JP2015171105A - 決済端末装置 - Google Patents

決済端末装置 Download PDF

Info

Publication number
JP2015171105A
JP2015171105A JP2014046918A JP2014046918A JP2015171105A JP 2015171105 A JP2015171105 A JP 2015171105A JP 2014046918 A JP2014046918 A JP 2014046918A JP 2014046918 A JP2014046918 A JP 2014046918A JP 2015171105 A JP2015171105 A JP 2015171105A
Authority
JP
Japan
Prior art keywords
secure
secure mode
input
unit
touch panel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014046918A
Other languages
English (en)
Inventor
松本 学
Manabu Matsumoto
学 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2014046918A priority Critical patent/JP2015171105A/ja
Priority to US14/638,070 priority patent/US20150254622A1/en
Publication of JP2015171105A publication Critical patent/JP2015171105A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • G07F7/0886Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Cash Registers Or Receiving Machines (AREA)

Abstract

【課題】非セキュアな部分を有する場合でも、情報セキュリティを担保するための耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる。【解決手段】オペレーティングシステムSW0は、セキュアフラグを「True」に設定し、セキュアモードに遷移する(S5)。LEDディスプレイ3の点灯動作が行われ、「SECURED」の文字が現れる。画面UIアプリケーションSW11は、タッチパネル10に対し、PIN入力を促すメッセージ及びPINパッドを表示する(S6、ST1、ST2)。タッチパネル入出力/実行制御部SW12は、タッチパネルドライバSW14を介して、タッチパネル10からPINを入力する(S7、ST3)。PINが入力されると、オペレーティングシステムSW0は、セキュアフラグを「False」に設定し、非セキュアモードに遷移する(S8)。LEDディスプレイ3の消灯動作が行われる。【選択図】図4

Description

本発明は、取引における決済処理の手続を行うために使用される情報処理装置及び情報処理方法に関する。
例えば、クレジットカードを使用した物品又は役務の(信用)取引においては、取引を行う人物と取引に使用されるクレジットカードの所有者とが同一人物であるかどうかを確認(本人確認)することにより、取引の安全性(セキュリティ)が確保されている。この本人確認は、取引の決済処理時に取引内容の印字された取引伝票に顧客がサインし、このサインとクレジットカードに記載されているサインとを店員が目視により対比することにより行われている。
近年、このような署名の入力及び表示が可能な端末装置は、スマートフォンやタブレット端末を用いて実現されている。スマートフォンやタブレット端末は民生用機器として多数流通しており、安価に調達して決済端末装置を構築することが可能となる。即ち、このような決済端末装置は、スマートフォンやタブレット端末等のように民生用機器として多数流通している情報端末を用いて構成できれば、決済端末装置自体を安価に調達可能である。また、決済処理その他の業務に用いられるアプリケーション(ソフトウェア)の開発プラットフォームの汎用化が可能となるので、開発資産の再利用や流用が容易となる。
しかしながら、民生用機器として使用されることを想定して設計された情報端末には、顧客の情報を保護して取引を安全に行うために必要な「耐タンパ性」が備わっていない。「耐タンパ性」とは、情報端末から情報を盗み出そうとする攻撃に対する耐性である。情報端末から情報を盗み出そうとする攻撃の対策として耐タンパ性を確保するため、決済処理に用いられるカードの認証情報に関わる部分(特許文献1では「セキュア部」と称されている。決済端末装置として必要な耐タンパ性を備える部分。)が汎用部分から分離された移動体装置が提案されている(例えば特許文献1参照)。
また、汎用な端末装置であっても、特に、暗証番号等のPIN(Personal Identification Number)を入力する際の情報セキュリティを確保することは必要であり、この種の耐タンパ性を確保するために、決済処理においてユーザにより入力されるPINを暗号化するPINPADを含むバンキングシステム(Banking System)が知られている(例えば特許文献2参照)。また、タッチスクリーン上で入力された情報を暗号化して送信するタッチスクリーン装置も知られている(例えば特許文献3参照)。
米国特許出願公開第2010/0145854号明細書 米国特許第8376219号明細書 特開2006−185449号公報
しかしながら、上述した特許文献1〜特許文献3を含む従来の情報処理装置では、セキュアな部分についてはセキュリティが確保されるが、非セキュアな部分についてはセキュリティが不十分となる可能性があった。例えば、非セキュアな部分に、不正なアプリケーションがインストールされた場合、本人確認のための認証情報(例えば、PIN,署名)を入力するための正規な入力領域が不正に隠される可能性があった。あるいは、不正なアプリケーションにより別の不正な入力領域が表示される可能性があった。そして、ユーザは、不正な入力領域を正規なものと錯誤して、不正な入力領域に認証情報を入力し、認証情報を奪取(フィッシング)される可能性があった。
本発明は、上述した従来の問題を解決するために、非セキュアな部分を有する場合でも、情報セキュリティを担保するための耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる情報処理装置及び情報処理方法を提供することを目的とする。
本発明は、耐タンパ性を有するセキュアな実行環境と、耐タンパ性を有しない非セキュアな実行環境と、耐タンパ性を有するセキュアモード状態、又は耐タンパ性を有しない非セキュアモード状態を報知する報知部と、前記セキュアな実行環境に設けられ、前記報知部を制御する報知制御部と、を備える、情報処理装置である。
この構成では、情報処理装置は、セキュアな実行環境と非セキュアな実行環境とを提供し、耐タンパ性を有するセキュアモード状態又は耐タンパ性を有しない非セキュアモード状態を報知する。また、報知部の動作を制御する報知制御部は、セキュアな実行環境に設けられる。
これにより、情報処理装置は、セキュアモード状態又は非セキュアモード状態のいずれかを報知する動作をセキュアな実行環境において制御できるので、非セキュアな実行環境を提供する場合でも、情報セキュリティを担保するための耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる。
また、本発明は、2次元表示部、を更に備え、前記2次元表示部は、前記セキュアな実行環境において制御される、情報処理装置である。
この構成では、2次元表示部は、セキュアな実行環境において制御される。
これにより、情報処理装置は、セキュアな実行環境において、2次元表示部の動作を制御できるので、ユーザに対して、2次元表示部に表示された情報又はデータの信憑性を向上できる。
また、本発明は、前記報知部は、前記2次元表示部において報知する、情報処理装置である。
この構成では、報知部は、2次元表示部に対して報知する。
これにより、情報処理装置は、セキュアな実行環境において、セキュアモード状態であるのか又は非セキュアモード状態であるのかの報知を制御できるので、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる。
また、本発明は、タッチパネルと、耐タンパ性を有するセキュアモードの状態と、耐タンパ性を有しない非セキュアモードの状態とを制御するモード制御部と、前記タッチパネルにより入力された入力情報を暗号化する暗号化部と、前記セキュアモード又は前記非セキュアモードの状態を報知する報知部と、所定の決済先装置に対する決済処理を実行する決済処理部と、を備え、前記モード制御部は、前記セキュアモードである場合に、前記報知部に前記セキュアモードの状態を報知させ、前記暗号化部により生成された暗号化入力情報を用いた前記決済処理を前記決済処理部に実行させる、情報処理装置である。
この構成では、情報処理装置は、セキュアモードの状態と非セキュアモードの状態とを区別して制御するとともにどちらかの状態をユーザに対して報知し、セキュアモードの状態である場合には、タッチパネルにより入力された入力情報を暗号化することで生成した暗号化入力情報を用いた決済処理を、決済処理部に実行させる。
これにより、情報処理装置は、セキュアモードの状態では、セキュアモードの状態であることがユーザに対して明示的に示すことができ、更に、タッチパネルの構造を複雑化することなく、タッチパネルにより入力された入力情報(例えばPIN情報)の暗号化により生成した暗号化入力情報を用いて決済先装置と決済処理を実行できる。従って、情報処理装置は、非セキュアな部分を有する場合でも、セキュアモードの状態である場合には、ユーザの入力操作によりタッチパネルに入力された入力情報に対する耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して、安全に決済処理を実行することができる。
また、本発明は、タッチパネルと、耐タンパ性を有するセキュアモードの状態と、耐タンパ性を有しない非セキュアモードの状態とを制御するモード制御部と、前記タッチパネルにより入力された入力情報を暗号化する暗号化部と、前記セキュアモード又は前記非セキュアモードの状態を報知する報知部と、所定の決済先装置に対する決済処理を実行する決済処理部と、を備え、前記モード制御部は、前記非セキュアモードである場合に、前記報知部に前記非セキュアモードの状態を報知させ、前記入力情報を用いた前記決済処理を前記決済処理部に実行させる、情報処理装置である。
この構成では、情報処理装置は、セキュアモードの状態と非セキュアモードの状態とを区別して制御するとともにどちらかの状態をユーザに対して報知する。
これにより、情報処理装置は、非セキュアモードの状態では、非セキュアモードの状態であることがユーザに対して明示的に示すことができ、PIN等の認証情報がユーザによって錯誤少なく安心感を持って入力され、安全に決済先装置と決済処理を実行できる。
また、本発明は、前記モード制御部は、前記セキュアモードから前記非セキュアモードに変更された場合に、前記セキュアモードの状態の報知を中止する、情報処理装置である。
この構成では、情報処理装置は、セキュアモードから非セキュアモードに変更された場合には、セキュアモードの状態の報知を中止する。
これにより、情報処理装置は、セキュアモードから非セキュアモードに変更された場合、非セキュアモードに変更されたことをユーザに容易に知らせることができる。
また、本発明は、前記モード制御部は、前記非セキュアモードから前記セキュアモードに変更された場合に、前記非セキュアモードの状態の報知を中止する、情報処理装置である。
この構成では、情報処理装置は、非セキュアモードからセキュアモードに変更された場合には、非セキュアモードの状態の報知を中止する。
これにより、情報処理装置は、非セキュアモードからセキュアモードに変更された場合、非セキュアモードに変更されたことをユーザに容易に知らせることができる。
また、本発明は、前記報知部は、前記セキュアモード又は前記非セキュアモードの状態を、LEDの点灯又は画面表示により報知する、情報処理装置である。
この構成により、情報処理装置は、セキュアモード又は非セキュアモードの状態を、ユーザに対して視覚的に分かり易く知らせることができる。
また、本発明は、タッチパネル及び決済処理部を含む情報処理装置における情報処理方法であって、耐タンパ性を有するセキュアモードと、耐タンパ性を有しない非セキュアモードとを制御するステップと、前記セキュアモード又は前記非セキュアモードの状態を報知するステップと、前記タッチパネルによる情報の入力を受け付けるステップと、前記セキュアモードである場合に、前記タッチパネルにより入力された入力情報を暗号化するステップと、前記暗号化により生成された暗号化入力情報を用いた決済処理を前記決済処理部に実行させるステップと、を有する、情報処理方法である。
この方法では、情報処理装置は、セキュアモードの状態と非セキュアモードの状態とを区別して制御するとともにどちらかの状態をユーザに対して報知し、セキュアモードの状態である場合には、タッチパネルにより入力された入力情報を暗号化することで生成した暗号化入力情報を用いた決済処理を、決済処理部に実行させる。
これにより、情報処理装置は、セキュアモードの状態では、セキュアモードの状態であることがユーザに対して明示的に示すことができ、更に、タッチパネルの構造を複雑化することなく、タッチパネルにより入力された入力情報(例えばPIN情報)の暗号化により生成した暗号化入力情報を用いて決済先装置と決済処理を実行できる。従って、情報処理装置は、非セキュアな部分を有する場合でも、セキュアモードの状態である場合には、ユーザの入力操作によりタッチパネルに入力された入力情報に対する耐タンパ性を確保した上で、PIN等の認証情報がユーザによって錯誤少なく安心感を持って入力され、安全に決済処理を実行することができる。
更に、本発明は、タッチパネル及び決済処理部を含む情報処理装置における情報処理方法であって、耐タンパ性を有するセキュアモードと、耐タンパ性を有しない非セキュアモードとを制御するステップと、前記セキュアモード又は前記非セキュアモードの状態を報知するステップと、前記タッチパネルによる情報の入力を受け付けるステップと、前記非セキュアモードである場合、前記タッチパネルにより入力された入力情報を用いた決済処理を前記決済処理部に実行させるステップと、を有する、情報処理方法である。
この方法では、情報処理装置は、セキュアモードの状態と非セキュアモードの状態とを区別して制御するとともにどちらかの状態をユーザに対して報知する。
これにより、情報処理装置は、非セキュアモードの状態では、非セキュアモードの状態であることがユーザに対して明示的に示すことができ、PIN等の認証情報がユーザによって錯誤少なく安心感を持って入力され、安全に決済先装置と決済処理を実行できる。
本発明によれば、セキュアモードにおいてタッチパネルで入力された情報が暗号化されるので、PIN等の認証情報がユーザによって錯誤少なく安心感を持って入力され、耐タンパ性を確保することができる。そして、情報処理装置は、安全に決済処理を実行することができる。
(A)第1の実施形態の決済端末装置の外観を示す正面図、(B)図1(A)に示す決済端末装置の外観を示す側面図 第1の実施形態の決済端末装置のハードウェア構成の一例を具体的に示すブロック図 第1の実施形態の決済端末装置のソフトウェア機能を主としたシステム構成の一例を具体的に示すブロック図 第1の実施形態の決済端末装置の決済処理時における第一の動作手順を説明するフローチャート 第1の実施形態の決済端末装置の決済処理時における第二の動作手順を説明するフローチャート LEDディスプレイの点灯・消灯動作手順を説明するフローチャート セキュアモードにおける決済端末装置の外観を示す正面図 第1の実施形態の変形例のセキュアモードにおける決済端末装置の外観を示す正面図 非セキュアモードにおける決済端末装置の外観を示す正面図 第2の実施形態の決済端末装置の外観を示す正面図 第2の実施形態の決済端末装置の決済処理時における第一の動作手順を説明するフローチャート 第2の実施形態の決済端末装置の決済処理時における第二の動作手順を説明するフローチャート LEDディスプレイの点灯・消灯動作手順を説明するフローチャート セキュアモードにおける決済端末装置の外観を示す正面図 第2の実施形態の変形例の非セキュアモードにおける決済端末装置の外観を示す正面図 セキュアモードにおける決済端末装置の外観を示す正面図
以下、本発明に係る情報処理装置及び情報処理方法の実施形態(以下、「本実施形態」という)について、図面を参照して説明する。以下の本実施形態では、本発明に係る情報処理装置の一例として、商品又は役務の取引における決済処理の際に用いられる決済端末装置を例示して説明する。なお、本発明は、情報処理装置及び情報処理方法に限らず、情報処理装置に対して情報処理方法の動作を実行させるためのコンピュータ読み取り可能な記録媒体や、情報処理装置に対して情報処理方法の動作を実行させるためのプログラムとして表現しても良い。
(第1の実施形態)
図1(A)は、第1の実施形態における決済端末装置1の外観を示す正面図である。図1(B)は、図1(A)に示す決済端末装置1の外観を示す側面図である。本実施形態の決済端末装置1は、可搬型であり、例えば商品又は役務の取引における決済処理を含む各種情報処理を行う情報処理部2を備える構成である。
以下の説明において、「セキュア」とは、決済端末装置として、第三者(悪意のある第三者や、マルウェア等のウイルス若しくは不正アプリケーション)からの情報に対する中間者攻撃に対して必要な耐タンパ性を備えることを意味し、「非セキュア」とは、そのような耐タンパ性を備えていないことを意味する。
図1(A)に示す決済端末装置1は、決済端末装置1の前面9の略中央に配置されたタッチパネル10と、タッチパネル10の上方に配置され、LED(Light Emitting Diode)素子の点灯により、「SECURED」の文字を明示的に示すLEDディスプレイ3とを備える。図1(A)では、LEDディスプレイ3のLED素子は点灯していないので、「SECURED」の文字は明示的に示されていない状態である。なお、「SECURED」の文字が明示的に示された状態は、図6に示す状態を参照されたい。
また、図1(A)に示す決済端末装置1は、例えば磁気カードに記録されたカード状オフを読み取るために磁気カードのスライド用のパスとなるスリット5を、情報処理部2の上側面6に備える。決済端末装置1は、例えば接触型ICカードに記録されたカード情報を読み取るために接触型ICカードが挿入される挿入口7を、情報処理部2の下側面8に備える。決済端末装置1は、例えば非接触型ICカードに記録されたカード情報を読み取るためのループアンテナ38を決済端末装置1の内部に備える。
(決済端末装置のハードウェア構成)
図2は、本実施形態の決済端末装置1のハードウェア構成の一例を具体的に示すブロック図である。図2に示す決済端末装置1は、CPU21と、局所無線通信アンテナ23が接続された局所無線通信部22と、広域無線通信アンテナ25が接続された広域無線通信部24と、マイクロホン27及びスピーカ28が接続された音声I/F(Interface)部26と、表示部29と、タッチ入力検出部30と、フラッシュROM32と、RAM33と、LEDディスプレイ3と、磁気カードリーダ部35と、電源部36と、バッテリ37と、ループアンテナ38が接続された非接触型ICカードリーダライタ部43と、接触型ICカードリーダ部44とを含む構成である。
また、決済端末装置1は、図3に示すように、例えばCPU21を用いて実現可能なOS(Operating System:オペレーティングシステム)SW0において、仮想的にセキュアな実行環境と仮想的に非セキュアな実行環境とを提供する。オペレーティングシステム(OS)SW0は、例えばセキュアな実行環境と非セキュアな実行環境とを、例えば仮想マシン(VM:Virtual Machine)にて提供する。
決済端末装置1の情報処理部2は、図2に示す決済端末装置1の各部の処理を全体的に司るCPU(Central Processing Unit)21を備える。図2では、決済端末装置1の各部がCPU21に接続されている。
局所無線通信部22は、局所無線通信アンテナ23と接続されており、不図示の局所無線通信路を用いて、例えば無線LAN(Local Area Network)による無線通信を行う。局所無線通信は、例えば無線LANに限定されず、Bluetooth(登録商標)その他でも良い。
広域無線通信部24は、広域無線通信アンテナ25と接続されており、不図示の広域無線通信路(WAN:Wide Area Network)を介して、広域無線通信を行う。広域無線通信は、例えばW−CDMA(Wideband Code Division Multiple Access)、UMTS(Universal Mobile Telecommunications System)、CDMA(Code Division Multiple Access)2000、LTE(Long Term Evolution)等の携帯電話回線による通信を用いることができる。
報知部の一例としての音声I/F部26は、マイクロホン27及びスピーカ28と接続され、音声の入出力を制御する。なお、マイクロホン27、スピーカ28及び音声I/F部26と、広域無線通信部24とにより、他の携帯電話や固定電話との通話が可能となる。また、スピーカ28は、CPU21からの指示に応じて、後述するセキュアモードの状態或いは非セキュアモードの状態であることをユーザに対して明示的に報知し、又はユーザが決済端末装置1を操作する際に、ユーザへの注意を喚起するアラーム音や操作エラーを示すアラーム音を出力しても良い。
表示部29は、例えばLCD(Liquid Crystal Display)又は有機EL(Electroluminescence)を用いて構成され、CPU21が表示を指示した情報又はデータを図1に示すタッチパネル10に対して表示する。タッチ入力検出部30は、タッチパネル10に対するユーザ(例えばクレジットカード取引を取扱うクレジットカード加盟店(例えば店舗;以下では加盟店という)の店員、商品を購入した顧客)のタッチ入力を検出する。
フラッシュROM(Read Only Memory)32は、各種のデータを記憶する。記憶されるデータは、例えば業務に関わるデータでも良いし、決済端末装置1(主に情報処理部2)の動作を制御するためのプログラムでも良い。また、プログラムには、決済処理用のアプリケーション(ソフトウェア)等、決済端末装置1の動作に係る各種プログラムが含まれる。このため、フラッシュROM32は、プログラムを記録する記録媒体としての機能を有する。
RAM(Random Access Memory)33は、決済端末装置1(主に情報処理部2)の動作に伴う演算処理等の際に、その途中において発生する処理データを一時的に記憶する等のために用いられるワークメモリである。また、RAM33の特定領域には、後述するセキュアモードの状態の有無を示すセキュアフラグ(例えば、True又はFalse)や非セキュアモードの状態の有無を示す非セキュアフラグ(例えば、True又はFalse)が割り当てられる。
磁気カードリーダ部35は、図1に示すスリット5の内部に配置され、磁気カードに印字されたカード情報としての磁気ストライプを読み取る。磁気カードリーダ部35により読み取られたカード情報はCPU21に入力される。
非接触型ICカードリーダライタ部43は、ループアンテナ38と接続されており、非接触型ICカードに記録されたカード情報を読み取る。非接触型ICカードリーダライタ部43により読み取られたカード情報はCPU21に入力される。
接触型ICカードリーダ部44は、図1に示す挿入口7の内部に配置され、挿入口7に挿入された接触型ICカードの電極を介して、接触型ICカードに記録されたカード情報を読み取る。接触型ICカードリーダ部44により読み取られたカード情報はCPU21に入力される。
報知部の一例としてのLEDディスプレイ3は、複数のLED素子を含むディスプレイであり、CPU21からの指示に応じて、複数のLED素子を点灯又は消灯する。例えば、LEDディスプレイ3は、複数のLED素子の点灯により、図1(A)に示す「SECURED」の文字を、図6に示す「SECURED」の文字のように明示的に示すことで、セキュアモードの状態であることをユーザに対して視覚的に分かり易く知らせることができる。
電源部36は、主に情報処理部2の電源であり、バッテリ37に蓄積された電力の供給を受けて、CPU21を含む情報処理部2の各部へ電源を供給する。CPU21は、電源部36を制御することで、情報処理部2を構成する一部又は全体の回路に対して電源供給を行ったり停止したりすることが可能である。電源部36の電源供給先としては、CPU21以外に、局所無線通信部22、広域無線通信部24、表示部29、タッチ入力検出部30、非接触型ICカードリーダライタ部43、接触型ICカードリーダ部44、磁気カードリーダ部35、LEDディスプレイ3の各部である。
以上の構成を含む決済端末装置1は、以下のような特徴を有する。
本実施形態では、情報処理部2は、表示部29とタッチ入力検出部30とにより構成されるタッチパネル10(図1及び図2参照)と、外部の接続先機器(例えば決済センタ50)との通信が可能な局所無線通信部22或いは広域無線通信部24とを含む。
近年、カードを用いた取引の決済として従来から使用されてきた磁気カードに、接触型ICカード、非接触型ICカード、電子マネーが加わり、カードを用いた取引の決済のスキームは多様化している。新たな決済のスキームの追加に伴って、決済端末装置1の開発費や価格は上昇する一方である。ここで、情報処理部2がスマートフォンやタブレット端末等の多数流通している民生用機器であれば、決済端末装置1自体の価格を安価にすることが可能となるので、決済端末装置1としての開発費の上昇は、最小限に抑えられる。
この場合、情報処理部2には、汎用OS(例えば図3に示すオペレーティングシステム(OS)SW0参照)がソフトウェアプラットフォームとして採用されている。従って、決済用のアプリケーション(決済アプリケーション)及びその他の業務に用いられるアプリケーション(以下、「業務アプリケーション」という)の開発プラットフォームが汎用化されるので、開発資産の再利用や流用は容易となる。また、情報処理部2の構成に民生用機器を用いることができれば、情報処理部2は、動画の録画及び再生がストレスなく可能な程度に高い演算処理能力を備えるため、決済アプリケーションと業務アプリケーションとを、ストレスなく柔軟に動作させることができる。
(決済端末装置のソフトウェア構成)
図3は、本実施形態の決済端末装置1のソフトウェア機能を主としたシステム構成の一例を具体的に示すブロック図である。図3では、決済端末装置1の情報処理部2のCPU21において実行される各動作がソフトウェアの機能ブロックとして示されている。具体的には、オペレーティングシステム(OS)SW0と、セキュア画面UIアプリケーションSW11と、タッチパネル入出力/実行制御部SW12と、暗号化処理部SW13と、タッチパネルドライバSW14と、ディスプレイドライバSW15と、ICカード入出力ドライバSW16と、ICカードリーダドライバSW17と、非セキュア/セキュアLED表示アプリケーションSW18と、非セキュア/セキュアLED表示ドライバSW19と、端末UI決済アプリケーションSW31と、ディスプレイドライバSW32と、センタ接続アプリケーションSW33との各機能がCPU21において実行(実装)される。なお、図3において、符号ST1〜ST7は、セキュアな実行環境において、タッチパネル10により入力されたPIN情報に関する処理の手順を示す。
本実施形態の決済端末装置1は、オペレーティングシステム(OS)SW0において、仮想化アプリケーションを用いることで、決済端末装置1のハードウェアHW0に対し、セキュアな実行環境SW1と非セキュアな実行環境SW3とを別個に提供する。
セキュアな実行環境SW1には、セキュア画面UIアプリケーションSW11と、タッチパネル入出力/実行制御部SW12と、暗号化処理部SW13と、タッチパネルドライバSW14と、ディスプレイドライバSW15と、ICカード入出力ドライバSW16と、ICカードリーダドライバSW17と、非セキュア/セキュアLED表示アプリケーションSW18と、非セキュア/セキュアLED表示ドライバSW19と、オペレーティングシステム(OS)SW0とが設けられる。
モード制御部の一例としてのオペレーティングシステム(OS)SW0は、決済端末装置1のセキュアモードの状態と非セキュアモードの状態とを区別して管理し、セキュアな実行環境及び非セキュアな実行環境を管理する基本ソフトウェアであり、例えばWindows(登録商標)又はLinux(登録商標)である。なお、各実施形態ではオペレーティングシステム(OS)SW0がセキュアモード及び非セキュアモードの各状態を区別して管理するとして説明するが、タッチパネル入出力/実行制御部SW12により管理されても良く、以下の各実施形態においても同様である。
ここで、セキュアモードとは、決済端末装置1が取り扱う情報又はデータとして、例えば決済端末装置1のタッチパネル10により入力された入力情報の情報セキュリティ(機密性、完全性、可用性)を担保可能な耐タンパ性を仮想的に与える状態である。従って、本実施形態では、セキュアモードの状態が継続していることをセキュアフラグによって示し、セキュアフラグが「True」である場合にはセキュアモードの状態であり、セキュアフラグが「False」である場合には非セキュアモードの状態である。
一方、非セキュアモードとは、決済端末装置1が取り扱う情報又はデータとして、例えば決済端末装置1のタッチパネル10により入力された入力情報の情報セキュリティ(機密性、完全性、可用性)を担保可能な耐タンパ性を仮想的に与えない状態である。従って、第2の実施形態では、非セキュアモードの状態が継続していることを非セキュアフラグによって示し、非セキュアフラグが「True」である場合には非セキュアモードの状態であり、非セキュアフラグが「False」である場合にはセキュアモードの状態である。
タッチパネルドライバSW14は、タッチパネル10の動作を制御し、タッチパネル10により入力された認証情報(例えば暗証番号であるPIN情報)を取得してタッチパネル入出力/実行制御部SW12に出力する。
タッチパネル入出力/実行制御部SW12は、オペレーティングシステム(OS)SW
から出力されたセキュアフラグ又は非セキュアフラグに応じて、タッチパネルドライバSW14から出力された認証情報の入出力の管理、及び当該PIN情報の入出力に関する動作の実行を制御する。タッチパネル入出力/実行制御部SW12は、セキュアフラグ又は非セキュアフラグに応じて、暗号化処理部SW13をアクティブ化したり非アクティブ化したりする。
具体的には、タッチパネル入出力/実行制御部SW12は、セキュアフラグが「False」(非セキュアフラグが「True」)である場合には、暗号化処理部SW13を非アクティブ化し、セキュアフラグが「True」(非セキュアフラグが「False」)である場合には、暗号化処理部SW13をアクティブ化する。
タッチパネル入出力/実行制御部SW12は、タッチパネルドライバSW14から出力されたPIN情報とICカードに登録されたPIN情報とを照合し、照合の結果、両者が一致すると判断した場合に、セキュアモードであればPIN情報を暗号化処理部SW13を出力し、PIN情報を暗号化処理部SW13に暗号化させる。
一方、タッチパネル入出力/実行制御部SW12は、タッチパネルドライバSW14から出力されたPIN情報とICカードに登録されたPIN情報とが一致すると判断した場合でも、非セキュアモードであればPIN情報の暗号化を実行させない。また、タッチパネル入出力/実行制御部SW12は、PIN情報をユーザに対して入力を促す旨のメッセージの表示をセキュア画面UIアプリケーションSW11に指示する。
暗号化部の一例としての暗号化処理部SW13は、決済センタ50において復号可能な暗号鍵を所持しており、この暗号鍵を用いて、タッチパネル入出力/実行制御部SW12から出力されたPIN情報を暗号化してタッチパネル入出力/実行制御部SW12に出力する。なお、暗号化処理には、決済センタ50と同じ鍵を用いた共通鍵方式による暗号化でも良いし、暗号化処理部SW13及び決済センタ50が各自の秘密鍵を所持し、かつ相手の公開鍵を所持する公開鍵暗号方式による暗号化でも良い。
セキュア画面UIアプリケーションSW11は、タッチパネル入出力/実行制御部SW12からの指示に応じて、セキュアな情報が入力される表示画面をタッチパネル10に表示する。具体的には、セキュア画面UIアプリケーションSW11は、PIN情報の入力をユーザに対して促すためのメッセージを表示し、入力されるPIN情報を隠すためにアスタリスク(*)を桁単位で表示し、又は決済処理を中止した旨のメッセージを表示する。
ディスプレイドライバSW15は、タッチパネル10を構成する表示部29の動作を制御し、例えばタッチパネル入出力/実行制御部SW12やセキュア画面UIアプリケーションSW11から出力された文字若しくは画像のデータを取得して表示部29に表示させる。
ICカードリーダドライバSW17は、接触型ICカードリーダ部44や非接触型ICカードリーダライタ部43の動作を制御し、読み取られたカード情報をICカード入出力ドライバSW16に渡す。このICカードリーダドライバSW17は、非接触型ICカードリーダライタ部43及び接触型ICカードリーダ部44のそれぞれに対して、独立した個別のカードリーダドライバが実装されてもよい。
ICカード入出力ドライバSW16は、ICカードリーダドライバSW17から出力されたカード情報をタッチパネル入出力/実行制御部SW12に出力する。
非セキュア/セキュアLED表示アプリケーションSW18は、セキュアフラグ(本実施形態参照)又は非セキュアフラグ(第2の実施形態参照)に応じて、LEDディスプレイ3の複数のLED素子を点灯(オン)又は消灯(オフ)に設定する。
非セキュア/セキュアLED表示ドライバSW19は、LEDディスプレイ3の動作を制御し、非セキュア/セキュアLED表示アプリケーションSW18の設定に従って、LEDディスプレイ3の一つまたは複数のLED素子の点灯又は消灯を制御する。LEDディスプレイ3における「SECURED」の点灯/消灯は、セキュアな実行環境SW1の下で、非セキュア/セキュアLED表示アプリケーションSW18がタッチパネル入出力/実行制御部SW12からの指示を受けて、非セキュア/セキュアLED表示ドライバSW19を制御することにより行われる。
例えば、非セキュア/セキュアLED表示ドライバSW19は、セキュアフラグが「True」である場合には、セキュアモードである状態をユーザに対して明示的に知らせるために、LEDディスプレイ3を点灯させる(図6参照)。一方、非セキュア/セキュアLED表示ドライバSW19は、セキュアフラグが「False」である場合には、非セキュアモードである状態をユーザに対して明示的に知らせるために、LEDディスプレイ3を消灯させる(図1(A)参照)。
以上に述べた構成において重要なのは、非セキュア/セキュアの表示を行うLEDディスプレイ3の点灯/消灯の制御が、セキュアな実行環境SW1の下で行われる、ということである。セキュアモードの状態においては、セキュアモードであることがユーザに対して明示的に示される。従って、情報処理装置は、非セキュアな部分を有する場合でも、セキュアモードの状態において、ユーザは錯誤が少なく安心して、タッチパネル10への情報入力を行うことができる。それとともに情報処理装置は、ユーザの入力操作によりタッチパネル10に入力された入力情報に対する耐タンパ性を確保することができる。
次に、非セキュアな実行環境SW3には、端末UI決済アプリケーションSW31と、ディスプレイドライバSW32と、センタ接続アプリケーションSW33と、オペレーティングシステム(OS)SW0とが設けられる。
端末UI決済アプリケーションSW31は、オペレーティングシステム(OS)SW0からの指示に応じて、非セキュアな情報が入力される表示画面をタッチパネル10に表示する。例えば、端末UI決済アプリケーションSW31は、決済処理における各種の情報(決済関連情報)を表示させ、各種の入力操作を受け付ける。更に、端末UI決済アプリケーションSW31は、センタ接続アプリケーションSW33によって接続された決済センタ50と通信を行い、暗号化処理部SW13により生成された暗号化PIN情報又は暗号化されなかった平文の情報(例えば決済金額、支払方法)をオペレーティングシステム(OS)SW0から取得し、この暗号化PIN情報又は平文の情報を含む決済関連情報(暗号化PIN情報、カード情報(例えばICカードのカード発行会社、対応するブランド、カード番号)、売上処理情報(例えば決済金額、支払い方法)など)の送受信を、決済センタ50との間で行う。
ディスプレイドライバSW32は、タッチパネル10を構成する表示部29の動作を制御し、例えばタッチパネル入出力/実行制御部SW12や端末UI決済アプリケーションSW31から出力された決済画面、文字若しくは画像のデータを取得して表示部29に表示させる。
センタ接続アプリケーションSW33は、端末UI決済アプリケーションSW31から出力された決済関連情報のデータを、接続先機器である決済センタ50等に送信するように、局所無線通信部22又は広域無線通信部24に指示する。
決済端末装置1は、図3に示すソフトウェアの機能ブロックを有することにより、例えばユーザの入力操作に応じて、セキュアな実行環境において主体的に動作するセキュアモードと、非セキュアな実行環境において主体的に動作する非セキュアモードとを交互に切り替えて動作可能である。
(決済端末装置1の決済処理時における動作手順)
次に、本実施形態の決済端末装置1の決済処理時における動作について、図4及び図5を参照して説明する。図4は、第1の実施形態の決済端末装置1の決済処理時における第一の動作手順を詳細に説明するフローチャートである。図5は、第1の実施形態の決済端末装置の決済処理時における第二の動作手順を説明するフローチャートである。決済端末装置1は、情報処理部2(図1及び図2参照)にインストールされた端末UI決済アプリケーションSW31(図3参照)を実行させて、決済処理の手続を開始する。図4及び図5の説明の前提として、決済端末装置1は、非セキュアモードの状態とする。また、図5の説明では、図4の説明と異なる内容について説明し、同一の内容については同一のステップ番号を付して説明を簡略化又は省略する。
図4又は図5において、まず、オペレーティングシステムSW0は、非セキュアモードの状態であることを示すために、セキュアフラグを「False」に設定する(S1)。セキュアフラグが「False」に設定されると、LEDディスプレイ3の消灯動作が行われる(図5に示すステップS22参照)。
端末UI決済アプリケーションSW31は、決済金額情報及び支払方法の入力を受け付けると(S2)、カードの読取り操作を促すためのメッセージをタッチパネル10の画面(図1(A)参照)に表示させる(S3)。
ICカード入出力ドライバSW16は、ユーザのICカードのスリット5へのスライド、挿入口7への挿入又は決済端末装置1の前面9への近接のいずれかの操作により、ICカードを読み取るまで待機する(S4)。ICカードが読み取られると(S4、YES)、オペレーティングシステムSW0は、セキュアモードの状態に変更されたことを示すために、セキュアフラグを「True」に変更する(S5)。セキュアフラグが「True」に変更されると、LEDディスプレイ3の点灯動作が行われる(図5に示すステップS25参照)。
セキュア画面UIアプリケーションSW11は、タッチパネル10に対し、PIN情報の入力をユーザに対して促すためのメッセージと、ソフトウェアキーボードの一例としてのPINパッド64(図6参照)を表示する(S6、図3のST1、ST2参照)。
タッチパネル入出力/実行制御部SW12は、タッチパネルドライバSW14を介して、タッチパネル10により入力されたPIN情報を入力する(S7、図4のST3参照)。
PIN情報がタッチパネル入出力/実行制御部SW12に入力されると、オペレーティングシステムSW0は、非セキュアモードの状態に変更されたことを示すために、セキュアフラグを「False」に変更する(S8)。セキュアフラグが「False」に変更されると、LEDディスプレイ3の消灯動作が行われる(図5に示すステップS22参照)。LEDディスプレイ3Aにおける「SECURED」の点灯/消灯は、セキュアな実行環境SW1の下で、非セキュア/セキュアLED表示アプリケーションSW18がタッチパネル入出力/実行制御部SW12からの指示を受けて、非セキュア/セキュアLED表示ドライバSW19を制御することにより行われる。
図4に示すPIN照合が必要な決済処理時における第一の動作手順において、ステップS7において入力されたPIN情報は、ステップS4において読み取りを行ったICカード(不図示)が復号可能な鍵によって暗号化されてもよい(S9)。ステップS7においてタッチパネル10により入力されたPIN情報は、暗号化処理部SW13に出力され、暗号化処理部SW13により暗号化されてもよい。又は、このようなPIN情報の暗号化は、暗号化処理部SW13とは別に設けられた不図示の暗号化処理部により行われてもよい。そして、暗号化処理部SW13又は不図示の暗号化処理部により暗号化されたPIN情報(暗号化PIN情報)は、タッチパネル入出力/実行制御部SW12に出力されてもよい。
タッチパネル入出力/実行制御部SW12は、PIN情報又は暗号化PIN情報を、ICカード入出力ドライバSW16及びICカードリーダドライバSW17を介して、ICカードに渡す(S10)。
ICカードは、タッチパネル入出力/実行制御部SW12より得られたPIN情報又は暗号化PIN情報を復号したデータとICカードに予め登録されているPIN情報とを照合し、それらのPINの照合結果を出力する(S11)。タッチパネル入出力/実行制御部SW12は、ICカードから出力されたPINの照合結果を、ICカードリーダドライバSW17及びICカード入出力ドライバSW16を介して入力する。
タッチパネル入出力/実行制御部SW12は、ステップS7において入力されたPIN情報とステップS4において読み取られたICカードに登録されたPIN情報とが一致するという照合結果がICカードから得られれば、オペレーティングシステムSW0を介して、非セキュアな実行環境SW3上にある端末UI決済アプリケーションSW31に対して、その後の決済処理としての売上処理を指示する(S12、図3のST7参照)。
非セキュアな実行環境SW3において、端末UI決済アプリケーションSW31は、ステップS7において入力されたPIN情報とステップS4において読み取られたICカードに登録されたPIN情報とが一致するという照合結果が得られれば、その後の決済処理としての売上処理を行う。売上処理後の売上処理データは、センタ接続アプリケーションSW33を介して、決済センタ50へと送信される。なお、ステップS12に示す売上処理データの売上処理は、顧客が商品を購入した場合又は役務の提供を受けた場合に都度、実行されても良いし、決済端末装置1と決済センタ50との通信が所定のタイミング(例えば1週間に1回)において行われ、その際に他の売上処理データとともに一括で処理されても良い。
一方、タッチパネル入出力/実行制御部SW12は、ステップS11におけるPIN情報の照合の結果、両者が一致しないと判断した場合には、セキュア画面UIアプリケーションSW11に対し、タッチパネル10に決済処理を中止する旨のメッセージの表示を実行させる(S13)。タッチパネル入出力/実行制御部SW12は端末UI決済アプリケーションSW31に対して売上処理を指示せず、その後の決済処理の手続は中止される。
図5に示すPIN照合が必要な決済処理時における第二の動作手順において、タッチパネル入出力/実行制御部SW12は、ステップS7においてタッチパネル10により入力されたPIN情報を暗号化処理部SW13に出力し、PIN情報を暗号化処理部SW13に暗号化させる。
暗号化処理部SW13は、決済センタ50(若しくはアクワイアラ、以下同じ)において復号可能な暗号鍵を用いて、タッチパネル入出力/実行制御部SW12から出力されたPIN情報を暗号化してタッチパネル入出力/実行制御部SW12に出力する(S9A、図3のST5、ST6参照)。タッチパネル入出力/実行制御部SW12は、暗号化PIN情報(暗号化入力PIN)を、オペレーティングシステムSW0を介して、非セキュアな実行環境SW3(非セキュアVM)上の端末UI決済アプリケーションSW31に渡す(S10A、図3のST7参照)。
非セキュアな実行環境SW3において、端末UI決済アプリケーションSW31は、センタ接続アプリケーションSW33を介して決済センタ50と通信し、ステップS9Aにおいて生成された暗号化PIN情報を送信し、ステップS4において読み取られたカードのカード情報を用いた与信照会を行う(S11A)。
決済センタ50は、決済端末装置1の端末UI決済アプリケーションSW31から受信したPIN情報を復号し、決済センタ50において管理されているPIN情報と復号されたPINとを照合する。これら2つのPIN情報が一致し、かつ照合対象のカードが取引上問題無いと確認された(例えばブラックリストに載っていない)場合(S11A、YES)、決済センタ50は、決済端末装置1のセンタ接続アプリケーションSW33を介して、端末UI決済アプリケーションSW31に対して与信を行う。
決済端末装置1の端末UI決済アプリケーションSW31は、ステップS11Aにおける決済センタ50の与信を受けて、その後の決済処理としての売上処理を行い(S12)、決済センタ50との通信を終了する。なお、ステップS12に示す売上処理データの売上処理は、顧客が商品を購入した場合又は役務の提供を受けた場合に都度実行されても良いし、決済端末装置1と決済センタ50との通信が所定のタイミング(例えば1週間に1回)において行われ、その際に他の売上処理データとともに一括で処理されても良い。
一方、暗号化PIN情報の照合又はカード情報を用いた与信照会が失敗した旨が決済センタ50から返信された場合には(S11A、NO)、端末UI決済アプリケーションSW31は、決済処理を中止する旨のメッセージの表示を指示する。タッチパネル入出力/実行制御部SW12は、セキュア画面UIアプリケーションSW11に対し、タッチパネル10に決済処理を中止する旨のメッセージの表示を実行させる(S13)。タッチパネル入出力/実行制御部SW12は端末UI決済アプリケーションSW31に対して売上処理を指示せず、その後の決済処理の手続は中止される。
なお、図4のステップS9又は図5のステップS9Aにおいて暗号化処理部SW13における暗号化処理は、ステップS7とステップS8との間のタイミングに実行されても良い。
次に、本実施形態の決済端末装置1におけるLEDディスプレイ3の点灯・消灯動作手順について、図6を参照して説明する。図6は、LEDディスプレイ3の点灯・消灯動作手順を説明するフローチャートである。図6の説明の前提として、決済端末装置1は、非セキュアモードの状態とする。
図6において、タッチパネル入出力/実行制御部SW12は、非セキュアモードの状態である場合には、暗号化処理部SW13を非アクティブ化し(S21)、非セキュア/セキュアLED表示アプリケーションSW18に対し、LEDディスプレイ3の消灯を指示する。非セキュア/セキュアLED表示アプリケーションSW18は、タッチパネル入出力/実行制御部SW12からの指示に応じて、LEDディスプレイ3を消灯に設定し、非セキュア/セキュアLED表示ドライバSW19に対し、LEDディスプレイ3の消灯を指示する(S22)。これにより、LEDディスプレイ3は消灯し、図1(A)に示すように、「SECURED」の文字は点灯しない。
この後、オペレーティングシステム(OS)SW0又はタッチパネル入出力/実行制御部SW12は、セキュアフラグが「True」に変更されたか否かを判別する(S23)。なお、セキュアフラグの変更は、オペレーティングシステム(OS)SW0又はタッチパネル入出力/実行制御部SW12によって、例えばユーザの入力操作に応じて変更されても良いし、所定のタイミング(例えばPIN情報が入力されるタイミング、PIN情報の入力が完了したタイミング)に変更されても良い。
セキュアフラグが「False」である場合には(S23、NO)、タッチパネル入出力/実行制御部SW12は、暗号化処理部SW13の非アクティブ化を継続する。このため、LEDディスプレイ3の消灯した状態が維持される。
一方、セキュアフラグが「True」に変更された場合には(S23、YES)、タッチパネル入出力/実行制御部SW12は、暗号化処理部SW13をアクティブ化し(S24)、非セキュア/セキュアLED表示アプリケーションSW18に対し、LEDディスプレイ3の点灯を指示する。非セキュア/セキュアLED表示アプリケーションSW18は、タッチパネル入出力/実行制御部SW12からの指示に応じて、LEDディスプレイ3を点灯に設定し、非セキュア/セキュアLED表示ドライバSW19に対し、LEDディスプレイ3の点灯を指示する(S25)。これにより、LEDディスプレイ3は点灯し、図7に示すように、「SECURED」の文字が点灯する。
この後、オペレーティングシステムSW0又はタッチパネル入出力/実行制御部SW12は、セキュアフラグが「False」であるか否かを判別する(S26)。セキュアフラグが「True」である場合には(S26、NO)、ステップS24〜S26の動作が繰り返され、一方、セキュアフラグが「False」に変更された場合には(S26、YES)、ステップS21以降の動作に戻る。
なお、本実施形態では、図6に示す点灯・消灯動作の処理は、図4又は図5に示す処理とは別ルーチンで繰り返し実行されるが、図4又は図5のステップS1でセキュアフラグが設定されたことや、ステップS5、S8でセキュアフラグが変更されたことをトリガとして実行されても良い。
図7は、セキュアモードにおける決済端末装置1の外観を示す正面図である。セキュアモードの状態である場合には、「SECURED」の文字を点灯するための複数のLED素子を含むLEDディスプレイ3Aが点灯する。
図4又は図5に示すステップS6に対応したPIN情報の入力を促すためのメッセージとして、図7に示すタッチパネル10には、「暗証番号を入力して下さい。」の文字61と、入力された暗証番号(PIN)が表示される入力ボックス62と、矢印マーク63と、暗証番号(PIN)を入力させるためのソフトウェアキーボードであるPINパッド64とが表示される。また、図4又は図5に示すステップS7において、PIN情報が入力されると、タッチパネル10に表示された入力ボックス62には、入力の度にアスタリスク「*」が表示される。
以上に述べた構成において重要なのは、非セキュア/セキュアの表示を行うLEDディスプレイ3の点灯/消灯の制御が、セキュアな実行環境SW1の下で行われる、ということである。セキュアモードの状態においては、セキュアモードであることがユーザに対して明示的に示される。従って、決済端末装置1(情報処理装置)は、非セキュアな部分を有する場合でも、セキュアモードの状態において、ユーザは錯誤が少なく安心して、タッチパネル10への情報入力を行うことができる。それとともに決済端末装置1(情報処理装置)は、ユーザの入力操作によりタッチパネル10に入力された入力情報に対する耐タンパ性を確保することができる。
以上により、第1の実施形態の決済端末装置1は、セキュアフラグの「True」と「False」とによってセキュアモードであるか非セキュアモードであるかを明確に区別して管理し、セキュアモードの状態では、セキュアモードであることをユーザに対して視覚的に分かり易く知らせることができ、更に、タッチパネル10により入力されたPIN情報を暗号化するので、特許文献2のようにタッチパネルを特別な構造とすることなく、入力されたPIN情報のセキュリティを的確に確保することができる。従って、本実施形態の決済端末装置1は、PIN等の認証情報がユーザによって錯誤少なく安心感を持って入力され、タッチパネル10により入力されたPIN情報のセキュリティを担保するための耐タンパ性を確保することができる。そして情報処理装置は、安全に決済処理を実行することができる。
また、本実施形態の決済端末装置1は、セキュアモードから非セキュアモードに変更された場合には、セキュアモードであることを示すための報知(LEDディスプレイ3の点灯)を中止するので、非セキュアモードに変更されたことをユーザに対して容易に知らせることができる。
(第1の実施形態の変形例)
第1の実施形態の変形例の決済端末装置1Aは、LEDディスプレイ3の構成を有さず、LEDディスプレイ3の代わりに、タッチパネル10に対してセキュアモードの状態であることを示す画像を表示する。
図8は、第1の実施形態の変形例のセキュアモードにおける決済端末装置1Aの外観を示す正面図である。図7と図8との違いは、ユーザがPIN情報を入力する場合に、LEDディスプレイ3によりセキュアモードの状態が示されるのではなく、タッチパネル10に、セキュアモードの状態であることを示す「SECURED」の文字を含むセキュア画像71が表示されることである。「SECURED」のタッチパネル10への表示/非表示は、セキュアな実行環境SW1の下で、非セキュア/セキュアLED表示アプリケーションSW18がタッチパネル入出力/実行制御部SW12からの指示を受けて、ディスプレイドライバSW15を制御することにより行われる。
図9は、非セキュアモードにおける決済端末装置1Aの外観を示す正面図である。非セキュアモードの状態では、図8のようにセキュア画像71は表示されず、ICカードの読み取りをユーザに対して促す場合には、図1(A)と比べて、「カードの読み取りを行って下さい。」の文字73が表示されるだけである。
このように、第1の実施形態の変形例では、決済端末装置1Aは、タッチパネル10にセキュア画像71を表示することで、ユーザに対してセキュアモードの状態であることを視覚的に分かり易く示すことができる。
以上に述べた構成において重要なのは、非セキュア/セキュアの表示を行うタッチパネル10の表示制御が、セキュアな実行環境SW1の下で行われる、ということである。セキュアモードの状態においては、セキュアモードであることがユーザに対して明示的に示される。従って、決済端末装置1A(情報処理装置)は、非セキュアな部分を有する場合でも、セキュアモードの状態において、ユーザは錯誤が少なく安心して、タッチパネル10への情報入力を行うことができる。それとともに決済端末装置1A(情報処理装置)は、ユーザの入力操作によりタッチパネル10に入力された入力情報に対する耐タンパ性を確保することができる。
(第2の実施形態)
上述した第1の実施形態では、決済端末装置1は、図7に示す「SECURED」の文字を点灯するための複数のLED素子を含むLEDディスプレイを点灯することで、セキュアモードの状態であることを視覚的に分かり易く示した。
第2の実施形態では、決済端末装置1Bは、「NON−SECURED」の文字を点灯するための複数のLED素子を含むLEDディスプレイ3Aを点灯することで、非セキュアモードの状態であることを視覚的に分かり易く示す場合について説明する。
また、第2の実施形態の決済端末装置1Bは第1の実施形態の決済端末装置1とほぼ同一の構成を有するので、第1の実施形態の決済端末装置1と同一の構成要素については同一の符号を用いることで、説明を簡略化又は省略し、異なる内容について説明する。
図10は、第2の実施形態の決済端末装置1Bの外観を示す正面図である。第2の実施形態では、決済端末装置1Bの前面9の上部には、LEDディスプレイ3Aが配置されている。LEDディスプレイ3Aは、決済端末装置1Bが非セキュアモードである場合に、「NON−SECURED」の文字を点灯するための複数のLED素子を含む。また、RAM33には、上述した非セキュアフラグが割り当てられている。
(決済端末装置1Bの決済処理時における動作手順)
次に、本実施形態の決済端末装置1Bの決済処理時における動作について、図11及び図12を参照して説明する。図11は、第2の実施形態の決済端末装置1Bの決済処理時における第一の動作手順を説明するフローチャートである。図12は、第2の実施形態の決済端末装置1Bの決済処理時における第二の動作手順を説明するフローチャートである。図11又は図12に示すフローチャートの説明では、第1の実施形態の決済端末装置1に対応する図4又は図5に示すフローチャートの説明と同一の内容については同一のステップ番号を付して説明を簡略化又は省略し、異なる内容について説明する。図11及び図12の説明の前提として、決済端末装置1Bは、非セキュアモードの状態とする。
図11又は図12において、まず、オペレーティングシステムSW0は、非セキュアモードの状態であることを示すために、非セキュアフラグを「True」に設定する(S1A)。非セキュアフラグが「True」に設定されると、LEDディスプレイ3Aの点灯動作が行われる(図13に示すステップS22A参照)。
また、ステップS4においてICカードが読み取られると(S4、YES)、オペレーティングシステムSW0は、セキュアモードの状態に変更されたことを示すために、非セキュアフラグを「False」に変更する(S5A)。非セキュアフラグが「False」に変更されると、LEDディスプレイ3Aの消灯動作が行われる(図13に示すステップS25A参照)。
また、ステップS7でPIN情報がタッチパネル入出力/実行制御部SW12に入力されると、オペレーティングシステムSW0は、非セキュアモードの状態に変更されたことを示すために、非セキュアフラグを「True」に変更する(S8A)。非セキュアフラグが「True」に変更されると、LEDディスプレイ3Aの点灯動作が行われる(図13に示すステップS22A参照)。LEDディスプレイ3Aにおける「NON−SECURED」の点灯/消灯は、セキュアな実行環境SW1の下で、非セキュア/セキュアLED表示アプリケーションSW18がタッチパネル入出力/実行制御部SW12からの指示を受けて、非セキュア/セキュアLED表示ドライバSW19を制御することにより行われる。
次に、本実施形態の決済端末装置1BにおけるLEDディスプレイ3Aの点灯・消灯動作手順について、図13を参照して説明する。図13は、LEDディスプレイ3Aの点灯・消灯動作手順を説明するフローチャートである。図13に示すフローチャートの説明では、第1の実施形態の決済端末装置1に対応する図6に示すフローチャートの説明と同一の内容については同一のステップ番号を付して説明を簡略化又は省略し、異なる内容について説明する。図13の説明の前提として、決済端末装置1Bは、非セキュアモードの状態とする。
図13において、タッチパネル入出力/実行制御部SW12は、非セキュアモードの状態である場合には、暗号化処理部SW13を非アクティブ化し(S21)、非セキュア/セキュアLED表示アプリケーションSW18に対し、LEDディスプレイ3Aの点灯を指示する。非セキュア/セキュアLED表示アプリケーションSW18は、タッチパネル入出力/実行制御部SW12からの指示に応じて、LEDディスプレイ3Aを点灯に設定し、非セキュア/セキュアLED表示ドライバSW19に対し、LEDディスプレイ3Aの点灯を指示する(S22A)。これにより、LEDディスプレイ3Aは点灯し、図10に示すように、「NON−SECURED」の文字が点灯する。
この後、オペレーティングシステムSW0又はタッチパネル入出力/実行制御部SW12は、非セキュアフラグが「False」に変更されたか否かを判別する(S23A)。なお、非セキュアフラグの変更は、オペレーティングシステム(OS)SW0又はタッチパネル入出力/実行制御部SW12によって、例えばユーザの入力操作に応じて変更されても良いし、所定のタイミング(例えばPIN情報が入力されるタイミング、PIN情報の入力が完了したタイミング)に変更されても良い。
非セキュアフラグが「True」である場合には(S23A、NO)、タッチパネル入出力/実行制御部SW12は、暗号化処理部SW13の非アクティブ化を継続する。このため、LEDディスプレイ3Aの点灯した状態が維持される。
一方、非セキュアフラグが「False」に変更された場合には(S23A、YES)、タッチパネル入出力/実行制御部SW12は、暗号化処理部SW13をアクティブ化し(S24)、非セキュア/セキュアLED表示アプリケーションSW18に対し、LEDディスプレイ3Aの消灯を指示する。非セキュア/セキュアLED表示アプリケーションSW18は、タッチパネル入出力/実行制御部SW12からの指示に応じて、LEDディスプレイ3Aを消灯に設定し、非セキュア/セキュアLED表示ドライバSW19に対し、LEDディスプレイ3Aの消灯を指示する(S25A)。これにより、LEDディスプレイ3は点灯し、図7に示すように、「SECURED」の文字が点灯する。
この後、オペレーティングシステムSW0又はタッチパネル入出力/実行制御部SW12は、非セキュアフラグが「True」であるか否かを判別する(S26A)。非セキュアフラグが「False」である場合には(S26A、NO)、ステップS24〜S26Aの動作が繰り返され、一方、非セキュアフラグが「True」に変更された場合には(S26A、YES)、ステップS21以降の動作に戻る。
なお、本実施形態では、図13に示す点灯・消灯動作の処理は、図11に示す処理とは別ルーチンで繰り返し実行されるが、図11のステップS1Aで非セキュアフラグが設定されたことや、ステップS5A、S8Aで非セキュアフラグが変更されたことをトリガとして実行されても良い。
図14は、セキュアモードにおける決済端末装置1Bの外観を示す正面図である。セキュアモードの状態である場合には、「NON−SECURED」の文字を点灯するための複数のLED素子を含むLEDディスプレイ3Aが消灯する。
図11に示すステップS6に対応したPIN情報の入力を促すためのメッセージとして、図14に示すタッチパネル10には、「暗証番号を入力して下さい。」の文字61と、入力された暗証番号(PIN)が表示される入力ボックス62と、矢印マーク63と、暗証番号(PIN)を入力させるためのソフトウェアキーボードであるPINパッド64とが表示される。また、図11に示すステップS7において、PIN情報が入力されると、タッチパネル10に表示された入力ボックス62には、入力の度にアスタリスク「*」が表示される。
以上に述べた構成において重要なのは、非セキュア/セキュアの表示を行うLEDディスプレイ3の点灯/消灯の制御が、セキュアな実行環境SW1の下で行われる、ということである。非セキュアモードの状態においては、非セキュアモードであることがユーザに対して明示的に示される。従って、決済端末装置1B(情報処理装置)は、非セキュアな部分を有する場合でも、セキュアモードの状態において、ユーザは錯誤が少なく安心して、タッチパネル10への情報入力を行うことができる。それとともに決済端末装置1B(情報処理装置)は、ユーザの入力操作によりタッチパネル10に入力された入力情報に対する耐タンパ性を確保することができる。
以上により、第2の実施形態の決済端末装置1Bは、非セキュアフラグの「True」と「False」とによって非セキュアモードであるかセキュアモードであるかを明確に区別して管理し、非セキュアモードの状態では、非セキュアモードであることをユーザに対して視覚的に分かり易く知らせることができ、更に、タッチパネル10により入力されたPIN情報の暗号化を実行せず、セキュアモードの状態である場合に暗号化を実行する。これにより、決済端末装置1Bは、タッチパネルの構造の複雑化を最小限に抑制することができ、タッチパネル10により入力されたPIN情報のセキュリティを担保するための耐タンパ性を確保することができる。
また、本実施形態の決済端末装置1Bは、非セキュアモードからセキュアモードに変更された場合には、非セキュアモードであることを示すための報知(LEDディスプレイ3Aの点灯)を中止するので、セキュアモードに変更されたことをユーザに対して容易に知らせることができる。
(第2の実施形態の変形例)
第2の実施形態の変形例の決済端末装置1Cは、LEDディスプレイ3Aの構成を有さず、LEDディスプレイ3Aの代わりに、タッチパネル10に対して非セキュアモードの状態であることを表す画像を表示する。
図15は、第2の実施形態の変形例の非セキュアモードにおける決済端末装置1Cの外観を示す正面図である。図10と図15との違いは、決済端末装置1Cがユーザに対してICカードの読み取りを促すためのメッセージを表示する場合等に、LEDディスプレイ3Aにより非セキュアモードの状態が示されるのではなく、タッチパネル10に、非セキュアモードの状態であることを示す「NON−SECURED」の文字を含む非セキュア画像76が表示されることである。「NON−SECURED」のタッチパネル10への表示/非表示は、セキュアな実行環境SW1の下で、非セキュア/セキュアLED表示アプリケーションSW18がタッチパネル入出力/実行制御部SW12からの指示を受けて、ディスプレイドライバSW15を制御することにより行われる。
図16は、セキュアモードにおける決済端末装置1Cの外観を示す正面図である。セキュアモードの状態では、PIN情報が入力される場合に、非セキュア画像76は表示されない。
このように、第2の実施形態の変形例では、決済端末装置1Cは、タッチパネル10に非セキュア画像76を表示することで、ユーザに対して非セキュアモードの状態であることを視覚的に分かり易く示すことができる。
以上に述べた構成において重要なのは、非セキュア/セキュアの表示を行うタッチパネル10の表示制御が、セキュアな実行環境SW1の下で行われる、ということである。非セキュアモードの状態においては、非セキュアモードであることがユーザに対して明示的に示される。従って、決済端末装置1C(情報処理装置)は、非セキュアな部分を有する場合でも、セキュアモードの状態において、ユーザは錯誤が少なく安心して、タッチパネル10への情報入力を行うことができる。それとともに決済端末装置1C(情報処理装置)は、ユーザの入力操作によりタッチパネル10に入力された入力情報に対する耐タンパ性を確保することができる。
以上、図面を参照しながら各種の実施形態について説明したが、本発明はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
例えば、上記実施形態では、ホストOSと仮想化アプリケーションを組み合わせてセキュアな環境及び非セキュアな環境を実現したが、この代わりに、仮想化ハイパーバイザ(仮想化マシンモニタ)を用いてセキュアな実行環境及び非セキュア実行環境を実現するようにしてもよい。
本発明は、決済端末装置の他、銀行のATM装置等、各種のセキュアな入力を必要とする装置に適用可能である。
本発明は、例えば決済処理において使用され、構造の複雑化を最小限に抑制し、非セキュアな部分を有する場合でも、情報セキュリティを担保するための耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる情報端末装置及び情報処理方法として有用である。
1、1A、1B、1C 決済端末装置
2 情報処理部
3、3A LEDディスプレイ
10 タッチパネル
21 CPU
22 局所無線通信部
23 局所無線通信アンテナ
24 広域無線通信部
25 広域無線通信アンテナ
26 音声入出力部
27 マイク
28 スピーカ
29 表示部
30 タッチ入力検出部
32 フラッシュROM
33 RAM
35 磁気カードリーダ部
36 電源部
37 バッテリ
38 ループアンテナ
43 非接触型ICカードリーダライタ部
44 接触型ICカードリーダ部
50 決済センタ
SW0 オペレーティングシステム(OS)
SW1 セキュアな実行環境
SW3 非セキュアな実行環境
SW11 セキュア画面UIアプリケーション
SW12 タッチパネル入出力/実行制御部
SW13 暗号化処理部
SW14 タッチパネルドライバ
SW15 ディスプレイドライバ
SW16 ICカード入出力ドライバ
SW17 ICカードリーダドライバ
SW18 非セキュア/セキュアLED表示アプリケーション
SW19 非セキュア/セキュアLED表示ドライラバ
SW31 端末UI決済アプリケーション
SW32 ディスプレイドライバ
SW33 センタ接続アプリケーション
本発明は、取引における決済処理の手続を行うために使用される決済端末装置に関する。
本発明は、上述した従来の問題を解決するために、非セキュアな部分を有する場合でも、情報セキュリティを担保するための耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる決済端末装置を提供することを目的とする。
本発明は、筐体に収容され、非セキュアな第1の実行環境において決済に関する金額等を表示する表示部と、セキュアな第2の実行環境において本人確認のための認証情報が入力される入力部とを含む情報処理部と、セキュアモード状態を報知する報知部と、前記セキュアな第2の実行環境に設けられ、前記報知部を制御する報知制御部と、を備え、前記報知制御部は、決済処理開始時においては前記報知部にセキュアモード状態であることを報知させず、その後少なくとも前記入力部に前記認証情報が入力されるまでに、前記報知部にセキュアモード状態を報知させる決済端末装置である。
この構成では、決済端末装置は、非セキュアな第1の実行環境において決済に関する金額等を表示部において表示し、セキュアな第2の実行環境において本人確認のための認証情報が入力部において入力され、セキュアモード状態を報知する。また、報知部の動作を制御する報知制御部は、セキュアな第2の実行環境に設けられる。報知制御部は、決済処理開始時においてはセキュアモード状態であることを報知部に報知させず、その後少なくとも認証情報が入力部に入力されるまでに、セキュアモード状態を報知部に報知させる。
これにより、決済端末装置は、セキュアモード状態又は非セキュアモード状態のいずれかを報知する動作をセキュアな実行環境において制御できるので、非セキュアな実行環境を提供する場合でも、情報セキュリティを担保するための耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる。
これにより、決済端末装置は、セキュアな実行環境において、2次元表示部の動作を制御できるので、ユーザに対して、2次元表示部に表示された情報又はデータの信憑性を向上できる。
これにより、決済端末装置は、セキュアな実行環境において、セキュアモード状態であるのか又は非セキュアモード状態であるのかの報知を制御できるので、ユーザの錯誤が少なく安心して認証処理、決済処理等を実行できる。
この構成では、決済端末装置は、セキュアモードの状態と非セキュアモードの状態とを区別して制御するとともにどちらかの状態をユーザに対して報知し、セキュアモードの状態である場合には、タッチパネルにより入力された入力情報を暗号化することで生成した暗号化入力情報を用いた決済処理を、決済処理部に実行させる。
これにより、決済端末装置は、セキュアモードの状態では、セキュアモードの状態であることがユーザに対して明示的に示すことができ、更に、タッチパネルの構造を複雑化することなく、タッチパネルにより入力された入力情報(例えばPIN情報)の暗号化により生成した暗号化入力情報を用いて決済先装置と決済処理を実行できる。従って、決済端末装置は、非セキュアな部分を有する場合でも、セキュアモードの状態である場合には、ユーザの入力操作によりタッチパネルに入力された入力情報に対する耐タンパ性を確保した上で、ユーザの錯誤が少なく安心して、安全に決済処理を実行することができる。
この構成では、決済端末装置は、セキュアモードの状態と非セキュアモードの状態とを区別して制御するとともにどちらかの状態をユーザに対して報知する。
これにより、決済端末装置は、非セキュアモードの状態では、非セキュアモードの状態であることがユーザに対して明示的に示すことができ、PIN等の認証情報がユーザによって錯誤少なく安心感を持って入力され、安全に決済先装置と決済処理を実行できる。
また、本発明は、前記報知制御部は、前記セキュアモード状態から前記非セキュアモード状態に変更された場合に、前記セキュアモードの状態の報知を終了する、決済端末装置である。
この構成では、決済端末装置は、セキュアモード状態から非セキュアモード状態に変更された場合には、セキュアモード状態の報知を終了する。
これにより、決済端末装置は、セキュアモードから非セキュアモードに変更された場合、非セキュアモードに変更されたことをユーザに容易に知らせることができる。
また、本発明は、筐体に収容され、非セキュアな第1の実行環境において決済に関する金額等を表示する表示部と、セキュアな第2の実行環境において本人確認のための認証情報が入力される入力部とを含む情報処理部と、非セキュアモード状態を報知する報知部と、前記セキュアな実行環境を有する前記第2の情報処理部に設けられ、前記報知部を制御する報知制御部と、を備え、前記報知制御部は、決済処理開始時においては前記報知部に非セキュアモード状態であることを報知させ、その後少なくとも前記入力部に前記認証情報が入力されるまでに、前記報知部に非セキュアモード状態の報知を終了させる、決済端末装置である。また、本発明は、前記報知制御部は、前記セキュアモード状態から前記セキュアモード状態に変更された場合に、前記非セキュアモード状態の報知を開始する、決済端末装置である。
この構成では、決済端末装置は、非セキュアな第1の実行環境において決済に関する金額等を表示部において表示し、セキュアな第2の実行環境において本人確認のための認証情報が入力部において入力され、非セキュアモード状態を報知する。また、報知部の動作を制御する報知制御部は、セキュアな第2の実行環境に設けられる。報知制御部は、決済処理開始時においては非セキュアモード状態であることを報知部に報知させ、その後少なくとも認証情報が入力部に入力されるまでに、非セキュアモード状態の報知を報知部に終了させる。また、決済端末装置、セキュアモード状態からセキュアモード状態に変更された場合には、非セキュアモード状態の報知を開始する。
これにより、決済端末装置は、非セキュアモードからセキュアモードに変更された場合、非セキュアモードに変更されたことをユーザに容易に知らせることができる。
また、本発明は、前記報知部は、前記セキュアモード状態又は前記非セキュアモード状態を、LEDの点灯又は画面表示により報知する、決済端末装置である。
この構成により、決済端末装置は、セキュアモード又は非セキュアモードの状態を、ユーザに対して視覚的に分かり易く知らせることができる。
本発明は、筐体に収容され、決済に関する金額等を表示部において表示するとともに、ソフトウェアプラットフォームとしての汎用オペレーティングシステムの下で決済アプリケーション及びその他の業務アプリケーションを実行可能な、非セキュアな第1の実行環境と、決済に用いられるカードが正当な者によって保有されているか否かを示す認証情報が入力部を介して入力される画面を表示する、セキュアな第2の実行環境とを有する情報処理部と、セキュアモード状態を報知する報知部と、前記セキュアな第2の実行環境に設けられ、前記報知部を制御する報知制御部と、を備え、前記報知制御部は、決済処理開始時においては前記報知部にセキュアモード状態であることを報知させず、その後少なくとも前記入力部に前記認証情報が入力されるまでに、前記報知部にセキュアモード状態を報知させる、決済端末装置である。
また、本発明は、筐体に収容され、決済に関する金額等を表示部において表示するとともに、ソフトウェアプラットフォームとしての汎用オペレーティングシステムの下で決済アプリケーション及びその他の業務アプリケーションを実行可能な、非セキュアな第1の実行環境と、決済に用いられるカードが正当な者によって保有されているか否かを示す認証情報が入力部を介して入力される画面を表示する、セキュアな第2の実行環境とを有する情報処理部と、非セキュアモード状態を報知する報知部と、前記セキュアな実行環境を有する前記第2の情報処理部に設けられ、前記報知部を制御する報知制御部と、を備え、前記報知制御部は、決済処理開始時においては前記報知部に非セキュアモード状態であることを報知させ、その後少なくとも前記入力部に前記認証情報が入力されるまでに、前記報知部に非セキュアモード状態の報知を終了させる、決済端末装置である。また、本発明は、前記報知制御部は、前記セキュアモード状態から前記非セキュアモード状態に変更された場合に、前記非セキュアモード状態の報知を開始する、決済端末装置である。

Claims (10)

  1. 耐タンパ性を有するセキュアな実行環境と、
    耐タンパ性を有しない非セキュアな実行環境と、
    耐タンパ性を有するセキュアモード状態、又は耐タンパ性を有しない非セキュアモード状態を報知する報知部と、
    前記セキュアな実行環境に設けられ、前記報知部を制御する報知制御部と、を備える、
    情報処理装置。
  2. 請求項1に記載の情報処理装置であって、
    2次元表示部、を更に備え、
    前記2次元表示部は、前記セキュアな実行環境において制御される、
    情報処理装置。
  3. 請求項2に記載の情報処理装置であって、
    前記報知部は、前記2次元表示部において報知する、
    情報処理装置。
  4. タッチパネルと、
    耐タンパ性を有するセキュアモードの状態と、耐タンパ性を有しない非セキュアモードの状態とを制御するモード制御部と、
    前記タッチパネルにより入力された入力情報を暗号化する暗号化部と、
    前記セキュアモード又は前記非セキュアモードの状態を報知する報知部と、
    所定の決済先装置に対する決済処理を実行する決済処理部と、を備え、
    前記モード制御部は、
    前記セキュアモードである場合に、前記報知部に前記セキュアモードの状態を報知させ、前記暗号化部により生成された暗号化入力情報を用いた前記決済処理を前記決済処理部に実行させる、
    情報処理装置。
  5. タッチパネルと、
    耐タンパ性を有するセキュアモードの状態と、耐タンパ性を有しない非セキュアモードの状態とを制御するモード制御部と、
    前記タッチパネルにより入力された入力情報を暗号化する暗号化部と、
    前記セキュアモード又は前記非セキュアモードの状態を報知する報知部と、
    所定の決済先装置に対する決済処理を実行する決済処理部と、を備え、
    前記モード制御部は、
    前記非セキュアモードである場合に、前記報知部に前記非セキュアモードの状態を報知させ、前記入力情報を用いた前記決済処理を前記決済処理部に実行させる、
    情報処理装置。
  6. 請求項4に記載の情報処理装置であって、
    前記モード制御部は、
    前記セキュアモードから前記非セキュアモードに変更された場合に、前記セキュアモードの状態の報知を中止する、
    情報処理装置。
  7. 請求項5に記載の情報処理装置であって、
    前記モード制御部は、
    前記非セキュアモードから前記セキュアモードに変更された場合に、前記非セキュアモードの状態の報知を中止する、
    情報処理装置。
  8. 請求項4〜7のうちいずれか1項に記載の情報処理装置であって、
    前記報知部は、
    前記セキュアモード又は前記非セキュアモードの状態を、LEDの点灯又は画面表示により報知する、
    情報処理装置。
  9. タッチパネル及び決済処理部を含む情報処理装置における情報処理方法であって、
    耐タンパ性を有するセキュアモードと、耐タンパ性を有しない非セキュアモードとを制御するステップと、
    前記セキュアモード又は前記非セキュアモードの状態を報知するステップと、
    前記タッチパネルによる情報の入力を受け付けるステップと、
    前記セキュアモードである場合に、前記タッチパネルにより入力された入力情報を暗号化するステップと、
    前記暗号化により生成された暗号化入力情報を用いた決済処理を前記決済処理部に実行させるステップと、を有する、
    情報処理方法。
  10. タッチパネル及び決済処理部を含む情報処理装置における情報処理方法であって、
    耐タンパ性を有するセキュアモードと、耐タンパ性を有しない非セキュアモードとを制御するステップと、
    前記セキュアモード又は前記非セキュアモードの状態を報知するステップと、
    前記タッチパネルによる情報の入力を受け付けるステップと、
    前記非セキュアモードである場合、前記タッチパネルにより入力された入力情報を用いた決済処理を前記決済処理部に実行させるステップと、を有する、
    情報処理方法。
JP2014046918A 2014-03-10 2014-03-10 決済端末装置 Pending JP2015171105A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014046918A JP2015171105A (ja) 2014-03-10 2014-03-10 決済端末装置
US14/638,070 US20150254622A1 (en) 2014-03-10 2015-03-04 Payment terminal apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014046918A JP2015171105A (ja) 2014-03-10 2014-03-10 決済端末装置

Publications (1)

Publication Number Publication Date
JP2015171105A true JP2015171105A (ja) 2015-09-28

Family

ID=54017727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014046918A Pending JP2015171105A (ja) 2014-03-10 2014-03-10 決済端末装置

Country Status (2)

Country Link
US (1) US20150254622A1 (ja)
JP (1) JP2015171105A (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3026207B1 (fr) * 2014-09-22 2018-08-17 Prove & Run Terminal a affichage securise
CN105162969A (zh) * 2015-08-10 2015-12-16 京东方科技集团股份有限公司 一种显示装置、移动设备和显示方法
WO2019196792A1 (zh) * 2018-04-12 2019-10-17 Oppo广东移动通信有限公司 应用程序的安全控制方法及装置、移动终端及计算机可读存储介质
USD886898S1 (en) * 2018-11-23 2020-06-09 Fujian Landi Commercial Equipment Co., Ltd. Mobile payment terminal
TWD198625S (zh) * 2018-12-05 2019-07-11 廣達電腦股份有限公司 銷售時點情報機

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7146577B2 (en) * 2001-03-27 2006-12-05 Ncr Corporation Signature capture terminal
US20030132294A1 (en) * 2002-01-11 2003-07-17 Hand Held Products, Inc. Transaction terminal including signature entry feedback
US7121470B2 (en) * 2002-01-11 2006-10-17 Hand Held Products, Inc. Transaction terminal having elongated finger recess
DE102004062203B4 (de) * 2004-12-23 2007-03-08 Infineon Technologies Ag Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung
EP2201475B1 (en) * 2007-10-10 2020-07-29 Gilbarco Inc. System and method for controlling secure and non-secure content at dispenser or retail device

Also Published As

Publication number Publication date
US20150254622A1 (en) 2015-09-10

Similar Documents

Publication Publication Date Title
US11393300B2 (en) Secure point of sale terminal and associated methods
US9773131B2 (en) Information processing device and portable settlement terminal device
EP2363824B1 (en) Trusted display based on display device emulation.
US10025957B2 (en) Learning a new peripheral using a security provisioning manifest
JP5685739B1 (ja) 可搬型決済端末装置
JP2015171105A (ja) 決済端末装置
KR102178179B1 (ko) 모바일 신분증 관리 장치 및 사용자 단말기
US20120095919A1 (en) Systems and methods for authenticating aspects of an online transaction using a secure peripheral device having a message display and/or user input
US9449316B2 (en) Settlement terminal device and settlement process method using the same
JP2005293058A (ja) 情報処理端末およびその情報安全保護方法
WO2015182104A1 (ja) 決済端末装置
US9639840B2 (en) Information processing device and information processing method
JP5776023B1 (ja) 情報処理装置及び情報処理方法
CN103530963B (zh) 智能触摸屏pos机密码安全保护装置及方法
JP5736549B1 (ja) 情報処理装置及び情報処理方法
JP6454175B2 (ja) 可搬型決済端末装置
JP2022011693A (ja) 決済装置及び鍵注入プログラム
US20150288684A1 (en) Device assembly for carrying out or enabling an electronic service and a method for securely inputting authorization data

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150217

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20150703