KR20170140346A - 거래 컨텍스트를 유지하는 방법 - Google Patents

거래 컨텍스트를 유지하는 방법 Download PDF

Info

Publication number
KR20170140346A
KR20170140346A KR1020177034122A KR20177034122A KR20170140346A KR 20170140346 A KR20170140346 A KR 20170140346A KR 1020177034122 A KR1020177034122 A KR 1020177034122A KR 20177034122 A KR20177034122 A KR 20177034122A KR 20170140346 A KR20170140346 A KR 20170140346A
Authority
KR
South Korea
Prior art keywords
transaction
data
authentication
encrypted
merchant
Prior art date
Application number
KR1020177034122A
Other languages
English (en)
Inventor
브라이언 설리번
데이비드 윌슨
데이비드 하비지
Original Assignee
비자 유럽 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 비자 유럽 리미티드 filed Critical 비자 유럽 리미티드
Publication of KR20170140346A publication Critical patent/KR20170140346A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/389Keeping log of transactions for guaranteeing non-repudiation of a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4018Transaction verification using the card verification value [CVV] associated with the card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)
  • Cash Registers Or Receiving Machines (AREA)

Abstract

거래 인증 방법이 제공된다. 이러한 방법에서, 적어도 하나의 제 1 거래가 수행되고, 상기 또는 각각의 제 1 거래는 인증 데이터를 포함하는 제 1 데이터 및 상기 또는 각각의 제 1 거래를 식별하는 제 2 데이터를 생성하고, 주어진 제 1 거래는 상인과 카드 소유주 사이에 있다. 본 방법에서, 주어진 제 1 거래에 대응하며 제 1 거래의 특성을 포함하는 암호화 서명된 및/또는 암호화된 토큰은 적어도 상기 제 2 데이터를 사용하여 생성되었다. 주어진 제 1 거래에 대응하는 암호화 서명된 및/또는 암호화된 토큰이 상인에게 전송되었다. 상기 방법은 상기 상인으로부터 제 2 거래에 대응하는 데이터를 수신하는 단계 및 상기 제 2 거래에 대응하는 데이터가 암호화 서명된 및/또는 암호화된 토큰을 포함할 경우, 상기 암호화 서명된 및/또는 암호화된 토큰을 응답으로서 인증하여, 상기 제 2 거래와 주어진 제 1 거래 사이의 인증된 연관성을 결정하는 단계를 포함한다.

Description

거래 컨텍스트를 유지하는 방법
본 공개는 지불 카드를 사용하여 수행되는 거래에 걸친 컨텍스트를 유지하기 위한 방법, 시스템 및 컴퓨터 프로그램에 관한 것이다.
카드 소유자와 상인 간의 거래에는 일반적으로 카드 소유자 및/또는 카드의 일정 수준의 인증을 포함한다. 예를 들어 EMV(유로페이(Europay), 마스터카드(MasterCard), 비자(Visa)) 표준은 POS(판매 시점; point of sale) 카드 판독기가 신용 카드 또는 현금 카드와 같은 지불 카드의 집적 회로(칩)를 판독하고, 카드 소유자가 PIN을 입력하고 소유자에 의해 입력된 PIN이 예컨대 칩 상에 저장된 데이터에 관하여 확인되는 "칩 앤 PIN(chip and PIN)" 인증을 제공한다. 다른 예시로서, 거리는 비카드 거래, 예컨대 지불 카드가 상인에게 물리적으로 제시되지 않는 우편 주문 거래일 수 있다. 카드 소유자는 CSC(카드 보안 코드)를 포함하는 인증 데이터를 제공할 수 있다. 이러한 인증 방법 및 다수의 다른 방법이 선행 기술에 알려져 있다. 종래의 인증 방법은 카드 소유자의 인증에 더하여 예컨대 카드 상에 저장된 비밀 데이터를 사용하여 생성된 인증 데이터를 처리함으로써 그 자체가 카드의 인증을 포함할 수 있다. 통상적으로 인증을 표시하는 데이터를 포함하는 거래 데이터는 카드 스킴을 통해 인증을 위한 개설 은행에 전달된다. 예컨대, 카드 소유자에 의해 입력된 PIN이 카드 상에 저장된 데이터에 있어서 성공적으로 확인될 때, 거래 데이터는 인증 데이터의 성공적인 검증을 포함한 플래그를 포함할 수 있다. 다른 시스템에서, 사용자에 의해 입력된 PIN은 예컨대 카드 스킴 또는 개설 은행에 의해 인증을 위해 전송될 수 있다. 인증의 결과는 거래를 거절하거나 승인할지 결정할 때 개설 은행에 의해 고려된다. 인증 데이터는 또한 카드 스팀에 의해 확인될 수 있다. 보안의 이유로, 상인이 인증 데이터를 저장하는 것은 허용되지 않는 것이 일반적이다.
상인은 이전 거래와 관련된 하나 이상의 거래를 제출할 수 있다. 예컨대, 상인 예컨대 카드 스킴 또는 개설 은행 사이의 연결이 이전 거래의 시점에 이용 불가할 경우, 이러한 거래의 제출은 카드 홀더가 거래가 관련된 재화 및/또는 서비스를 제공받을 때 까지 연기될 수 있다. 이전 거래가 예컨대 카드 소유자의 잔고 부족으로 인해 거절될 경우, 상인은 나중에 잔고가 보충되길 바라며 이 거래를 추후에 재제출하기를 원할 수 있다. 다른 예시에서, 카드 소유주는 예컨대 월별 지불과 같이 일련의 순환 거래를 처리하고자 할 수 있다. 이러한 두 가지 예시에서, 상인이 거래 인증 데이터를 저장도록 허용되지 않고 이전 거래에 대한 인증 데이터는 추후 거래 또는 거래들의 시점에 이용불가하되, 적어도 하나의 이전 거래는 인증되었다.
이전 거래와 관련된 추후 거래의 제출을 허용하는 알려진 시스템은 완전한 인증 데이터를 갖지 않는 거래를 허용한다. 이것은 이러한 거래가 더 수월하게 스푸핑되는(spoofed) 보안상의 위험을 제시한다. 결과적으로 일부 카드 소유자는 거래 제재출 또는 순환 거래를 허용하지 않는다.
결과적으로, 카드 제공자가 큰 거래 데이터 베이스를 유지하도록 요구하지 않고도 사전 거래와 관련된 거래를 인증할 수 있는 안전한 방법이 요구된다.
본 공개의 제 1 측면에 있어서, 거래인증 방법이 제공되고, 여기서, 적어도 하나의 제 1 거래가 진행되고, 상기 또는 각각의 제 1 거래는, 인증 데이터를 포함하는 제 1 데이터 및 상기 또는 각각의 제 1 거래를 식별하는 제 2 데이터를 포함하는 데이터를 생성하고, 주어진 제 1 거래는 상인과 카드 소유자 사이에 있고; 상기 주어진 제 1 거래에 상응하고 상기 제 1 거래의 특성을 포함하는 암호화 서명된 및/또는 암호화된 토큰이 적어도 상기 제 2 데이터를 사용하여 생성되고; 주어진 제 1 거래에 상응하는 암호화 서명된 및/또는 암호화된 토큰이 상인에게 전송되고, 상기 방법은:
상기 상인으로부터 제 2 거래에 상응하는 데이터를 수신하는 단계; 및
상기 제 2 거래에 상응하는 데이터가 상기 암호화 서명된 및/또는 암호화된 토큰을 포함할 경우, 상기 암호화 서명된 및/또는 암호화된 토큰을 응답으로서(responsively) 인증하여 상기 제 2 거래와 주어진 제 1 거래 사이의 인증된 연관성을 결정하는 단계를 포함한다.
결과적으로, 독립적으로 생성된 인증 데이터를 요구하지 않고 인증된 제 1 거래를 기초한 제 2 거래 인증을 위한 효율적이고 안전한 방법이 제공된다. 본 명세서에서 사용된 용어 "인증 데이터"는 예를 들어, 카드 판독기에 의한 성공적인 인증을 표시하는 플래그 또는 플래그들, 사용자에 의해 입력된 PIN, CSC 카드 식별자 및 당업자가 즉시 이해할 수 있는 인증의 기타 적절한 형태를 포함하는 것이 주목된다. 인증의 이러한 다른 형태의 예시는 생체 인증, 3D시큐어(3DSecure) 및 카드 소유자의 로그인 세부 정보의 확인을 포함한다. 인증은 카드 소유자, 카드 또는 둘 다의 신원의 인증일 수 있다.
상기 방법은 지불 카드 발급 기관(payment card issuer)에 상기 암호화 서명된 및/또는 암호화된 토큰의 상기 인증의 결과를 표시하는 데이터를 전송하는 단계를 더 포함할 수 있다. 일 실시예에서, 지불 카드 발급 기관에, 결정된 상기 인증된 연관성을 표시하는 데이터를 전송하는 단계를 더 포함한다. 결과적으로, 발급 기관은 제 2 거래가 제 1 거래와 관련이 있는 것을 확신할 수 있다. 발급 기관은 예컨대 제 2 거래를 승인하거나 거절할지 결정할 시에 이것을 사용할 수 있다.
추가 실시예에서, 상기 제 2 거래는 상기 제 1 거래의 재제출(resubmission)을 포함한다. 따라서, 상인은 제 1 거래의 식별자 및 토큰으로부터 떨어져서 임의의 인증 데이터를 저장할 필요 없이, 예를 들어, 카드 소유자가 자신의 계좌에 잔고를 추가할 것을 기대하며 추후에 실패한 거래를 재제출할 수 있으며; 재제출은 따라서 제 1 거래에 의해 식별된다.
일부 장치에 따르면, 제 1 거래는 EMV 거래이며 제 2 데이터는 EMV 인증 데이터를 포함한다. 따라서, 수립되고 신뢰된 EMV 프로토콜(판매 시점에 지불 카드가 존재할 것을 요함)을 사용하여 제 1 거래는 제 2 거래와 신뢰 가능하게 관련될 수 있고, 이것에 있어서 EMV 인증 데이터는 상인이 토큰외에 인증 데이터를 저장할 픽요 없이 제공되지 않는다.
특정 다른 장치에서, 제 1 거래는 비카드 거래이며 여기서 제 1 데이터는 카드 및/또는 카드 소유자 인증 데이터를 포함한다. 카드 및/또는 카드 소유자 인증 데이터는 카드 보안 코드, CSC, 인증 데이터를 포함할 수 있다. 따라서, 수립된 CSC 프로토콜을 사용하여 제 1 거래가 제 2 거래와 신뢰가능하게 관련될 수 있으며, 이것으로 인해, 상인이 토큰 외에 인증 데이터를 저장할 필요 없이 CSC 인증 데이터가 제공되지 않는다.
본 공개의 일부 측면에 있어서, 적어도 제 2 거래는 일련의 순환 거래들 중 하나이며, 일련의 순환 거래들의 각각은 미리 결정된 스케줄에 따라 발생한다. 이처럼, 인증 데이터가 제공되지 않는 순환 거래들의 스케줄은 인증 데이터가 이를 위헤 제공되는 제 1 거래와 안전하게 관련될 수 있다. 특히, 이것은, 상인이 제 1 거래의 토큰 및 식별자로부터 떨어져서 임의의 인증 데이터를 저장할 필요 없이 순환 거래를 제출하는 것을 허용하고; 따라서 재제출이 제 1 거래에 의해 안전하게 식별되는 것의 확신이 있다.
본 공개의 추가 측면에 있어서, 상기 제 1 거래는 적어도 상기 제 2 거래를 포함하는 후속 거래 또는 거래들에 대한 인증을 포함하며, 상기 후속 거래 또는 거래들의 횟수, 타이밍 및 금액 중 적어도 하나는 상기 제 1 거래가 진행될 때 결정되지 않는다. 이것은 인증 데이터가 제 1 거래와 관련되도록 제공되지 않는 후속 거래를 허용하고, 이것은 후속 거래를 인증하고 이를 위해 인증 데이터가 제공된다.
본 발명의 다른 특징 및 이점은 첨부된 도면을 참조하여 이루어진 예시적인 방식으로 주어진 본 발명의 바람직한 실시예에 대한 다음의 설명으로부터 명백해질 것이다.
도 1은 본 공개의 실시예가 실행될 수 있는 시스템 구조를 도시한다.
도 2는 인증 데이터를 이용할 수 있는 초기 거래 및 인증 데이터를 이용할 수 없는 후속 거래를 처리하는 방법을 도시한다.
도 3은 초기 거래 및 후속 거래를 처리하기 위한 방법을 도시한다. 상기 제 1 거래에 대응하는 암호화 서명된 및/또는 암호화된 토큰은 2개의 거래간의 인증된 연관성을 결정하는데 사용된다.
본 공개의 실시예에 따른 시스템 구조가 도 1에 도시되며, 이것은 카드 지불을 위한 알려진 4자 모델에 따라 구성되는 시스템을 도시한다. 카드 소유자(105)는 상인(110)과의 거래에 관여한다. 상인은 인수 은행(acquiring bank)(115)과 통신할 수 있다. 인수 은행은 카드 스킴(card scheme)(120)과 통신하고, 이어서 이는 개설 은행(issuing bank)(125)과 통신할 수 있다.
도 2는 이러한 시스템에서의 종래의 예시적인 거래를 도시한다. 카드 소유자(105)는 상인(110)에게 카드 및 인증 데이터를 제시한다(단계 205). 인증 데이터는 카드 소유자에 의해 제공된 예컨대 PIN 또는 서명일 수 있다. 다른 예시로서, 거래가 비카드(card-not-present) 거래일 경우, 인증 데이터는 CSC일 수 있다. 인증의 기타 형태는 선행 기술에 알려져 있다.
상인은, 예컨대, 거래에 관련된 상세를 포착하는 단계 및 카드 소유자에 의해 제공된 인증 데이터를 검증하는 단계를 포함할 수 있는 거래(단계 210)를 처리한다. 이러한 처리는 거래 데이터를 생성한다. 거래가 판매 시점(POS; Point of Sale)에 예컨대 카드 상에서 프로세서에 의해 인증 데이터의 검증에 의해 검증될 경우, 거래 데이터는 통상적으로 이러한 검증의 결과의 표시, 예컨대, 카드 소유자가 PIN을 올바르게 입력하였음을 표시하는 플래그(flag)를 포함한다. 대안적으로, 인증 데이터가 판매 시점에 검증되지 않을 경우, 인증 데이터는 예컨대 카드 스킴(120) 또는 개설 은행(125)에 의한 추후 검증을 위한 거래 데이터에 포함될 수 있다. 상인이 인증 데이터를 검증하는 일부 실시예에서, 상인은 검증 실패시 단순히 임의의 거래 데이터를 전송하지 않는다.
상인(110)은 추가 처리, 예를 들어 거래의 세부 사항을 검증하는 단계(단계 220)를 수행할 수 있는 인수 은행(115)에 거래 데이터를 전송한다(단계 215). 인수 은행(115)은 카드 스킴(120)에 거래 데이터를 전송한다(단계 225). 카드 스킴(120)은 예컨대 추가 인증을 수행하기 위하여 거래 데이터를 처리할 수 있다(단계 230). 카드 스킴(120)은 이어서 개설 은행(125)에 거래 데이터를 전송한다. 개설 은행(125)은 거래를 승인할지 거절할지에 대한 결정을 포함하며 거래 데이터를 처리한다(단계 240). 이러한 결정의 결과는 적어도 부분적으로 인증 데이터를 기초로 하고; 예컨대, 개설 은행(125)은 인증 방법이 EMV "칩 앤 PIN(chip and PIN)" 인증과 같이 비교적 안전할 경우 거래를 허용할 가능성이 크며 승인 방법이 비카드 거래의 CSC 인증과 같이 덜 안전할 경우 거래를 허용할 가능성이 적다. 개설 은행(125)은 이러한 결정의 결과를 카드 스킴(120)에 전송하고(단계 245), 그로 인해, 이것은 인수 은행(115)에게 그리고 상인(110)에게 전송된다.
상기 기재된 바와 같이, 상인(110)은 상기 기재된 초기 거래와 관련된 하나 이상의 후속 거래를 제출할 수 있다. 상인(110)은 거래 데이터를 생성하는 이러한 후속 거래를 처리한다(단계 250). 상기 논의된 바와 같이, 상인은 초기 거래의 인증 데이터를 저장하는 것이 허용되지 않는다. 추가 인증 데이터는 후속 거래가 카드 소유주로부터의 입력 없이 유발되는 때와 같이 후속 거래의 시점에 이용가능하지 않다. 이처럼, 인증 데이터는 제 2 거래에 종종 이용가능하지 않다. 초기 거래에서와 마찬가지로, 상인(110)은 후속 거래의 거래 데이터를 인수 은행(115)에 전송하고, 이로 인해, 이것은 카드 스킴(120)에 전송된다. 카드 스킴(120)은 거래 데이터를 개설 은행(125)에 전송한다. 개설 은행(125)은 거래 데이터를 처리하고, 이것은 초기 거리에 있어서, 후속 거래를 승인 또는 거절할지를 결정하는 것을 포함할 수 있다(단계 260). 인증 데이터는 후속 거래에 이용가능하지 않기 때문에, 개설 은행은 통상적으로 거래를 인증할 가능성이 낮은데, 이는, 거래가 적법하다는 것에 대한 확신이 적이 때문이다. 이러한 결정의 결과는 카드 스킴(120) 및 인수 은행(115)을 통해 개설 은행(125)으로부터 상인(110)에 전송된다(단계 265).
본 공개의 실시예에 다른 개선된 방법의 기재는 도 3을 참고로 기재될 것이다. 상기 기재된 바와 같이, 카드 소유자(105)는 카드 및 인증 데이터를 상인(110)에게 제시하고(단계 205), 초기 거래를 수행한다.
상인은 초기 거래를 처리하고(단계 210), 예컨대 거래에 관련된 세부 사항을 수집(capture)하는 것을 포함할 수 있다. 이러한 처리는 예컨대 카드 소유자에 의해 제공된 인증 데이터나 판매 시점에서의 인증 데이터의 검증의 결과를 표시하는 데이터를 포함하는 거래 데이터를 생성한다.
상인(110)은 추가 처리, 예를 들어 거래의 세부 사항을 검증하는 단계(단계 220)를 수행할 수 있는 인수 은행(115)에 거래 데이터를 전송한다(단계 215). 인수 은행(115)은 거래 데이터를 카드 스킴(120)에 전송한다(단계 225). 카드 스킴(120)은 거래 데이터를 처리하고 거래의 선택된 특성을 식별한다(단계 305). 선택된 특성은 예컨대, 고유 거래 식별자, 거래의 날짜 및/또는 시간, 상인(110)을 식별하는 데이터, 인수 은행(115)을 식별하는 데이터, 상인(110)을 식별하는 데이터 및 인증 컨텍스트를 식별하는, 예컨대, "칩 앤 PIN" 인증이 사용됨을 식별하는 데이터를 포함할 수 있다. 카드 스킴(120)은 선택된 거래 특성 또는 특성들을 암호화 서명 및/또는 암호화하고(단계 310), 초기 거래에 상응하고 제 1 거래의 특성을 포함하는 암호화 서명된 및/또는 암호화된 토큰을 생성한다(이후에서 하나의/상기 "토큰"으로 단순히 지칭됨). 토큰은 또한 다른 데이터를 포함할 수 있다. 예컨대, 이러한 다른 데이터는 제한된 유효 기간과 같은 제약 또는 초기 거래와 유효하게 관련될 수 있는 후속 거래들의 타입에 대한 제한 또는 이러한 후속 거래가 그를 통해 허용되는 채널을 기재할 수 있다. 이하에서 기재된 바와 같이, 이러한 토큰은 카드 스킴(120)에 의해 추후 검증될 수 있으며, 이와 같은 개인 키 암호화 기법이 사용될 수 있다. 적절한 개인 키 암호화 처리의 예시는 DES, 3중 DES, AES, 투피쉬(Twofish), 서펀트(Serpent), 블로우피쉬(Blowfish), CAST5, RC4, 스킵잭(Skipjack) 및 IDEA이다. 대안적으로, 공용 키 암호화 기법이 사용될 수 있다. 이러한 공용 키 암호화 처리의 예시는 RSA 및 타원곡선 암호를 포함한다. 공용 키 암호화의 장점은 토큰이 관련 공용 키 인증서를 갖는 임의의 엔티티에 의해 검증될 수 있다는 점이다.
카드 스킴(120)은 거래 데이터를 개설 은행(125)에 전송하고(단계 235), 이것은 거래 데이터가 그 중에서도 거래를 승인하거나 거절할지를 결정한다(단계 240). 개설 은행(125)은 이러한 결정의 결과를 카드 스킴(120)에 전송한다(단계 245).
본 공개의 일부 측면에서, 카드 스킴(120)은 거래를 승인 또는 거절하기 위하여 결정의 결과를 표시하는 메세지의 토큰을 포함한다(단계 315). 이러한 결합된 메세지는 이어서 인수 은행(115)으로 보내지고(단계 320), 이는 메세지를 상인(110)에게 전달한다. 대안적으로, 카드 스킴(120)은 거래를 승인하거나 거절할 결정의 결과로부터 별도로 상인(110)에게 토큰을 전송할 수 있다.
상인(110)은 이어서, 토큰을 저장하고(단계 325), 이것은, 상인(110)이 제 1 거래와 관련된 후속 거래를 제출할 때, 토큰이 단계 330 및 단계 335에서 표시된 바와 같이 후속 거래에 대응하는 기타 거래 세부 사항에 따라 전송될 수 있는 것을 의미한다. 상인이 토큰을 저장하도록 허용될 수 있으므로, 상인에 의해 저장될 수 없는 초기 거래와 같이 임의의 특정 거래의 인증 데이터에 관한 상황이 상이한 것이 주목되어야 한다.
카드 스킴(120)은 토큰을 인증하는 것을 시도하고(단계 340), 초기 거래와 후속 거래 사이의 인증된 연관성을 결정한다. 토큰은 초개 거래로부터의 완전한 인증 데이터를 사용하여 생성되었으므로, 토큰의 성공적인 인증은 초기 거래가 진실되게 발생하였고 성공적으로 인증된 것에 대한 확신을 부여한다. 결과적으로, 토큰의 인증은 후속 거래의 적법성에 관한 확신을 제공하고 이처럼 개설 은행은 후속 거래를 승인할 가능성이 더 크다. 대안적인 실시예에서, 토큰은 카드 스킴외의 엔티티, 예컨대 개설 은행에 의해 인증될 수 있다.
카드 스킴(120)은 토큰의 인증을 표시하는 데이터 또는 토큰의 인증의 결과를 표시하는 데이터를 개설 은행(125)에 전송할 수 있다. 개설 은행(125)은 후속 거래를 승인 또는 거절할지 결정할 때 이것을 사용할 수 있다(단계 345). 토큰의 성공적인 인증은 제 1 거래와 후속 거래 사이의 인증된 연관성을 제공하고, 이처럼, 개설 은행은 완전한 인증 데이터를 갖지 않는 후속 거래에 비해 이러한 후속거래를 인증할 가능성이 더 높다(도 2에 도시됨).
개설 은행(125)은 후속 거래를 승인 또는 거절할지의 결정의 결과를 카드 스팀(120)에 전송한다(단계 350). 결과는 카드 스킴(120)으로부터 인수 은행(115)으로 그리고 인수 은행(115)로부터 상인(110)에 전달된다.
상기 기재된 방법은 독립적인 인증 데이터를 요하지 않는 인증된 초기 거래를 기초로 후속 거래의 인증을 위한 효율적이고 안전한 방법을 제공한다.
후속 거래는 예컨대 초기 거래의 거절에 따른 초기 거래의 재제출일 수 있다. 대안적으로, 이것은 일련의 순환 거래들 중 하나일 수 있고, 각각의 순환 거래는 미리 결정된 스케줄에 따라 발생한다. 이러한 스케줄을 기재하는 정보는 토큰에 포함될 수 있다. 다른 예시로서, 초기 및 후속 거래는 큰 거래가 더 작은 거래로 나뉘거나 분할 청구되는 스플릿-쉽먼트(split-shipment) 거래를 포함할 수 있다.
본 공개에서 "단계" 라는 용어의 사용은 상기 단계가 임의의 주어진 순서로 수행되는 것을 시사하지 않음이 주목되어야 한다. 설명적인 예시로서, 도 3을 참조하면, 단계(235)는 단계(310) 전에, 후에 또는 동시에 수행될 수 있다.
"상인", "인수 은행", "카드 스킴" 및 "개설 은행"이라는 용어는 상기 기재된 기능을 수행하도록 구성된 전산 시스템을 지칭하는 것으로서 이해되어야 하는 것이 주목되어야 한다.
전술한 예시적인 실시예는 프로세서에 의한 실행을 위한 프로그램 명령, 논리 회로, 주문형 집적 회로, 펌웨어 등과 같이 다수의 방식으로 구현될 수 있다. 예를 들어, 실시예들은 하나 이상의 프로세서(예를 들어, CPU, 마이크로컨트롤러) 또는 무선 스테이션의 다른 컴퓨팅 장치에서 실행하기 위한, 하나 이상의 소프트웨어 또는 펌웨어 애플리케이션, 컴퓨터 구현 방법, 컴퓨터 사용가능 매체 상에 저장된 프로그램 제품으로서 구현될 수 있다.
상기 실시예는 본 발명의 설명적인 예시로서 이해된다. 추가 실시예가 구상된다. 예컨대, 다수의 불규칙 간격의 후속 거래는 단일 초기 거래를 기준으로 그리고 카드 소유자가 서비스를 사용하거나 제품을 구입할 때, 예컨대 택시 서비스를 이용하거나 바를 이용할 때 수행될 수 있다. 초기 거래는 따라서 후속 거래용 사전 승인을 포함할 수 있다. 추가 실시예에서, 본 공개는 예컨대 카드 소유주가 호텔에 투숙을 연장하고자 할 경우 추가 인증(incremental authorisation)을 허용한다. 다른 예시로서, 초기 거래는 예컨대 호텔 또는 여행사에 의한 예약을 포함할 수 있고, 후속 거래는 후속 업그레이드 또는 추가(add-on) 또는 노쇼 요금(no-show fee) 또는 미니바의 사용에 대한 부수적인 청구에 관련될 수 있다. 예컨대 이것은 카드 소유주가 체크아웃시에 물리적으로 존재하지 않고 호텔 투숙 후에 적절하게 청구되는 것을 허용한다. 본 공개의 추가 실시예는 설치비 지불을 허용한다. 다른 예시로서, 본 공개는 채권 회수(debt recovery) 거래, 예컨대 비용이 변동되는 대중 교통 수단에 있어서도 허용된다. 이러한 실시예에서, 거래는 카드 소유자가 교통 서비스를 사용한 후에, 예컨대 저녁때 시도될 수 있다. 예컨대 이것은 복수의 여정이 하루에 수행될 경우 할인된 요금(reduced fare)을 허용할 수 있다. 이러한 거래가 예컨대 카드 소유자의 계좌의 잔고 부족으로 거절될 경우, 본 공개에 따른 후속 거래는 채무를 회복하기 위하여 시도될 수 있다.
임의의 일 실시예와 관련하여 설명된 임의의 특징은 단독으로 또는 설명된 다른 특징과 조합하여 사용될 수 있고 임의의 다른 실시예의 하나 이상의 특징 또는 임의의 조합과 함께 사용될 수도 있음이 이해되어야 한다. 또한, 전술한 바와 같은 등가물 및 변형이 첨부된 특허 청구 범위에 정의된 본 발명의 범위를 벗어나지 않게 사용될 수 있다.

Claims (11)

  1. 적어도 하나의 제 1 거래가 진행되고, 상기 또는 각각의 제 1 거래는, 인증 데이터를 포함하는 제 1 데이터 및 상기 또는 각각의 제 1 거래를 식별하는 제 2 데이터를 포함하는 데이터를 생성하고, 주어진 제 1 거래는 상인과 카드 소유자 사이에 있고; 상기 주어진 제 1 거래에 상응하고 상기 제 1 거래의 특성을 포함하는 암호화 서명된 및/또는 암호화된 토큰이 적어도 상기 제 2 데이터를 사용하여 생성되고; 주어진 제 1 거래에 상응하는 암호화 서명된 및/또는 암호화된 토큰이 상인에게 전송되는 거래 인증 방법으로서, 상기 방법은:
    상기 상인으로부터 제 2 거래에 상응하는 데이터를 수신하는 단계; 및
    상기 제 2 거래에 상응하는 데이터가 상기 암호화 서명된 및/또는 암호화된 토큰을 포함할 경우, 상기 암호화 서명된 및/또는 암호화된 토큰을 응답으로서(responsively) 인증하여 상기 제 2 거래와 주어진 제 1 거래 사이의 인증된 연관성을 결정하는 단계를 포함하는, 거래 인증 방법.
  2. 청구항 1에 있어서, 지불 카드 발급 기관(payment card issuer)에 상기 암호화 서명된 및/또는 암호화된 토큰의 상기 인증의 결과를 표시하는 데이터를 전송하는 단계를 더 포함하는, 거래 인증 방법.
  3. 청구항 1에 있어서, 지불 카드 발급 기관에, 결정된 상기 인증된 연관성을 표시하는 데이터를 전송하는 단계를 더 포함하는, 거래 인증 방법.
  4. 청구항 2에 있어서, 상기 제 2 거래는 상기 제 1 거래의 재제출(resubmission)을 포함하는, 거래 인증 방법.
  5. 청구항 1 내지 청구항 4 중 어느 한 항에 있어서, 상기 제 1 거래는 EMV 거래이며 상기 제 1 데이터는 EMV 인증 데이터를 포함하는, 거래 인증 방법.
  6. 청구항 1 내지 청구항 5 중 어느 한 항에 있어서, 상기 제 1 거래는 비카드(card-not-present) 거래이며 상기 제 1 데이터는 카드 및/또는 카드 소유자 인증 데이터를 포함하는, 거래 인증 방법.
  7. 청구항 6에 있어서, 상기 카드 및/또는 카드 소유자 인증 데이터는 카드 보안 코드, CSC, 인증 데이터 중 하나를 포함하는, 거래 인증 방법.
  8. 청구항 1 내지 청구항 7 중 어느 한 항에 있어서, 적어도 상기 제 2 거래는 일련의 순환 거래들 중 하나이고, 상기 일련의 순환 거래들의 각각은 미리 결정된 스케줄에 따라 발생하는, 거래 인증 방법.
  9. 청구항 1 내지 청구항 7 중 어느 한 항에 있어서, 상기 제 1 거래는 적어도 상기 제 2 거래를 포함하는 후속 거래 또는 거래들에 대한 인증을 포함하며, 상기 후속 거래 또는 거래들의 횟수, 타이밍 및 금액 중 적어도 하나는 상기 제 1 거래가 진행될 때 알려지지 않는, 거래 인증 방법.
  10. 적어도 하나의 제 1 거래가 진행될 때 적어도 하나의 프로세서에 의해 실행될 시에, 상기 또는 각각의 제 1 거래는 인증 데이터를 포함하는 제 1 데이터 및 상기 또는 각각의 제 1 거래를 식별하는 제 2 데이터를 포함하는 데이터를 생성하고, - 주어진 제 1 거래는 상인과 카드 소유자 사이에 있고; 상기 주어진 제 1 거래에 상응하고 상기 제 1 거래의 특성을 포함하는 암호화 서명된 및/또는 암호화된 토큰이 적어도 상기 제 2 데이터를 사용하여 생성되고; 상기 주어진 제 1 거래에 상응하는 암호화 서명된 및/또는 암호화된 토큰이 상기 상인에게 전송됨 - , 상기 적어도 하나의 프로세서로 하여금:
    상기 상인으로부터 제 2 거래에 상응하는 데이터를 수신하게 하고; 및
    상기 제 2 거래에 상응하는 데이터가 상기 암호화 서명된 및/또는 암호화된 토큰을 포함할 경우, 상기 암호화 서명된 및/또는 암호화된 토큰을 응답으로서 인증하여 상기 제 2 거래와 주어진 제 1 거래 사이의 인증된 연관성을 결정하게 하는, 컴퓨터 판독가능 명령들의 세트를 저장시켜 포함하는 비일시적 컴퓨터 판독가능 저장 매체.
  11. 장치로서,
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 명령들을 포함하는 적어도 하나의 메모리를 포함하고,
    상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 명령들은, 적어도 하나의 제 1 거래가 진행될 때 상기 적어도 하나의 프로세서에 의해, 상기 또는 각각의 제 1 거래가 인증 데이터를 포함하는 제 1 데이터 및 상기 또는 각각의 제 1 거래를 식별하는 제 2 데이터를 포함하는 데이터를 생성하고, 주어진 제 1 거래가 상인과 카드 소유자 사이에 있고; 상기 주어진 제 1 거래에 상응하고 상기 제 1 거래의 특성을 포함하는 암호화 서명된 및/또는 암호화된 토큰이 적어도 상기 제 2 데이터를 사용하여 생성되고; 주어진 제 1 거래에 상응하는 암호화 서명된 및/또는 암호화된 토큰이 상인에게 전송되도록 구성되며, 상기 장치로 하여금 적어도:
    상기 상인으로부터 제 2 거래에 상응하는 데이터를 수신하게 하고; 및
    상기 제 2 거래에 상응하는 데이터가 암호화 서명된 및/또는 암호화된 토큰을 포함할 경우, 상기 암호화 서명된 및/또는 암호화된 토큰을 응답으로서 인증하여 상기 제 2 거래와 주어진 제 1 거래 사이의 인증된 연관성을 결정하게 하도록 구성되는, 장치.
KR1020177034122A 2015-04-24 2016-04-13 거래 컨텍스트를 유지하는 방법 KR20170140346A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GBGB1507047.7A GB201507047D0 (en) 2015-04-24 2015-04-24 Method of retaining transaction context
GB1507047.7 2015-04-24
PCT/GB2016/051033 WO2016170305A1 (en) 2015-04-24 2016-04-13 Method of retaining transaction context

Publications (1)

Publication Number Publication Date
KR20170140346A true KR20170140346A (ko) 2017-12-20

Family

ID=53488642

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177034122A KR20170140346A (ko) 2015-04-24 2016-04-13 거래 컨텍스트를 유지하는 방법

Country Status (8)

Country Link
US (1) US20180047019A1 (ko)
EP (2) EP4027288A1 (ko)
KR (1) KR20170140346A (ko)
CN (1) CN107710257B (ko)
AU (1) AU2016252225A1 (ko)
CA (1) CA2983684C (ko)
GB (1) GB201507047D0 (ko)
WO (1) WO2016170305A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10706380B2 (en) 2014-05-08 2020-07-07 Visa International Service Association Split shipment processing
US11651297B2 (en) * 2019-12-30 2023-05-16 Expedia, Inc. Booking management system

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001253406A1 (en) * 2000-05-15 2001-11-26 Efunds Corporation System for and method of effecting an electronic transaction
US9542671B2 (en) * 2004-05-12 2017-01-10 Paypal, Inc. Method and system to facilitate securely processing a payment for an online transaction
US20090265262A1 (en) * 2008-04-22 2009-10-22 Ebay Inc. Method and system for installment payment utilization
US9489674B2 (en) * 2009-05-04 2016-11-08 Visa International Service Association Frequency-based transaction prediction and processing
US8788429B2 (en) * 2009-12-30 2014-07-22 First Data Corporation Secure transaction management
AU2010357028B2 (en) * 2010-07-09 2014-10-02 Paypal, Inc. System for secure payment over a wireless communication network
WO2012142045A2 (en) * 2011-04-11 2012-10-18 Visa International Service Association Multiple tokenization for authentication
US9947010B2 (en) * 2011-07-15 2018-04-17 Mastercard International Incorporated Methods and systems for payments assurance
US10242368B1 (en) * 2011-10-17 2019-03-26 Capital One Services, Llc System and method for providing software-based contactless payment
US20130110722A1 (en) * 2011-10-28 2013-05-02 B. Scott Boding System and Method For Identity Chaining
CA2858691A1 (en) * 2011-12-09 2013-06-13 Merchantwarehouse.Com, Llc Payment processing and customer engagement platform methods, apparatuses and media
US9530130B2 (en) * 2012-07-30 2016-12-27 Mastercard International Incorporated Systems and methods for correction of information in card-not-present account-on-file transactions
US10152711B2 (en) * 2012-07-31 2018-12-11 Worldpay, Llc Systems and methods for arbitraged enhanced payment processing
US10339524B2 (en) * 2012-07-31 2019-07-02 Worldpay, Llc Systems and methods for multi-merchant tokenization
US8788421B2 (en) * 2012-11-20 2014-07-22 Mastercard International Incorporated Systems and methods for processing electronic payments using a global payment directory
US20150012430A1 (en) * 2013-07-03 2015-01-08 Mastercard International Incorporated Systems and methods for risk based decisioning service incorporating payment card transactions and application events
AU2014331673B2 (en) * 2013-10-11 2018-05-17 Mastercard International Incorporated Network token system
US20150254662A1 (en) * 2014-03-05 2015-09-10 Mastercard International Incorporated Verifying transaction context data at wallet service provider
KR102305825B1 (ko) * 2014-10-31 2021-09-27 삼성에스디에스 주식회사 토큰을 이용한 결제 방법 및 그 장치

Also Published As

Publication number Publication date
CN107710257B (zh) 2021-08-24
CN107710257A (zh) 2018-02-16
EP3286709A1 (en) 2018-02-28
GB201507047D0 (en) 2015-06-10
AU2016252225A1 (en) 2017-11-16
CA2983684A1 (en) 2016-10-27
CA2983684C (en) 2023-09-12
EP4027288A1 (en) 2022-07-13
WO2016170305A1 (en) 2016-10-27
US20180047019A1 (en) 2018-02-15

Similar Documents

Publication Publication Date Title
US11847643B2 (en) Secure remote payment transaction processing using a secure element
CN105960776B (zh) 使用有限使用证书进行令牌验证
US11328298B2 (en) System and method for remotely activating a pin-pad terminal
US9760939B2 (en) System and method for downloading an electronic product to a pin-pad terminal using a directly-transmitted electronic shopping basket entry
US8621595B2 (en) System and method for authenticating a network gateway
CN109716373B (zh) 密码认证和令牌化的交易
JP7250788B2 (ja) リレー攻撃を防ぐシステムおよび方法
US20120254041A1 (en) One-time credit card numbers
US9152957B2 (en) System and method for downloading an electronic product to a pin-pad terminal after validating an electronic shopping basket entry
CA2983684C (en) Method of retaining transaction context
EP3675013A1 (en) Method and device for secure push payments
CN111937023A (zh) 安全认证系统和方法
WO2023064086A1 (en) Efficient and protected data transfer system and method
RU2021124069A (ru) Способ и система для аутентификации цифровых транзакций

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application