JP2008077587A - Transaction system, transaction method and transaction server - Google Patents

Transaction system, transaction method and transaction server Download PDF

Info

Publication number
JP2008077587A
JP2008077587A JP2006259113A JP2006259113A JP2008077587A JP 2008077587 A JP2008077587 A JP 2008077587A JP 2006259113 A JP2006259113 A JP 2006259113A JP 2006259113 A JP2006259113 A JP 2006259113A JP 2008077587 A JP2008077587 A JP 2008077587A
Authority
JP
Japan
Prior art keywords
transaction
user
difference information
terminal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006259113A
Other languages
Japanese (ja)
Inventor
Yuichiro Ito
勇一郎 井藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006259113A priority Critical patent/JP2008077587A/en
Priority to CN 200710138092 priority patent/CN100585652C/en
Publication of JP2008077587A publication Critical patent/JP2008077587A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To urge an authorized user of an account to take measures against an illegal attack to the account. <P>SOLUTION: In this transaction system comprising a transaction terminal 1 operated by the user and a transaction server 2 for receiving a transaction request from the transaction terminal 1, the transaction server 2 has a user authenticating part 22 for authenticating the user of the transaction terminal 1 for making a transaction request and a difference information managing part 23 for storing difference information showing an authentication result of the user who is not allowed to start a transaction by the user authenticating part 22 in a storing means and transmitting the difference information to the transaction terminal, and the transaction terminal has a difference information processing part 15 for outputting the difference information received from the transaction server. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、取引システム、取引方法、および、取引サーバの技術に関するものである。   The present invention relates to a transaction system, a transaction method, and a technology of a transaction server.

従来、ATM(Automated Teller Machine)端末は、取引を要求するユーザに、取引開始前に暗証番号を入力してもらうなどのユーザの認証を行う。そして、認証結果として取引が許可されたユーザに対し、振り込みなどの取引が開始される。ユーザは、ATM端末が表示する取引履歴を参照することにより、過去の取引履歴を確認する。
特開平8−36665号公報(請求項1、段落0013〜0015、図5) Conventionally, an ATM (Automated Teller Machine) terminal authenticates a user such as having a user who requests a transaction input a password before starting the transaction. Then, a transaction such as a transfer is started for a user who is permitted to trade as an authentication result. The user confirms the past transaction history by referring to the transaction history displayed on the ATM terminal.
JP-A-8-36665 (Claim 1, paragraphs 0013 to 0015, FIG. 5)

しかしながら、不正者は、他人の口座から勝手に現金の引出を試みるなどの不正攻撃を行うことがある。この場合、不正者は、例えば、他人のキャッシュカードを盗み、そのキャッシュカードをATM端末に挿入して、不正攻撃を開始する。不正者が入力した暗証番号が正解してしまうと、不正攻撃が成功する。   However, a fraudster may perform a fraud attack such as trying to withdraw cash from another person's account without permission. In this case, for example, the unauthorized person steals another person's cash card, inserts the cash card into the ATM terminal, and starts an unauthorized attack. If the password entered by the unauthorized person is correct, the unauthorized attack succeeds.

一方、暗証番号が間違っていたなど、1回の不正攻撃が成功しなかったからといって、安全であるとは言い切れない。不正者は、試行錯誤をしたりして、何度も不正攻撃をしてくることもある。そして、数回の不正攻撃のうち、1回でも認証が成功してしまうと、不正攻撃が成功する。よって、不正者に、何度も不正攻撃のチャンスを与えることは好ましくない。   On the other hand, it cannot be said that it is safe just because one illegal attack was not successful, such as the wrong PIN. A fraudster may try and cheer many times by trial and error. If the authentication succeeds even once among several times of unauthorized attacks, the unauthorized attack is successful. Therefore, it is not preferable to give unauthorized persons many chances of unauthorized attacks.

なお、暗証番号の認証が続けて3回失敗すると、口座の取引を自動的に停止するような回数制限を設ける形態もある。しかし、この場合でも、2回失敗しても、正規ユーザは、自分の口座が不正攻撃されているという危険性を全く知ることはできない。そのため、正規ユーザは、何のきっかけもないときに、暗証番号の変更や口座番号の変更などの不正攻撃対策を自主的に行うことはまれであるので、不正者に余計な不正攻撃のチャンスを与えつづけていた。   In addition, there is a form in which the number of times is set such that the account transaction is automatically stopped when the authentication of the personal identification number fails three times in succession. However, even in this case, even if it fails twice, the legitimate user cannot know the risk that his / her account has been illegally attacked. For this reason, legitimate users rarely voluntarily take countermeasures against fraud attacks such as changing their PIN or changing their account number when there is no opportunity for them. I kept giving.

そこで本発明は、ユーザが相違情報を確認することができる取引システム、取引方法、および、取引サーバを提供し、最終的には、口座への不正攻撃を抑止する対策を、口座の正規ユーザに促すことを主な課題とする。   Therefore, the present invention provides a transaction system, a transaction method, and a transaction server that allow a user to check difference information, and finally, measures against deterring fraudulent attacks on accounts are made to authorized users of accounts. The main challenge is to encourage.

前記した課題を解決するため、ユーザが操作する取引端末と、前記取引端末からの取引要求を受け付ける取引サーバとを含めて構成される取引システムであって、前記取引サーバは、前記取引要求を行う前記取引端末を操作するユーザを認証するユーザ認証部と、前記ユーザ認証部により取引開始不許可とされたユーザの認証結果を示す相違情報を記憶手段に格納するとともに、前記取引端末に送信する相違情報管理部とを有し、前記取引端末は、前記取引サーバから受信した前記相違情報を出力する相違情報処理部を有することを特徴とする。   In order to solve the above-described problem, a transaction system including a transaction terminal operated by a user and a transaction server that receives a transaction request from the transaction terminal, wherein the transaction server performs the transaction request. The user authentication unit that authenticates the user who operates the transaction terminal, and the difference information indicating the authentication result of the user who is not permitted to start the transaction by the user authentication unit in the storage means and the difference that is transmitted to the transaction terminal An information management unit, and the transaction terminal includes a difference information processing unit that outputs the difference information received from the transaction server.

本発明によれば、ユーザは、相違情報を確認することができる。不正攻撃の有無を認識させることで、例えば、銀行システムでは、暗証番号の変更などの不正攻撃を抑止する対策を、口座の正規ユーザに促すことができる。   According to the present invention, the user can check the difference information. By recognizing the presence or absence of a fraud attack, for example, in a bank system, it is possible to urge a legitimate user of an account to take measures to prevent a fraud attack such as changing a personal identification number.

以下に、図面を参照して本発明の一実施形態について説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図1は、取引システム100を示す構成図である。   FIG. 1 is a configuration diagram showing a trading system 100.

ユーザが操作する取引端末1は、銀行の上位システムである取引サーバ2に対して、振り込みなどの取引を要求する。取引サーバ2は、ユーザが正当であるか否かを認証した後、正当と認識したユーザに対して、取引を開始する。なお、認証とは、例えば、生体認証、暗証番号認証、パスワード認証などである。取引サーバ2は、ユーザの口座ごとに規定された預金残高を、記憶手段に格納して管理する。   The transaction terminal 1 operated by the user requests a transaction such as a transfer from the transaction server 2 which is a higher system of the bank. The transaction server 2 authenticates whether or not the user is valid, and then starts a transaction for the user who is recognized as valid. The authentication is, for example, biometric authentication, password authentication, password authentication, or the like. The transaction server 2 stores and manages the deposit balance defined for each user account in the storage means.

なお、取引端末1は、銀行店舗やコンビニ店舗に設置され、銀行内ネットワークにアクセスするATM端末として構成してもよい。そのときには、取引とは、例えば、ユーザの口座に対する引出し、預け入れ、振り込み、振り替え、残高照会、通帳記入・繰り越し、および、暗証番号変更である。例えば、引出しを行うときには、取引端末1は、引出し金額を紙幣としてユーザに出力するとともに、取引サーバ2は、ユーザの口座の預金残高から引出し金額を減額する。   Transaction terminal 1 may be configured as an ATM terminal that is installed in a bank store or a convenience store and accesses a bank network. In this case, the transaction is, for example, withdrawal, deposit, transfer, transfer, balance inquiry, passbook entry / carry-over, and PIN change to the user's account. For example, when performing withdrawal, the transaction terminal 1 outputs the withdrawal amount as a bill to the user, and the transaction server 2 reduces the withdrawal amount from the deposit balance of the user's account.

また、取引端末1は、インターネットバンキングを利用するPC(Personal Computer)端末として構成してもよい。そのときには、取引とは、例えば、ユーザの口座に対する振り込み、振り替え、債券購入、残高照会、および、暗証番号変更である。   Further, the transaction terminal 1 may be configured as a PC (Personal Computer) terminal that uses Internet banking. At that time, the transaction is, for example, transfer to the user's account, transfer, purchase of bonds, inquiry of balance, and change of the PIN.

取引端末1は、媒体入出力部11、情報入力部12、情報出力部13、取引要求部14、および、相違情報処理部15を有する。媒体入出力部11は、カードや現金などの媒体の入出力を介するインタフェースである。情報入力部12は、認証情報および取引情報の入力を受け付ける。情報出力部13は、取引結果および相違情報を出力する。取引要求部14は、取引要求を取引サーバ2に通知する。相違情報処理部15は、相違情報(後記図2において詳細に説明)を、情報出力部13を介して出力(表示)する。   The transaction terminal 1 includes a medium input / output unit 11, an information input unit 12, an information output unit 13, a transaction request unit 14, and a difference information processing unit 15. The medium input / output unit 11 is an interface through input / output of a medium such as a card or cash. The information input unit 12 receives input of authentication information and transaction information. The information output unit 13 outputs a transaction result and difference information. The transaction request unit 14 notifies the transaction server 2 of the transaction request. The difference information processing unit 15 outputs (displays) the difference information (described in detail in FIG. 2 to be described later) via the information output unit 13.

図2は、相違情報DB24を示す構成図の一例である。   FIG. 2 is an example of a configuration diagram showing the difference information DB 24.

相違情報DB24が格納する相違情報は、取引サーバ2が認証結果として取引開始不許可にしたときの認証結果(操作の記録)である相違内容を含む。さらに、相違情報は、相違内容を、認証が行われた日時および場所と関連づけて構成してもよい。例えば、日時「2004/12/20 12:00」、場所(取引端末1)「○×銀行、芝浦支店5号機」において、不正な暗証番号が入力されたことを示す暗証番号相違が2回行われている。このように、取引端末1がATM端末のときには、支店・号機情報を格納する。
また、取引端末1がインターネットバンキングを利用するPC端末の場合は、ATMの場所に対応する情報として、「インターネットバンキング」からの利用である旨を格納する。例えば、日時「2004/12/25 21:00」、場所(取引端末)「○×銀行、インターネットバンキング」において、不正なパスワードが入力されたことを示すパスワード相違が2回行われている。
このように、相違情報DB24には、金融機関店舗等のATMで発生した相違情報と、インターネットバンキングを利用するPC端末で発生した相違情報とを、統合して格納するように構成される。すなわち、金融機関のユーザの口座に対するアクセスによって発生した相違情報であれば、アクセスに使用した端末情報とともに相違情報を記録する。なお、相違情報DB24は、ユーザ単位に管理されるものとする。 The difference information stored in the difference information DB 24 includes a difference content that is an authentication result (operation record) when the transaction server 2 rejects the transaction start as an authentication result. Further, the difference information may be configured by associating the content of the difference with the date and place where the authentication is performed. For example, at the date and time “2004/12/20 12:00” and at the place (transaction terminal 1) “XX Bank, Shibaura Branch No. 5”, a PIN code difference indicating that an incorrect PIN has been entered twice. It has been broken. Thus, when the transaction terminal 1 is an ATM terminal, branch / unit information is stored.
Further, when the transaction terminal 1 is a PC terminal using Internet banking, information indicating that the transaction terminal 1 is used from “Internet banking” is stored as information corresponding to the ATM location. For example, at the date “2004/12/25 21:00” and the place (transaction terminal) “XX bank, Internet banking”, a password difference indicating that an illegal password has been input is made twice.
As described above, the difference information DB 24 is configured to integrate and store difference information generated in ATMs such as financial institution stores and difference information generated in PC terminals using Internet banking. That is, if the difference information is generated by accessing the account of the financial institution user, the difference information is recorded together with the terminal information used for the access. Note that the difference information DB 24 is managed in units of users.

図3は、相違情報の表示内容を示す画面図である。相違情報DB24の内容に従って、ATM、インターネットバンキング双方で発生した相違情報が表示される。情報出力部13は、後記する図4または図5の処理が実行される度、取引サーバ2から受信した相違情報を取引端末1の画面に表示したり、取引端末1の媒体入出力部11から紙面(明細票)に印刷したり、相違情報をスピーカから音声出力したりして、出力する。確認ボタン13aが押されると、相違情報の表示を終了する。
これにより、ユーザはATMを利用すればATMのみならずインターネットバンキングで発生した相違情報も確認でき、不正攻撃の有無を効率よく確認することができる。 FIG. 3 is a screen diagram showing the display contents of the difference information. In accordance with the contents of the difference information DB 24, the difference information generated in both ATM and Internet banking is displayed. The information output unit 13 displays the difference information received from the transaction server 2 on the screen of the transaction terminal 1 or the medium input / output unit 11 of the transaction terminal 1 every time the process of FIG. Print on paper (detail slip) or output the difference information by voice from the speaker. When the confirmation button 13a is pressed, the display of the difference information is terminated.
As a result, if the user uses the ATM, the user can check not only the ATM but also the difference information generated in the internet banking, and can efficiently check the presence or absence of the illegal attack.

図3に示すように、相違情報は、不正種別ごと(生体認証、暗証番号、パスワード)に通知することとしてもよい。これにより、不正対策を行いたいユーザは、不正種別に応じた対策を行うことができるので、低コストで不正対策が実現できる。例えば、パスワードアタックが多く行われるときには、パスワードのみを変更すればよい。   As shown in FIG. 3, the difference information may be notified for each fraud type (biometric authentication, personal identification number, password). As a result, a user who wants to take a fraud countermeasure can take a countermeasure according to the fraud type, so that the fraud countermeasure can be realized at a low cost. For example, when many password attacks are performed, only the password needs to be changed.

取引サーバ2は、取引処理部21、ユーザ認証部22、相違情報管理部23、および、相違情報DB24(記憶手段)を有する。取引処理部21は、取引情報に基づいて取引を開始する。ユーザ認証部22は、取引可否の認証を行う。相違情報管理部23は、相違情報DB24に格納されている相違情報を管理(データアクセス)する。相違情報DB24は、相違情報を格納する。
ATM端末で暗証番号相違または生体情報相違が発生した場合は、相違が発生した日時、端末情報(銀行名、支店名、号機No)、相違内容が相違情報として取引サーバ2へ通知される。また、インターネットバンキングにてパスワード相違が発生した場合も同様に相違情報が取引サーバ2に通知される。 The transaction server 2 includes a transaction processing unit 21, a user authentication unit 22, a difference information management unit 23, and a difference information DB 24 (storage means). The transaction processing unit 21 starts a transaction based on the transaction information. The user authentication unit 22 authenticates whether the transaction is possible. The difference information management unit 23 manages (data access) the difference information stored in the difference information DB 24. The difference information DB 24 stores difference information.
When a PIN code difference or biometric information difference occurs at an ATM terminal, the date and time of the difference, terminal information (bank name, branch name, machine number), and the content of the difference are notified to the transaction server 2 as difference information. Also, when a password difference occurs in Internet banking, the difference information is similarly notified to the transaction server 2.

なお、取引端末1および取引サーバ2を構成する各処理部は、図示しないROM(Read Only Memory)に格納されているプログラムが、図示しないCPU(Central Processing Unit)によって実行されたり、図示しないハードディスクに格納されているプログラムが、図示しないRAM(Random Access Memory)に展開され、図示しないCPUに実行されることによって具現化される。   The processing units constituting the transaction terminal 1 and the transaction server 2 are configured such that a program stored in a ROM (Read Only Memory) (not shown) is executed by a CPU (Central Processing Unit) (not shown) or stored on a hard disk (not shown). The stored program is implemented in a RAM (Random Access Memory) (not shown) and executed by a CPU (not shown).

図4は、相違情報の通知処理を含むATM端末の取引処理を示すフローチャートである。このフローチャートは、例えば、ユーザがATM端末のタッチパネルに触れた状態から開始する。   FIG. 4 is a flowchart showing transaction processing of an ATM terminal including difference information notification processing. This flowchart starts from a state where the user touches the touch panel of the ATM terminal, for example.

媒体入出力部11は、ユーザよりユーザの口座に関するキャッシュカードの挿入を受け付ける(S111)。情報入力部12は、ユーザのタッチパネルやキーボードなどへの入力操作により、認証に必要なパスワードなどの認証情報の入力を受け付ける(S112)。また、情報入力部12は、ユーザより取引に必要な振り込み金額や取引の種別を特定するなどの取引情報の入力を受け付ける(S113)。   The medium input / output unit 11 accepts insertion of a cash card related to the user's account from the user (S111). The information input unit 12 accepts input of authentication information such as a password required for authentication by a user's input operation on a touch panel or a keyboard (S112). Further, the information input unit 12 accepts input of transaction information such as specifying a transfer amount and transaction type necessary for the transaction from the user (S113).

取引端末1および取引サーバ2は、認証および取引に関する通信処理を行う(S114)。まず、取引要求部14は、S112の認証情報、および、S113の取引情報を取引要求として取引サーバ2に通知する。ユーザ認証部22は、通知されたS112の認証情報をもとに、取引可否の認証を行い、判定条件「取引可否の認証がOK(取引許可)である」を満たすか否かを判定する(S121)。   Transaction terminal 1 and transaction server 2 perform communication processing related to authentication and transaction (S114). First, the transaction request unit 14 notifies the transaction server 2 of the authentication information in S112 and the transaction information in S113 as a transaction request. The user authentication unit 22 authenticates whether or not the transaction is possible based on the notified authentication information in S112, and determines whether or not the determination condition “authentication of whether or not transaction is OK is OK (transaction permission)” is satisfied ( S121).

S121の判定条件を満たさないとき(S121,No)には、相違情報管理部23は、取引開始不許可とされた今回の認証結果を、相違情報DB24に追加するとともに(S124)、取引応答として取引端末1に通知する通信処理を行う(S125)。取引端末1は、取引応答を受信する通信処理を行う(S114)。   When the determination condition of S121 is not satisfied (S121, No), the difference information management unit 23 adds the authentication result of this time, which is not permitted to start the transaction, to the difference information DB 24 (S124), and as a transaction response A communication process for notifying the transaction terminal 1 is performed (S125). Transaction terminal 1 performs communication processing for receiving a transaction response (S114).

S121の判定条件を満たすとき(S121,Yes)には、取引処理部21がS113の取引情報に基づいて取引を開始する(S122)。取引サーバ2は、取引処理部21による取引結果(取引開始許可)と、相違情報DB24に格納されている相違情報とを取引応答に含め、取引端末1に通知する通信処理を行う(S123)。取引端末1は、取引応答を受信する通信処理を行う(S114)。   When the determination condition of S121 is satisfied (S121, Yes), the transaction processing unit 21 starts a transaction based on the transaction information of S113 (S122). The transaction server 2 performs a communication process in which the transaction result (transaction start permission) by the transaction processing unit 21 and the difference information stored in the difference information DB 24 are included in the transaction response and notified to the transaction terminal 1 (S123). Transaction terminal 1 performs communication processing for receiving a transaction response (S114).

取引端末1は、S114で取引応答として受信した認証結果を参照し、認証OKではない(S115,No)なら処理を終了する。なお、処理を終了する前に、S111のカードをユーザに放出することとしてもよい。一方、認証OK(S115,Yes)なら、以下の処理を行う。   The transaction terminal 1 refers to the authentication result received as the transaction response in S114, and ends the process if it is not authentication OK (No in S115). Note that the card of S111 may be released to the user before the process is terminated. On the other hand, if the authentication is OK (S115, Yes), the following processing is performed.

媒体入出力部11は、取引サーバ2から通知された取引応答に含まれる取引結果に応じて、媒体(カード、現金等)をユーザに放出する(S116)。相違情報処理部15は、取引サーバ2から通知された取引応答に含まれる相違情報を、情報出力部13を介して出力(表示)する(S117)。   The medium input / output unit 11 releases the medium (card, cash, etc.) to the user according to the transaction result included in the transaction response notified from the transaction server 2 (S116). The difference information processing unit 15 outputs (displays) the difference information included in the transaction response notified from the transaction server 2 via the information output unit 13 (S117).

これにより、取引の度にユーザに対して相違情報を知らせることで、ユーザは、取引情報などの情報流出の有無が判断できる。   Thereby, a user can judge the presence or absence of information leakage, such as transaction information, by notifying a user of difference information for every transaction.

なお、情報出力部13は、相違情報DB24に格納されている所定のユーザに関する相違情報を表示してもよいし、直近の相違情報を表示してもよい。直近の相違情報とは、例えば、新しい順に所定数の相違情報や、現在から所定期間前までの相違情報、および、パスワードの変更などの不正対策を行った後の相違情報である。このように、表示対象の相違情報を一部に絞り込むことにより、あまり以前のエラー情報を表示しないようにしユーザが混乱することを防ぐことができる。   The information output unit 13 may display the difference information regarding the predetermined user stored in the difference information DB 24, or may display the latest difference information. The latest difference information is, for example, a predetermined number of difference information in the order from the newest, difference information from the present to a predetermined period before, and difference information after performing a countermeasure against fraud such as a password change. In this way, by narrowing down the difference information to be displayed to a part, it is possible to prevent the user from being confused by not displaying much previous error information.

以上説明した本フローチャートでは、取引手順(S113,S116)と、相違情報処理手順(S112,S117)とを1往復の通信処理(S114)でまとめて行うこととしている。一方、取引手順を行わずに、相違情報処理手順だけを行うこととしてもよい。   In the flowchart described above, the transaction procedure (S113, S116) and the difference information processing procedure (S112, S117) are collectively performed in one round-trip communication process (S114). On the other hand, only the difference information processing procedure may be performed without performing the transaction procedure.

また、認証OKではない(S121,No)ときには、取引要求を行ったユーザを不正者と見なして、S125で相違情報を送信しないこととしたが、S125で相違情報を送信するとともに、S117でその相違情報を出力してもよい。   Further, when the authentication is not OK (S121, No), the user who made the transaction request is regarded as an unauthorized person and the difference information is not transmitted in S125. However, the difference information is transmitted in S125, and in S117, the difference information is not transmitted. Difference information may be output.

さらに、相違情報を表示(S117)した後、媒体(カード、現金等)をユーザに放出する(S116)こととしてもよい。これにより、媒体が放出されたときに取引処理が完了したと勘違いするせっかちなユーザが、相違情報を確認し忘れることを防止できる。   Furthermore, after displaying the difference information (S117), the medium (card, cash, etc.) may be released to the user (S116). Thereby, it is possible to prevent an impatient user who misunderstands that the transaction processing is completed when the medium is released and forgets to confirm the difference information.

そして、相違情報処理部15は、ユーザに相違情報を出力した(S117)後に、相違情報に関する不正対策をユーザに促すこととしてもよい。例えば、パスワードアタックが3回行われたときには、パスワードの変更を促し、現在のパスワードよりも長い文字のパスワードに変更させる。これにより、ユーザは、相違情報の理解から不正対策までを1回の処理として実施できるので、ユーザへの負担が少ない。   And the difference information processing part 15 is good also as prompting a user of the fraud countermeasure regarding difference information after outputting difference information to a user (S117). For example, when a password attack is performed three times, a password change is prompted to change to a password having a longer character than the current password. Thereby, since the user can implement from understanding of difference information to fraud countermeasures as a single process, the burden on the user is small.

さらに、図4ではATM端末を前提として説明したが、インターネットバンキングを行うPC端末で代用してもよい。そのときには、キャッシュカードの挿入(S111)、および、媒体の放出(S116)処理は、省略される。   Furthermore, although FIG. 4 has been described on the assumption of an ATM terminal, a PC terminal that performs Internet banking may be substituted. At that time, the insertion of the cash card (S111) and the release of the medium (S116) are omitted.

なお、不正対策を実施するときのユーザへのアナウンス内容は、例えば、以下のものが挙げられる。
・「暗証番号相違」が所定回数以上のとき→「暗証が類推されにくいものか確認してください」
・「パスワード相違」が所定回数以上のとき→「パスワードが類推されにくいものか確認してください。また、現在より長いパスワードへの変更をお勧めします」
・「暗証番号相違」または「パスワード相違」、および、生体情報未登録のとき→「生体認証のご利用をお勧めします」 The contents of announcements to the user when implementing fraud countermeasures include the following, for example.
・ When the “PIN Difference” is more than the specified number of times → “Check if the PIN is difficult to guess”
・ When the “password difference” is more than the specified number of times → “Check if the password is difficult to guess. Also, it is recommended to change to a longer password”
・ When “PIN difference” or “Password difference” and biometric information is not registered → “Recommend using biometric authentication”

また、相違情報やユーザへのアナウンス内容は、取引サーバ2が、電子メールでユーザ端末に送信することとしてもよい。これにより、ユーザは、自己の口座にアクセスする前に、送信された相違情報を知り、不正攻撃に対する対策を講ずることができる。   Moreover, the transaction server 2 is good also as transmitting difference information and the content of announcement to a user to a user terminal with an email. Thereby, the user can know the transmitted difference information and take measures against an illegal attack before accessing his / her account.

図5は、図4に示すフローチャートの代替として実行されるフローチャートである。図4では、認証のための通信処理と、認証後の取引のための通信処理とを1回(S114)に統合して行う。一方、図5では、認証のための通信処理(S213)と、認証後の取引の開始のための通信処理(S216)とを2回に分けて行う。そして、取引開始不許可と認証されたとき、取引端末1は、取引情報を入力することなく、処理を終了する。これにより、不正者に対して、取引情報の入力をすることなく、認証不許可とすることができる。以下、図5のフローチャートの詳細を説明する。   FIG. 5 is a flowchart executed as an alternative to the flowchart shown in FIG. In FIG. 4, the communication process for authentication and the communication process for the transaction after authentication are integrated and performed once (S114). On the other hand, in FIG. 5, the communication process for authentication (S213) and the communication process for starting the transaction after authentication (S216) are performed in two steps. And when it is authenticated with transaction start disapproval, the transaction terminal 1 will complete | finish a process, without inputting transaction information. Thereby, it can be set as an authentication disapproval without inputting transaction information with respect to an unauthorized person. Details of the flowchart of FIG. 5 will be described below.

媒体入出力部11は、ユーザよりユーザの口座に関するキャッシュカードの挿入を受け付ける(S211)。情報入力部12は、ユーザのタッチパネルやキーボードなどへの入力操作により、認証に必要なパスワードなどの認証情報の入力を受け付ける(S212)。   The medium input / output unit 11 accepts insertion of a cash card related to the user's account from the user (S211). The information input unit 12 accepts input of authentication information such as a password required for authentication by a user's input operation on a touch panel or a keyboard (S212).

取引端末1および取引サーバ2は、認証に関する通信処理を行う(S213)。まず、取引要求部14は、S212の認証情報を認証要求として取引サーバ2に通知する。ユーザ認証部22は、通知されたS212の認証情報をもとに、取引可否の認証を行い、判定条件「取引可否の認証がOK(取引許可)である」を満たすか否かを判定する(S221)。   Transaction terminal 1 and transaction server 2 perform communication processing related to authentication (S213). First, the transaction request unit 14 notifies the transaction server 2 of the authentication information in S212 as an authentication request. The user authentication unit 22 authenticates whether or not the transaction is possible based on the notified authentication information in S212, and determines whether or not the determination condition “authentication of whether or not transaction is OK is OK (transaction permission)” is satisfied ( S221).

S221の判定条件を満たさないとき(S221,No)には、相違情報管理部23は、取引開始不許可とされた今回の認証結果を、相違情報DB24に追加するとともに(S225)、認証応答として取引端末1に通知する通信処理を行う(S226)。取引端末1は、認証応答を受信する通信処理を行う(S213)。   When the determination condition of S221 is not satisfied (S221, No), the difference information management unit 23 adds the current authentication result that is not permitted to start the transaction to the difference information DB 24 (S225), and as an authentication response. A communication process for notifying the transaction terminal 1 is performed (S226). Transaction terminal 1 performs communication processing for receiving an authentication response (S213).

S221の判定条件を満たすとき(S221,Yes)には、取引サーバ2は、取引開始許可とされた今回の認証結果を、認証応答として取引端末1に通知する通信処理を行う(S222)。取引端末1は、認証応答を受信する通信処理を行う(S213)。   When the determination condition of S221 is satisfied (S221, Yes), the transaction server 2 performs communication processing for notifying the transaction terminal 1 of the current authentication result that is permitted to start the transaction as an authentication response (S222). Transaction terminal 1 performs communication processing for receiving an authentication response (S213).

取引端末1は、認証応答として受信した認証結果を参照し、認証OKではない(S214,No)なら処理を終了する。一方、認証OK(S214,Yes)なら、以下の処理を行う。   Transaction terminal 1 refers to the authentication result received as an authentication response, and ends the process if authentication is not OK (No in S214). On the other hand, if the authentication is OK (S214, Yes), the following processing is performed.

情報入力部12は、ユーザより取引に必要な振り込み金額や取引の種別を特定するなどの取引情報の入力を受け付ける(S215)。取引端末1は、取引情報を取引サーバ2に通知する通信処理を行う(S216)。   The information input unit 12 accepts input of transaction information such as specifying the transfer amount and transaction type necessary for the transaction from the user (S215). Transaction terminal 1 performs communication processing for notifying transaction information to transaction server 2 (S216).

取引処理部21は、S215の取引情報に基づいて取引を開始する(S223)。取引サーバ2は、取引処理部21による取引結果と、相違情報DB24に格納されている相違情報とを取引応答に含め、取引端末1に通知する通信処理を行う(S224)。取引端末1は、取引応答を受信する通信処理を行う(S216)。   The transaction processing unit 21 starts a transaction based on the transaction information in S215 (S223). The transaction server 2 includes a transaction result by the transaction processing unit 21 and the difference information stored in the difference information DB 24 in the transaction response, and performs a communication process of notifying the transaction terminal 1 (S224). Transaction terminal 1 performs communication processing for receiving a transaction response (S216).

媒体入出力部11は、取引サーバ2から通知された取引応答に含まれる取引結果に応じて、媒体(カード、現金等)をユーザに放出する(S217)。相違情報処理部15は、取引サーバ2から通知された取引応答に含まれる相違情報を、情報出力部13を介して出力(表示)する(S218)。   The medium input / output unit 11 releases the medium (card, cash, etc.) to the user according to the transaction result included in the transaction response notified from the transaction server 2 (S217). The difference information processing unit 15 outputs (displays) the difference information included in the transaction response notified from the transaction server 2 via the information output unit 13 (S218).

なお、媒体入出力部11は、キャッシュカードだけでなく、クレジットカードの入力も受け付けることとしてもよい。クレジットカードが入力された場合、相違情報は、クレジットカードの管理会社のサーバにおいて管理される。   The medium input / output unit 11 may accept not only a cash card but also a credit card. When a credit card is input, the difference information is managed in the server of the credit card management company.

なお、相違情報の出力(S218)は、認証OKか否かの判断(S214)の後で、取引情報の入力(S215)の前に、実行することとしてもよい。   The output of the difference information (S218) may be executed after the determination of whether or not the authentication is OK (S214) and before the input of transaction information (S215).

本発明の一実施形態に関する取引システムを示す構成図である。It is a block diagram which shows the transaction system regarding one Embodiment of this invention. 本発明の一実施形態に関する相違情報DBを示す構成図である。It is a block diagram which shows difference information DB regarding one Embodiment of this invention. 本発明の一実施形態に関する相違情報の表示内容を示す画面図である。It is a screen figure which shows the display content of the difference information regarding one Embodiment of this invention. 本発明の一実施形態に関する相違情報の通知処理を含むATM端末の取引処理を示すフローチャートである。It is a flowchart which shows the transaction process of the ATM terminal including the notification process of the difference information regarding one Embodiment of this invention. 本発明の一実施形態に関する相違情報の通知処理を含むATM端末の取引処理を示すフローチャートである。It is a flowchart which shows the transaction process of the ATM terminal including the notification process of the difference information regarding one Embodiment of this invention.

符号の説明Explanation of symbols

1 取引端末
2 取引サーバ
11 媒体入出力部
12 情報入力部
13 情報出力部
14 取引要求部
15 相違情報処理部
21 取引処理部
22 ユーザ認証部
23 相違情報管理部
24 相違情報DB
DESCRIPTION OF SYMBOLS 1 Transaction terminal 2 Transaction server 11 Medium input / output part 12 Information input part 13 Information output part 14 Transaction request part 15 Difference information processing part 21 Transaction processing part 22 User authentication part 23 Difference information management part 24 Difference information DB

Claims (10)

ユーザが取引のために操作する取引端末と、前記取引端末からの取引要求を受け付ける取引サーバとを含めて構成される取引システムであって、
前記取引サーバは、前記取引要求を行う前記取引端末を操作するユーザを認証するユーザ認証部と、前記ユーザ認証部により取引開始不許可とされたユーザの認証結果を示す相違情報を記憶手段に格納するとともに、前記取引端末に送信する相違情報管理部とを有し、
前記取引端末は、前記取引サーバから受信した前記相違情報を出力する相違情報処理部を有すること
を特徴とする取引システム。 A transaction system configured to include a transaction terminal operated by a user for a transaction and a transaction server that receives a transaction request from the transaction terminal,
The transaction server stores, in a storage unit, difference information indicating a user authentication unit that authenticates a user who operates the transaction terminal that performs the transaction request, and a user authentication result that is not permitted to start a transaction by the user authentication unit. And having a difference information management unit to be transmitted to the transaction terminal,
The transaction system includes a difference information processing unit that outputs the difference information received from the transaction server. 前記取引サーバは、前記相違情報を電子メールでユーザ端末に送信することを特徴とする請求項1に記載の取引システム。   The transaction system according to claim 1, wherein the transaction server transmits the difference information to a user terminal by electronic mail. 前記取引端末は、銀行内ネットワークにアクセスするATM端末として構成し、前記取引とは、ユーザの口座に対する引出し、預け入れ、振り込み、振り替え、残高照会、通帳記入・繰り越し、および、暗証番号変更であることを特徴とする請求項1または請求項2に記載の取引システム。   The transaction terminal is configured as an ATM terminal that accesses a bank network, and the transaction is withdrawal, deposit, transfer, transfer, balance inquiry, passbook entry / carry-over, and PIN change to the user's account The transaction system according to claim 1, wherein: 前記取引端末は、インターネットにアクセスするPC端末として構成し、前記取引とは、ユーザの口座に対する振り込み、振り替え、債券購入、残高照会、および、暗証番号変更であることを特徴とする請求項1または請求項2に記載の取引システム。   The transaction terminal is configured as a PC terminal that accesses the Internet, and the transaction is a transfer, transfer, bond purchase, balance inquiry, and PIN change to a user's account. The transaction system according to claim 2. 前記相違情報処理部は、ユーザに関する前記相違情報のうち、直近の前記相違情報を出力することを特徴とする請求項1ないし請求項4のいずれか1項に記載の取引システム。   The transaction system according to any one of claims 1 to 4, wherein the difference information processing unit outputs the latest difference information among the difference information related to a user. 前記相違情報は、生体認証、パスワード認証、および、暗証番号認証のうち、少なくとも1つから構成される、前記ユーザ認証部が行う認証の認証種別を含むことを特徴とする請求項1ないし請求項5のいずれか1項に記載の取引システム。   The difference information includes an authentication type of authentication performed by the user authentication unit, which includes at least one of biometric authentication, password authentication, and password authentication. The transaction system according to any one of 5. 前記相違情報処理部は、前記相違情報に含まれる前記認証種別に応じた不正攻撃対策処理を実行することを特徴とする請求項6に記載の取引システム。   The transaction system according to claim 6, wherein the difference information processing unit executes an illegal attack countermeasure process according to the authentication type included in the difference information. 前記取引サーバは、前記取引要求に対する取引結果と、前記取引要求のユーザに関する前記相違情報とを、1つの取引応答に含めて前記取引端末に送信することを特徴とする請求項1ないし請求項7のいずれか1項に記載の取引システム。   8. The transaction server includes a transaction result for the transaction request and the difference information regarding a user of the transaction request included in one transaction response and transmits the transaction result to the transaction terminal. The transaction system according to any one of the above. ユーザが取引のために操作する取引端末と、前記取引端末からの取引要求を受け付ける取引サーバとを含めて構成される取引システムが実行する取引方法であって、
前記取引サーバは、前記取引要求を行う前記取引端末を操作するユーザを認証し、取引開始不許可とされたユーザの認証結果を示す相違情報を記憶手段に格納するとともに、前記取引端末に送信し、
前記取引端末は、前記取引サーバから受信した前記相違情報を出力すること
を特徴とする取引方法。 A transaction method executed by a transaction system configured to include a transaction terminal operated by a user for a transaction and a transaction server that receives a transaction request from the transaction terminal,
The transaction server authenticates a user who operates the transaction terminal that makes the transaction request, stores difference information indicating an authentication result of the user who is not permitted to start a transaction in a storage unit, and transmits the difference information to the transaction terminal. ,
The transaction terminal outputs the difference information received from the transaction server. ユーザが取引のために操作する取引端末と、前記取引端末からの取引要求を受け付ける取引サーバとを含めて構成される取引システムに用いられる取引サーバであって、
前記取引要求を行う前記取引端末を操作するユーザを認証するユーザ認証部と、前記ユーザ認証部により取引開始不許可とされたユーザの認証結果を示す相違情報を記憶手段に格納するとともに、前記取引端末に送信する相違情報管理部とを有すること
を特徴とする取引サーバ。
A transaction server used in a transaction system configured to include a transaction terminal operated by a user for transaction and a transaction server for receiving a transaction request from the transaction terminal,
A user authentication unit that authenticates a user who operates the transaction terminal that makes the transaction request, and stores difference information indicating an authentication result of a user that is not permitted to start a transaction by the user authentication unit in a storage unit, and the transaction A transaction server comprising: a difference information management unit to be transmitted to a terminal.
JP2006259113A 2006-09-25 2006-09-25 Transaction system, transaction method and transaction server Pending JP2008077587A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006259113A JP2008077587A (en) 2006-09-25 2006-09-25 Transaction system, transaction method and transaction server
CN 200710138092 CN100585652C (en) 2006-09-25 2007-08-15 Trading system, trading method and trading server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006259113A JP2008077587A (en) 2006-09-25 2006-09-25 Transaction system, transaction method and transaction server

Publications (1)

Publication Number Publication Date
JP2008077587A true JP2008077587A (en) 2008-04-03

Family

ID=39255944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006259113A Pending JP2008077587A (en) 2006-09-25 2006-09-25 Transaction system, transaction method and transaction server

Country Status (2)

Country Link
JP (1) JP2008077587A (en)
CN (1) CN100585652C (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010238102A (en) * 2009-03-31 2010-10-21 Fujitsu Ltd Information processor, authentication system, authentication method, authentication device and program
JP2014089746A (en) * 2013-12-26 2014-05-15 Fujitsu Ltd Information processor, authentication system, authentication method, authentication device, and program
JP2015170227A (en) * 2014-03-07 2015-09-28 株式会社日本総合研究所 Personal authentication system and cash management system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014196752A1 (en) * 2013-06-04 2014-12-11 (주)결제전산원 Win-win payment method for goods received

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002279491A (en) * 2001-03-15 2002-09-27 Internatl Business Mach Corp <Ibm> Transaction system, transaction terminal, transaction history output device, server, transaction history display method, and computer program
JP2002358417A (en) * 2001-03-30 2002-12-13 Mizuho Corporate Bank Ltd Method, system, and program for banking processing
JP2004234434A (en) * 2003-01-31 2004-08-19 Tama Chuo Shinkin Bank Automatic cash transaction system and its latest transaction history display method
JP2005084822A (en) * 2003-09-05 2005-03-31 Omron Corp Unauthorized utilization notification method, and unauthorized utilization notification program
JP2006011919A (en) * 2004-06-28 2006-01-12 Oki Electric Ind Co Ltd Unauthorized trading reporting system
JP2006235666A (en) * 2005-02-22 2006-09-07 Hitachi Software Eng Co Ltd User authentication system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002279491A (en) * 2001-03-15 2002-09-27 Internatl Business Mach Corp <Ibm> Transaction system, transaction terminal, transaction history output device, server, transaction history display method, and computer program
JP2002358417A (en) * 2001-03-30 2002-12-13 Mizuho Corporate Bank Ltd Method, system, and program for banking processing
JP2004234434A (en) * 2003-01-31 2004-08-19 Tama Chuo Shinkin Bank Automatic cash transaction system and its latest transaction history display method
JP2005084822A (en) * 2003-09-05 2005-03-31 Omron Corp Unauthorized utilization notification method, and unauthorized utilization notification program
JP2006011919A (en) * 2004-06-28 2006-01-12 Oki Electric Ind Co Ltd Unauthorized trading reporting system
JP2006235666A (en) * 2005-02-22 2006-09-07 Hitachi Software Eng Co Ltd User authentication system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010238102A (en) * 2009-03-31 2010-10-21 Fujitsu Ltd Information processor, authentication system, authentication method, authentication device and program
JP2014089746A (en) * 2013-12-26 2014-05-15 Fujitsu Ltd Information processor, authentication system, authentication method, authentication device, and program
JP2015170227A (en) * 2014-03-07 2015-09-28 株式会社日本総合研究所 Personal authentication system and cash management system

Also Published As

Publication number Publication date
CN101154309A (en) 2008-04-02
CN100585652C (en) 2010-01-27

Similar Documents

Publication Publication Date Title
US10672009B2 (en) Method for authenticating financial instruments and financial transaction requests
US11461760B2 (en) Authentication using application authentication element
RU2397540C2 (en) Method and system to perform secured electronic transaction, and also according data carrier and terminal
EP3787256A1 (en) Browser extension for limited-use secure token payment
EP1719283B1 (en) Method and apparatus for authentication of users and communications received from computer systems
CN100565596C (en) Individual authentication system, its method and host apparatus thereof
JP2009245272A (en) Cardless payment system, cardless payment method, and recording medium
CN109074583A (en) Organism data Accreditation System and settlement system
JP2009064127A (en) Automatic transaction system, server, and automatic transaction device
JP2008077587A (en) Transaction system, transaction method and transaction server
JP4911595B2 (en) Identification device, identification system and identification method
JP2007072777A (en) Transaction system
JP6193286B2 (en) Information processing apparatus, information processing system, information processing method, and program
JP2008071199A (en) Transaction system, management information processor, operation information processor, and processing method
JP5231320B2 (en) Transaction system and management method thereof
JP2017010246A (en) Information processing device, information processing system, information processing method, and program
JP2007072766A (en) Personal authentication system and method
JP2006331265A (en) Transaction system
KR20070108006A (en) Finance business system having sanction certification for prevention illegal finance business and method thereof
AU2016277629A1 (en) Authentication using application authentication element
AU2015200732B2 (en) Authentication using application authentication element
OMOTOSHO et al. DESIGN AND IMPLEMENTATION OF MULTIFACTOR AUTHENTICATION IN CURBING AUTOMATED TELLER MACHINE CYBERCRIME
JP2023157367A (en) Agent authentication system, and agent authentication method
JP2012099031A (en) Automatic transaction system
JP2007299109A (en) Automatic transaction system, automatic transaction method, server, terminal, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090617

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110601

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110614

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110726

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111115