IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > Capital One Services, LLC

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニーの特許一覧

特表2024-505510近接場非接触カード通信および暗号認証のためのシステムおよび方法
<>
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図1
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図2A
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図2B
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図3
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図4
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図5
  • 特表-近接場非接触カード通信および暗号認証のためのシステムおよび方法 図6
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-06
(54)【発明の名称】近接場非接触カード通信および暗号認証のためのシステムおよび方法
(51)【国際特許分類】
   G06F 21/31 20130101AFI20240130BHJP
   G06F 21/34 20130101ALI20240130BHJP
   G06F 21/35 20130101ALI20240130BHJP
   G06F 21/60 20130101ALI20240130BHJP
【FI】
G06F21/31
G06F21/34
G06F21/35
G06F21/60 320
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023545757
(86)(22)【出願日】2022-01-27
(85)【翻訳文提出日】2023-09-26
(86)【国際出願番号】 US2022013970
(87)【国際公開番号】W WO2022164946
(87)【国際公開日】2022-08-04
(31)【優先権主張番号】17/161,424
(32)【優先日】2021-01-28
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
(71)【出願人】
【識別番号】519111877
【氏名又は名称】キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー
【氏名又は名称原語表記】Capital One Services, LLC
(74)【代理人】
【識別番号】100145403
【弁理士】
【氏名又は名称】山尾 憲人
(74)【代理人】
【識別番号】100135703
【弁理士】
【氏名又は名称】岡部 英隆
(72)【発明者】
【氏名】ルール,ジェフリー
(72)【発明者】
【氏名】バット,ガウラン
(72)【発明者】
【氏名】クアン,ルキト
(72)【発明者】
【氏名】グオ,ロッキー
(57)【要約】
認証のためのシステムおよび方法には、認証サーバを含み得る。認証サーバはプロセッサとメモリを含み得る。プロセッサは、第1の近距離無線通信データ交換フォーマット(NDEF)の読み取りに関連付けられた暗号文を受信するように構成され得る。プロセッサは、暗号文の第1要素認証を実行するように構成され得る。プロセッサは、第2のNDEF読み取りに関連付けられた第1のデータセットを受信するように構成され得る。プロセッサは、第1のデータセットからメタデータを抽出するように構成され得る。プロセッサは、第1の要素認証の後に、メタデータに基づいて第2の要素認証を実行するように構成され得る。プロセッサは、第2要素認証の結果を示すメッセージを生成するように構成され得る。プロセッサは、プロセッサに1つまたは複数のアクションを実行するように命令するメッセージを送信するように構成され得る。
【選択図】図4
【特許請求の範囲】
【請求項1】
メモリと、
第1の近距離無線通信データ交換フォーマット(NDEF)の読み取りに関連付けられた暗号文を受信し、
暗号文の第1要素認証を実行し、
第1のデータセットを受信し、前記第1のデータセットは第2のNDEF読み取りに関連付けられ、
前記第1のデータセットからメタデータを抽出し、
前記第1要素認証の後に、前記メタデータに基づいて第2要素認証を実行し、
前記第2要素認証の結果を示すメッセージを生成し、
プロセッサに 1つまたは複数のアクションを実行するように指示するメッセージを送信するように構成されたプロセッサと、を備える、
認証サーバ。
【請求項2】
前記1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含む、
請求項1に記載の認証サーバ。
【請求項3】
前記第2要素認証はメタデータの認証を含む、
請求項1に記載の認証サーバ。
【請求項4】
前記第1のデータセットは、1つ以上の以前のデータセットを含む、
請求項1に記載の認証サーバ。
【請求項5】
前記プロセッサは、以前のデータの1つ以上の参照セットに対して前記1つ以上の以前のデータのセットを評価するようにさらに構成される、
請求項4に記載の認証サーバ。
【請求項6】
前記1つまたは複数のアクションは、1つまたは複数の通知を介して、1つまたは複数のクエリに応答して入力をプロンプトすることによって第3要素認証を実行することを含む、
請求項1に記載の認証サーバ。
【請求項7】
1つまたは複数のクエリは、
主要な口座番号、
ユーザのミドルネーム、
1つ以上の操作のタイプ、
1つ以上の日付、
ユーザの国籍、
およびユーザ言語、
のグループから選択される少なくとも1つを含む、
請求項6に記載の認証サーバ。
【請求項8】
前記入力プロンプトは、所定時間が経過すると期限切れになるように構成されている、
請求項6に記載の認証サーバ。
【請求項9】
前記プロセッサは、前記所定時間の経過後に、1つまたは複数のクエリに応答して追加の入力を促すようにさらに構成されている、
請求項8に記載の認証サーバ。
【請求項10】
前記入力プロンプトは、前記1つまたは複数のクエリの閾値数に関連付けられる、
請求項6に記載の認証サーバ。
【請求項11】
前記プロセッサは、1つまたは複数のクエリに対する前記入力を受信した後、前記入力を認証するようにさらに構成されている、
請求項6に記載の認証サーバ。
【請求項12】
認証方法であって、
第1の近距離無線通信データ交換フォーマット(NDEF)読み取りに関連する暗号文を受信し、
第1要素認証を実行し、
第1のデータセットを受信し、前記第1のデータセットは第2のNDEF読み取りに関連付けられ、
前記第1のデータセットからメタデータを抽出し、
前記第1要素認証の後に、前記メタデータに基づいて第2要素認証を実行し、
前記第2要素認証の結果を示すメッセージを生成し、
プロセッサに1つまたは複数のアクションを実行するよう指示するメッセージを送信する、
認証方法。
【請求項13】
前記1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含む、
請求項12に記載の方法。
【請求項14】
前記第2要素認証はメタデータの認証を含む、
請求項12に記載の方法。
【請求項15】
前記第1のデータセットは、1つまたは複数の以前のデータセットを含む、
請求項12に記載の方法。
【請求項16】
前記1つまたは複数の以前のデータのセットを、1つまたは複数の以前のデータの参照セットに対して評価するステップをさらに含む、
請求項15に記載の方法。
【請求項17】
1つまたは複数の通知を介して、1つまたは複数のクエリに応答して入力をプロンプトすることによって第3要素認証を実行することをさらに含む、
請求項12に記載の方法。
【請求項18】
前記1つまたは複数のクエリが、主口座番号、カード所有者のミドルネーム、1つまたは複数の操作タイプ、1つまたは複数の日付、カード所有者の国籍、およびカード所有者の言語からなる群から選択される少なくとも1つを含む、
請求項17に記載の方法。
【請求項19】
前記入力プロンプトは、所定の時間後に期限切れになるように構成されている、
請求項17に記載の方法。
【請求項20】
プロセッサによって実行されると、
第1の近距離無線通信データ交換フォーマット(NDEF)読み取りに関連する暗号文を受信し、
第1要素認証を実行し、
第1のデータセットを受信し、前記第1のデータセットは第2のNDEF読み取りに関連付けられ、
前記第1のデータセットからメタデータを抽出し、
前記第1要素認証の後に、前記メタデータに基づいて第2要素認証を実行し、
前記第2要素認証の後に、1つまたは複数のクエリに関連付けられた1つまたは複数のプロンプトを生成することによって第3要素認証を実行し、
1つまたは複数の通知を介して、1つまたは複数のプロンプトを送信し、
1つ以上のクエリに応答する入力を受信し、
前記入力を認証し、
前記入力を認証した後、第1のタイプの操作を第2のタイプの操作に変換する、
ステップを含む手順を実行するコンピュータ実行可能命令を含む、
コンピュータ可読非一時的媒体。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本出願は、2021年1月28日に出願された米国特許出願第17/161,424号に対する優先権を主張し、その開示はその全体が参照により本明細書に援用される。
【0002】
(技術分野)
本開示は、非接触カード通信のためのシステムおよび方法に関し、より具体的には、非接触カードの近距離無線通信および暗号認証のためのシステムおよび方法に関する。
【背景技術】
【0003】
カードベースの操作では、チップ内に多くのデータポイントが保存されており、カードのスワイプやその他のデータ転送時にカードと通信するデバイスに送信され得る。これらの操作には多くの場合、販売時点情報管理 (POS)デバイス、サーバ、またはその他のデバイスと通信するカードの使用が含まれ、これらのデバイスもカードに情報を送り返し得る。このような通信は傍受や不正アクセスから保護する必要がある。
【0004】
ただし、暗号化やその他の保護を行わずにデータを送信すると、傍受、リプレイ、その他の攻撃を受けやすく、その他の脆弱性の影響を受け得るものであり、その結果、セキュリティリスクが増大し、アカウントやカードの悪用のリスクが増大する。これらのリスクは、他のデバイスと無線で通信する非接触カードの使用によってさらに高まる可能性がある。
【0005】
セキュリティ リスクに対処するために講じられる措置は、システムリソースを消費し、業務効率を妨げ得る。大量の操作を行うと、システムリソースの消費が増加し、操作効率が低下し、操作が実行できなくなったり、パフォーマンスが低下したりし得る。
【0006】
これらおよびその他の欠陥が存在する。したがって、安全かつ信頼性の高い方法で通信を傍受や不正アクセスから保護することによって、これらの欠点を克服する認証のシステムおよび方法が必要とされている。
【発明の概要】
【0007】
本開示の実施形態は、認証サーバを提供する。前記認証サーバはプロセッサとメモリを含み得る。前記プロセッサは、第1の近距離無線通信データ交換フォーマット(NDEF)の読み取りに関連付けられた暗号文を受信するように構成され得る。前記プロセッサは、暗号文の第1要素認証を実行するように構成され得る。前記プロセッサは、第2のNDEF読み取りに関連付けられた第1のデータセットを受信するように構成され得る。前記プロセッサは、前記第1のデータセットからメタデータを抽出するように構成され得る。前記プロセッサは、第1要素認証の後に、前記メタデータに基づいて第2要素認証を実行するように構成され得る。前記プロセッサは、前記第2要素認証の結果を示すメッセージを生成するように構成され得る。前記プロセッサは、前記プロセッサに1つまたは複数のアクションを実行するように命令するメッセージを送信するように構成され得る。
【0008】
本開示の実施形態は、認証方法を提供する。前記方法は、第1の近距離無線通信データ交換フォーマット(NDEF)の読み取りに関連する暗号文を受信することを含み得る。前記方法は、第1要素認証を実行することを含み得る。前記方法は、第2のNDEF読み取りに関連付けられた第1のデータセットを受信することを含み得る。前記方法は、前記第1のデータセットからメタデータを抽出することを含み得る。前記方法は、第1要素認証の後に、前記メタデータに基づいて第2要素認証を実行することを含み得る。前記方法は、前記第2要素認証の結果を示すメッセージを生成することを含み得る。前記方法は、前記プロセッサに1つまたは複数のアクションを実行するように命令するメッセージを送信することを含み得る。
【0009】
本開示の実施形態は、プロセッサ上で実行されると、第1の近距離無線通信データ交換フォーマット(NDEF)読み取りに関連する暗号文を受信し、第1要素認証を実行し、第1のデータセットを受信し、前記第1のデータセットは第2のNDEF読み取りに関連付けられ、前記第1のデータセットからメタデータを抽出し、前記第1要素認証の後に、前記メタデータに基づいて第2要素認証を実行し、前記第2要素認証の後に、1つまたは複数のクエリに関連付けられた1つまたは複数のプロンプトを生成することによって第3要素認証を実行し、1つまたは複数の通知を介して、1つまたは複数のプロンプトを送信し、1つ以上のクエリに応答する入力を受信し、前記入力を認証し、前記入力を認証した後、第1のタイプの操作を第2のタイプの操作に変換する、以上のステップを備える手順を実行するコンピュータ実行可能命令を備えるコンピュータ可読非一時的媒体を提供する。
【0010】
本開示の様々な実施形態は、さらなる目的および利点とともに、添付の図面と併せて以下の説明を参照することによって最もよく理解され得る。
【図面の簡単な説明】
【0011】
図1図1は、例示的な実施形態による認証システムを示す。
図2A図2Aは、例示的な実施形態による非接触カードを示す図である。
図2B図2Bは、例示的な実施形態による非接触カードの接触パッドの図である。
図3図3は、例示的な実施形態による認証方法を示す。
図4図4は、例示的な実施形態による認証プロセスのシーケンス図を示す。
図5図5は、例示的な実施形態による認証方法を示す。
図6図6は、例示的な実施形態による認証方法を示す。
【発明を実施するための形態】
【0012】
以下の実施形態の説明は、本発明のさまざまな態様の特徴および教示を特に説明するために、番号を参照して非限定的な代表的な例を提供する。説明された実施形態は、実施形態の説明から、別個に、または他の実施形態と組み合わせて実施可能であると認識されるべきである。実施形態の説明を検討する当業者は、説明される本発明のさまざまな態様を学び、理解することができるはずである。実施形態の説明は、具体的にはカバーされていないが、実施形態の説明を読んだ当業者の知識の範囲内において、他の実施形態が本発明の応用と一致することが理解される程度まで、本発明の理解を容易にするものでなければならない。
【0013】
本明細書に開示されるシステムおよび方法は、カード非提示取引をカード提示取引に変換し、その結果、リスクが低減され、不正行為率が低下する。カード非提示取引は、これらには限定されないが、主口座番号、カード検証値、有効期限などを含むがさまざまな入力パラメータに基づいて作成され得る。デバイスの通信フィールドに入ると、カードは第1要素認証によって認証され、また、第1タイプの操作を第2タイプの操作に変換するために、第2要素認証用のデバイス上で実行するための命令を含む第1データセットをアプリケーションに送信するように構成される。これは、最後の数回の取引のデータをカードから読み取ることによって実現でき、そのデータは、既知の取引で保存されているかアクセス可能なデータとサーバによって比較される。さらに、アプリケーションは、第3要素認証としてユーザに 1つ以上の質問をして回答を求めるように構成され得る。このように、多要素認証を利用してフィッシングやリプレイ攻撃の影響を受けやすい通信を保護するように用い得るものであり、セキュリティ リスクやアカウントやカードの悪用リスクを軽減できる。
【0014】
本明細書で開示されるシステムおよび方法の利点には、通信を傍受および不正アクセスから保護することによる認証の向上が含まれる。本明細書で開示されるシステムおよび方法は、暗号化されたデータ通信によるデータ傍受、フィッシング攻撃、およびリプレイ攻撃の回避、および他のセキュリティ脆弱性の軽減を可能にする。
【0015】
さらに、認証を向上させるために、多数の認証要素が実行され、カスタマイズされたクエリがプロンプトを介して送信され得る。これにより、セキュリティリスクをさらに軽減し、取引効率を向上させることができる。
【0016】
これらの機能は、ユーザに不必要なセキュリティ タスクの負担を与えてユーザエクスペリエンスを低下させることなく実装できる。さらに、これらの機能は、ユーザの期待とトランザクション要件に準拠するために、トランザクションの時間効率の高いパフォーマンスを可能にする方法で実行できる。
【0017】
したがって、本明細書に開示されるシステムおよび方法は、カードまたはカードに関連付けられたアカウントの悪用などの不正行為のリスクを軽減する。本明細書で開示されるシステムおよび方法は、安全な認証が欠如している実装を改善する。これらの利点は、システム効率を促進し、ユーザエクスペリエンスの低下を回避しながら有利に達成され得る。
【0018】
図1は、認証システム100を示す。システム100は、第1のデバイス105、第2のデバイス110、ネットワーク115、サーバ120、およびデータベース125を備え得る。図1はシステム100のコンポーネントの単一のインスタンスを示しているが、システム100は任意の数のコンポーネントを含むことができる。
【0019】
システム100は、第1のデバイス105を含み得る。第1のデバイス105は、非接触カード、接触ベースのカード、ネットワーク対応コンピュータ、または本明細書に記載の他のデバイスを備え得る。ここで言及するネットワーク対応コンピュータには、それに限定されないが、コンピュータ装置または通信装置、例えば、サーバ、ネットワーク アプライアンス、パーソナルコンピュータ、ワークステーション、電話、ハンドヘルドPC、携帯情報端末、非接触型カード、シンクライアント、太ったクライアント、インターネットブラウザ、キオスク、タブレット、端末、または他のデバイスを含む。以下で図2A~2Bでさらに説明するように、第1のデバイス105は、1つまたは複数のプロセッサ102およびメモリ104を含み得る。メモリ104は、1つまたは複数のアプレット106および1つまたは複数のカウンタ108を含み得る。各カウンタ108はカウンタ値を含み得る。メモリ104は、カウンタ値、送信データ、および少なくとも1つのキーを含み得る。
【0020】
第1のデバイス105は、通信インターフェイス107を含み得る。通信インターフェイス107は、物理インターフェイスおよび非接触インターフェイスとの通信機能を備え得る。例えば、通信インターフェイス107は、カード スワイプインターフェイスを介してスワイプする、または、現金自動預け払い機(ATM)または物理インターフェイスを介して通信するように構成されたその他のデバイスにあるカードチップ リーダに挿入することなどにより、物理インターフェイスと通信するように構成し得る。他の例では、通信インターフェイス107は、NFC(登録商標)、Bluetooth(登録商標)、Wi-Fi(登録商標)、RFID(登録商標)、および他の形態の非接触通信などの近距離無線通信方法を介して、カード読み取り装置との非接触通信を確立するように構成され得る。図1に示されるように、通信インターフェイス107は、ネットワーク115を介して第2のデバイス110、サーバ120、および/またはデータベース125と直接通信するように構成され得る。
【0021】
第1のデバイス105は、システム100の任意の数のコンポーネントとデータ通信し得る。例えば、第1のデバイス105は、ネットワーク115を介して第2のデバイス110および/またはサーバ120にデータを送信し得る。第1のデバイス105は、ネットワーク115を介してデータベース125にデータを送信し得る。いくつかの例では、第1のデバイス105は、任意のデバイスの1つまたは複数の通信フィールドに入った後、ネットワーク115を介してデータを送信するように構成され得る。制限なく、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付けられ得る。
【0022】
システム100は、第2のデバイス110を含み得る。第2のデバイス110は、1つまたは複数のプロセッサ112およびメモリ114を含み得る。メモリ114は、アプリケーション116を含むがこれに限定されない、1つまたは複数のアプリケーションを含み得る。第2のデバイス110は、システム100の任意の数のコンポーネントとデータ通信し得る。例えば、第2のデバイス110は、ネットワーク115を介してデータをサーバ120に送信し得る。第2のデバイス110は、ネットワーク115を介してデータベース125にデータを送信し得る。限定されないが、第2のデバイス110はネットワーク対応コンピュータであってもよい。ここで言及するネットワーク対応コンピュータには、それに限定されないが、例えば、サーバ、ネットワークアプライアンス、パーソナルコンピュータ、ワークステーション、電話、ハンドヘルドPC、携帯情報端末、非接触型カード、シンクライアント、ファットクライアント、インターネットブラウザ、キオスク、タブレット、端末、または他のデバイスを含む、コンピュータ装置または通信装置を含み得る。第2のデバイス110は、モバイル装置であってもよく、 例えば、モバイルデバイスには、iPhone(登録商標)、iPad(登録商標)、Apple(登録商標)のiPad(登録商標)、またはAppleのiOS(登録商標)オペレーティングシステムを実行するその他のモバイルデバイス、Microsoft(登録商標)のWindows Mobileオペレーティングシステムを実行する任意のデバイス、Google(登録商標)のAndroid(登録商標)オペレーティングシステムを実行する任意のデバイス、および/または他のスマートフォン、タブレット、または同様のウェアラブルモバイルデバイスを含み得る。
【0023】
第2のデバイス110は、プロセッシング回路と、ここで説明されている機能を実行するために必要な場合、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカ、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および、改ざん防止ハードウェアを含む追加のコンポーネントを含み得る。第2のデバイス110は、ディスプレイ装置及び入力装置をさらに含み得る。ディスプレイは、コンピュータモニタ、フラットパネルディスプレイ、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、陰極線管ディスプレイを含むモバイルデバイス画面など、視覚情報を提示するための任意のタイプのデバイスであってもよい。入力デバイスには、タッチスクリーン、キーボード、マウス、カーソル制御デバイス、タッチ スクリーン、マイク、デジタルカメラ、ビデオレコーダ、またはビデオカメラなどのような、ユーザのデバイスで利用可能およびサポートされている、ユーザのデバイスに情報を入力するための任意のデバイスを含み得る。これらのデバイスは、情報を入力し、本明細書で説明するソフトウェアおよび他のデバイスと対話するために使用され得る。
【0024】
システム100はネットワーク115を含み得る。いくつかの例では、ネットワーク115は、無線ネットワーク、有線ネットワーク、または無線ネットワークと有線ネットワークの任意の組み合わせのうちの1つまたは複数であり得、システム100のコンポーネントのいずれか1つに接続するように構成され得る。例えば、第1のデバイス105は、ネットワーク115を介してサーバ120に接続するように構成され得る。いくつかの例では、ネットワーク115には、1つ以上の光ファイバーネットワーク、パッシブ光ネットワーク、ケーブルネットワーク、インターネットネットワーク、衛星ネットワーク、ワイヤレス ローカル エリア ネットワーク(LAN)、モバイル通信のためのグローバルシステム、パーソナルコミュニケーションサービス、パーソナルエリアネットワーク、ワイヤレスアプリケーションプロトコル、マルチメディアメッセージングサービス、強化されたメッセージングサービス、ショートメッセージサービス、時分割多重化ベースのシステム、コード分割多元接続ベースのシステム、Dアンプ、Wi-Fi、固定無線データ、IEEE 802.11b、802.15.1、802.11n、および 802.11g、ブルートゥース(登録商標)、NFC、無線周波数識別(RFID)、Wi-Fi、および/または同様のものを含み得る。
【0025】
さらに、ネットワーク115には、電話回線、光ファイバ、IEEEイーサネット902.3、広域ネットワーク、無線パーソナルエリアネットワーク、LAN、またはインターネットなどのグローバルネットワークが含まれるが、これらに限定されない。さらに、ネットワーク115は、インターネットネットワーク、無線通信ネットワーク、セルラーネットワークなど、またはそれらの任意の組み合わせをサポートし得る。ネットワーク115はさらに、スタンドアロンネットワークとして、または相互に連携して動作する、1つのネットワーク、または上述した任意の数の例示的なタイプのネットワークを含み得る。ネットワーク115は、それらが通信可能に結合されている1つまたは複数のネットワーク要素の1つまたは複数のプロトコルを利用し得る。ネットワーク115は、他のプロトコルからネットワークデバイスの1つ以上のプロトコルに変換し得る。ネットワーク115は単一のネットワークとして示されているが、1つまたは複数の例によれば、ネットワーク115は、例えば、インターネット、サービスプロバイダのネットワーク、ケーブルテレビネットワーク、クレジットカード協会のネットワークなどの企業ネットワークやホームネットワークなどのような複数の相互接続されたネットワークを備え得ることを理解されたい。
【0026】
システム100は、1つまたは複数のサーバ120を含み得る。いくつかの例では、サーバ120は、メモリ124に結合された1つまたは複数のプロセッサ122を含み得る。サーバ120は、複数のワークフローアクションを実行するために、異なる時点で様々なデータを制御し呼び出すための中央システム、サーバ、またはプラットフォームとして構成され得る。サーバ120は、第1のデバイス105に接続するように構成され得る。サーバ120は、アプレット106および/またはアプリケーション116とデータ通信し得る。例えば、サーバ120は、1つまたは複数のネットワーク115を介してアプレット106とデータ通信し得る。第1のデバイス105は、1つまたは複数のネットワーク115を介して1つまたは複数のサーバ120と通信し得るものであり、サーバ120とのそれぞれのフロントエンド対バックエンドのペアとして動作し得る。第1のデバイス105は、例えば、その上で実行されているアプレット106から、1つまたは複数のリクエストをサーバ120に送信し得る。1つまたは複数のリクエストは、サーバ120からのデータの取得に関連付けられてもよい。サーバ120は、第1のデバイス105から1つまたは複数の要求を受信し得る。アプレット106からの1つ以上の要求に基づいて、サーバ120は、要求されたデータを取得するように構成され得る。サーバ120は、受信したデータをアプレット106に送信するように構成され得るものであり、受信したデータは1つまたは複数の要求に応答する。
【0027】
いくつかの例では、サーバ120は、ブレードサーバなどの専用サーバコンピュータであってもよく、あるいは、パソコン、ラップトップコンピュータ、ノートブックコンピュータ、パームトップ コンピュータ、ネットワークコンピュータ、モバイルデバイス、ウェアラブルデバイス、またはシステム100をサポートできる任意のプロセッサ制御デバイスであってもよい。図1は単一のサーバ120を示しているが、他の実施形態は、ユーザをサポートするために、必要または希望に応じて複数のサーバまたは複数のコンピュータシステムを使用でき、かつ、特定のサーバに障害が発生した場合のネットワークのダウンタイムを防ぐために、バックアップまたは冗長サーバを使用することもできる。
【0028】
サーバ120は、サーバ120上で実行するための命令を含むアプリケーションを含み得る。例えば、アプリケーションは、サーバ120上で実行するための命令を備え得る。サーバ120のアプリケーションは、システム100の任意のコンポーネントと通信し得る。例えば、サーバ120は、例えば、システム100の1つ以上のコンポーネントとのネットワークおよび/またはデータ通信を可能にし、データを送信および/または受信する1つ以上のアプリケーションを実行し得る。限定するものではないが、サーバ120はネットワーク対応のコンピュータであってもよい。本明細書で言及されるように、ネットワーク対応コンピュータには、これらに限定されないが、サーバ、ネットワークアプライアンス、パーソナルコンピュータ、ワークステーション、電話、ハンドヘルドPC、携帯情報端末、非接触型カード、シンクライアント、ファットクライアント、インターネットブラウザ、または他のデバイスを含むコンピュータ装置、または通信装置を含み得る。サーバ120はモバイルデバイスであってもよく、例えば、モバイルデバイスは、iPhone(登録商標)、iPad(登録商標)、Apple(登録商標)のiPad(登録商標)またはApple(登録商標)のiOS(登録商標)オペレーティングシステムを実行するその他のモバイル デバイス、MicrosoftのWindows(登録商標)Mobileオペレーティングシステムを実行しているデバイス、GoogleのAndroid(登録商標)オペレーティングシステムを実行しているデバイス、および/または他のスマートフォン、タブレット、またはウェアラブルモバイルデバイスのようなものを含み得る。
【0029】
サーバ120は、プロセッシング回路を含み得るものであり、本明細書で説明される機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカ、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含む追加のコンポーネントを含み得る。サーバ120は、ディスプレイ装置および入力装置をさらに含み得る。ディスプレイは、コンピュータモニタ、フラットパネルディスプレイ、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、陰極線管ディスプレイを含むモバイルデバイス画面など、視覚情報を提示するための任意のタイプのデバイスであってもよい。入力デバイスには、タッチスクリーン、キーボード、マウス、カーソル制御装置、タッチスクリーン、マイクロフォン、デジタルカメラ、ビデオレコーダまたはビデオカメラのような、ユーザのデバイスで利用可能でサポートされている、ユーザのデバイスに情報を入力するための任意のデバイスを含み得る。これらのデバイスは、情報を入力し、本明細書で説明するソフトウェアおよび他のデバイスと対話するために使用され得る。
【0030】
システム100は、1つまたは複数のデータベース125を含み得る。データベース125は、複数のリレーショナルデータベースおよび非リレーショナルデータベースを含む、リレーショナルデータベース、非リレーショナルデータベース、または他のデータベース実装、およびそれらの任意の組み合わせを含み得る。いくつかの例では、データベース125は、デスクトップデータベース、モバイルデータベース、またはインメモリデータベースを含み得る。さらに、データベース125は、第1のデバイス105またはサーバ120などのシステム100の任意のコンポーネントによって内部的にホストされてもよく、あるいは、データベース125は、第1のデバイス105またはサーバ120など、クラウドベースのプラットフォームにより、または、第1のデバイス105およびサーバ120とデータ通信する任意の記憶デバイス内で、システム100の任意のコンポーネントの外部でホストされてもよい。いくつかの例では、データベース125は、システム100の任意の数のコンポーネントとデータ通信し得る。例えば、サーバ120は、アプレット106によって送信される要求されたデータをデータベース125から取得するように構成され得る。サーバ120は、ネットワーク115を介してデータベース125からアプレット106に受信データを送信するように構成され得るものであり、受信データは、送信された1つまたは複数の要求に応答する。他の例では、アプレット106は、ネットワーク115を介してデータベース125からの要求されたデータに対する1つまたは複数の要求を送信するように構成され得る。
【0031】
いくつかの例では、本明細書に記載の本開示による例示的な手順は、処理装置および/またはコンピューティング装置(例えば、コンピュータハードウェア装置)によって実行し得るこのような処理/コンピューティング構成は、例えば、これらに限定されないが、例えば、1つ以上のマイクロプロセッサを含み、コンピュータがアクセス可能な媒体(例えば、RAM、ROM、ハードドライブ、または他の記憶装置)に記憶された命令を使用することができるコンピュータ/プロセッサの全部または一部であり得るものであり、または、これらを含み得る。例えば、コンピュータアクセス可能な媒体は、第1のデバイス105、第2のデバイス110、サーバ120、および/またはデータベース125のメモリ、または他のコンピュータハードウェア構成の一部であり得る。
【0032】
いくつかの例では、コンピュータアクセス可能な媒体(例えば、本明細書で上述したように、ハードディスク、フロッピーディスク、メモリスティック、CD-ROM、RAM、ROMなどの記憶装置、またはそれらの集合体)が、(例えば、処理装置と通信して)提供され得る。コンピュータがアクセス可能な媒体には、実行可能な命令を含めることができる。追加または代替として、コンピュータがアクセス可能な媒体とは別に記憶装置を提供することもでき、これは、例えば、本明細書で上述したような、ある例示的な手順、プロセス、および方法を実行するように処理装置を構成するように、処理装置に命令を提供することができる。
【0033】
クライアントデバイス110のアプリケーション116は、第1要素認証の一部としてカード105の1つ以上の読み取りを実行するように構成され得る。例えば、アプリケーション116は、カード105の近距離無線通信タグなどのタグの近距離無線通信読み取りなどの読み取りを行うように構成され得る。カード105は、暗号文を送信するように構成され得る。例えば、カード105は、任意のデバイスの1つまたは複数の通信フィールドに入った後、カード105の通信インターフェイス107を介して、最初の読み取りなどの読み取りに応答するデータを送信するように構成され得る。いくつかの例では、カード105は、デバイス110の第1の通信フィールドへの最初のエントリの後に、暗号文を送信するように構成され得る。制限なく、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付け得る。クライアントデバイス110のアプリケーション116は、カード105によって送信された暗号文を受信するように構成され得る。暗号文は、カード105のタグの最初の読み取りに基づいて生成され得る。例えば、暗号文は、近距離無線通信データ交換フォーマット(NDEF)の読み取りを介して取得され得る。いくつかの例では、カード105は、暗号文を送信する前に暗号化するように構成され得る。
【0034】
クライアントデバイス110のアプリケーション116は、カード105から受信した暗号文をサーバ120に送信するように構成され得る。いくつかの例では、サーバ120は、カード105によって送信された暗号文を受信するように構成され得る。サーバ120は、第1要素認証の一部として暗号を解読するように構成され得る。他の例では、クライアントデバイス110のアプリケーション116は、第1要素認証の一部として暗号を解読するように構成され得る。
【0035】
サーバ120は、1つ以上のメッセージをクライアントデバイス110のアプリケーション116に送信するように構成され得る。例えば、メッセージの1つには、暗号文の認証ステータスの表示を備え得る。例えば、サーバ120は、暗号文の認証成功ステータスなどの認証検証を示すメッセージをクライアントデバイス110のアプリケーション116に送信するように構成され得る。サーバ120が暗号文を認証できない限り、サーバ120は、暗号文の認証失敗ステータスを示すメッセージを送信するように構成され得る。暗号文の認証が成功しなかった場合、サーバ120は、1つまたは複数のコマンドを介して、カード105のタグを再読み取りして暗号文を受信するようにクライアントデバイス110のクライアントアプリケーション116に命令するように構成され得る。このようにして、サーバ120は、第1要素認証の一部として暗号文を復号化するように構成され得る。
【0036】
デバイス110のアプリケーション116は、サーバ120から1つまたは複数のメッセージを受信するように構成され得る。デバイス110のアプリケーション116は、第1要素認証の後に別の読み取りを実行するように構成され得る。例えば、デバイス110のアプリケーション116は、カード105の第2の読み取りを実行するように構成され得る。カード105は、第2の読み取り後に第1のデータセットを送信するように構成され得る。例えば、第1のデータセットは、近距離無線通信データ交換フォーマット(NDEF)読み取りなどの第2の読み取りを介して取得され得る。第1のデータセットは、カード105によって第2の読み取りを介してクライアントデバイス110のアプリケーション116に送信され得る。第1のデータセットは、1つ以上の以前のデータセットを備え得る。限定されないが、第1のデータセットは、第1のデータセットに関連付けられた識別子、第1のデータセットのタイプ、通信フィールドへの入力方法、タイムスタンプ、および金額など、最後の3つのトランザクションに関するデータを含み得る。第2の読み取りは、デバイスの通信フィールドへのカード105の通信インターフェイス107の任意の数のエントリを表す、タップ、スワイプ、または手を振ることを含むがこれらに限定されない、1つまたは複数のジェスチャに関連付け得る。
【0037】
第2要素認証を実行する前に、クライアントデバイス110またはサーバ120のアプリケーション116は、第1データセットからメタデータを抽出するように構成され得るメタデータは、第1のデバイス105から抽出され得る。いくつかの例では、第2要素認証は、メタデータの認証を含み得る。例えば、第2要素認証は、カードなどの第1のデバイス105のメタデータの認証を備え得る。いくつかの例では、第1のデバイス105に属するメタデータは、第1のデバイス105の作成時に、例えば発行者によってパーソナライズされてもよい。第1のデバイス105のメタデータは、これに限定されないが、1つまたは複数の以前の取引(所定の数の取引、例えば、5つの取引に対する販売者および取引データを含む)を含む複数のフィールド、1つ以上のトランザクションの日付スタンプおよび/またはタイムスタンプ、1つ以上の電話番号、1つ以上のアドレス、および/またはその組み合わせ、および/または認証可能なその他の個人を特定できる情報を含むように設定されるようにカスタマイズされ得る。いくつかの例では、ユーザまたはアカウントに関連付けられた携帯電話番号が第1のデバイス105から読み取られ得るものであり、第2の要素認証がクライアントデバイス110のアプリケーション116に送信され得る。例えば、第2要素認証は、クライアントデバイス110のアプリケーション116によって受信されるショートメッセージシステムのワンタイムパスワードを備え得る。
【0038】
クライアントデバイス110のアプリケーション116は、第2要素認証を実行するように構成され得る。例えば、1つまたは複数の以前のデータのセットは、第2要素認証の一部として、1つまたは複数の以前のデータの参照セットに対して評価されてもよい。他の例では、クライアントデバイス110のアプリケーション116は、第2要素認証の一部として評価のために第1データセットをサーバ120に送信するように構成され得る。クライアントデバイス110のアプリケーション116は、1つ以上の以前のデータのセットを1つ以上の以前のデータの参照セットと比較することによって、第2要素認証の結果を生成するように構成され得る。第2要素認証の結果に基づいて、クライアントデバイス110のアプリケーション116は、第2要素認証の結果を示す1つまたは複数のメッセージを生成および表示するように構成され得る。
【0039】
クライアントデバイス110のアプリケーション116は、第3要素認証を実行するように構成され得る。第3要素認証は、クライアントデバイス110のアプリケーション116による第1タイプの操作から第2タイプの操作への変換に先立って実行され得る。他の例では、クライアントデバイス110のサーバ120またはアプリケーション116は、第2要素認証の結果を示す1つまたは複数のメッセージを生成、送信および/または受信するように構成され得る。例えば、メッセージのうちの少なくとも1つは、アプリケーション116またはサーバ120に1つまたは複数のアクションを実行するように指示するように構成され得る。1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含み得る。例えば、第1のタイプの操作は、カード非提示トランザクションを備え得る。第2のタイプの操作は、カード提示取引を備え得る。このように、変換は、カードリーダ、非接触または接触対応端末との通信を捕捉するなど、1つまたは複数の操作を実行するためにカードが存在したことを示すことによってセキュリティを向上させることができる。このように、第1タイプの操作から第2タイプの操作への変換は、第1のデバイス105がユーザの物理的な所有が証明されるため、第2要素認証の結果(成功など)に依存する可能性があり、これにより、カード提示トランザクションとカード非提示トランザクションが区別される。また、第2要素認証の後に第3要素認証を行ってもよい。例えば、クライアントデバイス110のアプリケーション116は、1つ以上の通知を介して送信される1つ以上のプロンプトを生成することによって第3要素認証を実行するように構成され得る。いくつかの例では、第3要素認証は、1つまたは複数の通知を介して、1つまたは複数のクエリに応答する入力を促すことによって実行され得る。
【0040】
制限なく、1つまたは複数のクエリには、主要な口座番号、カード所有者の識別子(名、ミドルネーム、姓、操作の一種、日付、カード所有者の国籍、カード所有者の言語、アドレス、生年月日、Eメール、電話番号、有効期限、クレジットカード番号、デビットカード番号、および/またはそれらの任意の組み合わせのグループから選択される少なくとも1つを含み得る。さらに、1つまたは複数のクエリには、これらのクエリの任意の数の一部、編集された部分を含むがこれに限定されない、に対するリクエストを含み得る。1つまたは複数のクエリは、第3要素認証の基礎を形成する知識ベースの認証に似ている場合がある。
【0041】
クライアントデバイス110のアプリケーション116は、1つまたは複数のクエリに応答する入力を受信するように構成され得る。例えば、1つまたは複数のクエリへの入力は、時間枠内にユーザが特定の商店で何回買い物をしたか、または指定されたリーダもしくは端末で操作を行ったかについての回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連付けられたアイテムの数に関する回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連する支出額を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力には、最後の2つのトランザクションの場所および/またはIDに関する回答を含む応答を含み得る。
【0042】
図2Aは、1つまたは複数の第1のデバイス200を示す。図1に関して上で説明したように、第1のデバイス200は、第1のデバイス105と同じまたは類似のコンポーネントを参照し得る。図2Aおよび2Bは、第1のデバイス200のコンポーネントの単一のインスタンスを示しているが、任意の数のコンポーネントを利用することができる。
【0043】
第1のデバイス200は、システム100の1つまたは複数のコンポーネントと通信するように構成され得る。第1のデバイス200は、接触型カードまたは非接触型カードを備え得るものであり、これは、サービスプロバイダ205によって発行され、非接触カード200の表面または裏面に表示されるクレジットカード、デビットカード、またはギフトカードのような支払いカードを備え得る。いくつかの例では、非接触カード200は支払いカードに関連しておらず、限定されないが、身分証明書、会員カード、および交通カードを備え得る。いくつかの例では、支払いカードは、デュアルインターフェース非接触型支払いカードを備え得る。非接触カード200は、基板210を備え得るものであり、これには、プラスチック、金属、および他の材料からなる単一層または1つ以上の積層層を含み得る。例示的な基板材料には、ポリ塩化ビニル、酢酸ポリ塩化ビニル、アクリロニトリルブタジエンスチレン、ポリカーボネート、ポリエステル、陽極酸化チタン、パラジウム、金、カーボン、紙、および生分解性材料が含まれる。いくつかの例では、非接触カード200は、ISO/IEC7810規格のID-1フォーマットに準拠する物理的特性を有してもよく、また、非接触カードは、ISO/IEC14443規格に準拠してもよい。しかしながら、本開示による非接触カード200は異なる特性を有することができ、本開示は非接触カードが支払いカードに実装されることを必要としないことが理解される。
【0044】
非接触カード200はまた、カードの表面および/または裏面に表示される識別情報215と、接触パッド220とを含み得る。接触パッド220は、ユーザデバイス、スマートフォン、ラップトップ、デスクトップ、またはタブレットコンピュータを含むがこれらに限定されない、別の通信デバイスとの接触を確立するように構成され得る。非接触カード200は、図2Aには示されていない処理回路、アンテナ、および他の構成要素も含み得る。これらの構成要素は、接触パッド220の背後、または基板210上の他の場所に配置されてもよい。非接触カード200はまた、カードの裏面に配置され得る磁気ストリップまたは磁気テープを含み得る(図2Aには示されていない)。
【0045】
図2Bに示されるように、図2Aの接触パッド220は、マイクロプロセッサなどのプロセッサ230およびメモリ235を含む、情報を記憶および処理するためのプロセッシング回路225を含み得る。プロセッシング回路225は、本明細書で説明される機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカ、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含む追加のコンポーネントを含み得ることが理解される。
【0046】
メモリ235は、リードオンリメモリ、ライトワンスリードマルチメモリ、またはリード/ライトメモリ、例えば、RAM、ROM、およびEEPROMであってもよく、非接触カード200は、これらのメモリのうちの1つまたは複数を含み得る。読み取り専用メモリは、工場出荷時に読み取り専用としてプログラム可能であるか、または1回だけプログラム可能である場合がある。ワンタイムプログラマビリティにより、一度書き込んで何度も読み取ることができる。ライトワンス/リードマルチプルメモリは、メモリチップが工場出荷後のある時点でプログラムされる場合がある。メモリは一度プログラムされると書き換えることはできないが、何度でも読み取ることができる。読み取り/書き込みメモリは、工場出荷後に何度もプログラムされ、再プログラムされ得る。何度も読むこともある。
【0047】
メモリ235は、1つまたは複数のアプレット240、1つまたは複数のカウンタ245、および顧客識別子250を記憶するように構成され得る。1つまたは複数のアプレット240は、Java Cardアプレットなど、1つまたは複数の非接触カード上で実行するように構成された1つまたは複数のソフトウェアアプリケーションを備え得る。しかしながら、アプレット240はJava Cardアプレットに限定されず、非接触カードまたは限られたメモリを有する他のデバイス上で動作可能な任意のソフトウェアアプリケーションであってもよいことが理解される。1つまたは複数のカウンタ245は、整数を格納するのに十分な数値カウンタを備え得る。顧客識別子250は、非接触カード200のユーザに割り当てられた一意の英数字識別子を含み得、この識別子は、非接触カードのユーザを他の非接触カードユーザから区別し得る。いくつかの例では、顧客識別子250は、顧客とその顧客に割り当てられたアカウントの両方を識別することができ、さらに、顧客のアカウントに関連付けられた非接触カードを識別し得る。
【0048】
前述の例示的な実施形態のプロセッサおよびメモリ要素は、接触パッドを参照して説明されてきたが、本発明はこれに限定されない。これらの要素は、接触パッド220の外側に実装されてもよいし、接触パッド220から完全に分離して実装されてもよいし、あるいは、接触パッド220内に位置するプロセッサ230およびメモリ235要素に加えてさらなる要素として実装されてもよいことが理解される。
【0049】
いくつかの例では、非接触カード200は、1つまたは複数のアンテナ255を備え得る。1つまたは複数のアンテナ255は、非接触カード200内および接触パッド220のプロセッシング回路225の周囲に配置され得る。例えば、1つまたは複数のアンテナ255は、プロセッシング回路225と一体であってもよく、1つまたは複数のアンテナ255は、外部ブースタコイルとともに使用されてもよい。別の例として、1つまたは複数のアンテナ255は、接触パッド220およびプロセッシング回路225の外部にあってもよい。
【0050】
一実施形態では、非接触カード200のコイルは、空芯変圧器の二次側として機能し得る。端末は、電力または振幅変調を遮断することによって非接触カード200と通信し得る。非接触カード200は、非接触カードの電源接続のギャップを使用して、端末から送信されたデータを推測することができ、これは、1つまたは複数のコンデンサによって機能的に維持され得る。非接触カード200は、非接触カードのコイルの負荷または負荷変調を切り替えることによって通信を返し得る。干渉により端末のコイルで負荷変調が検出され得る。
【0051】
図3は、認証の方法300を示す。図3は、図2Aおよび図2Bのシステム100および第1のデバイス200の同じまたは類似のコンポーネントを参照し得る。
【0052】
ブロック305で、方法300は、暗号文を認証することを含み得る。例えば、暗号文は第1要素認証の一部として認証され得る。いくつかの例では、デバイス上で実行するための命令を含むアプリケーションは、第1要素認証を実行するように構成され得る。他の例では、サーバは、第1要素認証を実行するように構成され得る。例えば、クライアントデバイスのアプリケーションは、第1要素認証の一部としてカードの1つ以上の読み取りを実行するように構成され得る。例えば、アプリケーションは、カードの近距離無線通信タグなどのタグの近距離無線通信読み取りなどの読み取りを実行するように構成され得る。カードは暗号文を送信するように構成され得る。例えば、カードは、任意の装置の1つ以上の通信フィールドに入った後、カードの通信インターフェイスを介して、最初の読み取りなどの読み取りに応じたデータを送信するように構成され得る。いくつかの例では、カードは、デバイスの第1の通信フィールドへの最初の入力後に暗号文を送信するように構成され得る。制限なく、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付け得る。クライアントデバイスのアプリケーションは、カードによって送信された暗号文を受信するように構成され得る。暗号文は、カードのタグの最初の読み取りに基づいて生成され得る。例えば、暗号文は、近距離無線通信データ交換フォーマット(NDEF)の読み取りを介して取得され得る。いくつかの例では、カードは、暗号文を送信する前に暗号化するように構成され得る。
【0053】
クライアントデバイスのアプリケーションは、カードから受信した暗号文をサーバに送信するように構成され得る。いくつかの例では、サーバは、カードによって送信された暗号文を受信するように構成され得る。サーバは、第1要素認証の一部として暗号を解読するように構成され得る。他の例では、クライアントデバイスのアプリケーションは、第1要素認証の一部として暗号を復号するように構成され得る。
【0054】
ブロック310において、方法300は、1つまたは複数のメッセージを送信することを含み得る。例えば、サーバは、クライアントデバイスのアプリケーションに1つ以上のメッセージを送信するように構成され得る。例えば、メッセージの1つには、暗号文の認証ステータスの表示を備え得る。例えば、サーバは、暗号文の認証成功ステータスなど、認証検証を示すメッセージをクライアントデバイスのアプリケーションに送信するように構成され得る。サーバが暗号文を認証できない限り、サーバは、暗号文の認証失敗を示すメッセージを送信するように構成され得る。暗号文が正常に認証されなかった場合、サーバは、1つまたは複数のコマンドを介して、カードのタグを再読み取りして暗号文を受信するようにクライアントデバイスのクライアントアプリケーションに指示するように構成され得る。このようにして、サーバは、第1要素認証の一部として暗号文を復号化するように構成され得る。いくつかの例では、サーバは、第2要素認証の実行を指示する1つまたは複数のメッセージを送信するように構成され得る。
【0055】
ブロック315で、方法300は、第1のデータセットを評価することを含み得る。例えば、デバイスのアプリケーションは、サーバから1つ以上のメッセージを受信するように構成され得る。デバイスのアプリケーションは、最初の要素認証の後に別の読み取りを実行するように構成され得る。例えば、デバイスのアプリケーションは、カードの2回目の読み取りを実行するように構成され得る。カードは、2回目の読み取り後に、第1のデータセットを送信するように構成され得る。例えば、第1のデータセットは、近距離無線通信データ交換フォーマット(NDEF)読み取りなどの第2の読み取りを介して取得され得る。第1のデータセットは、カードによって第2の読み取りを介してクライアントデバイスのアプリケーションに送信され得る。第1のデータセットは、1つ以上の以前のデータセットを備え得る。限定されないが、第1のデータセットは、第1のデータセットに関連付けられた識別子、第1のデータセットのタイプ、通信フィールドへの入力方法、タイムスタンプ、および金額など、最後の3つのトランザクションに関するデータを含み得る。第2の読み取りは、デバイスの通信フィールドへのカードの通信インターフェイスの任意の数のエントリを表す、タップ、スワイプ、または手を振ることを含むがこれらに限定されない、1つまたは複数のジェスチャに関連付け得る。
【0056】
クライアントデバイスのアプリケーションは、第 2要素認証を実行するように構成され得る。例えば、1つまたは複数の以前のデータのセットは、第2要素認証の一部として、1つまたは複数の以前のデータの参照セットに対して評価されてもよい。他の例では、クライアントデバイスのアプリケーションは、第2要素認証の一部として評価のためにデータをサーバに送信するように構成され得る。
【0057】
ブロック320で、方法300は、1つまたは複数の追加メッセージを送信することを含み得る。例えば、クライアントデバイスのアプリケーションは、以前のデータの1つ以上のセットを以前のデータの1つ以上の参照セットと比較することによって、第2要素認証の結果を生成するように構成され得る。第2要素認証の結果に基づいて、クライアントデバイスのアプリケーションは、第2要素認証の結果を示す1つまたは複数の追加メッセージを生成および表示するように構成され得る。他の例では、サーバは、第2要素認証の結果を示す1つまたは複数の追加メッセージを生成および送信するように構成され得る。さらに、第2要素認証を実行する前に、クライアントデバイスまたはサーバのアプリケーションは、第1のデータセットからメタデータを抽出するように構成され得る。メタデータは、第1のデバイスから抽出され得る。いくつかの例では、第2要素認証はメタデータの認証を含み得る。例えば、第2要素認証は、カードのメタデータの認証を備え得る。いくつかの例では、第1のデバイスに属するメタデータは、第1のデバイスの作成時に、例えば発行者によってパーソナライズされ得る。第1のデバイスのメタデータは、限定されないが、1つ以上の以前の取引(5回の取引など、所定の数の取引に関する販売者および取引データを含む)、1つ以上のトランザクションの日付とタイムスタンプ、1つ以上の電話番号、1つ以上のアドレス、および/またはそれらの組み合わせ、および/または認証可能なその他の個人を特定できる情報を備える、複数のフィールドを含むように設定されるようにカスタマイズされ得る。いくつかの例では、ユーザまたはアカウントに関連付けられた携帯電話番号が第1のデバイスから読み取られてもよく、第2の要素認証がクライアントデバイスのアプリケーションに送信されてもよい。例えば、第2要素認証は、クライアントデバイスのアプリケーションによって受信されるショートメッセージシステムのワンタイムパスワードを備え得る。
【0058】
ブロック325で、方法300は、1つまたは複数のプロンプトを生成することを含み得る。例えば、サーバは1つ以上のプロンプトを生成するように構成され得る。他の例では、デバイスのアプリケーションは、1つまたは複数のプロンプトを生成するように構成され得る。クライアントデバイスのアプリケーションは、第 3要素認証を実行するように構成され得る。第3要素認証は、クライアントデバイスのアプリケーションによって第1タイプの操作を第2タイプの操作に変換する前に実行され得る。他の例では、クライアントデバイスのサーバまたはアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成、送信、および/または受信するように構成され得る。例えば、メッセージの少なくとも1つは、アプリケーションまたはサーバに1つ以上のアクションを実行するように指示するように構成され得る。1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含み得る。例えば、第1のタイプの操作は、カード非提示トランザクションを備え得る。第2のタイプの操作は、カード提示取引を備え得る。このように、変換は、カードリーダ、非接触または接触対応端末との通信を捕捉するなど、1つまたは複数の操作を実行するためにカードが存在したことを示すことによってセキュリティを向上させることができる。このように、第1のデバイスが物理的に安全であることが証明されているため、第1のタイプの操作から第2のタイプの操作への変換は、第2要素認証の成功などの結果に依存する可能性があり、これにより、カード提示取引とカード非提示取引が区別される。また、第2要素認証の後に第3要素認証を行ってもよい。例えば、クライアントデバイスのアプリケーションは、1つ以上の通知を介して送信される1つ以上のプロンプトを生成することによって第3要素認証を実行するように構成され得る。いくつかの例では、第3要素認証は、1つまたは複数の通知を介して、1つまたは複数のクエリに応答する入力を促すことによって実行され得る。
【0059】
制限なく、1つまたは複数のクエリには、主要な口座番号、名前、ミドルネーム、姓などのようなカード所有者の識別子、操作のタイプ、日付、カード所有者の国籍、カード所有者の言語、アドレス、生年月日、Eメール、電話番号、有効期限、クレジットカード番号、デビットカード番号、および/またはそれらの任意の組み合わせ、のグループから選択される少なくとも1つを含み得る。さらに、1つまたは複数のクエリには、これに限定されないが、編集された部分を含むこれらのクエリの任意の数の一部に対するリクエストを含み得る。1つまたは複数のクエリは、第3要素認証の基礎を形成する知識ベースの認証に似ている場合がある。
【0060】
ブロック330で、方法300は、1つまたは複数のプロンプトを送信することを含み得る。いくつかの例では、サーバは、1つまたは複数のプロンプトを送信するように構成され得る。例えば、サーバは、1つ以上のプロンプトをデバイスのアプリケーションに送信するように構成され得る。
【0061】
ブロック335で、方法300は、1つまたは複数のクエリに応答して入力を認証することを含み得る。例えば、サーバは、1つ以上のクエリに応答して入力を受信するように構成され得る。別の例では、アプリケーションは、1つまたは複数のクエリに応答する入力を受信するように構成され得る。例えば、クライアントデバイスのアプリケーションは、認証のために受信した入力をサーバに送信するように構成され得る。デバイスのアプリケーションは、基準入力を受信した入力と比較することによって、1つまたは複数のクエリに応答して受信した入力を認証するように構成され得る。例えば、クライアントデバイスまたはサーバのアプリケーションによる入力の認証に成功した後、クライアントデバイスまたはサーバのアプリケーションは、第1のタイプの操作を第2のタイプの操作に変換するように構成され得る。第3要素認証は、クライアントデバイスのアプリケーションによって第1タイプの操作を第2タイプの操作に変換する前に実行され得る。他の例では、クライアントデバイスのサーバまたはアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成、送信、および/または受信するように構成され得る。例えば、メッセージの少なくとも1つは、アプリケーションまたはサーバに1つ以上のアクションを実行するように指示するように構成され得る。1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含み得る。例えば、第1のタイプの操作は、カード非提示トランザクションを備え得る。第2のタイプの操作は、カード提示取引を備え得る。 このように、変換は、カードリーダ、非接触または接触対応端末との通信を捕捉するなど、1つまたは複数の操作を実行するためにカードが存在したことを示すことによってセキュリティを向上させることができる。このように、最初のタイプの操作から2番目のタイプの操作への変換は、最初のデバイスはユーザが物理的に所有していることが証明されているため、カード提示取引とカード非提示取引が区別されるので、第2要素認証の成功結果などのように、結果に依存し得る。いくつかの例では、クライアントデバイスのアプリケーションは、1つまたは複数のプロンプトで提示されたクエリに応答する1つまたは複数の応答を介して入力を受信および認証するように構成され得る。他の例では、クライアントデバイスのアプリケーションは、1つまたは複数のプロンプト内で提起されたクエリに応答する1つまたは複数の応答を介して受信した入力を、認証のためにサーバに送信するように構成され得る。サーバは、入力の認証およびトランザクションの変換のために、受信した入力をデータベースに送信するように構成され得る。
【0062】
クライアントデバイスまたはサーバのアプリケーションは、1つまたは複数のクエリに応答する入力を受信するように構成され得る。例えば、1つまたは複数のクエリへの入力は、時間枠内にユーザが特定の商店で何回買い物をしたか、または指定されたリーダもしくは端末で操作を行ったかについての回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連付けられたアイテムの数に関する回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連する支出額を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最後の2つのトランザクションの場所および/または身元に関する回答を含む応答を含み得る。
【0063】
図4は、例示的な実施形態による認証プロセスのシーケンス図400を示す。図4は、システム100、図2Aおよび図2Bの第1のデバイス200、および図3の方法300の同一または類似のコンポーネントを参照し得る。
【0064】
ステップ410で、クライアントデバイスのアプリケーションは、第1要素認証の一部としてカードの1つまたは複数の読み取りを実行するように構成され得る。例えば、アプリケーションは、カードの近距離無線通信タグなどのタグの近距離無線通信読み取りなどの読み取りを実行するように構成され得る。
【0065】
ステップ420で、カードは暗号文を送信するように構成され得る。カードは、任意のデバイスの1つまたは複数の通信フィールドに入った後、カードの通信インターフェイスを介して、最初の読み取りなどの読み取りに応じたデータを送信するように構成され得る。例えば、カードは、デバイスの第1の通信フィールドへの最初の入力後に暗号文を送信するように構成され得る。制限なく、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付けられ得る。クライアントデバイスのアプリケーションは、カードによって送信された暗号文を受信するように構成され得る。暗号文は、カードのタグの最初の読み取りに基づいて生成され得る。例えば、暗号文は、近距離無線通信データ交換フォーマット(NDEF)の読み取りを介して取得され得る。いくつかの例では、カードは、暗号文を送信する前に暗号化するように構成され得る。
【0066】
ステップ430で、クライアントデバイスのアプリケーションは、カードから受信した暗号文をサーバに送信するように構成され得る。いくつかの例では、サーバは、カードによって送信された暗号文を受信するように構成され得る。サーバは、第1要素認証の一部として暗号を解読するように構成され得る。他の例では、クライアントデバイスのアプリケーションは、第1要素認証の一部として暗号を復号するように構成され得る。
【0067】
ステップ440で、サーバは、1つまたは複数のメッセージをクライアントデバイスのアプリケーションに送信するように構成され得る。例えば、メッセージの1つには、暗号文の認証ステータスの表示を備え得る。例えば、サーバは、暗号文の認証成功ステータスなど、認証検証を示すメッセージをクライアントデバイスのアプリケーションに送信するように構成され得る。サーバが暗号文を認証できない限り、サーバは、暗号文の認証失敗を示すメッセージを送信するように構成され得る。暗号文が正常に認証されなかった場合、サーバは、1つまたは複数のコマンドを介して、カードのタグを再読み取りして暗号文を受信するようにクライアントデバイスのクライアントアプリケーションに指示するように構成され得る。このようにして、サーバは、第1要素認証の一部として暗号文を復号化するように構成され得る。
【0068】
ステップ450で、デバイスのアプリケーションは、サーバから1つまたは複数のメッセージを受信するように構成され得る。デバイスのアプリケーションは、最初の要素認証の後に別の読み取りを実行するように構成され得る。例えば、デバイスのアプリケーションは、カードの2回目の読み取りを実行するように構成され得る。
【0069】
ステップ460で、カードは、第2の読み取り後に、第1のデータセットなどのデータを送信するように構成され得る。例えば、第1のデータセットは、第2の近距離無線通信データ交換フォーマット(NDEF)読み取りを介して取得され得る。第1のデータセットは、読み取りを介してカードによってプロセッサに送信され得る。第1のデータセットは、1つ以上の以前のデータセットを備え得る。限定されないが、第1のデータセットは、第1のデータセットに関連付けられた識別子、第1のデータセットのタイプ、通信フィールドへの入力方法、タイムスタンプ、および金額など、最後の3つのトランザクションに関するデータを含み得る。第2の読み取りは、デバイスの通信フィールドへのカードの通信インターフェイスの任意の数のエントリを表す、タップ、スワイプ、または手を振ることを含むがこれらに限定されない、1つまたは複数のジェスチャに関連付けられ得る。
【0070】
ステップ470で、クライアントデバイスのアプリケーションは、第2要素認証を実行するように構成され得る。例えば、1つまたは複数の以前のデータのセットは、第2要素認証の一部として、1つまたは複数の以前のデータの参照セットに対して評価され得る。他の例では、クライアントデバイスのアプリケーションは、第2要素認証の一部として評価のために第1データセットをサーバに送信するように構成され得る。例えば、サーバは、1つまたは複数の以前のデータのセットを1つまたは複数の以前のデータの参照セットと比較することによって第2の要素認証の結果を生成することによって、第1のデータセットの第2の要素認証を実行するように構成され得る。以前のデータの参照セットはサーバに保存され得る。他の例では、以前のデータの1つまたは複数の参照セットは、サーバによってアクセス可能であり、データベースから取得され得る。他の例では、クライアントデバイスのアプリケーションは、以前のデータの1つまたは複数のセットを以前のデータの1つまたは複数の参照セットと比較することによって、第2要素認証の結果を生成するように構成され得る。第2要素認証の結果に基づいて、クライアントデバイスのアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成および表示するように構成され得る。
【0071】
ステップ480で、サーバは、第1のデータセットの第2要素認証の結果を示す1つまたは複数の追加メッセージを送信するように構成され得る。サーバは、1つまたは複数の追加メッセージを介して、クライアントデバイスのアプリケーションに第2要素認証を実行するように指示するように構成され得る。
【0072】
ステップ490で、クライアントデバイスのアプリケーションは、第3要素認証を実行するように構成され得る。第3要素認証は、クライアントデバイスのアプリケーションによって第1タイプの操作を第2タイプの操作に変換する前に実行され得る。他の例では、クライアントデバイスのサーバまたはアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成、送信、および/または受信するように構成され得る。たとえば、メッセージの少なくとも 1 つは、アプリケーションまたはサーバに1つ以上のアクションを実行するように指示するように構成され得る。1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含み得る。例えば、第1のタイプの操作は、カード非提示トランザクションを備え得る。第2のタイプの操作は、カード提示取引を備え得る。このように、変換は、カードリーダ、非接触または接触対応端末との通信を捕捉するなど、1つまたは複数の操作を実行するためにカードが存在したことを示すことによってセキュリティを向上させることができる。このように、第1のデバイスが物理的に安全であることが証明されているため、第1のタイプの操作から第2のタイプの操作への変換は、第2要素認証の成功などの結果に依存する可能性があり、これにより、カード提示取引とカード非提示取引が区別される。また、第2要素認証の後に第3要素認証を行ってもよい。他の例では、サーバは第3要素認証を実行するように構成され得る。いくつかの例では、サーバは、クライアントデバイスのアプリケーションに第3要素認証を実行するように指示するように構成され得る。例えば、クライアントデバイスのアプリケーションは、1つ以上の通知を介して送信される1つ以上のプロンプトを生成することによって第3要素認証を実行するように構成され得る。いくつかの例では、第3要素認証は、1つまたは複数の通知を介して、1つまたは複数のクエリに応答する入力を促すことによって実行され得る。
【0073】
制限なく、1つまたは複数のクエリには、主要な口座番号、名前、ミドルネーム、姓などのようなカード所有者の識別子、操作のタイプ、日付、カード所有者の国籍、カード所有者の言語、アドレス、生年月日、Eメール、電話番号、有効期限、クレジットカード番号、デビットカード番号、および/またはそれらの任意の組み合わせ、のグループから選択される少なくとも1つを含み得る。さらに、1つまたは複数のクエリには、これに限定されないが、編集された部分を含むこれらのクエリの任意の数の一部に対するリクエストを含み得る。1つまたは複数のクエリは、第3要素認証の基礎を形成する知識ベースの認証に似ている場合がある。
【0074】
クライアントデバイスのアプリケーションは、1つまたは複数のクエリに応答する入力を受信するように構成され得る。例えば、1つまたは複数のクエリへの入力は、時間枠内にユーザが特定の商店で何回買い物をしたか、または指定されたリーダもしくは端末で操作を行ったかについての回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連付けられたアイテムの数に関する回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連する支出額を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最後の2つのトランザクションの場所および/または身元に関する回答を含む応答を含み得る。
【0075】
図5は、例示的な実施形態による認証の方法500を示す。図5は、システム100、図2Aおよび図2Bの第1のデバイス200、図3の方法300、および図4のシーケンス図400の同一または類似のコンポーネントを参照し得る。
【0076】
ブロック505で、方法500は、第1要素認証を実行することを含み得る。例えば、クライアントデバイスのアプリケーションは、第1要素認証を実行するように構成され得る。他の例では、サーバは第1要素認証を実行するように構成され得る。クライアントデバイスのアプリケーションは、第 1 要素認証の一部としてカードの1つ以上の読み取りを実行するように構成され得る。例えば、アプリケーションは、カードの近距離無線通信タグなどのタグの近距離無線通信読み取りなどの読み取りを実行するように構成され得る。
【0077】
ブロック510で、方法500は、第1要素認証に対する応答を検証することを含み得る。いくつかの例では、クライアントデバイスのアプリケーションは、第1要素認証に対する応答を受信するように構成され得る。応答には暗号文を含み得る。クライアントデバイスのアプリケーションは、第 1 要素認証に対する応答を検証するように構成され得る。カードは、応答を介して暗号文を送信するように構成され得る。カードは、任意のデバイスの1つまたは複数の通信フィールドに入った後、カードの通信インターフェイスを介して、最初の読み取りなどの読み取りに応じたデータを送信するように構成され得る。例えば、カードは、デバイスの第1の通信フィールドへの最初の入力後に暗号文を送信するように構成され得る。制限なく、各エントリは、タップ、スワイプ、ウェーブ、および/またはそれらの任意の組み合わせに関連付けられ得る。クライアントデバイスのアプリケーションは、カードによって送信された暗号文を受信するように構成され得る。暗号文は、カードのタグの最初の読み取りに基づいて生成され得る。例えば、暗号文は、近距離無線通信データ交換フォーマット(NDEF)の読み取りを介して取得され得る。いくつかの例では、カードは、暗号文を送信する前に暗号化するように構成され得る。いくつかの例では、クライアントデバイスのアプリケーションは、第1要素認証の一部として暗号を復号するように構成され得る。
【0078】
他の例では、サーバは、第1要素認証に対する応答を受信するように構成され得る。クライアントデバイスのアプリケーションは、カードから受信した暗号文をサーバに送信するように構成され得る。いくつかの例では、サーバは、カードによって送信された暗号文を受信するように構成され得る。サーバは、第1要素認証の一部として暗号を解読するように構成され得る。
【0079】
ブロック515で、方法500は、第2要素認証を実行することを含み得る。例えば、クライアントデバイスのアプリケーションは、第2要素認証を実行するように構成され得る。デバイスのアプリケーションは、最初の要素認証の後に別の読み取りを実行するように構成され得る。例えば、デバイスのアプリケーションは、カードの2回目の読み取りを実行するように構成され得る。カードは、2回目の読み取り後に、第1のデータセットなどのデータを送信するように構成され得る。例えば、第1のデータセットは、第2の近距離無線通信データ交換フォーマット(NDEF)読み取りを介して取得され得る。第1のデータセットは、第2の読み取りを介してカードによってプロセッサに送信され得る。第2の読み取りは、デバイスの通信フィールドへのカードの通信インターフェイスの任意の数のエントリを表す、タップ、スワイプ、または手を振ることを含むがこれらに限定されない、1つまたは複数のジェスチャに関連付けられ得る。
【0080】
他の例では、サーバは第2要素認証を実行するように構成され得る。例えば、サーバは、クライアントデバイスのアプリケーションまたはサーバによる第2要素認証の実行の指示を示す1つまたは複数のメッセージをクライアントデバイスのアプリケーションに送信するように構成され得る。
【0081】
ブロック520で、方法500は、第2要素認証に対する応答を検証することを含み得る。いくつかの例では、クライアントデバイスのアプリケーションは、第2要素認証に対する応答を受信するように構成され得る。例えば、クライアントデバイスのアプリケーションは、第2要素認証に対する第1データセットを含む応答を受信するように構成され得る。第1のデータセットは、1つ以上の以前のデータセットを含み得る。限定されないが、第1のデータセットは、第1のデータセットに関連付けられた識別子、第1のデータセットのタイプ、通信フィールドへの入力方法、タイムスタンプ、および金額など、最後の3つのトランザクションに関するデータを含み得る。
【0082】
クライアントデバイスのアプリケーションは、第 2要素認証への応答を検証するように構成され得る。例えば、1つまたは複数の以前のデータのセットは、第2要素認証の一部として、1つまたは複数の以前のデータの参照セットに対して評価され得る。他の例では、クライアントデバイスのアプリケーションは、以前のデータの1つまたは複数のセットを以前のデータの1つまたは複数の参照セットと比較することによって、第2要素認証の結果を生成するように構成され得る。第2要素認証の結果に基づいて、クライアントデバイスのアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成および表示するように構成され得る。
【0083】
他の例では、サーバは、第2要素認証に対する応答を受信するように構成され得る。例えば、サーバは、第2要素認証への応答を検証するように構成され得る。クライアントデバイスのアプリケーションは、第2要素認証の一部として評価のために第1のデータセットをサーバに送信するように構成され得る。例えば、サーバは、1つまたは複数の以前のデータのセットを1つまたは複数の以前のデータの参照セットと比較することによって第2要素認証の結果を生成することによって、第1のデータセットの第2要素認証を実行するように構成され得る。以前のデータの参照セットはサーバに保存され得る。他の例では、以前のデータの1つまたは複数の参照セットは、サーバによってアクセス可能であり、データベースから取得され得る。
【0084】
ブロック525で、方法500は、第3要素認証を実行することを含み得る。例えば、クライアント デバイスのアプリケーションは、第3要素認証を実行するように構成され得る。第3要素認証は、クライアントデバイスのアプリケーションによって第1タイプの操作を第2タイプの操作に変換する前に実行され得る。他の例では、クライアントデバイスのサーバまたはアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成、送信、および/または受信するように構成され得る。例えば、メッセージの少なくとも1つは、アプリケーションまたはサーバに1つ以上のアクションを実行するように指示するように構成され得る。1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含み得る。例えば、第1のタイプの操作は、カード非提示トランザクションを備え得る。第2のタイプの操作は、カード提示取引を備え得る。このように、変換は、カードリーダ、非接触または接触対応端末との通信を捕捉するなど、1つまたは複数の操作を実行するためにカードが存在したことを示すことによってセキュリティを向上させ得る。このように、第1のデバイスが物理的に安全であることが証明されているため、第1のタイプの操作から第2のタイプの操作への変換は、第2要素認証の成功などの結果に依存する可能性があり、これにより、カード提示取引とカード非提示取引が区別される。また、第2要素認証の後に第3要素認証を行ってもよい。例えば、クライアントデバイスのアプリケーションは、1つ以上の通知を介して送信される1つ以上のプロンプトを生成することによって第3要素認証を実行するように構成され得る。いくつかの例では、第3要素認証は、1つまたは複数の通知を介して、1つまたは複数のクエリに応答する入力を促すことによって実行され得る。
【0085】
制限なく、1つまたは複数のクエリには、主要な口座番号、名前、ミドルネーム、姓などのようなカード所有者の識別子、操作のタイプ、日付、カード所有者の国籍、カード所有者の言語、住所、生年月日、Eメール、電話番号、有効期限、クレジットカード番号、デビットカード番号、および/またはそれらの任意の組み合わせ、のグループから選択される少なくとも1つを含み得る。さらに、1つまたは複数のクエリには、これに限定されないが、編集された部分を含むこれらのクエリの任意の数の一部に対するリクエストを含み得る。1つまたは複数のクエリは、第3要素認証の基礎を形成する知識ベースの認証に似ている場合がある。
【0086】
他の例では、サーバは第3要素認証を実行するように構成され得る。いくつかの例では、サーバは、クライアントデバイスのアプリケーションに第3要素認証を実行するように指示するように構成され得る。
【0087】
ブロック530で、方法500は、第3要素認証に対する応答を検証することを含み得る。例えば、クライアントデバイスのアプリケーションは、1つまたは複数のクエリに応答する入力を受信するように構成され得る。デバイスのアプリケーションは、基準入力を受信した入力と比較することによって、1つまたは複数のクエリに応答して受信した入力を認証するように構成され得る。いくつかの例では、クライアントデバイスのアプリケーションは、第3要素認証に対する応答を受信するように構成され得る。例えば、クライアントデバイスのアプリケーションは、第3要素認証への応答を検証するように構成され得る。クライアントデバイスのアプリケーションは、1つまたは複数のクエリに応答する入力を受信するように構成され得る。例えば、1つまたは複数のクエリへの入力は、時間枠内にユーザが特定の商店で何回買い物をしたか、または指定されたリーダもしくは端末で操作を行ったかについての回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連付けられたアイテムの数に関する回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連する支出額を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最後の2つのトランザクションの場所および/または身元に関する回答を含む応答を含み得る。
【0088】
他の例では、サーバは、第3要素認証に対する応答を受信するように構成され得る。例えば、サーバは、第3要素認証への応答を検証するように構成され得る。サーバは、第3要素認証の入力を検証するように構成され得る。
【0089】
ブロック535で、方法500は、データを第1のタイプから第2のタイプに変換することを含み得る。例えば、クライアントデバイスまたはサーバのアプリケーションによって入力が正常に認証された後、クライアントデバイスまたはサーバのアプリケーションは、トランザクションをカード非提示トランザクションからカード提示トランザクション、最初のデータセットに関連付けられたトランザクションに変換するように構成され得る。いくつかの例では、クライアントデバイスのアプリケーションは、1つまたは複数のプロンプトで提示されたクエリに応答する1つまたは複数の応答を介して入力を受信および認証するように構成され得る。他の例では、クライアントデバイスのアプリケーションは、1つまたは複数のプロンプト内で提起されたクエリに応答する1つまたは複数の応答を介して受信した入力を、認証のためにサーバに送信するように構成され得る。サーバは、入力の認証およびトランザクションの変換のために、受信した入力をデータベースに送信するように構成され得る。
【0090】
クライアントデバイスまたはサーバのアプリケーションは、1つまたは複数のクエリに応答する入力を受信するように構成され得る。例えば、1つまたは複数のクエリへの入力は、時間枠内にユーザが特定の商店で何回買い物をしたか、または指定されたリーダもしくは端末で操作を行ったかについての回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連付けられたアイテムの数に関する回答を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最新の購入に関連する支出額を含む応答を含み得る。別の例では、1つまたは複数のクエリへの入力は、最後の2つのトランザクションの場所および/または身元に関する回答を含む応答を含み得る。別の例では、クライアントデバイスのアプリケーションは、認証のために受信した入力をサーバに送信するように構成され得る
【0091】
図6は、例示的な実施形態による認証方法600を示す。図6は、システム100、図2Aおよび図2Bの第1のデバイス200、図3の方法300、図4のシーケンス図400、および図5の方法500の同一または類似のコンポーネントを参照し得る。
【0092】
ブロック605で、方法600は、第1の読み取りを実行することを含み得る。例えば、最初の読み取りは、デバイスのアプリケーションによって実行され得る。デバイスには1つ以上のプロセッサを含み得る。デバイスはメモリを含み得る。デバイスは、デバイス上で実行するための命令を含むアプリケーションを含み得る。
【0093】
ブロック610で、方法600は、暗号文を認証することを含み得る。プロセッサは、第1要素認証を実行するように構成され得る。いくつかの例では、第1要素認証は、暗号文を認証することを備え得る。例えば、暗号文は、近距離無線通信データ交換フォーマット(NDEF)の読み取りを介して取得し得る。カードのタグを最初に読み取ると、暗号文が得られる場合がある。
【0094】
ブロック615で、方法600は、第2の読み取りを実行することを含み得る。例えば、第1の要素認証の後、プロセッサは、第2の読み取りなどの別の読み取りを実行するように構成され得る。いくつかの例では、第1要素認証の後に実行される読み取りは、NDEF読み取りを含み得る。
【0095】
ブロック620で、方法600はデータを認証することを含み得る。例えば、2回目の読み取りにより、最初のデータセットなどのデータが生成され得る。第1のデータセットは、読み取りを介してカードによってプロセッサに送信され得る。第1のデータセットは、1つ以上の以前のデータセットを含み得る。限定されないが、第1のデータセットは、第1のデータセットに関連付けられた識別子、第1のデータセットのタイプ、通信フィールドへの入力方法、タイムスタンプ、および金額など、最後の3つのトランザクションに関するデータを含み得る。読み取りは、デバイスの通信フィールドへのカードの通信インターフェイスの任意の数のエントリを表す、タップ、スワイプ、または手を振ることを含むがこれらに限定されない、1つまたは複数のジェスチャに関連付けられ得る。
【0096】
第1のデータセットは、第2要素認証などの別の認証要素のためにプロセッサによって送信され得る。例えば、プロセッサは、第1のデータセットをサーバに送信するように構成され得る。いくつかの例では、プロセッサは、第2要素認証のために第1データセットを送信するように構成され得る。例えば、以前のデータの1つ以上のセットは、以前のデータの1つ以上の参照セットに対して評価され得る。プロセッサは、以前のデータの1つまたは複数のセットを以前のデータの1つまたは複数の参照セットと比較することによって、第2要素認証の結果を生成するように構成され得る。第2要素認証の結果に基づいて、プロセッサは、第2要素認証の結果を示す1つまたは複数のメッセージを送信するように構成され得る。
【0097】
別の例では、サーバは、以前のデータの1つ以上のセットを以前のデータの1つ以上の参照セットと比較することによって、第2要素認証の結果を生成するように構成され得る。プロセッサは、第2要素認証の結果を示す1つまたは複数のメッセージを受信するように構成され得る。例えば、プロセッサは、第2要素認証の成功結果など、認証検証を示すメッセージをサーバから受信するように構成され得る。別の例では、プロセッサは、第2要素認証の失敗結果を示すメッセージをサーバから受信するように構成され得る。プロセッサが第2要素認証の失敗結果を示すメッセージを受信するように構成されている限り、プロセッサは第2要素認証のために第1データセットを再送信するように構成され得る。例えば、プロセッサは、閾値に対応する所定の数を上限として、第2要素認証のために第1のデータセットを再送信するように構成され得る。しきい値に達すると、プロセッサは認証プロセスを停止するように構成され得る。別の例では、プロセッサが第2要素認証の失敗結果を示すメッセージを受信するように構成されている限り、プロセッサは認証プロセスを停止するように構成され得る。
【0098】
第2要素認証を実行する前に、クライアント デバイスまたはサーバのアプリケーションは、第1のデータ セットからメタデータを抽出するように構成され得る。メタデータは、第1のデバイスから抽出され得る。いくつかの例では、第2要素認証はメタデータの認証を含み得る。例えば、第2要素認証は、第1のデバイスのメタデータの認証を備え得る。いくつかの例では、第1のデバイスに属するメタデータは、第1のデバイスの作成時に、例えば発行者によってパーソナライズされてもよい。第1のデバイスのメタデータは、限定されないが、1つ以上の以前の取引 (5回の取引など、所定の数の取引に関する販売者および取引データを含む)、1つ以上のトランザクションの日付とタイムスタンプ、1つ以上の電話番号、1つ以上のアドレス、および/またはその組み合わせ、および/または認証可能なその他の個人を特定できる情報、を含む複数のフィールドを含むように設定されるようにカスタマイズされ得る。いくつかの例では、ユーザまたはアカウントに関連付けられた携帯電話番号が第1のデバイスから読み取られてもよく、第2要素認証がクライアントデバイスのアプリケーションに送信され得る。例えば、第2要素認証は、クライアントデバイスのアプリケーションによって受信されるショートメッセージシステムのワンタイムパスワードを備え得る。
【0099】
第2要素認証の結果を示すメッセージを受信した後、プロセッサは、トランザクションをカード非提示トランザクションからカード提示トランザクションに変換するように構成され得る。いくつかの例では、トランザクションはトランザクションデータに関連付けられ得る。
【0100】
ブロック625で、方法600は、1つまたは複数のクエリを生成することを含み得る。例えば、プロセッサは、第3要素認証を実行するように構成され得る。第3要素認証は、クライアントデバイスのアプリケーションによって第1タイプの操作を第2タイプの操作に変換する前に実行され得る。他の例では、クライアントデバイスのサーバまたはアプリケーションは、第2要素認証の結果を示す1つまたは複数のメッセージを生成、送信、および/または受信するように構成され得る。例えば、メッセージの少なくとも1つは、アプリケーションまたはサーバに1つ以上のアクションを実行するように指示するように構成され得る。1つまたは複数のアクションは、第1のタイプの操作から第2のタイプの操作への変換を含み得る。例えば、第1のタイプの操作は、カード非提示トランザクションを備え得る。第2のタイプの操作は、カード提示取引を備え得る。このように、変換は、カードリーダ、非接触または接触対応端末との通信を捕捉するなど、1つまたは複数の操作を実行するためにカードが存在したことを示すことによってセキュリティを向上させ得る。このように、第1のデバイスが物理的に安全であることが証明されているため、第1のタイプの操作から第2のタイプの操作への変換は、第2要素認証の成功などの結果に依存する可能性があり、これにより、カード提示取引とカード非提示取引が区別される。例えば、プロセッサは、1つまたは複数の通知を介して送信される1つまたは複数のプロンプトを生成することによって、第3要素認証を実行するように構成され得る。いくつかの例では、第3要素認証は、1つまたは複数の通知を介して、1つまたは複数のクエリに応答する入力を促すことによって実行され得る。
【0101】
制限なく、1つまたは複数のクエリには、主要な口座番号、名前、ミドルネーム、姓などのようなカード所有者の識別子、操作のタイプ、日付、カード所有者の国籍、カード所有者の言語、住所、生年月日、Eメール、電話番号、有効期限、クレジットカード番号、デビットカード番号、および/またはそれらの任意の組み合わせ、のグループから選択される少なくとも1つを含み得る。さらに、1つまたは複数のクエリには、これに限定されないが、編集された部分を含むこれらのクエリの任意の数の一部に対するリクエストを含み得る。1つまたは複数のクエリは、第3要素認証の基礎を形成する知識ベースの認証に似ている場合がある。
【0102】
他の例では、クエリは、ユーザが時間枠内に特定の販売業者で何回買い物をしたか、または指定されたリーダまたは端末で操作を行ったかを尋ねる質問を含み得る。別の例では、クエリには、最近の購入に関連するアイテムの数を要求する質問を含み得る。別の例では、クエリは、最近の購入に関連する支出額を要求する質問を含み得る。別の例では、クエリには、最後の2つのトランザクションの場所および/または身元を要求する質問を含み得る。
【0103】
ブロック630で、方法600は、1つまたは複数のプロンプトを介して、1つまたは複数のクエリを送信することを含み得る。例えば、プロセッサは、1つまたは複数のクエリを送信するように構成され得る。別の例では、サーバは、1つまたは複数のクエリを送信するように構成され得る。
【0104】
いくつかの例では、1つまたは複数のクエリに対する応答の入力を求めるプロンプトは、時間制限があり得る。例えば、入力のプロンプトは、秒、分、時間などを含むがこれらに限定されない所定の時間が経過すると期限切れになるように構成され得る。別の例では、1つまたは複数のプロセッサは、所定の時間が経過した後、1つまたは複数のクエリに応答する追加の入力を促すように構成され得る。いくつかの例では、1つまたは複数のクエリに応答する追加の入力は、1つまたは複数のクエリに応答して最初に要求された入力とは異なる場合がある。したがって、1つまたは複数のクエリの最初のセットは、1つまたは複数のクエリの追加のセットとは異なる場合がある。
【0105】
例えば、プロセッサは、1つ以上のプロンプトを介してユーザのミドルネームを要求するように構成され得る。10秒以内に入力が受信または提供されない場合、このクエリに応答する入力の有効期限は10秒後に期限切れとなり、別のクエリに応答する別の入力プロンプトが生成され、送信され得る。例えば、プロセッサは、主要な口座番号の最後の4桁を要求するように構成され得るものであり、その入力は15秒以内に提供されなければならない。いくつかの例では、追加のクエリに関連付けられた所定の時間は、最初のクエリに関連付けられた所定の時間とは異なる場合がある。他の例では、追加のクエリに関連付けられた所定の時間は、最初のクエリに関連付けられた所定の時間と同じであってもよい。
【0106】
別の例では、プロセッサは、5秒以内にユーザの国籍の入力を要求するプロンプトを生成および送信するように構成され得る。5秒以内に入力が受信または提供されない場合、クエリに応答する入力の有効期限は5秒後に期限切れとなり、別のクエリに応答する入力を求める別のプロンプトが生成され、送信され得る。例えば、プロセッサは、最新の取引の場所と、その取引がクレジット カードまたはデビット カードに関連付けられているかどうかを要求するように構成され得るものであり、この場合、入力は 10秒以内に提供されなければならない。
【0107】
いくつかの例では、入力を求めるプロンプトは、1つまたは複数のクエリの閾値数に関連付けられ得る。例えば、入力プロンプトは、2つのクエリなど、任意の数に関連付けられ得る。クエリの数を使い果たした後、プロセッサは、クエリのプロンプトに関連付けられた応答入力に基づいて入力を認証するかどうかを決定するように構成され得る。上記の例を使用すると、プロセッサは、2つのクエリを使い果たした後、入力が正しくないと判断した場合、クエリに応答する受信した入力を終了するように構成され得る。
【0108】
ブロック635で、方法600は、1つまたは複数のクエリに応答して入力を受信することを含み得る。例えば、プロセッサは、1つまたは複数のクエリに応答して入力を受信するように構成され得る。別の例では、サーバは、1つまたは複数のクエリに応答して入力を受信するように構成され得る。
【0109】
ブロック640で、方法600は、入力を認証することを含み得る。例えば、プロセッサは、入力を受信した後、1つまたは複数のクエリに応答する入力を認証するように構成され得る。別の例では、サーバは、入力を受信した後、1つまたは複数のクエリに応答する入力を認証するように構成され得る。
【0110】
さらに、本明細書で説明されるシステムおよび方法は、以下に限定されないが、データを保存できる他の物理メディアと同様に、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、フロッピーディスク、ハードドライブ、読み取り専用メモリ(ROM)、ランダムアクセスメモリ (RAM)のような、1つまたは複数の物理媒体で具体的に具体化され得ることに留意されたい。例えば、データ記憶装置は、データ、情報、およびコンピュータプログラム命令にアクセスして記憶するように構成され得るランダムアクセスメモリ(RAM)および読み取り専用メモリ(ROM)を含み得る。データストレージには、記憶媒体または他の適切なタイプのメモリ(例えば、RAM、ROM、プログラマブル読み取り専用メモリ(PROM)など)、消去可能なプログラマブル読み取り専用メモリ (EPROM)、電気的に消去可能なプログラム可能な読み取り専用メモリ(EEPROM)、磁気ディスク、光ディスク、フロッピーディスク、ハードディスク、取り外し可能なカートリッジ、フラッシュドライブ、あらゆる種類の有形かつ非一時的な記憶媒体)をも含み得るものであり、ここには、オペレーティングシステムを構成するファイル、例えばウェブブラウザアプリケーション、電子メールアプリケーションおよび/または他のアプリケーションを含むアプリケーションプログラム、およびデータファイルが格納され得る。ネットワーク対応コンピュータ システムのデータ ストレージには、さまざまな方法で保存された電子情報、ファイル、文書、たとえば、フラットファイル、インデックス付きファイル、階層型データベース、リレーショナルデータベース、例えば、オラクル(登録商標)コーポレーション、Microsoft(登録商標)Excelファイル、Microsoft(登録商標)Accessファイルなどのソフトウェアを使用して作成および維持されるデータベース、ソリッドステートストレージデバイスを含み得るものであり、これには、フラッシュアレイ、ハイブリッドアレイ、サーバ側製品、オンラインストレージやクラウド ストレージ、またはその他のストレージメカニズムを含むエンタープライズストレージが含まれる場合がある。さらに、図はさまざまなコンポーネント(サーバ、コンピュータ、プロセッサなど)を個別に示している。様々なコンポーネントで実行されるものとして説明された機能は、他のコンポーネントで実行されてもよく、また、様々なコンポーネントは結合または分離されてもよい。他の変更も可能である。
【0111】
前述の明細書では、添付の図面を参照してさまざまな実施形態を説明した。しかしながら、特許請求の範囲に記載される本発明のより広い範囲から逸脱することなく、様々な修正および変更が可能であり、追加の実施形態が実施され得ることは明らかである。したがって、明細書および図面は、限定的な意味ではなく、例示的な意味としてみなされるべきである。
図1
図2A
図2B
図3
図4
図5
図6
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.