JP2000503786A - 追跡不可能な電子通貨 - Google Patents

追跡不可能な電子通貨

Info

Publication number
JP2000503786A
JP2000503786A JP9511318A JP51131897A JP2000503786A JP 2000503786 A JP2000503786 A JP 2000503786A JP 9511318 A JP9511318 A JP 9511318A JP 51131897 A JP51131897 A JP 51131897A JP 2000503786 A JP2000503786 A JP 2000503786A
Authority
JP
Japan
Prior art keywords
image
party
electronic currency
currency system
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9511318A
Other languages
English (en)
Inventor
ダニエル アール シモン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2000503786A publication Critical patent/JP2000503786A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/042Payment circuits characterized in that the payment protocol involves at least one cheque
    • G06Q20/0425Payment circuits characterized in that the payment protocol involves at least one cheque the cheque being electronic only
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/24Credit schemes, i.e. "pay after"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Character Discrimination (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Detergent Compositions (AREA)
  • Reverberation, Karaoke And Other Acoustics (AREA)
  • Inspection Of Paper Currency And Valuable Securities (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Testing Of Coins (AREA)

Abstract

(57)【要約】 電子通貨プロトコルであって、以下の手順を含む。一方向関数f1(x)を用いて変換前の元の値であるプレイメージx1から変換後の値のイメージf1(x1)を生成する手順、イメージf1(x1)を目隠ししない形式で第二の当事者に送信する手順、ディジタル署名を含むノートを第二の当事者から受信する手順、とからなる。前記ノートは、第二の当事者が、第二の当事者に送信したプレイメージx1の第一の申告者に対してあらかじめ決められた金額を信用貸しするという約束を示すものである。

Description

【発明の詳細な説明】 追跡不可能な電子通貨 背景技術 この発明は、電子通貨システム一般に関する。 電子通貨システムの直観的にわかる最終的な形態は、有形の現金の最良の特徴 (プライバシーが守られる、匿名性、偽造しにくい)と、電子取り引きの持つ最 良の特徴(速さ、簡便性、輸送や保管に対する潜在的な安全性)を合わせ持った 形態である。匿名性を有す電子通貨システムを実現するための基本的な問題は、 次のように単純化することができる。2つの連続した取り引きにおいて、この電 子通貨の所有者が識別できなかったならば、この所有者が第一の取り引きがなか ったように振る舞い、同じ電子コインを再び使用することをどうやって防ぐかと いう問題である。この問題に対する第一の解決方法は、チャーム、フィアットと ノアーによって提案されている(D.チャーム(D.Chaum)、A.フィアット(A.Fi at)、M.ノアー(M.Noar)著、アントレーサブル・エレクトロニック・キャッシ ュ(Untracedable Electronic Cash)、Proc.CRYPTO'88、Springer-Verlag(199 0)、319-327ページ)。これは、同じ電子通貨が2回、中央の銀行に送られてき た場合には、通貨の二重使用を検出して二重使用を行った人の特定が十分に行え るということを前提条件として成立している。他のいくつかにもこの前提が用い られていて、銀行は各取り引きを複雑にする必要がないという利点を有す。しか しながら実際には、この前提条件には重大な欠点がある。それは不正な取り引き は発生後しばらくたってから検出されるということであり、不正実行者が法によ って処罰されないという確信があれば(アクセスできない状態であったり、第三 者のIDや電子通貨を使っている場合など)、不正実行者は意のままに電子通貨 の二重使用をすることができる。 しかしながら、このような電子通貨の不正使用を防止するには、二重使用の検 出や、二重使用に対して警告を発することができるように、取り引きが発生する 毎に何らかの確認をいずれかの方法で行う必要がある。それでは、どのようにし て匿名性を保護するのか。ひとつのアプローチとして、中身にいたずらできない ように作られたハードウエアを基礎として、電子通貨を使う人が正直に(すなわ ち、電子通貨の二重使用をしない)しなければならないよう強いる方法がある( 例えば、S.イーブン(S.Even)、O.ゴールドリッチ(O.Goldreich)、Y.ヤコ ブ(Y.Yacobi)著、エレクトロニックウォーレット(Electronic Wallet,Proc.CR YPTO'83、Plenum Press(1984)、383-386ページを参照のこと)。しかしながらこ のような前提に基づいた方法は、非常にもろい。もし誰かがハードウエアの不正 操作に成功したらならば、その不正使用者が通貨の二重使用ができるばかりでな く、ハードウエアに隠された情報を手に入れる(たとえば、購入したり、偶然に よって)ことができれば、誰でもがどこからでも勝手に高額な金額を使うことが できるようになる。従来の不正使用防止技術は、前述のようなリスクを有すもの を基礎としたものであるため、信頼できる技術ではない。 その他のアプローチとして、暗号による方法がある。例えば、ある強力な暗号 法のもとでは、「目隠しされた」通貨と、後で正規通貨であると認証できるが、 どのように特殊なプロトコルを実行させても接続できない情報を造るプロトコル を構築することが可能となる。(例として、D.チャーム(D.Chaum)著、プライ バシー・プロテクト・ペイメント(Privacy Protected Payments--Uncondition al Payer and/or Payee Untraceability,SMART CARD 2000: The Future of IC C ards00Proc.ifip wg 11.6 Int'l Conf.,North-Holland(1989),ページ69-93)、 及びD.チャーム(D.Caum)著、オンライン・キャシュ・チェック(Online Cash Checks)、Proc.EUROCRYPT'89、Springer-Verlag(1989)、288-293ページを参照 のこと) 発明の開示 この発明は、簡単で実用的なオンライン電子通貨システムであって、匿名性を 有し追跡不可能な情報伝達が可能なネットワークを基礎とした電子通貨システム を実現するものである。概して、この発明には2つの簡単な基本要素である、一 方向関数と署名機構を用いている。どちらもよく知られた技術であって、詳細に ついては、一般に入手できる暗号に関する本で知ることができる。例えば、ブル ース・シュネイヤー(Bruce Schneier)著、アプライド・クリプトグラフィー( Applied Cryptography)(1994年 ジョン・ウィリー・アンド・サンズ 社 (John Wiley & Sons,Inc.)刊にある。このシステムは、電子通貨を使う人の 匿名性を保護することはもちろん電子通貨の正当性を保証するものであり、偽造 することはできず、また1回しか使用できない。 本発明の一形態である電子通貨プロトコルは、一方向関数f1(x)を用い て変換前の元の値であるプレイメージx1から変換後の値であるイメージf1(x1 )を生成する手順、イメージf1(x1)を目隠ししない形式で第二の当事者に 送信する手順、第二の当事者からディジタル署名を含む文書を受け取る手順とか ら成る。前記受け取った署名を含む文書は、第二の当事者が、第一のプレイメー ジx1を決めた者に対してあらかじめ決められた金額を信用貸しするという確約 を意味する。 本発明の最良の形態は、次に示すような形態を含む。本発明の電子通貨プロト コルはまた、第三の当事者から購入した商品や受けたサービスに対する支払いと して、プレイメージx1を第三の当事者へ送る場合も含んでいる。またさらに、 第二のプレイメージx2を選択し、第二の一方向関数f2(x)により第二のプレ イメージx2を第二のイメージf2(x2)に変換し、第一のプレイメージx1と目 隠ししない形式で第二のイメージf2(x2)を第二の当事者に送信し、第二の当 事者からディジタル署名を含む文書を受信するという形態もある。前記文書は、 第二の当事者が、第一のプレイメージx2を決めた者に対してあらかじめ決めら れた金額を信用貸しするという確約を意味する。どちらの場合も、f1(x)と f2(x)は同じ関数である。後者の場合、第二の当事者に対して第一のプレイ メージx1と目隠ししない形式で第二のイメージf2(x2)を送信しているのは 、匿名性を保持するためであり、第二の当事者は銀行である。 また、本発明の最良の形態であるプロトコルには、第三の当事者の署名鍵と第 一のプレイメージx1を結合して情報をひとつのブロックに構成する手順、前記 情報ブロックを第二の当事者の暗号鍵を使って暗号化して、暗号化された情報ブ ロックとする手順、前記暗号化された情報ブロックを第三の当事者に送信する手 順とから成るものがある。 その他の形態である本発明の電子通貨プロトコルは次の手順で行われる。まず 第一の当事者から第一のプレイメージx1を受け取る手順であり、このプレイメ ージx1は第一の一方向関数f1(x)によって処理され第一のイメージf1(x1 )となる。前記第一のプレイメージx1は、第二の当事者が前記第一のプレイメ ージx1を第二の当事者に申告した第一の当事者に対して、予定額の信用貸しを 行うという、第二の当事者による確約と連結している。さらに、第二のプレイメ ージx2を選択する手順、第二の一方向関数f2(x)により第二のプレイメージ x2から第二のイメージf2(x2)を生成する手順、第一のプレイメージx1と目 隠しされない形式の第二のイメージf2(x2)を第二の当事者に送信する手順、 第二の当事者からディジタル署名を含むノートを受信する手順とから成る。この ノートは、第二のプレイメージx2を第二の当事者に送った第一の当事者に対し 、予定の額の信用貸しを行うという第二の当事者の約束を表わしている。 さらなる他の形態では、本発明の電子通貨プロトコルは次の手順で行われる。 まず、第一の当事者から暗号化された情報のブロックを受け取る手順であり、こ の情報が暗号化されたブロックは、第二の当事者の公開署名鍵と第一のプレイメ ージx1とを連結して情報のブロックが構成され、さらに前記情報のブロックは 第三者の暗号鍵を使って暗号化されたものである。続いて、第二のプレイメージ x2を選択する手順、第二の一方向関数f2(x)を用いてプレイメージx2から イメージf2(x2)を生成する手順、前記暗号化した情報ブロックとイメージf2 (x2)を含むメッセージを目隠ししない形式で作り上げる手順、前記メッセー ジを第三の当事者に送る手順、第三の当事者からディジタル署名を含むノートを 受け取る手順から成る。このノートは、第二のプレイメージx2を第三の当事者 に送った第一の当事者に対し、予め決められた額の信用貸しを行うという第三の 当事者の確約を表わしている。 さらなる他の形態では、本発明の電子通貨プロトコルは次の手順で行われる。 第一のエンティティから一方向関数f1(x)をプレイメージx1に適用して生成 され、かつ目隠しされない表記形式のイメージf1(x1)を受信する手順、プレ イメージx1を送った第一の当事者に対し、予め決められた額の信用貸しを行う という確約を含むメッセージを作成する手順、前記メッセージにディジタル署名 で 署名する手順、前記メッセージをディジタル署名と一緒に前記第一の当事者に送 信する手順、とである。 本発明の電子通貨プロトコルの最良の実施の形態ではさらに続いて、第三の当 事者からプレイメージx1を受け取る手順、プレイメージx1をデータベースで調 べる手順、もしプレイメージx1がデータベースになかったら、あらかじめ決め られた金額を第三の当事者に信用貸し、プレイメージx1をデータベースに加え る手順が含まれている。あるいは本発明の電子通貨プロトコルがさらに続いて、 プレイメージx1と目隠しされない形式のイメージf2(x2)であって一方向関 数f2(x)をプレイメージx2に適用して生成されたイメージを第三者から受け 取る手順、プレイメージx1をデータベースで調べる手順、もしプレイメージx1 がデータベースになかったら、あらかじめ決められた金額をプレイメージx2を 送った第一の当事者に信用貸しするという確約を示し、ディジタル署名も添付さ れているノートを作成する手順、プレイメージx1をデータベースに加える手順 から成るプロトコルであってもよい。 また本発明の最良の実施の形態として、次に示すメッセージを第二の当事者か ら受け取ることを特徴とするものがある。前記メッセージは、第三の当事者の暗 号鍵と第一のプレイメージx1とを結合してひとつの情報のブロックとして形成 し、前記情報のブロックを第一の暗号鍵を使って暗号化された第一のブロックを 生成し、前記暗号化された第一のブロックをプレイメージx2を一方向関数f2( x)を用いて生成される目隠ししない形式のイメージf2(x2)と結合すること によって得られる。さらに、暗号化された第一の情報のブロックを解読する手順 、ディジタル署名を含み、第一のプレイメージx2の申告者にあらかじめ決めら れた金額を信用貸しするという確約を表わしたノートを生成する手順、前記ノー トを第二の当事者に送る手順を有している。 また、さらに他の形態として、次の手順を有する電子通貨プロトコルがある。 一方向関数f2(x)を用いてプレイメージx2から生成され目隠しされない形式 のイメージf2(x2)を第二の当事者に送る手順、第二の当事者から署名された ノートであって、目隠しされない形式で、ディジタル署名を含み、最初にプレイ メージx2を申告した者に対して決められた金額の信用貸しを行う約束を表わし た ノートを受け取る手順、さらに前記目隠しされない形式のノートを第二の当事者 から応答として受け取り、品物やサービスを第三の当事者へ配達するのを認める 手順とがある。 本発明は、簡単で安価な、擬似貨幣による取り引きの方法を提供するものであ る。交換(例えば貨幣の引き出し)といった項目では、実際の貨幣と同じ特性を 持つ。例として、本発明は、(1)大体において匿名性が保証されている、(2 )安全で、(3)安価で使うことができ、(4)持ち運びが簡単で交換も容易で ある、という特徴がある。 関係者は、ある特定の貨幣に対するx1の値を貨幣を使うまで秘密にしておく ことにより、その貨幣支払いの取り消しといった不正な銀行の背信行為から守ら れている。特定の金額f(x1)が公にかつ匿名でなく預金されている限り、x1 と結合している支払いが行われるまで、銀行には道義心が要求される。もちろん 、銀行は、受け取ったx1がすでに使われた貨幣に関したものであると主張して 、実際の交換処理中に匿名での交換処理を取り消しを行うことができる。しかし ながら、銀行は誰がこのような「食い逃げ」計画によってだまそうとしたか知る ことができない。それ故、銀行はモニターや一般に公表されることに対して無防 備である。 最終的に、電子通貨の署名に用いられるディジタル署名手法の有す安全性によ り、銀行も電子通貨の偽造から守られる。さらに加えて、銀行は、貨幣に対する x1の値を永久に保存していることにより、「二重使用(あるいは二重支払い) 」を防止する。 その他の利点や特徴は、以下の発明の実施するための最良の形態及び請求の範 囲において明らかにする。 図面の簡単な説明 第1図は、匿名でない電子通貨の引き出しプロトコルを示す図である。第2図 は、電子通貨の匿名での交換プロトコルを示す図である。第3図は、電子通貨で の匿名での商品購入プロトコルを示す図である。第4図は、匿名でない電子通貨 の預金プロトコルを示す図である。第5図は、電子通貨の匿名での支払いプロト コルの他の形態を示す図である。第6図は、匿名あるいは匿名でないドロップ・ ペイメントまたは為替プロトコルを示す図である。第7図は、暗号化した為替プ ロトコルを示す図である。 発明を実施するための最良の形態 匿名で通信する能力は、いろいろな意味で、匿名の金銭取り引きが行われる場 合には優先されなければならない事項である。なぜなら、ある団体の通信につい ての情報は、その団体の商取り引きに関する情報を明らかにしてしまうからであ る。実際には、通信の匿名性が基礎としているのは、電話会社が自社のシステム の秘密性を保護しているという信頼にすぎない。各団体は正体のわからない匿名 での返信者を信頼するか、あるいは文献から公に入手できる他の技術のひとつを 装備して信頼するかの選択ができる。 団体間の通信は第三者に対して匿名性を持つばかりでなく、その団体間でも互 いに匿名性を持って通信を行うことを想定する。(代表的な実施例において、後 者の形態は自己認識を除いて前者の自然な結果である。)このような条件におけ る、簡単で幾分匿名性を有す電子通貨システムのプロトコルを第1図に示す。 以下で説明するさまざまなプロトコル(第1図から第7図を参照のこと)では 、3団体を顧客10と売り主20と銀行30という名称で定義する。顧客10は 、もちろん一般的には支払人の代表であり、売り主20は一般的には受取人の代 表である。当然ではあるが、この設定は説明を明快にする目的で決めたもので、 この発明の範囲を限定するものではない。従って当然ながら、この三者を集団A 、集団B、集団Cとして引用しても同じ効力を持つ。 図には、いくつかの異なった団体がブロックによって示されており、ある団体 から他の団体への情報の伝達は該当するブロックをつなぐ線によって示している 。各線は、ある団体から他の集団へ一定の情報が伝わることを示しており、線の 端の矢印が通信の方向を示している。伝達される情報は、内容をまとめたシンボ ルとして、線の下に示してある。 各ブロックにはラベルが付けられ、次に示すような特定の物として記述されて いるが、前記特定の物による処理は、コンピュータ処理や通信を実行するコンピ ュータ機器によって実行されるものである。コンピュータ機器は、多岐にわたる 種類の電子機器を含んでいる。例えば、パーソナル・コンピュータ、PCカード (PCMCIA対応カード)、PDI、スマートカード、パームトップコンピュ ータ、強力なワークステイション等でありこれらはその一部に過ぎない。次に説 明するように、プロトコルの銀行側の処理は、現在ATMによるトランザクショ ンを処理しているサーバと同様に、電子商取引を処理するようにプログラムされ たサーバによって実行される。前記サーバは、データの到着する複数の電話線を 有し、関連データを保存するためのデータ記憶容量を持っていることが望ましい 。 コンピュータ機器が内部あるいは外部に、プロトコルを実行するするために必 要なプログラムやデータのために必要なメモリを有していることは当然のことで ある。さらに、前記コンピュータ機器は、例えばモデムのような、他のコンピュ ータ機器と通信を行うための手段も有す。さらに付け加えれば、情報を伝送する 通信媒体は非常に多くの可能性を持っている。媒体の例としては、電話線、ケー ブル、インターネット、衛星通信、無線通信などが挙げられる。言い換えれば、 本発明は、使われている機器の種類や採用している通信方法によって限定される ものではない。可能性や組み合わせは、人の創作力によって限定されるものであ る。 これから説明するプロトコルにおいては、銀行30が公に使用できる一方向関 数f(x)を、選択し、制定する。このような関数は、誰もが商取引においてア クセスし使うことができるように、誰でもが公に入手できるものでなくてはなら ない。一般に、一方向関数は、x1を使ってf(x1)を算出することはできるが 、f(x1)を与えられてもx1を算出できない関数f(x)を意味する。以下の 説明では、x1はf(x1)のプレイメージと、f(x1)はx1のイメージとする 。 実際には、完全な一方向関数は存在しない。現在一方向関数と考えられている すべての関数は、コンピュータの能力や手法によってf(x1)からx1を決定す ることが十分にできる。それゆえ、一方向関数という語には、f(x1)からx1 を算出することが、不可能である必要はないが非常に難しい関数であるという意 味も含まれる。 一方向関数は、標準のハッシュ関数(例えば、MD5、SHA等)のうちのい ずれかでよい。さらにつけ加えれば、いくつかの一方向関数を使うことも、これ を結合することも可能である。この技術分野において、多くの一方向関数が知ら れている。その中の幾つかは、コンピュータに移植することが簡単で、スマート カードに装備することもできる。 以上の基礎知識を前提として、本発明の実施の形態となる種々のプロトコルに ついて説明する。まず、顧客が銀行から「キャッシュ」を手に入れる処理に用い られる電子通貨の引き出しプロトコルから始める。 引き出しプロトコル 電子通貨の引き出し処理は、第1図に示した手法に従って行われる。顧客10 は、任意の数x1を選び、一方向関数f(x)を使って変換後の値であるx1のイ メージを生成する。x1の値は後処理装置が任意で行っているような乱数発生手 段から得られた無作為の数列である。この数列は、例えば128ビット長のデー タである。顧客10は、支払い処理が発生してから完了するまでこれを秘密にし ておく。 顧客10は、金額とf(x1)をまとめて銀行30に送って引き出しの要求を 行い、銀行30から金を引き出す(匿名ではなく)。銀行30は、明細書にディ ジタル署名を行って顧客の趣意に従う。このようにf(x1)を正規の電子通貨 として認定し、要求の額を、顧客10が銀行30に持っている口座の借方に記入 する。言い換えれば、銀行30は、「最初にf(x1)のプレイメージを決めた 者に対して、総額zの信用貸しを行う」ことに関して銀行30は署名を行って証 明する、という効力を表わす明細書あるいは覚え書きを発行する。 署名や情報の認証を行う技術(例えば、秘密鍵と公開鍵のペアを使う方法)や 、ディジタル署名の手法は、よく知られている技術である。さらに詳しくは、こ の分野において広く認められた参考文献を参照すればよい。例えば、ブルース・ シュネイヤー(Bruce Schneier)著、アプライド・クリプトグラフィー(Applied C ryptography)、1994年 ジョンウイリー・アンド・サンズ社(JohnWiley&So ns,Inc.)などである。 一般的に署名機構とは、文字にタグを付けるやり方のことである。典型的な例 としては、公開鍵と秘密鍵のペアを使うものがある。公開鍵及び秘密鍵は、一方 向関数を使って実行される。より現実的なアプローチ方法としては、さらに効果 を上げるためにトラップ・ドア機能を使う方法がある(例えば、スキネイナー(S chneiner)著、RSA、DSS、エルガマ・アルゴリズム(RSA,DSS,Elgamal al gorithms)参照のこと)。秘密鍵は、文字か文字列を暗号化するのに使われ、文 字に添付するディジタル署名として使われる。ディジタル署名は、自身の秘密鍵 を持っている者の署名であることを示している。なぜなら、他者が前記文字列か らこのような署名を作り出すことはできないからである。第二の当事者が公開鍵 を使ってタグの暗号を解読すれば、署名者自身の秘密鍵によって署名がなされた ことがわかる。この手法を保証するために、署名をした人の公開鍵を誰もが手に 入れまた預けられてこと、かつ秘密鍵は危険にさらされることはないと信頼でき ることが、前提となっていることは明らかである。 公開鍵を公表すること、及び銀行30が第一のf(x1)のプレイメージを決 めた者に対して明記された額を支払うという覚え書きにディジタル署名を添付し たことにより、銀行30はその責任を明らかにし、さらに偽造者から自身を守る 。 銀行が発行した、証明書となる覚え書きをここではC(f(x1))と定義し 、ノートと呼ぶ。このノートは顧客10に返送される。さらに付け加えれば、そ れは公然と入手することができるが、x1を知らない人にとっては何の価値もな い。 交換プロトコル 関係者(例えば、顧客10や売り主20)は、いつでも、銀行30において匿 名で電子通貨の「交換」ができる。実際には、相手側当事者から電子通貨を受け 取ったら、処理を迅速に行うことが特に重要である。これは、電子通貨の正当な 受取人の前に誰か他の者がx1を銀行30に送信してしまうリスクを最小にする ためである。不正実行者は、複数の者に対してx1を送信し、その電子通貨を複 数回、送信しようとするかもしれない。そのようなことが起きたら、銀行30に 届いた最初の受取人がその価値を受け取り、その他の電子通貨の受取人達は該当 しない電子通貨となり交換することができない。売り主20にとっては、交換の タイミングはさほと重要でない。なぜなら、大体において売り主20は、電子通 貨の受 け取りが有効に完了するまでは、納入予定の品物やサービスを提供しないからで ある。 第2図に示したように、顧客10が電子通貨を匿名で交換することを望 んだと仮定すると、顧客10は銀行30にx1と任意に選ばれたx2の変換後のイ メージであるf(x2)を送信する。言い換えれば、顧客10はx1によって前述 したような引き出しプロトコルを行い、同時に引き出した総額を提供する。銀行 30は単にf(x2)を認証し、f(x1)は「すでに使われた」ということの証 明としてx1をデータベース40に保存するだけである。これがx1の二重使用さ れるのを防止する交換の手法である。 f(x1)とC(f(x1))はすでに銀行30が所有しているので、銀行30 に対してx1とf(x2)といっしょにその情報を送ることは任意である。 プロトコルの銀行側処理がサーバーに実装されていれば、これは受信したx1 を自動的に保存する。さらに、銀行30がもうひとつのx1を受け取る毎に、最 初にそれがすでに使われたもの(すなわち受信されたもの)であるかをチェック する。 誰が実際に電子通貨を使っているのかがはっきりわからない交換処理を、連続 して取り扱うことができるようになる。交換処理にはf(x2)を明らかにする ことのみが必要であり、x2の持ち主を明らかにする必要はないことに注目して ほしい。匿名を実現するための他の手法と違って、電子通貨を目隠しすること等 その他の処理を必要としない。実際には、f(x1)が目隠しされず、広く一般 に知られていることが望ましい。 通信の匿名性を確保するよう求める手法は何でも、処理の匿名性が確保されれ ば十分に目的を果たす(すなわち、匿名性を実現することは可能であるが必須で はない)。 この手法は、電子通貨を両替する方法として使うこともできる。f(x2)を 送信する代わりに、両替をしようとしている者は、複数のf(x)の値(例えは 、f(x2)、f(x3)、f(x4))を送信することができる。これらは、個 々に特定の値を持ち、総合するとf(x1)の値と関連する。銀行は、複数の署 名付きノートであるC(f(x1))を返送する。 購入プロトコル 第3図に示したように、実際に電子通貨を支払うプロトコルは交換プロトコル と似ている。支払いを行う者(例えば顧客10)は、受け取り人(例えば売り主 20)に、x1を渡す。売り主20は直接あるいはすぐにf(x1)あるいはC( f(x1))にアクセスすることができないので、顧客10は取引の一部の情報 として送る。売り主20は銀行30に直接要求して、x1を「フレッシュな」金 銭に換える。この時当然に、銀行30はx1が以前に使われたものでないことを 最初に確認する。売り主20がこの交換処理を実施するときには、第2図に示し た交換プロトコルを使う。前記交換処理が引き受けられた後、売り主20は購入 された品物あるいはサービスを顧客10に提供する。 預金プロトコル 第4図に示したように、使用しない貨幣はいつでも、銀行30に匿名でなく預 金することができる。例えば、売り主20が使わない貨幣f(x1)を預金しよ うとした場合、x1を預金の要求と共に銀行30に送信する。売り主20は、f (x1)はもちろんC(f(X1))を任意で送ってもよい。 x1と預金要求を受け取ると、銀行30はx1が以前に銀行に送られてきたこと があるかどうか、データベースを調べる。もちろん、以前に送られてきたことが あれば、銀行30は売り主の請求書を信用せず、売り主20に対して正規の電子 通貨ではないことを報告する。銀行30が以前にx1を受信したことがなければ 、あらかじめ決められ金額がある請求書を信用し、信用取引が登録されたことを 確認するために預金の受領書を売り主20に送る。 プロトコルの拡張 以上説明した電子通貨手法における交換及び支払プロトコルには、いくつかの 他の実施の形態の例がある。これら他の実施の形態は、求められている匿名性の レベルや関係に応じた有効な手段となるように作られている。例えば、第5図に 示したのは、顧客10が売り主20よりも銀行30にアクセスするほうが容易で ある場合、売り主20は最初に顧客10にf(x2)を送り、顧客10は売り主 20の代わりに交換プロトコルを行い、支払いの証明として署名された電子通貨 、 例えばC(f(x2))を返送する。前述したように、交換プロトコルは匿名で 行われる。 あるいは、顧客10及び売り主20の双方が、お互いよりも銀行とよい関係を もっている場合、図6に示したような「ドロップ」ペイメントプロトコルを使う とよい。このプロトコルに従えば、顧客10は売り主20のための支払いを銀行 に降ろし、売り主20はその後すぐに銀行から支払いを回収する。 「ドロップ」支払いプロトコルの手順を以下に示す。最初に、顧客10がある 特定の額の貨幣の代わりとしてのx1を銀行30に送る。この時、売り主20の 公開署名鍵p(PSKP)と取り引きに関する情報を付加して送る。いろいろな 情報があるが、例えば、顧客10が購入した品物を明らかにしたり取り引きを確 誌することを望んだ場合、さらに/あるいは売り主が支払いに関する顧客の意向 を認めたといことを指示する場合などがあり、その結果、電子通貨が本質的な意 味において、「電子為替」に変る。顧客10は任意でf(x1)とノートC(f (x1))を送ってもよいが、前述したように、この情報はすでに銀行30が入 手しているので、送る必要はない。 顧客10が提供したその他の情報から集められた記録は、遠隔支払設定として 特定の用途に使えるかもしれない。取り引きの性格が特に暗黙であるという場合 でなければ、典型的には個人的な支払い方法になる。 もし、売り主20が匿名性を保持することを望まなければ、公開署名鍵は売り 主20のIDと明らかに関係しているものであってよいが、もし匿名性を望むの であれば、公開署名鍵はIDとはまったく関係ない特別な目的を有した公開鍵と しなければならない。後者の場合には、公開鍵は信頼できる知人に極秘に渡すか 、単純に匿名で公表する。 銀行30はx1に付随した第一の電子通貨f(x1)として表わされた総額を 渡すことに同意し、以前に配布された公開署名鍵pと対応する秘密の署名鍵を使 って署名されている。このようにして、顧客10が購入しようとした品物の支払 いを手に入れるために、売り主20は、第1図に関連して以前に記述したプロト コルを使って、銀行30から金を引き出す。このとき、売り主20は任意のx2 を選択し、f(x)を使ってイメージf(x2)を生成する。しかしながらこの 例では、 売り主20はf(x2)を銀行30に送信する前に秘密署名鍵を使ってf(x2) に署名を行う。付け加えると、この場合、貨幣は売り主の口座から引き出される のでなく、顧客10によってこの処理の前に与えられた口座から転送するだけで ある。 銀行30は売り主の公開署名鍵を使って、受信したf(x2)が売り主20( すなわち貨幣の転送を行った者)によって署名されことを確かめる。f(x2) の署名を確認すると、銀行30は売り主20に送信するノートCf(x2))を 発行する。 金を受け取ったという確認のノートC(f(x2))を売り主20が受け取っ た後、売り主20は顧客10に品物を送る。 もちろん理論上は、銀行30は支払先に金を与える代わりに金を自分のものに することによってだますことができる。しかしながら、支払人の匿名性を信頼し ている、あるいは少なくとも一般の人々が銀行30が不正しないことをモニター しているので、支払人が取り引きを暴露する可能性をあてにすることができる。 関係者間の通信が傍受されているという設定のもとで、交換プロトコルを安全 なものにする、とりわけ秘密のxの値をが立ち聞きする者を通り抜けて通過する いくつかの方法がある。最も自然な方法は、公開鍵による暗号法である。関係者 が銀行のものはもちろんのこと互いの公開暗号鍵を知っていれば、銀行30が送 信するものを除くすべてのメッセージが、受信側の公開暗号鍵を使って暗号化す るか、受信側の公開暗号鍵を使って暗号化された相称的な「セッションキー」を 使っているかぎり、前述した全てのプロトコルが立ち聞きするものを絶滅させる ように機能する。もちろん銀行のメッセージは、秘密でなくてよいよう考慮され ている。なぜならメッセージは、xiが誰か他の者によって秘密にされているf (xi)という形式の署名された貨幣だけで構成されているからである。暗号化 処理時にメッセージの認証コードやMACを使えば、メッセージが目的地に到着 するまで送り主以外の誰かによっていたずらされることはないことが保証される 。 公開暗号鍵の使用により、別の種類の「電子為替」が可能となる。この事例を 第7図に示し、暗号化された電子為替プロトコルとして一般にあてはめる。顧客 10は、ある正規の電子通貨としての秘密のx1の値を、売り主20の公開鍵p と その他の必要なIDや取引情報といっしょに暗号化する。前述の「ドロップ」プ ロトコルの場合と同様である。顧客10はこの情報を、銀行の公開暗号鍵を使う か、あるいは銀行の公開暗号鍵を使って暗号化されたセッションキーを使って暗 号化する。その後、顧客10は暗号化された情報を直接売り主20に送信する。 これを「現金」にするために、売り主20は任意の値x2を選び、そのイメー ジf(x2)を生成し、顧客10から受信したメッセージEにf(x2)を添付す る。前と同様、f(x2)は銀行によって署名されると、それは売り主20への 金の移転を意味する。売り主20は完了メッセージ(あるいは少なくともf(x2 ))に、公開署名pに対応する秘密の署名鍵を使って署名を行い、Eとf(x2 )と署名を銀行30に送る。任意で売り主20はさらに、前述したような方法、 すなわち銀行の暗号鍵あるいは付随的な相対鍵を使って、このメッセージを暗号 化してもよい。 銀行30は、自身の秘密鍵を使って売り主20からのメッセージを解読した後 、x1がすでに保存されていないかデータベースを調べ、もし見つからなかった 場合には、銀行30はx1を保存する。さらに銀行30は、f(x1)に関連した 値に等しい額を売り主20に振替えるという内容が記載されたノートC(f(x2 ))を生成する。前記ノートは売り主20に送られ、領収書発行と確認が済ん だ後、購入された品物は顧客10に送られる。 実質的に、暗号化された最後のプロトコルは前述のものとほぼ同じである。暗 号化が加えられたのは、支払人が受取人経由で「為替」を渡す処理においてであ り、その間支払人の与えた秘密や付加情報は、中身がいたずらされていないこと は保証される。 ノートC(f(x1))に処理が完了した日付を入れておくことは有益なこと である。この場合、銀行30のデータベースに保存されているx1はさほど大き くならない。これは、x1を銀行のデータベースに永遠に保存しておく必要がな いことによる。電子通貨の価値が失効しないように、スマートカード(あるいは 顧客が取り引きをするために操作する装備すべて)は、自動的に古くなった電子 通貨を新たな有効期限を持った新しい電子通貨に更新する。 満了日まで、電子通貨の払い戻しはできる。スマートカードの期限が過ぎて、 全てのx1を失っていしまった場合、期限満了後3ヶ月以内に申し立てておらず 、ユーザが電子通貨の価値に相当する額の信用貸しの要求を、銀行30にf(xi )と共にすることができる。しかしながら、一連のこの処理では、銀行との間 で最初の通信であり、この場合には貨幣の引き出しを行っているときに、顧客1 0は、自分自身であることを証明する。 プロトコルの顧客側は、x1だけを保存すればよいので、スマートカードを使 って簡単に装備することができる。また、一般的には、顧客は多くの金を必要と しない。スマートカードを盗んだ者にx1の値を盗まれないようにするため、P INが極秘にスマートカードに使われていて、x1をアクセスする前にユーザが 入力しなければならない。 以上記載した相互作用はすべて自動的に行われているのは当然のことであるこ とに、注目してほしい。これらの処理は、適切なプログラムがされたコンピュー タやプロセッサによって自動的に実行される。 コンピュータやプロセッサは、 取り引きを行う関係者によって実装され、その管理下にある。 その他の実施例は、以下に記載する。例として、秘密の値x1を使って電子通 貨と認証情報を結合するためのその他の手法がある。これもまでの記載では、秘 密の値x1は電子通貨を発行する人によって任意に生成されると仮定していた。 しかしながら秘密の値は、一方向関数h(x)を用いて何らかの認証データのイ メージを生成してもよい。この一方向関数は、あるいは通常の電子通貨の組み立 てに使われる関数f(x)と同じであってもよい。認証情報は、用途、支払日、 支払人の名前、予定の受取人といったもの、まとめていえば、支払人が銀行に( 保管しておきたいと思っているすべての情報、を含む。これらの情報は、h(x )を通して、秘密の値となるx1を生成する。 この場合銀行は、前述の「ドロップ」あるいは「電子為替」プロトコルで行わ れた電子支払いで受信した取り引き情報を保存する必要はなくなる。本質的には 、求められていることの全ては、払い込みが要求に応じて受取人を匿名にしない でラベル付けが行われることである。銀行が積極的に受取人の識別を行い、受取 人のIDを含む取り引きの標準記録を保管していれば、支払人は後できちんと支 仏ったことを、f(x)に用いたx1のプレイメージを公に明らかにすることに よっ て立証することができる。なぜなら、前記情報を示すf(x)は、用途や支払日 、支払人の名前、予定の受取人といった情報を含んでいるからである。x1の値 として普通に結合し、さらに他の電子通貨と交換して運ばれた暗黙の情報を、支 払人は電子通貨と一緒に手に入れることができる。しかしながらこのような状況 では、払い込み情報は暗黙のうちにx1に含まれているため、銀行に送る必要な ない。それゆえ、支払人が安全のため銀行を通過させなければならない情報は、 受取人の認証に使われる公開署名鍵だけである。この情報は、暗黙のうちに支払 人の要求で名前を明かして通信が行われる。 署名を基本とした通信を要求しているが、実際には、情報がxi(あるいはf (xi))とぴったりと一致していなければ、銀行は名前を明かして電子通貨を 引き受けることはできないので、受取人の身元の確認は排除される。例として、 いくつかのxiの特性(例えば、第1ビットが1であった場合)、銀行によって 問題の電子通貨は名前を明らかにした場合のみ取り扱うという表明として公に宣 言される。支払人は、f(sj)によって秘密のx1を算出することができる。sj は、特定の取引の情報と任意の値rを結合したものであり、その結果、 xiは非匿名性を持つことになる。このような性質のうち、およそ半分は、プレ イメージsjをf(s)で演算し、その結果として得られたある特定のデータ長を 持つf(sj)によって決まるので、所望の効果を持つxiを見つけるまで、何回 化のrを選ばなければならない。このような電子通貨は、これを回収しようとす る者は自身のIDを提供し、かつ銀行が納得するようにその証明をしなければな らない、という性質を持つ。このため、銀行は通常の取引情報の一部として交換 を申し出た者のIDを記録しておくことができる。この結果、この電子通貨を作 成した者は、後にその起源と同様、その他の取り引きの詳細(起用予定も含めて )をも、銀行の取り引き記録を参照し、xiを生成するのに用いられるsjを明 らかにすることによって立証することができる。それゆえ、電子通貨を、余分の 暗号や銀行に対しの情報を付加せずにまったく普通に使ったとしても、支払人に は前述した「電子為替」によって必要な防護機能すべてが提供される。
【手続補正書】特許法第184条の8第1項 【提出日】1997年9月4日(1997.9.4) 【補正内容】 明細書 追跡不可能な電子通貨システム 背景技術 この発明は、電子通貨システム一般に関する。 電子通貨システムの直観的にわかる最終的な形態は、有形の現金の最良の特徴 (プライバシーが守られる、匿名性、偽造しにくい)と、電子取り引きの持つ最 良の特徴(速さ、簡便性、輸送や保管に対する潜在的な安全性)を合わせ持った 形態である。匿名性を有す電子通貨システムを実現するための基本的な問題は、 次のように単純化することができる。2つの連続した取り引きにおいて、この電 子通貨の所有者が識別できなかったならば、この所有者が第一の取り引きがなか ったように振る舞い、同じ電子コインを再び使用することをどうやって防ぐかと いう問題である。この問題に対する第一の解決方法は、チャーム、フィアットと ノアーによって提案されている(D.チャーム(D.Chaum)、A.フィアット(A.Fi at)、M.ノアー(M.Noar)著、アントレーサブル・エレクトロニック・キャッシ ュ(Untracedable Electronic Cash)、Proc.CRYPTO'88、Springcr-Verlag(199 0)、319-327ページ)。これは、同じ電子通貨が2回、中央の銀行に送られてき た場合には、通貨の二重使用を検出して二重使用を行った人の特定が十分に行え るということを前提条件として成立している。他の解決方法の提案のうちのいく つかにもこの前提が用いられていて、銀行は各取り引きを複雑にする必要がない という利点を有す。しかしながら実際には、この前提条件には重大な欠点がある 。それは不正な取り引きは発生後しばらくたってから検出されるということであ り、不正実行者が法によって処罰されないという確信があれば(アクセスできな い状態であったり、第三者のIDや電子通貨を使っている場合など)、不正実行 者は意のままに電子通貨の二重使用をすることができる。 概して、この発明には2つの簡単な基本要素である、一方向関数と署名機構を用 いている。どちらもよく知られた技術であって、詳細については、一般に入手で きる暗号に関する本で知ることができる。例えば、ブルース・シュネイヤー(Br uce Schneier)著、アプライド・クリプトグラフィー(Applied Cryptography) (1994年 ジョン・ウィリー・アンド・サンズ社(John Wilcy & Sons,Inc .)刊にある。このシステムは、電子通貨を使う人の匿名性を保護することはも ちろん電子通貨の正当性を保証するものであるばかりでなく、偽造することはで きず、また1回しか使用できない。 本発明の一形態である電子通貨プロトコルは、一方向関数f1(x)を用い て変換前の元の値であるプレイメージx1から変換後の値であるイメージf1(x1 )を生成する手順、イメージf1(x1)を目隠ししない形式で第二の当事者に 送信する手順、第二の当事者からディジタル署名を含む文書を受け取る手順とか ら成る。前記受け取った署名を含む文書は、第二の当事者が、第一のプレイメー ジx1を決めた者に対してあらかじめ決められた金額を信用貸しするという確約 を意味する。 本発明の最良の形態は、次に示すような形態を含む。本発明の電子通貨プロト コルはまた、第三の当事者から購入した商品や受けたサービスに対する支払いと して、プレイメージx1を第三の当事者へ送る場合も含んでいる。またさらに、 第二のプレイメージx2を選択し、第二の一方向関数f2(x)により第二のプレ イメージx2を第二のイメージf2(x2)に変換し、第一のプレイメージx1と目 隠ししない形式で第二のイメージf2(X2)を第二の当事者に送信し、第二の当 事者からディジタル署名を含む文書を受信するという形態もある。前記文書は、 第二の当事者が、第一のプレイメージx2を決めた者に対してあらかじめ決めら れた金額を信用貸しするという確約を意味する。どちらの場合も、f1(x)と f2(x)は同じ関数である。後者の場合、第二の当事者に対して第一のプレイ メージx1と目隠ししない形式で第二のイメージf2(X2)を送信しているのは 、匿名性を保持するためであり、第二の当事者は銀行である。 また、本発明の最良の形態であるプロトコルには、第三の当事者の署名鍵と第 一のプレイメージx1を結合して情報をひとつのブロックに構成する手順、前記 情報ブロックを第二の当事者の暗号鍵を使って暗号化して、暗号化された情報ブ ロックとする手順、前記暗号化された情報ブロックを第三の当事者に送信する手 順とから成るものかある。 その他の形態である本発明の電子通貨プロトコルは次の手順で行われる。まず 第一の当事者から第一のプレイメージx1を受け取る手順であり、このプレイメ ージx1は第一の一方向関数f1(x)によって処理され第一のイメージf1(x1 )となる。前記第一のプレイメージx1は、第二の当事者が前記第一のプレイメ ージx1を第二の当事者に申告した第一の当事者に対して、予定額の信用貸しを 行うという、第二の当事者による確約と連結している。さらに、第二のプレイメ ージx2を選択する手順、第二の一方向関数f2(x)により第二のプレイメージ x2から第二のイメージf2(x2)を生成する手順、第一のプレイメージx1と目 隠しされない形式の第二のイメージf2(x2)を第二の当事者に送信する手順、 第二の当事者からディジタル署名を含むノートを受信する手順とから成る。この ノートは、第二のプレイメージx2を第二の当事者に送った第一の当事者に対し 、予定の額の信用貸しを行うという第二の当事者の約束を表わしている。 さらなる他の形態では、本発明の電子通貨プロトコルは次の手順で行われる。 まず、第一の当事者から暗号化された情報のブロックを受け取る手順であり、こ の情報が暗号化されたブロックは、第二の当事者の公開署名鍵と第一のプレイメ ージx1とを連結して情報のブロックが構成され、さらに前記情報のブロックは 第三者の暗号鍵を使って暗号化されたものである。 第6図は、匿名あるいは匿名でないドロップ・ペイメントまたは為替プロトコル を示す図である。第7図は、暗号化した為替プロトコルを示す図である。 発明を実施するための最良の形態 匿名で通信する能力は、いろいろな意味で、匿名の金銭取り引きが行われる場 合には優先されなければならない事項である。なぜなら、ある団体の通信につい ての情報は、その団体の商取り引きに関する情報を明らかにしてしまうからであ る。実際には、通信の匿名性が基礎としているのは、電話会社が自社のシステム の秘密性を保護しているという信頼にすぎない。各団体は正体のわからない匿名 での返信者を信頼するか、あるいは文献から公に入手できる他の技術のひとつを 装備して信頼するかの選択ができる。 団体間の通信は第三者に対して匿名性を持つばかりでなく、その団体間でも互 いに匿名性を持って通信を行うことを想定する。(代表的な実施例において、後 者の形態は自己認識を除いて前者の自然な結果である。)このような条件におけ る、簡単で幾分匿名性を有す電子通貨システムのプロトコルを第1図に示す。 以下で説明するさまざまなプロトコル(第1図から第7図を参照のこと)では 、3団体を顧客10と売り主20と銀行30という名称で定義する。顧客10は 、もちろん一般的には支払人の代表であり、売り主20は一般的には受取人の代 表である。当然ではあるが、この設定は説明を明快にする目的で決めたもので、 この発明の範囲を限定するものではない。従って当然ながら、この三者を集団A 、集団B、集団Cとして引用しても同じ効力を持つ。 図には、いくつかの異なった団体がブロックによって示されており、ある団体 から他の団体への情報の伝達は該当するブロックをつなぐ線によって示している 。各線は、ある団体から他の集団へ一定の情報が伝わることを示しており、線の 端の矢印が通信の方向を示している。伝達される情報は、内容をまとめたシンボ ルとして、線の下に示してある。 各ブロックにはラベルか付けられ、次に示すような特定の物として記述されて いるか、前記特定の物による処理は、コンピュータ処理や通信を実行するコンピ ュータ機器によって実行されるものである。コンピュータ機器は、多岐にわたる 種類の電子機器を含んでいる。例えば、パーソナル・コンピュータ、PCカード (PCMCIA対応カード)、PDI、スマートカード、パームトップコンピュ ータ、強力なワークステイション等でありこれらはその一部に過ぎない。次に説 明するように、プロトコルの銀行側の処理は、現在ATMによるトランザクショ ンを処理しているサーバと同様に、電子商取引を処理するようにプログラムされ たサーバによって実行される。前記サーバは、データの到着する複数の電話線を 有し、関連データを保存するためのデータ記憶容量を持っていることが望ましい 。 コンピュータ機器が内部あるいは外部に、プロトコルを実行するするために必 要なプログラムやデータのために必要なメモリを有していることは当然のことで ある。さらに、前記コンピュータ機器は、例えばモデムのような、他のコンピュ ータ機器と通信を行うための手段も有す。さらに付け加えれば、情報を伝送する 通信媒体は非常に多くの可能性を持っている。媒体の例としては、電話線、ケー ブル、インターネット、衛星通信、無線通信などが挙げられる。言い換えれば、 本発明は、使われている機器の種類や採用している通信方法によって限定される ものではない。可能性や組み合わせは、人の創作力によって限定されるものであ る。 これから説明するプロトコルにおいては、銀行30が公に使用できる一方向関 数f(x)を、選択し、制定する。このような関数は、誰もが商取引においてア クセスし使うことができるように、誰でもが公に入手できるものでなくてはなら ない。一般に、一方向関数は、X1を使ってf(x1)を算出することはできるが 、f(x1)を与えられてもx1を算出できない関数f(x)を意味する。以下の 説明では、x1はf(x1)のプレイメージと、f(x1)はx1のイメージとする 。 実際には、完全な一方向関数は存在しない。現在一方向関数と考えられている すべての関数は、コンピュータの能力や手法によってf(x1)からx1を決定す ることか十分にできる。それゆえ、一方向関数という語には、f(x1)からx1 を算出することが、不可能である必要はないが非常に難しい関数であるという意 味も含まれる。 一方向関数は、標準のハッシュ関数(例えば、MD5、SHA等)のうちのい ずれかでよい。さらにつけ加えれば、いくつかの一方向関数を使うことも、これ を結合することも可能である。この技術分野において、多くの一方向関数が知ら れている。その中の幾つかは、コンピュータに移植することが簡単で、スマート カードに装備することもできる。 以上の基礎知識を前提として、本発明の実施の形態となる種々のプロトコルに ついて説明する。まず、顧客が銀行から「キャッシュ」を手に入れる処理に用い られる電子通貨の引き出しプロトコルから始める。 引き出しプロトコル 電子通貨の引き出し処理は、第1図に示した手法に従って行われる。顧客10 は、任意の数x1を選び、一方向関数f(x)を使って変換後の値であるx1のイ メージを生成する。x1の値は後処理装置が任意で行っているような乱数発生手 段から得られた無作為の数列である。この数列は、例えば128ビット長のデー タである。顧客10は、支払い処理が発生してから完了するまでx1の値を秘密 にしておく。 顧客10は、金額とf(x1)をまとめて銀行30に送って引き出しの要求を 行い、銀行30から金を引き出す(匿名ではなく)。銀行30は、明細書にディ ジタル署名を行って顧客の趣意に従う。このようにf(x1)を正規の電子通貨 として認定し、要求の額を、顧客10が銀行30に持っている口座の借方に記入 する。言い換えれば、銀行30は、「最初にf(x1)のプレイメージを決めた 者に対して、総額zの信用貸しを行う」ことに関して銀行30は署名を行って証 明する、という効力を表わす明細書あるいは覚え書きを発行する。 署名や情報の認証を行う技術(例えば、秘密鍵と公開鍵のペアを使う方法)や 、ディジタル署名の手法は、よく知られている技術である。さらに詳しくは、こ の分野において広く認められた参考文献を参照すればよい。例えば、ブルース・ シュネイヤー(Bruce Schneier)著、アプライド・クリプトグラフィー(Applied C ryptography)、1994年 ジョンウイリー・アンド・サンズ社(JohnWilcy&So ns,Inc.) などである。 一般的に署名機構とは、文字にタグを付けるやり方のことである。典型的な例 としては、公開鍵と秘密鍵のペアを使うものがある。公開鍵及び秘密鍵は、一方 向関数を使って実行される。より現実的なアプローチ方法としては、さらに効果 を上げるためにトラップ・ドア機能を使う方法がある(例えば、スキネイナー(S chneiner)著、RSA、DSS、エルガマ・アルゴリズム(RSA,DSS,Elgamal al gorithms)参照のこと)。秘密鍵は、文字か文字列のいずれかを暗号化するのに 使われ、文字に添付するディジタル署名として使われる。ディジタル署名は、自 身の秘密鍵を持っている者の署名であることを示している。なぜなら、他者が前 記文字列からこのような署名を作り出すことはできないからである。第二の当事 者が公開鍵を使ってタグの暗号を解読すれば、署名者自身の秘密鍵によって署名 がなされたことがわかる。この手法を保証するために、署名をした人の公開鍵を 誰もが手に入れまた預けられてこと、かつ秘密鍵は危険にさらされることはない と信頼できることが、前提となっていることは明らかである。 公開鍵を公表すること、及び銀行30が第一のf(x1)のプレイメージを決 めた者に対して明記された額を支払うという覚え書きにディジタル署名を添付し たことにより、銀行30はその責任を明らかにし、さらに偽造者から自身を守る 。 銀行が発行した、証明書となる覚え書きをここではC(f(x1))と定義し 、ノートと呼ぶ。このノートは顧客10に返送される。さらに付け加えれば、ノ ートは公然と入手することができるが、x1を知らない人にとっては何の価値も ない。 交換プロトコル 関係者(例えば、顧客10や売り主20)は、いつでも、銀行30において匿 名で電子通貨の「交換」ができる。実際には、相手側当事者から電子通貨を受け 取ったら、処理を迅速に行うことが特に重要である。これは、電子通貨の正当な 受取人の前に誰か他の者がx1を銀行30に送信してしまうリスクを最小にする ためである。不正実行者は、複数の者に対してx1を送信し、その電子通貨を複 数回、送信しようとするかもしれない。そのようなことが起きたら、銀行30に 届いた最初の受取人がその価値を受け取り、その他の電子通貨の受取人達は該当 しない電子通貨となり交換することができない。売り主20にとっては、交換の タイミングはさほと重要でない。なぜなら、大体において売り主20は、電子通 貨の受け取りが有効に完了するまでは、納入予定の品物やサービスを提供しない からである。 第2図に示したように、顧客10が電子通貨を匿名で交換するこ とを望んだと仮定すると、顧客10は銀行30にx1と任意に選ばれたx2の変換 後のイメージであるf(x2)を送信する。言い換えれば、顧客10はx1によっ て前述したような引き出しプロトコルを行い、同時に引き出した総額を提供する 。銀行30は単にf(x2)を認証し、f(x1)は「すでに使われた」というこ との証明としてx1をデータベース40に保存するだけである。これがx1の二重 使用されるのを防止する交換の手法である。 f(x1)とC(f(x1))はすでに銀行30が所有しているので、銀行30 に対してx1とf(x2)といっしょにその情報を送ることは任意である。 プロトコルの銀行側処理がサーバーに実装されていれば、銀行は受信したx1 を自動的に保存する。さらに、銀行30がもうひとつのx1を受け取る毎に、最 初にそれがすでに使われたもの(すなわち受信されたもの)であるかをチェックす る。 誰が実際に電子通貨を使っているのかがはっきりわからない交換処理を、連続 して取り扱うことができるようになる。交換処理にはf(x2)を明らかにする ことのみが必要であり、x2の持ち主を明らかにする必要はないことに注目して ほしい。匿名を実現するための他の手法と違って、電子通貨を目隠しすること等 その他の処理を必要としない。実際には、f(x1)が目隠しされず、広く一般 に知られていることが望ましい。 通信の匿名性を確保するよう求める手法は何でも、処理の匿名性が確保されれ ば十分に目的を果たす(すなわち、匿名性を実現することは可能であるが必須で はない)。 この手法は、電子通貨を両替する方法として使うこともできる。f(x2)を 送信する代わりに、 信用取引が登録されたことを確認するために預金の受領書を売り主20に送る。 プロトコルの拡張 以上説明した電子通貨手法における交換及び支払プロトコルには、いくつかの 他の実施の形態の例がある。これら他の実施の形態は、求められている匿名性の レベルや関係に応じた有効な手段となるように作られている。例えば、第5図に 示したのは、顧客10が売り主20よりも銀行30にアクセスするほうが容易で ある場合、売り主20は最初に顧客10にf(x2)を送り、顧客10は売り主 20の代わりに交換プロトコルを行い、支払いの証明として署名された電子通貨 、例えばC(f(x2))を返送する。前述したように、交換プロトコルは匿名 で行われる。 あるいは、顧客10及び売り主20の双方が、お互いよりも銀行とよい関係を もっている場合、図6に示したような「ドロップ」ペイメントプロトコルを使う とよい。このプロトコルに従えば、顧客10は売り主20のための支払いを銀行 に降ろし、売り主20はその後すぐに銀行から支払いを回収する。 「ドロップ」支払いプロトコルの手順を以下に示す。最初に、顧客10がある 特定の額の貨幣の代わりとしてのx1を銀行30に送る。この時、売り主20の 公開署名鍵p(PSKP)と取り引きに関する情報を付加して送る。いろいろな 情報があるが、例えば、顧客10が購入した品物を明らかにしたり取り引きを確 認することを望んだ場合、さらに/あるいは売り主が支払いに関する顧客の意向 を認めたといことを指示する場合などがあり、その結果、電子通貨が本質的な意 味において、「電子為替」に変る。顧客10は任意でf(x1)とノートC(f (x1))を送ってもよいが、前述したように、この情報はすでに銀行30が入 手しているので、送る必要はない。 顧客10が提供したその他の情報から集められた記録は、遠隔支払設定として 特定の用途に使えるかもしれない。取り引きの性格が特に暗黙であるという場合 でなければ、典型的には個人的な支払い方法になる。 もし、売り主20が匿名性を保持することを望まなければ、公開署名鍵は売り 主20のIDと明らかに関係しているものであってよいが、もし匿名性を望むの であれば、公開署名鍵はIDとはまったく関係ない特別な目的を有した公開鍵と しなければならない。後者の場合には、公開鍵は信頼できる知人に極秘に渡すか 、単純に匿名で公表する。 銀行30はx1に付随した第一の電子通貨f(x1)として表わされた総額を渡 すことに同意し、以前に配布された公開署名鍵pと対応する秘密の署名鍵を使っ て署名されている。このようにして、顧客10が購入しようとした品物の支払い を手に入れるために、売り主20は、第1図に関連して以前に記述したプロトコ ルを使って、銀行30から金を引き出す。このとき、売り主20は任意のx2を 選択し、f(x)を使ってイメージf(x2)を生成する。しかしながらこの例 では、売り主20はf(x2)を銀行30に送信する前に秘密署名鍵を使ってf (x2)に署名を行う。付け加えると、この場合、貨幣は売り主の口座から引き 出されるのでなく、顧客10によってこの処理の前に与えられた口座から転送す るだけである。 銀行30は売り主の公開署名鍵を使って、受信したf(x2)が売り主20( すなわち貨幣の転送を行った者)によって署名されことを確かめる。f(x2) の署名を確認すると、銀行30は売り主20に送信するノートCf(x2))を 発行する。 金を受け取ったという確認のノートC(f(x2))を売り主20が受け取っ た後、売り主20は顧客10に品物を送る。 もちろん理論上は、銀行30は支払先に金を与える代わりに金を自分のものに することによってだますことができる。しかしながら、支払人の匿名性を信頼し ている、あるいは少なくとも一般の人々が銀行30が不正しないことをモニター しているので、支払人が取り引きを暴露する可能性をあてにすることができる。 関係者間の通信が傍受されているという設定のもとで、交換プロトコルを安全 なものにする、とりわけ秘密のxの値をが立ち聞きする者を通り抜けて通過する いくつかの方法がある。最も自然な方法は、公開鍵による暗号法である。関係者 が銀行のものはもちろんのこと互いの公開暗号鍵を知っていれば、銀行30が送 信するものを除くすべてのメッセージが、受信側の公開暗号鍵を使って暗号化す るか、受信側の公開暗号鍵を使って暗号化された相称的な「セッションキー」を 使っているかぎり、前述した全てのプロトコルが立ち聞きするものを絶滅させる ように機能する。もちろん銀行のメッセージは、秘密でなくてよいよう考慮され ている。なぜならメッセージは、xiが誰か他の者によって秘密にされているf (xi)という形式の署名された貨幣だけで構成されているからである。暗号化 処理時にメッセージの認証コードやMACを使えば、メッセージが目的地に到着 するまで送り主以外の誰かによっていたずらされることはないことが保証される 。 公開暗号鍵の使用により、別の種類の「電子為替」が可能となる。この事例を 第7図に示し、暗号化された電子為替プロトコルとして一般にあてはめる。顧客 10は、ある正規の電子通貨としての秘密のxiの値を、売り主20の公開鍵p とその他の必要なIDや取引情報といっしよに暗号化する。前述の「ドロップ」 プロトコルの場合と同様である。顧客10はこの情報を、銀行の公開暗号鍵を使 うか、あるいは銀行の公開暗号鍵を使って暗号化されたセッションキーを使って 暗号化する。その後、顧客10は暗号化された情報を直接売り主20に送信する 。 これを「現金」にするために、売り主20は任意の値x2を選び、そのイメー ジf(x2)を生成し、顧客10から受信したメッセージEにf(x2)を添付す る。前と同様、f(x2)は銀行によって署名されると、それは売り主20への 金の移転を意味する。売り主20は完了メッセージ(あるいは少なくともf(x2 ))に、公開署名pに対応する秘密の署名鍵を使って署名を行い、Eとf(x2 )と署名を銀行30に送る。任意で売り主20はさらに、前述したような方法、 すなわち銀行の暗号鍵あるいは付随的な相対鍵を使って、このメッセージを暗号 化してもよい。 銀行30は、自身の秘密鍵を使って売り主20からのメッセージを解読した後 、x1がすでに保存されていないかデータベースを調べ、もし見つからなかった 場合には、銀行30はx1を保存する。さらに銀行30は、f(x1)に関連した 値に等しい額を売り主20に振替えるという内容か記載されたノートC(f(x2) )を生成する。前記ノートは売り主20に送られ、領収書発行と確認が済んだ後 、 購入された品物は顧客10に送られる。 実質的に、暗号化された最後のプロトコルは前述のものとほぼ同じである。暗 号化が加えられたのは、支払人が受取人経由で「為替」を渡す処理においてであ り、その間支払人の与えた秘密や付加情報は、中身がいたずらされていないこと は保証される。 ノートC(f(x1))に処理が完了した日付を入れておくことは有益なこと である。この場合、銀行30のデータベースに保存されているx1はさほど大き くならない。これは、x1を銀行のデータベースに永遠に保存しておく必要がな いことによる。電子通貨の価値が失効しないように、スマートカード(あるいは 顧客が取り引きをするために操作する装備すべて)は、自動的に古くなった電子 通貨を新たな有効期限を持った新しい電子通貨に更新する。 満了日まで、電子通貨の払い戻しはできる。スマートカードの期限が過ぎて、 全てのx1を失っていしまった場合、期限満了後3ケ月以内に申し立てておらず 、ユーザすなわち顧客10が電子通貨の価値に相当する額の信用貸しの要求を、 銀行30にf(xi)と共にすることができる。しかしながら、一連のこの処理 では、銀行との間で最初の通信であり、この場合には貨幣の引き出しを行ってい るときに、顧客10は、自分自身であることを証明する。 プロトコルの顧客側は、x1だけを保存すればよいので、スマートカードを使 って簡単に装備することができる。また、一般的には、顧客は多くの金を必要と しない。スマートカードを盗んだ者にx1の値を盗まれないようにするため、P INが極秘にスマートカードに使われていて、x1をアクセスする前にユーザが 入力しなければならない。 以上記載した相互作用はすべて自動的に行われているのは当然のことであるこ とに、注目してほしい。これらの処理は、適切なプログラムがされたコンピュー タやプロセッサによって自動的に実行される。 コンピュータやプロセッサは、 取り引きを行う関係者によって実装され、その管理下にある。 その他の実施例は、以下に記載する。例として、秘密の値x1を使って電子通 貨と認証情報を結合するためのその他の手法がある。これもまでの記載では、秘 密の値x1は電子通貨を発行する人によって任意に生成されると仮定していた。 しかしながら秘密の値は、一方向関数h(x)を用いて何らかの認証データのイ メージを生成してもよい。この一方向関数は、あるいは通常の電子通貨の組み立 てに使われる関数f(x)と同じであってもよい。認証情報は、用途、支払日、 支払人の名前、予定の受取人といったもの、まとめていえば、支払人が銀行に保 管しておきたいと思っているすべての情報、を含む。これらの情報は、h(x) を通して、秘密の値となるx1を生成する。 この場合銀行は、前述の「ドロップ」あるいは「電子為替」プロトコルで行わ れた電子支払いで受信した取り引き情報を保存する必要はなくなる。本質的には 、求められていることの全ては、払い込みが要求に応じて受取人を匿名にしない でラベル付けが行われることである。銀行が積極的に受取人の識別を行い、受取 人のIDを含む取り引きの標準記録を保管していれば、支払人は後できちんと支 払ったことを、f(x)に用いたx1のプレイメージを公に明らかにすることに よって立証することができる。なぜなら、前記情報を示すf(x)は、用途や支 払日、支払人の名前、予定の受取人といった情報を含んでいるからである。x1 の値として普通に結合し、さらに他の電子通貨と交換して運ばれた暗黙の情報を 、支払人は電子通貨と一緒に手に入れることができる。しかしながらこのような 状況では、払い込み情報は暗黙のうちにx1に含まれているため、銀行に送る必 要なない。それゆえ、支払人が安全のため銀行を通過させなければならない情報 は、受取人の認証に使われる公開署名鍵だけである。この情報は、暗黙のうちに 支払人の要求で名前を明かして通信が行われる。 署名を基本とした通信を要求しているが、実際には、情報がxi(あるいはf (xi))とぴったりと一致していなければ、銀行は名前を明かして電子通貨を 引き受けることはできないという趣旨により、受取人の身元の確認は排除される 。 請求の範囲 1.電子通貨システムの実施手法であって、 一方向関数f1(x)を用いて演算前の元の値であるプレイメージx1から演算後 であるイメージf1(x1)を生成する手順、 イメージf1(x1)を見える形式で第二の当事者に送信する手順、 前記第二の当事者からディジタル署名を含む文書を受信する手順、 から成り、 前記文書が前記第二の当事者があらかじめ決められた金額を第二の当事者に対応 するプレイメージx1の申告者に信用貸しするという確約を表すことを特徴とす る電子通貨システムの実施手法。 2.第三の当事者からの商品の購入及び第三の当事者からのサービスに対する支 払いとして前記プレイメージを第三の当事者へ送信する手段をさらに有すること を特徴とする請求の範囲1に記載の電子通貨システムの実施手法。 3.請求の範囲1に記載の電子通貨システムの実施方法に加えて、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を用いて第二のプレイメージx2からイメージf2( x2)を生成する手順、 第一のプレイメージx1と目隠しされない形式のイメージf2(x2)を第二の当 事者に送信する手順、 前記第二の当事者からディジタル署名を含む第二の文書を受信する手順、 から成り、 前記第二の文書が前記第二の当事者があらかじめ決められた金額を前記プレイメ ージx2を第二の当事者に申告した者の貸し方に記入する確約を意味することを 特徴とする電子通貨システムの実施手法。 4.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一で あることを特徴とする請求の範囲3に記載の電子通貨システムの実施手法。 5.第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2) とを前記第二の当事者に送信する手段が匿名で行われることを特徴とする請求の 範囲4に記載の電子通貨システムの実施手法。 6.前記第二の当事者が銀行であることを特徴とする請求の範囲5に記載の電子 通貨システムの実施手法。 7.電子通貨システムの実施手法であってさらに、 第三の当事者からの購入品あるいはサービスに対する支払いとして第二のプレイ メージx2が第三の当事者に送られる手順を含むことを特徴とする請求の範囲3 に記載の電子通貨システムの実施手法。 8.電子通貨システムの実施方法であってさらに、 第三の当事者の署名鍵と第一のプレイメージx1を結合してひとつの情報のブロ ックを作成する手順、 前記情報のブロックを第二の当事者の暗号鍵を使って暗号化しで暗号化された情 報のブロックを生成する手順、 前記暗号化された情報のブロックを第三の当事者に送る手順 とからなることを特徴とする請求の範囲1に記載の電子通貨システムの実施手法 。 9.電子通貨システムの実施手法であって、 第一の当事者から 第一の一方向関数f1(x)を用いて第一のイメージf1(x1)を生成する元の 値(であって、 かつ第二の当事者があらかじめ決められた金額を前記プレイメージx1を第二の 当事者に申告した当事者に信用貸しする確約と結合される第一のプレイメージを 受け取る手順、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を使って第二のプレイメージx2から第二のイメージ f2(x2)を生成する手順、 第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2)を第 二の当事者に送る手順、 第二の当事者から ディジタル署名を含む文書であって、 前記文書は第二の当事者が前記あらかじめ決められた金額を前記プレイメージx 2を第二の当事者に申告した第一の当事者に信用貸しする確約を意味する文書を 受け取る手順とから成ることを特徴とする電子通貨システムの実施手法。 10.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲9に記載の電子通貨システムの実施手法。 11.第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2 )とを前記第二の当事者に送信する手段が匿名で行われることを特徴とする請求 の範囲9に記載の電子通貨システムの実施手法。 12.電子通貨システムの実施手法であって、 第一の当事者から 第二の当事者の公開署名鍵と第一のプレイメージx1を結合し一つの情報のブロ ックとし、前記情報のブロックを第三の当事者の暗号鍵を用いて暗号化すること によって生成された暗号化された情報のブロックを受け取る手順、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を使って第二のプレイメージx2から第二のイメージ f2(x2)を生成する手順、 前記暗号化された情報のブロックと前記イメージf(x2)を一緒にして目隠し されない形式でメッセージを形成する手順、 前記メッセージを第三の当事者へ送る手順、 第三の当事者から ディジタル署名を含む文書であって、 前記文書は第三の当事者があらかじめ決められた金額をプレイメージx2を第三 の当事者に申告した第一の当事者に信用貸しする確約を意味する文書を受け取る 手順とから成ることを特徴とする電子通貨システムの実施手法。 13.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲12に記載の電子通貨システムの実施手法。 14.前記メッセージが第三の当事者に送られる前に 第三の当事者が所有している公開署名鍵と対応する秘密の署名鍵を使って署名を 行う手順により署名が行われる手順を含むことを特徴とする請求の範囲12に記 載の電子通貨システムの実施手法。 15.第二の当事者が第一の当事者から暗号化された情報のブロックを受け取る ことを特徴とする請求の範囲12に記載の電子通貨システムの実施手法。 16.電子通貨システムの実施手法であって、 第一のエンティティから 第一の一方向関数f1(x)を用いてプレイメージx1から生成された目隠しされ ない形式のイメージf1(x1)を受け取る手順、 あらかじめ決められた金額をプレイメージx1の第一の申告者に信用貸しすると いう確約を含むメッセージを生成する手順、 前記メッセージにディジタル署名を行う手順、 第一の当事者に前記メッセージと前記ディジタル署名を送る手順とから成ること を特徴とする電子通貨システムの実施手法。 17.受信する当事者が第一のエンティティの口座を維持し 前記プロトコルがあらかじめ決められた金額を第一の当事者の口座の借方に記入 する手順を含むことを特徴とする請求の範囲16に記載の電子通貨システムの実 施手法。 18.前記電子通貨システムの実施手法がさらに続いて、 第三の当事者からプレイメージx1を受信する手順、 前記プレイメージx1をデータベースで調べる手順、 プレイメージx1を前記データベースで検出しなかった場合に第三の当事者に予 め決められた金額の信用貸しを行う手順、 プレイメージx1を前記データベースに加える手順とからなることを特徴とする 請求の範囲16に記載の電子通貨システムの実施手法。 19.前記電子通貨システムの実施手法がさらに続いて、 プレイメージx1と 一方向関数f2(x)を用いてプレイメージx2から生成された目隠しされない形 式のイメージf2(x2)を 第三の当事者から受信する手順と、 前記プレイメージx1をデータベースで調べる手順と、 プレイメージx1を前記データベースで検出しなかった場合にディジタル署名を 含む署名された文書であって前記プレイメージx2の第一の申告者に前記あらか じめ 決められた金額を信用貸しする確約を示す文書を生成する手順、 プレイメージx1を前記データベースに加える手順とからなることを特徴とする 請求の範囲16に記載の電子通貨システムの実施手法。 20.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲19に記載の電子通貨システムの実施手法。 21.第二の当事者から 第三の当事者の暗号鍵と第一のプレイメージx1とをひとつの情報のブロックに 結合して生成され、第一の暗号鍵を用いて前記情報のブロックを暗号化しで暗号 化された第一のブロックを形成し、一方向関数f2(x)を用いでプレイメージ x2から生成された目隠しされない形式のイメージf2(x2)と前記暗号化され た第一の情報のブロックを結合したメッセージを受信する手順、 前記暗号化された第一の情報のブロックを解読する手順、 ディジタル署名を含む文書であって、前記プレイメージx2の第一の申告者に予 め決められた金額の信用貸しを行うという確約を表した文書を作成する手順、 前記文書を第二の当事者に送る手順とからなることを特徴とする請求の範囲16 に記載の電子通貨システムの実施手法。 22.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲21に記載の電子通貨システムの実施手法。 23.前記電子通貨システムの実施手法がさらに、 プレイメージx1をデータベースで調べる手順、 プレイメージx1を前記データベースで検出しなかった場合にのみ署名された文 書を作成する手順、 プレイメージx1を前記データベースに加える手順とからなることを特徴とする 請求の範囲21に記載の電子通貨システムの実施手法。 24.電子通貨システムの実施手法であって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を用いて第二のプレイメージx2から第二のイメージ f2(x2)を生成する手順、 第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2)を第 二の当事者に送る手順、 第二の当事者から ディジタル署名を含む文書であって 第二の当事者が予め決められた金額であって前記予め決められた貨幣価値を超え ない金額を 第二の当事者に前記第二のプレイメージx2を最初に申告した者に信用貸しする という確約を表した文書を受け取る手順からなることを特徴とする電子通貨シス テムの実施手法。 25.前記予め決められた金額が前記予め決められた貨幣価値よりも少ないこと を特徴とする請求の範囲24に記載の電子通貨システムの実施手法。 26.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲24に記載の電子通貨システムの実施手法。 27.電子通貨システムの実施手法であって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 正の整数1からnの値を持つ多数のプレイメージx1を選択する手順、 第二の一方向関数f2(x)を用いて第二のプレイメージx1から多数のイメージ f2(x1)を生成する手順、 第一のプレイメージx1と目隠ししない形式ですべてのイメージf2(x1)を第 二の当事者に送る手順、 第二の当事者から 各文書がディジタル署名を含み前記文書の数はイメージf2(x1)と同じである 多数の文書であって予め決められた額が多数記載されており、 前記多数の文書のそれぞれには第二の当事者が プレイメージx1の第一の申告者に対して 異なった額の前記予め決められた額が多数記載されているもののうち前記プレイ メージx1と対応する額を信用貸しするという確約を表した文書を受け取る手順 とから成り、 前記予め決められた額の総計が前記予め決められた貨幣価値と等しいことを特徴 とする電子通貨システムの実施手法。 28.電子通貨システムの実施手法であって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 第一のプレイメージx1と第二の当事者の署名鍵を結合して一つの情報ブロック を作成する手順、 前記情報ブロックを第三の当事者の暗号鍵を用いて暗号化さ机た情報のブロック として生成する手順、 第三の当事者に暗号化された情報のブロックを送る手順とから成ることを特徴と する電子通貨システムの実施方法。 29.前記電子通貨システムの実施手法がさらに、 第二の当事者のその他の情報と署名鍵と第一のプレイメージx1をひとつの情報 のブロックに結合する手順を含むことを特徴とする請求の範囲28に記載の電子 通貨システムの実施手法。 30.電子通貨システムの実施手法であって、 一方向関数f2(x2)を用いてプレイメージx2から生成された 目隠しされない形式のイメージf2(x2)を 第二の当事者に送る手順と、 第二の当事者から ディジタル署名を含む目隠しされない形式の文書であって 前記プレイメージx1を最初に申告した者に対し予め決められた金額の信用貸し を行うという確約を表した文書を受け取る手順、 第二の当事者から前記目隠しされない形式のノートを受け取った応答として品物 やサービスを第三の当事者に提供することを許可する手順とから成ることを 特徴とする電子通貨システムの実施手法。 【手続補正書】 【提出日】1999年3月10日(1999.3.10) 【補正内容】 請求の範囲 1.電子通貨システムの実施方法であって、 一方向関数f1(x)を用いて演算前の元の値であるプレイメージx1から演算 後であるイメージf1(x1)を生成する手順、 イメージf1(x1)を見える形式で第二の当事者に送信する手順、 前記第二の当事者からディジタル署名を含む文書を受信する手順、 から成り、第二の当事者に対するプレイメージx1の最初の申告者にあらかじめ決められた 金額を前記第二の当事者が信用貸しするという確約を前記文書が 表すことを特徴 とする電子通貨システムの実施方法。 2.電子通貨システムの実施方法であって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 第一のプレイメージx1と第二の当事者の署名鍵を結合して一つの情報ブロック を作成する手順、 前記情報ブロックを第三の当事者の暗号鍵を用いて暗号化された情報のブロック として生成する手順、第三の当事者の暗号鍵を用いて前記情報ブロックを暗号化し、暗号化された情報 ブロックを 生成する手順、 第三の当事者に暗号化された情報ブロックを送る手順とから成ることを特徴とす る電子通貨システムの実施方法。 【手続補正書】 【提出日】1999年4月6日(1999.4.6) 【補正内容】 明細書 追跡不可能な電子通貨 背景技術 この発明は、電子通貨システム一般に関する。 電子通貨システムの直観的にわかる最終的な形態は、有形の現金の最良の特徴 (プライバシーが守られる、匿名性、偽造しにくい)と、電子取り引きの持つ最 良の特徴(速さ、簡便性、輸送や保菅に対する潜在的な安全性)を合わせ持った 形態である。匿名性を有す電子通貨システムを実現するための基本的な問題は、 次のように単純化することができる。2つの連続した取り引きにおいで、この電 子通貨の所有者が識別できなかったならば、この所有者が第一の取り引きがなか ったように振る舞い、同じ電子コインを再び使用することをどうやって防ぐかと いう問題である。この問題に対する第一の解決方法は、チャーム、フィアットと ノアーによって提案されている(D.チャーム(D.Chaum)、A.フィアット(A.Fi at)、M.ノアー(M.Noar)著、アントレーサブル・エレクトロニック・キャッシ ュ(Untracedable Electtronic Cash)、Pvoc.CRYPTO'88、Springer-Verlag(19 90)、319-327ページ)。これは、同じ電子通貨が2回、中央の銀行に送られてき た場合には、通貨の二重使用を検出して二重使用を行った人の特定が十分に行え るということを前提条件として成立している。他の解決方法の提案のうちのいく つかにもこの前提が用いられていて、銀行は各取り引きを複雑にする必要がない という利点を有す。しかしながら実際には、この前提条件には重大な欠点がある 。それは不正な取り引きは発生後しばらくたってから検出されるということであ り、不正実行者が法によって処罰されないという確信があれば(アクセスできな い状態であったり、第三者のIDや電子通貨を使っている場合など)、不正実行 者は意のままに電子通貨の二重使用をすることができる。 しかしながら、このような電子通貨の不正使用を防止するには、二重使用の検 出や、二重使用に対して警告を発することができるように、取り引きが発生する 毎に何らかの確認をいずれかの方法で行う必要がある。それでは、どのようにし て匿名性を保護するのか。ひとつのアプローチとして、中身にいたずらできない ように作られたハードウエアを基礎として、電子通貨を使う人が正直に(すなわ ち、電子通貨の二重使用をしない)しなければならないよう強いる方法がある( 例えば、S.イーブン(S.Even)、O.ゴールドリッチ(O.Goldreich)、Y.ヤコ ブ(Y.Yacobi)著、エレクトロニックウォーレット(Electronic Wallet,Proc.CR YPTO'83、Plenum Press(1984)、383−386ページを参照のこと)。しかしながら このような前提に基づいた方法は、非常にもろい。もし誰かがハードウエアの不 正操作に成功したらならば、その不正使用者が通貨の二重使用ができるばかりで なく、ハードウエアに隠された情報を手に入れる(たとえば、購入したり、偶然 によって)ことができれば、誰でもがどこからでも勝手に高額な金額を使うこと ができるようになる。従来の不正使用防止技術は、前述のようなリスクを有すも のを基礎としたものであるため、信頼できる技術ではない。 その他のアプローチとして、暗号による方法がある。例えば、ある強力な暗号 法のもとでは、「目隠しされた」通貨と、後で正規通貨であると認証できるが、 どのように特殊なプロトコルを実行させても接続できない情報を造るプロトコル を構築することが可能となる。(例として、D.チャーム(D.Chaum)著、プライ バシー・プロテクト・ペイメント(Privacy Protected Payments--Unconditina l Payer and/or Payee Untraceability,SMART CARD 2000: The Future of IC Ca rds00Proc.ifip wg 11.6 Int'l Conf.,North-Holland(1989),ページ69-93)、及 びD.チャーム(D.Caum)著、オンライン・キャシュ・チェック(Online Cash C hecks)、Proc.EUROCRYPT'89、Springer-Verlag(1989)、288-293ページを参照の こと) 発明の開示 この発明は、簡単で実用的なオンライン電子通貨システムであって、匿名性を 有し追跡不可能な情報伝達が可能なネットワークを基礎とした電子通貨システム を実現するものである。概して、この発明には2つの簡単な基本要素である、一 方向関数と署名機構を用いている。どちらもよく知られた技術であって、詳細に ついては、一般に入手できる暗号に関する本で知ることができる。例えば、ブル ース・シュネイヤー(Bruce Schneier)著、アプライド・クリプトグラフィー( Applied Cryptography)(1994年 ジョン・ウィリー・アンド・サンズ 社 (John Wiley & Sons,Inc.)刊にある。このシステムは、電子通貨を使う人の 匿名性を保護することはもちろん電子通貨の正当性を保証するものであるばかり でなく、偽造することはできず、また1回しか使用できない。 本発明の一形態である電子通貨プロトコルは、一方向関数f1(x)を用い て変換前の元の値であるプレイメージx1から変換後の値であるイメージf1(x1 )を生成する手順、イメージf1(x1)を目隠ししない形式で第二の当事者に 送信する手順、第二の当事者からディジタル署名を含む文書を受け取る手順とか ら成る。前記受け取った署名を含む文書は、第二の当事者が、第一のプレイメー ジx1を決めた者に対してあらかじめ決められた金額を信用貸しするという確約 を意味する。 本発明の最良の形態は、次に示すような形態を含む。本発明の電子通貨プロト コルはまた、第三の当事者から購入した商品や受けたサービスに対する支払いと して、プレイメージx1を第三の当事者へ送る場合も含んでいる。またさらに、 第二のプレイメージx2を選択し、第二の一方向関数f2(x)により第二のプレ イメージx2を第二のイメージf2(x2)に変換し、第一のプレイメージx1と目 隠ししない形式で第二のイメージf2(x2)を第二の当事者に送信し、第二の当 事者からディジタル署名を含む文書を受信するという形態もある。前記文書は、 第二の当事者が、第一のプレイメージx2を決めた者に対してあらかじめ決めら れた金額を信用貸しするという確約を意味する。どちらの場合も、f1(x)と f2(x)は同じ関数である。後者の場合、第二の当事者に対して第一のプレイ メージx1と目隠ししない形式で第二のイメージf2(x2)を送信しているのは 、匿名性を保持するためであり、第二の当事者は銀行である。 また、本発明の最良の形態であるプロトコルには、第三の当事者の署名鍵と第 一のプレイメージx1を結合して情報をひとつのブロックに構成する手順、前記 情報ブロックを第二の当事者の暗号鍵を使って暗号化して、暗号化された情報ブ ロックとする手順、前記暗号化された情報ブロックを第三の当事者に送信する手 順とから成るものがある。 その他の形態である本発明の電子通貨プロトコルは次の手順で行われる。まず 第一の当事者から第一のプレイメージx1を受け取る手順であり、このプレイメ ージx1は第一の一方向関数f1(x)によって処理され第一のイメージf1(x1 )となる。前記第一のプレイメージx1は、第二の当事者が前記第一のプレイメ ージx1を第二の当事者に申告した第一の当事者に対して、予定額の信用貸しを 行うという、第二の当事者による確約と連結している。さらに、第二のプレイメ ージx2を選択する手順、第二の一方向関数f2(x)により第二のプレイメージ x2から第二のィメージf2(x2)を生成する手順、第一のプレイメージx1と目 隠しされない形式の第二のイメージf2(x2)を第二の当事者に送信する手順、 第二の当事者からディジタル署名を含むノートを受信する手順とから成る。この ノートは、第二のプレイメージx2を第二の当事者に送った第一の当事者に対し 、予定の額の信用貸しを行うという第二の当事者の約束を表わしている。 さらなる他の形態では、本発明の電子通貨プロトコルは次の手順で行われる。 まず、第一の当事者から暗号化された情報のブロックを受け取る手順であり、こ の情報が暗号化されたブロックは、第二の当事者の公開署名鍵と第一のプレイメ ージx1とを連結して情報のブロックが構成され、さらに前記情報のブロックは 第三者の暗号鍵を使って暗号化されたものである。続いて、第二のプレイメージ x2を選択ずる手順、第二の一方向関数f2(x)を用いてプレイメージx2から イメージf2(x2)を生成する手順、前記暗号化した情報ブロックとイメージf2 (x2)を含むメッセージを目隠ししない形式で作り上げる手順、前記メッセー ジを第三の当事者に送る手順、第三の当事者からディジタル署名を含むノートを 受け取る手順から成る。このノートは、第二のプレイメージx2を第三の当事者 に送った第一の当事者に対し、予め決められた額の信用貸しを行うという第三の 当事者の確約を表わしている。 さらなる他の形態では、本発明の電子通貨プロトコルは次の手順で行われる。 第一のエンティティから一方向関数f1(x)をプレイメージx1に適用して生成 され、かつ目隠しされない表記形式のイメージf1(x1)を受信する手順、プレ イメージx1を送った第一の当事者に対し、予め決められた額の信用貸しを行う という確約を含むメッセージを作成する手順、前記メッセージにディジタル署名 で 署名する手順、前記メッセージをディジタル署名と一緒に前記第一の当事者に送 信する手順、とである。 本発明の電子通貨プロトコルの最良の実施の形態ではさらに続いて、第三の当 事者からプレイメージx1を受け取る手順、プレイメージx1をデータベースで調 べる手順、もしプレイメージx1がデータベースになかったら、あらかじめ決め られた金額を第三の当事者に信用貸し、プレイメージx1をデータベースに加え る手順が含まれている。あるいは本発明の電子通貨プロトコルがさらに続いて、 プレイメージx1と目隠しされない形式のイメージf2(x2)であって一方向関 数f2(x)をプレイメージx2に適用して生成されたイメージを第三者から受け 取る手順、プレイメージx1をデータベースで調べる手順、もしプレイメージx1 がデータベースになかったら、あらかじめ決められた金額をプレイメージx2を 送った第一の当事者に信用貸しするという確約を示し、ディジタル署名も添付さ れているノートを作成する手順、プレイメージx1をデータベースに加える手順 から成るプロトコルであってもよい。 また本発明の最良の実施の形態として、次に示すメッセージを第二の当事者か ら受け取ることを特徴とするものがある。前記メッセージは、第三の当事者の暗 号鍵と第一のプレイメージx1とを結合してひとつの情報のブロックとして形成 し、前記情報のブロックを第一の暗号鍵を使って暗号化された第一のブロックを 生成し、前記暗号化された第一のブロックをプレイメージx2を一方向関数f2( x)を用いて生成される目隠ししない形式のイメージf2(x2)と結合すること によって得られる。さらに、暗号化された第一の情報のブロックを解読する手順 、ディジタル署名を含み、第一のプレイメージx2の申告者にあらかじめ決めら れた金額を信用貸しするという確約を表わしたノートを生成する手順、前記ノー トを第二の当事者に送る手順を有している。 また、さらに他の形態として、次の手順を有する電子通貨プロトコルがある。 一方向関数f2(x)を用いてプレイメージx2から生成され目隠しされない形式 のイメージf2(x2)を第二の当事者に送る手順、第二の当事者から署名された ノートであって、目隠しされない形式で、ディジタル署名を含み、最初にプレイ メージx2を申告した者に対して決められた金額の信用貸しを行う約束を表わし た ノートを受け取る手順、さらに前記目隠しされない形式のノートを第二の当事者 から応答として受け取り、品物やサービスを第三の当事者へ配達するのを認める 手順とがある。 本発明は、簡単で安価な、擬似貨幣による取り引きの方法を提供するものである 。交換(例えば貨幣の引き出し)といった項目では、実際の貨幣と同じ特性を持 つ。例として、本発明は、(1)大体において匿名性が保証されている、(2) 安全で、(3)安価で使うことができ、(4)持ち運びが簡単で交換も容易であ る、という特徴がある。 関係者は、ある特定の貨幣に対するx1の値を貨幣を使うまで秘密にしておく ことにより、その貨幣支払いの取り消しといった不正な銀行の背信行為から守ら れている。特定の金額f(x1)が公にかつ匿名でなく預金されでいる限り、x1 と結合している支払いが行われるまで、銀行には道義心が要求される。もちろん 、銀行は、受け取ったx1がすでに使われた貨幣に関したものであると主張して 、実際の交換処理中に匿名での交換処理を取り消しを行うことができる。しかし ながら、銀行は誰がこのような「食い逃げ」計画によってだまそうとしたか知る ことができない。それ故、銀行はモニターや一般に公表されることに対しで無防 備である。 最終的に、電子通貨の署名に用いられるディジタル署名手法の有す安全性によ り、銀行も電子通貨の偽造から守られる。さらに加えて、銀行は、貨幣に対する x1の値を永久に保存していることにより、「二重使用(あるいは二重支払い) 」を防止する。 その他の利点や特徴は、以下の発明の実施するための最良の形態及び請求の範囲 において明らかにする。 図面の簡単な説明 第1図は、匿名でない電子通貨の引き出しプロトコルを示す図である。第2図 は、電子通貨の匿名での交換プロトコルを示す図である。第3図は、電子通貨で の匿名での商品購入プロトコルを示す図である。第4図は、匿名でない電子通貨 の預金プロトコルを示す図である。第5図は、電子通貨の匿名での支払いプロト コルの他の形態を示す図である。第6図は、匿名あるいは匿名でないドロップ・ ペイメントまたは為替プロトコルを示す図である。第7図は、暗号化した為替プ ロトコルを示す図である。 発明を実施するための最良の形態 匿名で通信する能力は、いろいろな意味で、匿名の金銭取り引きが行われる場 合には優先されなければならない事項である。なぜなら、ある団体の通信につい ての情報は、その団体の商取り引きに関する情報を明らかにしてしまうからであ る。実際には、通信の匿名性が基礎としているのは、電話会社が自社のシステム の秘密性を保護しているという信頼にすぎない。各団体は正体のわからない匿名 での返信者を信頼するか、あるいは文献から公に入手できる他の技術のひとつを 装備して信頼するかの選択ができる。 団体間の通信は第三者に対して匿名性を持つばかりでなく、その団体間でも互 いに匿名性を持って通信を行うことを想定する。(代表的な実施例において、後 者の形態は自己認識を除いて前者の自然な結果である。)このような条件におけ る、簡単で幾分匿名性を有す電子通貨システムのプロトコルを第1図に示す。 以下で説明するさまざまなプロトコル(第1図から第7図を参照のこと)では 、3団体を顧客10と売り主20と銀行30という名称で定義する。顧客10は 、もちろん一般的には支払人の代表であり、売り主20は一般的には受取人の代 表である。当然ではあるが、この設定は説明を明快にする目的で決めたもので、 この発明の範囲を限定するものではない。従って当然ながら、この三者を集団A 、集団B、集団Cとして引用しても同じ効力を持つ。 図には、いくつかの異なった団体がブロックによって示されており、ある団体 から他の団体への情報の伝達は該当するブロックをつなぐ線によって示している 。各線は、ある団体から他の巣団へ一定の情報が伝わることを示しており、線の 端の矢印が通信の方向を示している。伝達される情報は、内容をまとめたシンボ ルとして、線の下に示してある。 各ブロックにはラベルが付けられ、次に示すような特定の物として記述されて いるが、前記特定の物による処理は、コンピュータ処理や通信を実行するコンピ ュータ機器によって実行されるものである。コンピュータ機器は、多岐にわたる 種類の電子機器を含んでいる。例えば、パーソナル・コンピュータ、PCカード (PCMCIA対応カード)、PDI、スマートカード、パームトップコンピュ ータ、強力なワークステイション等でありこれらはその一部に過ぎない。次に説 明するように、プロトコルの銀行側の処理は、現在ATMによるトランザクショ ンを処理しているサーバと同様に、電子商取引を処理するようにプログラムされ たサーバによって実行される。前記サーバは、データの到着する複数の電話線を 有し、関連データを保存するためのデータ記憶容量を持っていることが望ましい 。 コンピュータ機器が内部あるいは外部に、プロトコルを実行するするために必 要なプログラムやデータのために必要なメモリを有していることは当然のことで ある。さらに、前記コンピュータ機器は、例えばモデムのような、他のコンピュ ータ機器と通信を行うための手段も有す。さらに付け加えれば、情報を伝送する 通信媒体は非常に多くの可能性を持っている。媒体の例としては、電話線、ケー ブル、インターネット、衛星通信、無線通信などが挙げられる。言い換えれば、 本発明は、使われている機器の種類や採用している通信方法によって限定される ものではない。可能性や組み合わせは、人の創作力によって限定されるものであ る。 これから説明するプロトコルにおいては、銀行30が公に使用できる一方向関 数f(x)を、選択し、制定する。このような関数は、誰もが商取引においてア クセスし使うことができるように、誰でもが公に入手できるものでなくてはなら ない。一般に、一方向関数は、x1を使ってf(x1)を算出することはできるが 、f(x1)を与えられてもx1を算出できない関数f(x)を意昧する。以下の 説明では、x1はf(x1)のプレイメージと、f(x1)はx1のイメージとする 。 実際には、完全な一方向関数は存在しない。現在一方向関数と考えられている ずべての関数は、コンピュータの能力や手法によってf(x1)からx1を決定す ることが十分にできる。それゆえ、一方向関数という語には、f(x1)からx1 を算出することが、不可能である必要はないが非常に難しい関数であるという意 味も含まれる。 一方向関数は、標準のハッシュ関数(例えば、MD5、SHA等)のうちのい ずれかでよい。さらにつけ加えれば、いくつかの一方向関数を使うことも、これ を結合することも可能である。この技術分野において、多くの種類の一方向関数 が知られている。その中の幾つかは、コンピュータに移植することが簡単で、ス マートカードに装備することもできる。 以上の基礎知識を前提として、本発明の実施の形態となる種々のプロトコルに ついて説明する。まず、顧客が銀行から「キャッシュ」を手に入れる処理に用い られる電子通貨の引き出しプロトコルから始める。 引き出しプロトコル 電子通貨の引き出し処理は、第1図に示した手法に従っで行われる。顧客10 は、任意の数X1を選び、一方向関数f(x)を使って変換後の値であるx1のイ メージを生成する。x1の値は後処理装置が任意で行っているような乱数発生手 段から得られた無作為の数列である。この数列は、例えば128ビット長のデー タである。顧客10は、支払い処理が発生してから完了するまでx1の値を秘密 にしておく。 顧客10は、金額とf(x1)をまとめて銀行30に送って引き出しの要求を 行い、銀行30から金を引き出す(匿名ではなく)。銀行30は、明細害にディ ジタル署名を行って顧客の趣意に従う。このようにf(x1)を正規の電子・通 貨として認定し、要求の額を、顧客10が銀行30に持っている口座の借方に記 入する。言い換えれば、銀行30は、「最初にf(x1)のプレイメージを決め た者に対して、総額zの信用貸しを行う」ことに関して銀行30は署名を行って 証明する、という効力を表わす明細書あるいは覚え書きを発行する。 署名や情報の認証を行う技術(例えば、秘密鍵と公開鍵のペアを使う方法)や 、ディジタル署名の手法は、よく知られている技術である。さらに詳しくは、こ の分野において広く認められた参考文献を参照すればよい。例えば、ブルース・ シュネイヤー(Bruce Schneier)著、アプライド・クリプトグラフィー(Applied C ryptography)、1994年 ジョンウイリー・アンド・サンズ社(JohnWiley&So ns.Inc.)などである。 一般的に署名機構とは、文字にタグを付けるやり方のことである。典型的な例 としては、公開鍵と秘密鍵のペアを使うものがある。公開鍵及び秘密鍵は、一方 向関数を使って実行される。より現実的なアプローチ方法としては、さらに効果 を上げるためにトラップ・ドア機能を使う方法がある(例えば、スキネイナー(S chneiner)著、RSA、DSS、エルガマ・アルゴリズム(RSA,DSS,Elgamal al gorithms)参照のこと)。秘密鍵は、文字か文字列のいずれかを暗号化するのに 使われ、文字に添付するディジタル署名として使われる。ディジタル署名は、自 身の秘密鍵を持っている者の署名であることを示している。なぜなら、他者が前 記文字列からこのような署名を作り出すことはできないからである。第二の当事 者が公開鍵を使ってタグの暗号を解読すれば、署名者自身の秘密鍵によって署名 がなされたことがわかる。この手法を保証するために、署名をした人の公開鍵を 誰もが手に入れまた預けられてこと、かつ秘密鍵は危険にさらされることはない と信頼できることが、前提となっていることは明らかである。 公開鍵を公表すること、及び銀行30が第一のf(x1)のプレイメージを決 めた者に対して明記された額を支払うという覚え書きにディジタル署名を添付し たことにより、銀行30はその責任を明らかにし、さらに偽造者から自身を守る 。 銀行が発行した、証明書となる覚え書きをここではC(f(x1))と定義 し、ノートと呼ぶ。このノートは顧客10に返送される。さらに付け加えれば、 ノートは公然と入手することができるが、x1を知らない人にとっては何の価値 もない。 交換プロトコル 関係者(例えば、顧客10や売り主20)は、いつでも、銀行30において匿 名で電子通貨の「交換」ができる。実際には、相手側当事者から電子通貨を受け 取ったら、処理を迅速に行うことが特に重要である。これは、電子通貨の正当な 受取人の前に誰か他の者がx1を銀行30に送信してしまうリスクを最小にする ためである。不正実行者は、複数の者に対してx1を送信し、その電子通貨を複 数回、送信しようとするかもしれない。そのようなことが起きたら、銀行30に 届いた最初の受取人がその価値を受け取り、その他の電子通貨の受取人達は該当 しない電子通貨となり交換することができない。売り主20にとっては、交換の タイミングはさほと重要でない。なぜなら、大体において売り主20は、電子通 貨の受 け取りが有効に完了するまでは、納入予定の品物やサービスを提供しないからで ある。 第2図に示したように、顧客10が電子通貨を匿名で交換することを望 んだと仮定すると、顧客10は銀行30にx1と任意に選ばれたx2の変換後のイ メージであるf(x2)を送信する。言い換えれば、顧客10はx1によって前述 したような引き出しプロトコルを行い、同時に引き出した総額を提供する。銀行 30は単にf(x2)を認証し、f(x1)は「すでに使われた」ということの証 明としてx1をデータベース40に保存するだけである。これがx1の二重使用さ れるのを防止する交換の手法である。 f(x1)とC(f(x1))はすでに銀行30が所有しているので、銀行30 に対してx1とf(x2)といっしょにその情報を送ることは任意である。 プロトコルの銀行側処理がサーバーに実装されていれば、銀行は受信したx1 を自動的に保存する。さらに、銀行30がもうひとつのx1を受け取る毎に、最 初にそれがすでに使われたもの(すなわち受信されたもの)であるかをチェック する。 誰が実際に電子通貨を使っているのかがはっきりわからない交換処理を、連続 して取り扱うことができるようになる。交換処理にはf(x2)を明らかにする ことのみが必要であり、x2の持ち主を明らかにする必要はないことに注目して ほしい。匿名を実現するための他の手法と違って、電子通貨を目隠しすること等 その他の処理を必要としない。実際には、f(x1)が目隠しされず、広く一般 に知られていることが望ましい。 通信の匿名性を確保するよう求める手法は何でも、処理の匿名性が確保されれ ば十分に目的を果たす(すなわち、匿名性を実現することは可能であるが必須で はない)。 この手法は、電子通貨を両替する方法として使うこともできる。f(x2)を 送信する代わりに、両替をしようとしている者は、複数のf(x)の値(例えば 、f(x2)、f(x3)、f(x4))を送信することができる。これらは、個 々に特定の値を持ち、総合するとf(x1)の値と関連する。銀行は、複数の署 名付きノートであるC(f(x1))を返送する。 購入プロトコル 第3図に示したように、実際に電子通貨を支払うプロトコルは交換プロトコル と似ている。支払いを行う者(例えば顧客10)は、受け取り人(例えば売り王 20)に、x1を渡す。売り主20は直接あるいはすぐにf(x1)あるいはC( f(x1))にアクセスすることができないので、顧客10は取引の一部の情報 として送る。売り主20は銀行30に直接要求して、x1を「フレッシュな」金 銭に換える。この時当然に、銀行30はx1が以前に使われたものでないことを 最初に確認する。売り主20がこの交換処理を実施するときには、第2図に示し た交換プロトコルを使う。前記交換処理が引き受けられた後、売り主20は購入 された品物あるいはサービスを顧客10に提供する。 預金プロトコル 第4図に示したように、使用しない貨幣はいつでも、銀行30に匿名でなく預 金することができる。例えば、売り主20が使わない貨幣f(x1)を預金しよ うとした場合、x1を預金の要求と共に銀行30に送信する。売り主20は、f (x、)はもちろんC(f(X1))を任意で送ってもよい。 x1と預金要求を受け取ると、銀行30はx1が以前に銀行に送られてたことが あるかどうか、データベースを調べる。もちろん、以前に送られてきたことがあ れば、銀行30は売り主の請求書を信用せず、売り主20に対して正規の電子通 貨ではないことを報告する。銀行30が以前にx1を受信したことがなければ、 あらかじめ決められ金額がある請求書を信用し、信用取引が登録されたことを確 認するために預金の受領書を売り主20に送る。 プロトコルの拡張 以上説明した電子通貨手法における交換及び支払プロトコルには、いくつかの 他の実施の形態の例がある。これら他の実施の形態は、求められている匿名性の レベルや関係に応じた有効な手段となるように作られている。例えば、第5図に 示したのは、顧客10が売り主20よりも銀行30にアクセスするほうが容易で ある場合、売り主20は最初に顧客10にf(x2)を送り、顧客10は売り主 20の代わりに交換プロトコルを行い、支払いの証明として署名された電子通貨 、 例えばC(f(x2))を返送する。前述したように、交換プロトコルは匿名で 行われる。 あるいは、顧客10及び売り主20の双方が、お互いよりも銀行とよい関係を もっている場合、図6に示したような「ドロップ」ペイメントプロトコルを使う とよい。このプロトコルに従えば、顧客10は売り主20のための支払いを銀行 に降ろし、売り主20はその後すぐに銀行から支払いを回収する。 「ドロップ」支払いプロトコルの手順を以下に示す。最初に、顧客10がある 特定の額の貨幣の代わりとしてのx1を銀行30に送る。この時、売り主20の 公開署名鍵p(PSKP)と取り引きに関する情報を付加して送る。いろいろな 情報があるが、例えば、顧客10が購入した品物を明らかにしたり取り引きを確 認することを望んだ場合、さらに/あるいは売り主が支払いに関する顧客の意向 を認めたといことを指示する場合などがあり、その結果、電子通貨が本質的な意 昧において、「電子為替」に変る。顧客10は任意でf(x1)とノートC(f (x1))を送ってもよいが、前述したように、この情報はすでに銀行30が入 手しているので、送る必要はない。 顧客10が提供したその他の情報から集められた記録は、遠隔支払設定として 特定の用途に使えるかもしれない。取り引きの性格が特に暗黙であるという場合 でなければ、典型的には個人的な支払い方法になる。 もし、売り主20が匿名性を保持することを望まなければ、公開署名鍵は売り主 20のIDと明らかに関係しているものであってよいが、もし匿名性を望むので あれば、公開署名鍵はIDとはまったく関係ない特別な目的を有した公開鍵とし なければならない。後者の場合には、公開鍵は信頼できる知人に極秘に渡すか、 単純に匿名で公表する。 銀行30はx1に付随した第一の電子通貨f(x1)として表わされた総額を渡 すことに同意し、以前に配布された公開署名鍵pと対応する秘密の署名鍵を使っ て署名されている。このようにして、顧客10が購入しようとした品物の支払い を手に入れるために、売り主20は、第1図に関連して以前に記述したプロトコ ルを使って、銀行30から金を引き出す。このとき、売り主20は任意のx2を 選択し、f(x)を使ってイメージf(x2)を生成する。しかしながらこの例 では、 売り主20はf(x2)を銀行30に送信する前に秘密署名鍵を便ってf(x2) に署名を行う。付け加えると、この場合、貨幣は売り主の口座から引き出される のでなく、顧客10によってこの処理の前に与えられた口座から転送するだけで ある。 銀行30は売り主の公開署名鍵を使って、受信したf(x2)が売り主20( すなわち貨幣の転送を行った者)によって署名されことを確かめる。f(x2) の署名を確認すると、銀行30は売り主20に送信するノートCf(x2))を 発行する。 金を受け取ったという確認のノートC(f(x2))を売り主20が受け取っ た後、売り主20は顧客10に品物を送る。 もちろん理論上は、銀行30は支払先に金を与える代わりに金を自分のものに することによってだますことができる。しかしながら、支払人の匿名性を信頼し ている、あるいは少なくとも一般の人々が銀行30が不正しないことをモニター しているので、支払人が取り引きを暴露する可能性をあてにすることができる。 関係者間の通信が傍受されているという設定のもとで、交換プロトコルを安全 なものにする、とりわけ秘密のxの値をが立ち聞きする者を通り抜けて通過する いくつかの方法がある。最も自然な方法は、公開鍵による暗号法である。関係者 が銀行のものはもちろんのこと互いの公開暗号鍵を知っていれば、銀行30が送 信するものを除くすべてのメッセージが、受信側の公開暗号鍵を使って暗号化す るか、受信側の公開暗号鍵を使って暗号化された相称的な「セッションキー」を 使っているかぎり、前述した全てのプロトコルが立ち聞きするものを絶滅させる ように機能する。もちろん銀行のメッセージは、秘密でなくてよいよう考慮され ている。なぜならメッセージは、x1が誰か他の者によって秘密にされているf (x1)という形式の署名された貨幣だけで構成されているからである。暗号化 処理時にメッセージの認証コードやMACを使えば、メッセージが目的地に到着 するまで送り主以外の誰かによっていたずらされることはないことが保証される 。 公開暗号鍵の使用により、別の種類の「電子為替」が可能となる。この事例を 第7図に示し、暗号化された電子為替プロトコルとして一般にあてはめる。顧客 10は、ある正規の電子通貨としての秘密のx1の値を、売り主20の公開鍵p と その他の必要なIDや取引情報といっしょに暗号化する。前述の「ドロップ」プ ロトコルの場合と同様である。顧客10はこの情報を、銀行の公開暗号鍵を使う か、あるいは銀行の公開暗号鍵を使って暗号化されたセッションキーを使って暗 号化する。その後、顧客10は暗号化された情報を直接売り主20に送信する。 これを「現金」にするために、売り主20は任意の値x2を選び、そのイメー ジf(x2)を生成し、顧客10から受信したメッセージEにf(x2)を添付す る。前と同様、f(x2)は銀行によって署名されると、それは売り主20への 金の移転を意味する。売り主20は完了メッセージ(あるいは少なくともf(x2 ))に、公開署名pに対応する秘密の署名鍵を使って署名を行い、Eとf(x2 )と署名を銀行30に送る。任意で売り主20はさらに、前述したような方法、 すなわち銀行の暗号鍵あるいは付随的な相対鍵を使って、このメッセージを暗号 化してもよい。 銀行30は、自身の秘密鍵を使って売り主20からのメッセージを解読した後 、x1がすでに保存されていないかデータベースを調べ、もし見つからなかった 場合には、銀行30はx1を保存する。さらに銀行30は、f(x1)に関連した 値に等しい額を売り主20に振替えるという内容が記載されたノートC(f(x2 ))を生成する。前記ノートは売り主20に送られ、領収書発行と確認が済ん だ後、購入された品物は顧客10に送られる。 実質的に、暗号化された最後のプロトコルは前述のものとほぼ同じである。暗 号化が加えられたのは、支払人が受取人経由で「為替」を渡す処理においてであ り、その間支払人の与えた秘密や付加情報は、中身がいたずらされていないこと は保証される。 ノートC(f(x1))に処理が完了した日付を入れておくことは有益なこと である。この場合、銀行30のデータベースに保存されているx1はさほど大きく ならない。これは、x1を銀行のデータベースに永遠に保存しておく必要がない ことによる。電子通貨の価値が失効しないように、スマートカード(あるいは顧 客が取り引きをするために操作する装備すべて)は、自動的に古くなった電子通 貨を新たな有効期限を持った新しい電子通貨に更新する。 満了日まで、電子通貨の払い戻しはできる。スマートカードの期限が過ぎて、 全てのx1を失っていしまった場合、期限満了後3ヶ月以内に申し立てておらず 、ユーザすなわち顧客10が電子通貨の価値に相当する額の信用貸しの要求を、 銀行30にf(x1)と共にすることができる。しかしながら、一連のこの処理 では、銀行との間で最初の通信であり、この場合には貨幣の引き出しを行ってい るときに、顧客10は、自分自身であることを証明する。 プロトコルの顧客側は、x1だけを保存すればよいので、スマートカードを使 って簡単に装備することができる。また、一般的には、顧客は多くの金を必要と しない。スマートカードを盗んだ者にx1の値を盗まれないようにずるため、P INが極秘にスマートカードに使われていて、x1をアクセスする前にユーザが 入力しなければならない。 以上記載した相互作用はすべて自動的に行われているのは当然のことであるこ とに、注目してほしい。これらの処理は、適切なプログラムがされたコンピュー タやプロセッサによって自動的に実行される。 コンピュータやプロセッサは、 取り引きを行う関係者によって実装され、その管理下にある。 その他の実施例は、以下に記載する。例として、秘密の値x1を使って電子通 貨と認証情報を結合するためのその他の手法がある。これもまでの記載では、秘 密の値x1は電子通貨を発行する人によって任意に生成されると仮定していた。 しかしながら秘密の値は、一方向関数h(x)を用いて何らかの認証データのイ メージを生成してもよい。この一方向関数は、あるいは通常の電子通貨の組み立 てに使われる関数f(x)と同じであってもよい。認証情報は、用途、支払日、 支払人の名前、予定の受取人といったもの、まとめていえば、支払人が銀行に保 管しておきたいと思っているすべての情報、を含む。これらの情報は、h(x) を通して、秘密の値となるx1を生成する。 この場合銀行は、前述の「ドロップ」あるいは「電子為替」プロトコルで行わ れた電子支払いで受信した取り引き情報を保存する必要はなくなる。本質的には 、求められていることの全ては、払い込みが要求に応じて受取人を匿名にしない でラベル付けが行われることである。銀行が積極的に受取人の識別を行い、受取 人のIDを含む取り引きの標準記録を保管していれば、支払人は後できちんと支 仏ったことを、f(x)に用いたx1のプレイメージを公に明らかにすることに よっ て立証することができる。なぜなら、前記情報を示すf(x)は、用途や支払日 、支払人の名前、予定の受取人といった情報を含んでいるからである。x1の値 として普通に結合し、さらに他の電子通貨と交換して運ばれた暗黙の情報を、支 払人は電子通貨と一緒に手に入れることができる。しかしながらこのような状況 では、払い込み情報は暗黙のうちにx1に含まれているため、銀行に送る必要な ない。それゆえ、支払人が安全のため銀行を通過させなければならない情報は、 受取人の認証に使われる公開署名鍵だけである。この情報は、暗黙のうちに支払 人の要求で名前を明かして通信が行われる。 署名を基本とした通信を要求しているが、実際には、情報がx1(あるいはf (x1))とぴったりと一致していなければ、銀行は名前を明かして電子通貨を 引き受けることはできないという趣旨により、受取人の身元の確認は排除される 。例として、いくつかのx1の特性(例えば、第1ビットが1であった場合)、 銀行によって問題の電子通貨は名前を明らかにした場合のみ取り扱うという表明 として公に宣言される。支払人は、f(sj)によって秘密のx1を算出すること ができる。sjは、特定の取引の情報と任意の値rを結合したものであり、その 結果、x1は非匿名性を持つことになる。このような性質のうち、およそ半分は 、プレイメージsjをf(s)で演算し、その結果として得られたある特定のデ ータ長を持つf(sj)によって決まるので、所望の効果を持つx1を見つけるま で、何回化のrを選ばなければならない。このような電子通貨は、これを回収し ようとする者は自身のIDを提供し、かつ銀行が納得するようにその証明をしな ければならない、という性質を持つ。このため、銀行は通常の取引情報の一部と して交換を申し出た者のIDを記録しておくことができる。この結果、この電子 通貨を作成した者は、後にその起源と同様、その他の取り引きの詳細(起用予定 も含めて)をも、銀行の取り引き記録を参照し、xiを生成するのに用いられる sjを明らかにすることによって立証することができる。それゆえ、電子通貨を 、余分の暗号や銀行に対しの情報を付加せずにまったく普通に使ったとしても、 支払人には前述した「電子為替」によって必要な防護機能すべてが提供される。 請求の範囲 1.電子通貨システムの実施方法であって、 一方向関数f1(x)を用いて演算前の元の値であるプレイメージx1から演算後 であるイメージf1(x1)を生成する手順、 イメージf1(x1)を見える形式で第二の当事者に送信する手順、 前記第二の当事者からディジタル署名を含む文書を受信する手順、 から成り、 第二の当事者に対するプレイメージx1の最初の申告者にあらかじめ決められた 金額を前記第二の当事者が信用貸しするという確約を前記文書が表すことを特徴 とする電子通貨システムの実施方法。 2.電子通貨システムの実施方法であって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 第一のプレイメージx1と第二の当事者の署名鍵を結合して一つの情報ブロック を作成する手順、 前記情報ブロックを第三の当事者の暗号鍵を用いて暗号化された情報のブロック として生成する手順、 第三の当事者の暗号鍵を用いて前記情報ブロックを暗号化し、暗号化された情報 ブロックを生成する手順、 第三の当事者に暗号化された情報ブロックを送る手順とから成ることを特徴とす る電子通貨システムの実施方法。

Claims (1)

  1. 【特許請求の範囲】 1.電子通貨システムの実施手法であって、 一方向関数f1(x)を用いて演算前の元の値であるプレイメージx1から演算後 であるイメージf1(x1)を生成する手順、 イメージf1(x1)を見える形式で第二の当事者に送信する手順、 前記第二の当事者からディジタル署名を含む文書を受信する手順、 から成り、 前記文書が前記第二の当事者があらかじめ決められた金額を第二の当事者に対応 するプレイメージx1の申告者に信用貸しするという確約を表すことを特徴とす る電子通貨システムの実施手法。 2.第三の当事者からの商品の購入及び第三の当事者からのサービスに対する支 払いとして前記プレイメージを第三の当事者へ送信する手段をさらに有すること を特徴とする請求の範囲1に記載の電子通貨システムのプロトコル。 3.請求の範囲1に記載の電子通貨システムのプロトコルに加えて、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を用いて第二のプレイメージx2からイメージf2( x2)を生成する手順、 第一のプレイメージx1と目隠しされない形式のイメージf2(x2)を第二の当 事者に送信する手順、 前記第二の当事者からディジタル署名を含む第二の文書を受信する手順、 から成り、 前記第二の文書が前記第二の当事者があらかじめ決められた金額を前記プレイメ ージx2を第二の当事者に申告した者の貸し方に記入する確約を意味することを 特徴とする電子通貨システムプロトコル。 4.前記第一のf1(x)と前記第二のf2(x)が同一の関数であることを特徴 とする請求の範囲3に記載の電子通貨システムプロトコル。 5.第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2) とを前記第二の当事者に送信する手段が匿名で行われることを特徴とする請求の 範囲4に記載の電子通貨システムプロトコル。 6.前記第二の当事者が銀行であることを特徴とする請求の範囲5に記載の電子 通貨システムプロトコル。 7.電子通貨システムプロトコルであってさらに、 第三の当事者からの購入品あるいはサービスに対する支払いとして第二のプレイ メージx2が第三の当事者に送られる手順を含むことを特徴とする請求の範囲3 に記載の電子通貨システムプロトコル。 8.電子通貨システムの実施方法であってさらに、 第三の当事者の署名鍵と第一のプレイメージx1を結合してひとつの情報のブロ ックを作成する手順、 前記情報のブロックを第二の当事者の暗号鍵を使って暗号化しで暗号化された情 報のブロックを生成する手順、 前記暗号化された情報のブロックを第三の当事者に送る手順 とからなることを特徴とする請求の範囲1に記載の電子通貨システムプロトコル 。 9.電子通貨システムプロトコルであって、 第一の当事者から 第一の一方向関数f1(x)を用いて第一のイメージf1(x1)を生成する元の 値であって、 かつ第二の当事者があらかじめ決められた金額を前記プレイメージx1を第二の 当事者に申告した当事者に信用貸しする確約と結合される第一のプレイメージを 受け取る手順、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を使って第二のプレイメージx2から第二のイメージ f2(x2)を生成する手順、 第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2)を第 二の当事者に送る手順、 第二の当事者から ディジタル署名を含む文書であって、 前記文書は第二の当事者が前記あらかじめ決められた金額を前記プレイメージx 2を第二の当事者に申告した第一の当事者に信用貸しする確約を意味する文書を 受け取る手順とから成ることを特徴とする電子通貨システムプロトコル。 10.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲9に記載の電子通貨システムプロトコル。 11.第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2 )とを前記第二の当事者に送信する手段が匿名で行われることを特徴とする請求 の範囲9に記載の電子通貨システムのプロトコル。 12.電子通貨システムのプロトコルであって、 第一の当事者から 第二の当事者の公開署名鍵と第一のプレイメージx1を結合し一つの情報のブロ ックとし、前記情報のブロックを第三の当事者の暗号鍵を用いて暗号化すること によって生成された暗号化された情報のブロックを受け取る手順、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を使って第二のプレイメージx2から第二のイメージ f2(x2)を生成する手順、 前記暗号化された情報のブロックと前記イメージf(x2)を一緒にして目隠し されない形式でメッセージを形成する手順、 前記メッセージを第三の当事者へ送る手順、 第三の当事者から ディジタル署名を含む文書であって、 前記文書は第三の当事者があらかじめ決められた金額をプレイメージx2を第三 の当事者に申告した第一の当事者に信用貸しする確約を意味する文書を受け取る 手順とから成ることを特徴とする電子通貨システムのプロトコル。 13.前記第一のf1(x)と前記第二のf2(x)が同一の関数であることを特 徴とする請求の範囲12に記載の電子通貨システムプロトコル。 14.前記メッセージが第三の当事者に送られる前に 第三の当事者が所有している公開署名鍵と対応する秘密の署名鍵を使って署名を 行う手順により署名が行われる手順を含むことを特徴とする請求の範囲12に記 載の電子通貨システムのプロトコル。 15.第二の当事者が第一の当事者から暗号化された情報のブロックを受け取る ことを特徴とする請求の範囲12に記載の電子通貨システムのプロトコル。 16.電子通貨システムのプロトコルであって、 第一のエンティティから 第一の一方向関数f1(x)を用いてプレイメージx1から生成された目隠しされ ない形式のイメージf1(x1)を受け取る手順、 あらかじめ決められた金額をプレイメージx1の第一の申告者に信用貸しすると いう確約を含むメッセージを生成する手順、 前記メッセージにディジタル署名を行う手順、 第一の当事者に前記メッセージと前記ディジタル署名を送る手順とから成ること を特徴とする電子通貨システムのプロトコル。 17.受信する当事者が第一のエンティティの口座を維持し 前記プロトコルがあらかじめ決められた金額を第一の当事者の口座の借方に記入 する手順を含むことを特徴とする請求の範囲16に記載の電子通貨システムのプ ロトコル。 18.前記電子通貨システムのプロトコルがさらに続いて、 第三の当事者からプレイメージx1を受信する手順、 前記プレイメージx1をデータベースで調べる手順、 プレイメージx1を前記データベースで検出しなかった場合に第三の当事者に予 め決められた金額の信用貸しを行う手順、 プレイメージx1を前記データベースに加える手順とからなることを特徴とする 請求の範囲16に記載の電子通貨システムのプロトコル。 19.前記電子通貨システムのプロトコルがさらに続いて、 プレイメージx1と 一方向関数f2(x)を用いてプレイメージx2から生成された目隠しされない形 式のイメージf2(x2)を 第三の当事者から受信する手順と、 前記プレイメージx1をデータベースで調べる手順と、 プレイメージx1を前記データベースで検出しなかった場合にディジタル署名を 含む署名された文書であって前記プレイメージx2の第一の申告者に前記あらか じめ 決められた金額を信用貸しする確約を示す文書を生成する手順、 プレイメージx1を前記データベースに加える手順とからなることを特徴とする 請求の範囲16に記載の電子通貨システムのプロトコル。 20.前記第一のf1(x)と前記第二のf2(x)が同一の関数であることを特 徴とする請求の範囲19に記載の電子通貨システムプロトコル。 21.第二の当事者から 第三の当事者の暗号鍵と第一のプレイメージx1とをひとつの情報のブロックに 結合して生成され、第一の暗号鍵を用いて前記情報のブロックを暗号化して暗号 化された第一のブロックを形成し、一方向関数f2(x)を用いてプレイメージ x2から生成された目隠しされない形式のイメージf2(x2)と前記暗号化され た第一の情報のブロックを結合したメッセージを受信する手順、 前記暗号化された第一の情報のブロックを解読する手順、 ディジタル署名を含む文書であって、前記プレイメージx2の第一の申告者に予 め決められた金額の信用貸しを行うという確約を表した文書を作成する手順、 前記文書を第二の当事者に送る手順とからなることを特徴とする請求の範囲16 に記載の電子通貨システムのプロトコル。 22.前記第一のf1(x)と前記第二のf2(x)が同一の関数であることを特 徴とする請求の範囲21に記載の電子通貨システムプロトコル。 23.前記電子通貨システムのプロトコルがさらに、 プレイメージx1をデータベースで調べる手順、 プレイメージx1を前記データベースで検出しなかった場合にのみ署名された文 書を作成する手順、 プレイメージx1を前記データベースに加える手順とからなることを特徴とする 請求の範囲21に記載の電子通貨システムのプロトコル。 24.電子通貨システムのプロトコルであって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 第二のプレイメージx2を選択する手順、 第二の一方向関数f2(x)を用いて第二のプレイメージx2から第二のイメージ f2(x2)を生成する手順、 第一のプレイメージx1と目隠しされない形式の第二のイメージf2(x2)を第 二の当事者に送る手順、 第二の当事者から ディジタル署名を含む文書であって 第二の当事者が予め決められた金額であって前記予め決められた貨幣価値を超え ない金額を 第二の当事者に前記第二のプレイメージx2を最初に申告した者に信用貸しする という確約を表した文書を受け取る手順からなることを特徴とする電子通貨シス テムのプロトコル。 25.前記予め決められた金額が前記予め決められた貨幣価値よりも少ないこと を特徴とする請求の範囲24に記載の電子通貨システムのプロトコル。 26.前記第一の一方向関数f1(x)と前記第二の一方向関数f2(x)が同一 であることを特徴とする請求の範囲24に記載の電子通貨システムのプロトコル 。 27.電子通貨システムのプロトコルであって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 正の整数1からnの値を持つ多数のプレイメージxiを選択する手順、 第二の一方向関数f2(x)を用いて第二のプレイメージxiから多数のイメージ f2(xi)を生成する手順、 第一のプレイメージx1と目隠ししない形式ですべてのイメージf2(xi)を第 二の当事者に送る手順、 第二の当事者から 各文書がディジタル署名を含み前記文書の数はイメージf2(xi)と同じである 多数の文書であって予め決められた額が多数記載されており、 前記多数の文書のそれぞれには第二の当事者が プレイメージxiの第一の申告者に対して 異なった額の前記予め決められた額が多数記載されているもののうち前記プレイ メージxiと対応する額を信用貸しするという確約を表した文書を受け取る手順 とから成り、 前記予め決められた額の総計が前記予め決められた貨幣価値と等しいことを特徴 とする電子通貨システムのプロトコル。 28.電子通貨システムのプロトコルであって、 第一のイメージf(x1)と 予め決められた貨幣価値と関連づけられた第一のプレイメージx1とを入手する 手順、 第一のプレイメージx1と第二の当事者の署名鍵を結合して一つの情報ブロック を作成する手順、 前記情報ブロックを第三の当事者の暗号鍵を用いて暗号化された情報のブロック として生成する手順、 第三の当事者に暗号化された情報のブロックを送る手順とから成ることを特徴と する電子通貨システムの実施方法。 29.前記電子通貨システムのプロトコルがさらに、 第二の当事者のその他の情報と署名鍵と第一のプレイメージx1をひとつの情報 のブロックに結合する手順を含むことを特徴とする請求の範囲28に記載の電子 通貨システムのプロトコル。 30.電子通貨システムのプロトコルであって、 一方向関数f2(x2)を用いてプレイメージx2から生成された 目隠しされない形式のイメージf2(x2)を 第二の当事者に送る手順と、 第二の当事者から ディジタル署名を含む目隠しされない形式の文書であって 前記プレイメージx1を最初に申告した者に対し予め決められた金額の信用貸し を行うという確約を表した文書を受け取る手順、 第二の当事者から前記目隠しされない形式のノートを受け取った応答として品物 やサービスを第三の当事者に提供することを許可する手順とから成ることを 特徴とする電子通貨システムのプロトコル。
JP9511318A 1995-08-29 1996-08-29 追跡不可能な電子通貨 Pending JP2000503786A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/521,124 1995-08-29
US08/521,124 US5768385A (en) 1995-08-29 1995-08-29 Untraceable electronic cash
PCT/US1996/014078 WO1997009688A2 (en) 1995-08-29 1996-08-29 Untraceable electronic cash

Publications (1)

Publication Number Publication Date
JP2000503786A true JP2000503786A (ja) 2000-03-28

Family

ID=24075466

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9511318A Pending JP2000503786A (ja) 1995-08-29 1996-08-29 追跡不可能な電子通貨

Country Status (7)

Country Link
US (1) US5768385A (ja)
EP (1) EP0873615B1 (ja)
JP (1) JP2000503786A (ja)
AT (1) ATE266919T1 (ja)
CA (1) CA2229206C (ja)
DE (1) DE69632482T2 (ja)
WO (1) WO1997009688A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015114818A1 (ja) * 2014-01-31 2015-08-06 富士通株式会社 情報処理装置およびセンサ出力制御プログラム
JP7566233B1 (ja) 2023-11-21 2024-10-15 久利寿 帝都 電子通貨基盤を実現するための方法およびシステム

Families Citing this family (134)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US5983207A (en) * 1993-02-10 1999-11-09 Turk; James J. Electronic cash eliminating payment risk
FR2737032B1 (fr) * 1995-07-19 1997-09-26 France Telecom Systeme de paiement securise par transfert de monnaie electronique a travers un reseau interbancaire
PT757336E (pt) 1995-08-04 2001-04-30 Belle Gate Invest B V Sistema de intercambio de dados que inclui unidades portateis de processamento de dados
US6385645B1 (en) * 1995-08-04 2002-05-07 Belle Gate Investments B.V. Data exchange system comprising portable data processing units
US6076078A (en) * 1996-02-14 2000-06-13 Carnegie Mellon University Anonymous certified delivery
US6945457B1 (en) 1996-05-10 2005-09-20 Transaction Holdings Ltd. L.L.C. Automated transaction machine
US6026379A (en) * 1996-06-17 2000-02-15 Verifone, Inc. System, method and article of manufacture for managing transactions in a high availability system
US6373950B1 (en) 1996-06-17 2002-04-16 Hewlett-Packard Company System, method and article of manufacture for transmitting messages within messages utilizing an extensible, flexible architecture
GB2317790B (en) * 1996-09-26 1998-08-26 Richard Billingsley Improvements relating to electronic transactions
US6029150A (en) * 1996-10-04 2000-02-22 Certco, Llc Payment and transactions in electronic commerce system
US5999919A (en) * 1997-02-26 1999-12-07 At&T Efficient micropayment system
US7324972B1 (en) * 1997-03-07 2008-01-29 Clickshare Service Corporation Managing transactions on a network: four or more parties
US6061665A (en) * 1997-06-06 2000-05-09 Verifone, Inc. System, method and article of manufacture for dynamic negotiation of a network payment framework
EP0887776A1 (de) * 1997-06-23 1998-12-30 Rainer Grunert Transaktionseinheit-/Transaktionsverfahren zur Zahlungsabwicklung im Internet und/oder ähnlichen öffentlichen Client-Server-Systemen
US6125349A (en) * 1997-10-01 2000-09-26 At&T Corp. Method and apparatus using digital credentials and other electronic certificates for electronic transactions
JPH11143976A (ja) * 1997-11-14 1999-05-28 Hitachi Ltd トークン・バリュー混合型電子マネーカード及び電子マネーカードを取り扱う装置
US6856974B1 (en) * 1998-02-02 2005-02-15 Checkfree Corporation Electronic bill presentment technique with enhanced biller control
US6069955A (en) * 1998-04-14 2000-05-30 International Business Machines Corporation System for protection of goods against counterfeiting
US6807530B1 (en) * 1998-08-05 2004-10-19 International Business Machines Corporation Method and apparatus for remote commerce with customer anonymity
KR100358426B1 (ko) 1998-08-18 2003-01-29 한국전자통신연구원 전자현금거래방법
US6601761B1 (en) 1998-09-15 2003-08-05 Citibank, N.A. Method and system for co-branding an electronic payment platform such as an electronic wallet
RU2153191C2 (ru) 1998-09-29 2000-07-20 Закрытое акционерное общество "Алкорсофт" Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты)
CA2345794A1 (en) 1998-09-29 2000-04-06 Sun Microsystems, Inc. Superposition of data over voice
US7254557B1 (en) 1998-11-09 2007-08-07 C/Base, Inc. Financial services payment vehicle and method
US7010512B1 (en) 1998-11-09 2006-03-07 C/Base, Inc. Transfer instrument
RU2157001C2 (ru) * 1998-11-25 2000-09-27 Закрытое акционерное общество "Алкорсофт" Способ проведения платежей (варианты)
US6907608B1 (en) 1999-01-22 2005-06-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier in a small footprint device using global data structures
US6922835B1 (en) 1999-01-22 2005-07-26 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges
US6823520B1 (en) 1999-01-22 2004-11-23 Sun Microsystems, Inc. Techniques for implementing security on a small footprint device using a context barrier
US7093122B1 (en) 1999-01-22 2006-08-15 Sun Microsystems, Inc. Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces
US6633984B2 (en) * 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
US6678664B1 (en) * 1999-04-26 2004-01-13 Checkfree Corporation Cashless transactions without credit cards, debit cards or checks
DE19919909C2 (de) * 1999-04-30 2001-07-19 Wincor Nixdorf Gmbh & Co Kg Signierung und Signaturprüfung von Nachrichten
US7110978B1 (en) * 1999-05-10 2006-09-19 First Data Corporation Internet-based money order system
WO2000070487A1 (en) * 1999-05-14 2000-11-23 Frenkel Marvin A Anonymous on-line cash management system
CA2391826A1 (en) * 1999-06-10 2000-12-21 Belle Gate Investment B.V. Arrangements storing different versions of a set of data in separate memory areas and method for updating a set of data in a memory
EP1212734B1 (en) 1999-08-26 2006-07-19 MONEYCAT Ltd. Electronic currency, electronic wallet therefor and electronic payment systems employing them
US7889052B2 (en) 2001-07-10 2011-02-15 Xatra Fund Mx, Llc Authorizing payment subsequent to RF transactions
US6789068B1 (en) * 1999-11-08 2004-09-07 At&T Corp. System and method for microbilling using a trust management system
WO2001040910A1 (en) * 1999-12-06 2001-06-07 De Jong, Eduard, Karel Computer arrangement using non-refreshed dram
US7080261B1 (en) 1999-12-07 2006-07-18 Sun Microsystems, Inc. Computer-readable medium with microprocessor to control reading and computer arranged to communicate with such a medium
AU777437B2 (en) 1999-12-07 2004-10-14 Sun Microsystems, Inc. Secure photo carrying identification device, as well as means and method for authenticating such an identification device
AU2261501A (en) * 1999-12-16 2001-06-25 Debit.Net, Inc. Secure networked transaction system
US7222097B2 (en) * 2000-01-18 2007-05-22 Bellosguardo Philippe A Anonymous credit card
US8429041B2 (en) 2003-05-09 2013-04-23 American Express Travel Related Services Company, Inc. Systems and methods for managing account information lifecycles
US8543423B2 (en) 2002-07-16 2013-09-24 American Express Travel Related Services Company, Inc. Method and apparatus for enrolling with multiple transaction environments
US7308429B1 (en) * 2000-02-08 2007-12-11 Tozzi Mario S Electronic withdrawal authorization store and forward for cash and credit accounts
EP1132878A3 (de) * 2000-03-03 2004-04-14 Dietrich Heinicke Verfahren zur Zahlungsabwicklung in zumindest teilweise öffentlich zugänglichen, elektronischen Netzen
WO2001067355A2 (en) 2000-03-07 2001-09-13 American Express Travel Related Services Company, Inc. System for facilitating a transaction
US8121941B2 (en) 2000-03-07 2012-02-21 American Express Travel Related Services Company, Inc. System and method for automatic reconciliation of transaction account spend
US7111176B1 (en) 2000-03-31 2006-09-19 Intel Corporation Generating isolated bus cycles for isolated execution
US7376629B1 (en) * 2000-04-03 2008-05-20 Incogno Corporation Method of and system for effecting anonymous credit card purchases over the internet
FR2807593B1 (fr) * 2000-04-06 2003-06-06 Inovatel Procede de paiement securise a distance faisant intervenir une collaboration entre banques
CA2305249A1 (en) * 2000-04-14 2001-10-14 Branko Sarcanin Virtual safe
DE10031220C2 (de) * 2000-06-27 2002-05-29 Ulrich Michael Kipper Verfahren und Vorrichtung zur Abwicklung einer Transaktion in einem elektronischen Kommunikationsnetzwerk
DE60037342T2 (de) 2000-07-20 2008-11-27 Belle Gate Investment B.V. Verfahren und system für kommunizierende geräte, und vorrichtungen dafür, mit geschützter datenübertragung
US20020049681A1 (en) * 2000-07-20 2002-04-25 International Business Machines Corporation Secure anonymous verification, generation and/or proof of ownership of electronic receipts
US7356696B1 (en) * 2000-08-01 2008-04-08 Lucent Technologies Inc. Proofs of work and bread pudding protocols
EP1205889A1 (en) * 2000-11-10 2002-05-15 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Returning of change in an electronic payment system
US7640432B2 (en) * 2000-12-11 2009-12-29 International Business Machines Corporation Electronic cash controlled by non-homomorphic signatures
US20020087468A1 (en) * 2000-12-28 2002-07-04 Ravi Ganesan Electronic payment risk processing
US20020087473A1 (en) * 2000-12-29 2002-07-04 Shlomi Harif System, method and program for creating an authenticatable, non-repudiatable transactional identity in a heterogeneous network
US20020087481A1 (en) * 2000-12-29 2002-07-04 Shlomi Harif System, method and program for enabling an electronic commerce heterogeneous network
US20020087483A1 (en) * 2000-12-29 2002-07-04 Shlomi Harif System, method and program for creating and distributing processes in a heterogeneous network
WO2002067160A1 (fr) * 2001-02-21 2002-08-29 Yozan Inc. Systeme de transfert de commande
WO2002075624A1 (fr) * 2001-03-19 2002-09-26 Fujitsu Limited Procede de remise d'argent electronique
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US7526112B2 (en) * 2001-04-30 2009-04-28 Chase Medical, L.P. System and method for facilitating cardiac intervention
DE60221988T2 (de) * 2001-05-02 2008-05-15 Virtual Access Ltd. Gesichertes zahlungsverfahren und -system
GB2375214B (en) 2001-05-02 2004-09-29 Virtual Access Ltd Secure payment method and system
US7725427B2 (en) 2001-05-25 2010-05-25 Fred Bishop Recurrent billing maintenance with radio frequency payment devices
KR20040002928A (ko) * 2001-05-31 2004-01-07 인터내셔널 비지네스 머신즈 코포레이션 소액지불 시스템
AU2002223993A1 (en) * 2001-06-11 2002-12-23 Nds Limited Anonymous ordering system
US7110525B1 (en) 2001-06-25 2006-09-19 Toby Heller Agent training sensitive call routing system
US9024719B1 (en) 2001-07-10 2015-05-05 Xatra Fund Mx, Llc RF transaction system and method for storing user personal data
US7805378B2 (en) 2001-07-10 2010-09-28 American Express Travel Related Servicex Company, Inc. System and method for encoding information in magnetic stripe format for use in radio frequency identification transactions
US7762457B2 (en) 2001-07-10 2010-07-27 American Express Travel Related Services Company, Inc. System and method for dynamic fob synchronization and personalization
US8635131B1 (en) 2001-07-10 2014-01-21 American Express Travel Related Services Company, Inc. System and method for managing a transaction protocol
US20040236699A1 (en) 2001-07-10 2004-11-25 American Express Travel Related Services Company, Inc. Method and system for hand geometry recognition biometrics on a fob
US7925535B2 (en) 2001-07-10 2011-04-12 American Express Travel Related Services Company, Inc. System and method for securing RF transactions using a radio frequency identification device including a random number generator
US7705732B2 (en) 2001-07-10 2010-04-27 Fred Bishop Authenticating an RF transaction using a transaction counter
US7735725B1 (en) 2001-07-10 2010-06-15 Fred Bishop Processing an RF transaction using a routing number
US8960535B2 (en) 2001-07-10 2015-02-24 Iii Holdings 1, Llc Method and system for resource management and evaluation
US8001054B1 (en) 2001-07-10 2011-08-16 American Express Travel Related Services Company, Inc. System and method for generating an unpredictable number using a seeded algorithm
US7996324B2 (en) 2001-07-10 2011-08-09 American Express Travel Related Services Company, Inc. Systems and methods for managing multiple accounts on a RF transaction device using secondary identification indicia
US7503480B2 (en) 2001-07-10 2009-03-17 American Express Travel Related Services Company, Inc. Method and system for tracking user performance
US7668750B2 (en) 2001-07-10 2010-02-23 David S Bonalle Securing RF transactions using a transactions counter
US8548927B2 (en) 2001-07-10 2013-10-01 Xatra Fund Mx, Llc Biometric registration for facilitating an RF transaction
US8279042B2 (en) 2001-07-10 2012-10-02 Xatra Fund Mx, Llc Iris scan biometrics on a payment device
US9031880B2 (en) 2001-07-10 2015-05-12 Iii Holdings 1, Llc Systems and methods for non-traditional payment using biometric data
US20050160003A1 (en) * 2001-07-10 2005-07-21 American Express Travel Related Services Company, Inc. System and method for incenting rfid transaction device usage at a merchant location
US9454752B2 (en) 2001-07-10 2016-09-27 Chartoleaux Kg Limited Liability Company Reload protocol at a transaction processing entity
US8250025B2 (en) * 2001-11-06 2012-08-21 Business Controls, Inc. Anonymous reporting system
US7372952B1 (en) 2002-03-07 2008-05-13 Wai Wu Telephony control system with intelligent call routing
US8396809B1 (en) 2002-05-14 2013-03-12 Hewlett-Packard Development Company, L.P. Method for reducing purchase time
US6805289B2 (en) 2002-05-23 2004-10-19 Eduardo Noriega Prepaid card payment system and method for electronic commerce
SG145524A1 (en) * 2002-08-07 2008-09-29 Mobilastic Technologies Pte Lt Secure transfer of digital tokens
US6805287B2 (en) 2002-09-12 2004-10-19 American Express Travel Related Services Company, Inc. System and method for converting a stored value card to a credit card
AU2002368386A1 (en) * 2002-11-27 2004-06-18 Institute For Infocomm Research Peer to peer electronic-payment system
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US7676034B1 (en) 2003-03-07 2010-03-09 Wai Wu Method and system for matching entities in an auction
US7783563B2 (en) * 2003-12-09 2010-08-24 First Data Corporation Systems and methods for identifying payor location based on transaction data
US7472827B2 (en) 2004-05-17 2009-01-06 American Express Travel Related Services Company, Inc. Limited use PIN system and method
US7318550B2 (en) 2004-07-01 2008-01-15 American Express Travel Related Services Company, Inc. Biometric safeguard method for use with a smartcard
US8079904B2 (en) * 2004-08-20 2011-12-20 Igt Gaming access card with display
KR20060034464A (ko) 2004-10-19 2006-04-24 삼성전자주식회사 사용자의 익명성을 보장하는 디지털 티켓을 이용한전자상거래 방법 및 장치
US8049594B1 (en) 2004-11-30 2011-11-01 Xatra Fund Mx, Llc Enhanced RFID instrument security
US7113925B2 (en) * 2005-01-19 2006-09-26 Echeck21, L.L.C. Electronic check
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US20070219902A1 (en) * 2006-03-20 2007-09-20 Nortel Networks Limited Electronic payment method and related system and devices
US8300798B1 (en) 2006-04-03 2012-10-30 Wai Wu Intelligent communication routing system and method
DE102006017911B4 (de) * 2006-04-18 2023-01-26 creditPass GmbH Elektronisches Bezahlsystem und Verfahren zum Ausführen eines Bezahlvorgangs
WO2007127881A2 (en) 2006-04-26 2007-11-08 Business Controls, Inc. Anonymous reporting system
US8566247B1 (en) 2007-02-19 2013-10-22 Robert H. Nagel System and method for secure communications involving an intermediary
US7958057B2 (en) * 2007-03-28 2011-06-07 King Fahd University Of Petroleum And Minerals Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication
EP2026267A1 (en) * 2007-07-31 2009-02-18 Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO Issuing electronic vouchers
US7877331B2 (en) * 2007-09-06 2011-01-25 King Fahd University Of Petroleum & Minerals Token based new digital cash protocols with combined blind digital signature and pseudonym authentication
US20090288012A1 (en) * 2008-05-18 2009-11-19 Zetawire Inc. Secured Electronic Transaction System
US20100042536A1 (en) * 2008-08-15 2010-02-18 Tim Thorson System and method of transferring funds
US20100198733A1 (en) * 2009-02-04 2010-08-05 Qualcomm Incorporated Enabling Payment Using Paperless Image Of A Check
US8630951B2 (en) * 2009-05-26 2014-01-14 Capitalwill Llc Systems and methods for electronically circulating a currency
US8306910B2 (en) * 2009-05-26 2012-11-06 Capital Will LLC Systems and methods for electronically circulating a currency
US9721235B2 (en) 2009-05-26 2017-08-01 Capitalwill Llc Systems and methods for electronically circulating a currency
US9721261B2 (en) 2009-05-26 2017-08-01 CapitalWill, LLC Systems and methods for electronically circulating a conditional electronic currency
US8706626B2 (en) 2009-05-26 2014-04-22 Bradley Wilkes Systems and methods for provisionally transferring an electronic currency
GB2491289A (en) * 2010-01-22 2012-11-28 Ibm Unlinkable priced oblivious transfer with rechargeable wallets
WO2014063937A1 (en) * 2012-10-11 2014-05-01 Bull Sas E-payment architecture preserving privacy
EP3215637B1 (en) 2014-11-03 2019-07-03 F. Hoffmann-La Roche AG Methods and biomarkers for predicting efficacy and valuation of an ox40 agonist treatment
US10013682B2 (en) 2015-02-13 2018-07-03 International Business Machines Corporation Storage and recovery of digital data based on social network
EP3059702A1 (en) * 2015-02-17 2016-08-24 Alcatel Lucent Apparatuses, vehicle, methods and computer programs for providing first information related to at least one unique payment certificate to a creditor
DE102016106055A1 (de) * 2016-04-03 2017-10-05 Achim Faßbender Alternative Zahlungsmittel und Zahlungsverfahren
US12099997B1 (en) 2020-01-31 2024-09-24 Steven Mark Hoffberg Tokenized fungible liabilities
US20220084015A1 (en) * 2020-09-16 2022-03-17 Asante Technology LLC Methods and systems for ethical cryptocurrency management

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4947430A (en) * 1987-11-23 1990-08-07 David Chaum Undeniable signature systems
US4914698A (en) * 1988-03-16 1990-04-03 David Chaum One-show blind signature systems
US4987593A (en) * 1988-03-16 1991-01-22 David Chaum One-show blind signature systems
US4949380A (en) * 1988-10-20 1990-08-14 David Chaum Returned-value blind signature systems
US4991210A (en) * 1989-05-04 1991-02-05 David Chaum Unpredictable blind signature systems
US4996711A (en) * 1989-06-21 1991-02-26 Chaum David L Selected-exponent signature systems
DE69031614T2 (de) * 1990-01-29 1998-05-07 Security Techn Corp Wahlweise moderierte Transaktionssysteme
US5373558A (en) * 1993-05-25 1994-12-13 Chaum; David Desinated-confirmer signature systems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015114818A1 (ja) * 2014-01-31 2015-08-06 富士通株式会社 情報処理装置およびセンサ出力制御プログラム
JP7566233B1 (ja) 2023-11-21 2024-10-15 久利寿 帝都 電子通貨基盤を実現するための方法およびシステム

Also Published As

Publication number Publication date
EP0873615A2 (en) 1998-10-28
DE69632482T2 (de) 2005-05-12
EP0873615B1 (en) 2004-05-12
EP0873615A4 (en) 1999-11-24
CA2229206C (en) 2003-07-15
CA2229206A1 (en) 1997-03-13
WO1997009688A3 (en) 1997-04-10
WO1997009688A2 (en) 1997-03-13
US5768385A (en) 1998-06-16
DE69632482D1 (de) 2004-06-17
ATE266919T1 (de) 2004-05-15

Similar Documents

Publication Publication Date Title
JP2000503786A (ja) 追跡不可能な電子通貨
EP0995177B1 (en) Symmetrically-secured electronic communication system
US10535065B2 (en) Secure payment transactions based on the public bankcard ledger
JP3329432B2 (ja) 階層型電子現金実施方法およびこれに用いられる装置
US7155418B2 (en) Electronic cash system
US5420926A (en) Anonymous credit card transactions
US7039809B1 (en) Asymmetric encrypted pin
JP5721086B2 (ja) 電子マネーの管理方法
US20100153273A1 (en) Systems for performing transactions at a point-of-sale terminal using mutating identifiers
RU2157001C2 (ru) Способ проведения платежей (варианты)
US20060031173A1 (en) Method and apparatus for secure electronic commerce
JPH10240848A (ja) ユーザ端末間での資金または電子コインの振り替え方法
JPH10511788A (ja) 電子マネーをオープン流通させるための信託エージェント
WO2001044968A2 (en) Transaction system and method
KR100468031B1 (ko) 자기앞 전자수표 발행 및 결제방법
KR100323138B1 (ko) 신용정보보호를 위한 전자지불방법 및 그 방법을 기록한컴퓨터로 읽을 수 있는 기록매체
CN111062833A (zh) 一种合同数据的签名认证方法及相关装置
KR100323137B1 (ko) Ssl기반의 신용정보보호를 위한 전자지불방법 및 그방법을 기록한 컴퓨터로 읽을 수 있는 기록매체
Al-Meaither et al. A secure electronic Murabaha transaction
Zhao et al. Yet Another Simple Internet Electronic Payment System
CA2295603C (en) Symmetrically-secured electronic communication system
Maher Trust in the new information age
KR20020029061A (ko) Mac를 이용한 전자계좌이체방법 및 이의 방법을 기록한컴퓨터로 읽을 수 있는 기록매체
Islam et al. A PKI Enabled Authentication Protocol for Secure E-Payment Framework
Ziya SECURITY–ENCRYPTION TECHNIQUES, CASH PROTOCOLS, CASH SYSTEMS.