特開 2024-60311 決済端末におけるプログラムのダウンロード方法及び決済端末

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024060311

(43)【公開日】2024-05-02

(54)【発明の名称】決済端末におけるプログラムのダウンロード方法及び決済端末

(51)【国際特許分類】

   G06F 8/65 20180101AFI20240424BHJP

   G06F 9/4401 20180101ALI20240424BHJP

   G06F 21/57 20130101ALI20240424BHJP

   G06F 21/60 20130101ALI20240424BHJP

【ＦＩ】

G06F8/65

G06F9/4401

G06F21/57 320

G06F21/60 360

【審査請求】未請求

【請求項の数】9

【出願形態】ＯＬ

(21)【出願番号】P 2022167613

(22)【出願日】2022-10-19

(71)【出願人】

【識別番号】000002233

【氏名又は名称】ニデックインスツルメンツ株式会社

(74)【代理人】

【識別番号】100123788

【弁理士】

【氏名又は名称】宮崎 昭夫

(74)【代理人】

【識別番号】100127454

【弁理士】

【氏名又は名称】緒方 雅昭

(72)【発明者】

【氏名】横水 綾一

【テーマコード（参考）】

5B376

【Ｆターム（参考）】

5B376CA34

5B376CA36

5B376CA88

(57)【要約】

【課題】メモリ容量、特に揮発性メモリの容量が小さい決済端末においても。ファームウエアやＯＳなどのその決済端末に格納されるプログラムを、十分なセキュリティを保ちつつオンラインで更新する。
【解決手段】決済端末の電源投入時にタッチスクリーンに対して特定の操作が実行されたときに（ステップ１０４；はい）、プログラムサーバからメモリデータ書き換え用プログラムを揮発性メモリにダウンロードし（ステップ１０５）、ＣＰＵにメモリデータ書き換え用プログラムを実行させて更新処理を実行する（ステップ１０６）。更新処理では、少なくとも一部が暗号化された更新対象のプログラムをプログラムサーバから揮発性メモリにダウンロードして格納し、更新対象のプログラムにおける暗号化されている部分を復号し、そののち、揮発性メモリに格納されている更新対象のプログラムによって不揮発性メモリ内のプログラムを書き換える。
【選択図】図２

【特許請求の範囲】

【請求項1】

プログラムに基づいて動作するプロセッサと不揮発性メモリと揮発性メモリとタッチスクリーンとを備えたコンピュータ機器として構成されてオンライン決済を実行する決済端末におけるプログラムのダウンロード方法であって、
前記決済端末の電源投入時に、前記タッチスクリーンに対する特定の操作が実行されたか否かを判定する判定工程と、
前記特定の操作が実行されたと判定したときに、プログラムサーバからメモリデータ書き換え用プログラムを前記揮発性メモリにダウンロードするダウンロード工程と、
前記ダウンロード工程ののち、前記プロセッサに前記メモリデータ書き換え用プログラムを実行させることにより、少なくとも一部が暗号化された更新対象のプログラムを前記プログラムサーバから前記揮発性メモリにダウンロードして格納し、前記更新対象のプログラムにおいて暗号化されている部分を復号し、そののち、前記揮発性メモリに格納されている前記更新対象のプログラムによって前記不揮発性メモリ内のプログラムを書き換える更新工程と、
を有するダウンロード方法。

【請求項2】

前記判定工程において前記特定の操作が実行されていないと判定したときに、前記プロセッサが前記不揮発性メモリ内のプログラムに基づいて前記決済端末を通常起動させる、請求項１に記載のダウンロード方法。

【請求項3】

前記決済端末は前記通常起動したのちに決済サーバと通信して前記オンライン決済を実行する、請求項２に記載のダウンロード方法。

【請求項4】

前記決済端末が接続するネットワークにおいて前記プログラムサーバと前記決済サーバとが独立して設けられている、請求項３に記載のダウンロード方法。

【請求項5】

前記電源投入時に、前記プロセッサに内蔵される不揮発性記憶部に格納されている第１ブートローダが起動されて前記第１ブートローダは前記不揮発性メモリに格納されている第２ブートローダを起動し、
前記判定工程及び前記ダウンロード工程は前記第２ブートローダによって実行される、請求項１または２に記載のダウンロード方法。

【請求項6】

前記更新工程において、前記更新対象のプログラムが複数の書き換えデータに分割されて１回分の書き換えデータを前記揮発性メモリにダウンロードして格納し、格納された前記１回分の書き換えデータによって前記不揮発性メモリ内の前記プログラムを書き換えることを、前記更新対象のプログラムの全体によって前記不揮発性メモリ内の前記プログラムが書き換えられるまで繰り返す、請求項１または２に記載のダウンロード方法。

【請求項7】

前記更新工程の完了後に前記決済端末をシャットダウンまたは再起動させる、請求項１または２に記載のダウンロード方法。

【請求項8】

決済サーバに接続してオンライン決済を行う決済端末であって、
プログラムに基づいて動作するプロセッサと、
前記プロセッサに接続する不揮発性メモリ、揮発性メモリ及びタッチスクリーンと、
を有し、
前記不揮発性メモリは、前記決済端末の電源投入後に前記プロセッサが実行するブートローダと、前記オンライン決済の実行のために必要なプログラムとを格納し、
前記ブートローダは、前記プロセッサに、前記タッチスクリーンに対する特定の操作が実行されたか否かを判定する判定処理と、前記特定の操作が実行されたと判定したときにプログラムサーバからメモリデータ書き換え用プログラムを前記揮発性メモリにダウンロードするダウンロード処理と、前記メモリデータ書き換え用プログラムを起動する起動処理と、を実行させ、
前記メモリデータ書き換え用プログラムは、前記プロセッサに、少なくとも一部が暗号化された更新対象のプログラムを前記プログラムサーバから前記揮発性メモリにダウンロードして格納する処理と、前記更新対象のプログラムにおいて暗号化されている部分を復号する処理と、前記揮発性メモリに格納されている前記更新対象のプログラムによって前記不揮発性メモリ内の前記プログラムを書き換える処理とを実行させる、決済端末。

【請求項9】

前記ブートローダは、前記判定処理において前記特定の操作が実行されていないと判定したときに、前記プロセッサに、前記不揮発性メモリ内の前記オンライン決済の実行のために必要な前記プログラムを通常起動させる、請求項８に記載の決済端末。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、オンライン決済などに使用される決済端末に関し、特に、決済端末へのプログラムのダウンロード方法と、そのようなダウンロード方法を実行可能である決済端末とに関する。

【背景技術】

【0002】

店舗などの販売場所においてオンライン決済を行うために、ネットワークを介して決済サーバに接続する決済端末が使用される。決済端末は、例えば、入力を行うためのタッチスクリーンを備えたいわゆる組み込み型コンピュータ機器として構成される。オンライン決済ではクレジットカードやプリペイドカード、二次元コードなどの認証媒体が使用されることが多いから、決済端末は、認証媒体からデータを読み出すリーダ部を備えていてもよく、さらに、タッチスクリーンとは独立して設けられたディスプレイなどを備えていてもよい。決済端末では、コンピュータとして機能するための最低限の構成、すなわち、プログラムに基づいて動作するＣＰＵ（中央処理ユニット）などのプロセッサと、ＲＡＭ（ランダムアクセスメモリ）などの揮発性メモリと、ＲＯＭ（読み出し専用メモリ）あるいはフラッシュメモリなどの不揮発性メモリとがモジュール基板に実装され、このモジュール基板がメイン基板に取り付けられる構成となっていることが一般的である。メイン基板には、ネットワークやタッチスクリーンなどとの接続のためのＩ／Ｏ（入出力）インタフェースなどが設けられる。

【0003】

決済端末はコンピュータ機器であるから、それを動作させるための例えばファームウエアやＯＳ（オペレーティングシステム）などのコンピュータプログラムが必要であり、それらのプログラムは不揮発性メモリに書き込まれる。機能の改善などのために、決済端末に既に書き込まれているプログラムを新バージョンのプログラムに書き換えできることが望まれている。しかしながら、セキュリティ確保の観点から決済端末ではメイン基板からモジュール基板を取り外せない構造となってることが多く、新バージョンのプログラムを不揮発性メモリに直接書き込むことは難しい。また、コンピュータ機器としての決済端末に設けられるメモリ、特に揮発性メモリの容量は小さく、ネットワーク経由でプログラムの更新を行うために対象のプログラムをいったん揮発性メモリに格納しようとしても、揮発性メモリにはプログラム全体を格納することができないことがある。このような課題を解決するものとして特許文献１は、ファームウエアに基づいて動作するコンピュータ機器において、ＣＰＵなどのプロセッサを起動する起動プログラムとサーバ接続用の通信プログラムとを含む起動用ファームウエアを記憶した第１ＲＯＭと、サーバからダウンロードしたデータを一時記憶するＲＡＭと、そのコンピュータ機器の動作を制御する制御用ファームウエアを記憶する第２ＲＯＭとを設け、第２ＲＯＭに記憶された制御用ファームウエアの消去と書き込みを行うためのプログラムと新バージョンの制御用ファームウエアとをサーバからダウンロードすることを開示している。また特許文献１は、制御用ファームウエアのダウンロードに際し、制御用ファームウエアを分割してダウンロードしてＲＡＭに格納するとともにＲＡＭから第２ＲＯＭへの書込みを並行して実行し、これにより、ＲＡＭの容量よりも大きなサイズの制御用ファームウエアを第２ＲＯＭに書き込めるようにしている。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特開２００２－１７５１９３号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

特許文献１に記載された技術は、ＲＡＭなどの揮発性メモリの容量が小さいときにプログラムの更新を可能にする技術であるが、これを決済端末に適用した場合、セキュリティ確保の点で向上の余地がある。

【0006】

本発明の目的は、メモリ容量、特に揮発性メモリの容量が小さい決済端末にプログラムをダウンロードするときに適用できて、十分なセキュリティを備えるダウンロード方法と、そのようなタウンロード方法を実行可能な決済端末とを提供することにある。

【課題を解決するための手段】

【0007】

一態様のダウンロード方法は、プログラムに基づいて動作するプロセッサと不揮発性メモリと揮発性メモリとタッチスクリーンとを備えたコンピュータ機器として構成されてオンライン決済を実行する決済端末におけるプログラムのダウンロード方法であって、決済端末の電源投入時に、タッチスクリーンに対する特定の操作が実行されたか否かを判定する判定工程と、特定の操作が実行されたと判定したときに、プログラムサーバからメモリデータ書き換え用プログラムを揮発性メモリにダウンロードするダウンロード工程と、ダウンロード工程ののち、プロセッサにメモリデータ書き換え用プログラムを実行させることにより、少なくとも一部が暗号化された更新対象のプログラムをプログラムサーバから揮発性メモリにダウンロードして格納し、更新対象のプログラムにおいて暗号化されている部分を復号し、そののち、揮発性メモリに格納されている更新対象のプログラムによって不揮発性メモリ内のプログラムを書き換える更新工程と、を有する。

【0008】

一態様のダウンロード方法では、更新対象のプログラムの少なくとも一部を暗号化するとともに、復号処理も含めて決済端末におけるプログラムの書き換え処理を行うためのメモリデータ書き換え用プログラム自体もダウンロード対象として決済端末における通常動作時にはメモリデータ書き換え用プログラムに少なくとも一部が決済端末中には存在しないようにすることにより、更新対象のプログラムの不正な解析や、不正なプログラムによる不揮発性メモリ内のプログラムデータの書き換えを抑制することができ、決済端末内のプログラムを更新するときのセキュリティを高めることができる。また、決済端末の電源投入時にタッチスクリーンに対する特定の操作が実行されたときにのみ更新処理を実行するので、この点でもセキュリティを向上させることができる。

【0009】

一態様のダウンロード方法では、判定工程において特定の操作が実行されていないと判定したときに、プロセッサが不揮発性メモリ内のプログラムに基づいて決済端末を通常起動させることが好ましい。このように構成すれば、電源投入時に特定の操作を実行するかどうかで通常起動と更新処理の実行とを選択でき、決済端末の保守性が向上する。また、通常起動したときは、決済端末は通常起動したのちに決済サーバと通信してオンライン決済を実行するように構成することによって、決済端末の操作性が向上する。決済端末が接続するネットワークにおいては、プログラムサーバと決済サーバとが独立して設けられていてもよい。これらのサーバを独立して設けることにより、プログラムサーバについては決済端末の製造事業者が運用し、決済サーバについては決済事業者が運用するといったサーバ運用主体の分離を行うことができる。

【0010】

一態様のダウンロード方法では、電源投入時に、プロセッサに内蔵された不揮発性記憶部に格納されている第１ブートローダが起動されて第１ブートローダが不揮発性メモリに格納されている第２ブートローダを起動し、判定工程及びダウンロード工程は第２ブートローダによって実行されるように構成することができる。このように構成することにより、通常動作用のプログラムの起動も含めてブートロータによって複雑な処理を行うことが可能になり、判定工程やダウンロード工程を実行するためのプログラムにおけるプログラムサイズの制限が緩和される。

【0011】

一態様のダウンロード方法では、更新工程において、更新対象のプログラムが複数の書き換えデータに分割されて１回分の書き換えデータを揮発性メモリにダウンロードして格納し、格納された１回分の書き換えデータによって不揮発性メモリ内のプログラムを書き換えることを、更新対象のプログラムの全体によって不揮発性メモリ内のプログラムが書き換えられるまで繰り返すことができる。このような構成を採用することによって、更新対象のプログラムのサイズに比べて揮発性メモリの容量が小さいときであっても、更新処理を実行することが可能になる。

【0012】

一態様のダウンロード方法では、更新工程の完了後に決済端末をシャットダウンまたは再起動させることができる。このように構成することにより、更新後のプログラムによって決済端末が確実に動作するようになるとともに、揮発性メモリに格納されていたメモリデータ書き換え用プログラムが確実に消去されるので、セキュリティが向上する。

【0013】

一態様の決済端末は、決済サーバに接続してオンライン決済を行う決済端末であって、プログラムに基づいて動作するプロセッサと、プロセッサに接続する不揮発性メモリ、揮発性メモリ及びタッチスクリーンと、を有し、不揮発性メモリは、決済端末の電源投入後にプロセッサが実行するブートローダと、オンライン決済の実行のために必要なプログラムとを格納し、ブートローダは、プロセッサに、タッチスクリーンに対する特定の操作が実行されたか否かを判定する判定処理と、特定の操作が実行されたと判定したときにプログラムサーバからメモリデータ書き換え用プログラムを揮発性メモリにダウンロードするダウンロード処理と、メモリデータ書き換え用プログラムを起動する起動処理と、を実行させ、メモリデータ書き換え用プログラムは、プロセッサに、少なくとも一部が暗号化された更新対象のプログラムをプログラムサーバから揮発性メモリにダウンロードして格納する処理と、更新対象のプログラムにおいて暗号化されている部分を復号する処理と、揮発性メモリに格納されている更新対象のプログラムによって不揮発性メモリ内のプログラムを書き換える処理とを実行させる。

【0014】

一態様の決済端末では、更新対象のプログラムの少なくとも一部を暗号化するとともに、復号処理も含めて決済端末におけるプログラムの書き換え処理を行うためのメモリデータ書き換え用プログラム自体もダウンロード対象として決済端末における通常動作時にはメモリデータ書き換え用プログラムに少なくとも一部が決済端末中には存在しないようにすることにより、更新対象のプログラムの不正な解析や、不正なプログラムによる不揮発性メモリ内のプログラムデータの書き換えを抑制することができ、決済端末内のプログラムを更新するときのセキュリティを高めることができる。また、決済端末の電源投入時であって通常動作のプログラムが起動する前にタッチスクリーンに対する特定の操作が実行されたときにのみ更新処理を実行するので、この点でもセキュリティを向上させることができる。

【0015】

一態様の決済端末では、ブートローダは、判定処理において特定の操作が実行されていないと判定したときに、プロセッサに、不揮発性メモリ内のプログラムを通常起動させることが好ましい。このように構成すれば、電源投入時に特定の操作を実行するかどうかで通常起動と更新処理の実行とを選択でき、決済端末の保守性が向上する。

【発明の効果】

【0016】

本発明によれば、メモリ容量、特に揮発性メモリの容量が小さい決済端末においても。ファームウエアやＯＳなどのその決済端末に格納されるプログラムを、十分なセキュリティを保ちつつオンラインで更新できるようになる。

【図面の簡単な説明】

【0017】

【図1】本発明の実施の一形態の決済端末を示すブロック図である。

【図2】決済端末の動作を示すフローチャートである。

【図3】更新モード移行操作の一例を示す図である。

【図4】更新処理を説明するフローチャートである。

【発明を実施するための形態】

【0018】

次に、本発明の実施の形態について、図面を参照して説明する。図１は、本発明の実施の一形態の決済端末の構成を示すブロック図である。図１に示す決済端末１０は、ネットワーク３０を介して決済サーバ３１と接続してオンライン決済を実行するために用いられるものであり、入力のために利用者の指などによって操作されるタッチスクリーン１２と、タッチスクリーン１２とは独立に設けられて利用者に対して情報の提示を行うディスプレイ１３と、認証媒体からデータを読み出すリーダ部１４と、を備えている。認証媒体は、例えば、クレジットカードやプリペイドカード、二次元コードなどである。認証媒体がクレジットカードやプリペイドカードなどのカード媒体であるときは、そのカード媒体が磁気カードであるかＩＣカードであるかに応じて、リーダ部１４は磁気カードリーダあるいはＩＣカードリーダとして構成される。認証媒体がＱＲコード（登録商標）などの二次元コードであるときは、リーダ部１４は、二次元コードを読み取るカメラとして構成される。非接触型の近距離通信を行うスマートフォンやスマートウォッチなどを認証媒体として使用することもでき、そのような認証媒体が使用されるときは、リーダ部１４としてはそのような認証媒体に適合したものが使用される。もちろんリーダ部１４は、複数種類の認証媒体に対応できるように構成されていることが好ましい。

【0019】

決済端末１０の本体の内部には、メイン基板１５が設けられており、メイン基板１５には、Ｉ／Ｏインタフェース１６が設けられるとともに、モジュール基板２０が取り付けられている。決済端末１０はコンピュータ機器であるから、モジュール基板２０には、コンピュータ機器として機能するための最低限の構成、すなわち、ＣＰＵ２１、不揮発性メモリ２２、及び、ＲＡＭなどによって構成されてＣＰＵ２１に接続する主記憶装置として機能する揮発性メモリ２３が設けられている。ＣＰＵ２１は、プログラムに基づいて動作するプロセッサであり、ＣＰＵ２１の代わりにマイクロプロセッサやＭＰＵ（マイクロ処理ユニット）などが用いられてもよい。不揮発性メモリ２２は、書き換え可能なＲＯＭやフラッシュメモリによって構成され、決済端末１０を動作させるためのファームウエアやＯＳ、各種のアプリケーションプログラムなども不揮発性メモリ２２に格納される。不揮発性メモリ２２は、コンピュータ機器としての決済端末における外部記憶装置としても機能する。モジュール基板２０においてＣＰＵ２１、不揮発性メモリ２２及び揮発性メモリ２３は、内部バス２４を介して相互に接続している。ＣＰＵ２１は、１チップ構成のものであって、ＣＰＵあるいはマイクロプロセッサなどにおいて一般的に設けられる演算部２５のほかに、ごく小容量の不揮発性の記憶領域である不揮発性記憶部２６を備えている。

【0020】

モジュール基板２０は、メイン基板１５に対して接続部２７を介して電気的に接続し、これにより、モジュール基板２０の内部バス２４もメイン基板１５上のｉ／Ｏインタフェース１６に電気的に接続する。Ｉ／Ｏインタフェース１６は、タッチスクリーン１２、ディスプレイ１３及びリーダ部１４に対するインタフェースを構成するとともに、ネットワーク３０に対するネットワークインタフェースとしても機能する。接続部２７には１対のコネクタを使用してメイン基板１５からモジュール基板２０を取り外し可能にすることもできるが、決済端末１０におけるセキュリティの向上のために、接続部２７においてモジュール基板２０をメイン基板１５にはんだ付けし、両者が容易には分離されないようにすることが好ましい。

【0021】

次に、決済端末１０の動作、特に電源投入時の動作について説明する。決済端末１０は、不揮発性メモリ２２に格納されているファームウエアやＯＳをＣＰＵ２１が実行することによって動作するが、電源投入時に直ぐにファームウエアやＯＳを実行することはできず、ファームウエアやＯＳを実行させるための環境を整えたのちにファームウエアやＯＳの実行を開始する必要がある。そのために、ブートローダと呼ばれるプログラムが用意されてＣＰＵ２１はまずブートローダを実行する。図１に示した決済端末１０では、ブートローダは、ＣＰＵ２１の不揮発性記憶部２６に格納された第１ブートローダと、不揮発性メモリ２２に格納された第２ブートローダの２つに分割されている。第１ブートローダは、電源オンによりＣＰＵ２１が立ち上がったときやＣＰＵ２１がリセットされたときにまず実行されて、各メモリの初期化などの最低限の処理を実行した後に、第２ブートローダを起動する。第２ブートローダを実行することによりＣＰＵ２１は、決済端末１０の環境設定などを行った後にファームウエアやＯＳを起動する。本実施形態の決済端末１０では、不揮発性メモリ２２に格納されているファームウエアやＯＳなどのプログラムをファームウエアやＯＳの起動前にオンラインで更新可能としている。そのため、第２ブートローダには、ファームウエアやＯＳのオンラインでの更新を行うためのプログラムコードも含まれている。ファームウエアやＯＳの起動前にファームウエアやＯＳなどのプログラムをオンラインで更新することを更新処理と呼び、決済端末１０の処理モードのうち更新処理を実行するモードのことを更新モードと呼ぶ。

【0022】

図２は、決済端末１０の動作を示すフローチャートである。決済端末１０の電源が投入されると、まずステップ１０１において、ＣＰＵ２１内の不揮発性記憶部２６に格納された第１ブートローダが起動する。第１ブートローダを実行することによりＣＰＵ２１は、ステップ１０２においてメモリの初期化を行ったのち、ステップ１０３において第２ブートローダを起動する。ステップ１０２のメモリの初期化では、ＣＰＵ２１のメモリ空間内の特定のアドレスに不揮発性メモリ２２及び揮発性メモリ２３が割り当てられるとともに、電源投入により不定となっていた揮発性メモリ２３の内容がクリアされる。

【0023】

ステップ１０３において第２ブートローダが起動すると、第２ブートローダを実行することによりＣＰＵ２１は、ステップ１０４において、決済端末１０に対して更新モードに移行するための操作が行われたか否かを判定する。更新モードに移行するための操作は、例えば、タッチスクリーン１２に対する操作であり、決済端末１０においてタッチスクリーン１２に対しては通常行われないような操作であってあらかじめ定められている操作である。一例として、電源投入直後にタッチスクリーン１２上で利用者が図３において破線で示す軌跡に沿ってその指を移動させたときに、更新モードに移行する操作が行われたと判断することができる。あるいは、電源投入時にタッチスクリーン１２に対して押圧などの特定の操作が行われているときも、更新モードに移行する操作が行われたと判断することができる。更新モードに移行するための操作が行われたときは。第２ブートローダに基づいてＣＰＵ２１は、ステップ１０５において、ネットワーク３０上のプログラムサーバ３２に通信してメモリデータ書き換え用のプログラムをダウンロードし、そのプログラムを起動し、第２ブートローダとしての処理を終了する。その結果、次にＣＰＵ２１は、ステップ１０６において後述する更新処理を実行し、その後、ステップ１０７において、決済端末１０の電源をオフにする処理を実行する。これにより、決済端末１０は電源断の状態となって一連の処理が終了する。

【0024】

ステップ１０４において更新モードに移行する操作が行われていないときは、第２ブートローダが所定に処理を終了した後に、ステップ１１１において、不揮発性メモリ２２内のファームウエアあるいはＯＳにより決済端末１０が通常通りに起動し、決済端末１０は、ネットワーク３０を介して決済サーバ３１との間で決済用のデータを送受信できる状態となる。この状態ではＣＰＵ２１は、ステップ１１２に示すように、決済端末１０としての通常の決済処理を実行し、ステップ１１３において、利用者によって電源断（すなわちシャットダウン）が指示されたか否かを判定する。電源断が指示されていないときは、ステップ１１２に示す決済処理が繰り返される。一方、ステップ１１３において電源断が指示されているときは、ＣＰＵ２１は、ステップ１０７に移行して決済端末１０の電源をオフにする処理を実行する。

【0025】

次に、更新処理について詳しく説明する。本実施形態において更新対象となるプログラムは、不揮発性メモリ２２に格納されるプログラムのうち、第２ブートローダを除くものである。更新対象となるプログラムのサイズは、揮発性メモリ２３の容量よりも大きくてプログラムサーバ３２からの１回のダウンロードでは揮発性メモリ２３には格納できないことがある。そこで本実施形態では、揮発性メモリ２３に格納できるサイズとなるように更新対象となるプログラムを小サイズの複数のプログラムデータに分割して決済端末１０にダウンロードする。更新対象のプログラムを分割して得られる小サイズのプログラムデータのことを書き換えデータと呼ぶ。そして更新処理では。１回分の書き換えデータをプログラムサーバ３２からダウンロードして揮発性メモリ２３に格納しこの格納された書き換えデータで不揮発性メモリ２２を書き換えることを繰り返すことで、不揮発性メモリ２２に格納されている更新対象のプログラムの全体が、新バージョンのプログラムで書き換えられるようにしている。また決済端末１０としてセキュリティを確保する必要があることから、更新対象となるプログラムを暗号化し、暗号化されたプログラムが決済端末１０にダウンロードされるようにする。プログラムの暗号化や暗号化されたプログラムの復号には演算時間がかかり、プログラムの更新処理の高速化の妨げとなるから、ダウンロードされるプログラムの全体ではなく一部を暗号化してもよい。更新対象のプログラムが上述したように複数の書き換えデータに分割されているのであれば、例えば、暗号化された書き換えデータと暗号化されていない書き換えデータとが交互にダウンロードされるようにして、全体としては更新対象のプログラムの約５０％の部分が暗号化されてダウンロードされるようにしてもよい。

【0026】

このような本実施形態での更新処理を実現するために、更新処理に先立って決済端末１０にダウンロードされるメモリデータ書き換え用プログラムは、プログラムサーバ３２から書き換えデータを揮発性メモリ２３にダウンロードして格納し、揮発性メモリ２３に格納された書き換えデータを不揮発性メモリ２２に転送して書き込むプログラム部分と、暗号化されていてかつ揮発性メモリに格納されている書き換えデータを復号するプログラム部分とから構成されている。そして、このようなメモリデータ書き換え用プログラムは、プログラムサーバ３２から揮発性メモリ２３にダウンロードされて揮発性メモリ２３上に展開している状態でＣＰＵ２１によって実行される。

【0027】

図４は、更新処理を示すフローチャートである。第２ブートローダによってメモリデータ書き換え用プログラムが揮発性メモリ２３にダウンロードされると、ステップ１２１においてこのメモリデータ書き換え用プログラムが起動する。メモリデータ書き換え用プログラムを実行することによってＣＰＵ２１は、例えばそのプログラムにおいて既に規定されているＩＰアドレスなどのネットワークアドレスを用いて、ステップ１２２においてプログラムサーバ３２に接続する。そしてＣＰＵ２１は、ステップ１２３において、１回分の書き換えデータをプログラムサーバ３２から受信して揮発性メモリ２３に格納し、書き換えデータが暗号化されているものであればステップ１２４においてその書き換えデータの復号を行う。その後、ステップ１２５において、ＣＰＵ２１は、揮発性メモリ２３上の書き換えデータを不揮発性メモリ２２に転送して不揮発性メモリ２２内のプログラムを書き換える。そしてＣＰＵ２１は、ステップ１２６において、更新対象のプログラムの全データの受信が完了したか否かを判定し、未受信であってダウンロードされてない書き換えデータがあるときは、次の書き換えデータに対して同様の処理を行うために、ステップ１２３から処理を繰り返す。一方、ステップ１２６において全ての書き換えデータを受信したと判定したときは、ＣＰＵ２１は、ステップ１２７において、プログラムサーバ３２との通信を切断し、メモリデータ書き換え用プログラムの悪用を避けるために、ステップ１２８において揮発性メモリ２３に格納されているメモリデータ書き換え用プログラムを消去して更新処理を終了させる。更新処理が終了すれば、図２に示したように、ＣＰＵ２１は、ステップ１０７において決済端末１０をシャットダウンさせる処理を実行する。なお更新処理ののちに決済端末１０をシャットダウンさせるときは、電源断に引き続いて電源投入を行う再起動を行ってもよい。

【0028】

以上説明した更新処理において、メモリデータ書き換え用プログラムは揮発性メモリ２３上にしか存在せず、かつ更新処理後はステップ１０７において電源断とするので、ステップ１２８を実行することなく更新処理後の電源断によってメモリデータ書き換え用プログラムが消去される構成としてもよい。プログラムを暗号化した状態で不揮発性メモリ２２に格納し、そのプログラムを実行する時点で復号を行うする運用としたときは、メモリデータ書き換え用プログラムのうちの復号に関するプログラム部分を消去せずに揮発性メモリ２３に常駐させたり不揮発性メモリ２２に格納したりすることができる。

【0029】

本実施形態において、プログラムサーバ３２は、例えば、ネットワーク上で動作するＮＦＳ（Network File System）で用いられるサーバとして構成することができる。図１に示したものでは、ネットワーク３０に決済サーバ３１とプログラムサーバ３２とが別々に設けられているが、決済サーバ３１とプログラムサーバ３２とを単一のサーバに集約することともできる。しかしながら、決済サーバ３１は決済事業者が運営するのが一般的であってネットワーク上に複数存在する可能性があり、一方で、プログラムサーバ３２が提供するプログラムは各決済端末１０の機種に固有のものであることが想定されて決済端末１０の製造事業者が運営に関わっていることが必要であるから、決済サーバ３１とプログラムサーバ３２とを別個に設けることが好ましい。

【0030】

以上説明した本実施形態の決済端末１０では、セキュリティを保ちつつ、かつ決済端末１０でのメモリ容量の制約を受けることなく、そのファームウエアやＯＳといったプログラムの更新を行うことができる。

【符号の説明】

【0031】

１０…決済端末、１２…タッチスクリーン、１３…ディスプレイ、１４…リーダ部、１５…メイン基板、１６…Ｉ／Ｏインタフェース、２０…モジュール基板、２１…ＣＰＵ、２２…不揮発性メモリ、２３…揮発性メモリ、２４…内部バス、２５…演算部、２６…不揮発性記憶部、２７…接続部、３０…ネットワーク。３１…決済サーバ、３２…プログラムサーバ。

【図1】

【図2】

【図3】

【図4】