用于针对与网络交易相关的账户对用户进行认证的系统和方法与流程

相关申请的交叉引用

本申请要求于2017年12月21日提交的编号为15/850,216的美国申请的权益和优先权。上述申请的全部公开内容通过引用并入本文。

本公开一般而言涉及用于针对与网络交易相关的账户对用户进行认证的系统和方法，并且具体地涉及先前交易(或与账户的提供者的其它先前交互)中的用户认证可以用于提供与后续交易相关的用户认证的系统和方法。

背景技术：

本部分提供与本公开相关的背景信息，该背景信息不一定是现有技术。

网络交易常常涉及发起交易的用户。为了确保参与交易的用户的适当性，通常，对用户进行交易认证。具体而言，与支付账户交易相关，某些实体(例如，银行机构等)依赖于认证服务来认证用户，其中认证服务诸如例如3-d安全(3-dsecure^tm)协议，该3-d安全协议依赖于涉及交易的商家处的商家服务器插件(或mpi)和与交易中使用的支付账户的发行方相关联的访问控制服务器(或acs)。已知将3-d安全协议用于在线交易，以允许持卡人在执行交易时当他们不物理存在于商家处时(即，针对无卡(card-not-present)交易)被认证。

与此相关，对于由消费者在商家处发起的无卡交易，从与商家相关联的mpi向目录服务器(例如，与支付网络等相关联)提供认证请求。进而，目录服务器将认证请求定向到与交易中使用的支付账户的发行方(例如，银行等)相关联的acs。acs例如经由智能电话与消费者通信，以请求个人识别号(pin)、生物特征、密码和/或一次性密码用于认证消费者。当通过认证后，确认答复被传递回mpi和目录服务器。然后，如通常那样，将答复编译为交易的授权请求，该授权请求从商家被发送到与商家相关联的收单方，并(经由支付网络)被发送给发行方以由发行方批准。3-d安全协议的示例性实现包括提供的securecode^tm服务。

另外，已知发行方或其它实体向用户提供基于网络的应用，由此，例如在认证之后，通过应用(通常经由计算设备)向用户提供对其账户的访问。可以通过使用生物特征信息或用户独有和/或已知的其它信息等对用户进行认证。

附图说明

本文描述的附图仅出于说明性目的用于所选择的实施例而不是所有可能的实施方式，并且不旨在限制本公开的范围：

图1图示了用于针对与网络交易相关的账户对用户进行认证并且包括本公开的一个或多个方面的示例性系统。

图2是可以在图1的系统中使用的示例性计算设备的框图；以及

图3是用于针对与至少一个网络交易相关的账户对用户进行认证的示例性方法，并且该示例性方法可以经由图1的系统来实现。

在附图的若干视图中，相应的附图标记指示相应的部分。

具体实施方式

现在将参考附图更全面地描述示例性实施例。本文包括的描述和具体示例仅用于说明的目的，并不旨在限制本公开的范围。

用户广泛使用支付账户来为商家的产品交易(例如，商品、服务等)提供资金。为避免与欺诈或其它未经授权的交易相关的问题，部分地，与支付账户相关联的发行方和/或与处理交易相关联的支付网络施加某些认证技术，以确保用户被授权向支付账户发起交易(例如，经由3-d安全协议等)。这种认证技术一般而言涉及对用户的认证，例如经由个人识别(pin)、生物特征的比较、密码的确认和/或一次性密码的确认等。另外，发行方、政府或其它实体可以通过应用、网站等形式(广泛地说是基于网络的应用)为支付账户的用户提供服务，从而在用于通过认证之后允许用户通过应用、网站等访问其账户的账户详细信息、更改账户设置、申请账户等。

唯一地，本文的系统和方法利用用户的先前(prior)认证(例如，经由诸如虚拟钱包等之类的基于网络的应用)来结合先前认证和/或针对用户发起的某些交易(例如，无卡交易等)提供对相同用户的增强认证。特别地，在本文中，当用户与和访问与该用户相关联的支付账户相关的由账户发行方、政府或其它实体供应或代表其的一个或多个应用、网站等进行交互时，该用户可以在访问支付账户的账户详细信息之前或以其它方式使用应用、网站等之前需要被认证。认证可以是例如生物特征认证或本文所述的其它认证。在片刻之内、或稍后、或在完成这种认证的另一个时间间隔内，消费者可以发起与商家的交易，该交易将由支付账户提供资金(其中支付账户也在增强型认证中注册)。作为响应，与商家相关联的商家服务器插件(mpi)最初通过目录服务器寻求对用户的认证。作为响应，代替将认证请求路由到与支付账户的发行方相关联的访问控制服务器(acs)，目录服务器识别先前认证并将认证评估请求直接发送到发行方、政府或与支付账户关联的其它实体。取决于发行方(或政府或其它实体)或代表发行方(或政府或其它实体)在应用、网站等上对用户的之前最后或最近的认证，发行方(或政府或其它实体)可以向目录服务器确认认证，从而允许交易避免与acs进行重复认证。以这种方式，目录服务器直接与发行方合作以利用用户的先前认证(可能涉及acs)，以避免在后续交易中对用户进行重复认证。照此，提供了更高效和更及时的认证处理，它不同于常规的认证(包括经由3-d安全协议的常规认证)并减少了用户的购买体验的不便和/或中断。此外，例如，可以在不为发行方和/或acs向目录服务器、相关联的支付网络等透露任何特定于用户的信息的情况下，在为用户保留个人识别信息的同时完成该操作。

图1图示了示例性系统100，该示例性系统100用于实现可以被用于与消费者102进行的交易相关的对消费者102(广泛地说是用户)的增强型认证的处理，并且该处理与例如3-d安全协议一致。但是，应当认识到的是，由于本文一般通过参考3-d安全协议就可以容易地理解此类信息的完整详细公开，因此在本文并未讨论3-d安全协议的所有细节。此外，图示的系统100包括通过在安全通信信道上(例如，如3-d安全协议等中所定义的)交换多个具体格式化的消息而彼此交互的多个实体。

在所示的实施例中，消费者102与支付账户相关联。支付账户由发行方104发行给消费者102，并且可由消费者102用来为与一个或多个商家(例如，商家106等)的购买交易提供资金。消费者102还与计算设备108相关联。计算设备108可以包括例如平板电脑、智能电话、膝上型计算机、台式机或其它设备，该计算设备108使得消费者102能够(例如，经由商家106提供的网站和/或基于网络的应用等)与包括商家106的一个或多个商家进行交互和/或通信。下面参考图2更全面地描述在本文识别出的计算设备108和其它计算设备(例如，服务器等)的细节。虽然仅图示了一个计算设备108，但是应当理解的是，消费者102可以与多个这样的计算设备(包括例如计算设备108、智能电话、平板电脑、膝上型计算机等)相关联。

继续参考图1，商家106包括具有可由消费者102经由计算设备108访问的虚拟商家位置(诸如例如网站、应用或其它基于网络的应用等)的虚拟商家。商家的虚拟位置可以由商家106直接管理和/或提供，或者可以由一个或多个其它实体代表商家106托管和/或提供等。

一般而言，在系统100中，当消费者102经由计算设备108与商家106的虚拟位置进行交互时，如图1中的路径a所示，消费者102可以能够浏览由商家106供应出售的不同产品(例如，商品、服务等)，并选择购买一种或多种产品(例如，与无卡交易等相关)。与此相关，一旦选择了期望的(一个或多个)产品，消费者102就可以选择输入以在商家的虚拟位置结账。响应于结账的输入，商家106一般被配置为收集必要的和/或期望的信息(诸如例如消费者的姓名、账单地址、送货地址、他/她的支付账户的支付账户凭证等)，或者(基于消费者102和商家106之间的(一个或多个)先前交互)从与消费者102相关联的简档中全部或部分地检索这些信息。

进而，商家106将为消费者102收集的信息传递给与商家106相关联的商家服务器插件(mpi)110，以初始地认证消费者102。mpi110一般包括在商家106处执行的软件模块。mpi110响应于从商家106接收到各种消费者信息而被配置为编译用于交易的认证请求(或经验证的注册请求(verifiedenrollmentrequest)，在本文中称为“vereq”)，并将vereq沿着路径b发送到目录服务器112。在从mpi110接收到vereq后，目录服务器112被配置为确定是否为增强型认证服务等注册了消费者的支付账户。例如，目录服务器112可以被配置为识别vereq中包括的支付账户凭证并基于一系列凭证或凭证的一系列银行识别号(bin)或主要账号(pan)等来确定消费者的支付账户是否在增强型认证服务中注册。然后，在这个示例性实施例中，目录服务器112被配置为当支付账户(和发行方104)已在增强型认证服务中注册时将认证断言(assertion)请求直接发送到消费者的支付账户的发行方104(与发行方104相关联的访问控制服务器(acs)114相反)，以确定消费者102(和/或消费者的支付账户)是否与发行方104可以知道的任何先前成功认证相关联(为了绕过这种向acs114的认证的常规流程)。由目录服务器112沿着图1中的路径c发送该认证断言请求。

此外，在系统100中，或者可替代地，在从mpi110接收到对于交易的vereq后，目录服务器112可以被配置为确定该交易是否是无卡类型的交易，或者与该交易相关联的其它参数(例如，金额、商家等)。目录服务器112可以被配置为在向发行方104发送或不发送认证断言请求时依赖于这样的附加信息(以及该信息满足或不满足的具体条件)。

在任何情况下，在从目录服务器112接收到认证断言请求后，发行方104被配置为再次基于发布者104知道的任何先前认证和/或一个或多个其它参数(例如，与先前认证相关联的时间参数、与先前认证中的个人相关联的识别参数等)来确定消费者102是否有资格进行认证断言。具体而言，当消费者102已经针对与发行方104相关联的应用(例如，虚拟钱包应用等)被认证时(即，先前认证)，发行方104可以被配置为基于消费者102针对发行方应用的先前认证并且潜在地当先前认证位于最后十分钟、十五分钟、三十分钟、少一个或多个(oneormoreless)或者更多或更少时间内(广泛地说是在既定的(defined)间隔或持续时间内)时(响应于来自目录服务器112的认证断言请求)确认对消费者102的认证。此外，发行方104可以被配置为进一步依赖于当前交易(例如，交易的金额等)的先前认证的一个或多个其它条件(例如，认证的形式、认证的强度等)，或消费者的支付账户的一个或多个其它条件(例如，先前是否已经对该支付账户进行过可疑交易等)等，以确定消费者102是否有资格进行认证断言。应当认识到的是，先前认证可以是特定于消费者的支付账户的(无论该先前认证是针对消费者102还是针对支付账户的另一个授权用户)，或者它可以特定于消费者102(例如，特定于消费者102对其在给定交易中使用的他/她的支付账户进行认证(并且即使授权使用该支付账户，也没有其他人)，或者它可以与之前简单地以任何方式经过认证的消费者102相关和/或一般而言与任何支付账户相关并且其认证对于发行方104和/或acs114是已知的(例如，取决于发行方104和/或acs114所采用的风险模型等)。在一个示例中，先前认证可以包括用户经由发行方104提供的移动银行应用成功访问(例如，登录等)他/她的支付账户，以检查他/她的主要支票账户的余额。

然后在系统100中，当发行方104确定消费者102有资格进行认证断言时，发行方104被配置为响应于认证断言请求而反向沿着图1中的路径c向目录服务器112提供确认(或认证断言)。该确认可以包括各种信息，包括例如用于认证请求的账户持有者认证值(aav)。除了消费者102是否有资格进行认证断言之外，发行方104还可以被配置为再次潜在地沿着路径c基于先前认证(例如，如果先前认证是欺诈性的，或者看起来是欺诈性的等)和/或一个或多个条件向目录服务器112直接提供用于底层交易的拒绝指令(由此拒绝指令然后可以由目录服务器112经由mpi110传送给商家106，使得交易可以被暂停和/或终止)。

响应于来自发行方104的确认，目录服务器112(例如，与目录服务器112相关联的aav生成器(或附加功能)等)被配置为反向沿着路径b向mpi110提供(例如，包括aav等的)确认(由此在授权流中创建特殊aav，以使发行方104知道断言了对消费者102的认证)。此后，在从mpi110接收到确认后，商家106被配置为针对给定交易(包括从发行方104接收到的aav或其它确认)编译授权消息(即，授权请求)并向与商家106相关联的收单方116发送该授权消息。收单方116进而通过与消费者的支付账户相关联的支付网络118(经由网络120)与发行方104传送授权消息，以用于交易的授权。然后，发行方104确定消费者的支付账户是否信誉良好，以及是否有足够的信用/资金来完成与该支付账户相关联的交易。此外，发行方104被配置为验证被包括在授权消息中的aav或其它确认(如通过目录服务器112和mpi110所提供的)。如果发行方104批准/接受交易，那么另一个授权消息(即，授权答复)被提供回商家106以对交易进行授权。交易随后由商家106和收单方116并在其之间(根据结算安排等)进行清算和结算，以及由收单方116和发行方104并在其之间(根据另一个结算安排等)进行清算和结算。

相反，当发行方104不提供确认时(即，当消费者102没有资格进行认证断言时)，目录服务器112被配置为沿着图1中的路径d通过与发行方104相关联的acs114(其中acs114代表发行方104或可能作为发行方104的代理进行操作，假设发行方104已在acs服务中注册)以常规方式(例如，根据3-d安全协议等)寻求对消费者102的认证。与此相关的是，目录服务器112联系acs114，并且acs114例如通过首先用acs114(用于期望的认证服务)验证消费者的支付账户和/或发行方104的注册来执行认证，并且当这种注册得到验证时，然后通过对消费者102进行认证来执行认证。结合后面的内容，acs114被配置为通过目录服务器112和mpi110将网络地址(例如，url等)提供回商家106的虚拟位置。然后，商家106进而呼叫网络地址。如图1中的路径e所指示的，这允许acs114经由消费者的计算设备108与消费者102进行交互。作为交互的一部分，acs114可以从消费者102征求适于认证消费者102的pin、生物特征或其它信息。在消费者认证之后，acs114以确认(例如，aav等)来响应mpi110，或者当消费者认证失败时，acs114以另一个消息来响应mpi110。此后，mpi110和商家106如上所述继续(例如，利用针对交易的授权消息等)。

虽然系统100仅包括一个消费者102、一个发行方104、一个商家106、一个mpi110、一个目录服务器112、一个acs114、一个收单方116和一个支付网络118，但是应当认识到的是，不同数量的这些实体可以被包括在其它系统实施例中。此外，虽然为了便于参考在本文参考发行方104来进行描述，但是应当认识到的是，可以包括政府实体或其它实体来代替发行方104和/或作为发行方104的补充(和/或与发行方104相关联)，以至少部分地与发行方104一致地进行操作。例如，政府实体(未示出)可以包括发行方104的位置和/或与发行方104的关联等。例如，在印度，公民的aadhaar号码可以链接到他/她的一个或多个支付账号。照此，结合商家处的交易(例如，对于无卡交易等)，基于本公开的对印度公民的认证可以使用印度公民的支付账号作为基础(或作为链接)以查看印度公民最近是否已使用其aadhaar号码进行了认证。如果是这样，那么发行方104/政府实体可以向目录服务器112提供针对印度公民的断言确认(如上所述)。在另一个示例中，政府实体可以捕获对消费者102和其他用户的认证(作为先前认证)，并将该信息中继到发行方104，从而允许(或依赖)发行方104响应基于先前认证的上述认证断言请求。在又一个示例中，政府实体可以是来自目录服务器112的认证断言请求的接收方，并且可以负责以与上面参考发行方104描述的方式类似的方式对其进行响应。

如图1中所示，系统100还包括网络120。发行方104、商家106、消费者的计算设备108、mpi110、目录服务器112、acs114、收单方116和支付网络118中的每一个与网络120耦合和/或通信以提供之间的通信。网络120可以包括但不限于局域网(lan)、广域网(wan)(例如，互联网等)、移动网络、虚拟网络和/或另一种能够支持图1所示的两个或更多个部分之间的通信的合适的公共和/或专用网络、或它们的任何组合。例如，网络120可以包括多个不同的网络，诸如可由mpi110、目录服务器112和acs114访问的私人支付交易网络，以及单独地由计算设备108、发行方104和acs114等所期望的可访问的公共互联网。

在对系统100的以上描述中，结合确定消费者102是否有资格进行认证断言，目录服务器112将认证断言请求发送给发行方104(由此，发行方104然后确定消费者102是否有资格进行认证断言)。可替代地，目录服务器112可以将认证断言请求发送到acs114，其中acs114被配置为然后如上面所描述的那样(例如，代替发行方104、作为发行方104的代理等)进行操作，以确定消费者102是否有资格进行认证断言。在两种情况下，在对消费者102进行认证(例如，验证消费者的支付账户的注册用于增强型认证并对消费者102进行认证等)中常规执行的两个循环(cycle)被组合成单个操作，其中目录服务器112将认证断言请求发送到发行方104或acs114(在其中发行方104和/或acs114以对应的确认或不以对应的确认(而不仅仅是注册结果)来做出响应)。此外，在两种情况下，目录服务器112发送认证断言请求，从而可以使用对消费者102和/或消费者的支付账户的各种先前成功的认证来随后结合以后的交易来认证消费者102。在此，目录服务器112例如可以利用消费者102的先前成功的认证来减少与在以后的无卡交易中后续认证消费者102相关联的摩擦。

图2图示了示例性计算设备200，该示例性计算设备200可以包括例如一个或多个服务器、工作站、个人计算机、膝上型计算机、平板电脑、智能电话、其它合适的计算设备。此外，计算设备200可以包括单个计算设备，或者它可以包括非常接近定位的多个计算设备，或者分布在地理区域上的多个计算设备，只要计算设备被具体配置为如本文所述起作用即可。在系统100中，发行方104、商家106、mpi110、目录服务器112、acs114、收单方116和支付网络118可以被理解为与全部或部分地与计算设备200一致的计算设备(由此，例如，对应的计算设备200中包括的处理器通过可执行指令被具体配置为如针对系统100的给定部分所描述的那样进行操作)。此外，与消费者102相关联的计算设备108可以被理解为与计算设备200一致。这样，由于可以使用不同的计算设备和/或计算设备的布置，因此系统100不应当被视为限于如下所述的计算设备200。此外，可以在其它计算设备中使用不同的组件和/或组件的布置。

参考图2，示例性计算设备200包括处理器202和耦合到处理器202(并与其通信)的存储器204。处理器202可以包括一个或多个处理单元(例如，在多核配置中等)。例如，处理器202可以包括但不限于中央处理单元(cpu)、微控制器、精简指令集计算机(risc)处理器、专用集成电路(asic)、可编程逻辑器件(pld)、门阵列和/或能够执行本文描述的功能的任何其它电路或处理器。

如本文所述，存储器204是允许数据、指令等存储在其中并从中检索的一个或多个设备。存储器204可以包括一个或多个计算机可读存储介质，诸如但不限于动态随机存取存储器(dram)、静态随机存取存储器(sram)、只读存储器(rom)、可擦除可编程只读存储器(eprom)、固态设备、闪存驱动器、cd-rom、拇指驱动器、软盘、磁带、硬盘和/或任何其它类型的易失性或非易失性的物理或有形的计算机可读介质。存储器204可以被配置为存储但不限于交易数据、认证请求、授权消息、确认、aav、认证记录、支付账户凭证(包括pan、令牌等)和/或如本文所述的适于使用的其它类型的数据(和/或数据结构)。此外，在各种实施例中，计算机可执行指令可以存储在存储器204中以供处理器202执行，以使处理器202执行本文描述的一个或多个功能，使得存储器204是物理的、有形的和非瞬态计算机可读存储介质。此类指令常常提高处理器202和/或其它计算机系统组件的效率和/或性能，其中处理器202和/或其它计算机系统组件被配置为执行本文的各种操作中的一个或多个。应当认识到的是，存储器204可以包括各种不同的存储器，每个存储器在本文描述的一个或多个功能或处理中实现。

在示例性实施例中，计算设备200还包括输出设备206，该输出设备206耦合到处理器202(并与之通信)。输出设备206在视觉上例如向计算设备200的用户(诸如消费者102)或与图1中所示的任何实体相关联的另一个用户等输出信息，诸如认证请求、质询问题等。输出设备206可以包括但不限于液晶显示器(lcd)、发光二极管(led)显示器、有机led(oled)显示器、“电子墨水”显示器、扬声器等。在一些实施例中，输出设备206可以包括多个设备。

此外，计算设备200包括输入设备208，该输入设备208从用户接收输入(即，用户输入)，诸如例如对认证请求的响应、质询问题和/或对其的响应、支付账户凭证等。输入设备208可以包括单个输入设备或多个输入设备。输入设备208耦合到处理器202(并且与之通信)，并且可以例如包括以下中的一个或多个：键盘、定点设备、鼠标、触敏面板(例如，触摸板或触摸屏等)、另一个计算设备和/或音频输入设备。另外，在各种示例性实施例中，触摸屏(诸如被包括在平板电脑、智能电话或类似设备中的触摸屏)可以既充当输出设备206又充当输入设备208。

另外，图示的计算设备200包括耦合到处理器202和存储器204(并与之通信)的网络接口210。网络接口210可以包括但不限于有线网络适配器、无线网络适配器、移动网络适配器或能够与一个或多个不同网络通信的其它设备。

图3图示了用于至少基于对用户和/或账户的先前认证来针对与网络交易相关的账户对用户进行认证的示例性方法300。(参考图1)描述了通常在系统100的mpi110、目录服务器112、发行方104和acs114中实现的示例性方法300，并且其中进一步参考了计算设备200。但是，如应当认识到的，本文中的方法不应当被理解为限于示例性系统100或示例性计算设备200，并且本文中的系统和计算设备不应当被理解为限于示例性方法300。

此外，在这个示例中，消费者102与安装在计算设备108处的基于网络的应用相关联，其中基于网络的应用由发行方104(或另一个实体)提供。具体而言，例如，发行方104可以提供金融应用(例如，移动银行应用、虚拟钱包应用、银行网站等)，由此在每次访问和/或使用应用时(例如，用于访问诸如余额之类的账户信息、用于发起支付账户交易等)时要求和/或提示消费者102向应用(例如，经由指纹、pin等)认证他/她自己。因而，因为金融应用与发行方104相关联和/或由发行方104提供，所以发行方104一般知道消费者102何时请求访问该应用并且消费者102已经被认证(或未被认证)。而且，在这个示例中，在上述商家106处的示例性购买开始之前，消费者102已经在金融应用中被认证了大约四分钟。特别地，如上所述，当消费者102决定购买(一个或多个)产品时，消费者102正在与商家106相关联的虚拟位置(例如，商家网站等)购物，其中该购买由发行方104发行的消费者支付账户提供资金。照此，消费者102在商家106处请求购买，并以上述方式提供与他/她的支付账户相关联的(一个或多个)支付账户凭证。

响应于消费者102的用于购买(一个或多个)给定产品的输入，在商家的虚拟位置处，商家106向mpi110提供用于消费者的支付账户的支付账户凭证(例如，如从消费者102或经由消费者102的虚拟钱包应用等接收的)以及与交易相关联的进一步信息(例如，交易金额、产品描述等)(如以上在系统100中大体描述的)。mpi110然后在302处编译对于交易的vereq并将vereq发送到目录服务器112，以确定消费者的支付账户是否在增强型认证服务(例如，与3-d安全协议等一致的增强型认证服务)中注册，以及是否对用户进行了认证。与此相关，vereq可以被加密签名并且可以包括例如从商家106接收的关于消费者102和/或底层交易的信息(例如，消费者的支付账户的支付账户凭证，诸如，账号等；与交易相关联的信息，诸如交易金额、关于商家106的信息等；等等)。

进而在方法300中，目录服务器112最初在304处确定消费者的支付账户是否已在增强型认证服务中注册。具体而言，不同的发行方可以向消费者供应不同的服务，其中这些服务与发行给消费者的账户相关联。为了应用适用的服务，可以将账户组织成账户范围(例如，通过bin或pan等)，其中将某些账户范围注册在某些服务中。在此，发行方104已经为消费者102的支付账户向该消费者指派了账号，该账号在与增强型认证服务相关联的范围内。照此，在这个示例中，目录服务器112基于其中包括用于消费者的支付账户的bin的账户范围，确定与消费者的支付账户相关联的bin已在增强型认证服务中注册。

此后，当为增强型认证服务注册账户时，目录服务器112在306处确定消费者102和/或消费者的支付账户是否可用于本文所述的增强型认证。与此相关，目录服务器112在308处向发行方104发送认证断言请求。认证断言请求可以全部或部分地包括例如vereq及其相关联内容，以及是否包括附加信息。在接收后，发行方104在310处至少部分地基于在当前时间的既定间隔内发生的对消费者102的先前认证来确定消费者102是否有资格进行认证断言(如本文中大体描述的)。既定间隔可以是五分钟、十五分钟、二十分钟、三十分钟、一小时或者更多或更少等。在这个示例中，既定间隔是十五分钟。照此，考虑到消费者102先前已经在发起当前交易之前约四分钟被发行方104认证，与消费者102访问由发行方104提供并安装在消费者计算设备108处的金融应用相关，发行方104确定消费者102有资格进行认证断言，因为在即时交易之前大约四分钟的先前认证在十五分钟的既定间隔内。

发行方104可以用来确定消费者102是否有资格进行认证断言的其它参数和/或条件可以包括例如先前认证的强度和/或类型(例如，生物特征认证、一次性密码认证、密码认证、pin认证等)(如通常按强度次序所提供的)、交易的金额、交易中涉及的商家106、对消费者账户的先前可疑交易等。一般而言，例如，以上的组合可以被用于改变发行方之间的认证要求。例如，一个发行方可以要求在最后一天内进行生物特征认证。而其它发行方可以要求在最近两三天内进行密码或口令认证。还有其它发行方可以在三天内要求生物特征，或在六小时内要求密码。应当认识到的是，对于消费者102是否有资格进行认证断言的确定可以基于与交易、先前认证、账户等相关联的任何合适的(一个或多个)参数或(一个或多个)条件。

当发行方104确定消费者102有资格进行认证断言时，发行方104在312处对消费者102进行认证，并且在314将认证断言(或确认)提供给目录服务器112。认证断言将包括特定于交易的信息，但缺少与消费者102相关的个人识别信息。在此，在其它实施例中，认证断言被提供为aav(这是目录服务器112无法解密或解释的加密的值)，但是可以包括其它信息或代码等。进而，目录服务器112在316处向mpi110提供认证确认。认证确认包括与执行消费者102和/或消费者的支付账户的增强型认证相关的从发行方104接收的aav(或其它合适的信息)。

但是，当发行方104确定消费者102没有资格进行认证断言时(在310处)，发行方104代替地在318处向目录服务器112提供指令，指示没有断言可用于消费者102，并且寻求消费者102和/或消费者的支付账户的常规认证(如图3中的aa线所指示的)。与此相关，目录服务器112在320处联系acs114，并且acs114执行认证。例如，acs114初始地在322处用acs114验证发行方104和/或消费者的支付账户的注册(用于期望的认证服务)。然后，当这种注册被验证时，acs114在324处对消费者102进行认证。与后面的内容相关，acs114通过目录服务器112和mpi110将网络地址(例如，url等)提供回商家106的虚拟位置。然后，商家106进而调用网络地址。这允许acs114经由消费者的计算设备108与消费者102进行交互，从而acs114可以从消费者102征求适于认证消费者102的个人识别号(pin)、生物特征或其它信息(以例如验证被包括在acs114中或在支付网络118等处的参考数据)。在消费者认证后，acs114在326处以确认(例如，aav等)对mpi110做出响应，或者当消费者认证失败时(例如，尽管在故障下的确认、故障指示、未经认证的响应等)，acs114以另一个消息对mpi110做出响应。

然后，在方法300中，无论是从发行方104还是从acs114提供认证确认，商家106都对交易的授权请求进行编译，并将其提交以供发行方104批准，如上文在系统100中所述。

可选地，如在图3中的线bb下方所指示的，发行方104在(310处)确定消费者是否有资格进行认证断言时可以确定应当彻底拒绝交易(无需进一步尝试通过acs114对消费者102进行认证)。例如，交易中使用的支付卡可以与已经被报告丢失或被盗(广泛地说是基于欺诈状况)的支付卡的支付账户相关联，于是发行方104可以决定拒绝对于该支付账户的所有交易。另外，发行方104可以采用一个或多个风险因素来确定交易应当被拒绝，诸如例如与交易金额相关联的因素、针对支付账户存在可疑支出模式、与支付账户相关联的快速攻击等。在这种情况下，发行方104在328处向目录服务器112提供拒绝指令。作为响应，目录服务器112在330处将用于交易的拒绝指令提供给mpi110(和商家106，然后商家106可以拒绝与消费者102的交易)。

鉴于以上内容，本文的系统和方法允许基于账户的发行方所拥有的信息针对账户对用户进行认证(并且在各种应用中，独立于由用户执行的请求这种认证的当前交易)。具体而言，发行方常常采用与授权消费者在线或经由基于网络的应用等访问其账户相关的一种或多种认证技术。此外，例如，与其它认证服务(例如，涉及由消费者执行的交易等)相关，发行方使用其它实体(诸如acs)对消费者进行认证。如可以认识到的，这常常引起消费者的冗余的和/或不必要的认证。如本文所述，为了减轻这种重复性，认证断言请求被用于捕获发行方的先前认证，并在随后的增强认证服务的情境中利用这种先前认证，代替像常规的那样通过对应的acs来路由附加认证。以这种方式，修改消费者认证的常规流程，使得可以减少消费者与欺诈预防和其它服务的摩擦，同时仍提供进一步认证所基于的服务。如可以认识到的，这可以允许并实际上提供所涉及的支付网络和/或其它系统的效率提升，并由此提供对消费者的更迅速的认证(但不牺牲安全性)。

再次并且如前所述，应当认识到的是，在一些实施例中，本文描述的功能可以在存储在计算机可读介质上并且可由一个或多个处理器执行的计算机可执行指令中描述。计算机可读介质是非瞬态计算机可读存储介质。作为示例而非限制，这种计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储装置、磁盘存储装置或其它磁性存储设备、或者可以用于以指令或数据结构的形式携带或存储期望程序代码并且可以由计算机访问的任何其它介质。上述的组合也应当被包括在计算机可读介质的范围内。

还应当认识到的是，当被配置为执行本文描述的功能、方法和/或处理时，本公开的一个或多个方面将通用计算设备变换为专用计算设备。

如基于前述说明书将认识到的，可以使用计算机编程或工程技术(包括计算机软件、固件、硬件或其任意组合或子集)来实现本公开的上述实施例，其中技术效果可以通过执行以下操作中的至少一个来实现：(a)在目录服务器处从商家服务器插件(mpi)接收与交易相关联的认证请求，该认证请求包括与账户相关联的支付账户凭证；(b)由目录服务器向除了与账户的发行方相关联的访问控制服务器(acs)以外的与账户相关联的实体发送认证断言请求；(c)当与账户相关联的实体基于用户的先前认证为交易提供认证断言时，响应于认证请求，由目录服务器向mpi提供认证确认，由此在不需要特定于交易的认证的情况下允许基于认证确认继续进行交易；(d)当实体提供寻求对用户的认证的指令或未能响应认证断言请求时，基于认证请求从acs寻求对用户的认证；(e)在计算设备处从目录服务器接收认证断言请求，该认证断言请求与消费者的账户相关联并在增强型认证服务中注册；(f)至少部分地基于消费者的先前认证来确定消费者是否有资格进行认证断言；(g)当消费者有资格进行认证断言时，向目录服务器提供针对该交易的认证断言，从而在不需要特定于该交易的认证的情况下允许针对在增强型认证服务中注册的账户的交易；以及(h)当消费者没有资格进行认证断言时，提供寻求对消费者的认证的指示。

提供示例性实施例使得本公开将是彻底的，并且将向本领域技术人员充分传达范围。阐述了许多具体细节，诸如具体组件、设备和方法的示例，以提供对本公开的实施例的透彻理解。对于本领域技术人员来说显而易见的是，不需要采用具体细节，示例实施例可以以许多不同的形式实施，并且两者都不应当被解释为限制本公开的范围。在一些示例实施例中，没有详细描述众所周知的处理、众所周知的设备结构和众所周知的技术。

本文使用的术语仅用于描述特定示例性实施例的目的，而不旨在限制。如本文所使用的，除非上下文另有明确指示，否则单数形式“一”、“一个”和“该”也可以旨在包括复数形式。术语“包含”、“包括”和“具有”是包含性的，因此指定所述特征、整数、步骤、操作、元素和/或组件的存在，但不排除存在或添加一个或多个其它特征、整数、步骤、操作、元素、组件和/或其组(group)。除非被特别识别为执行的次序，否则本文描述的方法步骤、处理和操作不应当被解释为必须要求它们以所讨论或示出的特定次序执行。还应当理解的是，可以采用附加的或替代的步骤。

当特征被称为“在另一个特征上”、“接合到另一个特征”、“连接到另一个特征”、“耦合到另一个特征”、“与另一个特征相关联”，“包括在另一个特征中”或“与另一个特征通信”时，它可以是直接在该另一个特征上、接合到该另一个特征、连接到该另一个特征、耦合到该另一个特征、与该另一个特征相关联、包括在该另一个特征中或与该另一个特征通信，或者可以存在中间特征。如本文所使用的，术语“和/或”包括一个或多个相关联的所列项的任何和所有组合。

虽然本文可以使用术语“第一”、“第二”、“第三”等来描述各种特征，但是这些特征不应当受这些术语的限制。这些术语可以仅用于区分一个特征与另一个特征。除非上下文明确指出，否则本文使用的诸如“第一”、“第二”和其它数字术语之类的术语不暗示顺序或次序。因此，在不脱离示例实施例的教导的情况下，本文讨论的第一特征可以被称为第二特征。

权利要求中所叙述的任何元素不旨在是在35u.s.c.§112(f)的意义上的装置加功能元素，除非使用短语“用于…的装置”或者在方法权利要求的情况下使用短语“用于…的操作”或“用于…的步骤”来明确叙述元素。

已经出于说明和描述的目的提供了示例性实施例的前述描述。其并非旨在是详尽的或限制本公开。特定实施例的各个元素或特征一般不限于该特定实施例，而是在适用的情况下是可互换的并且可以在所选的实施例中使用，即使没有具体示出或进行描述。这也可以以多种方式变化。不应将这些变化视为脱离本公开，并且所有这些修改都旨在被包括在本公开的范围内。