説明

現金自動取引装置およびその方法

【課題】 現金自動取引装置の装置内で使用される情報の盗聴や改ざんに対するセキュリティを向上する。
【解決手段】 ユーザインターフェイス部101は、ユーザの指示を主制御部10へ送信する。主制御部10は、ユーザの指示およびホスト111からの指示に基づいて制御データを作成し、それを入出金部50へ送信する。出金制御部51は、制御データに従って金庫53から現金を取り出して出力する。主制御部10の暗号処理部20は、制御データを暗号化する。入出金部50の暗号処理部60は、暗号処理部20により暗号化されている暗号化データを復号して制御データを再現する。主制御部10および入出金部50は、相互認証を実行する。

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、現金自動取引装置に係わり、特に、現金自動取引装置のセキュリティに係わる。
【0002】
【従来の技術】現金自動取引装置は、銀行、郵便局、コンビニエンスストア、駅、空港など、様々な場所に設置されており、ユーザの操作に従って、入金、出金、振込み、両替などの各種取引を実行する。
【0003】図14は、既存の現金自動取引装置の一例のブロック図である。現金自動取引装置100は、ユーザインターフェイス部101、主制御部102、入出金部103を備える。
【0004】ユーザインターフェイス部101は、ユーザの操作および指示を主制御部102に伝え、また、主制御部102の指示に従って、取引に係わる情報をユーザに提供する。主制御部102は、ユーザの指示に従って取引を実行し、その実行結果に基づいて入出金部103に指示を与える。なお、主制御部102は、必要に応じてホスト111との間でその取引に係わる情報を送受信する。入出金部103は、制御部102の指示に従って、ユーザにより要求されている金額の現金を出力するか、或いはユーザにより入金された現金を収集する。
【0005】次に、現金自動取引装置100の動作を簡単に説明する。ここでは、一例として、ユーザAが5000円を引き出す場合を説明する。
【0006】ユーザAは、現金自動取引装置100から現金を引き出す際には、まず、実行すべき取引として、「現金引出し」を選択する。続いて、ユーザAは、ユーザインターフェイス部101の案内に従って、キャッシュカードまたはクレジットカード等(以下、キャッシュカード)を挿入し、暗証番号を入力し、さらに引き出すべき金額を表す情報を入力する。
【0007】主制御部102は、挿入されたキャッシュカードを識別する情報、およびユーザAにより入力された情報をホスト111に通知する。ホスト111は、これらの情報を利用し、ユーザAが挿入されたキャッシュカードの正当な所有者であるか否か、ユーザAが要求する取引が実行可能か否かを判断する。そして、ホスト111は、その判断結果に対応する指示を現金自動取引装置100の主制御部102に与える。
【0008】ここでは、ユーザAがキャッシュカードの正当な所有者であり、ユーザAの口座の預金残高が5000円以上であったものとする。この場合、主制御部102は、入出金部103に対して「5000円を出力」を指示する。入出金部103は、この指示を受け取ると、現金5000円を出力する。このとき、ユーザインターフェイス部101は、この取引の明細票を発行する。
【0009】なお、現金自動取引装置を利用する取引においては、当然のことではあるが、セキュリティが非常に重要である。このため、現金自動取引装置100とホスト111との間で送受信される情報は、通常、暗号化されている。特に、網112が公衆網を利用いて構築されている場合には、強い暗号が要求される。
【0010】
【発明が解決しようとする課題】既存の現金自動取引装置は、通常、各銀行ごとに独自に開発されてきている。そして、現金自動取引装置内で使用されるデータのフォーマット等は公開されていない。したがって、もし、現金自動取引装置内で使用される情報が盗聴されたとしても、その内容を理解することは困難であり、また、データを改ざんすることも困難である。このため、既存の現金自動取引装置においては、一般に、その装置内で使用される情報の盗聴や改ざんなどを回避するために特別な機能は設けられていなかった。
【0011】ところが、近年、現金自動取引装置の分野においても標準化作業が進められてきている。現金自動取引装置のアーキテクチャに関する標準規格の1つとして、例えば、WOSA(Windows(TM) Open Service Architecture) Extensions forFinancial Services "Cash Dispenser Device Class Service Provider Implementation Specification"が知られている。
【0012】このように、現金自動取引装置のアーキテクチャが標準化されると、その装置内で使用されるデータのフォーマット等が広く知られることになる。このため、もし、現金自動取引装置内で使用される情報が盗聴されると、その内容は容易に解読されてしまい、また、データの改ざんも可能となる。
【0013】例えば、図14において、ユーザAの指示が「5000円の引出し」であった場合、主制御部102は、入出金部103に対して「5000円を出力」を指示する。この場合、入出金部103は、その指示に従って5000円を出力し、また、ホスト111は、ユーザAの口座の預金額を5000円だけ減少させる。ここで、もし、主制御部102から入出金部103へ与えられる情報が盗聴され、その情報が「5000円を出力」から「5万円を出力」に改ざんされたと仮定すると、入出金部103は、その改ざんされた情報に従って5万円を出力してしまう。このとき、ホスト111は、ユーザAの口座の預金額を5000円だけ減少させる。この結果、銀行は、上記不正な出金により大きな被害を受けることになる。
【0014】本発明の課題は、現金自動取引装置の装置内で使用される情報の盗聴や改ざんに対するセキュリティを向上することである。
【0015】
【課題を解決するための手段】本発明の現金自動取引装置は、制御手段および出金手段を有し、与えられた指示に従って現金を出金する。制御手段は、与えられた指示に基づいて出金すべき金額を表す情報を含む制御データを生成する。出金手段は、現金を収納し、上記制御手段により生成された制御データに基づいて現金を出金する。そして、制御手段と出金手段との間で相互認証が実行される。
【0016】上記構成において、制御手段および出金手段のうちの少なくとも一方が不正に他の装置に置き換えられたとすると、相互認証は失敗に終わる。ここで、現金自動取引装置は、例えば、上記相互認証が失敗した場合に以降の取引が実行されないように設計される。したがって、制御手段および出金手段のうちの少なくとも一方が不正な装置に置き換えられたとすると、取引は実行されなくなる。これにより、現金自動取引装置のセキュリティが向上する。
【0017】本発明の他の態様の現金自動取引装置は、上述の制御手段および出金手段を有し、上記制御データは、その制御手段から出金手段へ送信される際に予め決められたアルゴリズムに従って暗号化される。
【0018】制御手段から出金手段へ送信される制御データが暗号化されると、もし、現金自動取引装置内で使用される情報が盗聴されたとしても、その内容は容易には解読されず、また、データの改ざんも困難である。よって、現金自動取引装置のセキュリティが向上する。
【0019】上記現金自動取引装置において、その内部で使用されているパラメータに基づいて上記暗号のためのキーを変更するするようにしてもよい。ここで、暗号のためのキーが定期的にまたは非定期的に変更される系は、一般に、強い暗号が実現される。よって、現金自動取引装置のセキュリティがさらに向上する。
【0020】
【発明の実施の形態】以下、本発明の実施形態について図面を参照しながら説明する。
【0021】図1は、本発明の現金自動取引装置の一実施形態のブロック図である。現金自動取引装置1は、ユーザインターフェイス部101、主制御部10、入出金部50を備える。また、現金自動取引装置1は、網112を介して、ホスト111に接続されている。ホスト111は、顧客情報(各顧客の口座を管理する情報を含む)を格納するデータベースを備える。
【0022】ユーザインターフェイス部101は、既存のものをそのまま流用することが可能であり、カード処理部121、プリンタ処理部122、およびキー入力・表示処理部123を備える。
【0023】カード処理部121は、ユーザ(必ずしも人間に限定されるものではない)により挿入されたキャッシュカード、クレジットカード、ICカードなど(以下、「キャッシュカード」と呼ぶ)に記録されている識別情報を読み取り、その識別情報を主制御部10へ送る。プリンタ処理部122は、主制御部10の指示に従って、現金自動取引装置1により実行された金融取引の結果を明細票または預金通帳等に記入する。キー入力・表示処理部123は、現金自動取引装置1を利用して取引を実行する際の操作手順を案内する情報を表示し、また、その案内に従って入力されるユーザからの指示を受け付ける。そして、キー入力・表示処理部123は、ユーザからの指示を主制御部10へ伝える。
【0024】主制御部10は、ユーザの指示に従って取引を実行し、その実行結果に基づいて入出金部50に指示を与える。また、主制御部10は、必要に応じてホスト111との間でその取引に係わる情報を送受信する。さらに、主制御部10は、暗号処理部20を備える。暗号処理部20は、主制御部10から入出金部50へ送信されるデータを暗号化する。一方、入出金部50から主制御部10へ送信されるデータが暗号化されている場合は、暗号処理部20は、入出金部50から送られてくる暗号化データを復号する。
【0025】入出金部50は、制御部10の指示に従って現金を出金し、また、ユーザにより入金された現金を収集する。入出金部50は、暗号処理部60、出金制御部51、入金制御部52、金庫53を備える。
【0026】暗号処理部60は、主制御部10の暗号処理部20により暗号化された暗号化データを復号する。また、暗号処理部60は、必要に応じて、入出金部50から主制御部10へ送信されるデータを暗号化する。
【0027】出金制御部51は、主制御部10からの指示に従って、金庫53から現金を取り出して出力する。入金制御部52は、ユーザにより入金された現金を読み取って認識する機能を備え、その認識結果を主制御部10に送信する。また、入金制御部52は、ユーザにより入金された現金を金庫53に収納する。
【0028】なお、主制御部10に設けられている暗号処理部20および入出金部50に設けられている暗号処理部60は、協調的に動作することにより、主制御部10および入出金部50を相互に認証する。また、暗号処理部20および60により使用される暗号は、特に限定されるものではない。
【0029】このように、現金自動取引装置1は、ユーザの操作に従って金融取引を実行する際、主制御部10と入出金部50との間で送信される情報が暗号化される。このため、もし、主制御部10と入出金部50との間で送信される情報が盗聴されたとしても、その情報の内容を理解して改ざんすることは困難である。
【0030】なお、主制御部10と入出金部50との間に伝送路が存在しないようにそれらが一体的に構成されたとすると、主制御部10と入出金部50との間におけるデータの盗聴および改ざんは回避される。しかし、一般に、出金制御部51、入金制御部52および金庫53は互いに独立したユニットであり、一方、主制御部10は多数のIC等が実装された回路基板であるので、主制御部10および入出金部50を一体的に構成することは困難である。このため、主制御部10と入出金部50との間には何らかの伝送路が存在することになり、結果として、その間でデータが盗聴される危険性を完全に取り除くことはできない。すなわち、現金自動取引装置内に盗聴器が仕掛けられたとすると、データが改ざんされてしまう恐れがある。
【0031】本実施形態の現金自動取引装置1は、その装置内で使用される情報を暗号化することにより上述の問題を解決している。すなわち、現金自動取引装置1においては、その装置内に盗聴器が仕掛けられたとしても、不正な取引を防ぐことができる。
【0032】以下、本実施形態の現金自動取引装置について詳しく説明する。なお、以下では、主に、ユーザの指示に従って現金を出金する機能に係わる構成および動作について説明する。
【0033】図2は、主制御部10に設けられる暗号処理部20のブロック図である。暗号処理部20は、ソフトウェアで実現してもよいし、ソフトウェアとハードウェアとの組合せにより実現してもよい。
【0034】キー保持部21は、暗号処理において使用される初期キーを保持する。現金自動取引装置1において秘密キー暗号化方式が使用される場合は、キー保持部21には、制御部用の初期キーである初期キーKia、および出金部用の初期キーである初期キーKibが保持される。更新部22は、現金自動取引装置1の内部で使用されるパラメータに基づいて、キー保持部21に保持されている初期キーを変更する。
【0035】暗号化部23は、キー保持部21に保持されている初期キーを用いて、制御データ作成部31によって作成された制御データを暗号化する。この暗号化データは、入出金部50に送信される。また、暗号化部23は、キー保持部21に保持されている初期キーを用いて、入出金部50から転送されてくる乱数を暗号化して入出金部50に返送する。尚、「制御データ」については、後述説明する。
【0036】乱数発生部24は、予め決められたアルゴリズムに従って、相互認証処理が実行される毎に異なる乱数を生成する。乱数発生部24により生成された乱数は、入出金部50に送信されると共に、認証部26に与えられる。復号部25は、キー保持部21に保持されている初期キーを用いて、入出金部50から送られてくる暗号化データを復号する。この暗号化データは、乱数発生部24により生成された乱数を入出金部50において暗号化することにより得られたものである。
【0037】認証部26は、乱数発生部24の出力と復号部25の出力とを比較し、入出金部50が正規の装置であるか不正な装置であるのかを判断する。上記2つの出力が互いに一致した場合は、入出金部50が正規の装置である旨を表す情報を出力し、不一致であった場合には、入出金部50が不正な装置である旨を表す情報を出力する。
【0038】制御データ作成部31は、ユーザインターフェイス部101を介して与えられるユーザの指示およびホスト111から与えられる指示に基づいて、制御データを作成する。ここで、制御データ作成部31は、入出金部50が不正な装置であると認証部26により判断されている場合には、作成した制御データの出力を中止する。なお、制御データ作成部31は、主制御部10に設けられている。
【0039】図3は、入出金部50に設けられる暗号処理部60のブロック図である。暗号処理部60は、暗号処理部20と同様に、ソフトウェアで実現してもよいし、ソフトウェアとハードウェアとの組合せにより実現してもよい。
【0040】暗号処理部60の構成は、上述した暗号処理部20の構成と類似している。キー保持部61は、暗号処理において使用される初期キーを保持する。秘密キー暗号化方式が使用される場合、キー保持部61には、キー保持部21に保持されている初期キーと同じ初期キーが保持される。なお、キー保持部21に保持されている初期キーが更新部22により更新されたときは、キー保持部61に保持されている初期キーもそれに伴って同期的に更新される。この初期キーの更新方法については後述する。
【0041】暗号化部62は、キー保持部61に保持されている初期キーを用いて、主制御部10から転送されてくる乱数を暗号化して主制御部10に返送する。乱数発生部63は、予め決められたアルゴリズムに従って、相互認証処理が実行される毎に異なる乱数を生成する。乱数発生部24により生成された乱数は、主制御部10に送信されると共に、認証部65に与えられる。
【0042】復号部64は、キー保持部61に保持されている初期キーを用いて、主制御部10から送られてくる暗号化データを復号する。ここで、乱数発生部63により生成された乱数を主制御部10において暗号化することにより得られた暗号化データが与えられた時は、復号部64は、その復号結果を認証部65へ送出する。一方、制御データ作成部31により作成された制御データを暗号化することにより得られた暗号化データが与えられたときは、復号部64は、その復号結果を出金制御部51へ送出する。
【0043】認証部65は、乱数発生部63の出力と復号部64の出力とを比較し、主制御部10が正規の装置であるか不正な装置であるのかを判断する。上記2つの出力が互いに一致した場合は、主制御部10が正規の装置である旨を表す情報を出力し、不一致であった場合には、主制御部10が不正な装置である旨を表す情報を出力する。
【0044】出金制御部51は、復号部64により復号された制御データに従って、金庫53から現金を取り出して出力する。なお、出金制御部51は、主制御部10が不正な装置であると認証部65により判断されている場合には、以降、制御データに従った動作を実行しない。
【0045】現金自動取引装置1においては、実際の金融取引が実行される前に、主制御部10および入出金部50により相互認証が行われる。即ち、主制御部10は、入出金部50が正規の装置であるか否かをチェックし、また、入出金部50は、主制御部10が正規の装置であるか否かを調べる。
【0046】相互認証を実行することは重要である。例えば、図4(a) に示すように、主制御部10が不正な装置(不正主制御部201)に置き換えられたとする。この場合、不正主制御部201において不正な出金指示が作成されると、入出金部50は、その不正な出金指示に従って現金を出金してしまう可能性がある。一方、図4(b) に示すように、入出金部50が不正な装置(不正入出金部202)に置き換えられたとする。この場合、たとえば、入金された金額を表す情報が不正入出金部202から主制御部10に送られると、主制御部10は、その情報をホスト111に通知してしまう。すなわち、特定の口座の預金残高が不正に書き換えられてしまう可能性がある。本実施形態の現金自動取引装置1は、これらの不正な取引を回避するために、相互認証を実行する。
【0047】図5は、主制御部10および入出金部50による相互認証の手順を説明する図である。ここでは、現金自動取引装置1が秘密キー暗号化方式を用いる場合を示す。秘密キー暗号化方式は、たとえば、DES、FELA、IDEAである。
【0048】主制御部10および入出金部50は、共に、初期キーKiaおよび初期キーKibを保持している。初期キーKiaは主制御部10の初期キーであり、初期キーKibは入出金用50の初期キーである。また、主制御部10および入出金部50は、それぞれ乱数発生部24および乱数発生部63を備える。
【0049】入出金部を認証する処理のシーケンスは、以下である。すなわち、まず、主制御部10は、乱数Ra を生成し、その乱数Ra を暗号化することなく入出金部50へ送信する。この乱数Ra は、乱数発生部24により生成される。
【0050】入出金部50は、主制御部10から送られてきた乱数Ra を受信すると、初期キーKiaを用いてその乱数Ra を暗号化する。ここで、初期キーKiaを用いて乱数Ra を暗号化することにより得られる暗号化データを、「F(Kia)Ra 」と表すことにする。「F」は、暗号化関数である。入出金部50は、この暗号化データF(Kia)Ra を主制御部10へ送信する。なお、初期キーKiaは、図3に示すキー保持部61に保持されている。
【0051】主制御部10は、暗号化データF(Kia)Ra を受信すると、初期キーKiaを用いてそれを復号する。この初期キーKiaは、図2に示すキー保持部21に保持されている。この復号結果は、図2に示す認証部26により、先に入出金部50へ送出した乱数Ra と比較される。そして、主制御部10は、上記復号結果と乱数Ra とが一致した場合には、入出金部50が正規の装置であるものとみなし、一致しなかった場合には、入出金部50が不正な装置であるものとみなす。
【0052】主制御部を認証する処理は、基本的に、上述した入出金部を認証する処理と同じである。すなわち、まず、入出金部50は、乱数Rb を生成し、その乱数Rbを暗号化することなく主制御部10へ送信する。この乱数Rb は、乱数発生部63により生成される。
【0053】主制御部10は、入出金部50から送られてきた乱数Rb を受信すると、初期キーKibを用いてその乱数Rb を暗号化する。ここで、初期キーKibを用いて乱数Rb を暗号化することにより得られる暗号化データを、「F(Kib)Rb 」と表すことにする。主制御部10は、この暗号化データF(Kib)Rb を入出金部50へ送信する。なお、初期キーKibは、図2に示すキー保持部24に保持されている。
【0054】入出金部50は、暗号化データF(Kib)Rb を受信すると、初期キーKibを用いてそれを復号する。この初期キーKibは、図3に示すキー保持部61に保持されている。この復号結果は、図3に示す認証部65により、先に主制御部10へ送出した乱数Rb と比較される。そして、入出金部50は、上記復号結果と乱数Rb とが一致した場合には、主制御部10が正規の装置であるものとみなし、一致しなかった場合には、主制御部10が不正な装置であるものとみなす。
【0055】図6は、公開キー暗号化方式を用いた主制御部10および入出金部50による相互認証の手順を説明する図である。公開キー暗号化方式は、例えば、RSAである。
【0056】主制御部10は、初期キーKia、入出金部50の公開キーKpb、および共有キーKshを有する。一方、入出金部50は、初期キーKib、主制御部10の公開キーKpa、および共有キーKshを有する。公開キーKpaは、初期キーKiaに対応して生成されたものであり、公開キーKpbは、初期キーKibに対応して生成されたものである。
【0057】入出金部を認証する処理のシーケンスは、以下である。すなわち、まず、主制御部10は、乱数Ra を生成し、その乱数Ra を暗号化することなく入出金部50へ送信する。この乱数Ra は、乱数発生部24により生成される。
【0058】入出金部50は、主制御部10から送られてきた乱数Ra を受信すると、主制御部10の公開キーKpaを用いて、その乱数Ra および共有キーKshに基づいて生成されるデータG(Ksh)を暗号化する。ここで、この暗号化により得られる暗号化データを、「F(Kpa)[ Ra ,G(Ksh)] 」と表すことにする。入出金部50は、この暗号化データF(Kpa)[ Ra ,G(Ksh)] を主制御部10へ送信する。
【0059】主制御部10は、暗号化データF(Kpa)[ Ra ,G(Ksh)] を受信すると、初期キーKiaを用いてそれを復号する。そして、この復号結果に基づいて、入出金部50が正しい共有キーKshを有しているか否かを調べる。入出金部50が正しい共有キーKshを有している場合は、入出金部50が正規の装置であるとみなされ、有していなかった場合には、入出金部50が不正な装置であるものとみなされる。
【0060】主制御部を認証する処理は、基本的に、上述した入出金部を認証する処理と同じなので、ここではその説明を省略する。
【0061】このように、現金自動取引装置1において、主制御部10と入出金部50との間で相互認証が実行される。この相互認証処理は、実際の金融取引が実行される前に行われる。具体的には、相互認証処理は、例えば、各金融取引ごとに実行されてもよいし、一定期間ごとに実行されてもよいし、或いは、特別の事象(たとえば、現金自動取引装置1の起動時)が発生したときに実行されるようにしてもよい。
【0062】次に、現金自動取引装置1の動作、および主制御部10と入出金部50との間で送受信される情報の暗号化について説明する。ここでは、ユーザが現金1万円を引き出す場合を採り上げる。
【0063】現金自動取引装置1から現金を引き出す際には、まず、ユーザは、実行すべき取引として「現金引出し」を選択する。続いて、ユーザは、ユーザインターフェイス部101の案内に従って、キャッシュカードを挿入し、更に暗証番号および引き出すべき現金に関する情報を入力する。「引き出すべき現金に関する情報」は、引き出すべき現金の金額を表す「金額情報」、およびその「金額情報」に対応して指定される「紙幣枚数情報」から構成される。たとえば、1万円を引き出す場合は、「金額情報」として「1万円」が入力され、「紙幣枚数情報」として「1万円札×1枚」または「千円札×10枚」が指定される。
【0064】主制御部10は、挿入されたキャッシュカードを識別する情報、およびユーザにより入力された情報をホスト111に通知する。また、主制御部10は、各取引を識別するための取引通番を生成する。
【0065】ホスト111は、主制御部10から受け取った情報を利用し、当該ユーザが挿入されたキャッシュカードの正当な所有者であるか否か、およびそのユーザが要求する取引が実行可能か否かを判断する。そして、ホスト111は、その判断結果に対応する指示を現金自動取引装置1の主制御部10に与える。ここでは、上記ユーザがキャッシュカードの正当な所有者であり、且つそのユーザの口座の預金残高が1万円以上であったものとする。この場合、ホスト111は、要求された取引を実行する旨の指示を現金自動取引装置1に送る。
【0066】主制御部10は、ホスト111から上記指示を受け取ると、入出金部50に与えるための制御データを作成する。この制御データは、「金額情報」「紙幣枚数情報」および「取引通番」を含み、図2に示す制御データ作成部31により作成される。
【0067】主制御部10は、制御データを暗号化して入出金部50へ送出する。一方、入出金部50は、主制御部10から送られてくる暗号化データを復号することにより制御データを再現し、その制御データに従って動作する。
【0068】図7は、出金時における主制御部10と入出金部50との間の暗号化手順を示す図である。ここでは、制御データ(取引電文A)を暗号化して主制御部10から入出金部50へ送信する例を示す。尚、主制御部10および入出金部50は、共に初期キーKiaおよび初期キーKibを保持している。
【0069】主制御部10は、初期キーKibを用いて取引電文Aを暗号化することにより、暗号化データF(Kib)Aを生成する。この暗号化処理は、図2に示す暗号化部23により実行される。図7では、秘密キー暗号化方式が用いられているが、暗号化方式は特に限定されるものではなく、例えば、公開キー暗号化方式を用いてもよい。そして、主制御部10は、取引電文Aおよびその取引電文Aを暗号化することにより得られた暗号化データF(Kib)Aを入出金部50へ送出する。
【0070】入出金部50は、取引電文Aおよび暗号化データF(Kib)Aを受け取ると、初期キーKibを用いてその暗号化データF(Kib)Aを復号する。この復号処理は、図3に示す復号部64により実行され、その復号結果は、出金制御部51に与えられる。一方、取引電文Aは、そのまま出金制御部51に与えられる。
【0071】出金制御部51は、主制御部10から送られてきた取引電文Aと、暗号化データF(Kib)Aを復号することにより得られた復号結果とを比較する。そして、それらが互いに一致したときは、取引電文Aは改ざんされてないものとみなし、その取引電文Aに従って金庫53から現金を取り出して出力する。一方、上記2つのデータが互いに一致しなかったときには、取引電文Aが改ざんされた可能性があると判断し、例えば、金庫53にアクセスすることなく、主制御部10に対してエラーメッセージを送出する。
【0072】図8は、制御データを暗号化する際の主制御部10の処理を説明するフローチャートである。ステップS1では、ユーザの指示およびホスト111から与えられる指示に基づいて、制御データが作成される。ステップS2では、入出金部50が正しく認証されているか否かが調べられる。入出金部50が認証されている場合には、ステップS3において、制御データが暗号化される。そして、ステップS4において、平文のままの制御データおよび暗号化された制御データが入出金部50へ送出される。一方、入出金部50が認証されていない場合には、ステップS3およびS4が実行されることなく、処理が終了する。
【0073】このように、主制御部10は、入出金部50が認証されている場合に限り、制御データを暗号化して入出金部50へ送出する。
【0074】図9は、暗号化された制御データを受信した際の入出金部50の処理を説明するフローチャートである。ステップS11では、主制御部10から平文のままの制御データおよび暗号化された制御データを受信する。ステップS12では、主制御部10が正しく認証されているか否かが調べられる。主制御部10が認証されている場合には、ステップS13において、暗号化されている制御データが復号される。続いて、ステップS14では、ステップS13における復号結果が制御データと一致しているか否かが調べられる。そして、これらが互いに一致している場合には、ステップS15において、その制御データに従って出金処理が実行される。なお、主制御部10が認証されていない場合、およびステップS13における復号結果が制御データと一致しなかった場合には、ステップS15が実行されることなく処理が終了する。
【0075】このように、入出金部50は、主制御部10が認識されており、且つ制御データが改ざんされていないと判断した場合にのみ、その制御データに従って出金処理を実行する。
【0076】現金自動取引装置1は、上記取引に係わる処理が終了すると、その取引の明細票を発行する。明細票は、プリンタ処理部122により発行される。
【0077】上記構成の現金自動取引装置において、暗号化処理に使用される初期キーを定期的あるいは非定期的に変更すれば、暗号の解読は困難になり、取引のセキュリティはさらに向上する。現金自動取引装置1は、初期キーを自動的に変更する機能を備える。
【0078】キー保持部21に保持されている初期キーは、図2を参照しながら説明したように、更新部22により更新される。更新部22は、現金自動取引装置1の内部で使用されるパラメータに基づいて生成されるトリガを受信したタイミングで初期キーを更新する。
【0079】「現金自動取引装置1の内部で使用されるパラメータ」は、例えば、各取引を識別する情報(取引通番)、ユーザにより指定された金額(金額情報)、ユーザにより指定された紙幣の種類(紙幣枚数情報)などである。「取引通番」が使用される場合は、たとえば、取引通番の末尾2桁が「00」になったときにトリガが生成される。「金額情報」が使用される場合は、たとえば、ユーザにより指定された金額がxx円を越えたときにトリガが生成される。このような方法でトリガを生成すると、初期キーは非定期的に変更されることになり、初期キーが変更されるタイミングを予測することが不可能になる。よって、暗号が強くなることが期待される。
【0080】トリガが生成されると、更新部22は初期キーを更新し、また、主制御部10は、入出金部50に対して、初期キーを更新するためのコマンドを送信する。
【0081】図10は、初期キーを更新する手順を説明する図である。ここでは、主制御部10において初期キーを更新するためのトリガが生成された後に、主制御部10および入出金部50において初期キーKiaおよび初期キーKibを更新する例を示す。
【0082】主制御部10は、新しい初期キーNKiaを生成する。この初期キーNKiaは、以降、相互認証処理または暗号化処理において初期キーKiaの代わりに使用されることになる。初期キーの作成方法は、特に限定されるのもではないが、例えば乱数を用いる。なお、初期キーは、現金自動取引装置1の管理者であっても知ることが出来ないようにすることが望ましい。
【0083】続いて、主制御部10は、初期キーKiaを用いて初期キーNKiaを暗号化することにより暗号データF(NKia)Kiaを得る。そして、この暗号データF(NKia)Kiaをパラメータとして初期キーを変更するためのコマンドを作成し、そのコマンドを入出金部50へ送信する。
【0084】入出金部50は、このコマンドを受け取ると、キー保持部61に保持されている初期キーKiaを用いて暗号データF(NKia)Kiaを復号する。この復号処理により初期キーNKiaが得られる。そして、キー保持部61に保持されている初期キーKiaは、初期キーNKiaにより置き換えられる。
【0085】上記更新処理は、基本的に、初期キーKibを更新する場合も同じである。ただし、初期キーKibを初期キーNKibに変更する場合には、主制御部10は、初期キーKibを用いて初期キーNKibを暗号化し、入出金部50は、初期キーKibを用いてその暗号化データを復号することにより新しい初期キーNKibを得る。
【0086】なお、上記実施例では、現金自動取引装置1の内部で使用されるパラメータに基づいて初期キーを更新するタイミングが決定されているが、他の要因に従って初期キーを更新してもよい。例えば、現金自動取引装置1の管理者が初期キーを更新するタイミングを決定してもよい。
【0087】図11は、主制御部10において初期キーを更新する処理のフローチャートである。ステップS21では、現金自動取引装置1の内部で使用されているパラメータに基づいてトリガを生成する。ステップS22では、新しい初期キー(新初期キー)を生成する。ステップS23では、キー保持部21に保持されている初期キー(旧初期キー)を用いて新初期キーを暗号化する。ステップS24では、ステップS23で生成した暗号化データを入出金部50へ送信する。このとき、入出金部50は、初期キーを更新するためのコマンドが与えられる。そして、ステップS25において、キー保持部21に保持されている旧初期キーを新初期キーに置き換える。
【0088】図12は、入出金部50において初期キーを更新する処理のフローチャートである。ステップS31において暗号化データを受信すると、ステップS32において、初期キーを更新するためのコマンドを受信しているか否かを調べる。更新コマンドを受信している場合には、ステップS33において、キー保持部61に保持されている初期キー(旧初期キー)を用いてステップS31で受信した暗号化データを復号する。そして、ステップS34において、キー保持部61に保持されている旧初期キーを上記復号結果に置き換える。なお、更新コマンドを受信していないときには、対応する他の処理が実行される。
【0089】上述の実施例では、ユーザが現金自動取引装置から現金を引き出す際の動作を採り上げ、主制御部から入出金部へ送信される制御データを暗号化する方法を説明したが、本実施形態の現金自動取引装置は、ユーザが現金を入金する際に生成される取引データを暗号化することもできる。以下、ユーザが現金自動取引装置1を利用して現金を預け入れる際の動作を説明する。
【0090】現金自動取引装置1を利用して現金を入金する際には、まず、ユーザは、実行すべき取引として「預入れ」を選択する。続いて、ユーザは、ユーザインターフェイス部101の案内に従って、キャッシュカードまたは預金通帳を挿入し、さらに預金すべき現金を入金する。
【0091】現金自動取引装置1の入金制御部52は、ユーザにより入金された現金の合計金額を認識し、その認識結果を取引データとして主制御部10へ通知する。このとき、入出金部50は、その取引データを暗号化する。
【0092】図13は、入金時の主制御部10と入出金部50との間の暗号化手順を示す図である。ここでは、取引データBを暗号化して入出金部50から主制御部10へ送信する例を示す。取引データBは、入金制御部52により認識された現金の金額を表す情報を含む。
【0093】入出金部50は、初期キーKiaを用いて取引データBを暗号化することにより暗号化データF(Kia)Bを生成する。この暗号化処理は、図3に示す暗号化部62により実行される。そして、入出金部50は、取引データBおよびその取引データBを暗号化することにより得られた暗号化データF(Kia)Bを主制御部10へ送出する。
【0094】主制御部10は、取引データBおよび暗号化データF(Kia)Bを受取ると、キー保持部21に保持されている初期キーKiaを用いて暗号化データF(Kia)Bを復号する。この復号処理は、図2に示す復号部25により実行される。そして、入出金部50から送られてきた取引データBと、暗号化データF(Kia)Bを復号することにより得られた復号結果とが比較される。このとき、それらが互いに一致したときは、主制御部10は、取引データBは改ざんされていないものとみなし、入出金部50に対して確認通知を送ると共に、取引データBの内容をホスト111に通知する。一方、上記2つのデータが互いに一致しなかったときには、主制御部10は、取引データBが改ざんされた可能性があると判断し、例えば、入出金部50に対して取引中止指示を送る。
【0095】入出金部50は、主制御部10から確認通知を受信したときは、ユーザにより入金された現金を金庫53に収納し、取引中止指示を受信したときは、入金された現金を受け付けない。
【0096】なお、上記実施例では現金自動取引装置を採り上げたが、本発明は、必ずしも「現金」を扱う装置のみに限定されるものではない。すなわち、例えば、電子マネーを扱う装置において、金融取引に係わる情報処理を実行する装置と、ユーザの電子財布(ICカード等)に電子マネーを入金する装置とが互いに分離されており、それらの間に情報を送受信するための伝送路が存在する場合には、本発明の相互認証方法および暗号化方法は有用であると考えられる。
【0097】
【発明の効果】本発明の現金自動取引装置においては、その装置内において、取引を実行する装置および現金を入出力する装置が相互認証を実行するので、セキュリティが向上する。また、取引を実行する装置と現金を入出力する装置との間で送受信される情報が暗号化されるので、このことによっても、現金自動取引装置のセキュリティが向上する。
【図面の簡単な説明】
【図1】本発明の現金自動取引装置の一実施形態のブロック図である。
【図2】主制御部に設けられる暗号処理部のブロック図である。
【図3】入出金部に設けられる暗号処理部のブロック図である。
【図4】(a) は不正な主制御部が設けられた場合の不正取引を説明する図、(b) は不正な入出金部が設けられた場合の不正取引を説明する図である。
【図5】秘密キー暗号化方式を用いた相互認証の手順を説明する図である。
【図6】公開キー暗号化方式を用いた相互認証の手順を説明する図である。
【図7】主制御部と入出金部との間の暗号化手順を示す図である。
【図8】制御データを暗号化する際の主制御部の処理のフローチャートである。
【図9】暗号化された制御データを受信した際の入出金部の処理のフローチャートである。
【図10】初期キーを更新する手順を説明する図である。
【図11】主制御部において初期キーを更新する処理のフローチャートである。
【図12】入出金部において初期キーを更新する処理のフローチャートである。
【図13】入金時の暗号化手順を示す図である。
【図14】既存の現金自動取引装置の一例のブロック図である。
【符号の説明】
1 現金自動取引装置
10 主制御部
20、60 暗号処理部
21、61 キー保持部
22 更新部
23、62 暗号化部
24、63 乱数発生部
25、64 復号部
26、65 認証部
31 制御データ作成部
50 入出金部
51 出金制御部
52 入金制御部
53 金庫
111 ホスト

【特許請求の範囲】
【請求項1】 与えられた指示に従って現金を出金する現金自動取引装置であって、与えられた指示に基づいて出金すべき金額を表す情報を含む制御データを生成する制御手段と、現金を収納し、上記制御手段により生成された制御データに基づいて現金を出金する出金手段とを有し、上記制御手段と上記出金手段との間で相互認証が実行される現金自動取引装置。
【請求項2】 上記制御手段が、第1の乱数を生成して上記出金手段へ送出する第1の乱数生成手段と、上記出金手段において第1のキーを用いて上記第1の乱数を暗号化することにより得られた暗号化データを上記第1のキーを用いて復号する第1の復号手段と、上記第1の乱数および上記第1の復号手段による復号結果に基づいて上記出金手段を認証する第1の認証手段とを有し、上記出金手段が、第2の乱数を生成して上記制御手段へ送出する第2の乱数生成手段と、上記制御手段において第2のキーを用いて上記第2の乱数を暗号化することにより得られた暗号化データを上記第2のキーを用いて復号する第2の復号手段と、上記第2の乱数および上記第2の復号手段による復号結果に基づいて上記制御手段を認証する第2の認証手段とを有する請求項1に記載の現金自動取引装置。
【請求項3】 上記制御手段が上記第1および第2のキーを保持するための第1の保持手段を備え、上記出金手段が上記第1および第2のキーを保持するための第2の保持手段を備え、上記第1および第2の保持手段は、当該現金自動取引装置の内部で使用されているパラメータに基づいて同期的に更新される請求項2に記載の現金自動取引装置。
【請求項4】 顧客の口座を管理するホスト装置に接続され、現金の入金を受け付ける現金自動金引装置であって、入金された現金を認識し、その現金の金額を表す情報を含む取引データを生成する入金手段と、上記入金手段により生成された取引データに従って上記現金を入金した顧客に対応する口座の預金額を更新するための入金情報を生成し、その入金情報を上記ホスト装置に送信する制御手段とを有し、上記入金手段と上記制御手段との間で相互認証が実行される現金自動取引装置。
【請求項5】 与えられた指示に従って現金を出金する現金自動取引装置であって、与えられた指示に基づいて出金すべき金額を表す情報を含む制御データを生成する制御手段と、現金を収納し、上記制御手段により生成された制御データに基づいて現金を出金する出金手段とを有し、上記制御データは、予め決められたアルゴリズムに従って暗号化されて、上記制御手段から上記出金手段へ送信される現金自動取引装置。
【請求項6】 上記制御手段が、暗号キーを保持する第1の保持手段と、その第1の保持手段に保持されている暗号キーを用いて上記制御データを暗号化する暗号手段とを有し、上記出金手段が、上記第1の保持手段に保持されている暗号キーと同じ暗号キーを保持する第2の保持手段と、その第2の保持手段に保持されている暗号キーを用いて上記暗号手段により暗号化された制御データを復号する復号手段とを有する請求項5に記載の現金自動取引装置。
【請求項7】 顧客の口座を管理するホスト装置に接続され、現金の入金を受け付ける現金自動金引装置であって、入金された現金を認識し、その現金の金額を表す情報を含む取引データを生成する入金手段と、上記入金手段により生成された取引データに従って上記現金を入金した顧客に対応する口座の預金額を更新するための入金情報を生成し、その入金情報を上記ホスト装置に送信する制御手段とを有し、上記取引データは、予め決められたアルゴリズムに従って暗号化されて、上記入金手段から上記制御手段へ送信される現金自動取引装置。
【請求項8】 与えられた指示に従って現金を出金する現金自動取引方法であって、金融取引を実行する前に、与えられた指示に基づいて出金すべき金額を表す情報を含む制御データを生成する制御ユニットと、上記制御データに基づいて現金を出金する出金ユニットとの間で相互認証を実行する現金自動取引方法。
【請求項9】 与えられた指示に従って現金を出金する現金自動取引方法であって、制御ユニットにおいて、与えられた指示に基づいて出金すべき金額を表す情報を含む制御データを作成し、予め決められたアルゴリズムに従ってその制御データを暗号化し、その暗号化データを出金ユニットへ送信し、出金ユニットにおいて、上記暗号化データを復号し、その復号結果に基づいて現金を出金する現金自動取引方法。

【図1】
image rotate


【図2】
image rotate


【図3】
image rotate


【図4】
image rotate


【図5】
image rotate


【図6】
image rotate


【図7】
image rotate


【図8】
image rotate


【図9】
image rotate


【図10】
image rotate


【図11】
image rotate


【図12】
image rotate


【図13】
image rotate


【図14】
image rotate


【公開番号】特開2001−126098(P2001−126098A)
【公開日】平成13年5月11日(2001.5.11)
【国際特許分類】
【出願番号】特願平11−303548
【出願日】平成11年10月26日(1999.10.26)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】