KR20140119792A - 허브 앤드 스포크 핀 검증 - Google Patents
허브 앤드 스포크 핀 검증 Download PDFInfo
- Publication number
- KR20140119792A KR20140119792A KR1020147024151A KR20147024151A KR20140119792A KR 20140119792 A KR20140119792 A KR 20140119792A KR 1020147024151 A KR1020147024151 A KR 1020147024151A KR 20147024151 A KR20147024151 A KR 20147024151A KR 20140119792 A KR20140119792 A KR 20140119792A
- Authority
- KR
- South Korea
- Prior art keywords
- payment
- buyer
- credit card
- merchant
- pin
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/325—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/403—Solvency checks
- G06Q20/4037—Remote solvency checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
- G06Q20/425—Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0873—Details of the card reader
- G07F7/088—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1058—PIN is checked locally
- G07F7/1066—PIN data being compared to data on card
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1075—PIN is checked remotely
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1091—Use of an encrypted form of the PIN
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하는 방법. 신용카드 지불은 카드 리더기 및 모바일폰을 포함하는 판매자(merchant)의 장치, 지불 서버 및 구매자의 모바일폰을 사용하여 수행된다. PIN 입력 요청(entry request)은 지불 서버를 통해 판매자(merchant)의 장치에서 구매자의 장치로 전송된다. 구매자의 장치에서 보안 어플리케이션이 실행되며, PIN 코드는 안전하게 입력될 것이다. 입력된 PIN 코드는 지불 서버를 통해 상기 판매자(merchant)의 장치 내 신용카드 또는 은행 서버에 대하여 검증된다. 이에 따라, 보안 신용카드 지불은 일반적인 비보안 모바일 장치를 사용하여 수행될 수 있다.
Description
본 발명은 일반적으로 보안 전자지불카드 거래 분야에 관한 것이며, 보다 구체적으로는 모바일폰과 같은 모바일 통신 장치를 사용하는 보안 결제 및 신용카드 지불을 위한 방법 및 시스템에 관한 것이다.
매일 전세계적으로 엄청난 수의 결제 및 신용카드 지불이 이루어지고 있으며, 지불의 수는 계속해서 증가하고 있다.
EMV는 시장에서 결제 및 신용카드에 대한 선두적인 지불 시스템 사양이며, Europay International, Mastercard International 및 Visa International에 의해 공동으로 개발되어 약어 EMV로 일컬어진다. 표준 EMV 인증 카드를 사용하는 것이 가능한 결제 및 신용카드 지불 시스템을 개발하는 것이 가능하기 위해서 상기 지불 시스템은 EMV 사양을 충족시키는 것이 필수적이다.
대다수의 결제 및 신용카드 지불은 여전히 상점에서 부피가 크고 고정된 EMV 인증 판매 시점 관리(point-of-sale; POS) 터미널을 사용하여 이루어진다. 다만, 지난 몇 년 동안 대중과 기업 모두에게 있어서 모바일폰과 같은 휴대용 핸드-헬드 장치에서 지불이 이루어질 수 있도록 하는 관심은 빠르게 증가해왔다. 다만, 모바일폰은 보안 장치로서 고려되지 않으며, EMV 지불을 수행하기 위한 요구를 충족시키지 않는다. 주요 보안 이슈는 예를 들어 악성 소프트웨어를 사용하여 제3자에 의해 가로채질 수 있는 개인 식별 번호(PIN)를 모바일폰으로 입력하는 것이다. 따라서, 일반적인 모바일폰을 사용하여 EMV 인증 보안 결제 및 신용카드 지불이 이루어질 수 있도록 하는 방법을 찾는 것이 강하게 요구되고 있다.
상기 설명을 고려하여, 본 발명의 일 측면은 상기에서 확인된 종래 기술의 하나 이상의 결함 및 단점의 하나 또는 이의 임의의 조합을 완화, 경감 또는 제거하고자 하는 EMV 인증 보안 결제 및 신용카드 지불을 하기 위한 방법을 제공하는 것이다.
본 발명의 제1 측면은 판매자(merchant)의 장치 내에서 지불 어플리케이션을 실행함으로써 전자신용카드 지불 거래를 시작하는 단계, 상기 판매자(merchant)의 장치에 판매 정보를 입력하는 단계, 상기 판매자(merchant)의 장치의 카드 리더기에 신용카드를 입력하는 단계, 상기 판매자(merchant)의 장치에 구매자의 식별 정보를 입력하고, PIN 입력 요청(entry request)을 생성하는 단계, 상기 판매자(merchant)의 장치에서 지불 서버로 암호화된 구매 메시지를 전송하는 단계, 여기서 상기 암호화된 구매 메시지는 판매 정보, 구매자 식별 정보, PIN 입력 요청(entry request) 및 상기 카드 리더기 내 상기 신용카드로부터 판독되어진 암호화된 신용카드 정보 중 적어도 하나를 포함하며, 상기 지불 서버 내로 상기 암호화된 구매 메시지를 수신하고, 해독하는 단계, 상기 해독되어진 암호화된 구매 메시지 내 상기 구매자의 식별 정보를 사용하여 구매자의 연락처를 결정하는 단계, 상기 구매자의 연락처에 근거하여 구매자의 모바일 장치로 PIN 코드 요청(code request)을 전송하는 단계, 상기 구매자의 모바일 장치 내에서 상기 PIN 코드 요청(code request)을 수신하고, 상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계, 상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계, 암호화된 상기 PIN 코드를 포함하는 PIN 코드 블록(code block)을 상기 지불 서버로 전송하는 단계, 상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계, 상기 PIN 코드의 검증을 오프라인 또는 온라인으로 수행할지 여부를 결정하는 단계, 여기서 상기 오프라인 검증은,
i. 상기 지불 서버에서 상기 판매자(merchant)의 장치로 상기 PIN 코드 블록(code block)을 전송하는 단계,
ii. 상기 PIN 코드 블록(code block)을 해독하고, 상기 신용카드 내 PIN 정보에 대하여 상기 PIN 코드 블록(code block)을 검증하는 단계,
iii. 판매자(merchant)의 장치에서 상기 지불 서버로 판매 정보를 전송하는 단계,
iv. 상기 지불 서버에서 은행 서버로 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계,
v. 상기 은행 서버 내에서 상기 신용카드 정보 및 판매 정보를 검증하는 단계를 포함하며,
여기서 상기 온라인 검증은,
i. 상기 지불 서버에서 상기 은행 서버로 상기 PIN 코드 블록(code block), 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계,
ii. 상기 은행 서버 내에서 상기 PIN 코드, 상기 신용카드 정보 및 상기 판매 정보를 검증하는 단계를 포함하며,
상기 검증에 근거하여 상기 은행 서버 내에서 검증 메시지를 생성하는 단계, 상기 지불 서버로 상기 검증 메시지를 전송하는 단계, 수신된 검증 메시지에 근거하여 상기 지불 서버 내에서 수신 메시지를 생성하는 단계, 상기 지불 서버를 통해 상기 수신 메시지를 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치로 전송하는 단계 및 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치 내에서 상기 수신 메시지를 디스플레이하고, 상기 전자 결제 또는 신용카드 지불을 완료하는 단계를 포함하는, 카드 리더기와 모바일폰을 포함하는 판매자(merchant)의 장치, 구매자의 모바일 장치 및 지불 서버를 사용하여 지불 사업자(acquirer)에게 전자신용카드 지불을 수행하는 방법에 관한 것이다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계는 구매자의 보안 정보를 입력하는 단계 및 상기 구매자의 보안 정보를 해독하고 이를 상기 PIN 코드 블록(code block) 내에 포함시키는 단계를 더 포함할 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계는 상기 지불 서버에서 상기 구매자의 보안 정보를 해독하는 단계 및 상기 구매자 식별 정보에 대하여 상기 구매자의 보안 정보를 검증하는 단계를 더 포함할 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 구매자 식별 정보는 구매자의 모바일폰 번호, 이메일 주소, 우편 주소, 사회 보장 번호, 서명, 일회용 코드, 기등록된 식별 번호, 사진 및 생체 정보 중 어느 하나일 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계는 각 PIN 입력 행사에 대하여 고유하게 암호화되는 암호화된 웹 인터페이스 또는 PIN 입력 웹 컴포넌트를 해독하고 PIN 코드의 보안 입력을 보장하는 것이 가능한 전용 웹 브라우져를 실행하는 것을 수반할 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 판매자(merchant)의 장치와 상기 지불 서버 사이, 상기 지불 서버와 상기 구매자의 모바일 장치 사이 및 상기 지불 서버와 상기 은행 서버 사이에서의 상기 전송은 표준 보안 소켓 계층 통신(standard secure socket layer communication)을 사용하여 암호화될 수 있다.
상기 전자신용카드 지불을 수행하는 방법에 있어서 상기 수신 메시지는 상기 지불 서버 상에 저장되며, 웹 브라우져, 판매자(merchant)의 장치 또는 구매자의 모바일 장치를 사용하는 구매자 및/또는 판매자에 의해 접근 가능할 수 있다.
본 발명의 제2 측면은 카드 리더기 및 모바일폰을 포함하는 판매자(merchant)의 장치, 지불 서버, 구매자의 모바일폰 및 은행 서버를 포함하며, 상기 판매자(merchant)의 장치, 지불 서버, 구매자의 장치 및 은행 서버는 상기 제1 측면에 제시된 단계를 수행하기 위한 송수신 수단 및 처리 수단을 구비하는 전자신용카드 지불을 수행하기 위한 시스템에 관한 것이다.
본 발명의 추가적인 목적, 특징 및 이점은 하기의 본 발명의 몇몇의 실시예의 상세한 설명으로부터 나타날 것이며, 여기서 본 발명의 몇몇 실시예는 첨부된 도면을 참조하여 보다 더 상세히 설명될 것이다:
도 1은 본 발명의 일 실시예에 따른 PIN 인증된 EMV 지불을 수행하기 위한 모바일폰을 나타낸다;
도 2는 본 발명의 일 실시예에 따른 일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하기 위한 시스템은 블록 다이어그램을 나타낸다;
도 3a는 본 발명의 일 실시예에 따른 일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하기 위한 방법의 단계를 묘사하는 흐름도를 나타낸다;
도 3b는 본 발명의 일 실시예에 따른 도 3a의 흐름도에 계속된 흐름도를 나타낸다;
도 3c는 본 발명의 일 실시예에 따른 도 3a의 흐름도에 계속된 흐름도를 나타낸다.
도 1은 본 발명의 일 실시예에 따른 PIN 인증된 EMV 지불을 수행하기 위한 모바일폰을 나타낸다;
도 2는 본 발명의 일 실시예에 따른 일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하기 위한 시스템은 블록 다이어그램을 나타낸다;
도 3a는 본 발명의 일 실시예에 따른 일반적인 모바일폰을 사용하여 PIN 인증된 EMV 지불을 수행하기 위한 방법의 단계를 묘사하는 흐름도를 나타낸다;
도 3b는 본 발명의 일 실시예에 따른 도 3a의 흐름도에 계속된 흐름도를 나타낸다;
도 3c는 본 발명의 일 실시예에 따른 도 3a의 흐름도에 계속된 흐름도를 나타낸다.
본 발명의 실시예들은 본 발명의 실시예를 나타내는 첨부된 도면을 참조로 하여 본원에 보다 상세히 설명될 것이다. 다만, 본 발명은 다양한 서로 다른 형태로 실시될 수 있으며, 본원에 언급된 실시예로 한정되는 것으로 해석되어서는 안된다. 오히려, 이러한 실시예들은 본 개시가 상세하고 완전히 되고 통상의 기술자에게 본 발명의 범위를 완전히 전달하도록 제공된다. 전반에 걸쳐 동일한 참조 부호는 동일한 구성을 지칭한다.
본 발명의 실시예들은 모바일폰과 같은 모바일 통신 장치를 사용하여 예시될 수 있다. 다만, 본 발명은 유선 및/또는 무선 라디오 통신 기능을 가지는 전자 장치에도 동일하게 적용될 수 있는 것으로 이해되어야 한다. 상기 장치의 예는 예를 들어 모바일폰, (표준, 울트라 포터블, 넷북 및 마이크로 랩탑과 같은) 랩탑, 핸드헬드 컴퓨터, 포터블 디지털 보조장치, 태블릿 컴퓨터, 게임 장치, 모바일폰의 액세서리 등의 임의의 형태일 수 있다. 다만, 명확성 및 단순성을 위해, 본 명세서에 설명된 실시예들은 모바일폰을 예로 들고 있으며, 이에 관한 것이다.
본 발명은 일반적인 모바일폰을 사용하는 EMV 인증 결제 및 신용카드 지불에 관한 것이다. 본원에서 용어 신용카드는 결제 또는 신용카드로서 사용 및/또는 기능할 수 있는 신용카드, 결제 카드, 다른 형태의 전자카드 모두를 의미한다. 또한 용어 신용카드는 결제 또는 신용카드로서 작용하는 하나의 소프트웨어 또는 결제 또는 신용카드로서 작용하는 컴퓨터 기반 서비스를 포함할 수 있다. 도 1은 디스플레이(102) 내에 물리적 버튼 또는 가상 버튼이 디스플레이될 수 있는 형태일 수 있는 일반적인 모바일폰(100) 및 입력 수단(101)을 나타낸다. 상기 모바일폰은 보안 어플리케이션을 구동하기 위한 처리 수단(미도시) 및 다른 모바일 통신 장치 및/또는 인터넷과 유선 또는 무선으로 연결하기 위한 통신 수단(미도시)를 더 구비할 수 있다.
iZettle 회사에 의한 출원번호 PCT/EP2010/066186의 국제특허출원 내에 개시된 방식으로 신용카드 지불은 모바일폰에 부착 가능한 특화된 카드 리더기를 사용하여 보안되고 EMV 인증될 수 있다는 것은 이미 공개되어 있다. 다만, 지불 카드 리더기 장치에 결합되지 않은 모바일폰으로부터 PIN 인증된 EMV 지불을 수행하는 것은 PIN 입력 장치, 이 경우 모바일폰, 가 보안되지 않은 것으로 여겨져왔기 때문에 불가능하였다. 주요 보안 이슈는 모바일폰의 키보드를 사용하여 PIN 코드(또는 서명 또는 생체 정보와 같은 다른 민감한 식별 정보)를 입력하는 단계이다. 악성 소프트웨어 프로그램은 모바일폰 및 모바일폰의 키보드로 입력된 PIN 코드와 같이 비밀리에 입력된 민감한 식별 정보 기록에 영향을 줄 수 있으며, 그 후 범죄자인 제3자에게 전달될 수 있다는 것은 잘 알려진 사실이다.
일반적으로, 지불 카드 리더기와 모바일폰을 이용한 EMV 지불은 속도를 올리기 위해 PIN 코드 참조로서 (지불 카드 리더기에 삽입되는) EMV 카드 칩을 이용하여 오프라인으로 인증된다. PIN 참조로서 은행을 이용한 EMV 지불 온라인을 인증하는 것도 가능하며, 여기서 PIN 코드는 암호화된 데이터 블록으로서 은행 서버에 직접적으로 전달된다. 또한 지불은 사용자의 작성된 서명에 의해 수행 및 검증될 수 있다.
다만, 보안 요구 사항(PIN 코드에 접근하기 위해 장치를 변조하는 시도에 대한 보호) 은 모든 현대적 모바일폰이 PIN 코드 입력에 대한 보안 PIN 입력 장치로서 작동을 불능케 한다. 따라서, 아직까지 카드 리더기 장치 및 PIN 입력 장치 모두 보안 장치이지 않는 한 보안 PIN 인증된 EMV 지불을 하는 것이 불가능하였다. 다만, 하기에 개시된 본 발명은 출원번호 PCT/EP2010/066186의 국제특허출원 내에 개시된 잘 알려진 지불 방법과 결합하여 일반적인 모바일폰에서 보안 PIN 인증된 EMV 지불을 수행하는 것이 가능하도록 하는 방법 및 시스템을 제시한다.
도 2는 보안 PIN 인증된 EMV 결제 또는 신용카드 지불을 수행하기 위해 사용될 수 있는 모바일폰(모바일 장치(203))인 본 발명의 일 실시예에 따른 보안 지불 시스템(200)을 제시한다. 본 발명 및 이의 실시예를 보다 더 잘 이해하기 위해, 신규한 보안 지불 시스템(200) 내에서 신용카드 지불이 달성될 수 있는 방법의 예는 하기에 제시된다.
구매자가 상품을 구매하거나 서비스에 대한 지불을 하기로 결심한 때, 구매자는 상품 또는 서비스의 지불을 완료하기 위해 판매자와 연락한다. 따라서 이 경우 지불 사업자(acquirer)는 상품 또는 서비스로 지불받기를 원하는 판매자 또는 판매자의 비즈니스이다. 판매자로부터 구매자에게 넘겨지기 전이나 판매자가 장치(203) 내로 카드 리더기(202) (이에 따라 판매자(merchant)의 장치(202, 203)를 형성)를 입력할 때, 모바일폰(203) (판매자(merchant)의 장치(202, 203)) 내에서 지불 어플리케이션이 실행되고, 이에 따라 전자신용카드 지불 거래(300)가 시작된다(301).
판매자(merchant) 또는 구매자는 상기 판매자(merchant)의 장치에 예를 들어 상품 및 구매 금액(가격)에 대한 정보가 될 수 있는 판매 정보를 입력한다(301). 또한 상기 판매 정보는 대개 영수증, 상점 또는 판매자의 지리적 위치를 나타내는 GPS 정보, 지불 서버(205)에서의 판매자의 계좌, 은행(207)에서의 판매자의 계좌 또는 판매자 및/또는 판매 위치를 식별하기 위해 사용될 수 있는 임의의 다른 정보에 기초한 정보와 같은 상품 또는 서비스를 판매하는 비즈니스에 대한 정보를 포함할 수 있다. 또한 판매 정보는 모바일폰(203)에 통합된 바코드 리더, 적외선 리더 또는 근거리무선통신(NFC) 리더를 사용하여 상품(예를 들어 상품 태그) 또는 상품 및 이의 가격이 기재된 카타로그로부터 직접적으로 판독될 수 있다. 다른 변형에 있어서, 판매 정보의 일부 또는 전부는 판매자(merchant)의 장치(202, 203)에 결합된 하나 또는 여러 개의 서버로부터 다운로드되거나 자가생성될 수 있다.
구매자는 자신의 EMV 신용카드(201)를 지불 카드 리더기(판매자(merchant)의 장치(202, 203) 내로 삽입하고(303), 이에 따라 보안 신용카드 지불 거래가 시작된다(300). 판매자는 자신의 모바일폰(203)과 여기에 부착된 지불 카드 리더기(202) (본원에 판매자의 장치(202, 203)으로서 언급됨)를 구매자에게 건네준다. 만약 구매자가 이전에 자신의 폰 번호 또는 이메일 주소를 입력하지 않았다면, 구매자는 예를 들어 자신의 모바일폰 번호 또는 이메일 주소와 같은 연락처가 될 수 있는 구매자 식별 정보를 지불 어플리케이션 내로 입력하라는 요청을 받는다(304). 폰 번호 및/또는 이메일 주소는 지불 서버(205) 내에 저장되며, EMV 결제 또는 신용카드(201)와 연동된다. 다른 예에 있어서, 만약 폰 번호 또는 이메일 주소가 이전에 입력되었다면(즉, 이전에 상점에서 지불한 적이 있다면), 사용자는 다른 EMV 지불 카드를 사용하지 않는 한 동일한 정보를 또 다시 입력하지 않아도 될 수 있다. 지불 카드 리더기(202)는 암호화된 EMV 카드 정보(201)를 판독한다.
만약 EMV 지불 카드(201)가 오프라인 PIN 검증을 지원할 경우(315, 316), 지불을 완료하기 위한 방법은 오프라인 PIN 검증일 것이다. EMV 지불 카드(201)가 오프라인 PIN 검증을 지원하지 않을 경우, 지불을 완료하기 위한 방법은 은행(207)에 대한 온라인 PIN 검증일 것이다. 어떠한 이유에서건 오프라인 또는 온라인 PIN 검증 모두 불가능할 경우, 검증 방법은 서명 입력일 수 있다.
구매자는 판매자(merchang)의 장치(202) 내에서 구동되는 지불 어플리케이션에 의해 구매자의 모바일폰 번호, 이메일 주소, 우편 주소, 사회 보장 번호, 일회용 코드, 서명, 기등록된 식별 번호, (모바일폰(203)에 의해 촬영된) 사진 및 (모바일폰(203) 또는 모바일폰(203)에 결합된 어떤 어댑터에 의해 판독 또는 스캔된) 생체 정보 또는 불확실한 구매자를 식별하는 것이 가능한 임의의 다른 정보 중 어느 하나인 구매자 식별 정보를 입력하도록 요청받는다.
제1 실시예에 있어서, 구매자는 이를 가지고 지불하게 되는 EMV 카드(201)와 연동된 자신의 PIN 코드를 사용하여 지불을 검증할 것이며, 이에 따라 지불 어플리케이션 내에서 구매자는 구매자의 모바일 장치(208) 내로 PIN 입력 웹 페이지 링크를 수신할 것이다. 본 단계는 온라인 및 오프라인 PIN 검증이 적용되는 경우에 모두 동일하다. 구매자는 EMV 카드(201)와 연동된 자신의 PIN 코드를 사용하여 지불을 검증할 것이기 때문에 PIN 입력 요청(entry request)은 지불 어플리케이션에 의해 생성된다.
구매자가 구매자 식별 정보 입력 작업을 완료하면, 암호화된 구매 메시지는 인터넷(204)을 통해 무선(또는 유선)으로 판매자(merchant)의 장치(202, 203)로부터 지불 서버(205)로 전송된다(305). 암호화된 구매 메시지는 구매자의 EMV 카드(201)로부터 카드 리더기(202)에 의해 판독되는 하기의 암호화된 정보의 일부 또는 전부를 포함할 것이다:
● 구매자 식별 정보,
● PIN 입력 요청(entry request),
● 판매 정보 및
● 암호화된 신용카드 정보
다른 예에 있어서 단지 구매자 식별 정보 및 신용카드 정보만 암호화되며, PIN 입력 요청(entry request) 및 판매 정보는 일반 텍스트로서 지불 서버(205)로 전송된다. 인터넷(204)을 통한 전송은 표준 보안 소켓 계층 기술(standard Secure Socket Layer technique)을 사용하여 암호화되거나 그렇지 않을 수 있다.
지불 서버(205)는 판매자(merchant)의 장치(202, 203)로부터 들어오는 암호화된 구매 메시지을 수신하고, 구매 메시지의 내용을 해독하고, 암호화된 신용카드 정보 및 판매 정보를 일시적으로 저장한다(306).
본 발명의 실시예의 다른 예에 있어서, 지불 서버(205)는 지불 서버(205) 또는 은행 서버(207) 상의 판매자의 계좌와 관련된 정보가 적법하며, 어떠한 이유에서건 블랙 리스트에 해당하지 않는지를 검증할 수 있다. 검증은 은행 서버(207)와 직접적으로 행해지거나 은행 서버의 등록(207)에 대하여 정기적으로 업데이트될 수 있는 지불 서버(205) 내의 등록에 대하여 확인될 수 있다.
구매자 식별 정보 (및/또는 신용카드 정보)는 지불 서버(205) 내 등록된 구매자의 연락처를 결정하기 위해 사용된다(307). 구매자의 연락처는 예를 들어 구매자와 연락하기 위해 사용될 수 있는 이메일 주소, 모바일폰 번호, (페이스북 또는 Linkedln id와 같은) 사회 네트워크 식별 또는 임의의 다른 정보일 수 있다. 상기 예에 있어서, 수신된 기등록 구매자 식별 정보는 구매자의 모바일폰에 대한 모바일폰 번호이다. 다른 예에 있어서, 구매자의 연락처는 상기 구매자 식별 정보 내에서 제공되며, 상기 지불 서버 내에 저장되지 않는다.
그리고 나서 지불 서버(205)는 구매자의 연락처(예를 들어 모바일폰 번호)를 사용하여 구매자의 모바일 장치(208)로 PIN 코드 요청(code request) 을 전송할 수 있다(308). 구매자의 모바일 장치(208)에 대한 PIN 코드 요청(code request)의 전송은 인터넷(204)을 통해 행해질 수 있다. 인터넷 연결은 모바일폰 네트워크, Wi-Fi 또는 유선 인터넷 연결을 통할 수 있다. 인터넷(204)을 통한 전송은 표준 보안 소켓 계층 기술(standard Secure Socket Layer technique)을 사용하여 암호화되거나 그렇지 않을 수 있다.
다른 예에 있어서, 지불 서버(205)는 예를 들어 판매자(merchant)의 장치 및 구매자의 모바일폰(208)의 지리적 위치를 비교함으로써 PIN 입력 요청(entry request)이 적법한지를 검증할 수도 있다. 이러한 접근은 판매자(merchant)의 장치(202, 203)와 모바일 장치(208) 모두가 비교를 위해 이들의 위치를 지불 서버(205)로 전송하는 것을 요구한다. 예를 들어, 구매자는 모바일 장치(208)의 좌표를 지불 서버(205)로 전송함으로써 지불을 시작할 수 있으며, 판매자의 좌표는 지불 서버(205) 내에 기등록되었거나(상점이 보통 위치를 변경하지 않는다면) 또는 인터넷(204)을 통해 무선(또는 유선)으로 판매자(merchant)의 장치(202, 203)로부터 지불 서버(205)로 전송된 암호화된 구매 메시지 내에 포함될 수 있다.
다른 예에 있어서, PIN 코드 요청(code request)은 PIN 코드는 구매자가 보안 EMV 카드 지불 거래를 시작한 경우에 한하여 입력되어야만 한다는 구매자에 대한 (서면 검증 정보와 같은) 정보를 포함할 수 있다.
PIN 코드 요청(code request)이 구매자의 모바일 장치(208, 3409) 내로 수신되면, 보안 PIN 입력 어플리케이션이 실행된다. 구매자의 모바일 장치(208) 내에서 구동되는 보안 PIN 입력 어플리케이션은 각 PIN 입력 행사에 대하여 고유하게 암호화되는 암호화된 웹 인터페이스로서 구현될 수 있다. 웹 인터페이스는 모바일 장치(208)와 지불 서버(205) 사이에 보안 및 암호화된 통신 채널을 형성하며, 이외에 모바일폰의 웹 브라우져의 소프트웨어에 의한 템퍼링(tempering)의 위험을 최소화할 수 있는 보안 어플리케이션 내에서 구현될 수 있다. 이 경우, 보안 PIN 입력 어플리케이션은 PIN 입력 웹 컴포넌트를 해독하고, PIN 코드의 보안 입력을 보장하도록 만들어진 전용 웹 브라우져일 수 있다(310).
다른 예에 있어서, 구매자의 모바일 장치(208) 내의 (이하 보안 PIN 입력 어플리케이션으로도 언급되는) 보안 PIN 입력 웹 페이지는 지불 서버(205)와 보안 및 암호화된 연결을 구축하고, EMV 지불 카드(202)의 공개 키(공개 키)를 사용하여 PIN 코드를 비대칭적으로 암호화할 것이다.
선택적으로, 보안 PIN 입력 어플리케이션은 모바일 장치 운영체제 상에서 작동하는 구매자의 다른 비보안 모바일 장치(208) 내에서 실행된 컴파일 어플리케이션(compiled application)일 수 있다. 모바일폰 운영체제는 iOS, 안드로이드, 윈도우폰, 리눅스 또는 다른 모바일폰 OS 중 어느 하나일 수 있다. 구매자의 모바일 장치(208) 내의 보안 PIN 입력 어플리케이션은 지불 서버(205)와 보안 및 암호화된 연결을 구축한다.
구매자의 모바일 장치(208) 내에서 실행된 보안 PIN 입력 어플리케이션은 예를 들어 웹 기반 샌드박스(sandbox) 기술을 사용함으로써 모바일폰 내 보안 환경을 생성한다. 상기 방법에 있어서, 구매자는 자신의 PIN 코드를 이를 가로채는 제3자의 악성 프로그램의 위험없이 안전하게 입력할 수 있다(311). PIN 입력 어플리케이션 내 숫자 및/또는 문자의 실제 표현은 지불 서버에 의해 임시로 EMV 지불 카드(201)의 공개 키와 같은 보안 키를 사용하여 유일하게 생성될 수 있으며, 즉, 모바일 장치(208) 내 PIN 입력 어플리케이션과 지불 서버(205) 사이의 통신이 가로채진 후 해독되더라도, 숫자 및/또는 문자가 지불 서버(205) 내 보안 키와 결합된 경우에만 의미가 있도록 재사용되지 않을 것이다.
또한 구매자는 구매자의 모바일 장치(208)의 현재 지리적 위치, 거래 ID, 모바일 장치의 IMEI 번호, MSISDN 번호, 사회 보장 번호, 서명, 생체 정보 및/또는 사용자에게 유일할 수 있는 다른 보안 정보와 같은 특정 보안 정보와 관련되거나 제공할 수도 있다. 만약 판매자(merchant)의 장치(202, 203)의 지리적 위치가 지불 서버(205) 내에 저장되거나 알려진 경우(이것이 달성될 수 있는 방법에 대한 설명은 상기 참조), 판매자(merchant)의 장치 및 구매자의 모바일폰의 위치는 지불이 동일한 위치 또는 기승인된 위치에서 완료되는 것이 보장되도록 비교될 수 있다.
구매자의 모바일 장치(208) 내에서 실행된 보안 PIN 입력 어플리케이션에 구매자에 의해 입력된 PIN 코드는 PIN 코드 블록(code block)으로 암호화된다. 만약 PIN 코드보다 더 많은 정보가 지불 서버(205)로 전송된다면(312), 구매자의 보안 정보는 입력 순간 개별적으로 암호화되며, 동일한 패키지 내에서 지불 서버(205)로 전송되지 않는다. 암호화된 PIN 코드 블록(code block)은 인터넷(204)을 통해 구매자의 모바일 장치(208)로부터 지불 서버(312)로 전송된다. 모바일 장치(208) 내에서 사용되는 암호화는 신용카드 세부사항의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족시킬 수 있다. 암호화는 인터넷(204)을 통한 전송에 대한 보안 소켓 계층 기술(Secure Socket Layer technique)을 사용함으로써 더욱 향상될 수 있다.
지불 서버(205)는 암호화된 PIN 코드 블록(code block) 및 가능한 경우, 모바일 장치(208)로부터 구매자의 보안 정보를 수신한다(313). 지불 서버(205)는 존재할 경우 구매자의 보안 정보를 해독하고 저장한다. 다른 예에 있어서 지불 서버(205)는 구매자의 보안 정보를 기저장된 구매자의 보안 정보 또는 구매자의 식별 정보에 대하여 구매자가 적법한지 아닌지 여부를 결정한다.
PIN 코드의 검증은 은행과 온라인 또는 판매자의 신용카드 리더기 내 신용카드에 저장된 정보에 대한 오프라인으로 행해질 수 있다(314). 온라인 또는 오프라인 검증으로 수행할지 여부는 여러 가지 방법으로 결정될 수 있다(314). 지불을 시작할 때 판매자(merchant)의 장치(202, 203) 내에서 결정(예를 들어 메뉴로부터 선택되거나 지불 서버로부터 연결 정보에 근거하여 선택)되거나 (은행 서버(207)에 대한 현재 연결에 따르거나 지불 서버(205) 내 설정에 따라) 지불 서버(205) 내에서 자동적으로 결정될 수 있는 것이 하나의 방법이다.
PIN 검증이 오프라인 검증을 수행하기로 결정된 경우(315), 지불 서버(205)는 검증을 위해 EMV 지불 카드(201) 상의 보안 칩을 사용하여 판매자 카드 리더기(202)로 암호화된 PIN 코드 블록(code block)을 전송할 것이다. PIN 코드 블록(code block)은 상기 카드 리더기 내에서 해독되며, 상기 삽입된 신용카드 내 PIN 정보에 대하여 검증된다. 전송에 사용되는 암호화 방법은 신용카드 세부 사항의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족시킨다.
PIN 코드가 신용카드 내에서 검증된 경우, 구매 금액은 여전히 은행 서버(207)에서 은행 계좌에 대하여 검증될 필요가 있다. 구매량의 검증은 판매자(merchant)의 장치(202, 203)에서 지불 서버(205)로 판매 정보와 함께 구매 금액을 전송함으로써 수행되며, 여기서 금액의 승인은 암호화된 포맷으로 신용카드 정보와 판매 정보를 보안 소켓 계층 통신(secure socket layer communication)과 결제 또는 신용카드 정보의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족하는 암호화 방법을 통해 은행 서버(207)로 전송함으로써 수행된다. 은행 서버(207)는 구매 금액이 청구될지 여부를 검증하며, 다시 지불 서버(205)로 보안 소켓 계층 통신(secure socket layer communication)을 통해 구매 검증 메시지(317)를 전송한다(318).
PIN 검증이 온라인 검증을 수행하기로 결정된 경우(316), 지불 서버(205)는 온라인 검증을 위해 은행 서버(207)로 기수신되고 저장된 암호화된 PIN 코드 블록(code block), 판매 정보 및 신용카드 정보를 전송할 것이다. 전송은 보안 소켓 계층(secure socket layer)을 통해 신용카드 세부 사항의 온라인 전송의 보안의 국제 표준의 요구 사항을 충족시키는 방법으로 암호화된다. 은행 서버(207)는 암호화된 신용카드 정보, (구매 금액과 함께) 판매 정보 및 암호화된 PIN 코드 블록(code block)을 수신하고, 이를 해독하고 PIN 코드를 검증한다. 은행 서버(207)는 PIN 코드가 승인되었다는 검증 확인과 함께 검증 메시지(317)를 지불 서버(205)로 전송(318)함으로써 온라인 검증을 완료한다. 은행 서버(207)와의 통신은 은행과 상호 작용하는 EMV 표준 수단에 따라 일어난다. 판매 정보는 구매자의 은행 계좌와 구매 금액을 검증하기 위한 통신의 일 부분과 통신의 다른 부분으로서 암호화된 PIN 블록 및 신용카드 정보를 은행으로 전송된다. 은행은 통신의 일 부분으로서 판매 정보(금액)이 청구되며, 다른 부분으로서 PIN 블록 및 신용카드 정보가 정확함을 승인한다.
지불 서버(205)가 PIN 코드 및 금액에 대하여 검증을 수신하면, 지불 서버(205)는 거래의 증명으로서 수신 메시지를 생성할 것이다(319). 그리고 나서 구매자 및 판매자는 수신 메시지를 받을 것이며, 상기 지불 서버를 통해 상기 구매자의 모바일 장치 및 상기 판매자의 장치로 전송(320)된 상기 수신 메시지는 전용 어플리케이션, SMS, MMS, 이메일, 인스턴트 메시지 또는 모바일폰(203, 208)으로부터 접근 가능한 임의의 다른 통신 방법 중 하나 또는 여러 가지에 의해 거래가 승인됨을 안내한다. 판매자(merchant)의 장치(202, 203) 및 구매자의 모바일 장치(208)에 의해 수신될 때, 지불 서버(205)로부터 전송된 수신 메시지는 장치의 디스플레이에 지불이 접수되었으며, 정확함을 표시하도록 디스플레이된다(321).
만약 상기 설명에서 언급된 검증 단계 중 어느 하나가 잘못되어 거부되거나 실패한 경우, 에러 메시지가 생성되어 판매자(merchant)의 장치 또는 구매자의 모바일 장치(208) 또는 모두에게 전송되며, 지불 과정은 종료 또는 중단된다.
수신 메시지는 지불 서버(205) 상에 저장될 수도 있으며, 예를 들어 지불 서버(205)에 연결하는 웹 브라우져를 사용하여 이후에 구매자 및/또는 판매자에 의해 접근될 수 있다. 수신 메시지는 판매자(merchant)의 장치 또는 구매자의 모바일 장치(208)를 사용하여 지불 서버(205)로부터 이를 요청하거나(이에 따라 지불 서버는 이를 발송) 지불 서버(205) 상에 직접적으로 전급함으로써 접근될 수 있다.
본원에 사용된 용어는 단지 특정 실시예를 설명하기 위한 목적이며, 본 발명을 제한하기 위해 의도되지 않는다. 본원에 사용된 바에 따른, 단수 형태 "하나", "한" 및 "그"는 문맥이 명백히 다르게 표시하지 않는 한 복수의 형태도 포함하는 것으로 의도된다. 또한 용어 "포함하다", "포함하는", "구비하다" 및/또는 "구비하는"이 본원에서 사용될 때, 이는 명시된 특징, 정수, 단계, 작동, 성분 및/또는 구성 요소의 존재를 명시하는 것이며, 하나 이상의 다른 특징, 정수, 단계, 작동, 성분, 구성 요소 및/또는 이의 군의 존재 또는 추가를 배제하지 않는 것으로 이해될 것이다.
다르게 정의되지 않는 한, 본원에서 사용되는 모든 용어 (기술적 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에 통상의 지식을 가진 자에 의해 공통적으로 이해되는 동일한 의미를 가진다. 또한 본원에 사용되는 용어는 본 명세서의 문맥 및 관련된 분야 내 이들의 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본원에서 명백하게 정의되지 않는 한 이상화되거나 과도하게 형식적인 의미로 해석되지 않을 것이다.
앞서 본 발명의 원리, 바람직한 실시예 및 작동 모드가 개시되었다. 다만, 본 발명은 제한적인 것이 아니라 예시적인 것으로 간주되어야 하며, 상기에 언급한 특정 실시예로 제한되어서는 안된다. 본 발명의 다양한 실시예의 서로 다른 특징들은 명시적으로 설명된 것과 다른 조합으로 조합될 수 있다. 따라서 하기의 청구항에 의해 정의된 바에 따라 본 발명의 범위로부터 벗어나지 않는 한도 내에서 통상의 기술자에 의해 상기 실시예들 내에서 변형이 이루어질 수 있는 것으로 이해되어야 한다.
Claims (8)
- - 판매자(merchant)의 장치 내에서 지불 어플리케이션을 실행함으로써 전자신용카드 지불 거래를 시작하는 단계;
- 상기 판매자(merchant)의 장치에 판매 정보를 입력하는 단계;
- 상기 판매자(merchant)의 장치의 카드 리더기에 신용카드를 입력하는 단계;
- 상기 판매자(merchant)의 장치에 구매자의 식별 정보를 입력하고, PIN 입력 요청(entry request)을 생성하는 단계;
- 상기 판매자(merchant)의 장치에서 지불 서버로 암호화된 구매 메시지를 전송하는 단계, 여기서 상기 암호화된 구매 메시지는 판매 정보, 구매자 식별 정보, PIN 입력 요청(entry request) 및 상기 카드 리더기 내 상기 신용카드로부터 판독되어진 암호화된 신용카드 정보 중 적어도 하나를 포함하며;
- 상기 지불 서버 내로 상기 암호화된 구매 메시지를 수신하고, 해독하는 단계;
- 상기 해독되어진 암호화된 구매 메시지 내 상기 구매자의 식별 정보를 사용하여 구매자의 연락처를 결정하는 단계;
- 상기 구매자의 연락처에 근거하여 구매자의 모바일 장치로 PIN 코드 요청(code request)을 전송하는 단계;
- 상기 구매자의 모바일 장치 내에서 상기 PIN 코드 요청(code request)을 수신하고, 상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계;
- 상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계;
- 암호화된 상기 PIN 코드를 포함하는 PIN 코드 블록(code block)을 상기 지불 서버로 전송하는 단계;
- 상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계;
- 상기 PIN 코드의 검증을 오프라인 또는 온라인으로 수행할지 여부를 결정하는 단계,
여기서 상기 오프라인 검증은:
i. 상기 지불 서버에서 상기 판매자(merchant)의 장치로 상기 PIN 코드 블록(code block)을 전송하는 단계;
ii. 상기 PIN 코드 블록(code block)을 해독하고, 상기 신용카드 내 PIN 정보에 대하여 상기 PIN 코드 블록(code block)을 검증하는 단계;
iii. 판매자(merchant)의 장치에서 상기 지불 서버로 판매 정보를 전송하는 단계;
iv. 상기 지불 서버에서 은행 서버로 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계;
v. 상기 은행 서버 내에서 상기 신용카드 정보 및 판매 정보를 검증하는 단계;
를 포함하며,
여기서 상기 온라인 검증은:
i. 상기 지불 서버에서 상기 은행 서버로 상기 PIN 코드 블록(code block), 상기 신용카드 정보 및 상기 판매 정보를 전송하는 단계;
ii. 상기 은행 서버 내에서 상기 PIN 코드, 상기 신용카드 정보 및 상기 판매 정보를 검증하는 단계;
를 포함하며;
- 상기 검증에 근거하여 상기 은행 서버 내에서 검증 메시지를 생성하는 단계;
- 상기 지불 서버로 상기 검증 메시지를 전송하는 단계;
- 수신된 검증 메시지에 근거하여 상기 지불 서버 내에서 수신 메시지를 생성하는 단계;
- 상기 지불 서버를 통해 상기 수신 메시지를 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치로 전송하는 단계; 및
- 상기 구매자의 모바일 장치 및 상기 판매자(merchant)의 장치 내에서 상기 수신 메시지를 디스플레이하고, 상기 전자 결제 또는 신용카드 지불을 완료하는 단계;
를 포함하는,
카드 리더기와 모바일폰을 포함하는 판매자(merchant)의 장치, 구매자의 모바일 장치 및 지불 서버를 사용하여 지불 사업자(acquirer)에게 전자신용카드 지불을 수행하는 방법.
- 제1항에 있어서,
상기 보안 PIN 입력 어플리케이션에 PIN 코드를 입력하는 단계는:
- 구매자의 보안 정보를 입력하는 단계; 및
- 상기 구매자의 보안 정보를 해독하고 이를 상기 PIN 코드 블록(code block) 내에 포함시키는 단계;
를 더 포함하는,
전자신용카드 지불을 수행하는 방법.
- 제2항에 있어서,
상기 지불 서버 내에서 상기 PIN 코드 블록(code block)을 수신하는 단계는:
- 상기 지불 서버에서 상기 구매자의 보안 정보를 해독하는 단계; 및
- 상기 구매자 식별 정보에 대하여 상기 구매자의 보안 정보를 검증하는 단계;
를 더 포함하는,
전자신용카드 지불을 수행하는 방법.
- 전 항 중 어느 한 항에 있어서,
상기 구매자 식별 정보는 구매자의 모바일폰 번호, 이메일 주소, 우편 주소, 사회 보장 번호, 서명, 일회용 코드, 기등록된 식별 번호, 사진 및 생체 정보 중 어느 하나인,
전자신용카드 지불을 수행하는 방법.
- 전 항 중 어느 한 항에 있어서,
상기 구매자의 모바일 장치 내에서 보안 PIN 입력 어플리케이션을 실행하는 단계는 각 PIN 입력 행사에 대하여 고유하게 암호화되는 암호화된 웹 인터페이스 또는 PIN 입력 웹 컴포넌트를 해독하고 PIN 코드의 보안 입력을 보장하는 것이 가능한 전용 웹 브라우져를 실행하는 것을 수반하는,
전자신용카드 지불을 수행하는 방법.
- 전 항 중 어느 한 항에 있어서,
상기 판매자(merchant)의 장치와 상기 지불 서버 사이, 상기 지불 서버와 상기 구매자의 모바일 장치 사이 및 상기 지불 서버와 상기 은행 서버 사이에서의 상기 전송은 표준 보안 소켓 계층 통신(standard secure socket layer communication)을 사용하여 암호화되는,
전자신용카드 지불을 수행하는 방법.
- 전 항 중 어느 한 항에 있어서,
상기 수신 메시지는 상기 지불 서버 상에 저장되며, 웹 브라우져, 판매자(merchant)의 장치 또는 구매자의 모바일 장치를 사용하는 구매자 및/또는 판매자에 의해 접근 가능한,
전자신용카드 지불을 수행하는 방법.
- 카드 리더기 및 모바일폰을 포함하는 판매자(merchant)의 장치, 지불 서버, 구매자의 모바일폰 및 은행 서버를 포함하며,
상기 판매자(merchant)의 장치, 지불 서버, 구매자의 장치 및 은행 서버는 제1항 내지 제7항에 제시된 단계를 수행하기 위한 송수신 수단 및 처리 수단을 구비하는,
전자신용카드 지불을 수행하기 위한 시스템.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261595867P | 2012-02-07 | 2012-02-07 | |
US61/595,867 | 2012-02-07 | ||
PCT/EP2012/001114 WO2013087126A1 (en) | 2012-02-07 | 2012-03-13 | Hub and spokes pin verification |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140119792A true KR20140119792A (ko) | 2014-10-10 |
KR101617569B1 KR101617569B1 (ko) | 2016-05-18 |
Family
ID=48611864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020147024151A KR101617569B1 (ko) | 2012-02-07 | 2012-03-13 | 허브 앤드 스포크 핀 검증 |
Country Status (13)
Country | Link |
---|---|
US (1) | US8868462B2 (ko) |
EP (1) | EP2622585B1 (ko) |
JP (1) | JP5940176B2 (ko) |
KR (1) | KR101617569B1 (ko) |
CN (1) | CN104145297B (ko) |
AU (1) | AU2012370407B2 (ko) |
BR (1) | BR112013005236A2 (ko) |
DK (1) | DK2622585T5 (ko) |
ES (1) | ES2552048T3 (ko) |
HK (1) | HK1188640A1 (ko) |
IN (1) | IN2014DN06790A (ko) |
MX (1) | MX2013002598A (ko) |
WO (1) | WO2013087126A1 (ko) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10185957B2 (en) | 2012-06-12 | 2019-01-22 | Square, Inc. | Software pin entry |
US10373149B1 (en) * | 2012-11-12 | 2019-08-06 | Square, Inc. | Secure data entry using a card reader with minimal display and input capabilities having a display |
GB2512615A (en) * | 2013-04-03 | 2014-10-08 | Cloudzync Ltd | Secure communications channel |
US20140358794A1 (en) * | 2013-06-04 | 2014-12-04 | Ncr Corporation | Techniques for credit card processing |
US9773240B1 (en) | 2013-09-13 | 2017-09-26 | Square, Inc. | Fake sensor input for passcode entry security |
US9613356B2 (en) | 2013-09-30 | 2017-04-04 | Square, Inc. | Secure passcode entry user interface |
US9928501B1 (en) | 2013-10-09 | 2018-03-27 | Square, Inc. | Secure passcode entry docking station |
US20150134539A1 (en) * | 2013-11-12 | 2015-05-14 | Shashi Kapur | System and method of processing point-of-sale payment transactions via mobile devices |
EP2874421A1 (en) * | 2013-11-13 | 2015-05-20 | Gemalto SA | System and method for securing communications between a card reader device and a remote server |
US9613353B1 (en) | 2013-12-26 | 2017-04-04 | Square, Inc. | Passcode entry through motion sensing |
CN104751202A (zh) * | 2013-12-30 | 2015-07-01 | 鸿富锦精密工业(深圳)有限公司 | 信息投递处理系统 |
EP3101609A4 (en) * | 2014-01-27 | 2017-03-01 | Tong Shao | Dual-channel identity authentication selection device, system and method |
SG2014011308A (en) * | 2014-02-11 | 2015-09-29 | Smart Communications Inc | Authentication system and method |
CN103810591A (zh) * | 2014-02-28 | 2014-05-21 | 国家电网公司 | 一种手机购电方法及其便携式读写卡器 |
US10032168B2 (en) * | 2014-03-07 | 2018-07-24 | Fmr Llc | Secure validation of financial transactions |
SG10201401206TA (en) * | 2014-04-02 | 2015-11-27 | Smart Communications Inc | System and method for facilitating electronic transaction |
FR3020164B1 (fr) * | 2014-04-18 | 2020-10-16 | Compagnie Ind Et Financiere Dingenierie Ingenico | Module d'emulation d'au moins une carte de paiement, procede, dispositif de paiement, produit programme d'ordinateur et medium de stockage correspondants |
FR3023640B1 (fr) * | 2014-07-10 | 2016-08-12 | Roam Data Inc | Procede de gestion d'une transaction, serveur, produit programme d'ordinateur et medium de stockage correspondants. |
US9009468B1 (en) * | 2014-08-26 | 2015-04-14 | MagicCube, Inc. | System for transaction authentication |
US9355424B2 (en) | 2014-09-23 | 2016-05-31 | Sony Corporation | Analyzing hack attempts of E-cards |
US9367845B2 (en) | 2014-09-23 | 2016-06-14 | Sony Corporation | Messaging customer mobile device when electronic bank card used |
US10262316B2 (en) | 2014-09-23 | 2019-04-16 | Sony Corporation | Automatic notification of transaction by bank card to customer device |
US9202212B1 (en) * | 2014-09-23 | 2015-12-01 | Sony Corporation | Using mobile device to monitor for electronic bank card communication |
US9646307B2 (en) | 2014-09-23 | 2017-05-09 | Sony Corporation | Receiving fingerprints through touch screen of CE device |
US9378502B2 (en) | 2014-09-23 | 2016-06-28 | Sony Corporation | Using biometrics to recover password in customer mobile device |
US9317847B2 (en) | 2014-09-23 | 2016-04-19 | Sony Corporation | E-card transaction authorization based on geographic location |
US9953323B2 (en) | 2014-09-23 | 2018-04-24 | Sony Corporation | Limiting e-card transactions based on lack of proximity to associated CE device |
US9292875B1 (en) | 2014-09-23 | 2016-03-22 | Sony Corporation | Using CE device record of E-card transactions to reconcile bank record |
US9558488B2 (en) | 2014-09-23 | 2017-01-31 | Sony Corporation | Customer's CE device interrogating customer's e-card for transaction information |
KR101550825B1 (ko) * | 2015-05-15 | 2015-09-10 | 김현민 | 무선단말을 이용한 카드 결제방법 |
US10366392B2 (en) | 2017-01-12 | 2019-07-30 | Bank Of America Corporation | Marker code generation for resource distribution authority flagging |
WO2018234850A1 (en) * | 2017-06-21 | 2018-12-27 | Hakim Massimo | METHOD AND SYSTEM FOR REALIZING PAYMENTS OR ECONOMIC TRANSACTIONS |
US20230062507A1 (en) * | 2020-03-05 | 2023-03-02 | Visa International Service Association | User authentication at access control server using mobile device |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5812668A (en) * | 1996-06-17 | 1998-09-22 | Verifone, Inc. | System, method and article of manufacture for verifying the operation of a remote transaction clearance system utilizing a multichannel, extensible, flexible architecture |
US6098053A (en) * | 1998-01-28 | 2000-08-01 | Citibank, N.A. | System and method for performing an electronic financial transaction |
JP2001306987A (ja) * | 2000-04-25 | 2001-11-02 | Nec Corp | 携帯電話機によるカード利用承認方法、カード決済システム及び装置 |
US20020038287A1 (en) * | 2000-08-30 | 2002-03-28 | Jean-Marc Villaret | EMV card-based identification, authentication, and access control for remote access |
US20020147913A1 (en) | 2001-04-09 | 2002-10-10 | Lun Yip William Wai | Tamper-proof mobile commerce system |
US7143069B2 (en) * | 2001-05-25 | 2006-11-28 | American Express Travel Related Services Co. | System and method for interactive secure dialog between card holder and issuer |
KR100420600B1 (ko) | 2001-11-02 | 2004-03-02 | 에스케이 텔레콤주식회사 | 아이알에프엠을 이용한 이엠브이 지불 처리방법 |
JP2003168063A (ja) * | 2001-11-30 | 2003-06-13 | Hitachi Ltd | カード決済方法における決済承認方法及びシステム |
JP2003186837A (ja) * | 2001-12-19 | 2003-07-04 | Ntt Advanced Technology Corp | ワンタイムパスワード認証装置及び方法、ならびにその認証プログラム |
US9286635B2 (en) * | 2002-02-05 | 2016-03-15 | Square, Inc. | Method of transmitting information from efficient communication protocol card readers to mobile devices |
JP2003337917A (ja) * | 2002-05-22 | 2003-11-28 | Interpress:Kk | 携帯端末による本人確認システム |
GB2396472A (en) * | 2002-12-18 | 2004-06-23 | Ncr Int Inc | System for cash withdrawal |
DE102005005378A1 (de) * | 2004-09-14 | 2006-03-30 | Wincor Nixdorf International Gmbh | Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen |
EP1752937A1 (en) * | 2005-07-29 | 2007-02-14 | Research In Motion Limited | System and method for encrypted smart card PIN entry |
EP2016542A1 (en) * | 2006-05-10 | 2009-01-21 | Worldwide Gpms Ltd. | Process and system for confirming transactions by means of mobile units |
KR100837828B1 (ko) * | 2006-12-08 | 2008-06-13 | 와이즈와이어즈(주) | 이동통신 단말기를 이용한 결제 방법 및 시스템 |
SE532268C2 (sv) * | 2007-12-04 | 2009-11-24 | Accumulate Ab | Förfarande för säkra transaktioner |
SK288757B6 (sk) * | 2008-09-19 | 2020-05-04 | Smk Kk | Systém a spôsob bezkontaktnej autorizácie pri platbe |
LU91488B1 (en) | 2008-10-17 | 2010-04-19 | Robert Carter | Multifactor Authentication |
US9367834B2 (en) * | 2010-01-22 | 2016-06-14 | Iii Holdings 1, Llc | Systems, methods, and computer products for processing payments using a proxy card |
EP2763109A1 (en) * | 2010-07-09 | 2014-08-06 | iZettle Merchant Services AB | System for secure payment over a wireless communication network |
US8583496B2 (en) * | 2010-12-29 | 2013-11-12 | Boku, Inc. | Systems and methods to process payments via account identifiers and phone numbers |
-
2012
- 2012-03-13 ES ES12716222.0T patent/ES2552048T3/es active Active
- 2012-03-13 KR KR1020147024151A patent/KR101617569B1/ko not_active IP Right Cessation
- 2012-03-13 US US13/882,597 patent/US8868462B2/en active Active
- 2012-03-13 WO PCT/EP2012/001114 patent/WO2013087126A1/en active Application Filing
- 2012-03-13 BR BR112013005236A patent/BR112013005236A2/pt not_active Application Discontinuation
- 2012-03-13 EP EP12716222.0A patent/EP2622585B1/en active Active
- 2012-03-13 MX MX2013002598A patent/MX2013002598A/es active IP Right Grant
- 2012-03-13 DK DK12716222.0T patent/DK2622585T5/en active
- 2012-03-13 AU AU2012370407A patent/AU2012370407B2/en active Active
- 2012-03-13 CN CN201280069164.9A patent/CN104145297B/zh active Active
- 2012-03-13 JP JP2014555944A patent/JP5940176B2/ja active Active
-
2014
- 2014-02-07 HK HK14101165.1A patent/HK1188640A1/xx not_active IP Right Cessation
- 2014-08-12 IN IN6790DEN2014 patent/IN2014DN06790A/en unknown
Also Published As
Publication number | Publication date |
---|---|
CN104145297B (zh) | 2016-08-17 |
US20140025579A1 (en) | 2014-01-23 |
KR101617569B1 (ko) | 2016-05-18 |
AU2012370407B2 (en) | 2014-06-12 |
ES2552048T3 (es) | 2015-11-25 |
JP2015513337A (ja) | 2015-05-07 |
MX2013002598A (es) | 2013-11-05 |
WO2013087126A1 (en) | 2013-06-20 |
CN104145297A (zh) | 2014-11-12 |
US8868462B2 (en) | 2014-10-21 |
DK2622585T3 (en) | 2015-11-09 |
JP5940176B2 (ja) | 2016-06-29 |
BR112013005236A2 (pt) | 2016-05-03 |
HK1188640A1 (en) | 2014-05-09 |
AU2012370407A1 (en) | 2013-09-12 |
DK2622585T5 (en) | 2017-01-23 |
EP2622585B1 (en) | 2015-08-05 |
EP2622585A1 (en) | 2013-08-07 |
IN2014DN06790A (ko) | 2015-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101617569B1 (ko) | 허브 앤드 스포크 핀 검증 | |
JP7407254B2 (ja) | 位置照合を使用する認証システムおよび方法 | |
US11127009B2 (en) | Methods and systems for using a mobile device to effect a secure electronic transaction | |
JP6128565B2 (ja) | 取引処理システム及び方法 | |
CN106716916B (zh) | 认证系统和方法 | |
EP2733655A1 (en) | Electronic payment method and device for securely exchanging payment information | |
US20150302409A1 (en) | System and method for location-based financial transaction authentication | |
CN115187242A (zh) | 唯一令牌认证验证值 | |
US20130275308A1 (en) | System for verifying electronic transactions | |
KR20150026233A (ko) | 디지털 카드 기반의 결제 시스템 및 방법 | |
US20170024742A1 (en) | Methods and systems for using a consumer identity to perform electronic transactions | |
WO2016118087A1 (en) | System and method for secure online payment using integrated circuit card | |
KR102574524B1 (ko) | 원격 거래 시스템, 방법 및 포스단말기 | |
KR101628835B1 (ko) | 보안이 강화된 안심쇼핑 인증방법 및 시스템 | |
KR20170117352A (ko) | 보안이 강화된 안심쇼핑 인증방법 및 시스템 | |
KR20170138068A (ko) | 보안이 강화된 안심쇼핑 인증방법 및 시스템 | |
KR20170001941A (ko) | 보안이 강화된 안심쇼핑 인증방법 및 시스템 | |
KR20170001940A (ko) | 보안이 강화된 안심쇼핑 인증방법 및 시스템 | |
CN113014400A (zh) | 用户和移动装置的安全认证 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |