(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-05
(45)【発行日】2024-07-16
(54)【発明の名称】決済装置
(51)【国際特許分類】
H04L 9/14 20060101AFI20240708BHJP
G06F 21/44 20130101ALI20240708BHJP
G06Q 20/38 20120101ALI20240708BHJP
【FI】
H04L9/14
G06F21/44
G06Q20/38 310
(21)【出願番号】P 2020113000
(22)【出願日】2020-06-30
【審査請求日】2023-05-18
(73)【特許権者】
【識別番号】000002233
【氏名又は名称】ニデックインスツルメンツ株式会社
(74)【代理人】
【識別番号】100097113
【氏名又は名称】堀 城之
(74)【代理人】
【識別番号】100162363
【氏名又は名称】前島 幸彦
(74)【代理人】
【識別番号】100194283
【氏名又は名称】村上 大勇
(72)【発明者】
【氏名】木村 正憲
(72)【発明者】
【氏名】藤森 善平
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2013-084032(JP,A)
【文献】特開2018-050228(JP,A)
【文献】特開2008-308975(JP,A)
【文献】特許第5204291(JP,B1)
【文献】上野 博司,Web Authentication API,WEB+DB PRESS,日本,(株)技術評論社,2018年11月07日,Vol. 107,p. 112-120
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/14
G06F 21/44
G06Q 20/38
(57)【特許請求の範囲】
【請求項1】
カード決済用の決済装置であって、
上位装置に接続された中継基板と、
前記中継基板に接続された、前記カード決済用の決済機器とを備え、
前記中継基板は、
前記決済機器から取得された機器情報に応じた機器暗号鍵を生成する機器鍵生成部と、
前記機器鍵生成部により生成された前記機器暗号鍵を前記決済機器に登録させる機器鍵登録部と、
前記機器鍵登録部により前記決済機器に登録された前記機器暗号鍵により前記決済機器の認証を行う機器認証部と、
前記機器認証部により認証された前記決済機器から決済用情報を取得する情報取得部と、
前記情報取得部により取得された前記決済用情報を、決済処理用の決済鍵により暗号化して前記上位装置に通知する決済通知部とを含む
ことを特徴とする決済装置。
【請求項2】
前記決済機器は、
カードに関する情報を前記決済用情報として取得するカードリーダ、及び認証情報を前記決済用情報として取得する認証デバイスの少なくともいずれかを含む
ことを特徴とする請求項1に記載の決済装置。
【請求項3】
前記機器鍵生成部は、
前記カードリーダ及び前記認証デバイスのそれぞれについて、異なる前記機器情報を用いて、異なる前記機器暗号鍵を生成して保持する
ことを特徴とする請求項2に記載の決済装置。
【請求項4】
前記決済鍵を、ネットワーク経由の前記決済鍵の配布用に規定されたのと同様の暗号化方式で取得する決済鍵取得部を更に備える
ことを特徴とする請求項1乃至3のいずれか1項に記載の決済装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、決済装置及び鍵注入プログラムに係り、特にカード決済用の決済装置及び鍵注入プログラムに関する。
【背景技術】
【0002】
従来から、様々な種類のカード状の記録媒体(以下、単に「カード」という。)を用いて決済処理を行う際に用いられる決済装置が存在する。
このような従来の決済装置の一例として、特許文献1を参照すると、受け付けたカードである受付済カードの処理を行う自動取引装置が記載されている。特許文献1の自動取引装置は、受付済カードに記憶されているカード情報を取得するカード情報取得部と、カード情報から受付済カードの種別を特定する特定部と、受け付けるべきカードの種別を示す種別情報を取得する種別情報取得部と、処理設定部で切り替えられた処理情報に基づいて、カード情報に対する処理を実行する処理部とを備えている。
【0003】
ここで、従来の決済装置には、決済用の機器(payment device、以下、「決済機器」という。)として、実際にカードの読み取りを行うカードリーダと、暗証番号を入力するためのピンパッドとが、別々に、ホストPC(Personal Computer)等の上位装置に接続されるようなものも存在する。
【0004】
このような従来の決済装置では、上位装置と各決済機器との間で、共通鍵暗号を用いて機器認証を行っていた。そして、この機器認証が行われた状態で、各決済機器からは、当該共通鍵暗号を用いて暗号化されたカード番号及びピン(Personal Identification Number、PIN)情報等の決済用情報が、上位装置に送信されていた。
そして、これを受信した上位装置では、この共通鍵暗号で、一旦、決済用情報を復号化した上で、決済用の上位サーバ等に再度暗号化して送信していた。
【先行技術文献】
【特許文献】
【0005】
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、近年、セキュリティ上及び法令上の要請から、カード情報の保護が義務化されたのに伴い、上位装置と各決済機器間との間で、共通鍵暗号を用いた機器認証を行うことができなくなっていた。これは、上位装置に、平文のカード情報及びピンが存在すること、カード情報及びピンの暗号文を復号できる共通鍵が存在することが、問題視されたためであった。
【0007】
本発明は、このような状況に鑑みてなされたものであり、決済機器間で機器認証を行うことが可能な決済装置を提供し、上述の問題を解消することを目的とする。
【課題を解決するための手段】
【0008】
本発明の決済装置は、カード決済用の決済装置であって、上位装置に接続された中継基板と、前記中継基板に接続された、前記カード決済用の決済機器とを備え、前記中継基板は、前記決済機器から取得された機器情報に応じた機器暗号鍵を生成する機器鍵生成部と、前記機器鍵生成部により生成された前記機器暗号鍵を前記決済機器に登録させる機器鍵登録部と、前記機器鍵登録部により前記決済機器に登録された前記機器暗号鍵により前記決済機器の認証を行う機器認証部と、前記機器認証部により認証された前記決済機器から決済用情報を取得する情報取得部と、前記情報取得部により取得された前記決済用情報を、決済処理用の決済鍵により暗号化して前記上位装置に通知する決済通知部とを含むことを特徴とする。
このように構成することで、決済機器と中継基板との間で機器認証を行うことができる。
【0009】
本発明の決済装置は、前記決済機器は、カードに関する情報を前記決済用情報として取得するカードリーダ、及び認証情報を前記決済用情報として取得する認証デバイスの少なくともいずれかを含むことを特徴とする。
このように構成することで、決済用情報が中継基板とカードリーダや認証デバイス間でだけ送受信され、セキュリティ性を高めることができる。
【0010】
本発明の決済装置は、前記機器鍵生成部は、前記カードリーダ及び前記認証デバイスのそれぞれについて、異なる前記機器情報を用いて、異なる前記機器暗号鍵を生成して保持することを特徴とする。
このように構成することで、デバイスユニークな機器暗号鍵を提供することができる。
【0011】
本発明の決済装置は、前記決済鍵を、ネットワーク経由の前記決済鍵の配布用に規定されたのと同様の暗号化方式で取得する決済鍵取得部を更に備えることを特徴とする。
このように構成することで、セキュリティエリアに指定されていない場所でも決済鍵の注入を行うことができる。
【発明の効果】
【0013】
本発明によれば、決済機器が接続された中継基板において、決済機器から取得された機器情報に応じた機器暗号鍵を生成し、生成された機器暗号鍵を決済機器に登録させ、この登録された機器暗号鍵により機器の認証を行うことで、決済機器間で機器認証を行うことが可能な決済装置を提供することができる。
【図面の簡単な説明】
【0014】
【
図1】本発明の実施の形態に係る決済システムのシステム構成図である。
【
図4】本発明の実施の形態に係る機器鍵登録処理のフローチャートである。
【
図5】本発明の実施の形態に係る決済処理のフローチャートである。
【
図6】本発明の実施の形態に係る決済鍵注入処理のフローチャートである。
【発明を実施するための形態】
【0015】
<実施の形態>
〔決済システムXのシステム構成〕
図1を参照して、本発明の実施の形態に係る決済システムXの構成について説明する。 決済システムXは、決済装置1、上位装置2、サーバ3、及び鍵注入装置5を含んで構成される。
本実施形態において、決済装置1、上位装置2、及び鍵注入装置5の間は、USB(Universal Serial Bus)、RS-232C、イーサネット(登録商標)(Ethernet)等のLAN(Local Area Network)等で接続される。
さらに、本実施形態においては、決済システムXの上位装置2は、クレジットカードの決済を行うためのサーバ3と、専用線やインターネット等のWAN(Wide Area Network)を介して接続される。
【0016】
決済装置1は、上位装置2の制御対象であり、クレジットカードやその他の種類のカード4にて支払い(決済)を行うカード決済用の決済装置である。
本実施形態における決済装置1の構成については、後述する。
【0017】
上位装置2は、例えば、決済用のPC(Personal Computer)、POS(Point Of Sales)端末、ATM(Automated Teller Machine)、病院等の決済端末、その他の精算(決済)のための端末、キオスク(Kiosk)の端末、交通機関のチケット発行システム、コンビニエンスストア等のポイントカード決済システム、小売店のメンバーカード発行システム、遊技機のカード発行支払システム、入退場管理システム等(以下、単に「ATM等」と省略して記載する。)である。
【0018】
サーバ3は、クレジットカードの支払いを行うためのサービスを提供するセキュア(安全)なサーバや汎用機等である。
なお、サーバ3は、他の銀行やカード会社のサーバ等と接続されていてもよい。また、サーバ3及び他のサーバから、決済における他の各種情報も取得可能である。
【0019】
カード4は、厚さが0.7~0.8mm程度の矩形状の塩化ビニール製のカード等のカード状の磁気記録媒体、ICカード、非接触型のICカード等である。磁気記録媒体の場合、カード4の一面には、磁気信号が記憶される磁気ストライプが形成されている。ICカードの場合、カード4は、例えば、接点、電磁誘導アンテナと、ROM(Read Only Memory)及びMPU(Micro Processing Unit)等を含むICチップとを含んでいてもよい。非接触型のICカードの場合、近距離無線用のR/W(Read / Write)アンテナが内蔵される。カード4は、これらのいずれか又は全てを組み合わせた記録媒体であってもよい。さらに、カード4は、厚さが0.18~0.36mm程度のPET(ポリエチレンテレフタレート)カードや、所定の厚さの紙カード等であってもよい。加えて、カード4として、ユーザが用いる携帯電話やスマートフォン等の携帯端末も、取引に用いることが可能である。
本実施形態においては、カード4が磁気ストライプとICチップとを含む磁気ICカードである例について説明する。
【0020】
鍵注入装置5は、決済装置1の工場での製造出荷時やメンテナンス時等(以下、単に「工場出荷時等」という。)に決済装置1に接続される専用のPCやその他の端末等である。鍵注入装置5は、後述する決済鍵440を決済装置1の中継基板10に格納させる(以下、決済鍵440の「注入」ともいう。)。このため、実際に決済装置1と上位装置2とが接続されて決済を行う際には、この鍵注入装置5は、接続されていなくてもよい。
【0021】
これに加え、本実施形態においては、上位装置2は、図示しない精算用の業務サーバと接続されていてもよい。この業務サーバは、交通機関、病院、小売店、サービス提供店等の業務用のサーバである。
【0022】
ここで、本実施形態における決済装置1の詳細な構成について説明する。
決済装置1は、上位装置2に接続された中継基板10と、カード決済用の決済機器とから構成される。本実施形態においては、決済機器として、カードリーダ20及びピンパッド30を用いる例を示す。
【0023】
中継基板10は、上位装置2と、カードリーダ20及びピンパッド30と接続される基板である。中継基板10は、EMV(Europay, MasterCard, VISA protocol)の決済を行う専用のデバイス(device)を含む。中継基板10は、カード4に関する決済用情報を取得して決済処理の制御を行う。また、中継基板10は、セキュリティ上や法令上のカード情報保護に対応した処理を行って、後述する決済鍵440により決済用情報を暗号化して上位装置2に送信する。
【0024】
カードリーダ20は、カード4に関する情報を決済用情報として取得するデバイスの一例である。具体的には、カードリーダ20は、例えば、磁気ICカードであるカード4の情報を読み取り(リード)又は書き込み(ライト)する、手動式又はモータ搬送式のカードリーダ20/ライタデバイスである。手動式の場合、ユーザが手動で装置内部にカード4を挿入し、又、装置内部からカード4を引き抜くことで、カード4に記録されたデータの再生を行う。モータ搬送式の場合、カードリーダ20は、中継基板10を介した指令(コマンド)によりカード4の搬送及び読み書きを実行する。
本実施形態においては、カードリーダ20は、カード4のカード情報432(
図2)を決済用情報として取得し、中継基板10との間で送受信する。この際に、中継基板10との間で機器認証を行う。
【0025】
ピンパッド30は、ピン(Personal Identification Number、PIN)や暗証番号等の認証情報を決済用情報として取得する認証デバイスの一例である。すなわち、ピンパッド30は、決済においてカード4の情報が読み取られる際に、認証情報を入力するためのテンキー等を含むデバイスである。または、ピンパッド30に加え又は換えて、指紋、静脈パターン、虹彩パターン、顔認証用カメラ等の生体情報を入力する認証デバイス(以下、「生体認証デバイス」という。)を用いることも可能である。
【0026】
(決済装置1の制御構成)
次に、
図2により、決済装置1の制御構成について説明する。
中継基板10は、制御部11、及び記憶部12を備える。
カードリーダ20は、制御部21、記憶部22、及び読取部23を備える。
ピンパッド30は、制御部31、記憶部32、入力部33、及び表示部34を備える。
【0027】
制御部11、21、31は、それぞれ、中継基板10、カードリーダ20、ピンパッド30の制御を行う制御演算手段である。制御部11、21、31は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、GPU(Graphics Processing Unit)等を含む。制御部11、21、31は、暗号の符号化及び復号化を高速に行うためのアクセレレーター回路等を備えていてもよい。
【0028】
記憶部12、22、32は、それぞれ、中継基板10、カードリーダ20、ピンパッド30の各種設定値、制御プログラム、鍵情報、決済用情報、及び一時データ等を記憶する記録媒体である。制御プログラムは、各デバイスを制御し、カード4の読み取りや書き込みを行うためのファームウェア等である。この制御プログラムは、OS(Operating System)、各種アプリケーションソフトウェア(Application Software、以下、単に「アプリ」という。)、決済装置1と上位装置2とを中継するミドルウェア等も含む。
【0029】
記憶部12、22、32は、RAMのような揮発性の記録媒体、及びROMのような不揮発性の記録媒体を含む。
このうち、ROMとしては、例えば、フラッシュメモリ、EEPROM、ReRAM、FeRAM等の記録媒体を含んでいる。
【0030】
読取部23は、カード4の記録情報を読み取る読み取り手段である。本実施形態においては、読取部23は、磁気ヘッド及びIC接点を含む。これに加え、読取部23は、NFC(Near-Field Communications、近距離無線)の受信回路やアンテナ等も備えられていてもよい。
読取部23は、磁気ヘッドにて、カード4の磁気ストライプに書き込まれた記録情報を磁気信号として読み出して再生する。これに加えて、読取部23は、カード4の磁気ストライプに、記録情報を書き込むことも可能であってもよい。読取部23で読み取られたカード4の磁気ストライプ等の磁気信号は、アナログ信号として出力され、図示しない磁気情報処理回路によりデジタル信号の記録情報に変換されて出力される。ここで、読取部23は、この記録情報を暗号化する暗号化回路やMPUを内蔵した暗号化磁気ヘッドであってもよい。読取部23は、IC接点及びNFCの場合、カード4のICチップを起動して通信し、カード4の記録情報を読み取り、書き込むことが可能である。
【0031】
入力部33は、例えば、囲いの付いたタッチパネルやテンキー等のボタンを含む操作入力手段である。
【0032】
表示部34は、取引の状態、入力された番号等の表示用のディスプレイである。表示部34は、例えば、LED(Light Emitting Diode)、液晶ディスプレイ、有機ELディスプレイ、蛍光表示管(Vacuum fluorescent display)等であってもよい。
入力部33と表示部34とは、タッチパネルディスプレイのように、一体的に形成されていてもよい。または、ピンパッド30は、表示部34はLEDのみ備えるか、表示部34自体を備えていなくてもよい。
【0033】
これらの他に、決済装置1は、設定を行うための各種ボタンやディップスイッチ、上位装置2と接続するためのUSBやRS-232C等のインターフェイス等も含む。さらに、決済装置1は、感熱方式、ドットインパクト方式、インクジェット方式等の印刷デバイスを含んでいてもよい。この印刷デバイスは、インクリボンや液体インク等を用いてレシートや領収書等の記録紙に、決済についての情報を記録してもよい。
【0034】
決済装置1において、各決済機器は、中継基板10と一体的に構成されても、別途、ケーブル等で接続されてもよい。
【0035】
(決済装置1の機能構成)
次に、
図2により、決済装置1の機能的な構成について説明する。
中継基板10の制御部11は、機器鍵生成部100、機器鍵登録部110、機器認証部120、情報取得部130、決済通知部140、及び決済鍵取得部150を含む。
記憶部12は、機器情報401、固有鍵410、機器暗号鍵422、機器暗号鍵423、及び決済鍵440を格納する。
カードリーダ20の制御部21は、鍵決済制御部200を含む。
記憶部22は、機器情報402、固有鍵410、機器暗号鍵422、及びカード情報432を格納する。
ピンパッド30の制御部31は、鍵決済制御部300を含む。
記憶部32は、機器情報403、固有鍵410、機器暗号鍵423、及びピン情報433を格納する。
【0036】
機器鍵生成部100は、決済機器から取得された機器情報402、403に応じた機器暗号鍵422、423を生成する。本実施形態においては、機器鍵生成部100は、カードリーダ20及びピンパッド30のそれぞれについて、異なる機器情報402、403を用いて、異なる機器暗号鍵422、423をそれぞれ生成する。機器鍵生成部100は、生成された機器暗号鍵422、423を、記憶部12に、カードリーダ20及びピンパッド30のそれぞれ対応付けて格納する。
【0037】
機器鍵登録部110は、機器鍵生成部100により生成された機器暗号鍵422、423を決済機器に登録させる。本実施形態においては、機器鍵登録部110は、機器暗号鍵422をカードリーダ20の記憶部22へ、機器暗号鍵423をピンパッド30の記憶部32へ、それぞれ格納させる。
【0038】
機器認証部120は、機器鍵登録部110により決済機器に登録された機器暗号鍵422、423により決済機器の認証を行う。本実施形態においては、機器認証部120は、記憶部12に格納された機器暗号鍵422と、カードリーダ20から取得した機器暗号鍵422とを比較して認証する。または、機器認証部120は、記憶部12に格納された機器暗号鍵423と、ピンパッド30から取得した機器暗号鍵423とを比較して認証する。
【0039】
情報取得部130は、機器認証部120により認証された決済機器から決済用情報を取得する。本実施形態においては、情報取得部130は、カードリーダ20からカード情報432を、ピンパッド30からピン情報433を、それぞれ取得する。
【0040】
決済通知部140は、情報取得部130により取得された決済用情報を、決済処理用の決済鍵440により暗号化して上位装置に通知する。さらに、決済通知部140は、決済の結果である決済結果データを、上位装置2を介してサーバ3から取得し、ピンパッド30の表示部34に表示させることも可能である。このようにして、決済通知部140は、決済に関する処理を実行する。
【0041】
決済鍵取得部150は、決済鍵440を、ネットワーク経由の決済鍵440の配布用に規定されたのと同様の暗号化方式で取得する。本実施形態においては、決済鍵取得部150は、固有鍵410に基づいてTR31方式で暗号化された決済鍵440を、鍵注入装置5から取得して、記憶部12に格納する。
【0042】
機器情報401、402、403は、それぞれ、中継基板10、カードリーダ20、及びピンパッド30の機器固有の情報である。機器情報401、402、403は、例えば、機種名、デバイス種別、シリアルナンバー、仕向け地、その他の機器を特定するための情報を含んでいてもよい。
【0043】
固有鍵410は、決済装置1で工場出荷時等や初期設定等において、鍵情報を交換や注入する際に使用される鍵情報である。固有鍵410は、例えば、機種、仕向け地等で異なる鍵情報が設定されていてもよい。本実施形態においては、固有鍵410は、生成された機器暗号鍵422、423の格納の際、又は、決済鍵440の注入の際に用いられる例を示す。
【0044】
機器暗号鍵422、423は、決済機器毎に設定される、機器認証用の鍵情報である。本実施形態においては、機器暗号鍵422は、カードリーダ20の機器情報402に基づいてハッシュ演算で生成されたユニークな共通暗号鍵の鍵情報である。また、機器暗号鍵423は、同様に、ピンパッド30の機器情報403に基づいて生成されたユニークな共通暗号鍵の鍵情報である。
【0045】
カード情報432は、本実施形態の決済用情報の一例である。カード情報432は、カード4の記録情報である。この記録情報は、例えば、カード番号の値等を含んでいてもよい。
【0046】
ピン情報433は、本実施形態の決済用情報の一例である。ピン情報433は、例えば、ユーザにより入力された、カード4のピンや暗証番号等の値であってもよい。または、生体認証デバイスの場合、ピン情報433は、生体情報又はこれが加工された情報であってもよい。
【0047】
決済鍵440は、カードの決済用情報を送信するためのセキュリティ性が高い暗号化鍵の鍵情報である。この決済鍵440は、例えば、DUKPT(Delivered Unique Key Per Transaction)プロトコルにてカードの決済用情報を送信する際の規定に対応した暗号化鍵(DUKPT暗号鍵)であってもよい。
本実施形態においては、決済鍵440は、工場出荷時等に、鍵注入装置5により注入される例について説明する。なお、決済鍵440は、図示しない決済鍵サーバ等から、TR31方式の暗号化等により取得されてもよい。
【0048】
ここで、中継基盤の制御部11は、記憶部12に格納されたファームウェア等を含む制御プログラムを実行することで、機器鍵生成部100、機器鍵登録部110、機器認証部120、情報取得部130、決済通知部140、及び決済鍵取得部150として機能する。
カードリーダ20の制御部21は、記憶部22に格納されたファームウェア等を含む制御プログラムを実行することで、鍵決済制御部200として機能する。
ピンパッド30の制御部31は、記憶部32に格納されたファームウェア等を含む制御プログラムを実行することで、鍵決済制御部300として機能する。
【0049】
(鍵注入装置5の制御構成)
次に、
図3により、鍵注入装置5の制御構成について説明する。
図3において、
図2と同じ符号は、同様の機能構成を示すため、説明を省略する。
【0050】
鍵注入装置5は、制御部51及び記憶部52を備える。
【0051】
制御部51は、鍵注入装置5の全体を制御する制御演算手段である。制御部51は、例えば、CPU、MPU、DSP、ASIC、GPU等を含む。制御部51は、暗号の符号化及び復号化を高速に行うためのアクセレレーター回路等を備えていてもよい。
【0052】
記憶部52は、各種設定値や制御プログラム、鍵データ、決済用情報、一時データ等を記憶する記録媒体である。制御プログラムは、OSと、決済装置1用のデバイスドライバー、ミドルウェア、後述する鍵注入プログラム460等も含む。
【0053】
記憶部52は、RAMのような揮発性の記録媒体、及びROMのような不揮発性の記録媒体を含む。このうち、ROMとしては、例えば、フラッシュメモリ、EEPROM、ReRAM、FeRAM等の記録媒体を含んでいる。
【0054】
(鍵注入装置5の機能構成)
次に、鍵注入装置5の機能的な構成について説明する。
制御部51は、決済鍵送信部500及びログ記録部510を含む。
記憶部52は、決済鍵440、固有鍵410、ログ情報450、及び鍵注入プログラム460を含む。
【0055】
決済鍵送信部500は、決済機器である中継基板10の機器情報401を取得し、機器情報401に対応づけられた決済鍵440を、所定の暗号化方式で暗号化して、決済装置に送信する。この所定の暗号化方式は、セキュリティ上及び法令上適する、ネットワーク経由の決済鍵440の配布用に規定されたのと同様の暗号化方式を用いる。本実施形態においては、この暗号化方式として、TR31方式を用いる例について説明する。
【0056】
ログ記録部510は、送信された決済鍵440と対応する機器情報401とをログとしてログ情報450に記録する。このログは、決済鍵440の注入の際に参照される。
【0057】
本実施形態においては、決済鍵440は、例えば、仕向け地毎の固有鍵410に基づいてDUKPTの運営会社が設置した鍵提供サーバ(図示せず)から提供されたDUKPTの鍵群である。この鍵群は、例えば、主にテキストファイルであるCSV(コンマ区切り、タブ区切り)ファイルのような形式で提供される初期PIN暗号鍵(Initial PIN Encryption Key、IPEK)ファイルであってもよい。
【0058】
ログ情報450は、ログ記録部510により記録されるログ(履歴)の情報である。本実施形態においては、ログ情報450は、例えば、上述の決済鍵440のCSVファイルに対応して設定される。
【0059】
鍵注入プログラム460は、OS上でインストールされた、鍵データを決済装置1に注入するためのアプリである。
【0060】
ここで、鍵注入装置5の制御部51は、記憶部52に格納された鍵注入プログラム460を含む制御プログラムを実行することで、決済鍵送信部500及びログ記録部510として機能する。
【0061】
なお、記憶部12、22、32、52に格納されるデータは、処理の状態や手順等により可変であってもよい。
また、各機能部の一部又は全てについて、FPGA(Field-Programmable Gate Array)等のプログラマブルロジックを用いて、ハードウェア的に構成することも可能である。
【0062】
以下で、まず、決済装置1の電源投入時や初期化後等の初回起動時に実行する機器鍵登録処理、実際に決済を行う際の決済処理の順に各処理の説明を行う。その後、工場出荷時等にのみ行われる決済鍵注入処理についても説明する。
【0063】
〔機器鍵登録処理〕
まず、
図4により、本発明の実施の形態に係る機器鍵登録処理の説明を行う。
本実施形態の処理では、決済機器であるカードリーダ20及びピンパッド30から取得された機器情報402、403に応じた機器暗号鍵422、423をそれぞれ生成する。そして、生成された機器暗号鍵422、423を、カードリーダ20及びピンパッド30のそれぞれに登録させ、確認する。
本実施形態の機器鍵登録処理は、主に制御部11、21、31が、それぞれ、記憶部12、22、32に記憶された制御プログラム(図示せず)を、各部と協働し、ハードウェア資源を用いて実行する。
以下で、
図4のフローチャートにより、機器鍵登録処理の詳細について、ステップ毎に説明する。
【0064】
(ステップS101)
まず、中継基板10の機器鍵生成部100が、機器情報要求処理を行う。
決済装置1が上位装置2に接続されて初回起動された際等、初期設定を行う必要がある場合、上位装置2は、中継基板10に対し共通暗号鍵の生成登録のコマンドを送信する。
これを受信した中継基板10の機器鍵生成部100は、カードリーダ20及びピンパッド30の接続を確認し、機器情報402、403を送信するよう指示するコマンドをぞれぞれのデバイスに送信する。
【0065】
(ステップS201)
次に、カードリーダ20の鍵決済制御部200、又はピンパッド30の鍵決済制御部300が機器情報送信処理を行う。
カードリーダ20の鍵決済制御部200は、機器情報402を中継基板10へ送信する。
ピンパッド30の鍵決済制御部300は、機器情報403を中継基板10へ送信する。
【0066】
(ステップS102)
次に、中継基板10の機器鍵生成部100が、機器鍵生成処理を行う。
機器鍵生成部100は、機器情報402、403について、ハッシュ演算を行って、機器情報402、403に応じたユニークな共通暗号鍵である機器暗号鍵422、423を生成する。具体的には、機器鍵生成部100は、機器情報402、403のビット列から、規則性のない固定長のビット列を生成するような、各種のハッシュ関数(Hash Function)で、機器情報402、403を算出可能である。機器鍵生成部100は、算出された機器情報402、403を記憶部12に格納する。
【0067】
(ステップS103)
次に、機器鍵登録部110が、機器鍵登録処理を行う。
機器鍵登録部110は、生成され、記憶部12に格納された機器暗号鍵422、423を、固有鍵410で暗号化して、カードリーダ20とピンパッド30にそれぞれ送信し、登録させる。
この際、機器鍵登録部110は、鍵登録の確認用の乱数も生成し、この乱数も固有鍵410で符号化して、カードリーダ20とピンパッド30にそれぞれ送信する。
【0068】
(ステップS202)
次に、カードリーダ20の鍵決済制御部200、又はピンパッド30の鍵決済制御部300が機器鍵格納処理を行う。
カードリーダ20の鍵決済制御部200は、機器暗号鍵422を取得し、記憶部22に格納することで登録する。この際に、鍵決済制御部200は、乱数についても取得し、記憶部22に、一時的に格納する。
ピンパッド30の鍵決済制御部300は、同様に、機器暗号鍵423を取得し、記憶部32に格納することで登録する。この際に、鍵決済制御部300は、同様に、乱数についても取得し、記憶部32に、一時的に格納する。
【0069】
(ステップS203)
次に、カードリーダ20の鍵決済制御部200、又はピンパッド30の鍵決済制御部300が、乱数符号化処理を行う。
カードリーダ20の鍵決済制御部200は、取得した乱数を機器暗号鍵422にて符号化し、中継基板10へ送信する。
ピンパッド30の鍵決済制御部300は、同様に、取得した乱数を機器暗号鍵423にて符号化し、中継基板10へ送信する。
【0070】
(ステップS104)
次に、中継基板10の機器鍵登録部110が、乱数確認処理を行う。
機器鍵登録部110は、カードリーダ20及びピンパッド30から送信された乱数を、それぞれ、機器暗号鍵422、423で復号化し、生成した乱数と同じになることを確認する。この確認により、機器暗号鍵422、423の登録と、接続されたのが不正な決済機器でないことを確認することが可能である。
以上により、本発明の実施の形態に係る機器鍵登録処理を終了する。
【0071】
〔決済処理〕
次に
図5により、本発明の実施の形態に係る決済処理の説明を行う。
本実施形態の決済処理では、決済装置1にて、決済機器であるカードリーダ20及びピンパッド30に登録された機器暗号鍵422、423により機器の認証を行う。そして、認証されたカードリーダ20及びピンパッド30から、カード情報432及びピン情報433を取得する。この上で、カード情報432及びピン情報433を決済鍵440により暗号化して上位装置2に通知し、決済処理を行わせる。
本実施形態の決済処理は、決済装置1においては、制御部11、21、31が記憶部12、22、32に記憶された制御プログラム(図示せず)を、各部と協働し、ハードウェア資源を用いて実行する。上位装置2及びサーバ3においても、制御部が記憶部に記憶された制御プログラムを、各部と協働し、ハードウェア資源を用いて実行する。
以下で、
図5のフローチャートにより、本実施形態の決済処理をステップ毎に説明する。
【0072】
(ステップS111)
まず、機器認証部120が、機器認証処理を行う。
決済が開始された後、上位装置2は、機器認証のコマンドを送信する。
これを受信した中継基板10の機器認証部120は、例えば、乱数を発生させ、カードリーダ20及びピンパッド30に対して、登録された機器暗号鍵422、423のそれぞれを用いて、この乱数をハッシュ関数等により暗号化して送信するよう指示する。
これに応答したカードリーダ20及びピンパッド30は、機器暗号鍵422、423のそれぞれで、乱数を暗号化して送信する。
【0073】
機器認証部120は、記憶部12に格納された機器暗号鍵422、423で、発生させた乱数をハッシュ関数等により暗号化して値を算出する。そして、機器認証部120は、これらの値と、カードリーダ20及びピンパッド30のそれぞれから取得した機器暗号鍵422、423により暗号化された値と比較する。すなわち、決済機器に登録した機器暗号鍵422、423と、実際に決済機器から取得た値のペアがそれぞれ同じであるかが比較される。機器認証部120は、それぞれの値のペアが同じであったら、認証成功とする。一方、いずれかのペアの値が同じでなかったら、正常な決済機器でないため、TAMPER等の不正行為が発生したとして、認証失敗とする。
なお、この機器認証処理は、正しいカードリーダ20及びピンパッド30が接続されているか否かを確認するため起動時に一回実行すればよく、決済毎に毎回実行しなくてもよい。
【0074】
(ステップS112)
次に、機器認証部120が、認証成功か否かを判定する。機器認証部120は、全ての決済機器において認証が成功した場合に、Yesと判定する。本実施形態で、機器認証部120は、カードリーダ20及びピンパッド30の両方について認証成功であれば、Yesと判定する。機器認証部120は、それ以外の場合には、Noと判定する。
Yesの場合、機器認証部120は、認証成功し正常な決済機器が接続されている旨の情報を上位装置2に送信し、その後、下記のステップS211の決済開始処理となる。この処理後、下記で説明するように、機器認証部120は、処理をステップS113に進める。
Noの場合、機器認証部120は、上位装置2にエラーを送信し、決済処理を終了する。その後、所定のメンテナンスを行うまで、決済装置1を用いた決済はできないようにしてもよい。
【0075】
(ステップS211)
認証成功した場合、上位装置2が、決済開始処理を行う。
上位装置2は、クレジットカードを挿入してピン情報433を入力させる指示を、ピンパッド30の表示部34に表示させる。
この上で、上位装置2は、決済装置1へ、クレジットカードのカード情報432及びピン情報433を取得するコマンドを送信する。これにより、上位装置2は、クレジットカードの読み取りやピンの入力を待機する。
【0076】
(ステップS113)
ここで、決済装置1の情報取得部130が情報取得処理を行う。
上位装置2からのコマンドを受信した情報取得部130は、認証された決済機器から決済用情報を取得する。
具体的には、カードリーダ20は、クレジットカードの読み取り待ち状態に設定される。情報取得部130は、カード4が挿入されると読取部23により読み取られたカード情報432を、決済用情報として取得する。
また、ピンパッド30は、ピン情報433の入力待ちとなる。情報取得部130は、入力部33で入力されたピン情報433を、決済用情報として取得する。
【0077】
(ステップS114)
次に、決済装置1の決済通知部140が、決済通知処理を行う。
決済通知部140は、決済用情報を、決済鍵440により暗号化して上位装置2に通知する。
具体的には、決済通知部140は、カードリーダ20から取得されたカード情報432、及び、ピンパッド30から取得されたピン情報433を、決済鍵440群の一つを使って暗号化し、上位装置2へ暗号化データとして送信する。すなわち、決済装置1は、一時的に保持した決済用情報を、例えば、DUKPT暗号化して通信する。
この暗号化データを受信した上位装置2では、これをそのままサーバ3に転送する。
【0078】
(ステップS311)
次に、サーバ3が、決済実行処理を行う。
サーバ3は、上位装置2を介して、決済装置1で取得され、暗号化された決済用情報(暗号化データ)を取得して、決済を行う。この際、セキュリティ上及び法令上の要求から、上位装置2では、平文のカード情報、又は、上位装置2で復号可能な鍵を保持している暗号文のカード情報は、保持、通過させることはできない。逆にいうと、上述のように、DUKPT暗号化されたカード情報は、上位装置2では復号化できないために通過させてもよく、セキュリティ上及び法令上の要求に適用して、決済することが可能となる。
サーバ3は、この決済の結果を、決済結果データとして、上位装置2へ返信する。
【0079】
(ステップS212)
次に、上位装置2が、結果通知処理を行う。
上位装置2及び決済装置1は、決済結果データを取得すると、決済結果をピンパッド30の表示部34に表示させ、プリンター等にて、レシートや領収書等を印刷させる。これにより、カード決済が完了する。
以上により、本発明の実施の形態に係る決済処理を終了する。
【0080】
〔決済鍵注入処理〕
次に、
図6及び
図7により、本発明の実施の形態に係る鍵注入処理の説明を行う。
本実施形態の鍵注入処理は、上述したように、工場出荷時等に、鍵注入装置により、決済機器の機器情報402、403のいずれかを取得し、該機器情報402、403のいずれかに対応づけられた決済鍵440を決済装置に、TR31方式で暗号化して送信する。これを決済装置により、TR31方式で決済鍵440を取得して登録する。そして、鍵注入装置により、送信された決済鍵440と対応する機器情報402、403とをログ情報450に記録する。
本実施形態の機器鍵登録処理は、主に決済装置1の制御部11、及び鍵注入装置5の制御部51が、記憶部12及び記憶部52に記憶された制御プログラム(図示せず)を、それぞれ、各部と協働し、ハードウェア資源を用いて実行する。
以下で、
図6のフローチャートにより、本実施形態の決済鍵注入処理をステップ毎に説明する。
【0081】
(ステップS521)
まず、鍵注入装置5の決済鍵送信部500が、機器情報要求処理を行う。
図7の画面例600により説明すると、決済装置1の工場出荷時等に、製造スタッフやメンテナンス要員等の作業者が、鍵送信プログラムを起動する。本実施形態においては、この鍵注入プログラム460は、特別なセキュリティルーム等で起動されなくてもよい。
ここで、作業者が
図7のボタンB1を押下すると、記憶部52に格納された決済鍵440のIPEKファイル等を選択可能となる。
そして、作業者が
図7のボタンB2を押下すると、決済鍵送信部500が、接続された決済装置1へ、機器情報401を送信するよう指示するコマンドを送信する。
【0082】
(ステップS121)
次に、決済装置1の中継基板10の決済鍵取得部150が、機器情報送信処理を行う。
中継基板10は、鍵注入装置5からのコマンドを受信すると、機器情報401を送信する。
【0083】
(ステップS522)
次に、鍵注入装置5の決済鍵送信部500が、決済鍵送信処理を行う。
決済鍵送信部500は、決済装置1の機器情報401を取得する。これにより、本実施形態においては、決済鍵送信部500は、機器情報401に対応づけられた固有鍵410に基づいた決済鍵440を、IPEKファイルの鍵群から選択する。
この際、決済鍵送信部500は、ログ情報450を照会して、この機器情報401に対応した決済鍵440が既に送信されているか否かを判断する。具体的には、決済鍵送信部500は、当該機器情報401がログ情報450の記録にない場合は、未使用の鍵を選択する。決済鍵送信部500は、ログ情報450の記録にあり、既に送信されている鍵があった場合には、その鍵をもう一度、選択する。
【0084】
送信される決済鍵440が選択されると、
図7のボタンB3が選択可能な状態となる。この上で、作業者が
図7のボタンB1を押下すると、決済鍵440が送信される。
具体的には、決済鍵送信部500は、DUKPTで遠隔鍵ローディング(Remote Key Loading)としてネットワーク経由の決済鍵440の配布用に規定されたのと同様の暗号化方式で暗号化する。本実施形態においては、決済鍵送信部500は、例えば、決済装置1の記憶部12等に格納されたのと同じ固有鍵410を用いてTR31の暗号化を行う。この上で、決済鍵送信部500は、暗号化した決済鍵440を、決済装置に送信する。
【0085】
(ステップS122)
次に、中継基板10の決済鍵取得部150が、決済鍵440取得処理を行う。
本実施形態においては、決済鍵取得部150は、TR31方式で暗号化された決済鍵440を取得する。そして、決済鍵取得部150は、これを固有鍵410で復号化し、記憶部12に格納する。その後、決済鍵取得部150は、格納完了した旨を、鍵注入装置5に返信する。
なお、この固有鍵410は、例えば、仕向け地毎に異なるため、異なる仕向け地の決済装置1の決済鍵440が間違って取得されても、復号化できずにエラーとなる。これにより、決済装置1への誤注入を防ぐことができる。
【0086】
(ステップS523)
次に、鍵注入装置5のログ記録部510が、ログ記録処理を行う。
ログ記録部510は、決済装置1から決済鍵440を格納完了した旨の返信を取得すると、鍵注入装置5により送信された決済鍵440と対応する機器情報401とをログとしてログ情報450に記録する。
本実施形態においては、決済鍵送信部500は、ログ情報450として、IPEKファイルの送信した鍵に対応した行又は列の欄に「使用済み」「使用した機器情報401」の値を設定する。この際、決済鍵440を注入した作業者のIDや注入時間や注入場所等も記録されてもよい。
以上により、本発明の実施の形態に係る決済鍵注入処理を終了する。
【0087】
〔本実施形態の主な効果〕
以上のように構成することで、以下のような効果を得ることができる。
従来、特許文献1に記載されたような技術では、上位装置とカードリーダ間で共通鍵暗号を用いて機器認証を行っていた。この上で、上位装置側で、共通鍵暗号で暗号化されたカード情報や入力したピン情報を取得して、決済を行っていた。
しかしながら、割賦販売法の改正により、磁気ICカードとの決済を行う場合、カード情報の保護が義務化された。これにより、上位装置側でカード情報や入力されたピン情報を暗号化せずに保持、通過させることは許されなくなった。すなわち、上位装置では、カード情報やピン情報を復号化するための鍵を保持することができなくなった。
このため、従来の技術では、上位装置にて、上位装置とカードリーダとの間の機器認証をすることができなくなってしまっていた。
【0088】
これに対して、本発明の決済装置1は、カード決済用の決済装置であって、上位装置に接続された中継基板10と、中継基板10に接続された、カード決済用の決済機器とを備え、中継基板10は、決済機器から取得された機器情報402、403のいずれかに応じた機器暗号鍵422、423を生成する機器鍵生成部100と、機器鍵生成部100により生成された機器暗号鍵422、423を決済機器に登録させる機器鍵登録部110と、機器鍵登録部110により決済機器に登録された機器暗号鍵422、423により決済機器の認証を行う機器認証部120と、機器認証部120により認証された決済機器から決済用情報を取得する情報取得部130と、情報取得部130により取得された決済用情報を、決済処理用の決済鍵440により暗号化して上位装置に通知する決済通知部140とを含むことを特徴とする。
【0089】
このように構成することで、機器暗号鍵422、423として、カードリーダ20やピンパッド30から取得したシリアル番号等の機器情報402、403から、ハッシュ演算で生成したデバイスユニークな機器暗号鍵422、423を用いて、各決済機器と中継基板10との間で機器認証を行うことが可能となる。これにより、割賦販売法の改正等、セキュリティ上及び法令上の要請に対応した決済装置1を提供することが可能となる。
【0090】
さらに、上述したように、各カードリーダ20及びピンパッド30と上位装置2との間で機器認証を行う必要がなくなり、上位装置側は、中継基板10に対して、機器暗号鍵422、423の生成と登録を行い、又は、機器認証を行うコマンドを送信するだけでよくなる。このため、上位装置2のアプリを開発したり実行したりする際に、暗号仕様の理解、暗号化のアルゴリズムの実装、鍵の管理等をしなくてもよくなり、開発やメンテナンスのコストも削減できる。
【0091】
本発明の決済装置1は、決済機器は、カードに関する情報を決済用情報として取得するカードリーダ20、及び認証情報を決済用情報として取得するピンパッド30等のいずれかを含む認証デバイスであることを特徴とする。
このように構成することで、決済用情報であるカード情報432やピン情報433は、中継基板10、カードリーダ20、及びピンパッド30等の間だけで送受信されるようになる。この上で、カード情報432保護対象となる決済情報は、全て決済鍵440で暗号化されて上位装置側へ通知される。よって、セキュリティ性を高めることができ、法令上の要請も満たすことができる。
【0092】
さらに加えて、また、悪意のある者が、カードリーダ20やピンパッド30を交換し、共通暗号鍵を登録していない状態で決済処理を行うと、機器暗号鍵422、423が登録されていない旨のエラーを通知可能となる。このため、悪意あるスキミング等のデバイスを検出可能となる。
【0093】
本発明の決済装置1は、機器鍵生成部100は、カードリーダ20及びピンパッド30のそれぞれについて、異なる機器情報402、403を用いて、異なる機器暗号鍵422、423を生成して保持することを特徴とする。
このように構成することで、各決済機器に対応したデバイスユニークな機器暗号鍵422、423を提供することが可能となる。これにより、個別に決済機器について認証可能となる。さらに、中継基板10に複数の決済機器が取り付けられたり、取り外されたりして構成を変化させた場合でも対応可能となり、ユーザや管理者の利便性を高められる。また、スキミング等された際であっても、どの決済機器に問題が生じたのか判断可能となるため、セキュリティ性を高めることができる。
【0094】
従来から、ICカードによるEMVのクレジットカードによる決済を行うカードリーダ20では、DUKPTの暗号化方式を使用している。このDUKPTの暗号化方式で端末を初期化するためには、端末ごとに異なるDUKPT暗号鍵を注入する必要がある。しかしながら、運営会社が生成したDUKPT暗号鍵(決済鍵440)は、何らかの手段で運搬し、鍵が漏洩しないよう厳密に設定された工場内のセキュリティエリア等で注入しなければならないという手間がかかっていた。
【0095】
これに対して、本発明の決済装置1は、決済鍵440を、ネットワーク経由の決済鍵440の配布用に規定されたのと同様の暗号化方式で取得する決済鍵取得部150を更に備えることを特徴とする。
このように構成することで、ネットワークを通じたDUKPT暗号鍵の配布に用いられるTR31の暗号化方式等で、決済装置1に決済鍵440を注入可能となる。よって、セキュリティエリアに指定されていない場所でも鍵注入を行うことができる。このため、決済装置1の製造コストや労力を削減可能となる。
【0096】
本発明の鍵注入プログラム460は、カード決済用の決済装置1と、当該決済装置に接続された鍵注入装置5とにより実行される鍵注入プログラムであって、鍵注入装置5により、決済装置1に接続された中継基板10等の機器情報401を取得し、ネットワーク経由の決済鍵440の配布用に規定されたのと同様の暗号化方式で、機器情報401に対応づけられた決済鍵440を決済装置1に送信し、決済装置1により、暗号化方式で決済鍵440を取得し、鍵注入装置5により、送信された決済鍵440と対応する機器情報401とをログとして記録することを特徴とする。
このように構成することで、セキュリティエリアに指定されていない場所でも鍵注入を行うことができる。さらに、鍵注入の履歴(ログ)を管理することが可能となり、作業者の不注意等による暗号鍵の誤注入を防止できる。
【0097】
〔他の実施の形態〕
なお、上述の実施形態においては、デバイスユニークな機器暗号鍵422、423の生成のためにハッシュ演算を利用する例について説明した。
しかしながら、機器暗号鍵422、423は、機器情報402、403から任意に生成した鍵で暗号化して生成してもよい。この際に用いられる暗号化方式についても、TripleDES、AES、TR-31等、任意の共通鍵暗号の暗号化方式を用いることが可能である。
このように構成することで、さらに安全な共通鍵暗号の機器暗号鍵422、423を用意することが可能となる。
【0098】
上述の実施形態においては、機器暗号鍵422、423として共通鍵暗号(対称鍵)を用いる例について説明した。
しかしながら、決済機器と中継基板10との認証に非対称アルゴリズムの鍵を用いることも可能である。すなわち、RSA等の非対象鍵暗号で、事前に中継基板10で鍵ペア等を生成し、公開鍵をカードリーダ20やピンパッド30に送信して登録させることも可能である。
このように構成することで、例えば、デバイスユニークな鍵を、中継基板10及び決済機器の両方が保持する必要がなくなる。このため、さらにセキュリティ性を高めることができる。
【0099】
上述の実施形態においては、鍵注入装置5において、決済鍵440を暗号化して注入する例について記載した。
しかしながら、既にTR31方式で暗号化されたDUKPT暗号鍵のファイルを読み込み、選択された決済鍵440を送信するような構成も可能である。すなわち、先に暗号化された決済鍵440を、そのまま決済装置1に注入してもよい。
また、上述の実施形態では、ログ情報450を、IPEKファイルの欄に設定する例について記載した。
しかしながら、ログ情報450は、別ファイルでもよい。
さらに、上述の実施形態においては、決済鍵440としてDUKPTの暗号鍵を用いる例について記載したものの、これ以外の暗号化方式の鍵情報であってもよい。
このように構成することで、柔軟な機器構成に対応可能となる。
【0100】
上述の実施形態においては、仕向け地毎に異なる決済鍵440の鍵群を用いる例について説明した。
しかしながら、IPEKファイルに、キーチェックバリュー(KCV)を設定したり、リビジョンの違いやファームウェアの違いによるチェック項目を設定したりすることも可能である。この場合、中継基板10の機器情報401を取得せずに、ユーザの選択により決済鍵440を注入してもよい。
さらに、中継基板10上のシリアル番号や二次元バーコード等に決済鍵440やファームウェアの設定用の情報を印刷、貼り付け等しておき、これを鍵注入装置5で読み取って、決済鍵440を注入することも可能である。
このように構成することで、柔軟な構成に対応可能となる。
【0101】
上述の実施形態においては、表示部34が含まれる構成のピンパッド30について説明した。
しかしながら、テンキー等の入力部33は備えているものの表示部34が備えられていないピンパッドを用いることも可能である。この場合は、表示部34に対する上述の表示は、上位装置2の表示画面として表示されてもよい。たとえば、テンキーを押下すると、上位装置2へ、この押下したキーの情報が通知され、上位装置2の表示画面に「*」等が表示され、入力桁数が確認可能となる。
【0102】
上述の実施形態においては、鍵注入装置5において、カードリーダ20を含む決済装置1に決済鍵440を注入する例について説明した。
しかしながら、決済鍵440以外の設定を同様に行うことも可能である。たとえば、装置の性能秘匿を目的とした別の設定情報の注入として、ファームウェアの設定、通信パラメータの設定等も可能である。
【0103】
なお、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更して実行することができることは言うまでもない。
【符号の説明】
【0104】
1 決済装置
2 上位装置
3 サーバ
4 カード
5 鍵注入装置
10 中継基板
11、21、31、51 制御部
12、22、32、52 記憶部
20 カードリーダ
23 読取部
30 ピンパッド
33 入力部
34 表示部
100 機器鍵生成部
110 機器鍵登録部
120 機器認証部
130 情報取得部
140 決済通知部
150 決済鍵取得部
200、300 鍵決済制御部
401、402、403 機器情報
410 固有鍵
422、423 機器暗号鍵
432 カード情報
433 ピン情報
440 決済鍵
450 ログ情報
460 鍵注入プログラム
500 決済鍵送信部
510 ログ記録部
600 画面例
B1、B2、B3 ボタン
X 決済システム