KR101541298B1 - Online payment method using integrated token based on voiceprint and OTP - Google Patents

Online payment method using integrated token based on voiceprint and OTP Download PDF

Info

Publication number
KR101541298B1
KR101541298B1 KR1020140112314A KR20140112314A KR101541298B1 KR 101541298 B1 KR101541298 B1 KR 101541298B1 KR 1020140112314 A KR1020140112314 A KR 1020140112314A KR 20140112314 A KR20140112314 A KR 20140112314A KR 101541298 B1 KR101541298 B1 KR 101541298B1
Authority
KR
South Korea
Prior art keywords
payment
information
server
user
authentication information
Prior art date
Application number
KR1020140112314A
Other languages
Korean (ko)
Inventor
송주석
김인환
Original Assignee
연세대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 연세대학교 산학협력단 filed Critical 연세대학교 산학협력단
Priority to KR1020140112314A priority Critical patent/KR101541298B1/en
Application granted granted Critical
Publication of KR101541298B1 publication Critical patent/KR101541298B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

The present invention relates to a method for processing online payment by using a coupling token based on voiceprint information and a one-time password (OTP). A terminal extracts first voiceprint information from the voice input from a user, encrypts and couples the first voiceprint information with a first OTP and purchase information to generate first payment authentication information, and transmits the first payment authentication information to a payment server through an item purchase server to request the payment. The payment server encrypts and couples the second voiceprint information of the user stored in advance, a second OTP, and the purchase information received from the item purchase server to generate second payment authentication information. The payment server also compares the second payment authentication information and the first payment authentication information received from the terminal through the item purchase server to authenticate the user.

Description

성문 정보와 OTP에 기초한 결합 토큰을 이용하여 온라인 결제를 처리하는 방법{Online payment method using integrated token based on voiceprint and OTP}[0001] The present invention relates to an online payment method using an integrated token based on voiceprint and OTP,

본 발명은 인터넷을 통한 온라인 결제를 처리하는 기술에 관한 것으로, 특히 사용자 고유의 생체정보인 음성과 일회용 비밀번호(one-time password, OTP)를 활용하여 온라인 상에서 안전결제를 구현하는 장치, 방법 및 그 방법을 기록한 기록매체에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a technology for processing online payment through the Internet, and more particularly, to a device and a method for implementing secure settlement on-line utilizing a voice and a one-time password (OTP) And a recording medium on which a method is recorded.

유/무선 단말기를 통한 통신 기술을 이용해 시간, 거리 등의 제약에서 벗어나 원하는 물품 및 서비스를 거래할 수 있게 됨에 따라 보다 간편하고 안전한 온라인 결제 시스템에 대한 요구가 증대되었다. 더불어 온라인 결제 시장의 성장과 함께 신용카드의 사용이 늘어나며 보다 간편하고 안전한 결제를 위한 방법에 대한 관심 또한 증가하고 있다.The demand for a more convenient and secure online payment system has been increased as it is possible to deal with desired goods and services without being restricted by time and distance by using a communication technology through wired / wireless terminals. In addition, with the growth of the online payment market, the use of credit cards has increased, and interest in easier and safer payment has also increased.

대부분의 온라인 결제 시스템은 소비자가 물품 및 서비스 구매를 위해 여러 단계의 결제 절차를 거쳐야 하며, 또한 많은 추가적인 프로그램을 설치하도록 되어 있다. 이 과정에서 소비자는 카드번호, 유효 기간, 또는 비밀번호 등으로 대표되는 결제정보 입력을 요구받게 되며, 입력된 정보가 인증 서버 혹은 결제 서버(지불 중계 서버)로 전달되어 카드 소지자를 인증한 뒤 결제를 진행하게 된다.Most online payment systems require consumers to make multiple payment steps to purchase goods and services, and many additional programs are required. In this process, the consumer is requested to input payment information represented by a card number, expiration date, or a password, and the inputted information is transmitted to an authentication server or a payment server (payment relay server) to authenticate the card holder, .

일반적인 온라인 결제 시스템은 전술한 바와 같이 소비자가 결제를 시도함에 따라 결제 정보가 통신망을 통해 인증 서버 혹은 결제 서버로 전송되므로 이 과정에서 결제 정보가 악의적인 제3자에게 노출될 소지가 있다. 이런 이유에서, 최근의 온라인 결제시스템은 편의성을 위해 결제 정보를 사전에 등록하고 ID, 비밀번호 등의 부분적인 정보만을 제공함으로써 결제를 처리하는 방법이 사용되고 있다. 그 예로 국내에서 카드사별로 제공하는 ISP 및 안심클릭이라는 간편 결제 서비스가 있다. 그러나 국내에서 사용하는 이러한 방식들은 일부 취약점으로 인해 안전성 측면에서 문제가 있을 뿐만 아니라, 추가 프로그램 설치가 필요하므로 사용자 편의성을 해친다는 단점이 지적되었다.As described above, since the payment information is transmitted to the authentication server or the payment server through the communication network, the payment information may be exposed to a malicious third party. For this reason, in recent online payment systems, a method of processing payment by providing payment information in advance and providing only partial information such as ID and password is used for convenience. For example, there is a simple payment service called ISP and secure payment service offered by card companies in Korea. However, these methods used in Korea are not only problematic in terms of safety due to some weaknesses, but also disadvantageous to user convenience because additional program installation is required.

이러한 위험을 줄이기 위해 OTP(One Time Password)를 이용한 결제 방법이 많은 관심을 받게 되었다. 이하에서 인용되는 선행기술문헌에는 이러한 OTP 기술의 일례로서, 인터넷 OTP 보안을 이용한 휴대단말기의 신용카드 결제 시스템이 제시되어 있다.To reduce this risk, OTP (One Time Password) payment method attracted much attention. In the prior art cited below, a credit card payment system for a mobile terminal using Internet OTP security is presented as an example of such OTP technology.

그러나, OTP를 이용한 방식은 보다 안전함에도 불구하고, OTP 생성을 휴대 단말에서 수행하는 경우 OTP 정보의 탈취 위험이 있고, 단순히 OTP만을 가지고서는 구매 요청자 본임임을 증명하기에는 다소 부족한 면이 있다. 이는 OTP에 접근 가능한 사람은 누구나 해당 정보를 취득해 이용할 수 있기 때문이다. 따라서 보다 안전한 인증을 위해서는 탈취 및 손쉬운 도용이 어려운 정보를 결제 과정에 활용할 필요가 있다.However, although the method using OTP is more secure, there is a risk that OTP information is taken out when the OTP generation is performed in a portable terminal, and it is somewhat insufficient to prove that it is the purchase requester only with OTP alone. This is because anyone who can access the OTP can obtain and use the information. Therefore, for safer authentication, it is necessary to use information that is difficult to steal and easy to steal for the payment process.

나아가 종전에 결제 시마다 신용카드 정보를 입력하는 것과 마찬가지로 OTP를 사용하더라도 결제 시마 다 이를 매번 입력하여(비록 암호화할지라도) 전송해야 하므로 결제 정보의 노출이 빈번하게 발생한다는 문제가 있다. 물품 판매자 측에서 이러한 정보를 전달받아 보관하거나 그 상태 그대로 중계하는 것 역시 정보 노출의 위험성을 수반한다.Furthermore, as in the case of inputting credit card information every time a payment is made, there is a problem that the payment information is frequently exposed because the user must input the credit card information (even if encryption is performed) every time the user uses the OTP. Retention of such information on the seller's side or relaying the information as it is is also accompanied by the risk of information disclosure.

한국 특허공개공보 10-2012-0075588, 2012.07.09 공개Korean Patent Laid-Open Publication No. 10-2012-0075588, 2012.07.09 Released

본 발명의 실시예들이 해결하고자 하는 기술적 과제는, 온라인 거래 시 신용카드 정보를 노출시키지 않기 위해 도입된 종래의 OTP 기술이 사용자 단말기에서 OTP 정보를 입력하는 사용자가 진정한 소유자/신용카드소지자인지에 대한 검증이 미흡하다는 문제를 해결하고, 이러한 OTP 기술만으로는 여전히 MITM(Man-in-the-Middle) 공격 또는 MITB(Man-in-the-Browser) 공격 등을 통해 부정 결제가 발생할 우려가 존재한다는 한계를 극복하고자 한다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide a method and system for providing OTP information to a user terminal, (OTP) technology, it is still a problem that there is a possibility of illegal settlement through MITM (Man-in-the-Middle) attack or MITB (Man-in-the-Browser) attack. I want to overcome.

상기 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 적어도 하나의 처리기(processor)를 구비한 단말기가 온라인 결제를 처리하는 방법은, 단말기가 상기 단말기와 결제 서버를 연결하는 물품구매 서버로부터 구매 인증 요청을 수신하고, 인증 요청 내에 포함된 텍스트를 사용자에게 표시함으로써 사용자의 음성 입력을 유도하는 단계; 상기 단말기가 음성 입력 수단을 통해 사용자로부터 상기 텍스트에 대한 음성을 입력받고, 입력된 상기 음성으로부터 제 1 성문(voiceprint) 정보를 추출하는 단계; 상기 단말기가 결제 서버와의 동기화를 통해 제 1 OTP(one time password)를 생성하고, 상기 제 1 성문 정보, 상기 제 1 OTP 및 구매 정보를 암호화 결합하여 제 1 결제 인증 정보를 생성하는 단계; 및 상기 단말기가 상기 제 1 결제 인증 정보를 상기 물품구매 서버를 통해 상기 결제 서버에 전송하여 결제를 요청하는 단계;를 포함하되, 상기 제 1 결제 인증 정보는, 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 사용자를 인증한다.According to an aspect of the present invention, there is provided a method for processing an online settlement by a terminal having at least one processor according to an embodiment of the present invention includes: Receiving a purchase authentication request, and inducing a user's voice input by displaying text included in the authentication request to the user; Receiving a voice for the text from a user through the voice input means and extracting first voiceprint information from the voice input; Generating a first OTP (one time password) through synchronization with the payment server by the terminal, generating first payment authentication information by encrypting and combining the first statement information, the first OTP, and the purchase information; And a step in which the terminal transmits the first payment authentication information to the payment server through the article purchasing server to request payment, wherein the first payment authentication information includes a first payment authentication information included in the first payment authentication information And authenticates the user using second voucher information for the user stored in advance in the payment server without separating the first voucher information.

일 실시예에 따른 단말기가 온라인 결제를 처리하는 방법에서, 상기 단말기가 전송하는 결제 요청은, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 독출하고, 독출된 상기 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 물품구매 서버로부터 전달된 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한 후, 상기 단말기로부터 수신된 상기 제 1 결제 인증 정보와 비교하여 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별한다. 또한, 상기 제 1 성문 정보는, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보와 일치하며, 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증할 수 있다.In a method of processing an online settlement according to an exemplary embodiment, a settlement request transmitted from the terminal may include reading second glossary information about the user stored in advance in the payment server, Generates second payment authentication information by encrypting and combining the second OTP generated through the synchronization with the terminal and the purchase information transmitted from the article purchase server, and then compares the second payment authentication information with the first payment authentication information received from the terminal It is determined that the payment authentication is successful only when the two are matched. In addition, the first grammar information may be included in the first payment authentication information, which is matched with the second grammar information for the user stored in advance in the payment server, so that the payment authentication process using the comparison with the second payment authentication information Lt; RTI ID = 0.0 > user. ≪ / RTI >

일 실시예에 따른 단말기가 온라인 결제를 처리하는 방법에서, 상기 제 1 결제 인증 정보는, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 소정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성함으로써, 상기 사용자의 성문 정보의 유출을 방지할 수 있다. 또한, 상기 암호화 기술은 AES(Advanced Encryption Standard), 해시(hash) 함수 및 ANSI X9 표준에 따른 토큰화 기법 중 어느 하나를 바탕으로 구현될 수 있다.In a method of processing an online settlement according to an embodiment, the first payment authentication information may be generated by combining the first statement information, the first OTP, and the purchase information through a predetermined operation, Thereby preventing leakage of the user's written information. Further, the encryption technique may be implemented based on any one of the AES (Advanced Encryption Standard), the hash function, and the tokenization technique according to the ANSI X9 standard.

일 실시예에 따른 단말기가 온라인 결제를 처리하는 방법에서, 상기 단말기는, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 각각 상기 단말기에 구비된 휘발성 메모리 상에 생성하고, 이를 암호화 결합하여 상기 제 1 결제 인증 정보를 생성한 후, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 상기 메모리로부터 삭제할 수 있다.In a method for processing an online settlement according to an embodiment, the terminal generates the first statement information, the first OTP, and the purchase information on a volatile memory provided in the terminal, And delete the first statement information, the first OTP, and the purchase information from the memory after generating the first payment authentication information.

상기 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 적어도 하나의 처리기를 구비하고, 사용자의 단말기와 결제 서버를 연결하는 물품구매 서버가 온라인 결제를 처리하는 방법은, 물품구매 서버가 단말기로부터 입력된 물품구매 요청에 대응하여 사용자의 음성 입력을 유도하는 텍스트가 포함된 구매 인증 요청을 상기 단말기에 전송하는 단계; 상기 물품구매 서버가 상기 단말기로부터 제 1 결제 인증 정보를 수신하는 단계; 및 상기 물품구매 서버가 수신된 상기 제 1 결제 인증 정보에 구매 정보를 부가하여 결제 서버에 전송하여 결제를 요청하는 단계;를 포함하되, 상기 제 1 결제 인증 정보는, 상기 단말기를 통해 입력된 사용자의 음성으로부터 추출된 제 1 성문 정보, 상기 단말기가 상기 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 구매 정보를 암호화 결합하여 생성한 것이며, 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 사용자를 인증한다.According to an aspect of the present invention, there is provided a method for processing an online payment by an article purchasing server that includes at least one processor according to an embodiment of the present invention and connects a user terminal to a payment server, Transmitting, to the terminal, a purchase authorization request including a text for inducing voice input of a user in response to an article purchase request input from the terminal; The article purchase server receiving first payment authentication information from the terminal; And adding the purchase information to the first payment authentication information received by the article purchasing server and sending the payment information to the payment server to request payment, wherein the first payment authentication information includes a first payment authentication information, And the first OTP and the purchase information generated by the terminal in synchronization with the payment server by encrypting and combining the first GTP and the purchase information, And authenticates the user using second voucher information for the user stored in advance in the payment server without separation of information.

일 실시예에 따른 물품구매 서버가 온라인 결제를 처리하는 방법에서, 상기 단말기로부터 상기 물품구매 서버를 통해 상기 결제 서버에 전달되는 결제 요청은, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 독출하고, 독출된 상기 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 결제 요청 내에 부가된 상기 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한 후, 상기 단말기로부터 수신된 상기 제 1 결제 인증 정보와 비교하여 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별한다. 또한, 상기 제 1 성문 정보는, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보와 일치하며, 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증할 수 있다.In a method of processing an online settlement according to an embodiment of the present invention, a settlement request transmitted from the terminal to the settlement server through the article purchase server may include a second statement information And generates second payment authentication information by encrypting and combining the read second written information, the second OTP generated through synchronization with the terminal, and the purchase information added to the payment request, And determines that the payment authentication is successful only when the two are matched with each other. In addition, the first grammar information may be included in the first payment authentication information, which is matched with the second grammar information for the user stored in advance in the payment server, so that the payment authentication process using the comparison with the second payment authentication information Lt; RTI ID = 0.0 > user. ≪ / RTI >

일 실시예에 따른 물품구매 서버가 온라인 결제를 처리하는 방법에서, 상기 제 1 결제 인증 정보는, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 소정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성함으로써, 상기 사용자의 성문 정보의 유출을 방지할 수 있다.In the method for processing an online payment by an article purchasing server according to an embodiment, the first payment authentication information may combine the first statement information, the first OTP, and the purchase information through a predetermined operation, Thereby making it possible to prevent the outflow of the user's written information.

일 실시예에 따른 물품구매 서버가 온라인 결제를 처리하는 방법에서, 상기 물품구매 서버는, 상기 제 1 결제 인증 정보에 적어도 사용자 식별자 및 구매물품 식별자를 부가하여 생성된 결제 요청을 상기 결제 서버에 전송함으로써, 상기 결제 서버로 하여금 온라인 결제에 요구되는 사용자 인증을 유도할 수 있다.In the method for processing an online payment by an article purchasing server according to an embodiment, the article purchasing server transmits a payment request generated by adding at least a user identifier and a purchase article identifier to the first payment authentication information to the payment server So that the payment server can induce user authentication required for online settlement.

상기 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 적어도 하나의 처리기를 구비한 결제 서버가 온라인 결제를 처리하는 방법은, 결제 서버가 사용자의 단말기와 상기 결제 서버를 연결하는 물품구매 서버로부터 제 1 결제 인증 정보 및 이에 부가된 구매 정보를 포함하는 결제 요청을 수신하는 단계; 상기 결제 서버가 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성하는 단계; 상기 결제 서버가 수신된 결제 요청으로부터 추출된 제 1 결제 인증 정보와 생성된 상기 제 2 결제 인증 정보를 비교하는 단계; 및 상기 결제 서버가 비교 결과에 따라 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별하는 단계;를 포함하되, 상기 제 1 결제 인증 정보는, 상기 단말기를 통해 입력된 사용자의 음성으로부터 추출된 제 1 성문 정보, 상기 단말기가 상기 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 구매 정보를 암호화 결합하여 생성한 것이며, 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 사용자를 인증한다.According to an aspect of the present invention, there is provided a method for processing an online payment by a payment server having at least one processor according to an embodiment of the present invention includes: Receiving a payment request including first payment authentication information and purchase information added thereto from the first payment authentication information; Generating second payment authentication information by encrypting and combining the second gateways information about the user stored in advance in the payment server, the second OTP generated through the synchronization with the terminal, and the purchase information; Comparing the first payment authentication information extracted from the received payment request with the generated second payment authentication information; And determining that the settlement authentication is successful only if the settlement server and the settlement server match the two according to the comparison result, wherein the first settlement authentication information includes a first The first payment information is generated by encrypting the first OTP and the purchase information generated by the terminal in synchronization with the payment server, And authenticates the user using second gateways information for the user stored in advance.

일 실시예에 따른 결제 서버가 온라인 결제를 처리하는 방법에서, 상기 제 1 결제 인증 정보는, 상기 물품구매 서버에서 상기 단말기로 전송된 구매 인증 요청 내에 포함된 텍스트에 대해 사용자로부터 입력된 음성으로부터 제 1 성문 정보를 추출하고, 상기 제 1 성문 정보, 상기 단말기가 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 상기 구매 정보를 암호화 결합하여 생성한다.In a method of processing an online payment by a payment server according to an embodiment, the first payment authentication information may include a first payment authentication information, a second payment authentication information, and a second payment authentication information, And generates the first grammar information, the first OTP generated through the synchronization with the payment server by the terminal, and the purchase information by encrypting and combining the first OTP and the purchase information.

일 실시예에 따른 결제 서버가 온라인 결제를 처리하는 방법에서, 상기 제 2 성문 정보는 상기 사용자로부터 입력된 음성으로부터 추출된 상기 제 1 성문 정보와 일치하며, 상기 제 1 성문 정보는 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증할 수 있다.In a method of processing an online payment by a payment server according to an embodiment, the second voucher information matches with the first voucher information extracted from a voice input from the user, The user can be authenticated through the payment authentication process using the comparison with the second payment authentication information by being included in the authentication information.

일 실시예에 따른 결제 서버가 온라인 결제를 처리하는 방법에서, 상기 제 2 결제 인증 정보는, 상기 제 1 결제 인증 정보와 동일한 방식으로 생성되는 것으로서, 상기 제 2 성문 정보, 상기 제 2 OTP 및 상기 구매 정보를 소정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성한다. 또한, 상기 암호화 기술은 AES(Advanced Encryption Standard), 해시(hash) 함수 및 ANSI X9 표준에 따른 토큰화 기법 중 어느 하나를 바탕으로 구현될 수 있다.The second payment authentication information is generated in the same manner as the first payment authentication information, and the second payment information, the second OTP, and the second payment information are generated by the payment server according to an embodiment of the present invention, The purchasing information is combined through a predetermined operation and then generated using an encryption technique. Further, the encryption technique may be implemented based on any one of the AES (Advanced Encryption Standard), the hash function, and the tokenization technique according to the ANSI X9 standard.

일 실시예에 따른 결제 서버가 온라인 결제를 처리하는 방법에서, 상기 결제 인증에 성공한 것으로 판별된 경우, 상기 결제 서버가 금융기관에 상기 결제 요청에 따른 결제를 처리한 후, 결제 요청 결과를 상기 물품구매 서버를 통해 상기 단말기에 전송하는 단계;를 더 포함할 수 있다.In a method of processing an online payment by a payment server according to an exemplary embodiment, when the payment server determines that the payment authentication is successful, the payment server processes a payment based on the payment request to a financial institution, And transmitting to the terminal through the purchase server.

한편, 이하에서는 상기 기재된 온라인 결제를 처리하는 방법들을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.The present invention also provides a computer-readable recording medium having recorded thereon a program for causing a computer to execute the methods of processing online payment described above.

본 발명의 실시예들은, 사용자 고유의 생체 정보인 성문 정보, OTP 및 구매 정보의 암호화 결합을 통해 생성된 결제 토큰을 결제에 활용함으로써, 사용자가 온라인에서 상품 구매시 복잡한 추가 프로그램의 설치 없이도 안전하게 사용자 자신에 대한 인증과 더불어 상기 상품 구매에 대한 결제 인증을 수행할 수 있다.Embodiments of the present invention enable a user to securely transmit a payment token to a user without using a complicated additional program at the time of purchasing the product online by utilizing a payment token generated through encryption combining of the gateways information, And the payment authentication for the purchase of the goods can be performed.

도 1은 본 발명의 실시예들에 따른 온라인 안전결제 시스템의 구조를 도시한 블록도이다.
도 2는 본 발명의 실시예들이 채택하고 있는 성문 정보와 OTP를 함께 이용하여 사용자 인증을 수행하는 과정을 설명하기 위한 개념도이다.
도 3은 본 발명의 실시예들이 채택하고 있는 성문 정보와 OTP를 함께 이용한 온라인 결제의 처리 과정을 각 수행 주체별로 분리하여 도시한 흐름도이다.
도 4 및 도 5는 각각 본 발명의 일 실시예에 따른 단말기가 온라인 결제를 처리하는 방법 및 장치를 도시한 흐름도이다.
도 6 및 도 7은 각각 본 발명의 일 실시예에 따른 물품구매 서버가 온라인 결제를 처리하는 방법 및 장치를 도시한 흐름도이다.
도 8 및 도 9는 각각 본 발명의 일 실시예에 따른 결제 서버가 온라인 결제를 처리하는 방법 및 장치를 도시한 흐름도이다.
1 is a block diagram illustrating a structure of an online secure settlement system according to an embodiment of the present invention.
FIG. 2 is a conceptual diagram for explaining a process of performing user authentication by using together gatekeeper information and OTP adopted in embodiments of the present invention. FIG.
FIG. 3 is a flowchart illustrating an online settlement processing process using an OTP together with the gatekeeper information adopted by the embodiments of the present invention.
4 and 5 are flowcharts illustrating a method and an apparatus for processing an online settlement by a terminal according to an embodiment of the present invention, respectively.
6 and 7 are flowcharts illustrating a method and apparatus for an online purchase processing by an article purchase server according to an embodiment of the present invention, respectively.
8 and 9 are flowcharts showing a method and an apparatus for processing an online settlement by a settlement server according to an embodiment of the present invention, respectively.

본 발명의 실시예들을 설명하기에 앞서, OTP를 이용한 결제 시스템과 그에 따른 문제점을 간략히 소개한 후, 상기 지적된 문제점을 해결하기 위해 본 발명의 실시예들이 채택하고 있는 기술적 수단을 순차적으로 제시하도록 한다.Before describing the embodiments of the present invention, a brief description will be given of a payment system using OTP and its problems, and then, in order to solve the above-mentioned problems, the technical means employed by the embodiments of the present invention are sequentially presented do.

앞서 소개한 바와 같이, OTP를 이용한 결제 시스템은 결제 시마다 OTP 발급을 위한 전용기기 혹은 스마트폰의 어플리케이션을 통해 새로운 비밀번호를 생성해 사용토록 함으로써 결제를 위한 비밀정보의 유출을 감소시킨다. OTP를 사용함으로써 결제정보를 매번 입력할 필요가 없고 결제 시 마다 다른 값(새로 생성한 OTP정보)을 입력하므로 보다 안전한 방식이라 할 수 있다. 그러나, 종래의 결제 방식에서는 대부분 OTP를 결제에 그대로 사용하고 있는데, 이 경우에는 약간의 제약을 감수하면 MITM(Man-in-the-Middle) 공격 또는 MITB(Man-in-the-Browser) 공격 등을 통해 부정 결제가 발생할 우려가 있다.As described above, the payment system using the OTP reduces the leakage of confidential information for payment by generating and using a new password through a dedicated device for issuing an OTP or an application of a smart phone at each payment. By using the OTP, there is no need to input the payment information every time, and a different value (newly created OTP information) is input at the time of payment, which is a more secure method. However, in the conventional payment method, OTP is mostly used for settlement. In this case, if a slight restriction is imposed, a man-in-the-middle (MITM) attack or a man-in-the- There is a risk of illegal settlement.

이러한 종래의 OTP를 이용한 결제 방법의 일례로서, 온라인 소액결제 시 아이디, 비밀번호, OTP 정보를 통해 인증과 결제승인을 동시에 제공하는 전형적인 OTP를 이용한 결제시스템이 널리 활용되고 있다. 이 방법을 이용하면 결제단계가 줄어들고 거래 시 카드 정보가 노출되지 않는다는 장점을 지닌다. 그러나 여전히 휴대폰에서 OTP 정보를 보고 입력하는 사용자가 진정한 휴대폰 소유자 및 신용카드소지자인지에 대한 검증은 미흡하다. 또한, OTP를 인증 및 결제에 그대로 사용하고 있으므로, MITM을 이용한 OTP 공격들에 취약하다. 이외에도 결제에 OTP를 직접 사용함으로써 편의성을 얻을 수 있는 결제 방법들이 존재하나, OTP정보를 그대로 인증 및 결제에 사용함으로써 다양한 OTP 공격에 취약하다.As an example of the payment method using the conventional OTP, a payment system using a typical OTP that simultaneously provides authentication and settlement approval through ID, password, and OTP information at the time of on-line micropayment is widely used. This method has the advantage that the settlement phase is reduced and the card information is not exposed at the time of transaction. However, there is still insufficient evidence that users who view and enter OTP information on mobile phones are truly mobile phone owners and credit card holders. In addition, since OTP is used for authentication and payment, it is vulnerable to OTP attacks using MITM. In addition, there are settlement methods that can obtain convenience by directly using OTP for payment, but it is vulnerable to various OTP attacks by using OTP information for authentication and settlement as it is.

한편, 보다 강력한 본인인증을 위한 방법으로 생체정보를 활용하는 방법이 있다. 생체정보 본인인증은 지문, 홍채, 음성, 정맥 등의 생물학적 특성이 개개인마다 다르다는 사실에 기초해 인증을 수행한다. 그 중에서도 성문(voiceprint) 정보는 널리 보급된 스마트폰의 마이크를 통해 비교적 손쉽게 취득할 수 있어 결제시스템에의 활용성이 높다고 볼 수 있다. 성문정보에 관한 연구에 따르면, 99% 이상의 정확도로 개인을 식별할 수 있으며, 잡음이 있는 환경에서도 개인 식별 결과를 신뢰할 수 있다는 보고가 있다. 이러한 성문 정보를 활용하면 보다 강력한 개인인증을 제공하는 결제시스템 개발이 가능하다.On the other hand, there is a method of using biometric information as a method for stronger authentication. Biometric information authentication is performed based on the fact that biological characteristics such as fingerprint, iris, voice, and vein are different from person to person. Among them, voiceprint information can be obtained relatively easily through a widely used smartphone microphone, and thus it can be seen that it is highly applicable to a payment system. According to a study on gating information, it is reported that individuals can be identified with an accuracy of 99% or more, and that individual identification results can be trusted even in a noisy environment. Using this information, it is possible to develop a payment system that provides stronger personal authentication.

이상과 같은 이유에서, 본 발명이 안출된 목적은, 인터넷 상(모바일 포함)에서 물품 및 서비스 구매를 위한 결제시 구매자의 휴대 단말기를 통해 생성된 구매자의 성문정보와 OTP 정보를 인증서버로 전송함으로써 구매자의 결제정보인증 뿐만 아니라 결제정보와 구매자와의 관계를 인증하고, 결제하고자 하는 물품에 대한 결제정보(신용카드 정보 또는 구매자 정보 등)를 전송함에 있어 결제정보의 변경된 값을 이용하도록 함으로써 원래의 결제 정보 노출 빈도를 감소시켜 결제의 신뢰성을 향상시킴에 그 목적이 있다. 즉, 이로써 인증에 사용될 수 있는 세 가지 요소인, 사용자가 알고 있는 것(예: 비밀번호), 사용자가 가지고 있는 것(예: 스마트 카드), 사용자 자신(예: 지문)을 모두 만족시키는 안전성이 강화된 인터넷(모바일) 결제 시스템을 제공하는데 그 목적이 있다.Accordingly, it is an object of the present invention to provide a method and system for transmitting a buyer ' s GATE information and OTP information generated by a purchaser ' s mobile terminal to an authentication server at the time of payment for purchasing goods and services on the Internet (Credit card information, buyer information, and the like) for the article to be paid, as well as the payment information of the article to be paid, by using the changed value of the payment information, Thereby reducing the frequency of information disclosure and improving the reliability of settlement. This means that there are three factors that can be used for authentication: security that the user knows (eg password), what the user has (eg smart card) and the user himself (eg fingerprint) (Mobile) payment system that can be used in a mobile terminal.

따라서, 이하에서 제시되는 본 발명의 실시예들은 앞서 언급한 위협을 피하기 위해 OTP 정보에 구매자의 성문 정보를 더해 사용하고 이 정보들을 결제에 이용할 때 암호화 기법을 통해 일회성 결제토큰을 생성해 사용함으로써, 보다 강력한 구매자 본인인증을 수행함과 동시에 결제정보 유출 문제를 최소화할 수 있는 온라인 결제시스템을 제안하고자 한다.Therefore, in the embodiments of the present invention described below, in order to avoid the threat described above, the buyer's gating information is added to the OTP information and the one-time payment token is generated and used through the encryption technique when the information is used for payment, We propose an online settlement system that can perform more authenticated buyer authentication and minimizes the problem of payment information leakage.

이하에서는 첨부된 도면을 참조하여 본 발명의 실시예들을 구체적으로 설명한다. 도면에 사용된 동일한 참조번호는 동일한 구성을 의미하는 것으로 해석되어야 하며, 이들 도면은 단지 예시에 불과한 것으로서 발명의 구성을 한정하지 않는다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. The same reference numerals used in the drawings should be construed to mean the same configurations, and these drawings are merely illustrative and do not limit the configuration of the invention.

도 1은 본 발명의 실시예들에 따른 온라인 안전결제 시스템의 구조를 도시한 블록도이다.1 is a block diagram illustrating a structure of an online secure settlement system according to an embodiment of the present invention.

제안하는 시스템은 상품 결제자로부터 채취한 음성에서 성문정보를 추출해 결제자인증에 활용함으로써 보다 강력한 본인인증을 수행한다. 또한, 결제시 신용카드정보, 비밀번호 등의 결제정보를 직접 전달하지 않도록 설계되어 개인정보가 외부에 노출되는 지점을 최소화한다.The proposed system extracts the vocabulary information from the vocabulary extracted from the product payer and uses it to authenticate the payer. In addition, it is designed not to directly transmit settlement information such as credit card information and password at the time of settlement, thereby minimizing the point where personal information is exposed to the outside.

이를 위해 도 1을 통해 제안하는 시스템은 다음과 같은 사항을 만족하도록 한다.To this end, the system shown in FIG. 1 satisfies the following requirements.

(1) 결제자(카드소지자) 인증 강화(1) Strengthen authentication of payer (cardholder)

- 신뢰할 수 있는 본인인증을 수행하기 위해 사용자 생체정보를 이용한다.- Uses user biometric information to perform trusted identity verification.

- 스마트폰과 같이 현재 널리 사용되고 있는 장치를 이용해 비교적 손쉽게 취득 가능한 생체정보를 이용한다.- Use biometric information that is relatively easy to acquire by using widely used devices such as smart phones.

(2) 개인정보 유출 지점 최소화(2) Minimization of personal information leakage point

- 결제정보(카드번호, 유효기간, CVC, 카드 비밀번호 등)를 구매자단말기, 판매자서버에서는 저장하지 않는다.- Payment information (card number, expiration date, CVC, card password, etc.) is not stored in the buyer's terminal or the seller's server.

- 결제정보의 처리는 결제서버(결제대행서버 등 실제 결제와 관련된 주체)와 신용카드사 서버에서만 취급한다.- The processing of payment information is handled only by the payment server (the entity related to the actual settlement such as settlement agent) and the credit card company server.

이상과 같은 요구 사항에 따라, 성문-OTP 결합토큰 결제시스템은 구매자의 단말기(10), 판매자가 운영하는 물품구매 서버(20), 결제를 진행하는 결제 서버(30), 그리고 선택적으로 금융기관/신용카드사 서버(40)를 포함한다. 도 1은 제안하는 시스템의 전체 구성요소를 보여준다.In accordance with the above requirements, the gateways-to-OTP combined token payment system includes a purchaser's terminal 10, an article purchasing server 20 operated by the seller, a payment server 30 for making payment, and optionally a financial institution / And a credit card company server (40). Figure 1 shows the overall components of the proposed system.

구매자는 PC 혹은 휴대 단말기(10)를 통해 구입하고자 하는 물품(혹은 서비스)에 대한 구입을 요청하며, 성문정보 추출을 위한 음성을 제공한다. 단말기(10)는 구매자의 음성을 입력받아 성문정보를 추출하고, OTP를 생성해 성문정보와 결합해 암호화함으로써 결제정보를 생성한다. 이때, 구매자가 활용하는 장치(단말기)는 물리적으로 하나 또는 둘 이상이 될 수 있다. 즉, 구매자는 온라인 결제와 음성 입력을 모두 하나의 장치를 통해 수행할 수도 있으나, 2개의 물리적으로 분리된 장치를 통해 처리할 수도 있다. 예를 들어, 전자의 경우는 음성 입력이 가능하도록 마이크로폰(microphone)이 구비된 PC 또는 휴대전화로 구현될 수 있으며, 후자의 경우는 온라인 결제는 통상적인 PC를 활용하되 음성 입력만을 마이크로폰이 구비된 휴대전화를 통해 수행된 후, 휴대전화에서 음성 정보를 처리하여 결제에 필요한 인증 정보를 생성한 다음, 이를 다시 PC의 온라인 결제 페이지에 입력하는 방식이 활용할 수도 있을 것이다.The purchaser requests purchase of an item (or service) to be purchased through the PC or the portable terminal 10 and provides voice for extracting the voucher information. The terminal 10 receives the voice of the purchaser, extracts the voiceprint information, generates OTP, and combines it with the voiceprint information to generate the payment information by encrypting it. At this time, the device (terminal) utilized by the purchaser may physically be one or two or more. That is, the purchaser can perform both online settlement and voice input through one device, but can also process through two physically separated devices. For example, in the former case, it may be implemented as a PC or a mobile phone equipped with a microphone so that voice input is possible. In the latter case, an online PC is used for the online payment, A method of processing voice information in the mobile phone after generating the authentication information required for payment after the mobile phone is performed and inputting the authentication information to the online payment page of the PC may be utilized.

한편, 물품구매 서버(20)는 구매자로부터 오는 정보를 수신해 결제를 진행하는 역할을 수행하며, 결제 서버(30)와 금융기관/신용카드사 서버(40)는 과금 요청 및 결과를 처리한다.On the other hand, the goods purchasing server 20 plays a role of receiving information from the purchaser and proceeding with settlement, and the payment server 30 and the financial institution / credit card company server 40 process the charging request and the result.

도 2는 본 발명의 실시예들이 채택하고 있는 성문 정보와 OTP를 함께 이용하여 사용자 인증을 수행하는 과정을 설명하기 위한 개념도로서, 단말기(10)와 서버(30)의 주체와 수행 동작을 표시하였다. 여기서, 서버(30)는 사용자 단말기(10)가 아닌 원격 처리 기기를 통칭한 것으로서, 일련의 결제 처리 서버군(server group)을 형성할 수 있으나, 물리적으로는 결제 인증을 실질적으로 담당하는 하나의 하드웨어로서 구현될 수도 있을 것이다. 따라서, 앞서 도 1을 통해 설명한 결제 서버(30)에 대응하는 개념으로 이해하여도 무방하다.FIG. 2 is a conceptual diagram for explaining a process of performing user authentication by using together the voiceprint information and the OTP adopted by the embodiments of the present invention, and shows a subject and an operation performed by the terminal 10 and the server 30 . Here, the server 30 collectively refers to a remote processing device other than the user terminal 10, and may form a series of payment processing server groups, but physically, one May be implemented as hardware. Therefore, it may be understood as a concept corresponding to the payment server 30 described above with reference to FIG.

본 발명의 실시예들은 사용자의 고유한 생체 정보인 음성을 사용자 인증에 활용하되, 이러한 생체 정보가 외부로 유출되지 않도록 암호화하여 사용자 단말기(10)로부터 서버(30)에 전달하고, 서버(30)로 하여금 인증을 요청하는 사용자가 진정한 사용자인지 여부를 검증하는 구조를 채택하고 있다.The embodiments of the present invention utilize voice, which is unique biometric information of the user, in user authentication, and transmit the encrypted biometric information from the user terminal 10 to the server 30, To verify whether the user requesting authentication is a real user.

이를 위해 단말기(10)는 우선 사용자 음성을 입력받고(S201), 이로부터 제 1 성문 정보를 추출한다(S202). 이와 더불어 단말기(10)는 서버와의 동기화를 통해(S203) 제 1 OTP를 생성한다(S204). 그런 다음, 단말기(10)는 제 1 성문 정보, 제 1 OTP 및 구매 정보를 암호화 결합하여 제 1 결제 인증 정보를 생성한다(S205). 이때 구매 정보는 구매 서버로부터 수신된 온라인 결제 페이지 내에 포함될 수 있으며, 현재 인증받고자 하는 결제의 구체적인 내역을 식별할 수 있는 키(key) 값이 될 것이다. 즉, 제 1 결제 인증 정보에는 사용자의 성문 정보와 더불어 OTP 정보 및 구매 정보가 각각의 정보 특성을 유지한 채 포함되며, 이와 동시에 각각의 정보가 유출되는 것을 방지하는 역할을 한다. 따라서, 암호화 결합된 제 1 결제 인증 정보는 다른 악의적인 사용자가 이를 가로채더라도 진정한 사용자의 성문 정보를 보호할 수 있으며, 인증 시간의 제한을 갖는 OTP로서의 기능 역시 수행할 수 있을 뿐만 아니라, 악의적인 공격자가 공격자 자신이 원하는 물품으로 구매 내역을 변경/변조할 수 없다는 장점을 갖는다.To this end, the terminal 10 receives the user voice (S201) and extracts the first sentence information (S202). In addition, the terminal 10 generates a first OTP through synchronization with the server (S203) (S204). Then, the terminal 10 generates the first payment authentication information by encrypting the first statement information, the first OTP, and the purchase information (S205). At this time, the purchase information may be included in the online payment page received from the purchase server, and it may be a key value for identifying a specific details of the payment to be currently authenticated. That is, in the first payment authentication information, the OTP information and the purchase information together with the user's voiceprint information are included while maintaining the respective information characteristics, and at the same time, the respective pieces of information are prevented from being leaked. Therefore, the encrypted first payment authentication information can protect the authenticity of the user's voucher information even if another malicious user intercepts it, and can perform not only the function of the OTP having the authentication time limit but also the malicious The attacker has the advantage that the attacker can not change / modify the purchase details with the desired goods.

이렇게 생성된 제 1 결제 인증 정보는 인증 요청에 포함되어 단말기(10)로부터 별도의 물품구매 서버(미도시)를 경유하여 서버(보다 정확하게는 결제 서버가 될 것이다.)(30)에 전송된다(S206).The generated first payment authentication information is included in the authentication request and is transmitted from the terminal 10 to the server 30 (more precisely, the payment server) 30 via a separate article purchase server (not shown) S206).

한편, 서버(30)는 동일한 사용자에 대해 미리 제 2 성문 정보를 제공받아 저장하고 있다가, 단말기(10)로부터 인증 요청을 받는 경우, 서버 자신의 데이터베이스로부터 해당 사용자의 제 2 성문 정보를 독출한다(S207). 이와 더불어 서버(30)는 단말기와의 동기화를 통해(S208) 제 2 OTP를 생성한다(S209). 또한, 서버(30)는 단말기(10)로부터 별도의 물품구매 서버(미도시)를 경유해 전달되는 결제 요청(S206)으로부터 제 1 결제 인증 정보와 이에 부가된 구매 정보를 추출한다.On the other hand, if the server 30 receives and stores the second statement information in advance for the same user and receives the authentication request from the terminal 10, the server 30 reads the second statement information of the corresponding user from the server's own database (S207). In addition, the server 30 generates a second OTP by synchronizing with the terminal (S208) (S209). In addition, the server 30 extracts the first payment authentication information and the purchase information added thereto from the payment request (S206) transmitted from the terminal 10 via a separate article purchasing server (not shown).

그런 다음, 서버(30)는 제 2 성문 정보, 제 2 OTP 및 추출된 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한다(S210). 이제, 서버(30)는 단말기(10)로부터 전달된 제 1 결제 인증 정보와 서버 자신이 생성한 제 2 결제 인증 정보를 비교함으로써 인증을 수행한다. 만약 양자가 동일하다면, 성문 정보를 통한 사용자 인증과 OTP를 이용한 인증이 모두 성공하였다는 것을 의미한다. 반면, 양자가 일치하지 않는다면, 결제 인증 정보를 구성하는 세 가지 요소 정보(성문 정보, OTP 및 구매 정보) 중 적어도 어느 하나에 문제가 있음을 의미한다.Then, the server 30 encrypts the second statement information, the second OTP, and the extracted purchase information to generate second payment authentication information (S210). Now, the server 30 performs authentication by comparing the first payment authentication information transmitted from the terminal 10 with the second payment authentication information generated by the server itself. If both are the same, it means that both the user authentication using the gate information and the authentication using OTP are successful. On the other hand, if they do not match, it means that there is a problem in at least one of the three element information (gating information, OTP, and purchase information) constituting the payment authentication information.

따라서, 도 2를 통해 제안된 본 발명의 인증 구조는, 성문 정보와 OTP가 각각 서로를 대체하는 것이 아니며, 각각의 인증 정보 고유의 속성을 가지면서도 개별적인 인증 정보의 유출을 방지하는 효과를 갖는다. 또한 구매 정보가 결제의 고유성을 보완해줌으로써 결제 인증 정보의 부정 사용을 방지하는 효과를 갖는다.Therefore, the authentication structure of the present invention proposed in FIG. 2 has the effect of preventing leakage of individual authentication information while having the attribute unique to each authentication information, not the replacement of the written information and the OTP. Also, the purchasing information complements the uniqueness of the settlement, thereby preventing illegal use of the settlement authentication information.

도 3은 본 발명의 실시예들이 채택하고 있는 성문 정보와 OTP를 함께 이용한 온라인 결제의 처리 과정을 각 수행 주체별로 분리하여 도시한 흐름도로서, 그 주체로서 사용자 단말기(10), 물품구매 서버(20), 결제 서버(30) 및 신용카드사 서버(40)가 예시되어 있다.FIG. 3 is a flowchart showing an online settlement processing process, which is adopted by embodiments of the present invention, in which online transaction processing using an OTP together with gatekeeper information is performed separately for each performer and includes a user terminal 10, an article purchase server 20 ), A payment server 30 and a credit card company server 40 are illustrated.

앞서 도 2를 통해 설명한 바와 같이, 본 발명의 실시예에 따른 결제 시스템을 이용하는 구매자는 사전에 적절한 과정을 거쳐 자신의 성문정보, 결제 정보를 비롯한 개인정보를 결제 서버(30)에 등록함으로써 서비스를 받을 수 있는 준비를 마친 것을 가정한다. 또한, 휴대 단말기(10)에는 서비스를 받는데 필요한 정보를 생성할 수 있는 프로그램이 설치되어 있으며, 결제 서버(30)와 신용카드사 서버(40)를 제외한 장치에서는 결제 정보를 저장하지 않는 것으로 가정한다. 마지막으로 결제 서버(30)와 신용카드사 서버(40)는 금융사에서 관리하는 폐쇄적인 망으로 연결되어 안전한 통신이 가능하다고 가정한다.As described above with reference to FIG. 2, the purchaser using the payment system according to the embodiment of the present invention registers the personal information including his / her written information and payment information in the payment server 30 through a suitable process in advance, Assume that you are ready to receive. It is also assumed that the portable terminal 10 is provided with a program capable of generating information necessary for receiving the service and does not store the payment information in the devices excluding the payment server 30 and the credit card company server 40. [ Lastly, it is assumed that the payment server 30 and the credit card company server 40 are connected to a closed network managed by a financial institution, thereby enabling secure communication.

또한, 사용자 단말기(10)는 물리적으로 하나 또는 두 개의 장치로서 구현될 수 있다. 앞서 예시한 바와 같이, 온라인 구매 처리와 음성 처리가 모두 하나의 디바이스 내에서 수행될 수도 있으며, 또는 온라인 구매 처리와 음성 처리를 분리된 두 개의 디바이스에서 처리할 수도 있을 것이다.Also, the user terminal 10 may be physically implemented as one or two devices. As illustrated above, both online purchase processing and voice processing may be performed within a single device, or online purchase processing and voice processing may be handled by two separate devices.

구매자가 구매를 진행함에 따라 거치는 전체 과정은 도 3과 같다.The entire process as the purchaser proceeds through the purchase is shown in FIG.

우선, S301 단계에서, 결제 서버(30)는 사용자별로 성문 정보를 저장한다.First, in step S301, the payment server 30 stores the gender information for each user.

S302 단계에서, 구매자는 PC, 스마트폰, 태블릿 등의 단말기(10)를 이용해 상품을 선정하고 결제버튼을 눌러 물품구매요청을 물품구매 서버(20)로 전송한다. 물품구매요청에는 구매상품에 대한 구매정보 및 고객정보를 포함한다.In step S302, the purchaser selects a commodity using the terminal 10 such as a PC, a smart phone, or a tablet, and transmits a commodity purchase request to the commodity purchasing server 20 by pressing a payment button. The purchase request includes purchase information and customer information for the purchased product.

S303 단계에서, 물품구매 서버(20)는 구매자를 결제진행 페이지로 이동시키는 물품구매요청응답을 전송하여 구매 인증을 요청한다. 이때, 수신된 구매 인증에는 물품 정보가 포함될 수 있으며, 이러한 물품 정보는 물품구매 서버로 하여금 현재 온라인 결제 과정의 대상 물품이 무엇인지를 식별하도록 도와주는 역할을 수행하게 된다.In step S303, the article purchasing server 20 transmits a purchase request response for moving the purchaser to the payment progress page to request purchase authentication. At this time, the received purchase certification may include article information, and the article information serves to help the article purchasing server to identify what is the target article in the online settlement process.

S304 단계에서, 구매자는 사용자 단말기(10)를 통해 결제인증을 위한 페이지로 자동으로 이동해 제 1 결제 인증 정보를 제공한다. 제 1 결제 인증 정보는 다음의 과정을 통해 구매자의 휴대 단말기(10)로부터 생성된다.In step S304, the purchaser automatically moves to the page for payment authentication through the user terminal 10 and provides the first payment authentication information. The first payment authentication information is generated from the mobile terminal 10 of the purchaser through the following process.

S304 단계에서, 휴대 단말기(10)가 물품구매 서버(20)에서 수신한 구매인증요청에 포함된 특정 텍스트를 추출해 구매자에게 보여주면, 구매자는 텍스트를 읽음으로써 음성을 제공하고, 단말기(10)는 입력된 음성으로부터 제 1 성문 정보를 추출한다.If the specific text included in the purchase authentication request received by the goods purchasing server 20 is extracted and displayed to the purchaser in step S304, the purchaser provides the voice by reading the text, and the terminal 10 And extracts first sentence information from the input voice.

S305 단계에서, 휴대 단말기(10)는 동기화되어 있는 결제 서버(30)와 동일한 방식으로 제 1 OTP를 생성한다.In step S305, the mobile terminal 10 generates a first OTP in the same manner as the payment server 30 that is synchronized.

S306 단계에서, 휴대 단말기(10)는 제 1 성문 정보, 제 1 OTP 및 구매 정보를 결합한 뒤, 암호화 기술을 이용해 해당 정보가 드러나지 않도록 변경하여 제 1 결제 인증 정보를 생성한다.In step S306, the portable terminal 10 combines the first voucher information, the first OTP, and the purchase information, and generates the first payment authentication information by changing the information so that the information is not exposed using the encryption technology.

S307 단계에서, 이제 구매자는 단말기(10)를 통해 제 1 결제 인증 정보를 물품구매 서버(20)로 전송한다. 이러한 결제 인증 요청은 고객 ID, 구매 ID 및 제 1 결제 인증 정보를 포함할 수 있다. 한편, 구현의 관점에서, 단말기(10)는 하나 또는 두 개의 디바이스로 구현될 수 있음을 약술한 바 있다.In step S307, the purchaser transmits the first payment authentication information to the goods purchasing server 20 through the terminal 10. Such a payment authentication request may include a customer ID, a purchase ID, and first payment authentication information. On the other hand, in terms of implementation, it has been outlined that the terminal 10 can be implemented as one or two devices.

첫 번째 예로서, 단말기(10)가 하나의 디바이스로 구현된 경우, 생성된 제 1 결제 인증 정보는 그대로 물품구매 서버(20)로 전송하는 간단한 방식으로 구현될 수 있다.As a first example, if the terminal 10 is implemented as a single device, the generated first payment authentication information may be implemented in a simple manner as it is transmitted to the article purchase server 20 as it is.

두 번째 예로서, 단말기(10)가 두 개의 디바이스로 구현된 경우, S302 단계는 음성 처리가 불가능한 통상의 PC에서 구현되고, S303 단계에서 물품구매 요청에 대한 응답은 음성 처리가 불가능한 PC에 수신되고, S303 단계에서 구매 인증 요청은 음성 처리가 가능한 휴대전화에 각각 수신되며, 나머지 S304 내지 S306 단계는 음성 처리가 가능한 휴대전화에서 구현될 수 있다. 즉, S303 단계를 통해 구매 인증 요청이 휴대전화에 수신된 경우, 사용자는 S304 이후의 단계를 처리하기 위해 휴대전화를 통해 음성을 입력하여 제 1 성문 정보를 추출하고, 제 1 OPT를 생성하며, 제 1 성문 정보, 제 1 OTP 및 구매 정보를 암호화 결합하여 텍스트 형태의 제 1 결제 인증 정보를 생성한다. 이제, 사용자는 휴대전화를 통해 생성된 제 1 결제 인증 정보를 다시 물품구매 대기 중인 사용자 PC에 입력하여 결제 인증 요청(S307)을 진행할 수 있다.As a second example, if the terminal 10 is implemented with two devices, step S302 is implemented in a normal PC that can not process speech, and in step S303, a response to the purchase request is received by the PC The purchase authentication request is received in the cellular phone capable of voice processing in step S303, and the remaining steps S304 to S306 may be implemented in the cellular phone capable of voice processing. That is, if the purchase authentication request is received by the mobile phone through step S303, the user inputs voice through the mobile phone to process the steps after step S304, extracts the first voucher information, generates the first OPT, The first billing information, the first OTP, and the purchase information are encrypted and combined to generate first payment authentication information in a text form. Now, the user can enter the first payment authentication information generated through the mobile phone into the user PC waiting for purchase of goods, and proceed with the payment authentication request (S307).

S308 단계에서, 물품구매 서버(20)는 제 1 결제 인증 정보에 물품구매 서버(20) 자신이 저장하고 있는 구매 정보(구매금액 등과 같이 사용자로부터 요청받은 구매에 관한 정보를 포함한다.)을 부가한 결제 인증 요청을 결제 서버(30)로 전달한다. 따라서, 단말기(10)로부터 수신된 결제 인증 요청(S307) 내에 포함된 제 1 결제 인증 정보로부터 구매 정보를 분리하는 것은 불가능한 반면, 물품구매 서버(20)로부터 결제 서버(30)에 전달되는 결제 인증 요청(S308) 내에 부가된 구매 정보는 분리가 가능하다. 물론 이후 결제 서버(30)에서의 인증 처리(S310)를 위해 양자가 동일한 정보를 포함하는 것은 당연하다.In step S308, the article purchasing server 20 adds the purchase information stored in the article purchasing server 20 itself (including information on purchase requested by the user, such as a purchase amount) to the first payment authentication information And transmits a payment authentication request to the payment server 30. Therefore, it is impossible to separate the purchase information from the first payment authentication information included in the payment authentication request (S307) received from the terminal 10, while it is impossible to separate the purchase information from the goods payment server 30 The purchase information added in the request (S308) is separable. It goes without saying that they both include the same information for authentication processing (S310) in the payment server 30 thereafter.

S309 단계에서, 결제 서버(30)는 미리 구축된 데이터베이스에서 구매자의 제 2 성문정보를 추출하고, 구매자의 휴대 단말기(10)와 동기화하여 동일한 방식으로 생성한 제 2 OTP 및 물품구매 서버(20)로부터 수신된 결제 인증 요청 내에 부가된 구매 정보와 결합한 후 암호화 방식을 이용해 제 2 결제 인증 정보를 생성한다.In step S309, the payment server 30 extracts the second voucher information of the buyer from the prebuilt database, and synchronizes with the buyer's portable terminal 10 to create the second OTP and the article purchase server 20, And then generates second payment authentication information using the encryption method.

S310 단계에서, 결제 서버(30)는 앞서 서버 자신이 생성한 제 2 결제 인증 정보와 단말기(10)로부터 물품구매 서버(20)를 경유해 수신된 제 1 결제 인증 정보를 비교함으로써 결제 요청에 대한 검증을 수행한다.In step S310, the payment server 30 compares the second payment authentication information generated by the server itself with the first payment authentication information received via the article purchasing server 20 from the terminal 10, And performs verification.

제 1 결제 인증 정보에 대한 인증 결과가 성공적인 경우, S311 단계를 통해 결제 서버(30)는 제 1 결제 인증 정보에 상응하는 실제 결제 정보(결제자 이름, 카드번호 등)를 포함한 결제 요청을 신용카드사 서버(40)로 전송한다.If the authentication result of the first payment authentication information is successful, the payment server 30 transmits the payment request including the actual payment information (the name of the payer, the card number, etc.) corresponding to the first payment authentication information to the credit card company To the server (40).

S312 단계에서, 신용카드사 서버(40)는 결제 서버(30)로부터 수신한 결제요청에 포함된 결제정보를 이용해 과금을 수행하고 그 결과를 포함한 결제 결과를 결제 서버(30)로 응답한다.In step S312, the credit card company server 40 performs billing using the payment information included in the payment request received from the payment server 30, and responds to the payment server 30 with the payment result including the result.

S313 단계에서, 결제 결과를 수신한 결제 서버(30)는 이에 상응하는 구매자 정보가 추가된 결제 결과 응답을 생성해 물품구매 서버(20)로 전달한다.In step S313, the payment server 30 receiving the settlement result generates a settlement result response to which the corresponding buyer information is added, and transmits the settlement result response to the goods purchasing server 20.

최종적으로 S314 단계에서, 물품구매 서버(20)는 결제 결과 응답에서 구매자 정보를 추출하여 구매정보(상품ID, 구매수량, 가격 등)를 결합함으로써 물품구매결과 정보를 생성하고 이를 사용자 단말기(10)에게 전달해 구매 절차가 완료되었음을 알린다.Finally, in step S314, the article purchasing server 20 extracts the buyer information from the settlement result response and combines the purchase information (article ID, purchase quantity, price, etc.) To inform them that the purchase procedure has been completed.

이상에서 도 3을 통해 제안하는 결제 시스템은 결제 과정에서 결제 정보를 직접적으로 사용하지 않고, 결제정보를 저장/유지하는 부분을 최소화함으로써 결제정보 노출의 위협을 줄인다. 우선 결제 시스템에서 주고받는 메시지들의 내용을 살펴봄으로써 통신 도중 결제정보 노출이 발생하지 않는다는 사실을 확인할 수 있다. 결제과정에서 발생하는 메시지들의 종류와 포함하는 최소내용은 다음과 같다.In the above, the billing system proposed in FIG. 3 does not directly use the settlement information in the settlement process, but reduces the risk of exposing the settlement information by minimizing the portion of storing and maintaining the settlement information. First, by checking the contents of the messages exchanged in the payment system, it can be confirmed that the payment information is not exposed during the communication. The types of messages that occur during the settlement process and the minimum contents to include are as follows.

Figure 112014081723156-pat00001
Figure 112014081723156-pat00001

이상의 메시지 항목에서 (*) 표시가 된 메시지들은 다음과 같이 구성된다.Messages marked with an asterisk (*) in the message items above are configured as follows.

Figure 112014081723156-pat00002
Figure 112014081723156-pat00002

각 메시지 내용에서 볼 수 있듯, 구매자와 물품구매 서버 간의 통신에서 결제정보는 일회성 토큰 형태로 전달되므로 메시지가 노출되더라도 이후의 결제정보 부정 사용에 대한 피해를 방지할 수 있다. 결제 서버와 신용카드사 서버 간 통신은 폐쇄망으로 구성되어 있으므로, 이 구간에서 발생하는 메시지는 안전하다.As can be seen from the contents of each message, since the payment information is transmitted in the form of a one-time token in the communication between the purchaser and the purchase server, even if the message is exposed, damage to subsequent fraudulent use of the payment information can be prevented. Since the communication between the payment server and the credit card company server is composed of a closed network, the messages generated in this section are secure.

또한, 결제에 사용되는 실제 결제정보인 카드번호, 유효기간 등은 구매자 시스템, 휴대단말기, 물품구매 서버 등 실제 결제와 관련 없는 기기에서 저장하지 않도록 규정하였으므로, 실제 결제정보는 결제 서버와 신용카드사 서버에서만 취급된다. 이로써 결제정보의 노출지점이 최소화되며, 이러한 정보들의 관리지점을 비교적 안전한 금융관련 서버들에 집중할 수 있다.In addition, since it is stipulated that the card number, the expiration date, and the like, which are actual payment information used for settlement, are not stored in devices not related to actual settlement such as the purchaser system, the portable terminal, and the goods purchase server, . This minimizes the exposure point of the payment information and allows the management point of such information to be concentrated on relatively secure financial related servers.

이하에서는, 도 3을 통해 제안된 본 발명의 실시예를 중심으로 개별 거래의 대상이 되는 물리적으로 분리된 하드웨어 별로 수행되는 연산을 순차적으로 설명하도록 한다.Hereinafter, operations performed on physically separated hardware to be an object of an individual transaction will be sequentially described with reference to FIG. 3, which is an embodiment of the present invention.

도 4 및 도 5는 각각 본 발명의 일 실시예에 따른 단말기가 온라인 결제를 처리하는 방법 및 장치를 도시한 흐름도이다. 단말기는 그 특성상, 음성 입력 수단과 적어도 하나의 처리기(processor)를 구비하는 것이 바람직하나, 만약 단말기가 물리적으로 분리된 두 개의 디바이스로 구현되는 경우, 음성 처리를 담당하는 디바이스에만 음성 입력 수단이 구비될 수도 있을 것이다.4 and 5 are flowcharts illustrating a method and an apparatus for processing an online settlement by a terminal according to an embodiment of the present invention, respectively. The terminal is preferably provided with a voice input means and at least one processor. However, if the terminal is implemented by two physically separated devices, voice input means is provided only to the device which is responsible for voice processing .

우선 도 4를 참조하여 단말기의 수행 동작을 살펴본다.First, the operation of the terminal will be described with reference to FIG.

S410 단계에서, 단말기는 상기 단말기와 결제 서버를 연결하는 물품구매 서버로부터 구매 인증 요청을 수신하고, 인증 요청 내에 포함된 텍스트를 사용자에게 표시함으로써 사용자의 음성 입력을 유도한다.In step S410, the terminal receives the purchase authentication request from the article purchasing server connecting the terminal and the payment server, and displays the text included in the authentication request to the user, thereby guiding the user's voice input.

S420 단계에서, 상기 단말기는 사용자로부터 상기 텍스트에 대한 음성을 입력받고, 입력된 상기 음성으로부터 제 1 성문(voiceprint) 정보를 추출한다.In step S420, the terminal receives a voice for the text from a user and extracts first voiceprint information from the voice input.

S430 단계에서, 상기 단말기는 결제 서버와의 동기화를 통해 제 1 OTP(one time password)를 생성하고, 상기 제 1 성문 정보, 상기 제 1 OTP 및 구매 정보를 암호화 결합하여 제 1 결제 인증 정보를 생성한다. 여기서, 제 1 결제 인증 정보는, 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 사용자를 인증하는데 활용된다.In step S430, the terminal generates a first OTP (one time password) through synchronization with the payment server, generates first payment authentication information by encrypting and combining the first message information, the first OTP, and the purchase information do. Here, the first payment authentication information is used to authenticate the user using second voucher information for the user stored in the payment server without separation of the first voucher information included in the first payment authentication information.

S440 단계에서, 상기 단말기는 생성된 상기 제 1 결제 인증 정보를 상기 물품구매 서버를 통해 상기 결제 서버에 전송하여 결제를 요청한다. 보다 구체적으로, 상기 단말기가 전송하는 결제 요청은, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 독출하고, 독출된 상기 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 물품구매 서버로부터 수신된 결제 인증 요청을 통해 상기 제 1 결제 인증 정보에 구가된 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한 후, 상기 단말기로부터 수신된 상기 제 1 결제 인증 정보와 비교하여 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별한다. 따라서, 상기 제 1 성문 정보는, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보와 일치하며, 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증하게 된다.In step S440, the terminal transmits the generated first payment authentication information to the payment server through the article purchasing server to request payment. In more detail, the payment request transmitted from the terminal may include: reading second voucher information about the user stored in advance in the payment server; and transmitting the second voucher information, the second voucher information, OTP and purchase authentication information received from the goods purchasing server to generate second payment authentication information by encrypting and combining purchase information obtained in the first payment authentication information, It is determined that the payment authentication is successful only when the two are matched. Therefore, the first statement information matches the second statement information about the user stored in advance in the payment server, and is included in the first payment authentication information, so that the payment authentication process using the comparison with the second payment authentication information To authenticate the user.

특히, 제 1 결제 인증 정보는, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 특정 연산(예를 들어, 덧셈, 뺄셈 또는 연결 연산이 될 수 있다.)을 통해 결합한 후, 암호화 기술을 이용해 생성함으로써, 상기 사용자의 성문 정보의 유출을 방지할 수 있다. 일례로서, 상기 암호화 기술은 AES(Advanced Encryption Standard), 해시(hash) 함수 및 ANSI X9 표준에 따른 토큰화 기법 중 어느 하나를 바탕으로 구현될 수 있다.In particular, the first payment authentication information may be obtained by combining the first statement information, the first OTP, and the purchase information through a specific operation (for example, addition, subtraction or connection operation) So that the outflow of the user's written information can be prevented. As an example, the encryption technique may be implemented based on any of the tokenization techniques according to the Advanced Encryption Standard (AES), the hash function and the ANSI X9 standard.

또한, 단말기는, 결제/인증 보안을 향상시키기 위해 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 각각 상기 단말기에 구비된 휘발성 메모리 상에 생성하고, 이들 정보 각각을 암호화 결합하여 상기 제 1 결제 인증 정보를 생성한 후, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 상기 메모리로부터 삭제하는 것이 바람직하다.Also, the terminal generates the first statement information, the first OTP, and the purchase information on a volatile memory provided in the terminal to improve settlement / authentication security, encrypts each of the information, It is preferable to delete the first statement information, the first OTP, and the purchase information from the memory after generating one payment authentication information.

도 5를 참조하면, 단말기(10)는 음성 입력부(11), 처리부(12), 통신부(13) 및 디스플레이부(14)를 포함하여 구현될 수 있다. 음성 입력부(11)는 디스플레이부(14)에 표시된 특정 텍스트를 인지한 사용자의 음성 입력을 처리하는 수단이다. 통신부(13)는 네트워크를 통해 물품구매 서버 또는 결제 서버와의 모든 통신을 담당하는 네트워크 인터페이스 카드 또는 이에 준하는 기술적 수단으로서 구현될 수 있다. 처리부(12)는 이러한 장치들과의 입출력을 통해 획득된 데이터를 처리하고 앞서 도 4를 통해 제시된 일련의 연산을 제어, 수행하는 역할을 한다. 따라서, 처리부(12)는 이러한 일련의 연산을 처리할 수 있는 데이터 처리기로서 구현될 수 있으며, 필요에 따라서는 임시 데이터를 저장하고 가공하기 위한 메모리(memory)가 부가될 수 있다.5, the terminal 10 may include a voice input unit 11, a processing unit 12, a communication unit 13, and a display unit 14. The voice input unit 11 is means for processing voice input by a user who recognizes a specific text displayed on the display unit 14. [ The communication unit 13 may be implemented as a network interface card or any equivalent technical means responsible for all communications with the goods purchasing server or the payment server via the network. The processing unit 12 processes data obtained through input / output with these devices and controls and executes the series of operations shown in FIG. Accordingly, the processing unit 12 can be implemented as a data processor capable of processing such a series of operations, and a memory for storing and processing temporary data can be added as needed.

도 6 및 도 7은 각각 본 발명의 일 실시예에 따른 물품구매 서버가 온라인 결제를 처리하는 방법 및 장치를 도시한 흐름도이다. 물품구매 서버는 그 특성상 일련의 연산을 수행하기 위한 적어도 하나의 처리기를 구비하며, 데이터를 주고 받기 위한 통신 수단을 당연히 구비할 수 있다.6 and 7 are flowcharts illustrating a method and apparatus for an online purchase processing by an article purchase server according to an embodiment of the present invention, respectively. The article purchase server may include at least one processor for performing a series of operations by its nature, and may naturally include a communication means for exchanging data.

우선 도 6을 참조하여 물품구매 서버의 수행 동작을 살펴본다.First, the operation of the article purchase server will be described with reference to FIG.

S610 단계에서, 물품구매 서버는 단말기로부터 입력된 물품구매 요청에 대응하여 사용자의 음성 입력을 유도하는 텍스트가 포함된 구매 인증 요청을 상기 단말기에 전송한다.In step S610, the article purchasing server transmits to the terminal a purchase authorization request including a text for inducing voice input of the user in response to the article purchase request input from the terminal.

S620 단계에서, 상기 물품구매 서버는 상기 단말기로부터 제 1 결제 인증 정보를 수신한다. 여기서, 제 1 결제 인증 정보는, 상기 단말기를 통해 입력된 사용자의 음성으로부터 추출된 제 1 성문 정보, 상기 단말기가 상기 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 구매 정보를 암호화 결합하여 생성한 것이며, 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 사용자를 인증하는 역할을 수행한다. 이러한 제 1 결제 인증 정보는, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 특정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성함으로써, 상기 사용자의 성문 정보의 유출을 방지할 수 있다.In step S620, the article purchasing server receives the first payment authentication information from the terminal. Here, the first payment authentication information is generated by encrypting the first sentence information extracted from the voice of the user input through the terminal, the first OTP and the purchase information generated by the terminal in synchronization with the payment server And authenticates the user using the second voucher information for the user stored in advance in the payment server without separating the first voucher information included in the first payment authentication information. The first settlement authentication information may be generated by combining the first statement information, the first OTP, and the purchase information through a specific operation and then using an encryption technique to prevent leakage of the user's statement information.

S630 단계에서, 상기 물품구매 서버는 수신된 상기 제 1 결제 인증 정보에 구매 정보를 부가하여 결제 서버에 전송하여 결제를 요청한다. 보다 구체적으로, 상기 단말기로부터 상기 물품구매 서버를 통해 상기 결제 서버에 전달되는 결제 요청은, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 독출하고, 독출된 상기 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 결제 서버에 수신된 결제 요청 내에 부가된 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한 후, 상기 단말기로부터 수신된 상기 제 1 결제 인증 정보와 비교하여 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별하게 된다. 따라서, 제 1 성문 정보는, 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보와 일치하며, 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증할 수 있다.In step S630, the article purchasing server adds purchase information to the received first payment authentication information, transmits the purchase information to the payment server, and requests payment. More specifically, a payment request transmitted from the terminal to the payment server via the article purchasing server may include reading out the second statement information about the user stored in advance in the payment server, A second OTP generated through synchronization with the terminal and purchase information added to the payment request received by the payment server to generate second payment authentication information, It is determined that the payment authentication is successful only when the two are matched. Accordingly, the first grammar information is identical to the second grammar information for the user stored in advance in the payment server, and is included in the first payment authentication information, so that the payment authentication process using the comparison with the second payment authentication information To authenticate the user.

또한, 물품구매 서버는, 상기 제 1 결제 인증 정보에 적어도 사용자 식별자 및 구매물품 식별자를 부가하여 생성된 결제 요청을 상기 결제 서버에 전송함으로써, 상기 결제 서버로 하여금 온라인 결제에 요구되는 사용자 인증을 유도하는 것이 바람직하다.In addition, the article purchasing server transmits the payment request generated by adding at least the user identifier and the purchase article identifier to the first payment authentication information to the payment server, thereby causing the payment server to induce user authentication required for online payment .

도 7을 참조하면, 물품구매 서버(20)는 처리부(21), 통신부(22) 및 물품구매 데이터베이스(23)를 포함하여 구현될 수 있다. 통신부(22)는 네트워크를 통해 단말기 또는 결제 서버와의 모든 통신을 담당하는 네트워크 인터페이스 카드 또는 이에 준하는 기술적 수단으로서 구현될 수 있다. 물품구매 데이터베이스(23)는 사용자 식별자 및 구매물품 식별자에 기초하여 사용자의 물품구매에 관한 정보(물품 정보)가 저장된다. 즉, 물품구매 서버(20)는 물품구매 데이터베이스(23)를 조회하여 해당 사용자를 식별하고, 현재 사용자가 구매하고자 하는 물품에 대한 정보를 독출하여 사용자 단말기로부터 전달된 인증 요청 내의 제 1 결제 인증 정보에 물품 구매에 관한 추가 정보(물품 정보)를 부가하여 결제 서버에 전달하게 된다. 또한, 처리부(21)는 이러한 장치들과의 입출력을 통해 획득된 데이터를 처리하고 앞서 도 6을 통해 제시된 일련의 연산을 제어, 수행하는 역할을 한다. 따라서, 처리부(21)는 이러한 일련의 연산을 처리할 수 있는 데이터 처리기로서 구현될 수 있으며, 필요에 따라서는 임시 데이터를 저장하고 가공하기 위한 메모리가 부가될 수 있다.7, the article purchasing server 20 may be implemented by including a processing unit 21, a communication unit 22, and an article purchase database 23. As shown in FIG. The communication unit 22 may be implemented as a network interface card or a technical means equivalent to all communications with a terminal or a payment server via a network. The article purchase database 23 stores information (article information) about the user's purchase of the article based on the user identifier and the purchased article identifier. That is, the article purchasing server 20 inquires the article purchase database 23 to identify the user, reads the information about the article that the user currently wants to purchase, and obtains the first payment authentication information in the authentication request transmitted from the user terminal (Goods information) about the purchase of the goods to the payment server. In addition, the processing unit 21 processes data obtained through input / output with these devices, and controls and executes the series of operations shown in FIG. Thus, the processing unit 21 can be implemented as a data processor capable of processing such a series of operations, and if necessary, a memory for storing and processing temporary data can be added.

도 8 및 도 9는 각각 본 발명의 일 실시예에 따른 결제 서버가 온라인 결제를 처리하는 방법 및 장치를 도시한 흐름도이다. 결제 서버는 그 특성상 일련의 연산을 수행하기 위한 적어도 하나의 처리기를 구비하며, 데이터를 주고 받기 위한 통신 수단을 당연히 구비할 수 있다.8 and 9 are flowcharts showing a method and an apparatus for processing an online settlement by a settlement server according to an embodiment of the present invention, respectively. The payment server has at least one processor for performing a series of operations by its nature and may naturally include communication means for exchanging data.

우선 도 8을 참조하여 결제 서버의 수행 동작을 살펴본다.First, the operation of the payment server will be described with reference to FIG.

S810 단계에서, 결제 서버는 사용자의 단말기와 상기 결제 서버를 연결하는 물품구매 서버로부터 제 1 결제 인증 정보 및 이에 부가된 구매 정보를 포함하는 결제 요청을 수신한다. 여기서, 제 1 결제 인증 정보는, 상기 단말기를 통해 입력된 사용자의 음성으로부터 추출된 제 1 성문 정보, 상기 단말기가 상기 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 구매 정보를 암호화 결합하여 생성한 것이며, 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 사용자를 인증하는 역할을 수행한다.In step S810, the payment server receives the payment request including the first payment authentication information and the purchase information added thereto from the article purchasing server that connects the user terminal and the payment server. Here, the first payment authentication information is generated by encrypting the first sentence information extracted from the voice of the user input through the terminal, the first OTP and the purchase information generated by the terminal in synchronization with the payment server And authenticates the user using the second voucher information for the user stored in advance in the payment server without separating the first voucher information included in the first payment authentication information.

특히, 상기 제 1 결제 인증 정보는, 상기 물품구매 서버에서 상기 단말기로 전송된 구매 인증 요청 내에 포함된 텍스트에 대해 사용자로부터 입력된 음성으로부터 제 1 성문 정보를 추출하고, 상기 단말기가 결제 서버와의 동기화를 통해 제 1 OTP를 생성하며, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 암호화 결합하여 생성될 수 있다.In particular, the first payment authentication information extracts first voucher information from a voice input from a user with respect to text included in a purchase authentication request transmitted from the article purchasing server to the terminal, Generating a first OTP through synchronization, and encrypting and combining the first statement information, the first OTP, and the purchase information.

S820 단계에서, 상기 결제 서버는 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 물품구매 서버로부터 수신된 결제 요청 내에 부가된 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한다.In step S820, the payment server stores the second statement information about the user stored in advance in the payment server, the second OTP generated through synchronization with the terminal, and purchase information added in the payment request received from the article purchase server To generate second payment authentication information.

S830 단계에서, 상기 결제 서버는 수신된 결제 요청으로부터 추출된 제 1 결제 인증 정보와 생성된 상기 제 2 결제 인증 정보를 비교한다. 여기서, 상기 제 2 성문 정보는 상기 사용자로부터 입력된 음성으로부터 추출된 상기 제 1 성문 정보와 일치하며, 상기 제 1 성문 정보는 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증하는 것이 바람직하다.In step S830, the payment server compares the first payment authentication information extracted from the received payment request with the generated second payment authentication information. Herein, the second grammar information is identical to the first grammar information extracted from the voice input from the user, and the first grammar information is included in the first payment verification information, so that comparison with the second payment verification information It is preferable that the user is authenticated through a payment authentication process using the service.

따라서, 상기 제 2 결제 인증 정보는, 상기 제 1 결제 인증 정보와 동일한 방식으로 생성되는 것으로서, 상기 제 2 성문 정보, 상기 제 2 OTP 및 상기 구매 정보를 특정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성할 수 있다. 특히, 상기 암호화 기술은 AES, 해시(hash) 함수 및 ANSI X9 표준에 따른 토큰화 기법 중 어느 하나를 바탕으로 구현될 수 있다.Therefore, the second payment authentication information is generated in the same manner as the first payment authentication information, and after combining the second voucher information, the second OTP, and the purchase information through a specific operation, Can be generated. In particular, the encryption technique may be implemented based on any of the AES, the hash function and the tokenization technique according to the ANSI X9 standard.

S840 단계에서, 상기 결제 서버는 비교 결과에 따라 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별한다. 만약, 상기 결제 인증에 성공한 것으로 판별된 경우, 상기 결제 서버가 금융기관에 상기 결제 요청에 따른 결제를 처리한 후, 결제 요청 결과를 상기 물품구매 서버를 통해 상기 단말기에 전송하게 된다.In step S840, the payment server determines that payment authentication is successful only when the two match according to the comparison result. If it is determined that the settlement authentication is successful, the payment server processes the settlement according to the settlement request to the financial institution, and then transmits the settlement request result to the terminal through the article purchase server.

도 9를 참조하면, 결제 서버(30)는 처리부(31), 통신부(32) 및 성문 정보 데이터베이스(33)를 포함하여 구현될 수 있다. 통신부(32)는 네트워크를 통해 단말기 또는 물품구매 서버와의 모든 통신을 담당하는 네트워크 인터페이스 카드 또는 이에 준하는 기술적 수단으로서 구현될 수 있다. 성문 정보 데이터베이스(33)는 사용자별로 성문 정보를 입력받아 미리 저장한다. 즉, 결제 서버(30)는 사용자 단말기로부터 물품구매 서버를 통해 전달된 인증 요청에 대응하여 단말기를 통해 입력된 사용자의 음성을 검증하기 위한 수단으로서 성문 정보를 활용하며, 이러한 검증을 위해 미리 대응하는 사용자의 성문 정보를 저장해놓을 필요가 있다. 또한, 처리부(31)는 이러한 장치들과의 입출력을 통해 획득된 데이터를 처리하고 앞서 도 8을 통해 제시된 일련의 연산을 제어, 수행하는 역할을 한다. 따라서, 처리부(31)는 이러한 일련의 연산을 처리할 수 있는 데이터 처리기로서 구현될 수 있으며, 필요에 따라서는 임시 데이터를 저장하고 가공하기 위한 메모리가 부가될 수 있다.9, the payment server 30 may include a processing unit 31, a communication unit 32, and a grammar information database 33. The communication unit 32 may be implemented as a network interface card or any other equivalent technical means that is responsible for all communications with the terminal or the article purchasing server via the network. The grammar information database 33 receives grammar information for each user and stores the grammar information in advance. That is, the payment server 30 utilizes the voucher information as means for verifying the voice of the user inputted through the terminal in response to the authentication request transmitted from the user terminal through the article purchasing server, It is necessary to store the user's written information. In addition, the processing unit 31 processes the data obtained through input / output with these devices and controls and executes the series of operations shown in FIG. 8 previously. Thus, the processing unit 31 can be implemented as a data processor capable of processing such a series of operations, and if necessary, a memory for storing and processing temporary data can be added.

상기된 본 발명의 실시예들은, 사용자 고유의 생체 정보인 성문 정보, OTP 및 구매 정보의 암호화 결합을 통해 생성된 결제 토큰을 결제에 활용함으로써, 사용자가 온라인에서 상품 구매시 복잡한 추가 프로그램의 설치 없이도 안전하게 사용자 자신에 대한 인증과 더불어 상기 상품 구매에 대한 결제 인증을 수행할 수 있다. 즉, 본 발명의 실시예들은 사용자가 본 발명의 실시예들이 제안하는 서비스에 최초 가입 후에는 결제 시마다 노출에 민감한 결제 정보를 입력할 필요 없이 간단히 본인의 음성을 이용해 간편하게 결제를 진행할 수 있는 효과가 있다. 특히, 본 발명의 실시예들에서는 결제를 위해 주고 받는 정보를 암호화 등의 원본 메시지 변조 기술을 통해 원본 메시지가 노출되는 빈도수를 줄임으로써 카드번호, CVC, 카드비밀번호 등의 민감한 결제정보의 유출 위험이 감소한다.The embodiments of the present invention described above can securely transmit a payment token generated through encrypted combination of gateways information, OTP, and purchase information, which are user's own biometric information, It is possible to perform the payment authentication for the purchase of the goods together with the authentication for the user himself / herself. In other words, the embodiments of the present invention enable the user to easily perform settlement using his / her voice simply without having to input payment-sensitive information at each time of payment after first joining the service proposed by the embodiments of the present invention have. In particular, in the embodiments of the present invention, the risk of leakage of sensitive payment information such as a card number, a CVC, and a card password is reduced by reducing the frequency with which an original message is exposed through an original message modulation technique such as encryption of information exchanged for settlement .

즉, 결제 인증 정보는 생성된 시점 이후로부터는 이를 구성하는 성문 정보, OTP 및 구매 정보를 각각 분리할 수 없으므로, 공격자가 자신이 원하는 구매를 몰래 수행하기 위해서는 성문 정보와 OTP를 추가적으로 입수해야만 하는 제약이 발생한다. 성문 정보, OTP 및 구매 정보 각각의 요소들을 모두 한 번에 입수해야 하는 상황은 공격자에게 상당한 부담이 되며, 공격자가 공격을 성공시키기 위해서 보다 큰 노력이 필요하게 되므로 공격의 발생을 줄일 수 있는 효과를 얻게 된다. 무엇보다도 제안하는 시스템에서는 적어도 암호화되지 않은 OTP를 직접 사용하지 않으므로 외부에 노출되지 않는다. 이로 인해 공격자는 OTP를 얻기 위해 구매자의 단말기를 물리적으로 입수해야 하는 제약까지 얻게 된다. 요약하건대, 본 발명의 실시예들이 제안하는 시스템에서 공격자가 부정 결제를 하기 위해서는, 구매자의 목소리, OTP 생성 단말기, 구매 정보를 모두 입수해야 한다.That is, since the settlement authentication information can not separate the gating information, the OTP, and the purchase information constituting the settlement authentication information from the point in time at which the payment authentication information is generated, the attacker needs to additionally obtain the gatekeeper information and the OTP Lt; / RTI > The situation in which the elements of the gate information, the OTP, and the purchase information are all acquired at once is a considerable burden on the attacker, and the attacker needs a greater effort to succeed in the attack. . Most of all, the proposed system does not use the unencrypted OTP directly, so it is not exposed to the outside. As a result, the attacker has to physically obtain the buyer's terminal to obtain the OTP. In summary, in the system proposed by the embodiments of the present invention, in order for an attacker to make a fraudulent settlement, the buyer's voice, OTP generating terminal, and purchase information must be obtained.

나아가, 본 발명의 실시예들은 휴대 단말기가 음성 정보로부터 성문 정보를 추출하는 과정에서 성문 정보를 휴대 단말기에 저장하지 않고, 휴대 단말기에서 생성하는 OTP 정보 역시 저장하지 않은채, 암호화된 결제 인증 정보를 생성함으로써 휴대 단말기가 보호해야 하는 민감한 개인정보의 범위를 감소시킬 수 있다. 동일하게 물품구매 서버에서 역시 구매자의 신용카드번호, 카드비밀번호 등의 정보를 직접 저장할 필요 없이 구매자의 성문 정보와 OTP로 생성된 결제 인증 정보를 구매자로부터 수신하고 결제 서버로 전송하게 되므로 구매자의 민감한 개인정보 보호의 의무로부터 보다 자유로워질 수 있다.In addition, in embodiments of the present invention, in the process of extracting the grammar information from the voice information, the portable terminal does not store the voiceprint information in the portable terminal but also stores the encrypted payment authentication information without storing the OTP information generated in the portable terminal The range of sensitive personal information that the portable terminal should protect is reduced. Similarly, the article purchasing server receives from the buyer the payment information and the payment authentication information generated by the OTP without the need to directly store the information such as the purchaser's credit card number, card password, etc., and transmits it to the payment server. It can be freed from the obligation of information security.

이상에서는 온라인에서 신용카드 결제를 함에 있어서 성문 정보, OTP 및 구매 정보를 결합한 결제 토큰을 이용함으로써 보다 강력한 본인인증과 안전한 결제를 제공하는 시스템을 제안하였다. 제안하는 시스템은 음성을 이용하므로 추가적인 장비의 필요 없이 현재 대다수가 사용하고 있는 스마트폰의 마이크 장치를 이용해 구현될 수 있으며, 결제과정에서 카드 정보를 포함한 결제 정보를 변형시키고 중간 기기들에 저장하지 않도록 규정함으로써 개인정보의 노출 지점을 최소화한다는 장점을 지닌다.In this paper, we propose a system that provides stronger identity authentication and secure payment by using payment tokens that combine gateways, OTPs, and purchase information for online credit card payments. Since the proposed system uses voice, it can be implemented by using a microphone device of a smart phone, which is currently used by a majority of users, without the need for additional equipment. In the payment process, payment information including card information is modified, The privacy of information is minimized.

한편, 본 발명의 실시예들은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.Meanwhile, the embodiments of the present invention can be embodied as computer readable codes on a computer readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored.

컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현하는 것을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의하여 용이하게 추론될 수 있다.Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical data storage device and the like, and also a carrier wave (for example, transmission via the Internet) . In addition, the computer-readable recording medium may be distributed over network-connected computer systems so that computer readable codes can be stored and executed in a distributed manner. In addition, functional programs, codes, and code segments for implementing the present invention can be easily deduced by programmers skilled in the art to which the present invention belongs.

이상에서 본 발명에 대하여 그 다양한 실시예들을 중심으로 살펴보았다. 본 발명에 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.The present invention has been described above with reference to various embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

10 : 단말기
11 : 음성 입력부 12 : 처리부
13 : 통신부 14 : 디스플레이부
20 : 물품구매 서버
21 : 처리부 22 : 통신부
23 : 물품구매 데이터베이스
30 : 결제 서버
31 : 처리부 32 : 통신부
33 : 성문 정보 데이터베이스
40 : 금융기관/신용카드사 서버
10: Terminal
11: voice input unit 12:
13: communication unit 14: display unit
20: goods purchase server
21: processing section 22: communication section
23: goods purchase database
30: Payment server
31: processing section 32: communication section
33: Gate information database
40: Financial institution / credit card company server

Claims (18)

적어도 하나의 처리기(processor)를 구비한 단말기가 온라인 결제를 처리하는 방법에 있어서,
단말기가 상기 단말기와 결제 서버를 연결하는 물품구매 서버로부터 구매 인증 요청을 수신하고, 인증 요청 내에 포함된 텍스트를 사용자에게 표시함으로써 사용자의 음성 입력을 유도하는 단계;
상기 단말기가 음성 입력 수단을 통해 사용자로부터 상기 텍스트에 대한 음성을 입력받고, 입력된 상기 음성으로부터 제 1 성문(voiceprint) 정보를 추출하는 단계;
상기 단말기가 결제 서버와의 동기화를 통해 제 1 OTP(one time password)를 생성하고, 상기 제 1 성문 정보, 상기 제 1 OTP 및 구매 정보를 암호화 결합하여 제 1 결제 인증 정보를 생성하는 단계; 및
상기 단말기가 생성된 상기 제 1 결제 인증 정보를 상기 물품구매 서버를 통해 상기 결제 서버에 전송하여 결제를 요청하는 단계;를 포함하되,
상기 제 1 결제 인증 정보는,
상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 소정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성함으로써, 상기 사용자의 성문 정보의 유출 및 구매 내역의 변조 또는 부정 사용을 방지하며,
상기 결제 서버가 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 제 1 결제 인증 정보와 동일한 암호화 결합 방식을 통해 생성한 제 2 결제 인증 정보를 상기 제 1 결제 인증 정보와 비교함으로써 상기 사용자를 인증하는 것을 특징으로 하는 온라인 결제의 처리 방법.
A method for processing an online settlement by a terminal having at least one processor,
Receiving a purchase authentication request from an article purchase server connecting the terminal and the payment server, and displaying a text included in the authentication request to the user, thereby inducing voice input of the user;
Receiving a voice for the text from a user through the voice input means and extracting first voiceprint information from the voice input;
Generating a first OTP (one time password) through synchronization with the payment server by the terminal, generating first payment authentication information by encrypting and combining the first statement information, the first OTP, and the purchase information; And
And transmitting the generated first payment authentication information to the payment server through the article purchasing server to request payment,
Wherein the first payment authentication information includes:
The first OTP and the purchase information are combined through a predetermined operation and then generated using an encryption technique to prevent tampering or fraudulent use of the outflow and purchasing history of the user's gating information,
The payment server transmits the same encryption combination method as the first payment authentication information using the second statement information for the user stored in advance in the payment server without separating the first statement information included in the first payment information And authenticates the user by comparing the second payment authentication information generated through the second payment authentication information with the first payment authentication information.
제 1 항에 있어서,
상기 단말기가 전송하는 결제 요청은,
상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 독출하고, 독출된 상기 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 물품구매 서버로부터 전달된 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한 후, 상기 단말기로부터 수신된 상기 제 1 결제 인증 정보와 비교하여 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별하는 것을 특징으로 하는 온라인 결제의 처리 방법.
The method according to claim 1,
The payment request transmitted from the terminal,
A second OTP generated through synchronization with the terminal, and purchasing information transmitted from the article purchasing server are encrypted by encrypting the second recorded message information stored in the payment server, And generates second payment authentication information, and compares the first payment authentication information with the first payment authentication information received from the terminal, and determines that the payment authentication is successful only when the two are identical.
제 2 항에 있어서,
상기 제 1 성문 정보는,
상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보와 일치하며,
상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증하는 것을 특징으로 하는 온라인 결제의 처리 방법.
3. The method of claim 2,
The first grammar information may include:
And a second gateways information for the user stored in advance in the payment server,
Wherein the user is authenticated through a payment authentication process using a comparison with the second payment authentication information by being included in the first payment authentication information.
삭제delete 제 1 항에 있어서,
상기 암호화 기술은 AES(Advanced Encryption Standard), 해시(hash) 함수 및 ANSI X9 표준에 따른 토큰화 기법 중 어느 하나인 것을 특징으로 하는 온라인 결제의 처리 방법.
The method according to claim 1,
Wherein the encryption technique is one of an AES (Advanced Encryption Standard), a hash function, and a tokenization technique according to the ANSI X9 standard.
제 1 항에 있어서,
상기 단말기는,
상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 각각 상기 단말기에 구비된 휘발성 메모리 상에 생성하고, 이를 암호화 결합하여 상기 제 1 결제 인증 정보를 생성한 후, 상기 제 1 성문 정보, 상기 제 1 OTP 및 상기 구매 정보를 상기 메모리로부터 삭제하는 것을 특징으로 하는 온라인 결제의 처리 방법.
The method according to claim 1,
The terminal comprises:
Generating the first payment information by generating the first payment information, the first payment information, the first OTP, and the purchase information on a volatile memory provided in the terminal, encrypting the first payment information, The first OTP and the purchase information are deleted from the memory.
적어도 하나의 처리기를 구비하고, 사용자의 단말기와 결제 서버를 연결하는 물품구매 서버가 온라인 결제를 처리하는 방법에 있어서,
물품구매 서버가 단말기로부터 입력된 물품구매 요청에 대응하여 사용자의 음성 입력을 유도하는 텍스트가 포함된 구매 인증 요청을 상기 단말기에 전송하는 단계;
상기 물품구매 서버가 상기 단말기로부터 제 1 결제 인증 정보를 수신하는 단계; 및
상기 물품구매 서버가 수신된 상기 제 1 결제 인증 정보에 구매 정보를 부가하여 결제 서버에 전송하여 결제를 요청하는 단계;를 포함하되,
상기 제 1 결제 인증 정보는,
상기 단말기를 통해 입력된 사용자의 음성으로부터 추출된 제 1 성문 정보, 상기 단말기가 상기 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 구매 정보를 소정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성함으로써, 상기 사용자의 성문 정보의 유출 및 구매 내역의 변조 또는 부정 사용을 방지하며,
상기 결제 서버가 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 제 1 결제 인증 정보와 동일한 암호화 결합 방식을 통해 생성한 제 2 결제 인증 정보를 상기 제 1 결제 인증 정보와 비교함으로써 상기 사용자를 인증하는 것을 특징으로 하는 온라인 결제의 처리 방법.
A method of processing an online payment by an article purchasing server having at least one processor and connecting a user terminal to a payment server,
Transmitting, to the terminal, a purchase authorization request including text for inducing voice input of a user in response to an article purchase request input from the terminal;
The article purchase server receiving first payment authentication information from the terminal; And
Adding the purchase information to the first payment authentication information received by the article purchasing server, and transmitting the payment information to the payment server to request payment;
Wherein the first payment authentication information includes:
The first message information extracted from the voice of the user input through the terminal, the first OTP and the purchase information generated by the terminal in synchronization with the payment server through a predetermined operation, and then generated using an encryption technique , Preventing tampering or fraudulent use of the outflow and purchasing history of the user's voucher information,
The payment server transmits the same encryption combination method as the first payment authentication information using the second statement information for the user stored in advance in the payment server without separating the first statement information included in the first payment information And authenticates the user by comparing the second payment authentication information generated through the second payment authentication information with the first payment authentication information.
제 7 항에 있어서,
상기 단말기로부터 상기 물품구매 서버를 통해 상기 결제 서버에 전달되는 결제 요청은,
상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 독출하고, 독출된 상기 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 결제 요청 내에 부가된 상기 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성한 후, 상기 단말기로부터 수신된 상기 제 1 결제 인증 정보와 비교하여 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별하는 것을 특징으로 하는 온라인 결제의 처리 방법.
8. The method of claim 7,
Wherein the payment request transmitted from the terminal to the payment server through the article purchasing server comprises:
Reading out the second grammar information for the user stored in advance in the payment server, encrypting the read second grammar information, the second OTP generated through synchronization with the terminal, and the purchase information added in the payment request, And generates second payment authentication information, and compares the first payment authentication information with the first payment authentication information received from the terminal, and determines that the payment authentication is successful only when the two are identical.
제 8 항에 있어서,
상기 제 1 성문 정보는,
상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보와 일치하며,
상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증하는 것을 특징으로 하는 온라인 결제의 처리 방법.
9. The method of claim 8,
The first grammar information may include:
And a second gateways information for the user stored in advance in the payment server,
Wherein the user is authenticated through a payment authentication process using a comparison with the second payment authentication information by being included in the first payment authentication information.
삭제delete 제 7 항에 있어서,
상기 물품구매 서버는,
상기 제 1 결제 인증 정보에 적어도 사용자 식별자 및 구매물품 식별자를 부가하여 생성된 결제 요청을 상기 결제 서버에 전송함으로써, 상기 결제 서버로 하여금 온라인 결제에 요구되는 사용자 인증을 유도하는 것을 특징으로 하는 온라인 결제의 처리 방법.
8. The method of claim 7,
The article purchase server comprises:
Wherein the settlement server transmits the settlement request generated by adding at least the user identifier and the purchased article identifier to the first settlement authentication information, thereby inducing the settlement server to authenticate the user required for the online settlement, Lt; / RTI >
적어도 하나의 처리기를 구비한 결제 서버가 온라인 결제를 처리하는 방법에 있어서,
결제 서버가 사용자의 단말기와 상기 결제 서버를 연결하는 물품구매 서버로부터 제 1 결제 인증 정보 및 이에 부가된 구매 정보를 포함하는 결제 요청을 수신하는 단계;
상기 결제 서버가 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보, 상기 단말기와의 동기화를 통해 생성한 제 2 OTP 및 상기 구매 정보를 암호화 결합하여 제 2 결제 인증 정보를 생성하는 단계;
상기 결제 서버가 수신된 결제 요청으로부터 추출된 제 1 결제 인증 정보와 생성된 상기 제 2 결제 인증 정보를 비교하는 단계; 및
상기 결제 서버가 비교 결과에 따라 양자가 일치하는 경우에만 결제 인증에 성공한 것으로 판별하는 단계;를 포함하되,
상기 제 1 결제 인증 정보는,
상기 단말기를 통해 입력된 사용자의 음성으로부터 추출된 제 1 성문 정보, 상기 단말기가 상기 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 구매 정보를 암호화 결합하여 생성함으로써, 상기 사용자의 성문 정보의 유출 및 구매 내역의 변조 또는 부정 사용을 방지하며,
상기 결제 서버가 상기 제 1 결제 인증 정보 내에 포함된 상기 제 1 성문 정보의 분리없이 상기 결제 서버에 미리 저장된 상기 사용자에 대한 제 2 성문 정보를 이용하여 상기 제 1 결제 인증 정보와 동일한 암호화 결합 방식을 통해 생성한 제 2 결제 인증 정보를 상기 제 1 결제 인증 정보와 비교함으로써 상기 사용자를 인증하는 것을 특징으로 하는 온라인 결제의 처리 방법.
A method of processing an online settlement by a payment server having at least one processor,
Receiving a payment request including a first payment authentication information and purchase information added thereto from an article purchasing server connecting the user terminal and the payment server;
Generating second payment authentication information by encrypting and combining the second gateways information about the user stored in advance in the payment server, the second OTP generated through the synchronization with the terminal, and the purchase information;
Comparing the first payment authentication information extracted from the received payment request with the generated second payment authentication information; And
And determining that the settlement authentication is successful only when the payment server matches the two based on the comparison result,
Wherein the first payment authentication information includes:
The terminal generates encrypted first OTP and purchase information through synchronization with the payment server by encrypting and combining the user's voiceprint information extracted from the voice of the user input through the terminal, And prevent tampering or fraudulent use of the purchase history,
The payment server transmits the same encryption combination method as the first payment authentication information using the second statement information for the user stored in advance in the payment server without separating the first statement information included in the first payment information And authenticates the user by comparing the second payment authentication information generated through the second payment authentication information with the first payment authentication information.
제 12 항에 있어서,
상기 제 1 결제 인증 정보는,
상기 물품구매 서버에서 상기 단말기로 전송된 구매 인증 요청 내에 포함된 텍스트에 대해 사용자로부터 입력된 음성으로부터 제 1 성문 정보를 추출하고, 상기 제 1 성문 정보, 상기 단말기가 결제 서버와의 동기화를 통해 생성한 제 1 OTP 및 상기 구매 정보를 암호화 결합하여 생성한 것을 특징으로 하는 온라인 결제의 처리 방법.
13. The method of claim 12,
Wherein the first payment authentication information includes:
The method of claim 1, further comprising: extracting first voucher information from a voice input from a user with respect to text included in a purchase authorization request transmitted from the article purchasing server to the terminal; generating the first voucher information by synchronizing with the payment server And the first OTP and the purchase information are encrypted and combined.
제 12 항에 있어서,
상기 제 2 성문 정보는 상기 사용자로부터 입력된 음성으로부터 추출된 상기 제 1 성문 정보와 일치하며,
상기 제 1 성문 정보는 상기 제 1 결제 인증 정보 내에 포함됨으로써 상기 제 2 결제 인증 정보와의 비교를 이용한 결제 인증 과정을 통해 상기 사용자를 인증하는 것을 특징으로 하는 온라인 결제의 처리 방법.
13. The method of claim 12,
Wherein the second grammar information matches the first grammar information extracted from the voice input from the user,
Wherein the first authentication information is included in the first payment authentication information to authenticate the user through a payment authentication process using comparison with the second payment authentication information.
제 12 항에 있어서,
상기 제 2 결제 인증 정보는,
상기 제 2 성문 정보, 상기 제 2 OTP 및 상기 구매 정보를 소정 연산을 통해 결합한 후, 암호화 기술을 이용해 생성하는 것을 특징으로 하는 온라인 결제의 처리 방법.
13. The method of claim 12,
Wherein the second payment authentication information includes:
The second OTP, and the purchase information are combined through a predetermined operation, and then generated using an encryption technique.
제 15 항에 있어서,
상기 암호화 기술은 AES(Advanced Encryption Standard), 해시(hash) 함수 및 ANSI X9 표준에 따른 토큰화 기법 중 어느 하나인 것을 특징으로 하는 온라인 결제의 처리 방법.
16. The method of claim 15,
Wherein the encryption technique is one of an AES (Advanced Encryption Standard), a hash function, and a tokenization technique according to the ANSI X9 standard.
제 12 항에 있어서,
상기 결제 인증에 성공한 것으로 판별된 경우,
상기 결제 서버가 금융기관에 상기 결제 요청에 따른 결제를 처리한 후, 결제 요청 결과를 상기 물품구매 서버를 통해 상기 단말기에 전송하는 단계;를 더 포함하는 온라인 결제의 처리 방법.
13. The method of claim 12,
If it is determined that the payment authentication has succeeded,
And transmitting the payment request result to the terminal through the article purchasing server after the payment server processes payment according to the payment request to the financial institution.
제 1 항 내지 제 3 항, 제 5 항 내지 제 9 항, 제 11 항 내지 제 17 항 중에 어느 한 항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium storing a program for causing a computer to execute the method of any one of claims 1 to 3, 5 to 9, and 11 to 17.
KR1020140112314A 2014-08-27 2014-08-27 Online payment method using integrated token based on voiceprint and OTP KR101541298B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140112314A KR101541298B1 (en) 2014-08-27 2014-08-27 Online payment method using integrated token based on voiceprint and OTP

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140112314A KR101541298B1 (en) 2014-08-27 2014-08-27 Online payment method using integrated token based on voiceprint and OTP

Publications (1)

Publication Number Publication Date
KR101541298B1 true KR101541298B1 (en) 2015-08-03

Family

ID=53873192

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140112314A KR101541298B1 (en) 2014-08-27 2014-08-27 Online payment method using integrated token based on voiceprint and OTP

Country Status (1)

Country Link
KR (1) KR101541298B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101697758B1 (en) * 2016-06-24 2017-01-18 주식회사 에스티씨 Iris Certification System and Method thereof
WO2020102188A1 (en) * 2018-11-13 2020-05-22 Mastercard International Incorporated Systems and methods for facilitating network voice authentication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101088029B1 (en) * 2009-11-19 2011-11-29 최운호 System for Authentication of Electronic Cash Using Smart Card and Communication Terminal

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101088029B1 (en) * 2009-11-19 2011-11-29 최운호 System for Authentication of Electronic Cash Using Smart Card and Communication Terminal

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101697758B1 (en) * 2016-06-24 2017-01-18 주식회사 에스티씨 Iris Certification System and Method thereof
WO2020102188A1 (en) * 2018-11-13 2020-05-22 Mastercard International Incorporated Systems and methods for facilitating network voice authentication
US11706213B2 (en) 2018-11-13 2023-07-18 Mastercard International Incorporated Systems and methods for facilitating network voice authentication

Similar Documents

Publication Publication Date Title
AU2017206119B2 (en) Systems and methods for device push provisioning
CN107251595B (en) Secure authentication of users and mobile devices
US10592899B2 (en) Master applet for secure remote payment processing
US11170379B2 (en) Peer forward authorization of digital requests
US11157905B2 (en) Secure on device cardholder authentication using biometric data
US9904919B2 (en) Verification of portable consumer devices
US20150066778A1 (en) Digital card-based payment system and method
EP3917079A1 (en) Authentication systems and methods using timestamp comparison
JP2018522353A (en) Authentication system and method for server-based payment
US11095450B2 (en) Blockchain based alias interaction processing
WO2019050527A1 (en) System and method for generating trust tokens
US20130282588A1 (en) Consumer, Merchant and Mobile Device Specific, Real-Time Dynamic Tokenization Activation within a Secure Mobile-Wallet Financial Transaction System
US20090222383A1 (en) Secure Financial Reader Architecture
EP2098985A2 (en) Secure financial reader architecture
EP3186739B1 (en) Secure on device cardholder authentication using biometric data
JP7536743B2 (en) System and method for cryptographic authentication of contactless cards - Patents.com
US20200410494A1 (en) Systems and Methods of Electronic Identity Verification
JP7516350B2 (en) System and method for cryptographic authentication of contactless cards - Patents.com
US20240291812A1 (en) Token processing system and method
Yu et al. Security issues of in-store mobile payment
US20140074726A1 (en) Electronic payment method, system, and device
KR101541298B1 (en) Online payment method using integrated token based on voiceprint and OTP
CN113169873A (en) System and method for password authentication of contactless cards
Olowolayemo et al. Examining Users’ Understanding of Security Failures in EMV Smart Card Payment Systems
KR101691169B1 (en) Method for distributing encrypt key, card reader, authentification server and system for distributing encrypt key thereof

Legal Events

Date Code Title Description
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180723

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191105

Year of fee payment: 5