[发明专利]安全令牌分发

说明书

公开了一种用于利用注册机构促进证书签名请求的方法。在至少一个实施方案中，注册机构计算机可以接收与令牌请求者相关联的证书签名请求。注册机构可以对令牌请求者的身份进行认证，并将证书签名请求转发至证书机构计算机。令牌请求者ID和签名证书可以由证书机构计算机提供，并被转发至令牌请求者。令牌请求者可以利用所述令牌请求者ID生成用于后续的基于令牌的交易的数字签名。

相关申请的交叉引用

本申请是2015年12月4日提交的美国临时申请No.62/263，503的非临时申请并要求其提交日的权益，该临时申请的全部内容以引用方式并入本文以用于所有目的。

背景技术

令牌提供了引入新的域控制从而进一步增强生态系统内的安全性的能力。一些令牌类型是根据它们在静止时如何存储而分类的(HCE(主机卡模拟)、SE(安全元件)或者COF(卡存档))。在每次交易当中生成TAVV(交易认证验证值)。TAVV确保请求源自于原始令牌请求者(经过预认证的实体)并且交易是唯一的。在安全执行环境以外生成TAVV可以是很困难的。在一些情况下，令牌提供者向令牌请求者提供一项在提交令牌交易之前获得TAVV的服务。但是，这给令牌请求者造成了几个问题。

要求令牌请求者获得TAVV将带来几个挑战。首先，TAVV增加了额外的时间来接触令牌服务以及等待对TAVV提交的响应。其次，对于令牌提供者的认证需要额外的对称秘钥的开发和存储。再次，令牌提供者可能必须建立新的分发策略，从而建立直接令牌请求者关系。此外，生态系统中的其他令牌提供者将提供各种存在巨大差异的解决方案。

本发明的实施方案解决了这些和其他问题。

发明内容

本发明的实施方案涉及令牌管理。具体而言，本发明的实施方案涉及为令牌请求者(例如，商家或者其他令牌请求者，例如，钱包应用)提供改进的从令牌提供者那里获得令牌的机制。在一些实施方案中，可以将秘钥生成工作移交给令牌请求者而不是要求令牌提供者生成TAVV。此外，可以由令牌提供者以外的实体(例如，收单方)执行对令牌请求者的认证。利用这样的技术，可以通过将令牌提供者从生成或者获得TAVV中解放出来而减轻令牌提供者的计算负担。

本发明的一个实施方案涉及一种方法，其包括在注册机构计算机处接收来自令牌请求者计算机的证书签名请求。所述方法还可以包括由注册机构计算机对与所述令牌请求者计算机相关联的令牌请求者进行认证。所述方法还可以包括向证书机构计算机传输证书签名请求。所述方法还可以包括从证书机构计算机接收分配给令牌请求者的令牌请求者标识符(ID)和签名后的证书。所述方法还可以包括将签名后的证书和令牌请求者ID传输至令牌请求者计算机。在至少一个实施方案中，由令牌请求者计算机对令牌请求者ID的接收可以使得令牌请求者计算机能够生成用于后续的而基于令牌的交易的数字签名。

本发明的另一实施方案涉及一种注册机构计算机，其包括处理器和耦接至所述处理器的计算机可读介质，所述计算机可读介质包括可由所述处理器执行用于实施一种方法的代码。所述方法可以接收来自令牌请求者计算机的证书签名请求。所述方法还可以包括至少部分地基于所述证书签名请求对与令牌请求者计算机相关联的令牌请求者进行认证。所述方法还可以包括向证书机构计算机传输证书签名请求。所述方法还可以包括从证书机构计算机接收签名后的证书和分配给令牌请求者的令牌请求者标识符(ID)。所述方法还可以包括将所述签名后的证书和令牌请求者ID传输至令牌请求者计算机。在至少一个实施方案中，由令牌请求者计算机对令牌请求者ID的接收可以使得令牌请求者计算机能够生成用于后续的而基于令牌的交易的数字签名。

本发明的另一实施方案涉及一种包括接收与第一令牌域相关联的第一支付令牌的方法。所述方法还可以包括使用所述第一支付令牌将令牌供应请求消息传输至令牌提供者计算机，其中，令牌提供者计算机响应于接收到所述令牌供应请求消息生成第二支付令牌，所述第二支付令牌与不同于所述第一令牌域的第二令牌域相关联。所述方法还可以包括接收来自令牌提供者计算机的第二支付令牌。