利用接近网络数据的欺骗性无线网络检测的制作方法
相关申请的交叉引用
无。
背景技术:
访问装置(例如,访问终端、钥匙卡扫描器、销售点系统、atm、自动燃油加油机)被各种机构广泛用于控制用户对资源的访问。一般来说,为了获得对由机构持有或控制的资源的访问,用户可以向访问装置提供认证信息(例如,凭证),以确定用户的身份。用户可以使用便携式交易装置(例如,钥匙卡、信用卡)向访问装置提供认证信息。例如,为了获得对存储在账户内的资金的访问,用户可以在访问装置处刷信用卡,从而使访问装置能够从信用卡读取认证信息(例如,信用卡号)。
反过来,访问装置可以使用所提供的认证信息代表用户向控制实体(例如,处理实体)请求访问(即,提出认证请求)。如果控制实体确定用户被授权访问资源,则准许用户访问资源。
由于访问装置在控制访问资源时所起的作用,访问装置通常成为欺骗性方案的目标。针对atm和销售点系统的一种欺骗性方案涉及将一个纤薄的电子“略读”装置(即,略读器(skimmer))实物安装在访问装置上。当访问装置上存在略读器时,略读器将在对着访问装置刷信用卡时从信用卡读取认证信息(例如,磁条数据),并存储认证信息以供诈骗者采集。此外,诈骗者在略读器中包括蓝牙或wi-fi发射器,使得他们可以与来自智能手机或笔记本电脑的略读器通信,同时隐藏不可见,这种情况越来越常见。由于略读器经常设计成模仿访问装置的外观,因此略读器可能长时间不被注意,从而使得许多信用卡账户遭到略读器损坏。
本发明的实施例解决这些和其他问题。
技术实现要素:
本发明的实施例涉及检测无线网络。更具体地说,本发明的实施例涉及基于接近提出授权请求消息的地理位置的无线网络处理授权请求消息的技术。作为说明,在本发明的一些实施例中,位于特定地理位置的访问装置可以由一个或多个用户使用以发起向处理实体发送授权请求消息。
处理实体可以维护通信装置和用户账户之间的映射。因此,在从用户接收到授权请求消息时,处理实体可以使用该映射来识别与消息相关联的通信装置。处理实体可以向已识别的通信装置发送对与接近通信装置的无线网络相关的信息(即,网络数据)的请求。通信装置可以用所请求的网络数据进行响应。
在接收到网络数据时,处理实体可以将网络数据和先前接收的与先前的授权请求消息关联的网络数据(即,先前网络数据)进行比较。如果处理实体确定网络数据和先前网络数据之间的差异超过阈值,处理实体可以发起与授权请求消息相关联的一个或多个动作。
在本发明的其他实施例中,用户可以使用通信装置使远程访问装置向处理实体发送授权请求消息。在接收到请求时,处理实体可以请求通信装置提供指示哪些无线网络接近通信装置的网络数据。作为响应,通信装置可以将网络数据发送到处理实体。
在接收到网络数据时,处理实体可以将网络数据和接收的与由通信装置经由相同或不同的远程访问装置发起的先前授权请求消息关联的先前网络数据进行比较。如果处理实体确定网络数据和先前网络数据之间的差异超过阈值,处理实体可以从通信装置请求附加认证信息。另一方面,如果差异不超过阈值,处理实体可以批准授权请求消息,而不请求附加认证信息。
一个实施例涉及一种方法。所述方法可以包括:由计算机从访问装置或通信装置接收交易中的授权请求消息;在所述交易期间由所述计算机基于接近所述访问装置或与所述访问装置交互的通信装置的一组无线网络获得网络数据;由所述计算机确定所述网络数据和先前网络数据之间的差异,其中所述先前网络数据基于在一个或多个先前交易期间接近所述访问装置或所述通信装置的一组或多组先前无线网络;以及响应于确定所述差异超过阈值,由所述计算机发起与所述交易相关联的一个或多个动作。
另一个实施例涉及一种方法。所述方法可以包括:由通信装置向访问装置传输一个或多个请求参数;由所述通信装置基于接近所述通信装置的一组无线网络从计算机接收对网络数据的请求;由所述通信装置检测接近所述通信装置的所述一组无线网络;基于接近所述通信装置的所述一组无线网络生成网络数据;以及由所述通信装置将所述网络数据传输到所述计算机。
下文详细地描述了本发明的这些和其它实施例。例如,实施例涉及与本文所描述的方法相关联的系统和计算机可读介质。
附图说明
图1示出了根据实施例的基于接近无线网络处理与访问装置相关联的授权请求消息的环境的高级框图。
图2示出了根据实施例的基于接近无线网络处理与通信装置相关联的授权请求消息的环境的高级框图。
图3示出了根据实施例的处理实体的框图。
图4示出了根据实施例的通信装置的框图。
图5-6示出了根据实施例的序列图,该序列图显示了基于接近无线网络处理特定于访问装置的授权请求消息的操作。
图7-8示出了根据实施例的序列图,该序列图显示了基于接近无线网络处理特定于通信装置的授权请求消息的操作。
图9显示了根据实施例的流程图,该流程图示出了基于接近无线网络处理授权请求消息的示范性方法。
术语
在论述特定实施例和示例之前,下文提供本文中所使用的术语的一些描述。
“服务器计算机”可包括可向其它计算机提供通信并从其它计算机接收通信的任何合适的计算机。服务器计算机可包含计算机或计算机的集群。例如,服务器计算机可以是大型主机、小型计算机集群或像一个单元一样工作的一组服务器。在一个实例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可耦连到数据库,且可包含用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其它逻辑,或前述内容的组合。服务器计算机可包括一个或多个计算设备,并可使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。例如计算机等部件之间的数据传递和其它通信可以经由任何合适的有线或无线网络(例如因特网或私用网络)进行。
“处理器”可在服务器计算机(或其它计算装置)内包含硬件,所述硬件执行体现为计算机可读介质中的代码的指令。示例性处理器可以是中央处理单元(cpu)。如本文所使用的,处理器可包含单核处理器、多个单核处理器、多核处理器、多个多核处理器或者被配置成执行计算装置的算术运算、逻辑运算和/或输入/输出操作的任何其它合适的硬件组合。
“通信装置”可以是可由用户运输和操作并且可以包括一个或多个电子部件(例如,集成芯片等)的通信装置。根据本发明的实施例的通信装置可以采用任何合适的形式,包含但不限于,移动电话(例如,智能电话、蜂窝电话等)、平板计算机、便携式媒体播放器、个人数字助理装置(pda)、可穿戴式通信装置(例如,手表、手环、眼镜等)、电子阅读器装置、膝上型计算机、上网本、超级本等。通信装置还可以采用配备有通信能力的车辆(例如,汽车)的形式。根据本发明的实施例的便携式通信装置可以被配置成通过远程通信技术和协议与诸如远程通信网关的外部实体进行通信。所述便携式通信装置还可以被配置成使用任何合适的短路或中程通信技术,包含蓝牙(经典和ble-低功耗蓝牙)、nfc(近场通信)、ir(红外线)、wi-fi等与例如访问装置的外部实体进行通信。
“便携式交易装置”可以是可用于进行交易的通信装置。便携式交易装置可以包含用于存储与用户账户相关联的凭证或令牌的存储技术(例如,电子存储器、磁条等)。便携式交易装置可以采用上文关于通信装置描述的任何形式,或者采用卡(例如,集成芯片卡、磁条卡)或挂件等形式。在一些实施例中,便携式交易装置和通信装置可以是相同装置,并且不需要是单独的装置。便携式交易装置的具体实例可以包含可穿戴式装置、支付卡(例如,信用卡、借记卡和预付卡)、具有远程通信能力的车辆等。
“访问装置”可以是用于提供对外部计算机系统的访问的任何合适的装置。访问装置可以呈任何合适的形式。访问装置的一些实例包含销售点(pos)装置、蜂窝式电话、pda、个人计算机(pc)、平板pc、手持式专用阅读器、机顶盒、电子收款机(ecr)、自动取款机(atm)、虚拟收款机(vcr)、查询一体机、安全系统、访问系统、网站等。访问装置可以使用任何合适的接触或非接触操作模式,以发送或接收来自通信装置或者与通信装置相关联的数据。在访问装置可包括pos终端的一些实施方案中,可以使用任何合适的pos终端,并且任何合适的pos终端可包含读取器、处理器和计算机可读介质。读取器可包含任何合适的接触式或非接触式操作模式。例如,示例性读卡器可以包括与通信装置交互的射频(rf)天线、光学扫描器、条形码读取器或磁条读取器。
“授权请求消息”可以是被发送以请求授权交易的电子消息。可以将授权请求消息发送到支付处理网络和/或支付卡的发行方。根据一些实施例的授权请求消息可遵守iso8583,iso8583是用于交换与用户使用支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可包含可以用于识别账户的信息。授权请求消息还可包括额外数据元素,例如服务代码、到期日期等等中的一个或多个。授权请求消息还可包括交易信息,例如与当前交易相关联的任何信息,例如交易金额、商家识别符、商家位置等等,以及可以用于确定是否识别和/或授权交易的任何其它信息。授权请求消息还可包含其它信息,例如识别产生授权请求消息的访问装置的信息、关于访问装置的位置的信息等等。
“授权响应消息”可以是授权请求消息的电子消息应答。授权响应消息可由发行金融机构或支付处理网络产生。授权响应消息可包含仅作为示例以下状态指示符中的一个或多个状态指示符:批准—交易被批准;拒绝—交易未被批准;或呼叫中心—挂起更多信息的响应,商家必须呼叫免费授权电话号码。授权响应消息还可包含授权代码,所述授权代码可以是信用卡发卡银行响应于电子消息中的授权请求消息(直接或者通过支付处理网络)返回给商家计算机的指示批准交易的代码。所述代码可充当授权的证据。
“凭证”可以是充当价值、拥有权、身份或授权的可靠证据的任何合适的信息。凭证可以是一串数字、字母或任何其它合适的字符,以及可以充当确认的任何对象或文档。凭证的示例包括价值凭证、身份证、认证文档、通行卡、密码和其它登录信息等等。
“价值凭证”可以是与价值相关联的信息。价值凭证的实例包含支付凭证、优惠券识别符、获得促销优惠所需的信息等。
“支付凭证”可包括可用于进行支付交易的任何合适的凭证。此类信息可以与账户直接有关,或可以源自与账户有关的信息。账户信息的实例可包含pan(主账号或“账号”)、用户名、到期日期、cvv(卡验证值)、dcvv(动态卡验证值)、cvv2(卡验证值2)、cvc3卡验证值等等。
“应用程序”可以是存储在计算机可读介质(例如,存储元件或安全元件)上的计算机代码或其它数据,所述计算机代码或其它数据可由处理器执行以完成任务。
“资源提供商”可以是可提供诸如商品、服务、信息和/或访问的资源的实体。资源提供商的实例包含商家(例如,超市)、例如政府部门、交通部门(例如,火车站)等数据提供商。“商家”通常可以是参与交易并且可出售商品或服务或提供对商品或服务的访问的实体。
“收单方”通常可以是与特定商家或其它实体具有业务关系的业务实体(例如,商业银行)。一些实体可执行发行方和收单方两者的功能。一些实施方案可涵盖此类单实体发行方-收单方。收单方可操作收单方计算机,其也可一般被称为“传送计算机”。
“授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文档存储库、访问管理员等等。授权实体可操作授权计算机。“发行方”可以指发行并任选地维护用户账户的商业实体(例如,银行)。发行方也可以向消费者发行存储在例如蜂窝电话、智能卡、平板电脑或笔记本电脑等用户装置上的支付凭证。
“账户标识符”可包括账户的标识符。账户识别符可包含与支付账户相关联的原始账户识别符。例如,真实账户识别符可以是由发行方针对卡账户(例如,信用卡、借记卡等)发行的主账号(pan)。举例来说,在一些实施例中,真实账户识别符可包含十六数位数值,例如“4147090000001234”。真实账户识别符的前六数位(例如,“414709”)可表示可以识别与真实账户识别符相关联的发行方的真实发行方识别符(bin)。
“密钥”可以指用在密码算法中以将输入数据变换成另一表示的一条信息。密码算法可以是将原始数据变换成替代表示的加密算法,或将加密信息变换回原始数据的解密算法。密码算法的实例可包含三重数据加密标准(tdes)、数据加密标准(des)、高级加密标准(aes)等。
“密码模式”可以包括密码安全数据。密码图案的示例可包含密码散列、加密数据等。
具体实施方式
本发明的实施例涉及检测无线网络。更具体地说,本发明的实施例涉及基于接近交易发起的地理位置的无线网络处理授权请求消息的技术。作为说明,在本发明的一些实施例中,位于特定地理位置的访问装置可以由一个或多个用户使用以向处理实体提出认证请求。例如,机构的员工可以(例如,通过扫描钥匙卡)与建筑物的访问终端进行物理交互,以提出进入建筑物的授权请求,其中访问终端将授权请求消息发送到机构的内部服务器。
处理实体可以维护(便携式)通信装置和用户账户之间的映射。因此,在从用户接收到授权请求消息时,处理实体可以使用该映射来识别与消息相关联的通信装置。处理实体可以向已识别的通信装置发送对与接近通信装置的无线网络相关的信息(即,网络数据)的请求。通信装置可以用所请求的网络数据进行响应。
例如,服务器可以维护数据库,该数据库将每个员工标识符(id)与员工的手机号码进行映射。当服务器从员工接收进入建筑物的授权请求消息时,服务器可以向员工的智能手机请求指示智能手机检测到哪些wi-fi网络或蓝牙网络的网络数据。假设员工在提出授权请求时正携带着智能手机,则足够接近以由智能手机检测到的任何无线网络都应接近访问装置。结果,智能手机采集、生成网络数据和/或将网络数据发送到服务器,该网络数据指示哪些无线网络接近智能手机。在此示例中,网络数据可以指示三个无线网络接近智能手机:机构的内部wi-fi网络、机构的客户wi-fi网络以及未识别的自组织wi-fi网络(ad-hocwi-finetwork)。
在接收到网络数据时,处理实体可以将网络数据和先前接收的与先前的授权请求消息关联的网络数据(即,先前网络数据)进行比较。如果处理实体确定网络数据和先前网络数据之间的差异超过阈值,处理实体可以发起与授权请求消息相关联的一个或多个动作。
例如,在从员工的智能手机接收到网络数据时,服务器可以检索记录的与以往其他员工进入建筑的认证请求关联的先前网络数据。先前网络数据可以指示在提出以往认证请求时只有两个无线网络接近其他员工的智能手机:机构的内部wi-fi网络和机构的客户wi-fi网络。因此,通过将网络数据与先前网络数据进行比较,服务器可以确定未识别的自组织wi-fi网络的出现可能需要调查,以确定自组织wi-fi网络是否是(例如,通过使用略读器)窃取凭证和提供给访问装置的其他认证信息的欺骗性无线网络。
在本发明的其他实施例中,用户可以使用通信装置使远程访问装置向处理实体发送授权请求消息。在接收到请求时,处理实体可以请求通信装置提供指示哪些无线网络接近通信装置的网络数据。作为响应,通信装置可以将所请求的网络数据发送到处理实体。
例如,机构的员工可以使用智能手机请求访问机构的虚拟专用网络(vpn),其中智能手机可以使授权请求消息发送至机构的内部服务器。使用员工id和员工手机号码之间的映射,服务器可以向员工的智能手机请求指示智能手机检测到哪些wi-fi网络或蓝牙网络的网络数据。在本示例中,智能手机提供的网络数据可以指示四个接近智能手机的无线网络:咖啡店的wi-fi网络以及属于咖啡店其他顾客的三个蓝牙网络。
在接收到网络数据时,处理实体可以将网络数据和接收的与由通信装置经由相同或不同的远程访问装置发起的先前授权请求关联的先前网络数据进行比较。如果处理实体确定网络数据和先前网络数据之间的差异超过阈值,处理实体可以从通信装置请求附加认证信息。另一方面,如果差异不超过阈值,处理实体可以批准授权请求,而不请求附加认证信息。
例如,在接收到网络数据时,服务器可以检索记录的与相同智能手机的以往vpn访问请求关联的先前网络数据。先前网络数据可以指示在提出以往vpn访问请求时,只有一个无线网络,即,员工的家庭wi-fi网络,接近智能手机。因此,通过将网络数据与先前网络数据进行比较,服务器可以确定当前的vpn访问请求是从未识别的位置提出的。因此,服务器可以向员工请求附加认证信息(例如,pin、密码、一个或多个挑战问题的答案),以确保请求真实。
继续上述示例,在随后的vpn访问请求中,智能手机可以提供这样的网络数据(即后续网络数据),其指示有两个无线网络,即,员工的家庭wi-fi网络和未识别的蓝牙网络,接近智能手机。此时,随后网络数据和先前网络数据之间的差异可能不超过阈值,因为在随后网络数据和先前网络数据中都找到了员工的家庭wi-fi网络。结果,服务器可以允许智能手机访问vpn,而不向员工请求附加认证信息。
从上述示例可见,某些实施例可以提供以下优势。一些实施例可以使机构能够检测和跟踪正在使用欺骗性无线网络以便与安装在访问装置上的略读器通信从而窃取认证数据的诈骗者。
一些实施例可以允许用户在具有由处理实体识别的无线网络存在的位置中发起在线交易时绕过提供附加认证信息的步骤。在这样做时,可以为用户简化进行交易的过程。这可能对于习惯性地从相同的几个地方(例如从用户的家里或办公室)发起在线交易的用户而言尤为有益。
i.基于接近无线网络处理交易的系统
在图1中可以看到基于接近接入点的无线网络处理特定于接入点的交易的示范性系统100。系统100包括通信装置102、访问装置104、授权实体106、处理实体108、报告服务110、用户112以及通信网络120。系统100还包括围绕通信装置102的地理检测区域150,其包括访问装置104、用户112、所识别的无线网络130-134以及未识别的无线网络140。
图1显示了携带通信装置102的用户112,其与访问装置104物理交互以执行交易,例如,请求访问由授权实体106持有和/或控制的资源。
通信装置102和访问装置104可以通信地耦合到通信网络120。通信网络120可以是任何类型,并且可以包括一个或多个通信网络。通信网络120的示例包括但不限于因特网、广域网(wan)、局域网(lan)、以太网、公用或专用网络、有线网络、无线网络等等,和其组合。可使用不同的通信协议来促进通信,所述通信协议包含有线和无线协议,例如,ieee802.xx协议套件、tcp/ip、ipx、san、appletalk、蓝牙,和其它协议。一般来说,通信网络120可以包括促进计算装置之间通信的任何通信网络或基础设施。
检测区域150可对应于通信装置102的无线网络检测范围,并且可以涵盖用户112、通信装置102、访问装置104以及无线网络130-134和140。具体地说,用户112自身可以携带通信装置102,并且可以在访问装置104的伸手可及的范围内,而无线网络130-134和140可以位于更远处但仍在检测区域150内。
一般来说,无线网络130-134和140可以是基于通信装置使用的任何短距离或中等距离无线通信协议的网络,以通过包括但不限于wi-fi(ieee802.11系列标准)、蓝牙等的无线方式传输和接收数据。此类无线网络可以对应于基础架构网络(包括路由器、接入点或其他无线网络基础设施的无线网络)或自组织网络(不包括路由器或接入点的无线网络)。例如,所识别的无线网络130-134各自可以对应于已经被配置成提供wi-fi局域网(wlan)的路由器或接入点。未识别的无线网络140可以对应于已被配置成提供自组织wlan或个人区域网络(pan)的便携式计算装置。在一些实施例中,无线网络130-134和140可以基于较长距离无线通信协议,包括但不限于3g、4g、edge等等。
用户112可以与访问装置104物理交互,以使访问装置104通过通信网络120向处理实体108发送授权请求消息。授权请求消息可以包括由用户112提供给访问装置104的授权信息(例如凭证)。基于授权请求消息中包含的认证信息,处理实体108可以确定授权实体106是否应授权用户112访问所请求的资源。作为示例,资源可以是实体建筑物、计算机账户或文件或支付账户。
举例来说,通信装置102可对应于用户112的智能手机,访问装置104可对应于自动柜员机(atm),处理实体可对应于由支付处理网络(即处理服务器)或收单方(即收单方服务器)操作的服务器计算机,授权实体106可对应于由发行方银行操作的另一服务器计算机(即发行方服务器),用户112可以正使用便携式交易装置(例如,信用卡)执行atm交易(例如,从atm取钱)。就此而言,用户112可以使用便携式交易装置向atm提供认证信息。认证信息可以包括价值凭证(例如,信用卡号)和其他认证信息(例如,与信用卡相关联的邮政编码、信用卡的到期日期、用户的生日)。在接收到认证信息时,atm可以生成包括此信息的授权请求消息,并将授权请求消息传输到处理服务器。授权信息可以包括附加信息,包括:请求日的时间、请求的日期、用户112的标识符(例如,pan)、被请求的资源或访问装置104的标识符(即,访问装置标识符)。
在一些实施例中,通信装置102还可以充当便携式交易装置,其中通信装置102向访问装置104提供认证信息。例如,用户112可以安装隶属于授权实体106和/或处理实体108的应用程序,并使用该应用程序来使用用户的智能手机作为便携式交易装置进行atm交易。在此类实施例中,通信装置102可以使用诸如蓝牙或nfc的短距离无线通信协议,将认证信息传送到访问装置104。根据一些实施例,通信装置102的部件在下文参看图4更详细地讨论。
在一些实施例中,通信装置102可充当访问装置,其中通信装置102在不涉及单独的访问装置的情况下执行交易。在一些实施例中,访问装置104可以由与通信装置102分开的(便携式)通信装置(例如,智能手机)实施。
处理实体108可以通信地耦合到通信网络120,并且可以被配置成通过通信网络120与访问装置104和/或通信装置102通信。在从访问装置104接收到授权请求消息后,处理实体108可以从授权请求消息提取用户112的pan,并将pan映射到通信装置102。处理实体108然后可以将对网络数据的请求发送到通信装置102。
在一些实施例中,处理实体108可以通过让用户与其通信装置执行注册步骤来维护用户pan和通信装置之间的映射。具体地说,注册步骤可以涉及将隶属于处理实体108的应用程序安装到通信装置102上。例如,在接收到授权请求消息时,处理服务器可以将包括在请求中的用户112的pan映射到与用户的智能手机对应的电话号码。然后,处理服务器可以将对网络数据的请求发送到智能手机。
在通信装置102接收到对网络数据的请求时,无线网络130-134和140可以在检测区域150内,即在通信装置102的检测范围内。例如,智能手机上安装的应用程序可以接收该请求。在应用程序接收到该请求时,无线网络130-134和140都可以在智能手机的检测范围内。
具体来说,在从访问装置104接收先前授权请求消息时,处理实体108可能以前已经确定所识别的无线网络130-134接近访问装置104。相比之下,处理实体108之前可能未检测到未识别的无线网络140。例如,无线网络130可对应于由操作atm的银行分行运营的wi-fi网络,无线网络132-134可对应于由相邻商家运营的wi-fi网络,无线网络140可对应于未识别的蓝牙网络。
在一些实施例中,处理实体108可以确定未识别的无线网络140与过去的欺骗活动有关,且可能是欺骗性的。例如,当欺骗者从略读一个访问装置过渡到不同位置的另一访问装置时,欺骗者可以操作相同的欺骗性无线网络。
在接收到对网络数据的请求时,通信装置102可以采集指示地理上接近的无线网络130-134和140的网络数据。应当注意的是,由于用户112在与访问装置104物理交互的同时正携带着通信装置102,地理上接近通信装置的无线网络也在地理上接近访问装置。通信装置102然后可以通过通信网络120向处理实体108发送具有网络数据的响应。
在通信装置102作为交易的便携式交易装置的实施例中,通信装置可以向访问装置104提供网络数据,而不是等待对来自处理实体108的网络数据的请求。具体地说,当通信装置102正通过短距离无线连接向访问装置104提供认证信息时,通信装置102可以提供上述网络数据。反过来,访问装置104可以通过(1)将网络数据并入到授权请求消息中或者(2)通过通信网络120经由单独的消息将网络数据发送到处理实体108中的任一操作来将网络数据转发到处理实体108。
在一些实施例中,访问装置104可以被配置成使用短距离或中等距离通信技术,包括蓝牙、nfc、ir、wi-fi等。在此类实施例中,访问装置104可检测与其接近的无线网络,生成指示接近无线网络的网络数据,并将网络数据发送到处理实体,而无需涉及通信装置。
为了确定交易是否可疑,处理实体108可以将所接收的网络数据和与在访问装置104处进行的先前交易相关联的先前网络数据进行比较。在这样做时,处理实体108可以确定所接收的网络数据和先前网络数据之间的差异超过阈值。具体地说,超过阈值的差异可能是由未识别的无线网络140的存在造成的。例如,先前网络数据可以指示在先前在访问装置处进行的交易期间,已识别的无线网络130-134接近访问装置104,而从未检测到未识别的无线网络140。因此,处理实体108可以向报告服务110发送关于可疑交易的警报。
处理实体108可以通信地耦合到报告服务110,所述报告服务可以由一个或多个服务器提供。报告服务110可以被配置成从包括处理实体108的一个或多个报告客户端接收警报。在收到关于交易的警报时,报告服务110可以在日志中(例如,在文件或数据库中)保存警报、向相关人员触发一个或多个通知,和/或发起与交易相关的一个或多个动作(例如,对交易进行审计)。
在一些实施例中,一个或多个动作可以包括对交易的审计,以确定未识别的无线网络140是良性网络还是欺骗性网络。例如,对交易进行审计可能会揭示未经授权的略读器已安装到atm上以窃取来自在atm上刷的信用卡的认证信息,并将认证信息通过未识别的蓝牙网络无线传输到欺骗者的通信装置(例如,智能手机或笔记本电脑)。基于接近访问装置的无线网络处理在访问装置处进行的交易的步骤将进一步参照图5、图6和图9详细讨论。
在从访问装置104接收到授权请求消息时,处理实体108可以基于授权请求消息中接收的认证信息来确定授权请求消息是否应被拒绝(例如,在用户112被拒绝访问由授权实体106持有的资源的情况下)。处理实体108然后可以向访问装置104发送授权响应消息,其包括指示授权请求消息是否被拒绝或接受的结果指示。在一些实施例中,授权响应消息可以指示访问装置应审查交易。根据一些实施例,处理实体108的部件在下文参照图3更详细地描述。
处理实体108可以通信地耦合到授权实体106。在一些实施例中,在确定授权请求消息的授权响应消息时,处理实体108可以向授权实体106发送授权响应消息。基于授权响应消息,授权实体106可以授权或拒绝用户112访问所请求的资源。举例来说,授权实体106可解锁建筑物的门,其可向计算机账户或文件授予许可,或其可授权针对支付账户的交易。
在一些实施例中,处理实体108可以由于超过阈值的差异而拒绝授权请求消息。在一些实施例中,超过阈值的差异不会影响处理实体108是否接受或拒绝授权请求消息。具体地说,尽管差异超过阈值,接受授权请求消息可以是合理的,因为用户112可能与未识别的无线网络140无关。
虽然图1将处理实体108、授权实体106以及报告服务110描绘为单独的物理部件,但这并不意图是限制性的。在使用单独的机器(例如,单独的计算装置、单独的服务器群集)实施处理实体108、授权实体106和报告服务110的实施例中,处理实体108、授权实体106和报告服务110可以通过通信网络(例如,lan、wlan、vpn)来通信地耦合。在一些替代实施例中,可以在同一机器(例如,同一计算装置、同一服务器群集)上执行处理实体108、授权实体106和报告服务110。例如,处理实体108、授权实体106和报告服务110可以在同一物理硬件上执行的单独虚拟机或容器中实施。无论处理实体108、授权实体106和报告服务110的物理实施方式为何,处理实体108、授权实体106和报告服务110之间的通信可以使用基于网络的通信(例如,超文本传输协议(http)、安全套接层(ssl)上的http、传输层安全(tls)上的http)。
在图2中可以看到基于接近通信装置的无线网络处理特定于通信装置的交易的示范性系统200。系统200包括类似于图1中示出的系统100的元件,包括通信装置202、访问装置204、授权实体206、处理实体108、用户212以及通信网络220-222。类似于系统100,系统200还包括围绕通信装置202的地理检测区域210,其包括用户212和所识别的无线网络230-232。
另外,通信装置202可以类似于通信装置102,访问装置204可以类似于访问装置104,授权实体206可以类似于授权实体106,通信网络220-222可以类似于通信网络120,所识别的无线网络230-232可以类似于所识别的无线网络130-134。
然而,与系统100不同,检测区域210不包括访问装置204,因为用户212正使用通信装置202与访问装置204通信,而不是与其物理交互。具体来说,用户212正使用通信装置202执行交易,例如,请求访问由授权实体206持有和/或控制的资源。
通信装置202可以通信地耦合到通信网络220。访问装置204和处理实体108可以通信地耦合到通信网络220-222。处理实体108可以通信地耦合到授权实体206。
检测区域210可对应于通信装置202的无线网络检测范围,并且可以涵盖用户212、通信装置202以及无线网络230-232。用户212可以与通信装置202交互,以使得其通过通信网络220向访问装置204传输一个或多个请求参数。请求参数可以包括用户112的认证信息。在接收到请求参数时,访问装置可以生成包括认证信息的授权请求消息,并且将授权请求消息通过通信网络222发送到处理实体108。基于授权请求消息中包含的认证信息,处理实体108可以确定授权实体206是否应授权用户212访问所请求的资源。
举例来说,通信装置202可对应于用户212的智能手机,访问装置204可对应于在线商家,处理实体108可对应于处理服务器,授权实体206可以对应于发行方服务器,用户212可以正使用其智能手机与在线商家进行在线交易(例如,从在线商家购买商品)。具体来说,用户212可以在其智能手机上操作浏览器应用程序以向在线商家提供认证信息,这使在线商户生成包括认证信息的认证请求并将其传输到处理服务器。
在从访问装置204接收到授权请求消息后,处理实体108可以从授权请求消息提取用户212的pan,并将pan映射到通信装置202。处理实体208然后可以将对网络数据的请求发送到通信装置202。在通信装置202接收到对网络数据请求时,无线网络230-232可以在检测区域210内,即在通信装置202的检测范围内。
具体来说,当接收到与在通信设备202上执行的先前交易相关联的先前授权请求消息时,处理实体108先前可能已经确定所识别的无线网络接近通信设备202。例如,无线网络230可对应于位于用户212家里的wi-fi网络,无线网络232可对应于位于相邻房屋的wi-fi网络。用户212可能先前在完成一个或多个在线交易时在家里使用其智能手机来验证自己。由于用户212在接近其家庭wi-fi网络和邻居的wi-fi网络时用智能手机成功地验证了自己,所以当该智能手机接近两个wi-fi网络进行交易时处理服务器可以识别源于该智能手机的任何交易(即任何认证请求)都可能是真实的。
相比之下,如果通信装置202尝试在接近未识别的一组无线网络的情况下进行交易,那么处理实体108可基于未识别的一组无线网络和无线网络230-232的之间的差异,向用户212请求更多认证信息以确保交易是真实的。例如,如果用户212尝试在咖啡店处在其智能手机上进行交易,处理服务器可以识别智能手机接近由咖啡店运营的未识别wi-fi网络。因此,处理服务器可以在接受授权请求消息之前向用户212请求附加认证信息。
在接收到对网络数据的请求时,通信装置202可以创建指示无线网络230-232在地理上接近的网络数据,并且将包括网络数据的响应通过通信网络220和/或通信网络222发送到处理实体108。在一些实施例中,在进行在线交易时,通信装置202可以向访问装置104提供网络数据,而不是等待来自处理实体108的对网络数据的请求。
为了确定交易是否需要附加认证信息,处理实体108可以将所接收的网络数据和存储的与通信装置202发起的先前交易相关联地先前网络数据进行比较。在这样做时,处理实体108可以确定所接收的网络数据和先前网络数据之间的差异不超过阈值,因为通信装置202仅接近所识别的无线网络。另一方面,如果通信装置202接近一个或多个未识别的无线网络,通信装置202提供的网络数据可能与先前网络数据有显著不同,这可能导致超过阈值。因此,处理实体108可以在授予认证请求之前向通信装置202请求附加认证信息。参照图7、图8和图10进一步详细讨论基于接近通信装置的无线网络处理由通信装置发起的交易的步骤。
ii.处理实体
图3示出了根据实施例的包括示范性服务器计算机302的处理实体108的框图。服务器计算机302图示为包括多个硬件和软件模块(304-326)。然而,应了解,这只是出于说明目的而提供的,且每个模块和相关联的功能性可以由相同或不同的部件提供和/或执行。即,服务器计算机302可以通过使用软件指令和/或硬件配置的任何适当组合执行本文中参照处理实体108描述的一些相关功能和步骤。应注意,尽管图3(以及本文中描述的其它系统)图示了所有位于单个装置上的模块,但并不表示本公开局限于此。此外,用于实施本文中所描述的功能的系统可具有比所有这些部件多或少的部件。另外,一些模块可以位于其它装置上,例如功能上连接到服务器计算机的(若干)部件的远程服务器或其它本地装置上。在某些情况下,软件模块可以位于虚拟机或容器上。
服务器计算机302显示为包括处理器304、系统存储器306(其可包括例如缓冲存储器、ram、dram、rom、闪存或任何其它合适的存储装置的易失性和/或非易失性存储器的任何组合)和外部通信接口308。此外,模块310-326中的一个或多个可设置于系统存储器306的部件中的一个或多个内,或可设置在外部。如上文提到的,图3中显示的软件和硬件模块(和本文中描述的其它系统)仅出于说明的目的而提供,且所述配置不旨在是限制性的。处理器304、系统存储器306和/或外部通信接口308可结合下文描述的模块中的任一个使用以提供所要功能性。一些示例性模块和相关功能性可如下:
通信模块310可被配置成或经编程以执行与接收、发送和生成电子消息以通过处理实体108与图1中显示的任何实体往返传输相关联的功能中的一些或全部。当服务器计算机302经由外部通信接口308接收电子消息时,可以将其传递到通信模块310。通信模块310可基于处理实体108中使用的特定消息收发协议识别和解析相关数据。作为示例,所接收的信息可以包括认证信息、授权信息、网络信息和/或处理实体108可以在处理授权请求消息时使用的任何其他信息。通信模块310接着可(例如,经由数据总线线路328)将所接收的信息传输到服务器计算机302内的适当模块。通信模块310还可从服务器计算机302中的一个或多个模块接收信息,且遵守处理实体108中使用的传输协议以适当的数据格式生成电子消息,使得所述消息可发送到系统100或系统200内的一个或多个实体。电子消息接着可传递到外部通信接口308以供传输。例如,电子消息可以包括授权响应消息(例如,将被传输到访问装置104)、对网络数据的请求(例如,将被传输到通信装置102)或在本文中使用的任何其他合适的电子消息。
数据库查找模块312可经编程或被配置成执行与从一个或多个数据库330检索信息相关联的功能中的一些或全部。在此方面,数据库查找模块312可从服务器计算机302的一个或多个模块接收对可存储于一个或多个数据库330中的信息的请求。数据库查找模块312接着可确定和查询适当数据库。
数据库更新模块314可经编程或被配置成提供与维持和更新数据库330(例如访问装置数据库332、用户数据库334和网络数据库336)相关联的功能中的一些或全部。就这一点而言,数据库更新模块314可以接收以下信息:诸如有关接入点(例如,来自通信装置)的信息、用户信息(例如,来自在处理实体108注册的用户)、指纹信息(例如,来自通信装置或来自指纹生成模块320)以及来自本文所述一个或多个模块的其他信息。此类信息接着可使用任何合适的存储过程存储于数据库330中的适当位置中。
授权模块316可被配置成或经编程以执行与交换和处理授权消息(例如,授权请求消息和授权响应消息)相关联的功能中的一些或全部。具体来说,授权模块316可以从一个或多个接入点接收授权请求消息。授权模块316还可以响应于授权请求消息生成授权响应消息,并且将授权响应消息分别发送到一个或多个接入点。在一些实施例中,授权模块316可以基于一个或多个规则生成授权响应消息。例如,响应于从访问装置104接收授权请求消息,授权模块316可以基于授权请求中包含的认证信息和一个或多个规则确定授权请求消息是否应被接受或被拒绝。在一些实施例中,一个或多个规则可以使授权模块316基于其关联的网络数据足够不同以超过阈值来拒绝授权请求消息,在这种情况下,授权模块316可以使用网络数据模块318和/或指纹比较模块322来确定相关联网络数据是否足够不同以超过阈值。通信模块310和外部通信接口308可由授权模块316使用以接收授权请求消息和发送授权响应消息。
网络数据模块318可被配置成或经编程以执行与发送对网络数据的请求和接收网络数据的响应相关联的功能的一些或全部。具体来说,网络数据模块318可以将网络数据请求发送到一个或多个通信装置,并且从一个或多个通信装置接收网络数据响应。例如,当授权模块316从访问装置104接收授权请求消息时,授权请求消息可以传递到网络数据模块318。网络数据模块318可以通过利用数据库查找模块312来访问与用户数据库334中的用户112相关联的一个或多个记录,从授权请求消息提取用户112的pan,并将pan映射到通信装置102。网络数据模块318然后可以将对网络信息的请求传输到通信装置102。网络数据模块318然后可以从通信装置102接收包括与接近访问装置104的无线网络有关的数据的响应。通信模块310和外部通信接口308可以由网络数据模块318使用以发送对网络数据的请求和接收网络数据的响应。
在一些实施例中,在接收到网络数据时,网络数据模块可以使用数据库更新模块314来在访问装置数据库332内存储新识别的无线网络,或在数据库内用新信息更新先前遇到的无线网络的现有记录。
任选地,指纹生成模块320可被配置成或经编程以执行与从网络数据生成指纹相关联的功能中的一些或全部。具体地说,当网络数据模块318接收与接近通信装置的无线网络有关的数据时,网络数据模块318可以将网络数据提供到指纹生成模块320。例如,对于每个接近无线网络,网络数据可以包括无线网络的ssid、无线网络的一个或多个wi-fi安全设置、与无线网络相关联的一个或多个mac/ip地址,和/或适用于基于无线网络生成指纹的其他网络属性。
指纹生成模块可以对网络数据执行一个或多个操作,以生成一个或多个值,这些值可与其他指纹比较以确定可量化差异。例如,如果网络数据包括每个接近网络的ssid,则指纹生成模块320可以生成存储所有ssid的数据结构(例如,列表、阵列)作为指纹。作为其他示例,指纹生成模块320可以生成ssid的哈希或将ssid级联到单个字符串中。
当生成指纹时,取决于与网络数据相关的交易的性质,指纹生成模块320可以将指纹存储到访问装置数据库332或用户数据库334中。例如,如果交易与和访问装置物理交互的用户相关联,则指纹可以存储到对应于访问装置的访问装置数据库332的条目中。另一方面,如果交易是由与远程访问装置通信的通信装置产生的在线交易,则指纹可以存储到与通信装置的用户对应的用户数据库334的条目中。
在一些实施例中,由通信装置提供到处理实体108的网络数据本身可以是指纹。在此类实施例中,当通信装置从处理实体108接收对网络数据的请求时,通信装置可以采集关于接近无线网络的数据,使用上述技术之一生成指纹,并在响应中将指纹传输到处理实体108。
如果存储的指纹(例如,先前指纹)已经存在于接入点或通信装置,则不同的实施例可以在新创建的指纹(即新指纹)如何与接入点或通信装置关联地存储的方面不同。在一些实施例中,指纹生成模块用新指纹取代先前指纹。在一些实施例中,新指纹被添加到数据结构(例如,列表),该数据结构包括为接入点或通信装置生成的最近的n个指纹,在这种情况下,新指纹取代数据结构中最旧的指纹。在一些实施例中,可以基于新指纹和“旧的先前”指纹生成“新的先前”指纹,其中新的先前指纹取代旧的先前指纹。
指纹比较模块322可经编程或被配置成执行与将指纹进行相互比较相关联的功能中的一些或全部。具体地说,当指纹生成模块320基于针对特定交易接收的网络数据生成新指纹时,指纹比较模块322可以获得新指纹并确定新指纹和先前指纹之间的差异是否超过阈值。
具体来说,确定新指纹与先前指纹不同的程度的步骤可以在实施例间变化。在每个指纹对应于包括在与该指纹相关联的交易期间接近的所有无线网络的ssid的数据结构的实施例中,新指纹与先前指纹之间的差异可以基于新指纹中包含的ssid与先前指纹中包含的ssid匹配的个数。例如,如果新指纹包括四个ssid:分别用于所识别的无线网络130、132和134的第一ssid、第二ssid和第三ssid以及用于未识别的无线网络140的第四ssid,并且先前指纹包括三个ssid:分别用于所识别的无线网络130、132和134的第一ssid、第二ssid和第三ssid,则新指纹中出现的四个ssid中的三个ssid将匹配先前指纹的ssid。在一些实施例中,这将对应于新指纹与先前指纹之间的75%的匹配和25%的差异。就此而言,如果阈值对应于20%,新指纹与先前指纹之间的差异将超过阈值,因为25%大于20%。因此,可能使通知模块324向报告服务110发送警报。在另一示例中,阈值可对应于诸如“0”的阈值数字。就这一点而言,如果任何ssid都不匹配,则将超过阈值。
在一些实施例中,阈值可以由任务是管理处理实体的人员调整。例如,如果确定被审计的交易的百分比过高,则阈值可以调整得更高(例如,阈值从20%改为50%)。
通知模块324可经编程和/或被配置成执行与生成警报和将警报传输到报告服务(例如,报告服务110)相关联的功能。例如,如果指纹比较模块322确定与在访问装置处执行的交易关联生成的新指纹和与新访问装置相关联的先前指纹足够不同,则指纹比较模块322可以使通知模块324生成包括与交易有关的信息的警报消息,并将警报消息传输到报告服务110。
注册模块326可以被配置成或经编程以执行与注册用户的通信装置使得由用户发起的交易可以映射到通信装置相关联的功能的一些或全部。为了注册通信装置,注册模块326可以利用数据库更新模块314为用户创建条目,或更新用户数据库334中的用户的现有条目。具体地说,条目可以包括有关用户的信息,其包括唯一地识别用户的pan以及关于用户的通信装置的信息。有关通信装置的信息可以包括装置的电话号码、装置的ip地址、装置的mac地址以及通过通信网络联系通信装置的其他信息。
在一些实施例中,对通信装置进行注册可以涉及将移动应用程序安装到通信装置并进行初始化。移动应用程序可以促进通信装置与处理实体108之间的通信,尤其是当处理实体108正在向通信装置请求网络数据时。在此类实施例中,关于通信装置的信息还可以包括唯一地识别在通信装置上执行的移动应用程序的特定实例的标识符和/或促进移动应用程序的实例与处理实体108之间的通信的其他信息。
处理实体108可以包括一个或多个数据库330,诸如访问装置数据库332、用户数据库334和网络数据库336。在此示例中显示的每个数据库可以包括多于一个数据库,且可位于相同位置或不同位置处。
访问装置数据库332可以包含多个条目,每个条目对应于被配置成与处理实体108交换授权消息的访问装置。在一些实施例中,访问装置数据库332可以对应于资源提供商的数据库(例如,商家数据库)。每个条目可以包括访问装置标识符、特定于特定访问装置的信息,诸如访问装置的地理位置(例如,街道地址信息、地理坐标)、通过通信网络联系访问装置的信息(例如,访问装置的ip地址、访问装置的mac地址),以及关于已经确定在访问装置处进行的历史交易期间接近访问装置的网络的数据(例如,存储的指纹)。
用户数据库334可以包含多个条目,每个条目对应于用户账户或使用户能够与访问装置进行交易的pan。每个条目都可以包括pan、有关用户的信息(例如,姓名、地址、年龄)、与允许用户访问的那些资源有关的信息(例如,用户的角色或职位、读/写/执行权限)、有关用户的通信装置的信息(例如,电话号码、ip地址、mac地址、移动应用标识符)、关于已经确定在使用通信装置进行的在线交易期间接近通信装置的网络的数据。
网络数据库336可以包含多个条目,每个条目对应于处理实体108已知的无线网络。每个条目可以包括有关特定无线网络的信息,例如,无线网络的唯一标识符、无线网络的地理位置、无线网络的类型(例如,wi-fi、蓝牙)、ssid、安全状态、记录首次检测和/或最后一次检测无线网络的时间戳,以及关于无线网络是否已经与欺骗性活动相关联的信息。
iii.便携式通信装置
图4图示了根据一些实施例的便携式通信装置401的框图。在一些实施例中,便携式通信装置401可以类似于图1的通信装置102或图2的通信装置202。便携式通信装置401可以包括耦合到存储器402的装置硬件404。装置硬件404可以包括处理器405、外部通信接口408、用户界面406和显示器407(其可为用户界面406的一部分)。处理器405可以被实施为一个或多个集成电路(例如,一个或多个单核或多核微处理器和/或微控制器),并且用于控制便携式通信装置401的操作。处理器405可以响应于存储在存储器402中的程序代码或计算机可读代码来执行各种程序,并且可以维持多个同时执行的程序或过程。通信子系统409可以包括一个或多个rf收发器和/或连接器,所述rf收发器和/或连接器可以由便携式通信装置401使用以与其他装置通信和/或与外部网络连接。用户界面406可以包括输入元件和输出元件的任何组合,以允许用户与便携式通信装置401交互并调用该便携式通信装置的功能。在一些实施例中,显示器407可以是用户界面406的一部分。
可使用任何数目的非易失性存储器(例如,闪速存储器)和易失性存储器(例如,dram、sram)的任何组合、或任何其它非暂时性存储介质、或其介质组合来实施存储器402。存储器402可以存储移动os414和移动应用程序环境410,在移动应用程序环境中驻留一个或多个移动应用程序(例如,支付应用程序,例如移动钱包应用程序,商家应用程序,移动定位应用程序等)以由处理器405执行。
具体地说,安装在便携式通信装置401中的一个或多个移动应用程序可以包括网络数据提供应用程序412,其为将网络数据提供到处理实体(例如,处理实体108)的移动应用程序。当便携式通信装置401从处理实体接收对网络数据的请求时,网络数据提供应用程序412可以查询外部通信接口408,以获得当前由一个或多个rf收发器检测到的无线网络的列表。在接收到所检测的无线网络的列表时,网络数据提供应用程序412可以将与所检测到的无线网络(例如,ssid)的列表相关联的网络数据封装到响应中。在一些实施例中,网络数据提供应用程序412可以基于所检测到的无线网络的列表来生成指纹,并将指纹封装到响应中。然后,网络数据提供应用程序可以使响应传输到处理实体。
iv.基于接近网络处理交易
图5-6示出了根据实施例的序列图,其显示了基于接近无线网络处理特定于访问装置的授权请求消息的操作。如图5-6中所描绘,系统500包括通信装置502、通信装置504、访问装置506、处理实体508和报告服务510。注意,在一些实施例中,通信装置502、通信装置504、访问装置506、处理实体508和报告服务510可以分别与通信装置102、与访问装置104进行交易的另一通信装置、访问装置104、处理实体108和报告服务110类似。举例来说,图5-6中呈现的步骤可以对应于两个单独的智能手机,每个智能手机在不同时间在单个atm处发起独立的交易。
在步骤512处,通信装置502的用户(即,第一用户)可以将客户端应用程序安装到通信装置502上。在步骤514处,第一用户使用客户端应用程序向处理实体508注册通信装置502。在步骤516处,通信装置504的用户(即,第二用户)可以将客户端应用程序安装到通信装置504上。在步骤518处,第二用户使用客户端应用程序向处理实体508注册通信装置504。注意,安装在通信装置502-504中的客户端应用程序可以类似于网络数据提供应用程序412。
在步骤520处,通信装置504向访问装置506提供请求参数。请求参数可以作为由第二用户在位于地理上接近访问装置506时发起的第一交易的一部分提供。在一些实施例中,第二用户可以通过使用便携式交易装置与访问装置506物理交互来提供请求参数。
在步骤522处,访问装置506根据步骤520中提供的请求参数中包括的认证信息生成授权请求消息。
在步骤524处,访问装置506通过通信网络(例如,通信网络120)将授权请求消息传输到处理实体508。
在步骤526处,处理实体508从授权请求消息识别通信装置504。在一些实施例中,此识别可以涉及将授权请求消息中包括的用户标识符映射到唯一地识别通信装置504的标识符。
在步骤528处,处理实体508通过通信网络将对网络数据的请求传输到通信装置504。
在步骤530处,通信装置504采集关于在步骤530期间接近通信装置504的第一组无线网络的网络数据(即,第一网络数据)。
在步骤532处,通信装置504通过通信网络将第一网络数据传输到处理实体508。在一些实施例中,通信装置504可以根据第一网络数据生成第一指纹,并将第一指纹传输到处理实体508。
在步骤534处,处理实体508响应于确定没有网络数据与访问装置506关联地存储来存储第一网络数据。例如,访问装置506可以是执行其第一交易的新安装的atm。在一些实施例中,处理实体508可以根据第一网络数据生成第一指纹。在一些实施例中,第一指纹可以存储在对应于访问装置506的条目中,其中该条目可以存储在与访问装置数据库332类似的数据库内。
继续图6,在步骤536处,通信装置502向访问装置506提供请求参数。请求参数可以作为由第一用户发起的第二交易的一部分提供。在步骤538处,访问装置506根据步骤536中提供的认证信息生成认证请求。在步骤540处,访问装置506通过通信网络将授权请求消息传输到处理实体508。在步骤542处,处理实体508从授权请求消息识别通信装置502。在步骤544处,处理实体508通过通信网络将对网络数据的请求传输到通信装置502。在步骤546处,通信装置502采集关于在步骤546期间接近通信装置504的第二组无线网络的网络数据(即,第二网络数据)。在步骤548处,通信装置502通过通信网络将第二网络数据传输到处理实体508。在一些实施例中,通信装置502可以根据第二网络数据生成第二指纹,并将第二指纹传输到处理实体508。
在步骤550处,处理实体508确定第一网络数据和第二网络数据之间的差异超过阈值。具体地说,在接收到第二网络数据时,处理实体508可以确定先前网络数据(诸如第一指纹)已经与访问装置506相关联。在一些实施例中,处理实体508可以根据第二网络数据生成第二指纹。处理实体508可以检索第一指纹并将其与第二指纹比较,以确定指纹之间的差异是否超过阈值。
在步骤552处,在确定指纹之间的差异超过阈值时,处理实体508将关于第二交易的警报传输到报告服务510。
在步骤554处,报告服务510响应于接收警报发起一个或多个动作的执行。例如,报告服务510可以使第二交易被审计。
虽然图5-6未明确示出,但应当指出,处理实体708可以基于授权请求消息中包含的认证信息和存储在处理实体508内的一个或多个规则,接受或拒绝第一交易和第二交易的授权请求消息。在一些实施例中,确定指纹之间的差异超过阈值可以使第二授权请求消息被拒绝。
图7-8示出了根据实施例的序列图,其显示了基于接近无线网络处理特定于通信装置的授权请求消息的操作。如图7-8中所描绘,系统700包括通信装置702、访问装置704、访问装置706和处理实体708。注意,在一些实施例中,通信装置702、访问装置704、访问装置706和处理实体708可以分别类似于通信装置202、访问装置204、通信装置202对其发起交易的另一访问装置以及处理实体108。举例来说,图7-8中呈现的步骤可对应于在不同时间与不同在线商家发起两个单独在线交易的单个智能手机。
在步骤710处,通信装置702的用户可以将客户端应用程序安装到通信装置702上。在步骤712处,用户使用客户端应用程序向处理实体708注册通信装置702。
在步骤714处,通信装置702向访问装置704提供请求参数。请求参数可以作为由通信装置702通过通信网络(例如,通信网络220)发起与访问装置704的第一交易的一部分提供。
在步骤716处,访问装置704根据步骤714中提供的请求参数中包括的认证信息生成授权请求消息。
在步骤718处,访问装置704通过通信网络(例如,通信网络222)将授权请求传输到处理实体708。
在步骤720处,处理实体从授权请求消息识别通信装置702。
在步骤722处,处理实体708通过通信网络将对网络数据的请求传输到通信装置702。
在步骤724处,通信装置702采集关于在步骤724期间接近通信装置702的第一组无线网络的网络数据(即,第一网络数据)。
在步骤726处,通信装置通过通信网将第一网络数据传输到处理实体708。在一些实施例中,通信装置702可以根据第一网络数据生成第一指纹,并将第一指纹传输到处理实体708。
在步骤728处,处理实体708确定没有网络数据与通信装置702关联地存储,因为这是自注册通信装置702起由用户发起的第一交易。
在步骤730处,处理实体708通过通信网络向通信装置702传输对附加认证信息的请求。例如,通信装置702可以接收对与用户关联的邮政编码的请求。
在步骤732处,通信装置702向用户呈现对附加认证信息的请求,并且从用户接收附加认证信息。
在步骤734处,通信装置702向处理实体708传输具有附加认证信息的响应。
虽然图6中未示出,但应当指出,处理实体708可以基于授权请求消息中包含的认证信息、存储在处理实体708内的一个或多个规则以及是否提供了附加认证信息接受或拒绝第一交易的授权请求消息。
在步骤736处,处理实体708存储第一网络数据。在一些实施例中,处理实体708可以根据第一网络数据生成第一指纹。在一些实施例中,第一指纹可以存储在对应于通信装置702的条目中,其中该条目可以存储在与用户数据库334类似的数据库内。
继续图8,在步骤738处,通信装置702向访问装置706提供请求参数。请求参数可以作为由通信装置702通过通信网络与访问装置706发起的第二交易的一部分提供。在步骤740处,访问装置706根据步骤738中提供的认证信息生成认证请求。在步骤742处,访问装置706通过通信网络将授权请求消息传输到处理实体708。在步骤744处,处理实体708从授权请求消息识别通信装置702。在步骤746处,处理实体708通过通信网络将对网络数据的另一请求传输到通信装置702。在步骤748处,通信装置702采集关于在步骤748期间接近通信装置702的第二组无线网络的网络数据(即,第二网络数据)。在步骤750处,通信装置702通过通信网络将第二网络数据传输到处理实体708。在一些实施例中,通信装置702可以根据第二网络数据生成第二指纹,并将第二指纹传输到处理实体708。
在步骤752处,处理实体708确定第一网络数据和第二网络数据之间的差异不超过阈值。具体地说,在接收到第二网络数据时,处理实体708可以确定先前网络数据(诸如第一指纹)已经与通信装置702关联地存储。在一些实施例中,处理实体708可以根据第二网络数据生成第二指纹。处理实体708可以检索第一指纹并将其与第二指纹比较,以确定指纹之间的差异是否超过阈值。
在步骤754处,在确定指纹之间的差异不超过阈值时,处理实体708可以跳过向用户请求第二交易的附加认证信息。换种方式讲,处理实体708可以将通信装置702在位于接近已识别的一组无线网络时(其中在接近已识别的一组无线网络的时先前为早期交易提供了附加认证信息)发起了第二交易解释为第二交易可能是真实的指示。因此,可能不需要附加认证信息来接受授权请求消息。
图9显示了根据实施例的流程图,该流程图示出基于接近无线网络处理授权请求消息的示范性方法900。方法900的步骤可由处理实体108的服务器计算机302执行。
在步骤902处,处理实体将通信装置与标识符(即,pan)关联。具体来说,通信装置的用户可以将客户端应用程序安装到通信装置上,并在处理实体或隶属于处理实体的服务器计算机上通过客户端应用程序注册通信装置。在某些情况下,步骤902可以是在处理实体处为用户创建账户的过程的一部分,其中pan被分配给用户。在其他情况下,用户可能已经拥有用户账户和pan,并且正在注册其通信装置以增强由用户账户提供的服务。客户端应用程序可以包括以下功能(例如,形式为sdk):(1)确定在通信装置的无线网络检测范围内的一组无线网络,(2)基于一组无线网络生成网络数据(例如,指纹),以及(3)与处理实体交换网络数据。
例如,用户可以拥有由发行方(即授权实体)发行的现有信用卡账户。为了增强信用卡账户提供的服务,用户可以将隶属于支付处理网络的客户端应用程序安装到其智能手机上。这样,可以在支付处理网络内的数据存储区创建一个将用户的pan与智能手机相关联的条目。
在步骤904处,处理实体从访问装置或通信装置接收交易中的授权请求消息。
在从通信装置接收授权请求消息的实施例中,处理实体可以根据授权请求消息确定通信装置是否接近访问装置或者通信装置是否正与访问装置进行在线交易。
在通信装置接近访问装置的实施例中,通信装置可以通过将包含认证信息的请求参数通过短距离无线网络(例如,wi-fi网络、蓝牙网络)传输到访问装置来发起交易。在这些实施例的一些当中,请求参数可以由与访问装置物理交互的用户提供给访问装置。无论提供请求参数的方式为何,访问装置可以基于请求参数生成授权请求消息,并将授权请求消息传输到处理实体。
例如,访问装置可以是atm机,用户可以与atm的触摸屏交互以发起现金提取。这样,用户可以将便携式交易装置(例如,借记卡)插入到atm中以提供请求参数。然后atm可以生成授权请求消息并将其传输到支付处理网络。
在通信装置正在通过通信网络与访问装置进行在线交易的实施例中,通信装置可通过在通信网络上传输请求参数来发起交易。例如,访问装置可以对应于在线商家,并且用户可以使用其智能手机通过互联网与在线商家发起交易,其中交易由其信用卡账户支付。在某些情况下,用户可以使用其智能手机上安装的客户端应用程序来进行交易。
在一些实施例中,通信装置可以生成授权请求并将其直接发送到处理实体。
在步骤906处,处理实体基于在交易期间接近访问装置或通信装置的一组无线网络获得网络数据。具体地说,在接收到授权请求消息时,处理实体可以从消息中提取pan,并将pan映射到通信装置。处理实体然后可以向便携式通信装置发送对网络数据的请求。
在接收到对网络数据的请求后,客户端应用程序可以处理该请求。具体地说,客户端应用程序可以与通信装置的一个或多个子部件(例如,外部通信接口408)通信,以确定在通信装置的检测范围内的一组无线网络。应当注意的是,在通信装置接近访问装置的实施例中,其逻辑上遵循接近通信装置的无线网络也接近访问装置。客户端应用程序然后可以将关于一组无线网络的网络数据封装到响应中,并将响应传输到处理实体。在一些实施例中,网络数据可以是客户端基于一组无线网络应用程序生成的指纹。在其他实施例中,处理实体可以在接收到网络数据后生成指纹。
例如,在从支付处理服务器接收到对网络数据的请求时,如果智能手机在三个wi-fi网络和一个蓝牙网络的范围内,则客户端应用程序可以基于所述三个wi-fi网络和一个蓝牙网络生成指纹,并将指纹作为网络数据传输到支付处理网络。
在一些实施例中,处理实体可以从第三方(例如,机构)而不是从通信装置获得与交易相关联的网络数据,其中第三方维护总区域的无线网络位置的数据库。在通信装置接近访问装置的实施例中,处理实体可检索之前存储的访问装置(假设访问装置是静止的)的地理位置数据(例如,gps坐标),或者使访问装置将其位置传送到处理实体。在通信装置正在通过通信网络与访问装置进行在线交易的实施例中,处理服务器可以请求通信装置提供其位置。接着,客户端应用程序可以获得通信装置的位置,并将该位置提供到处理服务器。在一些实施例中,客户端应用程序可以定期地将通信装置的位置发送到处理服务器。无论处理服务器如何获得与交易相关的位置数据,处理服务器可以将位置数据提供到由第三方操作的服务器计算机并且在该位置向第三方请求网络数据。接着,服务器计算机可以查询在服务器计算机可访问的地理位置和无线网络(例如,数据库)之间的映射,并向处理实体提供所请求的网络数据。
在通信装置向访问装置提供请求参数的实施例中,通信装置可以在请求参数内包括关于接近通信装置的无线网络的网络数据。接着,访问装置可以生成包括网络数据的授权请求并将其传输到处理实体。
在通信装置生成授权请求并将其传输到处理实体的实施例中,通信装置可以在授权请求内包括网络数据。
在步骤908处,处理实体确定网络数据和先前网络数据之间的差异,其中先前网络数据基于在一个或多个先前交易期间接近访问装置或通信装置的一组或多组先前无线网络。
在通信装置接近访问装置的实施例中,处理实体可以确定授权请求消息与访问装置关联。因此,处理实体可以将所接收的网络数据和与在访问装置处执行的一个或多个先前交易关联地存储的先前网络数据进行比较,其中一组或多组先前无线网络在一个或多个先前交易期间接近访问装置。
例如,一个或多个先前交易可以包括由先前智能手机的先前用户在同一atm处发起的现金提取。先前智能手机检测到的无线网络可以包括三个wi-fi网络,但不包括蓝牙网络。由于没有任何问题或没有检测到欺骗,现金提取成功,所以处理服务器可能已经存储了从先前智能手机接收的先前网络数据,其中,先前网络数据是基于三个wi-fi网络生成的。换种方式讲,先前网络数据可以指示三个wi-fi网络被处理实体识别,但可能不指示蓝牙网络被处理实体识别。
当处理实体接收到当前交易的网络数据时,处理实体可以从与访问装置对应的数据存储条目检索先前网络数据,并将网络数据与先前网络数据进行比较以确定两者之间的差异。例如,由于网络数据指示三个wi-fi网络和蓝牙网络接近,但先前网络数据指示只有三个wi-fi网络接近,所以处理实体可以确定网络数据与先前网络数据之间存在25%的差异。
在通信装置正在通过通信网络与访问装置进行在线交易的实施例中,处理实体可以确定授权请求消息与通信装置相关联。因此,处理实体可以将所接收的网络数据和与由通信装置发起的一个或多个先前交易关联地存储的先前网络数据进行比较,其中一组或多组先前无线网络在一个或多个先前交易期间接近通信装置。当处理实体接收到当前交易的网络数据时,处理实体可以从与通信装置对应的数据存储条目检索先前网络数据,并将网络数据与先前网络数据进行比较以确定两者之间的差异。
在决策910处,处理实体确定差异是否超过阈值。例如,如果阈值设置为20%的差异,则处理实体可以确定由于网络数据和先前网络数据之间的差异是25%,该差异超过阈值。
应当注意,在通信装置接近访问装置的实施例中,如果没有先前网络数据与访问装置关联地存储,处理实体可以自动确定差异不超过阈值。另一方面,在通信装置正通过通信网络与访问装置进行在线交易的实施例中,如果没有先前网络数据与通信装置关联地存储,处理实体可以自动确定该差异超过阈值。
在步骤912处,响应于确定差异超过交易,处理实体发起与交易相关联的一个或多个动作。
在通信装置接近访问装置的实施例中,一个或多个动作可以包括对交易进行审计。例如,可能会调查是否已将略读器安装到访问装置上以及未识别的无线网络是否正与略读器通信。
在一些实施例中,一个或多个动作可以包括基于交易发送通知。例如,处理实体可以将有关可能的欺骗活动通知访问装置的操作员(例如,操作pos的商家、操作atm的银行支行),并推荐操作员执行审计。
在一些实施例中,一个或多个动作可以包括启动软件过程、脚本或程序(例如,调查软件过程)。例如,系统可以包括已经被确定为欺骗性的一组已存储的无线网络(例如,数据库)。因此,可以启动软件过程以访问该组,并确定未识别的无线网络的标识符(例如,ssid)是否与该组中的条目匹配。如果在该组中找到未识别的无线网络标识符,软件过程可以确定未识别的无线网络是欺骗性网络。因此,软件过程可以发起一个或多个后续动作,以减轻欺骗风险。例如,一个或多个后续动作可以包括拒绝交易或拒绝对交易中请求的资源或位置的访问。
在通信装置正通过通信网络与访问装置进行在线交易的实施例中,一个或多个动作可以包括暂停交易过程并向通信装置请求附加认证信息。如果提供了所请求的附加认证信息,处理实体可以继续处理交易。如果未提供所请求的附加认证,处理实体可以拒绝交易。
例如,如果用户在游览用户以前从未游览的公园时尝试进行在线交易,处理实体识别缺少接近无线网络可能会提醒处理实体没有在熟悉的场所(例如,用户的家庭、用户的工作场所、用户经常学习的图书馆)中发起交易。因此,处理实体可以要求用户提供附加认证信息,以表明交易是合法的。举例来说,可以要求用户提供邮政编码、电话号码或与pan相关联的地址,或者可以询问用户一系列质询-回答问题(例如,可以要求用户提供其第一只宠物的名称)。
另一方面,如果在位于用户家里时在接近由处理实体识别的无线网络时用户尝试进行在线交易,处理实体可以处理授权请求消息,而不会请求附加认证信息。
在已经处理了交易之后,处理实体可以使用网络数据更新其数据存储区。在通信装置接近访问装置的实施例中,处理实体可以用网络数据更新与访问装置相关联的先前网络数据。在一些实施例中,这可以涉及基于先前网络数据和网络数据生成新指纹,并在与访问装置关联的条目中将指纹存储为“新的”先前网络数据。在通信装置正在通过通信网络与访问装置进行在线交易的实施例中,处理实体可以用网络数据更新与通信装置相关联的先前网络数据。在一些实施例中,这可以涉及基于先前网络数据和网络数据生成新指纹,并在与通信装置相关联的条目中将指纹存储为“新的”先前网络数据。
应注意,处理实体可以继续从各种访问装置接收和处理与由各种通信装置发起的交易相关联的授权请求。
例如,处理实体可从访问装置接收第二交易的第二授权请求消息。处理实体可以确定第二授权请求消息与第二通信装置关联。处理实体可以确定第二通信装置在第二交易期间接近访问装置。因此,处理实体可以基于在第二交易期间接近第二通信装置的第二组无线网络从第二通信装置获得第二网络数据。然后,处理网络可以确定第二网络数据与上面提到的新的先前网络数据(即,基于先前网络数据和网络数据生成的新指纹)之间的第二差异。接着,响应于确定第二差异不超过阈值,处理实体可以基于第二交易省略通知,接受第二交易,和/或允许第二通信装置访问与第二交易相关联的资源或位置。
在替代示例中,处理实体可以从第二访问装置接收第二交易的第二授权请求消息,其中第二授权请求消息与通信装置关联。处理实体可以基于在第二交易期间接近通信装置的第二组无线网络获得第二网络数据。接着,处理实体可以确定第二网络数据与上面提到的新的先前网络数据(即,基于先前网络数据和网络数据生成的新指纹)之间的第二差异。接着,响应于确定第二差异不超过阈值,处理实体可以基于第二交易省略通知,接受第二交易,和/或允许通信装置访问与第二交易相关联的资源或位置。
本文中参考图1-9所描述的各种参与者和元件可以操作一个或多个计算机设备以促进本文中描述的功能。图1-9中的任何元件(包括任何服务器或数据库)可以使用任何适当数目的子系统以促进本文所述的功能。
这样的子系统或部件的示例经由系统总线互连。示出了另外的子系统,诸如打印机、键盘、固定磁盘(或包括计算机可读介质的其他存储器)、耦合到显示器适配器的监视器以及其他装置。外围设备和耦合到输入/输出(i/o)控制器(其可为处理器或任何合适的控制器)的i/o装置可通过所属领域中已知的例如串行端口等任何数目的构件连接到计算机系统。例如,串行端口或外部接口能够用来将计算机设备连接至广域网(诸如互联网)、鼠标输入装置或扫描器。经由系统总线的互连允许中央处理器与每个子系统通信,并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。
而且,尽管已经使用形式为控制逻辑和编程代码和指令的硬件和软件的特定组合描述了本发明,但应当认识到,硬件和软件的其它组合也在本发明的范围内。本发明可以只由硬件或者只由软件或使用其组合来实施。
本申请中描述的任何软件部件或功能可以实施为使用任何适当计算机语言(诸如,例如java、c++或perl),使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为例如随机存取存储器(ram)、只读存储器(rom)、例如硬盘驱动器或软盘的磁性介质或例如cd-rom的光学介质的计算机可读介质上的一系列指令或命令。任何此类计算机可读介质可驻存在单个计算装置上或单个计算装置内,并且可以存在于系统或网络内的不同计算设备上或不同计算装置内。
以上描述是说明性的并且不是限制性的。在所属领域的技术人员阅读了本公开后,本发明的许多变化将变得显而易见。因此,本发明的范围不应参考以上描述来确定,而是应参考待决的权利要求以及其完整范围或等效物来确定。
本文中所描述的任何方法可以完全或部分地用计算机系统来执行,所述计算机系统包含可被配置成执行各步骤的一个或多个处理器。因此,实施例可以涉及被配置成执行本文中所描述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同部件的计算机系统。尽管以编号的步骤呈现,但是可以同时或以不同的顺序执行本文中的方法的步骤。另外,这些步骤的部分可以与其它方法的其它步骤的部分一起使用。此外,步骤的全部或部分可以是任选的。另外,任何方法的任何步骤都可以用执行这些步骤的模块、单元、电路或其它构件来执行。
在不偏离本发明的范围的情况下,任何实施例的一个或多个特征可以与任何其他实施例的一个或多个特征组合。
除非特别指出相反的情况,“一个”、“一种”或“所述”的叙述旨在表示“一个或多个”。
上文提到的所有专利、专利申请、公开和描述均通过全文引用的方式并入本文中以用于所有目的。不承认它们是现有技术。
- 还没有人留言评论。精彩留言会获得点赞!