JP2007041801A - Controller of transaction system - Google Patents
Controller of transaction system Download PDFInfo
- Publication number
- JP2007041801A JP2007041801A JP2005224562A JP2005224562A JP2007041801A JP 2007041801 A JP2007041801 A JP 2007041801A JP 2005224562 A JP2005224562 A JP 2005224562A JP 2005224562 A JP2005224562 A JP 2005224562A JP 2007041801 A JP2007041801 A JP 2007041801A
- Authority
- JP
- Japan
- Prior art keywords
- transaction
- conversion table
- security code
- input
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000006243 chemical reaction Methods 0.000 claims abstract description 42
- 238000000034 method Methods 0.000 description 8
- 238000013500 data storage Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000001174 ascending effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
本発明は取引システムを制御する制御装置に関し、特に、ユーザが入力するセキュリティコードによりユーザの認証を行って、ネットワークにより取引を行う取引システムを制御する制御装置に関するものである。 The present invention relates to a control apparatus that controls a transaction system, and more particularly to a control apparatus that controls a transaction system that performs a transaction through a network by authenticating a user with a security code input by the user.
ネットワークを介して商取引及び金融取引を行なう取引システムにおいては、端末からユーザにより入力されたセキュリティコード(例えば、暗証番号)が予め登録されたコードと一致するか否かによりユーザの認証を行い、認証できたユーザにのみ取引を可能とする制御が行われている。
しかしながら、セキュリティコードが第三者に取得された場合、例えば、ネットワーク上で、あるいはユーザが入力したキーボードのキー入力履歴(キーロガーともいう)などから不正入手された場合に、成りすましによる不正使用を許すことになる。 However, if the security code is obtained by a third party, for example, if it is illegally obtained on the network or from the keyboard key entry history (also called key logger) entered by the user, unauthorized use by impersonation is permitted. It will be.
特に、取引システムが銀行システムである場合には、口座内の情報の変更や、不正な支払操作などが発生して、ユーザに直接の損害を与えると共に、システムの信頼性が損なわれてしまう。 In particular, when the transaction system is a bank system, a change in information in an account or an illegal payment operation occurs, causing direct damage to the user and impairing the reliability of the system.
本発明は、上記従来の問題点にか鑑み、セキュリティコードの第三者の不正入手による不正使用を無くした取引システムを制御する制御装置を提供する。 In view of the above-described conventional problems, the present invention provides a control device that controls a transaction system that eliminates unauthorized use of a security code by unauthorized acquisition by a third party.
この課題を解決するために、本発明の制御装置は、ユーザが入力するセキュリティコードによりユーザの認証を行って、ネットワークにより取引を行う取引システムを制御する制御装置であって、入力されるセキュリティコードを変換する変換テーブルを記憶する記憶手段と、前記変換テーブルにおける入出力の対応表を含む取引入力画面を端末に表示させる表示制御手段と、前記端末から入力されたセキュリティコードを前記変換テーブルを使って変換し、変換後のセキュリティコードによりユーザを認証する認証手段とを有することを特徴とする。 In order to solve this problem, the control device of the present invention is a control device that controls a transaction system that performs a transaction through a network by authenticating a user with a security code input by the user, and the security code that is input Storage means for converting a conversion table, display control means for displaying a transaction input screen including an input / output correspondence table in the conversion table on a terminal, and a security code input from the terminal using the conversion table And authenticating means for authenticating the user with the converted security code.
ここで、前記記憶手段は複数の変換テーブルを有し、前記取引入力画面の表示の前に前記複数の変換テーブルからランダムに1つの変換テーブルを選択する選択手段を更に有する。また、前記変換テーブルは前記取引入力画面の表示の前にランダムに生成されて記憶手段に記憶される。また、前記取引システムは、ネットワークを介する銀行システムであって、前記取引は口座間の支払である。 Here, the storage means has a plurality of conversion tables, and further includes selection means for selecting one conversion table at random from the plurality of conversion tables before displaying the transaction input screen. The conversion table is randomly generated before the transaction input screen is displayed and stored in the storage means. The transaction system is a bank system via a network, and the transaction is payment between accounts.
以上説明したように本発明により、セキュリティコードの第三者の不正入手による不正使用を無くした取引システムを制御する制御装置を提供できる。 As described above, according to the present invention, it is possible to provide a control device that controls a transaction system that eliminates unauthorized use due to unauthorized acquisition of a security code by a third party.
以下、添付図面に従って、本発明に係る実施形態の取引システムを制御する制御装置の構成と動作を詳細に説明する。尚、以下の説明では、本発明の取引システムをイーバンク・システムを例に説明するが、セキュリティコードの不正入手や不正使用はイーバンク・システムに限定されるものではなく、他の取引システムにおいても適用可能であり、これらも本発明に含まれる。 The configuration and operation of a control device for controlling a transaction system according to an embodiment of the present invention will be described below in detail with reference to the accompanying drawings. In the following description, the transaction system of the present invention will be described using the e-bank system as an example. However, unauthorized acquisition and unauthorized use of the security code is not limited to the e-bank system, and can be applied to other transaction systems. These are possible and are included in the present invention.
<本実施形態の取引システムの構成例(図1)>
図1は、本実施形態の取引システムの構成例を示すブロック図である。
<Configuration example of transaction system of this embodiment (FIG. 1)>
FIG. 1 is a block diagram illustrating a configuration example of a transaction system according to the present embodiment.
図1において、10は本実施形態の取引システムであるイーバンク・システムを制御するイーバンクサーバである。かかるイーバンクサーバ10により口座データベース20(他に預金データベースなどを含むが図示しない)などを制御して、仮想的な銀行システムが構築される。
In FIG. 1,
イーバンクサーバ10は、汎用コンピュータあるいは専用コンピュータで実現されて良く、基本的な構成要素としては、演算/制御用のCPU11と、固定プログラムやパラメータを格納するROM12と、ATM用の専用ネットワーク30あるいはユーザからのアクセス用の公衆ネットワーク60を介して通信制御をする通信制御部13と、CPU11の実行するプログラムをロードする領域とパラメータを一時記憶する領域とを有するRAM14と、ディスクやCD、メモリカードなどのプログラムやデータベースを記憶する外部記憶部15とを有する。
The
RAM14は、データ記憶領域として、本例ではPC70−1〜70−Mから受信した電文を記憶する領域14a、受信した電文に含まれるユーザが入力したセキュリティコードを記憶する領域14b、PC70−1〜70−Mに送る送信電文を記憶する領域14c、ユーザが入力したセキュリティコードを認証するセキュリティコードに変換するために使用される変換テーブルをポイントするポインタを記憶する領域14dとを備える。又、プログラムロード領域14eを有する。尚、上記データ記憶領域のデータは、本実施形態に必須のデータを示したものであって、イーバンクサーバ10として機能するための他のデータやパラメータについては煩雑さを避けるため図示していないし、本願では説明を省略する。尚、変換テーブルポインタでなく、変換テーブル自体をRAM14に記憶してもよい。
In this example, the
外部記憶部15は、データ記憶領域として、ユーザが入力したセキュリティコードを認証するセキュリティコードに変換するために使用される変換テーブルを記憶する領域15aを備える。セキュリティコード変換テーブル・記憶領域15aには基準の変換テーブルが記憶されていて、これからランダムに実際に使う変換テーブルを生成しながら処理を行っても、複数の変換テーブルを予め格納していて、それからランダムに選択して処理を行っても、ランダムに生成された変換テーブルを記憶しておくようにしても良い。
The
又、プログラム記憶領域として、後述のフローチャートに相当する、セキュリティコード変換テーブル15aを使用してセキュリティコードの変換を行うモジュールを記憶する領域15bと、変換されたセキュリティコードに基づいてユーザの認証を行うモジュールを記憶する領域15cとを有する。尚、上記プログラム記憶領域のモジュールは、本実施形態に必須のプログラムを示したものであって、イーバンクサーバ10として機能するための他のプログラム(OSなども含む)については煩雑さを避けるため図示していないし、本願では説明を省略する。
Further, as a program storage area, an
30は、イーバンクサーバ10とATMとを接続する専用ネットワークである。専用ネットワーク30を介して、本例では郵貯ATM40−1〜40−n、銀行ATM50−1〜50−mが接続されている。尚、かかる専用ネットワーク30は1つに限定されず、複数の専用ネットワークが接続されてもよいし、複数の専用ネットワーク30が互いに接続されて、ある専用ネットワークを介して他の専用ネットワークが接続される構成になっていてもよい。
A
60は、公衆ネットワークあるいはインターネットなどのネットワークである。ネットワーク60は有線であっても無線であっても、あるいはそれらの混合ネットワークであってもよい。公衆ネットワーク60を介して、一般のPC70−1〜70−Mや携帯電話80−1〜80−Nが接続される。
本実施形態の処理としては、PC70−1〜70−Mからのイーバンクサーバ10への接続が承認され、セキュリティコードによりユーザの認証が行われ、認証されれ要求され取引が実行される。
As processing of this embodiment, the connection from the PCs 70-1 to 70-M to the
<本実施形態の取引システムの動作例>
図2は、上記図1のイーバンクシステムにおける、PC70の画面上に表示される取引入力画面の一例を示す図である。
<Operation example of transaction system of this embodiment>
FIG. 2 is a diagram showing an example of a transaction input screen displayed on the screen of the
図2は、ユーザの口座、イーバンクの支店201の普通口座000595から、新たに開設される口座、イーバンクの支店204に普通口座000930の1円を支払う取引が入力されている。
In FIG. 2, a transaction for paying 1 yen of the
ここで、この取引を実行するには、セキュリティコードとして暗証番号を入力して、実行ポタンをクリックする。この暗証番号の入力は、暗証番号そのままの数字入力ではなく0から9までの数字に対応するアルファベットによって入力されるように、変換表90が表示されている。図2の例では、0から9まで昇順にaからjが対応することが示されている。例えば、4桁の”1234”が暗証番号の場合には、”bcde”と入力することになる。 Here, in order to execute this transaction, a personal identification number is input as a security code, and an execution button is clicked. The conversion table 90 is displayed so that the code number is input by the alphabet corresponding to the numbers from 0 to 9, not the number input as it is. In the example of FIG. 2, a to j correspond to 0 to 9 in ascending order. For example, if 4 digits “1234” is the password, “bcde” is entered.
このようにすれば、キーボード履歴からも、ネットワーク上からも、不正入手されるのは”bcde”であり、かかる対応を取引毎にランダムに変更するように制御すれば、暗証番号”1234”は不正使用から守られることになる。 In this way, it is “bcde” that is illegally obtained from both the keyboard history and the network, and if the correspondence is randomly changed for each transaction, the personal identification number “1234” is It will be protected from unauthorized use.
(本実施形態の取引システムの動作手順例:図3)
図3は、PC70と本実施形態の制御装置であるイーバンクサーバ10との処理手順を示すフローチャートである。図3で、左側はPCの処理手順、右側はイーバンクサーバの処理手順、両方の処理手順の間を結ぶ破線はネットワークを介して伝達される情報を示す。
(Example of operation procedure of transaction system of this embodiment: FIG. 3)
FIG. 3 is a flowchart showing a processing procedure between the PC 70 and the
まず、ステップS31でPC70を介して取引要求をすると、ステップS41で待機中のサーバ10はこの要求を受けて、ステップS42に進み今回の取引で使用する変換テーブルを設定する。かかる変換テーブルは、定期的に/あるいは所定の条件で変更されるものであれば、ある期間は固定であってもよい。又、上述のように、毎回の取引で基準の変換テーブルからランダムに作成されるもの、複数の変換テーブルからランダムに選択されるもの、取引の度にランダムに生成されるもの、などが考えられる。サーバ10では、ステップS43で、設定された変換テーブルのコード対応表を含む、図2のような入力画面を送付する。
First, when a transaction request is made via the PC 70 in step S31, the
ステップS31の取引要求後にステップS32で入力画面を待っていたPC70は、サーバ10からの入力画面を受信するとステップS33で表示をし、取引の設定の入力を行う。ステップS34で、取引に必要な全ての設定を終わり実行ポタンがクリックされるのを待って、実行ポタンがクリックされるとステップS35に進んで、セキュリティコード(暗証番号)を含む取引内容をサーバ10に送信する。尚、セキュリティコード(暗証番号)以外の簡単な取引内容の不備については、PC70のステップS33でチェックして、間違いはユーザに報知するようにしてもよいし、サーバ10側で取引内容を受信した後にチェックを行ってもよい。
After receiving the input screen from the
サーバ10では、ステップS44で取引内容を待ち、取引内容を受信するとステップS45に進んで、ステップS42で設定された変換テーブルを使って受信したセキュリティコードを認証するセキュリティコードに変換する。次に、ステップS46で変換されたセキュリティコードと予め口座データベース20などに登録されているセキュリティコードとを比較して、一致するか否かを判定する。一致していれば認証OKでステップS47で取引を実行し、取引完了をPC70に通知する。一致しなければ認証できない旨をステップS48でPC70に報知する。
The
PC70は、ステップS36で取引結果の通知(S47又はS48から)を待って、通知があればステップS37に進んで取引結果を表示する。認証出来ない場合、あるいは図示しないが取引内容にミスがあった場合は、ステップS31又はS33に戻って、再度取引内容あるいはセキュリティコードの入力を行って、再度取引を要請する。
The
(変換テーブルのタの例)
図4に、セキュリティコード変換テーブルの他の数例を示す。本発明は、これら変換テーブルには限定されないものであり、当業者によれば他の種々の例が容易に想定される。
(Example of conversion table data)
FIG. 4 shows other examples of the security code conversion table. The present invention is not limited to these conversion tables, and various other examples can be easily assumed by those skilled in the art.
図4の(a)は、図2のように数字とアルファベットとが昇順に対応する単純な(従って、解読容易)ものでなく、その対応がランダムな例である。図4の(b)は、アルファベットでなくカナカナ入力を対応させた例である。図4の(c)は、暗証番号の各桁を2つの数字の組合せに対応させたものである。 FIG. 4A is an example in which the correspondence between numbers and alphabets in ascending order as shown in FIG. FIG. 4B shows an example in which kana-kana input is supported instead of alphabet. (C) in FIG. 4 corresponds to a combination of two numbers for each digit of the password.
かかる、変換テーブルの選択は、簡単な場合は解読が容易となり、一方複雑な場合には入力ミスが増加するので、それを判断基準に適切な変換テーブルを選択すればよい。尚、毎回の取引でランダムに変換テーブルを変更させることで、解読の容易さは防ぐことができるので、図2のような単純な変換テーブルがユーザの操作面からは望ましい。 Such selection of the conversion table is easy to decipher when it is simple, while input errors increase when it is complicated, so that an appropriate conversion table may be selected based on this. In addition, since the ease of decoding can be prevented by changing the conversion table at random every transaction, a simple conversion table as shown in FIG. 2 is desirable from the user's operation side.
尚、本発明の技術思想は、ネットワークを介する銀行システムに限定されることなく、ユーザ認証が必要な、特にキーボード履歴等がある場合のシステムでは効果があり、当業者であれば広い技術分野での適用が考えられる。 The technical idea of the present invention is not limited to a banking system via a network, and is effective in a system that requires user authentication, particularly when there is a keyboard history, etc. Can be applied.
Claims (4)
入力されるセキュリティコードを変換する変換テーブルを記憶する記憶手段と、
前記変換テーブルにおける入出力の対応表を含む取引入力画面を端末に表示させる表示制御手段と、
前記端末から入力されたセキュリティコードを前記変換テーブルを使って変換し、変換後のセキュリティコードによりユーザを認証する認証手段とを有することを特徴とする制御装置。 A control device that controls a transaction system that authenticates a user by a security code input by the user and performs a transaction through a network,
Storage means for storing a conversion table for converting the input security code;
Display control means for causing a terminal to display a transaction input screen including an input / output correspondence table in the conversion table;
A control apparatus comprising: an authentication unit that converts a security code input from the terminal using the conversion table and authenticates a user using the converted security code.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005224562A JP2007041801A (en) | 2005-08-02 | 2005-08-02 | Controller of transaction system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005224562A JP2007041801A (en) | 2005-08-02 | 2005-08-02 | Controller of transaction system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007041801A true JP2007041801A (en) | 2007-02-15 |
Family
ID=37799726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005224562A Pending JP2007041801A (en) | 2005-08-02 | 2005-08-02 | Controller of transaction system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007041801A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009157640A (en) * | 2007-12-26 | 2009-07-16 | Sumitomo Mitsui Card Co Ltd | User authentication method and system |
JP2014032537A (en) * | 2012-08-03 | 2014-02-20 | Cac:Kk | Authentication system for mobile communication device |
JP2014075033A (en) * | 2012-10-04 | 2014-04-24 | Nomura Research Institute Ltd | Authentication device, authentication method, and authentication program |
JP5872095B1 (en) * | 2015-06-28 | 2016-03-01 | 久夫 田口 | Online transfer request acceptance method |
JP2016518667A (en) * | 2013-04-30 | 2016-06-23 | トークン ワン ピーティーワイ リミテッド | User authentication |
WO2018042492A1 (en) * | 2016-08-29 | 2018-03-08 | 有限会社アドリブ | Id management device, id management method, and computer program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002334064A (en) * | 2001-05-09 | 2002-11-22 | Hiroshi Yasuda | Authentication system |
WO2004025488A1 (en) * | 2002-09-12 | 2004-03-25 | Mitsubishi Denki Kabushiki Kaisha | Authentication system, authentication device, terminal device, and authentication method |
JP2005018569A (en) * | 2003-06-27 | 2005-01-20 | Nec Commun Syst Ltd | Portable information terminal and character input method |
-
2005
- 2005-08-02 JP JP2005224562A patent/JP2007041801A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002334064A (en) * | 2001-05-09 | 2002-11-22 | Hiroshi Yasuda | Authentication system |
WO2004025488A1 (en) * | 2002-09-12 | 2004-03-25 | Mitsubishi Denki Kabushiki Kaisha | Authentication system, authentication device, terminal device, and authentication method |
JP2005018569A (en) * | 2003-06-27 | 2005-01-20 | Nec Commun Syst Ltd | Portable information terminal and character input method |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009157640A (en) * | 2007-12-26 | 2009-07-16 | Sumitomo Mitsui Card Co Ltd | User authentication method and system |
JP2014032537A (en) * | 2012-08-03 | 2014-02-20 | Cac:Kk | Authentication system for mobile communication device |
JP2014075033A (en) * | 2012-10-04 | 2014-04-24 | Nomura Research Institute Ltd | Authentication device, authentication method, and authentication program |
JP2016518667A (en) * | 2013-04-30 | 2016-06-23 | トークン ワン ピーティーワイ リミテッド | User authentication |
JP5872095B1 (en) * | 2015-06-28 | 2016-03-01 | 久夫 田口 | Online transfer request acceptance method |
WO2018042492A1 (en) * | 2016-08-29 | 2018-03-08 | 有限会社アドリブ | Id management device, id management method, and computer program |
JP6326176B1 (en) * | 2016-08-29 | 2018-05-16 | 有限会社 アドリブ | ID management device, ID management method, computer program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8302167B2 (en) | Strong authentication token generating one-time passwords and signatures upon server credential verification | |
EP2839603B1 (en) | Abstracted and randomized one-time passwords for transactional authentication | |
US7788151B2 (en) | Systems and methods for accessing a secure electronic environment with a mobile device | |
US7624433B1 (en) | Keyfob for use with multiple authentication entities | |
EP2043036B1 (en) | System, method and device for enabling interaction with dynamic security | |
US11222498B2 (en) | Information processing device executing payment processing and payment method | |
JP2007328381A (en) | Authentication system and method in internet banking | |
US20110295740A1 (en) | System And Method For Secure Transactions | |
JP2007041801A (en) | Controller of transaction system | |
JP2011204169A (en) | Authentication system, authentication device, authentication method and authentication program | |
JP2010237741A (en) | Authentication system and authentication method | |
CN109150880B (en) | Data transmission method, device and computer readable storage medium | |
WO2015186195A1 (en) | Transaction system | |
JPWO2016013048A1 (en) | Method and system for generating a sign code used to securely transfer money | |
JP6454493B2 (en) | Authentication system, authentication method, and authentication program | |
CN101667915A (en) | Method for generating dynamic password to execute remote security authentication and mobile communication device thereof | |
JP5589471B2 (en) | Royalty management system, royalty management method and token | |
JP2006244475A (en) | Controller for transaction system | |
JP7338451B2 (en) | trading system | |
KR102453618B1 (en) | Method for autehntication of atm, finacial system and terminal | |
KR102272022B1 (en) | User certification method and apparatus performing the same | |
KR100889250B1 (en) | An apparatus for recognizing otp automatically | |
JP5176629B2 (en) | Server apparatus, authentication method, and program | |
JP2008152612A (en) | Authentication system and authentication method | |
KR20100006304A (en) | Apparatus and method for protecting secret number |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080724 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110513 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111007 |