2009년 4월 6일 월요일

New Payment & Identity Infrastructure












분산환경에서의 결제 및 인증 구조



Decentralized Payment & Identity Structure





1. 목적

- 분산환경하의 결제서비스 공급자(Payment Service Provider)를 포함한 다수의 공급자들(Providers)이 자유롭게 결제및 인증 구조에 참여할 수 있는 표준화된 데이터 송수신 구조 확립




2. 데모


- iPhone Payment Demo : http://www.youtube.com/watch?v=HgUkpHiHH2w
- LG OZ Phone : http://www.youtube.com/watch?v=aPFSvEVEnLw


특정 Payment Provider를 통한 Payment Demo임.

이미 모바일 Full browsing단말 등 웹표준 환경에서 결제가 가능함을 보여주는 동영상




3. 웹표준 환경에서의 결제 동작구조



3.1 기존의 IE 의존 구조










3.2 웹표준 환경에서의 동작구조














3.3 전통적 방식의 HTML Presentation







* Server에서 HTML Page를 완성하여 Client로 전송하면 Client에서는 그대로 보여줌.





3.4 JSON Response에서의 HTML Presentation





* Server에서는 데이터만을 JSON format으로 변경하여 Client로 전송

* Client에서는 데이터를 재가공하여 화면 표시

* 서버는 경량의 데이터만을 Handling




3.5 DOM Request - JSON Response 구조








4 법적이슈



4.1 전자금융거래법 시행세칙 29조 2항 3호


"이용자 PC에서의 정보유출을 방지하기 위해 이용자의 접속시 우선적으로 이용자 PC에 개인용 침입탐지시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것 (다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제가능)"



==> 이용자의 선택권 명시

==> 금감원의 공식답변 "이용자 선택권 부여여부를 전자금융업자가 결정할 수 있다" 임.

==> 페이게이트는 전자금융거래법상의 전자금융업자

==> 페이게이트는 개인보안프로그램 이용에 대한 이용자 선택권을 활성화함.



* 이용자는 전자금융업자가 제공하는 개인보안 프로그램들을 그대로 이용하거나

* 본인이 별도 유료 구매한 개인보안 프로그램을 이용하고 전자금융업자가 제공하는 프로그램을 이용하지 않을 수 있음.




4.2 키보드 보안


- 스크린 키보드 방식으로 키보드 보안을 이용자에게 제공

- 이용자는 키보드 보안방식을 이용할지 여부를 결정







4.3 공인인증서


- 전자금융거래법 시행세칙 제31조의 공인인증 사용예외 규정에 부합되는 경우 공인인증서 미사용.




4.4 공인인증서 미사용시 거래안정성 확보방안


- 신용카드 금액인증 + 프로파일 DB



5. 공급자 (Provider)


5.1 분산환경에서의 다양한 공급자들


- 쇼핑몰 서비스 공급자

- 신용카드 결제서비스 공급자

- 휴대폰 결제서비스 공급자

- 계좌이체 결제서비스 공급자

- 공인인증 인증서비스 공급자

- i-PIN 인증서비스 공급자

- OpenID 인증 서비스 공급자

- 배송서비스 공급자

- 문자발송서비스 공급자



5.2 이용자와 공급자


- 유저가 쇼핑몰(Shopping Service Provider)에 접근하는 경우

- 공급자는 유저에 대항 웹표준 UI만을 신경쓰면 됨.

- 공급자는 자신과 전용으로 연결되어 있는 각각의 서비스 제공자와 별도 연결.

==> 각 공급자간의 표준 데이터 송수신 방법 부재

5.3 이용자와 다수의 공급자

- 각 공급자가 이용자와 직접 통신이 필요한 경우들이 다수 존재함.
- 결제서비스 제공자는 주요 결제정보(카드번호 등)를 이용자로부터 직접 받아야함.
- 인증서비스 제공자는 주요 인증정보(주민번호 등)을 이용자로부터 직접 받아야함.
- 공급자간에 상호 교류가 필요한 경우가 아주 많음.

==> 공급자간의 데이터는 XML 메세지 표준을 이용

5.4 다수 공급자간의 Use Case Diagram


5.5 기준이 되는 표준 기술들

5.5.1 DOM

- W3C 표준
- DOM Request는 Google AdSense, Yahoo API등 광범위하게 사용되는 비동기 통신 방법임.

5.5.2 XML Messaging

- XML Schema, XML Signature, XML Encryption으로 W3C 권고사항.
- Application Layer에서 데이터 암복호화에 대한 구조적 접근 가능하게 함.
- 다수의 XML 암호화 관련 제품들이 소개되고 있음.
- Luna XML : XML Messaging 처리 HSM
- OpenOCES : XML Messaging 처리 서버 및 클라이언트 오픈소스 프로젝트
- OpenSigner : XML Messaging처리하는 자바 및 공인인증서 기반 오픈소스 프로젝트

5.5.3 JSON

- XML data와 상호 변환 호환성 제공
- www.json.org

5.5.4 SAML

- Security Assertion Markup Language
- http://en.wikipedia.org/wiki/SAML
- http://blog.sdnkorea.com/blog/501 : SAML을 이용한 SSO 구현

작성자: 시간:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)