KR20140039400A - 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 및 그 방법 - Google Patents

밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 및 그 방법 Download PDF

Info

Publication number
KR20140039400A
KR20140039400A KR1020120104967A KR20120104967A KR20140039400A KR 20140039400 A KR20140039400 A KR 20140039400A KR 1020120104967 A KR1020120104967 A KR 1020120104967A KR 20120104967 A KR20120104967 A KR 20120104967A KR 20140039400 A KR20140039400 A KR 20140039400A
Authority
KR
South Korea
Prior art keywords
encrypted
key
card
secret key
information
Prior art date
Application number
KR1020120104967A
Other languages
English (en)
Other versions
KR101468626B1 (ko
Inventor
박응석
유준상
Original Assignee
주식회사 유아이디에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 유아이디에스 filed Critical 주식회사 유아이디에스
Priority to KR1020120104967A priority Critical patent/KR101468626B1/ko
Publication of KR20140039400A publication Critical patent/KR20140039400A/ko
Application granted granted Critical
Publication of KR101468626B1 publication Critical patent/KR101468626B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4018Transaction verification using the card verification value [CVV] associated with the card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners

Abstract

본 발명은 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 및 그 방법에 관한 것으로서, 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하고, 암호화된 제1 비밀키를 통해 카드정보를 암호화하는 카드리더기; 및 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송하는 스마트폰;을 포함한다.
상기와 같은 본 발명에 따르면, 블루투스 암화화 전송시 상호 공개키와 난수 값으로 비밀키를 생성하고, 전문 암/복호화에 대칭키 암호화 알고리즘을 적용하며, 세션마다 암호화 대칭키(세션키)를 재 교환하고, 데이터 무결성 검증을 위해 교화되는 암호화 전문마다 MAC 키를 생성하며, 암호화 후 전문 원본을 폐기함으로써, 사용자에게 편리한 결제프로세스를 제공함과 아울러 도청 및 중간자 공격에 대한 보안성을 강화하는 효과가 있다.

Description

밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 및 그 방법{SYSTEM FOR PAYING CARD OF SMART PHONE USING KEY EXCHANGE WITH VAN SERVER AND METHOD THEREFOR}
본 발명은 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 및 그 방법에 관한 것으로 더욱 상세하게는, 스마트폰이 밴사 서버로부터 수신한 인증서를 토대로 공개키를 추출하고, 카드리더기가 사용자 카드로부터 독출한 카드정보를 스마트폰으로부터 인가받은 공개키를 통해 암호화하여 스마트폰으로 인가하고, 암호화된 카드정보를 밴사 서버로 전송하여 카드결제 프로세스를 제공하는 기술에 관한 것이다.
일반적으로 신용카드 결제 처리 시스템은, 소비자가 판매자로부터 상품을 구매하고, 이를 결제하기 위하여 다수의 신용카드사로부터 발급된 신용카드 중 하나를 이용하여 판매자에게 결제를 요청한다. 이에 따라, 판매자는 구비된 카드 결제 단말기(Card authorization terminal : CAT, Point of sales : POS)를 이용하여 소비자의 신용카드정보 및 판매금액 등의 거래정보를 입력한다.
그리고, 판매자는 입력된 신용카드 정보를 부가가치통신망사업자(VAN : 이하 밴사라 칭함)를 통하여 신용카드사로 거래 승인을 요청한다. 이후, 밴사 서버는 신용카드사로부터소비자의 신용카드에 대한 거래 승인 응답 정보를 수신하고, 이를 거래 승인 요청한 판매자의 카드 결제 단말기로 전송한다. 이후, 판매자는 출력된 결제 처리 영수증에 소비자의 서명을 받거나 또는 전자 서명이 포함된 결제 처리 영수증을 출력하여 소비자와의 거래를 완료한다.
카드 결제 단말기에는 카드의 마그네틱 스트립에 인코딩(Encoding)된 카드 정보를 읽어내기 위해 이와 같이 자기 스트립 리더(Magnetic stripe reader :MSR)모듈이 구비된다. 이때, 자기 스트립 리더에서 읽혀진 카드 정보는 암호화되지 않은 날데이터 형태로 카드 결제 단말기에 공급된다.
이처럼, 암호화되지 않은 카드 정보가 날데이터 형태로 출력된다는 점을 악용하여, 자기 스트립 리더에 상용화된 카드 기록 장치를 연결하여 신용카드의 엔코딩 정보를 취득하거나, 결제 구간에서 불법적으로 신용카드의 엔코딩 정보를 로깅(Logging)하여 손쉽게 복제하는 등 취약한 보안 문제가 대두되었다.
자기 스트립 리더에서 읽혀진 카드 정보 또는 불법 로깅한 카드 정보는 그대로 카드 기록 장치에 의해 빈 카드에 기록되고 손쉽게 복제 카드가 제작될 수 있으며, 일반적인 카드 결제 장치에 해킹 장치를 몰래 부착하여 자기 스트립 리더모듈에서 출력되는 신호를 해킹하는 시도가 발생하고 있거나 예측되고 있다.
이 경우, 현재의 카드 결제 장치의 구조로는 대규모의 결제 데이터가 유출되어 위변조된 카드 거래가 승인될 수 있는 위험을 막을 수 없다는데 그 문제점이 심각하다고 볼 수 있다.
이러한 문제를 개선하기 위한 기술로 대한민국 등록특허 제10-0879813호(결제카드 정보 유출 방지를 위한 자기 스트립 리더 모듈장치 및 그 정보처리 방법)가 공개되어 있다.
전술한 선행특허는, 결제카드의 통과를 안내하는 슬롯을 형성하되, 상기 슬롯의 가운데 노출공을 부설하여 사출 형성된 하우징과; 상기 노출공에 삽입되어 결제카드의 카드 정보를 읽어들이는 자기 리더 헤더와; 상기 자기 리더 헤더로부터 읽혀진 카드 정보를 암호화하는 암호화 모듈 회로부와, 상기 암호화 모듈 회로부에 의해 생성된 데이터를 카드 결제 단말기로 전송하는 커넥터가 실장된 인쇄회로기판;을 포함하여 구성된다.
그러나, 이러한 선행특허는 MSR에 초기 통신시에 밴사 서버에서 보안에 필요한 정보를 MSR에 붙어 있는 메모리에 저장하고 이정보로 암호화하여 보내는 주는 방식으로 구성되는바, 자기 스트립 리더 모듈장치마다 밴사 서버의 보안에 필요한 정보들을 탑재한 메모리를 탑재시켜야만 하기 때문에 추가비용이 발생하는 문제점이 있다.
아울러, 보안에 필요한 정보를 탑재한 메모리를 구비하더라도 밴사 서버들 마다 상이한 보안체계들과의 호환이 불가능하기 때문에 특정 밴사 서버와의 결제시마다 밴사 서버와 호환이 가능한 MSR을 바꿔줘야만 하는 불편함이 있다.
본 발명의 목적은, 카드리더기가 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하고, 암호화한 제1 비밀키를 통해 카드정보를 암호화하며, 스마트폰의 보안모듈이 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송함으로써, 키로거에 의한 패턴방식의 해킹과, 디바이스 클로닝과 메모리 해킹에 의한 재사용 공격을 원천적으로 차단하고, 스마트폰 및 카드리더기와 밴사 서버간의 상호인증을 통해 고도의 보안성을 제공하는데 그 목적이 있다.
즉, 본 발명의 목적은, 카드리더기를 통해 암호화된 제1 비밀키를, 스마트폰의 보안모듈에 의해 암호화된 제2 비밀키를 통해 재차 암호화하여 밴사 서버로 전송하되, 스마트폰의 고유식별번호 또는 카드리더기의 고유식별번호를 함께 밴사 서버로 전송함으로써, 고유식별번호를 재차 검증하여 부정한 카드정보 결제와, 위변조 또는 분실된 기기를 통한 카드결제를 원천적으로 차단하는데 그 목적이 있다.
또한, 본 발명의 목적은, 블루투스 암화화 전송시 상호 공개키와 난수 값으로 비밀키를 생성하고, 전문 암/복호화에 대칭키 암호화 알고리즘을 적용하며, 세션마다 암호화 대칭키(세션키)를 재 교환하고, 데이터 무결성 검증을 위해 교화되는 암호화 전문마다 MAC 키를 생성하며, 암호화 후 전문 원본을 폐기함으로써, 사용자에게 편리한 결제프로세스를 제공함과 아울러 도청 및 중간자 공격에 대한 보안성을 강화하는데 그 목적이 있다.
또한, 본 발명의 목적은, 카드결제기의 키패드로 스마트폰 고유식별번호 및 앱(App) 고유식별번호를 입력하여 인증하고, 앱(App)에 있는 키패드로 스마트폰 고유식별번호와 카드결제기 식별번호를 입력하여 인증을 수행함으로써, 스마트폰, 앱 과 카드결제기의 부실등 에 의한 사용자사칭에 따른 피해를 미연에 방지 하는데 그 목적이 있다.
그리고, 본 발명의 목적은, 카드결제기가 스마트폰과의 블루투스 연결시 페어링 과정에서 세션키, 128Bit 난수값, Safer 알고리즘에 의해 생성된 96Bit 값을 암호키로 생성하여 스마트폰과의 상호검증을 수행함으로써, 블루투스 전송 구간의 데이터의 도청을 미연에 방지하는데 그 목적이 있다.
이러한 기술적 과제를 달성하기 위한 본 발명의 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템은, 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하고, 암호화된 제1 비밀키를 통해 카드정보를 암호화하는 카드리더기; 및 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송하는 스마트폰;을 포함한다.
그리고, 전술한 시스템을 기반으로 하는 본 발명의 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법은, 카드리더기가 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하는 (a) 단계; 카드리더기가 암호화한 제1 비밀키를 통해 카드정보를 암호화하는 (b) 단계; 스마트폰이 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화하는 (c) 단계; 및 스마트폰이 암호화된 제1 비밀키로 암호화한 카드정보를 결제전문정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송하는 (d) 단계;를 포함한다.
상기와 같은 본 발명에 따르면, 카드리더기가 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하고, 암호화한 제1 비밀키를 통해 카드정보를 암호화하며, 스마트폰의 보안모듈이 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송함으로써, 키로거에 의한 패턴방식의 해킹과, 디바이스 클로닝과 메모리 해킹에 의한 재사용 공격을 원천적으로 차단하고, 스마트폰 및 카드리더기와 밴사 서버간의 상호인증을 통해 고도의 보안성을 제공하는 효과가 있다.
즉, 본 발명에 따르면, 카드리더기를 통해 암호화된 제1 비밀키를, 스마트폰의 보안모듈에 의해 암호화된 제2 비밀키를 통해 재차 암호화하여 밴사 서버로 전송하되, 스마트폰의 고유식별번호, 앱(App)의 고유식별번호와 카드리더기의 고유식별번호를 함께 밴사 서버로 전송함으로써, 고유식별번호들을 재차 밴사 서버에서 검증하여 부정한 카드정보 결제와, 위변조 또는 분실된 기기를 통한 카드결제를 원천적으로 차단하는 효과가 있다.
또한, 본 발명에 따르면, 블루투스 암화화 전송시 상호 공개키와 난수 값으로 비밀키를 생성하고, 전문 암/복호화에 대칭키 암호화 알고리즘을 적용하며, 세션마다 암호화 대칭키(세션키)를 재 교환하고, 데이터 무결성 검증을 위해 교화되는 암호화 전문마다 MAC 키를 생성하며, 암호화 후 전문 원본을 폐기함으로써, 사용자에게 편리한 결제프로세스를 제공함과 아울러 도청 및 중간자 공격에 대한 보안성을 강화하는 효과가 있다.
또한, 본 발명에 따르면, 카드결제기가 디바이스 식별번호 및 비밀번호를 통해 단말기를 인증하고, 카드결제 앱(App)과 연동하여 유효 단말기의 고유식별번호를 통한 인증을 수행함으로써, 사용자사칭에 따른 피해를 미연에 방지하는 효과가 있다.
그리고, 본 발명에 따르면, 카드결제기가 스마트폰과의 블루투스 연결시 페어링 과정에서 세션키, 128Bit 난수값, Safer 알고리즘에 의해 생성된 96Bit 값을 암호키로 생성하여 스마트폰과의 상호검증을 수행함으로써, 전송되는 데이터의 도청을 미연에 방지하는 효과가 있다.
도 1은 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템을 도시한 구성도.
도 2는 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템의 스마트폰을 도시한 구성도.
도 3은 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템의 카드리더기를 도시한 구성도.
도 4는 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템의 밴사 서버를 도시한 구성도.
도 5는 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법을 도시한 순서도.
도 6은 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법의 제S40단계 이후과정을 도시한 순서도.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.
도 1에 도시된 바와 같이 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템(S)은, 카드리더기가 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하고, 암호화한 제1 비밀키를 통해 카드정보를 암호화하며, 스마트폰의 보안모듈이 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 암호화된 제1 비밀키에 포함된 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송하는바, 스마트폰(100), 카드리더기(200) 및 밴사 서버(300)를 포함하여 구성된다.
구체적으로, 도 2를 참조하여 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템(S)의 스마트폰(100)에 대해 살피면 아래와 같다.
먼저, 스마트폰(100)의 카드결제 앱(App)(110)은 밴사 서버(300)에 의해 발급된 인증서에 대한 유효성을 검증하여 인증서에 포함된 RSA 공개키를 카드리더기(200)로 인가하고, 보안모듈(120)은 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 암호화된 제2 비밀키로 암호화한 결제전문정보를, 카드리더기(200)로부터 인가받은 암호화된 제1 비밀키로 암호화된 카드정보와 함께 밴사 서버(300)로 전송한다.
이때, 카드결제 앱(App)(110)은 카드리더기(200)로부터 인가받은 카드리더기 고유식별번호(제품번호), 앱(App) 고유식별번호(제품번호) 및 스마트폰 고유식별번호(IMEI: International Mobile Equipment Identity)를 밴사 서버(300)로 전송한다.
또한, 스마트폰(100)의 내부저장소 및 외부저장소에는, 카드리더기 고유식별번호(제품번호), 스마트폰 고유식별번호(IMEI), 사업자등록번호(가맹점정보) 및 CAT-ID가 저장되지 않으며, 암호화를 위한 제1 비밀키 및 제2 비밀키는 일회성 데이터로 카드결제 프로세스 종료와 함께 소멸된다.
또한, 스마트폰(100)은 마켓에서 다운 받은 앱(App)을 통신사 서버와의 사용자 인증과 밴사 서버(300)의 인증에 의해 발급된 사업자등록증(가맹점정보), CAT-ID 및 CAT-ID와 대응하는 비밀번호 검증을 통해 설치하고, 앱(App)에서 입력하는 카드리더기 고유식별번호(제품번호), 앱(App) 고유식별전호(제품번호) 및 스마트폰 고유식별번호(IMEI: International Mobile Equipment Identity)와 함께 카드결제기의 MCU에 저장한다. 아울러, 이들 정보들은 카드 결제시 카드정보와 함께 암호화 되어 밴사 서버(300)에 전달하여 재검증을 받는다.
그리고, 사용자 인증은, 쇼핑사이트 등에서 개인정보를 변경할 경우, 현재 사용하고 있는 핸드폰 번호를 입력하면, 그 핸드폰으로 6자리 숫자를 보내어 6자리 숫자를 입력함으로써 다음 단계를 실행할 수 있게 하는 서비스로 이해함이 바람직하다.
또한, 카드결제 앱(App)(110)의 실행은, 카드리더기 고유식별번호(제품번호), 사업자등록번호(가맹점정보) 및 CAT-ID 비밀번호를 밴사 서버(300)로 전송하여 밴사 서버(300)에 기 등록된 정보와 일치하는지에 대한 인증을 수행하고, 앱(App) 실행을 위해 기 설정한 비밀번호 검증을 수행하여 실행된다.
즉, 오프라인 서비스 가입 신청서를 작성한 이후, 밴사로부터 CAT-ID 및 비밀번호를 부여받기 때문에 해커가 서비스를 가입하지 않고서는 임의적으로 정보를 입력하여 카드결제 앱(App)을 실행할 수 없다.
또한, 스마트폰(100)은 설치된 카드결제 앱(App)(110)을 통해 카드리더기(200)와 블루투스 페어링에 의해 접속되거나, 카드리더기(200)와 USB, NFC 또는 이어폰 잭을 통해 물리적으로 접속된다.
한편, 도 3을 참조하여 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템(S)의 카드리더기(200)에 대해 살피면 아래와 같다.
카드리더기(200)는 난수발생기(210)를 통해 임의의 제1 비밀키를 생성하고, 암호화모듈(220)을 통해 스마트폰(100)으로부터 인가받은 RSA 공개키를 이용하여 제1 비밀키를 암호화한 이후, 암호화된 제1 비밀키를 통해 카드정보(카드번호 16자리, 유효기간 데이터 및 CVC 코드)를 암호화하여 스마트폰(100)으로 인가한다.
이때, 카드정보는, 카드번호 16자리, 유효기간 데이터 및 CVC 코드 외에, 스마트폰 식별번호(제품번호), 카드결제 앱(App)의 고유제품번호 및 카드리더기 고유식별번호(제품번호)를 포함하여 구성되고, 암호화된 제1 비밀키를 통해 암호화되어 스마트폰(100)으로 인가한다.
즉, 스마트폰(100)에 의해 밴사 서버(300)로 전송된 카드정보는, 밴사 서버(300)의 복호화 과정에 있어서, 스마트폰 식별번호(제품번호), 카드결제 앱(App)의 고유제품번호 및 카드리더기 고유식별번호(제품번호)에 대한 인증절차를 수행하게 되며, 이 인증절차에서 스마트폰(100)의 카드결제 앱(App)(110) 설치시 밴사 서버(300)에 기 저장된 정보들과 일치하지 않는 경우, 밴사 서버(300)가 해당 카드결제 프로세스에 대한 승인을 거절하게 된다.
또한, 난수발생기(210)는 MCU(Micro Control Unit)로 구성되며, 스마트폰 식별번호(제품번호) 및 카드결제 앱(App)의 고유제품번호와, 카드리더기 고유식별번호(제품번호)를 저장 및 관리한다.
또한, 카드리더기(200)는 신용카드로부터 독출한 카드정보를 암호화모듈(220)로 인가하는 마그네틱 리더부(230)와, NFC를 통해 독출한 카드정보를 암호화모듈(220)로 인가하는 NFC칩(240)과, 카드에 부착된 IC칩에 저장된 카드정보를 암호화모듈(220)로 인가하는 IC칩 리더부(250)를 더 포함하여 구성된다.
또한, 카드리더기(200)는 스마트폰(100)과의 블루투스 연결에 따른 페어링시, 세션키, 128Bit 난수값, Safer(Secure And Fast Encryption Routine)에 의해 생성된 96Bit 값을 암호키로 생성하여 스마트폰(100)과의 상호 인증을 수행한다.
또한, 카드리더기(200)는 숫자를 입력할 수 있는 키패드(260)를 더 포함하여 구성되되, 키패드(260)에 카드리더기(200)를 분리하기 위한 비밀번호를 입력하지 않은 상태에서 스마트폰(100)으로부터 카드리더기(200)를 분리하는 경우, 카드리더기(200)의 MCU에 저장된 데이터가 포맷되도록 구성되어 물리적인 분리로 인한 정보탈취를 원천적으로 방지한다.
한편, 도 4를 참조하여 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템(S)의 밴사 서버(300)에 대해 살피면 아래와 같다.
밴사 서버(300)는 스마트폰(100)의 인증서 요청에 따라 발급한 인증서를 스마트폰(100)으로 전송하고, 스마트폰(100)으로부터 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 수신하되, RSA 개인키를 통해 암호화된 제2 비밀키를 복호화하고, 복호화된 제2 비밀키 통해 암호화된 결제전문정보를 복호화하며, RSA 개인키를 통해 암호화된 제1 비밀키를 복호화하고, 복호화된 제1 비밀키를 통해 암호화된 카드정보를 복호화하며, 복호화된 카드정보 및 결제전문정보를 기 설정된 카드결제 프로세스에 부합하도록 처리한다.
또한, 밴사 서버(300)는 제1 비밀키로 카드정보와 함께 암호화되고 제2 비밀키로 암호화된 결제전문정보에 포함된 카드리더기 고유식별번호(제품번호), 앱(App) 고유식별번호(제품번호) 및 스마트폰 고유식별번호(IMEI: International Mobile Equipment Identity)를 복호화하여 기 저장된 정보와 비교하는 검증을 수행함으로써 기밀성을 보장한다.
이하, 도 5를 참조하여 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법에 대해 살피면 아래와 같다.
먼저, 카드리더기(200)가 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버(300)에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화한다(S10).
이어서, 카드리더기(200)가 암호화한 제1 비밀키를 통해 카드정보를 암호화한다(S20).
뒤이어, 스마트폰(100)이 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한다(S30).
그리고, 스마트폰(100)이 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버(300)로 전송한다(S40).
한편, 도 6을 참조하여 본 발명에 따른 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법의 제S40단계 이후 과정에 대해 살피면 아래와 같다.
제S40단계 이후, 밴사 서버(300)가 스마트폰(100)으로부터 암호화된 제1 비밀키로 암호화된 카드정보와, 암호화된 제2 비밀키로 암호화된 결제전문정보를 수신한다(S50).
이어서, 밴사 서버(300)가 RSA 개인키를 통해 암호화된 제2 비밀키를 복호화한다(S60).
이서서, 밴사 서버(300)가 복호화된 제2 비밀키 통해 암호화된 결제전문정보를 복호화한다(S70).
뒤이어, 밴사 서버(300)가 RSA 개인키를 통해 암호화된 제1 비밀키를 복호화한다(S80).
그리고, 밴사 서버(300)가 복호화된 제1 비밀키를 통해 암호화된 카드정보를 복호화한다(S90).
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등 물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.
S: 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템
100: 스마트폰 110: 카드결제 앱(App)
120: 보안모듈 200: 카드리더기
210: 난수발생기 220: 암호화모듈
230: 마그네틱 리더부 240: NFC칩
250: IC칩 리더부 260: 키패드
300: 밴사 서버

Claims (13)

  1. 스마트폰을 이용한 카드 결제 시스템에 있어서,
    난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하고, 암호화된 제1 비밀키를 통해 카드정보를 암호화하는 카드리더기; 및
    제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 상기 암호화된 제1 비밀키로 암호화된 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송하는 스마트폰;을 포함하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  2. 제 1 항에 있어서,
    상기 스마트폰은,
    밴사 서버에 의해 발급된 인증서에 대한 유효성을 검증하여 인증서에 포함된 RSA 공개키를 카드리더기로 인가하는 카드결제 앱(App); 및
    상기 카드리더기로부터 암호화된 제1 비밀키에 포함된 카드정보를 인가받고, 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화한 이후, 상기 암호화된 제1 비밀키로 암호화된 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 상기 밴사 서버로 전송하는 보안모듈;을 포함하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  3. 제 2 항에 있어서,
    상기 카드결제 앱(App)은,
    상기 카드리더기로부터 인가받은 카드리더기 고유식별번호(제품번호), 앱(App) 고유식별번호(제품번호) 및 스마트폰 고유식별번호(IMEI: International Mobile Equipment Identity)를 밴사 서버로 전송하되, 통신사 서버와의 사용자 인증과, 상기 밴사 서버의 인증에 의해 발급된 사업자등록증(가맹점정보), CAT-ID 및 CAT-ID와 대응하는 비밀번호 검증을 통해 설치되는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  4. 제 2 항에 있어서,
    상기 카드결제 앱(App)은,
    사용자로부터 입력받는 카드리더기 고유식별번호(제품번호), 앱(App) 고유식별전호(제품번호) 및 스마트폰 고유식별번호(IMEI: International Mobile Equipment Identity)와 함께 카드결제기의 MCU에 저장되되,
    카드 결제시, MCU에 저장된 정보를 카드정보와 함께 암호화하여 밴사 서버로 전송하고, MCU에 저장된 정보 및 카드정보가 밴사 서버에 의해 재검증되도록 하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  5. 제 2 항에 있어서,
    상기 스마트폰은,
    상기 카드리더기와 블루투스 페어링에 의해 접속되거나, 상기 카드리더기와 USB, NFC 또는 이어폰 잭을 통해 물리적으로 접속되는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  6. 제 1 항에 있어서,
    상기 카드리더기는,
    임의의 제1 비밀키를 생성하는 난수발생기; 및
    상기 스마트폰으로부터 인가받은 RSA 공개키를 이용하여 제1 비밀키를 암호화한 이후, 암호화된 제1 비밀키를 통해 카드정보(카드번호 16자리, 유효기간 데이터 및 CVC 코드)를 암호화하여 상기 스마트폰으로 인가하는 암호화모듈;을 포함하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  7. 제 6 항에 있어서,
    상기 카드리더기는,
    신용카드로부터 독출한 카드정보를 상기 암호화모듈로 인가하는 마드네틱 리더부;
    NFC를 통해 독출한 카드정보를 상기 암호화모듈로 인가하는 NFC칩; 및
    카드에 부착된 IC칩에 저장된 카드정보를 상기 암호화모듈로 인가하는 IC칩 리더부;를 더 포함하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  8. 제 1 항에 있어서,
    상기 카드정보는,
    카드번호 16자리, 유효기간 데이터, CVC 코드, 스마트폰 식별번호(제품번호), 카드결제 앱(App)의 고유제품번호 및 카드리더기 고유식별번호(제품번호)를 포함하여 구성되되,
    상기 암호화된 제1 비밀키를 통해 암호화되어 상기 스마트폰으로 인가되는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  9. 제 1 항에 있어서,
    상기 카드리더기는,
    숫자를 입력하는 키패드(key-pad);를 더 포함하여 구성되되,
    상기 키패드에 카드리더기를 분리하기 위한 비밀번호를 입력하지 않은 상태에서 상기 스마트폰과 카드리더기를 분리하는 경우, 상기 카드리더기의 MCU에 저장된 데이터가 포맷되도록 구성되는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  10. 제 1 항에 있어서,
    상기 밴사 서버는,
    상기 스마트폰의 인증서 요청에 따라 발급한 인증서를 상기 스마트폰으로 전송하고, 상기 스마트폰으로부터 암호화된 제1 비밀키로 암호화된 카드정보와, 암호화된 제2 비밀키로 암호화된 결제전문정보를 수신하되,
    RSA 개인키를 통해 암호화된 제2 비밀키를 복호화하고, 복호화된 제2 비밀키 통해 암호화된 결제전문정보를 복호화하며, RSA 개인키를 통해 암호화된 제1 비밀키를 복호화하고, 복호화된 제1 비밀키를 통해 암호화된 카드정보를 복호화하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  11. 제 1 항에 있어서,
    상기 밴사 서버는,
    제1 비밀키로 카드정보와 함께 암호화되고 제2 비밀키로 암호화된 결제전문정보에 포함된 카드리더기 고유식별번호(제품번호), 앱(App) 고유식별번호(제품번호) 및 스마트폰 고유식별번호(IMEI: International Mobile Equipment Identity)를 복호화하여 기 저장된 정보와 비교하는 검증을 수행하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템.
  12. 스마트폰을 이용한 카드 결제 방법에 있어서,
    (a) 카드리더기가 난수발생기를 통해 생성한 제1 비밀기를 밴사 서버에 의해 발급된 인증서에 포함된 RSA 공개키를 이용하여 암호화하는 단계;
    (b) 카드리더기가 암호화한 제1 비밀키를 통해 카드정보를 암호화하는 단계;
    (c) 스마트폰이 제2 비밀키를 생성하여 RSA 공개키를 통해 제2 비밀키를 암호화하는 단계; 및
    (d) 스마트폰이 암호화된 제1 비밀키로 암호화한 카드정보와, 암호화된 제2 비밀키로 암호화한 결제전문정보를 밴사 서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법.
  13. 제 12 항에 있어서,
    상기 (d) 단계 이후,
    (e) 밴사 서버가 스마트폰으로부터 암호화된 제1 비밀키로 암호화된 카드정보와, 암호화된 제2 비밀키로 암호화된 결제전문정보를 수신하는 단계;
    (f) 밴사 서버가 RSA 개인키를 통해 암호화된 제2 비밀키를 복호화하는 단계;
    (g) 밴사 서버가 복호화된 제2 비밀키 통해 암호화된 결제전문정보를 복호화하는 단계;
    (h) 밴사 서버가 RSA 개인키를 통해 암호화된 제1 비밀키를 복호화하는 단계; 및
    (i) 밴사 서버가 복호화된 제1 비밀키를 통해 암호화된 카드정보를 복호화하는 단계;를 포함하는 것을 특징으로 하는 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 방법.
KR1020120104967A 2012-09-21 2012-09-21 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 KR101468626B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120104967A KR101468626B1 (ko) 2012-09-21 2012-09-21 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120104967A KR101468626B1 (ko) 2012-09-21 2012-09-21 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템

Publications (2)

Publication Number Publication Date
KR20140039400A true KR20140039400A (ko) 2014-04-02
KR101468626B1 KR101468626B1 (ko) 2014-12-04

Family

ID=50650024

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120104967A KR101468626B1 (ko) 2012-09-21 2012-09-21 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템

Country Status (1)

Country Link
KR (1) KR101468626B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101625036B1 (ko) * 2015-11-13 2016-06-14 주식회사 텔큐온 보안성 향상을 위한 페어온 플러스(PayOn+) 간편 결제 시스템 및 이를 이용한 간편 결제 방법
WO2016122222A1 (ko) * 2015-01-28 2016-08-04 (주)맑은생각 실물카드를 이용한 온라인 금융거래 본인인증 시스템 및 방법
WO2016153159A1 (ko) * 2015-03-24 2016-09-29 주식회사지니 암호화된 결제 정보를 이용한 결제 처리 시스템 및 그 방법
KR20160121231A (ko) * 2015-04-10 2016-10-19 (주)인스타페이 이중 암호화를 이용한 사용자 인증 방법과 시스템 및 기록매체
KR101670607B1 (ko) * 2015-08-31 2016-11-09 조효식 일회성 카드 정보를 이용한 카드 결제 장치
WO2017175926A1 (ko) * 2016-04-05 2017-10-12 삼성전자 주식회사 Id 기반 공개 키 암호화를 이용한 전자 지불 방법 및 전자 디바이스
KR20180041840A (ko) * 2016-10-17 2018-04-25 권오준 암호화 통신 시스템 및 방법, 이를 위한 가드 시스템 및 사용자 단말기
KR20190081191A (ko) * 2017-12-29 2019-07-09 한국정보통신주식회사 카드 정보의 암호화 처리 방법 및 그 장치
KR102195931B1 (ko) * 2019-08-27 2020-12-28 주식회사 피앤링크 블루투스 통신 기반의 단말기간 결제 방법 및 그 시스템
US11182783B2 (en) 2016-04-05 2021-11-23 Samsung Electronics Co., Ltd. Electronic payment method and electronic device using ID-based public key cryptography

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104301115B (zh) * 2014-10-22 2017-09-15 浪潮软件集团有限公司 一种手机与蓝牙key签名验证密文通讯方法
KR101857067B1 (ko) * 2016-06-20 2018-05-11 비씨카드(주) 항공기 운항 중 카드결제를 처리하는 기내 결제 서비스 제공 방법 및 장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101155271B1 (ko) * 2005-09-29 2012-06-18 엘지전자 주식회사 신용카드 결제 시스템
KR20070039368A (ko) * 2005-10-07 2007-04-11 한국정보통신서비스 주식회사 휴대 인터넷 통신망을 이용한 카드결제 보안처리 방법 및시스템과 결제단말장치와 이를 위한 프로그램을 기록한것을 특징으로 하는 컴퓨터로 판독 가능한 기록매체
KR101178246B1 (ko) * 2011-12-27 2012-09-13 주식회사 유아이디에스 이어폰 잭을 이용한 스마트폰 신용카드 결제 시스템 및 그 방법

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016122222A1 (ko) * 2015-01-28 2016-08-04 (주)맑은생각 실물카드를 이용한 온라인 금융거래 본인인증 시스템 및 방법
WO2016153159A1 (ko) * 2015-03-24 2016-09-29 주식회사지니 암호화된 결제 정보를 이용한 결제 처리 시스템 및 그 방법
KR20160121231A (ko) * 2015-04-10 2016-10-19 (주)인스타페이 이중 암호화를 이용한 사용자 인증 방법과 시스템 및 기록매체
KR101670607B1 (ko) * 2015-08-31 2016-11-09 조효식 일회성 카드 정보를 이용한 카드 결제 장치
KR101625036B1 (ko) * 2015-11-13 2016-06-14 주식회사 텔큐온 보안성 향상을 위한 페어온 플러스(PayOn+) 간편 결제 시스템 및 이를 이용한 간편 결제 방법
WO2017175926A1 (ko) * 2016-04-05 2017-10-12 삼성전자 주식회사 Id 기반 공개 키 암호화를 이용한 전자 지불 방법 및 전자 디바이스
US11182783B2 (en) 2016-04-05 2021-11-23 Samsung Electronics Co., Ltd. Electronic payment method and electronic device using ID-based public key cryptography
KR20180041840A (ko) * 2016-10-17 2018-04-25 권오준 암호화 통신 시스템 및 방법, 이를 위한 가드 시스템 및 사용자 단말기
KR20190081191A (ko) * 2017-12-29 2019-07-09 한국정보통신주식회사 카드 정보의 암호화 처리 방법 및 그 장치
KR102195931B1 (ko) * 2019-08-27 2020-12-28 주식회사 피앤링크 블루투스 통신 기반의 단말기간 결제 방법 및 그 시스템

Also Published As

Publication number Publication date
KR101468626B1 (ko) 2014-12-04

Similar Documents

Publication Publication Date Title
KR101468626B1 (ko) 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템
AU2021203815B2 (en) Methods for secure cryptogram generation
US11258777B2 (en) Method for carrying out a two-factor authentication
JP6586446B2 (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
CN105556553B (zh) 安全的远程支付交易处理
CN106656488B (zh) 一种pos终端的密钥下载方法和装置
TWI497336B (zh) 用於資料安全之裝置及電腦程式
CN107358441B (zh) 支付验证的方法、系统及移动设备和安全认证设备
CN101373528B (zh) 基于位置认证的电子支付系统、设备、及方法
US10089627B2 (en) Cryptographic authentication and identification method using real-time encryption
US20190087814A1 (en) Method for securing a payment token
US10044684B2 (en) Server for authenticating smart chip and method thereof
TWI591553B (zh) Systems and methods for mobile devices to trade financial documents
KR20120108599A (ko) 온라인 신용카드 결제 단말기를 활용한 신용카드 결제 서비스
CN104393993A (zh) 一种用于售电终端的安全芯片及其实现方法
TWI471804B (zh) 空白智慧卡裝置發行系統
KR20200057518A (ko) 전기차 충전 제어 장치, 시스템 및 방법
CN106656955A (zh) 一种通信方法及系统、客户端
KR101710950B1 (ko) 암호키 배포 방법, 그를 이용한 카드리더 모듈 및 암호키 배포 시스템
KR101625036B1 (ko) 보안성 향상을 위한 페어온 플러스(PayOn+) 간편 결제 시스템 및 이를 이용한 간편 결제 방법
KR20180089951A (ko) 전자화폐 거래 방법 및 시스템
Ahmad et al. Per-transaction Shared Key Scheme to Improve Security on Smart Payment System
KR102104094B1 (ko) 인증장치, 및 단말 간의 인증을 위한 프로그램 및 그 프로그램이 기록된 컴퓨터 판독 가능 기록매체
CN115103354A (zh) 一种基于nfc的数字钥匙远程授权方法及系统
CN103888263A (zh) 一种应用于移动商务系统的安全解决方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee