具有強化安全控管功能的交易系統的製作方法

2023-07-15 22:47:16 2

專利名稱：具有強化安全控管功能的交易系統的製作方法
技術領域：
本發明涉及一種交易系統，特別是涉及適合應用於具有多個分行和辦事處的階層式銀行結構的交易系統。
目前金融機構所進行的金融交易處理，多數是採用計算機化對各種交易進行處理，例如存貸款等等業務，並且通過網絡結構，將多個分支機構與總行系統連接，通過連線操作進而達到數據整合、交易簡化等優點。
然而，目前已知的銀行計算機系統仍然存在有許多的缺點。首先，目前所採用的銀行計算機系統大多為封閉性設計的專用系統，當系統需要擴充或是進行更新過程時，往往便是一個災難的開始。舉例來說，當此封閉性系統在擴充設備時，往往必須配合原有系統進行修改，因此在選擇硬體、軟體時經常會受到原有系統的限制，不僅不易擴充設備，而且在修改原有系統時往往很容易出現不兼容的問題。另一方面，通常這種封閉性系統在程序更新或修改時，必須要將更新用的程序寄達或傳輸至原來的系統，再以人工的方式進行存儲、安裝、設定等，不僅耗費相當大的人力、財力和時間，同時也很容易在人工進行更新過程中產生安裝錯誤，或是因為各交易間更新安裝時間不一致而造成在同一時間各分行系統上的程序不一致等等的意外情況發生。
其次，已知的金融機構計算機系統雖然大都有設計安全控管的機制，但是一般而言仍不是相當完備。例如已知銀行計算機系統大都是要求使用者在登入該系統時，必須輸入使用者名稱和密碼，以防止非法使用者登入，此即一般所謂的密碼檢證機制。然而，一般使用者所設定的密碼不是過於簡單(例如是連續性的數字或是相同的字母等)，就是從來不會變更已設定好的密碼。這種密碼設定和管理的方式實際上根本沒有達到所謂的安全控管，很容易被非法使用者所破解。另一方面，在實際金融交易處理過程中，經常會設定符合某些重要條件的交易，必須由主管來審查或是執行授權。在已知銀行計算機系統中，如果某一交易執行是需要經過主管授權後才可進行的話，通常會讓主管到執行此交易的計算機前刷卡來核准授權，因此實際上主管必須在多個交易計算機前來回走動，不僅耗費時間而且相當不方便。更有甚者，這種情況往往會讓主管貪圖一時方便，直接將授權卡片交給一般櫃檯人員自行完成授權程序，因此喪失了主管審查授權的目的。
再者，由於交易系統大都採用網絡連線操作，當系統無可避免地發生停機或是斷線等等情況時，已知銀行計算機系統在此情況下便完全無法進行金融交易操作，即使系統恢復連線後，也無法自動進行更新或補登數據的處理。
另外，已知銀行計算機系統雖然已經可以通過網絡連接起各種主機或終端處理裝置，但是實際上卻無法通過此計算機化接口來直接獲得即時訊息，例如各種公告、重要訊息以及即時新聞等等，因此無法獲得信息網絡化的好處。
為了解決上述各種問題，本發明的目的是提供一種適用於銀行體系的金融交易系統，能夠以密碼限定原則、密碼強迫更改、強迫籤退、暫停使用管制以及主管授權等等功能，來加強安全控管的機制，使得系統的安全性更加提高。另外，主管可以經由所在的計算機上執行核准授權以完成主管授權程序，如此便可以增加其審核授權速度。
另外，本發明的另一目的在於提供一種適用於銀行體系的金融交易系統，能夠針對系統停機、斷線等等特殊情況，提供可執行的離線操作程序，藉以解決已知系統中停機或斷線時所產生的問題。
另外，本發明的另一目的在於提供一種適用於銀行體系的金融交易系統，能夠讓系統程序自動進行更新的過程，藉以減少人力操作並且避免延遲錯誤的產生。
另外，本發明的另一目的在於提供一種適用於銀行體系的金融交易系統，能夠執行訊息即時廣播功能，藉此以最快速和直接的方式將重要的公告和訊息顯示在此系統內的終端處理裝置上。
因此，本發明提供一種具有強化安全控管功能的交易系統，其包括一鏈結網絡、用以連線外部主機並且連接於鏈結網絡的通訊伺服器、可以通過通訊伺服器與外部主機連線的伺服裝置、和通過鏈結網絡與伺服裝置連線的終端處理裝置。在安全控管上，當一操作者登入終端處理裝置時，終端處理裝置會接收此操作者所輸入的登入數據，一般具有一登入密碼(login password)。伺服裝置的安全控管模塊則與存儲於伺服裝置中對應於合法操作者的合法操作者密碼相比較，檢查終端處理裝置的操作者所輸入的登入密碼是否合法，藉以判斷是否允許其登入。在安全控管模塊控制下，所有合法操作者密碼都必須符合系統所設定的密碼限定原則，該原則可以是限定合法操作者密碼不得與其對應的合法操作者的已使用過的密碼相同，例如不得與前五個密碼相同，也可以是限定合法操作者密碼內的所有字母或數字不得為相同、連續或等差的關係，甚至亦可以是限定不得與操作者的使用名稱、出生年月日等個人數據相同。此種方式可以增加破解密碼的難度。另外，當合法操作者密碼的存在時間超過一規定期限後，安全控管模塊也會自動啟動一過程，用來強制變更此合法操作者密碼。
另外，安全控管模塊亦具有強制操作者從終端處理模塊上籤退以及對終端設備裝置進行暫停使用管制的功能。
另外，伺服裝置除了以上的功能，還可以處理主管授權操作，用以接收櫃員用終端處理裝置上需要授權的交易數據，傳送至主管用終端處理裝置，並且在完成授權後，傳回原來櫃員用終端處理裝置；也可以處理網絡伺服器與外部主機離線和連線的操作；也可以進行訊息廣播；也可以進行程序更新，解決已知技術中交易系統的各項缺點。
附圖簡單說明為使本發明的上述目的、特徵和優點能更明顯易懂，下文特舉一較佳實施例，並配合附圖，作詳細說明如下

圖1表示本發明實施例的金融機構的系統結構方塊圖。
圖2表示本發明實施例中在交易系統中的系統硬體方塊圖。
圖3表示本發明實施例中在交易系統中的系統軟體(包含程序模塊以及資料庫)的結構示意圖。
圖4表示本發明實施例中安全控管操作的流程圖。
圖5表示本發明實施例中安全控管操作的強迫籤退功能的流程圖。
圖6表示本發明實施例中安全控管操作的暫停使用管制功能的流程圖。
圖7表示本發明實施例中主管授權操作的流程圖。
圖8表示本發明實施例的離線操作的流程圖。
圖9表示本發明實施例的恢復連線操作的流程圖。
圖10表示本發明實施例的訊息廣播操作的流程圖。
圖11表示本發明實施例中交易主機系統程序更新操作的流程圖。
圖12表本發明實施例中交易系統終端處理裝置的程序更新操作的流程圖。
實施例圖1表示本實施例中金融機構系統結構方塊圖。如圖1所示，此系統係為一階層式結構，其中包括總行主機10、以及通過網絡15連接到總行主機10的多個交易系統20、21、22、自動櫃員機(automatedtellermachine，ATM)40等等其他設備，以及通過網絡25連接到交易系統20、22的辦事處30、31。在本實施例中，在總行主機10與交易系統20、21、22以及其他設備(如自動櫃員機40)之間的網絡15，可以採用專線或者是封閉式網絡連線，以便提高其安全性。至於交易系統20的內部則可以採用區域網(localarea network，LAN)，例如一般常見的乙太網(Ethernet)或是令牌環網(token ringnetwork)，在結構上為企業的內部網絡(Intranet)。至於在部分的交易主機(20、22)以及其下層的辦事處(30、31)之間的網絡25，本實施例中為了節省成本，系採用網際網路(Internet)的遠端連線方式，不過此部分仍然是可以採用專線連線的方式，但其設置成本較高。
以下分別就硬體和軟體方面描述本系統的結構。
硬體結構圖2是表示本實施例中交易系統20以及其下層的辦事處30的硬體結構方塊圖，至於其他的交易系統則具有類似的結構。在圖2中，交易系統20包含有通訊伺服器210、交易處理伺服器220、資料庫伺服器230、訊息廣播伺服器240、程序更新伺服器250、終端處理裝置260、270、280及其周邊設備262、272，以及與辦事處30採取遠端連線操作方式時使用的通訊設備290。上述交易系統20內的各伺服器/設備是利用網絡200加以連接，網絡200可以是乙太網、令牌環網或是更高速的光纖網絡(例如FDDI)等等。
另外，此交易系統20則是通過通訊伺服器210與總行主機10進行通訊，並且通過通訊設備290與其下層的辦事處30通訊。
以下詳細說明交易系統20內的各伺服器/設備的工作內容及其結構。首先說明的是交易系統的主機群，如前所述，本實施例中主要包括通訊伺服器210、交易處理伺服器220、資料庫伺服器230、訊息廣播伺服器240以及程序更新伺服器250。各伺服器可以各自利用一獨立主機加以實現，也可以選擇性地設置在同一主機上。
通訊伺服器210中包括了用來實際負責進行通訊的硬體、固體(firmware)以及應用程式，本實施例中則不特別限定其所使用的通訊協定類型，例如高速傳輸用的ATM(asynchronoustransfermode，異步傳輸模式)或是其他協定均可以使用於本實施例中。通訊伺服器210的主要功能是在總行主機10以及此交易系統20之間進行通訊和傳輸數據等等的服務。
交易處理伺服器220則是存儲各種用以處理各種特定功能的程序模塊。
圖3所示本實施例中的交易處理伺服器220所包括的各種程序模塊，分別為開關機處理模塊221、安全控管模塊222、交易處理模塊223、應用程式處理模塊224、主管授權模塊225以及離線處理模塊226。必須說明的是，圖3所例示的各種程序模塊並非用以限定本發明，對於本領域的普通技術人員而言，只針對其中數項加以實現或是加入其他輔助功能的模塊，均不脫離本發明的範圍。至於各程序模塊的功能及操作，則於描述系統整體操作時再一併說明。
資料庫伺服器230為一般已知的存儲裝置，用來存儲使用於此交易系統中的相關數據。
訊息廣播伺服器240具有一訊息廣播模塊，用來接收總行主機10所發出的訊息或自行製作廣播訊息進行訊息廣播。在本實施例中，由總行主機10所發出的訊息可以設定訊息顯示狀態為「立即」和「一般」二種情況。這是在考慮使用者在接收時可以採取的應對措施。當此訊息為「立即」顯示狀態時，表示接收到的終端處理裝置立即將訊息內容顯示在顯示幕上；當此訊息為「一般」顯示狀態時，則僅需要顯示有收到新訊息，使用者可於稍後時間再自行開啟閱覽。訊息顯示狀態可以依照不同應用環境而加以調整。
程序更新伺服器250具有一程序更新模塊，接收總行主機1 0所發出的更新程序或於每次開機時自行檢查是否有程序更新程序，若有更新的程序，則自動執行更新程序。
除了上述的伺服器群外，在交易系統20中還包括由主管及櫃檯人員所實際操作的終端處理裝置260、270、280，其可以是一般個人計算機、終端機或是工作站主機等等，為負責執行交易時輸入信息、顯示訊息的裝置。這些終端處理裝置同樣包含用來執行不同程序所需的硬體及軟體模塊，例如用來進行通訊服務的通訊模塊281，用來進行交易處理的交易表單選擇模塊282、數據解譯模塊283及接口模塊284，用來控制周邊設備(262、272)的周邊驅動程序285，以及用來與各主機完成特定工作的安全控管模塊286、程序更新處理模塊287以及訊息廣播處理模塊288。另外，終端處理裝置260、270、280依據操作者的職位不同，必須通過一權限控制模塊289設定其權限及可執行的操作，一般可以區分為主管用終端處理裝置以及櫃員用終端處理裝置二種。主管用終端處理裝置一般定義為主管人員所登入的終端處理裝置而具有主管的執行權限，櫃員用終端處理裝置一般定義為櫃檯人員所登入的終端處理裝置而具有櫃員的執行權限。至於詳細的操作流程則配合後述的各項工作流程一併說明。
另外，如圖2所示，其中終端處理裝置260、270還示出連接到其他的周邊設備262、272，這其中可以包括存摺印表機、傳票印表機、密碼輸入器、磁條閱讀器、條碼掃描器、自動補摺機等等。上述不同的周邊設備須通過個別的驅動程序加以控制，此處不再贅述。
而在交易系統20中的通訊設備290則是負責藉由專線通訊網絡與辦事處30連線，一般包括了將訊息格式化的數據機以及負責在專線通訊網絡上找到目的地址的路由器等等。另一方面，在辨事處30則具有對應的通訊設備330，通過內部的網絡300，用以連接其他的終端處理裝置310、320及其周邊設備322。基本上，在辦事處中並不需要設置如交易系統的主機/伺服器群，可以直接設置主管及櫃檯人員使用者的終端處理裝置即可。必須注意的是，交易系統20與辨事處30之間是通過「網際網路」通訊來傳輸，但是由於「網際網路」通訊網絡為一開放式通訊結構，因此所有傳輸數據都需要經過加密處理才可以確保其安全性。此加密處理必須符合隱密性(其他人無法讀出數據)、不可竄改(防止其他人修改傳輸中的金融交易數據)以及可辨識來源(防止其他人以假的數據取代傳輸中的金融交易數據)等等要求，例如各種數據加密技術(例如DES、RSA)以及各種數字籤名技術，此處不再贅述。
軟體結構如前所述，交易處理伺服器220具有用來執行各種特定功能的模塊。其中開關機處理模塊221、交易處理模塊223以及應用程式處理模塊224則可以配合在操作者所使用的終端處理裝置的對應模塊，執行一般性操作及交易的功能。以下則分別描述這些模塊的功能。
開關機處理模塊211是用來執行交易系統主機群的開機和關機基本流程操作。
交易處理模塊223是用來處理各種交易操作的輸入和輸出功能，其中包括了輸入數據組成、輸出數據接收、以及相關周邊設備處理等等工作。
應用程式處理模塊224是用來執行交易系統20中可獨立執行的應用程式，如貸款、託收等業務。
另外，本實施例中為了能夠解決已知銀行計算機系統中的安全控管缺陷以及斷線或停機等等情況，在交易處理伺服器220中包含了安全控管模塊222、主管授權處理模塊225以及離線處理模塊226，用以處理安全控管、主管授權及離線處理等等問題。上述這些模塊則於後述操作流程中一併說明。
另一方面，在終端處理裝置上則具有對應的處理模塊，例如安全控管模塊286、程序更新處理模塊287以及訊息廣播處理模塊288。同樣的，這些模塊亦於後述的操作流程中一併說明。
至於本實施例的交易系統中的數據結構部分，則是存儲於伺服器群中的資料庫伺服器230中。
操作流程圖3表示本發明實施例中，在交易系統中的系統軟體(包含程序模塊以及資料庫)的結構示意圖。如圖所示，資料庫伺服器230用來存儲各種相關操作流程所需的數據，在安全性的考慮下，其中各資料庫中數據應以適當的加密方式加以保護。另外，交易處理伺服器220中的安全控管模塊222則是配合對應的終端處理裝置，用來提供安全控管功能；另外，主管授權模塊225則是配合對應的終端處理裝置，用來提供網絡化的主管授權功能；另外，離線處理模塊226則是用來處理停機、斷線等等意外的情況。而訊息廣播伺服器240則是配合終端處理裝置260的訊息廣播處理模塊288，用來處理訊息廣播功能。最後，程序更新伺服器250則是配合終端處理裝置260的程序更新處理模塊287，用來處理程序更新功能。以下結合圖3的結構及對應的流程圖，詳細說明本實施例中的各項功能。
(1)安全控管操作流程本實施例的安全控管功能中，除了具備一般性的安全控管之外，例如當終端處理裝置與交易的伺服器連線時，可以檢查其設備認證數據，是終端處理裝置代號(ID)或是IP位址；當櫃檯人員登入終端處理裝置時，必須執行登入流程(其中包括了輸入使用者代號和密碼)；認證用的密碼必須經過亂碼(scrambling)處理後，才會存儲於資料庫伺服器230中的密碼數據234中；預先設定各主管和櫃檯人員的交易權限和管理權限。對於認證用的密碼而言，本實施例中的安全控制操作特別包括了以下兩項機制，以便增加密碼的安全性。
1.密碼強迫更改當密碼於設定後超過一規定期限時，必須強迫使用者更改密碼。
2.密碼限定原則為防止密碼被輕易破解而制定密碼限定的原則，使用者在設定密碼時需符合系統所設定的所有限定原則，該限定原則可依實際需求而設定，例如(a)不得與先前一規定次數的已設定過的密碼相同；(b)不得為單一相同數字或文字(例如11111或是bbbbb)、亦不得具有連號或等差的數字(例如cdefg或13579)。
(c)不得與操作者的使用名稱、出生年月日等個人數據相同。
圖4表示本實施例中安全控管操作的流程圖。此安全控管操作流程主要是由交易處理伺服器220中的安全控管模塊222進行。首先，終端處理裝置開機，並且將對應此終端處理裝置的認證數據傳送至安全控管模塊222(步驟S100)。上述認證數據一般可以包含此終端處理裝置的代碼(ID)以及其所預定的IP位址。接著伺服器上的安全控管模塊222會檢查終端處理裝置的認證數據是否正確(步驟S102)。若安全控管模塊222無法找到對應的數據，則終端處理裝置開機失敗(步驟S104)。若成功的話，則終端處理裝置出現登入畫面，要求輸入使用者數據，包括使用者代碼和密碼(步驟S106)。
在操作者完成輸入並傳送到安全控管模塊222後，安全控管模塊222便會根據資料庫伺服器230中的密碼數據和使用者數據，檢查所輸入的數據是否正確(步驟S108)。上述的密碼和使用者數據亦可存儲在總行主機中經由通訊伺服器而連線獲得。此時如果操作者連續輸入錯誤密碼超過規定次數時(步驟S110)，則會在此終端處理裝置上顯示出登入失敗的訊息，並且限制該使用者不得再進行登入操作(步驟S112)。上述的規定錯誤次數可以依據實際環境加以調整。
另一方面，如果操作者所輸入的數據是正確的，安全控管模塊222會進一步檢查其密碼的設定日期是否超過一定期限(步驟S114)，例如15日。若此密碼的設定日期沒有超過期限，則表示登入成功，終端處理裝置的控制系統開始啟動(步驟S116)。另一方面，如果該密碼的設定日期已經超過期限，則安全控管模塊222會自動執行更新密碼流程，要求使用者輸入新的密碼(步驟S118)。安全控管模塊222必須比較所輸入的新密碼是否符合系統預先設定的密碼限定原則(步驟S120)。如果符合，則表示密碼變更成功(步驟S122)，而此時終端處設備的控制系統亦可以開始啟動。
除了上述的密碼檢驗及控管流程，本實施例中的安全控管模塊222亦提供其他的輔助功能來強化其安全機制，其中包括強迫籤退功能以及暫停使用管制功能。
強迫籤退功能是在特定情況下，主管可以緊急強迫特定的櫃員自動籤退。圖5表示本實施例中安全控管操作的強迫籤退功能的流程圖。如圖5所示，此功能是從主管請求強制籤退特定櫃員時開始。首先，安全控管模塊222會接收到來自主管用終端處理裝置所送來的強迫籤退請求(步驟S200)。接著，安全控管模塊222會檢查請求者是否具有執行此功能的權限(步驟S202)。
如果沒有此權限，則可以回覆訊息表示執行失敗(步驟S204)。如果確實是從具有此權限的主管發出，則安全控管模塊222會要求此請求者，輸入所要指定籤退的櫃員代碼(步驟S206)。當接收到此櫃員代碼後，安全控管模塊222便可以將該櫃員從所使用的終端處理裝置中籤退(步驟S208)，完成此功能。
暫停使用管制功能則是當終端處理裝置在一指定時間內未進行任何操作時(例如操作輸入裝置)，為了防止他人藉由此終端處理裝置侵入交易系統而自動執行暫停使用管制功能來自動地籤退此終端處理裝置上的操作者。圖6表示本實施例中安全控管操作的暫停使用管制功能的流程圖。如圖6所示，此功能是從某一終端處理裝置自行檢測到本身的滑鼠、鍵盤或其他裝置，在一段時間未被使用開始。首先，終端處理裝置檢測到自已的滑鼠或鍵盤未被使用達一段時間(步驟S300)，例如30分鐘。接著，此終端處理裝置會將此訊息(包含目前已登入的使用者信息)傳送到安全控管模塊222(步驟S302)。收到這些訊息後，安全控管模塊222會先檢查此一終端處理裝置上是否仍在交易處理的狀態下(步驟S304)。如果目前沒有進行交易處理，則安全控管模塊222會自動地執行籤退功能(步驟S306)。
另一方面，如果此終端處理裝置目前仍有交易正在進行，則安全控管模塊222會先通知該終端處理裝置(步驟S308)，交由其內部對應的模塊來處理。此時，終端處理裝置會先凍結目前交易處理的狀態，並且要求目前的操作者輸入其使用者密碼(步驟S310)。當操作者輸入其密碼時，安全控管模塊222會檢查所輸入的密碼是否正確(步驟S312)。如果是正確密碼，表示該終端處理裝置仍在安全的狀態下，於是便可以恢復原先凍結的交易處理狀態(步驟S314)，繼續進行交易。但是如果安全控管模塊222檢查輸入密碼錯誤的次數已經超過限定次數(步驟S316)，則安全控管模塊222會發出訊息通知終端處理裝置的控制系統中斷目前的交易狀態，並且自動執行籤退功能(步驟S318)，藉以保障交易的安全性。
因此在本實施例的安全控管功能中，除了可以對於密碼的設定管理加以強化，同時通過主管強迫籤退以及系統暫停使用管制的功能，還可以在操作過程中防止可能的舞弊現象，提高系統的安全性。
(2)主管授權操作流程本實施例的主管授權功能是用來處理必須經由主管授權的交易操作。
圖7表示本實施例中主管授權操作的流程圖，其主要是利用交易處理伺服器220中的主管授權模塊225以及各終端處理裝置中的安全控管模塊286來進行。
以下詳細說明其流程。
首先，各終端處理裝置內的安全控管模塊286對於每一交易處理，都會檢查是否需要經由主管授權(步驟S400)。如果不需要，則此交易處理可以繼續進行(步驟S402)。但是如果目前的交易處理是需要主管授權才可以進行的話，則此終端處理裝置內的安全控管模塊286會先要求櫃檯人員輸入指定授權的主管數據(步驟S404)，例如該主管的代碼等等可供辨識的信息。接著，安全控管模塊286便將所指定授權的主管數據以及需要授權的交易畫面，傳送至交易處理伺服器220的主管授權模塊225(步驟S406)。
當交易處理伺服器220成功地接收到指定授權主管數據以及需要授權的交易畫面時，主管授權模塊225便可以根據所接收的指定授權主管數據，將需要授權的交易畫面送往被指定授權主管所在的終端處理裝置上(步驟S408)。接著，該主管所在終端處理裝置便會顯示需要授權的交易畫面，請示主管是否核准(步驟S410)。接著，該授權主管如果未在限定時間內進行授權的話(步驟S412)，則視為未授權，此主管用終端處理裝置便將未授權的訊息，傳回到交易處理伺服器220的主管授權模塊225(步驟S416)，主管授權模塊225再將此未授權訊息回覆給該櫃員用終端處理裝置，藉以中止此交易處理進行(步驟S418)。
另一方面，主管可以在規定時間內決定交易處理是否核准，這可以通過直接輸入或是利用刷卡的方式實現，是否核准的訊息被傳回到交易處理伺服器220的主管授權模塊225，而主管授權模塊225再送回原櫃員用終端處理裝置(步驟S414)。如果主管核准此一授權交易，則可以繼續交易處理(步驟S402)，如果未核准，則會中止此交易處理進行(步驟S418)。
上述主管授權的處理流程可以加快一般主管授權的過程，減輕主管授權的工作量，同時也能夠更快速地處理需要授權的交易。
(3)離線處理操作流程本實施例的正常交易處理，是設定於交易與總行主機10連線時執行，然而網絡系統有時仍會發生通訊中斷的情況。當交易系統與總行主機19為離線狀態時，便無法依照正常方式執行一般的交易處理，在本實施例中則是由交易處理伺服器220的離線處理模塊226來啟動離線操作進行交易處理。本實施例的離線操作流程可以直接處理不須連線亦可進行的交易類型，亦即該交易類型與總行主機10內的資料庫無關，例如登記客戶數據、處理交易帳務數據、查詢交易交易流水紀錄數據等等。另外，本實施例的離線操作流程也可以處理部分與總行資料庫相關的交易類型，此時必須將所處理的交易紀錄暫時存儲在資料庫伺服器中，當系統恢復連線時再自動進行補登數據、更新總行的資料庫的後續處理操作。
圖8表示本實施例的離線操作的流程圖，用以處理離線狀態時的情況，其主要是由交易處理伺服器220的離線處理模塊226控制。首先，當交易系統中的通訊伺服器210檢測到離線狀態時(步驟S500)，便會啟動交易處理伺服器220中的離線處理模塊226(步驟S502)。接著，離線處理模塊226便會將交易內的各種終端處理裝置，設定為離線工作狀態，以便開始執行離線時的交易處理流程(步驟S504)。接著在後續交易處理中，各終端處理裝置會將離線交易的所有數據送往離線處理模塊226(步驟S506)。而離線處理模塊226則處理這些離線交易的數據，並且將其存儲在資料庫伺服器中(步驟S508)。
圖9表示本實施例的恢復連線操作的流程圖，用以處理在離線狀態後重新與總行主機10連線的情況。首先，當通訊伺服器210檢測到與總行主機10間線路恢復正常後(步驟S510)，通訊伺服器210便會執行恢復連線的操作(步驟S512)。接著，離線處理模塊226便將離線時所存儲的離線交易數據送往總行主機10，以便進行補登和更新的操作(步驟S514)。
在完成補登及更新操作後，離線處理模塊226便將交易內的各終端處理裝置重新設定為連線工作的狀態，可以執行正常情況下的交易處理(步驟S516)。
(4)訊息廣播操作流程圖10表示本實施例的訊息廣播操作的流程圖。首先，總行主機10啟動其自身的訊息廣播模塊(未圖示)，並且輸入欲廣播的訊息(步驟S600)。
接著，總行主機10的訊息廣播系統將輸入的訊息傳送至交易系統中的訊息廣播伺服器240(步驟S602)。交易系統中的訊息廣播伺服器240可以接收來自總行主機10的廣播訊息或是自行輸入欲廣播的訊息，配合所設定的訊息顯示方式(例如「一般」和「立即」)，將這些訊息傳送至交易系統中終端處理裝置的訊息廣播處理模塊288(步驟S604)。最後，各終端處理裝置的訊息廣播處理模塊288便可以根據所設定的顯示方式，將訊息內容立即顯示在屏幕上或是在屏幕上顯示接收訊息通知而後由操作者自行開啟閱讀。
通過上述的訊息廣播操作，一般性或是立即性的訊息可以通過交易系統鏈結網絡或是與總行之間連線網絡，快速地傳遞到所有的終端處理裝置上，達到所需要的訊息廣播功能。
(5)程序更新操作流程在本實施例中，程序更新包括了交易主機/伺服器的程序更新操作以及終端處理裝置上的程序更新操作。
圖11表示本實施例中交易主機程序更新操作的流程圖，首先，當交易系統的主機開機時(步驟S700)，程序更新伺服器250會先檢查交易系統中資料庫伺服器230內是否有更新用程序(步驟S702)。如果有，則會自動執行此更新用程序進行程序更新(步驟S704)。如果沒有，則交易主機會繼續完成開機操作，並且與總行主機10進行連線(步驟S706)。一旦與總行主機10連線成功後，交易系統中的程序更新伺服器250則會檢測總行主機10中的程序更新系統是否有更新程序(步驟S708)。如果有更新程序，則程序更新伺服器250會下載此更新程序並且加以存儲(步驟S710)，再自動執行此更新程序進行更新(步驟S704)。若無，則表示不需要進行更新，因此直接進入一般的操作狀態(步驟S712)。此外，總行主機亦可將更新程序主動傳送到各交易系統的資料庫進行存儲，該交易系統於下次開機時自動執行更新。
圖12表示本實施例中交易終端處理裝置的程序更新操作的流程圖。同樣的，當此終端處理裝置開機時(步驟S720)，終端處理裝置中的程序更新處理模塊287會檢查資料庫伺服器230內是否有終端處理裝置所使用的更新程序(步驟S722)。如果有，則自動執行此更新程序(步驟S724)。若無，則表示終端處理裝置開機成功，在與交易主機連線後(步驟S726)，進入一般操作狀態(步驟S728)。
在上述的程序更新操作中，由於無論是伺服器或是終端處理裝置均是在一開機就執行更新程序的檢查操作，並且在有更新程序時立即進行程序更新，再完成開機操作。因此可以保證交易內的伺服器或是終端處理裝置是以最新的程序進行操作。
本發明雖以一較佳實施例作了說明，但所述實施例並非用以限定本發明，本領域普通技術人員，在不脫離本發明的精神和範圍內，可做若干更動與潤飾，因此本發明的保護範圍以後附的權利要求所界定的範圍為準。
權利要求
1.一種加強安全控管的交易系統，其包括一鏈結網絡；一通訊伺服器，用以連線一外部主機並且連接上述鏈結網絡；至少一伺服裝置，連接上述鏈結網絡，用以通過上述通訊伺服器與上述外部主機連線；至少一終端處理裝置，連接上述鏈結網絡，用以通過上述鏈結網絡與上述伺服裝置連線；其中上述終端處理裝置，用以當一操作者登入上述終端處理裝置時接收上述操作者所輸入的登入數據，該登入數據至少具有一登入密碼，且用以提供已登入的操作者請求執行交易功能；其中上述伺服裝置存儲對應於至少一合法操作者的合法操作者密碼；其中上述伺服裝置具有一安全控管模塊，用以根據上述合法操作者密碼，檢查上述終端處理裝置的操作者所輸入上述登入密碼以判斷是否允許上述操作者登入；其中上述安全控管模塊，用以判斷上述合法操作者密碼是否符合一密碼限定原則，該密碼限定原則用以限定上述合法操作者密碼不與對應的上述合法操作者的至少一已使用密碼相同，且該合法操作者密碼的存在時間超過一規定期限，上述安全控管模塊啟動一過程，用以強制變更上述合法操作者密碼；以及其中上述伺服裝置具有一交易處理模塊和一應用程式處理模塊，用以執行上述已登入的操作者所請求的交易功能。
2.如權利要求1所述的交易系統，其中上述交易終端裝置包括至少一操作者終端處理裝置，連接上述鏈結網絡，用以通過上述鏈結網絡與上述伺服裝置連線；至少一主管終端處理裝置，連接上述鏈結網絡，用以通過上述鏈結網絡與上述伺服裝置連線；其中終端處理裝置，用以提供上述已登入的操作者請求執行交易功能，且在請求執行一需要授權的交易時，將需要授權的交易數據傳送至上述伺服裝置，並接收該伺服裝置所傳回是否授權的相關訊息；其中上述伺服裝置具有一主管授權模塊，用以接收在上述操作者終端處理裝置上需要授權的交易數據，傳送至上述主管終端處理裝置，並接收該主管終端處理裝置回覆上述交易數據是否授權的相關訊息，傳回上述操作者終端處理裝置；以及其中上述主管終端處理裝置，用以接收及顯示上述需要授權的交易數據，並將回覆是否授權的相關訊息傳回上述伺服裝置。
3.如權利要求1所述的交易系統，其中上述安全控制模塊根據一具有強制籤退權限的合法操作者指令，用以強制上述已登入的操作者籤退上述終端處理裝置；以及其中上述伺服裝置存儲有強制籤退權限的合法操作者的權限數據。
4.如權利要求2所述的交易系統，其中上述安全控制模塊根據一具有強制籤退權限的主管操作者指令，用以強制上述已登入的操作者籤退上述操作者終端處理裝置；以及其中上述伺服裝置存儲有強制籤退權限的主管操作者的權限數據。
5.如權利要求1或2所述的交易系統，其中上述安全控制模塊根據終端處理裝置未使用到一規定時間，用以強制上述已登入的操作者籤退上述終端處理裝置；以及其中上述安全控制模塊根據終端處理裝置未使用到一規定時間且該終端處理裝置正處於交易狀態中，用以凍結該終端處理裝置的交易處理狀態。
6.如權利要求1或2所述的交易系統，其中上述伺服裝置還具有一離線處理模塊，用以處理上述通訊伺服器與上述外部主機離線和恢復連線的操作。
7.如權利要求1或2所述的交易系統，其中上述伺服裝置用以將一廣播訊息，通過上述鏈結網絡傳送至上述終端處理裝置。
8.如權利要求1或2所述的交易系統，其中上述伺服裝置用以存儲更新程序，當上述伺服裝置開機時，則根據所存儲的更新程序進行更新；以及其中上述伺服裝置通過上述通訊伺服器，用以下載更新程序至上述伺服裝置予以存儲。
9.如權利要求1或2所述的交易系統，其中還包括一通訊裝置，用以遠端連線一外部終端處理裝置。
10.一種應用一交易系統以加強安全控管的交易的操作方法，該交易系統具有一鏈結網絡；一通訊伺服器，用以連線一外部主機並且連接上述鏈結網絡；至少一伺服裝置，連接上述鏈結網絡，用以通過上述通訊伺服器與上述外部主機連線；以及至少一終端處理裝置，連接上述鏈結網絡，用以通過上述鏈結網絡與上述伺服裝置連線；其包括下列步驟當一操作者登入上述終端處理裝置時，接收上述操作者所輸入的登入數據，上述登入數據至少具有一登入密碼；傳送上述登入數據至上述伺服裝置；根據上述伺服裝置中所存儲的對應於至少一合法操作者的合法操作者密碼以及所接收的上述登入密碼，決定上述操作者是否為合法操作者，若為合法操作者則允許登入該終端處理裝置；當上述操作者為合法操作者時，判斷對應的上述合法操作者密碼的存在時間是否超過一規定期限；當上述合法操作者密碼的存在時間超過上述規定期限時，強制變更上述合法操作者密碼，其中變更的上述合法操作者密碼符合一密碼限定原則，用以限定上述合法操作者密碼不與對應的上述合法操作者的至少一已使用密碼相同；以及上述終端處理裝置提供已登入的合法操作者請求執行交易的功能，且由上述伺服裝置執行交易功能。
11.如權利要求10所述的操作方法，其中還包括步驟具有強制籤退權限的合法操作者下達一指令，用以強制上述已登入的操作者籤退上述終端處理裝置。
12.如權利要求10所述的操作方法，其中還包括下述步驟檢測與上述外部主機的連線是否正常；當與上述外部主機間離線時，將上述終端處理裝置的交易數據存儲於上述伺服裝置；以及當與上述外部主機恢復連線時，以存儲的上述交易數據更新上述外部主機。
13.如權利要求10所述的操作方法，其中還包括下列步驟上述伺服裝置接收一廣播訊息；以及通過上述鏈結網絡傳送至上述終端處理裝置。
14.如權利要求10所述的操作方法，其中還包括下列步驟上述伺服裝置通過上述通訊伺服器，由上述外部主機下載更新程序至上述伺服裝置；當上述伺服裝置開機時，根據存儲於上述伺服裝置的更新程序進行更新；以及當上述終端處理裝置開機時，通過上述鏈結網絡，根據上述伺服裝置所存儲的更新程序進行更新。
15.一種應用一交易系統以加強安全控管的交易的操作方法，該交易系統具有一鏈結網絡；一通訊伺服器，用以連線一外部主機並且連接上述鏈結網絡；至少一伺服裝置，連接上述鏈結網絡，用以通過上述通訊伺服器與上述外部主機連線；至少一操作者終端處理裝置，連接上述鏈結網絡，用以通過上述鏈結網絡與上述伺服裝置連線；以及至少一主管終端處理裝置，連接上述鏈結網絡，用以通過上述鏈結網絡與上述伺服裝置連線；其包括下列步驟當上述的操作者終端處理裝置在執行一需要授權的交易時，將需要授權的交易數據傳送至上述伺服裝置；上述伺服裝置接收在上述操作者終端處理裝置上需要授權的交易數據，傳送至所指定的上述主管終端處理裝置；上述的主管終端處理裝置接收上述需要授權的交易時，顯示需要授權的交易數據，並將是否授權的相關訊息傳回上述的伺服裝置；以及上述伺服裝置將交易數據是否授權的相關訊息，傳回上述操作者終端處理裝置。
16.如權利要求15所述的操作方法，其中還包括步驟具有強制籤退權限的主管操作者下達一指令，用以強制上述已登入的操作者籤退上述操作者終端處理裝置。
17.如權利要求15所述的操作方法，其中還包括下述步驟檢測與上述外部主機的連線是否正常；當與上述外部主機間離線時，將上述終端處理裝置的交易數據存儲於上述伺服裝置；以及當與上述外部主機恢復連線時，以存儲的上述交易數據更新上述外部主機。
18.如權利要求15所述的操作方法，其中還包括下列步驟上述伺服裝置接收一廣播訊息；以及通過上述鏈結網絡傳送至上述終端處理裝置。
19.如權利要求15所述的操作方法，其中還包括下列步驟上述伺服裝置通過上述通訊伺服器，由上述外部主機下載更新程序至上述伺服裝置當上述伺服裝置開機時，根據存儲於上述伺服裝置的更新程序進行更新；以及當上述終端處理裝置開機時，通過上述鏈結網絡，根據上述伺服裝置所存儲的更新程序進行更新。
全文摘要
本發明提供一種具有強化安全控管功能的交易系統,其與一總行主機連線,其中包括多個主機/伺服器以及多個主管用或櫃員用終端處理裝置。交易伺服器中包括通訊伺服器、交易處理伺服器、資料庫伺服器、訊息廣播伺服器以及程序更新伺服器等等。其中交易處理伺服器配合各終端處理裝置內的模塊,提供各項安全控管操作、主管授權操作以及離線處理操作,訊息廣播伺服器和程序更新伺服器是用以提供訊息廣播及程序更新的操作。
文檔編號G06F13/00GK1365055SQ0110122
公開日2002年8月21日 申請日期2001年1月9日 優先權日2001年1月9日
發明者徐楫遠 申請人:精業股份有限公司