[go: up one dir, main page]

KR20060135726A - Systems and Methods for Security of Telephone Transactions and Computer Transactions - Google Patents

Systems and Methods for Security of Telephone Transactions and Computer Transactions Download PDF

Info

Publication number
KR20060135726A
KR20060135726A KR1020067015137A KR20067015137A KR20060135726A KR 20060135726 A KR20060135726 A KR 20060135726A KR 1020067015137 A KR1020067015137 A KR 1020067015137A KR 20067015137 A KR20067015137 A KR 20067015137A KR 20060135726 A KR20060135726 A KR 20060135726A
Authority
KR
South Korea
Prior art keywords
authentication
information
transaction
payment account
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020067015137A
Other languages
Korean (ko)
Inventor
존 완크뮬러
Original Assignee
마스터카드 인터내셔날, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/764,099 external-priority patent/US7360694B2/en
Application filed by 마스터카드 인터내셔날, 인코포레이티드 filed Critical 마스터카드 인터내셔날, 인코포레이티드
Publication of KR20060135726A publication Critical patent/KR20060135726A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • G06Q20/023Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP] the neutral party being a clearing house
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/24Credit schemes, i.e. "pay after"
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/403Solvency checks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/403Solvency checks
    • G06Q20/4037Remote solvency checks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • GPHYSICS
    • G10MUSICAL INSTRUMENTS; ACOUSTICS
    • G10LSPEECH ANALYSIS TECHNIQUES OR SPEECH SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING TECHNIQUES; SPEECH OR AUDIO CODING OR DECODING
    • G10L15/00Speech recognition
    • G10L15/22Procedures used during a speech recognition process, e.g. man-machine dialogue

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Human Computer Interaction (AREA)
  • Acoustics & Sound (AREA)
  • Multimedia (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephonic Communication Services (AREA)

Abstract

인증을 이용하여 보안 거래(120)를 수행하는 보안 전자 지불 시스템 및 방법이 제공된다. 상인의 컴퓨터(104)는 액세스 제어 서버(112)에 인증 요청을 송신한다. 액세스 제어 서버(112)는 예를 들어 전자적 양식(electronic form)이나 쌍방향(interactive) 음성 응답 시스템을 통해 인증(13)을 취득하여 구매자(102)의 신원을 확인한다. 액세스 제어 서버(112)는 그 후 상인의 컴퓨터에 응답을 전송한다. 구매자(102)가 계정에 대한 액세스를 허가받으면, 상인(104)에 의한 지불이 처리되고 거래(102)는 완료된다.A secure electronic payment system and method are provided for conducting secure transaction 120 using authentication. The merchant's computer 104 sends an authentication request to the access control server 112. The access control server 112 verifies the identity of the purchaser 102 by, for example, acquiring an authentication 13 via an electronic form or an interactive voice response system. The access control server 112 then sends a response to the merchant's computer. Once the buyer 102 is granted access to the account, the payment by the merchant 104 is processed and the transaction 102 is completed.

Description

전화 거래 및 컴퓨터 거래의 보안을 위한 시스템 및 방법 {SYSTEM AND METHOD FOR SECURE TELEPHONE AND COMPUTER TRANSACTIONS}SYSTEM AND METHOD FOR SECURING TELEPHONE AND COMPUTER TRANSACTIONS {SYSTEM AND METHOD FOR SECURE TELEPHONE AND COMPUTER TRANSACTIONS}

관련출원의 상호 참조Cross Reference of Related Applications

본 출원은 2004년 1월 23일에 발명의 명칭 "System and Method for Secure Telephone And ComputerTransactions Using Voice Authentication"이라는 명칭으로 출원한 미국 특허출원 제10/764,099호(2003년 1월 23일에 출원된 미국 가특허출원 제60/442,143호를 우선권 주장)의 일부 계속출원이며, 참조에 의해 본 명세서에 완전히 통합된다. This application is filed on Jan. 23, 2004, entitled "System and Method for Secure Telephone And Computer Transactions Using Voice Authentication," US Patent Application No. 10 / 764,099 (US, filed Jan. 23, 2003). Provisional Patent Application No. 60 / 442,143, which is part of an earlier application, is hereby incorporated by reference in its entirety.

본 발명은 전화 및 컴퓨터 거래의 보안을 위한 시스템 및 방법에 관한 것이다.The present invention relates to systems and methods for the security of telephone and computer transactions.

신용카드와 기타 형태의 지불(결제) 카드(payment card)는 원래 직접 거래(in-person transaction)에 사용하기 위해 설계되었으며, 거래 시에 카드는 지불을 위한 수단과 카드 소유자의 인증을 위한 수단 양자를 모두 제공할 수 있다. 카드를 실제 소유하고 있는 외에, 구매자는 또한 카드 뒷면의 서명과 비교될 수 있는 서명도 제공하여야 한다.Credit cards and other forms of payment card were originally designed for use in in-person transactions, in which the card is a means for payment and for cardholder authentication. It can provide all of them. In addition to the actual possession of the card, the buyer must also provide a signature that can be compared with the signature on the back of the card.

전화주문 거래의 주요 단점은, 대다수가 위에서 언급한 방식으로 인증받을 수 없다는 것이다. 따라서, 신용카드/지불 카드와 관련된 부정거래와 지불 거절의 횟수가 그 결과 증가하고 있다. 또, 소비자는 혹시 미지의 확인 불가능한 개인에게 전화를 통해 자신의 지불 정보가 제공될 잠재적인 위험을 걱정할 수 있다.The main disadvantage of the telephone order transaction is that the majority cannot be authenticated in the manner mentioned above. Thus, the number of fraudulent transactions and chargebacks associated with credit / payment cards is increasing as a result. In addition, consumers may be concerned about the potential risk of their payment information being provided by phone to an unidentifiable individual.

온라인 쇼핑(On-line shopping), 즉 전자상거래(e-commerce)는 동일한 많은 문제를 겪고 있다. 온라인 쇼핑은 소비자에게 전에 없던 편리함을 제공하고, 동시에 상인에게 비용 절감과 새로운 고객을 얻을 수 있도록 해준다. 하지만 많은 소비자는 신용카드 번호와 같은 요주의 정보(sensitive information)의 도난에 대한 두려움으로 인해 이러한 편익의 이용을 꺼려왔다. 인터넷 전역으로 송신되는 이러한 정보의 보안을 향상시키기 위한 노력이 경주되어 왔다. 예를 들면, 보안 소켓 계층(Secure Socket Layer, SSL) 기술에서는 소비자와 상인 사이에 전송되는 메시지를 암호화하여, 제3자가 정보를 가로채서 사용하기 더욱 어렵게 한다. 하지만, 이 방법은 소비자의 신원에 대한 어떠한 검증(verification)도 상인에게 제공하지 않는다. 따라서, 만약 제3자가 신용카드 번호를 물리적 신용 카드를 훔치는 등의 다른 부정적인 방법으로 취득하였다면, SSL 방법은 제3자가 훔친 정보를 부정하게 사용하는 것을 방지할 수 없을 것이다.On-line shopping, or e-commerce, suffers from many of the same problems. Online shopping offers consumers unprecedented convenience, while at the same time saving merchants and gaining new customers. Many consumers, however, have been reluctant to use these benefits because of fear of theft of sensitive information, such as credit card numbers. Efforts have been made to improve the security of this information transmitted throughout the Internet. For example, Secure Socket Layer (SSL) technology encrypts messages sent between consumers and merchants, making it more difficult for third parties to intercept and use the information. However, this method does not provide the merchant with any verification of the consumer's identity. Thus, if a third party obtained the credit card number by another negative method such as stealing the physical credit card, the SSL method would not prevent the third party from using the stolen information illegally.

SETTM(Secure Electronic Transaction, 보안 전자 거래 ) 기술은 전술한 문제를, 소비자/계정 소유자, 상인 및 신용카드 발행자의 인증에 디지털 증명서(digital certificate)를 사용하여 해결하려고 시도한 것이다. SETTM이 인터넷을 통한 지불을 처리하는데 현재 가장 안전한 방법이지만, 이는 디지털 증명서와 계정 소유자의 컴퓨터상에 설치되고 동작될 암호화 소프트웨어(cryptographic software)를 필요로 한다. SET TM (Secure Electronic Transaction) Technology attempts to solve the aforementioned problem by using digital certificates for authentication of consumer / account holders, merchants and credit card issuers. Although SET TM is currently the safest way to handle payments over the Internet, it requires digital certificates and cryptographic software to be installed and operated on the account holder's computer.

사실, 대부분의 종래 기술의 보안 전자 상거래 시스템은 소비자가 그들의 컴퓨터에 특수한 소프트웨어를 설치할 것을 요구한다. 아직 많은 소비자가 그러한 소프트웨어의 설치를 꺼리고, 어쨌든 특화된 계정 소유자 애플리케이션은 폭넓고 다양한 계정 소유자의 액세스 기기(예를 들면, 개인용 컴퓨터, 개인 휴대 정보 단말기, 및 이동전화와 같은 이동 통신 기기)와 호환성이 없을 수 있다. 그 결과, 일부 전자상거래 시스템은 소비자들 사이에 폭넓게 받아들여지기가 어려웠다.In fact, most prior art secure e-commerce systems require consumers to install special software on their computers. Yet many consumers are reluctant to install such software, and anyway, specialized account holder applications are incompatible with a wide variety of account holders' access devices (e.g. mobile devices such as personal computers, personal digital assistants, and mobile phones). It may not be. As a result, some e-commerce systems have been difficult to accept widely among consumers.

따라서, 더욱 안전한 거래를 촉진하기 위해, 이 기술분야에서 전화 구매 또는 온라인 구매와 관련하여 소비자의 신원을 확인하기 위한 방법 및 시스템에 대한 요구가 존재한다.Thus, to facilitate safer transactions, there is a need in the art for methods and systems for verifying the identity of consumers in connection with telephone purchases or online purchases.

따라서, 본 발명의 목적은 안전한 전화거래 및 온라인 거래를 수행하는 방법을 제공하는 것이다.It is therefore an object of the present invention to provide a method for conducting secure telephone and online transactions.

이 목적 및 다른 목적들은, 바람직하게는 지불 계정의 소유와 관련된 제1 인증 정보를 포함하는 데이터베이스를 제공하는 단계; 상기 지불 계정과 관련된, 상기 거래의 수행에 사용될 지불 계정 정보를 제공하는 단계; 액세스 제어 서버에 상기 지불 계정 정보를 포함하는 인증 요청을 송신하는 단계; 상인에 의한 인증 지시(authentication instruction)를 포함하는 정보를 수신하는 단계; 상기 고객으로부터 제2 인증 정보를 수신하는 단계; 및 상기 제1 인증 정보와 상기 제2 인증 정보를 비교하여, 상기 거래가 상기 지불 계정의 소유자에 의해 허가된(권한이 부여된) 거래인지 여부를 결정하는 단계를 포함하는 보안 거래를 수행하는 방법 및 시스템에 의해 달성된다.This and other objects may include providing a database that includes first authentication information, preferably associated with ownership of a payment account; Providing payment account information associated with the payment account to be used in performing the transaction; Sending an authentication request including the payment account information to an access control server; Receiving information including an authentication instruction by a merchant; Receiving second authentication information from the customer; And comparing the first authentication information with the second authentication information to determine whether the transaction is a transaction authorized by the owner of the payment account (authorized). Achieved by the system.

본 발명의 목적은 또한 바람직하게는 상기 지불 계정과 관련된, 상기 거래의 수행에 사용될 지불 계정 정보를 수신하는 단계; 액세스 제어 서버에 상기 지불 계정 정보를 포함하는 인증 요청을 송신하는 단계, 상기 소유자로부터 전자적 양식(electronic form)로 인증 정보를 수신하는 단계; 상기 거래의 허가를 위해 상기 소유자를 인증하는 단계; 및 상기 거래를 허가하는 단계를 포함하는 보안 거래를 수행하기 위한 방법 및 시스템에 의해 달성되며, 상기 인증 요청은 상기 서버에 의한 전자적 양식으로 표시하기 위해 사용되는 데이터의 송신을 자동으로 트리거(triger)한다.It is also an object of the present invention to receive payment account information, preferably associated with the payment account, to be used to perform the transaction; Sending an authentication request including the payment account information to an access control server, receiving authentication information in an electronic form from the owner; Authenticating the owner for authorization of the transaction; And a method and system for performing a secure transaction, comprising authorizing the transaction, wherein the authentication request automatically triggers the transmission of data used for presentation in electronic form by the server. do.

본 발명의 목적은 또한 바람직하게는 상기 지불 계정의 소유자와 관련된 적어도 제1 세트의 인증 정보를 포함하는 데이터베이스를 제공하는 단계; 상기 지불 계정과 관련된, 상기 거래의 수행에 사용될 지불 계정 정보를 수신하는 단계; 상기 거래의 수행과 관련된 상기 지불 계정 정보를 적어도 포함하는 인증 요청을 수신하는 단계; 전자적 양식의 표시를 자동으로 트리거하는 단계; 상기 지불 계정의 송유자로부터 제2 세트의 인증 정보를 수신하는 단계; 상기 제2 세트의 인증 정보를 전자적 양식에 입력하는 단계; 및 상기 제1 세트의 인증 정보와 상기 제2 세트의 인증 정보를 비교하여 상기 거래가 상기 지불 정보의 소유자에 의해 허가된 거래인지 여부를 결정하는 단계를 포함하는 보안 거래를 수행하는 방법에 의해 달성된다.It is also an object of the present invention to provide a database that preferably includes at least a first set of authentication information associated with an owner of the payment account; Receiving payment account information associated with the payment account to be used in performing the transaction; Receiving an authentication request including at least the payment account information associated with performing the transaction; Automatically triggering the display of the electronic form; Receiving a second set of authentication information from a payer of the payment account; Inputting the second set of authentication information into an electronic form; And comparing the first set of authentication information with the second set of authentication information to determine whether the transaction is a transaction authorized by the owner of the payment information. .

본 발명의 목적은 또한 바람직하게는 서버 컴퓨터 서브시스템을 포함하는 보안 거래를 수행하는 시스템에 의해 달성된다. 상기 서버 컴퓨터 서브시스템은, 지불 계정의 계정 소유자에 관한 제1 세트의 인증 정보를 적어도 포함하는 적어도 하나의 지불 계정에 관한 정보, 자동화된 음성 응답 서브시스템, 및 인증 서브시스템을 포함하며, 상기 자동화된 음성 응답 서브시스템은 제2 세트의 인증 정보를 취득하기 위해 호(call)를 상기 계정 소유자에게 연결하고, 또 상기 인증 서브시스템은 상기 제1 세트의 인증 정보와 상기 제2 세트의 인증 정보를 비교하여 상기 거래가 상기 계정 소유자에 의해 허가된 거래인지 여부를 결정한다.The object of the invention is also achieved by a system for conducting secure transactions, preferably comprising a server computer subsystem. The server computer subsystem includes information about at least one payment account, an automated voice response subsystem, and an authentication subsystem that includes at least a first set of authentication information about an account holder of a payment account. The established voice response subsystem connects a call to the account holder to obtain a second set of authentication information, and wherein the authentication subsystem connects the first set of authentication information and the second set of authentication information. In comparison, it is determined whether the transaction is a transaction authorized by the account holder.

본 발명의 목적은 또한 바람직하게는 서버 컴퓨터 서브시스템을 포함하는 보안 거래를 수행하는 시스템에 의해 달성되며, 상기 서버 컴퓨터 서브시스템은 상기 지불 계정의 계정 소유자에 관한 제1 세트의 인증 정보를 적어도 포함하는 적어도 하나의 지불 계정에 관한 정보, 및 가상의 전자적 양식(electronic form) 서브시스템을 포함하고, 상기 가상의 전자적 양식 서브시스템은 상기 상인에게 전자적 양식을 제공하며, 상기 전자적 양식은 상기 상인으로부터 제2 세트의 인증 정보를 수신하고, 또 상기 서버 컴퓨터 서브시스템은 상기 제1 세트의 인증 정보와 상기 제2 세트의 인증 정보를 비교하여 상기 거래가 상기 계정 소유자에 의해 허가된 거래인지 여부를 결정한다.The object of the invention is also achieved by a system for performing a secure transaction, preferably comprising a server computer subsystem, said server computer subsystem comprising at least a first set of authentication information relating to the account holder of said payment account. Information about at least one payment account, and a virtual electronic form subsystem, wherein the virtual electronic form subsystem provides the merchant with an electronic form, the electronic form being submitted from the merchant. Receiving two sets of authentication information, the server computer subsystem also compares the first set of authentication information with the second set of authentication information to determine whether the transaction is a transaction authorized by the account holder.

도 1은 본 발명의 실시예에 따른 지불 거래를 수행하는 대표적인 시스템을 나타낸 블록도이다. 1 is a block diagram illustrating an exemplary system for performing a payment transaction in accordance with an embodiment of the present invention.

도 2a는 본 발명에 따른 지불 거래를 수행하는 대표적인 절차를 나타낸 흐름도이다. 2A is a flowchart illustrating an exemplary procedure for performing a payment transaction in accordance with the present invention.

도 2b는 본 발명에 따른 지불 거래를 수행하는 대표적인 절차를 나타낸 흐름도이다. 2B is a flowchart illustrating an exemplary procedure for performing a payment transaction in accordance with the present invention.

도 3a는 본 발명에 따른 지불 거래를 수행하는 대표적인 절차를 나타낸 흐름도이다. 3A is a flowchart illustrating an exemplary procedure for performing a payment transaction in accordance with the present invention.

도 3b는 본 발명에 따른 지불 거래를 수행하는 대표적인 절차를 나타낸 흐름도이다. 3B is a flowchart illustrating an exemplary procedure for performing a payment transaction in accordance with the present invention.

도 4는 본 발명에 따른 지불 거래를 수행하는 대표적인 시스템을 나타낸 블록도이다. 4 is a block diagram illustrating an exemplary system for performing a payment transaction in accordance with the present invention.

도 5는 본 발명에 따른 지불 거래를 수행하는 대표적인 시스템을 나타낸 블록도이다. 5 is a block diagram illustrating an exemplary system for performing a payment transaction in accordance with the present invention.

본 발명의 다른 목적, 특징 및 이점은 본 발명의 실시예를 설명하기 위해 도시하는 첨부도면과 함께 상세한 설명으로부터 명백해질 것이다.Other objects, features and advantages of the present invention will become apparent from the following detailed description taken in conjunction with the accompanying drawings, which illustrate embodiments of the invention.

도면 전체에서, 특별히 언급하지 않는 한 동일한 도면부호 및 문자는 설명한 실시예의 같은 특징(feature), 요소(element), 성분(component) 또는 부분을 나타내기 위해 사용된다. Throughout the drawings, the same reference numerals and letters are used to indicate the same features, elements, components or parts of the described embodiments unless otherwise specified.

도 1은 본 발명의 실시예에 따른 보안 지불 거래를 수행하는 대표적인 시스 템을 나타낸 블록도이다. 시스템은 소비자(102), 상품 및/또는 서비스를 판매하는 상인(104), 매입사(acquirer)(106)[일반적으로 상인의 매입 은행(acquirering bank)] 및 상인과의 거래 수행에 사용되는 지불 계정을 발행한 발행자(108)[일반적으로 은행과 같은 금융기관]을 포함한다. 이 시스템은 또한 카드소유자의 계정에 관한 정보를 저장하는 카드소유자의 디렉토리/데이터베이스(110)[이하 디렉토리(110)라고 한다]를 포함할 수 있다. 디렉토리(110)는 MasterCard®(마스터카드)와 같은 지불 기관(payment organization)에 의해 조작되며, 인터넷 등의 네트워크에 연결된 서버 컴퓨터인 것이 바람직하다. 본 발명의 대표적인 실시예에 따르면, 이 시스템은 발행자 시스템(108)의 일부로서 발행자 가상 인증 서비스(114)와 짝을 이루는 발행자 액세스 제어 서버(112)를 더 포함하는 것이 바람직하다.1 is a block diagram illustrating an exemplary system for performing a secure payment transaction in accordance with an embodiment of the present invention. The system is a payment account used to conduct a transaction with a consumer 102, a merchant 104 selling goods and / or services, an acquirer 106 (typically an acquiring bank of the merchant) and the merchant. Issuer 108 (typically a financial institution such as a bank). The system may also include a cardholder's directory / database 110 (hereinafter referred to as directory 110) that stores information about the cardholder's account. Directory 110 is operated by the paying agency (payment organization) such as MasterCard ® (MasterCard), preferably a server computer connected to a network such as the Internet. According to a representative embodiment of the present invention, the system preferably further includes a publisher access control server 112 paired with a publisher virtual authentication service 114 as part of the publisher system 108.

소비자(102)는 전화를 통해 상인(104)과 거래를 수행할 수 있다. 본 발명의 방법 및 시스템은 소비자와 상인 사이의 거래를 수행하는데 사용되는 수단에 무관하게 구현될 수 있으며, 따라서 본 발명은 전화거래로 한정되지 않는다. 상인(104)에 의해 제공되는 상품이나 서비스에 대한 대금을 지불하는데 사용되는 지불 계정은 일반적으로 신용카드 계정, 직불카드(debit card) 계정, 및/또는 임의의 다른 유형의 지불카드(payment card) 계정이다. 이 계정은 반드시 그런 것은 아니지만 물리적인 카드와 관련되어 있다. 예를 들면, 소비자(102)가 사용하는 컴퓨팅 기기 상에 전자적으로 저장될 수 있는 가상의 카드(virtual card)와 연관될 수 있다. 소비자는 반드시 그런 것은 아니지만 카드 소유자일 수 있으며, 여기서 "소유 자(holder)라는 용어는 지불 계정이나 지불카드와 연관되고 사용이 허가된 한 사람이상의 개인을 포함한다.The consumer 102 may conduct a transaction with the merchant 104 over the telephone. The method and system of the present invention may be implemented irrespective of the means used to conduct a transaction between a consumer and a merchant, and therefore the present invention is not limited to telephone transactions. Payment accounts used to pay for goods or services provided by merchant 104 are generally credit card accounts, debit card accounts, and / or any other type of payment card. Account. This account is not necessarily, but is associated with a physical card. For example, it may be associated with a virtual card that may be electronically stored on a computing device used by the consumer 102. A consumer may be a cardholder, although not necessarily, where the term "holder" includes one or more individuals associated with and authorized to use a payment account or payment card.

본 발명에 따른 방법의 대표적인 일 실시예에서, 거래(120)는 MasterCard®와 같은 지불카드를 사용하여 소비자(102)와 상인(104) 사이에 수행된다. 구매하는 상품/서비스를 선택하여 상인(104)에게 주문을 하고, 그에 따라 계정 번호, 만료일, 및 카드 소유자의 성명과 같은 MasterCard® 신용카드 정보를 포함한 지불 계정 정보를 상인(104)에게 제공한다. 상인(104)은 네크워크에 연결되어 있는 컴퓨터 시스템을 사용하여, 인증 서비스 시에 카드 소유자의 참여를 결정하기 위해 질의(query)(122)를 MasterCard® 디렉토리와 같은 디렉토리(110)로 전송한다.In an exemplary embodiment of the method according to the invention, the transaction 120 is performed between the consumer 102 and the merchant 104 using a payment card such as MasterCard ® . Select a product / service to buy and offers to dealers (104) Traders (104) a payment account information, including MasterCard ® credit card information to your orders, and the name of the account number, expiration date, and card holder accordingly. Merchant 104 using a computer system that is connected to the network, it sends a query (query) (122) to determine the participation of the cardholder at the time of authentication to the directory service 110, such as MasterCard ® directory.

그러면 바람직하게는, 디렉토리(110)는 카드 소유자의 참여를 검증하기 위해 발행자 시스템(108)과 통신한다(124). 이 검증(124)은 발행자 액세스 제어 서버(112)와 함께 수행될 수 있는데, 발행자 액세스 제어 서버(112)는 발행자 시스템(108)의 일부인 것이 바람직하다. 카드 소유자가 본 발명에 따라서 설명된 것과 같은 인증 서비스를 사용하는 것으로 가정하면, 디렉토리(110)는 카드 소유자가 인증 서비스에 등록한 것을 검증하는 등록 검증 메시지(126)를 상인(104)에게 전송할 수 있다. 상인(104)이 등록 검증 메시지를 디렉토리(110)로부터 받은 후에, 상인(104)은 소비자(102)에게 인증이 수행될 것이고 인증의 수신에 따라 거래가 완료될 것임을 알릴 수 있다. 상인(104)은 그 후 발행자 인증 서비스(114)를 통해 발행자 액세스 제어 서버(112)로 인증을 위한 요청(130)을 송신하는 것이 바람직하 다. Preferably, directory 110 then communicates 124 with issuer system 108 to verify cardholder participation. This verification 124 may be performed in conjunction with the issuer access control server 112, which is preferably part of the issuer system 108. Assuming the cardholder uses an authentication service as described in accordance with the present invention, directory 110 may send a registration verification message 126 to merchant 104 verifying that the cardholder has registered with the authentication service. . After the merchant 104 receives the registration verification message from the directory 110, the merchant 104 may inform the consumer 102 that authentication will be performed and that the transaction will be completed upon receipt of the authentication. The merchant 104 then preferably sends a request 130 for authentication to the issuer access control server 112 via the issuer authentication service 114.

이제 본 발명의 특정 구현예에 따라 몇 가지 방법 중 하나를 사용하여 인증을 수행할 수 있다. 예를 들면, 전화 주문 인증 시스템 환경에서, 상인(104)은 전화선(또는 온라인 거래인 인터넷)을 통해 카드 소유자에게 인증을 수행하는데 사용될 수 있는 데이터를 제공할 것을 촉구한다. 하지만, 인증을 위한 몇몇 다른 절차가 또한 본 발명의 범위 내에서 실행될 수 있다.Authentication can now be performed using one of several methods in accordance with certain embodiments of the present invention. For example, in a telephone order authentication system environment, the merchant 104 urges the cardholder to provide data that can be used to perform authentication over a telephone line (or online transaction, the Internet). However, some other procedures for authentication may also be implemented within the scope of the present invention.

예를 들면, 대표적인 실시예에서, 거래의 코어(core) 프로토콜(예: 이하에 더욱 자세하게 설명하며 여기에 참조된 출원들과 관련이 있는 3-D 보안 프로토콜)의 확장이 실행될 수 있으며, 인증에 필요한 데이터는 다른 표준 3-D 보안 거래 과정에서 교환되는 메시지(VEReq, VERes, 및 PAReq 메시지 등)의 확장 "태그(tag)" 내에 전달될 수 있다. For example, in a representative embodiment, an extension of the core protocol of a transaction (e.g., a 3-D security protocol described in more detail below and related to the applications referenced herein) may be implemented and The necessary data can be carried in an extension "tag" of messages (such as VEReq, VERes, and PAReq messages) that are exchanged during other standard 3-D security transactions.

본 발명의 시스템 및 방법에 따른 다른 대표적인 실시예에서, 코어 프로토콜은 변경없이 실행될 수 있다. 이러한 일 실시예에서, 3-D 보안 프로토콜에 따른 모든 데이터 및 태그는 변화되지 않은 그대로이다. 하지만 인증 단계를 수행하기 위해, 상인은 발행자가 인증에 참여하는지를 독립적으로 결정하기 위해 제2 디렉토리를 질의할 수 있다. 만약에 발행자가 인증에 참여하면, 상인은 카드소유자에게 인증을 완료하기 위해 IVR(Interactive Voice Response, 쌍방향 음성 응답) 시스템을 호출하도록 지시할 수 있다.In another exemplary embodiment according to the systems and methods of the present invention, the core protocol may be executed without modification. In one such embodiment, all data and tags according to the 3-D security protocol remain unchanged. However, to perform the authentication step, the merchant can query the second directory to independently determine whether the issuer participates in authentication. If the issuer participates in the authentication, the merchant may instruct the cardholder to call the IVR (Interactive Voice Response) system to complete the authentication.

본 발명의 시스템 및 방법에 따른 또 다른 대표적인 실시예에서는, 전술한 바와 같이, 코어 프로토콜이 상인이 카드 소유자를 위해 인증 시스템에 데이터를 입력할 수 있도록 지엽적인 변경은 있지만 크게 변경되지 않을 수 있다. 이러한 시스템은 카드 소유자가 컴퓨터에 액세스할 수 없고 거래가 완료될 때까지 (필요한 인증 데이터를 발행자에게 제공하기 위해) 상인과의 전화 호출을 종결시키기를 원하지 않는 전화 거래에 특히 유익할 수 있다. 이러한 일 실시예에서, 3-D 보안 프로토콜이 변경될 수 있어, VERes 메시지 내의 액세스 제어 서버 URL 필드(field)가 카드 소유자를 위한 인증 데이터를 입력하도록 상인에게 촉구하기 위해 변경될 수 있다. 명백히, 카드 소유자가 소비자인 것이 바람직하며, 이와는 달리 소비자는 상인과의 거래에 대한 대금을 지불하도록 카드 소유자에게 허가받은 구매자일 수 있다. 후자의 경우는, 예를 들면 카드 소유자의 대리인이 카드 소유자를 위해 상품 또는 서비스를 구매하도록 지시를 받은 경우에 적용될 수 있다. 여기에 사용된 것처럼, 용어 "소유자"는 이러한 개인을 모두 포함한다.In another exemplary embodiment according to the system and method of the present invention, as described above, there are local changes but no major changes to the core protocol that allows merchants to enter data into the authentication system for cardholders. Such a system may be particularly beneficial for telephone transactions where the cardholder has no access to the computer and does not want to close the telephone call with the merchant until the transaction is complete (to provide the issuer with the necessary authentication data). In one such embodiment, the 3-D security protocol may be changed so that the access control server URL field in the VERes message may be changed to prompt the merchant to enter authentication data for the cardholder. Clearly, it is desirable for the cardholder to be a consumer; alternatively, the consumer may be a buyer authorized by the cardholder to pay for a transaction with the merchant. The latter case may apply, for example, if the agent of the cardholder is instructed to purchase goods or services for the cardholder. As used herein, the term "owner" includes all such individuals.

카드 소유자로부터 필요한 정보를 취득하기 위해 사용되는 절차에 상관없이, 인증을 목적으로 카드 소유자에 요청되는 정보는 발행자(108)가 보관하고 있는 임의의 정보를 포함할 수 있으며, 이는 발신자/구매자의 신원을 확인, 즉 발신자/구매자가 카드 소유자인 것을 검증하는 데 사용될 수 있다. 이와 같은 일례는 상인, 발행자 또는 자동화된 콜 센터(call center)에 카드 소유자의 SecureCodeTM(보안 코드)를 제공하기 위해 EMV 칩 카드(Chip Card) 및 카드 판독기를 사용하는 것일 것이다. 이 기술분야의 당업자에게 공지되어 있는 확인을 위한 기타 절차는, 동적인 보안 질문(security question), 발신자/구매자에 의한 DTMF(Dual Tone Multiple- Frequency) 사용자 입력, 음성 생체 분석(voice biometrics analysis), 또는 발신자/구매자가 카드 소유자인 것을 검증하기 위한 기타 모든 방법의 사용을 포함할 수 있다.Regardless of the procedure used to obtain the necessary information from the cardholder, the information requested by the cardholder for authentication purposes may include any information held by the issuer 108, which is the identity of the sender / buyer. Can be used to verify that the sender / buyer is the cardholder. One such example would be the use of an EMV Chip Card and card reader to provide a cardholder's SecureCode (security code) to a merchant, issuer or automated call center. Other procedures for verification known to those skilled in the art include dynamic security questions, dual tone multiple-frequency (DTMF) user input by sender / buyer, voice biometrics analysis, Or any other method for verifying that the sender / buyer is the cardholder.

본 발명에 따라는 시스템의 대표적인 실시예의 설명에 계속하여, 발행자 액세스 제어 서버(112)는, 거래가 정확히 인정된 것으로 결정한 경우, 거래가 인증되었음을 나타내는 인증 응답 메시지(132)를 발행자 인증 서비스(114)를 통해 상인(104)에 전송하는 것이 바람직하다. 그 후, 거래는, 이 기술분야에 다른 방법으로 알려져 있는 바와 같이, 예를 들면 상인(104)과 매입사(106) 사이의 통신(134) 및 매입사(106)와 발행자(108) 사이의 통신(136)을 통해 완료될 수 있다. 본 발명의 대표적인 일 실시예는 3-D(또는 3 도메인) 보안 인증 프로토콜과 같은 보안 프로토콜과 함께 실행될 수 있다. 3-D 보안 인증 프로토콜은 이 기술분야 공지되어 있으며, 전 지불 업계(payment industry)에서 일반적으로 채택되어 실행되고 있다. 본 발명은 2003년 6월 10일에 출원되고 발명의 명칭이 "Algorithm for use in a Secure Payment Application"인 미국 가특허출원 제60/477,187호 및 관련 출원들에 기술된 바와 같은 MasterCard®의 3-D 보안 실행과 함께 실시될 수 있으며, 이 가특허출원의 내용 전부는 참조에 의해 본 명세서에 통합된다. 하지만, 유의해야 할 것은, 본 발명의 범위는 3-D 보안 프로토콜을 사용하는 보안 거래를 위한 방법 및 시스템에 대한 이러한 실시로 제한되지 않으며, 여기에 기술된 개념은 관련 기술분야의 당업자에게 명백한 바와 같이 많은 방식으로 널리 적용될 수 있 다.In accordance with the present invention, following the description of a representative embodiment of the system, if the issuer access control server 112 determines that the transaction is correctly acknowledged, the issuer authentication service 114 generates an authentication response message 132 indicating that the transaction has been authenticated. It is desirable to send to the merchant 104 via. Thereafter, the transaction, for example, is known in the art, for example, the communication 134 between the merchant 104 and the acquirer 106 and the communication between the acquirer 106 and the issuer 108 (for example). 136). One exemplary embodiment of the invention may be implemented with a security protocol such as a 3-D (or three domain) security authentication protocol. 3-D security authentication protocols are known in the art and are generally adopted and implemented in the payment industry. The present invention is filed, and the title of the invention on June 10, 2003, "Algorithm for use in a Secure Payment Application" in the United States is of the MasterCard ® as described in the Patent Application No. 60/477 187 and No. 3 RELATED APPLICATIONS D may be practiced with a security implementation, the entire contents of which are incorporated herein by reference. It should be noted, however, that the scope of the present invention is not limited to this implementation of methods and systems for secure transactions using 3-D security protocols, and the concepts described herein will be apparent to those skilled in the art. Likewise, it can be widely applied in many ways.

MasterCard®의 3-D 보안 프로토콜의 실행을 이용하여 거래를 완료하는 것에 관한 부가적인 세부사항은 다음의 출원에서 찾을 수 있으며, 이들 모두의 내용 전부는 참조에 의해 본 명세서 통합된다:2001년 9월 26일에 출원되고, 발명의 명칭이 "A Universal and Interoperable System and Method Utilizing a Universal Cardholder Authentication Field (UCAF) For Authentication Data Collection and Validation"인 미국 특허출원 제09/963,274호; 2001년 4월 2일에 출원되고, 발명의 명칭이 "System and Method for Secure Payment Application (SPA) and Universal Cardholder Authentication"인 미국 가특허출원 제60/280,776호; 2001년 6월 4일에 출원되고, 발명의 명칭이 "Method and Process for a Secure Payment Application Using a Universal Cardholder Authentication Field"인 미국 가특허출원 제60/295,630호; 2001년 7월 24일 출원되고, 발명의 명칭이 "Method and System for Conducting Transactions Over a Communication Network Using a Secure Payment Application"인 미국 가특허출원 제60/307,575호; 2001년 6월 22일에 출원되고, 발명의 명칭이 "Method and System for Conducting Secure Payment Over a Computer Network Without a Pseudo or Proxy Account Number"인 미국 특허출원 제09/886,486호; 2001년 6월 22일에 출원되고, 발명의 명칭이 "Method and System for Conducting Secure Payments Over a Computer Network"인 미국 특허출원 제09/886,485호; 2002년 3월 11에 출원되고, 발명의 명칭이 "System and Method for Conducting Secure Payment Transactions"인 미국 특허출원 제10/096,271호; 2002년 1월 30일에 출원되고, 발명의 명칭이 "MasterCard UCAF TM and SPA TM Client-less Solutions"인 미국 가특허출원 제60/352,968호.Additional details on completing a transaction using MasterCard ® 's implementation of the 3-D security protocol can be found in the following application, all of which is hereby incorporated by reference in its entirety: September 2001 US patent application Ser. No. 09 / 963,274, filed on June 26, entitled "A Universal and Interoperable System and Method Utilizing a Universal Cardholder Authentication Field (UCAF) For Authentication Data Collection and Validation"; United States Provisional Patent Application 60 / 280,776, filed April 2, 2001, entitled "System and Method for Secure Payment Application (SPA) and Universal Cardholder Authentication"; United States Provisional Patent Application 60 / 295,630, filed June 4, 2001, entitled "Method and Process for a Secure Payment Application Using a Universal Cardholder Authentication Field"; United States Provisional Application No. 60 / 307,575, filed Jul. 24, 2001, entitled "Method and System for Conducting Transactions Over a Communication Network Using a Secure Payment Application"; US patent application Ser. No. 09 / 886,486, filed June 22, 2001, entitled "Method and System for Conducting Secure Payment Over a Computer Network Without a Pseudo or Proxy Account Number"; US patent application Ser. No. 09 / 886,485, filed Jun. 22, 2001, entitled "Method and System for Conducting Secure Payments Over a Computer Network"; US Patent Application No. 10 / 096,271, filed March 11, 2002, entitled " System and Method for Conducting Secure Payment Transactions "; United States Provisional Patent Application 60 / 352,968, filed January 30, 2002, entitled "MasterCard UCAF ™ and SPA ™ Client-less Solutions."

도 2a 및 도 2b는 3-D 보안 인증 프로토콜과 함께, 인증을 이용하여 도 1에 나타낸 지불 거래 시스템을 동작하는 대표적인 방법을 나타낸 것이다. 먼저, 소비자는 거래의 대상인 상품 및/또는 서비스를 선택한다(단계 202). 다음, 상인의 컴퓨터 시스템은 음성 인식 시스템에의 카드 소유자의 참여를 검증하기 위해 MasterCard® 디렉토리를 질의한다(단계 204). 바람직하게는, 이 질의는 본 명세서에 통합되는 앞서 언급한 참조문헌에 상세하게 기술된 바와 같은, 3-D 보안 VEReq(Verify Enrollment Request) 메시지의 형태일 수 있다. 명백히, 상인의 시스템은, 예를 들어 발행자(예: 발행자의 가상 팝업 서비스와 같은 발행자 측에 대한 플러그인을 통해) 및 디렉토리 시스템과의 호환성(compatibilty) 및 상호 운용성(interoperability)을 도모하기 위해 소프트웨어 플러그인(plug-in)으로 구성될 수 있다. 이 플러그인은 상인의 시스템으로부터의 데이터를 발행자의 시스템에서 사용하기 적합한 형태로 번역하기 위해, 그리고 그 반대로 번역하기 위해 사용된다. 이러한 플러그인은 본 발명에 따른 시스템 및 방법을 사용하기 위해 상인의 현재 시스템을 업그레이드를 편리하게 하는데 유용할 수 있지만, 그러한 업그레이는 본 발명의 범위 내에서 필연적인 것은 아니다. 또, 플러그인은 소프트웨어, 하드웨어 또는 이들을 일부 조합한 것일 수 있다.2A and 2B illustrate an exemplary method of operating the payment transaction system shown in FIG. 1 using authentication in conjunction with a 3-D secure authentication protocol. First, the consumer selects the goods and / or services that are the subject of the transaction (step 202). Next, the merchant computer system queries the MasterCard ® directory to verify the cardholder's participation in the voice recognition system (step 204). Preferably, this query may be in the form of a 3-D Secure Veren Enrollment Request (VEReq) message, as described in detail in the aforementioned references incorporated herein. Obviously, the merchant's system is a software plug-in, for example, to facilitate compatibility and interoperability with the publisher (eg through a plug-in to the publisher's side, such as the publisher's virtual pop-up service) and the directory system. (plug-in) can be configured. This plug-in is used to translate data from the merchant's system into a form suitable for use in the publisher's system and vice versa. Such a plug-in may be useful to facilitate upgrading a merchant's current system to use the systems and methods according to the present invention, but such an upgrade is not necessary within the scope of the present invention. In addition, the plug-in may be software, hardware, or some combination thereof.

다음에, MasterCard® 디렉토리는 카드소유자 참여를 검증하기 위해 발행자 액세스 제어 서버와 통신한다(단계 206). 카드 소유자의 참여가 검증된 것으로 가정하면, MasterCard® 디렉토리는 그 후 인증이 수행될 것임을 나타내는 등록 검증 메시지를 상인의 컴퓨터 시스템에 송신한다(단계 208). 바람직하게는, 등록 검증 메시지는 앞서 언급한 바와 같이 MasterCard®가 실행하는 3-D 보안에 따른 VERes 메시지의 형태일 수 있다. 또한 전술한 바와 같이, 이 메시지는 상인 시스템의 소프트웨어 플러그인에 의해 수신될 수 있으며, 플러그인은 상인의 현재 시스템과의 상호 운용성을 제공한다.The next, MasterCard ® directory publishers to communicate with the access control server to verify the cardholder involved (step 206). Assuming that the participation of cardholder verification, MasterCard ® directory sends a message indicating that registration verification After authentication is performed on the merchant's computer system (step 208). Preferably, the registration verification message may be in the form of a VERes message according to 3-D security executed by MasterCard ® as mentioned above. As also described above, this message may be received by the software plug-in of the merchant system, which provides interoperability with the merchant's current system.

상인은 카드 소유자 참여의 유효성을 확인해주는 VERes 메시지를 MasterCard® 디렉토리로부터 수신한 후, 인증 요청 메시지를 발행자 시스템에 송신할 수 있다(단계 210). 바람직하게는, 인증 요청 메시지는 3-D 보안 PAReq(Payer Authorization Request) 메시지일 수 있으며, 발행자 액세스 제어 서버에 의해 수신될 수 있다. PAReq 메시지는, 예를 들면 발행자가 인증을 수행할 수 있도록 해줄 정보를 포함하는 복수의 데이터 필드를 포함하는 것이 바람직하며, 또한 상인의 플러그인에 의해 발행자 액세스 제어 서버로부터 PAReq이 수신되지 않은 경우, 상인의 플러그인이 거래를 타임아웃할 수 있도록 해주는 날짜를 나타내는데 사용될 수 있는 "Request Expiration(요청 만료)" 필드를 포함할 수 있다.The merchant may receive a VERes message from the MasterCard ® directory confirming the validity of the cardholder participation and then send an authentication request message to the issuer system (step 210). Preferably, the authentication request message may be a 3-D secure Payer Authorization Request (PAReq) message and may be received by the issuer access control server. The PAReq message preferably includes a plurality of data fields containing information that will allow the issuer to perform authentication, for example, and if the PAReq has not been received from the issuer access control server by the merchant's plug-in, the merchant May include a "Request Expiration" field that can be used to indicate the date that allows the plug-in to time out the transaction.

발행자 액세스 제어 서버는 PAReq 메시지를 수신한 후, 인증을 개시할 수 있 다. 본 발명의 대표적인 실시예에서, 발행자 인증 서비스는 카드 소유자를 위한 전자적 양식(electronic form)을 준비하여 카드 소유자의 데이터를 입력하도록 상인에게 양식을 전송하는 "가상의 팝업(Virtual Pop-Up)" 서비스일 수 있다. 그 때에 상인은 발신자/구매자 관련 데이터를 전화를 통해 요청하고, 그 정보를 양식에 입력하며, 그 데이터를 카드 소유자의 인증을 위해 발행자에게 전송할 수 있다(단계 214)(이 대표적인 실시예를 Merchant-On_Behalf_Of, 즉 "MOBO" 접근 방식이라 부를 수 있으며, 도 3a와 관련하여 이하에 더욱 완전하게 설명한다). 도 3a 및 도 3b와 관련하여 이하에 더욱 완전하게 설명한 인증 절차의 완료할 때, 발행자 액세스 제어 서버에 의해 인증 절차의 결과를 나타내는 인증 응답이 생성되어 상인에게 전송된다(단계 222). 이 인증 응답은, 예를 들면 3-D 보안 프로토콜에 따라는 PARes 형태일 수 있다.The issuer access control server may initiate authentication after receiving the PAReq message. In a representative embodiment of the present invention, the issuer authentication service provides a "virtual pop-up" service that prepares an electronic form for the cardholder and sends the form to the merchant to enter the cardholder's data. Can be. The merchant may then request caller / buyer related data over the phone, enter the information into the form, and send the data to the issuer for cardholder authentication (step 214). On_Behalf_Of, or "MOBO" approach, which is described more fully below with respect to FIG. 3A). Upon completion of the authentication procedure described more fully below with respect to FIGS. 3A and 3B, an authentication response indicating the result of the authentication procedure is generated and sent to the merchant by the issuer access control server (step 222). This authentication response may be in the form of PARes, for example in accordance with a 3-D security protocol.

인증이 실패하거나 타임아웃되면, 거래는 실패 원인과 본 발명에 따른 특정 실시예의 시스템의 구성에 따라 여전히 개시될 수 있다. 하지만 인증 실패가 명백한 허가상의 문제로 인한 것이면, 잠재하는 부정 거래의 가능성을 알리고 인증은 거절되며(단계 218), 거래는 취소된다. 반대로, 인증이 성공적으로 완료되면(단계 220), 액세스 제어 서버는 인증 응답을 상인에게 전송할 수 있으며(단계 222), 거래는 3-D 보안 프로토콜에 따라 종래의 방식으로 완료될 수 있다(단계 224).If the authentication fails or times out, the transaction may still be initiated depending on the cause of the failure and the configuration of the system of the particular embodiment according to the present invention. However, if the authentication failure is due to an apparent permission problem, the possibility of potential fraudulent transactions is notified and authentication is rejected (step 218), and the transaction is canceled. Conversely, if authentication is successfully completed (step 220), the access control server may send an authentication response to the merchant (step 222) and the transaction may be completed in a conventional manner according to the 3-D security protocol (step 224). ).

인증(도 2a의 단계 214)을 실행하는 대표적인 절차는 도 3a에 나타나 있다. 이 대표적인 실시예에서, "MOBO" 접근법이 실행된다, 즉 상인이 카드 소유자로부터 인증 정보를 (예를 들어, 전화 거래 시에 전화를 통해) 요청하고, 전자적 양식 또 는 다른 수단을 통해 시스템에 인증 정보를 입력한다. 카드 소유자의 구매 시에, 상인은 상인 플러그인을 통해 발행자 액세스 제어 서버와 통신하여, 카드소유자가 인증 서비스에 등록되어 있는지 여부를 결정한다(단계 302). 응답 시에, 발행자는 ACS (Access Control Server) URL 요소(element) 안에 질의 문자열 파라미터(query string parameter) "IVRNO"를 포함하는 VERes 메시지를 전송할 수 있다. 예를 들면, 다음의 샘플 URL이 VERes 메시지에 포함될 수 있다:An exemplary procedure for performing authentication (step 214 of FIG. 2A) is shown in FIG. 3A. In this exemplary embodiment, the "MOBO" approach is implemented, i.e. the merchant requests authentication information from the cardholder (e.g., by phone during a telephone transaction) and authenticates the system via electronic form or other means. Enter the information. Upon purchase of the cardholder, the merchant communicates with the issuer access control server via the merchant plug-in to determine whether the cardholder is registered with the authentication service (step 302). In response, the issuer may send a VERes message containing a query string parameter "IVRNO" in an Access Control Server (ACS) URL element. For example, the following sample URL could be included in the VERes message:

https://securecode.issuer.om/authenticate.asp?IVRNO=MOBO https://securecode.issuer.om/authenticate.asp?IVRNO=MOBO

ACS URL에 부가된 이 추가적인 질의 문자열 파라미터는 상인의 플러그인에서 검출되며, 상인에게 카드 소유자가 전환 인증에 등록되어 있으며 상인이 규정된 인증 방식(예: SecureCodeTM)을 사용하여 MOBO 인증을 수행하여야 한다는 것을 나타낸다.This additional query string parameter appended to the ACS URL is detected by the merchant's plug-in, which tells the merchant that the cardholder is registered for conversion authentication and that the merchant must perform MOBO authentication using a prescribed authentication scheme (e.g. SecureCode TM ). Indicates.

다음에, 상인 플러그인은 PAReq 메시지를 생성하고, "##authentication-type=MOBO##"와 같은 상인 데이터 안에 name/value(이름/값) 쌍을 부가할 수 있다. 그 후 상인은 그 상인 데이터를 발행자 액세스 제어 서버에 전송할 수 있다(단계 306). 이 name/value 쌍은, 액세스 제어 서버에게 상인이 전송한 PAReq가 전자상거래/온라인 거래 인증과는 대조적으로 전화 인증을 위한 것임을 나타낸다. 상인은 그 후 발행자 액세스 제어 서버에 의해 제공되는 인증 웹페이지 상에 제공된 지시를 수행하고(단계 308), 카드 소유자로부터 필요한 인증 정보를 수집할 수 있다. 그런 다음 상인은 수신한 인증 정보를 액세스 제어 서버의 전자적 양식에 입력할 수 있다(단계 310). 전자적 양식(또는 "가상의 팝업")은 발행자 인증 서비스에 의해 제공되는 것이 바람직하다. 이 전자적 양식은 웹 인터페이스를 사용하여 인터넷을 통해 제공될 수 있거나, 또는 상인과 발행자 사이의 데이터의 안전한 보안 전송을 도모할 임의의 소프트웨어 애플리케이션을 사용하여 제공될 수 있다.The merchant plug-in can then generate a PAReq message and add name / value pairs to the merchant data, such as "## authentication-type = MOBO ##". The merchant may then send the merchant data to the issuer access control server (step 306). This name / value pair indicates that the PAReq sent by the merchant to the access control server is for phone authentication as opposed to e-commerce / online transaction authentication. The merchant may then perform the instructions provided on the authentication webpage provided by the issuer access control server (step 308) and collect the required authentication information from the cardholder. The merchant may then enter the received authentication information into an electronic form of the access control server (step 310). The electronic form (or "virtual popup") is preferably provided by the issuer authentication service. This electronic form may be provided over the Internet using a web interface, or may be provided using any software application that will facilitate secure secure transmission of data between merchants and publishers.

다음에, 발행자 액세스 제어 서버는 PARes를 바람직하게 생성하고(단계 312), 그 PARes를 PAReq의 TermURL에 규정된 URL에 송신한다. 상인 플러그인은 부호화된 PARes를 수신하고 디지털 서명을 추출하여 유효성을 확인할 수 있다(단계 314). 3-D 보안 프로토콜에 따르면, 상인은 그 후 PARes로부터 AAV(Application Authentication Value, 애플리케이션 인증 값)을 검색하고(retrieve), 그 AAV를 인증 메시지로 전달할 수 있다(단계 316). 끝으로, 상인은 3-D 보안 프로토콜 또는 기타 공지된 거래 프로토콜에 따라 거래를 완료할 수 있다(단계 318).Next, the issuer access control server preferably generates PARes (step 312), and sends the PARes to the URL specified in the TermURL of the PAReq. The merchant plug-in may receive the encoded PARes and extract the digital signature to verify validity (step 314). According to the 3-D security protocol, the merchant can then retrieve the Application Authentication Value (AAV) from the PARes and pass the AAV in an authentication message (step 316). Finally, the merchant may complete the transaction in accordance with the 3-D security protocol or other known trading protocol (step 318).

인증(도 2a의 단계 214)을 수행하는 다른 대표적인 절차는 도 3b에 나타나 있다. 이 대표적인 실시예에서, 쌍방향 음성 응답("IVR") 접근법이 실행된다, 즉 상인은 전화를 통해 발신자/구매자와의 거래를 수행하고, 발신자/구매자를 인증을 목적으로 구매자에게 인증 정보를 촉구하는 IVR 시스템에 전송하고 필요한 인증 단계를 실행한다.Another exemplary procedure for performing authentication (step 214 of FIG. 2A) is shown in FIG. 3B. In this exemplary embodiment, a two-way voice response ("IVR") approach is implemented, i.e. the merchant conducts a transaction with the sender / buyer over the telephone and prompts the buyer for authentication information for the purpose of authenticating the sender / buyer. Send to the IVR system and perform the required authentication steps.

카드 소유자의 구매 시에, 상인은 상인 플러그인을 통해 액세스 제어 서버와 통신하여 카드 소유자가 인증 서비스에 등록되어 있는지 여부를 결정할 수 있다(단계 320). 다음에, 발행자는 ACS(Access Control Server) URL 요소 내에 질의 문자열 파라미터 "IVRNO"를 포함하는 VERes 메지지를 전송할 수 있다(단계 322). 예를 들면, 다음의 샘플 URL이 VERes 메시지에 포함될 수 있다:Upon purchase of the cardholder, the merchant may communicate with the access control server via the merchant plug-in to determine whether the cardholder is registered with the authentication service (step 320). The issuer may then send a VERes message containing the query string parameter "IVRNO" in the Access Control Server (ACS) URL element (step 322). For example, the following sample URL could be included in the VERes message:

https://securecode.issuer.com/authenticate.asp?IVRNO=IVRhttps://securecode.issuer.com/authenticate.asp?IVRNO=IVR

ACS URL에 부가된 이 추가적인 질의 문자열 파라미터는 상인의 플러그인에서 검출되며, 상인에게 카드 소유자가 전화 인증에 등록되어 있으며 상인이 IVR 인증을 수행하여야 한다는 것을 나타낸다.This additional query string parameter added to the ACS URL is detected at the merchant's plug-in, indicating to the merchant that the cardholder is registered for phone authentication and the merchant should perform IVR authentication.

다음에, 상인 플러그인은 PAReq 메시지를 생성하고, 인증 위한 파라미터임을 나타내기 위해 name/value(이름/값) 쌍, 예를 들면: Next, the merchant plug-in generates a PAReq message, name / value pairs to indicate that it is a parameter for authentication, for example:

"##authentication-type=IVR;caller-id=14403528444;transfer-"## authentication-type = IVR; caller-id = 14403528444; transfer-

back=Y;transfer-number=18004681512##"back = Y; transfer-number = 18004681512 ## "

를 부가할 수 있다.Can be added.

그 후 상인은 PAReq를 발행자 액세스 제어 서버에 전송할 수 있다(단계 324). 예를 들면, 위의 값(value)은, 액세스 제어 서버에게 상인이 전송한 PAReq가 전자상거래/온라인 거래 인증과는 대조적으로 전화 인증을 위한 것이고, 인증 절차가 IVR이며, 바람직하게는 발신자 식별 정보, IVR 인증을 위해 고객이 전달(transfer)(연결)되어야 하는 전화 번호와 관련한 지시, 및 IVR 인증의 완료 시에 발신자가 상인에게 다시 전달되어야 하는지 여부를 IVR 시스템에 나타내는 TransBack 플래그와 같은, 정보를 또한 제공한다. 상인은 그 후 발신자를, IVR 인증을 개시하기 위해 질의 스트링 내에 제공된 전화 번호로 전달(연결)할 수 있다(단계 326). 발신자/구매자는 그런 다음 인증을 위해 발행자 IVR로 전달될 수 있다(단계 328). 인증은 본 발명의 범위 내에 포함되는 많은 상이한 절차를 사용하 여 수행될 수 있으며, 예를 들면 발신자/구매자에게 구매 정보를 확인하도록 촉구하고, 발신자/구매자에게 카드 소유자의 SecureCode(보안 코드)와 같은 인증 정보를 입력/말하도록 촉구하는 것을 포함할 수 있다. 다음에, 발행자 액세스 제어 서버는 발신자/구매자를 인증하고, PARes를 생성하고, 그 PARes를 TermURL 요소에 규정된 URL로 전송할 수 있다(단계 330). 카드 소유자는, 상인 데이터의 TransferBack 파라미터가 그렇게 지시하면 상인에게 다시 전달될 수 있다. 상인 플러그인은 그 후 부호화된 PARes를 수신하고 디지털 서명을 추출/유효성을 확인할 수 있다(단계 332). 3-D 보안 프로토콜에 따르면, 상인은 그 후 PARes로부터 AAV 검색하고, 그 AAV를 인증 메시지로 전달할 수 있다(단계 334). 끝으로, 상인은 3-D 보안 프로토콜 또는 기타 공지된 프로토콜에 따라 거래를 정상적으로 완료할 수 있다(단계 336).The merchant may then send the PAReq to the issuer access control server (step 324). For example, the above value means that the PAReq sent by the merchant to the access control server is for phone authentication as opposed to e-commerce / online transaction authentication, The authentication procedure is an IVR, preferably with caller identification information, an indication regarding the telephone number to which the customer must transfer (connect) for IVR authentication, and whether the caller should be forwarded back to the merchant upon completion of the IVR authentication. It also provides information, such as the TransBack flag indicating to the IVR system. The merchant may then forward (connect) the caller to the telephone number provided in the query string to initiate IVR authentication (step 326). The sender / buyer can then be forwarded to the issuer IVR for authentication (step 328). Authentication can be performed using many different procedures that fall within the scope of the present invention, for example, prompting the sender / buyer to confirm the purchase information, and asking the sender / buyer to obtain the cardholder's SecureCode. Prompting to enter / speak authentication information. The issuer access control server may then authenticate the sender / buyer, create PARes, and send the PARes to the URL specified in the TermURL element (step 330). The cardholder can be passed back to the merchant if the TransferBack parameter of the merchant data so instructs. The merchant plug-in may then receive the encoded PARes and extract / validate the digital signature (step 332). According to the 3-D security protocol, the merchant can then retrieve the AAV from the PARes and forward the AAV in an authentication message (step 334). Finally, the merchant can normally complete the transaction in accordance with the 3-D security protocol or other known protocol (step 336).

이 기술분야의 당업자는 도 1 내지 도 3b에 나타낸 방법 및 시스템이 적당한 소프트웨어의 제어로 동작하는 다양한 표준 컴퓨터 플랫폼을 사용하여 실시될 수 있음을 알 것이다. 어떤 경우에, 종래의 개인용 컴퓨터에 있어 주변 카드(peripheral card)와 같은 전용 컴퓨터 하드웨어가 전술한 방법의 운영 효율을 강화시키기 위해 사용될 수 있다.Those skilled in the art will appreciate that the methods and systems shown in FIGS. 1-3B may be practiced using various standard computer platforms that operate under the control of appropriate software. In some cases, dedicated computer hardware, such as a peripheral card, in a conventional personal computer may be used to enhance the operational efficiency of the methods described above.

도 4 및 도 5는 본 발명의 실시에 적절한 일반적인 컴퓨터 하드웨어를 나타낸 것이다. 도 4를 참조하면, 컴퓨터 시스템은 처리 섹션(410), 디스플레이(420), 키보드(430), 및 모뎀과 같은 통신 주변 기기(440)를 포함한다. 컴퓨터 시스템은 또한 프린터(460)를 포함한다. 컴퓨터 시스템은 일반적으로 데이터와 애플리케이 션 소프트웨어를 저장하기 위한 자기 매체(즉, 디스켓) 및/또는 광학 매체(예: CD-ROM이나 DVD)와 같은, 컴퓨터로 판독 가능한 매체를 판독하고 그 매체에 기록할 수 있는 하나 이상의 디스크 드라이브(47)를 포함한다. 시스템은 또한 일반적으로 하드 디스크 드라이브와 같은, 내부의 컴퓨터로 판독 가능한 매체(48)를 포함한다. 디지털 포인터(digital pointer)(490)(예: 마우스)와 지불 카드(400)를 판독하기 위한 카드 판독기(450)와 같은, 다른 입력 기기를 또한 포함할 수 있다. 도 4 및 도 5에 나타낸 바와 같은 컴퓨터 하드웨어는 도 1 내지 도 3b에 나타낸 소프트웨어를 실행하기 위해 사용될 수 있으며, 및/또는 소비자(102), 상인(104)( 및 전술한 관련된 상인 플러그인), 매입사(106), 발행자(108), 및 디렉토리(110)에 의해 사용되는 컴퓨터 프로세서의 기능을 수행하기 위해 사용될 수 있다.4 and 5 illustrate general computer hardware suitable for practicing the present invention. Referring to FIG. 4, a computer system includes a processing section 410, a display 420, a keyboard 430, and a communications peripheral 440, such as a modem. The computer system also includes a printer 460. Computer systems generally read and write computer-readable media, such as magnetic media (ie, diskettes) and / or optical media (eg, CD-ROMs or DVDs) for storing data and application software. One or more disk drives 47. The system also generally includes an internal computer readable medium 48, such as a hard disk drive. Other input devices may also be included, such as digital pointer 490 (eg, a mouse) and card reader 450 for reading payment card 400. Computer hardware as shown in FIGS. 4 and 5 may be used to execute the software shown in FIGS. 1-3 and / or the consumer 102, merchant 104 (and related merchant plug-ins described above), purchasers 106, publisher 108, and directory 110 may be used to perform the functions of a computer processor.

도 5는 처리 섹션(410)를 더욱 자세하게 나타낸 기능 블록도이다. 처리 섹션(410)은 일반적으로 처리 유닛(510), 제어 로직(520), 및 메모리 유닛(550)을 포함한다. 바람직하게는, 처리 섹션(410)은 또한 타이머(530)와 입출력 포트(540)를 포함할 수 있다. 처리 섹션(410)은 또한 처리 유닛에 사용되는 마이크로프로세서에 따라 코프로세서(co-processor)(560)를 포함할 수 있다. 제어 로직(520)은 처리 유닛(510)과 함께 메모리 유닛(550)과 입출력 포트(540) 사이의 통신을 처리하는데 필요한 제어를 제공한다. 타이머(530)는 처리 유닛(520)과 제어 로직(520)을 위한 타이밍 기준 신호를 제공한다. 코프로세서(560)는 암호화 알고리즘에서 요구되는 것과 같은, 실시간으로 복잡한 계산을 수행하기 위한 강화된 능력을 제공한다.5 is a functional block diagram illustrating the processing section 410 in more detail. Processing section 410 generally includes processing unit 510, control logic 520, and memory unit 550. Preferably, processing section 410 may also include a timer 530 and an input / output port 540. Processing section 410 may also include a co-processor 560 depending on the microprocessor used in the processing unit. The control logic 520, together with the processing unit 510, provides the control necessary to handle the communication between the memory unit 550 and the input / output port 540. The timer 530 provides timing reference signals for the processing unit 520 and the control logic 520. Coprocessor 560 provides enhanced capabilities for performing complex calculations in real time, as required by cryptographic algorithms.

메모리 유닛(550)은 휘발성 메모리, 비휘발성 메모리, 읽기 전용 메모리 및 프로그램 가능한 메모리와 같은, 상이한 타입의 메모리를 포함할 수 있다. 예를 들면, 도 5에 도시된 바와 같이, 메모리 유닛(550)은 ROM(Read-Only M)(552), EEPROM(Electrically Erasable Programmable Read-Only Memory)(554), 및 RAM(Random-Access Memory)(556)을 포함할 수 있다. 상이한 컴퓨터 프로세서, 메모리 구성, 데이터 구조 등이 본 발명의 실시예 사용될 수 있으며, 본 발명은 특정 플랫폼으로 한정되지 않는다. 예를 들면, 도 4 및 도 5에서 처리 섹션(410)이 컴퓨터 시스템의 일부로 나타나 있지만, 처리 섹션(410) 및/또는 그 구성요소는 PDA 또는 이동 전화에 통합될 수 있다.The memory unit 550 may include different types of memory, such as volatile memory, nonvolatile memory, read-only memory, and programmable memory. For example, as shown in FIG. 5, the memory unit 550 may include a read-only M (ROM) 552, an electrically erasable programmable read-only memory (EEPROM) 554, and a random-access memory (RAM). 556 may be included. Different computer processors, memory configurations, data structures, etc. may be used in embodiments of the invention, and the invention is not limited to a particular platform. For example, although processing section 410 is shown as part of the computer system in FIGS. 4 and 5, processing section 410 and / or its components may be integrated into a PDA or mobile phone.

비록 본 발명은 특정 대표적인 실시예와 관련하여 설명하였지만, 이 기술분야의 당업자는, 첨부된 특허청구범위에서 기술한 바와 같은 본 발명의 기술적 사상 및 범위를 벗어 나지 않으면서, 개시된 실시예에 대해 다양한 변화, 대체 및 변경을 가할 수 있음은 물론이다.Although the present invention has been described in connection with specific exemplary embodiments, those skilled in the art will appreciate that various changes may be made to the disclosed embodiments without departing from the spirit and scope of the invention as set forth in the appended claims. Of course, changes, substitutions and changes can be made.

Claims (26)

지불 계정(payment account)에서 지불이 처리되는, 상인과 고객 사이에 보안 거래를 수행하는 방법으로서,A method of performing a secure transaction between a merchant and a customer, where payment is processed in a payment account, 상기 지불 계정의 소유자와 관련된 제1 인증 정보를 포함하는 데이터베이스를 제공하는 단계;Providing a database containing first authentication information associated with an owner of the payment account; 상기 지불 계정과 관련된, 상기 거래의 수행에 사용될 지불 계정 정보를 제공하는 단계;Providing payment account information associated with the payment account to be used in performing the transaction; 액세스 제어 서버에 상기 지불 계정 정보를 포함하는 인증 요청( authentication request)을 송신하는 단계;Sending an authentication request including the payment account information to an access control server; 상인에 의해 인증 지시(authentication instruction)를 포함하는 정보를 수신하는 단계; Receiving, by the merchant, information including an authentication instruction; 상기 고객으로부터 제2 인증 정보를 수신하는 단계; 및Receiving second authentication information from the customer; And 상기 제1 인증 정보와 상기 제2 인증 정보를 비교하여, 상기 거래가 상기 지불 계정의 소유자에 의해 허가된 거래인지 여부를 결정하는 단계Comparing the first authentication information with the second authentication information to determine whether the transaction is a transaction authorized by the owner of the payment account; 를 포함하는 보안 거래의 수행 방법.Method of performing a security transaction comprising a. 제1항에 있어서,The method of claim 1, 상기 인증 요청에 응답하여 인증 응답을 송신하는 단계를 더 포함하는 보안 거래의 수행 방법.And transmitting an authentication response in response to the authentication request. 제2항에 있어서,The method of claim 2, 상기 인증 응답에 따라 상기 거래를 완료하기 위해 상기 지불 계정에서 상기 지불을 처리하는 단계를 더 포함하는 보안 거래의 수행 방법.Processing the payment in the payment account to complete the transaction in accordance with the authentication response. 제1항에 있어서,The method of claim 1, 상기 지불 계정 정보는 전화를 통해 제공되는, 보안 거래의 수행 방법.The payment account information is provided via telephone. 제1항에 있어서,The method of claim 1, 상기 지불 계정 정보는 컴퓨터 네트워크를 통해 제공되는, 보안 거래의 수행 방법.The payment account information is provided over a computer network. 제2항에 있어서,The method of claim 2, 상기 인증 요청 및 상기 인증 응답은 3-D 보안 인증 프로토콜(Secure authentication protocol)에 따라 포맷되는, 보안 거래의 수행 방법.The authentication request and the authentication response are formatted according to a 3-D Secure authentication protocol. 제1항에 있어서,The method of claim 1, 상기 인증 지시는 IVR(Interactive Voice Response) 인증에 관한 정보를 포함하는, 보안 거래의 수행 방법.The authentication indication includes information on Interactive Voice Response (IVR) authentication. 제1항에 있어서,The method of claim 1, 상기 인증 지시는 MOBO(Merchant-On_Behalf_Of) 인증에 관한 정보를 포함하는, 보안 거래의 수행 방법.And the authentication indication includes information about Merchant-On_Behalf_Of (MOBO) authentication. 소유자의 지불 계정에서 지불이 처리되는, 인증을 이용하여 보안 거래를 수행하는 방법으로, A method of performing a secure transaction using authentication, where payment is processed in the owner's payment account. 상기 지불 계정과 관련된, 상기 거래의 수행에 사용될 지불 계정 정보를 수신하는 단계; Receiving payment account information associated with the payment account to be used in performing the transaction; 상기 지불 계정 정보를 포함하는 한편 액세스 제어 서버로 하여금 전자적 양식(electronic form)을 표시하기 위해 사용되는 데이터의 송신을 자동으로 트리거(triger)하도록 하는 인증 요청을, 상기 액세스 제어 서버에 송신하는 단계;Sending an authentication request to the access control server, the authentication request including the payment account information and causing the access control server to automatically trigger the transmission of the data used to display the electronic form; 상기 소유자로부터 상기 전자적 양식을 통해 인증 정보를 수신하는 단계;Receiving authentication information from the owner via the electronic form; 상기 거래의 허가를 위해 상기 소유자를 인증하는 단계; 및Authenticating the owner for authorization of the transaction; And 상기 거래를 허가하는 단계Authorizing the transaction 를 포함하는 보안 거래의 수행 방법.Method of performing a security transaction comprising a. 제9항에 있어서,The method of claim 9, 상기 인증 요청에 응답하여 인증 응답을 송신하는 단계를 더 포함하는 보안 거래의 수행 방법.And transmitting an authentication response in response to the authentication request. 제10항에 있어서,The method of claim 10, 상기 인증 응답에 따라 상기 거래를 완료하기 위해 상기 지불 계정에서 상기 지불을 처리하는 단계를 더 포함하는 보안 거래의 수행 방법.Processing the payment in the payment account to complete the transaction in accordance with the authentication response. 제9항에 있어서,The method of claim 9, 상기 지불 계정 정보는 전화를 통해 제공되는, 보안 거래의 수행 방법.The payment account information is provided via telephone. 제9항에 있어서,The method of claim 9, 상기 지불 계정 정보는 컴퓨터 네트워크를 통해 제공되는, 보안 거래의 수행 방법.The payment account information is provided over a computer network. 제10항에 있어서,The method of claim 10, 상기 인증 요청 및 상기 인증 응답은 3-D 보안 인증 프로토콜에 따라 포맷되는, 보안 거래의 수행 방법.The authentication request and the authentication response are formatted according to a 3-D secure authentication protocol. 제9항에 있어서,The method of claim 9, 상기 인증 지시는 IVR 인증에 관한 정보를 포함하는, 보안 거래의 수행 방법.The authentication indication comprises information regarding IVR authentication. 제9항에 있어서,The method of claim 9, 상기 인증 지시는 MOBO 인증에 관한 정보를 포함하는, 보안 거래의 수행 방법.And the authentication indication comprises information regarding MOBO authentication. 인증을 사용하고 지불 계정에서 지불이 처리되는 보안 거래를 수행하는 방법으로서,A method of using secure authentication and conducting secure transactions where payments are processed by a payment account. 상기 지불 계정의 소유자와 관련된 제1 세트의 인증 정보를 적어도 포함하는 데이터베이스를 제공하는 단계;Providing a database comprising at least a first set of authentication information associated with an owner of the payment account; 상기 지불 계정과 관련된, 상기 거래의 수행에 사용될 지불 계정 정보를 수신하는 단계;Receiving payment account information associated with the payment account to be used in performing the transaction; 상기 거래의 수행과 관련된 상기 지불 계정 정보를 적어도 포함하는 인증 요청을 수신하는 단계;Receiving an authentication request including at least the payment account information associated with performing the transaction; 전자적 양식의 표시를 자동으로 트리거하는 단계;Automatically triggering the display of the electronic form; 상기 지불 계정의 소유자로부터 제2 세트의 인증 정보를 수신하는 단계;Receiving a second set of authentication information from an owner of the payment account; 상기 제2 세트의 인증 정보를 상기 전자적 양식에 입력하는 단계; 및Inputting the second set of authentication information into the electronic form; And 상기 제1 세트의 인증 정보와 상기 제2 세트의 인증 정보를 비교하여, 상기 거래가 상기 지불 정보의 소유자에 의해 허가된 거래인지 여부를 결정하는 단계Comparing the first set of authentication information with the second set of authentication information to determine whether the transaction is a transaction authorized by the owner of the payment information; 를 포함하는 보안 거래의 수행하는 방법.How to perform a security transaction comprising a. 제17항에 있어서,The method of claim 17, 상기 인증 요청에 응답하여 인증 응답을 송신하는 단계를 더 포함하는 보안 거래의 수행 방법.And transmitting an authentication response in response to the authentication request. 제18항에 있어서,The method of claim 18, 상기 인증 응답에 따라 상기 거래를 완료하기 위해 상기 지불 계정에서 상기 지불을 처리하는 단계를 더 포함하는 보안 거래의 수행 방법.Processing the payment in the payment account to complete the transaction in accordance with the authentication response. 제17항에 있어서,The method of claim 17, 상기 지불 계정 정보는 전화를 통해 제공되는, 보안 거래의 수행 방법.The payment account information is provided via telephone. 제17항에 있어서,The method of claim 17, 상기 지불 계정 정보는 컴퓨터 네트워크를 통해 제공되는, 보안 거래의 수행 방법.The payment account information is provided over a computer network. 제18항에 있어서,The method of claim 18, 상기 인증 요청 및 상기 인증 응답은 3-D 보안 인증 프로토콜에 따라 포맷되는, 보안 거래의 수행 방법.The authentication request and the authentication response are formatted according to a 3-D secure authentication protocol. 상기 지불 계정의 계정 소유자에 관한 제1 세트의 인증 정보를 적어도 포함하는 적어도 하나의 지불 계정에 관한 정보를 포함하는 서버 컴퓨터 서브시스템;A server computer subsystem including information relating to at least one payment account comprising at least a first set of authentication information about an account holder of the payment account; 자동화된 음성 응답 서브시스템; 및Automated voice response subsystem; And 인증 서브시스템Authentication subsystem 을 포함하며,Including; 상기 자동화된 음성 응답 서브시스템은, 제2 세트의 인증 정보를 취득하기 위해 호(call)를 상기 계정 소유자에게 연결하고,The automated voice response subsystem connects a call to the account holder to obtain a second set of authentication information, 상기 인증 서브시스템은 상기 제1 세트의 인증 정보와 상기 제2 세트의 인증 정보를 비교하여, 상기 거래가 상기 계정 소유자에 의해 허가된 거래인지 여부를 결정하는, 보안 거래를 수행하는 시스템.And the authentication subsystem compares the first set of authentication information with the second set of authentication information to determine whether the transaction is a transaction authorized by the account holder. 제23항에 있어서,The method of claim 23, wherein 상기 거래는 3-D 보안 인증 프로토콜에 따라 수행되는, 보안 거래를 수행하는 시스템.The transaction is performed according to a 3-D security authentication protocol. 상인과 계정 소유자 사이에 보안 거래를 수행하는 시스템으로서,A system for conducting secure transactions between merchants and account holders. 지불 계정의 계정 소유자에 관한 제1 세트의 인증 정보를 적어도 포함하는, 적어도 하나의 지불 계정에 관한 정보를 포함하는 서버 컴퓨터 서브시스템; 및A server computer subsystem comprising information relating to at least one payment account, the information including at least a first set of authentication information about an account holder of the payment account; And 가상의 전자적 양식 서브시스템Virtual electronic form subsystem 을 포함하며,Including; 상기 가상의 전자적 양식 서브시스템은 상기 상인에게 전자적 양식을 제공하고, The virtual electronic form subsystem provides the merchant with an electronic form, 상기 전자적 양식은 상기 상인으로부터 제2 세트의 인증 정보를 수신하며,The electronic form receives a second set of authentication information from the merchant, 상기 서버 컴퓨터 서브시스템은 상기 제1 세트의 인증 정보와 상기 제2 세트의 인증 정보를 비교하여, 상기 거래가 상기 계정 소유자에 의해 허가된 거래인지 여부를 결정하는, 보안 거래를 수행하는 시스템.And the server computer subsystem compares the first set of authentication information with the second set of authentication information to determine whether the transaction is a transaction authorized by the account holder. 제25항에 있어서,The method of claim 25, 상기 거래는 3-D 보안 인증 프로토콜에 따라 수행되는, 보안 거래를 수행하는 시스템.The transaction is performed according to a 3-D security authentication protocol.
KR1020067015137A 2004-01-23 2005-01-24 Systems and Methods for Security of Telephone Transactions and Computer Transactions Ceased KR20060135726A (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US53876104P 2004-01-23 2004-01-23
US10/764,099 US7360694B2 (en) 2003-01-23 2004-01-23 System and method for secure telephone and computer transactions using voice authentication
US10/764,099 2004-01-23
US60/538,761 2004-01-23

Publications (1)

Publication Number Publication Date
KR20060135726A true KR20060135726A (en) 2006-12-29

Family

ID=34830467

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067015137A Ceased KR20060135726A (en) 2004-01-23 2005-01-24 Systems and Methods for Security of Telephone Transactions and Computer Transactions

Country Status (8)

Country Link
EP (1) EP1709566A4 (en)
JP (1) JP2007523405A (en)
KR (1) KR20060135726A (en)
AU (1) AU2005208908B2 (en)
BR (1) BRPI0507070A (en)
CA (1) CA2554173A1 (en)
IL (1) IL176961A0 (en)
WO (1) WO2005072382A2 (en)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100654039B1 (en) * 2005-11-14 2006-12-05 에스케이 텔레콤주식회사 Authentication Method of Service Server in Wireless Internet and Payment Method Using the Same
DE102005061632B4 (en) * 2005-12-19 2015-11-19 T-Online International Ag Method and apparatus for authorization
BRPI0708276A2 (en) * 2006-03-02 2011-05-24 Visa Int Service Ass methods for effecting transaction authentication on an email order and telephone order and for authenticating to an online payment transaction
US7818264B2 (en) 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
CN101485128B (en) * 2006-06-19 2016-08-03 维萨美国股份有限公司 Portable consumer device verification system
JP5366837B2 (en) * 2007-03-16 2013-12-11 トムソン ライセンシング Intercepting calls at the base station level
US9443253B2 (en) 2009-07-27 2016-09-13 Visa International Service Association Systems and methods to provide and adjust offers
US10546332B2 (en) * 2010-09-21 2020-01-28 Visa International Service Association Systems and methods to program operations for interaction with users
US9697520B2 (en) 2010-03-22 2017-07-04 Visa U.S.A. Inc. Merchant configured advertised incentives funded through statement credits
US8359274B2 (en) 2010-06-04 2013-01-22 Visa International Service Association Systems and methods to provide messages in real-time with transaction processing
US9972021B2 (en) 2010-08-06 2018-05-15 Visa International Service Association Systems and methods to rank and select triggers for real-time offers
US9679299B2 (en) 2010-09-03 2017-06-13 Visa International Service Association Systems and methods to provide real-time offers via a cooperative database
US10055745B2 (en) 2010-09-21 2018-08-21 Visa International Service Association Systems and methods to modify interaction rules during run time
US9477967B2 (en) 2010-09-21 2016-10-25 Visa International Service Association Systems and methods to process an offer campaign based on ineligibility
US9558502B2 (en) 2010-11-04 2017-01-31 Visa International Service Association Systems and methods to reward user interactions
US10438299B2 (en) 2011-03-15 2019-10-08 Visa International Service Association Systems and methods to combine transaction terminal location data and social networking check-in
US10223707B2 (en) 2011-08-19 2019-03-05 Visa International Service Association Systems and methods to communicate offer options via messaging in real time with processing of payment transaction
US9466075B2 (en) 2011-09-20 2016-10-11 Visa International Service Association Systems and methods to process referrals in offer campaigns
US10380617B2 (en) 2011-09-29 2019-08-13 Visa International Service Association Systems and methods to provide a user interface to control an offer campaign
US10290018B2 (en) 2011-11-09 2019-05-14 Visa International Service Association Systems and methods to communicate with users via social networking sites
US10497022B2 (en) 2012-01-20 2019-12-03 Visa International Service Association Systems and methods to present and process offers
US10672018B2 (en) 2012-03-07 2020-06-02 Visa International Service Association Systems and methods to process offers via mobile devices
US10489754B2 (en) 2013-11-11 2019-11-26 Visa International Service Association Systems and methods to facilitate the redemption of offer benefits in a form of third party statement credits
US10419379B2 (en) 2014-04-07 2019-09-17 Visa International Service Association Systems and methods to program a computing system to process related events via workflows configured using a graphical user interface
US20150317630A1 (en) * 2014-04-30 2015-11-05 MasterCard Incorporated International Method and system for authentication token generation
US10354268B2 (en) 2014-05-15 2019-07-16 Visa International Service Association Systems and methods to organize and consolidate data for improved data storage and processing
US11210669B2 (en) 2014-10-24 2021-12-28 Visa International Service Association Systems and methods to set up an operation at a computer system connected with a plurality of computer systems via a computer network using a round trip communication of an identifier of the operation
US10565587B1 (en) * 2018-10-02 2020-02-18 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL1001387C2 (en) * 1995-10-10 1997-04-11 Nederland Ptt Facilitating unit for aiding ordering and payment of services
US6266640B1 (en) * 1996-08-06 2001-07-24 Dialogic Corporation Data network with voice verification means
GB2366432A (en) * 2000-09-04 2002-03-06 Sonera Smarttrust Oy Secure electronic payment system
WO2002071176A2 (en) * 2001-03-08 2002-09-12 Cyota Inc. Transaction system
US20020116333A1 (en) * 2001-02-20 2002-08-22 Mcdonnell Joseph A. Method of authenticating a payment account user
JP2002366869A (en) * 2001-06-11 2002-12-20 Sony Corp Electronic commerce assisting method and electronic commerce method using the same
US7707120B2 (en) * 2002-04-17 2010-04-27 Visa International Service Association Mobile account authentication service

Also Published As

Publication number Publication date
WO2005072382A3 (en) 2006-01-19
AU2005208908B2 (en) 2011-08-11
JP2007523405A (en) 2007-08-16
WO2005072382A2 (en) 2005-08-11
AU2005208908A1 (en) 2005-08-11
IL176961A0 (en) 2006-12-10
BRPI0507070A (en) 2007-06-19
EP1709566A4 (en) 2007-07-18
EP1709566A2 (en) 2006-10-11
CA2554173A1 (en) 2005-08-11

Similar Documents

Publication Publication Date Title
AU2005208908B2 (en) System and method for secure telephone and computer transactions
US20180240115A1 (en) Methods and systems for payments assurance
US8555358B2 (en) System and method for secure telephone and computer transactions using voice authentication
US10572875B2 (en) Online account authentication service
US8515871B2 (en) Authorizing use of a financial instrument
AU2001257280B2 (en) Online payer authentication service
KR100994289B1 (en) Mobile account verification service
US20070198410A1 (en) Credit fraud prevention systems and methods
MXPA05012969A (en) Customer authentication in e-commerce transactions.
AU2001257280A1 (en) Online payer authentication service
WO2008137540A1 (en) Method and system for controlling risk in a payment transaction
US7431207B1 (en) System and method for two-step payment transaction authorizations
US20050289052A1 (en) System and method for secure telephone and computer transactions
KR20180081099A (en) Transaction authorization
WO2019162879A2 (en) System, apparatus, and method for inhibiting payment frauds
MXPA06008274A (en) System and method for secure telephone and computer transactions
CN1910592A (en) System and method for secure telephone and computer transactions
ZA200606715B (en) System and method for secure telephone and computer transactions

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20060726

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20100118

Comment text: Request for Examination of Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20110416

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20110718

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20110416

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I