결제시장이 확대됨에 따라 결제사고에 대한 커지고 있다. 카드대체번호인 토큰으로 결제를 처리하는 “토큰 기술”에 대한 규격이 완성되었고, 금융사들은 이를 적극적으로 수용하고 있다. 특히, 핀테크 기술이 활성화되면서 온라인 서비스 제공 회사들도 토큰 기술을 적극적으로 수용하고 있는 추세이다. 토큰은 카드정보유출로 인해 부정거래를 방지하고자 하는 기술로 카드 대신 변환 또는 처리된 가상의 정보를 결제에 사용하는 기술이다. 이 과정에서 검증하고자 하는 당사자는 콘텐츠 아이템 네트워크로부터 복합 토큰을 수신하고, 암호화 키를 사용하여 클라이언트 디바이스에 대응하는 토큰의 진위를 검증 하고, 토큰을 사용하여 콘텐츠 아이템 동작을 추가로 프로세싱한다 (그림 1). 인터넷과 같은 컴퓨터 네트워크 환경에서 사용자는 서드파티 콘텐츠 아이템과 인터렉션하게 된다. 사용자는 서드 파티 콘텐츠 아이템과의 인터렉션을 나타내는 정보를 퍼블리셔에게 제공하게 된다. 이 과정에서 발생하는 문제는 온라인 사용자의 프라이버시를 보존하면서 온라인 사용자의 신원을 결정하는데 어려움이 있다. 앞의 문장에서 언급한 문제는 사용자의 신원을 정확하게 검증하려면 사용자의 신원을 검증하는 외부 소스에 대한 많은 쿼리가 필요하다. 또한, 특정 서드 파티 콘텐츠 아이템 배포 플랫폼에 용납되지 않는 대기 시간이 부과된다. 본 특허는 사용자의 신원 검증과 대기 시간 중 사용자의 신원 검증을 하는 방법에 관한 내용이다.
그림 1. 토큰 기반 인증
그림 2는 온라인 신원의 분산된 실시간 검증을 위한 환경 (100)을 도시하는 블록도이다. 환경 (100)은 적어도 하나의 클라이언트 컴퓨팅 시스템 (105)을 포함한다. 여기서 클라이언트 컴퓨팅 시스템 (105)은 적어도 하나의 프로세서 및 메모리를 포함할 수 있다. 메모리는 프로세서에서 실행될 때, 프로세서로 하여금 하나 이상의 동작들을 수행하게 하는 프로세서 실행가능 명령어들을 저장한다. 네트워크 (110)는 인터넷, 로컬, 와이드, 메트로 또는 다른 영역 네트워크, 인트라넷, 위성 네트워크, 음성 또는 데이터 모바일폰 통신 네트워크와 같은 다른 컴퓨터 네트워크들 및 이들의 조합과 같은 컴퓨터 네트워크를 포함한다. 환경 (100)의 클라이언트 컴퓨팅 시스템 (100)은 적어도 하나의 발급자 컴퓨팅 시스템 (115)과 네트워크 (110)를 통해 통신할 수 있다. 발급자 컴퓨팅 디바이스 (115)는 토큰 서명자 컴포넌트 (120) 및 하나 이상의 암호화 키 컴포넌트 (125)으로 구성되어 있다. 환경 (100)의 키 관리자 컴퓨팅 시스템 (130)은 키 분배 인프라 네트워크 (135)를 통해 적어도 하나의 발급자 컴퓨팅 시스템 (115) 및/또는 적어도 하나의 검증자 컴퓨팅 시스템 (140)과 통신할 수 있다. 검증자 컴퓨팅 시스템 (140)은 토큰 검증자 컴포넌트 (145) 및 복호화 키 컴포넌트 (150)를 포함한다. 검증자 컴퓨팅 시스템 (140)은 콘텐츠 아이템 네트워크 (155)를 통해 주 콘텐츠를 포함하는 웹사이트 또는 웹페이지와 같은 정보 리소스에 디스플레이하기 위한 서드 파티 콘텐츠 아이템 또는 생성물을 제공할 수 있다.
그림 2. 온라인 신원의 분산된 실시간 검증을 위한 블록도
그림 3은 키 관리자 (130)를 도시하는 블록도이다. 키 관리자 컴퓨팅 시스템 (130)은 키 관리 서비스 (205), 토큰 서명자 바이너리 (210), 토큰 검증자 바이너리 (215), 검증자 암호화 키 (220) 및 검증자 복호화 키 (225)로 구성된다. 키 관리 서비스 (205)는 발급자 컴퓨팅 시스템 및 검증자 컴퓨팅 시스템이 토큰 서명자 데이터 및 토큰 검증자 데이터를 요청하기 위해 인터페이스 할 수 있는 운영 체제에 의해 제공되는 애플리케이션 프로그래밍의 인터페이스일 수 있다. 토큰 서명자 바이너리 (210)를 이용하여 토큰 서명자 컴포넌트 개인 키를 발급자 컴퓨팅 시스템에 제공할 수 있다. 키 관리 서비스는 토큰 검증자 바이너리 (215)를 사용하여 토큰 검증자 컴포넌트 공개 키를 검증자 컴퓨팅 시스템에 제공할 수 있다. 특정 검증자 암호화 키 (220) 및 검증자 복호화 키 (225)를 생성함으로써 특정 검증자 컴퓨팅 시스템을 인증할 수 있다.
그림 3. 키 관리자를 나타내는 블록도
그림 4는 암호화된 복합 토큰의 생성을 위한 프로세스 (300)의 흐름도를 보여준다. 단계 (302)에서 당사자는 제1 당사자 토큰을 생성한다. 당사자는 제1 당사자 토큰을 발급자에게 전송한다 (단계 (304)). 제1 당사자 토큰을 전송하는 것은 암호화된 디지털 서명된 토큰에 대한 요청을 발급자에게 전송한다. 단계 (306)에서 발급자는 개인 키를 사용하여 단계 (304)에서 전송된 제1 당사자 토큰에 디지털 서명한다. 발급자에 의해 디지털 서명된 토큰을 수신하는 것은 단계 (302) 또는 단계 (304)에서 생성된 타임스탬프를 수신한다. 프로세스의 단계 (306)는 제1 당사자 토큰과 타임스탬프를 토큰-타임스탬프 쌍으로 연결한다. 단계 (306)에서 발급자는 디지털 서명 알고리즘(예를 들어, DSA, RSA 등)을 사용하여 제1 당사자 토큰에 디지털 서명할 수 있다. 단계 (308)는 각각이 검증 당사자에 대응하는 하나 이상 의 암호화 키를 수신하는 것을 포함할 수 있으며, 여기서 n은 암호화 키의 수와 동일하다. 프로세스 (300)는 단계 (310)에서 i번째 검증자 암호화 키를 사용하여 암호화된 디지털 서명된 토큰을 생성한다. 발급자 컴퓨팅 시스템 (115, 그림 2)의 암호화 키 컴포넌트 (125, 그림 2)는 현재 생성된 암호화된 디지털 서명된 토큰이 n번째 암호화된 디지털 서명된 토큰인지 여부를 결정한다. 여기서 n은 암호화 키 컴포넌트 (125, 그림 2)에 의해 유지되는 암호화 키의 수에 대응한다. 그렇지 않다면, 암호화 키 컴포넌트 (125, 그림 2)는 카운터 I (312)를 증가시킬 수 있고, 암호화 키 컴포넌트 (125, 그림 2)에 의해 유지되는 암호화 키로부터 다음 암호화 키를 선택 할 수 있다. 단계 (316)에서 프로세스 (300)는 암호화된 디지털 서명된 토큰으로부터 복합 토큰을 생성한다. 복합 토큰은 암호화된 디지털 서명 토큰 각각을 단일 데이터 구조로 연결하여 생성한다. 마지막으로 프로세스 (300)는 단계 (318)에서 복합 토큰을 제1 당사자 토큰 생성을 담당하는 당사자에게 제공한다.
그림 4. 암호화된 복합 토큰의 생성을 위한 프로세스의 흐름도
토큰 기술이 발달함에 따라 금융사들도 채택하면서 토큰을 통해 사용할 수 있는 범위가 점차 넓어질 것으로 보인다. 이제는 더 이상 복제의 위험을 가지고 있는 신용카드의 사용하지 않고, 가상의 토큰을 사용하여 안전하게 국내외에서 사용하는 날이 오지 않을까 기대해본다.
특허법인ECM
변리사 김시우
swkim@ecmpatent.com
02-568-2670
결제시장이 확대됨에 따라 결제사고에 대한 커지고 있다. 카드대체번호인 토큰으로 결제를 처리하는 “토큰 기술”에 대한 규격이 완성되었고, 금융사들은 이를 적극적으로 수용하고 있다. 특히, 핀테크 기술이 활성화되면서 온라인 서비스 제공 회사들도 토큰 기술을 적극적으로 수용하고 있는 추세이다. 토큰은 카드정보유출로 인해 부정거래를 방지하고자 하는 기술로 카드 대신 변환 또는 처리된 가상의 정보를 결제에 사용하는 기술이다. 이 과정에서 검증하고자 하는 당사자는 콘텐츠 아이템 네트워크로부터 복합 토큰을 수신하고, 암호화 키를 사용하여 클라이언트 디바이스에 대응하는 토큰의 진위를 검증 하고, 토큰을 사용하여 콘텐츠 아이템 동작을 추가로 프로세싱한다 (그림 1). 인터넷과 같은 컴퓨터 네트워크 환경에서 사용자는 서드파티 콘텐츠 아이템과 인터렉션하게 된다. 사용자는 서드 파티 콘텐츠 아이템과의 인터렉션을 나타내는 정보를 퍼블리셔에게 제공하게 된다. 이 과정에서 발생하는 문제는 온라인 사용자의 프라이버시를 보존하면서 온라인 사용자의 신원을 결정하는데 어려움이 있다. 앞의 문장에서 언급한 문제는 사용자의 신원을 정확하게 검증하려면 사용자의 신원을 검증하는 외부 소스에 대한 많은 쿼리가 필요하다. 또한, 특정 서드 파티 콘텐츠 아이템 배포 플랫폼에 용납되지 않는 대기 시간이 부과된다. 본 특허는 사용자의 신원 검증과 대기 시간 중 사용자의 신원 검증을 하는 방법에 관한 내용이다.
그림 1. 토큰 기반 인증
그림 2는 온라인 신원의 분산된 실시간 검증을 위한 환경 (100)을 도시하는 블록도이다. 환경 (100)은 적어도 하나의 클라이언트 컴퓨팅 시스템 (105)을 포함한다. 여기서 클라이언트 컴퓨팅 시스템 (105)은 적어도 하나의 프로세서 및 메모리를 포함할 수 있다. 메모리는 프로세서에서 실행될 때, 프로세서로 하여금 하나 이상의 동작들을 수행하게 하는 프로세서 실행가능 명령어들을 저장한다. 네트워크 (110)는 인터넷, 로컬, 와이드, 메트로 또는 다른 영역 네트워크, 인트라넷, 위성 네트워크, 음성 또는 데이터 모바일폰 통신 네트워크와 같은 다른 컴퓨터 네트워크들 및 이들의 조합과 같은 컴퓨터 네트워크를 포함한다. 환경 (100)의 클라이언트 컴퓨팅 시스템 (100)은 적어도 하나의 발급자 컴퓨팅 시스템 (115)과 네트워크 (110)를 통해 통신할 수 있다. 발급자 컴퓨팅 디바이스 (115)는 토큰 서명자 컴포넌트 (120) 및 하나 이상의 암호화 키 컴포넌트 (125)으로 구성되어 있다. 환경 (100)의 키 관리자 컴퓨팅 시스템 (130)은 키 분배 인프라 네트워크 (135)를 통해 적어도 하나의 발급자 컴퓨팅 시스템 (115) 및/또는 적어도 하나의 검증자 컴퓨팅 시스템 (140)과 통신할 수 있다. 검증자 컴퓨팅 시스템 (140)은 토큰 검증자 컴포넌트 (145) 및 복호화 키 컴포넌트 (150)를 포함한다. 검증자 컴퓨팅 시스템 (140)은 콘텐츠 아이템 네트워크 (155)를 통해 주 콘텐츠를 포함하는 웹사이트 또는 웹페이지와 같은 정보 리소스에 디스플레이하기 위한 서드 파티 콘텐츠 아이템 또는 생성물을 제공할 수 있다.
그림 2. 온라인 신원의 분산된 실시간 검증을 위한 블록도
그림 3은 키 관리자 (130)를 도시하는 블록도이다. 키 관리자 컴퓨팅 시스템 (130)은 키 관리 서비스 (205), 토큰 서명자 바이너리 (210), 토큰 검증자 바이너리 (215), 검증자 암호화 키 (220) 및 검증자 복호화 키 (225)로 구성된다. 키 관리 서비스 (205)는 발급자 컴퓨팅 시스템 및 검증자 컴퓨팅 시스템이 토큰 서명자 데이터 및 토큰 검증자 데이터를 요청하기 위해 인터페이스 할 수 있는 운영 체제에 의해 제공되는 애플리케이션 프로그래밍의 인터페이스일 수 있다. 토큰 서명자 바이너리 (210)를 이용하여 토큰 서명자 컴포넌트 개인 키를 발급자 컴퓨팅 시스템에 제공할 수 있다. 키 관리 서비스는 토큰 검증자 바이너리 (215)를 사용하여 토큰 검증자 컴포넌트 공개 키를 검증자 컴퓨팅 시스템에 제공할 수 있다. 특정 검증자 암호화 키 (220) 및 검증자 복호화 키 (225)를 생성함으로써 특정 검증자 컴퓨팅 시스템을 인증할 수 있다.
그림 3. 키 관리자를 나타내는 블록도
그림 4는 암호화된 복합 토큰의 생성을 위한 프로세스 (300)의 흐름도를 보여준다. 단계 (302)에서 당사자는 제1 당사자 토큰을 생성한다. 당사자는 제1 당사자 토큰을 발급자에게 전송한다 (단계 (304)). 제1 당사자 토큰을 전송하는 것은 암호화된 디지털 서명된 토큰에 대한 요청을 발급자에게 전송한다. 단계 (306)에서 발급자는 개인 키를 사용하여 단계 (304)에서 전송된 제1 당사자 토큰에 디지털 서명한다. 발급자에 의해 디지털 서명된 토큰을 수신하는 것은 단계 (302) 또는 단계 (304)에서 생성된 타임스탬프를 수신한다. 프로세스의 단계 (306)는 제1 당사자 토큰과 타임스탬프를 토큰-타임스탬프 쌍으로 연결한다. 단계 (306)에서 발급자는 디지털 서명 알고리즘(예를 들어, DSA, RSA 등)을 사용하여 제1 당사자 토큰에 디지털 서명할 수 있다. 단계 (308)는 각각이 검증 당사자에 대응하는 하나 이상 의 암호화 키를 수신하는 것을 포함할 수 있으며, 여기서 n은 암호화 키의 수와 동일하다. 프로세스 (300)는 단계 (310)에서 i번째 검증자 암호화 키를 사용하여 암호화된 디지털 서명된 토큰을 생성한다. 발급자 컴퓨팅 시스템 (115, 그림 2)의 암호화 키 컴포넌트 (125, 그림 2)는 현재 생성된 암호화된 디지털 서명된 토큰이 n번째 암호화된 디지털 서명된 토큰인지 여부를 결정한다. 여기서 n은 암호화 키 컴포넌트 (125, 그림 2)에 의해 유지되는 암호화 키의 수에 대응한다. 그렇지 않다면, 암호화 키 컴포넌트 (125, 그림 2)는 카운터 I (312)를 증가시킬 수 있고, 암호화 키 컴포넌트 (125, 그림 2)에 의해 유지되는 암호화 키로부터 다음 암호화 키를 선택 할 수 있다. 단계 (316)에서 프로세스 (300)는 암호화된 디지털 서명된 토큰으로부터 복합 토큰을 생성한다. 복합 토큰은 암호화된 디지털 서명 토큰 각각을 단일 데이터 구조로 연결하여 생성한다. 마지막으로 프로세스 (300)는 단계 (318)에서 복합 토큰을 제1 당사자 토큰 생성을 담당하는 당사자에게 제공한다.
그림 4. 암호화된 복합 토큰의 생성을 위한 프로세스의 흐름도
토큰 기술이 발달함에 따라 금융사들도 채택하면서 토큰을 통해 사용할 수 있는 범위가 점차 넓어질 것으로 보인다. 이제는 더 이상 복제의 위험을 가지고 있는 신용카드의 사용하지 않고, 가상의 토큰을 사용하여 안전하게 국내외에서 사용하는 날이 오지 않을까 기대해본다.
특허법인ECM
변리사 김시우
swkim@ecmpatent.com
02-568-2670