KR101150241B1 - 동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템 - Google Patents

동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템 Download PDF

Info

Publication number
KR101150241B1
KR101150241B1 KR1020077005708A KR20077005708A KR101150241B1 KR 101150241 B1 KR101150241 B1 KR 101150241B1 KR 1020077005708 A KR1020077005708 A KR 1020077005708A KR 20077005708 A KR20077005708 A KR 20077005708A KR 101150241 B1 KR101150241 B1 KR 101150241B1
Authority
KR
South Korea
Prior art keywords
data
transaction
processing device
mobile processing
authentication code
Prior art date
Application number
KR1020077005708A
Other languages
English (en)
Other versions
KR20070053748A (ko
Inventor
존 완크뮬러
Original Assignee
마스터카드 인터내셔날, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마스터카드 인터내셔날, 인코포레이티드 filed Critical 마스터카드 인터내셔날, 인코포레이티드
Publication of KR20070053748A publication Critical patent/KR20070053748A/ko
Application granted granted Critical
Publication of KR101150241B1 publication Critical patent/KR101150241B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/326Payment applications installed on the mobile devices
    • G06Q20/3265Payment applications installed on the mobile devices characterised by personalisation for use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

보안 트랜잭션을 행하기 위한 방법 및 장치는 계정을 식별하지 못하는 보안 데이터에 기초하여 모바일 처리 기기 상에서의 동적 인증 코드의 생성을 수반한다. 동적 인증 코드 및 금융 계정 식별 정보는 보안 데이터에 대한 정보를 공유하는 검증 객체에 전송되어, 트랜잭션을 승인한다.
동적 인증 코드, 암호 키, 승인 프로세서, 모바일 처리 기기, 공개 키

Description

동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템{METHOD AND SYSTEM FOR AUTHORIZING A TRANSACTION USING A DYNAMIC AUTHORIZATION CODE}
본 발명은 동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템에 관한 것이다.
본 발명은 "Method And System for Generating Authentification Codes for Use in Payment or Financial Transactions"를 명칭으로 하여 2004년 8월 18일자로 출원된 미국 가출원 번호 60/602,594호를 우선권으로 주장한다.
원거리에서의 트랜잭션을 위해 신용 카드 또는 직불 카드를 이용하는 것은 점차 증가하고 있다. 전화를 통해서든, 우편을 통해서든, 소매점 내에서든, 또는 인터넷을 통해서든 간에, 직접 접촉(face-to-face contact)없이 트랜잭션을 행할 필요성은 보편화되고 있다. 그러나, 원거리 트랜잭션은 직접 트랜잭션(face-to-face transaction)보다 안정성이 떨어지고, 특히 트랜잭션 카드를 분실 또는 도난당한 경우에는 그에 상응하여 불법사용 등과 유사한 행위가 발생할 가능성이 더 높아지게 된다.
불법사용을 최소화하기 위한 한 가지 방안은 개인 식별 번호, 즉 PIN(Personal Identification Number)을 이용하는 것이다. 이 방식에서는 트랜잭 션 시에 사용자의 카드를 카드 리더기에 삽입하거나 카드 리더기에 통과시킨다. 카드 판독기는 카드로부터 계정 번호 등의 특정 데이터를 추출한다. 그 후, 카드 판독기는 사용자에게 키패드를 통해 사용자의 PIN을 입력하도록 요구한다. 이 PIN은 암호화되거나 또는 그 밖의 다른 방법으로 보안 처리되며, 보안 PIN 데이터는 카드 소지자 데이터가 저장되어 있는 승인 컴퓨터 등의 승인 지점(authorization location)에 전송된다. 승인 컴퓨터에서는, 계정 식별 데이터를 이용하여 계정 정보를 탐색 및 복원하며, 복원된 정보는 카드 소지자에 의해 입력된 PIN이 정확한 것인지를 검증하기 위해 이용된다. 이 방식은 카드를 소유하고 있는 사람이 트랜잭션을 완료하기 위해서는 보안 PIN을 알고있어야 하기 때문에 불법사용을 최소화한다. 그러나, 이 방식의 한 가지 단점은, PIN이 정적(static)이기 때문에, 합법적인 트랜잭션 동안 불법사용자가 이 PIN을 인터셉트하여 후속의 부정한 트랜잭션에서 재사용할 수 있다는 점이다.
본 발명의 발명자에 의해 근래에 제안된 또 다른 방식에서는 고정된 PIN을 사용하는 대신 빈번하게 변화하는 동적 코드가 사용된다. 이 방식은 "Method And System for Enabling the Use of Dynamic Codes for Authentification"을 명칭으로 하여 출원되어 현재 공동 계류 중인 미국 특허 출원 번호 60/626,649에 보다 상세히 개시되어 있으며, 이 특허 출원은 그 전체 내용이 본 명세서에 참고자료로 통합되어 있다. 이 방식의 일특징은 스마트 카드 및 스마트 카드 판독기를 이용하여 동적 코드를 생성하는 것을 포함한다. 스마트 카드는 종래 기술로 널리 공지되어 있으며, 대표적으로는 보안 데이터 저장 영역 및 프로세스를 포함하는 신용 카드 형태의 카드가 있다. 가능한 트랜잭션 시에, 스마트 카드는 가능한 트랜잭션에 관련된 다른 데이터뿐만 아니라 스마트 카드의 보안 메모리에 저장된 보안 데이터를 이용하여 어플리케이션 암호문(application cryptogram)을 생성한다. 어플리케이션 암호문의 생성 또한 종래 기술로 공지되어 있으며, 예컨대 인터넷을 통해 http://www.emvco.com에서 입수할 수 있는 EMVCo. LLC.에 의해 발표된 "EMV Integrated Circuit Card Specification for Payment Systems"라는 제목의 널리 공지된 스마트 카드 사양서에 구체적으로 설명되어 있다. 이 데이터 또는 그 일부분이 동적 코드로서 승인 컴퓨터에 전송된다. 승인 컴퓨터는, 계정 번호와 연관된 승인 데이터베이스로부터 복원된 계정 정보에 기초하여, 트랜잭션을 완료하기 위해 사용되고 있는 계정 번호에 연관된 스마트 카드에 의해 동적 코드가 생성되고 있는지의 여부를 검증할 수 있다.
트랜잭션의 보안성을 향상시키기 위해 스마트 카드를 이용하는 방식에서의 한 가지 단점은 이들 스마트 카드가 보다 통상적인 마그네틱띠 카드에 비해 제조비가 상대적으로 고가라는 점이다. 또한, 이 스마트 카드는 각각의 트랜잭션 동안에 트랜잭션 카드 판독기가 사용되도록 요구하여, 마그네틱띠 카드용으로 설계된 판매 단말기에 대해서는 현시점에서 업그레이드를 필요로 한다. 이러한 이유와 기타 다른 이유로 인해, 스마트 카드 및 스마트 카드 판독기는 폭넓게 이용되지 못하고 있다.
본 발명은 스마트 카드 및 스마트 카드 판독기를 폭넓게 분포시키지 않고서도 더욱 안전한 방식으로 트랜잭션이 승인될 수 있도록 한다. 그 대신, 카드 소지자가 이미 소유하고 있는 PDA 또는 휴대 전화 등의 모바일 기기의 처리 성능을 이용하여 특정 카드 소지자 계정과 연관된 동적 인증 코드를 생성한다. 모바일 기기는 그 모바일 기기가 연관되어 있는 특정 계정을 식별할 수 있는 데이터를 갖고 있지 않을 것이다. 트랜잭션의 신빙성(authenticity)을 검증하기 위해 동적 코드가 계정 식별 데이터와 함께 승인 컴퓨터에 전송된다.
본 발명의 일례의 실시예에서, 트랜잭션을 승인하기 위한 방법이 제공된다. 본 발명의 트랜잭션 승인 방법은 계정 비밀 데이터를 승인 데이터베이스 내의 고유 금융 계정 식별자와 연관시키는 단계와, 이 계정 비밀 데이터에 연관된 데이터에 적어도 부분적으로 기초하여 개인화 데이터를 생성하는 단계를 포함한다. 이 개인화 데이터는 고유 금융 계정 식별자를 포함하지 못하는 PDA 또는 휴대 전화 등의 모바일 처리 기기에 전송되어 저장된다. 그에 후속하여, 승인 지점에 승인 요청이 수신된다. 이 요청에는 모바일 처리 기기에 의해 생성된 동적 인증 코드 및 금융 계정 식별자가 포함된다. 그 후, 승인 코드가 승인 데이터베이스 내의 금융 계정 식별자에 연관된 계정 비밀 데이터와 관련된 데이터에 적어도 부분적으로 기초하여 생성되는 개인화 데이터를 포함하는 모바일 처리 기기에 의해 생성되었는지에 대한 판정이 이루어진다. 최종적으로, 트랜잭션은 그 앞의 판정에 따라 승인될 수도 있고 승인되지 않을 수도 있다.
본 발명에 대한 더욱 완전한 이해를 위해, 본 발명의 실시예에 대한 이하의 상세한 설명에서는 첨부 도면이 참조될 것이다.
도 1은 본 발명의 일실시예에 따른, 생성된 인증 코드 및 계정 식별 정보를 이용하여 트랜잭션을 행하는 단계의 흐름도이다.
도 2는 인증 코드를 생성하는 일례의 시스템에 대한 블록도이다.
도 3은 본 발명의 일례의 실시예에 대한 블록도이다.
도 1은 생성된 동적 인증 코드(130)와 계정 식별 정보 또는 고유 금융 계정 식별자(140)를 이용하여 트랜잭션을 행하는 단계를 포함하는 본 발명의 일례의 실시예에 대한 흐름도이다. 이하의 설명은 인터넷 등의 컴퓨터 네트워크를 통해 수행된 가상의 트랜잭션에 기초할 것이다. 그러나, 본 발명의 원리는 컴퓨터 네트워크를 통한 트랜잭션으로 제한되지 않으며, 전화를 통한 트랜잭션, 우편을 통한 트랜잭션, 직접 트랜잭션, 또는 임의의 기타 방식의 트랜잭션 등의 다른 유형의 트랜잭션에도 용이하게 적용될 수 있다.
가상의 트랜잭션은 개인용 컴퓨터(PC)의 사용자가 개인용 컴퓨터 상에서 실행되는 웹 브라우저 또는 유사한 어플리케이션을 이용하여 상인으로부터 상품 또는 서비스를 구매하기 위해 요청서를 작성하는 것으로 개시된다. PC를 대신하여, 트랜잭션을 요청하거나 행하기 위한 어떠한 기기, 시스템 또는 체계가 사용될 수 있으며, 이들의 예로는 PDA 또는 휴대 전화 등의 모바일 기기가 있다. 그리고나서, 사용자의 요청에 의해, 상인의 컴퓨터는 승인 요청 서버를 호출하여 사용자의 신분을 인증하고 그 트랜잭션이 합법적인 것인지를 검증한다. 승인 요청 서버 또는 승 인 프로세서로는 프로세서, 메모리 및 통신 링크를 구비한 메인프레임 또는 기타 컴퓨터가 가능하며, 이 승인 요청 서버 또는 승인 프로세서는 사용자로 하여금 자신의 모바일 처리 기기를 이용하여 동적 인증 코드를 제공하도록 촉구한다.
단계 101에서, 사용자는 개인용 디지털 보조장치(PDA) 또는 휴대 전화 등의 자신의 모바일 처리 기기를 작동시키고, 동적 인증 코드를 생성하기 위해 관련 기능을 호출한다. 본 명세서에 더욱 상세히 설명되는 모바일 처리 기기는 동적 코드를 생성하기 위한 소프트웨어 또는 회로를 포함한다. 특정한 예의 실시예에서, 모바일 기기 상의 소프트웨어 또는 회로는, 비록 금융 계정 또는 결재 계정을 고유하게 식별하기 위해 직접 사용될 수 있는 어떠한 데이터를 갖지는 못하지만, 실질적으로는 전형적인 스마트 카드의 기능 전부를 갖는다. 일실시예에서, 모바일 기기가 작동된 후에는, 사용자는 키패드, 키보드 또는 사용자의 입력을 모바일 처리 기기 내에 받아들일 수 있는 기타 기술을 이용하여 식별 PIN을 입력하도록 촉구된다. 모바일 처리 기기는 랩탑 또는 기타 개인용 컴퓨터일 수도 있으며, 설명되고 있는 가상의 트랜잭션을 행하기 위해 사용되고 있는 것과 동일한 개인용 컴퓨터일 수도 있음에 주목하여야 한다. 그러나, 통상적으로는, 모바일 기기와 트랜잭션이 행해지고 있는 개인용 컴퓨터는 별도의 기기일 것이다. 그 후, 모바일 기기는 단계 103에서 PIN과 기기 상에 저장된 데이터를 비교함으로써 그 PIN이 유효한 것인지를 검증한다. 단계 101 및 103은 반드시 요구되는 단계는 아니지만 승인 시스템의 보안을 향상시켜 불법사용을 방지하기 위해서는 이용되는 것이 이롭다는 것은 자명하다. 또한, PIN이 사용되는 곳에서, PIN 입력 프로세스는, 본 명세서에 더욱 상세 히 설명되는 바와 같이, 트랜잭션에 관련한 다른 데이터가 사용자에 의해 모바일 기기에 의해 입력이 완료되기 전까지는 지연될 수 있다.
일례의 실시예에서, 승인 프로세서는 사용자에게 챌린지 번호(challenge number) 또는 사용자가 자신의 모바일 처리 기기에 입력할 다른 예측 불가능한 데이터를 제공할 수도 있으며, 이 챌린지 번호 또는 다른 예측 불가능한 데이터는 후속하여 통상적으로 암호 키 등의 다른 데이터와 함께 동적 인증 코드를 생성하기 위해 사용될 것이다. 이 예측 불가능한 데이터는 현재 시각에 기초하여 이루어질 수 있는 난수(random number), 제시된 트랜잭션 계정의 단방향 해쉬 함수(one-way hash), 이들의 조합, 또는 트랜잭션 전에 용이하게 예측될 수 없는 임의의 다른 데이터가 될 수도 있다. 사용자는 또한 트랜잭션에 관한 다른 데이터, 예컨대 트랜잭션 금액 또는 통화 종류를 모바일 기기에 입력하도록 촉구될 수도 있으며, 이 데이터는 본 명세서에서 보다 상세하게 설명되는 바와 같이 동적 인증 코드가 될 암호문을 생성하기 위해 모바일 기기에 의해 다른 보안 데이터와 함께 이용될 수도 있다.
단계 110에서, 모바일 처리 기기는 암호 키 등의 키(120)를 이용하여 동적 인증 코드(130)를 생성한다. 키(120)는 DES 키, 개인 키, 공개 키, 이들의 조합, 또는 암호화를 위해 이용되고 후속 인증을 위해 보안 메시지를 생성하는 임의의 다른 데이터가 될 것이다. 키는 예컨대 모바일 처리 기기 내의 어플리케이션 메모리에 저장될 수도 있다. 모바일 처리 기기가 보안성이 있거나 보호된 메모리를 포함하면, 예컨대 휴대 전화 또는 PDA에 삽입된 가입자 신분 모듈(SIM : Subscriber Identity Module) 카드에서는, 키가 그 카드에 저장되는 것이 이로울 수 있다. 키(120)는 암호화되거나, 또는 모바일 기기 상에서 실행되는 다른 프로세스, 프로그램 또는 어플리케이션에 액세스 가능하지 않은 메모리 유닛에 유지될 수도 있다. 예컨대, 이 키는 사용자 PIN, 모바일 기기 일련 번호, 기타 데이터, 또는 이들의 조합 등의 제2 키에 의해 암호화될 수 있다. 모바일 기기 내에 보안성이 있는 메모리가 존재하도록 요구되지는 않는다.
모바일 기기의 메모리는 키(120)가 대응하는 계정을 식별할 아무런 정보를 포함하지 않아야 한다. 구체적으로, 키(120) 및 모바일 기기 메모리는 결재 계정 번호(PAN : Payment Account Number), 카드 만기 일자, 통상적으로 트랜잭션 카드 마그네틱띠 상에 저장된 카드 트랙 데이터, 계정 소유자명, 또한 금융 계정을 고유하게 식별할 수 있는 임의의 기타 데이터를 갖고 있지 않아야 한다. 이로써, 모바일 기기를 도난당하거나 분실한 경우에도, 키(120)에 대응하는 금융 계정을 식별하는 데이터가 없기 때문에 이 모바일 기기를 이용하여 트랜잭션을 수행할 수 없게 된다.
일례의 실시예에서, 키(120)는 어플리케이션 프로파일 식별자, 어플리케이션 트랜잭션 카운터, 및 기타 데이터와 함께 칩 인증 프로그램(CAP) 데이터 파일(125) 내에 유지된다. 칩 인증 프로그램 포맷 및 기능에 관한 더 많은 세부사항은 미국 뉴욕의 퍼체이스에 소재한 MasterCard International Incorporated가 권한을 가지고 있는 마스터카드의 칩 인증 프로그램 사양서(MasterCard's Chip Authentication Program Specifications)에서 찾아볼 수 있으며, 이 사양서는 그 전체 내용이 본 명세서에 참고자료로 통합되어 있다. CAP 데이터 파일(125)은 일실시예에서는 암호화될 수도 있으며, 그에 후속하여 사용자에 의해 입력된 PIN, 암호해독이 발생하는 기기로부터 모아진 전화 번호 또는 기기 일련 번호 등의 모바일 기기 식별자, 또는 이 둘의 조합을 이용하여 해독될 것이다. 이로써, CAP 데이터 파일의 사용은 PIN을 알고 있는 개인, 승인된 기기, 또는 이 둘의 조합으로 제한된다. 데이터 파일(125)에 옵션으로 포함되는 트랜잭션 카운터는 일실시예에서는 동적 인증 코드가 생성될 때마다 증분되는 순차적인 카운터이다.
단계 110의 인증 코드의 생성은 더 나아가 단계 112에서의 어플리케이션 암호문(115)의 생성을 포함하는 것으로 이해될 수도 있다. 어플리케이션 암호문은, 예컨대 GENERATE AC 명령이 제공될 때에 EMV-컴플라이언트 스마트 카드(EMV-compliant smart card)가 동작하는 방식으로 스마트 카드 설계 또는 작동의 분야에서 널리 알려진 기술을 이용하여, 키(120)와 트랜잭션 카운터 등의 기타 데이터로부터 생성된다. 승인 프로세서가 예측 가능하지 않은 데이터를 사용자에게 제공하는 전술한 예의 실시예에서, 어플리케이션 암호문은 키(120) 및 트랜잭션 카운터 외에 예측 가능하지 않은 데이터에 기초하여 생성된다. 트랜잭션에 관한 다른 데이터 또한 트랜잭션 금액, 트랜잭션 일자/시간, 통화 종류 등과 같은 어플리케이션 암호문을 계산하는데 사용될 수 있다. 예컨대, 일실시예에서, 예측 가능하지 않은 데이터, 트랜잭션 카운터, 및 기타 다른 관련 데이터는 어플리케이션 암호문을 생성하기 위해 서로 밀접하게 연결되고, 키(120)를 이용하여 암호화될 수 있다. 인증 프로세서 및/또는 발급자 은행(issuer bank)은 발급자 은행에 의해 유지된 트랜 잭션 계정에 대한 어플리케이션 암호문을 계산하는데 어느 데이터가 사용되어야 하는지를 선택할 수 있다. 따라서, 본 예의 실시에에서, 모바일 기기는 실질적으로는 스마트 카드에 대한 CAP 사양서에 의해 기술된 것과 유사한 방식으로 기능하는 "소프트웨어 스마트 카드"가 된다.
일례의 실시예에서, 어플리케이션 암호문(115)은, 다음과 같이 최상위에서 최하위까지 연결되어 있고 2진수의 형태로 표현된 다음의 데이터 항목으로 구성될 수도 있는 중간 데이터 포맷이다: 암호문 정보 데이터(8 비트), 트랜잭션 카운터(16 비트), 모바일 처리 기기에 의해 산출된 암호문(64 비트) 및 매입자 어플리케이션 데이터(0-256 비트). 매입자 어플리케이션 데이터는 카드 소지자의 계정을 유지하는 금융 기관에 의해 선택된 데이터이고, 어떠한 데이터도 가능하지만, 본 발명의 용도에서는, 이 매입자 어플리케이션 데이터는 카드 소지자 또는 이 카드 소지자에 연관된 금융 계정을 식별하기 위해 사용될 수 있는 정보를 포함하지 않는 것이 바람직하다.
이 중간 단계의 출력이 최대 43바이트 길이의 데이터값(즉, 0 내지 2344 또는 대략 3.6×10103 범위의 값)이 되어, 사용자에게 십진수로 나타내기에는 너무 크기 때문에, 이 데이터는 사용자에게 디스플레이되기 전에 압축되거나 제한되어야 한다. 실제로, 중간 데이터의 일부를 형성하는 64비트 암호문은, 트랜잭션이 행해지는 컴퓨터를 통해 사용자가 자신의 웹 브라우저에 동적 코드를 재입력할 필요가 있을 수도 있다는 가능성을 고려하면, 64비트 암호문 조차도 사용자에게 십진수 포맷 으로 디스플레이하기에는 너무 길 것이다. 따라서, 단계 117에서, 중간 데이터는 관리가 보다 용이한 데이터 크기로 감축되어 사용자에게 제공된다. 일례의 실시예에서, 중간 암호 데이터는 8개의 숫자 문자로 감축되어, 그 결과 0 내지 99,999,999 개의 가능한 값을 가질 것이다. 이러한 감축은, 일례의 실시예에서는, 중간 데이터 폼에서의 어느 비트가 동적 인증 코드를 산출하기 위해 유지 및 사용되어야 하는지를 식별하는 비트맵의 사용을 통해 달성된다. 예컨대, 비트맵은 중간 산출에서 유지할 비트로서 비트 1-15, 17-19 및 21-27을 식별할 수 있다. 유지된 비트는 그 후 서로 연결되며, 2진 부호화 십진 포맷(BCD)으로 디스플레이된다. 이 방식을 이용하면, 사용자에게 디스플레이되는 가능한 값이 8자리를 초과하지 못하도록 하기 위해, 유지될 수 있는 최대 비트수는 26이다. 유지되는 정확한 크기의 비트(precise bit)는 특정 어플리케이션 또는 환경에 따라 설계 선택(design choice)에 놓이게 될 것이지만, 유지될 비트를 선택하기 위해 사용되는 알고리즘은 그 외에 승인 프로세서가 모바일 처리 기기에 의해 생성된 동적 인증 코드를 검증할 수 있도록 승인 프로세서에 알려져야만 한다.
일례의 실시예에서, 승인 프로세서에 알려진 비트 및 데이터, 또는 승인 프로세서가 승인 프로세서에 알려지거나 동적 인증 코드에 제공된 다른 데이터로부터 구할 수 있는 데이터는, 생성되는 최종 동적 인증 코드에 포함되지 않는다. 예컨대, 트랜잭션 카운터가 사용되고, 인증 프로세서가 승인 데이터베이스 내의 모바일 기기에 연관된 트랜잭션 카운터의 카피(copy)를 유지한다면, 완전한 트랜잭션 카운터는 동적 코드를 생성하기 위해 사용될 데이터에 포함될 필요가 없고, 예컨대 그 카운터의 최하위 비트의 일부를 포함하는 것이 필요할 뿐이다. 이로써, 승인 데이터베이스에 저장된 트랜잭션 카운터의 카피가 모바일 기기 상의 카운터와의 동기화를 상실한다 하더라도, 승인 프로세서는 트랜잭션 카운터를 재구성하고, 동적 인증 코드에 있어서 모바일 기기로부터 카운터에 관해 수신된 일부의 데이터를 이용하여 자신의 버젼의 암호문을 정확하게 산출할 수 있을 것이다.
산출된 암호문을 포함하여, 중간 데이터의 다른 비트 또한 오류 인증의 가능성을 최소화하기 위해 합리적인 비트수가 유지되는 한 배제될 수도 있으며; 승인 프로세서는 예측 가능하지 않은 번호, 트랜잭션 카운터 등과 같은 트랜잭션 특정 데이터뿐만 아니라 모바일 기기에 공유하는 보안 요소(즉, 예시 실시예에서는 보안 키)를 이용하여 자신의 버젼의 암호문을 작성할 것이며, 또한 모바일 기기에 의해 산출된 암호문이, 모바일 기기로부터 수신된 동적 인증 코드에 의해 입증된 바와 같이, 전술된 비트맵으로 매스킹한 후에, 승인 프로세서에 의해 산출된 암호문과 매칭하는 것으로 프로세서가 판정하는 경우에, 승인 프로세서가 그 트랜잭션을 승인할 것이라는 점에 유의하기 바란다.
암호문을 산출하는 방식으로는 여러 가지의 방식이 있으며, 본 명세서에서 나열하기에는 그 수가 너무 많다. 일실시예에서, 암호문은 계정 소지자의 발급자 은행에 의해 선택된 데이터에 기초하여 산출을 행하는 단계와, 그 산출의 결과를 암호 키 등의 카드에 저장된 보안 정보로 암호화하는 단계를 포함한다. 그러나, 암호문 생성 단계 110은, 정적 인증 코드가 아닌, 동일한 유형과 금액의 반복된 트랜잭션에서 조차도 예측 불가능하게 변화하는 동적 인증 코드(130)를 생성해야만 한다. 이에 의해 불법 감청자(eavesdropper)가 동적 인증 코드를 인터셉트하여, 트랜잭션을 행하기 위해 사용되는 금융 계정에 연관된 카드 소지자에 의해 실제로 인증되지 않은 후속하여 시도된 트랜잭션에서 이 동적 인증 코드를 다시 사용할 가능성이 감소된다. 또한, 산출은 트랜잭션을 행하기 위해 사용되는 금융 계정에 연관된 카드 소지자가 트랜잭션을 승인하였다는 것을 입증하여야 한다. 바람직한 일실시예에서, 이것은 동적 인증 코드가 생성되기 전에 모바일 기기에게 PIN의 입력을 요청함으로써 달성된다.
인증 코드가 동적이고, 특정 트랜잭션 특성 및 기타 랜덤하고 변화하는 데이터 등의 다양한 요소에 기초하여 빈번하게 변경되지만, 생성 단계 110은 본 발명의 사상으로부터 벗어나지 않고 해당 시간 동안 2회 이상의 특정 인증 코드의 생성을 포함할 것이다. 생성 단계 110은 PDA, 휴대 전화, 랩탑 컴퓨터 또는 기타 기기 등의 어떠한 모바일 처리 기기 상에서도 수행될 수 있다. 이들 기기는 인증 코드(130)를 생성하는데 필요한 단계를 수행할 수 있는 프로세서를 포함하여야 한다. 모바일 처리 기기로는 스마트 카드도 가능하며, 생성 단계 110은 스마트 카드에 의해 수행될 수도 있다.
도 2에 도시된 바와 같이, 일례의 실시예에서의 모바일 기기는 모바일 기기의 사용자에 의해 입력되는 데이터 외에 동적 인증 코드를 생성하기 위해 사용되는 데이터를 포함하는 RAM, 플래시, 하드 드라이브 또는 기타 메모리 등의 데이터 저장 영역(1030)을 포함한다. 모바일 기기는 또한 인증 코드 생성기(102)를 포함하며, 이 인증 코드 생성기로는 본 명세서에 개시되고 또한 본 기술분야의 당업자에 게 널리 공지된 기술 중의 임의의 기술에 따라 인증 코드를 생성하도록 프로그래밍된 프로세서가 가능하다. 인증 코드 생성기(102)는 전술한 동적 인증 코드(130)를 생성하여 인증 코드 출력 기기(1010)에 제공한다. 이 인증 코드 출력 기기(1010)는 그 결과의 동적 인증 코드(130)를 LCD 스크린 또는 기타 디스플레이, 합성 발음 기술 또는 오디오 음향, 혹은 일부 기타 수단을 통해서와 같이 사용자에게 제공할 수 있다. 이와 달리 또는 이에 추가하여, 인증 코드 출력 기기(1010)는 동적 인증 코드(130)를 유선, 적외선 또는 무선 주파수 신호를 통해 인증 로케이션에 대한 후속 전송을 위해 트랜잭션이 수행되고 있는 개인용 컴퓨터 또는 단말기 등의 또 다른 기기에 전송할 수 있다. 또 다른 예의 실시예에서, 모바일 기기는 동적 인증 코드를 무선 통신 네트워크, 인터넷 또는 그 조합 등의 통신 네트워크를 통해 승인 지점에 있는 승인 프로세서에 직접 통신할 수 있다.
또한, 동적 인증 코드(130)가 생성되는 대상 계정을 식별하는데 도움을 주기 위해(예컨대, 모바일 기기가 모바일 기기의 사용자에 연관된 복수의 상이한 계정에 대해 코드를 생성할 수 있는 곳에서), 인증 코드 출력 기기(1010)는 동적 인증 코드가 생성되는 적절한 대상 계정을 선택하기 위해 사용자가 모바일 기기와 대화하는데 도움이 되도록 사용자에게 홍보 문구(promotional name), 그래픽 로고 또는 식별 상징을 디스플레이하거나 전송할 수 있다.
다시 도 1을 참조하면, 암호 키 등의 계정 비밀 데이터는 승인 프로세서(도시하지 않음)에 의해 액세스 가능한 승인 데이터베이스에 저장된다. 보안 데이터는 모바일 처리 기기의 사용자에 연관된 특정 금융 계정(예컨대, 신용 계정 또는 직불 계정)에 대응한다. 승인 데이터베이스는 승인 프로세서 및/또는 통상적으로 본 기술분야의 당업자에 의해 "발급자" 은행으로서 지칭되는 사용자의 계정을 유지하는 은행이나 금융 기관에 의해서만 액세스 가능한 것이 바람직하다. 모바일 기기가 도난당하거나 분실되면, 모바일 기기에 의해 생성된 승인 코드(130)가 상품 또는 서비스가 청구되어야 하는 특정 금융 계정을 식별하는 1차 회원 번호(PAN) 등의 다른 금융 계정 식별자없이는 트랜잭션을 인증하기 위해 사용될 수 없기 때문에, 모바일 기기를 소유하는 사람은 트랜잭션을 행할 수 없을 것이다.
따라서, 트랜잭션 시에, 금융 계정 식별자(140)는 본 기술분야의 당업자에게 널리 공지된 각종 기술을 이용하여 수집되어야 한다. 예컨대, 계정 식별자(140)는 마그네틱띠 카드(145) 또는 스마트 카드 상에 저장되거나, 또는 키패드, 키보드 혹은 기타 입력 기기 등의 기기에의 사용자 입력을 통해 수집될 수 있을 것이다.
단계 150에서, 동적 인증 코드(130)는 금융 계정 식별자 데이터(140)와 함께 승인 프로세서 등의 승인 지점에 전송된다. 단계 160에서의 승인 지점으로부터의 응답에 따라서, 트랜잭션이 승인되거나(단계 170) 또는 거부될 것이다(단계 180).
전술한 바와 같이, 승인 프로세스는 승인 지점에서 모바일 기기에 의해 수행된 것과 동일한 데이터 및 알고리즘을 이용하여 동적 인증 코드를 승인 지점에서 산출하는 단계와, 산출된 결과가 수신된 코드와 매칭하는지를 확인하기 위해 산출된 결과를 수신된 동적 코드와 비교하는 단계를 포함할 것이다. 이 프로세스는 트랜잭션에 제공된 금융 계정 식별자에 연관된, 암호 키 등의 보안 데이터를 이용한다. 일실시예에서, 승인 지점에서 수신된 동적 코드는 이 동적 코드가 승인 프로 세서에 의해 알려지지 않은 어플리케이션 암호문을 산출하기 위해 모바일 기기에 의해 사용된 어떠한 데이터를 포함하는지를 판정하기 위해 분석된다. 예컨대, 어플리케이션 암호문을 산출하기 위해 모바일 기기가 트랜잭션 카운터를 사용하는 것이 가능하며, 이 경우, 카운터를 승인 프로세서에 제공하여서, 승인 프로세서가 자신의 버젼의 어플리케이션 암호문을 산출하는데 있어서 그 카운터를 사용할 수 있도록 하는 것이 필요하다. 전술한 바와 같이, 특정 계정 또는 모바일 기기에 연관된 트랜잭션 카운터의 카피가 승인 데이터베이스 또는 승인 지점에 저장될 수도 있지만, 카운터의 저장된 카피는 승인 프로세서 또는 승인 데이터베이스에 통신되지 않은 이전의 실패된 트랜잭션으로 인해 모바일 기기 상의 카운터와 동기되지 않을 수도 있다. 따라서, 승인 프로세서가 동적 인증 코드에 제공된 데이터로부터 임의의 필요한 데이터를 추출하거나 재생한 후, 승인 프로세서는 계정에 연관된 암호 키 등의 보안 계정 정보와 관련 트랜잭션 데이터를 가지고 산출을 행하는 방식을 포함한 전술한 기술을 이용하여 동적 인증 코드를 산출할 수 있다. 그리고나서, 이와 같이 산출된 코드는 전술한 바와 같이 모바일 기기로부터 수신된 동적 코드와 비교된다.
필요한 프로그래밍 및 데이터를 모바일 처리 기기에 전개하기 위한 일례의 기술은 디플로이먼트 서버(deployment server)를 포함한다. 이 실시예에서, 모바일 처리 기기의 사용자는 사용자의 발급자 은행에 의해 지정된 웹사이트를 방문하여, 사용자의 모바일 처리 기기 상에 동적 인증 코드 생성기 어플리케이션이 설치되도록 요청한다. 사용자는 어플리케이션 및 사용자의 모바일 기기 식별자에 연관 될 PIN을 입력하도록 촉구된다. 사용자는 또한 자신의 금융 계정 식별자를 입력하도록 촉구되거나, 또는 이 데이터가 다른 방식을 통해 결정될 것이다. 암호 키 또는 키 쌍(key pair) 등의 계정 비밀 데이터가 생성되어 사용자의 금융 계정 식별자에 연관된다. 적어도 이 보안 데이터의 일부분(예컨대, 암호 키 또는 키 쌍의 하나 이상의 키)이 사용자의 금융 계정 식별자에 연관된 승인 데이터베이스 레코드에 저장된다.
그 후, 이전에 생성된 보안 데이터에 연관된 데이터에 기초하여 개인화 데이터(personalization data)가 생성된다. 예컨대, 키 쌍의 하나 이상의 키는, 트리플-DES(triple-DES)와 같이, 사용자에 의해 이전에 입력된 PIN 및 모바일 기기 식별자를 이용하여, 개인화 데이터를 생성하기 위한 임시 키로서 암호화될 것이다. 그 후, 개인화 데이터 및 임의의 또 다른 실행 가능한 프로그램 파일이 디플로이먼트 서버에서 모바일 처리 기기로 통신된다. 이러한 통신은 사용자의 모바일 처리 기기와 예컨대 PC 등의 또 다른 컴퓨터 간의 직접적인 접속을 통해 발생하거나, 또는 모바일 또는 무선 데이터 네트워크를 이용하는 Over The Air(OTA) 서버를 이용하여 발생할 수 있다. 어플리케이션 및 개인화 데이터는 그 후 모바일 처리 기기의 메모리에 위치되며, 이러한 어플리케이션 및 개인화 데이터는 전술한 바와 같이 동적 인증 코드를 생성하기 위해 사용될 수 있다. 계정 비밀 데이터 및 임의의 암호화된 데이터 혹은 개인화 데이터는 소정의 시간 후에 또는 어플리케이션 및 개인화 데이터가 성공적으로 설치된 후에 전개 서버로부터 제거된다. 그러나, 적어도 보안 데이터의 일부분은 후속의 승인 요청 동안에의 사용을 위해 승인 데이터베이 스에 저장되어 유지된다.
일실시예에서, 어플리케이션은 모바일 처리 기기에 설치된 Java Virtual Machine에 의해 실행된 Java 애플릿의 형태로 제공된다. 본 실시예에서, Java 애플릿 명령은 예컨대 미국 오하이오주의 클리브랜드에 소재한 Preemptive Solutions에서 판매하는 Dasho를 이용하여 추가의 보안성을 위해 난독화(obfuscate)될 수도 있다.
도 3은 Java 랭귀지(2090) 및 JVA 버츄얼 머신(JVM)(2080)을 이용하는 발명의 일례의 실시예의 블록도를 도시하고 있다. 먼저, 모바일 처리 기기 사용자는 키패드 또는 키보드 등의 인터페이스(2060)를 이용하여 동적 승인 어플리케이션이 호출되도록 요청한다. JVM(2080)은 그 후 M-CAP Jar 샌드박스(2020)를 로드한다. JVM(2080)은 사용자에게 PIN을 입력하도록 촉구하며, 이 PIN은 그 후 인터페이스(2060)으로부터 수신된다. Java 어플리케이션의 CAP 생성기(2030) 부분은 CAP 데이터(2040)를 사용하여, 전술한 기술에 따라 8자리의 동적 인증 코드를 생성한다. 8자리 코드는 JVM(2080)을 통해 전화 사용자 인터페이스(2060)에 리턴된다. 전화 메모리(2010)에 CAP 데이터(2040) 또는 M-CAP Jar 샌드박스(2020)는 예컨대 <http://www.bouncycastle.org/>로부터의 J2ME에 대한 Bouncy Castle Crypto API를 이용하여 암호화될 수도 있다.
본 발명을 특정의 바람직한 실시예를 참조하여 설명하였지만, 본 발명의 기본원리 및 사상으로부터 벗어나지 않는 범위 내에서 다양한 수정, 변경 및 대체가 가능하다. 또한, 본 발명의 다수의 다른 응용 또한 본 기술분야의 당업자에 의해 가능함은 자명하다.

Claims (16)

  1. 트랜잭션을 승인하는 방법에 있어서,
    계정 비밀 데이터(account secret data)를 승인 데이터베이스 내의 금융 계정에 연관된 고유 금융 계정 식별자와 연관시키는 단계;
    상기 계정 비밀 데이터에 연관된 데이터에 적어도 부분적으로 기초하여 개인화 데이터(personalization data)를 생성하는 단계;
    상기 개인화 데이터를, 상기 고유 금융 계정 식별자를 포함하고 있지 않으나 상기 금융 계정의 소지자와 연관된 모바일 처리 기기에 전송하여 저장하도록 하는 단계-상기 모바일 처리 기기는 적어도 부분적으로 상기 개인화 데이터를 사용하는 동적 인증 코드를 생성하도록 구성된 프로세서를 포함함-;
    (1) 상기 금융 계정의 상기 소지자로부터 제공되며 상기 모바일 처리 기기로 부터 제공되지 않는 상기 고유 금융 계정 식별자와 (2) 상기 모바일 처리 기기에 의해 생성된 동적 인증 코드를 포함하고, 트랜잭션의 승인을 요청하는 승인 요청을, 승인 지점(authorization location)에서 수신하는 단계;
    상기 동적 인증 코드가 상기 승인 데이터베이스 내의 상기 고유 금융 계정 식별자에 연관된 상기 계정 비밀 데이터에 연관된 데이터에 적어도 부분적으로 기초하여 생성된 개인화 데이터를 포함하고 있는 모바일 처리 기기에 의해 생성된 것인지를, 판정하는 단계; 및
    상기 판정하는 단계에 응답하여 상기 트랜잭션을 승인하는 단계
    를 포함하는 트랜잭션 승인 방법.
  2. 제1항에 있어서,
    상기 모바일 처리 기기의 상기 프로세서는
    식별 PIN((Personal Identification Number)을 입력하도록 촉구하고;
    상기 동적 인증 코드가 생성되기 전에 상기 식별 PIN을 검증하도록 구성되는,
    트랜잭션 승인 방법.
  3. 제1항에 있어서,
    상기 계정 비밀 데이터가 암호 키인, 트랜잭션 승인 방법.
  4. 제3항에 있어서,
    상기 계정 비밀 데이터에 연관된 데이터가 상기 암호 키인, 트랜잭션 승인 방법.
  5. 제3항에 있어서,
    상기 암호 키는 개인 키이며, 상기 계정 비밀 데이터에 연관된 상기 데이터는 상기 개인 키에 연관된 공개 키인, 트랜잭션 승인 방법.
  6. 제1항에 있어서,
    상기 모바일 처리 기기의 프로세서는 상기 모바일 처리 기기에 저장된 트랜잭션 카운터에 적어도 부분적으로 기초하는 상기 동적 인증 코드를 생성하도록 구성된,
    트랜잭션 승인 방법.
  7. 제6항에 있어서,
    상기 승인 데이터베이스에는 상기 트랜잭션 카운터의 카피(copy)가 유지되며,
    상기 트랜잭션 승인 방법은, 상기 동적 인증 코드를 생성하기 위해 사용된 상기 트랜잭션 카운터가 상기 트랜잭션 카운터의 카피와 매칭하는지를 검증하는 단계를 더 포함하는,
    트랜잭션 승인 방법.
  8. 제6항에 있어서,
    상기 트랜잭션 카운터는 상기 동적 인증 코드가 생성될 때에 카운트가 증가되는, 트랜잭션 승인 방법.
  9. 트랜잭션을 승인하는 시스템에 있어서,
    금융 계정과 연관된 적어도 하나의 고유 금융 계정 식별자와 상기 고유 금융 계정 식별자에 연관된 계정 비밀 데이터를 포함하고 있는 승인 데이터베이스를 포함하는 저장 매체;
    메모리 및 프로세서를 포함하고, 상기 금융 계정의 소지자와 연관되며, 상기 고유 금융 계정 식별자를 포함하고 있지 않은 모바일 처리 기기;
    상기 계정 비밀 데이터에 연관된 데이터에 적어도 부분적으로 기초하지만 상기 금융 계정 식별자는 포함하지 않는 개인화 데이터를 상기 모바일 처리 기기에 전송하는 송신기;
    상기 모바일 처리 기기의 프로세서는 상기 개인화 데이터를 적어도 부분적으로 이용하는 동적 인증 코드를 생성하도록 구성되며,
    (1) 상기 금융 계정의 상기 소지자로부터 제공되며 상기 모바일 처리 기기로 부터 제공되지 않는 상기 고유 금융 계정 식별자 및 (2) 상기 모바일 처리 기기로 부터 제공되는 상기 동적 인증 코드를 포함하고 트랜잭션의 승인을 요청하는 승인 요청을, 수신하는 수신기; 및
    상기 동적 인증 코드가 상기 승인 데이터베이스 내의 상기 고유 금융 계정 식별자에 연관된 상기 계정 비밀 데이터에 연관된 데이터에 적어도 부분적으로 기초하여 생성된 개인화 데이터를 포함하고 있는 모바일 처리 기기에 의해 생성된 것인지의 여부를 판정하고, 그 판정에 응답하여 상기 트랜잭션을 승인하는 승인 프로세서
    를 포함하는 트랜잭션 승인 시스템.
  10. 제9항에 있어서,
    상기 계정 비밀 데이터가 암호 키인, 트랜잭션 승인 시스템.
  11. 제10항에 있어서,
    상기 계정 비밀 데이터에 연관된 데이터가 상기 암호 키인, 트랜잭션 승인 시스템.
  12. 제10항에 있어서,
    상기 암호 키는 개인 키이며, 상기 계정 비밀 데이터에 연관된 상기 데이터는 상기 개인 키에 연관된 공개 키인, 트랜잭션 승인 시스템.
  13. 제9항에 있어서,
    상기 모바일 처리 기기는 트랜잭션 카운터를 포함하며, 상기 모바일 처리 기기의 상기 프로세서는 적어도 부분적으로는 상기 트랜잭션 카운터를 이용하여 상기 동적 인증 코드를 생성하도록 구성되는, 트랜잭션 승인 시스템.
  14. 제13항에 있어서,
    상기 승인 데이터베이스는 상기 트랜잭션 카운터의 카피를 더 포함하며, 상기 승인 프로세서는 또한 상기 동적 인증 코드를 생성하기 위해 사용된 상기 트랜잭션 카운터가 상기 트랜잭션 카운터의 상기 카피와 매칭하는지를 식별하는, 트랜잭션 승인 시스템.
  15. 제13항에 있어서,
    상기 트랜잭션 카운터는 상기 동적 인증 코드가 생성될 때에 카운트가 증가되는, 트랜잭션 승인 시스템.
  16. 제1항에 있어서,
    챌린지 번호(challenge number) 또는 다른 예측 불가능한 데이터를 사용자에 전송하는 단계를 더 포함하고,
    상기 모바일 처리 기기의 상기 프로세서는 상기 챌린지 번호 또는 다른 예측 불가능한 데이터를 적어도 부분적으로 기초하여 상기 동적 인증 코드를 생성하는,
    트랜잭션 승인 방법.
KR1020077005708A 2004-08-18 2005-08-18 동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템 KR101150241B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US60259404P 2004-08-18 2004-08-18
US60/602,594 2004-08-18
PCT/US2005/029758 WO2006023839A2 (en) 2004-08-18 2005-08-18 Method and system for authorizing a transaction using a dynamic authorization code

Publications (2)

Publication Number Publication Date
KR20070053748A KR20070053748A (ko) 2007-05-25
KR101150241B1 true KR101150241B1 (ko) 2012-06-12

Family

ID=35968257

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077005708A KR101150241B1 (ko) 2004-08-18 2005-08-18 동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템

Country Status (11)

Country Link
US (1) US9911121B2 (ko)
EP (1) EP1810243A4 (ko)
JP (1) JP4874251B2 (ko)
KR (1) KR101150241B1 (ko)
CN (1) CN101048794A (ko)
AU (1) AU2005277198A1 (ko)
BR (1) BRPI0514505A (ko)
CA (1) CA2577333C (ko)
IL (1) IL181343A0 (ko)
WO (1) WO2006023839A2 (ko)
ZA (1) ZA200702057B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101781522B1 (ko) * 2013-03-15 2017-09-25 마스터카드 인터내셔날, 인코포레이티드 단일의 지불 디바이스를 이용하여 다수의 지불 계정을 이용하기 위한 시스템 및 방법

Families Citing this family (115)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9916581B2 (en) 2002-02-05 2018-03-13 Square, Inc. Back end of payment system associated with financial transactions using card readers coupled to mobile devices
CA2577333C (en) * 2004-08-18 2016-05-17 Mastercard International Incorporated Method and system for authorizing a transaction using a dynamic authorization code
AT503263A2 (de) * 2006-02-27 2007-09-15 Bdc Edv Consulting Gmbh Vorrichtung zur erstellung digitaler signaturen
US7818264B2 (en) 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
US8959596B2 (en) * 2006-06-15 2015-02-17 Microsoft Technology Licensing, Llc One-time password validation in a multi-entity environment
US8054969B2 (en) * 2007-02-15 2011-11-08 Avaya Inc. Transmission of a digital message interspersed throughout a compressed information signal
GB2442249B (en) * 2007-02-20 2008-09-10 Cryptomathic As Authentication device and method
US20100146263A1 (en) * 2007-06-20 2010-06-10 Mchek India Payment Systems Pvt. Ltd. Method and system for secure authentication
US7739169B2 (en) * 2007-06-25 2010-06-15 Visa U.S.A. Inc. Restricting access to compromised account information
US7711786B2 (en) * 2007-08-06 2010-05-04 Zhu Yunzhou Systems and methods for preventing spam
US7849014B2 (en) * 2007-08-29 2010-12-07 American Express Travel Related Services Company, Inc. System and method for facilitating a financial transaction with a dynamically generated identifier
KR100795142B1 (ko) * 2007-09-21 2008-01-17 주식회사 유비닉스 전자통장 인증 서비스 시스템 및 방법
US8010428B2 (en) * 2007-09-26 2011-08-30 Visa Usa Inc. Form factor identification
US9747598B2 (en) 2007-10-02 2017-08-29 Iii Holdings 1, Llc Dynamic security code push
US20090202081A1 (en) * 2008-02-08 2009-08-13 Ayman Hammad Key delivery system and method
GB0804803D0 (en) * 2008-03-14 2008-04-16 British Telecomm Mobile payments
US20090248583A1 (en) * 2008-03-31 2009-10-01 Jasmeet Chhabra Device, system, and method for secure online transactions
CA2757290C (en) 2008-04-01 2020-12-15 Leap Marketing Technologies Inc. Systems and methods for implementing and tracking identification tests
US9842204B2 (en) 2008-04-01 2017-12-12 Nudata Security Inc. Systems and methods for assessing security risk
US20090254479A1 (en) * 2008-04-02 2009-10-08 Pharris Dennis J Transaction server configured to authorize payment transactions using mobile telephone devices
US20090327131A1 (en) * 2008-04-29 2009-12-31 American Express Travel Related Services Company, Inc. Dynamic account authentication using a mobile device
US20090271211A1 (en) * 2008-04-29 2009-10-29 Ayman Hammad Device including user exclusive data tag
US7962390B2 (en) * 2008-06-05 2011-06-14 Visa Usa Inc. Field 55 data relationships
US10008067B2 (en) * 2008-06-16 2018-06-26 Visa U.S.A. Inc. System and method for authorizing financial transactions with online merchants
US20100051686A1 (en) * 2008-08-29 2010-03-04 Covenant Visions International Limited System and method for authenticating a transaction using a one-time pass code (OTPK)
EP2321712B1 (en) * 2008-09-04 2014-04-23 T-Data Systems (S) Pte Ltd Method and apparatus for wireless digital content management
US10127537B1 (en) 2008-09-30 2018-11-13 Wells Fargo Bank, N.A. System and method for a mobile wallet
US20100241850A1 (en) * 2009-03-17 2010-09-23 Chuyu Xiong Handheld multiple role electronic authenticator and its service system
US9235832B1 (en) * 2009-03-19 2016-01-12 United Services Automobile Association (Usaa) Systems and methods for detecting transactions originating from an unauthenticated ATM device
US9886693B2 (en) 2009-03-30 2018-02-06 Yuh-Shen Song Privacy protected anti identity theft and payment network
US20110225045A1 (en) * 2009-03-30 2011-09-15 Yuh-Shen Song Paperless Coupon Transactions System
US9715681B2 (en) 2009-04-28 2017-07-25 Visa International Service Association Verification of portable consumer devices
US9038886B2 (en) 2009-05-15 2015-05-26 Visa International Service Association Verification of portable consumer devices
US8534564B2 (en) 2009-05-15 2013-09-17 Ayman Hammad Integration of verification tokens with mobile communication devices
US8602293B2 (en) 2009-05-15 2013-12-10 Visa International Service Association Integration of verification tokens with portable computing devices
US10846683B2 (en) 2009-05-15 2020-11-24 Visa International Service Association Integration of verification tokens with mobile communication devices
US9105027B2 (en) 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US8893967B2 (en) 2009-05-15 2014-11-25 Visa International Service Association Secure Communication of payment information to merchants using a verification token
US8825548B2 (en) * 2009-06-30 2014-09-02 Ebay Inc. Secure authentication between multiple parties
WO2011063024A2 (en) * 2009-11-18 2011-05-26 Magid Joseph Mina Anonymous transaction payment systems and methods
US10133773B2 (en) * 2009-11-20 2018-11-20 Mastercard International Incorporated Methods and systems for indirectly retrieving account data from data storage devices
US20110142234A1 (en) * 2009-12-15 2011-06-16 Michael Leonard Rogers Multi-Factor Authentication Using a Mobile Phone
US20110145082A1 (en) * 2009-12-16 2011-06-16 Ayman Hammad Merchant alerts incorporating receipt data
US10255591B2 (en) 2009-12-18 2019-04-09 Visa International Service Association Payment channel returning limited use proxy dynamic value
US8429048B2 (en) 2009-12-28 2013-04-23 Visa International Service Association System and method for processing payment transaction receipts
US20120136796A1 (en) * 2010-09-21 2012-05-31 Ayman Hammad Device Enrollment System and Method
US11978031B2 (en) 2010-12-14 2024-05-07 E2Interactive, Inc. Systems and methods that create a pseudo prescription from transaction data generated during a point of sale purchase at a front of a store
US20120203695A1 (en) * 2011-02-09 2012-08-09 American Express Travel Related Services Company, Inc. Systems and methods for facilitating secure transactions
CN107967602A (zh) 2011-03-04 2018-04-27 维萨国际服务协会 支付能力结合至计算机的安全元件
US20120233004A1 (en) * 2011-03-11 2012-09-13 James Bercaw System for mobile electronic commerce
US10089612B2 (en) * 2011-03-15 2018-10-02 Capital One Services, Llc Systems and methods for performing ATM fund transfer using active authentication
US11514451B2 (en) 2011-03-15 2022-11-29 Capital One Services, Llc Systems and methods for performing financial transactions using active authentication
US20120303534A1 (en) * 2011-05-27 2012-11-29 Tomaxx Gmbh System and method for a secure transaction
US8538845B2 (en) 2011-06-03 2013-09-17 Mozido, Llc Monetary transaction system
EP2557546A1 (en) * 2011-08-12 2013-02-13 Oberthur Technologies Method and secure device for performing a secure transaction with a terminal
EP2747335B1 (en) * 2011-08-16 2017-01-11 ICTK Co., Ltd. Device and method for puf-based inter-device security authentication in machine-to-machine communication
BR112014004374B1 (pt) 2011-08-30 2021-09-21 Simplytapp, Inc Método para participação com base em aplicação segura em um processo de autorização de transação de cartão de pagamento por um dispositivo móvel, sistema para participação com base em aplicação segura por um dispositivo móvel em interrogações de ponto de venda
GB2509282A (en) * 2011-09-22 2014-06-25 Securekey Technologies Inc Systems and methods for contactless transaction processing
US9208488B2 (en) 2011-11-21 2015-12-08 Mozido, Inc. Using a mobile wallet infrastructure to support multiple mobile wallet providers
US10438196B2 (en) 2011-11-21 2019-10-08 Mozido, Inc. Using a mobile wallet infrastructure to support multiple mobile wallet providers
US10282724B2 (en) 2012-03-06 2019-05-07 Visa International Service Association Security system incorporating mobile device
US10515359B2 (en) * 2012-04-02 2019-12-24 Mastercard International Incorporated Systems and methods for processing mobile payments by provisioning credentials to mobile devices without secure elements
WO2013185278A1 (zh) * 2012-06-11 2013-12-19 Sun Hongming 一种动态授权码生成方法及装置、支付交易方法及系统
PL2885904T3 (pl) * 2012-08-03 2018-09-28 Vasco Data Security International Gmbh Dogodny dla użytkownika sposób uwierzytelniania i urządzenie stosujące mobilną aplikację uwierzytelniania
CA2830260C (en) 2012-10-17 2021-10-12 Royal Bank Of Canada Virtualization and secure processing of data
US11210648B2 (en) 2012-10-17 2021-12-28 Royal Bank Of Canada Systems, methods, and devices for secure generation and processing of data sets representing pre-funded payments
US11080701B2 (en) 2015-07-02 2021-08-03 Royal Bank Of Canada Secure processing of electronic payments
US10380583B1 (en) 2012-12-17 2019-08-13 Wells Fargo Bank, N.A. System and method for interoperable mobile wallet
TWI494886B (zh) * 2013-01-04 2015-08-01 Irene Tsai Mobile device, virtual worth of the conversion system and conversion methods
US10841289B2 (en) * 2013-03-18 2020-11-17 Digimarc Corporation Mobile devices as security tokens
CN104301288B (zh) * 2013-07-16 2017-11-10 中钞信用卡产业发展有限公司 在线身份认证、在线交易验证、在线验证保护的方法与系统
ES2531386B1 (es) * 2013-09-13 2015-12-22 Pomo Posibilidades, S.A. Sistema y método de pago mediante dispositivo móvil
US8930274B1 (en) * 2013-10-30 2015-01-06 Google Inc. Securing payment transactions with rotating application transaction counters
CN105934771B (zh) * 2013-11-19 2020-05-05 维萨国际服务协会 自动账户供应
CN105830107A (zh) 2013-12-19 2016-08-03 维萨国际服务协会 基于云的交易方法和系统
US9922322B2 (en) 2013-12-19 2018-03-20 Visa International Service Association Cloud-based transactions with magnetic secure transmission
US9635108B2 (en) 2014-01-25 2017-04-25 Q Technologies Inc. Systems and methods for content sharing using uniquely generated idenifiers
WO2015179637A1 (en) 2014-05-21 2015-11-26 Visa International Service Association Offline authentication
CN104104673B (zh) * 2014-06-30 2017-05-24 福建爱特点信息科技有限公司 第三方统一动态授权码实现安全支付的方法
CN104104672B (zh) * 2014-06-30 2017-11-10 重庆智韬信息技术中心 基于身份认证建立动态授权码的方法
CN104104671B (zh) * 2014-06-30 2017-11-10 重庆智韬信息技术中心 建立企业法人账户的统一动态授权码系统
US9779345B2 (en) 2014-08-11 2017-10-03 Visa International Service Association Mobile device with scannable image including dynamic data
US9775029B2 (en) 2014-08-22 2017-09-26 Visa International Service Association Embedding cloud-based functionalities in a communication device
CA2963287A1 (en) 2014-10-10 2016-04-14 Royal Bank Of Canada Systems and methods of processing electronic payments
GB201423362D0 (en) * 2014-12-30 2015-02-11 Mastercard International Inc Trusted execution enviroment (TEE) based payment application
US10187363B2 (en) 2014-12-31 2019-01-22 Visa International Service Association Hybrid integration of software development kit with secure execution environment
US11354651B2 (en) 2015-01-19 2022-06-07 Royal Bank Of Canada System and method for location-based token transaction processing
AU2016208989B2 (en) 2015-01-19 2021-11-25 Royal Bank Of Canada Secure processing of electronic payments
EP3767877B1 (en) * 2015-02-17 2022-05-11 Visa International Service Association Token and cryptogram using transaction specific information
US11037139B1 (en) 2015-03-19 2021-06-15 Wells Fargo Bank, N.A. Systems and methods for smart card mobile device authentication
US11188919B1 (en) 2015-03-27 2021-11-30 Wells Fargo Bank, N.A. Systems and methods for contactless smart card authentication
US11599879B2 (en) 2015-07-02 2023-03-07 Royal Bank Of Canada Processing of electronic transactions
CZ2015474A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru
KR101760502B1 (ko) 2015-07-14 2017-07-21 김병수 다이나믹 트랙 2 결제 시스템 및 방법
SG10201909133YA (en) 2015-09-05 2019-11-28 Mastercard Tech Canada Ulc Systems and methods for matching and scoring sameness
US10164963B2 (en) * 2015-10-23 2018-12-25 Oracle International Corporation Enforcing server authentication based on a hardware token
GB2544109A (en) * 2015-11-06 2017-05-10 Visa Europe Ltd Transaction authorisation
US10789587B2 (en) * 2015-12-15 2020-09-29 Visa International Service Association Wireless short range communication link transmission of line item data in real time
US10861019B2 (en) 2016-03-18 2020-12-08 Visa International Service Association Location verification during dynamic data transactions
US11113688B1 (en) 2016-04-22 2021-09-07 Wells Fargo Bank, N.A. Systems and methods for mobile wallet provisioning
US10007776B1 (en) 2017-05-05 2018-06-26 Mastercard Technologies Canada ULC Systems and methods for distinguishing among human users and software robots
US9990487B1 (en) 2017-05-05 2018-06-05 Mastercard Technologies Canada ULC Systems and methods for distinguishing among human users and software robots
US10127373B1 (en) 2017-05-05 2018-11-13 Mastercard Technologies Canada ULC Systems and methods for distinguishing among human users and software robots
US10438198B1 (en) * 2017-05-19 2019-10-08 Wells Fargo Bank, N.A. Derived unique token per transaction
CN109951432A (zh) * 2017-12-21 2019-06-28 国民技术股份有限公司 授权认证方法、用户终端、装置、服务器及存储介质
US10546444B2 (en) * 2018-06-21 2020-01-28 Capital One Services, Llc Systems and methods for secure read-only authentication
US10896032B2 (en) * 2018-11-02 2021-01-19 Accenture Global Solutions, Limited System and method for certifying and deploying instruction code
US11212090B1 (en) 2019-02-27 2021-12-28 Wells Fargo Bank, N.A. Derived unique random key per transaction
US11551200B1 (en) 2019-09-18 2023-01-10 Wells Fargo Bank, N.A. Systems and methods for activating a transaction card
WO2021242944A1 (en) * 2020-05-29 2021-12-02 Mastercard International Incorporated Systems and methods for linking authentications in connection with network interactions
US11704649B2 (en) * 2020-09-03 2023-07-18 Mastercard International Incorporated Contactless payment relay attack protection
US11445374B2 (en) * 2020-11-20 2022-09-13 Verizon Patent And Licensing Inc. Systems and methods for authenticating a subscriber identity module swap
US11423392B1 (en) 2020-12-01 2022-08-23 Wells Fargo Bank, N.A. Systems and methods for information verification using a contactless card
CN112910867B (zh) * 2021-01-21 2022-11-04 四三九九网络股份有限公司 一种受信任的设备访问应用的双重验证方法
CN118103860A (zh) 2021-09-01 2024-05-28 维萨国际服务协会 用于动态密码通信的系统、方法和计算机程序产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020129250A1 (en) * 2001-02-27 2002-09-12 Akira Kimura Authentication system and method, identification information inputting method and apparatus ands portable terminal
US20030167207A1 (en) * 2001-07-10 2003-09-04 Berardi Michael J. System and method for incenting payment using radio frequency identification in contact and contactless transactions

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) * 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
US5940510A (en) * 1996-01-31 1999-08-17 Dallas Semiconductor Corporation Transfer of valuable information between a secure module and another module
US6868391B1 (en) 1997-04-15 2005-03-15 Telefonaktiebolaget Lm Ericsson (Publ) Tele/datacommunications payment method and apparatus
CN1322334A (zh) * 1997-05-14 2001-11-14 谢浩强 通用电子交易系统及其方法
FR2771875B1 (fr) * 1997-11-04 2000-04-14 Gilles Jean Antoine Kremer Procede de transmission d'information et serveur informatique le mettant en oeuvre
US6098056A (en) * 1997-11-24 2000-08-01 International Business Machines Corporation System and method for controlling access rights to and security of digital content in a distributed information system, e.g., Internet
EP1028401A3 (en) 1999-02-12 2003-06-25 Citibank, N.A. Method and system for performing a bankcard transaction
WO2001017310A1 (en) * 1999-08-31 2001-03-08 Telefonaktiebolaget L M Ericsson (Publ) Gsm security for packet data networks
US20010056409A1 (en) * 2000-05-15 2001-12-27 Bellovin Steven Michael Offline one time credit card numbers for secure e-commerce
US7043635B1 (en) * 2000-09-15 2006-05-09 Swivel Secure Limited Embedded synchronous random disposable code identification method and system
FR2816736B1 (fr) 2000-11-10 2003-10-24 Smart Design Procede et installation de securisation de l'utilisation de supports associes a des identifiants et a des dispositifs electroniques
US20020095604A1 (en) * 2001-01-18 2002-07-18 Hausler Jean-Philippe D. Encryption system and method
US20020147600A1 (en) * 2001-04-05 2002-10-10 Ncr Corporation System and method for implementing financial transactions using biometric keyed data
WO2002084548A1 (fr) * 2001-04-11 2002-10-24 Eleven Point Two Inc Systeme de reglement electronique
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
AU2003293125A1 (en) * 2002-11-27 2004-06-23 Rsa Security Inc Identity authentication system and method
US7374079B2 (en) * 2003-06-24 2008-05-20 Lg Telecom, Ltd. Method for providing banking services by use of mobile communication system
CA2577333C (en) * 2004-08-18 2016-05-17 Mastercard International Incorporated Method and system for authorizing a transaction using a dynamic authorization code

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020129250A1 (en) * 2001-02-27 2002-09-12 Akira Kimura Authentication system and method, identification information inputting method and apparatus ands portable terminal
US20030167207A1 (en) * 2001-07-10 2003-09-04 Berardi Michael J. System and method for incenting payment using radio frequency identification in contact and contactless transactions

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101781522B1 (ko) * 2013-03-15 2017-09-25 마스터카드 인터내셔날, 인코포레이티드 단일의 지불 디바이스를 이용하여 다수의 지불 계정을 이용하기 위한 시스템 및 방법
US9947001B2 (en) 2013-03-15 2018-04-17 Mastercard International Incorporated System and method for using multiple payment accounts using a single payment device

Also Published As

Publication number Publication date
WO2006023839A3 (en) 2007-04-19
EP1810243A4 (en) 2012-05-02
AU2005277198A1 (en) 2006-03-02
CA2577333C (en) 2016-05-17
WO2006023839A2 (en) 2006-03-02
KR20070053748A (ko) 2007-05-25
IL181343A0 (en) 2007-07-04
US9911121B2 (en) 2018-03-06
US20080040285A1 (en) 2008-02-14
JP2008511060A (ja) 2008-04-10
CN101048794A (zh) 2007-10-03
ZA200702057B (en) 2008-07-30
BRPI0514505A (pt) 2008-06-10
CA2577333A1 (en) 2006-03-02
JP4874251B2 (ja) 2012-02-15
EP1810243A2 (en) 2007-07-25

Similar Documents

Publication Publication Date Title
KR101150241B1 (ko) 동적 인증 코드를 이용한 트랜잭션의 승인 방법 및 시스템
US8527427B2 (en) Method and system for performing a transaction using a dynamic authorization code
US6829711B1 (en) Personal website for electronic commerce on a smart java card with multiple security check points
US8046261B2 (en) EMV transaction in mobile terminals
CN102057386B (zh) 可信服务管理器(tsm)体系架构和方法
EP3255600B1 (en) Method and system for generating a dynamic verification value
US20140279555A1 (en) Dynamically allocated security code system for smart debt and credit cards
CN107925572A (zh) 软件应用程序到通信装置的安全绑定
WO2005073934A1 (en) Method and system for authenticating credit transactions
US9836735B2 (en) Method for initiating and performing a CNP business transaction, software for the same and a communication device comprising such software
EP2787474A2 (en) Dynamically allocated security code system for smart debt and credit cards
US20180240113A1 (en) Determining legitimate conditions at a computing device
EP4142216A1 (en) Digital identity authentication system and method
AU2012200393B2 (en) Method and system for authorizing a transaction using a dynamic authorization code
US20180240111A1 (en) Security architecture for device applications
US20040015688A1 (en) Interactive authentication process
CN114077725A (zh) 用于向移动设备供应访问数据的方法、设备和装置
KR100643501B1 (ko) Ic 카드 발급을 위한 키 전달 방법 및 시스템
EP1172776A2 (en) Interactive authentication process
CN117981274A (zh) 远程身份交互
WO2002041565A1 (en) Method, system and devices for authenticating transactions using verification codes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150416

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160419

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170420

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180417

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190417

Year of fee payment: 8