JP5931217B2 - 使い捨てのカード情報を用いた決済方法 - Google Patents

使い捨てのカード情報を用いた決済方法 Download PDF

Info

Publication number
JP5931217B2
JP5931217B2 JP2014552119A JP2014552119A JP5931217B2 JP 5931217 B2 JP5931217 B2 JP 5931217B2 JP 2014552119 A JP2014552119 A JP 2014552119A JP 2014552119 A JP2014552119 A JP 2014552119A JP 5931217 B2 JP5931217 B2 JP 5931217B2
Authority
JP
Japan
Prior art keywords
information
card
disposable
card information
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014552119A
Other languages
English (en)
Other versions
JP2015510628A (ja
Inventor
チョル パク,ヘ
チョル パク,ヘ
キム,ピョンス
イ,チョンジン
Original Assignee
シナンカード カンパニー リミテッド
シナンカード カンパニー リミテッド
ケービー クンミンカード カンパニー リミテッド
ケービー クンミンカード カンパニー リミテッド
ヒョンデ カード カンパニー リミテッド
ヒョンデ カード カンパニー リミテッド
サムソン カード カンパニー リミテッド
サムソン カード カンパニー リミテッド
ロッテ カード カンパニー リミテッド
ロッテ カード カンパニー リミテッド
ノンヒョップ バンク
ノンヒョップ バンク
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シナンカード カンパニー リミテッド, シナンカード カンパニー リミテッド, ケービー クンミンカード カンパニー リミテッド, ケービー クンミンカード カンパニー リミテッド, ヒョンデ カード カンパニー リミテッド, ヒョンデ カード カンパニー リミテッド, サムソン カード カンパニー リミテッド, サムソン カード カンパニー リミテッド, ロッテ カード カンパニー リミテッド, ロッテ カード カンパニー リミテッド, ノンヒョップ バンク, ノンヒョップ バンク filed Critical シナンカード カンパニー リミテッド
Publication of JP2015510628A publication Critical patent/JP2015510628A/ja
Application granted granted Critical
Publication of JP5931217B2 publication Critical patent/JP5931217B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • G06Q20/027Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP] involving a payment switch or gateway
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/326Payment applications installed on the mobile devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Description

本発明は決済方法に係り、より詳しくはモバイル環境でスマートフォンや携帯電話のような決済デバイスがカード社のサーバーから提供される使い捨てのカード情報を用いて決済を進行するようにすることで、実物カード情報の外部への露出を遮断し、これによりモバイル決済環境の保安性を向上させる使い捨てのカード情報を用いた決済方法に関するものである。クレジットカードは、金額に比例して嵩が増加する現金とは異なり、一枚のクレジットカードさえあれば所望程度の費用を決済することができるので、クレジットカードは携帯及び使用が簡便であり、現金を代替する支払手段として広く用いられている。
クレジットカードはカード社または銀行から発給された後、商店でオンラインで連結されたクレジットカードリーダーと接触(または近接)してクレジットカードの有効性だけ検証されれば事実上使用上の制限はほとんどないと思われる。
しかし、クレジットカードが持つ高い便宜性に照らすと、クレジットカードは、使用時にいくつかの留意点がある。
例えば、磁気式クレジットカードの場合、使用者のカード情報が磁気ストリップ(Magnetic Strip Card)に大部分記録されているため、磁気ストリップを読める装備さえあれば他人による盗用が可能である。
磁気式クレジットカードの代案としてIC(Integrated Circuit)を内蔵したスマートカード(またはICカードと言う)が普及されている。スマートカードは磁気式クレジットカードに比べて保安性が向上する利点はあるが、インフラ構築に対する費用は磁気式クレジットカードに比べて高い欠点を持つ。
磁気式クレジットカードや電子クレジットカードはいずれも人が携帯して利用しなければならないので、紛失及び盗難の危険があり、紛失する場合、他人による不法的な使用が発生することができる。
また、インターネットでクレジットカードを使う場合、カード番号及び有効期間の情報だけでも決済がなされる場合が多いので、カード番号及び有効期間の情報は外部に露出されないように管理する必要がある。
このような問題に対し、大韓民国公開特許第10−2002−0096353号では、使い捨ての仮想カードを携帯端末機に発給し、携帯端末機が使い捨ての仮想カード番号を用いて決済を進行するようにする。
このために、大韓民国公開特許第10−2002−0096353号は、携帯端末機の固有ID、個人身上情報、実物カード情報を発給サーバーに提供し、発給サーバーは使用者を確認した後、使い捨ての仮想カードを生成し、生成された使い捨ての仮想カード番号は携帯端末機使用者が費用を決済しようとするたびごとに発給サーバーから獲得するようにする使い捨ての仮想カードサービスシステム及び方法を提案したことがある。
しかし、大韓民国公開特許第10−2002−0096353号は、VAN(Value Added Network)サーバーがカードリーダーで使い捨ての仮想カード番号を受信した後、使い捨ての仮想カード番号を発給した発給サーバーに使い捨ての仮想カード番号の有効性を問い合わせなければならないので、中継サーバーは発給サーバーを介して使い捨てのカード番号の有効性を検証しなければならない。これは既存の決済システムをそのまま用いるというよりは既存の決済システムに付加的な発給サーバーが関与しなければならなく、中継サーバーは発給サーバーに問い合わせて使い捨ての仮想カード番号を認証した後、既存の決済システムを用いると思われる。
これに加え、大韓民国公開特許第10−2002−0096353号は、携帯端末機を用いて毎決栽時ごとに使い捨ての仮想カード番号を発給されなければならないので、実物カードを用いることに比べて便利であるとは思われない。
本発明の目的は、モバイル環境でカード情報に代わる使い捨てのカード情報を用いて信用取引を遂行することにより、カード情報の外部露出を遮断し、これによりモバイル環境での信用取引に対する保安性を向上させる使い捨てのカード情報を用いた決済方法を提供することにある。
前述したような目的は、本発明によって、中継サーバー及び決済デバイスとネットワーク接続され、前記決済デバイスに対応する実物カードのカード情報を備える決済システムによって遂行され、前記決済デバイスから決済予定メッセージを受信する段階;前記決済予定メッセージに応答してBIN(Bank Information Number)は公開され、前記実物カードのカード情報は含まない使い捨てのカード情報を生成して前記決済デバイスに提供する段階;前記使い捨てのカード情報が前記中継サーバーを介してリターン(Return)する第1時間と前記決済デバイスに前記使い捨てのカード情報を提供した第2時間との時間差が予め設定された基準時間を満たすかによって前記中継サーバーから伝送される承認要請メッセージに対する有効性を判断する段階;及び 前記有効性判断結果によって前記決済要請メッセージに対する承認可否を決定する段階によって達成される。
前記目的は、本発明によって、中継サーバー及び決済デバイスとネットワーク接続される決済システムによって遂行され、決済デバイスから使い捨てのカード情報が要請されれば、前記決済デバイスに対するトラック2の情報のPAN領域(Primary Account Number)の中でBINを含む第1領域、前記トラック2の情報の中で前記BINを除いた残り領域を第2領域及び第3領域に区画する段階;前記第1領域を除いた前記第2領域及び前記第3領域のいずれか一つを暗号化してダイナミックトラック2の情報を形成する段階;前記ダイナミックトラック2の情報を前記決済デバイスに提供し、前記ダイナミックトラック2の情報が前記中継サーバーからリターンすれば、前記第2領域及び前記第3領域のいずれか一つを復号化して前記トラック2の情報を構成する段階;及び前記復号化されたトラック2の情報を参照して前記決済デバイスの決済口座を判断する段階によって達成される。
本発明によれば、スマートフォン及び携帯電話のような決済デバイスではカード情報を保存する必要がなく、カード社のサーバーから提供する使い捨てのカード情報を用いて決済を処理することで、カードリーダー及び中継サーバーにつながる既存の決済ネットワークをそのまま用いながらもモバイル決済環境の保安性を向上させることができる。
本発明の一実施例による使い捨てのカード情報を用いた決済方法の概念図を示す。 使い捨てのカード情報を生成する一例の参照図を示す。 使い捨てのカード情報を生成する一例の参照図を示す。 使い捨てのカード情報を生成する一例の参照図を示す。 使い捨てのカード情報を生成する一例の参照図を示す。 使い捨てのカード情報を生成する他の例の参照図を示す。 使い捨てのカード情報を生成する他の例の参照図を示す。 本発明の一実施例による使い捨てのカード情報を用いた決済方法の詳細概念図を示す。 本発明の一実施例による使い捨てのカード情報を用いた決済方法の流れ図を示す。 決済デバイスからカードリーダーに提供される使い捨てのカード情報がQRコード(登録商標)形態である一例の参照図を示す。 本発明の一実施例によるカード社のサーバーのブロック概念図を示す。 ダイナミックトラック2の情報の一例の参照図を示す。 使い捨てのカード情報がダイナミックトラック2の情報の形態を持つとき、ISO/IEC 7813規格によるトラック2の情報を区画する方法の参照図を示す。 使い捨てのカード情報がダイナミックトラック2の情報の形態を持つとき、ISO/IEC 7813規格によるトラック2の情報を区画する方法の参照図を示す。
この明細書で言及する決済デバイスは、モバイル環境で決済可能な装置を意味することができる。モバイル環境で決済可能な装置として、モバイルフォン(Mobile Phone)、スマートフォン(Smart Phone)、ノートブック型PC及びPDA(Personal Digital Assistant)のような装置があるが、この外にも無線通信が可能で、USIM(Universal Subscriber Identity Module)チップまたは金融社でクレジットカード決済を代替する金融チップが装着されている装置の中で携帯可能な装置を指称することもできる。
この明細書で言及する“クレジットカード”と言うクレジットカードそのものはもちろんのこと、クレジットカードを代替する携帯端末機を意味することもできる。
モバイル決済環境で携帯端末機が別途の金融チップを備えなくても決済が可能であり、クレジットカードのデータ規格であるISO/IEC 7813のトラック2の情報をカードリーダーやカード社のサーバーに伝送可能な器機であれば、これを“クレジットカード”と言及することができる。
すなわち、この明細書で、クレジットカードの意味は、磁気式クレジットカード、電子クレジットカードはもちろんのこと、モバイル環境で決済可能な携帯端末機を指称することができるものであり、敢えてカード形態の媒体にその意味が限定されない。
この明細書で言及する中継サーバーは、カードリーダーとカード社のサーバーとの間に備えられるサーバーを意味することができる。または、中継サーバーは、カード社のサーバーやVANサーバーにネットワーク接続されるPOS(Point Of Sales system)サーバーを意味することもできる。中継サーバーは、カードリーダーで決済データをカード社のサーバーに伝送するとき、ぞれぞれのカード社を代行して売上伝票を収集して管理し、カードリーダーから伝送された決済データからカード社情報を把握し、決済データを該当のカード社のサーバーに提供するVAN(Value Added Network)サーバーであることができる。
この明細書で言及するカードリーダーは、既存のMS(Magnetic Strip)クレジットカードからトラック2の情報を読み出す種類のカードリーダー、既存の電子クレジットカードに内蔵されるICチップと接触してトラック2の情報を読み出す種類のカードリーダー、及び携帯電話やスマートフォンのような携帯端末機と近距離無線通信を行ってこれらの携帯端末機からトラック2の情報を得る形態のものが存在することができる。
したがって、カードリーダーは、磁気式クレジットカードと接触してISO/IEC 7813規格のトラック2の情報を獲得する装置、電子クレジットカードまたはUSIMチップや金融チップを内蔵する携帯端末機のいずれか一つと接触または近接して本発明による使い捨てのカード情報を読み出し、これを中継サーバーを介してカード社のサーバーに伝送することができる装置を意味することができる。
この明細書で言及するトラック2(Track2)情報はISO/IEC 7813規格によるデータを意味することができる。
この明細書で言及する決済デバイスは、カードリーダーと近距離無線通信を遂行することができる。この際、決済デバイスはNFC(Near Field Communication)機能のチップを携帯端末機内に別に内蔵するとかあるいはUSIMチップと一体に形成されるものを備えることができる。
本発明で言及するダイナミックトラック2の情報は、PAN(Primary Account Number)領域、ED(Expire Data)領域、SC(Service Code)領域及びDD(Discretionary Data)領域からなるISO/IEC 7813標準のトラック2の情報の中でBIN(Bank Information Number)を除いたPAN領域またはBINを除いた残りのトラック2の情報に対して暗号化して形成する情報を意味することができる。
以下、図面に基づいて本発明を詳細に説明する。
図1は本発明の一実施例による使い捨てのカード情報を用いた決済方法の概念図を示す。
図1を参照すれば、実施例による使い捨てのカード情報を用いた方法は、まず決済デバイス10が決済アプリ11を駆動し、決済アプリ11はカード社のサーバー100で使い捨てのカード情報を要請し、カード社のサーバー100は決済アプリ11から決済デバイス10の識別子を獲得して決済デバイス10を認識する。
決済デバイス10の識別子は、電話番号、ESN(Electrical Serial Number)、UUID(Universal Unique Identifier)及びMAC ADDRESSのいずれか一つであることができ、携帯電話やスマートフォンは電話番号やESNを用いることができ、タブレットPCの場合はUUIDが識別子として用いられることもできる。カード社のサーバー100は決済デバイス10の識別子とカード情報をマッピングしておき、決済デバイス10に組み込まれる決済アプリ11から使い捨てのカード情報が要請されれば、決済デバイス10の識別子に対してマッピングされた実物カード情報を参照し、使い捨てのカード情報を要請したカード所有者(Card Holder)を判断するようになる。
使い捨てのカード情報はカード社のサーバー100から決済デバイス10に伝送するもので、一つの決済のためにカード社のサーバー100でユニーク(Unique)な一つの使い捨てのカード情報を生成し、これを決済デバイス10に提供することができる。決済デバイス10や決済アプリ11は何の種類のカード情報も備える必要がない。
同様に、決済デバイス10に組み込まれる決済アプリ11も実物クレジットカードのカード情報を備える必要はない。決済デバイス10はカード社のサーバー100から獲得した使い捨てのカード情報をカードリーダー50に提供しながら決済を要請し、カードリーダー50は使い捨てのカード情報に加盟店の情報、及び決済費用情報を付け加えて承認要請メッセージを作成し、中継サーバー150を介して作成された承認要請メッセージをカード社のサーバー100に提供することができる。
また、この実施例の使い捨てのカード情報は実物クレジットカードのカード情報の一部(BIN:Bank Information Number)のみを備え、残りの情報は実物クレジットカードに対応する使い捨ての番号に相当するので、該当の番号が他人に露出されると言っても露出された使い捨ての番号が他人によって悪用されるおそれはない。
これに加え、カード社のサーバー100は使い捨てのカード情報が決済デバイス10に提供された時間を基準に所定の基準時間(例えば、3分)内に決済デバイス10に提供された使い捨てのカード情報が中継サーバー150を介してリターン(Return)するかを判断する。本発明において、使い捨てのカード情報はカード社のサーバー100で決済デバイス10に発行した後、基準時間内に中継サーバー150を介してリターンしない場合、中継サーバー150を介して受信される承認要請メッセージを承認しないこともある。
一方、他人によって使い捨てのカード情報が盗用されると言っても、使い捨てのカード情報は決済デバイス10がカードリーダー50と接触(または近接)して決済を進行する都度、カード社のサーバー100から新規に発給されるので、盗用の意味がない。
また、カード社のサーバー100は一定の規則に従って使い捨てのカード情報を発給しないこともあるので、決済デバイス10がモバイル取引を遂行する都度、他人が数回使い捨てのカード情報を繰り返し獲得すると言っても、暗号化/復号化とは異なり、決済デバイス10の次回の使い捨てのカード情報を正確に予測することができない。
カード社のサーバー100は、多数の決済デバイスから決済が要請される都度、使い捨てのカード情報を生成して提供するので、決済デバイス10から要請される使い捨てのカード情報には一貫性がないことができ、カード社のサーバー100で使い捨てのカード情報を発給する方式は、一つの番号テーブルを用いて生成する方法、二つ以上の番号テーブルを用いて生成する方法、カード所有者(Card Holder)のクレジットカードのカード情報を暗号化する方法、及び使い捨てのカード情報が要請される都度、ランダム番号を生成し、ランダム番号を暗号化して使い捨てのカード情報を生成する方法などが用いられることができる。これは図2〜図5を一緒に参照して説明する。
まず、図2は番号テーブルを用いる方法を示すもので、カード社のサーバー100は任意の番号を生成し、任意の番号を番号テーブル80の形態に生成した後、多数の決済デバイスの使い捨てのカード情報が要請される都度、要請される順によって番号テーブル80で生成した番号を提供する方法を示す。
番号テーブル80はカード社のサーバー100で決定した開始数字から一つずつ増加し、次の数字が+1ずつ増加する形を持つことができる。この場合、0000000から9999999の数字となることができる。番号テーブル80は7桁の数字からなった番号で構成されることができ、これは、既存のクレジットカード体系において、BIN以後、7桁の数がカード番号に対応することによるものである。ここで、番号テーブル80は0000000から9999999までの数字が順次に生成される方式の外にも、任意の数で満たされる方式が適用されることもできる。
番号テーブル80は、決済デバイス10から使い捨てのカード情報が要請される都度、採番されて決済デバイス10に提供される。しかし、複数の決済デバイスが存在し、それぞれの決済デバイスで使い捨てのカード情報を要請する場合、使い捨てのカード情報を要請した順によって番号が採番されることができる。よって、使い捨てのカード情報が複数の決済デバイスから要請されるとき、それぞれの決済デバイスのために採番される番号は他人が類推しにくい。
ついで、図3は複数の番号テーブル30a〜30nを用いる方式を示す。カード社のサーバー100は複数の番号テーブル30a〜30nを備え、それぞれの番号テーブル30a〜30nは図2に示した形態の番号テーブル80と同様な方式で0000000から9999999までの数字列からなるとか、あるいは任意に生成された数字列からなることができる。カード社のサーバー100は、決済デバイス10で毎回使い捨てのカード情報が要請される都度、互いに異なる番号テーブル(30a〜30nのいずれか一つ)の中で数字列を採番し、採番した数字列を使い捨てのカード情報として決済デバイス10に提供することができるものである。
例えば、決済デバイス10がカード社のサーバー100に一番目で使い捨てのカード情報を要請するとき、丸1のルートに沿って使い捨てのカード情報が決定され、二番目で使い捨てのカード情報を要請するとき、丸2のルートに沿って使い捨てのカード情報が決定されることができる。
一方、多数の決済デバイスが存在する場合、それぞれの決済デバイスが順次にカード社のサーバー100に使い捨てのカード情報を要請すると仮定すれば、カード社のサーバー100は使い捨てのカード情報が要請された順によって丸1、丸2及び丸3のルートに沿う使い捨てのカード情報をそれぞれの決済デバイスに送付することもできる。
図4はカード社のサーバーから決済デバイスに提供される使い捨てのカード情報の一例の参照図を示す。
図4を参照すれば、使い捨てのカード情報は、実物カード番号に含まれるBIN(Bank Information Number)、7桁のOTC(One Time Code)及びチェックサム(Check sum)からなることができる。BINは決済デバイス10に対応する実物カード番号においてBINに対応する。BINはカード社のサーバー100で暗号化されるとか変調されることができなく、カード社のサーバー100から決済デバイス10に提供される使い捨てのカード情報に含まれるようにすることにより、中継サーバー150が承認要請メッセージを伝送する対象(例えば、カード社のサーバー)を判断するのに用いられることができる。
図5は決済デバイス10で使い捨てのカード情報をカード社のサーバー100に要請するとき、カード社のサーバー100が臨時番号を採番し、生成された臨時番号に対して暗号化関数、例えばAES(Advanced Encryption Standard)、RSA(Rivest Shamir Adleman)、DES(Data Encryption Standard)、TDES(Triple DES)、ARIA(Academy Research Institute Agency)アルゴリズムを適用して使い捨てのカード情報を生成する事例を示す。
図6及び図7はダイナミックトラック2の情報を使い捨てのカード情報として用いる一例の参照図を示す。
まず、図6は本発明の一実施例によるダイナミックPANの構造の参照図を示す。
図6を参照すれば、ダイナミックPANは、PAN(Primary Account Number)領域、ED(Expire Data)領域、SC(Service Code)領域及びDD(Discretionary Data)領域を含むISO/IEC 7813規格のトラック2の情報においてPAN領域を第1領域(BIN)と第2領域(PAN−BIN)に区画する。第1領域(BIN)はカード社を定義するBINを含む領域で、4バイト(Byte)〜10バイト(Byte)の長さを持つことができる。第2領域(PAN−BIN)はPAN領域においてBINを除いた残りの領域を意味することができ、カードリーダー50に付与されたクレジットカードのカード口座情報を含むことができる。ここで、クレジットカードの口座情報はクレジットカードのカード番号であることができる。図6において、
−PAN領域において第1領域(BIN)は固定値(Static Value)である。
−第1領域(BIN)はクレジットカードに彫り上げまたは掘り込みされたカード番号16桁の中で先の8桁を意味することができる。
この際、カード番号16桁はクレジットカードの表面に刻印されるとかあるいは電子クレジットカードに内蔵されるチップに記録されるデータ形態であることができる。USIMチップを内蔵する携帯端末機の場合、16桁の数字列でなるカード番号はUSIMチップ(または別途のメモリ)内に保存されることができる。
−PAN領域の中で第2領域(PAN−BIN)は固定値(Static Value)である。しかし、第2領域(PAN−BIN)は決済デバイス10で駆動する暗号化アルゴリズムによって動的値(Dynamic Value)に変換されることができる。この際、決済デバイス50で駆動する暗号化アルゴリズムは、AES、RSA、DES、TDES、ARIAアルゴリズムの中でいずれか一つのアルゴリズムであり、以下には省略する。
すなわち、ダイナミックPANは固定値である第1領域(BIN)と暗号化アルゴリズムによって暗号化された第2領域(PAN−BIN)が結合された形態を持ち、図示のように、第2領域(PAN−BIN)はカード社のサーバー100に備えられるマスターキー、またはマスターキーによって誘導される誘導キー(derivation key)を備えることもできる。誘導キーを用いる場合、誘導キーはカード社のサーバー100に備えられるマスターキーによって誘導される新しい変形キーの値に対応し、マスターキーの値から誘導キーの値を誘導するためには、前述したATC、乱数、及びPAN領域のデータ(BIN除外)を必要とすることができる。
PAN領域に対する暗号化方法がDES及びTDESの中でいずれか一つである場合、マスターキの値を必要とするハッシュ関数(Hash Function)によって正しい誘導キーの値が算出されることができる。正しい誘導キーの値が算出されれば、カード社のサーバー100は誘導キーの値を用いて暗号化されたダイナミックPANを復号化し、実物カードに対応するPANを抽出することができる。
第2領域(PAN−BIN)が暗号化された状態で、ダイナミックPANがカードリーダー50に露出されるとかあるいはカードリーダー50から中継サーバー150に伝送される過程で露出されると言っても、カード社のサーバー100に備えられるマスターキー(Master Key、または誘導キー)なしには暗号化されたPAN領域を復号化することができなく、カード社のサーバー100側でマスターキーを用いて復号化するアルゴリズム(TDESアルゴリズム)と同一のアルゴリズムが分からない限り、外部人による第2領域(PAN−BIN)の復号化はとても難しい。
図7はPAN領域で第2領域を形成する方法の参照図を示す。
先に、図7の(a)は決済デバイス10がPAN領域に対して第2領域を形成する事例を示す。
図7の(a)において、トラック2の情報は、PAN領域、有効期間領域(ED)、サービスコード領域(SC)、及び任意領域(DD)を含んでなるが、決済デバイス10はBINを除いたPAN領域に対してだけ第2領域を形成し、有効期間領域(ED)、サービスコード領域(SC)及び任意領域(DD)は第2領域に区画しない。
このような方法でPANを形成する場合、通常のクレジットカードに彫り上げまたは掘り込みされた16桁のカード番号によってもダイナミックPANを形成することができる。
図7の(b)において、決済デバイス10はトラック2の情報にカード口座を含むPAN領域、有効期間領域(ED)、サービスコード領域(SC)及び任意領域(DD)を第2領域に区画し、第2領域に対して暗号化アルゴリズムを適用して暗号化することができる。
図7の(a)及び図7の(b)に基づいて説明されたダイナミックPANは両者共にBINが記載された第1領域が暗号化されなかったので、中継サーバー150は別途の復号化アルゴリズムまたは復号化のためのマスターキーを用いる必要がない。また、中継サーバー150はカードリーダー50から提供される決済要請メッセージを受信した後、暗号化されていないBINを参照し、受信された決済要請メッセージをどのカード社のサーバーに送付しなければならないかを直ちに把握することができる。
図8は本発明の一実施例による使い捨てのカード情報を用いた決済方法の詳細概念図を示す。
図8を参照すれば、実施例による使い捨てのカード情報を用いた決済方法は、決済デバイス10に組み込まれた決済アプリ11がカード社のサーバー100に接続し、カード社のサーバー100は決済デバイス10の使用者及び決済デバイス10に組み込まれた決済アプリ11によって登録されたカード情報を判断し、カード情報を用いてダイナミックトラック2の情報を生成するとか、あるいはOTCを生成することができる。カード社のサーバー100はダイナミックトラック2の情報またはOTCを生成した後、移動通信社サーバー200を経由して決済デバイス10側決済アプリ11に伝送する。この際、カード社のサーバー100はダイナミックトラック2の情報またはOTCを伝送した時間を記録しておくことができる。
決済アプリ11は、決済デバイス10がカードリーダー50と接触するとか近接するとき、カードリーダー50にダイナミックトラック2の情報またはOTCを提供する。この際、決済アプリ11はカード社のサーバー100を介して提供されるダイナミックトラック2の情報またはOTCを決済デバイス10に内蔵されるメモリ12に保存せず、そのままカードリーダー50に伝送することができる。これにより、決済デバイス10内には何の形態のカード情報も残らないようにすることができ、これは決済デバイス10の紛失及び盗難のような状況でもカード情報の盗用による被害を防止することができるようにする。
決済端末機50は、決済デバイス10に組み込まれる決済アプリ11によってダイナミックトラック2の情報またはOTCを受信すれば、決済金額、加盟店の情報を含む承認要請メッセージを作成する。ダイナミックトラック2の情報またはOTCは共にBIN情報が公開されるように生成されるので、中継サーバー150からどのカード社のサーバーに承認要請メッセージを伝送しなければならないかを判断することができ、これはダイナミックトラック2の情報を復号化するために中継サーバー150やカードリーダー50を変更する必要がないことを意味し、ひいては既存の決済インフラ50、150をそのまま用いることができることも意味する。
カード社のサーバー100は、決済デバイス10側の決済アプリ11に使い捨てのカード情報(ダイナミックトラック2の情報またはOTC)を伝送した時間と中継サーバー150を介して提供される承認要請メッセージ(承認要請メッセージには使い捨てのカード番号が含まれている)が受信される時間との時間差を算出する。算出された時間差を用いて使い捨てのカード情報に対する時間有効性を判断することができる。時間有効性は時間差が1分〜10分であることを基準とすることができるが、この時間差は言及したものより小さいとかもっと大きくなることができる。カード社のサーバー100は、時間有効性を満たすとき、決済処理のための承認メッセージを中継サーバー150に伝送することができ、時間有効性を満たすことができないときは取り消しメッセージを中継サーバー150に伝送することができる。
図2〜図7によって提示された方法によって生成される使い捨てのカード情報が決済デバイス10に組み込まれる決済アプリ11に提供された後、決済アプリ11は無線で使い捨てのカード情報をカードリーダー50に伝送するとか、1次元バーコードを用いてカードリーダー50に伝送するとかあるいはQRコード(登録商標)を用いてカードリーダー50に使い捨てのカード情報を伝送することができる。もちろん、決済アプリ11は使い捨てのカード情報にトラック2の情報を付け加えて一緒に伝送することもできる。
カードリーダー50は、決済費用、加盟店の情報及び決済デバイス10で獲得した使い捨てのカード情報を含む承認要請メッセージを作成し、作成された承認要請メッセージを中継サーバー150に送付し、中継サーバー150は使い捨てのカード情報と結合されたBIN(Bank Information Number)を参照してどのカード社のサーバーに承認要請メッセージを伝送するかを判断する。
判断結果によって中継サーバー150は承認要請メッセージを該当のカード社のサーバー(例えば、参照符号“100”)に送付し、カード社のサーバー100は使い捨てのカード情報に対する実物カード情報を判断し、承認要請メッセージで要請された決済費用の限度超過、実物カード番号の有効性に対する有効性判断を遂行する。使い捨てのカード情報に対する実際カード番号が有効であると判断されれば、カード社のサーバー100は中継サーバー150を介してカードリーダー50に承認メッセージを送付し、反対の場合は取消メッセージを送付することができる。
図9は本発明の一実施例による使い捨てのカード情報を用いた決済方法の流れ図を示す。
図9を参照すれば、実施例による使い捨てのカード情報を用いた使い捨てのカード情報を用いた決済方法は、決済デバイス10が決済アプリ11を駆動し、決済デバイス10がカード社のサーバー10に決済を進行するという事前決済メッセージを知らせる。その後、決済アプリ11は、カード社のサーバー100に無線ネットワークで接続して使い捨てのカード情報を要請することができる。
ついで、カード社のサーバー100は、決済デバイス10が使い捨てのカード情報を要請するとき、無線で接続された決済デバイス10の識別子を獲得し、識別子を参照して決済デバイス10に対応するカード情報を検索する。決済デバイス10が携帯電話やスマートフォンである場合、識別子は電話番号そのものであるかあるいはESN(Electrical Serial Number)であることができ、決済デバイス10がタブレットPCである場合、MAC ADDRESSまたはUUID(Universal UniqueI Dentifier)であることができる。
決済デバイス10が使い捨てのカード情報を要請するとき、決済デバイス10に対応するカード情報を判断するため、カード社のサーバー100は事前に決済デバイス10を登録しておく必要がある。決済デバイス10の登録はカード所有者(Card Holder)が金融社に立ち寄って登録するとか、コンピュータを用いてオンラインで登録するとか、あるいは決済デバイス10が携帯電話やスマートフォンである場合、モバイル環境で登録することもできる。ただ、これらに限定されない。
ついで、カード社のサーバー100は、図2〜図8に基づいて説明した方法(OTCを用いる方法及びD−TRACK2の情報を用いる方法)のいずれか一つによって使い捨てのカード情報を生成し、生成した使い捨てのカード情報を決済デバイス10に無線で伝送することができる。この際、カード社のサーバー100は、決済デバイス10に対応するカード情報からトラック2の情報をさらに抽出して決済デバイス10に伝送することができる。
ついで、決済デバイス10は、使い捨てのカード情報(OTC、またはダイナミックトラック2の情報)をカードリーダー50に提供し、カードリーダー50は決済デバイス10から獲得した使い捨てのカード情報を含む承認要請メッセージを作成することができる。承認要請メッセージにはカードリーダー50に関連した加盟店の情報及び決済費用情報が含まれることができる。
ここで、カードリーダー50は、下記の各号によって使い捨てのカード情報を獲得することができる。
1)決済デバイス10がNFC(Near Field Communication)を用いて使い捨てのカード情報(またはこれに加えてトラック2の情報)を伝送すれば、これを受信する。
2)決済デバイス10がディスプレイ装置を備える場合(例えば、携帯電話またはスマートフォン)、ディスプレイ装置によって1次元バーコード形に使い捨てのカード情報を表示し、カードリーダー50はバーコードリーダー20によって使い捨てのカード情報を獲得する。
3)決済デバイス10がディスプレイ装置を備える場合、決済デバイス10はQRコード(登録商標)形の使い捨てのカード情報を表示し、カードリーダー50はバーコードリーダー20によって使い捨てのカード情報を獲得することができる。
ここで、2)及び3)の場合には、カードリーダー50がバーコードリーダー20によって使い捨てのカード情報を獲得しなければならない。この際、カード社のサーバー100は、1次元バーコード、またはQRコード(登録商標)形に使い捨てのカード情報を生成して決済デバイス10に提供しなければならない。
カードリーダー50で作成された承認要請メッセージは中継サーバー150を介してカード社のサーバー100に伝達され、カード社のサーバー100は中継サーバー150から使い捨てのカード情報を受信した後、図8に示したチェックサムデータを参照して使い捨てのカード情報のエラー有無を判断及び訂正し、使い捨てのカード情報に対応する実物カード番号を検索することができる。
使い捨てのカード情報に対応する実物カード番号を検索した後、カード社のサーバー100は、実物カード番号が有効なカード番号であるかを判断し、判断結果、有効なカード番号であり、承認要請メッセージに含まれる決済費用が決済限度内の金額である場合、有効性承認要請メッセージに判断することができる。承認要請メッセージが有効な場合、カード社のサーバー100は中継サーバー150に承認結果を知らせることができる。
図10は決済デバイスからカードリーダー50に提供される使い捨てのカード情報がQRコード(登録商標)形態である一例の参照図を示す。図10を参照すれば、カード社のサーバー100はQRコード(登録商標)形態に表現されるダイナミックトラック2の情報を決済デバイス10に提供し、決済デバイス10は画面52にQRコード(登録商標)52a形態のダイナミックトラック2の情報を表示し、QRコード(登録商標)52aが画面52に表示された状態で画面52をバーコードリーダー(例えば、図1の参照符号20)に近づけてカードリーダー50にダイナミックトラック2の情報を渡すことができる。この際、画面52にはカード所有者(Card Holder)のサインが一緒に表示されることができ、画面52に表示されるサインはカード社のサーバー100から決済デバイス10に提供されたものであり、あるいは画面52がタッチスクリーンの場合、カード所有者(Card Holder)がタッチ入力によって記入したものであることができる。
図11は本発明の一実施例によるカード社のサーバーのブロック概念図を示す。
図11を参照すれば、カード社のサーバー100は、OTC生成モジュール110、OTC暗号化モジュール120、OTC復号化モジュール130、OTC検証モジュール140、有効性判断モジュール150、データベース160、ダイナミックトラック2生成モジュール170、及びダイナミックトラック2復号化モジュール180を含んでなることができる。
データベース160には決済デバイス10の登録情報が備えられることができる。決済デバイス10の登録情報は、決済デバイスの識別子、例えば決済デバイスの電話番号、ESN、UUID、MAC ADDRESSのような識別子情報を含むことができ、識別子は決済デバイス10で用いる実物カード情報(例えば、カード番号、カード所有者情報、ATC、クレジットカードの決済限度)が備えられることができる。
OTC生成モジュール110は、決済デバイス10側で使い捨てのカード情報を要請するとき、先に図4及び図5に基づいて説明した方法によって使い捨てのカード情報を生成することができる。生成された使い捨てのカード情報はBINが同一であるということを除けば、実物カード番号またはカード情報とは何の連関性もなく、特定のアルゴリズムによるパターンを持つものでもないので、他人に露出されると言っても盗用のおそれはない。
OTC暗号化モジュール120は使い捨てのカード情報をAES(Advanced Encryption Standard)、RSA(Rivest Shamir Adleman)、DES(Data Encryption Standard)、TDES(Triple DES)、ARIA(Academy Research Institute Agency)アルゴリズムによって暗号化することができる。
これは前述した図4及び図5の場合に当たるもので、使い捨てのカード情報を暗号化しない場合にはカード社のサーバー100から省略可能な構成に当たる。
OTC復号化モジュール130は、使い捨てのカード情報がOTC暗号化モジュール120で暗号化された場合、暗号化された使い捨てのカード情報がカード社のサーバー−決済デバイス−カードリーダー−中継サーバーを介してカード社のサーバーにリターンするとき、リターンした使い捨てのカード情報を復号化することができる。この際、OTC復号化モジュール130はOTC暗号化モジュール120で用いられる暗号化方式に対する逆暗号化方式(復号化方式)が適用されなければならない。
OTC検証モジュール140は、図8に示したチェックサムデータを用いて使い捨てのカード情報が正しい値であるかを判断することができる。チェックサムデータは7桁の数字列でなる使い捨てのカード情報の値から生成され、ECC(Error Correcting Code)体系で構成されることもできる。ただ、これに限定されない。
有効性判断モジュール140はデータベース160に保存された口座情報を参照して使用可能なクレジットカードであるかを判断する。この際、承認要請メッセージに含まれる決済費用が決済限度(例えば、一日使用限度)を超えないかを判断する。判断結果、決済限度を満たして有効なクレジットカードの場合、中継サーバー200に承認可否を知らせることができる。
ダイナミックトラック2生成モジュール120は、カード社のサーバー100から決済デバイス10に提供する使い捨てのカード情報がダイナミックトラック2の情報の場合、ダイナミックトラック2の情報を生成するモジュールであって、決済ディアビス10から使い捨てのカード情報(ダイマニックトラック2の情報)が要請された時間を参照して乱数を生成し、生成された乱数、決済デバイス10の費用ATC(Application Transaction Count)、及び決済デバイス10からデータベース150に予め登録しておいたクレジットカードのカード情報の中でトラック2の情報を入力として暗号化することにより、暗号化されたダイナミックトラック2の情報を生成する。
ダイナミックトラック2の情報は決済デバイス10に無線伝送されるとか、1次元バーコードまたはQRコード(登録商標)で形成され、決済デバイス10はカードリーダー50にダイナミックトラック2の情報を伝送し、カードリーダー50はダイナミックトラック2の情報、決済費用、及び加盟店の情報を含む承認要請メッセージを作成して中継サーバー150に伝送することができる。中継サーバー150はダイナミックトラック2の情報の中で暗号化されなかったBINを用いてカード社のサーバー100に承認要請メッセージを伝送する。
ダイナミックトラック2復号化モジュール130は、中継サーバー150を介して伝送した承認要請メッセージからダイナミックトラック2の情報を獲得し、これを復号化してトラック2の情報を抽出することができる。抽出されたトラック2の情報は有効性判断モジュール140に提供され、有効性判断モジュール140はデータベース150に保存された実物カードのカード情報を参照して使用可能なクレジットカードであるかを判断する。この際、承認要請メッセージに含まれる決済費用が決済限度(例えば、一日使用限度)を超えないかを判断する。判断結果、決済限度を満たして有効なクレジットカードである場合、中継サーバー200または一回使用限度を超えないかを判断する。判断結果、決済限度以内の費用で、有効なクレジットカードである場合、中継サーバー200に承認可否を知らせることができる。
図12はダイナミックトラック2の情報の一例の参照図を示す。
図12を参照すれば、ダイナミックトラック2の情報は、PAN領域、ED領域、SC領域、及びDD領域から構成され、カード社のサーバー100でPAN領域を暗号化するとき、暗号化のために必要な情報を含むことができる。
PAN領域の暗号化は、AES(Advanced Encryption Standard)、RSA(Rivest、Shamir、Adleman)、DES(Data Encryption Standard)、TDES(Triple DES)、ARIA(Academy Research Institute Agency)アルゴリズムなどが適用されることができ、この外にも多様な暗号化アルゴリズムが適用されることができる。
PAN領域の暗号化のために任意の乱数が要求され、これに加え、決済デバイス10からカード社のサーバー100に要請した取引要請順番(ATC:Application Transaction Count)を暗号化アルゴリズムの入力値として用いることができる。この場合、任意の乱数及びATCはダイナミックトラック2の情報を構成するDD領域に配置されることができる。DD領域は金融社で任意に利用可能なデータフィールドに相当し、DD領域には乱数及びATCの外にクレジットカードのCVC(Card Verification Code)値が含まれることができる。
図12に示したダイナミックトラック2の情報の構造を用いて、カード社のサーバー100は、中継サーバー150からダイナミックトラック2の情報を含む承認要請メッセージが伝送されるとき、承認要請メッセージに含まれるダイナミックトラック2の情報のDD領域からダイナミックトラック2の情報を復号化する乱数及びATC値を獲得することができる。
すなわち、カード社のサーバー100は、決済デバイス10に最初に伝送したダイナミックトラック2の情報が中継サーバー150を経て帰るとき、DD領域に含まれるATCと乱数を参照してダイナミックトラック2の情報を復号化することができる。
図13及び図14は、使い捨てのカード情報がダイナミックトラック2の情報の形態を持つとき、ISO/IEC 7813規格によるトラック2の情報を区画する方法の参照図を示す。
図13を参照すれば、ISO/IEC 7813規格のトラック2の情報は、
−BINを第1領域に区画し、
−PAN領域の中でBINを除いた残りを第2領域に区画し、
−トラック2の情報の中で第1領域と第2領域を除いた残りを第3領域に区画することができる。図13において、ダイナミックトラック2の情報は第2領域のみを暗号化することができる。
図14を参照すれば、ISO/IEC 7813規格によるトラック2の情報は、
−BINを第1領域に区画し、
−PAN領域の中でBINを除いた残りを第2領域に区画し、
−ED、SC、DD領域の中で、一領域を第3領域に区画することができる。この場合、第2領域、または第3領域が暗号化対象であることができ、暗号化関数は、前述したAES(Advanced Encryption Standard)、RSA(Rivest Shamir Adleman)、DES(Data Encryption Standard)、TDES(Triple DES)、ARIA(Academy Research Institute Agency)アルゴリズムによる暗号化関数の一つであることができる。
10 決済デバイス
11 決済アプリ
20 バーコードリーダー
50 カードリーダー
100 カード社のサーバー
150 中継サーバー
本発明はモバイルフォン、スマートフォンのような決済デバイスを用いるモバイル信用取引に適用することができ、モバイル決済環境の保安性を向上させ、信用カード社及びモバイル決済を用いる産業の活性化に寄与することができる。

Claims (20)

  1. 中継サーバー及び決済デバイスとネットワーク接続され、前記決済デバイスに対応する実物カードのカード情報及び複数の番号テーブルを備える決済システムによって遂行され、
    前記決済デバイスから決済予定メッセージを受信する段階;
    前記決済予定メッセージに応答して、公開されたBIN(Bank Information Number)情報及び予め設定された基準によって生成された使い捨てのカード番号を含み、前記公開されたBIN情報以外の前記実物カードのカード情報は含まない使い捨てのカード情報を生成して前記決済デバイスに提供する段階;
    前記使い捨てのカード情報が前記中継サーバーを介してリターンする第1時間と前記決済デバイスに前記使い捨てのカード情報を提供した第2時間との時間差が予め設定された基準時間を満たすかによって前記中継サーバーから伝送される承認要請メッセージに対する有効性を判断する段階;及び
    前記有効性判断結果及び前記中継サーバーからリターンした使い捨てのカード情報に対応する実物カード情報によって前記承認要請メッセージに対する承認可否を決定する段階;を含み、
    前記使い捨てのカード番号は、前記複数の番号テーブルのうちの少なくとも一つの番号テーブルから採番される番号列であり、
    前記使い捨てのカード情報を生成して前記決済デバイスに提供する段階は、前記使い捨てのカード番号の生成時に、以前に採番された番号テーブルの順番とは異なる番号テーブルの異なる順番に保存された番号列を採番して前記使い捨てのカード番号を生成し、
    前記使い捨てのカード情報は、前記公開されたBIN情報に、前記予め設定された基準によって前記採番された使い捨てのカード番号が付加されて形成されることを特徴とする、使い捨てのカード情報を用いた決済方法。
  2. 前記基準時間は、0.1秒〜10分であることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  3. 前記決済デバイスは、前記使い捨てのカード情報を受信した後、受信された使い捨てのカード情報をカードリーダーに提供することを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  4. 前記決済デバイスは、IC(intergrated circuit)チップを備える電子クレジットカード及び携帯端末機のいずれか一つであることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  5. 前記承認要請メッセージは、前記使い捨てのカード情報、加盟店の情報及び決済金額に対する情報を含んでなることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  6. 前記使い捨てのカード情報は、1次元バーコード及びQRコード(登録商標)のいずれか一つの形態であることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  7. 前記予め設定された基準によって生成された使い捨てのカード番号は、公開された任意の数字列または暗号化された数字列の形態で生成されることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  8. 前記使い捨てのカード情報は、前記BIN、前記番号テーブルから採番された番号及びエラー訂正コードを含んでなることを特徴とする、請求項に記載の使い捨てのカード情報を用いた決済方法。
  9. 前記エラー訂正コードを用いて、前記番号テーブルから採番された番号に対するエラーを検証する段階;をさらに含むことを特徴とする、請求項に記載の使い捨てのカード情報を用いた決済方法。
  10. 前記採番された番号を暗号化する段階;をさらに含むことを特徴とする、請求項に記載の使い捨てのカード情報を用いた決済方法。
  11. 前記暗号化する段階は、AES(Advanced Encryption Standard)、RSA(Rivest、Shamir、Adleman)、DES(Data Encryption Standard)、TDES(Triple DES)、及びARIA(Academy Research Institute Agency)アルゴリズムのいずれか一つによって前記採番された番号を暗号化する段階であることを特徴とする、請求項10に記載の使い捨てのカード情報を用いた決済方法。
  12. 前記使い捨てのカード情報は、前記決済デバイスの固有情報に対応するトラック2の情報の中でBINを公開状態にし、前記BINを除いたPAN(Primary Account Number)を暗号化して形成するダイナミックトラック2の情報であることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  13. 前記固有情報は、前記決済デバイスの電話番号、ESN(Electrical Serial Number)、UUID(Universal Unique Identifier)及びMAC ADDRESSのいずれか一つであることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  14. 前記決済デバイスは、カードリーダーによって前記ダイナミックトラック2の情報を前記中継サーバーに提供して決済を要請することを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  15. 前記ダイナミックトラック2の情報は、前記トラック2の情報の中で前記BINを除いた残り領域全体に対して暗号化して形成されることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  16. 前記ダイナミックトラック2の情報は、前記トラック2の情報の中で前記BINを除いた残りPAN領域に対して暗号化して形成することを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  17. 前記ダイナミックトラック2の情報は、前記中継サーバーから伝送される承認要請メッセージに含まれてリターンすることを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  18. 前記決済デバイスは、カードリーダーによって前記ダイナミックトラック2の情報を前記中継サーバーに提供して決済を要請し、
    前記承認要請メッセージは、決済金額、前記ダイナミックトラック2の情報、及び前記カードリーダーに対する加盟店の情報のいずれか一つを含むことを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  19. 前記決済デバイスは、近距離無線通信を用いてカードリーダーで前記使い捨てのカード情報を伝送することを特徴とする、請求項1に記載の使い捨てのカード情報を用いた決済方法。
  20. 中継サーバー及び決済デバイスとネットワーク接続される決済システムによって遂行され、
    決済デバイスから使い捨てのカード情報が要請されれば、前記決済デバイスに対するトラック2の情報のPAN領域(Primary Account Number)の中でBINを含む第1領域、前記トラック2の情報の中で前記BINを除いた残り領域を第2領域及び第3領域に区画する段階;
    前記第1領域を除いた前記第2領域及び前記第3領域のいずれか一つを暗号化してダイナミックトラック2の情報を形成する段階;
    前記ダイナミックトラック2の情報を前記決済デバイスに提供し、前記ダイナミックトラック2の情報が前記中継サーバーからリターンすれば、前記第2領域及び前記第3領域のいずれか一つを復号化して前記トラック2の情報を構成する段階;及び
    前記復号化されたトラック2の情報を参照して前記決済デバイスの決済口座を判断する段階;を含み、
    前記ダイナミックトラック2の情報は、使い捨てのカード番号を含む使い捨てのカード情報であり、
    前記使い捨てのカード番号は、予め備えられた複数の番号テーブルのうちの少なくとも一つの番号テーブルからから採番される番号列であり、
    前記使い捨てのカード番号は、以前に採番された番号テーブルの順番とは異なる番号テーブルの異なる順番に保存された番号列を採番して生成され、
    前記使い捨てのカード情報は、公開されたBIN情報に、予め設定された基準によって前記採番された使い捨てのカード番号が付加されて形成されることを特徴とする、使い捨てのカード情報を用いた決済方法。
JP2014552119A 2012-12-10 2012-12-28 使い捨てのカード情報を用いた決済方法 Active JP5931217B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2012-0142467 2012-12-10
KR1020120142467A KR101330943B1 (ko) 2012-12-10 2012-12-10 일회성 카드정보를 이용한 결제 방법
PCT/KR2012/011674 WO2014092233A1 (ko) 2012-12-10 2012-12-28 일회성 카드정보를 이용한 결제 방법

Publications (2)

Publication Number Publication Date
JP2015510628A JP2015510628A (ja) 2015-04-09
JP5931217B2 true JP5931217B2 (ja) 2016-06-08

Family

ID=49858033

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014552119A Active JP5931217B2 (ja) 2012-12-10 2012-12-28 使い捨てのカード情報を用いた決済方法

Country Status (6)

Country Link
US (1) US9818113B2 (ja)
EP (1) EP2930678A4 (ja)
JP (1) JP5931217B2 (ja)
KR (1) KR101330943B1 (ja)
CN (1) CN103999107A (ja)
WO (1) WO2014092233A1 (ja)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101354388B1 (ko) * 2012-12-12 2014-01-23 신한카드 주식회사 일회성 카드번호 생성방법
US10515370B2 (en) 2013-10-09 2019-12-24 The Toronto-Dominion Bank Systems and methods for providing tokenized transaction accounts
US10127528B2 (en) 2013-12-20 2018-11-13 Movocash, Inc. Financial services ecosystem
WO2015152619A1 (ko) * 2014-03-31 2015-10-08 주식회사 댓츠잇 위치정보에 기반한 사용자와 가맹점간 정보 제공 시스템 및 그 방법
US9652770B1 (en) 2014-04-30 2017-05-16 Wells Fargo Bank, N.A. Mobile wallet using tokenized card systems and methods
US11663599B1 (en) 2014-04-30 2023-05-30 Wells Fargo Bank, N.A. Mobile wallet authentication systems and methods
US11748736B1 (en) 2014-04-30 2023-09-05 Wells Fargo Bank, N.A. Mobile wallet integration within mobile banking
US11610197B1 (en) 2014-04-30 2023-03-21 Wells Fargo Bank, N.A. Mobile wallet rewards redemption systems and methods
US10997592B1 (en) 2014-04-30 2021-05-04 Wells Fargo Bank, N.A. Mobile wallet account balance systems and methods
US11288660B1 (en) 2014-04-30 2022-03-29 Wells Fargo Bank, N.A. Mobile wallet account balance systems and methods
US11461766B1 (en) 2014-04-30 2022-10-04 Wells Fargo Bank, N.A. Mobile wallet using tokenized card systems and methods
US10185960B2 (en) 2014-07-11 2019-01-22 Google Llc Hands-free transactions verified by location
EP3167417A1 (en) * 2014-07-11 2017-05-17 Google, Inc. Hands-free offline communications
US20160012426A1 (en) 2014-07-11 2016-01-14 Google Inc. Hands-free transactions with a challenge and response
US10445739B1 (en) 2014-08-14 2019-10-15 Wells Fargo Bank, N.A. Use limitations for secondary users of financial accounts
US10380580B1 (en) 2014-08-26 2019-08-13 Roam Data, Inc. System and method for conveying card data using matrix bar codes
US10510071B2 (en) 2014-09-29 2019-12-17 The Toronto-Dominion Bank Systems and methods for generating and administering mobile applications using pre-loaded tokens
KR101513144B1 (ko) * 2014-10-13 2015-04-17 (주)엠씨페이 셀프 결제가 가능한 카드 결제 시스템 및 이를 이용한 카드 결제 방법
US10373168B2 (en) * 2015-01-12 2019-08-06 Mastercard International Incorporated Method and system for retry processing of controlled payment transactions
CN104574069A (zh) * 2015-01-30 2015-04-29 广东欧珀移动通信有限公司 一种近场通信nfc支付方法及装置
US11853919B1 (en) 2015-03-04 2023-12-26 Wells Fargo Bank, N.A. Systems and methods for peer-to-peer funds requests
KR20160111286A (ko) 2015-03-16 2016-09-26 삼성전자주식회사 결제 부가 서비스 정보 처리 방법 및 이를 지원하는 전자 장치
KR101587414B1 (ko) 2015-04-02 2016-01-21 주식회사 다날 일회용 신용카드 번호 기반의 결제 보조 장치 및 방법
KR101847378B1 (ko) * 2015-04-27 2018-04-10 알서포트 주식회사 모바일단말 및 가성카드를 이용한 결제방법
CN113115285A (zh) * 2015-06-23 2021-07-13 创新先进技术有限公司 信息处理方法及装置
KR101760502B1 (ko) * 2015-07-14 2017-07-21 김병수 다이나믹 트랙 2 결제 시스템 및 방법
KR101626962B1 (ko) * 2015-08-04 2016-06-02 주식회사 세한알에프시스템 카드 정보 트랜잭션 시스템과 그를 위한 암호화 서버 및 복호화 서버
KR101670607B1 (ko) * 2015-08-31 2016-11-09 조효식 일회성 카드 정보를 이용한 카드 결제 장치
KR101615685B1 (ko) 2015-09-07 2016-04-26 조효식 일회성 카드 정보를 이용한 카드 결제 장치
KR101644568B1 (ko) 2015-10-15 2016-08-12 주식회사 한국엔에프씨 이동통신단말기간 카드 결제를 수행하는 모바일 카드 결제 시스템 및 방법
KR20170093032A (ko) * 2016-02-04 2017-08-14 삼성전자주식회사 사용자단말기, 서버 및 그들의 제어방법
KR102084174B1 (ko) 2016-03-01 2020-04-23 구글 엘엘씨 핸즈 프리 거래용 얼굴 프로필 수정
KR102580301B1 (ko) * 2016-04-21 2023-09-20 삼성전자주식회사 보안 로그인 서비스를 수행하는 전자 장치 및 방법
CN106875175B (zh) 2016-06-28 2020-07-24 阿里巴巴集团控股有限公司 一种便于支付主体扩展的方法和装置
US10474879B2 (en) 2016-07-31 2019-11-12 Google Llc Automatic hands free service requests
WO2019031644A1 (ko) * 2017-08-09 2019-02-14 주식회사 센스톤 가상카드번호 기반의 금융거래제공시스템, 가상카드번호생성장치, 가상카드번호검증장치, 가상카드번호 기반의 금융거래제공방법 및 가상카드번호 기반의 금융거래제공프로그램
KR101978812B1 (ko) * 2017-08-09 2019-05-15 주식회사 센스톤 가상카드번호 기반의 금융거래제공시스템, 가상카드번호생성장치, 가상카드번호검증장치, 가상카드번호 기반의 금융거래제공방법 및 가상카드번호 기반의 금융거래제공프로그램
US11875337B2 (en) 2017-08-09 2024-01-16 SSenStone Inc. Smart card for providing financial transaction by using virtual card number
KR101840013B1 (ko) * 2017-10-20 2018-03-19 주식회사 단솔플러스 음파 통신을 이용한 근거리 결제 시스템
KR102005554B1 (ko) * 2018-08-09 2019-07-30 주식회사 센스톤 공카드를 이용한 금융거래제공방법 및 시스템
KR102233445B1 (ko) * 2019-01-28 2021-03-29 스마트데이터 주식회사 Hid를 이용한 신용카드 정보 입력 방법 및 장치
US11551190B1 (en) 2019-06-03 2023-01-10 Wells Fargo Bank, N.A. Instant network cash transfer at point of sale
EP3767569A1 (en) * 2019-07-18 2021-01-20 Mastercard International Incorporated An electronic transaction method and device using a flexible transaction identifier
WO2021025698A1 (en) * 2019-08-08 2021-02-11 Visa International Service Association Computer-implemented method, system, and computer program product for authenticating a transaction
KR102421860B1 (ko) * 2020-03-16 2022-07-19 장금숙 O2o 통합결제 서비스 플랫폼을 이용한 o2o 통합결제시스템 및 이를 이용한 o2o 통합결제방법
KR102445948B1 (ko) * 2020-04-03 2022-09-21 주식회사 티머니 Qr코드를 이용한 usim 선불카드 결제방법
KR20220129441A (ko) 2021-03-16 2022-09-23 박희영 애플리케이션과 연동된 실물카드의 일회성 결제전용번호 생성을 통한 결제 방법 및 시스템
KR102468377B1 (ko) * 2021-07-30 2022-11-23 권성재 대체신용카드번호를 활용한 온라인 결제 방법
CN115545692A (zh) * 2022-10-17 2022-12-30 广州汇登信息科技有限公司 一种跨境电商平台多货币结算方法及系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5949044A (en) * 1997-06-13 1999-09-07 Walker Asset Management Limited Partnership Method and apparatus for funds and credit line transfers
JP2000322486A (ja) * 1999-02-12 2000-11-24 Citibank Na 銀行カード取引きを履行するための方法およびシステム
EP1245009A1 (en) * 1999-12-17 2002-10-02 Chantilley Corporation Limited Secure transaction systems
WO2003081832A2 (en) * 2002-03-19 2003-10-02 Mastercard International Incorporated Method and system for conducting a transaction using a proximity device
KR100441118B1 (ko) 2001-06-19 2004-07-19 한국모바일페이먼트서비스(주) 일회용 가상 카드 서비스 시스템 및 방법
US7761374B2 (en) * 2003-08-18 2010-07-20 Visa International Service Association Method and system for generating a dynamic verification value
US8266441B2 (en) * 2005-04-22 2012-09-11 Bank Of America Corporation One-time password credit/debit card
US7568631B2 (en) * 2005-11-21 2009-08-04 Sony Corporation System, apparatus and method for obtaining one-time credit card numbers using a smart card
US7818264B2 (en) * 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
JP4098348B2 (ja) 2006-07-27 2008-06-11 松下電器産業株式会社 端末装置、サーバ装置及びコンテンツ配信システム
AU2007320785B2 (en) * 2006-11-16 2012-09-27 Net 1 Ueps Technologies, Inc. Secure financial transactions
JP5147258B2 (ja) * 2007-02-21 2013-02-20 株式会社野村総合研究所 決済システムおよび決済方法
JP2008250884A (ja) * 2007-03-30 2008-10-16 Cyber Coin Kk 認証システム、認証システムに用いられるサーバ、移動体通信端末、プログラム
KR20120105296A (ko) * 2011-03-15 2012-09-25 한국정보통신주식회사 일회용 카드 결제 처리방법 및 시스템과 이를 위한 서버, 스마트폰
US20120254041A1 (en) * 2011-03-31 2012-10-04 Infosys Technologies Ltd. One-time credit card numbers
KR20110105740A (ko) * 2011-07-25 2011-09-27 주식회사 아레오네트웍스 온라인 무선 결제 시스템
US9262755B2 (en) * 2012-06-20 2016-02-16 Intuit Inc. Mobile payment system

Also Published As

Publication number Publication date
KR101330943B1 (ko) 2013-11-26
EP2930678A4 (en) 2016-05-25
US20140258135A1 (en) 2014-09-11
CN103999107A (zh) 2014-08-20
US9818113B2 (en) 2017-11-14
JP2015510628A (ja) 2015-04-09
EP2930678A1 (en) 2015-10-14
WO2014092233A1 (ko) 2014-06-19

Similar Documents

Publication Publication Date Title
JP5931217B2 (ja) 使い捨てのカード情報を用いた決済方法
US20220278982A1 (en) Provisioning transferable access tokens
KR101354388B1 (ko) 일회성 카드번호 생성방법
CN109074582B (zh) 用于利用主令牌生成子令牌的系统和方法
US10361856B2 (en) Unique token authentication cryptogram
RU2648944C2 (ru) Способы, устройства и системы для безопасного получения, передачи и аутентификации платежных данных
JP2016504661A (ja) ダイナミックトラック2情報を用いたモバイル決済システムおよび方法
US20180189767A1 (en) Systems and methods for utilizing payment card information with a secure biometric processor on a mobile device
US20120191615A1 (en) Secure Credit Transactions
CN110169035A (zh) 具有协议特性的绑定密码
CN105099694A (zh) 凭证服务提供商数据在安全元件的安全域中的存储方法和系统
KR101751894B1 (ko) 결제 단말 장치 및 일회용 카드 코드를 이용한 결제 처리 방법
CN105103174A (zh) 用于交易的系统、方法和装置
JP2015536508A (ja) ダイナミックpanを用いたトランザクション処理方法
US20140365366A1 (en) System and device for receiving authentication credentials using a secure remote verification terminal
KR102574524B1 (ko) 원격 거래 시스템, 방법 및 포스단말기
CN110447213A (zh) 用于中继攻击检测的方法和系统
KR20080064789A (ko) 이동통신단말 기반의 개방형 전자지불결제(u-PG) 서비스
KR20170004339A (ko) 결제 시스템, 카드 리더기, 결제 단말 장치 및 그를 이용한 카드 정보 처리 방법
CN107403319B (zh) 基于条形码和令牌通过网络的敏感数据的安全交换
KR101751887B1 (ko) 일회용 카드 코드 생성 방법, 그를 이용한 카드 결제 승인 방법, 카드 리더기 및 서버
KR20170078563A (ko) 결제 단말 장치 및 일회용 카드 코드를 이용한 결제 처리 방법
KR20150116284A (ko) 결제 시스템에서 카드 거래 처리장치 및 방법
JP6754750B2 (ja) プログラム、情報処理装置、カード情報処理方法
KR20230068569A (ko) 스마트 카드를 이용한 did 인증 방법 및 스마트 카드 장치

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150728

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20150819

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150819

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160426

R150 Certificate of patent or registration of utility model

Ref document number: 5931217

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250