KR101617569B1 - 허브 앤드 스포크 핀 검증 - Google Patents

허브 앤드 스포크 핀 검증 Download PDF

Info

Publication number
KR101617569B1
KR101617569B1 KR1020147024151A KR20147024151A KR101617569B1 KR 101617569 B1 KR101617569 B1 KR 101617569B1 KR 1020147024151 A KR1020147024151 A KR 1020147024151A KR 20147024151 A KR20147024151 A KR 20147024151A KR 101617569 B1 KR101617569 B1 KR 101617569B1
Authority
KR
South Korea
Prior art keywords
payment
buyer
credit card
pin
merchant
Prior art date
Application number
KR1020147024151A
Other languages
English (en)
Other versions
KR20140119792A (ko
Inventor
닐슨 마그누스
Original Assignee
아이제틀레 메르샨트 세르비세스 아베
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아이제틀레 메르샨트 세르비세스 아베 filed Critical 아이제틀레 메르샨트 세르비세스 아베
Publication of KR20140119792A publication Critical patent/KR20140119792A/ko
Application granted granted Critical
Publication of KR101617569B1 publication Critical patent/KR101617569B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/403Solvency checks
    • G06Q20/4037Remote solvency checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1058PIN is checked locally
    • G07F7/1066PIN data being compared to data on card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1075PIN is checked remotely
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1091Use of an encrypted form of the PIN

Abstract

일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하는 방법. 신용카드 지불은 카드 리더기 및 모바일폰을 포함하는 판매자(merchant)의 장치, 지불 서버 및 구매자의 모바일폰을 사용하여 수행된다. PIN 입력 요청(entry request)은 지불 서버를 통해 판매자(merchant)의 장치에서 구매자의 장치로 전송된다. 구매자의 장치에서 보안 어플리케이션이 실행되며, PIN 코드는 안전하게 입력될 것이다. 입력된 PIN 코드는 지불 서버를 통해 상기 판매자(merchant)의 장치 내 신용카드 또는 은행 서버에 대하여 검증된다. 이에 따라, 보안 신용카드 지불은 일반적인 비보안 모바일 장치를 사용하여 수행될 수 있다.

Description

허브 앤드 스포크 핀 검증{HUB AND SPOKES PIN VERIFICATION}
본 발명은 일반적으로 보안 전자지불카드 거래 분야에 관한 것이며, 보다 구체적으로는 모바일폰과 같은 모바일 통신 장치를 사용하는 보안 결제 및 신용카드 지불을 위한 방법 및 시스템에 관한 것이다.
매일 전세계적으로 엄청난 수의 결제 및 신용카드 지불이 이루어지고 있으며, 지불의 수는 계속해서 증가하고 있다.
EMV는 시장에서 결제 및 신용카드에 대한 선두적인 지불 시스템 사양이며, Europay International, Mastercard International 및 Visa International에 의해 공동으로 개발되어 약어 EMV로 일컬어진다. 표준 EMV 인증 카드를 사용하는 것이 가능한 결제 및 신용카드 지불 시스템을 개발하는 것이 가능하기 위해서 상기 지불 시스템은 EMV 사양을 충족시키는 것이 필수적이다.
대다수의 결제 및 신용카드 지불은 여전히 상점에서 부피가 크고 고정된 EMV 인증 판매 시점 관리(point-of-sale; POS) 터미널을 사용하여 이루어진다. 다만, 지난 몇 년 동안 대중과 기업 모두에게 있어서 모바일폰과 같은 휴대용 핸드-헬드 장치에서 지불이 이루어질 수 있도록 하는 관심은 빠르게 증가해왔다. 다만, 모바일폰은 보안 장치로서 고려되지 않으며, EMV 지불을 수행하기 위한 요구를 충족시키지 않는다. 주요 보안 이슈는 예를 들어 악성 소프트웨어를 사용하여 제3자에 의해 가로채질 수 있는 개인 식별 번호(PIN)를 모바일폰으로 입력하는 것이다. 따라서, 일반적인 모바일폰을 사용하여 EMV 인증 보안 결제 및 신용카드 지불이 이루어질 수 있도록 하는 방법을 찾는 것이 강하게 요구되고 있다.
상기 설명을 고려하여, 본 발명의 일 측면은 상기에서 확인된 종래 기술의 하나 이상의 결함 및 단점의 하나 또는 이의 임의의 조합을 완화, 경감 또는 제거하고자 하는 EMV 인증 보안 결제 및 신용카드 지불을 하기 위한 방법을 제공하는 것이다.
본 발명의 제1 측면은 판매자(merchant)의 장치 내에서 지불 어플리케이션을 실행함으로써 전자신용카드 지불 거래를 시작하는 단계, 상기 판매자(merchant)의 장치에 판매 정보를 입력하는 단계, 상기 판매자(merchant)의 장치의 카드 리더기에 신용카드를 입력하는 단계, 상기 판매자(merchant)의 장치에 구매자의 식별 정보를 입력하고, PIN 입력 요청(entry request)을 생성하는 단계, 상기 판매자(merchant)의 장치에서 지불 서버로 암호화된 구매 메시지를 전송하는 단계, 여기서 상기 암호화된 구매 메시지는 판매 정보, 구매자 식별 정보, PIN 입력 요청(entry request) 및 상기 카드 리더기 내 상기 신용카드로부터 판독되어진 암호화된 신용카드 정보 중 적어도 하나를 포함하며, 상기 지불 서버 내로 상기 암호화된 구매 메시지를 수신하고, 해독하는 단계, 상기 해독되어진 암호화된 구매 메시지 내 상기 구매자의 식별 정보를 사용하여 구매자의 연락처를 결정하는 단계, 상기 구매자의 연락처에 근거하여 구매자의 모바일 장치로 PIN 코드 요청(code request)을 전송하는 단계, 상기 구매자의 모바일 장치 내에서 상기 PIN 코드 요청(code request)을 수신하고, 상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계, 상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계, 암호화된 상기 PIN 코드를 포함하는 PIN 코드 블록(code block)을 상기 지불 서버로 전송하는 단계, 상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계, 상기 PIN 코드의 검증을 오프라인 또는 온라인으로 수행할지 여부를 결정하는 단계, 여기서 상기 오프라인 검증은,
i. 상기 지불 서버에서 상기 판매자(merchant)의 장치로 상기 PIN 코드 블록(code block)을 전송하는 단계,
ii. 상기 PIN 코드 블록(code block)을 해독하고, 상기 신용카드 내 PIN 정보에 대하여 상기 PIN 코드 블록(code block)을 검증하는 단계,
iii. 판매자(merchant)의 장치에서 상기 지불 서버로 판매 정보를 전송하는 단계,
iv. 상기 지불 서버에서 은행 서버로 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계,
v. 상기 은행 서버 내에서 상기 신용카드 정보 및 판매 정보를 검증하는 단계를 포함하며,
여기서 상기 온라인 검증은,
i. 상기 지불 서버에서 상기 은행 서버로 상기 PIN 코드 블록(code block), 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계,
ii. 상기 은행 서버 내에서 상기 PIN 코드, 상기 신용카드 정보 및 상기 판매 정보를 검증하는 단계를 포함하며,
상기 검증에 근거하여 상기 은행 서버 내에서 검증 메시지를 생성하는 단계, 상기 지불 서버로 상기 검증 메시지를 전송하는 단계, 수신된 검증 메시지에 근거하여 상기 지불 서버 내에서 수신 메시지를 생성하는 단계, 상기 지불 서버를 통해 상기 수신 메시지를 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치로 전송하는 단계 및 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치 내에서 상기 수신 메시지를 디스플레이하고, 상기 전자 결제 또는 신용카드 지불을 완료하는 단계를 포함하는, 카드 리더기와 모바일폰을 포함하는 판매자(merchant)의 장치, 구매자의 모바일 장치 및 지불 서버를 사용하여 지불 사업자(acquirer)에게 전자신용카드 지불을 수행하는 방법에 관한 것이다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계는 구매자의 보안 정보를 입력하는 단계 및 상기 구매자의 보안 정보를 해독하고 이를 상기 PIN 코드 블록(code block) 내에 포함시키는 단계를 더 포함할 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계는 상기 지불 서버에서 상기 구매자의 보안 정보를 해독하는 단계 및 상기 구매자 식별 정보에 대하여 상기 구매자의 보안 정보를 검증하는 단계를 더 포함할 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 구매자 식별 정보는 구매자의 모바일폰 번호, 이메일 주소, 우편 주소, 사회 보장 번호, 서명, 일회용 코드, 기등록된 식별 번호, 사진 및 생체 정보 중 어느 하나일 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계는 각 PIN 입력 행사에 대하여 고유하게 암호화되는 암호화된 웹 인터페이스 또는 PIN 입력 웹 컴포넌트를 해독하고 PIN 코드의 보안 입력을 보장하는 것이 가능한 전용 웹 브라우져를 실행하는 것을 수반할 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 판매자(merchant)의 장치와 상기 지불 서버 사이, 상기 지불 서버와 상기 구매자의 모바일 장치 사이 및 상기 지불 서버와 상기 은행 서버 사이에서의 상기 전송은 표준 보안 소켓 계층 통신(standard secure socket layer communication)을 사용하여 암호화될 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 수신 메시지는 상기 지불 서버 상에 저장되며, 웹 브라우져, 판매자(merchant)의 장치 또는 구매자의 모바일 장치를 사용하는 구매자 및/또는 판매자에 의해 접근 가능할 수 있다.
본 발명의 제2 측면은 카드 리더기 및 모바일폰을 포함하는 판매자(merchant)의 장치, 지불 서버, 구매자의 모바일폰 및 은행 서버를 포함하며, 상기 판매자(merchant)의 장치, 지불 서버, 구매자의 장치 및 은행 서버는 상기 제1 측면에 제시된 단계를 수행하기 위한 송수신 수단 및 처리 수단을 구비하는 전자신용카드 지불을 수행하기 위한 시스템에 관한 것이다.
본 발명의 추가적인 목적, 특징 및 이점은 하기의 본 발명의 몇몇의 실시예의 상세한 설명으로부터 나타날 것이며, 여기서 본 발명의 몇몇 실시예는 첨부된 도면을 참조하여 보다 더 상세히 설명될 것이다:
도 1은 본 발명의 일 실시예에 따른 PIN 인증된 EMV 지불을 수행하기 위한 모바일폰을 나타낸다;
도 2는 본 발명의 일 실시예에 따른 일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하기 위한 시스템은 블록 다이어그램을 나타낸다;
도 3a는 본 발명의 일 실시예에 따른 일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하기 위한 방법의 단계를 묘사하는 흐름도를 나타낸다;
도 3b는 본 발명의 일 실시예에 따른 도 3a의 흐름도에 계속된 흐름도를 나타낸다;
도 3c는 본 발명의 일 실시예에 따른 도 3a의 흐름도에 계속된 흐름도를 나타낸다.
본 발명의 실시예들은 본 발명의 실시예를 나타내는 첨부된 도면을 참조로 하여 본원에 보다 상세히 설명될 것이다. 다만, 본 발명은 다양한 서로 다른 형태로 실시될 수 있으며, 본원에 언급된 실시예로 한정되는 것으로 해석되어서는 안된다. 오히려, 이러한 실시예들은 본 개시가 상세하고 완전히 되고 통상의 기술자에게 본 발명의 범위를 완전히 전달하도록 제공된다. 전반에 걸쳐 동일한 참조 부호는 동일한 구성을 지칭한다.
본 발명의 실시예들은 모바일폰과 같은 모바일 통신 장치를 사용하여 예시될 수 있다. 다만, 본 발명은 유선 및/또는 무선 라디오 통신 기능을 가지는 전자 장치에도 동일하게 적용될 수 있는 것으로 이해되어야 한다. 상기 장치의 예는 예를 들어 모바일폰, (표준, 울트라 포터블, 넷북 및 마이크로 랩탑과 같은) 랩탑, 핸드헬드 컴퓨터, 포터블 디지털 보조장치, 태블릿 컴퓨터, 게임 장치, 모바일폰의 액세서리 등의 임의의 형태일 수 있다. 다만, 명확성 및 단순성을 위해, 본 명세서에 설명된 실시예들은 모바일폰을 예로 들고 있으며, 이에 관한 것이다.
본 발명은 일반적인 모바일폰을 사용하는 EMV 인증 결제 및 신용카드 지불에 관한 것이다. 본원에서 용어 신용카드는 결제 또는 신용카드로서 사용 및/또는 기능할 수 있는 신용카드, 결제 카드, 다른 형태의 전자카드 모두를 의미한다. 또한 용어 신용카드는 결제 또는 신용카드로서 작용하는 하나의 소프트웨어 또는 결제 또는 신용카드로서 작용하는 컴퓨터 기반 서비스를 포함할 수 있다. 도 1은 디스플레이(102) 내에 물리적 버튼 또는 가상 버튼이 디스플레이될 수 있는 형태일 수 있는 일반적인 모바일폰(100) 및 입력 수단(101)을 나타낸다. 상기 모바일폰은 보안 어플리케이션을 구동하기 위한 처리 수단(미도시) 및 다른 모바일 통신 장치 및/또는 인터넷과 유선 또는 무선으로 연결하기 위한 통신 수단(미도시)를 더 구비할 수 있다.
iZettle 회사에 의한 출원번호 PCT/EP2010/066186의 국제특허출원 내에 개시된 방식으로 신용카드 지불은 모바일폰에 부착 가능한 특화된 카드 리더기를 사용하여 보안되고 EMV 인증될 수 있다는 것은 이미 공개되어 있다. 다만, 지불 카드 리더기 장치에 결합되지 않은 모바일폰으로부터 PIN 인증된 EMV 지불을 수행하는 것은 PIN 입력 장치, 이 경우 모바일폰, 가 보안되지 않은 것으로 여겨져왔기 때문에 불가능하였다. 주요 보안 이슈는 모바일폰의 키보드를 사용하여 PIN 코드(또는 서명 또는 생체 정보와 같은 다른 민감한 식별 정보)를 입력하는 단계이다. 악성 소프트웨어 프로그램은 모바일폰 및 모바일폰의 키보드로 입력된 PIN 코드와 같이 비밀리에 입력된 민감한 식별 정보 기록에 영향을 줄 수 있으며, 그 후 범죄자인 제3자에게 전달될 수 있다는 것은 잘 알려진 사실이다.
일반적으로, 지불 카드 리더기와 모바일폰을 이용한 EMV 지불은 속도를 올리기 위해 PIN 코드 참조로서 (지불 카드 리더기에 삽입되는) EMV 카드 칩을 이용하여 오프라인으로 인증된다. PIN 참조로서 은행을 이용한 EMV 지불 온라인을 인증하는 것도 가능하며, 여기서 PIN 코드는 암호화된 데이터 블록으로서 은행 서버에 직접적으로 전달된다. 또한 지불은 사용자의 작성된 서명에 의해 수행 및 검증될 수 있다.
다만, 보안 요구 사항(PIN 코드에 접근하기 위해 장치를 변조하는 시도에 대한 보호) 은 모든 현대적 모바일폰이 PIN 코드 입력에 대한 보안 PIN 입력 장치로서 작동을 불능케 한다. 따라서, 아직까지 카드 리더기 장치 및 PIN 입력 장치 모두 보안 장치이지 않는 한 보안 PIN 인증된 EMV 지불을 하는 것이 불가능하였다. 다만, 하기에 개시된 본 발명은 출원번호 PCT/EP2010/066186의 국제특허출원 내에 개시된 잘 알려진 지불 방법과 결합하여 일반적인 모바일폰에서 보안 PIN 인증된 EMV 지불을 수행하는 것이 가능하도록 하는 방법 및 시스템을 제시한다.
도 2는 보안 PIN 인증된 EMV 결제 또는 신용카드 지불을 수행하기 위해 사용될 수 있는 모바일폰(모바일 장치(203))인 본 발명의 일 실시예에 따른 보안 지불 시스템(200)을 제시한다. 본 발명 및 이의 실시예를 보다 더 잘 이해하기 위해, 신규한 보안 지불 시스템(200) 내에서 신용카드 지불이 달성될 수 있는 방법의 예는 하기에 제시된다.
구매자가 상품을 구매하거나 서비스에 대한 지불을 하기로 결심한 때, 구매자는 상품 또는 서비스의 지불을 완료하기 위해 판매자와 연락한다. 따라서 이 경우 지불 사업자(acquirer)는 상품 또는 서비스로 지불받기를 원하는 판매자 또는 판매자의 비즈니스이다. 판매자로부터 구매자에게 넘겨지기 전이나 판매자가 장치(203) 내로 카드 리더기(202) (이에 따라 판매자(merchant)의 장치(202, 203)를 형성)를 입력할 때, 모바일폰(203) (판매자(merchant)의 장치(202, 203)) 내에서 지불 어플리케이션이 실행되고, 이에 따라 전자신용카드 지불 거래(300)가 시작된다(301).
판매자(merchant) 또는 구매자는 상기 판매자(merchant)의 장치에 예를 들어 상품 및 구매 금액(가격)에 대한 정보가 될 수 있는 판매 정보를 입력한다(301). 또한 상기 판매 정보는 대개 영수증, 상점 또는 판매자의 지리적 위치를 나타내는 GPS 정보, 지불 서버(205)에서의 판매자의 계좌, 은행(207)에서의 판매자의 계좌 또는 판매자 및/또는 판매 위치를 식별하기 위해 사용될 수 있는 임의의 다른 정보에 기초한 정보와 같은 상품 또는 서비스를 판매하는 비즈니스에 대한 정보를 포함할 수 있다. 또한 판매 정보는 모바일폰(203)에 통합된 바코드 리더, 적외선 리더 또는 근거리무선통신(NFC) 리더를 사용하여 상품(예를 들어 상품 태그) 또는 상품 및 이의 가격이 기재된 카타로그로부터 직접적으로 판독될 수 있다. 다른 변형에 있어서, 판매 정보의 일부 또는 전부는 판매자(merchant)의 장치(202, 203)에 결합된 하나 또는 여러 개의 서버로부터 다운로드되거나 자가생성될 수 있다.
구매자는 자신의 EMV 신용카드(201)를 지불 카드 리더기(판매자(merchant)의 장치(202, 203) 내로 삽입하고(303), 이에 따라 보안 신용카드 지불 거래가 시작된다(300). 판매자는 자신의 모바일폰(203)과 여기에 부착된 지불 카드 리더기(202) (본원에 판매자의 장치(202, 203)으로서 언급됨)를 구매자에게 건네준다. 만약 구매자가 이전에 자신의 폰 번호 또는 이메일 주소를 입력하지 않았다면, 구매자는 예를 들어 자신의 모바일폰 번호 또는 이메일 주소와 같은 연락처가 될 수 있는 구매자 식별 정보를 지불 어플리케이션 내로 입력하라는 요청을 받는다(304). 폰 번호 및/또는 이메일 주소는 지불 서버(205) 내에 저장되며, EMV 결제 또는 신용카드(201)와 연동된다. 다른 예에 있어서, 만약 폰 번호 또는 이메일 주소가 이전에 입력되었다면(즉, 이전에 상점에서 지불한 적이 있다면), 사용자는 다른 EMV 지불 카드를 사용하지 않는 한 동일한 정보를 또 다시 입력하지 않아도 될 수 있다. 지불 카드 리더기(202)는 암호화된 EMV 카드 정보(201)를 판독한다.
만약 EMV 지불 카드(201)가 오프라인 PIN 검증을 지원할 경우(315, 316), 지불을 완료하기 위한 방법은 오프라인 PIN 검증일 것이다. EMV 지불 카드(201)가 오프라인 PIN 검증을 지원하지 않을 경우, 지불을 완료하기 위한 방법은 은행(207)에 대한 온라인 PIN 검증일 것이다. 어떠한 이유에서건 오프라인 또는 온라인 PIN 검증 모두 불가능할 경우, 검증 방법은 서명 입력일 수 있다.
구매자는 판매자(merchang)의 장치(202) 내에서 구동되는 지불 어플리케이션에 의해 구매자의 모바일폰 번호, 이메일 주소, 우편 주소, 사회 보장 번호, 일회용 코드, 서명, 기등록된 식별 번호, (모바일폰(203)에 의해 촬영된) 사진 및 (모바일폰(203) 또는 모바일폰(203)에 결합된 어떤 어댑터에 의해 판독 또는 스캔된) 생체 정보 또는 불확실한 구매자를 식별하는 것이 가능한 임의의 다른 정보 중 어느 하나인 구매자 식별 정보를 입력하도록 요청받는다.
제1 실시예에 있어서, 구매자는 이를 가지고 지불하게 되는 EMV 카드(201)와 연동된 자신의 PIN 코드를 사용하여 지불을 검증할 것이며, 이에 따라 지불 어플리케이션 내에서 구매자는 구매자의 모바일 장치(208) 내로 PIN 입력 웹 페이지 링크를 수신할 것이다. 본 단계는 온라인 및 오프라인 PIN 검증이 적용되는 경우에 모두 동일하다. 구매자는 EMV 카드(201)와 연동된 자신의 PIN 코드를 사용하여 지불을 검증할 것이기 때문에 PIN 입력 요청(entry request)은 지불 어플리케이션에 의해 생성된다.
구매자가 구매자 식별 정보 입력 작업을 완료하면, 암호화된 구매 메시지는 인터넷(204)을 통해 무선(또는 유선)으로 판매자(merchant)의 장치(202, 203)로부터 지불 서버(205)로 전송된다(305). 암호화된 구매 메시지는 구매자의 EMV 카드(201)로부터 카드 리더기(202)에 의해 판독되는 하기의 암호화된 정보의 일부 또는 전부를 포함할 것이다:
● 구매자 식별 정보,
● PIN 입력 요청(entry request),
● 판매 정보 및
● 암호화된 신용카드 정보
다른 예에 있어서 단지 구매자 식별 정보 및 신용카드 정보만 암호화되며, PIN 입력 요청(entry request) 및 판매 정보는 일반 텍스트로서 지불 서버(205)로 전송된다. 인터넷(204)을 통한 전송은 표준 보안 소켓 계층 기술(standard Secure Socket Layer technique)을 사용하여 암호화되거나 그렇지 않을 수 있다.
지불 서버(205)는 판매자(merchant)의 장치(202, 203)로부터 들어오는 암호화된 구매 메시지을 수신하고, 구매 메시지의 내용을 해독하고, 암호화된 신용카드 정보 및 판매 정보를 일시적으로 저장한다(306).
본 발명의 실시예의 다른 예에 있어서, 지불 서버(205)는 지불 서버(205) 또는 은행 서버(207) 상의 판매자의 계좌와 관련된 정보가 적법하며, 어떠한 이유에서건 블랙 리스트에 해당하지 않는지를 검증할 수 있다. 검증은 은행 서버(207)와 직접적으로 행해지거나 은행 서버의 등록(207)에 대하여 정기적으로 업데이트될 수 있는 지불 서버(205) 내의 등록에 대하여 확인될 수 있다.
구매자 식별 정보 (및/또는 신용카드 정보)는 지불 서버(205) 내 등록된 구매자의 연락처를 결정하기 위해 사용된다(307). 구매자의 연락처는 예를 들어 구매자와 연락하기 위해 사용될 수 있는 이메일 주소, 모바일폰 번호, (페이스북 또는 Linkedln id와 같은) 사회 네트워크 식별 또는 임의의 다른 정보일 수 있다. 상기 예에 있어서, 수신된 기등록 구매자 식별 정보는 구매자의 모바일폰에 대한 모바일폰 번호이다. 다른 예에 있어서, 구매자의 연락처는 상기 구매자 식별 정보 내에서 제공되며, 상기 지불 서버 내에 저장되지 않는다.
그리고 나서 지불 서버(205)는 구매자의 연락처(예를 들어 모바일폰 번호)를 사용하여 구매자의 모바일 장치(208)로 PIN 코드 요청(code request) 을 전송할 수 있다(308). 구매자의 모바일 장치(208)에 대한 PIN 코드 요청(code request)의 전송은 인터넷(204)을 통해 행해질 수 있다. 인터넷 연결은 모바일폰 네트워크, Wi-Fi 또는 유선 인터넷 연결을 통할 수 있다. 인터넷(204)을 통한 전송은 표준 보안 소켓 계층 기술(standard Secure Socket Layer technique)을 사용하여 암호화되거나 그렇지 않을 수 있다.
다른 예에 있어서, 지불 서버(205)는 예를 들어 판매자(merchant)의 장치 및 구매자의 모바일폰(208)의 지리적 위치를 비교함으로써 PIN 입력 요청(entry request)이 적법한지를 검증할 수도 있다. 이러한 접근은 판매자(merchant)의 장치(202, 203)와 모바일 장치(208) 모두가 비교를 위해 이들의 위치를 지불 서버(205)로 전송하는 것을 요구한다. 예를 들어, 구매자는 모바일 장치(208)의 좌표를 지불 서버(205)로 전송함으로써 지불을 시작할 수 있으며, 판매자의 좌표는 지불 서버(205) 내에 기등록되었거나(상점이 보통 위치를 변경하지 않는다면) 또는 인터넷(204)을 통해 무선(또는 유선)으로 판매자(merchant)의 장치(202, 203)로부터 지불 서버(205)로 전송된 암호화된 구매 메시지 내에 포함될 수 있다.
다른 예에 있어서, PIN 코드 요청(code request)은 PIN 코드는 구매자가 보안 EMV 카드 지불 거래를 시작한 경우에 한하여 입력되어야만 한다는 구매자에 대한 (서면 검증 정보와 같은) 정보를 포함할 수 있다.
PIN 코드 요청(code request)이 구매자의 모바일 장치(208, 3409) 내로 수신되면, 보안 PIN 입력 어플리케이션이 실행된다. 구매자의 모바일 장치(208) 내에서 구동되는 보안 PIN 입력 어플리케이션은 각 PIN 입력 행사에 대하여 고유하게 암호화되는 암호화된 웹 인터페이스로서 구현될 수 있다. 웹 인터페이스는 모바일 장치(208)와 지불 서버(205) 사이에 보안 및 암호화된 통신 채널을 형성하며, 이외에 모바일폰의 웹 브라우져의 소프트웨어에 의한 템퍼링(tempering)의 위험을 최소화할 수 있는 보안 어플리케이션 내에서 구현될 수 있다. 이 경우, 보안 PIN 입력 어플리케이션은 PIN 입력 웹 컴포넌트를 해독하고, PIN 코드의 보안 입력을 보장하도록 만들어진 전용 웹 브라우져일 수 있다(310).
다른 예에 있어서, 구매자의 모바일 장치(208) 내의 (이하 보안 PIN 입력 어플리케이션으로도 언급되는) 보안 PIN 입력 웹 페이지는 지불 서버(205)와 보안 및 암호화된 연결을 구축하고, EMV 지불 카드(202)의 공개 키(공개 키)를 사용하여 PIN 코드를 비대칭적으로 암호화할 것이다.
선택적으로, 보안 PIN 입력 어플리케이션은 모바일 장치 운영체제 상에서 작동하는 구매자의 다른 비보안 모바일 장치(208) 내에서 실행된 컴파일 어플리케이션(compiled application)일 수 있다. 모바일폰 운영체제는 iOS, 안드로이드, 윈도우폰, 리눅스 또는 다른 모바일폰 OS 중 어느 하나일 수 있다. 구매자의 모바일 장치(208) 내의 보안 PIN 입력 어플리케이션은 지불 서버(205)와 보안 및 암호화된 연결을 구축한다.
구매자의 모바일 장치(208) 내에서 실행된 보안 PIN 입력 어플리케이션은 예를 들어 웹 기반 샌드박스(sandbox) 기술을 사용함으로써 모바일폰 내 보안 환경을 생성한다. 상기 방법에 있어서, 구매자는 자신의 PIN 코드를 이를 가로채는 제3자의 악성 프로그램의 위험없이 안전하게 입력할 수 있다(311). PIN 입력 어플리케이션 내 숫자 및/또는 문자의 실제 표현은 지불 서버에 의해 임시로 EMV 지불 카드(201)의 공개 키와 같은 보안 키를 사용하여 유일하게 생성될 수 있으며, 즉, 모바일 장치(208) 내 PIN 입력 어플리케이션과 지불 서버(205) 사이의 통신이 가로채진 후 해독되더라도, 숫자 및/또는 문자가 지불 서버(205) 내 보안 키와 결합된 경우에만 의미가 있도록 재사용되지 않을 것이다.
또한 구매자는 구매자의 모바일 장치(208)의 현재 지리적 위치, 거래 ID, 모바일 장치의 IMEI 번호, MSISDN 번호, 사회 보장 번호, 서명, 생체 정보 및/또는 사용자에게 유일할 수 있는 다른 보안 정보와 같은 특정 보안 정보와 관련되거나 제공할 수도 있다. 만약 판매자(merchant)의 장치(202, 203)의 지리적 위치가 지불 서버(205) 내에 저장되거나 알려진 경우(이것이 달성될 수 있는 방법에 대한 설명은 상기 참조), 판매자(merchant)의 장치 및 구매자의 모바일폰의 위치는 지불이 동일한 위치 또는 기승인된 위치에서 완료되는 것이 보장되도록 비교될 수 있다.
구매자의 모바일 장치(208) 내에서 실행된 보안 PIN 입력 어플리케이션에 구매자에 의해 입력된 PIN 코드는 PIN 코드 블록(code block)으로 암호화된다. 만약 PIN 코드보다 더 많은 정보가 지불 서버(205)로 전송된다면(312), 구매자의 보안 정보는 입력 순간 개별적으로 암호화되며, 동일한 패키지 내에서 지불 서버(205)로 전송되지 않는다. 암호화된 PIN 코드 블록(code block)은 인터넷(204)을 통해 구매자의 모바일 장치(208)로부터 지불 서버(312)로 전송된다. 모바일 장치(208) 내에서 사용되는 암호화는 신용카드 세부사항의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족시킬 수 있다. 암호화는 인터넷(204)을 통한 전송에 대한 보안 소켓 계층 기술(Secure Socket Layer technique)을 사용함으로써 더욱 향상될 수 있다.
지불 서버(205)는 암호화된 PIN 코드 블록(code block) 및 가능한 경우, 모바일 장치(208)로부터 구매자의 보안 정보를 수신한다(313). 지불 서버(205)는 존재할 경우 구매자의 보안 정보를 해독하고 저장한다. 다른 예에 있어서 지불 서버(205)는 구매자의 보안 정보를 기저장된 구매자의 보안 정보 또는 구매자의 식별 정보에 대하여 구매자가 적법한지 아닌지 여부를 결정한다.
PIN 코드의 검증은 은행과 온라인 또는 판매자의 신용카드 리더기 내 신용카드에 저장된 정보에 대한 오프라인으로 행해질 수 있다(314). 온라인 또는 오프라인 검증으로 수행할지 여부는 여러 가지 방법으로 결정될 수 있다(314). 지불을 시작할 때 판매자(merchant)의 장치(202, 203) 내에서 결정(예를 들어 메뉴로부터 선택되거나 지불 서버로부터 연결 정보에 근거하여 선택)되거나 (은행 서버(207)에 대한 현재 연결에 따르거나 지불 서버(205) 내 설정에 따라) 지불 서버(205) 내에서 자동적으로 결정될 수 있는 것이 하나의 방법이다.
PIN 검증이 오프라인 검증을 수행하기로 결정된 경우(315), 지불 서버(205)는 검증을 위해 EMV 지불 카드(201) 상의 보안 칩을 사용하여 판매자 카드 리더기(202)로 암호화된 PIN 코드 블록(code block)을 전송할 것이다. PIN 코드 블록(code block)은 상기 카드 리더기 내에서 해독되며, 상기 삽입된 신용카드 내 PIN 정보에 대하여 검증된다. 전송에 사용되는 암호화 방법은 신용카드 세부 사항의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족시킨다.
PIN 코드가 신용카드 내에서 검증된 경우, 구매 금액은 여전히 은행 서버(207)에서 은행 계좌에 대하여 검증될 필요가 있다. 구매량의 검증은 판매자(merchant)의 장치(202, 203)에서 지불 서버(205)로 판매 정보와 함께 구매 금액을 전송함으로써 수행되며, 여기서 금액의 승인은 암호화된 포맷으로 신용카드 정보와 판매 정보를 보안 소켓 계층 통신(secure socket layer communication)과 결제 또는 신용카드 정보의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족하는 암호화 방법을 통해 은행 서버(207)로 전송함으로써 수행된다. 은행 서버(207)는 구매 금액이 청구될지 여부를 검증하며, 다시 지불 서버(205)로 보안 소켓 계층 통신(secure socket layer communication)을 통해 구매 검증 메시지(317)를 전송한다(318).
PIN 검증이 온라인 검증을 수행하기로 결정된 경우(316), 지불 서버(205)는 온라인 검증을 위해 은행 서버(207)로 기수신되고 저장된 암호화된 PIN 코드 블록(code block), 판매 정보 및 신용카드 정보를 전송할 것이다. 전송은 보안 소켓 계층(secure socket layer)을 통해 신용카드 세부 사항의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족시키는 방법으로 암호화된다. 은행 서버(207)는 암호화된 신용카드 정보, (구매 금액과 함께) 판매 정보 및 암호화된 PIN 코드 블록(code block)을 수신하고, 이를 해독하고 PIN 코드를 검증한다. 은행 서버(207)는 PIN 코드가 승인되었다는 검증 확인과 함께 검증 메시지(317)를 지불 서버(205)로 전송(318)함으로써 온라인 검증을 완료한다. 은행 서버(207)와의 통신은 은행과 상호 작용하는 EMV 표준 수단에 따라 일어난다. 판매 정보는 구매자의 은행 계좌와 구매 금액을 검증하기 위한 통신의 일 부분과 통신의 다른 부분으로서 암호화된 PIN 블록 및 신용카드 정보를 은행으로 전송된다. 은행은 통신의 일 부분으로서 판매 정보(금액)이 청구되며, 다른 부분으로서 PIN 블록 및 신용카드 정보가 정확함을 승인한다.
지불 서버(205)가 PIN 코드 및 금액에 대하여 검증을 수신하면, 지불 서버(205)는 거래의 증명으로서 수신 메시지를 생성할 것이다(319). 그리고 나서 구매자 및 판매자는 수신 메시지를 받을 것이며, 상기 지불 서버를 통해 상기 구매자의 모바일 장치 및 상기 판매자의 장치로 전송(320)된 상기 수신 메시지는 전용 어플리케이션, SMS, MMS, 이메일, 인스턴트 메시지 또는 모바일폰(203, 208)으로부터 접근 가능한 임의의 다른 통신 방법 중 하나 또는 여러 가지에 의해 거래가 승인됨을 안내한다. 판매자(merchant)의 장치(202, 203) 및 구매자의 모바일 장치(208)에 의해 수신될 때, 지불 서버(205)로부터 전송된 수신 메시지는 장치의 디스플레이에 지불이 접수되었으며, 정확함을 표시하도록 디스플레이된다(321).
만약 상기 설명에서 언급된 검증 단계 중 어느 하나가 잘못되어 거부되거나 실패한 경우, 에러 메시지가 생성되어 판매자(merchant)의 장치 또는 구매자의 모바일 장치(208) 또는 모두에게 전송되며, 지불 과정은 종료 또는 중단된다.
수신 메시지는 지불 서버(205) 상에 저장될 수도 있으며, 예를 들어 지불 서버(205)에 연결하는 웹 브라우져를 사용하여 이후에 구매자 및/또는 판매자에 의해 접근될 수 있다. 수신 메시지는 판매자(merchant)의 장치 또는 구매자의 모바일 장치(208)를 사용하여 지불 서버(205)로부터 이를 요청하거나(이에 따라 지불 서버는 이를 발송) 지불 서버(205) 상에 직접적으로 전급함으로써 접근될 수 있다.
본원에 사용된 용어는 단지 특정 실시예를 설명하기 위한 목적이며, 본 발명을 제한하기 위해 의도되지 않는다. 본원에 사용된 바에 따른, 단수 형태 "하나", "한" 및 "그"는 문맥이 명백히 다르게 표시하지 않는 한 복수의 형태도 포함하는 것으로 의도된다. 또한 용어 "포함하다", "포함하는", "구비하다" 및/또는 "구비하는"이 본원에서 사용될 때, 이는 명시된 특징, 정수, 단계, 작동, 성분 및/또는 구성 요소의 존재를 명시하는 것이며, 하나 이상의 다른 특징, 정수, 단계, 작동, 성분, 구성 요소 및/또는 이의 군의 존재 또는 추가를 배제하지 않는 것으로 이해될 것이다.
다르게 정의되지 않는 한, 본원에서 사용되는 모든 용어 (기술적 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에 통상의 지식을 가진 자에 의해 공통적으로 이해되는 동일한 의미를 가진다. 또한 본원에 사용되는 용어는 본 명세서의 문맥 및 관련된 분야 내 이들의 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본원에서 명백하게 정의되지 않는 한 이상화되거나 과도하게 형식적인 의미로 해석되지 않을 것이다.
앞서 본 발명의 원리, 바람직한 실시예 및 작동 모드가 개시되었다. 다만, 본 발명은 제한적인 것이 아니라 예시적인 것으로 간주되어야 하며, 상기에 언급한 특정 실시예로 제한되어서는 안된다. 본 발명의 다양한 실시예의 서로 다른 특징들은 명시적으로 설명된 것과 다른 조합으로 조합될 수 있다. 따라서 하기의 청구항에 의해 정의된 바에 따라 본 발명의 범위로부터 벗어나지 않는 한도 내에서 통상의 기술자에 의해 상기 실시예들 내에서 변형이 이루어질 수 있는 것으로 이해되어야 한다.

Claims (8)

  1. - 판매자(merchant)의 장치 내에서 지불 어플리케이션을 실행함으로써 전자신용카드 지불 거래를 시작하는 단계;
    - 상기 판매자(merchant)의 장치에 판매 정보를 입력하는 단계;
    - 상기 판매자(merchant)의 장치의 카드 리더기에 신용카드를 입력하는 단계;
    - 상기 판매자(merchant)의 장치에 구매자의 식별 정보를 입력하고, PIN (Personal Identification Number) 입력 요청(entry request)을 생성하는 단계;
    - 상기 판매자(merchant)의 장치의 모바일 폰에서 지불 서버로 암호화된 구매 메시지를 전송하는 단계,
    여기서 상기 암호화된 구매 메시지는 PIN 입력 요청(entry request)과,
    판매 정보, 구매자 식별 정보 및 상기 카드 리더기 내 상기 신용카드로부터 판독되어진 암호화된 신용카드 정보 중 적어도 하나를 포함하며;
    - 상기 지불 서버 내로 상기 암호화된 구매 메시지를 수신하고, 해독하는 단계;
    - 상기 지불 서버 내에서 상기 해독되어진 암호화된 구매 메시지 내 상기 구매자의 식별 정보를 사용하여 구매자의 연락처를 결정하는 단계;
    - 상기 지불 서버가 상기 구매자의 연락처에 근거하여 구매자의 모바일 장치로 PIN 코드 요청(code request)을 전송하는 단계;
    - 상기 구매자의 모바일 장치 내에서 상기 PIN 코드 요청(code request)을 수신하고, 상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계;
    - 상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계;
    - 상기 구매자의 모바일 장치 내에서 PIN 코드 블록(code block) 내 입력된 PIN 코드를 암호화하는 단계;
    - 상기 암호화된 PIN 코드를 포함하는 PIN 코드 블록(code block)을 상기 지불 서버로 전송하는 단계;
    - 상기 지불 서버가 상기 PIN 코드 블록(code block)을 수신하는 단계;
    - 상기 지불 서버에서 상기 PIN 코드의 검증을 오프라인 또는 온라인으로 수행할지 여부를 결정하는 단계,
    여기서 상기 오프라인 검증은:
    i. 상기 지불 서버에서 상기 판매자(merchant)의 장치의 모바일 폰으로 상기 PIN 코드 블록(code block)을 전송하는 단계;
    ii. 상기 판매자(merchant)의 장치에서 상기 PIN 코드 블록(code block)을 해독하고, 상기 신용카드 내 PIN 정보에 대하여 상기 PIN 코드 블록(code block)을 검증하는 단계;
    iii. 상기 판매자(merchant)의 장치의 모바일 폰에서 상기 지불 서버로 판매 정보를 전송하는 단계;
    iv. 상기 지불 서버에서 은행 서버로 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계;
    v. 상기 은행 서버 내에서 상기 신용카드 정보 및 판매 정보를 검증하는 단계;
    를 포함하며,
    여기서 상기 온라인 검증은:
    i. 상기 지불 서버에서 상기 은행 서버로 상기 PIN 코드 블록(code block), 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계;
    ii. 상기 은행 서버 내에서 상기 PIN 코드, 상기 신용카드 정보 및 상기 판매 정보를 검증하는 단계;
    를 포함하며;
    - 상기 검증에 근거하여 상기 은행 서버 내에서 검증 메시지를 생성하는 단계;
    - 상기 은행 서버에서 상기 지불 서버로 상기 검증 메시지를 전송하는 단계;
    - 수신된 검증 메시지에 근거하여 상기 지불 서버 내에서 수신 메시지를 생성하는 단계;
    - 상기 지불 서버를 통해 상기 수신 메시지를 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치로 전송하는 단계; 및
    - 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치 내에서 상기 수신 메시지를 디스플레이하고, 상기 전자신용카드 지불을 완료하는 단계;
    를 포함하는,
    카드 리더기와 모바일폰을 포함하는 판매자(merchant)의 장치, 구매자의 모바일 장치 및 지불 서버를 사용하여 지불 사업자(acquirer)에게 전자신용카드 지불을 수행하는 방법.
  2. 제1항에 있어서,
    상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계는:
    - 구매자의 보안 정보를 입력하는 단계; 및
    - 상기 구매자의 보안 정보를 해독하고 이를 상기 PIN 코드 블록(code block) 내에 포함시키는 단계;
    를 더 포함하는,
    전자신용카드 지불을 수행하는 방법.
  3. 제2항에 있어서,
    상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계는:
    - 상기 지불 서버에서 상기 구매자의 보안 정보를 해독하는 단계; 및
    - 상기 구매자 식별 정보에 대하여 상기 구매자의 보안 정보를 검증하는 단계;
    를 더 포함하는,
    전자신용카드 지불을 수행하는 방법.
  4. 제1항에 있어서,
    상기 구매자 식별 정보는 구매자의 모바일폰 번호, 이메일 주소, 우편 주소, 사회 보장 번호, 서명, 일회용 코드, 기등록된 식별 번호, 사진 및 생체 정보 중 어느 하나인,
    전자신용카드 지불을 수행하는 방법.
  5. 제1항에 있어서,
    상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계는 각 PIN 입력 행사에 대하여 고유하게 암호화되는 암호화된 웹 인터페이스 또는 PIN 입력 웹 컴포넌트를 해독하고 PIN 코드의 보안 입력을 보장하는 것이 가능한 전용 웹 브라우져를 실행하는 것을 수반하는,
    전자신용카드 지불을 수행하는 방법.
  6. 제1항에 있어서,
    상기 판매자(merchant)의 장치의 모바일 폰과 상기 지불 서버 사이, 상기 지불 서버와 상기 구매자의 모바일 장치 사이 및 상기 지불 서버와 상기 은행 서버 사이에서의 상기 전송은 표준 보안 소켓 계층 통신(standard secure socket layer communication)을 사용하여 암호화되는,
    전자신용카드 지불을 수행하는 방법.
  7. 제1항에 있어서,
    상기 수신 메시지는 상기 지불 서버 상에 저장되며, 웹 브라우져, 판매자(merchant)의 장치 또는 구매자의 모바일 장치를 사용하는 구매자 및/또는 판매자에 의해 접근 가능한,
    전자신용카드 지불을 수행하는 방법.
  8. 카드 리더기 및 모바일폰을 포함하는 판매자(merchant)의 장치, 지불 서버, 구매자의 모바일폰 및 은행 서버를 포함하며,
    상기 판매자(merchant)의 장치, 지불 서버, 구매자의 장치 및 은행 서버는 제1항에 제시된 단계를 수행하기 위한 송수신 수단 및 처리 수단을 구비하는,
    전자신용카드 지불을 수행하기 위한 시스템.
KR1020147024151A 2012-02-07 2012-03-13 허브 앤드 스포크 핀 검증 KR101617569B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261595867P 2012-02-07 2012-02-07
US61/595,867 2012-02-07
PCT/EP2012/001114 WO2013087126A1 (en) 2012-02-07 2012-03-13 Hub and spokes pin verification

Publications (2)

Publication Number Publication Date
KR20140119792A KR20140119792A (ko) 2014-10-10
KR101617569B1 true KR101617569B1 (ko) 2016-05-18

Family

ID=48611864

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147024151A KR101617569B1 (ko) 2012-02-07 2012-03-13 허브 앤드 스포크 핀 검증

Country Status (13)

Country Link
US (1) US8868462B2 (ko)
EP (1) EP2622585B1 (ko)
JP (1) JP5940176B2 (ko)
KR (1) KR101617569B1 (ko)
CN (1) CN104145297B (ko)
AU (1) AU2012370407B2 (ko)
BR (1) BR112013005236A2 (ko)
DK (1) DK2622585T5 (ko)
ES (1) ES2552048T3 (ko)
HK (1) HK1188640A1 (ko)
IN (1) IN2014DN06790A (ko)
MX (1) MX2013002598A (ko)
WO (1) WO2013087126A1 (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9378499B2 (en) * 2012-06-12 2016-06-28 Square, Inc. Software PIN entry
US10373149B1 (en) * 2012-11-12 2019-08-06 Square, Inc. Secure data entry using a card reader with minimal display and input capabilities having a display
GB2512615A (en) * 2013-04-03 2014-10-08 Cloudzync Ltd Secure communications channel
US20140358794A1 (en) * 2013-06-04 2014-12-04 Ncr Corporation Techniques for credit card processing
US9773240B1 (en) 2013-09-13 2017-09-26 Square, Inc. Fake sensor input for passcode entry security
US9613356B2 (en) 2013-09-30 2017-04-04 Square, Inc. Secure passcode entry user interface
US9928501B1 (en) 2013-10-09 2018-03-27 Square, Inc. Secure passcode entry docking station
US20150134539A1 (en) * 2013-11-12 2015-05-14 Shashi Kapur System and method of processing point-of-sale payment transactions via mobile devices
EP2874421A1 (en) * 2013-11-13 2015-05-20 Gemalto SA System and method for securing communications between a card reader device and a remote server
US9613353B1 (en) 2013-12-26 2017-04-04 Square, Inc. Passcode entry through motion sensing
CN104751202A (zh) * 2013-12-30 2015-07-01 鸿富锦精密工业(深圳)有限公司 信息投递处理系统
US20160335636A1 (en) * 2014-01-27 2016-11-17 Tong Shao Dual-Channel Identity Authentication Selection Device, System and Method
SG2014011308A (en) * 2014-02-11 2015-09-29 Smart Communications Inc Authentication system and method
CN103810591A (zh) * 2014-02-28 2014-05-21 国家电网公司 一种手机购电方法及其便携式读写卡器
US10032168B2 (en) * 2014-03-07 2018-07-24 Fmr Llc Secure validation of financial transactions
SG10201401206TA (en) * 2014-04-02 2015-11-27 Smart Communications Inc System and method for facilitating electronic transaction
FR3020164B1 (fr) * 2014-04-18 2020-10-16 Compagnie Ind Et Financiere Dingenierie Ingenico Module d'emulation d'au moins une carte de paiement, procede, dispositif de paiement, produit programme d'ordinateur et medium de stockage correspondants
FR3023640B1 (fr) * 2014-07-10 2016-08-12 Roam Data Inc Procede de gestion d'une transaction, serveur, produit programme d'ordinateur et medium de stockage correspondants.
US9009468B1 (en) * 2014-08-26 2015-04-14 MagicCube, Inc. System for transaction authentication
US9646307B2 (en) 2014-09-23 2017-05-09 Sony Corporation Receiving fingerprints through touch screen of CE device
US9355424B2 (en) 2014-09-23 2016-05-31 Sony Corporation Analyzing hack attempts of E-cards
US9378502B2 (en) 2014-09-23 2016-06-28 Sony Corporation Using biometrics to recover password in customer mobile device
US9317847B2 (en) 2014-09-23 2016-04-19 Sony Corporation E-card transaction authorization based on geographic location
US9202212B1 (en) * 2014-09-23 2015-12-01 Sony Corporation Using mobile device to monitor for electronic bank card communication
US10262316B2 (en) 2014-09-23 2019-04-16 Sony Corporation Automatic notification of transaction by bank card to customer device
US9953323B2 (en) 2014-09-23 2018-04-24 Sony Corporation Limiting e-card transactions based on lack of proximity to associated CE device
US9558488B2 (en) 2014-09-23 2017-01-31 Sony Corporation Customer's CE device interrogating customer's e-card for transaction information
US9292875B1 (en) 2014-09-23 2016-03-22 Sony Corporation Using CE device record of E-card transactions to reconcile bank record
US9367845B2 (en) 2014-09-23 2016-06-14 Sony Corporation Messaging customer mobile device when electronic bank card used
KR101550825B1 (ko) * 2015-05-15 2015-09-10 김현민 무선단말을 이용한 카드 결제방법
US10366392B2 (en) 2017-01-12 2019-07-30 Bank Of America Corporation Marker code generation for resource distribution authority flagging
WO2018234850A1 (en) * 2017-06-21 2018-12-27 Hakim Massimo METHOD AND SYSTEM FOR REALIZING PAYMENTS OR ECONOMIC TRANSACTIONS
WO2021178773A1 (en) * 2020-03-05 2021-09-10 Visa International Service Association User authentication at access control server using mobile device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005507533A (ja) 2001-11-02 2005-03-17 エスケーテレコム カンパニー リミテッド IrFMを利用したEMV支払処理方法
KR100837828B1 (ko) * 2006-12-08 2008-06-13 와이즈와이어즈(주) 이동통신 단말기를 이용한 결제 방법 및 시스템

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5812668A (en) * 1996-06-17 1998-09-22 Verifone, Inc. System, method and article of manufacture for verifying the operation of a remote transaction clearance system utilizing a multichannel, extensible, flexible architecture
US6098053A (en) * 1998-01-28 2000-08-01 Citibank, N.A. System and method for performing an electronic financial transaction
JP2001306987A (ja) * 2000-04-25 2001-11-02 Nec Corp 携帯電話機によるカード利用承認方法、カード決済システム及び装置
US20020038287A1 (en) * 2000-08-30 2002-03-28 Jean-Marc Villaret EMV card-based identification, authentication, and access control for remote access
US20020147913A1 (en) 2001-04-09 2002-10-10 Lun Yip William Wai Tamper-proof mobile commerce system
US7143069B2 (en) * 2001-05-25 2006-11-28 American Express Travel Related Services Co. System and method for interactive secure dialog between card holder and issuer
JP2003168063A (ja) * 2001-11-30 2003-06-13 Hitachi Ltd カード決済方法における決済承認方法及びシステム
JP2003186837A (ja) * 2001-12-19 2003-07-04 Ntt Advanced Technology Corp ワンタイムパスワード認証装置及び方法、ならびにその認証プログラム
US9286635B2 (en) * 2002-02-05 2016-03-15 Square, Inc. Method of transmitting information from efficient communication protocol card readers to mobile devices
JP2003337917A (ja) * 2002-05-22 2003-11-28 Interpress:Kk 携帯端末による本人確認システム
GB2396472A (en) 2002-12-18 2004-06-23 Ncr Int Inc System for cash withdrawal
DE102005005378A1 (de) * 2004-09-14 2006-03-30 Wincor Nixdorf International Gmbh Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
EP1752937A1 (en) * 2005-07-29 2007-02-14 Research In Motion Limited System and method for encrypted smart card PIN entry
EP2016542A1 (en) * 2006-05-10 2009-01-21 Worldwide Gpms Ltd. Process and system for confirming transactions by means of mobile units
SE532268C2 (sv) * 2007-12-04 2009-11-24 Accumulate Ab Förfarande för säkra transaktioner
SK288757B6 (sk) * 2008-09-19 2020-05-04 Smk Kk Systém a spôsob bezkontaktnej autorizácie pri platbe
LU91488B1 (en) 2008-10-17 2010-04-19 Robert Carter Multifactor Authentication
US9367834B2 (en) * 2010-01-22 2016-06-14 Iii Holdings 1, Llc Systems, methods, and computer products for processing payments using a proxy card
AU2010357028B2 (en) * 2010-07-09 2014-10-02 Paypal, Inc. System for secure payment over a wireless communication network
US8583496B2 (en) * 2010-12-29 2013-11-12 Boku, Inc. Systems and methods to process payments via account identifiers and phone numbers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005507533A (ja) 2001-11-02 2005-03-17 エスケーテレコム カンパニー リミテッド IrFMを利用したEMV支払処理方法
KR100837828B1 (ko) * 2006-12-08 2008-06-13 와이즈와이어즈(주) 이동통신 단말기를 이용한 결제 방법 및 시스템

Also Published As

Publication number Publication date
EP2622585B1 (en) 2015-08-05
BR112013005236A2 (pt) 2016-05-03
HK1188640A1 (en) 2014-05-09
CN104145297A (zh) 2014-11-12
AU2012370407B2 (en) 2014-06-12
US20140025579A1 (en) 2014-01-23
EP2622585A1 (en) 2013-08-07
IN2014DN06790A (ko) 2015-05-22
US8868462B2 (en) 2014-10-21
CN104145297B (zh) 2016-08-17
DK2622585T5 (en) 2017-01-23
JP5940176B2 (ja) 2016-06-29
ES2552048T3 (es) 2015-11-25
JP2015513337A (ja) 2015-05-07
KR20140119792A (ko) 2014-10-10
AU2012370407A1 (en) 2013-09-12
DK2622585T3 (en) 2015-11-09
MX2013002598A (es) 2013-11-05
WO2013087126A1 (en) 2013-06-20

Similar Documents

Publication Publication Date Title
KR101617569B1 (ko) 허브 앤드 스포크 핀 검증
US11127009B2 (en) Methods and systems for using a mobile device to effect a secure electronic transaction
JP6128565B2 (ja) 取引処理システム及び方法
CN106716916B (zh) 认证系统和方法
EP2733655A1 (en) Electronic payment method and device for securely exchanging payment information
US20150302409A1 (en) System and method for location-based financial transaction authentication
CN115187242A (zh) 唯一令牌认证验证值
US20130275308A1 (en) System for verifying electronic transactions
CN113014400A (zh) 用户和移动装置的安全认证
KR20150026233A (ko) 디지털 카드 기반의 결제 시스템 및 방법
US20170024742A1 (en) Methods and systems for using a consumer identity to perform electronic transactions
WO2016118087A1 (en) System and method for secure online payment using integrated circuit card
KR102574524B1 (ko) 원격 거래 시스템, 방법 및 포스단말기
KR101628835B1 (ko) 보안이 강화된 안심쇼핑 인증방법 및 시스템
JP2014127139A (ja) カード決済を提供する認証サーバ、認証システム及び認証方法
KR20170117352A (ko) 보안이 강화된 안심쇼핑 인증방법 및 시스템
KR20170138068A (ko) 보안이 강화된 안심쇼핑 인증방법 및 시스템
KR20170001941A (ko) 보안이 강화된 안심쇼핑 인증방법 및 시스템
KR20170001940A (ko) 보안이 강화된 안심쇼핑 인증방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee