专利名称:具有强化安全控管功能的交易系统的制作方法
技术领域:
本发明涉及一种交易系统,特别是涉及适合应用于具有多个分行和办事处的阶层式银行结构的交易系统。
目前金融机构所进行的金融交易处理,多数是采用计算机化对各种交易进行处理,例如存贷款等等业务,并且通过网络结构,将多个分支机构与总行系统连接,通过连线操作进而达到数据整合、交易简化等优点。
然而,目前已知的银行计算机系统仍然存在有许多的缺点。首先,目前所采用的银行计算机系统大多为封闭性设计的专用系统,当系统需要扩充或是进行更新过程时,往往便是一个灾难的开始。举例来说,当此封闭性系统在扩充设备时,往往必须配合原有系统进行修改,因此在选择硬件、软件时经常会受到原有系统的限制,不仅不易扩充设备,而且在修改原有系统时往往很容易出现不兼容的问题。另一方面,通常这种封闭性系统在程序更新或修改时,必须要将更新用的程序寄达或传输至原来的系统,再以人工的方式进行存储、安装、设定等,不仅耗费相当大的人力、财力和时间,同时也很容易在人工进行更新过程中产生安装错误,或是因为各交易间更新安装时间不一致而造成在同一时间各分行系统上的程序不一致等等的意外情况发生。
其次,已知的金融机构计算机系统虽然大都有设计安全控管的机制,但是一般而言仍不是相当完备。例如已知银行计算机系统大都是要求使用者在登入该系统时,必须输入使用者名称和密码,以防止非法使用者登入,此即一般所谓的密码检证机制。然而,一般使用者所设定的密码不是过于简单(例如是连续性的数字或是相同的字母等),就是从来不会变更已设定好的密码。这种密码设定和管理的方式实际上根本没有达到所谓的安全控管,很容易被非法使用者所破解。另一方面,在实际金融交易处理过程中,经常会设定符合某些重要条件的交易,必须由主管来审查或是执行授权。在已知银行计算机系统中,如果某一交易执行是需要经过主管授权后才可进行的话,通常会让主管到执行此交易的计算机前刷卡来核准授权,因此实际上主管必须在多个交易计算机前来回走动,不仅耗费时间而且相当不方便。更有甚者,这种情况往往会让主管贪图一时方便,直接将授权卡片交给一般柜台人员自行完成授权程序,因此丧失了主管审查授权的目的。
再者,由于交易系统大都采用网络连线操作,当系统无可避免地发生停机或是断线等等情况时,已知银行计算机系统在此情况下便完全无法进行金融交易操作,即使系统恢复连线后,也无法自动进行更新或补登数据的处理。
另外,已知银行计算机系统虽然已经可以通过网络连接起各种主机或终端处理装置,但是实际上却无法通过此计算机化接口来直接获得即时讯息,例如各种公告、重要讯息以及即时新闻等等,因此无法获得信息网络化的好处。
为了解决上述各种问题,本发明的目的是提供一种适用于银行体系的金融交易系统,能够以密码限定原则、密码强迫更改、强迫签退、暂停使用管制以及主管授权等等功能,来加强安全控管的机制,使得系统的安全性更加提高。另外,主管可以经由所在的计算机上执行核准授权以完成主管授权程序,如此便可以增加其审核授权速度。
另外,本发明的另一目的在于提供一种适用于银行体系的金融交易系统,能够针对系统停机、断线等等特殊情况,提供可执行的离线操作程序,藉以解决已知系统中停机或断线时所产生的问题。
另外,本发明的另一目的在于提供一种适用于银行体系的金融交易系统,能够让系统程序自动进行更新的过程,藉以减少人力操作并且避免延迟错误的产生。
另外,本发明的另一目的在于提供一种适用于银行体系的金融交易系统,能够执行讯息即时广播功能,藉此以最快速和直接的方式将重要的公告和讯息显示在此系统内的终端处理装置上。
因此,本发明提供一种具有强化安全控管功能的交易系统,其包括一链结网络、用以连线外部主机并且连接于链结网络的通讯伺服器、可以通过通讯伺服器与外部主机连线的伺服装置、和通过链结网络与伺服装置连线的终端处理装置。在安全控管上,当一操作者登入终端处理装置时,终端处理装置会接收此操作者所输入的登入数据,一般具有一登入密码(login password)。伺服装置的安全控管模块则与存储于伺服装置中对应于合法操作者的合法操作者密码相比较,检查终端处理装置的操作者所输入的登入密码是否合法,藉以判断是否允许其登入。在安全控管模块控制下,所有合法操作者密码都必须符合系统所设定的密码限定原则,该原则可以是限定合法操作者密码不得与其对应的合法操作者的已使用过的密码相同,例如不得与前五个密码相同,也可以是限定合法操作者密码内的所有字母或数字不得为相同、连续或等差的关系,甚至亦可以是限定不得与操作者的使用名称、出生年月日等个人数据相同。此种方式可以增加破解密码的难度。另外,当合法操作者密码的存在时间超过一规定期限后,安全控管模块也会自动启动一过程,用来强制变更此合法操作者密码。
另外,安全控管模块亦具有强制操作者从终端处理模块上签退以及对终端设备装置进行暂停使用管制的功能。
另外,伺服装置除了以上的功能,还可以处理主管授权操作,用以接收柜员用终端处理装置上需要授权的交易数据,传送至主管用终端处理装置,并且在完成授权后,传回原来柜员用终端处理装置;也可以处理网络伺服器与外部主机离线和连线的操作;也可以进行讯息广播;也可以进行程序更新,解决已知技术中交易系统的各项缺点。
附图简单说明为使本发明的上述目的、特征和优点能更明显易懂,下文特举一较佳实施例,并配合附图,作详细说明如下
图1表示本发明实施例的金融机构的系统结构方块图。
图2表示本发明实施例中在交易系统中的系统硬件方块图。
图3表示本发明实施例中在交易系统中的系统软件(包含程序模块以及数据库)的结构示意图。
图4表示本发明实施例中安全控管操作的流程图。
图5表示本发明实施例中安全控管操作的强迫签退功能的流程图。
图6表示本发明实施例中安全控管操作的暂停使用管制功能的流程图。
图7表示本发明实施例中主管授权操作的流程图。
图8表示本发明实施例的离线操作的流程图。
图9表示本发明实施例的恢复连线操作的流程图。
图10表示本发明实施例的讯息广播操作的流程图。
图11表示本发明实施例中交易主机系统程序更新操作的流程图。
图12表本发明实施例中交易系统终端处理装置的程序更新操作的流程图。
实施例图1表示本实施例中金融机构系统结构方块图。如图1所示,此系统系为一阶层式结构,其中包括总行主机10、以及通过网络15连接到总行主机10的多个交易系统20、21、22、自动柜员机(automatedtellermachine,ATM)40等等其他设备,以及通过网络25连接到交易系统20、22的办事处30、31。在本实施例中,在总行主机10与交易系统20、21、22以及其他设备(如自动柜员机40)之间的网络15,可以采用专线或者是封闭式网络连线,以便提高其安全性。至于交易系统20的内部则可以采用局域网(localarea network,LAN),例如一般常见的乙太网(Ethernet)或是令牌环网(token ringnetwork),在结构上为企业的内部网络(Intranet)。至于在部分的交易主机(20、22)以及其下层的办事处(30、31)之间的网络25,本实施例中为了节省成本,系采用因特网(Internet)的远端连线方式,不过此部分仍然是可以采用专线连线的方式,但其设置成本较高。
以下分别就硬件和软件方面描述本系统的结构。
硬件结构图2是表示本实施例中交易系统20以及其下层的办事处30的硬件结构方块图,至于其他的交易系统则具有类似的结构。在图2中,交易系统20包含有通讯伺服器210、交易处理伺服器220、数据库伺服器230、讯息广播伺服器240、程序更新伺服器250、终端处理装置260、270、280及其周边设备262、272,以及与办事处30采取远端连线操作方式时使用的通讯设备290。上述交易系统20内的各伺服器/设备是利用网络200加以连接,网络200可以是乙太网、令牌环网或是更高速的光纤网络(例如FDDI)等等。
另外,此交易系统20则是通过通讯伺服器210与总行主机10进行通讯,并且通过通讯设备290与其下层的办事处30通讯。
以下详细说明交易系统20内的各伺服器/设备的工作内容及其结构。首先说明的是交易系统的主机群,如前所述,本实施例中主要包括通讯伺服器210、交易处理伺服器220、数据库伺服器230、讯息广播伺服器240以及程序更新伺服器250。各伺服器可以各自利用一独立主机加以实现,也可以选择性地设置在同一主机上。
通讯伺服器210中包括了用来实际负责进行通讯的硬件、固体(firmware)以及应用程序,本实施例中则不特别限定其所使用的通讯协定类型,例如高速传输用的ATM(asynchronoustransfermode,异步传输模式)或是其他协定均可以使用于本实施例中。通讯伺服器210的主要功能是在总行主机10以及此交易系统20之间进行通讯和传输数据等等的服务。
交易处理伺服器220则是存储各种用以处理各种特定功能的程序模块。
图3所示本实施例中的交易处理伺服器220所包括的各种程序模块,分别为开关机处理模块221、安全控管模块222、交易处理模块223、应用程序处理模块224、主管授权模块225以及离线处理模块226。必须说明的是,图3所例示的各种程序模块并非用以限定本发明,对于本领域的普通技术人员而言,只针对其中数项加以实现或是加入其他辅助功能的模块,均不脱离本发明的范围。至于各程序模块的功能及操作,则于描述系统整体操作时再一并说明。
数据库伺服器230为一般已知的存储装置,用来存储使用于此交易系统中的相关数据。
讯息广播伺服器240具有一讯息广播模块,用来接收总行主机10所发出的讯息或自行制作广播讯息进行讯息广播。在本实施例中,由总行主机10所发出的讯息可以设定讯息显示状态为“立即”和“一般”二种情况。这是在考虑使用者在接收时可以采取的应对措施。当此讯息为“立即”显示状态时,表示接收到的终端处理装置立即将讯息内容显示在显示幕上;当此讯息为“一般”显示状态时,则仅需要显示有收到新讯息,使用者可于稍后时间再自行开启阅览。讯息显示状态可以依照不同应用环境而加以调整。
程序更新伺服器250具有一程序更新模块,接收总行主机1 0所发出的更新程序或于每次开机时自行检查是否有程序更新程序,若有更新的程序,则自动执行更新程序。
除了上述的伺服器群外,在交易系统20中还包括由主管及柜台人员所实际操作的终端处理装置260、270、280,其可以是一般个人计算机、终端机或是工作站主机等等,为负责执行交易时输入信息、显示讯息的装置。这些终端处理装置同样包含用来执行不同程序所需的硬件及软件模块,例如用来进行通讯服务的通讯模块281,用来进行交易处理的交易表单选择模块282、数据解译模块283及接口模块284,用来控制周边设备(262、272)的周边驱动程序285,以及用来与各主机完成特定工作的安全控管模块286、程序更新处理模块287以及讯息广播处理模块288。另外,终端处理装置260、270、280依据操作者的职位不同,必须通过一权限控制模块289设定其权限及可执行的操作,一般可以区分为主管用终端处理装置以及柜员用终端处理装置二种。主管用终端处理装置一般定义为主管人员所登入的终端处理装置而具有主管的执行权限,柜员用终端处理装置一般定义为柜台人员所登入的终端处理装置而具有柜员的执行权限。至于详细的操作流程则配合后述的各项工作流程一并说明。
另外,如图2所示,其中终端处理装置260、270还示出连接到其他的周边设备262、272,这其中可以包括存摺印表机、传票印表机、密码输入器、磁条阅读器、条码扫描器、自动补摺机等等。上述不同的周边设备须通过个别的驱动程序加以控制,此处不再赘述。
而在交易系统20中的通讯设备290则是负责藉由专线通讯网络与办事处30连线,一般包括了将讯息格式化的数据机以及负责在专线通讯网络上找到目的地址的路由器等等。另一方面,在辨事处30则具有对应的通讯设备330,通过内部的网络300,用以连接其他的终端处理装置310、320及其周边设备322。基本上,在办事处中并不需要设置如交易系统的主机/伺服器群,可以直接设置主管及柜台人员使用者的终端处理装置即可。必须注意的是,交易系统20与辨事处30之间是通过“因特网”通讯来传输,但是由于“因特网”通讯网络为一开放式通讯结构,因此所有传输数据都需要经过加密处理才可以确保其安全性。此加密处理必须符合隐密性(其他人无法读出数据)、不可窜改(防止其他人修改传输中的金融交易数据)以及可辨识来源(防止其他人以假的数据取代传输中的金融交易数据)等等要求,例如各种数据加密技术(例如DES、RSA)以及各种数字签名技术,此处不再赘述。
软件结构如前所述,交易处理伺服器220具有用来执行各种特定功能的模块。其中开关机处理模块221、交易处理模块223以及应用程序处理模块224则可以配合在操作者所使用的终端处理装置的对应模块,执行一般性操作及交易的功能。以下则分别描述这些模块的功能。
开关机处理模块211是用来执行交易系统主机群的开机和关机基本流程操作。
交易处理模块223是用来处理各种交易操作的输入和输出功能,其中包括了输入数据组成、输出数据接收、以及相关周边设备处理等等工作。
应用程序处理模块224是用来执行交易系统20中可独立执行的应用程序,如贷款、托收等业务。
另外,本实施例中为了能够解决已知银行计算机系统中的安全控管缺陷以及断线或停机等等情况,在交易处理伺服器220中包含了安全控管模块222、主管授权处理模块225以及离线处理模块226,用以处理安全控管、主管授权及离线处理等等问题。上述这些模块则于后述操作流程中一并说明。
另一方面,在终端处理装置上则具有对应的处理模块,例如安全控管模块286、程序更新处理模块287以及讯息广播处理模块288。同样的,这些模块亦于后述的操作流程中一并说明。
至于本实施例的交易系统中的数据结构部分,则是存储于伺服器群中的数据库伺服器230中。
操作流程图3表示本发明实施例中,在交易系统中的系统软件(包含程序模块以及数据库)的结构示意图。如图所示,数据库伺服器230用来存储各种相关操作流程所需的数据,在安全性的考虑下,其中各数据库中数据应以适当的加密方式加以保护。另外,交易处理伺服器220中的安全控管模块222则是配合对应的终端处理装置,用来提供安全控管功能;另外,主管授权模块225则是配合对应的终端处理装置,用来提供网络化的主管授权功能;另外,离线处理模块226则是用来处理停机、断线等等意外的情况。而讯息广播伺服器240则是配合终端处理装置260的讯息广播处理模块288,用来处理讯息广播功能。最后,程序更新伺服器250则是配合终端处理装置260的程序更新处理模块287,用来处理程序更新功能。以下结合图3的结构及对应的流程图,详细说明本实施例中的各项功能。
(1)安全控管操作流程本实施例的安全控管功能中,除了具备一般性的安全控管之外,例如当终端处理装置与交易的伺服器连线时,可以检查其设备认证数据,是终端处理装置代号(ID)或是IP地址;当柜台人员登入终端处理装置时,必须执行登入流程(其中包括了输入使用者代号和密码);认证用的密码必须经过乱码(scrambling)处理后,才会存储于数据库伺服器230中的密码数据234中;预先设定各主管和柜台人员的交易权限和管理权限。对于认证用的密码而言,本实施例中的安全控制操作特别包括了以下两项机制,以便增加密码的安全性。
1.密码强迫更改当密码于设定后超过一规定期限时,必须强迫使用者更改密码。
2.密码限定原则为防止密码被轻易破解而制定密码限定的原则,使用者在设定密码时需符合系统所设定的所有限定原则,该限定原则可依实际需求而设定,例如(a)不得与先前一规定次数的已设定过的密码相同;(b)不得为单一相同数字或文字(例如11111或是bbbbb)、亦不得具有连号或等差的数字(例如cdefg或13579)。
(c)不得与操作者的使用名称、出生年月日等个人数据相同。
图4表示本实施例中安全控管操作的流程图。此安全控管操作流程主要是由交易处理伺服器220中的安全控管模块222进行。首先,终端处理装置开机,并且将对应此终端处理装置的认证数据传送至安全控管模块222(步骤S100)。上述认证数据一般可以包含此终端处理装置的代码(ID)以及其所预定的IP地址。接着伺服器上的安全控管模块222会检查终端处理装置的认证数据是否正确(步骤S102)。若安全控管模块222无法找到对应的数据,则终端处理装置开机失败(步骤S104)。若成功的话,则终端处理装置出现登入画面,要求输入使用者数据,包括使用者代码和密码(步骤S106)。
在操作者完成输入并传送到安全控管模块222后,安全控管模块222便会根据数据库伺服器230中的密码数据和使用者数据,检查所输入的数据是否正确(步骤S108)。上述的密码和使用者数据亦可存储在总行主机中经由通讯伺服器而连线获得。此时如果操作者连续输入错误密码超过规定次数时(步骤S110),则会在此终端处理装置上显示出登入失败的讯息,并且限制该使用者不得再进行登入操作(步骤S112)。上述的规定错误次数可以依据实际环境加以调整。
另一方面,如果操作者所输入的数据是正确的,安全控管模块222会进一步检查其密码的设定日期是否超过一定期限(步骤S114),例如15日。若此密码的设定日期没有超过期限,则表示登入成功,终端处理装置的控制系统开始启动(步骤S116)。另一方面,如果该密码的设定日期已经超过期限,则安全控管模块222会自动执行更新密码流程,要求使用者输入新的密码(步骤S118)。安全控管模块222必须比较所输入的新密码是否符合系统预先设定的密码限定原则(步骤S120)。如果符合,则表示密码变更成功(步骤S122),而此时终端处设备的控制系统亦可以开始启动。
除了上述的密码检验及控管流程,本实施例中的安全控管模块222亦提供其他的辅助功能来强化其安全机制,其中包括强迫签退功能以及暂停使用管制功能。
强迫签退功能是在特定情况下,主管可以紧急强迫特定的柜员自动签退。图5表示本实施例中安全控管操作的强迫签退功能的流程图。如图5所示,此功能是从主管请求强制签退特定柜员时开始。首先,安全控管模块222会接收到来自主管用终端处理装置所送来的强迫签退请求(步骤S200)。接著,安全控管模块222会检查请求者是否具有执行此功能的权限(步骤S202)。
如果没有此权限,则可以回覆讯息表示执行失败(步骤S204)。如果确实是从具有此权限的主管发出,则安全控管模块222会要求此请求者,输入所要指定签退的柜员代码(步骤S206)。当接收到此柜员代码后,安全控管模块222便可以将该柜员从所使用的终端处理装置中签退(步骤S208),完成此功能。
暂停使用管制功能则是当终端处理装置在一指定时间内未进行任何操作时(例如操作输入装置),为了防止他人藉由此终端处理装置侵入交易系统而自动执行暂停使用管制功能来自动地签退此终端处理装置上的操作者。图6表示本实施例中安全控管操作的暂停使用管制功能的流程图。如图6所示,此功能是从某一终端处理装置自行检测到本身的鼠标、键盘或其他装置,在一段时间未被使用开始。首先,终端处理装置检测到自已的鼠标或键盘未被使用达一段时间(步骤S300),例如30分钟。接着,此终端处理装置会将此讯息(包含目前已登入的使用者信息)传送到安全控管模块222(步骤S302)。收到这些讯息后,安全控管模块222会先检查此一终端处理装置上是否仍在交易处理的状态下(步骤S304)。如果目前没有进行交易处理,则安全控管模块222会自动地执行签退功能(步骤S306)。
另一方面,如果此终端处理装置目前仍有交易正在进行,则安全控管模块222会先通知该终端处理装置(步骤S308),交由其内部对应的模块来处理。此时,终端处理装置会先冻结目前交易处理的状态,并且要求目前的操作者输入其使用者密码(步骤S310)。当操作者输入其密码时,安全控管模块222会检查所输入的密码是否正确(步骤S312)。如果是正确密码,表示该终端处理装置仍在安全的状态下,于是便可以恢复原先冻结的交易处理状态(步骤S314),继续进行交易。但是如果安全控管模块222检查输入密码错误的次数已经超过限定次数(步骤S316),则安全控管模块222会发出讯息通知终端处理装置的控制系统中断目前的交易状态,并且自动执行签退功能(步骤S318),藉以保障交易的安全性。
因此在本实施例的安全控管功能中,除了可以对于密码的设定管理加以强化,同时通过主管强迫签退以及系统暂停使用管制的功能,还可以在操作过程中防止可能的舞弊现象,提高系统的安全性。
(2)主管授权操作流程本实施例的主管授权功能是用来处理必须经由主管授权的交易操作。
图7表示本实施例中主管授权操作的流程图,其主要是利用交易处理伺服器220中的主管授权模块225以及各终端处理装置中的安全控管模块286来进行。
以下详细说明其流程。
首先,各终端处理装置内的安全控管模块286对于每一交易处理,都会检查是否需要经由主管授权(步骤S400)。如果不需要,则此交易处理可以继续进行(步骤S402)。但是如果目前的交易处理是需要主管授权才可以进行的话,则此终端处理装置内的安全控管模块286会先要求柜台人员输入指定授权的主管数据(步骤S404),例如该主管的代码等等可供辨识的信息。接着,安全控管模块286便将所指定授权的主管数据以及需要授权的交易画面,传送至交易处理伺服器220的主管授权模块225(步骤S406)。
当交易处理伺服器220成功地接收到指定授权主管数据以及需要授权的交易画面时,主管授权模块225便可以根据所接收的指定授权主管数据,将需要授权的交易画面送往被指定授权主管所在的终端处理装置上(步骤S408)。接着,该主管所在终端处理装置便会显示需要授权的交易画面,请示主管是否核准(步骤S410)。接着,该授权主管如果未在限定时间内进行授权的话(步骤S412),则视为未授权,此主管用终端处理装置便将未授权的讯息,传回到交易处理伺服器220的主管授权模块225(步骤S416),主管授权模块225再将此未授权讯息回覆给该柜员用终端处理装置,藉以中止此交易处理进行(步骤S418)。
另一方面,主管可以在规定时间内决定交易处理是否核准,这可以通过直接输入或是利用刷卡的方式实现,是否核准的讯息被传回到交易处理伺服器220的主管授权模块225,而主管授权模块225再送回原柜员用终端处理装置(步骤S414)。如果主管核准此一授权交易,则可以继续交易处理(步骤S402),如果未核准,则会中止此交易处理进行(步骤S418)。
上述主管授权的处理流程可以加快一般主管授权的过程,减轻主管授权的工作量,同时也能够更快速地处理需要授权的交易。
(3)离线处理操作流程本实施例的正常交易处理,是设定于交易与总行主机10连线时执行,然而网络系统有时仍会发生通讯中断的情况。当交易系统与总行主机19为离线状态时,便无法依照正常方式执行一般的交易处理,在本实施例中则是由交易处理伺服器220的离线处理模块226来启动离线操作进行交易处理。本实施例的离线操作流程可以直接处理不须连线亦可进行的交易类型,亦即该交易类型与总行主机10内的数据库无关,例如登记客户数据、处理交易帐务数据、查询交易交易流水纪录数据等等。另外,本实施例的离线操作流程也可以处理部分与总行数据库相关的交易类型,此时必须将所处理的交易纪录暂时存储在数据库伺服器中,当系统恢复连线时再自动进行补登数据、更新总行的数据库的后续处理操作。
图8表示本实施例的离线操作的流程图,用以处理离线状态时的情况,其主要是由交易处理伺服器220的离线处理模块226控制。首先,当交易系统中的通讯伺服器210检测到离线状态时(步骤S500),便会启动交易处理伺服器220中的离线处理模块226(步骤S502)。接着,离线处理模块226便会将交易内的各种终端处理装置,设定为离线工作状态,以便开始执行离线时的交易处理流程(步骤S504)。接着在后续交易处理中,各终端处理装置会将离线交易的所有数据送往离线处理模块226(步骤S506)。而离线处理模块226则处理这些离线交易的数据,并且将其存储在数据库伺服器中(步骤S508)。
图9表示本实施例的恢复连线操作的流程图,用以处理在离线状态后重新与总行主机10连线的情况。首先,当通讯伺服器210检测到与总行主机10间线路恢复正常后(步骤S510),通讯伺服器210便会执行恢复连线的操作(步骤S512)。接着,离线处理模块226便将离线时所存储的离线交易数据送往总行主机10,以便进行补登和更新的操作(步骤S514)。
在完成补登及更新操作后,离线处理模块226便将交易内的各终端处理装置重新设定为连线工作的状态,可以执行正常情况下的交易处理(步骤S516)。
(4)讯息广播操作流程图10表示本实施例的讯息广播操作的流程图。首先,总行主机10启动其自身的讯息广播模块(未图示),并且输入欲广播的讯息(步骤S600)。
接着,总行主机10的讯息广播系统将输入的讯息传送至交易系统中的讯息广播伺服器240(步骤S602)。交易系统中的讯息广播伺服器240可以接收来自总行主机10的广播讯息或是自行输入欲广播的讯息,配合所设定的讯息显示方式(例如“一般”和“立即”),将这些讯息传送至交易系统中终端处理装置的讯息广播处理模块288(步骤S604)。最后,各终端处理装置的讯息广播处理模块288便可以根据所设定的显示方式,将讯息内容立即显示在屏幕上或是在屏幕上显示接收讯息通知而后由操作者自行开启阅读。
通过上述的讯息广播操作,一般性或是立即性的讯息可以通过交易系统链结网络或是与总行之间连线网络,快速地传递到所有的终端处理装置上,达到所需要的讯息广播功能。
(5)程序更新操作流程在本实施例中,程序更新包括了交易主机/伺服器的程序更新操作以及终端处理装置上的程序更新操作。
图11表示本实施例中交易主机程序更新操作的流程图,首先,当交易系统的主机开机时(步骤S700),程序更新伺服器250会先检查交易系统中数据库伺服器230内是否有更新用程序(步骤S702)。如果有,则会自动执行此更新用程序进行程序更新(步骤S704)。如果没有,则交易主机会继续完成开机操作,并且与总行主机10进行连线(步骤S706)。一旦与总行主机10连线成功后,交易系统中的程序更新伺服器250则会检测总行主机10中的程序更新系统是否有更新程序(步骤S708)。如果有更新程序,则程序更新伺服器250会下载此更新程序并且加以存储(步骤S710),再自动执行此更新程序进行更新(步骤S704)。若无,则表示不需要进行更新,因此直接进入一般的操作状态(步骤S712)。此外,总行主机亦可将更新程序主动传送到各交易系统的数据库进行存储,该交易系统于下次开机时自动执行更新。
图12表示本实施例中交易终端处理装置的程序更新操作的流程图。同样的,当此终端处理装置开机时(步骤S720),终端处理装置中的程序更新处理模块287会检查数据库伺服器230内是否有终端处理装置所使用的更新程序(步骤S722)。如果有,则自动执行此更新程序(步骤S724)。若无,则表示终端处理装置开机成功,在与交易主机连线后(步骤S726),进入一般操作状态(步骤S728)。
在上述的程序更新操作中,由于无论是伺服器或是终端处理装置均是在一开机就执行更新程序的检查操作,并且在有更新程序时立即进行程序更新,再完成开机操作。因此可以保证交易内的伺服器或是终端处理装置是以最新的程序进行操作。
本发明虽以一较佳实施例作了说明,但所述实施例并非用以限定本发明,本领域普通技术人员,在不脱离本发明的精神和范围内,可做若干更动与润饰,因此本发明的保护范围以后附的权利要求所界定的范围为准。
权利要求
1.一种加强安全控管的交易系统,其包括一链结网络;一通讯伺服器,用以连线一外部主机并且连接上述链结网络;至少一伺服装置,连接上述链结网络,用以通过上述通讯伺服器与上述外部主机连线;至少一终端处理装置,连接上述链结网络,用以通过上述链结网络与上述伺服装置连线;其中上述终端处理装置,用以当一操作者登入上述终端处理装置时接收上述操作者所输入的登入数据,该登入数据至少具有一登入密码,且用以提供已登入的操作者请求执行交易功能;其中上述伺服装置存储对应于至少一合法操作者的合法操作者密码;其中上述伺服装置具有一安全控管模块,用以根据上述合法操作者密码,检查上述终端处理装置的操作者所输入上述登入密码以判断是否允许上述操作者登入;其中上述安全控管模块,用以判断上述合法操作者密码是否符合一密码限定原则,该密码限定原则用以限定上述合法操作者密码不与对应的上述合法操作者的至少一已使用密码相同,且该合法操作者密码的存在时间超过一规定期限,上述安全控管模块启动一过程,用以强制变更上述合法操作者密码;以及其中上述伺服装置具有一交易处理模块和一应用程序处理模块,用以执行上述已登入的操作者所请求的交易功能。
2.如权利要求1所述的交易系统,其中上述交易终端装置包括至少一操作者终端处理装置,连接上述链结网络,用以通过上述链结网络与上述伺服装置连线;至少一主管终端处理装置,连接上述链结网络,用以通过上述链结网络与上述伺服装置连线;其中终端处理装置,用以提供上述已登入的操作者请求执行交易功能,且在请求执行一需要授权的交易时,将需要授权的交易数据传送至上述伺服装置,并接收该伺服装置所传回是否授权的相关讯息;其中上述伺服装置具有一主管授权模块,用以接收在上述操作者终端处理装置上需要授权的交易数据,传送至上述主管终端处理装置,并接收该主管终端处理装置回覆上述交易数据是否授权的相关讯息,传回上述操作者终端处理装置;以及其中上述主管终端处理装置,用以接收及显示上述需要授权的交易数据,并将回覆是否授权的相关讯息传回上述伺服装置。
3.如权利要求1所述的交易系统,其中上述安全控制模块根据一具有强制签退权限的合法操作者指令,用以强制上述已登入的操作者签退上述终端处理装置;以及其中上述伺服装置存储有强制签退权限的合法操作者的权限数据。
4.如权利要求2所述的交易系统,其中上述安全控制模块根据一具有强制签退权限的主管操作者指令,用以强制上述已登入的操作者签退上述操作者终端处理装置;以及其中上述伺服装置存储有强制签退权限的主管操作者的权限数据。
5.如权利要求1或2所述的交易系统,其中上述安全控制模块根据终端处理装置未使用到一规定时间,用以强制上述已登入的操作者签退上述终端处理装置;以及其中上述安全控制模块根据终端处理装置未使用到一规定时间且该终端处理装置正处于交易状态中,用以冻结该终端处理装置的交易处理状态。
6.如权利要求1或2所述的交易系统,其中上述伺服装置还具有一离线处理模块,用以处理上述通讯伺服器与上述外部主机离线和恢复连线的操作。
7.如权利要求1或2所述的交易系统,其中上述伺服装置用以将一广播讯息,通过上述链结网络传送至上述终端处理装置。
8.如权利要求1或2所述的交易系统,其中上述伺服装置用以存储更新程序,当上述伺服装置开机时,则根据所存储的更新程序进行更新;以及其中上述伺服装置通过上述通讯伺服器,用以下载更新程序至上述伺服装置予以存储。
9.如权利要求1或2所述的交易系统,其中还包括一通讯装置,用以远端连线一外部终端处理装置。
10.一种应用一交易系统以加强安全控管的交易的操作方法,该交易系统具有一链结网络;一通讯伺服器,用以连线一外部主机并且连接上述链结网络;至少一伺服装置,连接上述链结网络,用以通过上述通讯伺服器与上述外部主机连线;以及至少一终端处理装置,连接上述链结网络,用以通过上述链结网络与上述伺服装置连线;其包括下列步骤当一操作者登入上述终端处理装置时,接收上述操作者所输入的登入数据,上述登入数据至少具有一登入密码;传送上述登入数据至上述伺服装置;根据上述伺服装置中所存储的对应于至少一合法操作者的合法操作者密码以及所接收的上述登入密码,决定上述操作者是否为合法操作者,若为合法操作者则允许登入该终端处理装置;当上述操作者为合法操作者时,判断对应的上述合法操作者密码的存在时间是否超过一规定期限;当上述合法操作者密码的存在时间超过上述规定期限时,强制变更上述合法操作者密码,其中变更的上述合法操作者密码符合一密码限定原则,用以限定上述合法操作者密码不与对应的上述合法操作者的至少一已使用密码相同;以及上述终端处理装置提供已登入的合法操作者请求执行交易的功能,且由上述伺服装置执行交易功能。
11.如权利要求10所述的操作方法,其中还包括步骤具有强制签退权限的合法操作者下达一指令,用以强制上述已登入的操作者签退上述终端处理装置。
12.如权利要求10所述的操作方法,其中还包括下述步骤检测与上述外部主机的连线是否正常;当与上述外部主机间离线时,将上述终端处理装置的交易数据存储于上述伺服装置;以及当与上述外部主机恢复连线时,以存储的上述交易数据更新上述外部主机。
13.如权利要求10所述的操作方法,其中还包括下列步骤上述伺服装置接收一广播讯息;以及通过上述链结网络传送至上述终端处理装置。
14.如权利要求10所述的操作方法,其中还包括下列步骤上述伺服装置通过上述通讯伺服器,由上述外部主机下载更新程序至上述伺服装置;当上述伺服装置开机时,根据存储于上述伺服装置的更新程序进行更新;以及当上述终端处理装置开机时,通过上述链结网络,根据上述伺服装置所存储的更新程序进行更新。
15.一种应用一交易系统以加强安全控管的交易的操作方法,该交易系统具有一链结网络;一通讯伺服器,用以连线一外部主机并且连接上述链结网络;至少一伺服装置,连接上述链结网络,用以通过上述通讯伺服器与上述外部主机连线;至少一操作者终端处理装置,连接上述链结网络,用以通过上述链结网络与上述伺服装置连线;以及至少一主管终端处理装置,连接上述链结网络,用以通过上述链结网络与上述伺服装置连线;其包括下列步骤当上述的操作者终端处理装置在执行一需要授权的交易时,将需要授权的交易数据传送至上述伺服装置;上述伺服装置接收在上述操作者终端处理装置上需要授权的交易数据,传送至所指定的上述主管终端处理装置;上述的主管终端处理装置接收上述需要授权的交易时,显示需要授权的交易数据,并将是否授权的相关讯息传回上述的伺服装置;以及上述伺服装置将交易数据是否授权的相关讯息,传回上述操作者终端处理装置。
16.如权利要求15所述的操作方法,其中还包括步骤具有强制签退权限的主管操作者下达一指令,用以强制上述已登入的操作者签退上述操作者终端处理装置。
17.如权利要求15所述的操作方法,其中还包括下述步骤检测与上述外部主机的连线是否正常;当与上述外部主机间离线时,将上述终端处理装置的交易数据存储于上述伺服装置;以及当与上述外部主机恢复连线时,以存储的上述交易数据更新上述外部主机。
18.如权利要求15所述的操作方法,其中还包括下列步骤上述伺服装置接收一广播讯息;以及通过上述链结网络传送至上述终端处理装置。
19.如权利要求15所述的操作方法,其中还包括下列步骤上述伺服装置通过上述通讯伺服器,由上述外部主机下载更新程序至上述伺服装置当上述伺服装置开机时,根据存储于上述伺服装置的更新程序进行更新;以及当上述终端处理装置开机时,通过上述链结网络,根据上述伺服装置所存储的更新程序进行更新。
全文摘要
本发明提供一种具有强化安全控管功能的交易系统,其与一总行主机连线,其中包括多个主机/伺服器以及多个主管用或柜员用终端处理装置。交易伺服器中包括通讯伺服器、交易处理伺服器、数据库伺服器、讯息广播伺服器以及程序更新伺服器等等。其中交易处理伺服器配合各终端处理装置内的模块,提供各项安全控管操作、主管授权操作以及离线处理操作,讯息广播伺服器和程序更新伺服器是用以提供讯息广播及程序更新的操作。
文档编号G06F13/00GK1365055SQ0110122
公开日2002年8月21日 申请日期2001年1月9日 优先权日2001年1月9日
发明者徐楫远 申请人:精业股份有限公司