[发明专利]用于认证网络消息的系统和方法

权利要求书

1.一种用于向网络提供对应用程序编程接口(API)消息的认证的计算机实现的方法，所述方法包括：

从客户端接收API消息，所述API消息包括客户端证书；

由计算设备将所述客户端证书作为对象附加到所述消息；

由所述计算设备将中间证书附加到所述消息，所述中间证书指示所述计算设备；

由计算设备将附加消息发送到API网关，所述API网关包括定义已识别计算设备的储存库；

由所述API网关经由所述储存库基于将所述计算设备识别为已识别计算设备中的一个的所述中间证书，执行所述计算设备的验证；

由所述API网关经由全局访问管理器基于所述客户端证书执行对所述客户端的验证，所述全局访问管理器与所述储存库分开；以及

当所述计算设备被验证时，使得指示客户端的安全令牌被生成，由此所述安全令牌指示所述客户端并且允许来自所述客户端的消息被递送到一个或多个后端服务。

2.如权利要求1所述的方法，其中，执行所述计算设备的验证包括验证中间证书的特异名称与所述已识别计算设备中的一个一致；独立于所述全局访问管理器。

3.如权利要求1所述的方法，其中，使所述安全令牌被生成包括：

当所述计算设备被验证并且所述客户端被验证时，生成内部安全令牌；以及

使安全服务计算设备将所述内部安全令牌转换为所述安全令牌；以及

将包括所述安全令牌的消息发送到由所述消息指示的所述一个或多个后端服务。

4.如权利要求3所述的方法，其中，所述内部安全令牌和所述安全令牌中的至少一个包括SAML令牌。

5.如权利要求1所述的方法，还包括在将所述客户端证书作为所述对象附加到所述消息之前，由所述计算设备基于所述客户端证书经由所述全局访问管理器来验证所述客户端。

6.如权利要求1所述的方法，其中，所述对象包括X.509对象；以及

其中，将所述客户端证书附加到所述消息包括将所述X.509对象附加到所述API消息的头部。

7.如权利要求1所述的方法，其中，所述消息包括HTTP请求；以及

其中，将所述客户端证书附加到所述消息包括将所述客户端证书作为X.509对象附加到所述HTTP请求的头部。

8.如权利要求1所述的方法，其中，所述客户端包括与3D安全协议相关联的商家插件(MPI)；并且

其中，所述消息包括认证请求。

9.如权利要求1所述的方法，还包括当所述计算设备未被验证时终止所述消息。

10.一种用于认证消息的支付网络，所述支付网络包括：

中间计算设备；以及

XML网关，所述XML网关耦合到中间计算设备并包括已识别计算设备的本地储存库；所述XML网关通过可执行指令被配置为：

从计算设备接收消息，所述消息包括中间证书和X.509对象；

基于所述中间证书和所述本地储存库将所述中间计算设备验证为已识别计算设备中的一个；

从所述消息中提取所述X.509对象并基于所述X.509对象验证客户端；以及

当所述中间计算设备被验证时，如所述消息中所指示的，将指示所述客户端的安全令牌发送到所述支付网络的服务提供者。

11.如权利要求10所述的支付网络，还包括全局访问管理器的数据储存库；并且

其中，所述XML网关被配置为调用所述数据储存库以基于所述X.509对象验证所述客户端，但不验证所述中间计算设备。

12.如权利要求11所述的支付网络，其中，所述中间计算设备被配置为从客户端接收所述消息，所述消息包括客户端证书；基于所述客户端证书来验证所述客户端计算设备；并将所述客户端证书作为X.509对象附加到所述消息的头部。