JP6329485B2 - 移動端末、処理端末、及び、移動端末を用いて処理端末で処理を実行する方法 - Google Patents

移動端末、処理端末、及び、移動端末を用いて処理端末で処理を実行する方法 Download PDF

Info

Publication number
JP6329485B2
JP6329485B2 JP2014536127A JP2014536127A JP6329485B2 JP 6329485 B2 JP6329485 B2 JP 6329485B2 JP 2014536127 A JP2014536127 A JP 2014536127A JP 2014536127 A JP2014536127 A JP 2014536127A JP 6329485 B2 JP6329485 B2 JP 6329485B2
Authority
JP
Japan
Prior art keywords
mobile terminal
terminal
processing terminal
processing
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014536127A
Other languages
English (en)
Other versions
JP2015501028A (ja
Inventor
スピッツ、ステファン
Original Assignee
トラストニック リミテッド
トラストニック リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by トラストニック リミテッド, トラストニック リミテッド filed Critical トラストニック リミテッド
Publication of JP2015501028A publication Critical patent/JP2015501028A/ja
Application granted granted Critical
Publication of JP6329485B2 publication Critical patent/JP6329485B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/18Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3223Realising banking transactions through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1091Use of an encrypted form of the PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72409User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
    • H04M1/72412User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories using two-way short-range wireless interfaces
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2109Game systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • General Engineering & Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephone Function (AREA)
  • Storage Device Security (AREA)

Description

本発明は、移動端末(特に携帯電話)、処理端末、及び、当該移動端末を用いて当該処理端末で処理を実行する方法に関するものである。
例えば、現金を引き出すため、現金を使用せずに購入品の代金を払うため、及び、チケットなどを購入するためなど、端末で決裁処理を実行するために、銀行顧客はEC、デビットまたはクレジットカード(以下略して支払いカードまたはカードと記載する)を使用できる。現金を引き出すために、顧客は、自分の支払いカードをキャッシュ・マシン(現金自動預払機またはATMとも呼ばれる)の形態の処理端末のカード読み取り装置に挿入し、現金自動預払機のキーパッドを用いて自分だけが知っている暗証番号(PIN)を入力する。現金自動預払機は、PINの正当性を点検するとともに出金を決定する認証センターを有するバックグラウンド・システムに接続されている。顧客が正しいPINを入力した場合、顧客に選択された額が顧客に支払われ、顧客の口座から支払額が引き落とされる。
一般に、現金自動預払機において、PINを入力するために「PINパッド」と呼ばれるキーパッドが使用される。PINパッドは、現金自動預払機の暗号化ハードウェアと共にユニットを形成し、PINが暗号化されていない形態で決して外界に渡らないように構成される。とりわけ、バックグラウンド・システムの認証センターにリクエストを転送するときに、現金自動預払機に実装される処理を実行するためのソフトウェアは、前々から、とりわけ暗号化されたPIN(当然に適用される)を用いてのみ動作する。
処理端末(特に、処理端末のキーパッドを使用してPINを入力しなければならない現金自動預払機)を用いて処理を実行するときに、「スキミング攻撃」の危険がある。この種のスキミング攻撃の典型的な攻撃パターンは、例えば、現金自動預払機において、口座番号、及び/又は、顧客の氏名、それに加えてPINといった、顧客の支払いカードの磁気帯に保存される顧客を識別するためのデータを同時に覗き見ることである。顧客のカードからのデータは、その後、典型的には空のカードにコピーされ、攻撃者によってPINとともに使用されて、現金自動預払機から現金が引き出される。従って、スキミング攻撃は、再生攻撃(リプレイアタック)である。カードは顧客が所有したままなので、一般に顧客がこの種の攻撃に気づくのは、新しい銀行取引明細書を受け取った場合だけ、又は、借越協約が借越しになった後に銀行が介入する場合だけ、すなわち、攻撃者が現金を顧客の口座からすでに回収し、それにより損害が発生した後だけである。
一方では、現金自動預払機において、スキミング攻撃の異なる形態が、知られるようになってきた。その共通の特徴は、現金自動預払機に取り付けられる読取機の小型化が進んだことで、読取機を用いた不正操作がきわめて容易になったという事実である。1つの異なる形態は、現金自動預払機の顧客の支払いカード用の挿入軸に小さいプラスチック・フレームの形態で読取機を直接に取り付けることを含む。そして、カードは、容易に追加された読取機を通して現金自動預払機に引き込まれ、カードの磁気帯の内容はその過程で読み込まれる。他の異なる形態は、銀行の支店のドア・オープナに追加の読取機を据え付けることを含む。その理由は、銀行の支店(現金自動預払機へのアクセスがある)のロビーへのアクセスには、カードを挿入することが必要なことがしばしばあるためである。
PINの入力は、通常、例えば、現金自動預払機のキーパッドの上方に貼り付けられたプラスチック小片に隠された小さな無線カメラを使用して撮影される。疑い深いユーザであってさえも、この小片は、通常、ほとんど識別不可能である。しかしながら、キーパッドの完全な偽物もまた使用され、それは実際のキーパッドの上に貼り付けられて顧客によるキーパッドの入力(特に、PIN)をたやすく記録する。
スキミング攻撃を防ぐ従来の方法は、通常、使い勝手の良いものではなく、複雑になっており、かつ/又は、スキミング攻撃を部分的に妨げることができるだけである。
このような背景に対して、本発明は、処理端末で処理を実行する方法と、スキミング攻撃に対して比較的に単純で、かつ、使い勝手の良い予防を提供する、対応する処理端末と、を提供することを目的としている。
本発明の第1の態様によれば、請求項1による移動端末を用いて処理端末で処理を実行する方法によって、この目的が達成される。本発明の第2の態様および第3の態様によれば、装置の独立請求項は、対応する移動端末および対応する処理端末に関する。本発明の有利な改良は、下位の請求項に規定される。
本発明は、処理端末(特に、現金自動預払機)で処理を実行するときに必要とされる、顧客を認証するためのパスワード(特に、PIN)の入力を、スキミング攻撃にさらされる処理端末のキーパッドから、安全な移動端末(好ましくは、安全な携帯電話)の安全な入力装置へと、移動するという基本的な概念に基づくものである。安全な携帯電話は、安全な通信経路を介して処理端末と通信する。
この目的のために、安全な移動端末は、通常のランタイム環境および安全な、信頼されたランタイム環境が実装されるプロセッサユニットを備える。この場合、安全なランタイム環境は、通常のランタイム環境から分離されて、セキュリティが重要なアプリケーションを実行するために用いる。
本発明によれば、移動端末の入力装置を制御するための入力装置ドライバは、移動端末の安全なランタイム環境に実装され、移動端末の入力装置を用いて、移動端末のプロセッサユニットの安全なランタイム環境へと、入力を安全に転送するように構成される。これによって、移動端末の入力装置が、プロセッサユニットの信頼されたランタイム環境に安全に接続されるため、入力装置と移動端末のプロセッサユニット間の通信経路が、不正操作のための攻撃域として除外されることが、確実になる。
好ましくは、移動端末は、移動端末と処理端末の間に安全な通信経路を形成するように構成される通信モジュールも備える。この好ましい実施例において、通信モジュール・ドライバも、移動端末の安全なランタイム環境に好ましくは実装され、かつ、プロセッサユニットにより提供されるデータを、通信モジュールおよび安全な通信経路を介して、安全に処理端末に発信するように構成される。これによって、通信モジュールが、プロセッサユニットの信頼されたランタイム環境に安全に接続されるため、プロセッサユニットと移動端末の通信モジュール間の通信経路が、不正操作のための攻撃域として除外されることが、確実になる。
安全なランタイム環境の好ましい実施例のひとつは、従来技術から公知のARM(商標)TrustZone(商標)である。この場合、好ましくは同様に公知のMobiCore(商標)オペレーティングシステムである、分離された安全なオペレーティングシステムが、このTrustZone(商標)内部で動作する。
好ましくは、移動端末は、ディスプレイ装置ドライバによって制御されるディスプレイ装置も備える。ディスプレイ装置ドライバは、好ましくは、プロセッサユニットの安全なランタイム環境に実装される。入力装置およびディスプレイ装置がタッチスクリーンの形態である移動端末において、これは特に有利である。
処理端末で処理を実行するための本発明による方法において、支払カード(例えば、EC、デビット、又はクレジットカード)を用いて、支払いカードが処理端末の挿入軸に挿入され、処理端末の読取機によって読み込まれることによって、顧客は、好ましくは処理端末に対して識別される。支払いカードは、好ましくは、顧客を一意に識別することを可能にする、顧客に関連する識別データ要素(例えば、主要口座番号(PAN)、口座番号、カード番号、顧客の氏名、および/または、その他)を格納する磁気帯を備える。同様に、顧客は、代替的にまたは追加的に支払いカードを用いて非接触方式で識別されることもできる。すなわち、エア・インタフェースを介して支払いカードと処理端末の間で安全な通信によって識別されることもできると考えられる。
処理端末が異なる処理が選択されることを許容する場合には、好ましい実施例においては、顧客が支払いカード及び格納されたデータ(少なくとも1つの識別データ要素を含む)を用いて処理端末に対して識別された後に、顧客は自信が望む処理を(例えば、処理端末のキーパッドまたはタッチスクリーンを用いて)選択するはずである。しかしながら、同様に、移動端末を用いて(例えば移動端末の入力装置を用いて)実行される望まれる処理の選択は、好ましくは、正確には安全な通信経路が移動端末と処理端末の間に形成された後であると考えられる。
顧客が識別データ要素を用いて識別され、かつ、処理がおそらく顧客によって選択された後、安全な通信経路が、エア・インタフェースを介して処理端末と移動端末の通信モジュールの間に好ましくは設定される。本発明の範囲内で、安全な通信経路とは、少なくとも安全に関連したデータ(例えば、PIN)が移動端末と処理端末の間で(例えば、暗号化方法を用いて)暗号化された形態で送信される通信経路のことを意味するものと理解される。
処理端末と移動端末の通信モジュールは、好ましくは、エア・インタフェースを介した処理端末と移動端末の間の通信が、近距離無線通信の規格またはプロトコルによって実行されるように構成される。その場合、移動端末が処理端末の近接場に入ると、移動端末と処理端末の間に安全な通信経路が形成される。好ましい近距離無線通信の規格またはプロトコルは、NFC、ブルートゥース、RFID、WLAN、DECT、ZigBeeまたは赤外線である。NFC標準による通信の好ましい使用の間、好ましくは、処理端末がNFC読取機の役割を担い、移動端末またはその通信モジュールがNFCタグまたはNFCトランスポンダ(応答装置)の役割を担う。代案として、処理端末と移動端末の間のNFC通信は、ピア・ツー・ピア方式で実行されることもできる。しかしながら、近距離無線通信の規格またはプロトコルを用いて移動端末と処理端末の間で通信していても、移動端末および処理端末は、他の通信方式を用いて(例えば、SMSを用いて)、互いに無線で通信することもできる。
移動端末と処理端末の間の安全な通信経路を設定するときには、少なくとも一方向の認証(例えば、チャレンジレスポンス方式の形態)が、好ましくは使用される。その認証の間に、処理端末は、移動端末に対して本物であることが認証される。これにより、移動端末は、攻撃者が所有しており処理端末のようにふるまう通信装置を用いることなく、処理端末と実質的に通信することが確実になる。
他の好ましい実施例では、正確には好ましくは再びチャレンジレスポンス方式の認証を用いて、移動端末も、処理端末に対して認証される必要がある。この好ましい実施例の利点は、特に、支払いカードによって識別された顧客が所有する移動端末と通信しているか、又は、他の移動端末(例えば、可能性のある攻撃者が所有する移動端末)と通信しているか、処理端末が確認できるという事実である。後の場合では、好ましくは処理端末が処理を実行することを拒絶するようにしておく。
認証を実行するために、処理端末(または処理端末に接続しているバックグラウンド・システム)及び移動端末に、適切な電子キーを保存できる。これらは、望ましくはそれぞれの移動端末用の個々のキーを有する複数の認証キー、および、例えば顧客のための識別データ要素と共にバックグラウンド・システムに保存される処理末端の対応する単一のキーである。
安全な通信経路が処理端末と移動端末の通信モジュールの間に形成された後、移動端末の入力装置はパスワード(好ましくは、PIN)の入力のために使用できる。この場合、処理端末のディスプレイ装置および/または移動端末のディスプレイ装置に、対応する表示をすることができる。代替的にまたは追加的に、顧客は、もうひとつの合図(例えば、着信音)を用いて、移動端末の安全な入力装置を用いてパスワードを入力するように求められることができる。
移動端末の安全な入力装置を使用して顧客によって入力されたパスワードは、通信モジュールおよび安全な通信経路を介して処理端末に送信される。この場合、パスワードは、プレーンテキストではなく、好ましくは、暗号化された形態で送信される。その場合、暗号化は、認証キーに基づく。1つの好ましい実施例によれば、認証キーは、この場合、各処理のためのそれぞれのセッションキーを作り出すために、それぞれのマスターキーとして用いられる。それぞれのセッションキーは、例えば、移動端末及び処理端末が乱数を交換し、この乱数がそれぞれ移動端末に格納されたマスターキー又は処理端末に格納されたマスターキーを用いて、暗号化されることによって作り出される。
移動端末の入力装置を使用して顧客によって入力され、安全な通信経路を介して処理端末に送信されるパスワードは、処理端末および/または処理端末に接続しているバックグラウンド・システムに識別データ要素とともに保存されるパスワードと同一であることが確認された後に、処理端末および/または処理端末に接続しているバックグラウンド・システムによって、顧客が望む処理(例えば現金の引き出し)が可能にされる。
処理アプリケーション(MobiCore(商標)オペレーティングシステムの範囲内では処理トラストレット(transaction trustlet)とも呼ばれる)は、好ましくは、移動端末の安全なランタイム環境で動作し、移動端末による本発明による処理を実行するのに必要なステップを、制御(すなわち、実行および/または促進)する。
代替的な実施例によると、支払いカードの機能(特に顧客を識別するため)は、顧客の移動端末に一体化されることも考えられる。この場合、顧客は、支払いカードを用いて接触方式又は非接触方式で識別されるのではなく、移動端末に格納されており移動端末又は顧客を一意に識別する識別データ要素を用いて識別される。
当業者が認識するように、本発明は、例えば、現金を引き出したり預け入れたりといった処理において、または、例えばPINを入力することが必要な支払いカードを用いる支払い作業といった現金を用いない支払処理において、などの数多くの場合に好適に用いることができる。本発明の意味において、処理端末は、現金を引き出しおよび/または預け入れる現金自動預払機(ATM)であってもよいし、販売場所で現金を用いず支払うためのPOS端末であってもよいし、例えば、送金を実行するための銀行サービス端末であってもよいし、チケット端末等であってもよい。安全な移動端末は、特に、携帯電話、スマートフォン、PDA(Personal Digital Assistant)等でもよい。
上記の好適な改良は、本発明の第1の態様の範囲内(すなわち、処理端末において処理を実行するための方法の範囲内)で、第2の態様の範囲内(すなわち、この目的のために構成された移動端末の範囲内)で、そして、第3の態様の範囲内(すなわち、それに応じて構成された処理端末の範囲内)で、好適に実装されることができる。
更なる特徴、利点および本発明の目的は、複数の例示的実施形態および別の実施例の以下の詳細な説明から現れる。以下の図面を参照する。
トランザクション・システムの一部としての移動端末および処理端末の好ましい実施例の概略図。 本発明による処理方法の好ましい実施例の概略図。
図1は、(特に、現金を引き出すために)処理を実行するための現金自動預払機の形態の処理端末40および携帯電話の形態の移動端末20の概略図を示す。移動端末20および処理端末40は、特に、処理端末40に接続されるバックグラウンド・システム80も含むトランザクション・システム10の一部である。バックグラウンド・システム80は、バックグラウンド・システム80に接続される、多数の処理端末(例えば処理端末40)によって、アクセスされることができる多数のデータ項目を安全に保存する。
携帯電話の形態の移動端末20は、ユーザ入力のための入力装置またはキーパッド22と、情報を表示するディスプレイまたは表示装置24と、を備えている。キーパッド22およびディスプレイ24は、タッチスクリーンの形態であってもよい。移動端末20は、処理端末40との安全なNFC通信経路を形成するように好ましくは構成された通信モジュール26も備えることができる。移動端末20が携帯電話となっている、図1に示す好ましい場合では、移動端末20は、好ましくは移動無線モジュール28(例えば、移動無線ネットワークを介した通信のための、SIMカード)も備えることもできる。
携帯電話の形態の移動端末20は、例えば、マイクロコントローラなどの、移動端末20の様々な構成部品を適切に制御するように構成される、プロセッサユニット30を備えることもできる。明確化のために、プロセッサユニット30の構造が、図1において移動端末20の外側に、もう一度詳細に図示されている。
通常の、安全でないランタイム環境NZ(「ノルマル・ゾーン」)およびARM(商標)TrustZone(商標)と称する形態の安全なランタイム環境TZ(「TrustZone」)は、プロセッサユニット30に実装される。ARM(商標)TrustZone(商標)は、会社ARM(商標)により開発された、「安全な」信頼された領域と、一般に信頼できない「通常の」領域と、を提供するシステムアーキテクチャである。この場合、プロセッサユニットが信頼された領域において、または、信頼できない領域において、作動されるかどうかは、監視される。信頼された領域と信頼できない領域の間での切り替えも、監視される。
ここで記載されている好ましい実施例において、安全なオペレーティングシステム33(安全なOS)(好ましくは従来技術から公知のMobiCore(商標)オペレーティングシステム)は、TrustZone TZで動作する。対照的に、通常のランタイム環境NZは、従来の携帯電話オペレーティングシステム32を含んでいる。移動端末20がスマートフォンである場合、通常のランタイム環境NZに実装されるオペレーティングシステム32は、広い範囲の機能を有するいわゆる「リッチOS」である。移動端末20のこの種のオペレーティングシステムは、例えば、Android、アップルiOS、Windows(商標)フォン等でもよい。
TrustZone TZは、移動端末20を用いて、セキュリティが重要なアプリケーションおよびサービスを実行するために用いる。この場合、アプリケーションは、例えばオペレーティングシステムと離れた機能性(例えば、銀行取引又は決裁処理のための処理ルーチン)を意味するものとして理解される。サービスは、オペレーティングシステム(例えば、キーパッド22、若しくは移動端末20のディスプレイ24のドライバ、又は暗号化の機能性)に近い機能性を意味するものとして理解される。
この場合、安全なランタイム環境TZは、通常のランタイム環境NZから分離されて、セキュリティが重要な方法をカプセル化する。これにより、承認されていない第三者による攻撃から、効果的に保護することができる。TrustZone TZ内部で動作しているセキュリティが重要なアプリケーションは、トラストレッツ(Trustlets)と呼ばれる。この場合、図1には、例証としてトラストレッツ36(「ATM―TR」)を描写する。これと対照的に、従来のアプリケーションは、通常のランタイム環境NZで動作する。この場合、図1には、例証としてアプリケーション37(「APP1」)が示される。信頼できない領域NZ(例えばアプリケーション37(「APP1」))からのアプリケーションおよびサービスは、信頼された領域TZ(例えばトラストレッツ36(「ATM―TR」))のアプリケーションおよびサービスにアクセスしない。
オペレーティングシステムに近いサービスとして、キーパッド・ドライバ34および通信モジュール・ドライバ35が、TrustZone TZに、好ましくは実装される。キーパッド・ドライバ34は、移動端末20のキーパッド22を介して、移動端末20のプロセッサユニット30の安全なランタイム環境TZに、安全に入力を転送するように構成される。移動端末20のキーパッド22がプロセッサユニット30の信頼されたランタイム環境TZに安全に接続されるため、キーパッド22と移動端末20のプロセッサユニット30との間の通信経路(潜在的な安全ギャップである)が不正操作するための攻撃域として除外されることが、これによって確実になる。通信モジュール・ドライバ35は、通信モジュール26を介して安全にプロセッサユニット30により提供されるデータを処理端末40に発信するように構成される。通信モジュール26がプロセッサユニット30の信頼されたランタイム環境TZに安全に接続されるため、プロセッサユニット30と移動端末20の通信モジュール26との間の通信経路も不正操作するための攻撃域として除外されることが、これによって確実になる。
移動端末の利用可能なディスプレイ及びこれらのディスプレイを制御する構成部品の数のために、信頼された領域TZのディスプレイドライバの実装は、一般に、キーパッド・ドライバ(例えば、キーパッド・ドライバ34)の実装よりも、いっそう複雑である。それにもかかわらず、ディスプレイドライバ(不図示)は、キーパッド・ドライバ34および通信モジュール・ドライバ35に加えてTrustZone TZに実装されることもできる。この場合、ディスプレイドライバは、プロセッサユニット30により提供されるデータを安全に表示24に発信して、ディスプレイに前記データを表示させるように構成される。これにより、ディスプレイ24がプロセッサユニット30の信頼されたランタイム環境TZに安全に接続されるため、プロセッサユニット30と移動端末20のディスプレイ24との間の通信経路が、不正操作するための攻撃域としても除外される。
すでに上述したように、移動端末20は、好ましくは、通信モジュール26を用いたエア・インタフェースを介して、NFC標準による処理端末40と通信できる。このために、処理端末40は、NFC標準による通信に適した、対応する通信モジュール46も備えている。
好ましい実施例において、処理端末40(従来の現金自動預払機の形態であってもよい)は、データの入力および顧客による指示のためのキーパッド42(例えば、PINパッドの形態)と、例えば、顧客のための情報および選択オプションを示すためのディスプレイ44と、支払いカード60を処理端末40に挿入するための挿入軸47と、を備える。周知の方法で、読取機48の形態である処理端末40の構成部品は、挿入軸47に挿入される支払いカード60からデータを読み込む。データは、好ましくは、支払いカード60の磁気帯に保存されている。処理端末40は、顧客に選択された処理が処理端末40によって許可される場合に、顧客によって希望された額の現金を支払うために用いることができる現金支払部49も備える。図1に示される処理端末40は、本発明の好ましい一実施例によるPINパッドの形態でキーパッド42を備えているものの、処理端末40は原則として従来の方法でも動作することもできるため、キーパッド42は省略されるか、又はディスプレイ44とともに組み合わされてタッチスクリーンを形成することが同様に考えられる。
処理端末40の異なる構成部品を最適に制御するために、処理端末40は、例えば、プロセッサユニットでもよい電子制御ユニット50も備える。処理端末40の制御ユニット50は、好ましくは、その通信モジュール46及びバックグラウンド・システム80と通信する。通信は、処理方法の好ましい実施例(図2を参照して後述される)は、移動端末20、処理端末40、及び、可能性のあるバックグラウンド・システム80によって実行されることができるような手法による。
図2は、移動端末20及び処理端末40、又は、バックグラウンド・システム80によって実行される個々のステップを示す。バックグラウンド・システム80は、処理(特に、現金の支払い方法)を実行する方法の好ましい実施例では、処理端末に接続される。
第1のステップS1では、好ましくは、顧客が支払いカード60を処理端末40の挿入軸47に挿入するという事実によって、かつ、顧客を一意に識別するための少なくとも1つの識別データ要素(例えば、支払いカードの磁気帯に保存されている)が処理端末40の読取機48によって読み取られるという事実によって、顧客は処理端末40に対して識別される。この場合、支払いカード60の磁気帯に保存される顧客の主要口座番号(PAN)は、好ましくは処理端末40の読取機48によって読み込まれて、バックグラウンド・システム80に転送される。読み込まれた識別データ要素に関連付けられ、かつ、好ましくは少なくともPIN及び個別の電子キーK*を備えるデータレコードが、その後、バックグラウンド・システム80において決定される。
図2のステップS2では、バックグラウンド・システム80に保存されるキーK*と、移動端末20のプロセッサユニット30の安全なランタイム環境TZに保存されるキーKと、に基づいて、移動端末20と処理端末40の間で、好ましくはチャレンジレスポンス方式の認証が実行される。当業者に知られているように、処理端末40に対して移動端末20を認証するために、処理端末40は、例えば、乱数を移動端末20に発信できる。乱数は、次に、安全なランタイム環境TZに保存されるキーKを用いた同意された暗号化アルゴリズムに従って、移動端末20によって暗号化される。そして、この暗号化の結果は再び処理端末40に発信される。手順は、処理端末40、および/または、処理端末に接続しているバックグラウンド・システム80において、同様である。すなわち、処理端末40によって移動端末20に送信された乱数は、バックグラウンド・システム80に保存されたキーKを用いて暗号化され、暗号化の結果が移動端末20によって送信される暗号化された乱数と同一かどうか決定するために、チェックが行われる。これが事実ならば、処理端末40は、移動端末20に保存されたキーKがバックグラウンド・システム80に保存されるキーKと同一であり、従って移動端末20が真正である、と推測できる。当業者に知られているように、処理端末40は、対応する手法で、移動端末20に対して認証されることができる。すなわち、移動端末20が乱数を処理端末40に送信し、この乱数が移動端末20及び処理端末40の両方によって暗号化される、という理由による。
当業者は、移動端末20において、そして、処理端末に接続している処理端末40、又は、バックグラウンドでシステム80において、キーK及びキーK*を、安全に保存されることができる方法に関する、多数の方法に気づいている。例えば、移動端末20を生産し、かつ/または、個人用にするときに、これを実施できる。移動端末がすでにフィールドにある場合、例えば、フィールドにあるSIMカードを個人用にするときに用いられるように、安全なOTA方法がさらに、または、代わりに用いられることが可能である。
処理端末40および移動端末20が図2のステップS2において、相互に認証されたあと、PINを図2のステップS3の移動端末20に入力するために、処理端末40はリクエスト(要請)を送信する。次に、移動端末20のキーパッド22は、好ましくは、PIN入力のために使用可能にされる。そして、移動端末20の安全なキーパッド22を使用してPINを入力することを顧客に促すために、対応する表示が移動端末20のディスプレイ24に表示される。顧客が移動端末20の安全なキーパッド22を使用してPINを入力したあと、このPINは、処理端末40で同意された暗号化アルゴリズムを用いて図2のステップS5において暗号化され、暗号化された形態での処理端末40に発信される(図2のステップS5)。
処理を実行するための本発明による方法の好ましい実施例において、図2に図示したように、PINの暗号化および解読は、特に、キーKおよびK*に同様に基づく。しかしながら、当業者は、キーK及びK*以外の秘密キーを、認証のため、かつ、通信経路を介して移動端末20と処理端末40の間に送信されるデータの暗号化のために、使用されることができることを理解できるであろう。
安全性を増加させるために、処理を実行するための本発明による方法の好ましい実施例において、図2に図示したように、各処理のためのそれぞれの新規なセッションキーを作り出すために、キーKおよびK*が、それぞれのマスターキーとして使われる。それぞれのセッションキーは、例えば、移動端末20および処理端末40が更なる乱数を交換し、この乱数が、移動端末20に保存されるキーK、および、同意された暗号化アルゴリズムに従って処理端末40(または処理端末に接続しているバックグラウンド・システム80)に保存されるキーK*によって、それぞれ暗号化されている、ために発生できる。移動端末20のキーパッド22を使用している顧客によるPIN入力は、図2のステップS5において、この手法によって、移動端末20で作り出されるセッションキーを用いて暗号化されて、処理端末40に発信される(図2のステップS6)。
図2のステップS7において、移動端末20のキーパッド22を使用している顧客により入力されて、安全な通信経路を介して処理端末40に発信されるPINが、処理端末40および/または、処理端末に接続されるバックグラウンド・システム80において、識別データ要素と併せて保存されるPINと同一であると決定されたあと、顧客が所望する処理(例えば、現金の引き出し)が、処理端末40によって、及び/又は、処理端末に接続されるバックグラウンド・システム80によって可能にされる。この場合、PINがバックグラウンド・システム80においてどのように保存されているかによって、処理端末40および/または処理端末に直接に接続されているバックグラウンド・システム80に依存して、移動端末20によって送信された暗号化されたPINを用いて、または、移動端末20によって送信された暗号化されたPINを解読した結果のPINを用いて、処理端末40および/または処理端末に直接に接続されているバックグラウンド・システム80によって、チェックが実行されることができる。換言すると、移動端末20によって送信された暗号化されたPINが、図2のステップS7の前にキーK*を用いて解読される実施例が考えられる。
当業者が認識するように、処理端末40が、異なる処理および/または変形例(例えば顧客が引き出したい金額の選択)の選択を許容する場合、顧客がこの選択をする更なるステップ(図2に例示されない)の用意がされる。この選択は、好ましくは、ステップS7の後に顧客によってなされ、すなわち、PINが検査された後になされるが、しかし、より早い時点でなされることもできる。顧客によって所望される処理の選択は、キーパッド42または処理端末40のディスプレイ44(タッチスクリーンの形態である)を用いて、および/または、キーパッド22または移動端末20のディスプレイ24(タッチスクリーンの形態である)を用いて、なされることができる。
図1に示すように、かつ、上述したように、アプリケーション(またはMobicCoreオペレーティングシステムの場合にはトラストレッツ)36(「ATM―TR」)は、移動端末20の安全なランタイム環境で動作して、特に移動端末20によって、図2に関連して上述した方法ステップを実行するか、または、促進するように構成される。例えば、アプリケーション36(「ATM−TR」)は、図2のステップS2において、処理端末を用いて相互チャレンジレスポンス方式の認証と、移動端末24のキーパッド22を用いてPIN入力と、を実行又は促進するように構成されている。
図1及び図2に示す好ましい実施例に関して、顧客が支払いカード60を処理端末40の挿入軸47に挿入し、このカードが処理端末40の読取機48によって読み込まれるという事実によって、顧客が第一に識別される、ということを上述したが、顧客が、非接触式の手法、すなわち、支払いカード60と処理端末40との間のエア・インタフェースによる通信によって、支払いカード60を用いて、代替的に、又は、追加的に、識別されることができる、という実施例も同様に考えられる。
顧客を識別するために用いられる支払いカード60を完全になしで済まし、その機能が移動端末20又は移動端末の構成部品に一体化される、という本発明の実施例も考えられる。例えば、移動端末20に保存される識別データ要素を非接触式で読み込むことによって、顧客が識別されることさえもできた。ここで、適切な考えられる識別データ要素は、以下の通りである:通信モジュール26の、若しくは、移動端末20のプロセッサユニット33の固有のチップ番号、又は、通信モジュール26の、若しくは、プロセッサユニット33のメモリに保存される固有のシリアル番号、例えば、EPC(「Electronic Product Code」)、または、UII(「Unique Item Identifier」)など。仮に、移動端末22が、移動無線ネットワークによる通信用に設計され、対応する安全な移動無線モジュール28を備えていれば(例えば、SIM等の形態)、識別データ要素は、移動無線モジュール28のIMSI(「International Mobile Subscriber Identity」)または移動端末20に割り当てられる固有の電話番号でもよい。
10 トランザクション・システム
20 移動端末
22 移動端末のキーパッド
24 移動端末のディスプレイ
26 移動端末の通信モジュール
28 移動無線モジュール
30 プロセッサユニット
NZ 安全でないランタイム環境(Norma1Zone)
TZ 安全なランタイム環境(TrustZone)
32 安全でないオペレーティングシステム(リッチOS)
33 安全なオペレーティングシステム(安全なOS)
34 キーパッド・ドライバ
35 通信モジュール・ドライバ
36 処理アプリケーション(ATM―APP)
37 アプリケーション
40 処理端末
42 処理端末のキーパッド
44 処理端末のディスプレイ
46 処理端末の通信モジュール
47 挿入軸
48 読取機
49 現金支払部
50 制御ユニット
60 支払いカード
80 バックグラウンド・システム
K、K* 電子キー

Claims (9)

  1. 移動端末(20)を用いて処理端末(40)で処理を実行する方法であって、
    処理端末(40)によってユーザを識別するステップと、
    処理端末(40)に対して識別されたユーザを認証するステップであって、移動端末(20)の入力装置(22、24)を用いて、識別されたユーザによって入力されたパスワードが、識別されたユーザのために処理端末(40)又は前記処理端末に接続されたバックグラウンド・システム(80)に保存されたパスワードと、一致するかどうか確認することによって、認証するステップと、を備え、
    ここで、プロセッサユニット(33)が、移動端末(20)に提供され、前記プロセッサユニットには、通常のランタイム環境(NZ)及び安全なランタイム環境(TZ)が実装され、
    入力装置のドライバ(34)は、安全なランタイム環境(TZ)に実装され、入力を移動端末(20)の入力装置(22、24)を介して、移動端末(20)のプロセッサユニット(33)の安全なランタイム環境(TZ)へ、更なる処理のために安全に転送するように構成され、
    ユーザを認証するステップの間に、安全な通信経路が、移動端末(20)と処理端末(40)の間に形成され、少なくともセキュリティに関連したデータは、暗号化方法によって暗号化された形態で送信され、
    通信モジュール・ドライバ(35)が、移動端末(20)と処理端末(40)の間に安全な通信経路を形成するために、安全なランタイム環境(TZ)に実装されて、プロセッサユニット(33)によって提供されたデータを、移動端末(20)の通信モジュール(26)と前記安全な通信経路を介して、安全に処理端末(40)に送信するように構成されている、方法。
  2. 処理端末(40)によってユーザを識別するステップの間に、ユーザが所有している支払いカード(60)に保存され、ユーザを一意に識別する識別データ要素が、処理端末(40)の読取機(48)によって接触方式または非接触方式で読み込まれ、又は、移動端末(20)に保存され、ユーザまたは移動端末(20)を一意に識別する識別データ要素が、読み込まれる、請求項1に記載された方法。
  3. ユーザを認証するステップの前に、少なくとも一方向の認証が、移動端末(20)の通信モジュール(26)と処理端末(40)の間で使用され、この認証の間に、処理端末(40)が、移動端末(20)に対して認証される、および、移動端末(20)が、処理端末(40)に対して認証される、の少なくとも一方が行われる、請求項2に記載された方法。
  4. 移動端末(20)、および、処理端末(40)処理端末(40)に接続されたバックグラウンド・システム(80)の少なくとも一方に保存される認証キー(K、K*)が、移動端末(20)処理端末(40)の少なくとも一方によって認証を実行するために用いられ、移動端末(20)に保存されるキー(K)は、個別のキーである、請求項に記載された方法。
  5. 移動端末(20)と処理端末(40)間の安全な通信経路を経た通信は、認証キー(K、K*)に基づいて暗号化され、認証キー(K、K*)は、各処理用の新規なそれぞれのセッションキーを作り出すために、それぞれのマスターキーとして使われるようになっている、請求項に記載された方法。
  6. 安全なランタイム環境(TZ)は、ARM(商標)TrustZone(商標)である、請求項1乃至請求項のいずれか一項に記載された方法。
  7. 移動端末(20)は、携帯電話であり、前記携帯電話のオペレーティングシステムは、通常のランタイム環境(NZ)で動作する、請求項1乃至請求項のいずれか一項に記載された方法。
  8. 処理端末(40)で処理を実行するための移動端末(20)であって、
    ユーザによってパスワードを入力するための入力装置(22、24)と、
    通常のランタイム環境(NZ)および安全なランタイム環境(TZ)が実装されるプロセッサユニット(33)と、を備え、
    ここで、入力装置ドライバ(34)が、安全なランタイム環境(TZ)に実装され、入力を移動端末(20)の入力装置(22、24)を介して、移動端末(20)のプロセッサユニット(33)の安全なランタイム環境(TZ)へ、更なる処理のために安全に転送するように構成され、
    アプリケーション(36)も、プロセッサユニット(33)の安全なランタイム環境(TZ)に実装され、移動端末(20)の入力装置(22、24)を用いてユーザによって入力されたパスワードが、このユーザのために処理端末(40)又は前記処理端末に接続されたバックグラウンド・システム(80)に保存されたパスワードと、一致するかどうか確認することによって、処理端末(40)に対してユーザを認証できるように構成されており、
    通信モジュール・ドライバ(35)が、移動端末(20)と処理端末(40)の間に安全な通信経路を形成するために、安全なランタイム環境(TZ)に実装されて、プロセッサユニット(33)によって提供されたデータを、移動端末(20)の通信モジュール(26)と前記安全な通信経路を介して、安全に処理端末(40)に送信するように構成されており、
    少なくともセキュリティに関連したデータは、前記安全な通信経路上を暗号化方法によって暗号化された形態で送信される、
    移動端末(20)。
  9. 請求項8に記載の移動端末(20)を含むシステム(10)であって、
    処理端末(40)は、
    ユーザを識別するように構成される制御ユニット(50)と、
    移動端末(20)と処理端末(40)の間に安全な通信経路を形成するための通信モジュール(46)と、
    を備え、
    ここで、処理端末(40)は、移動端末(20)の入力装置(22、24)を用いてユーザに入力されたパスワードが、処理端末(40)又は前記処理端末に接続されたバックグラウンド・システム(80)に保存された識別されたユーザのためのパスワードと、一致するかどうか決定することによって確認が実行され、ユーザを認証するように構成されている、システム(10)。
JP2014536127A 2011-10-20 2012-09-26 移動端末、処理端末、及び、移動端末を用いて処理端末で処理を実行する方法 Active JP6329485B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011116489.1 2011-10-20
DE102011116489A DE102011116489A1 (de) 2011-10-20 2011-10-20 Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
PCT/EP2012/004033 WO2013056783A1 (de) 2011-10-20 2012-09-26 Mobiles endgerät, transaktionsterminal und verfahren zur durchführung einer transaktion an einem transaktionsterminal mittels eines mobilen endgeräts

Publications (2)

Publication Number Publication Date
JP2015501028A JP2015501028A (ja) 2015-01-08
JP6329485B2 true JP6329485B2 (ja) 2018-05-23

Family

ID=47022621

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014536127A Active JP6329485B2 (ja) 2011-10-20 2012-09-26 移動端末、処理端末、及び、移動端末を用いて処理端末で処理を実行する方法

Country Status (6)

Country Link
US (1) US20140316993A1 (ja)
JP (1) JP6329485B2 (ja)
KR (1) KR101968156B1 (ja)
DE (1) DE102011116489A1 (ja)
GB (1) GB2510517A (ja)
WO (1) WO2013056783A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011018431A1 (de) 2011-04-21 2012-10-25 Giesecke & Devrient Gmbh Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
KR101616847B1 (ko) * 2013-09-30 2016-04-29 정혜진 스마트 기기를 이용하여 카드 결제 서비스를 제공하기 위한 시스템 및 그 방법
US9276910B2 (en) * 2013-11-19 2016-03-01 Wayne Fueling Systems Llc Systems and methods for convenient and secure mobile transactions
US20150310427A1 (en) * 2014-04-24 2015-10-29 Xilix Llc Method, apparatus, and system for generating transaction-signing one-time password
EP3024194A1 (en) * 2014-11-20 2016-05-25 Gemalto Sa Method for accessing a service and corresponding server, device and system
DE102015006907A1 (de) * 2015-05-29 2016-12-01 Giesecke & Devrient Gmbh Endgerät und Verfahren für mobiles Bezahlen
KR102411608B1 (ko) 2015-07-27 2022-06-21 삼성전자주식회사 보안 네트워크 시스템 및 그 데이터 처리 방법
RU2649762C1 (ru) * 2017-01-16 2018-04-04 Общество С Ограниченной Ответственностью "Фит" Способ оплаты товаров или услуг покупателем по его персональному устройству в торговой точке, имеющей кассовый аппарат

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
US5228084A (en) * 1991-02-28 1993-07-13 Gilbarco, Inc. Security apparatus and system for retail environments
US6850916B1 (en) * 1998-04-27 2005-02-01 Esignx Corporation Portable electronic charge and authorization devices and methods therefor
US7089214B2 (en) * 1998-04-27 2006-08-08 Esignx Corporation Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system
SE515327C2 (sv) * 1999-08-27 2001-07-16 Ericsson Telefon Ab L M Anordning för att utföra säkra transaktioner i en kommunikationsanordning
US9031880B2 (en) * 2001-07-10 2015-05-12 Iii Holdings 1, Llc Systems and methods for non-traditional payment using biometric data
EP1329787B1 (en) * 2002-01-16 2019-08-28 Texas Instruments Incorporated Secure mode indicator for smart phone or PDA
GB2402785B (en) * 2002-11-18 2005-12-07 Advanced Risc Mach Ltd Processor switching between secure and non-secure modes
EP1530177B1 (en) * 2003-11-07 2006-09-13 Alcatel Method for supporting cashless payment
US20050143051A1 (en) * 2003-12-30 2005-06-30 Welgate Corporation Mobile authentication/financial transaction system using a unique mobile identification code and method thereof
US7194438B2 (en) * 2004-02-25 2007-03-20 Nokia Corporation Electronic payment schemes in a mobile environment for short-range transactions
DE102005005378A1 (de) * 2004-09-14 2006-03-30 Wincor Nixdorf International Gmbh Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
DE102004062203B4 (de) * 2004-12-23 2007-03-08 Infineon Technologies Ag Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung
CN101213785A (zh) * 2005-06-29 2008-07-02 皇家飞利浦电子股份有限公司 用于基于密钥块的鉴权的设备和方法
US20070107042A1 (en) * 2005-11-04 2007-05-10 Fatima Corona System and method for limiting access to a shared multi-functional peripheral device
US20070156436A1 (en) * 2005-12-31 2007-07-05 Michelle Fisher Method And Apparatus For Completing A Transaction Using A Wireless Mobile Communication Channel And Another Communication Channel
JP2007188216A (ja) * 2006-01-12 2007-07-26 Ntt Advanced Technology Corp 秘匿情報入力システムおよび秘匿情報入力方法
EP2095345A4 (en) * 2006-10-23 2011-04-27 Behruz Nader Daroga DIGITAL TRANSMISSION SYSTEM (DTS) FOR THE SECURITY OF BANK ATMOSPHERES (ATM)
US8190885B2 (en) * 2006-12-21 2012-05-29 Spansion Llc Non-volatile memory sub-system integrated with security for storing near field transactions
WO2008077628A2 (en) * 2006-12-22 2008-07-03 Virtuallogix Sa System for enabling multiple execution environments to share a device
FR2914457B1 (fr) * 2007-03-30 2009-09-04 Ingenico Sa Procede et dispositif de visualisation securitaire
CN101340281B (zh) * 2007-07-02 2010-12-22 联想(北京)有限公司 针对在网络上进行安全登录输入的方法和系统
GB2453518A (en) * 2007-08-31 2009-04-15 Vodafone Plc Telecommunications device security
US20090063340A1 (en) * 2007-09-05 2009-03-05 Kuo-Ching Chiang Contact-less transaction card and the method of the same
WO2009071734A1 (en) * 2007-12-07 2009-06-11 Nokia Corporation Transaction authentication
GB2459097B (en) * 2008-04-08 2012-03-28 Advanced Risc Mach Ltd A method and apparatus for processing and displaying secure and non-secure data
JP2010062823A (ja) * 2008-09-03 2010-03-18 Nippon Telegr & Teleph Corp <Ntt> 現金自動支払機のための認証システム
SI23227A (sl) * 2010-03-10 2011-05-31 Margento R&D D.O.O. Brezžični mobilni transakcijski sistem in postopek izvedbe transakcije z mobilnim telefonom
US20130046697A1 (en) * 2011-03-17 2013-02-21 Suridx, Inc. Using Mobile Device to Prevent Theft of User Credentials
US9183373B2 (en) * 2011-05-27 2015-11-10 Qualcomm Incorporated Secure input via a touchscreen

Also Published As

Publication number Publication date
US20140316993A1 (en) 2014-10-23
DE102011116489A1 (de) 2013-04-25
JP2015501028A (ja) 2015-01-08
GB201408118D0 (en) 2014-06-25
WO2013056783A8 (de) 2013-06-06
GB2510517A (en) 2014-08-06
KR101968156B1 (ko) 2019-04-11
WO2013056783A1 (de) 2013-04-25
KR20140082809A (ko) 2014-07-02

Similar Documents

Publication Publication Date Title
US11720943B2 (en) Trusted remote attestation agent (TRAA)
US11403635B2 (en) Payment system
JP6329485B2 (ja) 移動端末、処理端末、及び、移動端末を用いて処理端末で処理を実行する方法
CN112805967B (zh) 非接触式卡的密码认证的系统和方法
US9467292B2 (en) Hardware-based zero-knowledge strong authentication (H0KSA)
US10120993B2 (en) Secure identity binding (SIB)
CA2972895C (en) Security for mobile payment applications
US8650614B2 (en) Interactive phishing detection (IPD)
CN110249586B (zh) 用于在智能卡上安全存储敏感数据的方法和智能卡
US20100306076A1 (en) Trusted Integrity Manager (TIM)
WO2015001473A1 (en) Authorizing transactions using mobile device based rules
Yu et al. Security issues of in-store mobile payment
JP7461564B2 (ja) セキュアエレメントとモバイルデバイスとのセキュアなエンドツーエンドペアリング

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160906

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180420

R150 Certificate of patent or registration of utility model

Ref document number: 6329485

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250