JP3772599B2 - Terminal device, network system, and recording medium recording monitoring program - Google Patents

Terminal device, network system, and recording medium recording monitoring program Download PDF

Info

Publication number
JP3772599B2
JP3772599B2 JP21947099A JP21947099A JP3772599B2 JP 3772599 B2 JP3772599 B2 JP 3772599B2 JP 21947099 A JP21947099 A JP 21947099A JP 21947099 A JP21947099 A JP 21947099A JP 3772599 B2 JP3772599 B2 JP 3772599B2
Authority
JP
Japan
Prior art keywords
time zone
abnormal situation
terminal device
main body
host device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP21947099A
Other languages
Japanese (ja)
Other versions
JP2001043102A (en
Inventor
省司 新上
剛 長谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP21947099A priority Critical patent/JP3772599B2/en
Publication of JP2001043102A publication Critical patent/JP2001043102A/en
Application granted granted Critical
Publication of JP3772599B2 publication Critical patent/JP3772599B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
この発明は、データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置、この端末装置と上位装置とを備えたネットワークシステムおよび上記端末装置に適用される監視プログラムを記録した記録媒体に関する。
【0002】
【従来の技術】
従来より、店舗等においてクレジットによる取引を処理する際に、クレジットカード会社(以下、単にカード会社と言う。)に対して取引の認証を要求する端末装置としてCAT(Credit Authorization Terminal)が利用されている。CATは、周知のようにクレジットカードから読み取ったカードデータと入力された取引データ(取引金額等)とを公衆回線網を介してカード会社(ホスト装置)に送信して該取引の認証を要求し、該要求に対する認証結果に応じて取引を処理する装置である。
【0003】
このように、CATは取引処理時にクレジットカードから読み取ったカードデータを取り扱う装置であることから、本体で取り扱ったカードデータが他人に悪用されないように管理しなければならない。すなわち、CAT本体から不正にカードデータが外部に取り出され、外部に取り出されたカードデータが悪用されることを防止しなければならない。そこで、注意しなければならないのは、CAT本体がクレジットカードから読み取ったカードデータを外部に取り出せるように改造されることである。例えば、CAT本体に取引毎にクレジットカードから読み込んだカードデータを蓄積的に記憶する記憶回路を取り付け、後日この記憶回路を回収することで、CATがこの間に取り扱ったクレジットカードから読み取ったカードデータを外部に取り出すことができる。
【0004】
そこで、従来はCAT本体に対して何らかの不正な改造を施すときに、装置本体のカバーを開けなければならないことに注目し、マイクロスイッチや外乱光を検知する受光素子等を用いて装置本体のカバーが開けられたことを検知する機能を設けるとともに、該機能によって本体のカバーが開けられたことを検知すると、本体の動作を制御するメインプログラムを消去する等して、これ以降については本体が使用できなくなるように構成していた。
【0005】
【発明が解決しようとする課題】
しかしながら、従来の構成ではマイクロスイッチや受光素子等を用いて本体のカバーが開けられたかどうかを検知しているだけであったので、カバーを開けるときにマイクロスイッチが動作しないように細工されたり、受光素子が外乱光を検知できないような暗い所で本体カバーが開けられると、該カバーが開けられたことを検知することができなかった。すなわち、装置本体のカバーが開けられたかどうかを検知する機能が働かないように細工して、該カバーが開けられてしまうことが懸念されはじめている。
【0006】
なお、カードデータに関わらず、データ処理装置(端末装置)で取り扱われたデータを本体から不正に取り出し(盗用し)、これを悪用することは法的に罰せられる犯罪行為である。
【0007】
この発明の目的は、通常本体が使用されない時間帯に電源がオンされると、異常事態が発生したと判断して、上位装置にその旨を通知させ、保守員等が該装置に対して不正な改造等が行われていないかどうかを迅速に確認できるようにすることで、本体で取り扱われるデータのセキュリティを向上させた端末装置および監視制御プログラムを記録した記録媒体を提供することにある。
【0008】
また、この発明は上記端末装置と上位装置とをデータ通信ラインで接続したネットワークシステムを提供することにある。
【0009】
【課題を解決するための手段】
この発明の端末装置は、上記課題を解決するために以下の構成を備えている。
【0010】
(1)データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置において、
本体に対する動作電源のオン/オフを行うスイッチと、
本体について使用を制限した監視時間帯または使用を制限しない運用時間帯のいずれかを記憶する時間帯記憶手段と、
現在の時刻を計時する計時手段と、
上記スイッチが操作されて本体に対する動作電源がオンされたときに、上記計時手段が計時している時刻が上記時間帯記憶手段に記憶されている監視時間帯であった場合または運用時間帯でなかった場合に異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知する異常通知手段と、を備えている。
【0011】
上記構成では、装置本体に対する動作電源のオン/オフを行うスイッチがオンされた時間が本体について使用を制限した監視時間帯であったとき(または使用を制限しない運用時間帯でなかったとき)、異常事態が発生したと判定し、データ通信回線を介して接続された上位装置にその旨(異常事態の発生)を通知する。
【0012】
ここで、監視時間帯とは装置本体の使用環境において本体が使用される可能性が低いと考えられる時間帯であり、逆に運用時間体とは装置本体の使用環境において本体が使用される可能性が高い時間帯である。具体的には、店舗で使用されるような端末装置であれば、店舗の閉店後の深夜等が監視時間帯となる。また、本体について使用を制限しない運用時間帯でなかったときとは、上記の記載から明らかなように上記監視時間帯と同じ時間帯となる。
【0013】
この監視時間帯に本体の電源がオンされる理由としては、何らかの理由で端末装置の使用者が電源をオンする可能性もあるが、本体に対して不正な改造を施した者が該改造を正確に行えたかどうかを確認するために装置本体の動作確認を行っている可能性がきわめて高い。上述したようにこの発明では、上記異常事態の発生を上位装置に通知するように構成したので、該通知に対応して保守員等によって該端末装置が不正に改造されていないかを迅速に確認でき、これ以降の使用が制限できる(不正な改造が施されていれば該端末装置を回収することができる。)。よって、端末装置で取り扱われるデータのセキュリティを向上することができる。
【0014】
また、監視時間帯は毎日同じ時間帯に設定されるのではなく、曜日毎に設定されるようにしてもよいし、日付毎に設定されるようにしてもよい
(2)データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置において、
本体に対する動作電源のオン/オフを行うスイッチと、
上記スイッチが操作されて本体に対する動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行した全ての処理においてエラーが発生した場合に異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知する異常通知手段と、を備えている。
【0015】
上記構成ではスイッチが操作されて、本体に対する動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行した全ての処理においてデータ通信回線の接続不良等のエラーが発生した場合に異常事態が発生したと判定し、上位装置に通知する。
【0016】
通常、端末装置の動作電源がオンされるのは、操作者が該端末装置で何らかの処理(例えば、CATでは取引の認証処理や取引の集計処理)を実行するためである。そして、本体に対する動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行された全ての処理において上記データ通信回線の接続不良等のエラーが発生するのは、装置本体が故障していることもあるが、操作者が意図的にエラーを発生させている可能性も高い。一方、本体に対して不正な改造を施した者が該改造を正確に行えたかどうかの動作確認を行う場合、意図的にエラーを発生させる(上位装置との通信等が行われると、不正な改造を行ったことが知られてしまう。)。したがって、このような場合に異常事態の発生を上位装置に通知すれば、該通知に対応して該端末装置が不正に改造されていないかを迅速に確認でき、これ以降の使用が制限できる(不正な改造が施されていれば該端末装置を回収できる。また、装置本体が故障しているのであれば、故障している装置を交換すればよい。)。よって、端末装置で取り扱われるデータのセキュリティが向上できる。
【0017】
(3)上記異常通知手段は、動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行された処理がないときも異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知する。
【0018】
この構成では、本体において実行された処理がないときも異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知するようにした。
【0019】
(4)上記監視時間帯または運用時間帯を設定する時間帯設定手段を備えている。
上記構成では、端末装置の使用環境に応じて監視時間帯または運用時間帯を設定できる。
(5)上記異常通知手段は、上記異常事態が発生したと判定した後、最初に上記上位装置との間でデータ通信を行うときに上記異常事態の発生を通知する。
【0020】
上記構成では、上記異常事態の発生後、最初に上記上位装置との間でデータ通信を行うときに上記異常事態の発生を通知するようにしたので、異常事態が発生すると、速やかに上位装置にその旨を通知させることができる。よって、不正な改造が施された端末装置に対して保守員等に迅速に対応させることができる。
【0021】
)入力された取引情報を上位装置に送信し、該上位装置から該取引情報の取引について認証結果を獲得する取引認証手段を備え、
上記異常通知手段は、上記取引認証手段の実行後、引き続いて上記異常事態の発生を通知する。
【0022】
上記構成では、入力された取引情報を上位装置に送信し、該上位装置から該取引情報の取引について認証結果を獲得する取引の認証処理時に上記異常事態の発生を通知するようにした。
【0023】
)上記取引認証手段の実行時に接続する上位装置と、上記異常通知手段の実行時に接続する上位装置とは異なる装置である。
【0024】
上記構成では、上記取引認証手段の実行時に接続する上位装置と、上記異常通知手段の実行時に接続する上位装置とは異なる装置としたので、既存のクレジット取引システム(店舗とクレジットカード会社間におけるネットワークシステム)に対して手を加えることなく(カード会社のホスト装置に手を加えることなく)、上記異常事態の発生を通知する上位装置を設けるという簡単な変更で実現できる
【0026】
なお、請求項8に記載したネットワークシステムは、上記(1)〜(7)のいずれかに記載した端末装置と、該端末装置とデータ通信回線を介して接続される上位装置とを備えたネットワークシステムであり、
請求項9および10に記載した発明は、それぞれ上記(1)および(2)に記載した発明に対応する監視プログラムを記録したコンピュータ読取可能な記録媒体である。
【0027】
【発明の実施の形態】
図1は、この発明の実施形態にかかるクレジット取引システムの構成を示す図である。クレジット取引システムは、各店舗に設置された複数のCAT1が公衆回線網5に接続されており、クレジットカード会社(以下、単にカード会社と言う。)のホスト装置2との間で取引の認証処理が行えるネットワークが構成されている。なお、このクレジット取引システムには、図示していない周知のCAFIS(Credit And Finance Infomation Switching System)が利用されており、上記CAFISを経由してCAT1とホスト装置2とが接続される。また、図に示す3は公衆回線網5に接続された保守管理装置であり、CAT1には公衆回線網5を介してこの保守管理装置3との間でデータ通信を行う機能が設けられている。
【0028】
図2は、この発明の実施形態であるCATの外観を示す図であり、図3は該CATの構成を示すブロック図である。CAT1は本体の動作を制御する制御部11と、オペレータ(店員等)が入力操作を行うキーが配置されたキーボード12と、クレジットカードに記憶されているカードデータを読み取るカードリーダ13と、入力された取引データ等を表示する表示部14と、取引内容を印字した取引伝票を発行するプリンタ15と、公衆回線網5を介して実行するデータ通信を制御する通信部16と、を備えている。制御部11には、ROMやRAM等を有する記憶部が設けられているとともに、現在時刻を計時するタイマ機能も設けられている。また、図2に示すように、本体に対する動作電源のオン/オフを行う電源スイッチ20が本体側面に配置されている。なお、制御部11は図示していないバッテリによってバックアップされている。
【0029】
また、CAT1には本体カバーが開けられたことを検知するマイクロスイッチ(または受光素子)が配置されている。なお、このマイクロスイッチが配置されている位置等については、ここでは説明を省略する。そして、このマイクロスイッチによって、本体カバーが開けられたことを検知すると、本体の動作を制御するメインプログラム等の消去を行って、これ以降については本体を使用できないようにする公知の機能(従来技術の欄で説明した機能)を備えている。
【0030】
さらに、CAT1は制御部2に予め設定された監視時間帯を記憶している。この監視時間帯とは、CAT1本体の使用環境において該CAT1が使用されることがないと考えられる時間帯である。例えば、店舗において営業時間が午前10時〜午後8時までの店舗であれば、該店舗に店員がいないと考えられる午前1時〜午前6時の間が監視時間帯として適当である。なお、店舗の営業時間でない午前6時から午前10時までと、午後8時から翌日の午前1時までと、を監視時間帯に含めなかったのは、店員等が開店準備や閉店作業のためにCAT1を操作する可能性が高いからである。また、各CAT1は端末IDを記憶しており、上位装置(ホスト装置2や保守管理装置3)では端末IDからどの店舗に設置されているCAT1であるかを特定できる。
【0031】
以下、この実施形態にかかるクレジット取引システムの動作について説明する。図4はこの実施形態にかかるCATの動作を示すフローチャートである。CAT1は、電源スイッチ20が操作されて本体に対する動作電源の供給が開始されれると(n1)、制御部2において計時している現在の時刻が監視時間帯であるかどうかを判定する(n2)。n2で現在の時刻が監視時間帯でなければn8に進む。n2で監視時間帯であると判定すると、制御部2は監視フラグがオンしているかどうかを判定する(n3)。監視フラグとは、異常事態が発生したかどうかを示すフラグであり、この実施形態CAT1は監視時間帯に本体の電源がオンされると異常事態が発生したと判定する。n3で監視フラグがオフしていると、該監視フラグをオンし且つ、現在の時刻を記憶する(n4、n5)。さらに、異常事態発生回数をカウントするカウンタの値を1にする(n6)。n3において監視フラグがすでにオンしていれば、上記異常事態発生回数をカウントするカウンタの値を1カウントアップする(n7)。
【0032】
そして、キーボード12において何らかの入力操作が行われると(n8)、入力に応じた処理(例えば、クレジット取引処理等)を実行し(n9)、電源スイッチ20が操作されて本体に対する動作電源がオフされると本処理を終了する(n10)。
【0033】
このように、この実施形態のCAT1は予め設定されている監視時間帯に本体に対する動作電源の供給が開始されると(電源スイッチ20が操作されると)、異常事態が発生したことを示す監視フラグをオンする。また、制御部11には異常事態の発生回数(監視時間帯に電源がオンされた回数)および最初に異常事態が発生した時刻が監視情報(監視ログ)として記憶される。この監視情報は、以下に示すように上位装置に送信される。
【0034】
なお、監視時間帯に電源スイッチ20が操作され、本体に対して動作電源の供給が開始されるのは、CAT1が設置されている店舗側で生じた何らかの理由によって店員が電源スイッチ20を操作した場合もあるが、CAT1に対して不正な改造を行った者が改造後のCAT1の動作確認を行うために電源をオンした可能性のほうが極めて高い。すなわち、通常の使用環境において本体が使用されることが無い時間帯(すなわち、監視時間帯)に電源がオンされるということは、CAT1に対して不正な改造が施された可能性が極めて高い。
【0035】
次に、この実施形態にかかるCAT1における取引処理時の動作について説明する。図5は、この実施形態にかかるCATにおける取引処理時の処理を示すフローチャートである。この処理は図4に示すn8においてオペレータが取引情報を入力することで実行される。
【0036】
CAT1は、キーボード12において取引金額を含む取引データの入力を受け付けるとともに、カードリーダ13においてクレジットカード(取引に使用するカード)に記憶されているカードデータの入力を受け付けると(n21、n22)、カード会社のホスト装置2との回線を接続するためのダイヤリング処理を行(n23)。そして、ホスト装置2との回線が接続されると(n24)、n21およびn22で入力された取引データおよびカードデータを含む取引認証要求電文をホスト装置2に送信する(n25)。ホスト装置2はこの取引認証要求電文を受信すると、該取引の可否等は判定する認証処理を行い、認証結果をCAT1に送信する。CAT1はホスト装置2からの認証結果(取引の可否等)を受信すると(n26)、該ホスト装置2との回線を切断する(n27)。
【0037】
上記n21〜n27の処理は、公知のCAT1で行われている取引の認証処理である。この実施形態のCAT1は、この取引の認証処理後に以下の処理を行うものである。CAT1はn27でホスト装置2との回線を切断すると、監視フラグがオンしているかどうかを判定し(n28)、監視フラグがオンしていれば、すなわちCAT1が上記異常事態の発生を検知していれば、以下に示すn29以降の処理を実行する。まず、CAT1は保守管理装置3との回線を接続するためのダイヤリング処理を行い(n29)、保守管理装置3との回線が接続されるのを待つ(n30)。CAT1は保守管理装置との回線が接続されると、制御部11に記憶している端末IDおよび上記した監視情報(監視時間帯において最初に電源がオンされた時刻および監視時間帯に電源がオンされた回数)を保守管理装置に送信する(n31)。その後、CAT1は保守管理装置3との回線を切断するとともに、監視フラグをオフにする(n32、n33)。
【0038】
そして、CAT1はn26でホスト装置2から獲得した認証結果に基づいてプリンタ15で取引伝票を発行し(n3)、本処理を終了する。
【0039】
このように、この実施形態にかかるCAT1は取引処理時に監視フラグがオンしていると、通常行われるホスト装置2との間における取引の認証処理後に、保守管理装置3に監視情報を送信する。したがって、CAT1の操作者等(取引を処理している店員や顧客)は、保守管理装置3に異常事態が発生したことの通知がなされたことに気づかない。したがって、顧客に不安感を感じさせることがなく、顧客サービスが低下するという問題も生じない。また、CAT1は異常事態の発生後、最初にホスト装置2と通信を行うときに(最初の取引処理時に)、異常事態が発生したことを保守管理装置3に通知するようにしているので、保守管理装置3において不正な改造が行われた可能性が高いCAT1を速やかに認識することができる。そして、不正な改造が行われた可能性が高いCAT1がある店舗に保守員を派遣する等して、該CAT1に不正な改造が行われていないかどうかを確認させることができる。よって、不正な改造が施されたCAT1に対して迅速に対応することができ(不正な改造が行われていれば該CAT1を回収すればよい。)、CAT1で取り扱うカードデータのセキュリティを向上できる。
【0040】
また、監視時間帯については、CAT1の使用環境(設置される店舗の営業時間等)によって異なるので、CAT1には監視時間帯を設定する機能が設けられている。図6は監視時間帯の設定処理を示すフローチャートである。キーボード12において所定のキー操作を行うと、CAT1が監視時間設定モードに移行する。そして、CAT1はキーボード12において入力される監視時間帯の入力を受け付け(n41)、入力された監視時間帯を表示部14に表示する(n42)。なお、CAT1を監視時間設定モードに移行させるためのキー操作については店員に知らせることはなく、保守員等がCAT1を店舗に設置する際に該店舗の営業時間等を考慮した監視時間帯を設定している。すなわち、店員等はCAT1に監視時間帯が設定されていることも知らないし、また、監視時間帯を設定するための操作も知らないので、CAT1に設定された監視時間帯が保守員の知らない間に勝手に変更されることはない。
【0041】
なお、一般に店舗に設置されているCAT1はカード会社の所有物であり、店舗に対して貸し出されている。
【0042】
CAT1は、実行キーが操作されると入力された監視時間帯をセットして本処理を終了する(n45)。なお、取消キーが操作されたときには、監視時間帯を変更することなく本処理を終了する(n44)。
【0043】
このように、CAT1は設置される店舗毎にその使用環境が異なることから、CAT1毎に監視時間帯が設定できるように構成している。したがって、使用環境に応じて監視時間帯を設定することができるので、CAT1における異常事態の発生を効率良く検知できる。
【0044】
また、監視時間帯(または運用時間帯)については、曜日毎に設定できるようにしてもよいし、日付毎に設定できるようにしてもよい。このようにすれば、店舗の休日等に合わせて監視時間帯(または運用時間帯)を設定できる。
【0045】
なお、上記実施形態では、制御部2に監視時間帯を設定するとしたが、監視時間帯ではなく運用時間帯を設定するようにしてもよい。そして、運用時間帯を設定した場合には、電源スイッチ20が操作されて本体に対する動作電源の供給が開始された時刻が、運用時間帯でなければ該CAT1において異常事態が発生したと判定させて上述した図1に示すn3以降の処理を実行させればよい。ここで、運用時間帯とはCAT1が使用される可能性が高い時間帯であり、運用時間帯でない時とは上記監視時間帯である。したがって、上記実施形態のものと同様の効果を奏する。
【0046】
また、CAT1における監視時間帯の設定入力をキーボード12で行うとしたが、保守管理装置3から設定するようにしてもよい。
【0047】
また、上記実施形態では異常事態の発生検知後、最初の取引処理時(取引の認証時)に異常事態の発生を保守管理装置3に通知するとしたが、図4におけるn2において監視時間帯で無いと判定したときに、図5に示したn28〜n32の処理を実行させてもよい。すなわち、異常事態の発生検知後、監視時間帯でない時刻において最初に電源がオンされたときに、異常事態の発生を通知するようにしてもよい。
【0048】
さらに、この実施形態では異常事態の発生の通知をホスト装置2に対して行うのではなく、保守管理装置3に対して行うようにしたので、既存のクレジット取引システム(店舗とクレジットカード会社間におけるネットワークシステム)に対して手を加えることなく(カード会社のホスト装置に手を加えることなく)、上記異常事態の発生を通知する保守装置3を設けるという簡単な変更で実現できる。
【0049】
次に、この発明の別の実施形態について説明する。上記実施形態では、予め設定されている監視時間帯に本体に対する電源がオンされたときに(または、運用時間帯でない時間帯に本体に対する電源がオンされたときに)、異常事態が発生したと判定するようにしたが、この実施形態では電源がオンされてからオフされるまでの間に本体において実行された全ての処理において回線の接続不良等のエラーが発生したときに異常事態が発生したと判定するようにしている。この実施形態のCAT1は上記実施形態のものと略同様の構成である。
【0050】
図7はこの実施形態にかかるCAT1の動作を示すフローチャートである。なお、図7では図4と同じ処理については同じステップ番号(n*)を付している。CAT1は電源スイッチ20が操作されて本体に対する動作電源の供給が開始されると(n1)、電源フラグがオンしているかどうかを判定する(n51)。n51において電源フラグがオンしていると、上記した実施形態で説明してn3〜n7の処理を実行し、電源フラグがオフしていればn52で電源フラグをオンしてn8に進む。n8で何らかの入力操作が行われると入力に応じた処理を実行する(n9)。そして、n9で実行された処理が正常に終了した場合には、電源フラグをオフし(n53、n54)、n9で実行された処理において回線の接続不良等のエラーが発生したときには電源フラグをオフすることなくn8に戻る。
【0051】
このように、この実施形態のCAT1では、本体に対する動作電源の供給が開始されたときに電源フラグをオンし、その後本体に対して行われた入力操作に対して実行された処理においてエラーが発生することなく正常に終了したときに電源フラグをオフする。したがって、本体に対して動作電源の供給が開始されてから停止されるまでの間に、本体において実行された全ての処理において回線の接続不良等のエラーが発生したときや、本体において何ら処理が実行されなかったときに、電源フラグがオフされない。そして、本体に対して動作電源の供給を開始したときに、電源フラグがオンしているとnにおいて異常事態が発生したことを示す監視フラグをオンし(異常事態が発生したと判定し、)、上記実施形態のものと同様に図5に示した取引処理時に異常事態の発生を通知する。
【0052】
なお、電源フラグの状態はバッテリバックアップされた制御部11で保持されている。
【0053】
通常、CAT1の電源をオンするのは、取引の認証処理や取引の集計処理等を行うためであるにもかかわらず、このような処理が行われなかったり、実行された全ての処理においてエラーが発生したときに、異常事態が発生したと判定し、上位装置に異常事態の発生を通知するようにした。ここで、実行された全ての処理においてエラーが発生するのは、殆どの場合装置本体が故障しているか、操作者が意図的にエラーを発生させたかのどちらかである。そして、本体に対して不正な改造を施した者が該改造が正確に行えたかどうかの動作確認を行う場合、意図的にエラーを発生させて処理を適正に終了させないので、実行された全ての処理においてエラーが発生したときも本体が改造された可能性が高い。
【0054】
そして、この実施形態のCAT1は、本体が改造された可能性が高いときに、上位装置に異常事態の発生を通知するようにしたので、該通知に対応して該端末装置が不正に改造されていないかを迅速に確認でき、不正に改造されたCAT1の使用を制限して(不正な改造が施されていれば該端末装置を回収する。)、CAT1で取り扱われるデータのセキュリティを向上することができる。
【0055】
【発明の効果】
以上のように、この発明では、装置本体の使用環境において本体が使用されることがない時間(監視時間帯または運用時間帯でない時間)に電源がオンされるのは、本体に対して不正な改造を施した者が該改造を正確に行えたかどうかを確認するために装置本体の動作確認を行っている可能性が極めて高いと考えられることから、このような場合に異常事態が発生したと判定して、その旨を上位装置に通知するようにしたので、該通知に対応して保守員等を派遣して該端末装置が不正に改造されていないかどうかを迅速に確認することができる。すなわち、不正に改造された危険性がある端末装置に対して迅速に対応することができ、端末装置で取り扱われるデータのセキュリティを向上できる。
【0056】
また、本体に対する動作電源の供給が開始されてから停止されるまでの間に、本体において実行された全ての処理においてエラーが発生したときや、本体において何ら処理が実行されなかったときも、本体に対して不正な改造を施した者が該改造を正確に行えたかどうかを確認するために装置本体の動作確認を行っている可能性が極めて高いと考えられることから異常事態が発生したと判定し、その旨を上位装置に通知するようにしたので、該通知に対応して保守員等を派遣して該端末装置が不正に改造されていないかどうかを迅速に確認することができ、端末装置で取り扱われるデータのセキュリティを向上できる。
【0057】
また、上記取引認証手段の実行時に接続する上位装置と、上記異常通知手段の実行時に接続する上位装置とは異なる装置としたので、既存のクレジット取引システム(店舗とクレジットカード会社間におけるネットワークシステム)に対して手を加えることなく、上記異常事態の発生を通知する上位装置を追加するという簡単な変更で実現できる。
また、端末装置の使用環境に応じて監視時間帯または運用時間帯を設定できる。
【0058】
さらに、この発明にかかる端末装置を適用することで、端末装置内で取り扱われるデータのセキュリティを向上させたネットワークシステムを構成することができる。
【図面の簡単な説明】
【図1】この発明の実施形態であるクレジット取引処理システムの構成を示す図である。
【図2】この発明の実施形態であるCATの外観を示す図である。
【図3】この発明の実施形態であるCATの構成を示すブロック図である。
【図4】この発明の実施形態であるCATの動作を示すフローチャートである。
【図5】この発明の実施形態であるCATにおける取引認証処理を示すフローチャートである。
【図6】この発明の実施形態であるCATにおける監視時間を設定する処理を示すフローチャートである。
【図7】この発明の別の実施形態であるCATの動作を示すフローチャートである。
【符号の説明】
1−CAT
2−ホスト装置
3−保守管理装置
5−公衆回線網
11−制御部
12−キーボード
13−カードリーダ
16−通信部
20−電源スイッチ[0001]
BACKGROUND OF THE INVENTION
The present invention records a terminal device that performs data communication with a host device connected via a data communication line, a network system including the terminal device and the host device, and a monitoring program applied to the terminal device The recording medium.
[0002]
[Prior art]
Conventionally, when processing a credit transaction at a store or the like, a CAT (Credit Authorization Terminal) has been used as a terminal device that requires a credit card company (hereinafter simply referred to as a card company) to authenticate the transaction. Yes. As is well known, the CAT sends the card data read from the credit card and the input transaction data (transaction amount, etc.) to the card company (host device) via the public network and requests authentication of the transaction. , An apparatus for processing a transaction according to an authentication result for the request.
[0003]
Thus, since the CAT is a device that handles card data read from a credit card at the time of transaction processing, the card data handled by the main body must be managed so as not to be misused by others. That is, it is necessary to prevent card data from being illegally taken out from the CAT main body and misusing the card data taken out to the outside. Therefore, it should be noted that the CAT main body is modified so that the card data read from the credit card can be taken out. For example, a storage circuit for accumulating the card data read from the credit card for each transaction is attached to the CAT main body, and the card data read from the credit card handled by the CAT during this time is collected by collecting the storage circuit later. Can be taken out.
[0004]
Therefore, in the past, when making any unauthorized modification to the CAT main body, it was noted that the cover of the main body of the apparatus had to be opened, and the cover of the main body of the apparatus was detected using a microswitch or a light receiving element that detects ambient light A function to detect the opening of the main body is provided, and when the main body cover is opened by this function, the main program that controls the operation of the main body is deleted. It was configured to be impossible.
[0005]
[Problems to be solved by the invention]
However, in the conventional configuration, it was only detected whether the cover of the main body was opened using a micro switch, a light receiving element, etc., so that the micro switch does not work when opening the cover, When the main body cover is opened in a dark place where the light receiving element cannot detect ambient light, it cannot be detected that the cover has been opened. That is, there is a concern that the cover may be opened by crafting so that the function of detecting whether the cover of the apparatus main body has been opened does not work.
[0006]
Regardless of the card data, illegally taking out (stealing) data handled by the data processing device (terminal device) from the main body and misusing it is a legally punishable criminal act.
[0007]
  An object of the present invention is to determine that an abnormal situation has occurred when the power is turned on during a period when the main unit is not normally used, and notify the higher-level device to that effect.LetRecords terminal devices and monitoring control programs that improve the security of data handled by the main unit by allowing maintenance personnel to quickly check whether the device has been tampered with. Is to provide a recording medium.
[0008]
Another object of the present invention is to provide a network system in which the terminal device and the host device are connected by a data communication line.
[0009]
[Means for Solving the Problems]
The terminal device of the present invention has the following configuration in order to solve the above problems.
[0010]
(1) In a terminal device that performs data communication with a host device connected via a data communication line,
A switch for turning on / off the operation power to the main body,
A time zone storage means for storing either a monitoring time zone in which use of the main body is restricted or an operation time zone in which use is not restricted;
A time measuring means for measuring the current time;
When the switch is operated and the operation power supply to the main body is turned on, the time measured by the time measuring means is the monitoring time zone stored in the time zone storage means or not the operation time zone An abnormality notification means for determining that an abnormal situation has occurred and notifying the host device of the occurrence of the abnormal situation.
[0011]
In the above configuration, when the time when the switch for turning on / off the operating power supply for the device main body is turned on is a monitoring time zone in which use of the main body is restricted (or when it is not an operation time zone in which use is not restricted), It is determined that an abnormal situation has occurred and notifies the host device connected via the data communication line to that effect (occurrence of an abnormal situation).
[0012]
Here, the monitoring time zone is a time zone in which it is considered unlikely that the main body will be used in the usage environment of the device main body, and conversely, the operating time body can be used in the usage environment of the main device It is a time zone with high nature. Specifically, if it is a terminal device used in a store, the midnight after the store is closed becomes a monitoring time zone. Moreover, when it is not the operation time zone which does not restrict | limit use about a main body, it becomes the same time zone as the said monitoring time zone so that it may become clear from said description.
[0013]
The reason that the main unit is turned on during this monitoring time period is that the terminal device user may turn on the power for some reason. It is very likely that the operation of the main body of the apparatus is being checked to check whether it has been performed correctly. As described above, since the present invention is configured to notify the host device of the occurrence of the abnormal situation, in response to the notification, the maintenance device or the like can quickly check whether the terminal device has been illegally modified. It is possible to limit the subsequent use (the terminal device can be collected if unauthorized modification is made). Therefore, the security of data handled by the terminal device can be improved.
[0014]
  Further, the monitoring time zone is not set to the same time zone every day, but may be set for each day of the week or may be set for each date..
  (2) In a terminal device that performs data communication with a host device connected via a data communication line,
  A switch for turning on / off the operation power to the main body,
  All processes executed on the main unit from when the switch is operated until the operating power supply to the main unit is turned on until the operating power source is turned off.An error occurred inAn abnormality notification means for determining that an abnormal situation has occurred and notifying the host device of the occurrence of the abnormal situation.
[0015]
In the above configuration, when an error such as a connection failure of the data communication line occurs in all the processes executed in the main unit after the switch is operated and the operating power source is turned on until the operating power source is turned off. It is determined that an abnormal situation has occurred, and the host device is notified.
[0016]
Normally, the operation power of the terminal device is turned on because the operator performs some processing (for example, transaction authentication processing or transaction totaling processing in CAT) at the terminal device. And, since the operation power supply for the main body is turned on and the operation power supply is turned off, errors such as poor connection of the data communication line occur in all processes executed in the main body. Although it may be out of order, there is a high possibility that the operator has intentionally generated an error. On the other hand, when a person who made an unauthorized modification to the main body performs an operation check as to whether or not the modification has been performed correctly, an error is intentionally generated (if communication with a host device or the like is It will be known that a modification was made.) Therefore, in such a case, if the occurrence of an abnormal situation is notified to the host device, it can be quickly confirmed whether the terminal device has been tampered with in response to the notification, and subsequent use can be restricted ( If the device has been tampered with, the terminal device can be recovered, and if the device body is broken, the broken device can be replaced. Therefore, the security of data handled by the terminal device can be improved.
[0017]
(3) The abnormality notification means determines that an abnormal situation has occurred even when there is no processing executed in the main body between the time when the operating power is turned on and the time when the operating power is turned off. The occurrence of the abnormal situation is notified.
[0018]
In this configuration, it is determined that an abnormal situation has occurred even when there is no processing executed in the main body, and the occurrence of the abnormal situation is notified to the host device.
[0019]
  (4)Time zone setting means for setting the monitoring time zone or the operation time zone is provided.
  In the above configuration, the monitoring time zone or the operation time zone can be set according to the usage environment of the terminal device.
  (5)After determining that the abnormal situation has occurred, the abnormality notification means first notifies the occurrence of the abnormal situation when performing data communication with the host device.
[0020]
In the above configuration, after the occurrence of the abnormal situation, the occurrence of the abnormal situation is notified when data communication is first performed with the higher order apparatus. This can be notified. Therefore, it is possible to promptly correspond to the maintenance staff or the like for the terminal device that has been illegally modified.
[0021]
  (6A transaction authentication means for transmitting the input transaction information to the host device and obtaining an authentication result for the transaction of the transaction information from the host device;
  The abnormality notification means continuously notifies the occurrence of the abnormal situation after the transaction authentication means is executed.
[0022]
In the above configuration, the input transaction information is transmitted to the host device, and the occurrence of the abnormal situation is notified during the transaction authentication process for obtaining an authentication result for the transaction of the transaction information from the host device.
[0023]
  (7) A higher-level device connected at the time of execution of the transaction authentication means and a higher-level device connected at the time of execution of the abnormality notification means are different devices.
[0024]
  In the above configuration, since the host device connected at the time of execution of the transaction authentication unit and the host device connected at the time of execution of the abnormality notification unit are different devices, an existing credit transaction system (a network between a store and a credit card company) This can be realized with a simple change by providing a higher-level device that notifies the occurrence of the above abnormal situation without modifying the system) (without modifying the card company's host device)..
[0026]
  Note that a network system according to an eighth aspect is a network including the terminal device according to any one of the above (1) to (7) and a host device connected to the terminal device via a data communication line. System,
  The invention described in claims 9 and 10 records a monitoring program corresponding to the invention described in (1) and (2) above, respectively.Computer readableIt is a recording medium.
[0027]
DETAILED DESCRIPTION OF THE INVENTION
FIG. 1 is a diagram showing a configuration of a credit transaction system according to an embodiment of the present invention. In the credit transaction system, a plurality of CATs 1 installed in each store are connected to a public line network 5, and a transaction authentication process with a host device 2 of a credit card company (hereinafter simply referred to as a card company). A network that can do this is configured. In this credit transaction system, a well-known CAFIS (Credit And Finance Information Switching System) (not shown) is used, and the CAT 1 and the host device 2 are connected via the CAFIS. 3 is a maintenance management apparatus connected to the public network 5, and the CAT 1 is provided with a function of performing data communication with the maintenance management apparatus 3 via the public network 5. .
[0028]
FIG. 2 is a diagram showing an external appearance of a CAT according to an embodiment of the present invention, and FIG. 3 is a block diagram showing a configuration of the CAT. The CAT 1 is input by a control unit 11 that controls the operation of the main body, a keyboard 12 on which keys for input operations by an operator (such as a store clerk), and a card reader 13 that reads card data stored in a credit card are input. A display unit 14 for displaying the transaction data and the like, a printer 15 for issuing a transaction slip on which transaction contents are printed, and a communication unit 16 for controlling data communication executed via the public line network 5. The control unit 11 is provided with a storage unit having a ROM, a RAM, and the like, and a timer function for measuring the current time. In addition, as shown in FIG. 2, a power switch 20 for turning on / off the operating power supply to the main body is disposed on the side surface of the main body. The control unit 11 is backed up by a battery (not shown).
[0029]
The CAT 1 is provided with a micro switch (or a light receiving element) that detects that the main body cover has been opened. Note that the description of the position where the microswitch is arranged is omitted here. When this micro switch detects that the main body cover has been opened, the main program for controlling the operation of the main body is erased, and the main body cannot be used thereafter (the prior art) The function described in the column of (1) is provided.
[0030]
Further, the CAT 1 stores a monitoring time zone preset in the control unit 2. The monitoring time zone is a time zone in which the CAT1 is considered not to be used in the usage environment of the CAT1 main body. For example, if the store is open from 10:00 am to 8:00 pm, the monitoring time zone is suitable from 1 am to 6:00 am, in which the store is thought to have no clerk. The reason for not including the store hours, from 6 am to 10 am and from 8 pm to 1 am the next day, was not included in the monitoring hours because of the store opening preparations and closing operations. This is because there is a high possibility of operating CAT1. Each CAT1 stores a terminal ID, and the host device (the host device 2 or the maintenance management device 3) can identify the store in which the CAT1 is installed from the terminal ID.
[0031]
  The operation of the credit transaction system according to this embodiment will be described below. FIG. 4 is a flowchart showing the operation of the CAT according to this embodiment. When the power switch 20 is operated and the supply of operating power to the main body is started (n1), the CAT1 determines whether or not the current time measured by the control unit 2 is a monitoring time zone (n2). . If the current time is not the monitoring time zone at n2, the process proceeds to n8. If it is determined at n2 that it is the monitoring time zone, the control unit 2 determines whether the monitoring flag is on (n3). The monitoring flag is a flag indicating whether or not an abnormal situation has occurred.ofCAT1 determines that an abnormal situation has occurred when the power supply of the main body is turned on during the monitoring time period. If the monitoring flag is turned off at n3, the monitoring flag is turned on and the current time is stored (n4, n5). Further, the value of the counter for counting the number of occurrences of abnormal situations is set to 1 (n6). If the monitoring flag is already turned on at n3, the value of the counter for counting the number of occurrences of the abnormal situation is incremented by 1 (n7).
[0032]
When any input operation is performed on the keyboard 12 (n8), processing corresponding to the input (for example, credit transaction processing) is executed (n9), and the power switch 20 is operated to turn off the operation power to the main body. Then, this process is terminated (n10).
[0033]
As described above, the CAT 1 of this embodiment is a monitor that indicates that an abnormal situation has occurred when the supply of operating power to the main body is started (when the power switch 20 is operated) during a preset monitoring time period. Turn on the flag. In addition, the number of occurrences of an abnormal situation (the number of times the power is turned on during the monitoring time period) and the time when the abnormal situation first occurred are stored in the control unit 11 as monitoring information (monitoring log). This monitoring information is transmitted to the host device as shown below.
[0034]
The power switch 20 is operated during the monitoring time period, and the supply of operating power to the main body is started because the store clerk operated the power switch 20 for some reason that occurred at the store where the CAT 1 is installed. In some cases, it is much more likely that a person who has tampered with CAT1 has turned on the power to check the operation of CAT1 after remodeling. That is, the fact that the power is turned on in a time zone where the main body is not used in a normal use environment (that is, a monitoring time zone) is highly likely that the CAT 1 has been tampered with. .
[0035]
Next, the operation | movement at the time of the transaction processing in CAT1 concerning this embodiment is demonstrated. FIG. 5 is a flowchart showing processing at the time of transaction processing in the CAT according to this embodiment. This process is executed when the operator inputs transaction information at n8 shown in FIG.
[0036]
  When the CAT 1 accepts input of transaction data including the transaction amount on the keyboard 12 and accepts input of card data stored in a credit card (card used for transaction) in the card reader 13 (n 21, n 22), the card Dialing process to connect the line with the company host device 2U(N23). When the line with the host device 2 is connected (n24), a transaction authentication request message including the transaction data and card data input at n21 and n22 is transmitted to the host device 2 (n25). When the host device 2 receives the transaction authentication request message, the host device 2 performs an authentication process for determining whether or not the transaction is possible, and transmits an authentication result to the CAT 1. When the CAT 1 receives the authentication result (e.g. whether transaction is possible) from the host device 2 (n26), it disconnects the line with the host device 2 (n27).
[0037]
  The processes of n21 to n27 are transaction authentication processes performed in the known CAT1. The CAT 1 of this embodiment performs the following processing after the transaction authentication processing. When CAT1 disconnects the line with the host device 2 at n27, it determines whether the monitoring flag is on (n28). If the monitoring flag is on, that is, CAT1 detects the occurrence of the abnormal situation. If so, the following processes after n29 are executed. First, the CAT 1 performs a dialing process for connecting a line with the maintenance management apparatus 3 (n 29), and waits for a line with the maintenance management apparatus 3 to be connected (n 30). CAT1 is a maintenance management device3When the line is connected, the control unit11The terminal ID and the monitoring information (the time when the power was first turned on in the monitoring time zone and the number of times the power was turned on during the monitoring time zone) stored in the maintenance management device3(N31). Thereafter, CAT1 disconnects the line with the maintenance management device 3 and turns off the monitoring flag (n32, n33).
[0038]
  Then, CAT1 issues a transaction slip with the printer 15 based on the authentication result obtained from the host device 2 at n26 (n34), This process is terminated.
[0039]
  As described above, the CAT 1 according to this embodiment transmits the monitoring information to the maintenance management device 3 after the transaction authentication process with the host device 2 that is normally performed when the monitoring flag is turned on during the transaction processing. Therefore, operators of CAT1 (store clerks and customers who process transactions)managementIt is not noticed that the device 3 has been notified that an abnormal situation has occurred. Therefore, the customer does not feel uneasy, and the problem that the customer service deteriorates does not occur. In addition, when the CAT 1 communicates with the host device 2 for the first time after the occurrence of an abnormal situation (at the time of the first transaction processing), the maintenance management apparatus 3 is notified that the abnormal situation has occurred. It is possible to quickly recognize the CAT 1 that is likely to have been illegally modified in the management device 3. Then, it is possible to confirm whether or not the CAT 1 has been illegally modified by, for example, sending a maintenance staff to a store where the CAT 1 is likely to have been illegally modified. Therefore, it is possible to quickly respond to the CAT1 that has been illegally modified (if the illegal modification is performed, the CAT1 may be recovered), and the security of the card data handled by the CAT1 can be improved. .
[0040]
Further, since the monitoring time zone varies depending on the use environment of CAT1 (business hours of the store where the CAT1 is installed), the CAT1 is provided with a function for setting the monitoring time zone. FIG. 6 is a flowchart showing monitoring time zone setting processing. When a predetermined key operation is performed on the keyboard 12, the CAT1 shifts to a monitoring time setting mode. Then, CAT1 accepts an input of the monitoring time zone input from the keyboard 12 (n41), and displays the input monitoring time zone on the display unit 14 (n42). Note that key operations for shifting CAT1 to the monitoring time setting mode are not informed to the store clerk, and a maintenance time is set in consideration of the store's business hours when maintenance personnel install CAT1 in the store. is doing. That is, the store clerk or the like does not know that the monitoring time zone is set in CAT1, and does not know the operation for setting the monitoring time zone, so the monitoring time zone set in CAT1 is not known by the maintenance staff. There will be no change in between.
[0041]
In general, CAT 1 installed in a store is owned by a card company and is lent out to the store.
[0042]
When the execution key is operated, CAT1 sets the input monitoring time zone and ends this processing (n45). When the cancel key is operated, this process is terminated without changing the monitoring time zone (n44).
[0043]
As described above, since the usage environment of the CAT 1 is different for each store installed, the monitoring time zone can be set for each CAT 1. Therefore, since the monitoring time zone can be set according to the use environment, it is possible to efficiently detect the occurrence of an abnormal situation in CAT1.
[0044]
The monitoring time zone (or operation time zone) may be set for each day of the week, or may be set for each date. In this way, it is possible to set a monitoring time zone (or operation time zone) in accordance with a store holiday or the like.
[0045]
In the above embodiment, the monitoring time zone is set in the control unit 2, but an operation time zone may be set instead of the monitoring time zone. When the operation time zone is set, it is determined that an abnormal situation has occurred in the CAT 1 when the power switch 20 is operated and the supply of operating power to the main body is not in the operation time zone. What is necessary is just to perform the process after n3 shown in FIG. Here, the operation time zone is a time zone in which CAT1 is highly likely to be used, and the time other than the operation time zone is the monitoring time zone. Therefore, the same effects as those of the above embodiment are obtained.
[0046]
In addition, although the setting input of the monitoring time zone in the CAT 1 is performed with the keyboard 12, the setting may be performed from the maintenance management device 3.
[0047]
In the above embodiment, the occurrence of the abnormal situation is notified to the maintenance management apparatus 3 at the time of the first transaction processing (at the time of transaction authentication) after the occurrence of the abnormal situation is detected, but it is not a monitoring time zone at n2 in FIG. When it is determined that n28 to n32 shown in FIG. 5 may be executed. In other words, after the occurrence of an abnormal situation is detected, the occurrence of an abnormal situation may be notified when the power is first turned on at a time that is not in the monitoring time zone.
[0048]
Furthermore, in this embodiment, since the notification of the occurrence of an abnormal situation is not performed to the host device 2, but to the maintenance management device 3, an existing credit transaction system (between the store and the credit card company) This can be realized by a simple modification in which the maintenance device 3 for notifying the occurrence of the abnormal situation is provided without modifying the network system (without modifying the host device of the card company).
[0049]
Next, another embodiment of the present invention will be described. In the above embodiment, when the power supply to the main body is turned on during a preset monitoring time zone (or when the power supply to the main body is turned on in a time zone other than the operation time zone), an abnormal situation has occurred. In this embodiment, an abnormal situation occurred when an error such as a line connection failure occurred in all the processes executed in the main body between the time when the power was turned on and the time when the power was turned off. I am trying to judge. The CAT 1 of this embodiment has substantially the same configuration as that of the above embodiment.
[0050]
FIG. 7 is a flowchart showing the operation of the CAT 1 according to this embodiment. In FIG. 7, the same step number (n *) is assigned to the same process as in FIG. When the power switch 20 is operated and the supply of operating power to the main body is started (n1), the CAT1 determines whether the power flag is on (n51). If the power flag is turned on at n51, the processing from n3 to n7 is executed as described in the above embodiment, and if the power flag is off, the power flag is turned on at n52 and the process proceeds to n8. When any input operation is performed at n8, processing corresponding to the input is executed (n9). When the process executed at n9 ends normally, the power flag is turned off (n53, n54), and when an error such as a line connection failure occurs in the process executed at n9, the power flag is turned off. Return to n8 without doing.
[0051]
  As described above, in the CAT 1 of this embodiment, the power flag is turned on when the supply of the operating power to the main body is started, and an error occurs in the processing executed for the input operation performed on the main body after that. The power flag is turned off when the process ends normally without any error. Therefore, when an error such as a line connection failure occurs in all the processes executed in the main unit between the start and stop of the operation power supply to the main unit, or no processing is performed in the main unit. The power flag is not turned off when not executed. When the supply of operating power to the main body is started, if the power flag is on, n4In FIG. 5, a monitoring flag indicating that an abnormal situation has occurred is turned on (determined that an abnormal situation has occurred), and the occurrence of an abnormal situation is notified during the transaction processing shown in FIG.
[0052]
Note that the state of the power flag is held by the battery-backed control unit 11.
[0053]
Normally, the power of CAT1 is turned on to perform transaction authentication processing, transaction totalization processing, etc., but such processing is not performed, or an error occurs in all executed processing. When it occurred, it was determined that an abnormal situation occurred, and the host system was notified of the occurrence of the abnormal situation. Here, an error occurs in all the executed processes in most cases, either when the apparatus main body is out of order or when an operator intentionally generates an error. And when a person who has made an unauthorized modification to the main body performs an operation check as to whether or not the modification has been performed correctly, an error is intentionally generated and the process is not properly terminated. There is a high possibility that the main body has been modified even when an error occurs during processing.
[0054]
Since the CAT 1 of this embodiment is configured to notify the host device of the occurrence of an abnormal situation when there is a high possibility that the main body has been modified, the terminal device has been illegally modified in response to the notification. The use of CAT1 that has been illegally modified is restricted (the terminal device is collected if unauthorized modification is made), and the security of data handled by CAT1 is improved. be able to.
[0055]
【The invention's effect】
As described above, according to the present invention, it is illegal for the main body to be turned on during the time when the main body is not used in the usage environment of the apparatus main body (time that is not the monitoring time period or the operation time period). Since it is highly likely that the person who made the modification was checking the operation of the main body to confirm whether or not the modification was performed correctly, an abnormal situation occurred in such a case. Since the determination is made and the higher-level device is notified, it is possible to quickly check whether or not the terminal device has been illegally modified by dispatching maintenance personnel in response to the notification. . That is, it is possible to quickly cope with a terminal device that has a risk of being illegally modified, and it is possible to improve the security of data handled by the terminal device.
[0056]
In addition, when an error occurs in all processes executed in the main unit from the start of supply of operating power to the main unit until it is stopped, or when no processing is executed in the main unit, the main unit It is determined that an abnormal situation has occurred because it is highly probable that a person who has made an unauthorized modification to the device has performed an operation check of the device itself to confirm whether or not the modification has been performed correctly. In response to the notification, the maintenance device is dispatched in response to the notification to quickly check whether the terminal device has been illegally modified. The security of data handled by the device can be improved.
[0057]
Further, since the host device connected at the time of execution of the transaction authentication means and the host device connected at the time of execution of the abnormality notification means are different devices, an existing credit transaction system (a network system between a store and a credit card company) This can be realized by a simple change of adding a higher-level device that notifies the occurrence of the abnormal situation.
In addition, a monitoring time zone or an operation time zone can be set according to the usage environment of the terminal device.
[0058]
Furthermore, by applying the terminal device according to the present invention, it is possible to configure a network system in which the security of data handled in the terminal device is improved.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a credit transaction processing system according to an embodiment of the present invention.
FIG. 2 is a diagram showing an external appearance of a CAT according to an embodiment of the present invention.
FIG. 3 is a block diagram showing a configuration of a CAT according to an embodiment of the present invention.
FIG. 4 is a flowchart showing the operation of the CAT according to the embodiment of the present invention.
FIG. 5 is a flowchart showing transaction authentication processing in the CAT according to the embodiment of the present invention.
FIG. 6 is a flowchart showing processing for setting a monitoring time in CAT according to the embodiment of the present invention.
FIG. 7 is a flowchart showing the operation of CAT which is another embodiment of the present invention.
[Explanation of symbols]
1-CAT
2-Host device
3-Maintenance management device
5-Public network
11-Control part
12-Keyboard
13-Card reader
16-Communication Department
20-Power switch

Claims (10)

データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置において、
本体に対する動作電源のオン/オフを行うスイッチと、
本体について使用を制限した監視時間帯または使用を制限しない運用時間帯のいずれかを記憶する時間帯記憶手段と、
現在の時刻を計時する計時手段と、
上記スイッチが操作されて本体に対する動作電源がオンされたときに、上記計時手段が計時している時刻が上記時間帯記憶手段に記憶されている監視時間帯であった場合または運用時間帯でなかった場合に異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知する異常通知手段と、を備えた端末装置。In a terminal device that performs data communication with a host device connected via a data communication line,
A switch for turning on / off the operation power to the main body
A time zone storage means for storing either a monitoring time zone in which use of the main body is restricted or an operation time zone in which use is not restricted;
A time measuring means for measuring the current time;
When the switch is operated and the operation power supply to the main body is turned on, the time measured by the time measuring means is the monitoring time zone stored in the time zone storage means or not the operation time zone A terminal device comprising: an abnormality notification unit that determines that an abnormal situation has occurred and notifies the host device of the occurrence of the abnormal situation. データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置において、
本体に対する動作電源のオン/オフを行うスイッチと、
上記スイッチが操作されて本体に対する動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行した全ての処理においてエラーが発生した場合に異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知する異常通知手段と、を備えた端末装置。In a terminal device that performs data communication with a host device connected via a data communication line,
A switch for turning on / off the operation power to the main body
Until it the switch is operated operating power to the main body operation power since the ON is turned off, it is determined that an abnormal situation has occurred when an error occurs Te all processing odor that performed in the body And an abnormality notification means for notifying the host device of the occurrence of the abnormal situation. 上記異常通知手段は、動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行された処理がないときも異常事態が発生したと判定し、上記上位装置に対して該異常事態の発生を通知する請求項2に記載の端末装置。  The abnormality notification means determines that an abnormal situation has occurred even when there is no processing executed in the main body between the time when the operating power is turned on and the time when the operating power is turned off. The terminal device according to claim 2, which notifies the occurrence of an abnormal situation. 上記監視時間帯または運用時間帯を設定する時間帯設定手段を備えた請求項1に記載の端末装置。The terminal device according to claim 1, further comprising time zone setting means for setting the monitoring time zone or the operation time zone. 上記異常通知手段は、上記異常事態が発生したと判定した後、最初に上記上位装置との間でデータ通信を行うときに上記異常事態の発生を通知する請求項1〜のいずれかに記載の端末装置。The abnormality notification means, the after abnormality is determined to have occurred, according to any one of claims 1 to 4 for notifying occurrence of the abnormal situation when performing data communication with the first to the higher-level device Terminal equipment. 入力された取引情報を上位装置に送信し、該上位装置から該取引情報の取引について認証結果を獲得する取引認証手段を備え、
上記異常通知手段は、上記取引認証手段の実行後、引き続いて上記異常事態の発生を通知する請求項に記載の端末装置。A transaction authentication means for transmitting the input transaction information to the host device and obtaining an authentication result for the transaction information transaction from the host device;
The terminal device according to claim 5 , wherein the abnormality notification unit continuously notifies the occurrence of the abnormal situation after the transaction authentication unit is executed. 上記取引認証手段の実行時に接続する上位装置と、上記異常通知手段の実行時に接続する上位装置とは異なる装置である請求項に記載の端末装置。6. The terminal device according to claim 5 , wherein the host device connected at the time of execution of the transaction authentication unit is different from the host device connected at the time of execution of the abnormality notification unit. 上記請求項1〜7のいずれかに記載の端末装置と、
上記端末装置とデータ通信回線を介して接続される上位装置と、を備えたネットワークシステム。The terminal device according to any one of claims 1 to 7;
A network system comprising: a host device connected to the terminal device via a data communication line. データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置に適用される監視プログラムを記録したコンピュータ読取可能な記録媒体であって、
上記端末装置は、本体について使用を制限した監視時間帯、または使用を制限しない運用時間帯のいずれかを記憶しており、
上記端末装置に、本体に対する動作電源のオン/オフを行うスイッチが操作されて本体に対する動作電源がオンされたときに、現在の時刻が本体について使用が制限された監視時間帯であった場合、または使用が制限されていない運用時間帯でなかった場合に異常事態が発生したと判定する第1のステップと、
上記第1のステップにおいて、上記異常事態が発生したと判定した場合に上記上位装置に対して該異常事態の発生を通知する第2のステップと、を行わせるための監視プログラムを記録したコンピュータ読取可能な記録媒体。A computer-readable recording medium that records a monitoring program applied to a terminal device that performs data communication with a host device connected via a data communication line,
The terminal device stores either the monitoring time zone in which use of the main body is restricted or the operation time zone in which use is not restricted,
When the current time is in the monitoring time zone where use of the main unit is restricted when the switch for turning on / off the main unit operating power is operated on the terminal device and the main unit is turned on, Or a first step of determining that an abnormal situation has occurred when it is not an operation time zone in which use is not restricted;
In the first step, when it is determined that the abnormal situation has occurred, a second step of notifying the higher-level device of the occurrence of the abnormal situation, and a computer reading recording a monitoring program for performing Possible recording media. データ通信回線を介して接続された上位装置との間でデータ通信を行う端末装置に適用される監視プログラムを記録したコンピュータ読取可能な記録媒体であって、
上記端末装置に、本体に対する動作電源のオン/オフを行うスイッチが操作されて本体に対する動作電源がオンされてから動作電源がオフされるまでの間に、本体において実行した全ての処理においてエラーが発生した場合に異常事態が発生したと判定する第1のステップと、
上記第1のステップにおいて、上記異常事態が発生したと判定した場合に上記上位装置に対して該異常事態の発生を通知する第2のステップと、を行わせるための監視プログラムを記録したコンピュータ読取可能な記録媒体A computer-readable recording medium that records a monitoring program applied to a terminal device that performs data communication with a host device connected via a data communication line,
To the terminal device, until the operation power from the operating power supply is turned relative to the body switch is operated to perform the operation power on / off with respect to the main body is turned off, e Te all processing odor that performed in the body A first step of determining that an abnormal situation has occurred when an error occurs;
In the first step, when it is determined that the abnormal situation has occurred, a second step of notifying the higher-level device of the occurrence of the abnormal situation, and a computer reading recording a monitoring program for performing Possible recording media
JP21947099A 1999-08-03 1999-08-03 Terminal device, network system, and recording medium recording monitoring program Expired - Fee Related JP3772599B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP21947099A JP3772599B2 (en) 1999-08-03 1999-08-03 Terminal device, network system, and recording medium recording monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP21947099A JP3772599B2 (en) 1999-08-03 1999-08-03 Terminal device, network system, and recording medium recording monitoring program

Publications (2)

Publication Number Publication Date
JP2001043102A JP2001043102A (en) 2001-02-16
JP3772599B2 true JP3772599B2 (en) 2006-05-10

Family

ID=16735945

Family Applications (1)

Application Number Title Priority Date Filing Date
JP21947099A Expired - Fee Related JP3772599B2 (en) 1999-08-03 1999-08-03 Terminal device, network system, and recording medium recording monitoring program

Country Status (1)

Country Link
JP (1) JP3772599B2 (en)

Also Published As

Publication number Publication date
JP2001043102A (en) 2001-02-16

Similar Documents

Publication Publication Date Title
US9177272B2 (en) Method and system of obtaining diagnostic data from a device at a remote location
JP2006323619A (en) Transfer system
JP2016186761A (en) Docking unit, transaction system, and notification method
JP2002021383A (en) Article depository and article management system
US20040021897A1 (en) System and method for remotely managing operations of a printing apparatus
JP3772599B2 (en) Terminal device, network system, and recording medium recording monitoring program
JP4775721B2 (en) POS terminal device and POS system
JP2021018562A (en) Method for controlling information processing apparatus, program, and communication system
JP2868843B2 (en) Automatic trading system
JP5000461B2 (en) Product sales data processing device
JP2003337970A (en) Method and program for maintaining automatic teller machine
KR101130417B1 (en) Apparatus for Examinating and Ticket
JP2861934B2 (en) Operation monitoring method for automatic certificate issuing machine
KR20200128976A (en) Locker control system having emergency control function when main control system is in trouble
TW503358B (en) Merchandise vending data processing device and system
JP2006187988A (en) Terminal device for shop, fault information displaying method, and fault information displaying program
JP3647794B2 (en) Counterfeit card identification system
JP2005349037A (en) Abnormal information reporting system and abnormal information reporting method
JP2005339400A (en) Illicitness prevention system for transaction terminal device
JP7362372B2 (en) Remote maintenance system and remote maintenance method for banknote processing system
JP6787457B2 (en) Registration devices, systems, methods and programs
JP2004038865A (en) Security system for automatic teller machine, power source controller, and automatic teller machine
JP2001338353A (en) Settlement terminal device
JP3959419B2 (en) Counterfeit card identification system
JP3733439B2 (en) Automated transaction equipment operation system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060206

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100224

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120224

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120224

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130224

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140224

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees