JPS645783B2 - - Google Patents
Info
- Publication number
- JPS645783B2 JPS645783B2 JP56500958A JP50095881A JPS645783B2 JP S645783 B2 JPS645783 B2 JP S645783B2 JP 56500958 A JP56500958 A JP 56500958A JP 50095881 A JP50095881 A JP 50095881A JP S645783 B2 JPS645783 B2 JP S645783B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- terminal
- transaction
- central computer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
- 238000000034 method Methods 0.000 description 53
- 230000004044 response Effects 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 15
- 238000012360 testing method Methods 0.000 description 14
- 238000012546 transfer Methods 0.000 description 10
- 238000013478 data encryption standard Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 101150055297 SET1 gene Proteins 0.000 description 6
- 230000002441 reversible effect Effects 0.000 description 6
- 230000001010 compromised effect Effects 0.000 description 5
- 101100258296 Drosophila melanogaster Su(var)3-9 gene Proteins 0.000 description 4
- 101100328364 Schizosaccharomyces pombe (strain 972 / ATCC 24843) clr4 gene Proteins 0.000 description 4
- 238000013475 authorization Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009118 appropriate response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003936 working memory Effects 0.000 description 2
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 1
- BROYWHABVCPAPN-UHFFFAOYSA-N 1,3-dichloro-4,4,5,5-tetramethylimidazolidin-2-one Chemical compound CC1(C)N(Cl)C(=O)N(Cl)C1(C)C BROYWHABVCPAPN-UHFFFAOYSA-N 0.000 description 1
- 101150115013 DSP1 gene Proteins 0.000 description 1
- OKKRPWIIYQTPQF-UHFFFAOYSA-N Trimethylolpropane trimethacrylate Chemical compound CC(=C)C(=O)OCC(CC)(COC(=O)C(C)=C)COC(=O)C(C)=C OKKRPWIIYQTPQF-UHFFFAOYSA-N 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000003116 impacting effect Effects 0.000 description 1
- 238000007373 indentation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/108—Remote banking, e.g. home banking
- G06Q20/1085—Remote banking, e.g. home banking involving automatic teller machines [ATMs]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Finance (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
請求の範囲
1 オンライントランザクシヨン回路網内の利用
者及び装置を認証するシステムであつて、複数個
の遠隔端末を具え、これらの端末が利用者及び装
置の認証で用いられる暗号化されたデータを含む
データベースを具える中央処理装置と通信し、上
記データがマスタ鍵で暗号化されていると共に、
前記遠隔端末の各々毎の端末マスタ鍵及び全てが
秘密である前記利用者の各々毎の識別番号を含
み、更にこのデータが前記遠隔端末の各々毎の端
末識別番号及び前記利用者の各々毎の口座番号を
含み、前記遠隔端末の各々に、トランザクシヨン
及びトランザクシヨンの内容を開始させる利用者
の口座番号及び識別番号を入力する手段が設けら
れているトランサクシヨンを保護する方法におい
て、 端末側で、トランザクシヨンを開始しようとす
る利用者により端末から入力された情報に基づい
てトランザクシヨン要求メツセージを発生させる
段階と、 利用者により入力された識別番号及び口座番
号、並びに端末識別番号及び端末マスタ鍵を用い
てそのトランザクシヨンに固有のワーキング鍵を
生成する段階と、 このワーキング鍵を用いてトランザクシヨン要
求メツセージを暗号化する段階と、 暗号化されたトランザクシヨン要求メツセージ
を送信する段階と、 中央処理装置側で、送られてきたメツセージか
ら取り出した情報と、口座番号、端末マスタ鍵及
び端末識別番号を含むデータベースとを用いてワ
ーキング鍵を取り出す段階と、 このワーキング鍵を用いて中央処理装置側で受
け取つたメツセージを解読する段階と、 データベース内の対応するデータを解読するこ
とによつて得た利用者の識別番号及び口座番号
を、トランザクシヨン要求メツセージ中の対応す
るデータと比較し、トランザクシヨン要求メツセ
ージの有効性を検査する段階と、 トランザクシヨン要求応答を発生させ、トラン
ザクシヨン要求応答をワーキング鍵で暗号化する
段階と、 暗号化されたトランザクシヨン要求応答を、ト
ランザクシヨンを開始した端末に送信する段階
と、 端末で受け取つたメツセージをワーキング鍵を
用いて解読し、トランザクシヨンが承認された場
合に要求されたサービスを提供する段階と を含むトランザクシヨンを保護する方法。 2 更に、送信する前に暗号化されたトランザク
シヨン要求メツセージに口座番号をつける段階を
有し、前記ワーキング鍵を取り出す段階が、この
添付された口座番号、利用者識別番号、端末識別
番号及び端末マスタ鍵を用いてワーキング鍵を生
成することにより行なわれる請求の範囲第1項記
載のトランザクシヨンを保護する方法。 3 更にワーキング鍵を用いて送信される鍵を生
成する段階と、送信する前に暗号化されたトラン
ザクシヨン要求メツセージに送信される鍵を添付
する段階とを有し、前記トランザクシヨン要求メ
ツセージを解読する段階を添付されている送信さ
れる鍵を用いて行なつてワーキング鍵を得て、次
いでこのワーキング鍵を解読して利用者識別番号
を得る請求の範囲第1項記載のトランザクシヨン
を保護する方法。 4 更に、端末で受け取つたメツセージを解読し
た後、肯定応答を生成して、中央処理装置に送る
段階と、 肯定応答の後に端末及び中央処理装置でワーキ
ング鍵を破壊する段階と を含む請求の範囲第3項記載のトランザクシヨン
を保護する方法。 5 前記肯定応答をワーキング鍵を用いて暗号化
する請求の範囲第4項記載のトランザクシヨンを
保護する方法。 6 前記ワーキング鍵を生成する段階が、 端末で入力された利用者の識別番号と口座番号
とを用いて第1の安全パラメータを生成する段階
と、 端末マスタ鍵を用いて端末識別番号を符号化す
ることにより第2の鍵を生成する段階と、 第1の安全パラメーヒタと第2の鍵とを用いて
ワーキング鍵を生成する段階と を含む請求の範囲第3項記載のトランザクシヨン
を保護する方法。 7 日時をも用いてワーキング鍵を生成する請求
の範囲第3項又は第6項記載のトランザクシヨン
を保護する方法。 8 日時を用いて第1の安全パラメータを生成
し、中央処理装置側で更にワーキング鍵を用いて
第1の安全パラメータを解読して日時を得、解読
された日時が中央処理装置での日時から予じめ定
められた時間より長くずれていればそのトランザ
クシヨンを承認しない請求の範囲第6項記載のト
ランザクシヨンを保護する方法。 9 更に肯定応答後に中央処理装置側でデータベ
ースを更新する段階を含む請求の範囲第4項記載
のトランザクシヨンを保護する方法。 10 前記端末の各々が、利用者の口座番号で符
号化されている利用者を読み取るカードリーダを
具え、カードがカードリーダに挿入されてトラン
ザクシヨンが開始され、次に利用者が自己の識別
番号を入力する請求の範囲第3項記載のトランザ
クシヨンを保護する方法。 11 利用者の口座番号で符号化されたカードが
偽造対抗特性をも有し、前記ワーキング鍵を生成
する段階が、 利用者の口座番号及び識別番号と、偽造対抗特
性及び日時とを用いて第1の安全パラメータを生
成する段階と、 端末マスタ鍵を用いて端末識別番号を解読する
ことにより第2の鍵を生成する段階と、 第1の安全パラメータと第2の鍵とを用いてワ
ーキング鍵を生成する段階と を含む請求の範囲第10項記載のトランザクシヨ
ンを保護する方法。 発明の背景 1 技術分野 本発明はオンライン エレクトロニクス フア
ンズトランスフアー(Electronics Funds
Transfer)その他の遠隔地の端末と証明即ち認
証プロセスで用いられる暗号化されたデータを蓄
わえている中央データベースとの間が通信回線で
結ばれているタイプの回路網でトランザクシヨン
要求メツセージと応答を安全に発生し、伝送する
こと又は送金に使用する類似の回路網及び送金に
加えて現金の支払、勘定書の支払、預入、商品の
販売又はサービスの利用の許可に備える回路網に
関するものである。 2 従来技術の歴史 公衆の便宜と経済のため利用者がイニシエイト
した即ち要求した金銭上のトランザクシヨンを実
行するオンライン、オフライン両方の計算機ネツ
トワーク及び計算機システムが開発されてきた。
一例を挙げれば現金支払機である。このような機
械は適当に符号化された小切手若しくは他の流通
証券、又はプラスチツクのクレジツトカード、借
方票若しくは識別カードにより始動させられ、要
求が現金支払装置内の識別手段に有効であると見
える時要求された額の金銭を支払うものである。 一つのタイプのオンラインシステムは中央デー
タベースに口座情報を蓄わえ、この中央データベ
ースにデータ通信回線を介して遠隔地の端末が結
ばれているものである。遠隔地の端末から特定の
情報、例えば口座番号、売上げ高又は要求額、売
上げの場合ならば商店識別情報及びカード保持者
についての秘密の情報が送られてくるのに応答し
て計算機システムは口座フアイルを探してデータ
を得、そのトランザクシヨンを認めるか拒絶する
かを表示する。このような情報は最近の使用日、
クレジツトトランザクシヨンの場合はクレジツト
の額、勘定残高、又はカードが粉失し、盗まれ若
しくは期限切れとなつたものかどうかを含む。ト
ランザクシヨンが承認されるとそのトランザクシ
ヨンの完了後計算機システムは情報を適当に調整
する。そして技術が向上するにつれ機能が高くな
り、現金を支払つたり買物をしたりするだけでな
くもつと多くの機能を有するものが提供されるよ
うになつてきた。例えば、負荷のピークを小さく
し、閉店後もサービスを延長するために金融機関
が口座間の振り替えを許可し、サービス又はロー
ンの残高の支払を受取り、預金を受け入れ、有効
なクレジツトカードに請求される前払いに備える
ようになつてきた。これらの代表的な装置はプラ
スチツクカード読取り機構、キーボード、表示装
置、文書出し入れ口を具え、データベースに接続
され又はスタンドアロン装置として働らく。而し
てこのように許される機能が増すと共に詐欺にか
かる機会が増したのでこれを減らすためカード保
持者に秘密の番号(個人識別番号)が出された。
カード保持者がキーボードにこの個人識別番号を
入力するとプラスチツクカードの磁気ストライプ
に符号化されてのつている番号と直接比較し、或
は暗号化如何によつては個人識別番号と磁気スト
ライプに符号化されている番号との間にある何等
かの対応関係を見出す必要がある。そうでないと
トランザクシヨンはカードが粉失したり盗まれた
ものと推定しトランザクシヨンはイネーブルされ
ない。この方法はスタンドアロン装置でも中央デ
ータベースに接続されている装置でも利用でき
る。 個人識別番号を採用するようになつてこのよう
なシステムの安全度が改善されたが、未だ詐欺が
入り込む余地があり、他にも欠点がある。そこで
個人識別番号を安全に発行する問題が生じた。し
かし、個人識別番号のリストを含むオンラインフ
アイルを用いると従業員が秘密とされている情報
を得る目的で許可なく上記フアイルに近づくおそ
れがある。このような情報を用いて複製即ち二重
カードを簡単に作り、詐欺を犯すことができる。
この欠点を克服するためいくつかの異なるアプロ
ーチがなされてきた。一つの方法はオンラインフ
アイルの使用を避け、しかもオンラインシステム
の予想されるコストと複雑さとを克服するために
スタンドアロン利用の安全度を改善する試みであ
つた。その結果カードの中に特殊な材料の層を入
れた特殊なプラスチツクカードや、カードの上に
材料層を塗布したものや、カードや穿孔し又はカ
ード上に凹みをつけて安全手段としたものが考案
されたが、そのいずれもそれ自体としては実用化
されるに至らなかつた。 もう一つの方法は個人識別番号を暗号化して口
座記録に記憶しておき、外から適当な安全手段を
作用させた時これが働らくようにするものであ
る。しかしこれでも保守員が必要とするアクセス
及び現金を補給したり他のサービスのために暗号
鍵を単純で危険な手段にさらすからスタンドアロ
ン装置では使えない。また中央勘定記録で秘密情
報を暗号化することは実際的ではない。蓋し、そ
の秘密情報も遠隔地の端末からトランザクシヨン
を入れてイネーブルしなければならず、通常は公
衆通信回線により中央計算機に送らねばならず、
このため未知の1人又は複数人にモニタされるこ
とになる。それ故伝送に際しても暗号化しなけれ
ばならず、これは有効であるが、それでも誰かが
モニタしながら暗号を見破つて口座情報と個人識
別番号との間の対応関係のリストに近づくことが
できる。付加的な欠点はすれつからしの犯罪者が
偽のトランザクシヨンを作つてデースベース勘定
内で詐欺的に勘定を振り替えることである。その
結果従来の中央データプロセサで秘密の番号を認
証する方法は偶発的な誤りに対する保護はできる
が、現在のデータ処理装置又はシステムの知識を
有し、おそらくはそれに近づくことができる犯罪
者に対して十分な保護を与えることができない。
代りに十分なレベルの安全性を与えるように思わ
れるものは1つのトランザクシヨン当り単一のト
ランザクシヨン要求メツセージと単一の応答及び
肯定応答又は若干個の最少数の伝送に頼るよりも
コストの高いデータ伝送線を使つて各トランザク
シヨンの認証を多重伝送し、安全な方法で必要な
暗号鍵も伝送するものであるが、これは相当費用
がかかる。 また同じ時期に一つの金融機関がその顧客にサ
ービスを展開するための専用回路網以外の回路網
が発展した。この場合は多くの金融機関が回路網
を共有し、トランザクシヨンを交換し、より良い
サービスを提供できる。バンクカード社が開発し
た全国的な回路網は多くの金融機関にサービスを
提供しており、何憶個もの勘定を集め1日当り何
憶個ものトランザクシヨンを処理している。各ト
ランザクシヨンは小さくても1日当り振り替えら
れるドルの量は積り積つて相当な額になる。この
他連邦政府出納金取扱業者(Federal Financial
Agencies)が利用する半官的な手形変換所及び
回線網があつて一日当り何十億ドルもの金銭が振
り替えられ、国の財政状態に影響を与えている。
いくつかの大銀行の回路網が安全度を高めるため
にとつている方法は簡単なものであつて、知識の
ある人間には簡単に敗けてしまう。時々新聞の見
出しがこれを証明している。 従来欠けていたことはプラスチツクカード、カ
ード保持者、トランザクシヨンをイニシエイトす
るのに使われる端末又は他の装置の証明と認証を
一体化して盗聴データを無効にし、処理対象たる
個人識別番号を符号化しないでもよく、伝送を短
かくして高価なデータ伝送線を有効に使い、それ
でいて種々のタイプのオンライン回路網の諸要求
に適合させ得る手順なり方法なりシステムであ
る。 発明の開示 本発明に係る方式は遠隔地の端末又は計算機に
通信回線で接続されている計算機で予じめ定めら
れた方法で秘密のデータその他のデータを多段一
暗号化する手段から成り、この暗号化はカード、
カード保持者、端末又は他の装置の認証を許し、
通信回線の利用を最大にする方法で盗聴による侵
害に対して安全度を与えるものである。秘密のデ
ータはトランザクシヨンを完成させるのに必要な
他のデータと一緒に正当なカード保持者によりキ
ーボードから入力される。この秘密のデータ及び
他のデータ並びに遠隔地の端末又は計算機の内部
データは当該端末又は計算機内に保管されている
秘密の端末マスタ鍵を用いて予じめ定められた方
法で多段一暗号化される。初にワーキング鍵
(Working Key)が作られるが、これは適当な手
段で端末又は計算機内で発生させられたトランザ
クシヨン要求メツセージだけを暗号化するのに使
用される。次に秘密の端末マスタ鍵(Terminal
Master Key)を用いて予じめ定められた方法で
このワーキング鍵を加算的に何回も多段一暗号化
して送信される鍵(Transmitted Key)を作る。
この送信される鍵はトランザクシヨン要求メツセ
ージに付加されて適当な手段により盗聴による侵
害を防ぐようにして中央口座データベースにある
計算機に送られる。中央計算機では口座データベ
ースを検索して正当なカード保持者の口座に対応
する暗号化されたデータやそのデータを見つけ出
し、メツセージを送つてきた装置を見出す。この
データは2通りに使われる。データの一部は、ト
ランザクシヨン要求メツセージに付加されている
送信されてきた鍵の多段解読を容易にするために
用いられ、これでワーキング鍵が得られる。デー
タの他の部分はワーキング鍵を用いて解読された
後トランザクシヨンの証明及び認証に用いられ
る。ワーキング鍵自体は更に多段解読される必要
があり、これでプログラマ、システムアナリス
ト、オペレータのような金融機関の従業員がアク
セスするのを防ぎ、また他の知能犯が不当に計算
機網又は計算機シシテムにアクセスするのを防
ぐ。トランザクシヨンが有効であると認められた
後中央計算機が会計的性質の付加的テストを行な
い、そのトランザクシヨン要求を認めるべきか否
か判定することもできる。このテストは勘定のバ
ランスとか、最後の使用日とか、引き出す額のよ
うなデータその他のデータに依存する。中央計算
機側では適当な手段によりしかるべき応答を出す
が、この応答はトランザクシヨン要求メツセージ
を暗号化するのに用いたのと同じワーキング鍵で
暗号化する。このトランザクシヨン要求に対する
応答は適当な手段によりトランザクシヨン要求メ
ツセージを送つてきた端末又は計算機に伝送す
る。この端末側では安全に保管していたワーキン
グ鍵を用いて適当な手段によりその応答を解読
し、若し承諾であれば要求されたトランザクシヨ
ンを完了し、さもなければトランザクシヨンが承
諾されなかつたことを表示する。トランザクシヨ
ンが完了した後端末又は計算機は付加的安全手段
として中央計算機にそのタイプのトランザクシヨ
ンが完了しなかつたことを示す肯定応答を送り出
す。この肯定応答も同じワーキング鍵を用いて暗
号化することもできる。中央計算機はこの肯定応
答を受け取つた後口座データベースを更新し、次
に遠隔地の端末又は計算機と中央計算機とがレジ
スタをリセツトしたりワーキング鍵が保管されて
いた位置をリセツトしたりして安全にワーキング
鍵を破壊し、再使用されたり危険にさらされるの
を防ぐ。 各トランザクシヨン要求メツセージを暗号化す
るのに必要なワーキング鍵はその秘密データと他
のデータとを用いて作られるから各トランザクシ
ヨン要求メツセージは中央計算機に送られる前に
異なるワーキング鍵を用いて暗号化される。その
場合暗号化手段の強さを相当に高め、端末マスタ
鍵が統計に強い秘密分析者にさらされる危険を防
ぐ。好適な実施例では同じワーキング鍵が2度作
られる可能性が2の56乗分の1である。
者及び装置を認証するシステムであつて、複数個
の遠隔端末を具え、これらの端末が利用者及び装
置の認証で用いられる暗号化されたデータを含む
データベースを具える中央処理装置と通信し、上
記データがマスタ鍵で暗号化されていると共に、
前記遠隔端末の各々毎の端末マスタ鍵及び全てが
秘密である前記利用者の各々毎の識別番号を含
み、更にこのデータが前記遠隔端末の各々毎の端
末識別番号及び前記利用者の各々毎の口座番号を
含み、前記遠隔端末の各々に、トランザクシヨン
及びトランザクシヨンの内容を開始させる利用者
の口座番号及び識別番号を入力する手段が設けら
れているトランサクシヨンを保護する方法におい
て、 端末側で、トランザクシヨンを開始しようとす
る利用者により端末から入力された情報に基づい
てトランザクシヨン要求メツセージを発生させる
段階と、 利用者により入力された識別番号及び口座番
号、並びに端末識別番号及び端末マスタ鍵を用い
てそのトランザクシヨンに固有のワーキング鍵を
生成する段階と、 このワーキング鍵を用いてトランザクシヨン要
求メツセージを暗号化する段階と、 暗号化されたトランザクシヨン要求メツセージ
を送信する段階と、 中央処理装置側で、送られてきたメツセージか
ら取り出した情報と、口座番号、端末マスタ鍵及
び端末識別番号を含むデータベースとを用いてワ
ーキング鍵を取り出す段階と、 このワーキング鍵を用いて中央処理装置側で受
け取つたメツセージを解読する段階と、 データベース内の対応するデータを解読するこ
とによつて得た利用者の識別番号及び口座番号
を、トランザクシヨン要求メツセージ中の対応す
るデータと比較し、トランザクシヨン要求メツセ
ージの有効性を検査する段階と、 トランザクシヨン要求応答を発生させ、トラン
ザクシヨン要求応答をワーキング鍵で暗号化する
段階と、 暗号化されたトランザクシヨン要求応答を、ト
ランザクシヨンを開始した端末に送信する段階
と、 端末で受け取つたメツセージをワーキング鍵を
用いて解読し、トランザクシヨンが承認された場
合に要求されたサービスを提供する段階と を含むトランザクシヨンを保護する方法。 2 更に、送信する前に暗号化されたトランザク
シヨン要求メツセージに口座番号をつける段階を
有し、前記ワーキング鍵を取り出す段階が、この
添付された口座番号、利用者識別番号、端末識別
番号及び端末マスタ鍵を用いてワーキング鍵を生
成することにより行なわれる請求の範囲第1項記
載のトランザクシヨンを保護する方法。 3 更にワーキング鍵を用いて送信される鍵を生
成する段階と、送信する前に暗号化されたトラン
ザクシヨン要求メツセージに送信される鍵を添付
する段階とを有し、前記トランザクシヨン要求メ
ツセージを解読する段階を添付されている送信さ
れる鍵を用いて行なつてワーキング鍵を得て、次
いでこのワーキング鍵を解読して利用者識別番号
を得る請求の範囲第1項記載のトランザクシヨン
を保護する方法。 4 更に、端末で受け取つたメツセージを解読し
た後、肯定応答を生成して、中央処理装置に送る
段階と、 肯定応答の後に端末及び中央処理装置でワーキ
ング鍵を破壊する段階と を含む請求の範囲第3項記載のトランザクシヨン
を保護する方法。 5 前記肯定応答をワーキング鍵を用いて暗号化
する請求の範囲第4項記載のトランザクシヨンを
保護する方法。 6 前記ワーキング鍵を生成する段階が、 端末で入力された利用者の識別番号と口座番号
とを用いて第1の安全パラメータを生成する段階
と、 端末マスタ鍵を用いて端末識別番号を符号化す
ることにより第2の鍵を生成する段階と、 第1の安全パラメーヒタと第2の鍵とを用いて
ワーキング鍵を生成する段階と を含む請求の範囲第3項記載のトランザクシヨン
を保護する方法。 7 日時をも用いてワーキング鍵を生成する請求
の範囲第3項又は第6項記載のトランザクシヨン
を保護する方法。 8 日時を用いて第1の安全パラメータを生成
し、中央処理装置側で更にワーキング鍵を用いて
第1の安全パラメータを解読して日時を得、解読
された日時が中央処理装置での日時から予じめ定
められた時間より長くずれていればそのトランザ
クシヨンを承認しない請求の範囲第6項記載のト
ランザクシヨンを保護する方法。 9 更に肯定応答後に中央処理装置側でデータベ
ースを更新する段階を含む請求の範囲第4項記載
のトランザクシヨンを保護する方法。 10 前記端末の各々が、利用者の口座番号で符
号化されている利用者を読み取るカードリーダを
具え、カードがカードリーダに挿入されてトラン
ザクシヨンが開始され、次に利用者が自己の識別
番号を入力する請求の範囲第3項記載のトランザ
クシヨンを保護する方法。 11 利用者の口座番号で符号化されたカードが
偽造対抗特性をも有し、前記ワーキング鍵を生成
する段階が、 利用者の口座番号及び識別番号と、偽造対抗特
性及び日時とを用いて第1の安全パラメータを生
成する段階と、 端末マスタ鍵を用いて端末識別番号を解読する
ことにより第2の鍵を生成する段階と、 第1の安全パラメータと第2の鍵とを用いてワ
ーキング鍵を生成する段階と を含む請求の範囲第10項記載のトランザクシヨ
ンを保護する方法。 発明の背景 1 技術分野 本発明はオンライン エレクトロニクス フア
ンズトランスフアー(Electronics Funds
Transfer)その他の遠隔地の端末と証明即ち認
証プロセスで用いられる暗号化されたデータを蓄
わえている中央データベースとの間が通信回線で
結ばれているタイプの回路網でトランザクシヨン
要求メツセージと応答を安全に発生し、伝送する
こと又は送金に使用する類似の回路網及び送金に
加えて現金の支払、勘定書の支払、預入、商品の
販売又はサービスの利用の許可に備える回路網に
関するものである。 2 従来技術の歴史 公衆の便宜と経済のため利用者がイニシエイト
した即ち要求した金銭上のトランザクシヨンを実
行するオンライン、オフライン両方の計算機ネツ
トワーク及び計算機システムが開発されてきた。
一例を挙げれば現金支払機である。このような機
械は適当に符号化された小切手若しくは他の流通
証券、又はプラスチツクのクレジツトカード、借
方票若しくは識別カードにより始動させられ、要
求が現金支払装置内の識別手段に有効であると見
える時要求された額の金銭を支払うものである。 一つのタイプのオンラインシステムは中央デー
タベースに口座情報を蓄わえ、この中央データベ
ースにデータ通信回線を介して遠隔地の端末が結
ばれているものである。遠隔地の端末から特定の
情報、例えば口座番号、売上げ高又は要求額、売
上げの場合ならば商店識別情報及びカード保持者
についての秘密の情報が送られてくるのに応答し
て計算機システムは口座フアイルを探してデータ
を得、そのトランザクシヨンを認めるか拒絶する
かを表示する。このような情報は最近の使用日、
クレジツトトランザクシヨンの場合はクレジツト
の額、勘定残高、又はカードが粉失し、盗まれ若
しくは期限切れとなつたものかどうかを含む。ト
ランザクシヨンが承認されるとそのトランザクシ
ヨンの完了後計算機システムは情報を適当に調整
する。そして技術が向上するにつれ機能が高くな
り、現金を支払つたり買物をしたりするだけでな
くもつと多くの機能を有するものが提供されるよ
うになつてきた。例えば、負荷のピークを小さく
し、閉店後もサービスを延長するために金融機関
が口座間の振り替えを許可し、サービス又はロー
ンの残高の支払を受取り、預金を受け入れ、有効
なクレジツトカードに請求される前払いに備える
ようになつてきた。これらの代表的な装置はプラ
スチツクカード読取り機構、キーボード、表示装
置、文書出し入れ口を具え、データベースに接続
され又はスタンドアロン装置として働らく。而し
てこのように許される機能が増すと共に詐欺にか
かる機会が増したのでこれを減らすためカード保
持者に秘密の番号(個人識別番号)が出された。
カード保持者がキーボードにこの個人識別番号を
入力するとプラスチツクカードの磁気ストライプ
に符号化されてのつている番号と直接比較し、或
は暗号化如何によつては個人識別番号と磁気スト
ライプに符号化されている番号との間にある何等
かの対応関係を見出す必要がある。そうでないと
トランザクシヨンはカードが粉失したり盗まれた
ものと推定しトランザクシヨンはイネーブルされ
ない。この方法はスタンドアロン装置でも中央デ
ータベースに接続されている装置でも利用でき
る。 個人識別番号を採用するようになつてこのよう
なシステムの安全度が改善されたが、未だ詐欺が
入り込む余地があり、他にも欠点がある。そこで
個人識別番号を安全に発行する問題が生じた。し
かし、個人識別番号のリストを含むオンラインフ
アイルを用いると従業員が秘密とされている情報
を得る目的で許可なく上記フアイルに近づくおそ
れがある。このような情報を用いて複製即ち二重
カードを簡単に作り、詐欺を犯すことができる。
この欠点を克服するためいくつかの異なるアプロ
ーチがなされてきた。一つの方法はオンラインフ
アイルの使用を避け、しかもオンラインシステム
の予想されるコストと複雑さとを克服するために
スタンドアロン利用の安全度を改善する試みであ
つた。その結果カードの中に特殊な材料の層を入
れた特殊なプラスチツクカードや、カードの上に
材料層を塗布したものや、カードや穿孔し又はカ
ード上に凹みをつけて安全手段としたものが考案
されたが、そのいずれもそれ自体としては実用化
されるに至らなかつた。 もう一つの方法は個人識別番号を暗号化して口
座記録に記憶しておき、外から適当な安全手段を
作用させた時これが働らくようにするものであ
る。しかしこれでも保守員が必要とするアクセス
及び現金を補給したり他のサービスのために暗号
鍵を単純で危険な手段にさらすからスタンドアロ
ン装置では使えない。また中央勘定記録で秘密情
報を暗号化することは実際的ではない。蓋し、そ
の秘密情報も遠隔地の端末からトランザクシヨン
を入れてイネーブルしなければならず、通常は公
衆通信回線により中央計算機に送らねばならず、
このため未知の1人又は複数人にモニタされるこ
とになる。それ故伝送に際しても暗号化しなけれ
ばならず、これは有効であるが、それでも誰かが
モニタしながら暗号を見破つて口座情報と個人識
別番号との間の対応関係のリストに近づくことが
できる。付加的な欠点はすれつからしの犯罪者が
偽のトランザクシヨンを作つてデースベース勘定
内で詐欺的に勘定を振り替えることである。その
結果従来の中央データプロセサで秘密の番号を認
証する方法は偶発的な誤りに対する保護はできる
が、現在のデータ処理装置又はシステムの知識を
有し、おそらくはそれに近づくことができる犯罪
者に対して十分な保護を与えることができない。
代りに十分なレベルの安全性を与えるように思わ
れるものは1つのトランザクシヨン当り単一のト
ランザクシヨン要求メツセージと単一の応答及び
肯定応答又は若干個の最少数の伝送に頼るよりも
コストの高いデータ伝送線を使つて各トランザク
シヨンの認証を多重伝送し、安全な方法で必要な
暗号鍵も伝送するものであるが、これは相当費用
がかかる。 また同じ時期に一つの金融機関がその顧客にサ
ービスを展開するための専用回路網以外の回路網
が発展した。この場合は多くの金融機関が回路網
を共有し、トランザクシヨンを交換し、より良い
サービスを提供できる。バンクカード社が開発し
た全国的な回路網は多くの金融機関にサービスを
提供しており、何憶個もの勘定を集め1日当り何
憶個ものトランザクシヨンを処理している。各ト
ランザクシヨンは小さくても1日当り振り替えら
れるドルの量は積り積つて相当な額になる。この
他連邦政府出納金取扱業者(Federal Financial
Agencies)が利用する半官的な手形変換所及び
回線網があつて一日当り何十億ドルもの金銭が振
り替えられ、国の財政状態に影響を与えている。
いくつかの大銀行の回路網が安全度を高めるため
にとつている方法は簡単なものであつて、知識の
ある人間には簡単に敗けてしまう。時々新聞の見
出しがこれを証明している。 従来欠けていたことはプラスチツクカード、カ
ード保持者、トランザクシヨンをイニシエイトす
るのに使われる端末又は他の装置の証明と認証を
一体化して盗聴データを無効にし、処理対象たる
個人識別番号を符号化しないでもよく、伝送を短
かくして高価なデータ伝送線を有効に使い、それ
でいて種々のタイプのオンライン回路網の諸要求
に適合させ得る手順なり方法なりシステムであ
る。 発明の開示 本発明に係る方式は遠隔地の端末又は計算機に
通信回線で接続されている計算機で予じめ定めら
れた方法で秘密のデータその他のデータを多段一
暗号化する手段から成り、この暗号化はカード、
カード保持者、端末又は他の装置の認証を許し、
通信回線の利用を最大にする方法で盗聴による侵
害に対して安全度を与えるものである。秘密のデ
ータはトランザクシヨンを完成させるのに必要な
他のデータと一緒に正当なカード保持者によりキ
ーボードから入力される。この秘密のデータ及び
他のデータ並びに遠隔地の端末又は計算機の内部
データは当該端末又は計算機内に保管されている
秘密の端末マスタ鍵を用いて予じめ定められた方
法で多段一暗号化される。初にワーキング鍵
(Working Key)が作られるが、これは適当な手
段で端末又は計算機内で発生させられたトランザ
クシヨン要求メツセージだけを暗号化するのに使
用される。次に秘密の端末マスタ鍵(Terminal
Master Key)を用いて予じめ定められた方法で
このワーキング鍵を加算的に何回も多段一暗号化
して送信される鍵(Transmitted Key)を作る。
この送信される鍵はトランザクシヨン要求メツセ
ージに付加されて適当な手段により盗聴による侵
害を防ぐようにして中央口座データベースにある
計算機に送られる。中央計算機では口座データベ
ースを検索して正当なカード保持者の口座に対応
する暗号化されたデータやそのデータを見つけ出
し、メツセージを送つてきた装置を見出す。この
データは2通りに使われる。データの一部は、ト
ランザクシヨン要求メツセージに付加されている
送信されてきた鍵の多段解読を容易にするために
用いられ、これでワーキング鍵が得られる。デー
タの他の部分はワーキング鍵を用いて解読された
後トランザクシヨンの証明及び認証に用いられ
る。ワーキング鍵自体は更に多段解読される必要
があり、これでプログラマ、システムアナリス
ト、オペレータのような金融機関の従業員がアク
セスするのを防ぎ、また他の知能犯が不当に計算
機網又は計算機シシテムにアクセスするのを防
ぐ。トランザクシヨンが有効であると認められた
後中央計算機が会計的性質の付加的テストを行な
い、そのトランザクシヨン要求を認めるべきか否
か判定することもできる。このテストは勘定のバ
ランスとか、最後の使用日とか、引き出す額のよ
うなデータその他のデータに依存する。中央計算
機側では適当な手段によりしかるべき応答を出す
が、この応答はトランザクシヨン要求メツセージ
を暗号化するのに用いたのと同じワーキング鍵で
暗号化する。このトランザクシヨン要求に対する
応答は適当な手段によりトランザクシヨン要求メ
ツセージを送つてきた端末又は計算機に伝送す
る。この端末側では安全に保管していたワーキン
グ鍵を用いて適当な手段によりその応答を解読
し、若し承諾であれば要求されたトランザクシヨ
ンを完了し、さもなければトランザクシヨンが承
諾されなかつたことを表示する。トランザクシヨ
ンが完了した後端末又は計算機は付加的安全手段
として中央計算機にそのタイプのトランザクシヨ
ンが完了しなかつたことを示す肯定応答を送り出
す。この肯定応答も同じワーキング鍵を用いて暗
号化することもできる。中央計算機はこの肯定応
答を受け取つた後口座データベースを更新し、次
に遠隔地の端末又は計算機と中央計算機とがレジ
スタをリセツトしたりワーキング鍵が保管されて
いた位置をリセツトしたりして安全にワーキング
鍵を破壊し、再使用されたり危険にさらされるの
を防ぐ。 各トランザクシヨン要求メツセージを暗号化す
るのに必要なワーキング鍵はその秘密データと他
のデータとを用いて作られるから各トランザクシ
ヨン要求メツセージは中央計算機に送られる前に
異なるワーキング鍵を用いて暗号化される。その
場合暗号化手段の強さを相当に高め、端末マスタ
鍵が統計に強い秘密分析者にさらされる危険を防
ぐ。好適な実施例では同じワーキング鍵が2度作
られる可能性が2の56乗分の1である。
図面につきなされる下記の詳細な説明を読めば
本発明を一層良く理解することができる。ここ
で: 第1図は本発明が用いられている代表的な金融
機関の回路網を表わす機能ブロツク図である。 第2図は本発明の方式記述の全体を見通せる動
作ブロツク図である。 第3図は本発明に係るプロセスをイニシエイト
するために端末又は計算機で安全パラメータ1を
形成する一つの方法を表わす図である。 第4,5,6図は異なるタイプの金融機関オン
ライン回路網の需要又は特性に合わせるべく安全
パラメータ1を形成する代りの方法である。 第7A,7B及び7C図は本発明の全体の方法
又はプロセスの詳細な動作ブロツク図である。 発明を実施するための最良の形態 1 定義 端末:現金支払機、自動金銭出納機、ポイント
−オブ−セール(Point−of−Sale)装置又は金
融上のトランザクシヨンをイニシエイトする任意
の種々のタイプの計算機のような装置。 端末識別(TID):8−8二進数、文字又は数
と交字の組み合せであつて、特定の端末を識別
し、その端末の綜合特性を具体化したものの標識
である。 主口座番号(PAN):口座データベース内の口
座ホルダを識別する標式。 個人識別番号(PIN):数字、文字又は数字と
文字の組み合せから成り、正当な口座ホルダにし
か知らされず、オン−ライン金融上のトランザク
シヨンのイニシエイシヨンと証明に使われるのに
用いられる。好適な実施例では少なくとも4個の
文字を個人識別番号として用いる。これら及び他
のパラメータに対して選ばれる二進表示は計算機
処理又はデータ通信に普通に用いられるもの何で
もよく、それによつて本発明の範囲が悪影響を受
けるものではない。 カード偽造対抗特性(CS):カードを毀さねば
変更できないい磁気ストライブ付きの「A」番の
プラスチツクの名称又は認識票 暗号又は解読鍵:アルゴリズムの操作を特定化
し又は制御するのに秘密の56個の二進数の鍵を要
求するデータ暗号化標準(Data Encryption
Standard)の若干個の例。なおいくつかの例で
はアルゴリズムの操作には56個しか入らないが64
個の秘密に二進数をキーレジスタに入れ、残りの
8個は奇数のパリテイ用二進数とし、キーの各7
個の二進数毎に1個用い、この各パリテイ二進数
は各7個の二進キー数字の右側に置く。これらの
いずれも本発明の範囲内に入るものであり、また
他の暗号システムでも暗号アルゴリズムの操作を
制御し又は特定化するのに秘密の暗号鍵を必要と
し又は許すものも同じである。 マスタ鍵(中央コンピユータではKNO、端末
ではKMT):主として又は専ら他の鍵を暗号化
及び解読するのに用いられる鍵。 マスタ鍵の変形例(中央計算機ではKM1及び
KM2、端末ではKMT1及びKMT2):侵入者
による特定のタイプの侵害に対して防禦するため
反転せさせた或る種の二進数を具えるマスタ鍵。
56個の二進数表示では第1の変形例と呼ばれる
KM1及びKMT1は左から右に数えて、2、9、
16、23、30、37、44、51の二進数字を反転したも
のを具える夫々のマスタ鍵に等しい。次に第2の
変形例と呼ばれるKM2及びKMT2は二進数字
5、12、19、26、33、40、47、54を反転したもの
による夫々のマスタ鍵から形成される。 ワーキング鍵(WK):トランザクシヨン要求
メツセージを暗号化したり解読したりするのに使
用される鍵。本発明では、各トランザクシヨン毎
にワーキング鍵を異ならせ、安全度を高めてい
る。 送信される鍵:トランザクシヨンと共に送信さ
れる鍵であつて、盗聴に対して防禦として働らく
と共に、解読が容易になつているものである。 鍵Xを用いてデータYを暗号化する:E〔X〕
(Y) 鍵Xを用いてデータYを解読する:D〔X)
(Y) マスタ鍵の下で暗号化する: E〔KMO〕(鍵) 中央コンピユータ E〔KMT〕(鍵) 端末 マスタ鍵の下で解読する: D〔KMO〕(鍵) 中央計算機 D〔KMT〕(鍵) 端末 マスタ鍵(RFMK(X、Y))から再暗号化す
る: E〔D〔KM1〕(X)〕(D(〔KM0〕(Y))と定
義する。 マスタ鍵(RTMK(X、Y))から再暗号化す
る: E〔KM0〕(D〔D〔KM2〕〕(X)〕(Y))と定
義する。 マスタ鍵(RFMK-1(X、Z))から逆再暗号
化する: E〔KM0〕(D〔D〔KM1〕(x)〕(z))と定義
する。 マスタ鍵(RTMK-1(X、W))から逆再暗号
化する: E〔D(KM2)(X)〕(D〔KM0〕(W))と定義す
る。 「‖」(二重線)によつて定義される連続化:
サブフイールド同士を並置することによりサブフ
イールド同士をまとめて一つのフイールドを形成
すること。例えばAB‖CD=ABCD 2 好適な実施例の説明 図面、殊に第1図及び第2図につき好適な実施
例を使つて本発明を詳細に説明する。本例は銀行
又は類似の金融機関で用いられるような現金支払
機、自動金銭出納機を有する回路網を具える。し
かし、本発明は以下に限定するものではないが、
資金を転送したり、商品を販売したり、サービス
の利用を許可したりすることを含む広範で一般的
な用途を有するものであることを明確に理解され
たい。 カード保持者20で示すように自分の磁気スト
ライプ付き「A」番のプラスチツクカードを人が
付いている又は無人の金銭出納端末10,11,
12に入れ、自分の個人識別番号と必要とする額
又は送金する額をキーボードで打つ。その端末は
21で示すように磁気ストライプを読み、銀行識
別番号、主口座番号を引き出し、端末識別を加え
る。その端末は22で示すようにトランザクシヨ
ン要求メツセージを作り、23で示すように主口
座番号、個人識別番号、カード偽造対抗特性番号
及び時間フイールドを用いて安全パラメータ1を
作り、この安全パラメータ1を端末識別及び端末
マスタ鍵と共に暗号化手段内で用いて第7A乃至
7C図に示すようにしてワーキング鍵を作る。こ
のトランザクシヨン要求メツセージには、金銭出
納端末から入力される種々のデータが含まれ、利
用者の口座番号、銀行識別番号、引出す金額、端
末識別番号(TID)、預金データ、1回の使用に
より引き出せる最大金額、トランザクシヨンのシ
リアル番号、金銭出納端末に残存している金額等
のデータが含まれる。このワーキング鍵は24に
示すように既にできているトランザクシヨン要求
メツセージを暗号化するのに用いられる。25で
示すように第7A乃至7C図につき説明するよう
にワーキング鍵、端末識別及び端末マスタ鍵を用
いて送信される鍵を作る。26で示すように用途
によつてはDESをイニシヤライズするのに必要
なイニシヤライゼイシヨンベクトルのような必要
とされる走向、ルーチング及び他の制御情報に加
えて送信される鍵をトランザクシヨン要求メツセ
ージに加え、伝送手段を用いて全部のメツセージ
を中央計算機14に送る。さらに伝送される情報
には、送信側の識別情報、日時、安全値TK等が
含まれる。27で示ように中央計算機14はメツ
セージのヘツダ部に入つている制御情報その他の
情報を用いて口座データベース15から一部が暗
号化されているデータを入手し、これを全部安全
モジユール13に送る。この安全モジユール13
は28で示すように第7A乃至7C図につき述べ
るようにして端末識別、端末マスタ鍵及び送信さ
れる鍵を用いて暗号化手段内でワーキング鍵を得
る。29に示すように安全モジユール13内にお
いてワーキング鍵を用いてトランザクシヨン要求
メツセージを解読する。安全モジユール13は3
0に示すようにワーキング鍵、端末マスタ鍵及び
端末識別を暗号化手段内で用いて安全パラメータ
1を得、個人識別番号及びカード偽造対抗特性番
号にアクセスできるようにする。安全モジユール
13は31で示すようにいくつかの手段の任意の
一つによりメツセージ内のデータから得られた個
人識別番号及びカード偽造対抗特性番号が中央計
算機から送られてきた勘定データベース内に含ま
れる値と一であることを確認し、中央計算機14
にしらせる。 中央計算機14は32に示すように承認プロセ
スの残りを実行し、33に示すようにしかるべき
応答を作つて安全モジユール13に送る。安全モ
ジユール13は34に示すようにワーキング鍵を
用いてこの応答を暗号化し、その後でこの応答を
伝送手段を用いて端末10,11又は12に送
る。端末は35に示すようにワーキング鍵を用い
てこの応答を解読し、36に示すように要求され
たサービスを提供し、37に示すように肯定応答
を発し、38に示すようにワーキング鍵を用いて
肯定応答を暗号化し、これを中央計算機14に送
る。中央計算機14は39で示すようにこの肯定
応答を安全モジユール13に送る。安全モジユー
ル13は40に示すようにワーキング鍵を用いて
この肯定応答を解読し、中央計算機14にしら
せ、ワーキング鍵を破壊する。中央計算機14は
41に示すように口座ベース15を更新し、端末
10,11又は12が42に示すように更新し、
所要とあらばプラスチツクカード上の磁気ストラ
イプに書き込み、ワーキング鍵を破壊し、43に
示すようにトランザクシヨンを完了する。今度は
第7A乃至7C図につき本発明を金銭出納トラン
ザクシヨン即ち第1図に示したような人がついて
いる又は無人の端末10,11,12又は伝送及
び暗号化手段を具え関連安全モジユール17とデ
ータベース18とを従え、データ通信線で伝送手
段を具え、暗号化装置13を従え、若干個のメデ
イアの任意の一つでよいが通常は磁気的又は電磁
的手段によりデータを蓄わえ、検索し、変更する
ための中央口座データベース15にアクセスして
いる中央計算機14に接続されている計算機16
を具えるような転送回路網につき詳しく説明す
る。口座データは当該金融機関に正当な口座を開
いている者に割り当てられている各口座に関する
情報を蓄わえる。この中央計算機のデータベース
には、利用者の金銭口座に関する全ての情報を記
憶するとができる。これらの情報として例えば、
利用者の口座番号、住所、安全性を確保するため
に別個の暗号化されている識別番号(PIN)、口
座に残存している金額、利用者の利用経歴等の各
種の情報が含まれる。端末又は計算機は当業者に
なじみの種々の手段のいずれかによつて中央計算
機に接続することができる。このような回路網に
トランザクシヨンをイニシエイトするためには第
7A図の50に示すように正当なカード保持者が
自分の磁気ストライプ付き「A」番プラスチツク
カードを端末のカード入口手段に入れ、端末が5
1に示すように好適な実施例では3回である一定
回数以上自己の個人識別番号を入力することを求
められたか否かを決める。カード保持者が3回自
己の個人識別番号を入力したならば、端末は52
に示すようにそのカードを保持し、53に示すよ
うにカード保持者が自己の金融機関を訪ねなけれ
ばならないことを告げ、54に示すようにそのト
ランザクシヨンを終える。 カード保持者が自己の個人識別番号を3回入れ
なくて済んだ時は端末が55に示すようにキーボ
ードで自己の個人識別番号を入力することを要求
し、56でカード保持者がこれを実行する。端末
は57で磁気ストライプを読み出し、端末は58
に示すように主口座番号の一部、個人識別番号の
一部、カード偽造対抗番号の一部及び第6図又は
代りに第3,4,5図に示すような時間フイール
ドの一部を用いて安全パラメータ1を形成する。
端末は59に示すようにカード保持者にトランザ
クシヨンの種類と金額を入力するように要求す
る。60でカード保持者は実行する。端末は61
でトランザクシヨン要求メツセージを作る。端末
は62に示すように端末マスタ鍵を用いて端末識
別を解読することにより二次鍵を作る。 SK=D〔KMT〕(TID) (1) 端末は63に示すようにマスタ鍵からの再暗号
機能を用いて二次パラメータ2を作り、二次鍵と
安全パラメータ1とを下に示すようにオペランド
する。 RFMK(SK、SP1)=E〔D〔KMT1〕(SK)〕(D
〔KMT〕(SP1))=SP2(2) この一つの実施例を表1に示す。
本発明を一層良く理解することができる。ここ
で: 第1図は本発明が用いられている代表的な金融
機関の回路網を表わす機能ブロツク図である。 第2図は本発明の方式記述の全体を見通せる動
作ブロツク図である。 第3図は本発明に係るプロセスをイニシエイト
するために端末又は計算機で安全パラメータ1を
形成する一つの方法を表わす図である。 第4,5,6図は異なるタイプの金融機関オン
ライン回路網の需要又は特性に合わせるべく安全
パラメータ1を形成する代りの方法である。 第7A,7B及び7C図は本発明の全体の方法
又はプロセスの詳細な動作ブロツク図である。 発明を実施するための最良の形態 1 定義 端末:現金支払機、自動金銭出納機、ポイント
−オブ−セール(Point−of−Sale)装置又は金
融上のトランザクシヨンをイニシエイトする任意
の種々のタイプの計算機のような装置。 端末識別(TID):8−8二進数、文字又は数
と交字の組み合せであつて、特定の端末を識別
し、その端末の綜合特性を具体化したものの標識
である。 主口座番号(PAN):口座データベース内の口
座ホルダを識別する標式。 個人識別番号(PIN):数字、文字又は数字と
文字の組み合せから成り、正当な口座ホルダにし
か知らされず、オン−ライン金融上のトランザク
シヨンのイニシエイシヨンと証明に使われるのに
用いられる。好適な実施例では少なくとも4個の
文字を個人識別番号として用いる。これら及び他
のパラメータに対して選ばれる二進表示は計算機
処理又はデータ通信に普通に用いられるもの何で
もよく、それによつて本発明の範囲が悪影響を受
けるものではない。 カード偽造対抗特性(CS):カードを毀さねば
変更できないい磁気ストライブ付きの「A」番の
プラスチツクの名称又は認識票 暗号又は解読鍵:アルゴリズムの操作を特定化
し又は制御するのに秘密の56個の二進数の鍵を要
求するデータ暗号化標準(Data Encryption
Standard)の若干個の例。なおいくつかの例で
はアルゴリズムの操作には56個しか入らないが64
個の秘密に二進数をキーレジスタに入れ、残りの
8個は奇数のパリテイ用二進数とし、キーの各7
個の二進数毎に1個用い、この各パリテイ二進数
は各7個の二進キー数字の右側に置く。これらの
いずれも本発明の範囲内に入るものであり、また
他の暗号システムでも暗号アルゴリズムの操作を
制御し又は特定化するのに秘密の暗号鍵を必要と
し又は許すものも同じである。 マスタ鍵(中央コンピユータではKNO、端末
ではKMT):主として又は専ら他の鍵を暗号化
及び解読するのに用いられる鍵。 マスタ鍵の変形例(中央計算機ではKM1及び
KM2、端末ではKMT1及びKMT2):侵入者
による特定のタイプの侵害に対して防禦するため
反転せさせた或る種の二進数を具えるマスタ鍵。
56個の二進数表示では第1の変形例と呼ばれる
KM1及びKMT1は左から右に数えて、2、9、
16、23、30、37、44、51の二進数字を反転したも
のを具える夫々のマスタ鍵に等しい。次に第2の
変形例と呼ばれるKM2及びKMT2は二進数字
5、12、19、26、33、40、47、54を反転したもの
による夫々のマスタ鍵から形成される。 ワーキング鍵(WK):トランザクシヨン要求
メツセージを暗号化したり解読したりするのに使
用される鍵。本発明では、各トランザクシヨン毎
にワーキング鍵を異ならせ、安全度を高めてい
る。 送信される鍵:トランザクシヨンと共に送信さ
れる鍵であつて、盗聴に対して防禦として働らく
と共に、解読が容易になつているものである。 鍵Xを用いてデータYを暗号化する:E〔X〕
(Y) 鍵Xを用いてデータYを解読する:D〔X)
(Y) マスタ鍵の下で暗号化する: E〔KMO〕(鍵) 中央コンピユータ E〔KMT〕(鍵) 端末 マスタ鍵の下で解読する: D〔KMO〕(鍵) 中央計算機 D〔KMT〕(鍵) 端末 マスタ鍵(RFMK(X、Y))から再暗号化す
る: E〔D〔KM1〕(X)〕(D(〔KM0〕(Y))と定
義する。 マスタ鍵(RTMK(X、Y))から再暗号化す
る: E〔KM0〕(D〔D〔KM2〕〕(X)〕(Y))と定
義する。 マスタ鍵(RFMK-1(X、Z))から逆再暗号
化する: E〔KM0〕(D〔D〔KM1〕(x)〕(z))と定義
する。 マスタ鍵(RTMK-1(X、W))から逆再暗号
化する: E〔D(KM2)(X)〕(D〔KM0〕(W))と定義す
る。 「‖」(二重線)によつて定義される連続化:
サブフイールド同士を並置することによりサブフ
イールド同士をまとめて一つのフイールドを形成
すること。例えばAB‖CD=ABCD 2 好適な実施例の説明 図面、殊に第1図及び第2図につき好適な実施
例を使つて本発明を詳細に説明する。本例は銀行
又は類似の金融機関で用いられるような現金支払
機、自動金銭出納機を有する回路網を具える。し
かし、本発明は以下に限定するものではないが、
資金を転送したり、商品を販売したり、サービス
の利用を許可したりすることを含む広範で一般的
な用途を有するものであることを明確に理解され
たい。 カード保持者20で示すように自分の磁気スト
ライプ付き「A」番のプラスチツクカードを人が
付いている又は無人の金銭出納端末10,11,
12に入れ、自分の個人識別番号と必要とする額
又は送金する額をキーボードで打つ。その端末は
21で示すように磁気ストライプを読み、銀行識
別番号、主口座番号を引き出し、端末識別を加え
る。その端末は22で示すようにトランザクシヨ
ン要求メツセージを作り、23で示すように主口
座番号、個人識別番号、カード偽造対抗特性番号
及び時間フイールドを用いて安全パラメータ1を
作り、この安全パラメータ1を端末識別及び端末
マスタ鍵と共に暗号化手段内で用いて第7A乃至
7C図に示すようにしてワーキング鍵を作る。こ
のトランザクシヨン要求メツセージには、金銭出
納端末から入力される種々のデータが含まれ、利
用者の口座番号、銀行識別番号、引出す金額、端
末識別番号(TID)、預金データ、1回の使用に
より引き出せる最大金額、トランザクシヨンのシ
リアル番号、金銭出納端末に残存している金額等
のデータが含まれる。このワーキング鍵は24に
示すように既にできているトランザクシヨン要求
メツセージを暗号化するのに用いられる。25で
示すように第7A乃至7C図につき説明するよう
にワーキング鍵、端末識別及び端末マスタ鍵を用
いて送信される鍵を作る。26で示すように用途
によつてはDESをイニシヤライズするのに必要
なイニシヤライゼイシヨンベクトルのような必要
とされる走向、ルーチング及び他の制御情報に加
えて送信される鍵をトランザクシヨン要求メツセ
ージに加え、伝送手段を用いて全部のメツセージ
を中央計算機14に送る。さらに伝送される情報
には、送信側の識別情報、日時、安全値TK等が
含まれる。27で示ように中央計算機14はメツ
セージのヘツダ部に入つている制御情報その他の
情報を用いて口座データベース15から一部が暗
号化されているデータを入手し、これを全部安全
モジユール13に送る。この安全モジユール13
は28で示すように第7A乃至7C図につき述べ
るようにして端末識別、端末マスタ鍵及び送信さ
れる鍵を用いて暗号化手段内でワーキング鍵を得
る。29に示すように安全モジユール13内にお
いてワーキング鍵を用いてトランザクシヨン要求
メツセージを解読する。安全モジユール13は3
0に示すようにワーキング鍵、端末マスタ鍵及び
端末識別を暗号化手段内で用いて安全パラメータ
1を得、個人識別番号及びカード偽造対抗特性番
号にアクセスできるようにする。安全モジユール
13は31で示すようにいくつかの手段の任意の
一つによりメツセージ内のデータから得られた個
人識別番号及びカード偽造対抗特性番号が中央計
算機から送られてきた勘定データベース内に含ま
れる値と一であることを確認し、中央計算機14
にしらせる。 中央計算機14は32に示すように承認プロセ
スの残りを実行し、33に示すようにしかるべき
応答を作つて安全モジユール13に送る。安全モ
ジユール13は34に示すようにワーキング鍵を
用いてこの応答を暗号化し、その後でこの応答を
伝送手段を用いて端末10,11又は12に送
る。端末は35に示すようにワーキング鍵を用い
てこの応答を解読し、36に示すように要求され
たサービスを提供し、37に示すように肯定応答
を発し、38に示すようにワーキング鍵を用いて
肯定応答を暗号化し、これを中央計算機14に送
る。中央計算機14は39で示すようにこの肯定
応答を安全モジユール13に送る。安全モジユー
ル13は40に示すようにワーキング鍵を用いて
この肯定応答を解読し、中央計算機14にしら
せ、ワーキング鍵を破壊する。中央計算機14は
41に示すように口座ベース15を更新し、端末
10,11又は12が42に示すように更新し、
所要とあらばプラスチツクカード上の磁気ストラ
イプに書き込み、ワーキング鍵を破壊し、43に
示すようにトランザクシヨンを完了する。今度は
第7A乃至7C図につき本発明を金銭出納トラン
ザクシヨン即ち第1図に示したような人がついて
いる又は無人の端末10,11,12又は伝送及
び暗号化手段を具え関連安全モジユール17とデ
ータベース18とを従え、データ通信線で伝送手
段を具え、暗号化装置13を従え、若干個のメデ
イアの任意の一つでよいが通常は磁気的又は電磁
的手段によりデータを蓄わえ、検索し、変更する
ための中央口座データベース15にアクセスして
いる中央計算機14に接続されている計算機16
を具えるような転送回路網につき詳しく説明す
る。口座データは当該金融機関に正当な口座を開
いている者に割り当てられている各口座に関する
情報を蓄わえる。この中央計算機のデータベース
には、利用者の金銭口座に関する全ての情報を記
憶するとができる。これらの情報として例えば、
利用者の口座番号、住所、安全性を確保するため
に別個の暗号化されている識別番号(PIN)、口
座に残存している金額、利用者の利用経歴等の各
種の情報が含まれる。端末又は計算機は当業者に
なじみの種々の手段のいずれかによつて中央計算
機に接続することができる。このような回路網に
トランザクシヨンをイニシエイトするためには第
7A図の50に示すように正当なカード保持者が
自分の磁気ストライプ付き「A」番プラスチツク
カードを端末のカード入口手段に入れ、端末が5
1に示すように好適な実施例では3回である一定
回数以上自己の個人識別番号を入力することを求
められたか否かを決める。カード保持者が3回自
己の個人識別番号を入力したならば、端末は52
に示すようにそのカードを保持し、53に示すよ
うにカード保持者が自己の金融機関を訪ねなけれ
ばならないことを告げ、54に示すようにそのト
ランザクシヨンを終える。 カード保持者が自己の個人識別番号を3回入れ
なくて済んだ時は端末が55に示すようにキーボ
ードで自己の個人識別番号を入力することを要求
し、56でカード保持者がこれを実行する。端末
は57で磁気ストライプを読み出し、端末は58
に示すように主口座番号の一部、個人識別番号の
一部、カード偽造対抗番号の一部及び第6図又は
代りに第3,4,5図に示すような時間フイール
ドの一部を用いて安全パラメータ1を形成する。
端末は59に示すようにカード保持者にトランザ
クシヨンの種類と金額を入力するように要求す
る。60でカード保持者は実行する。端末は61
でトランザクシヨン要求メツセージを作る。端末
は62に示すように端末マスタ鍵を用いて端末識
別を解読することにより二次鍵を作る。 SK=D〔KMT〕(TID) (1) 端末は63に示すようにマスタ鍵からの再暗号
機能を用いて二次パラメータ2を作り、二次鍵と
安全パラメータ1とを下に示すようにオペランド
する。 RFMK(SK、SP1)=E〔D〔KMT1〕(SK)〕(D
〔KMT〕(SP1))=SP2(2) この一つの実施例を表1に示す。
【表】
端末は64に示すように機能マスタ鍵からの再
暗号化を用いてワーキング鍵を作成し、下記のよ
うに二次鍵及び安全パラメータ2をオペランドす
る。 RFMK(SK、SP2)=E〔D〔KMT1〕(SK)〕(
D〔KMT〕(SP2))=WK(3) 端末は65に示すようにこのワーキング鍵を用
いてトランザクシヨン要求メツセージを下記のよ
うに暗号化する。 E〔WK〕(トランザクシヨン要求メツセージ) (4) 端末は66に示すように機能マスタ鍵への再暗
号化を用いて安全パラメータ3を作成し、下記の
ように二次鍵とワーキング鍵とをオペランドす
る。 RTMK(SK、WK)=E〔KMT〕(D〔D〔KMT2)
(SK)〕(WK)〕=SP3(5) この一例を下の表2に示す。
暗号化を用いてワーキング鍵を作成し、下記のよ
うに二次鍵及び安全パラメータ2をオペランドす
る。 RFMK(SK、SP2)=E〔D〔KMT1〕(SK)〕(
D〔KMT〕(SP2))=WK(3) 端末は65に示すようにこのワーキング鍵を用
いてトランザクシヨン要求メツセージを下記のよ
うに暗号化する。 E〔WK〕(トランザクシヨン要求メツセージ) (4) 端末は66に示すように機能マスタ鍵への再暗
号化を用いて安全パラメータ3を作成し、下記の
ように二次鍵とワーキング鍵とをオペランドす
る。 RTMK(SK、WK)=E〔KMT〕(D〔D〔KMT2)
(SK)〕(WK)〕=SP3(5) この一例を下の表2に示す。
【表】
端末は67に示すように機能マスタ鍵への再暗
号化を用いて送信される鍵を生成し、二次鍵と安
全パラメータ3とを下記のようにオペランドす
る。 PTMK(SK、SP3)=E〔KMT〕(D〔D〔KMT2〕
(SK)〕(SP3))=TK(6) 端末は68で示すようにメツセージヘツダで必
要とされる他のルーテイング、トランジツド及び
制御情報に加えてトランザクシヨン要求メツセー
ジに送信される鍵をかける。端末は69に示すよ
うにリンク暗号化鍵を用いてヘツダを含む完全な
メツセージを暗号化し、70に示すようにそれを
中央計算機に送る。中央計算機は71に示すよう
にメツセージを安全モジユールに送り、72に示
すように安全モジユールがリンク暗号鍵を用いて
メツセージを解読し、73に示すように安全モジ
ユールがルーテイング、トランジツト及び制御情
報を中央計算機に送り、80に示すように中央計
算機がこれが「自分当ての」のトランザクシヨン
であるか又はインターチエンするだけのトランザ
クシヨンであるかを判定する。インターチエンジ
トランザクシヨンであれば後述する付加的な処理
が必要である。 これがインターチエンジトランザクシヨンでな
い場合は中央計算機は口座データベースから種々
のデータを得、これに対して端末識別を用いて表
3に類似して蓄わえられている端末マスタ鍵(暗
号化されている)を得、74に示すように安全モ
ジユールに全てのデータを送る。
号化を用いて送信される鍵を生成し、二次鍵と安
全パラメータ3とを下記のようにオペランドす
る。 PTMK(SK、SP3)=E〔KMT〕(D〔D〔KMT2〕
(SK)〕(SP3))=TK(6) 端末は68で示すようにメツセージヘツダで必
要とされる他のルーテイング、トランジツド及び
制御情報に加えてトランザクシヨン要求メツセー
ジに送信される鍵をかける。端末は69に示すよ
うにリンク暗号化鍵を用いてヘツダを含む完全な
メツセージを暗号化し、70に示すようにそれを
中央計算機に送る。中央計算機は71に示すよう
にメツセージを安全モジユールに送り、72に示
すように安全モジユールがリンク暗号鍵を用いて
メツセージを解読し、73に示すように安全モジ
ユールがルーテイング、トランジツト及び制御情
報を中央計算機に送り、80に示すように中央計
算機がこれが「自分当ての」のトランザクシヨン
であるか又はインターチエンするだけのトランザ
クシヨンであるかを判定する。インターチエンジ
トランザクシヨンであれば後述する付加的な処理
が必要である。 これがインターチエンジトランザクシヨンでな
い場合は中央計算機は口座データベースから種々
のデータを得、これに対して端末識別を用いて表
3に類似して蓄わえられている端末マスタ鍵(暗
号化されている)を得、74に示すように安全モ
ジユールに全てのデータを送る。
【表】
【表】
安全モジユールは機能マスタ鍵への逆再暗号化
を用いて安全パラメータ3を生成し、下記に示す
ように75に示すように二次鍵と送信される鍵を
オペランドする。 PTMK-1(SK、TK)=SP3=E〔D〔KMT2〕(SK
)〕(D〔KMT〕(TK))(7) (7)式において、SKは送信側で取り出される方
法と同様な方法で受信側で得られる。すなわち、
(1)式に示されるように端末マスタキー(KMT)
を解読キーとして用いて端末識別表ID(TID)を
解読することにより得られる。端末マスタキー
(KMT)は表3と同様な表から得られ、端末識
別TIDをインデツクスとして用いてメツセージを
送信する側を表わす端末マスタキーを再生する。
安全値TKはメツセージから得ることができ、こ
のメツセージには送信される前に送信側で安全値
TKが付される。KMT2の値は、前述ししたよ
うに各8ビツトのKMTのうち2ビツトだけ反転
することにより端末マスタキーKMTから取り出
される。このように、受信側で必要なデータのう
ちのいくつかは、暗号化されたトランザクシヨン
要求メツセージのヘツダ部の識別情報から得ら
れ、また、いくつかの値は内部に記憶されている
表から得られ、この表は送信されず結合されてい
るキヤリアによつて取り出され暗号化方法の安全
性が担保される。 この一例を表4に示す。
を用いて安全パラメータ3を生成し、下記に示す
ように75に示すように二次鍵と送信される鍵を
オペランドする。 PTMK-1(SK、TK)=SP3=E〔D〔KMT2〕(SK
)〕(D〔KMT〕(TK))(7) (7)式において、SKは送信側で取り出される方
法と同様な方法で受信側で得られる。すなわち、
(1)式に示されるように端末マスタキー(KMT)
を解読キーとして用いて端末識別表ID(TID)を
解読することにより得られる。端末マスタキー
(KMT)は表3と同様な表から得られ、端末識
別TIDをインデツクスとして用いてメツセージを
送信する側を表わす端末マスタキーを再生する。
安全値TKはメツセージから得ることができ、こ
のメツセージには送信される前に送信側で安全値
TKが付される。KMT2の値は、前述ししたよ
うに各8ビツトのKMTのうち2ビツトだけ反転
することにより端末マスタキーKMTから取り出
される。このように、受信側で必要なデータのう
ちのいくつかは、暗号化されたトランザクシヨン
要求メツセージのヘツダ部の識別情報から得ら
れ、また、いくつかの値は内部に記憶されている
表から得られ、この表は送信されず結合されてい
るキヤリアによつて取り出され暗号化方法の安全
性が担保される。 この一例を表4に示す。
【表】
安全モジユールは76に示すように機能マスタ
鍵への逆再暗号化を用いてワーキング鍵を生成
し、下記のように二次鍵と安全パラメータ3をオ
ペランドする。 RTMK-1(SK、SP3)=WK=E〔D〔KMT2〕(SK)
〕(D〔KMT〕(SP3)(8) 安全モジユールは77に示すように下記のよう
にトランザクシヨン要求メツセージを解読する。 D〔WK〕(トランザクシヨン要求メツセージ) (9) 安全モジユールは78に示すように機能マスタ
鍵からの逆再暗号化を用いて安全パラメータ2を
生成し、下記のように二次鍵とワーキング鍵とを
オペランドする。 RFMK-1(SK、WK)=SP2=E〔KMT〕(D〔D〔KMT
〕〕(SK)〕(WK))(10) この一例を表5に示す。
鍵への逆再暗号化を用いてワーキング鍵を生成
し、下記のように二次鍵と安全パラメータ3をオ
ペランドする。 RTMK-1(SK、SP3)=WK=E〔D〔KMT2〕(SK)
〕(D〔KMT〕(SP3)(8) 安全モジユールは77に示すように下記のよう
にトランザクシヨン要求メツセージを解読する。 D〔WK〕(トランザクシヨン要求メツセージ) (9) 安全モジユールは78に示すように機能マスタ
鍵からの逆再暗号化を用いて安全パラメータ2を
生成し、下記のように二次鍵とワーキング鍵とを
オペランドする。 RFMK-1(SK、WK)=SP2=E〔KMT〕(D〔D〔KMT
〕〕(SK)〕(WK))(10) この一例を表5に示す。
【表】
安全モジユール79に示すように機能マスタ鍵
からの逆再暗号化を用いて安全パラメータ1を生
成し、下記のように二次鍵と安全パラメータ2と
をオペランドする。 RFMK-1(SK、SP2)=SP1=E〔KMT〕(D〔D〔KMT
1〕〕(SK)〕(SP2))(11) 安全モジユールはターミナル81で第6図がオ
リジナルに用いられた場合は主口座番号の一部
と、個人識別番号の一部と、安全パラメータ1か
らのカード偽造対抗番号の一部とを回復し、代り
第3,4又は5図を用いる場合は何でも使用され
る。安全モジユールは82に示すように解読され
たトランザクシヨン要求メツセージから主口座番
号の残りを再生し、全部の番号を中央計算機に送
り、中央計算機は83に示すように表6に類似し
て蓄わえることができる主口座番号を用いて口座
データベースから暗号化されている個人識別番号
とカード偽造対抗特性番号とを検索する。
からの逆再暗号化を用いて安全パラメータ1を生
成し、下記のように二次鍵と安全パラメータ2と
をオペランドする。 RFMK-1(SK、SP2)=SP1=E〔KMT〕(D〔D〔KMT
1〕〕(SK)〕(SP2))(11) 安全モジユールはターミナル81で第6図がオ
リジナルに用いられた場合は主口座番号の一部
と、個人識別番号の一部と、安全パラメータ1か
らのカード偽造対抗番号の一部とを回復し、代り
第3,4又は5図を用いる場合は何でも使用され
る。安全モジユールは82に示すように解読され
たトランザクシヨン要求メツセージから主口座番
号の残りを再生し、全部の番号を中央計算機に送
り、中央計算機は83に示すように表6に類似し
て蓄わえることができる主口座番号を用いて口座
データベースから暗号化されている個人識別番号
とカード偽造対抗特性番号とを検索する。
【表】
【表】
中央計算機は84に示すようにカードを安全モ
ジユールに送り、トランザクシヨンを認証し、安
全モジユールはしかるべき解読の後口座データベ
ースから得られた個人識別番号とトランザクシヨ
ン要求メツセージから生成された個人識別番号と
を比較し、2個の偽造対抗番号を比較し、トラン
ザクシヨンを認証する。トランザクシヨンが有効
であると思われない時は第7B図の87に見るよ
うに安全モジユールは中央計算機が端末にカード
保持者が自己の個人識別番号を再入力する指示を
出すべきことを告げ、88で中央計算機がこれを
実行し、第7A図の51の処理に戻る。 トランザクシヨンが有効であると思われる時は
安全モジユールが89に示すように中央計算機に
そのことを告げ、中央計算機が90に示すように
承認手続きの残りを実行し、承認又は否認の応答
を生成し、91でこれを安全モジユールに送る。
安全モジユールは92に示すようにワーキング鍵
を用いてこの応答を暗号化し、それを中央計算機
に戻し、93に示すように中央計算機はこの応答
を端末に送る。端末は94に示すようにワーキン
グ鍵を用いてこの応答を解読し、95に示すよう
に承認であればサービスを提供し、否認であれば
メツセージを表示し、96で肯定応答を生成し、
97に示すようにワーキング鍵を用いてこの肯定
応答を暗号化し、これを中央計算機に送る。中央
計算機は98に示すようにこの肯定応答を安全モ
ジユールに送り、安全モジユールが99に示すよ
うにこの肯定応答を解読し、中央計算機に告げ、
中央計算機が100に示すように口座データベー
スを更新し、安全モジユールと端末に告げ、安全
モジユールが101でワーキング鍵を破壊し、端
末が103で必要とあらば磁気ストライプを更新
し、カードをカード保持者に返却し、104で端
末がワーキング鍵を破壊し、102でトランザク
シヨンが完了する。 トランザクシヨンがインターチエンジトランザ
クシヨンである場合は中央計算機(受け手)は1
05で示すように銀行識別番号又は類似の宛て名
を用いて通常再生されるデータに加えて表7に類
似して蓄わえ得る暗号化されたサイトマスタイン
ターチエンジ鍵、暗号化されたパスワード、計算
機識別(受け手)を得、これを全て安全モジユー
ルに送る。安全モジユールは106に示すように
端末マスタ鍵に代えてサイトマスタインターチエ
ンジ鍵を用い、個人識別番号に代えてパスワード
を用い、端末識別に代えて計算機識別を用い、主
勘定番号に代えて銀行識別番号を用い、タイムフ
イールドの一部を用いて第7A図の62乃至64
でしたようにしてインターチエンジワーキング鍵
を作る。安全モジユールは107に示すように端
末識別と端末マスタ鍵(これは先ず解読した後)
とを暗号化し、第7A図の66,67でしたよう
にしてインターチエンジ送信鍵を作り、トランザ
クシヨン要求メツセージにこのインターチエンジ
送信鍵、ヘツダ及び制御情報を添え、リンク暗号
化鍵を用いてこれを暗号化し、108で示すよう
にこのトランザクシヨンを受け手の中央計算機に
送る。この受け手の中央計算機はこのトランザク
シヨンを109で示すように送り手の中央計算機
送り、第7C図の110に示すように送り手の中
央計算機はこのメツセージを送り手の安全モジユ
ールに送る。
ジユールに送り、トランザクシヨンを認証し、安
全モジユールはしかるべき解読の後口座データベ
ースから得られた個人識別番号とトランザクシヨ
ン要求メツセージから生成された個人識別番号と
を比較し、2個の偽造対抗番号を比較し、トラン
ザクシヨンを認証する。トランザクシヨンが有効
であると思われない時は第7B図の87に見るよ
うに安全モジユールは中央計算機が端末にカード
保持者が自己の個人識別番号を再入力する指示を
出すべきことを告げ、88で中央計算機がこれを
実行し、第7A図の51の処理に戻る。 トランザクシヨンが有効であると思われる時は
安全モジユールが89に示すように中央計算機に
そのことを告げ、中央計算機が90に示すように
承認手続きの残りを実行し、承認又は否認の応答
を生成し、91でこれを安全モジユールに送る。
安全モジユールは92に示すようにワーキング鍵
を用いてこの応答を暗号化し、それを中央計算機
に戻し、93に示すように中央計算機はこの応答
を端末に送る。端末は94に示すようにワーキン
グ鍵を用いてこの応答を解読し、95に示すよう
に承認であればサービスを提供し、否認であれば
メツセージを表示し、96で肯定応答を生成し、
97に示すようにワーキング鍵を用いてこの肯定
応答を暗号化し、これを中央計算機に送る。中央
計算機は98に示すようにこの肯定応答を安全モ
ジユールに送り、安全モジユールが99に示すよ
うにこの肯定応答を解読し、中央計算機に告げ、
中央計算機が100に示すように口座データベー
スを更新し、安全モジユールと端末に告げ、安全
モジユールが101でワーキング鍵を破壊し、端
末が103で必要とあらば磁気ストライプを更新
し、カードをカード保持者に返却し、104で端
末がワーキング鍵を破壊し、102でトランザク
シヨンが完了する。 トランザクシヨンがインターチエンジトランザ
クシヨンである場合は中央計算機(受け手)は1
05で示すように銀行識別番号又は類似の宛て名
を用いて通常再生されるデータに加えて表7に類
似して蓄わえ得る暗号化されたサイトマスタイン
ターチエンジ鍵、暗号化されたパスワード、計算
機識別(受け手)を得、これを全て安全モジユー
ルに送る。安全モジユールは106に示すように
端末マスタ鍵に代えてサイトマスタインターチエ
ンジ鍵を用い、個人識別番号に代えてパスワード
を用い、端末識別に代えて計算機識別を用い、主
勘定番号に代えて銀行識別番号を用い、タイムフ
イールドの一部を用いて第7A図の62乃至64
でしたようにしてインターチエンジワーキング鍵
を作る。安全モジユールは107に示すように端
末識別と端末マスタ鍵(これは先ず解読した後)
とを暗号化し、第7A図の66,67でしたよう
にしてインターチエンジ送信鍵を作り、トランザ
クシヨン要求メツセージにこのインターチエンジ
送信鍵、ヘツダ及び制御情報を添え、リンク暗号
化鍵を用いてこれを暗号化し、108で示すよう
にこのトランザクシヨンを受け手の中央計算機に
送る。この受け手の中央計算機はこのトランザク
シヨンを109で示すように送り手の中央計算機
送り、第7C図の110に示すように送り手の中
央計算機はこのメツセージを送り手の安全モジユ
ールに送る。
【表】
【表】
安全モジユールは111で示すようにリンク暗
号化鍵を用いてトランザクシヨンを解読し、ヘツ
ダと制御情報とを送り手の中央計算機に送り、送
り手の中央計算機が112に示すようにこの情報
を用いて暗号化されているサイトマスタインター
チエンジ鍵、暗号化されているパスワード及び計
算機識別とを検索し、これを安全モジユールに送
る。安全モジユールは113に示すように第7A
図の75,76で用いられたのと同じ手続を用い
てインターチエンジワーキング鍵を再生し、第7
A図の78,79,81で用いられたのと同じ手
続を用いて113で認証されているパスワードを
再生する。安全モジユールは114に示すように
インターチエンジワーキング鍵を用いて解読によ
り端末識別と端末マスタ鍵とを再生する。115
では個人識別番号を再生し、トランザクシヨンを
認証し承認するし、応答を作る手続の残りを第7
A及び7B図の75乃至79,81乃至91で用
いられたのと同じように行う。送り手の安全モジ
ユールは116で示すようにワーキング鍵を用い
て端末に送ることになる応答を暗号化し、117
で示すようにインターチエンジワーキング鍵を用
いて受け手の中央計算機に行くべき応答又は肯定
応答を暗号化し、それを送り手の中央計算機に送
る。送り手の中央計算機は118で示すようにこ
のの応答を受け手の中央計算機に送り、受け手の
中央計算機が119で示すようにこの応答を安全
モジユールに送り、安全モジユールがインターチ
エンジワーキング鍵を用いてこの応答を解読し、
121に示すように応答の端末に送るべき部分を
受け手の中央計算機に送り、中央計算機がそのイ
ン−プロセス(in−process)フアイルを更新す
る。端末は122に示ように第7B図の94乃至
97と同一の手続に従う。受け手の中央計算機は
123に示すよう肯定応答を送り手の中央計算機
にリレーし、送り手の中央計算機は124に示す
ように第7B図の98乃至101に示すのと同じ
手続に従う。受け手の中央計算機は128に示す
ようにイン−プロセスフアイルを更新し、端末に
報らせをリレーし、受け手の安全モジユールは1
25に示ようにワーキング鍵を破壊し、端末は1
29に示すよように必要とあらば磁気ストライブ
を更新し、126に示すようにワーキング鍵を破
壊し、127に示すようにトランザクシヨンが完
了する。 第1図につき述べると、「伝送手段付き計算機」
14はIBM社の370/148中央処理装置(CPU)、
3410テープユニツト、1403プリンタ、3705通信制
御装置、ベル社の201Cデータセツトから構成す
ることができる。データベースは1個又は複数個
のIBM3330デイスク、15にのせることができ
る。現金支払機10又ATM11はIBM3614から
構成することができ、この中にインテル社の8080
マイクロプロセサ及びモトローラ社の
MGD8080DSMデータ安全モジユールを含めるこ
とができる。安全モジユール13又は17はイン
テル社の8080マイクロプロセサとモトローラ社の
MGD8080DSMデータ安全モジユールとから構成
することができる。第1図に示した他方の計算機
16はバローズ社の7766CPU、9495テープユニ
ツト、9373デイスクユニツト(18)、ドキユメイ
シヨン社の1500プリンタ、バローズ社7350通信制
御装置、TA1201データセツト及びRT400現金支
払機又は図示されたのと類似の展開された計算機
14とのACM通信から構成することができる。
いずれの場合も12に示した端末はIBM3604、
3612若しくは3610又バローズ社のTU700、
TC700とすることができる。通信線は300乃至
1200ボー、同期又は非同期とすることができる。 ここで当業者の方に御注事頂きたいことは上述
した特定の装置は説明上の目的だけであつて、本
発明の範囲を変更したり限定したりするものでは
ないということである。例えばNCR社又はユニ
バツク社で造られたCPUやバリアン社、メモレ
ツクス社、DEC社、NCR社、ドキユテル社、
FDSI社、デイーボールド社、タンデム社、モス
ラー社、バンカーレーモ社その他で造られた
ATM周辺又は通信装置でもつて前述したシステ
ムコンポーネントを置き換えることができる。同
じように、インテル8080ではなくインテル社の
8048若しくは8085又はモトローラ社の6800、
PDD11を指定することができ、後述するプログ
ラムをしかるべく変更すれば足りる。また、モト
ローラ社の装置にかえてフエアチヤイルド社、ウ
エスタンデイジタル社、コリンズ−ロツクウエル
社、IBM社他により作られたDESを具体化する。
LSI装置を使用することもできる、そうしても本
発明の範囲は変更されたり、限定されたりするも
のではない。 以下に述べるプログラムの組は前述したインテ
ル8080マイクロプロセサにモトローラ社の
MGD8080DSMデータトランザクシヨンを付した
ものを用いる手続きを述べたものである。これら
の装置は第1図の「安全モジユール」13の一つ
の可能な例である。プラグラムはテストを目的と
する「スタンド−アロン」である。即ち、これら
のプログラムをオンライン回路網を動作させるの
に必要なプログラムに組み入れる試みは未だなさ
れていない。しかし、若干個の現に稼動中の回路
網プログラムの任意のものを修正し、稼動中のプ
ログラムの適当な点に適当な組の「コール」
(CALL)を置くことによりここに図示したプロ
グラムを使用することは容易である。蓋し、ここ
に含められたプログラムは集約的であつて、本願
の前の部分に述べた安全手続をメカナイズするの
に必要な全ての機能を具体化しているからであ
る。このテストプログラムは専ら電子コードブツ
クモード内のDESを用いているが、このDESは
しかるべき場所ではサイフア フイードバツク
(Cipher Feedback)又はブロツク チエイニン
グ モード(Block Chaining mode)内で使用
することもでき、これにより本発明の範囲が限定
されたり変わるものではない。 このプログラムは下記のように分割される。 1 SP1、TID及びKMTが与えられたものとし
てWK及びTKのいずれも生成するか又はTK、
TID及びKMTが与えられたものとしてWKと
SP1の両方を生成する主ルーチン。プログラム
は適当なパラメータを供給することにより同じ
プログラムを端末でもHPCでも使える。違い
はHPCの場合は端末マスタ鍵、KMTがホスト
マスタ鍵、KMOを用いて暗号化されているこ
とであり、端末の場合はKMTが暗号化されな
いことである。加えて端末ではSP1がスターテ
イングパラメータとなり、HPCでTKがスター
テイングパラメータとなることである。これら
の差異はプログラム内に織り込まれている。 2 主ルーチンが前述した安全手続を具体化でき
る順序に並んでいるより小さい「ビルデイング
ブロツク」機能を実行する一組のサブルーチ
ン。 3 端末で普通に行なわれる動作及びHPCで普
通に行なわれる動作をシミユレートするテスト
プログラム。端末での手続はプログムの残りを
使つてSP1、KMT及びTIDが供給された後
TK及びWKを生成することである。こうなれ
ばトランザクシヨン要求テストメツセージは
WKを用いて暗号化され、そのメツセージと
TKとをHPCに転送することがシユミレートさ
れる。 HPCではTK、KMT、TIDが与えられたも
のとして同じ組のプログラムを用いてWKと
SP1の生成が達成され、テストメツセージが
WKを用いて解読される。テストメツセージの
双方並びにSP1及びWKの二つの形が等しいか
どうかを比較する。もし二つの形が等しければ
HPCプログラムは応答メツセージの暗号化を
イニシエイトし、端末への転送をシミユレート
する。 端末プログラムはWKを用いて応答メツセー
ジの解読をイニシエイトし、それを原のメツセ
ージと比較する。比較されたフイールドが等し
ければテストプログラムは正規の停止点でとま
る。もし何らかの比較されたフイールドが等し
くなければプログラムは誤り停止点でとまる。 4 中間結果のための全ての定数、パラメータ、
スペースとワーキング記憶とを与えられたプロ
グラムの組の中に納め、テスト目的だけで含め
られている部分を削除することにより稼動プロ
グラムが容易に開発されるようにする。一度び
イニシエイトされればテストプログラムは全て
の機能とテストを実行し、誤りがなければ完成
へと向う。各ルーチン及びサブルーチンの要旨
は下記の通りである。 5 MROUT、主ルーチン(Main Routine)
SP1、TID、SMTが与えられたものとして必
要な全ての中間値を生成し、ルーチンの残りを
所要の通りに追うことによりWKとTKとを作
る。代りに、TK、TID、KMTを与えられた
ものとしてWKとSP1とを生成する。適当なパ
ラメータが必要である。 6 MWKLD、供給されるパラメータ如何によ
りマスタ鍵をマスタ鍵レジスタとアクテイブレ
ジスタとにロードし、又はワーキング鍵をアク
テイブレジスタにロードする。いずれの場合で
も鍵は解読されない。 7 NGEDR254群即ち2032バイト以下のN群の
8バイトを暗号化し又は解読する。DESをイ
ンブリメントする装置は8バイトの整数倍を必
要とし、このルーチンはそのように製織化され
ている。このルーチンは暗号化と解読とを区別
するためパラメータを必要とする。 8 EDCPR8バイトを暗号化し又は解読する。
このルーチンは最小のビルデイングブロツクの
一つであり、直接データ安全モジユールにイン
ターフエースする。パラメータで暗号化と解読
とを区別する。 9 MOVE7、7バイトを動かす このサブルーチンは本願に記載されている安
全手続の具体化を説明するために選ばれた特定
のハードウエア装置の特性のために含められた
ものである。これは必要な8バイトのうち最初
の7バイトをデータ安全モジユールに転送す
る。 10 MKODD、8バイトの奇数パリテイを行な
う DESは8バイト群の鍵として使われる部分
である各8ビツト−バイトが最右端ビツトとし
て奇数パリテイビツトを有することを必要と
し、本願に記載されている安全手続が場合によ
つては暗号文出力が暗号化又は解読鍵として用
いられることを要求するから、このルーチンに
より鍵として用いられた8バイト群の全てで正
しいパリテイが発生することを保証する。 11 GNMKVマスタ鍵変形例V1又はV2を生成す
るルーチン このルーチンはマスタ鍵に必要とされる修正
を加えて所要の2変形例は生成する。結果とし
て今日の装置ではマスタ鍵はマイクロプロセサ
内に蓄わえられるだけでなく、マスタ鍵レジス
タ内にも蓄わえられるようにする必要がある。
しかし、DESを具体化する「チツプ」即ちLSI
装置は設計し直せるようにし、将来において他
に記憶手段を必要としないようにする。変形例
LSI装置内で生成できる。 12 WKLOD、ワーキング鍵ロードルーチン このルーチンは先ずマスタ鍵を用いてワーキ
ング鍵を解読し、直ちに解読された鍵をアクテ
イブ鍵レジスタにロードし、そこでデータを暗
号化したり解読したりするのに使えるようにす
る。テステイングプログラムでは使用されない
が、このルーチンは如何なる稼動中の回路網で
も必要であり、それ故含められる。 13 DELAY、255指令実行時間以上のプログラ
ム化された遅延のためのルーチン これらのプログラムを単純化し、テストを容
易にするために8080マイクロプロセサと
MGD8080DSMデータ安全モジユールとの間の
インターフエースでは「割り込み」システムを
用いない。その代りに遅延をプログラム化して
データ安全モジユールによる暗号化又は解読に
必要な320マイクロ秒を入れる。このルーチン
は供給されるパラメータにより変わる最大
60000指令実行時間の遅延を許す。 14 MOVEN、Nバイトを動かす現在のマイク
ロプロセツサの機能には限界があるためこのル
ーチンはフイールドの転送を容易にし、これに
より他のルーチンのサイズを小さくするために
入れられた。供給されるパラメータによるが
256バイト迄動かすことができる。 15 COMPR、2個のフイールドルーチンを比較
する。 このルーチンはルーチンの残りをデバツグす
る時に2個の変形例SP1とWK及び2個のテス
トメツセージを比較するのに使用される。この
ルーチンはテスト完了後取り除くことができ
る。 16 STARTデバツクし端末とTPCとをシユミ
レートするルーチン このルーチンは専らあたかも端末及びHPC
から発せられたかのように主ルーチンへのコー
ル(呼び)をシミユレートすることにより一組
のプログラムの残りをテストし、結果を比較す
るのに使用される。これは一組の定数とパラメ
ータとを用いるが、これらはテスト完了後削除
することもできる。一度びSTARTでイニシエ
イトされるやFINISでの完了迄進む。誤りがあ
れば、各ルーチンの中に種々の誤りが含められ
る。 17 プログラムを組み立てる前にプログラムを蓄
わえ、ワーキング記憶を蓄わえるために出発点
を選ばなければならない。これは主ルーチンの
開始に少なくとも1個のORGとDSEGとを付
加することを必要とする。付加的なDSEGは
BPARAMの直前に定数の開始を必要とする。 18 マスタ鍵、KMOを生成又は選択すると共に
KMOから出発して8個の順次の位置に入れ
る。 19 KMTを選択又は生成すると共にKMTから
出発して入れる。次にKMTをKMOにより再
暗号化すると共にEKMTから出発して入れる
(E〔KMO〕(KMT)=EKMT) 20 TIDを選択すると共にDTIDから出発して入
れる。 21 SP1を選択すると共にDSP1から出発して入
れる。 22 BPARAMで特定化されたパラメータを用い
ることにより8080とDSMとの間のインタフエ
ースをセツトし、8080のI/Oポートをセツト
し、BPARAM内で既に具体化されているセツ
テイングと対応するものを変更する。加えて、
MKEYLから出発してWRTDATで終了するリ
ストで特定化されたパラメータをインタフエー
スセツテイングに対応させねばならない。 23 誤りがなければプログラムはSTARTでイニ
シエイトされ、FINISに向つて走る。
号化鍵を用いてトランザクシヨンを解読し、ヘツ
ダと制御情報とを送り手の中央計算機に送り、送
り手の中央計算機が112に示すようにこの情報
を用いて暗号化されているサイトマスタインター
チエンジ鍵、暗号化されているパスワード及び計
算機識別とを検索し、これを安全モジユールに送
る。安全モジユールは113に示すように第7A
図の75,76で用いられたのと同じ手続を用い
てインターチエンジワーキング鍵を再生し、第7
A図の78,79,81で用いられたのと同じ手
続を用いて113で認証されているパスワードを
再生する。安全モジユールは114に示すように
インターチエンジワーキング鍵を用いて解読によ
り端末識別と端末マスタ鍵とを再生する。115
では個人識別番号を再生し、トランザクシヨンを
認証し承認するし、応答を作る手続の残りを第7
A及び7B図の75乃至79,81乃至91で用
いられたのと同じように行う。送り手の安全モジ
ユールは116で示すようにワーキング鍵を用い
て端末に送ることになる応答を暗号化し、117
で示すようにインターチエンジワーキング鍵を用
いて受け手の中央計算機に行くべき応答又は肯定
応答を暗号化し、それを送り手の中央計算機に送
る。送り手の中央計算機は118で示すようにこ
のの応答を受け手の中央計算機に送り、受け手の
中央計算機が119で示すようにこの応答を安全
モジユールに送り、安全モジユールがインターチ
エンジワーキング鍵を用いてこの応答を解読し、
121に示すように応答の端末に送るべき部分を
受け手の中央計算機に送り、中央計算機がそのイ
ン−プロセス(in−process)フアイルを更新す
る。端末は122に示ように第7B図の94乃至
97と同一の手続に従う。受け手の中央計算機は
123に示すよう肯定応答を送り手の中央計算機
にリレーし、送り手の中央計算機は124に示す
ように第7B図の98乃至101に示すのと同じ
手続に従う。受け手の中央計算機は128に示す
ようにイン−プロセスフアイルを更新し、端末に
報らせをリレーし、受け手の安全モジユールは1
25に示ようにワーキング鍵を破壊し、端末は1
29に示すよように必要とあらば磁気ストライブ
を更新し、126に示すようにワーキング鍵を破
壊し、127に示すようにトランザクシヨンが完
了する。 第1図につき述べると、「伝送手段付き計算機」
14はIBM社の370/148中央処理装置(CPU)、
3410テープユニツト、1403プリンタ、3705通信制
御装置、ベル社の201Cデータセツトから構成す
ることができる。データベースは1個又は複数個
のIBM3330デイスク、15にのせることができ
る。現金支払機10又ATM11はIBM3614から
構成することができ、この中にインテル社の8080
マイクロプロセサ及びモトローラ社の
MGD8080DSMデータ安全モジユールを含めるこ
とができる。安全モジユール13又は17はイン
テル社の8080マイクロプロセサとモトローラ社の
MGD8080DSMデータ安全モジユールとから構成
することができる。第1図に示した他方の計算機
16はバローズ社の7766CPU、9495テープユニ
ツト、9373デイスクユニツト(18)、ドキユメイ
シヨン社の1500プリンタ、バローズ社7350通信制
御装置、TA1201データセツト及びRT400現金支
払機又は図示されたのと類似の展開された計算機
14とのACM通信から構成することができる。
いずれの場合も12に示した端末はIBM3604、
3612若しくは3610又バローズ社のTU700、
TC700とすることができる。通信線は300乃至
1200ボー、同期又は非同期とすることができる。 ここで当業者の方に御注事頂きたいことは上述
した特定の装置は説明上の目的だけであつて、本
発明の範囲を変更したり限定したりするものでは
ないということである。例えばNCR社又はユニ
バツク社で造られたCPUやバリアン社、メモレ
ツクス社、DEC社、NCR社、ドキユテル社、
FDSI社、デイーボールド社、タンデム社、モス
ラー社、バンカーレーモ社その他で造られた
ATM周辺又は通信装置でもつて前述したシステ
ムコンポーネントを置き換えることができる。同
じように、インテル8080ではなくインテル社の
8048若しくは8085又はモトローラ社の6800、
PDD11を指定することができ、後述するプログ
ラムをしかるべく変更すれば足りる。また、モト
ローラ社の装置にかえてフエアチヤイルド社、ウ
エスタンデイジタル社、コリンズ−ロツクウエル
社、IBM社他により作られたDESを具体化する。
LSI装置を使用することもできる、そうしても本
発明の範囲は変更されたり、限定されたりするも
のではない。 以下に述べるプログラムの組は前述したインテ
ル8080マイクロプロセサにモトローラ社の
MGD8080DSMデータトランザクシヨンを付した
ものを用いる手続きを述べたものである。これら
の装置は第1図の「安全モジユール」13の一つ
の可能な例である。プラグラムはテストを目的と
する「スタンド−アロン」である。即ち、これら
のプログラムをオンライン回路網を動作させるの
に必要なプログラムに組み入れる試みは未だなさ
れていない。しかし、若干個の現に稼動中の回路
網プログラムの任意のものを修正し、稼動中のプ
ログラムの適当な点に適当な組の「コール」
(CALL)を置くことによりここに図示したプロ
グラムを使用することは容易である。蓋し、ここ
に含められたプログラムは集約的であつて、本願
の前の部分に述べた安全手続をメカナイズするの
に必要な全ての機能を具体化しているからであ
る。このテストプログラムは専ら電子コードブツ
クモード内のDESを用いているが、このDESは
しかるべき場所ではサイフア フイードバツク
(Cipher Feedback)又はブロツク チエイニン
グ モード(Block Chaining mode)内で使用
することもでき、これにより本発明の範囲が限定
されたり変わるものではない。 このプログラムは下記のように分割される。 1 SP1、TID及びKMTが与えられたものとし
てWK及びTKのいずれも生成するか又はTK、
TID及びKMTが与えられたものとしてWKと
SP1の両方を生成する主ルーチン。プログラム
は適当なパラメータを供給することにより同じ
プログラムを端末でもHPCでも使える。違い
はHPCの場合は端末マスタ鍵、KMTがホスト
マスタ鍵、KMOを用いて暗号化されているこ
とであり、端末の場合はKMTが暗号化されな
いことである。加えて端末ではSP1がスターテ
イングパラメータとなり、HPCでTKがスター
テイングパラメータとなることである。これら
の差異はプログラム内に織り込まれている。 2 主ルーチンが前述した安全手続を具体化でき
る順序に並んでいるより小さい「ビルデイング
ブロツク」機能を実行する一組のサブルーチ
ン。 3 端末で普通に行なわれる動作及びHPCで普
通に行なわれる動作をシミユレートするテスト
プログラム。端末での手続はプログムの残りを
使つてSP1、KMT及びTIDが供給された後
TK及びWKを生成することである。こうなれ
ばトランザクシヨン要求テストメツセージは
WKを用いて暗号化され、そのメツセージと
TKとをHPCに転送することがシユミレートさ
れる。 HPCではTK、KMT、TIDが与えられたも
のとして同じ組のプログラムを用いてWKと
SP1の生成が達成され、テストメツセージが
WKを用いて解読される。テストメツセージの
双方並びにSP1及びWKの二つの形が等しいか
どうかを比較する。もし二つの形が等しければ
HPCプログラムは応答メツセージの暗号化を
イニシエイトし、端末への転送をシミユレート
する。 端末プログラムはWKを用いて応答メツセー
ジの解読をイニシエイトし、それを原のメツセ
ージと比較する。比較されたフイールドが等し
ければテストプログラムは正規の停止点でとま
る。もし何らかの比較されたフイールドが等し
くなければプログラムは誤り停止点でとまる。 4 中間結果のための全ての定数、パラメータ、
スペースとワーキング記憶とを与えられたプロ
グラムの組の中に納め、テスト目的だけで含め
られている部分を削除することにより稼動プロ
グラムが容易に開発されるようにする。一度び
イニシエイトされればテストプログラムは全て
の機能とテストを実行し、誤りがなければ完成
へと向う。各ルーチン及びサブルーチンの要旨
は下記の通りである。 5 MROUT、主ルーチン(Main Routine)
SP1、TID、SMTが与えられたものとして必
要な全ての中間値を生成し、ルーチンの残りを
所要の通りに追うことによりWKとTKとを作
る。代りに、TK、TID、KMTを与えられた
ものとしてWKとSP1とを生成する。適当なパ
ラメータが必要である。 6 MWKLD、供給されるパラメータ如何によ
りマスタ鍵をマスタ鍵レジスタとアクテイブレ
ジスタとにロードし、又はワーキング鍵をアク
テイブレジスタにロードする。いずれの場合で
も鍵は解読されない。 7 NGEDR254群即ち2032バイト以下のN群の
8バイトを暗号化し又は解読する。DESをイ
ンブリメントする装置は8バイトの整数倍を必
要とし、このルーチンはそのように製織化され
ている。このルーチンは暗号化と解読とを区別
するためパラメータを必要とする。 8 EDCPR8バイトを暗号化し又は解読する。
このルーチンは最小のビルデイングブロツクの
一つであり、直接データ安全モジユールにイン
ターフエースする。パラメータで暗号化と解読
とを区別する。 9 MOVE7、7バイトを動かす このサブルーチンは本願に記載されている安
全手続の具体化を説明するために選ばれた特定
のハードウエア装置の特性のために含められた
ものである。これは必要な8バイトのうち最初
の7バイトをデータ安全モジユールに転送す
る。 10 MKODD、8バイトの奇数パリテイを行な
う DESは8バイト群の鍵として使われる部分
である各8ビツト−バイトが最右端ビツトとし
て奇数パリテイビツトを有することを必要と
し、本願に記載されている安全手続が場合によ
つては暗号文出力が暗号化又は解読鍵として用
いられることを要求するから、このルーチンに
より鍵として用いられた8バイト群の全てで正
しいパリテイが発生することを保証する。 11 GNMKVマスタ鍵変形例V1又はV2を生成す
るルーチン このルーチンはマスタ鍵に必要とされる修正
を加えて所要の2変形例は生成する。結果とし
て今日の装置ではマスタ鍵はマイクロプロセサ
内に蓄わえられるだけでなく、マスタ鍵レジス
タ内にも蓄わえられるようにする必要がある。
しかし、DESを具体化する「チツプ」即ちLSI
装置は設計し直せるようにし、将来において他
に記憶手段を必要としないようにする。変形例
LSI装置内で生成できる。 12 WKLOD、ワーキング鍵ロードルーチン このルーチンは先ずマスタ鍵を用いてワーキ
ング鍵を解読し、直ちに解読された鍵をアクテ
イブ鍵レジスタにロードし、そこでデータを暗
号化したり解読したりするのに使えるようにす
る。テステイングプログラムでは使用されない
が、このルーチンは如何なる稼動中の回路網で
も必要であり、それ故含められる。 13 DELAY、255指令実行時間以上のプログラ
ム化された遅延のためのルーチン これらのプログラムを単純化し、テストを容
易にするために8080マイクロプロセサと
MGD8080DSMデータ安全モジユールとの間の
インターフエースでは「割り込み」システムを
用いない。その代りに遅延をプログラム化して
データ安全モジユールによる暗号化又は解読に
必要な320マイクロ秒を入れる。このルーチン
は供給されるパラメータにより変わる最大
60000指令実行時間の遅延を許す。 14 MOVEN、Nバイトを動かす現在のマイク
ロプロセツサの機能には限界があるためこのル
ーチンはフイールドの転送を容易にし、これに
より他のルーチンのサイズを小さくするために
入れられた。供給されるパラメータによるが
256バイト迄動かすことができる。 15 COMPR、2個のフイールドルーチンを比較
する。 このルーチンはルーチンの残りをデバツグす
る時に2個の変形例SP1とWK及び2個のテス
トメツセージを比較するのに使用される。この
ルーチンはテスト完了後取り除くことができ
る。 16 STARTデバツクし端末とTPCとをシユミ
レートするルーチン このルーチンは専らあたかも端末及びHPC
から発せられたかのように主ルーチンへのコー
ル(呼び)をシミユレートすることにより一組
のプログラムの残りをテストし、結果を比較す
るのに使用される。これは一組の定数とパラメ
ータとを用いるが、これらはテスト完了後削除
することもできる。一度びSTARTでイニシエ
イトされるやFINISでの完了迄進む。誤りがあ
れば、各ルーチンの中に種々の誤りが含められ
る。 17 プログラムを組み立てる前にプログラムを蓄
わえ、ワーキング記憶を蓄わえるために出発点
を選ばなければならない。これは主ルーチンの
開始に少なくとも1個のORGとDSEGとを付
加することを必要とする。付加的なDSEGは
BPARAMの直前に定数の開始を必要とする。 18 マスタ鍵、KMOを生成又は選択すると共に
KMOから出発して8個の順次の位置に入れ
る。 19 KMTを選択又は生成すると共にKMTから
出発して入れる。次にKMTをKMOにより再
暗号化すると共にEKMTから出発して入れる
(E〔KMO〕(KMT)=EKMT) 20 TIDを選択すると共にDTIDから出発して入
れる。 21 SP1を選択すると共にDSP1から出発して入
れる。 22 BPARAMで特定化されたパラメータを用い
ることにより8080とDSMとの間のインタフエ
ースをセツトし、8080のI/Oポートをセツト
し、BPARAM内で既に具体化されているセツ
テイングと対応するものを変更する。加えて、
MKEYLから出発してWRTDATで終了するリ
ストで特定化されたパラメータをインタフエー
スセツテイングに対応させねばならない。 23 誤りがなければプログラムはSTARTでイニ
シエイトされ、FINISに向つて走る。
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
【表】
3 要約
好適な実施例では請求書、クレジツトカード又
は識別カードとすることができるサイズ「A」の
磁気ストライプ付きプラスチツクカードの正当な
保持者が自分の秘密の個人識別番号をキーボード
に入力し、その目的のために設けられている適当
なボタンによりトランザクシヨンの種類と金額を
指示する。装置は磁気ストライプ上の口座番号の
ようなデータその他のデータを読み取り、電子的
手段により内部的に得られる適当な端末識別コー
ド、タイムクロツク及び秘密の端末マスタ鍵をも
有する。装置は内容がトランザクシヨンの種類、
要求された金額その他のデータにより決まるトラ
ンザクシヨン要求メツセージを適当な手段により
生成する。加えて、装置は秘密の個人識別番号の
一部、口座番号の一部、「時間」フイールドの一
部及び若しあればカード偽造対抗フイールドの一
部を用いて適当な暗号手段に入力されることにな
るパラメータを生成する。特定の順序即ちシーケ
ンスで並べられた付加的入力は端末マスタ鍵及び
端末識別である。予じめ定められた方法で多重暗
号化するとワーキング鍵ができ、このワーキング
鍵は一時的に暗号化手段内で端末マスタ鍵と置き
換わり、トランザクシヨン要求メツセージ及び必
要な他のデータを暗号化するのに用いられる。ワ
ーキング鍵は次いで端末マスタ鍵と端末識別とを
用いて予じわ定められた方法で多重暗号化され、
暗号化されたトランザクシヨン要求メツセージに
ついている送信される鍵及びルーチング、トラン
ジツト及び他の制御情報のようなトランザクシヨ
ンを処理するのに必要な任意の付加的データ及
び/又は解読手段をイニシヤライズしたり又は同
期をとつたりするのに必要なイニシヤライゼイシ
ヨン ベクトルを生成する。次リンク暗号化鍵を
用いて送信さるべき全てのデータを暗号化し、回
路網をワイヤタツプによる「トラフイツク アナ
リシス」(traffic analysis)侵入に対して保護す
る。トランザクシヨン要求メツセージ及びヘツダ
並びに制御情報は中央コンピユータに送られる。
この中央コンピユータは大規模回路網内で中間受
信機及び送信機(ノード)を必要とすることがあ
る。いくつかのノードではリンク暗号化鍵を用い
る解読を必要とし、次いで送信の次のセグメント
に適した別のリンク暗号化鍵を用いて暗号化す
る。中央計算機では、先ず最后に用いたリンク暗
号化鍵を用いてメツセージを解読する。次にいく
つかは暗号化できるものであるがヘツダ内の他の
データ又はメツセージの制御部及び中央データベ
ースで利用できるデータを用いてできれば物理的
及び電子工学的に個別で安全な時として回路網防
禦コントローラ(NSC)又は安全モジユール
(SM)と称される装置内で送信される鍵を多重
解読する。この解読プロセスの結果端末でトラン
ザクシヨン要求メツセージを暗号化するのに用い
られたワーキング鍵が生成される。このワーキン
グ鍵を用いてトランザクシヨン要求メツセージを
解読し、次いで加えて多重デクリプトして端末で
プロセスをイニシエイトするのに用いられたパラ
メータを得る。そのパラメータは秘密個人番号の
一部、口座番号の一部及びもしあればカード偽造
防止特性の一部を含むから、トランザクシヨンの
妥当性はメツセージ内のフイールドを中央データ
ベースから得られたデータの対応するフイールド
と比較する。この比較に対し付加的な暗号化及
び/又は解読を必要とすることがある。殊に、メ
ツセージ内の口座番号を用いて応する秘密個人識
別番号ともしあればカード偽造防止番号とを中央
データベースから得、これらを端末でのメツセー
ジに含意されている対応する部分フイールドと比
較する。好適な実施例では秘密の個人識別番号が
他にトランザクシヨン要求メツセージに直接含ま
れず、予じめ定められた方法で解読することによ
り中央計算機で直接生成し、多少侵入者が解読さ
れたメツセージを手に入れても当該勘定若しくは
他の如何なる勘定又はシステム動作の状況を危く
することを許すデータには一切近づけないように
する。もしあれば、カード偽造防止番号もトラン
ザクシヨン要求メツセージが端末で使われて第1
の暗号化に入るパラメータを生成する限りトラン
ザクシヨン要求メツセージに含める必要はない。
端末での多重暗号化も端末識別と秘密の端末マス
ク鍵とを含むから、侵入者が回路網内での擬似端
末を送金させる偽のトランザクシヨンをイニシエ
イトする目的で代りに使うことはできない。好適
な実施例では、「時間」フイールドの一部を端末
で暗号化されるパラメータに加え、各トランザク
シヨン要求メツセージを異なるワーキング鍵を用
いて暗号化する。 中央計算機ではトランザクシヨン要求メツセー
ジを前述したように認証した後勘定のバランスが
十分か、トランザクシヨンをイニシエイトするの
に用いられたプラスチツクカードが日限切れでは
ないか、粉失した又は盗難にあつたものではない
かを判別することにより及び必要とされるであろ
う他の処理によりそのトランザクシヨンを承認す
べきものか否か決めるのに付加的処理を必要とす
ることがある。本例ではトランザクシヨンが承認
され、中央計算機が同一ワーキング鍵を用いて
NSC又はSM内で暗号化され、そのトランザクシ
ヨンをイニシエイトした端末に必要とされるノー
ドからノードへ必要とされるリンク暗号化を伴な
つて転送される適当な応答を生成する。端末は応
答を解読し、必要とされる金額を現金で支払うこ
とにより必要とされるサービスを提供する。端末
は提供されるサービスの種類と金額とを含む肯定
応答を生成し、トランザクシヨン要求メツセージ
に対して用いられたのと同一ワーキング鍵を用い
てこれを暗号化し、それを中央計算機に送る。中
央計算機は肯定応答を受け取つた後勘定データベ
ースを変更し、トランザクシヨンの結果を反映さ
せ、次に端末と中央計算機とがレジスタをリセツ
トすることにより確実にワーキング鍵又はワーキ
ング鍵が蓄えられている記憶装置を破壊し、トラ
ンザクシヨンを完了させる。トランザクシヨンは
現金支払に限る必要はない。送金のこともある
し、預金の受入のこともある。また有効なクレジ
ツトカードに対する若しくは準備金勘定に対する
貸出しをし又は金融機関によりその預金者に与え
られる他のタイプのトランザクシヨンであること
もある。 秘密の端末マスタ鍵は各端末計算機又はメツセ
ージをイニシエイトする他の装置にしつかりと保
持する必要がある。好適な実施例では、端末マス
タ鍵は何等かの形態をもつて転送されることは決
してなく、武装したカードにより分散させられ、
デユアル制御の下に各端末、計算機又は他の装置
で暗号化手段に入り又は同じようなレベルの保護
を与える他の類似の手段を用いる。暗号化を用い
る他のシステムも正しい動作を行なうためには少
なくとも1個の秘密の鍵を手動で入れる必要があ
る。しかし、他の全てのシステムは各端末が2個
以上の付加的鍵を入力したり受け取つたりする必
要があり、そのいくつかは暗号化されて送られ、
次に端末で使用する前に解読されることになる。
少なくとも1個のシステムでは中央計算機で使用
され、全ての秘密の個人識別番号を暗号化する暗
号化鍵、鍵Aを回路網内の各端末に入れる必要が
あり、端末の数は数百以上に及ぶことがあり、こ
のため危険にされされる機会が多くなる。鍵Aは
鍵A1として分布させられ、端末で内部的に操作
されて鍵Aを形成するようにし、危険にさらされ
る機会を少なくしている。しかし、それでもこの
ような広域に亘る分布はなお危険にさらされる機
会が多い。加えて、各端末では通信鍵を必要とす
る。本発明者の発明では、各端末では唯一つの暗
号化鍵、端末マスタ鍵はその等価物を必要とする
だけであり、これにより勘定データベースの秘密
の個人識別番号を全て暗号化するのに用いられた
暗号化鍵が人目にさらされことをなくしている。
また唯一つの鍵、鍵、鍵Aを用いて全ての秘密の
個人識別番号を勘定データベースで暗号化するの
ではなく、多重鍵を用いており、贈収賄、強圧又
はゆすりを考慮し、時間の経過その他の理由で装
置の取り替え、技術の変化、1個又は複数個の暗
号化鍵が危険にさらされてもプラスチツクカード
の再発行を容易ならしめるためこのような鍵の固
有の価値を下げている。加えて1つの鍵、鍵Aを
用いることは専用回路網には十分であつても、金
融機関間のトランザクシヨンの分割又は相互変換
を容易ならしめることはしない。本発明者の発明
は分割及び相互変換を提供する。 いくつかの回路網では管理上の目的で計算機か
ら計算機へのメツセージを必要とする。本発明者
の発明では秘密の個人識別番号の類似物、例えば
「パスワード」があり、前述したような端末マス
タ鍵及び端末識別の類似物がある限りこのような
メツセージを提供する。 また他のシステムは中央計算機と連絡をとる必
要が端末は第1にメツセージを回路網安全コント
ローラ(NSC)にメツセージを送り、自己を認
証してもらい、ワーキング鍵又は通信鍵を要求す
る。NSCは1個の鍵の2個のコピーを生成し、
一方の暗号化されたコピーを端末に送り、他方の
暗号化されたコピーを中央計算機に送る。端末は
ワーキング鍵を解読し、それを用いてメツセージ
を暗号化し、それを中央計算機に送り、そこでこ
れを解読する。このシステムでは各トランザクシ
ヨン毎に多重伝送を必要とし、高価なデータ通信
回線の効率的な利用を下げている。本発明者の発
明は端末の認証とワーキング鍵の生成をシステム
の動作の欠くことのできない一部としているから
付加的伝送を必要としない。 本発明者の発明で端末マスタ鍵を用いる方法が
これを人目にさらしたり暗号解読者
(cryptanalysis)による危険にさらしたりするこ
とから守つているため、他に危険がない限り期間
を延長して利用することができる。その結果この
発明をアクセスしがたくするため頻繁にマスタ鍵
のセツトを交換することが困難又は不可能な回路
網で使用することができる。一つのこのような回
路網は交換センタとして通信衛星を利用するもの
である。例えば、少数の送信機が他の送信機又は
いくつかの受信機が送信されるデータにアクセス
できないうにして多数の受信機へデータを送る必
要性を有することがある。各送信機又は衛星が各
受信機に対し個別の暗号化鍵を持つておつて個別
に暗号化し、同一メツセージの多重のコピーであ
つて、各々が本来異なる鍵を用いて暗号化されて
いるものを処理するようにするのは通信の非効率
的な利用である。送信機はメツセージの唯一つの
コピーだけを暗号化し、受信局のリストを衛星に
送り、これにより衛星が解読し、それから個別に
ワーキング鍵を作成し、各ワーキング鍵毎に異な
るマスタ鍵又はマスタ鍵セツトを用いて各受信機
毎に一つのコピーを暗号化すれば一層効率的であ
る。マスタ鍵は「排他的論理和」により一時に
2、3、4………(n−1)個組み合わせて、殊
に多数の受信機がある場合蓄積条件を緩和する。
各送信機及び受信機が秘密のパスワード、識別及
び秘密のマスタ鍵並びに暗号化及び解読手段を有
するならば前述したのと同じ方法を用いることが
できる。 好適な実施例では国家標準局(National
Bureau of Standards)のデータ暗号化標準
(Encryption Standard)を用いて本発明の記述
と説明を明快ならしめているが、この標準はエレ
クトロニツク コード ブツク モード、サイフ
ア フイードバツク モード又はブロツク チエ
イニング モードで利用されている。当業者なら
ば適当なものとして一つの秘密の鍵を必要とし又
は許す他の暗号化手段又はシステム及び56個の二
進数又は64個の二進数から成る暗号化鍵を使用
し、原文と暗号文のブロツクを64個の二進数とす
るのは説明のためだけであつて、本発明の範囲を
限定するものではないことを認識するであろう。
前述した方法はまた大形計算機、ミニコンピユー
タ若しくはマイクロコンピユータを用いるソフト
ウエア又はその目的で設計され製造された大規模
集積回路若しくは他の電子装置を用いるハードウ
エアで具体化することもできる。前述した「時
間」フイールドの代りにカレントカウンク、トラ
ンザクシヨン シリアル ナンバー又は各トラン
ザクシヨン毎に変わる任意の他のパラメータを用
いることができ、これにより本発明の範囲が変わ
つたり限定されるものではない。 好適とは云えないが一実施例ではいくつかの回
路網で動作の別の変形例が役立つ。いくつかの回
路網ではメツセージのリンク暗号化部内のヘツダ
としてPAN及びTIDを含めることができる。
PANは中央計算機で用いられ、安全モジユール
が最后に使用されたリンク暗号化鍵を用いてヘツ
ダを解読した後データベースから暗号化された
PINを回収することができる。安全モジユールは
PINを解読し、PANとPINとを用いてSPIを形成
し、前述した方法によりTID、KMT及びその変
形例を用いてWKを生成する。次に安全モジユー
ルはトランザクシヨン要求メツセージを解読し、
PINがトランザクシヨン要求メツセージで暗号化
されていたのならばそのPINを検査する。代りに
WKを用いてメツセージを正しく解読するなら
ば、暗に端末で正しいPINを用いてトランザクシ
ヨンをイニシエイトしていたことになる。この全
てがなされたならばTKを生成し送る必要はな
い。 本発明に係る利用者を認証するシステム及びオ
ンライントランザクシヨン回路網内の装置を本発
明が有効に使用される態様を説明する目的で記述
してきたが、本発明はこれに限定されるものでは
ないことを理解できるであろう。従つて、添付し
た請求の範囲内に入る任意の修正例、変形例及び
均等な構成は本発明の範囲内に入るものと理解す
べきである。
は識別カードとすることができるサイズ「A」の
磁気ストライプ付きプラスチツクカードの正当な
保持者が自分の秘密の個人識別番号をキーボード
に入力し、その目的のために設けられている適当
なボタンによりトランザクシヨンの種類と金額を
指示する。装置は磁気ストライプ上の口座番号の
ようなデータその他のデータを読み取り、電子的
手段により内部的に得られる適当な端末識別コー
ド、タイムクロツク及び秘密の端末マスタ鍵をも
有する。装置は内容がトランザクシヨンの種類、
要求された金額その他のデータにより決まるトラ
ンザクシヨン要求メツセージを適当な手段により
生成する。加えて、装置は秘密の個人識別番号の
一部、口座番号の一部、「時間」フイールドの一
部及び若しあればカード偽造対抗フイールドの一
部を用いて適当な暗号手段に入力されることにな
るパラメータを生成する。特定の順序即ちシーケ
ンスで並べられた付加的入力は端末マスタ鍵及び
端末識別である。予じめ定められた方法で多重暗
号化するとワーキング鍵ができ、このワーキング
鍵は一時的に暗号化手段内で端末マスタ鍵と置き
換わり、トランザクシヨン要求メツセージ及び必
要な他のデータを暗号化するのに用いられる。ワ
ーキング鍵は次いで端末マスタ鍵と端末識別とを
用いて予じわ定められた方法で多重暗号化され、
暗号化されたトランザクシヨン要求メツセージに
ついている送信される鍵及びルーチング、トラン
ジツト及び他の制御情報のようなトランザクシヨ
ンを処理するのに必要な任意の付加的データ及
び/又は解読手段をイニシヤライズしたり又は同
期をとつたりするのに必要なイニシヤライゼイシ
ヨン ベクトルを生成する。次リンク暗号化鍵を
用いて送信さるべき全てのデータを暗号化し、回
路網をワイヤタツプによる「トラフイツク アナ
リシス」(traffic analysis)侵入に対して保護す
る。トランザクシヨン要求メツセージ及びヘツダ
並びに制御情報は中央コンピユータに送られる。
この中央コンピユータは大規模回路網内で中間受
信機及び送信機(ノード)を必要とすることがあ
る。いくつかのノードではリンク暗号化鍵を用い
る解読を必要とし、次いで送信の次のセグメント
に適した別のリンク暗号化鍵を用いて暗号化す
る。中央計算機では、先ず最后に用いたリンク暗
号化鍵を用いてメツセージを解読する。次にいく
つかは暗号化できるものであるがヘツダ内の他の
データ又はメツセージの制御部及び中央データベ
ースで利用できるデータを用いてできれば物理的
及び電子工学的に個別で安全な時として回路網防
禦コントローラ(NSC)又は安全モジユール
(SM)と称される装置内で送信される鍵を多重
解読する。この解読プロセスの結果端末でトラン
ザクシヨン要求メツセージを暗号化するのに用い
られたワーキング鍵が生成される。このワーキン
グ鍵を用いてトランザクシヨン要求メツセージを
解読し、次いで加えて多重デクリプトして端末で
プロセスをイニシエイトするのに用いられたパラ
メータを得る。そのパラメータは秘密個人番号の
一部、口座番号の一部及びもしあればカード偽造
防止特性の一部を含むから、トランザクシヨンの
妥当性はメツセージ内のフイールドを中央データ
ベースから得られたデータの対応するフイールド
と比較する。この比較に対し付加的な暗号化及
び/又は解読を必要とすることがある。殊に、メ
ツセージ内の口座番号を用いて応する秘密個人識
別番号ともしあればカード偽造防止番号とを中央
データベースから得、これらを端末でのメツセー
ジに含意されている対応する部分フイールドと比
較する。好適な実施例では秘密の個人識別番号が
他にトランザクシヨン要求メツセージに直接含ま
れず、予じめ定められた方法で解読することによ
り中央計算機で直接生成し、多少侵入者が解読さ
れたメツセージを手に入れても当該勘定若しくは
他の如何なる勘定又はシステム動作の状況を危く
することを許すデータには一切近づけないように
する。もしあれば、カード偽造防止番号もトラン
ザクシヨン要求メツセージが端末で使われて第1
の暗号化に入るパラメータを生成する限りトラン
ザクシヨン要求メツセージに含める必要はない。
端末での多重暗号化も端末識別と秘密の端末マス
ク鍵とを含むから、侵入者が回路網内での擬似端
末を送金させる偽のトランザクシヨンをイニシエ
イトする目的で代りに使うことはできない。好適
な実施例では、「時間」フイールドの一部を端末
で暗号化されるパラメータに加え、各トランザク
シヨン要求メツセージを異なるワーキング鍵を用
いて暗号化する。 中央計算機ではトランザクシヨン要求メツセー
ジを前述したように認証した後勘定のバランスが
十分か、トランザクシヨンをイニシエイトするの
に用いられたプラスチツクカードが日限切れでは
ないか、粉失した又は盗難にあつたものではない
かを判別することにより及び必要とされるであろ
う他の処理によりそのトランザクシヨンを承認す
べきものか否か決めるのに付加的処理を必要とす
ることがある。本例ではトランザクシヨンが承認
され、中央計算機が同一ワーキング鍵を用いて
NSC又はSM内で暗号化され、そのトランザクシ
ヨンをイニシエイトした端末に必要とされるノー
ドからノードへ必要とされるリンク暗号化を伴な
つて転送される適当な応答を生成する。端末は応
答を解読し、必要とされる金額を現金で支払うこ
とにより必要とされるサービスを提供する。端末
は提供されるサービスの種類と金額とを含む肯定
応答を生成し、トランザクシヨン要求メツセージ
に対して用いられたのと同一ワーキング鍵を用い
てこれを暗号化し、それを中央計算機に送る。中
央計算機は肯定応答を受け取つた後勘定データベ
ースを変更し、トランザクシヨンの結果を反映さ
せ、次に端末と中央計算機とがレジスタをリセツ
トすることにより確実にワーキング鍵又はワーキ
ング鍵が蓄えられている記憶装置を破壊し、トラ
ンザクシヨンを完了させる。トランザクシヨンは
現金支払に限る必要はない。送金のこともある
し、預金の受入のこともある。また有効なクレジ
ツトカードに対する若しくは準備金勘定に対する
貸出しをし又は金融機関によりその預金者に与え
られる他のタイプのトランザクシヨンであること
もある。 秘密の端末マスタ鍵は各端末計算機又はメツセ
ージをイニシエイトする他の装置にしつかりと保
持する必要がある。好適な実施例では、端末マス
タ鍵は何等かの形態をもつて転送されることは決
してなく、武装したカードにより分散させられ、
デユアル制御の下に各端末、計算機又は他の装置
で暗号化手段に入り又は同じようなレベルの保護
を与える他の類似の手段を用いる。暗号化を用い
る他のシステムも正しい動作を行なうためには少
なくとも1個の秘密の鍵を手動で入れる必要があ
る。しかし、他の全てのシステムは各端末が2個
以上の付加的鍵を入力したり受け取つたりする必
要があり、そのいくつかは暗号化されて送られ、
次に端末で使用する前に解読されることになる。
少なくとも1個のシステムでは中央計算機で使用
され、全ての秘密の個人識別番号を暗号化する暗
号化鍵、鍵Aを回路網内の各端末に入れる必要が
あり、端末の数は数百以上に及ぶことがあり、こ
のため危険にされされる機会が多くなる。鍵Aは
鍵A1として分布させられ、端末で内部的に操作
されて鍵Aを形成するようにし、危険にさらされ
る機会を少なくしている。しかし、それでもこの
ような広域に亘る分布はなお危険にさらされる機
会が多い。加えて、各端末では通信鍵を必要とす
る。本発明者の発明では、各端末では唯一つの暗
号化鍵、端末マスタ鍵はその等価物を必要とする
だけであり、これにより勘定データベースの秘密
の個人識別番号を全て暗号化するのに用いられた
暗号化鍵が人目にさらされことをなくしている。
また唯一つの鍵、鍵、鍵Aを用いて全ての秘密の
個人識別番号を勘定データベースで暗号化するの
ではなく、多重鍵を用いており、贈収賄、強圧又
はゆすりを考慮し、時間の経過その他の理由で装
置の取り替え、技術の変化、1個又は複数個の暗
号化鍵が危険にさらされてもプラスチツクカード
の再発行を容易ならしめるためこのような鍵の固
有の価値を下げている。加えて1つの鍵、鍵Aを
用いることは専用回路網には十分であつても、金
融機関間のトランザクシヨンの分割又は相互変換
を容易ならしめることはしない。本発明者の発明
は分割及び相互変換を提供する。 いくつかの回路網では管理上の目的で計算機か
ら計算機へのメツセージを必要とする。本発明者
の発明では秘密の個人識別番号の類似物、例えば
「パスワード」があり、前述したような端末マス
タ鍵及び端末識別の類似物がある限りこのような
メツセージを提供する。 また他のシステムは中央計算機と連絡をとる必
要が端末は第1にメツセージを回路網安全コント
ローラ(NSC)にメツセージを送り、自己を認
証してもらい、ワーキング鍵又は通信鍵を要求す
る。NSCは1個の鍵の2個のコピーを生成し、
一方の暗号化されたコピーを端末に送り、他方の
暗号化されたコピーを中央計算機に送る。端末は
ワーキング鍵を解読し、それを用いてメツセージ
を暗号化し、それを中央計算機に送り、そこでこ
れを解読する。このシステムでは各トランザクシ
ヨン毎に多重伝送を必要とし、高価なデータ通信
回線の効率的な利用を下げている。本発明者の発
明は端末の認証とワーキング鍵の生成をシステム
の動作の欠くことのできない一部としているから
付加的伝送を必要としない。 本発明者の発明で端末マスタ鍵を用いる方法が
これを人目にさらしたり暗号解読者
(cryptanalysis)による危険にさらしたりするこ
とから守つているため、他に危険がない限り期間
を延長して利用することができる。その結果この
発明をアクセスしがたくするため頻繁にマスタ鍵
のセツトを交換することが困難又は不可能な回路
網で使用することができる。一つのこのような回
路網は交換センタとして通信衛星を利用するもの
である。例えば、少数の送信機が他の送信機又は
いくつかの受信機が送信されるデータにアクセス
できないうにして多数の受信機へデータを送る必
要性を有することがある。各送信機又は衛星が各
受信機に対し個別の暗号化鍵を持つておつて個別
に暗号化し、同一メツセージの多重のコピーであ
つて、各々が本来異なる鍵を用いて暗号化されて
いるものを処理するようにするのは通信の非効率
的な利用である。送信機はメツセージの唯一つの
コピーだけを暗号化し、受信局のリストを衛星に
送り、これにより衛星が解読し、それから個別に
ワーキング鍵を作成し、各ワーキング鍵毎に異な
るマスタ鍵又はマスタ鍵セツトを用いて各受信機
毎に一つのコピーを暗号化すれば一層効率的であ
る。マスタ鍵は「排他的論理和」により一時に
2、3、4………(n−1)個組み合わせて、殊
に多数の受信機がある場合蓄積条件を緩和する。
各送信機及び受信機が秘密のパスワード、識別及
び秘密のマスタ鍵並びに暗号化及び解読手段を有
するならば前述したのと同じ方法を用いることが
できる。 好適な実施例では国家標準局(National
Bureau of Standards)のデータ暗号化標準
(Encryption Standard)を用いて本発明の記述
と説明を明快ならしめているが、この標準はエレ
クトロニツク コード ブツク モード、サイフ
ア フイードバツク モード又はブロツク チエ
イニング モードで利用されている。当業者なら
ば適当なものとして一つの秘密の鍵を必要とし又
は許す他の暗号化手段又はシステム及び56個の二
進数又は64個の二進数から成る暗号化鍵を使用
し、原文と暗号文のブロツクを64個の二進数とす
るのは説明のためだけであつて、本発明の範囲を
限定するものではないことを認識するであろう。
前述した方法はまた大形計算機、ミニコンピユー
タ若しくはマイクロコンピユータを用いるソフト
ウエア又はその目的で設計され製造された大規模
集積回路若しくは他の電子装置を用いるハードウ
エアで具体化することもできる。前述した「時
間」フイールドの代りにカレントカウンク、トラ
ンザクシヨン シリアル ナンバー又は各トラン
ザクシヨン毎に変わる任意の他のパラメータを用
いることができ、これにより本発明の範囲が変わ
つたり限定されるものではない。 好適とは云えないが一実施例ではいくつかの回
路網で動作の別の変形例が役立つ。いくつかの回
路網ではメツセージのリンク暗号化部内のヘツダ
としてPAN及びTIDを含めることができる。
PANは中央計算機で用いられ、安全モジユール
が最后に使用されたリンク暗号化鍵を用いてヘツ
ダを解読した後データベースから暗号化された
PINを回収することができる。安全モジユールは
PINを解読し、PANとPINとを用いてSPIを形成
し、前述した方法によりTID、KMT及びその変
形例を用いてWKを生成する。次に安全モジユー
ルはトランザクシヨン要求メツセージを解読し、
PINがトランザクシヨン要求メツセージで暗号化
されていたのならばそのPINを検査する。代りに
WKを用いてメツセージを正しく解読するなら
ば、暗に端末で正しいPINを用いてトランザクシ
ヨンをイニシエイトしていたことになる。この全
てがなされたならばTKを生成し送る必要はな
い。 本発明に係る利用者を認証するシステム及びオ
ンライントランザクシヨン回路網内の装置を本発
明が有効に使用される態様を説明する目的で記述
してきたが、本発明はこれに限定されるものでは
ないことを理解できるであろう。従つて、添付し
た請求の範囲内に入る任意の修正例、変形例及び
均等な構成は本発明の範囲内に入るものと理解す
べきである。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US06/129,110 US4317957A (en) | 1980-03-10 | 1980-03-10 | System for authenticating users and devices in on-line transaction networks |
Publications (2)
Publication Number | Publication Date |
---|---|
JPS57500449A JPS57500449A (ja) | 1982-03-11 |
JPS645783B2 true JPS645783B2 (ja) | 1989-01-31 |
Family
ID=22438497
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP56500958A Expired JPS645783B2 (ja) | 1980-03-10 | 1981-02-02 |
Country Status (6)
Country | Link |
---|---|
US (1) | US4317957A (ja) |
EP (1) | EP0047285B1 (ja) |
JP (1) | JPS645783B2 (ja) |
CA (1) | CA1156761A (ja) |
DE (1) | DE3176872D1 (ja) |
WO (1) | WO1981002655A1 (ja) |
Families Citing this family (235)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4529870A (en) * | 1980-03-10 | 1985-07-16 | David Chaum | Cryptographic identification, financial transaction, and credential device |
US4438824A (en) * | 1981-04-22 | 1984-03-27 | Siemens Corporation | Apparatus and method for cryptographic identity verification |
JPS57176475A (en) * | 1981-04-24 | 1982-10-29 | Hitachi Ltd | Transaction processing system |
CA1176335A (en) * | 1981-06-05 | 1984-10-16 | Exide Electronics Corporation | Computer communications control |
US4423287A (en) * | 1981-06-26 | 1983-12-27 | Visa U.S.A., Inc. | End-to-end encryption system and method of operation |
JPS6014385B2 (ja) * | 1981-09-18 | 1985-04-12 | 株式会社日立製作所 | 取引処理方式 |
USRE33189E (en) * | 1981-11-19 | 1990-03-27 | Communications Satellite Corporation | Security system for SSTV encryption |
IL64675A0 (en) * | 1981-12-30 | 1982-03-31 | Greenberg Avigdor | Data verification system |
US4500750A (en) * | 1981-12-30 | 1985-02-19 | International Business Machines Corporation | Cryptographic application for interbank verification |
NL8201077A (nl) * | 1982-03-16 | 1983-10-17 | Philips Nv | Kommunikatiesysteem, bevattende een centrale dataverwerkende inrichting, toegangsstations en externe stations, waarbij een kryptografische kontrole is voorzien op vervalsing van een extern station, alsmede externe stations voor gebruik in zo een kommunikatiesysteem. |
US4484306A (en) * | 1982-03-22 | 1984-11-20 | Exide Electronics Corporation | Method and apparatus for controlling access in a data transmission system |
US4533948A (en) * | 1982-04-30 | 1985-08-06 | General Instrument Corporation | CATV Communication system |
US4549308A (en) * | 1982-07-12 | 1985-10-22 | At&T Bell Laboratories | Secure mobile radio telephony |
WO1984000457A1 (en) * | 1982-07-15 | 1984-02-02 | Light Signatures Inc | Private communication system |
US4558175A (en) * | 1982-08-02 | 1985-12-10 | Leonard J. Genest | Security system and method for securely communicating therein |
GB2131586B (en) * | 1982-12-03 | 1985-11-20 | Burroughs Corp | Autoteller systems |
US4532416A (en) * | 1983-01-03 | 1985-07-30 | Patrick Berstein | Transaction terminal with simplified data entry |
AT388472B (de) * | 1983-02-07 | 1989-06-26 | Gabe Geldausgabeautomaten Serv | System zur identifikation von terminalbenutzern und zur ueberpruefung von elektronisch uebermittelten daten |
US4723284A (en) * | 1983-02-14 | 1988-02-02 | Prime Computer, Inc. | Authentication system |
JPS59153261A (ja) * | 1983-02-18 | 1984-09-01 | Omron Tateisi Electronics Co | 取引処理装置 |
DE3477331D1 (en) * | 1983-09-02 | 1989-04-20 | Visa Usa Inc | Cryptographic key management system |
GB2146815A (en) * | 1983-09-17 | 1985-04-24 | Ibm | Electronic fund transfer systems |
GB2146814A (en) * | 1983-09-17 | 1985-04-24 | Ibm | Electronic fund transfer systems |
US4652990A (en) * | 1983-10-27 | 1987-03-24 | Remote Systems, Inc. | Protected software access control apparatus and method |
EP0140388B1 (en) * | 1983-10-31 | 1991-05-08 | Atalla Corporation | Pocket terminal, method and system for secured banking transactions |
US4522456A (en) * | 1984-01-25 | 1985-06-11 | Datakey, Inc. | Electronic tag receptacle and reader |
US4672572A (en) * | 1984-05-21 | 1987-06-09 | Gould Inc. | Protector system for computer access and use |
JPS60263299A (ja) * | 1984-06-11 | 1985-12-26 | オムロン株式会社 | 取引処理装置 |
US4652698A (en) * | 1984-08-13 | 1987-03-24 | Ncr Corporation | Method and system for providing system security in a remote terminal environment |
GB2168514A (en) * | 1984-12-12 | 1986-06-18 | Ibm | Security module |
JP2553033B2 (ja) * | 1985-03-20 | 1996-11-13 | 株式会社日立製作所 | 伝票受付端末システム |
US4802217A (en) * | 1985-06-07 | 1989-01-31 | Siemens Corporate Research & Support, Inc. | Method and apparatus for securing access to a computer facility |
DE3687671D1 (de) | 1985-06-07 | 1993-03-18 | Siemens Ag | Verfahren und anordnung zur sicherung des zugriffs zu einer rechenanlage. |
US4871085A (en) * | 1985-06-27 | 1989-10-03 | Diebold Incorporated | Apparatus for identifying and indicating the content of document canisters |
EP0399570B1 (en) * | 1985-06-27 | 1995-10-18 | InterBold | System of labelling containers |
US4774664A (en) * | 1985-07-01 | 1988-09-27 | Chrysler First Information Technologies Inc. | Financial data processing system and method |
JPH0762862B2 (ja) * | 1985-09-17 | 1995-07-05 | カシオ計算機株式会社 | Icカ−ドシステムにおける認証方式 |
GB8524020D0 (en) * | 1985-09-30 | 1985-11-06 | British Telecomm | Electronic funds transfer |
USRE38419E1 (en) | 1986-05-13 | 2004-02-10 | Ncr Corporation | Computer interface device |
US5056141A (en) * | 1986-06-18 | 1991-10-08 | Dyke David W | Method and apparatus for the identification of personnel |
US4882752A (en) * | 1986-06-25 | 1989-11-21 | Lindman Richard S | Computer security system |
US5319710A (en) * | 1986-08-22 | 1994-06-07 | Tandem Computers Incorporated | Method and means for combining and managing personal verification and message authentication encrytions for network transmission |
DE3775924D1 (de) * | 1987-04-22 | 1992-02-20 | Ibm | Verwaltung von geheimuebertragungsschluesseln. |
US4797920A (en) * | 1987-05-01 | 1989-01-10 | Mastercard International, Inc. | Electronic funds transfer system with means for verifying a personal identification number without pre-established secret keys |
GB2204975B (en) * | 1987-05-19 | 1990-11-21 | Gen Electric Co Plc | Authenticator |
US4850017A (en) * | 1987-05-29 | 1989-07-18 | International Business Machines Corp. | Controlled use of cryptographic keys via generating station established control values |
US4975647A (en) * | 1987-06-01 | 1990-12-04 | Nova Biomedical Corporation | Controlling machine operation with respect to consumable accessory units |
US4984270A (en) * | 1987-06-19 | 1991-01-08 | The Exchange System | Method and system for transmission of financial data |
US4807224A (en) * | 1987-08-21 | 1989-02-21 | Naron Steven E | Multicast data distribution system and method |
US5025373A (en) * | 1988-06-30 | 1991-06-18 | Jml Communications, Inc. | Portable personal-banking system |
US5013897A (en) * | 1988-08-03 | 1991-05-07 | Thru-The-Wall Corporation | Automated videocassette dispensing terminal coupled to store's computerized rental system |
US5007084A (en) * | 1988-08-29 | 1991-04-09 | Richard H. Materna | Payment Authorization and Information Device |
US5109384A (en) * | 1988-11-02 | 1992-04-28 | Tseung Lawrence C N | Guaranteed reliable broadcast network |
EP0377763A1 (de) * | 1989-01-12 | 1990-07-18 | Scheidt & Bachmann Gmbh | Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises |
US4933971A (en) * | 1989-03-14 | 1990-06-12 | Tandem Computers Incorporated | Method for encrypting transmitted data using a unique key |
US5560008A (en) * | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
EP0398492B1 (en) * | 1989-05-15 | 1997-01-22 | International Business Machines Corporation | A flexible interface to authentication services in a distributed data processing system |
FR2652216B1 (fr) * | 1989-09-20 | 1991-12-13 | Rockwell Cim | Procede et dispositif de generation et de validation d'un message numerique et application d'un tel dispositif. |
US5301280A (en) * | 1989-10-02 | 1994-04-05 | Data General Corporation | Capability based communication protocol |
US5050207A (en) * | 1989-11-03 | 1991-09-17 | National Transaction Network, Inc. | Portable automated teller machine |
US5157717A (en) * | 1989-11-03 | 1992-10-20 | National Transaction Network, Inc. | Portable automated teller machine |
US5029207A (en) * | 1990-02-01 | 1991-07-02 | Scientific-Atlanta, Inc. | External security module for a television signal decoder |
US5237610A (en) * | 1990-02-01 | 1993-08-17 | Scientific-Atlanta, Inc. | Independent external security module for a digitally upgradeable television signal decoder |
US5036461A (en) * | 1990-05-16 | 1991-07-30 | Elliott John C | Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device |
CA2066715C (en) * | 1990-08-29 | 1995-03-21 | Kenneth C. Kung | Challenge-and-response user authentication protocol |
FR2674050B1 (fr) * | 1991-03-12 | 1993-05-28 | Dassault Electronique | Installation pour la securisation de titres de transport, en particulier a piste magnetique. |
US5490251A (en) * | 1991-08-09 | 1996-02-06 | First Data Resources Inc. | Method and apparatus for transmitting data over a signalling channel in a digital telecommunications network |
US5283829A (en) * | 1992-10-01 | 1994-02-01 | Bell Communications Research, Inc. | System and method for paying bills electronically |
US5267314A (en) * | 1992-11-17 | 1993-11-30 | Leon Stambler | Secure transaction system and method utilized therein |
US5592377A (en) * | 1993-12-18 | 1997-01-07 | Lipkin; Edward B. | Check cashing system |
US5488649A (en) * | 1994-05-06 | 1996-01-30 | Motorola, Inc. | Method for validating a communication link |
RU95103479A (ru) * | 1994-03-11 | 1996-12-27 | Уолкер Эссет Мэнеджмент Лимитед Партнершип (US) | Игровая система, игровой компьютер, способ проведения игры, лотереи с участием игрока |
DE4437277A1 (de) * | 1994-03-11 | 1995-09-14 | Walker Asset Management Ltd | Verbessertes Fernspielsystem |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
AUPM616994A0 (en) * | 1994-06-09 | 1994-07-07 | Reilly, Chris | Security system for eft using magnetic strip cards |
US5590038A (en) * | 1994-06-20 | 1996-12-31 | Pitroda; Satyan G. | Universal electronic transaction card including receipt storage and system and methods of conducting electronic transactions |
IL114359A0 (en) * | 1994-06-30 | 1995-10-31 | Walker Asset Management Ltd | System and method for remote gaming |
JP3853387B2 (ja) * | 1994-11-15 | 2006-12-06 | 富士通株式会社 | データ独立型コンピュータシステムにおけるデータアクセス権管理方式 |
US7152045B2 (en) * | 1994-11-28 | 2006-12-19 | Indivos Corporation | Tokenless identification system for authorization of electronic transactions and electronic transmissions |
US6293469B1 (en) | 1994-12-20 | 2001-09-25 | Dh Technology Inc. | Transaction printer |
US5689564A (en) * | 1995-02-13 | 1997-11-18 | Eta Technologies Corporation | Personal access management system |
US5682428A (en) * | 1995-02-13 | 1997-10-28 | Eta Technologies Corporation | Personal access management system |
US5778068A (en) * | 1995-02-13 | 1998-07-07 | Eta Technologies Corporation | Personal access management system |
US5696825A (en) * | 1995-02-13 | 1997-12-09 | Eta Technologies Corporation | Personal access management system |
US5694472A (en) * | 1995-02-13 | 1997-12-02 | Eta Technologies Corporation | Personal access management system |
US5619574A (en) * | 1995-02-13 | 1997-04-08 | Eta Technologies Corporation | Personal access management system |
US5692049A (en) * | 1995-02-13 | 1997-11-25 | Eta Technologies Corporation | Personal access management system |
US5610980A (en) * | 1995-02-13 | 1997-03-11 | Eta Technologies Corporation | Method and apparatus for re-initializing a processing device and a storage device |
US5588059A (en) * | 1995-03-02 | 1996-12-24 | Motorola, Inc. | Computer system and method for secure remote communication sessions |
US5659542A (en) | 1995-03-03 | 1997-08-19 | Intecom, Inc. | System and method for signalling and call processing for private and hybrid communications systems including multimedia systems |
US6748101B1 (en) | 1995-05-02 | 2004-06-08 | Cummins-Allison Corp. | Automatic currency processing system |
US6363164B1 (en) | 1996-05-13 | 2002-03-26 | Cummins-Allison Corp. | Automated document processing system using full image scanning |
JPH08320847A (ja) * | 1995-05-26 | 1996-12-03 | Hitachi Ltd | パスワード管理システム |
US7272639B1 (en) | 1995-06-07 | 2007-09-18 | Soverain Software Llc | Internet server access control and monitoring systems |
US6402614B1 (en) * | 1995-06-30 | 2002-06-11 | Walker Digital, Llc | Off-line remote system for lotteries and games of skill |
US7179168B1 (en) | 1995-06-30 | 2007-02-20 | Walker Digital, Llc | Systems and methods for allocating an outcome amount among a total number of events |
USRE41543E1 (en) * | 1995-08-17 | 2010-08-17 | Vendonet, Inc. | Vending machine and computer assembly |
JP3764961B2 (ja) * | 1995-11-30 | 2006-04-12 | カシオ計算機株式会社 | シークレットデータ記憶装置及びシークレットデータの読み出し方法 |
US5706442A (en) * | 1995-12-20 | 1998-01-06 | Block Financial Corporation | System for on-line financial services using distributed objects |
WO1997024831A1 (en) * | 1995-12-29 | 1997-07-10 | Mci Communications Corporation | Multiple cryptographic key distribution |
US5790665A (en) * | 1996-01-17 | 1998-08-04 | Micali; Silvio | Anonymous information retrieval system (ARS) |
US6661910B2 (en) | 1997-04-14 | 2003-12-09 | Cummins-Allison Corp. | Network for transporting and processing images in real time |
US8443958B2 (en) * | 1996-05-13 | 2013-05-21 | Cummins-Allison Corp. | Apparatus, system and method for coin exchange |
US5745576A (en) * | 1996-05-17 | 1998-04-28 | Visa International Service Association | Method and apparatus for initialization of cryptographic terminal |
EP0842502B1 (de) * | 1996-05-23 | 1998-12-16 | Ulrich Seng | Verfahren zur bargeldlosen zahlungsabwicklung |
US5878143A (en) * | 1996-08-16 | 1999-03-02 | Net 1, Inc. | Secure transmission of sensitive information over a public/insecure communications medium |
GB9619189D0 (en) * | 1996-09-13 | 1996-10-23 | Ncr Int Inc | Methods and apparatus for sending electronic data signals |
KR100213188B1 (ko) * | 1996-10-05 | 1999-08-02 | 윤종용 | 사용자 인증 장치 및 방법 |
US5952638A (en) * | 1996-11-25 | 1999-09-14 | Xerox Corporation | Space efficient method of electronic payments |
US8121914B1 (en) | 1996-11-27 | 2012-02-21 | Diebold, Incorporated | Automated banking machine customer profile method |
US7080036B1 (en) | 1996-11-27 | 2006-07-18 | Diebold, Incorporated | Automated banking machine development method |
US7716096B2 (en) * | 1996-11-27 | 2010-05-11 | Diebold Self-Service Systems A Division Of Diebold, Incorporated | Application service provider and automated transaction machine system and method |
US7603302B1 (en) | 1996-11-27 | 2009-10-13 | Diebold, Incorporated | Automated banking machine system with multiple entity interface |
US8042733B2 (en) | 1996-11-27 | 2011-10-25 | Diebold, Incorporated | Automated banking machine that operates responsive to data bearing records |
US6970846B1 (en) | 1996-11-27 | 2005-11-29 | Diebold, Incorporated | Automated banking machine configuration method |
US20050038747A1 (en) * | 1996-11-27 | 2005-02-17 | Diebold, Incorporated | Automated banking machine configuration system |
US7266526B1 (en) | 1996-11-27 | 2007-09-04 | Diebold, Incorporated | Automated banking machine system with multiple browsers |
US6279826B1 (en) | 1996-11-29 | 2001-08-28 | Diebold, Incorporated | Fault monitoring and notification system for automated banking |
US6768975B1 (en) * | 1996-11-29 | 2004-07-27 | Diebold, Incorporated | Method for simulating operation of an automated banking machine system |
US20060035697A1 (en) * | 1996-12-30 | 2006-02-16 | Packes John M | Systems and methods for facilitating play of lottery games |
US7806763B2 (en) * | 1996-12-30 | 2010-10-05 | Igt | System and method for remote automated play of a gaming device |
US7476153B2 (en) * | 1996-12-30 | 2009-01-13 | Walker Digital, Llc | System and method for remote automated play of a gaming device |
US6634942B2 (en) * | 1996-12-30 | 2003-10-21 | Jay S. Walker | System and method for automated play of multiple gaming devices |
US6964611B2 (en) | 1996-12-30 | 2005-11-15 | Walker Digital, Llc | System and method for automated play of lottery games |
US6149056A (en) | 1997-02-06 | 2000-11-21 | Mr. Payroll Corporation | Automatic check cashing using biometric identification verification |
US6145738A (en) | 1997-02-06 | 2000-11-14 | Mr. Payroll Corporation | Method and apparatus for automatic check cashing |
WO1998040982A1 (en) | 1997-03-12 | 1998-09-17 | Visa International | Secure electronic commerce employing integrated circuit cards |
US5971272A (en) * | 1997-08-19 | 1999-10-26 | At&T Corp. | Secured personal identification number |
US6038553A (en) * | 1997-09-19 | 2000-03-14 | Affiliated Computer Services, Inc. | Self service method of and system for cashing checks |
US6095413A (en) | 1997-11-17 | 2000-08-01 | Automated Transaction Corporation | System and method for enhanced fraud detection in automated electronic credit card processing |
US9900305B2 (en) * | 1998-01-12 | 2018-02-20 | Soverain Ip, Llc | Internet server access control and monitoring systems |
US6122624A (en) * | 1998-05-28 | 2000-09-19 | Automated Transaction Corp. | System and method for enhanced fraud detection in automated electronic purchases |
US20060136595A1 (en) * | 1998-12-08 | 2006-06-22 | Ramakrishna Satyavolu | Network-based verification and fraud-prevention system |
WO2000044119A1 (en) * | 1999-01-26 | 2000-07-27 | Infolio, Inc. | Universal mobile id system and method for digital rights management |
EP1163807B1 (de) * | 1999-03-19 | 2005-05-18 | Siemens Aktiengesellschaft | Verfahren zur prüfung der authentität einer manager applikation in einem telekommunikations management netz bediensystem durch ein netzelement sowie ein dafür geeignetes netzelement |
US6985583B1 (en) * | 1999-05-04 | 2006-01-10 | Rsa Security Inc. | System and method for authentication seed distribution |
US20020010769A1 (en) * | 1999-06-23 | 2002-01-24 | Kippenhan Roland Calvin | Autonomous browsing agent |
AR029173A1 (es) * | 1999-07-20 | 2003-06-18 | Diebold Inc | Metodo para el desarrollo de cajeros automaticos |
AU6309600A (en) * | 1999-08-03 | 2001-02-19 | Craig Mark Clay-Smith | A system for inhibiting fraud in relation to the use of negotiable instruments |
US8706630B2 (en) | 1999-08-19 | 2014-04-22 | E2Interactive, Inc. | System and method for securely authorizing and distributing stored-value card data |
WO2001035570A1 (en) * | 1999-11-05 | 2001-05-17 | Netcharge.Com, Inc. | Payment method and system for online commerce |
CA2396266C (en) * | 2000-01-12 | 2007-03-13 | Metavante Corporation | Integrated systems for electronic bill presentment and payment |
US20010037295A1 (en) * | 2000-01-31 | 2001-11-01 | Olsen Karl R. | Push model internet bill presentment and payment system and method |
US8701857B2 (en) | 2000-02-11 | 2014-04-22 | Cummins-Allison Corp. | System and method for processing currency bills and tickets |
US8706618B2 (en) | 2005-09-29 | 2014-04-22 | Ebay Inc. | Release of funds based on criteria |
GB2377059A (en) * | 2000-03-17 | 2002-12-31 | Ebay Inc | Method and apparatus for facilitating online payment transactions in a network based transaction facility using multiple payment instruments |
US7499875B1 (en) | 2000-03-17 | 2009-03-03 | Ebay Inc. | Method and apparatus for facilitating online payment transactions in a network-based transaction facility using multiple payment instruments |
US7848972B1 (en) | 2000-04-06 | 2010-12-07 | Metavante Corporation | Electronic bill presentment and payment systems and processes |
AU2001263013B2 (en) * | 2000-05-09 | 2006-06-29 | Metavante Corporation | Electronic bill presentment and payment system |
US7452270B2 (en) * | 2000-06-29 | 2008-11-18 | Walker Digital, Llc | Systems and methods for presenting an outcome amount via a total number of events |
FI20001991A (fi) * | 2000-09-08 | 2002-03-09 | Tauno Miikkulainen | Menetelmä ja järjestelmä etätyöympäristöön |
US6720327B2 (en) * | 2000-09-27 | 2004-04-13 | Pharmacia Corporation | Lactone integrin antagonists |
GB2374446B (en) * | 2000-11-28 | 2004-07-21 | Peter Crabbe | Secure telephone polling |
US6895414B2 (en) | 2001-02-15 | 2005-05-17 | Usinternet Working, Inc. | Method and apparatus for authorizing and reporting changes to device configurations |
US6954740B2 (en) | 2001-02-26 | 2005-10-11 | Albert Israel Talker | Action verification system using central verification authority |
US7159114B1 (en) * | 2001-04-23 | 2007-01-02 | Diebold, Incorporated | System and method of securely installing a terminal master key on an automated banking machine |
US7328337B2 (en) * | 2001-05-25 | 2008-02-05 | America Online, Incorporated | Trust grant and revocation from a master key to secondary keys |
US7546274B2 (en) * | 2001-08-09 | 2009-06-09 | Ncr Corporation | System and method for facilitating electronic commerce transactions at an automatic teller machine |
US8412633B2 (en) * | 2002-03-04 | 2013-04-02 | The Western Union Company | Money transfer evaluation systems and methods |
US7313545B2 (en) * | 2001-09-07 | 2007-12-25 | First Data Corporation | System and method for detecting fraudulent calls |
US7373515B2 (en) * | 2001-10-09 | 2008-05-13 | Wireless Key Identification Systems, Inc. | Multi-factor authentication system |
US7370014B1 (en) | 2001-11-01 | 2008-05-06 | Metavante Corporation | Electronic bill presentment and payment system that obtains user bill information from biller web sites |
US8209226B2 (en) | 2001-11-15 | 2012-06-26 | Nintendo Of America Inc. | Non-serialized electronic product registration system and method of operating same |
US7363494B2 (en) * | 2001-12-04 | 2008-04-22 | Rsa Security Inc. | Method and apparatus for performing enhanced time-based authentication |
US6896118B2 (en) | 2002-01-10 | 2005-05-24 | Cummins-Allison Corp. | Coin redemption system |
US7479946B2 (en) * | 2002-01-11 | 2009-01-20 | Hand Held Products, Inc. | Ergonomically designed multifunctional transaction terminal |
US7748620B2 (en) * | 2002-01-11 | 2010-07-06 | Hand Held Products, Inc. | Transaction terminal including imaging module |
US7472825B2 (en) * | 2002-01-11 | 2009-01-06 | Hand Held Products, Inc. | Transaction terminal |
US7451917B2 (en) | 2002-01-11 | 2008-11-18 | Hand Held Products, Inc. | Transaction terminal comprising imaging module |
US7743902B2 (en) | 2002-03-11 | 2010-06-29 | Cummins-Allison Corp. | Optical coin discrimination sensor and coin processing system using the same |
US7158008B2 (en) * | 2002-03-29 | 2007-01-02 | Datakey Electronincs, Inc. | Electronic key system and method |
US8799157B1 (en) | 2002-05-08 | 2014-08-05 | Metavante Corporation | Business combined bill management system and method |
US8751384B2 (en) | 2002-05-08 | 2014-06-10 | Metavante Corporation | Integrated bill presentment and payment system and method of operating the same |
US7171467B2 (en) * | 2002-06-13 | 2007-01-30 | Engedi Technologies, Inc. | Out-of-band remote management station |
US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
US6715672B1 (en) | 2002-10-23 | 2004-04-06 | Donald Tetro | System and method for enhanced fraud detection in automated electronic credit card processing |
US8100323B1 (en) * | 2002-12-26 | 2012-01-24 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Apparatus and method for verifying components of an ATM |
PT1437668E (pt) * | 2003-01-08 | 2007-02-28 | Rolf Krause | Processo para o pagamento de bens ou serviços por transferência através de um terminal de telecomunicações móveis |
US20040135805A1 (en) * | 2003-01-10 | 2004-07-15 | Gottsacker Neal F. | Document composition system and method |
US8393455B2 (en) | 2003-03-12 | 2013-03-12 | Cummins-Allison Corp. | Coin processing device having a moveable coin receptacle station |
US7596703B2 (en) * | 2003-03-21 | 2009-09-29 | Hitachi, Ltd. | Hidden data backup and retrieval for a secure device |
US20040215560A1 (en) * | 2003-04-25 | 2004-10-28 | Peter Amalraj | Integrated payment system and method |
JP2004355562A (ja) * | 2003-05-30 | 2004-12-16 | Kddi Corp | 機器認証システム |
US7177916B2 (en) * | 2003-06-26 | 2007-02-13 | Fmr Corp. | Methods and systems for selecting and managing network-accessible accounts |
US7761374B2 (en) | 2003-08-18 | 2010-07-20 | Visa International Service Association | Method and system for generating a dynamic verification value |
US7740168B2 (en) | 2003-08-18 | 2010-06-22 | Visa U.S.A. Inc. | Method and system for generating a dynamic verification value |
US9934640B2 (en) | 2004-09-15 | 2018-04-03 | Cummins-Allison Corp. | System, method and apparatus for repurposing currency |
US8523641B2 (en) | 2004-09-15 | 2013-09-03 | Cummins-Allison Corp. | System, method and apparatus for automatically filling a coin cassette |
US20060149676A1 (en) * | 2004-12-30 | 2006-07-06 | Sprunk Eric J | Method and apparatus for providing a secure move of a decrpytion content key |
US8602200B2 (en) * | 2005-02-10 | 2013-12-10 | Cummins-Allison Corp. | Method and apparatus for varying coin-processing machine receptacle limits |
CN101120351B (zh) * | 2005-02-18 | 2010-10-06 | Rsa安全公司 | 派生种子的分发方法 |
US20070262138A1 (en) * | 2005-04-01 | 2007-11-15 | Jean Somers | Dynamic encryption of payment card numbers in electronic payment transactions |
US20070088611A1 (en) * | 2005-05-11 | 2007-04-19 | Christiansen Brian D | Effecting ancillary actions on a transaction network |
US7627125B2 (en) * | 2005-06-23 | 2009-12-01 | Efunds Corporation | Key loading systems and methods |
WO2007044570A2 (en) | 2005-10-05 | 2007-04-19 | Cummins-Allison Corp. | Currency processing system with fitness detection |
US7946406B2 (en) * | 2005-11-12 | 2011-05-24 | Cummins-Allison Corp. | Coin processing device having a moveable coin receptacle station |
US7885890B2 (en) * | 2006-01-17 | 2011-02-08 | Hsbc Finance Corporation | System for authorizing credit use |
US7980378B2 (en) * | 2006-03-23 | 2011-07-19 | Cummins-Allison Corporation | Systems, apparatus, and methods for currency processing control and redemption |
US9065643B2 (en) | 2006-04-05 | 2015-06-23 | Visa U.S.A. Inc. | System and method for account identifier obfuscation |
US7818264B2 (en) | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
US7929749B1 (en) | 2006-09-25 | 2011-04-19 | Cummins-Allison Corp. | System and method for saving statistical data of currency bills in a currency processing device |
EP2122554A4 (en) * | 2007-02-09 | 2012-03-28 | Business Intelligent Proc Systems Plc | SYSTEM AND METHOD FOR IMPLEMENTING PAYMENT TRANSACTIONS WITH AGE CHECK, IDENTITY CHECK AND TAX MANAGEMENT |
US20080210753A1 (en) * | 2007-03-02 | 2008-09-04 | First Data Corporation | Loyalty reward settlement system and method |
US8500537B2 (en) * | 2007-05-17 | 2013-08-06 | Walker Digital, Llc | Group play of a lottery game |
US20090140837A1 (en) * | 2007-07-19 | 2009-06-04 | Glen Eric Jennings | RF Token and Receptacle System and Method |
US20090043696A1 (en) * | 2007-08-08 | 2009-02-12 | Electronic Payment Exchange | Payment Processor Hosted Account Information |
US8838472B2 (en) | 2007-08-14 | 2014-09-16 | First Data Corporation | Mobile system and method for exchanging point value |
US20100264218A1 (en) * | 2007-08-29 | 2010-10-21 | Datakey Electronics, Inc | Data carrier system and method |
US10558961B2 (en) | 2007-10-18 | 2020-02-11 | Wayne Fueling Systems Llc | System and method for secure communication in a retail environment |
US20090239459A1 (en) * | 2008-03-19 | 2009-09-24 | Cummins-Allison Corp. | Self Service Coin Processing Machines With EPOS Terminal And Method For Automated Payout Utilizing Same |
GB2458573B (en) | 2008-03-25 | 2013-03-06 | Cummins Allison Corp | Self service coin redemption card printer-dispenser |
US8898089B2 (en) * | 2008-06-24 | 2014-11-25 | Visa U.S.A. Inc. | Dynamic verification value system and method |
USD649894S1 (en) | 2008-12-30 | 2011-12-06 | Atek Products, Llc | Electronic token and data carrier |
WO2010088556A1 (en) | 2009-01-30 | 2010-08-05 | Datakey Electronics, Inc. | Data carrier system having a compact footprint and methods of manufacturing the same |
USD649896S1 (en) | 2009-01-30 | 2011-12-06 | Atek Products, Llc | Electronic token and data carrier receptacle |
USD649895S1 (en) | 2009-01-30 | 2011-12-06 | Atek Products, Llc | Electronic token and data carrier |
USD649486S1 (en) | 2009-07-09 | 2011-11-29 | ATEK Products , LLC | Electronic token and data carrier |
US10296916B2 (en) | 2009-09-11 | 2019-05-21 | Maridee Joy Maraz | System and/or method for handling recalled product purchases and/or return/warranty requests |
US8712856B2 (en) | 2010-04-12 | 2014-04-29 | Nintendo Of America Inc. | Systems and/or methods for determining item serial number structure and intelligence |
US8545295B2 (en) | 2010-12-17 | 2013-10-01 | Cummins-Allison Corp. | Coin processing systems, methods and devices |
US8799111B2 (en) | 2012-05-04 | 2014-08-05 | Nintendo Of America Inc. | Systems and/or methods for selling non-inventory items at point-of-sale (POS) locations |
US9092924B1 (en) | 2012-08-31 | 2015-07-28 | Cummins-Allison Corp. | Disk-type coin processing unit with angled sorting head |
US9762395B2 (en) * | 2014-04-30 | 2017-09-12 | International Business Machines Corporation | Adjusting a number of dispersed storage units |
US9501885B1 (en) | 2014-07-09 | 2016-11-22 | Cummins-Allison Corp. | Systems, methods and devices for processing coins utilizing near-normal and high-angle of incidence lighting |
US10685523B1 (en) | 2014-07-09 | 2020-06-16 | Cummins-Allison Corp. | Systems, methods and devices for processing batches of coins utilizing coin imaging sensor assemblies |
US9916713B1 (en) | 2014-07-09 | 2018-03-13 | Cummins-Allison Corp. | Systems, methods and devices for processing coins utilizing normal or near-normal and/or high-angle of incidence lighting |
US9508208B1 (en) | 2014-07-25 | 2016-11-29 | Cummins Allison Corp. | Systems, methods and devices for processing coins with linear array of coin imaging sensors |
US9430893B1 (en) | 2014-08-06 | 2016-08-30 | Cummins-Allison Corp. | Systems, methods and devices for managing rejected coins during coin processing |
US10089812B1 (en) | 2014-11-11 | 2018-10-02 | Cummins-Allison Corp. | Systems, methods and devices for processing coins utilizing a multi-material coin sorting disk |
US10050780B2 (en) * | 2015-05-01 | 2018-08-14 | Microsoft Technology Licensing, Llc | Securely storing data in a data storage system |
US9875593B1 (en) | 2015-08-07 | 2018-01-23 | Cummins-Allison Corp. | Systems, methods and devices for coin processing and coin recycling |
US10679449B2 (en) | 2016-10-18 | 2020-06-09 | Cummins-Allison Corp. | Coin sorting head and coin processing system using the same |
US10181234B2 (en) | 2016-10-18 | 2019-01-15 | Cummins-Allison Corp. | Coin sorting head and coin processing system using the same |
US11030624B2 (en) * | 2018-10-04 | 2021-06-08 | Capital One Services, Llc | Techniques to perform computational analyses on transaction information for automatic teller machines |
US11443581B2 (en) | 2019-01-04 | 2022-09-13 | Cummins-Allison Corp. | Coin pad for coin processing system |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3985998A (en) * | 1970-11-18 | 1976-10-12 | Century International Corporation | Personal authority verification system |
US3956615A (en) * | 1974-06-25 | 1976-05-11 | Ibm Corporation | Transaction execution system with secure data storage and communications |
US4025760A (en) * | 1975-08-14 | 1977-05-24 | Addressograph Multigraph Corporation | Security means for transaction terminal system |
US4123747A (en) * | 1977-05-20 | 1978-10-31 | International Business Machines Corporation | Identity verification method and apparatus |
US4238854A (en) * | 1977-12-05 | 1980-12-09 | International Business Machines Corporation | Cryptographic file security for single domain networks |
US4259720A (en) * | 1978-01-09 | 1981-03-31 | Interbank Card Association | Security system for electronic funds transfer system |
US4214230A (en) * | 1978-01-19 | 1980-07-22 | Rolf Blom | Personal identification system |
US4223403A (en) * | 1978-06-30 | 1980-09-16 | International Business Machines Corporation | Cryptographic architecture for use with a high security personal identification system |
US4288659A (en) * | 1979-05-21 | 1981-09-08 | Atalla Technovations | Method and means for securing the distribution of encoding keys |
-
1980
- 1980-03-10 US US06/129,110 patent/US4317957A/en not_active Expired - Lifetime
-
1981
- 1981-02-02 EP EP81900708A patent/EP0047285B1/en not_active Expired
- 1981-02-02 WO PCT/US1981/000135 patent/WO1981002655A1/en active IP Right Grant
- 1981-02-02 JP JP56500958A patent/JPS645783B2/ja not_active Expired
- 1981-02-02 DE DE8181900708T patent/DE3176872D1/de not_active Expired
- 1981-02-20 CA CA000371323A patent/CA1156761A/en not_active Expired
Also Published As
Publication number | Publication date |
---|---|
WO1981002655A1 (en) | 1981-09-17 |
EP0047285A4 (en) | 1985-07-30 |
EP0047285A1 (en) | 1982-03-17 |
US4317957A (en) | 1982-03-02 |
CA1156761A (en) | 1983-11-08 |
EP0047285B1 (en) | 1988-09-07 |
JPS57500449A (ja) | 1982-03-11 |
DE3176872D1 (en) | 1988-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPS645783B2 (ja) | ||
US4386266A (en) | Method for operating a transaction execution system having improved verification of personal identification | |
EP0032193B1 (en) | Communication apparatus | |
US4924514A (en) | Personal identification number processing using control vectors | |
US4259720A (en) | Security system for electronic funds transfer system | |
EP0029894B1 (en) | A system for achieving secure password verification | |
Smid et al. | Data encryption standard: past and future | |
US4357529A (en) | Multilevel security apparatus and method | |
US4408203A (en) | Security system for electronic funds transfer system | |
EP2143028B1 (en) | Secure pin management | |
EP0007002B1 (en) | Transaction terminal systems provided with potential user authentication | |
JP2959794B2 (ja) | 個人キーによる多重レベル機密保護装置及び方法 | |
EP0137999B1 (en) | Improvements in point of sale and electronic funds transfer systems | |
US4536647A (en) | Pocket banking terminal, method and system | |
AU2008268326B2 (en) | System and method for account identifier obfuscation | |
US7526652B2 (en) | Secure PIN management | |
JPH0334641A (ja) | 特殊キーを用いた転送データの暗号化方法 | |
JPH07271884A (ja) | 端末認証方法 | |
JPH07319983A (ja) | スマートカードを使用しての安全な送金技法 | |
CA2561077A1 (en) | System and method for secure verification of electronic transactions | |
EP0148960B1 (en) | Security in data communication systems | |
WO2009039600A1 (en) | System and method for secure verification of electronic transactions | |
EP0354771B1 (en) | Personal identification number processing using control vectors | |
CA1313411C (en) | Personal identification number processing using control vectors | |
JP2933180B2 (ja) | 暗証符号照合装置 |