KR102408299B1 - 클라우드-기반 트랜잭션 방법 및 시스템 - Google Patents

Abstract

통신 장치를 사용하여 트랜잭션을 수행할 경우 통신 기기의 보안을 강화하기 위한 기법들은 제한적 사용 키(limited-use key; LUK)를 사용하여 트랜잭션 암호를 생성하는 단계, 및 실제 계정 식별자를 대신하는 토큰 및 상기 트랜잭션 암호를 액세스 기기에 송신하여 상기 트랜잭션을 수행하는 단계를 포함할 수 있다. 상기 LUK는 상기 LUK의 사용을 제한하는 한 세트의 하나 이상의 제한적 사용 임계값들에 연관되어 있을 수 있고, 상기 트랜잭션은 적어도 상기 LUK의 사용이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 초과했는지에 기반을 두고 승인될 수 있다.

Description

클라우드-기반 트랜잭션 방법 및 시스템{Cloud-based transactions methods and systems}

관련 출원의 전후 참조

본원은 2013년 12월 19일자 출원된 미국 임시출원 제61/858,087호, 2014년 2월 18일자 출원된 미국 임시출원 제61/941,227호, 2014년 4월 21일자 출원된 미국 임시출원 제61/982,169호, 및 2014년 4월 24일자 출원된 미국 임시출원 제61/983,635호를 토대로 우선권을 주장한 것으로, 상기 미국 임시출원들의 전체 내용은 모든 목적을 위해 모두 본원 명세서에 참조병합된다.

휴대용 통신 기기들의 기능 향상으로 스마트폰들과 같은 휴대용 통신 기기들이 비접촉식 트랜잭션들을 수행하도록 하는 지불결제 도구로서 사용될 수 있었다. 예를 들면, 휴대용 통신 기기는 판매 시점 관리(point-of-sale; POS) 단말기와 같은 액세스 기기 부근에 배치된 상태에서 상기 휴대용 통신 기기로부터의 계정 정보를 액세스 기기에 전달하여 트랜잭션을 수행할 수 있다. 휴대용 통신 기기상에 계정 정보를 안전하게 저장하도록 하는 보안 동작 환경을 제공하기 위해, 가입자 식별 모듈(subscriber identity module; SIM) 카드, 상기 휴대용 통신 기기에 내장되어 있는 특수화된 통합 칩, 또는 애프터마켓 솔루션으로서 제공되는 특수화된 컴포넌트와 같은 보안 요소가 사용된다. 트랜잭션 시에, 상기 보안 요소는 상기 휴대용 통신 기기의 비접촉 인터페이스(예컨대, 근접장 통신(near-field communication; NFC) 트랜시버)와 직접 통신하여 상기 액세스 기기의 비접촉 판독기에 지불결제 데이터를 전달한다. 보안 요소는 상기 휴대용 통신 기기상에서 실행하는 애플리케이션 또는 운영 체계를 감염시킬 수 있는 악성 코드 또는 바이러스로부터 계정 정보를 보호하는 변조 방지 하드웨어에 계정 정보가 저장되어 있기 때문에 보안 요소가 안전한 것으로 간주한다.

하지만, 휴대용 통신 기기에서 사용되는 보안 요소는 금융 기관의 통제하에 있지 않고, 그 대신에 모바일 네트워크 운영자(mobile network operator; MNO)의 통제하에 있는 것이 전형적이다. 그 결과, 발행자 및/또는 지불결제 프로세서는 계정 크리덴셜들 및 지불결제 기능들을 가지고 보안 요소를 프로비저닝하도록 상기 보안 요소에 직접 액세스할 수 없다. 보안 요소에 액세스하기 위해, 발행자 및/또는 지불결제 프로세서는 상기 보안 요소를 통제하는 당사자와의 상업 협정 및 기술 연계를 확립하여 상기 보안 요소의 OTA(over-the-air) 사용자 설정을 수행해야 할 수도 있다. 이는 번거롭고 복잡한 프로세스이다. 더군다나, 보안 요소의 통합은 상기 휴대용 통신 기기의 제조 비용에 추가되어 성가시고 최종 휴대용 통신 기기의 비용을 증가시킨다.

따라서, 어떤 경우에는 지불결제를 하는데 보안 요소를 지니지 않는 휴대용 통신 기기를 사용하는 것이 바람직할 것이다. 혹은 상기 휴대용 통신 기기가 보안 요소를 지니고 있지 않다면, 상기 보안 요소의 사용에 의존하지 않는 것이 바람직할 수도 있다. 하지만, 보안 요소가 사용되지 않기 때문에, 트랜잭션의 보안이 문제가 될 것이다.

본 발명의 실시 예들은 이들 및 다른 문제들을 개별적으로 그리고 집합적으로 해결한다. 구체적으로 기술하면, 본 발명의 실시 예들은 보안 요소를 지니지 않거나 보안 요소에 의존하지 않는 모바일 통신 기기와의 지불결제 트랜잭션들을 수행함에 따른 보안 관련 문제를 해결한다.

본 발명의 실시 예들은 통신 기기(예컨대, 휴대용 통신 기기)를 사용하여 트랜잭션을 수행할 때 상기 통신 기기의 보안을 향상시키기 위한 기법들을 제공한다. 본원 명세서에 기재되어 있는 기법들은 보안 요소를 지닐 수도 있고 보안 요소를 지니지 않을 수도 있는 통신 기기와 함께 사용될 수 있는데, 그 이유는 상기 기법들이 계정 크리덴셜들을 보호하도록 하는 보안 요소의 사용을 요구하지 않기 때문이다. 그 대신에 본 발명의 실시 예들은 제한적 생존기간을 지닐 수 있고 일단 그 기간이 만료하게 되면 제한적 사용 매개변수들이 클라우드(예컨대, 원격 컴퓨터)로부터 보충되지 않는 한 더는 트랜잭션을 수행하는데 사용될 수 없는 제한적 사용 매개변수들을 이용한다. 이러한 이유 때문에, 본원 명세서에 기재되어 있는 기법들을 사용하여 수행되는 트랜잭션들은 "클라우드-기반 트랜잭션들"로 지칭될 수 있다.

몇몇 실시 예들에 의하면, 통신 기기를 사용하여 트랜잭션을 수행할 때 상기 통신 기기의 보안을 향상시키기 위한 방법은 원격 컴퓨터로부터 제한적 사용 키(limited-use key; LUK)를 수신하는 단계로서, 상기 제한적 사용 키(LUK)는 상기 제한적 사용 키(LUK)의 사용을 제한하는 한 세트의 하나 이상의 제한적 사용 임계값들에 연관되어 있는, 단계를 포함할 수 있다. 상기 방법은 또한 상기 통신 기기에 의해 상기 제한적 사용 키(LUK)를 사용하여 트랜잭션 암호를 생성하는 단계, 및 상기 통신 기기에 의해 상기 트랜잭션 암호 및 실제 계정 식별자를 대신하는 토큰을 액세스 기기에 송신하여 상기 트랜잭션을 수행하는 단계를 포함할 수 있다. 상기 트랜잭션은 상기 제한적 사용 키(LUK)의 사용이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 초과했는지에 적어도 기반을 두고 승인될 수 있다.

몇몇 실시 예들에 의하면, 통신 기기가 프로세서; 및 상기 프로세서에 연결되어 있으며 상기 통신 기기를 사용하여 트랜잭션들을 수행할 때 상기 통신 기기의 보안을 향상시키기 위한 동작들을 수행하는 모바일 애플리케이션을 저장하는 메모리;를 포함할 수 있다. 상기 동작들은 제한적 사용 키(limited-use key; LUK)를 수신하는 동작으로서, 상기 제한적 사용 키(LUK)가 상기 제한적 사용 키(LUK)의 사용을 제한하는 한 세트의 하나 이상의 제한적 사용 임계값들에 연관되어 있는, 동작, 상기 제한적 사용 키(LUK)를 사용하여 트랜잭션 암호를 생성하는 동작, 및 상기 트랜잭션 암호 및 실제 계정 식별자를 대신하는 토큰을 송신하여 상기 트랜잭션을 수행하는 동작을 포함할 수 있다. 상기 트랜잭션은 상기 제한적 사용 키(LUK)의 사용이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 초과했는지에 적어도 기반을 두고 승인될 수 있다.

몇몇 실시 예들에 의하면, 통신 기기를 사용하여 트랜잭션을 수행할 때 상기 통신 기기의 보안을 향상시키는 방법은 컴퓨터에 의해 제1 암호 키를 가지고 계정 정보를 암호화하여 제2 암호 키를 생성하는 단계, 및 상기 제2 암호 키를 사용해 키 인덱스 정보를 암호화하여 제한적 사용 키(limited-use key; LUK)를 생성하는 단계를 포함할 수 있으며, 상기 키 인덱스 정보는 상기 제한적 사용 키(LUK)의 생성에 관련된 정보를 지니는 키 인덱스를 포함한다. 상기 방법은 또한 상기 제한적 사용 키(LUK) 및 상기 키 인덱스를 상기 통신 기기에 제공하여 상기 통신 기기를 사용해 수행되는 트랜잭션에 대한 트랜잭션 암호를 생성하게 하는 단계를 포함할 수 있다. 상기 트랜잭션은 상기 제한적 사용 키(LUK) 및 상기 트랜잭션 암호에 기반을 두고 승인될 수 있다.

몇몇 실시 예들에 의하면, 통신 기기를 사용하여 트랜잭션을 수행할 때 상기 통신 기기의 보안을 향상시키기 위한 컴퓨터는 프로세서, 및 컴퓨터 판독가능 코드를 저장하는 메모리를 포함할 수 있으며, 상기 컴퓨터 판독가능 코드는 상기 프로세서에 의해 실행될 때 상기 컴퓨터로 하여금 제1 암호 키를 가지고 계정 정보를 암호화하여 제2 암호 키를 생성하게 하고, 상기 제2 암호 키를 사용해 키 인덱스 정보를 암호화하여 제한적 사용 키(limited-use key; LUK)를 생성하게 하며, 그리고 상기 제한적 사용 키(LUK) 및 상기 키 인덱스를 상기 통신 기기에 제공하여 상기 통신 기기를 사용해 수행되는 트랜잭션에 대한 트랜잭션 암호를 생성하게 한다. 상기 키 인덱스 정보는 상기 제한적 사용 키(LUK)의 생성에 관련된 정보를 지니는 키 인덱스를 포함할 수 있다. 상기 트랜잭션은 상기 제한적 사용 키(LUK) 및 상기 트랜잭션 암호에 기반을 두고 승인될 수 있다.

도 1은 몇몇 실시 예들에 따른 클라우드-기반 트랜잭션 시스템의 일 예를 예시하는 블록도이다.
도 2는 몇몇 실시 예들에 따른 등록 및 프로비저닝 프로세스의 일 예를 예시하는 통신 흐름도이다.
도 3은 몇몇 실시 예들에 따른 통합 칩 기반 트랜잭션을 실시하는 일 예를 예시하는 통신 흐름도이다.
도 4는 몇몇 실시 예들에 따른 자기 스트라이프 기반 트랜잭션을 실시하는 일 예를 예시하는 통신 흐름도이다.
도 5는 몇몇 실시 예들에 따른 트랜잭션 검증 로그의 일 예를 예시하는 도면이다.
도 6은 몇몇 실시 예들에 따른 사후-지불결제 검증 프로세스의 일 예를 예시하는 통신 흐름도이다.
도 7은 몇몇 실시 예들에 따른 계정 매개변수 보충 프로세스의 일 예를 예시하는 통신 흐름도이다.
도 8은 몇몇 실시 예들에 따른 트랜잭션 암호를 생성하는 프로세스의 일 예를 예시하는 도면이다.
도 9는 몇몇 실시 예들에 따른 암호 함수의 일 예를 예시하는 도면이다.
도 10은 몇몇 실시 예들에 따른 휴대용 통신 기기의 보안을 강화하는 방법의 일 예를 예시하는 흐름도이다.
도 11은 몇몇 실시 예들에 따른 휴대용 통신 기기의 보안을 강화하기 위한 다른 한 방법의 일 예를 예시하는 흐름도이다.
도 12는 몇몇 실시 예들에 따른 휴대용 통신 기기의 일 예를 예시하는 블록도이다.
도 13은 몇몇 실시 예들에 따른 수동 모드(manual mode) 모바일 애플리케이션의 일 예를 예시하는 상태도이다.
도 14는 몇몇 실시 예들에 따른 상시 접속 모드(always-on mode) 모바일 애플리케이션의 일 예를 예시하는 상태도이다.
도 15는 몇몇 실시 예들에 따른 온-디바이스(on-device) 검증 기능을 갖는 상시 접속 모드 모바일 애플리케이션의 일 예를 예시하는 상태도이다.
도 16은 몇몇 실시 예들에 따른 컴퓨터 시스템의 일 예를 예시하는 블록도이다.

본 발명의 실시 예들은 보안 요소를 지니거나 보안 요소를 지니지 않는 통신 기기들에 의해 수행될 수 있는, 클라우드-기반 트랜잭션 방법, 기기, 및 시스템을 제공한다. 본원 명세서에 기재되어 있는 기법들은 통신 기기(예컨대, 휴대용 통신 기기)상에서 실행하는 모바일 애플리케이션이 비접촉 트랜잭션들을 수행하는 것을 허용하도록 통신 기기(예컨대, 휴대용 통신 기기)상의 스마트카드를 에뮬레이션(emulation)하는데 카드 에뮬레이션 기술(예컨대, 호스트 카드 에뮬레이션(Host Card Emulation; HCE) 등등)을 이용할 수 있다. 상기 카드 에뮬레이션 환경에서, 모바일 애플리케이션은 보안 요소를 포함하지 않은 휴대용 통신 기기의 운영 체계(operating system; OS)를 통해 상기 휴대용 통신 기기의 비접촉 인터페이스(예컨대, 근접장 통신(near-field communication; NFC) 트랜시버)에 액세스할 수 있다. 보안 요소 구현 예들에 비해, 상기 카드 에뮬레이션 접근방안이 발행자들 및/또는 지불결제 프로세서들에 대한 기술적 및 상업적 복잡성을 감소시키는데, 그 이유는 상기 발행자들 및/또는 지불결제 프로세서들이 모바일 네트워크 운영자를 통해 보안 요소에 대한 액세스를 획득할 필요 없이 휴대용 통신 기기상의 모바일 애플리케이션에 대한 계정 크리덴셜들 및 지불결제 기능들을 프로비저닝할 수 있기 때문이다.

보안 요소의 범위로부터 계정 크리덴셜들 및 지불결제 기능들의 통제를 제거함으로써, 보안 요소에 의해 제공되는 변조 방지 하드웨어는 계정 정보를 보호하는데 더는 요구되지 않을 수 있다. 보안 요소가 존재해야 할 필요 없이, 계정 크리덴셜들은 상기 휴대용 통신 기기의 일반 메모리와 같은, 보안 요소 부분이 아닌 상기 휴대용 통신 기기의 메모리에 저장될 수 있다. 이 때문에, 상기 계정 크리덴셜들은 상기 휴대용 통신 기기의 애플리케이션 또는 운영 체계를 감염시킬 수 있는 악성 코드 또는 바이러스에 의한 액세스에 취약할 수 있다.

보안 요소를 이용하지 않고 트랜잭션들을 수행할 때 휴대용 통신 기기의 보안을 향상시키기 위해, 계정의 존속기간 동안 유효할 수 있는 휴대용 통신 기기상에 저장되어 있는 휴면(stagnant) 계정 크리덴셜들 대신에, 본원 명세서에 기재되어 있는 클라우드-기반 기법들이 제한적 사용 또는 생존기간을 지니는 제한적 사용 계정 매개변수들을 가지고 휴대용 통신 기기를 프로비저닝한다. 상기 제한적 사용 계정 매개변수들의 제한적 사용 또는 생존기간이 소진될 때, 동일 세트의 제한적 사용 계정 매개변수들이 더는 부가적인 트랜잭션들을 수행하는데 사용될 수 없다. 상기 휴대용 통신 기기를 사용하여 부가적인 트랜잭션들을 수행하기 위해, 새로운 제한적 사용 계정 매개변수들이 상기 휴대용 통신 기기에 보충된다. 상기 휴대용 통신 기기에 제공되는 제한적 사용 계정 매개변수들은 계정의 존속기간 동안 반복해서 네트워크(또한 "클라우드(cloud)"로 지칭됨)로부터 연장되거나 보충될 수 있다. 한 세트의 네트워크 기반 기능들 및 상기 휴대용 통신 기기 간의 제한적 사용 계정 매개변수들의 배포 및 수명주기를 관리함으로써, 휴대용 통신 기기상에 저장된 모바일 애플리케이션 소프트웨어 및/또는 계정 크리덴셜들의 절충은 단지 제한적 보안 리스크일 뿐이게 되는데, 그 이유는 도난당한 제한적 사용 계정 매개변수들이 최대한으로 단지 소수의 트랜잭션들 또는 제한적 금액에 대해 사용될 수 있기 때문이다.

본 발명의 몇몇 실시 예들의 세부들을 고찰하기 전에, 몇몇 용어들의 설명은 여러 실시 예를 이해하는데 도움이 될 수 있다.

"통신 기기(communication device)"는 다른 한 기기와 통신할 수 있는 하나 이상의 전자 컴포넌트들(예컨대, 통합 칩)을 포함하는 기기일 수 있다. "휴대용 통신 기기"는 사용자에 의해 휴대되어 동작될 수 있는 통신 기기일 수 있다. 휴대용 통신 기기는 네트워크에 대한 원격 통신 기능들을 제공할 수 있다. 상기 휴대용 통신 기기는 다른 기기들로 데이터 또는 통신문들을 송신하고 다른 기기들로부터 데이터 또는 통신문들을 수신하도록 구성될 수 있다. 휴대용 통신 기기는 모바일폰(예컨대, 스마트폰, 셀룰러폰 등등), 태블릿들, 휴대용 미디어 플레이어, 개인 휴대 정보 단말기(personal digital assistant device; PDA)들, 착용 컴퓨팅 기기(예컨대, 시계), 전자 판독 기기 등등과 같은 모바일 기기의 형태를 이루고 있을 수도 있고 카드(예컨대, 스마트카드) 또는 포브(fob) 등등의 형태를 이루고 있을 수도 있다. 휴대용 통신 기기들의 예들은 또한 휴대용 컴퓨팅 기기들(예컨대, 랩톱들, 넷북들, 울트라북들 등등)을 포함할 수 있다.

"서버 컴퓨터(server computer)"는 강력한 컴퓨터 또는 컴퓨터 클러스터를 포함할 수 있다. 예를 들면, 상기 서버 컴퓨터는 대형 메인프레임, 미니컴퓨터 클러스터, 또는 하나의 단위로서 기능을 수행하는 한 그룹의 서버들일 수 있다. 일 예에서는, 상기 서버 컴퓨터는 웹 서버에 연결되어 있는 데이터베이스 서버일 수 있다. 상기 서버 컴퓨터는 데이터베이스에 연결될 수 있으며 하나 이상의 클라이언트 컴퓨터들로부터의 요구들을 서비스하기 위한 임의의 하드웨어, 소프트웨어, 다른 로직, 이들의 조합을 포함할 수 있다. 상기 서버 컴퓨터는 하나 이상의 연산 장치들을 포함할 수 있으며 하나 이상의 클라이언트 컴퓨터들로부터의 요구들을 서비스하기 위한 여러 컴퓨팅 구조, 배치, 및 편성 중 어느 하나를 사용할 수 있다.

"발행자(issuer)"는 휴대용 통신 기기상에 설치된 모바일 애플리케이션에 등록되어 있는 계정과 같은 휴대용 통신 기기에 연관된 사용자 계정을 유지하는 비즈니스 엔티티를 언급하는 것이 전형적일 수 있다. 발행자는 또한 휴대용 통신 기기에 상기 계정에 연관된 계정 매개변수들을 발행할 수 있다. 발행자는 상기 발행자를 대신하여 상기 발행자의 기능들 중 일부 또는 모두를 수행하는 호스트 시스템에 연관되어 있을 수 있다.

"상인(merchant)"은 트랜잭션들에 참여하는 엔티티인 것이 전형적일 수 있으며 상품들 또는 서비스들을 판매할 수도 있고 상품들 또는 서비스들에 대한 액세스를 제공할 수 있다.

"수취자(acquirer)"는 특정 상인 또는 다른 엔티티와의 비즈니스 관계를 지니는 비즈니스 엔티티(예컨대, 상업 은행)인 것이 전형적일 수 있다. 몇몇 엔티티들은 발행자 및 수취자 기능들 모두를 수행할 수 있다. 몇몇 실시 예들은 그러한 단일 발행자-수취자들을 포함할 수 있다.

"액세스 기기(access device)"는 상인 컴퓨터 또는 지불결제 처리 네트워크와 통신하고, 그리고 지불결제 기기, 사용자 컴퓨터 장치, 및/또는 사용자 모바일 기기와 상호작용하기 위한 임의의 적합한 기기일 수 있다. 액세스 기기는 상인의 위치에서와 같이 임의의 위치에 있을 수 있는 것이 일반적이다. 액세스 기기는 임의의 적합한 형태를 이루고 있을 수 있다. 액세스 기기들의 몇몇 예들에는 POS 기기들, 셀룰러폰들, PDA들, 개인용 컴퓨터(personal computer; PC)들, 태블릿 PC들, 핸드-헬드 전문 판독기들, 셋톱 박스들, 전자식 금전 등록기(electronic cash register; ECR)들, 현금 자동 입출금기(automated teller machine; ATM)들, 가상 금전 등록기(virtual cash register; VCR)들, 키오스크(kiosk)들, 보안 시스템들, 액세스 시스템들, 웹사이트들 등등이 있다. 액세스 기기는 휴대용 통신 기기로부터의 데이터, 또는 휴대용 통신 기기에 연관된 데이터를 송신 또는 수신하도록 임의의 적합한 접촉 또는 비접촉 동작 모드를 사용할 수 있다. 몇몇 실시 예들에서, 액세스 기기가 POS 단말기를 포함할 수 있는 경우에, 임의의 적합한 POS 단말기가 사용될 수 있으며 판독기, 프로세서, 및 컴퓨터-판독가능 매체를 포함할 수 있다. 판독기는 임의의 적합한 접촉 또는 비접촉 동작 모드를 포함할 수 있다. 예를 들면, 전형적인 카드 판독기들은 휴대용 통신 기기와 상호작용하도록 무선 주파수(radio frequency; RF) 안테나들, 광 스캐너들, 바 코드 판독기들, 자성 스트라이프 판독기들을 포함할 수 있다.

"승인 요구 메시지(authorization request message)"는 트랜잭션에 대한 승인을 요구하도록 송신되는 전자 메시지일 수 있다. 상기 승인 요구 메시지는 지불결제 처리 네트워크 및/또는 지불결제 카드의 발행자에게 송신될 수 있다. 몇몇 실시 예들에 따른 승인 요구 메시지는 지불 결제 기기 또는 지불 결제 계정을 사용하여 소비자에 의해 이루어지게 되는 지불결제에 연관된 전자 트랜잭션 정보를 교환하는 시스템들에 대한 표준인 (국제 표준화 기구; International Organization of Standardization) ISO 8583을 따르는 것일 수 있다. 상기 승인 요구 메시지는 계정을 식별하는데 사용될 수 있는 정보를 포함할 수 있다. 승인 요구 메시지는 또한 서비스 코드, 유효 기간(expiration date) 등등 중 하나 이상과 같은 추가 데이터 요소들을 포함할 수 있다. 승인 요구 메시지는 또한 상기 트랜잭션 액수, 상인 식별자, 상인 위치 등등과 같은 현재 트랜잭션에 연관된 임의의 정보와 아울러, 트랜잭션을 식별 및/또는 승인해야 할 지를 결정함에 있어서 이용될 수 있는 다른 어떤 정보와 같은 트랜잭션 정보를 포함할 수 있다. 상기 승인 요구 메시지는 또한 상기 승인 요구 메시지를 생성한 액세스 기기를 식별하는 정보, 상기 액세스 기기의 위치에 대한 정보 등등과 같은 다른 정보를 포함할 수 있다.

"승인 응답 메시지(authorization response message)"는 승인 요구 메시지에 대한 전자 메시지 응답일 수 있다. 상기 승인 응답 메시지는 발행 금융 기관 또는 지불결제 처리 네트워크에 의해 생성될 수 있다. 상기 승인 응답 메시지는 단지 예로써만 승인--트랜잭션의 승인; 거절--트랜잭션의 승인 거절; 또는 콜센터--자세한 정보의 응답 보류, 상인은 수신자 부담 승인 전화번호를 호출해야 함; 과 같은 상태 표시자들 중 하나 이상을 포함할 수 있다. 상기 승인 응답 메시지는 또한 승인 코드를 포함할 수 있으며, 상기 승인 코드는 상기 트랜잭션의 승인을 나타내는 상인 컴퓨터에 대한 (직접적이거나 상기 지불결제 처리 네트워크를 통한) 전자 메시지 내 승인 요구 메시지에 응답하여 신용 카드 발행 은행이 반환하는 코드일 수 있다. 상기 코드는 승인의 증거로서의 역할을 할 수 있다. 위에서 주지한 바와 같이, 몇몇 실시 예들에서는, 지불결제 처리 네트워크가 승인 응답 메시지를 생성할 수도 있고 상기 승인 응답 메시지를 상인에게로 전달할 수도 있다.

용어 "인증(authentication)" 및 그의 파생어들은 (애플리케이션들, 사람들, 기기들, 프로세스들, 및 시스템들을 포함하지만 이들에 국한되지 않는) 엔드포인트(endpoint)의 크리덴셜이 상기 엔드포인트가 그들 중 누구로 선언되는지를 확실하게 하도록 검증될 수 있는 프로세스를 언급할 수 있다.

용어 "검증(verification" 및 그의 파생어들은 정보를 이용하여 기본 주제가 주어진 한 세트의 상황들하에서 유효한지를 결정하는 프로세스를 언급할 수 있다. 검증은 일부 데이터 또는 정보가 올바르고, 유효하며, 정확하고, 합법적이며, 그리고/또는 양호한 상태임을 확실하게 하도록 하는 정보의 임의의 비교를 포함할 수 있다.

"토큰(token)"은 일부 정보에 대한 대용 식별자를 포함할 수 있다. 예를 들면, 지불결제 토큰은 주 계정 번호(primary account number; PAN)와 같은 계정 식별자에 대한 대용인 지불결제 계정에 대한 식별자를 포함할 수 있다. 예를 들어, 토큰은 원래의 계정 식별자에 대한 대용으로서 사용될 수 있는 일련의 영숫자 문자(alphanumeric character)들을 포함할 수 있다. 예를 들면, 토큰 "4900 0000 0000 0001"은 PAN "4147 0900 0000 1234" 대신에 사용될 수 있다. 몇몇 실시 예들에서는, 토큰이 "포맷 유지(format preserving)"하고 있을 수 있고 기존의 지불결제 처리 네트워크들(예컨대, ISO 8583 금융 트랜잭션 메시지 포맷)에서 사용되는 계정 식별자들에 따른 숫자 포맷을 지닐 수 있다. 몇몇 실시 예들에서는, 토큰이 지불결제 트랜잭션을 개시, 승인, 결제 또는 확정하는데 PAN 대신에 사용될 수 있다. 상기 토큰은 또한 원래의 크리덴셜이 제공되는 것이 전형적인 다른 시스템들에서 원래의 크리덴셜을 나타내는데 사용될 수 있다. 몇몇 실시 예들에서는, 토큰 값은 상기 토큰 값으로부터의 원래의 PAN 또는 다른 계정 식별자의 회복이 계산상으로 도출될 수 없도록 생성될 수 있다. 더욱이, 몇몇 실시 예들에서는, 토큰 포맷은 상기 토큰을 수신하는 엔티티가 상기 토큰 포맷을 토큰으로서 식별하고 상기 토큰을 발행한 엔티티를 인식하는 것을 허용하도록 구성될 수 있다.

"실제 계정 식별자(real account identifier)"는 지불결제 계정에 연관된 원래의 계정 식별자를 포함할 수 있다. 예를 들면, 실제 계정 식별자는 카드 계정(예컨대, 신용 카드, 직불 카드 등등)에 대한 발행자에 의해 발행된 주 계정 번호(primary account number; PAN)일 수 있다. 예를 들어, 몇몇 실시 예들에서는, 실제 계정 식별자가 "4147 0900 0000 1234"와 같은 16자리 수를 포함할 수 있다. 상기 실제 계정 식별자의 처음 6자리 수(예컨대, "414709")는 상기 실제 계정 식별자에 연관된 발행자를 식별할 수 있는 실제 발행자 식별자(BIN)를 나타낼 수 있다.

"계정 매개변수(account parameter)"는 계정을 통한 트랜잭션을 수행하는데 사용될 수 있는 계정 관련 정보를 언급할 수 있다. 계정 매개변수의 예들에는 사용자의 계정을 식별하는데 사용될 수 있는 정보(예컨대, 실제 계정 식별자, 대체 계정 식별자, 토큰 등등), 상기 계정의 상태 관련 정보, 암호화 정보를 생성하는데 사용되는 하나 이상의 키들, 상기 하나 이상의 키들에 관한 데이터 또는 정보 등등이 있다. 계정 매개변수는 반-정적일 수도 있고 동적일 수도 있다. 동적 계정 매개변수는 제한적 수명기간을 지니며 일단 만료하게 되면, 상기 계정 매개변수가 보충, 갱신, 또는 연장될 때까지 트랜잭션을 수행하는데 더는 사용될 수 없다. 동적 계정 매개변수는 계정의 존속기간 동안 빈번하게 보충될 수 있다. 반-정적 계정 매개변수는 동적 계정 매개변수보다 긴 연장된 수명기간을 지니며, 동적 계정 매개변수보다는 덜 빈번하게 보충될 수도 있고 상기 계정의 존속기간 동안 일절 보충되지 않을 수도 있다.

"키(key)"는 암호화 알고리즘에서 입력 데이터를 다른 한 표현으로 변환하는데 사용되는 정보 일부를 언급할 수 있다. 암호화 알고리즘은 원래의 데이터를 대체 표현으로 변환하는 암호화 알고리즘, 또는 암호화된 정보를 다시 원래의 데이터로 변환하는 복호화 알고리즘일 수 있다. 암호화 알고리즘의 예들에는 트리플 데이터 암호화 표준(triple data encryption standard; TDES), 데이터 암호화 표준(data encryption standard; DES), 고급 암호화 표준(advanced encryption standard; AES) 등등을 포함할 수 있다.

"암호(cryptogram)"는 특정 정보의 암호화된 표현을 언급할 수 있다. 암호는 상기 암호의 생성기가 예를 들면 유효 키를 가지고 기초 정보를 암호화하고, 그 결과를 수신된 암호에 비교함으로써 적합한 키를 소유하고 있는지를 결정하는데 수신자에 의해 사용될 수 있다.

"제한적 사용 임계값(limited-use threshold)"은 정보 일부의 사용을 제한하는 조건을 언급할 수 있다. 제한적 사용 임계값은 기초 조건이 충족될 경우에 초과 또는 소진될 수 있다. 예를 들면, 제한적 사용 임계값은 정보 일부가 유효한 시간을 나타내는 생존기간(time-to-live)을 포함할 수 있으며, 일단 그러한 생존기간이 지나게 되면, 상기 제한적 사용 임계값이 초과 또는 소진되고, 정보 일부가 유효하지 않게 될 수 있으며 더는 사용될 수 없다. 다른 일 예로서, 제한적 사용 임계값은 정보 일부가 사용될 수 있는 횟수를 포함할 수 있으며, 일단 정보 일부가 그 횟수만큼 사용된 경우, 제한적 사용 임계값이 초과 또는 소진되고, 정보 일부가 유효하지 않게 될 수 있으며 더는 사용될 수 없다.

지금부터 본 발명의 몇몇 실시 예들의 세부들이 설명될 것이다.

I. 계정 매개변수들

몇몇 실시 예들에 따른 클라우드-기반 트랜잭션 시스템은 휴대용 통신 기기를 사용하여 수행되는 트랜잭션들에 대한 계정 매개변수들의 배포 및 사용을 관리하도록 하는 한 세트의 기능들을 제공한다. 계정 매개변수들(또한 "계정 크리덴셜들"로서 언급될 수 있음)은 사용자의 계정을 통한 트랜잭션들을 수행하는데 사용될 수 있는 사용자에 연관된 계정(예컨대, 금융 계정, 은행 계정, 지불결제 계정 등등) 관련 정보이다. 상기 계정 매개변수들은 (예컨대, 판매 시점 관리(point-of-sale; POS) 단말기와 같은 액세스 기기의 비접촉 판독기 부근에 상기 휴대용 통신 기기를 배치함으로써) 휴대용 통신 기기가 사용자의 계정을 통한 트랜잭션을 수행할 수 있게 하도록 상기 휴대용 통신 기기에 제공될 수도 있고 상기 휴대용 통신 기기에 프로비저닝될 수도 있다.

계정 매개변수들은 한 세트의 반-정적 데이터 및 한 세트의 동적 데이터를 포함하며, 상기 계정 매개변수들 중 일부 또는 모두가 제한적 사용 계정 매개변수들일 수 있다. 상기 한 세트의 반-정적 데이터는 사용자에 연관된 계정을 식별하는데 사용될 수 있는 식별자(예컨대, 주 계정 번호(primary account number; PAN), 대체 PAN과 같은 대체 계정 식별자, 또는 계정 식별자의 대용인 토큰 등등), 유효 기간, 및/또는 연장된 시간 주기 동안, 또는 몇몇 실시 예들에서 상기 계정의 존속기간 동안 반드시 변경할 필요가 없는 다른 계정 세부 또는 데이터를 포함할 수 있다. 상기 한 세트의 동적 데이터는 하나 이상의 키들, 상기 하나 이상의 키들에 연관된 정보, 및/또는 제한적 수명기간을 지니는 다른 동적 데이터를 포함할 수 있으며, 계정의 존속기간 동안 반복해서 갱신 또는 보충된다. 상기 한 세트의 동적 데이터는 동적 트랜잭션 암호들의 온-디바이스 생성용으로 사용될 수도 있고, 동적 트랜잭션 암호들의 온-디바이스 생성에 관련된 것일 수도 있으며, 지불결제 트랜잭션들 동안 동적 트랜잭션 데이터를 나타낼 수도 있다.

상기 한 세트의 동적 데이터는 상기 한 세트의 동적 데이터가 단지 트랜잭션의 제한적 시간 또는 제한적 횟수만큼 사용될 수 있다는 의미에서 제한적 사용일 수 있으며, 상기 한 세트의 동적 데이터가 그의 제한적 사용을 소진한 경우에 연장, 재생, 업데이트, 또는 보충될 필요가 있을 수 있다. 예를 들면, 상기 한 세트이 동적 데이터는 트랜잭션 동안 트랜잭션 암호를 생성하는데 암호화 키로서 사용되는 제한적 사용 키(limited-use key; LUK)를 포함할 수 있다. 상기 LUK는 상기 LUK의 사용을 한정하는 한 세트의 하나 이상의 제한적 사용 임계값들에 연관될 수 있는데, 이 경우에 일단 상기 LUK의 사용이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 소진 또는 초과하면, 그러한 LUK를 사용하여 수행되는 부가적인 트랜잭션은 심지어 기본 계정이 여전히 양호한 상태에 있더라도 거부되게 된다. 적용할 상기 한 세트의 하나 이상의 제한적 사용 임계값들은 예를 들면 상기 계정의 발행자에 의해서나 상기 클라우드-기반 트랜잭션 서비스를 제공하는 클라우드-기반 지불결제 플랫폼에 의해서 결정될 수 있다.

상기 한 세트의 하나 이상의 제한적 사용 임계값들은 상기 LUK가 유효한 시간 주기를 나타내는 생존기간, 상기 LUK가 유효한 사전에 결정된 트랜잭션 횟수, 및/또는 상기 LUK가 유효한 하나 이상의 트랜잭션들에 걸쳐 합산되는 총 트랜잭션 액수를 나타내는 누적 트랜잭션 액수, 또는 이들의 조합 중의 적어도 하나를 포함할 수 있다. 예를 들면, LUK는 5일의 생존시간 동안 유효할 수 있고, LUK가 생성된 이래로 5일이 경과한 후에 그러한 LUK를 사용하여 수행되는 트랜잭션은 거부될 수 있다. 다른 한 예로서, LUK는 사전에 결정된 5번 트랜잭션 횟수 동안 유효할 수 있고, 그러한 LUK를 사용하여 수행되는 6번째 트랜잭션(및 임의의 차후 트랜잭션)은 거부될 수 있다. 부가적인 예로서, LUK는 500달러의 누적 트랜잭션 액수에 대해 유효할 수 있으며, 총계가 500달러를 넘는 트랜잭션들에 대해 LUK가 이미 사용된 후에 그러한 LUK를 사용하여 수행된 트랜잭션은 거부될 수 있다.

여기서 이해하여야 할 점은 위에서 설명한 제한적 사용 값들이 단지 예들일 뿐이며 다른 한도들이 사용될 수 있다는 점이다. 예를 들면, 트랜잭션 사용 한도 횟수는 2 내지 10번 트랜잭션 범위의 횟수, 또는 5 내지 50번 트랜잭션 범위의 횟수 등등으로 설정될 수 있으며, 상기 누적 트랜잭션 액수는 $100 내지 $5,000 범위의 금액, 또는 $10 내지 $5,000 범위의 금액, 또는 $10 내지 $1000 범위의 금액으로 설정될 수 있다.

또한, 여기서 유념해야 할 점은 몇몇 실시 예들에서, 제한적 사용 임계값 트랜잭션들의 횟수는 각각의 LUK가 단지 한 번의 트랜잭션에 대해 유효하도록 한 번의 트랜잭션으로 설정될 수 있다. 그러나 몇몇 실시 예들에서, 휴대용 통신 기기에 이용 가능한 네트워크 대역폭은 제한적일 수도 있고, 상기 휴대용 통신 기기는 항상 끊김 없는 네트워크 접속을 지니지 않을 수도 있다. 이 때문에, 제한적 사용 임계값 트랜잭션 횟수는 예를 들면 시간 경과에 따른 LUK 보충들의 빈도 및 액수를 감소시키고, 결과적으로는 시간 경과에 따른 상기 휴대용 통신 기기에 의해 사용된 네트워크 트래픽량을 감소시키도록 몇몇 실시 예들에서 2번 이상의 트랜잭션(예컨대, 5번 트랜잭션)으로 설정될 수 있다.

몇몇 실시 예들에서, 상기 한 세트의 하나 이상의 제한적 사용 임계값들은 또한 국제 트랜잭션들 대 국내 트랜잭션들에 대해 별도의 한도들을 나타내는 국제 사용 임계값 및 국내 사용 임계값을 포함할 수 있다. 예를 들면, LUK가 유효할 수 있는 트랜잭션 횟수는 국제 트랜잭션들이 더 위험한 것으로 간주하게 된다면 국제 트랜잭션들에 대해서보다 국내 트랜잭션들에 대해서 더 많을 수 있다. 상기 한 세트의 하나 이상의 제한적 사용 임계값들은 또한 적은 금액 트랜잭션들 대 많은 금액 트랜잭션들에 대해 별도의 한도들을 나타내는 적은 금액 트랜잭션 임계값 및 많은 금액 트랜잭션 임계값을 포함할 수 있다. 예를 들면, LUK가 유효할 수 있는 트랜잭션 횟수는 많은 금액 트랜잭션들(예컨대, LUK가 $20를 넘는 5번의 트랜잭션에 대해 유효함)에 대해서보다 적은 금액 트랜잭션들(예컨대, LUK가 $20를 넘지 않는 10번의 트랜잭션에 대해 유효함)에 대해서 많을 수 있고 그럼으로써 적은 금액 트랜잭션들이 많은 금액 트랜잭션들보다 덜 빈번하게 LUK의 보충을 트리거하게 한다.

몇몇 실시 예들에서, 한 계정에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들은 상기 LUK가 보충될 때 변경할 수 있고, 그럼으로써 이전의 LUK를 대체하는 새로운 LUK가 이전의 LUK보다 하나 이상의 서로 다른 사용 한도들을 지닐 수 있게 한다. 이는 예를 들면 소비자 소비 습관의 변화들, 상기 휴대용 통신 기기의 위치, 또는 매년의 시기 따위에 기반을 두고 이루어질 수 있다. 예를 들면, 새로운 LUK는 사용자가 여러 번의 많은 금액 트랜잭션을 수행하는 최근 패턴을 지니는 경우에나, 트랜잭션 행위가 증가할 것으로 예상되는 휴가 시즌 동안에 많은 사용 한도를 지닐 수 있다. 다른 일 예로서, 사기가 만연한 위험도가 높은 국가로 사용자가 여행했을 수 있음을 휴대용 통신 기기의 위치가 나타내는 경우에 새로운 LUK가 적은 사용 한도를 지닐 수 있다.

LUK가 2개 이상의 제한적 사용 임계값에 연관되는 실시 예들에서, 상기 LUK의 사용은 상기 제한적 사용 임계값들 중 어느 하나를 초과할 때 또는 상기 제한적 사용 임계값들의 특정 조합을 초과할 때 상기 LUK의 사용이 소진될 수 있다. 이러한 이유로, 상기 LUK의 보충은 상기 제한적 사용 임계값들 중 어느 하나를 초과하거나, 초과할 예정일 때, 또는 상기 제한적 사용 임계값들의 특정 조합을 초과하거나 초과할 예정일 때 트리거될 수 있다.

몇몇 실시 예들에서, 한 계정의 LUK에 연관된 제한적 사용 임계값은 상기 클라우드-기반 트랜잭션 시스템의 서로 다른 컴포넌트들 또는 엔티티들에서 구성된 서로 다른 사용 한도들을 지닐 수 있다. 다시 말하면, 서로 다른 컴포넌트들 또는 엔티티들은 상기 LUK의 보충을 트리거하도록 특정한 제한적 사용 임계값에 대해 서로 다른 사용 한도들을 지닐 수 있다. 서로 다른 사용 한도들을 가지고 구성될 수 있는 컴포넌트들 또는 엔티티들은 예를 들면 사용자의 휴대용 통신 기기, 클라우드-기반 서비스 제공자, 및/또는 발행자/호스트 시스템을 포함할 수 있다. 몇몇 실시 예들에 의하면, 상기 휴대용 통신 기기에서의 사용 한도는 클라우드-기반 서비스 제공자에서의 사용 한도보다 낮게 설정될 수 있으며, 상기 클라우드-기반 서비스 제공자에서의 사용 한도는 상기 발행자에서의 사용 한도보다 낮게 설정될 수 있다. 예를 들면, LUK는 생존시간의 제한적 사용 한도를 지닐 수 있으며, 상기 휴대용 통신 기기에서의 상기 LUK의 보충을 트리거하도록 하는 온-디바이스 사용 한도는 2일로 설정될 수 있고, 상기 클라우드-기반 서비스 제공자에서의 서비스 제공자 사용 한도는 4일로 설정될 수 있으며, 상기 발행자에서의 발행자 사용 한도는 5일로 설정될 수 있다. 이러한 예에서, 상기 휴대용 통신 기기는 보통 2일 후 상기 LUK의 보충을 개시하게 된다. 그러나 상기 휴대용 통신 기기가 꺼져 있거나 상실된 네트워크 접속을 지니는 경우에, 상기 클라우드-기반 서비스 제공자는 4일 후 상기 LUK의 보충을 개시할 수도 있고, 상기 LUK가 오래된 상태에 있지 않음을 확실하게 하기 위해 상기 LUK가 5일 전에 연장되지 않는 경우에, 상기 발행자는 5일 후 상기 LUK의 보충을 개시할 수도 있다.

몇몇 실시 예들에서, 상기 클라우드 기반 트랜잭션 시스템의 서로 다른 컴포넌트들 또는 엔티티들은 LUK 보충을 트리거할 수 있는 서로 다른 제한적 사용 임계값들을 가지고 구성될 수 있다. 예를 들면, 상기 휴대용 통신 기기상에 구성된 온-디바이스 세트의 하나 이상의 제한적 사용 임계값들은 상기 휴대용 통신 기기에 의해 개시되는 LUK 보충을 트리거하게 하는 횟수 및 생존시간을 포함할 수 있고, 상기 클라우드 기반 서비스 제공자 및/또는 상기 발행자/호스트 시스템은 상기 클라우드-기반 서비스 제공자 및/또는 상기 발행자/호스트 시스템에 의해 개시되는 LUK 보충을 트리거하도록 누적 트랜잭션 액수를 가지고 추가로 또는 변형적으로 구성될 수 있다. 다시 말하면, 서로 다른 컴포넌트들 또는 엔티티들은 상기 LUK의 보충을 트리거하도록 서로 다른 타입들의 조건들 또는 제한적 사용 임계값들을 모니터링할 수 있다.

몇몇 실시 예들에서, 상기 세트의 하나 이상의 제한적 사용 임계값들은 계정에 특유한 것(예컨대, 서로 다른 계정들이 서로 다른 사용 한도들을 지닐 수 있는 경우)일 수도 있고, 휴대용 통신 기기에 특유한 것(예컨대, 비록 기본 계정이 동일하더라도 사용자의 서로 다른 휴대용 통신 기기들이 서로 다른 사용 한도들을 지닐 수 있는 경우)일 수도 있으며, 그리고/또는 모바일애플리케이션에 특유한 것(예컨대, 비록 모바일 애플리케이션들이 동일한 휴대용 통신 기기상에 설치되고 그리고/또는 기본 계정이 동일하더라도 서로 다른 모바일 애플리케이션들이 서로 다른 사용 한도들을 지닐 수 있는 경우)일 수도 있다. 몇몇 실시 예들에서, 상기 LUK는 또한, 어떤 타입의 상인, 어떤 특정한 상인, 또는 상기 LUK가 사용될 수 있는 어떤 지리적 위치와 같은 다른 사용 제한들을 지닐 수 있다. 상기 LUK 보충을 트리거하고 그리고/또는 제한적 사용 임계값들을 설정하기 위한 특정한 규칙들 또는 위험 매개변수들은 발행자 또는 클라우드-기반 트랜잭션 제공자에 의해 결정될 수 있다.

한 세트의 동적 데이터는 또한 상기 LUK에 연관된 키 인덱스를 포함할 수 있다. 상기 키 인덱스는 상기 LUK의 생성에 관련된 정보를 포함할 수 있다. 예를 들면, 상기 키 인덱스는 그의 상응하는 LUK를 생성하는데 시드(seed)로서 사용될 수 있다. 상기 키 인덱스는 상기 LUK가 생성될 경우를 나타내는 시간 정보(예컨대, 타임스탬프)를 포함할 수도 있고, 그리고/또는 상기 LUK가 특정 계정, 모바일 애플리케이션, 또는 휴대용 통신 기기에 대해 연장 또는 보충되었던 횟수를 나타내는 보충 카운터 값을 포함할 수도 있다. 몇몇 실시 예들에서, 상기 보충 카운트 값은 상기 LUK가 사전에 결정된 시간 주기 내에 보충되었던 횟수를 나타낼 수도 있고, 각각의 사전에 결정된 시간 주기가 경과한 경우에 상기 보충 카운터 값이 리셋될 수 있다. 이러한 사전에 결정된 시간 주기는 예를 들면 시간 정보로부터 결정 가능한 최소 시간 단위에 상응할 수 있지만, 다른 사전에 결정된 시간 주기들이 사용될 수 있다. 일 예로서, 상기 키 인덱스에 포함된 시간 정보가 현재 LUK가 몇 시간까지 생성되는지를 나타내는 경우에, 상기 카운터 값은 상기 LUK가 그 시간 내에 보충되었던 횟수를 나타낼 수 있다. 몇몇 실시 예들에서, 상기 LUK는 상기 LUK가 생성되는 시간에 상기 휴대용 통신 기기의 모바일 애플리케이션에 의해 이전에 수행되었던 트랜잭션 횟수를 나타내는 애플리케이션 트랜잭션 카운터 값을 포함할 수도 있고, 클라우드-기반 트랜잭션 서비스 제공자에 의해서나 상기 트랜잭션을 처리하는데 관련된 발행자와 같은 적합한 엔티티에 의해 생성되는 연관된 의사 난수(pseudo random number)를 포함할 수 있다. 여기서 이해해야 할 점은 상기 키 인덱스가 상기 LUK의 생성에 관련된 하나 이상의 정보 일부를 포함할 수 있고, 상기 키 인덱스에 포함된 하나 이상의 정보 일부 또는 모든 정보 일부가 상기 LUK를 생성하는데 시드로서 사용될 수 있다는 점이다.

몇몇 실시 예들에서, 한 세트의 반-정적 데이터는 또한 한 세트의 자신들 자체의 제한적 사용 임계값들 및/또는 한 세트의 자신들 자체의 사용 제한들을 지니는 제한적 사용 계정 매개변수들을 포함할 수 있다. 비록 몇몇 실시 예들에서, PAN과 같은 계정 식별자가 상기 휴대용 통신 기기상에서 사용 및 저장될 수 있지만, PAN은 한 계정의 존속 기간 동안 유효할 수 있으며 폭넓은 범위의 서로 다른 타입들의 트랜잭션들(예컨대, 카드를 통한 트랜잭션들, 온라인 트랜잭션들 등등)에 대해 사용될 수 있다. 이 때문에, 상기 휴대용 통신 기기의 보안을 부가적으로 향상시키기 위해 그리고 계정 매개변수들이 손상된 경우의 영향을 줄이기 위해, 몇몇 실시 예들에서, 상기 휴대용 통신 기기에서 PAN을 사용하고 저장하는 대신에, 계정 식별자의 대용인 토큰 또는 대체 계정 식별자(예컨대, 대체 PAN)가 사용될 수 있다.

계정은 상기 계정에 연관된 하나 이상의 대체 계정 식별자들 및/또는 토큰들을 지닐 수 있다. 각각의 대체 계정 식별자 또는 토큰은 상기 대체 계정 식별자 또는 토큰이 사용될 수 있는 타입의 트랜잭션들에 한정될 수 있다. 예를 들면, 계정은 단지 온라인 트랜잭션들에 대해서만 사용될 수 있는 제1 토큰 및 단지 클라우드-기반 트랜잭션들에 대해서만 사용될 수 있는 제2 토큰에 연관될 수 있으며, 상기 클라우드-기반 토큰을 사용하여 수행되는 온라인 트랜잭션은 거부되게 된다. 다른 타입들의 사용 제한들은 어떤 타입의 상인 또는 어떤 상인 및/또는 상기 대체 계정 식별자 또는 토큰이 사용될 수 있는 어떤 지리적 위치에 대한 제한들을 포함할 수 있다.

대체 계정 식별자 또는 토큰은 또한 한 세트의 자기 자신의 제한적 사용 임계값들(예컨대, 생존시간, 트랜잭션 회수, 및/또는 누적 트랜잭션 액수 등등)을 지닐 수 있다. 몇몇 실시 예들에서, 대체 계정 식별자 또는 토큰의 제한적 사용 임계값들은 상기 대체 계정 식별자 또는 토큰의 보충이 덜 빈번하게 이루어지도록 한 세트의 동적 데이터(예컨대, LUK)의 사용 한도들보다 많은 사용 한도들을 지닐 수 있다. 예를 들면, 대체 계정 식별자 또는 토큰은 일년의 생존시간을 지닐 수 있지만 LUK의 생존시간은 5일일 수 있다. 다른 일 예로서, 대체 계정 식별자 또는 토큰은 2천 번 트랜잭션에 이르기까지 유효할 수 있지만 LUK는 5번 트랜잭션에 이르기까지 유효할 수 있다. 여기서 이해하여야 할 점은 몇몇 실시 예들에서, 상기 대체 계정 식별자 또는 토큰의 사용 한도들이 또한 한 세트의 동적 데이터(예컨대, LUK)의 사용 한도들과 동일하도록 설정될 수 있고, 그럼으로써 상기 대체 계정 식별자 또는 토큰의 보충이 한 세트의 동적 데이터와 동일 횟수로 이루어지게 된다는 점이다.

II. 클라우드-기판 트랜잭션 시스템 개요

클라우드-기반 트랜잭션 시스템에서, 계정들의 발행자들은 위험 매개변수들, 결과적으로는 특정 포트폴리오에 속하는 계정들에 대한 계정 매개변수들의 제한적 사용 임계값들을 한정하도록 서비스 포트폴리오 특성들을 구성할 수 있다. 상기 제한적 사용 임계값들은 프로비저닝된 휴대용 통신 기기상의 계정 매개변수들을 재생 또는 보충하기 위한 트리거들을 관리하는데 사용될 수 있다. 상기 클라우드-기반 트랜잭션들이 계정에 대한 서비스 프로파일에서 특정된 위험 매개변수들에 따라 처리되는 것을 확실하게 하기 위해, 여러 핵심 기능들이 시스템에서 상기 계정 매개변수들의 배포 및 사용을 관리하도록 구현된다. 이러한 기능들은 프로비저닝, 활성 계정 관리, 지불결제 검증, 트랜잭션 처리, 수명주기 관리, 및 사후-지불결제 처리를 포함할 수 있다.

프로비저닝(provisioning)은 등록된 계정을 취하고, 클라우드-기반 트랜잭션들에 대한 등록된 계정을 식별하도록 하는 식별자와 같은 계정 매개변수들(예컨대, 대체 PAN 또는 토큰과 같은 대체 계정 식별자) 및 상기 계정 매개변수들이 상기 휴대용 통신 기기로의 배포 후에 단지 식별자와 같은 계정 매개변수들이 단지 제한적 사용만을 지니는 것을 확실하게 하도록 하는 한 세트의 초기 동적 데이터를 생성하며, 그리고 상기 등록된 계정이 포함되는 포트폴리오에 대해 확립되었던 서비스 프로파일(예컨대, 제한적 사용 임계값들)을 상속하는 것을 수반할 수 있다. 지원되는 타입의 트랜잭션들에 의존하여, 한 세트의 동적 데이터는 LUK 및/또는 키 인덱스와 같은 다른 동적 데이터를 포함할 수 있다. 예를 들면, 상기 LUK는 검증 값들(예컨대, 동적 카드 검증 값(dynamic card verification value(dCVV))을 사용하는 레거시(legacy) 트랜잭션들을 지원하도록 하는 검증 값과 같은 트랜잭션 암호 또는 제한적 사용 동적 데이터를 계산하는데 트랜잭션 동안 상기 휴대용 통신 기기에 의해 사용될 수 있다.

계정이 상기 휴대용 통신 기기상에 프로비저닝된 후에, 관련 서비스 프로파일 세부들(예컨대, 제한적 사용 임계값들)은 트랜잭션 승인 결정들이 적절하게 취급되는 것을 확실하게 하기 위해 시스템에서 트랜잭션 처리 소프트웨어 및 엔티티들과 공유될 수 있다. 그 외에도, 상기 서비스 프로파일 세부들(예컨대, 제한적 사용 임계값들)은 상기 계정 매개변수들이 상기 휴대용 통신 기기상에서 적절히 핸들링되는 것을 확실하게 하도록 상기 휴대용 통신 기기상에 설치된 모바일 애플리케이션의 온-디바이스 클라우드-기반 트랜잭션 소프트웨어에 제공될 수 있다. 위에서 검토한 바와 같이, 계정 매개변수 보충을 트리거하기 위한 서로 다른 사용 한도들은 상기 클라우드-기반 트랜잭션 시스템 내의 서로 다른 엔티티들에서 설정될 수 있고, 결과적으로는 서비스 프로파일은 계정 매개변수 보충을 개시할 수 있는 서로 다른 엔티티들(예컨대, 휴대용 통신 기기, 클라우드-기반 서비스 제공자, 발행자 등등)에서 설정될 각각의 제한적 사용 임계값의 서로 다른 사용 한도들을 정의할 수 있다.

프로비저닝 후에, 상기 클라우드-기반 트랜잭션 시스템은 상기 계정 매개변수의 연장 또는 보충을 개시하도록 활성 계정 관리를 수행할 수 있다. 상기 활성 계정 관리 프로세스들은 트랜잭션 처리 행위에 의해 트리거될 수도 있고 상기 휴대용 통신 기기상에서 실행하는 모바일 애플리케이션에 의해 개시될 수도 있다. 상기 기기상의 계정 매개변수들이 대체되어야 함(상기 기기상의 계정 매개변수들의 사용 한도들을 소진했음)을 특정 계정에 대한 서비스 프로파일 매개변수들이 나타내는 경우에, 상기 활성 계정 관리 기능은 이를 인식하고 상기 휴대용 통신 기기에 접속을 시도하여 상기 계정 매개변수들을 보충한다. 추가로나 변형적으로, 계정 매개변수 보충이 필요하거나 필요한 시기에 가까움을 상기 모바일 애플리케이션에 의해 관리되는 온-디바이스 서비스 프로파일 매개변수들이 나타내는 경우에, 상기 모바일 애플리케이션은 계정 매개변수 보충을 요구할 수 있다.

지불결제 검증을 제공하기 위해, 상기 클라우드-기반 트랜잭션 시스템은 또한 트랜잭션이 상기 휴대용 통신 기기의 적합한 사용자에 의해 개시 및 의도되었다는 어떤 검증 레벨을 제공하도록 상기 트랜잭션 이전이나 상기 트랜잭션 동안 상기 지불결제 처리 네트워크에 온-디바이스 검증 기능들을 제공하도록 하는 기능을 지닌다. 상기 온-디바이스 검증은 프로비저닝된 계정들에 대한 검증으로서 사용될 수 있는 카드 보유자 검증 방법(cardholder verification method; CVM)들을 포함할 수 있다. 포트폴리오에 대한 서비스 프로파일의 일부로서, CVM(예컨대, 스크린 록, 애플리케이션 패스코드 등등)으로서 사용될 수 있는 것에 대한 특정 규칙들이 확립되어 상기 프로비저닝, 활성 계정 관리, 및 트랜잭션 처리 기능들과 공유될 수 있다.

계정이 프로비저닝된 후에, 상기 시스템의 트랜잭션 처리 기능은 수행되고 있는 트랜잭션이 클라우드-기반 계정을 사용하여 수행된다는 인식을 제공할 수 있다. 클라우드-기반 계정이 식별될 때, 상기 클라우드-기반 트랜잭션 시스템의 트랜잭션 처리 기능은 서비스 프로파일 매개변수들(예컨대, 제한적 사용 임계값들)이 검증, 적용, 그리고 트랜잭션 처리 메시지들에서 상기 발행자에게 전달됨을 확실하게 할 수 있다. 이러한 기능을 또한 임의의 필요한 활성 계정 관리 액션들이 개시됨을 확실하게 한다. 예를 들면, 트랜잭션 동안 제공되는 계정 식별 정보는 계정 식별 정보가 클라우드-기반 트랜잭션들에 전용되는 계정 식별자 범위(예컨대, PAN 범위)에 상응하는 경우에나 상기 계정 식별 정보가 단지 클라우드-기반 트랜잭션들에 대해서만 사용되는 대체 PAN 또는 토큰에 상응하는 경우에 계정을 클라우드-기반 계정으로서 식별하는데 사용될 수 있다.

계정이 클라우드-기반 트랜잭션들에 대해 프로비저닝된 후에, 상기 수명주기 관리 기능은 사용자 또는 발행자가 상기 프로비저닝된 계정의 수명주기를 관리하는 것을 허용할 수 있다. 계정의 정지 또는 삭제와 같은 수명주기 관리 이벤트들은 소비자에 의해 개시될 수 있다. 예를 들면, 소비자에 의한 상실되거나 도난당한 휴대용 통신 기기 및/또는 관련 카드의 보고는 휴대용 통신 기기로부터의 계정의 정지 또는 삭제를 트리거할 수도 있고, 사용자는 상기 휴대용 통신 기기로부터 프로비저닝된 계정을 없애도록 선택할 수 있다. 수명주기 관리 이벤트들은 또한, 예를 들면 위험 관리 또는 계정 재발행 행위들에 기반을 두고 발행자에 의해 개시될 수 있다. 몇몇 실시 예들에서, 상인들 또는 다중-발행자 모바일 월렛 제공자들을 포함해, 클라우드-기반 트랜잭션들의 처리에나 클라우드-기반 계정들의 관리에 관련될 수 있는 다른 당사자들이 또한 수명주기 액션들을 개시할 수 있다.

도 1에는 몇몇 실시 예들에 따른 클라우드-기반 트랜잭션 시스템(100)이 예시되어 있다. 시스템(100)의 핵심 컴포넌트들은 휴대용 통신 기기(101)를 사용하여 수행되는 클라우드-기반 트랜잭션들을 관리하도록 클라우드-기반 지불결제 플랫폼(cloud-based payments platform; CBPP)(180) 및 모바일 애플리케이션 플랫폼(mobile application platform; MAP)(170)을 포함할 수 있다. CBPP(180)는 원격 컴퓨터로 지칭될 수 있으며, 하나 이상의 서버 컴퓨터들와 같은 하나 이상의 컴퓨팅 기기들 또는 컴퓨터들을 사용하여 구현될 수 있고, 발행자, 지불결제 프로세서, 및/또는 다른 적합한 엔티티들과 같은 클라우드-기반 서비스 제공자에 연관될 수도 있고 발행자, 지불결제 프로세서, 및/또는 다른 적합한 엔티티들과 같은 클라우드-기반 서비스 제공자에 의해 동작될 수도 있다. CBPP(180)는 클라우드-기반 계정들을 관리할 수도 있고, 클라우드-기반 트랜잭션들에 대한 검증 기능들을 제공할 수도 있으며, 발행자/호스트 시스템(172) 또는 MAP(170)로부터의 수명주기 메시지들을 관리할 수도 있과 아울러, 수명주기 관리 이벤트들을 개시할 수도 있다. CBPP(180)는 또한, 사후 지불결제 기능들을 지니는 발행자/호스트 시스템(172)에게 위조 계정 매개변수들에 대한 위험을 완화시키고, 그리고 상기 기기상에 저장된 계정 매개변수들에 대한 노출을 제한하는데 도움을 줄 수 있다. 예를 들면, CBPP(180)는 사후 지불결제 정보를 사용한 지불결제 트랜잭션들의 주기적인 사후 지불결제 검증 및/또는 계정 매개변수 보충 요구들의 확인에 대한 요구들을 용이하게 하는데 사용될 수 있다.

또한, CBPP(180)는 클라우드-기반 트랜잭션들에 대한 제한적 사용 키(LUK)들이 획득되게 하는 발행자 마스터 획득 키(issuer master derivation key)들을 관리하는 한 세트의 키 관리 기능들을 구현할 수 있다. CBPP(180)는 휴대용 통신 기기(110) 상의 휴대용 애플리케이션(112)의 초기 셋업을 위해 MAP(170)에 대한 클라우드-기반 계정 매개변수들(예컨대, 대체 계정 식별자 또는 토큰, 초기 LUK 및 관련 키 인덱스 등등)의 준비 및 배포를 관리하는 한 세트의 프로비저닝 기능들을 구현할 수 있다. CBPP(180)는 또한, 발행자/호스트 시스템(172)에 의한 처리를 위한 클라우드-기반 계정들을 관리할 수 있으며, CBPP(180) 위험 관리 매개변수들에 대한 클라우드-기반 계정의 위험 프로파일 또는 요구들에 기반을 두고 계정 매개변수를 생성하도록 하는 기능들과 같은 활성 계정 관리 기능들을 수행할 수 있다. CBPP(180)는 또한, 각각의 클라우드-기반 계정에 대한 계정 상태를 유지하고, 상기 계정 매개변수들의 보충 또는 유지를 관리할 수 있다.

몇몇 실시 예들에서, CBPP(180)는 또한 토큰 서비스(182) 및/또는 토큰 볼트(token vault)(184)에 대한 액세스를 구현할 수도 있고 토큰 서비스(182) 및/또는 토큰 볼트(token vault)(184)에 대한 액세스를 구비할 수도 있다. 토큰 서비스(182)는 계정 식별자들에 대한 대용 식별자들인 토큰들을 생성, 처리, 및 유지하는데 사용될 수 있다. 트랜잭션 동안, 실제 계정 식별자(예컨대, 주 계정 번호(primary account number; PAN)를 사용하여 사용자의 계정을 식별하는 대신에, 토큰이 상기 계정을 식별하는데 그 대신 사용될 수 있다. 계정 식별자의 대용으로서 토큰을 사용함으로써, 실제 계정 정보를 포함하는 위험이 완화될 수 있다. 위에서 언급한 바와 같이, 토큰은 한 세트의 토큰 자체의 사용 제한들을 지닐 수 있으며, 토큰 서비스(182)는 토큰들의 사용 제한들에 따른 토큰들의 배포 및 사용을 관리할 수 있다. 토큰 서비스(182)는 생성된 토큰들이 저장되어 있는 토큰 볼트(184)와의 통신을 이루고 있을 수 있다. 구체적으로 기술하면, 토큰 볼트(184)는 토큰 및 토큰에 의해 대표되는 실제 계정 식별자(예컨대, PAN) 간의 매핑을 유지할 수 있다. 트랜잭션 처리 동안, 토큰 볼트(184)는 상기 토큰에 연관된 실제 계정 식별자 또는 PAN을 회수하도록 질의될 수 있다.

MAP(170)는 휴대용 통신 기기(101) 상에서 실행하는 모바일 애플리케이션(112) 및 CBPP(180) 및/또는 발행자/호스트 시스템(172) 등등과 같은 클라우드-기반 트랜잭션 시스템(100) 내의 다른 엔티티들 간의 통신들을 용이하게 하는데 사용된다. MAP(170)는 인터넷과 같은 통신 네트워크(192)를 통해 휴대용 통신 기기(101)와 통신할 수 있다. 일부 환경들에서, 휴대용 통신 기기(101)가 항상 지속적인 네트워크 접속을 지니지 않을 수 있고, 결과적으로 MAP(170)의 주 역할이 휴대용 통신 기기(101)에 대한 네트워크 접속이 확립되는 즉시 모바일 애플리케이션(112)을 포함하는 요구들 및 응답들이 이행되는 것을 확실하게 하기 위해 모바일 애플리케이션(112) 및 상기 클라우드-기반 트랜잭션 시스템(10) 내의 다른 엔티티들 간에 요구들을 중계하는 것이다. MAP(170)는 원격 컴퓨터로 지칭될 수 있으며, 하나 이상의 서버 컴퓨터들과 같은 하나 이상의 컴퓨팅 기기들 또는 컴퓨터들을 사용하여 구현될 수 있으며, 모바일 애플리케이션(112)의 제공자에 연관될 수도 있고 모바일 애플리케이션(112)의 제공자에 의해 동작될 수도 있다. 모바일 애플리케이션(112)의 제공자는 예를 들면 발행자, 은행, 제자 모바일 월렛 제공자, 상인, 또는 다른 적합한 엔티티들일 수 있다. 몇몇 실시 예들에서, MAP(170)는 CBPP(180)와 같은 엔티티에 연관될 수도 있고 CBPP(180)와 같은 엔티티에 의해 동작될 수도 있으며, MAP(170)와 CBPP(180)와 같은 엔티티가 별개일 수도 있다. 비록 CBPP(180)가 휴대용 통신 기기들과 직접 통신하는 것으로 예상되지 않기 때문에 도 1에서 MAP(170)가 별도의 논리 엔티티로서 예시되어 있지만, 여기서 이해하여야 할 점은 몇몇 실시 예들에서, MAP(170)의 기능들 중 일부 또는 모두가 CBPP(180)의 일부로서 일체화될 수 있다는 점이다. MAP(170)의 예들은 모바일 뱅킹 플랫폼들 및 모바일 월렛 플랫폼들을 포함할 수 있다.

몇몇 실시 예들에서, MAP(170)는 휴대용 통신 기기(101)가 MAP(170)를 통해 클라우드-기반 트랜잭션 시스템(100) 내의 다른 엔티티들과 통신할 경우에 휴대용 통신 기기(101)를 인증하도록 하는 인증 기능들을 구현할 수 있다. 상기 인증 기능들은 상기 시스템과 통신하는 휴대용 통신 기기가 승인된 휴대용 통신 기기 및/또는 해킹되지도 않았고, 악성 코드 또는 바이러스에 감염되지도 않았으며, 이와는 달리 손상되지도 않았던 휴대용 통신 기기임을 확실하게 할 수 있다. 예를 들면, MAP(170)는 휴대용 통신 기기(101)가 MAP(170)와 통신할 때 휴대용 통신 기기(101)의 상태를 캡처하도록 휴대용 통신 기기(101)의 디바이스 지문(device fingerprint)을 수행할 수도 있고, 휴대용 통신 기기(101)의 디바이스 지문을 요구할 수도 있으며 휴대용 통신 기기(101)의 디바이스 지문을 용이하게 할 수도 있다. 상기 디바이스 지문은 예를 들면 운영 체계 및 버전, 휴대용 통신 기기(101) 상에 설치된 애플리케이션들, 메모리 사용, 휴대용 통신 기기(101)의 탈옥 여부, 휴대용 통신 기기 식별자와 같은 기기 식별자들, 및/또는 다른 적합한 기기 특성들과 같은 휴대용 통신 기기(101)에 대한 정보를 캡처할 수 있다.

MAP(170)는 휴대용 통신 기기(101)와 확립된 각각의 통신 세션에 대해 또는 주기적으로(예컨대, 5번의 통신 세션마다 한 번, 한 달에 한 번 등등) 휴대용 통신 기기(101)의 디바이스 지문을 검증할 수 있다. 휴대용 통신 기기가 한 계정에 대한 승인된 기기가 아님(예컨대, 계정 매개변수들의 보충을 요구하는 휴대용 통신 기기가 상기 계정을 등록하는데 사용된 원래의 기기와는 다른 통신 기기임을 휴대용 통신 기기의 디바이스 지문이 나타내는 경우, 또는 상기 휴대용 통신 기기가 잠재적으로 해킹될 수 있음을 상기 디바이스 지문이 나타내는 경우, MAP(170)는 상기 휴대용 통신 기기가 상기 시스템과 통신하지 못하게 하고 상기 휴대용 통신 기기가 손상되었을 수 있음을 상기 발행자에게 경고할 수 있다.

MAP(170)는 클라우드-기반 트랜잭션 프로그램 내에 모바일 카드 보유자를 등록하도록 하는 등록 기능들, 및 모바일 애플리케이션(112)에 대한 계정 매개변수들, 구성, 및 클라우드-기반 지불결제 디바이스 임계값 매개변수들의 준비 및 배포를 용이하게 하는 한 세트의 프로비저닝 기능들을 수행할 수 있다. MAP(170)는 휴대용 통신 기기(101) 상에 프로비저닝되는 클라우드-기반 계정에 대한 계정 매개변수 보충 프로세스를 용이하게 하도록 하는 계정 매개변수 보충 기능들, 및 발행자/호스트 시스템(172), CBPP(180), 및/또는 모바일 애플리케이션(112)으로부터의 수명주기 메시지들을 관리하는 수명주기 관리 기능들을 수행할 수 있다. MAP(170)는 또한 계정 매개변수 보충 요구들을 확인하도록 하는 사후 지불결제 정보의 사용 또는 지불결제 트랜잭션들의 주기적인 사후 지불결제 검증을 용이하게 하는 것과 같은, 위조 계정 매개변수들에 대한 위험을 완화하고, 그리고 휴대용 통신 기기(101) 상에 저장된 계정 매개변수들에 대한 노출을 제한하도록 하는 사후-지불결제 기능들을 수행할 수 있다.

클라우드-기반 트랜잭션 시스템(100)에서, 휴대용 통신 기기(101)는 CBPP(180) 및/또는 MAP(170)에 의해 용이하게 되는 클라우드-기반 트랜잭션들을 수행하는데 사용될 수 있다. 휴대용 통신 기기(101) 내의 컴포넌트들은 디바이스 하드웨어(104), 모바일 운영 체계(operating system; OS)(114), 및 모바일 애플리케이션(112)이 상주할 수 있는 애플리케이션 환경(110)을 포함할 수 있다. 디바이스 하드웨어(104)는 액세스 기기(160)의 비접촉 판독기(162)와 상호작용할 수 있는 비접촉 인터페이스(108)를 포함할 수 있다. 비접촉 인터페이스(108)의 예들은 근접장 통신(near-field communications; NFC), 또는 블루투스, 저전력 블루투스(Bluetooth low-energy; BLE), Wi-Fi, iBeacon 등등과 같은 다른 무선 주파수 또는 무선 통신 프로토콜들을 사용하여 통신들을 송신 및 수신할 수 있는 하나 이상의 무선 주파수(radio frequency; RF) 트랜시버들을 포함할 수 있다. 몇몇 실시 예들에서, 비접촉 인터페이스(108)는 비접촉 판독기(162)가 광 코드 스캐너 또는 판독기를 포함할 때 액세스 기기(160)의 비접촉 판독기(162)에 빠른 응답(quick response; QR) 코드, 또는 바코드 등등과 같은 이미지의 형태로 지불결제 정보를 제공하도록 하는 광 인터페이스(예컨대, 디스플레이 스크린)를 포함할 수 있다.

휴대용 통신 기기(101)의 애플리케이션 환경(110)은 모바일 애플리케이션 제공자에 의해 제공된 모바일 애플리케이션(112)을 호스트(host)할 수 있다. 예를 들면, 모바일 애플리케이션(112)의 제공자가 발행자인 경우에, 모바일 애플리케이션(112)은 모바일 뱅킹 애플리케이션 또는 별도의 모바일 지불결제 애플리케이션일 수 있다. 상기 제공자가 다수의 발행자를 지원하는 모바일 네트워크 운영자 또는 제3자 월렛 제공자와 같은 모바일 월렛 제공자인 경우에, 모바일 애플리케이션(112)은 모바일 월렛 애플리케이션일 수 있다. 상인들에 대해, 모바일 애플리케이션(112)은 소비자들이 그러한 상인과의 전자 상거래 또는 판매 시점 관리 트랜잭션들을 수행할 수 있게 하는 상인 자신의 모바일 애플리케이션일 수 있고, 다수의 상인을 지원하는 모바일 월렛 애플리케이션일 수도 있다.

몇몇 실시 예들에 의하면, 모바일 애플리케이션(1122)이 클라우드-기반 트랜잭션 기능들을 지원하도록 모바일 애플리케이션(112) 내에 합체된 온-디바이스 클라우드-기반 트랜잭션 소프트웨어(113)를 포함할 수 있다(예컨대, 소프트웨어 개발자 키트(software developer kit; SDK)의 형태를 이루고 있을 수 있다). 상기 온-디바이스 클라우드-기반 트랜잭션 소프트웨어(113)는 계정 매개변수들(예컨대, LUK 및 관련 키 인텍스)을 취하고, 트랜잭션 암호들을 생성하며, 그리고 상기 트랜잭션 암호들을 비접촉 인터페이스(108)를 통한 전송을 위해 모바일 운영 체계(114)로 배포하도록 하는 것과 같은 클라우드-기반 트랜잭션들을 용이하게 하도록 하는 기능들을 수행할 수 있다. 상기 온-디바이스 클라우드-기반 트랜잭션 소프트웨어(113)는 또한 계정 매개변수 보충 요구들 및 다른 계정 매개변수 관리 행위들이 개시됨을 확실하게 하도록 계정이 프로비저닝된 후에 제공되는 초기 서비스 프로파일 매개변수들(예컨대, 제한적 사용 임계값들)을 관리할 수 있다.

모바일 애플리케이션(112)은 상기 클라우드-기반 계정의 위험 프로파일을 관리하고, 상기 계정 상태를 유지하며, 그리고 상기 온-디바이스 임계값 관리 매개변수들에 기반을 두고 각각의 클라우드-기반 계정에 대한 액세스 매개변수들을 보충하도록 하는 기능들을 수행할 수 있다. 모바일 애플리케이션(112)은 또한 MAP(170)로부터의 수명주기 메시지들 또는 발행자/호스 시스템(172)으로부터의 수명주기 메시지들을 관리할 수 있다. 모바일 애플리케이션(112)은 클라우드-기반 트랜잭션 프로그램 내에 모바일 카드 보유자를 등록시키도록 하는 한 세트의 기능들, 및 MAP(170)로부터 수신된 클라우드-기반 계정 매개변수들 및 클라우드-기반 지불결제 디바이스 임계값 매개변수들의 수신 및 구성을 관리하는 한 세트의 기능들을 수행할 수 있다. 모바일 애플리케이션(122)은 또한 클라우드-기반 트랜잭션들에 대한 소비자 디바이스 카드 보유자 검증 방법(consumer device cardholder verification method; CDCVM) 기능들을 제공하며, 상기 휴대용 통신 기기상에 저장된 계정 매개변수들의 노출을 제한하도록 사후-지불결제 처리 지원으로 메시지들을 처리하고 상기 메시지들에 응답하는 한 세트의 기능들을 수행할 수 있다. 예를 들면, 사후-지불결제 처리는 계정 매개변수 보충 요구들을 확인하도록 하는 사후-지불결제 정보의 사용 또는 지불결제 트랜잭션들의 주기적인 사후-지불결제 검증을 포함할 수 있다.

보안 요소 기반 구현 예들에서, 비접촉 인터페이스를 사용하여 액세스 기기의 비접촉 판독기와 통신하는 비접촉 애플리케이션(예컨대, 비접촉 트랜잭션들을 위한 모바일 월렛 또는 지불결제 애플리케이션)은 상기 비접촉 인터페이스에 액세스하기 위해 보안 요소용으로 부호화되고 보안 요소 상에서 실행될 필요가 있게 된다. 몇몇 실시 예들에서, 휴대용 통신 기기(101)는 모바일 운영 체계(OS)(114)를 포함할 수 있으며, 상기 모바일 운영 체계(OS)(114)는 모바일 애플리케이션(112)이 보안 요소의 사용을 요구하지 않고 비접촉 인터페이스(108)에 액세스할 수 있게 하도록 호스트 카드 에뮬레이션(host card emulation; HCE) 애플리케이션 프로그래밍 인터페이스(application programming interface; API)들과 같은 한 세트의 카드 에뮬레이션 애플리케이션 프로그래밍 인터페이스(API)들(116)을 구현한다. 예를 들면, 카드 에뮬레이션 API들(116)은 휴대용 통신 기기(101)의 모바일 OS(114) 용으로 부호화될 수 있고 휴대용 통신 기기(101)의 모바일 OS(114)로부터 실행될 수 있으며, 모바일 애플리케이션(112)이 비접촉 판독기(162)로부터 송신된 애플리케이션 프로토콜 데이터 유닛(Application Protocol Data Unit; ADPU) 커맨드들과 같은 트랜잭션 통신들을 수신하고, 비접촉 판독기(162)로부터 송신된 애플리케이션 프로토콜 데이터 유닛(Application Protocol Data Unit; ADPU) 커맨드들과 같은 트랜잭션 통신들을 처리하며, 비접촉 판독기(162)로부터 송신된 애플리케이션 프로토콜 데이터 유닛(Application Protocol Data Unit; ADPU) 커맨드들과 같은 트랜잭션 통신들에 응답하는 것을 허용하도록 하는 프로그래밍 기능 호출들을 포함할 수 있다. 이러한 방식으로, 휴대용 통신 기기(101)는 휴대용 통신 기기(101) 상의 보안 요소에 대한 액세스를 요구하지 않고 비접촉 트랜잭션들을 수행할 수 있다.

일단 휴대용 통신 기기(101) 및 모바일 애플리케이션(112)이 상기 계정 매개변수들을 가지고 프로비저닝된 경우에, 휴대용 통신 기기(110)는 (예컨대, 상인의 판매 시점 관리(point-of-sale; POS) 위치에서) 액세스 기기(160)의 비접촉 판독기(162)와 상호작용함으로써 클라우드-기반 트랜잭션들을 수행할 수 있다. 비접촉 판독기(162)는 NFC 또는 블루투스, BLE, Wi-Fi, iBeacon 등등과 같은 다른 무선 주파수 또는 무선 통신 프로토콜들을 사용하여 송신 및 수신할 수 있는 하나 이상의 RF 트랜시버들을 포함할 수 있다. 일부 실시 예들에서, 비접촉 판독기(162)는 QR 코드들, 바 코드들 등등을 사용한 광 코드 스캐너 또는 판독기를 포함할 수 있다. 액세스 기기(160)는 또한 POS 수용 기기(164) 및/또는 전자식 금전 등록기(166)를 포함할 수 있다.

클라우드-기반 트랜잭션을 수행하기 위해, 휴대용 통신 기기(101)의 사용자는 액세스 기기(160)의 비접촉 판독기(162)에 의한 스캐닝을 위해 액세스 기기(160)의 비접촉 판독기(162)에 근접해 휴대용 통신 기기(101)를 배치하거나 휴대용 통신 기기(101)의 스크린상에 QR 코드 또는 바 코드와 같은 이미지를 디스플레이할 수 있다. 휴대용 통신 기기(101)는 액세스 기기(160)에 식별자(예컨대, PAN과 같은 계정 식별자, 대체 PAN과 같은 대체 계정 식별자, 또는 토큰 등등)를 제공하여 사용자의 계정 및 상기 제한적 사용 계정 매개변수들과 같은 부가적인 정보 또는 상기 제한적 사용 계정 매개변수들로부터 획득된 정보(예컨대, LUK로부터 생성된 트랜잭션 암호들)를 식별할 수 있다. 예를 들면, 몇몇 실시 예들에서, 계정 식별자 또는 토큰, 및 부가적인 정보(예컨대, 트랜잭션 암호, 계정 매개변수들 등등)은 액세스 기기(160)로부터 수신된 일련의 APDU 커맨드들에 응답하는 APDU 응답들에서 액세스 기기(160)에 전송될 수 있다. 몇몇 실시 예들에서, 계정 식별자 또는 토큰, 및 상기 추가적인 정보는 부호화된 정보를 회수하도록 액세스 기기(160)에 의해 스캐닝 및 처리되는 QR 코드 또는 바 코드로 부호화될 수 있다. 액세스 기기(160) 또는 액세스 기기(160)에 연결된 상인 컴퓨터는 그 후에 상기 계정 식별자 또는 토큰, 및 트랜잭션 암호 및 다른 트랜잭션 데이터와 같은 추가적인 정보를 포함하는 승인 요구 메시지를 생성하고, 상기 승인 요구 메시지를 상기 상인에 연관된 수취자(174)에게 포워드(forward)할 수 있다. 상기 승인 요구 메시지는 그 후에 수취자(174)에 의해 지불결제 처리 네트워크(194)로 송신될 수 있다.

지불결제 처리 네트워크(194)는 승인 서비스들, 예외 파일 서비스들, 트랜잭션 스코어링 서비스들, 및 청산 및 결제(clearing and settlement) 서비스들을 지원 및 배포하는데 사용되는 데이터 처리 서브시스템들, 네트워크들, 및 동작들을 포함할 수 있다. 한 대표적인 지불결제 처리 네트워크에는 VisaNet^TM이 포함될 수 있다. VisaNet™과 같은 지불결제 처리 네트워크들은 신용 카드 트랜잭션들, 직불 카드 트랜잭션들, 및 다른 상거래 트랜잭션 타입들을 처리할 수 있다. 특히, VisaNet™은 승인 요구들을 처리하는 비자 통합 지불결제(Visa Integrated Payments; VIP) 시스템 및 청산 및 결제 서비스들을 수행하는 Base II 시스템을 포함한다.

상기 승인 요구 메시지를 수신할 경우에, 지불결제 처리 네트워크(194)는 수취자(174)로부터 수신된 승인 요구 메시지를 휴대용 통신 기기(101) 사용자의 계정의 상응하는 발행자/호스트 시스템(172)으로 포워드할 수 있다. 발행자/호스트 시스템(172)이 상기 승인 요구 메시지를 수신한 후에, 상기 승인 요구 메시지는 파싱(parsing)될 수 있으며, 상기 승인 요구 메시지 내의 정보가 검증될 수 있다. 예를 들면, 발행자/호스트 시스템(172)은 상기 트랜잭션 암호가 유효한 LUK에 의해 생성되었고, 상기 LUK에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들이 초과되지 않았음을 검증할 수 있다. 몇몇 실시 예들에서, 상기 승인 요구 메시지 내의 정보 중 일부 또는 모두는 또한, 검증 및 처리를 위해 CBPP(180)로 송신될 수 있다. 예를 들면, 발행자/호스트 시스템(172)이 상기 트랜잭션 암호를 검증할 수 있는 기능을 지니지 않는 경우에, 상기 지불결제 처리 네트워크(194) 또는 발행자/호스트 시스템(172)이 검증을 위해 상기 트랜잭션 암호를 CBPP(180)로 포워드할 수 있다.

그 후에, 승인 응답 메시지는 현재 트랜잭션이 승인되는지(아니면 승인되지 않는지)를 나타내도록 지불결제 처리 네트워크(194)로 다시 송신된다. 그리고 나서, 지불결제 처리 네트워크(194)는 상기 승인 응답 메시지를 다시 수취자(174)에게 포워드한다. 몇몇 실시 예들에서, 지불결제 처리 네트워크(194)는 비록 발행자/호스트 시스템(172)이 상기 거래를 승인하였더라도 위조 위험 스코어의 값에 의존하거나 또는 제한적 사용 계정 매개변수들이 CBPP(180)에 의해 검증되는지에 의존하여 상기 거래를 거부할 수 있다. 그리고 나서, 수취자(174)는 상기 승인 응답 메시지를 상기 상인 컴퓨터 및/또는 액세스 기기(160)로 송신한다. 상기 트랜잭션을 위한 트랜잭션 데이터를 포함할 수 있는 승인 응답 결과들은 액세스 기기(160)에 의해 디스플레이될 수도 있고 실제 영수증상에 인쇄될 수도 있다.

결국에는, 청산 및 결제 프로세스가 지불결제 처리 네트워크(194)에 의해 수행될 수 있다. 청산 프로세스는 사용자의 지불결제 계정에 대한 포스팅(posting) 및 사용자의 자금결제 업무 조정을 용이하게 하도록 수취자 및 발행자 간에 금융 세부사항을 교환하는 프로세스이다. 여기서 이해하여야 할 점은 상기 수취자(174), 지불결제 처리 네트워크(194), 발행자/호스트 시스템(172), CBPP(180), 및/또는 MAP(170) 중 어느 하나가 원격 컴퓨터로 지칭될 수 있으며, 한 엔티티가 시스템(100) 내의 다른 엔티티들과 통신할 수 있게 하고, 그리고/또는 본원 명세서에서 언급한 기능들 중 하나 이상을 실행할 수 있게 하도록 하나 이상의 컴퓨터들 또는 서버 컴퓨터들과 같은 하나 이상의 컴퓨팅 기기들을 포함할 수 있다는 점이다.

III. 등록 및 프로비저닝

도 2에는 몇몇 실시 예들에 따른 전형적인 등록 및 프로비저닝 프로세스의 통신 흐름도가 예시되어 있다. 상기 등록 및 프로비저닝 프로세스는 클라우드-기반 트랜잭션 기능들을 가지고 프로그램된 모바일 애플리케이션이 설치된 휴대용 통신 기기(201)로부터 개시될 수 있다. 상기 모바일 애플리케이션은 제조시 또는 소매상인에 의해서나, 애플리케이션 저장소로부터 상기 모바일 애플리케이션을 다운로드하는 사용자에 의해 또는 휴대용 통신 기기(201)를 통해 상기 모바일 애플리케이션을 설치하는 발행자 또는 클라우드-기반 트랜잭션 서비스 제공자로부터 휴대용 통신 기기(201) 상에 사전-설치될 수 있다. 사용자는 상기 모바일 애플리케이션을 론칭(launching)하고 상기 모바일 애플리케이션으로부터 등록 요구(222)를 개시하여 상기 클라우드-기반 트랜잭션 서비스에 계정을 추가할 수 있다. 등록 요구(222)는 휴대용 통신 기기(201)로부터 MAP(270)로 송신되고, 사용자 및 사용자 계정을 식별하는데 사용될 수 있는 정보와 아울러, 휴대용 통신 기기(201)에 대한 디바이스 정보를 포함할 수 있다.

몇몇 실시 예들에 의하면, 휴대용 통신 기기(201)와의 통신을 용이하게 하기 위해, MAP(270)(또는 발행자/호스트 시스템(272), 또는 CBPP(280))는 상기 등록 및 프로비저닝 프로세스 동안 상기 디바이스 정보로부터의 디바이스 식별자를 생성할 수도 있고 디바이스 식별자를 휴대용 통신 기기(201)로 할당할 수도 있다. 상기 디바이스 식별자는 휴대용 통신 기기(201) 상의 모바일 애플리케이션에 제공되며, 상기 시스템과 차후에 상호접속하는 클라우드-기반 시스템 내의 다른 엔티티들과 휴대용 통신 기기(201)를 식별하는데 상기 모바일 애플리케이션에 의해 사용될 수 있다.

MAP(270)가 등록 요구(222)를 수신할 경우에, MAP(270)는 상기 요구를 처리하고, 휴대용 통신 기기(201)에 대한 기기 정보를 캡처하며, 그리고 관련 정보를 가지로 등록 요구(224)를 발행자/호스트 시스템(272)으로 라우팅할 수 있다. 발행자/호스트 시스템(272)은 사용자 및 사용자 계정의 식별 및 검증(ID&V)을 수행하고, 프로비저닝 요구(226)를 CBPP(280)로 송신할 수 있다. 프로비저닝 요구(226)는 사용자 계정을 식별하도록 PAN과 같은 계정 식별 정보를 포함할 수 있다. 대체 계정 식별자 또는 토큰이 사용되는 실시 예들에서, CBPP(280) 또는 발행자/호스트 시스템(272)은 대체 계정 식별자를 생성할 수도 있고 계정 식별자의 대용으로서 사용되는 토큰을 생성하도록 토큰 서비스를 인보크(invoke)할 수도 있다. 프로비저닝 요구(226)의 수신시, CBPP(280)는 발행자/호스트 시스템(272)에 연관된 마스터 획득 키(master derivation key; MDK)를 사용하여 휴대용 통신 기기(201)에 대한 프로비저닝을 위해 한 세트의 초기 계정 매개변수들(예컨대, LUK)을 생성할 수 있다. 몇몇 실시 예들에서, 발행자/호스트 시스템(272)은 상기 MDK가 발행자/호스트 시스템(272)에 의해 유지 또는 관리되는 경우에 CBPP(180)에 상기 MDK를 제공할 수도 있고 발행자/호스트 시스템은 상기 LUK를 생성하고 생성된 LUK를 CBPP(180)에 제공할 수도 있다. 어느 경우든 간에, 상기 LUK가 CBPP(180)에 의해 생성되든 발행자/호스트 시스템(272)에 의해 생성되든, 상기 LUK는 상기 LUK의 생성을 위해 시드(seed)로서의 역할을 하는 키 인덱스에 기반을 두고 생성될 수 있고, 상기 키 인덱스는 상기 LUK를 사용한 트랜잭션들의 처리를 용이하게 하도록 CBPP(180) 및 발행자/호스트 시스템(272) 간에 공유될 수 있다.

그리고 나서, CBPP(280)는 대체 계정 식별자 또는 토큰, LUK 및 키 인덱스와 같은 한 세트의 초기 계정 매개변수들, 및 트랜잭션의 실행 및/또는 처리를 위한 다른 관련 정보(예컨대, 상기 LUK에 관련된 한 세트의 하나 이상의 제한적 사용 임계값들)를 포함할 수 있는 프로비저닝 데이터(228)를 패키징하고, 프로비저닝 데이터(228)를 MAP(270)로 송신한다. 그리고 나서, MAP(270)는 프로비저닝 데이터(330)로서 상기 정보를 휴대용 컴퓨터 기기(201)로 포워드할 수 있다. 그리고 나서, 상기 모바일 애플리케이션은 휴대용 통신 기기(201) 상에 계정 매개변수들 및 관련 정보를 저장하여 휴대용 통신 기기(201)가 사용자 계정을 통한 비접촉 트랜잭션들을 수행하기 위해 사용될 수 있게 하는 계정 매개변수들 및 관련 정보를 휴대용 통신 기기(201) 상에 저장한다.

여기서 유념해야 할 점은 몇몇 실시 예들에서 상기 시스템 내의 서로 다른 엔티티들(예컨대, 휴대용 통신 기기(201), CBPP(280), 및 발행자/호스트 시스템(272))에는 상기 등록 및 프로비저닝 프로세스 동안 한 세트의 제한적 사용 임계값들에 대한 서로 다른 사용 한도들이 제공될 수 있으며, 대응하는 엔티티들이 서로 다른 사용 한도들로 차후 계정 매개변수 보충을 트리거할 수 있다는 점이다.

일단 프로비저닝 데이터(330)가 성공적으로 휴대용 통신 기기(201) 상에 프로비저닝된 경우에, 휴대용 통신 기기(201)는 확인응답 또는 수신확인(332)을 MAP(270)로 송신할 수 있다. MAP(270)는 또한 수신확인(334)을 CBPP(280)로 송신할 수 있으며, 상기 CBPP(280)는 다시금 상기 등록 및 프로비저닝 프로세스를 완료하도록 수신확인(336)을 발행자/호스트 시스템(272)으로 포워드한다.

여기서 이해해야 할 점은 위에서 설명한 등록 및 프로비저닝 프로세스가 단지 예일 뿐이며, 몇몇 실시 예들에서 메시징 시퀀스가 서로 다른 변화들을 지닐 수 있다는 점이다. 몇몇 실시 예들에서, CBPP(280) 및 발행자/호스트 시스템(272)의 역할들은 교환될 수 있다. 예를 들면, CBPP(280)는 MAP(270)로부터의 등록 요구(324)를 수신하고 프로비저닝 요구(326)를 발행자/호스트 시스템(372)으로 송신할 수 있다. 다른 일 예로서, MAP(270)는 수신확인(334)을 발행자/호스트 시스템(272)으로 송신하고, 발행자/호스트 시스템은 수신확인(336)을 CBPP(280)로 송신할 수 있다.

IV. 트랜잭션 실행

일단 휴대용 통신 기기가 적합한 계정 매개변수들을 가지고 프로비저닝된 경우에, 상기 휴대용 통신 기기는 예를 들면 액세스 기기의 비접촉 판독기에 근접해 휴대용 통신 기기를 배치함으로써 비접촉 트랜잭션을 실행하는데 사용될 수 있다. 상기 액세스 기기의 기능들에 의존하여, 본원 명세서에서 설명한 기법들을 사용해 수행되는 비접촉 트랜잭션은 마치 상기 트랜잭션이 통합 칩 카드를 가지고 수행("통합 칩 기반 트랜잭션"으로 지칭됨)되는 것처럼, 또는 상기 트랜잭션이 자성 스트라이프 카드를 가지고 수행("자성 스트라이프 기반 트랜잭션"으로 지칭됨)되고 있는 것처럼 처리될 수 있다. 몇몇 실시 예들에서, 본원 명세서에서 설명한 카드 에뮬레이션 기법들을 통한 비접촉 트랜잭션 시간들은 보안 요소 기반 구현 시간들과 유사할 수 있다. 예를 들면, 몇몇 실시 예들에 의하면, 카드 에뮬레이션을 통한 비접촉 트랜잭션은 완료하는데 500 밀리초 미만의 시간이 소요될 수 있다.

몇몇 실시 예들에서, 휴대용 통신 기기를 통한 비접촉 트랜잭션의 실행은 무선 주파수 파들과 같은 비접촉 매체를 통해 상기 휴대용 통신 기기상에서 실행하는 모바일 애플리케이션 및 액세스 기기의 비접촉 판독기 간에 메시지들(예컨대, 애플리케이션 프로토콜 데이터 유닛(Application Protocol Data Unit; APDU) 메시지들)을 제공 또는 교환함으로써 수행될 수 있다. 상기 메시지들은 상기 비접촉 판독기로부터 상기 휴대용 통신 기기로 송신된 APDU 커맨드들, 및 상기 APDU 커맨들에 응답하여 상기 모바일 애플리케이션으로부터 상기 비접촉 판독기로 송신된 APDU 응답들의 형태를 이루고 있을 수 있다. 추가적인 보안을 제공하기 위해, 상기 모바일 애플리케이션은 단지 상기 휴대용 통신 기기의 비접촉 인터페이스 또는 비접촉 제어기로부터 수신된 APDU 커맨드들에만 응답하도록 구성될 수 있다. 다시 말하면, 상기 모바일 애플리케이션은 다른 애플리케이션들 또는 컴포넌트들로부터 수신된 APDU 커맨드들, 및/또는 상기 모바일 애플리케이션이 인식하지 못하는 ADPU 커맨드들을 무시하거나 거부하도록 구성될 수 있다. 몇몇 실시 예들에서, 상기 모바일 애플리케이션이 상기 휴대용 통신 기기의 비접촉 인터페이스 또는 비접촉 제어기로부터 인식되지 않은 APDU 커맨드를 수신하는 경우에, 상기 모바일 애플리케이션은 디폴트 상태 워드를 가지고 상기 커맨드에 응답할 수 있다.

몇몇 실시 예들에서, 상기 모바일 애플리케이션이 상기 모바일 애플리케이션의 상태 또는 상기 모바일 애플리케이션의 저장된 정보를 변경할 수 있게 하는 외부 엔티티(예컨대, MAP, 상기 MAP를 통한 CBPP 또는 발행자/호스트 시스템, 또는 액세스 기기의 비접촉 판독기)와 상호작용할 경우에, 상기 모바일 애플리케이션은 원자 방식으로 상기 상호작용을 처리한다. 다시 말하면, 상기 모바일 애플리케이션은 상기 상호작용에 의해 요구되는 기능들 모두를 처리할 수도 있고 상기 상호작용에 의해 요구되는 기능들 중 어떤 기능도 처리할 수 없다. 이러한 방식으로, 상기 모바일 애플리케이션은 외부 엔티티들로부터 보인 바와 같은 인식된 상태를 유지할 수 있다.

상기 모바일 애플리케이션의 설치시, 상기 모바일 애플리케이션은 상기 모바일 애플리케이션의 근접 지불결제 시스템 환경(proximity payment system environment; PPSE) 네임과 아울러, 상기 모바일 애플리케이션에 의해 커버되는 모든 애플리케이션 식별자(Application Identifier; AID)들을 등록하여 그러한 AID들을 사용하는 트랜잭션들이 상기 모바일 애플리케이션으로 라우팅됨을 확실하게 해 줄 있다(예컨대, 이는 모바일 운영 체계에 대한 모바일 애플리케이션 징후(manifest)의 선언을 통해 달성될 수 있다). 예를 들면, 몇몇 실시 예들에서, 상기 모바일 애플리케이션은 "2PAY.SYS.DDF01"과 같은 네임을 가지고 PPSE의 하나 이상의 AID들에 대한 APDU 커맨드들을 수신하도록 등록될 수 있다.

몇몇 실시 예들에서, 상기 모바일 애플리케이션은 다수의 AID(예컨대, 특정 발행자, 지불결제 프로세서 또는 처리 네트워크, 서비스 제공자 등등에 대해 정의된 AID들)에 대한 APDU 커맨드들을 수신 및 처리하도록 등록될 수 있으며, 몇몇 시나리오들에서, 상기 다수의 AID는 단일 계정에 연관될 수 있다. 단일의 계정은 예를 들면 그러한 계정을 통해 수행되는 트랜잭션이 서로 다른 지불결제 처리 네트워크들에 의해 처리될 수 있는 경우에 그리고/또는 상기 계정이 상기 계정에 연관된 서로 다른 서비스들, 특징들, 제품-타입들, 및 지불결제 기능들을 지닐 수 있는 경우에 상기 계정에 연관된 다수의 AID를 지닐 수 있다. 예를 들면, 단일의 계정은 상기 단일의 계정에 연관된 지불결제 처리 네트워크 특정 AID(예컨대, Visa AID) 및 공통 직불(debit) AID를 지닐 수 있다. 다른 일 예로서, 단일의 계정은 서로 다른 지불결제 제품들을 지원할 수 있으며, 각각의 지불결제 제품은 각각의 지불결제 제품 자체의 AID를 지닐 수 있다. 다수의 AID는 어떠한 방식으로 상기 트랜잭션이 처리되는지(예컨대, 어떤 지불결제 처리 네트워크로 상기 트랜잭션이 처리되는지) 그리고/또는 어떤 서비스들 또는 특징들을 상기 트랜잭션에 연관시키거나 어떤 서비스들 또는 특징들을 상기 트랜잭션에 대해 제공해야 할지를 선택하기 위해 액세스 기기가 원하는 AID를 선택하는 것을 허용하도록 상기 액세스 기기에 전달될 수 있다. 상기 다수의 AID는 상기 PPSE에 대한 디렉토리 입력에 채워지고 이러한 목적으로 액세스 기기에 전달될 수 있다.

상기 휴대용 통신 기기상의 모바일 애플리케이션은 상기 모바일 애플리케이션이 비접촉 판독기에 대한 필요한 정보를 가지고 응답함과 아울러 상기 휴대용 통신 기기의 사용자 인터페이스를 통해 상기 계정에 대한 정보를 카드 보유자들에게 제공할 수 있게 하도록 상기 계정에 관련된 정보의 생성을 수신, 저장, 및/또는 지원할 수 있다. 이러한 정보 중 일부 또는 모두는 상기 등록 및 프로비저닝 프로세스 동안 상기 모바일 애플리케이션에 제공될 수 있다. 계정 관련 정보에는 소비자에 대한 계정을 식별하는 카드 아트 또는 다른 비주얼들, 사용자에 대한 계정을 식별할 수 있는 계정 식별 정보(예컨대, 닉네임 또는 계정의 마지막 4자리수), 계정의 상태(예컨대, 활성, 중지 등등), 계정 구성 정보, 트랜잭션 흐름 매개변수들(예컨대, 트랜잭션 동안 비접촉 판독기에 제공되는 정보), 한 세트의 현재 계정 매개변수들(예컨대, LUK 및 키 인덱스) 및 그에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들 및 상응하는 사용 한도들, 및 트랜잭션 검증 로그 등등이 포함될 수 있다. 상기 계정 구성 정보에는 어떤 소비자 검증 방법(들)(CVM(들))(예컨대, 온라인 PIN, 소비자 디바이스 CVM, 서명 등등)이 상기 계정에 의해(또는 다수의 AID가 존재하는 경우 대응하는 AID에 의해) 지원되는 계정의 AID(들) 및 그들의 우선순위, 상기 계정이 자성 스트라이프 기반 트랜잭션들을 지원하는지 여부, 및 상기 거래 암호들의 검증 동안 사용되는 발행자 마스터 키에 연관된 획득 키 인덱스(derivation key index; DKI)가 포함될 수 있다. 동일하거나 서로 다른 계정 AID들에 대해 다수의 계정을 지원하는 모바일 애플리케이션들에 대하여는, 상기 모바일 애플리케이션이 또한 현재 상기 활성 계정이며 현재 활성인 계정에 따른 데이터를 가지고 상기 비접촉 판독기에 대한 응답들을 채울 수 있는 계정의 개념을 지원할 수 있다.

상기 모바일 애플리케이션은 또한, 상기 모바일 애플리케이션의 트랜잭션 행위를 추적하도록 하는 하나 이상의 카운터들을 구현할 수 있다. 예를 들면, 상기 모바일 애플리케이션은 특정 계정에 대한 새로운 계정 매개변수들을 몇 번이나 상기 모바일 애플리케이션이 성공적으로 요구했었는지를 카운트하도록 하는 시퀀스 카운터(sequence counter; SC)를 구현할 수 있다. 상기 모바일 애플리케이션은 또한 트랜잭션을 개시하는데 상기 모바일 애플리케이션이 몇 번이나 사용되었는지를 카운트하도록 하는 애플리케이션 트랜잭션 카운터(application transaction counter; ATC)를 구현할 수 있다.

트랜잭션 동안, 상기 모바일 애플리케이션은 성공적으로 실행될 비접촉 트랜잭션에 대한 필요한 정보를 상기 비접촉 판독기로 복귀시키기 위해 상기 비접촉 트랜잭션에 관련된 트랜잭션 흐름 매개변수들과 같은 정보를 수신, 저장, 및/또는 동적으로 구성할 수 있다. 상기 트랜잭션 흐름 매개변수들 중 일부는 상기 비접촉 트랜잭션이 개시되기 전에 수신, 저장, 및/또는 구성될 수 있고, 일부 트랜잭션 흐름 매개변수들(예컨대, 트랜잭션 암호)은 트랜잭션 시에 동적으로 구성될 수 있다. 다수의 AID를 지원하는 모바일 애플리케이션들에 대해, 서로 다른 트랜잭션 흐름 매개변수들은 AID에 대해 저장 및/또는 생성될 수 있다. (예컨대, 이하에서 언급되는 트랜잭션 처리 정보 및/또는 계정 데이터를 포함하는) 상기 트랜잭션 흐름 매개변수들의 전형적인 세부사항들, 및 상기 모바일 애플리케이션 및 상기 비접촉 판독기 간 통신 교환들의 전형적인 세부사항들이 통합 칩 기반 트랜잭션에 대하여는 도 3을 참조하여 설명될 것이고 자성 스트라이프 기반 트랜잭션에 대하여는 도 4를 참조하여 설명될 것이다.

통합 칩 기반 트랜잭션

도 3에는 몇몇 실시 예들에 따른 통합 칩 기반 트랜잭션 동안 휴대용 통신 기기(301) 및 액세스 기기(360) 간의 전형적인 통신 흐름이 예시되어 있다. 몇몇 실시 예들에서, 통신들은 ADPU 커맨드들 및 응답들의 형태를 이루고 있을 수 있다. 그러나 여기서 이해하여야 할 점은 다른 메시지들, 메시징 프로토콜들, 또는 포맷들이 상기 트랜잭션을 수행하도록 관련 정보를 교환하는데 사용될 수 있다는 점이다. 통신들은 휴대용 통신 기기(301) 상에서 실행하는 모바일 애플리케이션 및 액세스 기기(360)의 비접촉 판독기 간에 수행될 수 있다. 몇몇 실시 예들에서, 상기 모바일 애플리케이션은 휴대용 통신 기기(301)의 모바일 운영 체계의 카드 에뮬레이션 API들을 사용하여 상기 비접촉 판독기와 통신할 수 있고, 그럼으로써 (비록 보안 요소가 사용될 수 있지만) 상기 트랜잭션이 보안 요소의 사용을 요구하지 않고 수행될 수 있다.

액세스 기기(360)가 액세스 기기(360)의 비접촉 판독기에 근접한 휴대용 통신 기기(301)의 존재를 검출할 경우에, 액세스 기기(360)는 휴대용 통신 기기(301)의 모바일 애플리케이션 상에서 이용할 수 있는 지불결제 애플리케이션(들)에 대한 정보(예컨대 AID(들)의 리스트)를 요구하도록 하는 이용 가능한 애플리케이션 요구(302)를 휴대용 통신 기기(301)로 송신함으로써 트랜잭션을 개시할 수 있다. 몇몇 실시 예들에서, 상기 이용 가능한 애플리케이션(들) 요구(302)는 선택 PPSE 커맨드의 형태를 이루고 있을 수 있다. 상기 이용 가능한 애플리케이션 요구(302)에는 상기 모바일 애플리케이션 및 액세스 기기(360)에 의해 지원되는 지불결제 환경을 식별하도록 하는 지불결제 환경 식별자(예컨대, "2PAY.SYS.DDF01"과 같은 PPSE 네임)가 포함될 수 있다.

상기 이용 가능한 애플리케이션 요구(302)의 수신시, 휴대용 통신 기기(301)의 모바일 애플리케이션은 상기 요구에 포함된 지불결제 환경 식별자(예컨대, PPSE 네임)를 인식함으로써 상기 요구를 식별 및 처리하고 이용 가능한 애플리케이션 응답(304)을 다시 액세스 기기(360)로 송신함으로써 응답할 수 있다. 상기 이용 가능한 애플리케이션 응답(304)은 이용 가능한 AID들의 리스트를 포함할 수 있으며, 전용 파일 네임으로서 상기 지불결제 환경 식별자(예컨대, PPSE 네임)를 포함할 수 있다. 몇몇 실시 예들에서, 상기 이용 가능한 애플리케이션 응답(304)은 선택 PPSE 응답의 형태를 이루고 있을 수 있으며 PPSE 파일 제어 정보(file control information; FCI)를 포함할 수 있다. 예를 들면, 상기 이용 가능한 애플리케이션 응답(304)은 각각의 이용 가능한 AID의 디렉토리 입력을 포함할 수 있다. 상기 모바일 애플리케이션이 단지 하나의 AID만을 (그러한 AID에 관련된 계정들의 개수와 관계없이) 지원하는 경우에, 상기 모바일 애플리케이션은 상기 지원된 AID에 대한 단일의 디렉토리 입력을 가지고 응답할 수 있다. 상기 모바일 애플리케이션이 다수의 AID를 지니는 계정을 지원하는 경우에, 상기 모바일 애플리케이션은 상기 지원된 AID들 각각에 대한 디렉토리 입력을 가지고 응답할 수 있다. 각각의 디렉토리 입력에는 상기 AID, 상기 AID에 연관된 애플리케이션 라벨(상기 AID에 연관된 니모닉(mnemonic)), 상기 AID의 우선순위를 나타내는 애플리케이션 우선순위 표시자, 애플리케이션의 커널 선호도를 나타내는 커널 식별자, 및/또는 상기 특정 AID에 관한 추가적인 정보와 같은 정보를 포함할 수 있다. 상기 이용 가능한 애플리케이션(들) 응답(304)에는 FCI 발행자 임의 데이터와 같은 다른 데이터가 또한 포함될 수 있다.

액세스 기기(360)가 상기 이용 가능한 애플리케이션 응답(304)을 수신할 경우에, 액세스 기기(304)는 (예컨대, 상기 이용 가능한 애플리케이션(들) 응답(304)에서 수신된 이용 가능한 AID(들)로부터 하나의 AID를 선택함으로써) 상기 이용 가능한 애플리케이션 응답(304)에서 수신된 애플리케이션들의 리스트로부터 적합한 애플리케이션을 선택할 수 있다. 몇몇 실시 예들에서, 상기 선택된 AID는 액세스 기기(360)에 의해 지원되는 상기 모바일 애플리케이션 상에서 이용 가능한 최고 우선순위 AID일 수 있다. 액세스 기기(360)는 상기 트랜잭션을 속행하도록 상기 선택된 AID를 가지고 휴대용 통신 기기(301)의 모바일 애플리케이션에 애플리케이션 선택(306)을 송신할 수 있다. 몇몇 실시 예들에서, 상기 애플리케이션 선택(306)은 선택 AID 커맨드의 형태를 이루고 있을 수 있다.

상기 애플리케이션 선택(306)의 수신시, 휴대용 통신 기기(301)의 모바일 애플리케이션은 상기 선택된 애플리케이션/AID를 사용하여 상기 트랜잭션을 실행하는데 요구될 수 있는 트랜잭션 데이터를 액세스 기기(360)로부터 요구하도록 하는 단말기 트랜잭션 데이터 요구(308)를 송신할 수 있다. 몇몇 실시 예들에서, 상기 단말기 트랜잭션 데이터는 선택 AID 응답의 형태를 이루고 있을 수 있으며 전용 파일 네임으로서 상기 선택된 AID를 가지고 AID 파일 제어 정보(file control information; FCI)를 포함할 수 있다. 상기 단말기 트랜잭션 데이터 요구(308)는 액세스 기기(308)로부터의 적합한 데이터를 요구하도록 하는 트랜잭션 데이터 식별자들의 리스트를 포함할 수 있으며, 트랜잭션 데이터 식별자의 리스트는 처리 옵션 데이터 객체 리스트(processing options data object list; PDOL)의 형태를 이루고 있을 수 있다. 상기 트랜잭션을 위한 상기 모바일 애플리케이션에 의해 요구된 트랜잭션 데이터에는 단말기 트랜잭션 수식자들(terminal transaction qualifiers; TTQ), 승인된 액수, 다른 액수, 단말기 국가 코드, 단말기 검증 결과들, 트랜잭션 통화 코드, 트랜잭션 데이터, 트랜잭션 타입, 및/또는 예측 불가능한 번호가 포함될 수 있다. 상기 단말기 트랜잭션 데이터 요구(308)에는 FCI 발행자 임의 데이터, 애플리케이션 프로그램 식별자, 및 언어 선호도와 같은 다른 데이터가 또한 포함될 수 있다.

상기 단말기 트랜잭션 데이터 요구(308)의 수신 후에, 액세스 기기(360)는 휴대용 통신 기기(301)의 모바일 애플리케이션에, 상기 모바일 애플리케이션에 의해 요구된 단말기 트랜잭션 데이터(3010)를 송신할 수 있다. 몇몇 실시 예들에서, 상기 단말기 트랜잭션 데이터(310)는 획득 처리 옵션(get processing option; GPO) 커맨드의 형태로 송신될 수 있으며, 처리 옵션 데이터 객체 리스트(PDOL) 내의 요구된 단말기 트랜잭션 데이터를 포함할 수 있다. 몇몇 실시 예들에서, 상기 단말기 트랜잭션 데이터(310)(예컨대, 단말기 트랜잭션 수식자들(TTQ))는 액세스 기기(360)가 통합 칩 기반 트랜잭션들을 지원할지 자성 스트라이프 기반 트랜잭션들을 지원할지를 나타내는 트랜잭션 타입 표시자를 포함할 수 있다. 따라서, 도 3에 예시된 통합 칩 기반 트랜잭션은 상기 액세스 기기(360)가 통합 칩 기반 트랜잭션들을 지원함을 나타내도록 하는 상기 단말기 트랜잭션 데이터(310) 내의 트랜잭션 타입 표시자를 송신할 수 있다. 몇몇 실시 예들에서, 상기 단말기 트랜잭션 데이터(310)(예컨대, 단말기 트랜잭션 수식자들(TTQ))를 나타내도록 하는 소비자 검증 방법(CVM) 요구 표시자를 포함할 수 있으며, 또한 액세스 기기(360)에 의해 지원되는 CVM 타입들을 나타내는 하나 이상의 CVM 타입 표시자들을 포함할 수 있다. 액세스 기기(360)에 의해 지원될 수 있는 CVM들의 예들에는 온라인 PIN, 서명, 및/또는 스크린 또는 모바일 애플리케이션을 잠금해제하는데 휴대용 통신 기기(301) 상에서 사용되는 암호와 같은 소비자 디바이스 CVM(CDCVM)이 포함될 수 있다.

일단 휴대용 통신 기기(301)의 모바일 애플리케이션이 단말기 트랜잭션 데이터(310)를 수신하면, 상기 모바일 애플리케이션은 상기 모바일 애플리케이션의 애플리케이션 트랜잭션 카운터(Application Transaction Counter; ATC)를 증분시키고, 상기 수신된 단말기 트랜잭션 데이터(310) 중 적어도 일부를 사용하여 동적 트랜잭션 처리 정보를 생성하며, 상기 생성된 동적 트랜잭션 처리 정보를 포함하는 한 세트의 트랜잭션 처리 정보(312)를 액세스 기기(360)에 송신할 수 있다. 몇몇 실시 예들에서, 상기 트랜잭션 정보(312)는 GPO 응답의 형태를 이루어 송신될 수 있다. 몇몇 실시 예들에서, 상기 트랜잭션 처리 정보(312)는 휴대용 통신 기기(301) 상에 저장된 계정 데이터를 판독하는데 액세스 기기(360)에 의해 파일 어드레스(들)로서 사용될 수 있는 하나 이상의 애플리케이션 파일 로케이터(application file locator; AFL)들, 및 상기 모바일 애플리케이션의 기능들을 나타내는데 사용될 수 있는 애플리케이션 교환 프로파일(application interchange profile; AIP)을 포함할 수 있다.

통합 칩 기반 트랜잭션에 대해서는, 상기 트랜잭션 처리 정보(312)가 상기 LUK, 트랙-2에 상응하는 데이터, 및 발행자 애플리케이션 데이터(issuer application data; IAD), 폼 팩터 표시자(form factor indicator; FFI), 카드 트랜잭션 수식자들(card transaction qualifiers; CTQ), 암호 정보 데이터(cryptogram information data; CID), 업데이트된 ATC, 및/또는 애플리케이션 PAN 시퀀스 번호(PAN sequence number; PSN)와 같은 추가적인 데이터를 사용하여 동적으로 생성된 트랜잭션 암호를 포함할 수 있다. 몇몇 실시 예들에서, 상기 발행자 애플리케이션 데이터(issuer application data; IAD)는 상기 IAD의 길이를 나타내는 길이 표시자, 트랜잭션 암호의 버전을 나타내는 암호 버전 번호(cryptogram version number; CVN), 마스터 키(예컨대, 상기 LUK의 생성에서 사용된 발행자에 연관된 마스터 키)를 생성하는데 사용될 수 있는 획득된 키 표시자(derived key indicator; DKI), 카드 검증 결과들(card verification results; CVR), 월렛 제공자 ID, 및/또는 상기 LUK의 생성에서 사용된 키 인덱스와 같은 획득 데이터를 포함할 수 있다.

상기 카드 검증 결과들(CVR)은 상기 트랜잭션을 위한 CVM 검증 타입 및 CVM 검증 엔티티에 대한 정보를 포함할 수 있다. 상기 CVM 검증 엔티티는 어떤 엔티티가 상기 트랜잭션을 위한 CVM의 검증을 수행하는지를 나타내는데 사용된다. 상기 검증 엔티티는 상기 액세스 기기(또는 단말기), 공동으로 상주하는 보안 애플리케이션, 신뢰 가능한 실행 환경 애플리케이션, 상기 모바일 애플리케이션 자체, 원격 서버 또는 컴퓨터(예컨대, 클라우드), 또는 상기 모바일 운영 체계일 수 있다. 상기 CVM 검증 타입은 상기 트랜잭션을 위해 사용된 CVM 방법을 나타내는데 사용된다. 상기 CVM 방법은 암호, 생체 인식(예컨대, 지문), (예컨대, 스크린 잠금용) 패턴 잠금, 서명, 또는 온라인 PIN일 수 있다. 몇몇 실시 예들에서, 액세스 기기(360)에 의해 지원되는 CVM이 온라인 PIN 또는 서명임을 액세스 기기(360)로부터 수신된 단말기 트랜잭션 데이터(310)가 나타내는 경우에, 액세스 기기(360)가 검증 엔티티임을 나타내도록 상기 CVR에서 CVM 검증 엔티티가 상기 액세스 기기(또는 단말기)로 설정될 수 있고, 그에 따라 CVM 검증 타입(예컨대, 온라인 PIN 또는 서명)이 설정될 수 있다.

액세스 기기(360)에 의해 지원되는 CVM이 CDCVM임을 액세스 기기(360)로부터 수신된 단말기 트랜잭션 데이터(310)가 나타내는 경우에, 상기 CVM 검증 엔티티 및 상기 CVM 검증 타입은 상기 계정의 구성 매개변수들에 따라 설정될 수 있다. 예를 들면, 상기 계정이 휴대용 통신 기기(301)의 모바일 운영 체계에 의해 검증되는 암호를 사용하여 CVM을 지원하는 경우에, 상기 CVM 검증 엔티티는 상기 모바일 운영 체계로 설정될 수 있고, 상기 CVM 검증 타입은 상기 CVM이 암호임을 나타내도록 설정될 수 있다. 몇몇 실시 예들에서, CDCVM 수행 표시자는 상기 CVM 검증 엔티티가 상기 CVM 검증 타입에 의해 표시된 CDCVM을 사용하여 사용자를 성공적으로 검증했었는지를 나타내도록 상기 카드 트랜잭션 수식자들(CTQ)에 포함될 수 있다.

CVM이 요구되지 않음을 액세스 기기(360)로부터 수신된 단말기 트랜잭션 데이터(310)가 나타내는 경우에, 상기 CVM 검증 엔티티 및 상기 CVM 검증 타입은 어떠한 CVM도 검증되지 않았음을 나타내도록 설정될 수 있다. 몇몇 실시 예들에서, 상기 CVR은 상기 LUK에 연관된 하나 이상의 제한적 사용 임계값들이 초과되었는지를 나타내는 임계값 표시자와 같은 부가적인 데이터를 포함할 수 있다.

상기 폼 팩터 표시자(FFI)는 사용되고 있는 폼 팩터 표시자의 버전을 나타내는 폼 팩터 버전 번호, 휴대용 통신 기기(301)의 디바이스 타입을 나타내는 소비자 지불결제 디바이스 폼 팩터 표시자, 및 어떤 지불결제 특징들이 휴대용 통신 기기(301)에 의해 지원되는 지를 나타내는 소비자 지불결제 디바이스 특징 표시자들과 같은 휴대용 통신 기기(301)에 대한 정보를 포함할 수 있다. 상기 소비자 지불결제 디바이스 폼 팩터는 휴대용 통신 기기(301)가 표준 카드(예컨대, ISO 7811에서 특정된 바와 같은 ID-1 카드 타입), 미니-카드, 비-카드(non-card) 폼 팩터(예컨대, 키 포브(key fob), 시계, 손목밴드, 링, 스티커 등등), 또는 모바일폰이다. 상기 소비자 지불결제 디바이스 특징 표시자들은 휴대용 통신 기기(301)가 (트랜잭션들 동안 사용되는 PIN과는 별개일 수 있는) 암호를 사용하는 것이 가능한지, 서명 패널을 지니는지, 홀로그램을 지니는지, 카드 검증 값들(예컨대, CVV2)에 대한 지원을 지니는지, 발행자 및 사용자 간에 식별 정보를 교환하도록 하는 양-방향 메시징이 가능한지, 그리고/또는 클라우드-기반 크리덴셜들(예컨대, LUK, 토큰 등등)을 사용하기 위한 지원을 지니는지를 나타낼 수 있다. 상기 폼 팩터 표시자(FFI)는 또한 휴대용 통신 기기(301)가 비접촉 트랜잭션들(예컨대, NFC)을 지지함을 나타내는 지불결제 트랜잭션 기술 표시자를 포함할 수 있다.

여기서 이해하여야 할 점은 몇몇 실시 예들에서, 휴대용 통신 기기(301)로부터 액세스 기기(360)로 송신되고 있는 트랜잭션 처리 정보(312)는 위에서 설명한 정보 중 일부 또는 모두를 포함할 수 있으며, 몇몇 실시 예들에서, 구체적으로 설명하지 않은 추가적인 정보를 포함할 수 있다.

액세스 기기(360)가 상기 트랜잭션 처리 정보(312)를 수신한 후에, 액세스 기기(360)는 휴대용 통신 기기(301) 상에 저장될 수 있는 추가적인 계정 데이터를 판독하도록 하는 계정 데이터 요구(314)를 휴대용 통신 기기(301)의 모바일 애플리케이션에 송신할 수 있다. 몇몇 실시 예들에서, 상기 계정 데이터 요구(314)는 판독 레코드 커맨드의 형태를 이루고 있을 수 있으며, 액세스 기기(360)가 판독하려고 시도하는 계정 데이터의 위치를 나타내는 애플리케이션 파일 로케이터(application file locator; AFL)를 포함할 수 있다. 상기 계정 데이터 요구(314)에 포함된 AFL은 휴대용 통신 기기(301)로부터 액세스 기기(360)로 제공된 트랜잭션 처리 정보(312) 내의 AFL에 상응할 수 있다.

액세스 기기(360)가 상기 트랜잭션 처리 정보(312)를 수신한 후에, 액세스 기기(360)는 휴대용 통신 기기(301) 상에 저장될 수 있는 추가적인 계정 데이터를 판독하도록 하는 계정 데이터 요구(314)를 휴대용 통신 기기(301)의 모바일 애플리케이션에 송신할 수 있다. 몇몇 실시 예들에서, 상기 계정 데이터 요구(314)는 액세스 기기(360)가 판독하려고 시도하는 계정 데이터의 어드레스 또는 위치를 나타내는 애플리케이션 파일 로케이터(application file locator; AFL)를 포함할 수 있다. 상기 계정 데이터 요구(314) 내에 포함된 AFL은 휴대용 통신 기기(301)로부터 제공된 트랜잭션 처리 정보(312) 내의 AFL에 상응할 수 있다.

액세스 기기(360)로부터의 액세스 데이터 요구(314)를 수신함에 응답하여, 휴대용 통신 기기(301)는 상기 AFL에 의해 표시되는 위치에 저장된 계정 데이터(316)를 송신할 수 있다. 몇몇 실시 예들에서, 상기 계정 데이터(316)는 판독 레코드 응답의 형태를 이루어 송신될 수 있다. 상기 계정 데이터(316)는 예를 들면 상기 애플리케이션을 위해 허용되는 사용 및 서비스들에 대한 발행자의 제한들을 나타내는 애플리케이션 사용 제어, 상기 카드 보유자의 네임, 고객 전용 데이터, 발행자 국가 코드, 토큰 요구자 ID(예컨대, 토큰이 사용되는 경우), 및/또는 AFL 위치에서 액세스 가능한 다른 계정 관련 데이터를 포함할 수 있다.

여기서 이해하여야 할 점은 몇몇 실시 예들에서, 휴대용 통신 기기(301)로부터 액세스 기기(360)로 송신되는 계정 데이터(316)가 위에서 설명한 정보 중 일부 또는 모두를 포함할 수 있고, 몇몇 실시 예들에서, 구체적으로 설명되지 않은 추가적인 정보를 포함할 수 있다는 점이다.

몇몇 실시 예들에서, 예를 들면 저장된 추가 계정 관련 데이터가 상기 트랜잭션을 완료하기 위해 액세스 기기(360)에 의해 요구되는 경우에 액세스 기기(360) 및 휴대용 통신 기기(301) 간의 통신 교환이 한 쌍의 액세스 데이터 요구(314) 및 계정 데이터(316)보다 많이 존재할 수 있다. 일단 액세스 기기(360)가 상기 트랜잭션 처리 정보(312) 및/또는 하나 이상의 계정 데이터(316) 송신들로부터의 필요한 데이터를 수신하면, 상기 트랜잭션 처리 정보(312) 및/또는 하나 이상의 계정 데이터(316) 트랜잭션들에서의 데이터 요소들 중 일부 또는 모두가 상기 발행자로부터의 트랜잭션의 승인을 요구하도록 트랜잭션 승인 요구 메시지를 생성하는데 액세스 기기(360)에 의해 사용될 수 있다. 예를 들면, 몇몇 실시 예들에서, 상기 트랜잭션 승인 요구 메시지는 적어도 트랙-2에 상응하는 데이터 및 상기 LUK를 가지고 생성된 트랜잭션 암호를 포함할 수 있으며 상기 트랜잭션은 적어도 상기 트랜잭션 암호가 올바르게 생성되었음과 상기 트랜잭션 암호의 생성에서 사용된 LUK가 LUK의 한 세트의 하나 이상의 제한적 사용 임계값들을 소진하지 않았음을 검증함에 기반을 두고 승인될 수 있다.

자성 스트라이프 기반 트랜잭션

도 4에는 몇몇 실시 예들에 따른 자성 스트라이프 기반 트랜잭션 동안 휴대용 통신 기기(401) 및 액세스 기기(460) 간의 전형적인 통신 흐름이 예시되어 있다. 몇몇 실시 예들에서, 통신들은 ADPU 커맨드들 및 응답들의 형태를 이루고 있을 수 있다. 그러나 여기서 이해하여야 할 점은 다른 메시지들, 메시징 프로토콜들, 또는 포맷들이 상기 트랜잭션을 수행하도록 관련 정보를 교환하는데 사용될 수 있다는 점이다. 상기 통신들은 휴대용 통신 기기(401) 상에서 실행하는 모바일 애플리케이션 및 액세스 기기(460)의 비접촉 판독기 간에 수행될 수 있다. 몇몇 실시 예들에서, 상기 모바일 애플리케이션은 휴대용 통신 기기(401)의 모바일 운영 체계의 카드 에뮬레이션 API들을 사용하여 상기 비접촉 판독기와 통신할 수 있으며, 그럼으로써 상기 트랜잭션이 (비록 보안 요소가 사용될 수 있지만) 보안 요소의 사용을 요구하지 않고 수행될 수 있다.

자성 스트라이프 기반 트랜잭션에 대해서는, 이용 가능한 애플리케이션 요구(402), 이용 가능한 애플리케이션 응답(404), 애플리케이션 선택(406), 및 단말기 트랜잭션 데이터 요구(408) 통신들 및 상기 통신들 내에 포함된 관련 데이터 요소들이 도 3을 참조하여 위에서 설명한 바와 같은 통합 칩 카드 기반 트랜잭션의 것들과 유사하고, 그럼으로써 이들에 대한 구체적인 설명은 반복되지 않을 것이다.

휴대용 통신 기기(401)의 모바일 애플리케이션으로부터의 단말기 트랜잭션 데이터 요구(408)를 수신함에 응답하여, 액세스 기기(460)는 상기 요구된 단말기 트랜잭션 데이터(410)를 휴대용 통신 기기(401)에 송신할 수 있다. 자성 스트라이프 기반 트랜잭션에서 휴대용 통신 기기(401)에 제공되는 단말기 트랜잭션 데이터(410)는, 액세스 기기(360)가 자성 스트라이프 기반 트랜잭션들을 지원함을 상기 단말기 트랜잭션 데이터(410)에서 제공된 트랜잭션 타입 표시자(예컨대, 단말기 트랜잭션 수식자들(TTQ))가 나타낼 수 있음을 제외하고, 도 3을 참조하여 위에서 설명한 통합 칩 카드 기반 트랜잭션의 것과 유사하다.

일단 휴대용 통신 기기(401)의 모바일 애플리케이션이 단말기 트랜잭션 데이터(410)를 수신하고 액세스 기기(460)가 자성 스트라이프 기반 트랜잭션들을 지원함을 결정한다면, 상기 모바일 애플리케이션은 상기 모바일 애플리케이션의 애플리케이션 트랜잭션 카운터(Application Transaction Counter; ATC)를 증분시키고, 한 세트의 트랜잭션 처리 정보(412)를 액세스 기기(360)에 송신할 수 있다. 몇몇 실시 예들에서, 상기 트랜잭션 처리 정보(412)는 GPO 응답의 형태를 이루고 있을 수 있다. 몇몇 실시 예들에서, 상기 트랜잭션 처리 정보(412)는 휴대용 통신 기기(401) 상에 저장된 계정 데이터를 판독하는데 액세스 기기(460)에 의해 파일 어드레스(들)로서 사용될 수 있는 하나 이상의 애플리케이션 파일 로케이터(application file locator)들, 및 상기 모바일 애플리케이션의 기능들을 나타내는데 사용될 수 있는 애플리케이션 교환 프로파일(application interchange profile; AIP)을 포함할 수 있다. 몇몇 실시 예들에서, 자성 스트라이프 기반 트랜잭션 동안 액세스 기기(460)에 제공된 하나 이상의 AFL들은 상기 모바일 애플리케이션이 자성 스트라이프 기반 트랜잭션들 대 통합 칩 기반 트랜잭션들에서 사용하기 위한 별개의 데이터 세트들을 저장하기 위해 서로 다른 위치들을 유지하도록 통합 칩 기반 트랜잭션 동안 제공되는 AFL(들)과는 다를 수 있다. 상기 모바일 애플리케이션은 또한 상기 수신된 단말기 트랜잭션 데이터(410) 중 적어도 일부를 사용할 수도 있고 사용하지 않을 수도 있는 동적 트랜잭션 처리 정보를 생성하고, 상기 하나 이상의 애플리케이션 파일 로케이터(AFL)들에 의해 액세스 가능한 위치에 상기 생성된 정보를 저장할 수 있다. 상기 동적 트랜잭션 처리 정보는 예를 들면 상기 LUK를 사용함으로써 생성된 트랜잭션 암호를 포함할 수 있다.

액세스 기기(460)가 상기 트랜잭션 처리 정보(412)를 수신한 후에, 액세스 기기(460)는 휴대용 통신 기기(301) 상에 저장될 수 있는 계정 데이터를 판독하도록 하는 액세스 데이터 요구(414)를 휴대용 통신 기기(401)의 모바일 애플리케이션에 송신할 수 있다. 몇몇 실시 예들에서, 상기 계정 데이터 요구(414)는 판독 레코드 커맨드의 형태를 이루고 있을 수 있으며, 액세스 기기(460)가 판독하려고 시도하는 계정 데이터의 위치를 나타내는 애플리케이션 파일 로케이터(application file locator; AFL)를 포함할 수 있다. 상기 계정 데이터 요구(414)에 포함된 AFL은 휴대용 통신 기기(401)로부터 액세스 기기(460)로 제공되었던 트랜잭션 처리 정보(412) 내의 AFL에 상응할 수 있다.

액세스 기기(460)로부터의 계정 데이터 요구를 수신함에 응답하여, 휴대용 통신 기기(401)는 상기 AFL에 의해 표시된 위치에 저장된 계정 데이터(416)를 액세스 기기(460)에 송신할 수 있다. 몇몇 실시 예들에서, 상기 계정 데이터(416)는 판독 레코드 응답의 형태로 송신될 수 있다. 상기 계정 데이터(416)는 예를 들면 트랙-2에 상응하는 데이터 및 카드 보유자 네임 등등을 포함할 수 있다. 몇몇 실시 예들에서, 자성 스트라이프 기반 트랜잭션에 대하여는, 상기 LUK 및/또는 상기 LUK에 연관된 키 인덱스를 사용함으로써 생성된 트랜잭션 암호가 상기 트랙-2에 상응하는 데이터에 엠베드(embed)될 수 있다.

여기서 이해하여야 할 점은 몇몇 실시 예들에서 휴대용 통신 기기(401)로부터 액세스 기기(460)로 송신되는 계정 데이터(416)가 위에서 설명한 정보 중 일부 또는 모두를 포함할 수 있으며, 몇몇 실시 예들에서, 구체적으로 설명되지 않은 추가적인 정보를 포함할 수 있다는 점이다.

몇몇 실시 예들에서, 예를 들면 저장된 추가적인 계정 관련 데이터가 상기 트랜잭션을 완료하도록 액세스 기기(460)에 의해 요구되는 경우에 액세스 기기(460) 및 휴대용 통신 기기(401) 간의 통신 교환이 한 쌍의 계정 데이터 요구(4714) 및 계정 데이터(416)보다 많이 존재할 수 있다. 일단 액세스 기기(460)가 상기 트랜잭션 처리 정보(412) 및/또는 하나 이상의 계정 데이터(416) 전송들로부터의 필요한 데이터를 수신했다면, 상기 트랜잭션 처리 정보(412) 및/또는 하나 이상의 계정 데이터(416) 전송들 내의 데이터 요소들 중 일부 또는 모두는 상기 발행자로부터의 트랜잭션의 승인을 요구하도록 하는 트랜잭션 요구 메시지를 생성하는데 액세스 기기(460)에 의해 사용될 수 있다. 예를 들면, 몇몇 실시 예들에서, 상기 트랜잭션 승인 요구 메시지는 적어도 상기 트랙-2에 상응하는 데이터 및 상기 LUK를 가지고 생성된 트랜잭션 암호를 포함할 수 있으며, 상기 트랜잭션은 적어도 상기 트랜잭션 암호가 올바르게 생성되었음과 상기 트랜잭션 암호의 생성에서 사용된 LUK가 상기 LUK의 한 세트의 하나 이상의 제한적 사용 임계값들을 소진하지 않았음을 검증함에 기반을 두고 승인될 수 있다.

트랙-2에 상응하는 데이터

몇몇 실시 예들에 의하면, 실행되고 있는 트랜잭션 타입(예컨대, 통합 칩 기반 트랜잭션 또는 자성 스트라이프 기반 트랜잭션)에 의존하여, 서로 다른 데이터 요소들이 상기 휴대용 통신 기기의 모바일 애플리케이션으로부터 상기 액세스 기기로 제공되는 트랙-2에 상응하는 데이터 내에 포함될 수 있다. 하기 표 1에는 자성 스트라이프 기반 트랜잭션 또는 통합 칩 기반 트랜잭션에서 사용될 수 있는 엠베드된 트랜잭션 암호를 가지는 트랙-2에 상응하는 데이터 포맷의 일 예가 나타나 있다.

상기 키 인덱스는 특정한 트랜잭션을 위한 트랜잭션 암호의 생성에 사용되었던 LUK에 연관되고, 본원 명세서에서 설명한 바와 같은 상기 LUK의 생성에 관련된 정보를 포함할 수 있다. 예를 들면, 상기 키 인덱스는 상기 LUK를 생성하는데 사용되었던 시드일 수 있으며, 상기 LUK가 생성되었을 때를 나타내는 시간 정보(예컨대, 타임스탬프)를 포함할 수 있고, 그리고/또는 상기 LUK가 특정한 계정, 모바일 애플리케이션, 또는 휴대용 통신 기기에 대해 연장되었거나 보충되었던 횟수를 나타내는 보충 카운터 값을 포함할 수 있다. 몇몇 실시 예들에서, 상기 키 인덱스는 상기 LUK가 생성될 때 상기 휴대용 통신 기기의 모바일 애플리케이션에 의해 사전에 수행되었던 트랜잭션 횟수를 나타내는 애플리케이션 카운터 값을 포함할 수도 있고, 클라우드-기반 트랜잭션 서비스 제공자에 의해 또는 상기 트랜잭션에 관련된 발행자와 같은 적합한 엔티티에 의해 생성된 의사 난수(pseudo random number)를 포함할 수 있다.

상기 트랙-2에 상응하는 데이터에 엠베드된 트랜잭션 암호는 암호 키로서 상기 LUK를 사용함으로써 생성되는 암호일 수 있다. 몇몇 실시 예들에서, 상기 트랙-2에 상응하는 데이터에 엠베드되는 트랜잭션 암호는 상기 트랜잭션 처리 정보(312)에서 제공되는 트랜잭션 암호(예컨대, GPO 응답)와는 다를 수 있다. 예를 들면, 상기 트랙-2에 상응하는 데이터에 엠베드된 트랜잭션 암호("10진수 트랜잭션 암호(decimalized transaction cryptogram)"로 지칭될 수 있음)는 감축된 길이(예컨대, 6자리수로 감축됨)를 지닐 수 있으며, 그리고/또는 단말기 트랜잭션 데이터 대신에 정적 데이터(예컨대, 사전에 결정된 숫자 문자열)를 암호화함으로써 생성될 수 있다.

상기 트랜잭션이 비접촉 광 인터페이스를 사용하여 수행되는 몇몇 실시 예들에서, QR 코드 또는 바 코드와 같은 광 이미지는 상기 표 1에서 보인 트랙-2에 상응하는 데이터를 부호화하도록 생성될 수 있으며, 상기 트랙-2에 상응하는 데이터를 부호화하는 광 이미지는 휴대용 통신 기기상에 디스플레이되어 상기 트랜잭션을 수행하도록 액세스 기기의 광 스캐너 또는 판독기에 제시될 수 있다.

하기 표 2에는 통합 칩 기반 트랜잭션에서 사용될 수 있는 엠베드된 트랜잭션 암호를 지니지 않는 트랙-2에 상응하는 데이터 포맷의 일 예가 나타나 있다.

통합 칩 기반 트랜잭션에 대해서는, 상기 트랜잭션 처리 정보(312) 내의 트랜잭션 암호(예컨대, GPO 응답)가 이미 상기 액세스 기기에 제공되어 있고, 그럼으로써 통합 칩 기반 트랜잭션에 대해 상기 트랙-2에 상응하는 데이터 내에 트랜잭션 암호를 포함시키는 것을 불필요할 수 있다. 이러한 이유로, 상기 표 2에서 보인 트랙-2에 상응하는 데이터 포맷이 통합 칩 기반 트랜잭션을 위해 사용될 수 있지만, 상기 표 1에 도시된 트랙-2에 상응하는 데이터 포맷이 또한 사용될 수 있다.

몇몇 실시 예들에서, 상기 LUK에 연관된 키 인덱스는 상기 표 2에서 보인 트랙-2에 상응하는 데이터 포맷으로 상기 트랙-2 임의 데이터에 엠베드될 수 있다. 상기 키 인덱스는 예를 들면 시간 정보 및/또는 보충 카운터 값, 애플리케이션 트랜잭션 카운터 값, 또는 의사 난수, 또는 본원 명세서에서 설명한 예들 중 어느 하나를 포함할 수 있다. 몇몇 실시 예들에서, 상기 키 인덱스는 상기 트랜잭션 암호를 생성하기 위한 시드로서의 역할을 할 수 있다. 상기 발행자에게로 전달되는 트랙-2 임의 데이터 내에 상기 시드를 포함시킴으로써, 상기 발행자는 상기 시드를 검증할 수 있으며, 몇몇 실시 예들에서, 상기 트랜잭션 암호를 검증하도록 상기 시드를 사용하여 상기 트랜잭션 암호를 재생할 수 있다.

여기서 이해하여야 할 점은 위에서 설명한 트랙-2에 상응하는 데이터 포맷들이 예들이며, 몇몇 실시 예들에서 상기 트랙-2에 상응하는 데이터가 상기 데이터 요소들 중 일부를 생략할 수 있으며, 그리고/또는 구체적으로 도시되지 않은 추가적인 데이터 요소들을 포함할 수 있다는 점이다.

V. 트랜잭션 검증 로그

몇몇 실시 예들에 의하면, 상기 모바일 애플리케이션은 트랜잭션 검증 로그 내에 트랜잭션에 대한 정보를 포함시키도록 상기 트랜잭션의 종료시에 상기 모바일 애플리케이션에 의해 유지된 트랜잭션 검증 로그를 업데이트할 수 있다. 상기 모바일 애플리케이션은 상기 트랜잭션을 완료하도록 상기 액세스 기기에 의해 요구될 수 있는 모든 트랜잭션 처리 정보 및/또는 계정 데이터가 상기 액세스 기기에 제공되었음을 인식(예컨대, 상기 AFL에서 정의된 마지막 레코드가 성공적으로 복귀되었음 또는 어떠한 AFL도 없는 경우, 상기 GPO 응답이 성공적으로 복귀되었을 때를 인식)함으로써 트랜잭션의 종료를 인식할 수 있다.

도 5에는 몇몇 실시 예들에 따른 트랜잭션 검증 로그 내에 포함될 수 있는 데이터 요소들의 예들이 예시되어 있다. 상기 모바일 애플리케이션은 LUK에 대해 또는 한 세트의 계정 매개변수들에 대해 트랜잭션 검증 로그를 유지할 수 있다. 몇몇 실시 예들에서, 상기 휴대용 통신 기기는 여러 LUK 또는 여러 세트의 계정 매개변수들에 대해 다수의 트랜잭션 검증 로그를 유지할 수도 있고 옵션으로 일단 현재 LUK 또는 계정 매개변수들이 연장 또는 보충되었다면, 이전의 LUK 또는 계정 매개변수들에 상응하는 트랜잭션 검증 로그는 상기 휴대용 통신 기기상의 메모리 공간을 절약하도록 삭제될 수 있다.

상기 트랜잭션 검증 로그는 상기 로그된 트랜잭션들에서 사용되는 LUK 또는 한 세트의 계정 매개변수들에 상응하는 키 인덱스, 및 상기 LUK 또는 한 세트의 계정 매개변수들이 보충되었던 횟수를 나타내는 상기 키 인덱스 또는 한 세트의 계정 매개변수들에 연관된 시퀀스 카운터 값에 연관될 수 있으며 그리고/또는 상기 로그된 트랜잭션들에서 사용되는 LUK 또는 한 세트의 계정 매개변수들에 상응하는 키 인덱스, 및 상기 LUK 또는 한 세트의 계정 매개변수들이 보충되었던 횟수를 나타내는 상기 키 인덱스 또는 한 세트의 계정 매개변수들에 연관된 시퀀스 카운터 값을 포함할 수 있다. 특정한 LUK 또는 특정한 세트의 계정 매개변수들을 사용하여 수행된 각각의 트랜잭션에 대해서는, 상기 트랜잭션 검증 로그가 상응하는 트랜잭션의 시간을 나타내는 트랜잭션 타임스탬프, (이용 가능한 경우) 상기 트랜잭션 동안 상기 액세스 기기로부터 제공되는 예측 불가능한 번호(unpredictable number; UN), 상응하는 트랜잭션에 연관된 애플리케이션 트랜잭션 카운터(application transaction counter; ATC) 값(예컨대, 트랜잭션시 상기 모바일 애플리케이션을 사용하여 수행되었던 트랜잭션 횟수를 나타내는 값), 및 상응하는 트랜잭션이 통합 칩 기반 트랜잭션으로서 수행되었는지 자성 스트라이프 기반 트랜잭션으로서 수행되었는지를 나타내는 트랜잭션 타입 표시자를 포함할 수 있다. 상기 트랜잭션 타임스탬프는 트랜잭션 시 상기 휴대용 통신 기기에 의해 결정된 바와 같은 UTC 시간일 수 있다. 몇몇 실시 예들에서, 상응하는 트랜잭션 시 상기 휴대용 통신 기기의 위치와 같은 추가적인 정보는 상기 트랜잭션 검증 로그 내에 포함될 수 있다. 여기서 이해하여야 할 점은 상기 트랜잭션 검증 로그가 더 적은 데이터 요소들을 포함할 수 있으며, 그리고/또는 구체적으로 도시되지 않은 다른 데이터 요소들을 포함할 수 있다는 점이다.

상기 트랜잭션 검증 로그는 사후 지불결제 검증 및 계정 매개변수 보충과 같은 여러 목적으로 사용될 수 있다. 도 6에는 몇몇 실시 예들에 따른 사후-지불결제 검증 프로세스의 일 예에 대한 통신 흐름도가 예시되어 있다. 상기 사후-지불결제 검증 프로세스는 발행자/호스트 시스템(672)이 상기 계정을 체크하기로 결정할 때, 예를 들면 의심스럽거나 잠재적으로 사기성 있는 것으로 플래그되는 트랜잭션이 수신될 때, 또는 발행자/호스트 시스템(672)이 사기 방지 대책으로서 임의로 또는 주기적으로 상기 계정을 체크할 때 발행자/호스트 시스템(672)에 의해 개시될 수 있다.

발행자/호스트 시스템(672)은 계정에 연관된 트랜잭션 검증 로그를 요구하도록 하는 트랜잭션 로그 요구(622)를 CBPP(680)에 송신함으로써 사후-지불결제 검증 프로세스를 개시할 수 있다. 상기 트랜잭션 로그 요구(622)는 상기 계정을 식별하는데 CBPP(680)에 의해 사용될 수 있는 계정 식별자와 같은 정보를 포함할 수 있다. CBPP(680)는 해당 계정 및 상기 계정이 등록되어 있는 모바일 애플리케이션을 식별하고 이러한 정보를 트랜잭션 로그 요구(624)로서 MAP(670)에 포워드할 수 있다. MAP(670)는 상기 계정 및 모바일 애플리케이션에 연관된 휴대용 통신 기기를 식별 및 인증하고, 휴대용 통신 기기(601)의 식별된 모바일 애플리케이션에 트랜잭션 로그 요구(626)를 송신할 수 있다.

상기 트랜잭션 로그 요구(626)의 수신시, 휴대용 통신 기기(601)의 모바일 애플리케이션은 상기 휴대용 통신 기기의 메모리로부터 상기 트랜잭션 검증 로그를 회수하여, 발행자/호스트 시스템(672)으로의 전송을 위해 상기 데이터를 트랜잭션 로그 정보(628) 내에 패키징할 수 있다. 상기 트랜잭션 로그 정보(628)는 상기 휴대용 통신 기기상에 저장된 트랜잭션 검증 로그로부터 획득되며, 상기 트랜잭션 타임스탬프, 애플리케이션 트랜잭션 카운터 값, 트랜잭션 타입 표시자, 이용 가능한 경우 예측 불가능한 번호, 및/또는 이들의 임의 조합과 같은 각각의 트랜잭션에 대한 트랜잭션 세부사항; 상기 트랜잭션들에 대해 사용되는 LUK 또는 계정 매개변수들에 연관된 키 인덱스; 상기 LUK 또는 계정 매개변수들에 연관된 시퀀스 카운터; 및/또는 이들의 임의 조합과 같은 트랜잭션 검증 로그에 포함된 정보 중 일부 또는 모두를 포함할 수 있다. 변형적으로 또는 추가로, 상기 트랜잭션 검증 로그로부터 획득된 트랜잭션 로그 정보는 상기 트랜잭션 검증 로그 내의 정보 중 일부 또는 모두에 걸쳐 계산된 인증 코드(예컨대, 메시지 인증 코드, 해시 값 등등)를 포함할 수 있다. 예를 들면, 상기 인증 코드는 각각의 트랜잭션에 대한 트랜잭션 세부사항에 대해, 또는 각각의 트랜잭션에 대한 트랜잭션 세부사항과 함께 키 인덱스 및/또는 시퀀스 카운터에 대해 계산될 수 있다. 몇몇 실시 예들에서, 상기 인증 코드는 암호화 키로서 상기 LUK를 사용함으로써 생성될 수 있다.

상기 트랜잭션 검증 로그로부터 관련된 트랜잭션 로그 정보(628)를 획득한 후에, 휴대용 통신 기기(601) 상의 모바일 애플리케이션은 상기 트랜잭션 로그 정보(628)를 MAP(670)로 송신한다. MAP(670)는 상기 정보를 트랜잭션 로그 정보(630)로서 CBPP(680)로 포워드하고, CBPP(680)는 상기 정보를 트랜잭션 로그 정보(632)로서 발행자/호스트 시스템(672)으로 포워드한다. 몇몇 실시 예들에서, CBPP(680)는 예를 들면 CBPP(680)가 상기 계정의 트랜잭션 활성을 추적하는 경우에 상기 수신된 트랜잭션 로그 정보의 검증을 수행할 수 있고, 추가로 또는 변형적으로 발행자/호스트 시스템(672)으로 전송되는 트랜잭션 로그 정보(632) 내에 상기 검증 결과를 제공할 수 있다.

발행자/호스트 시스템(672)이 상기 트랜잭션 로그 정보(632)를 수신할 경우에, 발행자/호스트 시스템(672)은 상기 정보를 의심스러운 트랜잭션과 비교할 수 있으며, 그리고/또는 상기 정보를 현재의 LUK 또는 한 세트의 계정 매개변수들에 대한 트랜잭션 행위와 비교할 수 있다. 의심스러운 트랜잭션이 휴대용 통신 기기(601)의 모바일 애플리케이션에 의해 수행되었음을 상기 트랜잭션 로그 정보(632)가 나타내며 그리고/또는 상기 트랜잭션 로그 정보(632)가 상기 트랜잭션 행위와 매치(match) 되는 경우에, 발행자/호스트 시스템(672)은 사후-지불결제 검증 프로세스를 완료하고 상기 계정을 활성 상태로 유지한다.

의심스러운 트랜잭션이 휴대용 통신 기기(601)의 모바일 애플리케이션으로부터 비롯되지 않았음을 상기 트랜잭션 로그 정보(632)가 나타내는 경우 또는 상기 트랜잭션 로그 정보(632)가 발행자 측 트랜잭션 행위와 매치되지 않는 경우에, 발행자/호스트 시스템(672)은 상기 계정을 중지시키고, 중지 통지를 CBPP(680)에 송신할 수 있다. CBPP(680)는 CBPP(680) 자체 시스템에서 상기 계정을 중지시키고 상기 중지 통지를 MAP(670)로 포워드할 수 있다. 그리고 나서, MAP(670)는 상기 중지 통지를 휴대용 통신 기기(601)의 모바일 애플리케이션으로 포워드한다. 상기 중지 통지의 수신에 응답하여, 상기 모바일 애플리케이션은 상기 모바일 애플리케이션으로부터 현재의 한 세트의 계정 매개변수들을 삭제하고 상기 발행자에게 연락할 것을 사용자에게 요구하도록 하는 메시지를 디스플레이할 수 있다.

VI. 계정 매개변수 보충

한 세트의 계정 매개변수들(예컨대, LUK)이 연관된 한 세트의 하나 이상의 제한적 사용 임계값들을 소진한 계정 매개변수들의 사용 또는 계정 매개변수들의 수명 때문에 만료될 때, 만료된 한 세트의 계정 매개변수들을 사용하여 수행되는 차후의 트랜잭션은 거부될 수 있다. 상기 휴대용 통신 기기의 모바일 애플리케이션을 사용하여 트랜잭션들을 계속 수행할 수 있게 하기 위해, 상기 모바일 애플리케이션은 상기 모바일 애플리케이션이 이용 가능한 한 세트의 계정 매개변수들을 업데이트, 연장, 재생, 또는 보충할 필요가 있을 수 있다. 몇몇 실시 예들에서, 상기 트랜잭션 검증 로그는 또한 새로운 계정 매개변수들을 요구하는 모바일 애플리케이션 또는 휴대용 통신 기기가 이전의 한 세트의 계정 매개변수들을 사전에 수신하여 사용했던 동일한 애플리케이션 또는 기기임을 검증하는데 계정 매개변수 보충 프로세스 동안 사용될 수 있다.

상기 계정 매개변수 보충 프로세스를 용이하게 하기 위해, 상기 휴대용 통신 기기의 모바일 애플리케이션은 상기 한 세트의 계정 매개변수들(예컨대, LUK)의 사용을 추적하여, 상기 계정 매개변수들 또는 LUK에 연관된 하나 이상의 제한적 사용 임계값들이 소진되었는지 아니면 소진되려고 할 것인지를 나타내는 계정 매개변수 상태를유지할 수 있다. 예를 들면, 상기 모바일 애플리케이션은 얼마나 많은 트랜잭션이 상기 한 세트의 계정 매개변수들 또는 LUK를 사용하여 수행되었는지, 상기 한 세트의 계정 매개변수들 또는 LUK가 생성된 이후로 몇 번이나 경과했는지, 그리고/또는 상기 한 세트의 계정 매개변수들 또는 LUK를 사용하여 수행되었던 모든 트랜잭션들에 걸친 누적 트랜잭션 액수를 추적할 수 있다. 각각의 트랜잭션 종료시, 상기 모바일 애플리케이션은 상기 모바일 애플리케이션에 의해 추적되는 한 세트의 계정 매개변수들 또는 LUK의 사용을 업데이트하여, 상기 사용을 온-디바이스의 한 세트의 하나 이상의 제한적 사용 임계값들과 비교할 수 있다. 몇몇 실시 예들에서, 현재의 한 세트의 계정 매개변수들 또는 LUK의 사용이 온-디바이스의 한 세트의 하나 이상의 제한적 사용 임계값들을 소진하였거나 사용 한도를 넘어 사용했음을 상기 모바일 애플리케이션이 결정하는 경우에, 상기 모바일 애플리케이션은 계정 매개변수 보충 요구를 개시할 수 있다. 몇몇 실시 예들에서, 상기 모바일 애플리케이션은 현재의 한 세트의 계정 매개변수들 또는 LUK를 사용하여 수행된 다음 트랜잭션이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 소진할 것임을 상기 모바일 애플리케이션이 결정하는 경우에 상기 모바일 애플리케이션이 계정 매개변수 보충 요구를 개시할 수 있다. 이는 예를 들면 유효한 한 세트의 계정 매개변수들 또는 LUK가 상기 모바일 애플리케이션에서 꾸준히 이용 가능하고, 그럼으로써 상기 모바일 애플리케이션을 가지고 수행되는 다음 트랜잭션이 거부되지 않음을 확실하게 하는데 도움이 되도록 이행될 수 있다.

도 7에는 몇몇 실시 예들에 따른 계정 매개변수 보충 프로세스의 일 예에 대한 통신 흐름도가 예시되어 있다. 도 7에 보인 예에서, 상기 계정 매개변수 보충 프로세스는 휴대용 통신 기기(701)의 모바일 애플리케이션에 의해 개시되고, 보충 풀 프로세스(replenishment pull process)로 지칭될 수 있다. 현재의 한 세트의 계정 매개변수들에 연관된 한 세트의 하나 이상의 제한적 임계값들이 소진되었거나 소진될 것임을 상기 모바일 애플리케이션이 결정하는 경우에, 휴대용 통신 기기(701)의 모바일 애플리케이션은 상기 모바일 애플리케이션이 이용 가능한 한 세트의 계정 매개변수들 또는 LUK를 보충하도록 하는 계정 매개변수 보충 요구(722)를 MAP(770)에 송신할 수 있다.

상기 계정 매개변수 보충 요구(722)는 관련된 계정, 모바일 애플리케이션, 및/또는 휴대용 통신 기기(701)를 식별하는 정보를 포함할 수 있으며, 상기 휴대용 통신 기기상에 저장된 트랜잭션 검증 로그로부터 획득된 트랜잭션 로그 정보를 포함할 수 있다. 상기 계정 매개변수 보충 요구(722) 내에 제공되는 트랜잭션 로그 정보는 현재의 한 세트의 계정 매개변수들 또는 LUK를 사용하여 수행되는 각각의 트랜잭션에 대한 트랜잭션 세부사항과 같은 트랜잭션 검증 로그 내에 포함되는 정보(예컨대, 트랜잭션 타임스탬프, 애플리케이션 트랜잭션 카운터 값, 트랜잭션 타입 표시자, 이용 가능한 경우 예측 불가능한 번호, 및/또는 이들의 임의 조합) 중 일부 또는 모두를 포함할 수 있다. 상기 트랜잭션 로그 정보는 현재의 한 세트의 계정 매개변수들 또는 LUK, 및/또는 상기 현재의 한 세트의 계정 매개변수들 또는 LUK에 연관된 시퀀스 카운터에 연관된 키 인덱스를 포함할 수 있다. 변형적으로 또는 추가로, 상기 트랜잭션 검증 로그로부터 획득되고 상기 계정 매개변수 보충 요구(722) 내에 제공되는 트랜잭션 로그 정보는 상기 트랜잭션 검증 로그 내의 정보 중 일부 또는 모두에 걸쳐 계산된 인증 코드(예컨대, 메시지 인증 코드, 해시 값 등등)를 포함할 수 있다. 예를 들면, 상기 인증 코드는 각각의 트랜잭션에 대한 트랜잭션 세부사항에 대해, 또는 각각의 트랜잭션에 대한 트랜잭션 세부사항과 함께 키 인덱스 및/또는 시퀀스 카운터에 대해 계산될 수 있다. 일부 실시 예들에서, 상기 인증 코드는 암호화 키로서 상기 LUK를 사용함으로써 생성될 수 있다.

MAP(770)가 상기 계정 매개변수 보충 요구(722)를 수신한 경우에, MAP(770)는 상기 요구를 계정 매개변수 보충 요구(724)로서 CBPP(780)에 포워드한다. 상기 계정 매개변수 보충 요구(724)의 수신시, CBPP(780)는 상기 트랜잭션 로그 정보를 검증하거나 상기 트랜잭션 로그 정보를 검증할 것을 발행자/호스트 시스템(772)에 요구할 수 있다. 상기 트랜잭션 로그 정보가 CBPP(780) 또는 발행자/호스트 시스템(772) 측 트랜잭션 행위와 매치 되는 경우에, CBPP(780)는 상기 모바일 애플리케이션 측의 현재의 한 세트의 계정 매개변수들을 보충하도록 새로운 한 세트의 계정 매개변수들(예컨대, 새로운 키 인덱스 및 새로운 LUK)을 생성할 수 있다. CBPP(780)는 새로운 한 세트의 계정 매개변수들이 상기 모바일 애플리케이션에 보충되고 있음을 발행자에게 통지하도록 하는 보충 통지(726)를 발행자/호스트 시스템(772)에 송신할 수 있다. 몇몇 실시 예들에서, 상기 보충 통지(726)는 발행자/호스트 시스템(772)이 그 자체의 업데이트를 수행할 수 있게 하는 새로운 한 세트의 계정 매개변수들(예컨대, 새로운 키 인덱스 및 새로운 LUK)을 포함할 수 있다. 발행자/호스트 시스템(772)은 확인응답(728)을 CBPP(780)에 송신함으로써 응답할 수 있다.

상기 새로운 한 세트의 계정 매개변수들이 생성된 후에, CBPP(780)가 상기 새로운 한 세트의 계정 매개변수들(730)을 MAP(770)로 송신할 수 있다. 상기 새로운 한 세트의 계정 매개변수들(730)은 새로운 키 인덱스, 새로운 LUK 등등을 포함할 수 있으며, 몇몇 실시 예들에서 이전의 임계값들과는 다른 사용 한도들을 지닐 수 있는 계정 매개변수들 또는 LUK에 연관된 새로운 한 세트의 하나 이상의 제한적 사용 임계값들을 또한 포함할 수 있다. 그리고 나서, MAP(770)는 상기 데이터를 상기 새로운 한 세트의 계정 매개변수들(732)로서 휴대용 통신 기기(701)의 모바일 애플리케이션에 포워드한다.

휴대용 통신 기기(701)의 모바일 애플리케이션이 상기 새로운 한 세트의 계정 매개변수들(예컨대 새로운 LUK 및 상기 LUK에 연관된 새로운 키 인덱스)을 수신할 경우에, 상기 모바일 애플리케이션은 이전의 한 세트의 계정 매개변수들 및 관련 트랜잭션 검증 로그 세부사항 및 사용 추적을 삭제하고, 상기 새로운 한 세트의 계정 매개변수들을 저장한다. 상기 새로운 한 세트의 계정 매개변수들이 상기 한 세트의 하나 이상의 제한적 사용 임계값들에 대해 서로 다른 사용 한도들을 지니는 경우에, 상기 하나 이상의 제한적 사용 임계값들은 상기 새로운 사용 한도들을 가지고 업데이트될 수 있다. 상기 모바일 애플리케이션은 또한 각각의 성공적인 계정 매개변수 보충에 대해 상기 시퀀스 카운터를 증분시킨다. 일단 상기 모바일 애플리케이션이 상기 한 세트의 계정 매개변수들을 업데이트하였다면, 휴대용 통신 기기(701)의 모바일 애플리케이션은 이를 수신확인(734)으로서 CBPP(770)에 포워드하여 상기 계정 매개변수 보충 프로세스가 성공적이었음을 수신확인할 수 있다.

몇몇 실시 예들에서, 발행자/호스트 시스템(772)이 상기 보충 통지(726)를 발행자/호스트 시스템(772)에 송신하는 대신에, 계정 매개변수 생성 기능을 수행하는 경우, CBPP(780)는 계정 매개변수 보충 요구(724)를 발행자/호스트 시스템(772)에 포워드하고 발행자/호스트 시스템(772)이 상기 새로운 한 세트의 계정 매개변수들(예컨대, 새로운 키 인덱스 및 새로운 LUK)을 생성하게 할 수 있다. 그러한 예들에서, 발행자/호스트 시스템(772)은 휴대용 통신 기기(701) 상의 모바일 애플리케이션에의 포워딩을 위해 상기 새로운 한 세트의 계정 매개변수들을 CBPP(780)에 그리고/또는 MAP(770)에 제공할 수 있다.

몇몇 실시 예들에 의하면, 상기 계정 매개변수 보충 프로세스는 CBPP(770) 및/또는 발행자/호스트 시스템(772)에 의해 개시될 수 있다. 상기 모바일 애플리케이션에 의해 개시되지 않는 계정 매개변수 보충 프로세스는 보충 푸시 프로세스(replenishment push process)로 지칭될 수 있다. 예를 들면, 상기 계정 매개변수 보충 프로세스는 CBPP(770) 및/또는 발행자/호스트 시스템(772)에 의해 모니터링되는 트랜잭션 행위에 의해 트리거될 수 있다. 몇몇 실시 예들에서, CBPP(770) 및/또는 발행자/호스트 시스템(772)은 상기 모바일 애플리케이션에서 유지되는 온-디바이스 제한적 사용 임계값들과 동일한 사용 한도를 지닐 수도 있고 지니지 않을 수도 있는 그들 자체의 한 세트의 하나 이상의 제한적 사용 임계값들을 유지할 수 있다. CBPP(770) 및/또는 발행자/호스트 시스템(772)은 현재의 한 세트의 계정 매개변수들(예컨대, LUK)의 사용을 추적할 수 있다.

상기 현재의 한 세트의 계정 매개변수들에 연관된 상기 CBPP(770) 측의 한 세트의 하나 이상의 제한적 사용 임계값들이 소진되었거나 소진될 것임을 CBPP(770)가 결정하는 경우에, CBPP(770)는 그의 현재의 한 세트의 계정 매개변수들을 보충할 것을 상기 모바일 애플리케이션에 요구하도록 하는 푸시 메시지를 MAP(780)에 송신할 수 있다. 현재의 한 세트의 계정 매개변수들에 연관된 발행자 측의 한 세트의 하나 이상의 제한적 사용 임계값들이 소진되었거나 소진될 것임을 발행자/호스트 시스템(772)이 결정하는 경우에, 발행자/호스트 시스템(772)은 그의 현재의 한 세트의 계정 매개변수들을 보충할 것을 상기 모바일 애플리케이션에 요구하도록 하는 푸시 메시지를 CBPP(770) 및/또는 MAP(780)에 송신할 수 있다.

CBPP(770) 또는 발행자/호스트 시스템(772)으로부터 상기 한 세트의 계정 매개변수들을 보충하도록 하는 푸시 메시지의 수신시, MAP(780)는 상기 푸시 메시지를 휴대용 통신 기기(701)의 모바일 애플리케이션에 포워드할 수 있다. 몇몇 시나리오들에서, CBPP(770) 및/또는 발행자/호스트 시스템(772)이 상기 보충 프로세스를 개시할 때, 휴대용 통신 기기(701)는 전원 공급이 이루어지지 않을 수도 있고 상기 모바일 애플리케이션이 휴대용 통신 기기(701)에서 활성 상태에 있지 않을 수도 있다. 그러한 시나리오들에서, MAP(780)는 차후에 상기 모바일 애플리케이션으로 배포하기 위해 상기 푸시 메시지를 큐잉(queuing)할 수 있으며, MAP(780)가 상기 모바일 애플리케이션과의 통신을 확립할 때까지 상기 모바일 애플리케이션에 연락하려고 주기적으로 시도할 수 있다. 상기 모바일 애플리케이션이 상기 계정 매개변수들(에컨대, LUK 및 관련 키 인덱스)을 보충할 것을 휴대용 통신 기기(701)에 요구하는 푸시 메시지를 수신할 경우에, 그에 응답하여 휴대용 통신 기기(701)의 모바일 애플리케이션은 계정 매개변수 보충 요구를 관련 트랜잭션 로그 정보와 함께 MAP(780)에 송신할 수 있다. 상기 보충 프로세스는 도 7을 참조하여 위에서 설명한 보충 푸시 프로세스와 유사한 방식으로 속행될 수 있다. 몇몇 실시 예들에서, CBPP(770) 및/또는 발행자/호스트 시스템(772)은 상기 새로운 한 세트의 계정 매개변수들을 생성하고 상기 모바일 애플리케이션과의 통신이 확립될 때 MAP(780)가 상기 새로운 한 세트의 계정 매개변수들을 상기 모바일 애플리케이션에 제공할 수 있게 하도록 상기 새로운 한 세트의 계정 매개변수들을 상기 푸시 메시지와 함께 MAP(780)에 제공할 수 있다.

비록 상기 계정 매개변수 보충 프로세스의 설명이 상기 LUK 및 상기 LUK에 연관된 키 인덱스의 보충을 참조하여 기재되었을 수 있지만, 여기서 이해하여야 할 점은 상기 계정 매개변수 보충 프로세스가 예를 들면 다른 계정 매개변수들 또는 관련 정보를 보충하는데, 예컨대 계정 식별자의 대용으로서 사용될 수 있는 토큰을 보충하는데 사용될 수 있다는 점이다. 몇몇 실시 예들에서, 토큰은 LUK 및 키 식별자와 동시에, 또는 상기 LUK 및 키 식별자와는 별개로 보충될 수 있다.

VII. 트랜잭션들용 암호들

몇몇 실시 예들에 의하면, 상기 휴대용 통신 기기상에 저장된 계정 크리덴셜들을 보호하는데 어떠한 보안 요소도 존재할 필요가 없기 때문에, 클라우드-기반 트랜잭션들을 수행하기 위한 계정 매개변수들은 비록 주어진 한 세트의 계정 매개변수들이 손상되더라도 도난당한 계정 매개변수들이 만료되었을 수도 있고 곧 만료하게 될 것이기 때문에 도난당한 계정 매개변수들이 거의 사용되지 못하게 하는 제한적 생존기간을 지닐 수 있다. 예를 들면, 몇몇 보안 요소 구현 예들에서와 같이 트랜잭션들 동안 암호들을 생성하도록 보안 요소에 저장된 정적 키를 사용하는 대신에, 클라우드-기반 트랜잭션 시스템은 트랜잭션 암호들의 생성에 제한적 사용 키들을 사용한다.

몇몇 실시 예들에서, 2가지 타입의 트랜잭션 암호가 사용될 수 있는데, 하나는 자성 스트라이프 기반 트랜잭션들에서 사용되는 트랙-2 데이터에 대한 것이고, 또 하나는 통합 칩 기반 트랜잭션들에 대한 것이다. 양자 모든 타입들의 트랜잭션 암호에 대해서는, 상기 트랜잭션 암호가 제한적 사용 키(limited use key; LUK)를 사용하여 생성된다. 상기 2가지 타입의 트랜잭션 암호들 간의 차이는 상기 암호를 생성하기 위해 사용되는 입력 데이터 및/또는 상기 트랜잭션을 수행하도록 액세스 기기에 전송되는 트랜잭션 암호의 최종 포맷이다. 통합 칩 기반 트랜잭션에 대해서는, 상기 암호를 생성하는데 사용되는 입력 데이터가 상기 트랜잭션 동안 액세스 기기의 비접촉 판독기로부터 수신된 동적 데이터(예컨대, 각각의 트랜잭션에 대해 변화하는 데이터)를 포함할 수 있지만, 자성 스트라이프 기반 트랜잭션에 대한 입력 데이터는 정적 데이터(예컨대, 사전에 결정된 숫자 문자열과 같은 하나의 트랜잭션으로부터 다른 하나의 트랜잭션으로 변화하지 않는 데이터)일 수 있다. 이것이 의미하는 것은 몇몇 실시 예들에서, 자성 스트라이프 기반 트랜잭션에 대해, 상기 트랜잭션 암호의 생성이 액세스 기기의 비접촉 판독으로부터의 데이터에 의존하지 않기 때문에 상기 CBPP 또는 상기 모바일 애플리케이션 자체가 상기 트랜잭션 암호를 생성할 수 있고, 통합 칩 기반 트랜잭션에 대해 상기 모바일 애플리케이션이 상기 트랜잭션 암호의 생성을 제공함을 의미하는 것이다.

또한, 여기서 유념해야 할 점은 자성 스트라이프 기반 트랜잭션에서 상기 트랜잭션 암호를 생성하기 위한 입력이 변형적으로나 추가로 상기 트랜잭션 동안 액세스 기기의 비접촉 판독기로부터 수신된 동적 데이터(예컨대, 단말기 트랜잭션 데이터)를 포함할 수 있다는 점이다. 더군다나, 통합 칩 기반 트랜잭션에서 상기 트랜잭션 암호를 생성하는 입력은 변형적으로나 추가로 정적 데이터를 포함할 수 있다.

트랜잭션 암호 생성에 사용되는 것 외에도, 몇몇 실시 예들에서, 상기 LUK는 상기 모바일 애플리케이션이 상기 클라우드-기반 트랜잭션 시스템의 다른 컴포넌트들 또는 엔티티들과 통신할 때 인증 코드를 생성하는데 사용될 수 있다. 예를 들면, 인증 코드 또는 해시 코드는 상기 계정 매개변수 보충 프로세스 동안 상기 LUK를 키로서 사용하여 트랜잭션 검증 로그 세부사항에 대해 생성될 수 있다.

도 8에는 몇몇 실시 예들에 따른 트랜잭션 암호를 생성하는 프로세스(800)의 일 예에 대한 블록도가 예시되어 있다. 상기 암호화 기능들(806, 812, 818, 및/또는 824)은 다른 암호화 기능들 중 어느 하나와 동일할 수도 있고 다를 수도 있다. 예를 들면, 상기 암호화 기능들(806, 812, 818, 및/또는 824) 중 어느 하나가 트리플 데이터 암호화 표준(triple data encryption standard; TDES), 데이터 암호화 표준(data encryption standard; DES), 고급 암호화 표준(advanced encryption standard; AES), 또는 다른 적합한 암호화 알고리즘들으로서 구현될 수 있다.

프로세스(800)는 2가지 부분으로 분할될 수 있는데, 제1 부분은 LUK 생성(블록들 802-814)에 관한 것이고, 제2 부분은 트랜잭션 암호 생성(블록들 802-828)에 관한 것이다. 상기 LUK 생성에 관련된 제1 부분은 (예컨대, CBPP 또는 발행자/호스트 시스템에 의해) LUK를 생성하도록 한 번 수행될 수 있으며, 상기 트랜잭션 암호 생성에 관련된 제2 부분은 상기 LUK가 그의 한 세트의 하나 이상의 제한적 사용 임계값들을 초과할 때까지 (예컨대, 상기 모바일 애플리케이션에 의해) 상기 제1 부분으로부터 생성된 LUK를 사용하여 여러 번 수행될 수 있는데, 상기 LUK가 그의 한 세트의 하나 이상의 제한적 사용 임계값들을 초과할 때에는 상기 LUK 생성에 관련된 제1 부분이 다시 상기 LUK를 보충, 연장, 또는 재생하도록 수행될 수 있다.

프로세스(800)는 암호화 기능(806)을 사용해 제1 암호화 키(802)를 가지고 계정 정보(804)를 암호화하여 제2 암호화 키(808)를 생성함으로써 개시할 수 있다. 상기 제1 암호화 키(802)는 사용자 계정의 발행자에 연관된 기반 키(base key)일 수 있으며, 상기 기반 키는 계정 그룹에 연관되어 있을 수 있다. 예를 들면, 상기 제1 암호화 키(802)는 클라우드-기반 트랜잭션 서비스용으로 지정된 BIN 또는 PAN 범위 내의 계정 그룹에 연관되어 있을 수 있다. 몇몇 실시 예들에서, 상기 제1 암호화 키(802)는 상기 계정 정보(804)에 연관된 계정의 발행자에 연관된 마스터 획득 키(master derivation key; MDK)일 수 있으며, 상기 제1 암호화 키(802)는 상기 CBPP에서 또는 상기 발행자/호스트 시스템에서 유지될 수 있다.

상기 계정 정보(804)는 계정 식별자(예컨대, PAN), 계정 식별자(예컨대, PAN)와 같은 대체 식별 정보, 대체 계정 식별자(예컨대, 대체 PAN), 또는 계정 식별자의 대용인 토큰을 포함할 수 있으며, 추가로 (예컨대, 다수의 사용자가 동일한 계정을 사용할 때) 특정 계정 사용자를 식별하는 시퀀스 번호(예컨대, PAN 시퀀스 번호(PAN sequence number; PSN))와 같은 사용자 식별 정보를 포함할 수 있다. 예를 들면, 암호화 기능(806)에 대한 입력으로서 사용되는 계정 정보(804)는 상기 계정 식별 정보 및 상기 사용자 식별 정보의 접합(concatenation), 또는 상기 접합의 반전된 버전일 수 있다.

몇몇 실시 예들에서, 상기 계정 정보(804)로부터 생성되는 제2 암호화 키(808)는 상기 계정 정보(804)의 서로 다른 변화들로부터 각각 생성되는 다수의 부분을 포함할 수 있다. 예를 들면, 상기 제2 암호화 키(808)는 2개의 부분으로 분할될 수 있다. 상기 제2 암호화 키(808)의 제1 부분은 상기 제1 암호화 키(802)를 사용하여 상기 계정 정보(804)를 암호화함으로써 생성될 수 있다. 상기 제2 암호화 키(808)의 제2 부분은 상기 계정 정보(804)를 반전시키고 상기 제1 암호화 키(802)를 사용하여 상기 반전된 계정 정보를 암호화함으로써 생성될 수 있다. 상기 제2 암호화 키(808)를 생성하는데 사용되는 암호화 기능(806)은 예를 들면 트리플 데이터 암호화 표준(TDES) 또는 다른 적합한 암호화 알고리즘들일 수 있으며, 2진수 0들의 초기화 체이닝 벡터를 사용할 수 있다. 몇몇 실시 예들에서, 상기 계정 정보(804)로부터 생성된 제2 암호화 키(808)는 상기 계정을 위한 고유 획득 키(unique derivation key; UDK)에 상응할 수 있다.

프로세스(800)는 암호화 기능(812)을 사용해 상기 제2 암호화 키(808)를 가지고 키 인덱스 정보(810)를 암호화하여 상기 제한적 사용 키(LUK)(814)를 생성함으로써 속행될 수 있다. 상기 키 인덱스 정보(810)는 상기 LUK(814)의 생성에 관련된 정보를 포함하고, LUK(814)를 생성하는데 시드로서 사용될 수 있는 키 인덱스로부터 획득될 수 있다. 예를 들면, 상기 키 인덱스는 상기 LUK(814)가 생성되고 있을 때를 나타내는 시간 정보를 포함할 수 있다. 몇몇 실시 예들에서, 상기 시간 정보는 숫자 문자열 'YHHHH'로서 표현될 수 있는데, 여기서 'Y' (0-9)는 현재 연도의 최하위 자리수를 나타내고, 'HHHH' (0001-8784)는 자리수로서 표기된 현재 연도의 1월 1일 시작 이후 시간(예컨대, 1월 1일의 첫 번째 시간 = 0001)을 나타낸다. 몇몇 실시 예들에서, 상기 키 인덱스는 또한, 상기 LUK(814)가 사전에 결정된 시간 주기에서 연장 또는 보충되었던 횟수(예컨대, LUK(814)가 매시간에 생성되었던 횟수)를 나타내는 보충 카운터 값을 포함할 수 있다. 예를 들면, 상기 보충 카운터 값은 숫자 문자열 'CC' (00-99)로서 표현될 수 있다. 매시간 초반에, 'CC'는 00에서 시작되고 LUK(814)가 생성될 때마다 1씩 증분된다. 몇몇 실시 예들에서, 상기 키 인덱스는 상기 CBPP 또는 상기 발행자에 의해 생성되는 의사 난수, 또는 애플리케이션 트랜잭션 카운터 값을 포함할 수 있다.

몇몇 실시 예들에 의하면, 상기 암호화 기능(812)에 대한 입력으로서 제공되는 키 인덱스 정보(810)는 하나 이상의 숫자 값들을 가지고 상기 키 인덱스를 패딩함으로써 생성될 수 있다. 예를 들면, 상기 키 인덱스는 상기 키 인덱스의 초반에 숫자 값(예컨대, 도 8에서 'm' 또는 'n'으로서 도시된 1 또는 2) 그리고/또는 상기 키 인덱스의 말반에 숫자 값(예컨대, 도 8에서 'xxxxxxxx'로 도시된 80000000)을 가지고 패딩될 수 있다. 몇몇 실시 예들에서, 상기 키 인덱스 정보(810)로부터 생성되고 있는 LUK(814)는 상기 키 인덱스 정보(810)의 서로 다른 변화들로부터 각각 생성되는 다수의 부분을 포함할 수 있다. 예를 들면, 상기 LUK(814)는 2개의 부분으로 분할될 수 있다. LUK(814)의 제1 부분은 상기 키 인덱스를 제1 값을 가지고 패딩하여 제1 패딩된 키 인덱스(예컨대, 1YHHHHCC80000000)를 생성하고, 상기 제2 암호화 키(808)를 사용해 상기 제1 패딩된 키 인덱스를 암호화함으로써 생성될 수 있다. LUK(814)의 제2 부분은 상기 키 인덱스를 제2 값을 가지고 패딩하여 제2 패딩된 키 인덱스(예컨대, 2YHHHHCC80000000)를 생성하고, 상기 제2 암호화 키(808)를 사용하여 상기 제2 패딩된 키 인덱스를 암호화함으로써 생성될 수 있다. 상기 LUK(814)를 생성하는데 사용되는 암호화 기능(812)은 예를 들면 TDES 또는 다른 적합한 암호화 알고리즘들일 수 있으며, 2진수 0들의 초기화 체이닝 벡터를 사용할 수 있다. 여기서 이해하여야 할 점은 본원 명세서에서 설명한 숫자 값들이 단지 예들일 뿐이며, 몇몇 실시 예들에서 다른 숫자 값들이 사용될 수 있다는 점이다.

(예컨대, 상기 CBPP 또는 상기 발행자에 의해) 상기 LUK(814)가 생성된 후에, 상기 LUK(814) 및 LUK(814)의 생성에 관련된 정보를 포함하는 키 인덱스는 휴대용 통신 기기를 사용하여 수행되는 트랜잭션들을 위한 트랜잭션 암호들의 생성을 용이하게 하도록 상기 휴대용 통신 기기에 제공될 수 있다. 상기 LUK는 본원 명세서에서 설명한 바와 같은, 상기 LUK(814)를 사용하여 수행될 수 있는 트랜잭션 횟수를 제한하는 한 세트의 하나 이상의 제한적 사용 임계값들에 연관되어 있을 수 있다. 트랜잭션의 실행시, 상기 트랜잭션 암호 및/또는 상기 키 인덱스는 상기 휴대용 통신 기기로부터 액세스 기기로 제공될 수 있으며, 상기 트랜잭션은 상기 트랜잭션 암호의 검증 및 상기 트랜잭션 암호를 생성하는데 사용되는 LUK(814)가 LUK의 제한적 사용 임계값들 중 하나 이상을 초과했었는지의 여부에 기반을 두고 승인될 수 있다.

위에서 검토한 바와 같이, 몇몇 실시 예들에서, 2가지 타입의 트랜잭션 암호들이 생성될 수 있다. 자성 스트라이프 기반 트랜잭션에 대해서는, 상기 트랜잭션 암호(828)가 감축된 길이의 트랜잭션 암호(또한, "10진수 트랜잭션 암호(decimalized transaction cryptogram)"로 지칭될 수 있음)일 수 있다. 트랜잭션 암호(828)는 암호화 기능(828)에서 상기 LUK(814)를 사용해 암호화 키로서 정적 데이터(822)(예컨대, '0000000000000001'과 같은 사전에 결정된 숫자 문자열일 수 있음)를 암호화하여 16진수 (0-F)로 표현되는 암호화된 숫자 문자열 또는 암호화된 정적 데이터를 형성함으로써 생성될 수 있다. 상기 암호화 기능(824)은 예를 들면 TDES 또는 다른 적합한 암호화 알고리즘들일 수 있으며, 2진수 0들의 초기화 체이닝 벡터를 사용할 수 있다. 그리고 나서, 상기 암호화된 정적 데이터(또는 암호화된 숫자 문자열)는 10진수 기능(826)을 사용하여 상기 트랜잭션 암호(828)를 생성함으로써 10진수로 표기될 수 있다.

몇몇 실시 예들에서, 상기 트랜잭션 암호(828)는 2개의 데이터 블록으로 분할될 수 있다. 상기 트랜잭션 암호(828)의 2개의 데이터 블록을 생성하는데 사용되는 10진수 기능(826)은 상기 암호화된 정적 데이터 또는 암호화된 숫자 문자열로부터 숫자 자리수 (0-9)를 추출하여 제1 데이터 블록을 형성하는 것; 및 상기 제2 데이터 블록에 대하여 상기 암호화된 정적 데이터 또는 암호화된 숫자 문자열로부터 16진수 자리수 (A-F)를 추출하고, 각각의 추출된 16진수 자리수로부터 10을 감산하여 상기 제2 데이터 블록을 형성함으로써 상응하는 16진수 자리수를 하나의 숫자 자리수로 변환하는 것;을 포함할 수 있다. 그리고 나서, 상기 제1 데이터 블록은 상기 트랜잭션 암호(828)를 형성하도록 상기 제2 데이터 블록과 접합될 수 있다. 몇몇 실시 예들에서, 상기 10진수 트랜잭션 암호(828)는 6자리수를 지닐 수 있으며, 발행자로부터의 트랜잭션에 대한 승인을 요구하도록 하는 트랜잭션 승인 요구 메시지 내에 제공되는 트랙-2에 상응하는 데이터 내에 상기 키 인덱스(예컨대, 'YHHHHCC')를 가지고 엠베드될 수 있다.

통합 칩 기반 트랜잭션에 대해서는, 상기 트랜잭션 암호(820)가 암호화 기능(818)에서 상기 LUK(814)를 사용해 암호화 키로서 동적 트랜잭션 데이터(816)를 암호화함으로써 생성될 수 있다. 상기 동적 트랜잭션 데이터(816)는 예를 들면 상기 트랜잭션의 실행 동안 상기 액세스 기기로부터 상기 휴대용 통신 기기의 모바일 애플리케이션으로 제공되는 단말기 트랜잭션 데이터(310) 중 일부 또는 모두를 포함할 수 있다. 몇몇 실시 예들에서, 상기 동적 트랜잭션 데이터(816)는 이하의 데이터 요소들: 승인 액수, 다른 액수, 단말기 국가 코드, 단말기 검증 결과들, 트랜잭션 통화 코드, 트랜잭션 일자, 트랜잭션 타입, 및 예측 불가능한 번호를 포함할 수 있으며, 그리고/또는 애플리케이션 교환 프로파일(application interchange profile; AIP), 애플리케이션 트랜잭션 카운터(application transaction counter; ATC), 및 발행자 애플리케이션 데이터(issuer application data; IAD)를 포함할 수 있다. 몇몇 실시 예들에서, 일부 데이터 요소들은 생략될 수 있으며, 그리고/또는 구체적으로 설명되지 않은 추가 데이터 요소들이 포함될 수 있다. 상기 동적 트랜잭션 데이터(816)를 구성하는 데이터 세트가 상기 암호화 기능(818)에 대한 입력으로서 제공된다. 몇몇 실시 예들에서, 상기 트랜잭션 암호(820)는 상기 LUK(814)의 제1 부분을 사용하여 상기 동적 트랜잭션 데이터(816)를 암호화하고, 상기 LUK(814)의 제2 부분을 사용하여 상기 암호화된 동적 트랜잭션 데이터를 복호화하며, 그리고 그 후에 상기 LUK(814)의 제1 부분을 사용하여 상기 복호화된 동적 트랜잭션 데이터를 재-암호화함으로써 생성될 수 있다.

여기서 유념하여야 할 점은 몇몇 실시 예들에 의하면, 상기 트랜잭션 암호(820) 외에, 상기 10진수 트랜잭션 암호(828)가 또한 사용되어 통합 칩 기반 트랜잭션에서 생성될 수 있으며, 상기 10진수 트랜잭션 암호(828)가 상기 트랙-2에 상응하는 데이터 내에 삽입될 수 있다는 점이다.

도 9에는 몇몇 실시 예들에 따른 암호화 기능(900)의 일 예에 대한 블록도가 예시되어 있다. 몇몇 실시 예들에서, 암호화 기능(900)은 암호화 기능(818)으로서 사용될 수 있다. 예를 들면, 상기 동적 트랜잭션 데이터(816)를 구성하는 데이터 집합은 (예컨대 위에서 설명한 순서로) 함께 접합된 다음에 동일한 길이의 한 세트의 데이터 블록들(D₁-D_N)(예컨대, 8-바이트 데이터 블록들)로 분할될 수 있다. 상기 동적 트랜잭션 데이터(816)가 상기 데이터 블록들의 길이로 동일하게 분할되지 않는 경우에, 마지막 데이터 블록(D_N)에서의 누락된 최하위 비트들이 0으로 채워질 수 있다. 제1 키(KA)가 상기 LUK(814)의 제1 부분(예컨대, 최상위 8바이트)에 상응할 수 있고, 제2 키(KB)는 상기 LUK(814)의 제2 부분(예컨대, 최하위 8바이트)에 상응할 수 있다. 반복 암호화 프로세스는 한 세트의 데이터 블록들(D1-DN)에 적용될 수 있다. 상기 반복 암호화 프로세스는 데이터 암호화 알고리즘(DEA(e))에서 키(KA)를 사용해 상기 암호화 키로서 제1 데이터 블록(D₁)을 암호화하는 것을 포함할 수 있다. 상기 암호화의 결과는 그 후에 다음 데이터 블록(D₂)과 배타적-OR 연산된다. 상기 배타적-OR 연산의 결과는 그 후에 상기 암호화 프로세스의 다음 반복에 대한 입력으로서 사용된다. 상기 암호화 프로세스는 모든 데이터 블록들(D₁-D_N)이 처리될 때까지 계속되며, 마지막 데이터 블록(D_N)과의 마지막 배타적-OR 연산의 출력(I_N)은 상기 반복 암호화 프로세스의 출력(O_N)을 형성하도록 암호화된다. 상기 반복 암호화 프로세스의 출력(O_N)은 그 후에 데이터 복호화 알고리즘(DEA(d))에서 키(KB)를 사용해 복호화 키로서 복호화될 수 있다. 상기 복호화 프로세스의 출력(O_N+1)은 그 후에 데이터 암호화 알고리즘(DEA(e))에서 출력(O_N+2)을 생성하도록 키(KA)를 사용해 상기 암호화 키로서 재-암호화된다. 몇몇 실시 예들에 의하면, 상기 출력(O_N+2)은 상기 트랜잭션 암호(820)로서 사용될 수 있다.

여기서 유념하여야 할 점은 몇몇 실시 예들에서, 도 9를 참조하여 설명한 암호화 기능(900)이 예를 들면 상기 휴대용 통신 기기상에 저장된 트랜잭션 검증 로그를 적어도 통해서 상기 암호화 기능(900)을 적용함으로써 사후-지불결제 검증 프로세스 및/또는 계정 매개변수 보충 프로세스에서 사용되는 인증 코드를 생성하는데 사용될 수 있다는 점이다. 몇몇 실시 예들에서, 도 9를 참조하여 설명한 암호화 기능(900)은 또한 상기 암호화 기능들(806, 812, 818, 및/또는 824) 중 어느 하나용으로 사용될 수 있다.

VIII. 전형적인 방법들

도 10에는 몇몇 실시 예들에 따른 통신 기기(예컨대, 휴대용 통신 기기)를 사용하여 트랜잭션을 수행할 때 통신 기기(예컨대, 휴대용 통신 기기)의 보안을 향상시키기 위한 방법(1000)의 전형적인 흐름도가 예시되어 있다. 프로세스(1000)는 예를 들면 휴대용 통신 기기상에서 실행하는 모바일 애플리케이션에 의해 수행될 수 있으며, (비록 보안 요소가 몇몇 실시 예들에서 사용될 수 있지만) 보안 요소를 사용하지 않고 수행될 수 있다.

블록(1002)에서, 통신 기기는 제한적 사용 키(limited-use key; LUK)를 수신할 수 있으며, 상기 LUK는 상기 LUK의 사용을 제한하는 한 세트의 하나 이상의 제한적 사용 임계값들에 연관되어 있다. 상기 LUK는 원격 컴퓨터(예컨대, MAP, CBPP, 또는 발행자/호스트 시스템에 연관된 원격 컴퓨터)로부터 수신될 수 있다. 몇몇 실시 예들에서, 상기 한 세트의 하나 이상의 제한적 사용 임계값들은 상기 LUK가 유효한 지속시간을 나타내는 생존시간, 상기 LUK가 유효한 사전에 결정된 트랜잭션 횟수, 및/또는 상기 LUK가 유효한 총 트랜잭션 액수를 나타내는 누적 트랜잭션 액수 중 적어도 하나를 포함할 수 있다. 몇몇 실시 예들에서, 상기 한 세트의 하나 이상의 제한적 사용 임계값들은 국제 사용 임계값 및 국내 사용 임계값을 포함할 수 있다.

몇몇 실시 예들에 의하면, 상기 통신 기기는 또한 상기 LUK를 가지고 상기 LUK의 생성에 관련된 정보를 포함하는 키 인덱스를 수신할 수 있다. 예를 들면, 상기 키 인덱스는 상기 LUK가 생성될 때를 나타내는 시간 정보, 상기 LUK가 보충되었던 횟수를 나타내는 보충 카운터 값, 상기 LUK를 생성하는데 시드(seed)로서 사용되는 의사 난수(pseudo-random number), 상기 LUK가 생성될 때 상기 통신 기기의 모바일 애플리케이션에 의해 사전에 수행되었던 트랜잭션 횟수를 나타내는 트랜잭션 카운터 값 및/또는 이들의 임의 조합을 포함할 수 있다.

블록(1004)에서, 트랜잭션(예컨대, 지불결제 트랜잭션, 액세스 트랜잭션, 또는 계정을 사용하여 수행되는 다른 트랜잭션)은 예를 들면 POS 단말기와 같은 액세스 기기의 비접촉 판독기에 근접해 상기 통신 기기를 배치함으로써 개시될 수 있다. 블록(1006)에서, 상기 통신 기기는 상기 LUK를 사용하여 트랜잭션 암호를 생성할 수 있다. 블록(1008)에서, 상기 통신 기기는 상기 트랜잭션을 수행하도록 상기 트랜잭션 암호를 상기 액세스 기기에 송신할 수 있다. 몇몇 실시 예들에서, 상기 통신 기기는 또한 상기 트랜잭션을 수행하도록 실제 계정 식별자를 대신하는 토큰(예컨대, 계정 식별자의 대용)을 상기 액세스 기기에 송신할 수 있다. 몇몇 실시 예들에서, 프로세스(1000)는 상기 통신 기기 내에 상기 토큰 또는 상기 LUK를 저장하는데 보안 요소를 사용하지 않는다. 상기 트랜잭션은 상기 트랜잭션 암호의 검증 및/또는 상기 LUK의 사용이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 초과했었는지에 적어도 기반을 두고 승인될 수 있다.

블록(1010)에서, 상기 트랜잭션을 수행한 후에, 프로세스(1000)는 상기 LUK에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들이 소진되었는지 아니면 초과되었는지(아니면 소진될 것인지 아니면 초과될 것인지)를 결정할 수 있다. 상기 LUK에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들이 소진되지 않았거나 초과되지 않았던 것으로(또는 소진될 것이 아니거나 초과될 것이 아닌 것으로) 결정되는 경우에, 상기 프로세스(1000)는 다른 한 트랜잭션을 수행하도록 블록(1004)으로 속행될 수 있다.

상기 LUK에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들이 소진되었거나 초과되었던 것으로(또는 소진될 것이 아니거나 초과될 것이 아닌 것으로) 결정되는 경우에, 상기 통신 기기는 블록(1012)에서 새로운 LUK에 대한 보충 요구를 상기 원격 컴퓨터에 송신할 수 있다. 상기 보충 요구는 상기 LUK에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들이 소진되었음을 결정함에 응답하거나 상기 LUK를 가지고 수행되는 다음 트랜잭션이 상기 한 세트의 하나 이상의 제한적 사용 임계값들을 소진할 것임을 결정함에 응답하여 송신될 수 있다. 몇몇 실시 예들에서, 상기 보충 요구는 상기 LUK를 보충할 것을 상기 통신 기기에 요구하는 푸시 메시지를 수신함에 응답하여 송신될 수 있다.

상기 보충 요구는 상기 통신 기기상에 저장된 트랜잭션 로그(예컨대, 트랜잭션 검증 로그)로부터 획득된 트랜잭션 로그 정보를 포함할 수 있다. 몇몇 실시 예들에서, 상기 통신 기기상에 저장된 트랜잭션 로그는 상기 LUK를 사용하여 수행되는 각각의 트랜잭션에 대해, 상응하는 트랜잭션의 시간을 나타내는 트랜잭션 타임스탬프, 상응하는 트랜잭션에 연관된 애플리케이션 트랜잭션 카운터 값, 및/또는 상응하는 트랜잭션이 자성 스트라이프 기반 트랜잭션인지 아니면 통합 칩 기반 트랜잭션인지를 나타내는 트랜잭션 타입 표시자를 포함할 수 있다. 몇몇 실시 예들에서, 상기 원격 서버 또는 컴퓨터에 송신되는 트랜잭션 로그 정보는 상기 LUK를 사용해 상기 트랜잭션 로그를 적어도 거쳐 계산된 인증 코드를 포함할 수 있다. 상기 보충 요구 내의 트랜잭션 로그 정보가 상기 원격 컴퓨터 측 트랜잭션 로그 정보와 매치되는 경우에, 프로세스(1000)는 블록(1002)으로 속행될 수 있고, 통신 기기는 새로운 LUK 및 상기 새로운 LUK에 연관된 새로운 키 인덱스를 수신할 수 있다.

도 11에는 몇몇 실시 예들에 따른 통신 기기를 사용하여 트랜잭션을 수행할 때 통신 기기의 보안을 향상시키기 위한 방법(1100)의 전형적인 흐름도가 예시되어 있다. 프로세스(1100)는 예를 들면 CBPP 또는 발행자에 연관된 컴퓨터에 의해 수행될 수 있다.

블록(1102)에서, 계정에 연관된 계정 정보는 제1 암호화 키를 사용해 제2 암호화 키를 생성하도록 암호화된다. 몇몇 실시 예들에서, 상기 계정 정보는 PAN과 같은 계정 식별자, 대체 PAN과 같은 대체 계정 식별자, 또는 계정 식별자의 대용인 토큰을 포함할 수 있다. 몇몇 실시 예들에서, 상기 제1 암호화 키는 상기 계정의 발행자에 연관된 마스터 획득 키일 수 있다. 몇몇 실시 예들에 의하면, 상기 계정 정보를 암호화하여 상기 제2 암호화 키를 생성하는 것은 상기 제1 암호화 키를 사용해 상기 제1 암호화 키의 제1 부분을 생성하도록 상기 계정 정보를 암호화하는 것, 상기 계정 정보를 반전하는 것, 및 상기 제1 암호화 키를 사용해 상기 제2 암호화 키의 제2 부분을 생성하도록 상기 반전된 계정 정보를 암호화하는 것을 포함할 수 있다. 몇몇 실시 예들에서, 상기 제2 암호화 키는 상기 계정에 대한 고유 획득 키일 수 있다.

블록(1104)에서, 키 인덱스 정보가 상기 제2 암호화 키를 사용해 제한적 사용 키(limited-use key; LUK)를 생성하도록 암호화된다. 상기 키 인덱스 정보는 상기 LUK의 생성에 관련된 정보를 지니는 키 인덱스를 포함할 수 있다. 예를 들면, 상기 키 인덱스 정보는 상기 LUK가 사전에 결정된 시간 주기에서 연장 또는 보충되었던 횟수를 나타내는 카운터 값 및/또는 상기 LUK가 생성될 때를 나타내는 시간 정보를 포함할 수 있다. 몇몇 실시 예들에서, 상기 키 인덱스 정보를 암호화하여 상기 LUK를 생성하는 것은 제1 값을 가지고 제1 패딩된 키 인덱스 정보를 생성하도록 상기 키 인덱스를 패딩하는 것, 및 상기 제1 패딩된 키 인덱스 정보를 상기 LUK의 제1 부분을 생성하도록 암호화하는 것을 포함할 수 있다. 상기 키 인덱스 정보를 상기 LUK를 생성하도록 암호화하는 것은 또한 제2 값을 가지고 제2 패딩된 키 인덱스 정보를 생성하도록 상기 키 인덱스를 패딩하는 것, 및 상기 제2 패딩된 키 인덱스 정보를 상기 LUK의 제2 부분을 생성하도록 상기 제2 패딩된 인덱스 정보를 암호화하는 것을 포함할 수 있다.

블록(1106)에서, 프로세스(1100)는 상기 LUK의 사용을 제한하는 한 세트의 하나 이상의 제한적 사용 임계값들에 상기 LUK를 연관시킨다. 블록(1108)에서, 상기 LUK 및 상기 키 인덱스는 통신 기기(예컨대, 휴대용 통신 기기)를 사용하여 수행되는 트랜잭션을 위한 트랜잭션 암호의 생성을 용이하게 하도록 통신 기기(예컨대, 휴대용 통신 기기)에 제공된다. 상기 트랜잭션은 상기 LUK 및 상기 트랜잭션 암호(예컨대, 상기 트랜잭션 암호의 검증 및/또는 상기 LUK의 사용이 한 세트의 하나 이상의 제한적 사용 임계값들을 초과했었는지)에 기반을 두고 승인될 수 있다.

몇몇 실시 예들에서, 상기 트랜잭션이 통합 칩 기반 트랜잭션인 경우에, 상기 트랜잭션 암호는 상기 LUK의 제1 부분을 사용하여 트랜잭션 정보(예컨대, 트랜잭션 동안 액세스 기기로부터 수신된 단말기 트랜잭션 데이터와 같은 동적 트랜잭션 정보)를 암호화하고, 상기 LUK의 제2 부분을 사용하여 상기 암호화된 트랜잭션 정보를 복호화하며, 그리고 상기 LUK의 제1 부분을 사용하여 상기 복호화된 트랜잭션 정보를 재-암호화함으로써 생성될 수 있다.

상기 트랜잭션이 자성 스트라이프 기반 트랜잭션인 경우에, 상기 트랜잭션 암호는 상기 LUK를 사용하여 사전에 결정된 숫자 문자열을 암호화하고 상기 암호화된 사전에 결정된 숫자 문자열을 10진수로 표기함으로써 생성될 수 있다. 몇몇 실시 예들에서, 상기 암호화된 사전에 결정된 숫자 문자열을 10진수로 표기하는 것은 상기 암호화된 사전에 결정된 숫자 문자열로부터 숫자 자릿수를 추출하여 제1 데이터 블록을 형성하는 것, 상기 암호화된 사전에 결정된 숫자 문자열로부터 16진수 자리수를 추출하고 각각의 추출된 16진수 자리수를 하나의 숫자 자리수로 변환하여 제2 데이터 블록을 형성하는 것, 및 상기 제1 데이터 블록 및 상기 제2 데이터 블록을 접합하여 상기 트랜잭션 암호를 형성하는 것을 포함할 수 있다. 상기 트랜잭션 암호 및/또는 상기 키 인덱스는 승인 요구 메시지의 트랙-2에 상응하는 데이터 내에 엠베드될 수 있다.

IX. 클라우드-기반 지불결제 플랫폼(CBPP)

본 섹션에는 클라우드-기반 지불결제 플랫폼(cloud-based payments platform; CBPP)(예컨대, CBPP(180))에 의해 수행될 수 있는 기능들 중 일부 기능들에 대한 추가적인 세부사항이 기재되어 있다. 몇몇 실시 예들에서, 이러한 기능들은 키 관리, 활성 계정 관리 및 계정 매개변수 보충, 지불결제 및 지불결제 트랜잭션 처리, 지불결제에 대한 검증, 프로비저닝, 수명주기 관리, 및 사후-지불결제 검증을 포함할 수 있다. CBPP 및 모바일 애플리케이션 플랫폼(mobile application platform; MAP) 간의 통신은 전송 계층 보안(transport level security; TLS) 프로토콜, 한시적(time bound) 보안 소켓 계층(secure sockets layer; SSL) 프로토콜, 또는 하이퍼텍스트 전송 프로토콜 보안(ypertext transfer protocol secure; HTTPS) 프로토콜을 고수하는 것과 같은 보안 채널들을 사용하여 확립될 수 있다. CBPP 및 발행자/호스트 시스템 간의 통신은 발행자의 보안 요건들을 고수하는 보안 채널들을 사용하여 확립될 수 있다.

키 관리

계정의 발행자는 동일한 키들이 보안 요소 기반 트랜잭션 및 클라우드-기반 트랜잭션 양자 모두에 대해 사용되는 상황들을 회피하기 위해 클라우드-기반 지불결제 트랜잭션에 대한 주 계정 번호(primary account number; PAN) 범위에 대한 또는 은행 식별 번호(bank identification number; BIN) 범위에 대한 한 세트의 전용 키들(예컨대, MDK들)을 사용할 수 있다. MDK는 휴대용 통신 기기에 제공되는 LUK들을 생성하도록 기반 키로서 사용될 수 있다. 몇몇 실시 예들에서, CBPP는 CBPP 자체의 하드웨어 보안 모듈들에 저장되어 있는 (클라우드-기반 환경에 특정적인) CBPP 자체의 한 세트의 발행자 MDK 키들을 제공할 수 있다. 몇몇 실시 예들에서, 그 자체의 한 세트의 MDK들을 사용하여 LUK들을 생성하는 대신에, CBPP는 상기 발행자/호스트 시스템을 호출하여 상기 발행자/호스트 시스템의 하드웨어 보안 모듈들에 저장된 LUK들을 회수할 수 있다.

활성 계정 관리 및 계정 매개변수 보충

본원 명세서에서 설명한 클라우드-기반 지불결제 기법들은 고유 획득 키(unique derived key; UDK)와 같은 데이터를 안전하게 저장하도록 하는 보안 요소의 사용을 요구하지 않는다. 이 때문에, 상기 휴대용 통신 기기는 단지 안전하게 저장된 정보만을 사용하여 트랜잭션을 위한 애플리케이션 암호(application cryptogram; AC)를 생성하도록 하는 기능과 같은 보안 요소에 연관된 기능들 모두에 액세스할 수 없다. 손상되는 계정 매개변수들의 위험을 완화하기 위해, 제한적 사용 계정 매개변수들은 CBPP에 의해 주기적으로 생성되고 상기 휴대용 통신 기기의 모바일 애플리케이션에 보충됨과 아울러 활성 상태로 상기 계정을 유지하도록 상기 발행자/호스트 시스템에서 재생될 수 있다.

활성 계정 관리 프로세스가 개시되게 하기 위해, CBPP는 MAP 또는 상기 발행자/호스트 시스템으로부터의 계정 매개변수 생성 요구를 수신할 수 있다. 예를 들면, MAP는 상기 모바일 애플리케이션으로부터의 계정 매개변수 데이터 업데이트 요구에 응답하여 제한적 사용 키 및 관련 키 인덱스와 같은 새로운 한 세트의 계정 매개변수들을 CBPP로부터 요구할 수 있다. 다른 일 예로서, 상기 발행자/호스트 시스템은 트랜잭션 처리 동안 현재의 한 세트의 계정 매개변수들이 여전히 유효한지(예컨대, 허용된 트랜잭션 횟수, 생존기간 등등과 같은 그 제한적 사용 임계값들 내에서 사용되고 있는지)를 체크할 수 있다. 소정의 위험 설정에 대한 임계값이 초과되는 경우에, 상기 발행자/호스트 시스템은 새로운 한 세트의 계정 매개변수들이 상기 모바일 애플리케이션에서 업데이트되어야 함을 CBPP에 경고할 수 있다.

요구에 응답하여, CBPP는 한 세트의 계정 관련 데이터를 생성할 수 있다. 상기 계정 관련 데이터는 상기 휴대용 통신 기기가 액세스 기기의 비접촉 판독기에 제시될 때 트랜잭션 암호(예컨대, 애플리케이션 암호(application cryptogram; AC))를 생성하는데 상기 모바일 애플리케이션에 의해 사용될 수 있는 LUK와 같은 각각의 보충으로 변경하는 동적 계정 매개변수들 및 반-정적 계정 매개변수들을 포함할 수 있다. 상기 계정 매개변수들은 계정에 특정적(예컨대, 사용자의 서로 다른 계정들에 대한 서로 다른 계정 매개변수들)일 수 있고, 휴대용 통신 기기에 특정적(예컨대, 비록 기본 계정이 동일한 경우라도 사용자의 서로 다른 휴대용 통신 기기들에 대한 서로 다른 계정 매개변수들)일 수 있으며, 그리고/또는 모바일 애플리케이션에 특정적(예컨대, 비록 서로 다른 모바일 애플리케이션들이 동일한 휴대용 통신 기기 내에 있는 경우라도, 서로 다른 모바일 애플리케이션들에 대한 서로 다른 계정 매개변수들)일 수 있다.

한 세트의 계정 관련 데이터는 또한 상기 트랜잭션 데이터를 얼마나 사용할 예정인지를 발행자/호스트 시스템에 알려주게 하는 위험 관리 매개변수들(예컨대, 생존기간 및 허용된 연속 트랜잭션 횟수와 같은 제한적인 사용 임계값들)을 포함할 수 있다. 상기 위험 매개변수들은 계정에 특정적(예컨대, 계정을 가지고 수행되는 모든 클라우드-기반 트랜잭션들이 위험 매개변수들의 평가를 위해 통합됨)일 수 있고, 휴대용 통신 기기에 특정적(예컨대, 특정한 휴대용 통신 기기를 가지고 수행되는 모든 클라우드-기반 트랜잭션들이 위험 매개변수들의 평가를 위해 통합됨)일 수 있으며, 모바일 애플리케이션에 특정적(예컨대, 특정한 모바일 애플리케이션을 통해 수행되는 모든 클라우드-기반 트랜잭션들이 위험 매개변수들의 평가를 위해 통합됨)일 수 있고, 그리고/또는 계정 매개변수들에 특정적(예컨대, 각각의 세트의 계정 매개변수들이 그 자체의 한 세트의 위험 매개변수들을 가짐)일 수 있다.

몇몇 실시 예들에서, 상기 발행자/호스트 시스템은 상기 계정을 통해 수행되는 모든 트랜잭션들에서 본 통합된 관점을 지니도록 계정에 대해 적용되는 그 자체의 한 세트의 위험 한도들 또는 제한적 사용 임계값들을 구현할 수 있는데, 그 이유는 동일한 계정이 그 자체의 위험 한도들을 지닐 수 있는 서로 다른 모바일 애플리케이션들에서 프로비저닝될 수 있지만, 그러한 계정을 사용하여 서로 다른 모바일 애플리케이션들에 의해 수행되는 모든 트랜잭션들이 동일한 발행자/호스트 시스템에 의해 승인될 수 있기 때문이다. 상기 위험 관리 매개변수들은 상기 모바일 애플리케이션 및 상기 발행자/호스트 시스템 양자 모두에 사전에 정의될 수도 있고 다른 시스템들에 의해 별도로 관리될 수도 있음으로써, CBPP는 그들을 생성할 필요가 없을 수 있게 된다. 상기 한 세트의 계정 관련 데이터는 또한 상기 모바일 애플리케이션에서의 계정 매개변수들의 업데이트를 트리거함과 아울러 가능한 경우에 발행자/호스트 시스템에서 위험 관리 매개변수들을 업데이트하는데 사용되는 디바이스 임계값 관리 매개변수들을 포함할 수 있다.

상기 모바일 애플리케이션은 현재의 한 세트의 계정 매개변수들의 업데이트를 트릭하는 다수의 위험 관리 매개변수(예컨대, 제한적 사용 임계값들)를 저장하거나 상기 클라우드로부터 수신할 수 있다. 계정 매개변수들이 유효하지 않은 시점(예컨대, 상기 LUK를 가지고 수행되는 다음 트랜잭션이 한 세트의 하나 이상의 제한적 사용 임계값들을 소진하게 되는 시점)에 계정 매개변수들이 접근해 있는 경우, 상기 모바일 애플리케이션은 계정 매개변수들을 보충하도록 하는 업데이트를 CBPP로부터 MAP를 통해 요구할 수 있다. 상기 모바일 애플리케이션에 의해 모니터링되는 디바이스 임계값 관리 매개변수들은 예를 들면 상기 계정 매개변수들이 업데이트될 필요가 있기 전에 수행될 수 있는 주어진 한 세트의 계정 매개변수들을 통한 트랜잭션 횟수(예컨대, 5번의 트랜잭션)를 포함할 수 있다. 모바일 애플리케이션은 이러한 한도가 초과되기 전에 모바일 월렛 플랫폼에 경고를 송신할 수 있으며 그럼으로써 하나 이상의 트랜잭션들이 거부되기 시작하기 전에 하나 이상의 트랜잭션에 대해 휴대용 통신 기기가 사용되게 해준다(예컨대, 상기 경고는 휴대용 통신 기기가 한 번 이상의 트랜잭션에 대해 사용되는 것을 허용하도록 4번의 트랜잭션 다음에 송신될 수 있다). 이러한 이유로 해서, 상기 계정 매개변수들이 CBPP 위험 관리 매개변수들에서 사전에 결정 트랜잭션 횟수에 대해 유효한 경우에, 모바일 애플리케이션에 의해 관리되는 온-디바이스 임계값 매개변수 매개변수들에 대한 트랜잭션 횟수는 보충을 트리거하도록 CBPP 내의 값보다 낮은 임계값을 가지고 구성될 수 있다.

상기 디바이스 임계값 관리 매개변수들은 또한 상기 디바이스 임계값 관리 매개변수들이 업데이트될 필요가 있기 전에 소정의 한 세트의 계정 매개변수들에 대한 생존기간(예컨대, 5일)을 포함할 수 있다. 모바일 애플리케이션(114)은 이러한 한도가 새로운 한 세트의 계정 매개변수들을 요구하도록 고갈되기 전에(예컨대, 4일 후에) 상기 모바일 월렛 플렛폼에 통지할 수 있다. 이러한 이유로 해서, 계정 매개변수들이 상기 CBPP에서 유효 기간을 지니는 경우에, 모바일 애플리케이션에 의해 관리되는 온-디바이스 임계값 관리 매개변수들에 대한 생존기간의 값은 보충을 트리거하도록 상기 CBPP에서 그러한 지정 시간 전에 임계값을 가지고 구성될 수 있다. 몇몇 실시 예들에서, 상기 디바이스 임계값 관리 매개변수들은 또한, 계정 매개변수들이 업데이트되어야 하는지의 여부를 결정하도록 하는 모바일 애플리케이션에 대한 사용 트랜잭션 액수(예컨대, 적은 트랜잭션 액수들이 계정 매개변수들의 즉각적인 업데이트를 필요로 하지 않을 수 있음); 개별 트랜잭션 금액들의 합에 기반을 두고 이루어지는 계정 매개변수 업데이트에 대한 트리거로서의 누적 트랜잭션 액수; 및/또는 국제 트랜잭션들이 더 위험한 것으로 간주하는 경우에 국제 트랜잭션들에 대한 업데이트들을 더 종종 트리거하게 하는 국내 대 국제 위험 설정들; 을 포함할 수 있지만, 이들에 국한되지 않는다.

상기 계정 매개변수들이 제한적 사용으로 의도되어 있으므로, 상기 클라우드-기반 환경에 특정적인 부가적 위험 관리 매개변수들이 상기 발행자/호스트 시스템에 의해 구현 및 수행될 수 있다. 이러한 위험 관리 매개변수들은 활성 계정 관리 프로세스 동안 CBPP에 의해 상기 발행자/호스트 시스템에 제공될 수도 있고, 상기 위험 관리 매개변수들은 별도로 정의 및 관리될 수도 있다. 예를 들면, 상기 발행자/호스트 시스템은 상기 발행자/호스트 시스템이 상기 모바일 애플리케이션에서 보충될 새로운 한 세트의 계정 매개변수들을 생성할 것을 CBPP에 요구하도록 하는 경고를 발생시키기 전에 현재의 한 세트의 계정 매개변수들(예컨대, LUK 및 관련 키 인덱스)이 단지 제한 횟수(예컨대, 5번)에 대하여만 사용될 수 있음을 검증할 수 있다. 상기 발행자/호스트 시스템은 또한 새로운 한 세트의 계별 매개변수들이 CBPP에 의해 생성되어 상기 모바일 애플리케이션에 송신될 필요가 있기 전에 현재의 한 세트의 계정 매개변수들이 단지 제한 시간 주기(예컨대, 5일) 동안 사용될 수 있음을 체크할 수 있다.

개별 트랜잭션 액수 및 누적된 총 트랜잭션 액수와 같은 추가적인 위험 관리 매개변수들이 또한 상기 발행자/호스트 시스템에 의해 수행될 수 있다. 예를 들면, 적은 트랜잭션 액수는 상기 계정 매개변수들의 즉각적인 업데이트를 필요로 하지 않지만 높은 금액의 트랜잭션들은 더 종종 업데이트들을 필요로 할 수 있다. 다른 일 예로서, 개별 트랜잭션 액수의 합에 기반을 두고 이루어지는 누적된 총 트랜잭션 액수가 초과되는 경우에, 발행자/호스트 시스템은 새로운 한 세트의 계정 매개변수들이 모바일 애플리케이션에서 생성 및 보충될 필요가 있음을 CBPP에 통지할 수 있다. 국내 대 국제 위험 설정들은 또한 국제 트랜잭션들이 더 위험한 것으로 간주하는 경우에 국제 트랜잭션들에 대한 업데이트들을 더 종종 트리거하도록 체크될 수 있다.

CBPP가 상기 MAP 또는 상기 발행자/호스트 시스템으로부터 업데이트될 계정 매개변수들에 대한 요구를 수신한 후에, CBPP는 소정 계정에 대한 데이터 생성을 진행할 수 있다. CBPP는 상기 CBPP가 상기 CBPP 자체의 하드웨어 보안 모듈들에 저장하는 상기 CBPP 자체의 한 세트의 발행자 MDK 키들(클라우드-기반 환경에 특정적인 것들임)을 사용하고 새로이 생성된 키 인덱스를 사용해 상기 MDK로부터 획득된 LUK를 생성할 수도 있고, CBPP는 상기 새로이 생성된 키 인덱스를 사용해 상기 MDK로부터 획득된 LUK들을 발행자/호스트 시스템의 하드웨어 보안 모듈들로부터 회수할 수도 있다.

상기 새로운 한 세트의 계정 매개변수들을 생성 또는 이와는 달리 회수한 후에, CBPP는 상기 새로운 한 세트의 계정 매개변수들을 요구했던 엔티티들에 상기 계정 매개변수들을 송신할 수 있다. MAP는 상기 새로운 한 세트의 계정 매개변수들 및 디바이스 임계값 관리 매개변수들을 수신하고, 더욱이 이들을 상기 모바일 애플리케이션에 송신할 수 있다. 몇몇 실시 예들에서, 소정의 계정에 대한 한 세트의 위험 매개변수들 또는 제한적 사용 임계값들은 시간 경과에 따라 변경될 수 있으며, 상기 새로운 한 세트의 계정 매개변수들이 이전의 한 세트의 계정 매개변수들과는 다른 임계값들을 지닐 수 있다. 상기 임계값 한도들은 예를 들면 소비자의 소비 습관들에 기반을 두거나 소비자가 해외 여행하는 경우에 변경될 수 있다. 상기 발행자/호스트 시스템은 또한 CBPP로부터 새로운 한 세트의 계정 매개변수들을 수신할 수 있다. 몇몇 실시 예들에서, CBPP는 상기 발행자/호스트 시스템과 접속해제될 수도 있고 실시간으로 접속되지 않을 수도 있다. 이 경우에, 상기 발행자/호스트 시스템은 데이터가 생성되었을 때를 결정하도록 승인 메시지에 타임스탬프를 사용할 수 있다. 특히, 상기 키 인덱스는 상기 계정 매개변수들이 생성되었을 때의 일자 개념을 포함하도록 생성될 수 있다.

MAP 및 발행자/호스트 시스템이 새로운 한 세트의 계정 매개변수들 및 디바이스 임계값 관리 매개변수들을 CBPP로부터 수신한 후에는, 상기 MAP 및 발행자/호스트 시스템이 소정의 액션들을 수행할 수 있다. MAP는 통신 네트워크를 통해 새로운 한 세트의 계정 매개변수들을 상기 모바일 애플리케이션에 배포 및 적용시킬 수 있다. 상기 한 세트의 계정 매개변수들이 상기 모바일 애플리케이션에 보충된 후에, 이전의 한 세트의 계정 매개변수들은 더는 쓸모 없게 되어 상기 모바일 애플리케이션으로부터 삭제될 수 있다. MAP가 상기 모바일 애플리케이션과 즉각적으로 통신할 수 없는 경우에, 상기 모바일 애플리케이션과의 통신이 확립될 때까지 MAP는 상기 모바일 애플리케이션과 통신하려는 시도를 계속 유지할 수 있으며, 이와는 달리 상기 발행자/호스트 시스템은 그러한 시점부터 이전의 한 세트의 계정 매개변수들을 가지고 수행되는 트랜잭션들을 거부하기 시작할 수 있다. 몇몇 실시 예들에서, MAP는 새로운 한 세트의 계정 매개변수들을 사용하여 시작할 것을 상기 발행자/호스트 시스템에 통지하도록 상기 계정 매개변수들이 업데이트되었다는 수신확인을 상기 모바일 애플리케이션으로부터 수신할 수 있다. 상기 발행자/호스트 시스템은 또한 상기 발행자/호스트 시스템이 업데이트를 획득하는 즉시 소정의 한 세트의 액정 매개변수들에 대한 위험 관리 매개변수들을 업데이트할 수 있다. 상기 발행자/호스트 시스템이 CBPP로부터 직접 실시간으로나 어느 정도 지연되어 업데이트를 수신한 경우에, 예를 들면 새로운 한 세트의 데이터가 상기 모바일 애플리케이션에 성공적으로 적용되었다는 수신확인을 상기 발행자/호스트 시스템이 CBPP로부터 수신한 경우에 상기 발행자/호스트 시스템은 새로운 한 세트의 계정 매개변수들에 대한 위험 관리 매개변수들을 재생할 수 있다. 상기 발행자/호스트 시스템이 CBPP로부터 직접 업데이트를 수신하지 못한 경우에, 상기 발행자/호스트 시스템은 상기 업데이트 후에 휴대용 통신 기기를 가지고 수행된 첫 번째 트랜잭션에서 새로운 한 세트의 계정 매개변수들을 수신할 수 있다. 그때, 처리 승인 시스템은 새로운 한 세트의 계정 매개변수들에 대한 새로운 위험 관리 매개변수들을 활성화하고 다른 폴리시(policy)를 적용하거나 이전의 한 세트의 계정 매개변수들을 더는 쓸모 없게 할 수 있다.

상기 발행자/호스트 시스템은 트랜잭션 데이터 처리 프로세스가 계정 매개변수 생성 프로세스와 동기화됨을 확실하게 하도록 CBPP와 동기화를 이루어 결과적으로는 MAP와 동기화를 이루어 동작할 수 있다. 상기 데이터 생성 시스템 및 데이터 호스트 처리 시스템은 또한, 상기 발행자/호스트 시스템 및 상기 모바일 애플리케이션 내의 데이터가 일관되고, 최근의 것이며, 그리고 동일한 위험 모델을 따름을 확실하게 하도록 하는 알고리즘들, 시간 스템프들 및 다른 메커니즘들을 사용할 수 있다.

지불결제 및 지불결제 트랜잭션 처리

상기 지불결제 트랜잭션이 액세스 기기에서 개시되고 그리고 나서 처리 승인 시스템에 의해 처리될 때, 상기 모바일 애플리케이션 및 상기 발행자/호스트 시스템은 상기 클라우드-기반 트랜잭션을 처리하도록 추가적인 액션들을 취할 수 있다. 상기 지불결제 트랜잭션이 이루어지고, 상기 휴대용 통신 기기 및 비접촉 판독기가 데이터를 교환할 때, 상기 모바일 애플리케이션은 LUK 또는 LUK와 함께 상기 모바일 애플리케이션에 저장된 관련 키 인덱스를 사용하여 트랜잭션 암호(예컨대, 애플리케이션 암호(application cryptogram; AC)를 생성할 수 있다. 판독기 관점에서, 상기 트랜잭션은 일반적인 비접촉 트랜잭션처럼 보일 수 있다. 통합 칩 기반 트랜잭션에 대해서는, 상기 액세스 기기는 트랜잭션 암호 생성을 위해 사용되는 예측 불가능한 번호(unpredictable number; UN)를 제공할 수 있다. 자성 스트라이프 기반 트랜잭션에 대해서는, 상기 트랜잭션 암호가 액세스 기기로부터의 입력을 사용하지 않고 상기 모바일 애플리케이션에 의해 생성될 수 있다. 몇몇 실시 예들에서, 동적 카드 검증 값(dynamic card verification value; dCVV)이 생략될 수 있다.

상기 모바일 애플리케이션이 상기 트랜잭션 암호 및 다른 트랜잭션 데이터를 상기 액세스 기기에 송신한 후에, 상기 모바일 애플리케이션은 상기 계정 매개변수들이 온-디바이스 임계값 관리 매개변수들(예컨대, 온-디바이스 제한적 사용 임계값들)을 체크함으로써 여전히 유효함을 체크할 수 있다. 상기 모바일 애플리케이션은 상기 디바이스 임계값 관리 매개변수들이 초과될 때를 MAP에 경고하고 새로운 한 세트의 계정 매개변수를 CBPP로부터 요구할 수 있다. 상기 모바일 애플리케이션은 비록 상기 계정 매개변수들이 상기 모바일 애플리케이션에서 업데이트되지 않았더라도, 이전의 한 세트의 계정 매개변수들이 상기 발행자/호스트 시스템으로 하여금 승인 및 위험 결정을 수행하게 하도록 차후의 트랜잭션들에서 여전히 사용될 수 있음을 체크할 수 있다.

상기 모바일 애플리케이션 및 상기 액세스 기기 간의 상호작용이 이루어진 후에, 상기 트랜잭션 데이터는 상인 및 수취자에 의해 상기 발행자/호스트 시스템에 전달된다. 상기 발행자/호스트 시스템이 상기 승인 요구 메시지에서 상기 트랜잭션 데이터를 수신할 경우에, 상기 발행자/호스트 시스템은 트랜잭션 암호 및 다른 트랜잭션 데이터를 확인하고, 필요하다면 할당된 대체 계정 식별자 또는 토큰을 실제 계정 식별자(예컨대, 실제 PAN)로 변환하며, 위험 매개변수 체크들을 수행하고, 상기 계정이 양호한 상태에 있음을 검증할 수 있다. 상기 발행자/호스트 시스템은 위험 관리 매개변수들을 체크함으로써 소정 계정에 대해 데이터, 특히 트랜잭션 암호 및 키 인덱스가 여전히 유효함을 검증할 수 있다. CBPP는 위험 관리 매개변수들이 초과될 경우에 경고를 받고 상기 MAP를 통해 모바일 애플리케이션에서 보충될 새로운 한 세트의 계정 매개변수들을 CBPP로부터 요구할 수 있다. 비록 상기 계정 매개변수들이 상기 모바일 애플리케이션에서 업데이트되지 못했더라도, 상기 발행자/호스트 시스템은 이러한 위험이 소정의 계정, BIN 또는 PAN 범위 또는 특정 트랜잭션 환경(예컨대, 국내 대 국제)에 대해 허용되는 것으로 발행자가 간주하는 경우에 차후의 트랜잭션에서 이전의 한 세트의 계정 매개변수들이 여전히 사용될 수 있음을 검증할 수 있다.

비록 상기 계정 매개변수들이 상기 모바일 애플리케이션에서 업데이트되지 않았기 때문에 상기 발행자/호스트 시스템의 관점에서 초과되었을 수 있지만, 상기 발행자/호스트 시스템은 상기 트랜잭션을 허용하며 어느 정도의 허용범위를 제공할 수 있다. CBPP는 상기 계정 매개변수들이 모바일 애플리케이션에서 업데이트되지 않은 경우에 상기 발행자/호스트 시스템이 부가적인 트랜잭션들을 거부하기 시작할 수 있다는 통지를 받을 수 있다. 실제 위험 관리 매개변수들이 초과되기 전에 CBPP가 사전에 통지를 받을 수 있게 하는 생존기간 및 트랜잭션 회수와 같은 임계값들은 상기 발행자/호스트 시스템 내의 위험 관리 매개변수들 각각에 대해 설정된다. 이는 CBPP가 새로운 한 세트의 계정 매개변수들을 생성하도록 하며 MAP로 하여금 모바일 애플리케이션에서 상기 계정 매개변수들을 보충하게 하는 추가 시간을 제공할 수 있다.

지불결제에 대한 검증

트랜잭션을 수행하기 위해, 소비자는 상기 트랜잭션의 속행을 위해 휴대용 통신 기기를 비접촉 판독기에 제시하기 전에 상기 휴대용 통신 기기를 활성화할 수 있다. 몇몇 실시 예들에서, 상기 휴대용 통신 기기의 활성화는 상기 휴대용 통신 기기의 사용자 인터페이스를 통해 소비자 기기 카드 보유자 검증 방법(consumer device cardholder verification method; CDCVM)에 대한 입력을 소비자가 입력하는 것을 포함할 수 있다. 모바일 애플리케이션 구성에 의존하여, 상기 CDCVM은 디바이스 레벨(예컨대, 스크린 록)에 있을 수도 있고 모바일 애플리케이션 레벨(예컨대, 애플리케이션 패스워드/암호)에 있을 수 있다. 상기 모바일 애플리케이션은 모든 트랜잭션에 대해, 또는 특정 트랜잭션 액수보다 많은 모든 트랜잭션에 대해 CDCVM를 사용하도록 설정될 수 있다. 상기 모바일 애플리케이션이 상기 CDCVM을 사용하도록 구성되는 경우에, 소비자는 상기 모바일 지불결제 트랜잭션 전이나 상기 모바일 지불결제 트랜잭션 동안 인증을 위해 상기 CDCVM에 상응하는 입력을 입력하도록 촉구(prompt)될 수 있다. CDCVM이 트랜잭션 중에 사용되고 상기 CDCVM이 상기 휴대용 통신 기기를 비접촉 판독기에 제시하기 전에 획득된 경우에, 상기 트랜잭션은 완료될 수 있다. CDCVM이 트랜잭션 중에 사용되고 상기 CDCVM이 상기 휴대용 통신 기기를 상기 비접촉 판독기에 제시하기 전에 획득되지 않는 경우에, 상기 트랜잭션 프로세스는 상인 액세스 기기 버전에 의존할 수 있다.

CBPP는 발행자가 상기 CDCVM을 설정할 수 있는 한 세트의 기능들을 제공할 수 있으며, 이러한 CDCVM 구성 정보(예컨대, 스크린 록, 암호 등등)는 상기 모바일 애플리케이션에 프로비저닝된다. CBPP는 발행자 CDCVM 요건들을 지원하고, 상기 발행자가 상기 프로비저닝 데이터 내에 상기 CDCVM 데이터를 구성하는 것을 허용할 수 있다. 몇몇 실시 예들에서, 상기 발행자/호스트 시스템은 CDCVM에 상응하는 입력이 입력되었는지를 결정할 수 있다. CDCVM에 상응하는 입력이 상기 기기에 의해 캡처되는 경우에, 그 결과가 트랜잭션 처리를 위해 승인 메시지로 상기 발행자/호스트 시스템에 전달될 수 있다.

프로비저닝

CBPP는 클라우드-기반 계정 데이터가 MAP에 송신되는 것을 허용하는 한 세트의 프로비저닝 기능들을 제공할 수 있다. CBPP는 클라우드-기반 계정에 대한 데이터를 관리하며 상기 데이터가 요구에 대해 MAP로 송신됨을 확실하게 할 수 있다. CBPP는 MAP에 송신하기 전에 데이터 준비를 수행하고 발행자가 클라우드-기반 계정 데이터를 보충 또는 업데이트하도록 하는 요구를 개시할 수 있는 경우에 프로비전 기능을 지원할 수 있다. CBPP는 계정 보유자에 대하여 계정 매개변수 데이터를 MAP에 프로비저닝하도록 하는 프로비저닝 기능을 제공하며, MAP에 송신하기 전에 상기 데이터를 준비 및 패키징할 수 있다. 예를 들면, CBPP는 반-정적 데이터 부분(예컨대, 계정 식별자 또는 토큰) 및 동적 데이터 부분(예컨대, LUK 및 키 인덱스)을 MAP에 프로비저닝하도록 하는 기능을 제공할 수 있다. CBPP는 계정에 대해 상태 기계를 유지하며 프로비저닝/보충 요구의 개시를 위해 푸시 또는 풀 기능을 MAP로부터/MAP로 제공할 수 있다. CBPP는 계정 보유자에 대하여 계정 매개변수 데이터를 MAP에 프로비저닝하도록 하는 보충 기능을 제공할 수 있다. CBPP는 상기 발행자로부터의 푸시 특징들을 프로비저닝/보충 기능에 제공할 수 있다. CBPP는 MAP 또는 상기 발행자/호스트 시스템에 의해 개시될 수 있는 단일의 계정을 지원하는 프로비저닝/보충 기능을 제공할 수 있다. 몇몇 실시 예들에서, CBPP는 단지 상기 모바일 애플리케이션에 의해 인보크(invoke)되는 경우에만 프로비저닝/보충 요구의 일부로서 업데이트된 계정 매개변수들을 제공할 수 있다.

수명 주기 관리

수명주기 관리는 계정 수명주기 이벤트들을 수행하는 한 세트의 기능들이다. CBPP는 MAP로부터 또는 상기 발행자/호스트 시스템으로부터 수명주기 이벤트 메시지들을 수신 및 처리할 수 있다. 어떤 경우에, 상기 수명주기 요구는 몇몇 경우에, 사기 행위를 핸들링하도록 상기 발행자로부터의 계정을 블로킹(blocking)하거나 상기 모바일 애플리케이션으로부터의 계정을 삭제하는 경우에서와 같이 소비자에 의해 개시될 수 있다. CBPP(180)는 계정에 대한 수명주기 관리 기능들을 수행하며, 중단된 계정들을 추가, 삭제, 중단, 및 재개하는 것과 같은 계정 수명주기 이벤트들을 제공할 수 있다. 몇몇 실시 예들에서, 계정 수명주기 이벤트들은 계정들의 대체 또는 블로킹, 및/또는 상실되거나 도난당한 계정들의 관리를 포함할 수 있다. CBPP는 소비자 계정의 수명주기 업데이트를 수행하도록 MAP 및/또는 상기 발행자/호스트 시스템에 대한 인터페이스를 제공할 수 있다. 질의는 새로운 계정 매개변수들의 프로비저닝 또는 보충을 트리거할 수 있다. 몇몇 실시 예들에서, CBPP는 그러한 요구시 즉각적으로 계정들을 삭제 또는 중단하는 것과 같은 수명주기 이벤트들에 작용할 수 있다. CBPP는 상기 발행자/호스트 시스템 및 MAP와 같은 영향을 받는 시스템들에 대한 모든 수명주기 이벤트들의 통지를 제공할 수 있다.

사후-지불결제 처리

사후 지불결제 검증은 위조 계정 매개변수들에 대한 위험을 완화할 수 있다. 상기 사후 지불결제 검증은 또한 상기 휴대용 통신 기기상에 저장된 계정 매개변수들에 대한 노출을 줄일 수 있는데, 예컨대 상기 발행자/호스트 시스템은 주기적인 검증을 수행할 수 있으며, 이는 상기 휴대용 통신 기기상에 저장된 계정 매개변수들에 연관된 노출을 제한한다. CBPP는 사후 지불결제 검증 메시지들을 교환하도록 하는 프로토콜을 정의할 수 있다. 상기 사후 지불결제 검증 프로토콜은 실시간 인터페이스들에 기반을 두고 이루어질 수 있으며 전송 계층 보안(transport level security; TLS)을 따를 수 있다. 발행자/호스트 시스템 및/또는 CBPP는 상기 사후 지불결제 검증 메시지 교환을 트리거할 수 있다. CBPP는 발행자들이 상기 사후 지불결제 검증 매개변수들을 구성하도록 하는 옵션들을 제공할 수 있으며, 발행자들이 CBPP와의 사후 지불결제 검증 메시지 교환을 트리거한다. 예를 들면, 발행자는 CBPP가 임계값(예컨대, $100)을 초과하는 트랜잭션들에 대한 사후 지불결제 검증을 트리거하도록 상기 매개변수들을 구성할 수 있다. 발행자는 CBPP가 계정 매개변수들의 모든 연장에 대해 또는 연장 횟수 후에(예컨대, 5번의 연장 후에) 사후 지불결제 검증을 트리거하도록 상기 매개변수들을 구성할 수 있다. 몇몇 실시 예들에서, 발행자는 발행자/호스트 시스템이 상기 사후 지불결제 검증을 개시하도록 상기 매개변수들을 구성할 수 있다. 이 경우에, CBPP는 상기 발행자/호스트 시스템 및 상기 모바일 애플리케이션 간의 메시지 교환을 용이하게 한다.

몇몇 실시 예들에서, CBPP는 검증 결과들에 기반을 두고 임의의 액션을 취하지 못할 수 있고, 그 대신에 의심스러운 행위를 상기 발행자/호스트 시스템에 알릴 수 있다. 상기 발행자/호스트 시스템은 상기 계정에 대한 발행자/호스트 시스템의 프로세스 및 위험 프로파일에 기반을 두고 적합한 액션을 결정할 수 있다. CBPP는 트랜잭션 검증 로그를 사용하여 적합한 기기가 지불결제를 이루었는지를 검증하도록 사후 지불결제 처리 핸들링을 지원할 수 있다. CBPP는 상기 트랜잭션 검증 로그를 사용하여 예컨대 상기 휴대용 통신 기기상에 저장된 소정의 한 세트의 계정 매개변수들에 대한 트랜잭션 로그가 상기 발행자/호스트 시스템에서의 트랜잭션들과 매치됨을 검증함으로써, 적합한 기기가 계정 매개변수 보충에 대한 요구를 개시하고 있는지를 검증하도록 사후 지불결제 처리 핸들링을 지원할 수 있다. CBPP는 CBPP로부터의 사후 지불결제 검증 메시지들을 트리거하도록 임계값들을 구성하도록 하는 옵션들을 제공할 수 있다. CBPP는 사후 지불결제 검증 결과들에 기반을 두고 수명주기 관리 액션을 취할 수 있다. 검증이 실패한 경우에, CBPP는 의심스러운 행위를 상기 발행자/호스트 시스템에게 알릴 수 있다. CBPP는 상기 트랜잭션 검증 로그에서, 트랜잭션에 대한 위치 정보 또는 고유 디바이스 식별자들과 같은 추가 정보를 제공할 수 있다.

X. 모바일 애플리케이션 플랫폼(MAP)

본 섹션에는 모바일 애플리케이션 플랫폼(mobile application platform; MAP)(예컨대, MAP(170))에 의해 수행될 수 있는 기능들 중 몇몇 기능들의 추가적인 세부사항들이 기재되어 있다. 몇몇 실시 예들에 의하면, MAP는 상기 모바일 애플리케이션을 관리하고 CBPP 및 상기 모바일 애플리케이션 간의 중계 통신을 관리할 수 있다. MAP는 클라우드-기반 지불결제 서비스 내에 클라우드-기반 지불결제 계정들의 프로비저닝, 활성 계정 관리(다시 말하면, 계정 매개변수 보충), 계정 수명주기 관리, 및 사후 지불결제 트랜잭션 검증 로그 요구들을 등록하는 것과 같은 클라우드-기반 지불결제 상호작용들을 지원할 수 있다. MAP 및 CBPP는 한시적(time bound) SSL 또는 HTTPS와 같은 보안 전송 채널을 사용하여 통신할 수 있다. MAP 및 CBPP는 웹 서비스 보안(Web Services Security; WSS)을 사용함으로써 보안 웹 서비스 메시지를 교환할 수 있다.

상기 모바일 애플리케이션과 통신하기 위해, MAP는 상기 모바일 애플리케이션 및 MAP 간의 보안 채널을 확립하도록 단일 또는 다중 인자 인증을 사용하여 사용자, 휴대용 통신 기기, 및/또는 모바일 애플리케이션을 인증할 수 있다. 이를 지원하여, MAP는 단일의 사용자 네임 및 암호를 가지고 소비자와의 계정을 확립할 수 있다. 상기 암호는 저장되어 MAP에 의해 검증될 수 있다. 소비자는 등록 프로세스를 통해 소비자의 모바일 애플리케이션 크리덴셜(사용자 네임/암호)을 생성할 수 있다. 몇몇 실시 예들에서, 이러한 사용자 네임 및 암호는 저장되고 상기 휴대용 통신 기기 검증 또는 CDCVM과 다를 수도 있고 동일할 수도 있다.

등록 및 계정 프로비저닝

MAP는 등록 요구들을 확인하고 발행자에 의해 정의된 식별 및 검증 프로세스들을 수행하기 위해 상기 모바일 애플리케이션으로부터 수신되는 계정 및 소비자 등록 데이터를 CBPP 또는 발행자/호스트 시스템으로 포워드할 수 있다. 상기 발행자는 상기 등록 프로세스에 관련될 수 있다(예컨대, 상기 발행자는 수락/거부 등록 결정을 내리거나 사전에 결정된 조건들하에서 제3자에게 상기 결정을 위임한다). 양자 모두의 경우에, 상기 발행자는 그 기준을 관리하고 있을 수 있으며 특히 계정 검증 방법들 및 소비자 인증 방법들을 정의한다. MAP는 상기 모바일 애플리케이션으로부터의 등록 요구 및 관련 등록 데이터의 수신을 지원할 수 있다.

MAP는 상기 등록 요구 및 관련 데이터를 CBPP 및/또는 상기 발행자/호스트 시스템으로 라우팅(routing)할 수 있다. 성공적인 등록시, MAP는 CBPP에 대한 프로비저닝 요구를 개시할 수 있다. 프로비저닝이 CBPP에 의해 성공적으로 이루어지면, MAP는 상기 모바일 애플리케이션에서 새로운 클라우드-기반 지불결제 계정을 구성하도록 하는 데이터를 CBPP로부터 수신할 수 있다. MAP는 프로비저닝 수신확인 또는 실패 통지를 상기 모바일 애플리케이션으로부터 수신할 수 있다. MAP는 상기 모바일 애플리케이션으로부터의 수신확인 또는 실패 통지를 CBPP 및/또는 상기 발행자/호스트 시스템으로 라우팅할 수 있다. 프로비저닝이 CBPP에 의해 성공적으로 이루어지지 않으면, MAP는 CBPP로부터 등록 실패 통지를 수신할 수 있으며, MAP 는 프로비저닝 실패 통지를 상기 모바일 애플리케이션으로 라우팅할 수 있다. 상기 모바일 애플리케이션은 적합한 메시지를 소비자에게 디스플레이할 수 있다.

활성 계정 관리

손상된 계정 매개변수들의 위험을 완화하기 위해, 계정 매개변수들은 CBPP에 의해(또는 상기 발행자/호스트 시스템에 의해) 주기적으로 생성되고 상기 모바일 애플리케이션에서 보충됨과 아울러 상기 계정을 활성 상태로 유지하도록 상기 발행자/호스트 시스템에서 재생된다. 상기 활성 계정 관리 프로세스가 개시되게 하기 위해, CBPP는 MAP를 통해 상기 모바일 애플리케이션으로부터 새로운 계정 매개변수들에 대한 보충 요구를 수신할 수 있다. CBPP는 또한 상기 발행자/호스트 시스템으로부터 수신된 보충 요구를 따를 수 있다. MAP는 브로커(broker)로서의 역할을 하며 활성 계정 관리 상호작용을 위해 상기 모바일 애플리케이션을 전후로 하여 그리고 CBPP를 전후로 하여 통신을 라우팅한다.

풀 구현에서, MAP는 상기 모바일 애플리케이션으로부터 계정 매개변수 보충 요구를 수신한다. 상기 모바일 애플리케이션으로부터의 요구 메시지 교환을 개시하기 전에, MAP는 보안 통신 채널을 확립할 수 있다. 상기 보충 요구의 수신 후에, MAP는 상기 보충 요구 메시지를 CBPP로 포워드한다. 상기 보충 요구 후에, CBPP는 새로운 계정 매개변수들을 MAP에 송신하며, 이는 그 후에 상기 새로운 계정 매개변수들을 상기 모바일 애플리케이션으로 포워드한다. 필요하다면, MAP는 모바일 애플리케이션과의 보안 통신을 재-확립할 수 있다. MAP가 시간 윈도우 내에서의 사전에 결정된 시도 횟수 후에 CBPP로부터의 계정 매개변수 보충 응답을 상기 모바일 애플리케이션에 송신하는데 성공적이지 않는 경우에, MAP는 계정 매개변수 보충 배포 시도가 성공적이 않았음을 CBPP에 통지할 수 있다.

푸시 구현에서, CBPP(또는 상기 발행자/호스트 시스템)는 상기 계정 매개변수들을 업데이트하도록 하는 프로세스를 개시한다. CBPP는 보충 푸시를 개시하도록 하는 푸시 메시지를 MAP에 송신한다. 그리고 나서, MAP는 상기 푸시 메시지를 상기 모바일 에플리케이션에 송신한다. 상기 모바일 애플리케이션은 그리고 나서 위에서 설명한 풀 흐름에 대해서는 계정 매개변수 보충 요구를 생성한다. 민감 정보(sensitive information)의 교환을 개시하기 전에, MAP는 보안 요건들에 대해 사용자, 휴대용 통신 기기, 및/또는 애플리케이션 계층 인증을 수행할 수 있다. MAP가 지정된 시간 윈도우 내에서의 사전에 결정된 시도 횟수 후에 CBPP로부터의 계정 매개변수 보충 응답을 상기 모바일 애플리케이션으로 송신하는데 성공적이지 않은 경우에, MAP는 계정 매개변수 보충 시도가 성공적이지 않았음을 CBPP에 통지할 수 있다.

상기 모바일 애플리케이션이 상기 푸시 또는 풀 구현들로부터 새로운 한 세트의 계정 매개변수들을 수신 및 처리할 때, 모바일 애플리케이션은 MAP에 대한 상태 또는 수신확인 통지를 생성할 수 있고, MAP는 그리고 나서 상기 상태 또는 수신확인 통지를 CBPP로 포워드한다.

수명주기 관리

소비자가 계정 삭제를 개시할 때, MAP는 상기 모바일 애플리케이션과 CBPP 및 상기 발행자/호스트 시스템 간의 삭제 메시지 교환을 용이하게 할 수 있다. MAP는 자신의 데이터베이스로부터 상기 계정에 연관된 계정 데이터를 삭제하고, 상기 모바일 애플리케이션으로부터의 삭제 메시지를 상기 CBPP로 포워드할 수 있다.

발행자가 계정 삭제를 개시할 때, MAP는 CBPP 또는 상기 발행자/호스트 시스템과 상기 모바일 애플리케이션 간의 삭제 메시지 교환을 용이하게 할 수 있다. 상기 발행자/호스트 시스템은 삭제 요구를 CBPP로나 MAP로 송신할 수 있다. MAP는 상기 발행자/호스트 시스템 또는 CBPP로부터의 삭제 메시지를 모바일 애플리케이션으로 포워드할 수 있다. MAP는 모바일 애플리케이션으로부터 확인응답을 수신한 후에 상기 확인 응답을 CBPP로나 상기 발행자/호스트 시스템에 송신할 수 있다. MAP는 계정 삭제 요구가 적합한 휴대용 통신 기기상에 설치된 적합한 모바일 애플리케이션에 송신됨을 확실하게 할 수 있다. MAP는 MAP의 레코드들로부터 상기 삭제된 계정에 연관된 데이터를 삭제하여 특정 소비자의 모바일 애플리케이션 프로파일에 대한 사전에 프로비저닝된 계정이 더는 활성 클라우드-기반 지불결제 계정이 아님을 확실하게 할 수 있다.

상기 발행자/호스트 시스템 또는 CBPP가 계정 중지를 개시할 때, MAP는 CBPP 또는 상기 발행자/호스트 시스템과 모바일 애플리케이션 간의 중단 메시지 교환을 용이하게 할 수 있다. 상기 발행자/호스트 시스템은 중지 요구를 CBPP로나 MAP로 송신할 수 있다. MAP는 상기 발행자/호스트 시스템으로부터의 중단 메시지를 모바일 애플리케이션으로 포워드할 수 있다. MAP는 상기 모바일 애플리케이션으로부터 확인응답을 수신한 후에 상기 확인응답을 CBPP로나 상기 발행자/호스트 시스템으로 송신할 수 있다. MAP는 계정 중지 요구가 적합한 휴대용 통신 기기상에 설치된 적합한 모바일 애플리케이션에 송신됨을 확실하게 할 수 있다.

상기 발행자/호스트 시스템 또는 CBPP가 계정 재개를 개시할 대, MAP는 CBPP 또는 상기 발행자/호스트 시스템과 상기 모바일 애플리케이션 간의 재개 메시지 교환을 용이하게 할 수 있다. 상기 발행자/호스트 시스템은 재개 요구를 CBPP로나 직접 MAP로 송신할 수 있다. MAP는 상기 발행자/호스트 시스템 또는 CBPP로부터의 재개 메시지를 상기 모바일 애플리케이션으로 포워드할 수 있다. MAP는 상기 모바일 애플리케이션으로부터 확인응답을 수신한 후에 상기 확인응답을 CBPP로나 상기 발행자/호스트 시스템으로 송신할 수 있다. MAP는 계정 재개 요구가 적합한 휴대용 통신 기기상에 설치된 적합한 모바일 애플리케이션에 송신됨을 확실하게 할 수 있다.

사후-지불결제 처리

사후 지불결제 상호작용들은 발행자들이 손상된 계정 매개변수들의 위험을 완화하는데 도움이 될 수 있고 이러한 이유로 상기 휴대용 통신 기기상에 저장된 계정 매개변수들의 노출을 제한하는데 도움이 될 수 있다. MAP는 계정 매개변수 보충 요구들의 정확성(veracity)을 확실하게 할 목적으로 (예컨대, 특정한 키 인덱스에 상응하는) 온-디바이스 트랜잭션 검증으로부터 캡처되는 정보의 수신을 지원할 수 있다. CBPP와 함께 작용하는 발행자/호스트 시스템은 상기 모바일 애플리케이션에 의해 캡처 및 저장된 트랜잭션 검증 로그 데이터에 대한 요구를 MAP를 통해 개시하는 옵션을 지닌다. 상기 모바일 애플리케이션은 MAP를 통해 상기 요구된 트랜잭션 검증 로그 데이터를 가지고 상기 요구에 응답할 수 있다. 이러한 데이터는 그 후에 특정한 트랜잭션이 질의된 휴대용 통신 기기에 의해 발생되었는지를 수신확인하도록 상기 발행자/호스트 시스템에 의해 검증될 수 있다. 이러한 목적으로 사용될 수 있는 데이터 요소들의 예들에는 한 세트의 계정 매개변수들을 사용하여 수행되는 각각의 트랜잭션에 대해 트랜잭션 시간(예컨대, 비접촉 상호작용 시간), 모바일 애플리케이션으로부터 수행된 트랜잭션 횟수를 계수하는 애플리케이션 트랜잭션 카운터(application transaction counter; ATC), 트랜잭션 액수, 및/또는 상기 트랜잭션 동안 상기 액세스 기기로부터 수신된 단말기 예측 불가능한 번호(unpredictable number; UN)가 포함될 수 있다.

트랜잭션 검증 로그를 사용하여 트랜잭션이 특정한 휴대용 통신 기기로부터 수행되었는지를 확인할 목적으로, MAP는 상기 발행자/호스트 시스템에 의해 발생된 CBPP로부터 모바일 애플리케이션 트랜잭션 검증 로그 데이터에 대한 요구를 수신할 수 있다. 상기 트랜잭션 검증 로그를 사용하여 상기 요구가 적합한 휴대용 통신 기기로부터 발생한 것이라는 확신도를 CBPP에 제공할 목적으로, MAP는 상기 모바일 애플리케이션으로부터의 계정 매개변수 보충 요구들에서 트랜잭션 검증 요구로부터 제공된 정보를 사용할 수 있다. MAP는 상기 모바일 애플리케이션을 전후로 하여 사후 지불결제 상호작용 메시지들을 전송 또는 수신하기 전에 상기 휴대용 통신 기기를 식별하여 인증할 수 있다.

XI. 모바일 애플리케이션

본 섹션에는 클라우드-기반 트랜잭션들을 수행하는데 사용되는 휴대용 통신 기기상에 설치된 모바일 애플리케이션 및 상기 휴대용 통신 기기에 의해 수행될 수 있는 기능들 중 일부 기능들의 추가적인 세부사항이 기재되어 있다. 도 12에는 몇몇 실시 예들에 따른 휴대용 통신 기기(1201)의 블록도가 구체적으로 예시되어 있다. 휴대용 통신 기기(1201)는 디바이스 하드웨어(1204) 및 메모리(1202)를 포함할 수 있다. 디바이스 하드웨어(1204)는 프로세서(1205), 통신 서브시스템(1209), 사용자 인터페이스(1206), 디스플레이(1207)(사용자 인터페이스(1206)의 일부일 수 있음), 및 비접촉 인터페이스(1208)를 포함할 수 있다. 프로세서(1205)는 하나 이상의 집적 회로들(예컨대, 하나 이상의 단일 코어 또는 다중코어 마이크로프로세서들 및/또는 마이크로컨트롤러들)로서 구현될 수 있으며, 휴대용 통신 기기(1201)의 동작을 제어하는데 사용된다. 프로세서(1205)는 메모리(1202)에 저장된 프로그램 코드 또는 컴퓨터-판독가능 코드에 응답하여 다양한 프로그램을 실행할 수 있으며, 다수의 동시 실행 프로그램들 또는 프로세스들을 유지할 수 있다. 통신 서브시스템(1209)은 외부 네트워크들(예컨대, 통신 네트워크(192))와 접속하여 다른 기기들과 통신하도록 휴대용 통신 기기(1201)에 의해 사용될 수 있는 하나 이상의 RF 트랜시버들 및/또는 커넥터들을 포함할 수 있다. 사용자 인터페이스(1206)는 사용자가 휴대용 통신 기기(1201)와 상호작용하여 휴대용 통신 기기(1201)의 기능들을 인보크하는 것을 허용하도록 입력 및 출력 요소들의 임의의 조합을 포함할 수 있다. 몇몇 실시 예들에서, 디스플레이(1207)는 사용자 인터페이스(1206)의 일부일 수 있다.

비접촉 인터페이스(1208)는 액세스 기기의 비접촉 판독기와 상호작용하도록 하나 이상의 RF 트랜시버들을 포함할 수 있다. 보안 요소 기반 구현들에서, 단지 상기 보안 요소만이 비접촉 인터페이스(1208)에 액세스할 수 있다. 본원 명세서에서 설명한 클라우드-기반 지불결제 기법들에서, 비접촉 인터페이스(1208)는 보안 요소의 사용을 요구하지 않고 모바일 OS(1214)에 의해 액세스될 수 있다. 몇몇 실시 예들에서, 디스플레이(1207)는 또한 비접촉 인터페이스(1208)의 일부일 수 있으며, 예를 들면 QR 코드들, 바 코드들 등등을 사용하여 트랜잭션들을 수행하는데 사용된다.

메모리(1202)는 임의 개수의 비-휘발성 메모리들(예컨대, 플래시 메모리) 및 휘발성 메모리(예컨대, DRAM, SRAM), 또는 다른 어떤 비-일시적인 저장 매체, 또는 이러한 매체들의 조합 중 임의의 조합을 사용하여 구현될 수 있다. 메모리(202)는 프로세서(1205)에 의해 실행될 모바일 애플리케이션(1212)(예컨대, 모바일 월렛 애플리케이션, 모바일 지불결제 애플리케이션 등등)을 포함하여 하나 이상의 모바일 애플리케이션들이 상주하는 모바일 애플리케이션(1210) 및 모바일 OS(1214)를 저장할 수 있다. 모바일 OS(1214)는 비접촉 인터페이스(208)에 액세스하여 액세스 기기와 상호작용하도록 모바일 애플리케이션(1212)에 의해 인보크될 수 있는 한 세트의 카드 에뮬레이션 API들(1216)을 구현할 수 있다.

클라우드-기반 지불결제 구현들에 대해서는, 지불결제 시스템 환경(예컨대, PPSE) 및 모바일 지불결제 애플리케이션 기능들이 모바일 애플리케이션(1212) 내에 통합되어 있지만, 보안 요소 기반 구현들은 보안 요소로부터 이러한 기능들 중 일부 또는 모두를 제공할 수 있다. 모바일 애플리케이션(1212)은 클라우드-기반 지불결제 로직(1250)을 포함할 수 있다. 클라우드-기반 지불결제 로직(1250)은 비접촉 지불결제 로직(1258), 근접 지불결제 시스템 환경(proximity payment system environment; PPSE) 로직(1256), 트랜잭션 검증 로그(1254), 및 계정 매개변수 임계값들(1252)(예컨대, LUK(1242)에 연관된 한 세트의 하나 이상의 제한적 사용 임계값들)을 포함할 수 있다. 비접촉 지불결제 로직(1258)은 액세스 기기의 비접촉 판독기와의 비접촉 트랜잭션을 수행하도록 비접촉 통신이 이루어질 수 있게 하는 기능들을 포함할 수 있다. PPSE 로직(1256)은 어느 지불결제 제품이 모바일 애플리케이션(1212) 상에서 이용 가능한지를 상기 액세스 기기에 알리는데 사용된다. 그리고 나서, 상기 액세스 기기는 이러한 정보를 사용해 상기 지불결제 계정을 선택하여 비접촉 트랜잭션을 개시한다. 트랜잭션 검증 로그(1254)는 사후-지불결제 지원을 위해 사용될 수 있다. 모바일 애플리케이션(1212)은 모바일 애플리케이션(1212)으로부터 개시되는 트랜잭션들에 대한 트랜잭션 세부사항을 유지하는 트랜잭션 검증 로그(1254)(소비자로부터 은닉될 수 있음)를 유지할 수 있다. 모바일 애플리케이션(1212)은 또한 상기 트랜잭션 검증 로그(1254)를 사용하여 활성 계정 관리 프로세스들 및 사후 지불결제 상호작용들을 지원할 수 있다. 계정 매개변수 임계값들(1252)(예컨대, 제한적 사용 임계값들)은 초기에 구성되고 잠재적으로는 업데이트된 계정 매개변수들(예컨대, 생존기간, 트랜잭션 횟수, 누적 트랜잭션 액수 등등)에 대한 요구를 개시해야 할 때를 모바일 애플리케이션(1212)에 알리도록 서로 다른 임계값들을 가지고 업데이트될 수 있다.

모바일 애플리케이션(1212)은 또한 계정 매개변수 저장소(1240) 및 모바일 애플리케이션 플랫폼(mobile application platform; MAP) 통신 로직(1246)을 포함할 수 있다. 계정 매개변수 저장소(1240)는 클라우드-기반 지불결제 트랜잭션을 개시하는데 사용되는 계정 매개변수들(예컨대, 계정 식별자 또는 대체 계정 식별자 또는 토큰, LUK(1242), 키 인덱스(1244) 등등)을 저장한다. MAP 통신 로직(1246)은 정보를 요구, 송신, 및 수신하여 사용자의 클라우드-기반 지불결제 계정들을 관리하도록 모바일 애플리케이션 플랫폼(mobile application platform; MAP)과의 안전한 통신을 가능하게 하는데 사용된다. 이는 계정 관리 로직(1230)에 대한 정보를 이용 및 처리하도록 하는 로직을 포함할 수 있다.

계정 관리 로직(1230)은 등록 로직(1232), 프로비저닝 로직(1233), 활성 계정 관리 로직(1236), 수명주기 관리 로직(1234), 및 사후 지불결제 상호작용 로직(1238)과 같은 클라우드-기반 지불결제 서비스들에 대한 정보를 처리하도록 하는 로직을 포함한다. 등록 로직(1232)은 소비자가 상기 클라우드-기반 지불결제 서비스에 대한 계정의 등록을 개시하도록 하는 로직을 포함한다. 프로비저닝 로직(1233)은 초기화 계정 매개변수들의 프로비저닝을 포함하여, 모바일 애플리케이션(1212) 내에 상기 계정을 구성하도록 발행자 데이터를 처리하도록 하는 로직을 포함한다. 활성 계정 관리 로직(1236)은 계정 매개변수 임계값들이 초과되었을 때 상기 계정 매개변수들을 업데이트하도록 하는 요구를 MAP를 통해 개시하는 데 사용될 수 있다. 수명주기 관리 로직(1234)은 소비자 초기화 삭제, 발행자 초기화 삭제, 발행자 초기화 중지, 및/e는 발행자 초기화 재개 등등과 같은 계정 수명주기를 초기화 및 처리하도록 하는 로직을 포함할 수 있다. 사후 지불결제 상호작용 로직(1238)은 지불결제 검증을 지원하는데 사용된다. 사후 지불결제 상호작용 로직(1238)은 트랜잭션 검증 로그(1254)에 대한 MAP로부터의 요구들을 수신하고 트랜잭션 검증 로그(1254)에 대한 MAP로부터의 요구들에 응답하도록 하는 로직을 포함할 수 있다. 사후 지불결제 상호작용 로직(1238)은 또한 계정 매개변수 보충을 지원하는데 사용될 수 있으며, 트랜잭션 검증 로그(1254)로부터 필요한 정보를 추출하여 계정 매개변수 보충 요구의 일부로서 MAP에 송신하도록 하는 로직을 포함할 수 있다.

모바일 애플리케이션(1212)은 또한 모바일 애플리케이션 특징들(1220)을 포함할 수 있다. 모바일 애플리케이션 특징들(1220)은 소비자 검증 방법(consumer verification methods; CVM) 로직(1224), 지불결제 모드들(1222), 및 사용자 설정들(1226)을 포함할 수 있다. CVM 로직(1224)은 모바일 애플리케이션(1212)에 의해 지원되는 모바일 애플리케이션 암호 또는 온-디바이스 검증 방법(예컨대, 스크린 록), 또는 다른 검증 정보 방법을 수신확인하는데 필요한 로직을 포함할 수 있다. 지불결제 모드들(1222)은 트랜잭션을 개시할 준비가 갖춰지도록 모바일 애플리케이션(1212) 및 휴대용 통신 기기(1201)를 설정하는 다양한 방식을 지원하도록 하는 로직을 포함할 수 있고 수동 모드 및/또는 상시 접속 모드에 대한 지원을 포함할 수 있다.

수동 모드는 소비자가 (1) 모바일 애플리케이션(1212)을 개방하도록, (2) 필요한 경우 소비자 검증 방법에 대한 사용자 입력을 입력하도록, 그리고 비접촉 지불결제 트랜잭션을 이루기 위해 그리고 단일의 트랜잭션 또는 제한시간 동안 계정을 선택하도록 명시적으로 선택한 후에 모바일 애플리케이션(1212)이 지불결제를 수행하는데 액세스 가능하도록 구성되어 있는 상태이다. 수동 모드에 대해서는, 지불결제를 수행하기 전에 소비자 디바이스 카드 보유자 검증 방법(consumer device cardholder verification method; CDCVM)이 필요한지에 대한 결정이 내려질 수 있다. CDCVM이 사용되는 경우에, 높은 금액 트랜잭션들에 대한 2-탭 시나리오는 필요하지 않을 수 있다. 이와는 반대로, 사용해야 할 장벽(barrier)들을 줄이기 위해, 만약 발행자가 수동 모드에서 CDCVM을 요구하지 않을 것을 선택하기로 결정한다면, 소비자는 일단 수동 모드 동작이 충족된 경우 트랜잭션들을 수행할 수 있을 것이다. 이러한 후자의 시나리오에서, 모바일 애플리케이션(1212)은 만약 CDCVM이 높은 금액 지불결제 동안 요구된다면 CDCVM의 입력을 지원할 수 있다.

상시 접속 모드는 휴대용 통신 기기(1212)상의 계정(디폴트 계정)이 비접촉 판독기에 계속 액세스 가능하도록 의도되어 있는 상태이다. 이러한 상태로 설정된 계정을 지니는 휴대용 통신 기기는 소비자가 상기 휴대용 통신 기기를 비접촉 판독기에 제시함으로써 비접촉 지불결제 트랜잭션을 개시하는 것을 허용한다. 상시 접속 모드는 또한 (이하 온-디바이스 검증 기능을 갖는 상시 접속 모드로 언급되는) 디바이스 검증을 지원할 수 있다. 이러한 설정은 추가적인 보안을 허용한다. 예를 들면, 사용자는 모바일 애플리케이션(1212)이 비접촉 판독기에 응답하여 지불결제 트랜잭션을 개시하려고 시도하기 전에 휴대용 통신 기기의 사용자 인터페이스 또는 디스플레이 스크린을 잠금해제할 필요가 있을 수 있다.

도 13 - 도 15에는 모바일 애플리케이션(1212)이 수동 모드(도 13 참조), 상시 접속 모드(도 14 참조), 및 온-디바이스 검증 기능을 갖는 상시 접속 모드(도 15 참조)를 이루는 경우 모바일 애플리케이션(1212)의 상태 머신이 예시되어 있다. 도 13 - 도 15에 도시된 여러 상태가 이하에서 설명될 것이다.

다운로드됨(downloaded): 소비자가 애플리케이션을 다운로드한다. 다운로드된 상태는 애플리케이션 및 OS 설계에 의존하여 과도 상태(transient state)일 수 있다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 휴대용 통신 기기 및 상기 판독기 간에는 어떠한 정보도 교환되지 않는다.

설치됨(installed): 소비자는 설치를 수행한다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 휴대용 통신 기기 및 상기 판독기 간에는 어떠한 정보도 교환되지 않는다.

초기화됨(initialized): 소비자는 MAP를 통해 계정을 설정하지만 어떠한 지불결제 카드도 추가되지 않는다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 휴대용 통신 기기 및 상기 판독기 간에는 어떠한 정보도 교환되지 않는다.

활성(active): 소비자는 지불결제 카드를 추가하고 유효한 계정 매개변수들은 모바일 애플리케이션에 프로비저닝된다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 모바일 애플리케이션은 유효성 검사 처리 모드(Validate Processing Mode)에 대하여 응답할 수 있다.

지불결제 준비(ready-to-pay)(수동 모드): 소비자는 지불결제를 수행하도록 지불결제 카드를 활성화한다. 이는 과도 상태이며 상기 모바일 애플리케이션은 상기 상태로부터 탈출하도록 타이머를 설정해야 한다. 상기 모바일 애플리케이션은 상기 트랜잭션이 이루어지게 되는 경우에 지불결제 발송 상태로 이동되거나 상기 트랜잭션이 타임아웃되는 경우에 활성 상태로 이동되거나, 또는 CDCVM 입력이 필요한 경우에 "CDCVM 입력"으로 이동된다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 모바일 애플리케이션은 비접촉 데이터 교환을 개시한다.

지불결제 준비(양자 모두의 상시 접속 모드들): 상기 휴대용 통신 기기는 비접촉 판독기와의 트랜잭션을 개시할 준비가 갖춰져 있다. 소비자는 상기 모바일 애플리케이션에서 상시 접속 모드를 선택한다. 상기 모바일 애플리케이션은 트랜잭션이 이루어지게 되는 경우 지불결제 발송 상태로 이동되거나 CDCVM이 필요한 경우에 CDCVM 입력 상태로 이동된다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 모바일 애플리케이션은 비접촉 데이터 교환을 개시한다.

CDCVM 입력: 비접촉 판독기는 CDCVM을 요구한다. 이는 과도 상태이며 상기 모바일 애플리케이션이 상기 상태로부터 탈출하도록 타이머를 설정해야 한다. 상기 모바일 애플리케이션은 소비자가 유효한 CDCVM을 입력하는 경우에 제2 탭 상태로 이동되고, 그러하지 않는 경우에 상기 모바일 애플리케이션은 타이머가 만료된 후에 활성 상태(수동 모드) 또는 지불결제 준비(양자 모두의 상시 접속 모드들)로 이동된다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 휴대용 통신 기기 및 상기 판독기 간에는 어떠한 정보도 교환되지 않는다.

제2 탭: 상기 휴대용 통신 기기는 제2 탭용으로 CDCVM 검증 정보를 비접촉 판독기로 전송할 준비가 갖춰져 있다. 이는 과도 상태이며 상기 모바일 애플리케이션이 상기 상태로부터 탈출하도록 타이머를 설정할 수 있다. 상기 모바일 애플리케이션은 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에 지불결제 발송 상태로 이동되고, 그러하지 않는 경우에, 상기 모바일 애플리케이션은 타이머가 만료된 후에 활성 상태(수동 모드) 또는 지불결제 모드(양자 모두의 상시 접속 모드들)로 이동된다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에 상기 휴대용 통신 기기가 CDCVM 검증 플래그를 비접촉 판독기에 발송한다.

지불결제 발송됨(payment sent): 소비자는 지불결제 페이로드를 비접촉 판독기에 발송한다. 이는 과도 상태이다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 휴대용 통신 기기 및 상기 판독기 간에는 어떠한 정보도 교환되지 않는다.

백그라운드(background): 상기 모바일 애플리케이션은 백그라운드에서 실행한다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 모바일 애플리케이션은 유효성 검사 처리 모드에 대하여 응답할 수 있다.

실행하지 않음(not running): 상기 모바일 애플리케이션은 상기 휴대용 통신 기기상에서 실행하지 않는다. 이러한 상태에서 소비자가 비접촉 판독기 상에 상기 휴대용 통신 기기를 탭핑하는 경우에, 상기 휴대용 통신 기기 및 상기 판독기 간에는 어떠한 정보도 교환되지 않는다.

모바일 애플리케이션 보안

추가적인 보안을 제공하기 위해, 모바일 애플리케이션(1212)은 키 래핑(key wrapping)과 같은 허용 메커니즘에 의해 저장된 키들을 난독화하여 보호할 수 있다. 상기 모바일 애플리케이션(1212)의 코드 및 데이터는 역행 분석(reverse engineering)에 대해 상기 코드를 보호하도록 난독화될 수 있다. 민감 정보를 포함하는 모바일 애플리케이션(1212) 및 MAP 간의 통신들은 상기 채널이 (예컨대 TLS를 사용하여) MAP에 의해 확보된 후에 교환될 수 있다. 모바일 애플리케이션(1212)은 FIPS-140-2와 같은 적합한 업계 표준을 준수할 수 있다. OS 로깅 프레임워크로 발송되는 오류 코드들에는 공격자에게 도움이 되지 않게 하는 정보만이 공개될 수 있다. 이벤트 로그들 및 디버깅 정보는 어떠한 크리덴셜들도 직접적으로나 간접적으로 노출되는 것을 회피할 수 있다. 로그 정보는 또한 암호화될 수 있다. 모바일 애플리케이션(1212) 및 MAP는 상기 휴대용 통신 기기가 디버그 모드에 있는지를 검출, 저항, 및 보고하도록 하는 메커니즘을 제공할 수 있다. 탈옥, 루팅(rooting), 악성코드, 모바일 애플리케이션 런타임 무결성 등등을 포함하는 디바이스 상태는 모바일 애플리케이션(1212)의 개인화 및 프로비저닝 이전에, 그리고 새로운 계정 매개변수가 모바일 애플리케이션(1212)으로 발송되는 경우에 체크될 수 있다. 임의의 손상이 검출되는 경우에, 모바일 애플리케이션(1212)은 불활성화될 수 있으며, 불활성화 이유는 MAP로 다시 릴레이된다. 상기 모바일 애플리케이션 보안 기능들은 본질적으로 모바일 애플리케이션(1212)에 내장될 수 있으며, 상기 휴대용 통신 기기상의 의존성들 및 OS 플랫폼 보안 기능들은 최소화될 수 있다. 루팅되거나 도난당한 디바이스가 액세스를 획득하기 위해, 디바이스 분석 및 증명을 지원하는 디바이스 지문 및 도구들이 사용될 수 있다.

몇몇 실시 예들에서, MAP는 단일 또는 다중 인자 인증을 사용하여 소비자 및/또는 휴대용 통신 기기(1201)를 인증할 수 있다. 모바일 애플리케이션(1212) 내에 상기 키들을 저장하는데 사용되는 저장소/메모리는 인증 프로세스를 거칠 수 있다. 예를 들면, 루트 크리덴셜이 생성될 수 있다. 루트 크리덴셜을 생성하기 위한 입력은 백엔드 시스템으로부터 수신 및 저장된 한시적 속성들 및 상기 휴대용 통신 기기상에 상주하는 복제하기 어려운 기능들(UF들)과 같은 고-엔트로피 속성들로부터 생성될 수 있다. 키 저장소에 호스트된 차후의 크리덴셜들은 생성된 키 암호화 키(key encryption key; KEK)로부터 추출될 수 있다. 사용자 크리덴셜들은 루트 크리덴셜 및 KEK를 생성하는데 입력으로서 사용될 수 있다. 난독화된 순열 로직은 루트 크리덴셜 및 KEK를 생성하는데 입력으로서 사용될 수 있다. 난독화된 순열 로직은 xx-모픽(폴리모픽(polymorphic), 메타모픽(metamorphic) 메커니즘들에 기반을 두고 이루어질 수 있다. 크리덴셜 저장소는 한시적 및 가변적(mutable)일 수 있다. 키 저장소로부터의 추출된 휴면 데이터 키는 사용중인 데이터로서 상주할 때 여전히 다른 한 KEK로부터 암호화 및 복호화될 수 있다. 상기 키를 처리하는 애플리케이션 로직에 대한 2진 속성들은 사용중인 데이터를 보호하기 위한 KEK를 생성하도록 입력(바인드(bind))으로서 제공될 수 있다. 사용중인 데이터 키들은 애플리케이션 로진 처리 키들을 통해 스크럽(scrub)될 수 있다. 다음과 같은 보호 프로파일(Protection Profiles; PP)이 확립될 수 있다: KEK1로 보호되는 키 저장소용 PP들, KEK1 & 2 세대 로직용 PP들, KEK2로 보호되는 사용중인 데이터 키용 PP들, 및/또는 사용중인 데이터 키 스크럽용 PP들.

모바일 애플리케이션(1212)의 코드 및 데이터는 역행 분석(reverse engineering)에 대해 상기 코드를 보호하도록 난독화될 수 있다. 또한 키 추출을 구동하는 애플리케이션 로직은 키들의 보호를 확실하게 하기 위한 탬퍼링 방지(tamper resistance)를 위해 인증될 수 있다. 인증하는 데 사용되는 크리덴셜들 및 상기 크리덴셜 자체들을 호스트하는 애플리케이션 로직은 탬퍼링 방지를 위해 인증될 수 있다. 템퍼링 방지/검출 메커니즘들은 상기 코드/애플리케이션 로직의 무결성을 유지하도록 구현될 수 있다. 사용자 크리덴셜들은 코드 로직의 민감 부분들을 암호화하는데 입력으로서 사용될 수 있다. 난독화된 순열 로직은 KEK를 생성하는데 입력으로서 제공될 수 있다. 난독화된 순열 로직은 xx-모픽(폴리모픽(polymorphic), 메타모픽(metamorphic) 메커니즘들에 기반을 두고 이루어질 수 있다. 코드 및 애플리케이션 로직은 한시적 및 가변적(mutable)일 수 있다. 다음과 같은 보호 프로파일(Protection Profiles; PP)이 확립될 수 있다: 템퍼링 방지/검출용 PP들, 난독화 생성 로직용 PP들, 측정된 초기화를 보장하기 위한 PP들, 및/또는 업데이트용 PP들.

모바일 애플리케이션 론치 및 계정 준비

각각의 소비자 초기화 수동 론치(다시 말하면, 하드 또는 소프트 키를 통하거나, 또는 기기의 모바일 애플리케이션 환경(1210)으로부터의 각각의 소비자 초기화 수동 론치)시, 모바일 애플리케이션(1212)은 휴대용 통신 기기(1201)가 디버그 모드에 있는지를 체크 및 보고할 수 있다. 모바일 애플리케이션(1212)은 모바일 애플리케이션(1212)에서 프로비저닝된 지불결제 계정들이 활성화되고 이용 가능함을 체크할 수 있으며, 계정 매개변수 임계값들(1252)이 초과되었는지를 체크하고 계정 매개변수 보충 요구가 필요한지를 결정할 수 있다. 모바일 애플리케이션(1212)은 탈옥, 루팅, 악성코드, 모바일 애플리케이션 런타임 무결성을 포함하여 디바이스 상태를 체크할 수 있고, 새로운 계정 매개변수들이 모바일 애플리케이션(1212)으로 발신되어 있는지를 체크할 수 있다. 디바이스 또는 애플리케이션 손상이 검출되는 경우에, 모바일 애플리케이션(1212)은 불활성화될 수 있으며 불활성화 이유가 MAP로 다시 릴레이된다.

모바일 애플리케이션(1212)에 의해 관리되는 지불결제 계정이 중지 상태에 있는 경우에, 소비자는 필요한 액션을 취하거나 소비자의 발행자에게 연락을 취하도록 하는 정보가 제시되는 혜택을 받는다. 모바일 애플리케이션(1212)에서 프로비저닝되는 지불결제 계정이 지불결제를 위한 준비를 하게 하기 위해, 사용자는 먼저 이러한 지불결제 계정을 사용하여 지불결제하도록 선택할 수 있다. 이는 각각의 지불결제 모드에 대해 다음과 같은 방식들로 수행될 수 있다. 수동 모드에서, 사용자는 모바일 애플리케이션(1212)을 론치하고, 지불결제를 위해 사용할 카드 또는 계정을 선택하며, 선택된 카드 또는 계정에 대한 지불결제 스크린으로 내비게이트하고 지불결제하도록 선택한다. 상시 접속 모드에서, 사용자는 디폴트 지불결제 계정으로서 지불결제를 위해 사용될 카드 또는 계정을 선택한다. 온-디바이스 검증 기능을 갖는 상시 접속 모드에 대해서는, 사용자가 상기 디폴트 지불결제 계정으로서 지불결제용으로 사용될될 카드 또는 계정을 선택한다. 일단 카드 또는 계정이 지불결제를 위해 선택되면, 모바일 애플리케이션(1212)은 상기 선택된 카드 또는 계정의 적합한 계정 세부사항을 가지고 PPSE(1256)를 구성할 수 있다. 일단 PPSE(1256)가 구성되면, 상기 선택된 카드 또는 계정은 사용자가 액세스 기기상에 휴대용 통신 기기(1201)를 태핑하거나 이와는 달리 상기 액세스 기기와 통신할 때 지불결제를 위한 준비를 한다.

모바일 애플리케이션 사용자 검증

몇몇 실시 예들에서, 모바일 애플리케이션(1212)은 MAP와 상호작용하고 그리고/또는 액세스 기기와 상호작용할 때 사용자 검증을 지원할 수 있다. MAP(예컨대, 계정 매개변수 저장소(1240) 내에 저장된 계정 매개변수들의 프로비저닝 또는 보충)와 상호작용할 경우에, 고유한 사용자 네임 및 패스워드는 발행자의 요건들 및 그러한 상호작용의 콘텍스트에 의존하여 MAP에 의해 검증될 수 있다. 모바일 애플리케이션(1212)은 또한 액세스 기기와 상호작용할 때 모바일 애플리케이션(1212)에 의해 지원되는 카드 보유자 검증 방법들의 리스트를 액세스 기기에 제공할 수 있다. 온라인 PIN 및 서명과 같은 상기 카드 환경에서 지원되는 카드 보유자 검증 방법들은 또한 클라우드-기반 지불결제들에 의해 지원될 수 있다.

휴대용 통신 기기(1201)는 또한 소비자 디바이스 카드 보유자 검증 방법(onsumer device cardholder verification method; CDCVM)으로 지칭되는, 특정한 카테고리의 카드 보유자 검증 방법들을 지닐 수 있다. MAP와의 인증에서 이용되는 동일한 사용자 네임/패스워드를 포함할 수 있는, 모바일 애플리케이션(1212)을 위한 CDCVM을 제공하는데 사용될 수 있는 서로 다른 방법이 다수 존재한다. 모바일 애플리케이션(1212)에 의해 이용되는 CDCVM 방법은 서로 다른 보안 레벨들을 제공할 수 있다.

온라인 서비스에 대한 접속을 통해 수행되는 클라우드-기반 CDCVM은 최고 보안 레벨을 제공할 수 있다. 이는 MAP에 대한 인증용으로 사용되는 사용자 네임/패스워드와 동일한 것일 수 있을 것이다. 그러나 데이터 접속성이 존재하지 않은 경우에, 이는 CDCVM을 필요로 하는 지불결제를 실패하는 결과를 초래하게 된다. 이러한 이유로, 이러한 옵션은 어떠한 데이터 접속성이 없기 때문에 2-탭 프로세스를 거치는 동안의 지불결제 트랜잭션 실패를 방지하는데 수동 모드에서 사용될 수 있다.

운영 체계를 통해 휴대용 통신 기기 레벨에서 수행되는 온-디바이스 CDCVM은 더 나은 소비자 경험을 제공할 수 있다. 일 예에는 상기 휴대용 통신 기기 스크린을 잠금해제하는데 필요한 방법이 있다. 모바일 애플리케이션(1212)은 상기 CDCVM이 성공적으로 입력되었을 때의 표시를 휴대용 통신 기기(1201)로부터 수신한다. 모바일 애플리케이션(1212)은 상기 온-디바이스 CDCVM을 변경하도록 하는 기능을 지니지 않는다. 모바일 애플리케이션 CDCVM은 모바일 애플리케이션(1212)을 개방 및 론칭할 때 수행될 수 있다. 일 예에는 숫자 코드를 입력하여 모바일 애플리케이션(1212)을 개방하는 것이 있다. 소프트웨어-기반 CDCVM이 다른 옵션들보다 덜 안전할 수 있기 때문에, 이러한 방법은 클라우드-기반 CDCVM과 같은 더 안전한 옵션과 함께 사용될 수 있는데, 이 경우에 어떠한 데이터 접속성도 이용 가능하지 않을 때 모바일 애플리케이션 CDCVM이 사용된다.

사용자 설정들

모바일 애플리케이션(1212)은 적합한 방식으로 이러한 옵션들, 또는 그의 서브세트를 수신할 수도 있고 이러한 옵션들 중 하나 이상에 대해 디폴트를 취할 수 있다. 이러한 옵션들은 모바일 애플리케이션(1212)의 일반적인 동작을 설명한다. 예를 들면, 사용자 설정들(1226)에는 수동, 상시접속, 또는 온-디바이스 검증 기능을 갖는 상시 접속과 같은 지불결제 모드들이 포함될 수 있다. 사용자 설정들(1226)은 소비자가 이러한 초기화 선호도들에 대한 변경들을 이룰 수 있는지, 어느 정도의 시간으로 소비자가 각각의 모드에서 지불결제를 수행해야 하는지(높은 금액 트랜재션 시나리오에 적용 가능할 수 있음), 소비자로부터의 어떠한 상호작용도 존재하지 않았던 경우에 얼마의 시간 주기 내에서 모바일 애플리케이션(1212)이 셧다운(shut down)되어야 하는지 등등을 포함할 수 있다. 사용자 설정들(1226)은 또한 패스워드 변경을 지원할 수 있다. 사용자는 패스워드 변경 프로세스를 인보크함으로써 소비자의 선택된 모바일 애플리케이션 패스워드를 채우고 현재 또는 디폴트 패스워크 및 소비자의 새로이 선택된 패스워드를 제공할 수 있다. 소비자는 이러한 옵션을 선택하여 이전에 선택된 암호/패스워드를 변경할 수 있다. 모바일 애플리케이션(1212)은 현재의 패스워드 및 새로운 패스워드를 입력할 것을 소비자에게 촉구할 수 있다(패스워드들이 마스킹되거나 마스킹되지 않는 방식 및 구현에 의존하여, 소비자는 올바른 입력을 확실하게 하도록 새로운 패스워드를 2번 입력하도록 촉구될 수 있다. 모바일 애플리케이션(1212)은 이전의 암호/패스워드를 새로운 암호/패스워드로 대체할 수 있다. 상기 암호/패스워드의 위치는 기기와는 원거리 또는 근거리에서 저장될 수 있다.

소비자가 상시 접속 모드 설정들을 수정하도록 선택한 경우에, PPSE(1256)는 적절하게 구성될 수 있다(예컨대, 파일 제어 정보(file control information; FCI) 템플릿은 디폴트 지불결제 계정에 대한 디렉토리 입력을 가지고 업데이트될 수 있다). 이는 휴대용 통신 기기(1212)가 트랜잭션들을 수행할 때 액세스 기기에 근접하게 될 때 사용됨을 확실하게 한다.

온-디바이스 검증 설정이 온(on) 상태로 설정되는 경우에, 모바일 애플리케이션(1212)은 상기 검증 방법이 수신확인될 때까지 트랜잭션을 개시하지 않음을 확실하게 할 수 있다. 이 경우에, 상기 검증 방법은 상기 폰을 잠금해제하기 위해 사용자에 의해 설정된 것일 수 있다. 성공적인 검증시, 모바일 애플리케이션(1212)에서 카드 보유자 검증 방법(cardholder verification method; CVM)으로 검증된 필드가 설정될 수 있다. 이러한 설정에서의 성공적인 검증은 그 후에 상기 액세스 기기로 결과적으로는 상기 CVM으로 검증된 필드를 통해 발행자로 전달된다.

모바일 애플리케이션 상호작용 이벤트들

모바일 애플리케이션 상호작용 이벤트들의 동작은 이러한 이벤트가 생길 때 상기 모바일 애플리케이션(1212)이 현재 실행중에 있는지, 또는 근본적인 모바일 애플리케이션 환경(1210)에 의한 상기 이벤트의 수신이 모바일 애플리케이션(1212)을 론치하게 했던 트리거인지에 의존할 수 있다. 상기 근본적인 모바일 애플리케이션 환경(1210)의 기능들에 의존하여, 모바일 애플리케이션(1212)은 서로 다른 이벤트들을 구별할 수 있다.

상기 근본적인 모바일 애플리케이션 환경(1210)에 의한 푸시 통지의 수신은 모바일 애플리케이션(1212)에 집중될 수 있다. 모바일 애플리케이션(1212)은 발행자 및/또는 MAP에 의해 필요하다고 인정한 것과 같이 상기 클라우드-기반 계정에 대한 계정 매개변수들을 보충하거나 다른 데이터를 푸시하도록 MAP를 통해 대역 내(in band)에 이르게 될 수 있다. MAP와의 통신 채널은 또한 발행자들이 중지, 재개, 삭제와 같은 수명주기 관리 이벤트들을 발송하는데 사용될 수 있다.

셧다운시, 모바일 애플리케이션(1212)은 각각의 지불결제 계정의 상태가 적합한 상태에 있음을 확실하게 할 수 있다. 이는 모바일 애플리케이션(1212)이 예상된 셧다운 시퀀스를 거칠 때와 아울러 모바일 애플리케이션(1212)이 예상치 않게 종료될 때 적용될 수 있다. 수동 론치 동안 적용된 이전의 계정 검증은 역행될 수 있으며, 지불결제 계정 CDCVM 검증 표시자들은 네거티브(negative)로 설정될 수 있다. 모바일 애플리케이션(1212)은 소비자의 선택된 설정들이 반영되고 지불결제 계정들이 그들의 일반적인 유휴 상태들에 있음을 확실하게 할 수 있다.

모바일 애플리케이션 셧다운/클린업

모바일 애플리케이션(1212)은 상기 모바일 애플리케이션(1212)이 예상치 않게(예컨대, 상기 휴대용 통신 기기가 적은 배터리 전력 때문에 차단됨) 또는 고의로 폐쇄될 때 클린업(cleanup)을 수행할 수 있다. 임의의 지불결제 모드에서, 모바일 애플리케이션(1212)은 모바일 애플리케이션(1212)이 다시 론치될 때 이용 가능하도록 지불결제 모드, 계정 매개변수들, 관련 임계값들, 및 디폴트 카드 설정들을 세이브(save)할 수 있다. 모바일 애플리케이션(1212)은 임의의 진행중인 트랜잭션을 종료할 수 있고, MAP와의 개방 세션을 폐쇄할 수 있으며, 성공적인 트랜잭션에 이어 셧다운이 바로 이어질 경우에 트랜잭션 로그들을 세이브할 수 있고, 그리고 모바일 애플리케이션(1212)에 의해 사용되고 있는 임의의 시스템 및 메모리 자원들을 방치할 수 있다. 몇몇 실시 예들에서, 모바일 애플리케이션(1212)은 CDCVM 검증 로직이 어떠한 방식으로 구현되는지에 의존하여 "CDCVM이 성공적으로 수행됨" 플래그를 세트 또는 리세트하도록 선택할 수 있다.

PPSE 구성에 관련된 구현 로직은 모바일 애플리케이션(1212)이 셧다운될 때 선택된 지불결제 모드에 의존하여 셧다운/클린업시 다를 수 있다. 상시 접속 모드에서, 모바일 애플리케이션(1212)은 모바일 애플리케이션(1212)이 다시 론치될 때 상기 PPSE 가 단지 지불결제용 활성 카드만으로서 디폴트 카드를 고르도록 PPSE 구성을 세이브할 수 있다. 수동 모드에서, 상기 PPSE 구성은 셧다운시 세이브되지 않을 수 있다. 그 대신에, 모바일 애플리케이션(1212)이 론치되는 다음 시기에 지불결제하도록 하는 카드를 소비자가 선택할 때 다시 채워질 수 있다. 모바일 애플리케이션(1212)이 셧다운될 때, 모바일 애플리케이션(1212)은 소비자의 선택된 설정들이 반영되고 지불결제 계정들이 그들의 일반적인 유휴 상태에 있음을 확실하게 할 수 있다.

모바일 애플리케이션으로부터의 내비게이팅

소비자가 휴대용 통신 기기의 홈(home) 버튼 또는 백(back) 버튼을 눌러 모바일 애플리케이션(1212)에서 나온 다음에 상기 모바일 애플리케이션(1212)으로 돌아갈 때, 모바일 애플리케이션(1212)은 백그라운드에서 계속 실행하고 수행되고 있는 동작을 속행할 수 있다. 모바일 애플리케이션(1212)은 상기 모바일 애플리케이션(1212)이 백그라운드에서 계속 실행할 수 있는 시간을 제한하도록 타임아웃들과 같은 추가적인 보안에 대한 제한들을 적용할 수 있다. 트랜잭션이 진행중인 동안 소비자가 모바일 애플리케이션(1212)을 상기 백그라운드에 포함시키는 경우에, 모바일 애플리케이션(1212)은 트랜잭션 처리를 속행할 수 있다.

모바일 애플리케이션 설치해제

설치해제 프로세스의 일부로서, 모바일 애플리케이션(1212)은 키들, 인증서들, 및 계정 매개변수들과 같은 임의의 민감 데이터를 클리어(clear)할 수 있다. 모바일 애플리케이션(1212)은 CBPP 및 발행자/호스트 시스템이 설치해제시 모바일 애플리케이션(1212)에서 프로비저닝된 계정들에 대한 필요한 수명주기 관리 프로세스들을 실행할 수 있음을 MAP에 알려줄 수 있다. 모바일 애플리케이션(1212)은 MAP와의 임의의 개방 세션을 폐쇄하고, 존재하는 경우에 진행중인 트랜잭션을 종료하며, 그리고 모바일 애플리케이션(1212)에 의해 사용되고 있는 임의의 시스템 및 메모리 자원들을 해제할 수 있다.

계정 등록

모바일 애플리케이션(1212)은 발행자가 클라우드-기반 지불결제 프로그램 내에 지불결제 계정을 등록/추가하는 것을 달성하도록 하는 다른 한 채널을 제공하지 않는 한 클라우드-기반 지불결제 프로그램 내에 지불결제 계정을 등록/추가하도록 하는 등록 로직(1232)을 포함할 수 있다. 발행자는 상기 등록 프로세스에 직접적으로 관련될 수 있다(예컨대, 발행자는 직접적으로 수락/거부 등록 결정을 내릴 수도 있고 사전에 정해진 조건들하에서 제3자에게 상기 결정을 위임할 수도 있다). 양자 모두의 경우에, 발행자는 수락 기준을 전부 관리할 수 있고 특히 카드 계정 검증 방법들 및 소비자 인증 방법들을 정할 수 있다.

등록 로직(1232)은 소비자가 카드 세부사항을 입력하여 지불결제 계정 등록을 개시하는 것을 허용할 수 있다. 캡처해야 할 세부사항은 발행자/호스트 시스템 및/또는 CBPP에 의해 결정될 수 있지만, 지불결제 계정을 고유하게 식별하고 검증하도록 충분하여야 할 것이다. 상기 발행자/호스트 시스템 및/또는 CBPP는 그러한 계정을 소유하고 있는 소비자를 인증하는데 필요한 방법 및 정보를 결정할 수 있다. 모바일 애플리케이션(1212)은 지불결제 계정 등록 데이터를 MAP에 발송할 수 있으며, 상기 MAP는 그 후에 상기 발행자/호스트 시스템 및/또는 CBPP와 함께 계정 등록 및 계정 검증 프로세스를 발송 및 관리하게 된다.

등록이 성공적으로 이루어진 경우에, 모바일 애플리케이션(1212)은 지불결제 계정 애플리케이션 ID(application ID; AID), PPSE AID, 지불결제 계정 발행자 설정들, 지불결제 계정 카드 아트, 계정 매개변수들, 계정 매개변수 설정들 및 임계값들 등등을 포함하여 지불결제를 위한 새로운 지불결제 계정을 프로비저닝하기 위한 데이터를 MAP로부터 수신할 수 있다. 등록이 성공적으로 이루어지는 경우에, 등록 로직(1232)은 MAP로부터 수신된 정보에 기반을 두고 지불결제 계정을 프로비저닝할 수 있다. 모바일 애플리케이션(1212)은 또한 상기 모바일 애플리케이션이 이미 설정되어 있지 않은 경우에 구성 프로세스의 일부로서 계정 검증 방법(예컨대, 암호)을 설정할 것을 소비자에게 요구할 수 있다. 상기 계정 구성을 완료함에 따라, 모바일 애플리케이션(1212)은 상기 등록이 성공적으로 이루어졌다는 메시지를 소비자에게 디스플레이할 수 있다. 모바일 애플리케이션(1212)은 발행자/호스트 시스템 및/또는 CBPP에 의해 정의된 바와 같이 계정 매개변수 임계값들을 지원 및 구성할 수 있다. 상기 계정 매개변수 임계값들은 트랜잭션 횟수(다시 말하면, 특정 지불결제 계정에 대한 보충 요구를 트리거하게 되는 누적 트랜잭션 횟수), 생존기간(다시 말하면, 모바일 애플리케이션(1212)이 특정 지불결제 계정에 대한 보충 요구를 트리거하게 되기 전의 경과 시간), 및/또는 누적 트랜잭션 액수(다시 말하면, 모바일 애플리케이션(1212)이 특정 계정에 대한 보충 요구를 트리거하게 되기 전에 특정 계정을 통해 수행되는 하나 이상의 트랜잭션들에 걸친 총 금액)를 포함할 수 있다. 등록이 성공적으로 이루어지지 않은 경우에, 모바일 애플리케이션(1212)은 실패 통지 및 이유 코드를 수신 및 처리하고, 상기 등록이 성공적으로 이루어지지 않았다는 메시지를 소비자에게 디스플레이하여 소비자에게 어떤 적합한 액션을 취할 것을 요구할 수 있다.

모바일 애플리케이션을 사용한 지불결제

모바일 애플리케이션(1212)은 사용자가 휴대용 통신 기기(1201)를 통해 비접촉 액세스 기기에서의 비접촉 트랜잭션을 수행할 수 있게 한다. 모바일 애플리케이션(1212)은 이를, CBPP에 의해 제공된 계정 매개변수들을 사용해 데이터 포맷을 생성하여 지불결제 트랜잭션들을 수행함으로써, 용이하게 한다. 지불결제가 어디서 할당될 것인지에 대한 소비자 혼란을 회피하기 위해, 휴대용 통신 기기(1212) 상에 설치된 다수의 지불결제 모바일 애플리케이션이 존재하는 경우에, 소비자는 어느 모바일 애플리케이션을 지불결제용으로 사용해야 할지를 선택할 필요가 있을 수 있다. 이것이 어떻게 달성될 수 있는지에 대한 옵션이 다수 존재한다. 소비자는 소비자의 재량에 따라 모바일 OS 설정들에서 디폴트 지불결제 모바일 애플리케이션을 설정할 수 있다. 소비자는 특정 모바일 애플리케이션의 설정들에서 디폴트 지불결제 제품을 설정할 수 있다. 소비자는 그러한 모바일 애플리케이션 내에서 지불결제 제품을 수동으로 선택할 수 있다. 소비자 선택이 사용됨을 확실하게 하기 위해, 모바일 애플리케이션(1212)은 선택된 지불결제 계정을 상기 액세스 기기에 제시할 수 있다. 모바일 애플리케이션(1212)은 어느 타입의 트랜잭션을 상기 액세스 기기가 지원하는지에 의존하여 통합 칩 기반 트랜잭션 노선을 지원할 수도 있고 자성 스트라이프 기반 트랜잭션 노선을 지원할 수도 있다. 통합 칩 기반 트랜잭션은 칩 카드를 지원하는 액세스 기기와 함께 사용되는 디폴트 노선이고 자성 스트라이프 기반 트랜잭션은 자성 스트라이프만을 지원하는 액세스 기기와 함께 사용되는 디폴트 노선이다.

몇몇 실시 예들에서, 모바일 애플리케이션(1212)은 단일 계정을 위한 다수의 액세스 식별자(application identifier; AID)를 지원할 수 있다. 단일 계정은 예를 들면 그러한 계정을 통해 수행되는 트랜잭션이 서로 다른 지불결제 처리 네트워크들에 의해 처리될 수 있는 경우에 그리고/또는 상기 계정이 상기 계정에 연관된 서로 다른 서비스들, 특징들, 제품-타입들, 및 지불결제 기능들에 의해 처리될 수 있는 경우에 상기 단일 계정에 연관된 다수의 AID를 지닐 수 있다. 상기 다수의 AID는 원하는 AID를 선택하여 상기 트랜잭션이 어떻게 처리될지(예컨대, 어떤 지불결제 처리 네트워크) 및/또는 어떤 서비스들 또는 특징들이 상기 트랜잭션에 연관될 수 있는지를 액세스 기기가 선택하는 것을 허용하도록 상기 액세스 기기와 통신될 수 있다. 상기 다수의 AID는 PPSE에 대한 디렉토리 입력 내에 채워지고 이러한 목적으로 액세스 기기와 통신될 수 있다.

예를 들면, 단일의 계정은 상기 단일의 계정에 연관된 지불결제 네트워크 특정 AID(예컨대, Visa AID) 및 공통 직불 AID을 지닐 수 있다. 이러한 AID들은 PPSE에 대한 디렉토리 입력 내에 채워질 수 있으며, 각각의 디렉토리 엔트리에 대한 PPSE 파일 제어 정보(File Control Information; FCI)는 발행자 식별 번호(Issuer Identification Number; IIN) 및 발행자 국가 코드(Issuer Country Code; ICC)를 포함할 수 있다. 몇몇 실시 예들에서, 상기 직불 AID용 CVM은 온라인 CVM(예컨대, 온라인 PIN)일 수 있고 지불결제 처리 네트워크 특정 AID용 CVM은 서명일 수 있다.

비접촉 지불결제는 소비자가 비접촉 판독기(예컨대, NFC 판독기)에 휴대용 통신 기기(1201)를 탭핑하거나, 이와는 달리 상기 액세스 기기의 비접촉 판독기와 통신(예컨대, QR 코드 또는 바 코드를 디스플레이)함으로써 개시될 수 있다. 상기 액세스 기기는 임계값 액수보다 많은 트랜잭션들(예컨대, $20보다 많은 트랜잭션들)에 대한 카드 보유자 검증 방법(cardholder verification method; CVM)을 요구할 수 있다. 모바일 애플리케이션(1212)은 모바일 특정 소비자 디바이스 카드 보유자 검증 방법(consumer device cardholder verification method; CDCVM)을 포함하여 다수의 서로 다른 CVM 들을 지원할 수 있다. 모든 액세스 기기들이 CDCVM을 지원할 수 있는 것이 아니며, 그 경우들에서, 서명 또는 온라인 PIN과 같은 대체 CVM이 요구될 수 있다.

성공적인 CDCVM 입력의 표시는 지불결제 트랜잭션 동안 상기 비접촉 판독기에 발송된다. 모바일 애플리케이션(1212)은 모바일 애플리케이션(1212)은 상기 CDCVM이 성공적으로 수신확인되었을 때 상기 액세스 매개변수들에서 적합한 데이터를 구성할 수 있다. 상기 CDCVM이 성공적으로 입력될 때마다, 모바일 애플리케이션(1212)이 이러한 정보를 저장함으로써 CDCVM으로 검증된 표시자 및 CDCVM 타입 표시자가 지불결제 트랜잭션 동안 상기 비접촉 판독기에 설정 및 전달될 수 있다. 이는 상기 액세스 기기가 상기 액세스 기기에서의 CDCVM 입력에 대해 소비자에게 촉구하지 못하게 할 수 있다. 모바일 애플리케이션(1212)은 2-탭 지불결제 트랜잭션 동안 액세스 기기에 의해 요구될 때 성공적인 CDCVM의 표시를 제공할 수 있는 기능을 지닐 수 있다.

모바일 애플리케이션(1212)이 비활성 때문에 잠겨져 있을 때, 모바일 애플리케이션(1212)은 이러한 정보를 저장할 수 있고 그래서 CDCVM 검증 표시자는 네거티브로 설정될 수 있다. 비접촉 지불결제가 이러한 상태에서 개시되는 경우에, 상기 액세스 기기는 CDCVM 입력에 대해 소비자에게 촉구할 수 있다. 모바일 애플리케이션(1212)은 상기 모바일 애플리케이션(1212)이 CDCVM에 대한 소비자 검증 입력 방법을 제공하는 경우에 CDCVM 리세트에 대한 기능을 제공할 수 있다. 모바일 애플리케이션(1212)은 소비자 검증 시도 횟수에 대한 한도를 설정하고, 이러한 한도가 초과되는 경우에 모바일 애플리케이션(1212)을 잠글 수 있다. 보안 목적으로, 발행자들은 모바일 애플리케이션(1212)을 잠금해제하기 전에 추가적인 소비자 검증을 요구할 수 있다. 몇몇 실시 예들에서, 모바일 애플리케이션(1212)은 동반 카드의 온라인 PIN과 동기화되지 않는 CDCVM을 지닐 수 있다.

수동 모드에서, 소비자는 지불결제 기능을 지원하도록 모바일 애플리케이션(1212)을 개방 또는 론치할 수 있다. 모바일 애플리케이션(1212)이 개방될 경우에, 기능이 지원될 수 있으며 그럼으로써 소비자는 비접촉 판독기에 휴대용 통신 기기(1201)를 태핑함으로써 지불결제를 개시할 수 있다. 휴대용 통신 기기(1201)는 모바일 애플리케이션(1212)이 개방되지 않고 포그라운드 애플리케이션으로서 활성 상태에 있는 경우에 소비자가 모바일 애플리케이션(1212) 내에 저장된 계정들 중 어떤 계정에 기반을 두고 트랜잭션을 수행하지 못하게 할 수 있다.

상기 CDCVM 표시자가 포지티브(positive)가 아닌 경우에(다시 말하면, 유효한 CDCVM 입력이 아직도 입력되지 않았던 경우에, 모바일 애플리케이션(1212)은 개방시 CDCVM 입력을 요구할 수 있다. 이러한 보충 노선이 선택되는 경우에, 이는 소비자가 지불결제 트랜잭션 동안 CDCVM에 대해 다시는 요구되지 않음을 보장(다시 말하면, 높은 금액 지불결제에 대해 2-탭 시나리오를 회피)할 수 있다. 이와는 반대로, 이러한 구현 노선이 선택되지 않은 경우에, 소비자에 대한 사용성(usability)은 높은 금액 지불결제가 수행되고 있는 경우에 소비자에게 CDCVM이 요구되게 한다는 트레이드-오프(trade-off)를 가지고, 높은 금액 한도 미만의 트랜잭션에 대해서는 CDCVM에 대한 요구를 생략함으로써 개선될 수 있다.

모바일 애플리케이션(1212)에서 이용 가능한 지불결제 카드 또는 계정이 하나보다 많이 존재할 경우에, 소비자가 지불결제를 위한 활성 상태의 것으로서 대체 카드 또는 계정을 선택하지 않는 한 디폴트로서 선택된 카드 또는 계정이 지불결제 트랜잭션을 위해 사용되는 것이게 된다. 일단 모바일 애플리케이션(1212)이 개방되면, PPSE(1256)는 채워질 수 있으며 휴대용 통신 기기(201)는 지불결제 트랜잭션을 개시할 수 있다. 모바일 애플리케이션(1212)은 휴대용 통신 기기(1201)가 "지불결제 준비(Ready to Pay)"임을 나타내는 메시지를 소비자에게 디스플레이할 수 있다. 모바일 애플리케이션(1212)은 비활성의 시간제한을 정할 수 있으며, 이러한 시간제한은 초과시 모바일 애플리케이션(121)을 잠글 수 있다. 이는 지불결제 기능을 관리하는 상태에 있고, 수동 모드가 비활성을 통해 상기 접속 모드로 모핑(morphing)되지 않음을 확실하게 한다. 모바일 애플리케이션(1212)은 또한 소비자가 설정들에서 원하는 시간제한을 선택하는 것을 가능하게 할 수 있다. CDCVM이 요구되는지 아니면 CDCVM이 요구되지 않는지에 의존하여, 모바일 애플리케이션(1212)은 비활성으로 인해 잠겨진 후에 모바일 애플리케이션(1212)을 잠금해제하도록 CDCVM 입력을 요구할 수 있다.

상시 접속 모드에서, 비접촉 지불결제 기능은 폰 스크린이 활성 상태에 있을 때마다 이용 가능하다. 상기 비접촉 기능(예컨대, NFC)은 비록 폰 스크린이 여전히 잠김 상태에 있더라도 이용 가능할 수 있다. 소비자들이 이러한 기능을 인식하고 그의 사용에 동의할 수 있음을 확실하게 하기 위해, 모바일 애플리케이션(1212)은 디폴트 모드로서 상시 접속 모드를 설정하는 것을 배제할 수 있다. 폰 스크린이 활성 상태에 있을 때마다, PPSE(1256)가 활성화되어 채워질 수 있으며, 휴대용 통신 기기(1201)는 지불결제 트랜잭션을 개시할 수 있다. 소비자가 잠김 상태에서 상기 스크린과의 비접촉 트랜잭션을 개시할 때, 상기 비접촉 판독기는 CDCVM 입력을 요구할 수 있다. 디바이스-레벨 CDCVM이 사용될 경우에, 아이콘 표시자가 통지 바 상에 디스플레이될 수 있으며, 폰 스크린이 잠금해제되어야 한다. 모바일 애플리케이션(1212)은 그리고 나서 비접촉 판독기에 휴대용 통신 기기(1201)를 탭핑하도록 소비자에게 지시할 수 있다. 모바일 애플리케이션-레벨 CDCVM이 사용되는 경우에, 아아콘 표시자는 통지 바 상에 디스플레이될 수 있다. 모바일 애플리케이션(1212)은 소비자에게 CDCVM 입력 스크린을 제시하고, 그리고 나서 일단 성공적인 CDCVM이 입력되었으며 비접촉 판독기에 휴대용 통신 기기(1201)를 탭핑하도록 소비자에게 지시할 수 있다.

디바이스 검증 기능을 갖는 상시 접속 모드에서, 폰 스크린이 활성 상태에 있고 잠금해제될 때마다 비접촉 지불결제 기능이 이용 가능하다. 폰 스크린이 여전히 잠김 상태에 있는 경우에는 비접촉 기능이 이용 가능하지 않다. 폰 스크린이 잠금해제될 때마다, PPSE(1256)가 활성화되어 채워질 수 있으며, 휴대용 통신 기기(120)는 지불결제 트랜잭션을 개시할 수 있다. 소비자가 잠김 상태에서 상기 스크린과의 비접촉 지불결제를 개시하려고 시도하는 경우에, 상기 비접촉 판독기는 휴대용 통신 기기(1201)와 통신할 수 없게 되고 그럼으로써 상기 액세스 기기 상에나 휴대용 통신 기기(1201) 상에는 어떠한 동작도 일어나지 않게 된다. 소비자가 잠금해제 상태에서 상기 스크린과의 비접촉 지불결제를 개시할 때, 비접촉 판독기는 CDCVM 입력을 요구할 수 있다. 디바이스-레벨 CDCVM이 사용될 경우에, 모바일 애플리케이션(1212)은 상기 비접촉 판독기에 휴대용 통신 기기(1201)를 탭핑하도록 소비자에게 지시할 수 있다. 모바일 애플리케이션 레벨 CDCVM이 사용되는 경우에, 모바일 애플리케이션(1212)은 소비자에게 CVCVM 입력 스크린을 제시하고, 그리고 나서 일단 성공적인 CDCVM이 입력되었으면 상기 비접촉 판독기에 휴대용 통신 기기를 탭핑하도록 소비자에게 지시할 수 있다.

모바일 애플리케이션(1212) 및 액세스 기기가 데이터를 제공하여 트랜잭션을 완료하도록 하는 통신을 완료하였을 때, 모바일 애플리케이션(1212)은 지불결제가 발송되었음을 나타내는 메시지를 디스플레이할 수 있다. 통합 칩 기반 트랜잭션 노선을 사용하여 수행되는 비접촉 지불결제는 트랜잭션 액수 및 상인 정보와 같은 특정 트랜잭션 데이터를 모바일 애플리케이션(1212)에 제공할 수 있다. 모바일 애플리케이션(1212)은 이러한 정보를 가지고 지불결제 발송 메시지를 채울 수 있다. 상기 자성 스트라이프 기반 트랜잭션 노선을 사용하여 수행되는 비접촉 지불결제는 어떠한 트랜잭션 데이터도 모바일 애플리케이션(1212)에 제공하지 않는다. 지불결제에 이어서, 모바일 애플리케이션(1212)은 계정 매개변수 임계값들을 체크하고, 모바일 애플리케이션(1212)이 상기 계정 매개변수들의 보충에 대한 요구를 발송해야 하는지를 결정할 수 있다.

활성 계정 관리

모바일 애플리케이션(1212)의 활성 계정 관리 로직(1236)은 계정 매개변수 임계값들이 초과되었을 때 계정 매개변수들을 보충하도록 하는 요구를 개시 및 관리한다. 계정 매개변수 저장소(1240)에 저장된 계정 매개변수들이 손상되는 위험을 완화하기 위해, 계정 매개변수들은 CBPP에 의해 주기적으로 생성되고 모바일 애플리케이션(1212)에서 보충됨과 아울러 상기 계정을 활성 상태로 유지하도록 발행자/호스트 시스템에서 재생될 수 있다. 상기 활성 계정 관리 프로세스가 개시되게 하기 위해, CBPP는 MAP를 통해 모바일 애플리케이션(1212)으로부터의 새로운 계정 매개변수들에 대한 보충 요구를 수신할 수 있다. CBPP(180)는 또한 발행자/호스트 시스템으로부터 수신된 요구에 따를 수 있다.

몇몇 실시 예들에서, 모바일 애플리케이션(1212)의 활성 계정 관리 로직(1236)은 계정 매개변수 보충 풀 프로세스를 통한 계정 매개변수들의 업데이트 또는 보충을 트리거할 수 있다. 활성 계정 관리 로직(1236)은 소비자가 모바일 애플리케이션(1212)을 론치할 때, 또는 트랜잭션이 완료된 후에, 그리고 계정 매개변수 임계값들(1252)이 초과된 후에 계정 매개변수 보충 흐름을 개시하려고 시도할 수 있다. 업데이트된 한 세트의 계정 매개변수들의 수신시, 모바일 애플리케이션(1212)은 계정 매개변수 페이로드를 처리하고 지불결제를 위해 새로운 계정 매개변수들이 이용 가능하게 할 수 있다. 새로운 한 세트의 계정 매개변수들을 성공적으로 처리함에 따라, 모바일 애플리케이션(1212)은 MAP에 통지를 생성할 수 있다. MAP는 상기 계정 매개변수들이 모바일 애플리케이션(1212)에 성공적으로 배포되었음을 CBPP에 통지할 수 있다. 여기서 유념할 점은 고객이 서로 다른 환경들에(예컨대, 국내 시장밖에) 있을 때 발행자가 사용하기를 원할 수 있는 새로운 한 세트의 디바이스 임계값 매개변수들(예컨대, 이전의 한 세트의 계정 매개변수들과는 다른 제한적 사용 임계값들)이 업데이트된 계정 매개변수들에 동반될 수 있다는 점이다. 민감 정보의 교환을 개시하기 전에, MAP는 사용자, 디바이스, 애플리케이션 레벨 인증을 수행할 수 있다.

상기 계정 매개변수들의 업데이트 또는 보충은 또한 계정 매개변수 보충 푸시 프로세스를 가지고 수행될 수 있다. 이러한 흐름에서, CBPP는 상기 프로세스를 개시하여 상기 계정 매개변수들을 업데이트한다. CBPP는 상기 보충 푸시를 개시하도록 하는 푸시 메시지를 MAP에 발송한다. MAP는 그리고 나서 푸시 메시지를 모바일 애플리케이션(1212)에 발송할 수 있다. 모바일 애플리케이션(1212)은 그리고 나서 위에서 설명한 보충 풀 흐름에 대해 상기 계정 매개변수 업데이트 요구를 생성한다. 민감 정보의 교환을 개시하기 전에, MAP는 사용자, 디바이스, 및 애플리케이션 레벨 인증을 수행할 수 있다. 이전의 인증이 만료되었기 때문에 사용자 레벨 인증이 사용되는 경우에, 모바일 애플리케이션(1212)은 소비자가 모바일 애플리케이션(1212)을 열고 사용자 레벨 인증을 수행할 때까지 상기 요구를 캐시(cache)할 수 있다. 성공적인 인증 후에, 모바일 애플리케이션(1212)은 보충 풀 흐름에서와 같은 절차를 따른다. 이전의 인증이 만료되지 않았기 때문에 사용자 레벨 인증이 필요하지 않은 경우에, 모바일 애플리케이션(1212)은 상기 보충 풀 흐름에서와 같은 절차를 즉각적으로 따를 수 있다.

업데이트된 한 세트의 계정 매개변수들을 수신함에 따라, 활성 계정 관리 로직(1236)은 상기 새로운 계정 매개변수들의 유효성을 체크하고, 지불결제를 위해 상기 새로운 계정 매개변수들이 이용 가능하게 하며, 상기 계정 매개변수 임계값들을 리세트하고, 상기 계정 매개변수 임계값 구성들을 리세트하며, 그리고 이전의 한 세트의 계정 매개변수들을 삭제할 수 있다. 몇몇 실시 예들에서, 비록 네트워크 접속성이 없기 때문에 상기 계정 매개변수들이 업데이트되지 않았지만, 트랜잭션이 개시되는 것을 허용할 수 있다. 발행자/호스트 시스템 또는 발행자를 대신하는 지불결제 처리 네트워크는 다른 발행자에 의해 정해진 위험 메트릭(risk metric)들과 결합한 도난당한 계정 매개변수들의 지식에 기반을 두고 상기 트랜잭션을 승낙 또는 거부하도록 하는 결정을 내릴 수 있다.

모바일 애플리케이션(1212)은 현재의 한 세트의 계정 매개변수들의 업데이트를 트리거하는 다수의 크라우드-기반 지불결제 디바이스 계정 매개변수 임계값들(1252) 또는 위험 한도들을 포함할 수 있다. 이는 트랜잭션 횟수, 생존기간, 및/또는 누적 트랜잭션 액수 등등을 포함할 수 있다. 상기 계정 매개변수들이 CBPP에서의 트랜잭션 횟수에 대해 유효한 경우에, 모바일 애플리케이션(1212)에서의 계정 매개변수 임계값들(1252)은 보충을 트리거하도록 낮은 임계값의 트랜잭션 횟수(예컨대, CBPP에서의 트랜잭션 횟수보다 낮은 트랜잭션 횟수)를 가지고 구성될 수 있다. 계정 매개변수들이 CBPP에서의 유효 기간을 지니는 경우에, 모바일 애플리케이션(1212)에서의 계정 매개변수 임계값들(1252)은 보충을 트리거하도록 유효 기간보다 더 빠른 임계값의 시간을 가지고 구성될 수 있다. 상기 비접촉 판독기로부터 이용 가능한 경우에, 상기 트랜잭션 액수는 상기 계정 매개변수들이 업데이트되어야 할지에 대한 결정을 내리는데 활성 계정 관리 로직(1236)에 의해 사용될 수 있다. 더 적은 트랜잭션 액수들은 상기 계정 매개변수들의 즉각적인 업데이트를 반드시 필요로 하지 않게 한다. 그러나 이러한 메커니즘은 모바일 애플리케이션(1212)이 액세스 단말기로부터 트랜잭션 액수를 지속적으로 수신하지 않는 환경에서 신뢰성이 없을 수 있다. 가능한 경우에, 계정 매개변수들에 대한 트리거가 업데이트함에 따라 누적 트랜잭션 액수가 사용될 수 있다. 이러한 한도는 개별 트랜잭션 액수들의 합에 기반을 두고 이루어진다. 이러한 데이터는 소정의 트랜잭션이 승낙되었음을 확실하게 하도록 상기 데이터가 발행자/호스트 시스템과 동기화되지 않는 한 모바일 애플리케이션(1212) 관점에서 반드시 신뢰성이 있다고 볼 수 없다. 국내 대 국제 위험 설정은 또한 국제 트랜잭션들이 더 위험한 것으로 간주하는 경우에 국제 트랜잭션들에 대한 업데이트들을 더 종종 트리거하는데 사용될 수 있다.

계정 수명주기 관리

모바일 애플리케이션(1212)은 사용자가 수명주기 관리 로직(1234)을 통해 모바일 애플리케이션(1212)으로부터의 카드 또는 계정을 삭제하는 사용자 초기화 삭제 옵션을 제공하도록 하는 수명주기 관리 로직(1234)을 포함할 수 있다. 계정 수명주기 관리 로직(1234)은 계정에 연관된 계정 매개변수 저장소(1240) 내에 저장된 계정 매개변수들과 아울러, 다른 모든 계정 구성 데이터 또는 인공물(artifact)들을 삭제할 수 있다. 수명주기 관리 로직(1234)은 MAP를 통해 CBPP에 대한 삭제 요구를 개시함으로써 CBPP에서의 계정 삭제 프로세스를 개시할 수 있다.

수명주기 관리 로직(1234)은 발행자가 계정을 삭제하도록 하는 발행자 초기화 삭제 메커니즘을 지원할 수 있다. 발행자/호스트 시스템은 CBPP에 삭제 요구를 발송할 수 있고, 다시금 CBPP는 상기 요구를 모바일 애플리케이션(1212)으로 라우팅할 수 있다. 수명주기 관리 로직(1234)은 상기 계정에 연관된 국부적으로 저장된 계정 매개변수들과 아울러, 다른 모든 계정 구성 데이터 또는 인공물들을 삭제할 수 있다. 모바일 애플리케이션(1212)은 상기 삭제가 완료되었음을 나타내는 확인응답을 MAP에 발송할 수 있다. 모바일 애플리케이션(1212)은 또한 상기 계정의 삭제를 알리는 메시지를 사용자에게 디스플레이할 수 있다.

수명주기 관리 로직(1234)은 발행자가 계정을 중지하도록 하는 발행자 초기화 중지 메커니즘을 지원할 수 있다. 발행자/호스트 시스템은 중지 요구를 CBPP에 발송할 수 있고, 다시금 CBPP는 상기 요구를 모바일 애플리케이션(1212)에 라우팅할 수 있다. 수명주기 관리 로직(1234)은 모바일 애플리케이션(1212)에서의 카드 또는 계정을 중지시킬 수 있다. 중지 상태에서, 상기 계정은 지불결제를 수행하도록 상기 모바일 애플리케이션 설정들에서 선택될 수 없다. 수명주기 관리 로직(1234)은 상기 계정의 중지 후에 MAP에 확인응답을 발송할 수 있다. 모바일 애플리케이션(1212)은 상기 계정의 중지를 알리는 메시지를 사용자에게 디스플레이할 수 있으며, 또한 발행 은행에 연락을 취하도록 소비자에게 알릴 수 있다.

수명주기 관리 로직(1234)은 계정이 모바일 애플리케이션(1212)에서 중지되었을 때 발행자가 상기 계정을 재개하도록 하는 발행자 초기화 재개 메커니즘을 지원할 수 있다. 발행자/호스트 시스템은 재개 요구를 CBPP에 발송할 수 있고, 다시금 CBPP는 상기 요구를 모바일 애플리케이션(1212)에 라우팅할 수 있다. 수명주기 관리 로직(1234)은 모바일 애플리케이션(1212)에서의 카드 또는 계정을 재개할 수 있다. 재개 후에, 상기 카드 또는 계정은 지불결제를 위해 상기 모바일 애플리케이션에서 선택될 수 있다. 모바일 애플리케이션(1212)은 상기 계정의 재개 후 MAP에 확인응답을 송신하고 상기 계정의 재개를 알리는 메시지를 사용자에게 디스플레이할 수 있다.

사후 지불결제 상호작용들

사후 지불결제 상호작용 또는 프로세싱은 손상된 계정 매개변수들의 위험을 완화하는데 발행자들에게 도움이 될 수 있고 이러한 이유로 휴대용 통신 기기(1201) 상에 저장된 계정 매개변수들의 노출을 제한하는데 도움이 될 수 있다. 트랜잭션 검증 로직에 포함된 정보는 계정 매개변수 보충 요구들이 예상된 휴대용 통신 기기로부터 유래한 것이라는 확신을 CBPP가 조성하도록 하는 기준점을 제공하는데 사용될 수 있다. 모바일 애플리케이션(1212)은 계정 매개변수 보충 요구들을 구성하기 위해 트랜잭션 검증 로그(1254)로부터 정보를 추출하도록 하는 사후 지불결제 로직(1238)을 포함할 수 있다.

더군다나, CBPP와 함께 작용하는 발행자/호스트 시스템은 트랜잭션들을 검증하도록 모바일 애플리케이션(1212)에 의해 캡처 및 저장된 트랜잭션 검증 로그 데이터에 대한 요구를 MAP를 통해 개시하는 옵션을 지닐 수 있다. 모바일 애플리케이션(1212)은 상기 요구된 트랜잭션 검증 로그 데이터를 가지고 MAP를 통해 상기 요구에 응답할 수 있다. 이러한 데이터는 그 후에 특정 트랜잭션이 질의된 휴대용 통신 기기로부터 유래했는지를 수신확인하도록 상기 발행자/호스트 시스템에 의해 검증될 수 있다. 상기 트랜잭션 검증 로그 내에 포함될 수 있는 데이터 요소들의 예들에는 각각의 트랜잭션에 대해 트랜잭션 시간(예컨대, 상기 트랜잭션 동안 액세스 기기로부터 수신된 비접촉 상호작용 시간, 트랜잭션 액수, 및 예측 불가능한 번호)와 아울러 상기 트랜잭션들을 수행하는데 사용되었던 LUK에 연관된 키 인덱스와 같은 계정 매개변수 정보가 포함될 수 있다. 지불결제 트랜잭션 검증에 대해서는, 모바일 애플리케이션(1212)이 모바일 애플리케이션(1212)에 의해 캡처 및 저장된 트랜잭션 검증 로그 데이터에 대한 MAP로부터의 요구를 수신 및 처리할 수 있다. 모바일 애플리케이션(1212)은 상기 요구된 트랜잭션 검증 요구 데이터와 함께 상기 MAP 요구에 응답할 수 있다. 모바일 애플리케이션(1212)은 현재 계정 매개변수의 LUK 또는 상기 계정 매개변수들의 동적 데이터 부분 내의 등가물을 사용하여 상기 요구된 트랜잭션 검증 로그 데이터를 서명(sign)할 수 있다.

트랜잭션 검증 로그

모바일 애플리케이션(1212)은 상기 트랜잭션이 트랜잭션 검증 로그(1254)를 승인되었든 거부되었든 관계없이, 또는 모바일 애플리케이션(1212)이 트랜잭션의 결과에 대한 가시성을 가지는지(예컨대, 승인되었든 거부되었든) 관계없이 지불결제 계정 매개변수들이 액세스 기기와 공유되는 경우에 모든 비접촉 상호작용(예컨대, NFC)을 로그하도록 하는 트랜잭션 검증 로그(1254)를 유지할 수 있다. 모바일 애플리케이션(1212)은 지불결제 계정에 대한 현재 및 이전의 한 세트의 계정 매개변수들에 대한 트랜잭션 검증 로그 데이터를 저장할 수 있다. 몇몇 실시 예들에서, 이전의 한 세트의 계정 매개변수들에 대한 트랜잭션 검증 로그 데이터는 일단 모바일 애플리케이션(1212)이 새로운 한 세트의 계정 매개변수들을 수신하면 삭제될 수 있다. 트랜잭션 검증 로그(1254)는 사용자가 액세스 가능할 수도 있고 액세스 가능하지 않을 수도 있고 사용자에게 가시성이 있을 수도 있고 사용자에게 가시성이 없을 수도 있다.

XII. 전형적인 컴퓨터 시스템

도 1을 참조하여 본원 명세서에서 설명한 여러 엔티티 및 컴포넌트는 본원 명세서에서 설명한 기능들을 용이하게 하도록 하나 이상의 컴퓨터 장치들에 연관될 수도 있고 하나 이상의 컴퓨터 장치들을 동작시킬 수도 있다. 임의의 서버들 또는 데이터베이스들을 포함하는, 도 1에 도시된 엔티티들 또는 컴포넌트들 중 어느 하나는 본원 명세서에서 설명한 기능들을 용이하게 하도록 임의의 적합한 수의 서브시스템들을 사용할 수 있다.

도 16에는 그러한 서브시스템들 또는 컴포넌트들의 예들이 도시되어 있다. 도 16에 도시된 서브시스템들은 시스템 버스(1602)를 통해 상호접속되어 있다. 프린터(1604), 키보드(1606), 고정 디스크(1608)(또는 컴퓨터 판독가능 매체를 포함하는 다른 메모리), 디스플레이 어댑터(1612)에 연결된 모니터(1610), 및 기타 등등과 같은 추가 서브시스템들이 도시되어 있다. (프로세서 또는 다른 적합한 컨트롤러일 수 있는) I/O 컨트롤러(1614)에 연결되는 주변 및 입력/출력(input/output) 기기들은 시리얼 포트(1616)와 같은 당 업계에 공지된 임의 수의 수단에 의해 상기 컴퓨터 시스템에 접속될 수 있다. 예를 들면, 시리얼 포트(1616) 또는 외부 인터페이스(1618)는 인터넷과 같은 광역 통신 네트워크, 마우스 입력 기기, 또는 스캐너에 상기 컴퓨터 장치를 접속시키는데 사용될 수 있다. 시스템 버스를 통한 상호접속은 중앙 프로세서(1620)로 하여금 각각의 서브시스템과 통신하게 하고 시스템 메모리(1622) 또는 고정 디스크(1608)로부터의 명령어들의 실행과 아울러, 서브시스템들 간의 정보의 교환을 제어하게 할 수 있다. 상기 시스템 메모리(1622) 및/또는 상기 고정 디스크(1608)는 컴퓨터 판독가능 매체를 구현할 수 있다.

본 발명의 실시 예들은 위에서 설명한 실시 예들에 국한되지 않는다. 예를 들면, 비록 개별 기능 블록들이 발행자, 지불결제 처리 네트워크, 및 수취자용으로 도시되어 있지만, 몇몇 엔티티들은 이러한 기능들 모두를 수행하며 본 발명의 실시 예들에 포함될 수 있다.

위에서 설명한 실시 형태들 중 일부에 대한 구체적인 세부사항이 위에 제공되어 있다. 구체적인 실시 형태들의 구체적인 세부사항은 본 발명의 정신 및 범위로부터 벗어나지 않고 임의의 적합한 방식으로 조합될 수 있다. 예를 들면, 백엔트 프로세싱, 데이터 분석, 데이터 수집, 및 다른 트랜잭션들이 본 발명의 몇몇 실시 예들에서 모두 조합될 수 있다. 그러나 본 발명의 다른 실시 예들은 각각의 개별 실시 형태, 또는 이러한 개별 실시 형태들의 특정 조합에 대한 특정 실시 예들에 관련된 것들일 수 있다.

여기서 이해하여야 할 점은 위에서 설명한 본 발명이 모듈 또는 통합 방식으로 (유형의 물리적 매체에 저장된) 컴퓨터 소프트웨어를 사용하는 제어 로직의 형태로 구현될 수 있다. 본원 명세서에서 제공된 개시 및 교시들에 기반을 두면, 당업자는 하드웨어 및 하드웨어 및 소프트웨어의 조합을 사용하여 본 발명을 구현하는 다른 방식들 및/또는 방법들을 알게 될 것이며 이해하게 될 것이다.

본원에 기재된 소프트웨어 컴포넌트들 또는 기능들 중의 어느 하나는, 예를 들면 전통적인, 다시 말하면 객체-지향 기법들을 사용하는, 예를 들면 Java, C++, 또는 Perl과 같은 임의의 적절한 컴퓨터 언어를 사용하여 프로세서에 의해 실행될 소프트웨어 코드로서 구현될 수 있다. 상기 소프트웨어 코드는, 랜덤 액세스 메모리(random access memory; RAM), 판독 전용 메모리(read only memory; ROM), 하드-드라이브 또는 플로피 디스크와 같은 자기 매체, 또는 CD-ROM과 같은 광학 매체와 같은 컴퓨터-판독가능 매체상에 일련의 명령어들 또는 커맨드들로서 저장될 수 있다. 그러한 컴퓨터-판독가능 매체 중 어느 하나는 단일의 연산 장치 상에나 단일의 연상 장치 내에 상주해 있을 수 있으며, 시스템 또는 네트워크 내의 서로 다른 연산 장치들 상에나 시스템 또는 네트워크 내의 서로 다른 연산 장치들 내에 존재할 수 있다.

위에 기재된 설명은 대표적인 것이며 한정적인 것이 아니다. 본 발명의 여러 변형 예가 본 개시내용을 검토해보면 당업자에게 자명해질 것이다. 그러므로 본 발명의 범위는 위에 기재된 설명을 참조하여 결정되어서는 아니 되고, 그 대신에 계류중인 청구항들과 아울러, 계류중인 청구항들의 전체 범위 또는 등가 범위를 참조하여 결정되어야 한다.

어느 한 실시 예로부터의 하나 이상의 특징들은 본 발명의 범위로부터 벗어나지 않고 다른 어떤 실시 예의 하나 이상의 특징들과 조합될 수 있다.

"하나의" 또는 "상기"의 인용은 특별히 다르게 언급하지 않는 한 "하나 이상"을 의미하는 것으로 한다.

위에 언급한 모든 특허들, 특허출원들, 공보들, 및 설명들의 전체 내용은 모든 목적을 위해 본원 명세서에 참조 병합된다. 어떠한 것도 선행기술인 것으로 인정하는 것은 아니다.

Claims (20)

1. 프로세서 회로; 및
   상기 프로세서 회로에 결합된 비일시적 컴퓨터 판독가능 매체;
   를 포함하는 통신 기기로서,
   상기 비일시적 컴퓨터 판독가능 매체에는 이하의 단계들을 포함하는 통신 방법을 구현하기 위해 상기 프로세서 회로에 의해 실행 가능한 코드가 저장되어 있고, 상기 이하의 단계들은,
   제1 액세스 기기로부터의 제1 트랜잭션을 위한 제1 신호를 수신하는 단계 - 상기 제1 신호는 제1 통신 링크를 거쳐 수신되고, 제1 단말기 트랜잭션 데이터 및 상기 제1 액세스 기기에 의해 지원되는 제1 타입의 트랜잭션을 나타내는 제1 트랜잭션 타입 표시자를 포함함 -;
   상기 제1 신호를 수신하는 단계에 응답하여,
   제한적 사용 키(LUK)를 사용하여 상기 제1 단말기 트랜잭션 데이터를 암호화함으로써 제1 트랜잭션 암호를 생성하는 단계; 및
   상기 제1 트랜잭션 암호를 포함하는 제1 트랜잭션 데이터를 상기 제1 통신 링크를 거쳐 상기 제1 액세스 기기로 송신하는 단계 - 상기 제1 트랜잭션 데이터는 상기 제1 타입의 트랜잭션에 따라 포맷됨 -;
   제2 액세스 기기로부터의 제2 트랜잭션을 위한 제2 신호를 수신하는 단계 - 상기 제2 신호는 제2 통신 링크를 거쳐 수신되고, 제2 단말기 트랜잭션 데이터와 상기 제2 액세스 기기에 의해 지원되는 제2 타입의 트랜잭션을 나타내는 제2 트랜잭션 타입 표시자를 포함함 -;
   상기 제2 신호를 수신하는 단계에 응답하여,
   상기 제2 트랜잭션 타입 표시자에 기초하여, 상기 제2 트랜잭션에 대한 제2 트랜잭션 암호가 상기 제2 단말기 트랜잭션 데이터 없이 생성될 것이라고 결정하는 단계;
   상기 LUK를 사용하여 상기 제2 트랜잭션 암호를 생성하는 단계 - 상기 제2 트랜잭션 암호는 상기 제1 트랜잭션 암호와는 다른 포맷을 지님 -; 및
   상기 제2 트랜잭션 암호를 포함하는 제2 트랜잭션 데이터를 상기 제2 통신 링크를 거쳐 상기 제2 액세스 기기로 송신하는 단계 - 상기 제2 트랜잭션 데이터는 상기 제2 타입의 트랜잭션에 따라 포맷됨 -;
   를 포함하는, 통신 기기.
2. 제1항에 있어서, 상기 제1 트랜잭션 데이터는 계정 식별자의 대체물로서 사용되는 토큰을 포함하는, 통신 기기.
3. 제1항에 있어서, 상기 제1 통신 링크 또는 상기 제2 통신 링크 중 적어도 하나는 무선 통신 링크인, 통신 기기.
4. 제1항에 있어서, 상기 제1 통신 링크 및 상기 제2 통신 링크는 동일한 타입의 통신 프로토콜을 사용하는, 통신 기기.
5. 제1항에 있어서, 상기 제1 트랜잭션 암호 및 상기 제2 트랜잭션 암호는 동일한 암호화 기능을 사용하여 생성되는, 통신 기기.
6. 제1항에 있어서, 상기 제1 트랜잭션 암호 및 상기 제2 트랜잭션 암호는 상이한 암호화 기능을 사용하여 생성되는, 통신 기기.
7. 제1항에 있어서, 상기 제2 트랜잭션 암호는 키 인덱스와 함께 상기 제2 액세스 기기에 송신되며, 상기 키 인덱스는 상기 LUK의 생성에 관한 정보를 포함하는, 통신 기기.
8. 제1항에 있어서,
   상기 제1 트랜잭션 암호를 포함하는 제1 트랜잭션 데이터를 상기 제1 통신 링크를 거쳐 상기 제1 액세스 기기에 송신하는 단계 이후에, 제1 파일 로케이터(file locator)를 상기 제1 통신 링크를 거쳐 송신하는 단계 - 상기 제1 파일 로케이터는 상기 통신 기기의 제1 파일 위치에서의 제1 계정 데이터를 위한 것임 -; 및
   제2 파일 로케이터를 상기 제2 통신 링크를 거쳐 송신하는 단계 - 상기 제2 파일 로케이터는 상기 통신 기기의 제2 파일 위치에서의 제2 계정 데이터를 위한 것이고, 상기 제1 파일 위치는 상기 제2 파일 위치와는 다른 것임 -;
   을 추가로 포함하는, 통신 기기.
9. 제1항에 있어서,
   제1 파일 로케이터를 상기 제1 통신 링크를 거쳐 송신하는 단계 - 상기 제1 파일 로케이터는 상기 통신 기기의 제1 파일 위치에서의 제1 계정 데이터를 위한 것임 -; 및
   제2 파일 로케이터를 상기 제2 통신 링크를 거쳐 송신하는 단계 - 상기 제2 파일 로케이터는 상기 통신 기기의 제2 파일 위치에서의 제2 계정 데이터를 위한 것이고, 상기 제1 파일 위치는 상기 제2 파일 위치와는 다른 것임 -;
   제1 계정 데이터 요구를 상기 제1 통신 링크를 거쳐 수신하는 단계 - 상기 제1 계정 데이터 요구는 상기 제1 파일 위치를 나타내는 것임 -; 및
   제2 계정 데이터 요구를 상기 제2 통신 링크를 거쳐 수신하는 단계 - 상기 제2 계정 데이터 요구는 상기 제2 파일 위치를 나타내는 것임 -;
   를 추가로 포함하는, 통신 기기.
10. 제1항에 있어서,
    애플리케이션 파일 로케이터에 상응하는 메모리 위치에 상기 제2 트랜잭션 암호를 저장하는 단계;
    상기 애플리케이션 파일 로케이터를 상기 제2 통신 링크를 거쳐 상기 제2 액세스 기기로 전송하는 단계; 및
    상기 제2 액세스 기기로부터의 상기 애플리케이션 파일 로케이터를 수신하는 단계;
    를 추가로 포함하며,
    상기 제2 트랜잭션 데이터를 송신하는 단계는 상기 애플리케이션 파일 로케이터를 수신하는 단계에 응답하여 수행되는, 통신 기기.
11. 제1항에 있어서, 상기 LUK를 사용하여 상기 제2 트랜잭션 암호를 생성하는 단계는, 상기 LUK를 사용해 상기 제2 단말기 트랜잭션 데이터 없이 사전에 결정된 숫자 문자열을 암호화하는 단계를 포함하고, 상기 제2 트랜잭션 암호는 상기 제1 트랜잭션 암호와 비교하여 감축된 길이를 지니는, 통신 기기.
12. 제1항에 있어서, 상기 제1 타입의 트랜잭션은 통합 칩 기반 트랜잭션이고, 상기 제2 타입의 트랜잭션은 자기 스트라이프 기반 트랜잭션인, 통신 기기.
13. 방법으로서,
    통신 기기에 의해, 제1 액세스 기기로부터의 제1 트랜잭션을 위한 제1 신호를 수신하는 단계 - 상기 제1 신호는 제1 통신 링크를 거쳐 수신되고, 제1 단말기 트랜잭션 데이터 및 상기 제1 액세스 기기에 의해 지원되는 제1 타입의 트랜잭션을 나타내는 제1 트랜잭션 타입 표시자를 포함함 -;
    상기 제1 신호를 수신하는 단계에 응답하여,
    상기 통신 기기에 의해, 제한적 사용 키(LUK)를 사용하여 상기 제1 단말기 트랜잭션 데이터를 암호화함으로써 제1 트랜잭션 암호를 생성하는 단계; 및
    상기 통신 기기에 의해, 상기 제1 트랜잭션 암호를 포함하는 제1 트랜잭션 데이터를 상기 제1 통신 링크를 거쳐 상기 제1 액세스 기기로 송신하는 단계 - 상기 제1 트랜잭션 데이터는 상기 제1 타입의 트랜잭션에 따라 포맷됨 -;
    상기 통신 기기에 의해, 제2 액세스 기기로부터의 제2 트랜잭션을 위한 제2 신호를 수신하는 단계 - 상기 제2 신호는 제2 통신 링크를 거쳐 수신되고, 제2 단말기 트랜잭션 데이터 및 상기 제2 액세스 기기에 의해 지원되는 제2 타입의 트랜잭션을 나타내는 제2 트랜잭션 타입 표시자를 포함함 -;
    상기 제2 신호를 수신하는 단계에 응답하여,
    상기 통신 기기에 의해, 상기 제2 트랜잭션 타입 표시자에 기초하여, 상기 제2 트랜잭션에 대한 제2 트랜잭션 암호가 상기 제2 단말기 트랜잭션 데이터 없이 생성될 것이라고 결정하는 단계;
    상기 통신 기기에 의해, 상기 LUK를 사용하여 상기 제2 트랜잭션 암호를 생성하는 단계 - 상기 제2 트랜잭션 암호는 상기 제1 트랜잭션 암호와는 다른 포맷을 지님 -; 및
    상기 통신 기기에 의해, 상기 제2 트랜잭션 암호를 포함하는 제2 트랜잭션 데이터를 상기 제2 통신 링크를 거쳐 상기 제2 액세스 기기로 송신하는 단계 - 상기 제2 트랜잭션 데이터는 상기 제2 타입의 트랜잭션에 따라 포맷됨 -;
    를 포함하는, 방법.
14. 제13항에 있어서, 상기 제1 트랜잭션 데이터는 계정 식별자의 대체물로서 사용되는 토큰을 포함하는, 방법.
15. 제13항에 있어서, 상기 제1 통신 링크 또는 상기 제2 통신 링크 중 적어도 하나는 무선 통신 링크인, 방법.
16. 제13항에 있어서, 상기 제1 통신 링크 및 상기 제2 통신 링크는 동일한 타입의 통신 프로토콜을 사용하는, 방법.
17. 제13항에 있어서, 상기 제1 트랜잭션 암호 및 상기 제2 트랜잭션 암호는 동일한 암호화 기능을 사용하여 생성되는, 방법.
18. 제13항에 있어서, 상기 제1 트랜잭션 암호 및 상기 제2 트랜잭션 암호는 상이한 암호화 기능을 사용하여 생성되는, 방법.
19. 제13항에 있어서, 상기 제2 트랜잭션 암호는 키 인덱스와 함께 상기 제2 액세스 기기에 송신되며, 상기 키 인덱스는 상기 LUK의 생성에 관한 정보를 포함하는, 방법.
20. 제13항에 있어서,
    상기 제1 트랜잭션 암호를 포함하는 제1 트랜잭션 데이터를 상기 제1 통신 링크를 거쳐 상기 제1 액세스 기기에 송신하는 단계 이후에, 제1 파일 로케이터(file locator)를 상기 제1 통신 링크를 거쳐 송신하는 단계 - 상기 제1 파일 로케이터는 상기 통신 기기의 제1 파일 위치에서의 제1 계정 데이터를 위한 것임 -; 및
    제2 파일 로케이터를 상기 제2 통신 링크를 거쳐 송신하는 단계 - 상기 제2 파일 로케이터는 상기 통신 기기의 제2 파일 위치에서의 제2 계정 데이터를 위한 것이고, 상기 제1 파일 위치는 상기 제2 파일 위치와는 다른 것임 -;
    을 추가로 포함하는, 방법.

Images