私的で安全な金融取引システム及び方法
【課題】 私的かつ安全な金融取引システム及び方法を提供する。
【解決手段】 同システム及び方法は、金融機関に組み込まれるプライバシー&セキュリティ・レイヤ・アーキテクチャ及び「クロック制御」認証、承認及び会計(AAA)方法から成る。同システム及び方法により、通常の方法と比べて高度に向上・強化されたセキュリティ及び不正防止策を維持する一方、正規の金融口座保持者は、取引相手に私的個人情報を明かすことなく購入/販売又は引き出し/預け入れ金融取引を実行できる。金融取引の前に、金融口座保持者は、専用通信回線を利用して、自動化された「クロック制御」AAAセッションをもつ組み込み式プライバシー&セキュリティ・レイヤ(EPSL)アーキテクチャに配置された金融機関事務部門中央処理装置(CPU)及びデータベース(dB)にアクセスすることにより、金融機関事務部門と認証セッションを開始する。
【解決手段】 同システム及び方法は、金融機関に組み込まれるプライバシー&セキュリティ・レイヤ・アーキテクチャ及び「クロック制御」認証、承認及び会計(AAA)方法から成る。同システム及び方法により、通常の方法と比べて高度に向上・強化されたセキュリティ及び不正防止策を維持する一方、正規の金融口座保持者は、取引相手に私的個人情報を明かすことなく購入/販売又は引き出し/預け入れ金融取引を実行できる。金融取引の前に、金融口座保持者は、専用通信回線を利用して、自動化された「クロック制御」AAAセッションをもつ組み込み式プライバシー&セキュリティ・レイヤ(EPSL)アーキテクチャに配置された金融機関事務部門中央処理装置(CPU)及びデータベース(dB)にアクセスすることにより、金融機関事務部門と認証セッションを開始する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、私的で安全な取引のためのシステム及び方法、より具体的には、金融機関内及び商人/販売者/ベンダ取引処理システムとの私的で安全な購入/販売又は引き出し/預け入れ取引環境を提供するシステム及び方法に関する。
【背景技術】
【0002】
購入/販売及び引き出し/預け入れを含む基本的な金融取引では、金融口座保持者、口座のある金融機関及び商人/販売者/ベンダ又はその他販売側の当事者を、個人情報の盗難及び不正取引から守るために、常にセキュリティが必要とされてきた。取引実行の新たな手段としてコンピュータ・ネットワーク及び電子商取引の利用の広範な普及の結果、金融取引の有効性及び健全性を維持するべく新たな要件が生まれつつある。金融取引中に得た消費者の私的個人情報を収集し、分類し、調査し、かつ、販売して利益を得る企業が存在する。金融取引中の顧客プライバシーを保護する有効なシステム及び方法の提供は、有益である。更に新たな要件は、コンピュータ・ネットワークに不法アクセスするハッカー及び侵入者が金融取引を傷つけることができるという事実と関連する。取引セキュリティのこうした側面は、Veil等の米国特許第6092202で扱われている。
【0003】
金融取引の歴史全体を通して、プライバシー及びセキュリティは、最高の現代技術により取り組まれてきた。コンピュータ・ネットワーク時代の幕開け以来、金融機関は、セキュリティ及びプライバシーのために、コンピュータ能力、リレーショナル・データベース、ソフトウェア環境及び通信回線を利用してきた。銀行、次にクレジットカード会社、ついには証券会社及び他の金融機関が、それらを利用し、金融取引中の事務部門で、AAAと呼ばれる認証、承認及び会計を実行してきたのである。
【0004】
クレジットカードでの金融取引では、金融取引認証段階の実行における弱点に起因して重大な損失を生じる。販売側の当事者は、(もしあれば)カード上及び販売伝票上の人による署名を視覚的に比較する。この作業は、不正行為の場合であれば、身分確認時に偽署名を見誤りやすい。金融口座保持者が未署名のクレジットカードを紛失した場合には、金融取引を要求する前にカードにどんな署名でもすることができるため、署名を偽ることは容易である。金融取引の認証段階が機能しない典型的な別の例は、他者がクレジットカード顧客番号と同カード所有者署名の写しを入手したときに起こる。こうした不正は、盗難にあわないクレジットカードであっても起こり得る。金融機関が損失を被るもう一つの例は、金融口座保持者が金融取引完了後に変心する時に、本人が原因で起きる。金融口座保持者は、何者かが自分になり代わり取引をしたと主張することで、金融取引を否定できるからである。
【0005】
こうした例が示すのは、金融取引の認証段階で金融取引アーキテクチャの改善が、真に、かつ、相当に必要であることである。偽のクレジットカード所有者の認証ミス、引き続いて何事もなく金融機関事務部門で承認及び会計処理されるという事実は、金融取引アーキテクチャのもう一つの弱点を物語る。承認及び会計段階は実際の金融口座保持者と分断されており、その一方で、認証段階は金融機関事務部門コンピュータと分断されている。
【0006】
電子商取引開始以来、クレジットカードは金融取引手段として利用されてきたが、アーキテクチャ上の問題が数多く明らかになっている。例えば、クレジットカード・データ、社会保障番号、カード所有者名、電話、住所等は、インターネットを介して転送される間に絶対安全ということはなく、通信チャネルの漏洩によって「悪の手」に落ちる可能性がある。インターネット又は他の通信チャネルを介した高速データ移動は、金融取引にとって大きな利点であるが、データのセキュリティが不十分であることから、(インターネット及びインターネット以外も同様の)通信回線でのデータ漏洩の可能性を避けるため、金融取引アーキテクチャの変更が強く望まれていることは、明らかである。
【0007】
【特許文献1】米国特許第5485510号
【特許文献2】米国特許第6052675号
【0008】
電子商取引の金融取引を脅かしているもう一つの問題は、クレジットカードを用いた金融取引承認段階の弱点である。承認段階又は会計処理段階のいずれも、金融口座保持者により積極的な管理及び時間設定が行われるものではない。詐欺取引の多くは、金融口座保持者が本人の口座に対する実権を取り戻す以前に生じることが多い。Colbert の特許文献1及びChecchioの特許文献2は、金融取引のセキュリティを強化するために金融取引承認段階を改善する試みを開示した。コルバートの特許は、金融口座保持者が商人(ベンダ)に申請することに先立ち、金融口座保持者の承認を行うよう金融取引を変更することを提案したものである。金融機関事務部門に提供される情報は、クレジットカード顧客番号、秘密PIN及び商人/金融取引専用情報(少なくとも商人ID番号及び金融取引額)を含む。従って、商人は承認コードのみ与えられるので、カードの紛失又は盗難の場合にも、カード番号及びPINは商人を始め誰にも知られることはない。商人が承認コードではなくクレジットカード顧客番号を取得することを除くと、同様のアーキテクチャがチェッキオの特許の中で提案されている。ここでは、金融取引が事前承認であるため、商人は、金融機関事務部門にクレジットカード顧客番号及び商人/金融取引専用情報を送り、金融口座保持者が事前の承認段階中に、情報と既に提供済みのデータと比較する。カードの紛失又は盗難があっても、商人に限らず誰でも秘密PINを知ることなくカードを使用することはできない。
【0009】
両特許は、ある種の取引のためのクレジットカードに関する不正使用に対してセキュリティを改善するものであるが、取り組むべきことに限界がある。両特許は、金融機関事務部門への連絡時の電話回線に焦点が当てられている。電話回線で一組の固定番号を頻繁に使用することにより回線入口及び回線自体での漏洩が原因で、安全ではない。電話回線をワイヤレス又はインターネット通信回線に交換しようとすると、この問題が悪化する。両特許に共通するもう一つの弱点は、金融機関事務部門が、大量の金融取引のために提案されるアーキテクチャ上の変更を、いかに取り扱うかということに関するシステム及び/又は方法の欠如である。金融取引アーキテクチャでは、金融口座保持者、金融機関及び販売側の当事者が、相互依存の関係になるようにカバーされるべきである。承認段階の前に、販売側の当事者及び他金融取引機関の具体的内容について知識を持つことの必要性について、提案されている両改革は更に限界がある。それにより、実行可能な金融取引の種類及び金融取引の実行を受けることのできる場所が狭まることになる。
【0010】
社会的関心は、電子商取引チャネル及び他の通常チャネルのいずれにおいても、クレジットカードでの金融取引が、私的個人消費者情報をアクセスし、監視し、追跡し、盗難及び不正使用し、又は、通常その消費者の了承なしに利益目的で販売されるという結果につながることである。高度なインターネット関連技術が情報収集、処理及びその他の情報と関連付けを容易にした結果、プライバシーに関する問題を悪化させている。
【0011】
数々のプライバシー問題を招いているのは、クレジットカードでの金融取引に限らない。金融口座保持者は、銀行での標準的な引き出し/預け入れの金融取引中でさえ、銀行出納係が金融口座保持者の私的個人情報ファイルにアクセスするのを必ずしも好まないであろう。金融口座保持者が、銀行出納係にこの特権を与えるか否かを決定できれば好都合であろう。大抵の場合、銀行での引き出し/預け入れの金融取引は、金融口座保持者身分証明書類を提示するよう求めるが、それは、金融取引中の認証アーキテクチャの現状によって正当化されたものであるとしても、プライバシーに関する一つの不都合ととらえることができる。
【0012】
図1に示すのは、通常の引き出し/預け入れ取引実行システムのブロック図である。金融取引実行のためには、法律上の成人101(又は法人)は、金融機関に口座を有することが想定されている。標準的には、口座申請手続き中に私的個人情報プロフィル102を金融機関に開示する。ステップ104で、口座開設を許可した金融機関は、金融機関事務部門で個人記録ファイルを作成し、引き出し/預け入れ方法を設定し、個人用小切手及びカードを発行する。かくして、法律上の成人101であるか法人であるかを問わず金融口座保持者は、預け入れ105又は引き出し106の取引を実行できる。銀行又は証券会社107に対する典型的な預け入れ取引は、本人が特定された預け入れ伝票109を用いて直接又は郵送で行われるか、又は、本人記名の小切手の提出及び本人口座番号の開示によって行われる。保険117及びクレジットカード会社115は、預け入れ取引のもう一つの方法を利用して、金融口座保持者からの支払明細を受領する。金融口座保持者は、小切手110、デビットカード112又はインターネット113を介してグラフィカル・ユーザー・インターフェース(GUI)を利用して、銀行又は証券会社108との引き出し取引をする。クレジットカード116は、(Visa及びMaster Cardのような銀行、American Expressのような銀行であろうが)クレジットカード会社との引き出し取引をするための典型的な方法である。金融口座保持者が保険会社118との取引時に利用する、もう一つの引き出し方法がある。保険証券に従って支払請求120を行うことである。
【0013】
上述の預け入れ/引き出し取引システムには欠陥があり、それは、取引をする金融口座保持者及び金融機関のプライバシーとセキュリティに関する下記のものである。
1)金融口座保持者が、口座のある銀行及びその支店から離れた地点にいる場合に、直接かつ緊急の預け入れ取引が妨げられる可能性がある。他の金融機関経由での本人口座への入金が、金融口座保持者の私的個人情報を明かすことなく、他の金融機関の仲介サービスレベルで可能となるようにすべきである。
2)銀行出納係は、入金中に、口座保持者の私的個人情報にアクセスする。ここに2つの問題がある。第1に、いかなる即時対応の金融機関事務部門CPU及びdB管理装置がないとすると、出納係は、個人及び口座残高情報を変更する間違いをする可能性がある。換言すると、各預け入れ取引に間違いを生じさせ、銀行及び口座保持者に被害をもたらす恐れがある。第2に、口座保持者は、直接入金中に、銀行出納係が口座保持者の私的個人情報ファイルにアクセスすることを好まないであろう。この段階で、口座保持者自身が、この特権を銀行出納係に与えるべきかどうかを決定できるのであれば好都合であろう。
3)小切手、クレジット、チャージ、デビットカードによる引き出し取引中の盗難及び不正、又は、電子商取引の金融取引中の盗難及び不正に対する保護が不十分である。
4)販売側の当事者又は引き出し取引中の銀行出納係が、私的個人情報を守らず、ときに作為的に又は不作為的に誤用する。
【0014】
図1Bに示すのは、購入/販売取引実行システムのブロック図である。金融口座保持者121が購入決定122をして販売側の当事者に申し込みを行うと、現金124、クレジットカード116、デビットカード112、小切手110又は電子商取引125を通して実際の販売取引を可能とする。現金は低額金融取引には手軽であるが、手元には低額現金しかないため、通常の高額金融取引には実用的ではない。現金以外の、クレジットカード116、デビットカード112、電子商取引125、小切手110のような他の全ての金融取引手段は、いずれにしても私的個人情報127の全面的又は部分的開示につながり、そのために、私的個人情報の誤用及び不正行為128を起こしやすい。
【0015】
図2に示すのは、クレジットカード、チャージカード又はデビットカードを用いた購入/販売取引中に、実行される通常の認証、承認及び会計システム及び方法のブロック図である。図1B及び図2に示すように、金融口座保持者121が購入決定122をして販売側の当事者に申し込みを行うと、販売時点情報管理(POS)装置がクレジットカードの固定情報を走査し、金融機関事務部門に価格(取引金額)を明示して承認要求を送信して、引き出し取引205を実行する。金融機関の事務部門CPUは、この口座のデータベースに十分な資金があるかどうかを調べ、もしイエスであれば、そのカードはデータベースに紛失、盗難又は不正使用として記録されていないのであれば、(CPUは承認コードをPOS装置に送り)引き出し取引206を承認する。ステップ205及び206が金銭取引の承認段階201を構成する。注意すべきは、クレジット/デビットカードを用いた通常の金融取引システムでは、承認段階は金銭取引の認証及び会計段階に先立って実行されるということである。
【0016】
取引承認が販売側の当事者206に送信されると、最初の会計ステップ202が実行される。取引中の口座は保管された総額をそのままにして、販売側の当事者207に支払保証をする。支払は、カード発行銀行の取引手数料を控除し、販売側の当事者に商売状況を提供した取得銀行又は独立販売機関に対する割引手数料を控除した後に実行される。ステップ207が完了すると、金融機関事務部門は、請求される支出限度額が超過していないことを条件に、同じ金融口座保持者による次の取引の準備に入る。
【0017】
次に、クレジットカードが署名されると、販売為替手形の署名及びカード署名をオフライン金融取引208用に販売側の当事者と視覚的に比較される。カード署名がなされていないと、金融口座保持者209に身分証明書類を要求する。ステップ208及び209は、通常のオフライン金融取引システム用の金融取引203認証段階に関する構成要素である。ここで注意すべきことは、クレジット/デビットカード利用に基づくオンライン金融取引システムの通常の電子商取引では、ステップ208が飛ばされ、代わりにステップ209が実施されて、金融口座保持者の私的個人情報について、オフライン金融取引の場合よりもかなり広範な開示が求められるということである。次に、会計段階204の最終段階が実行される。ステップ210は以下の手順を含む。販売側の当事者は、営業時間後に一括処理される販売バッチ内の販売為替手形を取得銀行(又は独立販売機関)に送る。取得銀行は、それぞれのバッチ部分をカード発行銀行に転送して支払処理を解除し、商人協定で特定された控除の後に、それを商人口座に振り込む。かくして、数日内に商人口座に入金される。
【0018】
図2に示すクレジット/デビットカードに基づいた通常の金融取引アーキテクチャは、本発明が取り組む以下のような弱点を有する。
1)認証段階は、金融機関事務部門CPU及びdBとは分断されており、現実感がうすく、困惑させ、エラー及び不正を生じさせやすい。
2)承認段階は、オン又はオフラインの両回線の金融取引をする金融口座保持者とは分断されており、特に(オンライン金融取引の呼出時間の間に、金融口座保持者による口座の再操作前に、多くの未承認金融取引が発生したりして)オンライン金融取引を危険にさらす。
3)私的個人情報の漏洩が、(ブラウジング技術、TCP/IPプロトコル、PKI、SSL、その他のインターネット技術が金融取引セキュリティを十分に保証するものでなく)電子商取引処理中にインターネット通信回線上で起こる可能性がある。
4)会計段階は、金融口座保持者とは分断されており、一連の購入/販売の金融取引中に金融口座保持者を不自由な状態にとどめる。
5)販売側の当事者は、金融口座保持者の私的個人情報を収集し、かつ、分析し、利益を得る目的でそれを市場に出し販売することができる。この場合に公には、データのプライバシー及び機密の状態がいつまでも知らされないままである。
【0019】
現在のオンライン及びオフライン金融取引アーキテクチャには、認証、承認及び会計段階にセキュリティ及びプライバシーに関する実際的な欠陥がある。極めて期待されていることは、消費者にとってプライバシー及びセキュリティ上の不安なく、金融機関と金融取引を実行できる改良されたシステム及び方法の提供である。本発明はこうした問題に取り組むものである。
【発明の開示】
【発明が解決しようとする課題】
【0020】
したがって、本発明の目的は、金融取引中に消費者の私的個人情報から商人/販売者/ベンダを分断することである。
本発明の更に別の目的は、引き出し/預け入れ取引中に、金融口座保持者が、銀行出納係を金融口座保持者の私的個人ファイルから分断させるようにすることである。
本発明の更に別の目的は、金融取引の認証段階中に、金融口座保持者と金融機関事務部門との接続方法を提供し、大幅に向上・強化された金融取引セキュリティを保証することである。
本発明の更に別の目的は、金融取引の認証段階を一つの取引専用に、例えば、一つの特定金融取引のみで使用できる金融取引の認証段階アーキテクチャを構築することである。
本発明の更に別の目的は、金融取引の認証段階アーキテキチャに、金融取引の会計セッションの開始手続きを備え、取引専用認証アーキテクチャを強化することである。
【0021】
本発明の更に別の目的は、認証の実行結果を特定金融取引のための専用時間の一つに限定する方法で、金融取引認証セッションを設計することである。
本発明の更に別の目的は、金融取引システムを設計し、かつ、その方法を提供することで、商人/販売者/ベンダが金融機関事務部門に、金融口座保持者が要求した一つの特定金融取引に関してのみ金融取引を承認し会計を行うことを求めることができるようにすることである。
本発明の更に別の目的は、金融取引の承認段階アーキテクチャに会計セッションの終了手続きを備えることである。
本発明の更に別の目的は、SSL(セキュア・ソケット・レイヤ)、TCP/IPプロトコル、WEBブラウザ等インターネット技術のような不完全なセキュリティに起因して通信回線上で漏洩が生じるおそれのある環境であっても、高度なセキュリティレベルが提供される金融取引アーキテクチャを構築することである。
本発明の更に別の目的は、金融機関事務部門に金融取引専用アーキテキチャAAAの実行を許可する「クロック制御」AAAを提供することである。
【課題を解決するための手段】
【0022】
本発明は、私的かつ安全な金融取引を提供するシステム及び方法に関する。このシステム及び方法は、金融機関事務部門のプライバシー・レイヤ・アーキテクチャに組み込まれる「クロック制御」AAA方法を構成する。このアーキテクチャは、金融口座保持者が金融機関事務部門に接続するために使用する「事務部門接続装置」を構成する。こうした装置は、例えば、普通電話及びユニバーサル・リソース・ロケータ(URL)のアドレスを介して呼び出される専用グラフィック・ユーザー・インターフェース(GUI)を備えたパーソナル・コンピュータを含む。代りの装置として、ネットワーク・コンピュータすなわちワイヤレス・パーソナル・オーガナイザ、対話式テレビ会議セッション又は金融機関事務部門との対話用にカスタマイズされた読み取り/書き込み装置を備えたスマートカードが含まれる。アーキテクチャは又、金融機関事務部門の中央処理装置(「CPU」)を構成して、UNIX(登録商標) Sun/Solaris又はWindows(登録商標)NTのいずれかのオペレーティング・システムで作動する一群(即ちかたまり)計算及びファイル・サーバを含むことができ、「クロック制御」AAAの様々な機能を実行するように設計された多数のソフトウェア・プログラム(ソフトウェア・モジュール)、金融機関事務部門内部のリレーショナル・データベース(dB)を含み、そこで実際の口座情報が格納され、アクセスされる。金融機関事務部門は、「クロック制御」AAAプログラム環境を用いて情報処理を行うCPUに接続されるdBを備える。
【0023】
本発明によって金融機関とメンバーシップ関係にある消費者は、高度に安全かつ私的な方法で金融取引を実行できる。金融口座保持者の私的個人情報を販売側の当事者、又は、銀行出納係に開示する必要はない。結局、本システム及び方法を現在かつ将来のソフトウェア、ハードウェア及び電子商取引技術に上手く適応させ、受容可能なビジネスのトレードオフを受け入れれば、その実施は容易にできる。
本発明による金融取引管理方法は、認証処理、承認処理及び会計処理の実行を含む。認証処理は、特定の口座保持者による予測取引に対して実行される。予測取引は予測取引額及び予測取引時間を有する。認証処理は、予測取引実行時に提示する取引署名を作成する。特定取引のための承認処理は、実際の取引額及び実際の取引時間を有し、それらは取引署名の提示時に決定される。承認処理は、提示された取引署名が予測取引のための取引署名と一致すること、実際の取引額が予測取引額と一致すること、及び、実際の時間が予測取引時間と一致することを検証する処理を含む。特定取引のための会計は、順調な承認処理の結果として実行される。会計は、特定口座保持者の予測取引額と実際の取引額との照合処理を含む。
【0024】
本発明の一実施形態によると、予測取引のための予測取引額及び取引署名は、金融機関事務部門にあるデータベースの認証記録に格納される。同様に、承認記録が承認処理中に作成される。取引の承認処理を完了するために承認記録と認証記録とを比較する。かくして、認証記録は予測取引額及び取引署名を備える。また、予測取引時間は、認証記録を保有するデータベースに格納され、その時間は、例えば、認証記録作成の時間と組み合わせて用いられる制限時間の長さ、又は別の例では絶対時間値とする。
認証処理に関する代表的な一実施形態では、特定口座保持者と金融取引サーバとの間に通信セッションを確立する処理、口座番号をインプットとして受けとる処理、特定口座保持者に、最初の要請で固定識別コードの提供を促し、2番目の要請で、個人識別コードから個人識別コードの全てを含むものではない動的に身分確認された数字の組み合わせの提供を促す処理を含む。更には、予測取引額をインプットとして受け付ける。取引署名が作成され、特定口座保持者に送信される。予測取引を身分確認する情報及び時間スタンプが認証記録に格納される。
【0025】
承認処理に関する代表的実施形態では、特定取引の当事者と金融取引サーバとの間に通信セッションを確立する処理が含まれる。サーバで、提示された取引署名を受け付け、実際の取引額をインプットとして受信する。サーバは、特定取引の時間と予測時間を比較し、次に提示された取引署名及び実際の取引額と該取引に関連する取引署名及び予測取引額とを比較する。順調なパラメータの一致に基づき、取引当事者に承認メッセージを送る。
本発明による金融取引管理処理は、承認処理中に金融口座保持者の身分確認をもって、又は身分確認なしで機能する。
様々な実施形態において、本発明は、携帯電話、販売時点情報管理装置、パーソナル・コンピュータ、手持ちサイズコンピュータなどのような、金融機関事務部門と個々の端末ステーションとを相互接続する通信媒体を用いて認証処理、承認処理及び会計処理を実行するシステムを構成する。別の実施形態において、本発明は、概略を上述した処理実行に用いられるコンピュータ・プログラムを格納する製造物品を含む。
さらに別の実施形態において、本発明は、上述の処理管理に利用される通信リソース、処理リソース及びデータ格納リソースを含む金融取引サーバを提供する。
【0026】
本発明は又、金融取引のための自動化された認証、承認及び会計方法を提供する。この方法は、特定口座保持者による予測取引の認証記録の確立方法を構成する。認証記録は、予測取引額及び取引時間のパラメータを有する予測取引の身分確認情報を含む。認証記録には、予測取引実行に基づいて提示される認証済み取引署名が含まれる。この方法は又、実際の取引額、実際の取引時間及び提示された取引署名を示す特定取引のための承認記録の確立方法を構成する。承認記録と認証記録とを照合して、提示される取引署名が予測取引のための認証済み取引署名と一致するかどうか、実際の取引額が予測取引額と一致するかどうか、更には、実際の取引時間が取引時間パラメータと一致するかどうかを判断する。最後に、特定口座保持者のために予測取引額と実際の取引額とを照合確認する。様々な実施形態によると、この方法は、複数の予測取引のための認証記録を有するデータベースに認証記録を格納する処理を含む。該処理には、認証記録と時間調整済アルゴリズムを用いて作成される承認記録との照合が定期的に試みられる処理を内在させ、その時間調整済アルゴリズムは、それらの作成時間に基づき、かつ、予測取引が完了されなければならない時間長さの決定パラメータに基づき認証記録を自動的に時間切れとする。
総括すると、効率的な配置が可能で又、他の既存システムの欠点の多くに対処する安全かつ私的な金融取引プロセスを提供する。
本発明に関する他の態様及び利点は、以下の図面、詳細な説明及び請求項を検討することで理解できるであろう。
【発明を実施するための最良の形態】
【0027】
図3に示すのは、本発明による購入/販売及び引き出し/預け入れ取引のための組み込み式プライバシー&セキュリティ・レイヤEPSLアーキテクチャのフロー図である。金融口座保持者121は、オンライン又はオフライン金融取引となるか否か、販売地点(又は銀行出納係)と独立しているか否かに関係なく、取引決定122をする。この段階では、金融口座保持者は、予測金融取引の実行に必要とされる凡その又は正確な金額を把握していると想定される。取引決定(ステップ122)後、ステップ301で、金融口座保持者は、該金融口座保持者の口座がある金融機関事務部門CPU及びdBと認証セッションを開始する。認証セッションが本発明により金融機関事務部門で実行される詳細は後述する。しかしながら、ここではステップ301の特徴の幾つかを開示する。
【0028】
金融口座保持者は、認証セッションを開始するために金融機関事務部門セキュリティ保護の3つの段階を経る必要がある。最初の2段階は、金融機関EPSL口座番号、次に取引(預け入れ又は引き出し)固定PIN暗証番号の開示に基づいており、それらは、金融口座保持者及び金融機関事務部門にのみ知られていることになっている。金融口座保持者が、セキュリティ保護が保証されていない様々な専用通信回線を介して金融機関事務部門にアクセスできるので、3番目のセキュリティ保護段階が含まれる。第3段階は、金融機関事務部門と金融口座保持者間との対話形式に基づく。事務部門は、金融口座保持者に識別PIN暗証番号に関するある決まった通信セッションを特定する無作為の一組の数字を入力するように促し、その数字は金融口座保持者及び金融機関事務部門にのみ知らされる。第3セキュリティ保護段階により、エントリー装置及び通信回線自体での情報漏れのどのような可能性をも排除できる。第3段階処理中に要求される金融口座保持者からの無作為の数字の組み合わせを誰が傍受したとしても、それを再使用することも識別PINの完全な再構築をすることも不可能である。
【0029】
ステップ301のもう一つの特徴は、金融機関事務部門が金融口座保持者に予測取引金額を入力するよう求めることである。続いて、認証セッション302の完了時に、文字数字の取引署名が金融機関事務部門303で作成され、それが金融口座保持者に戻される。この署名は、金融口座保持者が要求する特定の金融取引額に限定されるものであり、かつ、限られた寿命を有し、その寿命は金融取引の実行に十分足る適正な時間間隔にデフォルトで設定される。文字数字の署名は又、一つの金融取引にのみ使用でき、再使用できないことに注意すべきである。
【0030】
金融口座保持者が特定の金融取引に関して認証されても、金融取引を止める余地はまだ残されている。取引実行のために、金融口座保持者は、販売側の当事者(商人又は銀行出納係)に金融機関EPSL口座番号に沿った文字数字の取引署名を提出する。文字数字署名も金融機関EPSL口座番号も、どんな私的個人情報を含むことはなく、その情報は、販売側の当事者に金融取引を続行するよう求める金融口座保持者と関連するものである。ステップ305で販売側の当事者は、金融機関事務部門CPU及びdBと承認セッションを開始する。金融口座保持者が提供する文字数字の取引署名及び金融機関EPSL口座番号の他に、販売側の当事者はビジネスID及び実際の取引金額を加え、続いて、金融機関事務部門での承認ために、このタイムスタンプされた一連の情報を送る。金融機関事務部門で承認セッションを実行するシステム及び方法に関する詳細は後述する。承認のため販売側の当事者(又は銀行出納係)が送る情報は、承認セッションの決定処理306用にとどまらず、同じく会計セッション完了307用として、十分なものである。この時点で、金融口座保持者の私的個人情報を販売側の当事者に開示することなく、金融取引を安全性の高い方法で完了する。
【0031】
上述の最高レベルの金融取引アーキテクチャは、オンライン及びオフラインの金融取引に適用可能である。販売地点で、(POS装置、GUI、通信回線の選択などのような)ハードウェア及びソフトウェア環境は、これらの2つの場合ごとに変化するが、私的かつ安全な金融取引の基本アーキテクチャは同じである。認証段階は、システムの最初の実行ステップとなり、優先順位及びセキュリティ強制力をもつ。金融口座保持者を認証するのは、もはや販売側の当事者ではなく、金融機関事務部門である。それは、販売側の当事者(又は銀行出納係)による不正、困惑及び私的個人情報の誤用を防ぐ。他の誰であっても本人に代わって取引できないので、金融口座保持者は金融取引を拒否できない。この開示されたシステム・アーキテクチャにおける金融取引の承認及び会計段階は、金融口座保持者による事前要求なしに始めることはできない。かくして、承認及び会計は、実際の金融口座保持者と結合しており、その一方で認証セッションは金融機関事務部門と緊密に結合している。
【0032】
図4に示すのは、(金融口座保持者側からの)EPSL認証セッションのフロー図である。基本的には、図3で先に示したステップ121−122−301−302−303のより詳細なフロー図であり、全てが、金融機関事務部門に関連する金融口座保持者の認証セッションを構成するものである。金融口座保持者が、金融機関事務部門と連絡可能な様々な装置及び通信回線を使用するよう想定されている。図4が示すように、通信装置の例としては、販売時点情報管理POS装置401、通常の電話回線及び携帯電話402、ネットワーク・コンピュータ403又はURL/GUI機能を備えたワイヤレス・オーガナイザ404及びインターネット(又はオンラインサービス専門の金融機関)405に接続されるデスクトップ・パーソナルコンピュータが含まれる。金融機関事務部門に接続されると、金融口座保持者は、最初に金融機関EPSL口座番号406(最初のセキュリティ段階)を入力するよう求められる。次に、金融口座保持者は、取引タイプ用固定PIN暗証番号407(第2セキュリティ段階)を入力すること及び識別PIN暗証番号408から要求の無作為数字の組み合わせ(第3セキュリティ段階)を入力することを求められる。最後に、金融口座保持者は想定取引金額409を入力する。ステップ406−407−408−409のいずれかを達成する際の失敗は、認証セッションを実行する金融機関事務部門による拒否につながる。この時点で金融口座保持者には、認証セッションの開始を再び試みるか、又は、2回目の拒否308後に金融機関EPSL営業担当者に連絡をとるかすることが期待される。こうしたステップの順調な完了にともない、文字数字の取引専用署名が金融機関事務部門で作成され、金融口座保持者303に戻されて終了に至る。ステップ409は認証セッションの最終ステップであり、それにより金融機関事務部門で会計セッションが開始される。このステップ409では、金融口座保持者が要求する取引金額を口座の利用可能額と比較する。予測額は、承認セッション要求中に販売側の当事者(又は銀行出納係)が後に明らかにする実際の額を下回るべきではない。注意すべき重要なことは、クレジット/デビット金融機関EPSLカードが紛失し、盗難に遭い又は不正使用として金融機関事務部門にリストアップされている場合には、ステップ303に至らず、ステップ409の認証段階が拒否されることである。金融口座保持者によって要求された取引金額が金融機関EPSL口座の利用可能額を超過する場合にも又、ステップ409の認証段階は拒否される。
【0033】
図5に示すのは、(金融機関事務部門CPU及びdB側からの)EPSL認証セッションのフロー図である。開示された金融取引システム・アーキテクチャにおいて認証セッションが中心的な位置を占める結果、認証セッションの処理に金融機関事務部門システムをどのように適合させるかを示すことが必要である。金融口座保持者は、図4に示すのと同じの方法で、かつ、同じの通信装置/チャネルを介して金融機関事務部門301と認証セッションを開始する。金融機関事務部門でAAAを実行する詳細なシステム及び方法は後述するが、認証セッションの特徴に固有の特徴をここで説明する。
【0034】
決定ステップ504で、金融機関EPSL口座番号の確認が順調にすすむと、口座番号検索プログラム(ACCOUNT NUMBER SEARCH PROGRAM)モジュール502が、金融機関事務部門CPU/dBで起動され、金融機関事務部門CPU/dBは認証セッションを次の決定ステップ506に移行する。ステップ506で、金融機関事務部門dBで取引種類PIN確認が順調にすすむと、取引PIN確認プログラム(TRANSACTION PIN VERIFICATION PROGRAM)モジュール503が起動し、認証セッションを決定ステップ508に移行する。ステップ508で、無作為の一組の数字が金融機関事務部門dBで確認されたと、識別PINランダムサブセット・ジェネレータ(IDENTITY PIN RANDOM SUBSET GENERATOR)モジュール505が、金融機関事務部門CPUで起動され、認証セッションを決定ステップ509に移行する。ステップ509では、認証セッション中に金融口座保持者が特定した取引金額が口座の利用できる資金を超えていない場合には、口座一致プログラム(ACCOUNT CONSISTENCY PROGRAM)モジュール507が、金融機関事務部門CPUにおいて起動され、認証セッションを決定ステップ511に移行させる。ステップ511では、金融機関EPSLカードが紛失、盗難に又は不正使用のリストにはなく、認証セッション全体の拒否に至るような事態にならなければ、認証セッションは金融機関事務部門で完了し、会計セッションが開始510される。そうでない場合には、認証ファイルが作成され、タイムスタンプされて、文字数字金融取引特定署名とともに金融機関事務部門dBに保管され、金融口座保持者に送られる。502、503、507及び510という多数のプログラムモジュールが金融機関事務部門ソフトウェア環境に組み込まれ、認証セッションを実行することが分かるであろう。これがまさに自動化された「クロック制御」AAAセッションの一部であり、金融機関EPSL技術が可能とする金融機関事務部門のシステム及び方法を構成するものである。
【0035】
図6は、EPSLアーキテクチャのインターフェース・プロトコルを示す。縦列はパラメータ処理のノードに対応する。升目のパラメータ名はパラメータがどこを起点にするかを示す。矢印の開始がパラメータの起点升目からの場合、矢印の先は、さらに処理を行うためにパラメータが送り出される場所を示す。矢印開始の升目が、同じ並びの、パラメータが始まっている升目の位置と異なる場合、この矢印は、早期に入れ替えて処理するためにパラメータが移される移動先の升目を示し、矢印が指す通りにそこから再び移される。
【0036】
パラメータACC#_{XYZ}601は、金融機関EPSL口座番号である。「XYZ」は、金融機関EPSL金融口座保持者をユニークに特徴づけるある種の番号を意味するようにはっきりと構築されるべきである。パラメータW_PIN602は引き出し取引PIN暗証番号である。パラメータD_PIN603は預け入れ取引PIN暗証番号である。パラメータW$604は、認証セッション中に金融口座保持者によって明示される引き出し取引額である。パラメータD$605は、認証セッション中に金融口座保持者によって明示される預け入れ取引額である。パラメータID_PIN606は、認証セッションの対話中に金融機関事務部門及び金融口座保持者が使用する識別PIN暗証番号である。パラメータ(W/D)#_GEN(ACC#_{XYZ}、(W/D)_PIN、ID_PIN、(W/D)$、TX1)607は、認証セッションが成功して終了した時に作成される文字数字署名である。(W/D)#_GENは、上記されているその他のパラメータの関数である。唯一不明なままのパラメータはTX1であり、それは認証セッションが成功して終了した時点である(図9参照)。パラメータT_INT((W/D)#_GEN(ACC#_{XYZ}、(W/D)_PIN、ID_PIN、(W/D)$、TX1))608は、時点TX1から数えられる時間間隔である。それは、認証セッションが成功して終了した時に金融機関事務部門で内部的に導き出される、特定の金融取引のための文字数字署名の有効期限を指定する。パラメータ(ACC#_{XYZ}_TX1 609は、認証セッションが成功して終了した時に金融機関事務部門の内部で定められる認証ファイル名である。パラメータ(ACC#_{XYZ}_TX2 610は、金融機関事務部門の内部で承認セッションの始めにおいて成功した入力データ転送の開始時に定められた承認ファイル名である。パラメータBUS#611は、承認セッション要求中に販売側の当事者が明示した商人/販売者/ベンダ標準ID番号である。パラメータT−AMOUNT612は、承認セッション要求中に金融取引を実行するのに必要とされ、かつ、販売側の当事者(又は銀行出納係)が明示した正確な金額である。
【0037】
図7は、EPSL承認セッションのフロー図を示す。これは、図3のステップ305−306−307と対応するものである。全てが金融取引の承認セッションを構成する。販売側の当事者は、承認セッションの開始時に、金融機関事務部門にアクセスし、金融口座保持者と同じ装置/通信回線401−405を用いて承認セッションを開始できる(図4−5参照)。金融機関事務部門でAAAを実行するシステム及び方法の詳細は後述するが、承認セッションの特徴に固有の幾つかをここで説明する。
【0038】
決定ステップ704では、口座番号が金融機関事務部門dBで有効であると確認されたことを条件に、口座番号検索プログラ(ACCOUNT NUMBER SEARCH PROGRAM)モジュール502が金融機関事務部門CPU/dBにおいて起動され、承認セッションを決定ステップ706に移行する。そうでない場合には、承認セッションは拒否される。決定ステップ706では、文字数字の取引署名が金融機関事務部門dBにおいて有効と確認されると、取引署名確認プログラム(TRANSACTION SIGNATURE VERIFICATION PROGRAM)モジュール703が金融機関事務部門CPUにおいて起動され、承認セッションを決定ステップ708に移行する。決定ステップ708では、販売側の当事者IDが法的に有効な商人リストにあると、ビジネスID確認プログラム(BUSINESS VERIFICATION PROGRAM)モジュール705が金融機関事務部門CPUにおいて起動され、承認セッションを決定ステップ709に移行する。決定ステップ709では、それぞれの認証セッションで金融口座保持者により入力される予測取引額が、承認セッション要求の間に販売側の当事者により入力される実際の額を上回るか又は等しいと、口座確認プログラム(ACCOUNT VERIFICATION PROGRAM)モジュール707が金融機関事務部門CPUにおいて起動され、承認セッションを決定ステップ306に移行する。決定ステップ306では、クレジット/デビットEPSL口座カードが紛失、盗難又は不正使用カードのリストになければ、金融機関事務部門は承認及び会計セッションを完了する。ここで、承認セッションが完了した後に、この特定口座に関係して一切疑わしい問題がないかどうかをチェックする。
【0039】
個々で注意すべきことは、502、703、705、707及び307という多数のプログラムモジュールが金融機関事務部門ソフトウェア環境に組み込まれ、承認セッションを実行するということである。後に明らかにされるが、これは自動化された「クロック制御」AAAセッションの一部であり、金融機関EPSL技術を可能にするために金融機関事務部門で実施されるシステム及び方法を構成するものである。
【0040】
図8は、EPSL取引チェックリストを示す。プラスの意味は、各列の特定パラメータが、最上段に明記されたAAAセッションの一つの実行中に、使用されていることである。マイナスは、パラメータが使用されていないことを意味する。
図9A、9B及び9Cに示すのは、「クロック制御」AAA技術に基づくEPSLアーキテクチャのタイミング線図、フローチャート及び機能線図を合成したものである。認証セッション(AUTHENTICATION SESSION)(番号のついていない点線で描かれた升目)に間係する部分は、すでに図4−5に提示されているが、承認セッション(AUTHORIZATION SESSION )(又、番号のついていない点線で描かれた升目)と呼ばれる部分は、図7で説明されていることが分かるであろう。
【0041】
金融機関事務部門は、グローバル・クロック・プログラム(GLOBAL CLOCK PROGRAM)モジュール902を有する。ハードウェア同等品は((10−1000)MHzの範囲内でほぼ標準的な歩度を持つ)、シリコンのデジタル集積回路内部クロックとして装備される。金融機関事務部門CPUで同様のクロックによって動くことができるモジュール902は、AAAセッション中にプログラムモジュール全てと同期する。認証セッション冒頭から始まり承認及び会計セッション終了までの各金融取引は、グローバルクロックが定めるそれらの時間的な位置に従って処理される。グローバルクロックはプログラムモジュール全てと同期する。どのプログラムモジュールも、その仕事が完了すると、他のプログラムモジュールの一つによって起動される。金融機関事務部門dB(例えば認証及び承認ファイル)に格納されている金融取引の重要な情報要素は、それらの時間的な位置に従って厳密に分析され、かつ、区別され、それは金融機関事務部門における決定処理の一部である。グローバルクロック・プログラムモジュールは、タイミング要素と識別パラメータに関連した金融取引、及び、金融機関事務部門における全EPSLシステムのプログラムモジュールとハードウェアとの同期を可能にするものである。
【0042】
金融口座保持者は、(上記3段階セキュリティ保護システムで述べた)一連の数字を入力することにより、上記装置/通信回線のいずれかを介して金融機関事務部門との間で認証セッションを開始する。通信セッションが始まると、口座番号検索プログラム(ACCOUNT NUMBER SEARCH PROGRAM)モジュール502が起動し、金融口座保持者に金融機関EPSL口座番号を入力するよう求める。金融口座保持者がACC#_{XYZ}601を入力し、ACC#_{XYZ}が有効であると確認されると、モジュール502は取引PIN確認プログラム(TRANSACTION PIN VERIFICATION PROGRAM)モジュール503を起動し、それ自体の実行を中止する。ACC#_{XYZ}が金融機関事務部門dBで確認されないと、金融取引の認証セッションは拒否され、モジュール502はモジュール503を起動することなく実行を中止する。決定ルーチンACC#504は、モジュール502の一部であり、かつ、金融機関事務部門dBでのACC#_{XYZ}の確認結果に基づき、モジュール503を起動するか否かの決定を行う。
【0043】
取引PIN確認プログラム(TRANSACTION PIN VERIFICATION PROGRAM)モジュール503が起動されると、金融口座保持者に取引PINを入力するよう要求し、W_PIN602又はD_PIN603が入力されると、このモジュールが実行される。モジュール503の一部である決定ルーチンT_PIN506は、(W/D)_PINが金融機関事務部門dBにおいて有効であると確認されると、モジュール503を中止し、識別PINランダム・サブセット・ジェネレータ(IDENTITY PIN RANDOM SUBSET GENERATOR)モジュール505を起動させる。そうでない場合には、ルーチンT_PIN506がモジュール505を中止し、金融取引認証セッションが拒否される。
【0044】
モジュール505は、起動されると、金融口座保持者に、一組の金融口座保持者識別PIN暗証番号ID_PIN606を構成する無作為の組み合わせ数字を順番に送信するよう要求を発して、次に、この対話式セッション(金融機関事務部門セキュリティ保護の第3段階)中に金融口座保持者から入力された受信回答の分析を実行する。モジュール505の一部である決定ルーチンID_PIN508は、モジュール505の要求ごとに金融口座保持者によって入力される一組の無作為数字が金融機関事務部門dBにおいて積極的に有効化されることを条件に、モジュール505を中止し、金融取引事務部門の口座一致プログラム(ACCOUNT COCSISTENCY PROGRAM)モジュール507を起動する。そうでない場合には、ルーチンID_PIN508は、モジュール507を起動することなくモジュール505の実行を中止し、かつ、金融取引認証セッションが拒否される。
【0045】
金融機関事務部門の口座一致プログラム(ACCOUNT COCSISTENCY PROGRAM)モジュール507が起動されると、金融口座保持者に予測引き出し取引額W$604又は予測預け入れ取引額D$605を入力するよう求め、(W/D)$が入力されると、このモジュールが実行される。モジュール507の一部の決定ルーチン509は、W$がこの金融機関EPSL口座で利用可能な金額を超過していないと、モジュール507を中止し、取引署名ジェネレータ(TRANSACTION SIGNATURE GENERATOR)モジュール905を起動させる。そうでない場合には、ルーチン(W/D)$509は、モジュール905を起動することなくモジュール507の実行を中止し、かつ、金融取引認証セッションが拒否される。
【0046】
取引署名ジェネレータ(TRANSACTION SIGNATURE GENERATOR)モジュール905は、起動されると、先のステップ504、506、508及び509の全てが成功したことを条件に、文字数字署名を作成する。モジュール905の一部である決定ルーチン(W/D)#_GEN511は、クレジット/デビット金融機関EPSL口座カードが紛失、盗難又は不正使用カードのリストにないことを条件に、モジュール905を中止してモジュール904を起動させる。同時に作動中のモジュール904、ルーチン511は、文字数字の取引署名を金融口座保持者510に送る。
【0047】
確認ファイル・ジェネレータ(AUTHENTIFICATION FILE GENERATOR)モジュール904は、起動されると、認証セッション:ACC#_{XYZ}601、(W/D)_PIN602又は603、ID_PIN606、(W/D)$604又は605、及び、(W/D)#_GEN607の最中に、一ヶ所に集められた情報の一部又は全てを含んだ電子記録を作成する。その記録には、金融機関EPSL口座番号及び時間記号TX1の組み合わせであるACC#_{XYZ}_TX1609というファイル名を付ける。TX1は、ファイルACC#_{XYZ}_TX1907が金融機関事務部門dBで作成される時点を指す。実際には、金融口座保持者が、要求された金融取引のための文字数字署名を取得するのと同時である。時間記号TX1は、この例では金融口座保持者及び金融機関事務部門の認証セッションの終了時に割り当てられる。ACC#_{XYZ}_TX1のファイル名をもつ認証記録は、金融機関事務部門dBに導入される作動システム(例えば、UNIX(登録商標)/Solaris又はWindows(登録商標)NT)の種類を問わず、作成可能である。モジュール904は、時点TX1でモジュール901を起動させる。
【0048】
時点TX1から始まる金融機関事務部門の監視プログラム(WATCHDOG PROGRAM)モジュール901は、(金融機関事務部門CPU及びdBの実際のハードウェア/ソフトウェアの装備により例えば数ミリ秒から数秒まで変動し得る)短い各時間間隔後に、金融機関事務部門dBを検索する。検索では、同じルート名ACC#_{XYZ}及びTX1より大きな末尾TX2(TX2>TX1)を有するもう一つの記録が存在するかどうか、をチェックする。モジュール901は、時間間隔T_INT608の間に、この作動モードで動作可能であり、その時間間隔はモジュールはTX1で始まり、認証セッション後に金融機関事務部門において予測金融取引を実行するのに相当する時間(例えば、30分)に設定される。そうでなければ、金融口座保持者が、それを認証セッション中に特定の範囲内(例えば、15分から数時間まで)で選択できる。ACC#_{XYZ}_TX2 906のファイル名をもつ記録は、金融機関事務部門の監視プログラム(WATCHDOG PROGRAM)モジュール901が検索するものであり、承認セッション中に金融機関事務部門で販売側の当事者の要求により作成される。時点TX1で完了する認証セッションに引き続いて承認セッションがあり、時点TX1後の幾分遅れた時点TX2で金融機関事務部門が認証記録を作成する中間段階を有する。承認ファイルアーキテクチャ及びその「クロック制御」AAA技術の役割に関しては、承認セッションの説明とともに後述する。
【0049】
金融機関事務部門の監視プログラム(WATCHDOG PROGRAM)モジュール901は、時点TX1+T_INTで承認ファイル906の検索を中止する。その時間後に販売側の当事者が開始する承認セッションのどれもが、取引署名の時間切れというメッセージで拒否される。金融口座保持者が同じ金融取引を起こすためには、別の認証セッションを開始する必要がある。厳密にいうと、モジュール901は、連続する検索セッションの間で徐々に延長される時間間隔(例えば、TX1+T_INT<t<TX1+2*T_INTの2倍間隔、TX1+2*T_INT<t<TX1+3*T_INTの3倍間隔など)を有する時点TX1+T_INT後にも、金融機関事務部門dBの検索を維持する。しかしながら、その機能は変更される。承認ファイルが見つかったとき、モジュール901は、金融取引は時間切れであるというエラー・メッセージでもって金融取引を禁じる。ある決まった時点(例えば、TX1+10*T_INT)において、モジュール901は、承認ファイルACC#_{XYZ}_TX2 906の検索を完全に中止する。同じ金融取引のために販売側の当事者が開始する承認セッションのどれもが、この後は簡単に拒否される。
【0050】
モジュール901の検索繰り返し時間間隔が時点TX1+T_INT後に徐々に延びていく理由は、金融機関事務部門CPUの負荷を減らすことにある。取引署名の有効期限を設け、それらを特定金融取引に限定することにより、こうした署名の解読に基づく不正行為を排除できる。それは、セキュリティ保護のない通信回線及び回線入出力装置の使用上で、セキュリティを大幅に向上させるものである。特に重要なことは、オンライン金融取引のためであり、EPSL技術をオフライン金融取引と同様に、電子商取引のための最適のアーキテクチャとすることである。
【0051】
金融口座保持者は、認証セッションの終了時の文字数字取引署名の取得後に、販売側の当事者(又は銀行出納係)に申し入れる。販売側の当事者(商人又は銀行出納係)は、可能な限り認証セッション中に使用するものと同じ装置/通信回線を用いて、金融機関事務部門との承認セッションを開始する(金融機関GS.4−5参照)。販売側の当事者は、金融口座保持者から金融機関EPSL口座番号及び金融取引文字数字署名を取得する。次に、販売側の当事者は、金融取引の実行に必要な標準ビジネス確認(商人)番号BUS#611及び実際の取引金額T−AMOUNT612を追加する。これらは、会計セッション中に金融機関事務部門での会計処理をするために、承認処理に追加される。
【0052】
決定ステップ704では、販売側の当事者がACC#_{XYZ}601を送り、それが金融機関事務部門で受け取られると、口座番号検索プログラム(ACOUNT NUMBER SERCH PROGRAM)モジュール502が起動される。次に、モジュール502は、ACC#_{XYZ}601が(金融機関事務部門dBで有効と確認された)正規のものであることを条件に、2つのステップを実行する。モジュール502は、金融機関事務部門での承認セッション開始を実際に表示する時点TX2で、承認ファイル・ジェネレータ(AUTHORIZATION FILE GENERATOR)モジュール903を起動させる。モジュール903は、金融機関事務部門dBにACC#_{XYZ}_TX2 906のファイル名をもつ承認記録を作成し、承認セッション入力情報全てがステップ706−708−709を経て、最終的に承認記録ACC#_{XYZ}_TX2に集合されるまでの間は、稼動中に維持される。第2ステップにおいて、再び口座番号601が金融機関事務部門dBで有効と確認されたことを条件に、モジュール502は、承認セッションを決定ステップ706へと移行する。そうでない場合には、金融機関事務部門の専用装置701介して承認セッションが拒否され、不正確な金融機関EPSL口座番号というエラー・メッセージが販売側の当事者に通知される。
【0053】
時点TX1で起動する監視プログラム(WATCHDOG PROGRAM)モジュール901は、金融機関事務部門dBを定期的に検索し続ける。それは認証記録ACC#_{XYZ}_TX1を補完する承認記録を探しており、承認記録ACC#_{XYZ}_TX2が作成されていると、モジュール901は最終的にそれを見つけ出す。時間間隔TX1<t<TX1+T_INTの中に承認記録が作成されていると、承認セッションが続く。そうでない場合には、それは拒否される。承認ファイルが見つかり、それが作成された時間に関して有効と確認された直後に、監視プログラム(WATCHDOG PROGRAM)モジュール901は、取引署名確認プログラム(TRANSACTION SIGNATURE VERIFICATION PROGRAM)モジュール703、会計セッション確認プログラム(ACCOUNTING SESSION VERIFICATION PROGRAM)モジュール707及びビジネスID確認プログラム(BUSINESS ID VERIFICATION PROGRAM)モジュール705を起動させる。これら全のモジュールは承認記録で探索する情報処理を開始し、又は、ステップ706−708−709を経て求める情報が現れるまでこの記録で定期的に探索を続ける。
【0054】
決定ステップ(W/D)#_GEN706では、既に金融取引の文字数字署名が販売側の当事者から金融機関事務部門に転送されており、かつ、(未だモジュール901により起動されていない場合には)モジュール703が起動され、認証記録及び承認記録の文字数字署名の比較を行う。それらが一致すると、モジュール703は、承認セッションを決定ステップBUS#708に移行する。そうでない場合には、承認セッションは、取引署名が誤りというエラー・メッセージとともに拒否される。
【0055】
決定ステップBUS#708では、既に販売側の当事者ビジネスID BUS#611が販売側の当事者から金融機関事務部門に転送されており、かつ、ビジネスID確認プログラム(BUSINESS ID VERIFICATION PROGRAM)モジュール705は、未だモジュール901により起動されていない場合に、起動される。モジュール705は、販売側の当事者BUS#が有効な合法商人一覧にあるかどうかチェックし、それから承認セッションを決定ステップT−AM709に移行する。そうでない場合には、承認セッションは、商人IDが誤りというエラー・メッセージとともに拒否される。
【0056】
決定ステップT−AM709では、販売側の当事者が特定し、販売側の当事者から金融機関事務部門に転送された正確な取引金額T−AMOUNT612が承認記録906に書き込みされ、モジュール901により未だ起動されていない場合には、会計セッション確認プログラム(ACCOUNTING SESSION VERIFICATION PROGRAM)モジュール707が起動される。モジュール707は、承認記録906からT−AMOUNTを読み出し、それが認証記録907で特定された引き出し又は預け入れ額(W/D)$より少ないか又は等しいかどうかをチェックする。T−AMOUNTが少ないか又は等しい場合(=<)(W/D)$(T−AMOUNT=<(W/D)$)には、モジュール707は、金融口座保持者の金融機関EPSL口座におけるT−AMOUNTをロックし、(カード発行会社への取引手数料を控除し、取得銀行又は独立販売機関に対する割引手数料を控除した後に)販売側の当事者に支払を保証する。ここで認証セッションに続いて実行される会計セッションが完了する。
【0057】
決定ステップT―SIGN VERIF908において、承認記録906及び認証記録907を比較した後に、モジュール502及び703が金融取引を肯定的に識別すると、承認セッションは決定ステップ306に移行される。そうでない場合には、承認セッションは、金融機関事務部門において専用装置/チャネル701を介して拒否される。
【0058】
決定ステップACC−VARIF306では、モジュール705及び707が金融機関事務部門dBにおいてBUS#611及びT−AMOUNT612を肯定的に識別したことを条件に、会計セッションが完了して、金融取引が許可される。そうでない場合には、金融取引は拒否される。このように会計セッションの順調な完了は、承認処理全体の重要部分である。会計セッションが順調に完了し、かつ、クレジット/デビット金融機関EPSL口座カードが紛失、盗難又は不正使用カードのリストになければ、承認コードは、金融機関事務部門から専用装置/チャネル909を介して金融口座保持者に送られる。認証セッションは完了しているので、ここで、この特定口座に関して疑わしい問題がないかどうかを再度チェックすることができる。認証及び承認記録は、それらの収容が済むまで稼動中の会計管理用に金融機関事務部門dBで保管される。
【0059】
上記金融機関事務部門における「クロック制御」AAA技術に関する特徴を何点か記す。最初に、この技術を用いて請求戻しをする方法を説明する。請求戻しは、販売を行った販売側の当事者に請求を差し戻すクレジットカード取引である。これは、金融口座保持者が、製品が未配達で、又は、何らかの点で製品に不満であると主張することにより、請求書の支払に異議を唱えたときに生じる。販売側の当事者及び金融口座保持者が請求戻し及びその額に同意すると、金融口座保持者は、認証セッション中に(購入/販売取引のために通常使用されるW_PINの代わりに)D_PIN暗証番号を用いて預け入れ金融取引の認証を行うよう金融機関事務部門に要求する。次に、金融口座保持者は、EPSL口座番号と一緒に文字数字署名を販売側の当事者に提出する。換言すると、請求戻しは、金融機関事務部門で作成される取引署名が預け入れ金融取引のためのであるという点でのみ異なる通常の金融取引として、実行される。引き続き、販売側の当事者は、引き出し金融取引と同じ方法で、この金融取引を承認するよう金融機関事務部門に要求する。取引が金融機関事務部門で承認されると、金融口座保持者への払い戻しを保証するためにこの商人の口座がある取得銀行又は独立販売機関に、請求戻し額のロック要求が送られる。EPSL請求戻しの仕組みにより、販売側の当事者に金融口座保持者の私的個人情報を明かすことなく、標準EPSLアーキテクチャ(先の図3を参照)内で金融取引を実行できる。
【0060】
金融機関事務部門の「クロック制御」AAA技術は、販売側の当事者が要求する承認セッション中に、特定装置及び/又は通信回線の入力データ流量と独立して、彼らに情報を提供するように適用させている。極端なケースとして、販売側の当事者がACC#_{XYZ}、(W/D)#GEN、BUS#及びT−AMOUNTを手動で入力したときに、モジュール502がACC#_{XYZ}を確認し、承認記録ACC#_{XYZ}_TX2 906が金融機関事務部門dBにおいて作成されると、モジュール901によりモジュール703、705及び707が起動される。以下のパラメータが入力されるまで、このファイルは、しばらくの間、空の場合がある。そのときまで、上記の各モジュール703、705及び707は定期的に承認ファイルを探索し、かつ、目的とするパラメータが金融機関事務部門に届き、承認ファイルに書き込まれると直ちにそれを拾い上げる。一方、販売側の当事者が、上に列記されているパラメータに対する高速電子データ入力を可能にする専用の販売時点情報管理POS装置を使用する場合には、モジュール703、705及び707は、起動された後、非常に早い時点で、承認ファイルACC#_{XYZ}_TX2の中に必要とされるパラメータを見つけ出す。ここでは、モジュール901より先に決定ルーチン706、708及び709が、モジュール703、705及び707を起動することができる。それは、金融機関事務部門の「クロック制御」AAA技術のハードウェア及びソフトウェア装備がもつ特性による。要するに、金融取引承認セッション処理時間は、金融機関事務部門の「クロック制御」AAA技術により制限されることはなく、販売側の当事者の所在地の入力データ流れの速さにより制限される、ということができる。
【0061】
EPSL「クロック制御」AAA技術の認証セッションは、時間が制限されておらず、又、金融口座保持者の装置(例えば、スマートカードや携帯電話)と金融機関事務部門との自動化された電子的対話に置き換えることはできない。その理由は、それらが、第3セキュリティ保護段階を構成している金融口座保持者と金融機関事務部門間の対話式通信セッションを含むためである。これは、金融機関EPSL技術セキュリティ保護とこの技術を利用する上での不都合との、ある種のトレードオフである。都合のよいことには、EPSL技術の認証セッションは金融取引に先立って実行され、かつ、金融口座保持者は、金融機関事務部門からの取引署名取得に都合の良い時間を選択できる。認証セッションの完了後、販売側の当事者への提出前までに金融口座保持者が取引署名を保管する方法は、いろいろあり得る。帳面にそれを書きとめるだけの方法から、スマートカード、ワイヤレス接続機能をもつデジタル・パーソナル・オーガナイザ及び読み取り/書き込み機能をもつその他の電子装置等の装置内に電子的に格納する方法まで多岐に及ぶ。
【0062】
スマートカード技術は、EPSL技術を、金融口座保持者及び販売時の第三者にとって、よりいっそう快適なものとするのに申し分ないものである。スマートカードは、認証セッション中に金融取引署名をスマートカードに書き込む金融機関事務部門と金融口座保持者との中間情報搬送装置として使用できる。次に、販売地点でスマートカードからそれを読み出すことで、承認セッション要求をスピードアップすることができる。このように、署名は再使用ができないので、スマートカードのセキュリティ保護に関して問題はない。販売地点での予定した金融取引に現在の金融取引署名を使用できなくなる前にスマートカードが紛失され又は盗難に遭ったとしても、要求される額(W/D)$がいくらであるか、又、この取引署名は有効期限切れまであとどのくらいかということを知る者はない。さらに、カードが署名を含んでいるという事実さえ明らかではない。そのため、この場合でさえ不正行為が不成功となる可能性は高い。その上に、スマートカードが金融機関EPSL口座番号を含んでいるとは限らない(EPSLメンバーシップカードに含まれている可能性がある)。この場合には、スマートカードは、不正行為に対していつでもセキュリティの絶対的保護を有する。
【0063】
携帯電話、ネットワーク・コンピュータ又は情報読み取り/書き込み機能をもつ他の携帯用電子装置は、金融機関事務部門と販売側の当事者との間で、一つの特定金融取引(金融取引文字数字署名)用の認証情報中間搬送装置として機能するスマートカードと、便利さにおいて同等の機能を持たせることができる。
【0064】
最後の特徴は、ATMステーションで「クロック制御」AAA技術を備えた金融機関EPSLアーキテクチャを利用することに関する。金融口座保持者は、営業前、又は営業中のATMステーションで、引き出し金融取引を行うために認証セッションを実行できる。いずれにしても、金融口座保持者は、金融機関事務部門との認証セッションが完了すると、販売地点にあるATMステーションのようなATMステーションで操作を行うが、それはATMステーションのハードウェア及びソフトウェアがEPSLアーキテクチャで承認要求を実行できるよう変更されてことが条件である。このことは、個人情報の完全なプライバシーを守る一方で、ATMステーションでの金銭引き出しセッションの安全性を著しく高め、又、情報が目を付けられたり、盗まれたり、又は不正使用されたりするのを防ぐことができる。
【0065】
最後に、極めて安全な金融取引のためのあらゆるケースにおいて、説明した改革は、オンライン及びオフラインで、及び、私的及び非私的なセッションで利用可能である。金融口座保持者が金融取引のプライバシーに関心がない場合、金融口座保持者名がカードに収められ、「クロック制御」AAA技術で利用できるもう一つのパラメータとなることができる。一方、非私的な金融取引に対するEPSL金融取引アーキテクチャ及び「クロック制御」AAA技術の利用は、オンライン及びオフライン金融取引のセキュリティを向上(本質的に「完全である」)させる。非私的な金融取引に対する金融機関事務部門のEPSLアーキテクチャ全体及び「クロック制御」AAA技術は、第4セキュリティ段階と見なすことができるのに対して、私的な金融取引の場合はなお第4セキュリティ階層であり、主要な組み込み式プライバシー階層でもある。
【0066】
本発明は、私的かつ安全な取引のためのシステム及び方法の好ましい実施形態と関連させ説明されてきたが、好ましい実施形態は、本発明を実現し、利用する方法の説明目的として用いられたことが理解されるべきである。さらに、本発明に関する他の変形及び変更の実施及びその様々な態様は当業者に明白であること、及び、本発明は、上述した、このような望ましい実施形態に限定されるものではないことが理解されるべきである。本発明は、そのため、以下の請求項に開示された基本的な発明思想の精神及び範囲内にある、あらゆる変更、変形、均等技術を含むことを意図している。
【図面の簡単な説明】
【0067】
【図1A】引き出し/預け入れ取引を実行するための通常システムに関するブロック図である。
【図1B】購入/販売取引を実行するための通常システムに関するブロック図である。
【図2】クレジットカード又はデビットカードによる購入/販売取引中に、認証、承認及び会計セッションを実行するための通常システム及び方法に関するブロック図である。
【図3】購入/販売又は引き出し/預け入れ取引のいずれかの組み込み式プライバシー&セキュリティ・レイヤEPSLアーキテクチャに関するフロー図である。
【図4】金融口座保持者側におけるEPSL認証セッションに関するフロー図である。
【図5】金融機関事務部門CPU及びdB側におけるEPSL認証セッションに関するフロー図である。
【図6】EPSLアーキテクチャに関するインターフェース・プロトコルである。
【図7】EPSL承認セッションに関するフロー図である。
【図8】EPSL取引チェックリストである。
【図9A】「クロック制御」AAA技術に基づくEPSLアーキテクチャに関するタイミング線図、フローチャート及び機能線図を合成したものの一部である。
【図9B】「クロック制御」AAA技術に基づくEPSLアーキテクチャに関するタイミング線図、フローチャート及び機能線図を合成したものの別の一部である。
【図9C】「クロック制御」AAA技術に基づくEPSLアーキテクチャに関するタイミング線図、フローチャート及び機能線図を合成したものの残りの一部である。
【符号の説明】
【0068】
121・・・金融口座保持者
122・・・取引決定
302・・・認証セッション
303・・・金融機関事務部門
【技術分野】
【0001】
本発明は、私的で安全な取引のためのシステム及び方法、より具体的には、金融機関内及び商人/販売者/ベンダ取引処理システムとの私的で安全な購入/販売又は引き出し/預け入れ取引環境を提供するシステム及び方法に関する。
【背景技術】
【0002】
購入/販売及び引き出し/預け入れを含む基本的な金融取引では、金融口座保持者、口座のある金融機関及び商人/販売者/ベンダ又はその他販売側の当事者を、個人情報の盗難及び不正取引から守るために、常にセキュリティが必要とされてきた。取引実行の新たな手段としてコンピュータ・ネットワーク及び電子商取引の利用の広範な普及の結果、金融取引の有効性及び健全性を維持するべく新たな要件が生まれつつある。金融取引中に得た消費者の私的個人情報を収集し、分類し、調査し、かつ、販売して利益を得る企業が存在する。金融取引中の顧客プライバシーを保護する有効なシステム及び方法の提供は、有益である。更に新たな要件は、コンピュータ・ネットワークに不法アクセスするハッカー及び侵入者が金融取引を傷つけることができるという事実と関連する。取引セキュリティのこうした側面は、Veil等の米国特許第6092202で扱われている。
【0003】
金融取引の歴史全体を通して、プライバシー及びセキュリティは、最高の現代技術により取り組まれてきた。コンピュータ・ネットワーク時代の幕開け以来、金融機関は、セキュリティ及びプライバシーのために、コンピュータ能力、リレーショナル・データベース、ソフトウェア環境及び通信回線を利用してきた。銀行、次にクレジットカード会社、ついには証券会社及び他の金融機関が、それらを利用し、金融取引中の事務部門で、AAAと呼ばれる認証、承認及び会計を実行してきたのである。
【0004】
クレジットカードでの金融取引では、金融取引認証段階の実行における弱点に起因して重大な損失を生じる。販売側の当事者は、(もしあれば)カード上及び販売伝票上の人による署名を視覚的に比較する。この作業は、不正行為の場合であれば、身分確認時に偽署名を見誤りやすい。金融口座保持者が未署名のクレジットカードを紛失した場合には、金融取引を要求する前にカードにどんな署名でもすることができるため、署名を偽ることは容易である。金融取引の認証段階が機能しない典型的な別の例は、他者がクレジットカード顧客番号と同カード所有者署名の写しを入手したときに起こる。こうした不正は、盗難にあわないクレジットカードであっても起こり得る。金融機関が損失を被るもう一つの例は、金融口座保持者が金融取引完了後に変心する時に、本人が原因で起きる。金融口座保持者は、何者かが自分になり代わり取引をしたと主張することで、金融取引を否定できるからである。
【0005】
こうした例が示すのは、金融取引の認証段階で金融取引アーキテクチャの改善が、真に、かつ、相当に必要であることである。偽のクレジットカード所有者の認証ミス、引き続いて何事もなく金融機関事務部門で承認及び会計処理されるという事実は、金融取引アーキテクチャのもう一つの弱点を物語る。承認及び会計段階は実際の金融口座保持者と分断されており、その一方で、認証段階は金融機関事務部門コンピュータと分断されている。
【0006】
電子商取引開始以来、クレジットカードは金融取引手段として利用されてきたが、アーキテクチャ上の問題が数多く明らかになっている。例えば、クレジットカード・データ、社会保障番号、カード所有者名、電話、住所等は、インターネットを介して転送される間に絶対安全ということはなく、通信チャネルの漏洩によって「悪の手」に落ちる可能性がある。インターネット又は他の通信チャネルを介した高速データ移動は、金融取引にとって大きな利点であるが、データのセキュリティが不十分であることから、(インターネット及びインターネット以外も同様の)通信回線でのデータ漏洩の可能性を避けるため、金融取引アーキテクチャの変更が強く望まれていることは、明らかである。
【0007】
【特許文献1】米国特許第5485510号
【特許文献2】米国特許第6052675号
【0008】
電子商取引の金融取引を脅かしているもう一つの問題は、クレジットカードを用いた金融取引承認段階の弱点である。承認段階又は会計処理段階のいずれも、金融口座保持者により積極的な管理及び時間設定が行われるものではない。詐欺取引の多くは、金融口座保持者が本人の口座に対する実権を取り戻す以前に生じることが多い。Colbert の特許文献1及びChecchioの特許文献2は、金融取引のセキュリティを強化するために金融取引承認段階を改善する試みを開示した。コルバートの特許は、金融口座保持者が商人(ベンダ)に申請することに先立ち、金融口座保持者の承認を行うよう金融取引を変更することを提案したものである。金融機関事務部門に提供される情報は、クレジットカード顧客番号、秘密PIN及び商人/金融取引専用情報(少なくとも商人ID番号及び金融取引額)を含む。従って、商人は承認コードのみ与えられるので、カードの紛失又は盗難の場合にも、カード番号及びPINは商人を始め誰にも知られることはない。商人が承認コードではなくクレジットカード顧客番号を取得することを除くと、同様のアーキテクチャがチェッキオの特許の中で提案されている。ここでは、金融取引が事前承認であるため、商人は、金融機関事務部門にクレジットカード顧客番号及び商人/金融取引専用情報を送り、金融口座保持者が事前の承認段階中に、情報と既に提供済みのデータと比較する。カードの紛失又は盗難があっても、商人に限らず誰でも秘密PINを知ることなくカードを使用することはできない。
【0009】
両特許は、ある種の取引のためのクレジットカードに関する不正使用に対してセキュリティを改善するものであるが、取り組むべきことに限界がある。両特許は、金融機関事務部門への連絡時の電話回線に焦点が当てられている。電話回線で一組の固定番号を頻繁に使用することにより回線入口及び回線自体での漏洩が原因で、安全ではない。電話回線をワイヤレス又はインターネット通信回線に交換しようとすると、この問題が悪化する。両特許に共通するもう一つの弱点は、金融機関事務部門が、大量の金融取引のために提案されるアーキテクチャ上の変更を、いかに取り扱うかということに関するシステム及び/又は方法の欠如である。金融取引アーキテクチャでは、金融口座保持者、金融機関及び販売側の当事者が、相互依存の関係になるようにカバーされるべきである。承認段階の前に、販売側の当事者及び他金融取引機関の具体的内容について知識を持つことの必要性について、提案されている両改革は更に限界がある。それにより、実行可能な金融取引の種類及び金融取引の実行を受けることのできる場所が狭まることになる。
【0010】
社会的関心は、電子商取引チャネル及び他の通常チャネルのいずれにおいても、クレジットカードでの金融取引が、私的個人消費者情報をアクセスし、監視し、追跡し、盗難及び不正使用し、又は、通常その消費者の了承なしに利益目的で販売されるという結果につながることである。高度なインターネット関連技術が情報収集、処理及びその他の情報と関連付けを容易にした結果、プライバシーに関する問題を悪化させている。
【0011】
数々のプライバシー問題を招いているのは、クレジットカードでの金融取引に限らない。金融口座保持者は、銀行での標準的な引き出し/預け入れの金融取引中でさえ、銀行出納係が金融口座保持者の私的個人情報ファイルにアクセスするのを必ずしも好まないであろう。金融口座保持者が、銀行出納係にこの特権を与えるか否かを決定できれば好都合であろう。大抵の場合、銀行での引き出し/預け入れの金融取引は、金融口座保持者身分証明書類を提示するよう求めるが、それは、金融取引中の認証アーキテクチャの現状によって正当化されたものであるとしても、プライバシーに関する一つの不都合ととらえることができる。
【0012】
図1に示すのは、通常の引き出し/預け入れ取引実行システムのブロック図である。金融取引実行のためには、法律上の成人101(又は法人)は、金融機関に口座を有することが想定されている。標準的には、口座申請手続き中に私的個人情報プロフィル102を金融機関に開示する。ステップ104で、口座開設を許可した金融機関は、金融機関事務部門で個人記録ファイルを作成し、引き出し/預け入れ方法を設定し、個人用小切手及びカードを発行する。かくして、法律上の成人101であるか法人であるかを問わず金融口座保持者は、預け入れ105又は引き出し106の取引を実行できる。銀行又は証券会社107に対する典型的な預け入れ取引は、本人が特定された預け入れ伝票109を用いて直接又は郵送で行われるか、又は、本人記名の小切手の提出及び本人口座番号の開示によって行われる。保険117及びクレジットカード会社115は、預け入れ取引のもう一つの方法を利用して、金融口座保持者からの支払明細を受領する。金融口座保持者は、小切手110、デビットカード112又はインターネット113を介してグラフィカル・ユーザー・インターフェース(GUI)を利用して、銀行又は証券会社108との引き出し取引をする。クレジットカード116は、(Visa及びMaster Cardのような銀行、American Expressのような銀行であろうが)クレジットカード会社との引き出し取引をするための典型的な方法である。金融口座保持者が保険会社118との取引時に利用する、もう一つの引き出し方法がある。保険証券に従って支払請求120を行うことである。
【0013】
上述の預け入れ/引き出し取引システムには欠陥があり、それは、取引をする金融口座保持者及び金融機関のプライバシーとセキュリティに関する下記のものである。
1)金融口座保持者が、口座のある銀行及びその支店から離れた地点にいる場合に、直接かつ緊急の預け入れ取引が妨げられる可能性がある。他の金融機関経由での本人口座への入金が、金融口座保持者の私的個人情報を明かすことなく、他の金融機関の仲介サービスレベルで可能となるようにすべきである。
2)銀行出納係は、入金中に、口座保持者の私的個人情報にアクセスする。ここに2つの問題がある。第1に、いかなる即時対応の金融機関事務部門CPU及びdB管理装置がないとすると、出納係は、個人及び口座残高情報を変更する間違いをする可能性がある。換言すると、各預け入れ取引に間違いを生じさせ、銀行及び口座保持者に被害をもたらす恐れがある。第2に、口座保持者は、直接入金中に、銀行出納係が口座保持者の私的個人情報ファイルにアクセスすることを好まないであろう。この段階で、口座保持者自身が、この特権を銀行出納係に与えるべきかどうかを決定できるのであれば好都合であろう。
3)小切手、クレジット、チャージ、デビットカードによる引き出し取引中の盗難及び不正、又は、電子商取引の金融取引中の盗難及び不正に対する保護が不十分である。
4)販売側の当事者又は引き出し取引中の銀行出納係が、私的個人情報を守らず、ときに作為的に又は不作為的に誤用する。
【0014】
図1Bに示すのは、購入/販売取引実行システムのブロック図である。金融口座保持者121が購入決定122をして販売側の当事者に申し込みを行うと、現金124、クレジットカード116、デビットカード112、小切手110又は電子商取引125を通して実際の販売取引を可能とする。現金は低額金融取引には手軽であるが、手元には低額現金しかないため、通常の高額金融取引には実用的ではない。現金以外の、クレジットカード116、デビットカード112、電子商取引125、小切手110のような他の全ての金融取引手段は、いずれにしても私的個人情報127の全面的又は部分的開示につながり、そのために、私的個人情報の誤用及び不正行為128を起こしやすい。
【0015】
図2に示すのは、クレジットカード、チャージカード又はデビットカードを用いた購入/販売取引中に、実行される通常の認証、承認及び会計システム及び方法のブロック図である。図1B及び図2に示すように、金融口座保持者121が購入決定122をして販売側の当事者に申し込みを行うと、販売時点情報管理(POS)装置がクレジットカードの固定情報を走査し、金融機関事務部門に価格(取引金額)を明示して承認要求を送信して、引き出し取引205を実行する。金融機関の事務部門CPUは、この口座のデータベースに十分な資金があるかどうかを調べ、もしイエスであれば、そのカードはデータベースに紛失、盗難又は不正使用として記録されていないのであれば、(CPUは承認コードをPOS装置に送り)引き出し取引206を承認する。ステップ205及び206が金銭取引の承認段階201を構成する。注意すべきは、クレジット/デビットカードを用いた通常の金融取引システムでは、承認段階は金銭取引の認証及び会計段階に先立って実行されるということである。
【0016】
取引承認が販売側の当事者206に送信されると、最初の会計ステップ202が実行される。取引中の口座は保管された総額をそのままにして、販売側の当事者207に支払保証をする。支払は、カード発行銀行の取引手数料を控除し、販売側の当事者に商売状況を提供した取得銀行又は独立販売機関に対する割引手数料を控除した後に実行される。ステップ207が完了すると、金融機関事務部門は、請求される支出限度額が超過していないことを条件に、同じ金融口座保持者による次の取引の準備に入る。
【0017】
次に、クレジットカードが署名されると、販売為替手形の署名及びカード署名をオフライン金融取引208用に販売側の当事者と視覚的に比較される。カード署名がなされていないと、金融口座保持者209に身分証明書類を要求する。ステップ208及び209は、通常のオフライン金融取引システム用の金融取引203認証段階に関する構成要素である。ここで注意すべきことは、クレジット/デビットカード利用に基づくオンライン金融取引システムの通常の電子商取引では、ステップ208が飛ばされ、代わりにステップ209が実施されて、金融口座保持者の私的個人情報について、オフライン金融取引の場合よりもかなり広範な開示が求められるということである。次に、会計段階204の最終段階が実行される。ステップ210は以下の手順を含む。販売側の当事者は、営業時間後に一括処理される販売バッチ内の販売為替手形を取得銀行(又は独立販売機関)に送る。取得銀行は、それぞれのバッチ部分をカード発行銀行に転送して支払処理を解除し、商人協定で特定された控除の後に、それを商人口座に振り込む。かくして、数日内に商人口座に入金される。
【0018】
図2に示すクレジット/デビットカードに基づいた通常の金融取引アーキテクチャは、本発明が取り組む以下のような弱点を有する。
1)認証段階は、金融機関事務部門CPU及びdBとは分断されており、現実感がうすく、困惑させ、エラー及び不正を生じさせやすい。
2)承認段階は、オン又はオフラインの両回線の金融取引をする金融口座保持者とは分断されており、特に(オンライン金融取引の呼出時間の間に、金融口座保持者による口座の再操作前に、多くの未承認金融取引が発生したりして)オンライン金融取引を危険にさらす。
3)私的個人情報の漏洩が、(ブラウジング技術、TCP/IPプロトコル、PKI、SSL、その他のインターネット技術が金融取引セキュリティを十分に保証するものでなく)電子商取引処理中にインターネット通信回線上で起こる可能性がある。
4)会計段階は、金融口座保持者とは分断されており、一連の購入/販売の金融取引中に金融口座保持者を不自由な状態にとどめる。
5)販売側の当事者は、金融口座保持者の私的個人情報を収集し、かつ、分析し、利益を得る目的でそれを市場に出し販売することができる。この場合に公には、データのプライバシー及び機密の状態がいつまでも知らされないままである。
【0019】
現在のオンライン及びオフライン金融取引アーキテクチャには、認証、承認及び会計段階にセキュリティ及びプライバシーに関する実際的な欠陥がある。極めて期待されていることは、消費者にとってプライバシー及びセキュリティ上の不安なく、金融機関と金融取引を実行できる改良されたシステム及び方法の提供である。本発明はこうした問題に取り組むものである。
【発明の開示】
【発明が解決しようとする課題】
【0020】
したがって、本発明の目的は、金融取引中に消費者の私的個人情報から商人/販売者/ベンダを分断することである。
本発明の更に別の目的は、引き出し/預け入れ取引中に、金融口座保持者が、銀行出納係を金融口座保持者の私的個人ファイルから分断させるようにすることである。
本発明の更に別の目的は、金融取引の認証段階中に、金融口座保持者と金融機関事務部門との接続方法を提供し、大幅に向上・強化された金融取引セキュリティを保証することである。
本発明の更に別の目的は、金融取引の認証段階を一つの取引専用に、例えば、一つの特定金融取引のみで使用できる金融取引の認証段階アーキテクチャを構築することである。
本発明の更に別の目的は、金融取引の認証段階アーキテキチャに、金融取引の会計セッションの開始手続きを備え、取引専用認証アーキテクチャを強化することである。
【0021】
本発明の更に別の目的は、認証の実行結果を特定金融取引のための専用時間の一つに限定する方法で、金融取引認証セッションを設計することである。
本発明の更に別の目的は、金融取引システムを設計し、かつ、その方法を提供することで、商人/販売者/ベンダが金融機関事務部門に、金融口座保持者が要求した一つの特定金融取引に関してのみ金融取引を承認し会計を行うことを求めることができるようにすることである。
本発明の更に別の目的は、金融取引の承認段階アーキテクチャに会計セッションの終了手続きを備えることである。
本発明の更に別の目的は、SSL(セキュア・ソケット・レイヤ)、TCP/IPプロトコル、WEBブラウザ等インターネット技術のような不完全なセキュリティに起因して通信回線上で漏洩が生じるおそれのある環境であっても、高度なセキュリティレベルが提供される金融取引アーキテクチャを構築することである。
本発明の更に別の目的は、金融機関事務部門に金融取引専用アーキテキチャAAAの実行を許可する「クロック制御」AAAを提供することである。
【課題を解決するための手段】
【0022】
本発明は、私的かつ安全な金融取引を提供するシステム及び方法に関する。このシステム及び方法は、金融機関事務部門のプライバシー・レイヤ・アーキテクチャに組み込まれる「クロック制御」AAA方法を構成する。このアーキテクチャは、金融口座保持者が金融機関事務部門に接続するために使用する「事務部門接続装置」を構成する。こうした装置は、例えば、普通電話及びユニバーサル・リソース・ロケータ(URL)のアドレスを介して呼び出される専用グラフィック・ユーザー・インターフェース(GUI)を備えたパーソナル・コンピュータを含む。代りの装置として、ネットワーク・コンピュータすなわちワイヤレス・パーソナル・オーガナイザ、対話式テレビ会議セッション又は金融機関事務部門との対話用にカスタマイズされた読み取り/書き込み装置を備えたスマートカードが含まれる。アーキテクチャは又、金融機関事務部門の中央処理装置(「CPU」)を構成して、UNIX(登録商標) Sun/Solaris又はWindows(登録商標)NTのいずれかのオペレーティング・システムで作動する一群(即ちかたまり)計算及びファイル・サーバを含むことができ、「クロック制御」AAAの様々な機能を実行するように設計された多数のソフトウェア・プログラム(ソフトウェア・モジュール)、金融機関事務部門内部のリレーショナル・データベース(dB)を含み、そこで実際の口座情報が格納され、アクセスされる。金融機関事務部門は、「クロック制御」AAAプログラム環境を用いて情報処理を行うCPUに接続されるdBを備える。
【0023】
本発明によって金融機関とメンバーシップ関係にある消費者は、高度に安全かつ私的な方法で金融取引を実行できる。金融口座保持者の私的個人情報を販売側の当事者、又は、銀行出納係に開示する必要はない。結局、本システム及び方法を現在かつ将来のソフトウェア、ハードウェア及び電子商取引技術に上手く適応させ、受容可能なビジネスのトレードオフを受け入れれば、その実施は容易にできる。
本発明による金融取引管理方法は、認証処理、承認処理及び会計処理の実行を含む。認証処理は、特定の口座保持者による予測取引に対して実行される。予測取引は予測取引額及び予測取引時間を有する。認証処理は、予測取引実行時に提示する取引署名を作成する。特定取引のための承認処理は、実際の取引額及び実際の取引時間を有し、それらは取引署名の提示時に決定される。承認処理は、提示された取引署名が予測取引のための取引署名と一致すること、実際の取引額が予測取引額と一致すること、及び、実際の時間が予測取引時間と一致することを検証する処理を含む。特定取引のための会計は、順調な承認処理の結果として実行される。会計は、特定口座保持者の予測取引額と実際の取引額との照合処理を含む。
【0024】
本発明の一実施形態によると、予測取引のための予測取引額及び取引署名は、金融機関事務部門にあるデータベースの認証記録に格納される。同様に、承認記録が承認処理中に作成される。取引の承認処理を完了するために承認記録と認証記録とを比較する。かくして、認証記録は予測取引額及び取引署名を備える。また、予測取引時間は、認証記録を保有するデータベースに格納され、その時間は、例えば、認証記録作成の時間と組み合わせて用いられる制限時間の長さ、又は別の例では絶対時間値とする。
認証処理に関する代表的な一実施形態では、特定口座保持者と金融取引サーバとの間に通信セッションを確立する処理、口座番号をインプットとして受けとる処理、特定口座保持者に、最初の要請で固定識別コードの提供を促し、2番目の要請で、個人識別コードから個人識別コードの全てを含むものではない動的に身分確認された数字の組み合わせの提供を促す処理を含む。更には、予測取引額をインプットとして受け付ける。取引署名が作成され、特定口座保持者に送信される。予測取引を身分確認する情報及び時間スタンプが認証記録に格納される。
【0025】
承認処理に関する代表的実施形態では、特定取引の当事者と金融取引サーバとの間に通信セッションを確立する処理が含まれる。サーバで、提示された取引署名を受け付け、実際の取引額をインプットとして受信する。サーバは、特定取引の時間と予測時間を比較し、次に提示された取引署名及び実際の取引額と該取引に関連する取引署名及び予測取引額とを比較する。順調なパラメータの一致に基づき、取引当事者に承認メッセージを送る。
本発明による金融取引管理処理は、承認処理中に金融口座保持者の身分確認をもって、又は身分確認なしで機能する。
様々な実施形態において、本発明は、携帯電話、販売時点情報管理装置、パーソナル・コンピュータ、手持ちサイズコンピュータなどのような、金融機関事務部門と個々の端末ステーションとを相互接続する通信媒体を用いて認証処理、承認処理及び会計処理を実行するシステムを構成する。別の実施形態において、本発明は、概略を上述した処理実行に用いられるコンピュータ・プログラムを格納する製造物品を含む。
さらに別の実施形態において、本発明は、上述の処理管理に利用される通信リソース、処理リソース及びデータ格納リソースを含む金融取引サーバを提供する。
【0026】
本発明は又、金融取引のための自動化された認証、承認及び会計方法を提供する。この方法は、特定口座保持者による予測取引の認証記録の確立方法を構成する。認証記録は、予測取引額及び取引時間のパラメータを有する予測取引の身分確認情報を含む。認証記録には、予測取引実行に基づいて提示される認証済み取引署名が含まれる。この方法は又、実際の取引額、実際の取引時間及び提示された取引署名を示す特定取引のための承認記録の確立方法を構成する。承認記録と認証記録とを照合して、提示される取引署名が予測取引のための認証済み取引署名と一致するかどうか、実際の取引額が予測取引額と一致するかどうか、更には、実際の取引時間が取引時間パラメータと一致するかどうかを判断する。最後に、特定口座保持者のために予測取引額と実際の取引額とを照合確認する。様々な実施形態によると、この方法は、複数の予測取引のための認証記録を有するデータベースに認証記録を格納する処理を含む。該処理には、認証記録と時間調整済アルゴリズムを用いて作成される承認記録との照合が定期的に試みられる処理を内在させ、その時間調整済アルゴリズムは、それらの作成時間に基づき、かつ、予測取引が完了されなければならない時間長さの決定パラメータに基づき認証記録を自動的に時間切れとする。
総括すると、効率的な配置が可能で又、他の既存システムの欠点の多くに対処する安全かつ私的な金融取引プロセスを提供する。
本発明に関する他の態様及び利点は、以下の図面、詳細な説明及び請求項を検討することで理解できるであろう。
【発明を実施するための最良の形態】
【0027】
図3に示すのは、本発明による購入/販売及び引き出し/預け入れ取引のための組み込み式プライバシー&セキュリティ・レイヤEPSLアーキテクチャのフロー図である。金融口座保持者121は、オンライン又はオフライン金融取引となるか否か、販売地点(又は銀行出納係)と独立しているか否かに関係なく、取引決定122をする。この段階では、金融口座保持者は、予測金融取引の実行に必要とされる凡その又は正確な金額を把握していると想定される。取引決定(ステップ122)後、ステップ301で、金融口座保持者は、該金融口座保持者の口座がある金融機関事務部門CPU及びdBと認証セッションを開始する。認証セッションが本発明により金融機関事務部門で実行される詳細は後述する。しかしながら、ここではステップ301の特徴の幾つかを開示する。
【0028】
金融口座保持者は、認証セッションを開始するために金融機関事務部門セキュリティ保護の3つの段階を経る必要がある。最初の2段階は、金融機関EPSL口座番号、次に取引(預け入れ又は引き出し)固定PIN暗証番号の開示に基づいており、それらは、金融口座保持者及び金融機関事務部門にのみ知られていることになっている。金融口座保持者が、セキュリティ保護が保証されていない様々な専用通信回線を介して金融機関事務部門にアクセスできるので、3番目のセキュリティ保護段階が含まれる。第3段階は、金融機関事務部門と金融口座保持者間との対話形式に基づく。事務部門は、金融口座保持者に識別PIN暗証番号に関するある決まった通信セッションを特定する無作為の一組の数字を入力するように促し、その数字は金融口座保持者及び金融機関事務部門にのみ知らされる。第3セキュリティ保護段階により、エントリー装置及び通信回線自体での情報漏れのどのような可能性をも排除できる。第3段階処理中に要求される金融口座保持者からの無作為の数字の組み合わせを誰が傍受したとしても、それを再使用することも識別PINの完全な再構築をすることも不可能である。
【0029】
ステップ301のもう一つの特徴は、金融機関事務部門が金融口座保持者に予測取引金額を入力するよう求めることである。続いて、認証セッション302の完了時に、文字数字の取引署名が金融機関事務部門303で作成され、それが金融口座保持者に戻される。この署名は、金融口座保持者が要求する特定の金融取引額に限定されるものであり、かつ、限られた寿命を有し、その寿命は金融取引の実行に十分足る適正な時間間隔にデフォルトで設定される。文字数字の署名は又、一つの金融取引にのみ使用でき、再使用できないことに注意すべきである。
【0030】
金融口座保持者が特定の金融取引に関して認証されても、金融取引を止める余地はまだ残されている。取引実行のために、金融口座保持者は、販売側の当事者(商人又は銀行出納係)に金融機関EPSL口座番号に沿った文字数字の取引署名を提出する。文字数字署名も金融機関EPSL口座番号も、どんな私的個人情報を含むことはなく、その情報は、販売側の当事者に金融取引を続行するよう求める金融口座保持者と関連するものである。ステップ305で販売側の当事者は、金融機関事務部門CPU及びdBと承認セッションを開始する。金融口座保持者が提供する文字数字の取引署名及び金融機関EPSL口座番号の他に、販売側の当事者はビジネスID及び実際の取引金額を加え、続いて、金融機関事務部門での承認ために、このタイムスタンプされた一連の情報を送る。金融機関事務部門で承認セッションを実行するシステム及び方法に関する詳細は後述する。承認のため販売側の当事者(又は銀行出納係)が送る情報は、承認セッションの決定処理306用にとどまらず、同じく会計セッション完了307用として、十分なものである。この時点で、金融口座保持者の私的個人情報を販売側の当事者に開示することなく、金融取引を安全性の高い方法で完了する。
【0031】
上述の最高レベルの金融取引アーキテクチャは、オンライン及びオフラインの金融取引に適用可能である。販売地点で、(POS装置、GUI、通信回線の選択などのような)ハードウェア及びソフトウェア環境は、これらの2つの場合ごとに変化するが、私的かつ安全な金融取引の基本アーキテクチャは同じである。認証段階は、システムの最初の実行ステップとなり、優先順位及びセキュリティ強制力をもつ。金融口座保持者を認証するのは、もはや販売側の当事者ではなく、金融機関事務部門である。それは、販売側の当事者(又は銀行出納係)による不正、困惑及び私的個人情報の誤用を防ぐ。他の誰であっても本人に代わって取引できないので、金融口座保持者は金融取引を拒否できない。この開示されたシステム・アーキテクチャにおける金融取引の承認及び会計段階は、金融口座保持者による事前要求なしに始めることはできない。かくして、承認及び会計は、実際の金融口座保持者と結合しており、その一方で認証セッションは金融機関事務部門と緊密に結合している。
【0032】
図4に示すのは、(金融口座保持者側からの)EPSL認証セッションのフロー図である。基本的には、図3で先に示したステップ121−122−301−302−303のより詳細なフロー図であり、全てが、金融機関事務部門に関連する金融口座保持者の認証セッションを構成するものである。金融口座保持者が、金融機関事務部門と連絡可能な様々な装置及び通信回線を使用するよう想定されている。図4が示すように、通信装置の例としては、販売時点情報管理POS装置401、通常の電話回線及び携帯電話402、ネットワーク・コンピュータ403又はURL/GUI機能を備えたワイヤレス・オーガナイザ404及びインターネット(又はオンラインサービス専門の金融機関)405に接続されるデスクトップ・パーソナルコンピュータが含まれる。金融機関事務部門に接続されると、金融口座保持者は、最初に金融機関EPSL口座番号406(最初のセキュリティ段階)を入力するよう求められる。次に、金融口座保持者は、取引タイプ用固定PIN暗証番号407(第2セキュリティ段階)を入力すること及び識別PIN暗証番号408から要求の無作為数字の組み合わせ(第3セキュリティ段階)を入力することを求められる。最後に、金融口座保持者は想定取引金額409を入力する。ステップ406−407−408−409のいずれかを達成する際の失敗は、認証セッションを実行する金融機関事務部門による拒否につながる。この時点で金融口座保持者には、認証セッションの開始を再び試みるか、又は、2回目の拒否308後に金融機関EPSL営業担当者に連絡をとるかすることが期待される。こうしたステップの順調な完了にともない、文字数字の取引専用署名が金融機関事務部門で作成され、金融口座保持者303に戻されて終了に至る。ステップ409は認証セッションの最終ステップであり、それにより金融機関事務部門で会計セッションが開始される。このステップ409では、金融口座保持者が要求する取引金額を口座の利用可能額と比較する。予測額は、承認セッション要求中に販売側の当事者(又は銀行出納係)が後に明らかにする実際の額を下回るべきではない。注意すべき重要なことは、クレジット/デビット金融機関EPSLカードが紛失し、盗難に遭い又は不正使用として金融機関事務部門にリストアップされている場合には、ステップ303に至らず、ステップ409の認証段階が拒否されることである。金融口座保持者によって要求された取引金額が金融機関EPSL口座の利用可能額を超過する場合にも又、ステップ409の認証段階は拒否される。
【0033】
図5に示すのは、(金融機関事務部門CPU及びdB側からの)EPSL認証セッションのフロー図である。開示された金融取引システム・アーキテクチャにおいて認証セッションが中心的な位置を占める結果、認証セッションの処理に金融機関事務部門システムをどのように適合させるかを示すことが必要である。金融口座保持者は、図4に示すのと同じの方法で、かつ、同じの通信装置/チャネルを介して金融機関事務部門301と認証セッションを開始する。金融機関事務部門でAAAを実行する詳細なシステム及び方法は後述するが、認証セッションの特徴に固有の特徴をここで説明する。
【0034】
決定ステップ504で、金融機関EPSL口座番号の確認が順調にすすむと、口座番号検索プログラム(ACCOUNT NUMBER SEARCH PROGRAM)モジュール502が、金融機関事務部門CPU/dBで起動され、金融機関事務部門CPU/dBは認証セッションを次の決定ステップ506に移行する。ステップ506で、金融機関事務部門dBで取引種類PIN確認が順調にすすむと、取引PIN確認プログラム(TRANSACTION PIN VERIFICATION PROGRAM)モジュール503が起動し、認証セッションを決定ステップ508に移行する。ステップ508で、無作為の一組の数字が金融機関事務部門dBで確認されたと、識別PINランダムサブセット・ジェネレータ(IDENTITY PIN RANDOM SUBSET GENERATOR)モジュール505が、金融機関事務部門CPUで起動され、認証セッションを決定ステップ509に移行する。ステップ509では、認証セッション中に金融口座保持者が特定した取引金額が口座の利用できる資金を超えていない場合には、口座一致プログラム(ACCOUNT CONSISTENCY PROGRAM)モジュール507が、金融機関事務部門CPUにおいて起動され、認証セッションを決定ステップ511に移行させる。ステップ511では、金融機関EPSLカードが紛失、盗難に又は不正使用のリストにはなく、認証セッション全体の拒否に至るような事態にならなければ、認証セッションは金融機関事務部門で完了し、会計セッションが開始510される。そうでない場合には、認証ファイルが作成され、タイムスタンプされて、文字数字金融取引特定署名とともに金融機関事務部門dBに保管され、金融口座保持者に送られる。502、503、507及び510という多数のプログラムモジュールが金融機関事務部門ソフトウェア環境に組み込まれ、認証セッションを実行することが分かるであろう。これがまさに自動化された「クロック制御」AAAセッションの一部であり、金融機関EPSL技術が可能とする金融機関事務部門のシステム及び方法を構成するものである。
【0035】
図6は、EPSLアーキテクチャのインターフェース・プロトコルを示す。縦列はパラメータ処理のノードに対応する。升目のパラメータ名はパラメータがどこを起点にするかを示す。矢印の開始がパラメータの起点升目からの場合、矢印の先は、さらに処理を行うためにパラメータが送り出される場所を示す。矢印開始の升目が、同じ並びの、パラメータが始まっている升目の位置と異なる場合、この矢印は、早期に入れ替えて処理するためにパラメータが移される移動先の升目を示し、矢印が指す通りにそこから再び移される。
【0036】
パラメータACC#_{XYZ}601は、金融機関EPSL口座番号である。「XYZ」は、金融機関EPSL金融口座保持者をユニークに特徴づけるある種の番号を意味するようにはっきりと構築されるべきである。パラメータW_PIN602は引き出し取引PIN暗証番号である。パラメータD_PIN603は預け入れ取引PIN暗証番号である。パラメータW$604は、認証セッション中に金融口座保持者によって明示される引き出し取引額である。パラメータD$605は、認証セッション中に金融口座保持者によって明示される預け入れ取引額である。パラメータID_PIN606は、認証セッションの対話中に金融機関事務部門及び金融口座保持者が使用する識別PIN暗証番号である。パラメータ(W/D)#_GEN(ACC#_{XYZ}、(W/D)_PIN、ID_PIN、(W/D)$、TX1)607は、認証セッションが成功して終了した時に作成される文字数字署名である。(W/D)#_GENは、上記されているその他のパラメータの関数である。唯一不明なままのパラメータはTX1であり、それは認証セッションが成功して終了した時点である(図9参照)。パラメータT_INT((W/D)#_GEN(ACC#_{XYZ}、(W/D)_PIN、ID_PIN、(W/D)$、TX1))608は、時点TX1から数えられる時間間隔である。それは、認証セッションが成功して終了した時に金融機関事務部門で内部的に導き出される、特定の金融取引のための文字数字署名の有効期限を指定する。パラメータ(ACC#_{XYZ}_TX1 609は、認証セッションが成功して終了した時に金融機関事務部門の内部で定められる認証ファイル名である。パラメータ(ACC#_{XYZ}_TX2 610は、金融機関事務部門の内部で承認セッションの始めにおいて成功した入力データ転送の開始時に定められた承認ファイル名である。パラメータBUS#611は、承認セッション要求中に販売側の当事者が明示した商人/販売者/ベンダ標準ID番号である。パラメータT−AMOUNT612は、承認セッション要求中に金融取引を実行するのに必要とされ、かつ、販売側の当事者(又は銀行出納係)が明示した正確な金額である。
【0037】
図7は、EPSL承認セッションのフロー図を示す。これは、図3のステップ305−306−307と対応するものである。全てが金融取引の承認セッションを構成する。販売側の当事者は、承認セッションの開始時に、金融機関事務部門にアクセスし、金融口座保持者と同じ装置/通信回線401−405を用いて承認セッションを開始できる(図4−5参照)。金融機関事務部門でAAAを実行するシステム及び方法の詳細は後述するが、承認セッションの特徴に固有の幾つかをここで説明する。
【0038】
決定ステップ704では、口座番号が金融機関事務部門dBで有効であると確認されたことを条件に、口座番号検索プログラ(ACCOUNT NUMBER SEARCH PROGRAM)モジュール502が金融機関事務部門CPU/dBにおいて起動され、承認セッションを決定ステップ706に移行する。そうでない場合には、承認セッションは拒否される。決定ステップ706では、文字数字の取引署名が金融機関事務部門dBにおいて有効と確認されると、取引署名確認プログラム(TRANSACTION SIGNATURE VERIFICATION PROGRAM)モジュール703が金融機関事務部門CPUにおいて起動され、承認セッションを決定ステップ708に移行する。決定ステップ708では、販売側の当事者IDが法的に有効な商人リストにあると、ビジネスID確認プログラム(BUSINESS VERIFICATION PROGRAM)モジュール705が金融機関事務部門CPUにおいて起動され、承認セッションを決定ステップ709に移行する。決定ステップ709では、それぞれの認証セッションで金融口座保持者により入力される予測取引額が、承認セッション要求の間に販売側の当事者により入力される実際の額を上回るか又は等しいと、口座確認プログラム(ACCOUNT VERIFICATION PROGRAM)モジュール707が金融機関事務部門CPUにおいて起動され、承認セッションを決定ステップ306に移行する。決定ステップ306では、クレジット/デビットEPSL口座カードが紛失、盗難又は不正使用カードのリストになければ、金融機関事務部門は承認及び会計セッションを完了する。ここで、承認セッションが完了した後に、この特定口座に関係して一切疑わしい問題がないかどうかをチェックする。
【0039】
個々で注意すべきことは、502、703、705、707及び307という多数のプログラムモジュールが金融機関事務部門ソフトウェア環境に組み込まれ、承認セッションを実行するということである。後に明らかにされるが、これは自動化された「クロック制御」AAAセッションの一部であり、金融機関EPSL技術を可能にするために金融機関事務部門で実施されるシステム及び方法を構成するものである。
【0040】
図8は、EPSL取引チェックリストを示す。プラスの意味は、各列の特定パラメータが、最上段に明記されたAAAセッションの一つの実行中に、使用されていることである。マイナスは、パラメータが使用されていないことを意味する。
図9A、9B及び9Cに示すのは、「クロック制御」AAA技術に基づくEPSLアーキテクチャのタイミング線図、フローチャート及び機能線図を合成したものである。認証セッション(AUTHENTICATION SESSION)(番号のついていない点線で描かれた升目)に間係する部分は、すでに図4−5に提示されているが、承認セッション(AUTHORIZATION SESSION )(又、番号のついていない点線で描かれた升目)と呼ばれる部分は、図7で説明されていることが分かるであろう。
【0041】
金融機関事務部門は、グローバル・クロック・プログラム(GLOBAL CLOCK PROGRAM)モジュール902を有する。ハードウェア同等品は((10−1000)MHzの範囲内でほぼ標準的な歩度を持つ)、シリコンのデジタル集積回路内部クロックとして装備される。金融機関事務部門CPUで同様のクロックによって動くことができるモジュール902は、AAAセッション中にプログラムモジュール全てと同期する。認証セッション冒頭から始まり承認及び会計セッション終了までの各金融取引は、グローバルクロックが定めるそれらの時間的な位置に従って処理される。グローバルクロックはプログラムモジュール全てと同期する。どのプログラムモジュールも、その仕事が完了すると、他のプログラムモジュールの一つによって起動される。金融機関事務部門dB(例えば認証及び承認ファイル)に格納されている金融取引の重要な情報要素は、それらの時間的な位置に従って厳密に分析され、かつ、区別され、それは金融機関事務部門における決定処理の一部である。グローバルクロック・プログラムモジュールは、タイミング要素と識別パラメータに関連した金融取引、及び、金融機関事務部門における全EPSLシステムのプログラムモジュールとハードウェアとの同期を可能にするものである。
【0042】
金融口座保持者は、(上記3段階セキュリティ保護システムで述べた)一連の数字を入力することにより、上記装置/通信回線のいずれかを介して金融機関事務部門との間で認証セッションを開始する。通信セッションが始まると、口座番号検索プログラム(ACCOUNT NUMBER SEARCH PROGRAM)モジュール502が起動し、金融口座保持者に金融機関EPSL口座番号を入力するよう求める。金融口座保持者がACC#_{XYZ}601を入力し、ACC#_{XYZ}が有効であると確認されると、モジュール502は取引PIN確認プログラム(TRANSACTION PIN VERIFICATION PROGRAM)モジュール503を起動し、それ自体の実行を中止する。ACC#_{XYZ}が金融機関事務部門dBで確認されないと、金融取引の認証セッションは拒否され、モジュール502はモジュール503を起動することなく実行を中止する。決定ルーチンACC#504は、モジュール502の一部であり、かつ、金融機関事務部門dBでのACC#_{XYZ}の確認結果に基づき、モジュール503を起動するか否かの決定を行う。
【0043】
取引PIN確認プログラム(TRANSACTION PIN VERIFICATION PROGRAM)モジュール503が起動されると、金融口座保持者に取引PINを入力するよう要求し、W_PIN602又はD_PIN603が入力されると、このモジュールが実行される。モジュール503の一部である決定ルーチンT_PIN506は、(W/D)_PINが金融機関事務部門dBにおいて有効であると確認されると、モジュール503を中止し、識別PINランダム・サブセット・ジェネレータ(IDENTITY PIN RANDOM SUBSET GENERATOR)モジュール505を起動させる。そうでない場合には、ルーチンT_PIN506がモジュール505を中止し、金融取引認証セッションが拒否される。
【0044】
モジュール505は、起動されると、金融口座保持者に、一組の金融口座保持者識別PIN暗証番号ID_PIN606を構成する無作為の組み合わせ数字を順番に送信するよう要求を発して、次に、この対話式セッション(金融機関事務部門セキュリティ保護の第3段階)中に金融口座保持者から入力された受信回答の分析を実行する。モジュール505の一部である決定ルーチンID_PIN508は、モジュール505の要求ごとに金融口座保持者によって入力される一組の無作為数字が金融機関事務部門dBにおいて積極的に有効化されることを条件に、モジュール505を中止し、金融取引事務部門の口座一致プログラム(ACCOUNT COCSISTENCY PROGRAM)モジュール507を起動する。そうでない場合には、ルーチンID_PIN508は、モジュール507を起動することなくモジュール505の実行を中止し、かつ、金融取引認証セッションが拒否される。
【0045】
金融機関事務部門の口座一致プログラム(ACCOUNT COCSISTENCY PROGRAM)モジュール507が起動されると、金融口座保持者に予測引き出し取引額W$604又は予測預け入れ取引額D$605を入力するよう求め、(W/D)$が入力されると、このモジュールが実行される。モジュール507の一部の決定ルーチン509は、W$がこの金融機関EPSL口座で利用可能な金額を超過していないと、モジュール507を中止し、取引署名ジェネレータ(TRANSACTION SIGNATURE GENERATOR)モジュール905を起動させる。そうでない場合には、ルーチン(W/D)$509は、モジュール905を起動することなくモジュール507の実行を中止し、かつ、金融取引認証セッションが拒否される。
【0046】
取引署名ジェネレータ(TRANSACTION SIGNATURE GENERATOR)モジュール905は、起動されると、先のステップ504、506、508及び509の全てが成功したことを条件に、文字数字署名を作成する。モジュール905の一部である決定ルーチン(W/D)#_GEN511は、クレジット/デビット金融機関EPSL口座カードが紛失、盗難又は不正使用カードのリストにないことを条件に、モジュール905を中止してモジュール904を起動させる。同時に作動中のモジュール904、ルーチン511は、文字数字の取引署名を金融口座保持者510に送る。
【0047】
確認ファイル・ジェネレータ(AUTHENTIFICATION FILE GENERATOR)モジュール904は、起動されると、認証セッション:ACC#_{XYZ}601、(W/D)_PIN602又は603、ID_PIN606、(W/D)$604又は605、及び、(W/D)#_GEN607の最中に、一ヶ所に集められた情報の一部又は全てを含んだ電子記録を作成する。その記録には、金融機関EPSL口座番号及び時間記号TX1の組み合わせであるACC#_{XYZ}_TX1609というファイル名を付ける。TX1は、ファイルACC#_{XYZ}_TX1907が金融機関事務部門dBで作成される時点を指す。実際には、金融口座保持者が、要求された金融取引のための文字数字署名を取得するのと同時である。時間記号TX1は、この例では金融口座保持者及び金融機関事務部門の認証セッションの終了時に割り当てられる。ACC#_{XYZ}_TX1のファイル名をもつ認証記録は、金融機関事務部門dBに導入される作動システム(例えば、UNIX(登録商標)/Solaris又はWindows(登録商標)NT)の種類を問わず、作成可能である。モジュール904は、時点TX1でモジュール901を起動させる。
【0048】
時点TX1から始まる金融機関事務部門の監視プログラム(WATCHDOG PROGRAM)モジュール901は、(金融機関事務部門CPU及びdBの実際のハードウェア/ソフトウェアの装備により例えば数ミリ秒から数秒まで変動し得る)短い各時間間隔後に、金融機関事務部門dBを検索する。検索では、同じルート名ACC#_{XYZ}及びTX1より大きな末尾TX2(TX2>TX1)を有するもう一つの記録が存在するかどうか、をチェックする。モジュール901は、時間間隔T_INT608の間に、この作動モードで動作可能であり、その時間間隔はモジュールはTX1で始まり、認証セッション後に金融機関事務部門において予測金融取引を実行するのに相当する時間(例えば、30分)に設定される。そうでなければ、金融口座保持者が、それを認証セッション中に特定の範囲内(例えば、15分から数時間まで)で選択できる。ACC#_{XYZ}_TX2 906のファイル名をもつ記録は、金融機関事務部門の監視プログラム(WATCHDOG PROGRAM)モジュール901が検索するものであり、承認セッション中に金融機関事務部門で販売側の当事者の要求により作成される。時点TX1で完了する認証セッションに引き続いて承認セッションがあり、時点TX1後の幾分遅れた時点TX2で金融機関事務部門が認証記録を作成する中間段階を有する。承認ファイルアーキテクチャ及びその「クロック制御」AAA技術の役割に関しては、承認セッションの説明とともに後述する。
【0049】
金融機関事務部門の監視プログラム(WATCHDOG PROGRAM)モジュール901は、時点TX1+T_INTで承認ファイル906の検索を中止する。その時間後に販売側の当事者が開始する承認セッションのどれもが、取引署名の時間切れというメッセージで拒否される。金融口座保持者が同じ金融取引を起こすためには、別の認証セッションを開始する必要がある。厳密にいうと、モジュール901は、連続する検索セッションの間で徐々に延長される時間間隔(例えば、TX1+T_INT<t<TX1+2*T_INTの2倍間隔、TX1+2*T_INT<t<TX1+3*T_INTの3倍間隔など)を有する時点TX1+T_INT後にも、金融機関事務部門dBの検索を維持する。しかしながら、その機能は変更される。承認ファイルが見つかったとき、モジュール901は、金融取引は時間切れであるというエラー・メッセージでもって金融取引を禁じる。ある決まった時点(例えば、TX1+10*T_INT)において、モジュール901は、承認ファイルACC#_{XYZ}_TX2 906の検索を完全に中止する。同じ金融取引のために販売側の当事者が開始する承認セッションのどれもが、この後は簡単に拒否される。
【0050】
モジュール901の検索繰り返し時間間隔が時点TX1+T_INT後に徐々に延びていく理由は、金融機関事務部門CPUの負荷を減らすことにある。取引署名の有効期限を設け、それらを特定金融取引に限定することにより、こうした署名の解読に基づく不正行為を排除できる。それは、セキュリティ保護のない通信回線及び回線入出力装置の使用上で、セキュリティを大幅に向上させるものである。特に重要なことは、オンライン金融取引のためであり、EPSL技術をオフライン金融取引と同様に、電子商取引のための最適のアーキテクチャとすることである。
【0051】
金融口座保持者は、認証セッションの終了時の文字数字取引署名の取得後に、販売側の当事者(又は銀行出納係)に申し入れる。販売側の当事者(商人又は銀行出納係)は、可能な限り認証セッション中に使用するものと同じ装置/通信回線を用いて、金融機関事務部門との承認セッションを開始する(金融機関GS.4−5参照)。販売側の当事者は、金融口座保持者から金融機関EPSL口座番号及び金融取引文字数字署名を取得する。次に、販売側の当事者は、金融取引の実行に必要な標準ビジネス確認(商人)番号BUS#611及び実際の取引金額T−AMOUNT612を追加する。これらは、会計セッション中に金融機関事務部門での会計処理をするために、承認処理に追加される。
【0052】
決定ステップ704では、販売側の当事者がACC#_{XYZ}601を送り、それが金融機関事務部門で受け取られると、口座番号検索プログラム(ACOUNT NUMBER SERCH PROGRAM)モジュール502が起動される。次に、モジュール502は、ACC#_{XYZ}601が(金融機関事務部門dBで有効と確認された)正規のものであることを条件に、2つのステップを実行する。モジュール502は、金融機関事務部門での承認セッション開始を実際に表示する時点TX2で、承認ファイル・ジェネレータ(AUTHORIZATION FILE GENERATOR)モジュール903を起動させる。モジュール903は、金融機関事務部門dBにACC#_{XYZ}_TX2 906のファイル名をもつ承認記録を作成し、承認セッション入力情報全てがステップ706−708−709を経て、最終的に承認記録ACC#_{XYZ}_TX2に集合されるまでの間は、稼動中に維持される。第2ステップにおいて、再び口座番号601が金融機関事務部門dBで有効と確認されたことを条件に、モジュール502は、承認セッションを決定ステップ706へと移行する。そうでない場合には、金融機関事務部門の専用装置701介して承認セッションが拒否され、不正確な金融機関EPSL口座番号というエラー・メッセージが販売側の当事者に通知される。
【0053】
時点TX1で起動する監視プログラム(WATCHDOG PROGRAM)モジュール901は、金融機関事務部門dBを定期的に検索し続ける。それは認証記録ACC#_{XYZ}_TX1を補完する承認記録を探しており、承認記録ACC#_{XYZ}_TX2が作成されていると、モジュール901は最終的にそれを見つけ出す。時間間隔TX1<t<TX1+T_INTの中に承認記録が作成されていると、承認セッションが続く。そうでない場合には、それは拒否される。承認ファイルが見つかり、それが作成された時間に関して有効と確認された直後に、監視プログラム(WATCHDOG PROGRAM)モジュール901は、取引署名確認プログラム(TRANSACTION SIGNATURE VERIFICATION PROGRAM)モジュール703、会計セッション確認プログラム(ACCOUNTING SESSION VERIFICATION PROGRAM)モジュール707及びビジネスID確認プログラム(BUSINESS ID VERIFICATION PROGRAM)モジュール705を起動させる。これら全のモジュールは承認記録で探索する情報処理を開始し、又は、ステップ706−708−709を経て求める情報が現れるまでこの記録で定期的に探索を続ける。
【0054】
決定ステップ(W/D)#_GEN706では、既に金融取引の文字数字署名が販売側の当事者から金融機関事務部門に転送されており、かつ、(未だモジュール901により起動されていない場合には)モジュール703が起動され、認証記録及び承認記録の文字数字署名の比較を行う。それらが一致すると、モジュール703は、承認セッションを決定ステップBUS#708に移行する。そうでない場合には、承認セッションは、取引署名が誤りというエラー・メッセージとともに拒否される。
【0055】
決定ステップBUS#708では、既に販売側の当事者ビジネスID BUS#611が販売側の当事者から金融機関事務部門に転送されており、かつ、ビジネスID確認プログラム(BUSINESS ID VERIFICATION PROGRAM)モジュール705は、未だモジュール901により起動されていない場合に、起動される。モジュール705は、販売側の当事者BUS#が有効な合法商人一覧にあるかどうかチェックし、それから承認セッションを決定ステップT−AM709に移行する。そうでない場合には、承認セッションは、商人IDが誤りというエラー・メッセージとともに拒否される。
【0056】
決定ステップT−AM709では、販売側の当事者が特定し、販売側の当事者から金融機関事務部門に転送された正確な取引金額T−AMOUNT612が承認記録906に書き込みされ、モジュール901により未だ起動されていない場合には、会計セッション確認プログラム(ACCOUNTING SESSION VERIFICATION PROGRAM)モジュール707が起動される。モジュール707は、承認記録906からT−AMOUNTを読み出し、それが認証記録907で特定された引き出し又は預け入れ額(W/D)$より少ないか又は等しいかどうかをチェックする。T−AMOUNTが少ないか又は等しい場合(=<)(W/D)$(T−AMOUNT=<(W/D)$)には、モジュール707は、金融口座保持者の金融機関EPSL口座におけるT−AMOUNTをロックし、(カード発行会社への取引手数料を控除し、取得銀行又は独立販売機関に対する割引手数料を控除した後に)販売側の当事者に支払を保証する。ここで認証セッションに続いて実行される会計セッションが完了する。
【0057】
決定ステップT―SIGN VERIF908において、承認記録906及び認証記録907を比較した後に、モジュール502及び703が金融取引を肯定的に識別すると、承認セッションは決定ステップ306に移行される。そうでない場合には、承認セッションは、金融機関事務部門において専用装置/チャネル701を介して拒否される。
【0058】
決定ステップACC−VARIF306では、モジュール705及び707が金融機関事務部門dBにおいてBUS#611及びT−AMOUNT612を肯定的に識別したことを条件に、会計セッションが完了して、金融取引が許可される。そうでない場合には、金融取引は拒否される。このように会計セッションの順調な完了は、承認処理全体の重要部分である。会計セッションが順調に完了し、かつ、クレジット/デビット金融機関EPSL口座カードが紛失、盗難又は不正使用カードのリストになければ、承認コードは、金融機関事務部門から専用装置/チャネル909を介して金融口座保持者に送られる。認証セッションは完了しているので、ここで、この特定口座に関して疑わしい問題がないかどうかを再度チェックすることができる。認証及び承認記録は、それらの収容が済むまで稼動中の会計管理用に金融機関事務部門dBで保管される。
【0059】
上記金融機関事務部門における「クロック制御」AAA技術に関する特徴を何点か記す。最初に、この技術を用いて請求戻しをする方法を説明する。請求戻しは、販売を行った販売側の当事者に請求を差し戻すクレジットカード取引である。これは、金融口座保持者が、製品が未配達で、又は、何らかの点で製品に不満であると主張することにより、請求書の支払に異議を唱えたときに生じる。販売側の当事者及び金融口座保持者が請求戻し及びその額に同意すると、金融口座保持者は、認証セッション中に(購入/販売取引のために通常使用されるW_PINの代わりに)D_PIN暗証番号を用いて預け入れ金融取引の認証を行うよう金融機関事務部門に要求する。次に、金融口座保持者は、EPSL口座番号と一緒に文字数字署名を販売側の当事者に提出する。換言すると、請求戻しは、金融機関事務部門で作成される取引署名が預け入れ金融取引のためのであるという点でのみ異なる通常の金融取引として、実行される。引き続き、販売側の当事者は、引き出し金融取引と同じ方法で、この金融取引を承認するよう金融機関事務部門に要求する。取引が金融機関事務部門で承認されると、金融口座保持者への払い戻しを保証するためにこの商人の口座がある取得銀行又は独立販売機関に、請求戻し額のロック要求が送られる。EPSL請求戻しの仕組みにより、販売側の当事者に金融口座保持者の私的個人情報を明かすことなく、標準EPSLアーキテクチャ(先の図3を参照)内で金融取引を実行できる。
【0060】
金融機関事務部門の「クロック制御」AAA技術は、販売側の当事者が要求する承認セッション中に、特定装置及び/又は通信回線の入力データ流量と独立して、彼らに情報を提供するように適用させている。極端なケースとして、販売側の当事者がACC#_{XYZ}、(W/D)#GEN、BUS#及びT−AMOUNTを手動で入力したときに、モジュール502がACC#_{XYZ}を確認し、承認記録ACC#_{XYZ}_TX2 906が金融機関事務部門dBにおいて作成されると、モジュール901によりモジュール703、705及び707が起動される。以下のパラメータが入力されるまで、このファイルは、しばらくの間、空の場合がある。そのときまで、上記の各モジュール703、705及び707は定期的に承認ファイルを探索し、かつ、目的とするパラメータが金融機関事務部門に届き、承認ファイルに書き込まれると直ちにそれを拾い上げる。一方、販売側の当事者が、上に列記されているパラメータに対する高速電子データ入力を可能にする専用の販売時点情報管理POS装置を使用する場合には、モジュール703、705及び707は、起動された後、非常に早い時点で、承認ファイルACC#_{XYZ}_TX2の中に必要とされるパラメータを見つけ出す。ここでは、モジュール901より先に決定ルーチン706、708及び709が、モジュール703、705及び707を起動することができる。それは、金融機関事務部門の「クロック制御」AAA技術のハードウェア及びソフトウェア装備がもつ特性による。要するに、金融取引承認セッション処理時間は、金融機関事務部門の「クロック制御」AAA技術により制限されることはなく、販売側の当事者の所在地の入力データ流れの速さにより制限される、ということができる。
【0061】
EPSL「クロック制御」AAA技術の認証セッションは、時間が制限されておらず、又、金融口座保持者の装置(例えば、スマートカードや携帯電話)と金融機関事務部門との自動化された電子的対話に置き換えることはできない。その理由は、それらが、第3セキュリティ保護段階を構成している金融口座保持者と金融機関事務部門間の対話式通信セッションを含むためである。これは、金融機関EPSL技術セキュリティ保護とこの技術を利用する上での不都合との、ある種のトレードオフである。都合のよいことには、EPSL技術の認証セッションは金融取引に先立って実行され、かつ、金融口座保持者は、金融機関事務部門からの取引署名取得に都合の良い時間を選択できる。認証セッションの完了後、販売側の当事者への提出前までに金融口座保持者が取引署名を保管する方法は、いろいろあり得る。帳面にそれを書きとめるだけの方法から、スマートカード、ワイヤレス接続機能をもつデジタル・パーソナル・オーガナイザ及び読み取り/書き込み機能をもつその他の電子装置等の装置内に電子的に格納する方法まで多岐に及ぶ。
【0062】
スマートカード技術は、EPSL技術を、金融口座保持者及び販売時の第三者にとって、よりいっそう快適なものとするのに申し分ないものである。スマートカードは、認証セッション中に金融取引署名をスマートカードに書き込む金融機関事務部門と金融口座保持者との中間情報搬送装置として使用できる。次に、販売地点でスマートカードからそれを読み出すことで、承認セッション要求をスピードアップすることができる。このように、署名は再使用ができないので、スマートカードのセキュリティ保護に関して問題はない。販売地点での予定した金融取引に現在の金融取引署名を使用できなくなる前にスマートカードが紛失され又は盗難に遭ったとしても、要求される額(W/D)$がいくらであるか、又、この取引署名は有効期限切れまであとどのくらいかということを知る者はない。さらに、カードが署名を含んでいるという事実さえ明らかではない。そのため、この場合でさえ不正行為が不成功となる可能性は高い。その上に、スマートカードが金融機関EPSL口座番号を含んでいるとは限らない(EPSLメンバーシップカードに含まれている可能性がある)。この場合には、スマートカードは、不正行為に対していつでもセキュリティの絶対的保護を有する。
【0063】
携帯電話、ネットワーク・コンピュータ又は情報読み取り/書き込み機能をもつ他の携帯用電子装置は、金融機関事務部門と販売側の当事者との間で、一つの特定金融取引(金融取引文字数字署名)用の認証情報中間搬送装置として機能するスマートカードと、便利さにおいて同等の機能を持たせることができる。
【0064】
最後の特徴は、ATMステーションで「クロック制御」AAA技術を備えた金融機関EPSLアーキテクチャを利用することに関する。金融口座保持者は、営業前、又は営業中のATMステーションで、引き出し金融取引を行うために認証セッションを実行できる。いずれにしても、金融口座保持者は、金融機関事務部門との認証セッションが完了すると、販売地点にあるATMステーションのようなATMステーションで操作を行うが、それはATMステーションのハードウェア及びソフトウェアがEPSLアーキテクチャで承認要求を実行できるよう変更されてことが条件である。このことは、個人情報の完全なプライバシーを守る一方で、ATMステーションでの金銭引き出しセッションの安全性を著しく高め、又、情報が目を付けられたり、盗まれたり、又は不正使用されたりするのを防ぐことができる。
【0065】
最後に、極めて安全な金融取引のためのあらゆるケースにおいて、説明した改革は、オンライン及びオフラインで、及び、私的及び非私的なセッションで利用可能である。金融口座保持者が金融取引のプライバシーに関心がない場合、金融口座保持者名がカードに収められ、「クロック制御」AAA技術で利用できるもう一つのパラメータとなることができる。一方、非私的な金融取引に対するEPSL金融取引アーキテクチャ及び「クロック制御」AAA技術の利用は、オンライン及びオフライン金融取引のセキュリティを向上(本質的に「完全である」)させる。非私的な金融取引に対する金融機関事務部門のEPSLアーキテクチャ全体及び「クロック制御」AAA技術は、第4セキュリティ段階と見なすことができるのに対して、私的な金融取引の場合はなお第4セキュリティ階層であり、主要な組み込み式プライバシー階層でもある。
【0066】
本発明は、私的かつ安全な取引のためのシステム及び方法の好ましい実施形態と関連させ説明されてきたが、好ましい実施形態は、本発明を実現し、利用する方法の説明目的として用いられたことが理解されるべきである。さらに、本発明に関する他の変形及び変更の実施及びその様々な態様は当業者に明白であること、及び、本発明は、上述した、このような望ましい実施形態に限定されるものではないことが理解されるべきである。本発明は、そのため、以下の請求項に開示された基本的な発明思想の精神及び範囲内にある、あらゆる変更、変形、均等技術を含むことを意図している。
【図面の簡単な説明】
【0067】
【図1A】引き出し/預け入れ取引を実行するための通常システムに関するブロック図である。
【図1B】購入/販売取引を実行するための通常システムに関するブロック図である。
【図2】クレジットカード又はデビットカードによる購入/販売取引中に、認証、承認及び会計セッションを実行するための通常システム及び方法に関するブロック図である。
【図3】購入/販売又は引き出し/預け入れ取引のいずれかの組み込み式プライバシー&セキュリティ・レイヤEPSLアーキテクチャに関するフロー図である。
【図4】金融口座保持者側におけるEPSL認証セッションに関するフロー図である。
【図5】金融機関事務部門CPU及びdB側におけるEPSL認証セッションに関するフロー図である。
【図6】EPSLアーキテクチャに関するインターフェース・プロトコルである。
【図7】EPSL承認セッションに関するフロー図である。
【図8】EPSL取引チェックリストである。
【図9A】「クロック制御」AAA技術に基づくEPSLアーキテクチャに関するタイミング線図、フローチャート及び機能線図を合成したものの一部である。
【図9B】「クロック制御」AAA技術に基づくEPSLアーキテクチャに関するタイミング線図、フローチャート及び機能線図を合成したものの別の一部である。
【図9C】「クロック制御」AAA技術に基づくEPSLアーキテクチャに関するタイミング線図、フローチャート及び機能線図を合成したものの残りの一部である。
【符号の説明】
【0068】
121・・・金融口座保持者
122・・・取引決定
302・・・認証セッション
303・・・金融機関事務部門
【特許請求の範囲】
【請求項1】
クライアントの認証のための対話式方法であって、
クライアントに対するクライアント識別情報(ACC#{XYZ}−図8)及び前記クライアントに対する識別情報コード(ID_PIN)であって一連の文字を備えている識別情報コードをメモリ(907)に記憶するステップと、
コンピュータシステムによって実行される処理(504)を用いてデータ通信媒体を介してクライアント識別情報の入力要求を前記クライアントに供給するステップと、
前記コンピュータシステムにおいて、前記クライアントからのデータであって前記クライアントに対する前記クライアント識別情報(406)を指示するデータを、データ通信媒体を介して受信し、前記クライアント識別情報を指示する前記データが記憶されているクライアント識別情報と一致することを検証するステップと、
前記コンピュータシステムによって実行される処理(508)を用いてデータ通信媒体を介して前記クライアントに対する前記識別情報コードから動的に識別される文字位置の組み合わせを前記クライアントに供給するステップであって、前記文字位置の組み合わせは前記識別情報コードから前記文字位置の全てを含むものではないことを特徴とするステップと、
前記コンピュータシステムにおいて、データ通信媒体を介して前記クライアントから入力データ(408、ID_PIN SUBSET−図8)を受信するステップであって、前記入力データは前記識別情報コードからの文字の組み合わせを含み、前記文字の組み合わせは前記識別情報コードの全てを含むものではないことを特徴とするステップと、
前記コンピュータシステムにおいて、前記入力データが動的に識別される文字位置の組み合わせにおいて記憶されている識別情報コードからの文字と一致するかどうかを決定するステップ(505)とを備えている方法。
【請求項2】
前記コンピュータシステムにおいて、前記識別情報コードにおける文字位置のランダムサブセットを発生させるためにランダムサブセットジェネレータ(505)を用いることを含む方法であって、前記ランダムサブセットは、前記動的に識別される文字位置の組み合わせを備えることを特徴とする請求項1に記載の方法。
【請求項3】
前記動的に識別される文字位置の組み合わせが用いられる認証セッションの開始後に前記動的に識別される文字位置の組み合わせを発生させることを含む請求項1に記載の方法。
【請求項4】
前記識別情報コード(ID_PIN)における前記文字は数字(ディジット)であることを特徴とする請求項1に記載の方法。
【請求項5】
クライアントに対するクライアント識別情報(ACC#{XYZ}−図8)及び前記クライアントに対する識別情報コード(ID_PIN)であって一連の文字を含んでいる識別情報コードを記憶するメモリ(907)と、
前記メモリに接続されるコンピュータシステムとを備えている取引サーバであって、
前記コンピュータシステムは、
データ通信媒体を介して前記クライアントにクライアント識別情報の入力要求を供給するためのモジュール(504)と、
データ通信媒体を介して前記クライアントから前記クライアント識別情報を指示するデータを受信し、前記クライアント識別情報を指示する前記データが前記クライアントに対する記憶されているクライアント識別情報と一致することを検証するためのモジュール(406)と、
前記クライアントに対する前記識別情報コードから前記クライアントに対して動的に識別される文字位置の組み合わせを供給するためのモジュール(505)であって、前記文字位置の組み合わせは前記識別情報コードからの前記文字位置の全てを含むものではないことを特徴とするモジュールと、
データ通信媒体を介して前記クライアントから入力データ(ID_PIN SUBSET−図8)を受信するためのモジュール(408)であって、前記入力データは前記クライアントに対する前記識別情報コードからの文字の組み合わせを含み、前記文字の組み合わせは前記識別情報コードの全てを含むものではないことを特徴とするモジュールと、
前記入力データが、動的に識別される文字位置の組み合わせにおいて前記クライアントに対する記憶される識別情報コードからの文字と一致する場合に取引の処理を続行できるようにするためのモジュール(505)とを含むことを特徴とする取引サーバ。
【請求項6】
前記識別情報コードにおいてランダムサブセットの位置を発生させるための前記コンピュータシステムのランダムサブセットジェネレータ(505)を含む取引サーバであって、
前記ランダムサブセットは、前記動的に識別される文字位置の組み合わせを備えることを特徴とする請求項5に記載の取引サーバ。
【請求項7】
前記動的に識別される文字位置の組み合わせが用いられる認証セッションの開始後に前記動的に識別される文字位置の組み合わせは発生させられる請求項5に記載の取引サーバ。
【請求項8】
前記識別情報コード(ID_PIN)における前記文字は、数字(ディジット)を含むことを特徴とする請求項5に記載の取引サーバ。
【請求項1】
クライアントの認証のための対話式方法であって、
クライアントに対するクライアント識別情報(ACC#{XYZ}−図8)及び前記クライアントに対する識別情報コード(ID_PIN)であって一連の文字を備えている識別情報コードをメモリ(907)に記憶するステップと、
コンピュータシステムによって実行される処理(504)を用いてデータ通信媒体を介してクライアント識別情報の入力要求を前記クライアントに供給するステップと、
前記コンピュータシステムにおいて、前記クライアントからのデータであって前記クライアントに対する前記クライアント識別情報(406)を指示するデータを、データ通信媒体を介して受信し、前記クライアント識別情報を指示する前記データが記憶されているクライアント識別情報と一致することを検証するステップと、
前記コンピュータシステムによって実行される処理(508)を用いてデータ通信媒体を介して前記クライアントに対する前記識別情報コードから動的に識別される文字位置の組み合わせを前記クライアントに供給するステップであって、前記文字位置の組み合わせは前記識別情報コードから前記文字位置の全てを含むものではないことを特徴とするステップと、
前記コンピュータシステムにおいて、データ通信媒体を介して前記クライアントから入力データ(408、ID_PIN SUBSET−図8)を受信するステップであって、前記入力データは前記識別情報コードからの文字の組み合わせを含み、前記文字の組み合わせは前記識別情報コードの全てを含むものではないことを特徴とするステップと、
前記コンピュータシステムにおいて、前記入力データが動的に識別される文字位置の組み合わせにおいて記憶されている識別情報コードからの文字と一致するかどうかを決定するステップ(505)とを備えている方法。
【請求項2】
前記コンピュータシステムにおいて、前記識別情報コードにおける文字位置のランダムサブセットを発生させるためにランダムサブセットジェネレータ(505)を用いることを含む方法であって、前記ランダムサブセットは、前記動的に識別される文字位置の組み合わせを備えることを特徴とする請求項1に記載の方法。
【請求項3】
前記動的に識別される文字位置の組み合わせが用いられる認証セッションの開始後に前記動的に識別される文字位置の組み合わせを発生させることを含む請求項1に記載の方法。
【請求項4】
前記識別情報コード(ID_PIN)における前記文字は数字(ディジット)であることを特徴とする請求項1に記載の方法。
【請求項5】
クライアントに対するクライアント識別情報(ACC#{XYZ}−図8)及び前記クライアントに対する識別情報コード(ID_PIN)であって一連の文字を含んでいる識別情報コードを記憶するメモリ(907)と、
前記メモリに接続されるコンピュータシステムとを備えている取引サーバであって、
前記コンピュータシステムは、
データ通信媒体を介して前記クライアントにクライアント識別情報の入力要求を供給するためのモジュール(504)と、
データ通信媒体を介して前記クライアントから前記クライアント識別情報を指示するデータを受信し、前記クライアント識別情報を指示する前記データが前記クライアントに対する記憶されているクライアント識別情報と一致することを検証するためのモジュール(406)と、
前記クライアントに対する前記識別情報コードから前記クライアントに対して動的に識別される文字位置の組み合わせを供給するためのモジュール(505)であって、前記文字位置の組み合わせは前記識別情報コードからの前記文字位置の全てを含むものではないことを特徴とするモジュールと、
データ通信媒体を介して前記クライアントから入力データ(ID_PIN SUBSET−図8)を受信するためのモジュール(408)であって、前記入力データは前記クライアントに対する前記識別情報コードからの文字の組み合わせを含み、前記文字の組み合わせは前記識別情報コードの全てを含むものではないことを特徴とするモジュールと、
前記入力データが、動的に識別される文字位置の組み合わせにおいて前記クライアントに対する記憶される識別情報コードからの文字と一致する場合に取引の処理を続行できるようにするためのモジュール(505)とを含むことを特徴とする取引サーバ。
【請求項6】
前記識別情報コードにおいてランダムサブセットの位置を発生させるための前記コンピュータシステムのランダムサブセットジェネレータ(505)を含む取引サーバであって、
前記ランダムサブセットは、前記動的に識別される文字位置の組み合わせを備えることを特徴とする請求項5に記載の取引サーバ。
【請求項7】
前記動的に識別される文字位置の組み合わせが用いられる認証セッションの開始後に前記動的に識別される文字位置の組み合わせは発生させられる請求項5に記載の取引サーバ。
【請求項8】
前記識別情報コード(ID_PIN)における前記文字は、数字(ディジット)を含むことを特徴とする請求項5に記載の取引サーバ。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図9C】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図9C】
【公開番号】特開2006−73022(P2006−73022A)
【公開日】平成18年3月16日(2006.3.16)
【国際特許分類】
【出願番号】特願2005−266859(P2005−266859)
【出願日】平成17年9月14日(2005.9.14)
【分割の表示】特願2001−374962(P2001−374962)の分割
【原出願日】平成13年11月2日(2001.11.2)
【出願人】(501472847)オーサーネイティブ インコーポレイテッド (1)
【Fターム(参考)】
【公開日】平成18年3月16日(2006.3.16)
【国際特許分類】
【出願日】平成17年9月14日(2005.9.14)
【分割の表示】特願2001−374962(P2001−374962)の分割
【原出願日】平成13年11月2日(2001.11.2)
【出願人】(501472847)オーサーネイティブ インコーポレイテッド (1)
【Fターム(参考)】
[ Back to top ]