CN106233342A - 自动交易装置以及自动交易系统 - Google Patents
自动交易装置以及自动交易系统 Download PDFInfo
- Publication number
- CN106233342A CN106233342A CN201580020955.6A CN201580020955A CN106233342A CN 106233342 A CN106233342 A CN 106233342A CN 201580020955 A CN201580020955 A CN 201580020955A CN 106233342 A CN106233342 A CN 106233342A
- Authority
- CN
- China
- Prior art keywords
- code
- control portion
- dev
- yard
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/108—Remote banking, e.g. home banking
- G06Q20/1085—Remote banking, e.g. home banking involving automatic teller machines [ATMs]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/18—Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/388—Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07D—HANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
- G07D9/00—Counting coins; Handling of coins not provided for in the other groups of this subclass
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Finance (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
在生成自动交易装置的整体控制部与内部设备的加密通信所需的加密密钥中,保证安全性以及合法性。自动交易装置具备在内部搭载的第一设备、以及对装置进行控制的控制部,在该第一设备与该控制部之间进行数据的收发,所述第一设备执行:生成与该第一设备相关的第一码,并发送给所述控制部的处理;以及对从所述控制部接收到的第二码进行验证,与验证结果相应地生成加密密钥的处理,所述控制部执行:在接收到所述第一码后,对动作环境处于所述自动交易装置内进行验证的处理;以及在判断为所述动作环境处于所述自动交易装置内的情况下,生成所述第二码,将该第二码发送给所述第一设备的处理。
Description
技术领域
本发明涉及自动交易装置以及自动交易系统。
背景技术
在ATM(自动柜员机:Automated Teller Machine))等自动交易装置中,有时对构成装置的内部设备发送非法的指令,借此执行非法的处理。例如,对进行纸币的进出款的纸币处理部传送与交易无关的非法的出款命令,导致现金被提取。作为防止这样的非法的处理的对策,执行用于保护自动交易装置的整体控制部和内部设备之间的通信的加密处理。
在加密处理时需要加密密钥,但在没有适当地管理加密密钥的情况下,即使采用了由第三者证明了安全性的加密算法,也不能期待通过加密功能对通信进行保护。从而,在自动交易装置的整体控制部和内部设备中,各自都要求加密密钥管理(加密密钥的设定等)的安全性。
作为将加密密钥设定到自动交易装置的方法,在专利文献1中,记载了在自动交易装置中预先设定秘密密钥,通过由与自动交易装置经由网络连接的主机系统加密的主密钥,来对加密密钥进行解密。
现有技术文献
专利文献
专利文献1:美国专利第6705517号公报
发明内容
发明要解决的课题
在将专利文献1中公开的结构应用在ATM控制部和被搭载在ATM的内部的内部设备之间的情况下,在内部设备中预先设定秘密密钥,执行以该秘密密钥对由ATM控制部加密的通信加密密钥进行解密的处理,从而仅在ATM控制部和内部设备之间共享该通信加密密钥,能够进行ATM控制部和内部设备之间的通信的加密以及解密。
但是,在执行加密通信的情况、或者对完全没有设定加密密钥的自动交易装置使用加密通信功能来保护对于内部设备的通信的情况下,若构筑了与自动交易装置的整体控制部相同的环境的外部终端(笔记本电脑等)与自动交易装置的内部设备连接,则在外部终端侧制成并保存与内部设备的加密通信所需的加密密钥。若将保存了加密密钥的外部终端和正在运营的自动交易装置的内部设备连接,则能够从外部终端发送非法的指令,存在非法的处理被执行的危险。
特别是,在针对除了在物理上保证了安全性的地方(具备进出房间管理功能的地方)以外设置的ATM设定加密密钥时,搬运ATM到物理上保证了安全性的地方在工时、费用、服务停止时间上是不现实的,所以需要在设定了ATM的地方设定加密密钥。
为了应对上述课题,作为合法的ATM,需要保证生成加密密钥的环境的安全性、合法性。因此,在本发明中,其目的在于,在自动交易装置的整体控制部和内部设备的加密通信所需的加密密钥的生成中,保证安全性以及合法性。
用于解决课题的手段
为了解决上述课题,在本发明中,自动交易装置具备在内部搭载的第一设备、以及对装置进行控制的控制部,在该第一设备与该控制部之间进行数据的收发,其特征在于,所述第一设备执行:生成与该第一设备相关的第一码,并发送给所述控制部的处理;以及对从所述控制部接收到的第二码进行验证,根据验证结果生成加密密钥的处理,所述控制部执行:在接收到所述第一码后,对动作环境处于所述自动交易装置内进行验证的处理;以及在判断为所述动作环境处于所述自动交易装置内的情况下,生成所述第二码,将该第二码发送给所述第一设备的处理。
发明效果
根据本发明,在自动交易装置的整体控制部和内部设备的加密通信所需的加密密钥的生成中,能够保证安全性以及合法性。特别是,在对完全没有设定加密密钥的自动交易装置新设定加密密钥的情况下确保安全性以及合法性,从而能够不执行来自外部终端的非法的处理。
附图说明
图1是实施例1中的自动交易系统的整体结构图。
图2是实施例1中的ATM的功能框图。
图3是ATM控制部的软件/数据结构图。
图4是纸币处理部的固件/数据结构图。
图5是表示实施例1中的处理的流程图。
图6是表示实施例1中的处理的数据的流动的图。
图7是对设备的连接状态、软件的状态进行管理的管理表。
图8是ATM的环境辨识的结果画面。
图9是实施例2的概念图。
图10是实施例2中的自动交易系统的整体结构图。
图11是实施例2中的ATM的功能框图。
图12是便携终端的软件/数据结构图。
图13是管理服务器的软件/数据结构图。
图14是在管理服务器中存放的加密密钥生成日志的存放数据项目列表。
图15是表示实施例2中的处理的流程图。
图16是表示实施例2中的处理的数据的流动的图。
图17是表示实施例2中的在维护用显示部中显示的认证画面的图。
图18是表示实施例2中的在便携终端中显示的认证画面的图。
图19是表示实施例2中的在便携终端中显示的响应接收画面的图。
图20是表示实施例2中的在维护用显示部中显示的响应接收画面的图。
图21是自动交易系统的整体结构图(变形例)。
图22是表示在维护用显示部中显示的认证画面的图(变形例)。
具体实施方式
(1)实施例1
作为对通信对象是否合法进行认证的手段,使用被称为“质询/响应认证”的方法。在本实施例中,自动交易装置(以下设为ATM)的控制部(以下设为“ATM控制部(AC)”)进行ATM的环境辨识,且ATM固有的内部设备(DEV)(纸币处理部、硬币处理部、读卡器、加密键盘、凭条打印机、存折打印机、日志打印机、监视摄像机等硬件)对ATM控制部(AC)执行设备间的“质询/响应认证”。通过设备间的“质询/响应认证”,能够在内部设备(DEV)纸币处理部中预先设定与ATM控制部(AC)相关联的秘密密钥。由此,将由ATM控制部(AC)加密的通信加密密钥以所述秘密密钥来解密,从而仅ATM控制部(AC)和内部设备能够共享所述通信加密密钥,能够对以后的通信进行加密以及解密。
一般的“质询/响应认证”是服务器和装置之间的认证,能够由软件来实现,所以在ATM控制部(AC)以外的外部终端(例如笔记本电脑)中复制认证程序也能够认证。为了防止外部终端中的认证,ATM控制部(AC)参照内部设备(DEV)的连接状况,从而进行动作环境是否处于ATM内的环境的辨识(环境辨识)。即,与一般的“质询/响应认证”不同,成为设备间的“质询/响应认证”。在此基础上,ATM控制部(AC)发送响应码(DEV RS),在内部设备(DEV)中对该响应码(DEV RS)进行验证。通过这样的ATM控制部(AC)和内部设备(DEV)之间的质询/响应认证,能够对内部设备(DEV)的连接环境处于ATM内的情况进行验证。另外,说明使用纸币处理部作为本实施例中的内部设备(DEV)的情况,但在其他内部设备(硬币处理部、读卡器、加密键盘、凭条打印机、存折打印机、日志打印机、监视摄像机等)中也能够进行同样的处理。
以下,使用图1~图8,说明第一实施例。图1是自动交易系统的整体结构图。自动交易系统S1由ATM101、作为上层装置的主计算机103、以及将它们连接的金融交易网络102构成。
ATM101是通过用户的操作来进行现金的进出款等交易的装置。金融交易网络102例如是LAN(局域网:Local Area Network))或WAN(广域网:Wide Area Network)),但不限于此。主计算机103是与多个ATM101连接的计算机,记录有与ATM101的用户的账户、余额相关的信息等。
图2是ATM101的功能框图。ATM101具备:用于对ATM内的设备进行控制的ATM控制部(AC)201;进行ATM的前面板的显示灯控制、前面板的开闭检测的输入/输出控制部202;对所进款的纸币、要出款的纸币进行处理的纸币处理部203;读取ATM中的交易所需的现金卡等卡的信息的读卡器部204;输入在ATM中的交易中用于确认本人的密码,进而在内部进行用于向主计算机103传送的加密的加密键盘205;印刷交易的凭条的凭条打印机206;进行存折的读取和记账的存折打印机207;记录ATM交易的日志的日志打印机208;拍摄ATM用户的面部照片等、为了维持ATM安全性而利用的监视摄像机209;用于与主计算机103进行通信的通信处理部210;用于向ATM用户显示交易所需的信息的显示部211;在ATM的维护员进行ATM的维护作业时,显示与ATM的维护相关的信息的维护用显示部212;以及供维护员为了ATM的维护作业而操作的维护用键盘213。此外,也可以具备对所进款的硬币、要出款的硬币进行处理的硬币处理部(未图示)。
图3是表示在ATM控制部(AC)201内的存储器中存放的程序以及数据结构的图。
在程序区域301中,存放对ATM交易整体进行控制的ATM交易应用302、与加密处理相关的两种软件303以及304、九种设备控制软件305~313、以及软件环境的设定文件314。
加密密钥安装程序303是关于生成ATM控制部(AC)201和纸币处理部203之间的加密通信所需的加密密钥,且对生成加密密钥所需的安全的环境是否在ATM内部实现进行验证的软件。另外,加密密钥安装程序303也可以是维护ATM的软件的一部分的功能。加密通信控制软件304是使用由加密密钥安装程序303生成或设定的加密密钥,与内部设备进行加密通信的软件。设备控制软件305~313是与各部202~210的功能对应的软件。
在数据区域315中,存放有与ATM控制部(AC)201相关的数据316~317、以及与纸币处理部203相关的数据321~323这两种数据。
维护员ID316是用于对将加密密钥设定到ATM内的工作人员进行识别的信息(识别码)。ATM序列号(ATM Ser.No.)317是用于对各个ATM进行识别的信息,是所谓由生产线分配的生产号、或为了金融机构识别ATM而与生产号不同地被赋予的识别号等。
内部设备(DEV)序列号(DEV Ser.No.)321是用于对纸币处理部203进行识别的信息,是所谓由生产线分配的生产号、与生产号不同地由维护公司等赋予的识别号等。此外,内部设备(DEV)序列号(DEV Ser.No.)321从纸币处理部203被发送。
DEV质询码1(DEV CH 1)322是与内部设备(DEV)序列号(DEV Ser.No.)321一起从纸币处理部203发送的数据,为了纸币处理部203对ATM控制部(AC)201进行质询/响应认证而使用。
DEV响应码1(DEV RS 1)323由加密密钥安装程序303根据DEV质询码1(DEV CH 1)322通过规定的单向变换算法而生成。此外,DEV响应码1(DEV RS 1)323为了对ATM控制部(AC)201验证纸币处理部203的合法性而生成。
图4是表示在纸币处理部203内的存储器M203中存放的程序以及数据结构的图。
在程序区域401中,存放有进行纸币处理部203的纸币输送等控制的内部设备(DEV)控制固件402、用于与ATM控制部(AC)201进行通信的通信控制固件403、以及执行ATM控制部(AC)201和纸币处理部203之间的通信的加密的加密处理固件404。
在数据区域405中,存放有三种数据406~408。内部设备序列号(DEV Ser.No.)406是用于对纸币处理部203进行识别的信息。DEV质询码1(DEV CH 1)407为了对ATM控制部(AC)201的合法性进行验证而在纸币处理部203进行质询/响应认证时生成。
内部设备序列号(DEV Ser.No.)406和DEV质询码1(DEV CH 1)407一起被发送给ATM控制部(AC)201。DEV响应码1(DEV RS1)408是在上述的质询/响应认证时使用的数据,由作为内部设备(DEV)的纸币处理部203生成。此外,DEV响应码1(DEV RS 1)408是被与从ATM控制部(AC)201发送的DEV响应码1(DEV RS 1)323比较是否一致的比较对象的数据。
以下,使用图5(a)以及图6,说明第一实施例中的整体处理的流程。在纸币处理部203中,通过加密处理固件404的规定的随机数生成器,生成DEV质询码1(DEV CH 1)407(S101)。其后,例如在发生了检测到由维护员按下了在维护用显示部212中显示的规定按键的情况等预先决定的处理的情况下,通过通信控制固件403,内部设备序列号(DEVSer.No.)406和DEV质询码1(DEV CH 1)407被发送给ATM控制部(AC)201(S102)。
在ATM控制部(AC)201中,接收内部设备序列号(DEV Ser.No.)406和DEV质询码1(DEV CH1)407,还分别存放至数据区域315内的内部设备(DEV)序列号(DEV Ser.No.)321以及DEV质询码1(DEV CH 1)322。进而,内部设备(DEV)序列号(DEV Ser.No.)321作为生成加密密钥的跟踪信息而被记录至电子日志等日志文件。在发生加密密钥泄漏等问题时,通过参照该日志文件,能够确认加密密钥生成状况。优选该日志文件被实施防止篡改等安全性对策。
其后,加密密钥安装程序303为了对ATM控制部(AC)正在动作的环境不是外部终端(一般的笔记本电脑等),而是ATM101的内部进行验证,进行ATM的环境辨识(S103)。例如,对作为ATM101固有的设备的输入/输出控制部202、读卡器204、加密键盘205等是否与ATM控制部(AC)201连接进行判断。该判断例如通过ATM应用302对各设备指示设备的启动并确认表示已启动的响应来进行。此外,为了提高ATM的环境辨识的精度,也可以不仅对各设备是否只是连接进行判断,还参照所安装的软件、环境设定参数组、设备的错误状态等,从而判断各设备是否适当地进行动作。
此外,作为ATM的环境辨识的例子,例如还能够使用电子签名或规定的工具等对ATM控制部(AC)201内的程序、设定是否合法进行验证。
在这样的ATM的环境辨识时,也可以使用图7所示那样的对设备的连接状态(启动状态)、软件的状态进行管理的管理表1500来执行处理。1501是在ATM内安装的设备/软件名称,1502是表示各设备是否正常地启动的状态数据,1503是各设备的启动异常的情况下的表示异常的种类的错误码等表示具体的异常状态的数据。数据1504~1512分别与图3所示的输入/输出控制部控制软件305、纸币处理部控制软件306、读卡器控制软件307、加密键盘控制软件308、凭条打印机控制软件309、存折打印机控制软件310、日志打印机控制软件311、监视摄像机控制软件312、通信处理软件313的动作状态对应。此外,数据1513与图3所示的ATM应用302的完整性验证状态对应,但也可以包含加密密钥安装程序303或加密通信控制软件304的完整性验证状态。此外,数据1514与图3所示的软件设定文件314的完整性验证状态对应。在此,完整性(integrity)验证是对数据没有被篡改或破坏进行验证的处理。
此时,在ATM启动的过程中,将各设备的连接状态(启动状态)预先存放至管理表1500。并且,在ATM的环境辨识中,加密密钥安装程序302参照本表,确认各设备是否正常启动,或各软件的完整性是否被验证。
ATM的环境辨识的结果被显示在维护用显示部212中。图8是ATM的环境辨识的结果画面的一例。ATM的环境辨识的结果画面1600具备显示设备的状态的设备状态区域1601、显示软件的状态的软件状态区域1602、“继续”键1603、“再执行”键1604、以及“取消”键1605。
在设备状态区域1601中,显示与图7所示的数据1504~1512对应的数据。此外,在软件状态区域1602中,显示与图7所示的数据1513、1514对应的数据。
在各数据的连接状态(启动状态)为正常,且检测出由维护员按下了“继续”键1603的情况下,执行下一步骤以后的处理。另一方面,在检测出有异常的数据的情况下,需要由维护员确认相应的设备、软件的状态。其后,在检测出由维护员按下了“再执行”键1604的情况下,再次执行环境辨识。另一方面,在检测出有异常的数据,且检测出由维护员按下了“取消”键1605的情况下,停止处理。另外,在检测出有异常的数据的情况下,优选不显示“继续”键1603,或不检测出“继续”键1603的按下。
在ATM的环境辨识失败的情况下,ATM控制部(AC)201判断为不是合法的ATM环境,将ATM的环境辨识的失败结果记录至日志文件。该日志文件优选通过加密等而保护其不受篡改。其后,对纸币处理部203发送表示不是合法的ATM环境的数据。纸币处理部203接收该数据,记录不是合法的ATM环境,还能够实施进一步的安全性对策。例如,在记录了不是合法的ATM环境的累积次数、或记录了不是合法的ATM环境的连续次数超过了规定值的情况下,还能够看做不是ATM而是从外部终端(笔记本电脑等)进行非法的访问,封闭纸币处理部203的加密密钥生成动作。
在ATM的环境辨识成功的情况下,根据内部设备(DEV)序列号(DEV Ser.No.)321以及DEV质询码1(DEV CH 1)322,生成DEV响应码1(DEV RS1)323(S104)。所生成的DEV响应码1(DEV RS 1)323被发送至纸币处理部203(S105)。
在纸币处理部203中,若接收到DEV响应码1(DEV RS 1)323,则使用规定的变换算法,根据内部设备序列号(DEV Ser.No.)406和DEV质询码1(DEV CH 1)407,生成DEV响应码1(DEVRS 1)408。在此,规定的变换算法是与根据内部设备(DEV)序列号(DEV Ser.No.)321和ATM控制部(AC)201的DEV质询码1(DEV CH1)322生成DEV响应码1(DEV RS 1)323的变换算法相同的变换算法。
接着,对所接收到的DEV响应码1(DEV RS 1)323与所生成的DEV响应码1(DEV RS1)408是否一致进行验证(S106)。
像这样,纸币处理部203中的变换算法与ATM控制部(AC)201共享。其结果,通过对DEV响应码1(DEV RS1)323和DEV响应码1(DEV RS 1)408的一致进行验证,能够在纸币处理部203侧确认内部设备序列号(DEV Ser.No.)406是否被登记到ATM控制部(AC)201的日志文件。在通过该一致验证,纸币处理部203判断为是安全的ATM运营环境,其后在接收到加密密钥生成指令的情况下执行加密密钥生成处理。
在此,纸币处理部203还能够对在判断为是安全的ATM运营环境之后直到接收加密密钥生成指令为止的期间设置时间的上限。通过设置时间限制,避免在维护员正在操作ATM101时从现场离开的情况下,第三者将加密密钥生成指令发送至作为内部设备(DEV)的纸币处理部203并非法生成加密密钥的风险。
在所接收到的DEV响应码1(DEV RS 1)323与所生成的DEV响应码1(DEV RS 1)408不一致的情况下,作为不处于适于生成加密密钥的环境,纸币处理部203即使在之后接收到加密密钥生成指令,也拒绝处理。另外,若DEV响应码1(DEV RS 1)323和DEV响应码1(DEV RS1)408的不一致为规定的次数以内,则也可以从S101再次执行处理。在该情况下,在不一致超过规定次数时,看做对纸币处理部203进行非法的访问,在规定的期间内拒绝S101的处理。此外,除了拒绝处理之外,也可以隔断ATM控制部(AC)和纸币处理部203的通信。
根据第一实施例,在作为与内部设备进行通信的对象的ATM控制部(AC)中,进行生成加密密钥的软件的动作环境不是外部终端而是ATM内的环境的环境辨识。即,ATM控制部(AC)参照内部设备的连接状况,且发送响应码(DEV RS),在内部设备中对其进行验证,从而对内部设备的连接环境进行验证。由此,在执行加密通信的情况、或对完全没有设定加密密钥的自动交易装置新设定加密密钥的情况下,能够对生成加密密钥的软件没有在ATM以外的外部终端中进行动作进行验证。
此外,在使用具有耐篡改(tamper)性的安全芯片那样的安全的硬件,在其硬件内部生成加密密钥的情况下,对处于安全的环境进行确认也是有效的。在硬件内部生成加密密钥的情况下,需要用于传送加密密钥生成命令的访问控制。在该情况下,对访问控制使用密码认证等,但若密码泄漏,例如,若随意在硬件内部生成秘密密钥/公开密钥,则有时公开密钥在不需要的情况下被从该硬件取出。这样意外取出加密密钥会导致脆弱性,因此即使是硬件,环境的安全性也是重要的。
另外,在本实施例中,为了纸币处理部203能够验证内部设备序列号(DEVSer.No.)406是否被登记到ATM控制部(AC)201的日志文件,在S104中,根据内部设备(DEV)序列号(DEV Ser.No.)321和DEV质询码1(DEV CH 1)322这两个信息,生成DEV响应码1(DEVRS 1)323。但是,若不需要纸币处理部203通过S106的响应码验证来确认向ATM控制部(AC)201的日志文件的登记,则在S104中,也可以根据DEV质询码1(DEV CH 1)322这一个信息,生成DEV响应码1(DEV RS 1)323。在该情况下,S106中的验证也同样,根据DEV质询码1(DEV CH1)407这一个信息,生成DEV响应码1(DEV RS 1)408。
此外,在本实施例中,说明了在内部设备(DEV)对DEV响应码1(DEV RS 1)进行验证的例子,但例如在有可能连接着非法的内部设备(DEV)的情况下,也可以在ATM控制部(AC)中生成并验证响应码。
在该情况下,如图5(b)所示,最初ATM控制部(AC)201执行对动作环境处于所述自动交易装置内进行验证的处理(S111),在判断为所述动作环境处于所述自动交易装置内的情况下,生成AC质询码1(AC CH 1)(S112),将AC序列号(AC Ser.No.)和AC质询码1(ACCH 1)发送至内部设备(DEV)(S113)。其后,内部设备(DEV)根据AC序列号(AC Ser.No.)以及AC质询码1(AC CH 1),生成AC响应码1(AC RS 1)(S114),并发送至ATM控制部(AC)201(S115)。生成DEV响应码1(DEV RS 1)323(S104)。所生成的DEV响应码1(DEV RS 1)323被发送至内部设备(DEV)(S105)。最后,ATM控制部(AC)201针对从内部设备(DEV)接收到的AC响应码1(AC RS1),在ATM控制部(AC)201中,对接收到的AC响应码1(AC RS 1)与根据AC序列号(ACSer.No.)以及AC质询码1(AC CH 1)生成的AC响应码1(AC RS 1)是否一致进行验证(S116)。在上述说明中示出了将AC序列号(AC Ser.No.)以及AC质询码1(AC CH 1)一起发送,根据这两者生成AC响应码1(AC RS 1)的例子,但也可以仅发送AC质询码1(AC CH 1),根据AC质询码1(AC CH 1)生成AC响应码1(AC RS1)。
另外,本实施例以在ATM控制部(AC)和内部设备(DEV)之间,使用质询码、响应码的质询/响应认证为例进行了说明,但也可以是其他认证形式。例如,可以举出一次性方式的密码即一次性密码(One Time PW)的方式。一次性密码方式也会存在多个方式,但例如,使用图5(c)说明在被设为进行认证侧的一侧共享时刻,使用相同的适当的算法而相互生成与该时刻对应的密码并进行验证的方式。另外,前提是在内部设备(DEV)中也安装有时钟。
首先,在内部设备(DEV)中,参照所内置的时钟,取得时刻数据(S121)。根据所得到的时刻数据,使用适当的算法生成一次性密码(DEV One Time PW)(S122)。其后,内部设备(DEV)对ATM控制部(AC)发送AC一次性密码(AC One Time PW)的发送请求(S123)。
ATM控制部(AC)的加密密钥安装程序303基于与步骤S103同样的过程,进行ATM的环境辨识(S124)。在ATM的环境辨识成功的情况下,参照被装入ATM控制部(AC)201内的时钟,取得时刻数据(AC时刻数据)(S125)。并且,根据所得到的时刻数据,使用与内部设备(DEV)相同的算法,生成一次性密码(AC One Time PW)(S126),将AC一次性密码(AC OneTime PW)发送至内部设备(DEV)(S127)。内部设备(DEV)对DEV一次性密码(DEV One TimePW)和AC一次性密码(AC One Time PW)是否一致进行验证(S128),根据验证结果执行加密密钥生成处理的执行等处理。
像这样,使用利用了共享的时刻数据的一次性密码方式,内部设备(DEV)能够对ATM控制部(AC)201进行认证。
(2)实施例2
以下,使用图2、图4、图9~20,说明第二实施例。图9是表示第二实施例的概念、即第二实施例中的处理过程的基本想法的图。
例如,在维护用的仓库中保管有ATM的情况(即ATM没有运营的情况)下,能够将运营所需的软件组复制到ATM控制部(AC)上,在该状态下生成加密密钥。在该情况下,由于ATM没有运营,所以如果在变更了软件的结构的基础上,在生成了加密密钥时进行存储器转储(memory dump),则加密密钥被非法地取得。
为了防止这样的非法行为,除了第一实施例中说明的内部设备(DEV)的连接环境处于ATM内的验证(参照(a))之外,还需要对ATM是否正在运营进行验证。关于ATM正在运营,ATM与主计算机连接成为一个判断依据。但是,在将加密密钥设定到ATM时,在与执行通常的交易的运营模式不同的模式即维护模式下使ATM动作,所以与主计算机的连接一般被切断,难以基于ATM101和主计算机103之间的通信状态来对是否是正在运营的ATM进行验证。因此,为了判断是否是正在运营的ATM,需要以与主计算机103连接以外的手段进行判断。
因此,考虑如下处理:如(b)所示,内部设备(DEV)对在ATM的外部设置的管理服务器发送加密密钥生成的可溯性所需的信息(内部设备(DEV)的序列号、ATM的序列号、日期时间、工作人员的ID等),在该管理服务器中保管该信息。假设,在进行了非法的加密密钥生成的情况下,使用该可溯性信息,能够对非法行为者等进行跟踪调查,因此能够抑制使用没有被运营的ATM进行非法的加密密钥生成。
在内部设备(DEV)中使用质询/响应认证来验证加密密钥生成的可溯性所需的信息是否被可靠地保管至管理服务器。例如,管理服务器根据内部设备所生成的质询码、以及可溯性所需的信息,使用单向函数等规定的变换算法生成响应码。在内部设备(DEV)中,只要能够正确地验证从管理服务器发送的响应码,就能够确认向管理服务器可靠地登记了加密密钥生成的可溯性所需的信息。
像这样,通过在内部设备(DEV)中验证可溯性所需的信息被可靠地登记到管理服务器,能够与是否是维护模式无关地,确认与正在运营的ATM连接。
此外,在生成加密密钥时,不仅是内部设备(DEV),ATM控制部(AC)也需要验证是否是正在运营的ATM的环境。因此,考虑如下处理:如(c)所示,ATM控制部(AC)也对在ATM的外部设置的管理服务器发送加密密钥生成的可溯性所需的信息,在该管理服务器中保管该信息。并且,在ATM控制部(AC)中使用质询/响应认证来验证加密密钥生成的可溯性所需的信息是否被可靠地保管至管理服务器。
通过组合在以上(a)~(c)中说明的概念,在发生了加密密钥的非法泄漏的情况下,通过参照被登记到认证用的服务器的历史信息,能够对有问题的ATM进行跟踪,结果能够抑制伴随加密密钥生成的非法行为。即,使用表示(a)(c)所示的ATM控制部(AC)是相同的,且(b)(c)所示的管理服务器是相同的且为合法的通信对象的信息,在内部设备中,能够高精度地验证与正在运营的ATM连接。在本实施例中,详细地说明实现在(a)~(c)中说明的概念即(d)的结构、处理。
图10是自动交易系统的整体结构图。自动交易系统S2除了在第一实施例中叙述的ATM101、金融交易网络102、主计算机103之外,还具备便携信息终端104、作为与金融交易网络102不同的网络的维护用网络105、管理服务器106、以及储存器107。ATM101经由便携信息终端104与维护用网络105连接,与管理服务器106进行信息的交换。储存器107与管理服务器106连接,是存放经由便携信息终端104从ATM101发送的加密密钥生成的跟踪信息的存放部。
ATM101的功能框图与第一实施例同样(参照图2),所以省略详细的说明。
图11是表示在ATM控制部(AC)201内的存储器中存放的程序/数据结构的图。程序区域301与第一实施例同样,所以省略详细的说明。
在数据区域315中,存放有与ATM控制部(AC)201相关的数据316~320、以及与内部设备(DEV)相关的数据321~325这两种数据。
时刻数据316是表示向管理服务器106发送数据的时刻的数据。维护员ID317是用于识别将加密密钥设定到ATM内的工作人员的识别码。ATM序列号(ATM Ser.No.)318是用于识别各个ATM的信息,是所谓由生产线分配的生产号、或为了金融机构识别ATM而与生产号不同地被赋予的识别号等。
AC质询码(AC CH)319在ATM控制部(AC)201对管理服务器106的合法性进行验证时为了进行质询/响应认证而生成。即,AC质询码(AC CH)319为了由ATM控制部(AC)201对管理服务器106进行认证,且对该管理服务器106中是否适当地保存了用于可溯性的登记数据进行验证而生成。AC响应码(AC RS)320是为了质询/响应认证而使用的数据,由ATM控制部(AC)201生成。此外,AC响应码(AC RS)320是与从管理服务器106发送的AC响应码(AC RS)711(参照图13)比较是否一致的比较对象的数据。
内部设备(DEV)序列号(DEV Ser.No.)321是用于对纸币处理部203进行识别的信息,是所谓由生产线分配的生产号、或与生产号不同地被维护公司等赋予的识别号等。此外,内部设备(DEV)序列号(DEV Ser.No.)321是从纸币处理部203发送的数据,作为加密密钥生成的跟踪信息的一部分而被发送给管理服务器106。
DEV质询码1(DEV CH 1)322是与内部设备(DEV)序列号(DEV Ser.No.)321一起从纸币处理部203发送的数据,为了纸币处理部203对ATM控制部(AC)201进行质询/响应认证而使用。此外,DEV质询码1(DEV CH 1)322还在纸币处理部203验证内部设备(DEV)序列号(DEV Ser.No.)321是否被可靠地发送给管理服务器106时使用。
DEV响应码1(DEV RS 1)323由加密密钥安装程序303根据后述的DEV响应码2(DEVRS2)324通过规定的单向变换算法生成。此外,DEV响应码1(DEV RS 1)323针对ATM控制部(AC)201和管理服务器106这两者,为了对纸币处理部203的合法性进行验证而生成。进而,通过DEV响应码1(DEVRS 1)323,作为加密密钥跟踪信息,还能够验证内部设备(DEV)序列号(DEV Ser.No.)321是否可靠地到达管理服务器106。
DEV质询码2(DEV CH 2)324由加密密钥安装程序303根据DEV质询码1(DEV CH 1)322进行单向变换从而生成。此外,DEV质询码2(DEV CH 2)324在由纸币处理部203验证管理服务器106的合法性时使用,与内部设备(DEV)序列号(DEV Ser.No.)321一起被发送至管理服务器106。另外,被发送至管理服务器106的数据不限于此,只要是能够对加密密钥生成的跟踪有贡献的数据,也可以是任意数据。
DEV响应码2(DEV RS 2)325是由管理服务器106生成的响应码。即,通过适当的单向变换,根据纸币处理部生产号321和DEV质询码1(DEV CH 1)这两个数据,在管理服务器106上生成DEV响应码2(DEVRS 2)325。DEV响应码2(DEV RS 2)325为了由纸币处理部203对管理服务器106的合法性进行验证而生成。
在纸币处理部203内的存储器中存放的程序以及数据结构与第一实施例同样(参照图4),所以省略详细的说明。
图12是表示为了与管理服务器106收发来自ATM101的输入输出数据而使用的便携终端104内的存储器M104中存放的程序/数据结构的图。
在程序区域501中,存放四种软件502~505。通信控制软件502是用于经由无线网络105进行通信的软件。数据发送软件503是用于将数据发送至管理服务器106的软件,例如是短消息或电子邮件软件。数据输入软件504是用于将在ATM101的维护用显示部212中显示的数据输入至便携终端104的软件,例如是读取二维码的软件。数据显示软件505是用于为了将便携终端104的信息输入至ATM101而变换数据的显示形式的软件,例如是生成、显示条形码或二维码的软件。
在数据区域506中,存放对管理服务器106发送的数据、以及从管理服务器106接收的数据。即,存放如下数据:在ATM101的维护用显示部212中显示而被获取到便携终端104内并被发送至管理服务器106的数据、以及从管理服务器106接收并被输入至ATM101的数据。
具体而言,在数据区域506中,存放八种数据507~512、601、602。时刻数据507、维护员ID 508、ATM序列号(ATM Ser.No.)509、内部设备(DEV)序列号(DEV Ser.No.)510、AC质询码(AC CH)511以及DEV质询码2(DEV CH 2)512是与在ATM控制部(AC)201的数据区域315中存放的数据318、316、317、321、319以及324分别对应的数据。此外,AC响应码(AC RS)601以及DEV响应码2(DEV RS 2)602与在ATM控制部(AC)201的数据区域315中存放的数据320以及325分别对应。
图13是表示在管理服务器106内的存储器M106中存放的程序/数据结构的图。
在程序区域701中,存放两种软件702~703。ATM加密密钥生成管理软件702是进行ATM加密密钥生成的日志管理,或根据所接收到的AC质询码(AC CH)或DEV质询码2(DEV CH2)生成AC响应码(AC RS)或DEV响应码2(DEV RS 2),并且在储存器107中存放加密密钥跟踪信息的软件。通信控制软件703是用于经由网络105与便携终端104进行通信的软件。
在数据区域704中,作为保存为日志的数据,存放八种数据705~712。在这些数据内,时刻数据705、维护员ID706、ATM序列号(ATM Ser.No.)707、内部设备(DEV)序列号(DEVSer.No.)708、AC质询码(AC CH)709以及DEV质询码2(DEV CH 2)710是从便携终端104接收到的数据,分别与数据507~512对应。
AC响应码(AC RS)711是由ATM加密密钥生成管理软件702生成的数据。在生成AC响应码(AC RS)711时,ATM加密密钥生成管理软件702使用所输入的时刻数据705、维护员ID706、ATM序列号(ATM Ser.No.)707以及AC质询码(AC CH)709,执行适当的单向变换处理(哈希计算等)。
DEV响应码2(DEV RS 2)712与AC响应码(AC RS)711同样,是由ATM加密密钥生成管理软件702生成的数据。在生成DEV响应码2(DEV RS 2)712时,ATM加密密钥生成管理软件702使用被输入的内部设备(DEV)序列号(DEVSer.No.)708以及DEV质询码2(DEV CH2)710,执行适当的单向变换处理(哈希计算等)。
图14是表示在储存器107中存放的加密密钥生成日志(跟踪信息)的数据项目名的图。项目801~808与在管理服务器106内的存储器M106中存放的数据705~712分别对应。
以下,使用图15以及图16,说明第二实施例中的整体处理的流程。在纸币处理部203中,通过加密处理固件404的规定的随机数生成器,生成DEV质询码1(DEV CH 1)407(S201)。其后,例如在发生了检测到由维护员按下了在维护用显示部212中显示的规定按键等预先决定的处理的情况下,通过通信控制固件403,内部设备序列号(DEV Ser.No.)406、以及DEV质询码1(DEV CH 1)407被发送至ATM控制部(AC)201(S202)。在ATM控制部(AC)201中,接收内部设备序列号(DEV Ser.No.)406和DEV质询码1(DEV CH 1)407,作为数据区域315内的内部设备(DEV)序列号(DEV Ser.No.)321以及DEV质询码1(DEV CH 1)322而分别存放。其后,加密密钥安装程序303为了对ATM控制部(AC)正在动作的环境不是外部终端(一般的笔记本电脑等)而是ATM101的内部进行验证,进行ATM的环境辨识(S203)。
S201~S203的处理与第一实施例中的S101~S103的处理同样。其中,在第二实施例的情况下,通过ATM应用302,对ATM101和主计算机103是否经由金融交易网络102连接进行判断,从而还能够确认是正进行正常运营的ATM。在ATM101中设定加密密钥时,需要在维护模式中启动ATM101,停止通常的交易服务提供。在维护模式的情况下,对ATM101和主计算机103是否连接进行判断一般而言是不可能的。在这样的情况下,也可以参照ATM101内的日志数据中包含的电子日志等包含时刻的数据,确认是与主计算机103连接而正进行正常运营的ATM。
在ATM的环境辨识失败的情况下的处理与第一实施例同样,所以省略说明。
在ATM的环境辨识成功的情况下,使用规定的随机数生成器,生成AC质询码(ACCH)319(S204)。其后,根据DEV质询码1(DEV CH 1)322,使用规定的变换算法生成DEV质询码2(DEV CH 2)324(S205)。设为该变换算法在ATM控制部(AC)201和纸币处理部203之间共享,例如也可以将作为从纸币处理部203传送来的向管理服务器106的登记数据的内部设备序列号(DEV Ser.No.)406设为变换算法的输入之一。
其后,将维护员ID316、ATM序列号(ATM Ser.No.)317、时刻数据318、AC质询码(ACCH)319、内部设备(DEV)序列号(DEV Ser.No.)321以及DEV质询码2(DEV CH 2)324作为管理服务器认证用数据而显示在维护用显示部212中(S206)。
图17表示在维护用显示部212中显示的向管理服务器的认证画面的例子。1701~1706分别与图11所示的时刻数据318、维护员ID316、ATM序列号(ATM Ser.No.)317、内部设备(DEV)序列号(DEV Ser.No.)321、AC质询码(AC CH)319以及DEV质询码2(DEV CH 2)324对应。1707是存放了1701~1706的信息的二维码。像这样,对维护用显示部212的显示除了基于文本形式的显示之外,只要能够由规定的读取器读取,也可以是基于条形码或二维码那样的码形式的显示。由此,维护员能够将管理服务器认证用数据输入至自身持有的便携终端104。另外,管理服务器认证用数据也可以通过无线的其他手段输出至ATM101的外部。
此外,在维护用显示部212中显示的二维码1707由于外部光等不良条件而难以由便携终端的读取装置读取的情况下,也可以读取从打印机印刷的二维码从而继续处理。在该情况下,在1708中显示的“印刷”键被按下时,使用在ATM中安装的任一个印刷部件来印刷二维码。进而,也可以通过无线通信等手段,将管理服务器认证用数据输出至ATM101的外部。
便携终端104确认被输入了管理服务器认证用数据,在数据区域506内的数据507~512中存放前述的信息(S207)。管理服务器认证用数据对便携终端104的输入,例如在数据输入软件504具备条形码读取器、二维码读取器的情况下,也可以使用该读取器来读取在ATM101的维护用显示部212中显示的码信息。图18表示在便携终端104的显示部中显示的向管理服务器的认证画面的显示例。1801~1806分别与图11所示的时刻数据318、维护员ID316、ATM序列号(ATM Ser.No.)317、内部设备(DEV)序列号(DEV Ser.No.)321、AC质询码(AC CH)319以及DEV质询码2(DEV CH 2)324(即,图17所示的1701~1706)对应。
其后,若检测出“发送”键1807被按下,则数据发送软件503经由通信网络105向管理服务器106发送数据507~512(S208)。
管理服务器106接收从便携终端104发送的数据507~512,通过ATM加密密钥生成管理软件702,作为数据区域704上的数据705~710存放(S209)。其后,ATM加密密钥生成管理软件702使用规定的变换算法,根据时刻数据705、维护员ID706、ATM序列号(ATMSer.No.)707以及AC质询码(AC CH)709,生成AC响应码(AC RS)711。同样,ATM加密密钥生成管理软件702使用规定的变换算法,根据内部设备(DEV)序列号(DEV Ser.No.)708以及DEV质询码2(DEV CH 2)710,生成DEV响应码2(DEV RS 2)712(S210)。
规定的变换算法例如可以考虑如下函数:在结合了质询码(AC CH、DEV CH2)和这以外的输入数据的基础上,对其施加规定的单向变换函数而生成响应码。像这样,使用在管理服务器106和ATM控制部(AC)201之间、或管理服务器106和纸币处理部203之间分别共享的变换算法,且在生成响应码(AC RS、DEV RS 2)时,通过包含质询码和这以外的输入数据,由此验证响应码的ATM控制部(AC)201或纸币处理部203能够确认所发送的数据可靠地到达管理服务器106。
ATM加密密钥生成管理软件702将从便携终端104接收到的数据和所生成的两种响应码作为图14所示的加密密钥生成日志(跟踪信息)而存放至储存器107(S211)。其后,ATM加密密钥生成管理软件702将AC响应码(AC RS)711和DEV响应码2(DEV RS2)712发送给便携终端104(S212)。
在执行S209~S212的处理时,在一定时间内反复由管理服务器106接收到从便携终端104发送的数据507~512的全部或一部分相同的数据的情况下,看做对于管理服务器106、ATM101、或纸币处理部203进行非法的访问,中止对于便携终端104的数据发送。即,对与从便携终端104发送的数据507~512的全部或一部分相同的数据对应的连续接收次数或一定期间内的接收次数设置上限,在超过了该上限的情况下,在储存器107中记录该情况,对管理服务器106的管理者发出警告。或还能够将表示发生了非法访问的信息包含于AC响应码(AC RS)711以及DEV响应码2(DEV RS 2)712。由此,接收到响应码的ATM控制部(AC)201或纸币处理部203能够判断发生了对于管理服务器106的非法访问。其结果,能够判断为不是适当的ATM的运营环境(或检测到ATM控制部(AC)或纸币处理部被攻击),拒绝其后的加密密钥生成处理。
接收到AC响应码(AC RS)711和DEV响应码2(DEV RS 2)712的便携终端104将这些响应码作为数据区域506的AC响应码(AC RS)601、DEV响应码2(DEV RS 2)602而存放(S213)。其后,数据显示软件505将该601以及DEV响应码2(DEV RS 2)602以例如条形码、二维码或文本的形式显示在便携终端的显示部(S214)。图19表示在便携终端的显示部中显示的管理服务器的响应接收画面的显示例。1901以及1902分别与图13所示的AC响应码(ACRS)711以及DEV响应码2(DEV RS 2)712对应。1903是存放了1901以及1902的信息的二维码。
所显示的条形码、二维码由监视摄像机209读取,或文本由维护员经由维护用键盘213输入,将其结果显示在维护用显示部212。图20表示在维护用显示部212中显示的管理服务器的响应接收画面的显示例。2001以及2002分别与图13所示的AC响应码(AC RS)711以及DEV响应码2(DEV RS 2)712(即,图19所示的1901以及1902)对应。“二维码读入”键2003是用于由监视摄像机209读入在便携终端104的显示部中显示的二维码1903的按键。2004是用于对AC响应码(AC RS)进行验证的按键。
在从管理服务器传送来的响应码(AC RS、DEV RS 2)内,关于AC响应码(AC RS),ATM控制部(AC)201对合法性进行验证。具体而言,若检测出“验证”键2004被按下,则加密密钥安装程序303使用与在S210中说明的变换算法相同的变换算法,对AC响应码(AC RS)320的适当性进行验证(S215)。即,对通过将数据316~319输入至变换算法而生成的AC响应码(AC RS)320与从便携终端104接收到的AC响应码601是否一致进行验证。由此,ATM控制部(AC)201能够对通信对象是适当的管理服务器106进行验证,且确认所发送的登记数据被可靠地保存在管理服务器中。
在不一致的情况下,判断为存在由便携终端104引起的通信不良、或由维护员造成的操作失误,促使维护员确认操作失误。其结果,在图19所示的便携终端104的管理服务器的响应接收画面的AC响应码(AC RS)1901以及DEV响应码2(DEVRS 2)1902与图20所示的ATM的管理服务器的响应接收画面的AC响应码(AC RS)2001以及DEV响应码2(DEV RS 2)2002一致的情况下,判断为不是操作失误而是通信不良。并且,为了将数据316~319、321、324的数据再次发送至管理服务器106,再次执行S206(或S208)以后的处理。
此外,在由于通信不良等不能得到AC响应码(AC RS)601的情况下,转移至暂时的加密密钥生成状态。即,与正确地验证了AC响应码(AC RS)320的适当性的情况同样,在其后的处理中,转移至生成ATM控制部(AC)201和纸币处理部203之间的加密通信所需的加密密钥的模式。但是,对所生成的加密密钥设置有效期限,适当的AC响应码(AC RS)601需要在有效期限内被输入至加密密钥安装程序303。在有效期限内没有被输入适当的AC响应码(ACRS)601的情况下,所生成的加密密钥成为无效,加密密钥安装程序303变更设定以禁止ATM控制部(AC)201和纸币处理部203之间的加密通信。
若S215的处理结束,则加密密钥安装程序303使用规定的变换算法,根据DEV响应码2(DEV RS 2)325,生成DEV响应码1(DEV RS 1)323(S216)。该变换算法在ATM控制部(AC)201和纸币处理部203之间共享。此外,也可以根据是否转移至前述的暂时的加密密钥生成状态,变更用于生成DEV响应码1(DEV RS 1)323的变换算法。并且,所生成的DEV响应码1(DEV RS 1)323被发送至纸币处理部203(S217)。
在纸币处理部203中,若接收到DEV响应码1(DEV RS 1)323,则使用规定的变换算法,根据内部设备序列号(DEV Ser.No.)406和DEV质询码1(DEV CH 1)407,生成DEV响应码1(DEVRS 1)408。并且,对所接收到的DEV响应码1(DEV RS 1)323与DEV响应码1(DEV RS 1)408是否一致进行验证(S218)。
在此,规定的变换算法是结合了如下三个变换算法而成的算法:(1)根据ATM控制部(AC)201的DEV质询码1(DEV CH 1)322生成DEV质询码2(DEV CH 2)324的变换算法;(2)根据管理服务器106中的内部设备(DEV)序列号(DEV Ser.No.)708和DEV质询码2(DEV CH 2)710生成DEV响应码2(DEV RS2)712的变换算法;(3)根据ATM控制部(AC)201的DEV响应码2(DEV RS 2)325生成DEV响应码1(DEV RS 1)323的变换算法。
像这样,纸币处理部203的变换算法与ATM控制部(AC)201以及管理服务器106被部分地共享。其结果,通过对DEV响应码1(DEV RS 1)323与DEV响应码1(DEV RS 1)408的一致进行验证,纸币处理部203能够确认内部设备序列号(DEV Ser.No.)406是否经由ATM控制部(AC)201可靠地被登记到管理服务器106的储存器107。通过该一致验证,纸币处理部203判断为是安全的ATM运营环境,在其后接收到加密密钥生成指令的情况下执行加密密钥生成处理。
在此,纸币处理部203还能够对在判断为是安全的ATM运营环境后直至接收到加密密钥生成指令为止的期间设置时间的上限。通过设置时间限制,避免在维护员正在操作ATM时从现场离开的情况下,第三者将加密密钥生成指令发送至纸币处理部203并非法生成加密密钥的风险。
在DEV响应码1(DEV RS 1)323与DEV响应码1(DEV RS 1)408不一致的情况下,作为不处于生成加密密钥的适当的环境,纸币处理部203其后即使接收到加密密钥生成指令也拒绝处理。或者,在通过便携终端104的管理服务器的响应接收画面的1901以及1902与ATM的管理服务器的响应接收画面的2001以及2002一致的情况判断为网络105的通信不良的情况、或存在由维护员造成的操作失误的情况下,只要在一定次数以内,则再次执行S201以后的处理。在超过了一定次数的情况下,看做对纸币处理部203进行非法的访问,在一定期间内拒绝再次执行S201以后的处理。
在ATM控制部(AC)201为暂时的加密密钥生成状态的情况下,DEV响应码1(DEV RS1)323以与其状态相应的变换算法被生成,所以纸币处理部203使用该变换算法生成DEV响应码1(DEV RS 1)408。并且,对是否与DEV响应码1(DEV RS 1)323一致进行验证,若一致,则判断为暂时的加密密钥生成状态,其后,在接收到加密密钥生成指令的情况下生成加密密钥。
在检测到对于管理服务器106的非法的访问的情况下,在DEV响应码1(DEV RS 1)408中包含该信息,所以通过纸币处理部203对有无该信息进行验证,能够确认对于管理服务器106的非法的访问。在该情况下,判断为纸币处理部203不处于适当的ATM的运营环境(或检测为ATM控制部(AC)或纸币处理部被攻击),其后即使在接收到加密密钥生成指令的情况下也无期限地或在一定期间内拒绝加密密钥生成处理。
本实施例以在对完全没有设定加密密钥的自动交易装置新设定加密密钥的情况下,作为纸币处理部203的通信对象的管理服务器(图9(b)所示的管理服务器)、以及作为ATM控制部(AC)201的通信对象的管理服务器(图9(c)所示的管理服务器)为相同的管理服务器为前提进行了说明,但也可以设为不同的管理服务器。在该情况下,成为如下处理:经由ATM控制部(AC)201,纸币处理部203向图9(b)所示的管理服务器(即,与纸币处理部203连接的管理服务器)发送信息。
另外,在本实施例中,以与ATM外部的管理服务器进行通信为前提进行了说明,但也可以代替管理服务器而使用ATM内部的加密键盘。加密键盘具有与主计算机103进行通信的功能,所以也可以根据有无加密键盘和主机的通信,判断该ATM是否是正在运营的ATM。
此外,在本实施例中,说明了在维护模式中ATM101和主计算机103的连接一般被切断,但也可以是ATM101和主计算机103被连接。
此外,在本实施例中,说明了具备便携终端104的自动交易系统S2,但也可以如图21所示那样设为ATM101和管理服务器106都与维护用网络105连接的自动交易系统S3。此时,也可以如图22所示那样在向管理服务器的认证画面上追加向管理服务器的访问键1709。通过设为这样的画面,即使不具备便携终端,也能够在ATM101和管理服务器106之间执行信息的收发。
标记说明
101:自动交易装置,102:金融交易网络,103:主计算机,104:便携信息终端,105:维护用网络,106:管理服务器,107:储存器,201:ATM控制部(AC),203:作为内部设备(DEV)的纸币处理部,318、507、705:时刻数据,316、508、706:维护员ID、317、509、707:ATM序列号(ATM Ser.No.),319、511、709:AC质询码(AC CH),320、601、711:AC响应码(AC RS),321、406、510、708:内部设备(DEV)序列号(DEV Ser.No.),322、407:DEV质询码1(DEV CH 1),323、408:DEV响应码1(DEV RS 1),324、512、710:DEV质询码2(DEV CH 2),325、602、712:DEV响应码2(DEV RS 2)。
Claims (14)
1.一种自动交易装置,具备在内部搭载的第一设备、以及对装置进行控制的控制部,在该第一设备与该控制部之间进行数据的收发,其特征在于,
所述第一设备执行:
生成与该第一设备相关的第一码的处理;以及
对所述第一码与从所述控制部接收到的第二码进行验证,与验证结果相应地生成加密密钥的处理,
所述控制部执行:
在接收到所述第一码后,对动作环境处于所述自动交易装置内进行验证的处理;以及
在判断为所述动作环境处于所述自动交易装置内的情况下,生成所述第二码,并将该第二码发送给所述第一设备的处理。
2.如权利要求1所述的自动交易装置,
所述控制部执行根据所述第一码生成所述第二码的处理。
3.如权利要求1所述的自动交易装置,
所述控制部执行:
根据所述第一码生成第三码,生成与该控制部相关的第四码,输出该第三码和该第四码的处理;以及
对在服务器中根据所述第四码生成的第五码进行验证,与验证结果相应地,根据在所述服务器中根据所述第三码生成的所述第六码,生成所述第二码的处理。
4.如权利要求1所述的自动交易装置,
所述第一设备是处理纸币的纸币处理部、处理硬币的硬币处理部、读取卡的信息的读卡器部、进行加密的加密键盘、印刷凭条的凭条打印机,进行存折的读取和记账的存折打印机、记录交易的日志的日志打印机、或拍摄用户的面部照片的摄像机中的任一个。
5.如权利要求1所述的自动交易装置,
该自动交易装置具备在内部搭载的第二设备,该第二设备与所述第一设备不同,
对所述动作环境处于所述自动交易装置内进行验证的处理包含:执行针对在所述控制部上是否连接着所述第二设备进行判断的处理。
6.如权利要求5所述的自动交易装置,
所述第一设备以及第二设备是输入/输出控制部、处理纸币的纸币处理部、处理硬币的硬币处理部、读取卡的信息的读卡器部、进行加密的加密键盘、印刷凭条的凭条打印机、进行存折的读取和记账的存折打印机、记录交易的日志的日志打印机、或拍摄用户的面部照片的摄像机中的任一个。
7.如权利要求1所述的自动交易装置,
在判断为所述动作环境不处于所述自动交易装置内的情况下,
所述控制部发送表示所述动作环境不处于所述自动交易装置内的数据,所述第一设备与表示所述动作环境不处于所述自动交易装置内的数据的接收次数相应地,中断加密密钥生成处理。
8.如权利要求1所述的自动交易装置,
所述第一设备执行将该第一设备固有的信息发送给所述控制部的处理,
所述控制部在执行生成所述第一码的处理时,使用所述第一设备固有的信息。
9.如权利要求8所述的自动交易装置,
所述第一设备在对从所述控制部接收到的第二码进行验证的处理中,执行将该接收到的第二码、与在所述第一设备中根据所述第一码和所述第一设备固有的信息生成的第二码进行比较的处理。
10.一种自动交易装置,具备在内部搭载的第一设备、以及对装置进行控制的控制部,在该第一设备与该控制部之间进行数据的收发,其特征在于,
所述控制部执行:
对动作环境处于所述自动交易装置内进行验证的处理;
在判断为所述动作环境处于所述自动交易装置内的情况下,生成所述第一码,并发送给所述第一设备的处理;
对所述第一码与所述第二码进行验证的处理;以及
与所述第二码的验证结果相应地生成加密密钥的处理,
所述第一设备执行:
生成所述第二码的处理;
根据所述第二码生成所述第二码,并将该第二码发送给所述控制部的处理。
11.一种自动交易装置,具备在内部搭载的第一设备、对装置进行控制的控制部、以及显示与维护相关的信息的显示部,在该第一设备与该控制部之间进行数据的收发,其特征在于,
在所述控制部中判断为动作环境处于所述自动交易装置内的情况下,所述显示部显示:在所述控制部中根据与所述第一设备相关的码生成的第一码、以及与所述控制部相关的第二码。
12.如权利要求11所述的自动交易装置,
所述显示部显示:
在所述服务器中生成、且由所述控制部验证的第三码;以及
在所述服务器中生成、且在与所述控制部中对所述第三码进行验证的结果相应地生成所述第二码时使用的第四码。
13.一种自动交易系统,具备自动交易装置、便携终端以及服务器,所述自动交易装置具备在内部搭载的第一设备、对装置进行控制的控制部、以及显示与维护相关的信息的显示部,且在该第一设备与该控制部之间进行数据的收发,所述自动交易系统的特征在于,
所述第一设备执行:
生成与该第一设备相关的第一码,并发送给所述控制部的处理;以及
对从所述控制部接收到的第二码进行验证,与验证结果相应地生成加密密钥的处理,
所述控制部执行:
在接收到所述第一码后,对动作环境处于所述自动交易装置内进行验证的处理;
在判断为所述动作环境处于所述自动交易装置内的情况下,根据所述第一码生成第三码,生成与该控制部相关的第四码,将与该第三码以及该第四码相关的信息显示在所述显示部中的处理;
读取在所述便携终端中显示的与第五码以及第六码相关的信息的处理;以及
对所述第五码进行验证,与验证结果相应地,根据所述第六码生成所述第二码,并将该第二码发送给所述第一设备的处理,
所述便携终端执行:
读取并发送在所述显示部中显示的与所述第三码以及所述第四码相关的信息的处理;
接收从所述服务器发送的所述第五码以及所述第六码的处理;以及
显示与所述第五码以及所述第六码相关的信息的处理,
所述服务器执行:
根据所述第三码生成所述第六码的处理;以及
根据所述第四码生成所述第五码的处理。
14.如权利要求13所述的自动交易系统,
所述控制部执行:
显示与所述第三码以及所述第四码相关的信息、以及表示发送该信息的时刻的数据、工作人员的识别信息、所述自动交易装置的识别信息或所述第一设备的识别信息的处理,
所述便携终端执行:
读取并发送在所述显示部中显示的表示发送信息的时刻的数据、工作人员的识别信息、所述自动交易装置的识别信息或所述第一设备的识别信息的处理,
所述服务器执行:
将与所述第三码以及所述第四码相关的信息、表示发送信息的时刻的数据、工作人员的识别信息、所述自动交易装置的识别信息或所述第一设备的识别信息存放至存放部的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014090861A JP6268034B2 (ja) | 2014-04-25 | 2014-04-25 | 自動取引装置及び自動取引システム |
| JP2014-090861 | 2014-04-25 | ||
| PCT/JP2015/062171 WO2015163340A1 (ja) | 2014-04-25 | 2015-04-22 | 自動取引装置及び自動取引システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106233342A true CN106233342A (zh) | 2016-12-14 |
| CN106233342B CN106233342B (zh) | 2019-06-28 |
Family
ID=54332503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580020955.6A Expired - Fee Related CN106233342B (zh) | 2014-04-25 | 2015-04-22 | 自动交易装置以及自动交易系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20170046673A1 (zh) |
| EP (1) | EP3136356A4 (zh) |
| JP (1) | JP6268034B2 (zh) |
| CN (1) | CN106233342B (zh) |
| WO (1) | WO2015163340A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106781106A (zh) * | 2017-02-27 | 2017-05-31 | 深圳怡化电脑股份有限公司 | 用于自动存取款设备的信号接收电路及自动存取款设备 |
| TWI712007B (zh) * | 2018-06-28 | 2020-12-01 | 日商日本金錢機械股份有限公司 | 紙張收納裝置、及紙張處理裝置 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017109994A1 (ja) * | 2015-12-25 | 2017-06-29 | 日立オムロンターミナルソリューションズ株式会社 | 自動取引システム |
| JP6908687B2 (ja) * | 2017-02-16 | 2021-07-28 | 富士通フロンテック株式会社 | 紙葉類取扱装置および紙葉類取扱装置における通信方法 |
| JP6972729B2 (ja) * | 2017-07-24 | 2021-11-24 | コニカミノルタ株式会社 | 画像表示システム、資料提供支援装置、資料取得装置、資料提供支援方法、およびコンピュータプログラム |
| WO2019148210A1 (en) * | 2018-01-29 | 2019-08-01 | Krnc, Inc. | Cryptographic and fiat currency mechanics |
| US20200331635A1 (en) * | 2019-04-17 | 2020-10-22 | Goodrich Corporation | Wireless mobile maintenance display unit and system for cargo handling system |
| US11628936B2 (en) | 2019-04-17 | 2023-04-18 | Goodrich Corporation | Wireless mobile maintenance display unit and system for cargo handling system |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001126098A (ja) * | 1999-10-26 | 2001-05-11 | Fujitsu Ltd | 現金自動取引装置およびその方法 |
| CN1441935A (zh) * | 2000-05-24 | 2003-09-10 | 埃塞柯尔比茨公司 | 用于初始文件的再现和验证的系统和方法 |
| JP2005346423A (ja) * | 2004-06-03 | 2005-12-15 | Hitachi Omron Terminal Solutions Corp | 紙幣取扱装置 |
| JP2006072775A (ja) * | 2004-09-03 | 2006-03-16 | Fuji Electric Retail Systems Co Ltd | Icカード積増機およびその制御方法 |
| CN102119403A (zh) * | 2008-11-10 | 2011-07-06 | 冲电气工业株式会社 | 不正当行为监视方法以及带不正当行为监视功能的现金自动交易装置 |
| CN102609846A (zh) * | 2011-03-18 | 2012-07-25 | 诺美网讯应用技术有限公司 | 基于通信网络的防伪验证方法及系统 |
| CN102800148A (zh) * | 2012-07-10 | 2012-11-28 | 中山大学 | 一种人民币序列号识别方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB1285445A (en) * | 1968-08-30 | 1972-08-16 | Smiths Industries Ltd | Improvements in or relating to access-control equipment and item-dispensing systems including such equipment |
| US6636968B1 (en) * | 1999-03-25 | 2003-10-21 | Koninklijke Philips Electronics N.V. | Multi-node encryption and key delivery |
| US6633979B1 (en) * | 1999-06-25 | 2003-10-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for secure linking of entity authentication and ciphering key generation |
| JP2001117873A (ja) * | 1999-10-19 | 2001-04-27 | Hitachi Ltd | 端末識別方法 |
| US7121460B1 (en) * | 2002-07-16 | 2006-10-17 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated banking machine component authentication system and method |
| EP1898349A1 (en) * | 2006-09-06 | 2008-03-12 | Siemens Aktiengesellschaft | Method and system for providing a service to a subscriber of a mobile network operator |
| US8118215B2 (en) * | 2007-09-26 | 2012-02-21 | Ncr Corporation | Self-service terminal |
-
2014
- 2014-04-25 JP JP2014090861A patent/JP6268034B2/ja not_active Expired - Fee Related
-
2015
- 2015-04-22 US US15/306,295 patent/US20170046673A1/en not_active Abandoned
- 2015-04-22 EP EP15783514.1A patent/EP3136356A4/en active Pending
- 2015-04-22 WO PCT/JP2015/062171 patent/WO2015163340A1/ja active Application Filing
- 2015-04-22 CN CN201580020955.6A patent/CN106233342B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001126098A (ja) * | 1999-10-26 | 2001-05-11 | Fujitsu Ltd | 現金自動取引装置およびその方法 |
| CN1441935A (zh) * | 2000-05-24 | 2003-09-10 | 埃塞柯尔比茨公司 | 用于初始文件的再现和验证的系统和方法 |
| JP2005346423A (ja) * | 2004-06-03 | 2005-12-15 | Hitachi Omron Terminal Solutions Corp | 紙幣取扱装置 |
| JP2006072775A (ja) * | 2004-09-03 | 2006-03-16 | Fuji Electric Retail Systems Co Ltd | Icカード積増機およびその制御方法 |
| CN102119403A (zh) * | 2008-11-10 | 2011-07-06 | 冲电气工业株式会社 | 不正当行为监视方法以及带不正当行为监视功能的现金自动交易装置 |
| CN102609846A (zh) * | 2011-03-18 | 2012-07-25 | 诺美网讯应用技术有限公司 | 基于通信网络的防伪验证方法及系统 |
| CN102800148A (zh) * | 2012-07-10 | 2012-11-28 | 中山大学 | 一种人民币序列号识别方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106781106A (zh) * | 2017-02-27 | 2017-05-31 | 深圳怡化电脑股份有限公司 | 用于自动存取款设备的信号接收电路及自动存取款设备 |
| CN106781106B (zh) * | 2017-02-27 | 2022-11-01 | 深圳怡化电脑股份有限公司 | 用于自动存取款设备的信号接收电路及自动存取款设备 |
| TWI712007B (zh) * | 2018-06-28 | 2020-12-01 | 日商日本金錢機械股份有限公司 | 紙張收納裝置、及紙張處理裝置 |
| US11718490B2 (en) | 2018-06-28 | 2023-08-08 | Japan Cash Machine Co., Ltd. | Paper sheet storage device and paper sheet processing device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015210613A (ja) | 2015-11-24 |
| CN106233342B (zh) | 2019-06-28 |
| EP3136356A1 (en) | 2017-03-01 |
| EP3136356A4 (en) | 2017-12-13 |
| JP6268034B2 (ja) | 2018-01-24 |
| US20170046673A1 (en) | 2017-02-16 |
| WO2015163340A1 (ja) | 2015-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106233342B (zh) | 自动交易装置以及自动交易系统 | |
| US10887098B2 (en) | System for digital identity authentication and methods of use | |
| US12067553B2 (en) | Methods for locating an antenna within an electronic device | |
| CN101895578B (zh) | 基于综合安全审计的文档监控管理系统 | |
| US8984275B2 (en) | Virtual air gap—VAG system | |
| US20170116588A1 (en) | Systems and methods for providing customized tokens | |
| CN102104589A (zh) | 专有网系列 | |
| US20230259899A1 (en) | Method, participant unit, transaction register and payment system for managing transaction data sets | |
| CN107077666B (zh) | 用于对自助系统处的动作进行授权的方法和装置 | |
| CN116720839B (zh) | 基于区块链技术的金融信息管理方法及其监管系统 | |
| Toth et al. | NIST MEP cybersecurity self-assessment handbook for assessing NIST SP 800-171 security requirements in response to DFARS cybersecurity requirements | |
| CN110599211A (zh) | 一种票务信息处理方法、装置及计算机设备 | |
| CN1997954A (zh) | 保护电子交易 | |
| KR101314822B1 (ko) | 모바일 오피스 시스템 및 그 방법, 및 기록 매체 | |
| US20230267426A1 (en) | Payment system, coin register, participant unit, transaction register, monitoring register and method for payment with electronic coin data sets | |
| KR20130048532A (ko) | 차세대 금융 거래 시스템 | |
| Chen et al. | A trusted biometric system | |
| Murdoch | Reliability of chip & PIN evidence in banking disputes | |
| Bumgarner et al. | The US-CCU Cyber-Security Check List | |
| Ogata et al. | Secure ATM Device Design by Control Command Verification | |
| Chopra et al. | Execution | |
| Jain | Execution | |
| Jameson et al. | ELECTRONIC IDENTIFICATION SCHEMES | |
| JP2009295121A (ja) | 決済システム、決済処理装置、正当性検証装置、正当性検証要求処理プログラム、正当性検証処理プログラム、及び正当性検証方法 | |
| Helme et al. | What you see is what gets signed |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190628 |