CN100585652C - 交易系统、交易方法以及交易服务器 - Google Patents
交易系统、交易方法以及交易服务器 Download PDFInfo
- Publication number
- CN100585652C CN100585652C CN 200710138092 CN200710138092A CN100585652C CN 100585652 C CN100585652 C CN 100585652C CN 200710138092 CN200710138092 CN 200710138092 CN 200710138092 A CN200710138092 A CN 200710138092A CN 100585652 C CN100585652 C CN 100585652C
- Authority
- CN
- China
- Prior art keywords
- mentioned
- transaction
- different information
- user
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供一种交易系统、交易方法以及交易服务器,可催促账户的合法用户采取防止针对账户的非法攻击的对策。该交易系统包括用户操作的交易终端(1)、和受理来自交易终端(1)的交易请求的交易服务器(2),其特征在于,交易服务器(2)具有:对操作进行交易请求的交易终端(1)的用户进行认证的用户认证部(22)、和把相异信息储存在存储装置中,并且发送给上述交易终端的相异信息管理部(23),其中,该相异信息表示由用户认证部(22)判定为不允许开始交易的用户的认证结果;上述交易终端具有输出从上述交易服务器接收到的上述相异信息的相异信息处理部(15)。
Description
技术领域
本发明涉及交易系统、交易方法以及交易服务器的技术。
背景技术
以往,ATM(Automated Teller Machine)终端在开始交易之前,对请求交易的用户进行要求输入密码等用户认证。然后对经认证被许可进行交易的用户开始进行转账等交易。用户通过查看ATM终端所显示的交易历史记录,来确认过去的交易历史记录。
[专利文献1]日本特开平8-36665号公报(权利要求1、0013~0015段、图5)
但是,有时不法者会进行非法攻击,试图从他人账户中随便提取现金等。在这种情况下,不法者例如盗取他人的现金卡,把该现金卡插入ATM终端,开始非法攻击。如果不法者输入的密码正确,则非法攻击便获得成功。
另一方面,即使因密码不对等而1次非法攻击未成功,也不能说是安全的。有时不法者在屡次尝试错误后仍会屡次进行非法攻击。而且,在屡次非法攻击中,只要有1次认证成功,非法攻击便获得成功。因此,不希望给不法者留有多次非法攻击的机会。
另外,有一种在密码连续3次认证失败后,自动停止账户交易那样的设定次数限制的方式。但是,在这种情况下,即使已有2次失败,合法用户对自己的账户受到了非法攻击的危险性也毫无察觉。因此,由于合法用户在没有任何征兆的情况下,很少主动地采取更改密码或更改账号等防止非法攻击的对策,所以给不法者提供了更多的进行非法攻击的机会。
发明内容
因此,本发明的主要目的是提供一种用户可确认相异信息的交易系统、交易方法以及交易服务器,最终促使账户的合法用户采取防止账户受到非法攻击的对策。
为了解决上述的问题,本发明提供一种交易系统,该交易系统包括用户操作的交易终端、和受理来自上述交易终端的交易请求的交易服务器,上述交易服务器具有:用户认证部,其对操作进行上述交易请求的上述交易终端的用户进行认证;以及相异信息管理部,其把相异信息储存在存储装置中,并且发送到上述交易终端,其中该相异信息表示由上述用户认证部判定为不允许开始交易的用户的认证结果;上述交易终端具有输出从上述交易服务器接收到的上述相异信息的相异信息处理部。
根据本发明,用户可确认相异信息。通过识别有无非法攻击,例如在银行系统中,可促使账户的合法用户采取更改密码等防止非法攻击的对策。
附图说明
图1是表示本发明一个实施方式的交易系统的构成图。
图2是表示本发明一个实施方式中的相异信息DB的构成图。
图3是表示本发明一个实施方式中的相异信息的显示内容的画面图。
图4是表示本发明一个实施方式中的包含相异信息的通知处理的ATM终端的交易处理的流程图。
图5是表示本发明一个实施方式中的包含相异信息的通知处理的ATM终端的交易处理的流程图。
图中:1-交易终端;2-交易服务器;11-介质输入输出部;12-信息输入部;13-信息输出部;14-交易请求部;15-相异信息处理部;21-交易处理部;22-用户认证部;23-相异信息管理部;24-相异信息DB
具体实施方式
下面,参照附图对本发明的一个实施方式进行说明。
图1是表示交易系统100的构成图。
用户操作的交易终端1对银行的作为上位系统的交易服务器2请求进行转账等交易。交易服务器2在对用户是否合法进行认证后,对识别为合法的用户开始交易。另外,所谓认证,是指例如人体认证、密码认证、口令认证等。交易服务器2按每个用户的账户,把规定的存款余额储存在存储装置中来进行管理。
另外,交易终端1也可以构成为设置在银行营业所和便利店中的可访问银行内部网络的ATM终端。在这种情况下,所谓交易是指,例如针对用户账户的取款、存款、对外转账、同名转账、查询余额、折子记账及转存、以及更改密码。例如,在进行取款时,交易终端1以纸币形式向用户输出取款金额,并且交易服务器2从用户账户的存款余额中减去取款金额。
另外,交易终端1也可以构成为利用网上银行的PC(PersonalComputer)终端。在这种情况下,所谓交易是指,例如针对用户账户的对外转账、同名转账、买入债券、查询余额、以及更改密码。
交易终端1具有介质输入输出部11、信息输入部12、信息输出部13、交易请求部14、以及相异信息处理部15。介质输入输出部11是进行卡和现金等介质的输入输出的接口。信息输入部12受理认证信息和交易信息的输入。信息输出部13输出交易结果和相异信息。交易请求部14把交易请求通知给交易服务器2。相异信息处理部15把相异信息(将在后面的图2中进行详细说明)通过信息输出部13输出(显示)。
图2是表示相异信息DB24的构成图的一例。
相异信息DB24所储存的相异信息包含相异内容,该相异内容是作为认证结果,交易服务器2判定为不允许开始交易时的认证结果(操作记录)。并且,相异信息也可以构成为使相异内容与进行认证时的日期及时刻和地点建立了关联的结构。例如,在日期及时刻“2004/12/2012:00”时,在地点(交易终端1)“○×银行,芝浦分行5号机”,产生了2次表示输入了非法密码的密码相异。这样,在交易终端1是ATM终端的情况下,储存分行及机器号信息。
另外,在交易终端1是利用网上银行的PC终端的情况下,作为与ATM的地点对应的信息,储存表示是来自“网上银行”的利用的信息。例如,在日期及时刻“2004/12/2521:00”时,在地点(交易终端)“○×银行,网上银行”,产生了2次表示输入了非法口令的口令相异。
这样,在相异信息DB24中,将在金融机构营业所等的ATM中产生的相异信息、和在利用网上银行的PC终端中产生的相异信息统一储存。即,如果是因对金融机构的用户的账户进行访问而产生的相异信息,则把相异信息与在访问中使用的终端信息一同加以记录。另外,相异信息DB24以用户单位进行管理。
图3是表示相异信息的显示内容的画面图。根据相异信息DB24的内容,显示在ATM、网上银行双方中产生的相异信息。信息输出部13在每次执行后述的图4或图5的处理时,在交易终端1的画面上都显示从交易服务器2接收到的相异信息,或由交易终端1的介质输入输出部11进行纸面(明细单)打印,或从扬声器以语音形式输出相异信息。在按下确认键13a时,结束相异信息的显示。
由此,用户利用ATM,不仅可确认在ATM中产生的相异信息,而且还可确认在网上银行中产生的相异信息,从而可有效地确认有无非法攻击。
如图3所示,也可以按照非法类别(人体认证、密码、口令)来通知相异信息。这样,由于希望采取防范非法攻击的对策的用户可根据非法类别采取不同的对策,所以能够以低成本来应对非法攻击。例如,在被多次进行了口令攻击的情况下,只需更改口令即可。
交易服务器2具有交易处理部21、用户认证部22、相异信息管理部23、和相异信息DB24(存储装置)。交易处理部21根据交易信息开始交易。用户认证部22进行可否进行交易的认证。相异信息管理部23对储存在相异信息DB24中的相异信息进行管理(数据存取)。相异信息DB24储存相异信息。
在ATM终端产生了密码相异或人体信息相异的情况下,产生了相异的日期及时刻、终端信息(银行名、分行名、机器号No)、相异内容被作为相异信息通知给交易服务器2。另外,在网上银行中产生了口令相异的情况下,相异信息也同样地被通知给交易服务器2。
另外,构成交易终端1和交易服务器2的各个处理部,通过未图示的CPU(Central Processing Unit)执行储存在未图示的ROM(ReadOnly Memory)中的程序,或者通过在未图示的RAM(Random AccessMemory)中展开储存在未图示的硬盘中的程序,并由未图示的CPU执行,来具体实现。
图4是表示包含相异信息的通知处理的ATM终端的交易处理的流程图。该流程图例如从用户触摸了ATM终端的触摸屏的状态开始。
介质输入输出部11受理来自用户的与用户账户相关的现金卡的插入(S111)。信息输入部12根据用户对触摸屏或键盘等的输入操作,受理认证所需的口令等认证信息的输入(S112)。另外,信息输入部12还受理来自用户的用于确定交易所需的转账金额和交易类别等的交易信息的输入(S113)。
交易终端1和交易服务器2进行与认证和交易相关的通信处理(S114)。首先,交易请求部14把S112的认证信息和S113的交易信息作为交易请求通知给交易服务器2。用户认证部22根据所通知的S112的认证信息,进行可否进行交易的认证,判定是否满足判定条件“可否进行交易的认证成功(允许交易)”(S121)。
在不满足S121的判定条件时(S121,否),相异信息管理部23进行把被判定为不允许开始交易的这次的认证结果追加到相异信息DB24中(S124),并且进行把其作为交易响应通知给交易终端1的通信处理(S125)。交易终端1进行接收交易响应的通信处理(S114)。
在满足S121的判定条件时(S121,是),交易处理部21根据S113的交易信息开始交易(S122)。交易服务器2使交易处理部21的交易结果(允许开始交易)、和储存在相异信息DB24中的相异信息包含在交易响应中,并进行把其通知给交易终端1的通信处理(S123)。交易终端1进行接收交易响应的通信处理(S114)。
交易终端1参照在S114中作为交易响应而接收的认证结果,如果认证不成功(S115,否),则结束处理。另外,也可以在结束处理之前,送出S111中插入的卡,退还给用户。另一方面,如果是认证成功(S114,是),则进行以下的处理。
介质输入输出部11根据由交易服务器2通知的交易响应中所包含的交易结果,向用户送出介质(卡、现金等)(S116)。相异信息处理部15把由交易服务器2通知的交易响应中所包含的相异信息道过信息输出部13输出(显示)(S117)。
由此,通过在每次进行交易时向用户通知相异信息,用户可判断有无交易信息等的信息流出。
另外,信息输出部13可以显示储存在相异信息DB24中的与规定的用户相关的相异信息,也可以显示最近的相异信息。所谓最近的相异信息,例如是按照新旧顺序排列的规定数的相异信息、从现在开始到规定期间之前为止的相异信息、以及在实施了更改密码等防范非法攻击对策后的相异信息。这样,通过从作为显示对象的相异信息中筛选出一部分相异信息,能够不显示很久以前的错误信息,防止给用户造成混乱。
在以上说明的本流程图中,在1个来回的通信处理(S114)中集中进行交易步骤(S113、S116)和相异信息处理步骤(S112、S117)。另一方面,也可以不进行交易步骤,而只进行相异信息处理步骤。
另外,在认证不成功(S121,否)时,虽然是把进行交易请求的用户视为不法者,且在S125中不发送相异信息,但也可以在S125中发送相异信息,并且在S117中输出该相异信息。
并且,也可以在显示了相异信息(S117)后,向用户送出介质(卡、现金等)(S116)。由此,对于在输出了介质时误认为完成了交易的急性子的用户,可防止其忘记确认相异信息。
而且,相异信息处理部15也可以在向用户输出了相异信息(S117)后,催促用户采取与相异信息相关的防止非法攻击的对策。例如,在受到了3次口令攻击时,催促更改口令,更改为字符比当前口令更长的口令。由此,从了解相异信息到采取防止非法攻击的对策,用户能够通过1次处理来完成,所以给用户带来的负担小。
另外,在图4中以ATM终端为前提进行了说明,但也可以用利用网上银行的PC终端来取代。此时,可省略现金卡的插入(S111)和介质的送出(S116)的处理。
另外,对于在实施防止非法攻击的对策时向用户提示的内容,例如可列举出以下内容。
·在“密码相异”达到规定次数以上时→“请确认密码是否难以类推”
·在“口令相异”达到规定次数以上时→“请确认口令是否难以类推”。另外,“建议更改为比当前长的口令”
·在“密码相异”或“口令相异”,以及未登录人体信息时→“建议使用人体认证”
另外,也可以由交易服务器2通过电子邮件把相异信息和向用户提示的内容发送到用户终端。由此,用户能够在访问自己的账户之前,了解发送来的相异信息,对非法攻击采取对策。
图5是图4所示的流程图的替代流程图所执行的流程。在图4中,把用于认证的通信处理和用于认证后的交易的通信处理集中成1次(S114)来进行。而在图5中,把用于认证的通信处理(S213)和用于认证后的开始交易的通信处理(S216)分2次执行。而且,在被认证为不允许开始交易时,交易终端1结束处理,而不需输入交易信息。由此,对于不法者,不进行交易信息的输入即可判定为认证不成功。以下,对图5的流程图进行详细说明。
介质输入输出部11受理来自用户的与用户账户相关的现金卡的插入(S211)。信息输入部12根据用户对触摸屏或键盘等的输入操作,受理认证所需的口令等认证信息的输入(S212)。
交易终端1和交易服务器2进行与认证相关的通信处理(S213)。首先,交易请求部14把S212的认证信息作为认证请求通知给交易服务器2。用户认证部22根据所通知的S212的认证信息,进行可否进行交易的认证,判定是否满足判定条件“可否进行交易的认证成功(允许交易)”(S221)。
在不满足S221的判定条件时(S221,否),相异信息管理部23把判定为不允许开始交易的这次的认证结果追加到相异信息DB24中(S225),并且进行将其作为认证响应而通知给交易终端1的通信处理(S226)。交易终端1进行接收认证响应的通信处理(S213)。
在满足S221的判定条件时(S221,是),交易服务器2进行把判定为允许开始交易的这次的认证结果作为认证响应通知给交易终端1的通信处理(S222)。交易终端1进行接收认证响应的通信处理(S213)。
交易终端1参照作为认证响应而接收的认证结果,如果认证不成功(S214,否),则结束处理。另一方面,如果认证成功(S214,是),则进行以下的处理。
信息输入部12受理来自用户的用于确定交易所需的转账金额和交易类别等的交易信息的输入(S215)。交易终端1进行把交易信息通知给交易服务器2的通信处理(S216)。
交易处理部21根据S215的交易信息开始交易(S223)。交易服务器2使交易处理部21的交易结果、和储存在相异信息DB24中的相异信息包含在交易响应中,并进行把其通知给交易终端1的通信处理(S224)。交易终端1进行接收交易响应的通信处理(S216)。
介质输入输出部11根据由交易服务器2通知的交易响应中所包含的交易结果,向用户送出介质(卡、现金等)(S217)。相异信息处理部15通过信息输出部13输出(显示)由交易服务器2通知的交易响应中所包含的相异信息(S218)。
另外,介质输入输出部11不仅受理现金卡的插入,也可以受理信用卡的插入。在输入了信用卡的情况下,在信用卡的管理公司的服务器中对相异信息进行管理。
另外,也可以在认证是否成功的判断(S214)之后,交易信息的输入(S215)之前进行相异信息的输出(S218)。
Claims (10)
1.一种交易系统,包括用户为了进行交易而操作的交易终端、和受理来自上述交易终端的交易请求的交易服务器,其特征在于,
上述交易服务器具有:用户认证部,对操作进行上述交易请求的上述交易终端的用户进行认证;以及相异信息管理部,把相异信息储存在存储装置中,并且发送给上述交易终端,其中,该相异信息表示由上述用户认证部判定为不允许开始交易的用户的认证结果;
上述交易终端具有输出从上述交易服务器接收到的上述相异信息的相异信息处理部。
2.根据权利要求1所述的交易系统,其特征在于,上述交易服务器通过电子邮件向用户终端发送上述相异信息。
3.根据权利要求1或2所述的交易系统,其特征在于,上述交易终端构成为可访问银行内部网络的ATM终端,上述交易是针对用户账户的取款、存款、对外转账、同名转账、查询余额、折子记账及转存、以及更改密码。
4.根据权利要求1或2所述的交易系统,其特征在于,上述交易终端构成为可访问国际互联网的PC终端,上述交易是针对用户账户的对外转账、同名转账、买入债券、查询余额、以及更改密码。
5.根据权利要求1所述的交易系统,其特征在于,上述相异信息处理部输出与用户相关的上述相异信息中的最近的上述相异信息。
6.根据权利要求1所述的交易系统,其特征在于,上述相异信息包含由人体认证、口令认证、以及密码认证中的至少一种构成的、由上述用户认证部进行的认证的认证类别。
7.根据权利要求6所述的交易系统,其特征在于,上述相异信息处理部执行与上述相异信息中所包含的上述认证类别对应的非法攻击对策处理。
8.根据权利要求1所述的交易系统,其特征在于,上述交易服务器使上述交易请求的交易结果、和与上述交易请求的用户相关的上述相异信息包含在1个交易响应中来发送给上述交易终端。
9.一种由交易系统执行的交易方法,该交易系统包括用户为了进行交易而操作的交易终端、和受理来自上述交易终端的交易请求的交易服务器,其特征在于,
上述交易服务器,对操作进行上述交易请求的上述交易终端的用户进行认证,把相异信息储存在存储装置中,并且发送给上述交易终端,其中,该相异信息表示被判定为不允许开始交易的用户的认证结果;
上述交易终端输出从上述交易服务器接收到的上述相异信息。
10.一种在交易系统中使用的交易服务器,该交易系统包括用户为了进行交易而操作的交易终端、和受理来自上述交易终端的交易请求的上述交易服务器,其特征在于,
上述交易服务器具有:用户认证部,对操作进行上述交易请求的上述交易终端的用户进行认证;以及把相异信息储存在存储装置中,并且发送给上述交易终端的相异信息管理部,其中,该相异信息表示由上述用户认证部判定为不允许开始交易的用户的认证结果。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006259113A JP2008077587A (ja) | 2006-09-25 | 2006-09-25 | 取引システム、取引方法、および、取引サーバ |
JP2006259113 | 2006-09-25 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101154309A CN101154309A (zh) | 2008-04-02 |
CN100585652C true CN100585652C (zh) | 2010-01-27 |
Family
ID=39255944
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200710138092 Expired - Fee Related CN100585652C (zh) | 2006-09-25 | 2007-08-15 | 交易系统、交易方法以及交易服务器 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2008077587A (zh) |
CN (1) | CN100585652C (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010238102A (ja) * | 2009-03-31 | 2010-10-21 | Fujitsu Ltd | 情報処理装置、認証システム、認証方法、認証装置及びプログラム |
WO2014196752A1 (ko) * | 2013-06-04 | 2014-12-11 | (주)결제전산원 | 납품대금 지급 상생 결제방법 |
JP5664759B2 (ja) * | 2013-12-26 | 2015-02-04 | 富士通株式会社 | 情報処理装置、認証システム、認証方法、認証装置及びプログラム |
JP6411037B2 (ja) * | 2014-03-07 | 2018-10-24 | 株式会社日本総合研究所 | 本人認証システムおよび現金出納システム |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3809857B2 (ja) * | 2001-03-15 | 2006-08-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 取引システム、取引端末、取引履歴出力装置、サーバ、取引の履歴表示方法、コンピュータプログラム |
JP2002358417A (ja) * | 2001-03-30 | 2002-12-13 | Mizuho Corporate Bank Ltd | バンキング処理方法、バンキング処理システム及びバンキング処理プログラム |
JP2004234434A (ja) * | 2003-01-31 | 2004-08-19 | Tama Chuo Shinkin Bank | 現金自動取引システム及びその直近取引履歴表示方法 |
JP2005084822A (ja) * | 2003-09-05 | 2005-03-31 | Omron Corp | 不正利用通知方法、および不正利用通知プログラム |
JP2006011919A (ja) * | 2004-06-28 | 2006-01-12 | Oki Electric Ind Co Ltd | 不正取引通知システム |
JP2006235666A (ja) * | 2005-02-22 | 2006-09-07 | Hitachi Software Eng Co Ltd | 利用者認証システム |
-
2006
- 2006-09-25 JP JP2006259113A patent/JP2008077587A/ja active Pending
-
2007
- 2007-08-15 CN CN 200710138092 patent/CN100585652C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101154309A (zh) | 2008-04-02 |
JP2008077587A (ja) | 2008-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10672009B2 (en) | Method for authenticating financial instruments and financial transaction requests | |
CN100334830C (zh) | 自动交易机数字签名系统和方法 | |
CN101669133A (zh) | 利用用于提供支付承诺的预定电子文件生成电子可流通证券 | |
US20090222367A1 (en) | System and Method for the Activation and Use of a Temporary Financial Card | |
KR20030019361A (ko) | 온라인 지불인 인증 서비스 | |
CN108074095A (zh) | 一种票务处理方法和装置 | |
US8714445B1 (en) | Secured and unsecured cash transfer system and method | |
WO2011090281A2 (ko) | 개인식별매체를 이용한 온라인 정보입력 및 금융거래 시스템과 이를 이용한 온라인 정보입력 및 금융거래방법, 그리고 이를 위한 프로그램을 기록한 기록매체 | |
WO2005008399A2 (en) | Systems and methods for facilitating transactions | |
JP2011034556A (ja) | 情報システム、処理ステーション、及びクレジットカード支払方法 | |
CN109949120A (zh) | 涉及数字身份的系统和方法 | |
US6954740B2 (en) | Action verification system using central verification authority | |
US20210264413A1 (en) | Using a nested random number-based security ecosystem for block chains for electronic cash tokens and other embodiments | |
AU4437500A (en) | Transaction method and system for data networks, like internet | |
CN101223729B (zh) | 对移动支付设备进行更新 | |
US20150269542A1 (en) | Secure and Unsecured Cash Transfer System and Method | |
CN100585652C (zh) | 交易系统、交易方法以及交易服务器 | |
EP2613287A1 (en) | Computer system and method for initiating payments based on cheques | |
EP1828999A1 (en) | A method and system for securely distributing a personal identification number and associating the number with a financial instrument | |
CN101676960B (zh) | 显示条件判断装置和交易确认系统 | |
KR20090085493A (ko) | 무인정보 단말기와 환전거래 웹사이트를 제공하는 웹서버를이용한 환전 방법과 장치 | |
WO2013000966A1 (fr) | Procede de transaction dematerialisee | |
WO2001009855A1 (en) | Secure electronic transactions | |
de Jong | Cash: The once and future king | |
CN100382071C (zh) | 自动化银行业务机和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100127 Termination date: 20170815 |