终端装置、服务器装置、终端确认方法、终端程序及存储媒体的制作方法

专利名称：终端装置、服务器装置、终端确认方法、终端程序及存储媒体的制作方法
技术领域：
本发明涉及终端装置、服务器装置、终端确认方法、终端程序、以及存储媒体，例如，关于执行存储在IC卡的电子货币的处理。
背景技术：
近年来，在一般零售店及消费者的协助下实施的电子货币(电子现金)大规模实用化实验已获得成功，我国已开始迎接电子货币时代的降临。
现在已获得实用化的电子货币系统，例如，将货币价值的金额存储在由非接触型IC卡所构成的电子货币卡。
电子货币卡具有CPU(中央处理单位Central Processing Unit)，对其输入加法运算指令及减法运算指令并执行，可增减卡内的货币价值的金额。
利用电子货币提供商品·服务等的事业者，登录成电子货币系统的主办者(以下称为电子货币中心)而成为加盟店，具备以对电子货币卡执行存取的专用终端。加盟店进行商业交易时，利用该专用终端来增减顾客的电子货币卡内的余额，取代现金的授受。
专用终端以日志数据来存储执行完成的处理的相关交易履历，一日实施数次程度的批处理，以汇总方式将其发送至电子货币中心的服务器(以下称为中央服务器)。
此外，专用终端未连结于网络而单独使用时，负责人员回收存储日志数据的存储媒体，并在电子货币中心将日志数据输入中央服务器。
中央服务器存储从专用终端收集到的日志数据并进行合计，对应利用电子货币的商业交易执行各加盟店的结算处理，尚对于各电子货币卡的使用履历及余额等信息进行管理。
在加盟店设置专用终端的主要理由如下所示。
(1)确保安全本电子货币系统的营运上，是以利用上不必事先登录等而为任何人皆可利用的结算单元、以及与现金交易相同可当场完成交易(当场完成交易结算)为基本原则。
因此，电子货币不同于信用卡的结算，不会有因为非法使用而被消费者取消等的情形。
故电子货币的入帐·结算所使用的终端必须可确实防止交易履历的外部窜改·盗录，而且，电子货币卡及中央服务器必须具有整合性，在这种事业上的要求下，将安全相关功能黑箱化的专用终端设置于加盟店，可保证交易履历及通信的安全性。
(2)对应网络环境此外，以专用终端执行批处理的理由之一，是当初开始营业时，可高速进行网络通信的宽频环境当未完备。
也就是说，与电子货币卡间的信息处理，先完成专用终端及电子货币卡间的处理，然后，将汇总的日志数据发送至管理中心，以低速的网络亦可实现高速且安定的入帐·结算处理。
这种利用电子货币的技术如下所示。
〔专利文献1〕日本特开2003-141428号公报该技术是将货币的价值存储在消费者携带的非接触型IC卡并利用加减法运算来实现电子货币的流通。
然而，若如上所示而设置专用终端，则会有专用终端的制造费负担及管理负担较大的问题。尤其是，因为专用终端必须内装对入帐·结算处理及通信实施加密的结算模块，除了从制造阶段至废弃时的回收为止必须实施彻底的全程管理以外，对加盟店的管理亦必须十分慎重。
此外，因为专用终端的库存数及生产数有限，大型连锁店及大规模零售店等成为加盟店而在暂时间内需要大量专用终端时，可能无法顺利对应。
此外，因为现在的专用终端是利用批处理发送日志数据，电子货币卡内的记录及电子货币中心侧的记录会出现时间差的问题。因此，例如登录于电子货币中心侧的非法卡信息无法实时反映至业务上。
因此，本发明的目的是在提供可以低成本实现导入及管理的电子货币的处理终端装置。

发明内容
为了达成前述目的，本发明第1方面的发明提供一种终端装置，对于具有存储表示货币价值的金额的电子数据的货币信息的货币信息存储单元、以及执行特定处理命令并将前述存储的货币信息变更成所表示的金额的货币信息处理单元的携带装置，从特定服务器装置接收前述处理命令并输入前述携带装置的终端装置，具有在特定时刻从构成前述终端装置的特定硬件取得该硬件固有的固有信息的固有信息取得单元；以及前述取得的固有信息及预先登录成前述硬件的固有信息的登录固有信息不一致时，限制将前述处理命令输入前述携带装置的输入处理的限制单元。
本发明第2方面的发明提供如本发明第1方面的终端装置，具有至首次对前述携带装置输入处理命令为止取得前述硬件的固有信息并存储在特定存储目的处的固有信息存储单元，前述限制单元将前述记存储的固有信息作为前述登录固有信息使用。
本发明第3方面的发明提供如本发明第1或2方面的终端装置，具有激活前述终端装置时请求输入激活用秘密信息的激活用秘密信息请求单元，前述限制单元在对于前述请求输入的激活用秘密信息及预先设定于前述终端装置的激活用秘密信息不一致时，限制将前述处理命令输入前述携带装置的输入处理。
该限制，可以利用例如停止终端装置的激活来实现。
本发明第4方面的发明提供如本发明第1～3方面的其中任一项的终端装置，前述特定服务器装置具有以使特定该终端装置的使用者的使用者特定信息、分配于前述终端装置的终端分配信息、以及该终端装置的终端识别信息互相对应的方式进行存储的登录信息存储单元；产生识别前述终端装置的终端识别信息，并存储在设置于前述终端装置内的存储装置的终端识别信息产生单元；以及将前述产生的终端识别信息及前述终端分配信息发送至前述特定服务器装置的终端登录信息发送单元；且，前述终端装置在发送前述终端识别信息及前述终端分配信息后，对于前述特定服务器装置将前述终端识别信息作为该终端装置的识别用信息使用。
本发明第5方面的发明提供如本发明第1～4方面的其中任一项的终端装置，具有接收前述终端装置的连续运用时间的输入的运用时间受理单元，前述限制单元在前述终端装置激活后经过前述受理的连续运用时间时，限制将前述处理命令输入前述携带装置的输入处理。
本发明第6方面的发明提供一种服务器装置，是对本发明第4方面的终端装置发送前述处理命令的服务器装置，具有以使特定该终端装置的使用者的使用者特定信息、分配于前述终端装置的终端分配信息、以及该终端装置的终端识别信息互相对应的方式进行存储的登录信息存储单元；将前述使用者特定信息及前述终端分配信息输入前述登录信息存储单元的输入单元；接收前述终端装置发送的前述终端识别信息及前述终端分配信息的终端识别信息接收单元；以及以使对应前述终端分配信息的使用者特定信息与前述接收的终端识别信息产生关连的方式进行存储的终端登录单元。
这里之前述终端登录单元的构成上，例如，将前述接收的终端分配信息与利用前述登录信息存储单元存储的终端分配信息进行对照，前述登录信息存储单元以使与前述对照的终端分配信息相关的使用者特定信息与前述接收的终端识别信息产生关连的方式进行存储。
本发明第7方面的发明提供本发明第6方面的服务器装置，对前述终端装置发送处理命令，具有从前述终端装置接收该终端装置的终端识别信息的终端识别信息接收单元；将前述接收的终端识别信息与利用前述终端登录单元存储的终端识别信息进行对照，并取得与该终端识别信息相关的使用者特定信息的使用者特定信息取得单元；以及对于以前述取得的使用者特定信息特定的使用者，合计发送给前述终端装置的处理命令相关的货币价值的金额的变更金额的合计单元。
本发明第8方面的发明提供一种终端确认方法，是用于终端装置的终端确认方法，该终端装置对于具有存储表示货币价值的金额的电子数据的货币信息的货币信息存储单元、以及执行特定处理命令并将前述存储的货币信息变更成所表示的金额的货币信息处理单元的携带装置，从特定服务器装置接收前述处理命令并输入前述携带装置，前述终端装置具有固有信息取得单元及限制单元，所述终端确认方法包括以下步骤利用前述固有信息取得单元在特定时刻从构成前述终端装置的特定硬件取得该硬件固有的固有信息的固有信息取得步骤；以及前述取得的固有信息及预先登录成前述硬件的固有信息的登录固有信息不一致时，利用前述限制单元限制将前述处理命令输入前述携带装置的输入处理的限制步骤。
本发明第9方面的发明提供一种终端程序，使由计算机所构成的终端装置，实现对于具有存储表示货币价值的金额的电子数据的货币信息的货币信息存储单元、以及执行特定处理命令并将前述存储的货币信息变更成所表示的金额的货币信息处理单元的携带装置，从特定服务器装置接收前述处理命令并输入前述携带装置的功能的终端程序，可使计算机实现以下功能在特定时刻从构成前述终端装置的特定硬件取得该硬件固有的固有信息的固有信息取得功能；以及前述取得的固有信息及预先登录成前述硬件的固有信息的登录固有信息不一致时，限制将前述处理命令输入前述携带装置的输入处理的限制功能。
本发明第10方面的发明提供如本发明第9方面的终端程序，可使计算机实现以下功能将前述终端程序安装至计算机时，请求输入安装用秘密信息的安装用秘密信息请求功能；以及对于前述请求输入的安装用秘密信息及预先设定于该终端程序的安装用秘密信息不一致时，限制前述终端程序的安装处理的安装处理限制功能。
本发明第11方面的发明提供如本发明第9或10方面的终端程序，将前述终端程序安装至前述终端装置时，实现从构成该终端装置的特定硬件取该硬件固有的固有信息并存储在特定存储目的处的固有信息存储功能，前述限制功能将前述存储的固有信息作为前述登录固有信息使用。
本发明第12方面的发明提供如本发明第9～11方面的终端程序，前述特定服务器装置具有以使特定该终端装置的使用者的使用者特定信息、分配于前述终端装置的终端分配信息、以及该终端装置的终端识别信息互相对应的方式进行存储的登录信息存储单元，并使计算机实现产生识别前述终端装置的终端识别信息，并存储在设置于前述终端装置内的存储装置的终端识别信息产生功能；以及将前述产生的终端识别信息及前述终端分配信息发送至前述特定服务器装置的终端登录信息发送功能。
本发明第13方面的发明提供一种存储媒体，存储计算机可读取的如权利要求范围第9～12项的其中任一项的终端程序。
依据本发明，可以低成本实现执行电子货币处理的终端装置等的导入及管理。


图1是本实施形态的电子货币系统的构成说明图。
图2是电子货币卡的说明图。
图3是加盟店终端的说明图。
图4是中央服务器的说明图。
图5是将终端应用程序安装于加盟店终端的步骤的流程图。
图6是激活终端应用程序的步骤的流程图。
图7是加盟店终端被窃时的处理步骤的流程图。
图8是被复制的终端应用程序的动作的流程图。
图9是增设加盟店终端时的步骤的流程图。
图10是通常业务时加盟店终端执行的信息处理步骤的流程图。
图11是安装终端应用程序时的显示画面的一实例图。
图12是激活终端应用程序时的显示画面的一实例图。
标号说明1电子货币系统2中央服务器4网络5加盟店终端5a终端计算机5b读写器7电子货币卡7a储值处理部7b余额存储部7c日志数据存储部7d卡ID存储部100电子货币中心
102加盟店具体实施方式
(实施形态的概要)准备使计算机发挥处理电子货币卡的终端(加盟店终端)的功能的程序(以下称为终端应用程序)，并分发给加盟店。
加盟店将其安装至计算机并将该计算机作为加盟店终端使用。安装目的处的计算机可以为例如个人计算机等的通用计算机，可大幅轻减加盟店侧的终端设置负担及电子货币中心侧的终端管理负担。
终端应用程序的构成上，安装时收集安装目的处的计算机所具有的特定硬件的硬件信息并进行存储。
此外，终端应用程序在激活加盟店终端时，从该硬件取得硬件信息，并与安装时所存储的硬件信息进行比较。
构成上，终端应用程序可确认两者具有同一性时，继续执行激活处理，无法确认同一性时，则停止激活处理。
这样，利用确认硬件信息的同一性，在激活时可保证加盟店终端是正规的加盟店终端，故可防止从加盟店终端非法复制终端应用程序等的非法行为。
此外，本实施形态的终端应用程序的构成上，安装时会请求初始登录通行码，即使第三者取得终端应用程序的安装程序亦无法安装至计算机。
此外，终端应用程序的构成上，激活时请求激活通行码，故其构成上，即使第三者窃取加盟店终端，亦无法激活终端应用程序。
此外，随着近年来的宽频化大幅改善了网络环境，可将加盟店终端连结至中央服务器并在线上实施电子货币卡的处理。
因此，例如可立即停止非法使用的电子货币卡的使用。
(实施形态的详细)电子货币商业交易时，利用对附与和金钱相等的交换价值的被称为储值的电子信息的值实施加减，会产生交换价值的移动。
储值是存储在具有储值处理功能的IC卡的电子货币卡而可供利用者携带。
在缔结利用储值进行商业交易的契约的加盟店，可利用储值购入商品·服务。
加盟店在店头设置可对电子货币卡进行存取的加盟店终端，对存储在利用者的电子货币卡的储值实施消费金额份的减法运算来进行结算。
此外，亦可支付金钱给加盟店，而将该金额份的储值写入电子货币卡。这样，将储值写入电子货币卡的处理被称为充值。
图1是本实施形态的电子货币系统的构成的模式区块图。
电子货币系统1是由设置于电子货币中心100的中央服务器2、设置于各加盟店102的加盟店终端5、5、5、…、网络连结中央服务器2及加盟店终端5、5、5、…的网络4、以及与加盟店终端5进行近距离无线通信的电子货币卡7所构成。
电子货币中心100是实施电子货币系统1的运营维持管理的事业体，运用中央服务器2。
中央服务器2与加盟店终端5保持连结，可实时与加盟店终端5进行通信，，可依据来自加盟店终端5的请求，产生加法运算指令及减法运算指令并发送。
此外，中央服务器2如后面的详细说明所示，加盟店102侧设置新加盟店终端5时，亦会执行该加盟店终端5的登录处理等加盟店终端5的管理。
此外，本实施形态的中央服务器2及加盟店终端5、5、5、…是保持连结，然而，未受限于此，例如，其构成上亦可在必要时才将加盟店终端5连结至中央服务器2。
加盟店102是例如便利商店及餐厅等对顾客提供商品及服务的店铺，使用储值做为商品及服务的报酬。
加盟店102在例如收银台配设加盟店终端5，利用其对顾客的电子货币卡7实施报酬份的储值的减法运算来进行结算。此外，亦可从顾客收取现金，并对电子货币卡7实施该金额份的储值的充值。
本实施形态是可利用加盟店终端5实施结算及充值的双方，然而，其构成上，也可以为只可执行结算及充值的其中任一方。
加盟店终端5是由终端计算机5a及读写器5b所构成。
终端计算机5a可以对个人计算机等的通用计算机安装(组入)终端应用程序来构成。终端应用程序是使计算机发挥加盟店终端5功能的应用程序软件(应用程序)，由电子货币中心100提供。
利用通用计算机构成终端计算机5a，可降低加盟店102侧的设置成本及导入成本、以及电子货币中心100侧的管理成本及回收成本等的各种成本。
此外，其构成上，亦可为利用组合着具有与终端应用程序相同功能的模块的专用机。
读写器5b是终端计算机5a的外围设备，内装以与电子货币卡7进行近距离无线通信为目的的天线。
加盟店终端5以无线方式对电子货币卡7提供电力并驱动来进行通信。
电子货币卡7的利用者在利用时，使电子货币卡7接近读写器5b。
此外，终端计算机5a经由读写器5b对电子货币卡7进行存取，并将中央服务器2发送的加法运算指令及减法运算指令输入电子货币卡7。
电子货币卡7是组合着储值处理功能的非接触型IC卡，具有以执行储值处理功能为目的的IC芯片及以与读写器5b进行无线通信为目的的天线。
电子货币卡7存储储值的金额，执行读写器5b输入的加法运算指令及减法运算指令而实施储值金额的加减法运算。
电子货币卡7是存储表示对应金钱的交换价值的电子信息(储值)的一种预付卡。
图1是亦为电子货币卡7的功能构成，如图所示，电子货币卡7具有储值处理部7a、余额存储部7b、日志数据存储部7c、以及卡ID存储部7d等。
余额存储部7b是存储储值的现在余额的存储部。结算及充值时，存储在余额存储部7b的储值的金额会出现增减。余额存储部7b构成以电子数据(储值)存储货币价值的金额的货币信息存储单元。
日志数据存储部7c是以日志数据存储交易履历的存储部。交易履历是例如交易日时、执行交易的加盟店终端的ID信息、结算或充值的类别、以及交易金额等。
交易履历可存储例如至6件为止，从旧数据依序进行消除。
卡ID存储部7d是存储卡ID的存储部。卡ID是电子货币系统1对于电子货币卡7附与的固有ID信息，电子货币中心100可依据卡ID来特定电子货币卡7。
此外，卡ID是由电子货币中心100对于电子货币卡7所附与，然而，亦可使用电子货币卡7的制造厂商附与电子货币卡7的ID信息。
无论何种ID信息，皆存储在电子货币卡7，对电子货币卡7输入特定指令即会读取ID信息。
储值处理部7a是执行读写器5b输入的各种指令的信息处理部。
储值处理部7a受理加法运算指令或减法运算指令的输入时，对余额存储部7b的储值实施以参数付属于该指令的金额份的加法运算或减法运算。
此外，储值处理部7a执行信息处理时，会更新日志数据存储部7c的交易履历。
这样，储值处理部7a构成执行特定处理命令(加法运算指令或减法运算指令等)来变更货币信息所表示的金额的货币信息处理单元。此外，电子货币卡7构成具有货币信息存储单元及货币信息处理单元的携带装置。
储值处理部7a受理的指令除了加法运算指令及减法运算指令以外，尚有其它各种指令，例如，从卡ID存储部7d读取卡ID并输出的指令、以及回传余额存储部7b的余额的指令等。
本实施形态的电子货币卡7是经由利用网络4、终端计算机5a、以及读写器5b形成的路径与中央服务器2进行通信，然而，该通信是经过加密，电子货币卡7亦具有以其为目的的加密及解密功能。
更具体而言，电子货币卡7及中央服务器2是利用SSL(SecureSockets Layer)等技术经由经过加密的通信路径(由网络4、终端计算机5a、以及读写器5b所构成)发送及接收经过加密的信息。
这样，因为电子货币系统1的中央服务器2具有保有并管理加密上必要的信息的功能，故加盟店终端5不必具有加密相关的重要功能，而无需实施如传统专用终端(内装加密模块)的严格管理。
网络4是由例如网际网络所构成，媒介中央服务器2及加盟店终端5间的通信。
本实施形态为了在线上处理电子货币卡7的储值，网络4应为对应所谓宽频的高速网络。
此外，网络4亦可由WAN(Wide Area Network)及LAN(Local AreaNetwork)等所构成，此外，亦可采用利用通信卫星的通信线路、电话线路网、或光缆网等。
此外，加盟店102为出租车、巴士、摊贩、船舶、或飞机等移动体时，亦可为经由无线通信线路实施中央服务器2及加盟店终端5的通信的构成。
图2(a)是电子货币卡7的硬件构成之一实例的模式区块图。
电子货币卡7是内装天线701及IC芯片702的塑料卡。
本实施形态的电子货币卡7是使用非接触型IC卡，然而，亦可由接触型IC卡所构成。此时，电子货币卡7具有取代天线701的以对IC芯片702执行存取为目的的接触端子。加盟店终端5亦具有连结该接触端子的端子，电子货币卡7及加盟店终端5可经由该端子进行通信。
天线701是以与读写器5b具有的天线进行无线通信为目的的组件。
天线701除了可接收读写器5b放射的电波以外，尚可对读写器5b放射电波。
此外，读写器5b以无线方式对天线701提供电力，故该天线701亦具有产生以驱动IC芯片702为目的的电力的发电功能。
IC芯片702是具有ROM(Read Only Memory)703、CPU(CentralProcessing Unit)704、高频电路部705、RAM(Random AccessMemory)706、以及存储部707等各组件的一种计算机。该组件是形成于1个IC芯片上。
CPU704是依据各种程序执行信息处理、以及控制电子货币卡7的整体动作的中央处理单位。
ROM703是存储以使电子货币卡7产生功能为目的的基本程序(0S(Operating System)及对于读写器5b的通信程序等)及各种数据的读取专用内存。
高频电路部705是经由天线701与读写器5b进行通信为目的的接口。CPU704可经由高频电路部705与读写器5b进行无线通信。
RAM706是可擦写的易失性内存，提供CPU704执行各种信息处理时的工作区。本实施形态是使用于例如CPU704执行加法运算指令及减法运算指令而增减储值的金额时。
存储部707是由例如EEPROM(Electrically Erasable andProgrammable ROM)所构成，是CPU704可执行信息读写的非易失性内存。
存储部707存储(安装着)各种应用程序软件，CPU704执行前述各种应用程序软件可使电子货币卡7发挥各种功能。
本实施形态是存储使CPU704发挥电子货币卡7功能的程序的储值处理程序。
图2(b)是存储在存储部707的信息的构成的模式图。
存储部707除了存储储值处理程序以外，尚会形成余额存储部7b、日志数据存储部7c、以及卡ID存储部7d等。
储值处理部7a采用电子货币卡7接近读写器5b而被驱动则CPU704执行储值处理程序的软件构成。因此，可对余额存储部7b、日志数据存储部7c、以及卡ID存储部7d进行存取而执行各种信息处理。
本实施形态时，存储部707存储储值处理程序，并以电子货币卡7实现储值处理功能，然而，亦可将其它程序存储在存储部707并对应用途来进行选择性激活。
因此，例如亦可利用电子货币卡7做为点卡、或做为交通机关的交通费用结算用预付卡。
此外，近年来，亦尝试在携带电话等携带终端内装IC芯片702并使携带终端具有非接触型IC卡的功能。
该利用形态时，携带终端具有IC芯片702及天线701，除了可与电子货币卡7相同而从读写器5b利用无线进行存取以外，亦可在携带终端具有的显示装置显示IC芯片702内的信息，或者，亦可经由携带终端的输入装置将信息输入IC芯片702。
以下，本实施形态是以电子货币卡7为例来进行说明，然而，亦可使用内装该IC芯片702的携带终端。
图3(a)是加盟店终端5的硬件构成的模式区块图。
加盟店终端5可由专用机所构成，亦可由设着着读写器5b的通用个人计算机所构成。
加盟店终端5的构成上，控制部10经由总线线32连结着输入装置18、输出装置20、通信控制装置24、存储装置30、存储媒体驱动装置28、以及输出入接口(I/F)26等。
控制部10是由CPU12、ROM14、以及RAM16等所构成。
CPU12是下载存储在ROM14、存储装置30、以及其它的程序并执行的中央处理单位。本实施形态是执行存储在存储装置30的终端应用程序而可发挥加盟店终端5的功能。
ROM14是存储例如以执行使CPU12发挥功能的基本控制为目的的各种程序、数据、以及参数的读取专用非易失性内存。ROM14内的程序是使用于例如激活加盟店终端5时。
RAM16是可作为CPU12的工作内存使用的可擦写内存，例如，使用于执行终端应用程序时。
输入装置18是由例如键盘、鼠标、以及条形码读取装置等输入装置所构成。
键盘是由以输入假名及英文字等为目的的按键、以输入数字为目的的十键、各种功能键、光标键、以及其它键所构成。
本实施形态时，键盘是使用例如安装终端应用程序时输入初始登录通行码、或激活终端应用程序时输入激活通行码。
此外，执行业务时，可利用键盘执行以电子货币卡7的充值及结算为目的的必要操作。
条形码读取装置是读取标示于商品的条形码的装置，可读取特定结算的商品的信息、价格、以及其它信息。
鼠标是指向装置。利用GUI(Graphical User Interface)等操作加盟店终端5时，以鼠标点取显示于显示装置上的按钮及图标等即可输入特定信息。
本实施形态在安装及激活终端应用程序时会将各种画面显示于显示装置，可利用鼠标操作从各画面输入信息。
输出装置20是由例如显示装置及印刷装置等所构成。
显示装置是由例如CRT(Cathode Ray Tube)显示器、液晶显示器、以及电浆显示器等所构成的将信息显示于画面的装置。
显示装置在安装终端应用程序时会显示初始登录通行码输入画面，而在激活终端应用程序时会显示激活通行码输入画面。
此外，运用加盟店终端5的期间，会显示与业务相关的各种画面。
印刷装置是例如对纸等印刷媒体进行印刷的装置，例如，由喷墨打印机、激光打印机、热转式打印机、点矩阵打印机等各种打印机装置所构成。
利用印刷装置印刷交付给顾客的收据等。
通信控制装置24是以将加盟店终端5连结至网络4为目的的装置，由调制解调器、终端配接器、以及其它连结装置所构成。
通信控制装置24是由CPU12所控制，依据特定通信协议执行与中央服务器2间的数据及其它信息的发送及接收。
存储装置30是由可擦写的存储媒体及以对于该存储媒体执行程序及数据的读写为目的的驱动装置所构成。该存储媒体主要是使用硬盘，其它，然而，也可以例如光磁盘片、磁盘、以及半导体内存等其它可擦写存储媒体所构成。
存储装置30会形成存储各种程序的程序存储部34及存储各种数据的数据存储部36。
程序存储部34如图3(b)所示，安装着OS40、终端应用程序42、…等程序。
OS40是实现档案的输出入及包含读写器5b在内的外围设备的控制等驱动加盟店终端5而实现基本功能的程序。
终端应用程序42是电子货币中心100提供的应用程序软件，是可使加盟店终端5发挥加盟店终端功能的程序。终端应用程序42会提供给例如存储在CD-ROM等存储媒体(后述)的加盟店102，并被安装于加盟店终端5。终端应用程序42可发挥的功能在后面会有详细说明。
数据存储部36如图3(b)所示，存储终端侧管理信息44、运用日志数据46、…等。
终端侧管理信息44是因为安装终端应用程序42而形成，存储电子货币卡7的储值处理上必要的各种数据。更具体而言，如图3(c)所示，存储加盟店ID、终端ID、串行ID、以及硬件信息等信息。
加盟店ID是电子货币中心100对于加盟店102附与的ID信息，电子货币中心100可利用加盟店ID来特定各加盟店。加盟店ID构成特定加盟店终端5的使用者的使用者特定信息。
终端ID对于加盟店的加盟店终端5所附与的唯一ID信息，如后面所述，安装时由中央服务器2对于加盟店终端5进行附与。终端ID是以例如依据加盟店终端5的设置顺序而附与01、02、…等，对加盟店102而言，是容易辨识的信息。
串行ID是电子货币系统1对于加盟店终端5附与的唯一的ID信息，利用串行ID可特定电子货币系统1内的加盟店终端5。如后面所述，加盟店终端5在安装终端应用程序时会利用随机数产生串行ID并通知中央服务器2，中央服务器2则将其登录成该加盟店终端5的串行ID。串行ID构成特定加盟店终端5的终端识别信息。
这样，利用由加盟店终端5侧产生串行ID的构成，可节省预先由电子货币中心100准备串行ID至安装终端应用程序为止的管理步骤，故可简化电子货币系统1。
此外，对于加盟店终端5准备串行ID及终端ID的2种ID信息是为了加盟店102的方便。也就是说，因为加盟店102通常将加盟店终端5称为1号机、2号机、…等，故以加盟店102而言，终端ID比串行ID更容易辨识。
因此，因为加盟店终端5故障等而对电子货币中心100进行洽询时，加盟店102可使用平常使用的终端ID而减轻加盟店102的负担。
硬件信息是构成加盟店终端5的装置等的固有信息，例如MAC地址、存储装置30的制造串行编号、以及显示装置的制造串行编号等。硬件信息构成构成加盟店终端5的硬件的固有的固有信息。此外，存储在存储装置30的固有信息是以激活终端应用程序为目的而登录之物，构成登录固有信息。
硬件信息是在安装终端应用程序时从该硬件取得并存储在终端管理信息44。
加盟店终端5在激活终端应用程序时会从该硬件收集硬件信息，并与存储在终端侧管理信息44的硬件信息进行比较，两者一致时持续执行激活，不一致时，则不执行激活。
这样，激活时取得硬件信息，并与安装时取得之物进行比较，可以防止终端应用程序被复制到其它计算机并使用。
因此，取得硬件信息的装置应该为不容易更换之物。
通常，加盟店终端5很少更换存储装置30及显示装置，故可利用该硬件信息。
运用日志数据46是运用加盟店终端5时所累积的履历信息。
记录于运用日志数据46的信息，例如，加盟店终端5的激活·停止日时、与中央服务器2的通信记录、以及与电子货币卡7的通信记录等。
回到图3(a)，输出入接口(I/F)26是以在加盟店终端5连结外围设备来扩充加盟店终端5功能为目的的接口。
若要符合输出入接口26规格的外围设备，任何设备皆可增设。可增设的外围设备，例如，硬盘、扫描仪、以及便携式商品管理装置(加盟店102的负责人员可携带其在店内移动并输入商品状况的装置)等。
存储媒体驱动装置28是以驱动可装卸存储媒体并执行数据读写为目的的驱动装置。可装卸的存储媒体，例如，CD-ROM，光磁盘片，磁盘、磁带、半导体内存、以及利用孔形成数据的纸媒体等。此外，CD-ROM及纸媒体只可读取。
本实施形态时，电子货币中心100是将终端应用程序存储在例如CD-ROM及光磁盘片等并分发给加盟店102，加盟店102则将其填装至存储媒体驱动装置28并安装终端应用程序。
此外，也可以为经由网络4对加盟店102发送终端应用程序并由加盟店102进行安装的构成。
图3(d)是电子货币中心100分发给加盟店102的存储媒体的构成模式图。
存储媒体43的构成上，是由例如CD-ROM、光磁盘片、软盘、以及半导体内存等存储媒体所构成，加盟店终端5可进行读取。
存储媒体43存储以将终端应用程序安装至加盟店终端5为目的的套装软件的终端应用程序套装软件。
终端应用程序套装软件含有以将终端应用程序安装至加盟店终端5为目的的安装程序及终端应用程序的本体程序等。
此外，电子货币中心100是假设读写器5b的驱动器软件具有OS40，然而，OS40不具有驱动器软件时，其构成上，亦可在终端应用程序套装软件准备该驱动器软件并与终端应用程序一起安装于加盟店终端5。
图4(a)是中央服务器2的功能构成的模式区块图。此外，中央服务器2是由计算机所构成，基本上，硬件构成与终端计算机5a相同。
中央服务器2是由加盟店终端登录部50、交易处理部52、图上未标示的其它处理部、加盟店终端信息数据库54、交易履历数据库56、以及图上未标示的其它各种功能部(网络4的接口等)及各种数据库所构成。
此外，本实施形态对于各加盟店终端5的管理及对于电子货币卡7的信息处理(储值的加减法运算等)是由中央服务器2实施一元化管理，然而，并未受限于此，其构成上，也可以为组合着复数服务器装置的系统。
例如，也可以构成连结着执行加盟店终端5的登录处理的加盟店终端登录服务器、对于电子货币卡7执行信息处理的交易处理服务器、以及连结其它服务器装置而可发挥与中央服务器2相同功能的系统。
加盟店终端登录部50是管理加盟店终端5的新登录的功能部。
加盟店终端登录部50在加盟店102将终端应用程序安装于加盟店终端5时会与加盟店终端5进行通信，执行该加盟店终端5的登录处理。
详细如后面所述，加盟店终端登录部50利用该登录处理对加盟店终端5发行终端ID、或从加盟店终端5接收该加盟店终端5的串行ID等，并将该加盟店终端5的固有信息记录于加盟店终端信息数据库54。
这样，加盟店终端登录部50将新加盟店终端5相关信息追加至加盟店终端信息数据库54并进行更新，而将加盟店终端5登录至中央服务器2。
交易处理部52是执行存储在电子货币卡7的储值金额的加减处理的功能部。
中央服务器2可与装填于加盟店终端5的电子货币卡7进行实时通信。此时，加盟店终端5具有中继中央服务器2及电子货币卡7的通信的通信路径的功能。
交易处理部52对电子货币卡7发送加减法运算指令，可对存储在电子货币卡7的储值金额实施特定金额的增减。
交易处理部52可实时对电子货币卡7的储值实施加盟店102指定的金额的增减，因此，可使加盟店102及电子货币卡7的所有者间的商业交易成立。
交易处理部52与电子货币卡7之间执行处理时，该履历会记录于交易履历数据库56并进行更新。
交易履历数据库56存储例如执行处理之日时、处理对象的电子货币卡7的卡ID、加法运算金额或减法运算金额、加盟店终端5的串行ID、以及加盟店ID等日后结算储值的必要信息。
此外，交易履历数据库56的履历信息亦可分成入帐日志数据及结算日志数据，对于电子货币卡7的入帐(充值)时及结算时分别产生日志数据。这样，分别产生日志数据可减轻以后合计作业的负担。
这里，对于储值的结算(合计处理)详细说明如下。
首先，入帐方面，加盟店102从顾客收取入帐份金额的金钱后，请中央服务器2产生该金额份的加法运算指令，并将其输入顾客的电子货币卡7来实施储值金额的加法运算。加盟店从顾客收取的资金会存放(蓄积)于电子货币中心100。
此外，对于各加盟店102合计日后顾客为了接受商品而在加盟店102进行结算的金额份的储值，并从存放资金将在加盟店102消费而实施减法运算的储值份的金额分发给各加盟店102。
如前所述，因为实际金钱及储值的对应关系，可以使储值具有与金钱相同的交换价值。
这样，中央服务器2具有对于各加盟店利用使用者特定信息(特定加盟店的信息，也就是说，加盟店ID)合计电子货币卡7的货币价值的金额的变更金额的合计单元。
此外，亦可能为以下的事业形态，也就是说，存在被称为发行者的第三者，将从顾客收取的金钱存放于发行者处由其进行保管。存在复数发行者时，为了区别入帐及结算的储值属于那一个发行者，电子货币卡7应存储识别发行者的发行者识别信息。
中央服务器2在顾客使用电子货币卡7时同时从电子货币卡7取得发行者识别信息，即可知道使用属于那一个发行者的储值，而能对于各发行者实施储值的结算。
此外，亦可准备卡ID及发行者的对应表，利用其使电子货币卡7的经过加减法运算的储值与发行者互相对应。
图4(b)是存储在加盟店终端信息数据库54的加盟店终端信息的逻辑构成之一实例图。
加盟店终端信息对于各加盟店而产生，图中是第N个加盟店相关的加盟店终端信息。
加盟店信息60是由加盟店相关的固有信息的加盟店信息62、以及对于设置于该加盟店的各加盟店终端5所产生的终端信息64、64、…所构成。
加盟店信息62是由电子货币中心100的操作员输入而产生，终端信息64在将终端应用程序安装于加盟店终端5时自动产生。
加盟店信息62由加盟店ID、终端台数、初始登录通行码(PW)、以及激活通行码(PW)等信息所构成。
加盟店ID是电子货币系统1附与加盟店102的唯一ID信息，利用加盟店ID可特定加盟店102。
终端台数是设置于该加盟店102的加盟店终端5的台数，依据加盟店102的申请来输入。台数的申请可以利用例如电话及传真等通常的通信单元通知电子货币中心100。
终端应用程序安装于全部加盟店终端5后，加盟店信息62的终端台数及终端信息64的个数相等。
这样，预先以中央服务器2设定终端台数，非法安装终端应用程序来增加加盟店终端5的台数时，很容易即可发现。
初始登录通行码是将终端应用程序安装于加盟店终端5时必要的安装用秘密信息，对于各加盟店102进行设定。此外，初始登录通行码亦可作为以使安装终端应用程序时由加盟店终端5所产生的串行ID、以及存储在加盟店信息62的加盟店ID互相对应为目的的终端分配信息使用。
激活通行码是加盟店终端5激活终端应用程序时的必要秘密信息，亦对于各加盟店102进行设定。
分发给加盟店102的终端应用程序套装软件预先组合着初始登录通行码及激活通行码，组合于内的通行码及设定于加盟店信息的通行码是互相对应。
此外，本实施形态的初始登录通行码及激活通行码对于各加盟店102，然而，并未受限于此，其构成上，亦可对于各加盟店终端5进行设定。
此时，虽然可进一步提高安全水准，然而，为了管理各加盟店终端5的初始登录通行码及激活通行码，势必提高电子货币系统1的运作成本。
终端信息是由串行ID、终端ID、硬件信息、以及交易状态等信息所构成。
串行ID是电子货币系统1对于加盟店终端5设定的唯一ID信息，安装终端应用程序时由加盟店终端5产生。
终端ID是加盟店102对于加盟店终端5设定的唯一ID信息，安装终端应用程序时，由加盟店终端登录部50产生并附与加盟店终端5。
终端ID的构成上，是依据加盟店终端5的设置顺序以系统方式附与01、02、…等单纯的值，加盟店102很容易辨识。
硬件信息是安装终端应用程序时从加盟店终端5取得的特定硬件的固有识别信息。
此外，本实施形态在激活终端应用程序时会确认加盟店终端5的硬件信息，并非一定要登录于终端信息64。
然而，若为激活终端应用程序时将硬件信息发送至中央服务器2并由中央服务器2进行硬件信息的确认的构成时，则必须将硬件信息登录于终端信息64。
交易状态是表示加盟店终端5的可利用状态的参数，包括「可利用」及「删除」等。
加盟店终端5处于正常运作的期间，终端信息64的交易状态维持「可利用」，例如，加盟店终端5被窃取时等加盟店终端5发生某种异常时，则会被设定成「删除」。
「删除」的设定包括中央服务器2检测到加盟店终端5异常而进行设定(例如，加盟店终端5的硬件信息不一致而由加盟店终端5通知中央服务器2)、以及加盟店102通报(例如，加盟店终端5被窃时等)而由电子货币中心100的操作员进行设定。
此外，交易处理部52在执行电子货币卡7的处理而与加盟店终端5进行通信时会确认终端信息64的交易状态。
此外，交易处理部52在交易状态为「可利用」时会执行处理，交易状态为「删除」时则不执行处理。
这样，在执行电子货币卡7的处理前，会确认加盟店终端5的状态，故可提高电子货币系统1的安全水准。
这样，加盟店终端信息数据库54构成使使用者特定信息(加盟店ID)、终端分配信息(加盟店ID及初始登录通行码等可特定加盟店的信息)、以及终端识别信息(串行ID)互相对应并存储的登录信息存储单元。
此外，激活通行码构成以激活加盟店终端5为目的的激活用秘密信息。
此外，中央服务器2具有可供操作员对加盟店信息62输入加盟店ID、初始登录通行码、以及其它信息的输入单元。
其次，参照图5的流程图，对于将终端应用程序安装于加盟店终端5的步骤进行说明。
首先，在将终端应用程序安装于加盟店终端5(尚未安装终端应用程序)的前，电子货币中心100必须将终端应用程序套装软件提供给加盟店102。此事先准备的步骤如下所示。
首先，电子货币中心100受理来自加盟店102的提供套装软件的请求(利用电话等通常的连络方法实施)，电子货币中心100对于该加盟店102设定加盟店ID、初始登录通行码、以及激活通行码。此外，从加盟店102取得加盟店终端5的设置台数，操作员在加盟店终端信息数据库54建立该加盟店102用的加盟店信息62来执行登录(步骤2)。
此外，电子货币中心100以设定的初始登录通行码及激活通行码可发挥功能的方式构成终端应用程序套装软件(也就是说，将初始登录通行码及激活通行码组合至终端应用程序套装软件)并存储在存储媒体43。
此外，电子货币中心100将加盟店ID、登录的终端台数、初始登录通行码、以及激活通行码提供给加盟店102，同时，将存储终端应用程序套装软件的存储媒体43提供给加盟店102(步骤4)。
加盟店102取得电子货币中心100提供的加盟店ID、登录的终端台数、初始登录通行码、激活通行码、以及存储终端应用程序套装软件的存储媒体43。
为了安全起见，可以由电子货币中心100的营业负责人员将该信息送至加盟店102，然而，亦可利用邮寄或其它单元提供给加盟店102。
加盟店102为了将终端应用程序安装于加盟店终端5，必须将存储媒体43装填于存储媒体驱动装置28(图3)，激活终端应用程序套装软件内的安装程序。这样，即可开始安装终端应用程序(步骤10)。
以下的动作，是由CPU12(图3)依据安装程序来执行。
首先，加盟店终端5将初始登录通行码输入画面显示于显示装置，请求输入加盟店ID及初始登录通行码(安装用秘密信息请求功能)(步骤12)。
图11(a)是初始登录通行码输入画面的一实例图。如图所示，初始登录通行码输入画面含有加盟店ID输入栏71、初始登录通行码输入栏72、OK按钮74、以及取消按钮76。
加盟店102利用输入装置18分别在加盟店ID输入栏71及初始登录通行码输入栏72输入电子货币中心100所提供的加盟店ID及初始登录通行码，以鼠标操作等选取OK按钮74。选取取消按钮76则会取消输入的事项。
选取OK按钮74后，CPU12将电子货币中心100预先设定的初始登录通行码、与加盟店102输入的初始登录通行码进行对照，两者为一致时，继续执行安装处理，不一致时，则会显示如图11(b)所示的错误画面，并中止安装处理(安装处理限制功能)。
回到图5，加盟店终端5在确认电子货币中心100设定的初始登录通行码及加盟店102输入的初始登录通行码为一致后，会产生随机数，并利用其产生串行ID(步骤14)。可直接将产生的随机数作为串行ID、或利用产生的随机数来产生串行ID。
其次，加盟店终端5连结至中央服务器2，并将加盟店ID、初始登录通行码、以及产生的串行ID发送给中央服务器2(步骤16)。这样，加盟店终端5具有发送终端识别信息(串行ID)及终端分配信息(初始登录通行码或加盟店ID等)的终端登录信息发送单元。
相对于此，中央服务器2(加盟店终端登录部50)从加盟店终端5接收加盟店ID、初始登录通行码、以及串行ID(终端识别信息接收单元)。
此外，加盟店终端登录部50检索加盟店终端信息数据库54的加盟店信息62，确认存在存储加盟店终端5发送过来的加盟店终端ID及初始登录通行码的加盟店信息62(步骤22)。
无法确认加盟店终端ID及初始登录通行码时，中止处理，并对加盟店终端5发送警告。
确认加盟店终端ID及初始登录通行码时，加盟店终端登录部50以和该加盟店102的加盟店信息62相关的方式产生终端信息64(图4(b))，并将从加盟店终端5接收的串行ID存储在其中(终端登录单元)(步骤24)。
其次，加盟店终端登录部50产生该加盟店终端5的终端ID，并将其存储在终端信息64(步骤26)。
此外，加盟店终端登录部50将产生的终端ID发送给加盟店终端5(步骤28)。
加盟店终端5从中央服务器2接收终端ID。此外，将加盟店ID、串行ID、以及从中央服务器2接收的终端ID视为终端侧管理信息44(图3(c))而存储在数据存储部36(步骤18)。
这样，加盟店终端5具有产生终端识别信息(串行ID)并存储的终端识别信息产生单元。
其次，加盟店终端5在加盟店终端5内检索特定硬件的位置，从该硬件取得硬件信息并存储在数据存储部36(固有信息存储功能)(步骤20)。
此外，图上并未标示，将取得的硬件信息发送给中央服务器2，并存储在终端信息64。
加盟店终端5完成以上的安装处理时，对中央服务器2发送安装完成通知，加盟店终端登录部50接收到通知，将终端信息64的交易状态设定成「可利用」。
本实施形态在安装终端应用程序时会取得硬件信息并进行存储，然而，取得并存储的时刻也可以为安装的后，只要在加盟店终端5首次对于电子货币卡7执行处理(输入处理命令)之前即可。
利用以上的步骤，可将终端应用程序安装于加盟店终端5，而且，中央服务器2会对于该加盟店102产生加盟店信息62，对于该加盟店终端5产生终端信息64。
此外，加盟店102设置复数台加盟店终端5时，依序安装终端应用程序。其间，中央服务器2会进行监视，安装的台数不能多于加盟店信息62的终端台数。
其次，参照图6的流程图，对于激活安装于加盟店终端5的终端应用程序的步骤进行说明。
加盟店102在开店时会激活(亦称为开机)加盟店终端5，关店时会停止(亦称为关机)加盟店终端5。以下的处理在每次开机时实施。
此外，若加盟店102为24小时营业的店铺，每次关闭收银台时实施(通常，24小间营业店每天会关闭收银台数次)。
首先，加盟店102的负责人员打开加盟店终端5的电源，输入终端应用程序的激活指令。
即会激活激活通行码确认程序，显示装置会显示图12(a)所示的激活通行码输入画面80。
激活通行码输入画面80包含激活通行码输入栏82、OK按钮84、以及取消按钮86，加盟店102在激活通行码输入栏82输入激活通行码并选取OK按钮84。选取取消按钮86时，需重新输入激活通行码。激活通行码输入画面80构成激活用秘密信息请求单元。
回到图6，加盟店终端5选取OK按钮84后，若确认加盟店终端5的负责人员输入的激活通行码、与电子货币中心100设定的激活通行码(组合于终端应用程序中)为一致(步骤30)，激活终端应用程序(步骤32)。
此外，激活通行码不一致时，显示图12(b)所示的错误画面，不激活终端应用程序。
其次，加盟店终端5在加盟店终端5内检索特定硬件，从该硬件取得硬件信息(固有信息取得单元)。此外，确认与被视为终端侧管理信息44(图3(c))的安装时存储的硬件信息为一致(步骤34)。
硬件信息不一致时，中止激活终端应用程序，并发出警告。
这样，加盟店终端5具有限制单元，在硬件信息不一致时，无法执行对于电子货币卡7的各种指令输入，限制对于电子货币卡7的指令输入。此外，本实施形态是以中止激活终端应用程序做为限制方法的一实例，然而，也可以利用其它方法来进行限制。此外，也可以只限制部份指令的输入，而非限制全部指令的输入。
确认硬件信息为一致后，加盟店终端5显示图上未标示的运用时间输入画面，加盟店102的负责人员输入运用时间(步骤36)。这样，加盟店终端5具有运用时间受理单元。
终端应用程序具有计测时间的模块(定时器)，经过设定的运用时间时，自动执行关机。此外，将该运用时间发送给中央服务器2，中央服务器2进行监视。因此，加盟店终端5的运用大幅超过预先设定的运用时间时，中央服务器2会辨识成发生某种异常。
此外，考虑加盟店终端5的时钟及中央服务器2的时钟可能不一致，以关闭加盟店终端5为目的的时钟是采用加盟店终端5的时钟。
此外，其构成上，也可以在经过运用时间时，由中央服务器2对加盟店终端5发送信号而停止加盟店终端5的动作。
加盟店终端5在输入运用时间后，将由串行ID、激活通行码、以及运用时间等所构成的运用信息发送至中央服务器2(步骤38)。
中央服务器2利用加盟店终端5发送的串行ID，从加盟店信息62取得对于该加盟店102设定的激活通行码，确认与从加盟店终端5接收的激活通行码为一致(步骤42)。此外，中央服务器2对加盟店终端5发送利用许可信号(步骤44)，开始计测运用时间。
此外，激活通行码不一致时，对加盟店终端5发送警告。
加盟店终端5从中央服务器2接收利用许可信号后，激活终端应用程序，显示图上未标示的选单画面，同时，开始计测运用时间(步骤40)。
加盟店102的负责人员从该选单画面选取特定项目，开始日常的入帐·结算业务。
如上所示，加盟店终端5的构成上，激活终端应用程序时必须输入激活通行码，不知道激活通行码就无法激活加盟店终端5，可提高安全水准。
此外，激活时设定运用时间，经过运用时间即自动关机，可防止非必要的长时间的加盟店终端5运作，中央服务器2更易察觉加盟店终端5的异常。
其次，参照图7的流程图，对于加盟店终端5被窃时的处理步骤进行说明。此外，与图6相同的步骤附与相同步骤编号。
首先，事先处理上，加盟店102在加盟店终端5被窃时，将加盟店ID及该加盟店终端5的终端ID提供给电子货币中心100(步骤50)。利用例如电话等通常的连络单元来进行通知。
电子货币中心100受理加盟店102的窃案报案，操作员操作中央服务器2，将该加盟店终端5的终端信息64(图4(b))的交易状态从「可利用」设定成「删除」(步骤52)。
以上步骤即完成事先处理。
第三者若想激活窃取的加盟店终端5，首先，因为不知道激活通行码而无法输入激活通行码(步骤54；N)，加盟店终端5无法激活终端应用程序而结束。
假设第三者可取得激活通行码并输入(步骤54；Y)，加盟店终端5如图6的流程图所示，激活终端应用程序(步骤32)，确认硬件信息(步骤34)，且受理运用时间的输入(步骤36)，并将运用信息发送至中央服务器2(步骤38)。
中央服务器2从加盟店终端5接收运用信息，执行串行ID及激活通行码的确认(步骤42)。
此外，中央服务器2确认该加盟店终端5的终端信息64(图4(b))的交易状态，检测出交易状态设定成「删除」。
此外，中央服务器2产生终端已删除信号并发送给加盟店终端5(步骤62)。
加盟店终端5的终端应用程序的构成上，在接收到终端已册除信号即停止激活，故加盟店终端5从中央服务器2接收到终端已删除信号即停止激活终端应用程序(步骤64)。
这样，因为第三者即使取得加盟店终端5却不知激活通行码，而无法激活终端应用程序，此外，假设知道激活通行码，也会因为中央服务器2侧将交易状态设定成「删除」而无法激活终端应用程序。
此外，第三者想要分析加盟店终端5来设法取得激活通行码时，假设可成功取得激活通行码，预测也要花费相当长的时间，而让加盟店102有充份的时间可以向电子货币中心100提出窃案报告。
其次，对于从加盟店终端5的存储装置30取得终端应用程序并复制到其它计算机时进行说明。此外，假设终端应用程序及终端侧管理信息44一起被复制。
图8是说明终端应用程序的复制目的的加盟店终端5的动作的流程图。此外，与图6相同的步骤，附与相同步骤编号。
与图6相同，加盟店终端5受理激活通行码的输入并进行确认(步骤30)，激活终端应用程序(步骤32)。
其次，加盟店终端5从加盟店终端5的特定硬件取得硬件信息，并将其与被视为终端侧管理信息44进行存储的硬件信息进行比较。
此次取得的硬件信息是复制目的的加盟店终端5的硬件信息，因为被视为终端侧管理信息44进行存储的硬件信息是复制来源的加盟店终端5的硬件信息，故两者不一致。
此外，加盟店终端5检测出该硬件信息不一致(步骤70)，对中央服务器2发送表示硬件信息不一致的要旨的信号及串行ID(步骤72)。
加盟店终端5检测出硬件信息不一致后，停止执行终端应用程序(步骤74)。
另一方面，中央服务器2将以该串行ID特定的终端信息64(图4(b))的交易状态设定成「删除」。
如上所示，即使将终端应用程序从加盟店终端5复制到其它计算机，因为硬件信息不一致，复制目的处的计算机无法激活终端应用程序。
此外，中央服务器2亦检测到硬件信息不一致而将交易状态设定成「删除」，而使复制目的处及复制来源的加盟店终端5都不可使用。
其次，参照图9的流程图，对于加盟店102增设加盟店终端5的步骤进行说明。因为加盟店终端5的台数是由中央服务器2进行管理，增设加盟店终端5时，加盟店102应连络电子货币中心100表示要增设加盟店终端5(步骤90)。该连络是利用电话及传真等通常的通信单元实施，加盟店102将加盟店ID及增设台数等提供给电子货币中心100。
电子货币中心100取得该信息，操作员将该加盟店102的加盟店信息62(图4(b))的终端台数更新成增设后的终端台数。
电子货币中心100更新终端台数后，加盟店102依据利用图5进行说明的终端应用程序的安装步骤安装终端应用程序。
以下，与图5相同的步骤，附与相同的步骤编号，并省略说明。
其次，参照图10的流程图，对于加盟店终端5使用于通常业务时的加盟店终端5对电子货币卡7执行的处理步骤进行说明。以下的处理时，加盟店终端5方面是由CPU12(图3(a))依据终端应用程序来执行，电子货币卡7方面则由CPU704(图2(a))依据储值处理程序来执行。此外，中央服务器2的处理是由交易处理部52(图4(a))执行。
以下述实例来进行说明，也就是说，顾客在加盟店102购物，以存储在电子货币卡7的储值来支付消费金额。
首先，顾客将购入的商品拿给加盟店102的负责人员(收银台人员)，此外，将电子货币卡7装填于加盟店终端5的读写器5b。
加盟店102的负责人员将商品的消费金额输入加盟店终端5。该输入可以利用例如十键、或条形码。
加盟店终端5受理该结算消费金额(步骤100)，请求电子货币卡7发送卡ID(步骤102)。
电子货币卡7接收到加盟店终端5的请求，储值处理部7a(图1)从卡ID存储部7d读取卡ID并发送至加盟店终端5(步骤120)。
加盟店终端5从电子货币卡7接收卡ID，将卡ID、结算金额信息、以及加盟店终端5的串行ID等发送至中央服务器2(步骤104)。
中央服务器2接收该信息(终端识别信息接收单元)，首先，确认卡ID(步骤130)。中央服务器2对于各卡ID管理各电子货币卡相关信息，利用该信息，以加盟店终端5发送的卡ID是否存在、或未列示于非法使用名单等来确认电子货币卡7是正当使用。
其次，利用加盟店终端5的串行ID，确认该加盟店终端5的交易状态(图4(b))为「可利用」(步骤132)，产生从储值减去结算金额份的减法运算指令并发送至加盟店终端5(步骤133)。
加盟店终端5从中央服务器2接收减法运算指令(步骤106)，并经由读写器5b将其发送至电子货币卡7(步骤108)。
电子货币卡7接收该减法运算指令，储值处理部7a执行该指令，从存储在余额存储部7b的储值余额减去结算金额份(步骤122)。此外，储值处理部7a将本次处理相关的处理内容写入日志数据存储部7c，更新日志数据。
储值处理部7a完成减法运算处理后，对加盟店终端5发送完成通知(步骤124)。
加盟店终端5接收到完成通知(步骤110)，将该通知发送至中央服务器2(步骤112)。
中央服务器2从加盟店终端5接收完成通知后，更新交易履历数据库56(步骤134)。
以上对于结算时进行说明，入帐时也可以相同的处理步骤执行。
也就是说，顾客将电子货币卡7装填于读写器5b，并将入帐金额份的金钱交给加盟店102的负责人员。
相对于此，加盟店102的负责人员请求中央服务器2发送实施入帐金额份的储值的加法运算的加法运算指令，中央服务器2确认卡ID及加盟店终端5的串行ID等，对加盟店终端5发送加法运算指令。
加盟店终端5将该加法运算指令发送给电子货币卡7，电子货币卡7执行该加法运算指令而实施储值的加法运算。
因此，顾客将交给加盟店102的金额份的储值存放于电子货币卡7。
以上，对于本实施形态的一实例进行说明，然而，也可以为如下所示的变形例。
(变形例1)此变形例是由中央服务器2执行硬件信息的确认。
激活加盟店终端5时，加盟店终端5从特定硬件取得硬件信息，并与加盟店终端5的串行ID一起发送至中央服务器2。
中央服务器2利用串行ID检索存储在终端信息64(图4(b))的硬件信息，并与加盟店终端5发送的硬件信息进行比较。
此外，两者一致时，中央服务器2对加盟店终端5发送利用许可信号，不一致时，则对加盟店终端5发送利用不许可信号。
加盟店终端5接收到利用许可信号时，激活终端应用程序，接数到利用不许可信号时，则不激活终端应用程序。
这样，由中央服务器2侧执行硬件信息的确认，例如，终端侧管理信息44(图3(b))的硬件信息遭到窜改时等亦可对应。
(变形例2)
此变形例是由中央服务器2执行初始登录通行码的确认。
此时，终端应用程序套装软件(图3(d))设定着固有的套装软件识别信息。此外，中央服务器2将该套装软件识别信息及初始登录通行码的组合存储在加盟店信息62(图4(b))。
加盟店终端5在安装终端应用程序时，将使用者输入的初始登录通行码及套装软件识别信息、以及串行ID发送至中央服务器2，中央服务器2确认与预先存储的组合是否为一致。
中央服务器2在加盟店终端5发送的套装软件识别信息及初始登录通行码的组合与预先存储的组合一致时，对加盟店终端5发送安装许可信号，不一致时，则对加盟店终端5发送安装不许可信号。
加盟店终端5接收到安装许可信号时，继续执行安装，接收到安装不许可信号时，则中止安装。
本变形例时，可以中央服务器2控制终端应用程序安装的许可·不许可。
(变形例3)此变形例是由中央服务器2执行激活通行码的确认。
此时，中央服务器2预先将串行ID及激活通行码的组合存储在终端信息64(图4(b))。此外，加盟店终端5在激活时将串行ID及使用者输入的激活通行码发送至中央服务器2，中央服务器2确认与预先存储的组合是否一致。
中央服务器2在加盟店终端5发送的串行ID及激活通行码的组合与预先存储的组合一致时，对加盟店终端5发送运用许可信号，不一致时，对加盟店终端5发送运用不许可信号。
加盟店终端5接收到运用许可信号时，继续激活终端应用程序，接收到运用不许可信号时，中止激活。
本变形例时，可以中央服务器2控制终端应用程序激活的许可·不许可。
以上说明的本实施形态及变形例具有如下所示的效果。
(1)加盟店102利用电子货币系统1时不必准备专用终端，可降低设备导入成本。
(2)电子货币中心100无需实施专用终端的管理。此外，因为通用计算机可作为加盟店终端5使用，在一次必须导入大量加盟店终端5时，很容易对应。
(3)安装终端应用程序时，必须输入初始登录通行码，可防止第三者私自安装终端应用程序。
(4)激活终端应用程序时，必须输入激活通行码，加盟店终端5被窃时，第三者亦无法激活终端应用程序。
(5)激活终端应用程序时，会实施硬件信息的对照，即使将加盟店终端5内的终端应用程序复制到其它计算机，亦无法激活。
(6)激活终端应用程序时，会预先设定运用时间，经过设定的运用时间时，可自动停止终端应用程序的运用。此外，中央服务器2亦知道加盟店终端5所设定的运用时间，故可监视加盟店终端5的运用状态。
权利要求
1.一种终端装置，对于具有存储表示货币价値的金额的电子数据的货币信息的货币信息存储单元、以及执行特定处理命令并将所述存储的货币信息所表示的金额变更的货币信息处理单元的携带装置，从特定服务器装置接收所述处理命令并输入所述携带装置，其特征在于，具有固有信息取得单元，在特定时刻从构成所述终端装置的特定硬件取得该硬件固有的固有信息；以及限制单元，所述取得的固有信息及预先登录成所述硬件的固有信息的登录固有信息不一致时，限制将所述处理命令输入所述携带装置的输入处理。
2.如权利要求1所述的终端装置，其特征在于，具有至首次对所述携带装置输入处理命令为止取得所述硬件的固有信息并存储在特定存储目的处的固有信息存储单元，所述限制单元将所述存储的固有信息作为所述登录固有信息使用。
3.如权利要求1或2所述的终端装置，其特征在于，具有激活所述终端装置时请求输入激活用秘密信息的激活用秘密信息请求单元，所述限制单元在对于所述请求输入的激活用秘密信息及预先设定于所述终端装置的激活用秘密信息不一致时，限制将所述处理命令输入所述携带装置的输入处理。
4.如权利要求1至3中任一项所述的终端装置，其特征在于，所述特定服务器装置具有登录信息存储单元，以使特定该终端装置的使用者的使用者特定信息、分配于所述终端装置的终端分配信息、以及该终端装置的终端识别信息互相对应的方式进行存储；终端识别信息产生单元，产生识别所述终端装置的终端识别信息，并存储在设置于所述终端装置内的存储装置；以及终端登录信息发送单元，将所述产生的终端识别信息及所述终端分配信息发送至所述特定服务器装置，所述终端装置在发送所述终端识别信息及所述终端分配信息后，对于所述特定服务器装置将所述终端识别信息作为该终端装置的识别用信息使用。
5.如权利要求1至4中任一项所述的终端装置，其特征在于，具有接收所述终端装置的连续运用时间的输入的运用时间受理单元，所述限制单元在所述终端装置激活后经过所述受理的连续运用时间时，限制将所述处理命令输入所述携带装置的输入处理。
6.一种服务器装置，其特征在于，对如权利要求4所述的终端装置发送所述处理命令，具有登录信息存储单元，以使特定该终端装置的使用者的使用者特定信息、分配于所述终端装置的终端分配信息、以及该终端装置的终端识别信息互相关联的方式进行存储；输入单元，将所述使用者特定信息及所述终端分配信息输入所述登录信息存储单元；终端识别信息接收单元，接收所述终端装置发送的所述终端识别信息及所述终端分配信息；以及终端登录单元，以使对应所述终端分配信息的使用者特定信息与所述接收的终端识别信息产生关联的方式进行存储。
7.如权利要求6所述的服务器装置，其特征在于，具有终端识别信息接收单元，对所述终端装置发送处理命令时，从所述终端装置接收该终端装置的终端识别信息；使用者特定信息取得单元，将所述接收的终端识别信息与利用所述终端登录单元存储的终端识别信息进行对照，并取得与该终端识别信息相关的使用者特定信息；以及合计单元，对于以所述取得的使用者特定信息特定的使用者，合计发送给所述终端装置的处理命令相关的货币价値的金额的变更金额。
8.一种终端确认方法，其特征在于，用于终端装置，该终端装置对于具有存储表示货币价値的金额的电子数据的货币信息的货币信息存储单元、以及执行特定处理命令并将所述存储的货币信息所表示的金额变更的货币信息处理单元的携带装置，从特定服务器装置接收所述处理命令并输入所述携带装置，所述终端装置具有固有信息取得单元及限制单元，所述终端确认方法包括以下步骤固有信息取得步骤，利用所述固有信息取得单元在特定时刻从构成所述终端装置的特定硬件取得该硬件固有的固有信息；以及限制步骤，所述取得的固有信息及预先登录成所述硬件的固有信息的登录固有信息不一致时，利用所述限制单元限制将所述处理命令输入所述携带装置的输入处理。
9.一种终端程序，使由计算机所构成的终端装置实现对于具有存储表示货币价値的金额的电子数据的货币信息的货币信息存储单元、以及执行特定处理命令并将所述存储的货币信息所表示的金额变更的货币信息处理单元的携带装置，从特定服务器装置接收所述处理命令并输入所述携带装置的输入功能的终端程序，其特征在于，可使计算机实现以下功能固有信息取得功能，在特定时刻从构成所述终端装置的特定硬件取得该硬件固有的固有信息；以及限制功能，所述取得的固有信息及预先登录成所述硬件的固有信息的登录固有信息不一致时，限制将所述处理命令输入所述携带装置的输入处理。
10.如权利要求9所述的终端程序，其特征在于，可使计算机实现以下功能安装用秘密信息请求功能，将所述终端程序安装至计算机时，请求输入安装用秘密信息；以及安装处理限制功能，对于所述请求输入的安装用秘密信息及预先设定于该终端程序的安装用秘密信息不一致时，限制所述终端程序的安装处理。
11.如权利要求9或10所述的终端程序，其特征在于，将所述终端程序安装至所述终端装置时，实现从构成该终端装置的特定硬件取得该硬件固有的固有信息并存储在特定存储目的处的固有信息存储功能，所述限制功能将所述存储的固有信息作为所述登录固有信息使用。
12.如权利要求9至11中任一项所述的终端程序，其特征在于，所述特定服务器装置具有以使特定该终端装置的使用者的使用者特定信息、分配于所述终端装置的终端分配信息、以及该终端装置的终端识别信息互相对应的方式进行存储的登录信息存储单元，并使计算机实现以下功能终端识别信息产生功能，产生识别所述终端装置的终端识别信息，并存储在设置于所述终端装置内的存储装置；以及终端登录信息发送功能，将所述产生的终端识别信息及所述终端分配信息发送至所述特定服务器装置。
13.一种计算机可读取的存储媒体，其特征在于，存储权利要求9至12中任一项所述的终端程序。
全文摘要
提供可以低成本进行导入及管理的电子货币的处理终端装置。准备可使计算机发挥处理电子货币卡的终端的功能的程序，并将其分发给加盟店。加盟店将其安装于计算机，并作为加盟店终端使用。安装目的处的计算机可以为例如个人计算机等的通用计算机，可大幅减轻加盟店侧的终端设置负担及电子货币中心侧的终端管理负担。终端应用程序的构成上，安装时会收集安装目的处的计算机所具有的特定硬件的硬件信息并进行存储。此外，终端应用程序在激活加盟店终端时，从该硬件取得硬件信息，并与安装时存储的硬件信息进行比较。
文档编号G06Q50/00GK1922624SQ200580005948
公开日2007年2月28日 申请日期2005年2月25日 优先权日2004年2月27日
发明者山田和树, 山田宏行, 伊藤浩二, 清水康弘, 镰田佳人 申请人:比特瓦雷特股份有限公司