマットの共通フォーマットを有することを特徴とする請求項1に記載のシステム。
- 前記認証トークンが前記ARSによって有効であると評価されると、前記ACSによってアカウント保有者認証値(AAV)が生成され、該AAVが前記電子ネットワーク上で、20バイトの長さを有する汎用カード保有者認証フィールド(UCAF)中で搬送されることを特徴とする請求項1に記載のシステム。
- 前記チップ及び前記リーダが、単一の物理的パッケージ内に共存配置されていることを特徴とする請求項1に記載のシステム。
- 前記顧客用アクセス装置、前記チップ、及び前記リーダが、単一の物理的パッケージ内に共存配置されていることを特徴とする請求項1に記載のシステム。
- 前記ARSが、まず、前記チップが前記暗号文を生成するために使用したデータを再構成し、次に、前記再構成したデータから複製暗号文を生成し、そして、前記認証トークンを前記複製暗号文と整合させることによって、前記認証トークンからの前記顧客識別データを評価することを特徴とする請求項1に記載のシステム。
- さらに、前記ARSがアクセスして記憶されている顧客情報を検索することが可能なカード保有者データベースを具えていることを特徴とする請求項1に記載のシステム。
- 前記ARSがさらに、前記要求中の関係者に認証結果を伝達すべく構成されていることを特徴とする請求項1に記載のシステム。
- 前記ARSがさらに、前記チップから受信したアプリケーション取引カウンタを、前記チップから受信した前記アプリケーション取引カウンタの前の値と整合させて、これにより前記取引を認証することを特徴とする請求項1に記載のシステム。
- 3−Dセキュア準拠の電子ネットワーク環境において顧客取引を認証するシステムにおいて、
販売者と;
発行者と;
前記販売者から取引特有のデータを受け取り、前記データを前記発行者に転送するアクワイアラと;
前記発行者によって運用される、アクセス制御サーバー(ACS)と一体の認証要求サーバー(ARS)と;
前記ACSと顧客とのインタフェースを提供するカード保有者認証ページと;
前記発行者によって前記顧客に対して発行され、顧客識別データを有するEMV(登録商標)準拠のチップカードと;
前記チップと通信し、前記カード保有者認証ページにリンク可能なリーダとを具えて、
前記チップカード及び前記リーダが、前記顧客認証データの少なくとも一部分、及び前記カード保有者認証ページを介して受け取った取引特有のデータの少なくとも一部分を暗号化した暗号文に基づく認証トークンを生成すべく構成され、
前記ARSが、前記認証トークンを評価してその有効性を確認すべく構成され、
前記認証トークンの有効性が確認されると、AAVが生成され、該AAVが前記電子ネットワーク上で、20バイトの長さを有するUCAF中で搬送される
ことを特徴とする顧客認証システム。 - 前記チップ及び前記リーダが、単一の物理的パッケージ内に共存配置されていることを特徴とする請求項11に記載のシステム。
- 前記カード保有者認証ページ、前記チップ、及び前記リーダが、単一の物理的パッケージ内に共存配置されることを特徴とする請求項11に記載のシステム。
- 前記チップカードが、前記リーダによって発行されたEMV規格のコマンドに応答して前記暗号文を生成することを特徴とする請求項11に記載のシステム。
- 前記チップカードが、前記発行者によって選択されたビットマップ・マスクを具えて、前記リーダによって前記認証トークン中に含められた前記暗号文の特定ビットを識別することを特徴とする請求項11に記載のシステム。
- 前記チップカードが、前記顧客による個人識別コード入力の確認後に、前記リーダと協働して前記認証トークンを生成すべくプログラムされていることを特徴とする請求項11に記載のシステム。
- 前記チップカードが、前記顧客が取引金額を確認した後に、前記リーダと協働して前記認証トークンを生成すべくプログラムされていることを特徴とする請求項11に記載のシステム。
- 前記ACSが、前記カード保有者認証ページをポップアップまたはインライン・ウェブページとして表示して、データ及び指示をカード保有者に伝達すべく構成されていることを特徴とする請求項11に記載のシステム。
- 前記発行者が、前記ARSを使用することによって前記認証トークンの有効性を検証することを特徴とする請求項11に記載のシステム。
- 前記ARSが、前記チップのみが知っているデータを前記認証トークンから抽出し、前記暗号文を生成し、前記生成した暗号文を前記認証トークンと比較すべく構成されていることを特徴とする請求項11に記載のシステム。
- さらに、認証済みの取引認可要求及び未認証の取引認可要求を共に出すメカニズムを具えていることを特徴とする請求項11に記載のシステム。
- ネットワーク・アクセス装置を用いて電子取引に参加する顧客をリモート認証する方法において、
顧客識別データを有する集積回路チップを前記顧客に提供するステップと;
前記顧客の前記ネットワーク・アクセス装置にリンク可能であり、かつ前記チップと通信可能なリーダを用意するステップと;
電子ネットワークにリンクされ、前記リーダにデータを伝達可能な認証要求サーバー(ARS)を用いて、取引特有の情報を受信して、取引特有のデータを前記リーダに伝達するステップと;
前記リーダを用いて、前記取引特有のデータを前記チップに伝達して、前記取引特有のデータの少なくとも一部分、及び前記顧客識別データの少なくとも一部分に基づいて暗号文を生成することを前記チップに指示するステップと;
前記リーダを用いて、前記チップによって生成された前記暗号文の少なくとも一部分に基づく認証トークンを生成するステップと;
前記ARSを用いて、前記認証トークンの有効性を確認するステップと;
前記認証トークンの有効性が確認されるとAAVを生成し、該AAVを前記電子ネットワーク上で、汎用カード保有者認証フィールド(UCAF)メッセージ中で発行者に搬送するステップと
を具えていることを特徴とする顧客のリモート認証方法。 - 前記リーダに伝達される前記取引特有のデータが、前記取引特有の情報に基づくチャレンジを含むことを特徴とする請求項22に記載の方法。
- 前記リーダを用いて前記認証トークンを生成するステップが、前記認証トークンを、3−Dセキュア・プロトコルのメッセージ・フォーマットの共通フォーマットで生成するステップを具えていることを特徴とする請求項22に記載の方法。
- 前記AAVが、前記電子ネットワーク上で、20バイトの長さを有するUCAF中で搬送されることを特徴とする請求項22に記載の方法。
- 前記集積回路チップを前記顧客に提供するステップ、及び前記リーダを用意するステップが、単一の物理的パッケージ内に共存配置されたチップ及びリーダを提供するステップから成ることを特徴とする請求項22に記載の方法。
- 前記ARSを用いて有効性を確認するステップが、まず、前記チップが前記暗号文を生成するために使用したデータを再構成し、次に、前記再構成したデータから複製暗号文を生成し、そして、前記認証トークンを前記複製暗号文と整合させることによって、前記認証トークン中の前記顧客識別データを評価するステップを具えていることを特徴とする請求項22に記載の方法。
- さらに、前記ARSがアクセスして記憶されている顧客情報を検索することが可能なカード保有者データベースを、前記ARSがアクセスするステップを具えていることを特徴とする請求項27に記載の方法。
- さらに、前記有効性を確認するステップの実行結果を、要求中の関係者に伝達するステップを具えていることを特徴とする請求項27に記載の方法。
- 前記ARSを用いて有効性を確認するステップがさらに、前記チップから受信したアプリケーション取引カウンタを、前記チップから受信した前記アプリケーション取引カウンタの前の値と整合させて、これにより前記取引を認証するステップを具えていることを特徴とする請求項27に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US47563903P | 2003-06-04 | 2003-06-04 | |
PCT/US2004/017756 WO2005001618A2 (en) | 2003-06-04 | 2004-06-04 | Customer authentication in e-commerce transactions |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006527430A true JP2006527430A (ja) | 2006-11-30 |
Family
ID=33551554
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006515197A Pending JP2006527430A (ja) | 2003-06-04 | 2004-06-04 | 商業取引における顧客認証システム及び方法 |
Country Status (10)
Country | Link |
---|---|
US (1) | US9514458B2 (ja) |
EP (1) | EP1646976A4 (ja) |
JP (1) | JP2006527430A (ja) |
KR (1) | KR20060034228A (ja) |
CN (1) | CN1853189A (ja) |
AU (1) | AU2004252824B2 (ja) |
BR (1) | BRPI0411005A (ja) |
CA (1) | CA2528451A1 (ja) |
MX (1) | MXPA05012969A (ja) |
WO (1) | WO2005001618A2 (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009528643A (ja) * | 2006-03-02 | 2009-08-06 | ヴィザ インターナショナル サーヴィス アソシエイション | メール注文及び電話注文における二要素認証を実施するための方法及びシステム |
JP2011516952A (ja) * | 2008-04-04 | 2011-05-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | サーバを操作する方法、サーバ自体、ならびに該サーバを操作するコンピュータ・プログラム製品及びコンピュータ・プログラムにおける期限切れパスワードの処理(期限切れパスワードの処理) |
JP2018538625A (ja) * | 2015-12-11 | 2018-12-27 | マスターカード インターナシヨナル インコーポレーテツド | トランザクションについてのユーザ認証 |
JP2019071052A (ja) * | 2017-10-05 | 2019-05-09 | マスターカード インターナシヨナル インコーポレーテツド | ネットワークトランザクションとの関連でユーザを認証するために用いるシステム及び方法 |
JP2019145095A (ja) * | 2018-01-22 | 2019-08-29 | アバイア インコーポレーテッド | セキュアインタラクションにおけるサービス運用妨害攻撃を検出するための方法及びデバイス |
JP2021068481A (ja) * | 2015-09-21 | 2021-04-30 | ワンスパン インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング | マルチユーザ厳密認証トークン |
Families Citing this family (111)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7899753B1 (en) | 2002-03-25 | 2011-03-01 | Jpmorgan Chase Bank, N.A | Systems and methods for time variable financial authentication |
US10134202B2 (en) | 2004-11-17 | 2018-11-20 | Paypal, Inc. | Automatic address validation |
WO2006081525A2 (en) | 2005-01-28 | 2006-08-03 | Cardinal Commerce Corporation | System and method for conversion between internet and non-internet base transactions |
US7533047B2 (en) * | 2005-05-03 | 2009-05-12 | International Business Machines Corporation | Method and system for securing card payment transactions using a mobile communication device |
EP1802155A1 (en) | 2005-12-21 | 2007-06-27 | Cronto Limited | System and method for dynamic multifactor authentication |
GB2435951A (en) * | 2006-02-23 | 2007-09-12 | Barclays Bank Plc | System for PIN servicing |
AT503263A2 (de) * | 2006-02-27 | 2007-09-15 | Bdc Edv Consulting Gmbh | Vorrichtung zur erstellung digitaler signaturen |
CN100566254C (zh) * | 2007-01-24 | 2009-12-02 | 北京飞天诚信科技有限公司 | 提高智能密钥设备安全性的方法和系统 |
US10210512B2 (en) * | 2007-02-13 | 2019-02-19 | Mastercard International Incorporated | Transaction count synchronization in payment system |
GB2442249B (en) * | 2007-02-20 | 2008-09-10 | Cryptomathic As | Authentication device and method |
EP2149084B1 (en) * | 2007-04-17 | 2019-03-27 | Visa U.S.A. Inc. | Method and system for authenticating a party to a transaction |
US8121942B2 (en) | 2007-06-25 | 2012-02-21 | Visa U.S.A. Inc. | Systems and methods for secure and transparent cardless transactions |
US7849014B2 (en) * | 2007-08-29 | 2010-12-07 | American Express Travel Related Services Company, Inc. | System and method for facilitating a financial transaction with a dynamically generated identifier |
GR20070100592A (el) * | 2007-09-27 | 2009-04-30 | Νικος Παντελη Τσαγκαρης | Συστηματα και μεθοδοι διεκπεραιωσης διαδικτυακων συναλλαγων με διαφανως προσφερομενη ασφαλεια |
US9747598B2 (en) | 2007-10-02 | 2017-08-29 | Iii Holdings 1, Llc | Dynamic security code push |
US8794532B2 (en) * | 2008-12-29 | 2014-08-05 | Mastercard International Incorporated | Methods and apparatus for use in association with identification token |
US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
US8255688B2 (en) | 2008-01-23 | 2012-08-28 | Mastercard International Incorporated | Systems and methods for mutual authentication using one time codes |
US8160064B2 (en) | 2008-10-22 | 2012-04-17 | Backchannelmedia Inc. | Systems and methods for providing a network link between broadcast content and content located on a computer network |
US9094721B2 (en) | 2008-10-22 | 2015-07-28 | Rakuten, Inc. | Systems and methods for providing a network link between broadcast content and content located on a computer network |
AU2009311303B2 (en) | 2008-11-06 | 2015-09-10 | Visa International Service Association | Online challenge-response |
EP2192540A1 (fr) * | 2008-11-28 | 2010-06-02 | Gemalto Canada Inc. | Objet portable comportant un afficheur et application à la réalisation de transactions électroniques |
JP5802137B2 (ja) * | 2009-02-05 | 2015-10-28 | ダブリューダブリューパス コーポレイションWwpass Corporation | 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法 |
US9715681B2 (en) | 2009-04-28 | 2017-07-25 | Visa International Service Association | Verification of portable consumer devices |
US8602293B2 (en) | 2009-05-15 | 2013-12-10 | Visa International Service Association | Integration of verification tokens with portable computing devices |
WO2011057007A2 (en) * | 2009-11-04 | 2011-05-12 | Visa International Service Association | Verification of portable consumer devices for 3-d secure services |
US8534564B2 (en) | 2009-05-15 | 2013-09-17 | Ayman Hammad | Integration of verification tokens with mobile communication devices |
US9105027B2 (en) | 2009-05-15 | 2015-08-11 | Visa International Service Association | Verification of portable consumer device for secure services |
US9038886B2 (en) | 2009-05-15 | 2015-05-26 | Visa International Service Association | Verification of portable consumer devices |
US10846683B2 (en) | 2009-05-15 | 2020-11-24 | Visa International Service Association | Integration of verification tokens with mobile communication devices |
US8893967B2 (en) | 2009-05-15 | 2014-11-25 | Visa International Service Association | Secure Communication of payment information to merchants using a verification token |
US9124566B2 (en) | 2009-06-23 | 2015-09-01 | Microsoft Technology Licensing, Llc | Browser plug-in for secure credential submission |
US20110035294A1 (en) * | 2009-08-04 | 2011-02-10 | Authernative, Inc. | Multi-tier transaction processing method and payment system in m- and e- commerce |
US9084071B2 (en) * | 2009-09-10 | 2015-07-14 | Michael-Anthony Lisboa | Simple mobile registration mechanism enabling automatic registration via mobile devices |
FR2950768A1 (fr) * | 2009-09-30 | 2011-04-01 | Xiring Sa | Systeme et procede de transaction securisee en ligne |
US10454693B2 (en) * | 2009-09-30 | 2019-10-22 | Visa International Service Association | Mobile payment application architecture |
US8332325B2 (en) * | 2009-11-02 | 2012-12-11 | Visa International Service Association | Encryption switch processing |
EP2320395A1 (en) * | 2009-11-05 | 2011-05-11 | Multos International Pty Ltd. | Method for providing data during an application selection process |
CN101739771A (zh) * | 2009-12-01 | 2010-06-16 | 孙伟 | 一种公交一卡通业务系统及其实现方法 |
US10255591B2 (en) | 2009-12-18 | 2019-04-09 | Visa International Service Association | Payment channel returning limited use proxy dynamic value |
EP2526517B1 (en) | 2010-01-19 | 2018-08-08 | Visa International Service Association | Token based transaction authentication |
US10255601B2 (en) | 2010-02-25 | 2019-04-09 | Visa International Service Association | Multifactor authentication using a directory server |
WO2012021864A2 (en) | 2010-08-12 | 2012-02-16 | Mastercard International, Inc. | Multi-commerce channel wallet for authenticated transactions |
EP2617156B1 (en) * | 2010-09-13 | 2019-07-03 | CA, Inc. | Methods, apparatus and systems for securing user-associated passwords used for identity authentication |
US8746553B2 (en) | 2010-09-27 | 2014-06-10 | Mastercard International Incorporated Purchase | Payment device updates using an authentication process |
CN102469091B (zh) * | 2010-11-18 | 2014-12-10 | 金蝶软件(中国)有限公司 | 一种页面验证码处理的方法、装置及终端 |
KR101895243B1 (ko) | 2011-03-04 | 2018-10-24 | 비자 인터네셔널 서비스 어소시에이션 | 지불 능력을 컴퓨터들의 보안 엘리먼트들에 통합 |
EP2530868A1 (en) * | 2011-05-31 | 2012-12-05 | Gemalto SA | Method for generating an anonymous routable unlinkable identification token |
SG10201706477YA (en) | 2011-07-15 | 2017-09-28 | Mastercard International Inc | Methods and systems for payments assurance |
DE102011108069A1 (de) * | 2011-07-19 | 2013-01-24 | Giesecke & Devrient Gmbh | Verfahren zum Absichern einer Transaktion |
CN102300182B (zh) * | 2011-09-07 | 2013-08-14 | 飞天诚信科技股份有限公司 | 一种基于短信的身份验证方法、系统和装置 |
KR101767301B1 (ko) | 2011-09-09 | 2017-08-10 | 라쿠텐 인코포레이티드 | 대화형 텔레비전 노출에 대한 소비자 제어를 위한 시스템들 및 방법들 |
US10242368B1 (en) * | 2011-10-17 | 2019-03-26 | Capital One Services, Llc | System and method for providing software-based contactless payment |
US9767453B2 (en) | 2012-02-23 | 2017-09-19 | XRomb Inc. | System and method for processing payment during an electronic commerce transaction |
US10282724B2 (en) | 2012-03-06 | 2019-05-07 | Visa International Service Association | Security system incorporating mobile device |
EP2856404A4 (en) * | 2012-05-24 | 2015-12-09 | Google Inc | SYSTEMS, METHODS, AND COMPUTER PROGRAM PRODUCTS FOR PROVIDING A CONTACTLESS PROTOCOL |
US10592978B1 (en) * | 2012-06-29 | 2020-03-17 | EMC IP Holding Company LLC | Methods and apparatus for risk-based authentication between two servers on behalf of a user |
US8856923B1 (en) * | 2012-06-29 | 2014-10-07 | Emc Corporation | Similarity-based fraud detection in adaptive authentication systems |
RU2509359C1 (ru) * | 2012-09-26 | 2014-03-10 | Пэйче Лтд. | Способ подтверждения платежа |
WO2014087381A1 (en) * | 2012-12-07 | 2014-06-12 | Visa International Service Association | A token generating component |
US9741032B2 (en) * | 2012-12-18 | 2017-08-22 | Mcafee, Inc. | Security broker |
US10504111B2 (en) * | 2012-12-21 | 2019-12-10 | Intermec Ip Corp. | Secure mobile device transactions |
US20150026070A1 (en) * | 2013-07-16 | 2015-01-22 | Mastercard International Incorporated | Systems and methods for correlating cardholder identity attributes on a payment card network to determine payment card fraud |
EP2827291A1 (en) * | 2013-07-19 | 2015-01-21 | Gemalto SA | Method for securing a validation step of an online transaction |
EP3025292A4 (en) * | 2013-07-24 | 2017-03-29 | Visa International Service Association | Systems and methods for interoperable network token processing |
US11004069B2 (en) * | 2013-10-03 | 2021-05-11 | Nxp B.V. | Article and method for transaction irregularity detection |
RU2691843C2 (ru) | 2013-10-11 | 2019-06-18 | Виза Интернэшнл Сервис Ассосиэйшн | Система сетевых токенов |
US9922322B2 (en) | 2013-12-19 | 2018-03-20 | Visa International Service Association | Cloud-based transactions with magnetic secure transmission |
EP3084701B1 (en) | 2013-12-19 | 2022-05-04 | Visa International Service Association | Cloud-based transactions methods and systems |
US10096027B2 (en) * | 2014-03-12 | 2018-10-09 | The Toronto-Dominion Bank | System and method for authorizing a debit transaction without user authentication |
CN103841111B (zh) * | 2014-03-17 | 2017-11-14 | 北京京东尚科信息技术有限公司 | 一种防止数据重复提交的方法和服务器 |
US20150317630A1 (en) * | 2014-04-30 | 2015-11-05 | MasterCard Incorporated International | Method and system for authentication token generation |
AU2015264124B2 (en) | 2014-05-21 | 2019-05-09 | Visa International Service Association | Offline authentication |
US10311434B2 (en) * | 2014-05-29 | 2019-06-04 | Paypal, Inc. | Systems and methods for reporting compromised card accounts |
US11023890B2 (en) | 2014-06-05 | 2021-06-01 | Visa International Service Association | Identification and verification for provisioning mobile application |
EP3175409A4 (en) * | 2014-07-30 | 2017-12-27 | Visa International Service Association | Authentication system with message conversion |
US9775029B2 (en) | 2014-08-22 | 2017-09-26 | Visa International Service Association | Embedding cloud-based functionalities in a communication device |
TWI503693B (zh) * | 2014-09-04 | 2015-10-11 | Joe Chi Chen | 全動態數位電子支付交易身份認證方法 |
US10937021B2 (en) | 2014-12-03 | 2021-03-02 | Trec Corporation | Proprietary token-based universal payment processing system |
GB2533333A (en) | 2014-12-16 | 2016-06-22 | Visa Europe Ltd | Transaction authorisation |
US10187363B2 (en) | 2014-12-31 | 2019-01-22 | Visa International Service Association | Hybrid integration of software development kit with secure execution environment |
CA2977427A1 (en) | 2015-04-10 | 2016-10-13 | Visa International Service Association | Browser integration with cryptogram |
GB2542617B (en) * | 2015-09-28 | 2020-06-24 | Touchtech Payments Ltd | Transaction authentication platform |
US20170103396A1 (en) * | 2015-10-13 | 2017-04-13 | Mastercard International Incorporated | Adaptable messaging |
US9800580B2 (en) * | 2015-11-16 | 2017-10-24 | Mastercard International Incorporated | Systems and methods for authenticating an online user using a secure authorization server |
US20190347661A1 (en) * | 2015-11-19 | 2019-11-14 | Securter Systems Inc. | Coordinator managed payments |
CN105528699A (zh) * | 2015-12-24 | 2016-04-27 | 中国银行股份有限公司 | 一种金融芯片卡的芯片信息验证方法和装置 |
US10282726B2 (en) * | 2016-03-03 | 2019-05-07 | Visa International Service Association | Systems and methods for domain restriction with remote authentication |
US10607224B2 (en) * | 2016-04-04 | 2020-03-31 | Mastercard International Incorporated | Systems and methods for secure authentication of transactions initiated at a client device |
US20170344989A1 (en) * | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and Methods for Use in Facilitating Interactions Between Merchants and Consumers |
KR101806390B1 (ko) * | 2016-05-31 | 2017-12-07 | 주식회사지니 | 생체 정보를 이용한 카드 결제 처리 시스템 및 그의 처리 방법 |
US20180047018A1 (en) * | 2016-08-15 | 2018-02-15 | Capital One Services, Llc | Browser extension for field detection and automatic population and submission |
US12056675B1 (en) * | 2016-10-25 | 2024-08-06 | Worldpay, Llc | Browser plug-in enabling use of EMV card information |
CN110546668B (zh) * | 2017-05-25 | 2023-11-24 | 阿泰克控股有限公司 | 卡的交易的动态认证方法及系统 |
JP6381837B1 (ja) * | 2018-01-17 | 2018-08-29 | 株式会社Cygames | 通信を行うためのシステム、プログラム、方法及びサーバ |
US10581611B1 (en) * | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CA3115064A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CA3062211A1 (en) * | 2018-11-26 | 2020-05-26 | Mir Limited | Dynamic verification method and system for card transactions |
WO2020181161A1 (en) | 2019-03-07 | 2020-09-10 | Mastercard International Incorporated | Security for contactless transactions |
CN110264212B (zh) * | 2019-05-24 | 2023-09-01 | 创新先进技术有限公司 | 一种风控方法、装置、电子设备及存储介质 |
SE546367C2 (en) * | 2019-06-28 | 2024-10-15 | Assa Abloy Ab | Cryptographic signing of a data item |
US20210004793A1 (en) * | 2019-07-03 | 2021-01-07 | Visa International Service Association | Mobile-OTP Based Authorisation of Transactions |
EP3809352A1 (en) | 2019-10-18 | 2021-04-21 | Mastercard International Incorporated | Authentication for secure transactions in a multi-server environment |
EP3809350A1 (en) * | 2019-10-18 | 2021-04-21 | Mastercard International Incorporated | Enchanced security in sensitive data transfer over a network |
WO2021155150A1 (en) * | 2020-01-31 | 2021-08-05 | Mastercard International Incorporated | Enhancing 3d secure user authentication for online transactions |
CA3170260A1 (en) * | 2020-03-10 | 2021-09-16 | Dartanyon Antwaun WILLIAMS | A method of securing a payment card transaction |
WO2021204411A1 (en) * | 2020-04-06 | 2021-10-14 | Daimler Ag | A method for performing a payment process of a user by a payment system, as well as a corresponding payment system |
US11361315B2 (en) * | 2020-05-13 | 2022-06-14 | Capital One Services, Llc | Systems and methods for card authorization |
US20220138803A1 (en) * | 2020-11-02 | 2022-05-05 | Jpmorgan Chase Bank, N.A. | Systems and methods for payment product verification and authorization using a customer identifier |
US11843702B2 (en) | 2020-11-20 | 2023-12-12 | The Toronto-Dominion Bank | System and method for secure distribution of resource transfer request data |
US11653207B2 (en) * | 2021-02-26 | 2023-05-16 | Charter Communications Operating, Llc | Automatic authentication of wireless devices |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6038551A (en) * | 1996-03-11 | 2000-03-14 | Microsoft Corporation | System and method for configuring and managing resources on a multi-purpose integrated circuit card using a personal computer |
WO2001082151A1 (fr) * | 2000-04-24 | 2001-11-01 | Neotechkno Corporation | Dispositif externe et systeme d'authentification |
JP2003076665A (ja) * | 2001-08-31 | 2003-03-14 | Sompo Japan Insurance Inc | 電子カード利用認証システム |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5604801A (en) | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
FR2733379B1 (fr) * | 1995-04-20 | 1997-06-20 | Gemplus Card Int | Procede de generation de signatures electroniques, notamment pour cartes a puces |
JPH0950465A (ja) | 1995-08-04 | 1997-02-18 | Hitachi Ltd | 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法 |
US5859419A (en) * | 1995-09-28 | 1999-01-12 | Sol H. Wynn | Programmable multiple company credit card system |
US5768390A (en) * | 1995-10-25 | 1998-06-16 | International Business Machines Corporation | Cryptographic system with masking |
WO1998040982A1 (en) | 1997-03-12 | 1998-09-17 | Visa International | Secure electronic commerce employing integrated circuit cards |
US6282522B1 (en) * | 1997-04-30 | 2001-08-28 | Visa International Service Association | Internet payment system using smart card |
DE19724901A1 (de) | 1997-06-12 | 1998-12-17 | Siemens Nixdorf Inf Syst | Mobilfunktelefon sowie solche mit gekoppeltem Rechner für Internet- bzw. Netzanwendungen und Verfahren zum Betreiben einer solchen Gerätekombination |
US6453416B1 (en) * | 1997-12-19 | 2002-09-17 | Koninklijke Philips Electronics N.V. | Secure proxy signing device and method of use |
US6173400B1 (en) | 1998-07-31 | 2001-01-09 | Sun Microsystems, Inc. | Methods and systems for establishing a shared secret using an authentication token |
FR2787273B1 (fr) * | 1998-12-14 | 2001-02-16 | Sagem | Procede de paiement securise |
CA2259089C (en) * | 1999-01-15 | 2013-03-12 | Robert J. Lambert | Method and apparatus for masking cryptographic operations |
GB0006668D0 (en) * | 2000-03-21 | 2000-05-10 | Ericsson Telefon Ab L M | Encrypting and decrypting |
EP1139200A3 (en) * | 2000-03-23 | 2002-10-16 | Tradecard Inc. | Access code generating system including smart card and smart card reader |
US7478434B1 (en) * | 2000-05-31 | 2009-01-13 | International Business Machines Corporation | Authentication and authorization protocol for secure web-based access to a protected resource |
WO2002001522A1 (en) * | 2000-06-26 | 2002-01-03 | Covadis S.A. | Computer keyboard unit for carrying out secure transactions in a communications network |
GB2374498B (en) * | 2001-04-12 | 2004-02-18 | Intercede Ltd | Multi-stage authorisation system |
US6990471B1 (en) * | 2001-08-02 | 2006-01-24 | Oracle International Corp. | Method and apparatus for secure electronic commerce |
US20040019564A1 (en) * | 2002-07-26 | 2004-01-29 | Scott Goldthwaite | System and method for payment transaction authentication |
US20040044739A1 (en) * | 2002-09-04 | 2004-03-04 | Robert Ziegler | System and methods for processing PIN-authenticated transactions |
-
2004
- 2004-06-04 JP JP2006515197A patent/JP2006527430A/ja active Pending
- 2004-06-04 CN CNA2004800196327A patent/CN1853189A/zh active Pending
- 2004-06-04 MX MXPA05012969A patent/MXPA05012969A/es active IP Right Grant
- 2004-06-04 KR KR1020057023208A patent/KR20060034228A/ko not_active Application Discontinuation
- 2004-06-04 AU AU2004252824A patent/AU2004252824B2/en not_active Ceased
- 2004-06-04 EP EP04754375A patent/EP1646976A4/en not_active Ceased
- 2004-06-04 US US10/560,192 patent/US9514458B2/en active Active
- 2004-06-04 CA CA002528451A patent/CA2528451A1/en not_active Abandoned
- 2004-06-04 WO PCT/US2004/017756 patent/WO2005001618A2/en active Application Filing
- 2004-06-04 BR BRPI0411005-6A patent/BRPI0411005A/pt not_active Application Discontinuation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6038551A (en) * | 1996-03-11 | 2000-03-14 | Microsoft Corporation | System and method for configuring and managing resources on a multi-purpose integrated circuit card using a personal computer |
WO2001082151A1 (fr) * | 2000-04-24 | 2001-11-01 | Neotechkno Corporation | Dispositif externe et systeme d'authentification |
JP2003076665A (ja) * | 2001-08-31 | 2003-03-14 | Sompo Japan Insurance Inc | 電子カード利用認証システム |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8453925B2 (en) | 2006-03-02 | 2013-06-04 | Visa International Service Association | Method and system for performing two factor authentication in mail order and telephone order transactions |
US9135621B2 (en) | 2006-03-02 | 2015-09-15 | Visa International Service Association | Methods and systems for performing authentication in consumer transactions |
US9569775B2 (en) | 2006-03-02 | 2017-02-14 | Visa International Service Association | Methods and systems for performing authentication in consumer transactions |
JP2009528643A (ja) * | 2006-03-02 | 2009-08-06 | ヴィザ インターナショナル サーヴィス アソシエイション | メール注文及び電話注文における二要素認証を実施するための方法及びシステム |
JP2011516952A (ja) * | 2008-04-04 | 2011-05-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | サーバを操作する方法、サーバ自体、ならびに該サーバを操作するコンピュータ・プログラム製品及びコンピュータ・プログラムにおける期限切れパスワードの処理(期限切れパスワードの処理) |
US9705878B2 (en) | 2008-04-04 | 2017-07-11 | International Business Machines Corporation | Handling expired passwords |
US9894046B2 (en) | 2008-04-04 | 2018-02-13 | International Business Machines Corporation | Handling expired passwords |
JP7299256B2 (ja) | 2015-09-21 | 2023-06-27 | ワンスパン インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング | マルチユーザ厳密認証トークン |
JP7541592B2 (ja) | 2015-09-21 | 2024-08-28 | ワンスパン インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング | マルチユーザ厳密認証トークン |
JP2021068481A (ja) * | 2015-09-21 | 2021-04-30 | ワンスパン インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング | マルチユーザ厳密認証トークン |
JP2018538625A (ja) * | 2015-12-11 | 2018-12-27 | マスターカード インターナシヨナル インコーポレーテツド | トランザクションについてのユーザ認証 |
JP2019071052A (ja) * | 2017-10-05 | 2019-05-09 | マスターカード インターナシヨナル インコーポレーテツド | ネットワークトランザクションとの関連でユーザを認証するために用いるシステム及び方法 |
US11080697B2 (en) | 2017-10-05 | 2021-08-03 | Mastercard International Incorporated | Systems and methods for use in authenticating users in connection with network transactions |
US11810107B2 (en) | 2017-10-05 | 2023-11-07 | Mastercard International Incorporated | Systems and methods for use in authenticating users in connection with network transactions |
US11108811B2 (en) | 2018-01-22 | 2021-08-31 | Avaya Inc. | Methods and devices for detecting denial of service attacks in secure interactions |
JP2019145095A (ja) * | 2018-01-22 | 2019-08-29 | アバイア インコーポレーテッド | セキュアインタラクションにおけるサービス運用妨害攻撃を検出するための方法及びデバイス |
Also Published As
Publication number | Publication date |
---|---|
AU2004252824A1 (en) | 2005-01-06 |
AU2004252824B2 (en) | 2011-03-17 |
WO2005001618A2 (en) | 2005-01-06 |
MXPA05012969A (es) | 2006-03-17 |
US20080154770A1 (en) | 2008-06-26 |
CN1853189A (zh) | 2006-10-25 |
WO2005001618A3 (en) | 2005-03-10 |
KR20060034228A (ko) | 2006-04-21 |
BRPI0411005A (pt) | 2006-07-04 |
EP1646976A2 (en) | 2006-04-19 |
EP1646976A4 (en) | 2008-02-27 |
US9514458B2 (en) | 2016-12-06 |
CA2528451A1 (en) | 2005-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2004252824B2 (en) | Customer authentication in e-commerce transactions | |
AU2007203383B2 (en) | Online payer authentication service | |
JP4597529B2 (ja) | 金融取引で使用するための認証の仕組みおよび方法 | |
AU2001257280B2 (en) | Online payer authentication service | |
CA2482558C (en) | Mobile account authentication service | |
AU2001257280A1 (en) | Online payer authentication service | |
JP2007517272A (ja) | フォーマット化したデータ構造を用いた保証付き決済取引システム及び方法 | |
CN101685512A (zh) | 一种用于实现网上支付的计算机、支付系统及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070522 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070522 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070719 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101214 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101221 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110308 |