JP2000507380A - 安全モジュール - Google Patents
安全モジュールInfo
- Publication number
- JP2000507380A JP2000507380A JP11503383A JP50338399A JP2000507380A JP 2000507380 A JP2000507380 A JP 2000507380A JP 11503383 A JP11503383 A JP 11503383A JP 50338399 A JP50338399 A JP 50338399A JP 2000507380 A JP2000507380 A JP 2000507380A
- Authority
- JP
- Japan
- Prior art keywords
- card
- central computer
- trading station
- station
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
Abstract
(57)【要約】
本発明はICカード、取引ステーションならびにそれらの使用に関する。本発明では、ATMなどのような取引ステーションに関連してカード読取機内にほぼ不動に配置されるICカードが、取引ステーションと中央コンピュータの間で送信されるデータの暗号処理に使われる。このICカードは従来の安全モジュールに代わるもので、そのためカード読取機内にほぼ不動に配置され、その結果、取引ステーションの何人かの異なるユーザの相手をするために使われる。
Description
【発明の詳細な説明】
安全モジュール技術分野
本発明は、金融取引に関連した取引ステーションと中央コンピュータの間の通
信の暗号処理に関する。発明の背景と従来技術
現在、異なるユーザまたはビジタが、中央コンピュータと連絡している取引ス
テーションを利用して、種々の金融取引を中央ステーションを介して行うシステ
ムの種々の例がある。
いわゆるATM(金銭自動支払機)は、このような取引ステーションの最も普通の
例であろう。銀行の顧客などのユーザはATMにより、自分の銀行口座から金を引
出すか、同様な金融取引を行うことができる。一般に、ユーザは磁気カードなど
を使って自分の確認をする。このカードをATMにあるカード読取機が読取り、ユ
ーザの口座番号、銀行などの情報をATMに提供する。その後、ユーザは、普通は
4ケタの数字で構成されていてカード保有者(ユーザ)しか知らないいわゆるPI
Nコード(個人識別番号)を入力することにより、自分がそのカード、すなわち、
口座の権限を持つユーザであることの確認をする。PINコードは、ATMに設けられ
たキーパッドを使って入力するのが普通である。次にユーザは自分が行いたい取
引、普通は所望の引出し金額を示す。すると、ATMは色々なカード保有者の口座
に関する情報を持つ中央コンピュータにこの情報(口座番号、PINコード、引出し
金額)を送信する。ATMと中央コンピュータとの間の通信は電話接続によって行わ
れる場合が多い。中央コンピュータは入力されたPINコードが設定された口座番
号に対する正しいものであるかを検証し、正しい場合には付能信号をATMに送信
する。この付能信号は取引が承認されたことを示す。
ATMは、この承認を受信すると、所望の引出し金額に相当する紙幣を紙幣ディス
ペンサーからユーザに払い出す。入力されたPINコードが設定された口座番号に
対して正しくないと中央コンピュータが判断した場合、中央コンピュータが誤信
号をATMに送信する。この場合、ATMはユーザがもう一回、正しいPINコードを入
力するのを認め、現金を払い出さずにカードをユーザに返すか、またはカードを
抑えておく。場合によっては、PINコードなどの検証を取引ステーション自体の
中で行うことができるが、これがいわゆるオフライン検証である。
取引ステーションと中央コンピュータの間での上に述べた種類の取引メッセー
ジの送信に関連して、少なくともある種の情報を暗号化して送信するとともにMA
C和(メッセージ認証コード)などの形で、メッセージに認証を与えることが必要
あるいは望ましい。これによって、権限のない個人によって情報がアクセスされ
たり、盗聴されたりすることがなく、並びに受信メッセージが送信中に歪んだり
、変わったりすることが全くない。
暗号化、解読、認証などの上に述べた並びに同じような暗号機能をもたせるた
めに、取引ステーションにいわゆる安全モジュールを備えており、この中に取引
ステーションと中央コンピュータとの間の通信に対する暗号キーおよびアルゴリ
ズムが設けられ、実行される。安全モジュールは取引ステーションにほぼ固定し
てまたは不動に接続される。ATMの場合、一般的に安全モジュールは機械内の安
全キャビネットの内側に固定接続される。
権限のない個人が安全モジュール内の情報、すなわち、主に暗号キーに絶対に
アクセスできないようにしたいから、物理的に保護する殻体の中に電子回路を埋
設し、そして誰かが安全モジュールを壊して開けようとした場合、暗号キーおよ
びその他の重要なソフトウエアを壊すための破壊機能
を種々のセンサ部材、例えば囲い込む金属層を用いてモジュールに持たせること
により、安全モジュールが保護される。
更に、安全モジュールは、例えば電力遮断時か、保守、修理、更新などのため
にATMを一時的に閉じた時に、安全モジュールへの電力供給が一時的に遮断され
るか停止する場合でも、暗号キーがメモリに保存されるように保証する電池を備
えているのが普通である。この電池は、安全モジュールに暗号キーを備え付けた
時から安全モジュールを取引ステーションの内部または隣接して配置して、この
取引ステーションを配電線の電流に接続する時まででさえも働いている。場合に
よっては、安全モジュールが切離された状況で、前述の破壊機能を維持するため
にも、電池が必要であることがある。
このような種類の安全モジュールに伴う問題は、内容物を不当なアクセスから
保護する必要があるため、従って、安全装置と破壊機能を必要とするため、安全
モジュールの製造と設計に余分の困難とコストが生ずることである。
もう一つの問題は、普通必要とされる電池は、再充電できるものであってもな
くても、保証有効寿命が限られている、例えば5年であると云うことである。つ
まり、安全モジュールまたはその中にある電池を定期的に交換しなければならな
いが、色々な形式の安全モジュールの場合、これは全く単純なプロセスとは言え
ない。その結果、製造業者のサービス機関の負担が生じる。これは、安全モジュ
ールの在庫もあり得ないことではないことを意味する。更に、使用済みの電池は
処分しなければならないが、それも環境問題に配慮して行わなければならない。
更にもう一つの問題は、安全モジュールの誤動作の扱いが容易にはできないこ
とである。安全モジュールの誤動作をしている部品を交換または修
理するには、サービス業者が誤動作をしている取引ステーションまで出向かなけ
ればならない場合が多い。勿論、そうなれば望ましくないコストがかかるし、取
引ステーションが使えない時間も生ずる。
従って、本発明の目的は、権限のない個人が、安全モジュールの内容、主に暗
号キーの読取る危険性を小さくする一層簡単な解決策を提供することである。
本発明の別の目的は、電池の限られた寿命に関連する問題を避けるための解決
策を提供することである。
更に別の目的は、安全モジュールの修理、保守および更新を一層容易に且つ一
層迅速にできるようにする解決策を提供することである。発明の要約
本発明の第一の局面では、取引ステーションから中央コンピュータに送信され
るデータおよび/または中央コンピュータから取引ステーションが受信するデー
タの暗号処理のために、取引ステーションの内側にあるまたはそれに隣接するカ
ード読取機にほぼ不動に配置されるように設計されていて、前記取引ステーショ
ンを異なる何人かのユーザが利用する時に用いられるICカードによって、上記並
びにその他の目的が達成される。このICカードは、一つまたはそれ以上の暗号キ
ーを記憶する手段と、カードに対する入力信号を受け取る手段と、カードに対す
る前記入力信号から受け取った制御情報に応じた一つまたはそれ以上の前記暗号
キーを利用して一つまたはそれ以上の暗号アルゴリズムを実行する手段と、カー
ドから得られる前記実行の結果で構成される出力信号を出力する手段とからなる
。
従って、本発明は従来の安全モジュールを、本発明によるICカードを備えたIC
カード読取機に置き換えるという考えに基づいており、このICカードが、取引ス
テーションと中央コンピュータとの間の通信の暗号処理に必
要なキーとアルゴリズムを供給する。
好ましい実施例では、ICカードが例えばメッセージの暗号化、解読および認証
のために用いられる。従って、ICカードがマスタ・キーとともにセッション・キ
ーおよび認証キーを記憶しているのが有利である。暗号処理の好ましいアルゴリ
ズムはいわゆるDES(データ暗号化基準)アルゴリズムである。
ICカードに固有の有利な特性は、その物理的構造が、現存の技術で実施し得る
ことを考えると、その中に記憶された暗号キーを通常カードから読出すことがで
きないようになっていることである。従って、従来の安全モジュールの代わりと
して、本発明によるICカードを用いると、権限のない個人が秘密のキーにアクセ
スする危険性に対し、固有の保護が得られる。たとえICカード自体が当事者以外
の手に渡っても、その個人は依然としてキーへのアクセスができない。そのため
、ICカード自体は、何等特別の安全装置なしに取り扱うことができる。若しICカ
ードが取引ステーションで誤動作した場合、取引ステーションの進行中の操作の
当事者に、新しいカードを容易に郵送することができる。更に、取引ステーショ
ンの保守を担当するサービス担当者は、ICカードの安全保護のためにあえて特別
の安全装置を使う必要がない。原則的に、カードは装置の他の部品と同様に取り
扱うことができる。考えられる実施例として、カードからキーを読み出せないこ
とが実際、非常に重要な特徴であるけれども、本発明をカードからキーを読み出
せないことに制限するものではない。
好ましい実施例では、ICカードに使われるメモリは、普通はEEPROM型である不
揮発性メモリで構成され、メモリ・セル内の情報が電気信号を用いて変更される
が、保持電流を必要とせずに物理的に保存されるから、ICカードのメモリ部分に
対して別個の補助電流を供給する必要はなく、これは
公知の安全モジュールと比較すると有利な違いである。更に、前述のように、IC
カードの構造に固有の安全機能があるから、従来の安全モジュールと比較すると
、カード読取機内に入れていない時には、カードの安全機能を作用した状態に保
つために、電流を供給する必要もない。
本発明のICカードは、特定の寸法に制約されない。従って本発明の種々の実施
例は、例えば、ID-1、ID-00(ミニカード)およびID-000(ブラグ・イン・カー
ド)の種類の寸法のICカードで構成される。
これに関連して、本発明によるICカードは、通常個人向けに発行されるATMカ
ード、クレジット・カードなどのように、取引ステーションのユーザが場合によ
ってステーションにアクセスして、それを利用するために携帯する磁気カードま
たはICカードのような色々な種類のカードと同等と考えてはならないことに注意
されたい。そのような種々のカードは、特定のカード所有者が利用する時に取引
ステーションで、ごく一時的に利用されるだけである。本発明によるICカードは
、そうではなく、取引ステーションの中またはそれに隣接して一般的に不動に配
置されるものである。従って、本発明によるICカードは、取引ステーションを訪
れる何人かの異なるユーザの相手をするのに、普通は一度に一人ずつであるが、
取引ステーション内でほぼ連続的に使われる。
更に、「一般的に不動に」と云う言葉は、本発明によるICカードが、進行中の
操作の間は、取引ステーション内に永久的に配置されるが、云うまでもなく、例
えば誤動作に関連して必要な時、キーの交換または更新をする時、または定期的
にアップグレード措置をする時、カードを取り換えることができることを理解す
べきである。
本発明の第2の面では、本発明は、中央コンピュータと通信して中央コンピュ
ータを介して所望の金融取引を行うサービスをユーザに提供する、
取引ステーションに関する。この取引ステーションは、ユーザがデータを入力す
るためのユーザ・インターフェースと、中央コンピュータに送信する、並びに/
またはそれから受信するデータの暗号処理をする手段とを有し、本発明による取
引ステーションは、前記暗号処理をする手段が、前述の本発明の第1の面による
ICカードを受け入れるようにしたカード読取機で構成されることを特徴とする。
特に好ましい実施例では、本発明による取引ステーションは、例えば、スウェ
ーデンで、「バンコマート」および「ミヌーテン」の名称で公共の場所、銀行な
どに設置されるタイプのATM(自動金銭支払機)で構成される。
更に別の好ましい実施例では、カード読取機は、ユーザがアクセスできない形
で、前記ICカードを受け入れるようになっている。こうすると、ユーザが故意に
或いはあやまって本発明によるICカードを取り外すおそれが小さくなる。これは
、前に述べた通り、安全性の観点からは重大なことではないが、それでも取引ス
テーションの暗号化機能が乱されることを意味する。前記のような利点を得る一
つの方法は、ユーザがあるインターフェースにしかアクセスできず、一方、本発
明によるICカードに対するカード読取機は、このインターフェースの一部を構成
せずに、他の場所に設けられるように、取引ステーションを設計することである
。例えば、別の好ましい実施例では、本発明によるICカードに対するカード読取
機は、例えば取引ステーションの内側にあるまたは取引ステーションに隣接する
安全キャビネットの中に配置する。
上に述べたユーザ・インターフェースは、ユーザのクレジット・カードに磁気
的に記憶された口座番号を読み取る別のカード読取機のような、ユーザの身許を
入力する手段と、所望の金融取引を入力するキーパッドのよ
うな手段と、PINコードのようなアクセス・コードを入力する手段とを有するの
が有利である。ここで注意すべきは、例えばユーザのクレジット・カードに記憶
された口座番号を読み取る前記別のカード読取機は、この発明によるICカードを
受け入れるのに用いられるのと同じカード読取機ではないことである。代案では
、ユーザ・インターフェースは、モニタ、キーボード、マウスなどの指示装置を
付設したパーソナル・コンピュータで構成される。
本発明による取引ステーションは、所望の種類の暗号処理に関する情報、並び
にこの処理に必要な情報またはデータのような制御情報を本発明によるICカード
に供給する手段と、ICカードからの前記出力信号を受け取る手段とを持つのが有
利である。
ATMが本発明の好ましい実施例であるが、本発明による取引ステーションは、
例えば、スーパーマーケット、店舗などのキャッシュ・レジスタの近くに配置さ
れたいわゆる支払端末として設計して、例えば、普通は磁気カードにより、口座
番号を入力し、正しいPINコードを入力して自分が権限のあるユーザであること
の確認をすることにより、顧客が購入した商品またはサービスに対する支払いを
することができるようにしてもよい。一つの変形では、一つまたは更に多くの支
払端末をパーソナル・コンピュータに接続し、これが銀行などにある中央コンピ
ュータと通信かる。
本発明による取引ステーションの別の例は、ユーザが種々の金融取引を中央コ
ンピュータを介して同様に要請することができるように構成されたパーソナル・
コンピュータ端末を有する。このようなパーソナル・コンピュータ端末は、従業
員に提供されるサービスとして、または明らかに会社の会計機能のために、公共
の場所、銀行、会社内で一般に利用できるようにすることができる。このように
、コンピュータを用いて家庭で金融取引
を行うこの種の機会を提供する方法は、程度の差はあれ、既に現実になっている
。
異なる銀行口座の間の振込み、残高情報、支払い注文、証券取引などのような
この他の種類の金融取引および機能も、この発明による取引ステーションによっ
て行うことができる。問題とする用途並びにシステムに応じて、例えば磁気カー
ド、ICカード、キーボードまたはキーパッド、タッチ・スクリーンなどを利用す
ることにより、ユーザから情報を求める多数の異なる方法が可能である。
支払端末、パーソナル・コンピュータなどの場合、本発明によるICカード読取
機がその外部ポートに接続され、こうして外部ユニットを構成する。
本発明のこの他の面、目的、利点および特徴は、以下の説明並びに請求の範囲
から明らかになろう。図面の簡単な説明
本発明の実施例を添付図面を参照して例によって説明する。図面において、
第1図は本発明によるATMの形をした取引ステーションの斜視図を概略的に示
す。
第2図は第1図の取引ステーションの簡略ブロック図である。
第3図は第2図のICカードにある集積回路の簡略ブロック図である。
第4図は第2図の制御コンピュータのフローチャートである。
第5図は第2図の取引ステーションから中央コンピュータに送信される一例の
メッセージの構造を示す。
第6図は第3図の集積回路のフローチャートである。好ましい実施例の詳しい説明
第1図は本発明の好ましい実施例によるATMの形をした取引ステーション100の
斜視図である。
第1図の取引ステーション100は、第1のカード読取機110(挿入スロットだけ
を示してある)と、キーパッド120と、モニタ130と、プリンタ140(出力スロッ
トだけを示してある)とを有する。更に取引ステーションは紙幣ディスペンサ16
0を具備した紙幣ボックスを有する。紙幣ボックスが、好ましくはより高い安全
レベルに保たれる他の電子回路(第2図参照)とともに、取引ステーションの安
全キャビネット105の中に収納される。
第2図は第1図の取引ステーションの簡略ブロック図である。第2図にも示さ
れた第1図の部分および部品は、同じ参照数字で示してある。すなわち、第2図
は、取引ステーション100が、カード読取機110と、キーパッド120と、モニタ130
と、プリンタ140とを有することを示しており、その全てが取引ステーション100
内の上側空間の中に配置されている。この実施例では、カード読取機110は、ビ
ジタまたはユーザ、すなわち、カード保有者が携帯する磁気カード115を受け入
れて読み取るように設計されている。
更に取引ステーション100が紙幣ボックス160と、集積回路310を有するICカー
ド300が配置される第2のカード読取170の形をした安全モジュールと、制御コン
ピュータ180と、通信装置190とを有する。このような種類の部品に対してはアク
セスに対する特に高度の保護が望まれるから、それらが取引ステーション100の
下側空間内の安全キャビネット105の中に配置されている。
取引ステーション100の動作が全般的に制御コンピュータ180によって制御され
る。制御コンピュータが、共有の通信母線150を介して、第1のカード読取機110
、キーパッド120と、モニタ130と、プリンタ140、紙幣ボッ
クス/ディスペンサ160および第2のカード読取機170と通信する。モデム195を
介して、取引コンピュータを電話回線197に接続することができ、こうして遠く
から中央コンピュータ200と通信することができる。
ICカード300は、それ自体で、または第2のカード読取機170と併せて取引ステ
ーション100に対する安全モジュールを形成すると云うことができるが、このIC
カード上にある集積回路310が、取引ステーション100と中央コンピュータ200の
間のメッセージの伝送に利用される暗号アルゴリズムおよびキーを提供する。
次に第4図、第5図および第6図を参照して、第1図および第2図の取引コン
ピュータの動作ルーチンの例を説明する。
第3図はICカード300の集積回路310の簡略ブロック図である。回路310は普通
の技術を用いてICカード上に形成され、ICカード300が第2のカード読取機170に
挿入された時、制御コンピュータ180と通信し得る。
カード読取機170と集積回路310並びに同様な機能の間でデータを転送するため
の接続と構成のような、ICカード300および集積回路310の基本的な構造は、ICカ
ードに関係する技術分野で周知であり、従って、この出願では、その更に詳しい
説明は省略する。
ICカード300の集積回路310は全体としてマイクロプロセッサ315と、普通はEEP
ROM型の不揮発性の書込み可能なメモリ320、330とを有する。
EEPROMメモリは、とりわけ、取引ステーション100と中央コンピュータ200の間
で送信されるメッセージの暗号処理に関連して用いられる暗号キーを記憶する第
1組のメモリ・フィールド320を有する。普通、メモリ・フィールド320には異な
る3種類の暗号キーが記憶される。1番目は、メッセージの認証に関連して、例
えばいわゆるメッセージ認証コード(MAC)を計算するのに使われるいわゆる認
証キーであり、2番目は、取引ステー
ションと中央コンピュータの間で送信されるPINコード並びにその他の極秘にす
べき情報の暗号化/解説に関連して使われるいわゆるセッション・キーであり、
3番目は、とりわけ新しいキーを送信する時、すなわち、電話回線197を介して
、古いセッションまたは認証キーを新しいものに取り換えるべき時に使われる一
つまたはそれ以上のマスタ・キーである。勿論、中央コンピュータ200は、取引
ステーションとの暗号処理された通信を扱うのに必要な時、これらの対応するキ
ーをアクセスすることができる。
更に、各々のメモリ・フィールド320、すなわち各々のキーは、第2組のメモ
リ・フィールド330内の対応するフィールドに関連している。メモリ・フィール
ド330は、関連するキーを利用し得る用途または機能を説明する情報を記憶して
いる。これは、各々の特定のキーは、普通はある種の暗号処理、またはある種の
情報だけの暗号処理にだけ使うことができるからである。
集積回路310における処理がマイクロプロセッサ315で行われる。マイクロプロ
セッサ315は、メモリ・フィールド320からの種々の選ばれたキーを使うことによ
って、第3図に概略的に破線で仕切った種々のプログラム・ルーチン340〜370を
実行することにより、種々の暗号処理を行うように構成されている。マイクロプ
ロセッサにあるプログラム・ルーチンは、取引ステーションから、好ましくは制
御コンピュータ180から制御情報を受取るように構成された受信/アドレス・ル
ーチンを含む。このような制御情報は、例えば要請された暗号処理の種類、使う
べき暗号キー、処理すベキデータなどに関する情報を含む。
好ましい実施例では、ほぼ全ての種類の暗号処理が、プログラム・ルーチン36
0にあるDES(データ暗号化基準)アルゴリズムを用いて行われる。こうしてブロ
ック360のDESアルゴリズムが、好ましい実施例では、暗号化
とともに解説および認証に関連して使われる。所望する暗号処理の種類に応じて
、幾つかの異なる準備プログラム・ルーチン351〜353の内の一つが使われる。こ
れらのルーチンは、DESアルゴリズムが所望する種類の暗号処理をするようにす
るために、後続のDESアルゴリズム360で必要とする情報を準備し構成する。例え
ば、暗号化が要請された時、プログラム・ルーチン351がアドレスされ、解読を
希望する時、プログラム・ルーチン352がアドレスされ、認証を希望する時、プ
ログラム・ルーチン353がアドレスされる。これに関連して云うと、各々のプロ
グラム・ルーチン351〜353は、利用するキーを取り出して処理すべきデータを適
当に構成し、その後ルーチン360で実際の暗号アルゴリズムを行う。
更に一つまたはそれ以上の後続のプログラム・ルーチン370が含まれており、
このルーチンは処理済みの情報を適当に組立て、それをカード読取機を介して取
引ステーションの制御コンピュータ180にフィールドバックする。
当業者であれば、集積回路310およびマイクロプロセッサ315の動作と構成を異
なる多くの方法で容易に実施することができ、並びに本発明が、例として上に述
べたプログラム・ルーチンおよびメモリ・フィールドに制限されないことが理解
されよう。例えば、異なるプログラム・ルーチンを、程度の差があっても、更に
互いにまとめることができる。実際のプログラム・ルーチンは、メモリ・フィー
ルド320、330に情報を記憶したのと同様に、メモリに記憶することができる。こ
の場合は、要請があった時、マイクロプロセッサにこう云うルーチンを読み込む
ことができる。ただし、技術的に可能で考えられる手段を用いても、暗号キーを
カードから読出し、権限のない個人の手に入ることがないような方法で、暗号キ
ーが記憶されることが、集積回路310の重要な特徴である。
マイクロプロセッサ315も、キーの交換または更新、カードの初期設定などに
関連して実施されるプログラム・ルーチンを有していてよい。
次に、第2図の制御コンピュータ180のフローチャートを概略的に示す第4図
を参照して、ユーザまたはビジタを相手とする時の取引ステーションの動作モー
ドの一例を説明する。
第4図に示すルーチンは工程S10で開始され、ユーザが自分の磁気カード115
をカード読取機110に挿入する。工程S12で、カード読取機110が磁気カ−ド115
の磁気ストリップに磁気的に記憶されたカード保有者の口座番号を読み取り、そ
れを母線150を介して制御コンピュータ180に送る。工程S14で、制御コンピュー
タがモニタ130を用いて次にユーザに自分のPINコードをキーパッド120で入力す
るように指示し、その後、ユーザによって入力されたPINコードがキーパッド120
から母線150を介して制御コンピュータ180に送られる。工程S16で、制御コンピ
ュータ180がモニタ130により、次にユーザにキーパッド120を用いて希望する引
出し金額を入力するように指示し、その後、ユーザによって入力された金額が、
キーパッド120から母線150を介して制御コンピュータ180に送られる。
上に述べた情報が得られた後、工程S18で制御コンピュータが、取引ステーシ
ョン内にほぼ不動に配置されていて取引ステーションの安全モジュールを構成す
るICカード310に命令を送り、ICカードが特定の暗号キーを用いて、PINコードの
暗号化を実施するように指示する。従って、この場合、ICカードに対する命令は
、要請された動作(暗号化)に関する詳細と云う形での制御情報と、処理すべき
データ(入力されたPINコード)と、処理のために使うべきキーに関する詳細とを
含む。希望によっては、例えば、口座番号も暗号化すべき情報の中に含めること
ができる。
工程S20で、ICカードが暗号化されたPINコードを送り返した時、制御
コンピュータは、ユーザの口座番号、暗号化されたPINコードおよび要請された
金額を一つにつながったメッセージにまとめる。
その後の工程S22で、制御コンピュータはこのメッセージをICカード310に送
り、このメッセージに対する認証コード(MAC)を計算するようにICカードに指
示する。この場合、ICカードに対する命令は、要請された動作(認証コードの計
算)に関する詳細の形の制御情報と、処理すべきデータ(口座番号、暗号化され
たPINコードおよび金額からなるメッセージ)と、使うべきキーに関する詳細とを
含む。
その後、工程S24で、完成されたメッセージが、例えば電話回線197を介して
、中央コンピュータ200に送られる。この完成したメッセージの一例が第5図に
概略的に示されており、メッセージは、ユーザの口座番号に対する第1のフィー
ルド400と、暗号化されたPINコードに対する第2のフィールド410と、希望する
引出し金額420に対する第3のフィールド420と、認証コード430に対する第4の
フィールドとを有する。
次に工程S26で、中央コンピュータ200からの返答を受信する。返答が認証コ
ードを含むと予想される場合、制御コンピュータは、工程S28で返答メッセージ
を認証するようにICカード300に指示する。従って、この場合ICカードに対する
命令は、要請された動作(認証)に関する詳細と云う形の制御情報と、処理すべ
きデータ(返答メッセージ)と、使うべきキーに関する詳細とを含む。
工程S28の後、若しICカードにおける認証の結果が、返答メッセージが何らか
の理由で正しくない、と云うものであれば、制御コンピュータは、第4図に示し
てないプログラム・ルーチンに進む。このプログラム・ルーチンは、例えば、取
引ステーションに中央コンピュータ200からの新しい返答メッセージを待たせる
か、あるいは取引ステーション100が現在の取
引を中止し、磁気カード115をユーザに返すものであってよい。
中央コンピュータからの返答メッセージが正しいが、要請された取引が、例え
ば、入力されたPINコードが正しくないため、または要請された金額が、工程S2
8より後のユーザの口座にある残高を超えるために承認されないと伝える場合、
制御コンピュータ180は、第4図に示してないプログラム・ルーチンに進む。こ
のプログラム・ルーチンは、例えば取引ステーション100が現在の取引を中止し
て磁気カード115をユーザに返すか、取引ステーションが、前のPINコードが正し
くなかったので、正しいPINコードの入力を新たに試みるようにユーザに指示す
るか、または取引ステーションがユーザの磁気カードを抑えておいて、カードを
ユーザに返さずに取引を中止するものであってよい。
しかしながら、返答メッセージが正しいと認証され、さらにそれらが取引の承
認を含んでいれば、取引ステーション100は、工程S30で、要請された金額を紙
幣ボックス/ディスペンサ160からユーザに払い出し、工程S32で、プリンタ140
を用いて、取引スリップの形でユーザに対する取引報告を書込み、工程S39で磁
気カード15を磁気カード読取機からユーザに返す。その後、工程S36で、取引ス
テーションは休止位置に戻り、カード読取機110に新しい磁気カードが挿入され
るのを待つ。
次に、第3図のマイクロプロセッサに対する簡略フローチャートを示す第6図
を参照して、取引ステーション100内の制御コンピュータ180に対するICカード30
0、すなわち、集積回路310の動作モードの一例を説明する。
第6図に示すルーチンは、第3図のプログラム・ルーチン340を利用して、マ
イクロプロセッサ315によって工程B10およびB12から開始され、取引ステーシ
ョン100の制御コンピュータ180から母線150を介して命令を受け取る。この命令
は、例えば、前に第4図について述べたフローチャー
トの工程S18(暗号化の要請)、工程S22(認証コードの計算の要請)または工
程S28(返答の認証の要請)で、制御コンピュータ180からICカード300に送られる
命令であってよい。
次にマイクロプロセッサ315は、各工程B14およびB16で、要請された機能の
種類、すなわち、暗号処理の所望の種類と、この機能のために使うべきキーとを
、受け取った命令からこの情報を取り出すことによって設定する。その後、マイ
クロプロセッサ315は、工程B18で、指示されたキーに対するメモリ・フィール
ド320に関連するフィールド330内の情報が、要請された機能に対してこのキーを
使ってよいことを示していることを検証する。もしそうでなければ、ルーチンを
中止し、ICカード300はタスクを実施しないことを制御コンピュータ180に通知す
る。
実施すべき機能の種類に応じて、実際の暗号処理に使う情報の準備作成、検証
およびフォーマッティングを、第3図の異なるルーチン351、353で示すように、
異なる形で実施することができる。
その後、工程B20で、前に述べたように所望の暗号機能およびキーに応じて、
暗号処理が好ましくは第3図のルーチン360にあるDESアルゴリズムを使って実行
される。
その後、工程B22(第3図のプログラム・ルーチン370)で、工程B20の暗号処
理の結果が、要請された機能に応じた好ましい形でまとめられ、その後、工程B
24でこの結果を制御コンピュータ(PC)180に送り返す。その後、工程B26でICカ
ードは休止位置に戻り、新しい命令を待つ。
本発明を実施例について上に説明したが、請求の範囲に記載された本発明の範
囲内で、種々の修正および変更を加えることができることが理解されよう。例え
ば、本発明による全体としての取引ステーションならびにICカードは、対象の用
途に応じて変わり得る。上に述べた実施例では、本発
明をATMからの現金引き出しについて説明したが、中央コンピュータを通じて他
の種類の金融取引を実施するのに本発明を利用し得ることが理解されよう。更に
、ユーザ・インターフェースは前述のもの以外の形式の部材で構成してもよい。
例えば、ユーザ・インターフェイスは、キーボード、マウスおよびモニタなどを
備えたPCで構成することができる。中央コンピュータと本発明による取引ステー
ション間の通信は、異なる形式の通信回路網を介して行うことができる。本発明
によるICカードはユーザの手の届かない所、好ましくは安全キャビネットの中に
配置することが好ましいが、キーが権限のない個人によってアクセスできない形
で記憶されているから、ICカードが、ユーザにとってアクセス可能であって保護
されていない形で配置されてもよい。
─────────────────────────────────────────────────────
フロントページの続き
(51)Int.Cl.7 識別記号 FI テーマコート゛(参考)
G07F 7/08 P
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE),OA(BF,BJ
,CF,CG,CI,CM,GA,GN,ML,MR,
NE,SN,TD,TG),AP(GH,GM,KE,L
S,MW,SD,SZ,UG,ZW),UA(AM,AZ
,BY,KG,KZ,MD,RU,TJ,TM),AL
,AM,AT,AT,AU,AZ,BA,BB,BG,
BR,BY,CA,CH,CN,CU,CZ,CZ,D
E,DE,DK,DK,EE,EE,ES,FI,FI
,GB,GE,GH,GM,GW,HU,ID,IL,
IS,JP,KE,KG,KP,KR,KZ,LC,L
K,LR,LS,LT,LU,LV,MD,MG,MK
,MN,MW,MX,NO,NZ,PL,PT,RO,
RU,SD,SE,SG,SI,SK,SK,SL,T
J,TM,TR,TT,UA,UG,US,UZ,VN
,YU,ZW
(72)発明者 モランデル,ブー
スウェーデン国エス―118 24 ストック
ホルム.タヴァーストガータン7
Claims (1)
- 【特許請求の範囲】 1.取引ステーションから中央コンピュータに送信されるデータおよび/または 中央コンピュータから取引ステーションが受信するデータの暗号処理のために、 取引ステーションの内側にあるまたはそれに隣接するカード読取機にほぼ不動に 配置されるように設計されていて、前記取引ステーションを異なる何人かのユー ザが利用する時に用いられるICカードにおいて、一つまたはそれ以上の暗号キー を記憶する手段と、カードに対する入力信号を受け取る手段と、カードに対する 前記入力信号から受け取った制御情報に応じた一つまたはそれ以上の前記暗号キ ーを利用して一つまたはそれ以上の暗号アルゴリズムを行う手段と、前記アルゴ リズムの実行の結果で構成される出力信号を出力する手段とを有するICカード。 2.前記暗号キーが、中央コンピュータからICカードへ、またはICカードから中 央コンピュータへの、セッション・キーおよび認証キーのような他の暗号キーの 暗号化した送信に関連して用いられる一つまたはそれ以上のマスタ・キーを含む 請求項1記載のICカード。 3.前記暗号キーが、取引ステーションと中央コンピュータの間で送信される取 引データの暗号化/解読に用いられる一つまたはそれ以上のセッション・キーを 含み、前記暗号アルゴリズムが前記取引データを暗号化/解読する一つまたはそ れ以上のアルゴリズムを含む請求項1または2記載のICカード。 4.前記暗号キーが、取引ステーションと中央コンピュータの間のメッセージの 認証に関連して用いられる一つまたはそれ以上の認証キーを含み、前記暗号アル ゴリズムが前記メッセージを認証する一つまたはそれ以上のアルゴリズムを含む 請求項1、2または3のいずれかに記載のICカー ド。 5.中央コンピュータを介する所望の金融取引に関連してユーザの相手をし、且 つ中央コンピュータと通信するための取引ステーションにおいて、ユーザがデー タを入力するためのユーザ・インターフェイスと、中央コンピュータに送信する および/またはそれから受信するデータの暗号処理をする手段とを有し、前記暗 号処理をする手段が請求項1〜4のいずれか1項記載のICカードを受け入れるよ うにしたカード読取機で構成されることを特徴とする取引ステーション。 6.前記ICカードがユーザにアクセスできない状態に保たれるように、前記カー ド読取機が前記ICカードを受け入れる請求項5記載の取引ステーション。 7.前記カード読取機が安全キャビネット内に配置される請求項6記載の取引ス テーション。 8.前記ユーザ・インターフェイスがユーザの身許を入力する手段と、所望の金 融取引を入力する手段と、アクセス・コードを入力する手段とを有する請求項5 〜7のいずれか1項記載の取引ステーション。 9.ユーザの身許を入力する前記手段が別のカード読取機で構成される請求項8 記載の取引ステーション。 10.所望の暗号処理の種類に関する情報、ならびにそのために必要な情報を含む 制御情報を前記ICカードに供給する手段と、前記ICカードから前記出力信号を受 け取る手段とを更に有する請求項5〜9のいずれか1項記載の取引ステーション 。 11.ATMの形の請求項5〜10のいずれか1項記載の取引ステーション。 12.ユーザが前記中央コンピュータを介して金融取引を行うことができるるよう に構成された、パーソナル・コンピュータのようなコンピュータ 端末装置の形の請求項5〜10のいずれか1項記載の取引ステーション。 13.取引ステーションから中央コンピュータに送信されるデータおよび/または 中央コンピュータから取引ステーションが受信するデータの暗号処理のために、 請求項1〜4のいずれか1項記載のICカードの使用。 14.特にPINコードを暗号化するための請求項13記載のICカードの使用。 15.中央コンピュータを介する所望の金融取引の実行に関連して何人かのユーザ の相手をするために中央コンピュータと通信するための、請求項5〜12のいずれ か1項記載のように取引ステーションの使用。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE9702216-4 | 1997-06-10 | ||
| SE9702216A SE511507C2 (sv) | 1997-06-10 | 1997-06-10 | Säkerhetsmodul för transaktionsstation samt transaktionsstation |
| PCT/SE1998/001019 WO1998059327A1 (en) | 1997-06-10 | 1998-05-28 | Safety module |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000507380A true JP2000507380A (ja) | 2000-06-13 |
Family
ID=20407326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11503383A Pending JP2000507380A (ja) | 1997-06-10 | 1998-05-28 | 安全モジュール |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP2000507380A (ja) |
| AU (1) | AU8044798A (ja) |
| SE (1) | SE511507C2 (ja) |
| WO (1) | WO1998059327A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007529274A (ja) * | 2004-03-15 | 2007-10-25 | カーディアック・ペースメーカーズ・インコーポレーテッド | 移植可能医療デバイスを用いたデータ交換セッションの安全な認証 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10015098A1 (de) * | 2000-03-28 | 2001-10-25 | Giesecke & Devrient Gmbh | Verfahren und Endgerät zur Durchführung von Transaktionen unter Einschaltung eines tragbaren Datenträgers |
| AU2001256591A1 (en) * | 2000-06-26 | 2002-01-08 | Covadis Sa | Computer keyboard unit for carrying out secure transactions in a communications network |
| FR2825495B1 (fr) * | 2001-05-31 | 2003-09-26 | Schlumberger Systems & Service | Terminal electronique de paiement, carte a puce adaptee a un tel terminal et procede de chargement d'une cle secrete dans un tel terminal |
| DE10235498A1 (de) * | 2002-08-02 | 2004-02-19 | Wincor Nixdorf International Gmbh | Vorrichtung zum Durchführen gesicherter Transaktionen an einem Bankautomaten |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6061863A (ja) * | 1983-09-02 | 1985-04-09 | ビザ・ユー・エス・エイ・インコーポレーテツド | 暗号キー管理方法とシステム |
| EP0219881B1 (en) * | 1984-02-09 | 1990-09-19 | Kabushiki Kaisha Toshiba | Data processing terminal device |
| US5148481A (en) * | 1989-10-06 | 1992-09-15 | International Business Machines Corporation | Transaction system security method and apparatus |
| US5228084A (en) * | 1991-02-28 | 1993-07-13 | Gilbarco, Inc. | Security apparatus and system for retail environments |
| JP3305737B2 (ja) * | 1991-11-27 | 2002-07-24 | 富士通株式会社 | 情報処理装置の機密情報管理方式 |
-
1997
- 1997-06-10 SE SE9702216A patent/SE511507C2/sv not_active IP Right Cessation
-
1998
- 1998-05-28 AU AU80447/98A patent/AU8044798A/en not_active Abandoned
- 1998-05-28 WO PCT/SE1998/001019 patent/WO1998059327A1/en active Application Filing
- 1998-05-28 JP JP11503383A patent/JP2000507380A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007529274A (ja) * | 2004-03-15 | 2007-10-25 | カーディアック・ペースメーカーズ・インコーポレーテッド | 移植可能医療デバイスを用いたデータ交換セッションの安全な認証 |
Also Published As
| Publication number | Publication date |
|---|---|
| SE9702216D0 (sv) | 1997-06-10 |
| WO1998059327A1 (en) | 1998-12-30 |
| AU8044798A (en) | 1999-01-04 |
| SE9702216L (sv) | 1998-12-11 |
| SE511507C2 (sv) | 1999-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5036461A (en) | Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device | |
| US4961142A (en) | Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer | |
| US5721781A (en) | Authentication system and method for smart card transactions | |
| EP0668579B1 (en) | Secure money transfer techniques using smart cards | |
| EP0981807B1 (en) | Integrated circuit card with application history list | |
| US5943423A (en) | Smart token system for secure electronic transactions and identification | |
| US6983882B2 (en) | Personal biometric authentication and authorization device | |
| CN1344396B (zh) | 便携式电子的付费与授权装置及其方法 | |
| US6954855B2 (en) | Integrated circuit devices with steganographic authentication, and steganographic authentication methods | |
| US5917168A (en) | System and method for revaluation of stored tokens in IC cards | |
| US8302173B2 (en) | Providing a user device with a set of access codes | |
| EP0668580B1 (en) | Method of authenticating a terminal in a transaction execution system | |
| US6442532B1 (en) | Wireless transaction and information system | |
| US5923759A (en) | System for securely exchanging data with smart cards | |
| AU1932499A (en) | Card activation at point of distribution | |
| US20020046186A1 (en) | Electronic purse system having a double-structured purse, ic card applicable to the electronic purse system, ic card transaction apparatus having a double-structured purse, ic card transaction system having a double-structured purse, and ic card applicable to the | |
| WO1997010560A1 (en) | Stored value transaction system and method using anonymous account numbers | |
| JP2004199534A (ja) | Icカードを利用した決済システム | |
| EP2854087A1 (en) | Method for processing a payment | |
| US6662151B1 (en) | System for secured reading and processing of data on intelligent data carriers | |
| US7433848B1 (en) | System for carrying out a transaction | |
| JP2000507380A (ja) | 安全モジュール | |
| EP0769767A2 (en) | Secure money transfer techniques using smart cards | |
| JPH0619945A (ja) | データ移転システムおよび携帯端末装置 | |
| EP0807907A1 (en) | System for securely accessing data from smart cards |