KR20050042694A - 보안토큰을 이용한 전자거래방법 및 그 시스템 - Google Patents

보안토큰을 이용한 전자거래방법 및 그 시스템 Download PDF

Info

Publication number
KR20050042694A
KR20050042694A KR1020030077753A KR20030077753A KR20050042694A KR 20050042694 A KR20050042694 A KR 20050042694A KR 1020030077753 A KR1020030077753 A KR 1020030077753A KR 20030077753 A KR20030077753 A KR 20030077753A KR 20050042694 A KR20050042694 A KR 20050042694A
Authority
KR
South Korea
Prior art keywords
security token
electronic
buyer
token
security
Prior art date
Application number
KR1020030077753A
Other languages
English (en)
Inventor
이주영
문기영
손승원
박치항
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030077753A priority Critical patent/KR20050042694A/ko
Priority to US10/863,735 priority patent/US20050097060A1/en
Publication of KR20050042694A publication Critical patent/KR20050042694A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/045Payment circuits using payment protocols involving tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Abstract

본 발명에 의한 보안토큰을 이용한 전자거래방법은 SAML을 기반으로 하여 보안토큰 발행을 요청하는 구매자의 신용정보를 기초로 거래승인처가 상기 보안토큰을 생성하여 상기 구매자에게 송신하는 단계; 상기 구매자가 주문서에 전자서명을 한 후 상기 보안토큰과 함께 판매자에게 송신하는 단계; 상기 판매자가 수신된 상기 주문서와 보안토큰을 검증한 후 구매자에게 주문서에 따른 물품을 송신하는 단계; 및 상기 거래승인처가 상기 판매자 및 구매자와 정산하는 단계;를 포함하는 것을 특징으로 하며, 전자상거래를 위해서 구매자가 자신의 개인정보를 판매자에게 보냄으로써 발생할 수 있는 개인 정보 누출과 프라이버시 침해의 문제점을 해결할 수 있다. 만약에 보내진 보안토큰이 위조되거나 절도 되었더라도 일회성 데이터이기 때문에 이에 대한 피해는 최소화 될 수 있다. 그리고 보안토큰에 XML 전자서명을 수행함으로써 전달되는 메시지에 대한 인증, 무결성 및 부인봉쇄를 보장할 수 있으며 SOAP 보안 기술을 통해서 기밀성이 유지되는 장점이 있다.

Description

보안토큰을 이용한 전자거래방법 및 그 시스템{Method for electronic commerce using security token and apparatus thereof}
본 발명은 전자거래 방법 및 그 시스템에 관한 것으로, 보다 자세하게는 구매자의 전자거래에 필요한 각종 정보를 포함하는 보안토큰을 교환함으로써 안전한 전자 거래를 할 수 있도록 하는 방법과 시스템에 관한 것이다.
전자지불(Electronic Payment)이란 전자상거래에서 구매한 물건의 대금을 전자화폐로 결제하는 행위를 말한다. 그리고 전자지불 시스템은 거래에 참여하는 구매자, 판매자 등이 서비스와 상품에 대한 대가를 안전하고 효과적으로 주고 받을 수 있는 정보 전달 및 대금 지불 체계를 말한다. 즉, 전자지불 시스템은 이러한 일련의 전자상거래로 인한 대금 지불 과정을 수행하는 하드웨어 및 소프트웨어를 포함한 일종의 솔루션이다. 전자지불 시스템은 지불 시점에 따라 선불 시스템, 직불 시스템, 후불 시스템으로 나뉠 수 있고 인증 시점에 따라 온라인 시스템, 오프라인 시스템, 그리고 거래 액수에 따라 고액 지불 시스템, 소액 지불 시스템 등으로 분류가 된다.
현재 전자상거래에서 보편적으로 사용되는 전자지불 방식은 구매자의 신용카드 번호, 주민등록번호, 카드의 유효기간 그리고 비밀 번호 등을 쇼핑서버로 전송하게 하고 카드사의 지불 승인 및 정산을 거쳐 거래가 이루어지는 방법이 많이 사용된다. 그러나 이러한 방법은 구매자가 카드 정보, 비밀 번호 및 주민 번호를 비롯한 개인 정보를 인터넷을 통해 쇼핑 서버에 전달함으로써 개인 프라이버시 침해 및 중요 정보 노출에 대한 위험이 존재하고 전달된 정보에 대한 안전한 관리에 대한 우려 등의 보안문제를 야기시킨다.
현재 상기한 문제들을 해결하기 위해 암호화나 전자서명을 이용한 전자지불 방법, 전자지갑을 이용한 전자지불 서비스 방법 등이 제안되어 왔다. 그러나 대부분의 방법들은 웹을 이용해 쇼핑을 하다가 지불을 위해 소켓통신을 사용하거나 전자지갑 등 새로운 소프트웨어의 설치를 필요로 하여 웹 상에 존재하는 수많은 이질적인 시스템들간의 호환성 문제를 야기함에 따라 구매자가 원활한 거래를 수행하기 힘들고 기존의 소프트웨어와의 통합을 위해 상당한 비용을 필요로 한다.
따라서 전자지불을 위해서는 구매자가 신뢰할 수 있는 인증, 기밀성, 무결성, 부인봉쇄 등의 보안 서비스가 제공되어야 할 뿐 아니라 웹 상에 존재하는 수많은 이질적인 시스템과 거래할 수 있는 호환성이 제공되고 기존의 시스템들과 쉽게 통합될 수 있는 전자지불 방법이 필수적으로 요구된다.
본 발명이 이루고자 하는 기술적 과제는 구매자가 자신의 개인정보의 유출염려가 없는 안전한 웹 브라우저 기반의 보안토큰을 이용한 전자거래 방법을 제공하는데 있다.
본 발명이 이루고자 하는 기술적 과제는 구매자가 자신의 개인정보의 유출염려가 없는 안전한 전자거래를 수행하기 위한 보안토큰을 생성하는 방법 및 그 장치를 제공하는데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는 구매자가 자신의 개인정보의 유출염려가 없는 안전한 웹 브라우저 기반의 보안토큰을 이용한 전자거래 방법을 기록한 기록매체를 제공하는데 있다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 보안토큰을 이용한 전자거래방법은 SAML(Security Assertion Markup Language)을 기반으로 하여 보안토큰 발행을 요청하는 구매자의 신용정보를 기초로 거래승인처가 상기 보안토큰을 생성하여 상기 구매자에게 송신하는 단계; 상기 구매자가 주문서에 전자서명을 한 후 상기 보안토큰과 함께 판매자에게 송신하는 단계; 상기 판매자가 수신된 상기 주문서와 보안토큰을 검증한 후 구매자에게 주문서에 따른 물품을 송신하는 단계; 및 상기 거래승인처가 상기 판매자 및 구매자와 정산하는 단계;를 포함하는 것을 특징으로 한다.
상기의 다른 기술적 과제를 이루기 위하여 본 발명에 의한 보안토큰을 생성하는 방법은 XML에 기반하여 일회성 보안토큰을 생성하는 단계; 상기 보안토큰에 전자서명을 수행하는 단계; 및 상기 전자서명된 보안토큰을 POST payload의 일부로 하고 암호화하여 상기 주문자에게 송신하는 단계;를 포함하는 것을 특징으로 한다.
상기의 다른 기술적 과제를 이루기 위하여 본 발명에 의한 보안토큰 생성 시스템은 고객정보를 저장하는 고객정보저장부; 보안토큰 발생 요청신호가 입력되면 상기 고객정보저장부를 검색하여 인증을 한 후 일회성 보안토큰을 출력하는 보안토큰생성부; 및 상기 보안토큰을 입력받아 전자서명을 하여 상기 보안토큰 발생을 요청한 고객에게 출력하는 전자서명부;를 포함하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하면서 본 발명의 바람직한 실시예를 설명하도록 한다. 도 1은 본 발명에 의한 보안토큰을 이용한 전자 지불 시스템의 구성도이고, 도 2는 본 발명에 의한 보안토큰 생성 방법의 흐름도이다.
먼저 전자거래 시스템의 구성을 살펴보면, 판매자(110)의 판매물품을 검색하여 구매하는 구매자(100), 그리고 상기 구매자(100)의 거래승인요청에 따라 보안토큰을 생성하여 구매자(100)에게 송신하여, 보안토큰을 기초로 거래행위를 하도록 하며 판매자(110)에게 대금을 지급하고, 그 대금을 구매자(100)에게 청구하는 거래승인처(120)로 구성된다. 여기서 거래승인처(120)는 은행이나 지불 게이트웨이(payment gateway)가 해당된다.
이제 거래승인처(120)의 동작 및 보안토큰을 생성하는 과정을 살펴본다. 보안토큰생성부(121)는 거래를 원하는 구매자(100)로부터 보안토큰요청을 수신한다(201단계). 보안토큰요청을 수신한 보안토큰생성부(121)는 고객정보저장부(123)에 저장되어 있는 구매자의 신용정보를 확인하여 구매승인 인증을 시행한다(202단계). 구매자의 신용이 인증되면 SAML(Security Asertions Markup Language)에 기반하여 구매자의 인증, 속성, 인가정보를 어셔션(Assertion)이라고 불리는 데이터구조에 저장하여 일회성 보안토큰을 출력한다(203단계).
여기에서 SAML에 대하여 설명을 하도록 한다. 본 발명은 구매자의 보안토큰을 생성하여 제공하기 위해 이질적인 시스템 간의 보안 정보 교환을 위한 규격인 SAML(Security Assertion Markup Language)을 사용한다. SAML은 현재 웹 문서의 표준으로 사용되고 있는 XML(extensible Markup Language)과 HTTP 상에서 SOAP 프로토콜을 이용해 데이터를 표현하고 전송하므로 이 규격에 맞춰서 문서 및 데이터를 교환하는 것은 별도의 프로그램이나 패키지를 사용함 없이 쉽게 호환성을 유지할 수 있으며 기존 시스템과 쉽게 통합하여 사용할 수 있는 장점이 있다.
전자서명부(125)는 상기 일회성 보안토큰을 입력받아 메시지 다이제스트를 수행하여 메시지 다이제스트값을 계산하고 그 값을 전자거래승인처(120)의 개인키를 이용하여 암호화함으로써 궁극적으로 전자서명을 수행한다(204단계). 전자서명부(125)는 전자서명된 보안토큰을 HTML(Hyper Text Markup Language)형식으로 웹 브라우저에 업로드하고 POST 페이로드(payload)의 한 부분으로서 구매자(100)에게 전달하며, 전달시에는 보안이 적용된 전송 프로토콜을 사용한다(205단계).
이제 상기와 같이 생성되는 보안토큰을 이용한 전자거래방법의 일 실시예를 도 3을 참조하면서 설명하도록 한다. 보안토큰을 이용한 전자거래방법이 적용되는 시스템의 구성은 도 1에 도시한 바와 같이 통신망으로 연결된 구매자(100), 판매자(110), 그리고 은행이나 카드사와 같은 거래승인처(120)로 이루어진다.
상기와 같은 구성하에서 보안토큰 교환을 이용한 전자지불 방법은 크게 다음과 같이 대별할 수 있다. 즉 전자토큰 발행 요청단계, 사용자 인증 및 신용정보 확인을 통한 전자토큰 발행 및 전송 단계, 구매 주문서 및 보안토큰 전송 단계, 보안토큰 검증 및 구매 주문서 처리 단계, 물품 송부 및 결제 정산 단계, 그리고 정산 결과 송부 단계의 여섯 단계로 이루어진다. 이하 상술하도록 한다.
먼저, 통신망(예를 들면, 인터넷)상에서 거래를 하고자 하는 구매자(100)는 자신이 거래하는 거래승인처(120; 예를 들면, 은행 또는 카드사)에 자신의 구매 능력 및 신용을 보증하는 보안토큰의 발행을 요청한다(301단계). 이 요청을 수신한 거래승인처(120)는 자신이 보유하고 있는 구매자(100)의 신용정보를 기초로 구매자(100)의 인증을 수행하고 신용도를 확인한다. 인증이 실패하거나 신용도가 낮아 거래를 할 수 없을 정도로 판단하면 오류처리를 하고, 인증이 성공하면 보안토큰 생성작업 단계로 넘어간다(302단계). 구매자(100)의 신용이 확인되면, SAML에 기반 하여 구매자의 인증, 속성, 인가 정보를 어서션(Assertion)이라고 불리는 데이터 구조에 저장하여 일회성 보안토큰을 생성한다. 이 보안토큰에 다시 전자서명을 하는데, 이는 상기 보안토큰에 대해 메시지 다이제스트를 수행하고, 계산된 메시지 다이제스트 값을 거래승인처(120)의 개인키를 이용하여 암호화함으로 이루어 진다. 전자서명된 상기 보안토큰은 HTML 형식으로 웹 브라우저에 업 로드 되고 POST 페이로드의 한 부분으로써 구매자(100)에게 전달한다. 이때 보안이 적용된 전송 프로토콜을 사용한다(304단계).
구매자(100)는 상기 보안토큰을 수신하여 저장하고 있게 된다. 인터넷 쇼핑몰을 검색하던 구매자(100)는 자신이 구매하고자 하는 물품에 대한 주문서를 작성하고 지불할 금액에 부분적으로 전자서명을 수행함으로써 구매 내역과 지불 금액에 대한 확인을 한다. 전자서명 된 주문서와 함께 저장하고 있던 보안토큰을 판매자(110)에게 전송한다. 이 경우에도 보안이 적용된 인터넷 프로토콜을 사용한다(304단계).
구매 주문서와 보안토큰을 전송 받은 판매자(110)는 보안토큰에 포함된 내용을 확인하기 위하여 전자서명을 한 상기 거래승인처(120)의 공개키에 대한 인증서를 얻는다. 인증서가 유효하다면, 상기 보안토큰이 전송 중에 위조 또는 변조되지 않았음을 확인하기 위하여 전자서명을 검증한다. 이를 수행하기 위하여 다음과 같은 세 단계를 거친다. 우선, 상기 보안토큰에 포함된 전자서명을 거래승인처(120)의 공개키를 이용하여 복호화 한다. 그 결과로서 메시지 다이제스트 값을 얻는다. 그 다음 단계로 상기 보안토큰에 대해 메시지 다이제스트를 수행한다. 마지막 단계로서 이전의 두 단계에서 획득한 메시지 다이제스트 값이 같은지를 확인한다. 같은 경우, 검증에 성공한 것이며, 이로서 전송도중 보안토큰에 위조 혹은 변조가 일어나지 않았음을 확인한다(306단계).
검증이 성공적으로 수행되었다면, 상기 보안토큰에 저장된 구매자(100)의 인증 및 속성 정보를 통해 신용도를 확인한다. 신용도를 확인한 후에 구매자(100)가 주문한 내역에 대해 처리를 수행한다. 즉 판매자(110)는 구매자(100)가 주문한 물품을 구매자(100)에게 송부한 후, 구매자(100)의 전자서명이 된 결제 정보와 함께 상기 보안토큰을 구매자(100)의 승인거래처(120)에 전달하여 정산을 요청한다(307단계).
상기 요청을 수신한 거래승인처(120)는 상기 보안토큰을 확인하고 결제 대금을 정산한 후 정산 결과를 구매자(100)에게 통보한다(308단계). 이로써 보안토큰을 이용한 전자거래는 완성되게 된다.
상기와 같이 SAML을 이용하여 구매자(100)는 전자거래승인처(120)에 자신의 신용을 보증하는 보안토큰의 발행을 요청하고, 이 요청에 따라 발급된 일회성 보안토큰은 구매자(100)에게 전달되며, 구매자(100)는 자신이 전자서명한 주문서와 함께 보안토큰을 전송함으로써 구매자(100)는 자신의 카드번호 및 주민번호 등의 개인적인 정보를 전달하는 과정에서 발생할 수 있는 보안 및 프라이버시 침해에 대한 문제를 제거할 수 있게 된다. 또한 판매자(110)는 전송된 보안토큰을 확인한 후에 주문 내역을 처리하고 구매자(100)의 거래승인처에게 지불 정산을 요구하는 과정을 통해 사전에 구매자(100)의 신용을 확보함으로써 판매 대금 회수에 대한 부담감 없이 판매를 증진 시킬 수 있게 된다
본 발명에 의한 보안토큰을 이용한 전자거래방법과 전자거래처의 보안토큰 생성방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.
이상에서 설명한 바와 같이, 본 발명에 의한 보안토큰을 이용한 전자거래 방법은 전자상거래를 위해서 구매자가 자신의 개인정보를 판매자에게 보냄으로써 발생할 수 있는 개인 정보 누출과 프라이버시 침해의 문제점을 해결할 수 있다. 만약에 보내진 보안토큰이 위조되거나 절도 되었더라도 일회성 데이터이기 때문에 이에 대한 피해는 최소화 될 수 있다. 그리고 보안토큰에 XML 전자서명을 수행함으로써 전달되는 메시지에 대한 인증, 무결성 및 부인봉쇄를 보장할 수 있으며 SOAP 보안 기술을 통해서 기밀성이 유지된다.
XML 기반의 SAML 규격을 따라 통신을 수행함으로써 웹상에 존재하는 이질적인 시스템들 간의 호환이 쉽게 이루어지므로 기존의 전자지갑 등의 부가적인 소프트웨어나 패키지의 설치를 필요로 하지 않고 최근 XML 형태로 변화되어 가는 어플리케이션들 및 데이터들과 쉽게 연동할 수 있다는 장점이 있다
도 1은 본 발명에 의한 보안토큰을 이용한 전자 거래 시스템의 구성도이다.
도 2는 본 발명에 의한 보안토큰 생성 방법의 흐름도이다.
도 3은 본 발명에 의한 보안토큰을 이용한 전자 지불 방법의 흐름도이다.

Claims (11)

  1. (a) SAML(Security Assertion Markup Language)을 기반으로 하여 보안토큰 발행을 요청하는 구매자의 신용정보를 기초로 거래승인처가 상기 보안토큰을 생성하여 상기 구매자에게 송신하는 단계;
    (b) 상기 구매자가 주문서에 전자서명을 한 후 상기 보안토큰과 함께 판매자에게 송신하는 단계;
    (c) 상기 판매자가 수신된 상기 주문서와 보안토큰을 검증한 후 구매자에게 주문서에 따른 물품을 송신하는 단계; 및
    (d) 상기 거래승인처가 상기 판매자 및 구매자와 정산하는 단계;를 포함하는 것을 특징으로 하는 보안토큰을 이용한 전자거래방법.
  2. 제1항에 있어서, 상기 (a)단계는
    (a1) SAML을 기반으로 상기 구매자의 정보를 엔티티(entity)로 하는 어서션(assertion)형태로 처리하여 상기 보안토큰을 생성하는 단계;
    (a2) 상기 보안토큰에 전자서명을 시행하는 단계; 및
    (a3) 상기 전자서명된 보안토큰을 POST 페이로드(payload)의 일부로 하여 상기 구매자에게 송신하는 단계;를 포함하는 것을 특징으로 하는 보안토큰을 이용한 전자거래방법.
  3. 제1항에 있어서, 상기 보안토큰은 일회성임을 특징으로 하는 보안토큰을 이용한 전자지불방법.
  4. 제2항에 있어서, 상기 (a2)단계는
    상기 보안토큰에 메시지 다이제스트를 수행한 결과값을 상기 거래승인처의 개인키를 기초로 암호화하여 전자서명을 하는 단계;를 포함하는 것을 특징으로 하는 보안토큰을 이용한 전자거래방법.
  5. 제1항에 있어서, 상기 (c)단계는
    (c1) 상기 거래승인처로부터 거래승인처의 공개키를 획득하는 단계;
    (c2) 상기 전자서명을 상기 공개키를 기초로 복호하는 단계; 및
    (c3) 상기 복호결과인 제1메시지 다이제스트값과 전자토큰에 대하여 메시지 다이제스트를 수행한 결과인 제2메시지 다이제스트값을 비교하여 상기 제1 내지 제2메시지 다이제스트값이 일치하면 상기 보안토큰내의 구매자 신용정보에 따라 주문을 처리하는 단계;를 포함하는 것을 특징으로 하는 보안토큰을 이용한 전자지불방법.
  6. 고객정보를 저장하는 고객정보저장부;
    보안토큰 발생 요청신호가 입력되면 상기 고객정보저장부를 검색하여 인증을 한 후 일회성 보안토큰을 출력하는 보안토큰생성부;
    상기 보안토큰을 입력받아 전자서명을 하여 상기 보안토큰 발생을 요청한 고객에게 출력하는 전자서명부;를 포함하는 것을 특징으로 하는 보안토큰 생성 시스템.
  7. 제6항에 있어서, 상기 보안토큰생성부는
    SAML을 기반으로 상기 고객의 정보를 엔티티로 하는 어서션(assertion)형태로 처리하여 상기 보안토큰을 생성하는 것을 특징으로 하는 보안토큰 생성 시스템.
  8. 제6항에 있어서, 상기 전자서명부는
    상기 전자토큰을 입력받아 메시지 다이제스트를 수행하여 그 결과값을 상기 보안토큰 생성 시스템의 개인키로 암호화하여 출력하는 것을 특징으로 하는 보안토큰 생성 시스템.
  9. 주문자의 신용정보를 기초로 보안토큰을 생성하는 방법에 있어서,
    (a) XML에 기반하여 일회성 보안토큰을 생성하는 단계;
    (b) 상기 보안토큰에 전자서명을 수행하는 단계; 및
    (c) 상기 전자서명된 보안토큰을 POST 페이로드의 일부로 하고 암호화하여 상기 주문자에게 송신하는 단계;를 포함하는 것을 특징으로 하는 전자거래승인처의 전자토큰 생성 방법.
  10. 제9항에 있어서, 상기 (a)단계는
    SAML 에 기반하여 상기 신용정보를 어셔션형태로 처리하는 것을 특징으로 하는 전자거래승인처의 전자토큰 생성 방법.
  11. 제9항에 있어서, 상기 (b)단계는
    상기 보안토큰에 메시지 다이제스트를 수행한 결과값을 상기 전자거래승인처의 개인키를 기초로 암호화하여 전자서명을 하는 단계;를 포함하는 것을 특징으로 하는 전자거래승인처의 전자토큰 생성 방법.
KR1020030077753A 2003-11-04 2003-11-04 보안토큰을 이용한 전자거래방법 및 그 시스템 KR20050042694A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030077753A KR20050042694A (ko) 2003-11-04 2003-11-04 보안토큰을 이용한 전자거래방법 및 그 시스템
US10/863,735 US20050097060A1 (en) 2003-11-04 2004-06-07 Method for electronic commerce using security token and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030077753A KR20050042694A (ko) 2003-11-04 2003-11-04 보안토큰을 이용한 전자거래방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR20050042694A true KR20050042694A (ko) 2005-05-10

Family

ID=34545747

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030077753A KR20050042694A (ko) 2003-11-04 2003-11-04 보안토큰을 이용한 전자거래방법 및 그 시스템

Country Status (2)

Country Link
US (1) US20050097060A1 (ko)
KR (1) KR20050042694A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100847431B1 (ko) * 2005-03-14 2008-07-21 가부시키가이샤 엔티티 도코모 전자가치 교환방법, 이용자장치 및 제3자장치
WO2011057092A3 (en) * 2009-11-05 2011-08-04 Visa International Service Association Encryption switch processing
WO2012077956A2 (en) * 2010-12-06 2012-06-14 Samsung Electronics Co., Ltd. Apparatus and method for trading digital contents in digital contents management system
KR20140142852A (ko) 2013-06-05 2014-12-15 에스케이플래닛 주식회사 로그인 유지 시 보안토큰을 이용한 인증 방법, 이를 위한 시스템 및 장치

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100297976B1 (ko) * 2000-02-16 2001-11-03 정창희 컴퓨터 네트워크상에서 사업자고유정보가 마크된 사이버 결제수단의 발행 및 그에 의한 결제 시스템 및 방법
US7162035B1 (en) 2000-05-24 2007-01-09 Tracer Detection Technology Corp. Authentication method and system
US8171567B1 (en) 2002-09-04 2012-05-01 Tracer Detection Technology Corp. Authentication method and system
US7590589B2 (en) * 2004-09-10 2009-09-15 Hoffberg Steven M Game theoretic prioritization scheme for mobile ad hoc networks permitting hierarchal deference
US7747540B2 (en) * 2006-02-24 2010-06-29 Microsoft Corporation Account linking with privacy keys
US20070219902A1 (en) * 2006-03-20 2007-09-20 Nortel Networks Limited Electronic payment method and related system and devices
US8060931B2 (en) 2006-09-08 2011-11-15 Microsoft Corporation Security authorization queries
US20080065899A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Variable Expressions in Security Assertions
US8201215B2 (en) 2006-09-08 2012-06-12 Microsoft Corporation Controlling the delegation of rights
US8095969B2 (en) 2006-09-08 2012-01-10 Microsoft Corporation Security assertion revocation
US20080066158A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Authorization Decisions with Principal Attributes
US7814534B2 (en) * 2006-09-08 2010-10-12 Microsoft Corporation Auditing authorization decisions
US20080066169A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Fact Qualifiers in Security Scenarios
US8656503B2 (en) * 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US8938783B2 (en) * 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US20080066147A1 (en) * 2006-09-11 2008-03-13 Microsoft Corporation Composable Security Policies
US7694131B2 (en) * 2006-09-29 2010-04-06 Microsoft Corporation Using rich pointers to reference tokens
US20080086766A1 (en) * 2006-10-06 2008-04-10 Microsoft Corporation Client-based pseudonyms
DE102006062046A1 (de) * 2006-12-29 2008-07-03 Nec Europe Ltd. Verfahren und System zur Erhöhung der Sicherheit bei der Erstellung elektronischer Signaturen mittels Chipkarte
US20080168273A1 (en) * 2007-01-05 2008-07-10 Chung Hyen V Configuration mechanism for flexible messaging security protocols
US8655719B1 (en) 2007-07-25 2014-02-18 Hewlett-Packard Development Company, L.P. Mediating customer-driven exchange of access to personal data for personalized merchant offers
US8839383B2 (en) * 2007-08-20 2014-09-16 Goldman, Sachs & Co. Authentification broker for the securities industry
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
KR100995904B1 (ko) * 2007-12-18 2010-11-23 한국전자통신연구원 웹 서비스 방법 및 그 장치
US8353016B1 (en) 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8220035B1 (en) 2008-02-29 2012-07-10 Adobe Systems Incorporated System and method for trusted embedded user interface for authentication
US8555078B2 (en) 2008-02-29 2013-10-08 Adobe Systems Incorporated Relying party specifiable format for assertion provider token
US7995196B1 (en) 2008-04-23 2011-08-09 Tracer Detection Technology Corp. Authentication method and system
US8090650B2 (en) 2008-07-24 2012-01-03 At&T Intellectual Property I, L.P. Secure payment service and system for interactive voice response (IVR) systems
KR20120108965A (ko) * 2009-09-17 2012-10-05 로얄 캐네디언 민트 전자 지갑용 자산 저장 및 이체 시스템
CN102754116B (zh) * 2010-01-19 2016-08-03 维萨国际服务协会 基于令牌的交易认证
WO2012174172A2 (en) * 2011-06-14 2012-12-20 Redbox Automated Retail, Llc System and method of associating an article dispensing machine account with a content provider account
US9092776B2 (en) * 2012-03-15 2015-07-28 Qualcomm Incorporated System and method for managing payment in transactions with a PCD
US9105021B2 (en) 2012-03-15 2015-08-11 Ebay, Inc. Systems, methods, and computer program products for using proxy accounts
JP2015518614A (ja) * 2012-04-18 2015-07-02 ビービーピー・テクノロジア,デゼンヴォルヴィメント・デ・システマス・エルティーディーエー データ及びアイデンティティの検証及び認証のためのシステム及び方法
US9818109B2 (en) * 2012-08-16 2017-11-14 Danny Loh User generated autonomous digital token system
US11210648B2 (en) 2012-10-17 2021-12-28 Royal Bank Of Canada Systems, methods, and devices for secure generation and processing of data sets representing pre-funded payments
CA3126471A1 (en) 2012-10-17 2014-04-17 Royal Bank Of Canada Virtualization and secure processing of data
US11080701B2 (en) 2015-07-02 2021-08-03 Royal Bank Of Canada Secure processing of electronic payments
US9092777B1 (en) * 2012-11-21 2015-07-28 YapStone, Inc. Credit card tokenization techniques
US20140279466A1 (en) * 2013-03-15 2014-09-18 Paynearme, Inc. Cash-Based Check System
EP2819370B1 (en) * 2013-06-24 2018-09-19 Telefonica Digital España, S.L.U. A computer implemented method to prevent attacks against user authentication and computer programs products thereof
DE102013212627B4 (de) * 2013-06-28 2021-05-27 Bundesdruckerei Gmbh Elektronisches Transaktionsverfahren und Computersystem
GB2523350A (en) 2014-02-21 2015-08-26 Ibm Implementing single sign-on in a transaction processing system
US9697532B2 (en) * 2014-02-28 2017-07-04 Cellco Partnership Integrated platform employee transaction processing for buy your own device (BYOD)
US9449188B2 (en) 2014-10-10 2016-09-20 Salesforce.Com, Inc. Integration user for analytical access to read only data stores generated from transactional systems
US10101889B2 (en) 2014-10-10 2018-10-16 Salesforce.Com, Inc. Dashboard builder with live data updating without exiting an edit mode
US9767145B2 (en) 2014-10-10 2017-09-19 Salesforce.Com, Inc. Visual data analysis with animated informational morphing replay
US10049141B2 (en) 2014-10-10 2018-08-14 salesforce.com,inc. Declarative specification of visualization queries, display formats and bindings
US9600548B2 (en) * 2014-10-10 2017-03-21 Salesforce.Com Row level security integration of analytical data store with cloud architecture
AU2016208989B2 (en) 2015-01-19 2021-11-25 Royal Bank Of Canada Secure processing of electronic payments
US11354651B2 (en) 2015-01-19 2022-06-07 Royal Bank Of Canada System and method for location-based token transaction processing
US11386404B2 (en) * 2015-02-04 2022-07-12 Ripple Luxembourg S.A. Temporary consensus subnetwork in a distributed network for payment processing
US11599879B2 (en) 2015-07-02 2023-03-07 Royal Bank Of Canada Processing of electronic transactions
CN106470184B (zh) * 2015-08-14 2020-06-26 阿里巴巴集团控股有限公司 安全认证方法、装置及系统
US10115213B2 (en) 2015-09-15 2018-10-30 Salesforce, Inc. Recursive cell-based hierarchy for data visualizations
US10089368B2 (en) 2015-09-18 2018-10-02 Salesforce, Inc. Systems and methods for making visual data representations actionable
US9992163B2 (en) 2015-12-14 2018-06-05 Bank Of America Corporation Multi-tiered protection platform
US9832200B2 (en) 2015-12-14 2017-11-28 Bank Of America Corporation Multi-tiered protection platform
US9832229B2 (en) 2015-12-14 2017-11-28 Bank Of America Corporation Multi-tiered protection platform
US10713376B2 (en) 2016-04-14 2020-07-14 Salesforce.Com, Inc. Fine grain security for analytic data sets
US10607001B2 (en) * 2016-06-29 2020-03-31 Hancom Inc. Web-based electronic document service apparatus capable of authenticating document editing and operating method thereof
US10115104B2 (en) * 2016-09-13 2018-10-30 Capital One Services, Llc Systems and methods for generating and managing dynamic customized electronic tokens for electronic device interaction
US10311047B2 (en) 2016-10-19 2019-06-04 Salesforce.Com, Inc. Streamlined creation and updating of OLAP analytic databases
CN108092778B (zh) * 2017-12-28 2021-02-02 中国人民银行数字货币研究所 基于数字货币钱包查询关联账户的方法和系统
US11017405B2 (en) * 2017-12-29 2021-05-25 GoPublic, Inc. Blockchain compliance platform and system for regulated transactions
CN109658103B (zh) * 2018-10-25 2021-01-01 创新先进技术有限公司 身份认证、号码保存和发送、绑定号码方法、装置及设备
US11120452B2 (en) * 2018-11-08 2021-09-14 Capital One Services, Llc Multi-factor authentication (MFA) arrangements for dynamic virtual transaction token generation via browser extension
US11595212B2 (en) * 2020-10-13 2023-02-28 EMC IP Holding Company LLC Secure approval chain for runtime protection
WO2024010121A1 (ko) * 2022-07-08 2024-01-11 주식회사 트리거파트너스 Nft 거래를 위한 정보 처리 시스템 및 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000014231A (ko) * 1998-08-18 2000-03-06 정선종 오프라인 전자 거래 시스템 및 이를 이용한 전자 상거래 방법
KR20000024217A (ko) * 2000-01-29 2000-05-06 장승욱 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법
KR20000038184A (ko) * 1998-12-04 2000-07-05 정선종 개방형 통신망에서의 사용자 인증 방법
KR20010057169A (ko) * 1999-12-18 2001-07-04 이계철 전자지불토큰을 이용한 온라인 전자지불 서비스 방법
KR20020068722A (ko) * 2001-02-22 2002-08-28 소프트포럼 주식회사 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6182892B1 (en) * 1998-03-25 2001-02-06 Compaq Computer Corporation Smart card with fingerprint image pass-through
US7142676B1 (en) * 1999-06-08 2006-11-28 Entrust Limited Method and apparatus for secure communications using third-party key provider
US7003560B1 (en) * 1999-11-03 2006-02-21 Accenture Llp Data warehouse computing system
US20020111907A1 (en) * 2000-01-26 2002-08-15 Ling Marvin T. Systems and methods for conducting electronic commerce transactions requiring micropayment
CA2426865A1 (en) * 2000-10-24 2002-05-02 It Security Solutions Llc Process and apparatus for improving the security of digital signatures and public key infrastructures for real-world applications
US7292999B2 (en) * 2001-03-15 2007-11-06 American Express Travel Related Services Company, Inc. Online card present transaction
US6807636B2 (en) * 2002-02-13 2004-10-19 Hitachi Computer Products (America), Inc. Methods and apparatus for facilitating security in a network
US7831693B2 (en) * 2003-08-18 2010-11-09 Oracle America, Inc. Structured methodology and design patterns for web services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000014231A (ko) * 1998-08-18 2000-03-06 정선종 오프라인 전자 거래 시스템 및 이를 이용한 전자 상거래 방법
KR20000038184A (ko) * 1998-12-04 2000-07-05 정선종 개방형 통신망에서의 사용자 인증 방법
KR20010057169A (ko) * 1999-12-18 2001-07-04 이계철 전자지불토큰을 이용한 온라인 전자지불 서비스 방법
KR20000024217A (ko) * 2000-01-29 2000-05-06 장승욱 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법
KR20020068722A (ko) * 2001-02-22 2002-08-28 소프트포럼 주식회사 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100847431B1 (ko) * 2005-03-14 2008-07-21 가부시키가이샤 엔티티 도코모 전자가치 교환방법, 이용자장치 및 제3자장치
US7865438B2 (en) 2005-03-14 2011-01-04 Ntt Docomo, Inc. Electronic value exchange method, user device, and third-party device
WO2011057092A3 (en) * 2009-11-05 2011-08-04 Visa International Service Association Encryption switch processing
US9633351B2 (en) 2009-11-05 2017-04-25 Visa International Service Association Encryption switch processing
WO2012077956A2 (en) * 2010-12-06 2012-06-14 Samsung Electronics Co., Ltd. Apparatus and method for trading digital contents in digital contents management system
WO2012077956A3 (en) * 2010-12-06 2012-10-11 Samsung Electronics Co., Ltd. Apparatus and method for trading digital contents in digital contents management system
KR20140142852A (ko) 2013-06-05 2014-12-15 에스케이플래닛 주식회사 로그인 유지 시 보안토큰을 이용한 인증 방법, 이를 위한 시스템 및 장치

Also Published As

Publication number Publication date
US20050097060A1 (en) 2005-05-05

Similar Documents

Publication Publication Date Title
KR20050042694A (ko) 보안토큰을 이용한 전자거래방법 및 그 시스템
US20190347701A1 (en) Secure transaction protocol
US5915022A (en) Method and apparatus for creating and using an encrypted digital receipt for electronic transactions
US8996423B2 (en) Authentication for a commercial transaction using a mobile module
CN105960776B (zh) 使用有限使用证书进行令牌验证
AU2006236243B2 (en) Network commercial transactions
US6931382B2 (en) Payment instrument authorization technique
US7058611B2 (en) Method and system for conducting secure electronic commerce transactions with authorization request data loop-back
US20060235795A1 (en) Secure network commercial transactions
AU2001266614A1 (en) Secure transaction protocol
AU2001283489A1 (en) Method and system for conducting secure electronic commerce transactions with authorization request data loop-back
WO2016118087A1 (en) System and method for secure online payment using integrated circuit card
JPH09297789A (ja) 電子商取引決済管理システム及び方法
US20030187797A1 (en) Method for issuing and settling electronic check
CN112970234B (zh) 账户断言
JP2004535619A (ja) 安全な決済取引を行うシステムと方法
KR100438741B1 (ko) 전자지갑을 이용한 전자상거래 운영방법
AU2011202945B2 (en) Network commercial transactions
WO2003094070A1 (en) MONEYi PARTNER SERVICE AND METHOD
JP2002077148A (ja) 認証方法、その装置及びそのプログラム記録媒体
JP2002352172A (ja) 電子商取引方法及び電子商取引装置
Kovan SPP Secure Payment Protocol: Protocol Analysis, Implementation and Extensions

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application