JP5736549B1 - 情報処理装置及び情報処理方法 - Google Patents

情報処理装置及び情報処理方法 Download PDF

Info

Publication number
JP5736549B1
JP5736549B1 JP2014047867A JP2014047867A JP5736549B1 JP 5736549 B1 JP5736549 B1 JP 5736549B1 JP 2014047867 A JP2014047867 A JP 2014047867A JP 2014047867 A JP2014047867 A JP 2014047867A JP 5736549 B1 JP5736549 B1 JP 5736549B1
Authority
JP
Japan
Prior art keywords
input
secure
unit
information
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014047867A
Other languages
English (en)
Other versions
JP2015173340A (ja
Inventor
長士 二宮
長士 二宮
中島 佳秀
佳秀 中島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2014047867A priority Critical patent/JP5736549B1/ja
Priority to US14/640,560 priority patent/US20150262175A1/en
Application granted granted Critical
Publication of JP5736549B1 publication Critical patent/JP5736549B1/ja
Publication of JP2015173340A publication Critical patent/JP2015173340A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】取引の決済処理において、決済処理に関する情報のセキュリティを担保し、適正な決済処理を行う。【解決手段】セキュア入力アプリケーションSW18及びコマンドインタプリタSW34は、相互認証が成立した場合、セキュアなVPN(仮想専用通信路)61を形成する(S2)。VPN61を介して、暗号化PIN情報などの決済関連情報の伝送が開始される(S3)。コマンドインタプリタSW34及び決済センタ50は、セキュアなVPN(仮想専用通信路)63を形成する(S4)。VPN63を介して、決済関連情報の伝送が開始される(S5)。セキュア入力マネージャSW19及び端末UI決済アプリケーションSW31は、VPN61,63を用いた伝送が正常である場合、コマンドインタプリタSW34を中継させたカード決済処理を行う。【選択図】図3

Description

本発明は、取引における決済処理の手続を行うために使用される情報処理装置及び情報処理方法に関する。
例えば、クレジットカードを使用した物品又は役務の(信用)取引においては、取引を行う人物と取引に使用されるクレジットカードの所有者とが同一人物であるかどうかを確認(本人確認)することにより、取引の安全性(セキュリティ)が確保されている。この本人確認は、取引の決済処理時に取引内容の印字された取引伝票に顧客がサインし、このサインとクレジットカードに記載されているサインとを店員が目視により対比することにより行われている。
近年、このような署名の入力及び表示が可能な端末装置は、スマートフォンやタブレット端末を用いて実現されている。スマートフォンやタブレット端末は民生用機器として多数流通しており、安価に調達して決済端末装置を構築することが可能となる。即ち、このような決済端末装置は、スマートフォンやタブレット端末等のように民生用機器として多数流通している情報端末を用いて構成できれば、決済端末装置自体を安価に調達可能である。また、決済処理その他の業務に用いられるアプリケーション(ソフトウェア)の開発プラットフォームの汎用化が可能となるので、開発資産の再利用や流用が容易となる。
しかしながら、民生用機器として使用されることを想定して設計された情報端末には、顧客の情報を保護して取引を安全に行うために必要な「耐タンパ性」が備わっていない。「耐タンパ性」とは、情報端末から情報を盗み出そうとする攻撃に対する耐性である。情報端末から情報を盗み出そうとする攻撃の対策として耐タンパ性を確保するため、決済処理に用いられるカードの認証情報に関わる部分、つまり、決済端末装置として必要な耐タンパ性を備える部分が汎用部分から分離された移動体装置が提案されている(例えば特許文献1参照)。
また、汎用な端末装置であっても、特に、暗証番号等のPIN(Personal Identification Number)を入力する場合の情報セキュリティを確保することは必要であり、この種の耐タンパ性を確保するために、決済処理においてユーザにより入力されるPINを暗号化するPINPADを含むバンキングシステム(Banking System)が知られている(例えば特許文献2参照)。また、タッチスクリーン上で入力された情報を暗号化して送信するタッチスクリーン装置も知られている(例えば特許文献3参照)。
米国特許出願公開第2010/0145854号明細書 米国特許第8376219号明細書 特開2006−185449号公報
しかし、上述した特許文献1〜3を含む従来の情報処理装置では、PINやカード情報を暗号化しただけでは、カード保有者の情報の保護にしかならない。
情報処理装置には、外部の決済先装置との間で決済処理を中継するコマンドインタプリタが設けられているが、悪意ある第三者によって、コマンドインタプリタが不正なアプリケーションに置き換えられたり不正なアプリケーションによって攻撃を受けると、不正な売りが立つ等、店舗側に不測の不利益が生じる可能性がある。つまり、店舗側が本来なら与信しない相手に商品を売ったり役務を提供しても、商品や役務の対価としての代金の回収ができないという損失が生じることがある。
一方、例えば店舗側とアクワイアラ(特定のクレジットカードの取引を取扱う加盟店契約を募集し、そのクレジット売上を統括する会社)側との間で損失に対してアクワイヤラが店舗の損失を補償するというような契約が結ばれている場合には、結果的には、アクワイアラ側に損失が生じることになってしまう。
本発明は、上述した従来の事情に鑑みて案出されたものであり、取引の決済処理において、決済処理に関する情報のセキュリティを担保し、適正な決済処理を行う情報処理装置及び情報処理方法を提供することを目的とする。
本発明は、認証情報の入力を受け付ける認証情報入力部と、耐タンパ性を有するセキュアな実行環境と、耐タンパ性を有しない非セキュアな実行環境とを別個に提供する実行環境提供部と、前記セキュアな実行環境に設けられ、前記認証情報入力部に入力された前記認証情報を管理する入力情報管理部と、前記非セキュアな実行環境に設けられ、外部の決済先装置との間の決済処理を中継する中継部と、前記入力情報管理部及び前記中継部に対して相互認証を指示する制御部と、を備え、前記入力情報管理部及び前記中継部は、前記相互認証が成立した場合、前記入力情報管理部と前記中継部との間に第1のセキュア通信路を形成し、前記中継部は、前記第1のセキュア通信路が形成され前記決済先装置との間に第2のセキュア通信路を形成した後に、前記第1のセキュア通信路及び前記第2のセキュア通信路を介して前記入力情報管理部と前記決済先装置とを中継して前記決済処理に関する決済処理情報の伝送を行う、情報処理装置である。
この構成では、認証情報入力部に入力された認証情報は、セキュアな実行環境に設けられた入力情報管理部において管理される。この認証情報は、非セキュアな実行環境に設けられた中継部と入力情報管理部との間に形成される第1のセキュア通信路を介して中継部に伝送される。中継部は、中継部と外部の決済先装置との間に形成される第2のセキュア通信路を介して決済先装置との間で決済処理を中継する。入力情報管理部と中継部との間における相互認証が成立した場合に、入力情報管理部と中継部との間に、セキュアな第1のセキュア通信路が形成され、中継部は第1のセキュア通信路が形成され決済先装置との間に第2のセキュア通信路を形成した後に、第1のセキュア通信路及び第2のセキュア通信路を介して入力情報管理部と決済先装置とを中継して決済処理に関する決済処理情報の伝送を行う。
これにより、情報処理装置は、入力情報管理部と中継部との間のセキュアな第1のセキュア通信路と、中継部と決済先装置との間のセキュアな第2のセキュア通信路とを用いて、入力された認証情報を用いた決済処理を円滑に行うことができるので、認証情報のセキュリティを担保することができ、取引において正しい決済処理を行うことができる。
これにより、情報処理装置は、入力情報管理部と中継部との間の相互認証が成立した場合に、セキュアな第1のセキュア通信路を形成できるので、例えば中継部が不正なアプリケーションによって置き換えられた場合でも、相互認証が失敗するとセキュアな第1のセキュア通信路を形成できず、決済処理の手続きは失敗することになり、結果的に認証情報のセキュリティを担保することができる。
更に、本発明は、認証情報入力部を有する情報処理装置における情報処理方法であって、耐タンパ性を有するセキュアな実行環境と、耐タンパ性を有しない非セキュアな実行環境とを別個に提供するステップと、前記認証情報入力部において認証情報の入力を受け付けるステップと、前記セキュアな実行環境に設けられた入力情報管理部において、入力された前記認証情報を管理するステップと、前記非セキュアな実行環境に設けられた中継部と前記入力情報管理部との間で相互認証を行うステップと、前記相互認証が成立した場合、前記入力情報管理部と前記中継部との間に第1のセキュア通信路を形成するステップと、前記中継部と外部の決済先装置との間第2のセキュア通信路を形成するステップと、前記中継部において、前記第1のセキュア通信路が形成され前記第2のセキュア通信路を形成した後に、前記第1のセキュア通信路及び前記第2のセキュア通信路を介して前記情報処理装置と前記決済先装置とを中継して決済処理に関する決済処理情報の伝送を行うステップと、を有する、情報処理方法である。
この方法では、認証情報入力部に入力された認証情報は、セキュアな実行環境に設けられた入力情報管理部において管理される。この認証情報は、非セキュアな実行環境に設けられた中継部と入力情報管理部との間に形成される第1のセキュア通信路を介して中継部に伝送される。中継部は、中継部と外部の決済先装置との間に形成される第2のセキュア通信路を介して決済先装置との間で決済処理を中継する。入力情報管理部と中継部との間における相互認証が成立した場合に、入力情報管理部と中継部との間に、セキュアな第1のセキュア通信路が形成され、中継部は第1のセキュア通信路が形成され決済先装置との間に第2のセキュア通信路を形成した後に、第1のセキュア通信路及び第2のセキュア通信路を介して入力情報管理部と決済先装置とを中継して決済処理に関する決済処理情報の伝送を行う。
これにより、情報処理装置は、入力情報管理部と中継部との間のセキュアな第1のセキュア通信路と、中継部と決済先装置との間のセキュアなセキュア通信路とを用いて、入力された認証情報を用いた決済処理を円滑に行うことができるので、認証情報のセキュリティを担保することができ、取引において正しい決済処理を行うことができる。
本発明によれば、取引の決済処理において、決済処理に関する情報のセキュリティを担保し、適正な決済処理を行うことができる。
(A)本実施形態の決済端末装置の外観を示す正面図、(B)図1(A)に示す決済端末装置の外観を示す側面図 本実施形態の決済端末装置のハードウェア構成の一例を具体的に示すブロック図 本実施形態の決済端末装置のソフトウェア機能を主としたシステム構成の一例を具体的に示すブロック図 本実施形態の決済端末装置の決済処理時における動作手順を詳細に説明するフローチャート 本変形例の決済端末装置の決済処理時における動作手順を詳細に説明するフローチャート
以下、本発明に係る情報処理装置及び情報処理方法の実施形態(以下、「本実施形態」という)について、図面を参照して説明する。以下の本実施形態では、本発明に係る情報処理装置の一例として、商品又は役務の取引における決済処理の際に用いられる決済端末装置を例示して説明する。なお、本発明は、情報処理装置及び情報処理方法に限らず、情報処理装置に対して情報処理方法の動作を実行させるためのコンピュータ読み取り可能な記録媒体や、情報処理装置に対して情報処理方法の動作を実行させるためのプログラムとして表現しても良い。
図1(A)は、本実施形態の決済端末装置1の外観を示す正面図である。図1(B)は、図1(A)に示す決済端末装置1の外観を示す側面図である。本実施形態の決済端末装置1は、可搬型であり、例えば商品又は役務の取引における決済処理を含む各種情報処理を行う情報処理部2を備える構成である。
以下の説明において、「セキュア」とは、決済端末装置として、第三者(悪意のある第三者や、マルウェア等のウイルス若しくは不正アプリケーション)からの情報に対する中間者攻撃に対して必要な耐タンパ性を備えることを意味し、「非セキュア」とは、そのような耐タンパ性を備えていないことを意味する。
図1(A)に示す決済端末装置1は、例えば磁気カードに記録されたカード情報を読み取るために磁気カードのスライド用のパスとなるスリット5を、情報処理部2の上側面6に備える。決済端末装置1は、例えば接触型ICカードに記録されたカード情報を読み取るために接触型ICカードが挿入される挿入口7を、情報処理部2の下側面8に備える。決済端末装置1は、例えば非接触型ICカードに記録されたカード情報を読み取るためのループアンテナ38を決済端末装置1の内部に備える。
また、決済端末装置1は、入力部及び表示部の一例として機能するタッチパネル10を、情報処理部2の前面9に備える(図1(A)参照)。
(決済端末装置のハードウェア構成)
図2は、本実施形態の決済端末装置1のハードウェア構成の一例を具体的に示すブロック図である。図2に示す決済端末装置1は、CPU21と、局所無線通信アンテナ23が接続された局所無線通信部22と、広域無線通信アンテナ25が接続された広域無線通信部24と、マイクロホン27及びスピーカ28が接続された音声I/F(Interface)部26と、表示部29と、タッチ入力検出部30と、フラッシュROM32と、RAM33と、磁気カードリーダ部35と、キーパッド部34と、暗号化部HW2と、電源部36と、バッテリ37と、ループアンテナ38が接続された非接触型ICカードリーダライタ部43と、接触型ICカードリーダ部44とを含む構成である。
また、決済端末装置1は、図3に示すように、例えばCPU21を用いて実現可能なOS(Operating System:オペレーティングシステム)SW0において、仮想的にセキュアな実行環境と仮想的に非セキュアな実行環境とを、それぞれが独立して並列に動作するよう別個に提供する。オペレーティングシステム(OS)SW0は、例えばセキュアな実行環境と非セキュアな実行環境とを、例えば仮想マシン(VM:Virtual Machine)を用いて提供する。
決済端末装置1の情報処理部2は、図2に示す決済端末装置1の各部の処理を全体的に司るCPU(Central Processing Unit)21を備える。図2では、決済端末装置1の各部がCPU21に接続されている。
局所無線通信部22は、局所無線通信アンテナ23と接続されており、不図示の局所無線通信路を用いて、例えば無線LAN(Local Area Network)による無線通信を行う。局所無線通信は、例えば無線LANに限定されず、Bluetooth(登録商標)その他でも良い。
広域無線通信部24は、広域無線通信アンテナ25と接続されており、不図示の広域無線通信路(WAN:Wide Area Network)を介して、広域無線通信を行う。広域無線通信は、例えばW−CDMA(Wideband Code Division Multiple Access)、UMTS(Universal Mobile Telecommunications System)、CDMA(Code Division Multiple Access)2000、LTE(Long Term Evolution)等の携帯電話回線による通信を用いることができる。
局所無線通信部22及び広域無線通信部24は、それぞれ決済センタ50である外部サーバと無線通信可能である。
音声I/F部26は、マイクロホン27及びスピーカ28と接続され、音声の入出力を制御する。なお、マイクロホン27、スピーカ28及び音声I/F部26と、広域無線通信部24とにより、他の携帯電話や固定電話との通話が可能となる。また、スピーカ28は、CPU21からの指示に応じて、後述するセキュアモードの状態或いは非セキュアモードの状態であることをユーザに対して明示的に報知し、又はユーザが決済端末装置1を操作する際に、ユーザへの注意を喚起するアラーム音や操作エラーを示すアラーム音を出力しても良い。
表示部29は、例えばLCD(Liquid Crystal Display)又は有機EL(Electroluminescence)を用いて構成され、CPU21が表示を指示した情報又はデータを図1に示すタッチパネル10に対して表示する。タッチ入力検出部30は、タッチパネル10に対するユーザ(例えばクレジットカード取引を取扱うクレジットカード加盟店(例えば店舗;以下では加盟店という)の店員、商品を購入した顧客)のタッチ入力を検出する。
フラッシュROM(Read Only Memory)32は、各種のデータを記憶する。記憶されるデータは、例えば業務に関わるデータでも良いし、決済端末装置1(主に情報処理部2)の動作を制御するためのプログラムでも良い。また、プログラムには、決済処理用のアプリケーション(ソフトウェア)等、決済端末装置1の動作に係る各種プログラムが含まれる。このため、フラッシュROM32は、プログラムを記録する記録媒体としての機能を有する。
RAM(Random Access Memory)33は、決済端末装置1(主に情報処理部2)の動作に伴う演算処理等の際に、その途中において発生する処理データを一時的に記憶する等のために用いられるワークメモリである。また、RAM33の特定領域には、後述するセキュアモードの状態の有無を示すセキュアフラグ(例えば、True又はFalse)や非セキュアモードの状態の有無を示す非セキュアフラグ(例えば、True又はFalse)が割り当てられる。
PIN入力部HW1は、キーパッド部34と暗号化部HW2とを含む構成である。キーパッド部34は、図3に示すハードウェアHW0に設けられた認証情報入力部の一例としてのPIN(Personal Identification Number)入力部HW1のキーパッド部34に対応し、ユーザからのキー入力を受け付ける。暗号化部HW2は、キーパッド部34により入力されたPIN情報を暗号化する。暗号化部HW2の暗号化において用いられる暗号鍵は、例えば暗号化解除部SW16と共有する共通鍵である。但し、暗号鍵は共通鍵に限定されない
磁気カードリーダ部35は、図1に示すスリット5の内部に配置され、磁気カードに印字されたカード情報としての磁気ストライプを読み取る。磁気カードリーダ部35により読み取られたカード情報はCPU21に入力される。
非接触型ICカードリーダライタ部43は、ループアンテナ38と接続されており、非接触型ICカードに記録されたカード情報を読み取る。非接触型ICカードリーダライタ部43により読み取られたカード情報はCPU21に入力される。
接触型ICカードリーダ部44は、図1に示す挿入口7の内部に配置され、挿入口7に挿入された接触型ICカードの電極を介して、接触型ICカードに記録されたカード情報を読み取る。接触型ICカードリーダ部44により読み取られたカード情報はCPU21に入力される。
電源部36は、主に情報処理部2の電源であり、バッテリ37に蓄積された電力の供給を受けて、CPU21を含む情報処理部2の各部へ電源を供給する。CPU21は、電源部36を制御することで、情報処理部2を構成する一部又は全体の回路に対して電源供給を行ったり停止したりすることが可能である。電源部36の電源供給先としては、CPU21以外に、局所無線通信部22、広域無線通信部24、表示部29、タッチ入力検出部30、非接触型ICカードリーダライタ部43、接触型ICカードリーダ部44、キーパッド部34、暗号化部HW2及び磁気カードリーダ部35の各部である。
上述した構成を有する決済端末装置1は、更に、以下のような特徴を有する。本実施形態では、情報処理部2は、表示部29とタッチ入力検出部30とにより構成されるタッチパネル10(図1及び図2参照)と、外部の接続先機器(例えば決済センタ50)との通信が可能な局所無線通信部22或いは広域無線通信部24とを含む。
近年、カードを用いた取引の決済として従来から使用されてきた磁気カードに、接触型ICカード、非接触型ICカード、電子マネーが加わり、カードを用いた取引の決済のスキームは多様化している。新たな決済のスキームの追加に伴って、決済端末装置1の開発費や価格は上昇する一方である。ここで、情報処理部2がスマートフォンやタブレット端末等の多数流通している民生用機器であれば、決済端末装置1自体の価格を安価にすることが可能となるので、決済端末装置1としての開発費の上昇は、最小限に抑えられる。
この場合、情報処理部2には、汎用OS(例えば図3に示すオペレーティングシステム(OS)SW0参照)がソフトウェアプラットフォームとして採用されている。従って、決済用のアプリケーション(決済アプリケーション)及びその他の業務に用いられるアプリケーション(以下、「業務アプリケーション」という)の開発プラットフォームが汎用化されるので、開発資産の再利用や流用は容易となる。また、情報処理部2の構成に民生用機器を用いることができれば、情報処理部2は、動画の録画及び再生がストレスなく可能な程度に高い演算処理能力を備えるため、決済アプリケーションと業務アプリケーションとを、ストレスなく柔軟に動作させることができる。
(決済端末装置のソフトウェア機能を主としたシステム構成)
図3は、本実施形態の決済端末装置1のソフトウェア機能を主としたシステム構成の一例を具体的に示すブロック図である。図3では、決済端末装置1の情報処理部2のCPU21において実行される各動作がソフトウェア機能を主としたブロックとして示されている。具体的には、オペレーティングシステム(OS)SW0と、セキュア画面UIアプリケーションSW11と、キーパッド入出力/実行制御部SW12と、暗号化処理部SW13と、キーパッドドライバSW14と、ディスプレイドライバSW15と、暗号化解除部SW16と、ICカード入出力ドライバSW20と、ICカードリーダドライバSW17と、セキュア入力アプリケーションSW18と、セキュア入力マネージャSW19と、端末UI決済アプリケーションSW31と、ディスプレイドライバSW32と、センタ接続アプリケーションSW33と、コマンドインタプリタSW34との各機能がCPU21において実行(実装)される。なお、図3において、符号ST1〜ST7は、セキュアな実行環境において、PIN入力部HW1により入力されたPIN情報に関する処理の手順を示す。
本実施形態の決済端末装置1は、オペレーティングシステム(OS)SW0において、仮想化アプリケーションを用いることで、決済端末装置1のハードウェアHW0に対し、セキュアな実行環境SW1と非セキュアな実行環境SW3とを、それぞれが独立して並列に動作するよう別個に提供する。
セキュアな実行環境SW1には、セキュア画面UIアプリケーションSW11と、キーパッド入出力/実行制御部SW12と、暗号化処理部SW13と、キーパッドドライバSW14と、ディスプレイドライバSW15と、ICカード入出力ドライバSW20と、ICカードリーダドライバSW17と、セキュア入力アプリケーションSW18と、セキュア入力マネージャSW19と、オペレーティングシステム(OS)SW0とが含まれる。
実行環境提供部の一例としてのオペレーティングシステム(OS)SW0は、セキュアな実行環境及び非セキュアな実行環境を管理する基本ソフトウェアであり、例えばWindows(登録商標)又はLinux(登録商標)である。
キーパッドドライバSW14は、キーパッド部34の動作を制御し、セキュアな通信路53を介してPIN入力部HW1から暗号化PINを入力し、暗号化解除部SW16を介してキーパッド入出力/実行制御部SW12に出力する。ここで、セキュアな通信路53は、PIN入力部HW1とキーパッドドライバSW14とによって、それらの間における専用通信路として形成される。
暗号化解除部SW16は、PIN入力部HW1の暗号化部HW2との間で共通鍵を共有しており、キーパッドドライバSW14から出力された暗号化PINを復号する。暗号化解除部SW16は、復号により得られたPIN情報をキーパッド入出力/実行制御部SW12に出力する。ちなみに、PIN入力部HW1と暗号化部HW2との間における暗号化PINの受け渡しについては、共通鍵の代わりに、公開鍵暗号方式による暗号化/復号が行われてもよい。
キーパッド入出力/実行制御部SW12は、暗号化解除部SW16を介してキーパッドドライバSW14から出力された認証情報の入出力の管理、及び当該PIN情報の入出力に関する動作の実行を制御する。
キーパッド入出力/実行制御部SW12は、キーパッドドライバSW14から出力されたPIN情報とICカードに登録されたPIN情報とを照合し、照合の結果、両者が一致すると判断した場合に、PIN情報を暗号化処理部SW13へ出力し、PIN情報を暗号化処理部SW13に暗号化させる。
暗号化部の一例としての暗号化処理部SW13は、決済センタ50において復号可能な暗号鍵を所持しており、この暗号鍵を用いて、キーパッド入出力/実行制御部SW12から出力されたPIN情報を暗号化してキーパッド入出力/実行制御部SW12に出力する。なお、暗号化処理には、決済センタ50と同じ鍵を用いた共通鍵方式による暗号化でも良いし、暗号化処理部SW13及び決済センタ50が各自の秘密鍵を所持し、かつ相手の公開鍵を所持する公開鍵暗号方式による暗号化でも良い。
セキュア画面UIアプリケーションSW11は、キーパッド入出力/実行制御部SW12からの指示に応じて、セキュアな情報が入力される表示画面をタッチパネル10に表示する。具体的には、セキュア画面UIアプリケーションSW11は、PIN情報の入力をユーザに対して促すためのメッセージを表示し、入力されるPIN情報を隠すためにアスタリスク(*)を桁単位で表示する。
ディスプレイドライバSW15は、タッチパネル10を構成する表示部29の動作を制御し、例えばキーパッド入出力/実行制御部SW12やセキュア画面UIアプリケーションSW11から出力された文字若しくは画像のデータを取得して表示部29に表示させる。
ICカードリーダドライバSW17は、接触型ICカードリーダ部44や非接触型ICカードリーダライタ部43の動作を制御し、読み取られたカード情報をICカード入出力ドライバSW20に渡す。このICカードリーダドライバSW17は、非接触型ICカードリーダライタ部43及び接触型ICカードリーダ部44のそれぞれに対して、独立した個別のカードリーダドライバが実装されてもよい。
ICカード入出力ドライバSW20は、ICカードリーダドライバSW17から出力されたカード情報をキーパッド入出力/実行制御部SW12に出力する。
入力情報管理部の一例としてのセキュア入力アプリケーションSW18は、コマンドインタプリタSW34からの指示を受けて、キーパッド入出力/実行制御部SW12から暗号化PIN情報を受け取って管理する。そして、セキュア入力アプリケーションSW18は、非セキュアな実行環境SW3に設けられたコマンドインタプリタSW34との間で相互認証を行う。相互認証が成立した場合、セキュア入力アプリケーションSW18は、コマンドインタプリタSW34との間でセキュアな仮想専用通信路(VPN:Virtual Private Network、以下「VPN」という)61を形成し、暗号化PIN情報を含む決済関連情報を伝送(入出力)する。
なお、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間の相互認証が行われずに、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間にVPN61が形成されてもよい。
制御部の一例としてのセキュア入力マネージャSW19は、セキュア入力アプリケーションSW18がコマンドインタプリタSW34との間における相互認証が出来ているか、セキュア入力アプリケーションSW18がセキュアな状態で動作可能か、などを監視する。
次に、非セキュアな実行環境SW3には、端末UI決済アプリケーションSW31と、ディスプレイドライバSW32と、センタ接続アプリケーションSW33と、コマンドインタプリタSW34と、オペレーティングシステム(OS)SW0とが設けられる。
端末UI決済アプリケーションSW31は、非セキュアな情報が入力される表示画面をタッチパネル10に表示する。例えば、端末UI決済アプリケーションSW31は、決済処理における各種の情報を表示させ、各種の入力操作を受け付ける。そして、端末UI決済アプリケーションSW31は、コマンドインタプリタSW34に対して、決済関連情報(後述)の伝送開始を指示する。決済関連情報の伝送開始については、決済センタ50がコマンドインタプリタSW34に対して指示してもよい。
ディスプレイドライバSW32は、タッチパネル10を構成する表示部29の動作を制御し、例えばキーパッド入出力/実行制御部SW12や端末UI決済アプリケーションSW31から出力された決済画面、文字若しくは画像のデータを取得して表示部29に表示させる。
センタ接続アプリケーションSW33は、コマンドインタプリタSW34から出力された暗号化PIN情報、カード情報(例えばICカードのカード発行会社、対応するブランド、カード番号)、売上処理情報(例えば決済金額、支払い方法)などの決済関連情報を、接続先機器である決済センタ50等に送信するように、局所無線通信部22又は広域無線通信部24に指示する。
中継部の一例としてのコマンドインタプリタSW34は、セキュア実行環境に設けられたセキュア入力アプリケーションSW18との間で相互認証を行い、相互認証が成立した場合に、セキュアなVPN(仮想専用通信路)61を形成し、暗号化PIN情報を含む決済関連情報を伝送する。また、コマンドインタプリタSW34は、決済先装置である外部の決済センタ(外部サーバ)50との間で、セキュアなVPN(仮想専用通信路)63を形成し、このVPN63を介して決済関連情報を伝送する。この決済関連情報には、決済金額、支払い方法、暗号化PIN情報等が含まれる。
(決済端末装置1の決済処理時における動作手順)
次に、本実施形態の決済端末装置1の決済処理時における動作について、図4を参照して説明する。図4は、本実施形態の決済端末装置1の決済処理時における動作手順を詳細に説明するフローチャートである。決済端末装置1の情報処理部2(図1及び図2参照)にインストールされた端末UI決済アプリケーションSW31(図3参照)が起動されると、端末UI決済アプリケーションSW31は、コマンドインタプリタSW34を実行させて、決済処理の手続を開始する。
図4において、まず、セキュア入力アプリケーションSW18及びコマンドインタプリタSW34は、セキュア入力マネージャSW19からの指示に応じて、相互認証を開始する(S1)。なお、相互認証の方法は公知技術であるため、説明を割愛する。
ステップS1の相互認証が成立した場合には、セキュア入力アプリケーションSW18及びコマンドインタプリタSW34は、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間に、セキュアな仮想専用通信路(VPN:Virtual Private Network、以下「VPN」という)61を形成する(S2)。
コマンドインタプリタSW34は、セキュア入力アプリケーションSW18に対し、セキュア入力アプリケーションSW18が管理している暗号化PIN情報、カード情報(例えばICカードのカード発行会社、対応するブランド、カード番号などの情報)などの決済関連情報の伝送開始を指示する。この指示に従って、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間では、VPN61を介して、暗号化PIN情報を含む決済関連情報の伝送がセキュアに実行される(S3)。
ステップS1〜S3の動作と並行して、セキュア入力マネージャSW19からの指示に応じて、コマンドインタプリタSW34は、コマンドインタプリタSW34と決済センタ(外部サーバ)50との間に、セキュアな仮想専用通信路(VPN:Virtual Private Network、以下「VPN」という)63を形成する(S4)。
端末UI決済アプリケーションSW31は、コマンドインタプリタSW34に対し、決済関連情報の伝送開始を指示する。この指示に従って、コマンドインタプリタSW34と決済センタ(外部サーバ)50との間では、VPN63を介して、決済関連情報の伝送がセキュアに実行される(S5)。
ステップS3,S5で伝送が開始されると、セキュア入力マネージャSW19は、VPN61、63を用いた伝送が正常(OK)であるか否かを判別する(S6)。伝送が異常(NG)である場合、セキュア入力マネージャSW19は、セキュア入力アプリケーションSW18に対して、再度、伝送を試みさせる(S7)。所定回数試みさせても、伝送が異常である場合、本動作は強制的に終了する。
一方、伝送が正常である場合、コマンドインタプリタSW34を中継させた、点線枠AAで示すカード決済処理が行われる。
端末UI決済アプリケーションSW31は、決済金額情報及び支払方法の入力を受け付けると、カードの読取り操作を促すためのメッセージをタッチパネル10の画面に表示させる(図3のST1、ST2参照)。
ICカード入出力ドライバSW20は、接触型ICカードの挿入口7への挿入又は非接触型ICカードの決済端末装置1の前面9への近接のいずれかの操作により、ICカードを読み取る(S8)。
セキュア画面UIアプリケーションSW11は、タッチパネル10に対し、PIN情報の入力をユーザに対して促すためのメッセージを表示する。
キーパッド入出力/実行制御部SW12は、キーパッドドライバSW14及び暗号化解除部SW16を介して、PIN入力部HW1により入力されたPIN情報を入力する(S9、図3のST3、ST4参照)。PIN情報がキーパッド入出力/実行制御部SW12に入力される。
PIN照合が必要な決済処理における第一の動作手順として、キーパッド入出力/実行制御部SW12は、ステップS9において入力されたPIN情報を暗号化処理部SW13に出力し、その情報を暗号化処理部SW13に暗号化させる(S10、図3のST5も参照)。
暗号化処理部SW13は、決済センタ50において復号可能な暗号鍵を用いて、キーパッド入出力/実行制御部SW12から出力されたPIN情報を暗号化してキーパッド入出力/実行制御部SW12に出力する(図3のST6参照)。
セキュア入力マネージャSW19は、セキュア入力アプリケーションSW18に対し、暗号化処理部SW13による暗号化により生成された暗号化PIN情報と、ステップS8において読み取られたICカードの情報とをキーパッド入出力/実行制御部SW12から取得させ(図3のST7参照)、VPN61を介して非セキュアな実行環境にあるコマンドインタプリタSW34に暗号化PIN情報とICカードの情報とを伝送させる。ステップS8において読み取られたICカードの情報(例えばカード発行会社、対応するブランド、カード番号など)については暗号化されてもよいし、そうでなくてもよい。ICカードの情報の暗号化は、暗号化処理部SW13によりなされてもよいし、図示しない別の暗号化処理部によりなされてもよい。
コマンドインタプリタSW34は、暗号化PIN情報とICカードの情報とを受け取って、セキュアなVPN63を介した外部の決済センタ50(若しくはアクワイアラ、以下同じ)との伝送を行う。(S10)。決済センタ50は、決済端末装置1のコマンドインタプリタSW34から受信したPIN情報を復号し、決済センタ50において管理されているPIN情報と復号されたPINとを照合する。これら2つのPIN情報が一致し、かつ照合対象のカードが取引上問題無いと確認された(例えばブラックリストに載っていない)場合、決済センタ50は、決済端末装置1のセンタ接続アプリケーションSW33を介して、コマンドインタプリタSW34に対して与信を行う。決済端末装置1のコマンドインタプリタSW34は、決済センタ50の与信を受けて、その後の決済処理としての売上処理を行い、決済センタ50との通信を終了する。
決済端末装置1のコマンドインタプリタSW34は、その売上処理データの決済センタ50への送信を、売上処理の完了後から決済センタ50との通信を終了する前までの間に行ってもよいし、他の決済の売上処理データと併せて後ほど行ってもよい。売上処理データの送信は、VPN63を介して行われる。VPN63の形成は、ステップS8においてICカードの読み取りが行われ、そしてステップS9においてPIN情報が入力された後に行われてもよい。なおかつ、VPN63の形成は、ステップS9において入力されたPIN情報とステップS8において読み取られたICカードに登録されたPIN情報とが一致するという照合結果が得られた後でもよい。2つのPIN情報が一致しない場合、又は照合対象のカードが取引上問題無いと確認された(例えばブラックリストに載っていない)場合、決済センタ50は、決済端末装置1のコマンドインタプリタSW34に対して与信できない旨の通知を行う。その通知を受けて、決済端末装置1のコマンドインタプリタSW34は売上処理を行わず、決済処理を中止する。
以上により、決済処理における第一の動作手順において、本実施形態の決済端末装置1の非セキュアな実行環境に設けられたコマンドインタプリタSW34は、相互認証が行われたVPN61によってセキュア入力アプリケーションSW18とセキュアに接続され、かつ、外部の決済センタ50とVPN63によってセキュアに接続される。
従って、決済端末装置1は、例えばコマンドインタプリタSW34が、悪意のある第三者の攻撃によって不正アプリケーションに置き換えられた場合には、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間の相互認証が失敗するので、決済処理の手続きが失敗する。このように、決済端末装置1は、コマンドインタプリタSW34が不正なアプリケーションによって置き換えられて決済処理されることがなくなるので、取引において正しい決済処理を行うことができる。
この結果、本実施形態の決済端末装置1によれば、店舗が本来的には与信しない相手に対し、商品を売ったり役務を提供することは起きず、代金を回収できないという損失は発生しなくなる。また、店舗側とアクワイアラ側との間で店舗の損失を補償する契約が結ばれている場合でも、アクワイアラ側に損失が発生しなくなる。
また、本実施形態の決済端末装置1は、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間では、相互認証が成立した場合に形成されるVPN(仮想専用通信路)61を介して、暗号化PIN情報をセキュアに伝送するので、PIN情報のセキュリティを担保できる。
一方、PIN照合が必要な決済処理における第二の動作手順として、ICカード入出力ドライバSW20は、接触型ICカードの挿入口7への挿入又は又は決済端末装置1の前面9への近接のいずれかの操作により、ICカードを読み取る(S8)。
セキュア画面UIアプリケーションSW11は、タッチパネル10に対し、PIN情報の入力をユーザに対して促すためのメッセージを表示する。
キーパッド入出力/実行制御部SW12は、キーパッドドライバSW14及び暗号化解除部SW16を介して、PIN入力部HW1により入力されたPIN情報を入力する(S9、図3のST3、ST4参照)。
キーパッド入出力/実行制御部SW12は、ステップS9において入力されたPIN情報を、セキュア入力アプリケーションSW18に出力する。セキュア入力アプリケーションSW18は、キーパッド入出力/実行制御部SW12から入力されたPIN情報を、ICカード入出力ドライバSW20およびICカードリーダドライバSW17を介してICカード(不図示)に出力する。ステップS9において入力されたPIN情報は、キーパッド入出力/実行制御部SW12からセキュア入力アプリケーションSW18への出力時において、ステップS8において読み取りを行ったICカードが復号可能な鍵によって暗号化されてもよい。
ICカードは、ICカードに登録されたPIN情報と、ステップS9において入力されたPIN情報とを照合し、それらのPINの照合結果を出力する。ステップS8において読み取りを行ったICカードが非接触型である場合、決済端末装置1は、入力されたPIN情報の出力時において、使用者がICカードをループアンテナ38との通信が可能な位置に再びかざすよう、タッチパネル10の表示部29に表示する。あるいは決済端末装置1は、ステップS8におけるICカードの読み取り時から、ステップS9におけるPIN情報の入力を経て、PIN情報の照合結果をICカードから得るまで、ループアンテナ38との通信が可能な位置にICカードが載置され続ける構造と処理を備える。
セキュア入力アプリケーションSW18は、ICカードから出力されたPINの照合結果を、ICカード入出力ドライバSW20およびICカードリーダドライバSW17を介して入力する。セキュア入力アプリケーションSW18は、ステップS9において入力されたPIN情報とステップS8において読み取られたICカードに登録されたPIN情報とが一致するという照合結果がICカードから得られれば、コマンドインタプリタSW34に対してその後の決済処理としての売上処理を指示する。売上処理の指示と同時に、セキュア入力アプリケーションSW18は、売上処理に必要な情報を、コマンドインタプリタSW34へ送信してもよい。売上処理の指示と売上処理に必要な情報の送信は、先ほどオンライン決済において説明した相互認証により形成された、VPN61を介して行われる。VPN61を形成する際の相互認証が失敗した場合、又は2つのPINが一致しないという照合結果をセキュア入力アプリケーションSW18が得た場合、セキュア入力アプリケーションSW18は、コマンドインタプリタSW34に対して売上処理を指示しない。コマンドインタプリタSW34は売上処理を行わず、その後の決済処理の手続は中止される。
決済端末装置1のコマンドインタプリタSW34は、ステップS9において入力されたPIN情報とステップS8において読み取られたICカードに登録されたPIN情報とが一致するという照合結果が得られれば、その後の決済処理としての売上処理を行う。コマンドインタプリタSW34は、その売上処理データの決済センタ50への送信を、売上処理の完了後から決済センタ50との通信を終了する前までの間に行ってもよいし、他の決済の売上処理データと併せて後ほど行ってもよい。売上処理データの送信は、VPN63を介して行われる。VPN63の形成は、ステップS8においてICカードの読み取りが行われ、そしてステップS9においてPIN情報が入力された後に行われてもよい。なおかつ、VPN63の形成は、ステップS9において入力されたPIN情報とステップS8において読み取られたICカードに登録されたPIN情報とが一致するという照合結果が得られた後でもよい。
以上により、決済処理における第二の動作手順においても、本実施形態の決済端末装置1では、非セキュアな実行環境SW3に設けられたコマンドインタプリタSW34は、相互認証が行われたVPN61によってセキュア入力アプリケーションSW18とセキュアに接続され、かつ、外部の決済センタ50とVPN63によってセキュアに接続される。
従って、決済端末装置1は、例えばコマンドインタプリタSW34が、悪意のある第三者の攻撃によって不正アプリケーションに置き換えられた場合には、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間の相互認証が失敗するので、決済処理の手続きが失敗する。このように、決済端末装置1は、コマンドインタプリタSW34が不正なアプリケーションによって置き換えられて決済処理されることがなくなるので、取引において正しい決済処理を行うことができる。
この結果、本実施形態の決済端末装置1によれば、店舗が本来的には与信しない相手に対し、商品を売ったり役務を提供することは起きず、代金を回収できないという損失は発生しなくなる。また、店舗側とアクワイアラ側との間で店舗の損失を補償する契約が結ばれている場合でも、アクワイアラ側に損失が発生しなくなる。
また、本実施形態の決済端末装置1は、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間では、相互認証が成立した場合に形成されるVPN61を介して、売上処理の指示をセキュアに行うので、売上処理のセキュリティを担保できる。
(本実施形態の変形例)
上述した本実施形態では、セキュア入力アプリケーションSW18及びコマンドインタプリタSW34間のVPN(仮想専用通信路)61と、コマンドインタプリタSW34及び外部の決済センタ50間のVPN(仮想専用通信路)63とは、並行した動作で形成された。
本実施形態の変形例(以下、「本変形例」という)では、セキュア入力アプリケーションSW18及びコマンドインタプリタSW34間のVPN61と、コマンドインタプリタSW34及び外部の決済センタ50間のVPN63とは、時系列に形成される例を説明する。
図5は、本変形例の決済端末装置1の決済処理時における動作手順を詳細に説明するフローチャートである。図4のステップ処理と同一のステップ処理については、同一のステップ番号を付すことで、その説明を省略する。
図5では、セキュア入力マネージャSW19は、ステップS1〜S3の処理の終了後、セキュア入力アプリケーションSW18とコマンドインタプリタSW34との間のVPN61を形成させた後、ステップS4,S5の処理の終了後に、コマンドインタプリタSW34と外部の決済センタ50との間のVPN63を形成させる。
以上により、本変形例では、決済端末装置1は、セキュア入力アプリケーションSW18及びコマンドインタプリタSW34間のVPN61と、コマンドインタプリタSW34及び外部の決済センタ50間のVPN63との形成を時系列に実行することで、VPNの形成時における処理負荷を軽減でき、比較的廉価なハードウェアで実現可能である。
以上、図面を参照しながら各種の実施形態について説明したが、本発明はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
例えば、本実施形態およびその変形例は、一つのオペレーティングシステム(OS)SW0において、仮想化アプリケーションを用いることで、決済端末装置1のハードウェアHW0に対し、セキュアな実行環境SW1と非セキュアな実行環境SW3とが、それぞれが独立して並列に動作するよう別個に提供される。
本発明の決済端末装置1においては、仮想化ハイパーバイザが、決済端末装置1のハードウェアHW0に対し、セキュアな実行環境SW1を提供するセキュア仮想マシン(Secure VM)と、非セキュアな実行環境SW3を提供する非セキュア仮想マシン(Non-Secure VM)とが別個に提供され、セキュア仮想マシンを制御する第1のゲストOS(Operating System)がセキュア仮想マシンに含まれ、非セキュア仮想マシンを制御する第2のゲストOSが非セキュア仮想マシンに含まれていてもよい。
そして上記実施形態では、セキュアな実行環境及び非セキュア実行環境を同じCPUで実現していたが、別々のCPUで実現させてもよい。
本発明は、決済端末装置の他、銀行のATM装置等、各種のセキュアな入力を必要とする装置に適用可能である。
本発明は、例えば決済処理において使用され、取引の決済処理において、決済処理に関する情報のセキュリティを担保し、適正な決済処理を行う情報端末装置及び情報処理方法として有用である。
1 決済端末装置
2 情報処理部
10 タッチパネル
21 CPU
22 局所無線通信部
23 局所無線通信アンテナ
24 広域無線通信部
25 広域無線通信アンテナ
26 音声入出力部
27 マイク
28 スピーカ
29 表示部
30 タッチ入力検出部
32 フラッシュROM
33 RAM
34 キーパッド部
35 磁気カードリーダ部
36 電源部
37 バッテリ
38 ループアンテナ
43 非接触型ICカードリーダライタ部
44 接触型ICカードリーダ部
50 決済センタ(外部サーバ)
61、63 VPN(仮想専用通信路)
HW1 PIN入力部
HW2 暗号化部
SW0 オペレーティングシステム(OS)
SW1 セキュアな実行環境
SW3 非セキュアな実行環境
SW11 セキュア画面UIアプリケーション
SW12 キーパッド入出力/実行制御部
SW13 暗号化処理部
SW14 キーパッドドライバ
SW15 ディスプレイドライバ
SW16 暗号化解除部
SW17 ICカードリーダドライバ
SW18 セキュア入力アプリケーション
SW19 セキュア入力マネージャ
SW20 ICカード入出力ドライバ
SW31 端末UI決済アプリケーション
SW32 ディスプレイドライバ
SW33 センタ接続アプリケーション
SW34 コマンドインタプリタ

Claims (2)

  1. 認証情報の入力を受け付ける認証情報入力部と、
    耐タンパ性を有するセキュアな実行環境と、耐タンパ性を有しない非セキュアな実行環境とを別個に提供する実行環境提供部と、
    前記セキュアな実行環境に設けられ、前記認証情報入力部に入力された前記認証情報を管理する入力情報管理部と、
    前記非セキュアな実行環境に設けられ、外部の決済先装置との間の決済処理を中継する中継部と、
    前記入力情報管理部及び前記中継部に対して相互認証を指示する制御部と、を備え
    前記入力情報管理部及び前記中継部は、前記相互認証が成立した場合、前記入力情報管理部と前記中継部との間に第1のセキュア通信路を形成し、
    前記中継部は、前記第1のセキュア通信路が形成され前記決済先装置との間に第2のセキュア通信路を形成した後に、前記第1のセキュア通信路及び前記第2のセキュア通信路を介して前記入力情報管理部と前記決済先装置とを中継して前記決済処理に関する決済処理情報の伝送を行う、
    情報処理装置。
  2. 認証情報入力部を有する情報処理装置における情報処理方法であって、
    耐タンパ性を有するセキュアな実行環境と、耐タンパ性を有しない非セキュアな実行環境とを別個に提供するステップと、
    前記認証情報入力部において認証情報の入力を受け付けるステップと、
    前記セキュアな実行環境に設けられた入力情報管理部において、入力された前記認証情報を管理するステップと、
    前記非セキュアな実行環境に設けられた中継部と前記入力情報管理部との間で相互認証を行うステップと、
    前記相互認証が成立した場合、前記入力情報管理部と前記中継部との間に第1のセキュア通信路を形成するステップと、
    前記中継部と外部の決済先装置との間第2のセキュア通信路を形成するステップと、
    前記中継部において、前記第1のセキュア通信路が形成され前記第2のセキュア通信路を形成した後に、前記第1のセキュア通信路及び前記第2のセキュア通信路を介して前記情報処理装置と前記決済先装置とを中継して決済処理に関する決済処理情報の伝送を行うステップと、を有する、
    情報処理方法。
JP2014047867A 2014-03-11 2014-03-11 情報処理装置及び情報処理方法 Expired - Fee Related JP5736549B1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014047867A JP5736549B1 (ja) 2014-03-11 2014-03-11 情報処理装置及び情報処理方法
US14/640,560 US20150262175A1 (en) 2014-03-11 2015-03-06 Payment terminal device and payment processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014047867A JP5736549B1 (ja) 2014-03-11 2014-03-11 情報処理装置及び情報処理方法

Publications (2)

Publication Number Publication Date
JP5736549B1 true JP5736549B1 (ja) 2015-06-17
JP2015173340A JP2015173340A (ja) 2015-10-01

Family

ID=53487115

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014047867A Expired - Fee Related JP5736549B1 (ja) 2014-03-11 2014-03-11 情報処理装置及び情報処理方法

Country Status (2)

Country Link
US (1) US20150262175A1 (ja)
JP (1) JP5736549B1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150091508A1 (en) * 2013-10-01 2015-04-02 Blackberry Limited Bi-directional communication with a device under charge

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005208752A (ja) * 2004-01-20 2005-08-04 Canon Inc コマンドインタプリタ・プログラム、情報処理装置及び方法
JP2006195728A (ja) * 2005-01-13 2006-07-27 Toshiba Corp 端末機器に装着される電子装置及び通信システム
JP2008244992A (ja) * 2007-03-28 2008-10-09 Casio Comput Co Ltd 端末装置及びプログラム
JP2009081710A (ja) * 2007-09-26 2009-04-16 Panasonic Corp 通信機器及び通信機器に用いられる通信方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100145854A1 (en) * 2008-12-08 2010-06-10 Motorola, Inc. System and method to enable a secure environment for trusted and untrusted processes to share the same hardware
US8365985B1 (en) * 2010-04-12 2013-02-05 Diebold Self-Service Systems Division Of Diebold, Incorporated Banking system controlled responsive to data bearing records
US8666895B2 (en) * 2011-01-31 2014-03-04 Bank Of America Corporation Single action mobile transaction device
TW201403375A (zh) * 2012-04-20 2014-01-16 歐樂岡科技公司 用於安全購買之安全區
US9276910B2 (en) * 2013-11-19 2016-03-01 Wayne Fueling Systems Llc Systems and methods for convenient and secure mobile transactions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005208752A (ja) * 2004-01-20 2005-08-04 Canon Inc コマンドインタプリタ・プログラム、情報処理装置及び方法
JP2006195728A (ja) * 2005-01-13 2006-07-27 Toshiba Corp 端末機器に装着される電子装置及び通信システム
JP2008244992A (ja) * 2007-03-28 2008-10-09 Casio Comput Co Ltd 端末装置及びプログラム
JP2009081710A (ja) * 2007-09-26 2009-04-16 Panasonic Corp 通信機器及び通信機器に用いられる通信方法

Also Published As

Publication number Publication date
JP2015173340A (ja) 2015-10-01
US20150262175A1 (en) 2015-09-17

Similar Documents

Publication Publication Date Title
US11393300B2 (en) Secure point of sale terminal and associated methods
US10135614B2 (en) Integrated contactless MPOS implementation
CN111582859B (zh) 用于进行销售点交易的方法、电子设备和介质
US9361619B2 (en) Secure and convenient mobile authentication techniques
US10025957B2 (en) Learning a new peripheral using a security provisioning manifest
EP2363824B1 (en) Trusted display based on display device emulation.
CN104380652B (zh) 用于nfc使能设备的多发行商安全元件分区架构
US9172539B2 (en) In-market personalization of payment devices
WO2016069775A1 (en) Secure extensible point of sale platform
JP2015215687A (ja) 可搬型決済端末装置
JP5685739B1 (ja) 可搬型決済端末装置
US9760739B2 (en) Information processing device
CN105378773B (zh) 用于燃料分配机系统架构的字母数字小键盘
US20110178903A1 (en) Personal identification number changing system and method
JP6124034B2 (ja) 取引処理装置、取引処理方法、プログラム及び取引処理システム
JP2015171105A (ja) 決済端末装置
WO2015182104A1 (ja) 決済端末装置
EP3387605B1 (en) Interception of touch pad events for handling in a secure environment
US9639840B2 (en) Information processing device and information processing method
JP5776023B1 (ja) 情報処理装置及び情報処理方法
JP5736549B1 (ja) 情報処理装置及び情報処理方法
CN103530963A (zh) 智能触摸屏pos机密码安全保护装置及方法
CN108924822A (zh) 一种基于可信环境的有卡安全通信方法及移动终端
JP5866535B1 (ja) 取引処理装置、取引処理方法、プログラム及び取引処理システム
JP2022053457A (ja) タッチレスpin入力方法及びタッチレスpin入力システム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150106

R151 Written notification of patent or utility model registration

Ref document number: 5736549

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees