KR20200013494A - System and Method for Identification Based on Finanace Card Possessed by User - Google Patents
System and Method for Identification Based on Finanace Card Possessed by User Download PDFInfo
- Publication number
- KR20200013494A KR20200013494A KR1020180088748A KR20180088748A KR20200013494A KR 20200013494 A KR20200013494 A KR 20200013494A KR 1020180088748 A KR1020180088748 A KR 1020180088748A KR 20180088748 A KR20180088748 A KR 20180088748A KR 20200013494 A KR20200013494 A KR 20200013494A
- Authority
- KR
- South Korea
- Prior art keywords
- card
- user
- authentication
- information
- mobile communication
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
본 발명은 본인 인증 기술에 관한 것으로, 특히 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법에 관한 것이다. The present invention relates to identity authentication technology, and more particularly, to a financial card-based identity authentication system and method possessed by a user.
현재 유무선통신 기술의 발달과, 언제 어디서나 유무선통신망에 접속할 수 있는 휴대통신단말기들의 발달로 유비쿼터스 컴퓨팅 환경이 구축되었다.With the development of wired / wireless communication technology and the development of portable communication terminals that can connect to wired / wireless communication networks anytime and anywhere, a ubiquitous computing environment has been established.
이와 같이 유비쿼터스 컴퓨팅 환경이 구축됨에 따라 오프라인상에 수행되던 무수히 많은 일들이 온라인으로 이루어지고 있다. 그 중 대표적인 것들로는 은행의 인터넷뱅킹 및 모바일 뱅킹, 공공기관의 주민등록등본 발급, 쇼핑몰 등의 온라인 본인 인증 등이 될 수 있을 것이다.As such a ubiquitous computing environment is established, a myriad of things that have been done offline have been done online. The representative ones may be Internet banking and mobile banking of banks, issuance of resident registration copies of public institutions, and online identity verification of shopping malls.
그러나 온라인상에서 어떠한 행위를 하기 위해서는 그 행위를 하는 주체가 그 행위의 정당한 주체인지를 판단하여야 한다.However, in order to perform any act online, it is necessary to determine whether the subject performing the act is a legitimate subject.
이러한 주체, 즉 사용자 본인인지를 확인하기 위한 본인인증이 필요하게 되어 다양한 방식의 본인인증 방식들이 개발되어 적용되고 있다. 이러한 본인인증 방식으로는 지식기반 인증 방식, 생체기반 인증 방식 및 소지기반 인증 방식 등이 있을 수 있을 것이다.In order to verify the identity of the subject, that is, the user, it is necessary to authenticate a variety of methods of identity authentication has been developed and applied. Such identity authentication may include a knowledge-based authentication method, a biometric authentication method, and a possession-based authentication method.
지식기반 인증 방식으로는 아이디 및 패스워드 인증 방식, 개인식별번호(Personal Identification Number:PIN) 인증 방식 및 아이핀 인증방식 등이 있다. 그리고 생체기반 인증 방식으로는 지문, 음성, 홍채 및 정맥 인식 등을 이용한 인증 방식들이 있다. 또한, 소지기반 인증 방식으로는 일회용 패스워드(One Time Password: OTP) 인증 방식, 핸드폰, 휴대폰 및 스마트폰으로 불리는 이동 통신 단말을 이용한 SMS 승인번호 인증 방식 및 ARS 인증 방식 등이 있다.Knowledge-based authentication methods include ID and password authentication methods, Personal Identification Number (PIN) authentication methods and i-pin authentication methods. Bio-based authentication methods include authentication methods using fingerprint, voice, iris, and vein recognition. In addition, the base-based authentication method includes a one-time password (OTP) authentication method, an SMS authentication number authentication method and an ARS authentication method using a mobile communication terminal called a mobile phone, a mobile phone, and a smartphone.
이 중 보안성이 높은 소지기반 인증 방식이 많이 적용되고 있으나, ARS 인증 방식의 경우 인증 시점에서 사용자의 소지로 간주되는 유무선 전화기가 도용될 가능성이 있고, OTP 인증 방식은 분실 시 도용될 수 있으며, 이동 통신 단말을 이용한 SMS 인증 또한, 메모리 해킹을 통해 승인번호가 유출될 수 있는 문제점이 있다.Among them, many security-based authentication-based authentication methods are applied, but in the case of the ARS authentication method, there is a possibility that a wired / wireless phone that is considered to be the user's possession at the time of authentication may be stolen, and the OTP authentication method may be stolen if lost. SMS authentication using a mobile communication terminal also has a problem that the authorization number can be leaked through memory hacking.
따라서, 이러한 문제점을 해결하기 위해 보다 더 강력한 보안성이 있으면서도 간편하게 인증을 수행할 수 있는 인증 방식으로, 이동 통신 단말의 근거무선통신(Near Field Communication: NFC)을 이용하여 사용자들이 소지하는 금융카드의 접촉에 의한 카드 대면 인증과, 금융카드의 고유 식별정보(Unique ID: UID) 및 개인식별번호(Personal Identification Number: PIN)를 이용하여 카드정보의 노출없이 본인인증의 보안성을 높이면서도 본인인증을 간편하게 수행할 수 있는 본인 인증 시스템 및 방법을 제공한다.Therefore, in order to solve this problem, the authentication method that can be easily authenticated with a stronger security, using the near field communication (Near Field Communication (NFC)) of the mobile terminal of the financial card possessed by the user Card face-to-face authentication by contact, unique identification (UID) and personal identification number (PIN) of the financial card are used to increase the security of personal authentication without exposing card information. Provides a system and method for identity verification that can be easily performed.
본 발명은 카드사 서버를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 시스템으로, 타 어플리케이션으로부터 본인 인증 요청 신호를 수신함에 따라 구동되는 본인 인증 어플리케이션에 의해 금융 카드의 접근 가능한 정보를 독출하여 보안 응용 모듈(Secure Application Module : 이하 'SAM'로 기재함) 서버로 전송한 후, SAM 서버로부터 사용자가 소지한 금융 카드에 기록된 카드 블록 정보의 접근 권한인 인증키를 획득하고, 획득한 인증키를 이용하여 금융 카드로부터 근거리 무선 통신 기능을 통해 독출한 암호화된 카드 블록 정보를 SAM 서버에 전송하고, SAM 서버로부터 제1 공개키에 의해 암호화된 카드 정보를 수신함에 따라 금융 카드를 발급한 카드사 서버에 전송하여 본인 인증 요청하고, 카드사 서버로부터 수신된 본인 인증 결과를 타 어플리케이션으로 회신하는 이동 통신 단말과, 인증키를 제공받은 이동 통신 단말로부터 전송된 암호화된 카드 블록 정보를 복호화하고, 복호화된 카드 블록 정보로부터 추출된 카드 번호 및 유효 기간을 포함하는 카드 정보를 해당 금융 카드를 발급한 카드사에서 배포한 제1 공개키로 암호화하여 이동 통신 단말에 전송하는 SAM 서버와, 이동 통신 단말로부터 제1 공개키로 암호화된 카드 정보를 수신함에 따라, 카드 정보를 제1 공개키와 쌍을 이루는 제2 비밀키를 이용하여 복호화하고, 카드 정보를 고객 데이터베이스와 비교하여 본인 인증한 결과를 이동 통신 단말로 통보한다. The present invention is a financial card-based identity authentication system possessed by a user including a card company server, the security application module by reading the accessible information of the financial card by the identity authentication application driven in response to the identity authentication request signal from another application (Secure Application Module: hereinafter referred to as 'SAM') After sending to the server, obtain the authentication key which is the access right of the card block information recorded on the financial card possessed by the user from the SAM server, and use the obtained authentication key Transmits the encrypted card block information read out from the financial card through the short range wireless communication function to the SAM server, and receives the card information encrypted by the first public key from the SAM server to the card company server that issued the financial card. To verify your identity, and receive the results of the identity verification received from the card company server other applications Decrypts the encrypted card block information transmitted from the mobile communication terminal provided with the authentication key and returns the card information including the card number and the expiration date extracted from the decrypted card block information. The SAM server encrypts the first public key distributed by the card company that issued the service card to the mobile communication terminal and transmits the card information encrypted with the first public key from the mobile communication terminal to pair the card information with the first public key. The second secret key is used to decrypt the card information, and the card information is compared with the customer database.
본 발명은 근거리 무선 통신 기능이 탑재된 이동 통신 단말에서 실행되는 본인 인증 어플리케이션에서 구현되는 사용자가 소지한 금융 카드 기반 본인 인증 방법으로, 타 어플리케이션으로부터 본인 인증 요청 신호가 수신됨에 따라 금융 카드의 접근 가능한 정보를 독출하여 보안 응용 모듈(Secure Application Module : 이하 'SAM'로 기재함) 서버에 전송하는 단계와, SAM 서버로부터 사용자가 소지한 금융 카드에 기록된 카드 블록 정보의 접근 권한인 인증키를 획득하는 단계와, 획득된 인증키를 이용하여 금융 카드에 기록된 암호화된 카드 블록 정보를 근거리 무선 통신 기능 기능을 통해 독출하는 단계와, 독출된 암호화된 카드 블록 정보를 SAM 서버에 전송하는 단계와, SAM 서버로부터 금융 카드를 발급한 카드사에서 배포한 제1 공개키로 암호화된 카드 번호 및 유효 기간을 포함하는 카드 정보를 수신함에 따라, 금융 카드를 발급한 카드사 서버에 전송하여 본인 인증 요청하는 단계와, 카드사 서버로부터 회신된 본인 인증 결과를 타 어플리케이션으로 회신하는 단계를 포함한다.The present invention is a financial card-based identity authentication method possessed by a user implemented in an identity authentication application executed in a mobile communication terminal equipped with a short-range wireless communication function, and is accessible to a financial card as an identity authentication request signal is received from another application. Read the information and transmit it to the Secure Application Module (hereinafter referred to as 'SAM') server, and obtain an authentication key, which is an access right for the card block information recorded on the user's financial card, from the SAM server. And reading the encrypted card block information recorded on the financial card through the short range wireless communication function using the obtained authentication key, and transmitting the read encrypted card block information to the SAM server. Number encrypted with the first public key distributed by the card company that issued the financial card from the SAM server Follow the card information including the expiration date in the inbox, comprises the step of requesting the identity authentication server sends to the credit card companies issuing financial cards, identity authentication result returned from the card company server replies with other applications.
본 발명은 보안 응용 모듈(Secure Application Module : 이하 'SAM'로 기재함) 서버에서의 사용자가 소지한 금융 카드 기반 본인 인증 방법으로, 이동 통신 단말로부터 금융 카드의 접근 가능한 정보와 함께 금융 카드에 기록된 카드 블록 정보의 접근 권한인 인증키 발급이 요청됨에 따라, 이동 통신 단말로부터 전송된 정보를 통해 사용자를 인증한 후 이동 통신 단말로 인증키를 제공하는 단계와, 이동 통신 단말로부터 암호화된 카드 블록 정보가 전송됨에 따라, 암호화된 카드 블록 정보를 복호화하는 단계와, 복호화된 카드 블록 정보로부터 카드 번호 및 유효 기간을 포함하는 카드 정보를 추출하는 단계와, 추출된 카드 정보를 해당 금융 카드를 발급한 카드사에서 배포한 제1 공개키로 암호화하는 단계와, 암호화된 카드 정보를 이동 통신 단말에 전송하는 단계를 포함하는 한다.The present invention is a financial card-based self-authentication method possessed by a user in a secure application module (hereinafter referred to as 'SAM') server, and recorded in a financial card together with information accessible from the mobile communication terminal. In response to the request for issuing an authentication key, which is an access right for the received card block information, authenticating a user through information transmitted from the mobile communication terminal and providing the authentication key to the mobile communication terminal, and encrypting the card block from the mobile communication terminal. Decrypting the encrypted card block information as information is transmitted, extracting card information including a card number and an expiration date from the decrypted card block information, and issuing the extracted card information with the corresponding financial card. Encrypting with the first public key distributed by the card company, and transmitting the encrypted card information to the mobile communication terminal; And comprising a.
본 발명은 카드사 서버에서의 사용자가 소지한 금융 카드 기반 본인 인증 방법으로, 보안 응용 모듈(Secure Application Module : 이하 'SAM'로 기재함) 서버에 의해 카드사가 미리 배포한 제1 공개키로 암호화된 카드 번호 및 유효 기간을 포함하는 카드 정보를 획득한 이동 통신 단말로부터 암호화된 카드 정보 함께 본인 인증 요청됨에 따라, 암호화된 카드 정보를 제1 공개키와 쌍을 이루는 제1 비밀키로 복호화하는 단계와, 카드 정보를 고객 데이터베이스와 비교하여 본인 인증을 수행하는 단계와, 본인 인증 수행 결과를 이동 통신 단말로 통보하는 단계를 포함한다. The present invention is a financial card based identity authentication method possessed by a user in a card company server, and is encrypted with a first public key previously distributed by a card company by a secure application module (hereinafter referred to as 'SAM') server. Decrypting the encrypted card information with the first secret key paired with the first public key, as the user authentication request is made together with the encrypted card information from the mobile communication terminal acquiring the card information including the number and the valid period; Comparing the information with the customer database to perform identity authentication, and notifying the mobile communication terminal of the identity verification result.
본 발명은 이동 통신 단말의 NFC를 이용하여 사용자가 소지한 금융카드의 접촉에 의해 획득되는 금융카드 정보에 의해 금융카드 소지기반의 금융카드 대면 인증을 수행함으로써 보안성을 높일 수 있는 효과를 갖는다.The present invention has the effect of increasing the security by performing the financial card face-to-face authentication based on the financial card holding by the financial card information obtained by the contact of the financial card possessed by the user using the NFC of the mobile communication terminal.
본 발명은 금융카드의 대면 인증을 위한 금융카드의 카드정보 획득 시 보안응용모듈(Secure Application Module: SAM) 서버를 이용하여 금융카드의 유효성 검사 및 카드정보의 암호화 통신을 수행하므로 보안성을 향상시킬 수 있는 효과를 갖는다.The present invention improves security because it performs the verification of the financial card and encryption communication of the card information using a Secure Application Module (SAM) server when obtaining the card information of the financial card for face-to-face authentication of the financial card. Has the effect.
도 1은 본 발명의 일 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시 예에 따른 카드사 서버의 블록 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 방법을 설명하기 위한 신호 흐름도이다.
도 4는 본 발명의 다른 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 방법을 설명하기 위한 신호 흐름도이다.
도 5는 본 발명의 실시 예에 따라 SAM 서버에서 이동 통신 단말로 인증키가 제공되는 과정을 설명하기 위한 신호 흐름도이다.
도 6은 본 발명의 또 다른 실시 에에 따른 카드사 서버의 인증 방법을 설명하기 위한 순서도이다. 1 is a view showing the configuration of a financial card-based personal authentication system possessed by a user according to an embodiment of the present invention.
2 is a block diagram of a card company server according to an embodiment of the present invention.
3 is a signal flow diagram illustrating a financial card based personal authentication method possessed by a user according to an embodiment of the present invention.
4 is a signal flowchart illustrating a financial card-based identity authentication method possessed by a user according to another embodiment of the present invention.
5 is a signal flow diagram illustrating a process of providing an authentication key from a SAM server to a mobile communication terminal according to an embodiment of the present invention.
6 is a flowchart illustrating an authentication method of a card company server according to another embodiment of the present invention.
이하 첨부된 도면을 참조하여, 바람직한 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법에 대해 상세히 설명하면 다음과 같다. 여기서, 동일한 구성에 대해서는 동일부호를 사용하며, 반복되는 설명, 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다. 발명의 실시형태는 당업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.Hereinafter, with reference to the accompanying drawings, it will be described in detail with respect to the financial card-based identity authentication system and method possessed by the user according to the preferred embodiment as follows. Here, the same reference numerals are used for the same configurations, and detailed descriptions of well-known functions and configurations that may unnecessarily obscure the repeated description and the subject matter of the invention will be omitted. Embodiments of the invention are provided to more completely describe the invention for those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for clarity.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.Combinations of each block of the block diagrams and respective steps of the flowcharts may be performed by computer program instructions (executable engines), which may be executed on a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment. As such, instructions executed through a processor of a computer or other programmable data processing equipment create means for performing the functions described in each block of the block diagram or in each step of the flowchart.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory. It is also possible for the instructions stored therein to produce an article of manufacture containing instruction means for performing the functions described in each block of the block diagram or in each step of the flowchart.
그리고 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.And computer program instructions can also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps can be performed on the computer or other programmable data processing equipment to create a computer-implemented process that can be executed by the computer or other programmable data. Instructions for performing data processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.In addition, each block or step may represent a portion of a module, segment or code that includes one or more executable instructions for executing specific logical functions, and in some alternative embodiments referred to in blocks or steps It should be noted that the functions may occur out of order. For example, the two blocks or steps shown in succession may in fact be executed substantially concurrently, and the blocks or steps may also be performed in the reverse order of the corresponding function as required.
이하, 첨부 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다. 그러나 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다. 본 발명의 실시 예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공된다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, embodiments of the present invention illustrated in the following may be modified in many different forms, the scope of the present invention is not limited to the embodiments described in the following. Embodiments of the invention are provided to more fully describe the invention to those skilled in the art.
도 1은 본 발명의 일 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 시스템의 구성을 나타낸 도면이다.1 is a view showing the configuration of a financial card-based personal authentication system possessed by a user according to an embodiment of the present invention.
도 1을 참조하면, 사용자가 소지한 금융 카드 기반 본인 인증 시스템은 사용자가 소지한 금융 카드(1a, 1b), 이동 통신 단말(10), 보안응용모듈(Secure Application Module: 이하 'SAM'이라 기재함) 서버(20) 및 카드사 서버(30)를 포함한다.Referring to FIG. 1, the financial card-based identity authentication system possessed by a user includes the
이동 통신 단말(10), SAM 서버(20) 및 카드사 서버(30)는 유무선 데이터 통신망(미도시)을 통해 연결될 것이다. 여기서, 유무선 데이터 통신망은 와이파이(WiFi)망이 포함된 인터넷망과, 3G(Third Generation) WCDMA 방식, 4세대(4Generation:4G=Long Term Evolution(LTE))망 및 5세대 이동통신(5Generation Networks)을 포함하는 이동통신망이 결합되어 있는 통신망이다.The
본 발명에 따른 사용자가 소지한 금융 카드 기반 본인 인증은 사용자에게 임의의 서비스를 제공하기 위해 기관, 업체 및 매장 등에서 본인 인증 이벤트가 발생됨에 따라 이루어진다. 여기서, 기관은 온라인 및 오프라인의 은행, 증권사 및 보험사 등의 금융기관, 동사무소, 구청, 시청, 금융본인 인증원 등과 같은 관공서 등이 될 수 있으며, 업체는 인터넷 쇼핑몰 운영 업체, 다수의 매장을 가지는 오프라인 업체 등이 될 수 있을 것이다. Financial card-based identity verification possessed by the user according to the present invention is performed as an identity verification event occurs in an institution, a company, a store, etc. to provide any service to the user. Here, the institution may be a public institution such as banks, securities firms and insurance companies such as online and offline, government offices, ward offices, city halls, financial institutions, etc., and the company may be an Internet shopping mall operator or an offline company having a large number of stores. And so on.
금융 카드(1a, 1b)는 일반적인 신용카드, 교통카드 등과 같이 이동 통신 단말(10)과 접촉 또는 비접촉식으로 연결되어 금융 서비스, 교통서비스 등을 수행할 수 있는 모든 종류의 카드를 포함한다. 일 예로, 실물 신용 카드(1a) 및 모바일 카드(1b) 등이 포함될 수 있는데, 이러한 금융 카드(1a, 1b)에는 1 이상의 칩(Chip)이 내장되어 있으며, 이동 통신 단말(10)와 근거리 무선통신에 의하여 비접촉식으로 연결되어 데이터를 주고 받을 수 있는 RF 방식의 카드일 수 있다. 여기서, 근거리 무선통신은 RF, 적외선 통신, PAN 통신, 블루투스 통신 등 제한이 없으나, NFC(Near Field Communication) 프로토콜을 따르는 통신 방식인 것이 바람직하다. 또한, 이러한 금융 카드(1a, 1b)의 칩 내부에는 OS(Operation System)(미도시) 및 저장공간(미도시)이 구비되고, 저장공간은 2 이상의 섹터로 구분되어 각 섹터에는 보안정도에 따른 계층적인 카드 관련 정보가 저장될 수 있다. 이동 통신 단말(10)로부터 RF 방식으로 인증키가 전달됨에 따라, 금융 카드(1a, 1b)의 칩 내부에는 OS(Operation System)는 인증키를 이용한 인증 알고리즘을 수행하여, 각 섹터들에 저장된 카드 관련 정보를 RF 방식으로 이동 통신 단말(10)로 전달하여 줄 수 있다. 이에 대한 상세한 설명은 도 5를 참조하여 후술하기로 한다. The
이동 통신 단말(10)은 금융 카드(1a, 1b)와 SAM 서버(20) 또는 카드사 서버(30)를 연결시켜 금융 카드 소지 기반의 본인 인증 채널을 제공하는 통신 단말기로서, 일반적인 휴대폰, 스마트 폰 등의 개인 무선 통신 단말기일 수 있으나 그에 한정되는 것은 아니다. 즉, 이동 통신 단말(10)은 이러한 개인의 무선 통신 단말기에 한정되는 것은 아니며, 카드에 접속하여 카드에 저장된 정보들을 이용하여 해당되는 서비스를 중개해주는 단말로서, 기존의 VAN 통신망과 연결된 일반적인 신용카드 단말기 등과 같이 기타 다른 형태의 모든 무선 카드 단말기 또는 동글 단말기일수도 있을 것이다. The
이러한 이동 통신 단말(10)에는 본 발명에 의한 금융 카드(1a, 1b)를 소지한 사용자의 본인 인증을 위한 본인 인증 어플리케이션이 응용 프로그램(13a)으로서 설치될 수 있다. 본 발명에 따라, 이동 통신 단말(10)은 SAM 서버(20) 및 카드사 서버(30) 등과 무선 인터넷 통신을 수행하는 무선 통신부(11), 근거리 무선 통신을 통해 금융 카드(1a, 1b)에 기록된 정보를 독출하는 카드 리더부(12), 본인 인증 어플리케이션을 포함하는 응용 프로그램이 저장되는 메모리부(13), 본인 인증 어플리케이션의 프로세스 진행 상태를 포함한 사용자 인터페이스 정보를 디스플레이하고, 사용자로부터 정보를 입력받을 수 있는 터치 스크린 형태의 표시부(14) 및 설치된 본인 인증 어플리케이션을 실행하여 SAM 서버(20) 또는 카드사 서버(30)와의 무선 인터넷 통신을 통해 금융카드(1a, 1b)를 이용한 본인 인증 과정을 순차적으로 진행하는 제어부(15)를 구비한다.The
구체적으로 이동 통신 단말(10)의 사용자는 본인 인증 어플리케이션(13a)을 다운로드해서 제어부(15)에 설치 및 등록하고, SAM 서버(20)로 본인 인증 어플리케이션 사용 인증을 요청하게 된다. 이에, SAM 서버(20)는 본인 인증 어플리케이션을 통해 가맹점이나 사용자 정보가 인증되면 카드 접근 권한인 인증키를 이동 통신 단말(10)로 전송한다.Specifically, the user of the
이동 통신 단말(10)에 인증키가 수신되면, 인증키를 이용하여 금융 카드(1a, 1b)에 접근하여 본인 인증이 진행될 수 있으며, 이러한 본인 인증시에는 근거리 무선 통신 리더부(12)를 통해 암호화된 형태의 RF 카드 정보 즉, 카드 블록 정보를 먼저 독출한다. 카드 블록 정보는 해당 신용카드를 인식 또는 식별하기 위한 코드 정보로써 SAM 서버(20)로 전송된다. 이 후, SAM 서버(20)로부터 카드 블록 정보에 대응되는 카드 정보들이 제1 공캐키로 암호화된 상태로 수신되면 제어부(15)는 암호화된 해당 카드 정보와 사용자의 개인 식별 정보를 카드사 서버(30)로 송신 및 본인 인증 승인을 요청할 수 있다. 본 발명의 다른 실시 예에 따라, 이동 통신 단말(10)은 제1 공개키로 암호화된 카드 정보를 추가적으로 비대칭키 방식으로 암호화하되, 제2 비밀키로 암호화하여 전자 서명되도록 할 수도 있다. 제2 비밀키는 암호화키 분배 서버(미도시)로부터 본인만 소유하도록 분배되는 것으로, 제2 비밀키는 이동 통신 단말(10)만이 소유하고, 제2 비밀키와 쌍을 이루는 공개키는 불특정 다수에게 분배 가능하다. When the authentication key is received at the
SAM 서버(20)는 이동 통신 단말(10)에서 금융 카드(1a, 1b) 본인 인증 처리가 이루어질 수 있도록 본인 인증 어플리케이션을 통해 사용자 정보를 인증하고, 카드 접근 권한인 인증키를 이동 통신 단말(10)로 공급한다. 이와 아울러, SAM 서버(20)는 이동 통신 단말(10)로부터 카드 블록 정보가 수신되면, 카드 블록 정보를 복호화하여 카드 번호 및 유효 기간 등을 포함하는 카드 정보를 추출하고, 추출된 카드 정보를 암호화하여 이를 이동 통신 단말(10)에 되돌려 준다. SAM 서버(20)는 SAM(Secure Application Module)이 적어도 하나의 칩(chip) 형태로 구비되어 하드웨어 상태로 구성될 수 있다. 그리고, SAM 서버(20)는 SAM이 소프트웨어 상태로 서버에 프로그램화되도록 구성될 수도 있으며, 이때 SAM 서버(20)는 자체 구비된 PC나 무선 통신 수단을 통해 카드 블록 정보 및 해당 카드 정보와 본인 인증 정보 송수신 과정 등을 자동 처리하게 된다.The
또한, 상세하게는 SAM 서버(20)는 이동 통신 단말(10)에 설치된 본인 인증 어플리케이션을 통해 가맹점이나 사용자 정보 인증을 수행하고 카드 접근 권한으로 인증키를 전송하는 인증 서버(20A), 이동 통신 단말(10)로부터 암호화된 카드 블록 정보가 수신되면 이를 복호화하고, 복호화된 카드 블록 정보에 대응되는 카드 정보를 공개키로 암호화하여 이동 통신 단말(10)로 제공하는 부호화 서버(20B)를 구비한다.In addition, in detail, the
인증 서버(20A)는 이동 통신 단말(10)로부터 본인 인증 어플리케이션(13a)의 인증 요청시 이를 인증 및 인증키를 공급한다. 이러한 인증 서버(20)는 본인 인증 어플리케이션(13a)에 포함된 정보를 통해 본인 인증을 원하는 사용자를 확인 및 인증할 수 있다.The
부호화 서버(20B)는 이동 통신 단말(10)로부터 카드 블록 정보가 공급되면 해당 카드 블록 정보에 대응되는 카드 정보 즉, 카드 고유번호와 유효 기간 등이 포함된 정보들을 암호화하여 이동 통신 단말(10)로 제공한다. 이때, 본 발명에 따라, 부호화 서버(20B)는 카드사 서버(30)에서 배포한 공개키를 이용하여 카드 정보를 암호화한다. 즉, 본 발명에서는 암호화하는 키와 복호화할 때 사용하는 키가 상이한 비대칭키 암호화 방식을 사용하는데, 즉, 이는 타인에게 절대 노출되서는 안되는 비밀키(개인키)와 비밀키를 토대로 만든 공개키가 쌍을 이룬 형태이다. 본 발명에서 비밀키는 카드사 서버(30)가 보관하고, 공개키는 카드사 서버(30)에 의해 배포되어 부호화 서버(20B)에 의해 사용된다. When the card block information is supplied from the
카드사 서버(30)는 은행, 증권, 보험사 등의 다수의 서버들로 구성되는 서버 시스템이 될 수 있을 것이다. 카드사 서버(30)는 이동 통신 단말(10)로부터 본인인증 요청 정보를 수신하고, 본인인증 요청 신호에 포함된 카드정보와 사용자 식별정보에 대해 미리 등록되어 있는 카드정보를 비교하여 본인인증을 수행한 후, 본인인증 결과를 이동 통신 단말(10)로 제공한다.
카드사 서버(30)는 도 3 내지 도 6을 참조하여 후술될 사용자가 소지한 금융 카드 기반 본인 인증 방법을 수행하는 본인 인증 어플리케이션이 소프트웨어 상태로 프로그램화되어 저장되는 메모리를 포함하거나, 하드웨어 상태로 사용자가 소지한 금융 카드 기반 본인 인증 방법을 수행하는 프로세스 정보가 저장된 칩으로 구성되어, 자체 구비된 프로세싱 PC의 CPU를 통해 메모리에 저장되거나 칩으로 구성될 수 있다.The
도 2는 본 발명의 일 실시 예에 따른 카드사 서버의 블록 구성도이다.2 is a block diagram of a card company server according to an embodiment of the present invention.
도 2를 참조하면, 카드사 서버(30)는 복호화부(31), 고객 DB(32), 본인 인증 확인부(33) 및 메시지 발송 처리부(34)를 포함한다. 부가적으로, 인증 허용 시간 체크부(35) 및 인증 허용 시간 정보 DB(36)을 더 포함할 수 있다.Referring to FIG. 2, the
복호화부(31)는 수신된 제1 공개키로 암호화된 카드 정보를 제1 비밀키로 복호화함과 아울러 개인 식별 정보를 복호화한다. 이때, 본 발명의 다른 실시 예에 따라, 카드 정보는 2차에 걸쳐 암호화되어 있을 수 있다. 즉, 카드 정보는 1차 암호화키인 제1 공개키로 암호화된 후, 2차 암호화키인 제2 비밀키로 암호화되어 있을 수 있다. 그러면, 복호화부(31)는 제2 비밀키와 쌍을 이루는 제2 공개키로 카드 정보를 1차 복호화한 후, 제1 비밀키로 2차 복호화하여 카드 정보를 획득한다. 즉, 제2 비밀키는 이동 통신 단말(10)만이 보유하는 것으로, 이와 같이 제2 비밀키로 카드 정보를 암호화하여 전송하고, 카드사 서버(30)가 이를 제2 공개키로 복호화하게 될 경우, 개인 식별 기능이 한층 강화될 수 있다. 왜냐하면, 제2 비밀키는 이동 통신 단말(10)만이 가지고 있기 때문이다. The
본인 인증 확인부(33)는 카드 정보 및 개인 식별 정보를 고객 DB(32)의 정보와 비교하여, 본인 인증을 수행한다. 고객 DB(32)에는 카드 발급 정보를 저장하는 것으로, 고객별 카드 정보 및 개인 식별 정보를 저장한다. 즉, 수신된 카드 정보 및 개인 식별 정보가 고객 DB(32)에 저장된 정보와 일치하는 경우, 본인 인증되는 것으로 판단한다.The identity
메시지 발송 처리부(34)는 본인 인증 확인부(33)의 본인 인증 결과를 이동 통신 단말(10)에 통보한다. The message sending
부가적으로, 인증 허용 시간 체크부(35)는 인증 허용 시간 정보 DB(36)을 검색하여, 복호화된 카드 정보 및 개인 식별 정보에 상응하는 고객이 설정한 인증 허용 시간 정보를 추출해낸다. 즉, 고객별로 사전에 본인 인증 시간을 설정해놓을 수 있다. 따라서, 설정해놓은 시간이 아닌 시간에 본인 인증이 요청되는 경우, 이는 부정한 본인 인증 요청으로 간주하여, 본인 인증 요청을 수행하지 않고, 대신에 메시지 발송부(34)를 통해 본인 인증 요청 불가 및 카드 정보 도용 경고 메시지가 전송되도록 한다. 이로써, 본인 인증의 보안성을 한층 강화시킬 수 있다. In addition, the authentication
도 3은 본 발명의 일 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 방법을 설명하기 위한 신호 흐름도이고, 도 4는 본 발명의 다른 실시 예에 따른 사용자가 소지한 금융 카드 기반 본인 인증 방법을 설명하기 위한 신호 흐름도이고, 도 5는 본 발명의 실시 예에 따라 SAM 서버에서 이동 통신 단말로 인증키가 제공되는 과정을 설명하기 위한 신호 흐름도이다.3 is a signal flow diagram illustrating a financial card based personal authentication method possessed by a user according to an embodiment of the present invention, and FIG. 4 is a financial card based personal authentication method possessed by a user according to another embodiment of the present invention. 5 is a signal flow diagram illustrating a process of providing an authentication key from a SAM server to a mobile communication terminal according to an embodiment of the present invention.
도 3 및 4를 참조하면, 우선 사용자가 요청한 임의의 서비스에 대한 본인인증 이벤트가 발생에 따른 본인 인증 요청 신호가 수신됨(S101)에 따라, 이동 통신 단말(10)은 사용자에 의해 미리 다운로드되어 설치된 본인 인증 어플리케이션을 실행한다. 이러한 본인인증 요청은 사용자에게 임의의 서비스를 제공하기 위해 기관, 업체 및 매장 등에서 본인 인증 이벤트가 발생됨에 따라 이루어질 수 있다. 또한, 이러한 본인 인증 요청 신호는 이동 통신 단말(10)을 통해 기관, 업체 및 매장 등에서 실행되는 타 어플리케이션으로부터 발생되는 신호일 수 있다. 예컨대, 대학으로부터 성적 증명서 발급 서비스를 제공받을 경우, 증명서 발급 어플리케이션으로부터 본인 인증 요청 신호가 발생될 수 있고, 쇼핑 결제 서비스를 제공받을 경우, 해당 업체의 결제 어플리케이션으로부터 본인 인증 요청 신호가 발생될 수 있다. Referring to FIGS. 3 and 4, first, as the user authentication request signal is received according to the user authentication event for any service requested by the user (S101), the
이동 통신 단말(10)은 SAM 서버(20)와의 무선 통신으로 본인 인증 어플리케이션을 인증 요청하여 사용자 정보가 인증되도록 한다. 이때, SAM 서버(20)는 이동 통신 단말(10)에 설치된 본인 인증 어플리케이션(13a)을 통해 사용자 정보를 인증하고, 카드 블록 정보를 리딩할 수 있는 인증키를 공급한다(S102). 인증키는 금융 카드(1a, 1b)에서 사용자 인증정보가 저장된 저장공간으로의 접속을 가능하게 보안 접속키일 수 있다. 본 발명에 따른 인증키 제공의 실시 예에 대해 도 4를 참조하여 설명하기로 한다. The
도 5를 참조하면, 이동 통신 단말(10)은 근거리 무선 통신 리더부(12)를 구동하여, 금융카드(1a, 1b)의 고유 식별정보(Unique ID: UID) 또는 칩 시리얼 번호(Chip Serial Number : CSN)를 획득하여 카드정보를 읽을 준비를 한다(S210). 상세하게는, 본인 인증 어플리케이션의 실행에 의해 구동되어 근거리 무선 통신 리더부(12)를 활성화시킨 후, 표시부(14)를 통해 금융카드(1a, 1b)를 접촉시킬 것을 요청하는 메시지를 표시하고, 이에 응답하여 금융카드(1a, 1b)가 근거리 무선 통신 리더부(12)에 접촉되면 근거리 무선 통신 리더부(12)를 통해 고유 식별정보(Unique ID: UID) 또는 칩 시리얼 번호(Chip Serial Number : CSN)를 획득할 수 있다. 여기서, 고유 식별정보(Unique ID: UID) 또는 칩 시리얼 번호(Chip Serial Number : CSN)는 별도의 인증키 없이 이동 통신 단말(10)이 RF 방식으로 읽어들일 수 있는 정보로, 4 byte의 정보일 수 있다. Referring to FIG. 5, the
이동 통신 단말(10)은 UID 또는 CSN을 SAM 서버(20)에 전송하여 1차 인증키를 요청한다(S220). 그러면, SAM 서버(20)는 UID 또는 CSN를 가지는 금융카드(1a, 1b)를 통해 위조 여부 등을 검증하여 1차 인증키를 이동 통신 단말(10)에 제공한다(S230). 여기서, 1차 인증키는 6 byte의 정보일 수 있다. 그러면, 이동 통신 단말(10)은 근거리 무선 통신 리더부(12)를 구동하여 SAM 서버(20)로부터 제공된 1차 인증키를 이용하여 금융 카드(1a, 1b)로부터 카드 정보 중 제1 섹터(1st sector) 정보를 독출한다(S240). 즉, 금융카드(1a, 1b)는 이동 통신 단말(10)로부터 1차 인증키가 RF 방식으로 수신됨에 따라, 해당 1차 인증키가 정당할 경우 저장 공간에 저장된 제1 섹터 정보를 이동 통신 단말(10)로 전달하여 준다. The
그런 후, 이동 통신 단말(10)은 제1 섹터(1st sector) 정보를 SAM 서버(20)에 전송하여 2차 인증키를 요청한다(S250). 그러면, SAM 서버(20)는 제1 섹터(1st sector) 정보를 인증하고, 암호화된 카드 블록 정보에 접근 권한을 갖는 2차 인증키를 이동 통신 단말(10)에 전송한다(S260).Thereafter, the
다시 도 3 및 4를 참조하면, 이동 통신 단말(10)의 사용자의 인증 처리가 수행된 후에는 SAM 서버(20)로부터 카드 접근 권한인 인증키를 이용해 사용자가 직접 금융 카드(1a, 1b)를 이동 통신 단말(10)에 태깅하면, 이동 통신 단말(10)은 근거리 무선 통신 리더부(12)를 카드 블록 정보를 독출한다(S110). 여기서, 인증키는 도 5에서 획득된 2차 인증키일 수 있다. 여기서, 카드 블록 정보는 암호화된 정보이다. 이동 통신 단말(10)은 무선 통신부(11)를 통해 카드 블록 정보를 SAM 서버(20)로 전송한다(S120). Referring to FIGS. 3 and 4 again, after authentication processing of the user of the
그러면, SAM 서버(20)는 카드 블록 정보를 수신함에 따라, 카드 블록 정보를 복호화한다(S130). 그런 후, SAM 서버(20)는 복호화된 카드 블록 정보 중에서 본인 인증을 위한 카드 정보를 추출(S135)하여, 금융 카드(1a, 1b)를 발급한 카드사 서버(30)에 의해 배포된 제1 공개키를 이용하여 추출된 카드 정보를 암호화한다(S140). 여기서, 카드 정보는 카드 번호 및 유효 기간을 포함할 수 있다. 그런 후, SAM 서버(20)는 카드 정보를 제1 공개키로 암호화된 상태로 이동 통신 단말(10)에 전송한다(S150). Then, the
도 3에 도시된 본 발명의 일 실시 예에 따라, 이동 통신 단말(10)은 암호화된 상태로 수신된 카드 정보를 수신함에 따라, 암호화된 카드 정보와 함께 개인 식별 번호(Personal Identification Number : PIN)를 카드사 서버(30)에 전송하여 본인 인증을 요청한다(S160, S170). According to an embodiment of the present invention illustrated in FIG. 3, as the
즉, 이동 통신 단말(10)은 개인 식별 번호를 입력할 것을 요청하는 메시지를 표시하고, 입력 수단을 통해 입력되는 PIN을 획득하여 암호화한다(S160). 여기서, 사용자 식별정보는 사용자 이름, 생년월일, 주민등록번호, 이동 통신 단말 전화번호 등 중 하나 이상이 될 수 있으나, 생년월일 또는 이동 통신 단말 전화번호인 것이 바람직할 것이다. 여기서, 이동 통신 단말(10)과 사용자가 소지한 휴대 단말은 동일할 수도 있고, 이동 통신 단말(10)이 가맹점에 설치된 단말기일 경우 사용자가 소지한 휴대 단말은 이동 통신 단말(10)과 상이할 수도 있다. That is, the
한편, 도 4에 도시된 본 발명의 다른 실시 예에 따라, 이동 통신 단말(10)은 제1 공개키로 암호화된 카드 정보를 추가적으로 제2 비밀키로 암호화할 수 있다(S155). 이를 위해, 이동 통신 단말(10)은 사전에 암호화키 분배 서버(미도시)로부터 이동 통신 단말만이 보유할 암호화키인 제2 비밀키를 미리 분배받아 둘 수 있다. 제2 비밀키는 암호화키 분배 서버(미도시)로부터 본인만 소유하도록 분배되는 것으로, 제2 비밀키는 이동 통신 단말(10)만이 소유하고, 제2 비밀키와 쌍을 이루는 공개키는 불특정 다수에게 분배 가능하다. 즉, 현재의 신용카드 등은 실물 카드 자체를 불법적으로 취득한 경우, 취득자가 신용카드를 사용하여 불법적으로 결제하는 것이 가능하므로, 카드 분실시 그의 불법적인 사용을 막을 방법이 존재하지 않는다. 따라서, 이를 통해 카드 소지자의 본인 인증을 강화시킬 수 있다. Meanwhile, according to another exemplary embodiment of the present invention illustrated in FIG. 4, the
또한, 도 3에 도시된 본 발명의 일 실시 예에 따라, 본인인증 요청 신호를 수신한 카드사 서버(30)는 본인인증 요청 신호에 포함된 카드 정보를 제1 비밀키로 복호화한다(S180). 상세하게는, 제1 공개키로 복호화된 카드 정보를 제1 공개키와 쌍을 이루는 제2 비밀키로 복호화한다. 한편, 도 4에 도시된 본 발명의 다른 실시 예에 따라, 카드 정보는 2차에 걸쳐 암호화되어 있을 수 있다. 즉, 카드 정보는 1차 암호화키인 제1 공개키로 암호화된 후, 2차 암호화키인 제2 비밀키로 암호화되어 있을 수 있다. 그러면, 복호화부(31)는 제2 비밀키와 쌍을 이루는 제2 공개키로 카드 정보를 1차 복호화(S175)한 후, 제1 비밀키로 2차 복호화하여 카드 정보를 획득한다(S185). 즉, 제2 비밀키는 이동 통신 단말(10)만이 보유하는 것으로, 이와 같이 제2 비밀키로 카드 정보를 암호화하여 전송하고, 카드사 서버(30)가 이를 제2 공개키로 복호화하게 될 경우, 개인 식별 기능이 한층 강화될 수 있다. 왜냐하면, 제2 비밀키는 이동 통신 단말(10)만이 가지고 있기 때문이다. 이러한 제2 공개키는 암호화키 분배 서버(미도시)로부터 실시간으로 요청하거나, 고객 DB(32)에 카드 사용자의 개인 식별 정보와 함께 매칭되어 저장되어 있을 수 있다. In addition, according to an embodiment of the present invention shown in FIG. 3, the
카드사 서버(30)는 복호화된 카드 정보와 개인 식별 정보로 고객 DB(32)를 검색하여 본인 인증을 수행한다(S185). 이때, 카드사 서버(30)는 본인 인증을 수행함에 있어 미리 설정된 허용 타임 슬롯(time slot) 기반으로 본인 인증을 수행할 수 있는데, 이는 카드 정보 도용을 막기 위한 일종의 사이렌 서비스로, 이에 대한 상세한 설명은 도 5를 참조하여 후술하기로 한다. The
그런 후, 카드사 서버(30)는 이동 통신 단말(10)로 본인 인증 결과를 통보한다(S190). 이때, 본인인증 결과는 이동통신 메시지로 전송될 수 있을 것이다. 이때, 본인 인증 결과는 단문메시지서비스(Short Message Service: SMS), 장문메시지서비스(Long Message Service: LMS), 멀티미디어메시지서비스(Multimedia Message Service: MMS) 등과 같은 이동통신메시지, 푸시메시지 및 특정 어플 실행 요청 신호일 수 있을 것이다. Thereafter, the
그런 후, 이동 통신 단말(10)은 카드사 서버(30)로부터 수신한 본인 인증 결과를 타 어플리케이션에 회신(S195)하여, 본인 인증 프로세스 수행을 완료한다.Thereafter, the
도 6은 본 발명의 일 실시 예에 따른 카드사 서버에서의 고객 인증 방법을 설명하기 위한 순서도이다.6 is a flowchart illustrating a customer authentication method in a card company server according to an embodiment of the present invention.
도 6을 참조하면, 카드사 서버(30)의 인증 허용 시간 체크부(35)는 인증 허용 시간 정보 DB(36)을 검색하여, 복호화된 카드 정보 및 개인 식별 정보에 상응하는 고객이 설정한 인증 허용 시간 정보를 검색한다(S310). 이를 위해 카드사 서버(30)는 사용자로부터 입력받은 본인 인증 허용 시간을 카드사 서버에 전송하여 미리 등록받아 둘 수 있다. 즉, 고객별로 사전에 본인 인증 허용 시간을 설정해놓을 수 있다. 따라서, 카드사 서버(30)의 인증 허용 시간 체크부(35)는 설정해놓은 시간이 아닌 시간에 본인 인증이 요청되는 경우, 이는 부정한 본인 인증 요청으로 간주하여, 본인 인증 요청을 수행하지 않고, 대신에 메시지 발송부(34)를 통해 본인 인증 요청 불가 및 개인 정보 도용 경고 메시지가 전송되도록 한다(S340). 이로써, 본인 인증의 보안성을 한층 강화시킬 수 있다. Referring to FIG. 6, the authentication allowance
반면, 고객이 설정해놓은 시간에 본인 인증이 요청된 경우, 카드사 서버(30)의 본인 인증 수행부(35)는 고객 DB(32)의 정보와 비교하여, 본인 인증을 수행한다(S350). S350의 판단 결과, 수신된 카드 정보 및 개인 식별 정보가 고객 DB(32)에 저장된 정보와 일치하는 경우, 본인 인증 확인된 것으로 판단하여, 카드사 서버(30)의 메시지 발송 처리부(34)는 본인 인증 확인 메시지를 발송한다(S380). 반면, S350의 판단 결과, 수신된 카드 정보 및 개인 식별 정보가 고객 DB(32)에 저장된 정보와 일치하지 않는 경우, 본인 인증 실패한 것으로 판단하여, 카드사 서버(30)의 메시지 발송 처리부(34)는 본인 인증 오류 메시지를 발송한다(S380). On the other hand, when the user authentication is requested at the time set by the customer, the identity
Claims (18)
인증키를 제공받은 이동 통신 단말로부터 전송된 암호화된 카드 블록 정보를 복호화하고, 복호화된 카드 블록 정보로부터 추출된 카드 번호 및 유효 기간을 포함하는 카드 정보를 해당 금융 카드를 발급한 카드사에서 배포한 제1 공개키로 암호화하여 이동 통신 단말에 전송하는 SAM 서버와,
이동 통신 단말로부터 제1 공개키로 암호화된 카드 정보를 수신함에 따라, 카드 정보를 제1 공개키와 쌍을 이루는 제2 비밀키를 이용하여 복호화하고, 카드 정보를 고객 데이터베이스와 비교하여 본인 인증한 결과를 이동 통신 단말로 통보하는 카드사 서버를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 시스템.
After receiving the identity authentication request signal from another application, the access information of the financial card is read by the identity authentication application that is driven and transmitted to the Secure Application Module (hereinafter referred to as 'SAM') server, and then SAM Obtains an authentication key, which is an access right for card block information recorded on a user's financial card, from the server, and uses the obtained authentication key to read encrypted card block information read from the financial card through a short range wireless communication function. In response to the card information encrypted by the first public key from the SAM server, the card information is transmitted to the card company server that issued the financial card and requested for personal authentication, and the user authentication result received from the card company server is returned to another application. A mobile communication terminal,
Decrypts the encrypted card block information transmitted from the mobile communication terminal provided with the authentication key, and distributes the card information including the card number and the expiration date extracted from the decrypted card block information from the card company that issued the financial card. 1 SAM server encrypting with a public key and transmitting to the mobile communication terminal,
Upon receiving the card information encrypted with the first public key from the mobile communication terminal, the card information is decrypted using the second secret key paired with the first public key, and the card information is compared with the customer database to verify the identity. Financial card-based self-identification system possessed by a user, including a card company server for notifying the mobile communication terminal.
사용자의 개인 식별 번호(Personal Identification Number : PIN)를 추가 획득하고, 개인 식별 정보를 카드 정보와 함께 카드사 서버에 전송하여 추가 인증 요청하고,
카드사 서버는
카드 정보와 함께 개인 식별 번호가 추가 수신됨에 따라, 이를 추가 인증하는 카드사 서버를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 시스템.
The method of claim 1, wherein the mobile communication terminal
Obtain an additional Personal Identification Number (PIN) of the user, request for further authentication by sending the personal identification information together with the card information to the card company server,
Card company server
Financial card-based self-identification system possessed by a user, including a card company server that additionally authenticates the personal identification number along with the card information.
사용자의 주민 번호 또는 사용자가 소지한 휴대 단말의 번호인 사용자가 소지한 금융 카드 기반 본인 인증 시스템.
The personal identification number of claim 2, wherein the personal identification number is
A financial card-based identity authentication system possessed by a user, which is the user's social security number or the number of a mobile terminal possessed by the user.
제1 공개키에 의해 암호화된 카드 정보를 이동 통신 단말만이 보유한 제2 비밀키로 추가 암호화하여 카드사 서버에 전송하여 본인 인증 요청하고,
카드사 단말은
추가 암호화된 카드 정보를 제2 비밀키와 쌍을 이루는 제2 공개키로 복호화한 후, 제1 비밀키로 복호화하는 사용자가 소지한 금융 카드 기반 본인 인증 시스템.
The method of claim 1, wherein the mobile communication terminal
Further encrypts the card information encrypted by the first public key with a second secret key held only by the mobile communication terminal, and transmits the card information to the card company's server for personal authentication,
Card company terminal
A financial card-based identity authentication system possessed by a user who decrypts the additional encrypted card information with a second public key paired with a second secret key and then decrypts it with the first secret key.
사용자로부터 입력받은 본인 인증 허용 시간을 카드사 서버에 전송하여 미리 등록하고,
카드사 서버는
사용자별로 미리 설정된 본인 인증 허용 시간을 등록하고, 본인 인증 요청 수신시, 해당 사용자의 본인 인증 허용 시간을 검출하고, 본인 인증 허용 시간을 기반으로 본인 인증 요청이 유효한지를 판단하고, 본인 인증 요청이 유효하지 않을 경우 본인 인증 불가 메시지를 이동 통신 단말에 전송하는 사용자가 소지한 금융 카드 기반 본인 인증 시스템.
The method of claim 1, wherein the mobile communication terminal
Register in advance by sending the user authentication allowance time received from the user to the card company server,
Card company server
Register the user authentication allowance time preset for each user, detect the user authentication allowance time of the user when receiving the user authentication request, determine whether the user authentication request is valid based on the user authentication allowance time, and the user authentication request is valid. If not, a financial card-based identity authentication system possessed by a user who transmits a non-authentication message to a mobile communication terminal.
타 어플리케이션으로부터 본인 인증 요청 신호가 수신됨에 따라 금융 카드의 접근 가능한 정보를 독출하여 보안 응용 모듈(Secure Application Module : 이하 'SAM'로 기재함) 서버에 전송하는 단계와,
SAM 서버로부터 사용자가 소지한 금융 카드에 기록된 카드 블록 정보의 접근 권한인 인증키를 획득하는 단계와,
획득된 인증키를 이용하여 금융 카드에 기록된 암호화된 카드 블록 정보를 근거리 무선 통신 기능 기능을 통해 독출하는 단계와,
독출된 암호화된 카드 블록 정보를 SAM 서버에 전송하는 단계와,
SAM 서버로부터 금융 카드를 발급한 카드사에서 배포한 제1 공개키로 암호화된 카드 번호 및 유효 기간을 포함하는 카드 정보를 수신함에 따라, 금융 카드를 발급한 카드사 서버에 전송하여 본인 인증 요청하는 단계와,
카드사 서버로부터 회신된 본인 인증 결과를 타 어플리케이션으로 회신하는 단계를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
In the financial card-based identity authentication method possessed by a user implemented in an identity authentication application running on a mobile communication terminal equipped with a near field communication function,
Reading the accessible information of the financial card and transmitting it to a secure application module (hereinafter referred to as 'SAM') server when an authentication request signal is received from another application;
Obtaining an authentication key, which is an access right for card block information recorded on a financial card held by a user, from a SAM server;
Reading the encrypted card block information recorded on the financial card through the short range wireless communication function using the obtained authentication key;
Transmitting the read encrypted card block information to the SAM server;
Receiving the card information including the card number and the expiration date encrypted with the first public key distributed by the card company that issued the financial card from the SAM server, transmitting the credit card to the card company server that issued the financial card, and requesting an identity verification;
A financial card-based identity authentication method possessed by a user, comprising the step of returning the identity verification result returned from the card company server to another application.
사용자의 개인 식별 번호(Personal Identification Number : PIN)를 추가 획득하고, 개인 식별 정보를 카드 정보와 함께 카드사 서버에 전송하여 추가 인증 요청하는 단계를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
The method of claim 6, wherein the step of requesting identity verification
And further obtaining a user's personal identification number (PIN), and transmitting the personal identification information together with the card information to the card company server to request further authentication.
사용자의 주민 번호 또는 사용자가 소지한 휴대 단말의 번호인 사용자가 소지한 금융 카드 기반 본인 인증 방법.
The method of claim 7, wherein the personal identification number is
A financial card-based self-authentication method possessed by a user, which is the user's social security number or the number of a mobile terminal possessed by the user.
암호화키 분배 서버로부터 이동 통신 단말만이 보유할 암호화키인 제2 비밀키를 미리 분배받는 단계와,
제1 공개키에 의해 암호화된 카드 정보를 이동 통신 단말만이 보유한 제2 비밀키로 추가 암호화하는 단계를 더 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
The method of claim 6, wherein the step of requesting identity verification
Previously distributing, from the encryption key distribution server, a second secret key which is an encryption key to be retained only by the mobile communication terminal;
And further encrypting the card information encrypted by the first public key with a second private key held only by the mobile communication terminal.
사용자로부터 입력받은 본인 인증 허용 시간을 카드사 서버에 전송하여 미리 등록하는 단계를 더 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
The method of claim 6,
Financial card-based identity authentication method possessed by the user further comprising the step of registering in advance by sending the authorization time input from the user to the card company server.
이동 통신 단말로부터 금융 카드의 접근 가능한 정보와 함께 금융 카드에 기록된 카드 블록 정보의 접근 권한인 인증키 발급이 요청됨에 따라, 이동 통신 단말로부터 전송된 정보를 통해 사용자를 인증한 후 이동 통신 단말로 인증키를 제공하는 단계와,
이동 통신 단말로부터 암호화된 카드 블록 정보가 전송됨에 따라, 암호화된 카드 블록 정보를 복호화하는 단계와,
복호화된 카드 블록 정보로부터 카드 번호 및 유효 기간을 포함하는 카드 정보를 추출하는 단계와,
추출된 카드 정보를 해당 금융 카드를 발급한 카드사에서 배포한 제1 공개키로 암호화하는 단계와,
암호화된 카드 정보를 이동 통신 단말에 전송하는 단계를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
In the secure application module (hereinafter referred to as 'SAM') server in the financial card based identity authentication method possessed by the user,
As a request for issuance of an authentication key, which is an access right of the card block information recorded on the financial card, is requested from the mobile communication terminal with the accessible information of the financial card, the user is authenticated through the information transmitted from the mobile communication terminal. Providing an authentication key,
Decrypting the encrypted card block information as the encrypted card block information is transmitted from the mobile communication terminal;
Extracting card information including a card number and an expiration date from the decrypted card block information;
Encrypting the extracted card information with a first public key distributed by the card company that issued the financial card;
A financial card based personal authentication method possessed by a user, comprising the step of transmitting encrypted card information to a mobile communication terminal.
보안 응용 모듈(Secure Application Module : 이하 'SAM'로 기재함) 서버에 의해 카드사가 미리 배포한 제1 공개키로 암호화된 카드 번호 및 유효 기간을 포함하는 카드 정보를 획득한 이동 통신 단말로부터 암호화된 카드 정보 함께 본인 인증 요청됨에 따라, 암호화된 카드 정보를 제1 공개키와 쌍을 이루는 제1 비밀키로 복호화하는 단계와,
카드 정보를 고객 데이터베이스와 비교하여 본인 인증을 수행하는 단계와,
본인 인증 수행 결과를 이동 통신 단말로 통보하는 단계를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
In the financial card-based personal authentication method possessed by the user in the card company server,
Secure Application Module (hereinafter referred to as 'SAM') An encrypted card from a mobile communication terminal that has acquired card information including a card number and an expiration date encrypted with a first public key previously distributed by a card company by a server. Decrypting the encrypted card information with the first private key paired with the first public key, as the identity authentication request is made with the information;
Verifying the identity of the card by comparing it with the customer database;
A financial card based personal authentication method possessed by a user, the method comprising notifying a mobile communication terminal of a result of performing personal authentication.
카드 정보와 함께 개인 식별 번호가 추가 수신됨에 따라, 이를 추가 인증하는 단계를 더 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
The method of claim 12, wherein performing identity verification
And further receiving the personal identification number along with the card information, thereby further authenticating it.
추가 암호화된 카드 정보를 제2 비밀키와 쌍을 이루는 제2 공개키로 복호화하는 단계를 더 포함하고,
제2 공개키로 복호화한 후, 제1 비밀키로 복호화하는 사용자가 소지한 금융 카드 기반 본인 인증 방법.
The method of claim 12, wherein the decoding step
Decrypting the additional encrypted card information with a second public key paired with a second secret key,
A financial card based identity authentication method possessed by a user decrypting with a second public key and then decrypting with a first secret key.
사용자별로 미리 설정된 본인 인증 허용 시간을 미리 등록받아 저장하는 단계를 더 포함하고,
본인 인증을 수행하는 단계는
해당 사용자의 본인 인증 허용 시간을 검출하고, 본인 인증 허용 시간을 기반으로 본인 인증 요청이 유효한지를 판단하는 단계와,
본인 인증 요청이 유효하지 않을 경우, 본인 인증 불가 메시지를 이동 통신 단말에 전송하는 단계와,
본인 인증 요청이 유효할 경우, 카드 정보를 고객 데이터베이스와 비교하여 본인 인증을 수행하는 단계를 포함하는 사용자가 소지한 금융 카드 기반 본인 인증 시스템.
The method of claim 12,
The method may further include registering and storing a predetermined time for allowing authentication for each user in advance.
The steps to perform identity verification
Detecting the time for allowing the user to authenticate himself / herself, and determining whether the request for self-authentication is valid based on the time allowed for the user authentication,
If the identity verification request is not valid, sending a identity authentication impossible message to the mobile communication terminal;
A financial card-based identity verification system possessed by a user, comprising the step of performing identity verification by comparing card information with a customer database if the identity verification request is valid.
A user authentication application that performs the user's financial card-based authentication method according to any one of claims 6 to 10 includes a memory programmed and stored in a software state, or a user possesses a hardware state. A mobile communication terminal comprising a chip storing process information for performing a card-based identification method, and performing a financial card-based identification method stored in a memory or carried by a user configured as a chip through a CPU of a processing PC.
The Secure Application Module (SAM) is programmed in software state and stored in memory, or consists of a chip that stores Secure Application Module (SAM) information in hardware state. A secure application module (SAM) server for processing a financial card-based identity authentication method possessed by a user according to claim 11 by performing wireless communication through a mobile communication terminal through a separate wireless communication means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180088748A KR102122555B1 (en) | 2018-07-30 | 2018-07-30 | System and Method for Identification Based on Finanace Card Possessed by User |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180088748A KR102122555B1 (en) | 2018-07-30 | 2018-07-30 | System and Method for Identification Based on Finanace Card Possessed by User |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200013494A true KR20200013494A (en) | 2020-02-07 |
| KR102122555B1 KR102122555B1 (en) | 2020-06-12 |
Family
ID=69570260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180088748A KR102122555B1 (en) | 2018-07-30 | 2018-07-30 | System and Method for Identification Based on Finanace Card Possessed by User |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102122555B1 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210112264A (en) * | 2020-03-04 | 2021-09-14 | 주식회사 코인플러그 | Method for paying with contactless payment card based on decentralized identifier of blockchain network, and mobile device using them |
| KR102546712B1 (en) * | 2022-07-05 | 2023-06-22 | 주식회사 애니챗 | Terminal, server, service providing system and service providing method thereof |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130117505A (en) * | 2012-04-18 | 2013-10-28 | 최선정 | User authentication method using time control and system therefor |
| KR101700833B1 (en) * | 2016-05-16 | 2017-02-01 | 주식회사 세한알에프시스템 | Card User Authentication System and Authentication Server and Portable Device for the same |
| KR20170133307A (en) * | 2015-01-28 | 2017-12-05 | (주) 맑은생각 | Online financial transactions, identity authentication system and method using real cards |
-
2018
- 2018-07-30 KR KR1020180088748A patent/KR102122555B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130117505A (en) * | 2012-04-18 | 2013-10-28 | 최선정 | User authentication method using time control and system therefor |
| KR20170133307A (en) * | 2015-01-28 | 2017-12-05 | (주) 맑은생각 | Online financial transactions, identity authentication system and method using real cards |
| KR101700833B1 (en) * | 2016-05-16 | 2017-02-01 | 주식회사 세한알에프시스템 | Card User Authentication System and Authentication Server and Portable Device for the same |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210112264A (en) * | 2020-03-04 | 2021-09-14 | 주식회사 코인플러그 | Method for paying with contactless payment card based on decentralized identifier of blockchain network, and mobile device using them |
| KR102546712B1 (en) * | 2022-07-05 | 2023-06-22 | 주식회사 애니챗 | Terminal, server, service providing system and service providing method thereof |
| WO2024010201A1 (en) * | 2022-07-05 | 2024-01-11 | (주)애니챗 | Terminal, server, service provision system and service provision method |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102122555B1 (en) | 2020-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11218480B2 (en) | Authenticator centralization and protection based on authenticator type and authentication policy | |
| US12022282B2 (en) | Anonymous authentication and remote wireless token access | |
| JP6381833B2 (en) | Authentication in the ubiquitous environment | |
| CN105590199B (en) | Payment method and payment system based on dynamic two-dimensional code | |
| JP2023062065A (en) | Using contactless card to securely share personal data stored in blockchain | |
| US20160155123A1 (en) | System and method for user authentication by using a physical financial card and mobile communication terminal | |
| CN113196813B (en) | Provisioning initiated from contactless device | |
| CN111742314B (en) | Biometric sensor on portable device | |
| WO2008149366A2 (en) | Device method & system for facilitating mobile transactions | |
| KR20120108599A (en) | Credit card payment service using online credit card payment device | |
| CN114365449A (en) | Preset method and system with message conversion | |
| US20200294040A9 (en) | System and method for payment transaction authentication based on a cryptographic challenge | |
| KR102122555B1 (en) | System and Method for Identification Based on Finanace Card Possessed by User | |
| KR102348823B1 (en) | System and Method for Identification Based on Finanace Card Possessed by User | |
| CN113595714A (en) | Contactless card with multiple rotating security keys | |
| JP2019004475A (en) | Authentication under ubiquitous environment | |
| US20170344984A1 (en) | Card payment system and method for using body information | |
| KR101666591B1 (en) | One time password certifacation system and method | |
| KR20200103615A (en) | System and Method for Identification Based on Finanace Card Possessed by User | |
| KR101682678B1 (en) | Card Transaction System and Encryption/Decryption Server for the same | |
| CN117981274A (en) | Remote identity interaction | |
| KR20180024447A (en) | Method and apparatus for providing integrated authentication service using 3d touch | |
| KR20160111190A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
| KR20120129617A (en) | Identification card, apparatus and method for issuing card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| N231 | Notification of change of applicant | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |