KR101316489B1 - 다이나믹 ραn 이용한 트랜잭션 처리방법 - Google Patents

다이나믹 ραn 이용한 트랜잭션 처리방법 Download PDF

Info

Publication number
KR101316489B1
KR101316489B1 KR1020120133946A KR20120133946A KR101316489B1 KR 101316489 B1 KR101316489 B1 KR 101316489B1 KR 1020120133946 A KR1020120133946 A KR 1020120133946A KR 20120133946 A KR20120133946 A KR 20120133946A KR 101316489 B1 KR101316489 B1 KR 101316489B1
Authority
KR
South Korea
Prior art keywords
area
pan
information
track
card
Prior art date
Application number
KR1020120133946A
Other languages
English (en)
Inventor
박해철
김병수
이정진
송은석
Original Assignee
신한카드 주식회사
삼성카드 주식회사
현대카드 주식회사
주식회사 케이비국민카드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 신한카드 주식회사, 삼성카드 주식회사, 현대카드 주식회사, 주식회사 케이비국민카드 filed Critical 신한카드 주식회사
Priority to KR1020120133946A priority Critical patent/KR101316489B1/ko
Priority to CN201280077258.0A priority patent/CN104995648A/zh
Priority to PCT/KR2012/011693 priority patent/WO2014081075A1/ko
Priority to EP12888916.9A priority patent/EP2924641A4/en
Priority to JP2015542926A priority patent/JP2015536508A/ja
Priority to US14/646,303 priority patent/US9978061B2/en
Application granted granted Critical
Publication of KR101316489B1 publication Critical patent/KR101316489B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/24Credit schemes, i.e. "pay after"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/227Payment schemes or models characterised in that multiple accounts are available, e.g. to the payer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Cash Registers Or Receiving Machines (AREA)

Abstract

본 발명에 따르면 카드 리더기, VAN 서버 및 카드사 서버와 같은 기존 인프라의 변경 및 변경에 따른 부담을 최소화하면서 자기 스트립 카드, IC 카드 및 휴대단말기와 같은 결제 디바이스의 트랜잭션의 보안성을 향상시키는 다이나믹 PAN을 이용한 트랜잭션 처리방법을 제안한다. 이를 위해 본 발명은 카드 리더기로 ISO(International Standardization Organization) 규격의 트랙 2(track 2) 정보를 제공하는 결제 디바이스에 의해 수행되며, 트랙 2(track 2) 정보의 PAN(Primary Account Number) 영역을 BIN(Bank Information Number)을 포함하는 제1영역 및 BIN을 포함하지 않는 제2영역으로 구획하는 단계, 제2영역을 암호화하여 동적 영역을 형성하는 단계, 제1영역과 동적 영역을 결합하여 하나의 다이나믹 PAN 영역을 형성하는 단계 및 다이나믹 PAN 영역을 포함하는 트랙 2 정보를 카드 리더기로 제공하는 단계로 구성될 수 있다.

Description

다이나믹 ΡΑN 이용한 트랜잭션 처리방법{Method For Processing Transaction Using Variable PAN}
본 발명은 트랜잭션 처리방법에 관한 것으로, 더욱 상세하게는 동적으로 가변되어 보안성을 향상시키면서도 기존의 카드 리더기 및 중계 서버를 이용 가능한 다이나믹 PAN을 이용한 트랜잭션 처리방법에 관한 것이다.
오늘날 가장 많이 이용되는 결제 수단으로서 자기 스트립(MS : Magnetic Strip)을 구비하는 자기식 신용카드가 있다. 자기식 신용카드는 자기 스트립에 ISO(International Standardization Organization) 규격의 트랙 2(Track 2) 정보를 포함하며, 트랙 2 정보를 포함하는 신용카드를 카드 리더기에 접촉시키면 카드 리더기는 자기 스트립(MS)에 기록된 트랙 2 정보를 읽고 이를 VAN(Value Added Network) 서버 또는 카드사 서버와 같은 금융사 서버로 제공하여 신용카드에 대한 트랜잭션을 처리한다.
자기 스트립(MS)에 포함되는 트랙 2 정보는 카드 식별을 위한 PAN(Primary Account Number) 영역을 구비하며, PAN 영역은 신용 카드의 트랜잭션을 처리할 금융사 서버의 정보를 포함하고 있다.
트랙 2 정보는 PAN(Primary Account Number) 영역, ED(Expiration Data) 영역, SC(Service Code) 영역 및 DD(Discretionary Data) 영역으로 구성되며, 이들 영역 중 PAN 영역은 금융사 식별을 위한 BIN(Bank Information Number)을 포함한다. BIN은 VAN 서버 또는 카드사 서버는 BIN을 이용하여 신용카드의 트랜잭션을 처리해야 할 대상을 판단하는데 이용될 수 있다.
그러나, 자기 스트립에 기록된 트랙 2 정보는 고정된 값(Static Value)을 가지므로 위조나 변조의 위험이 상존하며, 카드 리더기에서 금융사 서버로 전송되는 과정에서 외부로 누출될 위험도 존재한다. 이와 같은 위조나 변조의 위험을 감소시키기 위해 IC(Integrated Circuit)를 내장한 형태의 전자 신용카드가 제안된 바 있다. 전자 신용카드는 내장되는 IC를 이용하여 동적인 암호 값을 생성할 수 있으나, 동적인 암호 값 생성을 위해서는 IC를 내장하는 전자 신용카드는 물론, 전자 신용카드로부터 트랙 2 정보를 획득하는 카드 리더기도 암호화 기능을 수행할 수 있어야 한다. 이는 현재의 트랜잭션 처리방법이 자기 스트립(MS)을 포함하는 신용카드 결제를 위해 마련된 인프라에서 수행되는데 그 이유가 있으며, 기존의 인프라를 변경 및 추가하는데 많은 비용이 소요될 수 있다.
이러한 문제점에 대해 PCT 출원된 WO 2003/081832은 트랙 2 정보를 구성하는 PAN(Primary Account Number) 영역, ED(Expiration Data) 영역, SC(Service Code) 영역 및 DD(Discretionary Data) 영역 중 DD 영역에 동적 인증코드를 기록하고 동적 인증코드를 이용하여 트랜잭션을 처리함으로서 기존의 자기 스트립을 구비하는 신용카드의 보안성을 향상시키는 근접 장치를 이용하여 트랜잭션을 처리하는 방법 및 시스템을 제안한 바 있다.
도 1은 WO 2003/081832의 트랜잭션 처리방법에 대한 개념도를 도시한 것으로서, 도 1을 참조하면, 근접 장치(10)에서 리더기(20)로 트랙 2정보를 제공하며, 이때, 근접 장치(10)는 리더기(20)로 제공하는 트랙 2 정보에서 DD 영역(임의의 영역)에 제1인증 값을 생성할 수 있다.
WO 2003/081832에서 언급되는 제1인증 값은 DD(Discretionary Data) 영역에 기록되는 임의의 인증 값을 나타내고,
또한, WO 2003/081832에서 언급되는 제2인증 값은 신용카드 뒷면에 기재되는 신용카드 번호들 중 일부를 의미할 수 있다.
리더기(20)는 근접 장치(10)가 제공하는 제1인증 값을 신용카드 발급자(30)에게 제공하고, 신용카드 발급자는 제1인증 값을 토대로 제2인증 값을 유도한 후, 제1인증 값과 제2인증 값을 비교하여 양자가 일치하면 인증을 완료하고, 그렇지 않으면 인증이 실패한 것으로 판단한다.
WO 2003/081832는 기본적으로 신용카드에서 트랙 2 정보를 획득하는 리더기(20) 보다는 근접 장치(10)의 보안성에 대한 신뢰도를 더 높게 판단하는 경향이 있고, 이는 근접 장치(10)가 제1인증 값을 생성하는 하드웨어 및 소프트웨어 구조를 갖추도록 하는 경향이 있다.
WO 2003/081832은 동적인 인증 값을 사용자 정의되는 DD 영역에 기록하고 기록된 동적인 인증 값을 이용하여 트랜잭션을 처리한다는 측면에서 자기 스트립을 이용하는 트랜잭션 시스템을 활용하는 장점을 가진다. 그러나, WO 2003/081832에서 제안된 동적 인증 값은 VAN(Value Added Network) 서버를 이용하는 한국의 트랜잭션 처리 시스템에서 VAN 서버가 카드번호 복호화를 수행해야 하므로 VAN 서버는 카드 번호 복호를 위한 시스템 개발 및 유지보수의 문제점을 가지며, 동적으로 암호화된 카드번호를 복호화하기 위한 암호화 키를 구비하여야 한다.
암호화 키는 카드사 서버에서 VAN 서버로 제공되어야 하며, 암호화 키를 둘 이상의 서버(VAN 서버 및 카드사 서버)에서 관리하는 것이 보안상 유리하지 않을 수 있다.
본 발명은 신용카드 결제 시 보안성을 향상시키고, 금융정보 노출을 최소화하며, 기존의 결제 시스템을 최대한 활용하는 다이나믹 PAN을 이용한 트랜잭션 처리방법을 제공함에 그 목적이 있다.
상기한 목적은 본 발명에 따라, 카드 리더기로 ISO(International Standardization Organization) 규격의 트랙 2(track 2) 정보를 제공하는 결제 디바이스에 의해 수행되며, 상기 트랙 2(track 2) 정보의 PAN(Primary Account Number) 영역을 BIN(Bank Information Number)을 포함하는 제1영역 및 상기 BIN을 포함하지 않는 제2영역으로 구획하는 단계, 상기 제2영역을 암호화하여 동적 영역을 형성하는 단계, 상기 제1영역과 상기 동적 영역을 결합하여 하나의 다이나믹 PAN 영역을 형성하는 단계 및 상기 다이나믹 PAN 영역을 포함하는 트랙 2 정보를 상기 카드 리더기로 제공하는 단계에 의해 달성된다.
본 발명에 따르면, 카드 리더기, VAN 서버, 및 카드사 서버와 같은 기존 인프라의 변경을 최소화하면서 자기 스트립 카드, IC 카드 및 휴대단말기와 같은 결제 디바이스의 트랜잭션 보안성을 향상시킬 수 있다.
도 1은 WO 2003/081832의 트랜잭션 처리방법에 대한 개념도를 도시한다.
도 2는 본 발명의 일 실시예에 따른 다이나믹 PAN을 이용한 트랜잭션 처리방법에 대한 개념도를 도시한다.
도 3은 본 발명에 따른 다이나믹 PAN의 구조에 대한 참조도면을 도시한다.
도 4는 PAN 영역에서 제2영역을 형성하는 방법에 대한 참조도면을 도시한다.
도 5는 제1영역에 의해 결제 디바이스의 트랜잭션을 처리하는 일 예에 대한 참조도면을 도시한다.
도 6은 본 발명에 따른 트랙 2 정보의 구조에 대한 참조도면을 도시한다.
도 7은 본 발명의 일 실시예에 따른 다이나믹 PAN을 이용한 트랜잭션 처리방법에 대한 흐름도를 도시한다.
도 8은 도 7에서 생성된 다이나믹 PAN을 이용한 트랜잭션 처리방법에 대한 흐름도를 도시한다.
도 9는 카드사 서버의 일 실시예에 따른 블록개념도를 도시한다.
본 명세서에서 언급되는 "결제 디바이스"는 트랙 2 정보를 포함하며, IC 칩이 내장된 전자 신용카드 및 USIM(Universal Subscriber Identity Module) 칩을 구비하는 휴대단말기 중 어느 하나일 수 있다. 그러나, 상기 언급된 전자 신용카드 및 휴대단말기 이외에도 트랙 2 정보를 포함하며 트랙 2 정보를 카드 리더기로 제공함으로써, 카드 리더기에서 트랜잭션 처리가 가능한 것이라면 결제 디바이스라 할 수 있다. 결제 디바이스는 카드 리더기에 근접하거나 접촉할 수 있다.
여기서, 트랙 2 정보는 ISO/IEC 7813 규격에 따른 정보를 의미할 수 있다.
본 명세서에서 트랙 2 정보의 구조와 기능에 대해 추가로 필요한 정보는 ISO/IEC 7813 규격을 참조하도록 한다.
ISO/IEC 7813 규격에 따른 트랙 2 정보는 PAN(Primary Account Number) 영역, ED(Expiration Data) 영역, SC(Service Code) 영역 및 DD(Discretionary Data) 영역을 포함할 수 있다.
본 명세서에서 언급되는 "카드 리더기"는 IC를 내장한 전자 신용카드 및 USIM 칩을 내장하는 휴대단말기로부터 트랙 2 정보를 획득하여 트랜잭션 처리가 가능한 기기를 의미할 수 있다. 이에 더하여 마그네틱 스트립을 구비하는 자기식 신용카드와 접촉하여 트랙 2 정보를 획득 가능한 장치일 수도 있다.
여기서, 카드 리더기는 자기식 신용카드, 전자 신용카드 및 휴대단말기 중에서 어느 하나와만 트랜잭션 처리가 가능할 수도 있고, 둘 또는 셋 모두와 트랜잭션 처리가 가능한 것일 수도 있다. 다만 한정하지는 않는다.
본 명세서에서 언급되는 NFC는 Near Field Communication의 약어로서, 스마트폰, 모바일 폰(Mobile Phone)에 내장될 수 있으며, USIM 칩과 별개로 내장되거나 또는 USIM 칩과 일체로 형성될 수도 있다.
본 명세서에서 휴대단말기는 스마트폰(Smart Phone)과 모바일 폰을 중심으로 기술되고 설명된다. 그러나, 언급된 스마트폰 및 모바일 폰 이외에도 휴대 가능하고 USIM 칩을 내장 가능하며, NFC 기능을 이용하여 카드 리더기로 트랙 2 정보를 전송 가능한 장치라면 별도로 언급하지 않더라도 휴대단말기라 지칭할 수 있다.
본 명세서에서 언급되는 PAN 영역의 정보 중 일부(또는 전체)는 자기식 신용카드나 전자 신용카드의 표면에 양각 또는 음각으로 새겨지는 숫자열 형태를 지칭할 수 있다.
PAN 영역 중 BIN 과 카드 번호에 대한 정보는 16자리의 숫자열로 구성되며, 16자리의 숫자열은 상위 8자리가 BIN에 대응하고, 하위 8자리는 카드 번호에 대응할 수 있다.
본 명세서에서 언급되는 중계 서버는, 카드 리더기에서 결제 데이터를 카드사 서버로 전송 시, 각 카드사를 대행하여 매출 전표를 수집 관리하고, 카드 리더기에서 전송된 결제 데이터에서 카드사 정보를 파악하여 결제 데이터를 해당 카드사 서버로 제공하는 VAN(Value Added Network) 서버일 수 있다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.
도 2는 본 발명의 일 실시예에 따른 다이나믹 PAN을 이용한 트랜잭션 처리방법에 대한 개념도를 도시한다.
도 2를 참조하면, 실시예에 따른 다이나믹 PAN을 이용한 트랜잭션 처리방법은, 결제 디바이스(50)에서 암호화되거나 변조되지 않은 트랙 2 정보를 카드 리더기(20)로 제공하면, 카드 리더기(20)가 트랙 2 정보에 대한 다이나믹 PAN을 생성하고, 다이나믹 PAN을 이용하여 트랜잭션을 처리함으로써 보안성이 향상되고 기존 인프라(infra)를 그대로 이용 가능한 트랜잭션 처리방법을 구현하고 있다.
결제 디바이스(50)가 전자식 신용카드나 USIM 칩을 내장한 휴대단말기인 경우, 결제 디바이스(50)가 카드 리더기(20)와 근접(또는 접촉)할 때 트랙 2 정보를 제공할 수 있다. 결제 디바이스(50)가 카드 리더기(20)에 근접(또는 접촉)할 때, 카드 리더기(20)는 트랙 2 정보 읽기 명령을 생성하며, 결제 디바이스(50)로 전송하여 트랙 2 정보를 요청 및 획득할 수 있다.
카드 리더기(20)는 결제 디바이스(50)에서 획득한 트랙 2 정보의 PAN 영역을 BIN(Bank Information Number) 을 포함하는 제1영역과 BIN을 포함하지 않는 제2영역으로 구획할 수 있다.
카드 리더기(20)는 다양한 형태의 결제 디바이스와 접촉(contact)하거나 근접(proximity)하여 트랙 2 정보를 획득할 수 있다.
예컨대, 카드 리더기(20)는 전자 신용카드(52) 및 휴대단말기(53) 중 하나와 접촉하여 트랙 2 정보를 획득하거나 또는 근접 상태에서 무선으로 트랙 2 정보를 획득할 수도 있다.
- 카드 리더기(20)는 전자 신용카드(52)에 내장되는 IC 칩(52a)과 근거리 무선통신을 수행하여 트랙 2 정보를 획득할 수도 있다. 또한, 카드 리더기(20)는 NFC(Near Field Communication) 통신을 통해 휴대단말기(53)에 내장되는 USIM 칩(53a)과 데이터 통신을 수행하고, USIM 칩(53a)을 통해 트랙 2 정보를 획득할 수도 있다. 이 경우, 카드 리더기(20)는 휴대단말기(53)와의 근거리 무선 통신을 위해 NFC 통신 기능을 구비하여야 한다.
카드 리더기(20)는 전자 신용카드(52) 및 휴대단말기(53) 중 하나 또는 둘과 데이터 통신이 가능하거나, 또는 전자 신용카드(52) 및 휴대단말기(53) 모두와 데이터 통신이 가능한 종류의 기기일 수 있다. 다만 한정하지는 않는다.
카드 리더기(20)는 결제 디바이스(51, 52, 53)로부터 획득한 트랙 2 정보에서 PAN(Primary Account Number) 영역을 선택하고, PAN 영역을 제1영역 및 제2영역으로 구획할 수 있다.
카드 리더기(20)에서 구획되는 제1영역에는 BIN 이 위치한다. BIN은 4 자리 내지 10자리로 구성되는 숫자열로서, 카드사나 은행과 같은 금융사를 지칭하는데 이용되고 있다. 아래의 표 1은 BIN을 구성하는 숫자열이 한국의 금융사를 지칭하는 일 예를 나타낸다.
Figure 112012097021365-pat00001
표 1에 나타난 바와 같이, BIN은 한국에서는 주로 4 바이트를 이용하여 신용카드사를 구분하고 있으며, 뒤의 두 바이트는 필요에 따라 이용되기도 하고 이용되지 않을 수도 있다. 첫째 자리부터 여섯째 자리까지의 번호(BIN)를 통해 중계 서버(150)나 카드사 서버(100)는 BIN을 구비하는 결제 디바이스에 신용카드(또는 신용카드에 준하는 금융 칩)를 발급한 국가, 발급한 금융사, 및 신용카드의 종류를 판단할 수 있다.
표 1에서는 BIN을 구성하는 여섯 개의 숫자열 중 앞의 6자리를 통해 금융사를 구분하고 있다. 표 1에서는 신한카드, 비씨카드, 삼성카드, 국민카드 및 현대카드가 각각 6자리의 구분되는 숫자열을 이용하고 있다. 또한 BIN은 결제 디바이스의 트랜잭션을 처리할 때, 결제 디바이스가 선불 결제를 할 것인지, 후불 결제를 할 것인지 또는 체크 카드로서 이용되는지에 대한 결제 방식을 나타낼 수 있다.
본 실시예에서, BIN 값을 포함하는 제1영역은 암호화되거나 변조되지 않는다. 제1영역을 암호화하거나 변조하지 않음에 따라 결제 디바이스(50)를 카드 리더기(20)에 근접(또는 접촉) 시킬 때, 카드 리더기(20)로 제공되는 트랙 2 정보 중 BIN의 형태는 유지된다. BIN의 형태를 유지한다는 것은, BIN을 중계 서버(150)나 카드사 서버(100)로 변형없이 제공하는 것이며, 중계 서버(150)나 카드사 서버(100)는 카드 리더기(20)에서 제공하는 BIN을 통해 결제 대상이 어느 카드사의 카드사 서버인가를 명확히 할 수 있다. 이를 통해 중계 서버(150)는 결제 대상을 판단하기 위해 제1영역에 대한 복호화를 요구하지 않으며, 이는 중계 서버(150)가 카드사 서버(100) 측에서 제공하는 별도의 암호화 키를 필요로 하지 않음을 의미한다.
이에 따라, 기존의 트랜잭션 처리 인프라 중 하나인 중계 서버(150)가 다이나믹 PAN을 복호화하지 않아도 되므로 중계 서버(150)에 대한 시스템 변경을 요구하지 않는다.
또한, 중계 서버(150)에서 BIN 을 추출하기 위한 별도의 복호화 과정을 수행하지 않아도 되는 이점이 발생한다.
이러한 이점은 결제 디바이스(50)의 PAN 영역이 동적으로 변동된다 하더라도 중계 서버(150)나 카드사 서버(100)가 동적으로 변동되는 PAN 영역을 복호화하여 트랜잭션을 처리해야할 카드사 서버를 찾는 부담이 발생하지 않는데서 두드러진다.
이는 중계 서버(150)가 PAN 영역을 복호화하기 위해 별도의 시스템을 개발하고 유지 보수할 필요가 없다는 것을 의미한다.
PAN 영역에서 BIN을 포함하지 않는 제2영역은 카드 리더기(20)에 의해 동적 값으로 암호화 또는 변조될 수 있다. 카드 리더기(20)는 결제 디바이스(50)가 트랜잭션 처리를 요청한 시간에 따라 랜덤하게 생성되는 난수와 결제 디바이스(50)의 거래요청 순번(ATC : Application Transaction Count)를 이용하여 제2영역의 정보를 매 트랜잭션 처리 시, 동적으로 변동되는 값으로 암호화 또는 변조할 수 있다.
ATC(Application Transaction Count)는 결제 디바이스(10)에서 카드사 서버(100)로 거래 요청이 발생할 때마다, 카드사 서버(100)에서 결제 디바이스에 부여하는 번호로서 카드사 서버(100)는 다수의 결제 디바이스에서 거래 요청이 수신될 때마다 해당 거래 요청에 번호를 부여하여 관리하며, ATC는 이 번호를 지칭한다.
제2영역은 AES(Advanced Encryption Standard), RSA(Rivest, Shamir, Adleman), DES(Data Encryption Standard), TDES(Triple DES), ARIA(Academy Research Institute Agency) 알고리즘에 따른 암호화 방법 중 어느 하나에 따라 암호화 될 수 있다. 본 명세서에서 별도로 암호화 방법을 기재하지 않는 경우, AES, RSA, DES, TDES, ARIA 알고리즘 중 하나의 알고리즘이 적용될 수 있음을 의미한다.
제2영역은 암호화 알고리즘의 입력 변수로서 결제 디바이스(50)가 트랜잭션을 유발하는 시간 정보, 제2영역의 정보 및 ATC(Application Transaction Count) 값이 이용될 수 있으며, ED 영역, SC 영역 및 DD 영역의 값과 함께 암호화될 수 있다. PAN 영역의 정보는 트랜잭션을 처리할 카드사에 대한 정보만이 노출되고, 나머지 정보는 암호화(또는 변조된) 상태를 갖는다. 이에 따라, 결제 디바이스(50)에 내장되는 신용카드의 계정 정보(Credit Card Account)는 카드사에 대한 정보를 나타내는 BIN을 제외한 나머지가 암호화 알고리즘에 의해 암호화되며, 제2영역은 카드사 서버(100)에서 복호화될 수 있으며, 제2영역에 대한 암호화 방법이 DES 또는 TDES 암호화 방법인 경우, 카드사 서버(100)는 복호화를 위한 마스터 키(Master Key)를 이용하여 해쉬 함수(Hash Function)를 구동함으로써 암호화된 제2영역을 복호화될 수 있다.
따라서, 암호화된 제2영역은 카드사 서버(100) 이외에는 타인에게 노출되지 않을 수 있다.
도 3은 본 발명에 따른 다이나믹 PAN의 구조에 대한 참조도면을 도시한다.
도 3을 참조하면, 다이나믹 PAN은 PAN 영역, ED 영역, SC 영역 및 DD 영역을 포함하는 ISO/IEC 7813 규격의 트랙 2 정보에서 PAN 영역을 제1영역(BIN)과 제2영역(PAN-BIN)으로 구획한다. 제1영역(BIN)은 카드사를 정의하는 BIN을 포함하는 영역으로서, 4 바이트(Byte) 내지 10 바이트(Byte)의 길이를 가질 수 있다. 제2영역(PAN-BIN)은 PAN 영역에서 BIN을 제외한 나머지 영역으로 구성되며, 카드 리더기(20)에 부여된 신용카드의 계정 정보를 포함할 수 있다. 여기서 신용카드의 계정정보는 신용카드의 카드 번호일 수 있다. 도 3에서,
- PAN 영역 중 제1영역(BIN)은 고정 값(Static Value)이다.
- 제1영역(BIN)은 신용카드에 양각 또는 음각된 카드 번호 16자리 중 앞열 8자리를 의미할 수 있다.
이때, 카드 번호 16자리는 신용카드의 표면에 각인되거나 또는 전자 신용카드에 내장되는 칩에 데이터의 형태로 기록되는 것일 수 있다. USIM 칩을 내장하는 휴대단말기의 경우 16자리의 숫자열로 구성되는 카드 번호는 USIM 칩 내에 저장될 수 있다.
- PAN 영역 중 제2영역(PAN-BIN)은 고정 값(Static Value)이다. 그러나, 제2영역(PAN-BIN)은 결제 디바이스(50)에서 구동하는 암호화 알고리즘에 의해 동적 값(Dynamic Value)으로 변환될 수 있다. 이때, 결제 디바이스(50)에서 구동하는 암호화 알고리즘은 AES, RSA, DES, TDES, ARIA 알고리즘 중 하나의 알고리즘 중 하나이며, 이하, 생략하도록 한다.
즉, 다이나믹 PAN은 고정 값인 제1영역(BIN)과 암호화 알고리즘에 의해 암호화된 제2영역(PAN-BIN)이 결합된 형태를 가지며, 도 3에 도시된 바와 같이 제2영역(PAN-BIN)은 카드사 서버(100)에 마련되는 마스터 키, 및 마스터 키(Master Key)를 이용하여 제2영역(PAN-BIN)을 복호화하는 복호화 함수에 의해 올바른 값이 산출될 수 있다.
만일, 결제 디바이스(50)의 제2영역 암호화 방법이 DES 및 TDES 중 어느 하나인 경우, 마스터 키값을 필요로 하는 해쉬 함수(Hash Function)를 통해서만 올바른 값이 산출될 수 있다. 여기서, 마스터 키 값은 카드사 서버(100)에 마련될 수 있다.
제2영역(PAN-BIN)이 암호화된 상태에서 다이나믹 PAN 이 카드 리더기(20)에서 노출되거나 또는 카드 리더기(20)에서 중계 서버(150)로 전송되는 과정에서 노출된다 하더라도, 카드사 서버(100)에 마련되는 마스터 키(Master Key) 없이는 복호화할 수 없으며, 카드사 서버(100) 측에서 마스터 키를 이용하여 복호화하는 알고리즘(TDES 알고리즘)과 동일한 알고리즘을 알지 못하는 한, 외부인에 의해 제2영역(PAN-BIN)은 복호화되지 않는다.
도 4는 PAN 영역에서 제2영역을 형성하는 방법에 대한 참조도면을 도시한다.
먼저, 도 4의 (a)는 결제 디바이스(50)가 PAN 영역에 대해서 제2영역을 형성하는 일 예를 도시한다.
도 4의 (a)에서 트랙 2 정보는 PAN 영역, 유효기간 영역(ED), 서비스 코드 영역(SC) 및 임의 영역(DD)을 포함하여 구성되나, 결제 디바이스(50)는 BIN을 제외한 PAN 영역에 대해서만 제2영역을 형성하고, 유효기간 영역(ED), 서비스 코드 영역(SC) 및 임의 영역(DD)은 제2영역으로 구획하지 않는다.
이러한 방법으로 PAN을 형성할 경우, 통상의 신용카드에 양각 또는 음각된 16자리의 카드 번호로도 다이나믹 PAN을 형성할 수 있다.
도 4의 (b)에서 결제 디바이스(50)는 트랙 2 정보에서 카드 계정을 포함하는 PAN 영역, 유효기간 영역(ED), 서비스 코드 영역(SC) 및 임의 영역(DD)을 제2영역으로 구획하고, 제2영역에 대해 암호화 알고리즘을 적용하여 암호화할 수 있다.
도 4의 (a) 및 도 4의 (b)를 통해 설명된 다이나믹 PAN은 양자 모두 BIN이 기재된 제1영역이 암호화되지 않으므로 중계 서버(150)는 별도의 복호화 알고리즘이나 복호화를 위한 마스터 키를 이용할 필요가 없다. 또한, 중계 서버(150)는 카드 리더기(20)에서 제공되는 결제 요청 메시지를 수신 후, 암호화되지 않은 BIN을 참조하여 수신된 결제 요청 메시지를 어느 카드사 서버로 송부해야 하는가를 즉각 파악할 수 있다.
도 5는 제1영역에 의해 결제 디바이스의 트랜잭션을 처리하는 일 예에 대한 참조도면을 도시한다.
도 5와 도 2를 함께 참조하면, IC(52a)를 내장하는 전자 신용카드(52) 및 USIM 칩(53a)을 구비하는 휴대단말기(53) 중 하나가 결제 디바이스(50)일 경우, 결제 디바이스(52, 52)가 카드 리더기(20)에 접촉하거나 근접하고, 카드 리더기(20)가 결제 디바이스(52, 53)로부터 트랙 2 정보를 획득하면, 카드 리더기(20)는 획득한 트랙 2 정보에서 PAN 영역을 읽고, PAN 영역에서 제1영역(BIN)을 추출한다. 다이나믹 PAN 영역은 제1영역(BIN), 제2영역(PAN-BIN)을 포함한다.
여기서, 제2영역(PAN-BIN)은,
1) PAN 영역에서 제1영역(BIN)을 제외한 나머지 영역 전체를 의미하거나,
2) 제2영역(PAN-BIN)에 ED 영역, SC 영역 및 DD 영역이 부가된 영역을 의미할 수 있다.
1)의 경우 제2영역(PAN-BIN)은 신용카드 번호 영역만을 의미할 수 있으나,
2)의 경우 제2영역(PAN-BIN)은 BIN을 제외한 트랙 2 정보의 나머지 영역(ED 영역, SC 영역 및 DD 영역) 모두를 의미할 수 있다.
제2영역(PAN-BIN)이 전술한 1) 또는 2)의 형태 중 어느 하나라 하더라도, 제1영역(BIN)은 고정 값(Static Value)으로 4 바이트 내지 10 바이트가 카드 리더기(20)에 노출된다.
카드 리더기(20)는 제1영역(BIN)을 중계 서버(150)로 제공할 수 있다. 물론, 신용 카드 결제를 위해 중계 서버(150)가 필요하지 않을 수도 있으며, 카드사 서버(100a ∼ 100n)와 카드 리더기(20)가 다이렉트(Direct)로 네트워크 접속될 수도 있다. 다만 한정하지는 않는다.
본 발명 전반에 걸쳐, 중계 서버(150)는 생략될 수 있다. 중계 서버(150)는 카드 리더기(20)와 카드사 서버(100) 사이에 마련되어 트랜잭션을 유발하는 결제 디바이스(52, 53)와 카드사 서버(100a ∼ 100n)를 매칭하는데 그 목적이 있다.
중계 서버(150)는 카드 리더기(20)에서 제1영역에 포함되는 BIN을 전송하면, 전송된 BIN을 참조하여 결제 디바이스(52, 53)가 어느 카드사 서버(100a ∼ 100n 주 어느 하나)로 매칭되어야 하는가를 판단하고, 판단 결과 BIN이 카드사 서버(100b)를 지칭하는 경우, 카드 리더기(20)에서 제공되는 제1영역(BIN) 및 제1영역(BIN)을 제외한 나머지 트랙 2 정보를 카드사 서버(100b)로 제공할 수 있다.
도 6은 본 발명에 따른 트랙 2 정보의 구조에 대한 참조도면을 도시한다.
도 6을 참조하면, 트랙 2 정보는, 트랙 2 정보의 시작 감시문자인 "STX", 신용카드의 계좌정보 및 BIN을 포함하며 16 바이트로 구성되는 "PAN(Primary Account Number) 영역", PAN 영역과 타 영역을 구분하는 구분자 "FS", 유효기간 정보를 나타내는 ED(Expire Data) 영역, 서비스 코드를 나타내는 SC(Service Code) 영역, 임의 데이터 영역 DD(Discretionary Data), 종료 감시문자(ETX) 및 트랙 2 정보에 대한 체크섬(Checksum)에 할당되는 영역으로써 LRC(Longitudinal Redundancy Check)가 마련된다.
도 7은 본 발명의 일 실시예에 따른 다이나믹 PAN을 이용한 트랜잭션 처리방법에 대한 흐름도를 도시한다.
도 7에 대한 설명은 도 2 내지 도 6을 함께 참조하여 설명하며, 도 2 내지 도 6에 부여된 참조부호가 인용될 수 있다. 단 결제 디바이스에 대한 참조부호는 설명과 이해의 편의를 위해 도 2에 도시된 참조부호(50)를 인용하도록 한다.
결제 디바이스(50)가 전자 신용카드인 경우, 또는 USIM 칩을 내장하는 휴대단말기이고, 카드 리더기(20)가 전자 신용카드나 휴대단말기와 근접 통신을 수행 가능한 경우, 카드 리더기(20)는 전자 신용카드나 휴대단말기가 동작 필드 내에 존재하는가를 확인할 수 있다. 동작 필드는 카드 리더기(20)와 결제 디바이스(50)가 상호 통신이 가능한 거리로서, 수 센티미터(cm)에서 수십 센티미터(cm)의 거리일 수 있으나, 카드 리더기(20)나 결제 디바이스(50)의 성능 향상에 따라서 동작 필드의 거리는 더 증가할 수 있다. 따라서, 카드 리더기(20)와 결제 디바이스(50)가 접촉을 해야하는 자기식 신용카드의 경우 동작 필드는 접촉 상태를 의미할 수 있으며, 그 외에 전자 신용카드나 휴대단말기가 결제 다바이스(50)인 경우에는 동작필드가 수 센티미터 내지 수십 센티미터일 수 있다.
다음으로, 카드 리더기(20)가 결제 디바이스(50)와 접촉 또는 근접하는 경우, 카드 리더기(20)는 결제 디바이스(50)로 리드 레코드(Read Record) 명령을 전송하여 트랙 2 정보를 요청하며(S303), 결제 디바이스(50)는 리드 레코드 명령에 응답하여 트랙 2 정보를 카드 리더기(20)로 전송하고, 카드 리더기(20)는 결제 디바이스(50)로부터 트랙 2 정보를 획득한다(S304).
전자 신용카드는 수 센티미터 내지 수십 센티미터 거리에서 트랙 2 정보를 카드 리더기(20)로 제공하므로 결제 디바이스에서 카드 리더기(20)로 전송되는 구간에서는 트랙 2 정보가 누출될 우려는 없다고 볼 수 있다. 트랙 2 정보는 카드 리더기(20)에서 중계 서버(150)나 카드사 서버(100)로 전송될 때, 또는 카드 리더기(20)에서 인쇄하는 영수증에서 누출될 우려가 있다고 볼 수 있다.
다음으로, 카드 리더기(20)는 결제 디바이스(50)로부터 획득한 트랙 2 정보에서 PAN 영역을 추출 후, PAN 영역을 제1영역과 제2영역으로 구획한다(S305). PAN 영역은 BIN(Bank Information Number) 및 카드 계정(Credit Card Account)에 대한 정보를 포함할 수 있다. 제1영역은 4 내지 10 바이트로 구성되는 BIN을 포함하여 구성되며, 제2영역은, BIN을 제외한 나머지 PAN 영역의 데이터로 구성될 수 있다. 이러한 구획에 따라, 카드 리더기(20)에서 중계 서버(150)나 카드사 서버(100)로 전송되는 PAN 정보에서는 카드 계정이 노출되지 않는다.
다른 한편, 결제 디바이스(50)가 전자 신용카드인 경우, 전자 신용카드의 표면에 양각 또는 음각으로 표시되는 16자리의 숫자열 중 선행하는 8자리가 제1영역에 해당하고, 나머지 8자리가 제2영역에 해당할 수 있다. 대한민국에서는 전자 신용카드의 표면에 양각 또는 음각되는 16자리의 숫자열 중 선행하는 8자리가 BIN에 대응하고, 나머지 8자리가 카드 번호에 대한 정보를 포함하므로, 16자리의 숫자열 또한, PAN이라 할 수 있다.
다음으로, 결제 디바이스(50)는 카드 리더기(20)로 제공되는 무선 전파를 전원으로 하여 구동하며, 제2영역을 암호화할 수 있다(S306).
결제 디바이스(10)는 ATC(Application transaction count), 결제 디바이스(50)에 의해 트랜잭션이 발생하는 시간, 또는 트랜잭션이 발생할 때 생성하는 임의의 난수를 암호화 알고리즘의 변수로 입력하여 암호화 값을 생성한다. 이때 생성된 암호화 값은 제2영역의 값에 해당할 수 있다.
여기서, ATC(Application Transaction Count)는 결제 디바이스가 카드사 서버(100)를 향해 결제를 요청했을 때, 카드사 서버(100)에서 부여하는 결제요청 순번에 대응하고, 트랜잭션이 발생한 시간은 임의의 시간이라고 볼 수 있다. 따라서, 트랜잭션이 발생한 임의의 시간에 생성되는 숫자, 또는 숫자열이 난수라고 할 때, 암호화 알고리즘은 ATC(Application Transaction Count)와 난수를 변수로 입력받아 제2영역을 암호화할 수 있다.
이러한 암호화에 따라, 제3자가 카드 리더기(20)에서 중계 서버(150)나 카드사 서버(100)로 전송되는 PAN을 가로채거나 인쇄된 영수증을 획득한다 하더라도, 결제 디바이스(50)에 부여되는 ATC와 트랜잭션이 발생한 시간에 임의로 생성되는 난수를 찾아낸다는 것은 현실적으로 매우 어렵게 된다.
암호화 알고리즘에서 변수(본 발명에서는 ATC 및 난수)를 알아내지 못한다면 암호화된 제2영역을 복호화하기 어렵다. 더욱이, 암호화 알고리즘이 DES, 또는 TDES인 경우, 암호화된 제2영역의 복호화를 위해서는 복호화 알고리즘은 물론, 복호화 알고리즘을 구동하기 위한 마스터 키(Master Key)가 요구될 수 있다. 이 경우, 마스터 키는 카드사 서버(100)에만 마련되는 것이 바람직하고, 타인이 해당 마스터 키를 알 수는 없으므로 제2영역의 실제 값은 외부로 노출될 우려가 없다고 볼 수 있다.
다음으로, 카드 리더기(20)는 암호화되지 않은 제1영역과 매번 암호화할 때마다 동적으로 변동하는 동적 영역인 제2영역을 하나로 결합하여 다이나믹 PAN(D-PAN)을 형성하고(S307), 형성된 다이나믹 PAN을 금융사 서버(예컨대 중계 서버(150)나 카드사 서버(100))로 제공하여 트랜잭션 처리를 요청할 수 있다.
도 8은 도 7에서 생성된 다이나믹 PAN을 이용한 트랜잭션 처리방법에 대한 흐름도를 도시한다.
도 8을 참조하면, 먼저, 카드 리더기(20)가 결제 디바이스(50)와 접촉 또는 근접 시, 카드 리더기(20)는 결제 디바이스(50)로 무선 전파를 송신하고, 결제 디바이스(50)는 무선 전파를 구동 전원으로 하여 파워-온 상태가 될 수 있다. 결제 디바이스(50)는 내장된 트랙 2 정보에서 PAN 영역을 추출하고, 추출된 PAN 영역 중 BIN을 제외한 나머지 영역에 대해 암호화 알고리즘(AES, RSA, DES, TDES, ARIA 알고리즘 중 어느 하나의 알고리즘)을 이용하여 암호화할 수 있다.
이때, 결제 디바이스(50)는 카드 리더기(20)와 데이터 통신을 시작하는 시간을 난수로 이용하거나, 또는 카드 리더기(20)와 데이터 통신을 시작할 때, 임의로 난수를 생성할 수도 있다. 또한, 결제 디바이스(50)는 생성된 난수와 ATC(Application Transaction Count)를 변수로 하여 제2영역을 암호화함으로써 BIN을 포함하는 제1영역에 암호화된 제2영역을 결합하여 다이나믹 PAN을 형성할 수 있다.
다이나믹 PAN은 결제 디바이스(50)가 카드 리더기(20)와 접촉할 때, 또는 접촉 이후, 임의로 생성되는 숫자 또는 숫자열로 구성되는 난수를 이용하므로 하나의 결제 디바이스(50)에서 발생하는 난수라 하더라도 연속하여 동일한 값의 난수가 발생하기는 어렵다.
다른 한편으로, 결제 디바이스(50)는 동일한 난수가 연속해서 발생하는 경우, 난수를 재 생성하는 방법으로 동일한 난수가 생성되지 않도록 할 수도 있다.
다이나믹 PAN이 트랙 2 정보의 나머지 영역(예컨대 ED 영역, SC 영역 및 DD 영역)과 결합하면 다이나믹 트랙 2 정보가 형성된다.
결제 디바이스(50)는 다이나믹 트랙 2 정보를 카드 리더기(20)로 제공하고, 카드 리더기(20)는 다이나믹 트랙 2 정보, 결제 디바이스(50)에서 지급해야 할 결제 금액 및 카드 리더기(20)의 가맹점 정보를 포함하는 승인 요청 메시지를 작성한다. 이후, 카드 리더기(20)는 작성된 승인 요청 메시지를 중계 서버(150)로 제공할 수 있다.
중계 서버(150)는 카드 리더기(20)로부터 제공된 승인 요청 메시지에서 다이나믹 트랙 2 정보를 획득하고, 다이나믹 트랙 2 정보에서 제1영역을 추출한 후, 제1영역에 기재된 BIN을 판독한다.
중계 서버(150)는 암호화되지 않은 제1영역에서 획득한 BIN을 토대로 승인 요청 메시지가 전송되어야 할 카드사를 판단하고, 판단 결과에 따라 카드 리더기(20)로부터 획득한 승인 요청 메시지를 해당 카드사 서버(예컨대 참조부호 100)로 전송한다.
이때, 중계 서버(150)는 암호화된 동적 영역인 제2영역의 내용을 알 수 없으므로, 카드 리더기(20)에서 중계 서버(150)로 제공되는 승인 요청 메시지가 외부로 노출된다 하더라도, 타인이 이를 식별하는데 어려움이 있다.
카드사 서버(100)는 중계 서버(150)로부터 획득한 다이나믹 트랙 2 정보를 복호화한다. 복호화된 다이나믹 트랙 2 정보는 본래의 ISO/IEC 7813 규격에 따른 트랙 2 정보가 되며, 카드 계정이 포함된다. 즉, 카드사 서버(100)는 다이나믹 트랙 2 정보를 결제 디바이스(50)에서 카드 리더기(20)로 제공한 원형의 트랙 2 정보를 복호화한다.
카드사 서버(100)는 복호화된 트랙 2 정보에서 카드 계정을 판독하고, 판독한 카드 계정이 카드 결제에 유효한 카드 계정인지를 판단하며, 아울러 승인 요청 메시지에서 요청된 결제 비용이 결제 한도를 넘지 않는가를 판단한다. 카드사 서버(100)는 판단한 카드 계정이 유효하고, 승인 요청 메시지에 포함되는 결제 비용이 결제 한도 내의 결제 비용인 경우 중계 서버(150)로 승인 메시지를 송부하며, 중계 서버(150)는 카드사 서버(100)로부터 획득한 승인 메시지를 카드 리더기(20)로 제공할 수 있다.
도 9는 카드사 서버의 일 실시예에 따른 블록개념도를 도시한다.
도 9를 참조하면, 카드사 서버(100)는 승인 모듈(110), 카드 계정 복호화듈(120) 및 데이터베이스(130)를 포함하여 구성될 수 있다.
카드 계정 복호화모듈(120)은 카드 리더기(20)로부터 ISO/IEC 8713 규격의 트랙 2 정보를 포함하는 승인 요청 메시지를 수신하며, 승인 요청 메시지의 제2영역에 대해 아스키 값을 갖는 다이나믹 트랙 2 정보를 16진수의 헥사(HEXA) 값으로 변환하고, 헥사 값으로 변환된 트랙 2 정보에 대해 복호화할 수 있다.
만일, 다이나믹 트랙 2 정보가 DES, TDES 알고리즘에 의해 암호화된 경우, 카드 계정 복호화모듈(120)은 미리 준비된 마스터 키(master-key)를 이용하여 역 TDES 알고리즘 또는 역 DES 알고리즘을 구동함으로써 암호화된 다이나믹 트랙 2 정보를 복호화할 수 있다.
데이터베이스(130)는 고객들의 카드 계정에 대한 정보를 구비한다. 데이터베이스(130)에 구비되는 고객들의 카드 계정에는 고객의 각 카드 계정별 유효기간, 지급 한도에 대한 정보가 마련될 수 있다.
승인 모듈(110)은 카드 계정 복호화모듈(120)에서 추출된 카드 계정이 유효한 계정인지를 판단하며, 승인 요청 메시지에서 결제가 요청된 비용이 카드 계정에서 지불 가능한 결제 한도 내의 비용인가를 판단한다. 판단결과, 승인 요청 메시지에서 지불 요청된 비용이 결제 한도를 넘는 경우, 승인 모듈(110)은 승인 요청 메시지에 대한 승인을 거절하는 메시지를 중계 서버(150)로 전송하며, 중계 서버(150)는 이를 카드 리더기(20)로 제공하여 승인 요청 메시지에 대한 거래를 취소할 수 있다.
반대로, 승인 요청 메시지에 포함되는 카드 계정이 유효하고, 승인 요청 메시지에 포함된 결제 비용이 결제 한도 내의 비용인 경우, 승인 모듈(110)은 승인 메시지를 작성하여 중계 서버(150)로 송부하며, 중계 서버(150)는 승인 메시지를 카드 리더기(20)로 제공하여 승인 요청 메시지에 대한 카드 결제 요청을 처리할 수 있다.
20 : 카드 리더기 50 : 결제 디바이스
100 : 카드사 서버 150 : 중계 서버

Claims (18)

  1. 카드 리더기로 ISO(International Standardization Organization) 규격의 트랙 2(track 2) 정보를 제공하는 결제 디바이스에 의해 수행되며,
    상기 트랙 2(track 2) 정보의 PAN(Primary Account Number) 영역을 BIN(Bank Information Number)을 포함하는 제1영역 및 상기 BIN을 포함하지 않는 제2영역으로 구획하는 단계;
    상기 제2영역을 암호화하여 동적 영역을 형성하는 단계;
    상기 제1영역과 상기 동적 영역을 결합하여 하나의 다이나믹 PAN 영역을 형성하는 단계;
    상기 다이나믹 PAN 영역을 포함하는 트랙 2 정보를 상기 카드 리더기로 제공하는 단계;
    상기 카드 리더기가 상기 트랙 2 정보, 결제 금액 정보 및 상기 카드 리더기에 대응하는 가맹점 정보를 포함하는 승인 요청 메시지를 생성하고, 상기 생성된 승인 요청 메시지를 중계 서버로 전송하는 단계;
    상기 중계 서버가 상기 전송된 승인 요청 메시지로부터 상기 트랙 2 정보를 획득하고, 상기 획득된 트랙 2정보의 상기 다이나믹 PAN 영역으로부터 상기 BIN을 판독하는 단계;
    상기 판독한 결과에 따라, 상기 중계 서버가 상기 승인 요청 메시지를 복수의 카드사 서버 중 적어도 하나의 카드사 서버(이하, 대응 서버)에 선택적으로 제공하는 단계;
    상기 대응 서버가 상기 제공된 승인 요청 메시지를 복호화하여 상기 트랙 2 정보의 상기 PAN 영역을 복원하는 단계;
    상기 복원된 PAN 영역에 따라, 상기 제공된 승인 요청 메시지에 응답하여 상기 대응 서버가 승인 메시지를 발생하는 단계; 및
    상기 중계 서버를 통해 상기 발생된 승인 메시지를 상기 카드 리더기에 제공하는 단계를 포함하고,
    상기 제 1 영역의 데이터는 고정된 값(static value)을 갖는 데이터이고,
    상기 제 1 영역의 상기 BIN은 상기 승인 요청 메시지가 전달될 카드사 서버를 나타내기 위한 금융사 식별 정보이고,
    상기 제공된 승인 요청 메시지를 복호화하여 상기 PAN 영역을 복원하기 위한 복호화 모듈은 상기 중계 서버 및 상기 대응 서버 중 상기 대응 서버에만 배타적으로 구비되는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  2. 제1항에 있어서,
    상기 다이나믹 PAN 영역은,
    상기 결제 디바이스가 매 결재시마다 생성하는 난수 및 ATC(Application Transaction Count) 중 어느 하나를 변수로 하여 동적으로 암호화되는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  3. 제1항에 있어서,
    상기 하나의 다이나믹 PAN 영역을 형성하는 단계 이후에 수행되며,
    상기 다이나믹 PAN 영역을 ISO 포멧으로 변환하여 제1 포멧의 데이터를 형성하는 단계;를 더 포함하는 것을 특징으로 하는 다이나믹 PAN 영역을 이용한 트랜잭션 처리방법.
  4. 제3항에 있어서,
    상기 제1포멧의 데이터를 형성하는 단계 이후에 수행되며,
    상기 제1 포멧의 데이터를 암호화하여 제2 포멧의 데이터를 형성하는 단계;를 더 포함하는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  5. 제1항에 있어서,
    상기 트랙 2 정보는,
    상기 BIN, 유효기간 데이터(ED : Expiration Data) 영역, 서비스 코드(Service Code : SC) 영역 및 디스크리셔너리 데이터(Discretionary Data : DD) 영역을 포함하는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  6. 제2항에 있어서,
    상기 동적 영역은,
    상기 PAN의 제2영역의 값, 상기 난수 및 ATC(Application Transaction Count) 값을 변수로 하는 암호화 알고리즘에 의해 생성되며,
    상기 암호화 알고리즘은,
    AES(Advanced Encryption Standard), RSA(Rivest, Shamir, Adleman), DES(Data Encryption Standard), TDES(Triple DES), ARIA(Academy Research Institute Agency) 중 어느 하나의 암호화 알고리즘인 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  7. 제1항에 있어서,
    상기 결제 디바이스는,
    전자 신용카드 및 휴대단말기 중 어느 하나인 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  8. 제7항에 있어서,
    상기 휴대단말기는,
    NFC(Near Field Communication) 통신을 이용하여 상기 트랙 2 정보를 상기 카드 리더기로 제공하는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  9. 제8항에 있어서,
    상기 휴대단말기는,
    상기 NFC 통신을 위한 NFC 칩과 일체로 형성되는 USIM 칩 및 금융 거래를 위한 금융 칩 중 어느 하나를 내장하는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  10. 제1항에 있어서,
    상기 대응 서버는 상기 제공된 승인 요청 메시지를 복호하기 위해, 상기 대응 서버의 내부에 저장된 마스터 키를 이용하는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  11. 제2항에 있어서,
    상기 난수는,
    상기 결제 디바이스와 상기 카드 리더기 사이에 트랜잭션이 발생할 때, 상기 결제 디바이스에서 생성되는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  12. 제1항에 있어서,
    상기 결제 디바이스는,
    IC(Intergrated Circuit)를 내장하는 전자 신용카드인 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  13. 제12항에 있어서,
    상기 결제 디바이스는,
    금융 거래를 위한 금융 칩을 내장하는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  14. 제1항에 있어서,
    상기 결제 디바이스는,
    USIM(Universal Subscriber Identity Module) 칩을 포함하는 휴대단말기인 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  15. 제14항에 있어서,
    상기 USIM 칩은,
    NFC(Near Field Communication) 칩과 일체로 형성되는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  16. 제1항에 있어서,
    상기 트랙 2 정보는,
    상기 제1영역은 비 암호화되고,
    상기 트랙 2 정보 중 상기 제1영역을 제외한 나머지 영역에 대해 암호화하여 형성되는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  17. 제1항에 있어서,
    상기 트랙 2 정보는,
    상기 제2영역만 암호화되고,
    상기 제2영역을 제외한 나머지 영역은 암호화되지 않는 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
  18. 제1항에 있어서,
    상기 트랙 2(track 2) 정보의 PAN(Primary Account Number) 영역은,
    상기 결제 디바이스에 부여되는 카드 번호인 것을 특징으로 하는 다이나믹 PAN을 이용한 트랜잭션 처리방법.
KR1020120133946A 2012-11-23 2012-11-23 다이나믹 ραn 이용한 트랜잭션 처리방법 KR101316489B1 (ko)

Priority Applications (6)

Application Number Priority Date Filing Date Title
KR1020120133946A KR101316489B1 (ko) 2012-11-23 2012-11-23 다이나믹 ραn 이용한 트랜잭션 처리방법
CN201280077258.0A CN104995648A (zh) 2012-11-23 2012-12-28 用于使用动态pan来处理交易的方法
PCT/KR2012/011693 WO2014081075A1 (ko) 2012-11-23 2012-12-28 다이나믹 팬을 이용한 트랜잭션 처리방법
EP12888916.9A EP2924641A4 (en) 2012-11-23 2012-12-28 METHOD FOR PROCESSING TRANSACTIONS WITH A DYNAMIC POT
JP2015542926A JP2015536508A (ja) 2012-11-23 2012-12-28 ダイナミックpanを用いたトランザクション処理方法
US14/646,303 US9978061B2 (en) 2012-11-23 2012-12-28 Method for processing transaction using dynamic pan

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120133946A KR101316489B1 (ko) 2012-11-23 2012-11-23 다이나믹 ραn 이용한 트랜잭션 처리방법

Publications (1)

Publication Number Publication Date
KR101316489B1 true KR101316489B1 (ko) 2013-10-10

Family

ID=49638058

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120133946A KR101316489B1 (ko) 2012-11-23 2012-11-23 다이나믹 ραn 이용한 트랜잭션 처리방법

Country Status (6)

Country Link
US (1) US9978061B2 (ko)
EP (1) EP2924641A4 (ko)
JP (1) JP2015536508A (ko)
KR (1) KR101316489B1 (ko)
CN (1) CN104995648A (ko)
WO (1) WO2014081075A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016025233A1 (en) * 2014-08-15 2016-02-18 Mastercard International Incorporated Systems and methods for assigning a variable length bank identification number
KR101912254B1 (ko) * 2016-07-25 2018-12-28 한국정보통신주식회사 거래 정보 재사용 방지를 위한 거래 정보 처리 방법 및 그 장치

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070262138A1 (en) * 2005-04-01 2007-11-15 Jean Somers Dynamic encryption of payment card numbers in electronic payment transactions
US9245267B2 (en) * 2010-03-03 2016-01-26 Visa International Service Association Portable account number for consumer payment account
US9022286B2 (en) 2013-03-15 2015-05-05 Virtual Electric, Inc. Multi-functional credit card type portable electronic device
US10902417B2 (en) * 2014-04-29 2021-01-26 Mastercard International Incorporated Systems and methods of processing payment transactions using one-time tokens
EP3113098A1 (en) * 2015-07-02 2017-01-04 Gemalto Sa Method, device and back-end system for authorizing a transaction
US11080697B2 (en) 2017-10-05 2021-08-03 Mastercard International Incorporated Systems and methods for use in authenticating users in connection with network transactions
US10445629B2 (en) 2017-11-20 2019-10-15 Mastercard International Incorporated Secure QR code service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060103152A (ko) * 2005-03-23 2006-09-28 노키아 코포레이션 동적 인터페이스 관리를 위한 시스템 및 방법
KR20060117902A (ko) * 2003-08-18 2006-11-17 비자 인터네셔널 서비스 어소시에이션 동적 검증값을 발생하는 방법 및 시스템
KR20070041576A (ko) * 2004-07-15 2007-04-18 마스터카드 인터내셔날, 인코포레이티드 비트맵을 이용하여 비접촉식 결재 카드 트랜잭션 변수를표준화된 데이터 포맷에 통합하는 방법 및 시스템
KR20090036560A (ko) * 2006-06-19 2009-04-14 비자 유에스에이 인코포레이티드 트랙 데이터 암호화

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003081832A2 (en) 2002-03-19 2003-10-02 Mastercard International Incorporated Method and system for conducting a transaction using a proximity device
US6908030B2 (en) * 2001-10-31 2005-06-21 Arcot Systems, Inc. One-time credit card number generator and single round-trip authentication
US7580898B2 (en) * 2004-03-15 2009-08-25 Qsecure, Inc. Financial transactions with dynamic personal account numbers
US7506812B2 (en) * 2004-09-07 2009-03-24 Semtek Innovative Solutions Corporation Transparently securing data for transmission on financial networks
US20070262138A1 (en) * 2005-04-01 2007-11-15 Jean Somers Dynamic encryption of payment card numbers in electronic payment transactions
EP2095311A2 (en) * 2006-11-16 2009-09-02 Net 1 Ueps Technologies, INC. Secure financial transactions
US8201747B2 (en) * 2008-11-26 2012-06-19 Qsecure, Inc. Auto-sequencing financial payment display card
KR20100060707A (ko) * 2008-11-28 2010-06-07 주식회사 하렉스인포텍 이동통신 단말기를 이용한 구매자에 의한 결제 승인, 정산 및 멤버십가입 방법, 장치 및 시스템
US10140598B2 (en) * 2009-05-20 2018-11-27 Visa International Service Association Device including encrypted data for expiration date and verification value creation
CN102377783B (zh) * 2011-11-07 2014-03-12 飞天诚信科技股份有限公司 一种动态口令生成及认证的方法和系统
US20150242853A1 (en) * 2014-02-26 2015-08-27 Mastercard International Incorporated Payment account tokenization method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060117902A (ko) * 2003-08-18 2006-11-17 비자 인터네셔널 서비스 어소시에이션 동적 검증값을 발생하는 방법 및 시스템
KR20070041576A (ko) * 2004-07-15 2007-04-18 마스터카드 인터내셔날, 인코포레이티드 비트맵을 이용하여 비접촉식 결재 카드 트랜잭션 변수를표준화된 데이터 포맷에 통합하는 방법 및 시스템
KR20060103152A (ko) * 2005-03-23 2006-09-28 노키아 코포레이션 동적 인터페이스 관리를 위한 시스템 및 방법
KR20090036560A (ko) * 2006-06-19 2009-04-14 비자 유에스에이 인코포레이티드 트랙 데이터 암호화

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016025233A1 (en) * 2014-08-15 2016-02-18 Mastercard International Incorporated Systems and methods for assigning a variable length bank identification number
KR101912254B1 (ko) * 2016-07-25 2018-12-28 한국정보통신주식회사 거래 정보 재사용 방지를 위한 거래 정보 처리 방법 및 그 장치

Also Published As

Publication number Publication date
EP2924641A4 (en) 2016-08-03
WO2014081075A1 (ko) 2014-05-30
EP2924641A1 (en) 2015-09-30
CN104995648A (zh) 2015-10-21
US20150317632A1 (en) 2015-11-05
JP2015536508A (ja) 2015-12-21
US9978061B2 (en) 2018-05-22

Similar Documents

Publication Publication Date Title
KR101316489B1 (ko) 다이나믹 ραn 이용한 트랜잭션 처리방법
KR101316466B1 (ko) 다이나믹 트랙 2 정보를 이용한 모바일 결제 시스템 및 방법
US9818113B2 (en) Payment method using one-time card information
CA2577333C (en) Method and system for authorizing a transaction using a dynamic authorization code
WO2006107777A2 (en) Dynamic encryption of payment card numbers in electronic payment transactions
US20140365366A1 (en) System and device for receiving authentication credentials using a secure remote verification terminal
CN101329786A (zh) 移动终端获取银行卡磁道信息或支付应用的方法及系统
AU2023201327B2 (en) Techniques for secure channel communications
KR20010014257A (ko) 지불 프로세스 및 시스템
CN101330675A (zh) 一种移动支付终端设备
KR20170004339A (ko) 결제 시스템, 카드 리더기, 결제 단말 장치 및 그를 이용한 카드 정보 처리 방법
KR101751887B1 (ko) 일회용 카드 코드 생성 방법, 그를 이용한 카드 결제 승인 방법, 카드 리더기 및 서버
US20200167778A1 (en) Trusted communication in transactions
KR20170078564A (ko) 일회용 카드 코드 생성 방법, 그를 이용한 카드 결제 승인 방법, 카드 리더기 및 서버
KR20050047154A (ko) 무선 결제 처리 방법 및 시스템
AU2012200393B2 (en) Method and system for authorizing a transaction using a dynamic authorization code
KR101912254B1 (ko) 거래 정보 재사용 방지를 위한 거래 정보 처리 방법 및 그 장치
KR101670607B1 (ko) 일회성 카드 정보를 이용한 카드 결제 장치
KR20080103951A (ko) 휴대폰
KR20080103952A (ko) 알에프아이디 태그 정보를 이용한 무선 결제 처리 시스템

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170911

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180821

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190917

Year of fee payment: 7