自動交易裝置及自動交易系統的製作方法

2023-10-22 02:33:32

專利名稱：自動交易裝置及自動交易系統的製作方法
技術領域：
本發明涉及自動交易裝置中用來提高安全性的技術。
背景技術：
近年來,在現金自動交易裝置(ATM :Automated Teller Machine)中，具備CPU或RAM、硬碟等，應用通用個人計算機的技術來設計的很多。在這樣的現金自動交易裝置中，遵照標準的規格作成內置於現金自動交易裝置的軟體這樣的動向正在普及。遵照標準規格作成的軟體具有通用性高、成本低這樣的優點，但存在容易被病毒感染這樣的問題。對於這樣的問題，已經知道通過對存在於現金自動交易裝置的硬碟內的程序與登記了病毒中包含的特定字符串或被病毒感染了的程序的特徵動作模式等的病毒碼檔案(patterr file)進行比較，檢測混入到內置於現金自動交易裝置的軟體的病毒的技術(例 如專利文獻I)。[專利文獻I]日本特開2004-362012號公報[專利文獻2]日本特開2009-181335號公報但是，對存在於硬碟內的程序與病毒碼檔案進行比較的手法存在應對新的病毒困難這樣的問題。並且，這樣的問題並不局限於現金自動交易裝置，是各種自動售貨機或自動售票機等、應用個人計算機技術而設計的自動交易裝置普遍共同的問題。

發明內容
本發明的目的就是要提供一種在自動交易裝置中能夠不使用包含了病毒特徵的病毒碼檔案而提高安全性的技術。本發明是用來解決上述問題的至少一部分而作成的，能夠作為以下的形態或適用例來實現。[適用例I]一種自動交易裝置，具備主體控制部，控制上述自動交易裝置的各部；個人信息控制部，根據來自上述主體控制部的請求，獲取使用者的個人信息；現金控制部，根據來自上述主體控制部的請求，進行現金的授受；以及不正當檢測部，在使用通過上述主體控制部進行的、對上述個人信息控制部或上述現金控制部的處理的請求的種類以及一連串的交易處理中的上述自動交易裝置的內部狀態，檢測到上述請求為由上述自動交易裝置內在的不正當程序提出的請求的情況下，使上述自動交易裝置向與能夠進行通常的交易的通常狀態不同的警戒狀態轉變。如果採用這樣的結構，由於不正當檢測部在使用對個人信息控制部或現金控制部的處理的請求的種類以及一連串交易處理中的自動交易裝置的內部狀態，檢測到該請求為由自動交易裝置內在的不正當程序提出的請求的情況下，使自動交易裝置向與能夠進行通常的交易的通常狀態不同的警戒狀態轉變，因此在自動交易裝置中能夠不使用包含了病毒特徵的病毒碼檔案，而提高安全性。[適用例2]如適用例I所記載的自動交易裝置，還具備通過網絡與外部裝置連接、與上述外部裝置之間進行信息交換的通信部；上述不正當檢測部，進ー步，確認通過上述主體控制部進行的、對上述個人信息控制部或上述現金控制部的處理的請求的發行源，在檢測到上述請求為由通過上述通信部進行的不正當訪問提出的請求的情況下，使上述自動交易裝置向上述警戒狀態轉變。如果採用這樣的結構，由於不正當檢測部進ー步確認對個人信息控制部或現金控制部的處理的請求的發行源，在檢測到該請求為由通過通信部進行的不正當訪問提出的請求的情況下，使自動交易裝置向警戒狀態轉變，因此在自動交易裝置中能夠進ー步提高安 全性。[適用例3]如適用例I或2所記載的自動交易裝置，上述不正當檢測部，進一歩，確認從上述主體控制部對上述個人信息控制部或上述現金控制部的處理的請求所使用的電文的結構，在檢測到上述請求所使用的標準接ロ為不正當的標準接ロ的情況下，使上述自動交易裝置向上述警戒狀態轉變。如果採用這樣的結構，由於不正當檢測部進ー步確認從主體控制部對個人信息控制部或現金控制部的處理的請求所使用的電文的結構，在檢測到請求所使用的標準接ロ為不正當的標準接ロ的情況下，使自動交易裝置向警戒狀態轉變，因此在自動交易裝置中能夠進ー步提高安全性。[適用例4]如適用例I至3中的任ー項所記載的自動交易裝置，還具備預先將方法信息與處理信息建立關聯地加以存儲的存儲部，上述方法信息是與用來檢測上述不正當程序、上述不正當訪問、以及上述不正當的標準接口中的至少任ー個的方法有關的信息，上述處理信息是與上述警戒狀態下執行的處理的內容的有關的信息，上述方法信息和上述處理信息是為了進行上述不正當檢測部中的處理而使用的信息。如果採用這樣的結構，具備預先將方法信息與處理信息建立關聯地加以存儲的存儲部，方法信息是與用來檢測不正當程序、不正當訪問、以及不正當的標準接口中的至少任ー個的方法有關的信息，處理信息是與警戒狀態下執行的處理的內容的有關的信息，不正當檢測部使用該信息進行處理。結果，不正當檢測部在警戒狀態下能夠根據方法信息分別執行各個處理，能夠提高處理的靈活性。[適用例5]如適用例I至4中的任一項記載的自動交易裝置，上述不正當檢測部，還在對上述個人信息控制部或上述現金控制部的處理的請求為未知種類的情況、對上述個人信息控制部或上述現金控制部的處理的請求為從未知的發行源發行的情況、以及對上述個人信息控制部或上述現金控制部的處理的請求為未知的電文結構的情況中的至少任ー情況下，學習該請求。如果採用這樣的結構，不正當檢測部還在對個人信息控制部或現金控制部的處理的請求為未知種類的情況、對個人信息控制部或現金控制部的處理的請求為從未知的發行源發行的情況、以及對個人信息控制部或現金控制部的處理的請求為未知的電文結構的情況中的至少任一情況下，能夠學習該請求。[適用例6]如適用例I至5中的任一項記載的自動交易裝置，在上述警戒狀態下執行的處理為上述自動交易裝置的休止處理以及上述自動交易裝置中的各處理的跟蹤記錄處理中的任一個。如果採用這樣的結構，在不正當檢測部檢測到不正當程序、不正當訪問和不正當的標準接口中的至少任一個的情況下，能夠使自動交易裝置的狀態轉變成休止狀態、跟蹤記錄狀態中的任一狀態。 [適用例7]如適用例4至6中的任一項記載的自動交易裝置，還具備用來接受來自上述自動交易裝置的管理者的上述處理信息的變更的主管人員操作部。如果採用這樣的結構，能夠接受來自自動交易裝置的管理者的處理信息的變更。結果，能夠提高自動交易裝置的便利性。[適用例8]如適用例I至7中的任一項記載的自動交易裝置，上述不正當檢測部還在檢測到上述不正當程序、上述不正當訪問、以及上述不正當的標準接口中的至少任一個的情況下，對上述外部裝置通知檢測到了不正當這一內容。如果採用這樣的結構，由於不正當檢測部還在檢測到不正當程序、不正當訪問、以及不正當的標準接口中的至少任一個的情況下，對外部裝置通知檢測到了不正當這一內容，因此對自動交易裝置的外部也能夠喚起警戒。[適用例9]一種現金自動交易系統，具備自動交易裝置和伺服器；上述自動交易裝置具備主體控制部，控制上述自動交易裝置的各部；個人信息控制部，根據來自上述主體控制部的請求，獲取使用者的個人信息；以及現金控制部，根據來自上述主體控制部的請求，進行現金的授受，上述伺服器具備不正當檢測部，該不正當檢測部使用上述個人信息控制部或上述現金控制部接收到的處理的請求的種類以及一連串的交易處理中的上述自動交易裝置的內部狀態，檢測上述請求是否為由上述自動交易裝置內在的不正當程序提出的請求，上述個人信息控制部和上述現金控制部在接收到來自上述主體控制部的處理的請求之際，向上述伺服器詢問該請求是否為由上述不正當程序提出的請求，上述不正當檢測部在檢測到該請求為由上述不正當程序提出的請求的情況下，使上述自動交易裝置向與能夠進行通常的交易的通常狀態不同的警戒狀態轉變。如果採用這樣的結構，即使在外部的伺服器中具備不正當檢測部的自動交易裝置中也能夠獲得與適用例I相同的效果。而且，如果採用這樣的結構，由於用外部的伺服器總括起來進行不正當程序的檢測，因此能夠減輕自動交易裝置的處理負擔，並且能夠達到有關檢測到的不正當程序的信息一元化的目的。另外，本發明能夠以種種形態實現。例如，本發明除了以自動交易裝置(現金自動交易裝置、自動售貨機、自動售票機等)、自動交易系統、自動交易裝置的控制方法實現以夕卜，還能夠以用來實現那些方法或裝置的功能的電腦程式、存儲了該電腦程式的存儲介質等形態實現。


圖I為概略地表示作為本發明一個實施例的現金自動交易裝置的硬體結構的說明圖；圖2為概略地表示ATM的軟體結構的說明圖；圖3為表示不正當檢測信息的一例的說明圖；圖4為表示請求傾向信息的一例的說明圖；圖5為表不I/F辨認信息的一例的說明圖；圖6為表示主體控制部執行的ー連串交易處理中執行不正當檢測處理的狀況的順序圖；圖7為表示不正當檢測處理的步驟的流程圖；圖8表示通過請求傾向的學習更新後的請求傾向信息的一例；圖9為表示標準I/F辨認處理的步驟的流程圖；圖10為表示不正當檢測處理中的變更處理信息所使用的設定畫面的一例的說明圖；圖11為表示第2實施例的現金自動交易系統的大致結構的說明圖。標記說明10.現金自動交易裝置(ATM);20.伺服器；22.讀卡機構；24.存摺機構；26.明細單機構；32.硬幣機構；34.紙幣機構；42.顧客操作部；44.主管人員操作部；50.控制單元；60.流水印表機構；100.主體控制部；110.不正當檢測部；200.觸控螢幕控制部；300.存儲部；310.不正當檢測信息；320. I/F辨認信息；330.請求傾向信息；400.通信部；500.卡機構控制部；510.存摺機構控制部；520.明細單機構控制部；600.紙幣機構控制部；610.硬幣機構控制部；700.流水控制部；1000.現金自動交易系統；EW.設定畫面
具體實施例方式接著根據實施例按以下的順序說明本發明的實施形態。A.第I實施例(A-I)硬體結構圖I為概略地表示作為本發明一個實施例的現金自動交易裝置的硬體結構的說明圖。現金自動交易裝置10 (以下也稱「ATM」)ATMlO為，例如設置在金融機構或零售店、公共設施等處，按照利用者的操作自動地提供金融機構等提供的現金出納等服務的裝置。ATMlO也稱現金自動存取機。ATMlO具備卡機構22、存摺機構24、明細單機構26、硬幣機構32、紙幣機構34、顧客操作部42、主管人員操作部44、控制單元50、和流水(journal)印表機構60。另外，圖I對於說明上沒有必要的其他結構部省略了圖示。這些在後述的圖中也一樣。卡機構22為用來從自插卡口插入的現金卡讀取利用者的銀行帳號等信息的機構。存摺機構24為用來從自存摺插入口插入的存摺讀取利用者的銀行帳號等信息、並且對存摺進行交易內容等的列印的機構。明細單機構26為用來發行列印了利用者的交易內容的明細單的機構。硬幣機構32為與利用者進行硬幣授受的機構。紙幣機構34為與利用者進行紙幣(以後也稱為「紙張類」)授受的機構。紙幣機構34在入款時識別從利用者插入的紙幣，按幣種分類後保管。並且，在出款時送出利用者指示的金額的量的紙幣，從出入款口向利用者收付。顧客操作部42為，通過設置在ATMlO前面的觸控螢幕顯示交易所必要的信息，並且用來接受來自利用者的操作的用戶接口。主管人員操作部44為，通過設置在ATMlO背面的觸控螢幕顯示用於ATMlO的管理的信息，並且用來接受來自管理者的操作的用戶接口。另外， 顧客操作部42和主管人員操作部44也可以取代觸控螢幕而用顯示器和按鈕等構成。流水印表機構60為將與利用者的交易內容等逐次列印到規定的流水用紙上的機構。另外，流水印表機構60也可以採用使用資料庫或文件等電子介質保留記錄的電子流水的方法取代列印到紙介質上的方法。控制單元50控制上述各機構。控制單元50作為具備CPU或存儲器、硬碟、網絡接口等的計算機而構成。(A-2)軟體結構圖2為概略地表示ATMlO的軟體結構的說明圖。在控制單元50的未圖示的硬碟中安裝有用來實現控制單元50的功能的各種控制程序。控制單元50的CPU51將存儲器300作為工作區域使用，通過執行這些各種控制程序而起圖2所示的各功能部的作用。控制單元50具備主體控制部100、不正當檢測部110、觸控螢幕控制部200、存儲部300、通信部400、卡機構控制部500、存摺機構控制部510、明細單機構控制部520、紙幣機構控制部600、硬幣機構控制部610和流水控制部700作為功能部。主體控制部100具有根據來自利用者的指示控制圖2的各功能部，並且執行ATMlO的各種交易處理的功能。不正當檢測部Iio具有執行用來檢測ATMlO中內在的不正當程序、對ATMlO的不正當訪問、不正當的標準接口的不正當檢測處理(詳細後述)的功能。另外，在本實施例中，「不正當程序」意指ATMlO的廠商提供的正規程序以外的程序，S卩，ATMlO的利用者或管理者、使用ATMlO的金融機構等進行未預期的不正當的出款操作或個人信息獲取操作的程序。並且，「不正當訪問」意指來自與既定的通信埠不同的通信埠的對ATMlO的訪問、或者來自預先允許的裝置以外的裝置的對ATMlO的訪問。並且，「不正當的標準接口 」意指使用了預先允許的標準接口以外的標準接口的對ATMlO的訪問。其中，「標準接口」意指對在ATMlO的各功能部之間交換的電文(命令指令)的結構等制定的協約。觸控螢幕控制部200控制顧客操作部42和主管人員操作部44所使用的觸控螢幕的動作。具體為，觸控螢幕控制部200進行對觸控螢幕的信息的顯示、或對觸控螢幕的來自利用者、管理者的輸入的獲取。
存儲部300儲存用於由不正當檢測部110進行的不正當檢測處理的信息。具體為，存儲部300中包含有為了檢測ATMlO內在的不正當程序、對ATMlO的不正當訪問而使用的不正當檢測信息310和請求傾向信息330 ;以及為了檢測不正當的標準接ロ而使用的I/F辨認信息320。詳細後述。通信部400包含未圖示的網絡接ロ，按照規定的協議在與外部裝置(設置於ATMlO外部的各種裝置。例如ATMlO的管理裝置、伺服器等)之間進行信息交換。另外，本實施例中假定通信部400具備100BASE-T的網絡接ロ，按照TCP/IP協議進行與外部裝置的通信。卡機構控制部500具有控制卡機構22的功能。同樣，存摺機構控制部510具有控制存摺機構24的功能，明細單機構控制部520具有控制明細單機構26的功能，紙幣機構控制部600具有控制紙幣機構34的功能，硬幣機構控制部610具有控制硬幣機構32的功能，流水控制部700具有控制流水印表機構60的功能。圖3為表示不正當檢測信息310的一例的說明圖。不正當檢測信息310為不正當 檢測部110執行的不正當檢測處理中用於不正當程序或不正當訪問的對策的信息，以表格形式保存。不正當檢測信息310包含編號、檢測方法、狀態的各信息組。在編號信息組中，作為用來將儲存在各表項中的信息互相識別的識別信息，被付與唯一的編號。檢測方法信息組中儲存有用來檢測ATMlO內在的不正當程序或對ATMlO的不正當訪問的方法。狀態信息組中，儲存有在用儲存在檢測方法中的方法檢測到不正當程序或不正當訪問的情況下、應該使ATMlO轉變的狀態。例如，用圖3的編號I識別的表項中，表示確認「是否與請求的傾向一致」作為檢測方法。另外，有關請求的傾向後述。並且，表示在確認的結果為檢測到不正當的情況下、將ATMlO變成「跟蹤紀錄並且允許交易」的狀態。而且，例如用編號2識別的表項中，表示確認「接收到處理的請求的端ロ是否為分配TCP/IP通信的端ロ」作為檢測方法。並且，表示在確認的結果為檢測到不正當的情況下、將ATMlO變成「交易中止」狀態。而且，例如用編號3識別的表項中，表示確認「作為處理的請求源的裝置的IP位址或MAC地址是否與允許訪問ATMlO的裝置的IP位址或MAC地址一致」作為檢測方法。並且，表示在確認的結果為檢測到不正當的情況下、將ATMlO變成「交易中止」狀態。另外，圖3中將有關用來檢測儲存在檢測方法信息組中的不正當程序或不正當訪問的方法的信息也稱為「方法信息」。並且，將儲存在狀態信息組中、表示應該使ATMlO轉變的狀態的信息也稱為「處理信息」。而且，將ATMlO處於「交易中止」狀態或「跟蹤登記並允許交易」的狀況也叫作ATMlO處於「警戒狀態」。警戒狀態在ATMlO中為與能夠進行通常交易的通常狀態不同的狀態。圖4為表示請求傾向信息330的一例的說明圖。請求傾向信息330為為了在不正當檢測部110執行的不正當檢測處理中通過監視主體控制部100執行的交易處理來檢測不正當程序而使用的信息，用表格形式保存。請求傾向信息330包含編號、內部狀態、功能部的各信息組。編號信息組中，作為用來將儲存在各表項中的信息互相識別的識別信息，被付與唯一的編號。內部狀態信息組中儲存有主體控制部100執行的ー連串交易處理中的、ATMlO內部狀態的名稱。功能部信息組中還包含分別表示ATMlO所包含的各功能部(圖2)中、進行現金授受的功能部(現金控制部)和獲取利用者個人信息的功能部(個人信息控制部)的名稱的信息組。另外，圖4所示的功能部中密碼控制部和交易選擇控制部為主體控制部100內部所包含的控制部。各信息組的表項中還與主體控制部100執行的一連串交易處理中的ATMlO的內部狀態相對應，儲存有表示各功能部中的處理是可能還是不可能的信息。具體為，在某個功能部中的處理是可能的情況下，儲存進行該功能部中的處理後轉變的內部狀態的編號(圖4中沒陰影的區域)。並且，在某個功能部中的處理不可能的情況下，儲存空值(圖4中斜線陰影的區域)。例如，圖4的例中，從用編號I識別的表項可知，在主體控制部100執行的一連串的交易處理中的ATMlO的內部狀態為空閒狀態的情況下，能夠進行由卡機構控制部和交易選擇控制部進行的處理，由其他控制部(紙幣機構控制部等)進行的處理不能進行。並且，在進行了由卡機構控制部進行的讀卡處理之後，ATMlO向編號3的交易選擇等待狀態轉變。同樣，在進行了由交易選擇控制部進行的讀取處理後，ATMlO向編號2的卡插入等待狀態轉變。
從用編號2識別的表項可知，在ATMlO的內部狀態為卡插入等待狀態的情況下，只有由卡機構控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由卡機構控制部進行的處理之後，ATMlO向編號4的密碼輸入等待狀態轉變。從用編號3識別的表項可知，在ATMlO的內部狀態為交易選擇等待狀態的情況下，只有由交易選擇控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由交易選擇控制部進行的處理之後，ATMlO向編號4的密碼輸入等待狀態轉變。從用編號4識別的表項可知，在ATMlO的內部狀態為密碼輸入等待狀態的情況下，只有由密碼控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由密碼控制部進行的處理之後，ATMlO向編號6的出款金額輸入等待狀態轉變。從用編號5識別的表項可知，在ATMlO的內部狀態為密碼獲取等待狀態的情況下，只有由密碼控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由密碼控制部進行的處理之後，ATMlO向編號6的出款金額輸入等待狀態轉變。從用編號6識別的表項可知，在ATMlO的內部狀態為出款金額輸入等待狀態的情況下，只有由密碼控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由密碼控制部進行的處理之後，ATMlO向編號7的出款請求等待狀態轉變。從用編號7識別的表項可知，在ATMlO的內部狀態為出款請求等待狀態的情況下，只有由紙幣機構控制部或硬幣機構控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由紙幣機構控制部或硬幣機構控制部進行的處理之後，ATMlO向編號8的卡/明細單拔出等待狀態轉變。從用編號8識別的表項可知，在ATMlO的內部狀態為卡/明細單拔出等待狀態的情況下，只有由卡機構控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由卡機構控制部進行的處理之後，ATMlO向編號9的出款介質拔出等待狀態轉變。從用編號9識別的表項可知，在ATMlO的內部狀態為出款介質拔出等待狀態的情況下，只有由紙幣機構控制部或硬幣機構控制部進行的處理能夠進行，由其他控制部進行的處理不能進行。並且，在由紙幣機構控制部或硬幣機構控制部進行的處理之後，ATMlO向編號I的空閒狀態轉變。
這樣，在圖4所示的請求傾向信息330中，主體控制部100執行的ー連串交易處理中的ATMlO的內部狀態和能夠在該內部狀態下執行處理的控制部的種類(換言之，允許的處理請求的種類)建立起對應地存儲。圖5為表示I/F辨認信息320的一例的說明圖。I/F辨認信息320為在不正當檢測部110執行的不正當檢測處理中為了不正當的標準接ロ的對策而使用的信息，用表格形式保存。I/F辨認信息320包含編號、標準接ロ種類、特徵、版本、狀態的各信息組。在編號中，作為用來將儲存在各表 項中的信息互相識別的識別信息，被付與唯一的編號。標準接ロ種類中儲存有標準接ロ的名稱。版本中儲存有標準接ロ的版本。I/F辨認信息320中，用標準接ロ種類和版本的組合，唯一地確定標準接ロ。特徵中，儲存有用標準接ロ種類和版本的組合唯一地確定的每個標準接ロ的、電文(命令指令)的結構特徵。狀態中，儲存有在用儲存在特徵中的電文的結構特徵檢測到不正當的標準接ロ的情況下、應該使ATMlO轉變的狀態。例如，圖5的用編號I識別的表項中表示作為標準接ロ I的版本2. 0的特徵，「初次啟動(OPEN指令)的輸入參數為X個、輸入參數的第X個自變量為『XXXXX』」，以及「註冊表(registry)的XXXX￥XXX中儲存有密鑰『XXXXX』 」。並且表示，在確認結果為判定為符合該標準接ロ的情況下，將ATMlO變成「允許交易」狀態。而且，用編號4識別的表項中表示作為同樣的標準接ロ I的版本2. 0的特徵，「紙幣出款命令(BCKB指令)的輸入參數為I個、輸入參數的第I個自變量為『XXXXX』 +幣種」。並且表示，在確認結果是判定為符合該標準接ロ的情況下，將ATMlO變成「允許交易」狀態。而且，用編號n識別的表項中表示在不滿足用編號I n — I識別的所有的表項中儲存的特徵的情況下，將ATMlO變成「交易中止」狀態——即警戒狀態。另外，圖中的X能夠輸入任意的值。另外，圖5中將儲存在特徵信息組中的電文的結構特徵也稱為有關用來檢測不正當的標準接ロ的方法的「方法信息」。並且，將儲存在狀態信息組中、表示應該使ATMlO轉變的狀態的信息也稱為「處理信息」。(A-3)不正當檢測處理(A-3-1)處理的順序圖6為表示主體控制部100執行的ー連串交易處理中不正當檢測處理被執行的狀況的順序圖。圖6的例中舉紙幣機構控制部作為現金控制部的一例，舉卡機構控制部作為個人信息控制部的一例，以主體控制部100讀取從利用者插入的卡後進行紙幣出款的情況作為例子說明。檢測到來自利用者的卡的插入的主體控制部100對卡機構控制部500發送請求讀取插入的卡的電文(命令指令)(步驟S12)。接收了來自主體控制部100的請求的卡機構控制部500請求不正當檢測部110執行不正當檢測處理(步驟S14)。接收了請求的不正當檢測部110執行不正當檢測處理(詳細情況如後所述)(步驟S16)。在不正當檢測部110在不正當檢測處理中檢測到了不正當的情況下，將ATMlO變成警戒狀態，在沒有檢測到不正當的情況下不作任何處理。不正當檢測部110在不正當檢測處理結束後將處理結束了這ー內容通知給調用源(步驟S18)。接收了通知的卡機構控制部500進行插入的卡的讀取處理(步驟S20)。然後，卡機構控制部500將卡讀取處理的結果獲得的個人信息(例如帳戶名義人名、卡號等)向主體控制部100通知(步驟S22)。然後，進行例如處理菜單的選擇或密碼的輸入等由利用者進行的進一步的操作，主體控制部100進行與操作內容相對應的處理。詳細省略。接收了來自利用者的出款指示的主體控制部100對紙幣機構控制部600發送送出所指示的金額的紙幣這樣請求的電文(命令指令)(步驟S24)。接收了來自主體控制部100的請求的紙幣機構控制部600請求不正當檢測部110執行不正當檢測處理(步驟S26)。接收了請求的不正當檢測部110執行不正當檢測處理(步驟S28)。詳細情況與步驟S16同樣。不正當檢測部110在不正當檢測處理結束後將處理結束了這一內容通知給調用源(步驟S30)。接收了通知的紙幣機構控制部600執行從主體控制部100指示的金額的紙幣的出款處理(步驟S32)。然後，紙幣機構控制部600將出款結果向主體控制部100通知(步驟S34)。 (A-3-2)不正當檢測處理的流程7為表示不正當檢測處理的步驟的流程圖。不正當檢測部110參照不正當檢測信息310執行儲存在最初的表項中的檢測方法即確認「是否與請求的傾向一致」(步驟S102)。具體為，不正當檢測部110通過將ATMlO當前的內部狀態和實際從主體控制部100向功能部發出的請求的種類(例如卡讀取指令或密碼讀取指令、出款指令等)與請求傾向信息330相對照，判斷從主體控制部100向功能部發出的請求是否與許可的請求的種類一致。例如，在ATMlO當前的內部狀態為空閒狀態、從主體控制部100向卡機構控制部500發出卡讀取指令時(圖6中步驟S12)，如圖4所示，在ATMlO的內部狀態為空閒狀態的情況下，由於由卡機構控制部進行的處理和由交易選擇控制部進行的處理能夠進行，因此判定為該處理的請求是應該允許的請求(正當)。另一方面，在例如ATMlO當前的內部狀態為空閒狀態，從主體控制部100向紙幣機構控制部600發出出款指令時，如圖4所示，在ATMlO的內部狀態為空閒狀態的情況下，由於由卡機構控制部和交易選擇控制部以外的控制部進行的處理不能夠進行，因此判定為該處理的請求不允許(不正當)。在步驟S102中，在判定為處理的請求是應該允許的請求的情況下，不正當檢測部110判定為與請求的傾向一致(即不正當沒被檢測到)(步驟S104中為NO)，將處理向步驟S106轉變。不正當檢測部110判斷是否進行了確認直到儲存在不正當檢測信息310中的檢測方法的最後(步驟S106)。在沒有進行確認直到檢測方法的最後的情況下(步驟S106中為NO)，不正當檢測部110使處理向步驟S102轉變，繼續進行儲存在不正當檢測信息310的下一個表項中的檢測方法的確認——即繼續進行「接收了處理請求的埠是否為分配TCP/IP通信的埠」的確認。另一方面，在結束了確認直到檢測方法的最後的情況下(步驟S106中為YES)，不正當檢測部110使處理向步驟S108轉變，學習請求傾向(步驟S108)。具體為，不正當檢測部110在步驟S102中用於判斷的實際的請求的種類與ATMlO的內部狀態的組合為未知(即沒有登記在請求傾向信息330中)的組合的情況下，用該信息更新請求傾向信息330的內容。另外，在該更新之際，既可以進行請求傾向信息330的既存信息的覆蓋，也可以將存儲部300的既存的信息保持原樣，追加新的信息。圖8表示通過請求傾向的學習更新的請求傾向信息330的一例。圖8的例中，為了使從空閒狀態的存摺的處理成為可能，更新了區域NF的部分信息。不正當檢測部110執行標準I/F辨認處理(詳細後述)(步驟S110)。在標準I/F辨認處理結束後，不正當檢測部110對作為調用源的功能部通知處理結束了這ー內容(步驟S112)。然後如圖6所示，繼續進行交易處理。在步驟S102中，在判定為處理請求不被允許的情況下，不正當檢測部110判定為與請求傾向不一致(即檢測到不正當)(步驟S104中為YES)，使處理向步驟S114轉變。不正當檢測部110參照不正當檢測信息310中、對應的登記的狀態信息組的內容(步驟S114)。不正當檢測部110判斷狀態信息組的內容是否為「允許交易」(步驟S116)。在允許交易的情況下(步驟S116中為YES)，不正當檢測部110對流水控制部700請求登記交易處理的跟蹤(步驟S118)，向步驟SllO轉變。另ー方面，在不允許交易的情況下(步驟S116中為NO)，不正當檢測部110對主體控制部100請求使ATMlO變成交易中止狀態(步驟 S120)，結束處理。這樣，不正當檢測部110在不正當檢測信息310的檢測方法「是否與請求傾向一致」的確認中，使用請求傾向信息330來確認通過主體控制部100進行的、對個人信息控制部或現金控制部的處理請求是否為被允許的請求。並且，不正當檢測部110在接收到不被允許的請求(換言之，與請求傾向不一致的請求)的情況下，判定為該請求為由不正當程序發行的、未預期的順序的、未預期的請求(即檢測到不正當)，能夠將ATMlO轉變成警戒狀態。並且，不正當檢測部110在不正當檢測信息310的檢測方法「接收到了處理請求的端ロ是否為分配TCP/IP通信的端ロ 」和「作為處理請求源的裝置的IP位址或MAC地址是否與被允許訪問ATMlO的裝置的IP位址或MAC地址一致」的確認中，確認主體控制部100接收到的請求的出處。並且，不正當檢測部110在主體控制部100接收到了與上述條件不一致的請求的情況下，判定為該請求是由來自不正當發行源的不正當訪問進行的未預期的請求(即檢測到了不正當)，能夠使ATMlO轉變成警戒狀態。(A-3-3)標準I/F辨認處理的流程9為表示標準I/F辨認處理的步驟的流程圖。標準I/F辨認處理為不正當檢測處理的子程序。不正當檢測部110確認儲存在I/F辨認信息320的最初的表項中的特徵中的至少ー個是否與從主體控制部100向各功能部作為請求而發送的電文(命令指令)的結構一致(步驟S202)。在步驟S202中，在判定為I/F辨認信息320內的特徵與請求的電文的結構一致的情況下，不正當檢測部110判定為與特徵一致(步驟S204中為YES)，使處理向步驟S214轉變。不正當檢測部110學習標準接ロ的特徵(步驟S214)。具體為，不正當檢測部110在步驟S202中用於判斷的實際的請求的電文為未知(即，沒有登記在I/F辨認信息320中)的結構的電文的情況下，用該電文的結構更新I/F辨認信息320的內容。另外，在該更新之際，既可以進行I/F辨認信息320的既存信息的覆蓋，也可以將I/F辨認信息320的既存的信息保持原樣，追加新的信息。而且，不正當檢測部110，對於在步驟S202中用於判斷的實際的請求的電文中、電文結構與特徵信息組的內容一致、但版本不同的表項，也可以更新I/F辨認信息320的該表項的版本信息組的內容。在步驟S202中，在判定為I/F辨認信息320內的特徵與電文的結構不一致的情況下，不正當檢測部Iio判定為與特徵不一致(步驟S204中為NO)，使處理向步驟S206轉變。不正當檢測部110判斷是否進行了確認直到儲存在I/F辨認信息320中的特徵的最後(步驟S206)。在沒有直到最後進行確認的情況下(步驟S206中為NO)，不正當檢測部110使處理向步驟S202轉變，繼續進行儲存在I/F辨認信息320的下一個表項中的特徵的確認。另一方面，在結束了直到特徵的最後的確認的情況下(步驟S206中為YES)，不正當檢測部Iio使處理向步驟S208轉變，參照I/F辨認信息320中、電文結構與特徵信息組的內容一致的表項的狀態信息組的內容(步驟S208)。不正當檢測部110判斷狀態信息組的內容是否為「交易中止」(步驟S210)。在交易中止的情況下(步驟S210中為YES)，不正當檢測部110請求主體控制部100使ATMlO變成交易中止狀態(步驟S218)，結束處理。另一方外，在不是交易中止的情況下(步驟S210中為NO)，不正當檢測部110判斷狀態信息組的內容是否為「允許交易(跟蹤登記)」(步驟S212)。在為「允許交易(跟蹤登記)」的情況下(步驟S212中為YES)，不正當檢測部110請求流水控制部700記錄交易處理 的跟蹤(步驟S216)，結束處理。另一方面，在不是允許交易(跟蹤登記)的情況下(步驟S212中為NO)，不正當檢測部110結束處理。這樣，不正當檢測部110使用儲存在I/F辨認信息320中的、每個標準接口的電文的結構特徵，監視個人信息控制部或現金控制部從主體控制部100接收到的電文的結構。並且，不正當檢測部110在個人信息控制部或現金控制部接收到了未預期的結構的電文的情況下，判定該電文為基於不正當的標準接口發行的不是預期的請求(即檢測到了不正當)，能夠使ATMio轉變成警戒狀態。(A-4)處理信息變更圖10為表示不正當檢測處理中的處理信息變更所使用的設定畫面的一例的說明圖。設定畫面EW為獲取了由管理者進行的操作的主體控制部100使主管人員操作部44的顯示器上顯示的畫面。管理者通過使用設定畫面EW能夠變更不正當檢測信息310和I/F辨認信息320的狀態信息組的內容(即處理信息)。設定畫面EW包含項目顯示部EF、交易中止選擇按鈕CB、允許交易(跟蹤記錄)按鈕0B、下一步按鈕NB和中止按鈕BB。項目顯示部EF為用來顯示不正當檢測信息310的檢測方法信息組的內容或者I/F辨認信息320的特徵信息組的內容的信息組。交易中止選擇按鈕CB和允許交易(跟蹤記錄)按鈕OB為用來指定給顯示在項目顯示部EF的檢測方法(或特徵)分配某一狀態(處理信息)的按鈕。下一步按鈕NB為用來將下一個檢測方法(或特徵)顯示在設定畫面EW的按鈕。終止按鈕BB為用來中止由設定畫面進行的變更處理的按鈕。在圖10的例中，項目顯示部EF中顯示用不正當檢測信息310的編號2識別的表項的檢測方法信息組的內容。並且，不正當檢測信息310的用編號2識別的表項由於當前狀態信息組的內容為「交易中止」，因此對應的交易中止選擇按鈕CB被變灰(gray out)。在ATMlO的管理者想將不正當檢測信息310的用編號2識別的登記的狀態信息組的內容變更成「允許交易(跟蹤記錄)的情況下，只要按下允許交易(跟蹤記錄)按鈕OB就可以。通過按下按鈕，不正當檢測部110更新對應的表的、對應的表項的狀態信息組的內容。如果這樣，能夠接受來自ATMlO的管理者的處理信息的變更。結果，能夠提高ATMlO的不正當檢測處理中的便利性。
如上所述，如果採用第I實施例，不正當檢測部110通過不正當檢測處理(不正當檢測信息310的檢測方法「是否與請求傾向一致」的確認)，確認對個人信息控制部或現金控制部的處理請求是否為被許可的請求，檢測ATMlO內在的不正當程序。並且，不正當檢測部110在檢測到不正當(不正當程序)的情況下，使ATMlO的狀態向與能夠進行通常交易的通常狀態不同的警戒狀態(交易中止、跟蹤記錄)轉變。因此，在ATMlO中能夠不使用包含了病毒特徵的病毒碼檔案提高安全性。而且，不正當檢測部110通過不正當檢測處理(不正當檢測信息310的檢測方法「接收到了處理請求的端ロ」和「作為處理請求源的裝置的IP位址或MAC地址」的確認)，確認對個人信息控制部或現金控制部的處理請求的發行源，檢測通過通信部400的不正當訪問。並且，不正當檢測部110在檢測到不正當(不正當訪問)的情況下，使ATMlO的狀態向警戒狀態轉變。因此，在ATMlO中能夠進ー步提高安全性。而且，不正當檢測部110通過不正當檢測處理(標準I/F辨認處理)監視對個人信息控制部或現金控制部的處理的請求所使用的電文的結構，檢測不正當的標準接ロ的存 在。並且，不正當檢測部110在檢測到不正當(不正當的標準接ロ)的情況下，使ATMlO的狀態向警戒狀態轉變。因此，在ATMlO中能夠提高安全性。而且，存儲部300中存儲為了檢測不正當程序和不正當訪問而使用的不正當檢測信息310、和請求傾向信息330，並且存儲有為了檢測不正當的標準接ロ而使用的I/F辨認信息320。用來檢測不正當程序和不正當訪問的方法信息(檢測方法信息組)、以及有關在警戒狀態下執行的處理內容的處理信息(狀態信息組)預先建立了關聯存儲在不正當檢測信息310中。用來檢測不正當的標準接ロ的方法信息(特徵信息組)、以及有關在警戒狀態下執行的處理內容的處理信息(狀態信息組)預先建立了關聯存儲在I/F辨認信息320中。它們的結果是，不正當檢測部110能夠根據檢測不正當時使用的方法信息在警戒狀態下分別執行單獨的處理，能夠提高處理的靈活性。而且，不正當檢測部110在不正當檢測處理(圖7)的步驟S108中，在對個人信息控制部或現金控制部的處理請求為未知種類的情況下，學習該請求的種類和順序。並且，不正當檢測部110在不正當檢測處理的標準I/F辨認處理(圖9)的步驟S214中，在對個人信息控制部或現金控制部的處理請求為未知的電文結構的情況下，學習該請求的電文結構。結果，不正當檢測信息310、I/F辨認信息320和請求傾向信息330能夠自動更新，能夠降低ATMlO的管理所需要的成本。而且,不正當檢測部110在檢測到了不正當(不正當程序、不正當訪問、不正當的標準接ロ)的情況下，能夠使ATMlO的狀態轉變成休止狀態(交易中止狀態)和跟蹤記錄狀態中的任一狀態。B.第2實施例本發明的第2實施例就現金自動交易裝置與設置在外部的伺服器連接、通過該伺服器進行不正當檢測處理的結構進行說明。以下僅就具有與第I實施例不同的結構和動作的部分進行說明。另外，在圖中對幹與第I實施例相同的結構部分附加與先前說明過的第I實施例相同的標記，將詳細的說明省略。(B-I)網絡結構圖11為表示第2實施例中的現金自動交易系統1000的概略結構的說明圖。現金自動交易系統1000具備有ATMlOa和伺服器20。ATMlOa和伺服器20通過區域網(LAN)NN連接。ATMlOa與第I實施例(圖1、2)的ATMlO在不具備不正當檢測部110和存儲部300這點上不同。伺服器20作為具備未圖示的CPU或存儲器、硬碟、網絡接口等的個人計算機而構成。伺服器20具備有不正當檢測部110和存儲部300作為功能部。不正當檢測部110和存儲部300具有與第I實施例同樣的功能。(B-2)不正當檢測處理第2實施例在ATMlOa的主體控制部100執行的一連串的交易處理中伺服器20僅進行不正當檢測處理的部分。具體為，在圖6的步驟S14中，卡機構控制部500通過通信部400請求伺服器20的不正當檢測部110執行不正當檢測處理。並且，在圖6的步驟S18中，伺服器20的不正當檢測部110通過通信部(未圖示)將處理結束了這一內容通知給調用源 (ATMlOa的卡機構控制部500)。對於步驟S26、S30也同樣。如上所述，如果採用第2實施例，即使在外部伺服器具備不正當檢測部110的ATMlOa中也能夠獲得與第I實施例同樣的效果。而且，如果採用這樣的結構，由於能夠用設置在外部的伺服器20總括起來進行不正當程序、不正當訪問、不正當的標準接口的檢測，因此能夠減輕ATMlOa的處理負荷。而且，由於能夠在伺服器20側一元管理有關不正當程序、不正當訪問、不正當的標準接口的信息(不正當檢測信息310、I/F辨認信息320和請求傾向信息330)，因此在作為具備多個ATMlOa的系統考慮的情況下，能夠構築使用容易的現金自動交易系統。C.變形例另外，本發明並不局限於上述實施例或實施形態，在不超出其旨意的範圍內能夠在種種形態中實施，例如能夠如下地變形。Cl.變形例 I上述實施例說明了現金自動交易裝置及現金自動交易系統的結構和功能。但是，上述實施例表示過的形態僅僅只是一個例子，在不超出本發明旨意的範圍內能夠進行種種變形。例如，現金自動交易裝置也可以具備USB接口或無線通信部等其他結構。例如，現金自動交易裝置還可以與由個人計算機等構成的監視裝置連接。在這種情況下，最好是不正當檢測部在檢測到不正當作為不正當檢測處理的結果的情況下，將檢測到了不正當這一內容和必要的信息發送給監視裝置。如果這樣，獲取現金自動交易裝置中的有關異常(不正當的檢測)的信息變得容易。例如，也可以取代現金自動交易裝置而將上述結構轉用於各種自動售貨機或自動售票機、貨幣兌換機等。C2.變形例 2上述實施例表示了在主體控制部執行的一連串的交易處理中不正當檢測處理被執行的樣子的一例(圖6)。但是，執行不正當檢測處理的定時並不局限於圖6的情況。具體為，不正當檢測處理在圖4列舉的現金控制部和個人信息控制部每次接收了來自主體控制部的請求時，與步驟S14、S26同樣，被接收了請求的功能部調出而執行。在圖6的例中，如果對現金控制部或個人信息控制部有請求，則每次執行不正當檢測處理。但是，也可以例如僅在ー連串的交易處理的最初執行不正當檢測處理，對於其後的對現金控制部或個人信息控制部的請求省略不正當檢測處理。而且，也可以例如根據進行交易的時間段或混亂狀況等切換有無不正當檢測處理的執行。並且，也可以例如將請求發送源裝置的IP位址或MAC地址與預先作成的黑名單相對照，僅對符合該黑名單的請求執行不正當檢測處理。而且，也可以例如將請求的發送源裝置的IP位址或MAC地址與預先作成的白名單相對照，僅對不符合該白名單的請求執行不正當檢測處理。C3.變形例 3上述實施例的不正當檢測處理(圖7)和標準I/F辨認處理(圖9)中，檢測到了不正當的不正當檢測部請求主體控制部將現金自動交易裝置變成警戒狀態。但是，也可以例如在不正當檢測的結果為不正當檢測部檢測到了不正當的情況下，將該內容通知給調用源功能部或主體控制部，被通知的功能部或主體控制部使現金自動交易裝置從通常狀態向警 戒狀態轉變。C4.變形例 4上述實施例的不正當檢測處理(圖7)的步驟S108和標準I/F辨認處理(圖9)的步驟S214學習了未知的請求。但是，該學習處理是可以省略的。C5.變形例 5上述實施例的不正當檢測處理(圖7)和標準I/F辨認處理(圖9)對儲存在不正當檢測信息和I/F辨認信息中的所有的方法信息進行了確認，但有關這一點種種變形也是可以的。例如，也可以對方法信息付與優先順位，按優先順位從高到低的順序進行確認。C6.變形例 6上述實施例中，作為現金自動交易裝置的警戒狀態例示了休止狀態(交易中止狀態)、跟蹤記錄狀態。但是，警戒狀態只要是與能夠進行通常交易的通常狀態不同就可以，能夠米用種種狀態。例如，也可以採用檢測到了不正當的不正當檢測部對主體控制部或調用源功能部反饋作為出錯這ー內容的應答，僅使該交易處理不繼續進行的結構。並且，也可以是檢測到了不正當的不正當檢測部對主體控制部或調用源功能部進行給最大出款張數作了限制這一內容的請求。而且，檢測到了不正當的不正當檢測部也可以切斷現金自動交易裝置的網絡連接。
權利要求
1.一種自動交易裝置，具備 主體控制部，控制上述自動交易裝置的各部； 個人信息控制部，根據來自上述主體控制部的請求，獲取使用者的個人信息； 現金控制部，根據來自上述主體控制部的請求，進行現金的授受；以及 不正當檢測部，在使用通過上述主體控制部進行的、對上述個人信息控制部或上述現金控制部的處理的請求的種類以及一連串的交易處理中的上述自動交易裝置的內部狀態，檢測到上述請求為由上述自動交易裝置內在的不正當程序提出的請求的情況下，使上述自動交易裝置向與能夠進行通常的交易的通常狀態不同的警戒狀態轉變。
2.如權利要求I所述的自動交易裝置， 還具備通過網絡與外部裝置連接、與上述外部裝置之間進行信息交換的通信部； 上述不正當檢測部，進一步，確認通過上述主體控制部進行的、對上述個人信息控制部或上述現金控制部的處理的請求的發行源，在檢測到上述請求為由通過上述通信部進行的不正當訪問提出的請求的情況下，使上述自動交易裝置向上述警戒狀態轉變。
3.如權利要求I或2所述的自動交易裝置， 上述不正當檢測部，進一步，確認從上述主體控制部對上述個人信息控制部或上述現金控制部的處理的請求所使用的電文的結構，在檢測到上述請求所使用的標準接口為不正當的標準接口的情況下，使上述自動交易裝置向上述警戒狀態轉變。
4.如權利要求I至3中的任一項所述的自動交易裝置， 還具備預先將方法信息與處理信息建立關聯地加以存儲的存儲部，上述方法信息是與用來檢測上述不正當程序、上述不正當訪問、以及上述不正當的標準接口中的至少任一個的方法有關的信息，上述處理信息是與上述警戒狀態下執行的處理的內容的有關的信息，上述方法信息和上述處理信息是為了進行上述不正當檢測部中的處理而使用的信息。
5.如權利要求I至4中的任一項所述的自動交易裝置， 上述不正當檢測部，還在對上述個人信息控制部或上述現金控制部的處理的請求為未知種類的情況、對上述個人信息控制部或上述現金控制部的處理的請求為從未知的發行源發行的情況、以及對上述個人信息控制部或上述現金控制部的處理的請求為未知的電文結構的情況中的至少任一情況下，學習該請求。
6.如權利要求I至5中的任一項所述的自動交易裝置， 在上述警戒狀態下執行的處理為上述自動交易裝置的休止處理以及上述自動交易裝置中的各處理的跟蹤記錄處理中的任一個。
7.如權利要求4至6中的任一項所述的自動交易裝置， 還具備用來接受來自上述自動交易裝置的管理者的上述處理信息的變更的主管人員操作部。
8.如權利要求I至7中的任一項所述的自動交易裝置， 上述不正當檢測部還在檢測到上述不正當程序、上述不正當訪問、以及上述不正當的標準接口中的至少任一個的情況下，對上述外部裝置通知檢測到了不正當這一內容。
9.一種現金自動交易系統， 具備自動交易裝置和伺服器； 上述自動交易裝置具備主體控制部，控制上述自動交易裝置的各部； 個人信息控制部，根據來自上述主體控制部的請求，獲取使用者的個人信息；以及 現金控制部，根據來自上述主體控制部的請求，進行現金的授受， 上述伺服器具備不正當檢測部，該不正當檢測部使用上述個人信息控制部或上述現金控制部接收到的處理的請求的種類以及一連串的交易處理中的上述自動交易裝置的內部狀態，檢測上述請求是否為由上述自動交易裝置內在的不正當程序提出的請求， 上述個人信息控制部和上述現金控制部在接收到來自上述主體控制部的處理的請求之際，向 上述伺服器詢問該請求是否為由上述不正當程序提出的請求， 上述不正當檢測部在檢測到該請求為由上述不正當程序提出的請求的情況下，使上述自動交易裝置向與能夠進行通常的交易的通常狀態不同的警戒狀態轉變。
全文摘要
本發明提供一種在自動交易裝置中能夠不使用包含了病毒特徵的病毒碼檔案而提高安全性的技術。自動交易裝置具備主體控制部，控制自動交易裝置的各部分；個人信息控制部，根據來自主體控制部的請求獲取利用者的個人信息；現金控制部，根據來自主體控制部的請求進行現金的授受；不正當檢測部，在使用通過主體控制部進行的、對個人信息控制部或現金控制部的處理的請求的種類以及一連串的交易處理中的自動交易裝置的內部狀態，檢測到請求為由自動交易裝置內在的不正當程序提出的請求的情況下，使自動交易裝置向與能夠進行通常交易的通常狀態不同的警戒狀態轉變。
文檔編號G07D11/00GK102779370SQ20121014632
公開日2012年11月14日 申請日期2012年5月11日 優先權日2011年5月13日
發明者菊地伸治 申請人:日立歐姆龍金融系統有限公司