JP2005311904A - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP2005311904A
JP2005311904A JP2004128859A JP2004128859A JP2005311904A JP 2005311904 A JP2005311904 A JP 2005311904A JP 2004128859 A JP2004128859 A JP 2004128859A JP 2004128859 A JP2004128859 A JP 2004128859A JP 2005311904 A JP2005311904 A JP 2005311904A
Authority
JP
Japan
Prior art keywords
information
terminal
electronic ticket
unit
credit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004128859A
Other languages
Japanese (ja)
Other versions
JP3920871B2 (en
Inventor
Hiroaki Yamamoto
博昭 山本
Tatsuo Ishii
達雄 石井
Toshihiro Eto
俊弘 江藤
Naoki Masuhara
直樹 増原
Masako Akanegawa
雅子 赤根川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2004128859A priority Critical patent/JP3920871B2/en
Publication of JP2005311904A publication Critical patent/JP2005311904A/en
Application granted granted Critical
Publication of JP3920871B2 publication Critical patent/JP3920871B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an authentication system in which correctness of a user can be easily confirmed. <P>SOLUTION: In an authentication system 1 of the present invention, a service providing device 40 receives an encrypted electronic ticket from a mobile terminal 10 and decrypts it. Terminal specification information contained in the electronic ticket is then collated with previously owned invalid terminal specification information to determine validity of the mobile terminal 10. Thus, in the service providing device 40, correctness of a user can be confirmed on a stage that the electronic ticket is read from the mobile terminal 10, without inquiring to another server or the like. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、認証システムに関する。   The present invention relates to an authentication system.

近年、ネットワークを利用して提供されるサービスが多様化している。このサービスの多様化の一側面では、コンテンツといった情報のやり取りの際に暗号化技術が用いられている(例えば、特許文献1参照)。
特開2000−188616号公報 In recent years, services provided using networks have been diversified. In one aspect of this service diversification, an encryption technique is used when exchanging information such as content (see, for example, Patent Document 1).
JP 2000-188616 A

ところで、電子チケットといった情報をサービス提供業者がユーザの端末に送信し、ユーザは端末に格納した電子チケットを利用してサービス提供業者からサービスを受けるような場面も想定される。この場合に前述のような暗号化技術は、やり取りされる情報(電子チケット等)の耐タンパ性を上げることはできるけれども、そもそもそのユーザの正当性を証明することには寄与しない。   By the way, it is also assumed that the service provider sends information such as an electronic ticket to the user's terminal, and the user receives a service from the service provider using the electronic ticket stored in the terminal. In this case, the encryption technique as described above can improve tamper resistance of exchanged information (such as an electronic ticket), but does not contribute to proving the legitimacy of the user in the first place.

ここでユーザの正当性を評価するためには、例えばユーザがサービスを受ける際に、サービス提供業者が設置するサービス提供装置(運輸サービスであれば改札装置等)に電子チケットを読み取らせた段階で、そのユーザの正当性を確認することが考えられる。しかしながら、ユーザの正当性を確認するためには複雑な手順が必要である上に、その手順を実行するために占有される通信資源の問題も看過できないものである。   Here, in order to evaluate the legitimacy of the user, for example, when the user receives a service, the service providing device (such as a ticket gate device in the case of a transportation service) installed by the service provider reads the electronic ticket. It is conceivable to confirm the legitimacy of the user. However, in order to confirm the legitimacy of the user, a complicated procedure is required, and the problem of communication resources occupied to execute the procedure cannot be overlooked.

そこで本発明では、簡便にユーザの正当性を確認できる認証システムを提供することを目的とする。   Therefore, an object of the present invention is to provide an authentication system that can easily confirm the legitimacy of a user.

本発明の認証システムは、通信端末から送信される、その通信端末のユーザがサービスを享受するために用いられる電子チケットの発行要求を受信する要求受信手段と、その発行要求の受信に応じて、通信端末を特定するための端末特定情報を含む電子チケットを発行するチケット発行手段と、その発行された電子チケットを通信端末が所属する通信網に向けて送信するチケット送信手段と、その送信された電子チケットを受信し、秘密鍵情報で暗号化する暗号化手段と、通信網の配下に存在し、暗号化手段によって暗号化された電子チケットを通信端末に送信する網内送信手段と、を備える認証システムであって、通信網においてその使用が停止された通信端末を特定するための失効端末特定情報を格納する失効情報格納手段と、通信端末から暗号化された電子チケットを受け取って復号化するチケット受取手段と、その復号化した電子チケットに含まれる端末特定情報と、失効情報格納手段に格納されている失効端末特定情報とを照合し、通信端末の有効性を判断する有効性判断手段と、を有するサービス提供装置を更に備える。   The authentication system of the present invention is a request receiving means for receiving an issuance request for an electronic ticket transmitted from a communication terminal and used for the user of the communication terminal to enjoy the service, and in response to receiving the issuance request, Ticket issuing means for issuing an electronic ticket including terminal specifying information for specifying a communication terminal, ticket transmitting means for transmitting the issued electronic ticket to a communication network to which the communication terminal belongs, and the transmitted An encryption unit that receives the electronic ticket and encrypts it with the secret key information; and an intra-network transmission unit that exists under the communication network and transmits the electronic ticket encrypted by the encryption unit to the communication terminal. A revocation information storage means for storing revocation terminal specifying information for specifying a communication terminal whose use has been stopped in a communication network, and a communication terminal The ticket receiving means for receiving and decrypting the encrypted electronic ticket, the terminal specifying information included in the decrypted electronic ticket, and the revoked terminal specifying information stored in the revocation information storing means, And a service providing device having validity determining means for determining the effectiveness of the communication terminal.

本発明の認証システムでは、サービス提供装置が通信端末から暗号化された電子チケットを受け取って復号化し、この電子チケットに含まれる端末特定情報と、予め所有する失効端末特定情報とを照合することで、通信端末の有効性を判断する。これにより、サービス提供装置は、他のサーバ等への問い合わせを行うことなく、通信端末から電子チケットを読み取った段階で、ユーザの正当性を確認できる。   In the authentication system of the present invention, the service providing device receives and decrypts the encrypted electronic ticket from the communication terminal, and collates the terminal specifying information included in the electronic ticket with the revoked terminal specifying information possessed in advance. The effectiveness of the communication terminal is determined. Thereby, the service providing apparatus can confirm the legitimacy of the user at the stage of reading the electronic ticket from the communication terminal without making an inquiry to another server or the like.

また、本発明の認証システムは、通信端末のユーザが信用販売を利用する際に用いられ、ユーザを特定するための信用販売情報の発行要求を、信用販売を行う信販業者が管理する発行装置から受信する要求受信手段と、その発行要求の受信に応じて、通信端末を特定するための端末特定情報を含む信用販売情報を発行する信販情報発行手段と、その発行された信用販売情報を暗号化して通信端末に送信する信販情報送信手段と、を備える認証システムであって、通信端末から出力される暗号化された信用販売情報を受け取って復号化する受信手段を有する決済端末と、決済端末から送信される復号化された信用販売情報を受信する受信手段と、通信端末が所属する通信網においてその使用が停止された通信端末を特定するための失効端末特定情報を格納する失効情報格納手段と、受信手段が受信する信用販売情報に含まれる端末特定情報と失効情報格納手段に格納されている失効端末特定情報とを照合して通信端末の有効性を判断する有効性判断手段と、を有する決済サーバと、を更に備える。   Further, the authentication system of the present invention is used when a user of a communication terminal uses credit sales, and issuance of credit sales information for specifying the user is issued from an issuing device managed by a credit sales company that performs credit sales. A request receiving means for receiving, a credit sales information issuing means for issuing credit sales information including terminal specifying information for specifying a communication terminal in response to reception of the issue request, and encrypting the issued credit sales information A credit card information transmitting means for transmitting to a communication terminal, a payment terminal having a receiving means for receiving and decrypting encrypted credit sales information output from the communication terminal, and a payment terminal Receiving means for receiving decrypted credit sales information to be transmitted, and specifying a revoked terminal for identifying a communication terminal whose use has been stopped in the communication network to which the communication terminal belongs The validity of the communication terminal is determined by comparing the revocation information storage means for storing the information, the terminal specifying information contained in the credit sales information received by the receiving means and the revoked terminal specifying information stored in the revocation information storage means And a settlement server having a validity determination means.

本発明の認証システムでは、決済端末が通信端末から受け取った暗号化された信用販売情報を復号化して決済サーバに送信し、決済サーバは、この信用販売情報に含まれる端末特定情報と、予め所有する失効端末特定情報とを照合することで、通信端末の有効性を判断する。これにより、決済端末では、信販業者が管理する発行装置に問い合わせることなくユーザの正当性を確認できるので、通信資源の節約を図ることができる。   In the authentication system of the present invention, the payment terminal decrypts the encrypted credit sales information received from the communication terminal and transmits the decrypted credit sales information to the payment server. The validity of the communication terminal is determined by collating with the revoked terminal specifying information. As a result, the payment terminal can confirm the legitimacy of the user without making an inquiry to the issuing device managed by the credit merchant, so that communication resources can be saved.

また、本発明の認証システムでは、暗号化は通信網を運用する業者が設定する秘密鍵情報に基づいて行われ、復号化は通信網を運用する業者が設定する公開鍵情報に基づいて行われることも好ましい。このように情報の暗号化をおこなうことで、やり取りされる情報のセキュリティを高めることができる。また、秘密鍵情報は通信網を運用する業者のみが所有するので、この秘密鍵情報で暗号化された情報が真にこの業者から配信されたものか否かを、復号化を行う装置において容易に確認できる。   In the authentication system of the present invention, encryption is performed based on secret key information set by a provider operating the communication network, and decryption is performed based on public key information set by the provider operating the communication network. It is also preferable. By encrypting the information in this way, the security of the exchanged information can be enhanced. In addition, since the private key information is owned only by the operator operating the communication network, it is easy for the device that performs decryption to determine whether or not the information encrypted with this private key information is truly delivered from this supplier. Can be confirmed.

以上のように、本発明の認証システムでは、簡便にユーザの正当性を確認できる。   As described above, in the authentication system according to the present invention, the validity of the user can be easily confirmed.

本発明の知見は、例示のみのために示された添付図面を参照して以下の詳細な記述を考慮することによって容易に理解することができる。引き続いて、添付図面を参照しながら本発明の実施の形態を説明する。可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。   The knowledge of the present invention can be easily understood by considering the following detailed description with reference to the accompanying drawings shown for illustration only. Subsequently, embodiments of the present invention will be described with reference to the accompanying drawings. Where possible, the same parts are denoted by the same reference numerals, and redundant description is omitted.

(第1実施形態)
まず、端末認証を実現する認証システム1のシステム構成について図1を参照しながら説明する。図1は、認証システム1の全体構成を示す構成図である。 (First embodiment)
First, a system configuration of an authentication system 1 that realizes terminal authentication will be described with reference to FIG. FIG. 1 is a configuration diagram showing the overall configuration of the authentication system 1.

本実施形態の認証システム1は、電子チケット発行装置20と、電子チケット配信管理装置30と、サービス提供装置40とから構成され、ユーザが所有する携帯端末(通信端末)10との間で相互に情報通信が可能になるように構成されている。携帯端末10と電子チケット発行装置20とは、ネットワーク50によって接続され、電子チケット発行装置20と電子チケット配信管理装置30とは、専用通信回線51により接続されている。また、携帯端末10と電子チケット配信管理装置30とは、この電子チケット配信管理装置30を運営する業者(通信キャリア)によって管理される通信網52によって接続されている。   The authentication system 1 according to the present embodiment includes an electronic ticket issuing device 20, an electronic ticket distribution management device 30, and a service providing device 40, and is mutually connected with a mobile terminal (communication terminal) 10 owned by a user. Information communication is possible. The portable terminal 10 and the electronic ticket issuing device 20 are connected by a network 50, and the electronic ticket issuing device 20 and the electronic ticket distribution management device 30 are connected by a dedicated communication line 51. The portable terminal 10 and the electronic ticket distribution management device 30 are connected by a communication network 52 managed by a business operator (communication carrier) that operates the electronic ticket distribution management device 30.

携帯端末10は、認証システム1を利用するユーザが使用する携帯電話機であって、物理的には、CPU(中央処理装置)、メモリといった記憶装置、プッシュボタンといった入力装置、ディスプレイといった表示装置等を有している。また、携帯端末10は、内部にUIM(User Identity Module)を搭載している(図示しない)。UIMには、携帯端末10のユーザを特定するための証明書情報が格納されている。また、証明書情報には携帯端末10を特定するための端末特定情報が含まれている。この端末特定情報は、例えば15桁の文字列から構成される、いわゆる「CN」(common name)である。本実施形態ではこのCNを用いることとする。そして、携帯端末10は、電子チケット発行装置20に対して電子チケットの取得を要求するときに、このCNを含んだ証明書情報を電子チケット発行装置20に送信する。   The mobile terminal 10 is a mobile phone used by a user who uses the authentication system 1, and physically includes a storage device such as a CPU (Central Processing Unit) and a memory, an input device such as a push button, a display device such as a display, and the like. Have. The mobile terminal 10 has a UIM (User Identity Module) mounted therein (not shown). The UIM stores certificate information for identifying the user of the mobile terminal 10. The certificate information includes terminal specifying information for specifying the mobile terminal 10. This terminal identification information is a so-called “CN” (common name) composed of, for example, a 15-digit character string. In this embodiment, this CN is used. When the mobile terminal 10 requests the electronic ticket issuing device 20 to obtain an electronic ticket, the portable terminal 10 transmits certificate information including the CN to the electronic ticket issuing device 20.

さらに、携帯端末10は、近距離のデータ通信機能を併せ持っている。これには、例えば、IrDA(Infrared Data Association)による赤外線データ通信や、Bluetooth(登録商標)、USB(Universal Serial Bus)などの各種の無線及び有線による通信方式の適用が可能である。携帯端末10は、この近距離データ通信機能によって、証明書情報及び電子チケットをサービス提供装置40に読み取らせることができる。   Furthermore, the portable terminal 10 has a short-range data communication function. For this, for example, infrared data communication by IrDA (Infrared Data Association), and various wireless and wired communication methods such as Bluetooth (registered trademark) and USB (Universal Serial Bus) can be applied. The portable terminal 10 can cause the service providing apparatus 40 to read the certificate information and the electronic ticket by this short-range data communication function.

電子チケット発行装置20は、携帯端末10のユーザがサービスを享受するために用いられる電子チケットを発行する装置である。電子チケット発行装置20は、物理的には、CPU、メモリ、通信インタフェイス、ハードディスクといった格納部、ディスプレイといった表示部、等を備えたコンピュータシステムである。また、電子チケット発行装置20は、機能的な構成要素として、電子チケット発行要求受信部(要求受信手段)201、証明書情報受信部202、電子チケット発行部(チケット発行手段)203、電子チケット送信部(チケット送信手段)204、を備える。   The electronic ticket issuing device 20 is a device that issues an electronic ticket used for the user of the mobile terminal 10 to enjoy the service. The electronic ticket issuing device 20 is physically a computer system including a CPU, a memory, a communication interface, a storage unit such as a hard disk, a display unit such as a display, and the like. The electronic ticket issuing device 20 includes, as functional components, an electronic ticket issuing request receiving unit (request receiving unit) 201, a certificate information receiving unit 202, an electronic ticket issuing unit (ticket issuing unit) 203, and an electronic ticket transmission. Section (ticket transmission means) 204.

電子チケット発行要求受信部201は、携帯端末10から電子チケットの発行を要求するチケット発行要求情報を受信する部分である。電子チケット発行要求受信部201は、チケット発行要求情報を受け取ると、携帯端末10に対して証明書情報の送信を要求する証明書要求情報を送信する。   The electronic ticket issue request receiving unit 201 is a part that receives ticket issue request information for requesting issue of an electronic ticket from the mobile terminal 10. When receiving the ticket issuance request information, the electronic ticket issuance request receiving unit 201 transmits certificate request information for requesting the portable terminal 10 to transmit the certificate information.

証明書情報受信部202は、携帯端末10から送信される証明書情報を受信する部分である。この証明書情報受信部202は、受信した証明書情報を電子チケット発行部203に出力する。   The certificate information receiving unit 202 is a part that receives certificate information transmitted from the mobile terminal 10. The certificate information receiving unit 202 outputs the received certificate information to the electronic ticket issuing unit 203.

電子チケット発行部203は、携帯端末10からの電子チケット発行要求に応じて、通信端末を特定するための端末特定情報を含む電子チケットを発行する部分である。具体的には、電子チケット発行部203は、証明書情報受信部202から出力される証明書情報を受け取ると、この情報に含まれるCNを要求された電子チケットに付加したCN付き電子チケットを生成する。そして、電子チケット発行部203は、生成したCN付き電子チケットを、電子チケット送信部204に出力する。   The electronic ticket issuing unit 203 is a part that issues an electronic ticket including terminal specifying information for specifying a communication terminal in response to an electronic ticket issuing request from the mobile terminal 10. Specifically, when the electronic ticket issuing unit 203 receives the certificate information output from the certificate information receiving unit 202, the electronic ticket issuing unit 203 generates a CN-added electronic ticket by adding the CN included in the information to the requested electronic ticket. To do. Then, the electronic ticket issuing unit 203 outputs the generated electronic ticket with CN to the electronic ticket transmitting unit 204.

電子チケット送信部204は、電子チケット発行部203から受け取ったCN付き電子チケットを、携帯端末10が所属する通信網52に向けて送信する部分である。具体的には、電子チケット送信部204は、CN付き電子チケットを、通信網52を介して電子チケット配信管理装置30の電子チケット受信部301に送信する。   The electronic ticket transmission unit 204 is a part that transmits the electronic ticket with CN received from the electronic ticket issuing unit 203 toward the communication network 52 to which the mobile terminal 10 belongs. Specifically, the electronic ticket transmission unit 204 transmits the electronic ticket with CN to the electronic ticket reception unit 301 of the electronic ticket distribution management device 30 via the communication network 52.

電子チケット配信管理装置30は、携帯端末10が所属する通信網52を運用する業者が管理する装置であって、この通信網52の配下に存在し、携帯端末10に配信する電子チケットの配信管理を行う装置である。電子チケット配信管理装置30は、物理的には、CPU、メモリ、通信インタフェイス、ハードディスクといった格納部、ディスプレイといった表示部、等を備えたコンピュータシステムである。また、電子チケット配信管理装置30は、機能的な構成要素として、電子チケット受信部(暗号化手段)301、電子チケット暗号化部(暗号化手段)302、電子チケット送信部303(網内送信手段)、を備える。   The electronic ticket distribution management device 30 is a device managed by a business operator who operates the communication network 52 to which the mobile terminal 10 belongs. The electronic ticket distribution management device 30 exists under the communication network 52 and manages distribution of electronic tickets distributed to the mobile terminal 10. It is a device that performs. The electronic ticket distribution management device 30 is physically a computer system including a CPU, a memory, a communication interface, a storage unit such as a hard disk, a display unit such as a display, and the like. The electronic ticket distribution management device 30 includes, as functional components, an electronic ticket receiving unit (encrypting unit) 301, an electronic ticket encrypting unit (encrypting unit) 302, and an electronic ticket transmitting unit 303 (intra-network transmitting unit). ).

電子チケット受信部301は、電子チケット送信部204から送信されるCN付き電子チケットを受信する部分である。電子チケット受信部301は、受信したCN付き電子チケットを電子チケット暗号化部302に出力する。   The electronic ticket receiving unit 301 is a part that receives the CN-added electronic ticket transmitted from the electronic ticket transmitting unit 204. The electronic ticket reception unit 301 outputs the received electronic ticket with CN to the electronic ticket encryption unit 302.

電子チケット暗号化部302は、受け取ったCN付き電子チケットを、この電子チケット配信管理装置30が所有する秘密鍵情報によって暗号化する部分である。この電子チケット暗号化部302は、暗号化されたCN付き電子チケットを電子チケット送信部303に出力する。   The electronic ticket encryption unit 302 is a part that encrypts the received electronic ticket with CN using secret key information possessed by the electronic ticket distribution management device 30. The electronic ticket encryption unit 302 outputs the encrypted electronic ticket with CN to the electronic ticket transmission unit 303.

電子チケット送信部303は、電子チケット暗号化部302から暗号化されたCN付き電子チケットを受け取って、この情報を携帯端末10に送信する部分である。なお、この電子チケット送信部303において、CN毎の送信回数を管理する機能を持たせるものであってもよい。こうすると、電子チケット配信管理装置30による電子チケットの発行先・発行回数の制限を行うことが可能となる。   The electronic ticket transmission unit 303 is a part that receives the encrypted electronic ticket with CN from the electronic ticket encryption unit 302 and transmits this information to the mobile terminal 10. The electronic ticket transmission unit 303 may have a function of managing the number of transmissions for each CN. In this way, the electronic ticket distribution management device 30 can restrict the electronic ticket issue destination and issue frequency.

サービス提供装置40は、電子チケット発行装置20によって管理されるローカル端末であって、例えば店頭に備えられるレジスターや、クレジットカードなどのカードリーダ、あるいは鉄道駅などに設置される自動改札などを想定する装置である。サービス提供装置40は、物理的には、CPU、メモリ、通信インタフェイス、ハードディスクといった格納部、ディスプレイといった表示部、等を備えたコンピュータシステムである。また、サービス提供装置40は、機能的な構成要素として、電子チケット受取部(チケット受取手段)401、電子チケット復号化部(チケット受取手段)402、端末認証部(有効性判断手段)403、失効リスト格納部(失効情報格納手段)404、処理部405を備える。   The service providing device 40 is a local terminal managed by the electronic ticket issuing device 20 and assumes, for example, a register provided at a store, a card reader such as a credit card, or an automatic ticket gate installed at a railway station. Device. The service providing device 40 is physically a computer system including a CPU, a memory, a communication interface, a storage unit such as a hard disk, a display unit such as a display, and the like. In addition, the service providing apparatus 40 includes, as functional components, an electronic ticket receiving unit (ticket receiving unit) 401, an electronic ticket decrypting unit (ticket receiving unit) 402, a terminal authenticating unit (validity determining unit) 403, an invalidation A list storage unit (revocation information storage unit) 404 and a processing unit 405 are provided.

電子チケット受取部401は、携帯端末10から近距離データ通信によって、証明書情報と暗号化されたCN付き電子チケットとを受け取る部分である。電子チケット受取部401は、受け取った各情報を電子チケット復号化部402に出力する。   The electronic ticket receiving unit 401 is a part that receives the certificate information and the encrypted electronic ticket with CN from the portable terminal 10 by short-range data communication. The electronic ticket receiving unit 401 outputs each received information to the electronic ticket decrypting unit 402.

電子チケット復号化部402は、電子チケット受取部401から証明書情報と暗号化されたCN付き電子チケットとを受け取り、暗号化されたCN付き電子チケットを、予め電子チケット配信管理装置30から配信される公開鍵情報によって復号化する部分である。復号化されたCN付き電子チケットは、証明書情報と共に端末認証部403に出力される。   The electronic ticket decryption unit 402 receives the certificate information and the encrypted electronic ticket with CN from the electronic ticket receiving unit 401, and the encrypted electronic ticket with CN is distributed in advance from the electronic ticket distribution management device 30. This is the part that is decrypted with the public key information. The decrypted electronic ticket with CN is output to the terminal authentication unit 403 together with the certificate information.

端末認証部403は、電子チケット復号化部402から受け取った証明書情報とCN付き電子チケットとに基づいて、携帯端末10の認証を行う部分である。より具体的には、まず、端末認証部403は、復号化されたCN付き電子チケットに含まれるCNと、失効リスト格納部404に格納されている失効リストに含まれるCN(失効端末特定情報)とを照合して携帯端末10の有効性を判断する。図2に、失効リスト格納部404に格納されている失効リストの一例を示す。図2の例では、通信網52においてその使用が停止された(失効した)携帯端末のCNと、その携帯端末のシリアルナンバーとが対応付けられて格納されている。この失効リストはいわゆる「ブラックリスト」であり、不正な手段で取得したCNや有効期限が徒過したCNなどがリスト掲載の対象となる。端末認証部403は、復号化されたCN付き電子チケットに含まれるCNが、この失効リストに含まれない場合には、携帯端末10の有効性を是認する。さらに、端末認証部403は、証明書情報に含まれるCNと、復号化されたCN付き電子チケットに含まれるCNとを照合して証明書情報の正当性を判断し、CN同士が一致する場合に証明書情報の正当性を是認する。そして、端末認証部403は、携帯端末10の有効性及び証明書情報の正当性の双方が是認された場合に、携帯端末10の認証を行い、処理部405に対して電子チケットの内容に基づく所定の処理の実行を指示する処理指示情報を出力する。   The terminal authentication unit 403 is a part that authenticates the mobile terminal 10 based on the certificate information received from the electronic ticket decryption unit 402 and the electronic ticket with CN. More specifically, first, the terminal authentication unit 403 includes the CN included in the decrypted electronic ticket with CN and the CN (revocation terminal specifying information) included in the revocation list stored in the revocation list storage unit 404. To determine the effectiveness of the mobile terminal 10. FIG. 2 shows an example of the revocation list stored in the revocation list storage unit 404. In the example of FIG. 2, the CN of the mobile terminal whose use has been stopped (expired) in the communication network 52 and the serial number of the mobile terminal are stored in association with each other. This revocation list is a so-called “black list”, and CNs acquired by unauthorized means, CNs whose expiration dates have passed, and the like are listed. If the CN included in the decrypted electronic ticket with CN is not included in the revocation list, the terminal authentication unit 403 approves the validity of the mobile terminal 10. Further, the terminal authentication unit 403 compares the CN included in the certificate information with the CN included in the decrypted electronic ticket with CN to determine the validity of the certificate information, and the CNs match. Approve the validity of the certificate information. The terminal authentication unit 403 authenticates the mobile terminal 10 when both the validity of the mobile terminal 10 and the validity of the certificate information are approved, and based on the contents of the electronic ticket with respect to the processing unit 405. Processing instruction information for instructing execution of a predetermined process is output.

処理部405は、端末認証部403から受け取った処理指示情報に基づいて所定の処理を行う部分である。すなわち、上述のサービス提供装置40の例を用いて言えば、決済の処理や、自動改札のゲートを開放する処理等が行われる。   The processing unit 405 is a part that performs predetermined processing based on the processing instruction information received from the terminal authentication unit 403. That is, using the example of the service providing apparatus 40 described above, a settlement process, a process for opening the gate of the automatic ticket gate, and the like are performed.

続いて、図3に示すフローチャートを参照しながら認証システム1の動作を説明する。   Next, the operation of the authentication system 1 will be described with reference to the flowchart shown in FIG.

まず、電子チケット発行装置20の電子チケット発行要求受信部201は、携帯端末10からチケット発行要求情報を受信する(ステップS01)。電子チケット発行要求受信部201は、チケット発行要求情報を受信すると、携帯端末10に対して証明書情報の送信を要求する証明書要求情報を送信する(ステップS02)。携帯端末10は、証明書要求情報を受信すると、内蔵するUIMからCNを含んだ証明書情報を読み出して、この情報を証明書情報受信部202に送信する(ステップS03)。証明書情報受信部202は、受信した証明書情報を電子チケット発行部203に出力する。   First, the electronic ticket issue request reception unit 201 of the electronic ticket issue device 20 receives ticket issue request information from the mobile terminal 10 (step S01). When receiving the ticket issuance request information, the electronic ticket issuance request receiving unit 201 transmits certificate request information for requesting the portable terminal 10 to transmit the certificate information (step S02). When the portable terminal 10 receives the certificate request information, the portable terminal 10 reads out the certificate information including the CN from the built-in UIM and transmits this information to the certificate information receiving unit 202 (step S03). The certificate information receiving unit 202 outputs the received certificate information to the electronic ticket issuing unit 203.

電子チケット発行部203は、証明書情報受信部202から出力される証明書情報を受け取ると、この情報に含まれるCNを要求された電子チケットに付加したCN付き電子チケットを生成する(ステップS04)。そして、生成したCN付き電子チケットは、電子チケット送信部204に出力され、この電子チケット送信部204によって電子チケット配信管理装置30の電子チケット受信部301に送信される(ステップS05)。   Upon receiving the certificate information output from the certificate information receiving unit 202, the electronic ticket issuing unit 203 generates a CN-added electronic ticket by adding the CN included in this information to the requested electronic ticket (step S04). . The generated electronic ticket with CN is output to the electronic ticket transmission unit 204, and is transmitted to the electronic ticket reception unit 301 of the electronic ticket distribution management device 30 by the electronic ticket transmission unit 204 (step S05).

電子チケット受信部301は、受信したCN付き電子チケットを電子チケット暗号化部302に出力する。電子チケット暗号化部302は、受け取ったCN付き電子チケットを、電子チケット配信管理装置30が所有する秘密鍵情報によって暗号化する(ステップS06)。暗号化されたCN付き電子チケットは、電子チケット送信部303に出力され、この電子チケット送信部303によって携帯端末10に送信される(ステップS07)。   The electronic ticket reception unit 301 outputs the received electronic ticket with CN to the electronic ticket encryption unit 302. The electronic ticket encryption unit 302 encrypts the received electronic ticket with CN using the private key information owned by the electronic ticket distribution management device 30 (step S06). The encrypted electronic ticket with CN is output to the electronic ticket transmission unit 303, and is transmitted to the portable terminal 10 by the electronic ticket transmission unit 303 (step S07).

次に、ユーザがサービス提供装置40から実際にサービスの提供を受けようとする際に、携帯端末10とサービス提供装置40との間で上述のIrDA等による通信を行う。このとき、携帯端末10からサービス提供装置40の電子チケット受取部401に対して、UIMから読み出した証明書情報と、電子チケット送信部303から受信した、暗号化されたCN付き電子チケットとが送信される(ステップS08)。電子チケット受取部401は、受信した証明書情報と暗号化されたCN付き電子チケットとを電子チケット復号化部402に出力する。電子チケット復号化部402は、暗号化されたCN付き電子チケットを、予め電子チケット配信管理装置30から配信される公開鍵情報によって復号化する(ステップS09)。そして、復号化されたCN付き電子チケットは、証明書情報と共に端末認証部403に出力される。   Next, when the user actually wants to receive service from the service providing apparatus 40, communication is performed between the mobile terminal 10 and the service providing apparatus 40 using the above IrDA or the like. At this time, the certificate information read from the UIM and the encrypted electronic ticket with CN received from the electronic ticket transmitting unit 303 are transmitted from the mobile terminal 10 to the electronic ticket receiving unit 401 of the service providing apparatus 40. (Step S08). The electronic ticket receiving unit 401 outputs the received certificate information and the encrypted electronic ticket with CN to the electronic ticket decrypting unit 402. The electronic ticket decryption unit 402 decrypts the encrypted electronic ticket with CN using public key information distributed in advance from the electronic ticket distribution management device 30 (step S09). The decrypted electronic ticket with CN is output to the terminal authentication unit 403 together with the certificate information.

端末認証部403は、受け取った証明書情報とCN付き電子チケットとに基づいて、携帯端末10の端末認証の可否を判断する(ステップS10)。そして、端末認証部403は、携帯端末10の有効性及び証明書情報の正当性が確認された場合に携帯端末10を認証して、処理部405に対して電子チケットの内容に基づく所定の処理の実行を指示する処理指示情報を出力する。処理部405は、端末認証部403から処理指示情報を受け取ると、その情報に基づいて所定の処理を行う(ステップS11)。   The terminal authentication unit 403 determines whether or not the mobile terminal 10 can be authenticated based on the received certificate information and the CN-added electronic ticket (step S10). The terminal authentication unit 403 authenticates the portable terminal 10 when the validity of the portable terminal 10 and the validity of the certificate information are confirmed, and performs predetermined processing based on the contents of the electronic ticket with respect to the processing unit 405. Processing instruction information for instructing the execution of. When the processing unit 405 receives the processing instruction information from the terminal authentication unit 403, the processing unit 405 performs a predetermined process based on the information (step S11).

以上説明したように、本実施形態に係る認証システム1では、サービス提供装置40が携帯端末10から暗号化された電子チケットを読み取って復号化し、この電子チケットに含まれるCNと、予め失効リスト格納部404に格納される失効リストに含まれるCNとを照合することで、通信網52における携帯端末10の有効性を判断する。これにより、サービス提供装置40は、他のサーバ等への問い合わせを行うことなく、携帯端末10から電子チケットを読み取った段階で、携帯端末10の認証を行うことができる。   As described above, in the authentication system 1 according to the present embodiment, the service providing apparatus 40 reads and decrypts the encrypted electronic ticket from the mobile terminal 10, and stores the CN included in the electronic ticket and the revocation list in advance. The validity of the mobile terminal 10 in the communication network 52 is determined by collating with the CN included in the revocation list stored in the unit 404. Thereby, the service providing apparatus 40 can authenticate the mobile terminal 10 at the stage of reading the electronic ticket from the mobile terminal 10 without making an inquiry to another server or the like.

また、本実施形態では、電子チケットの暗号化及び復号化は携帯端末10の通信網52を運用する業者が設定する秘密鍵情報及び公開鍵情報に基づいて行われる。このような暗号化/復号化を用いることで、ネットワークを介してやり取りされる電子チケットのセキュリティを高めることができる。また、秘密鍵情報は通信網52を運用する業者のみが所有するので、この秘密鍵情報で暗号化された電子チケットがこの業者から配信されたものか否かを、サービス提供装置40において容易に確認することが可能となる。   In the present embodiment, the electronic ticket is encrypted and decrypted based on the secret key information and the public key information set by the operator operating the communication network 52 of the mobile terminal 10. By using such encryption / decryption, the security of electronic tickets exchanged via the network can be enhanced. Also, since the private key information is owned only by the business operator who operates the communication network 52, the service providing apparatus 40 can easily determine whether the electronic ticket encrypted with this private key information has been distributed from this business operator. It becomes possible to confirm.

(第2実施形態)
次に、本発明の第2の実施形態である認証システム2のシステム構成について図4を参照しながら説明する。図4は、認証システム2の全体構成を示す構成図である。 (Second Embodiment)
Next, the system configuration of the authentication system 2 according to the second embodiment of the present invention will be described with reference to FIG. FIG. 4 is a configuration diagram showing the overall configuration of the authentication system 2.

本実施形態の認証システム2は、ユーザが使用する携帯端末10を用いて、店舗などに備えられる決済用のローカル端末との間でクレジット決済(信用販売)サービスを実現するためのシステムである。認証システム2は、決済サーバ70、決済端末80とから構成され、ユーザが所有する携帯端末10と、クレジット情報発行装置(発行装置)60との間で相互に情報通信が可能になるように構成されている。携帯端末10とクレジット情報発行装置60とは、ネットワーク53によって接続され、クレジット発行装置60と決済サーバ70と決済端末80とは、専用通信回線54により接続されている。また、携帯端末10と決済サーバ70とは、この決済サーバ70を運営する業者によって管理される通信網55によって接続されている。   The authentication system 2 of the present embodiment is a system for realizing a credit settlement (credit sales) service with a settlement local terminal provided in a store or the like using the mobile terminal 10 used by the user. The authentication system 2 includes a payment server 70 and a payment terminal 80, and is configured to enable mutual information communication between the mobile terminal 10 owned by the user and the credit information issuing device (issuing device) 60. Has been. The mobile terminal 10 and the credit information issuing device 60 are connected by a network 53, and the credit issuing device 60, the payment server 70, and the payment terminal 80 are connected by a dedicated communication line 54. Further, the mobile terminal 10 and the settlement server 70 are connected by a communication network 55 managed by a business operator that operates the settlement server 70.

携帯端末10は、認証システム2を利用するユーザが使用する携帯電話機であって、第1実施形態と同様の構成を有する。この携帯端末10は、クレジット決済に必要なアプリケーション(以下「クレジット決済AP」と称す)の取得を要求するクレジット決済AP要求情報を、クレジット情報発行装置60に対して送信する。また、この要求に対する応答として、決済サーバ70から証明書情報の送信を要求する証明書要求情報を受信すると、内蔵するUIMからCNを含んだ証明書情報を読み出して、この情報を決済サーバ70の証明書情報受信部702に送信する。また、携帯端末10は、決済サーバ70からクレジット決済APを受信した後に、近距離データ通信機能によって、証明書情報及び後述するクレジット情報を決済端末80に読み取らせることができる。   The mobile terminal 10 is a mobile phone used by a user who uses the authentication system 2 and has the same configuration as that of the first embodiment. The mobile terminal 10 transmits credit settlement AP request information for requesting acquisition of an application necessary for credit settlement (hereinafter referred to as “credit settlement AP”) to the credit information issuing device 60. In addition, when certificate request information requesting transmission of certificate information is received from the settlement server 70 as a response to this request, the certificate information including CN is read from the built-in UIM, and this information is stored in the settlement server 70. It is transmitted to the certificate information receiving unit 702. Further, after receiving the credit settlement AP from the settlement server 70, the mobile terminal 10 can cause the settlement terminal 80 to read the certificate information and credit information described later by the short-range data communication function.

クレジット情報発行装置60は、クレジット決済サービスを提供する信販業者が管理する装置であって、携帯端末10のユーザがクレジット決済を利用する際に用いられ、このユーザを特定するためのクレジット情報(信用販売情報)の発行要求を行う装置である。クレジット情報発行装置60は、物理的には、CPU、メモリ、通信インタフェイス、ハードディスクといった格納部、ディスプレイといった表示部、等を備えたコンピュータシステムである。そして、クレジット情報発行装置60は、携帯端末10からクレジット決済AP要求情報を受け取ると、決済サーバ70に対してクレジット情報の発行を要求する発行要求情報とクレジット情報とを送信する。また、携帯端末10の認証を行った決済サーバ70からクレジット情報を受信したときは、決済端末80に対して、決済の承認を通知するための決済承認情報を送信する。   The credit information issuing device 60 is a device managed by a credit merchant that provides a credit settlement service. The credit information issuing device 60 is used when a user of the mobile terminal 10 uses credit settlement, and credit information (credit) for identifying the user is used. This is a device for making a request for issuing (sales information). The credit information issuing device 60 is physically a computer system including a CPU, a memory, a communication interface, a storage unit such as a hard disk, a display unit such as a display, and the like. When the credit information issuing device 60 receives the credit payment AP request information from the mobile terminal 10, the credit information issuing device 60 transmits issuance request information and credit information requesting the payment server 70 to issue the credit information. When the credit information is received from the payment server 70 that has authenticated the mobile terminal 10, the payment approval information for notifying the payment approval of the payment is transmitted to the payment terminal 80.

決済サーバ70は、クレジット情報の配信管理等を行うダウンロードセンタとして設置される装置であって、物理的には、CPU、メモリ、通信インタフェイス、ハードディスクといった格納部、ディスプレイといった表示部、等を備えたコンピュータシステムである。また、決済サーバ70は、機能的な構成要素として、クレジット情報受信部(要求受信手段)701、証明書情報受信部702、クレジット情報発行部(信販情報発行手段)703、クレジット情報暗号化部(信販情報送信手段)704、クレジット情報送信部(信販情報送信手段)705、端末認証部(受信手段、有効性判断手段)706、失効リスト格納部(失効情報格納手段)707、を備える。   The settlement server 70 is a device installed as a download center for managing credit information distribution and the like, and physically includes a CPU, a memory, a communication interface, a storage unit such as a hard disk, a display unit such as a display, and the like. Computer system. The settlement server 70 includes, as functional components, a credit information receiving unit (request receiving unit) 701, a certificate information receiving unit 702, a credit information issuing unit (credit sales information issuing unit) 703, a credit information encryption unit ( A credit information transmission unit) 704, a credit information transmission unit (credit sales information transmission unit) 705, a terminal authentication unit (reception unit, validity determination unit) 706, and a revocation list storage unit (revocation information storage unit) 707.

クレジット情報受信部701は、クレジット情報発行装置60から送信される発行要求情報とクレジット情報とを受信する部分である。クレジット情報受信部701は、発行要求情報の受信に応じ、携帯端末10に対して証明書情報の送信を要求する証明書要求情報を送信する。また、受け取ったクレジット情報をクレジット情報発行部703に出力する。   The credit information receiving unit 701 is a part that receives issue request information and credit information transmitted from the credit information issuing device 60. The credit information receiving unit 701 transmits certificate request information for requesting the mobile terminal 10 to transmit certificate information in response to receiving the issuance request information. The received credit information is output to the credit information issuing unit 703.

証明書情報受信部702は、携帯端末10から送信される証明書情報を受信する部分である。この証明書情報受信部702は、受信した証明書情報をクレジット情報発行部703に出力する。   The certificate information receiving unit 702 is a part that receives certificate information transmitted from the mobile terminal 10. The certificate information receiving unit 702 outputs the received certificate information to the credit information issuing unit 703.

クレジット情報発行部703は、CNを含むクレジット情報を発行する部分である。具体的には、クレジット情報発行部703は、クレジット情報受信部701から出力されるクレジット情報と、証明書情報受信部702から出力される証明書情報とを受け取ると、証明書情報に含まれるCNをクレジット情報に付加したCN付きクレジット情報を生成する。そして、クレジット情報発行部703は、生成したCN付きクレジット情報を、クレジット情報暗号化部704に出力する。   The credit information issuing unit 703 is a part that issues credit information including CN. Specifically, upon receiving the credit information output from the credit information receiving unit 701 and the certificate information output from the certificate information receiving unit 702, the credit information issuing unit 703 receives the CN included in the certificate information. Is added to the credit information. Then, the credit information issuing unit 703 outputs the generated credit information with CN to the credit information encryption unit 704.

クレジット情報暗号化部704は、受け取ったCN付きクレジット情報を、この決済サーバ70が所有する秘密鍵情報によって暗号化する部分である。このクレジット情報暗号化部704は、暗号化されたCN付きクレジット情報をクレジット情報送信部705に出力する。   The credit information encryption unit 704 is a part that encrypts the received credit information with CN using secret key information possessed by the settlement server 70. The credit information encryption unit 704 outputs the encrypted credit information with CN to the credit information transmission unit 705.

クレジット情報送信部705は、クレジット情報暗号化部704から暗号化されたCN付きクレジット情報を受け取って、この情報をクレジット決済APとして携帯端末10に送信する部分である。   The credit information transmission unit 705 is a part that receives the encrypted credit information with CN from the credit information encryption unit 704 and transmits this information to the mobile terminal 10 as a credit settlement AP.

端末認証部706は、決済端末80の情報送信部803から送信される証明書情報と復号化されたCN付きクレジット情報とを受信する部分であって、受信した各情報に基づいて、携帯端末10の認証を行う部分である。より具体的には、まず、端末認証部706は、復号化されたCN付きクレジット情報に含まれるCNと、失効リスト格納部707に格納されている失効リストに含まれるCNを照合して携帯端末10の有効性を判断する。この失効リストは、前述した図2に示す失効リストと同様の情報を含むものである。端末認証部706は、復号化されたCN付きクレジット情報に含まれるCNが、この失効リストに含まれない場合には、携帯端末10の有効性を是認する。さらに、端末認証部706は、証明書情報に含まれるCNと、復号化されたCN付きクレジット情報に含まれるCNとを照合して証明書情報の正当性を判断し、CN同士が一致する場合に証明書情報の正当性を是認する。そして、端末認証部706は、携帯端末10の有効性及び証明書情報の正当性の双方が是認された場合に、携帯端末10の認証を行う。端末認証部706は、認証を行った場合には、クレジット情報をクレジット情報発行装置60に対して送信する。   The terminal authentication unit 706 is a part that receives the certificate information transmitted from the information transmission unit 803 of the payment terminal 80 and the decrypted credit information with CN, and based on each received information, the mobile terminal 10 This is the part that performs authentication. More specifically, first, the terminal authenticating unit 706 collates the CN included in the decrypted credit information with CN and the CN included in the revocation list stored in the revocation list storage unit 707 to check the mobile terminal. Judge 10 effectiveness. This revocation list includes the same information as the revocation list shown in FIG. The terminal authentication unit 706 approves the validity of the mobile terminal 10 when the CN included in the decrypted credit information with CN is not included in the revocation list. Furthermore, the terminal authentication unit 706 determines the validity of the certificate information by comparing the CN included in the certificate information with the CN included in the decrypted credit information with CN, and the CNs match. Approve the validity of the certificate information. Then, the terminal authentication unit 706 authenticates the mobile terminal 10 when both the validity of the mobile terminal 10 and the validity of the certificate information are approved. When the authentication is performed, the terminal authentication unit 706 transmits the credit information to the credit information issuing device 60.

決済端末80は、クレジット情報発行装置60によって管理され、店舗等に備えられるローカル端末である。決済端末80は、物理的には、CPU、メモリ、通信インタフェイス、ハードディスクといった格納部、ディスプレイといった表示部、等を備えたコンピュータシステムである。また、決済端末80は、機能的な構成要素として、クレジット情報受取部(受信手段)801、クレジット情報復号化部(受信手段)802、情報送信部803、決済承認情報受信部804、決済処理部805、を備える。   The payment terminal 80 is a local terminal managed by the credit information issuing device 60 and provided in a store or the like. The payment terminal 80 is physically a computer system including a CPU, a memory, a communication interface, a storage unit such as a hard disk, a display unit such as a display, and the like. The payment terminal 80 includes, as functional components, a credit information receiving unit (receiving unit) 801, a credit information decrypting unit (receiving unit) 802, an information transmitting unit 803, a payment approval information receiving unit 804, and a payment processing unit. 805.

クレジット情報受取部801は、携帯端末10から近距離データ通信によって、証明書情報と暗号化されたCN付きクレジット情報とを受け取る部分である。クレジット情報受取部801は、受け取った各情報をクレジット情報復号化部802に出力する。   The credit information receiving unit 801 is a part that receives certificate information and encrypted credit information with CN from the mobile terminal 10 by short-range data communication. The credit information receiving unit 801 outputs each received information to the credit information decrypting unit 802.

クレジット情報復号化部802は、クレジット情報受取部801から証明書情報と暗号化されたクレジット情報とを受け取り、暗号化されたCN付きクレジット情報を、予め決済サーバ70から配信される公開鍵情報によって復号化する部分である。復号化されたCN付きクレジット情報は、証明書情報と共に情報送信部803に出力される。   The credit information decrypting unit 802 receives the certificate information and the encrypted credit information from the credit information receiving unit 801, and uses the public key information distributed from the settlement server 70 in advance to store the encrypted credit information with CN. This is the part to be decrypted. The decrypted credit information with CN is output to the information transmission unit 803 together with the certificate information.

クレジット情報送信部803は、クレジット情報復号化部802から受け取った証明書情報と復号化されたCN付き情報とを、決済サーバ70の端末認証部706に送信する部分である。   The credit information transmission unit 803 is a part that transmits the certificate information received from the credit information decryption unit 802 and the decrypted information with CN to the terminal authentication unit 706 of the settlement server 70.

決済承認情報受信部804は、クレジット情報発行装置60から決済承認情報を受信する部分である。受信した決済承認情報は、決済処理部805に出力される。   The payment approval information receiving unit 804 is a part that receives payment approval information from the credit information issuing device 60. The received payment approval information is output to the payment processing unit 805.

決済処理部805は、決済承認情報受信部804から決済承認情報を受け取って、所定の処理を行う部分である。具体的には、決済処理部805は、決済承認情報を受け取ると、携帯端末10に決済に関する情報(レシートデータ等)を送信すると共に、クレジット情報発行装置60に対して売上金額等を示す売上情報を送信する。   The payment processing unit 805 is a part that receives payment approval information from the payment approval information receiving unit 804 and performs predetermined processing. Specifically, when the payment processing unit 805 receives the payment approval information, the payment processing unit 805 transmits information related to the payment (receipt data, etc.) to the mobile terminal 10 and sales information indicating the sales amount and the like to the credit information issuing device 60. Send.

続いて、図5に示すフローチャートを参照しながら認証システム2の動作を説明する。   Next, the operation of the authentication system 2 will be described with reference to the flowchart shown in FIG.

まず、クレジット情報発行装置60は、携帯端末10からクレジット決済AP要求情報を受信する(ステップS21)。クレジット決済AP要求情報を受信したクレジット情報発行装置60は、決済サーバ70のクレジット情報受信部701に対して、クレジット情報の発行を要求する発行要求情報と共に、クレジット決済APの実行に必要なクレジット情報を送信する(ステップS22)。クレジット情報受信部701は、発行要求情報の受信に応じ、携帯端末10に対して証明書要求情報を送信する(ステップS23)。また、受け取ったクレジット情報をクレジット情報発行部703に出力する。携帯端末10は、証明書要求情報を受信すると、内蔵するUIMからCNを含んだ証明書情報を読み出して、この情報を証明書情報受信部702に送信する(ステップS24)。証明書情報受信部702は、受信した証明書情報をクレジット情報発行部703に出力する。   First, the credit information issuing device 60 receives credit settlement AP request information from the mobile terminal 10 (step S21). The credit information issuing device 60 that has received the credit settlement AP request information, together with the issuance request information that requests the credit information receiving unit 701 of the settlement server 70 to issue credit information, the credit information necessary for executing the credit settlement AP. Is transmitted (step S22). The credit information receiving unit 701 transmits the certificate request information to the mobile terminal 10 in response to the reception of the issue request information (Step S23). The received credit information is output to the credit information issuing unit 703. When the portable terminal 10 receives the certificate request information, the portable terminal 10 reads the certificate information including the CN from the built-in UIM, and transmits this information to the certificate information receiving unit 702 (step S24). The certificate information receiving unit 702 outputs the received certificate information to the credit information issuing unit 703.

次に、クレジット情報発行部703は、クレジット情報受信部701から出力されるクレジット情報と、証明書情報受信部702から出力される証明書情報とを受け取ると、証明書情報に含まれるCNをクレジット情報に付加したCN付きクレジット情報を生成する(ステップS25)。そして、クレジット情報発行部703は、生成したCN付きクレジット情報を、クレジット情報暗号化部704に出力する。クレジット情報暗号化部704は、受け取ったCN付きクレジット情報を、この決済サーバ70が所有する秘密鍵情報によって暗号化する(ステップS26)。暗号化されたCN付きクレジット情報は、クレジット情報送信部705に出力される。そして、暗号化されたCN付きクレジット情報と証明書情報とが、クレジット決済APとして携帯端末10に送信される(ステップS27)。   Next, upon receiving the credit information output from the credit information receiving unit 701 and the certificate information output from the certificate information receiving unit 702, the credit information issuing unit 703 credits the CN included in the certificate information. The credit information with CN added to the information is generated (step S25). Then, the credit information issuing unit 703 outputs the generated credit information with CN to the credit information encryption unit 704. The credit information encryption unit 704 encrypts the received credit information with CN using the secret key information owned by the settlement server 70 (step S26). The encrypted credit information with CN is output to the credit information transmission unit 705. Then, the encrypted credit information with CN and certificate information are transmitted to the mobile terminal 10 as a credit settlement AP (step S27).

次に、ユーザは、決済端末80によってクレジット決済を行う際に、受信したクレジット決済APを用いて、携帯端末10と決済端末80との間で上述のIrDA等による通信を行う。このとき、携帯端末10から決済端末80のクレジット情報受取部801に対して、UIMから読み出した証明書情報と、暗号化されたCN付き電子チケットとが送信される(ステップS28)。クレジット情報受取部801は、受け取った各情報をクレジット情報復号化部802に出力する。   Next, when the user performs a credit settlement using the settlement terminal 80, the user performs communication based on the above-described IrDA or the like between the mobile terminal 10 and the settlement terminal 80 using the received credit settlement AP. At this time, the certificate information read from the UIM and the encrypted electronic ticket with CN are transmitted from the mobile terminal 10 to the credit information receiving unit 801 of the settlement terminal 80 (step S28). The credit information receiving unit 801 outputs each received information to the credit information decrypting unit 802.

クレジット情報復号化部802は、証明書情報と暗号化されたクレジット情報とを受け取ると、暗号化されたCN付きクレジット情報を、予め決済サーバ70から配信される公開鍵情報によって復号化する(ステップS29)。そして、復号化されたCN付きクレジット情報は、証明書情報と共に情報送信部803に出力され、この情報送信部803によって決済サーバ70の端末認証部706に送信される(ステップS30)。   Upon receipt of the certificate information and the encrypted credit information, the credit information decryption unit 802 decrypts the encrypted credit information with CN using the public key information distributed from the payment server 70 in advance (Step S1). S29). The decrypted credit information with CN is output to the information transmission unit 803 together with the certificate information, and is transmitted to the terminal authentication unit 706 of the settlement server 70 by the information transmission unit 803 (step S30).

端末認証部706は、受信した各情報に基づいて携帯端末10の認証の可否を判断する(ステップS31)。そして、端末認証部706は、携帯端末10の有効性及び証明書情報の正当性が是認された場合に携帯端末10の認証を行う。端末認証部706は、携帯端末10の認証を行った場合には、クレジット情報をクレジット情報発行装置60に対して送信する(ステップS32)。端末認証部706からクレジット情報を受信したクレジット情報発行装置は、決済承認情報を決済端末80の決済承認情報受信部804に送信する(ステップS33)。決済承認情報受信部804は、受信した決済承認情報を決済処理部805に出力し、決済処理部805は、この情報を受け取ると、携帯端末10に決済に関する情報(レシートデータ等)を送信すると共に、クレジット情報発行装置60に対して売上情報を送信する(ステップS34)。   The terminal authentication unit 706 determines whether or not the mobile terminal 10 can be authenticated based on each received information (step S31). Then, the terminal authentication unit 706 authenticates the mobile terminal 10 when the validity of the mobile terminal 10 and the validity of the certificate information are approved. If the mobile terminal 10 is authenticated, the terminal authentication unit 706 transmits credit information to the credit information issuing device 60 (step S32). The credit information issuing device that has received the credit information from the terminal authenticating unit 706 transmits the payment approval information to the payment approval information receiving unit 804 of the payment terminal 80 (step S33). The payment approval information receiving unit 804 outputs the received payment approval information to the payment processing unit 805, and upon receiving this information, the payment processing unit 805 transmits information related to payment (receipt data and the like) to the mobile terminal 10. Sales information is transmitted to the credit information issuing device 60 (step S34).

以上説明したように、本実施形態に係る認証システム2では、決済端末80が携帯端末10から受け取った暗号化されたクレジット情報を復号化して決済サーバ70に送信し、決済サーバ70は、この復号化されたクレジット情報に含まれるCNと、予め失効リスト格納部707に格納する失効リストに含まれるCNとを照合することで、携帯端末10の有効性を判断する。これにより、決済端末80は、信販業者が管理するクレジット情報発行装置60に問い合わせることなく携帯端末10のユーザの正当性を確認できる。したがって、直接クレジット情報発行装置60に問い合わせを行う場合と比較して、通信資源の節約を図ることができる。   As described above, in the authentication system 2 according to the present embodiment, the payment terminal 80 decrypts the encrypted credit information received from the mobile terminal 10 and transmits it to the payment server 70. The payment server 70 The validity of the mobile terminal 10 is determined by comparing the CN included in the converted credit information with the CN included in the revocation list stored in the revocation list storage unit 707 in advance. Thereby, the payment terminal 80 can confirm the legitimacy of the user of the portable terminal 10 without making an inquiry to the credit information issuing device 60 managed by the credit dealer. Therefore, communication resources can be saved as compared with the case where an inquiry is made directly to the credit information issuing device 60.

また、本実施形態では、クレジット情報の暗号化及び復号化は携帯端末10の通信網55を運用する業者が設定する秘密鍵情報及び公開鍵情報に基づいて行われる。このような暗号化/復号化を用いることで、ネットワークを介してやり取りされるクレジット情報のセキュリティを高めることができる。また、秘密鍵情報は通信網55を運用する業者のみが所有するので、この秘密鍵情報で暗号化されたクレジット情報がこの業者から配信されたものか否かを、決済端末80において容易に確認することが可能となる。   In the present embodiment, encryption and decryption of credit information are performed based on secret key information and public key information set by a company operating the communication network 55 of the mobile terminal 10. By using such encryption / decryption, security of credit information exchanged via the network can be enhanced. Further, since the private key information is owned only by the business operator who operates the communication network 55, it is easily confirmed at the settlement terminal 80 whether or not the credit information encrypted with this private key information has been distributed from this business operator. It becomes possible to do.

本発明の第1実施形態である認証システムを示す構成図である。It is a block diagram which shows the authentication system which is 1st Embodiment of this invention. 失効リスト格納部に格納される情報の一例を示した図である。It is the figure which showed an example of the information stored in a revocation list storage part. 本発明の第1実施形態である認証システムの動作手順を示すシーケンス図である。FIG. 3 is a sequence diagram showing an operation procedure of the authentication system according to the first embodiment of the present invention. 本発明の第2実施形態である認証システムを示す構成図である。It is a block diagram which shows the authentication system which is 2nd Embodiment of this invention. 本発明の第2実施形態である認証システムの動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the authentication system which is 2nd Embodiment of this invention.

符号の説明Explanation of symbols

1,2…認証システム、10…携帯端末、20…サービス提供装置、52,55…通信網、60…クレジット情報発行装置、70…決済サーバ、80…決済端末、201…電子チケット発行要求受信部、203…電子チケット発行部、204…電子チケット送信部、301…電子チケット受信部、302…電子チケット暗号化部、303…網内送信手段、401…電子チケット受取部、402…電子チケット復号化部、403…端末認証部、701…クレジット情報受信部、703…クレジット情報発行部、704…クレジット情報暗号化部、705…クレジット情報送信部、706…端末認証部、707…失効リスト格納部、801…クレジット情報受信部、802…クレジット情報復号化部。   DESCRIPTION OF SYMBOLS 1, ... Authentication system, 10 ... Portable terminal, 20 ... Service provision apparatus, 52, 55 ... Communication network, 60 ... Credit information issuing apparatus, 70 ... Payment server, 80 ... Payment terminal, 201 ... Electronic ticket issue request receiving part , 203 ... Electronic ticket issuing unit, 204 ... Electronic ticket transmitting unit, 301 ... Electronic ticket receiving unit, 302 ... Electronic ticket encryption unit, 303 ... In-network transmission means, 401 ... Electronic ticket receiving unit, 402 ... Electronic ticket decryption unit 403... Terminal authentication unit 701 credit information receiving unit 703 credit information issuing unit 704 credit information encryption unit 705 credit information transmission unit 706 terminal authentication unit 707 revocation list storage unit 801: Credit information receiving unit, 802: Credit information decoding unit.

Claims (3)

通信端末から送信される、前記通信端末のユーザがサービスを享受するために用いられる電子チケットの発行要求を受信する要求受信手段と、
当該発行要求の受信に応じて、前記通信端末を特定するための端末特定情報を含む電子チケットを発行するチケット発行手段と、
当該発行された電子チケットを前記通信端末が所属する通信網に向けて送信するチケット送信手段と、
当該送信された電子チケットを受信し、秘密鍵情報で暗号化する暗号化手段と、
前記通信網の配下に存在し、前記暗号化手段によって暗号化された電子チケットを前記通信端末に送信する網内送信手段と、
を備える認証システムであって、
前記通信網においてその使用が停止された通信端末を特定するための失効端末特定情報を格納する失効情報格納手段と、
前記通信端末から前記暗号化された電子チケットを受け取って復号化するチケット受取手段と、
当該復号化した電子チケットに含まれる端末特定情報と、前記失効情報格納手段に格納されている失効端末特定情報とを照合し、前記通信端末の有効性を判断する有効性判断手段と、
を有するサービス提供装置を更に備える、認証システム。 Request receiving means for receiving an electronic ticket issuance request transmitted from a communication terminal and used by the user of the communication terminal to enjoy the service;
Ticket issuing means for issuing an electronic ticket including terminal specifying information for specifying the communication terminal in response to receiving the issuing request;
Ticket transmitting means for transmitting the issued electronic ticket to a communication network to which the communication terminal belongs;
An encryption means for receiving the transmitted electronic ticket and encrypting it with the private key information;
In-network transmission means for transmitting the electronic ticket that is under the communication network and encrypted by the encryption means to the communication terminal;
An authentication system comprising:
Revocation information storage means for storing revocation terminal specifying information for specifying a communication terminal whose use has been stopped in the communication network;
Ticket receiving means for receiving and decrypting the encrypted electronic ticket from the communication terminal;
Validity determination means for comparing the terminal identification information contained in the decrypted electronic ticket with the revocation terminal identification information stored in the revocation information storage means, and determining the validity of the communication terminal;
An authentication system further comprising a service providing apparatus having: 通信端末のユーザが信用販売を利用する際に用いられ、前記ユーザを特定するための信用販売情報の発行要求を、前記信用販売を行う信販業者が管理する発行装置から受信する要求受信手段と、
当該発行要求の受信に応じて、前記通信端末を特定するための端末特定情報を含む信用販売情報を発行する信販情報発行手段と、
当該発行された信用販売情報を暗号化して前記通信端末に送信する信販情報送信手段と、
を備える認証システムであって、
前記通信端末から出力される暗号化された信用販売情報を受け取って復号化する受信手段を有する決済端末と、
前記決済端末から送信される復号化された信用販売情報を受信する受信手段と、前記通信端末が所属する通信網においてその使用が停止された通信端末を特定するための失効端末特定情報を格納する失効情報格納手段と、前記受信手段が受信する信用販売情報に含まれる端末特定情報と前記失効情報格納手段に格納されている失効端末特定情報とを照合して前記通信端末の有効性を判断する有効性判断手段と、を有する決済サーバと、
を更に備える認証システム。 A request receiving means that is used when a user of a communication terminal uses credit sales, and receives a request for issuing credit sales information for specifying the user from an issuing device managed by a credit dealer who performs the credit sales;
Credit sales information issuing means for issuing credit sales information including terminal specifying information for specifying the communication terminal in response to reception of the issue request;
Credit sales information transmitting means for encrypting the issued credit sales information and transmitting it to the communication terminal;
An authentication system comprising:
A payment terminal having receiving means for receiving and decrypting the encrypted credit sales information output from the communication terminal;
A receiving means for receiving the decrypted credit sales information transmitted from the payment terminal, and revoked terminal specifying information for specifying a communication terminal whose use has been stopped in the communication network to which the communication terminal belongs is stored. The validity of the communication terminal is determined by comparing the revocation information storage means, the terminal identification information included in the credit sales information received by the reception means, and the revocation terminal identification information stored in the revocation information storage means. A settlement server having validity determination means;
An authentication system further comprising: 前記暗号化は前記通信網を運用する業者が設定する秘密鍵情報に基づいて行われ、前記復号化は前記通信網を運用する業者が設定する公開鍵情報に基づいて行われる、請求項1又は2に記載の認証システム。   The encryption is performed based on secret key information set by a vendor operating the communication network, and the decryption is performed based on public key information set by a vendor operating the communication network. 2. The authentication system according to 2.
JP2004128859A 2004-04-23 2004-04-23 Authentication system Expired - Fee Related JP3920871B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004128859A JP3920871B2 (en) 2004-04-23 2004-04-23 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004128859A JP3920871B2 (en) 2004-04-23 2004-04-23 Authentication system

Publications (2)

Publication Number Publication Date
JP2005311904A true JP2005311904A (en) 2005-11-04
JP3920871B2 JP3920871B2 (en) 2007-05-30

Family

ID=35440122

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004128859A Expired - Fee Related JP3920871B2 (en) 2004-04-23 2004-04-23 Authentication system

Country Status (1)

Country Link
JP (1) JP3920871B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242585A (en) * 2007-03-26 2008-10-09 Kddi R & D Laboratories Inc Service use identification creating device, service use identification creation system, service use identification creation method, and program
JP2010027028A (en) * 2008-07-17 2010-02-04 Symantec Corp Control of website usage via online storage of restricted authentication credential
JP2013534754A (en) * 2010-06-16 2013-09-05 クアルコム,インコーポレイテッド Method and apparatus for binding subscriber authentication and device authentication in a communication system
JP2014075007A (en) * 2012-10-03 2014-04-24 Flight System Consulting Inc Settlement terminal device, method, and program
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
KR101867888B1 (en) * 2017-07-13 2018-07-19 주식회사 세한알에프시스템 Electronic ticket management system based on beacon

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242585A (en) * 2007-03-26 2008-10-09 Kddi R & D Laboratories Inc Service use identification creating device, service use identification creation system, service use identification creation method, and program
JP2010027028A (en) * 2008-07-17 2010-02-04 Symantec Corp Control of website usage via online storage of restricted authentication credential
JP2013534754A (en) * 2010-06-16 2013-09-05 クアルコム,インコーポレイテッド Method and apparatus for binding subscriber authentication and device authentication in a communication system
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
JP2014075007A (en) * 2012-10-03 2014-04-24 Flight System Consulting Inc Settlement terminal device, method, and program
KR101867888B1 (en) * 2017-07-13 2018-07-19 주식회사 세한알에프시스템 Electronic ticket management system based on beacon

Also Published As

Publication number Publication date
JP3920871B2 (en) 2007-05-30

Similar Documents

Publication Publication Date Title
US10885501B2 (en) Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
US7962744B2 (en) Terminal communication system
KR101661933B1 (en) Ccertificate authentication system and method based on block chain
CN102483779B (en) Method for reading attributes from an id token and the computer system
US20080059797A1 (en) Data Communication System, Agent System Server, Computer Program, and Data Communication Method
KR100520476B1 (en) Digital contents issuing system and digital contents issuing method
EP2420036B1 (en) Method and apparatus for electronic ticket processing
KR101138283B1 (en) Method and system of mobile payment
US20120311326A1 (en) Apparatus and method for providing personal information sharing service using signed callback url message
JP4326443B2 (en) Information processing apparatus, information processing method, and program
JP4818664B2 (en) Device information transmission method, device information transmission device, device information transmission program
JP4516399B2 (en) Information processing apparatus and method, and program
KR20070050712A (en) Method and system for obtaining digital rights of portable memory card
KR101210260B1 (en) OTP certification device
JP2009043224A (en) Drm system and method of managing drm content
KR20030090540A (en) Communication terminal, server apparatus, electronic worth charging method, and electronic worth charging program
JP3920871B2 (en) Authentication system
WO2004088557A1 (en) Information processing system, information processing device, method, and program
KR101710950B1 (en) Method for distributing encrypt key, card reader and system for distributing encrypt key thereof
JP2018164134A (en) Information processing system, information processing method, and program
JP2007334826A (en) Right controller, right control system, right control method, and program for right control
JP2002024773A (en) Ic card service addition authorizing device, ic card issuing device, issuing method, issuing system, and storage medium recording ic card service addition authorization program
JP2014045233A (en) Electronic certificate issuing method
JP2004334353A (en) Information acquisition device and method therefor, information provision device and method therefor, information acquisition program, recording medium recording program, information provision program, and recording medium recording program
JP2006059030A (en) Settlement system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061031

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3920871

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100223

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110223

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120223

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120223

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130223

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140223

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees